Восстановление радиолинии для устройства пользователя
Изобретение относится к области беспроводной связи. Технический результат заключается в безопасном восстановлении радиолинии без установки нового контекста для защиты линии связи между устройством пользователя и целевым узлом доступа. Способ восстановления радиолинии включает: установление, в системе связи, контекста безопасности слоя без доступа между устройством пользователя и узлом управления мобильностью системы связи; и, в ответ на отказ радиолинии между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, восстановление, посредством узла управления мобильностью, в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью, радиолинии для устройства пользователя через целевой узел доступа системы связи, при этом узел управления мобильностью содержит процессор и память, сконфигурированные для обеспечения восстановления радиолинии. 12 н. и 70 з.п. ф-лы, 7 ил.
Перекрестная ссылка на родственную заявку
Настоящая заявка испрашивает приоритет по предварительной заявке на патент США номер 62/488179, поданной 21 апреля 2017 г.и озаглавленной "Cellular Internet of Things (CIoT) UE Radio Link Recovery Using NAS Keys", содержание которой в полном объеме включено в настоящий документ посредством ссылки.
Область техники, к которой относится изобретение
Настоящая заявка в целом относится к системам связи и, в частности, но не исключительно, к безопасности в таких системах.
Предпосылки изобретения
В этом разделе представлены аспекты, которые могут быть полезны для лучшего понимания изобретения. Соответственно, положения этого раздела следует читать в этом свете и не следует понимать как указание того, что является предшествующим уровнем техники, а что нет.
Технология беспроводной мобильной связи четвертого поколения (4G), также известная как технология долгосрочной эволюции универсальной мобильной системы связи (Long Term Evolution, LTE), была разработана для обеспечения мобильной мультимедийной связи с высокой пропускной способностью и высокой скоростью передачи данных, прежде всего для взаимодействия между людьми. Технология следующего или пятого поколения (5G) предназначена для использования не только для взаимодействия между людьми, но и для межмашинного взаимодействия в сетях так называемого Интернета вещей (Internet of Things, IoT).
В примере системы связи LTE устройство пользователя (User Equipment, UE), такое как мобильное устройство, осуществляет связь через радиоинтерфейс с базовой станцией, называемой усовершенствованным узлом В (evolved Node В, eNB). Для иллюстрации, узел eNB является частью сети доступа системы, такой как, например, усовершенствованная универсальная наземная сеть радиодоступа (Evolved Universal Terrestrial Radio Access Network, E-UTRAN). Узел eNB обеспечивает доступ для устройства UE к базовой сети (Core Network, CN), которая затем предоставляет доступ для устройства UE к сети передачи данных, такой как сеть пакетной передачи данных (Packet Data Network, PDN) (например, такой как Интернет).
Узкополосный Интернет вещей (Narrow-Band IoT, NB-IoT) - это технология энергоэффективной сети радиосвязи дальнего радиуса действия (Low Power Wide Area Network, LPWAN), разработанная для обеспечения возможности подключения широкого спектра устройств (например, мобильных устройств, датчиков, интеллектуальных счетчиков и т.п.) и предоставления услуг с использованием сети сотовой связи. Например, в вышеупомянутой сети LTE сеть E-UTRAN соединяет устройства UE сотового IoT (Cellular IoT, CIoT) с сетью CN и, в конечном счете, со службами, доступными через сеть PDN или другую сеть передачи данных. Однако в предлагаемых в настоящее время реализациях существуют проблемы по обеспечению безопасности для устройств UE сети CIoT в сетях NB-IoT, например, во время таких операций как восстановление радиолинии.
Сущность изобретения
Иллюстративные формы осуществления изобретения предлагают способы обеспечения безопасного восстановления радиолинии для устройства пользователя в системе связи.
В одной форме осуществления изобретения способ включает, в ответ на отказ радиолинии между данным устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, восстановление радиолинии для данного устройства пользователя через целевой узел доступа системы связи. Восстановление радиолинии осуществляется через узел управления мобильностью системы связи с использованием контекста безопасности слоя без доступа, ранее установленного между данным устройством пользователя и узлом управления мобильностью.
В другой форме осуществления изобретения способ содержит, в ответ на отказ радиолинии между данным устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, восстановление радиолинии для данного устройства пользователя через целевой узел доступа системы связи. Восстановление радиолинии инициируется данным устройством пользователя путем отправки сообщения узлу управления мобильностью системы связи через целевой узел доступа с использованием контекста безопасности слоя без доступа, ранее установленного между данным устройством пользователя и узлом управления мобильностью.
В иллюстративных формах осуществления изобретения безопасное восстановление радиолинии достигается без установки нового контекста для защиты линии связи между данным устройством пользователя и целевым узлом доступа, а используются только контекст безопасности слоя без доступа между данным устройством пользователя и узлом управлением мобильностью и связанные с ним криптографические ключи. Для разделения ключей новые ключи могут быть вычислены с использованием существующих параметров безопасности слоя без доступа или количества сообщений слоя без доступа либо в восходящей линии связи, либо в нисходящей линии связи.
Дополнительные формы осуществления изобретения приводятся в форме машиночитаемого носителя данных, в котором содержится исполняемый программный код, который при исполнении процессором заставляет процессор выполнять вышеуказанные этапы. Еще другие формы осуществления изобретения содержат устройство с процессором и запоминающим устройством, сконфигурированное для выполнения вышеуказанных этапов.
Эти и другие признаки и преимущества форм осуществления изобретения, описанных в данном документе, станут более очевидными из прилагаемых чертежей и следующего подробного описания.
Краткое описание чертежей
На фиг. 1A и 1B показана система связи, в которой восстановление радиолинии реализовано в иллюстративной форме осуществления изобретения.
На фиг. 2 показан более подробный вид примера устройства пользователя и элементов узла управления мобильностью в иллюстративной форме осуществления изобретения.
На фиг. 3 показан поток сообщений для процесса восстановления радиолинии в иллюстративной форме осуществления изобретения.
На фиг. 4 показана блок-схема процесса восстановления радиолинии в иллюстративной форме осуществления изобретения.
На фиг. 5A и 5B показаны вычисление ключа и поток сообщений для процесса восстановления радиолинии в другой иллюстративной форме осуществления изобретения.
Подробное описание
Формы осуществления изобретения будут проиллюстрированы в данном документе в сочетании с примерами систем связи и соответствующими способами восстановления радиолинии для устройства пользователя. Однако следует понимать, что объем формулы изобретения не ограничен конкретными типами раскрытых систем связи и/или процессов. Формы осуществления изобретения могут быть реализованы во множестве других типов систем связи, используя другие возможные процессы и операции. Например, хотя это проиллюстрировано в контексте беспроводных сотовых систем, использующих элементы системы по стандартам организации "Проект сотрудничества по созданию системы третьего поколения" (3rd Generation Partnership Project, 3GPP), такие как развитое ядро пакетной передачи (Evolved Packet Core, EPC) системы LTE, раскрытые формы осуществления изобретения могут быть прямо адаптированы к множеству других типов систем связи, включая, но не ограничиваясь этим, системы по технологии широкополосного доступа в микроволновом диапазоне (Worldwide interoperability for Microwave Access, WiMAX) и системы по технологии "беспроводной точности" (Wireless Fidelity, Wi-Fi). Кроме того, хотя иллюстративные формы осуществления изобретения особенно хорошо подходят для реализации в сетях NB-IoT, формы осуществления изобретения могут быть реализованы в других сетях, где восстановление безопасной радиолинии было бы желательным или необходимым.
Различные иллюстративные формы осуществления изобретения ниже будут описаны со ссылкой на чертежи, на которых повсюду одинаковые ссылочные позиции используются для ссылки на одинаковые элементы. В нижеследующем описании в целях объяснения изложены многочисленные конкретные детали, чтобы обеспечить полное понимание одной или нескольких иллюстративных форм осуществления изобретения. Однако очевидно, что такие иллюстративные формы осуществления изобретения могут применяться на практике без этих конкретных деталей или с функционально подобными или эквивалентными заменами.
Как иллюстративно используется в настоящем документе, слой без доступа (Non-Access Stratum, NAS) является функциональным уровнем сети связи, который обеспечивает сигнализацию без радиосвязи для определенных функций плоскости управления между устройством UE и базовой сетью (CN), прозрачную для сети радиодоступа (Radio Access Network, RAN). Такие функции включают, но не ограничиваются ими, управление мобильностью, аутентификацию и т.п. Сравните функциональный уровень NAS со слоем доступа (Access Stratum, AS), который является функциональным уровнем ниже NAS, обеспечивающим функциональные возможности между устройством UE и сетью RAN, включая, но не ограничиваясь этим, передачу данных по беспроводному соединению и управление радиоресурсами.
Поддержка восстановления радиосвязи и мобильности для устройств UE в сети NB-IoT с использованием решения по оптимизации Интернета вещей в сетях сотовой связи (Cellular Internet of Things, CIoT), рассматривается соответствующими органами по стандартизации. Это решение оптимизации для передачи данных через уровень NAS также называется Data Over NAS (DoNAS). Некоторые предложения включают использование процедуры повторного установления соединения управления радиоресурсами (Radio Resource Control, RRC), чтобы разрешить извлечение контекста и пересылку данных из обслуживающего (или исходного) узла eNB в целевой узел eNB в сценарии мобильности, аналогичном сценарию хэндовера (передачи обслуживания) в активном режиме обычной практики. Однако такие предложения могут представлять угрозу безопасности, которую следует устранить, чтобы снизить потенциальный вред со стороны злоумышленников.
Более конкретно, использование устройством UE процедуры восстановления соединения управления радиоресурсами (RRC) для оптимизации (DoNAS) плоскости управления сети CIoT может быть уязвимым для атаки, поскольку соединение RRC устройства UE в сети CIoT с узлом eNB не защищено мерами безопасности. Различные аспекты следующего рассмотрения могут быть освещены со ссылкой на документы 3GPP TS23.401, Rel. 14, 2016-12, 
5.3.4 В.2, TS 24.301, TS 33.401, каждый из которых полностью включен в настоящий документ посредством ссылки.
По меньшей мере одно текущее предложение для стратегии оптимизации плоскости управления CIoT включает в себя единую стратегию передачи коротких пакетов данных. Однако здесь понятно, что такая стратегия может быть скомпрометирована с точки зрения безопасности. Анализ угроз показывает, что, если канал UE-eNB не защищен, он уязвим для атак. Следующие наблюдения являются результатом такого анализа угроз:
(i) Если устройство UE имеет большой объем данных для передачи или приема, устройство UE может иметь контекст слоя доступа (AS), установленный с помощью узла eNB, и контекст NAS, установленный с помощью узла управления мобильностью (Mobility Management Entity, MME). В таких случаях сообщения RRC должны быть защищены. Без такого контекста и защиты поддержание устойчивого соединения устройства UE с узлом eNB может оказаться невозможным, например, соединение устройства UE может быть взломано или закрыто атакующим устройством UE. Узел eNB также может подвергаться атакам с использованием ложных данных и/или пакетов управления в восходящей линии связи (Uplink, UL).
(ii) В некоторых текущих предложениях неясно, как достигается мобильность (например, хэндовер устройства UE от обслуживающего или исходного узла eNB к целевому узлу eNB) без установления контекста AS надежным образом. Таким образом, для надежного хэндовера интерфейса Х2 или SI необходимо установить контекст AS.
(iii) Без контекста безопасности AS в обслуживающем или исходном узле eNB и целевом узле eNB существуют сценарии атаки по нисходящей линии связи (Downlink, DL) и линии UL для устройства UE при передаче DoNAS и его линии согласно прикладному протоколу для интерфейса S1 (S1 Application Protocol, S1AP).
В различных иллюстративных формах осуществления изобретения один или несколько из вышеупомянутых рисков безопасности могут быть уменьшены путем обеспечения безопасности для восстановления радиолинии посредством защиты линии связи между устройством UE и узлом eNB с использованием контекста NAS между устройством UE и элементом (узлом) ММЕ базовой сети (CN) и ключей NAS, связанных с этим контекстом.
Перед описанием таких процессов восстановления защищенной радиолинии в соответствии с иллюстративными формами осуществления изобретения описывается иллюстративная система связи, в которой такие процессы могут быть реализованы, вместе с фиг. 1A и 1B.
На фиг. 1A показана система 100 связи, содержащая устройство 102 пользователя (UE), которое обменивается данными через радиоинтерфейс 103 с усовершенствованным узлом В (eNB) 104. В этой иллюстративном форме осуществления изобретения система 100 связи содержит беспроводную сотовую систему и, более конкретно, систему LTE. Система 100 связи иллюстрирует по меньшей мере часть сети NB-IoT.
Устройство 102 пользователя может быть мобильной станцией, и такая мобильная станция может быть выполнено в виде, например, мобильного телефона, компьютера, датчика, интеллектуального счетчика или устройства связи любого другого типа. Поэтому термин "устройство пользователя", используемый в данном документе, должен толковаться в широком смысле, чтобы охватывать множество различных типов мобильных станций, абонентских станций или, в более общем смысле, устройств связи, включая примеры, такие как комбинация карточки данных, вставленной в устройство связи. Такие устройства связи также предназначены для охвата устройств, обычно называемых терминалами доступа. В этой иллюстративной форме осуществления изобретения устройство UE 102 считается устройством UE сети CIoT.
Узел eNB 104 является иллюстративной частью сети доступа системы 100 связи. Такая сеть радиодоступа может содержать, например, E-UTRAN, имеющую множество базовых станций и один или несколько связанных контроллеров радиосети (Radio Network Controller, RNC). Базовые станции и контроллеры RNC являются логически отдельными объектами, но в данном форме осуществления изобретения могут быть реализованы в одном и том же физическом элементе сети, таком как, например, маршрутизатор базовой станции или фемтосотовая точка доступа. Узел eNB, в более общем смысле, может упоминаться как узел доступа.
Хотя фиг. 1A иллюстрирует состав сети 4G, следует понимать, что система 100 связи может быть сетью 5G или гибридной сетью 4G/5G. Таким образом, точка доступа, упоминаемая как узел eNB в сети 4G, упоминается как узел gNB (New Radio Node В) в сети 5G. Узел доступа (например, gNB/eNB) является иллюстративной частью сети радиодоступа системы связи. В то время как сеть 4G использует E-UTRAN в качестве сети радиодоступа, в сети 5G сеть доступа называется системой 5G и описана в технической спецификации (Technical Specification, TS) 5G 23.501, V0.4.0, озаглавленной Technical Specification Group Services and System Aspects; System Architecture for the 5G System ("Техническая спецификация. Групповые услуги и системные аспекты; архитектура системы для системы 5G), содержание которой полностью включено в настоящее описание посредством ссылки. В общем, узел доступа (например, узел gNB/eNB) предоставляет доступ для устройства UE к сети CN, которая затем предоставляет доступ для устройства UE к другим устройствам UE и/или сети передачи данных, такой как сеть передачи данных с коммутацией пакетов (например, Интернет). В этой иллюстративной форме осуществления изобретения устройство UE в сети CIoT может осуществлять доступ к услугам сети CIoT через сеть передачи данных с коммутацией пакетов.
Узел eNB 104 в этой иллюстративной форме осуществления изобретения функционально связан с узлом 106 управления мобильностью (ММЕ). Узел ММЕ 106 является одним примером того, что называется "элементом объекта управления мобильностью", "функцией объекта управления мобильностью" или, в более общем смысле, "узлом управления мобильностью". Узел управления мобильностью, как этот термин используется в данном документе, является элементом или функцией в системе связи, которая позволяет, помимо других сетевых операций, выполнять операции восстановления радиолинии с устройством UE (через узел eNB). Узел eNB 104 также функционально связан с обслуживающим шлюзом (Serving Gateway, SGW) 108, который функционально связан со шлюзом сети передачи данных с коммутацией пакетов (Packet Data Network, PDN) (PDN Gateway, PGW) 110. Шлюз PGW 110 функционально связан с сетью передачи данных с коммутацией пакетов, например, Интернетом 112. Узел ММЕ 106 также функционально связан со шлюзом SGW 108. Узел ММЕ 106 и шлюз SGW 108 считаются частью базовой сети (CN). В некоторых формах осуществления изобретения шлюз PGW 110 также считается частью сети CN.
Следует принимать во внимание, что это конкретное расположение элементов системы является только примером, и другие типы и расположения дополнительных или других возможных элементов могут использоваться для реализации системы связи в других формах осуществления изобретения. Например, в других формах осуществления изобретения система 100 может содержать элементы аутентификации, а также другие элементы, не показанные здесь явно.
Соответственно, расположение на фиг. 1A представляет собой только один пример конфигурации беспроводной сотовой системы, и могут использоваться многочисленные другие возможные конфигурации элементов системы. Например, хотя только одиночные элементы UE, eNB, ММЕ, SGW и PGW показаны в форме осуществления изобретения на фиг. 1A, это сделано только для простоты и ясности описания. Некоторая другая возможная форма осуществления изобретения может, конечно, включать большее количество таких системных элементов, функций и/или узлов, а также дополнительные или другие возможные элементы, функции и/или узлы типа, обычно связанного с традиционными реализациями системы.
Также следует отметить, что хотя фиг. 1A иллюстрирует элементы, функции и/или узлы системы в виде одиночных функциональных блоков, различные подсети, которые составляют сеть 5G, разделяются на так называемые сетевые слайсы. Сетевые слайсы (разделы сети) содержат ряд наборов функций (то есть цепочек функций) для каждого соответствующего типа услуги с использованием виртуализации сетевых функций (Network Function Virtualization, NFV) в общей физической инфраструктуре. Сетевые слайсы создаются по мере необходимости для данной услуги, например, услуги усовершенствованной мобильной широкополосной связи (Enhanced Mobile Broadband, еМВВ), услуги массовой связи IoT и критически важной услуги IoT. Таким образом, создается сетевой слайс или набор функций, когда создается экземпляр этого сетевого слайса или набора функций. В некоторых формах осуществления изобретения это включает в себя инсталляцию или иное выполнение сетевого слайса или набора функций на одном или нескольких хост-устройствах базовой физической инфраструктуры. Устройство UE 102 осуществляет доступ к одной или нескольким из этих услуг через сеть CN посредством узла eNB 104.
Как упомянуто выше, может произойти отказ радиолинии, в результате чего устройство UE 102 теряет соединение с узлом eNB 104 по множеству типичных причин. В таком случае, как показано на фиг. 1B, когда устройство UE 102 теряет соединение с узлом eNB 104 (изображенным как исходный узел eNB (Source eNB)), оно может повторно установить соединение (радиоинтерфейс 103) с узлом eNB 114 (изображенным как целевой узел eNB (Target eNB)) в соответствии с процессами восстановления радиолинии согласно иллюстративным формам осуществления изобретения.
Следует принимать во внимание, что система 100 связи, показанная на фиг. 1A и 1B, имеет и узел eNB 104 и узел eNB 114, функционально связанные с одними и теми же узлом ММЕ 106 и шлюзом SGW 108. Однако в других возможных формах осуществления изобретения каждый из узла eNB 104 и узла eNB 114 может быть функционально связан с разными узлами ММЕ и/или разными шлюзами SGW. Как также будет объяснено ниже, узел eNB 104 и узел eNB 114 фактически могут быть одним и тем же узлом eNB.
Когда устройство UE 102 теряет соединение с исходным узлом eNB 104 и пытается восстановить соединение с целевым узлом eNB 114, иллюстративные формы осуществления изобретения обеспечивают операцию восстановления защищенной радиолинии для устройства UE 102 с использованием существующего контекста безопасности NAS и ключей, установленных между устройством UE 102 и узлом ММЕ 106.
На фиг. 2 показан более подробный вид устройства UE 102 и узла ММЕ 106 в иллюстративной форме осуществления изобретения. Устройство UE 102 содержит процессор 200, связанный с запоминающим устройством 202, и интерфейсную схему 204. Процессор 200 устройства UE 102 содержит модуль 210 выполнения восстановления, который может быть реализован по меньшей мере частично в форме программного обеспечения, выполняемого процессором. Под "выполнением восстановления" подразумевается обращение к этапам обработки (операциям, процессам, выполняемым командам и т.п.), связанным с восстановлением радиолинии, согласно одной или нескольким иллюстративным формам осуществления изобретения. Более конкретно, модуль 210 выполнения восстановления выполняет в устройстве пользователя операции процессов восстановления радиолинии, описанных в связи с последующими фигурами и иным образом в данном документе. Запоминающее устройство 202 в устройстве UE 102 содержит модуль 212 памяти для восстановления, который хранит данные, сгенерированные во время операций восстановления радиолинии с узлом ММЕ 106 через целевой узел eNB 114.
Узел ММЕ 106 содержит процессор 220, связанный с запоминающим устройством 222, и интерфейсную схему 224. Процессор 220 узла ММЕ 106 содержит модуль 230 выполнения восстановления, который может быть реализован по меньшей мере частично в форме программного обеспечения, выполняемого процессором. Модуль 230 выполнения восстановления выполняет операции узла ММЕ в контексте процессов восстановления радиолинии между устройством UE и целевым узлом eNB, описанные в связи с последующими фигурами и иным образом в данном документе. Запоминающее устройство 222 узла ММЕ 106 содержит модуль 232 памяти для восстановления, который хранит данные, сгенерированные во время операций восстановления радиолинии с устройством UE 102 через целевой узел eNB 114.
Процессоры 200 и 220 соответствующих устройства UE 102 и узла ММЕ 106 могут быть выполнены в виде, например, микропроцессоров, специализированных интегральных схем (Application-Specific Integrated Circuit, ASIC), процессоров цифровой обработки сигналов (Digital Signal Processors, DSP) или устройств обработки других типов, а также частей или комбинаций таких элементов.
Запоминающие устройства 202 и 222 соответствующих устройства UE 102 и ММЕ 106 могут использоваться для хранения одной или нескольких программ, которые исполняются соответствующими процессорами 200 и 220, для реализации по меньшей мере части функциональности, описанной в данном документе. Например, операции восстановления радиолинии и другие функциональные возможности, которые описаны в связи с последующими фигурами и иным образом в данном документе, могут быть реализованы простым способом с использованием программного кода, выполняемого процессорами 200 и 220.
Таким образом, данное одно из запоминающих устройств 202 или 222 может рассматриваться как пример того, что более широко упоминается в данном документе как компьютерный программный продукт или, в более общем смысле, как читаемый процессором (или машиночитаемый) носитель данных, который имеет исполняемый код программы, заложенный в нем. Другие примеры читаемых процессором носителей данных могут включать в себя диски или другие типы магнитных или оптических носителей в любой комбинации. Иллюстративные формы осуществления изобретения могут включать в себя готовые изделия, содержащие такие компьютерные программные продукты или другие считываемые процессором носители данных.
Запоминающие устройства 202 или 222, в частности, могут быть выполнены в виде, например, электронного оперативного запоминающего устройства (Random Access Memory, RAM), такого как статическое RAM (Static RAM, SRAM), динамическая RAM (Dynamic RAM, DRAM) или другие типы энергозависимых или энергонезависимых электронных запоминающих устройств. Последние могут включать в себя, например, энергонезависимые запоминающие устройства, такие как флэш-память, магнитное RAM (Magnetic RAM, MRAM), RAM на фазовых переходах (Phase-Change RAM, PC-RAM) или сегнетоэлектрическое RAM (Ferroelectric RAM, FRAM). Используемый здесь термин "память" предназначен для широкого толкования и может дополнительно или альтернативно охватывать, например, постоянное запоминающее устройство (Read-Only Memory, ROM), дисковое запоминающее устройство или запоминающее устройство другого типа, а также части или комбинации таких устройств.
Интерфейсные схемы 204 и 224 соответствующих устройства UE 102 и узла ММЕ 106 иллюстративно содержат приемопередатчики или другое аппаратные или программно-аппаратные средства связи, которые позволяют соответствующим элементам системы связываться друг с другом способом, описанным в данном документе.
Из фиг. 2 очевидно, что устройство UE 102 сконфигурировано для связи с узлом ММЕ 106 и наоборот через их соответствующие интерфейсные схемы 204 и 224. Устройство UE 102 связывается с узлом ММЕ 106 через узел eNB 114. Эта связь включает в себя передачу данных устройством UE 102 в узел ММЕ 106 через узел eNB 114 и передачу данных узлом ММЕ 106 в устройство UE 102 через узел eNB 114. Однако в других возможных формах осуществления изобретения другие сетевые элементы могут быть функционально включаться между устройством UE и узлом ММЕ. Термин "данные", используемый в данном документе, предназначен для широкого толкования, чтобы охватывать информацию любого типа, которая может передаваться между устройством пользователя и базовой сетью через элемент базовой станции, включая, но не ограничиваясь этим, данные восстановления радиолинии, данные управления, аудио, видео, мультимедиа, данные с любого сенсорного устройства и т.п.
Следует понимать, что конкретное расположение компонентов, показанное на фиг. 2 является только примером, и многочисленные другие возможные конфигурации могут использоваться в других формах осуществления изобретения. Например, устройство пользователя и узел управления мобильностью могут быть сконфигурированы для включения дополнительных или других возможных компонентов и для поддержки других протоколов связи.
Каждый из других элементов системы, таких как узел eNB 104, узел eNB 114, шлюз SGW 108 и шлюз PGW 110, также может быть сконфигурирован для включения в его состав таких компонентов как процессор, память и сетевой интерфейс. Эти элементы не обязательно должны быть реализованы на отдельных автономных платформах обработки, но вместо этого могут, например, представлять различные функциональные части одной общей платформы обработки. Такая платформа обработки может дополнительно содержать по меньшей мере части узла eNB и связанного с ним контроллера RNC.
Иллюстративные формы осуществления изобретения обеспечивают восстановление радиолинии для устройства UE в сети CIoT (например, устройства UE 102), которое теряет соединение с обслуживающим или исходным узлом eNB (например, узлом eNB 104) и стремится повторно установить соединение с целевым узлом eNB (например, eNB 114). Более конкретно, как будет дополнительно объяснено ниже, иллюстративные формы осуществления изобретения используют существующие ключи NAS и контекст NAS между устройством UE и узлом ММЕ (например, узлом ММЕ 106). Временный контекст AS в узле eNB может быть создан в сценарии отказа радиолинии (Radio Link Failure, RLF) в исходном узле eNB 104, пока устройство UE 102 не передаст сообщение NAS непосредственно в узел ММЕ 106 через целевой узел eNB 114. Некоторые другие формы осуществления изобретения могут использовать другие возможные ключи, вычисленные из существующих параметров контекста NAS или результатов подсчета сообщений NAS между устройством UE и узлом ММЕ, чтобы повторно установить соединение с целевым узлом eNB для разделения ключей между обычными сообщениями NAS и процедурами восстановления радиолинии.
Следует отметить, что в некоторых формах осуществления изобретения целевой узел eNB 114 может быть таким же, как исходный узел eNB 104, то есть устройство UE стремится восстановить соединение с тем же узлом eNB, с которым устройство UE потеряло соединение. В таком случае этот же узел eNB является обслуживающим или исходным узлом доступа, а затем целевым узлом доступа.
Узел ММЕ 106 выбирает буферизованные пакеты в исходном узле eNB 104. Узел ММЕ 106 устанавливает новое соединение по протоколу S1AP с целевым узлом eNB 114 и передает дополнительные пакеты (включая пакеты, выбранные из исходного узла eNB 104). S1AP - это прикладной протокол S1, который служит в качестве протокола сигнализации уровня радиосети E-UTRAN для интерфейса S1. Протокол S1AP поддерживает функции интерфейса S1 посредством процедур сигнализации, определенных в спецификации 3GPP TS 36.413, содержание которой полностью включено в настоящее описание посредством ссылки.
В соответствии с иллюстративными формами осуществления изобретения, нет другого вычисления ключа, кроме одного набора ключей NAS. ММЕ 106 проверяет сообщение NAS, указывающее отказ RLF, используя обычный ключ контроля целостности NAS KNASint. Создание контекста безопасности NAS и генерация ключа, включая, но не ограничиваясь этим, ключ контроля целостности NAS KNASint и ключ шифрования NAS KNASenc, описаны в спецификациях 3GPP TS 24.301 и 3GPP TS 33.401, содержание которых полностью включено в настоящее описание посредством ссылки. Процедура восстановления радиолинии и вычисления ключа определены в спецификациях 3GPP TS 36.300, 3GPP TS 36.413 и 3GPP TS 33.401, содержание которых полностью включено в настоящий документ посредством ссылки.
Иллюстративная форма осуществления изобретения восстановления радиолинии описана на фиг. 3. Более конкретно, на фиг. 3 показан поток сообщений для процесса восстановления радиолинии для устройства пользователя. Следует принимать во внимание, что элементы, функции и/или узлы системы, показанные на фиг. 3 (устройство UE, узел eNB (исходный), узел eNB (целевой) и узел ММЕ) соответствуют аналогичным образом обозначенным системным элементам, функциям и/или узлам на Фиг.1A, 1B и 2. Пронумерованные ниже этапы соответствуют номерам сообщений потока сообщений на фиг. 3.
1. Устройство UE 102 в сети CIoT (обратим внимание, что CIoT также может упоминаться как NBIoT на чертежах и в других местах в данном документе), стремясь выполнить передачу данных плоскости управления (Control Plane, CP), устанавливает линию NAS (контекст безопасности) с узлом ММЕ 106 для передачи данных либо в линию UL, либо в линию DL. Узел ММЕ 106 устанавливает путь S1AP к исходному узлу eNB 104 для передачи пакетов. Следует отметить, что исходный узел eNB 104 не имеет никакого дополнительного контекста для устройства UE 102.
2. Во время передачи данных устройство UE 102 обнаруживает отказ радиолинии (RLF). Дополнительно или альтернативно, в некоторых случаях отказ RLF может обнаруживаться узлом eNB 104.
2a. Если узел eNB 104 обнаружил отказ RLF, узел eNB 104 может заблаговременно передать еще не переданные блоки пакетных данных (Packet Data Unit, PDU, связанные с передачей данных, упомянутых на этапе 1) для устройства UE 102 в своем буфере, в узел ММЕ 106, сообщая об отказе RLF с помощью устройства UE 102, указанного в протоколе S1AP.
3/3a. Когда устройство UE 102 обнаруживает отказ RLF, устройство UE 102 выбирает целевой узел eNB 114 (отметим еще раз, что это может быть тот же узел eNB, что и исходный узел eNB 104), передает сообщение NAS, чтобы сообщить, что оно обнаружило отказ RLF. Сообщение NAS защищено с использованием обычного ключа целостности NAS KNASint, созданного как часть контекста безопасности NAS с узлом ММЕ 106, упомянутым на шаге 1.
4. Узел ММЕ 106 проверяет сообщение NAS, используя обычный KNASint.
5. Если проверка целостности проходит, узел ММЕ 106 выбирает неотправленные остаточные пакеты из исходного узла eNB 104 для устройства UE 102. Если исходный узел eNB 104 ранее отправил остаточные данные на этапе 2a, то на этом этапе эта передача пакета не требуется. Узел ММЕ 106 отменяет контекст S1AP и путь к исходному узлу eNB 104.
6a/6b. Узел ММЕ 106 передает новую установку контекста S1AP в целевой узел eNB 114. Узел ММЕ 106 передает подтверждение отказа RLF слоя NAS в устройство UE 102 вместе со свежими данными через целевой узел eNB 114. Целостность сообщения NAS защищается с использованием того же обычного ключа KNASint и данные шифруются с использованием ключа шифрования KNASenc слоя NAS (оба созданы как часть контекста безопасности NAS узлом ММЕ 106, упомянутым на шаге 1).
Многие преимущества реализуются с помощью техники восстановления радиолинии в соответствии с иллюстративными формами осуществления изобретения. Например, некоторые из этих преимуществ включают, но не ограничиваются этим:
i) Нет нового контекста, устанавливаемого для защиты линии связи между устройством UE 102 и целевым узлом eNB 114, используются только контекст NAS между устройством UE 102 и узлом ММЕ 106 и ключи NAS. Если при восстановлении радиолинии требуется разделение ключей от обычных сообщений NAS, другие возможные ключи могут быть вычислены из текущего контекста NAS.
ii) Предполагается, что для устройств UE в сети CIoT отказ RLF (запрос на повторное установление соединения RRC) обрабатывается узлом eNB, защищенным параметрами контекста NAS. Устройство UE в сети CIoT, если оно обнаруживает отказ RLF, либо передает сообщение NAS в узел ММЕ (указывающее отказ RLF), поскольку они имеют только контекст NAS, либо передает сообщение запроса повторного установления соединения RRC целевому узлу eNB, защищенному параметрами контекста NAS.
iii) Поскольку сообщение NAS или сообщение запроса на повторное установление соединения RRC защищены, ни атаки, использующие эти сообщения, ни переключение пути к другому узлу eNB невозможно.
iv) В случае использования только сообщений NAS, изменения в существующих элементах, функциях и/или узлах сети минимальны, то есть два сообщения NAS между устройством UE 102 и узлом ММЕ 106 для сообщения и подтверждения обратно отказа RLF, два сообщения S1AP между узлом ММЕ 106 и узлом eNB для извлечения пакета из буфера и изменения пути S1AP.
v) Во всей операции устройство UE 102 использует только контекст NAS.
vi) Узлу ММЕ 106 не нужно передавать алгоритм или идентификатор NAS другим узлам.
Соответственно, в общем, в ответ на отказ радиолинии между данным устройством пользователя (например, устройством UE 102) и исходным узлом доступа (например, узлом eNB 104) системы связи во время операции передачи данных через плоскость управления, процесс восстанавливает линию радиосвязи для данного устройства пользователя через целевой узел доступа (например, узел eNB 114) системы связи. Восстановление радиолинии обеспечивают через узел управления мобильностью (например, узел ММЕ 106) системы связи с использованием контекста безопасности NAS, ранее установленного между данным устройством пользователя и узлом управления мобильностью.
Например, как показано на фиг. 4, процесс восстановления радиолинии в соответствии с иллюстративной формой осуществления изобретения содержит следующие этапы.
На этапе 400 принимают в узле управления мобильностью первое сообщение NAS от данного устройства пользователя. Первое сообщение NAS указывает, что данное устройство пользователя испытало отказ RLF с исходным узлом доступа и защищено с использованием криптографического ключа (например, ключа целостности NAS KNASint), созданного во время предыдущего установления контекста безопасности NAS между данным устройством пользователя и узлом управления мобильностью.
На этапе 402 проверяют в узле управления мобильностью данное устройство пользователя с использованием криптографического ключа (KNASint).
На этапе 404 инициируют на узле управления мобильностью установку интерфейса сигнализации (например, S1AP) с целевым узлом доступа.
На этапе 406 передают из узла управления мобильностью второе сообщение NAS на данное устройство пользователя через целевой узел доступа. Второе сообщение NAS указывает подтверждение отказа RLF и защищено с использованием криптографического ключа (KNASint), созданного во время предыдущего установления контекста безопасности NAS между данным устройством пользователя и узлом управления мобильностью. Второе сообщение NAS содержит данные, связанные с передачей данных. Данные являются предыдущими буферизованными данными и/или новыми данными. Данные шифруются с использованием другого криптографического ключа (ключа шифрования NAS KNASenc), созданного во время предыдущего установления контекста безопасности NAS между данным устройством пользователя и узлом управления мобильностью.
Также в определенных формах осуществления изобретения для разделения ключей между различными процедурами другие возможные ключи могут быть вычислены с использованием параметров контекста NAS вместе с количеством сообщений восходящей линии связи или количеством сообщений нисходящей линии связи.
В этой альтернативной форме осуществления ключа устройство UE в сети NBIoT использует другой ключ KRLFint для защиты сообщения NAS восходящей линии связи к узлу ММЕ, которое сообщает об отказе RLF. Как показано в функции формирования ключа (Key Derivation Function, KDF) на фиг. 5A, при вычислении ключа используют параметр значения счетчика восходящей линии связи NAS NAS Uplink Count и ключ KNASint вместе с текущим ключом KASME. Поскольку параметр NAS Uplink Count включается в каждое сообщение NAS восходящей линии связи, приемник может использовать значение счетчика в принимаемом сообщении для вычисления ключа целостности KRLFint и избежания любой неправильной синхронизации счетчиков сообщений в ситуациях отказа радиолинии. Это может помочь в обеспечении надлежащей безопасности и проверке числа сообщений об отказе радиолинии, когда несколько сообщений могут передаваться в нестабильных условиях радиосвязи. Можно также использовать значение счетчика нисходящей линии связи NAS NAS Downlink Count узлом ММЕ 106 в сообщении нисходящей линии связи для лучшей синхронизации во время событий отказа RLF.
Таким образом, поток сообщений, показанный на фиг. 5B, является таким же, как показанный на фиг. 3 для этапов 1, 2, 2a, 3a, 5, 6a и 6b, но в отношении этапов 3 и 4 вместо обычного ключа KNASint устройство UE 102 использует ключ KRLFint (например, полученный, как показано на фиг. 5A) для защиты целостности сообщения об отказе RLF.
Следует принимать во внимание, что наименование сетевых элементов, упомянутых здесь, дано только для иллюстративных целей. Как таковые, ни одно из конкретных наименований или сокращений, данных этим сетевым элементам в данном документе, не предназначено для ограничения форм осуществления изобретения каким-либо образом.
Как указывалось ранее, формы осуществления изобретения не ограничиваются контекстом системы LTE, и раскрытые способы могут быть адаптированы простым способом к широкому разнообразию контекстов других систем связи, включая, но не ограничиваясь этим, другие системы по стандартам 3GPP и системы не по стандартам 3GPP.
Процессор, память, контроллер и другие компоненты устройства пользователя или элемента базовой станции системы связи, как раскрыто в данном документе, могут включать в себя хорошо известные схемы, соответствующим образом модифицированные для реализации по меньшей мере части функциональных возможностей восстановления радиолинии.
Как упомянуто выше, формы осуществления изобретения могут быть реализованы в форме изделий, каждое из которых содержит одну или несколько программ, которые выполняются схемой выполнения устройства пользователя, базовых станций или других элементов системы связи. Обычные аспекты такой схемы хорошо известны специалистам в данной области техники и поэтому не будут подробно описаны в данном документе.
Кроме того, формы осуществления изобретения могут быть реализованы на одной или нескольких специализированных интегральных схемах (Application-Specific Integrated Circuit, ASIC), программируемых пользователем вентильных матриц (Field-Programmable Gate Array, FPGA) или других типах устройств на интегральных схемах в любой комбинации. Такие устройства на интегральных схемах, а также их части или комбинации являются примерами "схем", как этот термин используется в данном документе.
При реализации иллюстративных форм осуществления изобретения может быть использовано большое разнообразие других компоновок аппаратного обеспечения и соответствующего программного или встроенного программного обеспечения.
Поэтому следует еще раз подчеркнуть, что различные формы осуществления изобретения, описанные в данном документе, представлены только в качестве иллюстративного примера и не должны рассматриваться как ограничивающие объем изобретения. Например, другие возможные формы осуществления изобретения могут использовать другие конфигурации системы связи, конфигурации устройства пользователя, конфигурации базовой станции, процессы восстановления радиолинии, протоколы обмена сообщениями и форматы сообщений, чем те, которые описаны выше в контексте иллюстративных форм осуществления изобретения. Эти и многочисленные другие возможные формы осуществления изобретения в пределах объема прилагаемой формулы изобретения будут очевидны для специалистов в данной области техники.
1. Способ восстановления радиолинии, включающий:
установление, в системе связи, контекста безопасности слоя без доступа между устройством пользователя и узлом управления мобильностью системы связи; и,
в ответ на отказ радиолинии между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, восстановление, посредством узла управления мобильностью, в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью, радиолинии для устройства пользователя через целевой узел доступа системы связи, при этом узел управления мобильностью содержит процессор и память, сконфигурированные для обеспечения восстановления радиолинии.
2. Способ по п. 1, в котором восстановление радиолинии дополнительно содержит прием, в узле управления мобильностью, первого сообщения слоя без доступа от устройства пользователя.
3. Способ по п. 2, в котором первое сообщение слоя без доступа указывает, что устройство пользователя испытало отказ радиолинии с исходным узлом доступа и защищено с использованием криптографического ключа, созданного из контекста безопасности слоя без доступа между устройством пользователя и узлом управления мобильностью.
4. Способ по п. 3, в котором восстановление радиолинии дополнительно включает:
проверку, в узле управления мобильностью, устройства пользователя с использованием криптографического ключа;
инициирование, в узле управления мобильностью, установки интерфейса сигнализации с целевым узлом доступа;
передачу из узла управления мобильностью второго сообщения слоя без доступа в устройство пользователя через целевой узел доступа; и
извлечение, узлом управления мобильностью, буферизованных данных, связанных с передачей данных, из исходного узла доступа.
5. Способ по п. 1, в котором система связи представляет собой сеть узкополосного Интернета вещей (NB-IoT), а устройство пользователя представляет собой устройство пользователя сотовой сети IoT (CIoT).
6. Способ по п. 1, дополнительно включающий:
прием, в узле управления мобильностью, в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью системы связи, сообщения слоя без доступа от устройства пользователя.
7. Способ по п. 6, дополнительно включающий:
в случае, если сообщение слоя без доступа, принятое от устройства пользователя, указывает на отказ радиолинии, произошедший между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, восстановление, посредством узла управления мобильностью, при сохранении контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью, радиолинии для устройства пользователя через целевой узел доступа системы связи.
8. Способ по п. 7, в котором целостность сообщения слоя без доступа защищают с использованием криптографического ключа, ранее созданного в связи с контекстом безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью, или по меньшей мере часть сообщения слоя без доступа шифруют с использованием криптографического ключа, ранее созданного в связи с контекстом безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью.
9. Способ по п. 8, в котором криптографический ключ представляет собой ключ контроля целостности, ранее созданный в связи с контекстом безопасности слоя без доступа, ранее установленным между устройством пользователя и узлом управления мобильностью.
10. Способ по п. 8, в котором криптографический ключ извлекают с использованием количества сообщений восходящей линии связи или количества сообщений нисходящей линии связи.
11. Способ по п. 4, в котором сообщение слоя без доступа и второе сообщение слоя без доступа шифруют с использованием криптографического ключа, созданного из контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью.
12. Машиночитаемый носитель данных, в котором имеется исполняемый программный код, который, при исполнении процессором, заставляет процессор выполнять способ по п. 1.
13. Устройство для восстановления радиолинии, содержащее:
узел сети, содержащий процессор и память и сконфигурированный так, чтобы функционировать в качестве узла управления мобильностью системы связи и поддерживать связь с устройством пользователя и одним или более узлами доступа системы связи, при этом узел сети дополнительно сконфигурирован так, чтобы по меньшей мере:
устанавливать, в системе связи, контекст безопасности слоя без доступа между устройством пользователя и узлом сети; и,
в ответ на отказ радиолинии между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, обеспечивать восстановление, в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом сети, радиолинии для устройства пользователя через целевой узел доступа системы связи.
14. Способ восстановления радиолинии, включающий:
установление, между устройством пользователя и узлом управления мобильностью системы связи, контекста безопасности слоя без доступа; и,
в ответ на отказ радиолинии между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, инициирование восстановления радиолинии через целевой узел доступа системы связи путем отправки сообщения слоя без доступа из устройства пользователя в узел управления мобильностью системы связи через целевой узел доступа с использованием контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью, причем сообщение слоя без доступа указывает на то, что произошел отказ радиолинии, при этом устройство пользователя содержит процессор и память, сконфигурированные для инициирования восстановления радиолинии.
15. Способ по п. 14, в котором сообщение слоя без доступа защищено с использованием криптографического ключа, ранее созданного в связи с контекстом безопасности слоя без доступа между устройством пользователя и узлом управления мобильностью.
16. Способ по п. 15, дополнительно включающий
прием, в устройстве пользователя, из узла управления мобильностью посредством целевого узла доступа, второго сообщения слоя без доступа.
17. Способ по п. 14, в котором система связи представляет собой сеть узкополосного Интернета вещей (NB-IoT), а устройство пользователя представляет собой устройство пользователя сотовой сети IoT (CIoT).
18. Способ по п. 15, в котором криптографический ключ представляет собой ключ контроля целостности, ранее созданный в связи с контекстом безопасности слоя без доступа, ранее установленным между устройством пользователя и узлом управления мобильностью.
19. Способ по п. 18, в котором криптографический ключ извлекают с использованием количества сообщений восходящей линии связи или количества сообщений нисходящей линии связи.
20. Способ по п. 16, в котором целостность по меньшей мере одного из сообщения слоя без доступа и второго сообщения слоя без доступа защищают с использованием криптографического ключа, ранее созданного в связи с контекстом безопасности слоя без доступа, ранее установленным между устройством пользователя и узлом управления мобильностью, или по меньшей мере часть сообщения слоя без доступа или второго сообщения слоя без доступа шифруют с использованием криптографического ключа, ранее созданного в связи с контекстом безопасности слоя без доступа, ранее установленным между устройством пользователя и узлом управления мобильностью.
21. Машиночитаемый носитель данных, в котором имеется исполняемый программный код, который, при исполнении процессором, заставляет процессор выполнять способ по п. 14.
22. Устройство для восстановления радиолинии, содержащее
процессор и память, при этом устройство сконфигурировано так, чтобы по меньшей мере:
устанавливать, между устройством и узлом управления мобильностью системы связи, контекст безопасности слоя без доступа; и,
в ответ на отказ радиолинии между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, инициировать восстановление радиолинии через целевой узел доступа системы связи путем отправки сообщения слоя без доступа из устройства в узел управления мобильностью системы связи через целевой узел доступа с использованием контекста безопасности слоя без доступа, ранее установленного между устройством и узлом управления мобильностью, при этом сообщение слоя без доступа указывает на то, что произошел отказ радиолинии.
23. Способ восстановления радиолинии, включающий:
установление, в системе связи, контекста безопасности слоя без доступа между устройством пользователя и узлом управления мобильностью системы связи;
прием, в узле управления мобильностью, в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью системы связи, сообщения слоя без доступа от устройства пользователя посредством целевого узла доступа системы связи; и
в случае, если сообщение слоя без доступа, принятое от устройства пользователя, указывает на отказ радиолинии, произошедший между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, восстановление, посредством узла управления мобильностью, при сохранении контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью, радиолинии для устройства пользователя через целевой узел доступа системы связи, при этом целостность сообщения слоя без доступа защищают с использованием ключа контроля целостности, связанного с контекстом безопасности слоя без доступа, ранее установленным между устройством пользователя и узлом управления мобильностью.
24. Способ по п. 23, в котором ключ контроля целостности генерируют с использованием по меньшей мере количества сообщений восходящей линии связи или количества сообщений нисходящей линии связи.
25. Способ по п. 23, дополнительно включающий
проверку, в узле управления мобильностью, идентификации устройства пользователя с использованием ключа контроля целостности.
26. Способ по п. 25, дополнительно включающий
инициирование, в узле управления мобильностью, установки интерфейса сигнализации с целевым узлом доступа.
27. Способ по п. 26, дополнительно включающий
передачу из узла управления мобильностью, в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью системы связи, второго сообщения слоя без доступа в устройство пользователя через целевой узел доступа, при этом целостность второго сообщения слоя без доступа защищают с использованием ключа контроля целостности, созданного из контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью.
28. Способ по п. 27, в котором второе сообщение слоя без доступа включает индикацию того, что узел управления мобильностью подтверждает, что произошел отказ радиолинии между устройством пользователя и исходным узлом доступа.
29. Способ по п. 28, в котором второе сообщение слоя без доступа содержит данные, связанные с передачей данных.
30. Способ по п. 29, в котором данные представляют собой предыдущие буферизованные данные и/или новые данные.
31. Способ по п. 29, в котором данные шифруют с использованием криптографического ключа, созданного во время установления контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью.
32. Способ по п. 31, в котором криптографический ключ содержит криптографический ключ слоя без доступа.
33. Способ по п. 25, дополнительно включающий
извлечение, узлом управления мобильностью, буферизованных данных, связанных с передачей данных из исходного узла доступа.
34. Способ по п. 23, в котором отказ радиолинии обнаруживается устройством пользователя.
35. Способ по п. 23, в котором отказ радиолинии обнаруживается исходным узлом доступа.
36. Способ по п. 23, в котором контекст безопасности слоя без доступа между устройством пользователя и исходным узлом доступа не устанавливается.
37. Способ по п. 23, в котором система связи представляет собой сеть узкополосного Интернета вещей (NB-IoT), а устройство пользователя представляет собой устройство пользователя сотовой сети IoT (CIoT).
38. Способ по п. 23, в котором исходный узел доступа и целевой узел доступа содержат базовую станцию, отличающуюся от узла управления мобильностью системы связи.
39. Способ по п. 23, в котором сообщение слоя без доступа содержит по меньшей мере часть количества сообщений слоя без доступа.
40. Способ по п. 39, в котором сообщение слоя без доступа содержит запрос на повторное установление соединения управления радиоресурсами от устройства пользователя и принимается от устройства пользователя через целевой узел доступа и в котором сообщение слоя без доступа содержит запрос о том, чтобы узел управления мобильностью аутентифицировал запрос на повторное установление соединения управления радиоресурсами от устройства пользователя на основе указанной по меньшей мере части количества сообщений слоя без доступа.
41. Способ по п. 40, дополнительно включающий
оценку количества сообщений слоя без доступа с использованием упомянутой по меньшей мере части количества сообщений слоя без доступа.
42. Способ по п. 41, дополнительно включающий:
в случае, если узел управления мобильностью принимает упомянутое сообщение слоя без доступа, содержащее упомянутый запрос на повторное установление соединения управления радиоресурсами и упомянутый запрос о том, чтобы узел управления мобильностью аутентифицировал запрос на повторное установление соединения управления радиоресурсами, аутентификацию, с использованием узла управления мобильностью, запроса на повторное установление соединения управления радиоресурсами, принятого от устройства пользователя, на основе по меньшей мере одного из следующего: количества сообщений слоя без доступа, идентификатора, связанного с целевым узлом доступа, или ключа контроля целостности, связанного с контекстом безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью.
43. Способ по п. 23, в котором целевой узел доступа представляет собой узел доступа, отличающийся от исходного узла доступа.
44. Способ по п. 23, в котором операцию передачи данных выполняют с использованием оптимизации усовершенствованной пакетной системы (EPS) плоскости управления Интернета вещей в сетях сотовой связи (CIoT).
45. Устройство для восстановления радиолинии, содержащее: один или более процессор и одну или более память, в которой хранятся программные инструкции, которые при их выполнении одним или более процессором, обеспечивают выполнение устройством по меньшей мере:
установления, в системе связи, контекста безопасности слоя без доступа между устройством пользователя и упомянутым устройством;
приема, в упомянутом устройстве в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и упомянутым устройством, сообщения слоя без доступа от устройства пользователя через целевой узел доступа системы связи; и,
в случае, если сообщение слоя без доступа, принятое от устройства пользователя, указывает на отказ радиолинии, произошедший между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, обеспечения восстановления радиолинии для устройства пользователя посредством целевого узла доступа системы связи с использованием контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и упомянутым устройством, при этом целостность сообщения слоя без доступа защищают с использованием ключа контроля целостности, связанного с контекстом безопасности слоя без доступа, ранее установленного между устройством пользователя и упомянутым устройством.
46. Устройство по п. 45, в котором ключ контроля целостности генерируется с использованием по меньшей мере количества сообщений восходящей линии связи или количества сообщений нисходящей линии связи.
47. Устройство по п. 45, в котором программные инструкции при их выполнении одним или более процессорами дополнительно обеспечивают выполнение устройством по меньшей мере проверки, с использованием ключа контроля целостности, идентификации устройства пользователя.
48. Устройство по п. 47, в котором программные инструкции при их выполнении одним или более процессорами дополнительно обеспечивают выполнение устройством по меньшей мере инициирования установки интерфейса сигнализации с целевым узлом доступа.
49. Устройство по п. 48, в котором программные инструкции при их выполнении одним или более процессорами дополнительно обеспечивают выполнение устройством по меньшей мере передачи, в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и упомянутым устройством, второго сообщения слоя без доступа в устройство пользователя через целевой узел доступа, при этом целостность второго сообщения слоя без доступа защищают с использованием ключа контроля целостности, созданного из контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и упомянутым устройством.
50. Устройство по п. 49, в котором второе сообщение слоя без доступа включает индикацию того, что устройство подтверждает, что произошел отказ радиолинии между устройством пользователя и исходным узлом доступа.
51. Устройство по п. 50, в котором второе сообщение слоя без доступа содержит данные, связанные с передачей данных.
52. Устройство по п. 51, в котором данные представляют собой ранее буферизованные данные и/или новые данные.
53. Устройство по п. 51, в котором данные шифруют с использованием криптографического ключа, созданного во время установления контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и упомянутым устройством.
54. Устройство по п. 53, в котором криптографический ключ содержит криптографический ключ слоя без доступа.
55. Устройство по п. 47, в котором программные инструкции при их выполнении одним или более процессорами дополнительно обеспечивают выполнение устройством по меньшей мере извлечения буферизованных данных, связанных с передачей данных из исходного узла доступа.
56. Устройство по п. 45, в котором отказ радиолинии обнаруживается устройством пользователя.
57. Устройство по п. 45, в котором отказ радиолинии обнаруживается исходным узлом доступа.
58. Устройство по п. 45, в котором контекст безопасности слоя без доступа между устройством пользователя и исходным узлом доступа не устанавливается.
59. Устройство по п. 45, в котором система связи представляет собой сеть узкополосного Интернета вещей (NB-IoT), а устройство пользователя представляет собой устройство пользователя сотовой сети IoT (CIoT).
60. Устройство по п. 45, в котором исходный узел доступа и целевой узел доступа содержат базовую станцию, отличающуюся от упомянутого устройства.
61. Устройство по п. 45, в котором сообщение слоя без доступа представляет собой по меньшей мере часть количества сообщений слоя без доступа.
62. Устройство по п. 61, в котором сообщение слоя без доступа содержит запрос на повторное установление соединения управления радиоресурсами от устройства пользователя и принимается от устройства пользователя через целевой узел доступа и в котором сообщение слоя без доступа содержит запрос о том, чтобы упомянутое устройство аутентифицировало запрос на повторное установление соединения управления радиоресурсами от устройства пользователя по меньшей мере на основе указанной по меньшей мере части количества сообщений слоя без доступа.
63. Устройство по п. 62, дополнительно включающее
оценку количества сообщений слоя без доступа с использованием упомянутой по меньшей мере части количества сообщений слоя без доступа.
64. Устройство по п. 63, дополнительно содержащее:
в случае, если упомянутое устройство принимает упомянутое сообщение слоя без доступа, содержащее упомянутый запрос на повторное установление соединения управления радиоресурсами, и упомянутый запрос о том, чтобы упомянутое устройство аутентифицировало запрос на повторное установление соединения управления радиоресурсами, аутентификацию запроса на повторное установление соединения управления радиоресурсами, принятого от устройства пользователя, на основе по меньшей мере одного из следующего: количества сообщений слоя без доступа, идентификатора, связанного с целевым узлом доступа, или ключа контроля целостности, связанного с контекстом безопасности слоя без доступа, ранее установленного между устройством пользователя и упомянутым устройством.
65. Устройство по п. 45, в котором целевой узел доступа представляет собой узел доступа, отличающийся от исходного узла доступа.
66. Устройство по п. 45, в котором операция передачи данных выполняется с использованием оптимизации усовершенствованной пакетной системы (EPS) плоскости управления Интернета вещей в сетях сотовой связи (CIoT).
67. Машиночитаемый носитель данных для восстановления радиолинии, в котором имеется исполняемый программный код, который, при исполнении процессором, заставляет процессор выполнять:
установление, в системе связи, контекста безопасности слоя без доступа между устройством пользователя и узлом управления мобильностью системы связи;
прием, в узле управления мобильностью, в контексте безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью системы связи, сообщения слоя без доступа от устройства пользователя посредством целевого узла доступа системы связи; и
в случае, если сообщение слоя без доступа, принятое от устройства пользователя, указывает на отказ радиолинии, произошедший между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, восстановление, посредством узла управления мобильностью, при сохранении контекста безопасности слоя без доступа, ранее установленного между устройством пользователя и узлом управления мобильностью, радиолинии для устройства пользователя через целевой узел доступа системы связи, при этом целостность сообщения слоя без доступа защищают с использованием ключа контроля целостности, связанного с контекстом безопасности слоя без доступа, ранее установленным между устройством пользователя и узлом управления мобильностью.
68. Способ восстановления радиолинии, включающий:
установление контекста безопасности слоя без доступа между устройством пользователя и узлом управления мобильностью системы связи посредством исходного узла доступа системы связи; и
в случае, если отказ радиолинии происходит между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, инициирование восстановления радиолинии для устройства пользователя, через целевой узел доступа системы связи, путем передачи сообщения слоя без доступа из устройства пользователя в узел управления мобильностью системы связи через целевой узел доступа, при этом сообщение слоя без доступа указывает, что произошел отказ радиолинии, при этом целостность сообщения слоя без доступа защищают с использованием ключа контроля целостности, связанного с контекстом безопасности слоя без доступа, ранее установленным между устройством пользователя и узлом управления мобильностью.
69. Способ по п. 68, в котором сообщение слоя без доступа включает по меньшей мере часть количества сообщений слоя без доступа.
70. Способ по п. 69, дополнительно включающий:
генерацию, с использованием по меньшей мере количества сообщений слоя без доступа, упомянутой по меньшей мере части количества сообщений слоя без доступа; и
включение упомянутой по меньшей мере части количества сообщений слоя без доступа в сообщение слоя без доступа.
71. Способ по п. 68, в котором сообщение слоя без доступа содержит запрос на повторное установление соединения управления радиоресурсами.
72. Способ по п. 69, в котором сообщение слоя без доступа содержит запрос о том, чтобы узел управления мобильностью аутентифицировал запрос на повторное установление соединения управления радиоресурсами.
73. Способ по п. 67, в котором целевой узел доступа представляет собой узел доступа, отличающийся от исходного узла доступа.
74. Способ по п. 67, в котором система связи представляет собой сеть узкополосного Интернета вещей (NB-IoT), при этом упомянутое устройство представляет собой устройство пользователя сотовой сети IoT (CIoT), а операция передачи данных выполняется с использованием оптимизации усовершенствованной пакетной системы (EPS) плоскости управления Интернета вещей в сетях сотовой связи (CIoT).
75. Устройство для восстановления радиолинии, содержащее: один или более процессор; и одну или более память, в которой хранятся программные инструкции, которые при их выполнении одним или более процессором, обеспечивают выполнение устройством по меньшей мере:
установления контекста безопасности слоя без доступа между упомянутым устройством и узлом управления мобильностью системы связи посредством исходного узла доступа системы связи; и
в случае, если отказ радиолинии происходит между упомянутым устройством и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, инициирования восстановления радиолинии для упомянутого устройства, через целевой узел доступа системы связи, путем передачи упомянутым устройством сообщения слоя без доступа в узел управления мобильностью системы связи через целевой узел доступа, при этом сообщение слоя без доступа указывает, что произошел отказ радиолинии, при этом целостность сообщения слоя без доступа защищают с использованием ключа контроля целостности, связанного с контекстом безопасности слоя без доступа, ранее установленным между упомянутым устройством и узлом управления мобильностью.
76. Устройство по п. 75, в котором сообщение слоя без доступа представляет собой по меньшей мере часть количества сообщений слоя без доступа.
77. Устройство по п. 76, в котором программные инструкции при выполнении их одним или более процессорами дополнительно обеспечивают выполнение устройством по меньшей мере:
генерации, с использованием по меньшей мере количества сообщений слоя без доступа, упомянутой по меньшей мере части количества сообщений слоя без доступа; и
включения упомянутой по меньшей мере части количества сообщений слоя без доступа в сообщение слоя без доступа.
78. Устройство по п. 76, в котором сообщение слоя без доступа содержит запрос на повторное установление соединения управления радиоресурсами.
79. Устройство по п. 78, в котором сообщение слоя без доступа содержит запрос о том, чтобы узел управления мобильностью аутентифицировал запрос на повторное установление соединения управления радиоресурсами.
80. Устройство по п. 75, в котором целевой узел доступа представляет собой узел доступа, отличающийся от исходного узла доступа.
81. Устройство по п. 75, в котором система связи представляет собой сеть узкополосного Интернета вещей (NB-IoT), при этом упомянутое устройство представляет собой устройство пользователя сотовой сети IoT (CIoT), а операция передачи данных выполняется с использованием оптимизации усовершенствованной пакетной системы (EPS) плоскости управления Интернета вещей в сетях сотовой связи (CIoT).
82. Машиночитаемый носитель данных для восстановления радиолинии, в котором имеется исполняемый программный код, который, при исполнении процессором, заставляет процессор выполнять:
установление контекста безопасности слоя без доступа между устройством пользователя и узлом управления мобильностью системы связи через исходный узел доступа системы связи; и
в случае, если отказ радиолинии происходит между устройством пользователя и исходным узлом доступа системы связи во время операции передачи данных через плоскость управления, инициирование восстановления радиолинии для устройства пользователя через целевой узел доступа системы связи путем передачи сообщения слоя без доступа из устройства пользователя в узел управления мобильностью системы связи через целевой узел доступа, при этом сообщение слоя без доступа указывает, что произошел отказ радиолинии, при этом целостность сообщения слоя без доступа защищают с использованием ключа контроля целостности, связанного с контекстом безопасности слоя без доступа, ранее установленным между устройством пользователя и узлом управления мобильностью.
