Безопасность на связанном с предоставлением доступа уровне в системе беспроводной связи

Уровень техники

Защита системы беспроводной связи заключает в себе защиту целостности и/или конфиденциальности передаваемой в ходе связи информации. Система по стандарту долгосрочного развития (LTE), например, предписывает то, что связь в пользовательской плоскости на связанном с предоставлением доступа уровне (AS) между абонентским устройством (UE) и сетью радиодоступа (RAN) должна защищаться с точки зрения конфиденциальности, и что связь в плоскости управления на AS должна защищаться с точки зрения как целостности, так и конфиденциальности. Тем не менее, негибкое требование этого вида безопасности без исключения может не требоваться во всех обстоятельствах, поскольку оно может оказаться излишне емким в отношении сетевых ресурсов, мощности, пропускной способности системы и т.д. Тем не менее, разрешение AS-безопасности в пользовательской плоскости быть необязательной вводит сложности в обеспечении того, что обеспечение безопасности избирательно активируется, если есть необходимость, и остается деактивированным, если нет необходимости.

Сущность изобретения

Согласно некоторым вариантам осуществления в данном документе, базовая сеть (CN) принимает решение в отношении того, должен или нет узел сети радиодоступа (RAN) активировать обеспечение безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости, например, в форме защиты целостности и/или защиты конфиденциальности в пользовательской плоскости. Тем не менее, следует отметить, что CN указывает для RAN-узла то, разрешает CN или нет RAN-узлу отклонять это решение посредством CN. В некоторых вариантах осуществления, это эффективно обеспечивает возможность CN выбирать между (i) абсолютной принудительной активацией решения CN в качестве команды, которой должен соответствовать RAN-узел, например, в качестве условия необходимости для RAN-узла обслуживать сеанс в пользовательской плоскости; и (ii) гибким предложением решения CN в качестве запроса или предпочтения, которое RAN-узел может просто учитывать, например, наряду с другой информацией, доступной локально в RAN-узле. Таким образом, CN может централизованно обеспечивать абсолютное управление активацией обеспечения AS-безопасности в пользовательской плоскости или отсрочивать/распределять, по меньшей мере, часть этого управления в RAN-узел. CN, например, может не разрешать RAN-узлу отклонять свое решение по активации обеспечения безопасности, если информация в CN (например, относительно чувствительности, типа или приоритета трафика пользовательской плоскости) предлагает то, что решение CN должно перекрывать или перевешивать любой ввод, который RAN-узел может иметь относительно желательности или выполнимости активации обеспечения безопасности (например, влияние активации обеспечения безопасности на нагрузку или эффективность по мощности RAN-узла).

В этих и других контекстах, в силу этого некоторые варианты осуществления в данном документе преимущественно конфигурируют AS-безопасность в пользовательской плоскости надежным способом, который гибко распределяет принятие решений по активации обеспечения безопасности между CN и RAN при необходимости учитывать информацию, доступную локально в CN и RAN, при строгой централизации принятия решений по активации обеспечения безопасности для CN при необходимости абсолютно приоритезировать информацию, доступную в CN. В свою очередь, это позволяет поддерживать безопасность в пользовательской плоскости с точки зрения конфиденциальности и/или защиты целостности, а также упрощать балансировку нагрузки, эффективность использования радиоресурсов и эффективность по мощности в сети.

Более конкретно, варианты осуществления в данном документе включают в себя способ для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN). Способ осуществляется посредством RAN-узла в RAN. Способ содержит прием, из CN, служебных сигналов, которые указывают решение посредством CN в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости, и которые указывают то, разрешается или нет RAN-узлу отклонять решение посредством CN. Способ в некоторых вариантах осуществления также включает в себя активацию или не активацию обеспечения AS-безопасности в пользовательской плоскости, в зависимости от передачи служебных сигналов.

В некоторых вариантах осуществления, способ содержит активацию или не активацию обеспечения AS-безопасности в пользовательской плоскости, дополнительно в зависимости от информации, указывающей способность или желательность для RAN-узла активировать обеспечение AS-безопасности в пользовательской плоскости.

В некоторых вариантах осуществления, способ дополнительно содержит определение того, следует или нет активировать обеспечение AS-безопасности в пользовательской плоскости, на основе одного или более из следующего: уровень нагрузки RAN-узла; эффективность или доступность мощности в RAN-узле; и авторизация CN на то, чтобы активировать обеспечение AS-безопасности в пользовательской плоскости; и режим RAN-узла.

В некоторых вариантах осуществления, передача служебных сигналов применяется, в частности, для конкретного сеанса в пользовательской плоскости и принимается во время процедуры для установления сеанса в пользовательской плоскости для конкретного устройства беспроводной связи.

В некоторых вариантах осуществления, способ дополнительно содержит выполнение одного или более действий, когда решение посредством CN состоит в том, что RAN-узел должен активировать обеспечение AS-безопасности в пользовательской плоскости, RAN-узлу не разрешается отклонять решение посредством CN, и RAN-узел не имеет возможность, или CN не авторизуется на то, чтобы активировать обеспечение AS-безопасности в пользовательской плоскости. Одно или более действий включают в себя отмену, отклонение или отбрасывание сеанса в пользовательской плоскости либо установление сеанса в пользовательской плоскости.

В некоторых вариантах осуществления, решение посредством CN представляет собой решение в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты целостности в пользовательской плоскости, либо представляет собой решение в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты конфиденциальности в пользовательской плоскости.

В некоторых вариантах осуществления, решение принимается посредством CN-узла, который выполняет управление сеансами в пользовательской плоскости.

В некоторых вариантах осуществления, передача служебных сигналов указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN, посредством указания того, представляет собой решение посредством CN команду, которой должен соответствовать RAN-узел, или предпочтение, которое RAN-узлу разрешается отклонять.

Варианты осуществления в данном документе также включают в себя способ для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN). Способ осуществляется посредством CN-узла в CN. Способ содержит принятие решения посредством CN в отношении того, должен или нет RAN-узел в RAN активировать обеспечение AS-безопасности в пользовательской плоскости. Способ также содержит передачу служебных сигналов, которые указывают решение посредством CN, и которые указывают то, разрешается или нет RAN-узлу отклонять решение посредством CN.

В некоторых вариантах осуществления, способ дополнительно содержит определение того, разрешается или нет RAN-узлу отклонять решение, на основе и/или, в частности, для одного или более из следующего: конкретный тип AS-безопасности в пользовательской плоскости; конкретный тип или приоритет обслуживания, для которого трафик пользовательской плоскости должен передаваться по AS в пользовательской плоскости; конкретное местоположение или тип местоположения RAN-узла; конкретный уровень нагрузки RAN-узла; конкретный тип или приоритет абонента, трафик пользовательской плоскости которого должен представлять собой связь по AS в пользовательской плоскости; и конкретное время или событие.

В некоторых вариантах осуществления, передача служебных сигналов применяется, в частности, для конкретного сеанса в пользовательской плоскости и передается во время процедуры для установления сеанса в пользовательской плоскости для конкретного устройства беспроводной связи.

В некоторых вариантах осуществления, решение представляет собой решение в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты целостности в пользовательской плоскости, либо представляет собой решение в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты конфиденциальности в пользовательской плоскости.

В некоторых вариантах осуществления, CN-узел выполнен с возможностью выполнять управление сеансами в пользовательской плоскости.

В некоторых вариантах осуществления, передача служебных сигналов указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN, посредством указания того, представляет собой решение посредством CN команду, которой должен соответствовать RAN-узел, или предпочтение, которое RAN-узлу разрешается отклонять.

Варианты осуществления также включают в себя соответствующее оборудование, компьютерные программы и передающие среды. Например, варианты осуществления включают в себя узел сети радиодоступа (RAN) для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя RAN и базовую сеть (CN). RAN-узел выполнен с возможностью (например, через схему связи и схему обработки) принимать, из CN, служебные сигналы, которые указывают решение посредством CN в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости, и которые указывают то, разрешается или нет RAN-узлу отклонять решение посредством CN; и активировать или не активировать обеспечение AS-безопасности в пользовательской плоскости, в зависимости от передачи служебных сигналов.

Варианты осуществления, кроме того, включают в себя базовый сетевой (CN) узел для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN). CN-узел выполнен с возможностью (например, через схему связи и схему обработки) принимать решение посредством CN в отношении того, должен или нет RAN-узел в RAN активировать обеспечение AS-безопасности в пользовательской плоскости; и передавать служебные сигналы, которые указывают решение посредством CN, и которые указывают то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Краткое описание чертежей

Фиг. 1 является блок-схемой системы беспроводной связи согласно некоторым вариантам осуществления.

Фиг. 2A является логической блок-схемой последовательности операций способа, осуществляемого посредством RAN-узла согласно некоторым вариантам осуществления.

Фиг. 2B является логической блок-схемой последовательности операций способа, осуществляемого посредством RAN-узла согласно другим вариантам осуществления.

Фиг. 2C является логической блок-схемой последовательности операций способа, осуществляемого посредством RAN-узла согласно еще другим вариантам осуществления.

Фиг. 3A является логической блок-схемой последовательности операций способа, осуществляемого посредством CN-узла согласно некоторым вариантам осуществления.

Фиг. 3B является логической блок-схемой последовательности операций способа, осуществляемого посредством CN-узла согласно другим вариантам осуществления.

Фиг. 3C является логической блок-схемой последовательности операций способа, осуществляемого посредством CN-узла согласно еще другим вариантам осуществления.

Фиг. 4 является логической блок-схемой последовательности операций способа, осуществляемого посредством беспроводного устройства согласно некоторым вариантам осуществления.

Фиг. 5A является блок-схемой CN-узла согласно некоторым вариантам осуществления.

Фиг. 5B является блок-схемой CN-узла согласно другим вариантам осуществления.

Фиг. 6A является блок-схемой RAN-узла согласно некоторым вариантам осуществления.

Фиг. 6B является блок-схемой RAN-узла согласно другим вариантам осуществления.

Фиг. 7A является блок-схемой беспроводного устройства согласно некоторым вариантам осуществления.

Фиг. 7B является блок-схемой беспроводного устройства согласно другим вариантам осуществления.

Фиг. 8 является блок-схемой 5G-сети согласно некоторым вариантам осуществления.

Фиг. 9 является блок-схемой последовательности сигналов запрашиваемого UE установления PDU-сеансов для отсутствия роуминга и роуминга с локальным разбиением.

Фиг. 10 является блок-схемой последовательности сигналов инициированного UE запроса на предоставление услуг в CM-бездействующем состоянии.

Фиг. 11 является блок-схемой последовательности сигналов некоторых вариантов осуществления для переопределения CN-управления по RAN CN-решения UP AS-безопасности.

Фиг. 12 является блок-схемой сети связи с хост-компьютером согласно некоторым вариантам осуществления.

Фиг. 13 является блок-схемой хост-компьютера согласно некоторым вариантам осуществления.

Фиг. 14 является блок-схемой последовательности операций, иллюстрирующей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления.

Фиг. 15 является блок-схемой последовательности операций, иллюстрирующей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления.

Фиг. 16 является блок-схемой последовательности операций, иллюстрирующей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления.

Фиг. 17 является блок-схемой последовательности операций, иллюстрирующей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления.

Подробное описание изобретения

Фиг. 1 показывает систему 10 беспроводной связи (например, 5G-систему) согласно некоторым вариантам осуществления. Система 10 включает в себя базовую сеть 10A (CN) и сеть 10B радиодоступа (RAN). RAN 10B включает в себя один или более RAN-узлов 12 (например, одну или более базовых станций) для предоставления радиодоступа к устройствам 14 беспроводной связи, одно из которых показывается. Через этот радиодоступ, устройство 14 беспроводной связи соединяется с CN 10A, которая в свою очередь может предоставлять устройству 14 беспроводной связи доступ к одной или более внешних сетей, таких как Интернет. CN 10A, например, может включать в себя различные CN-узлы, такие как узел, реализующий функцию доступа и мобильности (AMF), и узел, реализующий функцию управления сеансами (SMF).

С точки зрения структуры протоколов, система 10 разделяется на связанный с предоставлением доступа уровень (AS) и не связанный с предоставлением доступа уровень (NAS). AS содержит протоколы, которые обрабатывают действия между устройством 14 беспроводной связи и RAN 10B, например, для транспортировки данных по радиосоединению и управления радиоресурсами. NAS содержит протоколы, которые обрабатывают действия между устройством 14 беспроводной связи, и CN 10A, например, для установления сеансов связи и поддержания постоянной связи по мере того, как устройство 14 беспроводной связи перемещается. Система 10 также разделяется на пользовательскую плоскость (UP) и плоскость управления (CP). Плоскость управления содержит протоколы, регулирующие управление однонаправленными транспортными каналами, тогда как пользовательская плоскость содержит протоколы, регулирующие транспортировку пользовательского трафика.

Фиг. 1, в частности, показывает пользовательскую плоскость (UP) связанного с предоставлением доступа уровня (AS) 18 в качестве части системы 10, регулирующей транспортировку пользовательского трафика между устройством 14 беспроводной связи и RAN 10B. Система 10 поддерживает безопасность 18S для защиты UP AS 18, например, в форме защиты целостности и/или защиты конфиденциальности (с использованием шифрования или шифровки). Тем не менее, активация или использование этой UP AS-безопасности 18S является необязательной в некоторых вариантах осуществления, по меньшей мере, в том смысле, что могут быть предусмотрены некоторые условия, при которых обеспечению UP AS-безопасности 18S разрешается оставаться деактивированным (вместо безусловного предписывания посредством системы 10 того, что обеспечение UP AS-безопасности всегда должно активироваться). Когда активация обеспечения UP AS-безопасности 18S является необязательной, решение принимается в системе 10 относительно того, следует или нет активировать обеспечение UP AS-безопасности 18S.

В частности, согласно некоторым вариантам осуществления в данном документе, CN 10A принимает решение в отношении того, должен или нет RAN-узел 12 активировать обеспечение UP AS-безопасности 18S, например, в форме защиты целостности и/или защиты конфиденциальности в пользовательской плоскости. Фиг. 1 показывает это решение как принимаемое посредством CN-узла 16, например, который выполняет управление сеансами в пользовательской плоскости, к примеру, посредством реализации функции управления сеансами (SMF) в CN на основе 5G или нового стандарта радиосвязи (NR). CN-узел 16 выполняет передачу 20 служебных сигналов, чтобы передавать в служебных сигналах это решение прямо или косвенно в RAN 10B. В некоторых вариантах осуществления, например, CN-узел 16 передает в служебных сигналах индикатор 20A активации, который указывает решение CN в отношении того, должен или нет RAN-узел 12 активировать обеспечение AS-безопасности 18S в пользовательской плоскости. RAN-узел 12, соответственно, получает этот индикатор 20A активации (например, посредством приема индикатора 20A из передачи 20 служебных сигналов) и использует индикатор 20A, чтобы определять то, следует или нет активировать обеспечение UP AS-безопасности 18S. Фиг. 1, например, показывает то, что контроллер 12A безопасности RAN-узла 12 получает индикатор 20A активации и управляет активацией обеспечения UP AS-безопасности на основе индикатора 20A активации.

Тем не менее, следует отметить, что RAN-узел 12 также получает индикатор 22 разрешения на отклонение. Индикатор разрешения на отклонение указывает то, разрешается или нет RAN-узлу 12 (например, посредством CN 10A) отклонять решение по активации посредством CN 10A. В некоторых вариантах осуществления, CN 10A передает в служебных сигналах то, разрешается или нет RAN-узлу 12 (например, посредством CN 10A) отклонять решение по активации посредством CN 10A, например, посредством передачи в служебных сигналах индикатора 22 разрешения на отклонение прямо или косвенно в RAN-узел 12. Например, CN 10A может передавать в служебных сигналах индикатор 22 разрешения на отклонение в сообщении 24, адресованном или иначе распространяемом в RAN-узел 22 (например, вместе с индикатором 20A активации). Альтернативно, CN 10A может передавать в служебных сигналах индикатор 22 разрешения на отклонение посредством записи индикатора 22 в файл 12A в или иным образом получаемый посредством RAN-узла 12 посредством сохранения индикатора 22 в базе 26 данных (DB), доступной для RAN-узла 12 и т.п. В этих случаях, затем RAN-узел 12 получает индикатор 22 разрешения на отклонение посредством приема индикатора 22 из сообщения 24, считывания индикатора 22 из файла 12A или осуществления выборки индикатора 22 из базы 26 данных. Тем не менее, в еще других вариантах осуществления, индикатор 22 разрешения на отклонение может сохраняться в конфигурации 12B RAN-узла 12, например, так что RAN-узел 12 предварительно конфигурируется с индикатором 22 разрешения на отклонение. В этом случае, RAN-узел 12 получает индикатор разрешения на отклонение посредством извлечения его из конфигурации 12B.

В любом случае, контроллер 12A безопасности RAN-узла 12 может активировать или не активировать обеспечение UP AS-безопасности 18S, в зависимости от решения CN и на этом, разрешается или нет RAN-узлу 12 отклонять это решение, например, в зависимости от индикатора 20A активации и индикатора 22 разрешения на отклонение. Например, если индикатор 22 разрешения на отклонение указывает то, что RAN-узлу 12 не разрешается отклонять решение CN, RAN-узел 12 может безусловно придерживаться этого решения таким образом, чтобы активировать или не активировать обеспечение UP AS-безопасности 18S в соответствии с решением CN (например, если RAN-узел 12 имеет возможность достигать этого). Но если индикатор 20B разрешения на отклонение указывает то, что RAN-узлу 12 разрешается отклонять решение CN, RAN-узел 12 выполнен с возможностью автономно выбирать то, следует или нет активировать обеспечение UP AS-безопасности 18S, например, с учетом решения CN, а также другой информации, доступной локально в RAN-узле 12.

Некоторые варианты осуществления в силу этого эффективно обеспечивают возможность (например, через индикатор 22 разрешения на отклонение) системе 10 выбирать между абсолютной (i) абсолютной принудительной активацией решения CN в качестве команды, которой должен соответствовать RAN-узел 12, например, в качестве условия необходимости для RAN-узла 12 обслуживать сеанс в пользовательской плоскости; и (ii) гибким предложением решения CN в качестве запроса или предпочтения, которое RAN-узел 12 может просто учитывать, например, наряду с другой информацией, доступной локально в RAN-узле 12. Таким образом, CN 10A может централизованно обеспечивать абсолютное управление активацией обеспечения AS-безопасности в пользовательской плоскости или отсрочивать/распределять, по меньшей мере, часть этого управления в RAN-узел 12. Система 10, например, может не разрешать RAN-узлу 12 отклонять решение по активации обеспечения безопасности CN, если информация в CN 10A предлагает то, что решение CN должно перекрывать или перевешивать любой ввод, который RAN-узел 12 может иметь относительно желательности или выполнимости активации обеспечения безопасности. В этих и других контекстах, в силу этого некоторые варианты осуществления в данном документе преимущественно конфигурируют AS-безопасность 18S в пользовательской плоскости надежным способом, который гибко распределяет принятие решений по активации обеспечения безопасности между CN 10A и RAN 10B при необходимости учитывать информацию, доступную локально в CN 10A и RAN 10B, при строгой централизации принятия решений по активации обеспечения безопасности для CN 10A при необходимости абсолютно приоритезировать информацию, доступную в CN 10A.

Более конкретно в некоторых вариантах осуществления, решение CN и/или то, может или нет решение отклоняться (например, один или оба из индикаторов 20A, 20B), может быть сконфигурировано (например, посредством CN-узла 16) на основе определенных правил сетевых политик и/или правил политик подписки, например, которые могут быть доступны для CN 10A, но не для RAN 10B. Эти правила могут указывать то, что решение CN и/или то, может или нет решение отклоняться (например, индикаторы 20A, 20B), должно задаваться на основе определенной информации. Если задана посредством CN-узла 16, эта определенная информация может быть доступной в CN-узле 16 (но не в RAN 10B).

Информация может, например, относиться к чувствительности, типу или приоритету трафика пользовательской плоскости, который должен передаваться по UP AS 18. Например, если трафик пользовательской плоскости считается очень чувствительным или высокоприоритетным, индикаторы 20A, 20B могут указывать то, что CN 10A определяет необходимость активировать обеспечение UP AS-безопасности 18S, и то, что RAN-узлу 12 не разрешается переопределять решение CN. Но если трафик пользовательской плоскости является менее чувствительным или более низкоприоритетным, индикатор 20B разрешения на отклонение может указывать то, что RAN-узлу 12 разрешается переопределять решение CN.

Аналогично, информация может относиться к типу или приоритету обслуживания, для которого трафик пользовательской плоскости должен передаваться по UP AS 18. Например, если трафик пользовательской плоскости должен передаваться для услуги на основе стандарта Интернета вещей (IoT), индикаторы 20A, 20B могут указывать то, что CN 10A определяет необходимость активировать обеспечение UP AS-безопасности 18S, и то, что RAN-узлу 12 не разрешается переопределять решение CN. Но если трафик пользовательской плоскости должен передаваться для услуги передачи видео, индикатор 20B разрешения на отклонение может указывать то, что RAN-узлу 12 разрешается переопределять решение CN.

В еще других вариантах осуществления, информация альтернативно или дополнительно может относиться к типу или приоритету абонента(ов), трафик пользовательской плоскости которого должен передаваться по UP AS 18. Например, если абонент, трафик пользовательской плоскости которого должен передаваться по UP AS 18, является президентом страны, индикаторы 20A, 20B могут указывать то, что CN 10A определяет необходимость активировать обеспечение UP AS-безопасности 18S, и то, что RAN-узлу 12 не разрешается переопределять решение CN. Но если абонент, трафик пользовательской плоскости которого должен передаваться по UP AS 18, является абонентом сети общего пользования, индикатор 20B разрешения на отклонение может указывать то, что RAN-узлу 12 разрешается переопределять решение CN.

Альтернативно или дополнительно, информация может относиться к конкретному времени или событию, в ходе которого трафик пользовательской плоскости должен передаваться по UP AS 18. Например, если трафик пользовательской плоскости должен передаваться по UP AS 18 во время всеобщих выборов, индикаторы 20A, 20B могут указывать то, что CN 10A определяет необходимость активировать обеспечение UP AS-безопасности 18S, и то, что RAN-узлу 12 не разрешается переопределять решение CN. Но если трафик пользовательской плоскости должен передаваться по UP AS 18 во время Олимпийских игр или некоторого другого события с меньшим приоритетом, индикатор 20B разрешения на отклонение может указывать то, что RAN-узлу 12 разрешается переопределять решение CN.

В еще одних других вариантах осуществления, информация может относиться к конкретному местоположению или типу местоположения RAN-узла 12. Например, если RAN-узел 12 расположен в общественном месте или некотором другом менее защищенном местоположении, индикаторы 20A, 20B могут указывать то, что CN 10A определяет необходимость активировать обеспечение UP AS-безопасности 18S, и то, что RAN-узлу 12 не разрешается переопределять решение CN. Но если RAN-узел 12 расположен в физически уединенном помещении или некотором другом более защищенном местоположении, индикатор 20B разрешения на отклонение может указывать то, что RAN-узлу 12 разрешается переопределять решение CN.

Если RAN-узлу 12 разрешается переопределять решение CN, RAN-узел 12 может непосредственно учитывать определенную информацию при автономном определении того, следует или нет активировать обеспечение UP AS-безопасности 18S. Эта информация может, например, относиться к способности или желательности для RAN-узла 12 активировать обеспечение UP AS-безопасности. Например, информация может отражать влияние активации обеспечения безопасности на уровень нагрузки RAN-узла 12, эффективность или доступность мощности в RAN-узле 12 либо на нагрузку, эффективность или доступность использования радиоресурсов в RAN 10B. В некоторых вариантах осуществления, например, RAN-узел 12 может выбирать не активировать обеспечение UP AS-безопасности 18S, если высокий уровень нагрузки или низкий уровень доступности мощности в RAN-узле 16 или радиоресурсов в системе 10 предлагает то, что такая активация является невозможной или нежелательной. В конкретном примере, затем RAN-узел 12 может быть выполнен с возможностью не активировать обеспечение UP AS-безопасности 18S, когда уровень нагрузки RAN-узла достигает определенного уровня, рассматриваемый в качестве перегрузки, например, вследствие обслуживания большого числа устройств беспроводной связи одновременно. В этом случае, RAN-узел 12 приоритезирует эффективность вычислений выше UP AS-безопасности 18S, когда индикатор 20B разрешения на отклонение разрешает RAN-узлу 12 достигать этого.

Альтернативно или дополнительно, информация может относиться к режиму RAN-узла 12, такому как энергосберегающий режим, в котором RAN-узел 12 может не допускать активации обеспечения UP AS-безопасности 18S. Например, если RAN-узел 12 работает в энергосберегающем режиме, RAN-узел 12 может не активировать обеспечение UP AS-безопасности 18S таким образом, чтобы приоритезировать эффективность работы от аккумулятора выше UP AS-безопасности 18S, когда индикатор 20B разрешения на отклонение разрешает RAN-узлу 12 достигать этого.

В еще одних других вариантах осуществления, информация может относиться к авторизации CN 10A активировать обеспечение AS-безопасности 18S в пользовательской плоскости. Например, в некоторых вариантах осуществления, в которых CN 10A и RAN 10B принадлежат и управляются посредством различных сторон, несколько базовых сетей могут совместно использовать идентичную RAN 10B. Это может означать то, что RAN-сторона, продающая RAN-услуги, согласует различные политики с каждой из CN-сторон, управляющих базовыми сетями, и некоторые CN-стороны могут не быть авторизованы посредством RAN-стороны на то, чтобы активировать обеспечение UP AS-безопасности. Соответственно, RAN-узел 12 может не активировать обеспечение AS-безопасности 18S в пользовательской плоскости, если CN 10A не авторизуется на то, чтобы активировать его, например, независимо от индикатора 22 разрешения на отклонение.

Независимо от конкретной информации в CN 10A и RAN 10B, CN-узел 16 и/или RAN-узел 16 могут выполнять одно или более действий, когда решение посредством CN 10A состоит в том, что RAN-узел 16 должен активировать обеспечение AS-безопасности 18S в пользовательской плоскости, когда, согласно индикатору 20B разрешения на отклонение, RAN-узлу 16 не разрешается отклонять решение посредством CN 10A, и когда RAN-узел 16 не имеет возможность (или CN 10A не авторизуется) активировать обеспечение UP AS-безопасности 18S. Действие(я), например, может включать в себя отмену, отклонение или отбрасывание сеанса в пользовательской плоскости либо установление сеанса в пользовательской плоскости. Это эффективно обеспечивает соответствие решению CN активировать обеспечение UP AS-безопасности 18S или соответствие такому требованию, что такая безопасность 18S должна авторизоваться, причем невозможность соответствовать приводит к отмене, отклонению или отбрасыванию UP-сеанса либо установлению UP-сеанса. Это может быть основано на таком объяснении, что незащищенный UP AS (или защищенный, но неавторизованный UP AS) является более вредным, чем отсутствие UP AS вообще.

Тем не менее, в попытке спасать UP-сеанс, действие(я) альтернативно (или сначала) может включать в себя наведение устройства беспроводной связи на другой RAN-узел. Например, если устройство 14 беспроводной связи установило или устанавливает сеанс в пользовательской плоскости с RAN-узлом 12, RAN-узел 12 может передавать служебные сигналы в устройство 14, которые наводят устройство 14 на другой RAN-узел для установления сеанса в пользовательской плоскости с этим другим RAN-узлом вместо этого. Передача служебных сигналов в некоторых вариантах осуществления включает в себя индикатор причины, который указывает причину наведения (например, неспособность или нежелательность UP AS-активации в RAN-узле 16). При условии такой причины, устройство 14 может определять то, следует соединяться с другим RAN-узлом или просто продолжать с RAN-узлом 12 без UP AS-безопасности. Независимо, RAN-узел 12 в некоторых вариантах осуществления выбирает другой RAN-узел на основе определенной информации, аналогичной информации, описанной выше, но относительно другого RAN-узла, т.е. таким образом, чтобы характеризовать способность или желательность другого RAN-узла активировать обеспечение UP AS-безопасности. Например, RAN-узел 12 может выбирать другой RAN-узел на основе информации, описывающей влияние активации обеспечения безопасности на уровень нагрузки другого RAN-узла, эффективность или доступность мощности в другом RAN-узле и т.п., например, таким образом, чтобы выбирать другой RAN-узел, который имеет лучшую возможность или иным образом позиционируется с возможностью активировать обеспечение UP AS-безопасности.

По меньшей мере, некоторые варианты осуществления в таком случае преимущественно обеспечивают то, что UP AS-безопасность 18S избирательно активируется или деактивируется таким способом, который целостно учитывает релевантную информацию, распределенную по всей системе 10 между CN 10A и RAN 10B. В свою очередь, это может обеспечивать то, что обеспечение UP AS-безопасности 18S активируется для трафика пользовательской плоскости, услуг или абонентов, которые являются достаточно важными для того, чтобы оправдывать предписывание этой активации, но в то же время разрешают RAN 10B при некоторых обстоятельствах воздерживаться от активации, в пользу управления своей нагрузкой, использованием радиоресурсов, эффективностью по мощности и т.п.

Следует отметить, что решение CN и/или то, может или нет решение отклоняться (например, индикатор 20A активации и/или индикатор 22 разрешения на отклонение), в некоторых вариантах осуществления задается или является применимым, в частности, для конкретного сеанса в пользовательской плоскости, т.е. на конкретной для UP-сеанса основе. Например, в некоторых вариантах осуществления, CN определяет то, следует или нет активировать обеспечение UP AS-безопасности 18S для конкретного UP-сеанса, а также передает в служебных сигналах то, разрешается или нет RAN-узлу 16 отклонять это решение для конкретного UP-сеанса. Фактически, в этих и других вариантах осуществления, CN-узел 16 может передавать в служебных сигналах индикатор 22 разрешения на отклонение в RAN-узел 12 во время процедуры для установления UP-сеанса для конкретного устройства 14 беспроводной связи (например, в процедуре или сообщении установления сеанса на основе пакетных единиц данных (PDU)). Индикатор 22 разрешения на отклонение и индикатор 20A активации могут даже быть включены в идентичное сообщение, передаваемое в служебных сигналов к RAN 10B. В этих и других вариантах осуществления, затем индикатор 22 разрешения на отклонение может быть конкретным для индикатора 20A активации таким образом, чтобы указывать то, разрешает или нет CN 10A RAN-узлу 16 отклонять решение, указываемое конкретно посредством индикатора 20A активации.

В других вариантах осуществления, в отличие от этого, решение CN и/или то, может или нет решение отклоняться (например, индикатор 20A активации и/или индикатор 22 разрешения на отклонение), в некоторых вариантах осуществления задается или является применимым для конкретной категории сеансов в пользовательской плоскости для любого сеанса в пользовательской плоскости, управляемого посредством конкретного CN-узла, и/или для любого сеанса в пользовательской плоскости, ассоциированного с конкретным сетевым срезом. В этих и других вариантах осуществления, индикатор 20A активации и/или индикатор 22 разрешения на отклонение могут передаваться в служебных сигналах посредством CN 10A, получаться посредством RAN-узла 12 и/или предварительно конфигурироваться в RAN-узле 12 перед установлением конкретного сеанса в пользовательской плоскости, для которого обеспечение UP AS-безопасности 18S активируется или деактивируется в зависимости от этих индикаторов 20A, 22. Индикатор(ы) 20A, 22, например, может указывать определенные условия, при которых индикатор(ы) применяется, например, таким образом, чтобы формировать детализированную политику для их применения. Например, индикатор 22 разрешения на отклонение может указывать то, что он применяется для конкретного типа UP AS-безопасности (например, конфиденциальности, но не целостности, защиты), для конкретного периода времени (например, воскресенья), для конкретного уровня нагрузки RAN-узла 16 (например, когда число соединенных устройств 14 беспроводной связи превышает 10000), и т.п. В этих и других примерах, то RAN-узел 16 может оценивать то, применяются или нет (или какие индикаторы 20A, 22 применяются) для определения того, должно или нет активироваться обеспечение UP AS-безопасности 18S для конкретного UP-сеанса, конкретной категории UP-сеансов и т.п.

Дополнительно следует отметить, что в некоторых вариантах осуществления, то, активируется или нет обеспечение UP AS-безопасности 18S, означает то, применяется или нет UP AS-безопасность 18S посредством RAN-узла 12 с любым типом алгоритма, то, представляет собой этот алгоритм ненулевой алгоритм или нулевой алгоритм, который не шифрует или защищает по целостности, на практике. В этих и других вариантах осуществления, индикатор 22 разрешения на отклонение может задаваться на основе того, активируется или нет обеспечение UP AS-безопасности 18S с нулевым или ненулевым алгоритмом, например, таким образом, чтобы не разрешать RAN-узлу 16 отклонять решение CN, если RAN-узел 16 активируется просто с нулевым алгоритмом. Тем не менее, в других вариантах осуществления, то, активируется или нет обеспечение UP AS-безопасности 18S, означает то, применяется или нет UP AS-безопасность 18S посредством RAN-узла 12 с ненулевым алгоритмом, т.е. то, активируется или нет обеспечение UP AS-безопасности 18S таким способом, который фактически шифрует и/или защищает по целостности, на практике.

С учетом вышеизложенных модификаций и варьирований, фиг. 2A показывает способ 100, осуществляемый посредством RAN-узла 16 для конфигурирования UP AS-безопасности 18S в соответствии с некоторыми вариантами осуществления. Способ 100 включает в себя получение индикатора 20A активации, который указывает решение посредством CN 10A в отношении того, должен или нет RAN-узел 16 активировать обеспечение AS-безопасности 18S в пользовательской плоскости (этап 102). Способ 100 также включает в себя получение индикатора 22 разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу (например, посредством CN 10A) отклонять решение посредством CN 10A (этап 104).

В некоторых вариантах осуществления, способ 100 дополнительно включает в себя активацию или не активацию обеспечения UP AS-безопасности 18S, в зависимости от индикатора 20A активации и индикатора 22 разрешения на отклонение (этап 106). Альтернативно или дополнительно, способ 100 дополнительно может включать в себя выполнение одного или более действий, когда решение посредством CN 10A состоит в том, что RAN-узел 16 должен активировать обеспечение AS-безопасности 18S в пользовательской плоскости, когда, согласно индикатору 22 разрешения на отклонение, RAN-узлу 16 не разрешается отклонять решение посредством CN 10A, и когда RAN-узел 16 не имеет возможность, или CN 10A не авторизуется на то, чтобы активировать обеспечение AS-безопасности 18S в пользовательской плоскости (этап 108). Например, действие(я) может включать в себя отмену, отклонение или отбрасывание сеанса в пользовательской плоскости либо установление сеанса в пользовательской плоскости или наведение устройства 14 беспроводной связи на другой RAN-узел.

Фиг. 3A, соответственно, показывает способ 200, осуществляемый посредством CN-узла 16 для конфигурирования UP AS-безопасности 18S согласно некоторым вариантам осуществления. Способ 200 включает в себя передачу в служебных сигналах индикатора 20A активации, который указывает решение посредством CN 10A в отношении того, должен или нет RAN-узел 16 активировать обеспечение AS-безопасности 18S в пользовательской плоскости (этап 202). Способ 200 также включает в себя передачу в служебных сигналах индикатора 22 разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу (например, посредством CN 10A) отклонять решение посредством CN 10A (этап 204).

В некоторых вариантах осуществления, способ 200 дополнительно может включать в себя выполнение одного или более действий, когда решение посредством CN 10A состоит в том, что RAN-узел 16 должен активировать обеспечение AS-безопасности 18S в пользовательской плоскости, когда, согласно индикатору 22 разрешения на отклонение, RAN-узлу 16 не разрешается отклонять решение посредством CN 10A, и когда RAN-узел 16 не имеет возможность, или CN 10A не авторизуется на то, чтобы активировать обеспечение AS-безопасности 18S в пользовательской плоскости (этап 206). Например, действие(я) может включать в себя увеличение ресурсов, доступных в RAN-узле для AS-безопасности в пользовательской плоскости, и/или модификацию решения и/или индикатора разрешения на отклонение, чтобы разрешать установление сеанса в пользовательской плоскости без AS-безопасности в пользовательской плоскости (вместо отмены, отклонения или отбрасывания сеанса в пользовательской плоскости).

Фиг. 2B показывает способ 110, осуществляемый посредством RAN-узла 16 для конфигурирования UP AS-безопасности 18S в соответствии с другими вариантами осуществления, в которых передача 20 служебных сигналов указывает решение CN и то, может или нет отклоняться решение. Способ 110 включает в себя прием служебных сигналов 20, которые указывают решение посредством CN 10A в отношении того, должен или нет RAN-узел 16 активировать обеспечение AS-безопасности 18S в пользовательской плоскости, и которые указывают то, разрешается или нет RAN-узлу (например, посредством CN 10A) отклонять решение посредством CN 10A (этап 112).

В некоторых вариантах осуществления, способ 110 дополнительно включает в себя активацию или не активацию обеспечения UP AS-безопасности 18S, в зависимости от передачи 20 служебных сигналов (этап 114). Альтернативно или дополнительно, способ 110 дополнительно может включать в себя выполнение одного или более действий, когда решение посредством CN 10A состоит в том, что RAN-узел 16 должен активировать обеспечение AS-безопасности 18S в пользовательской плоскости, когда RAN-узлу 16 не разрешается отклонять решение посредством CN 10A, и когда RAN-узел 16 не имеет возможность, или CN 10A не авторизуется на то, чтобы активировать обеспечение AS-безопасности 18S в пользовательской плоскости (этап 116). Например, действие(я) может включать в себя отмену, отклонение или отбрасывание сеанса в пользовательской плоскости либо установление сеанса в пользовательской плоскости или наведение устройства 14 беспроводной связи на другой RAN-узел.

Фиг. 3B, соответственно, показывает способ 210, осуществляемый посредством CN-узла 16 для конфигурирования UP AS-безопасности 18S согласно некоторым вариантам осуществления. Способ 210 включает в себя принятие решения (CN) в отношении того, должен или нет RAN-узел 16 активировать обеспечение UP AS-безопасности (этап 212). Способ 210 дополнительно включает в себя передачу служебных сигналов 20, которые указывают решение посредством CN 10A в отношении того, должен или нет RAN-узел 16 активировать обеспечение AS-безопасности 18S в пользовательской плоскости, и которые указывают то, разрешается или нет RAN-узлу (например, посредством CN 10A) отклонять решение посредством CN 10A (этап 214).

В некоторых вариантах осуществления, способ 210 дополнительно может включать в себя выполнение одного или более действий, когда решение посредством CN 10A состоит в том, что RAN-узел 16 должен активировать обеспечение AS-безопасности 18S в пользовательской плоскости, когда RAN-узлу 16 не разрешается отклонять решение посредством CN 10A, и когда RAN-узел 16 не имеет возможность, или CN 10A не авторизуется на то, чтобы активировать обеспечение AS-безопасности 18S в пользовательской плоскости (этап 216). Например, действие(я) может включать в себя увеличение ресурсов, доступных в RAN-узле для AS-безопасности в пользовательской плоскости, и/или модификацию решения и/или индикатора разрешения на отклонение, чтобы разрешать установление сеанса в пользовательской плоскости без AS-безопасности в пользовательской плоскости (вместо отмены, отклонения или отбрасывания сеанса в пользовательской плоскости).

Фиг. 2C показывает способ 120, осуществляемый посредством RAN-узла 16 для конфигурирования UP AS-безопасности 18S в соответствии с еще одними другими вариантами осуществления. Способ 120 включает в себя прием служебных сигналов 20, которые указывают то, представляет собой или решение посредством CN 10A в отношении того, чтобы активировать или нет обеспечение AS-безопасности 18S в пользовательской плоскости, команду, которой должен соответствовать RAN-узел 16, или предпочтение, которое RAN-узлу 16 разрешается отклонять (этап 122).

В некоторых вариантах осуществления, способ 120 дополнительно включает в себя активацию или не активацию обеспечения UP AS-безопасности 18S, в зависимости от передачи 20 служебных сигналов (этап 124). Альтернативно или дополнительно, способ 110 дополнительно может включать в себя выполнение одного или более действий, когда решение посредством CN 10A состоит в том, что RAN-узел 16 должен активировать обеспечение AS-безопасности 18S в пользовательской плоскости, когда RAN-узлу 16 не разрешается отклонять решение посредством CN 10A, и когда RAN-узел 16 не имеет возможность, или CN 10A не авторизуется на то, чтобы активировать обеспечение AS-безопасности 18S в пользовательской плоскости (этап 126). Например, действие(я) может включать в себя отмену, отклонение или отбрасывание сеанса в пользовательской плоскости либо установление сеанса в пользовательской плоскости или наведение устройства 14 беспроводной связи на другой RAN-узел.

Фиг. 3C, соответственно, показывает способ 220, осуществляемый посредством CN-узла 16 для конфигурирования UP AS-безопасности 18S согласно другим вариантам осуществления. Способ 220 включает в себя принятие решения (CN) в отношении того, должен или нет RAN-узел 16 активировать обеспечение UP AS-безопасности (этап 222). Способ 220 дополнительно включает в себя передачу служебных сигналов 20, которые указывают то, представляет собой или решение посредством CN 10A в отношении того, чтобы активировать или нет обеспечение AS-безопасности 18S в пользовательской плоскости, команду, которой должен соответствовать RAN-узел 16, или предпочтение, которое RAN-узлу 16 разрешается отклонять (этап 224).

В некоторых вариантах осуществления, способ 220 дополнительно может включать в себя выполнение одного или более действий, когда решение посредством CN 10A состоит в том, что RAN-узел 16 должен активировать обеспечение AS-безопасности 18S в пользовательской плоскости, когда RAN-узлу 16 не разрешается отклонять решение посредством CN 10A, и когда RAN-узел 16 не имеет возможность, или CN 10A не авторизуется на то, чтобы активировать обеспечение AS-безопасности 18S в пользовательской плоскости (этап 226). Например, действие(я) может включать в себя увеличение ресурсов, доступных в RAN-узле для AS-безопасности в пользовательской плоскости, и/или модификацию решения и/или индикатора разрешения на отклонение, чтобы разрешать установление сеанса в пользовательской плоскости без AS-безопасности в пользовательской плоскости (вместо отмены, отклонения или отбрасывания сеанса в пользовательской плоскости).

Фиг. 4 показывает способ 300, осуществляемый посредством устройства 14 беспроводной связи согласно некоторым вариантам осуществления. Способ 300 включает в себя, в ответ на неспособность RAN-узла 16 в RAN 10B активировать обеспечение UP AS-безопасности 18S согласно решению посредством CN 10A в отношении того, что RAN-узлу не разрешается (например, посредством CN 10A) отклонять, прием служебных сигналов, наводящих устройство 14 беспроводной связи на то, чтобы устанавливать сеанс в пользовательской плоскости с другим RAN-узлом (этап 310). Способ 300 в некоторых вариантах осуществления также может включать в себя попытку устанавливать сеанс в пользовательской плоскости с другим RAN-узлом в соответствии с принимаемыми служебными сигналами (этап 320).

Дополнительно следует отметить, что оборудование, описанное выше, может осуществлять способы в данном документе и любую другую обработку посредством реализации любых функциональных средств, модулей, блоков или схем. В одном варианте осуществления, например, оборудование содержит соответствующие схемы или схему, выполненную с возможностью выполнять этапы, показанные на чертежах способа. Схемы или схема в этом отношении могут содержать схемы, выделенные выполнению определенной функциональной обработки, и/или один или более микропроцессоров в сочетании с запоминающим устройством. Например, схема может включать в себя один или более микропроцессоров или микроконтроллеров, а также другие цифровые аппаратные средства, которые могут включать в себя процессоры цифровых сигналов (DSP), цифровую логику специального назначения и т.п. Схема обработки может быть выполнена с возможностью выполнять программный код, сохраненный в запоминающем устройстве, которое может включать в себя один или более типов запоминающего устройства, таких как постоянное запоминающее устройство (ROM), оперативное запоминающее устройство (RAM), кэш-память, устройства флэш-памяти, оптические устройства хранения данных и т.д. Программный код, сохраненный в запоминающем устройстве, может включать в себя программные инструкции для выполнения одного или более протоколов связи и/или обмена данными, а также инструкции для выполнения одного или более технологий, описанных в данном документе, в некоторых вариантах осуществления. В вариантах осуществления, которые используют запоминающее устройство, запоминающее устройство сохраняет программный код, который, при выполнении посредством одного или более процессоров, выполняет технологии, описанные в данном документе.

Базовый сетевой узел 16, как описано выше, может реализовывать функцию доступа и мобильности (AMF) и/или функцию управления сеансами (SMF), по меньшей мере, в некоторых вариантах осуществления. Независимо, базовый сетевой узел 16 может выполнять любую обработку в данном документе посредством реализации любых функциональных средств или блоков. В одном варианте осуществления, например, базовый сетевой узел 16 содержит соответствующие схемы или схему, выполненную с возможностью выполнять любой из этапов, показанных на фиг. 3. Схемы или схема в этом отношении могут содержать схемы, выделенные выполнению определенной функциональной обработки, и/или один или более микропроцессоров в сочетании с запоминающим устройством. В вариантах осуществления, которые используют запоминающее устройство, которое может содержать один или более типов запоминающего устройства, таких как постоянное запоминающее устройство (ROM), оперативное запоминающее устройство, кэш-память, устройства флэш-памяти, оптические устройства хранения данных и т.д., запоминающее устройство сохраняет программный код, который, при выполнении посредством одного или более процессоров, выполняет технологии, описанные в данном документе.

Фиг. 5A иллюстрирует базовый сетевой узел 400 в соответствии с одним или более вариантов осуществления. Базовый сетевой узел 400 может соответствовать, например, базовому сетевому узлу 16, поясненному в данном документе как выполняющему передачу 20 служебных сигналов и/или другую обработку в данном документе. Независимо от этого, как показано, базовый сетевой узел 400 включает в себя схему 410 обработки и схему 420 связи. Схема 420 связи выполнена с возможностью передавать и/или принимать информацию в и/или из одного или более других узлов, например, через любую технологию связи. Схема 410 обработки выполнена с возможностью выполнять обработку, описанную выше, например, на фиг. 3A, 3B и/или 3C, к примеру, посредством выполнения инструкций, сохраненных в запоминающем устройстве 430. Схема 410 обработки в этом отношении может реализовывать определенные функциональные средства, блоки или модули.

Фиг. 5B иллюстрирует базовый сетевой узел 500, реализованный в соответствии с одним или более других вариантов осуществления. Базовый сетевой узел 500 может соответствовать, например, базовому сетевому узлу 16, поясненному в данном документе как выполняющему передачу 20 служебных сигналов и/или другую обработку в данном документе. Независимо от этого, как показано, базовый сетевой узел 500 реализует различные функциональные средства, блоки или модули, например, через схему 410 обработки на фиг. 5A и/или через программный код. Эти функциональные средства, блоки или модули, например, для реализации любого из этапов на фиг. 3A, 3B и/или 3C включают в себя, например, блок или модуль 510 передачи служебных сигналов для передачи служебных сигналов 20. В некоторых вариантах осуществления, например, для реализации способа 100 на фиг. 3A, блок или модуль 510 передачи служебных сигналов для передачи в служебных сигналах индикатора 20A активации, который указывает решение посредством CN 10A в отношении того, должен или нет RAN-узел 16 активировать обеспечение AS-безопасности 18S в пользовательской плоскости, и для передачи в служебных сигналах индикатора 22 разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу (например, посредством CN 10A) отклонять решение посредством CN 10A. Также может включаться блок или модуль 520 принятия решений для принятия решения в отношении того, должен или нет RAN-узел 16 активировать обеспечение UP AS-безопасности 18S и/или для определения того, разрешается или нет RAN-узлу 16 отклонять это решение.

Аналогично, сетевое радиоустройство, как описано выше, может выполнять любую обработку в данном документе посредством реализации любых функциональных средств или блоков. В одном варианте осуществления, например, сетевое радиоустройство содержит соответствующие схемы или схему, выполненную с возможностью выполнять любой из этапов, показанных на любом из фиг. 2A-2C. Схемы или схема в этом отношении могут содержать схемы, выделенные выполнению определенной функциональной обработки, и/или один или более микропроцессоров в сочетании с запоминающим устройством. В вариантах осуществления, которые используют запоминающее устройство, которое может содержать один или более типов запоминающего устройства, таких как постоянное запоминающее устройство (ROM), оперативное запоминающее устройство, кэш-память, устройства флэш-памяти, оптические устройства хранения данных и т.д., запоминающее устройство сохраняет программный код, который, при выполнении посредством одного или более процессоров, выполняет технологии, описанные в данном документе.

Фиг. 6A иллюстрирует сетевой радиоузел 600 в соответствии с одним или более вариантов осуществления. Сетевой радиоузел 600 может соответствовать сетевому радиоузлу 12, описанному на фиг. 1. Как показано, сетевой радиоузел 600 включает в себя схему 610 обработки и схему 620 связи. Схема 620 связи выполнена с возможностью передавать и/или принимать информацию в и/или из одного или более других узлов, например, через любую технологию связи. Схема 610 обработки выполнена с возможностью выполнять обработку, описанную выше, например, на фиг. 2A, 2B и/или 2C, к примеру, посредством выполнения инструкций, сохраненных в запоминающем устройстве 630. Схема 610 обработки в этом отношении может реализовывать определенные функциональные средства, блоки или модули.

Фиг. 6B иллюстрирует сетевой радиоузел 700, реализованный в соответствии с одним или более других вариантов осуществления. Сетевой радиоузел 700 может соответствовать сетевому радиоузлу 12, описанному на фиг. 1. Как показано, сетевой радиоузел 700 реализует различные функциональные средства, блоки или модули, например, через схему 610 обработки на фиг. 6A и/или через программный код. Эти функциональные средства, блоки или модули, например, для реализации любого из этапов на фиг. 2A, включают в себя, например, блок или модуль 1010 получения для получения индикатора 20A активации, который указывает решение посредством CN 10A в отношении того, должен или нет RAN-узел 16 активировать обеспечение AS-безопасности 18S в пользовательской плоскости и блок, или модуль 720 получения индикаторов разрешения на отклонение для получения индикатора 22 разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу (например, посредством CN 10A) отклонять решение посредством CN 10A. Также может включаться блок или модуль 730 управления безопасностью для активации или деактивации обеспечения UP AS-безопасности 18S, в зависимости от индикатора 20A активации и индикатора 22 разрешения на отклонение. Дополнительно может включаться блок или модуль 740 выполнения действий для выполнения одного или более действий, когда решение посредством CN 10A состоит в том, что RAN-узел 16 должен активировать обеспечение AS-безопасности 18S в пользовательской плоскости, когда, согласно индикатору 22 разрешения на отклонение, RAN-узлу 16 не разрешается отклонять решение посредством CN 10A, и когда RAN-узел 16 не имеет возможность, или CN 10A не авторизуется на то, чтобы активировать обеспечение AS-безопасности 18S в пользовательской плоскости.

Фиг. 7A иллюстрирует устройство 14 беспроводной связи (например, UE), реализованное в соответствии с одним или более вариантов осуществления. Как показано, устройство 14 беспроводной связи включает в себя схему 800 обработки и схему 810 связи. Схема 810 связи (например, радиосхема) выполнена с возможностью передавать и/или принимать информацию в и/или из одного или более других узлов, например, через любую технологию связи. Эта связь может возникать через одну или более антенн, которые являются внутренними или внешними относительно устройства 14 беспроводной связи. Схема 800 обработки выполнена с возможностью выполнять обработку, описанную выше, к примеру, посредством выполнения инструкций, сохраненных в запоминающем устройстве 820. Схема 800 обработки в этом отношении может реализовывать определенные функциональные средства, блоки или модули.

Фиг. 7B иллюстрирует принципиальную блок-схему устройства 14 беспроводной связи согласно еще другим вариантам осуществления. Как показано, устройство 14 беспроводной связи реализует различные функциональные средства, блоки или модули, например, через схему 800 обработки на фиг. 7A и/или через программный код. Эти функциональные средства, блоки или модули, например, для реализации способа(ов) в данном документе включают в себя, например, блок или модуль 900 передачи служебных сигналов для приема служебных сигналов, наводящих устройство 14 беспроводной связи на то, чтобы устанавливать сеанс в пользовательской плоскости с другим RAN-узлом. Также может включаться блок или модуль 910 наведения для попытки устанавливать сеанс в пользовательской плоскости с другим RAN-узлом в соответствии с принимаемыми служебными сигналами.

Специалисты в данной области техники также должны принимать во внимание, что варианты осуществления в данном документе дополнительно включают в себя соответствующие компьютерные программы.

Компьютерная программа содержит инструкции, которые при выполнении, по меньшей мере, на одном процессоре оборудования, выполненном с возможностью использования в системе беспроводной связи, инструктируют оборудованию выполнять любую соответствующую обработку, описанную выше. Компьютерная программа в этом отношении может содержать один или более кодовых модулей, соответствующих средствам или блокам, описанным выше.

Варианты осуществления дополнительно включают в себя передающую среду, содержащую такую компьютерную программу. Эта передающая среда может содержать одно из электронного сигнала, оптического сигнала, радиосигнала или компьютерно-читаемого носителя хранения данных.

В этом отношении, варианты осуществления в данном документе также включают в себя компьютерный программный продукт, сохраненный на энергонезависимом компьютерно-читаемом носителе (хранения или записи) и содержащий инструкции, которые, при выполнении посредством процессора оборудования, инструктируют оборудованию работать так, как описано выше.

Варианты осуществления дополнительно включают в себя компьютерный программный продукт, содержащий части программного кода для выполнения этапов любого из вариантов осуществления в данном документе, когда компьютерный программный продукт выполняется посредством оборудования. Этот компьютерный программный продукт может сохраняться на компьютерно-читаемом носителе записи.

Хотя варианты осуществления выше описываются относительно AS-безопасности в пользовательской плоскости, варианты осуществления могут в равной степени распространяться на другие типы AS-безопасности, например, AS плоскости управления, до такой степени, в которой другие типы AS-безопасности являются необязательными таким образом, чтобы требовать решения относительно их активации.

Ниже описываются дополнительные варианты осуществления. По меньшей мере, некоторые из этих вариантов осуществления могут описываться как применимые в определенных контекстах и/или типах беспроводных сетей (например, 5G) в качестве иллюстрации, но варианты осуществления аналогично применимыми являются в других контекстах и/или типах беспроводных сетей, не описанных явно. Соответственно, нижеприведенные варианты осуществления могут представлять собой конкретные примеры и/или иным образом комбинироваться с вариантами осуществления выше.

3GPP TS 23.501 описывает сетевую 5G-архитектуру. Урезанная упрощенная версия 5G-сети показана на фиг 8.

UE 40 (абонентское устройство) представляет собой мобильное устройство используемое пользователем для того, чтобы осуществлять доступ в беспроводном режиме к сети. UE 40, например, может представлять беспроводное устройство 14 по фиг. 1, реализованное для 5G-сети. Функция сети радиодоступа (RAN) или базовая станция, называемая "gNB 42 (узлом B следующего поколения)", регулирует предоставление беспроводной радиосвязи в UE и соединение UE с базовой сетью. GNB 42, например, может представлять RAN-узел 12 по фиг. 1, реализованный для 5G-сети. Функция базовой сети, называемая "AMF 44 (функцией управления доступом и мобильностью)" регулирует обработку мобильности UE, в числе других видов регулирования. Другая функция базовой сети, называемая "SMF 48 (функцией управления сеансами)", регулирует обработку наведения сеансов и трафика UE, в числе других видов регулирования. SMF 48 может представлять CN-узел 16 по фиг. 1, реализованный для 5G-сети. Еще одна другая функция базовой сети, называемая "UPF 46 (функцией пользовательской плоскости)", регулирует взаимное соединение с сетью передачи данных, маршрутизацию и перенаправление пакетов, в числе других видов регулирования.

UE 40 взаимодействует с gNB 42 по радиоинтерфейсу с использованием радиоинтерфейса. Радиоинтерфейсный трафик содержит как трафик управляющей плоскости, так и трафик пользовательской плоскости. Плоскость управления радиосвязью также называется "RRC (управлением радиоресурсами)". GNB 42 в свою очередь взаимодействует с AMF 44 с использованием интерфейса, называемого "N2". Интерфейс между AMF 44 и SMF 48 называется "N11". Аналогично, gNB 42 и UPF 46 взаимодействуют с использованием интерфейса, называемого "N3". Отсутствует прямой интерфейс между gNB 42 и SMF 48, в силу чего они взаимодействуют через AMF 44.

Логические аспекты между UE 40 и AMF 44 упоминаются как NAS (не связанный с предоставлением доступа уровень), а логические аспекты между UE 40 и gNB 42 упоминаются как AS (связанный с предоставлением доступа уровень). Соответственно, безопасность связи (плоскости управления и пользовательской плоскости, если применимо) упоминаются как NAS-безопасность и AS-безопасность, соответственно. AS-безопасность содержит защиту конфиденциальности и целостности трафика плоскости управления (т.е. RRC) и пользовательской плоскости.

В LTE-системе (стандарт долгосрочного развития, который обычно является известным как 4G), AS-безопасность является обязательной как для RRC, так и для пользовательской плоскости. Это означает то, что как конфиденциальность, так и защита целостности активируются для RRC, и конфиденциальность активируется для пользовательской плоскости. Отсутствует поддержка для защиты целостности пользовательской плоскости в LTE. Следует отметить, что предусмотрены алгоритмы нулевого шифрования и нулевой целостности в LTE, которые не шифруют и защищают по целостности RRC или трафик пользовательской плоскости на практике. Но согласно некоторым вариантам осуществления, эти нулевые алгоритмы представляют собой просто другой вид алгоритма, и в силу этого по-прежнему считается, что обеспечение AS-безопасности активируется, т.е. активируется с использованием нулевых алгоритмов.

В 5G-системе, AS-безопасность является обязательной для RRC, но с большой вероятностью должна быть необязательной для пользовательской плоскости. Это означает то, что то, что как конфиденциальность, так и защита целостности активируются для RRC; тем не менее, конфиденциальность и защита целостности с большой вероятностью должны быть необязательными для пользовательской плоскости.

В LTE-системе, поскольку активация обеспечения AS-безопасности является обязательной как для RRC, так и для трафика пользовательской плоскости, достаточно иметь одну процедуру, которая активирует обеспечение AS-безопасности как для RRC, так и для трафика пользовательской плоскости. Эта процедура известна как процедура на основе команд конфигурирования режима обеспечения AS-безопасности (см. раздел 7.2.4.5 в 3GPP TS 33.401). С большой вероятностью она более не должна иметь место в 5G-системе, поскольку активация обеспечения AS-безопасности является необязательной для трафика пользовательской плоскости. Непонятно то, представляет собой или нет процедура на основе команд конфигурирования режима обеспечения AS-безопасности правильную процедуру для активации обеспечения AS-безопасности в пользовательской плоскости, и если нет, то какой является правильная процедура, и то, какой узел или функция регулирует ее. Следовательно, активация AS-безопасности вводит новую сложность в 5G-систему.

Некоторые варианты осуществления в данном документе предоставляют механизм, в котором обеспечение AS-безопасности в пользовательской плоскости (т.е. защита конфиденциальности и целостности) активируется намеченным образом. Варианты осуществления могут предоставлять надежный механизм для активации обеспечения AS-безопасности в пользовательской плоскости. Устойчивость вводится посредством защиты от ситуации, когда обеспечение AS-безопасности в пользовательской плоскости не активируется, даже если решение активировать обеспечение AS-безопасности в пользовательской плоскости принято.

Обычно, в таком случае варианты осуществления в данном документе могут разрешать такую сложность, что когда CN отправляет индикатор в RAN в отношении того, что обеспечение AS-безопасности в пользовательской плоскости должно активироваться, RAN может не иметь возможность соответствовать по таким причинам, как, например, текущая перегрузка или нахождение в энергосберегающем режиме и неспособность активировать защиту целостности или конфиденциальность по причинам эффективности вычислений или эффективности работы от аккумулятора и т.д. Некоторые варианты осуществления предлагают то, что RAN может отклонять решение, принимаемое посредством CN по активации обеспечения AS-безопасности в пользовательской плоскости, только при разрешении осуществлять это посредством CN.

Причины таких вариантов осуществления приводятся далее. CN, а не RAN имеет доступ к правилам сетевых политик или правилам политик подписки, на основе которых CN принимает решение в отношении того, следует или нет активировать обеспечение AS-безопасности в пользовательской плоскости. Следовательно, RAN не находится в позиции, чтобы определять самостоятельно то, может или нет отклоняться решение CN. Например, если CN определяет необходимость активировать обеспечение AS-безопасности в пользовательской плоскости для UE, принадлежащих правоприменению, разрушительно, если RAN, только на основе своего локального состояния, отклоняет решение CN и не активирует обеспечение AS-безопасности в пользовательской плоскости. Дополнительно, также недостаточно того, что RAN информирует CN в отношении того, что решение CN отклонено посредством RAN. CN должна получать информацию в отношении того, что активация обеспечения AS-безопасности в пользовательской плоскости не проведена, но может быть слишком поздно до того, как CN может предпринимать любое корректирующее действие, например, данные восходящей/нисходящей линии связи уже отправлены по радиоинтерфейсу. Другими словами, ущерб может уже происходить до того, как CN принимает дополнительное решение. Следовательно, некоторые варианты осуществления считают допустимым только то, что CN имеет последнее слово касательно того, может или нет ее решение отклоняться посредством RAN. Это может осуществляться множеством способов, например, CN отправляет индикатор (разрешено или нет отклонение) в RAN наряду с решением активировать обеспечение AS-безопасности в пользовательской плоскости, CN отправляет индикатор (разрешено или нет отклонение) в RAN при установлении начального NGAP-контекста между RAN и CN, причем RAN предварительно конфигурируется с индикатором (разрешено или нет отклонение для определенного типа сеансов или UE) и т.д.

Например, способ, осуществляемый посредством gNB 42 для установления безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости, может содержать в некоторых вариантах осуществления: (i) получение индикатора donotOverrule из SMF 48, который указывает то, разрешается или нет gNB 42 отклонять первый индикатор, т.е. индикатор SMF для активации обеспечения AS-безопасности в пользовательской плоскости; (ii) получение первого индикатора из SMF 48, который представляет собой индикатор SMF для активации обеспечения AS-безопасности в пользовательской плоскости; и (iii) определение на основе индикатора donotOverrule того, следует или нет отклонять первый индикатор.

В некоторых вариантах осуществления, способ дополнительно может содержать определение того, что не может обеспечиваться соответствие первому индикатору.

Альтернативно или дополнительно, индикатор donotOverrule и первый индикатор могут получаться вместе. Например, индикатор donotOverrule и первый индикатор могут совместно указываться посредством комбинированного индикатора, который как указывает индикатор SMF для активации обеспечения AS-безопасности в пользовательской плоскости, так и указывает то, разрешается или нет gNB 42 отклонять первый индикатор.

В некоторых вариантах осуществления, способ дополнительно может содержать предпринятие действия.

Подробнее, следует отметить, что помимо gNB 42, RAN в 5G также должна состоять из eNB следующего поколения (ng-eNB), причем eNB (E-UTRAN-узла B или усовершенствованного узла B), что означает базовые станции, принадлежащие LTE. Тем не менее, такое различие не является очень важным для целей этого раскрытия сущности, и в силу этого раскрытие сущности относится только к gNB 42. Это служит для прозрачности описания, а не для ограничения вариантов осуществления в данном документе. Также следует отметить, что AS-безопасность в пользовательской плоскости содержит защиту конфиденциальности в пользовательской плоскости и целостности в пользовательской плоскости. Тем не менее, такое различие не является очень важным для целей этого раскрытия сущности, и в силу этого раскрытие сущности, в общем, должно относиться к AS-безопасности в пользовательской плоскости для прозрачности описания, а не для ограничения вариантов осуществления в данном документе. Дополнительно, термин "узел" может обозначать физический узел или функцию в сети.

Как пояснено выше, в 5G-системе, активация обеспечения AS-безопасности в пользовательской плоскости с большой вероятностью должна быть необязательной. Первая сложность в активации обеспечения AS-безопасности в пользовательской плоскости представляет собой решение в отношении того, какой узел управляет активацией. Поскольку AS-безопасность в пользовательской плоскости завершается в gNB 42, gNB 42 управляет активацией согласно некоторым вариантам осуществления. Тем не менее, gNB 42 представляет собой RAN-узел и не имеет доступа к правилам сетевых политик или правилам политик подписки, которые постоянно размещаются в базовой сети. Следовательно, gNB 42 не может представлять собой узел, который определяет то, должно или нет активироваться обеспечение AS-безопасности в пользовательской плоскости для конкретного UE 40. SMF 48, с другой стороны, представляет собой базовый сетевой узел и имеет доступ к правилам политик. SMF 48 также представляет собой узел, регулирующий управление сеансами в пользовательской плоскости. Следовательно, SMF 48 согласно некоторым вариантам осуществления представляет собой узел, который определяет то, должно или нет активироваться обеспечение AS-безопасности в пользовательской плоскости для конкретного UE 40. Хотя SMF 48 упоминается в описанных вариантах осуществления, некоторый другой базовый сетевой узел, например, AMF 46, вместо этого может определять активацию обеспечения AS-безопасности в пользовательской плоскости в других вариантах осуществления.

Согласно некоторым вариантам осуществления, SMF 48 отправляет первый индикатор gNB 42 (через AMF 46) относительно активации обеспечения AS-безопасности в пользовательской плоскости. GNB 42 затем активирует или не активирует обеспечение AS-безопасности в пользовательской плоскости на основе принимаемого первого индикатора из SMF 48. Фиг. 9 и 10 дополнительно иллюстрируют последовательности сигналов, процедуры, сообщения и поля, используемые между SMF 48 и gNB 42 для упомянутого первого индикатора (например, SMF_RUS_Pre). Следует отметить, что фиг. 9 и 10 поясняют только первый индикатор; они не поясняют или учитывают любой индикатор donotOverrule, который поясняется после фиг. 9 и 10. Вместо этого, фиг. 9 и 10 фактически помогают иллюстрировать проблему, которая возникает при использовании только первого индикатора (например, SMF_RUS_Pre).

На фиг. 9 и 10, предполагается, что имеется защитный уровень, поддерживающий как целостность, так и шифрование (или шифровку) для пользовательской плоскости (UP) между UE и RAN, т.е. gNB. Каждый раз, когда упоминается шифрование или целостность, это должно означать, соответственно, признак шифрования или защиты целостности на этом защитном уровне. В данный момент в LTE, что защитный уровень реализуется посредством PDCP-протокола. Предполагается, что в системах следующего поколения, идентичный защитный уровень должен быть реализован также посредством возможно улучшенной версии идентичного протокола, т.е. PDCP.

Сеть управляет UP-защитой по радиоинтерфейсу между UE и RAN. Под управлением подразумевается активация или деактивация целостности либо шифрования. Степень детализации такого управления может задаваться на уровне сетевого среза или даже PDU-сеанса. Это означает то, что сеть применяет средства управления аналогичным образом ко всему однонаправленному радиоканалу, транспортирующему UP на основе конкретного сетевого среза или даже возможно на основе конкретного PDU-сеанса.

Этот признак управления может быть реализован посредством механизма согласования между сетью и UE, в котором UE может указывать свое предпочтение касательно того, чтобы активировать или деактивировать шифрование или целостность на различных уровнях детализации. Это осуществляется в расчете на сетевой срез или в расчете на PDU-сеанс.

Предпочтения UE могут сохраняться в UDM, т.е. включаться в информацию по подписке. Они также могут предварительно конфигурироваться в UE. Собственная сеть может помогать в принятии решений посредством указания для обслуживающей сети того, какие средства управления являются предпочтительными и на каком уровне детализации.

Гостевая сеть должна осуществлять выбор политики в зависимости от того, должно использоваться или нет завершение шифрования и/или целостности, на основе индикатора, принимаемого из собственной сети, предпочтения UE и политики, сконфигурированной для гостевой сети (например, в SMF). Базовая сеть может указывать для UE на NAS-уровне результат такого решения.

Базовая сеть должна информировать RAN в отношении того, должно или нет использоваться шифрование и/или целостность, в расчете на идентификатор среза или в расчете на PDU-сеанс. Эта информация отправляется по N2-интерфейсу между базовой сетью и RAN.

RAN может переопределять такое решение или принимать собственное решение на основе предпочтения UE, принимаемого из базовой сети, и возможно другой информации.

Если предпочтения UE не удовлетворяются, то UE может предпринимать ответное действие. Действие может заключаться в том, чтобы соединяться с другим gNB/eNB, или UE может отказываться от использования определенного варианта применения.

Когда UE перемещается в сети и изменяет точку присоединения к сети (т.е. при связанных с мобильностью, передачей обслуживания или режимом сдвоенного подключения событиях), предпочтение UE и информация выбора сетевой политики должны перенаправляться на стороне сети между сетевыми узлами, например, между двумя базовыми станциями или между объектами управления доступом. Примеры таких действий являются следующими: (i) При связанном с передачей обслуживания событии, исходный объект управления доступом (AMF) информирует целевую AMF; (ii) при Xn-передаче обслуживания между двумя базовыми станциями, исходная базовая станция должна информировать целевую базовую станцию в отношении того, следует активировать или деактивировать шифрование и/или защиту целостности UP, возможно на конкретной для среза/PDU-сеанса основе. Эта информация может отправляться по Xn-интерфейсу из исходного узла в целевой узел; (iii) В режиме сдвоенного подключения между двумя базовыми станциями, ведущая базовая станция должна информировать вторичную базовую станцию в расчете на DRB в отношении того, следует активировать или деактивировать шифрование и/или защиту целостности UP. Эта информация может отправляться по Xn-интерфейсу из ведущей базовой станции во вторичную базовую станцию.

Рассмотрим первое установление PDU-сеансов (обобщенную разновидность). В этом случае, US_Pre указывает предпочтение RAN UP-безопасности, UE_RUS_Pre указывает предпочтение UE по RAN UP-безопасности, SMF_RUS_Pre представляет предпочтение объекта управления сеансами по RAN UP-безопасности, HN_Pre представляет предпочтение собственной сети по UP-безопасности (это предпочтение может указывать завершение UP-безопасности в RAN или в CN в обслуживающей сети), HN_Dec указывает решение собственной сети по завершаемой в собственной сети UP-безопасности, SN_Policy указывает правила политик обслуживающей сети, связанные с согласованием и политикой UP-безопасности, используемой в качестве значения по умолчанию в RAN, RUS_Dec указывает решение по RAN UP-безопасности, принимаемое посредством RAN, и CUS_Dec указывает решение CN-завершения UP-безопасности.

Теперь со ссылкой на фиг. 9 показывается запрашиваемое UE установление PDU-сеансов для отсутствия роуминга и роуминга с локальным разбиением. Процедура допускает то, что UE уже зарегистрировано в AMF, так что AMF уже извлекает данные пользовательских подписок из UDM.

Этап 1. Из UE в AMF: Запрос на установление PDU-сеанса (необязательный: UE_RUS_Pre). UE необязательно указывает свое предпочтение RAN-безопасности в пользовательской плоскости. Предпочтение может быть следующим: необязательный: UE_RUS_Pre: использование/не использование шифрования UP-данных, завершающихся в RAN; и необязательный: UE_RUS_Pre: использование/не использование защиты целостности UP-данных, завершающихся в RAN. Например, если UE поддерживает тип IoT-среза, то UE может указывать для этого типа IoT-среза свое предпочтение касательно того, следует использовать шифрование или защиту целостности либо и то, и другое, для UP-данных, завершающихся в RAN, для этого конкретного идентификатора PDU-сеанса. Альтернативно, если UE авторизовано на то, чтобы осуществлять доступ к сети A передачи данных (идентификатор среза), то UE может указывать для этого идентификатора среза свое предпочтение касательно того, чтобы использовать шифрование или защиту целостности либо и то, и другое для UP-данных, завершаемых в RAN. Альтернативно, если UE представляет собой IoT UE, то UE может указывать то, что все UP-данные являются предпочтительными, чтобы использовать как шифрование, так и защиту целостности для UP-данных, завершаемых в RAN.

Этап 2. AMF определяет то, что сообщение соответствует запросу на новый PDU-сеанс на основе идентификатора PDU-сеанса, который не используется для любого существующего PDU-сеанса(ов) UE. AMF выбирает SMF, как описано в TS 23.501, раздел 6.3.2.

Этап 3. Из AMF в SMF: SM-запрос с запросом на установление PDU-сеанса (необязательный: UE_RUS_Pre, необязательный: SN_Policy). AMF перенаправляет предпочтение UE в SMF. AMF может добавлять информацию политик в сообщение: необязательный: SN_policy: AMF может указывать для SMF информацию политик, если SMF разрешается запрашивать изменение RAN-безопасности; и необязательный: SN_policy: AMF также может указывать значения политики безопасности по умолчанию для SMF (например, RAN шифрование используется, RAN-целостность не используется).

Этап 4a. SMF в UDM: Запрос данных подписок (постоянный идентификатор абонента, DNN). SMF может иметь общую локальную политику, которая применяется ко всем UE, осуществляющим доступ в сетевой срез, связанный с завершением UP-безопасности. В этом случае, информация политик может не быть необходима из UDM. Если отсутствует общая локальная политика, и SMF еще не извлекла связанные с SM данные подписок для UE, связанного с DNN, SMF запрашивает эти данные подписок.

Этап 4b: UDM в SMF: Ответ по данным подписок (необязательный: HN_Pre, или необязательный: HN_Dec). UDM может указывать для SMF предпочтение в отношении собственной сети, связанное с завершаемой в RAN UP-безопасностью или решением по завершаемой в собственной сети UP-безопасности. Предпочтение в отношении собственной сети (HN_Pre) может быть конкретным для RAN UP-безопасности, например, необязательный: UDM указывает в своих данных подписок то, должно завершение UP-шифрования в RAN использоваться или не должно использоваться, либо то, является оно или нет индифферентным. Необязательный: UDM указывает в своих данных подписок то, должно завершение защиты UP-целостности в RAN использоваться или не должно использоваться, либо то, является оно или нет индифферентным. Предпочтение в отношении собственной сети (HN_Pre) также может быть конкретным для CN-завершения UP, например, необязательный: UDM указывает то, что UP-шифрование и/или UP-целостность должны завершаться в CN в обслуживающей сети. Решение по собственной сети (HN_Dec) является конкретным для завершения в собственной сети UP-безопасности, например, необязательный: UDM указывает то, что UP-шифрование и/или UP-целостность должны завершаться в CN в собственной сети.

Этап 5. SMF в DN через UPF: Если SMF должна авторизовать/аутентифицировать установление PDU-сеанса, как описано в разделе 5.6.6 TS 23.501, SMF выбирает UPF, как описано в разделе 6.3.3 TS 23.501, и инициирует аутентификацию/авторизацию установления PDU-сеансов. Если аутентификация/авторизация установления PDU-сеансов завершается неудачно, SMF завершает процедуру установления PDU-сеансов и указывает отклонение для UE.

Этап 6a. Если динамическая PCC развертывается, SMF выполняет PCF-выбор.

Этап 6b: SMF может инициировать установление PDU-CAN-сеансов к PCF, чтобы получать PCC-правила по умолчанию для PDU-сеанса.

Этап 7. SMF выбирает SSC-режим для PDU-сеанса.

Этап 8. Если динамическая PCC развертывается, и установление PDU-CAN-сеансов не выполнено на этапе 5, SMF инициирует установление PDU-CAN-сеансов к PCF, чтобы получать PCC-правила по умолчанию для PDU-сеанса.

Этап 9. Если этап 5 не выполнен, SMF инициирует процедуру установления N4-сеансов с выбранной UPF, иначе она инициирует процедуру модификации N4-сеансов с выбранной UPF.

Этап 9a. SMF отправляет запрос на установление/модификацию N4-сеанса в UPF и предоставляет правила обнаружения пакетов, принудительной активации и формирования сообщений, которые должны устанавливаться в UPF для этого PDU-сеанса.

Этап 9b: UPF подтверждает прием посредством отправки ответа по установлению/модификации N4-сеанса.

Этап 10. SMF в AMF: ACK SM-запроса, с необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec (подтверждение установления PDU-сеанса (необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec)). Это сообщение может включать в себя SMF-запрос RAN UP-безопасности (SMF_RUS_Pre) или SMF-решение завершаемой в CN безопасности UP в обслуживающей сети (SMF_CUS_Dec), или HN-решение завершаемой в CN безопасности UP в собственной сети (HN_Dec).

Этап 11. AMF в (R)AN: Запрос на установление N2 PDU-сеанса, необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec (подтверждение установления PDU-сеанса (необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec)). Информация из сообщения 10 перенаправляется в RAN.

Этап X: Он представляет собой этап между этапами 11 и 12. (R)AN осуществляет выбор политики, связанный с безопасностью для UP, завершаемой в RAN. RAN рассматривает всю информацию, предоставленную в нее: Локальная политика RAN, связанной с безопасностью UP, завершаемой в RAN; UE_RUS_Pre; SMF_RUS_Pre; SMF_CUS_Dec; и HN_Dec.

Этап 12. (R)AN в UE: Конкретное для AN установление ресурсов (включающее в себя подтверждение установления PDU-сеанса (RUS_Dec)). (R)AN указывает выбор политики для UE. Если (R)AN активирует шифрование и/или защиту целостности для этого идентификатора PDU-сеанса/идентификатора среза между UE и (R)AN, то (R)AN должна указывать выбранные алгоритмы для защиты целостности и/или шифрования UP-данных, отправленных по всем однонаправленным радиоканалам, обслуживающим этот идентификатор PDU-сеанса, в сообщении переконфигурирования RRC-соединения в UE. Сообщение переконфигурирования RRC-соединения защищается по целостности. Необязательный: UE сохраняет предпочтение или индикатор относительно того, должно или нет завершение UP-шифрования использоваться в RAN, принимаемое в сообщении подтверждения установления PDU-сеанса для этого идентификатора PDU-сеанса/идентификатора среза. Необязательный. UE сохраняет предпочтение или индикатор относительно того, должно или нет завершение защиты UP-целостности использоваться в RAN, принимаемое в сообщении подтверждения установления PDU-сеанса для этого идентификатора PDU-сеанса/идентификатора среза. Необязательный. UE может активировать шифрование и/или защиту целостности для этого идентификатора PDU-сеанса между UE и (R)AN, если предпочтение или индикаторы, принимаемые в сообщении подтверждения установления PDU-сеанса, указывают это. Необязательный. UE вводит выбранные алгоритмы для защиты целостности и/или шифрования, принимаемые в сообщении переконфигурирования RRC-соединения из (R)AN, в использование. (R)AN может иметь другое предпочтение и не придерживаться предпочтения, отправленного в сообщении подтверждения установления PDU-сеанса в UE. Необязательный. UE может теперь отправлять зашифрованные и/или защищенные по целостности UP-данные для этого идентификатора PDU-сеанса/идентификатора среза.

Этап 13. (R)AN в AMF: ACK запроса на установление N2 PDU-сеанса (RUS_Dec). RAN указывает выбор политики для AMF. (R)AN указывает для AMF и SMF то, вводится или нет завершение UP-шифрования в RAN в использование для этого идентификатора PDU-сеанса. (R)AN указывает для AMF и SMF то, вводится или нет завершение защиты UP-целостности в RAN в использование для этого идентификатора PDU-сеанса.

Этап 14. AMF в SMF: SM-запрос (N2 SM-информация). AMF перенаправляет N2 SM-информацию, принимаемую из (R)AN, в SMF. Необязательный: AMF может указывать выбор политики для AMF.

Этап 15a. Если N4-сеанс для этого PDU-сеанса уже не установлен, SMF инициирует процедуру установления N4-сеансов с UPF.

Этап 15b: UPF предоставляет ответ по установлению/модификации N4-сеанса в SMF.

Этап 16. После этого этапа, AMF передает релевантные события в SMF, например, при передаче обслуживания, при которой информация (R)AN-туннеля изменяется, или AMF перебазируется.

Этап 17. SMF в UE, через UPF: В случае PDU-типа IPv6, SMF формирует IPv6-оповещение маршрутизатора и отправляет его в UE через N4 и UPF.

Теперь рассмотрим фиг. 10, который показывает инициированный UE запрос на предоставление услуг в CM-бездействующем состоянии. Описаны два различных варианта (вариант 1 и вариант 2), в которых RAN указывает для UE то, как устанавливать и устанавливать UP-безопасность для однонаправленных радиоканалов, обслуживающих идентичный идентификатор PDU-сеанса.

Этап 1. UE в (R)AN: Запрос на предоставление MM NAS-услуг (идентификатор(ы) PDU-сеанса, параметры безопасности, состояние PDU-сеанса, в расчете на идентификатор среза/идентификатор PDU-сеанса: необязательный: UE_Rus_Pre). Необязательный: в расчете на идентификатор PDU-сеанса: UE указывает свой UE_Rus_Pre.

Этап 2. (R)AN в AMF: N2-сообщение (запрос на предоставление MM NAS-услуг (идентификатор(ы) PDU-сеанса, параметры безопасности, состояние PDU-сеанса, в расчете на идентификатор среза/идентификатор PDU-сеанса: необязательный: UE_Rus_Pre), временный 5G-идентификатор, информация местоположения, RAT-тип, причина RRC-установления).

Этап 3. Если запрос на предоставление услуг не отправлен защищенным по целостности, или защита целостности указывается как завершенная неудачно, AMF должна инициировать процедуру NAS-аутентификации/обеспечения NAS-безопасности, заданную в разделе 4.6 TS 23.502.

Этап 4a (условный) AMF в SMF: N11-сообщение (идентификатор(ы) PDU-сеанса). Если сообщение запроса на предоставление MM NAS-услуг включает в себя идентификатор(ы) PDU-сеанса, или эта процедура запускается посредством SMF, но идентификаторы PDU-сеансов из UE коррелируются с SMF, отличными от SMF, инициирующей процедуру, AMF отправляет N11-сообщение в SMF, ассоциированную с идентификатором(ами) PDU-сеанса.

Этап 4b (условный) SMF в AMF: N11-сообщение (в расчете на пару идентификатора среза/идентификатора PDU-сеанса: необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec (N2 SM-информация (QoS-профиль, информация CN N3-туннеля, в расчете на пару идентификатора среза/идентификатора PDU-сеанса: необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec)) в AMF. После приема N11-сообщения на 4a, каждая SMF отправляет N11-сообщение в AMF, чтобы устанавливать пользовательскую плоскость(и) для PDU-сеансов. N2 SM-информация содержит информацию, которую AMF должна предоставлять в RAN. Необязательный: SMF включает в себя следующую информацию в расчете на пару идентификатора среза/идентификатора PDU-сеанса: необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec.

Этап 5a. AMF в (R)AN: N2-запрос (N2 SM-информация, принимаемая из SMF, контекст обеспечения безопасности, идентификатор служебного AMF-соединения, список ограничений при передаче обслуживания, подтверждение предоставления MM NAS-услуг, список пар идентификатора среза/идентификатора PDU-сеанса: в расчете на пару идентификатора среза/идентификатора PDU-сеанса: необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec). AMF включает в себя следующую информацию в RAN: список пар идентификатора среза/идентификатора PDU-сеанса, в расчете на каждую из пар идентификатора среза/идентификатора PDU-сеанса: необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec.

Этап 5b. RAN в UE: Команда конфигурирования режима обеспечения AS-безопасности (выбранный алгоритм шифрования и обеспечения целостности для защиты передачи служебных CP-сигналов, вариант 1: в расчете на идентификатор среза/идентификатор PDU-сеанса: выбранные алгоритмы шифрования и/или алгоритм обеспечения целостности для защиты UP-данных). Это сообщение защищается по целостности с K-RRCint-ключом.

Как для варианта 1, так и для варианта 2, для всех однонаправленных радиоканалов, обслуживающих идентичный идентификатор среза/идентификатор PDU-сеанса, (R)AN сохраняет принимаемый: необязательный: SMF_RUS_Pre, или необязательный: SMF_CUS_Dec, или необязательный: HN_Dec для этого идентификатора среза/идентификатора PDU-сеанса, принимаемого в N2 SM-информации. RAN можно конфигурировать другую политику, которая может переопределять предпочтение, принимаемое из базовой сети. RAN определяет и задает политику RAN UP-безопасности в RUS_Dec. Если RUS_Dec указывает то, что завершение UP-шифрования должно использоваться в RAN, то RAN может активировать шифрование для всех однонаправленных радиоканалов, обслуживающих этот идентификатор среза/идентификатор PDU-сеанса между UE и (R)AN. (R)AN выбирает алгоритм для шифрования посредством выбора общего алгоритма из UE 5G-характеристик (с алгоритмами, поддерживаемыми посредством UE), принимаемых из AMF, и алгоритмов, сконфигурированных с наивысшим приоритетом в сконфигурированном списке в (R)AN. Если RUS_Dec указывает то, что завершение защиты UP-целостности должно использоваться в RAN, то RAN может активировать защиту целостности для всех однонаправленных радиоканалов, обслуживающих этот идентификатор среза/идентификатор PDU-сеанса между UE и (R)AN. (R)AN выбирает алгоритм для защиты целостности посредством выбора общего алгоритма из UE 5G-характеристик (с алгоритмами, поддерживаемыми посредством UE), принимаемых из AMF, и алгоритмов, сконфигурированных с наивысшим приоритетом в сконфигурированном списке в (R)AN. Если RUS_Dec указывает то, что завершение UP-шифрования не должно использоваться в RAN, то RAN может не активировать шифрование для однонаправленных радиоканалов, обслуживающих этот идентификатор среза/идентификатор PDU-сеанса между UE и (R)AN. RAN указывает для UE то, что UP-шифрование не должно использоваться для всех однонаправленных радиоканалов, обслуживающих этот идентификатор среза/идентификатор PDU-сеанса между UE и (R)AN. Если RUS_Dec указывает то, что завершение защиты UP-целостности не должно использоваться в RAN, то RAN может не активировать защиту целостности для однонаправленных радиоканалов, обслуживающих этот идентификатор среза/идентификатор PDU-сеанса между UE и (R)AN. RAN указывает для UE то, что защита UP-целостности не должна использоваться для всех однонаправленных радиоканалов, обслуживающих этот идентификатор среза/идентификатор PDU-сеанса между UE и (R)AN.

Этап 5c. UE в RAN: Завершение выполнения команды конфигурирования режима обеспечения AS-безопасности (). UE вводит указываемые алгоритмы обеспечения безопасности для защиты передачи служебных CP-сигналов в использование. UE вводит указываемые алгоритмы обеспечения безопасности для всех однонаправленных радиоканалов, обслуживающих идентичный идентификатор среза/PDU-сеанс для защиты UP-данных, в использование.

Этап 6. (R)AN в UE: Переконфигурирование RRC-соединения (вариант 2: для однонаправленных радиоканалов, обслуживающих идентичный идентификатор среза/идентификатор PDU-сеанса: выбранные алгоритмы шифрования и/или алгоритм обеспечения целостности для защиты UP-данных). RAN выполняет переконфигурирование RRC-соединения с UE в зависимости от QoS-информации для всех QoS-потоков активированных PDU-сеансов и однонаправленных радиоканалов передачи данных. Безопасность в пользовательской плоскости устанавливается на этом этапе, который подробно описывается в спецификациях RAN. Вариант 2: См. вышеприведенный текст на этапе 5b. RAN перенаправляет подтверждение предоставления MM NAS-услуг в UE. UE локально удаляет контекст PDU-сеансов, которые не доступны в 5G CN.

Этап 7. После того, как радиоресурсы пользовательской плоскости устанавливаются, данные восходящей линии связи из UE могут теперь перенаправляться в RAN. 5G RAN отправляет данные восходящей линии связи на UPF-адрес и идентификатор туннеля, предоставленный на этапе 4.

Возникает дополнительная сложность в активации обеспечения AS-безопасности в пользовательской плоскости, как упомянуто выше, которая поясняется ниже. Возможно то, что gNB не имеет возможность соответствовать упомянутому первому индикатору (например, SMF_RUS_Pre) из SMF. Другими словами, gNB не может активировать обеспечение AS-безопасности в пользовательской плоскости, даже если упомянутый первый индикатор из SMF означает то, что AS-безопасность в пользовательской плоскости должна активироваться. Могут возникать различные причины gNB по неспособности соответствовать упомянутому первому индикатору из SMF, например, gNB перегружен вследствие обслуживания большого числа UE одновременно, и в силу этого gNB выполнен с возможностью не использовать криптографические операции для целей эффективности вычислений, или gNB находится в энергосберегающем режиме, и в силу этого gNB выполнен с возможностью не использовать криптографические операции для целей эффективности работы от аккумулятора и т.д. В некоторых сценариях, допускается модель, когда RAN и базовая сеть принадлежат и управляются посредством различных сторон. В таких сценариях, несколько базовых сетей могут совместно использовать одну RAN. Это может означать то, что RAN-сторона, продающая 5G RAN-услуги, согласует различные политики с каждой из сторон базовых сетей, управляющих базовыми 5G-сетями, и некоторые стороны базовых сетей могут не быть авторизованы на то, чтобы активировать обеспечение AS-безопасности в пользовательской плоскости. Сторона базовой сети, которая готова платить, например, за целостность в пользовательской плоскости, может быть единственной, которой разрешается активировать целостность в пользовательской плоскости. В таких случаях, gNB продолжает дальше без активации обеспечения AS-безопасности в пользовательской плоскости, даже если указывается посредством SMF необходимость активации. Тем не менее, SMF должна, по меньшей мере, иметь сведения по тому, что не обеспечивается соответствие первого индикатора посредством gNB. Согласно некоторым вариантам осуществления, затем gNB 42 отправляет второй индикатор SMF 48 (через AMF 46) для информирования SMF 48 в отношении того, активирует или не активирует gNB обеспечение AS-безопасности в пользовательской плоскости. Фиг. 9 и 10 поясняют последовательности сигналов, процедуры, сообщения и поля, используемые между SMF 48 и gNB 42 для упомянутого второго индикатора.

Первый и упомянутый второй индикаторы могут не быть достаточными для безопасности трафика пользовательской плоскости. Некоторые варианты осуществления в силу этого предлагают новый механизм, который предоставляет надежный механизм для активации обеспечения AS-безопасности в пользовательской плоскости.

В этом отношении, следует отметить, что SMF 48 подготавливает первый индикатор на основе некоторой политики, например, важный трафик пользовательской плоскости, принадлежащий президенту страны, должен защищаться по конфиденциальности и по целостности, или короткий пакет данных, принадлежащий устройству с поддержкой стандарта IoT (Интернета вещей), должен защищаться по целостности, или мультимедийный трафик, принадлежащий услуге передачи видео, должен защищаться по конфиденциальности и т.д. В зависимости от политики или варианта использования, может быть недопустимым, что gNB 42 не соответствует упомянутому первому индикатору, отправленному посредством SMF 48, например, даже если gNB 42 перегружен или работает в энергосберегающем режиме, может возникать серьезная проблема, если трафик пользовательской плоскости, принадлежащий президенту страны, не защищается по конфиденциальности и целостности посредством gNB 42. Следует отметить, что недостаточно для gNB 42 отправлять упомянутый второй индикатор SMF 48. SMF 48 знает в отношении состояния активации обеспечения AS-безопасности в пользовательской плоскости, но может быть слишком поздно до того, как SMF 48 предпринимает дополнительное действие, например, некоторые данные восходящей линии связи уже отправлены посредством UE 40 по радиоинтерфейсу, или некоторые данные нисходящей линии связи уже отправлены посредством gNB 42 по радиоинтерфейсу. SMF 48 знает, но нанесен ущерб.

Основная причина вышеуказанной проблемы состоит в том, что именно SMF 48 имеет правильную информацию относительно чувствительности трафика пользовательской плоскости и соответствующей политики, тогда как именно gNB 42 отклоняет упомянутый первый индикатор, отправленный посредством SMF 48. В силу этого наблюдения, некоторые варианты осуществления предлагают то, что SMF 48 (в общих терминах, некоторый базовый сетевой узел 16 на фиг. 1) должна указывать для gNB 42 (в общих терминах, некоторого RAN-узла 12 на фиг. 1) то, может gNB 42 или нет отклонять решение SMF по активации обеспечения AS-безопасности в пользовательской плоскости. Другими словами, gNB 42 не отклоняет решение SMF, если не разрешено осуществлять это посредством SMF 48. Новый эффект осуществления этого заключается в том, что всегда именно SMF 48 принимает окончательное решение относительно активации обеспечения AS-безопасности в пользовательской плоскости, и ситуация, когда обеспечение AS-безопасности в пользовательской плоскости не активируется посредством gNB 42, несмотря на решение SMF активировать его, не допускается.

Фиг. 11 иллюстрирует общий принцип некоторых вариантов осуществления.

Этап 1. Любая предшествующая связь или действия между или в gNB 42 и SMF 48.

Этап 2. SMF 48 указывает для gNB 42 разрешенное поведение, обозначаемое как donotOverrule. Упомянутый donotOverrule указывает для gNB 42 то, разрешается или нет gNB 42 отклонять любые индикаторы активации обеспечения AS-безопасности в пользовательской плоскости из SMF 48.

Этап 3. Любая связь или действия между gNB 42 и SMF 48. Один пример может представлять собой сообщение из gNB 42 в SMF 48, указывающее подтверждение того, что он принимает и подтверждает индикатор donotOverrule, или сообщение об ошибке, что gNB 42 не имеет возможность подтверждать индикатор donotOverrule. Другой пример может представлять собой сообщение из SMF в gNB f42 либо установление сеанса в пользовательской плоскости и индикатор (обозначаемый как первый индикатор ранее) активации обеспечения AS-безопасности в пользовательской плоскости.

Этап 4. GNB 42 учитывать полученный donotOverrule, чтобы определять то, следует или нет отклонять индикатор из SMF. Например, вследствие перегрузки или энергосберегающего режима, gNB 42 может определять то, что он не может соответствовать первому индикатору из SMF 48, который указывает gNB 42 необходимость активировать обеспечение AS-безопасности в пользовательской плоскости. Тем не менее, упомянутый donotOverrule не разрешает gNB 42 отклонять первый индикатор. Следовательно, gNB 42 не отклоняет первый индикатор из SMF 48. Другими словами, gNB 42 не продолжает установление сеансов в пользовательской плоскости без AS-безопасности в пользовательской плоскости.

Этап 5. Любая связь или действия между gNB 42 и SMF 48. Один пример может представлять собой сообщение из gNB 42 в SMF 48 с индикатором (обозначаемым как второй индикатор ранее) того, допускает gNB 42 или нет обеспечение соответствия первому индикатору.

GNB 42 может отправлять второй индикатор только тогда, когда gNB 42 не может соответствовать первому индикатору. Другими словами, когда gNB 42 может соответствовать первому индикатору, то gNB 42 продолжает с установлением сеансов в пользовательской плоскости и не отправляет второй индикатор SMF 48, то SMF 48 неявно знает, что не обеспечивается соответствие первому индикатору. Дополнительно, второй индикатор из gNB 42 в SMF 48 может включать в себя информацию относительно того, почему gNB 42 не имеет возможность соответствовать первому индикатору, например, "не может соответствовать вследствие перегрузки", "не может соответствовать вследствие энергосберегающего режима", "не может соответствовать, поскольку SMF 48 не авторизуется на то, чтобы активировать обеспечение AS-безопасности в пользовательской плоскости" и т.д.

Упомянутый индикатор donotOverrule может передаваться непосредственно между gNB 42 и SMF 48, либо могут представлять собой промежуточные узлы, которые в конечном счете перенаправляют упомянутый индикатор donotOverrule в gNB 42., например, через промежуточную AMF 46 или другие промежуточные gNB, что означает то, что промежуточный узел может перенаправлять принимаемый donotOverrule.

Упомянутый индикатор donotOverrule может реализовываться различными способами, например, но не только, следующими. Явный способ реализации, например, может представлять собой булево поле, в котором "истинный" обозначает то, что gNB 42 не разрешается отклонять, и "ложный" обозначает то, что gNB 42 не разрешается отклонять, или строковое поле, в котором "разрешено" обозначает то, что gNB 42 разрешается отклонять, и "не разрешено" обозначает то, что gNB 42 не разрешается отклонять. donotOverrule также может иметь более детализированную политику, указывающую то, при каких условиях gNB 42 разрешается отклонять, и то, при каких условиях gNB 42 не разрешается отклонять, без дополнительного подтверждения SMF. Пример детализированной политики, например, может представлять собой "отклонение разрешено для конфиденциальности", "отклонение не разрешено для защиты целостности", "отклонение разрешено в течение воскресений", "отклонение разрешено, когда число соединенных UE превышает 10000" и т.д. Неявный способ реализации, например, может представлять собой то, что отсутствие поля означает то, что gNB 42 разрешается отклонять, и присутствие поля обозначает то, что gNB 42 не разрешается отклонять, или наоборот.

Упомянутый индикатор donotOverrule может варьироваться различными способами, например, но не только: (i) Относительно типа услуги: например, donotOverrule является ложным для услуги передачи видео и истинным для IoT-услуги; (ii) Относительно местоположения gNB: например, donotOverrule является ложным для gNB внутри физически изолированного помещения и истинным для gNB, которые являются открытыми в общественных местах; (iii) Относительно типа абонента: например, donotOverrule является ложным для абонентов сети общего пользования и истинным для президента страны; и/или (iv) Относительно времени: например, donotOverrule является ложным во время Олимпийских игр и истинным во время всеобщих выборов.

GNB 42 может получать упомянутый индикатор donotOverrule различными способами, например, но не только, следующими. Первым способом, индикатор donotOverrule может получаться в идентичном сообщении, которое содержит индикатор из SMF относительно активации обеспечения AS-безопасности в пользовательской плоскости (обозначаемый как первый индикатор ранее). Другими словами, упомянутый donotOverrule и упомянутый первый индикатор отправляются в идентичном сообщении. Осуществление этого может означать, что donotOverrule применяется только к первому индикатору, наряду с которым получается donotOverrule.

Вторым способом, индикатор donotOverrule может получаться во время конкретного для UE установления сеансов в пользовательской плоскости между gNB и базовой сетью, например, donotOverrule мультиплексируется с или добавляется в сообщение подтверждения установления PDU-сеанса из SMF 48 в gNB 42, которое перенаправляется в gNB 42 через AMF 46 в сообщении запроса на установление N2 PDU-сеанса.

Третьим способом, индикатор donotOverrule не отправляется в качестве части передачи служебных сигналов для установления сеансов в пользовательской плоскости между gNB и SMF 48, вместо этого gNB 42 получает donotOverrule из конфигурации, например, считываемой из сетевой базы данных, отбираемой из локального файла, отбираемой из сетевого узла и т.д. donotOverrule может указывать то, разрешается или не разрешается отклонение для всех UE, отправляющих запросы на установление сеанса в пользовательской плоскости в конкретную SMF или сетевой срез.

Четвертым способом, индикатор donotOverrule получается во время установлений интерфейса между gNB 42 и базовой сетью, например, N2/N11 (gNB-AMF-SMF) или N3/N4 (gNB-UPF-SMF).

Пятым способом, индикатор donotOverrule получается во время конкретного для UE установления начального контекста между gNB 42 и базовой сетью.

Шестым способом, индикатор donotOverrule получается во время фазы подготовки к конкретной для UE передаче обслуживания между gNB 42 и базовой сетью.

Седьмым способом, индикатор donotOverrule получается во время фазы подготовки к конкретной для UE передаче обслуживания между gNB.

Могут быть предусмотрены различные действия gNB 42 и SMF 48, когда не может обеспечиваться соответствие первого индикатора посредством gNB 42, например, но не только, следующие. Некоторые возможные действия могут заключаться в том, чтобы отменять, отклонять или отбрасывать любой текущий сеанс в пользовательской плоскости или выполняющееся установление сеансов в пользовательской плоскости. SMF 48 также может определять то, чтобы временно изменять политику безопасности в пользовательской плоскости, например, не активировать обеспечение AS-безопасности в пользовательской плоскости для текущего сеанса и указывать это для gNB. SMF 48 может хотеть достигать этого в случаях, если ущерб вследствие потенциального отсутствия связи выше ущерба вследствие менее защищенной связи. SMF может указывать это для gNB 42, например, посредством указания того, что обеспечение AS-безопасности в пользовательской плоскости не должно активироваться (например, первый индикатор является ложным), или посредством указания того, что обеспечение AS-безопасности в пользовательской плоскости должно активироваться, но gNB 42 может отклонять индикатор SMF (например, первый индикатор является истинным, и donotOverrule является ложным). SMF 48 или gNB 42 также может указывать для UE необходимость выбирать другой gNB, который может иметь лучшую вероятность на соответствие первому индикатору, например, вследствие неперегрузки или не работы в энергосберегающем режиме. В случае виртуализированной RAN, может быть возможным для SMF 48 увеличивать ресурсы, доступные для gNB 42, на лету, а затем повторять установление сеансов в пользовательской плоскости.

При использовании в данном документе, сетевой узел означает оборудование, допускающее, сконфигурированное, размещаемое и/или работающее с возможностью обмениваться данными прямо или косвенно с беспроводным устройством и/или с другими сетевыми узлами или оборудованием в беспроводной сети, чтобы обеспечивать и/или предоставлять беспроводной доступ для беспроводного устройства и/или выполнять другие функции (например, администрирование) в беспроводной сети. Примеры сетевых узлов включают в себя, но не только, сетевые радиоузлы, такие как точки доступа (AP) (например, точки радиодоступа), базовые станции (BS) (например, базовые радиостанции, узлы B, усовершенствованные узлы B (eNB) и узлы B (gNB) на основе NR). Базовые станции могут классифицироваться на основе объема покрытия, которое они предоставляют (или, другими словами, своего уровня мощности передачи), и в таком случае также могут упоминаться как базовые фемтостанции, базовые пикостанции, базовые микростанции или базовые макростанции. Базовая станция может представлять собой ретрансляционный узел или релейный донорный узел, управляющий ретранслятором. Сетевой узел также может включать в себя одну или более (или все) частей распределенной базовой радиостанции, таких как централизованные цифровые блоки и/или удаленные радиоблоки (RRU), иногда называемые "удаленными радиоголовками (RRH)". Такие удаленные радиоблоки могут интегрироваться или могут не интегрироваться с антенной в качестве интегрированной антенной радиостанции. Части распределенной базовой радиостанции также могут упоминаться как узлы в распределенной антенной системе (DAS). Еще одни дополнительные примеры сетевых узлов включают в себя устройство радиосвязи с поддержкой нескольких стандартов (MSR), такое как MSR BS, сетевые контроллеры, такие как контроллеры радиосети (RNC) или контроллеры базовой станции (BSC), базовые приемо-передающие станции (BTS), точки передачи, узлы передачи, объекты координации многосотовой/многоадресной передачи (MCE), базовые сетевые узлы (например, MSC, MME), OandM-узлы, OSS-узлы, SON-узлы, узлы позиционирования (например, E-SMLC) и/или MDT. В качестве другого примера, сетевой узел может представлять собой виртуальный сетевой узел, как подробнее описано ниже. Тем не менее, если обобщить, сетевые узлы могут представлять любое подходящее устройство (или группу устройств), допускающее, сконфигурированное, размещаемое и/или работающее с возможностью обеспечивать и/или предоставлять беспроводному устройству доступ к беспроводной сети или предоставлять некоторые услуги беспроводному устройству, которое осуществляет доступ к беспроводной сети.

При использовании в данном документе, беспроводное устройство (WD) означает устройство, допускающее, сконфигурированное, размещаемое и/или работающее с возможностью обмениваться данными в беспроводном режиме с сетевыми узлами и/или другими беспроводными устройствами. Если не указано иное, термин "WD" может использоваться взаимозаменяемо в данном документе с абонентским устройством (UE). Обмен данными в беспроводном режиме может заключать в себе передачу и/или прием беспроводных сигналов с использованием электромагнитных волн, радиоволн, инфракрасных волн и/или других типов сигналов, подходящих для передачи информации через воздух. В некоторых вариантах осуществления, WD может быть выполнено с возможностью передавать и/или принимать информацию без прямого человеческого взаимодействия. Например, WD может проектироваться с возможностью передавать информацию в сеть по предварительно заданному расписанию при инициировании посредством внутреннего или внешнего события или в ответ на запросы из сети. Примеры WD включают в себя, но не только, смартфон, мобильный телефон, сотовый телефон, телефон по протоколу "речь-по-IP" (VoIP), телефон с беспроводным абонентским доступом, настольный компьютер, персональное цифровое устройство (PDA), беспроводные камеры, игровую приставку или устройство, устройство хранения музыкальных данных, устройство воспроизведения, носимое терминальное устройство, беспроводную конечную точку, мобильную станцию, планшетный компьютер, переносной компьютер, встроенное в переносной компьютер устройство (LEE), установленное в переносном компьютере устройство (LME), интеллектуальное устройство, беспроводное оконечное абонентское оборудование (CPE), установленное в транспортном средстве беспроводное терминальное устройство и т.д. WD может поддерживать связь между устройствами (D2D), например, посредством реализации 3GPP-стандарта для связи в боковой линии связи, связи между транспортными средствами (V2V), связи между транспортным средством и инфраструктурой (V2I), связи между транспортным средством и всем чем угодно (V2X), и может в этом случае упоминаться как устройство D2D-связи. В качестве еще одного другого конкретного примера, в сценарии на основе Интернета вещей (IoT), WD может представлять машину или другое устройство, которое выполняет мониторинг и/или измерения и передает результаты такого мониторинга и/или измерений в другое WD и/или сетевой узел. WD в этом случае может представлять собой межмашинное (M2M) устройство, которое в 3GPP-контексте может упоминаться как MTC-устройство. В качестве одного конкретного примера, WD может представлять собой UE, реализующее 3GPP-стандарт узкополосного Интернета вещей (NB-IoT). Конкретные примеры таких машин или устройств представляют собой датчики, измерительные устройства, такие как измерители мощности, промышленное оборудование или бытовые или персональные приборы (например, холодильники, телевизионные приемники и т.д.), персональные носимые приборы (например, часы, фитнес-трекеры и т.д.). В других сценариях, WD может представлять транспортное средство или другое оборудование, которое допускает мониторинг и/или сообщение относительно своего рабочего состояния или других функций, ассоциированных с работой. WD, как описано выше, может представлять конечную точку беспроводного соединения, причем в этом случае устройство может упоминаться как беспроводной терминал. Кроме того, WD, как описано выше, может быть мобильным, причем в этом случае оно также может упоминаться как мобильное устройство или мобильный терминал.

Фиг. 12 иллюстрирует сеть связи, соединенную через промежуточную сеть с хост-компьютером в соответствии с некоторыми вариантами осуществления. В частности, со ссылкой на фиг. 12, в соответствии с вариантом осуществления, система связи включает в себя сеть 1210 связи, к примеру, сотовую 3GPP-сеть, которая содержит сеть 1211 доступа, к примеру, сеть радиодоступа и базовую сеть 1214. Сеть 1211 доступа содержит множество базовых станций 1212a, 1212b, 1212c, к примеру, NB, eNB, gNB или другие типы точек беспроводного доступа, каждая из которых задает соответствующую зону 1213a, 1213b, 1213c покрытия. Каждая базовая станция 1212a, 1212b, 1212c может соединяться с базовой сетью 1214 по проводному или беспроводному соединению 1215. Первое UE 1291, расположенное в зоне 1213c покрытия, выполнено с возможностью в беспроводном режиме соединяться или вызываться посредством поисковых вызовов посредством соответствующей базовой станции 1212c. Второе UE 1192 в зоне 1213a покрытия может соединяться в беспроводном режиме с соответствующей базовой станцией 1212a. Хотя множество UE 1291, 1292 проиллюстрировано в этом примере, раскрытые варианты осуществления являются в равной степени применимыми к ситуации, когда единственное UE находится в зоне покрытия, либо когда единственное UE соединяется с соответствующей базовой станцией 1212.

Сеть 1210 связи непосредственно соединяется с хост-компьютером 1230, который может быть осуществлен в аппаратных средствах и/или в программном обеспечении автономного сервера, облачно-реализованного сервера, распределенного сервера или в качестве ресурсов обработки в ферме серверов. Хост-компьютер 1230 может находиться в собственности или управлении поставщика услуг либо может управляться посредством поставщика услуг или от имени поставщика услуг. Соединения 1221 и 1222 между сетью 1210 связи и хост-компьютером 1230 могут протягиваться непосредственно из базовой сети 1214 в хост-компьютер 1230 или могут проходить через необязательную промежуточную сеть 1220. Промежуточная сеть 1220 может представлять собой одно из либо комбинацию более чем одного из общедоступной, частной или размещаемой сети; промежуточная сеть 1220, если имеется, может представлять собой магистральную сеть или Интернет; в частности, промежуточная сеть 1220 может содержать две или более подсетей (не показаны).

Система связи по фиг. 12 в целом обеспечивает подключение между соединенными UE 1291, 1292 и хост-компьютером 1230. Подключение может описываться как соединение 1250 поверх сетей (OTT). Хост-компьютер 1230 и соединенные UE 1291, 1292 выполнены с возможностью обмениваться данными и/или служебными сигналами через OTT-соединение 1250, с использованием сети 1211 доступа, базовой сети 1214, любой промежуточной сети 1220 и возможной дополнительной инфраструктуры (не показана) в качестве посредников. OTT-соединение 1250 может быть прозрачным в том смысле, что участвующие устройства связи, через которые проходит OTT-соединение 1250, не имеют сведения по маршрутизации связи в восходящей и нисходящей линии связи. Например, базовая станция 1212 не может или не должна информироваться относительно предыдущей маршрутизации входящей связи в нисходящей линии связи с данными, исходящими из хост-компьютера 1230, которые должны перенаправляться (например, с передачей обслуживания) в соединенное UE 1291. Аналогично, базовая станция 1212 не должна иметь сведения по будущей маршрутизации исходящей связи в восходящей линии связи, исходящей из UE 1291 в хост-компьютер 1230.

Ниже описываются примерные реализации, в соответствии с вариантом осуществления, UE, базовой станции и хост-компьютера, поясненных в предыдущих абзацах, со ссылкой на фиг. 13. Фиг. 13 иллюстрирует хост-компьютер, обменивающийся данными через базовую станцию с абонентским устройством по частично беспроводному соединению в соответствии с некоторыми вариантами осуществления. В системе 1300 связи, хост-компьютер 1310 содержит аппаратные средства 1315, включающие в себя интерфейс 1316 связи, выполненный с возможностью устанавливать и поддерживать проводное или беспроводное соединение с интерфейсом другого устройства связи системы 1300 связи. Хост-компьютер 1310 дополнительно содержит схему 1318 обработки, которая может иметь характеристики хранения и/или обработки. В частности, схема 1318 обработки может содержать один или более программируемых процессоров, специализированных интегральных схем, программируемых пользователем вентильных матриц либо их комбинаций (не показаны), адаптированных с возможностью выполнять инструкции. Хост-компьютер 1310 дополнительно содержит программное обеспечение 1311, которое сохраняется или является доступным посредством хост-компьютера 1310 и выполняемым посредством схемы 1318 обработки. Программное обеспечение 1311 включает в себя хост-приложение 1312. Хост-приложение 1312 может быть выполнено с возможностью предоставлять услугу для удаленного пользователя, такого как UE 1330, соединенное через OTT-соединение 1350, завершающееся в UE 1330 и в хост-компьютере 1310. При предоставлении услуги для удаленного пользователя, хост-приложение 1312 может предоставлять пользовательские данные, которые передаются с использованием OTT-соединения 1350.

Система 1300 связи дополнительно включает в себя базовую станцию 1320, предоставленную в системе связи и содержащую аппаратные средства 1325, позволяющие ей обмениваться данными с хост-компьютером 1310 и с UE 1330. Аппаратные средства 1325 могут включать в себя интерфейс 1326 связи для установления и поддержания проводного или беспроводного соединения с интерфейсом другого устройства связи системы 1300 связи, а также радиоинтерфейс 1327 для установления и поддержания, по меньшей мере, беспроводного соединения 1370 с UE 1330, расположенным в зоне покрытия (не показана на фиг. 13), обслуживаемой посредством базовой станции 1320. Интерфейс 1326 связи может быть выполнен с возможностью упрощать соединение 1360 с хост-компьютером 1310. Соединение 1360 может быть прямым, или оно может проходить через базовую сеть (не показана на фиг. 13) системы связи и/или через одну или более промежуточных сетей за пределами системы связи. В показанном варианте осуществления, аппаратные средства 1325 базовой станции 1320 дополнительно включают в себя схему 1328 обработки, которая может содержать один или более программируемых процессоров, специализированных интегральных схем, программируемых пользователем вентильных матриц либо их комбинаций (не показаны), адаптированных с возможностью выполнять инструкции. Базовая станция 1320 дополнительно имеет программное обеспечение 1321, сохраненное внутренне или доступное через внешнее соединение.

Система 1300 связи дополнительно включает в себя уже упоминаемое UE 1330. Его аппаратные средства 1335 могут включать в себя радиоинтерфейс 1337, выполненный с возможностью устанавливать и поддерживать беспроводное соединение 1370 с базовой станцией, обслуживающей зону покрытия, в которой в данный момент находится UE 1330. Аппаратные средства 1335 UE 1330 дополнительно включают в себя схему 1338 обработки, которая может содержать один или более программируемых процессоров, специализированных интегральных схем, программируемых пользователем вентильных матриц либо их комбинаций (не показаны), адаптированных с возможностью выполнять инструкции. UE 1330 дополнительно содержит программное обеспечение 1331, которое сохраняется или является доступным посредством UE 1330 и выполняемым посредством схемы 1338 обработки. Программное обеспечение 1331 включает в себя клиентское приложение 1332. Клиентское приложение 1332 может быть выполнено с возможностью предоставлять услугу пользователю-человеку или не человеку через UE 1330 с поддержкой хост-компьютера 1310. В хост-компьютере 1310, выполняющееся хост-приложение 1312 может обмениваться данными с выполняющимся клиентским приложением 1332 через OTT-соединение 1350, завершающееся в UE 1330 и хост-компьютере 1310. При предоставлении услуги для пользователя, клиентское приложение 1332 может принимать запрашиваемые данные из хост-приложения 1312 и предоставлять пользовательские данные в ответ на запрашиваемые данные. OTT-соединение 1350 может переносить как запрашиваемые данные, так и пользовательские данные. Клиентское приложение 1332 может взаимодействовать с пользователем, чтобы формировать пользовательские данные, которые оно предоставляет.

Следует отметить, что хост-компьютер 1310, базовая станция 1320 и UE 1230, проиллюстрированные на фиг. 13, могут быть аналогичными или идентичными хост-компьютеру 1230, одной из базовых станций 1212a, 1212b, 1212c и одному из UE 1291, 1292 по фиг. 12, соответственно. Другими словами, внутренние операции этих объектов могут быть такими, как показано на фиг. 13, и независимо, окружающая сетевая топология может представлять собой окружающую сетевую топологию по фиг. 12.

На фиг. 13, OTT-соединение 1350 нарисовано абстрактно, чтобы иллюстрировать связь между хост-компьютером 1310 и UE 1330 через базовую станцию 1320, без прямой ссылки на промежуточные устройства и точную маршрутизацию сообщений через эти устройства. Сетевая инфраструктура может определять маршрутизацию, которую она может быть выполнена с возможностью скрывать от UE 1330 или от поставщика услуг, управляющего хост-компьютером 1310, или от обоих из них. В то время, когда OTT-соединение 1350 является активным, сетевая инфраструктура дополнительно может принимать решения, посредством которых она динамически изменяет маршрутизацию (например, на основе рассматриваемого фактора балансировки нагрузки или переконфигурирования сети).

Беспроводное соединение 1370 между UE 1330 и базовой станцией 1320 осуществляется в соответствии с идеями вариантов осуществления, описанных в ходе этого раскрытия сущности. Один или более различных вариантов осуществления повышают производительность OTT-услуг, предоставленных в UE 1330 с использованием OTT-соединения 1350, в котором беспроводное соединение 1370 формирует последний сегмент. Более точно, идеи этих вариантов осуществления могут улучшать балансировку нагрузки, эффективность использования радиоресурсов и эффективность по мощности в сети и в силу этого предоставлять такие преимущества, как уменьшенное время ожидания пользователя, ослабленное ограничение по размеру файла и лучшую чувствительность.

Процедура измерений может предоставляться для целей мониторинга скорости передач данных, задержки и других факторов, относительно которых улучшаются один или более вариантов осуществления. Дополнительно может быть предусмотрена необязательная сетевая функциональность для переконфигурирования OTT-соединения 1350 между хост-компьютером 1310 и UE 1330, в ответ на варьирования результатов измерений. Процедура измерений и/или сетевая функциональность для переконфигурирования OTT-соединения 1350 могут реализовываться в программном обеспечении 1311 и аппаратных средствах 1315 хост-компьютера 1310 или в программном обеспечении 1331 и аппаратных средствах 1335 UE 1330 либо и в том, и в другом. В вариантах осуществления, датчики (не показаны) могут развертываться в/в ассоциации с устройствами связи, через которые проходит OTT-соединение 1350; датчики могут участвовать в процедуре измерений посредством подачи значений отслеживаемых величин, примерно проиллюстрированных выше, или подачи значений других физических величин, из которых программное обеспечение 1311, 1331 может вычислять или оценивать отслеживаемые величины. Переконфигурирование OTT-соединения 1350 может включать в себя формат сообщений, настройки повторной передачи, предпочтительную маршрутизацию и т.д.; переконфигурирование не должно затрагивать базовую станцию 1320, и оно может быть неизвестным или незаметным для базовой станции 1320. Такие процедуры и функциональности могут быть известными и осуществляться на практике в данной области техники. В конкретных вариантах осуществления, измерения могут заключать в себе собственную передачу служебных сигналов UE, упрощающую измерения, посредством хост-компьютера 1310, пропускной способности, времен распространения, задержки и т.п. Могут реализовываться измерения, в которых программное обеспечение 1311 и 1331 инструктирует передачу сообщений, в частности, пустых или "фиктивных" сообщений, с использованием OTT-соединения 1350, в то время как оно отслеживает времена распространения, ошибки и т.д.

Фиг. 14 является блок-схемой последовательности операций, иллюстрирующей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления. Система связи включает в себя хост-компьютер, базовую станцию и UE, которые могут представлять собой элементы, описанные со ссылкой на фиг. 12 и 13. Для простоты настоящего раскрытия сущности, только ссылки на чертежах для фиг. 14 должны быть включены в этот раздел. На этапе 1410, хост-компьютер предоставляет пользовательские данные. На подэтапе 1411 (который может быть необязательным) этапа 1410, хост-компьютер предоставляет пользовательские данные посредством выполнения хост-приложения. На этапе 1420, хост-компьютер инициирует передачу, переносящую пользовательские данные, в UE. На этапе 1430 (который может быть необязательным), базовая станция передает в UE пользовательские данные, которые перенесены в передаче, которую инициирует хост-компьютер, в соответствии с идеями вариантов осуществления, описанных в ходе этого раскрытия сущности. На этапе 1440 (который также может быть необязательным), UE выполняет клиентское приложение, ассоциированное с хост-приложением, выполняемым посредством хост-компьютера.

Фиг. 15 является блок-схемой последовательности операций, иллюстрирующей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления. Система связи включает в себя хост-компьютер, базовую станцию и UE, которые могут представлять собой элементы, описанные со ссылкой на фиг. 12 и 13. Для простоты настоящего раскрытия сущности, только ссылки на чертежах для фиг. 15 должны быть включены в этот раздел. На этапе 1510 способа, хост-компьютер предоставляет пользовательские данные. На необязательном подэтапе (не показан), хост-компьютер предоставляет пользовательские данные посредством выполнения хост-приложения. На этапе 1520, хост-компьютер инициирует передачу, переносящую пользовательские данные, в UE. Передача может передаваться через базовую станцию, в соответствии с идеями вариантов осуществления, описанных в ходе этого раскрытия сущности. На этапе 1530 (который может быть необязательным), UE принимает пользовательские данные, переносимые в передаче.

Фиг. 16 является блок-схемой последовательности операций, иллюстрирующей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления. Система связи включает в себя хост-компьютер, базовую станцию и UE, которые могут представлять собой элементы, описанные со ссылкой на фиг. 12 и 13. Для простоты настоящего раскрытия сущности, только ссылки на чертежах для фиг. 16 должны быть включены в этот раздел. На этапе 1610 (который может быть необязательным), UE принимает входные данные, предоставленные посредством хост-компьютера. Дополнительно или альтернативно, на этапе 1620, UE предоставляет пользовательские данные. На подэтапе 1621 (который может быть необязательным) этапа 1620, UE предоставляет пользовательские данные посредством выполнения клиентского приложения. На подэтапе 1611 (который может быть необязательным) этапа 1610, UE выполняет клиентское приложение, которое предоставляет пользовательские данные при реакции на принимаемые входные данные, предоставленные посредством хост-компьютера. При предоставлении пользовательских данных, выполняемое клиентское приложение дополнительно может рассматривать пользовательский ввод, принимаемый от пользователя. Независимо от конкретного способа, которым предоставлены пользовательские данные, UE инициирует, на подэтапе 1630 (который может быть необязательным), передачу пользовательских данных в хост-компьютер. На этапе 1640 способа, хост-компьютер принимает пользовательские данные, передаваемые из UE, в соответствии с идеями вариантов осуществления, описанных в ходе этого раскрытия сущности.

Фиг. 17 является блок-схемой последовательности операций, иллюстрирующей способ, реализованный в системе связи, в соответствии с одним вариантом осуществления. Система связи включает в себя хост-компьютер, базовую станцию и UE, которые могут представлять собой элементы, описанные со ссылкой на фиг. 12 и 13. Для простоты настоящего раскрытия сущности, только ссылки на чертежах для фиг. 17 должны быть включены в этот раздел. На этапе 1710 (который может быть необязательным), в соответствии с идеями вариантов осуществления, описанных в ходе этого раскрытия сущности, базовая станция принимает пользовательские данные из UE. На этапе 1720 (который может быть необязательным), базовая станция инициирует передачу принимаемых пользовательских данных в хост-компьютер. На этапе 1730 (который может быть необязательным), хост-компьютер принимает пользовательские данные, переносимые в передаче, инициированной посредством базовой станции.

Любые соответствующие этапы, способы, признаки, функции или преимущества, раскрытые в данном документе, могут выполняться через один или более функциональных блоков или модулей одного или более экземпляров виртуального оборудования. Каждое виртуальное оборудование может содержать определенное число этих функциональных блоков. Эти функциональные блоки могут реализовываться через схему обработки, которая может включать в себя один или более микропроцессоров или микроконтроллеров, а также другие цифровые аппаратные средства, которые могут включать в себя процессоры цифровых сигналов (DSP), цифровую логику специального назначения и т.п. Схема обработки может быть выполнена с возможностью выполнять программный код, сохраненный в запоминающем устройстве, которое может включать в себя один или более типов запоминающего устройства, таких как постоянное запоминающее устройство (ROM), оперативное запоминающее устройство (RAM), кэш-память, устройства флэш-памяти, оптические устройства хранения данных и т.д. Программный код, сохраненный в запоминающем устройстве, включает в себя программные инструкции для выполнения одного или более протоколов связи и/или обмена данными, а также инструкции для выполнения одного или более технологий, описанных в данном документе. В некоторых реализациях, схема обработки может использоваться для того, чтобы инструктировать соответствующему функциональному блоку выполнять соответствующие функции согласно одному или более вариантов осуществления настоящего раскрытия сущности.

Обычно, все термины, используемые в данном документе, должны интерпретироваться согласно их обычному смыслу в релевантной области техники, если другой смысл не приводится четко и/или не подразумевается из контекста, в котором он используется. Все ссылки на "a/an/the элемент, оборудование, компонент, средство, этап и т.д." должны интерпретироваться открыто как означающие, по меньшей мере, один экземпляр элемента, оборудования, компонента, средства, этапа и т.д., если в явной форме не указано иное. Этапы любых способов, раскрытых в данном документе, не должны обязательно выполняться в точном раскрытом порядке, если этап не описывается явно как идущий после или предшествующий другому этапу, и/или если неочевидно то, что этап должен идти после или предшествовать другому этапу. Любой признак любого из вариантов осуществления, раскрытых в данном документе может применяться к любому другому варианту осуществления при необходимости. Аналогично, любое преимущество любого из вариантов осуществления может применяться к любым другим вариантам осуществления, и наоборот. Другие цели, признаки и преимущества включенных вариантов осуществления должны становиться очевидными из описания.

Термин "блок" может иметь традиционный смысл в области электронных схем, электрических устройств и/или электронных устройств и может включать в себя, например, электрическую и/или электронную схему, устройства, модули, процессоры, запоминающие устройства, логические полупроводниковые и/или дискретные устройства, компьютерные программы или инструкции для выполнения соответствующих задач, процедуры, вычисления, выводы и/или функции отображения и т.д., такие как, например, которые описываются в данном документе.

Обычно, некоторые варианты осуществления в данном документе включают в себя варианты осуществления, перечисляемые ниже.

Вариант 1 осуществления. Способ для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), причем способ осуществляется посредством RAN-узла в RAN и содержит: получение индикатора активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости; и получение индикатора разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 2 осуществления. Способ по варианту 1 осуществления, дополнительно содержащей активацию или не активацию обеспечения AS-безопасности в пользовательской плоскости, в зависимости от индикатора активации и индикатора разрешения на отклонение.

Вариант 3 осуществления. Способ по варианту 2 осуществления, содержащий активацию или не активацию обеспечения AS-безопасности в пользовательской плоскости, дополнительно в зависимости от информации, указывающей способность или желательность для RAN-узла активировать обеспечение AS-безопасности в пользовательской плоскости.

Вариант 4 осуществления. Способ по любому из вариантов 1-3 осуществления, дополнительно содержащий определения того, следует или нет активировать обеспечение AS-безопасности в пользовательской плоскости, на основе одного или более из следующего: уровень нагрузки RAN-узла; эффективность или доступность мощности в RAN-узле; и авторизация CN на то, чтобы активировать обеспечение AS-безопасности в пользовательской плоскости; и режим RAN-узла.

Вариант 5 осуществления. Способ по любому из вариантов 1-4 осуществления, в котором получение индикатора разрешения на отклонение содержит прием индикатора разрешения на отклонение в сообщении из CN.

Вариант 6 осуществления. Способ по любому из вариантов 1-4 осуществления, в котором получение индикатора разрешения на отклонение содержит выборку индикатора разрешения на отклонение из базы данных в RAN или CN или считывание индикатора разрешения на отклонение из файла, локального для RAN-узла.

Вариант 7 осуществления. Способ для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), причем способ осуществляется посредством CN-узла в CN и содержит: передачу в служебных сигналах индикатора активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел в RAN активировать обеспечение AS-безопасности в пользовательской плоскости; и передачу в служебных сигналах индикатора разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 8 осуществления. Способ по варианту 7 осуществления, содержащий передачу в служебных сигналах индикатора разрешения на отклонение посредством передачи из CN-узла сообщения, которое включает в себя индикатор разрешения на отклонение.

Вариант 9 осуществления. Способ по варианту 7 осуществления, содержащий передачу в служебных сигналах индикатора разрешения на отклонение посредством записи индикатора разрешения на отклонение в базу данных в RAN или CN или в файле, локальном для RAN-узла.

Вариант 10 осуществления. Способ по любому из вариантов 1-9 осуществления, в котором индикатор разрешения на отклонение задается на основе и/или применяется, в частности, для одного или более из следующего: конкретный тип AS-безопасности в пользовательской плоскости; конкретный тип или приоритет обслуживания, для которого трафик пользовательской плоскости должен передаваться по AS в пользовательской плоскости; конкретное местоположение или тип местоположения RAN-узла; конкретный уровень нагрузки RAN-узла; конкретный тип или приоритет абонента, трафик пользовательской плоскости которого должен представлять собой связь по AS в пользовательской плоскости; и конкретное время или событие.

Вариант 11 осуществления. Способ по любому из вариантов 1-10 осуществления, в котором индикатор разрешения на отклонение применяется, в частности, для конкретного сеанса в пользовательской плоскости или конкретной категории сеансов в пользовательской плоскости.

Вариант 12 осуществления. Способ по любому из вариантов 1-10 осуществления, в котором индикатор разрешения на отклонение применяется для любого сеанса в пользовательской плоскости, управляемого посредством конкретного CN-узла и/или ассоциированного с конкретным сетевым срезом.

Вариант 13 осуществления. Способ по любому из вариантов 1-12 осуществления, дополнительно содержащий выполнение одного или более действий, когда: решение посредством CN состоит в том, что RAN-узел должен активировать обеспечение AS-безопасности в пользовательской плоскости; и согласно индикатору разрешения на отклонение, RAN-узлу не разрешается отклонять решение посредством CN; и RAN-узел не имеет возможность, или CN не авторизуется на то, чтобы активировать обеспечение AS-безопасности в пользовательской плоскости.

Вариант 14 осуществления. Способ по варианту 13 осуществления, в котором одно или более действий включают в себя отмену, отклонение или отбрасывание сеанса в пользовательской плоскости либо установление сеанса в пользовательской плоскости.

Вариант 15 осуществления. Способ по любому из вариантов 13-14 осуществления, в котором RAN-узел установил или устанавливает сеанс в пользовательской плоскости с устройством беспроводной связи, и при этом одно или более действий включают в себя наведение устройства беспроводной связи на другой RAN-узел.

Вариант 16 осуществления. Способ по любому из вариантов 13-15 осуществления, в котором одно или более действий включают в себя увеличение ресурсов, доступных в RAN-узле для AS-безопасности в пользовательской плоскости.

Вариант 17 осуществления. Способ по любому из вариантов 13-16 осуществления, в котором одно или более действий включают в себя CN, модифицирующую решение и/или индикатор разрешения на отклонение, чтобы разрешать установление сеанса в пользовательской плоскости без AS-безопасности в пользовательской плоскости (вместо отмены, отклонения или отбрасывания сеанса в пользовательской плоскости).

Вариант 18 осуществления. Способ по любому из вариантов 1-5, 7-9 и 10-17 осуществления, в котором индикатор активации и индикатор разрешения на отклонение включается в идентичное сообщение, передаваемое в служебных сигналах из CN в RAN-узел.

Вариант 19 осуществления. Способ по любому из вариантов 1-18 осуществления, в котором индикатор разрешения на отклонение является конкретным для индикатора активации таким образом, чтобы указывать то, разрешается или нет RAN-узлу отклонять решение, указываемое конкретно посредством индикатора активации.

Вариант 20 осуществления. Способ по любому из вариантов 1-19 осуществления, в котором индикатор разрешения на отклонение передается в служебных сигналах из CN в RAN-узел во время процедуры для установления сеанса в пользовательской плоскости для конкретного устройства беспроводной связи.

Вариант 21 осуществления. Способ по любому из вариантов 1-5, 7-9 и 10-20 осуществления, в котором индикатор разрешения на отклонение представляет собой булево поле в сообщении, передаваемом в служебных сигналах из CN в RAN-узел, при этом первое значение булева поля указывает то, что RAN-узлу не разрешается отклонять решение, и второе значение булева поля указывает то, что RAN-узлу разрешается отклонять решение.

Вариант 21A осуществления. Способ по любому из вариантов 1-21 осуществления, в котором индикатор разрешения на отклонение указывает то, разрешает CN или нет RAN-узлу отклонять решение посредством CN.

Вариант 22 осуществления. Способ, осуществляемый посредством устройства беспроводной связи, выполненного с возможностью использования в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), при этом способ содержит: в ответ на неспособность RAN-узла в RAN активировать обеспечение безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости согласно решению посредством CN в отношении того, что RAN-узлу не разрешается отклонять, прием служебных сигналов, наводящих устройство беспроводной связи на то, чтобы устанавливать сеанс в пользовательской плоскости с другим RAN-узлом.

Вариант 23 осуществления. Способ по варианту 22 осуществления, дополнительно содержащий попытку устанавливать сеанс в пользовательской плоскости с другим RAN-узлом в соответствии с принимаемыми служебными сигналами.

Вариант 24 осуществления. Способ по любому из вариантов 1-23 осуществления, в котором решение посредством CN представляет собой решение в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости с ненулевым алгоритмом.

Вариант 25 осуществления. Способ по любому из вариантов 1-24 осуществления, в котором решение посредством CN представляет собой решение в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты целостности в пользовательской плоскости и/или защиты конфиденциальности в пользовательской плоскости.

Вариант 26 осуществления. Способ по любому из вариантов 1-25 осуществления, в котором решение принимается посредством CN на основе правил сетевых политик и/или правил политик подписки

Вариант 27 осуществления. Способ по любому из вариантов 1-26 осуществления, в котором решение принимается посредством CN-узла, который выполняет управление сеансами в пользовательской плоскости.

Вариант 28 осуществления. Способ по любому из вариантов 1-27 осуществления, в котором решение принимается посредством функции управления сеансами (SMF) в CN.

Вариант 29 осуществления. Способ по любому из вариантов 1-28 осуществления, в котором решение принимается посредством CN на основе конкретного сетевого среза.

Вариант 30 осуществления. Способ по любому из вариантов 1-28 осуществления, в котором решение принимается посредством CN на основе конкретного сеанса в пользовательской плоскости.

Вариант 31 осуществления. Способ по любому из вариантов 1-30 осуществления, в котором решение соответствует SMF_RUS_Pre.

Вариант 32 осуществления. Способ по любому из вариантов 1-31 осуществления, в котором решение передается в служебных сигналах из CN в RAN-узел в процедуре или сообщении установления сеанса на основе пакетных единиц данных (PDU).

Вариант 33 осуществления. Узел сети радиодоступа (RAN) для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя RAN и базовую сеть (CN), причем RAN-узел выполнен с возможностью: получать индикатор активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости; и получать индикатор разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 33 осуществления. Узел сети радиодоступа (RAN) для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя RAN и базовую сеть (CN), причем RAN-узел выполнен с возможностью: получать индикатор активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости; и получать индикатор разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 34 осуществления. RAN-узел по варианту 33 осуществления, выполненный с возможностью осуществлять способ по любому из вариантов 2-6, 10-21 и 24-31 осуществления.

Вариант 35 осуществления. Узел сети радиодоступа (RAN) для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя RAN и базовую сеть (CN), причем RAN-узел содержит: схему обработки и запоминающее устройство, причем запоминающее устройство содержит инструкции, выполняемые посредством схемы обработки, при этом RAN-узел выполнен с возможностью: получать индикатор активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости; и получать индикатор разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 36 осуществления. RAN-узел по варианту 35 осуществления, в котором запоминающее устройство содержит инструкции, выполняемые посредством схемы обработки, при этом RAN-узел выполнен с возможностью осуществлять способ по любому из вариантов 2-6, 10-21 и 24-31 осуществления.

Вариант 37 осуществления. Узел сети радиодоступа (RAN) для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя RAN и базовую сеть (CN), причем RAN-узел содержит: модуль получения индикаторов активации для получения индикатора активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел активировать обеспечение AS-безопасности в пользовательской плоскости; и модуль получения индикаторов разрешения на отклонение для получения индикатора разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 38 осуществления. RAN-узел по варианту 37 осуществления, содержащий один или боле модулей для осуществления способа по любому из вариантов 2-6, 10-21 и 24-31 осуществления.

Вариант 39 осуществления. Базовый сетевой (CN) узел для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), причем CN-узел выполнен с возможностью: передавать в служебных сигналах индикатор активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел в RAN активировать обеспечение AS-безопасности в пользовательской плоскости; и передавать в служебных сигналах индикатор разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 40 осуществления. CN-узел по варианту 39 осуществления, выполненный с возможностью осуществлять способ по любому из вариантов 8-21 и 24-31 осуществления.

Вариант 41 осуществления. Базовый сетевой (CN) узел для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), причем CN-узел содержит: схему обработки и запоминающее устройство, причем запоминающее устройство содержит инструкции, выполняемые посредством схемы обработки, при этом CN-узел выполнен с возможностью: передавать в служебных сигналах индикатор активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел в RAN активировать обеспечение AS-безопасности в пользовательской плоскости; и передавать в служебных сигналах индикатор разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 42 осуществления. CN-узел по варианту 41 осуществления, в котором запоминающее устройство содержит инструкции, выполняемые посредством схемы обработки, при этом CN-узел выполнен с возможностью осуществлять способ по любому из вариантов 8-21 и 24-31 осуществления.

Вариант 43 осуществления. Базовый сетевой (CN) узел для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), причем CN-узел содержит: модуль передачи в служебных сигналах индикаторов активации для передачи в служебных сигналах индикатора активации, который указывает решение посредством CN в отношении того, должен или нет RAN-узел в RAN активировать обеспечение AS-безопасности в пользовательской плоскости; и модуль передачи в служебных сигналах индикаторов разрешения на отклонение для передачи в служебных сигналах индикатора разрешения на отклонение, который указывает то, разрешается или нет RAN-узлу отклонять решение посредством CN.

Вариант 44 осуществления. CN-узел по варианту 43 осуществления, содержащий один или боле модулей для осуществления способа по любому из вариантов 8-21 и 24-31 осуществления.

Вариант 45 осуществления. Устройство беспроводной связи, выполненное с возможностью использования в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), причем устройство беспроводной связи выполнено с возможностью: в ответ на неспособность RAN-узла в RAN активировать обеспечение безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости согласно решению посредством CN в отношении того, что CN не разрешает RAN-узлу отклонять, принимать служебные сигналы, наводящие устройство беспроводной связи на то, чтобы устанавливать сеанс в пользовательской плоскости с другим RAN-узлом.

Вариант 46 осуществления. Устройство беспроводной связи по варианту 45 осуществления, выполненное с возможностью осуществлять способ по любому из вариантов 23-31 осуществления.

Вариант 47 осуществления. Устройство беспроводной связи, выполненное с возможностью использования в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), причем устройство беспроводной связи содержит: схему обработки и запоминающее устройство, причем запоминающее устройство содержит инструкции, выполняемые посредством схемы обработки, при этом CN-узел выполнен с возможностью, в ответ на неспособность RAN-узла в RAN активировать обеспечение безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости согласно решению посредством CN в отношении того, что CN не разрешает RAN-узлу отклонять, принимать служебные сигналы, наводящие устройство беспроводной связи на то, чтобы устанавливать сеанс в пользовательской плоскости с другим RAN-узлом.

Вариант 48 осуществления. Устройство беспроводной связи по варианту 47 осуществления, в котором запоминающее устройство содержит инструкции, выполняемые посредством схемы обработки, при этом CN-узел выполнен с возможностью осуществлять способ по любому из вариантов 23-31 осуществления.

Вариант 49 осуществления. Устройство беспроводной связи, выполненное с возможностью использования в системе беспроводной связи, которая включает в себя сеть радиодоступа (RAN) и базовую сеть (CN), причем устройство беспроводной связи содержит: приемный модуль для, в ответ на неспособность RAN-узла в RAN активировать обеспечение безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости согласно решению посредством CN в отношении того, что CN не разрешает RAN-узлу отклонять, приема служебных сигналов, наводящих устройство беспроводной связи на то, чтобы устанавливать сеанс в пользовательской плоскости с другим RAN-узлом.

Вариант 50 осуществления. Устройство беспроводной связи по варианту 49 осуществления, содержащее один или боле модулей для осуществления способа по любому из вариантов 23-31 осуществления.

Вариант 51 осуществления. Компьютерная программа, содержащая инструкции, которые, при выполнении посредством, по меньшей мере, одного процессора оборудования, выполненного с возможностью использования в системе беспроводной связи, инструктируют оборудованию осуществлять способ по любому из вариантов 1-31 осуществления.

Вариант 52 осуществления. Передающая среда, содержащая компьютерную программу по варианту 51 осуществления, при этом передающая среда представляет собой одно из электронного сигнала, оптического сигнала, радиосигнала или компьютерно-читаемого носителя хранения данных.

1. Способ конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе (10) беспроводной связи, которая включает в себя сеть (10B) радиодоступа (RAN) и базовую сеть (10A) (CN), причем способ осуществляется посредством RAN-узла (12) в RAN (10B) и содержит этапы, на которых:

- принимают (112), из CN (10A), служебные сигналы (20), которые указывают решение посредством CN (10A) в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости, и которые указывают то, разрешается или нет RAN-узлу (12) отклонять решение посредством CN (10A); и

- активируют или не активируют (114) обеспечение AS-безопасности в пользовательской плоскости в зависимости от передачи (20) служебных сигналов.

2. Способ по п. 1, содержащий этап, на котором активируют или не активируют обеспечение AS-безопасности в пользовательской плоскости, дополнительно в зависимости от информации, указывающей способность или желательность для RAN-узла (12) активировать обеспечение AS-безопасности в пользовательской плоскости.

3. Способ по любому из пп. 1, 2, дополнительно содержащий этап, на котором определяют то, следует или нет активировать обеспечение AS-безопасности в пользовательской плоскости, на основе одного или более из следующего:

- уровень нагрузки RAN-узла (12);

- эффективность или доступность мощности в RAN-узле (12); и

- авторизация CN на то, чтобы активировать обеспечение AS-безопасности в пользовательской плоскости; и

- режим RAN-узла (12).

4. Способ по любому из пп. 1, 2, в котором передача (20) служебных сигналов применяется, в частности, для конкретного сеанса в пользовательской плоскости и принимается во время процедуры для установления сеанса в пользовательской плоскости для конкретного устройства беспроводной связи.

5. Способ по любому из пп. 1, 2, дополнительно содержащий этап, на котором выполняют одно или более действий, когда решение посредством CN (10A) состоит в том, что RAN-узел (12) должен активировать обеспечение AS-безопасности в пользовательской плоскости, RAN-узлу (12) не разрешается отклонять решение посредством CN (10A), и RAN-узел (12) не имеет возможности, или CN (10A) не авторизуется на то, чтобы активировать обеспечение AS-безопасности в пользовательской плоскости, при этом одно или более действий включают в себя отмену, отклонение или отбрасывание сеанса в пользовательской плоскости, либо установление сеанса в пользовательской плоскости.

6. Способ по любому из пп. 1, 2, в котором решение посредством CN (10A) представляет собой решение в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты целостности в пользовательской плоскости, либо представляет собой решение в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты конфиденциальности в пользовательской плоскости.

7. Способ по любому из пп. 1, 2, в котором решение посредством CN (10A) представляет собой решение в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты целостности в пользовательской плоскости и представляет собой решение в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты конфиденциальности в пользовательской плоскости.

8. Способ по любому из пп. 1, 2, в котором решение принимается посредством CN-узла (16), который выполняет управление сеансами в пользовательской плоскости.

9. Способ по любому из пп. 1, 2, при этом CN-узел (16) является узлом, реализующим функцию управления сеансами (SMF).

10. Способ по любому из пп. 1, 2, в котором передача (20) служебных сигналов указывает то, разрешается или нет RAN-узлу (12) отклонять решение посредством CN (10A) посредством указания того, представляет собой решение посредством CN (10A) команду, которой должен соответствовать RAN-узел (12), или предпочтение, которое RAN-узлу (12) разрешается отклонять.

11. Способ для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе (10) беспроводной связи, которая включает в себя сеть (10B) радиодоступа (RAN) и базовую сеть (10A) (CN), причем способ осуществляется посредством CN-узла (16) в CN (10A) и содержит этапы, на которых:

- принимают (212) решение посредством CN в отношении того, должен или нет RAN-узел (12) в RAN (10B) активировать обеспечение AS-безопасности в пользовательской плоскости; и

- передают (214) служебные сигналы (20), которые указывают решение посредством CN (10A) и которые указывают то, разрешается или нет RAN-узлу (12) отклонять решение посредством CN (10A).

12. Способ по п. 11, дополнительно содержащий этап, на котором определяют то, разрешается или нет RAN-узлу (12) отклонять решение, на основе и/или, в частности, для одного или более из следующего:

- конкретного типа AS-безопасности в пользовательской плоскости;

- конкретного типа или приоритета обслуживания, для которого трафик пользовательской плоскости должен передаваться по AS в пользовательской плоскости;

- конкретного местоположения или типа местоположения RAN-узла;

- конкретного уровня нагрузки RAN-узла;

- конкретного типа или приоритета абонента, трафик пользовательской плоскости которого должен представлять собой связь по AS в пользовательской плоскости; и

- конкретного времени или события.

13. Способ по любому из пп. 11, 12, в котором передача (20) служебных сигналов применяется, в частности, для конкретного сеанса в пользовательской плоскости и передается во время процедуры для установления сеанса в пользовательской плоскости для конкретного устройства беспроводной связи.

14. Способ по любому из пп. 11, 12, в котором решение представляет собой решение в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты целостности в пользовательской плоскости, либо представляет собой решение в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты конфиденциальности в пользовательской плоскости.

15. Способ по любому из пп. 11, 12, в котором решение представляет собой решение в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты целостности в пользовательской плоскости, и представляет собой решение в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости в форме защиты конфиденциальности в пользовательской плоскости.

16. Способ по любому из пп. 11, 12, в котором CN-узел (16) выполнен с возможностью выполнять управление сеансами в пользовательской плоскости.

17. Способ по любому из пп. 11, 12, при этом CN-узел (16) является узлом, реализующим функцию управления сеансами (SMF).

18. Способ по любому из пп. 11, 12, в котором передача (20) служебных сигналов указывает то, разрешается или нет RAN-узлу (12) отклонять решение посредством CN (10A) посредством указания того, представляет собой решение посредством CN (10A) команду, которой должен соответствовать RAN-узел (12), или предпочтение, которое RAN-узлу (12) разрешается отклонять.

19. Узел (12) сети радиодоступа (RAN) для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе (10) беспроводной связи, которая включает в себя RAN (10B) и базовую сеть (10A) (CN), причем RAN-узел (12) выполнен с возможностью:

- принимать, из CN (10A), служебные сигналы (20), которые указывают решение посредством CN (10A) в отношении того, должен или нет RAN-узел (12) активировать обеспечение AS-безопасности в пользовательской плоскости, и которые указывают то, разрешается или нет RAN-узлу (12) отклонять решение посредством CN (10A); и

- активировать или не активировать обеспечение AS-безопасности в пользовательской плоскости, в зависимости от передачи (20) служебных сигналов.

20. RAN-узел (12) по п. 19, выполненный с возможностью осуществлять способ по любому из пп. 2-10.

21. Базовый сетевой (CN) узел (16) для конфигурирования безопасности на связанном с предоставлением доступа уровне (AS) в пользовательской плоскости в системе (10) беспроводной связи, которая включает в себя сеть (10B) радиодоступа (RAN) и базовую сеть (10A) (CN), причем CN-узел (16) выполнен с возможностью:

- принимать решение посредством CN (10A) в отношении того, должен или нет RAN-узел (12) в RAN активировать обеспечение AS-безопасности в пользовательской плоскости; и

- передавать служебные сигналы (20), которые указывают решение посредством CN (10a) и которые указывают то, разрешается или нет RAN-узлу (12) отклонять решение посредством CN (10a).

22. CN-узел по п. 21, выполненный с возможностью осуществлять способ по любому из пп. 12-18.

23. Компьютерно-читаемый носитель хранения данных, имеющий сохраненную компьютерную программу, содержащую инструкции, которые, при выполнении посредством по меньшей мере одного процессора узла (12) сети радиодоступа (RAN), выполненного с возможностью использования в системе (10) беспроводной связи, инструктируют RAN-узлу (12) осуществлять способ по любому из пп. 1-10.

24. Компьютерно-читаемый носитель хранения данных, имеющий сохраненную компьютерную программу, содержащую инструкции, которые, при выполнении посредством по меньшей мере одного процессора базового сетевого (CN) узла (16), выполненного с возможностью использования в системе (10) беспроводной связи, инструктируют CN-узлу (16) осуществлять способ по любому из пп. 11-18.