CN112087754A - 动态提供在中继设备中用于认证的密钥的方法 - Google Patents
动态提供在中继设备中用于认证的密钥的方法 Download PDFInfo
- Publication number
- CN112087754A CN112087754A CN202010546592.2A CN202010546592A CN112087754A CN 112087754 A CN112087754 A CN 112087754A CN 202010546592 A CN202010546592 A CN 202010546592A CN 112087754 A CN112087754 A CN 112087754A
- Authority
- CN
- China
- Prior art keywords
- iab
- relay device
- security
- psk
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 80
- 230000006870 function Effects 0.000 claims description 92
- 230000004044 response Effects 0.000 claims description 18
- 230000015654 memory Effects 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 10
- 238000009826 distribution Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 abstract description 18
- 238000005516 engineering process Methods 0.000 abstract description 14
- 238000010586 diagram Methods 0.000 description 9
- 238000009795 derivation Methods 0.000 description 6
- 230000011664 signaling Effects 0.000 description 6
- 238000003860 storage Methods 0.000 description 5
- 230000010354 integration Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 239000013256 coordination polymer Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000282412 Homo Species 0.000 description 1
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 241000282376 Panthera tigris Species 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000000280 densification Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/047—Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开涉及一种通信方法和系统,用于利用IoT技术来融合5G通信系统,以支持超过4G系统的更高的数据速率。本公开可以应用于基于5G通信技术和IoT相关技术的智能服务,诸如智能家居、智能建筑、智能城市、智能汽车、联网汽车、医疗保健、数字教育、智能零售、安全和安全服务。提供了一种用于认证的方法,其通过在无线网络(1000)中的IAB中继设备(100)处动态生成即插即用场景中的安全凭证,而无需预配置F1安全凭证。该方法包括由IAB中继设备(100)生成用于与无线网络(1000)中的IAB施主设备(200)AS安全建立和NAS安全建立之一的层安全密钥。此外,该方法包括由IAB中继设备(100)基于层安全密钥生成PSK。此外,该方法包括使用PSK生成IKE值,以建立与IAB施主设备(200)的F1接口安全性。
Description
技术领域
本公开涉及电子设备,更具体地,涉及一种动态提供用于互联网密钥交换(IKE)v2预共享密钥(PSK)认证的密钥的方法和集成接入和回程(IAB)中继设备。
背景技术
为了满足自部署4G通信系统以来对无线数据业务的需求增加,已努力开发改进的5G或预5G通信系统。因此,5G或预5G通信系统也称为“超4G网络”或“后LTE系统”。5G通信系统被认为是在更高的频率(mmWave)频段(例如60GHz频段)中实现的,以实现更高的数据速率。为了减少无线电波的传播损失并增加传输距离,在5G通信系统中讨论了波束成形、大规模多输入多输出(MIMO)、全尺寸MIMO(FD-MIMO)、阵列天线、模拟波束成形、大规模天线技术。此外,在5G通信系统中,基于先进的小小区、云无线电接入网(RAN)、超密集网络、设备到设备(D2D)通信、无线回程、移动网络、协作通信、协作多点(CoMP)、接收端干扰消除等正在进行系统网络改进的开发。在5G系统中,已经开发了作为高级编码调制(ACM)的混合FSK和QAM调制(FQAM)和滑动窗口叠加编码(SWSC)、以及作为高级接入技术的滤波器组多载波(FBMC)、非正交多址接入(NOMA)和稀疏代码多址接入(SCMA)。
互联网是以人为中心的连接网络,人类在其中生成和消费信息,现在互联网正在向物联网(IoT)演进,在IoT中,分布式实体(诸如事物)在没有人类干预的情况下交换和处理信息。万物网(IoE)已经出现,它是通过与云服务器的连接对IoT技术和大数据处理技术的组合。由于IoT实施需要诸如“感测技术”、“有线/无线通信和网络基础设施”、“服务接口技术”和“安全技术”等技术元素,因此近来对传感器网络、机器对机器(M2M)通信、机器类型通信(MTC)等进行了研究。这种IoT环境可以提供智能互联网技术服务,这种服务通过收集和分析在联网事物之间生成的数据,为人类生活创造新的价值。通过在现有信息技术(IT)和各种工业应用之间的融合和组合,可以将IoT应用于各种领域,包括智能家庭、智能建筑、智能城市、智能汽车或联网汽车、智能电网、医疗保健、智能电器和高级医疗服务。
与此相一致的是,已经进行了各种尝试来将5G通信系统应用于IoT网络。例如,诸如传感器网络、机器类型通信(MTC)和机器对机器(M2M)通信的技术可以通过波束形成、MIMO和阵列天线来实施。云无线电接入网(RAN)作为上述大数据处理技术的应用也可以被视为在5G技术和IoT技术之间进行融合的示例。
部署更快的5G网络需要无线回程和中继链路。无线回程和中继链路能够灵活密集地部署NR小区和无线电扩展,而无需传输网络的密集化。使用集成接入回程(IAB)设备来实现无线回程和中继链路。图1A-1B示出了根据现有技术的IAB的网络架构。IAB施主设备通过Xn接口、接入和移动性管理功能(AMF)或通过NG接口的用户平面功能(UPF)等连接到例如gNB的核心网络的组件。IAB施主(即IAB施主设备)是支持IAB特征并向IAB节点提供到核心网络的连接的下一代无线接入网络(NG-RAN)节点。
IAB施主支持TS 38.401中定义的IAB的控制单元/分发单元(CU/DU)架构的控制单元(CU)功能。IAB节点(即IAB中继设备)是如下的中继节点,它支持通过NR Uu回程链路对NR接入业务进行无线带内和带外中继。IAB中继设备支持在TS 38.401中定义的IAB的CU/DU架构的用户设备(UE)功能和分发单元(DU)功能。IAB施主设备的CU功能允许IAB施主设备作为典型的gNB运行。IAB施主设备的DU功能允许IAB施主通过F1接口向IAB中继设备提供NR回程链路。NR回程链路作为典型的NR链路工作,用于在IAB施主设备和IAB中继设备之间以及在多跳(multi-hop)网络的情况下的在IAB中继设备之间进行回程。
IAB中继设备中支持通向IAB施主设备或另一个父IAB中继设备的Uu接口的部分称为IAB-UE(或IAB-MT)。IAB中继设备或IAB施主设备或另一个父IAB中继设备与公共陆地移动网络(PLMN)的回程连接通过Uu接口来管理。IAB中继设备中的DU(或gNB-DU)功能负责提供对UE和子IAB节点的NR Uu接入。相应的gNB-CU功能驻留在IAB施主gNB上,它通过F1接口控制IAB节点gNB-DU。IAB中继设备对UE和其他IAB节点来说是一个正常的gNB,并允许它们连接到5GC。IAB中继设备的UE或移动终端(MT)功能允许IAB中继设备作为无线接入网(RAN)节点运行。IAB中继设备的DU功能允许UE(UE)连接到IAB中继设备。IAB中继设备的DU功能与IAB施主设备上的CU功能一起,向子IAB中继设备和南向(southbound direction)的UE提供了对核心网络的接入。IAB中继设备使用MT功能通过NR Uu接口连接到IAB施主设备或父IAB中继设备。IAB中继设备通过NR回程链路使用IAB设备的DU功能从核心网络接收数据。Uu回程链路可以存在于IAB中继设备和被称为IAB施主设备或另一个IAB节点中继设备的gNB之间。
IAB中继设备通过以新无线电独立(NR-SA)模式或新无线电非独立(NR-NSA)模式(即E-UTRAN新无线电-双连接(EN-DC)模式)运行来接入核心网络。图2示出了根据现有技术的新的IAB中继设备到核心网络的基于SA的集成。新的IAB中继设备到核心网络的基于SA的集成包括三个阶段,即阶段1、阶段2和阶段3。
阶段1:通过执行与IAB施主设备的CU功能的RRC连接建立过程、与核心网络的认证、与新的IAB中继设备相关的上下文管理、在RAN处的新的IAB中继设备的接入业务相关的无线电承载配置以及可选的操作、管理和维护(OAM)连接建立,新的IAB中继设备的UE/MT功能作为正常UE连接到核心网络。
阶段2:作为阶段2的一部分,执行两个步骤,1)回程无线链路控制(RLC)信道建立和2)路由更新。在阶段2-1:回程RLC信道建立中,在阶段2-1中为CP业务建立回程RLC信道。例如,在阶段2-1中建立传送到和来自IAB中继设备的F1-C消息(即,通过F1接口发送的消息)。在阶段2-2中:路由更新,回程适应协议(BAP)层在阶段2-2中被更新,以支持新的IAB中继设备和IAB施主设备的DU功能之间的路由。更新BAP层包括在IAB施主的DU功能上配置用于下行方向的路由的BAP路由标识符,以及在IAB中继设备的MT功能上配置上行方向的BAP路由标识符。此外,用新的BAP路由标识符的路由条目为所有父IAB中继设备和IAB施主设备的DU功能更新路由表。此外,新的IAB中继设备的DU功能配置了IP地址,以建立到核心网络的IP连接。
阶段3:在阶段3,即IAB-DU部分建立中,配置IAB中继设备的DU(gNB-DU)功能。IAB中继设备的DU功能启动与IAB施主设备的CU功能建立F1-C连接(即通过F1接口的链路)。在通过F1接口建立链路之后,IAB中继设备开始为UE服务。
使用互联网密钥交换值的独立认证机制(例如IKEv2)在阶段3中被执行,用于使用互联网协议安全(IPsec)建立的安全F1接口建立。因为IAB节点的MT功能和DU功能是独立的,所以这两种功能都在IAB中继设备和核心网络之间执行独立的认证,以建立独立的安全上下文。因为要通过每个功能进行独立认证,在核心网络和IAB中继设备处需要多个凭证(例如,对于UE功能(Uu接口)AKA凭证和对于DU功能(F1接口)私钥和证书),这导致制造成本和管理工作的增加。此外,进行独立的认证导致在执行多个冗余认证执行时的开销,而没有安全收益。
此外,进行独立身份认证会增加建立安全F1接口的延迟。此外,手动配置安全凭证(例如,预配置的证书、预共享密钥(PSK)),该安全凭证被长时间地重新用于认证过程,直到凭证被更新。因此,还需要操作、管理和维护(OAM)架构来配置刷新的凭证,以避免可能地重复使用相同的密钥。此外,预配置在诸如关键任务(例如灾难)场景和地点或诸如运动的临时事件的场景中有限制,因为该地点的IAB施主设备需要安全配置来建立F1安全接口,但是在没有任何OAM预配置的情况下支持ad-hoc和临时IAB中继设备是至关重要的。因此,期望解决上述缺点或至少提供有用的替代方案。
发明内容
发明目的
这里的实施例的主要目的是提供一种用于认证的方法和IAB中继设备,并且动态地生成用于IKEv2 PSK认证的PSK,以避免相对较弱的安全凭证的预配置。
这里的实施例的另一个目的是通过使用IAB中继设备的UE功能与IAB施主设备或无线网络的AMF进行认证,在无线网络中的IAB中继设备处生成层安全密钥。
这里的实施例的另一个目的是生成用于与IAB施主设备的安全建立的层安全密钥。
这里的实施例的另一个目的是基于层安全密钥生成预共享密钥(PSK)。
这里的实施例的另一个目的是使用PSK生成IKEv2值,用于建立与IAB施主设备的F1接口安全性。
这里的实施例的另一个目的是通过跳过使用预配置的安全凭证的认证过程来建立与IAB施主设备的F1接口安全性。
概要
因此,本文的实施例提供了一种在无线网络中的IAB中继设备处进行认证的方法。该方法包括由IAB中继设备生成用于与无线网络中的IAB施主设备的接入层(AS)安全建立和非接入层(NAS)安全建立之一的层安全密钥。此外,该方法包括由IAB中继设备基于层安全密钥生成PSK。此外,该方法包括使用PSK生成IKEv2值,以建立与IAB施主设备的F1接口安全性。
在一个实施例中,当IAB中继设备通过从基站的切换连接到IAB施主设备时,其中无线网络中的基站向IAB施主设备提供IAB中继设备的MT功能的安全密钥,用于生成层安全密钥。
在一个实施例中,当IAB中继设备在加电之后连接到IAB施主设备或者用于注册/附接过程时,IAB中继设备使用IAB中继设备的MT功能来执行与IAB施主设备的认证,以生成层安全密钥。
在一个实施例中,其中IAB中继设备的MT功能响应于生成PSK而向IAB中继设备的DU功能提供PSK。
在一个实施例中,在建立与IAB施主设备的F1接口安全性的情况下,包括由IAB施主设备生成用于AS安全建立的层安全密钥,由IAB施主设备基于用于AS安全建立的层安全密钥生成PSK,以及由IAB施主设备使用PSK生成IKE值以建立与IAB中继设备的F1接口安全性。
在一个实施例中,其中建立与IAB施主设备的F1接口安全性包括:由无线网络的AMF生成用于NAS安全建立的层安全密钥;由AMF基于用于NAS安全建立的层安全密钥生成PSK;由AMF将PSK发送到IAB施主设备;响应于接收到PSK,由IAB施主设备使用PSK生成IKE值来建立与IAB中继设备的F1接口安全性。
在一个实施例中,其中层安全密钥是分别用于AS建立和NAS安全建立的AS安全密钥和NAS安全密钥。
在一个实施例中,其中PSK是使用以下各项中的至少一个来生成的:KSN、KgNB、S-KgNB、KAMF、IAB计数、物理小区标识符(PCI)、绝对射频信道号-下行链路(ARFCN-DL)、IAB施主设备的gNB标识符、IAB施主设备的控制单元(CU)的地址、IAB中继设备的地址、IAB中继设备的标识符、小区标识符、用于用户平面加密的密钥(KUPenc)、用于用户平面完整性的密钥(KUPenc)、接入类型区分符、上行链路NAS计数和其他可能的参数。
在一个实施例中,其中IAB中继设备通过跳过使用预配置的安全凭证的认证过程来建立与IAB施主设备的F1接口安全性。
因此,这里的实施例提供了一种用于认证的IAB中继设备。IAB中继设备包括存储器、处理器和认证控制器,其中处理器耦合到存储器。认证控制器耦合到处理器。所述认证控制器被配置为生成用于与无线网络中的IAB施主设备的AS安全建立和NAS安全建立之一的层安全密钥。认证控制器被配置为基于层安全密钥生成PSK。认证控制器被配置为使用PSK生成IKE值,以建立与IAB施主设备的F1接口安全性。
当结合以下描述和附图考虑时,这里的实施例的这些和其他方面将被更好地认识和理解。然而,应该理解,下面的描述虽然指示了优选实施例及其许多具体细节,但是是作为说明而非限制给出的。在不脱离本发明的精神的情况下,可以在本发明的实施例的范围内进行许多改变和修改,并且本发明的实施例包括所有这样的修改。
附图说明
该方法和装置在附图中示出,在所有附图中,相同的附图标记表示不同附图中的相应部分。通过参考附图的以下描述,将更好地理解这里的实施例,其中:
图1A-1B示出了根据现有技术的IAB设备的网络架构;
图2示出了根据现有技术的新的IAB中继设备到核心网络的基于独立的集成;
图3是根据本文公开的实施例的用于生成和使用动态PSK、而不使用用于建立安全F1接口的安全凭证的预配置的在无线网络中的IAB中继设备的框图;
图4是示出根据本文公开的实施例的用于在IAB中继设备处生成和使用用于认证的动态PSK的方法的流程图;
图5是示出根据本文公开的实施例的用于通过跳过使用预配置的安全凭证的认证过程来建立F1接口安全性的、在无线网络中的组件之间的信令的序列图;
图6是示出根据本文公开的实施例的当层安全密钥是AS安全密钥时、用于建立F1接口安全性的在无线网络中的组件之间的信令的序列图;
图7是示出根据本文公开的实施例的当层安全密钥是NAS安全密钥时、用于建立F1接口安全性的在无线网络中的组件之间的信令的序列图;和
图8示出了根据本文公开的实施例的使用各种参数生成PSK的示例场景。
具体实施方式
这里的实施例及其各种特征和有利的细节将参考附图中示出的和以下描述中详细描述的非限制性实施例来更全面地解释。省略了对众所周知的组件和处理技术的描述,以免不必要地模糊这里的实施例。此外,这里描述的各种实施例不一定相互排斥,因为一些实施例可以与一个或多个其他实施例组合以形成新的实施例。
除非另有说明,这里使用的术语“或”是指非排他性的或。这里使用的示例仅仅是为了便于理解可以实施这里的实施例的方式,并且进一步使本领域技术人员能够实施这里的实施例。因此,这些示例不应被解释为限制这里的实施例的范围。当考虑双连接架构时,术语“KgNB”也指“S-KgNB”或“KSN”,在本文档中可互换使用。此外,当IAB节点连接到5GC或gNB或eBN时,术语“基站”也可以是“IAB施主设备”。术语“IAB施主设备”或“IAB施主”或“IAB施主gNB”意思相同,在整个文件中可互换使用。术语“IAB中继设备”或“IAB节点”意思相同,并且在整个文档中可互换使用。此外,在IAB中继设备中,术语“MT功能”和“IAB-UE功能”是相同的,并且在整个文档中可以互换使用。
如本领域中的传统,实施例可以按照执行所描述的一个或多个功能的块来描述和示出。这些块在这里可以被称为管理器、单元、模块、硬件组件等,它们由模拟和/或数字电路例如逻辑门、集成电路、微处理器、微控制器、存储电路、无源电子组件、有源电子组件、光学组件、硬连线电路等来物理实现,并且可以可选地由固件和软件驱动。例如,电路可以在一个或多个半导体芯片中实现,或者在诸如印刷电路板等的基底支撑上实现。构成块的电路可以由专用硬件实现,或者由处理器(例如,一个或多个编程的微处理器和相关电路)实现,或者由执行块的一些功能的专用硬件和执行块的其他功能的处理器的组合来实现。在不脱离本公开的范围的情况下,实施例的每个块可以在物理上被分成两个或多个相互作用的离散块。同样,在不脱离本公开的范围的情况下,实施例的块可以物理地组合成更复杂的块。
本文的实施例提供了一种用于认证的方法,该方法通过在无线网络中的集成接入和回程(IAB)中继设备(100)处动态生成即插即用场景中的安全凭证(即,预共享密钥(PSK)),而无需预配置F1安全凭证。动态生成的PSK的好处是未来的证明,每个安装将有一个独立的密码生成的密钥,这是自动计算的,不需要程序提供或配置PSK。对于IAB节点的每次部署或重新启动,密钥都将是新的。IAB节点只需要网络访问凭证来完成IAB集成过程,而预配置凭证需要额外的凭证。本公开解决了动态密钥导出和提供的机制,而安全凭证(例如,证书)的预配置需要在IAB节点和IAB施主中提供额外的实体和过程。每个IKEv2认证都派生出独立的唯一PSK,而预配置对每个IKEv2认证都使用相同的凭据。
该方法包括由IAB中继设备生成用于与无线网络中的IAB施主设备的接入层(AS)安全建立和非接入层(NAS)安全建立之一的层安全密钥。此外,该方法包括由IAB中继设备基于层安全密钥生成PSK。此外,该方法包括使用PSK生成互联网密钥交换(IKE)版本2AUTH值,用于执行相互认证,并建立与IAB施主设备的F1接口安全性。
传统上,IAB中继设备使用IAB-UE功能和DU(即,IAB节点中的gNB-DU)功能来执行独立认证。与传统方法和系统不同,所提出的方法允许IAB中继设备使用MT功能来执行独立认证,并导出NAS和AS安全密钥。NAS/AS层安全密钥用于导出PSK,其中PSK进一步用于直接计算AUTH值(即IKEv2值)。因此,为建立F1接口安全性而跳过/替换例如EAP-TLS、EAP-AKA,或者使用预配置的凭证、例如证书、(静态的)预配置的PSK等的认证的认证过程。因此,RRC安全和IPsec的认证和建立被优化,而不会损害安全级别。因此,通过使用MT功能仅拥有单个凭证,可以减少认证的管理工作量。此外,通过实现所提出的方法,减少了在IAB中继设备处执行多个冗余认证的开销。此外,在建立安全的F1接口时,减少了延迟。在一个实施例中,在UE能力交换过程中,由IAB中继设备指示对动态PSK能力的支持。
在一个实施例中,网络通过预配置策略来强制使用动态PSK,以在IAB施主设备和IAB中继设备中使用动态PSK进行IKEv2认证,例如,使用OAM过程或使用手动配置等。在另一个实施例中,IAB中继设备指示它使用动态PSK在供应商ID有效载荷中生成AUTH值。在另一个实施例中,当IKEv2使用动态PSK执行PSK认证时,在IKE_AUTH请求消息中,IAB节点可以将ID类型设置为ID_KEY_ID,并将其值设置为预留值,其对于IAB施主设备和IAB中继设备是已知的。
现在参照附图,更具体地参照图3至图8,示出了优选实施例。
图3是根据本文公开的实施例的用于生成和使用动态PSK、而不使用用于建立安全F1接口的安全凭证的预配置的、在无线网络(1000)中的IAB中继设备(100)的框图。在一个实施例中,无线网络(1000)包括IAB中继设备(100)、IAB施主设备(200)、基站(300)以及接入和移动性管理功能(AMF)(400)。基站(300)和AMF(400)是无线网络(1000)的核心网络(图中未示出)的组件。在一个实施例中,基站(300)可以是IAB施主设备(200)或gNB或eBN。在一个实施例中,IAB施主设备(200)包括中央单元(CU)功能(210)和分发单元(DU)功能(220)。在本公开中,术语“CU功能(210)”和“CU(210)”意思相同并且可互换使用。在本公开中,术语“DU功能(220)”和“DU(220)”可互换使用,意思相同。IAB施主设备(200)连接到基站(300)和AMF(400)中的至少一个。
在一个实施例中,IAB中继设备(100)包括认证控制器(110)、存储器(120)、处理器(130)、移动终端(MT)功能(140)、DU功能(150)和通信器(160)。在本公开中,术语“MT功能(140)”、“UE功能(140)”、“UE(140)”和“MT(140)”可互换使用,意思相同。贯穿本公开,术语“DU功能(150)”、“gNB-DU(150)”和“DU(150)”可互换使用。在一个实施例中,认证控制器110包括层安全密钥生成器(111)、PSK生成器(112)和IKE值生成器(113)。在一个实施例中,层安全密钥生成器(111)、PSK生成器(112)使用密钥导出函数(KDF),而IKE值生成器(113)使用伪随机函数(PRF)。KDF的例子是HMAC-SHA-256。PRF的例子是AES-XCBC-PRF-128、AES-CMAC-PRF-128、PRF_HMAC_MD5 PRF_HMAC_SHA1、PRF_HMAC_TIGER等等。
认证控制器(110)被配置为生成用于与IAB施主设备(200)的接入层(AS)安全建立或非接入层(NAS)安全建立的层安全密钥。在一个实施例中,层安全密钥是分别用于AS安全建立和NAS安全建立的AS安全密钥(KSN或KgNB或S-KgNB)和NAS安全密钥(KAMF)。在一个实施例中,层安全密钥生成器(111)生成用于与IAB施主设备(200)的AS安全建立和NAS安全建立的层安全密钥。在一个实施例中,层安全密钥生成器(111)配置MT(140)以导出层安全密钥。
在一个实施例中,认证控制器(110)被配置为当IAB中继设备(100)在上电之后或者用于初始注册/附接过程连接到IAB施主设备(200)时、执行与核心网络的认证,以建立与核心网络的安全RRC连接。响应于成功的认证,在IAB中继设备(100)和核心网络之间建立安全RRC连接,用于RRC消息的安全交换。此外,认证控制器(110)被配置成响应于建立安全RRC连接来生成层安全密钥。在一个实施例中,MT功能(140)当IAB中继设备(100)在上电之后或者用于初始注册/附接过程而连接到IAB施主设备(200)时执行与核心网络的认证,以建立与核心网络的安全RRC连接。此外,层安全密钥生成器(111)响应于建立安全RRC连接而生成层安全密钥。
在另一个实施例中,当IAB中继设备(100)通过切换或作为来自基站(300)的双连接过程的一部分连接到IAB施主设备(200)时,基站(300)向IAB施主设备(200)提供IAB中继设备(100)的MT功能(140)的安全密钥。此外,认证控制器(110)被配置成响应于接收到MT功能(140)的安全密钥来生成层安全密钥。在一个实施例中,响应于接收到MT功能(140)的安全密钥,层安全密钥生成器(111)生成层安全密钥。
认证控制器(110)被配置为基于层安全密钥生成预共享密钥(PSK)。在本公开中,术语“PSK”、“预共享密钥”和“KIAB”可互换使用。在一个实施例中,PSK生成器(112)基于层安全密钥生成PSK。在一个实施例中,PSK生成器(112)配置MT(140)以导出PSK。在一个实施例中,MT功能(140)响应于生成PSK向DU功能(150)提供PSK。在一个实施例中,根据部署场景,MT功能(140)和DU功能(150)具有内部/专有接口,即MT功能(140)和DU功能(150)是逻辑上分离的,或者可以是物理上分离的。类似地,CU(210)和DU(220)也被分离。在这种情况下,MT功能(140)生成PSK并通过使用内部/专有接口或通过标准化接口提供给DU功能(150),其可以连同由MT功能(140)提供给DU功能(150)的其他参数(例如,由IAB-节点-UE从核心网络接收的DU配置(经由RRC)被提供给IAB-节点-DU)。
在另一个实施例中,DU功能(150)向MT功能(140)发送包括必要信息(例如,CU(210)的地址)的密钥请求。当PSK不可用于MT功能(140)时,MT功能(140)导出PSK并将导出的秘密PSK提供给DU功能(150)。在一个实施例中,使用至少一个参数生成PSK。该参数包括KSN、KgNB、S-KgNB、KAMF、IAB计数、物理小区标识符(PCI)、绝对射频信道号-下行链路(ARFCN-DL)、IAB施主设备(200)的gNB标识符、IAB施主设备(200)的CU(210)的地址、IAB中继设备(100)的地址、IAB中继设备(100)的标识符、小区标识符、用于用户平面加密的密钥(KUPenc)、用于用户平面完整性的密钥(KUPint)、接入类型区分符、上行链路NAS计数和其他可能的参数。
认证控制器(110)被配置为使用所生成的PSK来生成互联网密钥交换(IKE)认证(AUTH)值,以建立与IAB施主设备(200)的F1接口安全性。在一个实施例中,IKE值生成器(113)使用PSK生成IKE值。在一个实施例中,IKE值生成器(113)配置DU(150)以基于PSK导出IKE值。在本公开中,术语“IKE值”、“IKEv2值”、“IKEv2 AUTH值”和“AUTH值”意思相同并且可互换使用。此外,DU(150)建立与IAB施主设备(200)的F1接口安全性,以通过跳过诸如EAP-TLS、EAP-AKA等的重加权EAP认证过程或者使用预配置的安全凭证(如证书)、(静态的)预配置的PSK等的认证过程来支持IAB节点(100)和IAB施主(200)的灵活的即插即用,以用于优化IAB中继设备(100)处的认证。
在一个实施例中,DU(150)通过向IAB施主设备(200)发送第一请求来建立与IAB施主设备(200)的F1接口安全性。在一个实施例中,第一请求包括AUTH值(使用PSK生成)或/和全局唯一临时标识符(GUTI)。IAB施主设备(200)响应于从IAB中继设备(100)接收到第一请求,基于为AS安全建立生成的UE的层安全密钥来生成PSK。此外,IAB施主设备(200)验证接收到的AUTH(作为指定的IKEv2过程的一部分),并且如果验证成功,则使用PSK生成IKE值以建立与IAB中继设备(100)的F1接口安全性。在一个实施例中,IAB施主设备(200)使用PSK作为共享秘密/主会话密钥(MSK)。
IAB施主设备(200)通过向IAB中继设备(100)发送第二请求来建立与IAB中继设备(100)的F1接口安全性,其中第二请求包括用于IPsec安全关联(Security Association,SA)建立的AUTH值和其他参数。
在另一个实施例中,响应于从IAB中继设备(100)接收到第一请求,IAB施主设备(200)向AMF(400)发送第三请求以用于NAS安全建立。在一个实施例中,第三请求包括GUTI。AMF(400)基于GUTI标识为了NAS安全建立而导出的层安全密钥。此外,AMF(400)基于用于NAS安全建立的层安全密钥生成PSK。此外,AMF(400)将PSK发送到IAB施主设备(200)。IAB施主设备(200)响应于接收到PSK,使用PSK来生成IKE值,以建立与IAB中继设备(100)的F1接口安全性。IAB施主设备(200)通过向IAB中继设备(100)发送第二请求来建立与IAB中继设备(100)的F1接口安全性。
在另一个实施例中,IAB中继设备(100)和IAB施主设备(200)生成动态PSK,以便执行IAB中继设备(100)和IAB施主设备(200)的灵活的即插即用。使用包括功能码(FC)(例如,FC=0x7F)、CU功能(210)的IP地址、DU功能(210)的IP地址的长度、IAB中继设备(100)的DU功能(150)的IP地址以及DU功能(150)的IP地址的长度的参数来生成动态PSK。在一个实施例中,在PSK生成器(112)的输出端产生的动态PSK是256位数据。
在一个实施例中,MT功能(140)使用内部/专有接口或通过标准化接口向DU功能(150)提供层安全密钥(例如,KgNB)。此外,DU功能(150)基于层安全密钥生成PSK。在一个实施例中,MT功能(140)通过使用内部/专有接口向DU功能(150)提供与RRC相关的信息(例如,KgNB、PCI),以在DU功能(150)处生成PSK。
在一个实施例中,DU功能(150)向MT功能(140)发送参数请求,以触发IPsec认证/重新认证。MT功能(140)使用参数请求导出PSK,并使用内部/专有接口或通过标准化接口向DU功能(150)提供所请求的参数。
在一个实施例中,IAB施主设备(200)和IAB中继设备(100)存储KIAB。IAB施主设备(200)使用KIAB作为共享秘密,以在IAB施主设备(200)和IAB中继设备(100)之间执行IKEv2过程。KIAB和IPsec安全关联(SA)加密密钥用于在IAB施主设备(200)和IAB中继设备(100)之间建立IPsec SA。只要IAB中继设备(100)连接到IAB施主设备(200),或者直到IAB中继设备(100)被重新认证,KIAB就保持有效。在一个实施例中,CU功能(210)使用安全网关(SEG),以便终止IPsec隧道(tunnel)。在这种情况下,CU功能(210)生成PSK并通过使用内部/专有接口或通过标准化接口提供给SEG。
存储器(120)可以包括非易失性存储元件。这种非易失性存储元件的例子可以包括磁性硬盘、光盘、软盘、闪存或电可编程存储器(EPROM)或电可擦除可编程存储器(EEPROM)的形式。
此外,在一些示例中,存储器(120)可以被认为是非暂时性存储介质。术语“非暂时性”可以表示存储介质没有以载波或传播信号来实现。然而,术语“非暂时性”不应被解释为存储器(120)是不可移动的。在一些示例中,存储器(120)可以被配置为存储比存储器(120)更多的信息量。在某些示例中,非暂时性存储介质可以存储随时间变化的数据(例如,在随机存取存储器(RAM)或高速缓存中)。
处理器(130)被配置为执行存储在存储器(120)中的指令。通信器(160)被配置为在IAB中继设备(100)中的硬件组件之间进行内部通信。此外,通信器(160)被配置为促进在无线网络(1000)中的IAB中继设备(100)和其他设备(即,父IAB中继设备、IAB施主设备(200)、至少一个用户设备(UE))之间的通信。
虽然图3示出了IAB中继设备(100)的硬件组件,但是应当理解,其他实施例不限于此。在其他实施例中,IAB中继设备(100)可以包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明目的,并不限制本发明的范围。一个或多个组件可以组合在一起,以在IAB中继设备(100)处执行相同或基本相似的认证功能。
图4是示出根据本文公开的实施例的用于在IAB中继设备(100)处生成和使用用于认证的动态PSK的方法的流程图S400。在步骤S401,该方法包括生成用于与无线网络(1000)中的IAB施主设备(200)的AS安全建立和NAS安全建立之一的层安全密钥。在一个实施例中,该方法允许层安全密钥生成器(111)生成用于与无线网络(1000)中的IAB施主设备(200)的AS安全建立和NAS安全建立之一的层安全密钥。在步骤S402,该方法包括基于层安全密钥生成PSK。在一个实施例中,该方法允许PSK生成器(112)基于层安全密钥生成PSK。在步骤S403,该方法包括使用PSK生成IKE值。在一个实施例中,该方法允许IKE值生成器(113)使用PSK(作为共享秘密)来生成IKE值。在步骤S404,该方法包括建立与IAB施主设备(200)的F1接口安全性。在一个实施例中,该方法允许DU(150)建立与IAB施主设备(200)的F1接口安全性。
流程图S400中的各种活动、动作、块、步骤等可以以呈现的顺序、不同的顺序或同时执行。此外,在一些实施例中,在不脱离本发明的范围的情况下,一些活动、动作、块、步骤等可以被省略、添加、修改、跳过等。
图5是示出根据本文公开的实施例的用于通过跳过使用预配置的安全凭证的认证过程来建立F1接口安全性的、在无线网络(1000)中的组件之间的信令的序列图。在步骤S501,IAB中继设备(100)的MT(140)通过执行RRC连接建立过程,附接到作为典型UE的gNB(300)。响应于成功完成RRC连接建立过程,MT(140)执行认证并与gNB(300)一起生成AS安全密钥。在步骤S502,MT(140)从IAB设备操作、管理和维护(OAM)(500)中检索IAB设备操作、管理和维护(OAM)配置。IAB设备OAM配置包括去往CU(210)的传输网络层(TNL)地址和支持IAB设备访问的小区列表。在步骤S503,MT(140)在切换时从gNB(300)分离,用于连接到IAB施主设备(200)的CU(210)。
在步骤S504,MT(140)功能创建或建立AS安全上下文作为切换过程的一部分,而不执行认证过程。在步骤S505,MT(140)使用IAB设备OAM配置中的信息附接到CU(210),并执行AS安全建立。在步骤S504,没有由MT(140)功能执行的认证过程,但是作为切换过程的一部分,创建/建立了AS安全上下文。在步骤S506,MT(140)和CU(210)使用在步骤S504获得的KgNB导出PSK(即,KIAB)。此外,在步骤S506,MT(140)向DU(150)提供PSK。在步骤S507,DU(150)执行与CU(210)的传输网络层关联(TNLA)建立。在步骤S508,DU(150)使用在互联网密钥交换协议版本2(IKEv2)IETF RFC中指定的PSK(在步骤S506获得的)来生成IKEv2 AUTH有效载荷,并且跳过使用预配置的安全凭证、如证书等的认证过程,用于为F1接口建立SA(即IPsecSA)。
类似地,在步骤S508,CU(210)使用在互联网密钥交换协议版本2(IKEv2)IETF RFC中指定的PSK(在步骤S506获得的)来生成IKEv2 AUTH有效载荷。在一个实施例中,当IAB中继设备(100)在步骤S505加电之后立即连接到IAB施主设备(200)时,由于例如切换过程是不可能的(即步骤S504是不可能的),那么MT(140)功能启动初始注册过程,经由IAB施主设备(200)执行与核心网络的认证,在步骤S505建立AS安全上下文,并且执行其他后续步骤。在步骤S506,MT(140)和CU(210)使用在步骤S505生成的KgNB导出PSK(即,KIAB)。
图6是示出根据本文公开的实施例,当层安全密钥是AS安全密钥时,用于建立F1接口安全性的无线网络(1000)中的组件之间的信令的序列图。考虑,IAB中继设备(100)通过IAB施主设备(200)连接到AMF(400)。在阶段1,通过执行与IAB施主设备(200)的CU(220)的RRC连接建立过程,IAB中继设备(100)的MT(140)如典型的UE一样连接到AMF(400)(即核心网络)。此外,MT(140)执行与AMF(400)(即,核心网络)的认证、与IAB中继设备(100)相关的上下文管理以及在RAN中为IAB中继设备(100)配置接入业务相关的无线电承载。
此外,MT(140)可选地执行OAM连接建立。在步骤S601,当IAB中继设备(100)通过IAB施主设备(200)以新的无线电独立(NR-SA)模式向AMF(400)注册时,MT(140)和CU(220)导出KgNB作为AS安全建立的AS安全密钥。在一个实施例中,MT(140)和CU(220)在新的无线非独立(NR-NSA)模式(即,演进的通用陆地无线接入(E-UTRA)-NR双连接(EN-DC))中使用S-KgNB作为在IAB中继设备(100)和IAB施主设备(200)之间的AS安全建立的AS安全密钥,其中MT(140)生成S-KgNB,并且CU(220)从基站(300)获得S-KgNB。
在阶段2,其中阶段2-1:回程RLC信道建立,在阶段2中为CP业务建立回程RLC信道。例如,在阶段2-1中建立传送到和来自IAB中继设备(100)的F1-C消息(即,通过F1接口发送的消息)。阶段2-2:路由更新,在阶段2中更新回程自适应协议(BAP)层,以支持IAB中继设备(100)和IAB施主设备(200)的DU(220)之间的路由。更新BAP层包括配置用于在IAB施主设备(200)的DU(210)上的下行方向路由的BAP路由标识符、以及在IAB中继设备(100)的MT(140)上的上行方向的BAP路由标识符。此外,用新的BAP路由标识符的路由条目为所有父IAB中继设备和IAB施主设备(200)的DU(220)更新路由表。此外,智能IAB中继设备(100)的DU(150)配置IP地址以建立到gNB(300)的IP连接。
在阶段3的步骤S602,IAB中继设备(100)与CU(201)发起IKEv2过程以建立IPsecSA。在步骤S603,MT 140使用AS安全密钥(例如,KgNB或S-KgNB)导出KIAB。在步骤S604,MT(140)将KIAB发送到DU(150)。在步骤S605,DU(150)使用IKEv2 IETF RFC中指定的AUTH值生成机制,使用KIAB作为MSK/PSK/共享秘密来计算IKEV2值。在步骤S605,DU(150)向CU(210)发送包括AUTH值(即IKEv2值)的IKE-AUTH请求。在步骤S607,响应于接收到请求,CU(210)使用AS安全密钥(例如,KgNB)导出KIAB。在步骤S608,CU(210)使用对应于该UE的KIAB作为MSK/PSK/共享秘密来计算IKEV2值,并且验证从IAB中继设备(100)接收的AUTH值。
在步骤S609,CU(210)向DU(150)发送包括AUTH值(即,由CU(210)使用KgNB生成的IKEv2值,在IKEv2 IETF RFC中指定AUTH值生成)和用于IPsec SA建立的其他参数的IKE-AUTH请求。因此,DU(150)发起建立与IAB施主设备(200)的CU(201)的F1-C连接(即,通过F1接口的链路),并通过跳过认证过程(例如,EAP-TLS、EAP-AKA)或使用预配置的凭证(例如,证书、(静态的)预配置的PSK等)的认证过程来建立安全上下文以保护F1接口(即,F1-C接口和/或F1-U接口)。此外,IAB中继设备(100)允许UE在建立F1接口安全性之后进行连接。
图7是示出根据本文公开的实施例,当层安全密钥是NAS安全密钥时,用于建立F1接口安全性的无线网络(1000)中的组件之间的信令的序列图。考虑,IAB中继设备(100)通过IAB施主设备(200)连接到AMF(400)。在阶段1,通过执行与IAB施主设备(200)的CU(220)的RRC连接建立过程,IAB中继设备(100)的MT(140)如典型的UE一样连接到AMF(400)(即核心网络)。此外,MT(140)执行与AMF(400)(即,核心网络)的认证、与IAB中继设备(100)相关的上下文管理以及在RAN中为IAB中继设备(100)配置接入业务相关的无线电承载。此外,MT(140)可选地执行OAM连接建立。在步骤S601,MT(140)和AMF(500)导出KAMF作为用于NAS安全建立的NAS安全密钥。
在阶段2,其中阶段2-1:回程RLC信道建立,在阶段2中为CP业务建立回程RLC信道。例如,在阶段2-1中建立传送到和来自IAB中继设备(100)的F1-C消息(即,通过F1接口发送的消息)。阶段2-2:路由更新,在阶段2-2中更新BAP层,以支持IAB中继设备(100)和IAB施主设备(200)的DU(220)之间的路由。更新BAP层包括将BAP路由标识符配置为用于在IAB施主设备(200)的DU(210)上的下行方向的路由,并将BAP路由标识符配置为用于在IAB中继设备(100)的MT(140)上的上行方向的路由。此外,用新的BAP路由标识符的路由条目为所有父IAB中继设备和IAB施主设备(200)的DU(220)更新路由表。此外,IAB中继设备(100)的DU(150)配置IP地址以建立到基站(300)的IP连接。IAB中继设备(100)和IAB施主设备(200)在阶段2中执行TLNA建立。
在阶段3的步骤S702,IAB中继设备(100)与CU(201)发起IKEv2过程以建立IPsecSA。在步骤S703,MT140使用NAS安全密钥(例如,KAMF)导出KIAB。在步骤S704,MT(140)将KIAB发送到DU(150)。在步骤S705,DU(150)使用KIAB作为IKEv2 IETF RFC中指定的MSK/PSK/共享秘密来计算IKEV2值。在步骤S706,DU(150)向CU(210)发送包括作为可选参数的GUTI和AUTH值(即,IKEV2值)的IKE-AUTH请求。在步骤S707,CU(210)向AMF(400)发送包括GUTI的密钥请求。在步骤S708,响应于接收到请求,AMF(400)使用NAS安全密钥(例如,KAMF)导出KIAB。在步骤S708,AMF(400)通过N2接口向CU(210)发送KIAB。在步骤S710,CU(210)使用KIAB作为在IKEv2 IETF RFC中指定的MSK/PSK/共享秘密来计算IKEv2值,并且验证从IAB中继设备(100)接收的AUTH值。
在步骤S711,CU(210)向DU(150)发送包括AUTH值(即,由CU(210)生成的IKEV2值)和用于IPsec SA建立的其他参数的IKE-AUTH请求。因此,DU(150)发起建立与IAB施主设备(200)的CU(201)的F1-C连接(即,通过F1接口的链路),并且通过跳过认证过程(例如,EAP-TLS、EAP-AKA),或者使用至少一个预配置的凭证(例如,证书、(静态的)预配置的PSK等)的认证过程来建立安全上下文以保护F1接口(即,F1-C接口和/或F1-U接口)。此外,IAB中继设备(100)允许UE在建立F1接口安全性之后进行连接。
图8示出了根据本文公开的实施例的使用各种参数生成PSK的示例场景。在一个示例中,使用KSN/KgNB、参数区分符(例如0x00或0x07或0xEF或其他可能的值)和参数标识符(例如0100或1111或其他可能的值,如图8的符号(a)所示)来生成PSK(即KIAB)。在另一个例子中,PSK(即KIAB)是使用KSN/KgNB以及以下至少一个来生成的:IAB计数、PCI、ARFCN-DL、IAB施主设备(200)的gNB标识符、IAB施主设备(200)的CU(210)的地址、IAB中继设备(100)的DU(150)的地址、IAB中继设备(100)的标识符以及其他可能的参数(例如参数的长度),如图8的符号(b)所示。
在另一个例子中,如图8的符号(c)所示,PSK(即,KIAB)是使用KAMF、接入类型区分符和上行链路NAS计数生成的。在另一个例子中,如图8的符号(d)所示,PSK(即KIAB)是使用用于用户平面完整性的密钥(KUPint)生成的。在另一个例子中,如图8的符号(e)所示,PSK(即KIAB)是使用用于用户平面加密的密钥(KUPenc)生成的。
这里公开的实施例可以使用运行在至少一个硬件设备上并执行网络管理功能来控制元件的至少一个软件程序来实现。
特定实施例的前述描述将如此充分地揭示此处实施例的一般性质,使得其他人可以通过应用当前知识,在不脱离一般概念的情况下,容易地修改和/或适应各种应用这样的特定实施例,因此,这样的适应和修改应该并且旨在被理解为在所公开的实施例的等同物的意义和范围内。应当理解,这里使用的措辞或术语是为了描述的目的,而不是为了限制。因此,尽管已经根据优选实施例描述了这里的实施例,但是本领域技术人员将认识到,这里的实施例可以在这里描述的实施例的范围内进行修改来实施。
Claims (18)
1.一种用于在无线网络(1000)中的集成接入和回程(IAB)中继设备(100)处进行认证的方法,包括:
由IAB中继设备(100)生成用于与无线网络(1000)中的IAB施主设备(200)的接入层(AS)安全建立和非接入层(NAS)安全建立之一的层安全密钥;
由IAB中继设备(100)基于该层安全密钥生成预共享密钥(PSK);和
由IAB中继设备(100)使用PSK生成互联网密钥交换(IKE)值,以建立与IAB施主设备(200)的F1接口安全性。
2.如权利要求1所述的方法,其中,当IAB中继设备(100)通过从无线网络(1000)中的基站(300)的切换连接到IAB施主设备(200)时,基站(300)向IAB施主设备(200)提供IAB中继设备(100)的移动终端(MT)功能(140)的所生成的安全密钥,用于生成层安全密钥。
3.如权利要求1所述的方法,其中,当所述IAB中继设备(100)连接到所述IAB施主设备(200)以向所述无线网络(1000)注册时,所述IAB中继设备(100)使用所述IAB中继设备(100)的MT功能(140)来执行与所述IAB施主设备(200)的认证,以生成所述层安全密钥。
4.如权利要求1所述的方法,其中,响应于生成PSK,所述IAB中继设备(100)的MT功能(140)向所述IAB中继设备(100)的分发单元(DU)功能(150)提供PSK。
5.如权利要求1所述的方法,其中,建立与IAB施主设备(200)的F1接口安全性,包括:
由IAB施主设备(200)生成用于AS安全建立的层安全密钥;
由IAB施主设备(200)基于用于AS安全建立的层安全密钥生成PSK;和
由IAB施主设备(200)使用PSK生成IKE值,以建立与IAB中继设备(100)的F1接口安全性。
6.如权利要求1所述的方法,其中,建立与IAB施主设备(200)的F1接口安全性,包括:
由无线网络(1000)的接入和移动性管理功能(AMF)(400)生成用于NAS安全建立的层安全密钥;
由所述AMF(400)基于用于所述NAS安全建立的所述层安全密钥生成所述PSK;
由AMF(400)将PSK发送到IAB施主设备(200);和
响应于接收到PSK,由IAB施主设备(200)使用PSK生成IKE值,以建立与IAB中继设备(100)的F1接口安全性。
7.如权利要求1、权利要求5和权利要求6中任一项所述的方法,其中,所述层安全密钥分别是用于所述AS安全建立和所述NAS安全建立的AS安全密钥和NAS安全密钥。
8.如权利要求1、权利要求5和权利要求6中任一项所述的方法,其中所述PSK是使用以下各项中的至少一个来生成的:KSN、KgNB、S-KgNB、KAMF、IAB计数、物理小区标识符(PCI)、绝对射频信道号-下行链路(ARFCN-DL)、IAB施主设备(200)的gNB标识符、IAB施主设备(200)的控制单元(CU)(210)的地址、IAB中继设备(100)的地址,IAB中继设备(100)的标识符、小区标识符、用于用户平面加密的密钥(KUPenc)、用于用户平面完整性的密钥(KUPint)、接入类型区分符、上行链路NAS计数和其他可能的参数。
9.如权利要求1所述的方法,其中所述IAB中继设备(100)通过跳过使用预配置的凭证的认证过程来建立与IAB施主设备(200)的F1接口安全性。
10.一种用于认证的集成接入和回程中继设备(100),包括:
存储器(120);
耦合到存储器(120)的处理器(130);和
认证控制器(110),耦合到所述处理器,被配置为:
生成用于与无线网络(1000)中的IAB施主设备(200)的接入层(AS)安全建立和非接入层(NAS)安全建立之一的层安全密钥;
基于生成的层安全密钥生成预共享密钥(PSK);和
使用PSK生成互联网密钥交换(IKE)值,以建立与IAB施主设备(200)的F1接口安全性。
11.如权利要求10所述的IAB中继设备(100),其中当IAB中继设备(100)通过从基站(300)的切换连接到IAB施主设备(200)时,无线网络(1000)中的基站(300)向IAB施主设备(200)提供IAB中继设备(100)的移动终端(MT)功能(140)的所生成的安全密钥,用于生成层安全密钥。
12.如权利要求10所述的IAB中继设备(100),其中,当IAB中继设备(100)连接到IAB施主设备(200)以向无线网络(1000)注册时,IAB中继设备(100)使用IAB中继设备(100)的MT功能(140)来执行与IAB施主设备(200)的认证,以生成层安全密钥。
13.如权利要求10所述的IAB中继设备(100),其中所述IAB中继设备(100)的MT功能(140)响应于产生所述PSK向所述IAB中继设备(100)的分发单元(DU)功能(150)提供所述PSK。
14.如权利要求10所述的IAB中继设备(100),其中,建立与IAB施主设备(200)的F1接口安全性,包括:
由IAB施主设备(200)生成用于AS安全建立的层安全密钥;
由IAB施主设备(200)基于用于AS安全建立的层安全密钥生成PSK;和
由IAB施主设备(200)使用PSK生成IKE值,以建立与IAB中继设备(100)的F1接口安全性。
15.如权利要求10所述的IAB中继设备(100),其中,建立与IAB施主设备(200)的F1接口安全性,包括:
由无线网络(1000)的接入和移动性管理功能(AMF)(400)生成用于NAS安全建立的层安全密钥;
由所述AMF(400)基于用于NAS安全建立的所述层安全密钥生成所述PSK;
由AMF(400)将PSK发送到IAB施主设备(200);和
响应于接收到PSK,由IAB施主设备(200)使用PSK生成IKE值,以建立与IAB中继设备(100)的F1接口安全性。
16.如权利要求10、权利要求14和权利要求15中任一项所述的IAB中继设备(100),其中,所述层安全密钥分别是用于所述AS建立和所述NAS安全建立的AS安全密钥和NAS安全密钥。
17.如权利要求10、权利要求14和权利要求15中任一项所述的IAB中继设备(100),其中,所述PSK是使用以下各项中的至少一个来生成的:KSN、KgNB、S-KgNB、KAMF、IAB计数、物理小区标识符(PCI)、绝对射频信道号-下行链路(ARFCN-DL)、IAB施主设备(200)的gNB标识符、IAB施主设备(200)的控制单元(CU)(210)的地址、IAB中继设备(100)的地址、IAB中继设备(100)的标识符、小区标识符、用于用户平面加密的密钥(KUPenc)、用于用户平面完整性的密钥(KUPint)、接入类型区分符、上行链路NAS计数和其他可能的参数。
18.如权利要求10所述的IAB中继设备(100),其中,所述认证控制器(110)被配置为通过跳过使用预配置的凭证的认证过程来建立与IAB施主设备(200)的F1接口安全性。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201941023707 | 2019-06-14 | ||
| IN201941023707 | 2020-06-01 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112087754A true CN112087754A (zh) | 2020-12-15 |
Family
ID=71094182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010546592.2A Pending CN112087754A (zh) | 2019-06-14 | 2020-06-15 | 动态提供在中继设备中用于认证的密钥的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11523277B2 (zh) |
| EP (1) | EP3751817A1 (zh) |
| KR (1) | KR20220019703A (zh) |
| CN (1) | CN112087754A (zh) |
| WO (1) | WO2020251312A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022237599A1 (zh) * | 2021-05-10 | 2022-11-17 | 华为技术有限公司 | 一种通信方法、装置及系统 |
| WO2023011315A1 (zh) * | 2021-07-31 | 2023-02-09 | 华为技术有限公司 | 建立安全传输通道的方法、确定密钥的方法及通信装置 |
| WO2024032207A1 (zh) * | 2022-08-12 | 2024-02-15 | 华为技术有限公司 | 通信方法、装置和系统 |
| WO2024113620A1 (en) * | 2023-04-07 | 2024-06-06 | Zte Corporation | Pre-shared secret key generation for integrated access and backhaul network device |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11758595B2 (en) * | 2019-12-23 | 2023-09-12 | Qualcomm Incorporated | Wireless in-vehicle networking architecture |
| US11706690B2 (en) * | 2020-07-13 | 2023-07-18 | Qualcomm Incorporated | Handover command delivery via a target path in an integrated access and backhaul configuration |
| WO2024096567A1 (en) * | 2022-11-03 | 2024-05-10 | Samsung Electronics Co., Ltd. | Method and apparatus for key synchronization and key update and key distribution |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158860A (zh) * | 2010-02-12 | 2011-08-17 | 华为技术有限公司 | 无线节点入网方法、系统及中继节点 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120163336A1 (en) * | 2010-06-18 | 2012-06-28 | Interdigital Patent Holdings, Inc. | Distributed architecture for security keys derivation in support of non-involved core network handover |
| CN102595403A (zh) | 2011-01-14 | 2012-07-18 | 中兴通讯股份有限公司 | 绑定中继节点的认证方法及装置 |
| EP2684385B1 (en) * | 2011-03-09 | 2015-02-11 | Telefonaktiebolaget L M Ericsson (PUBL) | Transmission of an alarm signal in a wireless communication system |
| US10136359B2 (en) | 2015-06-30 | 2018-11-20 | Qualcomm Incorporated | Traffic flow migration in backhaul networks |
| US10313156B2 (en) * | 2015-07-17 | 2019-06-04 | Nec Corporation | Communication system, communication apparatus, communication method, terminal, non-transitory medium |
| CN106375989B (zh) | 2015-07-20 | 2019-03-12 | 中兴通讯股份有限公司 | 实现接入层安全的方法及用户设备和无线接入小节点 |
| WO2018170061A1 (en) * | 2017-03-15 | 2018-09-20 | Intel IP Corporation | Apparatus, system and method of securing wireless communication |
| EP3915287A1 (en) * | 2019-01-21 | 2021-12-01 | Telefonaktiebolaget LM Ericsson (publ) | Network slice authentication |
-
2020
- 2020-06-12 EP EP20179722.2A patent/EP3751817A1/en active Pending
- 2020-06-12 US US16/946,271 patent/US11523277B2/en active Active
- 2020-06-12 WO PCT/KR2020/007677 patent/WO2020251312A1/en active Application Filing
- 2020-06-12 KR KR1020217040919A patent/KR20220019703A/ko active Search and Examination
- 2020-06-15 CN CN202010546592.2A patent/CN112087754A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158860A (zh) * | 2010-02-12 | 2011-08-17 | 华为技术有限公司 | 无线节点入网方法、系统及中继节点 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP TSG SA: "Security architecture", 《3GPP TS 33.401V15.7.0》, 31 March 2019 (2019-03-31), pages 154 - 156 * |
| SAMSUNG: "Draft TR 33.824", 《S3-191693》, 10 March 2019 (2019-03-10), pages 6 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022237599A1 (zh) * | 2021-05-10 | 2022-11-17 | 华为技术有限公司 | 一种通信方法、装置及系统 |
| WO2023011315A1 (zh) * | 2021-07-31 | 2023-02-09 | 华为技术有限公司 | 建立安全传输通道的方法、确定密钥的方法及通信装置 |
| WO2024032207A1 (zh) * | 2022-08-12 | 2024-02-15 | 华为技术有限公司 | 通信方法、装置和系统 |
| WO2024113620A1 (en) * | 2023-04-07 | 2024-06-06 | Zte Corporation | Pre-shared secret key generation for integrated access and backhaul network device |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200396611A1 (en) | 2020-12-17 |
| KR20220019703A (ko) | 2022-02-17 |
| WO2020251312A1 (en) | 2020-12-17 |
| EP3751817A1 (en) | 2020-12-16 |
| US11523277B2 (en) | 2022-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| US11838286B2 (en) | Multi-stage secure network element certificate provisioning in a distributed mobile access network | |
| EP3751817A1 (en) | Method of dynamically provisioning a key for authentication in relay device | |
| CN109644134B (zh) | 用于大型物联网组认证的系统和方法 | |
| KR20210024985A (ko) | 무선 네트워크에서 IAB(Integrated Access and Backhaul) 노드의 인증을 위한 방법 및 장치 | |
| EP1946580B1 (en) | Method of providing security for relay station | |
| CN102349319B (zh) | 中继节点的设置和配置 | |
| CN110476448A (zh) | 用于大规模物联网设备的基于组的上下文和安全性 | |
| JP2019521612A (ja) | ワイヤレスネットワークにおけるカバレージ及びリソース制限デバイスをサポートするためのレイヤ2リレー | |
| CN106465101B (zh) | 无线网络接入保护和安全架构的系统和方法 | |
| CN112534851A (zh) | 委托数据连接 | |
| US8661510B2 (en) | Topology based fast secured access | |
| EP2196043A2 (en) | Method and apparatus for authenticating nodes in a wireless network | |
| US20230099786A1 (en) | Methods and Apparatus for Provisioning Private Network Devices During Onboarding | |
| WO2023125293A1 (zh) | 通信方法及通信装置 | |
| CN113841366B (zh) | 通信方法及装置 | |
| US9894517B2 (en) | Methods and apparatuses for handling data traffic in a radio node having a split protocol stack | |
| CN116368833A (zh) | 针对边缘计算服务的安全连接的建立和认证的方法和系统 | |
| CN116801256A (zh) | 执行密钥管理的方法、设备和系统 | |
| CN117204000A (zh) | 用于邻近服务的授权的系统与方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |