CN115702579A - 具有安全上下文的网络功能重新分配 - Google Patents
具有安全上下文的网络功能重新分配 Download PDFInfo
- Publication number
- CN115702579A CN115702579A CN202180044507.5A CN202180044507A CN115702579A CN 115702579 A CN115702579 A CN 115702579A CN 202180044507 A CN202180044507 A CN 202180044507A CN 115702579 A CN115702579 A CN 115702579A
- Authority
- CN
- China
- Prior art keywords
- nas
- network function
- network
- security
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于具有安全上下文的网络功能重新分配的装置、方法和系统。一种装置(700)包括处理器(705)和收发器(725)。处理器(705)被配置成在移动无线通信网络的第一网络功能处检测第一网络功能不能服务于来自用户设备(“UE”)装置的所请求的网络切片。收发器(725)被配置成经由第二网络功能从第一网络功能向移动无线通信网络的第三网络功能发送重新路由消息。该重新路由消息包括在NAS安全模式命令(“SMC”)过程期间通过UE装置检索到的初始非接入层(“NAS”)消息和安全配置。第三网络功能使用初始NAS消息和安全配置以确定用于UE装置的安全上下文并服务于来自UE装置的所请求的网络切片。
Description
相关申请的交叉引用
本申请要求Andreas Kunz等人于2020年6月26日提交的标题为“AMFREALLOCATION WITH SECURITY CONTEXT RECREATION(具有安全上下文重建的AMF重新分配)”的美国临时专利申请号63/044,891的优先权,该申请通过引用并入本文。
技术领域
本文公开的主题一般涉及无线通信,并且更具体地涉及具有安全上下文的网络功能重新分配。
背景技术
在某些无线通信系统中,用户设备装置(“UE”)能够与公共陆地移动网络(“PLMN”)中的第五代(“5G”)核心网络(即,“5GC”)相连接。在无线网络中,当初始AMF由于UE的切片订阅信息和切片相关服务要求而无法服务于UE时,5G系统支持利用AMF重新分配的注册过程。
发明内容
公开了具有安全上下文的网络功能重新分配的过程。所述过程可以由装置、系统、方法和/或计算机程序产品来实现。
移动通信网络中的网络功能(例如,源AMF)的一种方法包括,在移动无线通信网络的第一网络功能处检测第一网络功能不能服务于来自用户设备(“UE”)装置的所请求的网络切片。在进一步的实施例中,该方法包括经由第二网络功能从第一网络功能向移动无线通信网络的第三网络功能发送重新路由消息。该重新路由消息包括在非接入层(“NAS”)安全模式命令(“SMC”)过程中通过UE装置检索到的初始NAS消息和安全配置。该第三网络功能使用初始NAS消息和安全配置以确定用于UE装置的安全上下文并且服务于来自于UE装置的所请求的网络切片。
网络功能(例如,目标AMF)的另一方法包括在移动无线通信网络的第一网络功能处接收来自第二网络功能的初始非接入层(“NAS”)消息。该初始NAS消息包括标识符,该标识符指示移动无线通信网络支持针对隔离的切片的接入和移动性管理功能("AMF")变化特征。在某些实施例中,该方法包括基于来自第二网络功能的初始NAS消息来确定用于用户设备装置(“UE”)的安全上下文。
网络功能(例如,AUSF)的进一步方法包括在第一网络功能处接收来自第二网络功能的用于用户设备(“UE”)装置的认证请求。该认证请求包括公共远程单元标识符。在某些实施例中,该方法包括在第一网络功能处基于公共远程单元标识符验证先前确定的认证结果。在一些实施例中,该方法包括在没有执行对UE装置的主认证的情况下在第一网络功能处确定第一安全密钥KSEAF。在一个实施例中,该方法包括在第一网络功能处基于公共远程单元标识符选择私有远程单元标识符。在进一步的实施例中,该方法包括响应于认证请求从第一网络功能向第二网络功能发送包括认证结果、私有远程单元标识符和第一安全密钥KSEAF的消息。
用户设备装置(“UE”)的一种方法包括在注册对话内接收来自第一网络功能的第一非接入层(“NAS”)安全模式命令(“SMC”)请求消息。第一NAS SMC请求消息包括第一标识符,该第一标识符指示在移动无线通信网络中支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征。在进一步的实施例中,该方法包括在注册对话内接收来自第二网络功能的第二NAS SMC请求消息。第二NAS SMC请求消息包括第二标识符,该第二标识符指示在移动无线通信中支持针对隔离的切片的AMF变化特征。在某些实施例中,第四方法包括基于AMF密钥KAMF、新NAS密钥和安全密钥KSEAF创建类似于在第一网络功能处使用的安全上下文的新的安全上下文。
附图说明
将通过参考在附图中示出的特定实施例来呈现对以上简要描述的实施例的更具体的描述。理解这些附图仅描绘了一些实施例并且因此不应被认为是对范围的限制,将通过使用附图以附加的特征和细节来描述和解释实施例,在附图中:
图1是图示用于具有安全上下文的网络功能重新分配的无线通信系统的一个实施例的示意性框图;
图2A是图示用于针对重新路由的先决条件的过程的一个实施例的信号流示意图;
图2B是图2A的延续并且描绘图示从源AMF重用安全上下文的选项的信号流示意图;
图2C是图2A的延续并且描绘图示从源AMF重用安全上下文的选项的信号流示意图;
图3是图示在具有新的安全上下文的目标AMF处的移动性注册的信号流示意图;
图4是图示可以被用于具有安全上下文的网络功能重新分配的用户设备装置的一个实施例的框图;
图5是图示可以被用于具有安全上下文的网络功能重新分配的的网络装置的一个实施例的框图;
图6是图示用于具有安全上下文的网络功能重新分配的方法的一个实施例的流程图;
图7是图示用于具有安全上下文的网络功能重新分配的方法的另一实施例的流程图;
图8是图示用于具有安全上下文的网络功能重新分配的方法的另一实施例的流程图;以及
图9是图示用于具有安全上下文的网络功能重新分配的方法的另一实施例的流程图。
具体实施方式
如本领域技术人员将理解的,实施例的各方面可以被体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或组合软件和硬件各方面的实施例的形式。
例如,所公开的实施例可以被实现为硬件电路,其包括定制的超大规模集成(“VLSI”)电路或门阵列、现成的半导体,诸如逻辑芯片、晶体管或其他分立的组件。所公开的实施例也可以被实现在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等的可编程硬件设备中。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理块或逻辑块,其可以例如被组织为对象、过程或函数。
此外,实施例可以采取体现在一个或多个计算机可读存储设备中的程序产品的形式,该一个或多个计算机可读存储设备存储机器可读代码、计算机可读代码和/或程序代码,以下称为代码。存储设备可以是有形的、非暂时的和/或非传输的。存储设备可以不体现信号。在某个实施例中,存储设备仅采用用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如,但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
存储设备的更具体示例(非详尽列表)将包括以下各项:具有一条或多条电线的电气连接、便携式计算机软盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式致密盘只读存储器(“CD-ROM”)、光存储设备、磁存储设备、或前述的任何适当的组合。在本文档的上下文中,计算机可读存储介质可以是能够包含或存储用于由指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的程序的任何有形介质。
用于执行实施例的操作的代码可以是任意数量的行,并且可以用包括诸如Python、Ruby、Java、Smalltalk、C++等面向对象的编程语言、和诸如“C”编程语言等传统过程编程语言、和/或诸如汇编语言的机器语言中的一种或多种编程语言的任意组合来编写。代码可以完全在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上并且部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种场景下,远程计算机可以通过包括局域网(“LAN”)、无线LAN(“WLAN”)或广域网(“WAN”)的任何类型的网络连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商(“ISP”)的互联网)。
此外,实施例的所述特征、结构或特性可以以任何适当的方式组合。在以下描述中,提供了许多具体细节,诸如编程的示例、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有这些具体细节中的一个或多个的情况下或者利用其他方法、组件、材料等来实践。在其他实例中,未详细示出或描述众所周知的结构、材料或操作以避免模糊实施例的各方面。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确说明,否则贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不一定都指代相同的实施例,而是意指“一个或多个但不是所有实施例”。除非另有明确说明,否则术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”。除非另有明确说明,否则所列举的项的列表并不暗示任何或所有项是相互排斥的。除非另有明确说明,否则术语“一”、“一个”和“该”也指“一个或多个”。
如本文中所使用的,具有“和/或”连词的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“……中的一个或多个”的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“……中的一个”的列表包括列表中的任何单个项中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且不包括A、B和C的组合。如本文中所使用的,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个,并且不包括A、B和C的组合。如本文中所使用的,“选自由A、B和C组成的组的成员及其组合”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
以下参考根据实施例的方法、装置、系统和程序产品的示意流程图和/或示意框图来描述实施例的各方面。将理解,示意流程图和/或示意框图中的各个框以及示意流程图和/或示意框图中的框的组合都能够通过代码实现。该代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生一种机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图中指定的功能/动作的装置。
代码还可以被存储在存储设备中,该存储设备能够引导计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括实现流程图和/或框图中指定的功能/动作的指令的制品。
代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行,从而产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的过程。
附图中的流程图和/或框图图示了根据各种实施例的装置、系统、方法和程序产品的可能实施方式的架构、功能性和操作。在这点上,流程图和/或框图中的每个框可以表示模块、段或代码的一部分,其包括用于实现指定逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实施方式中,框中标注的功能可以不按图中标注的顺序出现。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能性。可以设想到在功能、逻辑或效果上与示出的图中的一个或多个框或其部分等效的其他步骤和方法。
尽管在流程图和/或框图中可以采用各种箭头类型和线类型,但它们被理解为不限制对应实施例的范围。实际上,一些箭头或其他连接器可以被用于仅指示描绘的实施例的逻辑流程。例如,箭头可以指示描绘的实施例的列举步骤之间的未指定持续时间的等待或监视时段。还将注意,框图和/或流程图的每个框以及框图和/或流程图中的框的组合能够由执行指定功能或动作的基于专用硬件的系统或专用硬件与代码的组合实现。
每个图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的标号指代相同的元件,包括相同元件的替代实施例。
通常,本公开描述了用于具有安全上下文的网络功能重新分配的系统、方法和装置。在某些实施例中,可以使用嵌入在计算机可读介质上的计算机代码来执行该方法。在某些实施例中,装置或系统可以包括包含计算机可读代码的计算机可读介质,当由处理器执行时,该计算机可读代码使该装置或系统执行下文所述的解决方案的至少一部分。
当初始AMF由于UE的切片订阅信息和切片相关服务要求而无法服务于用户设备(“UE”)时,诸如5G系统的无线通信网络系统可以支持具有接入和移动性管理功能(“AMF”)重新分配的注册过程。在具有严格的切片隔离的部署的情况下,基于切片订阅在初始AMF和目标AMF重新分配之间可能不支持N14接口。在没有N14接口的情况下,目标AMF将无法从初始AMF取来NAS安全上下文以处置UE的注册请求,如以下场景所示出:
场景1-在初始注册期间,目标AMF不能处置接收到的重新路由的非接入层(“NAS”)消息(例如,初始UE消息),因为重新路由的NAS消息不包含任何NAS安全上下文(因为它是经由无线电接入网络(“RAN”)路由的),并且由于缺乏到源AMF的连接性,目标AMF也将无法接入UE的安全上下文或订阅简档。
场景2-一旦UE被注册并且已经与初始AMF/源AMF建立了安全性,在UE移动到不同区域时,UE向目标AMF发送类型为“移动性注册更新”的注册请求,其中目标AMF在没有N14接口的情况下不能从源AMF取来UE安全上下文(例如,NAS安全上下文)并且不能处置接收到的注册请求消息,其被完整性和机密性地保护。
这里描述的对以上问题的解决方案是在目标AMF处重新创建在源AMF处已经建立的相同的安全上下文。要建立AMF和UE以及UE和gNB之间的安全关联的安全命令消息由两个不同的AMF触发。此外,AUSF在重新路由或移动性注册的情况下提供认证状态,使得避免新的完全认证运行。
图1描绘了根据本公开的实施例的用于具有安全上下文的网络功能重新分配的无线通信系统100。在一个实施例中,无线通信系统100包括至少一个远程单元105、第五代无线电接入网络(“5G-RAN”)115和移动核心网络140。5G-RAN 115和移动核心网络140形成移动通信网络。5G-RAN 115可以由包含至少一个蜂窝基站单元121的3GPP接入网络120和/或包含至少一个接入点131的非3GPP接入网络130组成。远程单元105使用3GPP通信链路123与3GPP接入网络120通信并且/或者使用非3GPP通信链路133与非3GPP接入网络130通信。即使在图1中描绘了特定数量的远程单元105、3GPP接入网络120、蜂窝基站单元121、3GPP通信链路123、非3GPP接入网络130、接入点131、非3GPP通信链路133和移动核心网络140,本领域的技术人员也将认识到任意数量的远程单元105、3GPP接入网络120、蜂窝基站单元121、3GPP通信链路123、非3GPP接入网络130、接入点131、非3GPP通信链路133和移动核心网络140可以被包括在无线通信系统100中。
在一个实现方式中,RAN 120符合第三代合作伙伴计划(“3GPP”)规范中指定的5G系统。例如,RAN 120可以是NG-RAN,实现NR RAT和/或LTE RAT。在另一示例中,RAN 120可以包括非3GPP RAT(例如,Wi-或电气和电子工程师协会(“IEEE”)802.11-家族兼容WLAN)。在另一实施方式中,RAN 120符合3GPP规范中指定的LTE系统。然而,更一般地,无线通信系统100可以实现一些其它开放或专有通信网络,例如全球微波互联接入(“WiMAX”)或IEEE 802.16家族标准以及其它网络。本公开不旨在限于任何特定无线通信系统架构或协议的实现方式。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备、或本领域中使用的其他术语。在各种实施例中,远程单元105包括订户标识和/或识别模块(“SIM”)以及提供移动终止功能的移动设备(“ME”)(例如,无线电传输、切换、语音编码和解码、错误检测和校正、到SIM的信令和接入)。在某些实施例中,远程单元105可以包括终端设备(“TE”)并且/或者被嵌入在电器或设备(例如,计算设备,如上所述)中。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中,远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以被称为UE、订户单元、移动设备、移动站、用户、终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备、或本领域中使用的其他术语。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号与3GPP接入网络120中的一个或多个蜂窝基站单元121直接通信。此外,UL和DL通信信号可以在3GPP通信链路123上承载。类似地,远程单元105可以经由在非3GPP通信链路133上承载的UL和DL通信信号与非3GPP接入网络130中的一个或多个接入点131通信。这里,接入网络120和130是向远程单元105提供对移动核心网络140的接入的中间网络。
在一些实施例中,远程单元105经由与移动核心网络140的网络连接与远程主机(例如,在数据网络150中或在数据网络160中)通信。例如,远程单元105中的应用107(例如,web浏览器、媒体客户端、电话/互联网语音协议(“VoIP”)应用)可以触发远程单元105以经由5G-RAN 115(即,经由3GPP接入网络120和/或非3GPP接入网络130)与移动核心网络140建立协议数据单元(“PDU”)会话(或其它数据连接)。移动核心网络140然后使用PDU会话在远程单元105与远程主机之间中继业务。PDU会话表示远程单元105和用户平面功能(“UPF”)141之间的逻辑连接。
为了建立PDU会话(或PDN连接),远程单元105必须向移动核心网140注册(在第四代(“4G”)系统的上下文中也称为“附接到移动核心网络”)。注意,远程单元105可以与移动核心网络140建立一个或多个PDU会话(或其它数据连接)。照这样,远程单元105可以具有用于与分组数据网络150通信的至少一个PDU会话。附加地-或可替选地-远程单元105可以具有用于与分组数据网络160通信的至少一个PDU会话。远程单元105可以建立用于与其他数据网络和/或其他通信对等体通信的附加PDU会话。
在5G系统(“5GS”)的上下文中,术语“PDU会话”指的是通过UPF 131提供远程单元105和特定数据网络(“DN”)之间的端到端(“E2E”)用户平面(“UP”)连接性的数据连接。PDU会话支持一个或多个服务质量(“QoS”)流。在某些实施例中,可以存在QoS流和QoS简档之间的一对一映射,使得属于特定QoS流的所有分组具有相同的5G QoS标识符(“5QI”)。
在4G/LTE系统的上下文中,诸如演进型分组系统(“EPS”)、分组数据网络(“PDN”)连接(也称为EPS会话)提供远程单元和PDN之间的E2E UP连接性。PDN连接性过程建立EPS承载,即,远程单元105和移动核心网络130中的分组网关(“PGW”,未示出)之间的隧道。在某些实施例中,在EPS承载和QoS简档之间存在一对一映射,使得属于特定EPS承载的所有分组具有相同的QoS类标识符(“QCI”)。
如下面更详细描述的,远程单元105可以使用与第一移动核心网络130建立的第一数据连接(例如,PDU会话)以与第二移动核心网络140建立第二数据连接(例如,第二PDU会话的一部分)。当与第二移动核心网络140建立数据连接(例如,PDU会话)时,远程单元105使用第一数据连接以向第二移动核心网络140注册。
蜂窝基站单元121可以在地理区域上分布。在某些实施例中,蜂窝基站单元121也可以被称为接入终端、基地、基站、节点B(“NB”)、演进型节点B(缩写为eNodeB或“eNB”,也称为演进型通用地面无线电接入网络(“E-UTRAN”)节点B)、5G/NR节点B(“gNB”)、家庭节点B、家庭节点B、中继节点、设备或本领域中使用的任何其它术语。蜂窝基站单元121通常是诸如3GPP接入网络120的无线电接入网络(“RAN”)的一部分,其可以包括可通信地耦合到一个或多个对应的蜂窝基站单元121的一个或多个控制器。无线电接入网络的这些和其它元件未被图示,但一般由本领域普通技术人员公知。蜂窝基站单元121经由3GPP接入网络120连接到移动核心网络140。
蜂窝基站单元121可以经由3GPP无线通信链路123服务于例如小区或小区扇区的服务区域内的多个远程单元105。蜂窝基站单元121可以经由通信信号与一个或多个远程单元105直接通信。通常,蜂窝基站单元121传送DL通信信号以在时域、频域和/或空间域中服务于远程单元105。此外,DL通信信号可以在3GPP通信链路123上承载。3GPP通信链路123可以是授权或非授权无线电频谱中的任何合适的载波。3GPP通信链路123促进在一个或多个远程单元105和/或一个或多个蜂窝基站单元121之间的通信。注意,在非授权的频谱(称为“NR-U”)上的NR操作期间,基站单元121和远程单元105在非授权的(即,共享的)无线电频谱上通信。
非3GPP接入网络130可以在地理区域上分布。每个非3GPP接入网络130可以服务于具有服务区域的多个远程单元105。非3GPP接入网络130中的接入点131可以通过接收UL通信信号和传送DL通信信号以在时域、频域和/或空间域中服务于远程单元105来直接与一个或多个远程单元105通信。DL和UL通信信号两者都在非3GPP通信链路133上承载。3GPP通信链路123和非3GPP通信链路133可以采用不同的频率和/或不同的通信协议。在各种实施例中,接入点131可以使用非授权无线电频谱进行通信。移动核心网络140可以经由非3GPP接入网络130向远程单元105提供服务,如本文更详细描述的。
在一些实施例中,非3GPP接入网络130经由互通实体135连接到移动核心网络140。互通实体135提供在非3GPP接入网络130与移动核心网络140之间的互通。互通实体135支持经由“N2”和“N3”接口的连接性。如所描绘的,3GPP接入网络120和互通实体135两者都使用“N2”接口与AMF 143通信。3GPP接入网络120和互通实体135还使用“N3”接口与UPF 141通信。虽然被描绘为在移动核心网140之外,但在其它实施例中互通实体135可以是核心网络的一部分。虽然被描绘为在非3GPP RAN 130之外,但在其它实施例中互通实体135可以是非3GPP RAN 130的一部分。
在某些实施例中,非3GPP接入网络130可以由移动核心网络140的运营商控制并且可以能够直接接入移动核心网络140。这种非3GPP AN部署被称为“可信非3GPP接入网络”。非3GPP接入网络130在它由3GPP运营商或可信合作伙伴操作时被认为是“可信的”,并且支持某些安全特征,诸如强空中接口加密。相比之下,不受移动核心网络140的运营商(或可信合作伙伴)控制、无法直接接入移动核心网络140或不支持某些安全特征的非3GPP AN部署被称为“不可信”非3GPP接入网络。部署在可信非3GPP接入网络130中的互通实体135在本文中可以被称为可信网络网关功能(“TNGF”)。部署在不可信非3GPP接入网络130中的互通实体135在本文中可以被称为非3GPP互通功能(“N3IWF”)。虽然被描绘为非3GPP接入网络130的一部分,但是在一些实施例中N3IWF可以是移动核心网络140的一部分或者可以位于数据网络150中。
在一个实施例中,移动核心网络140是5G核心(“5GC”)或演进型分组核心(“EPC”),其可以被耦合到数据网络150,如互联网和私有数据网络,以及其他数据网络。远程单元105可以具有关于移动核心网络140的订阅或其他账户。每个移动核心网络140属于单个公共陆地移动网络(“PLMN”)。本公开不旨在限于任何特定无线通信系统架构或协议的实现方式。
移动核心网络140包括若干网络功能(“NF”)。如所描绘的,移动核心网络140包括至少一个UPF(“UPF”)141。移动核心网络140还包括多个控制平面功能,包括但不限于服务于5G-RAN 115的接入和移动性管理功能(“AMF”)143、会话管理功能(“SMF”)145、策略控制功能(“PCF”)146、认证服务器功能(“AUSF”)147、统一数据管理(“UDM”)和统一数据存储库功能(“UDR”)。
UPF 141在5G架构中负责分组路由和转发、分组检查、QoS处置以及用于互连数据网络(“DN”)的外部PDU会话。AMF 143负责NAS信令的终止、NAS密码和完整性保护、注册管理、连接管理、移动性管理、接入认证和授权、安全上下文管理。该SMF 145负责会话管理(即,会话建立、修改、释放)、远程单元(即,UE)IP地址分配和管理、DL数据通知、以及用于UPF进行适当业务路由的业务导向配置。
PCF 146负责统一策略框架,向CP功能提供策略规则,访问UDR中用于策略决策的订阅信息。该AUSF 147充当认证服务器。
UDM负责认证和密钥协议(“AKA”)凭证的生成、用户识别处置、接入授权、订阅管理。UDR是订户信息的存储库并且能够被用于服务于许多网络功能。例如,UDR可以存储订阅数据、策略相关数据、被允许暴露给第三方应用的订户相关数据等等。在一些实施例中,UDM与UDR准共置,描绘为组合实体“UDM/UDR”149。
在各种实施例中,移动核心网络140还可以包括网络暴露功能(“NEF”)(其负责使网络数据和资源易于被客户和网络伙伴访问,例如,经由一个或多个API)、网络存储库(“NRF”)(其提供NF服务注册和发现,使NF能够在彼此中识别适当的服务并且通过应用程序编程接口(“API”)彼此通信)或为5GC定义的其他NF。在某些实施例中,移动核心网络140可以包括认证、授权和记费(“AAA”)服务器。
在各种实施例中,移动核心网络140支持不同类型的移动数据连接和不同类型的网络切片,其中,每个移动数据连接利用特定网络切片。这里,“网络切片”指的是移动核心网络140的针对特定业务类型或通信服务优化的部分。网络实例可由S-NSSAI识别,而远程单元105被授权使用的网络切片的集合由NSSAI识别。在某些实施例中,各种网络切片可以包括网络功能的单独实例,诸如SMF和UPF 141。在一些实施例中,不同的网络切片可以共享一些共同的网络功能,诸如AMF 143。为了便于说明,在图1中未示出不同的网络切片,但假定它们的支持。
尽管在图1中描绘了特定数量和类型的网络功能,但是本领域的技术人员将认识到任何数量和类型的网络功能可以被包括在移动核心网络140中。此外,在移动核心网络140包括EPC的情况下,所描绘的网络功能可以用诸如MME、S-GW、P-GW、HSS等的适当的EPC实体代替。
虽然图1描绘了5G RAN和5G核心网络的组件,但是所描述的用于使用假名用于通过非3GPP接入的接入认证的实施例应用于其他类型的通信网络和RAT,包括IEEE 802.11变体、GSM、GPRS、UMTS、LTE变体、CDMA 2000、蓝牙、ZigBee、Sigfoxx等。例如,在涉及EPC的4G/LTE变体中,AMF 143可以被映射到MME,SMF映射到PGW的控制平面部分和/或映射到MME,UPF141可以被映射到SGW和PGW的用户平面部分,UDM/UDR 149可以被映射到HSS等。
如所描绘的,远程单元105(例如,UE)可以经由两种类型的接入连接到移动核心网络(例如,连接到5G移动通信网络):(1)经由3GPP接入网络120和(2)经由非3GPP接入网络130。第一类型的接入(例如,3GPP接入网络120)使用3GPP定义的类型的无线通信(例如,NG-RAN),并且第二类型的接入(例如,非3GPP接入网络130)使用非3GPP定义的类型的无线通信(例如,WLAN)。5G-RAN 115指的是能够提供对移动核心网络140的接入的任何类型的5G接入网络,包括3GPP接入网络120和非3GPP接入网络130。
作为背景,关于当初始AMF不能服务于UE时具有AMF重新分配的常规注册,从UE接收到的NAS消息直接通过AMF到AMF接口,例如,N14或者经由RAN被重新路由到另一目标AMF。然而,在常规系统中,经由RAN的重新路由可能仅在初始注册期间是可能的。一旦UE已经向网络注册并建立了安全性,直接重新路由仅在之后才是可能的。原因是当前的安全机制在很大程度上依赖于AMF能够直接通信的假定。
对此假定的依赖性达到一旦安全已经被建立安全规范就禁止UE从核心接受未受保护的消息的程度。因此,当已注册的UE正在从一个区域移动到另一个区域时,假定目标AMF总是能够从用于服务于UE的旧AMF检索安全上下文。如果经由RAN的重新路由发生,并且目标AMF无法检索UE安全上下文,则目标AMF无法触发新的认证过程以便建立新的安全上下文。实际上,目标AMF首先将不能与UE通信,因为所有未受保护的下行链路消息将被UE解散。
支持用于已注册的UE的间接重新路由过程的需要已经变得明显。其目的是在核心网络上启用具有更严格切片隔离要求的部署场景,例如在AMF无法相互通信的情况下。
因此,对于需要严格切片隔离的部署,N14接口可能不被支持并且因此直接重新路由,并且UE NAS安全上下文的检索是不可能的。在RAN重新路由以支持切片隔离的情况下,仅NAS消息被重新路由,并且考虑到NAS安全上下文的安全,UE NAS安全上下文不能经由RAN从初始AMF重新路由到目标AMF。
关于初始NAS消息的保护,初始NAS消息是UE从空闲状态转变后发送的第一个NAS消息。UE将发送有限的信息元素(“IE”)的集合(称为明文IE),包括当其没有NAS安全上下文时在初始消息中建立安全所需的那些。当UE具有NAS安全上下文时,UE将发送消息,该消息具有在NAS容器中加密的完整的初始NAS消息以及具有被保护的整个消息完整性的明文IE。完整的初始消息在后一种情况下当需要时(例如,AMF不能找到使用的安全上下文)并且在前一种情况下总是被包括在NAS容器中的NAS安全模式完整消息中。然而,明文IE包括例如订阅标识符(例如,订阅隐藏标识符(“SUCI”)或全球唯一临时标识符(“GUTI”))、UE安全能力、ngKSI、UE正在从演进型分组核心(“EPC”)移动的指示、附加的GUTI和在来自于长期演进(“LTE”)的空闲移动性的情况下包含跟踪区域更新(“TAU”)请求的IE。
因此,考虑到上述特征,除非目标AMF能够访问UE安全上下文,否则目标AMF在所描述的任意情况下都不能处置注册请求。在没有N14接口的情况下,不存在针对UE NAS安全上下文传递到目标AMF以支持场景(i)在注册期间的AMF重新分配和(ii)注册移动性更新的解决方案。
为了解决目标AMF无法从初始AMF中取来NAS安全上下文以处置UE的注册请求的问题,如上所述,本公开提出了在目标AMF处重新创建在源AMF处已经建立的、相同的安全上下文的解决方案。
有益的是,所要求的解决方案利用安全命令消息来建立AMF和UE以及UE和gNB之间的安全关联,这些都是由两个不同的AMF触发的。此外,AUSF在重新路由或移动性注册的事件下提供认证状态,使得避免新的完全认证运行。
图2A描绘了用于具有安全上下文重新创建的AMF重新分配的解决方案的一个实施例的信号流示意图200。在此实施例中,KSEAF保持在AUSF以及来自源AMF处的UE的认证状态。
在步骤1和步骤2a处,UE 201向源AMF 205发送初始注册NAS消息(参见消息传递213)。源AMF 205可以触发标识请求过程(参见框215)以请求用于UE 201的SUCI。
在步骤2b处,AUSF 211根据正常过程通过UE 201执行(参见框217)的认证和密钥协议。在NAS安全模式命令(“SMC”)中引入了新的指示,以向UE 201指示在网络中对特征“对隔离切片的AMF变化”的支持,并且UE 201可以直接在来自源AMF 205的一个之后受到与附加的NAS SMC的挑战。
作为步骤3,如果AMF重定位特征在网络中被支持,则AUSF 211存储(参见框218)认证结果、SUPI/SUCI、以及密钥KSEAF和/或KAUSF。SUCI被用于识别KSEAF,并且从而导致下面描述的在目标AMF 207中重新创建相同的或新的安全上下文。在步骤4处,进一步的可选步骤(参见框219)可以根据TS 23.502被执行。
在目标AMF 207中通过重用或通过新的安全上下文可以考虑两个选项。在第一选项的一个实施例中,如图2B所示,源AMF 205从UE 201向目标AMF 207发送受保护的初始NAS消息。
在步骤5a-5b处,源AMF 205检测到其不能服务于来自UE 201的所请求的切片(例如,网络切片选择辅助信息(“NSSAI”))并且用于直接AMF通信的N14不可用。源AMF 205经由NG-RAN 203向目标AMF 207发送(参见消息传递221和223)用当前NAS安全上下文保护的初始NAS消息(例如,其可以是在NAS SMC期间检索的完整初始NAS消息,如上图1中所示,步骤2b)并且包括无保护的SUCI和安全配置,例如,没有密钥的源AMF 205中的安全上下文,例如,算法类型区分器和用于NAS加密和完整性密钥的算法标识以及用于密钥KgNB的当前上行链路NAS计数。安全配置可以包括keyAmfHDerivationInd参数,其指示在目标AMF 307处的密钥推导的“方式”,例如,H=水平并且还可以存在V=垂直可能性。
诸如先前信息元素的长度或接入类型区分器的其它参数可以在目标AMF 207处被发送或者简单地确定。这样,目标AMF 207能够在从AUSF 211检索KSEAF之后导出相同的密钥。在这种情况下,以后不需要NAS SMC。
在步骤6a处,目标AMF 207(和/或安全锚定功能(“SEAF”))基于SUCI为提供给源AMF 205的相同密钥KSEAF联系(参见消息传送225)AUSF 211,因为对KSEAF推导的输入没有改变。该消息可以是Nausf_UEAuthentication_Authenticate请求消息或新的密钥请求消息,因为目标AMF 207意识到由于隔离的切片而正在进行的AMF重定位,例如,目标AMF 207能够区分请求是否来自源AMF 205或者直接来自UE 201。
在步骤6b处,AUSF 211基于先前存储的认证结果验证(参见框227)是否需要新的认证过程或者是否能够再次重复使用相同的KSEAF。如果AUSF 211只存储KAUSF,则可以考虑再次导出KSEAF,否则它会取来存储的KSEAF。
在步骤6c处,AUSF 211向目标AMF 207提供(参见消息传递229)订阅永久标识符(“SUPI”)和KSEAF。该消息可以是Nausf_UEAuthentication_Authenticate响应消息并且可以另外包括存储的(例如,成功的)认证结果,或者返回参数的新消息。
在步骤7处,目标AMF 207使用安全配置(例如,算法类型区分器和用于NAS加密和完整性密钥的算法标识,以及用于KgNB的当前上行链路NAS计数等)导出(参见框231)KAMF和NAS密钥以导出与源AMF 205中完全相同的安全上下文。目标AMF 207现在可以解密并验证初始NAS消息。安全配置可以包括keyAmfHDerivationInd参数,其指示在目标AMF 307处的密钥推导的“方式”,例如,H=水平并且还可以存在V=垂直可能性。
在步骤8处,目标AMF 207通过向gNB供应gNB密钥KgNB和UL NAS计数来初始化(参见框233)接入层(“AS”)SMC。AS SMC现在由与以前的NAS SMC不同的AMF发送。
在步骤9处,可以执行根据TS23.502的可选步骤(参见框235)。在步骤10处,之后目标AMF 207向UE 201发送(参见消息传递237)NAS注册接受消息,可以用在目标AMF 207中导出的NAS密钥来保护该消息。
在第二选项的一个实施例中,如图2C所示,新的安全上下文被导出作为目标AMF207。
在步骤5a–5b处,源AMF 205检测它不能服务于来自UE 201的所请求的切片(NSSAI)并且用于直接AMF通信的N14不可用。源AMF 205经由NG-RAN 203向目标AMF 207发送(参见消息传递241和243)具有SUCI和上行链路NAS COUNT的无保护的初始NAS消息(其可以是在NAS SMC期间检索的完整初始NAS消息,如上图1中所示,步骤2b)。
在步骤6a处,目标AMF 207(和/或SEAF)为了相同的密钥KSEAF联系(参见消息传递245)AUSF 211,因为对KSEAF推导的输入没有改变。该消息可以是Nausf_UEAuthentication_Authenticate请求消息或新的密钥请求消息,因为目标AMF 207意识到由于隔离的切片而正在进行的AMF重定位,例如,AMF能够区分该请求是否来自源AMF 205或直接来自于UE201。
在步骤6b处,AUSF 211基于先前存储的认证结果验证(参见框247)是否需要新的认证过程或者是否能够再次重复使用相同的密钥KSEAF。如果仅存储密钥KAUSF,AUSF 211可以考虑再次从密钥KAUSF导出密钥KSEAF,否则其取来存储的密钥KSEAF。
在步骤6c处,AUSF 211向目标AMF 207提供(参见消息传递249)SUPI和密钥KSEAF。该消息可以是Nausf_UEAuthentication_Authenticate响应消息并且另外可以包括存储的(例如,成功的)认证结果,或者返回参数的新消息。
在步骤7处,目标AMF 207导出(参见框251)新密钥KAMF和新NAS密钥并为UE 201创建新的安全上下文。
在步骤8处,目标AMF 207通过UE 201执行崭新的NAS SMC(参见框253)。UE 201知道同一注册对话内的另一NAS SMC能够由于来自源AMF 205的NAS SMC中的新指示而发生。然后,目标AMF 207通过UE 201向用于AS SMC的gNB提供UL NAS COUNT和密钥KgNB。
在步骤9处,可以执行根据TS23.502的可选步骤(参见框255)。在步骤10处,之后目标AMF 207向UE 201发送NAS注册接受消息(参见消息传递257),该消息用在目标AMF 207中导出的新NAS密钥保护。
在进一步的实施例中,如图3中所描绘的,描述了在具有新的安全上下文的新目标AMF处的移动性注册。此实施例提议跳过在目标AMF处运行的完全主认证,该目标AMF不能到达源AMF并且没有任何可用的订阅简档。
在步骤0处,UE 301在网络中被注册(参见框313)并且由源AMF 305服务。由于移动性,UE 301正在离开AMF区域并且NG-RAN 303不能够基于5G-GUTI选择源AMF 305。
在步骤1处,UE 301向目标AMF 307发送(参见消息传递315)移动性注册消息。NG-RAN 303可能已经选择了目标AMF 307,因为源AMF 305不可用。
在步骤2处,目标AMF 307辨识(参见框317)5G-GUTI并且源AMF 305不能由目标AMF307达到。
在步骤3处,目标AMF 307发起标识请求过程(参见消息传递319)并从UE 301接收(参见消息传递321)该SUCI。SUCI可以是新生成的,或者可以在最后成功注册后被保持。
在步骤4a处,目标AMF 307(和/或SEAF)可以向AUSF 311发起认证请求并且提供该SUCI。该消息可以是Nausf_UEAuthentication_Authenticate请求消息或新密钥请求消息。
在步骤4b处,AUSF 311验证(参见框325)该请求。如果SUCI没有改变并且AUSF 311能够确定相应的认证结果和密钥KSEAF,则AUSF 311继续步骤4c;否则,AUSF 311联系UDM/SIDF 309以检索SUPI。AUSF 311可以向UDM 309发送Nudm_UEAuthentication_Get请求并且UDM 309可以用Nudm_UEAuthentication_Get响应消息回答。该UDM 309可以包括根据正常过程的新认证向量。
在步骤4c处,AUSF 311基于SUPI或SUCI确定(参见框327)UE 301的数据记录并且基于先前存储的认证结果验证是否需要新的认证运行或者是否能够再次重复使用相同密钥KSEAF。如果它仅存储密钥KAUSF,则该AUSF 311可以再次从密钥KAUSF导出密钥KSEAF,否则它取来所存储的密钥KSEAF。
在步骤4d处,AUSF 311向目标AMF 307提供(参见消息传递329)SUPI和密钥KSEAF。该消息可以是Nausf_UEAuthentication_Authenticate响应消息并且可以包括存储的(例如,成功的)认证结果,或者返回参数的新消息。
在步骤5处,目标AMF 307辨识(参见框331)不需要认证,因为它已经接收到密钥KSEAF和SUPI以及认证结果。然后目标AMF 307导出新密钥KAMF和新NAS密钥并为UE 301创建新的安全上下文。
在步骤6处,目标AMF 307向UE 301执行(参见框333)新的NAS SMC。然后目标AMF307通过UE 301触发朝向NG-RAN 303的AS SMC。在步骤9处,可以执行根据TS 23.502的可选步骤(参见框335)。在步骤10处,之后目标AMF 307向UE 301发送(参见消息传递337)NAS注册接受消息,用在目标AMF 307中导出的新NAS密钥保护该消息。
图4描绘了根据本公开的实施例的可以用于具有安全上下文的网络功能重新分配的用户设备装置400。在各种实施例中,用户设备装置400用于实现上述解决方案中的一种或多种。用户设备装置400可以是上述远程单元105和/或UE 205的一个实施例。此外,用户设备装置400可以包括处理器405、存储器410、输入设备415、输出设备420和收发器425。
在一些实施例中,输入设备415和输出设备420被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置400可以不包括任何输入设备415和/或输出设备420。在各种实施例中,用户设备装置400可以包括以下中的一个或多个:处理器405、存储器410和收发器425,并且可以不包括输入设备415和/或输出设备420。
如所描绘的,收发器425包括至少一个发射器430和至少一个接收器435。在一些实施例中,收发器425与由一个或多个基站单元121支持的一个或多个小区(或无线覆盖区)通信。在各种实施例中,收发器425可以在非授权的频谱上操作。此外,收发器425可以包括支持一个或多个波束的多个UE面板。附加地,收发器425可以支持至少一个网络接口440和/或应用接口445。应用接口445可以支持一个或多个API。网络接口440可以支持3GPP参考点,诸如Uu、N1、PC5等。如本领域的普通技术人员所理解的,可以支持其他网络接口440。
在一个实施例中,处理器405可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器405可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)、或类似的可编程控制器。在一些实施例中,处理器405执行存储在存储器410中的指令以执行本文所述的方法和例程。处理器405被通信地耦合到存储器410、输入设备415、输出设备420和收发器425。在某些实施例中,处理器405可以包括管理应用域和操作系统(“OS”)功能的应用处理器(也称为“主处理器”)和管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在各种实施例中,处理器405控制用户设备装置400以实现上述UE行为。例如,收发器425可以被配置成在注册对话内接收来自第一网络功能的第一非接入层(“NAS”)安全模式命令(“SMC”)请求消息。收发器425可以在注册对话内接收来自第二网络功能的第二NASSMC请求消息。处理器405可以基于AMF密钥KAMF、新NAS密钥和安全密钥KSEAF创建类似于在第一网络功能处使用的安全上下文的新的安全上下文。
在一个实施例中,存储器410是计算机可读存储介质。在一些实施例中,存储器410包括易失性计算机存储介质。例如,存储器410可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器410包括非易失性计算机存储介质。例如,存储器410可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器410包括易失性和非易失性计算机存储介质这两者。
在一些实施例中,存储器410存储与具有安全上下文的网络功能重新分配有关的数据。例如,存储器410可以存储如上所述的各种参数、安全上下文、密钥、资源指配、策略等。在某些实施例中,存储器410还存储程序代码和相关数据,诸如在用户设备装置400上操作的操作系统或其他控制器算法。
在一个实施例中,输入设备415可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键区、手写笔、麦克风等。在一些实施例中,输入设备415可以与输出设备420集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备415包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写被输入。在一些实施例中,输入设备415包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备420被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备420包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备420可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备420可以包括与用户设备装置400的其余部分分开但通信地耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备420可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备420包括用于产生声音的一个或多个扬声器。例如,输出设备420可以产生听觉警报或通知(例如,蜂鸣声或鸣响)。在一些实施例中,输出设备420包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备420的全部或部分可以与输入设备415集成。例如,输入设备415和输出设备420可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备420可以位于输入设备415附近。
收发器425经由一个或多个接入网络与移动通信网络的一个或多个网络功能通信。收发器425在处理器405的控制下操作以传送消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器405可以在特定时间选择性地激活收发器425(或其部分)以便发送和接收消息。
收发器425至少包括发射器430和至少一个接收器435。一个或多个发射器430可以用于向基站单元121提供UL通信信号,诸如本文所描述的UL传输。类似地,如本文所描述,一个或多个接收器435可以用于从基站单元121接收DL通信信号。尽管仅图示了一个发射器430和一个接收器435,但是用户设备装置400可以具有任何合适数量的发射器430和接收器435。此外,发射器430和接收器435可以是任何合适类型的发射器和接收器。在一个实施例中,收发器425包括用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在非授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在非授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以被组合成单个收发器单元,例如执行用于授权和非授权无线电频谱这两者的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器425、发射器430和接收器435可以被实现为物理上分开的组件,这些组件接入共享的硬件资源和/或软件资源,诸如例如,网络接口440。
在各种实施例中,一个或多个发射器430和/或一个或多个接收器435可以实现和/或集成到单个硬件组件中,诸如多收发器芯片、片上系统、ASIC或其他类型的硬件组件。在某些实施例中,一个或多个发射器430和/或一个或多个接收器435可以实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口440的其他组件或其他硬件组件/电路可以与任意数量的发射器430和/或接收器435集成到单个芯片中。在这样的实施例中,发射器430和接收器435可以逻辑上被配置成使用一个多个公共控制信号的收发器425或者被配置成实现在相同硬件芯片中或多芯片模块中的模块化发射器430和接收器435。
图5描绘了根据本公开的实施例的可以被用于具有安全上下文的网络功能重新分配的网络装置500。在一个实施例中,网络装置500可以是RAN节点的一种实施方式,诸如上述的基站单元121、RAN节点210或gNB。此外,基站网络装置500可以包括处理器505、存储器510、输入设备515、输出设备520和收发器525。
在一些实施例中,输入设备515和输出设备520被组合成单个设备,诸如触摸屏。在某些实施例中,网络装置500可以不包括任何输入设备515和/或输出设备520。在各种实施例中,网络装置500可以包括以下中的一个或多个:处理器505、存储器510和收发器525,并且可以不包括输入设备515和/或输出设备520。
如所描绘的,收发器525包括至少一个发射器530和至少一个接收器535。这里,收发器525与一个或多个远程单元105通信。附加地,收发器525可以支持至少一个网络接口540和/或应用接口545。应用接口545可以支持一个或多个API。网络接口540可以支持3GPP参考点,诸如Uu、N1、N2和N3。如本领域普通技术人员所理解的,可以支持其他网络接口540。
在一个实施例中,处理器505可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器505可以是微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似的可编程控制器。在一些实施例中,处理器505执行存储在存储器510中的指令以执行本文所描述的方法和例程。处理器505通信地耦合到存储器510、输入设备515、输出设备520和收发器525。在某些实施例中,处理器805可以包括管理应用域和操作系统(“OS”)功能的应用处理器(也称为“主处理器”)以及管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在各种实施例中,网络装置500是上述的AMF、AUSF、UDM或其它NR-RAN网络功能。在这样的实施例中,处理器505可以在移动无线通信网络的第一网络功能处检测第一网络功能不能服务于来自用户设备(“UE”)装置的请求的网络切片。在另一实施例中,收发器525经由第二网络功能将重新路由消息从第一网络功能发送到移动无线通信网络的第三网络功能。
在一个实施例中,处理器505被配置成在发送初始非接入层(“NAS”)消息之前发起对UE的主认证。在某些实施例中,处理器505被配置成在第四网络功能处检测移动无线通信网络支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征并且在第一网络功能处通过UE装置执行非接入层(“NAS”)安全模式命令(“SMC”)。
在一个实施例中,收发器525被配置成在移动无线通信网络的第一网络功能处接收来自第二网络功能的初始非接入层(“NAS”)消息。在一些实施例中,处理器505被配置成基于来自第二网络功能的初始NAS消息为用户设备装置(“UE”)确定安全上下文。
在一个实施例中,收发器525被配置成从第一网络功能向第三网络功能发送发起对UE装置的主认证的请求。在进一步的实施例中,收发器525被配置成从第三网络功能接收响应于请求的消息。
在一个实施例中,处理器505被配置成通过第一网络功能基于所接收到的认证结果确定不需要执行主认证。在各种实施例中,处理器505被配置成通过在第一网络功能处基于安全配置和安全密钥KSEAF重新创建在第二网络功能中使用的相同安全上下文来确定安全上下文。在一个实施例中,处理器505被配置成通过向基站单元供应基站单元密钥KgNB和当前上行链路NAS计数来发起在第一网络功能和UE之间的接入层安全模式命令(“ASSMC”)。
在一个实施例中,处理器505被配置成在第一网络功能处导出AMF密钥KAMF和NAS密钥,并且通过在第一网络功能处基于AMF密钥KAMF、NAS密钥和安全密钥KSEAF创建安全上下文来确定安全上下文。在一个实施例中,收发器525被配置成从第一网络功能向UE发送NAS安全模式命令(“SMC”)请求消息。
在一个实施例中,收发器525被配置成在第一网络功能处接收来自第二网络功能的用于用户设备(“UE”)装置的认证请求。在某些实施例中,处理器505被配置成在第一网络功能处基于公共远程单元标识符验证先前确定的认证结果。
在一些实施例中,处理器505被配置成在没有执行对UE装置的主认证的情况下在第一网络功能处确定第一安全密钥KSEAF。在一个实施例中,处理器505被配置成在第一网络功能处基于公共远程单元标识符来选择私有远程单元标识符。在进一步的实施例中,处理器505被配置成响应于认证请求从第一网络功能向第二网络功能发送包括认证结果、私有远程单元标识符和第一安全密钥KSEAF的消息。
在各种实施例中,处理器505被配置成响应于从第三网络功能接收认证请求消息执行对UE的主认证并且基于主认证存储认证结果、公共远程单元标识符、私有远程单元标识符、第一安全密钥KSEAF和第二安全密钥KAUSF。
在某些实施例中,收发器525被配置成,响应于未基于公共远程单元标识符验证认证结果从第一网络功能向第四网络功能发送包括公共远程单元标识符的请求消息并且作为响应接收私有远程单元标识符。在一个实施例中,处理器505被配置成基于私有远程单元标识符验证认证结果并且基于认证结果选择存储的第一安全密钥KSEAF和第二安全密钥KAUSF之一。
在一个实施例中,存储器510是计算机可读存储介质。在一些实施例中,存储器510包括易失性计算机存储介质。例如,存储器510可以包括RAM,其包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器510包括非易失性计算机存储介质。例如,存储器510可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器510包括易失性和非易失性计算机存储介质这两者。
在一些实施例中,存储器510存储与具有安全上下文的网络功能重新分配有关的数据。例如,存储器510可以存储参数、配置、资源指配、策略、密钥、安全上下文等,如上所述。在某些实施例中,存储器510还存储程序代码和相关数据,诸如在网络装置500上操作的操作系统或其他控制器算法。
在一个实施例中,输入设备515可以包括任何已知的计算机输入设备,其包括触摸面板、按钮、键区、手写笔、麦克风等。在一些实施例中,输入设备515可以与输出设备520集成,例如,作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备515包括触摸屏,使得文本可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写被输入。在一些实施例中,输入设备515包括两个或更多个不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备520被设计为输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备520包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备520可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一非限制性示例,输出设备520可以包括与网络装置500的其余部分分开但通信地耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备520可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备520包括用于产生声音的一个或多个扬声器。例如,输出设备520可以产生听觉警报或通知(例如,蜂鸣声或鸣响)。在一些实施例中,输出设备520包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备520的全部或部分可以与输入设备515集成。例如,输入设备515和输出设备520可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备520可以位于输入设备515附近。
收发器525至少包括发射器530和至少一个接收器535。如本文中所描述的,一个或多个发射器530可以用于与UE通信。类似地,如本文中所描述的,一个或多个接收器535可以用于与NPN、PLMN和/或RAN中的网络功能通信。尽管仅图示了一个发射器530和一个接收器535,但是网络装置500可以具有任何合适数量的发射器530和接收器535。此外,发射器530和接收器535可以是任何合适类型的发射器和接收器。
图6是用于具有安全上下文的网络功能重新分配的方法600的流程图。方法600可以由诸如上面参考图5描述的网络装置500的网络设备来执行。在一些实施例中,方法600可以由执行程序代码的处理器执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,方法600包括在移动无线通信网络的第一网络功能处检测605第一网络功能不能服务于来自用户设备(“UE”)装置的请求的网络切片。在进一步的实施例中,方法600包括经由第二网络功能[NG-RAN]从第一网络功能向移动无线通信网络的第三网络功能[目标AMF]发送重新路由消息610。方法600结束。
图7是用于具有安全上下文的网络功能重新分配的方法700的流程图。方法700可以由诸如上面参考图5描述的网络装置500的网络设备来执行。在一些实施例中,方法700可以由执行程序代码的处理器执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,方法700包括在移动无线通信网络的第一网络功能处接收705来自第二网络功能的初始非接入层(“NAS”)消息。在一些实施例中,方法700包括基于来自第二网络功能的初始NAS消息确定用于用户设备装置(“UE”)的安全上下文710。方法700结束。
图8是用于具有安全上下文的网络功能重新分配的方法800的流程图。方法800可以由诸如上面参考图5描述的网络装置500的网络设备来执行。在一些实施例中,方法800可以由执行程序代码的处理器执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,方法800包括在第一网络功能处接收805来自第二网络功能的用于用户设备(“UE”)装置的认证请求。在进一步的实施例中,方法800包括在第一网络功能处基于公共远程单元标识符验证810先前确定的认证结果。
在一个实施例中,方法800包括在没有执行对UE装置的主认证的情况下在第一网络功能处确定815第一安全密钥KSEAF。在一些实施例中,方法800包括在第一网络功能处基于公共远程单元标识符选择820私有远程单元标识符。在一些实施例中,方法800包括响应于认证请求从第一网络功能向第二网络功能发送825包括认证结果、私有远程单元标识符和第一安全密钥KSEAF的消息。方法800结束。
图9是用于具有安全上下文的网络功能重新分配的方法900的流程图。方法900可以由如本文所述的UE执行,例如,远程单元105和/或用户设备装置400。在一些实施例中,方法900可以由执行程序代码的处理器执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,方法900包括在注册对话内接收905来自第一网络功能的第一非接入层(“NAS”)安全模式命令(“SMC”)请求消息。在进一步的实施例中,方法900包括在注册对话内接收910来自第二网络功能的第二NAS SMC请求消息。在某些实施例中,方法900包括基于AMF密钥KAMF、新NAS密钥和安全密钥KSEAF创建915类似于在第一网络功能处使用的安全上下文的新的安全上下文。方法900结束。
公开了用于具有安全上下文的网络功能重新分配的第一方法。在一个实施例中,第一方法由诸如上面参考图5描述的网络装置500的网络设备执行。在一些实施例中,第一方法可以由执行程序代码的处理器执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,第一方法包括在移动无线通信网络的第一网络功能处检测第一网络功能不能服务于来自用户设备(“UE”)装置的所请求的网络切片。在进一步的实施例中,第一方法包括经由第二网络功能从第一网络功能向移动无线通信网络的第三网络功能发送重新路由消息。该重新路由消息包括在NAS安全模式命令(“SMC”)过程中通过UE装置检索到的初始非接入层(“NAS”)消息和安全配置。第三网络功能使用初始NAS消息和安全配置以确定用于UE装置的安全上下文并且服务于来自UE装置的所请求的网络切片。
在一个实施例中,重新路由消息进一步包括订阅隐藏标识符(“SUCI”)和安全配置。在一些实施例中,安全配置包括算法类型区分器、用于非接入层(“NAS”)加密和完整性密钥的算法标识以及当前上行链路NAS计数中的一个或多个。
在一个实施例中,重新路由消息包括用NAS安全上下文保护的、在NAS安全模式命令(“SMC”)过程期间通过UE检索到的初始非接入层(“NAS”)消息,该NAS安全上下文包括没有密钥信息的无保护的安全配置。在各种实施例中,没有密钥信息的无保护的安全配置包括keyAmfHDerivationInd参数。
在某些实施例中,重新路由消息包括未受保护的在NAS安全模式命令(“SMC”)过程期间通过UE检索到的初始非接入层(“NAS”)消息和当前上行链路NAS计数。在进一步的实施例中,第一方法包括在发送初始非接入层(“NAS”)消息之前发起对UE的主认证。
在一个实施例中,该方法包括在第四网络功能处检测移动无线通信网络支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征,并且在第一网络功能处通过UE装置执行非接入层(“NAS”)安全模式命令(“SMC”)过程。NAS SMC包含初始NAS消息,该初始NAS消息包含移动无线通信网络支持针对隔离的切片的AMF变化特征的指示符。
公开了用于具有安全上下文的网络功能重新分配的第一装置。在一个实施例中,第一装置可以包括诸如上面参考图5描述的网络装置500的网络设备。在一些实施例中,第一装置包括执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,第一设备包括处理器,该处理器被配置成在移动无线通信网络的第一网络功能处检测第一网络功能不能服务于来自用户设备(“UE”)的所请求的网络切片。在进一步的实施例中,第一装置包括收发器,该收发器被配置成经由第二网络功能从第一网络功能向移动无线通信网络的第三网络功能发送重新路由消息。重新路由消息包括在NAS安全模式命令(“SMC”)过程中通过UE装置检索到的初始非接入层(“NAS”)消息和安全配置。第三网络功能使用初始NAS消息和安全配置以确定用于UE装置的安全上下文并且服务于来自UE装置的所请求的网络切片。
在一个实施例中,重新路由消息进一步包括订阅隐藏标识符(“SUCI”)和安全配置。在一些实施例中,安全配置包括算法类型区分器、用于非接入层(“NAS”)加密和完整性密钥的算法标识以及当前上行链路NAS计数中的一个或多个。
在一个实施例中,重新路由消息包括用NAS安全上下文保护的、在NAS安全模式命令(“SMC”)过程期间通过UE检索到的初始非接入层(“NAS”)消息,该NAS安全上下文包括没有密钥信息的无保护的安全配置。在各种实施例中,没有密钥信息的无保护的安全配置包括keyAmfHDerivationInd参数。
在某些实施例中,重新路由消息包括未受保护的在NAS安全模式命令(“SMC”)过程期间通过UE检索到的初始非接入层(“NAS”)消息和当前上行链路NAS计数。在进一步的实施例中,该处理器被配置成在发送初始非接入层(“NAS”)消息之前发起对UE的主认证。
在一个实施例中,该处理器被配置成在第四网络功能处检测移动无线通信网络支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征,并且在第一网络功能处通过UE装置执行非接入层(“NAS”)安全模式命令(“SMC”)过程。NAS SMC包含初始NAS消息,该初始NAS消息包含移动无线通信网络支持针对隔离的切片的AMF变化特征的指示符。
公开了用于具有安全上下文的网络功能重新分配的第二方法。在一个实施例中,第二方法由诸如上面参考图5描述的网络装置500的网络设备执行。在一些实施例中,第二方法可以由执行程序代码的处理器执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,第二方法包括在移动无线通信网络的第一网络功能处接收来自第二网络功能的初始非接入层(“NAS”)消息。该初始NAS消息包括标识符,该标识符指示移动无线通信网络支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征。在某些实施例中,第二方法包括基于来自第二网络功能的初始NAS消息来确定用于用户设备装置(“UE”)的安全上下文。
在一个实施例中,第二方法包括从第一网络功能向第三网络功能发送发起对UE装置的主认证的请求。在进一步的实施例中,第二方法包括从第三网络功能接收响应于请求的消息,该消息包括认证结果、用于UE的远程单元标识符、以及在第二网络功能处使用的安全密钥KSEAF。
在一个实施例中,第二方法包括,基于所接收到的认证结果通过第一网络功能确定不需要执行主认证。在进一步的实施例中,用于UE的远程单元标识符包括订阅永久标识符(“SUPI”)。在一个实施例中,初始NAS消息进一步包括安全配置,该安全配置包括算法类型区分器、用于NAS加密和完整性密钥的算法标识以及当前上行链路NAS计数中的一个或多个。
在各种实施例中,第二方法包括通过在第一网络功能处基于安全配置和安全密钥KSEAF重新创建在第二网络功能中使用的相同安全上下文来确定安全上下文。在一个实施例中,第二方法包括通过向基站单元供应基站单元密钥KgNB和当前上行链路NAS计数来在第一网络功能和UE之间发起接入层安全模式命令(“AS SMC”)过程。
在一个实施例中,第二方法包括在第一网络功能处导出AMF密钥KAMF和NAS密钥,和通过基于AMF密钥KAMF、NAS密钥和安全密钥KSEAF在第一网络功能处创建安全上下文来确定安全上下文。在一个实施例中,第二方法包括从第一网络功能向UE发送NAS安全模式命令(“SMC”)请求消息。NAS SMC消息包含指示移动无线通信网络支持针对隔离的切片的AMF变化特征的标识符。
公开了用于具有安全上下文的网络功能重新分配的第二装置。在一个实施例中,第二装置可以包括诸如上面参考图5描述的网络装置500的网络设备。在一些实施例中,第二装置包括执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,第二装置包括收发器,该收发器被配置成,在移动无线通信网络的第一网络功能处接收来自第二网络功能的初始非接入层(“NAS”)消息。该初始NAS消息包括标识符,该标识符指示移动无线通信网络支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征。在某些实施例中,第二装置包括处理器,该处理器被配置成基于来自第二网络功能的初始NAS消息来确定用于用户设备装置(“UE”)的安全上下文。
在一个实施例中,该收发器被配置成从第一网络功能向第三网络功能发送发起对UE装置的主认证的请求。在进一步的实施例中,该收发器被配置成从第三网络功能接收响应于请求的消息,该消息包括认证结果、用于UE的远程单元标识符、以及在第二网络功能处使用的安全密钥KSEAF。
在一个实施例中,该处理器被配置成,基于所接收到的认证结果通过第一网络功能确定不需要执行主认证。在进一步的实施例中,用于UE的远程单元标识符包括订阅永久标识符(“SUPI”)。在一个实施例中,初始NAS消息进一步包括安全配置,该安全配置包括算法类型区分器、用于NAS加密和完整性密钥的算法标识以及当前上行链路NAS计数中的一个或多个。
在各种实施例中,该处理器被配置成通过在第一网络功能处基于安全配置和安全密钥KSEAF重新创建在第二网络功能中使用的相同安全上下文来确定安全上下文。在一个实施例中,该处理器被配置成通过向基站单元供应基站单元密钥KgNB和当前上行链路NAS计数来在第一网络功能和UE之间发起接入层安全模式命令(“AS SMC”)过程。
在一个实施例中,该处理器被配置成在第一网络功能处导出AMF密钥KAMF和NAS密钥,并且通过基于AMF密钥KAMF、NAS密钥和安全密钥KSEAF在第一网络功能处创建安全上下文来确定安全上下文。在一个实施例中,该收发器被配置成从第一网络功能向UE发送NAS安全模式命令(“SMC”)请求消息。NAS SMC消息包含指示移动无线通信网络支持针对隔离的切片的AMF变化特征的标识符。
公开了用于具有安全上下文的网络功能重新分配的第三方法。在一个实施例中,第三方法由诸如上面参考图5描述的网络装置500的网络设备执行。在一些实施例中,第三方法可以由执行程序代码的处理器执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,第三方法包括在第一网络功能处接收来自第二网络功能的用于用户设备(“UE”)装置的认证请求。该认证请求包括公共远程单元标识符。在某些实施例中,第三方法包括在第一网络功能处基于公共远程单元标识符验证先前确定的认证结果。
在一些实施例中,第三方法包括在没有执行对UE装置的主认证的情况下在第一网络功能处确定第一安全密钥KSEAF。在一个实施例中,第三方法包括在第一网络功能处基于公共远程单元标识符选择私有远程单元标识符。在进一步的实施例中,第三方法包括响应于认证请求从第一网络功能向第二网络功能发送包括认证结果、私有远程单元标识符和第一安全密钥KSEAF的消息。
在一个实施例中,第一安全密钥KSEAF是使用存储的第一安全密钥KSEAF基于公共远程单元标识符来确定的。在一些实施例中,使用第二安全密钥KAUSF基于公共远程单元标识符确定第一安全密钥KSEAF,以从第二安全密钥KAUSF导出第一安全密钥KSEAF。
在各种实施例中,第三方法包括响应于从第三网络功能接收认证请求消息执行对UE的主认证并且基于主认证存储认证结果、公共远程单元标识符、私有远程单元标识符、第一安全密钥KSEAF和第二安全密钥KAUSF。
在某些实施例中,第三方法包括,响应于基于公共远程单元标识符未验证认证结果,从第一网络功能将包含公共远程单元标识符的请求消息发送到第四网络功能,以及作为响应接收私有远程单元标识符。在一个实施例中,第三方法包括基于私有远程单元标识符验证认证结果和基于认证结果选择存储的第一安全密钥KSEAF和第二安全密钥KAUSF之一。
公开了用于具有安全上下文的网络功能重新分配的第三装置。在一个实施例中,第三装置可以包括诸如上面参考图5描述的网络装置500的网络设备。在一些实施例中,第三装置包括执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,第三装置包括收发器,该收发器被配置成在第一网络功能处接收来自第二网络功能的用于用户设备(“UE”)装置的认证请求。认证请求包括公共远程单元标识符。在某些实施例中,第三装置包括处理器,该处理器被配置成在第一网络功能处基于公共远程单元标识符验证先前确定的认证结果。
在一些实施例中,该处理器被配置成在没有执行对UE装置的主认证的情况下在第一网络功能处确定第一安全密钥KSEAF。在一个实施例中,该处理器被配置成在第一网络功能处基于公共远程单元标识符选择私有远程单元标识符。在进一步的实施例中,该处理器被配置成响应于认证请求从第一网络功能向第二网络功能发送包括认证结果、私有远程单元标识符和第一安全密钥KSEAF的消息。
在一个实施例中,第一安全密钥KSEAF是使用存储的第一安全密钥KSEAF基于公共远程单元标识符来确定的。在一些实施例中,使用第二安全密钥KAUSF基于公共远程单元标识符确定第一安全密钥KSEAF,以从第二安全密钥KAUSF导出第一安全密钥KSEAF。
在各种实施例中,该处理器被配置成响应于从第三网络功能接收认证请求消息执行对UE的主认证并且基于主认证存储认证结果、公共远程单元标识符、私有远程单元标识符、第一安全密钥KSEAF和第二安全密钥KAUSF。
在某些实施例中,该处理器被配置成响应于基于公共远程单元标识符未验证认证结果,从第一网络功能将包含公共远程单元标识符的请求消息发送到第四网络功能,以及作为响应接收私有远程单元标识符。在一个实施例中,该处理器被配置成基于私有远程单元标识符验证认证结果和基于认证结果选择存储的第一安全密钥KSEAF和第二安全密钥KAUSF之一。
公开了用于具有安全上下文的网络功能重新分配的第四方法。第四方法可以由如本文的UE执行,例如,远程单元105和/或用户设备装置400。在一些实施例中,第四方法可以由执行程序代码的处理器执行,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,第四方法包括在注册对话内接收来自第一网络功能的第一非接入层(“NAS”)安全模式命令(“SMC”)请求消息。第一NAS SMC请求消息包括第一标识符,该第一标识符指示在移动无线通信网络中支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征。
在进一步的实施例中,第四方法包括在注册对话内接收来自第二网络功能的第二NAS SMC请求消息。第二NAS SMC请求消息包括第二标识符,该第二标识符指示在移动无线通信网络中支持针对隔离的切片的AMF变化特征。
在某些实施例中,第四方法包括基于AMF密钥KAMF、新NAS密钥和安全密钥KSEAF创建类似于在第一网络功能处使用的安全上下文的新的安全上下文。
公开了用于具有安全上下文的网络功能重新分配的第四装置。在一个实施例中,第四装置可以包括诸如上面参考图5描述的网络装置500的网络设备。在一些实施例中,第四装置包括执行程序代码的处理器,例如,微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等等。
在一个实施例中,第四装置包括收发器,该收发器被配置成在注册对话内接收来自第一网络功能的第一非接入层(“NAS”)安全模式命令(“SMC”)请求消息。第一NAS SMC请求消息包括第一标识符,该第一标识符指示在移动无线通信网络中支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征。
在进一步的实施例中,该收发器被配置成在注册对话内接收来自第二网络功能的第二NAS SMC请求消息。第二NAS SMC请求消息包括第二标识符,该第二标识符指示在移动无线通信网络中支持针对隔离的切片的AMF变化特征。
在某些实施例中,第四装置包括处理器,该处理器被配置成基于AMF密钥KAMF、新NAS密钥和安全密钥KSEAF来创建类似于在第一网络功能处使用的安全上下文的新的安全上下文。
实施例可以以其他特定形式实践。所描述的实施例在所有方面都被认为仅是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由前述描述指示。在权利要求的等效含义和范围内的所有变化都应被涵盖在其范围内。
Claims (15)
1.一种装置,包括:
处理器,所述处理器被配置成在移动无线通信网络的第一网络功能处检测所述第一网络功能不能服务于来自用户设备(“UE”)装置的所请求的网络切片;以及
收发器,所述收发器被配置成经由第二网络功能从所述第一网络功能向所述移动无线通信网络的第三网络功能发送重新路由消息,所述重新路由消息包括在非接入层(“NAS”)安全模式命令(“SMC”)过程中通过所述UE装置检索到的初始NAS消息和安全配置,所述第三网络功能使用所述初始NAS消息和所述安全配置以确定用于所述UE装置的安全上下文并且服务于来自所述UE装置的所述请求的网络切片。
2.根据权利要求1所述的装置,其中,所述重新路由消息进一步包括订阅隐藏标识符(“SUCI”)。
3.根据权利要求1所述的装置,其中,所述安全配置包括算法类型区分器、用于NAS加密和完整性密钥的算法标识以及当前上行链路NAS计数中的一个或多个。
4.根据权利要求1所述的装置,其中,所述重新路由消息包括用NAS安全上下文保护的、在NAS SMC过程期间通过所述UE检索到的初始NAS消息,所述NAS安全上下文包括没有密钥信息的无保护的安全配置。
5.根据权利要求4所述的装置,其中,没有密钥信息的所述无保护的安全配置包括keyAmfHDerivationInd参数。
6.根据权利要求1所述的装置,其中,所述重新路由消息包括未受保护的在NAS SMC过程期间通过所述UE检索到的初始NAS消息和当前上行链路NAS计数。
7.根据权利要求1所述的装置,其中,所述处理器被配置成:
在第四网络功能处检测所述移动无线通信网络支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征;并且
在所述第一网络功能处通过所述UE装置执行NAS SMC过程,所述NAS SMC包含初始NAS消息,所述初始NAS消息包含所述移动无线通信网络支持针对隔离的切片的所述AMF变化特征的指示符。
8.一种装置,包括:
收发器,所述收发器被配置成,在移动无线通信网络的第一网络功能处接收来自第二网络功能的初始非接入层(“NAS”)消息,所述初始NAS消息包括标识符,所述标识符指示所述移动无线通信网络支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征;以及
处理器,所述处理器被配置成基于来自所述第二网络功能的所述初始NAS消息来确定用于用户设备装置(“UE”)的安全上下文。
9.根据权利要求8所述的装置,其中,所述收发器被配置成:
从所述第一网络功能向第三网络功能发送发起对所述UE装置的主认证的请求;并且
从所述第三网络功能接收响应于所述请求的消息,所述消息包括认证结果、用于所述UE的远程单元标识符、以及在所述第二网络功能处使用的安全密钥KSEAF。
10.根据权利要求9所述的装置,其中,用于所述UE的所述远程单元标识符包括订阅永久标识符(“SUPI”)。
11.根据权利要求8所述的装置,其中,所述初始NAS消息进一步包括安全配置,所述安全配置包括算法类型区分器、用于NAS加密和完整性密钥的算法标识以及当前上行链路NAS计数中的一个或多个。
12.根据权利要求8所述的装置,其中,所述处理器被配置成:
通过在所述第一网络功能处基于所述安全配置和所述安全密钥KSEAF重新创建在所述第二网络功能中使用的相同安全上下文来确定所述安全上下文;并且
通过向所述基站单元供应基站单元密钥KgNB和所述当前上行链路NAS计数来在所述第一网络功能和所述UE之间发起接入层安全模式命令(“AS SMC”)过程。
13.根据权利要求8所述的装置,其中,所述处理器被配置成:
在所述第一网络功能处导出AMF密钥KAMF和NAS密钥;并且
通过基于所述AMF密钥KAMF、NAS密钥和所述安全密钥KSEAF在所述第一网络功能处创建安全上下文来确定所述安全上下文。
14.根据权利要求13所述的装置,其中,所述收发器被配置成从所述第一网络功能向所述UE发送NAS安全模式命令(“SMC”)请求消息,所述NAS SMC消息包含指示所述移动无线通信网络支持针对隔离的切片的所述AMF变化特征的所述标识符。
15.一种装置,包括:
收发器,所述收发器被配置成:
在注册对话内接收来自第一网络功能的第一非接入层(“NAS”)安全模式命令(“SMC”)请求消息,所述第一NASSMC请求消息包括第一标识符,所述第一标识符指示在移动无线通信网络中支持针对隔离的切片的接入和移动性管理功能(“AMF”)变化特征;并且
在所述注册对话内接收来自第二网络功能的第二NAS SMC
请求消息,所述第二NAS SMC请求消息包括第二标识符,所述第二标识符指示在所述移动无线通信网络中支持针对隔离的切片的AMF变化特征;以及
处理器,所述处理器被配置成基于AMF密钥KAMF、新NAS密钥和安全密钥KSEAF来创建类似于在所述第一网络功能处使用的安全上下文的新的安全上下文。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202063044891P | 2020-06-26 | 2020-06-26 | |
US63/044,891 | 2020-06-26 | ||
PCT/IB2021/055777 WO2021260670A1 (en) | 2020-06-26 | 2021-06-28 | Network function reallocation with security context |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115702579A true CN115702579A (zh) | 2023-02-14 |
Family
ID=76829587
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180044507.5A Pending CN115702579A (zh) | 2020-06-26 | 2021-06-28 | 具有安全上下文的网络功能重新分配 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20230262460A1 (zh) |
EP (1) | EP4173336A1 (zh) |
CN (1) | CN115702579A (zh) |
WO (1) | WO2021260670A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220182963A1 (en) * | 2020-10-30 | 2022-06-09 | Samsung Electronics Co., Ltd. | Method and apparatus for managing amf re-allocation |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11160015B2 (en) * | 2018-03-27 | 2021-10-26 | Nec Corporation | Isolated network slice selection |
CN114175770B (zh) * | 2019-08-16 | 2024-03-15 | 中兴通讯股份有限公司 | 利用接入和移动性管理功能重新分配进行注册的方法 |
WO2021031065A1 (en) * | 2019-08-19 | 2021-02-25 | Zte Corporation | A method of registration with access and mobility management function re-allocation |
-
2021
- 2021-06-28 CN CN202180044507.5A patent/CN115702579A/zh active Pending
- 2021-06-28 WO PCT/IB2021/055777 patent/WO2021260670A1/en unknown
- 2021-06-28 EP EP21739444.4A patent/EP4173336A1/en active Pending
- 2021-06-28 US US18/013,211 patent/US20230262460A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US20230262460A1 (en) | 2023-08-17 |
WO2021260670A1 (en) | 2021-12-30 |
EP4173336A1 (en) | 2023-05-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230269589A1 (en) | Slice-specific security requirement information | |
US20230171600A1 (en) | Distinct user plane security | |
KR20220163432A (ko) | 액세스 게이트웨이 재배치 | |
US20230413360A1 (en) | Disabling a pending nssai | |
US20230262460A1 (en) | Network function reallocation with security context | |
KR20220164762A (ko) | Eap 절차에서의 통보 | |
EP4173335B1 (en) | Authentication using slice capability indication | |
CN118020330A (zh) | 使用应用的认证及密钥管理实现漫游 | |
US20240098494A1 (en) | Revocation of uas-related authorization and security information | |
EP4331290A1 (en) | Establishing an additional registration with a mobile network | |
CN116171598A (zh) | 控制平面和用户平面受信任的非3gpp网关功能 | |
US20230262453A1 (en) | Security context for target amf | |
US20240236906A1 (en) | Establishing an additional registration with a mobile network | |
US20230319545A1 (en) | Dynamic user equipment identifier assignment | |
US20230284030A1 (en) | Uas authentication and security establishment | |
US20230292114A1 (en) | Securing communications between user equipment devices | |
CN117917042A (zh) | 在应用实体与无线通信网络之间建立信任关系 | |
WO2023208392A1 (en) | Path switching between n0n-3gpp access paths | |
CA3212690A1 (en) | Network slice admission control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |