JP6942804B2 - 5gにおけるアイドルモード中のセキュリティコンテキストハンドリング - Google Patents

5gにおけるアイドルモード中のセキュリティコンテキストハンドリング Download PDF

Info

Publication number
JP6942804B2
JP6942804B2 JP2019540001A JP2019540001A JP6942804B2 JP 6942804 B2 JP6942804 B2 JP 6942804B2 JP 2019540001 A JP2019540001 A JP 2019540001A JP 2019540001 A JP2019540001 A JP 2019540001A JP 6942804 B2 JP6942804 B2 JP 6942804B2
Authority
JP
Japan
Prior art keywords
key
access
mobility management
management function
core network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019540001A
Other languages
English (en)
Other versions
JP2020507268A (ja
Inventor
ヘンダ, ノアメン ベン
ヘンダ, ノアメン ベン
クリスティーネ ヨースト,
クリスティーネ ヨースト,
カール ノルマン,
カール ノルマン,
モニカ ヴィフヴェッソン,
モニカ ヴィフヴェッソン,
Original Assignee
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=61163694&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP6942804(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by テレフオンアクチーボラゲット エルエム エリクソン(パブル), テレフオンアクチーボラゲット エルエム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Publication of JP2020507268A publication Critical patent/JP2020507268A/ja
Priority to JP2021145830A priority Critical patent/JP7235818B2/ja
Application granted granted Critical
Publication of JP6942804B2 publication Critical patent/JP6942804B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/02Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration by periodical registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/34Reselection control
    • H04W36/38Reselection control by fixed network equipment
    • H04W36/385Reselection control by fixed network equipment of the core network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/20Selecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/142Reselecting a network or an air interface over the same radio air interface technology

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Alarm Systems (AREA)
  • Lock And Its Accessories (AREA)
  • Stored Programmes (AREA)
  • Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Saccharide Compounds (AREA)
  • Aiming, Guidance, Guns With A Light Source, Armor, Camouflage, And Targets (AREA)
  • Burglar Alarm Systems (AREA)

Description

本開示は一般に無線通信ネットワークにおけるセキュリティに関し、より詳細には、モビリティ管理領域の間で変更するときのセキュリティコンテキストハンドリングのための方法および装置に関する。
第3世代パートナーシッププロジェクト(3GPP)は、現在第5世代(5G)システム用の規格を開発している。5Gネットワークは多くの最新のシナリオおよび仕様事例をサポートするはずであり、モノのインターネット(IoT)用のイネイブラーになることが予期される。5Gシステムは、センサ、スマートウェアラブル、車両、機械など広範囲の最新デバイスのための接続性を提供することも予期される。5Gシステムでは柔軟性が重要な特性になるであろう。この最新の柔軟性が反映されるのは、オペレータによって事前にセットアップされて汎用集積回路カード(UICC)の中に安全に記憶された通常の認証およびキー共有(AKA)の認証情報ではなく、認証情報の代替認証方法および異なるタイプのサポートを指定するネットワークアクセスに関するセキュリティ要件である。より柔軟なセキュリティ機能により、工場主または企業が、認証およびアクセスのネットワークセキュリティのために独自のアイデンティティおよび認証情報の管理システムを導入することができるようになるであろう。
5Gシステムにおける最新のセキュリティ機能には、セキュリティアンカー機能(SEAF)の導入がある。SEAFの目的は、キー記憶のための安全なロケーションにアンカーを用意することにより、5Gコアネットワーク機能の配備における柔軟性およびダイナミック性に供することである。実際には、SEAFは、所望の柔軟性を達成するための仮想化を導入すると期待される。結果として、アクセスおよびモビリティ管理を担う5G機能であるアクセスおよびモビリティ管理機能(AMF)は、オペレータのコアネットワークほど潜在的に安全ではない領域に配備される可能性があり、一方、マスターキーは安全なロケーションにおけるSEAFに存続している。
SEAFは、KSEAFと表されるキーを確立してユーザ機器(UE)と共有するように意図されており、KSEAFは、制御プレーン保護(たとえばKCNキー)および無線インターフェース保護のためのキーなど他のキーを導出するために使用される。これらのキーは、一般に、Long Term Evolution(LTE)システムにおける非アクセス階層(NAS)キーおよびアクセス階層キー(KENB)に対応する。SEAFは安全なロケーションにあると想定されており、KSEAFキーはSEAFから離れないはずである。SEAFは、AMFと通信して、制御プレーン(CP)およびユーザ機器(UE)とのユーザプレーン(UP)トラフィックを保護するのに必要なキー材料(KSEAFキーから導出された)をセットアップする。この手法の利益の1つには、UEが1つのAMFによってサーブされた領域から別のAMFによってサーブされた領域に移動するたびに再認証するのを回避することがある。実際には、認証は、特にUEが動き回っているときコストのかかる手順である。
最近、SEAFとAMFを同一場所に配置する提案が導入されており、これは、まず第1にSEAFの目的を無効にする。LTEシステムにおけるセキュリティ設計は、概念的に、モビリティ管理エンティティ(MME)すなわちLTEシステムにおけるモビリティ管理を担うノードが常にオペレータコアネットワークの内部の安全なロケーションに配置されているという想定に基づくものであったことは注目に値する。この想定は、5GシステムにおけるAMFには当てはまらない。密集した領域では、AMFは、ネットワークのエッジのすぐ近くに配備されることがあり、したがって露出したロケーション(たとえばショッピングモール)に配備される可能性がある。したがってAMFの変更中に、AMFのうちの1つが、他のものと等しく安全な領域に配置されることがない可能性があり、したがって、ターゲットAMFまたはソースAMFは、他のものからそれ自体を保護しなければならないことがある。
エボルブドパケットシステム(EPS)は、MMEが安全なロケーションに常に配置されているという想定に依存していた。したがって、MMEの変更中に、最新のMMEは、以前のMMEからUEのセキュリティコンテキストを単純に取り込んだ。加えて、MMEは、任意選択でフォワードセキュリティのための最新の認証をトリガする可能性がある。
レガシー機構では、フォワードセキュリティ(すなわち旧式のMMEは最新のMMEによって使用されるセキュリティコンテキストを認識しない)は再認証によって達成され得るが、バックワードセキュリティのための機構がなかった(すなわち最新のMMEは旧式のMMEによって使用されるセキュリティコンテキストを認識しない)。最新のAMFは最新の認証をトリガし得、したがって旧式のAMFが最新のキーを決定するいかなる可能性も排除される。たとえば、再認証の必要性は、異なるAMFのロケーションを考慮に入れるオペレータの方針に基づき得る。
認証手順は最もコストのかかる手順のうちの1つであるため、これだけに頼るのは性能に関して効率的ではない。したがって、AMFを変更するときに再認証の必要性なしでセキュリティを提供する必要性が残されている。
本開示は、AMFの変更中の柔軟なセキュリティコンテキスト管理のための方法および装置に関する。本開示の一態様は、AMFの変更中にバックワードセキュリティを達成するための機構である。ターゲットAMFに現在のNASキーを渡す代わりに、ソースAMFは、最新のNASキーを導出してターゲットAMFに供給し、UEに、キー変更指示(KCI)を、直接的に、または何らかの他のネットワークノードを介して送る。次いで、UEは旧式のNASキーから最新のNASキーを導出することができる。いくつかの実施形態では、AMFは、UEに、最新のNASキーを導出する際に使用するキー生成パラメータを供給してよい。他の実施形態では、ターゲットAMFは、1つまたは複数のセキュリティアルゴリズムを変更してよい。
本開示の一態様によれば、UE向けのセキュリティコンテキストを保持するソースAMFがAMFの変更の必要性を決定する。AMFの変更の必要性を決定したことに応答して、ソースAMFは、最新の非アクセス階層キーを生成してターゲットAMFへ送る。いくつかの実施形態では、ソースAMFは、UEまたはターゲットAMFへKCIも送る。
本開示の一態様は、無線通信ネットワークのアクセスネットワークにおいてソース基地局によってハンドオーバ中に実施される方法を含む。ソース基地局は、UEのハンドオーバを開始するために、無線通信ネットワークのコアネットワークにおけるソースモビリティ管理機能へ第1のハンドオーバメッセージを送る。続いて、ソース基地局は、第1のハンドオーバメッセージに応答して、ソースモビリティ管理機能から第2のハンドオーバメッセージを受信する。第2のハンドオーバメッセージは、非アクセス階層キーが変更されたことを指示するKCIを含む。ソース基地局は、KCIと共に第2のハンドオーバメッセージをUEに転送する。
本開示の別の態様は、前節における上記の方法を遂行するように設定されたソース基地局を備える。一実施形態では、基地局は、エアインターフェースを通じてUEと通信するためのインターフェース回路と、ソース基地局からターゲット基地局へUEをハンドオーバするように適合された処理回路とを備える。処理回路は、UEのハンドオーバを開始するために、無線通信ネットワークのコアネットワークにおけるソースモビリティ管理機能へ第1のハンドオーバメッセージを送り、ハンドオーバメッセージに応答して、ソースモビリティ管理機能から、非アクセス階層キーが変更されたことを指示するキー変更指示を含む第2のハンドオーバメッセージを受信し、インターフェース回路を介して、UEにキー変更指示と共にハンドオーバ命令を転送するように設定されている。
本開示の別の態様は、無線通信ネットワークのコアネットワークにおけるソースモビリティ管理機能によってハンドオーバ中に実施される方法を含む。ソースモビリティ管理機能は、ソース基地局から、UEのハンドオーバが必要であることを指示する第1のハンドオーバメッセージを受信する。ソースモビリティ管理機能は、最新の非アクセス階層キーを生成して、無線通信ネットワークのコアネットワークにおけるターゲットモビリティ管理機能へ最新の非アクセス階層キーを送る。ソースモビリティ管理機能はまた、UEへ、第2のハンドオーバメッセージでKCIを送る。KCIは、非アクセス階層キーの変更を指示する。
本開示の別の態様は、前節における上記の方法を遂行するように設定されたソースモビリティ管理機能を含む。一実施形態では、ソースモビリティ管理機能は、通信ネットワークを通じて基地局およびターゲットモビリティ管理機能と通信するためのインターフェース回路と、処理回路とを備える。処理回路は、無線通信ネットワークのアクセスネットワークにおけるソース基地局から、UEのハンドオーバが必要であることを指示する第1のハンドオーバメッセージを受信し、最新の非アクセス階層キーを生成し、ハンドオーバメッセージに応答して、最新の非アクセス階層キーを、無線通信ネットワークのコアネットワークにおけるターゲットモビリティ管理機能へ送り、第2のハンドオーバメッセージで、非アクセス階層キーの変更を指示するキー変更指示をUEへ送るように設定されている。
本開示の別の態様は、無線通信ネットワークのコアネットワークにおけるターゲットモビリティ管理機能によってハンドオーバ中に実施される方法を含む。ターゲットモビリティ管理機能は、ソースモビリティ管理機能から最新の非アクセス階層キーを受信する。ターゲットモビリティ管理機能は、最新の非アクセス階層キーから導出された最新のアクセス階層キーを含む最新のセキュリティコンテキストを確立して、ターゲット基地局へ最新のアクセス階層キーを送る。
本開示の別の態様は、前節における上記の方法を遂行するように設定されたターゲットモビリティ管理機能を含む。一実施形態では、ターゲットモビリティ管理機能は、通信ネットワークを通じてターゲット基地局およびソースモビリティ管理機能と通信するためのインターフェース回路と、処理回路とを備える。処理回路は、ソースモビリティ管理機能から最新の非アクセス階層キーを受信し、最新の非アクセス階層キーから導出された最新のアクセス階層キーを含む最新のセキュリティコンテキストを確立して、ターゲット基地局へ最新のアクセス階層キーを送るように設定されている。
本開示の別の態様は、無線通信ネットワークにおけるUEによってハンドオーバ中に実施される方法を含む。UEは、無線通信ネットワークのソースモビリティ管理機能の領域におけるソース基地局から、KCIを含むハンドオーバメッセージを受信する。KCIは、非アクセス階層キーが変更されたことをUEに指示する。UEは、ソース基地局から、ターゲットモビリティ管理機能の領域におけるターゲット基地局へのハンドオーバを遂行する。UEは、KCIに応答して、ターゲットモビリティ管理機能に対する最新のセキュリティコンテキストを確立する。最新のセキュリティコンテキストは最新の非アクセス階層キーを含む。UEは、任意選択で、最新の非アクセス階層キーを使用してターゲットモビリティ管理機能と通信してよい。
本開示の別の態様は、前節における上記の方法を遂行するように設定されたUEを備える。一実施形態では、UEは、無線通信ネットワークのアクセスネットワークにおける1つまたは複数の基地局と通信するためのインターフェース回路と、処理回路とを備える。処理回路は、無線通信ネットワークの第1のモビリティ管理領域におけるソース基地局から、キー変更指示を含むハンドオーバメッセージを受信し、ソース基地局から、無線通信ネットワークの第2のモビリティ管理領域におけるターゲット基地局へのハンドオーバを遂行し、キー変更指示に応答して、ターゲットモビリティ管理機能に対する最新のセキュリティコンテキストを確立するように設定されており、前記最新のセキュリティコンテキストは最新の非アクセス階層キーを含む。
本開示の別の態様は、アイドルモードのUEがモビリティ管理機能を変更するとき、無線通信ネットワークのコアネットワークにおけるソースモビリティ管理機能によってハンドオーバ中に実施される方法を含む。ソースモビリティ管理機能は、ターゲットモビリティ管理機能から、UE向けのセキュリティコンテキストの要求を受信する。ソースモビリティ管理機能は、最新の非アクセス階層キーを生成し、要求に応答して、最新の非アクセス階層キーおよびKCIをターゲットモビリティ管理機能へ送る。KCIは、非アクセス階層キーの変更を指示する。
本開示の別の態様は、前節における方法を遂行するように設定されたソースモビリティ管理機能を含む。一実施形態では、ソースモビリティ管理機能は、通信ネットワークを通じて基地局およびターゲットモビリティ管理機能と通信するためのインターフェース回路と、処理回路とを備える。処理回路は、ターゲットモビリティ管理機能から、UE向けのセキュリティコンテキストの要求を受信し、最新の非アクセス階層キーを生成し、要求に応答して、最新の非アクセス階層キーおよびKCIをターゲットモビリティ管理機能へ送るように設定されている。KCIは、非アクセス階層キーの変更を指示する。
本開示の別の態様は、アイドルモードのUEがモビリティ管理機能を変更するとき、無線通信ネットワークのコアネットワークにおけるターゲットモビリティ管理機能によってハンドオーバ中に実施される方法を含む。ターゲットモビリティ管理機能は、UEから、モビリティ管理機能の変更を指示する登録メッセージまたは他の制御メッセージを受信する。ターゲットモビリティ管理機能は、無線通信ネットワークにおけるソースモビリティ管理機能からのセキュリティコンテキストを要求する。ターゲットモビリティ管理機能は、要求に応答して、最新の非アクセス階層キーと、非アクセス階層キーが変更されたことを指示するKCIとを受信する。ターゲットモビリティ管理機能はKCIをUEへ送り、任意選択で、UE向けに最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立する。
本開示の別の態様は、前節における方法を遂行するように設定されたターゲットモビリティ管理機能を含む。一実施形態では、ターゲットモビリティ管理機能は、通信ネットワークを通じてターゲット基地局およびソースモビリティ管理機能と通信するためのインターフェース回路と、処理回路とを備える。処理回路は、UEから、モビリティ管理機能の変更を指示する登録メッセージまたは他の制御メッセージを受信し、登録メッセージに応答して、無線通信ネットワークにおけるソースモビリティ管理機能からのセキュリティコンテキストを要求し、要求に応答して、最新の非アクセス階層キーと、非アクセス階層キーが変更されたことを指示するKCIとを受信し、KCIをUEへ送り、任意選択で、UE向けに最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立するように設定されている。
本開示の別の態様は、アイドルモードのUEがAMFを変更するとき、無線通信ネットワークにおいてUEによってハンドオーバ中に実施される方法を含む。UEは、無線通信ネットワークにおけるターゲットモビリティ管理機能に、登録メッセージまたは他の制御メッセージを送る。UEは、登録メッセージまたは他の制御メッセージに応答して、非アクセス階層キーが変更されたことを指示するKCIを受信する。UEは、KCIに応答して最新の非アクセス階層キーを生成する。UEは、最新の非アクセス階層キーを生成した後に、任意選択で、ターゲットモビリティ管理機能に対する最新のセキュリティコンテキスト(最新の非アクセス階層キーを含む)を確立して、その後、最新の非アクセス階層キーを使用して、ターゲットモビリティ管理機能と通信し得る。
本開示の別の態様は、前節における上記の方法を遂行するように設定されたUEを備える。一実施形態では、UEは、無線通信ネットワークのアクセスネットワークにおける1つまたは複数の基地局と通信するためのインターフェース回路と、処理回路とを備える。処理回路は、無線通信ネットワークにおけるターゲットモビリティ管理機能に、登録メッセージまたは他の制御メッセージを送り、登録メッセージまたは他の制御メッセージに応答して、非アクセス階層キーが変更されたことを指示するKCIを受信し、KCIに応答して最新の非アクセス階層キーを生成するように設定されている。UEは、最新の非アクセス階層キーを生成した後に、任意選択で、ターゲットモビリティ管理機能に対する最新のセキュリティコンテキスト(最新の非アクセス階層キーを含む)を確立して、その後、最新の非アクセス階層キーを使用して、ターゲットモビリティ管理機能と通信し得る。
本開示の他の態様および実施形態は、列挙された実施形態に含まれる。
例示的無線通信ネットワークの図である。 ハンドオーバ中のセキュリティコンテキストハンドリングのための手順の図である。 UEがアイドルモードにおいてAMFを変更するときの、セキュリティコンテキストハンドリングのための第1の手順の図である。 第1の例示的キー生成手順の図である。 第2の例示的キー生成手順の図である。 ハンドオーバ中のセキュリティコンテキストハンドリングのための第2の手順の図である。 ハンドオーバ中のセキュリティコンテキストハンドリングのための第3の手順の図である。 UEがアイドルモードにおいてAMFを変更するときの、セキュリティコンテキストハンドリングのための第2の手順の図である。 ハンドオーバ中にソース基地局によって実施される方法の図である。 図9の方法を遂行するように設定された例示的基地局の図である。 ハンドオーバ中にソースAMFによって実施される方法の図である。 図9の方法を遂行するように設定された例示的ソースAMFの図である。 ハンドオーバ中にターゲットAMFによって実施される方法の図である。 図13の方法を遂行するように設定された例示的ターゲットAMFの図である。 ハンドオーバ中にUEによって実施される方法の図である。 図15の方法を遂行するように設定された例示的UEの図である。 UEがアイドルモードにおいてAMFを変更するとき、ソースAMFによって実施される方法の図である。 図9の方法を遂行するように設定された例示的ソースAMFの図である。 UEがアイドルモードにおいてAMFを変更するとき、ターゲットAMFによって実施される方法の図である。 図19の方法を遂行するように設定された例示的ターゲットAMFの図である。 UEがアイドルモードにおいてAMF間を移動するとき、UEによって実施されるロケーション更新方法の図である。 図21の方法を遂行するように設定された例示的UEの図である。 本明細書で説明されたようなセキュリティコンテキストのハンドリング手順を実施するように設定された例示的基地局の図である。 本明細書で説明されたようなセキュリティコンテキストのハンドリング手順を実施するように設定された例示的コアネットワークノードの図である。 本明細書で説明されたようなセキュリティコンテキストのハンドリング手順を実施するように設定された例示的UEの図である。
次に図面を参照して、本開示の例示的実施形態を、5G無線通信ネットワークの状況において説明する。当業者なら、本明細書で説明された方法および装置は5Gネットワークにおける使用に限定されず、他の規格に従って動作する無線通信ネットワークにも使用され得ることを理解するであろう。
図1は、1つの例示的実施形態による無線通信ネットワーク10を示す。無線通信ネットワーク10は無線アクセスネットワーク(RAN)20およびコアネットワーク30を備える。RAN20は、無線通信ネットワーク10の内部で動作するUE70に無線アクセスを提供する1つまたは複数の基地局25を備える。基地局25はgNodeB(gNB)とも称される。コアネットワーク30は、RAN20と他のパケットデータネットワーク80との間の接続を提供する。
1つの例示的実施形態では、コアネットワーク30は、認証サーバ機能(AUSF)35と、アクセスおよびモビリティ管理機能(AMF)40と、セッション管理機能(SMF)45と、ポリシー制御機能(PCF)50と、統合データ管理(UDM)機能55と、ユーザプレーン機能(UPF)60とを含む。無線通信ネットワーク10のこれらの構成要素は、1つまたは複数のコアネットワークノードに存在する論理エンティティを備える。論理エンティティの機能は、1つまたは複数のプロセッサ、ハードウェア、ファームウェア、またはそれらの組合せによって実施され得る。これらの機能は単一のコアネットワークノードに存在してよく、または2つ以上のコアネットワークノードの間で分配されてもよい。
AMF40は、とりわけ、LTEにおけるMMEに類似のモビリティ管理機能を遂行する。AMFおよびMMEは、本明細書では総称的にモビリティ管理機能と称される。図1に示される例示的実施形態では、AMF40は非アクセス階層(NAS)セキュリティに関する終了点である。AMF40がUE70と共有する、コアネットワークキー(KCN)と表されるキーは、インテグリティおよび機密性保護のためのNAS下位レベルプロトコルキーを導出するのに使用される。KCNは、一般に、エボルブドパケットシステム(EPS)におけるKASMEという名のベースキーと等しい。KCNキーは、一般に、5G規格において使用されるKAMFキーと等しい。認証に続いて、常に、最新のKCNが使用される。認証の後にKCNキーを確立するやり方は本開示の材料態様ではない。本明細書で説明された方法および装置は、認証の後にKCNを計算するのに使用される特定の方法には依拠しない。すなわち、セキュリティコンテキストのハンドリング方法は、KCNがより高いレベルのキーから導出されるかそれともEPSにおけるKASMEの確立に類似の認証手順によって直接確立されるかということに関係なく、うまく機能する。
UE70は、一旦認証されると、ネットワークの内部のセルの間で移動してよい。UE70が接続モードのままセルの間を移動するとき、ハンドオーバが実行される。アイドルモードのUE70がセルの間を移動するとき、ロケーション更新手順が実行され得る。AMF40は、それ自体の領域においてUE70のロケーションを追跡する。一般的には、コアネットワーク30は、それぞれの領域においてモビリティ管理サービスをそれぞれ提供する複数のAMF40を有することになる。UE70が異なるAMF40によって監視されたセルの間を移動するとき、ソースAMF40からターゲットAMF40へセキュリティコンテキストが転送されなければならない。
LTEシステムでは、セキュリティコンテキストは、MME間のハンドオーバまたはロケーション更新中に、ソースモビリティ管理エンティティ(MME)からターゲットMMEへ変更なく転送される。AMFの変更に続いて、最新のNASおよびアクセス階層(AS)キーを使用するNASセキュリティモード命令(SMC)の手順が遂行され得る。たとえばNASレベルにおいてアルゴリズム変更が必要とされるとき、NASキーおよびASキーを生成する必要があり得る。一般に、NASプロトコル層において使用されるアルゴリズムを変更しても、ASキーに対する影響はない。しかしながら、主要なNASコンテキストキーが変更されると、現在のASキーが失効する。
本開示の一態様は、AMFの変更中にバックワードセキュリティを達成するための機構である。ソースAMF40は、ターゲットAMF40に現在のNASキーを渡す代わりに、最新のNASキーを導出してターゲットAMF40に供給し、UE70へKCIを送る。次いで、UE70は旧式のNASキーから最新のNASキーを導出することができる。いくつかの実施形態では、ソースAMF40は、UE70に、最新のNASキーを導出する際に使用するキー生成パラメータを供給してよい。他の実施形態では、ターゲットAMF40は、1つまたは複数のセキュリティアルゴリズムを変更してよい。
図2は、AMFが変化するハンドオーバ中にセキュリティコンテキストを転送するための例示的手順を示す。ステップ1において、ソース基地局25(たとえばソースgNB)は、たとえばターゲット基地局25(たとえばターゲットgNB)に対するXn接続性がないことにより、N2ベースのハンドオーバを開始すると判断する。Xnインターフェースは、EPSにおけるX2インターフェースの5Gの相当物である。ステップ2において、ソース基地局25は、ハンドオーバが必要であるとのメッセージ(またはハンドオーバが必要であるとのメッセージの5Gの相当物)をソースAMF40へ送る。これは、UE70に現在サーブしているAMF40であり、本明細書ではKCNキーと参照される非アクセス階層キーに基づくフルNASセキュリティコンテキストをUE70と共有する。KCNキーは、場合により、以前の認証またはAMF40変更手順に続いて確立されたものである。ステップ3において、ソースAMF40はターゲットAMF40を選択し、それ自体と、以前のセッションのすべてとをターゲットAMF40から保護するために最新のKCNキーを導出すると判断する。最新のキーを導出することの判断は、オペレータの固有のセキュリティポリシーに基づき得る。
例として、AMFセットが変化するとき最新のKCNキーが使用され得る。一般に、AMFセットが変化しないとき水平のキー導出は不要であると想定されている。これら2つの想定を支持する現在の論拠は、5GセキュリティコンテキストがAMFセットの内部で非体系的なデータ記憶ネットワーク機能(UDSF)に記憶されるということである。したがって、UEが同一のAMFセットの内部の異なるAMFを割り当てられるときには、KCNの水平の導出は不要である。しかし、UEが異なるAMFセットにおける異なるAMFを割り当てられるときには、UDSFは異なり、KCNの水平の導出が必要である。しかしながら、これらの想定は、すべての可能性のあるネットワーク配備にとって成り立つとは限らない。第1に、UDSFは任意選択のネットワーク機能である。さらに、ネットワークアーキテクチャを、AMFセットの内部にのみ共有される記憶がある配備に制限する理由はない。いくつかのネットワーク配備は、複数のAMFセットにわたって安全な記憶を有する可能性がある。この場合、AMFセットが変化するとき、KCNの水平の導出を指定する必要はない。同様に、いくつかのネットワーク配備は、単一のAMFセットの内部の複数の安全な記憶を使用し得る。この場合、UE70がAMFセットを変更しないときでも、水平のキー導出は望ましいであろう。したがって、AMFの間で変化するときKCNの水平の導出を遂行することの判断は、AMFセットに基づいて指定する/制限するのではなく、ネットワークポリシーによってなされるべきである。たとえば、ネットワークオペレータは、UE70がソースAMF40から同一の安全な記憶を共有しないターゲットAMF40へと変更するときには、最新のKCNが必要であるというポリシーを有してよい。
図2に戻って、ソースAMF40は、ステップ4において、UE能力など任意の関連するセキュリティパラメータとともに、最新のKCNキーを含むフォワードリロケーション要求メッセージ(または5Gの相当物)を送る。ターゲットAMF40は、このKCNキーを使用して最新のセキュリティコンテキストをセットアップして、最新のASキーを導出する。ステップ5において、ターゲットAMF40は、ターゲット基地局25へハンドオーバ要求(または5Gの相当物)を送る。ハンドオーバ要求は、最新のASキーと、UE能力などすべての関連するセキュリティパラメータとを含む。これは、ターゲット基地局25においてUE70のセキュリティコンテキストを確立する。ステップ6において、ターゲット基地局25はハンドオーバ要求を承認する。承認に応答して、ターゲットAMF40は、ステップ7において、透過コンテナを含むフォワードリロケーション応答メッセージ(または5Gの相当物)をソースAMF40へ送る。このコンテナは、ステップ8および9において、UE70までずっと転送される。
ステップ8および9において、ソースAMF40はソース基地局25を介してUE70へハンドオーバ命令メッセージを送り、ソース基地局25はハンドオーバ命令をUE70に転送する。ハンドオーバ命令は、フォワードリロケーション応答メッセージからの関連情報と、最新のKCNが導出されたことを指示するKCIとを含む。KCIは、KCNキーが変更されたことを指示する値にセットされた明示的キー変更インジケータフラグを含み得る。UE70は、KCIに応答して、最新のセキュリティコンテキストを確立して最新のKCNを導出する。UE70は、最新のKCNキーを使用して、ターゲット基地局25と通信するための最新のASキーを導出する。
図3は、アイドルモードのUE70がAMF40を変更するとき、セキュリティコンテキストを転送するための例示的手順を示す。EPSでは、アイドルモード中のロケーション更新は、UE70によってトラッキングエリア更新(TAU)要求で指示される。5Gでは、TS 23.502の4.1.1.2節に規定されているように、UE70は「モビリティ登録」タイプの登録要求を使用することが予期される。
ステップ1において、UE70は最新のAMF40(すなわちターゲットAMF)へ登録要求(登録タイプ=モビリティ登録、他のパラメータ)を送る。当業者なら、ロケーション更新を開始するために他のメッセージが送られてもよいことを理解するであろう。登録要求メッセージは、最新のAMF40が、現在UE70のセキュリティコンテキストを保持している旧式のAMF40(すなわちソースAMF)を識別することを可能にするために必要な情報をすべて含む。ステップ2において、最新のAMF40は、登録要求メッセージに応答して、旧式のAMF40にコンテキスト要求メッセージを送り、UE70向けのセキュリティコンテキストを要求する。ステップ3において、旧式のAMF40は、それ自体と、以前のセッションのすべてとをターゲットAMF40から保護するために最新のKCNキーを導出すると判断する。判断は、オペレータの固有のセキュリティポリシーに基づくものでよい。
ステップ4において、旧式のAMF40は最新のAMF40へコンテキスト要求応答メッセージを送る。コンテキスト要求応答メッセージは、最新のKCNキーを含む必要なUE70のセキュリティコンテキスト情報を含有している。コンテキスト要求応答メッセージは、NASキー(KCN)が変更されたことを指示するKCIをさらに含む。旧式のKCNキーは最新のAMF40へ送られない。最新のAMF40は、最新のKCNキーを使用して最新のセキュリティコンテキストを確立し、NAS SMCの手順またはTS 33.401の7.2.4.4節に規定されているようなUE70との類似の手順を遂行することにより、最新のセキュリティコンテキストを活性化する。ステップ5において、UE70は、NAS SMCの手順の第1のダウンリンクメッセージにおけるKCI、またはNAS SMCの手順中に送られた他のメッセージによって、キー変更を通知される。
CNキーに基づくNASセキュリティコンテキストは、UE70とUE70に現在サーブしているAMF40との間で共有される。セキュリティコンテキストは、NASカウンタ、キーセット識別子など、LTEシステムのものに類似のセキュリティパラメータを含む。1つの例示的実施形態では、AMF40の変更中に最新のKCNキーを生成するために、水平のキー導出機構が使用される。最新のKCNの導出は、単に以前のKCNに基づくものでよい。セキュリティの観点からすれば、キー導出ステップにおける追加の入力からの利益はない。
図4は、第1のキー導出手順を示す。この実施形態では、キー導出機能(KDF)は、単に旧式のKCNキーに基づいて最新のKCNキーを導出すると想定されている。AMF40からAMF40へのこのキー連鎖は、最新の認証が遂行されるまで継続してよい。AMF40の変更中にどのセキュリティ機構が選択されるかに関してどのようにAMF40を設定するかは、オペレータのポリシーに委ねられてよい。たとえば、オペレータは、オペレータのセキュリティ要件に依拠して、ターゲットAMF40において再認証を遂行するべきか、それともソースAMF40におけるキー変更が必要か、といったと判断することができる。
図5は、別のキー導出手順を示す。この実施形態は、AMF40が、複数の可能性のあるターゲットAMF40向けにあらかじめキーを準備する必要があるシナリオにおいて有用であり得る。この場合、暗号を分離するために追加のキー導出パラメータ(KDP)が必要とされ、その結果、異なる可能なターゲットAMF40のために異なるKCNキーが準備される。パラメータのタイプに依拠して、UE70には、KCIに加えて選ばれたKDPが備わっていなければならないことがある。いくつかの実施形態では、KDPが暗示的KCIとしてサーブしてよく、その結果、個別のKCIが不要になる。たとえば、KDPがソースAMF40によって生成されたノンスを含む場合には、ノンスはUE70に供給されなければならない。他の可能性のあるKDPは、タイムスタンプ、バージョン番号、および鮮度パラメータを含む。接続モードにおけるハンドオーバ中に、KDPが、ハンドオーバ命令で、ソースAMF40からソース基地局25を介してUE70へ送られ得る。あるいは、KDPは、透過的NASコンテナで、ターゲットAMF40を介してUE70へ送られてもよい。KDPは、登録またはロケーションの更新手順中に、ターゲットAMF40からNAS SMCで送られ得る。しかしながら、KDPが、AMFの公開識別子のようなパラメータなど、UE70に対して他の点で役に立つシナリオでは、UE70にKDPパラメータを供給する必要はないであろう。より一般的には、UE70およびソースAMF40に認識されている静的ネットワーク設定パラメータまたは静的UE設定パラメータなど任意の静的情報がKDPとして使用され得る。
図6は、最新のKCNキーを導出するためにKDPが使用されるハンドオーバ手順を示す。この手順は、図2に示された手順と全般的に同一である。簡潔さのために、変らないステップは説明されない。ステップ3において、ソースAMF40はターゲットAMF40を選択し、それ自体と、以前のセッションのすべてとをターゲットAMF40から保護するために最新のKCNキーを導出すると判断する。この実施形態では、ソースAMF40はKDP(たとえばバージョン番号)を生成し、KDPを使用して最新のKCNキーを導出する。ステップ4において、ソースAMF40は、UE能力など任意の関連するセキュリティパラメータとともに、最新のKCNキーを含むフォワードリロケーション要求メッセージ(または5Gの相当物)を送る。ターゲットAMF40は、このKCNキーを使用して最新のセキュリティコンテキストをセットアップし、最新のASキーを導出する。ソースAMF40は最新のAMF40にKDPを供給しない。代わりに、ステップ8において、ソースAMF40はソース基地局25へハンドオーバ命令を送り、ハンドオーバ命令は、KCIに加えて、またはKCIの代わりに、KDPを含む。前述のように、KDPは暗示的KCIとしてサーブし得る。UE70は、KCIおよび/またはKDPに応答し、KDPを使用して最新のセキュリティコンテキストを確立して最新のKCNを導出する。UE70は、最新のKCNキーを使用して、ターゲット基地局25と通信するための最新のASキーを導出し得る。
LTEシステムでは、ターゲットAMF40におけるNASアルゴリズム変更は、NAS SMCの手順によってのみ効力が生じ得る。UE70の能力が他のUE70のコンテキスト情報とともにターゲットAMF40に送られているので、ターゲットAMF40は、どの最新のNASアルゴリズムが選択されたか指示することが可能である。図7は、ターゲットAMF40が、1つまたは複数の最新のNASセキュリティアルゴリズム(たとえば暗号アルゴリズム)を選択する例示的ハンドオーバ手順を示す。ステップ1〜4は図2で説明されたものと同一である。ステップ5において、ターゲットAMF40は1つまたは複数の最新のNASセキュリティアルゴリズムを選択する。ステップ6および7は図2のステップ5および6と同一である。ステップ8において、ターゲットAMF40は、ソースAMF40へ送られるフォワードリロケーション応答メッセージのソース情報要素への透過コンテナの中に、最新のセキュリティアルゴリズムの指示を含む。このコンテナは、ステップ9および10において、UE70までずっと転送される。セキュリティアルゴリズムの指示は、ハンドオーバ命令または個別のメッセージの中にKCIとともに含まれ得る。結果として、UE70は、NAS SMCの手順の必要性なしで、ターゲットAMF40とともにNASセキュリティコンテキストを活性化するのに必要なパラメータをすべて有する。この機構は、KCNキーがどのように導出されるかということと関係なく作動する。
図8は、アイドルモードのUE70がAMF40を変更するとき、セキュリティコンテキストを転送するための例示的手順を示す。この手順は、図3に示された手順に類似している。EPSでは、アイドルモード中のロケーション更新は、UE70によってトラッキングエリア更新(TAU)要求で指示される。5Gでは、TS 23.502の4.1.1.2節に規定されているように、UE70は「モビリティ登録」タイプの登録要求を使用することが予期される。
ステップ1において、UE70は最新のAMF40(すなわちターゲットAMF)へ登録要求(登録タイプ=モビリティ登録、他のパラメータ)を送る。当業者なら、ロケーション更新を開始するために他のメッセージが送られてもよいことを理解するであろう。登録要求メッセージは、最新のAMF40が、現在UE70のセキュリティコンテキストを保持している旧式のAMF40(すなわちソースAMF)を識別することを可能にするために必要な情報をすべて含む。ステップ2において、最新のAMF40は、登録要求メッセージに応答して、旧式のAMF40にコンテキスト要求メッセージを送り、UE70向けのセキュリティコンテキストを要求する。ステップ3において、旧式のAMF40は、それ自体と、以前のセッションのすべてとをターゲットAMF40から保護するために最新のKCNキーを導出すると判断する。判断は、オペレータの固有のセキュリティポリシーに基づくものでよい。
代替形態1と表された一実施形態では、ステップ4Aにおいて、旧式のAMF40が最新のAMF40へコンテキスト要求応答メッセージを送る。コンテキスト要求応答メッセージは、最新のKCNキーを含む必要なUE70のセキュリティコンテキスト情報を含有している。コンテキスト要求応答メッセージは、NASキー(KCN)が変更されたことを指示するKCIと、最新のKCNキーを導出するのに使用されるKDPとをさらに含む。旧式のKCNキーは最新のAMF40へ送られない。最新のAMF40は、最新のKCNキーを使用して最新のセキュリティコンテキストを確立し、NAS SMCの手順またはTS 33.401の7.2.4.4節に規定されているようなUE70との類似の手順を遂行することにより、最新のセキュリティコンテキストを活性化する。ステップ5Aにおいて、KCIおよびKDP(たとえば鮮度パラメータまたはノンス)は、NAS SMCの手順の第1のダウンリンクメッセージまたはNAS SMCの手順における他のダウンリンクメッセージで、UE70へ送られる。KCIは、KCNキーが変更されたことをUE70に指示する。KDPは、UE70が最新のKCNキーを導出するために使用するセキュリティパラメータである。この実施形態では、KCIとKDPは個別のパラメータである。
代替形態2と表された別の実施形態では、ステップ4Bにおいて、旧式のAMF40が最新のAMF40へコンテキスト要求応答メッセージを送る。コンテキスト要求応答メッセージは、最新のKCNキーを含む必要なUE70のセキュリティコンテキスト情報を含有している。コンテキスト要求応答メッセージは、NASキー(KCN)が変更されたことを暗示的に指示するKDPをさらに含む。旧式のKCNキーは最新のAMF40へ送られない。最新のAMF40は、最新のKCNキーを使用して最新のセキュリティコンテキストを確立し、NAS SMCの手順またはTS 33.401の7.2.4.4節に規定されているようなUE70との類似の手順を遂行することにより、最新のセキュリティコンテキストを活性化する。ステップ5Bにおいて、最新のAMF40は、NAS SMCの手順の第1のダウンリンクメッセージまたはNAS SMCの手順におけるいくつかの他のダウンリンクメッセージで、UE70へKDP(たとえば鮮度パラメータまたはノンス)を送る。KDPは、NASキーが変更されたことをUE70に指示するためのキー変更指示として機能する。UE70は、KDPおよびそれ自体の旧式のKCNキーを使用して最新のKCNキーを導出する。
図9は、無線通信ネットワーク10のアクセスネットワークにおけるソース基地局25によってハンドオーバ中に実施される例示的方法100を示す。ソース基地局25は、UE70のハンドオーバを開始するために、無線通信ネットワーク10のコアネットワーク30におけるソースAMF40へ第1のハンドオーバメッセージを送る(ブロック105)。続いて、ソース基地局25は、第1のハンドオーバメッセージに応答して、ソースAMF40から第2のハンドオーバメッセージ受信する(ブロック110)。第2のハンドオーバメッセージは、非アクセス階層キー(たとえばKCN)が変更されたことを指示するKCIを含む。ソース基地局25は、KCIと共に第2のハンドオーバメッセージをUE70に転送する(ブロック115)。
方法100のいくつかの実施形態では、KCIは、非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む。他の実施形態では、KCIは、非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む。セキュリティパラメータは、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む。
方法100のいくつかの実施形態は、UE70が最新の非アクセス階層キーを生成するために必要とするKDPをソースAMF40から受信することと、KDPをUE70に転送することとをさらに含む。いくつかの例では、KDPはKCIとともに第2のハンドオーバメッセージで受信される。KDPは、たとえば、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む。いくつかの実施形態では、キー導出は暗示的KCIとしてサーブする。
方法100のいくつかの実施形態は、UE70が使用する少なくとも1つのセキュリティアルゴリズムを指示するセキュリティアルゴリズムパラメータをソースAMF40から受信することと、セキュリティアルゴリズムパラメータをUE70に転送することとをさらに含む。一例では、セキュリティアルゴリズムパラメータはKCIとともに第2のハンドオーバメッセージで受信される。
方法100の一実施形態では、第1のハンドオーバメッセージは、UE70のハンドオーバの必要性を指示する、ハンドオーバが必要であるとのメッセージを含む。
方法100の一実施形態では、第2のハンドオーバメッセージは、KCIを含むハンドオーバ命令を含む。
方法100の一実施形態では、非アクセス階層キーはコアネットワークキー(KCN)を含む。
図10は、図9に示された方法100を遂行するように設定された例示的基地局120である。基地局120は、送信ユニット125、受信ユニット130および転送ユニット135を備える。送信ユニット125は、UE70のハンドオーバを開始するために、無線通信ネットワーク10のコアネットワーク30におけるソースAMF40へ第1のハンドオーバメッセージを送るように設定されている。受信ユニット130は、第1のハンドオーバメッセージに応答して、ソースAMF40から第2のハンドオーバメッセージを受信するように設定されている。転送ユニット135は、KCIとともに第2のハンドオーバメッセージをUE70に転送するように設定されている。KCIは非アクセス階層キー(たとえばKCN)の変更を指示する。送信ユニット125、受信ユニット130および転送ユニット135は、ハードウェア回路、マイクロプロセッサ、および/または図9に示された方法を遂行するように設定されたソフトウェアを備え得る。いくつかの実施形態では、送信ユニット125、受信ユニット130および転送ユニット135は、単一のマイクロプロセッサによって実施される。他の実施形態では、送信ユニット125、受信ユニット130および転送ユニット135は、2つ以上のマイクロプロセッサによって実施され得る。
図11は、無線通信ネットワーク10のコアネットワーク30におけるソースAMF40によってハンドオーバ中に実施される例示的方法150を示す。ソースAMF40は、ソース基地局25から、UE70のハンドオーバが必要であることを指示する第1のハンドオーバメッセージを受信する(ブロック155)。ソースAMFは、最新の非アクセス階層キー(たとえばKCN)を生成して(ブロック160)、無線通信ネットワーク10のコアネットワーク30におけるターゲットAMF40へ最新の非アクセス階層キーを送る(ブロック165)。ソースAMF40はまた、第2のハンドオーバメッセージでUE70へKCIを送る(ブロック170)。KCIは、非アクセス階層キーの変更を指示する。
方法150のいくつかの実施形態では、最新の非アクセス階層キーを生成することは、以前の非アクセス階層キーから最新の非アクセス階層キーを生成することを含む。他の実施形態では、最新の非アクセス階層キーを生成することは、以前の非アクセス階層キーおよびKDPから最新の非アクセス階層キーを生成することを含む。いくつかの実施形態では、ソースAMFは、第2のハンドオーバメッセージで、KCIとともにKDPをUE70へ送る。
方法150のいくつかの実施形態は、ターゲットAMF40を選択することと、ターゲットAMF40の選択に依拠して最新の非アクセス階層キーを生成することとをさらに含む。
方法150のいくつかの実施形態は、それぞれが異なるターゲットAMF40向けの2つ以上の非アクセス階層キーを生成することをさらに含む。一例では、異なるKDPを使用して2つ以上の非アクセス階層キーが生成される。
方法150のいくつかの実施形態は、ターゲットAMF40へ1つまたは複数のセキュリティパラメータを送ることをさらに含む。一例では、1つまたは複数のセキュリティパラメータは、第2のハンドオーバメッセージでターゲットAMF40へ送信される。一例では、1つまたは複数のセキュリティパラメータはUEの能力情報を含む。
方法150のいくつかの実施形態は、少なくとも1つのセキュリティアルゴリズムを指示するセキュリティアルゴリズムパラメータをターゲットAMF40から受信することと、セキュリティアルゴリズムパラメータをUE70に転送することとをさらに含む。別の例では、セキュリティアルゴリズムパラメータは、ターゲットAMF40からフォワードリロケーション応答メッセージで受信される。
方法150の一実施形態では、第1のハンドオーバメッセージは、UE70のハンドオーバの必要性を指示する、ハンドオーバが必要であるとのメッセージを含む。
方法150の一実施形態では、第2のハンドオーバメッセージは、KCIを含むハンドオーバ命令を含む。
方法150の一実施形態では、最新の非アクセス階層キーは、フォワードリロケーション要求メッセージでターゲットAMF(40)へ送られる。
方法150の一実施形態では、非アクセス階層キーはコアネットワークキー(KCN)を含む。
図12は、図11に示された方法150を遂行するように設定された例示的ソースAMF175である。ソースAMF175は、受信ユニット180、キー生成ユニット185、第1の送信ユニット190および第2の送信ユニット195を備える。受信ユニット180は、ソース基地局25から、UE70のハンドオーバが必要であることを指示する第1のハンドオーバメッセージを受信するように設定されている。キー生成ユニット185は、本明細書で説明されたような最新の非アクセス階層キー(たとえばKCN)を生成するように設定されている。第1の送信ユニット190は、無線通信ネットワーク10のコアネットワーク30におけるターゲットAMF40へ最新の非アクセス階層キーを送るように設定されている。第2の送信ユニット195は、第2のハンドオーバメッセージで、UE70へKCIを送るように設定されている。KCIは、非アクセス階層キーの変更を指示する。受信ユニット180、キー生成ユニット185、第1の送信ユニット190および第2の送信ユニット195は、ハードウェア回路、マイクロプロセッサ、および/または図11に示された方法を遂行するように設定されたソフトウェアを備え得る。いくつかの実施形態では、受信ユニット180、キー生成ユニット185、第1の送信ユニット190および第2の送信ユニット195は、単一のマイクロプロセッサによって実施される。他の実施形態では、受信ユニット180、キー生成ユニット185、第1の送信ユニット190および第2の送信ユニット195は、2つ以上のマイクロプロセッサによって実施され得る。
図13は、無線通信ネットワーク10のコアネットワーク30におけるターゲットAMF40によってハンドオーバ中に実施される例示的方法200を示す。ターゲットAMF40は、ソースAMF40から最新の非アクセス階層キー(たとえばKCN)を受信する(ブロック205)。ターゲットAMFは、最新の非アクセス階層キーから導出された最新のアクセス階層キーを含む最新のセキュリティコンテキストを確立して(ブロック210)、ターゲット基地局25へ最新のアクセス階層キーを送る(ブロック215)。
方法200のいくつかの実施形態は、ソースモビリティ管理機能から1つまたは複数のセキュリティパラメータを受信することをさらに含む。一例では、1つまたは複数のセキュリティパラメータはUEの能力情報を含む。一実施形態では、セキュリティパラメータは最新の非アクセス階層キーとともに受信される。
方法200のいくつかの実施形態では、最新のセキュリティコンテキストを確立することは、1つまたは複数のセキュリティアルゴリズムを選択することを含む。一例では、セキュリティアルゴリズムのうちの少なくとも1つはUEの能力情報に基づいて選択される。
方法200のいくつかの実施形態は、最新のセキュリティコンテキストに関する少なくとも1つのセキュリティアルゴリズムを指示するセキュリティアルゴリズムパラメータをソースモビリティ管理機能へ送ることをさらに含む。
方法200のいくつかの実施形態では、ソースモビリティ管理機能から、フォワードリロケーション要求メッセージで、最新の非アクセス階層キーが受信される。
方法200のいくつかの実施形態では、最新のアクセス階層キーがハンドオーバ要求でターゲット基地局へ送られる。
方法200のいくつかの実施形態では、セキュリティアルゴリズムパラメータがフォワードリロケーション応答メッセージでソースモビリティ管理機能へ送られる。
方法200のいくつかの実施形態では、非アクセス階層キーはコアネットワークキー(KCN)を含む。
図14は、図13に示された方法200を遂行するように設定された例示的ターゲットAMF220である。ターゲットAMF220は、受信ユニット225、セキュリティユニット230および送信ユニット235を備える。受信ユニット225は、ソースAMF40から最新の非アクセス階層キー(たとえばKCN)を受信するように設定されている。セキュリティユニット230は、最新の非アクセス階層キーから導出された最新のアクセス階層キーを含む最新のセキュリティコンテキストを確立するように設定されている。送信ユニット235は、最新のアクセス階層キーをターゲット基地局25へ送るように設定されている。受信ユニット225、セキュリティユニット230および送信ユニット235は、ハードウェア回路、マイクロプロセッサ、および/または図13に示された方法を遂行するように設定されたソフトウェアを備え得る。いくつかの実施形態では、受信ユニット225、セキュリティユニット230および送信ユニット235は、単一のマイクロプロセッサによって実施される。他の実施形態では、受信ユニット225、セキュリティユニット230および送信ユニット235は、2つ以上のマイクロプロセッサによって実施され得る。
図15は、ハンドオーバ中に、無線通信ネットワーク10において、UE70によって実施される例示的方法250を示す。UE70は、無線通信ネットワーク10のソースAMF40の領域におけるソース基地局25から、KCIを含むハンドオーバメッセージを受信する(ブロック255)。KCIは、非アクセス階層キー(たとえばKCN)が変更されたことをUE70に指示する。UE70は、ソース基地局25から、ターゲットAMF40の領域におけるターゲット基地局25へのハンドオーバを遂行する(ブロック260)。UE70は、KCIに応答して、ターゲットAMF40に対する最新のセキュリティコンテキストを確立する(ブロック265)。最新のセキュリティコンテキストは最新の非アクセス階層キーを含む。UE70は、任意選択で、最新の非アクセス階層キーを使用してターゲットAMF40と通信してよい(ブロック270)。
方法250のいくつかの実施形態では、KCIは、非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む。他の実施形態では、KCIは、非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む。セキュリティパラメータは、最新の非アクセス階層キーを生成するために使用されるKDPを含む。
方法250のいくつかの実施形態は、KDPを使用して最新の非アクセス階層キーを生成することをさらに含む。一例では、KDPは、UE70およびソースAMFに認識されているノンス、タイムスタンプ、鮮度パラメータ、バージョン番号、および静的情報のうちの1つを含む。いくつかの実施形態では、KDPはKCIとともに第2のハンドオーバメッセージで受信される。いくつかの実施形態では、KDPは暗示的KCIとしてサーブする。
方法250のいくつかの実施形態は、最新の非アクセス階層キーから最新のアクセス階層キーを生成することと、最新のアクセス階層キーを使用してターゲット基地局25と通信することとをさらに含む。
方法250のいくつかの実施形態は、最新のセキュリティコンテキストにおいて使用される1つまたは複数のセキュリティアルゴリズムを識別するセキュリティアルゴリズムパラメータをソース基地局25から受信することをさらに含む。一例では、セキュリティアルゴリズムパラメータは、KCIとともにハンドオーバメッセージで受信される。
方法250のいくつかの実施形態では、ハンドオーバメッセージはハンドオーバ命令を含む。
方法250のいくつかの実施形態では、非アクセス階層キーはコアネットワークキー(KCN)を含む。
図16は、図15に示された方法250を遂行するように設定された例示的UE275である。UE275は、受信ユニット280、ハンドオーバユニット285およびセキュリティユニット290を備える。受信ユニット280は、無線通信ネットワーク10のソースAMF40の領域におけるソース基地局25から、KCIを含むハンドオーバメッセージを受信するように設定されている。KCIは、非アクセス階層キー(たとえばKCN)が変更されたことをUE70に指示する。ハンドオーバユニット285は、ソース基地局25からターゲットAMF40の領域におけるターゲット基地局25へのハンドオーバを遂行するように設定されている。セキュリティユニット290は、KCIに応答して、ターゲットAMF40に対する最新のセキュリティコンテキストを確立するように設定されている。UE275は、任意選択で、最新の非アクセス階層キーを使用してターゲットAMF40と通信するように設定された通信ユニット295も含み得る。受信ユニット280、ハンドオーバユニット285、セキュリティユニット290および通信ユニット295は、ハードウェア回路、マイクロプロセッサ、および/または図15に示された方法を遂行するように設定されたソフトウェアを備え得る。いくつかの実施形態では、受信ユニット280、ハンドオーバユニット285、セキュリティユニット290および通信ユニット295は、単一のマイクロプロセッサによって実施される。他の実施形態では、受信ユニット280、ハンドオーバユニット285、セキュリティユニット290および通信ユニット295は、2つ以上のマイクロプロセッサによって実施され得る。
図17は、アイドルモードのUE70がAMF40を変更するとき、通信ネットワーク10のコアネットワーク30におけるソースAMF40によって実施される例示的方法300を示す。ソースAMF40は、ターゲットAMF40から、UE70に関するセキュリティコンテキストの要求を受信する(ブロック305)。ソースAMF40は最新の非アクセス階層キー(たとえばKCN)を生成し(ブロック310)、要求に応答して最新の非アクセス階層キーおよびKCIをターゲットAMF40へ送る(ブロック315)。KCIは非アクセス階層キーの変更を指示する。
方法300のいくつかの実施形態では、最新の非アクセス階層キーを生成することは、旧式の非アクセス階層キーから最新の非アクセス階層キーを生成することを含む。他の実施形態では、KDPを生成すること、ならびに旧式の非アクセス階層キーおよびKDPから最新の非アクセス階層キーを生成すること。
方法300のいくつかの実施形態では、キー変更指示は、非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む。他の実施形態では、KCIは、非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む。セキュリティパラメータは、たとえば、最新の非アクセス階層キーを生成するために使用されるKDPを含み得る。
方法300のいくつかの実施形態は、要求に応答して、最新の非アクセス階層キーを生成するのに使用されるKDPを送信することをさらに含む。KDPは、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む。
方法300のいくつかの実施形態は、ターゲットAMF40を選択することと、ターゲットAMF40の選択に依拠して最新の非アクセス階層キーを生成することとをさらに含む。
方法300のいくつかの実施形態では、最新の非アクセス階層キーを生成することは、それぞれが異なるターゲットAMF40向けの2つ以上の非アクセス階層キーを生成することを含む。一例では、異なるKDPを使用して、2つ以上の非アクセス階層キーが生成される。
方法300のいくつかの実施形態は、ターゲットAMF40へ、最新の非アクセス階層キーとともに1つまたは複数のセキュリティパラメータを送ることをさらに含む。一例では、1つまたは複数のセキュリティパラメータはUEの能力情報を含む。
方法300のいくつかの実施形態では、セキュリティコンテキストの要求は、ターゲットAMF40からコンテキスト要求メッセージで受信される。
方法300のいくつかの実施形態では、最新の非アクセス階層キーは、コンテキスト要求応答メッセージでターゲットAMF40へ送られる。
方法300のいくつかの実施形態では、非アクセス階層キーはコアネットワークキー(KCN)を含む。
図18は、図17に示された方法300を遂行するように設定された例示的ソースAMF320である。ソースAMF320は、受信ユニット325、キー生成ユニット330および送信ユニット335を備える。受信ユニット325は、ターゲットAMF40から、UE70に関するセキュリティコンテキストの要求を受信するように設定されている。キー生成ユニット330は、最新の非アクセス階層キー(たとえばKCN)を生成するように設定されている。送信ユニット235は、要求に応答して、ターゲットAMF40へ最新の非アクセス階層キーおよびKCIを送るように設定されている。受信ユニット325、キー生成ユニット330および送信ユニット335は、ハードウェア回路、マイクロプロセッサ、および/または図17に示された方法を遂行するように設定されたソフトウェアを備え得る。いくつかの実施形態では、受信ユニット325、キー生成ユニット330および送信ユニット335は、単一のマイクロプロセッサによって実施される。他の実施形態では、受信ユニット325、キー生成ユニット330および送信ユニット335は、2つ以上のマイクロプロセッサによって実施され得る。
図19は、アイドルモードのUE70がAMF40を変更するとき、無線通信ネットワーク10のコアネットワーク30におけるターゲットAMF40によって実施される例示的方法350を示す。ターゲットAMF40は、UE70から、AMFの変更を指示する登録メッセージまたは他の制御メッセージを受信する(ブロック355)。ターゲットAMF40は、無線通信ネットワークにおけるソースAMF40からのセキュリティコンテキストを要求する(ブロック360)。要求に応答して、ターゲットAMF40は、最新の非アクセス階層キー(たとえばKCN)および非アクセス階層キーが変更されたことを指示するKCIを受信する(ブロック365)。ターゲットAMF40は、UE70へKCIを送り(ブロック370)、任意選択で、UE70向けに、最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立する(ブロック375)。
方法350のいくつかの実施形態は、最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立することをさらに含む。
方法350のいくつかの実施形態は、ソースAMF40から1つまたは複数のセキュリティパラメータを受信することをさらに含む。例では、1つまたは複数のセキュリティパラメータはUEの能力情報を含む。別の例では、セキュリティパラメータはKCIとともに受信される。
方法350のいくつかの実施形態では、キー変更指示は、非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む。他の実施形態では、キー変更指示は、非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む。セキュリティパラメータは、たとえば、最新の非アクセス階層キーを生成するために使用されるKDPを含み得る。
方法350のいくつかの実施形態は、要求に応答して、最新の非アクセス階層キーを生成するのに使用されるKDPを受信することをさらに含む。一例では、KDPは、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む。いくつかの実施形態では、ターゲットAMF40は、NAS SMCのメッセージで、KCIとともにKDPをUE70へ送る。
方法350のいくつかの実施形態では、最新のセキュリティコンテキストを確立することは、部分的に、1つまたは複数のセキュリティアルゴリズムを選択することを含む。一例では、セキュリティアルゴリズムのうちの少なくとも1つはUEの能力情報に基づいて選択される。
方法350のいくつかの実施形態は、最新のセキュリティコンテキストに関する少なくとも1つのセキュリティアルゴリズムを指示するセキュリティアルゴリズムパラメータをUE70へ送ることをさらに含む。
方法350のいくつかの実施形態では、KCIは、ソースAMF70からコンテキスト要求応答メッセージで受信される。
方法350のいくつかの実施形態では、KCIは、セキュリティ確立メッセージでUE70へ送られる。
方法350のいくつかの実施形態では、非アクセス階層キーはコアネットワークキー(KCN)を含む。
図20は、図19に示された方法350を遂行するように設定された例示的ターゲットAMF380である。基地局380は、第1の受信ユニット382、要求ユニット384、第2の受信ユニット386、および送信ユニット388を含む。第1の受信ユニット382は、UE70から、AMFの変更を指示する登録メッセージまたは他の制御メッセージを受信するように設定されている。要求ユニット384は、登録メッセージに応答して、無線通信ネットワークにおけるソースAMF40からのセキュリティコンテキストを要求するように設定されている。第2の受信ユニット386は、セキュリティコンテキスト要求に応答して、ソースAMF40から、最新の非アクセス階層キーと、非アクセス階層キー(たとえばKCN)が変更されたことを指示するKCIとを受信するように設定されている。送信ユニット388は、UE70へKCIを送るように設定されている。基地局380はまた、任意選択で、UE70向けに、最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立するように設定されたセキュリティユニット390を含み得る。第1の受信ユニット382、要求ユニット384、第2の受信ユニット386、送信ユニット388およびセキュリティユニット390は、ハードウェア回路、マイクロプロセッサ、および/または図19に示された方法を遂行するように設定されたソフトウェアを備え得る。いくつかの実施形態では、第1の受信ユニット382、要求ユニット384、第2の受信ユニット386、送信ユニット388およびセキュリティユニット390は、単一のマイクロプロセッサによって実施される。他の実施形態では、第1の受信ユニット382、要求ユニット384、第2の受信ユニット386、送信ユニット388およびセキュリティユニット390は、2つ以上のマイクロプロセッサによって実施され得る。
図21は、無線通信ネットワーク10におけるアイドルモードのUE70がAMF40を変更するときUE70によって実施される例示的方法400を示す。UE70は、登録メッセージまたは他の制御メッセージを、無線通信ネットワークにおけるターゲットAMF40へ送る(ブロック405)。UE70は、登録メッセージまたは他の制御メッセージに応答して、非アクセス階層キーが変更されたことを指示するKCI(たとえばKCN)を受信する(ブロック410)。UE70は、KCIに応答して最新の非アクセス階層キーを生成する(ブロック415)。UE70は、最新の非アクセス階層キーを生成した後に、任意選択で、ターゲットAMF40に対する最新のセキュリティコンテキスト(最新の非アクセス階層キーを含む)を確立して(ブロック420)、その後、最新の非アクセス階層キーを使用してターゲットAMF40と通信し得る(ブロック425)。
方法350のいくつかの実施形態は、ターゲットAMF40に対する最新のセキュリティコンテキスト(最新の非アクセス階層キーを含む)を確立することと、最新の非アクセス階層キーを使用してターゲットAMF40と通信することとをさらに含む。
方法400のいくつかの実施形態では、KCIは、非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む。他の実施形態では、KCIは、非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む。一例では、セキュリティパラメータは、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む。
方法400のいくつかの実施形態は、ターゲットAMF40からKDPを受信することと、KDPを使用して最新の非アクセス階層キーを生成することとをさらに含む。一例では、KDPは、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む。別の例では、KDPはKCIとともに受信される。いくつかの実施形態では、KDPは暗示的KCIとしてサーブする。
方法400のいくつかの実施形態では、最新の非アクセス階層キーを生成することは、以前の非アクセス階層キーから最新の非アクセス階層キーを生成することを含む。方法400の他の実施形態では、最新の非アクセス階層キーを生成することは、以前の非アクセス階層キーおよびKDPから最新の非アクセス階層キーを生成することを含む。様々な実施形態では、KDPは、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの少なくとも1つを含む。他の実施形態では、KDPは、UE70およびソースAMF40に認識されている静的情報を含む。
方法400のいくつかの実施形態は、最新のセキュリティコンテキストにおいて使用される1つまたは複数のセキュリティアルゴリズムを識別するセキュリティアルゴリズムパラメータをターゲットAMF40から受信することをさらに含む。一例では、セキュリティアルゴリズムパラメータは、KCIとともに受信される。
方法400のいくつかの実施形態では、最新の非アクセス階層キーはセキュリティ確立メッセージで受信される。
方法400のいくつかの実施形態では、非アクセス階層キーはコアネットワークキー(KCN)を含む。
図22は、図21に示された方法400を遂行するように設定された例示的UE430である。UE430は、送信ユニット435、受信ユニット440およびキー生成ユニット445を備える。送信ユニット435は、無線通信ネットワークにおけるターゲットAMF40に、登録メッセージまたは他の制御メッセージを送るように設定されている。受信ユニット440は、登録メッセージまたは他の制御メッセージに応答して、非アクセス階層キーが変更されたことを指示するKCIを受信するように設定されている。キー生成ユニット445は、KCIに応答して最新の非アクセス階層キーを生成するように設定されている。UE430はまた、任意選択で、ターゲットAMF40に対する最新のセキュリティコンテキストを確立するように設定されたセキュリティユニット450と、最新の非アクセス階層キーを使用してターゲットAMF40と通信するように設定された通信ユニット350とを含み得る。送信ユニット435、受信ユニット440、キー生成ユニット445、セキュリティユニット450および通信ユニット455は、ハードウェア回路、マイクロプロセッサ、および/または図9に示された方法を遂行するように設定されたソフトウェアを備え得る。いくつかの実施形態では、送信ユニット435、受信ユニット440、キー生成ユニット445、セキュリティユニット450および通信ユニット455は、単一のマイクロプロセッサによって実施される。他の実施形態では、送信ユニット435、受信ユニット440、キー生成ユニット445、セキュリティユニット450および通信ユニット455は、2つ以上のマイクロプロセッサによって実施され得る。
図23は、本明細書で説明されたようなセキュリティコンテキストのハンドリング方法を実施するように設定された基地局500の主要な機能部品を示す。基地局500は、処理回路510、メモリ530、およびインターフェース回路540を備える。
インターフェース回路540は、1つまたは複数のアンテナ550に結合された無線周波数(RF)インターフェース回路545を含む。RFインターフェース回路550は、無線通信チャネルを通じてUE70と通信するのに必要な無線周波数(RF)構成要素を備える。一般的には、RF構成要素は、5G規格または他の無線アクセス技術(RAT)による通信用に適合された送信器および受信器を含む。インターフェース回路540は、無線通信ネットワーク10におけるコアネットワークノードと通信するためのネットワークインターフェース回路555をさらに含む。
処理回路510は、基地局500によって送受信される信号を処理する。そのような処理は、送信される信号の符号化および変調と、受信された信号の復調および復号化とを含む。処理回路510は、1つまたは複数のマイクロプロセッサ、ハードウェア、ファームウェア、またはそれらの組合せを備え得る。処理回路510は、ハンドオーバ関連の機能を遂行するためのモビリティユニット515を含む。モビリティユニット515は、モビリティ関連の機能専用の処理サーキットリを備える。モビリティユニット515は、図2、図6、図7、および図9に示された方法を含めて本明細書で説明されたような方法および手順を遂行するように設定されている。
メモリ530は、処理回路510が動作するために必要なコンピュータプログラムコードおよびデータを記憶するための揮発性メモリと不揮発性メモリの両方を備える。メモリ530は、電子的データ記憶、磁気的データ記憶、光学式データ記憶、電磁気的データ記憶、または半導体データ記憶を含むデータ記憶のための任意の有形の非一時的コンピュータ可読記憶媒体を備え得る。メモリ530は、図2、図6、図7、および図9による方法100を含めて本明細書で説明された方法および手順を実施するように処理回路510を設定する実行可能命令を含むコンピュータプログラム535を記憶している。一般に、コンピュータプログラム命令および設定情報は、読取り専用メモリ(ROM)、消去可能なプログラマブル読取り専用メモリ(EPROM)またはフラッシュメモリなどの不揮発性メモリに記憶される。動作中に生成された一時データは、ランダムアクセスメモリ(RAM)などの揮発性メモリに記憶されてよい。いくつかの実施形態では、本明細書で説明されたような処理回路510を設定するためのコンピュータプログラム535は、携帯用コンパクトディスク、携帯用デジタルビデオディスク、または他のリムーバブル媒体などの取外し可能メモリに記憶され得る。コンピュータプログラム535は、電子信号、光信号、無線信号、またはコンピュータ可読記憶媒体などのキャリアにおいても具現され得る。
図24は、本明細書で説明されたようなセキュリティコンテキストのハンドリング手順を実施するように設定された、無線通信ネットワーク10におけるコアネットワークノード600の主要な機能部品を示す。コアネットワークノード600は、本明細書で説明されたようなソースAMF40およびターゲットAMF40などのコアネットワーク機能を実施するように使用され得る。当業者なら、AMF40などのコアネットワーク機能は、単一のコアネットワークノードによって実施されてよく、または2つ以上のコアネットワークノードの間で分配されてもよいことを理解するであろう。
コアネットワークノード600は、処理回路610、メモリ630、およびインターフェース回路640を備える。インターフェース回路640は、RANにおける他のコアネットワークノードおよび基地局25との通信を可能にするためのネットワークインターフェース回路645を含む。
処理回路610は、コアネットワークノード600の動作を制御する。処理回路610は、1つまたは複数のマイクロプロセッサ、ハードウェア、ファームウェア、またはそれらの組合せを備え得る。処理回路610は、NAS関連のセキュリティ機能を扱うためのNASセキュリティユニット615およびモビリティ管理機能を扱うためのモビリティ管理ユニット620を含み得る。一般に、NASセキュリティユニット615は、セキュリティキーを導出することと、セキュリティコンテキストを確立することと、他の関係のあるセキュリティ機能とを担う。モビリティ管理ユニット620は、モビリティ管理機能および関係のあるシグナリングの取扱いを担う。以前に説明されたように、NASセキュリティユニット615は、UE70に送られるNASキー、KDP、および他のセキュリティパラメータなどの情報をモビリティ管理ユニット620に供給し得る。いくつかの実施形態では、NASセキュリティユニット615とモビリティ管理ユニット620は同一のコアネットワークノードに存在してよい。他の実施形態では、これらは異なるコアネットワークノードに存在してよい。1つの例示的実施形態では、NASセキュリティユニット615およびモビリティ管理ユニット620は、図2、図3、図6〜図8、図11、図13、図17、および図19に示された方法を含めて、本明細書で説明されたような方法および手順を遂行するように設定されている。
メモリ630は、処理回路610が動作のために必要とするコンピュータプログラムコードおよびデータを記憶するための揮発性メモリと不揮発性メモリの両方を備える。メモリ630は、電子的データ記憶、磁気的データ記憶、光学式データ記憶、電磁気的データ記憶、または半導体データ記憶を含むデータ記憶のための任意の有形の非一時的コンピュータ可読記憶媒体を備え得る。メモリ630は、図2、図3、図6〜図8、図11、図13、図17、および図19による方法を含めて本明細書で説明された方法および手順を実施するように処理回路610を設定する実行可能命令を含むコンピュータプログラム635を記憶している。一般に、コンピュータプログラム命令および設定情報は、読取り専用メモリ(ROM)、消去可能なプログラマブル読取り専用メモリ(EPROM)またはフラッシュメモリなどの不揮発性メモリに記憶される。動作中に生成された一時データは、ランダムアクセスメモリ(RAM)などの揮発性メモリに記憶されてよい。いくつかの実施形態では、本明細書で説明されたような処理回路610を設定するためのコンピュータプログラム635は、携帯用コンパクトディスク、携帯用デジタルビデオディスク、または他のリムーバブル媒体などの取外し可能メモリに記憶され得る。コンピュータプログラム635は、電子信号、光信号、無線信号、またはコンピュータ可読記憶媒体などのキャリアにおいても具現され得る。
図25は、本明細書で説明されたようなセキュリティコンテキストハンドリング方法を実施するように設定されたUE700の主要な機能部品を示す。UE700は、処理回路710、メモリ730、およびインターフェース回路740を備える。
インターフェース回路740は、1つまたは複数のアンテナ750に結合された無線周波数(RF)インターフェース回路745を含む。RFインターフェース回路745は、無線通信チャネルを通じてUE70と通信するのに必要な無線周波数(RF)構成要素を備える。一般的には、RF構成要素は、5G規格または他の無線アクセス技術(RAT)による通信用に適合された送信器および受信器を含む。
処理回路710は、UE700によって送受信される信号を処理する。そのような処理は、送信される信号の符号化および変調と、受信された信号の復調および復号化とを含む。処理回路710は、1つまたは複数のマイクロプロセッサ、ハードウェア、ファームウェア、またはそれらの組合せを備え得る。処理回路710は、NAS関連のセキュリティ機能を扱うためのNASセキュリティユニット715およびモビリティ管理機能を扱うためのモビリティ管理ユニット720を含み得る。一般に、NASセキュリティユニット715は、セキュリティキーを導出することと、セキュリティコンテキストを確立することと、本明細書で説明された他のセキュリティ機能とを担う。モビリティ管理ユニット720は、モビリティ管理機能および関係のあるシグナリングの取扱いを担う。1つの例示的実施形態では、NASセキュリティユニット715およびモビリティ管理ユニット720は、図2、図3、図6〜図8、図15、および図21に示された方法を含めて本明細書で説明されたような方法および手順を遂行するように設定されている。
メモリ730は、処理回路710が動作するために必要なコンピュータプログラムコードおよびデータを記憶するための揮発性メモリと不揮発性メモリの両方を備える。メモリ730は、電子的データ記憶、磁気的データ記憶、光学式データ記憶、電磁気的データ記憶、または半導体データ記憶を含むデータ記憶のための任意の有形の非一時的コンピュータ可読記憶媒体を備え得る。メモリ730は、図2、図3、図6〜図8、図15、および図21による方法100を含めて本明細書で説明された方法および手順を実施するように処理回路710を設定する実行可能命令を含むコンピュータプログラム735を記憶している。一般に、コンピュータプログラム命令および設定情報は、読取り専用メモリ(ROM)、消去可能なプログラマブル読取り専用メモリ(EPROM)またはフラッシュメモリなどの不揮発性メモリに記憶される。動作中に生成された一時データは、ランダムアクセスメモリ(RAM)などの揮発性メモリに記憶されてよい。いくつかの実施形態では、本明細書で説明されたような処理回路710を設定するためのコンピュータプログラム735は、携帯用コンパクトディスク、携帯用デジタルビデオディスク、または他のリムーバブル媒体などの取外し可能メモリに記憶され得る。コンピュータプログラム735は、電子信号、光信号、無線信号、またはコンピュータ可読記憶媒体などのキャリアにおいても具現され得る。
さらに、本開示は以下の条項による実施形態を含む。
(条項1)
アイドルモードのユーザ機器(70、430、700)にセキュリティコンテキストを転送するために、無線通信ネットワーク(10)のコアネットワーク(30)における1つまたは複数のコアネットワークノード(320、600)によって実施される方法(300)であって、前記1つまたは複数のコアネットワークノード(320、600)がソースモビリティ管理機能(40)をもたらす方法において、
前記無線通信ネットワーク(10)のコアネットワークにおけるターゲットモビリティ管理機能(40)から、ユーザ機器(70、430、700)向けのセキュリティコンテキストの要求を受信すること(305)と、
最新の非アクセス階層キーを生成すること(310)と、
前記要求に応答して、前記最新の非アクセス階層キーと、前記非アクセス階層キーが変更されたことを指示するキー変更指示とを、前記ターゲットモビリティ管理機能(40)へ送ること(315)と
を含む方法(300)。
(条項2)
最新の非アクセス階層キーを生成することが、前記旧式の非アクセス階層キーから前記最新の非アクセス階層キーを生成することを含む、条項1に記載の方法(300)。
(条項3)
最新の非アクセス階層キーを生成することが、
キー導出パラメータを生成することと、
旧式の非アクセス階層キーおよび前記キー導出パラメータから前記最新の非アクセス階層キーを生成することと
を含む、条項1に記載の方法(300)。
(条項4)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む、条項1から3のいずれか一項に記載の方法。
(条項5)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む、条項1から3のいずれか一項に記載の方法。
(条項6)
前記セキュリティパラメータが、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを含む、条項5に記載の方法。
(条項7)
前記要求に応答して、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを送ることをさらに含む、条項1から3のいずれか一項に記載の方法。
(条項8)
前記キー導出パラメータが、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む、条項6または7に記載の方法。
(条項9)
前記最新の非アクセス階層キーとともに1つまたは複数のセキュリティパラメータを前記ターゲットモビリティ管理機能(40)へ送ることをさらに含む、条項1から6のいずれか一項に記載の方法(300)。
(条項10)
前記1つまたは複数のセキュリティパラメータがユーザ機器の能力情報を含む、条項9に記載の方法(300)。
(条項11)
セキュリティコンテキストの前記要求が前記ターゲットモビリティ管理機能(40)からコンテキスト要求メッセージで受信される、条項1から10のいずれか一項に記載の方法(300)。
(条項12)
前記最新の非アクセス階層キーが、コンテキスト要求応答メッセージで前記ターゲットモビリティ管理機能(40)へ送られる、条項1から11のいずれか一項に記載の方法(300)。
(条項13)
前記非アクセス階層キーがコアネットワークキー(K CN )を含む、条項1から12のいずれか一項に記載の方法(300)。
(条項14)
無線通信ネットワーク(10)のコアネットワーク(30)におけるコアネットワークノード(320、600)であって、ソースモビリティ管理機能(40)をもたらすコアネットワークノード(320、600)において、
前記無線通信ネットワーク(10)のコアネットワーク(30)におけるターゲットモビリティ管理機能(40)と通信するためのインターフェース回路(640)と、
処理回路(610)であって、
ターゲットモビリティ管理機能(40)からユーザ機器(70、430、700)向けのセキュリティコンテキストの要求を受信し、
最新の非アクセス階層キーを生成し、
要求に応答して、前記最新の非アクセス階層キーおよびキー変更指示を前記ターゲットモビリティ管理機能(40)へ送るように設定されている処理回路(610)と
を備えるコアネットワークノード(320、600)。
(条項15)
前記処理回路(610)が、前記旧式の非アクセス階層キーから前記最新の非アクセス階層キーを生成するようにさらに設定されている、条項14に記載のコアネットワークノード(320、600)。
(条項16)
前記処理回路(610)が、
キー導出パラメータを生成し、
旧式の非アクセス階層キーおよび前記キー導出パラメータから最新の非アクセス階層キーを生成することによって、
前記最新の非アクセス階層キーを生成するようにさらに設定されている、条項14に記載のコアネットワークノード(320、600)。
(条項17)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む、条項14から16のいずれか一項に記載のコアネットワークノード(320、600)。
(条項18)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む、条項14から16のいずれか一項に記載のコアネットワークノード(320、600)。
(条項19)
前記セキュリティパラメータが、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを含む、条項18に記載のコアネットワークノード(320、600)。
(条項20)
前記処理回路(610)が、前記要求に応答して、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを送るようにさらに設定されている、条項14から16のいずれか一項に記載のコアネットワークノード(320、600)。
(条項21)
前記キー導出パラメータが、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む、条項19または20に記載のコアネットワークノード(320、600)。
(条項22)
前記処理回路(610)が、前記最新の非アクセス階層キーとともに1つまたは複数のセキュリティパラメータを前記ターゲットモビリティ管理機能(40)へ送るようにさらに設定されている、条項14から21のいずれか一項に記載のコアネットワークノード(320、600)。
(条項23)
前記1つまたは複数のセキュリティパラメータがユーザ機器の能力情報を含む、条項22に記載のコアネットワークノード(320、600)。
(条項24)
前記処理回路(610)が、コンテキスト要求メッセージで前記セキュリティコンテキストの前記要求を受信するようにさらに設定されている、条項14から23のいずれか一項に記載のコアネットワークノード(320、600)。
(条項25)
前記処理回路(610)が、前記最新の非アクセス階層キーを、コンテキスト要求応答メッセージで前記ターゲットモビリティ管理機能(40)へ送るようにさらに設定されている、条項14から24のいずれか一項に記載のコアネットワークノード(320、600)。
(条項26)
前記非アクセス階層キーがコアネットワークキー(K CN )を含む、条項14から25のいずれか一項に記載のコアネットワークノード(320、600)。
(条項27)
無線通信ネットワーク(10)のコアネットワーク(30)におけるコアネットワークノード(320、600)であって、ソースモビリティ管理機能(40)をもたらすコアネットワークノード(320、600)において、
前記無線通信ネットワーク(10)のコアネットワーク(30)におけるターゲットモビリティ管理機能(40)から、ユーザ機器(70、430、700)向けのセキュリティコンテキストの要求を受信し、
最新の非アクセス階層キーを生成し、
前記要求に応答して、前記最新の非アクセス階層キーを、前記無線通信ネットワーク(10)の前記コアネットワークにおける前記ターゲットモビリティ管理機能(40)へ送るように設定されているコアネットワークノード(320、600)。
(条項28)
条項2から13のいずれか一項に記載の方法を遂行するように設定されている、条項27に記載のコアネットワークノード(320、600)。
(条項29)
無線通信ネットワーク(10)のコアネットワークノード(320、600)における処理回路(610)によって実行されたとき、条項1から13に記載の方法のいずれか一つを前記コアネットワークノード(600)に遂行させる実行可能命令を含む、コンピュータプログラム(635)。
(条項30)
条項29に記載のコンピュータプログラム(635)を含有しているキャリアであって、電子信号、光信号、無線信号、またはコンピュータ可読記憶媒体のネットワークノードのうちの1つであるキャリア。
(条項31)
無線通信ネットワーク(10)のコアネットワークノード(320、600)における処理回路(610)によって実行されたとき、条項1から13に記載の方法のいずれか一つを前記コアネットワークノード(320、600)に遂行させる実行可能命令を含んでいるコンピュータプログラム(635)を含有する非一時的コンピュータ可読記憶媒体(630)。
(条項32)
アイドルモード中のユーザ機器(70、430、700)のセキュリティコンテキストを転送するために、無線通信ネットワーク(10)のコアネットワーク(30)における1つまたは複数のコアネットワークノード(600)によって実施される方法(350)であって、前記1つまたは複数のコアネットワークノード(600)がターゲットモビリティ管理機能(40)をもたらす方法において、
前記ユーザ機器(70、430、700)から、モビリティ管理機能(40)の変更を指示する登録メッセージを受信すること(355)と、
前記無線通信ネットワーク(10)の前記コアネットワークにおけるソースモビリティ管理機能(40)からの前記ユーザ機器(70、430、700)向けのセキュリティコンテキストを要求すること(360)と、
前記要求に応答して、前記ソースモビリティ管理機能(40)から、最新の非アクセス階層キーと、前記非アクセス階層キーが変更されたことを指示するキー変更指示とを受信すること(365)と、
前記キー変更指示を前記ユーザ機器(70、430、700)へ送ること(370)とを含む方法(350)。
(条項33)
前記最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立することをさらに含む、条項32に記載の方法(350)。
(条項34)
前記ソースモビリティ管理機能(40)から1つまたは複数のセキュリティパラメータを受信することをさらに含む、条項32または33に記載の方法(350)。
(条項35)
前記1つまたは複数のセキュリティパラメータがユーザ機器の能力情報を含む、条項34に記載の方法(350)。
(条項36)
前記セキュリティパラメータが前記キー変更指示とともに受信される、条項34または35に記載の方法(350)。
(条項37)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む、条項32から36のいずれか一項に記載の方法。
(条項38)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む、条項32から36のいずれか一項に記載の方法。
(条項39)
前記セキュリティパラメータが、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを含む、条項38に記載の方法。
(条項40)
前記要求に応答して、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを受信することをさらに含む、条項32から36のいずれか一項に記載の方法。
(条項41)
前記キー導出パラメータを前記ユーザ機器(70、430、700)へ送ることをさらに含む、条項40に記載の方法。
(条項42)
前記キー導出パラメータが、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む、条項39から41のいずれか一項に記載の方法。
(条項43)
前記キー変更指示がコンテキスト要求応答メッセージで受信される、条項33から42のいずれか一項に記載の方法(350)。
(条項44)
前記キー変更指示がセキュリティ確立メッセージで前記ユーザ機器(70、430、700)へ送られる、条項33から43のいずれか一項に記載の方法(350)。
(条項45)
前記非アクセス階層キーがコアネットワークキー(K CN )を含む、条項33から44のいずれか一項に記載の方法(350)。
(条項46)
無線通信ネットワーク(10)のコアネットワーク(30)におけるコアネットワークノード(380、600)であって、ターゲットモビリティ管理機能(40)をもたらす前記コアネットワークノード(380、600)において、
前記無線通信ネットワーク(10)の前記コアネットワークにおけるユーザ機器(70、430、700)およびソースモビリティ管理機能(40)と通信するためのインターフェース回路(640)と、
処理回路(610)であって、
前記ユーザ機器(70、430、700)からモビリティ管理機能(40)の変更を指示する登録メッセージを受信し、
前記ソースモビリティ管理機能(40)からのセキュリティコンテキストを要求し、
前記要求に応答して、前記ソースモビリティ管理機能(40)から、最新の非アクセス階層キーと、前記非アクセス階層キーが変更されたことを指示するキー変更指示とを受信し、
前記キー変更指示を前記ユーザ機器(70、430、700)へ送るように設定された処理回路(610)と
を備えるコアネットワークノード(380、600)。
(条項47)
前記処理回路(610)が、前記最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立するようにさらに設定されている、条項46に記載のコアネットワークノード(380、600)。
(条項48)
前記処理回路(610)が、前記ソースモビリティ管理機能(40)から1つまたは複数のセキュリティパラメータを受信するようにさらに設定されている、条項46または47に記載のコアネットワークノード(380、600)。
(条項49)
前記1つまたは複数のセキュリティパラメータがユーザ機器の能力情報を含む、条項48に記載のコアネットワークノード(380、600)。
(条項50)
前記処理回路(610)が、前記キー変更指示とともに前記セキュリティパラメータを受信するようにさらに設定されている、条項48または49に記載のコアネットワークノード(380、600)。
(条項51)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む、条項46から50のいずれか一項に記載のコアネットワークノード(380、600)。
(条項52)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む、条項46から50のいずれか一項に記載のコアネットワークノード(380、600)。
(条項53)
前記セキュリティパラメータが、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを含む、条項52に記載のコアネットワークノード(380、600)。
(条項54)
前記処理回路(610)が、前記要求に応答して、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを受信するようにさらに設定されている、条項46から50のいずれか一項に記載のコアネットワークノード(380、600)。
(条項55)
前記キー導出パラメータを前記ユーザ機器(70、430、700)へ送ることをさらに含む、条項54に記載のコアネットワークノード(380、600)。
(条項56)
前記キー導出パラメータが、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む、条項53から55のいずれか一項に記載のコアネットワークノード(380、600)。
(条項57)
前記キー変更指示がコンテキスト要求応答メッセージで受信される、条項46から56のいずれか一項に記載のコアネットワークノード(380、600)。
(条項58)
前記処理回路(610)が、前記キー変更指示を、セキュリティ確立メッセージで前記ユーザ機器(70、430、700)へ送るようにさらに設定されている、条項46から57のいずれか一項に記載のコアネットワークノード(380、600)。
(条項59)
前記非アクセス階層キーがコアネットワークキー(K CN )を含む、条項46から58のいずれか一項に記載のコアネットワークノード(380、600)。
(条項60)
無線通信ネットワーク(10)のコアネットワーク(30)におけるターゲットモビリティ管理機能(40、380)であって、コアネットワークノード(600)によってもたらされるターゲットモビリティ管理機能(40)において、前記コアネットワークノード(600)が、
前記ユーザ機器(70、430、700)からモビリティ管理機能(40)の変更を指示する登録メッセージを受信し、
前記無線通信ネットワーク(10)の前記コアネットワークにおけるソースモビリティ管理機能(40)からのセキュリティコンテキストを要求し、
前記要求に応答して、前記ソースモビリティ管理機能(40)から、最新の非アクセス階層キーと、前記非アクセス階層キーが変更されたことを指示するキー変更指示とを受信し、
前記キー変更指示を前記ユーザ機器(70、430、700)へ送るように設定されている、ターゲットモビリティ管理機能(40、380)。
(条項61)
条項33から45のいずれか一項に記載の方法を遂行するように設定されている、条項60に記載のターゲットモビリティ管理機能(380、600)。
(条項62)
無線通信ネットワーク(10)のコアネットワークノード(380、600)における処理回路によって実行されたとき、前記コアネットワークノード(600)に条項32から45に記載の方法のいずれか一つを遂行させる実行可能命令を含む、コンピュータプログラム。
(条項63)
条項62に記載のコンピュータプログラム(635)を含有しているキャリアであって、電子信号、光信号、無線信号、またはコンピュータ可読記憶媒体のネットワークノードのうちの1つであるキャリア。
(条項64)
無線通信ネットワーク(10)のコアネットワークノード(380、600)における処理回路(610)によって実行されたとき、前記コアネットワークノード(600)に条項32から45に記載の方法のいずれか一つを遂行させる実行可能命令を含むコンピュータプログラム(635)を含有する非一時的コンピュータ可読記憶媒体。
(条項65)
ユーザ機器(70、430、700)によって、無線通信ネットワーク(10)のコアネットワーク(30)におけるターゲットモビリティ管理機能(40)に対して登録するために実施される方法(400)であって、
ターゲットモビリティ管理機能(40)へ登録メッセージを送ること(405)と、
前記第1の登録メッセージに応答して、前記ターゲットモビリティ管理機能(40)から、非アクセス階層キーが変更されたことを指示するキー変更指示を受信すること(410)と、
前記キー変更指示に応答して、最新の非アクセス階層キーを生成すること(420)とを含む方法(400)。
(条項66)
前記ターゲットモビリティ管理機能(40)に対して、前記最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立すること(420)と、
前記最新の非アクセス階層キーを使用して前記ターゲットモビリティ管理機能(40)と通信すること(425)と
をさらに含む、条項65に記載の方法(400)。
(条項67)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む、条項65または66に記載の方法(400)。
(条項68)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む、条項65または66に記載の方法(400)。
(条項69)
前記セキュリティパラメータが、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを含む、条項68に記載の方法(400)。
(条項70)
前記ターゲットモビリティ管理機能(40)からキー導出パラメータを受信することと、
前記キー導出パラメータを使用して前記最新の非アクセス階層キーを生成することとをさらに含む、条項65から67のいずれか一項に記載の方法(400)。
(条項71)
前記キー導出パラメータが、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む、条項70に記載の方法(400)。
(条項72)
前記キー導出パラメータが前記キー変更指示とともに受信される、条項70または71に記載の方法(400)。
(条項73)
前記キー導出パラメータが暗示的キー変更指示としてサーブする、条項70から72のいずれか一項に記載の方法(400)。
(条項74)
最新の非アクセス階層キーを生成することが、以前の非アクセス階層キーを使用して前記非アクセス階層キーを生成することを含む、条項65または66に記載の方法(400)。
(条項75)
最新の非アクセス階層キーを生成することが、以前の非アクセス階層キーおよびキー導出パラメータを使用して前記非アクセス階層キーを生成することを含む、条項65または66に記載の方法(400)。
(条項76)
前記キー導出パラメータが、前記ユーザ機器(70、430、700)およびソースモビリティ管理機能(40)に認識されている静的情報を含む、条項75に記載の方法(400)。
(条項77)
前記最新の非アクセス階層キーがセキュリティ確立メッセージで受信される、条項65から76のいずれか一項に記載の方法(400)。
(条項78)
前記非アクセス階層キーがコアネットワークキー(K CN )を含む、条項65から77のいずれか一項に記載の方法(400)。
(条項79)
無線通信ネットワーク(10)におけるユーザ機器(70、430、700)であって、
前記無線通信ネットワーク(10)のコアネットワーク(30)におけるターゲットモビリティ管理機能(40)と通信するためのインターフェース回路(740)と、
処理回路(710)であって、
ターゲットモビリティ管理機能(40)へ登録メッセージを送り、
前記第1の登録メッセージに応答して、前記ターゲットモビリティ管理機能(40)から、非アクセス階層キーが変更されたことを指示するキー変更指示を受信し、
前記キー変更指示に応答して最新の非アクセス階層キーを生成するように設定されている処理回路(710)と
を備えるユーザ機器(70、430、700)。
(条項80)
前記処理回路(710)が、
前記ターゲットモビリティ管理機能(40)に対して、前記最新の非アクセス階層キーを含む最新のセキュリティコンテキストを確立し、
前記最新の非アクセス階層キーを使用して前記ターゲットモビリティ管理機能(40)と通信するようにさらに設定されている、条項79に記載のユーザ機器(70、430、700)。
(条項81)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを含む、条項79または80に記載のユーザ機器(70、430、700)。
(条項82)
前記キー変更指示が、前記非アクセス階層キーが変更されたことを暗示的に指示するセキュリティパラメータを含む、条項79または80に記載のユーザ機器(70、430、700)。
(条項83)
前記セキュリティパラメータが、前記最新の非アクセス階層キーを生成するために使用されるキー導出パラメータを含む、条項82に記載のユーザ機器(70、430、700)。
(条項84)
前記処理回路(710)が、
前記ターゲットモビリティ管理機能(40)からキー導出パラメータを受信し、
前記キー導出パラメータを使用して前記最新の非アクセス階層キーを生成するようにさらに設定されている、条項79から81のいずれか一項に記載のユーザ機器(70、430、700)。
(条項85)
前記キー導出パラメータが、ノンス、タイムスタンプ、鮮度パラメータ、およびバージョン番号のうちの1つを含む、条項84に記載のユーザ機器(70、430、700)。
(条項86)
前記キー導出パラメータがセキュリティモード命令メッセージで前記キー変更指示とともに受信される、条項84または85に記載のユーザ機器(70、430、700)。
(条項87)
前記キー導出パラメータが暗示的キー変更指示としてサーブする、条項84から86のいずれか一項に記載のユーザ機器(70、430、700)。
(条項88)
最新の非アクセス階層キーを生成することが、以前の非アクセス階層キーを使用して前記非アクセス階層キーを生成することを含む、条項79または80に記載のユーザ機器(70、430、700)。
(条項89)
最新の非アクセス階層キーを生成することが、以前の非アクセス階層キーおよびキー導出パラメータを使用して前記非アクセス階層キーを生成することを含む、条項79または80に記載のユーザ機器(70、430、700)。
(条項90)
前記キー導出パラメータが、前記ユーザ機器(70、430、700)およびソースモビリティ管理機能(40)に認識されている静的情報を含む、条項89に記載のユーザ機器(70、430、700)。
(条項91)
前記処理回路(710)が、セキュリティ確立メッセージで前記キー変更指示を受信するようにさらに設定されている、条項79から90のいずれか一項に記載のユーザ機器(70、430、700)。
(条項92)
前記非アクセス階層キーがコアネットワークキー(K CN )を含む、条項79から91のいずれか一項に記載のユーザ機器(70、430、700)。
(条項93)
無線通信ネットワーク(10)におけるユーザ機器(70、430、700)であって、
ターゲットモビリティ管理機能(40)へ登録メッセージを送り、
前記第1の登録メッセージに応答して、前記ターゲットモビリティ管理機能(40)から、非アクセス階層キーが変更されたことを指示するキー変更指示を受信し、
前記キー変更指示に応答して最新の非アクセス階層キーを生成するように設定されているユーザ機器(70、430、700)。
(条項94)
条項64から78に記載の方法のいずれか一つを遂行するように設定されている、条項93に記載のユーザ機器(70、430、700)。
(条項95)
無線通信ネットワーク(10)内のユーザ機器(70、430、700)における処理回路によって実行されたとき、前記ユーザ機器(70、430、700)に条項65から78に記載の方法のいずれか一つを遂行させる実行可能命令を含むコンピュータプログラム。
(条項96)
条項95に記載のコンピュータプログラムを含有しているキャリアであって、電子信号、光信号、無線信号、またはコンピュータ可読記憶媒体のネットワークノードのうちの1つであるキャリア。
(条項97)
無線通信ネットワーク(10)内のユーザ機器(70、430、700)における処理回路によって実行されたとき、前記ユーザ機器(70、430、700)に条項65から78に記載の方法のいずれか一つを遂行させる実行可能命令を含むコンピュータプログラムを含有する非一時的コンピュータ可読記憶媒体。
(条項98)
ソースモビリティ管理機能(40)によって実施される方法であって、
AMF変更の必要性を決定することと、
前記AMF変更の必要性を決定したことに応答して最新の非アクセス階層キーを生成することと、
前記非アクセス階層キーをターゲットAMFへ送ることと
を含む方法。
(条項99)
前記非アクセス階層キーが変更されたことを指示するキー変更指示を前記ユーザ機器(70、430、700)へ送ることをさらに含む、条項98に記載の方法。
(条項100)
無線通信ネットワーク(10)のコアネットワークにおけるコアネットワークノード(600)であって、
ソースモビリティ管理機能(40)をもたらし、条項98または99に記載の方法を遂行するように設定されているコアネットワークノード(600)。
(条項101)
オペレータの固有のポリシーが満たされたと決定することと、
前記オペレータの固有のポリシーが満たされたと決定したことに応答して前記最新の非アクセス階層キーを生成することと
をさらに含む、条項1から19のいずれか一項に記載の方法。
(条項102)
前記処理回路(610)が、
オペレータの固有のポリシーが満たされたと決定し、
前記オペレータの固有のポリシーが満たされたと決定したことに応答して前記最新の非アクセス階層キーを生成するようにさらに設定されている、条項14から26のいずれか一項に記載のコアネットワークノード(320、600)。

Claims (22)

  1. アイドルモードのユーザ機器(70、430、700)セキュリティコンテキストを転送するために、無線通信ネットワーク(10)のコアネットワーク(30)における1つまたは複数のコアネットワークノード(320、600)によって実施される方法(300)であって、前記1つまたは複数のコアネットワークノード(320、600)がソースのアクセスおよびモビリティ管理機能(40)を提供する方法において、
    前記無線通信ネットワーク(10)のコアネットワークにおけるターゲットのアクセスおよびモビリティ管理機能(40)から、前記ユーザ機器(70、430、700)セキュリティコンテキストの要求を受信すること(305)と、
    オペレータの固有のセキュリティポリシーが満たされたと決定したことに応答して新たな非アクセス階層キーを生成すること(310)と、
    前記要求に応答して、前記新たな非アクセス階層キーと、非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグとを、前記ターゲットのアクセスおよびモビリティ管理機能(40)へ送ること(315)と
    を含む方法(300)。
  2. 新たな非アクセス階層キーを生成することが、
    キー導出パラメータを生成することと、
    前記非アクセス階層キーおよび前記キー導出パラメータから前記新たな非アクセス階層キーを生成することと
    を含む、請求項1に記載の方法(300)。
  3. 前記要求に応答して、前記新たな非アクセス階層キーを生成するために使用される前記キー導出パラメータを送ることをさらに含む、請求項2に記載の方法。
  4. 前記キー導出パラメータが、鮮度パラメータである、請求項2または3に記載の方法。
  5. 前記新たな非アクセス階層キーとともに1つまたは複数のセキュリティパラメータを前記ターゲットのアクセスおよびモビリティ管理機能(40)へ送ることをさらに含む、請求項1から4のいずれか一項に記載の方法(300)。
  6. 前記1つまたは複数のセキュリティパラメータがユーザ機器の能力情報を含む、請求項5に記載の方法(300)。
  7. 前記非アクセス階層キーが、コアネットワークキー(KCN)である、請求項1から6のいずれか一項に記載の方法(300)。
  8. 無線通信ネットワーク(10)のコアネットワーク(30)におけるコアネットワークノード(320、600)であって、ソースのアクセスおよびモビリティ管理機能(40)を提供するコアネットワークノード(320、600)において、
    前記無線通信ネットワーク(10)のコアネットワーク(30)におけるターゲットのアクセスおよびモビリティ管理機能(40)と通信するためのインターフェース回路(640)と、
    処理回路(610)であって、
    前記ターゲットのアクセスおよびモビリティ管理機能(40)からユーザ機器(70、430、700)セキュリティコンテキストの要求を受信し、
    オペレータの固有のセキュリティポリシーが満たされたと決定したことに応答して新たな非アクセス階層キーを生成し、
    要求に応答して、前記新たな非アクセス階層キーおよび非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグを前記ターゲットのアクセスおよびモビリティ管理機能(40)へ送るように設定されている処理回路(610)と
    を備えるコアネットワークノード(320、600)。
  9. 前記処理回路(610)が、
    キー導出パラメータを生成し、
    前記非アクセス階層キーおよび前記キー導出パラメータから新たな非アクセス階層キーを生成することによって、
    前記新たな非アクセス階層キーを生成するようにさらに設定されている、請求項8に記載のコアネットワークノード(320、600)。
  10. 前記処理回路(610)が、前記要求に応答して、前記新たな非アクセス階層キーを生成するために使用されるキー導出パラメータを送るようにさらに設定されている、請求項8または9に記載のコアネットワークノード(320、600)。
  11. アイドルモード中のユーザ機器(70、430、700)のセキュリティコンテキストを転送するために、無線通信ネットワーク(10)のコアネットワーク(30)における1つまたは複数のコアネットワークノード(600)によって実施される方法(350)であって、前記1つまたは複数のコアネットワークノード(600)がターゲットのアクセスおよびモビリティ管理機能(40)を提供する方法において、
    前記ユーザ機器(70、430、700)から、アクセスおよびモビリティ管理機能(40)の変更を指示する登録メッセージを受信すること(355)と、
    前記無線通信ネットワーク(10)の前記コアネットワークにおけるソースのアクセスおよびモビリティ管理機能(40)からの前記ユーザ機器(70、430、700)セキュリティコンテキストを要求すること(360)と、
    前記要求と、前記ソースのアクセスおよびモビリティ管理機能(40)による、オペレータの固有のセキュリティポリシーが満たされたとの決定とに応答して、前記ソースのアクセスおよびモビリティ管理機能(40)から、新たな非アクセス階層キーと、非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグとを受信すること(365)と、
    前記キー変更インジケータフラグを前記ユーザ機器(70、430、700)へ送ること(370)とを含む方法(350)。
  12. 前記新たな非アクセス階層キーを含む新たなセキュリティコンテキストを確立することをさらに含む、請求項11に記載の方法(350)。
  13. 無線通信ネットワーク(10)のコアネットワーク(30)におけるコアネットワークノード(380、600)であって、ターゲットのアクセスおよびモビリティ管理機能(40)を提供する前記コアネットワークノード(380、600)において、
    前記無線通信ネットワーク(10)の前記コアネットワークにおけるユーザ機器(70、430、700)およびソースのアクセスおよびモビリティ管理機能(40)と通信するためのインターフェース回路(640)と、
    処理回路(610)であって、
    前記ユーザ機器(70、430、700)からアクセスおよびモビリティ管理機能(40)の変更を指示する登録メッセージを受信し、
    前記ソースのアクセスおよびモビリティ管理機能(40)からのセキュリティコンテキストを要求し、
    前記要求と、前記ソースのアクセスおよびモビリティ管理機能(40)による、オペレータの固有のセキュリティポリシーが満たされたとの決定とに応答して、前記ソースのアクセスおよびモビリティ管理機能(40)から、新たな非アクセス階層キーと、非アクセス階層キーが変更されたことを指示する値にセットされたキー変更インジケータフラグとを受信し、
    前記キー変更インジケータフラグを前記ユーザ機器(70、430、700)へ送るように設定された処理回路(610)と
    を備えるコアネットワークノード(380、600)。
  14. 前記処理回路(610)が、前記要求に応答して、前記新たな非アクセス階層キーを生成するために使用されるキー導出パラメータを受信するようにさらに設定されている、請求項13に記載のコアネットワークノード(380、600)。
  15. 前記キー導出パラメータを前記ユーザ機器(70、430、700)へ送ることをさらに含む、請求項14に記載のコアネットワークノード(380、600)。
  16. アイドルモード中のユーザ機器(70、430、700)によって実施される方法(400)であって、
    無線通信ネットワーク(10)におけるターゲットのアクセスおよびモビリティ管理機能(40)へ登録メッセージを送ること(405)と、
    送られた前記登録メッセージに応答して、前記ターゲットのアクセスおよびモビリティ管理機能(40)から、非アクセス階層キーがオペレータの固有のセキュリティポリシーに基づいて変更されたことを指示する値にセットされたキー変更インジケータフラグを受信すること(410)と、
    前記キー変更インジケータフラグに応答して、新たな非アクセス階層キーを生成すること(420)とを含む方法。
  17. 前記ターゲットのアクセスおよびモビリティ管理機能(40)に対して、前記新たな非アクセス階層キーを含む新たなセキュリティコンテキストを確立すること(420)と、
    前記新たな非アクセス階層キーを使用して前記ターゲットのアクセスおよびモビリティ管理機能(40)と通信すること(425)と
    をさらに含む、請求項16に記載の方法(400)。
  18. 前記ターゲットのアクセスおよびモビリティ管理機能(40)からキー導出パラメータを受信することと、
    前記キー導出パラメータを使用して前記新たな非アクセス階層キーを生成することとをさらに含む、請求項16または17に記載の方法(400)。
  19. 前記キー導出パラメータが、鮮度パラメータである、請求項18に記載の方法(400)。
  20. 無線通信ネットワーク(10)におけるユーザ機器(70、430、700)であって、
    前記無線通信ネットワーク(10)のコアネットワーク(30)におけるターゲットのアクセスおよびモビリティ管理機能(40)と通信するためのインターフェース回路(740)と、
    処理回路(710)であって、アイドルモード中に
    前記ターゲットのアクセスおよびモビリティ管理機能(40)へ登録メッセージを送り、
    送られた前記登録メッセージに応答して、前記ターゲットのアクセスおよびモビリティ管理機能(40)から、非アクセス階層キーがオペレータの固有のセキュリティポリシーに基づいて変更されたことを指示する値にセットされたキー変更インジケータフラグを受信し、
    前記キー変更インジケータフラグに応答して新たな非アクセス階層キーを生成するように設定されている処理回路(710)と
    を備えるユーザ機器(70、430、700)。
  21. 前記処理回路(710)が、
    前記ターゲットのアクセスおよびモビリティ管理機能(40)に対して、前記新たな非アクセス階層キーを含む新たなセキュリティコンテキストを確立し、
    前記新たな非アクセス階層キーを使用して前記ターゲットのアクセスおよびモビリティ管理機能(40)と通信するようにさらに設定されている、請求項20に記載のユーザ機器(70、430、700)。
  22. 新たな非アクセス階層キーを生成することが、前記非アクセス階層キーおよびキー導出パラメータを使用して前記新たな非アクセス階層キーを生成することを含む、請求項20または21に記載のユーザ機器(70、430、700)。
JP2019540001A 2017-01-30 2018-01-29 5gにおけるアイドルモード中のセキュリティコンテキストハンドリング Active JP6942804B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021145830A JP7235818B2 (ja) 2017-01-30 2021-09-08 5gにおけるアイドルモード中のセキュリティコンテキストハンドリング

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762452267P 2017-01-30 2017-01-30
US62/452,267 2017-01-30
PCT/EP2018/052154 WO2018138348A1 (en) 2017-01-30 2018-01-29 Security context handling in 5g during idle mode

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021145830A Division JP7235818B2 (ja) 2017-01-30 2021-09-08 5gにおけるアイドルモード中のセキュリティコンテキストハンドリング

Publications (2)

Publication Number Publication Date
JP2020507268A JP2020507268A (ja) 2020-03-05
JP6942804B2 true JP6942804B2 (ja) 2021-09-29

Family

ID=61163694

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2019540001A Active JP6942804B2 (ja) 2017-01-30 2018-01-29 5gにおけるアイドルモード中のセキュリティコンテキストハンドリング
JP2019541072A Active JP6943965B2 (ja) 2017-01-30 2018-01-29 5gにおける接続モード中のセキュリティコンテキストハンドリング
JP2021145830A Active JP7235818B2 (ja) 2017-01-30 2021-09-08 5gにおけるアイドルモード中のセキュリティコンテキストハンドリング

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2019541072A Active JP6943965B2 (ja) 2017-01-30 2018-01-29 5gにおける接続モード中のセキュリティコンテキストハンドリング
JP2021145830A Active JP7235818B2 (ja) 2017-01-30 2021-09-08 5gにおけるアイドルモード中のセキュリティコンテキストハンドリング

Country Status (18)

Country Link
US (7) US10531292B2 (ja)
EP (6) EP4236408A1 (ja)
JP (3) JP6942804B2 (ja)
KR (1) KR102163343B1 (ja)
CN (4) CN115474247A (ja)
AR (2) AR110865A1 (ja)
AU (1) AU2018212610B2 (ja)
BR (1) BR112019015387B1 (ja)
DK (2) DK3574669T3 (ja)
ES (4) ES2950488T3 (ja)
HU (2) HUE056162T2 (ja)
MX (2) MX2019008770A (ja)
PH (1) PH12019501467A1 (ja)
PL (3) PL3952375T3 (ja)
PT (2) PT3574669T (ja)
RU (1) RU2719772C1 (ja)
WO (2) WO2018138347A1 (ja)
ZA (1) ZA201903899B (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
PT3574669T (pt) 2017-01-30 2021-10-26 Ericsson Telefon Ab L M Gestão de contexto de segurança em 5g durante o modo conectado
JP6996824B2 (ja) 2017-05-04 2022-01-17 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 鍵取得方法およびデバイス、ならびに通信システム
US10812974B2 (en) * 2017-05-06 2020-10-20 Vmware, Inc. Virtual desktop client connection continuity
EP3625988A4 (en) * 2017-05-14 2021-01-27 Fg Innovation Company Limited METHODS, DEVICES AND SYSTEMS FOR BEAM REFINING DURING A HANDOVER
US10810316B2 (en) * 2017-05-15 2020-10-20 International Business Machines Corporation Updating monitoring systems using merged data policies
CN109462847B (zh) 2017-07-28 2019-08-02 华为技术有限公司 安全实现方法、相关装置以及系统
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
WO2019165629A1 (zh) * 2018-03-01 2019-09-06 华为技术有限公司 会话管理方法及装置、通信系统
CN110351722B (zh) * 2018-04-08 2024-04-16 华为技术有限公司 一种信息发送方法、密钥生成方法以及装置
CN110536298B (zh) * 2018-08-10 2023-11-03 中兴通讯股份有限公司 非接入层消息安全指示方法、装置、amf设备、终端及介质
CN110830997B (zh) * 2018-08-10 2022-08-19 中兴通讯股份有限公司 密钥的确定方法及装置、存储介质、电子装置
US11974122B2 (en) 2018-08-13 2024-04-30 Telefonaktiebolaget Lm Ericsson (Publ) Protection of non-access stratum communication in a wireless communication network
CN110881184B (zh) 2018-09-05 2021-05-18 华为技术有限公司 通信方法和装置
BR112021006297A2 (pt) 2018-10-04 2021-07-06 Nokia Technologies Oy método e aparelho para manipulação de contexto de segurança durante alteração intersistema
CN111465012B (zh) * 2019-01-21 2021-12-10 华为技术有限公司 通信方法和相关产品
WO2020167211A1 (en) * 2019-02-14 2020-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Network node, ue and method for handling handover with parameter for deriving security context
US20200323017A1 (en) * 2019-04-08 2020-10-08 Mediatek Singapore Pte. Ltd 5G NAS Recovery from NASC Failure
CN111866870B (zh) * 2019-04-26 2022-02-01 华为技术有限公司 密钥的管理方法和装置
CN111866867B (zh) * 2019-04-28 2022-01-14 华为技术有限公司 信息获取方法及装置
CN111866967B (zh) * 2019-04-29 2024-09-17 华为技术有限公司 切换的处理方法和装置
CN114513790B (zh) * 2019-05-31 2023-10-10 荣耀终端有限公司 获取安全上下文的方法和网络设备
US11563676B2 (en) * 2019-08-16 2023-01-24 Nokia Technologies Oy Method and apparatus for universal integrated circuit card update via dedicated network function
US20220338079A1 (en) * 2019-08-19 2022-10-20 Telefonaktiebolaget Lm Ericsson (Publ) AMF Re-Allocation Due to Slicing
CN114145073B (zh) * 2019-09-29 2024-04-12 华为技术有限公司 通信方法和通信装置
CN114222356B (zh) * 2019-10-08 2024-04-02 荣耀终端有限公司 一种降低ue功耗的方法和装置
CN112654043A (zh) * 2019-10-13 2021-04-13 华为技术有限公司 注册方法及装置
CN111314856B (zh) * 2020-02-13 2020-12-15 广州爱浦路网络技术有限公司 一种5g用户位置信息服务的分级审查与跟踪装置和方法
KR20220143734A (ko) * 2020-02-20 2022-10-25 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 애플리케이션들을 위한 인증 및 키 관리에 대한 키 자료 생성 최적화
CN114051242B (zh) * 2020-07-22 2023-06-23 大唐移动通信设备有限公司 用户与多终端间的安全性管理方法、装置及设备
CN114079920B (zh) * 2020-08-11 2023-01-20 大唐移动通信设备有限公司 接入网安全处理方法、设备、装置及存储介质
WO2022082667A1 (zh) * 2020-10-22 2022-04-28 华为技术有限公司 一种数据安全传输的方法及装置
CN116391411A (zh) * 2020-10-27 2023-07-04 Oppo广东移动通信有限公司 传输方法和终端设备
CN112333784B (zh) * 2020-11-05 2023-03-24 中国联合网络通信集团有限公司 安全上下文的处理方法、第一网元、终端设备及介质
KR102234087B1 (ko) * 2020-12-02 2021-03-30 영남대학교 산학협력단 채널 전환 기반 무선랜 재밍 방어 시스템
CN114915966A (zh) * 2021-02-10 2022-08-16 华为技术有限公司 配置演进分组系统非接入层安全算法的方法及相关装置
US11800398B2 (en) 2021-10-27 2023-10-24 T-Mobile Usa, Inc. Predicting an attribute of an immature wireless telecommunication network, such as a 5G network
WO2024113132A1 (en) * 2022-11-29 2024-06-06 Nokia Shanghai Bell Co., Ltd. Devices, methods, apparatuses, and computer readable media for network slice security

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106409B2 (en) * 2006-03-28 2015-08-11 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for handling keys used for encryption and integrity
CL2007001656A1 (es) 2006-06-07 2008-01-11 Qualcomm Inc Metodo para la operacion de un terminal de acceso que comprende: a) analizar un encabezado rlp de un paquete de rlp para determinar si un valor indicador de reproceso en dicho encabezado rlp ha sido establecido y si se determina que dicho indicador de reproceso ha sido establecido; y terminal asociado.
US20070297914A1 (en) 2006-06-27 2007-12-27 Dry Air Technology Enhanced axial air mover system with grill
CN101309500B (zh) 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
CN101378591B (zh) * 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
US20090209259A1 (en) * 2008-02-15 2009-08-20 Alec Brusilovsky System and method for performing handovers, or key management while performing handovers in a wireless communication system
CN101516089B (zh) * 2008-02-18 2012-09-05 中国移动通信集团公司 一种切换方法及系统
EP3554113A1 (en) * 2008-08-15 2019-10-16 Samsung Electronics Co., Ltd. Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system
CN101355507B (zh) * 2008-09-12 2012-09-05 中兴通讯股份有限公司 更新跟踪区时的密钥生成方法及系统
US20100173610A1 (en) * 2009-01-05 2010-07-08 Qualcomm Incorporated Access stratum security configuration for inter-cell handover
CN101478752B (zh) * 2009-01-12 2014-11-05 中兴通讯股份有限公司 一种密钥更替方法、系统及设备
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
CN102804826B (zh) * 2010-03-17 2016-03-02 瑞典爱立信有限公司 用于srns重定位的增强密钥管理
US9084110B2 (en) * 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
CN101835152A (zh) * 2010-04-16 2010-09-15 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
CN101860863A (zh) * 2010-05-21 2010-10-13 中国科学院软件研究所 一种增强的加密及完整性保护方法
KR101737425B1 (ko) * 2010-06-21 2017-05-18 삼성전자주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
CN102340772B (zh) * 2010-07-15 2014-04-16 华为技术有限公司 切换过程中的安全处理方法、装置和系统
CN102348206B (zh) * 2010-08-02 2014-09-17 华为技术有限公司 密钥隔离方法和装置
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
CN102625300B (zh) * 2011-01-28 2015-07-08 华为技术有限公司 密钥生成方法和设备
CN102118808B (zh) * 2011-03-03 2014-11-12 电信科学技术研究院 触发切换及移动管理实体池标识信息的传递方法和设备
WO2013163815A1 (zh) 2012-05-04 2013-11-07 华为技术有限公司 一种网络切换过程中的安全处理方法及系统
EP2912867A1 (en) 2012-10-29 2015-09-02 Nokia Solutions and Networks Oy Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks
CN105103577B (zh) 2014-01-28 2019-05-24 华为技术有限公司 一种加密数据的装置和方法
ES2759428T3 (es) 2014-01-28 2020-05-11 Huawei Tech Co Ltd Método de cambio de clave de seguridad y equipo de usuario
US10070357B2 (en) * 2014-09-25 2018-09-04 Intel IP Corporation Smooth UE transfer within an evolved packet core
US9801055B2 (en) 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
US9883385B2 (en) 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
CN106714152B (zh) 2015-11-13 2021-04-09 华为技术有限公司 密钥分发和接收方法、第一密钥管理中心和第一网元
US10873464B2 (en) 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
EP3466135B1 (en) 2016-07-05 2022-01-05 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
WO2018079691A1 (ja) 2016-10-26 2018-05-03 日本電気株式会社 通信システム、セキュリティ装置、通信端末、及び通信方法
PT3574669T (pt) 2017-01-30 2021-10-26 Ericsson Telefon Ab L M Gestão de contexto de segurança em 5g durante o modo conectado
US11071021B2 (en) 2017-07-28 2021-07-20 Qualcomm Incorporated Security key derivation for handover
KR102343687B1 (ko) 2017-11-20 2021-12-28 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 핸드오버 동안 5g에서의 보안 컨텍스트 핸들링
US20220304093A1 (en) 2019-08-06 2022-09-22 Lg Electronics Inc. Method and apparatus for handling security information between a wireless device and a network for a fast rrc release procedure in a wireless communication system

Also Published As

Publication number Publication date
US11743718B2 (en) 2023-08-29
US20190141584A1 (en) 2019-05-09
ES2950488T3 (es) 2023-10-10
US10536849B2 (en) 2020-01-14
AU2018212610A1 (en) 2019-07-25
US20240073683A1 (en) 2024-02-29
US20190141523A1 (en) 2019-05-09
EP4149137A1 (en) 2023-03-15
US20200120498A1 (en) 2020-04-16
CN109644339B (zh) 2022-09-09
US20200120497A1 (en) 2020-04-16
EP3574669B1 (en) 2021-10-13
US20210360397A1 (en) 2021-11-18
CN109644340A (zh) 2019-04-16
PT3574669T (pt) 2021-10-26
KR20190100366A (ko) 2019-08-28
US20220360980A1 (en) 2022-11-10
KR102163343B1 (ko) 2020-10-08
MX2019008770A (es) 2019-09-09
BR112019015387A2 (pt) 2019-12-17
EP3923616C0 (en) 2023-06-28
RU2719772C1 (ru) 2020-04-23
ES2900006T3 (es) 2022-03-15
ES2886881T3 (es) 2021-12-21
EP3923616A1 (en) 2021-12-15
HUE056162T2 (hu) 2022-01-28
EP3574670B1 (en) 2021-07-28
EP3574669A1 (en) 2019-12-04
JP6943965B2 (ja) 2021-10-06
AU2018212610B2 (en) 2021-07-08
JP2020505866A (ja) 2020-02-20
PL3574669T3 (pl) 2022-02-21
EP3952375B1 (en) 2022-11-23
JP7235818B2 (ja) 2023-03-08
DK3574670T3 (da) 2021-09-13
EP4236408A1 (en) 2023-08-30
CN115474247A (zh) 2022-12-13
US11432141B2 (en) 2022-08-30
AR110917A1 (es) 2019-05-15
CN115396886A (zh) 2022-11-25
WO2018138348A1 (en) 2018-08-02
WO2018138347A1 (en) 2018-08-02
US11924630B2 (en) 2024-03-05
EP3574670A1 (en) 2019-12-04
EP3952375A1 (en) 2022-02-09
HUE060616T2 (hu) 2023-03-28
PH12019501467A1 (en) 2020-02-24
AR110865A1 (es) 2019-05-08
US11096045B2 (en) 2021-08-17
CN109644339A (zh) 2019-04-16
JP2022003793A (ja) 2022-01-11
PL3574670T3 (pl) 2022-02-07
CN109644340B (zh) 2022-09-13
EP3923616B1 (en) 2023-06-28
BR112019015387B1 (pt) 2020-11-03
PT3952375T (pt) 2022-12-21
MX2022001444A (es) 2022-02-22
US10531292B2 (en) 2020-01-07
DK3574669T3 (da) 2021-11-01
JP2020507268A (ja) 2020-03-05
PL3952375T3 (pl) 2023-01-30
ES2935527T3 (es) 2023-03-07
ZA201903899B (en) 2020-12-23

Similar Documents

Publication Publication Date Title
JP6942804B2 (ja) 5gにおけるアイドルモード中のセキュリティコンテキストハンドリング
KR102264718B1 (ko) 보안 구현 방법, 및 관련된 장치 및 시스템
JP6639493B2 (ja) ワイヤレス通信のための装置および方法
KR20100114927A (ko) 무선 통신 시스템에서 핸드오버를 실행하는 동안 키 관리를 실행하기 위한 시스템 및 방법
OA19349A (en) Security context handling in 5G during connected mode

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191004

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191004

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201029

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210824

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210908

R150 Certificate of patent or registration of utility model

Ref document number: 6942804

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250