CN114554484A - 管理安全上下文的方法和装置 - Google Patents
管理安全上下文的方法和装置 Download PDFInfo
- Publication number
- CN114554484A CN114554484A CN202210189293.7A CN202210189293A CN114554484A CN 114554484 A CN114554484 A CN 114554484A CN 202210189293 A CN202210189293 A CN 202210189293A CN 114554484 A CN114554484 A CN 114554484A
- Authority
- CN
- China
- Prior art keywords
- wireless communication
- ngs
- eps
- key
- security context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
Abstract
提供了一种用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文的解决方案。所述第一无线通信系统是5G/NGS系统,并且所述第二无线通信系统是4G/EPS系统。所述解决方案是基于获得(S1)5G/NGS安全上下文以及将所述5G/NGS安全上下文映射(S2)到4G/EPS安全上下文的。
Description
本申请是PCT国际申请PCT/EP2017/083250(申请日为2017年12月18日,题为“Management of Security Contexts at Idle Mode Mobility between DifferentWireless Communication Systems”)的中国国家阶段申请CN201780085130.1(题为“管理安全上下文的方法和装置”)的分案申请。
技术领域
所提出的技术涉及用于在无线通信设备在不同无线通信系统之间,特别是在不同代的无线通信系统之间进行空闲模式移动时管理安全上下文的方法和对应的装置,以及对应的网络单元、无线通信设备、计算机程序、计算机程序产品和装置。所提出的技术还涉及密钥管理和/或密钥导出。
背景技术
从对通用移动电信系统(UMTS)架构(有时也被称为3G)和长期演进(LTE)架构(也被称为4G)进行非常简要的概述开始会是有用的。
首先,这些架构的无线电接入网络(RAN)部分的不同之处在于,通用地面无线电接入网络(UTRAN)是3G/UMTS RAN,而演进型UTRAN(E-UTRAN)是LTE RAN。UTRAN支持电路交换和分组交换服务二者,而E-UTRAN仅支持分组交换服务。
UTRAN空中接口是基于扩频调制技术的宽带码分多址(WCDMA),而E-UTRAN采用被称为正交频分多址(OFDMA)的多载波调制方案。高速分组接入(HSPA)是使用WCDMA协议来扩展和改善现有的3G UMTS网络的性能的一组协议。
在3G/UMTS中,RAN基于两种类型的节点:被称为NodeB的接入节点或基站和无线电网络控制器(RNC)。RNC是控制RAN的节点,并且它还将RAN连接到核心网络(CN)。
图1是示出了UMTS的核心网络的简化概述的示意图。UMTS/WCDMA的核心网络包括:
·具有移动交换中心(MSC)的电路交换(CS)域,其中所述MSC用于连接到公共交换电话网络(PSTN);
·具有服务GPRS支持节点(SGSN)和网关GPRS支持节点(GGSN)的分组交换(PS)域,其中所述SGSN用于连接到RAN,并且所述GGSN用于连接到外部网络,例如因特网。
这两个域的共同之处在于归属位置寄存器(HLR),即,归属运营商网络中的保持对运营商的订户的跟踪的数据库。
LTE RAN的关键设计原理是仅使用一种类型的节点,即,演进型节点B,也被称为eNodeB或eNB。LTE CN的主要概念是尽可能独立于无线电接入技术。
LTE RAN功能通常涉及:
·编码、交织、调制和其他典型的物理层功能;
·自动重复请求(ARQ)头部压缩和其他典型的链路层功能;
·用户平面(UP)安全性功能(例如加密)和RAN信令安全性(例如,RAN向UE发起的信令的加密和完整性保护);以及
·无线电资源管理(RRM)、切换和其他典型的无线电资源控制功能。
LTE CN功能通常涉及:
·非接入层(NAS)安全性功能(例如,去往UE的CN信令的加密和完整性保护);
·订户管理;
·移动性管理;
·承载管理和服务质量(QoS)处理;
·政策控制和用户数据流;
·与外部网络的互连。
LTE CN的演进和标准化被称为系统架构演进(SAE),并且SAE中定义的核心网络与上一代核心网络完全不同,并且因此被称为演进型分组核心(EPC)。
图2是示出了EPC架构的简化概述的示意图。EPC的基本节点包括:
·移动性管理实体(MME),它是EPC的控制平面节点;
·服务网关(SG),它是将EPC连接到LTE RAN的用户平面节点;以及
·分组数据网络网关(PDN)网关,它是将EPC连接到互联网的用户平面节点。
MME通常还连接到归属订户服务器(HSS),所述HSS是与HLR相对应的数据库节点。
服务网关和PDN网关可以被配置为单个实体。
有时,EPC与LTE RAN一起被表示为演进型分组系统(EPS)。
目前,尽管尚未设置通用的5G标准,但是正在全世界范围内开发通常被称为下一代(NextGen或NG)、下一代系统(NGS)或5G的未来一代无线通信。
与当前的4G LTE网络相比,下一代无线通信的愿景在于提供非常高的数据速率、极低的延迟、基站容量的多方面增加以及用户感知到的QoS的显著改善。
3GPP SA2已在3GPP TR 23.799 V14.0.0的研究中就在图3所示的非漫游架构达成一致。
接入和移动性管理功能(AMF)(有时被称为移动性管理功能MMF、核心网络移动性管理(CN-MM)或简称为移动性管理(MM))是支持移动性管理的核心网络节点,并且因此扮演与EPC中的MME类似的角色。AMF具有到RAN的所谓的NG2接口,其中所述NG2接口与EPC中MME与RAN之间的所谓的S1接口相对应。
通常,移动性管理涉及处理处于空闲模式和连接模式下的UE。
5G/NGS中的空闲模式移动可能将是注册过程的特殊情况,例如,参见3GPP TS23.502 v1.1.1草案中的第4.2.2.2.2条。在注册过程中,用户设备(UE)需要向网络注册以得到授权来接收服务,从而实现移动性跟踪并确保可达性。例如,在以下情况下使用注册过程:当UE需要最初注册到5G系统时,在当UE在空闲模式下改变到新的跟踪区域(TA)时的移动过程的情况下,以及当UE执行周期性更新时(由于预定义的不活动时间段),等等。
还预期的是5G/NGS将允许从5G/NGS到4G/EPS的空闲模式移动。当UE移动离开5G/NGS覆盖范围并且进入到4G/EPS覆盖范围时,它将具有5G/NGS安全上下文,但可能不具有4G/EPS安全上下文。
发明内容
一个目的是提供一种用于在无线通信设备在不同无线通信系统之间进行空闲模式移动时管理安全上下文的方法。
本发明的另一目的是提供一种用于在无线通信设备在不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置。
另一目的是提供一种包括这种装置在内的网络单元。
又一目的是提供一种包括这种装置在内的无线通信设备。
又一目的是提供一种计算机程序以及对应的计算机程序产品,其中所述计算机程序用于在由处理器执行时在无线通信设备在不同无线通信系统之间进行空闲模式移动时管理安全上下文。
本发明的另一个目的是提供一种用于在无线通信设备在不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置。
另一目的是提供一种用于在无线通信设备在不同无线通信系统之间进行空闲模式移动时进行密钥导出的方法和装置。
这些和其它目的通过所提出的技术的实施例来满足。
根据第一方面,提供了一种用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文的方法,
其中,第一无线通信系统是5G/NGS系统,并且第二无线通信系统是4G/EPS系统,所述方法包括:
-获得5G/NGS安全上下文;以及
-将所述5G/NGS安全上下文映射到4G/EPS安全上下文。
因此,所提出的技术提供了用于处理从5G/NGS到4G/EPS的空闲模式移动的有效且安全的解决方案。安全上下文映射还有助于提供服务连续性。
根据第二方面,提供了一种用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置,
其中,第一无线通信系统是5G/NGS系统,并且第二无线通信系统是4G/EPS系统,
其中,所述装置被配置为获得5G/NGS安全上下文,并且
其中,所述装置被配置为将5G/NGS安全上下文映射到4G/EPS安全上下文。
根据第三方面,提供了一种网络单元,包括如本文所述的装置。
根据第四方面,提供了一种无线通信设备,包括如本文所述的装置。
根据第五方面,提供了一种计算机程序,所述计算机程序在由处理器执行时,用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文。第一无线通信系统是5G/NGS系统,并且第二无线通信系统是4G/EPS系统。所述计算机程序包括指令,所述指令在由处理器执行时,使处理器:
-获得或访问5G/NGS安全上下文;以及
-将所述5G/NGS安全上下文映射到4G/EPS安全上下文。
根据第六方面,提供了一种计算机程序产品,包括承载根据所提出的技术的第五方面所述的计算机程序的计算机可读介质。
根据第七方面,提供了一种用于在无线通信设备在不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置。不同无线通信系统包括第一无线通信系统和第二无线通信系统,其中,第一无线通信系统是5G/NGS系统,并且第二无线通信系统是4G/EPS系统。所述装置包括用于获得5G/NGS安全上下文的输入模块,以及用于将5G/NGS安全上下文映射到4G/EPS安全上下文的映射模块。
备选地,所提出的技术可以被视为密钥管理过程或密钥导出过程,如下所述。
根据另一方面,因此提供了一种用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时进行密钥导出的方法。第一无线通信系统是5G/下一代系统“5G/NGS”系统,并且第二无线通信系统是4G/演进型分组系统“4G/EPS”系统。所述方法基本上包括:获得包括移动性管理密钥KAMF在内的5G/NGS安全上下文,以及将5G/NGS安全上下文映射到4G/EPS安全上下文,这包括基于移动性管理密钥KAMF导出4G/EPS主密钥KASME。
根据又一方面,还提供了一种用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时进行密钥导出的装置。第一无线通信系统是5G/下一代系统“5G/NGS”系统,并且第二无线通信系统是4G/演进型分组系统“4G/EPS”系统。所述装置被配置为获得包括移动性管理密钥KAMF在内的5G/NGS安全上下文。所述装置还被配置为通过基于移动性管理密钥KAMF导出4G/EPS主密钥KASME来将5G/NGS安全上下文映射到4G/EPS安全上下文。
当阅读具体实施方式时将会意识到其他优点。
附图说明
通过参考以下结合附图的描述,可以最好地理解实施例及其进一步的目的和优点,在附图中:
图1是示出了UMTS的核心网络的简化概述的示意图。
图2是示出了EPC架构的简化概述的示意图。
图3是示出了针对5G/NGS提出的非漫游架构的示例的示意图。
图4示意性地示出了针对4G/EPS/LTE的EPC密钥层次结构(hierarchy)的示例。
图5示出了针对5G/NGS提出的密钥层次结构的示例。
图6A是示出了根据实施例的用于在不同无线通信系统之间进行空闲模式移动时管理安全上下文的方法的示例的示意流程图。
图6B是示出了根据实施例的用于在不同无线通信系统之间进行空闲模式移动时管理安全上下文的方法的另一示例的示意流程图。
图6C是示出了根据实施例的用于在不同无线通信系统之间进行空闲模式移动时管理安全上下文的方法的又一示例的示意流程图。
图6D是示出根据实施例的用于在不同无线通信系统之间进行空闲模式移动时进行密钥导出的方法的示例的示意流程图。
图7A是示出了根据实施例的无线通信设备在两个不同无线通信系统之间进行空闲模式移动的示例的示意图。
图7B是示出了根据实施例的由相关网络单元执行的信令和/或动作的示例的示意信令和动作图。
图8A是示出了根据实施例的被配置为在不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置的示例的示意框图。
图8B是示出了根据另一实施例的被配置为管理空闲模式移动下的安全上下文的装置的示例的示意框图。
图8C是示出了根据又一实施例的被配置为管理空闲模式移动下的安全上下文的装置的示例的示意框图。
图9A是示出了根据实施例的网络单元的示例的示意框图。
图9B是示出了根据实施例的无线通信设备的示例的示意框图。
图10是示出了根据实施例的计算机实现的示例的示意图。
图11是示出了根据实施例的用于在不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置的示例的示意图。
图12示意性地示出了网络设备之间的分布式实现。
具体实施方式
贯穿附图,相同的附图标记用于类似或对应的元素。
所提出的技术总体涉及在无线通信设备在不同无线通信系统之间,特别是在不同代的无线通信系统之间进行空闲模式移动时安全上下文的管理。所提出的技术还涉及安全管理,特别是与空闲模式移动相关的密钥管理。
在下文中,通用的非限制性术语“网络单元”可以指适合于结合无线通信系统进行操作的任何网络单元,包括但不限于网络设备、网络节点和/或相关联的无线通信设备。
如本文所使用的,术语“网络设备”可以指与通信网络相关地定位的任何设备,包括但不限于接入网络、核心网络和类似网络结构中的设备。术语“网络设备”还可以包括基于计算机的网络设备,诸如用于在基于云的环境中实现的基于云的网络设备。
如本文所使用的,非限制性术语“网络节点”可以指通信系统中的任何网络节点,包括接入网络、核心网络和类似网络结构中的网络节点。
如本文所使用的,非限制性术语“无线通信设备”、“用户设备(UE)”和“终端”可以指移动电话、蜂窝电话、配备有无线通信能力的个人数字助理PDA、智能电话、配备有内部或外部的移动宽带调制解调器的膝上型电脑或个人计算机PC,具有无线通信能力的平板、目标设备、设备到设备UE、机器类型的UE或支持机器到机器通信的UE、客户住宅设备(CPE)、膝上型嵌入式设备(LEE)、膝上安装的设备(LME)、USB加密狗、便携式电子无线通信设备、配备有无线通信能力的传感器设备等。具体地,术语“无线通信设备”应被解释为包括与无线通信系统中的网络节点通信的任何类型的无线设备和/或可能与另一无线通信设备直接通信的任何类型的无线设备的非限制性术语。换言之,无线通信设备可以是配备有用于根据任何相关通信标准进行无线通信的电路的任何设备。
简要回顾一下针对4G/EPS/LTE的EPC密钥层次结构以及针对5G/NGS提出的对应密钥层次结构可能是有用的。
图4示意性地示出了针对4G/EPS/LTE的EPC密钥层次结构的示例。密钥层次结构包括KeNB,其中KeNB是由UE中的移动设备(ME)和MME从KASME导出的密钥或者是由ME和目标eNB导出的密钥。NH是由ME和MME导出以提供前向安全性的密钥。
NAS保护使用两个密钥,KNASint和KNASenc。KNASint用于通过特定的完整性算法来保护NAS业务,而KNASenc对应地用于通过特定的加密算法来保护NAS业务。这些密钥由ME和MME使用密钥导出函数(KDF)分别从KASME和用于完整性算法或加密算法的标识符导出。
用于用于用户平面(UP)业务KUPenc、KUPint和无线电资源控制(RRC)业务KRRCenc、KRRCnt的密钥是由ME和eNB从KeNB导出的。
该图还指示在UE和HSS处可用的机密性密钥(CK)和完整性密钥(IK),以及存储在通用订户身份模块(USIM)和认证中心(AuC)处的订阅凭证(K)。在3GPP TS 33.401 V14.1.0的第6.2节可以找到有关EPS密钥层次结构的更多信息。
3GPP SA3目前正在TR 33.899中对3GPP中的下一代(5G)执行研究。该研究中存在针对密钥层次结构的许多建议。
图5示出了针对5G/NGS提出的密钥层次结构的示例。通常,密钥层次结构类似于图4中所示的4G/EPS/LTE的密钥层次结构,但是具有一些差异,例如,引入了密钥层次结构的附加层,其中所述附加层允许将由认证得到的密钥保存在安全的位置。这实际上与将密钥KASME拆分成密钥KSEAF和KMMF相对应。
在图5中,K表示在UE和认证凭证存储库和处理功能(ARPF)/认证、授权和计费(AAA)服务器中保存的订阅凭证。KSEAF是用于认证会话的锚定密钥(anchor key),其中可以从该锚定密钥导出后续的密钥,例如CN控制平面密钥和AN密钥。KMMF是绑定到MMF的控制平面密钥,其中MMF表示端接NAS移动性管理(MM)信令的核心网络实体。在SA3研究中,MMF和KMMF也分别被称为AMF和KAMF,或者CN-MM和KCN。
该研究中的大多数提出的密钥层次结构具有存储在所谓的SEAF功能中的KSEAF密钥。SEAF功能从KSEAF中导出用于核心网络节点(例如AMF)的新密钥。AMF或MMF从KMMF导出另外的NAS安全密钥。从KMMF导出NAS加密和完整性保护密钥,即KNASenc和KNASint。KMMF还可以用于使用KAN来导出AN级密钥,例如KUPenc、KUPint、KRRCenc、KRRCnt,其中KAN是被提供给AN并且与LTE中的KeNB相对应的密钥。
当用户平面安全在UP网关(GW)处端接时,KUP-GW(也被称为KCN-SM/UP)是用于UP-GW的用户平面密钥。在3GPP TS 33.899 V0.6.0的第5.1.4.6.2.2节可以找到有关NextGen密钥层次结构的更多信息。
如上所述,预期5G/NGS将允许从5G/NGS到4G/EPS的空闲模式移动。当UE移动离开5G/NGS覆盖范围并且进入到4G/EPS覆盖范围时,它将具有5G/NGS安全上下文,但可能不具有4G/EPS安全上下文。发明人已经意识到目前没有用于从5G/NGS安全上下文导出4G/EPS安全上下文的解决方案。该解决方案有助于提供服务连续性。
“安全上下文”通常包括至少一个安全密钥,可能还包括可选的相关信息,例如一个或多个新鲜度参数。
图6A是示出了根据实施例的用于在不同无线通信系统之间进行空闲模式移动时管理安全上下文的方法的示例的示意流程图。
不同无线通信系统包括第一无线通信系统和第二无线通信系统,其中,第一无线通信系统是5G/NGS系统,并且第二无线通信系统是4G/EPS系统。
该方法基本上包括:
S1:获得5G/NGS安全上下文;以及
S2:将5G/NGS安全上下文映射到4G/EPS安全上下文。
作为示例,在空闲模式移动期间,5G/NGS系统是源系统,而4G/EPS系统是目标系统。
有时,源系统被称为旧系统,而目标系统被称为新系统。通常,根据公认的技术,5G/NGS安全上下文在5G/NGS系统的相关网络单元中并且还在无线通信设备中可用或者可从其他安全密钥信息导出。
图6B是示出了根据实施例的用于在不同无线通信系统之间进行空闲模式移动时管理安全上下文的方法的另一示例的示意流程图。
作为示例,5G/NGS安全上下文包括至少一个5G/NGS安全密钥,并且将5G/NGS安全上下文映射到4G/EPS安全上下文的步骤S2包括基于5G/NGS安全密钥导出(S2-1)至少一个4G/EPS安全密钥,其中,4G/EPS安全上下文包括4G/EPS安全密钥。
在密钥导出的上下文中,术语“确定”和“计算”可以与术语“导出”互换地使用。
因此,所提出的技术可以备选地被视为密钥管理过程或密钥导出过程。
可选地,基于5G/NGS安全密钥导出至少一个4G/EPS安全密钥的步骤包括:还基于至少一个新鲜度参数来导出4G/EPS安全密钥。
在特定示例中,5G/NGS安全密钥包括在5G/NGS系统的核心网络处和无线通信设备处可用的主密钥KSEAF,并且4G/EPS安全密钥包括主密钥KASME,其中,基于5G/NGS安全密钥导出至少一个4G/EPS安全密钥的步骤包括:直接或间接地基于KSEAF确定KASME。
例如,可以根据KSEAF的函数来确定KASME。
根据另一示例,根据从KSEAF导出的移动性管理密钥KCN的函数来确定KASME,其中,移动性管理密钥KCN也被称为KAMF,其中AMF指代接入和移动性管理功能(如先前所示)。
作为示例,该方法可以由5G/NGS系统的网络单元执行。
在该上下文中,该方法还可以包括将4G/EPS安全上下文从5G/NGS系统的网络单元发送(S3)给4G/EPS系统的网络单元,例如,如图6C所示。
作为示例,5G/NGS系统的网络单元可以是被配置用于移动性管理的5G/NGS核心网络单元,例如AMF(也被称为MMF或CN-MM)。
对应地,4G/EPS系统的网络单元可以是被配置用于移动性管理的核心网络单元,例如MME。
在特定示例中,5G/NGS系统的网络单元从4G/EPS系统的网络单元接收包括密钥集标识符在内的上下文请求消息,其中该密钥集标识符标识5G安全上下文,从5G/NGS安全上下文导出4G/EPS安全密钥,并将包括所导出的4G/EPS安全密钥在内的上下文响应消息发送给4G/EPS系统的网络单元。
例如,如所指示的,5G/NGS系统的网络单元可以是接入和移动性管理功能AMF单元,而4G/EPS系统的网络单元可以是移动性管理实体MME单元。
作为示例,上下文请求消息还可以包括计数器(counter)作为新鲜度参数,并且4G/EPS安全密钥可以从5G/NGS安全上下文和该计数器导出。
作为示例,计数器可以是非接入层NAS序列号。
例如,密钥集标识符可以源自于无线通信设备的跟踪区域更新TAU请求。
在特定示例中,5G/NGS系统的网络单元可以被实现为基于云的网络设备。
补充地,该方法可以由所考虑的无线通信设备(例如用户设备)来执行。
在特定示例中,无线通信设备可以向网络侧发送包括密钥集标识符在内的跟踪区域更新TAU请求,其中该密钥集标识符标识5G/NGS安全上下文。
通常,所提出的解决方案使得能够在从5G/NGS到4G/EPS的空闲模式移动时将5G/NGS安全上下文映射到4G/EPS安全上下文。
到目前为止,这是在从5G/NGS到4G/EPS的空闲模式移动期间用于将5G/NGS安全密钥映射到4G/EPS安全密钥的唯一解决方案。
具体地,所提出的解决方案禁止4G/EPS中的目标核心网络(例如,MME)得到5G/NGS中的源核心网络(例如,AMF或对应的网络单元)中使用的安全密钥的任何知识。
图6D是示出根据实施例的用于在不同无线通信系统之间进行空闲模式移动时进行密钥导出的方法的示例的示意流程图。
根据一方面,还提供了一种用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时进行密钥导出的方法。第一无线通信系统是5G/下一代系统“5G/NGS”系统,并且第二无线通信系统是4G/演进型分组系统“4G/EPS”系统。该方法基本上包括:
S11:获得包括移动性管理密钥KAMF(也被称为KCN)在内的5G/NGS安全上下文;以及
S12:将5G/NGS安全上下文映射到4G/EPS安全上下文,包括基于移动性管理密钥KAMF导出4G/EPS主密钥KASME。
图7A是示出了根据实施例的无线通信设备在两个不同无线通信系统之间进行空闲模式移动的示例的示意图。无线通信系统包括第一无线通信系统10(例如5G/NGS系统)和第二无线通信系统20(例如4G/EPS系统)。无线通信设备5可以在作为源系统的5G/NGS系统10和作为目标系统的4G/EPS系统20之间经历空闲模式移动。在该上下文中,基本思想是将5G/NGS安全上下文映射到4G/EPS安全上下文。
所提出的解决方案涉及用于在空闲模式移动期间在网络侧和UE侧两者处将5G/NGS安全密钥映射到4G/EPS安全密钥的方法和对应装置。
在下文中,将参考具体的说明性示例来描述所提出的技术。应该理解,所提出的技术不限于此。
安全上下文通常包括至少一个安全密钥,可能还包括可选的相关信息。作为示例,预期5G/NGS安全上下文包括主密钥KSEAF和/或可能的、从KSEAF导出的密钥KCN。4G/EPS上下文通常包括主密钥KASME。
在4G/EPS网络中的空闲模式移动期间,跟踪区域更新(TAU)过程用于以所谓的跟踪区域(TA)的粒度来跟踪UE。也可以在从5G/NGS网络到4G/EPS网络的空闲模式移动期间使用跟踪区域更新(TAU)过程。
图7B是示出了根据实施例的由相关网络单元执行的信令和/或动作的示例的示意信令和动作图。
1.UE通过向eNodeB发送TAU请求来发起TAU过程,其中该TAU请求包括密钥集标识符并且可选地包括计数器作为新鲜度参数。密钥集标识符标识UE和AMF处的5G安全上下文。在TAU请求中发送的计数器可以是包括在UE和AMF共享的5G安全上下文中的计数器。UE还可以生成随机数(nonce)来作为新鲜度参数,或者生成时间戳而不是随机数,并将其包括在TAU请求中。
作为示例,密钥集标识符(eKSI)和计数器(NAS序列号)可以是TAU请求中包括的传统参数,如现有的3GPP标准TS 23.401的第5.3.3.1节第2步中所述。另外,随机数(nonce_UE)是可以被包括在TAU请求中的传统参数,如3GPP TS 33.401的第9.1.2节和3GPPTS24.301的表8.2.29.1所述。但是,该随机数通常不用于MME间改变,而是用于SGSN到MME改变。
2.eNodeB将TAU请求消息转发给新MME。
3.新MME向旧AMF发送上下文请求消息以获取包括安全上下文在内的用户信息。上下文请求包含在步骤1中由UE发送的密钥集标识符、计数器和可能的随机数。
4.旧AMF从5G安全上下文导出KASME。
选项A:直接从KSEAF导出KASME。
KASME=f(KSEAF、可选的新鲜度参数、可能的目标网络参数、可能的源网络参数、可能的恒定值),
其中f是哈希函数或另一密钥导出函数,并且新鲜度参数可以是在步骤1中由UE发送的计数器和/或随机数或时间戳。
可选地,还可以在密钥导出中包括一个或多个目标网络参数和/或源网络参数。目标网络参数是在某一级别标识目标网络的参数,例如网络名称。源网络参数是在某一级别标识源网络的参数,例如网络名称。
可选地,还可以在密钥导出中包括一个或多个恒定值。恒定值可以例如是用于区分密钥导出的不同实例的FC值。
选项B:从所导出的密钥KCN导出KASME。
KASME=f(KCN、可选的新鲜度参数、可能的目标网络参数、可能的源网络参数、可能的恒定值),
其中f是哈希函数或另一密钥导出函数,并且新鲜度参数可以是在步骤1中由UE发送的计数器和/或随机数或时间戳。
可选地,还可以在密钥导出中包括一个或多个目标网络参数和/或源网络参数。目标网络参数是在某一级别标识目标网络的参数,例如网络名称。源网络参数是在某一级别标识源网络的参数,例如网络名称。
可选地,还可以在密钥导出中包括一个或多个恒定值。恒定值可以例如是用于区分密钥导出的不同实例的FC值。
以这种方式,AMF从5G/NGS安全上下文导出KASME,然后可以将该KASME发送给MME。这禁止4G/EPS中的目标核心网络(例如,MME)得到5G/NGS中的源核心网络(例如,被配置为处理移动性管理的AMF或对应的网络单元)中使用的安全密钥的任何知识。
5.旧AMF在上下文响应消息中将在步骤4中导出的密钥发送给新MME。
4’.UE以与旧AMF相同的方式来计算所导出的密钥。该步骤独立于其他步骤,并且可以在该过程期间的任何时间执行。
选项A:直接从KSEAF导出KASME。
KASME=f(KSEAF、可选的新鲜度参数、可能的目标网络参数、可能的源网络参数、可能的恒定值),
其中f是哈希函数或另一密钥导出函数,并且新鲜度参数可以是在步骤1中由UE发送的计数器和/或随机数或时间戳。
可选地,还可以在密钥导出中包括一个或多个目标网络参数和/或源网络参数。目标网络参数是在某一级别标识目标网络的参数,例如网络名称。源网络参数是在某一级别标识源网络的参数,例如网络名称。
可选地,还可以在密钥导出中包括一个或多个恒定值。恒定值可以例如是用于区分密钥导出的不同实例的FC值。
选项B:从所导出的密钥KCN导出KASME。
KASME=f(KCN、可选的新鲜度参数、可能的目标网络参数、可能的源网络参数、可能的恒定值),
其中f是哈希函数或另一密钥导出函数,并且新鲜度参数可以是在步骤1中由UE发送的计数器和/或随机数或时间戳。
可选地,还可以在密钥导出中包括一个或多个目标网络参数和/或源网络参数。目标网络参数是在某一级别标识目标网络的参数,例如网络名称。源网络参数是在某一级别标识源网络的参数,例如网络名称。
可选地,还可以在密钥导出中包括一个或多个恒定值。恒定值可以例如是用于区分密钥导出的不同实例的FC值。
应当理解,本文描述的方法和装置可以以各种方式实现、组合和重新布置。
例如,实施例可以用硬件、或用由合适的处理电路执行的软件、或其组合来实现。
本文所述的步骤、功能、过程、模块和/或框可以使用任何常规技术在硬件中实现,例如使用分立电路或集成电路技术,包括通用电子电路和专用电路二者。
备选地,或者作为补充,本文描述的步骤、功能、过程、模块和/或框中的至少一些可以在软件中实现,例如由合适的处理电路(例如一个或多个处理器或处理单元)来执行的计算机程序。
处理电路的示例包括但不限于:一个或多个微处理器、一个或多个数字信号处理器(DSP)、一个或多个中央处理单元(CPU)、视频加速硬件、和/或任意合适的可编程逻辑电路,例如一个或多个现场可编程门阵列(FPGA)或者一个或多个可编程逻辑控制器(PLC)。
还应当理解,可以重新使用实现所提出技术的任何常规设备或单元的通用处理能力。也可以例如通过对现有软件进行重新编程或添加新的软件组件重新使用现有的软件。
根据第二方面,提供了一种用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置,
其中,第一无线通信系统是5G/NGS系统,并且第二无线通信系统是4G/EPS系统,
其中,所述装置被配置为获得5G/NGS安全上下文,并且
其中,所述装置被配置为将5G/NGS安全上下文映射到4G/EPS安全上下文。
通常,在空闲模式移动期间,5G/NGS系统是源系统,而4G/EPS系统是目标系统。
作为示例,5G/NGS安全上下文包括至少一个5G/NGS安全密钥,并且该装置被配置为基于5G/NGS安全密钥导出至少一个4G/EPS安全密钥,其中,4G/EPS安全上下文包括4G/EPS安全密钥。
因此,所提出的技术可以备选地被视为用于密钥管理的装置或用于密钥导出的装置。
作为示例,该装置可以被配置为还基于至少一个新鲜度参数来导出4G/EPS安全密钥。
在特定示例中,5G/NGS安全密钥包括在5G/NGS系统的核心网络处和无线通信设备处可用的主密钥KSEAF,并且4G/EPS安全密钥包括主密钥KASME,其中该装置被配置为直接或间接地基于KSEAF来确定KASME。
例如,如上所述,可以根据KSEAF的函数来确定KASME。
在另一示例中,可以根据从KSEAF导出的移动性管理密钥KCN的函数来确定KASME。因此,该布置可以被配置为根据从KSEAF导出的移动性管理密钥KCN的函数来确定KASME,其中,移动性管理密钥KCN也被称为KAMF,其中AMF指代接入和移动性管理功能。
根据补充方面,还提供了用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时进行密钥导出的对应装置。第一无线通信系统是5G/下一代系统“5G/NGS”系统,并且第二无线通信系统是4G/演进型分组系统“4G/EPS”系统。该装置被配置为获得包括移动性管理密钥KAMF(也被称为KCN)在内的5G/NGS安全上下文。所述装置还被配置为通过基于移动性管理密钥KAMF导出4G/EPS主密钥KASME来将5G/NGS安全上下文映射到4G/EPS安全上下文。
图8A是示出了根据实施例的被配置为在不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置的示例的示意框图。在该特定示例中,装置100包括处理器101和存储器102,存储器102包括可由处理器101执行的指令,从而该处理器操作以执行本文所述的功能,例如,在空闲模式移动时管理安全上下文。
可选地,装置100还可以包括输入/输出(I/O)单元103。I/O单元103可以包括括用于与网络中的其他设备和/或网络节点进行有线和/或无线通信的功能。在特定示例中,I/O单元103可以基于用于与一个或多个其他节点进行通信(包括发送和/或接收信息)的无线电电路。I/O单元103可以互连到处理器101和/或存储器102。作为示例,I/O单元103可以包括以下中的任何一个:接收机、发送机、收发机、输入端口和/或输出端口。
图8B是示出了根据另一实施例的被配置为管理空闲模式移动下的安全上下文的装置的示例的示意框图。在该示例中,装置110基于硬件电路实现。合适的硬件电路的具体示例包括:一个或多个适当配置的或可能可重新配置的电子电路、专用集成电路(ASIC)、FPGA或任何其他硬件逻辑,诸如基于互连的分立逻辑门和/或触发器的用以与合适的寄存器(REG)和/或存储单元(MEM)一起执行专用功能的电路。
图8C是示出了根据又一实施例的被配置为管理空闲模式移动下的安全上下文的装置的示例的示意框图。在该示例中,装置120基于处理器122、123和硬件电路124、125两者连同合适的存储器单元121的组合。装置120包括:一个或多个处理器122、123;存储器121、包括用于软件(SW)和数据的存储设备;以及硬件电路124、125的一个或多个单元。因此,整体功能在用于在一个或多个处理器122、123上执行的编程软件与一个或多个预配置的或可能可重新配置的硬件电路124、125之间划分。实际的硬件-软件划分可以由系统设计人员根据众多因素来决定,所述因素包括处理速度、实施成本和其他要求。
图9A是示出了根据实施例的网络单元的示例的示意框图。根据所提出的技术的第二方面,网络单元200包括装置100、110、120。
作为示例,该网络单元可以是5G/NGS系统的网络单元。
具体地,5G/NGS系统的网络单元可以是被配置用于移动性管理的核心网络单元,例如AMF(也被称为MMF或CN-MM)。
作为示例,5G/NGS系统的网络单元可以被配置为将4G/EPS安全上下文发送给4G/EPS系统的网络单元。
在特定示例中,5G/NGS系统的网络单元可以被配置为:从4G/EPS系统的网络单元接收包括密钥集标识符在内的上下文请求消息,其中该密钥集标识符标识5G安全上下文;从5G/NGS安全上下文导出4G/EPS安全密钥;并将包括所导出的4G/EPS安全密钥在内的上下文响应消息发送给4G/EPS系统的网络单元。
例如,5G/NGS系统的网络单元可以是接入和移动性管理功能AMF单元,而4G/EPS系统的网络单元可以是移动性管理实体MME单元。
作为另一示例,网络单元可以是基于计算机的网络设备,例如,在网络节点中实现或者被实现为与无线通信系统相关地布置的基于云的网络设备。
图9B是示出了根据实施例的无线通信设备的示例的示意框图。根据所提出的技术的第二方面,无线通信设备300包括装置100、110、120。
作为示例,无线通信设备可以是用户设备。
图10是示出了根据实施例的计算机实现400的示例的示意图。在该特定示例中,本文所述的步骤、功能、过程、模块和/或框中的至少一些是以计算机程序425、435来实现的,计算机程序425、435被加载到存储器420中用以由包括一个或多个处理器410的处理电路执行。处理器410和存储器420彼此互连,以实现正常的软件执行。可选的输入/输出设备440还可以与(一个或多个)处理器410和/或存储器420互连,以实现相关数据(例如,(一个或多个)输入参数和/或得到的(一个或多个)输出参数)的输入和/或输出。
术语“处理器”在一般意义上应被解释为能够执行程序代码或计算机程序指令以执行特定处理、确定或计算任务的任何系统或设备。
因此,包括一个或多个处理器410的处理电路被配置为:在运行计算机程序425时执行例如本文描述的那些明确定义的处理任务。
处理电路不是必须专用于仅执行上述步骤、功能、过程和/或框,而是还可以执行其他任务。
在特定实施例中,计算机程序425、435包括指令,该指令当由至少一个处理器410执行时,使得处理器410执行本文描述的动作。
根据另一方面,提供了一种计算机程序,该计算机程序在由处理器执行时用于在无线通信设备在包括第一无线通信系统和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文。所述第一无线通信系统是5G/NGS系统,并且所述第二无线通信系统是4G/EPS系统。
所述计算机程序包括指令,所述指令在由处理器执行时,使处理器:
-获得或访问5G/NGS安全上下文;以及
-将所述5G/NGS安全上下文映射到4G/EPS安全上下文。
根据又一方面,提供了一种计算机程序产品,包括计算机可读介质,其中该计算机可读介质承载或存储上述方面的计算机程序。
所提出技术还提供了一种包括计算机程序的载体,其中所述载体是电信号、光信号、电磁信号、磁信号、电子信号、无线电信号、微波信号或计算机可读存储介质之一。
通过示例的方式,软件或计算机程序425、435可以实现为计算机程序产品,其通常在计算机可读介质420、430(具体地,非易失性介质)上承载或存储。计算机可读介质可包括一个或多个可移除或不可移除的存储设备,包括(但不限于):只读存储器(ROM)、随机存取存储器(RAM)、高密度盘(CD)、数字多用途盘(DVD)、蓝光盘、通用串行总线(USB)存储器、硬盘驱动器(HDD)存储设备、闪存、磁带或任何其它常规存储设备。计算机程序可以因此被加载到计算机或等效处理设备的操作存储器中,用于由其处理电路执行。
当由一个或多个处理器执行时,本文介绍的流程图可以被认为是计算机流程图。对应的装置可以被定义为一组功能模块,其中由处理器执行的每个步骤与功能模块相对应。在这种情况下,功能模块被实现为在处理器上运行的计算机程序。
驻留在存储器中的计算机程序可以因此被组织为合适的功能模块,所述功能模块被配置为,当被处理器执行时,执行本文所述的步骤和/或任务的至少一部分。
图11是示出了用于在无线通信设备在不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置的示例的示意图。不同无线通信系统包括第一无线通信系统和第二无线通信系统,其中,第一无线通信系统是5G/NGS系统,并且第二无线通信系统是4G/EPS系统。装置500包括用于获得5G/NGS安全上下文的输入模块510,以及用于将5G/NGS安全上下文映射到4G/EPS安全上下文的映射模块520。
备选地,可以主要通过硬件模块(或备选地通过硬件)以及相关模块之间的合适的互联来实现图11中的模块。具体示例包括一个或多个合适配置的数字信号处理器和其他已知电子电路,例如先前所述的互连以执行专用功能的分立逻辑门和/或专用集成电路(ASIC)。可用硬件的其它示例包括输入/输出(I/O)电路和/或用于接收和/或发送信号的电路。软件对硬件的程度仅仅是实现选择。
所提出的技术通常适用于无线通信中的安全上下文的管理。所提出的技术可以应用于许多具体应用和通信场景,包括无线网络内的安全通信,在这种网络内安全地提供各种服务,包括所谓的过顶(Over-the-Top)(OTT)服务。例如,所提出的技术可以提供用于安全通信的基础安全上下文,并且实现和/或包括无线通信中的相关用户数据和/或控制数据的传输和/或发送和/或接收。
在补充方面,所提出的技术涉及由无线设备执行的方法,其中该方法还涉及提供用户数据,以及经由到网络节点的传输将用户数据转发给主计算机。
在另一补充方面,所提出的技术涉及对应的无线设备,其中该无线设备包括被配置为执行这种方法的任何步骤的处理电路。
在又一补充方面,所提出的技术涉及一种由网络节点执行的方法,其中该方法还涉及获得用户数据,以及将用户数据转发给主计算机或无线设备。
在又一补充方面,所提出的技术涉及对应的网络节点,例如基站,其中该网络节点包括被配置为执行这种方法的任何步骤的处理电路。
所提出的技术还可以涉及包括主计算机和/或无线设备和/或网络节点在内的对应的通信系统。
在诸如网络节点和/或服务器之类的网络设备中提供计算服务(硬件和/或软件)也变得日益普遍,其中资源被作为服务通过网络提供给远程位置。举例而言,这意味着如本文所述的功能可被分布或重新定位到一个或多个分离的物理节点或服务器。该功能可被重新定位或分布到可位于分离的物理节点的一个或多个联合工作的物理和/或虚拟机器中,即在所谓的云中。这有时也被称为云计算,云计算是一种支持对诸如网络、服务器、存储设备、应用和通用或定制服务等可配置计算资源的池的随时随地的按需网络访问的模型。
存在在这种上下文中可用的不同形式的虚拟化,所述形式包括以下一种或多种:
·将网络功能整合到运行在定制或通用硬件上的虚拟化软件中。这有时被称为网络功能虚拟化。
·将在分离的硬件上运行的一个或多个应用堆栈(包括操作系统)共同定位在单个硬件平台上。这有时被称为系统虚拟化或平台虚拟化。
·硬件和/或软件资源的共同定位的目的是使用一些高级的域级别调度和协调技术来获得改善的系统资源利用率。这有时被称为资源虚拟化、或者集中式和协调式资源池。
虽然将功能集中到所谓的通用数据中心经常是令人期望的,但在其他情况下实际上将功能分布在网络的不同部分上可能是有利的。
网络设备(ND)通常可被视为通信连接到网络中的其他电子设备的电子设备。
作为示例,网络设备可以用硬件、软件或其组合来实现。例如,网络设备可以是专用网络设备或通用网络设备或其混合。
专用网络设备可以使用定制处理电路和专有操作系统(OS)来执行软件以提供本文公开的特征或功能中的一个或多个。
通用网络设备可以使用公共现成(COTS)处理器和标准OS来执行软件,所述软件配置为提供本文公开的特征或功能中的一个或多个。
作为示例,专用网络设备可以包括硬件、物理网络接口(NI)以及其上存储有软件的非暂时性机器可读存储介质,所述硬件包括处理或计算资源,其通常包括一个或多个处理器构成的集合,所述物理网络接口(NI)有时被称为物理端口。物理NI可被视为网络设备中的用于进行网络连接的硬件,所述网络连接例如通过无线网络接口控制器(WNIC)以无线方式来进行或者通过将缆线插入连接到网络接口控制器(NIC)的物理端口来进行。在操作期间,软件可被硬件执行,以实例化一个或多个软件实例的集合。每个软件实例以及执行该软件实例的那部分硬件可以形成单独的虚拟网络单元。
作为另一示例,通用网络设备可以例如包括硬件和网络接口控制器(NIC)以及其上存储有软件的非暂时性机器可读存储介质,所述硬件包括一个或多个处理器(通常是COTS处理器)构成的集合。在操作期间,处理器执行软件以实例化一个或多个应用的一个或多个集合。虽然一个实施例不实现虚拟化,但是替代实施例可以使用不同形式的虚拟化——例如由虚拟化层和软件容器来表示。例如,一个这样的替代实施例实现了操作系统级别的虚拟化,在这种情况下,虚拟化层代表允许创建多个软件容器的操作系统内核(或在基础操作系统上执行的垫片(shim)),每个软件容器可被用来执行应用集合之一。在示例实施例中,每个软件容器(也称为虚拟化引擎、虚拟专用服务器或空间(jail))是用户空间实例(通常是虚拟存储空间)。这些用户空间实例可以彼此分离,并与执行操作系统的内核空间分离;除非明确允许,否则在给定用户空间中运行的应用集不能访问其他进程的内存。另一个这样的替代实施例实现完全虚拟化,在这种情况下:1)虚拟层表示管理程序(有时称为虚拟机监视器(VMM)),或者管理程序在主机操作系统之上执行;以及,2)每个软件容器表示由管理程序执行的并且可以包括客户操作系统的被称为虚拟机的软件容器的严格隔离形式。
管理程序是负责创建和管理各种虚拟化实例以及在某些情况下创建和管理实际物理硬件的软件/硬件。管理程序管理底层资源并将它们呈现为虚拟化实例。管理程序虚拟化以作为单个处理器呈现的内容实际上可以包括多个分开的处理器。从操作系统的角度来看,虚拟化实例看起来是实际的硬件组件。
虚拟机是运行程序的物理机器的软件实现,在运行程序时就好像它们在物理的非虚拟化的机器上执行一样;以及,应用一般不知道它们运行在虚拟机上而不是运行在“纯金属”的主机电子设备上,然而出于优化目的,一些系统提供允许操作系统或应用能够意识到存在虚拟化的准虚拟化(para-virtualization)。
一个或多个应用程序的一个或多个集合的实例化以及虚拟化层和软件容器(如果实现的话)统称为软件实例。每个应用集合、相应的软件容器(如果实现的话)以及执行它们的那部分硬件(其是专用于该执行的硬件和/或硬件的被软件容器分时共享的时间片)形成单独的虚拟网络元件。
虚拟网元可以执行与虚拟网元(VNE)类似的功能。这种硬件虚拟化有时被称为网络功能虚拟化(NFV)。从而,NFV可以用于将很多网络设备类型统一到工业标准高容量服务器硬件、物理交换机、和物理存储器,它们可以位于数据中心、ND、和客户住宅设备(CPE)中。然而,不同实施例可以用不同方式来实现软件容器中的一个或多个。例如,尽管实施例被示出为每个软件容器对应于一个VNE,但是替代实施例可以在更精细的粒度级别上实现软件容器-VNE之间的这种对应关系或映射;应该理解,本文参考软件容器与VNE的对应关系描述的技术也适用于使用这种更精细粒度级别的实施例。
根据又一实施例,提供了一种混合网络设备,其在网络设备(例如,在网络设备ND内的卡或电路板)中既包括定制处理电路/专有OS也包括COTS处理器/标准OS。在这种混合网络设备的某些实施例中,平台虚拟机(VM)(诸如实现专用网络设备的功能的VM)可以向混合网络设备中存在的硬件提供准虚拟化。
图12是示出一般情况下如何在不同网络设备之间分布或划分功能的示例的示意图。在该示例中,至少有两个单独的但互连的网络设备600、601,它们可以具有在网络设备600、601之间划分的不同的功能,或者相同功能的部分。可能存在额外的网络设备602,其是这种分布式实现的一部分。网络设备600、601、602可以是同一无线或有线通信系统的一部分,或者一个或多个网络设备可以是位于无线或有线通信系统外部的所谓的基于云的网络设备。
上述实施例仅作为示例给出,并且应当理解,所提出的技术不限于此。本领域技术人员将理解,在不背离由随附权利要求限定的本公开范围的情况下,可以对实施例做出各种修改、组合和改变。尤其是,在技术上可行的情况下,在其他配置中可以组合不同实施例中的不同部分解决方案。
Claims (36)
1.一种用于在无线通信设备(5)在包括第一无线通信系统(10)和第二无线通信系统(20)在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文的方法,其中,所述第一无线通信系统(10)是5G/下一代系统“5G/NGS”系统,并且所述第二无线通信系统(20)是4G/演进型分组系统“4G/EPS”系统,所述方法包括:
-获得(S1)5G/NGS安全上下文;以及
-将所述5G/NGS安全上下文映射(S2)到4G/EPS安全上下文。
2.根据权利要求1所述的方法,其中,在空闲模式移动期间,所述5G/NGS系统是源系统,并且所述4G/EPS系统是目标系统。
3.根据权利要求1或2所述的方法,其中,所述5G/NGS安全上下文包括至少一个5G/NGS安全密钥,并且将所述5G/NGS安全上下文映射到4G/EPS安全上下文的步骤(S2)包括:基于5G/NGS安全密钥导出(S2-1)至少一个4G/EPS安全密钥,其中,所述4G/EPS安全上下文包括4G/EPS安全密钥。
4.根据权利要求3所述的方法,其中,所述5G/NGS安全密钥包括在所述5G/NGS系统的核心网络处和所述无线通信设备处可用的主密钥KSEAF,并且所述4G/EPS安全密钥包括主密钥KASME,其中,基于所述5G/NGS安全密钥导出至少一个4G/EPS安全密钥的步骤(S2-1)包括:直接或间接地基于KSEAF来确定所述主密钥KASME。
5.根据权利要求4所述的方法,其中,根据从KSEAF导出的移动性管理密钥KCN的函数来确定KASME,其中,所述移动性管理密钥KCN也被称为KAMF,其中,AMF指代接入和移动性管理功能。
6.根据权利要求1至5中任一项所述的方法,其中,所述方法由所述5G/NGS系统的网络单元执行。
7.根据权利要求6所述的方法,其中,所述方法还包括:将所述4G/EPS安全上下文从所述5G/NGS系统的所述网络单元发送(S3)给所述4G/EPS系统的网络单元。
8.根据权利要求6或7所述的方法,其中,所述5G/NGS系统的所述网络单元是被配置用于移动性管理的5G/NGS核心网络单元。
9.根据权利要求7或8所述的方法,其中,所述5G/NGS系统的所述网络单元从所述4G/EPS系统的所述网络单元接收包括密钥集标识符在内的上下文请求消息,所述密钥集标识符标识所述5G/NGS安全上下文,从所述5G安全上下文导出4G/EPS安全密钥,并且将包括所导出的4G/EPS安全密钥在内的上下文响应消息发送给所述4G/EPS系统的所述网络单元。
10.根据权利要求9所述的方法,其中,所述5G/NGS系统的所述网络单元是接入和移动性管理功能AMF单元,并且所述4G/EPS系统的所述网络单元是移动性管理实体MME单元。
11.根据权利要求9或10所述的方法,其中,所述上下文请求消息还包括计数器作为新鲜度参数,并且所述4G/EPS安全密钥是从所述5G/NGS安全上下文和所述计数器导出的。
12.根据权利要求11所述的方法,其中,所述计数器是非接入层NAS序列号。
13.根据权利要求9至12中任一项所述的方法,其中,所述密钥集标识符源自于所述无线通信设备的跟踪区域更新TAU请求。
14.根据权利要求6至13中任一项所述的方法,其中,所述5G/NGS系统的网络单元被实现为基于云的网络设备。
15.根据权利要求1至5中任一项所述的方法,其中,所述方法由所述无线通信设备执行。
16.根据权利要求15所述的方法,其中,所述无线通信设备向所述网络侧发送包括密钥集标识符在内的跟踪区域更新TAU请求,所述密钥集标识符标识所述5G/NGS安全上下文。
17.一种用于在无线通信设备(5)在包括第一无线通信系统(10)和第二无线通信系统(20)在内的不同无线通信系统之间进行空闲模式移动时进行密钥导出的方法,其中,所述第一无线通信系统(10)是5G/下一代系统“5G/NGS”系统,并且所述第二无线通信系统(20)是4G/演进型分组系统“4G/EPS”系统,所述方法包括:
-获得(S11)包括移动性管理密钥KAMF在内的5G/NGS安全上下文;以及
-将所述5G/NGS安全上下文映射(S12)到4G/EPS安全上下文,包括基于所述移动性管理密钥KAMF导出4G/EPS主密钥KASME。
18.一种装置(100;110;120;400;500),被配置为在无线通信设备(5)在包括第一无线通信系统(10)和第二无线通信系统(20)在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文,
其中,所述第一无线通信系统(10)是5G/NGS系统,并且所述第二无线通信系统(20)是4G/EPS系统,
其中,所述装置被配置为获得5G/NGS安全上下文,并且
其中,所述装置被配置为将所述5G/NGS安全上下文映射到4G/EPS安全上下文。
19.根据权利要求18所述的装置,其中,在空闲模式移动期间,所述5G/NGS系统是源系统,并且所述4G/EPS系统是目标系统。
20.根据权利要求18或19所述的装置,其中,所述5G/NGS安全上下文包括至少一个5G/NGS安全密钥,并且所述装置被配置为基于所述5G/NGS安全密钥导出至少一个4G/EPS安全密钥,其中,所述4G/EPS安全上下文包括所述4G/EPS安全密钥。
21.根据权利要求20所述的装置,其中,所述5G/NGS安全密钥包括在所述5G/NGS系统的核心网络处和所述无线通信设备处可用的主密钥KSEAF,并且所述4G/EPS安全密钥包括主密钥KASME,并且其中,所述装置被配置为直接或间接地基于KSEAF来确定KASME。
22.根据权利要求21所述的装置,其中,所述装置被配置为根据从KSEAF导出的移动性管理密钥KCN的函数来确定KASME,其中,所述移动性管理密钥KCN也被称为KAMF,其中,AMF指代接入和移动性管理功能。
23.根据权利要求18至22中任一项所述的装置,其中,所述装置包括处理器(101;122、123;410)和存储器(102;121;420),所述存储器(102;121;420)包括可由所述处理器(101;122、123;410)执行的指令,从而所述处理器操作以管理空闲模式移动下的安全上下文。
24.一种用于在无线通信设备(5)在包括第一无线通信系统(10)和第二无线通信系统(20)在内的不同无线通信系统之间进行空闲模式移动时进行密钥导出的装置(100;110;120;400;500),其中,所述第一无线通信系统(10)是5G/下一代系统“5G/NGS”系统,并且所述第二无线通信系统(20)是4G/演进型分组系统“4G/EPS”系统,
其中,所述装置被配置为获得包括移动性管理密钥KAMF在内的5G/NGS安全上下文;并且
其中,所述装置被配置为通过基于所述移动性管理密钥KAMF导出4G/EPS主密钥KASME来将所述5G/NGS安全上下文映射到4G/EPS安全上下文。
25.一种网络单元(200),包括根据权利要求18至24中任一项所述的装置。
26.根据权利要求25所述的网络单元,其中,所述网络单元(200)是所述5G/NGS系统的网络单元。
27.根据权利要求26所述的网络单元,其中,所述5G/NGS系统的所述网络单元是被配置用于移动性管理的核心网络单元。
28.根据权利要求26或27所述的网络单元,其中,所述5G/NGS系统的所述网络单元被配置为将所述4G/EPS安全上下文发送给所述4G/EPS系统的网络单元。
29.根据权利要求28所述的网络单元,其中,所述5G/NGS系统的所述网络单元被配置为从所述4G/EPS系统的所述网络单元接收包括密钥集标识符在内的上下文请求消息,所述密钥集标识符标识所述5G安全上下文,从所述5G/NGS安全上下文导出4G/EPS安全密钥,并将包含所导出的4G/EPS安全密钥在内的上下文响应消息发送给所述4G/EPS系统的所述网络单元。
30.根据权利要求28或29所述的网络单元,其中,所述5G/NGS系统的所述网络单元是接入和移动性管理功能AMF单元,并且所述4G/EPS系统的所述网络单元是移动性管理实体MME单元。
31.根据权利要求25至30中任一项所述的网络单元,其中,所述网络单元是基于计算机的网络设备。
32.根据权利要求31所述的网络单元,其中,所述基于计算机的网络设备在网络节点中实现,或者被实现为与所述无线通信系统相关地布置的基于云的网络设备。
33.一种无线通信设备(300),包括根据权利要求18至24中任一项所述的装置。
34.一种计算机程序(425、435),用于在由处理器(410)执行时在无线通信设备(5)在包括第一无线通信系统(10)和第二无线通信系统(20)在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文,其中,所述第一无线通信系统(10)是5G/NGS系统,并且所述第二无线通信系统(20)是4G/EPS系统,并且其中,所述计算机程序包括指令,所述指令在由所述处理器(410)执行时,使所述处理器:
-获得或访问5G/NGS安全上下文;以及
-将所述5G/NGS安全上下文映射到4G/EPS安全上下文。
35.一种计算机程序产品,包括承载根据权利要求34所述的计算机程序(425;435)的计算机可读介质(420;430)。
36.一种用于在无线通信设备(5)在包括第一无线通信系统(10)和第二无线通信系统在内的不同无线通信系统之间进行空闲模式移动时管理安全上下文的装置(500),其中,所述第一无线通信系统(10)是5G/NGS系统,并且所述第二无线通信系统(20)是4G/EPS系统,并且其中,所述装置(500)包括:
-输入模块(510),用于获得5G/NGS安全上下文,和
-映射模块(520),用于将所述5G/NGS安全上下文映射到4G/EPS安全上下文。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762451862P | 2017-01-30 | 2017-01-30 | |
| US62/451,862 | 2017-01-30 | ||
| CN201780085130.1A CN110235466B (zh) | 2017-01-30 | 2017-12-18 | 管理安全上下文的方法和装置 |
| PCT/EP2017/083250 WO2018137853A1 (en) | 2017-01-30 | 2017-12-18 | Management of security contexts at idle mode mobility between different wireless communication systems |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780085130.1A Division CN110235466B (zh) | 2017-01-30 | 2017-12-18 | 管理安全上下文的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114554484A true CN114554484A (zh) | 2022-05-27 |
Family
ID=60990752
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780085130.1A Active CN110235466B (zh) | 2017-01-30 | 2017-12-18 | 管理安全上下文的方法和装置 |
| CN202210189293.7A Pending CN114554484A (zh) | 2017-01-30 | 2017-12-18 | 管理安全上下文的方法和装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780085130.1A Active CN110235466B (zh) | 2017-01-30 | 2017-12-18 | 管理安全上下文的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US11690001B2 (zh) |
| EP (1) | EP3574678B1 (zh) |
| JP (1) | JP6890183B2 (zh) |
| CN (2) | CN110235466B (zh) |
| MX (1) | MX2019008295A (zh) |
| WO (1) | WO2018137853A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11019495B2 (en) * | 2017-03-17 | 2021-05-25 | Nec Corporation | Communication terminal, network device, communication method, and non-transitory computer readable medium |
| CN109699028B (zh) * | 2017-10-23 | 2020-08-25 | 华为技术有限公司 | 一种生成密钥的方法、装置及系统 |
| CN109802809B (zh) * | 2017-11-17 | 2021-02-09 | 华为技术有限公司 | 网络接入的方法、终端设备和网络设备 |
| US11722891B2 (en) * | 2018-04-05 | 2023-08-08 | Nokia Technologies Oy | User authentication in first network using subscriber identity module for second legacy network |
| US10893413B2 (en) | 2018-10-17 | 2021-01-12 | Mediatek Singapore Pte. Ltd. | User equipment key derivation at mobility update in mobile communications |
| US11057766B2 (en) * | 2018-11-01 | 2021-07-06 | Nokia Technologies Oy | Security management in disaggregated base station in communication system |
| US20200322795A1 (en) * | 2019-04-03 | 2020-10-08 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for alignment of common non access stratum (nas) security context |
| US11632695B2 (en) * | 2019-06-11 | 2023-04-18 | Qualcomm Incorporated | Evolved packet system (EPS) mobility configuration from wireless system |
| CN112087297B (zh) * | 2019-06-14 | 2022-05-24 | 华为技术有限公司 | 一种获取安全上下文的方法、系统及设备 |
| CN112911658B (zh) * | 2019-12-04 | 2022-03-29 | 大唐移动通信设备有限公司 | 一种通信方法及装置 |
| US20220174134A1 (en) * | 2020-12-02 | 2022-06-02 | Semiconductor Components Industries, Llc | Abbreviated header communication |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017706A (zh) * | 2008-04-28 | 2011-04-13 | 诺基亚公司 | 在不同无线电访问网络之间的系统间移动性安全上下文处理 |
| US20110092213A1 (en) * | 2008-06-13 | 2011-04-21 | Nokia Corporation | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11166334B2 (en) * | 2016-07-01 | 2021-11-02 | Idac Holdings, Inc. | Methods for supporting session continuity on per-session basis |
| EP3516819B1 (en) * | 2016-09-20 | 2022-12-14 | Nokia Solutions and Networks Oy | Next generation key set identifier |
| CN108347728B (zh) * | 2017-01-23 | 2021-06-08 | 中国移动通信有限公司研究院 | 一种信息处理方法及装置 |
-
2017
- 2017-12-18 US US16/481,242 patent/US11690001B2/en active Active
- 2017-12-18 CN CN201780085130.1A patent/CN110235466B/zh active Active
- 2017-12-18 JP JP2019541164A patent/JP6890183B2/ja active Active
- 2017-12-18 WO PCT/EP2017/083250 patent/WO2018137853A1/en unknown
- 2017-12-18 EP EP17829624.0A patent/EP3574678B1/en active Active
- 2017-12-18 MX MX2019008295A patent/MX2019008295A/es unknown
- 2017-12-18 CN CN202210189293.7A patent/CN114554484A/zh active Pending
-
2023
- 2023-02-14 US US18/109,516 patent/US11849389B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017706A (zh) * | 2008-04-28 | 2011-04-13 | 诺基亚公司 | 在不同无线电访问网络之间的系统间移动性安全上下文处理 |
| US20110092213A1 (en) * | 2008-06-13 | 2011-04-21 | Nokia Corporation | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
Non-Patent Citations (2)
| Title |
|---|
| INTEL: ""23.502: Way forward for NGC-EPC interworking"", 《3GPP TSG SA WG2 MEETING #118BIS S2-170333》, pages 1 - 3 * |
| QUALCOMM INCORPORATED: ""23.501: modified registration procedure for security"", 《SA WG2 MEETING #118BIS S2-170184 》, pages 1 - 10 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230189134A1 (en) | 2023-06-15 |
| JP6890183B2 (ja) | 2021-06-18 |
| MX2019008295A (es) | 2019-09-04 |
| US11849389B2 (en) | 2023-12-19 |
| US11690001B2 (en) | 2023-06-27 |
| JP2020509648A (ja) | 2020-03-26 |
| CN110235466A (zh) | 2019-09-13 |
| US20190380068A1 (en) | 2019-12-12 |
| EP3574678A1 (en) | 2019-12-04 |
| CN110235466B (zh) | 2022-03-18 |
| WO2018137853A1 (en) | 2018-08-02 |
| EP3574678B1 (en) | 2021-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110235466B (zh) | 管理安全上下文的方法和装置 | |
| US11963000B2 (en) | Methods, apparatuses, computer programs and carriers for security management before handover from 5G to 4G system | |
| EP3520454B1 (en) | Security anchor function in 5g systems | |
| JP6759232B2 (ja) | 完全前方秘匿性を有する認証および鍵共有 | |
| US11751160B2 (en) | Method and apparatus for mobility registration | |
| KR102354254B1 (ko) | 상이한 무선 통신 시스템들 사이의 상호연동 및/또는 이동성의 지원 | |
| EP4335072A1 (en) | Application-specific gpsi retrieval |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |