CN109691154B - 基于密钥刷新的按需网络功能重新认证 - Google Patents
基于密钥刷新的按需网络功能重新认证 Download PDFInfo
- Publication number
- CN109691154B CN109691154B CN201780055914.XA CN201780055914A CN109691154B CN 109691154 B CN109691154 B CN 109691154B CN 201780055914 A CN201780055914 A CN 201780055914A CN 109691154 B CN109691154 B CN 109691154B
- Authority
- CN
- China
- Prior art keywords
- network node
- key refresh
- request message
- key
- parent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/25—Maintenance of established connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述了用于无线通信的方法、系统和设备。用户设备(UE)可以确定与网络节点的安全上下文已经被建立了达超过阈值时间段。UE可以基于密钥层级来识别与该网络节点相关联的父网络节点。UE可以向父网络节点发送密钥刷新请求消息,以触发在父网络节点与该网络节点之间的密钥刷新过程。UE可以基于密钥刷新过程,来执行与该网络节点的用于建立新的安全上下文的过程。
Description
交叉引用
本专利申请要求享受Lee等人于2017年4月12日提交的标题为“On-DemandNetwork Function Re-Authentication Based On Key Refresh”的美国专利申请No.15/485,976和Lee等人于2016年9月16日提交的标题为“On-Demand Network Function Re-Authentication Based On Key Refresh”的美国临时专利申请No.62/395,901的优先权,这两份申请中的每一份均已经转让给本申请的受让人。
技术领域
概括地说,下文描述涉及无线通信,具体地说,下文描述涉及基于密钥刷新的按需网络功能重新认证。
背景技术
广泛地部署无线通信系统,以便提供各种类型的通信内容,例如语音、视频、分组数据、消息传送、广播等等。这些系统能够通过共享可用的系统资源(例如,时间、频率和功率)来支持与多个用户进行通信。这类多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统和正交频分多址(OFDMA)系统(例如,长期演进(LTE)系统)。无线多址通信系统可以包括多个基站,每一个基站同时支持针对多个通信设备(或者可以称为用户设备(UE))的通信。
UE可以使用认证过程与基站建立连接。认证过程可以包括建立针对UE和相关联的网络实体的安全上下文,例如,用于生成一个或多个安全密钥的认证和密钥协商(AKA)协议。安全密钥可以用于保护UE与基站之间的空中接口并使其安全,以及用于各种网络实体之间的回程业务保护。当UE最初经由基站连接到核心网时,可以创建安全上下文。随后,安全上下文可以存储在与该连接相关联的每个网络节点处,例如,在基站处、在移动性管理实体(MME)处、在归属用户服务器(HSS)处等等。
在一些情况下,可以将安全上下文存储一段延长的时间。例如,UE或其它移动设备(例如,物联网(IoT)设备)可以建立连接,并且仅不频繁地发送业务。在每次这样的设备需要发送业务时使用资源来建立新的安全上下文是低效的。另外地或替代地,在移动设备上使用相当大的电池功率来根据AKA协议发送和接收消息。此外,在网络节点处维护安全上下文也可能引发安全问题。例如,由于安全密钥泄露,网络节点可能会受到危害。然后,攻击者可以使用泄露的安全密钥来模拟网络节点,从而危害与UE的通信。
发明内容
所描述的技术涉及支持基于密钥刷新的按需网络功能重新认证的改进方法、系统、设备或装置。例如,所描述的技术提供了用户设备(UE)确定已经与网络节点建立了安全上下文达阈值时间段。UE可以基于密钥层级来识别父网络节点,以及向父网络节点发送密钥刷新请求消息。父网络节点可以是UE尝试在密钥层级中重新认证的网络节点的父节点。密钥刷新消息可以触发在父网络节点与该网络节点之间的密钥刷新过程。父网络节点可以使用密钥刷新请求消息来识别网络节点,以及获得用于网络节点的完整性验证信息,例如,执行远程证明过程,从不同的网络实体接收完整性验证等等。基于密钥刷新过程,UE和网络节点可以执行用于建立新安全上下文的过程。在一些示例中,该过程可以是重新认证过程。
描述了无线通信的方法。该方法可以包括:由UE确定与网络节点的安全上下文已经被建立了达超过阈值时间段;至少部分地基于密钥层级,来识别与该网络节点相关联的至少一个父网络节点;从UE向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与该网络节点之间的密钥刷新过程;以及至少部分地基于该密钥刷新过程,来执行与该网络节点的、用于建立新的安全上下文的过程。
描述了用于无线通信的装置。该装置可以包括:用于由UE确定与网络节点的安全上下文已经被建立了达超过阈值时间段的单元;用于至少部分地基于密钥层级,来识别与该网络节点相关联的至少一个父网络节点的单元;用于从UE向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与该网络节点之间的密钥刷新过程的单元;以及用于至少部分地基于该密钥刷新过程来执行与该网络节点的、用于建立新的安全上下文的过程的单元。
描述了用于无线通信的另一种装置。该装置可以包括处理器、与处理器进行电子通信的存储器、以及存储在存储器中的指令。该指令可以是可操作的以使处理器进行以下操作:确定与网络节点的安全上下文已经被建立了达超过阈值时间段;至少部分地基于密钥层级,来识别与该网络节点相关联的至少一个父网络节点;向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与该网络节点之间的密钥刷新过程;以及至少部分地基于该密钥刷新过程,来执行与该网络节点的、用于建立新的安全上下文的过程。
描述了用于无线通信的非暂时性计算机可读介质。该非暂时性计算机可读介质可以包括可操作以使处理器进行以下操作的指令:由UE确定与网络节点的安全上下文已经被建立了达超过阈值时间段;至少部分地基于密钥层级,来识别与该网络节点相关联的至少一个父网络节点;从UE向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与该网络节点之间的密钥刷新过程;至少部分地基于该密钥刷新过程,执行与该网络节点的、用于建立新的安全上下文的过程。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,父网络节点包括控制平面核心网(CP-CN)功能,并且网络节点包括接入节点(AN)。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,密钥刷新请求消息包括网络接入层(NAS)消息。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,父网络节点包括安全锚定功能,并且网络节点包括CP-CN功能。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,安全锚定功能包括控制平面认证(CP-AU)功能。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,密钥刷新请求消息包括附着请求消息。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,附着请求消息包括与UE相关联的标识符。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,密钥刷新请求消息包括认证请求消息。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,密钥刷新请求消息包括可扩展认证协议(EAP)重新认证消息。
上文所描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括:用于在密钥刷新过程之后的预定时间段内,使用安全上下文用于用户平面分组保护的过程、特征、单元或指令。
上文所描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于执行以下各项操作中的至少一项的过程、特征、单元或指令:对密钥刷新请求消息进行加密、对密钥刷新请求消息进行完整性保护、或者其组合。
描述了无线通信的方法。该方法可以包括:在父网络节点处,从UE接收密钥刷新请求消息;至少部分地基于该密钥刷新请求消息,来识别具有与UE的安全上下文的网络节点;获得与所识别的网络节点相关联的完整性验证信息;以及识别要在网络节点与UE之间执行的用于建立新的安全上下文的过程。
描述了用于无线通信的装置。该装置可以包括:用于在父网络节点处从UE接收密钥刷新请求消息的单元;用于至少部分地基于该密钥刷新请求消息来识别具有与UE的安全上下文的网络节点的单元;用于获得与所识别的网络节点相关联的完整性验证信息的单元;以及用于识别要在网络节点与UE之间执行的用于建立新的安全上下文的过程的单元。
描述了用于无线通信的另一种装置。该装置可以包括处理器、与处理器进行电子通信的存储器、以及存储在存储器中的指令。该指令可以是可操作的以使处理器进行以下操作:从UE接收密钥刷新请求消息;至少部分地基于该密钥刷新请求消息,来识别具有与该UE的安全上下文的网络节点;获得与所识别的网络节点相关联的完整性验证信息;以及识别要在网络节点与UE之间执行的用于建立新的安全上下文的过程。
描述了用于无线通信的非暂时性计算机可读介质。该非暂时性计算机可读介质可以包括可操作以使处理器进行以下操作的指令:在父网络节点处从UE接收密钥刷新请求消息;至少部分地基于该密钥刷新请求消息来识别具有与该UE的安全上下文的网络节点;获得与所识别的网络节点相关联的完整性验证信息;以及识别要在网络节点与UE之间执行的用于建立新的安全上下文的过程。
上文所描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于进行以下操作的过程、特征、单元或指令:获得完整性验证信息包括执行在父网络节点与该网络节点之间的完整性验证过程、或者从另一个网络实体接收完整性验证信息、或者其组合。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,可以根据预定的调度、或者至少部分地基于对密钥刷新请求消息的接收、或者其组合,来执行完整性验证过程。
上文所描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括:用于确定在阈值时间段期间已从该UE接收到预定数量的密钥刷新请求消息的过程、特征、单元或指令。上文所描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于进行以下操作的过程、特征、单元或指令:至少部分地基于该确定,来避免发起该过程。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,完整性验证信息可以是至少部分地基于远程证明过程的。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,父网络节点包括CP-CN功能,并且网络节点包括AN。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,密钥刷新请求消息包括NAS消息。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,父网络节点包括安全锚定功能,并且网络节点包括CP-CN功能。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,安全锚定功能包括CP-AU功能。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,密钥刷新请求消息包括附着请求消息,附着请求消息包括UE标识符和在初始附着过程期间从安全锚定功能接收的密钥标识符。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,密钥标识符包括演进的密钥集标识符(eKSI)。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,附着请求消息包括与UE相关联的标识符。
在上文所描述的方法、装置和非暂时性计算机可读介质的一些示例中,密钥刷新请求消息包括认证请求消息。
上文所描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括:用于在密钥刷新过程之后的预定时间段内,使用安全上下文用于用户平面分组保护的过程、特征、单元或指令。
上文所描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于进行以下各项操作中的至少一项的过程、特征、单元或指令:对密钥刷新请求消息进行解密、对密钥刷新请求消息的完整性进行验证、或者其组合。
附图说明
图1根据本公开内容的方面,示出了支持基于密钥刷新的按需网络功能重新认证的用于无线通信的系统的示例。
图2根据本公开内容的方面,示出了支持基于密钥刷新的按需网络功能重新认证的过程流程的示例。
图3根据本公开内容的方面,示出了支持基于密钥刷新的按需网络功能重新认证的无线通信系统的示例。
图4根据本公开内容的方面,示出了支持基于密钥刷新的按需网络功能重新认证的密钥层级的示例。
图5至图7根据本公开内容的方面,示出了支持基于密钥刷新的按需网络功能重新认证的设备的框图。
图8根据本公开内容的方面,示出了包括支持基于密钥刷新的按需网络功能重新认证的UE的系统的框图。
图9至图11根据本公开内容的方面,示出了支持基于密钥刷新的按需网络功能重新认证的设备的框图。
图12根据本公开内容的方面,示出了包括支持基于密钥刷新的按需网络功能重新认证的父网络节点的系统的框图。
图13至图17根据本公开内容的方面,示出了用于基于密钥刷新的按需网络功能重新认证的方法。
具体实施方式
安全问题可以是与一个或多个网络节点存储与用户设备(UE)相关联的安全上下文达延长的时间阈值相关联的。例如,攻击者可能获得网络节点和UE使用的密钥,然后使用该受危害的密钥来模拟网络节点。传统技术提供了由网络(而不是UE)在UE和网络节点之间发起密钥刷新过程。例如,基站可以在空闲到连接模式转换等等期间,在运行中触发与UE的密钥刷新过程。另外,传统技术并不支持由UE触发(或发起)的、网络功能(例如,不同的网络节点)之间的密钥刷新过程。反而,可以间接地执行密钥刷新过程,例如,用于移动性管理实体(MME)密钥刷新的新附着、以及用于接入节点密钥刷新的基于S1的切换等等。
首先在无线通信系统的背景下,描述本公开内容的各方面。UE可以确定已经建立了与网络节点的安全上下文达超过阈值时间段。UE可以使用密钥层级来识别该网络节点的父网络节点,以及向父网络节点发送密钥刷新消息。在一些示例中,网络节点可以包括接入节点的各方面,并且父网络节点可以包括控制平面核心网(CP-CN)功能的各方面。在一些示例中,网络节点可以包括CP-CN的各方面,并且父网络节点可以包括安全锚定功能(例如,控制平面认证(CP-AU)功能、安全网关等等)的各方面。如本文所使用的,“网络节点”可以指代针对其正在刷新密钥的网络的任何适当节点。“父网络节点”可以指代网络的、作为网络节点的父节点或者位于网络节点的层级中的更高层级的任何适当节点。
密钥刷新消息可以触发父网络节点与网络节点之间的密钥刷新过程。该密钥刷新过程可以包括:父网络节点获得用于网络节点的完整性验证信息。父网络节点可以识别要在网络节点与UE之间执行的用于建立新的安全上下文的过程。在一些示例中,该过程可以是在网络节点与UE之间执行的用于建立新的安全上下文的重新认证过程。
通过参照与基于密钥刷新的按需网络功能重新认证有关的装置图、系统图和流程图,来进一步描绘和描述本公开内容的方面。
图1根据本公开内容的各个方面,示出了无线通信系统100的示例。该无线通信系统100包括基站105、UE 115和核心网130。在一些示例中,无线通信系统100可以是第五代(5G)/新无线电(NR)或长期演进(LTE)(或者改进的LTE(LTE-A))网络。
基站105可以经由一个或多个基站天线与UE 115进行无线通信。每个基站105可以为各自的地理覆盖区域110提供通信覆盖。无线通信系统100中示出的通信链路125可以包括从UE 115到基站105的上行链路(UL)传输,或者从基站105到UE 115的下行链路(DL)传输。UE 115可以分散于无线通信系统100中,并且每个UE 115可以是静止的或者移动的。
另外地或替代地,UE 115可以被称为移动站、用户站、移动单元、用户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动用户站、接入终端、移动终端、无线终端、远程终端、手持装置、用户代理、移动客户端、客户端或者某种其它适当的术语。UE 115还可以是蜂窝电话、个人数字助理(PDA)、无线调制解调器、无线通信设备、手持设备、平板计算机、膝上型计算机、无绳电话、个人电子设备、手持设备、个人计算机、无线本地环路(WLL)站、物联网(IoT)设备、万物网(IoE)设备、机器类型通信(MTC)设备、电器、汽车等等。
基站105可以与核心网130进行通信,以及彼此之间进行通信。例如,基站105可以通过回程链路132(例如,S1等等)与核心网130连接。基站105可以彼此之间通过回程链路134(例如,X2等等)直接地或者间接地(例如,通过核心网130)进行通信。基站105可以执行用于与UE 115的通信的无线电配置和调度,或者可以在基站控制器(没有示出)的控制下进行操作。在一些示例中,基站105可以是宏小区、小型小区、热点等等。另外地或替代地,基站105可以称为eNodeB(eNB)105。在一些情况下,基站可以称为gNodeB(gNB)。
无线通信系统100可以包括连接到基站105的网络的UE 115,该网络可以称为演进型通用陆地无线接入网(E-UTRAN)。无线通信系统100可以是演进分组核心(EPC)网络。UE115可以经由到基站105和核心网130的连接,来连接到该网络(例如,互联网协议(IP)网络)。核心网130可以包括诸如MME之类的各种网络功能(或网络节点),MME可以管理和存储UE安全上下文,控制各种认证功能,选择服务网关(S-GW)和分组数据网关(P-GW)。S-GW可以提供P-GW与E-UTRAN(例如,基站105)之间的信息的路由,可以携带用户平面数据,以及锚定UE 115以用于基站105间切换等等。P-GW可以分配IP地址并且对分组进行路由,与其它网络互连等等。核心网130还可以包括归属用户服务器(HSS),HSS可以存储用户标识符并管理关键安全信息。核心网130可以另外地或替代地包括用于使回程业务安全的一个或多个安全网关。
无线通信系统100可以支持所描述的基于密钥刷新的按需网络功能重新认证技术的一个或多个方面。例如,UE 115可以确定该UE 115与网络节点之间的安全上下文已经建立了达超过阈值时间间隔。UE 115可以基于密钥层级来识别该网络节点的父网络节点。UE115可以向父网络节点发送密钥刷新请求消息,以触发在父网络节点与该网络节点之间的密钥刷新过程。随后,UE 115可以执行与该网络节点的、用于建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。
父网络节点可以接收密钥刷新请求消息并识别网络节点。父网络节点可以直接地(例如,使用远程证明过程)和/或间接地(通过从不同的网络节点接收完整性验证信息)获得用于该网络节点的完整性验证信息。一旦父网络节点已经验证了网络节点的完整性,父网络节点就可以识别该网络节点与UE之间的过程。在一些示例中,该过程可以是重新认证过程。在一些方面,密钥刷新过程可以提供:向网络节点供应新密钥。完整性验证过程可以是密钥刷新过程的组成部分(例如,当由父网络节点直接执行完整性验证过程时)。在其它方面,完整性验证过程可以与密钥刷新过程分开(例如,当父网络节点基于从另一个网络节点接收的信息来验证该网络节点的完整性时)。重新认证过程可以包括:一旦已经验证了网络节点的完整性,并且已经为该网络节点供应了新密钥,则由父网络节点触发UE 115与该网络节点之间的重新认证过程。触发重新认证过程可以包括:父网络节点向该网络节点发送触发消息(在一些示例中,其可以另外地或替代地在密钥供应过程期间执行)。
图2示出了用于基于密钥刷新的按需网络功能重新认证的过程流程200的示例。过程流程200可以实现图1的无线通信系统100的一个或多个方面。过程流程200可以包括UE205、网络节点210和父网络节点215,它们可以是上文所描述的相应设备的示例。
例如,UE 205先前已经建立到E-UTRAN和核心网的网络连接。在一些示例中,E-UTRAN可以指代诸如基站、毫米波(mmW)基站、小区等等之类的接入节点。核心网可以指代EPC网络,并且可以包括诸如MME、S-GW、P-GW、HSS等等之类的节点和/或功能。在一些示例中,网络节点210可以包括接入节点的各方面,并且父网络节点215可以包括CP-CN功能的各方面。在一些示例中,网络节点210可以包括CP-CN的各方面,并且父网络节点215可以包括安全锚定功能(例如,CP-AU功能、安全网关等等)的各方面。
在220处,UE 205可以确定安全上下文的存在时间。安全上下文可以包括在UE 205与网络节点210之间建立的密钥,例如CP-AU密钥、CP-CN密钥、UE 205/接入节点密钥等等。安全上下文可以是当UE 205第一次与网络建立网络连接时已被建立的,该网络可以包括网络节点210和父网络节点215的一个或多个方面。因此,取决于何时进行初始连接,可能已经建立了安全上下文达超过阈值时间段(例如,超过一小时、超过一天、超过一周、超过一个月等等)。本领域技术人员将理解,可以基于任何数量的适当因素(例如,UE设备205的设备类型)来设置该阈值时间段。基于安全上下文已被建立达超过阈值时间,UE 205可以确定密钥刷新过程是许可的。
在225处,UE 205可以识别网络节点210的父网络节点(例如,父网络节点215)。在识别父网络节点时,UE 205可以生成密钥层级。在一个示例中,密钥层级可以基于网络的结构。例如,可以将父网络节点215识别为:管理网络节点210的一个或多个方面的、或者获得用于网络节点210的完整性验证信息的网络节点和/或网络功能。另外地或替代地,可以将父网络节点215识别为:被配置为验证网络节点210的完整性的网络节点和/或网络功能。因此,例如,可以将CP-CN功能视为用于接入节点功能(例如,基站)的父网络节点。再举一个示例,可以将安全锚定功能(例如,CP-AU功能)视作CP-CN功能的父网络节点。再举一个示例,可以将HSS功能视作安全锚定功能(例如,CP-AU、安全网关等等)的父网络节点。UE 205可以基于一种或多种类型的适当的信息(例如,在初始附着过程期间接收的信息、从网络实体接收的信息等等)来存储密钥层级。在另一个示例中,UE 205可以按需地从网络请求密钥层级(例如,当已经建立安全上下文超过阈值时间时)。
在235处,UE 205可以向父网络节点215发送一个或多个密钥刷新请求消息。该密钥刷新请求消息可以触发父网络节点215与网络节点210之间的密钥刷新过程。在一些方面,密钥刷新消息可以包括网络节点210的标识符。
在父网络节点215是CP-CN功能并且网络节点是接入节点的示例中,网络接入层(NAS)消息可以被用作密钥刷新消息。NAS消息可以包括“AN密钥刷新”消息类型,该消息类型触发CP-CN和AN之间的密钥刷新。可以对NAS消息进行加密和完整性保护。
在父网络节点215是安全锚定功能(例如,CP-AU功能)并且网络节点是CP-CN功能的示例中,附着请求消息可以被用作密钥刷新消息。附着请求消息可以包括演进的密钥集标识符(eKSI),安全锚定功能基于eKSI来导出新的CP-CN密钥。在一些方面,安全锚定功能可以在初始附着过程期间将eKSI分配给UE 205,并且当在安全锚定功能处有多个可用的根密钥时,可以使用eKSI来识别根密钥。例如,安全锚定功能可以从HSS和/或核心网的认证、授权和计费(AAA)功能接收多个认证向量(AV)。
在一些方面,附着请求消息可以包括与UE 205相关联的标识符。在一个示例中,附着请求消息可以包括国际移动用户标识(IMSI)或者与UE 205相关联的某种其它标识符。网络的HSS/AAA功能可以使用该识别信息来识别UE 205。
在另一个示例中,UE 205可以使用新的消息格式来从HSS/AAA功能请求新的认证过程(例如,接收认证信息)。在一个方面,该上下文中的密钥刷新请求消息可以包括认证请求消息。在一些示例中,安全锚定功能可以不移除现有的安全上下文,而是可以基于重新认证来更新密钥。
在父网络节点215是安全锚定功能的示例中,可以使用针对安全锚定功能的新认证请求消息作为密钥刷新消息。
在一个方面,当安全锚定功能支持EAP重新认证时,密钥刷新请求消息可以包括可扩展认证协议(EAP)发起/重新认证消息。
在一些示例中,UE 205可以在特定时间段内被限制于预定数量的密钥刷新消息。因此,在可应用的限制之上发送的密钥刷新请求消息可以被忽略和/或可以触发针对UE205的重新认证过程。
在240处,一旦父网络节点215接收到密钥刷新请求消息,父网络节点215就使用该消息将网络节点210识别为具有与UE 205的安全上下文。例如,父网络节点215可以存储用于将UE 205的标识与该UE 205和其它网络节点之间保持的安全上下文进行关联的信息。
在245处,父网络节点215可以获得与网络节点210相关联的完整性验证信息。这可以包括:执行与网络节点210的远程证明过程。替代地或另外地,父网络节点215可以基于从另一个网络实体(例如,HSS)接收的信息,来获得完整性验证信息。
在一些示例中,可以根据预定的调度(例如,周期性地)和/或基于对密钥刷新请求消息的接收,来获得完整性验证信息。因此,在一些方面,可以不响应于密钥刷新请求消息来执行针对网络节点210的完整性验证信息。相反,可以由父网络节点215周期性地进行。此外,完整性验证可以由另一个网络实体执行并且可用于父网络节点215。
在247处,父网络节点215可以执行针对网络节点210的密钥刷新过程。这可以包括:从网络节点210获得完整性验证信息,以及至少部分地基于完整性验证信息来执行密钥刷新过程。
在250处,父网络节点215可以识别并传送对要在网络节点210与UE205之间执行的过程的指示。在一些示例中,该过程可以是重新认证过程。可以在一个或多个消息中向网络节点210和/或UE 205传送该指示。
在255处,UE 205和网络节点210可以执行用于建立新安全上下文(例如,用于建立新密钥)的过程。在一些示例中,该过程可以是重新认证过程。因此,UE 205向父网络节点215发送针对密钥刷新的请求(在235处),以便刷新网络节点210的密钥。然后,可以通过其父网络节点215,来刷新(在247处)用于网络节点210的密钥。随后,在UE 205和网络节点210之间执行重新认证过程。
在一些方面,可以在使用最初的安全上下文的密钥刷新过程之后,对用户平面业务进行保护达预定的时间段。例如,网络节点210可以发送用于指示新安全上下文将何时开始的触发。这可以避免对先前使用最初的安全上下文加密的协议数据单元(PDU)进行重新加密。
因此,在密钥刷新过程已完成之后的一些方面,最初的安全上下文(例如,在密钥刷新过程之前使用的密钥)可以在预定义的时间间隔内用于用户平面分组保护。在一些方面,在预定义的时间间隔之后,可以在PDU中指示使用新密钥进行加密和/或完整性保护。
图3示出了用于基于密钥刷新的按需网络功能重新认证的无线通信系统300的示例。无线通信系统300可以实现上文所描述的无线通信系统100和/或过程流程200的一个或多个方面。无线通信系统300可以包括UE 305、接入节点310、CP-CN功能315、CP-AU功能320、UP-GW功能325、HSS/AAA功能335和父UP-GW 340,它们可以是上文所描述的相应设备的示例。
接入节点310可以包括一个或多个基站、小区、eNB等等。例如,UE305可以使用一种或多种无线电接入技术(RAT)与接入节点310无线地通信。接入节点310可以维护用于无线资源控制(RRC)连接、用户平面等等的安全上下文。
CP-CN功能315可以包括或者管理移动性管理(MM)功能和/或会话管理(SM)功能的一个或多个方面,以及维护相应的安全上下文。CP-AU功能320可以是安全锚定功能的示例,并且可以执行认证并维护认证根密钥,从该认证根密钥可以导出后续密钥。当用户平面安全性在UP-GW功能325处终止时,UP-GW功能325可以维持用户平面安全上下文(例如,密钥)。用户平面安全性可以由接入节点310和/或UP-GW功能325终止,并且可以由网络进行配置。
例如,接入节点310、CP-CN功能315、CP-AU功能320和/或UP-GW功能325中的每一个可以被认为是UE 305能够与其维护安全上下文的网络节点。此外,可以认为HSS/AAA功能335是对于CP-AU功能320、SP-CN315和/或接入节点310的父网络节点。可以认为CP-AU功能320是对于CP-CN功能315、UP-GW功能325和/或接入节点310的父网络节点。可以认为CP-CN是对于接入节点310的父网络节点。另外,可以认为父UP-GW340是对于UP-GW功能325的父网络节点。
UE 305可以维护与一个或多个网络节点(例如,接入节点310、CP-CN功能315、CP-AU功能320和/或UP-GW功能325)的安全上下文。UE 305可以确定UE 305与网络节点之间的安全上下文中的至少一个已经建立了达超过时间阈值。UE 305可以使用密钥层级来识别父网络节点,例如,对于CP-CN功能315的CP-AU功能320、对于接入节点310的CP-CN 315等等。UE 305可以向父网络节点发送密钥刷新消息以触发父网络节点与网络节点之间的密钥刷新过程。父网络节点接收密钥刷新请求消息,并且基于密钥刷新请求消息(例如,使用UE305的标识)来识别网络节点。父网络节点通过获得与网络节点相关联的完整性验证信息来执行密钥刷新过程。基于密钥刷新过程,UE 305和网络节点执行用于在UE 305和网络节点之间建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。
图4示出了用于基于密钥刷新的按需网络功能重新认证的密钥层级400的示例。密钥层级400可以实现上文所论述的无线通信系统100和300和/或过程流程200的一个或多个方面。例如,UE和/或网络节点可以基于密钥刷新,来使用密钥层级400以实现按需网络功能重新认证的一个或多个方面。
例如,密钥层级400示出了识别对于网络节点的父网络节点的另一个示例。密钥层级400可以包括用作HSS/AAA功能与UE之间的安全上下文的K根密钥405。HSS/AAA功能可以使用K根密钥405来导出用于安全锚定功能(例如,CP-AU功能)的KCP-AU密钥410。KCP-AU密钥410可以由安全锚定功能和UE进行维护。
安全锚定功能可以使用KCP-AU密钥410来导出KCP-CN密钥415和KUP-GW密钥420。KCP-CN密钥415可以由CP-CN功能和UE进行维护。KUP-GW密钥420可以由UP-GW功能和UE进行维护。UP-GW可以使用KUP-GW密钥420来建立KUP-GWenc密钥435和KUP-GWint密钥440。KUP-GWenc密钥435和KUP-GWint密钥440可以用于用户平面分组的完整性保护和编码。
CP-CN功能可以使用KCP-CN密钥415来导出KAN/NH密钥445。接入节点可以使用KAN/NH密钥445来导出KUP-GWenc密钥450、KUP-GWint密钥455、KRRCenc密钥460和KRRCint密钥465,这些密钥可以用于RRC和用户平面分组的完整性保护和编码。
如上文所论述的,UE可以向父网络节点发送密钥刷新请求消息,以触发父网络节点与网络节点之间的密钥刷新过程。举一个示例,KCP-AU密钥410可以用于刷新KCP-CN密钥415和/或KUP-GW密钥420。因此,可以认为CP-AU功能是对于CP-CN功能和/或UP-GW功能(它们可以被认为是网络节点)的父网络节点。再举一个示例,KCP-CN密钥415可以用于刷新Kan/NH密钥445。因此,可以认为CP-CN功能是对于接入节点功能(在该方面中,其可以被视为网络节点)的父网络节点。
图5根据本公开内容的各个方面,示出了支持基于密钥刷新的按需网络功能重新认证的无线设备505的框图500。无线设备505可以是如参照图1至图4所描述的UE 115的方面的示例。无线设备505可以包括接收机510、UE网络功能管理器515和发射机520。无线设备505还可以包括处理器。这些组件中的每一个组件可以与彼此进行通信(例如,经由一个或多个总线)。
接收机510可以接收信息,诸如分组、用户数据或者与各个信息信道(例如,控制信道、数据信道、以及与基于密钥刷新的按需网络功能重新认证有关的信息等等)相关联的控制信息。可以将信息传送到该设备的其它组件。接收机510可以是参照图8所描述的收发机835的方面的示例。
UE网络功能管理器515可以是参照图8所描述的UE网络功能管理器815的方面的示例。
UE网络功能管理器515可以通过UE确定与网络节点的安全上下文已经建立了超过阈值时间段。UE网络功能管理器515可以基于密钥层级,来识别与网络节点相关联的至少一个父网络节点。UE网络功能管理器515可以从UE向所识别的父网络节点发送密钥刷新请求消息,以触发所识别的父网络节点与该网络节点之间的密钥刷新过程。可以对密钥刷新消息进行保护(例如,基于与父节点建立的安全上下文来进行加密和/或完整性保护)。另外地或替代地,UE可以向网络节点发送用于触发该网络节点从父节点获得新密钥的密钥刷新消息(例如,当UE不具有与父网络节点的直接连接时)。UE网络功能管理器515可以基于密钥刷新过程,来执行与网络节点的用于建立新的安全上下文的过程。
发射机520可以发送由该设备的其它组件生成的信号。在一些示例中,发射机520可以与接收机510并置在收发机模块中。例如,发射机520可以是参照图8所描述的收发机835的方面的示例。发射机520可以包括单一天线,或者也可以包括一组天线。
图6根据本公开内容的各个方面,示出了支持基于密钥刷新的按需网络功能重新认证的无线设备605的框图600。无线设备605可以是如参照图1至图5所描述的无线设备505或UE 115的方面的示例。无线设备605可以包括接收机610、UE网络功能管理器615和发射机620。无线设备605还可以包括处理器。这些组件中的每一个组件可以与彼此进行通信(例如,经由一个或多个总线)。
接收机610可以接收信息,诸如分组、用户数据或者与各个信息信道(例如,控制信道、数据信道、以及与基于密钥刷新的按需网络功能重新认证有关的信息等等)相关联的控制信息。可以将信息传送到该设备的其它组件。接收机610可以是如参照图8所描述的收发机835的方面的示例。
UE网络功能管理器615可以是如参照图8所描述的UE网络功能管理器815的方面的示例。UE网络功能管理器615还可以包括安全上下文定时管理器625、网络节点管理器630、密钥刷新管理器635和过程管理器640。
安全上下文定时管理器625可以通过UE确定与网络节点的安全上下文已经建立了达超过阈值时间段。
网络节点管理器630可以基于密钥层级,来识别与网络节点相关联的至少一个父网络节点。在一个方面,父网络节点包括CP-CN功能,并且网络节点包括接入节点。在一个方面,密钥刷新请求消息包括NAS消息。在一个方面,父网络节点包括安全锚定功能,并且网络节点包括CP-CN功能。在一个方面,安全锚定功能包括CP-AU功能。在一个方面,密钥刷新请求消息包括附着请求消息。在一个方面,附着请求消息包括与该UE相关联的标识符。在一个方面,密钥刷新请求消息包括注册请求消息。在一个方面,密钥刷新请求消息包括重新认证请求消息。在一个方面,密钥刷新请求消息包括EAP重新认证消息。
密钥刷新管理器635可以从UE向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与网络节点之间的密钥刷新过程。
过程管理器640可以基于密钥刷新过程,来执行与网络节点的用于建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。
发射机620可以发送由该设备的其它组件生成的信号。在一些示例中,发射机620可以与接收机610并置在收发机模块中。例如,发射机620可以是参照图8所描述的收发机835的方面的示例。发射机620可以包括单一天线,或者也可以包括一组天线。
图7根据本公开内容的各个方面,示出了支持基于密钥刷新的按需网络功能重新认证的UE网络功能管理器715的框图700。UE网络功能管理器715可以是参照图5、图6和图8所描述的UE网络功能管理器515、UE网络功能管理器615或UE网络功能管理器815的方面的示例。UE网络功能管理器715可以包括安全上下文定时管理器720、网络节点管理器725、密钥刷新管理器730、过程管理器735、用户平面分组管理器740和加密管理器745。这些模块中的每一个模块可以与彼此直接地或者间接地进行通信(例如,经由一个或多个总线)。
安全上下文定时管理器720可以通过UE确定与网络节点的安全上下文已经建立了达超过阈值时间段。
网络节点管理器725可以基于密钥层级,来识别与网络节点相关联的至少一个父网络节点。在一个方面,父网络节点包括CP-CN功能,并且网络节点包括接入节点。在一个方面,父网络节点包括安全锚定功能,并且网络节点包括CP-CN功能。在一个方面,安全锚定功能包括CP-AU功能。
密钥刷新管理器730可以从UE向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与网络节点之间的密钥刷新过程。在一个方面,密钥刷新请求消息包括NAS消息。在一个方面,密钥刷新请求消息包括附着请求消息。在一个方面,该附着请求消息包括与该UE相关联的标识符。在一个方面,密钥刷新请求消息包括重新认证请求消息。在一个方面,密钥刷新请求消息包括EAP重新认证消息。
过程管理器735可以基于密钥刷新过程,来执行与网络节点的用于建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。
用户平面分组管理器740可以在密钥刷新过程之后预定的时间段内使用该安全上下文用于用户平面分组保护。
加密管理器745可以执行以下各项操作中的至少一项:对密钥刷新请求消息进行加密、对密钥刷新请求消息进行完整性保护、或者其组合。
图8根据本公开内容的各个方面,示出了包括设备805的系统800的图,该设备805支持基于密钥刷新的按需网络功能重新认证。设备805可以是如上文(例如,参照图1至图6)所描述的无线设备505、无线设备605或UE 115的组件的示例,或者包括无线设备505、无线设备605或UE 115的组件。设备805可以包括用于双向语音和数据通信的组件,其包括用于发送和接收通信的组件,包括UE网络功能管理器815、处理器820、存储器825、软件830、收发机835、天线840和I/O控制器845。这些组件可以经由一个或多个总线(例如,总线810)进行电子通信。设备805可以与一个或多个基站105进行无线通信。
处理器820可以包括智能硬件设备(例如,通用处理器、数字信号处理器(DSP)、中央处理单元(CPU)、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、可编程逻辑器件、分立门或晶体管逻辑组件、分立硬件组件或者其任意组合)。在一个方面,处理器820可以被配置为使用存储器控制器来操作存储器阵列。在一个方面,存储器控制器可以整合到处理器820中。处理器820可以被配置为执行存储在存储器中的计算机可读指令,以执行各种功能(例如,支持基于密钥刷新的按需网络功能重新认证的功能或任务)。
存储器825可以包括随机存取存储器(RAM)和只读存储器(ROM)。存储器825可以存储包括指令的计算机可读、计算机可执行软件830,当该指令被执行时,使处理器执行本文所描述的各种功能。在一个方面,除了其它之外,存储器825可以包含基本输入/输出系统(BIOS),BIOS可以控制基本硬件或者软件操作(例如,与外围组件或者设备的交互)。
软件830可以包括用于实现本公开内容的方面的代码,其包括支持基于密钥刷新的按需网络功能重新认证的代码。软件830可以存储在诸如系统存储器或其它存储器之类的非暂时性计算机可读介质中。在一个方面,软件830可以不由处理器直接可执行,而是可以使计算机(例如,当被编译和执行时)执行本文所描述的功能。
收发机835可以经由一个或多个天线、有线链路或无线链路进行双向通信,如上文描述的。例如,收发机835可以代表无线收发机,以及可以与另一个无线收发机进行双向通信。收发机835还可以包括调制解调器,以对分组进行调制,并且将经调制的分组提供给天线以进行传输,以及对从天线接收的分组进行解调。
在一个方面,该无线设备可以包括单一天线840。但是,在一个方面,该设备可以具有一个以上的天线840,天线840能够同时地发送或接收多个无线传输。
I/O控制器845可以管理针对设备805的输入和输出信号。I/O控制器845还可以管理没有整合到设备805中的外围设备。在一个方面,I/O控制器845可以代表至外部的外围设备的物理连接或端口。在一个方面,I/O控制器845可以使用诸如 之类的操作系统或者另一种已知的操作系统。
图9根据本公开内容的各个方面,示出了支持基于密钥刷新的按需网络功能重新认证的无线设备905的框图900。无线设备905可以是如参照图1至图4所描述的父网络节点的方面的示例。无线设备905可以包括接收机910、父网络节点网络功能管理器915和发射机920。无线设备905还可以包括处理器。这些组件中的每一个组件可以与彼此进行通信(例如,经由一个或多个总线)。
接收机910可以接收信息,诸如分组、用户数据或者与各个信息信道(例如,控制信道、数据信道、以及与基于密钥刷新的按需网络功能重新认证有关的信息等等)相关联的控制信息。可以将信息传送到该设备的其它组件。接收机910可以是参照图12所描述的收发机1235的方面的示例。
父网络节点网络功能管理器915可以是参照图12所描述的父网络节点网络功能管理器1215的方面的示例。
父网络节点网络功能管理器915可以在父网络节点处,从UE接收密钥刷新请求消息。可以基于在父网络节点与UE之间建立的安全上下文,对密钥刷新消息进行加密和/或完整性保护。在一些方面,密钥刷新过程可以由UE进行触发,但可以由网络节点进行请求。父网络节点网络功能管理器915可以基于密钥刷新请求消息,来识别具有与UE的安全上下文的网络节点。父网络节点网络功能管理器915可以获得与所识别的网络节点相关联的完整性验证信息。父网络节点网络功能管理器915可以识别要在网络节点与UE之间执行的用于建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。
发射机920可以发送由该设备的其它组件生成的信号。在一些示例中,发射机920可以与接收机910并置在收发机模块中。例如,发射机920可以是参照图12所描述的收发机1235的方面的示例。发射机920可以包括单一天线,或者也可以包括一组天线。
图10根据本公开内容的各个方面,示出了支持基于密钥刷新的按需网络功能重新认证的无线设备1005的框图1000。无线设备1005可以是如参照图1至图4和图9所描述的无线设备905或父网络节点的方面的示例。无线设备1005可以包括接收机1010、父网络节点网络功能管理器1015和发射机1020。无线设备1005还可以包括处理器。这些组件中的每一个组件可以与彼此进行通信(例如,经由一个或多个总线)。
接收机1010可以接收信息,诸如分组、用户数据或者与各个信息信道(例如,控制信道、数据信道、以及与基于密钥刷新的按需网络功能重新认证有关的信息等等)相关联的控制信息。可以将信息传送到该设备的其它组件。接收机1010可以是如参照图12所描述的收发机1235的方面的示例。
父网络节点网络功能管理器1015可以是如参照图12所描述的父网络节点网络功能管理器1215的方面的示例。
父网络节点网络功能管理器1015还可以包括密钥刷新管理器1025、网络节点管理器1030、完整性验证管理器1035和过程管理器1040。
密钥刷新管理器1025可以在父网络节点处从UE接收密钥刷新请求消息。密钥刷新管理器1025可以确定在阈值时间段期间已从该UE接收到预定数量的密钥刷新请求消息,并且基于该确定来避免发起该过程。在一些示例中,该过程可以是重新认证过程。
网络节点管理器1030可以基于密钥刷新请求消息,识别具有与UE的安全上下文的网络节点。在一个方面,父网络节点包括CP-CN功能,并且网络节点包括接入节点。在一个方面,密钥刷新请求消息包括NAS消息。在一个方面,父网络节点包括安全锚定功能,并且网络节点包括CP-CN功能。在一个方面,安全锚定功能包括CP-AU功能。在一个方面,密钥刷新请求消息包括附着请求消息,该附着请求消息包括UE标识符和在初始附着过程期间从安全锚定功能接收的密钥标识符。在一个方面,密钥标识符包括eKSI。在一个方面,附着请求消息包括与UE相关联的标识符。在一个方面,密钥刷新请求消息包括重新认证请求消息。
完整性验证管理器1035可以获得与所识别的网络节点相关联的完整性验证信息。获得完整性验证信息包括:执行在父网络节点与网络节点之间的完整性验证过程、或者从另一个网络实体接收完整性验证信息、或者其组合。在一个方面,完整性验证过程是根据预定的调度、或者基于对密钥刷新请求消息的接收、或者其组合来执行的。在一个方面,完整性验证信息是基于远程证明过程的。
过程管理器1040可以识别要在网络节点与UE之间执行的建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。
发射机1020可以发送由该设备的其它组件生成的信号。在一些示例中,发射机1020可以与接收机1010并置在收发机模块中。例如,发射机1020可以是参照图12所描述的收发机1235的方面的示例。发射机1020可以包括单一天线,或者也可以包括一组天线。
图11根据本公开内容的各个方面,示出了支持基于密钥刷新的按需网络功能重新认证的父网络节点网络功能管理器1115的框图1100。父网络节点网络功能管理器1115可以是参照图9、图10和图12所描述的父网络节点网络功能管理器1215的方面的示例。父网络节点网络功能管理器1115可以包括密钥刷新管理器1120、网络节点管理器1125、完整性验证管理器1130、过程管理器1135和用户平面分组管理器1140。这些模块中的每一个模块可以与彼此直接地或者间接地进行通信(例如,经由一个或多个总线)。
密钥刷新管理器1120可以在父网络节点处从UE接收密钥刷新请求消息。密钥刷新管理器1120可以确定在阈值时间段期间已从该UE接收到预定数量的密钥刷新请求消息,并基于该确定来避免发起该过程。
网络节点管理器1125可以基于密钥刷新请求消息,来识别具有与UE的安全上下文的网络节点。在一个方面,父网络节点包括CP-CN功能,并且网络节点包括接入节点。在一个方面,密钥刷新请求消息包括NAS消息。在一个方面,父网络节点包括安全锚定功能,并且网络节点包括CP-CN功能。在一个方面,安全锚定功能包括CP-AU功能。在一个方面,密钥刷新请求消息包括附着请求消息,该附着请求消息包括UE标识符和在初始附着过程期间从安全锚定功能接收的密钥标识符。在一个方面,密钥标识符包括eKSI。在一个方面,附着请求消息包括与UE相关联的标识符。在一个方面,密钥刷新请求消息包括重新认证请求消息。
完整性验证管理器1130可以获得与所识别的网络节点相关联的完整性验证信息。获得完整性验证信息包括:执行在父网络节点与网络节点之间的完整性验证过程、或者从另一个网络实体接收完整性验证信息、或者其组合。在一个方面,完整性验证过程是根据预定的调度、或者基于对密钥刷新请求消息的接收、或者其组合来执行的。在一个方面,完整性验证信息是基于远程证明过程的。
过程管理器1135可以识别要在网络节点与UE之间执行的建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。
用户平面分组管理器1140可以在密钥刷新过程之后预定的时间段内使用该安全上下文用于用户平面分组保护。用户平面分组管理器1140可以执行以下各项操作中的至少一项:对密钥刷新请求消息进行解密、对密钥刷新请求消息的完整性进行验证、或者其组合。
图12根据本公开内容的各个方面,示出了包括设备1205的系统1200的框图,该设备1205支持基于密钥刷新的按需网络功能重新认证。设备1205可以是如上文(例如,参照图1至图4)所描述的父网络节点的示例,或者包括该父网络节点的组件。设备1205可以包括用于双向语音和数据通信的组件,其包括用于发送和接收通信的组件,包括父网络节点网络功能管理器1215、处理器1220、存储器1225、软件1230、收发机1235和I/O控制器1240。这些组件可以经由一个或多个总线(例如,总线1210)进行电子通信。
处理器1220可以包括智能硬件设备(例如,通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或晶体管逻辑组件、分立硬件组件或者其任意组合)。在一些情况下,处理器1220可以被配置为使用存储器控制器来操作存储器阵列。在其它情况下,存储器控制器可以整合到处理器1220中。处理器1220可以被配置为执行存储在存储器中的计算机可读指令,以执行各种功能(例如,支持基于密钥刷新的按需网络功能重新认证的功能或任务)。
存储器1225可以包括RAM和ROM。存储器1225可以存储包括指令的计算机可读、计算机可执行软件1230,当该指令被执行时,使处理器执行本文所描述的各种功能。在一个方面,除了其它之外,存储器1225可以包含BIOS,BIOS可以控制基本硬件或者软件操作(例如,与外围组件或者设备的交互)。
软件1230可以包括用于实现本公开内容的方面的代码,其包括支持基于密钥刷新的按需网络功能重新认证的代码。软件1230可以存储在诸如系统存储器或其它存储器之类的非暂时性计算机可读介质中。在一个方面,软件1230可以不是由处理器直接可执行的,而是使计算机(例如,当被编译和执行时)执行本文所描述的功能。
收发机1235可以经由一个或多个天线、有线链路或无线链路进行双向通信,如上文所述。例如,收发机1235可以表示无线收发机,并且可以与另一个无线收发机进行双向通信。收发机1235还可以包括调制解调器,以对分组进行调制并且将经调制的分组提供给天线以进行传输,以及对从天线接收的分组进行解调。
I/O控制器1240可以管理针对设备1205的输入和输出信号。I/O控制器1240还可以管理没有整合到设备1205中的外围设备。在一个方面,I/O控制器1240可以表示至外部的外围设备的物理连接或端口。在一个方面,I/O控制器1240可以使用诸如 之类的操作系统或者另一种已知的操作系统。
图13根据本公开内容的各个方面,示出了用于基于密钥刷新的按需网络功能重新认证的方法1300的流程图。方法1300的操作可以由如本文所描述的UE 115或者其组件来实现。例如,方法1300的操作可以由如参照图5至图8所描述的UE网络功能管理器来执行。在一些示例中,UE 115可以执行代码集来控制该设备的功能元素,以执行下文所描述的功能。另外地或替代地,UE 115可以使用专用硬件来执行下文所描述的功能的方面。
在方块1305处,UE 115可以确定与网络节点的安全上下文已经建立了达超过阈值时间段。可以根据参照图1至图4所描述的方法,来执行方块1305的操作。在一些示例中,方块1305的操作的方面可以由如参照图5至图8所描述的安全上下文定时管理器来执行。
在方块1310处,UE 115可以至少部分地基于密钥层级,来识别与网络节点相关联的至少一个父网络节点。可以根据参照图1至图4所描述的方法,来执行方块1310的操作。在一些示例中,方块1310的操作的方面可以由如参照图5至图8所描述的网络节点管理器来执行。
在方块1315处,UE 115可以向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与网络节点之间的密钥刷新过程。可以根据参照图1至图4所描述的方法,来执行方块1315的操作。在一些示例中,方块1315的操作的方面可以由如参照图5至图8所描述的密钥刷新管理器来执行。
在方块1320处,UE 115可以至少部分地基于密钥刷新过程,执行与网络节点的用于建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。可以根据参照图1至图4所描述的方法,来执行方块1320的操作。在一些示例中,方块1320的操作的方面可以由如参照图5至图8所描述的过程管理器来执行。
图14根据本公开内容的各个方面,示出了用于基于密钥刷新的按需网络功能重新认证的方法1400的流程图。方法1400的操作可以由如本文所描述的UE 115或者其组件来实现。例如,方法1400的操作可以由如参照图5至图8所描述的UE网络功能管理器来执行。在一些示例中,UE 115可以执行代码集来控制该设备的功能元素,以执行下文所描述的功能。另外地或替代地,UE 115可以使用专用硬件来执行下文所描述的功能的方面。
在方块1405处,UE 115可以确定与网络节点的安全上下文已经建立了达超过阈值时间段。可以根据参照图1至图4所描述的方法,来执行方块1405的操作。在一些示例中,方块1405的操作的方面可以由如参照图5至图8所描述的安全上下文定时管理器来执行。
在方块1410处,UE 115可以至少部分地基于密钥层级,来识别与网络节点相关联的至少一个父网络节点。可以根据参照图1至图4所描述的方法,来执行方块1410的操作。在一些示例中,方块1410的操作的方面可以由如参照图5至图8所描述的网络节点管理器来执行。
在方块1415处,UE 115可以从该UE向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与网络节点之间的密钥刷新过程。可以根据参照图1至图4所描述的方法,来执行方块1415的操作。在一些示例中,方块1415的操作的方面可以由如参照图5至图8所描述的密钥刷新管理器来执行。
在方块1420处,UE 115可以至少部分地基于密钥刷新过程,来执行与网络节点的用于建立新的安全上下文的过程。可以根据参照图1至图4所描述的方法,来执行方块1420的操作。在一些示例中,方块1420的操作的方面可以由如参照图5至图8所描述的过程管理器来执行。
在方块1425处,UE 115可以在密钥刷新过程之后的经选择的时间段内,使用所述安全上下文用于用户平面分组保护。可以根据参照图1至图4所描述的方法,来执行方块1425的操作。在一些示例中,方块1425的操作的方面可以由如参照图5至图8所描述的用户平面分组管理器来执行。
图15根据本公开内容的各个方面,示出了用于基于密钥刷新的按需网络功能重新认证的方法1500的流程图。方法1500的操作可以由如本文所描述的父网络节点或者其组件来实现。例如,方法1500的操作可以由如参照图9至图12所描述的父网络节点网络功能管理器来执行。在一些示例中,父网络节点可以执行代码集来控制该设备的功能元素,以执行下文所描述的功能。另外地或替代地,父网络节点可以使用专用硬件来执行下文所描述的功能的方面。
在方块1505处,父网络节点可以从UE接收密钥刷新请求消息。可以根据参照图1至图4所描述的方法,来执行方块1505的操作。在一些示例中,方块1505的操作的方面可以由如参照图9至图12所描述的密钥刷新管理器来执行。
在方块1510处,父网络节点可以至少部分地基于密钥刷新请求消息,来识别具有与UE的安全上下文的网络节点。可以根据参照图1至图4所描述的方法,来执行方块1510的操作。在一些示例中,方块1510的操作的方面可以由如参照图9至图12所描述的网络节点管理器来执行。
在方块1515处,父网络节点可以获得与所识别的网络节点相关联的完整性验证信息。可以根据参照图1至图4所描述的方法来执行方块1515的操作。在一些示例中,方块1515的操作的方面可以由如参照图9至图12所描述的完整性验证管理器来执行。
在方块1520处,父网络节点可以识别要在该网络节点与UE之间执行的建立新的安全上下文的过程。在一些示例中,该过程可以是重新认证过程。可以根据参照图1至图4所描述的方法,来执行方块1520的操作。在一些示例中,方块1520的操作的方面可以由如参照图9至图12所描述的过程管理器来执行。
图16根据本公开内容的各个方面,示出了用于基于密钥刷新的按需网络功能重新认证的方法1600的流程图。方法1600的操作可以由如本文所描述的父网络节点或者其组件来实现。例如,方法1600的操作可以由如参照图9至图12所描述的父网络节点网络功能管理器来执行。在一些示例中,父网络节点可以执行一个代码集来控制该设备的功能元素,以执行下文所描述的功能。另外地或替代地,父网络节点可以使用专用硬件来执行下文所描述的功能的方面。
在方块1605处,父网络节点可以从UE接收密钥刷新请求消息。可以根据参照图1至图4所描述的方法,来执行方块1605的操作。在一些示例中,方块1605的操作的方面可以由如参照图9至图12所描述的密钥刷新管理器来执行。
在方块1610处,父网络节点可以至少部分地基于密钥刷新请求消息,来识别具有与UE的安全上下文的网络节点。可以根据参照图1至图4所描述的方法,来执行方块1610的操作。在一些示例中,方块1610的操作的方面可以由如参照图9至图12所描述的网络节点管理器来执行。
在方块1615处,父网络节点可以获得与所识别的网络节点相关联的完整性验证信息。可以根据参照图1至图4所描述的方法,来执行方块1615的操作。在一些示例中,方块1615的操作的方面可以由如参照图9至图12所描述的完整性验证管理器来执行。
例如,父网络节点可以通过以下操作来获得完整性验证信息:执行在父网络节点与网络节点之间的完整性验证过程、或者从另一个网络实体接收完整性验证信息、或者其组合。其可以根据参照图1至图4所描述的方法来执行。在一些示例中,该方面可以由如参照图9至图12所描述的完整性验证管理器来执行。
在方块1620处,父网络节点可以识别要在该网络节点与UE之间执行的建立新的安全上下文的过程。可以根据参照图1至图4所描述的方法,来执行方块1620的操作。在一些示例中,方块1620的操作的方面可以由如参照图9至图12所描述的过程管理器来执行。
图17根据本公开内容的各个方面,示出了用于基于密钥刷新的按需网络功能重新认证的方法1700的流程图。方法1700的操作可以由如本文所描述的网络节点或者其组件来实现。例如,方法1700的操作可以由如参照图2所描述的网络节点210来执行。在一些示例中,网络节点可以使用专用硬件来执行下文所描述的功能的方面。
在方块1705处,网络节点可以从父网络节点接收针对完整性验证信息的请求。可以根据参照图1至图4所描述的方法,来执行方块1705的操作。
在一些示例中,针对完整性验证信息的请求可以被接收作为父网络节点与该网络节点之间的完整性验证过程的一部分。
在方块1710处,网络节点可以向父网络节点发送完整性验证信息。可以根据参照图1至图4所描述的方法,来执行方块1710的操作。
在方块1715处,网络节点可以从父网络节点接收对要在该网络节点与UE之间执行的过程的指示。可以根据参照图1至图4所描述的方法,来执行方块1715的操作。
应当注意的是,上文所描述的方法描述了可能的实现方式,并且可以对操作进行重新排列或者修改,并且其它实现方式也是可能的。此外,可以对来自方法中的两个或更多方法的方面进行组合。
本文所描述的技术可以用于各种无线通信系统,比如,码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)、单载波频分多址(SC-FDMA)和其它系统。术语“系统”和“网络”通常可互换地使用。CDMA系统可以实现诸如CDMA 2000、通用陆地无线接入(UTRA)等等之类的无线技术。CDMA2000覆盖IS-2000、IS-95和IS-856标准。IS-2000发布版通常称为CDMA 2000 1X、1X等等。IS-856(TIA-856)通常称为CDMA 2000 1xEV-DO、高速分组数据(HRPD)等等。UTRA包括宽带CDMA(WCDMA)和其它CDMA的变形。TDMA系统可以实现诸如全球移动通信系统(GSM)之类的无线技术。
OFDMA系统可以实现诸如超移动宽带(UMB)、演进的UTRA(E-UTRA)、电气和电子工程师协会(IEEE)802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDM等等之类的无线技术。UTRA和E-UTRA是通用移动通信系统(UMTS)的一部分。3GPP LTE和LTE-A是通用移动通信系统(UMTS)的采用E-UTRA的版本。在来自名为“第三代合作伙伴计划”(3GPP)的组织的文档中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A和全球移动通信系统(GSM)。在来自名为“第三代合作伙伴计划2”(3GPP2)的组织的文档中描述了CDMA2000和UMB。本文所描述的技术可以用于上文所提及的系统和无线技术以及其它系统和无线技术。虽然可能为了举例目的描述了LTE系统的方面,并可能在大部分的描述中使用LTE术语,但本文所描述的技术也可适用于LTE应用之外。
在LTE/LTE-A网络中(包括本文所描述的这样的网络)可以使用例如术语eNB来描述基站。本文所描述的无线通信系统可以包括异构的LTE/LTE-A网络,在该网络中,不同类型的eNB提供各种地理区域的覆盖。例如,每个eNB或者基站可以为宏小区、小型小区或其它类型的小区提供通信覆盖。根据上下文,术语“小区”可以用于描述基站、与基站相关联的载波或分量载波、或者载波或基站的覆盖区域(例如,扇区等等)。
基站可以包括或者被本领域普通技术人员称为基站收发机、无线基站、接入点、无线收发机、节点B、eNB、家庭节点B、家庭eNodeB或者某种其它适当的术语。可以将基站的地理覆盖区域划分成构成该覆盖区域的一部分的一些扇区。本文所描述的无线通信系统或者一些系统可以包括不同类型的基站(例如,宏基站或小型小区基站)。本文所描述的UE能够与包括宏eNB、小型小区eNB、中继基站等等的各种类型的基站和网络设备进行通信。不同的技术可以存在重叠的地理覆盖区域。
宏小区例如覆盖相对较大的地理区域(例如,半径若干千米),其允许具有与网络提供商的服务订阅的UE不受限制地接入。与宏小区相比,小型小区是较低功率基站,小型小区可以在与宏小区相同或者不同的(例如,许可的、免许可的等等)频带中进行操作。根据各种示例,小型小区可以包括微微小区、毫微微小区和微小区。例如,微微小区可以覆盖较小的地理区域,并且允许具有与网络提供商的服务订阅的UE不受限制地接入。另外地或替代地,毫微微小区可以覆盖小的地理区域(例如,家庭),并且可以向具有与该毫微微小区的关联的UE(例如,闭合用户群(CSG)中的UE、用于家庭中的用户的UE等等)提供受限制的接入。用于宏小区的eNB可以称为宏eNB。用于小型小区的eNB可以称为小型小区eNB、微微eNB、毫微微eNB或家庭eNB。eNB可以支持一个或多个(例如,两个、三个、四个等等)小区(分量载波)。UE能够与包括宏eNB、小型小区eNB、中继基站等等的各种类型的基站和网络设备进行通信。
本文所描述的无线通信系统或者一些系统可以支持同步或异步操作。对于同步操作而言,基站可以具有类似的帧时序,来自不同基站的传输在时间上近似地对齐。对于异步操作而言,基站可以具有不同的帧时序,来自不同基站的传输在时间上不对齐。本文所描述的技术可以用于同步操作,也可以用于异步操作。
本文所描述的下行链路传输可以另外地或替代地称为前向链路传输,而上行链路传输可以另外地或替代地称为反向链路传输。本文所描述的每个通信链路(例如,包括图1的无线通信系统100)可以包括一个或多个载波,其中每一个载波可以是由多个子载波构成的信号(例如,不同频率的波形信号)。
本文结合附图阐述的具体实施方式描述了示例,但其并不代表可以实现的所有示例,也不代表落入权利要求书的保护范围之内的所有示例。如本文所使用的“示例性”一词意味着“用作示例、例证或说明”,但并不意味着“更优选”或“比其它示例更具优势”。为了提供对所描述技术的透彻理解,具体实施方式包括特定细节。但是,可以在没有这些特定细节的情况下实践这些技术。在一些实例中,为了避免对所描述的示例的概念造成模糊,以框图形式示出了公知的结构和设备。
在附图中,类似的组件或特征可以具有相同的附图标记。此外,相同类型的各个组件可以通过在附图标记之后加上虚线以及用于区分相似组件的第二标记来进行区分。如果在说明书中仅使用了第一附图标记,则该描述可适用于具有相同的第一附图标记的任何一个类似组件,而不管第二附图标记。
本文所描述的信息和信号可以使用多种不同的技术和方法中的任意一种来表示。例如,在贯穿上文的描述中提及的数据、指令、命令、信息、信号、比特、符号和码片可以用电压、电流、电磁波、磁场或粒子、光场或粒子或者其任意组合来表示。
利用被设计为执行本文所述功能的通用处理器、DSP、ASIC、FPGA或其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意组合,可以实现或执行结合本文所公开内容描述的各种说明性的框和模块。通用处理器可以是微处理器,或者,该处理器也可以是任何常规的处理器、控制器、微控制器或者状态机。处理器也可以实现为计算设备的组合(例如,DSP和微处理器的组合、若干微处理器、微处理器与DSP内核的结合,或者任何其它此种示例)。
本文所述功能可以用硬件、处理器执行的软件、固件或者其任意组合的方式来实现。当用处理器执行的软件实现时,可以将这些功能存储在计算机可读介质上,或者作为计算机可读介质上的一个或多个指令或代码进行传输。其它示例和实现也落入本公开内容及其所附权利要求书的保护范围和精神之内。例如,由于软件的本质,上文所描述的功能可以使用由处理器执行的软件、硬件、固件、硬件连线或者其任意组合来实现。用于实现功能的特征可以物理地分布在多个位置,其包括分布以使得在不同的物理位置实现功能的各部分。如本文(其包括权利要求书)所使用的,当在两个或更多项的列表中使用术语“和/或”时,其意味着可以单独使用所列出的项中的任何一个,或者可以使用所列出的项中的两个或更多项的任意组合。例如,如果将一个复合体被描述成包含组件A、B和/或C,则该复合体可以只包含A;只包含B;只包含C;A和B的组合;A和C的组合;B和C的组合;或者A、B和C的组合。此外,如本文(其包括权利要求书)所使用的,如条目列表(例如,以“中的至少一个”或“中的一个或多个”为结束的条目列表)中所使用的“或”指示包含的列表,使得例如指代条目列表“中的至少一个”的短语指代这些项的任意组合(其包括单一成员)。举例而言,“A、B或C中的至少一个”旨在覆盖A、B、C、A-B、A-C、B-C和A-B-C,以及具有多个相同成员的任意组合(例如,A-A、A-A-A、A-A-B、A-A-C、A-B-B、A-C-C、B-B、B-B-B、B-B-C、C-C、以及C-C-C或者A、B和C的任何其它排序)。如本文所使用的,短语“基于”不应被解释为引用一个闭合的条件集。例如,被描述成“基于条件A”的示例性步骤可以是基于条件A和条件B二者而不脱离本公开内容的保护范围。换言之,如本文所使用的,应当按照与短语“至少部分地基于”相同的方式来解释短语“基于”。
计算机可读介质包括非暂时性计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。非暂时性存储介质可以是通用或专用计算机能够存取的任何可用介质。举例而言,但非做出限制,非暂时性计算机可读介质可以包括RAM、ROM、电可擦除可编程只读存储器(EEPROM)、压缩光盘(CD)ROM或其它光盘存储器、磁盘存储器或其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码单元并能够由通用或专用计算机、或者通用或专用处理器进行存取的任何其它非暂时性介质。另外地或替代地,可以将任何连接适当地称作计算机可读介质。举例而言,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线路(DSL)或者诸如红外线、无线和微波之类的无线技术,从网站、服务器或其它远程源传输的,那么所述同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所述介质的定义中。如本文所使用的,磁盘和光盘包括CD、激光光盘、光盘、数字通用光盘(DVD)、软盘和蓝光光盘,其中磁盘通常磁性地复制数据,而光盘则用激光来光学地复制数据。上述的组合也应当包括在计算机可读介质的保护范围之内。
为使本领域技术人员能够实现或者使用本公开内容,提供了本文的描述。对于本领域技术人员来说,对本公开内容进行各种修改将是显而易见的,并且,本文定义的总体原理也可以在不脱离本公开内容的保护范围的情况下适用于其它变型。因此,本公开内容并不限于本文所描述的示例和设计,而是符合与本文公开的原理和新颖性特征相一致的最广范围。
Claims (30)
1.一种用于由用户设备(UE)执行的无线通信的方法,包括:
建立与网络节点的连接;
确定与同所述网络节点的所述连接相关联的安全上下文已经被建立了超过阈值时间段;
至少部分地基于密钥层级,来识别与所述网络节点相关联的至少一个父网络节点;
从所述UE向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与所述网络节点之间的密钥刷新过程;以及
至少部分地基于所述密钥刷新过程,执行与所述网络节点的、用于建立用于所述连接的新的安全上下文的过程。
2.根据权利要求1所述的方法,其中,
所述父网络节点包括控制平面核心网(CP-CN)功能,并且所述网络节点包括接入节点(AN)。
3.根据权利要求2所述的方法,其中,
所述密钥刷新请求消息包括网络接入层(NAS)消息。
4.根据权利要求1所述的方法,其中,
所述父网络节点包括安全锚定功能,并且所述网络节点包括控制平面核心网(CP-CN)功能。
5.根据权利要求4所述的方法,其中,
所述安全锚定功能包括控制平面认证(CP-AU)功能。
6.根据权利要求4所述的方法,其中,
所述密钥刷新请求消息包括附着请求消息。
7.根据权利要求6所述的方法,其中,
所述附着请求消息包括与所述UE相关联的标识符。
8.根据权利要求4所述的方法,其中,
所述密钥刷新请求消息包括认证请求消息。
9.根据权利要求4所述的方法,其中,
所述密钥刷新请求消息包括可扩展认证协议(EAP)重新认证消息。
10.根据权利要求1所述的方法,还包括:
在所述密钥刷新过程之后的预定时间段内,使用安全上下文用于用户平面分组保护。
11.根据权利要求1所述的方法,还包括:
执行以下各项操作中的至少一项:对所述密钥刷新请求消息进行加密、对所述密钥刷新请求消息进行完整性保护、或者其组合。
12.一种用于由父网络节点执行的无线通信的方法,包括:
从用户设备(UE)接收密钥刷新请求消息;
至少部分地基于所述密钥刷新请求消息,来识别具有与所述UE的安全上下文的网络节点;
获得与所识别的网络节点相关联的完整性验证信息;以及
至少部分地基于获得与所识别的网络节点相关联的完整性验证信息,执行密钥刷新过程;
至少部分地基于执行所述密钥刷新过程,识别要在所述网络节点与所述UE之间执行的用于建立新的安全上下文的重新认证过程以用于所述网络节点与所述UE之间的建立的连接。
13.根据权利要求12所述的方法,其中,
获得所述完整性验证信息包括:执行在所述父网络节点与所述网络节点之间的完整性验证过程、或者从另一个网络实体接收所述完整性验证信息、或者其组合。
14.根据权利要求13所述的方法,其中,
所述完整性验证过程是根据预定的调度、或者至少部分地基于对所述密钥刷新请求消息的接收、或者其组合来执行的。
15.根据权利要求12所述的方法,还包括:
确定在阈值时间段期间已经从所述UE接收到预定数量的密钥刷新请求消息;以及
至少部分地基于所述确定,来避免发起所述重新验证过程。
16.根据权利要求12所述的方法,其中,
所述完整性验证信息是至少部分地基于远程证明过程的。
17.根据权利要求12所述的方法,其中,
所述父网络节点包括控制平面核心网(CP-CN)功能,并且所述网络节点包括接入节点(AN)。
18.根据权利要求17所述的方法,其中,
所述密钥刷新请求消息包括网络接入层(NAS)消息。
19.根据权利要求12所述的方法,其中,
所述父网络节点包括安全锚定功能,并且所述网络节点包括控制平面核心网(CP-CN)功能。
20.根据权利要求19所述的方法,其中,
所述安全锚定功能包括控制平面认证(CP-AU)功能。
21.根据权利要求19所述的方法,其中,
所述密钥刷新请求消息包括附着请求消息,所述附着请求消息包括UE标识符和在初始附着过程期间从所述安全锚定功能接收的密钥标识符。
22.根据权利要求21所述的方法,其中,
所述密钥标识符包括演进的密钥集标识符(eKSI)。
23.根据权利要求21所述的方法,其中,
所述附着请求消息包括与所述UE相关联的标识符。
24.根据权利要求19所述的方法,其中,
所述密钥刷新请求消息包括认证请求消息。
25.根据权利要求12所述的方法,还包括:
在先前的密钥刷新过程之后的预定时间段内,使用安全上下文用于用户平面分组保护。
26.根据权利要求12所述的方法,还包括:
执行以下各项操作中的至少一项:对所述密钥刷新请求消息进行解密、对所述密钥刷新请求消息的所述完整性进行验证、或者其组合。
27.一种在系统中用于无线通信的用户设备(UE),包括:
用于建立与网络节点的连接的单元;
用于确定与同所述网络节点的所述连接相关联的安全上下文已经被建立了超过阈值时间段的单元;
用于至少部分地基于密钥层级,来识别与所述网络节点相关联的至少一个父网络节点的单元;
用于向所识别的父网络节点发送密钥刷新请求消息,以触发在所识别的父网络节点与所述网络节点之间的密钥刷新过程的单元;以及
用于至少部分地基于所述密钥刷新过程,执行与所述网络节点的、用于建立用于所述连接的新的安全上下文的过程的单元。
28.根据权利要求27所述的UE,其中,
所述父网络节点包括控制平面核心网(CP-CN)功能,并且所述网络节点包括接入节点(AN)。
29.一种在系统中用于无线通信的父网络节点,包括:
用于从用户设备(UE)接收密钥刷新请求消息的单元;
用于至少部分地基于所述密钥刷新请求消息,来识别具有与所述UE的安全上下文的网络节点的单元;
用于获得与所识别的网络节点相关联的完整性验证信息的单元;以及
用于至少部分地基于获得与所识别的网络节点相关联的完整性验证信息,执行密钥刷新过程的单元;
用于至少部分地基于执行所述密钥刷新过程,识别要在所述网络节点与所述UE之间执行的用于建立新的安全上下文的重新认证过程以用于所述网络节点与所述UE之间的建立的连接的单元。
30.根据权利要求29所述的父网络节点,还包括:
用于获得所述完整性验证信息的单元包括:执行在所述父网络节点与所述网络节点之间的完整性验证过程、或者从另一个网络实体接收所述完整性验证信息、或者其组合。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662395901P | 2016-09-16 | 2016-09-16 | |
US62/395,901 | 2016-09-16 | ||
US15/485,976 | 2017-04-12 | ||
US15/485,976 US10313878B2 (en) | 2016-09-16 | 2017-04-12 | On-demand network function re-authentication based on key refresh |
PCT/US2017/047052 WO2018052623A1 (en) | 2016-09-16 | 2017-08-16 | On-demand network function re-authentication based on key refresh |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109691154A CN109691154A (zh) | 2019-04-26 |
CN109691154B true CN109691154B (zh) | 2022-02-22 |
Family
ID=60120120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780055914.XA Active CN109691154B (zh) | 2016-09-16 | 2017-08-16 | 基于密钥刷新的按需网络功能重新认证 |
Country Status (6)
Country | Link |
---|---|
US (2) | US10313878B2 (zh) |
EP (1) | EP3513585A1 (zh) |
CN (1) | CN109691154B (zh) |
AU (1) | AU2017328028A1 (zh) |
BR (1) | BR112019004671A2 (zh) |
WO (1) | WO2018052623A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10419116B2 (en) * | 2016-06-17 | 2019-09-17 | Finisar Corporation | Transceiver to transceiver digital optical commands |
US10313878B2 (en) | 2016-09-16 | 2019-06-04 | Qualcomm Incorporated | On-demand network function re-authentication based on key refresh |
CN108566276A (zh) * | 2018-04-24 | 2018-09-21 | 广州杰赛科技股份有限公司 | 密钥更新方法和装置、便携式智能设备 |
CN111866044A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 数据采集方法、装置、设备及计算机可读存储介质 |
CN112087297B (zh) * | 2019-06-14 | 2022-05-24 | 华为技术有限公司 | 一种获取安全上下文的方法、系统及设备 |
KR20230047837A (ko) * | 2021-10-01 | 2023-04-10 | 삼성전자주식회사 | 통신 시스템에서 사용자 평면 보안을 위한 방법, 장치 및 시스템 |
WO2023224915A1 (en) * | 2022-05-16 | 2023-11-23 | Intel Corporation | Security for distributed non-access stratum protocol in a mobile system |
CN115022032A (zh) * | 2022-05-31 | 2022-09-06 | 中国电信股份有限公司 | 通信方法、安全边缘保护代理和通信系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102132541A (zh) * | 2008-08-27 | 2011-07-20 | 高通股份有限公司 | 用于用户设备向无线网络注册的完整性保护及/或加密 |
WO2012128876A1 (en) * | 2011-03-24 | 2012-09-27 | Alcatel Lucent | A flexible system and method to manage digital certificates in a wireless network |
CN103051641A (zh) * | 2013-01-17 | 2013-04-17 | 中国银行股份有限公司 | 多客户端密钥更新方法和系统及信息安全传输方法 |
CN104270350A (zh) * | 2014-09-19 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种密钥信息的传输方法和设备 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2356530B (en) | 1999-11-18 | 2004-04-07 | Vodafone Ltd | User authentication in a mobile communications network |
US7835528B2 (en) * | 2005-09-26 | 2010-11-16 | Nokia Corporation | Method and apparatus for refreshing keys within a bootstrapping architecture |
US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
US20080178269A1 (en) * | 2007-01-23 | 2008-07-24 | Samsung Electronics Co., Ltd. | Apparatus and method for providing service authentication information in a communication system |
US8855099B2 (en) * | 2007-03-19 | 2014-10-07 | Qualcomm Incorporated | Selective phase connection establishment |
US20100293379A1 (en) * | 2007-05-31 | 2010-11-18 | Beijing Transpacific Ip Technology Development Ltd | method for secure data transmission in wireless sensor network |
US8763102B2 (en) * | 2008-09-19 | 2014-06-24 | Hewlett-Packard Development Company, L.P. | Single sign on infrastructure |
KR101475349B1 (ko) * | 2008-11-03 | 2014-12-23 | 삼성전자주식회사 | 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 |
US8611306B2 (en) * | 2009-01-12 | 2013-12-17 | Qualcomm Incorporated | Context fetching after inter-system handover |
US8638751B2 (en) * | 2009-10-23 | 2014-01-28 | Intel Corporation | Coverage loss recovery in a wireless communication network |
KR20110048974A (ko) * | 2009-11-04 | 2011-05-12 | 삼성전자주식회사 | 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법 |
CN102594555B (zh) * | 2011-01-17 | 2015-04-29 | 华为技术有限公司 | 数据的安全保护方法、网络侧实体和通信终端 |
US9407616B2 (en) * | 2011-04-27 | 2016-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Authenticating a device in a network |
US9009315B2 (en) * | 2011-07-28 | 2015-04-14 | Telefonaktiebolaget L M Ericsson (Publ) | Hierarchical delegation and reservation of lookup keys |
US9655012B2 (en) * | 2012-12-21 | 2017-05-16 | Qualcomm Incorporated | Deriving a WLAN security context from a WWAN security context |
CN105103578A (zh) * | 2013-04-05 | 2015-11-25 | 交互数字专利控股公司 | 安全端对端和组通信 |
US9338136B2 (en) * | 2013-12-05 | 2016-05-10 | Alcatel Lucent | Security key generation for simultaneous multiple cell connections for mobile device |
US9998449B2 (en) | 2014-09-26 | 2018-06-12 | Qualcomm Incorporated | On-demand serving network authentication |
US9843446B2 (en) * | 2014-10-14 | 2017-12-12 | Dropbox, Inc. | System and method for rotating client security keys |
EP3386241B1 (en) * | 2015-12-31 | 2022-09-28 | Huawei Technologies Co., Ltd. | Communication method and device |
US10313878B2 (en) | 2016-09-16 | 2019-06-04 | Qualcomm Incorporated | On-demand network function re-authentication based on key refresh |
-
2017
- 2017-04-12 US US15/485,976 patent/US10313878B2/en active Active
- 2017-08-16 AU AU2017328028A patent/AU2017328028A1/en not_active Abandoned
- 2017-08-16 EP EP17785059.1A patent/EP3513585A1/en active Pending
- 2017-08-16 CN CN201780055914.XA patent/CN109691154B/zh active Active
- 2017-08-16 BR BR112019004671A patent/BR112019004671A2/pt unknown
- 2017-08-16 WO PCT/US2017/047052 patent/WO2018052623A1/en unknown
-
2019
- 2019-03-27 US US16/366,335 patent/US10708773B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102132541A (zh) * | 2008-08-27 | 2011-07-20 | 高通股份有限公司 | 用于用户设备向无线网络注册的完整性保护及/或加密 |
WO2012128876A1 (en) * | 2011-03-24 | 2012-09-27 | Alcatel Lucent | A flexible system and method to manage digital certificates in a wireless network |
CN103051641A (zh) * | 2013-01-17 | 2013-04-17 | 中国银行股份有限公司 | 多客户端密钥更新方法和系统及信息安全传输方法 |
CN104270350A (zh) * | 2014-09-19 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种密钥信息的传输方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
US10313878B2 (en) | 2019-06-04 |
US20190223015A1 (en) | 2019-07-18 |
AU2017328028A1 (en) | 2019-02-28 |
CN109691154A (zh) | 2019-04-26 |
US20180084413A1 (en) | 2018-03-22 |
WO2018052623A1 (en) | 2018-03-22 |
BR112019004671A2 (pt) | 2019-05-28 |
US10708773B2 (en) | 2020-07-07 |
EP3513585A1 (en) | 2019-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10674360B2 (en) | Enhanced non-access stratum security | |
CN109691154B (zh) | 基于密钥刷新的按需网络功能重新认证 | |
US11039372B2 (en) | Non-access stratum transport for non-mobility management messages | |
US10638388B2 (en) | Techniques for fast transition of a connection between a wireless device and a local area network, from a source access node to a target access node | |
US20180270888A1 (en) | User plane relocation techniques in wireless communication systems | |
US20180227302A1 (en) | Session management authorization token | |
US9204296B2 (en) | Apparatus and methods for key generation | |
EP3485693B1 (en) | Method and apparatus for authentication with privacy identity | |
WO2015047856A1 (en) | Network based provisioning of ue credentials for non-operator wireless deployments | |
US10582389B2 (en) | Secured paging | |
US10757754B2 (en) | Techniques for securing PDCP control PDU | |
US10135795B2 (en) | Downlink control channel encryption for jamming resilience | |
EP2790377B1 (en) | Apparatus and methods for key generation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |