CN112534850B - 无线通信网络中的非接入层通信的保护 - Google Patents
无线通信网络中的非接入层通信的保护 Download PDFInfo
- Publication number
- CN112534850B CN112534850B CN201980053236.2A CN201980053236A CN112534850B CN 112534850 B CN112534850 B CN 112534850B CN 201980053236 A CN201980053236 A CN 201980053236A CN 112534850 B CN112534850 B CN 112534850B
- Authority
- CN
- China
- Prior art keywords
- nas
- key
- new
- amf
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 67
- 230000004044 response Effects 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 71
- 238000009795 derivation Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 15
- 230000003213 activating effect Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 32
- 238000012546 transfer Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 10
- 238000007726 management method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 6
- 230000011664 signaling Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000005259 measurement Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 238000001994 activation Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
网络设备(16A)被配置成供无线通信网络中使用。网络设备(16A)被配置成:检测一个或多个条件,在所述一个或多个条件下,保护所述网络设备(16A)与无线装置(12)之间的非接入层(NAS)通信的NAS密钥(26A)将被刷新。响应于检测到所述一个或多个条件,网络设备(16A)被配置成从基本密钥(24A)导出新的基本密钥(24B),其中,在所述基本密钥(24A)上导出了所述NAS密钥(26A),将在所述新的基本密钥(24B)上导出新的NAS密钥(26B)。网络设备(16A)还被配置成激活所述新的基本密钥(24B)。
Description
技术领域
本申请一般涉及无线通信网络,更特别地涉及这种网络中的非接入层(NAS)通信的保护。
背景技术
非接入层(NAS)是无线装置与无线通信系统的核心网络之间的控制平面的最高层。NAS支持例如无线装置的移动性管理和会话管理。
保护无线装置与核心网络之间的NAS通信涉及通信的完整性保护和/或加密。无线装置和核心网络必须针对要用于此保护的NAS密钥达成一致。但是NAS密钥应当被刷新或者另外偶尔被改变,以便防止未授权的密钥重用。即使在NAS密钥将被改变时,保持无线装置和核心网络针对NAS密钥达成一致被证明以鲁棒的方式考虑到未来几代无线通信网络并且保持低信令开销的方式来进行是具有挑战性的。
发明内容
本文的一些实施例利用水平(horizontal)密钥导出来刷新保护无线通信网络中的非接入层(NAS)通信的NAS密钥。在已经从当前活动的基本密钥(base key)(例如,当前活动的KAMF)导出当前活动的NAS密钥的情况下,水平密钥导出可涉及从当前活动的基本密钥导出新的基本密钥(例如,新的KAMF),然后从新的基本密钥导出新的NAS密钥。例如,在预期无线装置与网络设备之间的NAS连接的NAS计数从最大值绕回(wrap around)到初始值时,可以采用这种方式来刷新NAS密钥。这又可保护无线装置的安全上下文在不同无线通信网络之间的传递,甚至是不同代的网络之间的传递(例如,5G和6G网络之间的传递)。此外,水平密钥导出在控制信令方面证明比必须运行主认证过程或活动本地(native)安全上下文以便刷新NAS密钥更高效。
更特别地,本文的实施例包括由被配置成供无线通信网络中使用的网络设备执行的方法。该方法包括检测一个或多个条件(condition),在所述一个或多个条件下,保护网络设备和无线装置之间的非接入层(NAS)通信的NAS密钥将被刷新。该方法还可以包括:响应于检测到所述一个或多个条件,从基本密钥导出新的基本密钥,其中,在所述基本密钥上导出了所述NAS密钥,将在所述新的基本密钥上导出新的NAS密钥。在一些实施例中,该方法还可以包括激活新的基本密钥。
在一些实施例中,所述一个或多个条件包括所述网络设备与所述无线装置之间的NAS连接的NAS计数的值在距所述NAS计数的最大值的特定阈值内。在此情况下,NAS计数对通过NAS连接在特定方向上发送的NAS消息的数量进行计数。
备选地或附加地,所述一个或多个条件包括:在所述网络设备与所述无线装置之间的NAS连接的NAS计数的值从最大值绕回到初始值之前检测到的一个或多个条件。NAS计数对通过NAS连接在特定方向上发送的NAS消息的数量进行计数。
在又一些其他实施例中,一个或多个条件备选地或附加地包括NAS密钥已经被使用了至少阈值时间长度或阈值次数。
在一些实施例中,导出所述新的基本密钥包括从所述基本密钥和NAS计数的值导出所述新的基本密钥,所述NAS计数对通过所述网络设备与所述无线装置之间的NAS连接在特定方向上发送的NAS消息的数量进行计数。
在一些实施例中,导出新的基本密钥包括计算新的基本密钥作为密钥导出函数(function)的输出,所述密钥导出函数以字符串(string)和密钥作为输入。在这种情况下,将基本密钥作为密钥输入到密钥导出函数,并且将级联在一起的参数集作为字符串输入到密钥导出函数。所述参数集包括NAS计数的值,所述NAS计数对通过所述网络设备与所述无线装置之间的NAS连接在特定方向上发送的NAS消息的数量进行计数。例如,在一个实施例中,密钥导出函数是基于散列的消息认证码(HMAC)函数,其使用安全散列算法(SHA)来以字符串和密钥的形式将输入散列(hash)到HMAC函数。
在一些实施例中,激活新的基本密钥包括:在网络设备和无线装置之间执行NAS安全模式命令(SMC)过程,以在网络设备和无线装置之间建立包括新的基本密钥的新的NAS安全上下文。在一个实施例中,例如,执行NAS SMC过程包括向无线装置传送NAS SMC消息,该NAS SMC消息指示NAS计数的值,该NAS计数对通过网络设备和无线装置之间的NAS连接在特定方向上发送的NAS消息的数量进行计数。
在一些实施例中,新的基本密钥被包括在网络设备和无线装置之间建立的新的安全上下文中。在这种情况下,该方法还可以包括将新的安全上下文传递到其他网络设备。
在一些实施例中,该方法进一步包括传送或接收以新的NAS密钥保护的NAS通信。
在一些实施例中,上文所描述的NAS计数是对通过NAS连接在上行链路方向上发送的NAS消息的数量进行计数的上行链路NAS计数,或者所述NAS计数是对通过所述NAS连接在下行链路方向上发送的NAS消息的数量进行计数的下行链路NAS计数。
在以上实施例中的任何一个中,网络设备可以实现接入和移动性功能(AMF)。在这种情况下,基本密钥是密钥KAMF,并且其中,新的基本密钥是新的密钥KAMF。
在一些实施例中,导出新的基本密钥可以包括在不运行主认证过程或激活本地安全上下文的情况下导出新的基本密钥。
在一些实施例中,所述方法进一步包括在将所述无线装置的NAS安全上下文传递到其他网络设备之前递增所述网络设备与所述无线装置之间的NAS连接的NAS计数的值。在这种情况下,在所述递增之后但在所述传递之前执行上述检测、导出和激活。
本文的实施例还包括对应的设备、计算机程序和载体。例如,实施例包括被配置成供无线通信网络中使用的网络设备。所述网络设备被配置成(例如,经由通信电路和处理电路)检测一个或多个条件,在所述一个或多个条件下,保护所述网络设备与无线装置之间的非接入层(NAS)通信的NAS密钥将被刷新;响应于检测到所述一个或多个条件,从基本密钥导出新的基本密钥,其中,在所述基本密钥上导出了所述NAS密钥,将在所述新的基本密钥上导出新的NAS密钥;以及激活新的基本密钥。
本文的实施例还包括由被配置成实现接入和移动性功能(AMF)的网络设备执行的方法。该方法可包括:在NAS上行链路或下行链路计数在当前安全上下文的情况下绕回之前,根据水平KAMF导出,激活新的非接入层(NAS)密钥。这里,水平KAMF导出从当前活动的KAMF密钥导出新的KAMF密钥。
实施例还包括被配置成实现接入和移动性功能(AMF)的网络设备。网络设备被配置成(例如,经由通信电路和处理电路)在NAS上行链路或下行链路计数在当前安全上下文的情况下绕回之前,根据水平KAMF导出,激活新的非接入层(NAS)密钥。水平KAMF导出从当前活动的KAMF密钥导出新的KAMF密钥。
附图说明
图1是根据一些实施例的无线通信系统10的框图。
图2是根据一些实施例由网络设备执行的方法的逻辑流程图。
图3是根据其他实施例由网络设备执行的方法的逻辑流程图。
图4A是根据一些实施例的网络设备的框图。
图4B是根据其他实施例的网络设备的框图。
图5是根据一些实施例的5G系统(5GS)的框图。
图6是根据一些实施例的非漫游架构的框图,该非漫游架构用于5G系统(5GS)和演进分组核心(EPC)/演进通用移动电信系统(UMTS)陆地无线电接入(E-UTRAN)之间的互通(interworking)。
图7是根据一些实施例用于NAS密钥刷新的水平密钥导出的调用流程图。
具体实施方式
图1示出了根据一些实施例的无线通信系统10。根据图1,无线装置12 (例如,用户设备)通过无线电接口13与无线电接入网(RAN) 14通信,以便接入系统10的核心网络(CN)16。CN 16又可以将无线装置12连接到一个或多个数据网络,例如因特网。
CN 16包括CN 16的控制平面中的网络设备16A,在控制平面中,网络设备16A参加与无线装置12的非接入层(NAS)通信18,例如,作为支持无线装置12的移动性管理的一部分。在这些和其他实施例中,NAS通信18可以用于系统信息的广播、寻呼、NAS信息的传递、接入层(AS)安全配置、无线电接入能力的传递、测量配置和报告、和/或移动性控制。此类NAS通信18可作为通过无线装置12与网络设备16A之间的NAS连接来传递的NAS消息而执行。在CN 16是5G核心网络的实施例中,网络设备16A可以实现接入和移动性功能(AMF)。
无论如何,无线装置12和网络设备16A例如以完整性保护和/或加密的形式将保护20应用于NAS通信18。图1在这方面示出无线装置12和网络设备16A维持无线装置12的安全上下文22A (例如,5G NAS安全上下文)。安全上下文22A尤其包括基本密钥24A。在网络设备16A实现AMF的实施例中,基本密钥24A例如可以是从锚密钥KSEAF导出的密钥KAMF。然而,无论基本密钥24A的特定性质如何,无线装置12和网络设备16A都例如经由垂直密钥导出28A从基本密钥24A导出NAS密钥26A。无线装置12和网络设备16A将NAS通信18的保护20基于这些NAS密钥26A。NAS密钥26A可以例如包括用于完整性保护的一个NAS密钥KNASint和用于加密(ciphering/encryption)的一个NAS密钥KNASenc。
根据一些实施例的网络设备16A可以检测NAS密钥26A将被刷新的一个或多个条件。考虑例如如下实施例:其中,安全上下文22A包括用于无线装置12与网络设备16A之间的NAS连接的NAS计数30A。NAS计数30A对通过NAS连接在特定方向(例如,上行链路或下行链路)上发送的NAS消息的数量进行计数。在这种情况下,在一些实施例中,一个或多个条件包括NAS计数30A的值“接近于”从最大值绕回到初始值。例如,可以将一个或多个条件定义为NAS计数30A的值在距最大值的某个阈值(X)内。备选地或附加地,一个或多个条件可以包括:在NAS计数30A的值绕回之前检测到的一个或多个条件。在又一些其他实施例中,一个或多个条件可包括NAS密钥26A已被使用至少阈值时间长度或阈值次数。
无论触发NAS密钥26A的刷新的(一个或多个)特定条件如何,网络设备16A响应于检测到(一个或多个)条件而从导出了NAS密钥26A的基本密钥24A导出新的基本密钥24B。如图1所示的这个新的基本密钥24B可以被包括在无线装置12的新的安全上下文22B中,无论如何,网络设备16A可以经由水平密钥导出32从(旧的)基本密钥24A导出新的基本密钥24B。特别地,然后,网络设备16A从(旧的)基本密钥24A(水平地)导出新的基本密钥24B,而不运行主认证过程或激活本地安全上下文。从控制信令开销的角度来看,这种密钥导出证明是有利的,因为水平密钥导出需要比例如主认证更少的控制信令。
更特别地,新基本密钥24B的导出可以涉及从(旧)基本密钥24A和NAS计数30A的值(例如,上行链路NAS计数的值)导出新的基本密钥24B。作为一个示例,新的基本密钥24B可以被计算为以字符串和密钥作为输入的密钥导出函数(KDF)的输出。(旧的)基本密钥24A可以作为输入密钥来输入到KDF。参数集可以被级联在一起并作为输入字符串来输入到KDF。该参数集可以包括NAS计数30A的值。
考虑如下示例:其中,(旧的)基本密钥24A是密钥KAMF,新的基本密钥24B是密钥KAMF',并且KDF是基于散列的消息认证码(HMAC)函数,其使用安全散列算法(SHA)以字符串和密钥的形式将输入散列到HMAC函数。在这种情况下,新的基本密钥KAMF'可计算为KAMF' =HMAC-SHA-256(Key,S),其中Key = KAMF,并且S是从包括NAS计数30A的值的参数集而构造的输入字符串。
无论网络设备16A从(旧的)基本密钥24A导出新的基本密钥24B的特定方式如何,新的NAS密钥26B将例如经由垂直密钥导出28B从该新的基本密钥24B导出。并且无线装置12和网络设备16A将切换为将NAS通信18的保护20基于这些新的NAS密钥26B。
在这方面,网络设备16A还被配置成激活新的基本密钥24B,例如,以便将新的基本密钥24B (和新的NAS密钥26B)投入到保护使用中。如图1所示,例如,新的基本密钥24B可以被包括在新的安全上下文22B中。网络设备16A可以通过在网络设备16A和无线装置12之间建立包括新的基本密钥24B的新的安全上下文22B来激活新的基本密钥24B。网络设备16A可通过在网络设备16A与无线装置12之间执行NAS安全模式命令(SMC)过程来建立新的安全上下文22B。此NAS SMC过程可涉及网络设备16A将NAS SMC消息传送到无线装置12,所述NASSMC消息指示NAS计数30A的值,例如,对于新的安全上下文22B,NAS计数30B基于所述值。
注意,在这方面尽管如此,在一些实施例中,网络设备16A结合和/或预期将无线装置12的安全上下文传递到其他网络设备(例如,作为由空闲模式移动性或连接模式切换引起的AMF改变的一部分)来执行上述处理。在这些和其他实施例中,在传递无线装置12的安全上下文之前,网络设备16A可递增网络设备16A与无线装置12之间的NAS连接的NAS计数的值,例如以保护安全上下文传递和/或确保后向安全。在这种情况下,网络设备16A可以在递增NAS计数30A之后、作为递增NAS计数的一部分或在预期递增NAS计数时,检测水平导出新的基本密钥24B的一个或多个条件。因此,在递增NAS计数30A之后,网络设备16A可以执行水平密钥导出以导出新的基本密钥24B,激活新的基本密钥24B,然后传递无线装置12的新的安全上下文22B。特别地,一些实施例保护不同的无线通信网络(甚至不同代的网络)之间的新的安全上下文22B的传递(例如,5G和6G网络之间的传递)。
鉴于上述变化和修改,图2描绘了根据特定实施例由被配置成供无线通信网络中使用的网络设备16A (例如,被配置成实现AMF)执行的方法。该方法包括检测将刷新NAS密钥26A(其保护网络设备16A与无线装置12之间的NAS通信18)的一个或多个条件(框110)。所述(一个或多个)条件可包括(例如)网络设备16A与无线装置12之间的NAS连接的NAS计数30A的值在距离NAS计数30A的最大值的某个阈值内。无论如何,该方法还包括:响应于检测到一个或多个条件,从导出了NAS密钥26A的基本密钥24A导出新的基本密钥24B,将在新的基本密钥24B上导出新的NAS密钥26B(框120)。所示的方法还可以包括激活新的基本密钥24B (框130)。
在一些实施例中,该方法还可以包括向(例如,被配置成实现新AMF的)其他网络设备传递包括新的基本密钥24B的新的安全上下文22B (框140)。实际上,在一些实施例中,可以在预期这种传递时执行该方法。例如,在一些实施例中,安全上下文传递促使NAS计数30A的递增,例如以保护传递和/或提供后向安全。在这种情况下,然后,所示方法还可以包括递增NAS计数30A (框105)。
无论如何,在一些实施例中,所述一个或多个条件包括网络设备16A与无线装置12之间的NAS连接的NAS计数30A的值在距离NAS计数30A的最大值的某个阈值内,其中,NAS计数30A对通过NAS连接在特定方向上发送的NAS消息的数量进行计数。
备选地或附加地,所述一个或多个条件可包括:在网络设备16A与无线装置12之间的NAS连接的NAS计数30A的值从最大值绕回到初始值之前检测到的一个或多个条件,其中,NAS计数30A对通过NAS连接在特定方向上发送的NAS消息的数量进行计数。
在一些实施例中,一个或多个条件包括NAS密钥26A已被使用了至少阈值时间长度或阈值次数。
在一些实施例中,导出新的基本密钥24B包括从基本密钥24A和NAS计数30A的值导出新的基本密钥24B,所述NAS计数对通过网络设备16A与无线装置12之间的NAS连接在特定方向上发送的NAS消息的数量进行计数。
在一些实施例中,导出新的基本密钥24B包括计算新的基本密钥24B作为以字符串和密钥作为输入的密钥导出函数的输出。在这种情况下,基本密钥24A作为所述密钥来输入到密钥导出函数。将级联在一起的参数集作为字符串输入到密钥导出函数。并且所述参数集包括对通过网络设备16A与无线装置12之间的NAS连接在特定方向上发送的NAS消息的数量进行计数的NAS计数30A的值。在一个此类实施例中,例如,密钥导出函数是基于散列的消息认证码(HMAC)函数,其使用安全散列算法(SHA)以字符串和密钥的形式将输入散列到HMAC函数。
在一些实施例中,激活新的基本密钥24B包括在网络设备16A与无线装置12之间执行NAS安全模式命令(SMC)过程,以在网络设备16A与无线装置12之间建立包括新的基本密钥24B的新的NAS安全上下文。在一个实施例中,例如,执行NAS SMC过程包括将NAS SMC消息传送到无线装置12,所述NAS SMC消息指示NAS计数30A的值,所述NAS计数30A对通过网络设备16A与无线装置12之间的NAS连接在特定方向上发送的NAS消息的数量进行计数。
在一些实施例中,该方法还可包括传送或接收以新的NAS密钥26B保护的NAS通信。
在一些实施例中,NAS计数30A是对通过NAS连接在上行链路方向上发送的NAS消息的数量进行计数的上行链路NAS计数,或者NAS计数30A是对通过NAS连接在下行链路方向上发送的NAS消息的数量进行计数的下行链路NAS计数。
在一些实施例中,网络设备16A实现接入和移动性功能(AMF)。在这种情况下,基本密钥24A是密钥KAMF,新的基本密钥24B是新的密钥KAMF。
在一些实施例中,导出新的基本密钥24B包括在不运行主认证过程或激活本地安全上下文的情况下导出新的基本密钥24B。
在一些实施例中,所述方法进一步包括:在将无线装置12的NAS安全上下文传递到其他网络设备之前递增网络设备16A与无线装置12之间的NAS连接的NAS计数30A的值。在这种情况下,在递增之后但在传递之前执行检测、导出和激活。
备选地或附加地,图3描绘了根据其他特定实施例由被配置成实现接入和移动性功能(AMF)的网络设备16A执行的方法。该方法包括在NAS上行链路或下行链路计数30A在当前安全上下文22A的情况下绕回之前,根据水平KAMF导出,激活新的NAS密钥26B (框210)。与上述类似,在一些实施例中,该方法还可包括向其他网络设备(例如,其实现新的AMF)传递包括水平导出的KAMF的新的安全上下文22B (框220)。实际上,在一些实施例中,可以在预期这种传递时执行该方法。例如,在一些实施例中,安全上下文传递促使NAS上行链路或下行链路计数的递增,例如以保护传递和/或提供后向安全。在这种情况下,所示的方法还可以包括递增上行链路或下行链路NAS计数(框205)。
注意,上述网络设备16A可以通过实现任何功能部件、模块、单元或电路来执行本文的方法和任何其他处理。在一个实施例中,例如,网络设备16A包括被配置成执行方法图中所示的步骤的各个电路或电路系统。在这方面,电路或电路系统可以包括专用于执行某些功能处理的电路和/或一个或多个微处理器结合存储器。例如,电路可以包括一个或多个微处理器或微控制器,以及其他数字硬件,其可以包括数字信号处理器(DSP)、专用数字逻辑等。处理电路可以被配置成执行存储在存储器中的程序代码,该存储器可以包括一种或几种类型的存储器,例如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪速存储器装置、光存储装置等。在若干实施例中,存储在存储器中的程序代码可以包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于执行本文所述的一种或多种技术的指令。在采用存储器的实施例中,存储器存储程序代码,该程序代码在由一个或多个处理器执行时执行本文描述的技术。
例如,图4A示出了根据一个或多个实施例所实现的网络设备16A。如图所示,网络设备16A包括处理电路310和通信电路320。通信电路320被配置成例如经由任何通信技术向一个或多个其他节点或设备传送信息和/或从一个或多个其他节点或设备接收信息。处理电路310被配置成:例如通过执行存储在存储器330中的指令来执行上述(例如,在图2和/或3中的)处理。在这方面,处理电路310可以实现某些功能部件、单元或模块。
图4B示出了根据其他实施例的网络设备16A的示意性框图。如图所示,网络设备16A例如经由图4A中的处理电路310和/或经由软件代码来实现各种功能部件、单元或模块。例如用于实现图2中的方法的这些功能部件、单元或模块包括检测单元或模块410,其用于检测将刷新NAS密钥26A(其保护网络设备16A与无线装置12之间的NAS通信18)的一个或多个条件。还可以包括导出单元或模块420,其用于响应于检测到所述一个或多个条件,从导出了NAS密钥26A的基本密钥24A导出新的基本密钥24B,将在所述新的基本密钥24B上导出新的NAS密钥26B。还可以包括用于激活新的基本密钥24B的激活单元或模块430。
本领域技术人员还将意识到,本文的实施例还包括对应的计算机程序。
计算机程序包括指令,所述指令在网络设备16A的至少一个处理器上执行时,使网络设备16A执行上述任何相应处理。在这方面,计算机程序可包括与上述部件或单元对应的一个或多个代码模块。
实施例还包括载体,其包含这种计算机程序。该载体可以包括电子信号、光信号、无线电信号或计算机可读存储介质之一。
在这方面,本文的实施例还包括计算机程序产品,其存储在非暂时性计算机可读(存储或记录)介质上,并且包括指令,所述指令在由网络设备16A的处理器执行时,使网络设备16A按照上面所描述的那样执行。
实施例还包括计算机程序产品,该计算机程序产品包括程序代码部分,该程序代码部分用于在计算机程序产品由计算装置执行时执行本文的任何实施例的步骤。该计算机程序产品可以存储在计算机可读记录介质上。
虽然本文中的一些实施例被描述为应用于NAS通信,但是本文中的其他实施例扩展到无线装置12与网络设备16A之间的任何控制平面通信。
现在将描述另外的实施例。为了说明的目的,这些实施例中的至少一些可以被描述为适用于某些上下文和/或无线网络类型,但是实施例类似地适用于未明确描述的其他上下文和/或无线网络类型。
3GPP当前正在开发用于第5代(5G)无线通信系统(也称为下一代(NG)系统)的标准。预期5G将支持许多新的场景和用例,并且将是物联网IoT的实现者。预期NG系统将提供与广泛范围的新装置的连接性,所述新装置例如传感器、智能可穿戴装置、车辆、机器等。灵活性则将是NG系统中的关键属性。这反映在对网络接入的安全要求中,安全要求强制要求支持与运营商预先提供并安全地存储在通用集成电路卡(UICC)中的通常认证和密钥协议(AKA)凭证不同的备选认证方法和不同类型的凭证。这将允许工厂所有者或企业将他们自己的身份和凭证管理系统用于认证和接入网络安全。
第3代合作伙伴计划(3GPP)架构工作组已经结束了图5中所示的5G系统的架构,其来自TS 23.501。这是采用参考点表示的非漫游5G系统架构。
为了保证5G系统的平滑部署,3GPP架构组当前正在研究支持4G (传统)和5G系统之间的互通。这将不仅允许系统之间的空闲移动性,而且还允许切换。
互通涉及属于不同代系统的网络实体和数据对象。图6中从TS 23.501给出了用于5G系统(5GS)和演进分组核心(EPC) /演进通用移动电信系统(UMTS)陆地无线电接入(E-UTRAN)之间的互通的最终非漫游架构。一般的原理已经是适应于较旧的一代,以便最小化对传统基础设施的影响并确保新的基础设施的平滑部署。因此,用于互通的安全机制应当最小化或避免对4G系统的影响。
因此,较新的一代必须适应于较旧的一代。然而,这不应当引起对互通之外的5G安全机制的限制或约束。更准确地说,与4G的互通不应阻止5G安全的独立演进,例如引入新的密码算法、增加媒体接入控制(MAC)字段的大小等。在其他方面,用于互通的安全机制不应阻止5G安全的独立演进。
当前存在某个或某些挑战。用于互通的安全机制应当提供保护用户设备(UE)上下文从源系统到目标系统的传递的手段。如何触发该传递取决于UE是空闲的还是活动的。在空闲模式移动性中,通过从UE到目标系统中的服务核心网络(CN)实体的非接入层(NAS)消息来触发传递。在活动模式移动性(切换)中,由源系统内从无线电接入网(RAN)到服务CN实体的内部消息(需要切换)来触发传递。因此,基本上,源系统发起传递。
安全机制还必须提供针对目标系统导出新的和新鲜的密钥的手段。对于这个问题,在5G的开发期间已经观察到的一个原理是后向安全。TS 33.501中所定义的后向安全是如下属性:即,对于知道密钥Kn的实体,计算导出了Kn的任何先前Kn-m (m>0)在计算上是不可行的。
为了在接入和移动性功能(AMF)改变期间在5GS中实现后向安全,源AMF可以使用当前密钥和NAS计数之一来导出目标AMF的新的KAMF密钥。更准确地说,在空闲模式移动性期间,使用NAS上行链路计数,并且对于涉及AMF改变的切换,使用NAS下行链路计数。为了在切换失败的情况下减轻密钥重用,NAS下行链路计数总是在UE上下文向目标AMF的传递之前由源AMF增加。在UE结束回到源AMF中的切换失败的情况下,该机制保证现有的NAS下行链路计数值是新的,并且可以被安全地用于导出另一个KAMF。
在演进分组系统(EPS)中,情况是不同的,因为如TS 33.401中所述,源移动性管理(MME)总是在没有任何改变的情况下传递NAS 计数。然而,在涉及MME改变的切换期间,源MME总是生成新的下一跳(NH),并且在传递之前递增相关联的下一跳链接(NCC)计数器。因此,在与5GS的互通期间,存在如下风险:即,在切换失败期间、随后是从EPS到5GS的新切换过程,所接收的NAS下行链路计数不改变。这就是为何对于从传统EPS到5GS的互通,NH参数可用于从KASME代替NAS下行链路计数导出KAMF密钥,如TS 33.501中所述。由于NH参数总是新的,所以它防止密钥重用。
在5GS中,在切换期间在AMF之间的上下文传递之前递增NAS下行链路计数将有助于引入用于与未来系统互通的简洁且简单的解决方案。在这种未来的场景中,期望源AMF将表现为好像它正在与目标AMF交互,尽管它可以是完全不同的功能。然而,该目标功能将具有总是从接收到的KAMF密钥中导出新的新密钥的手段。
一个问题涉及如何处置NAS计数器回绕(wraparound)。要求AMF在NAS上行链路或下行链路计数在当前安全上下文的情况下绕回之前,将根据主认证运行激活新的NAS密钥,或者激活具有足够低的NAS 计数值的本地安全上下文。于是,问题是,迄今AMF可以补救这一问题的唯一手段是运行主认证,从而建立新的KAMF。
本公开的某些方面及其实施例可以提供对这些或其他挑战的解决方案。一些实施例提出,源AMF可以触发KAMF水平密钥导出,以便每当需要时,例如当NAS计数器将要绕回时,刷新密钥。
某些实施例可以提供一个或多个以下技术优点。一些实施例具有以下优点中的一个或多个:(1)避免对主认证运行的需要,以便避免可能将引起的信令开销;(2)允许刷新KAMF密钥和所有随后导出的NAS和AS密钥。
一些实施例提出使用针对KAMF密钥引入的水平密钥导出特征来刷新NAS密钥,或者在NAS计数器即将绕回时重置它们。为了激活这样的新密钥,可能需要运行NAS安全模式过程,使得UE和AMF基于新导出的密钥同步并开始使用安全上下文。图7示出了在这方面关于用于NAS密钥刷新的水平KAMF密钥导出的一些实施例。
在步骤0中,假设UE已注册,并且UE和AMF已经建立和激活NAS安全上下文。
在一个点,在步骤1中,UE确定其必须发起某个NAS信令,例如以便接入服务(服务请求)或者遵循涉及AMF改变的切换以注册到新的目标AMF (注册请求)。
在步骤2中,UE发送第一NAS消息以重新建立与网络的NAS连接。
在一个点,在步骤3中,例如由于NAS计数器将要绕回或者基于当地运营商策略在特定时间或“使用量”之后刷新NAS密钥,AMF确定需要NAS密钥刷新。AMF使用水平KAMF导出,即,使用当前NAS上行链路计数值,来导出新的KAMF密钥,如针对TS 33.501中的空闲模式移动性情况所描述的。这里的差别在于,该新导出的KAMF密钥将由同一AMF使用,而在移动性情况下,它被切换到目标AMF。
在步骤4中,为了激活新导出的KAMF密钥,AMF触发NAS SMC运行,其包括如针对TS33.501中的空闲模式移动性情况所描述的当前NAS上行链路计数值。UE使用包括在NAS SMC中的NAS上行链路计数值以与AMF相同的方式导出新的KAMF密钥。
作为步骤4成功完成的结果,UE和AMF将共享具有新密钥和重新初始化的NAS 计数的新NAS安全上下文。
在同一AMF中通过3GPP接入和非3GPP接入建立多个NAS连接的情况下,AMF可以:(1)通过包括新导出的KAMF密钥的ngKSI来运行第二NAS连接上的NAS SMC运行,从而在所述第二NAS连接上将新导出的KAMF投入使用,或者(2) AMF和UE可以同时立即在所有NAS连接上将新导出的KAMF投入使用。
在一些实施例中,取决于方向,NAS 计数是24比特NAS UL 计数或24比特NAS DL计数值,NAS 计数与由用于形成承载输入的值所标识的当前NAS连接相关联。NAS 计数可以被构造为:NAS计数:= NAS OVERFLOW || NAS SQN。这里,NAS OVERFLOW是16比特值,其在每次NAS SQN从最大值递增时递增。NAS SQN是每个NAS消息中携带的8比特序列号。
本文的无线通信系统可以包括任何类型的通信、电信、数据、蜂窝和/或无线电网络或其他类似类型的系统和/或与之对接。在一些实施例中,无线通信系统可以被配置成根据特定标准或其他类型的预定义规则或过程来操作。因此,无线通信系统的特定实施例可以实现通信标准,诸如全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)、窄带物联网(NB-IoT)和/或其他合适的2G、3G、4G或5G标准;无线局域网(WLAN)标准,诸如IEEE 802.11标准;和/或任何其他适当的无线通信标准,诸如全球微波接入互操作性(WiMax)、蓝牙、Z-Wave和/或ZigBee标准。
无线通信系统可以包括一个或多个回程网络、核心网络、IP网络、公共交换电话网(PSTN)、分组数据网、光网、广域网(WAN)、局域网(LAN)、无线局域网(WLAN)、有线网络、无线网络、城域网以及实现装置之间的通信的其他网络。
如本文所使用的,网络设备16A是指能够、被配置、被布置和/或可操作以与无线装置和/或与无线通信系统中的其他网络节点或设备直接或间接通信以实现和/或提供对无线装置的无线接入和/或执行无线通信系统中的其他功能(例如,管理)的设备。网络设备的示例包括但不限于用于实现移动性管理功能(MME)或接入和移动性功能(AMF)的无线通信系统的核心网络中的设备。然而,更一般地,网络节点可以表示能够、被配置、被布置和/或可操作以实现和/或给无线装置提供对无线通信系统的接入或者向已经接入无线通信系统的无线装置提供某种服务的任何合适的装置(或装置群组)。
本文所使用的无线装置(WD)指的是能够、被配置成、被布置成和/或可操作以与网络设备和/或其他无线装置进行无线通信的装置。除非另有指出,否则术语WD在本文中可与用户设备(UE)可互换地使用。无线通信可以涉及使用适合于通过空气输送信息的电磁波、无线电波、红外波和/或其他类型的信号来传送和/或接收无线信号。在一些实施例中,WD可以被配置成在没有直接人类交互的情况下传送和/或接收信息。例如,WD可以被设计成在由内部或外部事件触发时,或者响应于来自网络的请求,按预定的调度向网络传送信息。WD的示例包括但不限于智能电话、移动电话、用户设备(UE)、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线相机、游戏控制台或装置、音乐存储装置、播放设备、可穿戴终端装置、无线端点、移动站、平板、膝上型计算机、膝上型嵌入式设备(LEE)、膝上型安装设备(LME)、智能装置、无线客户端设备(CPE)、车载无线终端装置等。例如通过实现用于侧链路通信、车辆到车辆(V2V)、车辆到基础设施(V2I)、车辆到一切事物(V2X)的3GPP标准,WD可以支持装置到装置(D2D)通信,并且在这种情况下WD可以被称为D2D通信装置。作为又一个特定示例,在物联网(IoT)情形中,WD可以表示执行监测和/或测量的机器或其他装置,并且将这种监测和/或测量的结果传送到另一个WD和/或网络节点。在这种情况下,WD可以是机器对机器(M2M)装置,其在3GPP上下文中可以被称为MTC装置。作为一个特定示例,WD可以是实现3GPP窄带物联网(NB-IoT)标准的UE。这种机器或装置的特定示例是传感器、计量装置(诸如功率计)、工业机械或家用或个人电器(例如,冰箱、电视等)、个人可穿戴设备(例如手表、健身跟踪器等)。在其他情形中,WD可以表示能够监测和/或报告其操作状态或与其操作关联的其他功能的车辆或其他设备。如上所述的WD可以表示无线连接的端点,在这种情况下,该装置可以被称为无线终端。此外,如上所述的WD可以是移动的,在这种情况下,它也可以被称为移动装置或移动终端。
本文公开的任何适当的步骤、方法、特征、功能或益处可以通过一个或多个虚拟设备的一个或多个功能单元或模块来执行。每个虚拟设备可以包括一定数量的这些功能单元。这些功能单元可以经由处理电路以及其他数字硬件实现,处理电路可以包括一个或多个微处理器或微控制器,数字硬件可以包括数字信号处理器(DSP)、专用数字逻辑等等。处理电路可以被配置成执行存储在存储器中的程序代码,存储器可以包括一种或几种类型的存储器,诸如只读存储器(ROM)、随机存取存储器(RAM)、高速缓冲存储器、闪速存储器装置、光存储装置等。存储在存储器中的程序代码包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于实现本文所述的一种或多种技术的指令。在一些实现中,根据本公开的一个或多个实施例,处理电路可以用于使相应的功能单元执行对应的功能。
一般来说,本文使用的所有术语都要根据它们在相关技术领域中的普通含义来解释,除非从在其中使用它的上下文中清楚地给出和/或暗示了不同的含义。对一/一个/该元件、设备、组件、部件、步骤等的所有引用都要开放式地解释为指的是该元件、设备、组件、部件、步骤等的至少一个实例,除非另有明确声明。本文公开的任何方法的步骤并非必须按照公开的确切顺序来执行,除非步骤被明确描述为在另一个步骤之后或之前,和/或暗示步骤必须在另一个步骤之后或之前。在任何适当的情况下,本文公开的任何实施例的任何特征可应用于任何其他实施例。同样,实施例中的任何实施例的任何优点可应用于任何其他实施例,并且反之亦然。所附实施例的其他目的、特征和优点根据该描述将是显然的。
术语“单元”在电子学、电装置和/或电子装置领域中具有常规含义,并且可以包括例如电和/或电子电路、装置、模块、处理器、存储器、逻辑固态和/或分立装置、用于执行相应任务、过程、计算、输出和/或显示功能等的计算机程序或指令,诸如本文所描述的那些。
参考附图更全面地描述本文设想的实施例中的一些。然而,其他实施例被包含在本文公开的主题的范围内。所公开的主题不应被解释为仅限于本文阐述的实施例;相反,这些实施例通过示例的方式提供,以向本领域技术人员传达主题的范围。
Claims (16)
1.一种由被配置成供无线通信网络中使用的网络设备执行的方法,所述方法包括:
检测一个或多个条件,在所述一个或多个条件下,保护所述网络设备与无线装置之间的非接入层NAS通信的NAS密钥将被刷新;
响应于检测到所述一个或多个条件,导出新的基本密钥,将在所述新的基本密钥上导出新的NAS密钥;以及
激活所述新的基本密钥,
其中,所述一个或多个条件包括:在所述网络设备与所述无线装置之间的NAS连接的NAS计数的值从最大值绕回到初始值之前检测到的一个或多个条件,其中,所述NAS计数对通过所述NAS连接在特定方向上发送的NAS消息的数量进行计数;以及
其中,所述导出包括:从导出了所述NAS密钥的基本密钥和所述NAS计数的所述值,导出所述新的基本密钥。
2.如权利要求1所述的方法,其中,所述导出包括计算所述新的基本密钥作为密钥导出函数的输出,所述密钥导出函数以字符串和密钥作为输入,其中,所述基本密钥作为所述密钥输入到所述密钥导出函数,其中,级联在一起的参数集作为所述字符串输入到所述密钥导出函数,其中,所述参数集包括NAS计数的值,所述NAS计数对通过所述网络设备与所述无线装置之间的NAS连接在特定方向上发送的NAS消息的数量进行计数。
3.如权利要求2所述的方法,其中,所述密钥导出函数是基于散列的消息认证码HMAC函数,所述HMAC函数使用安全散列算法SHA来以字符串和密钥的形式将输入散列到所述HMAC函数。
4.如权利要求1-3中任一项所述的方法,其中,所述激活包括:在所述网络设备与所述无线装置之间执行NAS安全模式命令SMC过程以在所述网络设备与所述无线装置之间建立包括所述新的基本密钥的新的NAS安全上下文。
5.如权利要求4所述的方法,其中,执行所述NAS SMC过程包括将NAS SMC消息传送到所述无线装置,所述NAS SMC消息指示NAS计数的值,所述NAS计数对通过所述网络设备与所述无线装置之间的NAS连接在特定方向上发送的NAS消息的数量进行计数。
6.如权利要求1-3中任一项所述的方法,其中,所述新的基本密钥被包括在所述网络设备与所述无线装置之间建立的新的安全上下文中,并且其中,所述方法还包括将所述新的安全上下文传递到其他网络设备。
7.如权利要求1-3中任一项所述的方法,还包括传送或接收以所述新的NAS密钥保护的NAS通信。
8.如权利要求1-3中任一项所述的方法,其中,所述网络设备实现接入和移动性功能AMF,其中,所述基本密钥是密钥KAMF,并且其中,所述新的基本密钥是新的密钥KAMF。
9.如权利要求1-3中任一项所述的方法,其中,导出所述新的基本密钥包括:在不运行主认证过程或激活本地安全上下文的情况下导出所述新的基本密钥。
10.如权利要求1-3中任一项所述的方法,还包括:在将所述无线装置的NAS安全上下文传递到其他网络设备之前递增所述网络设备与所述无线装置之间的NAS连接的NAS计数的值,并且其中,在所述递增之后但在所述传递之前执行所述检测、导出和激活。
11.一种被配置成供无线通信网络中使用的网络设备,所述网络设备包括:
通信电路;以及
处理电路,被配置成:
检测一个或多个条件,在所述一个或多个条件下,保护所述网络设备与无线装置之间的非接入层NAS通信的NAS密钥将被刷新;
响应于检测到所述一个或多个条件,导出新的基本密钥,将在所述新的基本密钥上导出新的NAS密钥;以及
激活所述新的基本密钥,
其中,所述一个或多个条件包括:在所述网络设备与所述无线装置之间的NAS连接的NAS计数的值从最大值绕回到初始值之前检测到的一个或多个条件,其中,所述NAS计数对通过所述NAS连接在特定方向上发送的NAS消息的数量进行计数,
其中,所述导出包括:从导出了所述NAS密钥的基本密钥和所述NAS计数的所述值,导出所述新的基本密钥。
12.根据权利要求11所述的网络设备,其中,所述网络设备被配置成执行根据权利要求2至10中任一项所述的方法。
13.一种包括指令的计算机可读存储介质,所述指令在由网络设备的至少一个处理器执行时,使所述网络设备执行权利要求1-10中任一项所述的方法。
14.一种由网络设备执行的方法,所述网络设备被配置成实现接入和移动性功能(AMF),所述方法包括:
确定由于非接入层NAS上行链路和下行链路计数将要绕回或者基于一定时间后刷新所述NAS密钥的本地运营商策略而需要NAS密钥刷新;
在所述NAS上行链路或下行链路计数在当前安全上下文的情况下绕回之前,根据水平KAMF导出,激活新的NAS密钥,其中,所述水平KAMF导出从当前活动的KAMF密钥导出新的KAMF密钥。
15.一种网络设备,被配置成实现接入和移动性功能(AMF),所述网络设备包括:
通信电路;以及
处理电路,被配置成:
确定由于非接入层NAS上行链路和下行链路计数将要绕回或者基于一定时间后刷新所述NAS密钥的本地运营商策略而需要NAS密钥刷新;
在所述非接入层NAS上行链路或下行链路计数在当前安全上下文的情况下绕回之前,根据水平KAMF导出,激活新的非接入层(NAS)密钥,其中,所述水平KAMF导出从当前活动的KAMF密钥导出新的KAMF密钥。
16.一种包括指令的计算机可读存储介质,所述指令在由网络设备的至少一个处理器执行时,使所述网络设备执行权利要求14所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862718208P | 2018-08-13 | 2018-08-13 | |
US62/718208 | 2018-08-13 | ||
PCT/EP2019/071570 WO2020035441A1 (en) | 2018-08-13 | 2019-08-12 | Protection of non-access stratum communication in a wireless communication network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112534850A CN112534850A (zh) | 2021-03-19 |
CN112534850B true CN112534850B (zh) | 2024-05-28 |
Family
ID=67620472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980053236.2A Active CN112534850B (zh) | 2018-08-13 | 2019-08-12 | 无线通信网络中的非接入层通信的保护 |
Country Status (7)
Country | Link |
---|---|
US (2) | US11974122B2 (zh) |
EP (1) | EP3837873B1 (zh) |
JP (1) | JP7410930B2 (zh) |
KR (1) | KR102406871B1 (zh) |
CN (1) | CN112534850B (zh) |
MX (1) | MX2021001534A (zh) |
WO (1) | WO2020035441A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7055863B2 (ja) * | 2017-09-15 | 2022-04-18 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 無線通信システムにおけるセキュリティコンテキスト |
CN116866905A (zh) * | 2017-09-27 | 2023-10-10 | 日本电气株式会社 | 通信终端和通信终端的方法 |
KR20230160406A (ko) | 2018-09-24 | 2023-11-23 | 노키아 테크놀로지스 오와이 | Nas 메시지의 보안 보호를 위한 시스템 및 방법 |
US11991190B2 (en) * | 2019-04-15 | 2024-05-21 | Nokia Technologies Oy | Counteractions against suspected identity imposture |
US11632695B2 (en) * | 2019-06-11 | 2023-04-18 | Qualcomm Incorporated | Evolved packet system (EPS) mobility configuration from wireless system |
WO2024035434A1 (en) * | 2022-08-10 | 2024-02-15 | Nokia Technologies Oy | Security in a distributed nas terminations architecture |
CN116684864B (zh) * | 2023-08-03 | 2023-11-03 | 武汉博易讯信息科技有限公司 | 4g到5g切换场景nas解密方法、系统、设备及可读介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105103578A (zh) * | 2013-04-05 | 2015-11-25 | 交互数字专利控股公司 | 安全端对端和组通信 |
WO2018138347A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context handling in 5g during connected mode |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2454204A (en) | 2007-10-31 | 2009-05-06 | Nec Corp | Core network selecting security algorithms for use between a base station and a user device |
WO2009150493A1 (en) * | 2008-06-13 | 2009-12-17 | Nokia Corporation | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
GB2472580A (en) * | 2009-08-10 | 2011-02-16 | Nec Corp | A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers |
CN101835152A (zh) * | 2010-04-16 | 2010-09-15 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
US8730912B2 (en) * | 2010-12-01 | 2014-05-20 | Qualcomm Incorporated | Determining a non-access stratum message count in handover |
EP3451621B1 (en) * | 2014-03-21 | 2021-06-30 | Sun Patent Trust | Security key derivation in dual connectivity |
US9918225B2 (en) | 2014-11-03 | 2018-03-13 | Qualcomm Incorporated | Apparatuses and methods for wireless communication |
US10567964B2 (en) * | 2015-11-24 | 2020-02-18 | Futurewei Technologies, Inc. | Security for proxied devices |
JP7014800B2 (ja) | 2016-12-30 | 2022-02-01 | 華為技術有限公司 | リンク再確立方法、装置、およびシステム |
US11071021B2 (en) * | 2017-07-28 | 2021-07-20 | Qualcomm Incorporated | Security key derivation for handover |
US11395148B2 (en) * | 2017-07-30 | 2022-07-19 | Huawei Technologies Co., Ltd. | Method and device for protecting privacy |
-
2019
- 2019-08-12 KR KR1020217006599A patent/KR102406871B1/ko active IP Right Grant
- 2019-08-12 US US17/267,825 patent/US11974122B2/en active Active
- 2019-08-12 WO PCT/EP2019/071570 patent/WO2020035441A1/en active Search and Examination
- 2019-08-12 JP JP2021507618A patent/JP7410930B2/ja active Active
- 2019-08-12 EP EP19753061.1A patent/EP3837873B1/en active Active
- 2019-08-12 CN CN201980053236.2A patent/CN112534850B/zh active Active
- 2019-08-12 MX MX2021001534A patent/MX2021001534A/es unknown
-
2024
- 2024-03-11 US US18/600,871 patent/US20240214801A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105103578A (zh) * | 2013-04-05 | 2015-11-25 | 交互数字专利控股公司 | 安全端对端和组通信 |
WO2018138347A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context handling in 5g during connected mode |
Non-Patent Citations (4)
Title |
---|
3GPP Standard ; Technical Specification.3rd Generation Partnership Project * |
Security architecture and procedures for 5G system(Release 15).3GPP Standard * |
Technical Specification ; 3GPP TS 33.501, vol. SA WG3, no. V15.1.0, 2018-06-21.2018,第1页—第152页. * |
Technical Specification Group Services and System Aspects * |
Also Published As
Publication number | Publication date |
---|---|
EP3837873B1 (en) | 2024-07-31 |
JP7410930B2 (ja) | 2024-01-10 |
WO2020035441A1 (en) | 2020-02-20 |
EP3837873A1 (en) | 2021-06-23 |
US20210168601A1 (en) | 2021-06-03 |
KR102406871B1 (ko) | 2022-06-08 |
US20240214801A1 (en) | 2024-06-27 |
EP3837873C0 (en) | 2024-07-31 |
CN112534850A (zh) | 2021-03-19 |
KR20210040125A (ko) | 2021-04-12 |
MX2021001534A (es) | 2021-04-19 |
JP2021534662A (ja) | 2021-12-09 |
US11974122B2 (en) | 2024-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112534850B (zh) | 无线通信网络中的非接入层通信的保护 | |
KR102710873B1 (ko) | 셀룰러 사물 인터넷에 대한 무상태 액세스 계층 보안 | |
US11937079B2 (en) | Communication terminal, core network device, core network node, network node, and key deriving method | |
CN109716834B (zh) | 无线通信系统中的临时标识符 | |
JP7505627B2 (ja) | ノード及び方法 | |
CN110383868B (zh) | 无线通信系统中的非活动状态安全支持 | |
CN108605225B (zh) | 一种安全处理方法及相关设备 | |
US11997078B2 (en) | Secured authenticated communication between an initiator and a responder | |
CN109906624B (zh) | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 | |
CN111886885B (zh) | 恢复rrc连接时的安全验证 | |
WO2017079177A9 (en) | Apparatus and methods for electronic subscriber identity module (esim) installation notification | |
EP3228124B1 (en) | Methods, apparatuses and computer program for efficient access point discovery, | |
CN107113608B (zh) | 使用密钥扩展乘数来生成多个共享密钥的方法和装置 | |
CN110235459B (zh) | 用于重新建立无线电资源控制(rrc)连接的方法及装置 | |
US11296890B2 (en) | Integrity protection | |
CN110192399B (zh) | 重新建立无线电资源控制连接 | |
CN110087338B (zh) | 一种窄带物联网进行鉴权的方法及设备 | |
EP3741147B1 (en) | Security mechanism for interworking with independent seaf in 5g networks | |
TW201933904A (zh) | 支援無線網路切換的可靠伺服管理方法以及裝置 | |
US20220393877A1 (en) | Cryptographic Security Mechanism for Groupcast Communication | |
CN113016202B (zh) | 用于基站的装置、方法和计算机可读存储介质 | |
JP2024527375A (ja) | 認証トークンの生成 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |