CN111670587B - 用于多个注册的方法和设备 - Google Patents
用于多个注册的方法和设备 Download PDFInfo
- Publication number
- CN111670587B CN111670587B CN201980011163.0A CN201980011163A CN111670587B CN 111670587 B CN111670587 B CN 111670587B CN 201980011163 A CN201980011163 A CN 201980011163A CN 111670587 B CN111670587 B CN 111670587B
- Authority
- CN
- China
- Prior art keywords
- network
- key
- user device
- identifier
- count
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004891 communication Methods 0.000 claims description 34
- 238000012545 processing Methods 0.000 claims description 24
- 230000006870 function Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 15
- 238000009795 derivation Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/005—Multiple registrations, e.g. multihoming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于第一密钥与第一网络具有安全上下文的用户装置可以与第二网络建立安全上下文。在一种方法中,用户装置可以基于第一密钥和第二网络的网络标识符来生成密钥标识符。用户装置可以将密钥标识符转发到第二网络,用于由第二网络转发到第一网络,以使得第一网络能够在第一网络处标识第一密钥。用户装置可以从第二网络接收密钥计数。密钥计数可以与从第一网络转发到第二网络的第二密钥相关联。用户装置可以基于第一密钥和接收到的密钥计数来生成第二密钥,从而在第二网络和用户装置之间建立安全上下文。
Description
相关申请的交叉引用
本申请要求2019年1月11日向美国专利局提交的非临时专利申请第16/246,349号和2018年1月12日向美国专利局提交的临时专利申请第62/617,065号的优先权和权益,其全部内容通过引用并入本文,如同在下面完全阐述并用于所有适用目的。
技术领域
本公开总体上涉及在用户装置和无线网络基础设施之间建立安全上下文。
背景技术
无线通信系统被广泛地部署以提供各种类型的通信内容,例如,语音、视频、数据等。典型的无线通信系统可以是能够通过共享可用系统资源(例如,带宽、传输功率等)来支持与多个用户进行通信的多址系统。通常,无线多址通信系统可以同时支持用于多个装置的通信。每个被服务装置可以与一个或多个无线电接入站通信。
在接入无线通信网络之前,可以认证装置(也称为订户装置、用户装置、移动装置等)。在许多无线通信网络中,可以使用由网络运营商和/或服务供应商提供的证书来执行认证。因此,用于通过交换一个或多个证书来向无线通信网络认证装置的系统和方法可以是有益的。
用户装置(UE)可以向两个或更多个不同类型的无线网络注册。用户装置与每个无线网络建立并维护安全上下文。然而,每次UE向新的服务网络注册时执行UE的完全认证是耗时的。
因此,存在对于用户装置与多于一个无线网络有效地建立和维护安全上下文的技术的需求。
发明内容
本公开的一方面可以在于一种用于由基于第一密钥与第一网络具有安全上下文的用户装置/站与第二网络建立安全上下文的方法,包括:由所述用户装置基于第一密钥和第二网络的网络标识符生成密钥标识符;由所述用户装置将所述密钥标识符转发到所述第二网络,用于由所述第二网络转发到所述第一网络,以使得所述第一网络能够在所述第一网络处标识所述第一密钥;由所述用户装置从所述第二网络接收密钥计数,其中所述密钥计数与从所述第一网络转发到所述第二网络的第二密钥关联;和由所述用户装置基于所述第一密钥和接收到的密钥计数来生成所述第二密钥,由此在所述第二网络和所述用户装置之间建立安全上下文。
在更详细的方面,当用户装置向第三网络注册时,用户装置可以与第一网络建立第一密钥。可以在用户装置和第一网络之间建立第一密钥,作为与第一网络执行认证和密钥协定协议的一部分。所述用户装置可以是移动装置,所述第一网络可以是第一公共陆地移动网络,并且所述第二网络可以是第二公共陆地移动网络。而且,所述第二网络可以包括无线局域网(WLAN)接入网络或固定宽带接入网络。所述第三网络可以包括3GPP无线电接入网络,诸如5G无线电接入网络(RAN)或长期演进(LTE)RAN。
在其他更详细的方面,该方法可以进一步包括:由所述用户装置使用所述第二密钥,以生成用于保护所述用户装置与所述第二网络之间的通信的加密密钥或完整性密钥中的至少一个。而且,生成密钥标识符可以进一步基于用户装置标识符和/或函数调用值中的至少一部分。
另一方面可以在于一种用于与第二网络建立安全上下文的用户装置,包括:用于基于第一密钥和第二网络的网络标识符生成密钥标识符的部件,其中所述第一网络和用户装置之间的安全上下文基于第一密钥;用于将所述密钥标识符转发到所述第二网络、用于由所述第二网络转发到所述第一网络、以使得所述第一网络能够在所述第一网络处标识所述第一密钥的部件;用于从所述第二网络接收密钥计数的部件,其中所述密钥计数与从所述第一网络转发到所述第二网络的第二密钥关联;和用于基于所述第一密钥和接收到的密钥计数来生成所述第二密钥、由此在所述第二网络和所述用户装置之间建立安全上下文的部件。
另一方面可以在于一种用于与第二网络建立安全上下文的用户装置,该用户装置包括:处理器,被配置为:基于第一密钥和第二网络的网络标识符生成密钥标识符,其中所述第一网络和用户装置之间的安全上下文基于第一密钥;将所述密钥标识符转发到所述第二网络,用于由所述第二网络转发到所述第一网络,以使得所述第一网络能够在所述第一网络处标识所述第一密钥;从所述第二网络接收密钥计数,其中所述密钥计数与从所述第一网络转发到所述第二网络的第二密钥关联;和基于所述第一密钥和接收到的密钥计数来生成所述第二密钥,由此在所述第二网络和所述用户装置之间建立安全上下文。
另一方面可以在于一种计算机可读介质,其包括:用于促使计算机基于第一密钥和第二网络的网络标识符生成密钥标识符的代码,其中所述第一网络和用户装置之间的安全上下文基于第一密钥;用于促使计算机将所述密钥标识符转发到所述第二网络、用于由所述第二网络转发到所述第一网络、以使得所述第一网络能够在所述第一网络处标识所述第一密钥的代码;用于促使计算机从所述第二网络接收密钥计数的代码,其中所述密钥计数与从所述第一网络转发到所述第二网络的第二密钥关联;和用于促使计算机基于所述第一密钥和接收到的密钥计数来生成所述第二密钥、由此在所述计算机之间建立安全上下文的代码。
另一方面可以在于一种方法,包括:由第一网络接收密钥标识符,其中所述密钥标识符基于第一密钥和第二网络的网络标识符;由所述第一网络基于所述密钥标识符和所述第二网络的网络标识符,来标识所述第一密钥;由所述第一网络基于所述第一密钥和密钥计数,来生成第二密钥;和由所述第一网络将所述第二密钥和所述密钥计数转发到所述第二网络,用于在所述第二网络和用户装置之间建立安全上下文。
另一方面可以在于一种第一网络,包括:用于接收密钥标识符的部件,其中所述密钥标识符基于第一密钥和第二网络的网络标识符;用于基于所述密钥标识符和所述第二网络的网络标识符来标识所述第一密钥的部件;用于基于所述第一密钥和密钥计数来生成第二密钥的部件;和用于将所述第二密钥和所述密钥计数转发到所述第二网络、用于在所述第二网络和用户装置之间建立安全上下文的部件。
另一方面可以在于一种第一网络,包括:处理器,被配置为:接收密钥标识符,其中所述密钥标识符基于第一密钥和第二网络的网络标识符;基于所述密钥标识符和所述第二网络的网络标识符来标识所述第一密钥;基于所述第一密钥和密钥计数来生成第二密钥;和将所述第二密钥和所述密钥计数转发到所述第二网络,用于在所述第二网络和用户装置之间建立安全上下文。
另一方面可以在于一种计算机可读介质,包括:用于促使计算机接收密钥标识符的代码,其中所述密钥标识符基于第一密钥和第二网络的网络标识符;用于促使计算机基于所述密钥标识符和所述第二网络的网络标识符来标识所述第一密钥的代码;用于促使计算机基于所述第一密钥和密钥计数来生成第二密钥的代码;和用于促使计算机将所述第二密钥和所述密钥计数转发到所述第二网络、用于在所述第二网络和用户装置之间建立安全上下文的代码。
一方面可以在于一种用于由基于第一密钥与第一网络具有安全上下文的用户装置、与第二网络建立安全上下文的方法,包括:由所述用户装置基于第一密钥和用户装置标识符的至少一部分,来生成密钥标识符;由所述用户装置将所述密钥标识符转发到所述第二网络,用于由所述第二网络转发到所述第一网络,以使得所述第一网络能够在所述第一网络处标识所述第一密钥;由所述用户装置从所述第二网络接收密钥计数,其中所述密钥计数与从所述第一网络转发到所述第二网络的第二密钥关联;和由所述用户装置基于所述第一密钥和接收到的密钥计数来生成所述第二密钥,由此在所述第二网络和所述用户装置之间建立安全上下文。
附图说明
图1是图示了示例性无线网络系统的框图,其中用户装置可以在避免初步认证的同时,执行向多个服务网络的多个网络注册。
图2A和图2B图示了根据一个特征的示例性认证和注册处理的流程图,该认证和注册处理用于针对通过一个或多个网络进行通信的用户装置建立安全上下文。
图3是图示了用于5G通信系统的示例性密钥层次结构的图。
图4是被配置为执行多个注册并建立多个安全上下文的示例性用户装置的框图。
图5是根据一个示例性特征的用于在用户装置和第二网络之间建立安全上下文的方法的流程图。
图6是根据一个方面的在用户装置上可操作的另一示例性方法的流程图,该方法用于通过标识第一密钥并提供用于建立另一安全上下文的密钥计数、来促进有效的安全上下文生成。
图7是被配置为向一个或多个用户装置提供服务的示例性网络节点/装置的框图。
图8是根据一个方面的在家庭网络装置上可操作的示例性方法的流程图,该示例性方法用于通过标识第一密钥并提供用于建立另一安全上下文的密钥计数、来促进有效的安全上下文生成。
图9图示了下一代无线网络基础设施的示例性网络架构900。
具体实施方式
在下面的描述中,给出具体细节以提供对实施例的透彻理解。然而,本领域的普通技术人员将理解,可以在没有这些具体细节的情况下实践实施例。例如,可以在框图中示出电路,以便不会用不必要的细节使得实施例模糊。在其他实例中,可能不会详细示出公知的电路、结构、和技术,以便不会混淆实施例。词语“示例性”在本文中用来意味着“充当示例、实例或说明”。本文中描述为“示例性”的任何实施例不必被解释为比其他实施例优选或有利。
图1是图示了示例性无线网络系统的框图,其中用户装置可以在避免初步认证的同时,执行向多个服务网络的多个网络注册。在该无线网络系统100中,用户装置102(例如,订户装置、移动电话、可穿戴装置、并入车辆的通信装置、用户装置等)可以通过第一服务供应商A(例如,第一服务网络)108在第一无线电接入网络A(RAN)104上与家庭网络106进行通信,该家庭网络106用于认证用户装置102并与用户装置102协定一个或多个密钥。作为家庭网络106和用户装置102之间的该密钥协定(AKA)处理的一部分,生成家庭网络106和用户装置102已知的第一密钥K1 112a和112b。然后使用该第一密钥K1(或从K1导出的另一密钥)来生成第一安全上下文A 114,该第一安全上下文A 114用于保护去往/来自用户装置102的通信和/或在用户装置102处生成附加密钥。可以在用户装置102和第一服务供应商A 108两者处生成第一安全上下文A 114。
随后,如果用户装置102可以寻求经由第二无线电接入网络B105在第二服务供应商B 110(例如,第二服务网络)上进行通信。因此,其可以尝试向第二服务供应商110注册,以与第二服务供应商B(例如,第二服务网络)110建立安全上下文。不是与家庭网络106执行另一AKA处理(这很耗时),而是可以重新使用第一密钥K1来与第二网络B 110建立第二安全上下文B 116。第二安全上下文B 116可以在用户装置102和第二服务供应商B 110两者处生成。
注意,尽管两个RAN 104和105在图1中被图示为服务于所述服务供应商A 108和B110(即,服务网络),但是预期在其他实现中,服务供应商A 108和/或B 110两者可以耦合到单个无线电接入网络。
图2A和图2B图示了示例性认证和注册处理200的流程图,该示例性认证和注册处理200用于重新使用安全密钥来为在一个或多个网络上进行通信的用户装置210建立另一安全上下文。在一个示例中,用户装置210可以最初经由第三(服务)网络215获得服务。为了通过第三网络215进行通信,当用户装置210向第三网络215(例如,无线电接入网络)注册时,用户装置210可以与家庭网络230建立第一密钥K1。在各种示例中,用户装置210可以是移动台、订户装置、可穿戴装置、车辆中并入的通信装置、客户端装置、移动装置、无线装置等。家庭网络230可以是公共陆地移动网络(PLMN),并且可以包括3GPP无线电接入网络,例如5G RAN或LTE RAN。在一些实例中,家庭网络(例如,也称为认证网络、授权网络等)。类似地,第三网络215可以是第一公共陆地移动网络,并且可以包括无线本地接入网络(WLAN)和/或固定宽带接入网络。
作为用户装置210与家庭网络230之间执行认证和密钥协定(AKA)协议202的一部分,家庭网络230可以(例如,基于唯一装置标识符)对用户装置210进行认证,并且可以在家庭网络230和用户装置210处建立至少一个密钥。例如,一旦成功认证了用户装置,就可以在用户装置210和家庭网络230处建立204第一密钥K1。可以基于例如在AKA 202中交换的信息、私密用户装置密钥、唯一用户装置标识符等,来生成该第一密钥K1。可以使用该第一密钥K1来在家庭网络230处生成第三密钥K3(例如,锚密钥)206b。该第三密钥K3可以由家庭网络230发送208到第三网络215。注意,第一密钥K1可以仅对于用户装置210和第一(家庭)网络230是已知的,但是对于第三网络215是未知的。第三网络215然后可以根据第三密钥K3(例如,锚密钥K1SEAF)为用户装置210生成和/或建立第一安全上下文212b。预期到可以使用各种方法来建立第一密钥K1,该第一密钥K1也可以与家庭网络230处的唯一用户装置标识符(UID)相关联。另外,还预期到可以使用各种方法来生成或建立第三密钥K3,其中用户装置210可以知道家庭网络230和第三网络215使用的方法(例如,密钥导出函数)。
类似地,一旦从家庭网络230接收到成功的认证消息/指示,用户装置就可以建立第一密钥K1 204a的本地实例(例如,使用与家庭网络230相同的密钥导出函数),并然后可以生成第三密钥K3 206a的本地实例(例如,使用与第三网络215相同的密钥导出函数)。用户装置然后可以使用第三密钥K3的其本地版本,来与第三网络215建立安全上下文212a。
注意,由于根据第一密钥K1导出第三密钥K3,所以也可以说,根据第一密钥K1建立安全上下文212a和212b。
在随后的时间,用户装置210可以使用第二(服务)网络220用于通信。也就是说,用户装置210可以切换到使用第二网络220,或者其可以与第三网络215并发地使用第二网络220。第二网络220可以是第二公共陆地移动网络,并且可以包括无线本地接入网络(WLAN)或固定宽带接入网络。
代替再次通过第二网络220执行AKA协议,用户装置210可以重新使用第一密钥K1以与第二网络220建立第二安全上下文。用户装置210可以使用密钥导出函数(KDF),以基于第一密钥K1、第二网络220的第二网络标识符或网络名称SN-B、和/或唯一用户装置标识符(UID),来生成密钥标识符KeyID 235。以这种方式,第一密钥K1可以被用作与至少两个不同的服务网络建立多个安全上下文(例如,第一安全上下文212和第二安全上下文272)的基础。
用户装置210可以将密钥标识符KeyID作为注册请求240的一部分转发到第二网络220。第二网络220可以然后向家庭网络230发送包括第二网络标识符/名称SN-B和唯一用户装置标识符UID的认证请求245。家庭网络230可以然后基于第一密钥K1标识用户装置210。即,唯一用户装置标识符UID,家庭网络230能够查明第一密钥K1。本地网络230因此能够认证用户装置210,而无需再次执行AKA协议。
家庭网络230可以根据第一密钥K1和密钥计数COUNT来生成第二密钥K2 255。家庭网络230可以然后将第二密钥K2转发260到第二网络220(例如,作为还包括唯一用户装置标识符UID和密钥计数COUNT的认证响应的一部分)。进而,第二网络220可以将密钥计数COUNT发送265到用户装置210(例如,作为安全模式命令的一部分)。在已经接收到第二密钥K2之后,第二网络220然后能够基于第二密钥K2与用户装置210生成/建立第二安全上下文272b。同样,用户装置210还可以基于第一密钥K1和接收到的密钥计数COUNT,来生成第二密钥K2270的本地实例。用户装置210可以然后使用第二密钥K2的其本地实例来与第二网络220建立第二安全上下文272a。
图3是图示了用于5G通信系统的示例性密钥层次结构的图。该示例性密钥层次结构300可以用于生成各种密钥以建立和保护用户装置(UE)302与网络304之间的通信。可以为用户装置302在通用订户标识模块(USIM)中提供长期私密密钥(K)306。用户装置302和网络304可以根据私密密钥K 306,来生成加密密钥(CK)和完整性密钥(IK)308。
在认证和密钥协定(AKA)处理期间,第一认证密钥KAUSF 310由用户装置和网络(例如,认证凭证存储库和处理功能或ARPF)从加密密钥CK和完整性密钥IK 308导出。如果使用3GPP密钥K用于通过支持可扩展认证协议EAP的无线电接入技术的认证,则根据EAP AKA'规范导出第一认证密钥KAUSF310'。
在用户装置302与网络304之间的成功初步认证之后,可以从第一认证密钥KAUSF310导出服务网络特定锚密钥(KSEAF)312
从锚密钥KSEAF312中,对于NAS信令、以及由控制平面(CP)(即无线电资源控制(RRC)消息)和用户平面(UP)组成的接入层(AS),导出机密性和完整性保护密钥。例如,锚密钥KSEAF 312可以由用户装置和安全锚功能(SEAF)使用用于导出接入和移动性密钥KAMF314。接入和移动性功能(AMF)可以为了非接入层(NAS)信令保护从接入和移动性密钥KAMF生成机密完整性密钥KNASint 316和机密加密密钥KNASenc 318。安全上下文可以包括机密完整性密钥KNASint 316和机密加密密钥KNASenc 318。
用户装置312和AMF还可以从接入和移动性密钥KAMF 314生成节点密钥KgNB 320。AS的完整性和机密性密钥,即UP(KUPint和KUPenc)和RRC(KRRCint和KRRCenc),可以从节点密钥KgNB导出。还可以导出中间密钥NH,以在切换期间提供前向保密性。
再次参考图2,第一密钥K1可以等效于图3的密钥层次结构300中的第一认证密钥KAUSF 310或310’。然后可以从第一密钥K1生成第一锚密钥K1SEAF。例如,参考图2,在建立第一密钥K1 204a和204b(例如,在用户装置210和家庭网络230的AUSF处)之后,可以在用户装置210和AUSF处(在家庭网络230处)根据第一密钥K1(例如,图3的第一认证密钥KAUSF 310或310’),来生成第一锚密钥K1SEAF。然后,家庭网络230处的AUSF可以将第一锚密钥K1SEAF发送到第三网络215。
随后,如果/当用户装置210执行向第二网络的第二注册时,不是执行另一初步认证(这是耗时的),而是可以使用第一密钥K1(例如,认证密钥KAUSF 310或310’)来认证用户装置并生成第二锚密钥K2SEAF。因此,用户装置向其他服务网络的后续注册可以利用第一密钥K1(例如,认证密钥KAUSF 310或310’)来避免初步认证并生成附加锚密钥。例如,参考图2,在使用第一密钥K1 250标识用户装置之后,家庭网络230的AUSF生成第二密钥K2 255(例如,第二锚密钥K2SEAF)。然后,该第二密钥K2(例如,第二锚密钥K2SEAF)由家庭网络230的AUSF发送260到第二网络220。另外,在接收到密钥计数COUNT 265之后,用户装置210还生成第二密钥K2的本地版本270。然后,用户装置210和第二网络220两者都可以基于第二密钥K2(例如,第二锚密钥K2SEAF)建立第二安全上下文272a和272b。
图4是被配置为执行多个注册并建立多个安全上下文的示例性用户装置的框图。用户装置400可以包括处理电路410,其耦合到储存装置/介质420(例如,存储器和/或盘驱动器)、显示器430、输入装置440(例如,小键盘、麦克风等)、和/或耦合到一个或多个无线天线450的通信接口/电路445。
在典型的装置册中,用户装置可以通过某种接入类型(例如3GPP)在第一服务网络中注册,并且可以通过另一接入类型(例如非3GPP)向第二服务网络注册。在这种情况下,用户装置可以独立维护和使用两个不同的(5G)安全上下文,每个服务网络一个(即,每个PLMN网络一个)。
当已经经由第一服务网络注册用户装置时,代替与第二服务网络执行单独的初步认证(例如,5G AKA或EAP-AKA’),用户装置400可以被配置为重新使用先前与第一服务网络建立的第一密钥,以绕过/避免对于第二服务网络再次执行初步认证。在针对第一服务网络的初步认证期间,已经生成了第一密钥K1并将其存储在用于用户装置400的家庭网络的认证服务器功能(AUSF)处。例如,该第一密钥K1可以被称为第一认证密钥KAUSF(图3中的310或310’)。第一密钥K1可以用于在第二服务网络处创建安全上下文,而不必经由第二服务网络执行另一初步认证。
通过合并第二服务网络的服务网络标识符/名称SN-B并将其用于以下操作,可以从第一认证密钥KAUSF导出密钥标识符KeyID:a)在用户装置400和家庭网络之间协商可选特征的使用(即,第一密钥K1的重新使用,以避免执行单独的初步认证),和b)在家庭网络的AUSF处标识上下文以建立安全上下文。更具体地,如果用户装置400先前已经在第一服务网络中注册、并且想要向不同的第二服务网络注册、并且具有可用的存储的第一认证密钥KAUSF,则它可以从第一认证密钥KAUSF导出密钥标识符KeyID_AUSF,并可以将其包括在注册请求中(图2中的240)。用户装置400可以在密钥标识符KeyID_AUSF导出中包括服务网络(PLMN)的服务网络标识符/名称。
在一个示例中,可以如下导出KeyID(或KeyID_AUSF):
KeyID_AUSF=KDF(K_AUSF,SN-ID,用于KeyID导出的FC值),其中KeyID_AUSF可以用密钥导出函数(KDF)的输出的固定(例如32个)最低有效位来标识,例如SHA-256(可以具有256位的输出)。K_AUSF的长度可以为256位。服务网络标识符/名称SN-ID可以是服务网络标识符/名称(例如,第二网络标识符SN-B),并且可以等于根据服务网络标识符/名称的构建标准、设置为“5G”的服务代码和来访PLMN(VPLMN ID)的串联。
用户装置400可以在注册请求中将KeyID_AUSF和用户装置标识符(UID)转发到接入和移动性管理功能(AMF)(图2中的240)。在各种示例中,UID可以是预订隐藏标识符(SUCI)或预订永久标识符(SUPI)。在接收到具有KeyID_AUSF的注册请求后,可能位于AMF中的安全锚功能(SEAF)可以将KeyID_AUSF包括在发给AUSF的认证发起请求(5G-AIR)消息中(图2中的245)。
在替代实施例中,可以包括用户装置标识符(UID)或UID的一部分(例如,UID的32个最低有效位)作为对KDF的输入,以代替网络标识符/名称SN-ID而导出KeyID。例如,可以将KeyID导出为KeyID_AUSF=KDF(K_AUSF,UID,用于KeyID导出的FC值),其中UID被整体包括或其中的任意部分(例如,UID的32个最低有效位)。当UID是诸如SUCI之类的保护隐私的预订标识符时,包含UID的至少一部分确保所生成的密钥标识符保护订户标识符的隐私。在又一实施例中,除了SN-ID之外,还可以包括UID或UID的一部分作为对KDF的输入。
一旦接收到认证发起请求消息(图2中的245),如果AUSF(用于家庭网络)已经存储了K_AUSF(即,第一认证密钥KAUSF),则其可以决定重新使用它。如果决定重新使用它,则AUSF可以以与用户装置400相同的方式来导出KeyID_AUSF,并且验证由AUSF导出的KeyID_AUSF是否与接收到的值匹配。如果它们匹配,则AUSF可以跳过认证并且可以从K_AUSF(例如,图2中的第一密钥K1)和计数器AUSF_KDF_COUNT导出K_SEAF(即,图2中的第二密钥K2)。诸如SHA-256之类的密钥导出函数KDF可用于导出K_SEAF(例如,图2中的第二密钥K2)。AUSF_KDF_COUNT(例如,图2中的COUNT)可以是单调递增的32位计数器,其初始值为零。在从K_AUSF的每一密钥导出之后,AUSF将AUSF_KDF_COUNT递增1。AUSF可以将AUSF_KDF_COUNT连同K_AUSF一起存储。使用AUSF_KDF_COUNT可确保从K_AUSF导出的密钥始终是最新的。
AUSF(用于家庭网络)可以在认证发起应答(5G-AIA)中将导出的K_SEAF(例如,图2中的第二密钥K2)连同AUSF_KDF_COUNT一起发送到SEAF(图2中的260)。AMF可以通过向用户装置400发送网络接入层(NAS)安全模式命令(SMC),来使用K_SEAF与用户装置400建立单独的5G安全上下文。NAS SMC可以包括AUSF_KDF_INPUT。NAS SMC中的AUSF_KDF_INPUT可能受到完整性保护,但没有加密。用户装置400将使用在NAS SMC中接收到的AUSF_KDF_COUNT,来导出K_SEAF(图2中的第二密钥K2),并与第二服务网络中的AMF建立单独的5G安全上下文。
用户装置400可以向AMF发送NAS安全模式完成命令(图2中的275)。AMF(第二服务网络)可以用接受消息来响应(图2中的280)。
否则,如果家庭网络的AUSF不支持K_AUSF的存储,或者如果AUSF想要执行用户装置400的初步认证,则AUSF可以通过将Auth-Info-Req消息发送到UDM/ARPF来发起初步认证。UE的成功认证导致与AMF建立单独的5G安全上下文。
用户装置400的各种示例可以包括手持电话、订户装置、用户装置(UE)、可穿戴计算装置、合并在车辆中的通信装置、和/或膝上型计算机。用户装置400的通信接口/电路445可以支持多种多址技术中的任一种,例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空分多址(SDMA)、极分多址(PDMA)、或本领域已知的其他调制技术。
图5是根据一个示例性特征的可在用户装置处操作的、用于在用户装置与第二网络之间建立安全上下文的方法的流程图。在一个示例中,该方法可以由图4的用户装置400实现。可以基于第一密钥K1(先前为第一网络建立)和第二网络的网络标识符/名称来生成510密钥标识符KeyID(图2的235),其中第一网络和用户装置400之间的安全上下文基于第一密钥K1。密钥标识符KeyID可以被转发/发送520到家庭网络,以使得家庭网络能够标识第一密钥K1(图2的250)。可以从第二网络接收530密钥计数COUNT(图2的265),其中密钥计数与从本地网络转发到第二网络的第二密钥K2相关联。在用户装置处,可以基于第一密钥K1和所接收的密钥计数来生成540第二密钥K2,从而在第二网络和用户装置400之间建立安全上下文(图2中的270和272)。
再次参考图4,根据一个方面,用户装置400可以被配置为与第二网络220(图2)建立安全上下文,包括:用于基于第一密钥K1(例如,第一认证密钥KAUSF)和第二网络标识符/名称SN-B来生成密钥标识符KeyID的部件(例如,处理电路410和/或通信接口/电路445),其中先前已经基于第一密钥K1建立了第三网络215和用户装置400之间的第一安全上下文;用于将密钥标识符KeyID转发(图2中的240)到第二网络的部件(例如,处理电路410和/或通信接口/电路445),用于转发到家庭网络以使家庭网络能够标识第一密钥K1;用于从第二网络接收密钥计数COUNT(图2中的265)的部件(例如,处理电路410和/或通信接口/电路445),其中该密钥计数与从家庭网络转发到第二网络的第二密钥K2相关联;以及用于基于第一密钥K1和接收到的密钥计数COUNT生成第二密钥K2、从而在第二网络和用户装置之间建立安全上下文的部件(例如,处理电路410)(图2中的272)。
另一方面可以提供计算机可读介质或储存装置420,包括:用于促使处理电路410基于第一密钥K1(先前通过第一服务网络建立)和第二服务网络的网络标识符/名称来生成密钥标识符KeyID的代码(图2中的235或图5中的510),其中第一服务网络和用户装置400之间的第一安全上下文基于第一密钥K1;用于促使处理电路410将密钥标识符KeyID转发(图2中的240或图5中的520)到第二服务网络、用于转发到家庭网络、以使家庭网络能够在家庭网络处标识第一密钥K1的代码;用于促使处理电路410从第二网络接收密钥计数COUNT的代码,其中该密钥计数与从家庭网络转发到第二网络的第二密钥K2相关联(图2中的265或图5中的530);和用于促使处理电路410基于第一密钥K1和所接收的密钥计数生成第二密钥K2、从而在第二网络和用户装置400之间建立安全上下文(即,第二安全上下文)的代码(图2中的272或图5中的540)。
图6是根据一个方面可在用户装置上操作的另一示例性方法800的流程图,该方法用于通过标识第一密钥并提供用于建立另一安全上下文的密钥计数来促进有效的安全上下文生成。该方法600可以例如由用户装置400执行。第一密钥K1可能已经在用户装置和第一(家庭)网络之间先前建立(例如,作为AKA过程的一部分)。随后,当用户装置希望通过不同的第二服务网络建立通信时,用户装置可以基于第一密钥和用户装置标识符UID的至少一部分,来生成密钥标识符KeyID 610(图2中的235)。用户装置可以将密钥标识符620转发到第二网络,用于转发到第一(家庭)网络,以使得家庭网络能够在家庭网络处标识第一密钥(步骤240)。用户装置可以从第二网络接收密钥计数COUNT 630(图2中的265)。密钥计数可以与从第一(家庭)网络转发到第二网络的第二密钥K2相关联。用户装置可以基于第一密钥和接收到的密钥计数来生成第二密钥640,从而在第二网络和用户装置之间建立安全上下文(图2中的270)。
图7是被配置为向一个或多个用户装置提供服务的示例性网络节点/装置的框图。网络节点/装置700可以包括处理电路710,其耦合到储存装置/介质720(例如,存储器和/或盘驱动器)、显示器730、输入装置740(例如,小键盘、麦克风等)、和/或耦合到一个或多个无线天线750和/或网络的通信接口/电路745。在各种示例中,网络节点/装置700可以是图2中的第三网络215、第二网络220和/或第一/家庭网络230,和/或可以被配置为执行由这些网络执行的一个或多个功能。例如,网络节点/装置700可以被配置对于一个或多个用户装置执行多次注册并建立多个安全上下文。
图8是根据一个方面的可在第一(家庭)网络上操作的示例性方法800的流程图,该方法用于通过标识第一密钥并提供用于建立另一安全上下文的密钥计数来促进有效的安全上下文生成。该方法800可以例如由家庭网络节点/装置(图2中的230)执行。可以接收810密钥标识符KeyID,其中密钥标识符基于第一密钥K1和第二网络的网络标识符/名称SN-B。可以基于密钥标识符和第二网络的网络标识符/名称,来标识820第一密钥。也就是说,家庭网络节点/装置可以查明第一密钥已经由发送用户装置先前建立,但是用于不同的服务网络。然后基于第一密钥和密钥计数COUNT来生成830第二密钥K2。然后将第二密钥和密钥计数转发840到第二网络,用于在第二网络和用户装置之间建立安全上下文。
再次参考图7,网络节点/装置700可以实现另一方面,包括:用于接收密钥标识符KeyID的部件(例如,处理电路710和/或通信接口/电路745),其中该密钥标识符基于第一密钥K1和第二网络的网络标识符/名称SN-B;用于基于密钥标识符和第二网络的网络标识符/名称来标识第一密钥的部件(例如,处理电路710);用于基于第一密钥和密钥计数COUNT来生成第二密钥K2的部件(例如,处理电路710);以及用于将第二密钥和密钥计数转发到第二网络、用于在第二网络和用户装置之间建立安全上下文的部件(例如,处理电路710和/或通信接口/电路745)。
另一方面可以在于计算机可读介质或储存装置620,包括:用于促使处理电路710接收密钥标识符keyID的代码,其中该密钥标识符基于第一密钥K1和第二网络的网络标识符/名称SN-B(图2中的245或图8中的810);用于促使处理电路710基于密钥标识符和第二网络的网络标识符/名称来标识第一密钥的代码(图2中的250或图8中的820);用于促使处理电路710基于第一密钥和密钥计数COUNT来生成第二密钥K2的代码(图2中的255或图8中的830);以及用于促使处理电路710将第二密钥和密钥计数转发到第二网络以在第二网络和用户装置之间建立安全上下文的代码(图2中的260或图8中的840)。
图9图示了下一代无线网络基础设施(即5G)的示例性网络架构900。用户装置(UE)902,例如,图2中的用户装置/站210,可以连接到接入网(AN)或无线电AN((R)AN)904、以及接入和移动性功能(AMF)906。RAN 904可以使用例如演进LTE表示基站或接入节点,而AN可以是包括例如Wi-Fi的非3GPP接入的通用基站。核心网络通常可以包括AMF 906、会话管理功能(SMF)908、策略控制功能(PCF)910、应用功能(AF)912、认证服务器功能(AUSF)914、用户平面功能(UPF)916、用户数据管理(UDM)918、和数据网络连接(DN)920。有关更多详细信息,请参见3GPP TS 23.501:“System Architecture for the 5G System”。核心网络组件和/或功能中的一个或多个可以例如在服务网络215和/或220和/或家庭网络230处实现。
本领域技术人员将理解,可以使用多种不同工艺和技术中的任何一种来表示信息和信号。例如,在以上整个说明书中可能引用的数据、指令、命令、信息、信号、比特、码元、和芯片可以由电压、电流、电磁波、磁场或粒子、光场或粒子、或其任何组合来表示。
本领域技术人员将进一步理解,结合本文公开的实施例所描述的各种说明性的逻辑块、模块、电路、和算法步骤可以被实现为电子硬件、计算机软件、或两者的组合。为了清楚地说明硬件和软件的这种可互换性,上面已经在其功能方面总体上描述了各种说明性的组件、块、模块、电路、和步骤。将这种功能性实现为硬件还是软件取决于在总体系统上施加的特定应用和设计约束。技术人员可以针对每个特定应用以变化的方式来实现所描述的功能性,但是这种实现决策不应被解释为导致脱离这里描述的范围。
结合本文公开的实施例描述的各种说明性逻辑块、模块和电路可以利用被设计为执行此处描述的功能通用目的处理器、数字信号处理器(DSP)、特定用途集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件、或其任何组合来实现或执行。通用目的处理器可以是微处理器,但可替代地,处理器可以是任何常规处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算装置的组合,例如,DSP和微处理器的组合、多个微处理器、与DSP内核结合的一个或多个微处理器、或任何其他这样的配置。
结合本文公开的实施例所描述的方法或算法的步骤可以直接实施在硬件中、在由处理器执行的软件模块中、或在两者的组合中。软件模块可以驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移除盘、CD-ROM、或本领域已知的任何其他形式的储存介质中。示例性储存介质耦合到处理器,使得处理器可以从该储存介质读取信息,并且可以向该储存介质写入信息。替代地,该储存介质可以与处理器集成在一起。处理器和储存介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。替代地,处理器和储存介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性实施例中,可以以硬件、软件、固件、或其任意组合来实现所描述的功能。如果以软件实现为计算机程序产品,则这些功能可以作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质传送。计算机可读介质包括非瞬态计算机储存介质和通信介质,包括有助于将计算机程序从一个地方转移到另一地方的任何介质。储存介质可以是可由计算机访问的任何可用介质。作为示例而非限制,这种计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其他光盘储存、磁盘储存或其他磁储存装置、或任何其他介质,所述任何其他介质可用来承载或存储按照指令或数据结构的形式的期望的程序代码部件,并且可以由计算机访问。而且,任何连接可以适当地称为计算机可读介质。例如,如果使用同轴电缆、光缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、和微波的无线技术从网站、服务器或其他远程源传送软件,则同轴电缆、光缆,双绞线、DSL、或诸如红外、无线电、和微波的无线技术被包含在介质的定义中。本文所使用的磁盘和光盘包括致密盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘和蓝光盘,其中磁盘通常以磁性方式再现数据,而光盘则利用激光以光学方式再现数据。上述的组合也应包括在计算机可读介质的范围内。
提供所公开的实施例的先前描述,以使得本领域技术人员能够制造或使用本公开。对这些实施例的各种修改对于本领域技术人员而言将是清楚的,并且在不脱离本公开的精神或范围的情况下,本文中定义的一般原理可以应用于其他实施例。因此,本公开不意欲限于本文所示的实施例,而是应被赋予与本文公开的原理和新颖特征一致的最宽范围。
Claims (28)
1.一种用于由用户装置与第二网络建立安全上下文的方法,所述用户装置具有与第一网络先前建立的第一密钥,包括:
由所述用户装置基于所述第一密钥和所述第二网络的网络标识符生成密钥标识符;
由所述用户装置将所述密钥标识符转发到所述第二网络,用于转发到所述第一网络,以使得所述第一网络能够标识所述第一密钥;
由所述用户装置从所述第二网络接收密钥计数,其中所述密钥计数与从所述第一网络转发到所述第二网络的第二密钥关联;和
由所述用户装置基于所述第一密钥和接收到的密钥计数来生成所述第二密钥,由此在所述第二网络和所述用户装置之间建立安全上下文。
2.根据权利要求1所述的方法,其中所述网络标识符还基于所述第二网络的网络名称的至少一部分。
3.根据权利要求1所述的方法,其中当所述用户装置通过第三网络注册时,所述用户装置与所述第一网络建立所述第一密钥。
4.根据权利要求1所述的方法,其中作为与所述第一网络的认证和密钥协定协议的执行的一部分,在所述用户装置和所述第一网络之间建立所述第一密钥。
5.根据权利要求1所述的方法,还包括:
由所述用户装置使用所述第二密钥,以生成用于保护所述用户装置与所述第二网络之间的通信的加密密钥或完整性密钥中的至少一个。
6.根据权利要求1所述的方法,其中所述用户装置是移动装置,所述第一网络是第一公共陆地移动网络,并且所述第二网络是第二公共陆地移动网络。
7.根据权利要求1所述的方法,其中所述第二网络包括无线局域网(WLAN)接入网络。
8.根据权利要求1所述的方法,其中所述第二网络包括固定宽带接入网络。
9.根据权利要求1所述的方法,其中生成所述密钥标识符还基于用户装置标识符的至少一部分。
10.根据权利要求1所述的方法,其中生成所述密钥标识符还基于函数调用值。
11.根据权利要求1所述的方法,其中所述第一密钥对于所述第二网络是未知的。
12.根据权利要求1所述的方法,其中利用所述第一密钥作为与至少两个不同的服务网络建立多个安全上下文的基础。
13.根据权利要求1所述的方法,其中当通过所述第二网络注册时,所述用户装置绕过与所述第一网络的认证和密钥协定协议的执行。
14.一种用于与第二网络建立安全上下文的用户装置,包括:
用于与一个或多个网络通信的通信接口;和
耦合至所述通信接口的处理电路,所述处理电路被配置为:
基于所述用户装置与第一网络之间先前建立的第一密钥和所述第二网络的网络标识符,生成密钥标识符;
将所述密钥标识符转发到所述第二网络,用于转发到所述第一网络,以使得所述第一网络能够标识所述第一密钥;
从所述第二网络接收密钥计数,其中所述密钥计数与从所述第一网络转发到所述第二网络的第二密钥关联;和
基于所述第一密钥和接收到的密钥计数来生成所述第二密钥,由此在所述第二网络和所述用户装置之间建立安全上下文。
15.根据权利要求14所述的用户装置,其中当所述用户装置通过第三网络注册时,所述用户装置与所述第一网络建立所述第一密钥。
16.根据权利要求14所述的用户装置,其中作为与所述第一网络的认证和密钥协定协议的执行的一部分,在所述用户装置与所述第一网络之间建立所述第一密钥。
17.根据权利要求15所述的用户装置,其中当通过所述第二网络注册时,所述用户装置绕过与所述第一网络的认证和密钥协定协议的执行。
18.根据权利要求14所述的用户装置,其中利用所述第一密钥作为与至少两个不同的服务网络建立多个安全上下文的基础。
19.一种用于在第二网络和用户装置之间建立安全上下文的方法,包括:
由第一网络接收密钥标识符,其中所述密钥标识符基于第一密钥和第二网络的网络标识符,其中所述第一密钥是用户装置与第一网络之间先前建立的,在第二网络中,继续使用所述第一密钥来生成密钥标识符;
由所述第一网络基于所述密钥标识符和所述第二网络的网络标识符,来标识所述第一密钥;
由所述第一网络基于所述第一密钥和密钥计数,来生成第二密钥;和
由所述第一网络将所述第二密钥和所述密钥计数转发到所述第二网络,用于在所述第二网络和用户装置之间建立安全上下文。
20.根据权利要求19所述的方法,其中作为与所述第一网络的认证和密钥协定协议的执行的一部分,在所述用户装置和所述第一网络之间建立所述第一密钥。
21.根据权利要求20所述的方法,其中当所述用户装置通过所述第二网络注册时,绕过与所述第一网络的另一认证和密钥协定协议的执行。
22.根据权利要求19所述的方法,其中当所述用户装置通过第三网络注册时,所述第一密钥已经由所述用户装置先前建立。
23.根据权利要求19所述的方法,其中所述第一密钥对于所述第二网络是未知的。
24.根据权利要求19所述的方法,其中利用所述第一密钥作为与至少两个不同的服务网络建立多个安全上下文的基础。
25.一种第一网络装置,包括:
与其他网络通信的通信接口;和
耦合至所述通信接口的处理电路,所述处理电路被配置为:
接收密钥标识符,其中所述密钥标识符基于第一密钥和第二网络的网络标识符,其中所述第一密钥是用户装置与第一网络之间先前建立的,在第二网络中,继续使用所述第一密钥来生成密钥标识符;
基于所述密钥标识符和所述第二网络的网络标识符,来标识所述第一密钥;
基于所述第一密钥和密钥计数,来生成第二密钥;和
将所述第二密钥和所述密钥计数转发到所述第二网络,用于在所述第二网络和所述用户装置之间建立安全上下文。
26.根据权利要求25所述的第一网络装置,其中作为与所述第一网络的认证和密钥协定协议的执行的一部分,在所述用户装置和所述第一网络之间建立所述第一密钥,并且当所述用户装置通过所述第二网络注册时,绕过与所述第一网络的另一认证和密钥协定协议的执行。
27.根据权利要求25所述的第一网络装置,其中所述第一密钥对于所述第二网络是未知的。
28.根据权利要求25所述的第一网络装置,其中利用所述第一密钥作为与至少两个不同的服务网络建立多个安全上下文的基础。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862617065P | 2018-01-12 | 2018-01-12 | |
US62/617,065 | 2018-01-12 | ||
US16/246,349 | 2019-01-11 | ||
US16/246,349 US11553381B2 (en) | 2018-01-12 | 2019-01-11 | Method and apparatus for multiple registrations |
PCT/US2019/013392 WO2019140337A1 (en) | 2018-01-12 | 2019-01-12 | Method and apparatus for multiple registrations |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111670587A CN111670587A (zh) | 2020-09-15 |
CN111670587B true CN111670587B (zh) | 2024-04-26 |
Family
ID=67213190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980011163.0A Active CN111670587B (zh) | 2018-01-12 | 2019-01-12 | 用于多个注册的方法和设备 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11553381B2 (zh) |
EP (2) | EP3738333B1 (zh) |
KR (1) | KR20200107959A (zh) |
CN (1) | CN111670587B (zh) |
AU (1) | AU2019206665B2 (zh) |
BR (1) | BR112020014278A2 (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230231708A1 (en) * | 2018-01-12 | 2023-07-20 | Qualcomm Incorporated | Method and apparatus for multiple registrations |
WO2019194155A1 (en) * | 2018-04-06 | 2019-10-10 | Nec Corporation | An authentication method for next generation systems |
US10893413B2 (en) * | 2018-10-17 | 2021-01-12 | Mediatek Singapore Pte. Ltd. | User equipment key derivation at mobility update in mobile communications |
EP4195731A1 (en) * | 2019-01-21 | 2023-06-14 | Telefonaktiebolaget LM Ericsson (publ) | Methods for authentication and key management in a wireless communications network and related apparatuses |
CN113261341A (zh) * | 2019-03-21 | 2021-08-13 | 苹果公司 | 5g系统中3gpp和非3gpp接入的处理 |
US11533613B2 (en) | 2019-08-16 | 2022-12-20 | Qualcomm Incorporated | Providing secure communications between computing devices |
CN115152257A (zh) * | 2020-02-19 | 2022-10-04 | 三星电子株式会社 | 使用从网络接入认证导出的密钥生成应用特定密钥的装置和方法 |
BR112022015769A2 (pt) * | 2020-02-21 | 2023-03-14 | Ericsson Telefon Ab L M | Métodos realizados por uma função de âncora, por um servidor de gerenciamento de chaves, por uma função de aplicativo, por uma função de servidor de autenticação e por uma função de gerenciamento de dados unificado, funções de gerenciamento de chave, de aplicativo, de servidor de autenticação e de gerenciamento de dados unificado, meio legível por computador não transitório, e, produto de programa de computador |
CN113541925B (zh) * | 2020-03-30 | 2023-02-14 | 华为技术有限公司 | 通信系统、方法及装置 |
WO2022055402A1 (en) * | 2020-09-09 | 2022-03-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Source and target network nodes and methods therein for preventing agents from illegitimately identifying the source network node when resuming a wireless terminal in a target network node in a wireless communications network |
CN116491138A (zh) * | 2020-10-29 | 2023-07-25 | 苹果公司 | 针对多个无线连接的nas计数 |
CN116458109A (zh) * | 2020-10-30 | 2023-07-18 | 华为技术有限公司 | 密钥获取方法和通信装置 |
WO2023036187A1 (en) * | 2021-09-07 | 2023-03-16 | Mediatek Singapore Pte. Ltd. | Improvement for 5g nas security context handling when ue supports both 3gpp and non-3gpp accesses |
US11785427B2 (en) * | 2021-10-20 | 2023-10-10 | Qualcomm Incorporated | Control plane-based communication of multimedia broadcast/multicast service service keys |
US20230126490A1 (en) * | 2021-10-21 | 2023-04-27 | T-Mobile Usa, Inc. | Optimized security mode command procedure to reduce communication setup failures |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101889423A (zh) * | 2007-12-19 | 2010-11-17 | 诺基亚公司 | 用于切换安全的方法、装置、系统和相关的计算机程序产品 |
CN102948112A (zh) * | 2010-05-04 | 2013-02-27 | 高通股份有限公司 | 共享电路交换安全性上下文 |
CN104322089A (zh) * | 2012-05-23 | 2015-01-28 | 诺基亚公司 | 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 |
CN105474601A (zh) * | 2013-06-28 | 2016-04-06 | 奥林奇公司 | 用于改变认证密钥的方法 |
Family Cites Families (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7133845B1 (en) * | 1995-02-13 | 2006-11-07 | Intertrust Technologies Corp. | System and methods for secure transaction management and electronic rights protection |
US6636488B1 (en) * | 2000-10-11 | 2003-10-21 | Aperto Networks, Inc. | Automatic retransmission and error recovery for packet oriented point-to-multipoint communication |
US8239531B1 (en) * | 2001-07-23 | 2012-08-07 | At&T Intellectual Property Ii, L.P. | Method and apparatus for connection to virtual private networks for secure transactions |
US7752329B1 (en) * | 2002-10-31 | 2010-07-06 | Aol Inc. | Migrating configuration information based on user identity information |
US11113950B2 (en) * | 2005-03-16 | 2021-09-07 | Icontrol Networks, Inc. | Gateway integrated with premises security system |
US10313303B2 (en) * | 2007-06-12 | 2019-06-04 | Icontrol Networks, Inc. | Forming a security network including integrated security system components and network devices |
US8086702B2 (en) * | 2005-03-16 | 2011-12-27 | Icontrol Networks, Inc. | Takeover processes in security network integrated with premise security system |
US8996665B2 (en) * | 2005-03-16 | 2015-03-31 | Icontrol Networks, Inc. | Takeover processes in security network integrated with premise security system |
CA2469598A1 (en) * | 2004-06-01 | 2005-12-01 | Daniel W. Onischuk | Computerized voting system |
US20120324566A1 (en) * | 2005-03-16 | 2012-12-20 | Marc Baum | Takeover Processes In Security Network Integrated With Premise Security System |
EP1984842B1 (en) * | 2006-02-01 | 2014-09-17 | Coco Communications Corp. | Congestion management and latency prediction in csma media |
US20080076425A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
TWI366375B (en) * | 2006-08-22 | 2012-06-11 | Interdigital Tech Corp | Method and apparatus for providing trusted single sign-on access to applications and internet-based services |
US20080076392A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for securing a wireless air interface |
US11089122B2 (en) * | 2007-06-12 | 2021-08-10 | Icontrol Networks, Inc. | Controlling data routing among networks |
US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
US9628440B2 (en) * | 2008-11-12 | 2017-04-18 | Icontrol Networks, Inc. | Takeover processes in security network integrated with premise security system |
CN101931951B (zh) | 2009-06-26 | 2012-11-07 | 华为技术有限公司 | 密钥推演方法、设备及系统 |
US8848916B2 (en) * | 2010-04-15 | 2014-09-30 | Qualcomm Incorporated | Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node |
US9084110B2 (en) * | 2010-04-15 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network |
CN109788475B (zh) * | 2010-06-04 | 2024-01-02 | 得克萨斯系统大学评议会 | 无线通信方法、系统和计算机程序产品 |
US10123268B2 (en) * | 2010-06-04 | 2018-11-06 | Board Of Regents, The University Of Texas System | Wireless communication methods, systems, and computer program products |
US9794949B2 (en) * | 2010-07-30 | 2017-10-17 | Board Of Regents, The University Of Texas System | Distributed rate allocation and collision detection in wireless networks |
WO2012122508A2 (en) * | 2011-03-09 | 2012-09-13 | Board Of Regents | Network routing system, method, and computer program product |
KR101800659B1 (ko) * | 2011-07-08 | 2017-11-23 | 삼성전자 주식회사 | 이동 통신 시스템에서 단말 설정 방법 |
WO2013095074A1 (en) * | 2011-12-23 | 2013-06-27 | Samsung Electronics Co., Ltd. | Method and system for secured communication of control information in a wireless network environment |
WO2013163815A1 (zh) * | 2012-05-04 | 2013-11-07 | 华为技术有限公司 | 一种网络切换过程中的安全处理方法及系统 |
US8990555B2 (en) * | 2012-08-14 | 2015-03-24 | Verizon Patent And Licensing Inc. | Centralized key management |
US8931068B2 (en) * | 2012-10-22 | 2015-01-06 | Verizon Patent And Licensing Inc. | Authentication process |
US8972729B2 (en) * | 2012-10-24 | 2015-03-03 | Verizon Patent And Licensing Inc. | Secure information delivery |
KR102094499B1 (ko) * | 2012-10-31 | 2020-03-27 | 삼성전자주식회사 | 무선 통신 시스템에서 로컬 영역 패킷 데이터 네트워크 연결을 관리하는 방법 및 장치 |
US9003498B2 (en) * | 2013-03-15 | 2015-04-07 | Vonage Network Llc | Method and apparatus for routing application programming interface (API) calls |
EP2979475B1 (en) * | 2013-03-29 | 2018-09-19 | Mobileum Inc. | ENABLING VOICE OVER LONG TERM EVOLUTION (VoLTE) SERVICES FOR NON-VoLTE INBOUND ROAMERS |
ES2745276T3 (es) * | 2013-03-29 | 2020-02-28 | Mobileum Inc | Método y sistema para facilitar itinerancia LTE entre operadoras domésticas y visitadas |
SG11201604773SA (en) * | 2013-12-13 | 2016-07-28 | M87 Inc | Methods and systems of secure connections for joining hybrid cellular and non-cellular networks |
US9747432B1 (en) * | 2014-04-02 | 2017-08-29 | Sprint Communications Company, L.P. | Remotely enabling a disabled user interface of a wireless communication device |
CN106134231B (zh) | 2015-02-28 | 2019-10-01 | 华为技术有限公司 | 密钥生成方法、设备及系统 |
US11089490B1 (en) * | 2015-03-27 | 2021-08-10 | M87, Inc. | Methods and apparatus for collecting and/or using wireless communication related information to facilitate WT mode of operation decisions |
US9623562B1 (en) * | 2015-04-10 | 2017-04-18 | X Development Llc | Adjusting robot safety limits based on network connectivity |
WO2017007949A1 (en) * | 2015-07-07 | 2017-01-12 | M87, Inc. | Network methods and apparatus |
US10425506B2 (en) * | 2016-11-15 | 2019-09-24 | Xaptum, Inc. | Transforming machine data in a communication system |
US10841302B2 (en) * | 2017-05-24 | 2020-11-17 | Lg Electronics Inc. | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system |
US11109438B2 (en) * | 2017-07-28 | 2021-08-31 | Qualcomm Incorporated | Methods to optimize SCell configuration and activation through UE idle mode SCell measurements and quick reporting |
JP7232250B2 (ja) * | 2017-09-26 | 2023-03-02 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 無線通信システムのハンドオーバにおけるセキュリティコンテキストの管理およびキー導出の実施 |
US11063645B2 (en) * | 2018-12-18 | 2021-07-13 | XCOM Labs, Inc. | Methods of wirelessly communicating with a group of devices |
US10756795B2 (en) * | 2018-12-18 | 2020-08-25 | XCOM Labs, Inc. | User equipment with cellular link and peer-to-peer link |
US11070981B2 (en) * | 2019-01-18 | 2021-07-20 | Qualcomm Incorporated | Information protection to detect fake base stations |
US11330649B2 (en) * | 2019-01-25 | 2022-05-10 | XCOM Labs, Inc. | Methods and systems of multi-link peer-to-peer communications |
US10756767B1 (en) * | 2019-02-05 | 2020-08-25 | XCOM Labs, Inc. | User equipment for wirelessly communicating cellular signal with another user equipment |
-
2019
- 2019-01-11 US US16/246,349 patent/US11553381B2/en active Active
- 2019-01-12 EP EP19704095.9A patent/EP3738333B1/en active Active
- 2019-01-12 EP EP23189338.9A patent/EP4271121A3/en active Pending
- 2019-01-12 BR BR112020014278-6A patent/BR112020014278A2/pt unknown
- 2019-01-12 KR KR1020207019684A patent/KR20200107959A/ko not_active Application Discontinuation
- 2019-01-12 CN CN201980011163.0A patent/CN111670587B/zh active Active
- 2019-01-12 AU AU2019206665A patent/AU2019206665B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101889423A (zh) * | 2007-12-19 | 2010-11-17 | 诺基亚公司 | 用于切换安全的方法、装置、系统和相关的计算机程序产品 |
CN102948112A (zh) * | 2010-05-04 | 2013-02-27 | 高通股份有限公司 | 共享电路交换安全性上下文 |
CN104322089A (zh) * | 2012-05-23 | 2015-01-28 | 诺基亚公司 | 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 |
CN105474601A (zh) * | 2013-06-28 | 2016-04-06 | 奥林奇公司 | 用于改变认证密钥的方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3738333B1 (en) | 2023-09-06 |
EP4271121A3 (en) | 2024-01-10 |
EP3738333C0 (en) | 2023-09-06 |
AU2019206665A1 (en) | 2020-06-25 |
AU2019206665B2 (en) | 2024-02-15 |
KR20200107959A (ko) | 2020-09-16 |
CN111670587A (zh) | 2020-09-15 |
EP3738333A1 (en) | 2020-11-18 |
BR112020014278A2 (pt) | 2020-12-08 |
US20190223063A1 (en) | 2019-07-18 |
US11553381B2 (en) | 2023-01-10 |
EP4271121A2 (en) | 2023-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111670587B (zh) | 用于多个注册的方法和设备 | |
US9668128B2 (en) | Method for authentication of a remote station using a secure element | |
CN102132541B (zh) | 用于无线通信的方法和设备 | |
JP5144679B2 (ja) | 通信ネットワークにおけるユーザアクセス管理 | |
US10798082B2 (en) | Network authentication triggering method and related device | |
US10687213B2 (en) | Secure establishment method, system and device of wireless local area network | |
JP2020510377A (ja) | ネットワークスライシングをサポートするモバイルシステムにおける強化された登録手続き | |
MX2007009705A (es) | Metodo y aparato para proporcionar procedimientos de carga inicial en una red de comunicacion. | |
JP2018532325A (ja) | ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム | |
KR20200058577A (ko) | 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원 | |
US20210112411A1 (en) | Multi-factor authentication in private mobile networks | |
CN116746182A (zh) | 安全通信方法及设备 | |
TWI828235B (zh) | 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品 | |
WO2022237561A1 (zh) | 一种通信方法及装置 | |
WO2019140337A1 (en) | Method and apparatus for multiple registrations | |
US20230231708A1 (en) | Method and apparatus for multiple registrations | |
US20130275760A1 (en) | Method for configuring an internal entity of a remote station with a certificate | |
TW202341695A (zh) | 用以進行應用程式認證及金鑰管理(akma)認證服務之設備、方法及電腦可讀媒體 | |
JP2017017571A (ja) | アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム | |
WO2013169426A1 (en) | Method and device for configuring an entity with a certificate |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |