CN112997518A - 通信系统中的分解基站中的安全性管理 - Google Patents
通信系统中的分解基站中的安全性管理 Download PDFInfo
- Publication number
- CN112997518A CN112997518A CN201980072549.2A CN201980072549A CN112997518A CN 112997518 A CN112997518 A CN 112997518A CN 201980072549 A CN201980072549 A CN 201980072549A CN 112997518 A CN112997518 A CN 112997518A
- Authority
- CN
- China
- Prior art keywords
- security
- base station
- security domain
- user equipment
- counter value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 47
- 238000000034 method Methods 0.000 claims description 22
- 230000015654 memory Effects 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 52
- 238000007726 management method Methods 0.000 description 30
- 239000010410 layer Substances 0.000 description 21
- 239000013256 coordination polymer Substances 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 239000002346 layers by function Substances 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/10—Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在通信系统中的用户设备处从用户设备已经与之建立当前安全上下文的分解基站接收重新配置消息。重新配置消息包括基于安全域计数器值来计算新安全上下文的指令,其中安全域计数器值表示由分解基站支持的来自多个安全域的给定安全域。在用户设备处基于安全域计数器值为给定安全域计算新安全上下文。在用户设备处从新安全上下文中得出一组安全密钥。
Description
技术领域
技术领域总体上涉及通信系统,并且更具体地但非排他性地涉及这样的系统内的安全性管理。
背景技术
本部分介绍可以有助于促进对本发明的更好理解的各方面。因此,本部分的陈述应当从这种角度来阅读,而不应当被理解为对现有技术中存在的内容或对现有技术中不存在的内容的承认。
第四代(4G)无线移动电信技术(也称为长期演进(LTE)技术)旨在为大容量移动多媒体提供高数据速率,特别是用于人类交互。下一代或第五代(5G)技术旨在不仅用于人类交互,而且还用于所谓的物联网(IoT)网络中的机器类型通信。
虽然5G网络旨在使能大规模IoT服务(例如,数量众多的有限容量设备)和关键任务IoT服务(例如,要求高可靠性),但是以增强型移动宽带(eMBB)服务的形式来支持对传统移动通信服务的改善,以为移动设备提供改善的无线互联网访问。
在示例通信系统中,诸如移动终端(订户)等用户设备(5G网络中的5G UE,或更广泛地,UE)通过空中接口与基站或接入点(在5G网络中称为gNB)通信。接入点(例如,gNB)说明性地是通信系统的接入网的一部分。例如,在5G网络中,接入网称为5G系统,并且在题为“Technical Specification Group Services and System Aspects;SystemArchitecture for the 5G System”的5G技术规范(TS)23.501的V15.2.0(其全部内容通过引用整体并入本文)中描述。通常,接入点(例如,gNB)为UE提供对核心网(CN)的访问,然后,核心网(CN)为UE提供对其他UE和/或诸如分组数据网络(例如,互联网)等数据网络的访问。
TS 23.501继续定义了一种5G基于服务的架构(SBA),该SBA将服务建模为网络功能(NF),该NF使用代表性的状态转移应用程序编程接口(Restful API)彼此通信。
此外,题为“Technical Specification Group Services and System Aspects;Security Architecture and Procedures for the 5G System”的5G技术规范(TS)33.501的V15.1.0和题为“Technical Specification Group Services and System Aspects;Study on the Security Aspects of the Next Generation System”的5G技术报告(TR)33.899的V1.3.0(其全部内容通过引用整体并入本文)进一步描述了与5G网络相关联的安全性管理细节。
安全性管理是任何通信系统中的重要考虑因素。例如,UE与gNB之间的接入层(AS)密钥管理是一项重要但具有挑战性的任务。
发明内容
说明性实施例提供了用于通信系统中的安全性管理的改善的技术,特别是在用户设备与分解基站之间的通信系统的安全性管理的改善的技术。
例如,在一个说明性实施例中,一种方法包括以下步骤。在通信系统中的用户设备处,从用户设备已经与之建立当前安全上下文的分解基站接收重新配置消息。重新配置消息包括基于安全域计数器值来计算新安全上下文的指令,其中安全域计数器值表示由分解基站支持的来自多个安全域的给定安全域。在用户设备处基于安全域计数器值为给定安全域计算新安全上下文。在用户设备处从新安全上下文中得出一组安全密钥。
在另一说明性实施例中,一种方法包括从通信系统中的分解基站向分解基站已经与之建立当前安全上下文的用户设备发送重新配置消息。重新配置消息包括给用户设备的基于安全域计数器值来计算新安全上下文的指示,其中安全域计数器值表示来自由分解基站支持的来自多个安全域的给定安全域。在一个或多个说明性实施例中,该方法还分别为多个安全域计算多组安全密钥,其中一个或多个计算基于安全域计数器值。
以一种其中实施有可执行程序代码的非暂态计算机可读存储介质的形式提供了另外的说明性实施例,该可执行程序代码在由处理器执行时引起处理器执行上述步骤。另外的说明性实施例包括一种具有处理器和存储器的装置,该装置被配置为执行上述步骤。
根据附图和以下详细描述,本文中描述的实施例的这些和其他特征和优点将变得更加明显。
附图说明
图1示出了实现一个或多个说明性实施例的通信系统。
图2示出了用于实现一个或多个说明性实施例的被配置用于提供安全性管理的用户设备和基站。
图3示出了用于实现一个或多个说明性实施例的通信系统中的分解基站的总体架构。
图4示出了用于支持用于用户设备连接的仅一组密钥的分解基站的接入层密钥层次结构。
图5示出了根据说明性实施例的用于支持多个安全域的分解基站的接入层密钥层次结构。
图6示出了根据说明性实施例的在用户设备与支持多个安全域的分解基站之间的消息流。
具体实施方式
本文中将结合示例性通信系统和用于在通信系统中提供安全性管理的相关技术来说明实施例。然而,应当理解,权利要求的范围不限于所公开的特定类型的通信系统和/或过程。可以使用备选过程和操作在各种其他类型的通信系统中实现实施例。例如,尽管在利用诸如3GPP下一代系统(5G)等3GPP系统元件的无线蜂窝系统的上下文中进行说明,但是所公开的实施例可以以直接方式适应于各种其他类型的通信系统。
根据在5G通信系统环境中实现的说明性实施例,一个或多个3GPP技术规范(TS)和技术报告(TR)提供了与一个或多个说明性实施例交互的用户设备和网络元件/功能和/或操作的另外的说明,例如上述3GPP TS 23.501、3GPP TS 33.501和3GPP TR 33.899。其他3GPP TS/TR文档提供了本领域普通技术人员将认识到的其他常规细节。然而,尽管说明性实施例非常适合于与上述5G相关3GPP标准相关联的实现,但是备选实施例不必旨在限于任何特定标准。
此外,本文中将在开放系统互连模型(OSI模型)的上下文中解释说明性实施例,该模型是一种在概念上表征诸如5G网络等通信系统的通信功能的模型。OSI模型通常被概念化为分层堆栈,其中给定层服务于上一层并且由下一层服务。通常,OSI模型包括七个层,堆栈的顶层是应用层(第7层),其后是呈现层(第6层)、会话层(第5层)、传输层(第4层)、网络层(第3层)、数据链路层(第2层)和物理层(第1层)。本领域普通技术人员将理解各个层的功能和相互作用,因此,本文中不描述每个层的其他细节。然而,应当理解,尽管说明性实施例非常适合于利用OSI模型的实现,但是备选实施例不必限于任何特定通信功能模型。
说明性实施例涉及与用于5G网络的基于服务的架构(SBA)相关联的安全性管理。在描述这样的说明性实施例之前,下面将在图1和图2的上下文中描述5G网络的主要组件的一般描述。
图1示出了在其中实现说明性实施例的通信系统100。应当理解,通信系统100中所示的元件旨在表示系统内提供的主要功能,例如,UE接入功能、移动性管理功能、认证功能、服务网关功能等。这样,图1所示的框引用提供这些主要功能的在5G网络中的特定元件。然而,在其他实施例中使用其他网络元件来实现所表示的一些或全部主要功能。另外,应当理解,在图1中并未示出5G网络的所有功能。而是,示出了有助于对说明性实施例的解释的功能。附图描绘了一些附加元件/功能。
因此,如图所示,通信系统100包括经由空中接口103与接入点(gNB)104通信的用户设备(UE)102。在一些实施例中,UE 102是移动站,并且这样的移动站可以包括例如移动电话、计算机或任何其他类型的通信设备。因此,本文中使用的术语“用户设备”旨在被广义地解释,以便涵盖各种不同类型的移动站、订户站或更一般地是通信设备,包括诸如插入笔记本计算机或其他设备(诸如智能电话或其他蜂窝设备)中的数据卡的组合的示例。在一个或多个说明性实施例中,用户设备是指IoT设备和/或执行超可靠低延迟通信(URLLC)应用软件的设备,其中UE上的计算资源受到限制、或者性能和定时要求非常严格。这样的通信设备还旨在涵盖通常被称为接入终端的设备。
在一个实施例中,UE 102包括通用集成电路卡(UICC)部分和移动设备(ME)部分。UICC是UE的用户相关部分,并且包含至少一个通用订户身份模块(USIM)和适当的应用软件。USIM安全地存储用于标识和认证要访问网络的订户的永久订阅标识符及其相关密钥。ME是UE的用户独立部分,并且包含终端设备(TE)功能和各种移动终端(MT)功能。
注意,在一个示例中,永久订阅标识符是UE的国际移动订户身份(IMSI)。在一个实施例中,IMSI是固定的15位长度,并且由3位移动国家代码(MCC)、3位移动网络代码(MNC)和9位移动站标识号码(MSIN)组成。在5G通信系统中,IMSI被称为订阅永久标识符(SUPI)。在IMSI作为SUPI的情况下,MSIN提供订户身份。因此,通常仅需要加密IMSI的MSIN部分。IMSI的MNC和MCC部分提供路由信息,该路由信息由服务网络使用以路由到正确的归属网络。当SUPI的MSIN被加密时,其称为“订阅隐藏标识符”(SUCI)。
接入点104说明性地是通信系统100的接入网的一部分。这种接入网包括例如具有多个基站和一个或多个相关联的无线电网络控制功能的5G系统。基站和无线电网络控制功能在一些实施例中是逻辑上分离的实体,但是在一些实施例中基站和无线电网络控制功能在同一物理网络单元中实现,例如,基站路由器或毫微微蜂窝接入点。
在该说明性实施例中,接入点104可操作地耦合到移动性管理功能106。在5G网络中,移动性管理功能由接入和移动性管理功能(AMF)实现。在一些实施例中,还利用将UE与移动性管理功能连接的AMF来实现安全锚功能(SEAF)。本文中使用的移动性管理功能是通信系统的核心网(CN)部分中的元素或功能(即,实体),它管理或以其他方式参与涉及UE的接入和移动性(包括认证/授权)操作(通过接入点104)以及其他网络操作。AMF在本文中也更一般地称为接入和移动性管理实体。
在该说明性实施例中,AMF 106可操作地耦合到归属订户功能108,即,驻留在订户的归属网络中的一个或多个功能。如图所示,这些功能中的一些功能包括统一数据管理(UDM)功能以及认证服务器功能(AUSF)。AUSF和UDM(分别或共同)在本文中也更一般地称为认证实体。此外,归属订户功能包括但不限于网络切片选择功能(NSSF)、网络暴露功能(NEF)、网络存储库功能(NRF)、策略控制功能(PCF)和应用功能(AF)。
需要注意的重要一点是,在SBA通信系统(诸如5G系统)中,控制平面使用服务模型方法,其中组件(NF)查询NRF以通过应用程序编程接口(API)发现彼此并且彼此通信。NF服务发现和授权方法将在下面进一步详细描述。
接入点104也可操作地耦合到服务网关功能(即,会话管理功能(SMF)110),该功能可操作地耦合到用户平面功能(UPF)112。UPF 112可操作地耦合到分组数据网络,例如,互联网114。如在5G和其他通信网络中所知,用户平面(UP)或数据平面承载网络用户业务,而控制平面(CP)承载信令业务。SMF 110支持与UP订户会话有关的功能,例如,协议数据单元(PDU)会话的建立、修改和释放。UPF 112支持用于促进UP操作的功能,例如,分组路由和转发、与数据网络(例如,图1中的114)的互连、策略实施和数据缓冲。
应当理解,图1是简化图示,因为在图1中并未示出在NF与其他系统元件之间的所有通信链路和连接。被提供有各种3GPP TS/TR的本领域普通技术人员将理解在图1中未明确示出或可以以其他方式概括的各种链路和连接。
当某些网络元件不是说明性实施例的焦点、但可以在适当3GPP5G文档中找到时,本文中将不详细描述这些网络元件的其他典型操作和功能。应当理解,图1中的系统元件的特定布置仅是示例,并且在其他实施例中,附加或备选元件的其他类型和布置可以用于实现通信系统。例如,在其他实施例中,系统100包括本文中未明确示出的其他元件/功能。而且,尽管在图1中仅示出了单个元件/功能,但是,这仅是为了图示的简单和清楚。给定备选实施例可以包括更多的这种系统元件,以及通常与常规系统实现相关联的类型的附加或备选元件。
还应当注意,尽管图1将系统元件图示为单个功能框,但是组成5G网络的各个子网被划分为所谓的网络切片。网络切片(网络分区)包括在公共物理基础设施上使用网络功能虚拟化(NFV)的每个对应服务类型的一系列网络功能(NF)集(即,功能链)。网络切片根据给定服务(例如,eMBB服务、大规模IoT服务和关键任务IoT服务)的需要被实例化。因此,在创建网络切片或功能的实例时,该网络切片或功能将被实例化。在一些实施例中,这涉及在底层物理基础设施的一个或多个主机设备上安装或以其他方式运行网络切片或功能。UE 102被配置为经由gNB 104访问这些服务中的一个或多个服务。NF也可以访问其他NF的服务。
图2是说明性实施例中的被配置用于提供安全性管理的用户设备和基站的框图。更具体地,系统200被示出为包括用户设备202和基站204。
用户设备202包括耦合到存储器216和接口电路装置210的处理器212。用户设备202的处理器212包括可以至少部分以由处理器执行的软件的形式来实现的安全性管理处理模块214。处理模块214执行下文中结合图3以及本文中以其他方式描述的安全性管理。用户设备202的存储器216包括存储在安全性管理操作期间生成或以其他方式使用的数据的安全性管理存储模块218。
基站204包括耦合到存储器226和接口电路装置220的处理器222。基站204的处理器222包括可以至少部分以由处理器222执行的软件的形式来实现的安全性管理处理模块224。处理模块224执行下文中结合图3以及本文中以其他方式描述的安全性管理。基站204的存储器226包括存储在安全性管理操作期间生成或以其他方式使用的数据的安全性管理存储模块228。
用户设备202和基站204的相应处理器212和222可以包括例如微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其他类型的处理设备或集成电路、以及这样的元件的部分或组合。这样的集成电路器件及其部分或组合是本文中使用的“电路装置”的示例。硬件以及相关软件或固件的多种其他布置可以用于实现说明性实施例。
用户设备202和基站204的相应存储器216和226可以用于存储由相应处理器212和222执行以实现本文中描述的功能的至少一部分的一个或多个软件程序。例如,下文中结合图3以及本文中以其他方式描述的安全性管理操作和其他功能可以使用由处理器212和222执行的软件代码以直接方式来实现。
因此,存储器216或226中的给定一个存储器可以被视为本文中更一般地被称为计算机程序产品的内容的示例,或者仍被更一般地被视为其中实施有可执行程序代码的处理器可读存储介质的内容的示例。处理器可读存储介质的其他示例可以以任何组合包括磁盘或其他类型的磁或光介质。说明性实施例可以包括具有这样的计算机程序产品或其他处理器可读存储介质的制品。
存储器216或226可以更具体地包括例如电子随机存取存储器(RAM),诸如静态RAM(SRAM)、动态RAM(DRAM)或其他类型的易失性或非易失性电子存储器。后者可以包括例如非易失性存储器,诸如闪存、磁性RAM(MRAM)、相变RAM(PC-RAM)或铁电RAM(FRAM)。本文中使用的术语“存储器”旨在被广义地解释,并且可以另外地或备选地包括例如只读存储器(ROM)、基于磁盘的存储器或其他类型的存储设备、以及这样的设备的部分或组合。
用户设备202和基站204的相应接口电路装置210和220说明性地包括允许相关联的系统元件以本文中描述的方式彼此通信的收发器、或其他通信硬件或固件。
从图2可以看出,用户设备202被配置用于经由其相应接口电路装置210和220与基站204通信,以及基站204被配置用于经由相应接口电路装置210和220与用户设备通信。该通信涉及用户设备202向基站204发送数据,以及基站204向用户设备202发送数据。然而,在备选实施例中,其他网络元件可以可以操作地耦合在用户设备202与基站204之间,以及操作地耦合到用户设备202和基站204。本文中使用的术语“数据”旨在广泛地解释为包括可以在用户设备与基站之间发送的任何类型的信息,包括但不限于消息、令牌、标识符、密钥、指示符、用户数据、控制数据等。
应当理解,图2所示的组件的特定布置仅是示例,并且在其他实施例中使用很多备选配置。例如,用户设备和基站可以被配置为并入附加或备选组件并且支持其他通信协议。
5G网络中的其他元素也可以分别被配置为包括诸如处理器、存储器和网络接口等组件。这些元素不必在单独的独立处理平台上实现,而是可以例如表示单个公共处理平台的不同功能部分。
如上所述,在UE与gNB之间的接入层密钥管理是一个重要但具有挑战性的任务。接入层或AS是5G系统中的功能层,其在无线电接入网(RAN,gNB是其一部分)与用户设备(UE)之间,其负责通过在gNB与UE之间的无线连接来传输数据、并且负责管理无线电资源。将AS与非接入层(NAS)功能层进行对比。NAS是在UE与核心网之间的功能层(例如,移动性管理功能等)。
在5G中,为了支持云RAN(或C-RAN,它是用于无线电接入网的基于云计算的架构)实现方式,基站(gNB)被分解(拆分)为多个分布式单元(DU)和集中式单元(CU)。CU进一步拆分为两个实体:控制平面(CU-CP)和用户平面(CU-UP)。CU-CP支持gNB的无线电资源控制(RRC),CU-UP支持分组数据融合协议(PDCP)实体。下一代(NG)RAN架构和功能划分在题为“Technical Specification Group Radio Access Network;NG-RAN;ArchitectureDescription”的5G技术规范(TS)38.401的V15.3.0(其公开内容通过引用整体并入本文)中指定。
图3示出了分解基站的来自TS 38.401的总体架构。更具体地,图3中的架构示出了gNB 300,其中:
gNB包括gNB-CU-CP(集中式单元控制平面组件)、多个gNB-CU-UP(集中式单元用户平面组件)和多个gNB-DU(分布式单元);
gNB-CU-CP通过F1-C接口连接到gNB-DU。
gNB-CU-UP通过F1-U接口连接到gNB-DU。
gNB-CU-UP通过E1接口连接到gNB-CU-CP。
一个gNB-DU连接到仅一个gNB-CU-CP;以及
一个gNB-CU-UP连接到仅一个gNB-CU-CP。
为了有弹性,通过适当实现方式可以将gNB-DU和/或gNB-CU-UP连接到多个gNB-CU-CP。
一个gNB-DU可以在同一gNB-CU-CP的控制下连接到多个gNB-CU-UP。
一个gNB-CU-UP可以在同一gNB-CU-CP的控制下连接到多个DU。
由gNB-CU-CP使用承载上下文管理功能在gNB-CU-UP与gNB-DU之间建立连接。
gNB-CU-CP为UE的所请求的服务选择适当的(一个或多个)gNB-CU-UP。
Xn-U可以支持在gNB内进行gNB-CU-CP内切换期间在gNB-CU-UP之间进行数据转发。
有关组件和接口的更多详细信息在TS 38.401中描述。
在3GPP Rel-15中,假定的是连接的UE所涉及的所有DU和CU-UP在同一安全域中(同一UP加密密钥)。然而,根据说明性实施例认识到的是,在未来的部署中,单个UE(例如,智能电话)可以同时调用多个应用,例如,尽力而为数据应用、语音应用、URLLC应用和IoT应用。由于这些应用的服务质量(QoS)和等待时间要求不同,因此UE可以与多个DU建立连接以建立适当的无线电承载(RB)、与UPF的N3连接、以及下一代应用协议(NGAP)链路。用于URLLC应用的无线电承载可以连接到DU,并且其对应CU-UP可以放置在DU附近,以最小化传输延迟。因此,说明性实施例意识到,针对特定应用和服务特性而优化的多个CU-UP可能并不总是位于同一安全域中。
因此,根据说明性实施例实现的是,管理不同DU和CU-UP上的无线电承载的实例化和分配的CU-CP需要新的安全性框架来管理在不同安全域中终止,但仍在同一CU-CP和逻辑gNB的控制下的CU-UP实例的安全性。没有这样的新的安全性框架,不同安全域中的UP加密密钥将是相同的。如果在不同安全域中使用相同密钥,则任何虚假代理都将能够解密或操纵另一域中的数据,从而失去隐私和安全性隔离。
因此,当在不同安全域中实例化CU-UP实体时,一个或多个说明性实施例得出不同UP加密密钥(KUPenc)和UP完整性密钥(KUPint)。为了实现这一点,在逻辑gNB中采用双连接性原理以实现密钥分离。
在说明本发明的解决方案之前,图4示出了当前AS密钥层次结构400,其中针对UE连接中涉及的所有CU-Up仅生成一组密钥。注意,对于给定gNB,相同UP加密密钥(KUPenc)和UP完整性密钥(KUPint)如何由安全域中的所有CU-UP(gNB-CU-UP1、gNB-CU-UP2、gNB-CU-UP3)共享。
图5示出了根据说明性实施例的支持多个安全域的AS密钥层次结构500。注意,对于给定gNB,如何针对多个安全域中的每个安全域为每个CU-UP(gNB-CU-UP1、gNB-CU-UP2、gNB-CU-UP3)生成不同UP加密密钥(KUPenc)和UP完整性密钥(KUPint)。因此,在安全域1中针对gNB-CU-UP1生成KUPenc1和KUPint1,在安全域2中针对gNB-CU-UP2生成KUPenc2和KUPint2,在安全域3中针对gNB-CU-UP3生成KUPenc3和KUPint3。
在一个或多个说明性实施例中,如果CU-UP和DU在不同安全域中,则对于属于该gNB的同一数据无线电承载标识符(DRB id)空间,发生以下步骤:
1)CU-CP使用“安全域计数器”参数和当前默认KgNB来为新的安全域(例如,在双连接的情况下)计算新鲜KgNB(新安全上下文),如下所示:
KgNB安全域1=KgNB(即,KgNB的当前值)
KgNB安全域2=KDF(KgNB,安全域计数器=2)
KgNB安全域3=KDF(KgNB,安全域计数器=3)
其中KDF是密钥得出函数。
“安全域计数器”存储在UE的AS安全上下文中。
2)根据计算出的KgNB安全域值,CU-CP进一步在对应安全域中得出UP密钥,即,用于DL/UL数据的加密/解密的KUPenc、用于DL/UL数据的完整性消息认证码(MAC)计算和验证的KUPint。
3)CU-CP将得出的UP密钥发送给对应CU-UP以供使用,同时在这些安全域中实例化无线电承载。在一些实施例中,CU-CP还发送对应安全域ID以通过CU-UP进一步检查。
图6示出了根据说明性实施例的在用户设备与支持多个安全域的分解基站之间的消息流600。
步骤602:为了指示UE针对新的安全域使用新的密钥集,用于添加特定无线电承载的“RRC重新配置消息”中的CU-CP添加用于具有新的“安全域计数器”值的新的KgNB计算的指示KgNB安全域X。
步骤604:当接收到该指示时,UE根据主要默认KgNB(当前安全上下文)来为安全性计算新鲜KgNB,作为KgNB安全域X=KDF(KgNB,安全域计数器=X)。
步骤606:UE进一步根据计算出的KgNB安全域值来为对应安全域中的无线电承载的DL/UL数据的完整性MAC计算和验证得出UP秘钥KUPint,即,用于DL/UL数据的加密/解密的秘钥KUPenc。
步骤608:当在这些安全域中实例化无线电承载时,UE将所得出的密钥KUPenc和KUPint用于对应CU-UP实例。
结合附图描述的特定处理操作和其他系统功能仅通过说明性示例的方式呈现,而不应当以任何方式解释为限制本公开的范围。备选实施例可以使用其他类型的处理操作和消息传递协议。例如,在其他实施例中,步骤的顺序可以改变,或者某些步骤可以至少部分彼此并发而不是顺序地执行。而且,可以周期性地重复一个或多个步骤,或者可以彼此并行地执行方法的多个实例。
因此,应当再次强调,本文中描述的各种实施例仅通过说明性示例的方式呈现,而不应当被解释为限制权利要求的范围。例如,备选实施例可以利用与以上在说明性实施例的上下文中描述的不同的通信系统配置、用户设备配置、基站配置、密钥对供应和使用过程、消息收发协议和消息格式。在所附权利要求书的范围内的这些以及很多其他备选实施例对于本领域技术人员将是很清楚的。
Claims (26)
1.一种装置,包括:
至少一个处理器,耦合到与通信系统中的用户设备相关联的存储器,并且所述至少一个处理器被配置为:
从分解基站接收重新配置消息,所述用户设备已经与所述分解基站建立当前安全上下文,其中所述重新配置消息包括基于安全域计数器值来计算新安全上下文的指令,其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域;
基于所述安全域计数器值,为所述给定安全域计算所述新安全上下文;以及
从所述新安全上下文中得出一组安全密钥。
2.根据权利要求1所述的装置,其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个集中式单元用户平面(CU-UP)组件中的每个集中式单元用户平面组件。
3.根据权利要求1所述的装置,其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个分布式单元(DU)组件中的每个分布式单元组件。
4.根据权利要求1所述的装置,其中所述多个安全域中的每个安全域对应于由所述用户设备调用的不同应用。
5.根据权利要求1所述的装置,其中所述一组安全密钥包括针对由所述安全域计数器值表示的所述给定安全域的一个或多个用户平面密钥。
6.根据权利要求5所述的装置,其中所述一个或多个用户平面密钥包括针对由所述安全域计数器值表示的所述给定安全域的用户平面加密密钥和用户平面完整性密钥中的一项或多项。
7.根据权利要求5所述的装置,其中所述用户设备的所述处理器还被配置为在针对由所述安全域计数器值表示的所述给定安全域实例化一个或多个无线电承载时,使用所得出的所述一个或多个用户平面密钥。
8.一种方法,包括:
在通信系统中的用户设备处从分解基站接收重新配置消息,所述用户设备已经与所述分解基站建立当前安全上下文,其中所述重新配置消息包括基于安全域计数器值来计算新安全上下文的指令,其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域;
在所述用户设备处基于所述安全域计数器值,为所述给定安全域计算所述新安全上下文;以及
在所述用户设备处从所述新安全上下文中得出一组安全密钥。
9.根据权利要求8所述的方法,其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个集中式单元用户平面(CU-UP)组件中的每个集中式单元用户平面组件。
10.根据权利要求8所述的方法,其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个分布式单元(DU)组件中的每个分布式单元组件。
11.根据权利要求8所述的方法,其中所述多个安全域中的每个安全域对应于由所述用户设备调用的不同应用。
12.根据权利要求8所述的方法,其中所述一组安全密钥包括针对由所述安全域计数器值表示的所述给定安全域的一个或多个用户平面密钥。
13.根据权利要求12所述的方法,其中所述一个或多个用户平面密钥包括针对由所述安全域计数器值表示的所述给定安全域的用户平面加密密钥和用户平面完整性密钥中的一项或多项。
14.根据权利要求12所述的方法,还包括所述用户设备在针对由所述安全域计数器值表示的所述给定安全域实例化一个或多个无线电承载时,使用所得出的所述一个或多个用户平面密钥。
15.一种制品,包括其中实施有可执行程序代码的非暂态计算机可读存储介质,所述可执行程序代码在由与用户设备相关联的处理器执行时引起所述处理器执行根据权利要求8所述的步骤。
16.一种装置,包括:
至少一个处理器,耦合到与通信系统中的分解基站相关联的存储器,并且所述至少一个处理器被配置为:向用户设备发送重新配置消息,所述分解基站已经与所述用户设备建立当前安全上下文,其中所述重新配置消息包括给所述用户设备的、基于安全域计数器值来计算新安全上下文的指令,其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域。
17.根据权利要求16所述的装置,其中所述分解基站的所述处理器还被配置为分别为所述多个安全域计算多组安全密钥,其中所述计算中的一个或多个计算基于所述安全域计数器值。
18.根据权利要求17所述的装置,其中所述分解基站的所述处理器还被配置为向所述分解基站的多个集中式单元用户平面(CU-UP)组件中的每个集中式单元用户平面组件发送分别为所述多个安全域而计算的所述多组安全密钥中的不同组安全密钥。
19.根据权利要求18所述的装置,其中所述分解基站的所述处理器还被配置为向所述分解基站的所述多个集中式单元用户平面(CU-UP)组件中的每个集中式单元用户平面组件发送对应安全域标识符。
20.根据权利要求17所述的装置,其中所述多组安全密钥的所述计算由所述分解基站的集中式单元控制平面(CU-CP)组件来执行。
21.一种方法,包括:
从通信系统中的分解基站向用户设备发送重新配置消息,所述分解基站已经与所述用户设备建立当前安全上下文,其中所述重新配置消息包括给所述用户设备的、基于安全域计数器值来计算新安全上下文的指令,其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域。
22.根据权利要求21所述的方法,还包括分别为所述多个安全域计算多组安全密钥,其中所述计算中的一个或多个计算基于所述安全域计数器值。
23.根据权利要求22所述的方法,还包括向所述分解基站的多个集中式单元用户平面(CU-UP)组件中的每个集中式单元用户平面组件发送分别为所述多个安全域而计算的所述多组安全密钥中的不同组安全密钥。
24.根据权利要求23所述的方法,还包括向所述分解基站的所述多个集中式单元用户平面(CU-UP)组件中的每个集中式单元用户平面组件发送对应安全域标识符。
25.根据权利要求22所述的方法,其中所述多组安全密钥的所述计算由所述分解基站的集中式单元控制平面(CU-CP)组件来执行。
26.一种制品,包括其中实施有可执行程序代码的非暂态计算机可读存储介质,所述可执行程序代码在由与分解基站相关联的处理器执行时引起所述处理器执行根据权利要求21所述的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/178,266 US11057766B2 (en) | 2018-11-01 | 2018-11-01 | Security management in disaggregated base station in communication system |
| US16/178,266 | 2018-11-01 | ||
| PCT/FI2019/050753 WO2020089517A1 (en) | 2018-11-01 | 2019-10-23 | Security management in disaggregated base station in communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112997518A true CN112997518A (zh) | 2021-06-18 |
| CN112997518B CN112997518B (zh) | 2024-06-11 |
Family
ID=70459148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980072549.2A Active CN112997518B (zh) | 2018-11-01 | 2019-10-23 | 通信系统中的分解基站中的安全性管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11057766B2 (zh) |
| EP (1) | EP3874783A4 (zh) |
| CN (1) | CN112997518B (zh) |
| WO (1) | WO2020089517A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10959137B2 (en) * | 2019-02-07 | 2021-03-23 | Cisco Technology, Inc. | Procedures for interaction between the radio controller and the subordinated base station |
| WO2022031556A1 (en) * | 2020-08-03 | 2022-02-10 | Intel Corporation | Computing service enablement for next generation cellular networks |
| JP2023544589A (ja) * | 2020-10-02 | 2023-10-24 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 無線アクセスネットワークセキュリティ |
| CN116965147A (zh) * | 2021-01-13 | 2023-10-27 | 谷歌有限责任公司 | 管理到多个集中式单元的连接 |
| KR20230024779A (ko) * | 2021-08-12 | 2023-02-21 | 삼성전자주식회사 | 무선 통신 시스템에서 사용자 평면에서 송수신되는 정보를 보호하는 방법 및 장치 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101409897A (zh) * | 2008-10-31 | 2009-04-15 | 中兴通讯股份有限公司 | 计数器控制方法和装置 |
| WO2010045817A1 (zh) * | 2008-10-23 | 2010-04-29 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| US20140059662A1 (en) * | 2010-05-04 | 2014-02-27 | Qualcomm Incorporated | Shared circuit switched security context |
| CN104012134A (zh) * | 2011-12-23 | 2014-08-27 | 三星电子株式会社 | 用于无线网络环境中的控制信息的安全通信的方法和系统 |
| US20150163202A1 (en) * | 2013-12-05 | 2015-06-11 | Alcatel-Lucent Usa, Inc. | Security key generation for simultaneous multiple cell connections for mobile device |
| US20160029213A1 (en) * | 2013-09-11 | 2016-01-28 | Samsung Electronics Co., Ltd. | Method and system to enable secure communication for inter-enb transmission |
| CN106658492A (zh) * | 2015-07-23 | 2017-05-10 | 中兴通讯股份有限公司 | 密钥更新方法及装置 |
| US20180213452A1 (en) * | 2017-01-16 | 2018-07-26 | Samsung Electronics Co., Ltd. | Method and apparatus for communication in wireless mobile communication system |
| WO2018137853A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Management of security contexts at idle mode mobility between different wireless communication systems |
| WO2018174676A1 (ko) * | 2017-03-24 | 2018-09-27 | 삼성전자 주식회사 | 제 1 무선접속기술과 제 2 무선접속기술을 통해 데이터를 송수신하는 단말이 측정 결과를 보고하는 방법 및 장치 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8526617B2 (en) * | 2008-12-29 | 2013-09-03 | Htc Corporation | Method of handling security configuration in wireless communications system and related communication device |
| EP2421292B1 (en) * | 2009-04-30 | 2015-04-15 | Huawei Technologies Co., Ltd. | Method and device for establishing security mechanism of air interface link |
| KR101478415B1 (ko) * | 2009-10-15 | 2014-12-31 | 인터디지탈 패튼 홀딩스, 인크 | 가입 기반 서비스에 액세스하기 위한 등록 및 크리덴셜 롤 아웃 |
| CN101835154B (zh) * | 2010-04-20 | 2016-03-30 | 中兴通讯股份有限公司 | 一种建立增强的空口密钥的方法及系统 |
| CN101841810B (zh) * | 2010-06-07 | 2016-01-20 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
| US8681740B2 (en) * | 2010-12-21 | 2014-03-25 | Tektronix, Inc. | LTE network call correlation during User Equipment mobility |
| KR101929533B1 (ko) * | 2011-04-01 | 2018-12-17 | 인터디지탈 패튼 홀딩스, 인크 | 공통 pdp 컨텍스트를 공유하기 위한 시스템 및 방법 |
| KR102437619B1 (ko) * | 2016-04-01 | 2022-08-29 | 삼성전자주식회사 | 보안 키를 생성하기 위한 장치 및 방법 |
| US20180006809A1 (en) * | 2016-07-01 | 2018-01-04 | Intel Corporation | Data security in a cloud network |
| ES2856126T3 (es) * | 2016-09-28 | 2021-09-27 | Sony Group Corp | Aparato y métodos de telecomunicación para la gestión de soportes de radio divididos |
| WO2018072059A1 (en) * | 2016-10-17 | 2018-04-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for providing multiple radio access network connectivity to terminal device |
| WO2018237371A1 (en) * | 2017-06-23 | 2018-12-27 | Motorola Mobility Llc | METHOD AND APPARATUS FOR MANAGING SECURITY KEYS FOR INDIVIDUAL MEDIA |
| US10805856B2 (en) * | 2017-09-22 | 2020-10-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and units in a network node for handling communication with a wireless device |
| CN109586900B (zh) * | 2017-09-29 | 2020-08-07 | 华为技术有限公司 | 数据安全处理方法及装置 |
| US10470044B2 (en) * | 2018-01-12 | 2019-11-05 | Intel Corporation | Resolving bidding down attacks for multi-connectivity |
| WO2019158117A1 (en) * | 2018-02-15 | 2019-08-22 | Huawei Technologies Co., Ltd. | System and method for providing security in a wireless communications system with user plane separation |
-
2018
- 2018-11-01 US US16/178,266 patent/US11057766B2/en active Active
-
2019
- 2019-10-23 EP EP19878078.5A patent/EP3874783A4/en active Pending
- 2019-10-23 WO PCT/FI2019/050753 patent/WO2020089517A1/en unknown
- 2019-10-23 CN CN201980072549.2A patent/CN112997518B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010045817A1 (zh) * | 2008-10-23 | 2010-04-29 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| CN101409897A (zh) * | 2008-10-31 | 2009-04-15 | 中兴通讯股份有限公司 | 计数器控制方法和装置 |
| US20140059662A1 (en) * | 2010-05-04 | 2014-02-27 | Qualcomm Incorporated | Shared circuit switched security context |
| CN104012134A (zh) * | 2011-12-23 | 2014-08-27 | 三星电子株式会社 | 用于无线网络环境中的控制信息的安全通信的方法和系统 |
| US20160029213A1 (en) * | 2013-09-11 | 2016-01-28 | Samsung Electronics Co., Ltd. | Method and system to enable secure communication for inter-enb transmission |
| US20150163202A1 (en) * | 2013-12-05 | 2015-06-11 | Alcatel-Lucent Usa, Inc. | Security key generation for simultaneous multiple cell connections for mobile device |
| CN105794243A (zh) * | 2013-12-05 | 2016-07-20 | 阿尔卡特朗讯公司 | 用于移动设备的同时多小区连接的安全密钥生成 |
| CN106658492A (zh) * | 2015-07-23 | 2017-05-10 | 中兴通讯股份有限公司 | 密钥更新方法及装置 |
| US20180213452A1 (en) * | 2017-01-16 | 2018-07-26 | Samsung Electronics Co., Ltd. | Method and apparatus for communication in wireless mobile communication system |
| WO2018137853A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Management of security contexts at idle mode mobility between different wireless communication systems |
| WO2018174676A1 (ko) * | 2017-03-24 | 2018-09-27 | 삼성전자 주식회사 | 제 1 무선접속기술과 제 2 무선접속기술을 통해 데이터를 송수신하는 단말이 측정 결과를 보고하는 방법 및 장치 |
Non-Patent Citations (5)
| Title |
|---|
| HUAWEI, HISILICON, QUALCOMM, ERICSSON: "S3-181985 "Security procedures for dual connectivity"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 26 May 2018 (2018-05-26) * |
| HUAWEI, HISILICON: "S3-180657 "Security for CU-CP and CU-DP split"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, pages 3 * |
| HUAWEI, HISILICON: "S3-180659 "UP security keys separation for the case of CU-CP and CU-UP separation."", 3GPP TSG_SA\\WG3_SECURITY, no. 3, pages 3 * |
| HUAWEI, HISILICON: "S3-181695 "Security Mechanisms for Dual Connectivity Architecture for MR-DC with 5GC"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 14 May 2018 (2018-05-14) * |
| NOKIA, NOKIA SHANGHAI BELL: "R3-185377 "(TP for NR BL CR for TS 38.401): Correction of Security and multiple CU UPs"", 3GPP TSG_RAN\\WG3_IU, no. 3 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3874783A4 (en) | 2022-07-20 |
| EP3874783A1 (en) | 2021-09-08 |
| CN112997518B (zh) | 2024-06-11 |
| US20200145819A1 (en) | 2020-05-07 |
| US11057766B2 (en) | 2021-07-06 |
| WO2020089517A1 (en) | 2020-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11917498B2 (en) | Communication method and communications apparatus | |
| US11038923B2 (en) | Security management in communication systems with security-based architecture using application layer security | |
| US20210234706A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
| US10548004B2 (en) | Security management in communication systems between security edge protection proxy elements | |
| CN112997518B (zh) | 通信系统中的分解基站中的安全性管理 | |
| CN111918271B (zh) | 一种信息配置方法及装置 | |
| CN113994633B (zh) | 通信系统中的网络功能集合的授权 | |
| US20210258788A1 (en) | Security management for service access in a communication system | |
| WO2020053481A1 (en) | Network function authentication using a digitally signed service request in a communication system | |
| EP3528456A1 (en) | Security management in communication systems with network function assisted mechanism to secure information elements | |
| WO2020254918A1 (en) | Secure access control in communication system | |
| US20200053126A1 (en) | User plane security management in a communication system | |
| WO2019158817A1 (en) | Security management in communication systems with provisioning based mechanism to identify information elements | |
| WO2021094349A1 (en) | Multi-step service authorization for indirect communication in a communication system | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| CN115004635A (zh) | 签约信息获取方法及装置 | |
| EP4189565A1 (en) | Secure clock source as a service in a communication system | |
| CN111510945B (zh) | 一种上报终端能力的方法及装置 | |
| WO2020208295A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over private network | |
| WO2020183058A1 (en) | Communication network-anchored cryptographic key sharing with third-party application | |
| WO2020208294A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over public network | |
| US12010752B2 (en) | Separation of data and control packets over non-access stratum links in communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |