CN110870350B - 用于切换的安全密钥推导 - Google Patents
用于切换的安全密钥推导 Download PDFInfo
- Publication number
- CN110870350B CN110870350B CN201880046056.7A CN201880046056A CN110870350B CN 110870350 B CN110870350 B CN 110870350B CN 201880046056 A CN201880046056 A CN 201880046056A CN 110870350 B CN110870350 B CN 110870350B
- Authority
- CN
- China
- Prior art keywords
- key
- amf
- freshness parameter
- base station
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000009795 derivation Methods 0.000 title abstract description 97
- 238000000034 method Methods 0.000 claims abstract description 241
- 238000004891 communication Methods 0.000 claims abstract description 145
- 230000006870 function Effects 0.000 claims description 66
- 230000011664 signaling Effects 0.000 claims description 20
- 230000004044 response Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 description 29
- 230000008569 process Effects 0.000 description 29
- 238000010586 diagram Methods 0.000 description 24
- 238000005516 engineering process Methods 0.000 description 19
- 238000001228 spectrum Methods 0.000 description 18
- 239000000969 carrier Substances 0.000 description 12
- 238000003491 array Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 7
- 230000002093 peripheral effect Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000000926 separation method Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 125000004122 cyclic group Chemical group 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 208000000649 small cell carcinoma Diseases 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 208000037918 transfusion-transmitted disease Diseases 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/04—Switchboards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0072—Transmission or use of information for re-establishing the radio link of resource information of target access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0083—Determination of parameters used for hand-off, e.g. generation or modification of neighbour cell lists
- H04W36/00837—Determination of triggering parameters for hand-off
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/32—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Lock And Its Accessories (AREA)
- Slot Machines And Peripheral Devices (AREA)
- Burglar Alarm Systems (AREA)
Abstract
本发明描述支持用于切换的安全密钥推导的用于无线通信的方法、系统及装置。网络实体(例如,接入与移动性功能AMF)可建立接入层AS密钥,以确保用户设备UE与基站之间的安全通信。如果所述UE重定位到新的网络实体(例如,目标网络实体),则所述初始网络实体(例如,源网络实体)可执行到所述目标网络实体的切换程序。在一些方面中,所述网络实体可导出用于所述切换程序的统一AS密钥。另外,所述网络实体可利用部分地从用于所述切换程序的相应新鲜性参数导出的一或多个中间密钥(例如,经刷新的中间密钥)。所述目标网络实体接着可利用所述导出的中间密钥,以导出用于所述切换程序的所述AS密钥并与所述UE建立通信。
Description
交叉引用
本专利申请案主张由李等人在2017年7月28日申请的标题为“用于切换的安全密钥推导(Security Key Derivation for Handover)”的美国临时专利申请案第62/538,626号;及由李等人在2018年7月13日申请的标题为“用于切换的安全密钥推导”的美国专利申请案第16/035,239号的权益;所述申请案各自让渡给本受让人。
背景技术
下文大体上涉及无线通信,且更具体地说涉及用于切换的安全密钥推导。
广泛部署无线通信系统以提供各种类型的通信内容,例如话音、视频、包数据、消息接发、广播等。这些系统可能能够通过共享可用的系统资源(例如,时间、频率及功率)来支持与多个用户通信。此类多址接入系统的实例包含例如长期演进(LTE)系统或LTE-高级(LTE-A)系统的第四代(4G)系统,及可被称为新无线电(NR)系统的第五代(5G)系统。这些系统可采用例如码分多址接入(CDMA)、时分多址接入(TDMA)、频分多址接入(FDMA)、正交频分多址接入(OFDMA)或离散傅里叶变换扩展OFDM(DFT-S-OFDM)的技术。无线多址接入通信系统可包含各自同时支持多个通信装置的通信的数个基站或网络接入节点,所述通信装置也可被称为用户设备(UE)。
在一些无线通信系统中,网络实体(例如,移动性管理实体(MME))可利用一或多个安全密钥以促进跨越网络(例如,在UE与基站之间)的安全通信。安全密钥可从数个参数或密钥推导函数(KDF)导出。在一些情况下,网络可使用不同于后续安全密钥的方法或参数导出初始安全密钥,这可带来复杂且链状的密钥推导。此外,由于要在目标网络实体与其它网络实体之间传信安全密钥参数,在目标网络实体处推导安全密钥会延迟切换程序。
发明内容
所描述的技术涉及支持用于切换的安全密钥推导的经改进方法、系统、装置或设备。所描述的技术能实现网络实体(例如,接入与移动性功能(AMF))识别用户设备(UE)从源网络实体(例如,源AMF)切换到目标网络实体(例如,目标AMF)的切换触发消息。在切换过程之前或期间,源AMF可生成用于目标AMF的中间密钥。中间密钥可是基于新鲜性参数而生成且可被发射到目标AMF。目标AMF可利用中间密钥及第二新鲜性参数,以在目标AMF处生成基站基础密钥。
描述一种无线通信的方法。所述方法可包含:识别触发从源网络实体到目标网络实体的切换的切换触发消息,至少部分地基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥,及将经刷新的中间密钥发射到目标网络实体。
描述一种用于无线通信的设备。所述设备可包含:用于识别触发从源网络实体到目标网络实体的切换的切换触发消息的装置,用于至少部分地基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥的装置,及用于将经刷新的中间密钥发射到目标网络实体的装置。
描述用于无线通信的另一设备。所述设备可包含处理器、与处理器电子通信的存储器及存储在存储器中的指令。所述指令可操作以致使处理器:识别触发从源网络实体到目标网络实体的切换的切换触发消息,至少部分地基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥,及将经刷新的中间密钥发射到目标网络实体。
描述一种用于无线通信的非暂时性计算机可读媒体。所述非暂时性计算机可读媒体可包含可操作以致使处理器进行以下操作的指令:识别触发从源网络实体到目标网络实体的切换的切换触发消息,至少部分地基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥,及将经刷新的中间密钥发射到目标网络实体。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于网络实体基础密钥生成中间密钥的过程、特征、装置或指令,其中中间密钥可不同于经刷新的中间密钥。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于生成可是至少部分地基于中间密钥及第二新鲜性参数的源基站基础密钥的过程、特征、装置或指令。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于将源基站基础密钥发射到源基站的过程、特征、装置或指令。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于第二新鲜性参数生成经刷新的源基站基础密钥的过程、特征、装置或指令。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,第二新鲜性参数包括用于刷新源基站基础密钥的保留计数器。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于网络实体基础密钥,生成用于非接入层(NAS)传信的加密密钥及用于NAS传信的完整性密钥的过程、特征、装置或指令。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,第一新鲜性参数包括上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,经刷新的中间密钥包括目标网络实体的网络实体基础密钥。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,目标网络实体的网络实体基础密钥可被配置成专门用于生成目标基站基础密钥。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,源网络实体包括源AMF且目标网络实体包括目标AMF。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,经刷新的中间密钥可被配置成专门用于生成目标基站基础密钥。
描述一种无线通信的方法。所述方法可包含:识别触发从源网络实体到目标网络实体的切换的切换触发消息;从源网络实体接收经刷新的中间密钥,其中经刷新的中间密钥是至少部分地基于第一新鲜性参数且其被配置成专门用于生成目标基站基础密钥;及至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。
描述一种用于无线通信的设备。所述设备可包含:用于识别触发从源网络实体到目标网络实体的切换的切换触发消息的装置;用于从源网络实体接收经刷新的中间密钥的装置,其中经刷新的中间密钥是至少部分地基于第一新鲜性参数且其被配置成专门用于生成目标基站基础密钥;及用于至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥的装置。
描述用于无线通信的另一设备。所述设备可包含处理器、与处理器电子通信的存储器及存储在存储器中的指令。所述指令可操作以致使处理器:识别触发从源网络实体到目标网络实体的切换的切换触发消息;从源网络实体接收经刷新的中间密钥,其中经刷新的中间密钥是至少部分地基于第一新鲜性参数且其被配置成专门用于生成目标基站基础密钥;及至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。
描述一种用于无线通信的非暂时性计算机可读媒体。所述非暂时性计算机可读媒体可包含可操作以致使处理器进行以下操作的指令:识别触发从源网络实体到目标网络实体的切换的切换触发消息;从源网络实体接收经刷新的中间密钥,其中经刷新的中间密钥是至少部分地基于第一新鲜性参数且其被配置成专门用于生成目标基站基础密钥;及至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,经刷新的中间密钥可不同于在源网络实体处使用的中间密钥。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,经刷新的中间密钥包括网络实体基础密钥的链状密钥。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于中间密钥及第三新鲜性参数生成目标基站基础密钥的过程、特征、装置或指令。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,第三新鲜性参数包括用于刷新目标基站基础密钥的保留计数器。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,源网络实体包括源AMF且目标网络实体包括目标AMF。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,第一新鲜性参数包括上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,第二新鲜性参数包括用于刷新目标基站基础密钥的保留计数器。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于将目标基站基础密钥发射到目标基站的过程、特征、装置或指令。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于在切换可完成之后接收经刷新的网络实体基础密钥的过程、特征、装置或指令。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于经刷新的网络实体基础密钥,生成用于NAS传信的加密密钥及用于NAS传信的完整性密钥的过程、特征、装置或指令。
描述一种无线通信的方法。所述方法可包含:从源网络实体接收触发到目标网络实体的切换的切换命令消息,接收第一新鲜性参数的指示,及至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
描述一种用于无线通信的设备。所述设备可包含:用于从源网络实体接收触发到目标网络实体的切换的切换命令消息的装置,用于接收第一新鲜性参数的指示的装置,及用于至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥的装置,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
描述用于无线通信的另一设备。所述设备可包含处理器、与处理器电子通信的存储器及存储在存储器中的指令。所述指令可操作以致使处理器:从源网络实体接收触发到目标网络实体的切换的切换命令消息,接收第一新鲜性参数的指示,及至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
描述一种用于无线通信的非暂时性计算机可读媒体。所述非暂时性计算机可读媒体可包含可操作以致使处理器进行以下操作的指令:从源网络实体接收触发到目标网络实体的切换的切换命令消息,接收第一新鲜性参数的指示,及至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于接收第二新鲜性参数的指示的过程、特征、装置或指令。上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥的过程、特征、装置或指令。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于接收经更新的第二新鲜性参数的指示的过程、特征、装置或指令。上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于经更新的第二新鲜性参数刷新目标基站基础密钥的过程、特征、装置或指令。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于接收经更新的经刷新中间密钥的指示的过程、特征、装置或指令。上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于经更新的经刷新中间密钥刷新目标基站基础密钥的过程、特征、装置或指令。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于接收经更新的第一新鲜性参数的指示的过程、特征、装置或指令。上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于经更新的第一新鲜性参数刷新目标基站基础密钥的过程、特征、装置或指令。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于目标基站基础密钥与目标基站通信的过程、特征、装置或指令。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,第二新鲜性参数包括用于刷新目标基站基础密钥的保留计数器。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于至少部分地基于网络实体基础密钥生成中间密钥的过程、特征、装置或指令,其中中间密钥可不同于经刷新的中间密钥。
上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例可进一步包含用于接收经刷新的中间密钥可被配置成专门用于生成目标基站基础密钥的指示的过程、特征、装置或指令。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,第一新鲜性参数包括上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。
在上文所描述的方法、设备及非暂时性计算机可读媒体的一些实例中,源网络实体包括源AMF且目标网络实体包括目标AMF。
附图说明
图1说明根据本公开的方面的支持用于切换的安全密钥推导的无线通信系统的实例。
图2说明根据本公开的方面的支持用于切换的安全密钥推导的无线通信系统的实例。
图3到6说明根据本公开的方面的支持用于切换的安全密钥推导的实例密钥推导。
图7说明根据本公开的方面的支持用于切换的安全密钥推导的过程流程的实例。
图8到10示出根据本公开的方面的支持用于切换的安全密钥推导的装置的框图。
图11说明根据本公开的方面的包含支持用于切换的安全密钥推导的网络实体的系统的框图。
图12到14示出根据本公开的方面的支持用于切换的安全密钥推导的装置的框图。
图15说明根据本公开的方面的包含支持用于切换的安全密钥推导的UE的系统的框图。
图16到24说明根据本公开的方面的用于切换的安全密钥推导方法。
具体实施方式
所描述的技术涉及支持用于切换的安全密钥推导的经改进方法、系统、装置或设备。网络实体(例如,移动性管理实体(MME)或接入与移动性功能(AMF))可利用接入层(AS)密钥,以确保用户设备(UE)与基站之间或跨越网络的其它网络实体之间的安全通信。如果网络状况开始降低或UE需要重定位新的网络实体(例如,由于UE移动性/重定位),则网络实体(例如,源网络实体)可起始到新网络实体(例如,目标网络实体)的切换程序。在一些方面中,源及目标网络实体可基于中间密钥,以统一方式导出用于切换程序的AS密钥(例如,KgNB)。举例来说,不管AS密钥是针对第一时间还是后续时间导出,用于导出AS密钥(例如,KgNB)的程序可都是基于此中间密钥,相比在第一与后续推导之间不同地导出AS密钥的技术,这可增大效率并减少复杂性。
在一些方面中,中间密钥可为从网络实体密钥(例如,KAMF)导出的AS根密钥(例如,KAS_root)。可在UE与网络实体之间共享中间密钥,且中间密钥也可用于促进UE与网络实体之间的安全通信。源网络实体可基于新鲜性参数导出经刷新的中间密钥,且接着将经刷新的中间密钥发射到目标网络实体。目标网络实体接着可利用所导出的中间密钥来导出AS密钥(例如,KgNB)。以此方式,出于在目标网络实体处导出AS密钥的目的而发射经刷新的中间密钥可在源与目标网络实体之间提供密钥分离。并且,相比在实体之间共享较高层级密钥的技术,发射中间密钥(与例如KAMF的较高层级密钥相反)可提供经增强的安全性。此外,以此方式使用中间密钥可促进高效的切换过程,这是因为目标网络实体可在必须从另一网络实体接收或导出较高层级密钥(例如,新KAMF)之前开始导出AS密钥以发送到目标基站。以此方式使用中间密钥也可用于系统间切换(例如,在下一代系统与旧式系统之间)。
本公开的方面最初描述于无线通信系统的上下文中。接着描述各种密钥推导。还描述了说明本公开的方面的过程流程。进一步通过涉及用于切换的安全密钥推导的设备图、系统图及流程图说明本公开的方面并参考所述图描述本公开的方面。
图1说明根据本公开的各种方面的无线通信系统100的实例。无线通信系统100包含基站105、UE 115及核心网络130。在一些实例中,无线通信系统100可为长期演进(LTE)网络、LTE-高级(LTE-A)网络或新无线电(NR)网络。在一些情况下,无线通信系统100可支持增强型宽带通信、超可靠(例如,关键任务)通信、低时延通信或与低成本及低复杂性装置的通信。
基站105可经由一或多个基站天线与UE 115无线通信。本文中所描述的基站105可包含或可被所属领域的技术人员称为基站收发器台、无线电基站、接入点、无线电收发器、节点B、演进节点B(eNB)、下一代节点B或千兆节点B(其中的任一个可被称为gNB)、家庭节点B、家庭演进节点B或其它合适的术语。无线通信系统100可包含不同类型的基站105(例如,巨型或小型小区基站)。本文中所描述的UE 115可能够与各种类型的基站105及网络设备(包含巨型eNB、小型小区eNB、gNB、中继基站等)通信。
每一基站105可与支持与各种UE 115的通信的特定地理涵盖区域110相关联。每一基站105可经由通信链路125提供对相应地理涵盖区域110的通信涵盖,且基站105与UE 115之间的通信链路125可利用一或多个载波。无线通信系统100中示出的通信链路125可包含从UE 115到基站105的上行链路发射,或从基站105到UE 115的下行链路发射。下行链路发射也可被称为前向链路发射,而上行链路发射也可被称为反向链路发射。
基站105的地理涵盖区域110可被划分成仅构成地理涵盖区域110的一部分的扇区,且每一扇区可与小区相关联。举例来说,每一基站105可提供对巨型小区、小型小区、热点或其它类型的小区或其各种组合的通信涵盖。在一些实例中,基站105可是可移动的,且因此提供对移动地理涵盖区域110的通信涵盖。在一些实例中,与不同技术相关联的不同地理涵盖区域110可重叠,且与不同技术相关联的重叠的地理涵盖区域110可由同一基站105或不同基站105支持。无线通信系统100可包含异质LTE/LTE-A或NR网络,在所述网络中不同类型的基站105提供对各种地理涵盖区域110的涵盖。
术语“小区”是指用于与基站105(例如,经由载波)通信的逻辑通信实体,且可与用于区分经由相同或不同载波操作的相邻小区的识别符(例如,物理小区识别符(PCID)、虚拟小区识别符(VCID))相关联。在一些实例中,载波可支持多个小区,且可根据可接入不同类型的装置的不同协议类型(例如,机器型通信(MTC)、窄带物联网(NB-IoT)、增强型移动宽带(eMBB)或其它协议)配置不同小区。在一些情况下,术语“小区”可指逻辑实体在上面操作的地理涵盖区域110的一部分(例如,扇区)。
UE 115可分散在整个无线通信系统100中,且每一UE 115可为静止或移动的。UE115也可被称为移动装置、无线装置、远程装置、手持型装置或用户装置或其它合适的术语,其中“装置”也可被称为单元、台、终端或客户端。UE 115也可为例如蜂窝式电话、个人数字助理(PDA)、平板计算机、手提式计算机或个人计算机的个人电子装置。在一些实例中,UE115还可指可在例如电器、载具、仪表等的各种物件中实施的无线本地环路(WLL)台、物联网(IoT)装置、万联网(IoE)装置或MTC装置等。
例如MTC或IoT装置的一些UE 115可为低成本或低复杂性装置,且可实现机器之间的自动通信(例如,经由机器到机器(M2M)通信)。M2M通信或MTC可指允许装置在无需人为干预的情况下彼此通信或与基站105通信的数据通信技术。在一些实例中,M2M通信或MTC可包含来自装置的通信,所述装置集成传感器或仪表以测量或捕获信息,并将所述信息中继到可利用信息或将信息呈现给与程序或应用交互的人的中央服务器或应用程序。一些UE 115可被设计成收集信息或启用机器的自动行为。MTC装置的应用实例包含智能抄表、库存监测、水位监测、设备监测、医疗监测、野生动物监测、天气及地质学事件监测、车队管理及跟踪、远程安全感测、物理接入控制及基于交易的业务计费。
一些UE 115可被配置成采用减少功率消耗的操作模式,例如半双工通信(例如,支持经由发射或接收的单向通信,但不能同时发射及接收的模式)。在一些实例中,可以减小的峰值速率执行半双工通信。用于UE 115的其它功率节约技术包含在未参与积极通信时进入功率节省“深度睡眠”模式或以有限带宽操作(例如,根据窄带通信)。在一些情况下,UE115可被设计成支持关键功能(例如,关键任务功能),且无线通信系统100可被配置成对这些功能提供超可靠通信。
在一些情况下,UE 115也可能能够与其它UE 115直接通信(例如,使用对等(P2P)或装置到装置(D2D)协议)。利用D2D通信的一组UE 115中的一个或多个可在基站105的地理涵盖区域110内。此组中的其它UE 115可在基站105的地理涵盖区域110外部,或以其它方式不能够从基站105接收发射。在一些情况下,经由D2D通信进行通信的UE 115组可利用一对多(1:M)系统,在一对多系统中,每一UE 115发射到组中的每一其它UE 115。在一些情况下,基站105促进用于D2D通信的资源的调度。在其它情况下,在无需涉及基站105的情况下在UE115之间进行D2D通信。
基站105可与核心网络130通信并彼此通信。举例来说,基站105可通过回程链路132(例如,S1、N2、N3)与核心网络130介接。基站105可经由回程链路134(例如,X2、Xn)直接(例如,直接在基站105之间)或间接地(例如,经由核心网络130)彼此通信。
核心网络130可提供用户认证、接入授权、追踪、因特网协议(IP)连接性,及其它接入、路由或移动性功能。核心网络130可为演进型分组核心(EPC),所述EPC可包含至少一个移动性管理实体(MME)、至少一个服务网关(S-GW)及至少一个分组数据网络(PDN)网关(P-GW)。MME可管理非接入层(例如,控制平面)功能,例如对由与EPC相关联的基站105服务的UE115的移动性、认证及承载管理。可通过S-GW传递用户IP包,S-GW自身可连接到P-GW。P-GW可提供IP地址分配以及其它功能。P-GW可连接到网络运营商IP服务。运营商IP服务可包含对因特网、内联网、IP多媒体子系统(IMS)或包交换(PS)流式传输服务的接入。
网络装置中的至少一些(例如基站105)可包含例如接入网络实体的子组件,其可为接入节点控制器(ANC)的实例。每一接入网络实体可通过数个其它接入网络发射实体与UE 115通信,所述接入网络发射实体可被称为无线电头端、智能无线电头端或发射/接收点(TRP)。在一些配置中,每一接入网络实体或基站105的各种功能可跨越各种网络装置(例如,无线电头端及接入网络控制器)分布,或合并到单个网络装置(例如,基站105)中。
无线通信系统100可使用通常在300兆赫(MHz)到300千兆赫(GHz)的范围内的一或多个频带来操作。通常,从300MHz到3GHz的区被称为超高频(UHF)区或分米频带,这是由于波长长度在大致一分米到一米的范围内。UHF波可被建筑物及环境特征阻挡或重定向。然而,对于巨型小区来说,所述波可充分穿透结构以向位于室内的UE 115提供服务。相比于使用低于300MHz的频谱的较小频率及较长波的高频(HF)或特高频(VHF)部分的发射,UHF波的发射可与较小天线及较短范围(例如,小于100km)相关联。
无线通信系统100也可以使用从3GHz到30GHz的频带的极高频(SHF)区(也被称为厘米频带)进行操作。SHF区包含例如5GHz工业、科学及医学(ISM)频带的频带,可容忍来自其它用户的干扰的装置可适时地使用所述频带。
无线通信系统100也可以频谱的至高频(EHF)区(例如,从25GHz到300GHz)(也被称为毫米频带)进行操作。在一些实例中,无线通信系统100可支持UE 115与基站105之间的毫米波(mmW)通信,且相比于UHF天线,相应装置的EHF天线可甚至更小且更紧密隔开。在一些情况下,此情况可有助于在UE 115内使用天线阵列。然而,相比于SHF或UHF发射,EHF发射的传播可经受甚至更大的大气衰减及更短范围。可跨越使用一或多个不同频率区的发射采用本文中所公开的技术,且跨越这些频率区的指定频带使用可根据国家或管理机构而不同。
在一些情况下,无线通信系统100可利用经许可及未经许可的射频频谱带两者。举例来说,无线通信系统100可采用许可辅助接入(LAA)、LTE未经许可(LTE-U)无线电接入技术,或在例如5GHz ISM频带的未经许可频带中的NR技术。当在未经许可的射频频谱带中操作时,例如基站105及UE 115的无线装置可采用先听后说(LBT)程序,以确保在发射数据之前频道是畅通的。在一些情况下,在未经许可的频带中的操作结合在经许可的频带中操作的CC(例如,LAA)可是基于CA配置。在未经许可的频谱中的操作可包含下行链路发射、上行链路发射、对等发射或这些发射的组合。在未经许可的频谱中的双工可是基于频分双工(FDD)、时分双工(TDD)或两者的组合。
在一些实例中,基站105或UE 115可装备有多个天线,所述天线可用于采用例如分集发射、分集接收、多输入多输出(MIMO)通信或波束成形的技术。举例来说,无线通信系统可在发射装置(例如,基站105)与接收装置(例如,UE 115)之间使用发射方案,其中发射装置装备有多个天线且接收装置装备有一或多个天线。MIMO通信可采用多路径信号传播,以通过经由不同空间层发射或接收多个信号(其可被称为空间多路复用)来增大频谱效率。可由发射装置经由不同的天线或天线的不同组合来发射多个信号。同样,可由接收装置经由不同的天线或天线的不同组合来接收多个信号。多个信号中的每一个可被称为单独空间流,且其可携载与相同数据流(例如,相同码字)或不同数据流相关联的位。不同空间层可与用于信道测量及报告的不同天线端口相关联。MIMO技术包含单用户MIMO(SU-MIMO),其中多个空间层被发射到同一接收装置,及多用户MIMO(MU-MIMO),其中多个空间层被发射到多个装置。
波束成形(也可被称为空间过滤、定向发射或定向接收)为可在发射装置或接收装置(例如,基站105或UE 115)处使用,以沿着发射装置与接收装置之间的空间路径塑形或操控天线波束(例如,发射波束或接收波束)的信号处理技术。可通过组合经由天线阵列的天线元件传达的信号来实现波束成形,使得相对于天线阵列以特定定向传播的信号经历相长干扰而其它信号经历相消干扰。调整经由天线元件传达的信号可包含发射装置或接收装置将某些振幅及相位偏移应用到经由与装置相关联的天线元件中的每一个携载的信号。与天线元件中的每一个相关联的调整可由与特定定向(例如,相对于发射装置或接收装置的天线阵列,或相对于其它定向)相关联的波束成形权重设定定义。
在一个实例中,基站105可使用多个天线或天线阵列来进行波束成形操作,以用于与UE 115定向通信。举例来说,一些信号(例如,同步信号、参考信号、波束选择信号或其它控制信号)可由基站105在不同方向上多次发射,这可包含根据与不同发射方向相关联的不同波束成形权重设定来发射信号。在不同波束方向上的发射可用于识别(例如,由基站105或例如UE 115的接收装置)由基站105进行的后续发射及/或接收的波束方向。例如与特定接收装置相关联的数据信号的一些信号可由基站105在单个波束方向(例如,与例如UE 115的接收装置相关联的方向)上发射。在一些实例中,可至少部分地基于在不同波束方向上发射的信号来确定与沿着单个波束方向的发射相关联的波束方向。举例来说,UE 115可接收由基站105在不同方向上发射的信号中的一个或多个,且UE115可向基站105报告其以最高信号质量或在其它方面可接受的信号质量接收的信号指示。尽管参考由基站105在一或多个方向上发射的信号来描述这些技术,但UE 115可采用类似技术以用于在不同方向上多次发射信号(例如,用于识别由UE 115进行的后续发射或接收的波束方向),或在单个方向上发射信号(例如,用于将数据发射到接收装置)。
接收装置(例如,UE 115,其可为mmW接收装置的实例)可在从基站105接收各种信号(例如同步信号、参考信号、波束选择信号或其它控制信号)时尝试多个接收波束。举例来说,接收装置可通过经由不同的天线子阵列进行接收、通过根据不同的天线子阵列处理接收到的信号、通过根据应用到在天线阵列的多个天线元件处接收到的信号的不同的接收波束成形权重设定进行接收,或通过根据应用到在天线阵列的多个天线元件处接收到的信号的不同的接收波束成形权重设定处理接收到的信号来尝试多个接收方向,所述操作中的任一个可被称为根据不同的接收波束或接收方向“收听”。在一些实例中,接收装置可使用单个接收波束以沿着单个波束方向进行接收(例如,在接收数据信号时)。单个接收波束可在至少部分地基于根据不同接收波束方向的收听确定的波束方向上对准(例如,至少部分地基于根据多个波束方向的收听,确定为具有最高信号强度、最高信噪比或在其它方面可接受的信号质量的波束方向)。
在一些情况下,基站105或UE 115的天线可位于可支持MIMO操作或发射或接收波束成形的一或多个天线阵列内。举例来说,一或多个基站天线或天线阵列可共置于例如天线塔的天线组合件处。在一些情况下,与基站105相关联的天线或天线阵列可位于不同的地理位置。基站105可具有具数行及数列天线端口的天线阵列,基站105可使用所述天线阵列来支持与UE 115的通信波束成形。同样,UE 115可具有可支持各种MIMO或波束成形操作的一或多个天线阵列。
在一些情况下,无线通信系统100可为根据分层协议栈操作的基于分组的网络。在用户平面中,在承载层或包数据汇聚协议(PDCP)层处的通信可是基于IP的。在一些情况下,无线电链路控制(RLC)层可执行包分段及重组以经由逻辑信道进行通信。媒体接入控制(MAC)层可执行逻辑信道到输送信道的优先权处置及多路复用。MAC层也可使用混合自动重复请求(HARQ)以在MAC层提供重新发射来改进链路效率。在控制平面中,无线电资源控制(RRC)协议层可建立、配置且维持UE 115与基站105或支持用于用户平面数据的无线电承载的核心网络130之间的RRC连接。在物理(PHY)层处,可将输送信道映射到物理信道。
在一些情况下,UE 115及基站105可支持重新发射数据,以增大成功接收数据的可能性。HARQ反馈为增大经由通信链路125正确接收数据的可能性的一种技术。HARQ可包含误差检测(例如,使用循环冗余校验(CRC))、前向误差校正(FEC)及重新发射(例如,自动重复请求(ARQ))的组合。HARQ可在不佳无线电条件(例如,信噪比条件)下改进MAC层处的输送量。在一些情况下,无线装置可支持相同时隙HARQ反馈,其中装置可在特定时隙中提供用于在时隙中的先前符号中接收到的数据的HARQ反馈。在其它情况下,装置可在后续时隙中或根据其它时间间隔提供HARQ反馈。
LTE或NR中的时间间隔可以基本时间单位的倍数表示,所述基本时间单位可指Ts=1/30,720,000秒的取样周期。可根据各自具有10毫秒(ms)的持续时间的无线电帧组织通信资源的时间间隔,其中帧周期可表示为Tf=307,200Ts。无线电帧可由范围介于0到1023的系统帧编号(SFN)识别。每一帧可包含编号为从0到9的10个子帧,且每一子帧可具有1毫秒(ms)的持续时间。子帧可被进一步划分成各自具有0.5ms的持续时间的2个时隙,且每一时隙可含有6或7个调制符号周期(例如,取决于每一符号周期前置的循环前缀的长度)。除循环前缀外,每一符号周期可含有2048个取样周期。在一些情况下,子帧可为无线通信系统100的最小调度单位,且可被称为发射时间间隔(TTI)。在其它情况下,无线通信系统100的最小调度单位可短于子帧,或可动态地进行选择(例如,以一串缩短的TTI(sTTI)或以使用sTTI的选定分量载波)。
在一些无线通信系统中,时隙可被进一步划分成含有一或多个符号的多个微时隙。在一些情况下,微时隙的符号或微时隙可为最小调度单位。取决于例如副载波间隔或操作频带,每一符号的持续时间可不同。此外,一些无线通信系统可实施时隙聚合,其中多个时隙或微时隙被聚合在一起并用于UE 115与基站105之间的通信。
术语“载波”是指具有所定义物理层结构以用于支持经由通信链路125的通信的射频频谱资源集合。举例来说,通信链路125的载波可包含根据用于给定无线电接入技术的物理层信道操作的射频频谱带的一部分。每一物理层信道可携载用户数据、控制信息或其它传信。载波可与预定义频道(例如,E-UTRA绝对射频信道编号(EARFCN))相关联,且可根据信道栅格定位以用于由UE 115发现。载波可为下行链路或上行链路(例如,以FDD模式),或被配置成携载下行链路及上行链路通信(例如,以TDD模式)。在一些实例中,经由载波发射的信号波形可由多个副载波构成(例如,使用例如OFDM或DFT-s-OFDM的多载波调制(MCM)技术)。
对于不同的无线电接入技术(例如,LTE、LTE-A、NR等)来说,载波的组织结构可不同。举例来说,可根据TTI或时隙组织经由载波的通信,所述TTI或时隙中的每一个可包含用户数据以及控制信息或支持解码用户数据的传信。载波还可包含协调载波的操作的专用采集传信(例如,同步信号或系统信息等)及控制传信。在一些实例中(例如,在载波聚合配置中),载波还可具有协调其它载波的操作的采集传信或控制传信。
可根据各种技术对载波上的物理信道进行多路复用。可在下行链路载波上例如使用时分多路复用(TDM)技术、频分多路复用(FDM)技术或混合式TDM-FDM技术对物理控制信道及物理数据信道进行多路复用。在一些实例中,在物理控制信道中发射的控制信息可以级联方式分布于不同控制区之间(例如,公共控制区或公共搜索空间与一或多个UE特定控制区或UE特定搜索空间之间)。
载波可与特定带宽的射频频谱相关联,且在一些实例中,载波带宽可被称为载波或无线通信系统100的“系统带宽”。举例来说,载波带宽可为用于特定无线电接入技术的载波的数个预定带宽中的一个(例如,1.4、3、5、10、15、20、40或80MHz)。在一些实例中,每一服务UE 115可被配置成用于经由载波带宽的部分或全部操作。在其它实例中,一些UE 115可被配置成用于使用与载波内的预定义部分或范围(例如,副载波或资源块(RB)的集合)相关联的窄带协议类型(例如,窄带协议类型的“频带内”部署)操作。
在采用MCM技术的系统中,资源要素可由一个符号周期(例如,一个调制符号的持续时间)及一个副载波组成,其中符号周期与副载波间隔反向相关。由每一资源要素携载的位数目可取决于调制方案(例如,调制方案的阶数)。因此,UE 115接收的资源要素越多且调制方案的阶数越高,则UE 115的数据速率可越高。在MIMO系统中,无线通信资源可指射频频谱资源、时间资源及空间资源(例如,空间层)的组合,且使用多个空间层可进一步增大与UE115的通信的数据速率。
无线通信系统100的装置(例如,基站105或UE 115)可具有支持经由特定载波带宽的通信的硬件配置,或可被配置成支持经由载波带宽集合中的一个的通信。在一些实例中,无线通信系统100可包含可支持经由与多于一个不同载波带宽相关联的载波同时进行通信的基站105及/或UE。
无线通信系统100可支持在多个小区或载波上与UE 115进行通信,所述特征可被称为载波聚合(CA)或多载波操作。根据CA配置,UE 115可被配置成具有多个下行链路CC及一或多个上行链路CC。CA可与FDD及TDD分量载波两者一起使用。
在一些情况下,无线通信系统100可利用增强型分量载波(eCC)。eCC可表征为包含较宽载波或频道带宽、较短符号持续时间、较短TTI持续时间或经修改的控制信道配置的一或多个特征。在一些情况下,eCC可与CA配置或双连接性配置相关联(例如,当多个服务小区具有次优或非理想回程链路时)。eCC也可被配置成用于在未经许可的频谱或共享频谱(例如,允许多于一个运营商使用所述频谱)中使用。表征为宽载波带宽的eCC可包含一或多个分段,所述分段可由不能够监视整个载波带宽或以其它方式配置成使用有限载波带宽(例如,以节约功率)的UE 115利用。
在一些情况下,eCC可利用与其它CC不同的符号持续时间,这可包含相比于其它CC的符号持续时间,使用减少的符号持续时间。较短符号持续时间可与邻近副载波之间的增大间隔相关联。利用eCC的装置(例如UE 115或基站105)可以减少的符号持续时间(例如,16.67微秒(μs))发射宽带信号(例如,根据20、40、60、80MHz等的频道或载波带宽)。eCC中的TTI可由一或多个符号周期组成。在一些情况下,TTI持续时间(即,TTI中的符号周期数目)可是可变的。
例如NR系统的无线通信系统可利用经许可的、共享的及未经许可的频谱带的任何组合以及其它。eCC符号持续时间及副载波间隔的灵活性可允许跨越多个频谱使用eCC。在一些实例中,NR共享频谱可特别地通过动态垂直(例如,跨频率)及水平(例如,跨时间)资源共享来增大频谱利用率及频谱效率。
核心网络130可包含例如AMF、会话管理功能(SMF)、用户平面功能(UPF)等的若干实体(例如,功能)。可以软件虚拟地实施核心网络的实体中的一个或多个。在一些实例中,UE 115及基站105可与核心网络130的实体(例如,MME或AMF)通信,以建立用于通信的安全连接。AMF可为UE 115及基站105提供接入与移动性管理服务。在一些实例中,AMF可充当与UE 115及基站105的控制平面传信通信的主要点,使得UE115、基站105与核心网络130之间的大部分控制平面通信穿过AMF。
在一些实例中,UE 115可通过发送附接请求起始与基站105的连接过程。基于附接请求,基站105可通过核心网络130(例如,经由核心网络130的一或多个实体)促进对UE 115的认证及/或授权。一旦得到认证,UE 115可基于配置成在UE 115与核心网络130之间安全地建立并维持连接性的非接入层(NAS)协议与核心网络130通信。一或多个核心网络节点(例如,AMF、MME、服务网关等)可向基站105告知UE 115被认证并被授权连接到无线通信系统100。此后,基站105可与UE 115建立无线电资源控制(RRC)连接(例如,基于AS协议)。
为了建立RRC连接,基站105可在执行AS协议期间或在已执行AS协议之后,生成安全配置并将安全配置发射到UE 115。在一些实例中,可经由安全的无线电信道(例如,安全的RRC信道)将安全配置发射到UE 115,可至少部分地基于与基站105及UE 115相关联的共享密钥建立所述安全的无线电信道。在一些实例中,共享密钥可为gNB密钥(例如,KgNB)或eNB密钥(KeNB),所述密钥可由核心网络节点(例如,在认证与密钥协商(AKA)过程期间或之后)发射到基站105及/或由UE 115导出。
基站105接着可生成经编码消息,所述经编码消息包含资源分配,且具体地说包含分配用于UE 115的上行链路控制信息的共享资源模式。在一个实例中,可基于共享密钥加密经编码消息并将其经由安全的RRC信道提供到UE 115。在另一实例中,可在PDCCH消息中加密经编码消息。可使用加密密钥加密经加密的PDCCH消息。可在RRC连接期间将加密密钥从基站105发射到UE 115,及/或可经由安全的RRC信道(例如,在建立RRC连接之后)进行发射。使用安全的RRC信道可防止例如扰乱装置的其它装置拦截加密密钥。在一些实例中,加密密钥对于连接到或尝试连接到基站105的所有UE115来说可是公共的。在一些情况下,可由基站105或核心网络130随机生成加密密钥。在一些实例中,可基于与基站105及UE 115相关联的共享密钥(例如KgNB(或KeNB))导出加密密钥。
在一些无线通信系统100(例如,LTE)中,归属用户服务器(HSS)可生成接入安全管理实体(ASME)密钥(例如,KASME)并将其传信到MME。接着可由利用KASME的MME导出初始KeNB。可从下一跳(NH)密钥导出后续KeNB,其中可从KASME及先前NH密钥或从KASME及用于初始NH密钥推导的KeNB导出NH密钥。为了导出不同密钥(例如,KeNB、NH密钥、完整性校验密钥、加密密钥等),UE 115、基站105或MME可利用密钥推导函数(KDF),其中每一KDF可包含输入S的某些参数,例如功能码(FC)、参数0(P0)、参数0的长度(L0)、参数1(P1)、参数1的长度(L1)等。
在一些实例中,当在UE 115及MME中用上行链路NAS COUNT从KASME导出KeNB时,KDF参数可由0x11的FC值、等于上行链路NAS COUNT的P0值,及等于上行链路NAS COUNT的长度(例如,0x00 0x04)的L0值组成。另外,UE 115及MME可将256位KASME用作输入密钥。UE 115及MME可在建立密码保护的演进型通用移动电信系统陆地无线电接入网络(E-UTRAN)无线电承载时,及/或在实时地执行密钥改变时应用此KDF。
在一些实例中,在从KASME导出NH密钥时,KDF参数可由0x12的FC值、等于SYNC输入的P0值,及等于SYNC输入的长度(例如,0x00 0x20)的L0值组成。SYNC输入参数可为用于初始NH密钥推导的新导出的KeNB或用于后续NH密钥推导的先前NH密钥。通过此SYNC输入参数,可形成NH链,使得下一NH密钥可是新鲜的且可从先前NH密钥导出。另外,UE 115及MME可将256位KASME用作输入密钥。
出于切换目的,UE 115及基站105可从当前KeNB或从新鲜的NH密钥及目标物理小区ID导出中间密钥(例如,KeNB*)。在一些实例中,UE 115及基站105可利用具有由以下组成的参数的KDF:0x13的FC值、等于目标物理小区ID的P0值、等于物理小区ID的长度(例如,0x00,0x02)的L0值、等于下行链路E-UTRA绝对射频信道编号下行链路(EARFCN-DL)(例如,目标物理小区下行链路频率)的P1值,及等于EARFCN-DL的长度(例如,在EARFCN-DL介于0与65535之间时为0x00 0x02,或在EARFCN-DL介于65536与262143之间时为0x00 0x03)的L1值。在一些方面中,EARFCN-DL的长度可能通常不设定成3个字节(例如,以支持后向兼容性)。举例来说,某些版本实体(例如,版本8UE或eNB)可假定EARFCN-DL的输入参数长度为2个字节,如果另一实体假定EARFCN-DL的输入参数长度为3个字节,则可带来不同的导出密钥。另外,如果切换中的索引增大,则UE 115及基站105可将256位NH密钥用于输入密钥,否则可将当前256位KeNB用于输入密钥。
在一些实例中,可出于切换目的执行垂直(例如,跨频率)或水平(例如,跨时间)密钥推导。对于垂直密钥推导,MME可使用KASME导出AS密钥(例如,KeNB)。对于水平密钥推导,基站105(例如,eNB)可使用当前KeNB导出AS密钥。虽然可容易地导出初始KeNB,但后续KeNB可涉及包含中间密钥及一或多个NH密钥的额外或较复杂的推导。此外,可在MME重定位时在MME之间共享KASME,使得目标MME可再用由源MME使用的密钥链。对于一些无线通信系统(例如,5G/NR)来说,切换程序可能需要网络实体(例如,AMF)之间存在密钥分离。然而,AS密钥(例如,KgNB)可能仍是从由目标或服务网络实体保存的网络实体密钥(例如,AMF密钥(KAMF))导出的,这可能导致延迟的切换程序。举例来说,目标网络实体(例如,目标AMF)可首先从安全锚功能(SEAF)获得网络实体密钥(例如,KAMF),接着基于NAS安全模式命令(SMC)与UE 115协定网络实体密钥,且接着导出AS密钥。
无线通信系统100可支持如下高效技术:通过利用中间密钥导出用于切换程序的统一AS密钥(例如,KgNB),同时还考虑网络实体(例如,AMF)之间的可能密钥分离以实现前向及后向安全性。在一些方面中,中间密钥可为从网络实体密钥(例如,KAMF)导出的AS根密钥(例如,KAS_root)。替代地,可从当前网络实体密钥导出有限目的网络实体密钥(例如,KAMF*),并在切换中将其发送到目标实体。这些技术可通过利用演进型根密钥而提供经增强的安全性,这是由于并不需要在网络实体之间共享导出NAS密钥的网络实体密钥,且目标网络实体无法导出在先前基站105处利用的AS密钥。另外,不论密钥分离如何(例如,以实现前向及后向安全性),切换程序可能都不会被延迟。本文中描述的技术也可用于系统间切换(例如,5GAMF与4G MME之间)。
图2说明根据本公开的各种方面的支持用于切换的安全密钥推导的无线通信系统200的实例。在一些实例中,无线通信系统200可实施无线通信系统100的方面。无线通信系统200可包含基站105-a、基站105-b及UE 115-a,其可为如参考图1所描述的对应基站105及UE 115的实例。基站105-a可与AMF 205-a通信,且基站105-b可与AMF 205-b通信。每一基站105及(在一些方面中)每一AMF 205可提供对相应涵盖区域210的通信涵盖或与所述涵盖区域相关联(例如,AMF 205-a可与涵盖区域210-a相关联,且AMF 205-b可与涵盖区域210-b相关联)。在其它实例中,AMF 205的每一所支持涵盖区域210可包含多个基站105。
如所示出,无线通信系统200说明UE 115-a执行从AMF 205-a到AMF 205-b的切换程序的方面。最初,UE 115-a可经由载波215-a的资源与基站105-a及AMF 205-a安全地通信。在此实例中,AMF 205-a可被称为源AMF 205-a。为了安全地通信,UE 115-a及基站105-a可利用基站基础密钥(KgNB),所述基站基础密钥可由AMF 205-a以类似于上文参考图1所描述的程序导出。另外,KgNB推导可包含利用中间密钥(例如,AS根密钥(KAS_root))。KAS_root可从AMF 205-a密钥(KAMF)及第一新鲜性参数导出。新鲜性参数可包含上行链路NAS COUNT、下行链路NAS COUNT或仅用于KAS_root推导的新的新鲜性参数(例如,COUNT)。在一些实例中,KgNB推导可是基于KAS_root及第二新鲜性参数。第二新鲜性参数可为出于生成KgNB的目的在AMF205-a处维持的计数器。当其确定需要刷新AS安全性上下文时(例如,UE 115-a从空闲模式转变到连接模式或在AMF 205重定位的情况下),AMF 205-a可利用对KAS_root的第一推导。AMF 205-a可通过提供第一新鲜性参数向UE 115-a指示对KAS_root的此推导。
在一些方面中,当待导出新的KgNB时(例如,由于涉及PDCP锚改变的UE移动性),AMF205-a可利用对KgNB的第二推导。在某些情况下,这可能在AMF 205并未重定位或改变的情况下发生。AMF 205-a可通过提供第二新鲜性参数向UE 115-a指示对KgNB的此推导。在一些方面中,对KAS_root的第一推导可触发对KgNB的第二推导。然而,对KgNB的第二推导可在不进行对KAS_root的第一推导的情况下发生。
在一些实例中,载波215-a的信道条件可发生改变(例如,降低)或UE 115-a可移动到涵盖区域210-a外部。这可致使UE 115-a起始切换到基站105-b,这也可涉及从AMF205-a切换到AMF 205-b。在此实例中,AMF 205-b可被称为目标AMF 205-b。作为切换程序的部分,AMF 205-b可导出KgNB,以实现基站105-b与UE 115-a之间使用载波215-b的资源的安全通信。为了这样做,源AMF 205-a可首先基于第一新鲜性参数刷新KAS_root,并将经刷新的KAS_root传递到目标AMF 205-b。目标AMF 205-b可从经刷新的KAS_root及第二新鲜性参数导出KgNB,直到导出(或例如从SEAF获得)对应于目标AMF205-b的新KAMF为止。由于目标AMF 205-b KAMF可在切换完成之后(例如,NAS SMC期间)建立,因此UE 115-a的切换程序可在建立目标AMF205-b KAMF之前完成。这可减少由于在完成切换之前推导目标AMF 205-b KAMF,及基于目标AMF 205-b KAMF导出KgNB而可能原本存在的切换延迟。
图3说明根据本公开的各种方面的支持用于切换的安全密钥推导的密钥推导300的实例。密钥推导300可包含由源AMF 205-c及目标AMF 205-d执行的推导,其可为如参考图2所描述的源AMF 205-a及目标AMF 205-b的实例。密钥推导300可说明在UE115从源AMF205-c到目标AMF 205-d的切换过程之前或期间执行的安全密钥推导。
源AMF 205-a可最初获得KAMF 305(例如,从HSS、安全锚功能(SEAF)或认证服务器功能(AUSF)),其可用于导出用于实现UE 115与基站105之间的安全连接的密钥(例如,KgNB)。在切换过程起始时,源AMF 205-c可通过利用具有输入KAMF 305及新鲜性参数310-a(例如,第一新鲜性参数)的KDF 315-a生成中间密钥(例如,KAS_root 320-a)。在一些实例中,新鲜性参数310-a可为下行链路NAS COUNT、上行链路NAS COUNT、用于刷新KAMF的保留计数器、指示AMF 205重定位的其它位,或其任何组合。用于导出KAS_root的等式可由如下等式(1)表示。
KAS_root=KDF(KAMF,第一新鲜性参数)(1)
源AMF 205-c接着可通过使用具有输入KAS_root 320-a及新鲜性参数310-b(例如,不同于新鲜性参数310-a的第二新鲜性参数)的KDF 315-b计算KgNB 325-a。在一些实例中,新鲜性参数310-b可为AMF 205-c处维持的COUNTER。在基于当前KAS_root导出新的KgNB时,可将COUNTER发送到UE 115,从而使得UE 115能够导出同一KgNB。用于源AMF 205-c处的KgNB的等式可由如下等式(2)表示。
KgNB=KDF(KAS_root,第二新鲜性参数) (2)
在一些方面中,UE 115、基站105或其它网络实体可起始涉及从源AMF 205-c到目标AMF 205-d的AMF改变的切换程序。在此类情况下,源AMF 205-c可导出KAS_root320-b并将KAS_root 320-b提供(例如,发送)到目标AMF 205-d。尽管KAS_root 320-b可与KAS_root 320-a相同,且因而可使用上文的等式(1)导出,但在一些情况下KAS_root 320-b可不同于KAS_root 320-a。此外,可基于源AMF 205-c与目标AMF 205-d之间的交互从基站105发送到UE 115的切换命令可包含新鲜性参数310-a(例如,在嵌套的NAS下行链路消息内)。目标AMF 205-d接着可通过使用具有输入KAS_root 320-b及新鲜性参数310-c(例如,第二新鲜性参数或第三新鲜性参数)的KDF 315-c导出KgNB 325-b。在一些实例中,新鲜性参数310-c可被设定成例如0或1的初始值(INIT_VALUE),或可被设定成随机数。
源AMF 205-c、目标AMF 205-d或UE 115可在切换程序之前或之后刷新KgNB(例如,在涉及PDCP锚改变的UE 115移动性而无AMF重定位的情况下)。举例来说,可通过刷新新鲜性参数310-b或310-c(取决于是在源还是目标AMF 205处)来刷新KgNB。从UE115的视角,网络可在UE 115处传信需要刷新KgNB,且UE 115可执行类似程序以刷新当前KgNB(例如,通过刷新对应新鲜性参数,所述参数可被指示给UE 115或可本地导出)。也可通过刷新KAS_root在源AMF 205-c、目标AMF 205-d或UE 115处刷新KgNB。可在AMF 205处刷新KAS_root并将其传信到UE 115。刷新KAS_root可与切换相关联,如上文所描述,或可用作在AMF 205或UE 115处刷新KgNB的另一技术。
图4说明根据本公开的各种方面的支持用于切换的安全密钥推导的密钥推导400的实例。密钥推导400可包含由源AMF 205-e及目标AMF 205-f执行的推导,其可为如参考图2及3所描述的相应AMF 205的实例。密钥推导400可说明在UE 115从源AMF205-e到目标AMF205-f的切换过程之前或期间执行的安全密钥推导。
源AMF 205-e可最初获得KAMF 405(例如,从HSS、SEAF或AUSF),其可用于导出用于实现UE 115与基站105之间的安全连接的密钥(例如,KgNB)。在一些实例中,可起始(例如,由UE 115或基站105)涉及从源AMF 205-e到目标AMF 205-f的AMF重定位的切换过程。在此类情况下,源AMF 205-e可通过利用具有输入KAMF 405及新鲜性参数410-a(例如,第一新鲜性参数)的KDF 415-a生成中间密钥(例如,KAS_root 420-a)。新鲜性参数410-a可为下行链路NAS COUNT、上行链路NAS COUNT、用于刷新KAMF的保留计数器、指示AMF重定位的其它位,或其任何组合。
可使用上文的等式(1)导出KAS_root 420-a,且在一些方面中,切换命令可包含新鲜性参数410-a(例如,在嵌套的NAS下行链路消息内)。KAS_root 420-a可临时用于AS密钥(例如,KgNB 425-b)推导。目标AMF 205-f接着可利用具有输入KAS_root 420-a及新鲜性参数410-c(例如,第二新鲜性参数)的KDF 415-c导出KgNB 425-b。在一些实例中,新鲜性参数410-c可被设定成例如0或1的初始值(INIT_VALUE),或可被设定成随机数。KAS_root 420-a可仅用于在目标AMF 205-f处导出KgNB,且在一些方面中,可在切换命令中向UE指示对KAS_root 420-a的使用。
源AMF 205-e可利用具有输入KAMF 405及新鲜性参数410-b(例如,第二新鲜性参数)的KDF 415-b来产生AS密钥(例如,KgNB 425-a)。在一些方面中,新鲜性参数410-b可为AMF 205-a处维持的COUNTER,且用于源AMF 205-e处的KgNB的等式可由如下等式(3)表示。
KgNB=KDF(KAMF,第二新鲜性参数) (3)
图5说明根据本公开的各种方面的支持用于切换的安全密钥推导的密钥推导500的实例。密钥推导500可包含由源AMF 205-g及目标AMF 205-h执行的推导,其可为如参考图2到4所描述的相应AMF 205的实例。密钥推导500可说明在UE 115的涉及从源AMF 205-g到目标AMF 205-h的AMF重定位的切换过程之前或期间执行的密钥推导。
源AMF 205-g可最初获得KAMF 505(例如,从HSS、SEAF或AUSF),其可用于导出用于实现UE 115与基站105之间的安全连接的密钥(例如,KgNB)。在一些实例中,可起始(例如,由UE 115或基站105)涉及从源AMF 205-g到目标AMF 205-h的AMF重定位的切换过程。在此类情况下,源AMF 205-g可从具有输入KAMF 505-a及新鲜性参数510-a(例如,第一新鲜性参数)的KDF 515-a生成中间密钥(例如,KAMF*505-b)。KAMF*505-b可被提供到目标AMF 205-h。新鲜性参数510-a可为下行链路NAS COUNT、上行链路NAS COUNT、用于刷新KAMF的保留计数器、指示AMF重定位的其它位,或其任何组合。在一些实例中,切换命令可包含新鲜性参数510-a(例如,在嵌套的NAS下行链路消息内),且用于KAMF*505-b的等式可由如下等式(4)表示。
KAMF*=KDF(KAMF,第一新鲜性参数) (4)
KAMF*505-b可用于有限目的,例如用于KgNB推导,但可能并不用于NAS消息保护。可在切换命令中向UE 115指示密钥使用。NAS消息保护可包含在目标AMF 205-h处建立新的KAMF,这可是基于SMC。在一些方面中,用于AMF 205-b的KAMF 505可被设定成KAMF*505-b(例如,在同一AMF 205内的KAMF刷新中)。目标AMF 205-b接着可利用具有输入KAMF*505-b及新鲜性参数510-c(例如,第二新鲜性参数)的KDF 515-c导出KgNB 525-b。在一些实例中,新鲜性参数510-c可被设定成例如0或1的初始值(INIT_VALUE),或可被设定成随机数。
在一些方面中,源AMF 205-g可利用具有输入KAMF 505-a及新鲜性参数510-b(例如,第二新鲜性参数)的KDF 515-b来产生AS密钥(例如,KgNB 525-a)。新鲜性参数510-b可为AMF 205-a处维持的COUNTER。
图6说明根据本公开的各种方面的支持用于切换的安全密钥推导的密钥推导600的实例。密钥推导600可包含由源AMF 205-i及目标AMF 205-j执行的推导,其可为如参考图2到5所描述的相应AMF 205的实例。密钥推导600可说明在UE 115从源AMF 205-i到目标AMF205-j的切换过程之前或期间执行的推导。
源AMF 205-i可最初获得KAMF 605-a(例如,从HSS、SEAF或AUSF),其可用于导出用于实现UE 115与基站105之间的安全连接的密钥(例如,KgNB)。源AMF 205-i可利用具有输入KAMF 605-a及新鲜性参数610-b(例如,第一新鲜性参数)的KDF 615-b来产生中间密钥(例如,KAS_root 620-a)。在一些实例中,新鲜性参数610-b可为下行链路NAS COUNT、上行链路NAS COUNT、用于刷新KAMF的保留计数器、指示AMF重定位的其它位,或其任何组合。可使用上文的等式(1)导出KAS_root 620-a。源AMF 205-i接着可通过使用具有输入KAS_root 620-a及新鲜性参数610-d(例如,第二新鲜性参数)的KDF615-d来计算KgNB 625-a。在一些方面中,新鲜性参数610-d可为AMF 205-a处维持的COUNTER,且在基于当前KAS_root导出新的KgNB时可将COUNTER发送到UE 115。
在一些实例中,可起始(例如,由UE 115或基站105)涉及从源AMF 205-i到目标AMF205-j的AMF改变的切换过程。在此类情况下,源AMF 205-i可通过利用具有输入KAMF 605-a及新鲜性参数610-a(例如,第三新鲜性参数)的KDF 615-a来导出中间密钥KAMF*605-b。在一些实例中,KAMF 605-a可被提供到目标AMF 205-j,且新鲜性参数610-a可为下行链路NASCOUNT、上行链路NAS COUNT、用于刷新KAMF的保留计数器、指示AMF重定位的其它位,或其任何组合。切换命令可包含新鲜性参数610-a(例如,在嵌套的NAS下行链路消息内)。KAMF*605-b可用于有限目的(例如,用于KgNB推导但不用于NAS消息保护)。NAS消息保护可包含在目标AMF 205-j处建立新的KAMF(例如,基于SMC)。在一些方面中,用于AMF 205-j的KAMF 605可被设定成KAMF*605-b(例如,在同一AMF 205内的KAMF刷新中)。
目标AMF 205-j接着可从具有输入KAMF*605-b及新鲜性参数610-c(例如,第一新鲜性参数)的KDF 615-c导出KAS_root 620-b。在一些实例中,新鲜性参数610-c可为下行链路NAS COUNT。目标AMF 205-i接着可利用具有输入KAS_root 620-b及新鲜性参数610-e(例如,第二新鲜性参数)的KDF 615-e导出KgNB 625-b。在一些实例中,新鲜性参数610-e可被设定成例如0或1的初始值(INIT_VALUE),或可被设定成随机数
图7说明根据本公开的各种方面的支持用于切换的安全密钥推导的过程流程700的实例。过程流程700说明由UE 115-b、源AMF 205-k及目标AMF 205-l执行的技术方面,其可为如参考图1到6所描述的UE 115及相应AMF 205的相应实例。
在过程流程700的以下描述中,可以不同次序或在不同时间处执行UE 115-b、源AMF 205-k与目标AMF 205-l之间的操作。也可从过程流程700省略某些操作,或可将其它操作添加到过程流程700。
在705处,源AMF 205-k及目标AMF 205-l可识别触发从源网络实体(例如,源AMF205-k)到目标网络实体(例如,目标AMF 205-l)的切换的切换触发消息。举例来说,可从基站(例如服务UE 115-b的源gNB)发送切换触发消息。源基站可将切换决定输送到目标基站(例如,目标gNB),及与源基站相关联的网络实体(例如,例如源AMF 205-k的源AMF)。
在710处,源AMF 205-k可生成经刷新的中间密钥(例如,KAS_root)。可基于第一新鲜性参数如参考图2到6所描述般生成经刷新的中间密钥。第一新鲜性参数可包含上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。经刷新的中间密钥可被配置成专门用于生成目标基站基础密钥(例如,KgNB),且可将此有限目的传信到UE 115-b。
在715处,源AMF 205-k可将经刷新的中间密钥发射到目标AMF 205-l。在一些实例中,可将中间密钥作为转发重定位请求的部分进行发射。经刷新的中间密钥可不同于在源AMF 205-k处使用的中间密钥,这可有助于两个AMF之间的密钥分离。
在720处,目标AMF 205-l可基于所接收的经刷新中间密钥生成目标基站基础密钥(例如,KgNB)。也可基于第二新鲜性参数如参考图2到6所描述般生成目标基站基础密钥。目标AMF 205-l接着可将切换请求发送到目标基站。在一些实例中,目标基站可将切换确认消息发送到目标AMF 205-l。
在725处,目标AMF 205-l可将第二新鲜性参数发射到源AMF 205-k。在一些实例中,将第二新鲜性参数作为转发重定位响应消息的部分进行输送。
在730处,源AMF 205-k可将切换命令消息发送到UE 115-b(例如,经由源基站)。切换命令消息还可指示第一及第二新鲜性参数。切换命令还可指示待在UE 115-b处生成的中间密钥用于生成基站基础密钥(例如,KgNB)的有限目的。
在735处,UE 115-b可基于切换命令、第一新鲜性参数、第二新鲜性参数或其组合,生成目标基站基础密钥。在生成与目标基站相关联的目标基站基础密钥之后,UE 115-b接着可与目标基站安全地通信。
在740处,且在切换程序已完成之后,目标AMF 205-l(或目标基站)可将刷新基站基础密钥(例如,KgNB)的传信发射到UE 115-b。所述传信可包含用于UE 115-b使用以刷新基站基础密钥的参数,例如经刷新或更新的中间密钥(例如,经刷新的KAS_root)或经刷新或更新的第二新鲜性值。
在745处,UE 115-b可至少部分地基于经更新的第二新鲜性参数或经更新的中间密钥,刷新目标基站基础密钥。
图8示出根据本公开的方面的支持用于切换的安全密钥推导的无线装置805的框图800。无线装置805可为基站105或网络实体205(例如,源AFM或目标AMF)的方面的实例,如本文中所描述。无线装置805可包含接收器810、网络实体AS密钥管理器815及发射器820。无线装置805还可包含处理器。这些组件中的每一个可彼此通信(例如,经由一或多个总线)。
接收器810可接收例如包、用户数据或与各种信息信道(例如,控制信道、数据信道)相关联的控制信息,及与用于切换的安全密钥推导有关的信息等的信息。可将信息传递到装置的其它组件上。接收器810可为参考图11描述的收发器1135的方面的实例。接收器810可利用单个天线或天线的集合。
网络实体AS密钥管理器815可为参考图11描述的网络实体AS密钥管理器1115的方面的实例。
网络实体AS密钥管理器815及/或其各种子组件中的至少一些可以硬件、由处理器执行的软件、固件或其任何组合来实施。如果以由处理器执行的软件实施,则网络实体AS密钥管理器815及/或其各种子组件中的至少一些的功能可由设计成执行本公开中描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件,或其任何组合来执行。网络实体AS密钥管理器815及/或其各种子组件中的至少一些可在物理上位于各种位置处(包含分布式),使得功能的各部分由一或多个物理装置在不同物理位置处实施。
在一些实例中,网络实体AS密钥管理器815及/或其各种子组件中的至少一些可为根据本公开的各种方面的单独且不同的组件。在其它实例中,网络实体AS密钥管理器815及/或其各种子组件中的至少一些可与根据本公开的各种方面的一或多个其它硬件组件组合,所述硬件组件包含(但不限于)I/O组件、收发器、网络服务器、另一计算装置、本公开中描述的一或多个其它组件或其组合。
在一些实例中,网络实体AS密钥管理器815可为源AMF或源基站。在此类情况下,网络实体AS密钥管理器815可识别触发从源网络实体到目标网络实体的切换的切换触发消息,基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥,及将经刷新的中间密钥发射到目标网络实体。
在一些实例中,网络实体AS密钥管理器815可为目标AMF或目标基站。在此类情况下,网络实体AS密钥管理器815可识别触发从源网络实体到目标网络实体的切换的切换触发消息;从源网络实体接收经刷新的中间密钥,其中经刷新的中间密钥是基于第一新鲜性参数且被配置成专门用于生成目标基站基础密钥;及基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。
发射器820可发射由装置的其它组件生成的信号。在一些实例中,发射器820可与收发器模块中的接收器810共置。举例来说,发射器820可为参考图11描述的收发器1135的方面的实例。发射器820可利用单个天线或天线的集合。
图9示出根据本公开的方面的支持用于切换的安全密钥推导的无线装置905的框图900。无线装置905可为如参考图8所描述的无线装置805或网络实体205的方面的实例。无线装置905可包含接收器910、网络实体AS密钥管理器915及发射器920。无线装置905还可包含处理器。这些组件中的每一个可彼此通信(例如,经由一或多个总线)。
接收器910可接收例如包、用户数据或与各种信息信道(例如,控制信道、数据信道)相关联的控制信息,及与用于切换的安全密钥推导有关的信息等的信息。可将信息传递到装置的其它组件上。接收器910可为参考图11描述的收发器1135的方面的实例。接收器910可利用单个天线或天线的集合。
网络实体AS密钥管理器915可为参考图11描述的网络实体AS密钥管理器1115的方面的实例。网络实体AS密钥管理器915还可包含切换组件925、中间密钥生成器930、中间密钥通信器935及基站基础密钥生成器940。
切换组件925可识别触发从源网络实体到目标网络实体的切换的切换触发消息。在一些情况下,源网络实体包含源AMF且目标网络实体包含目标AMF。
中间密钥生成器930可基于网络实体基础密钥生成中间密钥,其中中间密钥不同于经刷新的中间密钥。在一些实例中,中间密钥生成器930可基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥。在一些情况下,第一新鲜性参数包含上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。在一些情况下,经刷新的中间密钥包含目标网络实体的网络实体基础密钥。在一些情况下,目标网络实体的网络实体基础密钥被配置成专门用于生成目标基站基础密钥。在一些情况下,经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
中间密钥通信器935可将经刷新的中间密钥发射到目标网络实体,并从源网络实体接收经刷新的中间密钥,其中经刷新的中间密钥是基于第一新鲜性参数且被配置成专门用于生成目标基站基础密钥。在一些情况下,经刷新的中间密钥不同于源网络实体处使用的中间密钥。在一些情况下,经刷新的中间密钥包含网络实体基础密钥的链状密钥。在一些情况下,第一新鲜性参数包含上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。
基站基础密钥生成器940可基于中间密钥及第二新鲜性参数生成源基站基础密钥,基于第二新鲜性参数生成经刷新的源基站基础密钥,基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥,及基于中间密钥及第三新鲜性参数生成目标基站基础密钥。在一些情况下,第二新鲜性参数包含用于刷新源基站基础密钥的保留计数器。在一些情况下,第三新鲜性参数包含用于刷新目标基站基础密钥的保留计数器。在一些情况下,第二新鲜性参数包含用于刷新目标基站基础密钥的保留计数器。
发射器920可发射由装置的其它组件生成的信号。在一些实例中,发射器920可与收发器模块中的接收器910共置。举例来说,发射器920可为参考图11描述的收发器1135的方面的实例。发射器920可利用单个天线或天线的集合。
图10示出根据本公开的方面的支持用于切换的安全密钥推导的网络实体AS密钥管理器1015的框图1000。网络实体AS密钥管理器1015可为参考图8、9及11描述的网络实体AS密钥管理器815、网络实体AS密钥管理器915或网络实体AS密钥管理器1115的方面的实例。网络实体AS密钥管理器1015可包含切换组件1020、中间密钥生成器1025、中间密钥通信器1030、基站基础密钥生成器1035、基站基础密钥发射器1040、NAS密钥生成器1045及网络实体基础密钥通信器1050。这些模块中的每一个可直接或间接地彼此通信(例如,经由一或多个总线)。
切换组件1020可识别触发从源网络实体到目标网络实体的切换的切换触发消息。在一些情况下,源网络实体包含源AMF且目标网络实体包含目标AMF。
中间密钥生成器1025可基于网络实体基础密钥生成中间密钥,其中中间密钥不同于经刷新的中间密钥。在一些实例中,中间密钥生成器1025可基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥。在一些情况下,第一新鲜性参数包含上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。在一些情况下,经刷新的中间密钥包含目标网络实体的网络实体基础密钥。在一些方面中,目标网络实体的网络实体基础密钥被配置成专门用于生成目标基站基础密钥。在一些情况下,经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
中间密钥通信器1030可将经刷新的中间密钥发射到目标网络实体,并从源网络实体接收经刷新的中间密钥,其中经刷新的中间密钥是基于第一新鲜性参数且被配置成专门用于生成目标基站基础密钥。在一些情况下,经刷新的中间密钥不同于源网络实体处使用的中间密钥。在一些实例中,经刷新的中间密钥包含网络实体基础密钥的链状密钥。在一些方面中,第一新鲜性参数包含上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。
基站基础密钥生成器1035可生成基于中间密钥及第二新鲜性参数的源基站基础密钥,并基于第二新鲜性参数生成经刷新的源基站基础密钥。基站基础密钥生成器1035可基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥,并基于中间密钥及第三新鲜性参数生成目标基站基础密钥。在一些情况下,第二新鲜性参数包含用于刷新源基站基础密钥的保留计数器。在一些实例中,第三新鲜性参数包含用于刷新目标基站基础密钥的保留计数器。在一些方面中,第二新鲜性参数包含用于刷新目标基站基础密钥的保留计数器。
基站基础密钥发射器1040可将源基站基础密钥发射到源基站,并将目标基站基础密钥发射到目标基站。
NAS密钥生成器1045可基于网络实体基础密钥生成用于NAS传信的加密密钥及用于NAS传信的完整性密钥,并基于经刷新的网络实体基础密钥生成用于NAS传信的加密密钥及用于NAS传信的完整性密钥。
网络实体基础密钥通信器1050可在切换完成之后接收经刷新的网络实体基础密钥。
图11示出根据本公开的方面的包含支持用于切换的安全密钥推导的装置1105的系统1100的图式。装置1105可为如上文例如参考图8及9所描述的无线装置805、无线装置905或网络实体205的实例或包含所述装置的组件。装置1105可包含用于双向话音及数据通信的组件(包含用于发射及接收通信的组件),包含网络实体AS密钥管理器1115、处理器1120、存储器1125、软件1130、收发器1135及I/O控制器1140。这些组件可经由一或多个总线(例如,总线1110)电子通信。
处理器1120可包含智能硬件装置(例如,通用处理器、DSP、中央处理单元(CPU)、微控制器、ASIC、FPGA、可编程逻辑装置、离散门或晶体管逻辑组件、离散硬件组件或其任何组合)。在一些情况下,处理器1120可被配置成使用存储器控制器操作存储器阵列。在其它情况下,存储器控制器可集成到处理器1120中。处理器1120可被配置成执行存储于存储器中的计算机可读指令,以执行各种功能(例如,支持用于切换的安全密钥推导的功能或任务)。
存储器1125可包含随机存取存储器(RAM)及只读存储器(ROM)。存储器1125可存储计算机可读、计算机可执行软件1130,其包含在执行时致使处理器执行本文中所描述的各种功能的指令。在一些情况下,存储器1125可尤其含有基本输入/输出系统(BIOS),其可控制例如与外围组件或装置的交互的基本硬件或软件操作。
软件1130可包含实施本公开的方面的代码,包含支持用于切换的安全密钥推导的代码。软件1130可存储在例如系统存储器或其它存储器的非暂时性计算机可读媒体中。在一些情况下,软件1130可能不可由处理器直接执行,而是可致使计算机(例如,在被编译及执行时)执行本文中所描述的功能。
收发器1135可经由一或多个天线、有线或无线链路双向通信,如上文所描述。举例来说,收发器1135可表示无线收发器,且可与另一无线收发器双向通信。收发器1135还可包含调制解调器,以调制包并将经调制的包提供到天线以供发射,且对从天线接收到的包进行解调。
I/O控制器1140可管理装置1105的输入及输出信号。I/O控制器1140还可管理未集成到装置1105中的外围装置。在一些情况下,I/O控制器1140可表示到外部外围装置的物理连接或端口。在一些情况下,I/O控制器1140可利用例如
或另一已知操作系统的操作系统。在其它情况下,I/O控制器1140可表示调制解调器、键盘、鼠标、触摸屏或类似装置或与所述装置交互。在一些情况下,I/O控制器1140可被实施为处理器的部分。在一些情况下,用户可经由I/O控制器1140或经由I/O控制器1140控制的硬件组件与装置1105交互。
图12示出根据本公开的方面的支持用于切换的安全密钥推导的无线装置1205的框图1200。无线装置1205可为如本文中所描述的UE 115的方面的实例。无线装置1205可包含接收器1210、UE AS密钥管理器1215及发射器1220。无线装置1205还可包含处理器。这些组件中的每一个可彼此通信(例如,经由一或多个总线)。
接收器1210可接收例如包、用户数据或与各种信息信道(例如,控制信道、数据信道)相关联的控制信息,及与用于切换的安全密钥推导有关的信息等的信息。可将信息传递到装置的其它组件上。接收器1210可为参考图15描述的收发器1535的方面的实例。接收器1210可利用单个天线或天线的集合。
UE AS密钥管理器1215可为参考图15描述的UE AS密钥管理器1515的方面的实例。
UE AS密钥管理器1215及/或其各种子组件中的至少一些可以硬件、由处理器执行的软件、固件或其任何组合来实施。如果以由处理器执行的软件实施,则UE AS密钥管理器1215及/或其各种子组件中的至少一些的功能可由设计成执行本公开中描述的功能的通用处理器、DSP、ASIC、FPGA或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件,或其任何组合来执行。UE AS密钥管理器1215及/或其各种子组件中的至少一些可在物理上位于各种位置处(包含分布式),使得功能的各部分由一或多个物理装置在不同物理位置处实施。
在一些实例中,UE AS密钥管理器1215及/或其各种子组件中的至少一些可为根据本公开的各种方面的单独且不同的组件。在其它实例中,UE AS密钥管理器1215及/或其各种子组件中的至少一些可与根据本公开的各种方面的一或多个其它硬件组件组合,所述硬件组件包含(但不限于)I/O组件、收发器、网络服务器、另一计算装置、本公开中描述的一或多个其它组件或其组合。
UE AS密钥管理器1215可从源网络实体接收触发到目标网络实体的切换的切换命令消息,接收第一新鲜性参数的指示,及基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
发射器1220可发射由装置的其它组件生成的信号。在一些实例中,发射器1220可与收发器模块中的接收器1210共置。举例来说,发射器1220可为参考图15描述的收发器1535的方面的实例。发射器1220可利用单个天线或天线的集合。
发射器1220可基于目标基站基础密钥与目标基站通信。
图13示出根据本公开的方面的支持用于切换的安全密钥推导的无线装置1305的框图1300。无线装置1305可为如参考图12所描述的无线装置1205或UE 115的方面的实例。无线装置1305可包含接收器1310、UE AS密钥管理器1315及发射器1320。无线装置1305还可包含处理器。这些组件中的每一个可彼此通信(例如,经由一或多个总线)。
接收器1310可接收例如包、用户数据或与各种信息信道(例如,控制信道、数据信道)相关联的控制信息,及与用于切换的安全密钥推导有关的信息等的信息。可将信息传递到装置的其它组件上。接收器1310可为参考图15描述的收发器1535的方面的实例。接收器1310可利用单个天线或天线的集合。
UE AS密钥管理器1315可为参考图15描述的UE AS密钥管理器1515的方面的实例。UE AS密钥管理器1315还可包含切换组件1325、新鲜性参数通信器1330及中间密钥生成器1335。
切换组件1325可从源网络实体接收触发到目标网络实体的切换的切换命令消息。在一些情况下,源网络实体包含源AMF且目标网络实体包含目标AMF。
新鲜性参数通信器1330可接收第一新鲜性参数的指示,接收第二新鲜性参数的指示,接收经更新的第二新鲜性参数的指示,及接收经更新的第一新鲜性参数的指示。在一些情况下,第一新鲜性参数包含上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。
中间密钥生成器1335可基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。在一些实例中,中间密钥生成器1335可基于网络实体基础密钥生成中间密钥,其中中间密钥不同于经刷新的中间密钥;及接收经刷新的中间密钥被配置成专门用于生成目标基站基础密钥的指示。
发射器1320可发射由装置的其它组件生成的信号。在一些实例中,发射器1320可与收发器模块中的接收器1310共置。举例来说,发射器1320可为参考图15描述的收发器1535的方面的实例。发射器1320可利用单个天线或天线的集合。
图14示出根据本公开的方面的支持用于切换的安全密钥推导的UE AS密钥管理器1415的框图1400。UE AS密钥管理器1415可为参考图12、13及15描述的UE AS密钥管理器1515的方面的实例。UE AS密钥管理器1415可包含切换组件1420、新鲜性参数通信器1425、中间密钥生成器1430、基站基础密钥生成器1435及中间密钥通信器1440。这些模块中的每一个可直接或间接地彼此通信(例如,经由一或多个总线)。
切换组件1420可从源网络实体接收触发到目标网络实体的切换的切换命令消息。在一些情况下,源网络实体包含源AMF且目标网络实体包含目标AMF。
新鲜性参数通信器1425可接收第一新鲜性参数的指示,及接收第二新鲜性参数的指示。新鲜性参数通信器1425可接收经更新的第二新鲜性参数的指示,及接收经更新的第一新鲜性参数的指示。在一些情况下,第一新鲜性参数包含上行链路NAS计数、下行链路NAS计数、用于在源网络实体处刷新中间密钥的保留计数器,或其组合。
中间密钥生成器1430可基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。中间密钥生成器1430可基于网络实体基础密钥生成中间密钥,其中中间密钥不同于经刷新的中间密钥;及接收经刷新的中间密钥被配置成专门用于生成目标基站基础密钥的指示。
基站基础密钥生成器1435可基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥,并基于经更新的第二新鲜性参数刷新目标基站基础密钥。基站基础密钥生成器1435可基于经更新的经刷新中间密钥刷新目标基站基础密钥,并基于经更新的第一新鲜性参数刷新目标基站基础密钥。在一些情况下,第二新鲜性参数包含用于刷新目标基站基础密钥的保留计数器。
中间密钥通信器1440可接收经更新的经刷新中间密钥的指示。
图15示出根据本公开的方面的包含支持用于切换的安全密钥推导的装置1505的系统1500的图式。装置1505可为如上文例如参考图1所描述的UE 115的实例或包含所述UE的组件。装置1505可包含用于双向话音及数据通信的组件(包含用于发射及接收通信的组件),包含UE AS密钥管理器1515、处理器1520、存储器1525、软件1530、收发器1535、天线1540及I/O控制器1545。这些组件可经由一或多个总线(例如,总线1510)电子通信。装置1505可与一或多个基站105无线通信。
处理器1520可包含智能硬件装置(例如,通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑装置、离散门或晶体管逻辑组件、离散硬件组件或其任何组合)。在一些情况下,处理器1520可被配置成使用存储器控制器操作存储器阵列。在其它情况下,存储器控制器可集成到处理器1520中。处理器1520可被配置成执行存储于存储器中的计算机可读指令,以执行各种功能(例如,支持用于切换的安全密钥推导的功能或任务)。
存储器1525可包含RAM及ROM。存储器1525可存储计算机可读、计算机可执行软件1530,其包含在执行时致使处理器执行本文中所描述的各种功能的指令。在一些情况下,存储器1525可尤其含有BIOS,其可控制例如与外围组件或装置的交互的基本硬件或软件操作。
软件1530可包含实施本公开的方面的代码,包含支持用于切换的安全密钥推导的代码。软件1530可存储在例如系统存储器或其它存储器的非暂时性计算机可读媒体中。在一些情况下,软件1530可能不可由处理器直接执行,而是可致使计算机(例如,在被编译及执行时)执行本文中所描述的功能。
收发器1535可经由一或多个天线、有线或无线链路双向通信,如上文所描述。举例来说,收发器1535可表示无线收发器,且可与另一无线收发器双向通信。收发器1535还可包含调制解调器,以调制包并将经调制的包提供到天线以供发射,且对从天线接收到的包进行解调。
在一些情况下,无线装置可包含单个天线1540。然而,在一些情况下,装置可具有多于一个天线1540,其可能够同时发射或接收多个无线发射。
I/O控制器1545可管理装置1505的输入及输出信号。I/O控制器1545还可管理未集成到装置1505中的外围装置。在一些情况下,I/O控制器1545可表示到外部外围装置的物理连接或端口。在一些情况下,I/O控制器1545可利用例如
或另一已知操作系统的操作系统。在其它情况下,I/O控制器1545可表示调制解调器、键盘、鼠标、触摸屏或类似装置或与所述装置交互。在一些情况下,I/O控制器1545可实施为处理器的部分。在一些情况下,用户可经由I/O控制器1545或经由I/O控制器1545控制的硬件组件与装置1505交互。
图16示出说明根据本公开的方面的用于切换的安全密钥推导方法1600的流程图。方法1600的操作可由如本文中所描述的网络实体205(例如,AMF)或其组件实施。举例来说,方法1600的操作可由如参考图8到11所描述的网络实体AS密钥管理器执行。在一些实例中,网络实体205可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,网络实体205可使用专用硬件执行下文所描述的功能的方面。
在框1605处,网络实体205可识别触发从源网络实体到目标网络实体的切换的切换触发消息。如本文中所描述,源网络实体可为源AMF,且目标网络实体可为目标AMF。框1605的操作可根据本文中所描述的方法来执行。在某些实例中,框1605的操作的方面可由如参考图8到11所描述的切换组件来执行。
在框1610处,网络实体205可至少部分地基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥。框1610的操作可根据本文中所描述的方法来执行。在某些实例中,框1610的操作的方面可由如参考图8到11所描述的中间密钥生成器来执行。
在框1615处,网络实体205可将经刷新的中间密钥发射到目标网络实体。框1615的操作可根据本文中所描述的方法来执行。在某些实例中,框1615的操作的方面可由如参考图8到11所描述的中间密钥通信器来执行。
图17示出说明根据本公开的方面的用于切换的安全密钥推导方法1700的流程图。方法1700的操作可由如本文中所描述的网络实体205(例如,AMF)或其组件实施。举例来说,方法1700的操作可由如参考图8到11所描述的网络实体AS密钥管理器执行。在一些实例中,网络实体205可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,网络实体205可使用专用硬件执行下文所描述的功能的方面。
在框1705处,网络实体205可识别触发从源网络实体到目标网络实体的切换的切换触发消息。框1705的操作可根据本文中所描述的方法来执行。在某些实例中,框1705的操作的方面可由如参考图8到11所描述的切换组件来执行。
在框1710处,网络实体205可至少部分地基于网络实体基础密钥生成中间密钥,其中中间密钥不同于经刷新的中间密钥。框1710的操作可根据本文中所描述的方法来执行。在某些实例中,框1710的操作的方面可由如参考图8到11所描述的中间密钥生成器来执行。
在框1715处,网络实体205可至少部分地基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥。框1715的操作可根据本文中所描述的方法来执行。在某些实例中,框1715的操作的方面可由如参考图8到11所描述的中间密钥生成器来执行。
在框1720处,网络实体205可将经刷新的中间密钥发射到目标网络实体。框1720的操作可根据本文中所描述的方法来执行。在某些实例中,框1720的操作的方面可由如参考图8到11所描述的中间密钥通信器来执行。
图18示出说明根据本公开的方面的用于切换的安全密钥推导方法1800的流程图。方法1800的操作可由如本文中所描述的网络实体205(例如,AMF)或其组件实施。举例来说,方法1800的操作可由如参考图8到11所描述的网络实体AS密钥管理器执行。在一些实例中,网络实体205可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,网络实体205可使用专用硬件执行下文所描述的功能的方面。
在框1805处,网络实体205可识别触发从源网络实体到目标网络实体的切换的切换触发消息。框1805的操作可根据本文中所描述的方法来执行。在某些实例中,框1805的操作的方面可由如参考图8到11所描述的切换组件来执行。
在框1810处,网络实体205可至少部分地基于网络实体基础密钥生成中间密钥,其中中间密钥不同于经刷新的中间密钥。框1810的操作可根据本文中所描述的方法来执行。在某些实例中,框1810的操作的方面可由如参考图8到11所描述的中间密钥生成器来执行。
在框1815处,网络实体205可至少部分地基于第一新鲜性参数及切换触发消息生成经刷新的中间密钥。框1815的操作可根据本文中所描述的方法来执行。在某些实例中,框1815的操作的方面可由如参考图8到11所描述的中间密钥生成器来执行。
在框1820处,网络实体205可将经刷新的中间密钥发射到目标网络实体。框1820的操作可根据本文中所描述的方法来执行。在某些实例中,框1820的操作的方面可由如参考图8到11所描述的中间密钥通信器来执行。
在框1825处,网络实体205可生成至少部分地基于中间密钥及第二新鲜性参数的源基站基础密钥。框1825的操作可根据本文中所描述的方法来执行。在某些实例中,框1825的操作的方面可由如参考图8到11所描述的基站基础密钥生成器来执行。
图19示出说明根据本公开的方面的用于切换的安全密钥推导方法1900的流程图。方法1900的操作可由如本文中所描述的网络实体205(例如,AMF)或其组件实施。举例来说,方法1900的操作可由如参考图8到11所描述的网络实体AS密钥管理器执行。在一些实例中,网络实体205可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,网络实体205可使用专用硬件执行下文所描述的功能的方面。
在框1905处,网络实体205可识别触发从源网络实体到目标网络实体的切换的切换触发消息。框1905的操作可根据本文中所描述的方法来执行。在某些实例中,框1905的操作的方面可由如参考图8到11所描述的切换组件来执行。
在框1910处,网络实体205可从源网络实体接收经刷新的中间密钥,其中经刷新的中间密钥是至少部分地基于第一新鲜性参数,且其被配置成专门用于生成目标基站基础密钥。框1910的操作可根据本文中所描述的方法来执行。在某些实例中,框1910的操作的方面可由如参考图8到11所描述的中间密钥通信器来执行。
在框1915处,网络实体205可至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。框1915的操作可根据本文中所描述的方法来执行。在某些实例中,框1915的操作的方面可由如参考图8到11所描述的基站基础密钥生成器来执行。
图20示出说明根据本公开的方面的用于切换的安全密钥推导方法2000的流程图。方法2000的操作可由如本文中所描述的UE 115或其组件实施。举例来说,方法2000的操作可由如参考图12到15所描述的UE AS密钥管理器执行。在一些实例中,UE 115可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,UE115可使用专用硬件来执行下文所描述的功能的方面。
在框2005处,UE 115可从源网络实体接收触发到目标网络实体的切换的切换命令消息。框2005的操作可根据本文中所描述的方法来执行。在某些实例中,框2005的操作的方面可由如参考图12到15所描述的切换组件来执行。
在框2010处,UE 115可接收第一新鲜性参数的指示。框2010的操作可根据本文中所描述的方法来执行。在某些实例中,框2010的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2015处,UE 115可至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。框2015的操作可根据本文中所描述的方法来执行。在某些实例中,框2015的操作的方面可由如参考图12到15所描述的中间密钥生成器来执行。
图21示出说明根据本公开的方面的用于切换的安全密钥推导方法2100的流程图。方法2100的操作可由如本文中所描述的UE 115或其组件实施。举例来说,方法2100的操作可由如参考图12到15所描述的UE AS密钥管理器执行。在一些实例中,UE 115可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,UE115可使用专用硬件来执行下文所描述的功能的方面。
在框2105处,UE 115可从源网络实体接收触发到目标网络实体的切换的切换命令消息。框2105的操作可根据本文中所描述的方法来执行。在某些实例中,框2105的操作的方面可由如参考图12到15所描述的切换组件来执行。
在框2110处,UE 115可接收第一新鲜性参数的指示。框2110的操作可根据本文中所描述的方法来执行。在某些实例中,框2110的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2115处,UE 115可至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。框2115的操作可根据本文中所描述的方法来执行。在某些实例中,框2115的操作的方面可由如参考图12到15所描述的中间密钥生成器来执行。
在框2120处,UE 115可接收第二新鲜性参数的指示。框2120的操作可根据本文中所描述的方法来执行。在某些实例中,框2120的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2125处,UE 115可至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。框2125的操作可根据本文中所描述的方法来执行。在某些实例中,框2125的操作的方面可由如参考图12到15所描述的基站基础密钥生成器来执行。
图22示出说明根据本公开的方面的用于切换的安全密钥推导方法2200的流程图。方法2200的操作可由如本文中所描述的UE 115或其组件实施。举例来说,方法2200的操作可由如参考图12到15所描述的UE AS密钥管理器执行。在一些实例中,UE 115可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,UE115可使用专用硬件来执行下文所描述的功能的方面。
在框2205处,UE 115可从源网络实体接收触发到目标网络实体的切换的切换命令消息。框2205的操作可根据本文中所描述的方法来执行。在某些实例中,框2205的操作的方面可由如参考图12到15所描述的切换组件来执行。
在框2210处,UE 115可接收第一新鲜性参数的指示。框2210的操作可根据本文中所描述的方法来执行。在某些实例中,框2210的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2215处,UE 115可至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。框2215的操作可根据本文中所描述的方法来执行。在某些实例中,框2215的操作的方面可由如参考图12到15所描述的中间密钥生成器来执行。
在框2220处,UE 115可接收第二新鲜性参数的指示。框2220的操作可根据本文中所描述的方法来执行。在某些实例中,框2220的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2225处,UE 115可至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。框2225的操作可根据本文中所描述的方法来执行。在某些实例中,框2225的操作的方面可由如参考图12到15所描述的基站基础密钥生成器来执行。
在框2230处,UE 115可接收经更新的第二新鲜性参数的指示。框2230的操作可根据本文中所描述的方法来执行。在某些实例中,框2230的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2235处,UE 115可至少部分地基于经更新的第二新鲜性参数刷新目标基站基础密钥。框2235的操作可根据本文中所描述的方法来执行。在某些实例中,框2235的操作的方面可由如参考图12到15所描述的基站基础密钥生成器来执行。
图23示出说明根据本公开的方面的用于切换的安全密钥推导方法2300的流程图。方法2300的操作可由如本文中所描述的UE 115或其组件实施。举例来说,方法2300的操作可由如参考图12到15所描述的UE AS密钥管理器执行。在一些实例中,UE 115可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,UE115可使用专用硬件来执行下文所描述的功能的方面。
在框2305处,UE 115可从源网络实体接收触发到目标网络实体的切换的切换命令消息。框2305的操作可根据本文中所描述的方法来执行。在某些实例中,框2305的操作的方面可由如参考图12到15所描述的切换组件来执行。
在框2310处,UE 115可接收第一新鲜性参数的指示。框2310的操作可根据本文中所描述的方法来执行。在某些实例中,框2310的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2315处,UE 115可至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。框2315的操作可根据本文中所描述的方法来执行。在某些实例中,框2315的操作的方面可由如参考图12到15所描述的中间密钥生成器来执行。
在框2320处,UE 115可接收第二新鲜性参数的指示。框2320的操作可根据本文中所描述的方法来执行。在某些实例中,框2320的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2325处,UE 115可至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。框2325的操作可根据本文中所描述的方法来执行。在某些实例中,框2325的操作的方面可由如参考图12到15所描述的基站基础密钥生成器来执行。
在框2330处,UE 115可接收经更新的经刷新中间密钥的指示。框2330的操作可根据本文中所描述的方法来执行。在某些实例中,框2330的操作的方面可由如参考图12到15所描述的中间密钥通信器来执行。
在框2335处,UE 115可至少部分地基于经更新的经刷新中间密钥刷新目标基站基础密钥。框2335的操作可根据本文中所描述的方法来执行。在某些实例中,框2335的操作的方面可由如参考图12到15所描述的基站基础密钥生成器来执行。
图24示出说明根据本公开的方面的用于切换的安全密钥推导方法2400的流程图。方法2400的操作可由如本文中所描述的UE 115或其组件实施。举例来说,方法2400的操作可由如参考图12到15所描述的UE AS密钥管理器执行。在一些实例中,UE 115可执行控制装置的功能元件的代码集合,以执行下文所描述的功能。另外或替代地,UE115可使用专用硬件来执行下文所描述的功能的方面。
在框2405处,UE 115可从源网络实体接收触发到目标网络实体的切换的切换命令消息。框2405的操作可根据本文中所描述的方法来执行。在某些实例中,框2405的操作的方面可由如参考图12到15所描述的切换组件来执行。
在框2410处,UE 115可接收第一新鲜性参数的指示。框2410的操作可根据本文中所描述的方法来执行。在某些实例中,框2410的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2415处,UE 115可至少部分地基于第一新鲜性参数及切换命令消息生成经刷新的中间密钥,其中经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。框2415的操作可根据本文中所描述的方法来执行。在某些实例中,框2415的操作的方面可由如参考图12到15所描述的中间密钥生成器来执行。
在框2420处,UE 115可接收第二新鲜性参数的指示。框2420的操作可根据本文中所描述的方法来执行。在某些实例中,框2420的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2425处,UE 115可至少部分地基于经刷新的中间密钥及第二新鲜性参数生成目标基站基础密钥。框2425的操作可根据本文中所描述的方法来执行。在某些实例中,框2425的操作的方面可由如参考图12到15所描述的基站基础密钥生成器来执行。
在框2430处,UE 115可接收经更新的第一新鲜性参数的指示。框2430的操作可根据本文中所描述的方法来执行。在某些实例中,框2430的操作的方面可由如参考图12到15所描述的新鲜性参数通信器来执行。
在框2435处,UE 115可至少部分地基于经更新的第一新鲜性参数刷新目标基站基础密钥。框2435的操作可根据本文中所描述的方法来执行。在某些实例中,框2435的操作的方面可由如参考图12到15所描述的基站基础密钥生成器来执行。
应注意,上文所描述的方法描述可能的实施方案,且操作及步骤可经重新布置或以其它方式修改,且其它实施方案是可能的。此外,可组合来自方法中的两个或多于两个的方面。
本文中所描述的技术可用于各种无线通信系统,例如码分多址接入(CDMA)、时分多址接入(TDMA)、频分多址接入(FDMA)、正交频分多址接入(OFDMA)、单载波频分多址接入(SC-FDMA)及其它系统。CDMA系统可实施无线电技术,例如CDMA2000、全球陆地无线电接入(UTRA)等。CDMA2000涵盖IS-2000、IS-95及IS-856标准。IS-2000版本可通常被称为CDMA2000 1X、1X等。IS-856(TIA-856)通常被称为CDMA20001xEV-DO、高速率分组数据(HRPD),等。UTRA包含宽带CDMA(WCDMA)及CDMA的其它变型。TDMA系统可实现例如全球移动通信系统(GSM)的无线电技术。
OFDMA系统可实施无线电技术,例如超移动宽带(UMB)、演进型UTRA(E-UTRA)、电气电子工程师学会(IEEE)802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、快闪-OFDM等。UTRA及E-UTRA是全球移动电信系统(UMTS)的部分。LTE及LTE-A是使用E-UTRA的UMTS的版本。UTRA、E-UTRA、UMTS、LTE、LTE-A、NR及GSM描述于来自名为“第3代合作伙伴计划”(3GPP)的组织的文献中。CDMA2000及UMB描述于来自名为“第3代合作伙伴计划2”(3GPP2)的组织的文献中。本文中所描述的技术可用于上文所提及的系统及无线电技术,以及其它系统及无线电技术。虽然可出于实例的目的描述LTE或NR系统的方面,且可在大部分描述中使用LTE或NR术语,但本文中所描述的技术在LTE或NR应用之外也可适用。
巨型小区通常涵盖相对较大的地理区域(例如,半径为若干公里),且可允许具有对网络提供商的服务预订的UE 115进行不受限的接入。相比于巨型小区,小型小区可与较低功率的基站105相关联,且小型小区可在相同或不同于巨型小区的(例如,经许可、未经许可等)频带下操作。根据各种实例,小型小区可包含微微小区、毫微微小区及微型小区。举例来说,微微小区可涵盖小的地理区域,且可允许具有对网络提供商的服务预订的UE 115进行不受限的接入。毫微微小区也可涵盖小的地理区域(例如,家庭),且可实现与毫微微小区相关联的UE 115(例如,非开放用户群(CSG)中的UE 115、家庭中用户的UE 115等)进行受限制的接入。用于巨型小区的eNB可被称为巨型eNB。用于小型小区的eNB可被称为小型小区eNB、微微型eNB、毫微微型eNB或家庭eNB。eNB可支持一或多个(例如两个、三个、四个等)小区,且还可使用一或多个分量载波来支持通信。
本文中所描述的无线通信系统100可支持同步或异步操作。对于同步操作,基站105可具有类似帧时序,且来自不同基站105的发射可在时间上大致对准。对于异步操作,基站105可具有不同帧时序,且来自不同基站105的发射可不在时间上对准。本文中所描述的技术可用于同步或异步操作。
可使用多种不同技术及技艺中的任一个来表示本文中所描述的信息及信号。举例来说,可通过电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合来表示在整个上文描述中可能参考的数据、指令、命令、信息、信号、位、符号及码片。
可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置(PLD)、离散门或晶体管逻辑、离散硬件组件或其经设计以执行本文中所描述的功能的任何组合来实施或执行结合本公开所描述的各种说明性块及模块。通用处理器可为微处理器,但在替代方案中,处理器可为任何常规处理器、控制器、微控制器或状态机。处理器也可实施为计算装置的组合(例如,DSP与微处理器的组合、多个微处理器、一或多个微处理器结合DSP核心,或任何其它此类配置)。
本文中所描述的功能可以硬件、由处理器执行的软件、固件或其任何组合来实施。如果以由处理器执行的软件实施,则可将功能作为一或多个指令或代码存储于计算机可读媒体上或经由计算机可读媒体发射。其它实例及实施方案在本公开及所附权利要求书的范围内。举例来说,由于软件的本质,上文所描述的功能可使用由处理器执行的软件、硬件、固件、硬连线或这些中的任一个的组合来实施。实施功能的特征也可在物理上位于各种位置处(包含分布式),使得功能的各部分在不同物理位置处实施。
计算机可读媒体包含非暂时性计算机存储媒体,及包含促进将计算机程序从一处传递到另一处的任何媒体的通信媒体两者。非暂时性存储媒体可为可由通用或专用计算机接入的任何可用媒体。借助于实例而非限制,非暂时性计算机可读媒体可包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪存储器、光盘(CD)ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置,或任何其它可用以携载或存储呈指令或数据结构形式,且可由通用或专用计算机或通用或专用处理器接入的所要程序代码装置的非暂时性媒体。并且,适当地将任何连接称为计算机可读媒体。举例来说,如果使用同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或例如红外线、无线电及微波的无线技术从网站、服务器或其它远程源发射软件,则所述同轴电缆、光纤电缆、双绞线、DSL或例如红外线、无线电及微波的无线技术包含在媒体的定义中。如本文中所使用,磁盘及光盘包含CD、激光光盘、光学光盘、数字多功能光盘(DVD)、软盘及蓝光光盘,其中磁盘通常以磁性方式再现数据,而光盘用激光以光学方式再现数据。上文各项的组合也包含在计算机可读媒体的范围内。
如本文中(包含权利要求书中)所使用,如在项目列表(例如,由例如“中的至少一个”或“中的一个或多个”的短语开始的项目列表)中所使用的“或”指示包含性列表,使得例如A、B或C中的至少一个的列表意味着A或B或C或AB或AC或BC或ABC(即,A及B及C)。并且,如本文中所使用,短语“基于”不应被理解为提及一组封闭条件。举例来说,在不脱离本公开的范围的情况下,描述为“基于条件A”的示范性步骤可基于条件A及条件B两者。换句话说,如本文中所使用,短语“基于”应同样地理解为短语“至少部分地基于”。
在附图中,类似组件或特征可具有相同的附图标记。此外,通过在附图标记后接虚线及在类似组件当中区分的第二标记,可区分相同类型的各种组件。如果说明书中仅使用第一附图标记,则描述适用于具有相同第一附图标记的类似组件中的任一个,而与第二附图标记或其它后续附图标记无关。
本文中结合附图阐述的实施方式描述实例配置,且并不表示可实施或在权利要求书的范围内的所有实例。本文中所使用的术语“示范性”意味着“充当实例、例子或说明”,且并不意味着“优选”或“优于其它实例”。出于提供对所描述技术的理解的目的,实施方式包含具体细节。然而,可在并无这些具体细节的情况下实践这些技术。在一些情况下,以框图形式示出熟知结构及装置,以免混淆所描述实例的概念。
提供本文中的描述是为了使所属领域的技术人员能够制作或使用本公开。所属领域的技术人员将易于显而易见对本公开的各种修改,且本文中所定义的一般原理可应用于其它变型而不会脱离本公开的范围。因此,本公开不限于本文中所描述的实例及设计,而是被赋予与本文中所公开的原理及新颖特征一致的最宽范围。
Claims (38)
1.一种用于无线通信的方法,其包括:
识别触发从源接入和移动性功能AMF到目标AMF的切换的切换触发;
响应于识别所述切换触发,至少部分地基于所述源AMF的AMF基础密钥及第一新鲜性参数生成经刷新的中间密钥,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
将所述经刷新的中间密钥发射到所述目标AMF。
2.根据权利要求1所述的方法,其进一步包括:
至少部分地基于AMF基础密钥生成用于所述源AMF的中间密钥,其中所述中间密钥不同于所述经刷新的中间密钥。
3.根据权利要求2所述的方法,其进一步包括:
生成至少部分地基于所述中间密钥及第二新鲜性参数的源基站基础密钥,所述源基站基础密钥用于保护UE与源基站之间的连接,并且所述第二新鲜性参数包括第二计数。
4.根据权利要求3所述的方法,其进一步包括:
将所述源基站基础密钥发射到源基站。
5.根据权利要求3所述的方法,其进一步包括:
至少部分地基于经刷新的第二新鲜性参数生成经刷新的源基站基础密钥。
6.根据权利要求3所述的方法,其中第三新鲜性参数包括用于刷新所述源基站基础密钥的保留计数器。
7.根据权利要求2所述的方法,其进一步包括:
至少部分地基于所述经刷新的中间密钥,生成用于非接入层NAS传信的加密密钥及用于NAS传信的完整性密钥。
8.根据权利要求1所述的方法,其中所述经刷新的中间密钥包括所述目标AMF的AMF基础密钥。
9.根据权利要求8所述的方法,其中所述目标AMF的所述AMF基础密钥被配置成专门用于生成目标基站基础密钥。
10.根据权利要求1所述的方法,其中所述经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
11.一种用于无线通信的方法,其包括:
识别触发从源接入和移动性功能AMF到目标AMF的切换的切换触发;
从所述源AMF接收经刷新的中间密钥,其中所述经刷新的中间密钥是至少部分地基于所述源AMF的AMF基础密钥及第一新鲜性参数生成的,且其被配置成专门用于生成目标基站基础密钥,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
至少部分地基于所述经刷新的中间密钥及第二新鲜性参数生成所述目标基站基础密钥,所述第二新鲜性参数包括第二计数。
12.根据权利要求11所述的方法,其中所述经刷新的中间密钥不同于在所述源AMF处使用的中间密钥。
13.根据权利要求11所述的方法,其中所述经刷新的中间密钥包括AMF基础密钥的链状密钥。
14.根据权利要求11所述的方法,其中:
所述目标基站基础密钥至少部分地基于中间密钥及第三新鲜性参数生成。
15.根据权利要求14所述的方法,其中所述第三新鲜性参数包括用于刷新所述目标基站基础密钥的保留计数器。
16.根据权利要求11所述的方法,其中所述第二新鲜性参数包括用于刷新所述目标基站基础密钥的保留计数器。
17.根据权利要求11所述的方法,其进一步包括:
将所述目标基站基础密钥发射到目标基站。
18.根据权利要求11所述的方法,其进一步包括:
在所述切换完成之后接收经刷新的AMF基础密钥。
19.根据权利要求18所述的方法,其进一步包括:
至少部分地基于所述经刷新的AMF基础密钥,生成用于非接入层NAS传信的加密密钥及用于NAS传信的完整性密钥。
20.一种用于无线通信的方法,其包括:
从源接入和移动性功能AMF接收触发到目标AMF的切换的切换命令消息;
接收第一新鲜性参数的指示,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
至少部分地基于所述源AMF的AMF基础密钥及所述第一新鲜性参数生成经刷新的中间密钥,其中所述经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
21.根据权利要求20所述的方法,其进一步包括:
接收第二新鲜性参数的指示,所述第二新鲜性参数包括第二计数;及
至少部分地基于所述经刷新的中间密钥及所述第二新鲜性参数生成所述目标基站基础密钥。
22.根据权利要求21所述的方法,其进一步包括:
接收经更新的第二新鲜性参数的指示;及
至少部分地基于所述经更新的第二新鲜性参数刷新所述目标基站基础密钥。
23.根据权利要求21所述的方法,其进一步包括:
接收经更新的经刷新中间密钥的指示;及
至少部分地基于所述经更新的经刷新中间密钥刷新所述目标基站基础密钥。
24.根据权利要求21所述的方法,其进一步包括:
接收经更新的第一新鲜性参数的指示;及
至少部分地基于所述经更新的第一新鲜性参数刷新所述目标基站基础密钥。
25.根据权利要求21所述的方法,其进一步包括:
至少部分地基于所述目标基站基础密钥与目标基站通信。
26.根据权利要求21所述的方法,其中所述第二新鲜性参数包括用于刷新所述目标基站基础密钥的保留计数器。
27.根据权利要求20所述的方法,其进一步包括:
至少部分地基于AMF基础密钥生成中间密钥,其中所述中间密钥不同于所述经刷新的中间密钥。
28.根据权利要求20所述的方法,其进一步包括:
接收所述经刷新的中间密钥被配置成专门用于生成所述目标基站基础密钥的指示。
29.根据权利要求20所述的方法,其中所述第一新鲜性参数包括上行链路非接入层NAS计数、下行链路NAS计数、用于在所述源AMF处刷新中间密钥的保留计数器,或其组合。
30.一种用于无线通信的设备,其包括:
用于识别触发从源接入和移动性功能AMF到目标AMF的切换的切换触发的装置;
用于响应于识别所述切换触发,至少部分地基于所述源AMF的AMF基础密钥及第一新鲜性参数生成经刷新的中间密钥的装置,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
用于将所述经刷新的中间密钥发射到所述目标AMF的装置。
31.一种用于无线通信的设备,其包括:
用于识别触发从源接入和移动性功能AMF到目标AMF的切换的切换触发的装置;
用于从所述源AMF接收经刷新的中间密钥的装置,其中所述经刷新的中间密钥是至少部分地基于所述源AMF的AMF基础密钥及第一新鲜性参数生成的,且其被配置成专门用于生成目标基站基础密钥,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
用于至少部分地基于所述经刷新的中间密钥及第二新鲜性参数生成所述目标基站基础密钥的装置,所述第二新鲜性参数包括第二计数。
32.一种用于无线通信的设备,其包括:
用于从源接入和移动性功能AMF接收触发到目标AMF的切换的切换命令消息的装置;
用于接收第一新鲜性参数的指示的装置,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
用于至少部分地基于所述源AMF的AMF基础密钥及所述第一新鲜性参数生成经刷新的中间密钥的装置,其中所述经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
33.一种用于无线通信的设备,其包括:
处理器;
存储器,其与所述处理器电子通信;及
指令,其存储于所述存储器中,且在由所述处理器执行时可操作以致使所述设备:
识别触发从源接入和移动性功能AMF到目标AMF的切换的切换触发;
响应于识别所述切换触发,至少部分地基于所述源AMF的AMF基础密钥及第一新鲜性参数生成经刷新的中间密钥,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
将所述经刷新的中间密钥发射到所述目标AMF。
34.一种用于无线通信的设备,其包括:
处理器;
存储器,其与所述处理器电子通信;及
指令,其存储于所述存储器中,且在由所述处理器执行时可操作以致使所述设备:
识别触发从源接入和移动性功能AMF到目标AMF的切换的切换触发;
从所述源AMF接收经刷新的中间密钥,其中所述经刷新的中间密钥是至少部分地基于所述源AMF的AMF基础密钥及第一新鲜性参数生成的,且其被配置成专门用于生成目标基站基础密钥,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
至少部分地基于所述经刷新的中间密钥及第二新鲜性参数生成所述目标基站基础密钥,所述第二新鲜性参数包括第二计数。
35.一种用于无线通信的设备,其包括:
处理器;
存储器,其与所述处理器电子通信;及
指令,其存储于所述存储器中,且在由所述处理器执行时可操作以致使所述设备:
从源接入和移动性功能AMF接收触发到目标AMF的切换的切换命令消息;
接收第一新鲜性参数的指示,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
至少部分地基于所述源AMF的AMF基础密钥及所述第一新鲜性参数生成经刷新的中间密钥,其中所述经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
36.一种存储用于无线通信的代码的非暂时性计算机可读媒体,所述代码包括可由处理器执行以进行以下操作的指令:
识别触发从源接入和移动性功能AMF到目标AMF的切换的切换触发;
响应于识别所述切换触发,至少部分地基于所述源AMF的AMF基础密钥及第一新鲜性参数生成经刷新的中间密钥,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
将所述经刷新的中间密钥发射到所述目标AMF。
37.一种存储用于无线通信的代码的非暂时性计算机可读媒体,所述代码包括可由处理器执行以进行以下操作的指令:
识别触发从源接入和移动性功能AMF到目标AMF的切换的切换触发;
从所述源AMF接收经刷新的中间密钥,其中所述经刷新的中间密钥是至少部分地基于所述源AMF的AMF基础密钥及第一新鲜性参数生成的,且其被配置成专门用于生成目标基站基础密钥,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
至少部分地基于所述经刷新的中间密钥及第二新鲜性参数生成所述目标基站基础密钥,所述第二新鲜性参数包括第二计数。
38.一种存储用于无线通信的代码的非暂时性计算机可读媒体,所述代码包括可由处理器执行以进行以下操作的指令:
从源接入和移动性功能AMF接收触发到目标AMF的切换的切换命令消息;
接收第一新鲜性参数的指示,其中所述第一新鲜性参数是下行链路或上行链路非接入层(NAS)计数;及
至少部分地基于所述源AMF的AMF基础密钥及所述第一新鲜性参数生成经刷新的中间密钥,其中所述经刷新的中间密钥被配置成专门用于生成目标基站基础密钥。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762538626P | 2017-07-28 | 2017-07-28 | |
| US62/538,626 | 2017-07-28 | ||
| US16/035,239 US11071021B2 (en) | 2017-07-28 | 2018-07-13 | Security key derivation for handover |
| US16/035,239 | 2018-07-13 | ||
| PCT/US2018/042292 WO2019022983A1 (en) | 2017-07-28 | 2018-07-16 | SECURITY KEY BYPASS FOR INTERCELLULAR TRANSFER |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110870350A CN110870350A (zh) | 2020-03-06 |
| CN110870350B true CN110870350B (zh) | 2021-12-07 |
Family
ID=65038461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880046056.7A Active CN110870350B (zh) | 2017-07-28 | 2018-07-16 | 用于切换的安全密钥推导 |
Country Status (21)
| Country | Link |
|---|---|
| US (1) | US11071021B2 (zh) |
| EP (1) | EP3659365B1 (zh) |
| JP (1) | JP7264868B2 (zh) |
| KR (1) | KR102517869B1 (zh) |
| CN (1) | CN110870350B (zh) |
| AU (1) | AU2018307214B2 (zh) |
| BR (1) | BR112020001642A2 (zh) |
| CA (1) | CA3067886A1 (zh) |
| CL (1) | CL2020000204A1 (zh) |
| CO (1) | CO2020000788A2 (zh) |
| DK (1) | DK3659365T3 (zh) |
| ES (1) | ES2936829T3 (zh) |
| FI (1) | FI3659365T3 (zh) |
| HU (1) | HUE061074T2 (zh) |
| PL (1) | PL3659365T3 (zh) |
| PT (1) | PT3659365T (zh) |
| SG (1) | SG11201912077YA (zh) |
| SI (1) | SI3659365T1 (zh) |
| TW (1) | TWI787309B (zh) |
| WO (1) | WO2019022983A1 (zh) |
| ZA (1) | ZA202000536B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10652733B2 (en) * | 2013-12-24 | 2020-05-12 | Nec Corporation | Apparatus, system and method for SCE |
| JP6943965B2 (ja) * | 2017-01-30 | 2021-10-06 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 5gにおける接続モード中のセキュリティコンテキストハンドリング |
| EP4047865A1 (en) * | 2017-09-26 | 2022-08-24 | Telefonaktiebolaget LM Ericsson (publ) | Managing security contexts and performing key derivation at handover in a wireless communication system |
| US10542428B2 (en) | 2017-11-20 | 2020-01-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context handling in 5G during handover |
| CN112534850B (zh) * | 2018-08-13 | 2024-05-28 | 瑞典爱立信有限公司 | 无线通信网络中的非接入层通信的保护 |
| US10805792B2 (en) * | 2018-09-07 | 2020-10-13 | Nokia Technologies Oy | Method and apparatus for securing multiple NAS connections over 3GPP and non-3GPP access in 5G |
| WO2020215272A1 (zh) * | 2019-04-25 | 2020-10-29 | 华为技术有限公司 | 通信方法、通信装置和通信系统 |
| EP4018595A1 (en) * | 2019-09-13 | 2022-06-29 | Dencrypt A/S | Methods and devices for secure data communication |
| EP4085675A4 (en) * | 2019-12-30 | 2023-08-16 | Istanbul Medipol Universitesi | SECURE COMMUNICATION PROCESS |
| US11706671B2 (en) | 2020-06-04 | 2023-07-18 | Electronics And Telecommunications Research Institute | Method and apparatus for conditional handover operation in communication system |
| KR102234087B1 (ko) * | 2020-12-02 | 2021-03-30 | 영남대학교 산학협력단 | 채널 전환 기반 무선랜 재밍 방어 시스템 |
| CN114258017B (zh) * | 2021-12-27 | 2024-01-30 | 中国电信股份有限公司 | 互斥切片接入方法、装置、电子设备及计算机可读介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101715188A (zh) * | 2010-01-14 | 2010-05-26 | 中兴通讯股份有限公司 | 一种空口密钥的更新方法及系统 |
| CN102017675A (zh) * | 2008-06-20 | 2011-04-13 | 株式会社Ntt都科摩 | 移动通信方法和移动台 |
| CN102281535A (zh) * | 2010-06-10 | 2011-12-14 | 华为技术有限公司 | 一种密钥更新方法与装置 |
| WO2011160059A1 (en) * | 2010-06-18 | 2011-12-22 | Interdigital Patent Holdings, Inc. | Distributed architecture for security keys derivation in support of non-involved core network handover |
| CN103686708A (zh) * | 2012-09-13 | 2014-03-26 | 电信科学技术研究院 | 一种密钥隔离方法及设备 |
| CN103781069A (zh) * | 2012-10-19 | 2014-05-07 | 华为技术有限公司 | 一种双向认证的方法、设备及系统 |
| WO2014112262A1 (en) * | 2013-01-17 | 2014-07-24 | Nec Corporation | Secure communications in a cellular system with split user and control planes |
| CN105830476A (zh) * | 2013-12-23 | 2016-08-03 | 皇家Kpn公司 | 用于从无线电接入网络提供安全的方法和系统 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4390842B1 (ja) * | 2008-08-15 | 2009-12-24 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法、無線基地局及び移動局 |
| JP4505528B2 (ja) * | 2008-09-22 | 2010-07-21 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
| US20100173610A1 (en) * | 2009-01-05 | 2010-07-08 | Qualcomm Incorporated | Access stratum security configuration for inter-cell handover |
| US20100172500A1 (en) * | 2009-01-05 | 2010-07-08 | Chih-Hsiang Wu | Method of handling inter-system handover security in wireless communications system and related communication device |
| GB2472580A (en) * | 2009-08-10 | 2011-02-16 | Nec Corp | A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers |
| JP4499824B2 (ja) * | 2009-09-10 | 2010-07-07 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
| US9167424B2 (en) * | 2010-01-18 | 2015-10-20 | Htc Corporation | Method of handling security in SRVCC handover and related communication device |
| US8730912B2 (en) * | 2010-12-01 | 2014-05-20 | Qualcomm Incorporated | Determining a non-access stratum message count in handover |
| US8681740B2 (en) * | 2010-12-21 | 2014-03-25 | Tektronix, Inc. | LTE network call correlation during User Equipment mobility |
| JP6135878B2 (ja) * | 2012-05-04 | 2017-05-31 | ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. | ネットワークスイッチング中におけるセキュリティ処理方法およびシステム |
| WO2014040245A1 (en) * | 2012-09-12 | 2014-03-20 | Nokia Corporation | Method and apparatus for mobility control in a heterogenous network |
| EP2912867A1 (en) * | 2012-10-29 | 2015-09-02 | Nokia Solutions and Networks Oy | Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks |
| KR102349361B1 (ko) * | 2015-05-29 | 2022-01-10 | 애플 인크. | 5g 및 lte 시스템 및 장치에서의 단절없는 이동 |
| US9883385B2 (en) | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
| US10362511B2 (en) * | 2016-05-17 | 2019-07-23 | Lg Electronics Inc. | Method and apparatus for determining PDU session identity in wireless communication system |
| US20200120570A1 (en) * | 2016-12-15 | 2020-04-16 | Lg Electronics Inc. | Method for performing handover in wireless communication system and apparatus therefor |
| CN109155949B (zh) * | 2017-01-09 | 2021-06-11 | Lg 电子株式会社 | 无线通信中在网络之间的互通方法及其装置 |
| CN108401271B (zh) * | 2017-02-07 | 2021-03-26 | 中兴通讯股份有限公司 | 基站的切换方法、系统及存储介质 |
| CN110431881B (zh) * | 2017-03-21 | 2022-06-21 | 瑞典爱立信有限公司 | 用于在5g网络中处理切换的方法和节点 |
| CN109429219B (zh) * | 2017-07-20 | 2021-04-09 | 华为技术有限公司 | 切换方法、设备及系统 |
| CN108966220B (zh) * | 2017-07-28 | 2019-07-23 | 华为技术有限公司 | 一种密钥推演的方法及网络设备 |
| EP3673682B1 (en) * | 2017-09-28 | 2023-12-27 | Ofinno, LLC | Smf, amf and upf relocation during ue registration |
| US10939239B2 (en) * | 2017-11-06 | 2021-03-02 | Qualcomm Incorporated | Systems and methods for coexistence of different location solutions for fifth generation wireless networks |
-
2018
- 2018-07-13 US US16/035,239 patent/US11071021B2/en active Active
- 2018-07-16 AU AU2018307214A patent/AU2018307214B2/en active Active
- 2018-07-16 KR KR1020207002304A patent/KR102517869B1/ko active IP Right Grant
- 2018-07-16 SG SG11201912077YA patent/SG11201912077YA/en unknown
- 2018-07-16 CA CA3067886A patent/CA3067886A1/en active Pending
- 2018-07-16 JP JP2020503784A patent/JP7264868B2/ja active Active
- 2018-07-16 WO PCT/US2018/042292 patent/WO2019022983A1/en active Application Filing
- 2018-07-16 HU HUE18750565A patent/HUE061074T2/hu unknown
- 2018-07-16 CN CN201880046056.7A patent/CN110870350B/zh active Active
- 2018-07-16 SI SI201830834T patent/SI3659365T1/sl unknown
- 2018-07-16 PT PT187505656T patent/PT3659365T/pt unknown
- 2018-07-16 PL PL18750565.6T patent/PL3659365T3/pl unknown
- 2018-07-16 EP EP18750565.6A patent/EP3659365B1/en active Active
- 2018-07-16 FI FIEP18750565.6T patent/FI3659365T3/fi active
- 2018-07-16 BR BR112020001642-0A patent/BR112020001642A2/pt unknown
- 2018-07-16 DK DK18750565.6T patent/DK3659365T3/da active
- 2018-07-16 ES ES18750565T patent/ES2936829T3/es active Active
- 2018-07-27 TW TW107125999A patent/TWI787309B/zh active
-
2020
- 2020-01-24 CL CL2020000204A patent/CL2020000204A1/es unknown
- 2020-01-24 CO CONC2020/0000788A patent/CO2020000788A2/es unknown
- 2020-01-27 ZA ZA2020/00536A patent/ZA202000536B/en unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017675A (zh) * | 2008-06-20 | 2011-04-13 | 株式会社Ntt都科摩 | 移动通信方法和移动台 |
| CN101715188A (zh) * | 2010-01-14 | 2010-05-26 | 中兴通讯股份有限公司 | 一种空口密钥的更新方法及系统 |
| CN102281535A (zh) * | 2010-06-10 | 2011-12-14 | 华为技术有限公司 | 一种密钥更新方法与装置 |
| WO2011160059A1 (en) * | 2010-06-18 | 2011-12-22 | Interdigital Patent Holdings, Inc. | Distributed architecture for security keys derivation in support of non-involved core network handover |
| CN103686708A (zh) * | 2012-09-13 | 2014-03-26 | 电信科学技术研究院 | 一种密钥隔离方法及设备 |
| CN103781069A (zh) * | 2012-10-19 | 2014-05-07 | 华为技术有限公司 | 一种双向认证的方法、设备及系统 |
| WO2014112262A1 (en) * | 2013-01-17 | 2014-07-24 | Nec Corporation | Secure communications in a cellular system with split user and control planes |
| CN105830476A (zh) * | 2013-12-23 | 2016-08-03 | 皇家Kpn公司 | 用于从无线电接入网络提供安全的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201911895A (zh) | 2019-03-16 |
| KR20200030547A (ko) | 2020-03-20 |
| US11071021B2 (en) | 2021-07-20 |
| DK3659365T3 (da) | 2023-01-23 |
| CA3067886A1 (en) | 2019-01-31 |
| CL2020000204A1 (es) | 2020-07-31 |
| PT3659365T (pt) | 2023-01-17 |
| EP3659365B1 (en) | 2022-12-28 |
| ES2936829T3 (es) | 2023-03-22 |
| JP2020529156A (ja) | 2020-10-01 |
| EP3659365A1 (en) | 2020-06-03 |
| KR102517869B1 (ko) | 2023-04-03 |
| SG11201912077YA (en) | 2020-02-27 |
| BR112020001642A2 (pt) | 2020-07-21 |
| HUE061074T2 (hu) | 2023-05-28 |
| ZA202000536B (en) | 2022-07-27 |
| AU2018307214B2 (en) | 2023-01-12 |
| WO2019022983A1 (en) | 2019-01-31 |
| JP7264868B2 (ja) | 2023-04-25 |
| TWI787309B (zh) | 2022-12-21 |
| PL3659365T3 (pl) | 2023-03-06 |
| SI3659365T1 (sl) | 2023-02-28 |
| US20190037454A1 (en) | 2019-01-31 |
| CO2020000788A2 (es) | 2020-02-07 |
| CN110870350A (zh) | 2020-03-06 |
| AU2018307214A1 (en) | 2020-01-16 |
| FI3659365T3 (fi) | 2023-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110870350B (zh) | 用于切换的安全密钥推导 | |
| US11350272B2 (en) | Encrypting network slice selection assistance information | |
| EP4293946A1 (en) | Control search space overlap indication | |
| US10757572B2 (en) | Identity based signature in system information protection | |
| CN112840734A (zh) | 两步随机接入过程的消息1 | |
| WO2020036720A1 (en) | Control elements to configure and trigger sounding reference signals | |
| TWI828905B (zh) | 用於使用預配置的上行鏈路資源進行無線通訊的技術 | |
| US11553335B2 (en) | Secure multiparty computation for Internet of Things communications | |
| US11778470B2 (en) | Protection of control signaling in a wireless backhaul network | |
| US20200245135A1 (en) | Support for early data transmission with central unit/distributed unit functional split | |
| TWI765081B (zh) | 無線系統中的載波聚合配置 | |
| US11546350B2 (en) | Data provenance | |
| WO2020227289A1 (en) | Aggregate data provenance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40016385 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |