【技术实现步骤摘要】
【国外来华专利技术】空闲模式期间5G中的安全性上下文处理
本公开总体涉及无线通信网络中的安全性,并且更具体地涉及用于当在移动性管理域之间发生改变时进行安全性上下文处理的方法和装置。
技术介绍
第三代合作伙伴计划(3GPP)目前正在开发用于第五代(5G)系统的标准。预期5G网络将支持许多新场景和用例,并将成为物联网(IoT)的实现手段。还预期5G系统将为诸如传感器、智能可穿戴设备、车辆、机器等之类的广泛的新设备提供连接性。灵活性将是5G系统中的关键属性。这种新的灵活性被反映在网络接入的安全性要求中,其要求支持备选认证方法和不同类型的凭证,该不同类型的凭证不同于由运营商预先配置并被安全地存储在通用集成电路卡(UICC)中的通常的认证和密钥协议(AKA)凭证。更灵活的安全性特征将允许工厂所有者或企业将他们自己的身份和凭证管理系统用于认证和接入网安全性。5G系统中的新的安全特征之一是安全性锚功能(SEAF)的引入。SEAF的目的是通过在安全位置提供锚点以用于密钥存储来迎合5G核心网功能的部署中的灵活性和动态性。事实上,预计SEAF将利用虚拟化来实现想要的灵活性。因此,接入和移动性管理功能(AMF)(负责接入和移动性管理的5G功能)可以被部署在可能不如运营商的核心网那么安全的域中,而主密钥保留在安全位置中的SEAF中。SEAF旨在与用户设备(UE)建立和共享表示为KSEAF的密钥,该密钥用于导出其他密钥,例如用于控制平面保护的密钥(例如,KCN密钥)和用于无线电接口保护的密钥。这些密钥通常与长期演进(LTE)系统中的非接入层(NAS)密钥和接入层密钥(KENB)相对应。假设SEAF驻留 ...
【技术保护点】
1.一种用于在空闲模式下传递用户设备(70、430、700)的安全性上下文的方法(300),所述方法由无线通信网络(10)的核心网(30)中的一个或多个核心网节点(320、600)来实现,其中,所述一个或多个核心网节点(320、600)提供源移动性管理功能(40),所述方法包括:从所述无线通信网络(10)的核心网中的目标移动性管理功能(40)接收(305)对用户设备(70、430、700)的安全性上下文的请求;生成(310)新的非接入层密钥;以及响应于所述请求,向所述目标移动性管理功能(40)发送(315)所述新的非接入层密钥和密钥改变指示,所述密钥改变指示对非接入层密钥已被改变进行指示。
【技术特征摘要】
【国外来华专利技术】2017.01.30 US 62/452,2671.一种用于在空闲模式下传递用户设备(70、430、700)的安全性上下文的方法(300),所述方法由无线通信网络(10)的核心网(30)中的一个或多个核心网节点(320、600)来实现,其中,所述一个或多个核心网节点(320、600)提供源移动性管理功能(40),所述方法包括:从所述无线通信网络(10)的核心网中的目标移动性管理功能(40)接收(305)对用户设备(70、430、700)的安全性上下文的请求;生成(310)新的非接入层密钥;以及响应于所述请求,向所述目标移动性管理功能(40)发送(315)所述新的非接入层密钥和密钥改变指示,所述密钥改变指示对非接入层密钥已被改变进行指示。2.根据权利要求1所述的方法(300),其中,生成新的非接入层密钥包括:根据旧的非接入层密钥来生成所述新的非接入层密钥。3.根据权利要求1所述的方法(300),其中,生成新的非接入层密钥包括:生成密钥导出参数;以及根据旧的非接入层密钥和所述密钥导出参数来生成所述新的非接入层密钥。4.根据权利要求1-3中任一项所述的方法,其中,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志被设置为指示所述非接入层密钥已被改变的值。5.根据权利要求1-3中任一项所述的方法,其中,所述密钥改变指示包括隐式地指示所述非接入层密钥已被改变的安全性参数。6.根据权利要求5所述的方法,其中,所述安全性参数包括用于生成所述新的非接入层密钥的密钥导出参数。7.根据权利要求1-3中任一项所述的方法,还包括:响应于所述请求,发送用于生成所述新的非接入层密钥的密钥导出参数。8.根据权利要求6或7所述的方法,其中,所述密钥导出参数包括以下项之一:随机数、时间戳、新鲜度参数和版本号。9.根据权利要求1-6中任一项所述的方法(300),还包括:与所述新的非接入层密钥一起向所述目标移动性管理功能(40)发送一个或多个安全性参数。10.根据权利要求9所述的方法(300),其中,所述一个或多个安全性参数包括用户设备能力信息。11.根据权利要求1-10中任一项所述的方法(300),其中,在上下文请求消息中从所述目标移动性管理功能(40)接收对安全性上下文的请求。12.根据权利要求1-11中任一项所述的方法(300),其中,在上下文请求响应消息中向所述目标移动性管理功能(40)发送所述新的非接入层密钥。13.根据权利要求1-12中任一项所述的方法(300),其中,所述非接入层密钥包括核心网密钥(KCN)。14.一种无线通信网络(10)的核心网(30)中的核心网节点(320、600),所述核心网节点(320、600)提供源移动性管理功能(40),所述核心网节点(320、600)包括:接口电路(640),用于与所述无线通信网络(10)的核心网(30)中的目标移动性管理功能(40)进行通信;以及处理电路(610),被配置为:从目标移动性管理功能(40)接收对用户设备(70、430、700)的安全性上下文的请求;生成新的非接入层密钥;以及响应于请求,向所述目标移动性管理功能(40)发送所述新的非接入层密钥和密钥改变指示。15.根据权利要求14所述的核心网节点(320、600),其中,所述处理电路(610)还被配置为根据旧的非接入层密钥来生成所述新的非接入层密钥。16.根据权利要求14所述的核心网节点(320、600),其中,所述处理电路(610)还被配置为通过以下操作来生成新的非接入层密钥:生成密钥导出参数;以及根据旧的非接入层密钥和所述密钥导出参数来生成所述新的非接入层密钥。17.根据权利要求14-16中任一项所述的核心网节点(320、600),其中,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志被设置为指示所述非接入层密钥已被改变的值。18.根据权利要求14-16中任一项所述的核心网节点(320、600),其中,所述密钥改变指示包括隐式地指示所述非接入层密钥已被改变的安全性参数。19.根据权利要求18所述的核心网节点(320、600),其中,所述安全性参数包括用于生成所述新的非接入层密钥的密钥导出参数。20.根据权利要求14-16中任一项所述的核心网节点(320、600),其中,所述处理电路(610)还被配置为:响应于所述请求,发送用于生成所述新的非接入层密钥的密钥导出参数。21.根据权利要求19或20所述的核心网节点(320、600),其中,所述密钥导出参数包括以下项之一:随机数、时间戳、新鲜度参数和版本号。22.根据权利要求14-21中任一项所述的核心网节点(320、600),其中,所述处理电路(610)还被配置为:与所述新的非接入层密钥一起向所述目标移动性管理功能(40)发送一个或多个安全性参数。23.根据权利要求22所述的核心网节点(320、600),其中,所述一个或多个安全性参数包括用户设备能力信息。24.根据权利要求14-23中任一项所述的核心网节点(320、600),其中,所述处理电路(610)还被配置为:在上下文请求消息中接收对所述安全性上下文的请求。25.根据权利要求14-24中任一项所述的核心网节点(320、600),其中,所述处理电路(610)还被配置为:在上下文请求响应消息中向所述目标移动性管理功能(40)发送所述新的非接入层密钥。26.根据权利要求14-25中任一项所述的核心网节点(320、600),其中,所述非接入层密钥包括核心网密钥(KCN)。27.一种无线通信网络(10)的核心网(30)中的核心网节点(320、600),所述核心网节点(600)提供源移动性管理功能(40),所述核心网节点(600)被配置为:从所述无线通信网络(10)的核心网(30)中的目标移动性管理功能(40)接收对用户设备(70、430、700)的安全性上下文的请求;生成新的非接入层密钥;以及响应于所述请求,向所述无线通信网络(10)的所述核心网中的所述目标移动性管理功能(40)发送所述新的非接入层密钥。28.根据权利要求27所述的核心网节点(320、600),被配置为执行根据权利要求2-13中任一项所述的方法。29.一种包括可执行指令的计算机程序(635),所述可执行指令当由无线通信网络(10)的核心网节点(320、600)中的处理电路(610)执行时,使所述核心网节点(600)执行根据权利要求1-13中任一项所述的方法。30.一种包含根据权利要求29所述的计算机程序(635)的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质网络节点之一。31.一种包含计算机程序(635)的非暂时性计算机可读存储介质(630),所述计算机程序包括可执行指令,所述可执行指令当由无线通信网络(10)的核心网节点(320、600)中的处理电路(610)执行时,使所述核心网节点(320、600)执行根据权利要求1-13中任一项所述的方法。32.一种用于在空闲模式期间传递用户设备(70、430、700)的安全性上下文的方法(350),所述方法由无线通信网络(10)的核心网(30)中的一个或多个核心网节点(600)来实现,其中,所述一个或多个核心网节点(600)提供目标移动性管理功能(40),所述方法包括:从所述用户设备(70、430、700)接收(355)来自用户设备(70、430、700)的指示移动性管理功能(40)改变的注册消息;向所述无线通信网络(10)的核心网中的源移动性管理功能(40)请求(360)所述用户设备(70、430、700)的安全性上下文;响应于所述请求,从所述源移动性管理功能(40)接收(365)新的非接入层密钥和指示所述非接入层密钥已被改变的密钥改变指示;以及向所述用户设备(70、430、700)发送(370)所述密钥改变指示。33.根据权利要求32所述的方法(350),还包括:建立包括所述新的非接入层密钥的新的安全性上下文。34.根据权利要求32或33所述的方法(350),还包括:从所述源移动性管理功能(40)接收一个或多个安全性参数。35.根据权利要求34所述的方法(350),其中,所述一个或多个安全性参数包括用户设备能力信息。36.根据权利要求34或35所述的方法(350),其中,与所述密钥改变指示一起接收所述安全性参数。37.根据权利要求32-36中任一项所述的方法,其中,所述密钥改变指示包括密钥改变指示符标志,所述密钥改变指示符标志被设置为指示所述非接入层密钥已被改变的值。38.根据权利要求32-36中任一项所述的方法,其中,所述密钥改变指示包括隐式地指示所述非接入层密钥已被改变的安全性参数。39.根据权利要求38所述的方法,其中,所述安全性参数包括用于生成所述新的非接入层密钥的密钥导出参数。40.根据权利要求32-36中任一项所述的方法,还包括:响应于所述请求,接收用于生成所述新的非接入层密钥的密钥导出参数。41.根据权利要求40所述的方法,还包括:向所述用户设备(70、430、700)发送所述密钥导出参数。42.根据权利要求39-41中任一项所述的方法,其中,所述密钥导出参数包括以下项之一:随机数、时间戳、新鲜度参数和版本号。43.根据权利要求33-42所述的方法(350),其中,在上下文请求响应消息中接收所述密钥改变指示。44.根据权利要求33-43中任一项所述的方法(350),其中,在安全性建立消息中向所述用户设备(70、430、700)发送所述密钥改变指示。45.根据权利要求33-44中任一项所述的方法(350),其中,所述非接入层密钥包括核心网密钥(KCN)。46.一种无线通信网络(10)的核心网(30)中的核心网节点(380、600),所述核心网节点(380、600)提供目标移动性管理功能(40),所述核心网节点(380、600)包括:接口电路(640),用于与用户设备(70、430、700)和所述无线通信网络(10)的核心网中的源移动性管理功能(40)进行通信;处理电路(610),被配置为:从所述用户设备(70、430、700)接收指示移动性管理功能(40)改变的注册消息;向所述源移动性管理功能(40)请求安全性上下文;响应于所述请求,从所述源移动性管理功能(40)接收新的非接入层密钥和指示所述非接入层密钥已被改变的密钥改变指示;以及向所述用户设备(70、430、700)发送所述密钥改变指示。47.根据权利要求46所述的核心网节点(380、600),其中,所述处理电路(610)还被配置为:建立包括所述新的非接入层密钥的新的安全性上下文。48.根据权利要求46或47所述的核心网节点(380、600),其中,所述处理电路(610)还被配置为:从所述源移动性管理功能(40)接收一个或多个安全性参数。49.根据权利要求48所述的核心网节点(380、600),其中,所述一个或多个安全性参数包括用户设备能力信息。50.根据权利要求48或49所述的核心网节点(380、600),其中,所述...
【专利技术属性】
技术研发人员:诺阿蒙·本赫达,克里斯汀·约斯特,卡尔·诺曼,莫尼卡·威弗森,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。