处理RRC连接释放的制作方法

背景技术：

第三代合作伙伴计划(3gpp)提供与无线网络(例如，长期演进(lte)网络和第5代(5g)网络(也被称为新无线电(nr)网络))有关的技术规范(ts)。在ts23.401第5.3.4b项和其他技术规范(例如，ts24.301)中，3gpp规定了用于在非接入层(nas)上传输数据的控制平面蜂窝物联网(cpciot)优化。这也可以被称为nas上数据或donas。这些安全特征是在ts33.401第8.2项(因为基本方案的安全影响非常有限，其非常短)中规定的。donas特征的目的是在无需建立数据无线电承载(drb)且无需建立接入层(as)安全的情况下在nas信令上发送数据。目的是为了节省信令。图1示出ts23.401(图5.3.4b.2-1)中规定的donas原理。如图1中所示，当ue具有与基站(例如，增强的节点b(enb))的无线电资源控制(rrc)连接时，ue可以被考虑成处于已连接模式。

3gpp无线电接入网络(ran)工作组提供关注用于cp-ciot的移动性增强的工作项目r3-161324。cpciot不支持切换，但是用户设备(ue)仍然可以移动，这在ue处于已连接模式中时可能导致无线电链路失败(rlf)。这提出了在这种情况下做什么的问题。因为cpciot特征不支持接入层(as)安全，所以无法“按原样”安全地使用针对rlf的已有机制。换言之，在cpciot中使用已有的rlf处理机制在安全方面是不可接受的。

当确定不需要(激活的)rrc连接时，网络可以释放rrc连接。图2示出根据3gppts36.331(图5.3.8.1-1)的rrc连接释放的示例。在lte和窄带物联网(nb-iot)中，针对支持用户平面数据传递和as安全性的ue，可以利用安全信令释放rrc连接。例如，rrcconnectionrelease(rrc连接释放)消息可以在具有as完整性保护的srb1上发送。对于仅支持nas上控制平面(cp)数据传递(donas)的ue，不支持as安全且不可以安全地发送rrcconnectionrelease消息，rrcconnectionrelease消息在不受保护/缺少as完整性保护的srb1bis或srb0上发送。

存在已知的(但尚未被部署的)用于防止伪造的(spoofed)rrc连接重建消息的技术。例如，以下3gpp文稿描述旨在这样做的各种机制：s3-170111、s3-170254、s3-170352、s3-170077、s3-170332和s3-170302。

技术实现要素：

针对用于处理rrc连接的现有方案可以预见某些问题。如上所述，存在用于防止针对donas的伪造的rrc连接重建消息的已知技术。然而，即使针对donas(例如，使用基于as的令牌或基于nas的令牌)缓解了伪造的rrc连接重建攻击，攻击者仍然可能通过发送伪造的rrc连接释放消息在ue上安装拒绝服务(dos)。在donas中，因为不存在as安全，所以没有保护rrc连接释放消息的已知方法。本公开的某些实施例提供针对这些和其他问题的方案。例如，在本文中提出了将基于as的令牌用作针对rrc连接释放消息的完整性保护。

根据某些实施例，公开了一种在无线设备中使用的方法。所述方法包括：从在网络中操作的网络节点接收释放消息。所述释放消息包括：第一释放令牌和用于释放rrc连接的指令。所述方法包括：确定第一释放令牌是否通过验证；以及基于第一释放令牌是否通过验证，确定要执行的动作。响应于确定第一释放令牌通过验证，所述动作包括：释放rrc连接。

根据某些实施例，公开了一种无线设备。所述无线设备包括处理电路和逻辑，所述逻辑在由所述处理电路执行时使所述无线设备从在网络中操作的网络节点接收释放消息。所述释放消息包括：第一释放令牌和用于释放rrc连接的指令。所述逻辑在由所述处理电路执行时还使所述无线设备：确定第一释放令牌是否通过验证；以及基于第一释放令牌是否通过验证，确定要执行的动作。响应于确定第一释放令牌通过验证，所述动作包括：释放rrc连接。

根据某些实施例，公开了一种计算机程序。所述计算机程序包括逻辑，所述逻辑在计算机上执行时使所述计算机执行在无线设备中使用的上述方法。具体地，所述计算机程序使所述计算机执行：从在网络中操作的网络节点接收释放消息。所述释放消息包括：第一释放令牌和用于释放rrc连接的指令。所述计算机程序执行：确定第一释放令牌是否通过验证；以及基于第一释放令牌是否通过验证，确定要执行的动作。响应于确定第一释放令牌通过验证，所述动作包括：释放rrc连接。

上述无线设备、在无线设备中使用的方法和/或计算机程序均可以包括一个或多个附加特征，其示例如下：

在一些实施例中，rrc连接包括还没有针对其建立as安全的连接。在一些实施例中，rrc连接包括还没有针对其建立drb的连接。在一些实施例中，rrc连接支持cp-ciot或donas功能。

在一些实施例中，释放消息是经由缺少as安全性的srb接收的。第一释放令牌可以是经由as信令或经由nas信令接收的。

在一些实施例中，响应于确定所述第一释放令牌验证失败，所述动作包括开始用于重建所述rrc连接的过程。在一些实施例中，响应于确定第一释放令牌验证失败，所述动作包括：忽略用于释放所述rrc连接的指令。

在一些实施例中，确定所述第一释放令牌是否通过验证包括：如果所述释放消息中接收的所述第一释放令牌与由所述无线设备获得的第二释放令牌匹配，则确定所述第一释放令牌通过验证。作为示例，在一些实施例中，所述第二释放令牌至少部分基于在所述无线设备和所述网络之间共享的密钥。作为另一个示例，在一些实施例中，所述第二释放令牌是至少部分基于所述无线设备和所述网络之间所商定的算法计算的。因此，在接收释放消息之前，某些实施例从网络接收指示密钥、算法或二者就位以计算所述第二释放令牌的指示。所述指示可以是从无线电接入网络节点或核心网节点接收的。所述指示可以是隐式指示或显式指示。根据某些实施例，公开了一种在网络中操作的网络节点中使用的方法。所述方法包括：获得第一释放令牌，并向无线设备发送释放消息。所述释放消息包括第一释放令牌和用于释放rrc连接的指令。

根据某些实施例，公开了一种网络节点。所述网络节点包括处理电路和逻辑，所述逻辑在由所述处理电路执行时使网络节点获得第一释放令牌，并向无线设备发送释放消息。所述释放消息包括第一释放令牌和用于释放rrc连接的指令。

根据某些实施例，公开了一种计算机程序。所述计算机程序包括逻辑，所述逻辑在计算机上执行时使所述计算机执行在网络节点中使用的上述方法。具体地，所述计算机程序使计算机执行：获得第一释放令牌，并向无线设备发送释放消息。所述释放消息包括第一释放令牌和用于释放rrc连接的指令。

上述网络节点、在网络节点中使用的方法和/或计算机程序均可以包括一个或多个附加特征，其示例如下：

在一些实施例中，rrc连接包括还没有针对其建立as安全的连接。在一些实施例中，rrc连接包括还没有针对其建立drb的连接。在一些实施例中，rrc连接支持cp-ciot或donas功能。

在一些实施例中，释放消息是经由缺少接入层安全的srb发送的。在一些实施例中，网络节点包括基站且第一释放令牌是经由as信令发送的。在一些实施例中，网络节点包括核心网节点(例如，lte中的移动性管理实体(mme)或5g中的接入和移动性管理功能(amf))，并且第一释放令牌是经由nas信令发送的。

在一些实施例中，第一释放令牌是从另一个网络节点获得的。例如，所述方法可以在基站中实现，所述基站从核心网节点(例如，lte中的mme或5g中的amf)获得所述第一释放令牌。在一些实施例中，第一释放令牌是通过计算第一释放令牌获得的。例如，第一释放令牌是至少部分基于从另一个网络节点接收的信息、至少部分基于在无线设备和网络之间共享的密钥、和/或至少部分基于无线设备和网络之间所商定的算法而计算的。

在一些实施例中，网络节点在发送释放消息之前，向无线设备发送指示密钥、算法或二者就位以计算所述第二释放令牌的指示。所述指示可以是显式的或是隐式的。

在一些实施例中，网络节点包括无线电接入网络节点(例如，lte中的enb或5g中的gnb)。在其他实施例中，网络节点包括核心网节点(例如，lte中的mme或5g中的amf)。

在一些实施例中，释放消息是响应于检测到与rrc连接相关联的无线电链路失败发送的。

在一些实施例中，网络节点/方法/计算机程序基于释放消息是否是经由缺少接入层安全的srb发送的，确定是否在释放消息中包括第一释放令牌。

本文公开的实施例可以提供一个或多个技术优点。作为示例，在某些实施例中，ue可以检测伪造的rrc连接释放消息并针对其采取动作。作为另一个示例，某些实施例防止伪造的rrc连接释放消息导致针对长期donas会话的数据丢失。作为另一个示例，某些实施例允许缩短或消除在其内ue可能遵从伪造的rrc连接释放的攻击窗口。某些实施例可以具有这些优点中的全部、一些或不具有这些优点。本领域普通技术人员可以理解其他优点。

应当注意，适当时，本文公开的实施例中的任何一个实施例中的任何特征可以应用于任何其他的实施例。同样，所述实施例中的任何一个实施例中的任何优点可以应用于其他的实施例，反之亦然。根据以下描述，所附实施例的其他目的、特征和优点将显而易见。

通常，除非本文另有明确限定，否则本文使用的所有术语根据其技术领域中的普通含义来解释。除非另有明确说明，否则对“一/一个/所述元件、设备、组件、装置、步骤等”的所有引用应被开放地解释为指代元件、设备、组件、装置、步骤等中的至少一个实例。除非明确说明，否则本文公开的任何方法的步骤不必严格以所公开的确切顺序来执行。

附图说明

图1是示出根据donas原理建立rrc连接的示例的信号流程图。

图2是示出释放rrc连接的示例的信号流程图。

图3是示出根据本公开的某些实施例的在释放rrc连接时使用释放令牌的示例的信号流程图。

图4是示出根据本公开的某些实施例的无线网络的示例的框图。

图5是示出根据本公开的某些实施例的用户设备的示例的框图。

图6是示出根据本公开的某些实施例的用于在无线设备中使用的示例方法的流程图。

图7是示出根据本公开的某些实施例的用于在网络节点中使用的示例方法的流程图。

图8示出根据本公开的某些实施例的可以被包括在网络节点或无线设备中的模块的示例。

具体实施方式

现在将在下文参考附图更全面地描述本文所设想的一些实施例。然而，其他实施例被包含在本公开的范围内，并且本发明不应被解释为仅限于本文阐述的实施例；而是这些实施例作为示例被提供，以将本发明构思的范围传达给本领域的技术人员。在说明书全文中，相似的标记指代相似的元件。

在图3中示出在本文中所公开的所提出的方案的实施例。图3中所示出的主要思想是ue和enb使用释放令牌来验证rrc连接释放消息(rrc连接释放可以互换地称为消息、命令或指令)。释放令牌由enb发送并由ue使用来确定rrc连接释放消息是真实的。通过保证rrc连接释放消息是真实的，可以减轻伪造的rrc连接释放消息的影响。

在步骤102，在ue和网络(包括源enb和mme)之间执行前述的rrc连接建立和nas附接过程的步骤。这些步骤可以根据当前规范中的现有机制执行或可以使用已知技术。为了简洁没有描述这些步骤的说明。

在步骤102之后，该方法进行到步骤104。在步骤104，ue和网络(enb和/或mme)已经商定共享的密钥和公共算法。某些实施例可以独立于ue与之商定密钥和算法的网络节点/功能是否是enb和/或mme。如上文提及的，存在保护免受伪造的rrc连接重建消息之害的各种已知技术，这些已知技术依赖于与enb且还与mme具有共享密钥/算法的ue。

在步骤106，执行ue使用donas发送数据的中间步骤。所述中间步骤遵循当前规范中的现有机制或使用已知技术。为了简洁没有描述这些步骤的说明。

当enb决定释放与ue的rrc连接时，enb在步骤108获得释放令牌。释放令牌是基于来自步骤104的共享密钥和商定的算法获得的。enb获得释放令牌的一种方式是从mme得到释放令牌(在图3中未示出)。释放令牌可以提前从mme获得/在需要释放令牌之前从mme获得，或者，可以在需要释放令牌时向mme请求释放令牌。enb获得释放令牌的另一个方式是enb自己计算释放令牌。在前一种情况(enb从mme获得释放令牌的情况)下，具有共享密钥/算法的是ue和mme。在后一种情况(enb计算释放令牌的情况)下，具有共享密钥/算法的是ue和enb。

在任何一种情况下提出：利用以下中的一项或多项作为输入，使用商定算法来计算释放令牌：共享密钥、源小区/enb的物理小区标识(pci)、一个或多个新参数、和/或常量。可以使用的新参数的示例包括：ue当前的小区无线电网络临时标识符(c-rnti)或任何随机产生的值(通常被称作随机数(nonce))。使用c-rnti的优点是：ue和enb都知道c-rnti且因此无需利用rrcconnectionrelease消息传递c-rnti。可以使用的常量的示例是字符串“release-ciot(释放-ciot)”。该常量允许区分释放令牌和针对不同用例使用相同的共享密钥和算法计算的其他可能的令牌。在某些实施例中，输入至少包括共享密钥。在一些实施例中，可以使用全局小区标识(例如，小区全局标识符(cgi)或扩展cgi(ecgi))来替换输入中的pci。如果是mme计算释放令牌并将释放令牌给enb，则mme应例如通过从源enb接收信息或从某数据库取得信息，知道原则上属于源小区/enb的信息(例如，pci和c-rnti)。

在步骤110，enb在rrcconnectionrelease消息或类似项中包括所计算的释放令牌，并且ue接收rrcconnectionrelease消息和enb所提供的释放令牌。

在步骤112，ue验证enb所提供的释放令牌。为此，ue比较接收到的释放令牌和由自身所计算的释放令牌。ue使用与enb/mme相同的机制(如上文所述的相同的算法和参数)计算释放令牌。

在步骤114，如果验证成功(即，接收到的令牌与ue所计算的释放令牌匹配)，则ue执行rrc连接释放过程。否则，如果验证失败(即，接收到的释放令牌与ue所计算的释放令牌不匹配)，则ue采取某动作。这些动作的示例可以是忽略该连接释放消息；备选地，ue可以触发rlf和/或rrc连接重建过程或某种其他恢复或失败处理过程。

消息和与所述消息相对应的消息名称以及上文所引用的消息名称在不同的技术中可以是不同的。例如，在nb-iot中，rrcconnectionrelease-nb(rrc连接释放-nb)和rrcconnectionrelease可以互换使用。

如果攻击者试图在ue和网络已经商定密钥/算法之前发送rrc连接释放，则ue除了遵从该消息之外没有选择。这种情况不太引人注意或对于攻击者变得更困难，因为首先，攻击时间窗很短，其次，没有攻击者可以阻碍的数据传递。换言之，攻击的动机变得更少。而且，攻击影响减小到变得与无线电干扰类似。

鉴于此，应理解，在ue和网络具有就位(inplace)的商定的密钥/算法之后，本文提出的方案防止正在进行的上行链路/下行链路数据(特别是保护了长期会话的正在进行的数据传递)由于伪造的rrc连接释放消息的损失。ue和网络需要隐式地或显式地同步密钥/算法就位，并且下一rrc连接释放必须包含有效的释放令牌，例如，当释放令牌是由mme生成时成功的nas安全模式命令过程，证明enb具有所需要的密钥/算法的从enb到ue的某个下行链路比特或下行链路令牌(如2017年1月30日提交的临时申请u.s.62/451,866中更详细地讨论的)。作为非限制性示例，借助于例如l2或l3信令，例如利用rrc消息或rrc消息中的指示，网络节点可以显式地提供该指示。

作为非限制性示例，隐式的指示可以包括：达到信令流或序列中的商定的状态或点、或在可能是可配置的或规定的某个时间(相对于某个参考时间，例如，ul或dl传输)之后。

虽然上述方案可以使用任何合适的组件在任何适当类型的系统中实现，但所描述的方案的特定实施例可以在无线网络(例如，图4中示出的示例无线通信网络)中实现。在图4的示例实施例中，无线通信网络向一个或多个无线设备提供通信和其他类型的服务。在所示的实施例中，无线通信网络包括网络节点的一个或多个实例，其促进无线设备的接入由无线通信网络提供的服务和/或对由无线通信网络提供的服务的使用。无线通信网络还可以包括适合于支持无线设备之间或无线设备与另一通信设备(例如，陆线电话)之间的通信的任何附加元件。

网络220可以包括一个或多个ip网络、公共交换电话网络(pstn)、分组数据网络、光网络、广域网(wan)、局域网(lan)、无线局域网(wlan)、有线网络、无线网络、城域网和其他网络，以实现设备之间的通信。

无线通信网络可以表示任合类型的通信网络、电信网络、数据网络、蜂窝网络和/或其他类型的系统。在特定的实施例中，无线通信网络可以被配置为根据具体标准或其他类型的预定规则或过程操作。因此，无线通信网络的特定实施例可以实现诸如全球移动通信系统(gsm)、通用移动电信系统(umts)、长期演进(lte)和/或其他合适的2g、3g、4g或5g标准之类的通信标准；诸如ieee802.11标准之类的无线局域网(wlan)标准；和/或诸如全球微波接入互操作性(wimax)、蓝牙和/或zigbee标准之类的任何其他适合的无线通信标准。

图4示出了根据特定实施例的包括网络节点200和无线设备(wd)210的更详细视图的无线网络。为了简单，图4仅描绘网络220、网络节点200(包括无线电接入网络节点200a和核心网节点200b)、以及wd210。网络节点200包括处理器202、存储器203、接口201和天线201a。类似地，wd210包括处理器212、存储器213、接口211和天线211a。这些组件可以一起工作以便提供网络节点和/或无线设备功能，例如在无线网络中提供无线连接。在不同的实施例中，无线网络可以包括任何数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站和/或可以促进或参与经由有线或无线连接进行的数据和/或信号的通信的任何其他组件。

如本文所使用的，“网络节点”指的是能够、被配置为、被布置为和/或可操作以直接或间接地与无线设备和/或与无线通信网络中的其他设备进行通信的设备，其实现和/或提供无线设备的无线接入。网络节点的示例包括但不限于接入点(ap)，特别是无线电接入点。网络节点可以表示基站(bs)，例如无线电基站。无线电基站的特定示例包括nodeb和演进型nodeb(enb)。基站可以基于它们提供的覆盖量(或者换言之，基于它们的发送功率水平)来分类，于是它们还可以被称为毫微微基站、微微基站、微基站或宏基站。“网络节点”还包括分布式无线电基站的一个或多个(或所有)部分，例如集中式数字单元和/或远程无线电单元(rru)，有时被称为远程无线电头(rrh)。这种远程无线电单元可以与或可以不与天线集成为天线集成无线电。分布式无线电基站的部分也可以被称为分布式天线系统(das)中的节点。

作为特定的非限制性示例，基站可以是中继节点或控制中继的中继施主节点。

网络节点的其他示例包括诸如msrbs之类的多标准无线电(msr)无线电设备、诸如无线电网络控制器(rnc)或基站控制器(bsc)之类的网络控制器、基站收发信台(bts)、传输点、传输节点、多小区/多播协调实体(mce)、核心网络节点(例如，msc、mme)、o&m节点、oss节点、son节点、定位节点(例如，e-smlc)和/或mdt。然而，更一般地，网络设备可以表示能够、被配置为、被布置为和/或可操作以使无线设备能够接入无线通信网络和/或提供到无线通信网络的无线设备接入或者向已经接入无线通信网络的无线设备提供一些服务的任何合适的设备(或一组设备)。

如本文所使用的，术语“无线电节点”通常用于指代无线设备和网络节点，因为每个都分别如上所述。术语“无线电接入网络节点”用于指无线电接入网络中的网络节点(例如，lte中的enb或5g中的gnb)。术语“核心网节点”用于指核心网中的网络节点(例如，lte中的mme或5g中的amf)。

在图4中，网络节点200包括处理器202、存储器203、接口201和天线201a。这些组件被描绘为位于单个较大方框内的单框。然而，在实践中，网络节点可以包括构成单个所示组件的多个不同的物理组件(例如，接口201可以包括用于有线连接的耦合线的端子以及用于无线连接的无线电收发器)。作为另一示例，网络节点200可以是虚拟网络节点，其中多个不同的物理上分离的组件进行交互以提供网络节点200的功能(例如，处理器202可以包括位于三个分离的外壳中的三个分离的处理器，其中每个处理器负责网络节点200的特定实例的不同功能)。类似地，网络节点200可以包括多个物理上分离的组件(例如，nodeb组件和rnc组件、bts组件和bsc组件等)，其可以各自具有各自的相应处理器、存储器和接口组件。在网络节点200包括多个单独的组件(例如，bts和bsc组件)的某些场景中，可以在若干网络节点之间共享一个或多个单独的组件。例如，单个rnc可以控制多个nodeb。在这种场景中，每个唯一的nodeb和bsc对可以是单独的网络节点。在一些实施例中，网络节点200可以被配置为支持多种无线电接入技术(rat)。在这种实施例中，一些组件可被复制(例如，针对不同rat存在单独的存储器203)，并且一些组件可被重用(例如，由rat共享相同的天线201a)。

处理器202可以是下述中的一个或多个的组合：微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或者任何其它合适的计算设备、资源、或硬件、软件和/或编码逻辑的组合，其可操作为单独地或与其他网络节点200组件(例如存储器203)一起提供网络节点200功能。例如，处理器202可以执行存储在存储器203中的指令。这样的功能可以包括：向无线设备(例如wd210)提供本文讨论的各种无线特征，包括本文公开的特征或益处中的任一个。

存储器203可以包括任何形式的易失性或非易失性计算机可读存储器，包括但不限于永久存储器、固态存储器、远程安装的存储器、磁介质、光介质、随机存取存储器(ram)、只读存储器(rom)、可移除介质、或任何其他适合的本地或远程存储器组件。存储器203可以存储由网络节点200使用的任何合适的指令、数据或信息，包括软件和编码逻辑。存储器203可以用于存储由处理器202做出的任何计算和/或经由接口201接收的任何数据。

网络节点200还包括接口201，所述接口201可用在网络节点200、网络220和/或wd210之间的信令和/或数据的有线或无线通信中。例如，接口201可以执行可能需要的任何格式化、编码或翻译，以允许网络节点200通过有线连接向网络220发送数据和从网络220接收数据。接口201还可以包括无线电发射器和/或接收器，所述无线电发射器和/或接收器可以耦合到天线201a，或者作为天线201a的一部分。无线电装置可以接收数字数据，该数字数据将经由无线连接发送给其他网络节点或wd。无线电装置可以将数字数据转换为具有适合的信道和带宽参数的无线电信号。无线电信号于是可以经由天线201a发送给适合的接收方(例如，wd210)。

天线201a可以是能够无线地发送和接收数据和/或信号的任何类型的天线。在一些实施例中，天线201a可以包括一个或多个全方向、扇形或平面天线，所述天线可操作以发送/接收在例如2ghz和66ghz之间的无线电信号。全向天线可以用于在任何方向上发送/接收无线电信号，扇形天线可以用于相对于设备在特定区域内发送/接收无线电信号，以及平面天线可以是用于以相对直线的方式发送/接收无线电信号的视线天线。

如本文所使用的，“无线设备(wd)”指的是能够、被配置为、被布置为和/或可操作以与网络节点和/或另一无线设备进行无线通信的设备。无线通信可以涉及使用电磁信号、无线电波、红外信号和/或适合于通过空气传送信息的其他类型的信号来发送和/或接收无线信号。在特定实施例中，无线设备可以被配置为在没有直接的人类交互的情况下发送和/或接收信息。例如，无线设备可以被设计为按照预定的调度、当由内部或外部事件触发时、或者响应于来自网络的请求来向网络发送信息。通常，无线设备可以表示能够、被配置为、被布置为和/或可操作以进行无线通信的任何设备，例如无线电通信设备。无线设备的示例包括但不限于诸如智能电话的之类用户设备(ue)。其他示例包括无线相机、支持无线的平板电脑、膝上型嵌入式设备(lee)、膝上型安装式设备(lme)、usb加密狗和/或无线客户端设备(cpe)。

作为一个特定示例，无线设备可以表示被配置用于根据由第三代合作伙伴计划(3gpp)发布的一个或多个通信标准(例如3gpp的gsm、umts、lte和/或5g标准)进行通信的ue。如本文所使用的，“用户设备”或“ue”可以不必具有拥有和/或操作相关设备的人类用户意义上的“用户”。相反，ue可以表示意在向人类用户销售或由人类用户操作但最初可能不与特定的人类用户相关联的设备。

无线设备可以例如通过实现用于侧链路通信的3gpp标准来支持设备到设备(d2d)通信，并且在这种情况下可以被称为d2d通信设备。

作为又一特定示例，在物联网(iot)场景中，无线设备可以表示执行监视和/或测量并且向另一无线设备和/或网络节点发送这种监视和/或测量的结果的机器或其他设备。在这种情况下，无线设备可以是机器到机器(m2m)设备，其在3gpp上下文中可以被称为机器型通信(mtc)设备。作为一个特定示例，无线设备可以是实现3gpp窄带物联网(nb-iot)标准的ue。这种机器或设备的具体示例是：传感器、计量设备(例如功率计)、工业机械、或家用或个人设备(例如冰箱、电视、诸如手表之类的个人可穿戴设备)等。在其他场景中，无线设备可以表示车辆或能够监视和/或报告其运行状态或与其运行相关联的其他功能的其他设备。

如上所述的无线设备可以表示无线连接的端点，在这种情况下，该设备可以被称为无线终端。此外，如上所述的无线设备可以是移动的，在这种情况下，其也可以被称为移动设备或移动终端。

如图4所示，wd210可以是能够向网络节点(例如，网络节点200)和/或其他wd无线地发送数据和/或信号以及从网络节点和/或其他wd无线地接收数据和/或信号的任何类型的无线端点、移动站、移动电话、无线本地环路电话、智能电话、用户设备、台式计算机、pda、手机、平板电脑、膝上型计算机、voip电话或手持机。wd210包括处理器212、存储器213、接口211和天线211a。与网络节点200类似，wd210的组件被示出为位于单个较大方框内的单独方框，然而，实践中无线设备可以包括构成单个所示组件的多个不同的物理组件(例如，存储器213可以包括多个分立的微芯片，每个微芯片代表总存储容量的一部分)。

处理器212可以是下述中的一个或多个的组合：微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或者任何其它合适的计算设备、资源、或硬件、软件和/或编码逻辑的组合，其可操作为单独地或与其他wd210组件(例如存储器213)组合提供wd210功能。这样的功能可以包括提供本文讨论的各种无线特征，包括本文公开的任何特征或益处。

存储器213可以是任何形式的易失性或非易失性存储器，包括但不限于永久存储器、固态存储器、远程安装存储器、磁介质、光介质、随机存取存储器(ram)、只读存储器(rom)、可移除介质、或任何其他适合的本地或远程存储器组件。存储器213可以存储由wd210使用的任何合适的数据、指令或信息，包括软件和编码逻辑。存储器213可以用于存储由处理器212做出的任何计算和/或经由接口211接收的任何数据。

接口211可以用在wd210与网络节点200之间的信令和/或数据的无线通信中。例如，接口211可以执行可能需要的任何格式化、编码或翻译，以允许wd210通过无线连接向网络节点200发送数据和从网络节点220接收数据。接口211还可以包括无线电发射器和/或接收器，所述无线电发射器和/或接收器可以耦合到天线211a，或者作为天线201a的一部分。无线电装置可以接收数字数据，该数字数据将通过无线连接发送给网络节点201。无线电装置可以将数字数据转换为具有适合的信道和带宽参数的无线电信号。无线电信号于是可以经由天线211a发送给网络节点200。

天线211a可以是能够以无线方式发送和接收数据和/或信号的任何类型的天线。在一些实施例中，天线211a可以包括一个或多个全方向、扇形或平面天线，所述天线可操作用于发送/接收在2ghz和66ghz之间的无线电信号。为了简单，依据正在使用的无线信号的范围，天线211a可被认为是接口211的一部分。

如图5中所示，用户设备300是示例无线设备。ue300包括天线305、无线电前端电路310、处理电路315、以及计算机可读存储介质330。天线305可以包括一个或多个天线或天线阵列，并且被配置为发送和/或接收无线信号，并且被连接至无线电前端电路310。在某些备选实施例中，无线设备300可以不包括天线305，并且天线305可以替代地与无线设备300分离并且可通过接口或端口连接到无线设备300。

无线电前端电路310可以包括各种滤波器和放大器，可以被连接到天线305和处理电路315，并且可以被配置为调节在天线305与处理电路315之间传送的信号。在某些备选实施例中，无线设备300可以不包括无线电前端电路310，作为替代，处理电路315可以在没有无线电前端电路310的情况下连接到天线305。

处理电路315可以包括射频(rf)收发器电路、基带处理电路和应用处理电路中的一个或多个。在一些实施例中，rf收发器电路、基带处理电路、以及应用处理电路可以在分离的芯片组上。在备选实施例中，基带处理电路和应用处理电路的一部分或全部可以被组合成一个芯片组，而rf收发器电路可以位于分离的芯片组上。在另外的备选实施例中，rf收发器电路和基带处理电路的一部分或全部可以位于同一芯片组上，而应用处理电路可以位于分离的芯片组上。在其他备选实施例中，rf收发器电路、基带处理电路和应用处理电路的一部分或全部可以组合在同一芯片组中。处理电路315可以包括例如一个或多个中央处理单元(cpu)、一个或多个微处理器、一个或多个专用集成电路(asic)和/或一个或多个现场可编程门阵列(fpga)。

在特定实施例中，本文描述为由无线设备提供的功能中的一些或全部可以由处理电路315来提供，其中该处理电路315执行存储在计算机可读存储介质330上的指令。在备选实施例中，可以由处理电路315例如以硬连线方式来提供功能中的一些或全部，而无需执行存储在计算机可读介质上的指令。在这些特定实施例中的任何实施例中，无论是否执行存储在计算机可读存储介质上的指令，都可以说处理电路被配置为执行所描述的功能。由这种功能提供的益处不仅限于单独的处理电路315或ue300的其他组件，而是作为整体由无线设备享有和/或通常由终端用户和无线网络享有。

天线305、无线电前端电路310和/或处理电路315可以被配置为执行本文描述为由无线设备执行的任何接收操作。可以从网络节点和/或另一无线设备接收任何信息、数据和/或信号。

处理电路315可以被配置为执行本文描述为由无线设备执行的任何确定操作。由处理电路315执行的确定可以包括通过以下操作来处理由处理电路315获得的信息：例如，将所获得的信息转换成其他信息，将所获得的信息或所转换的信息与存储在无线设备中的信息进行比较，和/或执行基于所获得的信息或所转换的信息的一个或多个操作；并且作为所述处理的结果进行确定。

天线305、无线电前端电路310和/或处理电路315可以被配置为执行本文描述为由无线设备执行的任何发送操作。可以将任何信息、数据和/或信号发送给网络节点和/或另一无线设备。

计算机可读存储介质330通常可操作以存储指令，例如计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个在内的应用和/或能够被处理器执行的其他指令。计算机可读存储介质330的示例包括计算机存储器(例如，随机存取存储器(ram)或只读存储器(rom))、大容量存储介质(例如硬盘)、可移除存储介质(例如紧凑盘(cd)或数字视频盘(dvd))、和/或存储信息、数据和/或可以由处理电路315使用的指令的任何其他易失性或非易失性、非暂时性计算机可读和/或计算机可执行存储器。在一些实施例中，可以认为处理电路315和计算机可读存储介质330是集成的。

ue300的备选实施例可以包括图5所示这些组件之外的附加组件，所述附加组件可以负责提供ue的功能(包括本文描述的任何功能中的任一者和/或支持上述的方案所需的任何功能)的某些方面。仅作为一个示例，ue300可以包括输入接口、设备和电路，以及输出接口、设备和电路。输入接口、设备和电路被配置为允许将信息输入到ue300中，并且被连接到处理电路315以允许处理电路315处理输入信息。例如，输入接口、设备和电路可以包括麦克风、接近或其他传感器、按键/按钮、触摸显示器、一个或多个相机、usb端口或其他输入元件。输出接口、设备和电路被配置为允许从ue300输出信息，并且被连接到处理电路315以允许处理电路315从ue300输出信息。例如，输出接口、设备或电路可以包括扬声器、显示器、振动电路、usb端口、耳机接口或其他输出元件。ue300可以使用一个或多个输入和输出接口、设备和电路来与端用户和/或无线网络进行通信，并允许它们受益于本文描述的功能。

作为另一个示例，ue300可以包括电源335。电源335可以包括电源管理电路。电源335可以从供电源接收电力，其中该供电源可以被包括在电源335中或者在电源335外部。例如，ue300可以包括电池或电池组形式的电源，其连接到或集成在电源335中。也可以使用其他类型的电源，例如光伏器件。作为另一示例，ue300可以经由输入电路或接口(例如，电缆)连接到外部电源(例如，电插座)，由此外部供电源向电源335供电。电源335可以连接到无线电前端电路310、处理电路315、和/或计算机可读存储介质330，并且被配置为向ue300(包括处理电路315)提供用于执行本文描述的功能的电力。

ue300还可以包括用于集成到无线设备300中的不同无线技术(例如，gsm、wcdma、lte、nr、wi-fi或蓝牙无线技术)的处理电路315、计算机可读存储介质330、无线电电路310和/或天线305的多个集合。这些无线技术可以集成到无线设备300内的相同或不同的芯片组和其他组件中。

图6示出可以由已经与网络建立rrc连接的无线设备执行的方法的示例。可以执行图6的方法的无线设备的示例包括在上文针对图4所描述的wd210和在上文针对图5所描述的ue300。

在一些实施例(例如，基于令牌的验证在一些环境中可以使用而在其他环境中不可以使用的实施例)中，无线设备获得指示无线设备要使用释放消息的基于令牌的验证的信息。例如，如果无线设备可以连接至不同网络，这些网络中的一些可以支持这种基于令牌的验证而一些可能不支持，则无线设备可能需要知道例如：是否需要用于接受释放的令牌、和/或一些网络是否应被去优先化(deprioritized)或甚至应被避免(因为这些网络不支持安全释放)或一些网络应被优先化(prioritized)以支持更安全的释放处理。同样，因为可能潜在地有令牌(还)不可用的初始阶段，所以能够指示无线设备在其之后不应接受缺少有效令牌的释放消息的点是有用的。因此，基于令牌的验证是否就位的指示是在接收释放消息之前接收的。该指示可以是隐式的或显式的。作为示例，对基于令牌的验证就位的隐式指示可以基于到达信令流中的某点或基于定时器(例如，在某个时间量之后，基于令牌的验证就位)。作为另一个示例，(如在下文中关于步骤600所描述的)接收密钥、算法或二者就位以计算释放令牌的指示可以被理解为对基于令牌的验证就位的指示。如果基于令牌的验证就位，则无线设备可以获得其释放令牌(例如，在一些实施例中，无线设备获得密钥、算法或二者以计算其释放令牌)。

在600处，无线设备获得密钥、算法或二者就位以计算释放令牌的指示。该指示是在接收使用释放令牌的释放消息(例如，下文所讨论的步骤602的释放消息)之前获得的。该指示可以显式地或隐式地获得。作为非限制性示例，借助于例如l2或l3信令，例如利用rrc消息或rrc消息中的指示，无线设备可以从网络显式地接收该指示。作为非限制性示例，无线设备可以通过达到信令流或序列中的商定的状态或点、或在可能是可配置的或规定的某个时间(相对于某个参考时间，例如，ul或dl传输)之后，从网络隐式地接收该指示。在从网络节点接收指示的实施例中，该指示可以是从任何合适的网络节点(例如，核心网节点或无线电接入网络节点)接收的。

在步骤602，无线设备从网络节点接收释放消息。该释放消息包括：第一释放令牌和用于释放rrc连接的指令。例如，如果还没有针对rrc连接建立as安全、如果还没有针对rrc连接建立drb、或如果rrc连接支持cp-ciot或donas功能，则网络节点可以选择包括释放令牌。在一些实施例中，释放消息是经由缺少接入层安全的srb接收的。第一释放令牌可以是经由接入层信令接收的(例如，在无线电接入网络节点向无线设备提供第一释放令牌的情况下)或是经由非接入层信令接收的(例如，在核心网节点向无线设备提供第一释放令牌的情况下)。在非接入层信令的情况下，核心网节点可以经由无线电接入网络节点向无线设备传送第一释放令牌，而无线电接入网络节点无需解释第一释放令牌。

在步骤604，无线设备确定第一释放令牌是否通过验证。在某些实施例中，如果在步骤602的释放消息中接收的第一释放令牌与由无线设备获得的第二释放令牌匹配，则无线确定第一释放令牌通过验证。例如，无线设备可以通过计算第二释放令牌来获得第二释放令牌。在一些实施例中，第二释放令牌是至少部分基于在无线设备和网络之间共享的密钥和/或至少部分基于无线设备和网络之间所商定的算法而计算的。例如，无线设备可以基于步骤600中的指示密钥、算法或二者就位以计算释放令牌的指示来计算第二释放令牌。

在步骤606，无线设备基于步骤604中的第一释放令牌是否通过验证来确定要执行的动作。例如，响应于确定第一释放令牌通过验证，所述动作包括释放rrc连接。相反，响应于确定第一释放令牌验证失败，所述动作可以包括开始用于重建rrc连接的过程和/或忽略用于释放rrc连接的指令。

在步骤608，无线设备执行步骤606中所确定的动作(例如，无线设备根据在释放消息中接收的第一令牌是否与由无线设备所获得的第二令牌匹配来遵从或忽略用于释放rrc连接的指令)。

图7示出可以由已经与无线设备建立rrc连接的网络节点执行的方法的示例。可以执行图7的方法的网络节点的示例包括无线电接入网络节点(例如，使用接入层信令)或核心网节点(例如，使用非接入层信令)。在上文中针对图4描述了无线电接入网络节点200a(例如，lte中的enb或5g中的gnb)和核心网节点200b(例如，lte中的mme或5g中的amf)。

在一些实施例(例如，基于令牌的验证在一些环境中可以使用而在其他环境中不可以使用的实施例)中，网络节点获得无线设备要使用释放消息的基于令牌的验证的信息。作为示例，网络节点可以确定基于令牌的验证就位，可以基于到达信令流中的某点或基于定时器(例如，在某个时间量之后，基于令牌的验证就位)。基于令牌的验证是否就位的指示是在发送释放消息之前获得的。在一些实施例中，网络节点可以向无线设备指示基于令牌的验证就位。该指示可以是隐式的或显式的。作为一个示例，(如在下文中关于步骤700所描述的)发送密钥、算法或二者就位以计算释放令牌的指示可以被理解为对基于令牌的验证就位的指示。

在700处，网络节点向无线设备提供密钥、算法或二者就位以计算释放令牌的指示。该指示在发送使用释放令牌的释放消息(例如，下文所时论的步骤702的释放消息)之前被提供给无线没备。该指示可以被显式地或隐式地提供。作为非限制性示例，借助于例如l2或l3信令，例如利用rrc消息或rrc消息中的指示，网络节点可以显式地提供该指示。作为非限制性示例，网络节点可以通过达到信令流或序列中的商定的状态或点、或在可能是可配置的或规定的某个时间(相对于某个参考时间，例如，ul或dl传输)之后，隐式地提供该指示。

在步骤702，网络节点获得第一释放令牌。获得第一释放令牌以与无线设备将基于步骤700中的指示而获得/或计算的第二释放令牌匹配。在一些实施例中，网络节点通过计算第一释放令牌获得第一释放令牌。例如，第一释放令牌可以是基于无线设备和网络之间共享密钥和/或无线设备和网络之间所商定的算法(例如，步骤700中所指示的密钥/算法)计算的。另外地或备选地，第一释放令牌可以至少部分基于从另一个网络节点接收的信息来计算。例如，可以在步骤700中由核心网节点向无线设备隐式地或显式地指示密钥/算法，并且可以在步骤702中由核心网节点向无线电接入网络节点指示密钥/算法，使得无线设备和无线电接入网络节点可以计算匹配的释放令牌。

在另一个实施例中，网络节点从另一个网络节点获得第一释放令牌(即，第一释放令牌自身)。在某些实施例中，当执行所述方法的网络节点是无线电接入网络节点(例如，基站)时，第一释放令牌可以从核心网节点(例如，lte中的mme或5g中的amf)获得。例如，核心网节点可以基于步骤700中所指示的密钥/算法来计算第一释放令牌，并且可以向无线电接入网络节点提供所计算的第一释放令牌。

在某些实施例中，在步骤702中获得第一释放令牌可以包括：例如，在网络节点先前已经计算出第一释放令牌或先前已从另一个网络节点接收第一释放令牌的情况下，从网络节点的存储器中获取第一释放令牌。

在步骤704，网络节点向无线设备发送释放消息。在某些实施例中，释放消息是响应于检测到与rrc连接相关联的无线电链路失败发送的。该释放消息包括第一释放令牌和用于释放rrc连接的指令。例如，如果还没有针对rrc连接建立as安全、如果还没有针对rrc连接建立drb、或如果rrc连接支持cp-ciot或donas功能，则网络节点可以确定包括释放令牌。在一些实施例中，释放消息是经由缺少接入层安全的srb发送的。另外，在某些实施例中，因为正经由缺少接入层安全的srb发送释放消息，所以网络节点确定要在释放消息中包括第一释放令牌(换言之，对于已建立接入层安全的情况，网络节点可以确定不使用释放令牌)。

第一释放令牌可以经由接入层信令发送(例如，在无线电接入网络节点执行所述方法的情况下)或经由非接入层信令发送(例如，在核心网节点执行所述方法的情况下)。在非接入层信令的情况下，核心网节点可以经由无线电接入网络节点向无线设备传送第一释放令牌，而无线电接入网络节点无需解释第一释放令牌。

在步骤704中发送第一释放令牌向无线设备指示：所述释放消息是真实的，使得无线设备可以继续释放rrc连接。

图8示出根据某些实施例的可以被包括在网络节点(例如，无线电接入节点200a或核心网节点200b)或无线设备(例如，wd210或ue300)中的一个或多个模块的示例。在某些实施例中，可以在处理电路(例如，网络节点200的处理器202的电路、wd210的处理器212的电路或ue300的处理电路315)中实现所述模块中的一个或多个。例如，处理电路可以被配置为执行在存储在非暂时性计算机可读介质(例如，网络节点200的存储器203、wd210的存储器213或ue300的存储器330)中的计算机程序中编码的逻辑。图8中所描绘的模块包括连接管理模块802、令牌管理模块804、以及通信模块806。模块可以以任何合适的方式集成或分割，并且某些实施例可以使用更多、更少或不同的模块提供所描述的功能。

关于在网络节点中实现模块802、804和/或806的实施例，连接管理模块802可以被配置为建立并释放网络节点和无线设备之间的rrc连接。令牌管理模块804可以被配置为管理促进释放rrc连接的释放令牌。在某些实施例中，令牌管理模块804可以获得/计算第一释放令牌(例如，如针对图7的步骤702所描述的)。在某些实施例中，令牌管理模块804可以确定要向无线设备提供的信息(例如，密钥/算法)，使得无线设备可以获得/计算与第一释放令牌匹配的第二释放令牌。通信模块806可以向无线设备发送消息并从无线设备接收消息。连接管理模块802、令牌管理804、以及通信模块806可以经由接口808彼此通信。例如，在一些实施例中，连接管理模块802可以命令通信模块806向无线设备传送与建立rrc连接有关的消息。在rrc连接建立之后，通信模块806可以从令牌管理模块804接收用于获得/计算第二释放令牌的密钥/算法，并且可以向无线设备发送密钥/算法的显式指示(例如，如针对图7的步骤700所描述的)。连接管理模块802随后可以(例如，基于检测到无线电链路失败)确定释放rrc连接。连接模块802可以命令通信模块806向无线设备发送释放消息。连接模块802可以从令牌管理模块804获得第一释放令牌，并且可以向无线设备发送包括第一释放令牌的释放消息(例如，如针对图7的步骤704所描述的)。

关于在无线设备中实现模块802、804和/或806的实施例，连接管理模块802可以被配置为建立并释放网络节点和无线设备之间的rrc连接。令牌管理模块804可以被配置为获得/计算并验证促进释放rrc连接的释放令牌。通信模块806可以向网络节点发送消息并从网络节点接收消息。连接管理模块802、令牌管理804、以及通信模块806可以经由接口808彼此通信。

例如，在一些实施例中，连接管理模块802可以命令通信模块806向网络节点传送与建立rrc连接有关的消息。在rrc连接建立之后，通信模块806可以从网络节点接收指示用于获得/计算第二释放令牌的密钥/算法的指示(例如，如针对图6的步骤600所描述的)。通信模块806可以向令牌管理模块804提供密钥/算法，使得令牌管理模块804可以计算第二释放令牌。通信模块806可以随后从网络节点接收包括第一释放令牌的释放消息(例如，如针对图6的步骤602所描述的)。通信模块806可以将所接收的第一释放令牌提供给令牌管理模块804。令牌管理模块804可以确定所接收的第一释放令牌是否通过验证(例如，如针对图6的步骤604所描述的)。例如，令牌管理模块可以检查所接收的第一释放令牌是否与所计算的第二释放令牌匹配。令牌管理模块804向连接管理模块802指示第一释放令牌是否通过验证。连接管理模块802然后可以确定要执行的动作(例如，如针对图6的步骤606所描述的)。例如，如果第一释放令牌通过验证，则连接管理模块802可以确定释放连接并且可以释放该连接(例如，如针对图6的步骤608所描述的)。在某些实施例中，连接管理模块802可以命令通信模块806向网络节点传送与释放连接有关的消息。

本文描述的任何步骤或特征仅是对某些实施例的说明。并不要求所有实施例都包含所公开的所有步骤或特征，也不要求以本文描绘或描述的确切顺序执行这些步骤。此外，一些实施例可以包括本文未示出或描述的步骤或特征，包括本文公开的一个或多个步骤所固有的步骤。

可以通过计算机程序产品执行任何适当的步骤、方法或功能，该计算机程序产品可以例如由上述图中的一个或多个所示的组件和设备执行。例如，存储器203可以包括计算机可读装置，计算机程序可以存储在该计算机可读装置上。该计算机程序可以包括使处理器202(以及任何可操作地耦接的实体和设备，例如接口201和存储器203)执行根据本文描述的实施例的方法的指令。计算机程序和/或计算机程序产品可以因此提供执行本文公开的任何步骤的手段。

可以通过一个或多个功能模块执行任何适当的步骤、方法或功能。每个功能模块可以包括由例如处理器执行的软件、计算机程序、子程序、库、源代码或任何其他形式的可执行指令。在一些实施例中，每个功能模块可以在硬件和/或软件中实现。例如，一个或多个或所有功能模块可以由处理器212和/或202实现，可能与存储器213和/或203协作来实现。因此，处理器212和/或处理器202以及存储器213和/或存储器203可以被布置为允许处理器212和/或处理器202从存储器213和/或存储器203获取指令，并执行所获取的指令，以允许相应的功能模块执行本文公开的任何步骤或功能。

以上已经参考一些实施例主要地描述了本发明的某些方面。然而，本领域技术人员容易理解，除了上文公开的实施例之外的其他实施例也是同样可能的且在本发明的范围内。类似地，虽然已经讨论了许多不同的组合，但是并没有公开所有可能的组合。本领域技术人员将理解在本发明构思的范围内存在其他组合。此外，如本领域技术人员所理解的，本文公开的实施例也同样适用于其他标准和通信系统，并且结合其他特征公开的来自特定附图的任何特征可以适用于任何其他附图和/或可以与不同的特征组合。