空闲模式期间5G中的安全性上下文处理制造技术

本公开涉及用于AMF改变期间的灵活的安全性上下文管理的方法和装置。本公开的一个方面是用于在空闲模式下在AMF改变期间实现后向安全性的机制。不同于向目标AMF输送当前NAS密钥，源AMF导出新的NAS密钥，向目标AMF提供新的NAS密钥以及指示NAS密钥已改变的密钥改变指示。目标AMF向用户设备发送该密钥改变指示。

【技术实现步骤摘要】
【国外来华专利技术】空闲模式期间5G中的安全性上下文处理
本公开总体涉及无线通信网络中的安全性，并且更具体地涉及用于当在移动性管理域之间发生改变时进行安全性上下文处理的方法和装置。
技术介绍
第三代合作伙伴计划(3GPP)目前正在开发用于第五代(5G)系统的标准。预期5G网络将支持许多新场景和用例，并将成为物联网(IoT)的实现手段。还预期5G系统将为诸如传感器、智能可穿戴设备、车辆、机器等之类的广泛的新设备提供连接性。灵活性将是5G系统中的关键属性。这种新的灵活性被反映在网络接入的安全性要求中，其要求支持备选认证方法和不同类型的凭证，该不同类型的凭证不同于由运营商预先配置并被安全地存储在通用集成电路卡(UICC)中的通常的认证和密钥协议(AKA)凭证。更灵活的安全性特征将允许工厂所有者或企业将他们自己的身份和凭证管理系统用于认证和接入网安全性。5G系统中的新的安全特征之一是安全性锚功能(SEAF)的引入。SEAF的目的是通过在安全位置提供锚点以用于密钥存储来迎合5G核心网功能的部署中的灵活性和动态性。事实上，预计SEAF将利用虚拟化来实现想要的灵活性。因此，接入和移动性管理功能(AMF)(负责接入和移动性管理的5G功能)可以被部署在可能不如运营商的核心网那么安全的域中，而主密钥保留在安全位置中的SEAF中。SEAF旨在与用户设备(UE)建立和共享表示为KSEAF的密钥，该密钥用于导出其他密钥，例如用于控制平面保护的密钥(例如，KCN密钥)和用于无线电接口保护的密钥。这些密钥通常与长期演进(LTE)系统中的非接入层(NAS)密钥和接入层密钥(KENB)相对应。假设SEAF驻留在安全位置中，并且KSEAF密钥决不会离开SEAF。SEAF与AMF通信并提供必要的密钥材料(从KSEAF密钥导出)，用于保护与用户设备(UE)的控制平面(CP)和用户平面(UP)流量。这种方法的一个优点是每次UE从由一个AMF服务的区域移动到由另一AMF服务的区域时，避免了重新认证。实际上，认证是一种高成本的过程，特别是当UE在漫游时。最近，引入了一种使SEAF和AMF共处一地的建议，这首先阻挠了SEAF的目的。值得注意的是，LTE系统中的安全性设计在概念上基于以下假设：移动性管理实体(MME)(即负责LTE系统中的移动性管理的节点)总是位于运营商核心网内的安全位置。这种假设不适用于5G系统中的AMF。在密集区域中，AMF可能被部署得更靠近网络边缘，并且因此可能被部署在暴露位置(例如，在购物中心中)。因此，在AMF改变期间，AMF中的一个AMF有可能不位于与另一个AMF同等安全的域中，并且因此目标或源AMF可能需要将自己与另一个AMF屏蔽。演进分组系统(EPS)依赖于MME始终位于安全位置中的假设。因此，在MME改变期间，新的MME简单地从先前的MME获取UE的安全性上下文。此外，MME可以可选地触发用于前向安全性的新的认证。在传统机制的情况下，前向安全性(即，旧的MME不知道新MME使用的安全性上下文)可以经由重新认证来实现，但是没有用于后向安全性的机制(即，新的MME不知道由旧的MME使用的安全性上下文)。新的AMF可以触发新的认证，从而消除旧的AMF确定新密钥的任何可能性。例如，对重新认证的需要可以基于考虑不同AMF的位置的运营商策略。仅依赖于身份认证过程并不是非常有效，因为在性能方面，它是成本最高的过程之一。因此，仍然存在当改变AMF时提供安全性而无需重新认证的需求。
技术实现思路
本公开涉及用于AMF改变期间的灵活的安全性上下文管理的方法和装置。本公开的一个方面是用于在AMF改变期间实现后向安全性的机制。不同于向目标AMF输送当前NAS密钥，源AMF导出新的NAS密钥，向目标AMF提供新的NAS密钥，并且直接或通过某个其他网络节点向UE发送密钥改变指示(KCI)。然后，UE可以根据旧的NAS密钥导出新的NAS密钥。在一些实施例中，AMF可以向UE提供密钥生成参数，以用于导出新的NAS密钥。在其他实施例中，目标AMF可以改变一个或多个安全性算法。根据本公开的一个方面，保存UE的安全性上下文的源AMF确定对AMF改变的需求。响应于确定对AMF改变的需求，源AMF生成新的非接入层密钥并向目标AMF发送该非接入层密钥。在一些实施例中，源AMF还向UE或向目标AMF发送KCI。本公开的一个方面包括在切换期间由无线通信网络的接入网中的源基站实现的方法。源基站向无线通信网络的核心网中的源移动性管理功能发送第一切换消息，以发起UE的切换。随后，响应于第一切换消息，源基站从源移动性管理功能接收第二切换消息。第二切换消息包括指示非接入层密钥已被改变的KCI。源基站向UE转发具有KCI的第二切换消息。本公开的另一方面包括源基站，其被配置为执行前一段中的上述方法。在一个实施例中，基站包括用于通过空中接口与UE进行通信的接口电路；以及适于将UE从源基站切换到目标基站的处理电路。该处理电路被配置为：向无线通信网络的核心网中的源移动性管理功能发送第一切换消息，以发起UE的切换；响应于所述切换消息，从源移动性管理功能接收第二切换消息，所述第二切换消息包括指示非接入层密钥已被改变的密钥改变指示；以及经由接口电路向UE转发具有密钥改变指示的切换命令。本公开的另一方面包括在切换期间由无线通信网络的核心网中的源移动性管理功能实现的方法。源移动性管理功能从源基站接收指示需要UE的切换的第一切换消息。源移动性管理功能生成新的非接入层密钥，并向无线通信网络的核心网中的目标移动性管理功能发送该新的非接入层密钥。源移动性管理功能还在第二切换消息中向UE发送KCI。KCI指示非接入层密钥的改变。本公开的另一方面包括源移动性管理功能，其被配置为执行前一段中的上述方法。在一个实施例中，源移动性管理功能包括：用于通过通信网络与基站和目标移动性管理功能进行通信的接口电路；以及处理电路。该处理电路被配置为：从无线通信网络的接入网中的源基站接收指示需要UE的切换的第一切换消息；生成新的非接入层密钥；响应于切换消息，向无线通信网络的核心网中的目标移动性管理功能发送所述新的非接入层密钥；以及在第二切换消息中向UE发送密钥改变指示，所述密钥改变指示对非接入层密钥的改变进行指示。本公开的另一方面包括在切换期间由无线通信网络的核心网中的目标移动性管理功能实现的方法。目标移动性管理功能从源移动性管理功能接收新的非接入层密钥。目标移动性管理功能建立包括根据新的非接入层密钥导出的新的接入层密钥的新的安全性上下文，且向目标基站发送该新的接入层密钥。本公开的另一方面包括目标移动性管理功能，其被配置为执行前一段中的上述方法。在一个实施例中，目标移动性管理功能包括：用于通过通信网络与目标基站和源移动性管理功能进行通信的接口电路；以及处理电路。该处理电路被配置为：从源移动性管理功能接收新的非接入层密钥；建立新的安全性上下文，该新的安全性上下文包括根据新的非接入层密钥导出的新的接入层密钥；以及向目标基站发送该新的接入层密钥。本公开的另一方面包括在切换期间由无线通信网络中的UE在切换期间实现的方法。UE从无线通信网络的源移动性管理功能的域中的源基站接收包括KCI的切换消息。KCI向UE指示非接入层密钥已被改变。UE执行从本文档来自技高网...

【技术保护点】
1.一种用于在空闲模式下传递用户设备(70、430、700)的安全性上下文的方法(300)，所述方法由无线通信网络(10)的核心网(30)中的一个或多个核心网节点(320、600)来实现，其中，所述一个或多个核心网节点(320、600)提供源移动性管理功能(40)，所述方法包括：从所述无线通信网络(10)的核心网中的目标移动性管理功能(40)接收(305)对用户设备(70、430、700)的安全性上下文的请求；生成(310)新的非接入层密钥；以及响应于所述请求，向所述目标移动性管理功能(40)发送(315)所述新的非接入层密钥和密钥改变指示，所述密钥改变指示对非接入层密钥已被改变进行指示。

【技术特征摘要】
【国外来华专利技术】2017.01.30 US 62/452,2671.一种用于在空闲模式下传递用户设备(70、430、700)的安全性上下文的方法(300)，所述方法由无线通信网络(10)的核心网(30)中的一个或多个核心网节点(320、600)来实现，其中，所述一个或多个核心网节点(320、600)提供源移动性管理功能(40)，所述方法包括：从所述无线通信网络(10)的核心网中的目标移动性管理功能(40)接收(305)对用户设备(70、430、700)的安全性上下文的请求；生成(310)新的非接入层密钥；以及响应于所述请求，向所述目标移动性管理功能(40)发送(315)所述新的非接入层密钥和密钥改变指示，所述密钥改变指示对非接入层密钥已被改变进行指示。2.根据权利要求1所述的方法(300)，其中，生成新的非接入层密钥包括：根据旧的非接入层密钥来生成所述新的非接入层密钥。3.根据权利要求1所述的方法(300)，其中，生成新的非接入层密钥包括：生成密钥导出参数；以及根据旧的非接入层密钥和所述密钥导出参数来生成所述新的非接入层密钥。4.根据权利要求1-3中任一项所述的方法，其中，所述密钥改变指示包括密钥改变指示符标志，所述密钥改变指示符标志被设置为指示所述非接入层密钥已被改变的值。5.根据权利要求1-3中任一项所述的方法，其中，所述密钥改变指示包括隐式地指示所述非接入层密钥已被改变的安全性参数。6.根据权利要求5所述的方法，其中，所述安全性参数包括用于生成所述新的非接入层密钥的密钥导出参数。7.根据权利要求1-3中任一项所述的方法，还包括：响应于所述请求，发送用于生成所述新的非接入层密钥的密钥导出参数。8.根据权利要求6或7所述的方法，其中，所述密钥导出参数包括以下项之一：随机数、时间戳、新鲜度参数和版本号。9.根据权利要求1-6中任一项所述的方法(300)，还包括：与所述新的非接入层密钥一起向所述目标移动性管理功能(40)发送一个或多个安全性参数。10.根据权利要求9所述的方法(300)，其中，所述一个或多个安全性参数包括用户设备能力信息。11.根据权利要求1-10中任一项所述的方法(300)，其中，在上下文请求消息中从所述目标移动性管理功能(40)接收对安全性上下文的请求。12.根据权利要求1-11中任一项所述的方法(300)，其中，在上下文请求响应消息中向所述目标移动性管理功能(40)发送所述新的非接入层密钥。13.根据权利要求1-12中任一项所述的方法(300)，其中，所述非接入层密钥包括核心网密钥(KCN)。14.一种无线通信网络(10)的核心网(30)中的核心网节点(320、600)，所述核心网节点(320、600)提供源移动性管理功能(40)，所述核心网节点(320、600)包括：接口电路(640)，用于与所述无线通信网络(10)的核心网(30)中的目标移动性管理功能(40)进行通信；以及处理电路(610)，被配置为：从目标移动性管理功能(40)接收对用户设备(70、430、700)的安全性上下文的请求；生成新的非接入层密钥；以及响应于请求，向所述目标移动性管理功能(40)发送所述新的非接入层密钥和密钥改变指示。15.根据权利要求14所述的核心网节点(320、600)，其中，所述处理电路(610)还被配置为根据旧的非接入层密钥来生成所述新的非接入层密钥。16.根据权利要求14所述的核心网节点(320、600)，其中，所述处理电路(610)还被配置为通过以下操作来生成新的非接入层密钥：生成密钥导出参数；以及根据旧的非接入层密钥和所述密钥导出参数来生成所述新的非接入层密钥。17.根据权利要求14-16中任一项所述的核心网节点(320、600)，其中，所述密钥改变指示包括密钥改变指示符标志，所述密钥改变指示符标志被设置为指示所述非接入层密钥已被改变的值。18.根据权利要求14-16中任一项所述的核心网节点(320、600)，其中，所述密钥改变指示包括隐式地指示所述非接入层密钥已被改变的安全性参数。19.根据权利要求18所述的核心网节点(320、600)，其中，所述安全性参数包括用于生成所述新的非接入层密钥的密钥导出参数。20.根据权利要求14-16中任一项所述的核心网节点(320、600)，其中，所述处理电路(610)还被配置为：响应于所述请求，发送用于生成所述新的非接入层密钥的密钥导出参数。21.根据权利要求19或20所述的核心网节点(320、600)，其中，所述密钥导出参数包括以下项之一：随机数、时间戳、新鲜度参数和版本号。22.根据权利要求14-21中任一项所述的核心网节点(320、600)，其中，所述处理电路(610)还被配置为：与所述新的非接入层密钥一起向所述目标移动性管理功能(40)发送一个或多个安全性参数。23.根据权利要求22所述的核心网节点(320、600)，其中，所述一个或多个安全性参数包括用户设备能力信息。24.根据权利要求14-23中任一项所述的核心网节点(320、600)，其中，所述处理电路(610)还被配置为：在上下文请求消息中接收对所述安全性上下文的请求。25.根据权利要求14-24中任一项所述的核心网节点(320、600)，其中，所述处理电路(610)还被配置为：在上下文请求响应消息中向所述目标移动性管理功能(40)发送所述新的非接入层密钥。26.根据权利要求14-25中任一项所述的核心网节点(320、600)，其中，所述非接入层密钥包括核心网密钥(KCN)。27.一种无线通信网络(10)的核心网(30)中的核心网节点(320、600)，所述核心网节点(600)提供源移动性管理功能(40)，所述核心网节点(600)被配置为：从所述无线通信网络(10)的核心网(30)中的目标移动性管理功能(40)接收对用户设备(70、430、700)的安全性上下文的请求；生成新的非接入层密钥；以及响应于所述请求，向所述无线通信网络(10)的所述核心网中的所述目标移动性管理功能(40)发送所述新的非接入层密钥。28.根据权利要求27所述的核心网节点(320、600)，被配置为执行根据权利要求2-13中任一项所述的方法。29.一种包括可执行指令的计算机程序(635)，所述可执行指令当由无线通信网络(10)的核心网节点(320、600)中的处理电路(610)执行时，使所述核心网节点(600)执行根据权利要求1-13中任一项所述的方法。30.一种包含根据权利要求29所述的计算机程序(635)的载体，其中，所述载体是电信号、光信号、无线电信号或计算机可读存储介质网络节点之一。31.一种包含计算机程序(635)的非暂时性计算机可读存储介质(630)，所述计算机程序包括可执行指令，所述可执行指令当由无线通信网络(10)的核心网节点(320、600)中的处理电路(610)执行时，使所述核心网节点(320、600)执行根据权利要求1-13中任一项所述的方法。32.一种用于在空闲模式期间传递用户设备(70、430、700)的安全性上下文的方法(350)，所述方法由无线通信网络(10)的核心网(30)中的一个或多个核心网节点(600)来实现，其中，所述一个或多个核心网节点(600)提供目标移动性管理功能(40)，所述方法包括：从所述用户设备(70、430、700)接收(355)来自用户设备(70、430、700)的指示移动性管理功能(40)改变的注册消息；向所述无线通信网络(10)的核心网中的源移动性管理功能(40)请求(360)所述用户设备(70、430、700)的安全性上下文；响应于所述请求，从所述源移动性管理功能(40)接收(365)新的非接入层密钥和指示所述非接入层密钥已被改变的密钥改变指示；以及向所述用户设备(70、430、700)发送(370)所述密钥改变指示。33.根据权利要求32所述的方法(350)，还包括：建立包括所述新的非接入层密钥的新的安全性上下文。34.根据权利要求32或33所述的方法(350)，还包括：从所述源移动性管理功能(40)接收一个或多个安全性参数。35.根据权利要求34所述的方法(350)，其中，所述一个或多个安全性参数包括用户设备能力信息。36.根据权利要求34或35所述的方法(350)，其中，与所述密钥改变指示一起接收所述安全性参数。37.根据权利要求32-36中任一项所述的方法，其中，所述密钥改变指示包括密钥改变指示符标志，所述密钥改变指示符标志被设置为指示所述非接入层密钥已被改变的值。38.根据权利要求32-36中任一项所述的方法，其中，所述密钥改变指示包括隐式地指示所述非接入层密钥已被改变的安全性参数。39.根据权利要求38所述的方法，其中，所述安全性参数包括用于生成所述新的非接入层密钥的密钥导出参数。40.根据权利要求32-36中任一项所述的方法，还包括：响应于所述请求，接收用于生成所述新的非接入层密钥的密钥导出参数。41.根据权利要求40所述的方法，还包括：向所述用户设备(70、430、700)发送所述密钥导出参数。42.根据权利要求39-41中任一项所述的方法，其中，所述密钥导出参数包括以下项之一：随机数、时间戳、新鲜度参数和版本号。43.根据权利要求33-42所述的方法(350)，其中，在上下文请求响应消息中接收所述密钥改变指示。44.根据权利要求33-43中任一项所述的方法(350)，其中，在安全性建立消息中向所述用户设备(70、430、700)发送所述密钥改变指示。45.根据权利要求33-44中任一项所述的方法(350)，其中，所述非接入层密钥包括核心网密钥(KCN)。46.一种无线通信网络(10)的核心网(30)中的核心网节点(380、600)，所述核心网节点(380、600)提供目标移动性管理功能(40)，所述核心网节点(380、600)包括：接口电路(640)，用于与用户设备(70、430、700)和所述无线通信网络(10)的核心网中的源移动性管理功能(40)进行通信；处理电路(610)，被配置为：从所述用户设备(70、430、700)接收指示移动性管理功能(40)改变的注册消息；向所述源移动性管理功能(40)请求安全性上下文；响应于所述请求，从所述源移动性管理功能(40)接收新的非接入层密钥和指示所述非接入层密钥已被改变的密钥改变指示；以及向所述用户设备(70、430、700)发送所述密钥改变指示。47.根据权利要求46所述的核心网节点(380、600)，其中，所述处理电路(610)还被配置为：建立包括所述新的非接入层密钥的新的安全性上下文。48.根据权利要求46或47所述的核心网节点(380、600)，其中，所述处理电路(610)还被配置为：从所述源移动性管理功能(40)接收一个或多个安全性参数。49.根据权利要求48所述的核心网节点(380、600)，其中，所述一个或多个安全性参数包括用户设备能力信息。50.根据权利要求48或49所述的核心网节点(380、600)，其中，所述...

【专利技术属性】
技术研发人员：诺阿蒙·本赫达，克里斯汀·约斯特，卡尔·诺曼，莫尼卡·威弗森，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE