IAB安全的制作方法

下面的公开涉及集成访问和回传(integratedaccessandbackhaul，iab)网络中的安全性过程，尤其是提供ip层之下的完整性保护。

背景技术：

无线通信系统，例如第三代(thethird-generation，3g)移动电话标准和技术，是众所周知的。这种3g标准和技术是由第三代合作伙伴项目(thirdgenerationpartnershipproject，3gpp)所开发的。第三代无线通信一般已被发展成支持宏蜂窝移动电话通信。通信系统和网络已向宽带和移动系统发展。

在蜂窝无线通信系统中，用户设备(userequipment，ue)通过无线链路连接到无线访问网(radioaccessnetwork，ran)。ran包括一组基站，其向位于基站覆盖的小区中的ue提供无线链路，以及到核心网络(corenetwork，cn)的接口，该cn提供全网控制。将可以理解的是，ran和cn各自执行与全网相关的各自功能。为了方便起见，术语蜂窝网络将用于指代组合ran&cn，并且应当理解的是，该术语用于指代用于执行所公开的功能的各个系统。

3gpp已经开发了所谓的长期演进(longtermevolution，lte)系统，即演进通用移动电通信系统陆地无线访问网络(evolveduniversalmobiletelecommunicationsystemterritorialradioaccessnetwork，e-utran)，用于移动访问网络，其中一个或多个宏小区由称为enodeb或enb(evolvednodeb)的基站支持。最近，lte正朝着所谓的5g或新空口(newradio，nr)系统进一步发展，其中一个或多个小区由称为gnb的基站支持。nr被提议使用正交频分复用(orthogonalfrequencydivisionmultiplexed，ofdm)物理传输格式。

nr协议旨在提供在未授权的无线频带中操作的选项，称为nr-u。当在未许可的无线频带中操作时，gnb和ue必须与其他设备竞争，以进行物理介质/资源访问。例如，wi-fi、nr-u和授权辅助访问(licenceassistedaccess，laa)可能使用相同的物理资源。

无线通信的趋势是提供较低延迟和较高可靠性的服务。例如，nr旨在支持超可靠和低延迟通信(ultra-reliableandlow-latencycommunications，urllc)，大规模机器类型通信(massivemachine-typecommunications，mmtc)旨在为小数据包(通常为32字节)提供低延迟和高可靠性。已经提出的1ms的用户平面延迟，其可靠性为99.99999％，物理层的数据包丢失率为10^-5或10^-6。

mmtc服务旨在通过高能效的通信信道在较长的使用寿命内支持大量设备，每个设备之间的数据传输偶尔发生。例如，一个小区预计支持成千上万的设备。

下面的内容涉及蜂窝无线通信系统的各种改进。

技术实现要素：

提供了一种在iab网络中分发完整性保护和验证配置的方法，该方法包括以下步骤：从所述iab网络的iab施主节点向所述iab网络的至少一个其他节点传输完整性保护和所述验证配置，其中，配置包括用于所述完整性保护和验证的参数，验证的业务发生在配置被传输到的所述iab网络的iab节点之间，所述完整性保护和所述验证位于ip层之下的层。

还提供了一种为数据传输配置iab网络的方法，该方法包括以下步骤：在所述iab网络的施主节点处，生成用于所述施主节点和访问iab节点之间的传输路由的安全性配置，其中，所述安全性配置用于在ip层之下的层对形成所述传输路由的每个链路进行完整性保护，并将所述安全性配置的相关参数传输给形成所述传输路由的iab节点，以使得每个iab节点对由各节点传输的数据应用所述完整性保护，或者对由所述各节点接收的业务验证所述完整性保护，其中形成所述传输路由的所述每个iab节点被配置为丢弃未通过所述完整性验证的任何接收业务。

本发明还提供了一种在iab网络中进行数据传输的方法，该方法包括以下步骤：在第一iab节点处，根据ip层之下的层的安全性配置对要通过所述iab网络在传输路由的第一链路上传输的业务应用完整性保护；通过所述第一链路向第二iab节点传输完整性保护业务；在所述第二iab节点处接收所述业务并验证所述业务的所述完整性保护；如果所述完整性保护没有通过验证，则丢弃所述业务。

还提供了一种在iab网络中进行数据传输的方法，该方法包括以下步骤：在过渡iab节点处从第一iab节点接收业务；根据安全性配置验证所述业务的完整性保护；如果没有通过验证，则丢弃所述业务；以及如果通过验证，则在ip层之下的层应用所述完整性保护，并将所述业务传输到第二iab节点。

所述安全性配置可用于传所述输路由的节点之间的上行链路传输和/或下行链路传输。

所述安全性配置可以根据逻辑信道、按ue或按承载来定义。

所述安全性配置可以包括pdu序列号、逻辑信道标识符、承载身份、ue身份、密钥、方向、pdu中的至少一个。

所述安全性配置可以包括发送方iab节点地址、路由标识符和iab节点位置中的至少一个。

所述安全性配置可用于生成密钥，所述密钥应用所述完整性保护或验证所述完整性保护。

在应用完所述整性保护之后，消息认证码可以包括在传输的数据中。

所述安全性配置可以被传输到形成传输路由的所有所述iab节点。

所述安全性配置可以被传输到所述iab网络中的所有所述iab节点。

所述完整性保护和验证配置可用于应用于用户业务。

所述完整性保护和验证配置可用于应用于信令业务。

附图说明

本发明的进一步细节、方面和实施例将通过示例参照附图来描述。图中的元件仅仅为了以简单明了的方式进行说明，并不一定按比例绘制。为了便于理解，在相应的附图中包括了类似的参考标号。

图1示出了蜂窝通信网络的选定组件的示意图；

图2示出了iab网络的总图；

图3示出了iab网络的参考体系结构；

图4和图5示出了iab网络的协议安排；

图6示出了在iab网络中基于逻辑信道分发安全性配置的方法；

图7示出了在基于逻辑信道的iab网络中的下行链路完整性保护的方法；

图8示出了在基于逻辑信道的iab网络中的上行链路完整性保护的方法；

图9示出了在iab网络中基于ue身份(identity，id)分发安全性配置的方法；

图10示出了在iab网络中基于ue身份的下行链路完整性保护的方法；

图11示出了在iab网络中基于承载身份分发安全性配置的方法；和

图12示出了在iab网络中基于承载身份的下行链路完整性保护的方法。

具体实施方式

本领域技术人员将认识到并理解，下面仅以示例的方式描述本发明的实施例，本文中的教导可适用于各种替代方案。

图1示出了形成蜂窝网络的三个基站(例如，取决于特定蜂窝标准和术语的enb或gnb)的示意图。通常，每个基站将由一个蜂窝网络运营商部署，以为该区域中的ue提供地理覆盖。基站形成无线区域网络(radioareanetwork，ran)。每个基站为其区域或小区中的ue提供无线覆盖。基站通过x2接口互连，并通过s1接口连接到核心网络。可以被理解的，为了举例说明蜂窝网络的关键特征，仅示出了基本细节。图1中提到的接口和组件名称仅用于示例，不同的系统，按照相同的原理操作，可能使用不同的名称。

每个基站包括硬件和软件，以实现ran的功能，该功能包括与核心网络和其他基站的通信、在核心网络和ue之间传送控制和数据信号，以及维持与每个基站相关联的ue的无线通信。核心网络包括硬件和软件，以实现网络功能，例如总体网络管理和控制，以及调用和数据路由。

集成访问和回传(integratedaccessbackhaul，iab)是用在nr中的技术，以允许访问和回传的传输共享无线资源。如图2所示，基站200、201和具有有线传输连接的基站202之间具有无线回传链路。每个基站为ue提供连接，并且适当地通过无线回传连接。

图3示出了根据tr38.874的iab架构的参考图。iab施主被视为一个单一的逻辑节点，该节点包含一组功能，例如gnb-du、gnb-cu-cp、gnb-cu-up和潜在的其他功能。在部署中，iab施主可以根据这些功能进行拆分，可以是同位的，也可以是ng-ran体系结构允许的非同位的。施主节点和ue之间的iab节点被称为中继节点，ue连接的节点是访问节点。

安全性包括保密性和完整性保护多个方面，以克服在移动设备(例如ue)和无线网络实体(例如施主gnb)之间引入中继节点的情况下的安全威胁。一种安全威胁可能是对信令或数据业务的攻击，该业务包括修改接口上的业务。对于用户业务，通信的数据有效载荷或协议报头可以被修改。通过改变ue和ran之间的un接口上的用户业务的gtp协议报头，可以将来自一个(受害者)ue的业务重新指向到另一个(攻击者)ue。

完整性保护允许系统检测接口上的业务修改。在蜂窝系统中，完整性保护由标准提供，但其实现由网络运营商选择。例如，来自ue的没有被完整性保护的用户业务是可接受的，但是如果信令业务向用户提供注册和连接控制的基线服务，则从中继节点到网络的信令业务是不可接受的。即使接口上的业务没有被修改，攻击者也可以重放该业务。重放保护可与完整性保护一起提供。

有两种完整性保护方案：

·端到端(end-to-end，e2e)保护用于从中继无线节点实体透明地保护中继节点和核心网络之间的ue的消息。这种保护可以通过ts33.210规范下的nds/ip(ipsec)协议来执行。

·逐跳(hop-by-hop，hbh)保护用于保护中继节点和核心网络之间的ue消息，可以通过nds/ip(ipsec)协议来执行，或者中继节点之间的消息，可以通过ts36.323规范下的as(pdcp)协议来执行。

作为背景，图4示出了一种单跳lte中继节点系统中un接口上的安全性保护选项。

图5示出了在iab网络中多跳转发的简化体系结构，该架构旨在提供减少的延迟以及使用“rlc/adapt”适配层。

由于iab网络包括数量可变的连接和接口，因此可能会增加安全威胁的机会。施主iab节点和访问iab节点之间的端到端的完整性保护意味着只有当业务到达另一端时，才能检测到两端之间的业务的任何修改。因此，在通过一系列iab中继节点的中继期间，在业务到达一端之前，不能检测到对业务的修改。这种通过网络传输修改后的业务的做法浪费了本来可以用来传输未修改业务的无线资源。

这种困难可以通过逐跳安全性来解决，但是传统系统在实现的复杂性和成本方面存在缺点。nds/ip(ipsec)协议要求实现rfc-2401中规定的ipsec安全关联，以及rfc-2407、rfc-2408、rfc-2409中规定的用于ipsecsa协商的ike协议。pdcp协议要求实现要创建的另一个协议(rrc)，激活安全性密钥，然后继续进行完整性/验证保护。

为了克服现有技术相关联的困难，以及提供在iab系统中的完整性保护，本申请公开了在ip层之下的层应用安全性规定。为路由上的每个iab节点提供合适的参数，使得数据可以被完整性保护以便在每个链路上传输，并且数据在下一个节点被完整性验证。如果数据未通过完整性检查，则可以丢弃数据，而无需通过网络中的其余链路进行传输。因此，网络资源不会被浪费来传输无效数据。

在ip层之下的层上，基于逻辑信道、ue或承载的粒度逐跳地应用完整性保护。适当的标识符从iab施主节点(为相关ue充当gnb)传输到需要应用保护的每个iab节点。发送方iab节点为每跳使用这些标识符来生成用于保护相关跳的完整性密钥。可以为完整性保护配置协议，如nds/ip、pdcp。

每个iab节点都需要发送方iab节点的地址为在iab节点处接收到的来自发送方节点的数据生成完整性密钥。如果接收到的数据来自入侵者节点，而不是正确的发送方节点，则能够进行检测。

路由(在施主iab节点和访问iab节点之间)标识符和路由中的iab节点的位置可以用作在iab节点处生成完整性密钥的输入参数。

pdu序列号、逻辑信道标识符(和/或承载标识符)或ue标识符、密钥、方向和pdu可用作完整性保护和验证算法的输入参数。使用这些参数允许iab节点在逻辑信道上唯一地标识pdu。因此，在pdu被入侵者重新传输的地方可以检测篡改攻击和重放攻击。

下面列出了iab网络的安全性系统多个方面的多个示例。每个示例使用包括iab施主节点和两个iab节点的示例性iab网络。iab访问节点提供到相关ue的无线连接，并且使用经由iab过渡(中继)节点的无线链路回传到iab施主。该网络仅用作示例，并且可以理解的是，iab网络的原理是它们可以通过多个过渡(中继)节点来扩展。与这些示例相关的相同原理适用于任何iab网络。

在示例性网络中，使用了一条路由和三个逻辑信道。iab访问节点和iab施主节点之间定义该路由，并且被标记为2-0。第一逻辑信道1-0形成过渡iab节点和iab施主节点之间的路由的一部分。第二逻辑信道2-1形成iab访问节点和过渡iab节点之间的路由的另一部分。第三个逻辑信道2-0贯穿iab访问节点和iab施主节点之间的路由长度。

关于导出密钥或密钥导出函数(keyderivationfunction，kdf)的示例，可以根据例如ts33.220中公开的技术来实现。

图6示出了基于逻辑信道的多跳完整性保护的配置过程。在步骤1中，iab施主节点定义要为相关逻辑信道实现的安全性策略。在步骤1a中，将该安全性策略的相关细节传输到过渡iab节点。这些细节包括逻辑信道id(logicalchannelid，lcid)、1-0、激活完整性保护的指示以及上行链路和下行链路通信的细节。对于lcid1-0上的下行链路通信，发送方iab节点地址被标识为iab施主节点的地址，对于lcid1-0上的上行链路通信，发送方iab节点地址是过渡iab节点地址。这些参数分别允许发送方地址用于检查完整性或生成完整性密钥。在替代方法中，路由id和上行链路和下行链路上的发送方iab节点的iab节点位置可被传输并用于唯一地识别lcid1-0上的发送方。

当在消息1a中接收到安全性策略时，过渡iab节点应用该策略并基于接收到的参数生成所需的密钥。密钥可以在接收到策略时生成，或者可以稍后生成，例如第一次需要密钥时或者在某个其他方便的时间。

iab施主节点还生成安全性策略并将其传输到过渡iab节点和其他逻辑信道的访问iab节点。如图6所示，lcid2的细节被发送到iab访问节点和iab过渡节点，因为这些节点中的每个都充当该逻辑信道上的发送方和接收方。因此，每个节点接收作为发送方或接收方的逻辑链路上的安全性策略，并可以在这些链路上应用和验证完整性保护。因此，可以从iab访问节点向iab施主节点和相反的方向应用逐跳完整性保护。

图7示出了将完整性保护应用于下行链路数据传输的示例。

在步骤1/1a中，完整性保护应用于路由2-0上传输的数据，并且数据通过该路由lcid1-0的第一个逻辑链路传输。根据为lcid1-0生成的密钥应用完整性保护，如图6的解释。

在接收到来自iab施主节点的数据时，iab过渡节点用先前为lcid1-0接收到的参数和/或从这些参数派生的完整性验证密钥，用完整性保护来验证数据的完整性。如果完整性得到验证，则iab过渡节点根据先前为该lcid接收到的策略和参数，对用于传输到lcid2-1上的iab访问节点的数据(即明文数据)应用完整性保护。然后在步骤2a中，将数据发送到iab访问节点。如果完整性不能被验证，则可能会丢弃数据。该故障可指示给iab施主节点或蜂窝网络的另一个元件，因为这可能是指示网络正被攻击的重要信息。

在接收到数据时，iab访问节点使用lcid2-1的参数和/或密钥来验证如上所述的完整性。然后，数据可以被传输到路由中的下一个元件(在这种情况下是ue)，或者如上所述被丢弃。

因此，沿着路由的每个步骤应用逐跳完整性验证。

图8示出了将完整性保护应用于从访问iab节点到iab施主节点的上行链路数据传输的方法。该方法应用图7中描述的相同的技术和原理，但是是在上行链路方向上。如图8所示，上行链路使用单个逻辑链路lcid2-0(然而，这只是一个示例，上行链路可以使用反向的下行链路)。完整性保护应用于从访问iab节点到iab施主节点的lcid2-0，而不是每个单独的跳。

图9示出了一种在iab网络中基于ueid配置完整性保护的方法。使用了与图6所述相同的技术和方法，但是这些参数是基于ueid，而不是lcid。

图10示出了基于ueid的下行链路数据完整性保护的过程。该方法与图7所描述的方法相同，除了图6的方法中应用的配置，并且使用基于ueid的相关参数。上行链路数据传送保护可以用与图8中描述的方式相同的方式实现，但是使用基于ueid的相关参数。

图11示出了一种与图6类似的方法，用于分发安全性策略，但基于承载id。上述所有描述同样适用于此方法，但使用了承载id的适当的参数来代替其他方法的参数。在这种情况下，承载id和lcid都用作参数，因为一个lcid可以携带多个承载。因此，此示例在一个逻辑信道中提供了更细粒度的安全性策略。

图12示出了与图7相当的一种下行链路数据传输的方法，但使用的是基于应用到图11方法中的配置的承载id。上行链路数据传送的保护方式与上文所述相同，但使用承载id的相关参数。

因此，上述方法提供了在iab网络中定义和应用完整性保护的机制。完整性保护应用于ip层之下的层，使得网络中iab节点之间能够有效地实现。完整性保护使篡改的数据能够在通过网络传输的早期被识别和丢弃，从而避免浪费网络资源传输无效数据。

因此，提供了一种在iab中分发完整性保护配置的方法，包括从iab施主节点配置信息传输到iab网络的节点的步骤，该信息包括对来自每个施主节点的传输应用完整性保护的参数以及对从其他iab节点接收到的数据应用完整性验证的参数，所述完整性保护和验证位于ip层之下的层。配置可以基于ueid、逻辑信道id或承载id。

本发明还提供了一种在iab网络中传输数据的方法，所述方法包括以下步骤，在第一iab节点处对传输到iab网络中的另一iab节点的数据应用完整性保护，所述完整性保护应用于ip层之下的层。在接收的iab节点，对接收到的数据执行完整性验证检查。完整性保护可以基于ueid、逻辑信道id或承载id来应用。完整性保护可以基于协议id来应用。

虽然没有详细地示出构成网络部分的任何设备或装置，但是构成网络部分的任何设备或装置至少可以包括处理器、存储单元和通信接口，其中处理器器、存储单元和通信接口被配置为执行本发明中任何方面的方法。更多选项和选择如下所述。

本发明实施例的信号处理功能，尤其是gnb和ue可以使用相关领域技术人员已知的计算系统或架构来实现。计算系统，例如台式计算机、便携式计算机或笔记本计算机、手持式计算设备(pda、蜂窝电话，掌上型电脑等)、大型机、服务器、客户端或任何其他类型的专用或通用计算设备，因可以适用或者适合于特定应用或者环境而可以被使用。计算系统可以包括一个或多个处理器，这些处理器可以使用诸如微处理器、微控制器或其他控制模块之类的通用或专用处理引擎来实现。

计算系统还可以包括用于存储要由处理器执行的信息和指令的主存储器，例如随机存取存储器(randomaccessmemory，ram)或其他动态存储器。此类主存储器也可以用于在执行要由处理器执行的指令的执行期间存储过渡变量或其他过渡信息。计算系统同样可以包括用于处理器的存储静态信息和指令的只读存储器(readonlymemory，rom)或其他静态存储设备。

计算系统还可以包括信息存储系统，例如，其可以包括介质驱动器和可移动存储接口。介质驱动器可以包括驱动器或其他机制以支持固定或可移动存储介质，诸如硬盘驱动器、软盘驱动器、磁带驱动器、光盘驱动器、光盘(compactdisc，cd)、数字视频驱动器(digitalvideodrive，dvd)、读或写驱动器(readorwritedrive，r或rw)或其他可移动或固定介质驱动器。例如，存储介质可以包括例如硬盘、软盘、磁带、光盘、cd或dvd或由介质驱动器读和写的其他固定或可移动介质。存储介质可以包括具有存储在其中的特定计算机软件或数据的计算机可读存储介质。

在可选实施例中，信息存储系统可以包括用于允许将计算机程序或其他指令或数据加载到计算系统中的其他类似组件。例如，这些组件可以包括可移动存储单元与接口，例如，程序卡盒与卡盒接口、可移动存储器(例如，闪存或者其他可移动存储器模块)与存储器插槽、以及允许软件和数据自可移动存储单元传输到计算系统的其他可移动存储单元与接口。

计算系统还可以包括一个通信接口。这种通信接口可用于允许软件和数据在计算系统和外部设备之间传输。一些实施例中，通信接口可以包括调制解调器、网络接口(例如以太网或其他nic卡)、通信端口(例如，通用串行总线(universalserialbus，usb)端口)、pcmcia插槽和卡等。通过通信接口传输的软件和数据以信号的形式传输，这些信号可以是电子的、电磁的、光学的或能够被通信接口介质接收的其他信号。

在本文中，术语‘计算机程序产品’、‘计算机可读介质’等可以通常用于指有形介质，例如存储器、存储设备或存储单元。这些和其他形式的计算机可读介质可以存储一个或多个指令以由包括计算机系统的处理器使用，以使处理器执行指定操作。这些指令，通常称为‘计算机程序代码’(其可以以计算机程序或其他分组的形式而被分组)，在被执行时使得计算系统能够执行本发明的实施例的功能。注意的是，本代码可以直接使得处理器执行指定操作、被编译为这样做、和/或与其他软件、硬件和/或固件元件(例如，用于执行标准功能的库)组合以这样做。

非暂时性计算机可读介质可包括以下中的至少一种：硬盘、cd-rom、光存储设备、磁存储设备、只读存储器、可编程只读存储器、可擦除可编程只读存储器、eprom，电可擦可编程只读存储器(electricallyerasableprogrammablereadonlymemory，eeprom)和闪存。在一实施例中，使用软件实现元件的功能，软件可以存储在计算机可读介质中并使用例如可移动存储驱动器加载到计算系统中。当由计算机系统中的处理器执行时，控制模块(在该示例中，软件指令或可执行的计算机程序代码)使处理器执行本文所述的本发明的功能。

此外，本发明构思可以应用于用于执行网络元件内的信号处理功能的任何电路。进一步设想，例如，半导体制造商可以在独立设备的设计中使用本发明的构思，例如数字信号处理器(digitalsignalprocessor，dsp)或专用集成电路(application-specificintegratedcircuit，asic)的微控制器和/或任何其他子系统元件。

应当理解，为了清楚起见，上述描述参照单个处理逻辑描述了本发明的实施例。然而，本发明的概念可以通过多个不同的功能单元和处理器来同样地实现，以提供信号处理功能。因此，对特定功能单元的引用仅被视为对用于提供所述功能的适当装置的参考，而不是指示严格的逻辑或物理结构或组织。

本发明各个方面可以以任何合适的形式实现，包括硬件、软件、固件或这些的任何组合。本发明可选择性地至少部分地实现为在一个或多个数据处理器和/或数字信号处理器或诸如fpga设备的可配置模块组件上运行的计算机软件。

因此，本发明实施例的元件和组件可以以任何合适的方式在物理上、功能上和逻辑上实现。实际上，可以在单个单元、多个单元中或作为其他一部分功能单元的来实现功能。尽管结合一些实施例描述了本发明，但并不打算局限于本文所述的特定形式。相反，本发明的范围仅受所附权利要求的限制。另外，尽管特征看起来可以结合特定实施例来描述，但是本领域技术人员将认识到所描述实施例的各种特征可以根据本发明进行任意的组合。在权利要求书中，术语“包括”不排除存在其他元件或步骤。

此外，尽管多个方法、元件或方法步骤被单独列出，这些方法、元件或方法步骤可以例如由单个单元或处理器实现。另外，尽管各个特征可以被包括在不同的权利要求中，但是这些仅仅可能是有益的组合，并且这些这特征包含在不同权利要求中的并不意味着这些特征的组合是不可行的和/或不利的。此外，包含在一个权利要求类别中特征并不意味着对该类别的限制，而是表明该特征在适当的情况下同样适用于其他权利要求类别。

此外，权利要求中的特征的顺序并不意味着必须以任何特定的顺序来执行特征，特别地，方法权利要求中的各个步骤的顺序并不意味着必须以该步骤顺序执行。相反，可以以任何合适的顺序执行这些步骤。此外，单数引用不排除多个引用。因此，对“一”、“第一”、“第二”等的引用不排除多个。

尽管结合一些实施例描述了本发明，但本发明并局限于本文所述的特定形式。相反，本发明的范围仅受所附权利要求的限制。另外，尽管特征看起来可以结合特定实施例来描述，但是本领域技术人员将认识到所描述实施例的各种特征可以根据本发明进行组合，本领域技术人员可以作出各种变形。在权利要求书中，术语“包括”不排除其他元素的存在。