阅读说明：本技术 恶意单元检测信息 (Malice unit detection information ) 是由 哥纳季·韦列夫 安德烈亚斯·孔茨 约阿希姆·勒尔 普拉泰克·巴苏马利克 拉维·库奇波特拉 于 2018-05-18 设计创作，主要内容包括：公开用于发送和/或接收恶意单元检测信息的装置、方法和系统。一种方法(800)包括保持(802)恶意单元检测信息。恶意单元检测信息包括公钥和与该公钥相对应的有效时间。方法(800)包括确定(804)公钥的有效时间是否在到期窗口内。方法(800)包括：响应于确定公钥的有效时间在到期窗口内,发送(806)对新的恶意单元检测信息的请求。在一些实施例中,方法(800)包括接收(808)新的恶意单元检测信息。恶意单元检测信息能够由用户设备用于在空闲模式中驻留在恶意基站上时检测恶意基站。(Device, method and system for sending and/or receiving malice unit detection information are disclosed.A kind of method (800) includes keeping (802) malice unit detection information.Malice unit detection information includes public key and effective time corresponding with the public key.Whether method (800) includes determining the effective time of (804) public key in the window that expires.Method (800) includes: to send the request of (806) to new malice unit detection information in response to determining the effective time of public key in the window that expires.In some embodiments, method (800) includes receiving (808) new malice unit detection information.Malice unit detection information can be by user equipment for detecting malice base station when residing on malice base station in idle mode.)

恶意单元检测信息

相关申请的交叉引用

本申请要求安德烈亚斯·孔茨(Andreas Kunz)于2017年7月18日提交的、标题为“恶意基站检测-KDF(ROUGUE BASE STATION DETECTION-KDF)”的美国专利申请序列号62/533,849和哥纳季·韦列夫(Genadi Velev)于2017年6月16日提交的、标题为“恶意基站检测和密钥更新(ROUGUE BASE STATION DETECTION AND KEY RENEWAL)”的美国专利申请序列号62/521,269的优先权，其全部内容通过引用被整体合并在此。

技术领域

本文公开的主题总体上涉及无线通信，并且更具体地涉及恶意单元检测信息(rogue unit detection information)。

背景技术

以下缩写在此定义，其中至少一些在以下描述中被引用：第三代合作伙伴计划(“3GPP”)、第五代(“5G”)、认证授权和计费(“AAA”)、肯定确认(“ACK”)、认证与密钥协商协议(“AKA”)、确认模式(“AM”)、接入和移动管理功能(“AMF”)、接入服务器(“AS”)、接入点(“AP”)、认证中心(“AuC”)、认证服务器功能(“AUSF”)、身份验证令牌(AUTN))、基站(BS)、带宽(“BW”)、小区组(“CG”)、密钥(“CK”)、小区无线电网络临时标识符(“C-RNTI”)、公共物理下行链路控制信道(“C-PDCCH”)、控制平面(“CP”)、核心网络(“CN”)、专用控制信道(“DCCH”)、下行链路(“DL”)、解调参考信号(“DMRS”)、域名系统(“DNS”)、拒绝服务(“DoS”)、设备对设备(“D2D”)、增强型移动宽带(“eMBB”)、演进型节点B(“eNB”)、增强型用户识别模块(“eSIM”)、设备识别寄存器(“EIR”)、演进分组核心(“EPC”)、欧洲电信标准协会(“ETSI”)、频分多址(“FDMA”)、完全合格的域名(“FQDN”)、5G节点B(“gNB”)、通用分组无线电服务(“GPRS”)、全球移动通信系统(“GSM”)、全球移动通信系统协会(“GSMA”)、混合自动重传请求(“HARQ”)、归属公共陆地移动网络(“HPLMN”)、家庭订户服务器(“HSS”)、身份或标识符或标识(“ID”)、信息元素(“IE”)、完整性密钥(“IK”)、国际移动设备身份(“IMEI”)、国际移动用户身份(“IMSI”)、物联网(“IoT”)、密钥派生函数(“KDF”)、层2(“L2”)、长期演进(“LTE”)、主信息块(“MIB”)、移动性管理(“MM”)、移动性管理实体(“MME”)、非接入层(“NAS”)、网络实体(“NE”)、下一代节点B(“gNB”)、新无线电(NR)、运营和保持中心(OAM)、开放式移动联盟设备管理(OMA DM)、正交频分复用(“OFDM”)、空中(“OTA”)、策略控制功能(“PCF”)、公共陆地移动网络(“PLMN”)、服务质量(“QoS”)、随机接入信道(“RACH”)、无线电接入技术(“RAT”)、无线电资源控制(“RRC”)、无线电接入网络(“RAN”)、安全锚功能(“SEAF”)、序列号(“SN”)、单载波频分多址(“SC-FDMA”)、订户管理功能(“SMF”)、订户识别模块(“SIM”)、系统信息块(“SIB”)、订阅隐藏标识符(“SUCI”)、订阅永久标识符(“SUPI”)、跟踪区域(“TA”)、统一数据管理(“UDM”)、用户数据存储库(“UDR”)、用户实体/设备(移动终端)(“UE”)、通用集成电路卡(“UICC”)、上行链路(“UL”)、通用移动电信系统(“UMTS”)、用户平面功能(“UPF”)、通用订户识别模块(“USIM”)、世界标准时间(“UTC”)、访问公共陆地移动网络(“VPLMN”)、和全球微波接入互操作性(“WiMAX”)。

在某些无线通信网络中，可能存在恶意基站，其通过伪装成真实的基站来模仿真实的基站。在这样的网络中，检测恶意基站可能是困难的。

发明内容

公开用于发送和/或接收恶意单元检测信息的方法。装置和系统还执行装置的功能。在一个实施例中，该方法包括保持恶意单元检测信息。在这样的实施例中，恶意单元检测信息包括公钥和与该公钥相对应的有效时间。在某些实施例中，该方法包括确定针对公钥的有效时间是否在到期窗口内。在各种实施例中，该方法包括，响应于确定针对公钥的有效时间在到期窗口内，发送对新的恶意单元检测信息的请求。在一些实施例中，该方法包括接收新的恶意单元检测信息。

一种用于接收恶意单元检测信息的装置，在一个实施例中，包括：处理器，保持恶意单元检测信息，其中，恶意单元检测信息包括公钥和与公钥对应的有效时间；并确定针对公钥的有效时间是否在到期窗口内。在一些实施例中，该装置包括发射器，该发射器响应于确定针对公钥的有效时间在到期窗口内，发送对新的恶意单元检测信息的请求。在各种实施例中，该装置包括接收新的恶意单元检测信息的接收器。

在一个实施例中，一种用于发送恶意单元检测信息的方法包括，确定远程单元是否具有在到期窗口内到期的恶意单元检测信息。在这样的实施例中，恶意单元检测信息包括公钥和与该公钥相对应的有效时间。在某些实施例中，该方法包括，响应于确定远程单元具有在到期窗口内到期的恶意单元检测信息，确定用于远程单元的新的恶意单元检测信息。在各种实施例中，该方法包括将新的恶意单元检测信息发送到远程单元。

一种用于发送恶意单元检测信息的装置，在一个实施例中，包括处理器，该处理器：确定远程单元是否具有在到期窗口内到期的恶意单元检测信息，其中，恶意单元检测信息包括公钥和与公钥对应的有效性时间；并且，响应于确定远程单元具有在到期窗口内到期的恶意单元检测信息，并且为远程单元确定新的恶意单元检测信息。在一些实施例中，该装置包括将新的恶意单元检测信息发送到远程单元的发射器。

附图说明

通过参考在附图中图示的特定实施例，将呈现以上简要描述的实施例的更具体的描述。应理解，这些附图仅描绘一些实施例，并且因此不应认为是对范围的限制，将通过使用附图以附加的特征和细节来描述和解释实施例，其中：

图1是图示用于发送和/或接收恶意单元检测信息的无线通信系统的一个实施例的示意性框图；

图2是图示可以被用于接收恶意单元检测信息的装置的一个实施例的示意性框图；

图3是图示可以被用于发送接收恶意单元检测信息的装置的一个实施例的示意性框图；

图4是图示用于网络单元专用密钥的系统的一个实施例的示意性框图；

图5是图示密钥分级的一个实施例的示意性框图；

图6是图示用于对称密钥的系统的一个实施例的示意性框图；

图7是图示用于远程单元密钥配置的通信的一个实施例的图；

图8是图示用于接收恶意单元检测信息的方法的一个实施例的示意性流程图；和

图9是图示用于发送恶意单元检测信息的方法的一个实施例的示意性流程图。

具体实施方式

如本领域的技术人员将理解的，实施例的各方面可以体现为系统、装置、方法或程序产品。因此，实施例可以采用完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或者组合软件和硬件方面的实施例的形式，该软件和硬件方面在本文中通常都可以称为“电路”、“模块”或者“系统”。此外，实施例可以采取体现在存储在下文中被称为代码的机器可读代码、计算机可读代码、和/或程序代码的一个或多个计算机可读存储设备中的程序产品的形式。存储设备可以是有形的、非暂时的和/或非传输的。存储设备可能不体现信号。在某个实施例中，存储设备仅采用用于接入代码的信号。

本说明书中描述的某些功能单元可以被标记为模块，以便于更具体地强调它们的实现独立性。例如，模块可以实现为包括定制的超大规模集成(“VLSI”)电路或门阵列、诸如逻辑芯片、晶体管或其他分立组件的现成半导体的硬件电路。模块还可以在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中实现。

模块还可以用代码和/或软件实现，以由各种类型的处理器执行。所识别的代码模块可以例如包括可执行代码的一个或多个物理或逻辑块，该可执行代码可以例如被组织为对象、过程或函数。然而，所识别的模块的可执行文件不需要物理地位于一起，而是可以包括存储在不同位置的不相干的指令，当逻辑地结合在一起时，其包括模块并实现模块的所述目的。

实际上，代码模块可以是单个指令或许多指令，甚至可以分布在几个不同的代码段上、不同的程序当中、以及跨越数个存储器设备。类似地，在本文中，操作数据可以在模块内被识别和图示，并且可以以任何合适的形式体现并且被组织在任何合适类型的数据结构内。操作数据可以作为单个数据集合收集，或者可以分布在不同的位置，包括在不同的计算机可读存储设备上。在模块或模块的部分以软件实现的情况下，软件部分存储在一个或多个计算机可读存储设备上。

可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是例如但不限于电子、磁、光、电磁、红外、全息、微机械、或半导体系统、装置、或设备、或前述的任何合适的组合。

存储设备的更具体示例(非详尽列表)将包括下述：具有一个或多个电线的电气连接、便携式计算机磁盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式紧凑光盘只读存储器(“CD-ROM”)、光学存储装置、磁性存储装置、或前述的任何合适的组合。在本文件的上下文中，计算机可读存储介质可以是任何有形介质，其能够包含或存储程序以供指令执行系统、装置或设备使用或与其结合使用。

用于执行实施例的操作的代码可以是任何数量的行，并且可以以包括诸如Python、Ruby、Java、Smalltalk、C++等的面向对象的编程语言、和诸如“C”编程语言等的传统的过程编程语言、和/或诸如汇编语言的机器语言中的一种或多种编程语言的任何组合来编写。代码可以完全地在用户的计算机上执行，部分地在用户的计算机上执行，作为独立的软件包，部分地在用户的计算机上、部分地在远程计算机上，或完全地在远程计算机或服务器上执行。在后一种情况下，远程计算机可以通过任何类型的网络连接到用户的计算机，包括局域网(“LAN”)或广域网(“WAN”)，或者可以连接到外部计算机(例如，通过使用互联网服务提供商的互联网)。

本说明书中对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性包括在至少一个实施例中。因此，除非另有明确说明，否则在整个说明书中出现的短语“在一个实施例中”、“在实施例中”和类似语言可以但不一定全部指代相同的实施例，而是意指“一个或多个但不是所有实施例”。除非另有明确说明，否则术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”。除非另有明确说明，否则列举的项目列表并不暗示任何或所有项目是互斥的。除非另有明确说明，否则术语“一(a)”、“一个(an)”和“该”也指“一个或多个”。

此外，所描述的实施例的特征、结构或特性可以以任何合适的方式组合。在以下描述中，提供许多具体细节，诸如编程、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等的示例，以提供对实施例的彻底理解。然而，相关领域的技术人员将认识到，可以在没有一个或多个具体细节的情况下，或者利用其他方法、组件、材料等来实践实施例。在其他情况下，未详细示出或描述公知的结构、材料或操作以避免使实施例的一些方面模糊。

下面参考根据实施例的方法、装置、系统和程序产品的示意性流程图和/或示意性框图来描述实施例的各方面。将会理解，示意性流程图和/或示意性框图的每个框以及示意性流程图和/或示意性框图中的框的组合能够通过代码实现。代码能够被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器，使得经由计算机或其他可编程数据处理装置的处理器执行的指令，创建用于实现在示意性流程图和/或示意性框图的框或多个框中指定的功能/操作的手段。

代码还可以存储在存储设备中，该存储设备能够指示计算机、其他可编程数据处理装置或其他设备以特定方式运行，使得存储在存储设备中的指令产生包括指令的制品，该指令实现在示意性流程图和/或示意性框图的框或多个框中指定的功能/操作。

代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上，使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤，以产生计算机实现的过程，使得在计算机或其他可编程装置上执行的代码提供用于实现在流程图和/或框图的框或多个框中指定的功能/操作的过程。

附图中的示意性流程图和/或示意性框图图示根据各种实施例的装置、系统、方法和程序产品的可能实现的架构、功能和操作。在这方面，示意性流程图和/或示意性框图中的每个框可以表示代码的模块、片段或部分，其包括用于实现指定的(一个或多个)逻辑功能的代码的一个或多个可执行指令。

还应注意，在一些替代性实施方式中，框中注释的功能可以不按附图中注释的顺序发生。例如，连续示出的两个框实际上可以基本上同时执行，或者这些框有时可以以相反的顺序执行，这取决于所涉及的功能。可以设想其他步骤和方法，其在功能、逻辑或效果上等同于所图示的附图的一个或多个框或其部分。

尽管可以在流程图和/或框图中采用各种箭头类型和线类型，但是应理解它们不限制相应实施例的范围。实际上，一些箭头或其他连接器可以仅用于指示所描绘实施例的逻辑流程。例如，箭头可以指示所描绘的实施例的枚举步骤之间的未指定持续时间的等待或监视时段。还将会注意，框图和/或流程图的每个框以及框图和/或流程图中的框的组合能够由执行特定功能或操作的基于专用硬件的系统、或专用硬件和代码的组合来实现。

每个附图中的元件的描述可以参考前述附图的元件。相同的数字指代所有附图中的相同元件，包括相同元件的替代实施例。

图1描绘用于发送和/或接收恶意单元检测信息的无线通信系统100的实施例。如本文所使用的，恶意单元可以是恶意(例如，伪装的、假的、假装的、模仿的等)基站、恶意网络单元或一些其他恶意设备。此外，恶意单元检测可以指的是检测恶意单元，确定设备是否为恶意单元，搜索恶意单元，识别恶意单元，或示出设备为恶意单元的某种其他方式。在一个实施例中，无线通信系统100包括远程单元102和网络单元104。即使图1中描绘特定数量的远程单元102和网络单元104，本领域的技术人员将认识到任何数量的远程单元102和网络单元104可以包括在无线通信系统100中。

在一个实施例中，远程单元102可以包括计算设备，诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如，连接到互联网的电视)、机顶盒、游戏控制台、安全系统(包括安全摄像机)、车载计算机、网络设备(例如，路由器、交换机、调制解调器)、IoT设备等。在一些实施例中，远程单元102包括可穿戴设备，诸如智能手表、健身带、光学头戴式显示器等。此外，远程单元102可以被称为订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、UE、用户终端、设备、或者本领域中使用的其他术语。远程单元102可以经由UL通信信号直接与一个或多个网络单元104通信。

网络单元104可以分布在地理区域上。在某些实施例中，网络单元104还可以称为接入点、接入终端、基地、基站单元、基站、节点-B、eNB、gNB、家庭节点-B、中继节点、设备、网络设备、基础设施设备、或本领域中使用的任何其他术语。网络单元104通常是无线电接入网络的一部分，该无线电接入网络包括可通信地耦合到一个或多个对应的网络单元104的一个或多个控制器。无线电接入网络通常可通信地耦合到一个或多个核心网络，其可以耦合到其他网络，如互联网和公共交换电话网络等等。无线电接入和核心网络的这些和其他元件未被图示，但是对于本领域的普通技术人员通常是众所周知的。在一些实施例中，网络单元104可以包括以下网络组件中的一个或多个：eNB、gNB、AMF、DB、MME、PCF、UDR、UPF、服务网关和/或UDM。

在一个实施方式中，无线通信系统100符合3GPP指定的NR/5G协议或者LTE协议，其中网络单元104在DL上使用OFDM调制方案进行发送，并且远程单元102在UL上使用SC-FDMA方案或OFDM方案进行发送。然而，更一般地，无线通信系统100可以实现一些其他开放或专有通信协议，例如，WiMAX、IEEE 802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA2000、ZigBee、Sigfoxx等等。本公开不旨在受限于任何特定无线通信系统架构或协议的实现。

网络单元104可以经由无线通信链路服务于例如小区或小区扇区的服务区域内的多个远程单元102。网络单元104在时间、频率和/或空间域中发送DL通信信号以服务远程单元102。

在某些实施例中，远程单元102可以被用于保持恶意单元检测信息。在这样的实施例中，恶意单元检测信息可以包括公钥和与该公钥相对应的有效时间。在某些实施例中，远程单元102可以包括确定公钥的有效时间是否在到期窗口内。在各种实施例中，远程单元102可以包括，响应于确定针对公钥的有效时间在到期窗口内，发送对新的恶意单元检测信息的请求。在一些实施例中，远程单元102可以包括接收新的恶意单元检测信息。因此，远程单元102可以被用于接收恶意单元检测信息。

在某些实施例中，网络单元104可以被用于确定远程单元102是否具有在到期窗口内到期的恶意单元检测信息。在这样的实施例中，恶意单元检测信息包括公钥和与该公钥相对应的有效时间。在某些实施例中，网络单元104可以包括，响应于确定远程单元102具有在到期窗口内到期的恶意单元检测信息，确定用于远程单元102的新的恶意单元检测信息。在各种实施例中，网络单元104可以包括将新的恶意单元检测信息发送到远程单元102。因此，网络单元104可以被用于发送恶意单元检测信息。

图2描绘可以用于接收恶意单元检测信息的装置200的一个实施例。装置200包括远程单元102的一个实施例。此外，远程单元102可以包括处理器202、存储器204、输入设备206、显示器208、发射器210和接收器212。在一些实施例中，输入设备206和显示器208被组合成单个设备，诸如触摸屏。在某些实施例中，远程单元102可以不包括任何输入设备206和/或显示器208。在各种实施例中，远程单元102可以包括处理器202、存储器204、发射器210和接收器212中的一个或多个，并且可以不包括输入设备206和/或显示器208。

在一个实施例中，处理器202可以包括能够执行计算机可读指令和/或能够执行逻辑运算的任何已知控制器。例如，处理器202可以是微控制器、微处理器、中央处理器(“CPU”)、图形处理器(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中，处理器202执行存储在存储器204中的指令以执行本文描述的方法和例程。在某些实施例中，处理器202可以：保持恶意单元检测信息，其中，恶意单元检测信息包括公钥和与公钥对应的有效时间；并且确定针对公钥的有效时间是否在到期窗口内。处理器202通信地耦合到存储器204、输入设备206、显示器208、发射器210和接收器212。

在一个实施例中，存储器204是计算机可读存储介质。在一些实施例中，存储器204包括易失性计算机存储介质。例如，存储器204可以包括RAM，其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)、和/或静态RAM(“SRAM”)。在一些实施例中，存储器204包括非易失性计算机存储介质。例如，存储器204可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中，存储器204包括易失性和非易失性计算机存储介质两者。在一些实施例中，存储器204还存储程序代码和相关数据，诸如在远程单元102上操作的操作系统或其他控制器算法。

在一个实施例中，输入设备206可以包括任何已知的计算机输入设备，包括触摸板、按钮、键盘、触控笔、麦克风等。在一些实施例中，输入设备206可以与显示器208集成，例如，作为触摸屏或类似的触敏显示器。在一些实施例中，输入设备206包括触摸屏，使得可以使用在触摸屏上显示的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中，输入设备206包括诸如键盘和触摸板的两个或更多个不同的设备。

在一个实施例中，显示器208可以包括任何已知的电子可控显示器或显示设备。显示器208可以被设计为输出视觉、听觉和/或触觉信号。在一些实施例中，显示器208包括能够向用户输出视觉数据的电子显示器。例如，显示器208可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一个非限制性示例，显示器208可以包括诸如智能手表、智能眼镜、平视显示器等的可穿戴显示器。此外，显示器208可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。

在某些实施例中，显示器208包括用于产生声音的一个或多个扬声器。例如，显示器208可以产生可听警报或通知(例如，嘟嘟声或钟声)。在一些实施例中，显示器208包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中，显示器208的全部或部分可以与输入设备206集成。例如，输入设备206和显示器208可以形成触摸屏或类似的触敏显示器。在其他实施例中，显示器208可以位于输入设备206附近。

发射器210用于向网络单元104提供UL通信信号，并且接收器212用于从网络单元104接收DL通信信号。在某些实施例中，发射器210可以响应于确定针对公钥的有效时间在到期窗口内，发送对新的恶意单元检测信息的请求。在一些实施例中，接收器212可以接收新的恶意单元检测信息。尽管仅图示一个发射器210和一个接收器212，但是远程单元102可以具有任何合适数量的发射器210和接收器212。发射器210和接收器212可以是任何合适类型的发射器和接收器。在一个实施例中，发射器210和接收器212可以是收发器的一部分。

图3描绘可以用于发送恶意单元检测信息的装置300的一个实施例。装置300包括网络单元104的一个实施例。此外，网络单元104可以包括处理器302、存储器304、输入设备306、显示器308、发射器310、和接收器312。可以理解，处理器302、存储器304、输入设备306、显示器308、发射器310和接收器312可以基本上分别类似于远程单元102的处理器202、存储器204、输入设备206、显示器208、发射器210和接收器212。

在各种实施例中，处理器302可以：确定远程单元102是否具有到期窗口内到期的恶意单元检测信息，其中，恶意单元检测信息包括公钥和与该公钥对应的有效时间；并且，响应于确定远程单元102具有在到期窗口内到期的恶意单元检测信息，确定用于远程单元102的新的恶意单元检测信息。在一些实施例中，发射器310可以将新的恶意单元检测信息发送到远程单元102。尽管仅图示一个发射器310和一个接收器312，但是网络单元104可以具有任何合适数量的发射器310和接收器312。发射器310和接收器312可以是任何合适类型的发射器和接收器。在一个实施例中，发射器310和接收器312可以是收发器的一部分。

在某些实施例中，在远程单元102处于空闲状态(例如，RRC空闲状态)的时间期间，远程单元102可以驻留在网络单元104(例如，基站)上并且可以仅监听广播信息和/或寻呼信道以确定是否存在对远程单元102的任何移动终止请求。在各个实施例中，远程单元102可以驻留在恶意网络单元上。在这样的实施例中，远程单元102可能永远不会从真实网络接收寻呼消息，因为它仅监听恶意远程单元。而且，恶意远程单元可以以各种方式对远程单元102执行DoS攻击。

在一些实施例中，响应于远程单元102在空闲状态期间驻留在伪小区上(并且不执行真实性验证)，则恶意网络单元可以针对在远程单元102处于空闲状态的时间期间获得的以下服务在远程单元102上成功地安装DoS攻击：a)移动终止的服务(例如，来话呼叫、来自应用服务器的连接请求等)和/或系统信息改变；b)用于D2D发现、通信、传输和/或接收的经由广播系统信息配置的广播系统信息和/或无线电资源；和/或c)用于MBMS接收的系统信息中指示的相关系统信息和/或控制信息。

在各种实施例中，可能在不了解远程单元102的情况下通过恶意网络单元安装各种攻击(例如，特别是在礼堂、运动场、大型购物中心、公司建筑物、会议场所、剧院等中)。此外，除非远程单元102发起服务，否则远程单元102可能不离开恶意网络单元(例如，假小区)，并且所有移动终止的服务和/或服务信息可能被恶意网络单元阻止。

在某些实施例中，为了促进减少与恶意网络单元相关联的问题，网络可以制作私钥并将私钥分发给网络单元104。在这样的实施例中，远程单元102可以从对应的根密钥材料导出公钥。在一些实施例中，私钥可以不分发给所有网络单元104；因此，一个或多个网络单元104可能妥协并且/或者被侵入，使网络系统易受攻击。

在各个实施例中，由于空闲状态(例如，RRC空闲)和/或去激活状态(例如，RRC去激活)小区选择和/或重选，远程单元102可以转变到连接状态(例如，RRC连接)，并且可以从网络获得新的公钥。然而，这可能是低效率的，并且可能在短时间内耗尽远程单元102的电池(例如，由于远程单元102高度移动和/或在波动无线电条件中)。

图4是图示用于网络单元专用密钥的系统400的一个实施例的示意性框图。系统400包括OAM 402、AMF 404、UE 406和gNB 408。

如本文中所使用的，AMF 404(或MME)可以是处理针对UE 406的控制信令的任何CPCN网络功能。此外，存储并分发私钥的实体不仅可以是OAM 402，而且可以也可以是HSS、UDM或任何其他安全存储实体。UE 406可以类似于本文描述的远程单元102，并且gNB 408可以类似于本文描述的网络单元104。

在OAM 402中，KDF 414可以使用私有基本密钥(“K_Private”)410和小区ID 412来产生私有小区密钥(“K_{PrivateCellID}”)。OAM 402可以向AMF 404提供公共基本密钥(“K_Pub”)418，其进而向UE 406提供公共基本密钥418。OAM 402可以将私有小区密钥416提供给gNB 408。

在gNB 408中，KDF 414可以使用私有小区密钥416和时间计数424来产生私钥(“K_{PrivateCellIDTime}”)428。gNB 408可以将SIB中广播的信息提供给UE 406，其包括签名432、系统信息434和时间计数的LSB 436。

在UE 406中，KDF 414可以使用私有基本密钥418、小区ID 412和时间计数424以产生公钥(“K_PubCellID”)438。

如本文中所使用的，私有基本密钥410可以是在中央存储库(例如，OAM实体、HSS或类似的安全环境)中保持的密钥。私有基本密钥410可以永远不离开安全环境，并且可以永远不传递到其他网络元素。

此外，私有小区密钥416可以是使用KDF从私有基本密钥410使用某些网络元素或节点特定参数(例如，小区ID 412)导出的密钥。私有小区密钥416在如TA、TA的列表、PLMN和/或全局的广泛地理区域中可以是唯一的。在一个可能的示例中，网络元素或节点特定参数可以是可以在SIB 1中(例如，在LTE系统中)广播的如28比特小区标识的小区标识。

如本文中所使用的，私钥428可以是与新鲜度参数(例如，协调世界时“UTC”时间或来自用于生成和/或指配安全签名的私有小区密钥416的计数器)相结合的在RAN节点(例如，第五代NR中的gNB 408)中导出的密钥。签名432可以用于验证网络的真实性，并且可以是广播信息的一部分。

此外，UE可以使用公共基本密钥418来生成公钥438。公共基本密钥418可以从网络提供给UE(例如，由于包括注册过程、位置和/或TA更新程序等的NAS过程使用NAS信令)。

UE可以使用公钥438来验证由网络广播的签名432。成功的验证可以意指一个真实的网络，而失败的验证可以意指伪装的网络。可以使用与在从私有基本密钥416导出的私有小区密钥416中使用的输入参数相同的输入参数，从公共基本密钥418导出公钥438。如小区ID 412的输入参数可以由UE 406知道(例如，来自如LTE中SIB1中的28比特小区标识的其他广播信息)，可以像UTC时间一样同步获得，并且/或者可以是在与包含签名432的广播消息相同的广播消息中发布的计数器值。

在所图示的实施例中，私有基本密钥410被用于导出OAM 402中的私有小区密钥416，但是这可以发生在任何安全的中央实体中。私有小区密钥416然后被用于创建签名432，并且签名432在小区中作为SIB的一部分被广播。签名432本身可以是密文，其中相应的明文对于小区中的真正UE是已知的(例如，因为这些UE被注册在小区/TA区域中)；签名432可以是可以由真正的UE验证的校验和；并且/或者签名432可以是被加密的任何SIB，并且在解密签名432时UE 406可以确保SIB中的所有参数的值都符合指定的可配置值。签名432本身可以被包括为一个IE，任何SIB中的参数和/或本身可以是单独的SIB。

此外，在图示的实施例中，可以使用NAS或AS(例如，RRC)信令从网络向UE 406用信号发送公共基本密钥418。UE 406可以进一步从公共基本密钥418导出公钥438，并且使用公共基本密钥418来验证网络在广播消息中包括的签名432。成功的验证可以意指真实的网络，而失败的验证可以意指伪装的网络。向UE 406提供公共基本密钥418的其他可能性可以是UICC/USIM中的一些预配置或具有OMA DM的UE 406中的配置。可以理解，可以将称为时间计数424的到KDF 414的输入参数用作新鲜度参数，以限制任一侧上生成的密钥的有效性。

图5是图示密钥分级500的一个实施例的示意性框图。如所图示的K_other 502可以处于第一密钥分级等级处，CK_other，IK_other 504可以处于第二密钥分级等级处，并且Kprivate/Kpub 506可以处于第三分级等级处。

在某些实施例中，基本密钥(例如，私有基本密钥和公共基本密钥)的密钥导出可以来自密钥分级500中的密钥之一(例如，如3GPP TS 33401-e10的第6.2节所定义)。例如，可以基于与K(例如，K可以是存储在USIM上、在UICC上、并且在AuC中的永久密钥)不同的K_other 502，(例如，在网络和/或UE中)生成公共基本密钥。作为另一个示例，可以基于与CK、IK(例如，CK，IK是在AKA运行期间在AuC中并且在USIM上导出的一对密钥)不同的CK_other、IK_other504，(例如，在网络和/或在UE中)生成公共基本密钥。在一些实施例中，真正的UE可以普遍知道K_other 502或CK_other，IK_other 504。在某些实施例中，对于其PLMN中的运营商的所有UE，导出的公钥可以是相同的。可以使用PLMN ID作为KDF中的输入参数来导出公钥。K_other502仅是一个示例，公共基本密钥可以从SEAF密钥(例如，K_SEAF)导出，或者可以直接从AUSF密钥(例如，K_AUSF)导出。在涉及漫游的实施例中，VPLMN可能需要使用当前使用的本地公共基本密钥来更新和/或重新配置UE。

图6是图示用于对称密钥的系统的一个实施例的示意性框图。系统600包括OAM602、AMF 604、UE 606和gNB 608。

如本文中所使用，AMF 604(或MME)可以是处理针对UE 606的控制信令的任何CPCN网络功能。此外，存储私钥并且进行分发的实体不仅可以是OAM 602，而且可以也可以是HSS、UDM或任何其他安全存储实体。UE 606可以类似于本文描述的远程单元102，并且gNB608可以类似于本文描述的网络单元104。

在OAM 602中，KDF 614可以使用密钥(“K_NB”)610和小区ID 612来产生密钥(“K_NBCellID”)616。OAM 602可以将UE密钥(“K_UE”)618提供到AMF 604，其进而将UE密钥K_UE 618提供给UE 606。OAM 602可以将密钥K_NBCellID 616提供给gNB 608。

在gNB 608中，KDF 614可以使用密钥K_NBCellID 616和时间计数624来产生密钥(“K_NBCellIDTime”)628。gNB 608可以将在SIB中广播的信息提供给UE 606，其包括：签名632、系统信息634和时间计数的LSB 636。

在UE 606中，KDF 614可以使用UE密钥K_UE 618、小区ID 612和时间计数624来产生UE密钥(“K_UECellID”)638。

图6所图示的实施例类似于图4所图示的实施例，不同之处在于交换的密钥不是公共/专用密钥，而是用于加密的对称密钥。OAM 602导出每个小区ID的密钥(例如，密钥K_NBCellID 616)，并将它们提供给gNB。gNB 608(利用KDF 614和可以基于时间(例如，时间计数624)的新鲜度参数)导出密钥K_NBCellIDTime 628，其用于创建签名632或系统信息的单向哈希值。代替时间计数624，可以生成随机值并将其用作新鲜度输入参数。OAM 602用UE密钥K_UE618配置AMF，其对应于OAM 610中的K_NB作为用于导出所有小区特定密钥的主密钥。在一些实施例中，AMF 604以加密的NAS信令向UE 606提供UE密钥K_UE 618。UE 606可以考虑也在系统信息块中广播的新鲜度参数来导出UE密钥K_UECellID 638。UE 606可以执行广播系统信息的单向哈希或签名，并且可以将其与广播的信息进行比较。如果比较示出它们相同，则可以验证gNB 608。如果攻击者需要比gNB 608用于刷新签名632的时间间隔更多的时间来进行复制和广播动作，则可以由UE 606检测到重放攻击，其可以至少在每个帧开始时。UE 606可以在不同的gNB之间经历不同的UTC时间广播。

在一些实施例中，可以在远程单元102和网络单元104(例如，gNB)中配置安全材料(例如，密钥)以使远程单元102能够检测到远程单元102驻留的小区是否是恶意。如果长时间使用密钥(例如，密钥有效性)，则入侵者可能能够破解密钥。因此，远程单元102和/或网络单元104可以在有限的信令和/或配置下动态地使用密钥的更新和/或刷新。

如本文中所述，远程单元102可以验证诸如gNB、基站(“BS”)等的网络实体(“NE”)的真实性。在某些实施例中，可以使用私钥-公钥对来验证NE小区的真实性。在一些实施例中，响应于选择某个射频上的小区，远程单元102可以首先验证该小区属于真正的网络单元104。目的可以是避免远程单元102驻留在属于恶意网络单元的小区上。在各种实施例中，仅当认证和/或验证成功时，远程单元102停留在所选择的小区上(例如，驻留在所选择的小区上)。

在一些实施例中，可以向网络单元104提供私钥，该私钥可以用于对用于验证NE的真实性的某些信息进行签名。签名信息可以经由新引入的SIB发送和/或广播，或者签名信息可以是现有SIB的一部分。在某些实施例中，远程单元102可以接收公钥(例如，在附接时或在跟踪区域接受消息中)，并且可以使用公钥来解密签名的系统信息。在各种实施例中，响应于解密成功，可以证明NE的真实性。

在一些实施例中，可以在远程单元102处的RRC层处完成关于解密是否成功的验证。在一个实施例中，校验和(例如，添加到系统信息中)可以被用于确定解密是否成功。在各种实施例中，远程单元102可以知道用于验证NE的真实性的系统信息的内容。例如，可以在SIB1中广播的PLMN ID中包含用于验证真实NE的系统信息。

在某些实施例中，出于验证真实NE/小区的目的，在小区中广播的接收到的系统信息可以从RRC层传送到执行基于公共密钥来解密接收到的SI并验证解密是否成功的任务的不同层。

在一些实施例中，从安全性的角度来看，可能很重要的是，在确定的预定时间段流逝之后刷新和/或改变密钥(例如，远程单元102中的公钥和网络单元104(例如，NE)中的私钥)。

在一个实施例中，可以在远程单元102中配置具有不同但重叠的有效时间的多个密钥(例如，称为“Key_RogueDet”的公钥)。在另一个实施例中，可以存在具有在明确定义的时间(例如，UTC时间)终止和开始的不同有效时间的在远程单元102中配置的多个密钥。在各种实施例中，远程单元102可以存储多个密钥(例如，当前密钥和将来密钥)。

在某些实施例中，小区可以广播由网络单元104当前使用的密钥(例如，私钥)的有效时间。在一些实施例中，可以在系统信息内(例如，在MIB或SIB1中)用信号发送有效时间。在各种实施例中，有效时间可以表示在密钥被改变、刷新和/或更新的时间点的UTC时间。因此，远程单元102可以基于从SIB信息接收到的有效性信息来确定使用哪个公钥。

在一些实施例中，在旧密钥的有效时间期满之后，远程单元102可以促进接收新的公钥并将其用于验证网络单元104的真实性。在某些实施例中，远程单元102可以确保它们始终具有正确的公钥。

在各个实施例中，广播有效性时间可以表示网络单元104从其开始使用当前密钥进行加密的时间点(例如，UTC)。在一些实施例中，远程单元102在验证网络单元104的真实性之前，可以读取广播有效时间，并且可以检查当前密钥是否仍在使用中。在密钥已经被刷新和/或改变的实施例中，远程单元102可以获取新的公钥。

图7示出图示公钥更新和/或刷新的一个实施例。在某些实施例中，可以在NAS层处管理用于恶意小区检测的公钥材料。在各种实施例中，远程单元102或网络单元104(例如，AMF)能够基于密钥有效性和/或定期注册定时器来检测在远程单元102处对密钥重新配置的需要。在一些实施例中，NAS信令协议可以用于初始配置、更新、重建和/或刷新远程单元102中的公钥。

图7是图示用于远程单元密钥配置的通信700的一个实施例的图。通信700包括UE702、RAN 704、AMF 706和OAM系统708之间的通信。本文描述的任何通信可以包括一个或多个消息。

在某些实施例中，在从UE 702到RAN 704的第一通信710中，UE 702可以在注册管理(“RM”)过程(例如，5G NAS注册过程或4G NAS附接或TA更新过程)期间，经由RAN 704向核心网络(例如，AMF 706)指示用于恶意小区检测的密钥材料的更新和/或刷新是有用的。在一个实施例中，第一通信710包括“Key_RogueDet”指示。在一些实施例中，UE 702可以确定不存在配置的“Key_RogueDet”(例如，在初始注册过程期间)。在一些实施例中，UE 702可以确定当前使用的密钥的有效性在到期窗口内(例如，将在下一周期性注册过程之前到期，已经到期等)。在这样的实施例中，UE 702可以将剩余的有效性时间与周期性的注册定时器进行比较。如果周期性注册定时器小于剩余有效时间，则UE 702可以包括用于“Key_RogueDet”更新的指示。如果周期性注册计时器大于剩余的有效性时间，则UE 702可以决定不包括用于“Key_RogueDet”更新的指示。

在某些实施例中，UE 702可以使用周期性和/或移动性注册过程来指示对于用于恶意检测的新的公钥的需要。然而，在各种实施例中，在其中当前密钥将在下一调度的周期性注册过程之前到期的实施例中，UE 702可以显式触发用于密钥更新的注册管理过程。在这样的实施例中，在注册管理过程成功之前，UE 702可能不能认证真实网络单元104。在各种实施例中，类似的情况可能发生在漫游环境中，其中UE 702没有预先配置有本地公钥。

在一些实施例中，UE 702可以在检测到需要新的公钥时触发NAS注册过程。在这样的实施例中，UE 702可以在出于获取新的公钥的目的而触发RRC连接请求消息时在RRC连接请求消息中(例如，由NAS层提供给RRC层)包括新的建立原因值。在各种实施例中，UE 702可以在信令中设置指示UE 702请求用于验证网络单元104的真实性的新公钥的标志。

在某些实施例中，尽管可以避免对密钥更新的同时请求(例如，使用定期注册过程)，但是可能存在许多UE 702同时触发RRC连接请求过程以获取新密钥而可能导致一些拥塞的情况(例如，根据一个实施例，RACH过程可以在一些时间段上分布在UE 702上)。在一些实施例中，UE 702在执行RRC连接请求过程之前，可以在0和一些预定值之间绘制随机数，以便于实现RACH过程的均匀分布。

在各个实施例中，在从UE 702接收到RM请求消息(例如，第一通信710)之后，网络可以确定712UE 702处的密钥材料(例如，“Key_RogueDet”)将被更新。在一些实施例中，网络(例如，AMF 706)可以在第一通信710中使用来自UE 702的指示来确定密钥更新的需要(例如，网络可以依赖于来自UE 702的指示)。在某些实施例中，网络(例如，AMF 706)可以在UE 702RM上下文中存储“Key_RogueDet”相关信息，并且由此，网络可以在没有来自UE 702的指示的情况下确定是否需要和/或要求“Key_RogueDet”更新。

在各种实施例中，网络可以在注册管理(“RM”)过程中或在其他NAS过程中(例如，在服务请求过程期间或在其期间UE 702处于连接状态(例如，CM-CONNECTED状态)并且存在现有的NAS信令连接的任何时间)确定对“Key_RogueDet”信息更新的需求。

在一些实施例中，以UE 702可能已知的预定间隔来改变密钥(例如，每3小时改变一次密钥)。在各种实施例中，UE 702可以在UE 702知道的预定间隔内的某处获取新密钥。

在某些实施例中，在从AMF 706到UE 702的第二通信714中，如果网络(例如，AMF706)确定需要在UE 702中更新“Key_RogueDet”，则AMF 706向在移动性注册区域中可以使用的UE 702发送更加新的和/或更加新鲜的“Key_RogueDet”。可以理解，移动性注册区域可以是PLMN、TA、多个TA、一定数量的小区和/或仅一个小区。新的“Key_RogueDet”可以具有新的有效时间。在一些实施例中，承载更加新的“Key_RogueDet”信息的NAS消息可以被包括在RM接受消息(或附接/跟踪区域更新“TAU”接受消息)中和/或NAS UE配置更新消息中(用于UE配置更新过程)。考虑后面的NAS UE配置更新消息，换句话说，可以在没有通信710的情况下执行从AMF 706到UE 702的通信714，代替地对新的“Key_RogueDet”的需求完全在网络中执行并且被传达给UE。

在各种实施例中，第二通信714可以包括关于在UE 702中删除先前配置的“Key_RogueDet”信息的信息。例如，网络可以确定不再在RAN实体中使用UE 702中的先前配置的“Key_RogueDet”信息。

在一些实施例中，UE 702可以基于接收到的NAS消息(例如，NAS RM接受消息)来更新716其上下文，其中存储“Key_RogueDet”信息。此外，UE 702可以删除旧的(例如，到期的)“Key_RogueDet”信息和/或配置新的“Key_RogueDet”信息。此外，UE 702可以同时保持一个或多个Key_RogueDet信息。

在某些实施例中，在第三通信718(例如，可选通信)中，从RAN 704到UE 702，RAN704可以发送SIB信息。UE 702可以监视对应的SIB信息，其中RAN 704广播用于恶意检测的加密信息。

在一些实施例中，UE 702在每个小区选择过程中确定720小区真实性。在各种实施例中，UE 702利用第一“Key_RogueDet”来验证广播签名和/或加密信息(例如，SIB25)。如果验证起作用，则网络很好(例如，不是恶意)。如果验证不起作用，则UE 702使用第二“Key_RogueDet”验证签名和/或加密信息(例如，SIB25)。如果该第二验证起作用，则网络很好。如果使用第二“Key_RogueDet”的验证成功，则UE 702可以确定第一“Key_RogueDet”已经到期。因此，UE 702可以在内部将第一“Key_RogueDet”标记为旧的。此外，在下一小区驻扎期间，UE 702可以首先使用第二“Key_RogueDet”。如果UE 702确定不真实的小区，则UE 702可以执行小区重选以选择新小区。

在各种实施例中，在从UE 702到RAN 704的第四通信722中，如果UE 702在先前的小区选择过程中确定恶意小区，则UE 702可以在驻扎在新小区的期间报告检测到的恶意信息。此报告可以在RRC连接建立过程中完成。

在某些实施例中，UE 702可能没有意识到密钥改变发生的时间。可以理解，在验证网络单元104的真实性时，UE 702可以使用UE 702已经存储的密钥。如果验证失败，则UE702可以请求新密钥(例如，通过触发跟踪区域更新过程)。在向UE 702提供新的公钥的实施例中，UE 702可以重试解密和/或验证签名的系统信息。如果验证再次失败，则UE 702可以假定网络单元104是恶意网络单元。在一些实施例中，如果验证完全失败(例如，在已经使用新提供的密钥重试之后)，则UE 702可以触发小区重选。

在各种实施例中，可以存在由RAN 704发送的签名和/或加密的信息，并且UE 702可以被配置有用于恶意小区检测的单个密钥信息。在一些实施例中，RAN 704可以在过渡时段(例如，24小时)内广播加密和/或签名的信息。在某些实施例中，RAN 704可以在广播信息中指示过渡时段持续多长时间。在各种实施例中，UE 702被配置有用于恶意小区检测的单个密钥信息，并且可以预期，在注册过程期间，UE网络(例如，AMF 706)将通过网络广播的用于恶意小区检测的新的密钥信息来更新UE 702。

在某些实施例中，UE 702利用在UE 702处可用的密钥来验证第一加密和/或签名的信息(例如，SIB25)。如果验证起作用，则网络是正常的(例如，不是恶意的，不是伪造的)。如果验证不起作用，则UE 702使用在UE 702处可用的密钥来验证第二加密和/或签名的信息(例如，SIB25*)。如果此第二验证有效，则网络很好。在一些实施例中，UE 702可以注意到，在下一注册管理过程中，UE 702可以向网络指示需要更新用于恶意小区检测的密钥信息(例如，基于第二验证成功并且第一验证没有成功的事实)。如果第二验证不起作用(取决于一些详细的原因)，则UE 702可以将当前小区确定为恶意和/或伪造的。因此，UE 702可以执行小区重选过程。

图8是图示用于接收恶意单元检测信息的方法800的一个实施例的示意性流程图。在一些实施例中，方法800由诸如远程单元102的装置执行。在某些实施例中，方法800可以由执行程序代码的处理器——例如，微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等——执行。

方法800可以包括保持802恶意单元检测信息。在这样的实施例中，恶意单元检测信息包括公钥和与该公钥相对应的有效时间。在某些实施例中，方法800包括确定804公钥的有效时间是否在到期窗口内。在各个实施例中，方法800包括，响应于确定公钥的有效时间在有效期内，发送806对新的恶意单元检测信息的请求。在一些实施例中，方法800包括接收808新的恶意单元检测信息。

在某些实施例中，方法800包括使用新的恶意单元检测信息来检测恶意单元。在一些实施例中，保持802恶意单元检测信息包括存储恶意单元检测信息并监视与公钥相对应的有效时间。在各个实施例中，恶意单元检测信息包括多个公钥和多个有效时间，并且多个公钥中的每个公钥对应于多个有效时间中的有效时间。

在一个实施例中，确定804公钥的有效时间是否已经到期包括将有效时间与计时器进行比较。在某些实施例中，确定804公钥的有效时间是否已经到期包括将有效时间与当前时间进行比较。在一些实施例中，发送806对新的恶意单元检测信息的请求包括发送对更新公钥的请求。

在各个实施例中，接收808新的恶意单元检测信息包括接收新的恶意单元检测信息作为信令过程的一部分。在一个实施例中，方法800包括将新的恶意单元检测信息添加到恶意单元检测信息。在某些实施例中，方法800包括用新的恶意单元检测信息替换恶意单元检测信息。在一些实施例中，到期窗口包括用于公钥的有效时间到期或用于公钥的有效时间在预定时间阈值内。

图9是图示用于发送恶意单元检测信息的方法900的一个实施例的示意性流程图。在一些实施例中，方法900由诸如网络单元104的装置执行。在某些实施例中，方法900可以由执行程序代码的处理器——例如，微控制器、微处理器、CPU、处理器、GPU、辅助处理单元、FPGA等——执行。

方法900可以包括确定902远程单元102是否具有在到期窗口内到期的恶意单元检测信息。在这样的实施例中，恶意单元检测信息包括公钥和与该公钥相对应的有效时间。在某些实施例中，方法900包括，响应于确定远程单元102具有在到期窗口内到期的恶意单元检测信息，确定904用于远程单元102的新恶意单元检测信息。在各种实施例中，方法900包括将新的恶意单元检测信息发送906到远程单元102。

在一些实施例中，恶意单元检测信息包括多个公钥和多个有效时间，并且多个公钥中的每个公钥对应于多个有效时间中的有效时间。在各种实施例中，确定902远程单元102是否具有在到期窗口内到期的恶意单元检测信息包括确定与公钥相对应的有效时间已到期或将在预定时间内到期。在某些实施例中，确定对应于公钥的有效时间已经到期或将在预定时间内到期包括将有效时间与计时器进行比较。

在一个实施例中，确定与公钥相对应的有效时间已在预定时间内到期或将在预定时间内到期包括，将有效时间与当前时间进行比较。在一些实施例中，确定902远程单元102是否具有在到期窗口内到期的恶意单元检测信息包括在与网络单元104的下一远程单元交互之前确定公钥将到期。在各种实施例中，确定904用于远程单元102新的恶意单元检测信息包括计算新的恶意单元检测信息。

在某些实施例中，将新的恶意单元检测信息发送906到远程单元102包括作为信令过程的一部分，将新的恶意单元检测信息发送到远程单元102。在一个实施例中，远程单元102将新的恶意单元检测信息添加到恶意单元检测信息。在一些实施例中，远程单元102用新的恶意单元检测信息替换恶意单元检测信息。在各种实施例中，到期窗口包括用于公钥的有效时间到期或用于公钥的有效时间在预定时间阈值内。

在一个实施例中，一种方法包括：保持恶意单元检测信息，其中恶意单元检测信息包括公钥和与该公钥相对应的有效时间；确定针对公钥的有效时间是否在到期窗口内；响应于确定针对公钥的有效时间在到期窗口内，发送对新的恶意单元检测信息的请求；以及接收新的恶意单元检测信息。

在某些实施例中，一种方法包括使用新的恶意单元检测信息来检测恶意单元。

在一些实施例中，保持恶意单元检测信息包括存储恶意单元检测信息并监视与公钥相对应的有效时间。

在各个实施例中，恶意单元检测信息包括多个公钥和多个有效时间，并且多个公钥中的每个公钥对应于多个有效时间中的有效时间。

在一个实施例中，确定公钥的有效时间是否已经到期包括将有效时间与计时器进行比较。

在某些实施例中，确定公钥的有效时间是否已经到期包括将有效性时间与当前时间进行比较。

在一些实施例中，发送对新的恶意单元检测信息的请求包括发送对公钥的更新的请求。

在各种实施例中，接收新的恶意单元检测信息包括接收新的恶意单元检测信息作为信令过程的一部分。

在一个实施例中，一种方法包括将新的恶意单元检测信息添加到恶意单元检测信息。

在某些实施例中，一种方法包括使用新的恶意单元检测信息替换恶意单元检测信息。

在一些实施例中，到期窗口包括针对公钥的有效时间到期或针对公钥的有效时间在预定时间阈值内。

在一个实施例中，一种装置包括：处理器，其保持恶意单元检测信息，其中恶意单元检测信息包括公钥和与该公钥相对应的有效时间；确定针对公钥的有效时间是否在到期窗口内；发射器，响应于确定针对公钥的有效时间在到期窗口内，发送对新的恶意单元检测信息的请求；以及接收器，其接收新的恶意单元检测信息。

在一些实施例中，处理器使用新的恶意单元检测信息来检测恶意单元。

在各个实施例中，处理器通过存储恶意单元检测信息并监视与公钥相对应的有效时间来保持恶意单元检测信息。

在某些实施例中，恶意单元检测信息包括多个公钥和多个有效时间，并且多个公钥中的每个公钥对应于多个有效时间中的有效时间。

在一个实施例中，处理器通过将有效时间与计时器进行比较来确定公钥的有效时间是否已经到期。

在一些实施例中，处理器通过将有效时间与当前时间进行比较来确定公钥的有效时间是否已经到期。

在各个实施例中，发射器通过发送用于更新公钥的请求来发送对新的恶意单元检测信息的请求。

在某些实施例中，接收器通过接收新的恶意单元检测信息作为信令过程的一部分来接收新的恶意单元检测信息。

在一个实施例中，处理器将新的恶意单元检测信息添加到恶意单元检测信息。

在一些实施例中，处理器将恶意单元检测信息替换为新的恶意单元检测信息。

在各个实施例中，到期窗口包括针对公钥的有效时间到期或针对公钥的有效时间在预定时间阈值内。

在一个实施例中，一种方法包括：确定远程单元是否具有在到期窗口内到期的恶意单元检测信息，其中，恶意单元检测信息包括公钥和与该公钥相对应的有效时间；响应于确定远程单元具有在到期窗口内到期的恶意单元检测信息，确定用于远程单元的新的恶意单元检测信息；以及将新的恶意单元检测信息发送到远程单元。

在一些实施例中，恶意单元检测信息包括多个公钥和多个有效时间，并且多个公钥中的每个公钥对应于多个有效时间中的有效时间。

在各种实施例中，确定远程单元是否具有在到期窗口内到期的恶意单元检测信息包括确定与公钥相对应的有效时间已经到期或将在预定时间内到期。

在某些实施例中，确定对应于公钥的有效时间已经到期或将在预定时间内到期包括将有效时间与计时器进行比较。

在一个实施例中，确定对应于公钥的有效时间已经到期或将在预定时间内到期包括将有效时间与当前时间进行比较。

在一些实施例中，确定远程单元是否具有在到期窗口内到期的恶意单元检测信息包括在下一远程单元与网络单元交互之前确定公钥将到期。

在各个实施例中，为远程单元确定新的恶意单元检测信息包括计算新的恶意单元检测信息。

在某些实施例中，将新的恶意单元检测信息发送到远程单元包括作为信令过程的一部分，将新的恶意单元检测信息发送到远程单元。

在一个实施例中，远程单元将新的恶意单元检测信息添加到恶意单元检测信息。

在一些实施例中，远程单元使用新的恶意单元检测信息替换恶意单元检测信息。

在各种实施例中，到期窗口包括针对公钥的有效时间到期或针对公钥的有效时间在预定时间阈值内。

在一个实施例中，一种装置包括：处理器，其确定远程单元是否具有在到期窗口内到期的恶意单元检测信息，其中恶意单元检测信息包括公钥和与该公钥相对应的有效时间；并且响应于确定该远程单元具有在该到期窗口内到期的恶意单元检测信息，确定用于远程单元的新的恶意单元检测信息；以及发射器，其将新的恶意单元检测信息发送到远程单元。

在一些实施例中，恶意单元检测信息包括多个公钥和多个有效时间，并且多个公钥中的每个公钥对应于多个有效时间中的有效时间。

在各个实施例中，处理器通过确定对应于公钥的有效时间已经到期或将在预定时间内到期，来确定远程单元是否具有在到期窗口内到期的恶意单元检测信息。

在某些实施例中，处理器通过将有效时间与计时器进行比较来确定与公钥相对应的有效时间已经到期或将在预定时间内到期。

在一个实施例中，处理器通过将有效时间与当前时间进行比较来确定与公钥相对应的有效时间已经到期或将在预定时间内到期。

在一些实施例中，处理器通过确定公钥在与网络单元的下一个远程单元交互之前将到期来确定远程单元是否具有在到期窗口内到期的恶意单元检测信息。

在各个实施例中，处理器通过计算新的恶意单元检测信息来确定用于远程单元的新的恶意单元检测信息。

在某些实施例中，发射器通过将新的恶意单元检测信息发送到远程单元将新的恶意单元检测信息发送到远程单元，作为信令过程的一部分。

在一个实施例中，远程单元将新的恶意单元检测信息添加到恶意单元检测信息。

在一些实施例中，远程单元将恶意单元检测信息替换为新的恶意单元检测信息。

在各个实施例中，到期窗口包括针对公钥的有效时间到期或针对公钥的有效时间在预定时间阈值内。

可以以其他特定形式实践实施例。所描述的实施例在所有方面都应被视为仅是说明性的而非限制性的。因此，本发明的范围由所附权利要求而不是前面的描述来指示。在权利要求的含义和等同范围内的所有变化都包含在其范围内。