CN109644340B - 空闲模式期间5g中的安全性上下文处理的方法和装置 - Google Patents
空闲模式期间5g中的安全性上下文处理的方法和装置 Download PDFInfo
- Publication number
- CN109644340B CN109644340B CN201880003392.3A CN201880003392A CN109644340B CN 109644340 B CN109644340 B CN 109644340B CN 201880003392 A CN201880003392 A CN 201880003392A CN 109644340 B CN109644340 B CN 109644340B
- Authority
- CN
- China
- Prior art keywords
- key
- mobility management
- access stratum
- access
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 186
- 230000008859 change Effects 0.000 claims abstract description 70
- 230000006870 function Effects 0.000 claims description 120
- 238000004891 communication Methods 0.000 claims description 74
- 230000004044 response Effects 0.000 claims description 66
- 238000012545 processing Methods 0.000 claims description 47
- 238000009795 derivation Methods 0.000 claims description 24
- 230000007246 mechanism Effects 0.000 abstract description 8
- 238000007726 management method Methods 0.000 description 87
- 230000008569 process Effects 0.000 description 18
- 238000004590 computer program Methods 0.000 description 15
- 230000003287 optical effect Effects 0.000 description 6
- 230000003068 static effect Effects 0.000 description 5
- 238000013500 data storage Methods 0.000 description 4
- 235000019796 monopotassium phosphate Nutrition 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/34—Reselection control
- H04W36/38—Reselection control by fixed network equipment
- H04W36/385—Reselection control by fixed network equipment of the core network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/20—Selecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/02—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration by periodical registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/142—Reselecting a network or an air interface over the same radio air interface technology
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Alarm Systems (AREA)
- Lock And Its Accessories (AREA)
- Stored Programmes (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Saccharide Compounds (AREA)
- Aiming, Guidance, Guns With A Light Source, Armor, Camouflage, And Targets (AREA)
- Burglar Alarm Systems (AREA)
Abstract
本公开涉及用于AMF改变期间的灵活的安全性上下文管理的方法和装置。本公开的一个方面是用于在空闲模式下在AMF改变期间实现后向安全性的机制。不同于向目标AMF输送当前NAS密钥,源AMF导出新的NAS密钥,向目标AMF提供新的NAS密钥以及指示NAS密钥已改变的密钥改变指示。目标AMF向用户设备发送该密钥改变指示。
Description
技术领域
本公开总体涉及无线通信网络中的安全性,并且更具体地涉及用于当在移动性管理域之间发生改变时进行安全性上下文处理的方法和装置。
背景技术
第三代合作伙伴计划(3GPP)目前正在开发用于第五代(5G) 系统的标准。预期5G网络将支持许多新场景和用例,并将成为物联网(IoT)的实现手段。还预期5G系统将为诸如传感器、智能可穿戴设备、车辆、机器等之类的广泛的新设备提供连接性。灵活性将是5G 系统中的关键属性。这种新的灵活性被反映在网络接入的安全性要求中,其要求支持备选认证方法和不同类型的凭证,该不同类型的凭证不同于由运营商预先配置并被安全地存储在通用集成电路卡(UICC) 中的通常的认证和密钥协议(AKA)凭证。更灵活的安全性特征将允许工厂所有者或企业将他们自己的身份和凭证管理系统用于认证和接入网安全性。
5G系统中的新的安全特征之一是安全性锚功能(SEAF)的引入。 SEAF的目的是通过在安全位置提供锚点以用于密钥存储来迎合5G 核心网功能的部署中的灵活性和动态性。事实上,预计SEAF将利用虚拟化来实现想要的灵活性。因此,接入和移动性管理功能(AMF) (负责接入和移动性管理的5G功能)可以被部署在可能不如运营商的核心网那么安全的域中,而主密钥保留在安全位置中的SEAF中。
SEAF旨在与用户设备(UE)建立和共享表示为KSEAF的密钥,该密钥用于导出其他密钥,例如用于控制平面保护的密钥(例如,KCN密钥)和用于无线电接口保护的密钥。这些密钥通常与长期演进(LTE) 系统中的非接入层(NAS)密钥和接入层密钥(KENB)相对应。假设SEAF驻留在安全位置中,并且KSEAF密钥决不会离开SEAF。SEAF 与AMF通信并提供必要的密钥材料(从KSEAF密钥导出),用于保护与用户设备(UE)的控制平面(CP)和用户平面(UP)流量。这种方法的一个优点是每次UE从由一个AMF服务的区域移动到由另一 AMF服务的区域时,避免了重新认证。实际上,认证是一种高成本的过程,特别是当UE在漫游时。
最近,引入了一种使SEAF和AMF共处一地的建议,这首先阻挠了SEAF的目的。值得注意的是,LTE系统中的安全性设计在概念上基于以下假设:移动性管理实体(MME)(即负责LTE系统中的移动性管理的节点)总是位于运营商核心网内的安全位置。这种假设不适用于5G系统中的AMF。在密集区域中,AMF可能被部署得更靠近网络边缘,并且因此可能被部署在暴露位置(例如,在购物中心中)。因此,在AMF改变期间,AMF中的一个AMF有可能不位于与另一个AMF同等安全的域中,并且因此目标或源AMF可能需要将自己与另一个AMF屏蔽。
演进分组系统(EPS)依赖于MME始终位于安全位置中的假设。因此,在MME改变期间,新的MME简单地从先前的MME获取UE 的安全性上下文。此外,MME可以可选地触发用于前向安全性的新的认证。
在传统机制的情况下,前向安全性(即,旧的MME不知道新MME 使用的安全性上下文)可以经由重新认证来实现,但是没有用于后向安全性的机制(即,新的MME不知道由旧的MME使用的安全性上下文)。新的AMF可以触发新的认证,从而消除旧的AMF确定新密钥的任何可能性。例如,对重新认证的需要可以基于考虑不同AMF 的位置的运营商策略。
仅依赖于身份认证过程并不是非常有效,因为在性能方面,它是成本最高的过程之一。因此,仍然存在当改变AMF时提供安全性而无需重新认证的需求。
发明内容
本公开涉及用于AMF改变期间的灵活的安全性上下文管理的方法和装置。本公开的一个方面是用于在AMF改变期间实现后向安全性的机制。不同于向目标AMF输送当前NAS密钥,源AMF导出新的NAS密钥,向目标AMF提供新的NAS密钥,并且直接或通过某个其他网络节点向UE发送密钥改变指示(KCI)。然后,UE可以根据旧的NAS密钥导出新的NAS密钥。在一些实施例中,AMF可以向 UE提供密钥生成参数,以用于导出新的NAS密钥。在其他实施例中,目标AMF可以改变一个或多个安全性算法。
根据本公开的一个方面,保存UE的安全性上下文的源AMF确定对AMF改变的需求。响应于确定对AMF改变的需求,源AMF生成新的非接入层密钥并向目标AMF发送该非接入层密钥。在一些实施例中,源AMF还向UE或向目标AMF发送KCI。
本公开的一个方面包括在切换期间由无线通信网络的接入网中的源基站实现的方法。源基站向无线通信网络的核心网中的源移动性管理功能发送第一切换消息,以发起UE的切换。随后,响应于第一切换消息,源基站从源移动性管理功能接收第二切换消息。第二切换消息包括指示非接入层密钥已被改变的KCI。源基站向UE转发具有KCI 的第二切换消息。
本公开的另一方面包括源基站,其被配置为执行前一段中的上述方法。在一个实施例中,基站包括用于通过空中接口与UE进行通信的接口电路;以及适于将UE从源基站切换到目标基站的处理电路。该处理电路被配置为:向无线通信网络的核心网中的源移动性管理功能发送第一切换消息,以发起UE的切换;响应于所述切换消息,从源移动性管理功能接收第二切换消息,所述第二切换消息包括指示非接入层密钥已被改变的密钥改变指示;以及经由接口电路向UE转发具有密钥改变指示的切换命令。
本公开的另一方面包括在切换期间由无线通信网络的核心网中的源移动性管理功能实现的方法。源移动性管理功能从源基站接收指示需要UE的切换的第一切换消息。源移动性管理功能生成新的非接入层密钥,并向无线通信网络的核心网中的目标移动性管理功能发送该新的非接入层密钥。源移动性管理功能还在第二切换消息中向UE发送KCI。KCI指示非接入层密钥的改变。
本公开的另一方面包括源移动性管理功能,其被配置为执行前一段中的上述方法。在一个实施例中,源移动性管理功能包括:用于通过通信网络与基站和目标移动性管理功能进行通信的接口电路;以及处理电路。该处理电路被配置为:从无线通信网络的接入网中的源基站接收指示需要UE的切换的第一切换消息;生成新的非接入层密钥;响应于切换消息,向无线通信网络的核心网中的目标移动性管理功能发送所述新的非接入层密钥;以及在第二切换消息中向UE发送密钥改变指示,所述密钥改变指示对非接入层密钥的改变进行指示。
本公开的另一方面包括在切换期间由无线通信网络的核心网中的目标移动性管理功能实现的方法。目标移动性管理功能从源移动性管理功能接收新的非接入层密钥。目标移动性管理功能建立包括根据新的非接入层密钥导出的新的接入层密钥的新的安全性上下文,且向目标基站发送该新的接入层密钥。
本公开的另一方面包括目标移动性管理功能,其被配置为执行前一段中的上述方法。在一个实施例中,目标移动性管理功能包括:用于通过通信网络与目标基站和源移动性管理功能进行通信的接口电路;以及处理电路。该处理电路被配置为:从源移动性管理功能接收新的非接入层密钥;建立新的安全性上下文,该新的安全性上下文包括根据新的非接入层密钥导出的新的接入层密钥;以及向目标基站发送该新的接入层密钥。
本公开的另一方面包括在切换期间由无线通信网络中的UE在切换期间实现的方法。UE从无线通信网络的源移动性管理功能的域中的源基站接收包括KCI的切换消息。KCI向UE指示非接入层密钥已被改变。UE执行从源基站到目标移动性管理功能的域中的目标基站的切换。响应于KCI,UE建立与目标移动性管理功能的新的安全性上下文。该新的安全性上下文包括新的非接入层密钥。UE可以可选地使用新的非接入层密钥与目标移动性管理功能进行通信。
本公开的另一方面包括被配置为执行前一段中的方法的UE。在一个实施例中,UE包括:用于与无线通信网络的接入网中的一个或多个基站进行通信的接口电路,以及处理电路。该处理电路被配置为:从无线通信网络的第一移动性管理域中的源基站接收切换消息,所述切换消息包括密钥改变指示;执行从源基站到无线通信网络的第二移动性管理域中的目标基站的切换;以及响应于密钥改变指示,建立与目标移动性管理功能的新的安全性上下文,所述新的安全性上下文包括新的非接入层密钥。
本公开的另一方面包括当处于空闲模式的UE改变移动性管理功能时,在切换期间由无线通信网络的核心网中的源移动性管理功能实现的方法。源移动性管理功能从目标移动性管理功能接收对UE的安全性上下文的请求。源移动性管理功能生成新的非接入层密钥,并且响应于所述请求,向目标移动性管理功能发送新的非接入层密钥和 KCI。KCI指示非接入层密钥的改变。
本公开的另一方面包括源移动性管理功能,其被配置为执行前一段中的方法。在一个实施例中,源移动性管理功能包括:用于通过通信网络与基站和目标移动性管理功能进行通信的接口电路;以及处理电路。该处理电路被配置为从目标移动性管理功能接收对UE的安全性上下文的请求;生成新的非接入层密钥;以及响应于所述请求,向目标移动性管理功能发送新的非接入层密钥和KCI。KCI指示非接入层密钥的改变。
本公开的另一方面包括当处于空闲模式的UE改变移动性管理功能时,在切换期间由无线通信网络的核心网中的目标移动性管理功能实现的方法。目标移动性管理功能从UE接收指示移动性管理功能改变的注册消息或其他控制消息。目标移动性管理功能向无线通信网络中的源移动性管理功能请求安全性上下文。响应于该请求,目标移动性管理功能接收新的非接入层密钥和指示非接入层密钥已被改变的 KCI。目标移动性管理功能向UE发送KCI,并且可选地为UE建立包括新的非接入层密钥的新的安全性上下文。
本公开的另一方面包括目标移动性管理功能,其被配置为执行前一段中的方法。在一个实施例中,目标移动性管理功能包括:用于通过通信网络与目标基站和源移动性管理功能进行通信的接口电路;以及处理电路。该处理电路被配置为从UE接收指示移动性管理功能改变的注册消息或其他控制消息;响应于注册消息,向无线通信网络中的源移动性管理功能请求安全性上下文;响应于该请求,接收新的非接入层密钥和指示非接入层密钥已被改变的KCI;以及向UE发送KCI,并且可选地为UE建立包括新的非接入层密钥的新的安全性上下文。
本公开的另一方面包括当空闲模式UE改变AMF时,在切换期间由无线通信网络中的该UE实现的方法。UE向无线通信网络中的目标移动性管理功能发送注册消息或其他控制消息。响应于该注册消息或其他控制消息,UE接收指示非接入层密钥已被改变的KCI。响应于 KCI,UE生成新的非接入层密钥。在生成新的非接入层密钥之后, UE可以可选地建立与目标移动性管理功能的新的安全性上下文,其中新的安全性上下文包括新的非接入层密钥,并且UE可在之后使用该新的非接入层密钥与目标移动性管理功能进行通信。
本公开的另一方面包括被配置为执行前一段中的方法的UE。在一个实施例中,UE包括:用于与无线通信网络的接入网中的一个或多个基站进行通信的接口电路,以及处理电路。该处理电路被配置为向无线通信网络中的目标移动性管理功能发送注册消息或其他控制消息;响应于该注册消息或其他控制消息,接收指示非接入层密钥已被改变的KCI;以及响应于KCI,生成新的非接入层密钥。在生成新的非接入层密钥之后,UE可以可选地建立与目标移动性管理功能的新的安全性上下文,其中新的安全性上下文包括新的非接入层密钥,并且UE可在之后使用该新的非接入层密钥与目标移动性管理功能进行通信。
本公开的其他方面和实施例被包括在所列举的实施例中。
附图说明
图1示出了示例性无线通信网络。
图2示出了在切换期间用于安全性上下文处理的过程。
图3示出了在处于空闲模式的UE改变AMF时用于安全性上下文处理的第一过程。
图4示出了第一示例性密钥生成过程。
图5示出了第二示例性密钥生成过程
图6示出了在切换期间用于安全性上下文处理的第二过程。
图7示出了在切换期间用于安全性上下文处理的第三过程。
图8示出了在处于空闲模式的UE改变AMF时用于安全性上下文处理的第二过程。
图9示出了在切换期间由源基站实现的方法。
图10示出了被配置为执行图9的方法的示例性基站。
图11示出了在切换期间由源AMF实现的方法。
图12示出了被配置为执行图11的方法的示例性源AMF。
图13示出了在切换期间由目标AMF实现的方法。
图14示出了被配置为执行图13的方法的示例性目标AMF。
图15示出了在切换期间由UE实现的方法
图16示出了被配置为执行图15的方法的示例性UE。
图17示出了在处于空闲模式的UE改变AMF时由源AMF实现的方法。
图18示出了被配置为执行图17的方法的示例性源AMF。
图19示出了在处于空闲模式的UE改变AMF时由目标AMF实现的方法。
图20示出了被配置为执行图19的方法的示例性目标AMF。
图21示出了在处于空闲模式的UE在AMF之间移动时由UE实现的位置更新方法。
图22示出了被配置为执行图21的方法的示例性UE。
图23示出了被配置为实现本文中所述的安全性上下文处理过程的示例性基站。
图24示出了被配置为实现本文中所述的安全性上下文处理过程的示例性核心网节点。
图25示出了被配置为实现本文中所述的安全性上下文处理过程的示例性UE。
具体实施方式
现在参考附图,将在5G无线通信网络的上下文下描述本公开的示例性实施例。本领域技术人员将理解,本文描述的方法和装置不限于在5G网络中使用,而是还可以用在根据其他标准操作的无线通信网络中。
图1示出了根据一个示例性实施例的无线通信网络10。无线通信网络10包括无线电接入网(RAN)20和核心网30。RAN 20包括一个或多个基站25,该基站向在无线通信网络10内操作的UE 70提供无线电接入。基站25也被称为gNodeB(gNB)。核心网30提供RAN 20与其他分组数据网络80之间的连接。
在一个示例性实施例中,核心网30包括认证服务器功能(AUSF) 35、接入和移动性管理功能(AMF)40、会话管理功能(SMF)45、策略控制功能(PCF)50、统一数据管理(UDM))功能55以及用户平面功能(UPF)60。无线通信网络10的这些组件包括驻留在一个或多个核心网节点中的逻辑实体。逻辑实体的功能可以由一个或多个处理器、硬件、固件或其组合来实现。这些功能可以驻留在单个核心网节点中,或者可以分布在两个或更多个核心网节点中。
其中的AMF 40执行类似于LTE中的MME的移动性管理功能。 AMF和MME在本文中被统称为移动性管理功能。在图1所示的示例性实施例中,AMF 40是非接入层(NAS)安全性的端点。AMF 40与 UE 70共享被表示核心网密钥(KCN)的密钥,该密钥用于导出用于完整性和机密性保护的NAS较低级协议密钥。KCN通常等同于演进分组系统(EPS)中的名为KASME的基本密钥。KCN密钥通常等同于5G规范中使用的KAMF密钥。始终存在的情况是,在认证之后,使用新的 KCN。在认证之后如何建立KCN密钥不是本公开的实质方面。本文描述的方法和装置不依赖于在认证之后用于计算KCN的具体方法。也就是说,安全性上下文处理方法起作用,而不考虑KCN是从更高级密钥导出的还是通过与EPS中KASME的建立类似的认证过程直接建立的。
一旦UE 70被认证,UE 70就可以在网络内的小区之间移动。当UE 70在连接模式下在小区之间移动时,执行切换。当处于空闲模式下的UE 70在小区之间移动时,可以执行位置更新过程。AMF 40保持跟踪UE 70在其域中的位置。通常,核心网30会具有多个AMF 40,每个AMF 40在相应的域中提供移动性管理服务。当UE 70在由不同 AMF 40监督的小区之间移动时,需要将安全性上下文从源AMF 40 传递给目标AMF 40。
在LTE系统中,在MME间切换或位置更新期间,安全性上下文从源移动性管理实体(MME)未改变地传递给目标MME。在AMF 改变之后,可以执行NAS安全性模式命令(SMC)过程,该过程使用新的NAS和接入层(AS)密钥。例如,当在NAS级需要算法改变时,可能必须生成NAS和AS密钥。通常,改变在NAS协议层使用的算法对AS密钥没有任何影响。但是,改变主NAS上下文密钥会使当前AS密钥过时。
本公开的一个方面是用于在AMF改变期间实现后向安全性的机制。不同于向目标AMF 40输送当前NAS密钥,源AMF 40导出新的 NAS密钥,将新的NAS密钥提供给目标AMF 40,并向UE 70发送 KCI。然后,UE 70可以根据旧的NAS密钥导出新的NAS密钥。在一些实施例中,源AMF 40可以向UE 70提供密钥生成参数,以用于导出新的NAS密钥。在其他实施例中,目标AMF 40可以改变一个或多个安全性算法。
图2示出了用于在AMF改变情况下的切换期间传递安全性上下文的示例性过程。在步骤1,源基站25(例如,源gNB)决定发起基于N2的切换,例如,因为没有到目标基站25(例如,目标gNB)的 Xn连接。Xn接口是EPS中的X2接口的5G等同物。在步骤2,源基站25向源AMF40发送切换要求消息(或切换要求消息的5G等同物)。这是当前为UE 70服务的AMF 40,AMF40基于非接入层密钥与该 UE 70共享完整的NAS安全性上下文,该非接入层密钥在本文被称为 KCN密钥。可以在先前的认证或AMF 40改变过程之后建立KCN密钥。在步骤3,源AMF 40选择目标AMF 40并决定导出新的KCN密钥以向目标AMF 40屏蔽其自身和所有先前会话。导出新密钥的决定可以基于运营商特定安全性策略。
作为示例,当AMF集合改变时,可以使用新的KCN密钥。通常假设当AMF集合不改变时不需要水平密钥导出。这两种假设背后的当前推理是5G安全性上下文被存储在AMF集合内的非结构化数据存储网络功能(UDSF)中。因此,当为UE分配相同AMF集合中的不同AMF时,则不需要KCN的水平导出。但是当为UE分配不同AMF 集合中的不同AMF时,则UDSF是不同的,并且KCN的水平导出是必要的。但是,这些假设可能不适用于所有可能的网络部署。首先, UDSF是可选的网络功能。此外,没有理由将网络架构限制为仅在AMF 集合内存在共享存储的部署。一些网络部署可以具有跨多个AMF集合的安全存储。在这种情况下,当AMF集合改变时,不需要强制要求KCN的水平导出。类似地,一些网络部署可以在单个AMF集中使用多个安全存储。在这种情况下,即使在UE 70不改变AMF集合时,也可能期望水平密钥导出。因此,当在AMF之间改变时执行KCN的水平导出的决定应该根据网络策略来进行,而不是基于AMF集合的强制要求/限制来进行。例如,网络运营商可以具有如下策略:当UE 70 从源AMF 40改变到不共享相同安全存储的目标AMF 40时要求新的 KCN。
返回图2,在步骤4,源AMF 40发送包括新的KCN密钥以及任何相关的安全性参数(例如,UE能力)的前向重定位请求消息(或5G 等同物)。目标AMF 40使用该KCN密钥来确立新的安全性上下文并导出新的AS密钥。在步骤5,目标AMF 40向目标基站25发送切换请求(或5G等同物)。切换请求包括新的AS密钥和所有相关的安全性参数(例如,UE能力)。这在目标基站25处建立UE 70安全性上下文。在步骤6,目标基站25对切换请求进行肯定应答。响应于该肯定应答,在步骤7,目标AMF 40向源AMF 40发送包括透明容器的前向重定位响应消息(或5G等同物)。在步骤8和9中将该容器一直向下转发给UE 70。
在步骤8和9,源AMF 40经由源基站25向UE 70发送切换命令消息,源基站25向UE70转发该切换命令。切换命令包括来自前向重定位响应消息的相关信息和指示已经导出新的KCN的KCI。KCI可以包括显式的密钥改变指示符标记,该标记被设置为指示KCN已被改变的值。响应于KCI,UE 70建立新的安全性上下文并导出新的KCN。UE 70使用该新的KCN密钥来导出用于与目标基站25进行通信的新的 AS密钥。
图3示出了在处于空闲模式的UE 70改变AMF 40时用于传递安全性上下文的示例性过程。在EPS中,UE 70在跟踪区域更新(TAU) 请求中指示空闲模式期间的位置更新。在5G中,期望UE 70将使用在TS 23.502,§4.1.1.2中规定的“移动性注册”类型的注册请求。
在步骤1,UE 70向新的AMF 40(即,目标AMF)发送注册请求(注册类型=移动性注册,其他参数)。本领域技术人员将理解,可以发送其他消息以发起位置更新。注册请求消息包括使新的AMF 40 能够识别当前保存UE 70安全性上下文的旧的AMF 40(即,源AMF) 的所有必要信息。在步骤2,响应于注册请求消息,新的AMF 40向旧的AMF 40发送上下文请求消息,以请求UE 70的安全性上下文。在步骤3,旧的AMF 40决定导出新的KCN密钥,以向目标AMF40 屏蔽其自身和所有先前会话。该决定可以基于运营商特定安全策略。
在步骤4,旧的AMF 40向新的AMF 40发送上下文请求响应消息。该上下文请求响应消息包含必要的UE 70安全性上下文信息,包括新的KCN密钥。该上下文请求响应消息还包括指示NAS密钥(KCN) 已被改变的KCI。旧的KCN密钥不被发送给新的AMF 40。新的AMF 40使用新的KCN密钥来建立新的安全性上下文,并且通过执行与UE 70的NAS SMC过程或类似的过程(如TS 33.401,§7.2.4.4中所规定的)来激活新的安全性上下文。在步骤5,经由NAS SMC过程的第一下行链路消息中的KCI或在NAS SMC过程期间发送的其他消息来向UE 70通知密钥改变。
在UE 70和当前为UE 70服务的AMF 40之间共享基于KCN密钥的NAS安全性上下文。安全上下文包括与LTE系统中的安全性参数类似的安全性参数,例如NAS计数器、密钥集合标识符等。在一个示例性实施例中,水平密钥导出机制用于在AMF 40改变期间生成新的KCN密钥。新的KCN的导出可以仅基于先前的KCN。从安全性角度来看,没有来自密钥导出步骤中的附加输入的任何好处。
图4示出了第一密钥导出过程。在该实施例中,假设密钥导出函数(KDF)仅基于旧的KCN密钥来导出新的KCN密钥。从AMF 40到 AMF 40的该密钥链可以继续,直到执行新的认证。关于在AMF 40 改变期间选择哪种安全性机制,可以由运营商的策略决定如何配置 AMF40。例如,取决于运营商的安全性要求,运营商可以决定是否在目标AMF 40处执行重新认证,或者在源AMF 40处是否需要密钥改变。
图5示出了另一密钥导出过程。在AMF 40需要为不止一个潜在的目标AMF 40提前准备密钥的场景中,该实施例可能是有用的。在这种情况下,需要附加的密钥导出参数(KDP)以用于加密分隔,以便针对不同的潜在的目标AMF 40准备不同的KCN密钥。取决于参数类型,除了KCI之外,可能还需要向UE 70提供所选择的KDP。在一些实施例中,KDP还可以用作隐式KCI,从而不要求单独的KCI。例如,在KDP包括由源AMF 40生成的随机数的情况下,需要向UE 70 提供该随机数。其他潜在的KDP包括时间戳、版本号和新鲜度参数。在连接模式下的切换期间,可以经由源基站25在切换命令中将KDP 从源AMF 40发送给UE 70。备选地,可以在透明NAS容器中经由目标AMF 40向UE 70发送KDP。在注册或位置更新过程期间,可以从 NAS SMC中的目标AMF 40发送KDP。然而,在KDP可以通过其他方式可用于UE 70的情况下(例如类似AMF公共标识符的参数),可能没有必要向UE 70提供KDP参数。更一般地,可以将UE 70和源 AMF 40已知的任何静态信息(例如静态网络配置参数或静态UE配置参数)用作KDP。
图6示出了KDP被用于导出新的KCN密钥的切换过程。该过程通常与图2中所示的过程相同。为简洁起见,没有对未改变的步骤进行描述。在步骤3,源AMF 40选择目标AMF 40,并决定导出新的 KCN密钥,以向目标AMF 40屏蔽其自身和所有先前会话。在该实施例中,源AMF 40生成KDP(例如,版本号),并使用该KDP来导出新的KCN密钥。在步骤4,源AMF 40发送包括新的KCN密钥以及任何相关的安全性参数(例如,UE能力)的前向重定位请求消息(或 5G等同物)。目标AMF 40使用该KCN密钥来确立新的安全性上下文并导出新的AS密钥。源AMF 40不向新的AMF 40提供KDP。相反,在步骤8,源AMF 40向源基站25发送切换命令,其中切换命令除了 KCI之外还包括KDP,或者替换KCI而包括KDP。如上所述,KDP 可以用作隐式KCI。响应于KCI和/或KDP,UE 70建立新的安全性上下文并使用KDP来导出新的KCN。UE 70可以使用新的KCN密钥来导出用于与目标基站25进行通信的新的AS密钥。
在LTE系统中,目标AMF 40处的NAS算法改变可仅通过NAS SMC过程生效。由于UE70能力与其他UE 70上下文信息一起被发送给目标AMF 40,因此目标AMF 40可指示已经选择哪些新的NAS 算法。图7示出了示例性切换过程,其中目标AMF 40选择一个或多个新的NAS安全性算法(例如,加密算法)。步骤1-4与图2中描述的相同。在步骤5,目标AMF 40选择一个或多个新的NAS安全性算法。步骤6和7与图2中的步骤5和6相同。在步骤8,目标AMF 40在向源AMF 40发送的前向重定位响应消息的源信元的透明容器中包括对新的安全性算法的指示。在步骤9和10中将该容器一直向下转发给UE 70。安全性算法指示可以与KCI一起被包括在切换命令中,或者被包括在单独的消息中。结果,UE 70具有用于激活与目标AMF 40的安全性上下文而无需NAS SMC过程的所有必要参数。该机制起作用而不考虑如何导出KCN密钥。
图8示出了在处于空闲模式的UE 70改变AMF 40时用于传递安全性上下文的示例性过程。该过程类似于图3中所示的过程。在EPS 中,UE 70在跟踪区域更新(TAU)请求中指示空闲模式期间的位置更新。在5G中,期望UE 70将使用在TS 23.502,§4.1.1.2中规定的“移动性注册”类型的注册请求。
在步骤1,UE 70向新的AMF 40(即,目标AMF)发送注册请求(注册类型=移动性注册,其他参数)。本领域技术人员将理解,可以发送其他消息以发起位置更新。注册请求消息包括使新的AMF 40 能够识别当前保存UE 70安全性上下文的旧的AMF 40(即,源AMF) 的所有必要信息。在步骤2,响应于注册请求消息,新的AMF 40向旧的AMF 40发送上下文请求消息,以请求UE 70的安全性上下文。在步骤3,旧的AMF 40决定导出新的KCN密钥,以向目标AMF40 屏蔽其自身和所有先前会话。该决定可以基于运营商特定安全策略。
在表示为备选方案1的一个实施例中,在步骤4A,旧的AMF 40 向新的AMF 40发送上下文请求响应消息。该上下文请求响应消息包含必要的UE 70安全性上下文信息,包括新的KCN密钥。该上下文请求响应消息还包括KCI和KDP,KCI指示NAS密钥(KCN)已被改变,且KDP用于导出新的KCN密钥。旧的KCN密钥不被发送给新的 AMF 40。新的AMF 40使用新的KCN密钥来建立新的安全性上下文,并且通过执行与UE 70的NAS SMC过程或类似的过程(如TS33.401,§7.2.4.4中所规定的)来激活新的安全性上下文。在步骤5A,在NAS SMC过程的第一下行链路消息或NAS SMC过程中的其他下行链路消息中向UE 70发送KCI和KDP(例如,新鲜度参数或随机数)。KCI 向UE 70指示KCN密钥已被改变。KDP是安全性参数,UE 70使用该安全性参数来导出新的KCN密钥。在本实施例中,KCI和KDP是分离的参数。
在表示为备选方案2的另一实施例中,在步骤4B,旧的AMF 40 向新的AMF 40发送上下文请求响应消息。该上下文请求响应消息包含必要的UE 70安全性上下文信息,包括新的KCN密钥。该上下文请求响应消息还包括KDP,KDP隐式地指示NAS密钥KCN已被改变。旧的KCN密钥不被发送给新的AMF 40。新的AMF 40使用新的KCN密钥来建立新的安全性上下文,并且通过执行与UE 70的NAS SMC 或类似的过程(如TS 33.401,§7.2.4.4中所规定的)来激活新的安全性上下文。在步骤5B,新的AMF 40在NAS SMC过程的第一下行链路消息或NAS SMC过程中的一些其他下行链路消息中向UE 70发送KDP(例如,新鲜度参数或随机数)。KDP用作密钥改变指示,以向UE 70指示NAS密钥已被改变。UE 70使用KDP以及它的旧的KCN密钥来导出新的KCN密钥。
图9示出了由无线通信网络10的接入网中的源基站25在切换期间实现的示例性方法100。源基站25向无线通信网络10的核心网30 中的源AMF 40发送第一切换消息,以发起UE 70的切换(框105)。随后,响应于第一切换消息,源基站25从源AMF 40接收第二切换消息(框110)。第二切换消息包括指示非接入层密钥(例如,KCN)已被改变的KCI。源基站25向UE70转发具有KCI的第二切换消息(框 115)。
在方法100的一些实施例中,KCI包括密钥改变指示符标志,该密钥改变指示符标志被设置为指示非接入层密钥已被改变的值。在其他实施例中,KCI包括隐式地指示非接入层密钥已被改变的安全性参数。安全性参数包括以下项之一:随机数、时间戳、新鲜度参数和版本号。
方法100的一些实施例还包括从源AMF 40接收UE 70生成新的非接入层密钥所需的KDP,以及向UE 70转发该KDP。在一些示例中,在第二切换消息中与KCI一起接收KDP。KDP例如包括以下项之一:随机数、时间戳、新鲜度参数和版本号。在一些实施例中,密钥导出用作隐式KCI。
方法100的一些实施例还包括:从源AMF 40接收指示要由UE 70 使用的至少一个安全性算法的安全性算法参数,并向UE 70转发该安全性算法参数。在一个示例中,在第二切换消息中与KCI一起接收安全性算法参数。
在方法100的一个实施例中,第一切换消息包括指示UE 70的切换的需求的切换要求消息。
在方法100的一个实施例中,第二切换消息包括切换命令,该切换命令包括KCI。
在方法100的一个实施例中,非接入层密钥包括核心网密钥(KCN)。
图10是被配置为执行图9中所示的方法100的示例性基站120。基站120包括发送单元125、接收单元130和转发单元135。发送单元 125被配置为向无线通信网络10的核心网30中的源AMF 40发送第一切换消息,以发起UE 70的切换。接收单元130被配置为响应于第一切换消息,从源AMF 40接收第二切换消息。转发单元135被配置为向UE 70转发具有KCI的第二切换消息。KCI指示非接入层密钥(例如,KCN)的改变。发送单元125、接收单元130和转发单元135可以包括被配置为执行图9所示的方法的硬件电路、微处理器和/或软件。在一些实施例中,发送单元125、接收单元130和转发单元135由单个微处理器实现。在其他实施例中,发送单元125、接收单元130和转发单元135可以由两个或更多个微处理器实现。
图11示出了由无线通信网络10的核心网30中的源AMF 40在切换期间实现的示例性方法150。源AMF 40从源基站25接收指示需要 UE 70的切换的第一切换消息(框155)。源AMF生成新的非接入层密钥(例如,KCN)(框160),并向无线通信网络10的核心网30中的目标AMF 40发送该新的非接入层密钥(方框165)。源AMF 40还在第二切换消息中向UE 70发送KCI(框170)。KCI指示非接入层密钥的改变。
在方法150的一些实施例中,生成新的非接入层密钥包括根据先前的非接入层密钥来生成新的非接入层密钥。在其他实施例中,生成新的非接入层密钥包括根据先前的非接入层密钥和KDP来生成新的非接入层密钥。在一些实施例中,源AMF在第二切换消息中将KDP 与KCI一起发送给UE 70。
方法150的一些实施例还包括选择目标AMF 40,并根据对目标 AMF 40的选择来生成新的非接入层密钥。
方法150的一些实施例还包括生成两个或更多个非接入层密钥,每个非接入层密钥用于不同的目标AMF 40。在一个示例中,使用不同的KDP来生成该两个或更多个非接入层密钥。
方法150的一些实施例还包括向目标AMF 40发送一个或多个安全性参数。在一个示例中,在第二切换消息中向目标AMF 40传送一个或多个安全性参数。在一个示例中,该一个或多个安全性参数包括 UE能力信息。
方法150的一些实施例还包括从目标AMF 40接收指示至少一个安全性算法的安全性算法参数,并向UE 70转发该安全性算法参数。在另一示例中,在前向重定位响应消息中从目标AMF 40接收安全性算法参数。
在方法150的一个实施例中,第一切换消息包括指示UE 70的切换的需求的切换要求消息。
在方法150的一个实施例中,第二切换消息包括切换命令,该切换命令包括KCI。
在方法150的一个实施例中,在前向重定位请求消息中向目标 AMF(40)发送新的非接入层密钥。
在方法150的一个实施例中,非接入层密钥包括核心网密钥(KCN)。
图12是被配置为执行图11中所示的方法150的示例性源AMF 175。源AMF 175包括接收单元180、密钥生成单元185、第一发送单元190和第二发送单元195。接收单元180被配置为从源基站25接收指示需要UE 70的切换的第一切换消息。密钥生成单元185被配置为生成本文所述的新的非接入层密钥(例如,KCN)。第一发送单元190 被配置为向无线通信网络10的核心网30中的目标AMF 40发送该新的非接入层密钥。第二发送单元195被配置为在第二切换消息中向UE 70发送KCI。KCI指示非接入层密钥的改变。接收单元180、密钥生成单元185、第一发送单元190和第二发送单元195可以包括被配置成执行图11所示的方法的硬件电路、微处理器和/或软件。在一些实施例中,接收单元180、密钥生成单元185、第一发送单元190和第二发送单元195由单个微处理器实现。在其他实施例中,接收单元180、密钥生成单元185、第一发送单元190和第二发送单元195可以由两个或更多个微处理器实现。
图13示出了由无线通信网络10的核心网30中的目标AMF 40 在切换期间实现的示例性方法200。目标AMF 40从源AMF 40接收新的非接入层密钥(例如,KCN)(框205)。目标AMF建立包括根据新的非接入层密钥导出的新的接入层密钥的新的安全性上下文(框 210),并且向目标基站25发送该新的接入层密钥(框215)。
方法200的一些实施例还包括从源移动性管理功能接收一个或多个安全性参数。在一个示例中,该一个或多个安全性参数包括UE能力信息。在一个实施例中,与新的非接入层密钥一起接收安全性参数。
在方法200的一些实施例中,建立新的安全性上下文包括选择一个或多个安全性算法。在一个示例中,基于UE能力信息选择该安全性算法中的至少一个安全性算法。
方法200的一些实施例还包括:向源移动性管理功能发送指示用于新的安全性上下文的至少一个安全性算法的安全性算法参数。
在方法200的一些实施例中,在前向重定位请求消息中从源移动性管理功能接收新的非接入层密钥。
在方法200的一些实施例中,在切换请求中向目标基站发送新的接入层密钥。
在方法200的一些实施例中,在前向重定位响应消息中向源移动性管理功能发送安全性算法参数。
在方法200的一些实施例中,非接入层密钥包括核心网密钥(KCN)。
图14是被配置为执行图13中所示的方法200的示例性目标AMF 220。目标AMF 220包括接收单元225、安全性单元230和发送单元 235。接收单元225被配置为从源AMF 40接收新的非接入层密钥(例如,KCN)。安全性单元230被配置为建立包括根据新的非接入层密钥导出的新的接入层密钥的新的安全性上下文。发送单元235被配置为向目标基站25发送该新的接入层密钥。接收单元225、安全性单元230 和发送单元235可以包括被配置成执行图13中所示的方法的硬件电路、微处理器和/或软件。在一些实施例中、接收单元225、安全性单元230 和发送单元235由单个微处理器实现。在其他实施例中,接收单元225,安全性单元230和发送单元235可以由两个或更多个微处理器实现。
图15示出了在切换期间由无线通信网络10中的UE 70实现的示例性方法250。UE70从无线通信网络10的源AMF 40的域中的源基站25接收包括KCI的切换消息(框255)。KCI向UE 70指示非接入层密钥(例如,KCN)已被改变。UE 70执行从源基站25到目标AMF 40的域中的目标基站25的切换(框260)。响应于KCI,UE 70建立与目标AMF 40的新的安全性上下文(框265)。该新的安全性上下文包括新的非接入层密钥。UE 70可以可选地使用新的非接入层密钥与目标AMF 40进行通信(框270)。
在方法250的一些实施例中,KCI包括密钥改变指示符标志,该密钥改变指示符标志被设置为指示非接入层密钥已被改变的值。在其他实施例中,KCI包括隐式地指示非接入层密钥已被改变的安全性参数。安全性参数包括用于生成新的非接入层密钥的KDP。
方法250的一些实施例还包括使用KDP来生成新的非接入层密钥。在一个示例中,KDP包括以下项之一:随机数、时间戳、新鲜度参数、版本号以及UE 70和源AMF已知的静态信息。在一些实施例中,在第二切换消息中与KCI一起接收KDP。在一些实施例中,KDP用作隐式KCI。
方法250的一些实施例还包括:根据新的非接入层密钥来生成新的接入层密钥,以及使用新的接入层密钥与目标基站25进行通信。
方法250的一些实施例还包括:从源基站25接收安全性算法参数,该安全性算法参数标识在新的安全性上下文中使用的一个或多个安全性算法。在一个示例中,在切换消息中与KCI一起接收安全性算法参数。
在方法250的一些实施例中,切换消息包括切换命令。
在方法250的一些实施例中,非接入层密钥包括核心网密钥(KCN)。
图16是被配置为执行图15中所示的方法250的示例性UE 275。 UE 275包括接收单元280、切换单元285和安全性单元290。接收单元280被配置为从无线通信网络10的源AMF40的域中的源基站25 接收包括KCI的切换消息。KCI向UE 70指示非接入层密钥(例如, KCN)已被改变。切换单元285被配置为执行从源基站25到目标AMF 40的域中的目标基站25的切换。安全性单元290被配置为:响应于 KCI,与目标AMF 40建立新的安全性上下文。UE 275还可以可选地包括通信单元295,通信单元295被配置为使用新的非接入层密钥与目标AMF 40进行通信。接收单元280、切换单元285、安全性单元 290和通信单元290可以包括被配置成执行图15中所示的方法的硬件电路、微处理器和/或软件。在一些实施例中,接收单元280、切换单元285、安全性单元290和通信单元290由单个微处理器实现。在其他实施例中,接收单元280、切换单元285、安全性单元290和通信单元290可以由两个或更多个微处理器实现。
图17示出了当处于空闲模式的UE 70改变AMF 40时由通信网络 10的核心网30中的源AMF 40实现的示例性方法300。源AMF 40从目标AMF 40接收对UE 70的安全性上下文的请求(框305)。源AMF 40生成新的非接入层密钥(例如,KCN)(框310),并且响应于该请求,向目标AMF 40发送新的非接入层密钥和KCI(框315)。KCI指示非接入层密钥的改变。
在方法300的一些实施例中,生成新的非接入层密钥包括根据旧的非接入层密钥来生成新的非接入层密钥。在其他实施例中,生成 KDP,并根据旧的非接入层密钥和KDP来生成新的非接入层密钥。
在方法300的一些实施例中,密钥改变指示包括密钥改变指示符标志,该密钥改变指示符标志被设置为指示非接入层密钥已被改变的值。在其他实施例中,KCI包括隐式地指示非接入层密钥已被改变的安全性参数。安全性参数可以包括例如用于生成新的非接入层密钥的 KDP。
方法300的一些实施例还包括:响应于该请求,发送用于生成新的非接入层密钥的KDP。KDP包括以下项之一:随机数、时间戳、新鲜度参数和版本号。
方法300的一些实施例还包括选择目标AMF 40,并根据对目标 AMF 40的选择来生成新的非接入层密钥。
在方法300的一些实施例中,生成新的非接入层密钥包括生成两个或更多个非接入层密钥,每个非接入层密钥用于不同的目标AMF 40。在一个示例中,使用不同的KDP来生成该两个或更多个非接入层密钥。
方法300的一些实施例还包括:与新的非接入层密钥一起向目标 AMF 40发送一个或多个安全性参数。在一个示例中,该一个或多个安全性参数包括UE能力信息。
在方法300的一些实施例中,在上下文请求消息中从目标AMF 40 接收对安全性上下文的请求。
在方法300的一些实施例中,在上下文请求响应消息中向目标 AMF 40发送新的非接入层密钥。
在方法300的一些实施例中,非接入层密钥包括核心网密钥(KCN)。
图18是被配置为执行图17中所示的方法300的示例性源AMF 320。源AMF 320包括接收单元325、密钥生成单元单元330和发送单元335。接收单元325被配置为从目标AMF 40接收对UE 70的安全性上下文的请求。密钥生成单元330被配置为生成新的非接入层密钥(例如,KCN)。发送单元235被配置为:响应该请求,向目标AMF 40发送新的非接入层密钥和KCI。接收单元325、密钥生成单元330 和发送单元335可以包括被配置为执行图17中所示的方法的硬件电路、微处理器和/或软件。在一些实施例中,接收单元325、密钥生成单元 330和发送单元335由单个微处理器实现。在其他实施例中,接收单元325、密钥生成单元330和发送单元335可以由两个或更多个微处理器实现。
图19示出了当处于空闲模式的UE 70改变AMF 40时由无线通信网络10的核心网30中的目标AMF 40实现的示例性方法350。目标 AMF 40从UE 70接收指示AMF改变的注册消息或其他控制消息(框 355)。目标AMF 40向无线通信网络中的源AMF 40请求安全性上下文(框360)。响应于该请求,目标AMF 40接收新的非接入层密钥(例如,KCN)和指示非接入层密钥已被改变的KCI(框365)。目标AMF 40向UE 70发送KCI(框370),并且可选地为UE 70建立包括新的非接入层密钥的新的安全性上下文(框375)。
方法350的一些实施例还包括:建立包括新的非接入层密钥的新的安全性上下文。
方法350的一些实施例还包括从源AMF 40接收一个或多个安全性参数。在示例中,该一个或多个安全性参数包括UE能力信息。在另一示例中,安全性参数与KCI一起被接收。
在方法350的一些实施例中,密钥改变指示包括密钥改变指示符标志,该密钥改变指示符标志被设置为指示非接入层密钥已被改变的值。在其他实施例中,密钥改变指示包括隐式地指示非接入层密钥已被改变的安全性参数。安全性参数可以包括例如用于生成新的非接入层密钥的KDP。
方法350的一些实施例还包括:响应于该请求,接收用于生成新的非接入层密钥的KDP。在一个示例中,KDP包括以下项之一:随机数、时间戳、新鲜度参数和版本号。在一些实施例中,目标AMF 40 在NAS SMC消息中将KDP与KCI一起发送给UE 70。
在方法350的一些实施例中,建立新的安全性上下文部分地包括选择一个或多个安全性算法。在一个示例中,基于UE能力信息选择该安全性算法中的至少一个安全性算法。
方法350的一些实施例还包括:向UE 70发送指示用于新的安全性上下文的至少一个安全性算法的安全性算法参数。
在方法350的一些实施例中,在上下文请求响应消息中从源AMF 70接收KCI。
在方法350的一些实施例中,在安全性建立消息中向UE 70发送 KCI。
在方法350的一些实施例中,非接入层密钥包括核心网密钥(KCN)。
图20是被配置为执行图19中所示的方法350的示例性目标AMF 380。基站380包括第一接收单元382、请求单元384、第二接收单元 386和发送单元388。第一接收单元382被配置为从UE 70接收指示 AMF改变的注册消息或其他控制消息。请求单元384被配置为:响应于注册消息,向无线通信网络中的源AMF 40请求安全性上下文。第二接收单元386被配置为:响应于安全性上下文请求,从源AMF 40 接收新的非接入层密钥和指示非接入层密钥(例如,KCN)已被改变的KCI。发送单元388被配置为向UE 70发送KCI。基站380还可以可选地包括安全性单元390,安全性单元390被配置成:为UE 70建立包括新的非接入层密钥的新的安全性上下文。第一接收单元382、请求单元384、第二接收单元386、发送单元388和安全性单元390 可以包括被配置成执行图19中所示的方法的硬件电路、微处理器和/ 或软件。在一些实施例中,第一接收单元382、请求单元384、第二接收单元386、发送单元388和安全性单元390由单个微处理器实现。在其他实施例中,第一接收单元382、请求单元384、第二接收单元 386、发送单元388和安全性单元390可以由两个或更多个微处理器实现。
图21示出了当无线通信网络10中的空闲模式UE 70改变AMF 40 时由该UE 70实现的示例性方法400。UE 70向无线通信网络中的目标AMF 40发送注册消息或其他控制消息(框405)。响应于该注册消息或其他控制消息,UE 70接收指示非接入层密钥(例如,KCN)已被改变的KCI(框410)。响应于KCI,UE 70生成新的非接入层密钥(框 415)。在生成新的非接入层密钥之后,UE 70可以可选地与目标AMF 40建立新的安全性上下文(框420),其中新的安全性上下文包括新的非接入层密钥,并且之后UE 70可以使用该新的非接入层密钥与目标AMF 40进行通信(框425)。
方法350的一些实施例还包括:与目标AMF 40建立新的安全性上下文,该新的安全性上下文包括新的非接入层密钥;以及使用新的非接入层密钥与目标AMF 40进行通信。
在方法400的一些实施例中,KCI包括密钥改变指示符标志,该密钥改变指示符标志被设置为指示非接入层密钥已被改变的值。在其他实施例中,KCI包括隐式地指示非接入层密钥已被改变的安全性参数。在一个示例中,安全性参数包括以下项之一:随机数、时间戳、新鲜度参数和版本号。
方法400的一些实施例还包括从目标AMF 40接收KDP,以及使用KDP来生成新的非接入层密钥。在示例中,KDP包括以下项之一:随机数、时间戳、新鲜度参数和版本号。在另一示例中,KDP与KCI 一起被接收。在一些实施例中,KDP用作隐式KCI。
在方法400的一些实施例中,生成新的非接入层密钥包括根据先前的非接入层密钥来生成新的非接入层密钥。在方法400的其他实施例中,生成新的非接入层密钥包括根据先前的非接入层密钥和KDP 来生成新的非接入层密钥。在各种实施例中,KDP包括以下中的至少一项:随机数、时间戳、新鲜度参数和版本号。在其他实施例中,KDP 包括UE 70和源AMF40已知的静态信息。
方法400的一些实施例还包括从目标AMF 40接收安全性算法参数,该安全性算法参数标识在新的安全性上下文中使用的一个或多个安全性算法。在一个示例中,与KCI一起接收安全性算法参数。
在方法400的一些实施例中,在安全性建立消息中接收新的非接入层密钥。
在方法400的一些实施例中,非接入层密钥包括核心网密钥(KCN)。
图22是被配置为执行图21中所示的方法400的示例性UE 430。 UE 430包括发送单元435、接收单元440和密钥生成单元445。发送单元435被配置为向无线通信网络中的目标AMF 40发送注册消息或其他控制消息。接收单元440被配置为:响应于该注册消息或其他控制消息,接收指示非接入层密钥已被改变的KCI。密钥生成单元445 被配置为:响应于KCI,生成新的非接入层密钥。UE 430还可以可选地包括:安全性单元450,被配置为与目标AMF40建立新的安全性上下文;以及通信单元350,被配置为使用新的非接入层密钥与目标 AMF40进行通信。发送单元435、接收单元440、密钥生成单元445、安全性单元450和通信单元455可以包括被配置成执行图21中所示的方法的硬件电路、微处理器和/或软件。在一些实施例中,发送单元 435、接收单元440、密钥生成单元445、安全性单元450和通信单元 455由单个微处理器实现。在其他实施例中,发送单元435、接收单元 440、密钥生成单元445、安全性单元450和通信单元455可以由两个或更多个微处理器实现。
图23示出了基站500的主要功能性组件,其被配置为实现本文所述的安全性上下文处理处理方法。基站500包括处理电路510、存储器530和接口电路540。
接口电路540包括耦合到一个或多个天线550的射频(RF)接口电路545。RF接口电路545包括通过无线通信信道与UE 70进行通信所需的射频(RF)组件。通常,RF组件包括适于根据5G标准或其他无线电接入技术(RAT)进行通信的发射机和接收机。接口电路540 还包括用于与无线通信网络10中的核心网节点进行通信的网络接口电路555。
处理电路510处理从基站500发送或由基站500接收的信号。这种处理包括被传送信号的编码和调制,以及接收信号的解调和解码。处理电路510可以包括一个或多个微处理器、硬件、固件或其组合。处理电路510包括用于执行切换相关功能的移动性单元515。移动性单元515包括专用于移动性相关功能的处理电路。移动性单元515被配置为执行本文所述的方法和过程,包括图2、图6、图7和图9中所示的方法。
存储器530包括易失性和非易失性存储器二者,用于存储处理电路510进行操作所需的计算机程序代码和数据。存储器530可以包括用于存储数据的任何有形的非暂时性计算机可读存储介质,包括电、磁、光、电磁或半导体数据存储设备。存储器530存储包括可执行指令的计算机程序535,所述可执行指令配置处理电路510以实现本文所述的方法和过程,包括根据图2、图6、图7和图9的方法。通常,计算机程序指令和配置信息被存储在非易失性存储器中,例如只读存储器(ROM)、可擦除可编程只读存储器(EPROM)或闪存。在操作期间产生的临时数据可以被存储在易失性存储器中,例如随机存取存储器(RAM)。在一些实施例中,用于配置本文所述的处理电路510 的计算机程序535可以被存储在可拆卸存储器中,例如便携式光盘、便携式数字视频盘或其他可拆卸介质。计算机程序535还可以体现在诸如电信号、光信号、无线电信号或计算机可读存储介质之类的载体中。
图24示出了无线通信网络10中的核心网节点600的主要功能性组件,其被配置为实现本文所述的安全性上下文处理过程。核心网节点600可以用于实现核心网功能,例如本文所述的源AMF 40和目标 AMF 40。本领域技术人员将理解,诸如AMF 40的核心网功能可以由单个核心网节点实现,或者可以分布在两个或更多个核心网节点之间。
核心网节点600包括处理电路610、存储器630和接口电路640。接口电路640包括网络接口电路645,用于实现与其他核心网节点和与RAN中的基站25的通信。
处理电路610控制核心网节点600的操作。处理电路610可以包括一个或多个微处理器、硬件、固件或其组合。处理电路610可以包括用于处理NAS相关安全性功能的NAS安全性单元615和用于处理移动性管理功能的移动性管理单元620。通常,NAS安全性单元615 负责导出安全性密钥,建立安全性上下文和其他相关的安全性功能。移动性管理单元620负责处理移动性管理功能和相关信令。如前所述, NAS安全性单元615可以向移动性管理单元620提供诸如要向UE 70 发送的NAS密钥、KDP和其他安全性参数之类的信息。在一些实施例中,NAS安全性单元615和移动性管理单元620可以驻留在相同的核心网节点中。在其他实施例中,它们可以驻留在不同的核心网节点中。在一个示例性实施例中,NAS安全性单元615和移动性管理单元 620被配置为执行本文所述的方法和过程,包括图2、图3、图6到图 8、图11、图13、图17和图19中所示的方法。
存储器630包括易失性和非易失性存储器二者,用于存储处理电路610进行操作所需的计算机程序代码和数据。存储器630可以包括用于存储数据的任何有形的非暂时性计算机可读存储介质,包括电、磁、光、电磁或半导体数据存储设备。存储器630存储包括可执行指令的计算机程序635,所述可执行指令配置处理电路610以实现本文所述的方法和过程,包括根据图2、图3、图6到图8、图11、图13、图17和图19所述的方法。通常,计算机程序指令和配置信息被存储在非易失性存储器中,例如只读存储器(ROM)、可擦除可编程只读存储器(EPROM)或闪存。在操作期间产生的临时数据可以被存储在易失性存储器中,例如随机存取存储器(RAM)。在一些实施例中,用于配置本文所述的处理电路610的计算机程序635可以被存储在可拆卸存储器中,例如便携式光盘、便携式数字视频盘或其他可拆卸介质。计算机程序635还可以体现在诸如电信号、光信号、无线电信号或计算机可读存储介质之类的载体中。
图25示出了UE 700的主要功能性组件,其被配置为实现本文所述的安全性上下文处理处理方法。UE 700包括处理电路710、存储器 730和接口电路740。
接口电路740包括耦合到一个或多个天线750的射频(RF)接口电路745。RF接口电路745包括通过无线通信信道与基站500通信所需的射频(RF)组件。通常,RF组件包括适于根据5G标准或其他无线电接入技术(RAT)进行通信的发射机和接收机。
处理电路710处理从UE 700发送或由UE 700接收的信号。这种处理包括被传送信号的编码和调制,以及接收信号的解调和解码。处理电路710可以包括一个或多个微处理器、硬件、固件或其组合。处理电路710可以包括用于处理NAS相关安全性功能的NAS安全性单元715和用于处理移动性管理功能的移动性管理单元720。通常,NAS 安全性单元715负责导出安全密钥,建立安全性上下文以及本文所述的其他安全性功能。移动性管理单元720负责处理移动性管理功能和相关信令。在一个示例性实施例中,NAS安全性单元715和移动性管理单元720被配置为执行本文所述的方法和过程,包括图2、图3、图 6到图8、图15和图21中所示的方法。
存储器730包括易失性和非易失性存储器二者,用于存储处理电路710进行操作所需的计算机程序代码和数据。存储器730可以包括用于存储数据的任何有形的非暂时性计算机可读存储介质,包括电、磁、光、电磁或半导体数据存储设备。存储器730存储包括可执行指令的计算机程序735,所述可执行指令配置处理电路710以实现本文所述的方法和过程,包括根据图2、图3、图6到图8、图15和图21 所述的方法。通常,计算机程序指令和配置信息被存储在非易失性存储器中,例如只读存储器(ROM)、可擦除可编程只读存储器(EPROM)或闪存。在操作期间产生的临时数据可以被存储在易失性存储器中,例如随机存取存储器(RAM)。在一些实施例中,用于配置本文所述的处理电路710的计算机程序735可以被存储在可拆卸存储器中,例如便携式光盘、便携式数字视频盘或其他可拆卸介质。计算机程序735还可以体现在诸如电信号、光信号、无线电信号或计算机可读存储介质之类的载体中。
Claims (22)
1.一种用于在空闲模式下传递用户设备(70、430、700)的安全性上下文的方法(300),所述方法由无线通信网络(10)的核心网(30)中的一个或多个核心网节点(320、600)来实现,其中,所述一个或多个核心网节点(320、600)提供源接入和移动性管理功能(40),所述方法包括:
从所述无线通信网络(10)的核心网中的目标接入和移动性管理功能(40)接收(305)对所述用户设备(70、430、700)的安全性上下文的请求;
响应于确定满足运营商特定安全策略,生成(310)新的非接入层密钥;以及
响应于所述请求,向所述目标接入和移动性管理功能(40)发送(315)所述新的非接入层密钥和密钥改变指示,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志被设置为指示非接入层密钥已被改变的值。
2.根据权利要求1所述的方法(300),其中,生成新的非接入层密钥包括:
生成密钥导出参数;以及
根据旧的非接入层密钥和所述密钥导出参数来生成所述新的非接入层密钥。
3.根据权利要求2所述的方法(300),还包括:响应于所述请求,发送用于生成所述新的非接入层密钥的密钥导出参数。
4.根据权利要求2或3所述的方法(300),其中,所述密钥导出参数是新鲜度参数。
5.根据权利要求2或3所述的方法(300),还包括:与所述新的非接入层密钥一起向所述目标接入和移动性管理功能(40)发送一个或多个安全性参数。
6.根据权利要求5所述的方法(300),其中,所述一个或多个安全性参数包括用户设备能力信息。
7.根据权利要求2或3所述的方法(300),其中,所述非接入层密钥是核心网密钥(KCN)。
8.一种无线通信网络(10)的核心网(30)中的核心网节点(320、600),所述核心网节点(320、600)提供源接入和移动性管理功能(40),所述核心网节点(320、600)包括:
接口电路(640),用于与目标接入和移动性管理功能(40)进行通信;以及
处理电路(610),被配置为:
从所述目标接入和移动性管理功能(40)接收对用户设备(70、430、700)的安全性上下文的请求;
响应于确定满足运营商特定安全策略,生成新的非接入层密钥;以及
响应于所述请求,向所述目标接入和移动性管理功能(40)发送所述新的非接入层密钥和密钥改变指示,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志被设置为指示非接入层密钥已被改变的值。
9.根据权利要求8所述的核心网节点(320、600),其中,所述处理电路(610)还被配置为通过以下操作来生成新的非接入层密钥:
生成密钥导出参数;以及
根据旧的非接入层密钥和所述密钥导出参数来生成所述新的非接入层密钥。
10.根据权利要求8或9所述的核心网节点(320、600),其中,所述处理电路(610)还被配置为:响应于所述请求,发送用于生成所述新的非接入层密钥的密钥导出参数。
11.一种用于在空闲模式期间传递用户设备(70、430、700)的安全性上下文的方法(350),所述方法由无线通信网络(10)的核心网(30)中的一个或多个核心网节点(600)来实现,其中,所述一个或多个核心网节点(600)提供目标接入和移动性管理功能(40),所述方法包括:
从所述用户设备(70、430、700)接收(355)指示接入和移动性管理功能(40)改变的注册消息;
向源接入和移动性管理功能(40)请求(360)所述用户设备(70、430、700)的安全性上下文;
响应于所述请求并响应于所述源接入和移动性管理功能(40)确定满足运营商特定安全策略,从所述源接入和移动性管理功能(40)接收(365)所述源接入和移动性管理功能(40)生成的新的非接入层密钥和密钥改变指示,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志被设置为指示非接入层密钥已被改变的值;以及
向所述用户设备(70、430、700)发送(370)所述密钥改变指示。
12.根据权利要求11所述的方法(350),还包括:建立包括所述新的非接入层密钥的新的安全性上下文。
13.一种无线通信网络(10)的核心网(30)中的核心网节点(380、600),所述核心网节点(380、600)提供目标接入和移动性管理功能(40),所述核心网节点(380、600)包括:
接口电路(640),用于与用户设备(70、430、700)和源接入和移动性管理功能(40)进行通信;
处理电路(610),被配置为:
从所述用户设备(70、430、700)接收指示接入和移动性管理功能(40)改变的注册消息;
向所述源接入和移动性管理功能(40)请求安全性上下文;
响应于所述请求并响应于所述源接入和移动性管理功能(40)确定满足运营商特定安全策略,从所述源接入和移动性管理功能(40)接收所述源接入和移动性管理功能(40)生成的新的非接入层密钥和密钥改变指示,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志被设置为指示非接入层密钥已被改变的值;以及
向所述用户设备(70、430、700)发送所述密钥改变指示。
14.根据权利要求13所述的核心网节点(380、600),其中,所述处理电路(610)还被配置为:响应于所述请求,接收用于生成所述新的非接入层密钥的密钥导出参数。
15.根据权利要求14所述的核心网节点(380、600),还包括:向所述用户设备(70、430、700)发送所述密钥导出参数。
16.一种由用户设备(70、430、700)在空闲模式期间实现的方法(400),所述方法包括:
向无线通信系统(10)中的目标接入和移动性管理功能(40)发送(405)注册消息;
响应于所发送的注册消息,从所述目标接入和移动性管理功能(40)接收(410)密钥改变指示,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志具有指示以下情况的值:非接入层密钥已被源接入和移动性管理功能基于运营商特定安全策略所改变;以及
响应于所述密钥改变指示,生成(420)新的非接入层密钥。
17.根据权利要求16所述的方法(400),还包括:
与所述目标接入和移动性管理功能(40)建立(420)新的安全性上下文,所述新的安全性上下文包括所述新的非接入层密钥;以及
使用所述新的非接入层密钥与所述目标接入和移动性管理功能(40)进行通信(425)。
18.根据权利要求16或17所述的方法(400),还包括:
从所述目标接入和移动性管理功能(40)接收密钥导出参数,以及
使用所述密钥导出参数来生成所述新的非接入层密钥。
19.根据权利要求18所述的方法(400),其中,所述密钥导出参数是新鲜度参数。
20.一种无线通信网络(10)中的用户设备(70、430、700),所述用户设备(70、430、700)包括:
接口电路(740),用于与所述无线通信网络(10)的核心网(30)中的目标接入和移动性管理功能(40)进行通信;以及
处理电路(710),被配置为在空闲模式期间:
向所述目标接入和移动性管理功能(40)发送注册消息;
响应于所发送的注册消息,从所述目标接入和移动性管理功能(40)接收密钥改变指示,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志被设置为指示以下情况的值:非接入层密钥已被源接入和移动性管理功能基于运营商特定安全策略所改变;以及
响应于所述密钥改变指示,生成新的非接入层密钥。
21.根据权利要求20所述的用户设备(70、430、700),其中,所述处理电路(710)还被配置为:
与所述目标接入和移动性管理功能(40)建立新的安全性上下文,所述新的安全性上下文包括所述新的非接入层密钥;以及
使用所述新的非接入层密钥与所述目标接入和移动性管理功能(40)进行通信。
22.根据权利要求20或21所述的用户设备(70、430、700),其中,生成新的非接入层密钥包括:使用先前的非接入层密钥和密钥导出参数来生成所述新的非接入层密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211022513.3A CN115396886A (zh) | 2017-01-30 | 2018-01-29 | 空闲模式期间5g中的安全性上下文处理的方法和装置 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762452267P | 2017-01-30 | 2017-01-30 | |
| US62/452,267 | 2017-01-30 | ||
| PCT/EP2018/052154 WO2018138348A1 (en) | 2017-01-30 | 2018-01-29 | Security context handling in 5g during idle mode |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211022513.3A Division CN115396886A (zh) | 2017-01-30 | 2018-01-29 | 空闲模式期间5g中的安全性上下文处理的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109644340A CN109644340A (zh) | 2019-04-16 |
| CN109644340B true CN109644340B (zh) | 2022-09-13 |
Family
ID=61163694
Family Applications (4)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211022512.9A Pending CN115474247A (zh) | 2017-01-30 | 2018-01-29 | 连接模式期间5g中的安全性上下文处理的方法和装置 |
| CN201880003392.3A Active CN109644340B (zh) | 2017-01-30 | 2018-01-29 | 空闲模式期间5g中的安全性上下文处理的方法和装置 |
| CN201880003384.9A Active CN109644339B (zh) | 2017-01-30 | 2018-01-29 | 连接模式期间5g中的安全性上下文处理的方法和装置 |
| CN202211022513.3A Pending CN115396886A (zh) | 2017-01-30 | 2018-01-29 | 空闲模式期间5g中的安全性上下文处理的方法和装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211022512.9A Pending CN115474247A (zh) | 2017-01-30 | 2018-01-29 | 连接模式期间5g中的安全性上下文处理的方法和装置 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880003384.9A Active CN109644339B (zh) | 2017-01-30 | 2018-01-29 | 连接模式期间5g中的安全性上下文处理的方法和装置 |
| CN202211022513.3A Pending CN115396886A (zh) | 2017-01-30 | 2018-01-29 | 空闲模式期间5g中的安全性上下文处理的方法和装置 |
Country Status (18)
| Country | Link |
|---|---|
| US (7) | US10531292B2 (zh) |
| EP (6) | EP4236408A1 (zh) |
| JP (3) | JP6942804B2 (zh) |
| KR (1) | KR102163343B1 (zh) |
| CN (4) | CN115474247A (zh) |
| AR (2) | AR110865A1 (zh) |
| AU (1) | AU2018212610B2 (zh) |
| BR (1) | BR112019015387B1 (zh) |
| DK (2) | DK3574669T3 (zh) |
| ES (4) | ES2950488T3 (zh) |
| HU (2) | HUE056162T2 (zh) |
| MX (2) | MX2019008770A (zh) |
| PH (1) | PH12019501467A1 (zh) |
| PL (3) | PL3952375T3 (zh) |
| PT (2) | PT3574669T (zh) |
| RU (1) | RU2719772C1 (zh) |
| WO (2) | WO2018138347A1 (zh) |
| ZA (1) | ZA201903899B (zh) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| PT3574669T (pt) | 2017-01-30 | 2021-10-26 | Ericsson Telefon Ab L M | Gestão de contexto de segurança em 5g durante o modo conectado |
| JP6996824B2 (ja) | 2017-05-04 | 2022-01-17 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 鍵取得方法およびデバイス、ならびに通信システム |
| US10812974B2 (en) * | 2017-05-06 | 2020-10-20 | Vmware, Inc. | Virtual desktop client connection continuity |
| EP3625988A4 (en) * | 2017-05-14 | 2021-01-27 | Fg Innovation Company Limited | METHODS, DEVICES AND SYSTEMS FOR BEAM REFINING DURING A HANDOVER |
| US10810316B2 (en) * | 2017-05-15 | 2020-10-20 | International Business Machines Corporation | Updating monitoring systems using merged data policies |
| CN109462847B (zh) | 2017-07-28 | 2019-08-02 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
| US10542428B2 (en) | 2017-11-20 | 2020-01-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context handling in 5G during handover |
| WO2019165629A1 (zh) * | 2018-03-01 | 2019-09-06 | 华为技术有限公司 | 会话管理方法及装置、通信系统 |
| CN110351722B (zh) * | 2018-04-08 | 2024-04-16 | 华为技术有限公司 | 一种信息发送方法、密钥生成方法以及装置 |
| CN110536298B (zh) * | 2018-08-10 | 2023-11-03 | 中兴通讯股份有限公司 | 非接入层消息安全指示方法、装置、amf设备、终端及介质 |
| CN110830997B (zh) * | 2018-08-10 | 2022-08-19 | 中兴通讯股份有限公司 | 密钥的确定方法及装置、存储介质、电子装置 |
| US11974122B2 (en) | 2018-08-13 | 2024-04-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Protection of non-access stratum communication in a wireless communication network |
| CN110881184B (zh) | 2018-09-05 | 2021-05-18 | 华为技术有限公司 | 通信方法和装置 |
| BR112021006297A2 (pt) | 2018-10-04 | 2021-07-06 | Nokia Technologies Oy | método e aparelho para manipulação de contexto de segurança durante alteração intersistema |
| CN111465012B (zh) * | 2019-01-21 | 2021-12-10 | 华为技术有限公司 | 通信方法和相关产品 |
| WO2020167211A1 (en) * | 2019-02-14 | 2020-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Network node, ue and method for handling handover with parameter for deriving security context |
| US20200323017A1 (en) * | 2019-04-08 | 2020-10-08 | Mediatek Singapore Pte. Ltd | 5G NAS Recovery from NASC Failure |
| CN111866870B (zh) * | 2019-04-26 | 2022-02-01 | 华为技术有限公司 | 密钥的管理方法和装置 |
| CN111866867B (zh) * | 2019-04-28 | 2022-01-14 | 华为技术有限公司 | 信息获取方法及装置 |
| CN111866967B (zh) * | 2019-04-29 | 2024-09-17 | 华为技术有限公司 | 切换的处理方法和装置 |
| CN114513790B (zh) * | 2019-05-31 | 2023-10-10 | 荣耀终端有限公司 | 获取安全上下文的方法和网络设备 |
| US11563676B2 (en) * | 2019-08-16 | 2023-01-24 | Nokia Technologies Oy | Method and apparatus for universal integrated circuit card update via dedicated network function |
| US20220338079A1 (en) * | 2019-08-19 | 2022-10-20 | Telefonaktiebolaget Lm Ericsson (Publ) | AMF Re-Allocation Due to Slicing |
| CN114145073B (zh) * | 2019-09-29 | 2024-04-12 | 华为技术有限公司 | 通信方法和通信装置 |
| CN114222356B (zh) * | 2019-10-08 | 2024-04-02 | 荣耀终端有限公司 | 一种降低ue功耗的方法和装置 |
| CN112654043A (zh) * | 2019-10-13 | 2021-04-13 | 华为技术有限公司 | 注册方法及装置 |
| CN111314856B (zh) * | 2020-02-13 | 2020-12-15 | 广州爱浦路网络技术有限公司 | 一种5g用户位置信息服务的分级审查与跟踪装置和方法 |
| KR20220143734A (ko) * | 2020-02-20 | 2022-10-25 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 애플리케이션들을 위한 인증 및 키 관리에 대한 키 자료 생성 최적화 |
| CN114051242B (zh) * | 2020-07-22 | 2023-06-23 | 大唐移动通信设备有限公司 | 用户与多终端间的安全性管理方法、装置及设备 |
| CN114079920B (zh) * | 2020-08-11 | 2023-01-20 | 大唐移动通信设备有限公司 | 接入网安全处理方法、设备、装置及存储介质 |
| WO2022082667A1 (zh) * | 2020-10-22 | 2022-04-28 | 华为技术有限公司 | 一种数据安全传输的方法及装置 |
| CN116391411A (zh) * | 2020-10-27 | 2023-07-04 | Oppo广东移动通信有限公司 | 传输方法和终端设备 |
| CN112333784B (zh) * | 2020-11-05 | 2023-03-24 | 中国联合网络通信集团有限公司 | 安全上下文的处理方法、第一网元、终端设备及介质 |
| KR102234087B1 (ko) * | 2020-12-02 | 2021-03-30 | 영남대학교 산학협력단 | 채널 전환 기반 무선랜 재밍 방어 시스템 |
| CN114915966A (zh) * | 2021-02-10 | 2022-08-16 | 华为技术有限公司 | 配置演进分组系统非接入层安全算法的方法及相关装置 |
| US11800398B2 (en) | 2021-10-27 | 2023-10-24 | T-Mobile Usa, Inc. | Predicting an attribute of an immature wireless telecommunication network, such as a 5G network |
| WO2024113132A1 (en) * | 2022-11-29 | 2024-06-06 | Nokia Shanghai Bell Co., Ltd. | Devices, methods, apparatuses, and computer readable media for network slice security |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9106409B2 (en) * | 2006-03-28 | 2015-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling keys used for encryption and integrity |
| CL2007001656A1 (es) | 2006-06-07 | 2008-01-11 | Qualcomm Inc | Metodo para la operacion de un terminal de acceso que comprende: a) analizar un encabezado rlp de un paquete de rlp para determinar si un valor indicador de reproceso en dicho encabezado rlp ha sido establecido y si se determina que dicho indicador de reproceso ha sido establecido; y terminal asociado. |
| US20070297914A1 (en) | 2006-06-27 | 2007-12-27 | Dry Air Technology | Enhanced axial air mover system with grill |
| CN101309500B (zh) | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
| CN101378591B (zh) * | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| US20090209259A1 (en) * | 2008-02-15 | 2009-08-20 | Alec Brusilovsky | System and method for performing handovers, or key management while performing handovers in a wireless communication system |
| CN101516089B (zh) * | 2008-02-18 | 2012-09-05 | 中国移动通信集团公司 | 一种切换方法及系统 |
| EP3554113A1 (en) * | 2008-08-15 | 2019-10-16 | Samsung Electronics Co., Ltd. | Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system |
| CN101355507B (zh) * | 2008-09-12 | 2012-09-05 | 中兴通讯股份有限公司 | 更新跟踪区时的密钥生成方法及系统 |
| US20100173610A1 (en) * | 2009-01-05 | 2010-07-08 | Qualcomm Incorporated | Access stratum security configuration for inter-cell handover |
| CN101478752B (zh) * | 2009-01-12 | 2014-11-05 | 中兴通讯股份有限公司 | 一种密钥更替方法、系统及设备 |
| CN101931951B (zh) * | 2009-06-26 | 2012-11-07 | 华为技术有限公司 | 密钥推演方法、设备及系统 |
| KR101700448B1 (ko) * | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
| CN102804826B (zh) * | 2010-03-17 | 2016-03-02 | 瑞典爱立信有限公司 | 用于srns重定位的增强密钥管理 |
| US9084110B2 (en) * | 2010-04-15 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network |
| CN101835152A (zh) * | 2010-04-16 | 2010-09-15 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
| CN101860863A (zh) * | 2010-05-21 | 2010-10-13 | 中国科学院软件研究所 | 一种增强的加密及完整性保护方法 |
| KR101737425B1 (ko) * | 2010-06-21 | 2017-05-18 | 삼성전자주식회사 | 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템 |
| CN102340772B (zh) * | 2010-07-15 | 2014-04-16 | 华为技术有限公司 | 切换过程中的安全处理方法、装置和系统 |
| CN102348206B (zh) * | 2010-08-02 | 2014-09-17 | 华为技术有限公司 | 密钥隔离方法和装置 |
| US20120159151A1 (en) * | 2010-12-21 | 2012-06-21 | Tektronix, Inc. | Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring |
| CN102625300B (zh) * | 2011-01-28 | 2015-07-08 | 华为技术有限公司 | 密钥生成方法和设备 |
| CN102118808B (zh) * | 2011-03-03 | 2014-11-12 | 电信科学技术研究院 | 触发切换及移动管理实体池标识信息的传递方法和设备 |
| WO2013163815A1 (zh) | 2012-05-04 | 2013-11-07 | 华为技术有限公司 | 一种网络切换过程中的安全处理方法及系统 |
| EP2912867A1 (en) | 2012-10-29 | 2015-09-02 | Nokia Solutions and Networks Oy | Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks |
| CN105103577B (zh) | 2014-01-28 | 2019-05-24 | 华为技术有限公司 | 一种加密数据的装置和方法 |
| ES2759428T3 (es) | 2014-01-28 | 2020-05-11 | Huawei Tech Co Ltd | Método de cambio de clave de seguridad y equipo de usuario |
| US10070357B2 (en) * | 2014-09-25 | 2018-09-04 | Intel IP Corporation | Smooth UE transfer within an evolved packet core |
| US9801055B2 (en) | 2015-03-30 | 2017-10-24 | Qualcomm Incorporated | Authentication and key agreement with perfect forward secrecy |
| US9883385B2 (en) | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
| CN106714152B (zh) | 2015-11-13 | 2021-04-09 | 华为技术有限公司 | 密钥分发和接收方法、第一密钥管理中心和第一网元 |
| US10873464B2 (en) | 2016-03-10 | 2020-12-22 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
| EP3466135B1 (en) | 2016-07-05 | 2022-01-05 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
| US20180083972A1 (en) * | 2016-09-20 | 2018-03-22 | Lg Electronics Inc. | Method and apparatus for security configuration in wireless communication system |
| WO2018079691A1 (ja) | 2016-10-26 | 2018-05-03 | 日本電気株式会社 | 通信システム、セキュリティ装置、通信端末、及び通信方法 |
| PT3574669T (pt) | 2017-01-30 | 2021-10-26 | Ericsson Telefon Ab L M | Gestão de contexto de segurança em 5g durante o modo conectado |
| US11071021B2 (en) | 2017-07-28 | 2021-07-20 | Qualcomm Incorporated | Security key derivation for handover |
| KR102343687B1 (ko) | 2017-11-20 | 2021-12-28 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 핸드오버 동안 5g에서의 보안 컨텍스트 핸들링 |
| US20220304093A1 (en) | 2019-08-06 | 2022-09-22 | Lg Electronics Inc. | Method and apparatus for handling security information between a wireless device and a network for a fast rrc release procedure in a wireless communication system |
-
2018
- 2018-01-29 PT PT18703266T patent/PT3574669T/pt unknown
- 2018-01-29 WO PCT/EP2018/052153 patent/WO2018138347A1/en active Search and Examination
- 2018-01-29 EP EP23176861.5A patent/EP4236408A1/en active Pending
- 2018-01-29 DK DK18703266.9T patent/DK3574669T3/da active
- 2018-01-29 BR BR112019015387-0A patent/BR112019015387B1/pt active IP Right Grant
- 2018-01-29 PL PL21196677.5T patent/PL3952375T3/pl unknown
- 2018-01-29 MX MX2019008770A patent/MX2019008770A/es unknown
- 2018-01-29 HU HUE18703267A patent/HUE056162T2/hu unknown
- 2018-01-29 EP EP18703266.9A patent/EP3574669B1/en active Active
- 2018-01-29 DK DK18703267.7T patent/DK3574670T3/da active
- 2018-01-29 WO PCT/EP2018/052154 patent/WO2018138348A1/en unknown
- 2018-01-29 CN CN202211022512.9A patent/CN115474247A/zh active Pending
- 2018-01-29 ES ES21188067T patent/ES2950488T3/es active Active
- 2018-01-29 PL PL18703267T patent/PL3574670T3/pl unknown
- 2018-01-29 ES ES18703266T patent/ES2900006T3/es active Active
- 2018-01-29 AU AU2018212610A patent/AU2018212610B2/en active Active
- 2018-01-29 JP JP2019540001A patent/JP6942804B2/ja active Active
- 2018-01-29 HU HUE21196677A patent/HUE060616T2/hu unknown
- 2018-01-29 EP EP21196677.5A patent/EP3952375B1/en active Active
- 2018-01-29 KR KR1020197022435A patent/KR102163343B1/ko active IP Right Grant
- 2018-01-29 CN CN201880003392.3A patent/CN109644340B/zh active Active
- 2018-01-29 PL PL18703266T patent/PL3574669T3/pl unknown
- 2018-01-29 PT PT211966775T patent/PT3952375T/pt unknown
- 2018-01-29 EP EP21188067.9A patent/EP3923616B1/en active Active
- 2018-01-29 RU RU2019126294A patent/RU2719772C1/ru active
- 2018-01-29 ES ES18703267T patent/ES2886881T3/es active Active
- 2018-01-29 JP JP2019541072A patent/JP6943965B2/ja active Active
- 2018-01-29 CN CN201880003384.9A patent/CN109644339B/zh active Active
- 2018-01-29 ES ES21196677T patent/ES2935527T3/es active Active
- 2018-01-29 EP EP18703267.7A patent/EP3574670B1/en active Active
- 2018-01-29 CN CN202211022513.3A patent/CN115396886A/zh active Pending
- 2018-01-29 EP EP22205136.9A patent/EP4149137A1/en active Pending
- 2018-01-30 AR ARP180100216A patent/AR110865A1/es active IP Right Grant
- 2018-01-30 AR ARP180100217A patent/AR110917A1/es active IP Right Grant
- 2018-12-28 US US16/235,523 patent/US10531292B2/en active Active
- 2018-12-28 US US16/235,438 patent/US10536849B2/en active Active
-
2019
- 2019-06-14 ZA ZA2019/03899A patent/ZA201903899B/en unknown
- 2019-06-24 PH PH12019501467A patent/PH12019501467A1/en unknown
- 2019-07-24 MX MX2022001444A patent/MX2022001444A/es unknown
- 2019-12-13 US US16/714,281 patent/US11096045B2/en active Active
- 2019-12-13 US US16/713,984 patent/US11432141B2/en active Active
-
2021
- 2021-07-30 US US17/390,297 patent/US11924630B2/en active Active
- 2021-09-08 JP JP2021145830A patent/JP7235818B2/ja active Active
-
2022
- 2022-07-22 US US17/871,357 patent/US11743718B2/en active Active
-
2023
- 2023-11-03 US US18/386,807 patent/US20240073683A1/en active Pending
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109644340B (zh) | 空闲模式期间5g中的安全性上下文处理的方法和装置 | |
| CN110945892B (zh) | 安全实现方法、相关装置以及系统 | |
| CN117377011A (zh) | 第一网络装置及其方法和第二网络装置及其方法 | |
| OA19349A (en) | Security context handling in 5G during connected mode |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |