在从5G切换到4G系统之前进行安全性管理的方法、装置、计算机程序以及载体制造方法及图纸

提供一种密钥管理，其在将用户设备从源5G无线通信系统(即下一代系统(NGS))切换到目标4G无线通信系统(即演进型分组系统(EPS)/长期演进(LTE))之前实现安全激活。所述密钥管理实现后向安全性，即防止目标4G无线通信系统得到在源5G无线通信系统中使用的5G安全信息的知识。

Methods, devices, computer programs and carriers for security management before switching from 5G to 4G systems

【技术实现步骤摘要】
【国外来华专利技术】在从5G切换到4G系统之前进行安全性管理的方法、装置、计算机程序以及载体
本实施例总体涉及安全性管理，并且具体涉及与不同代的无线通信系统之间的切换相结合的密钥管理。
技术介绍
从对通用移动电信系统(UMTS)架构(有时也被称为3G)和长期演进(LTE)架构(也被称为4G)进行非常简要的概述开始会是有用的。首先，这些架构的无线电接入网络(RAN)部分的不同之处在于，通用地面无线电接入网络(UTRAN)是3GUMTSRAN，而演进型UTRAN(E-UTRAN)是LTERAN。UTRAN支持电路交换和分组交换服务二者，而E-UTRAN仅支持分组交换服务。UTRAN空中接口是基于扩频调制技术的宽带码分多址(WCDMA)，而E-UTRAN采用被称为正交频分多址(OFDMA)的多载波调制方案。高速分组接入(HSPA)是使用WCDMA协议来扩展和改善现有的3GUMTS网络的性能的一组协议。在3G/UMTS中，RAN基于两种类型的节点：被称为NodeB的接入节点或基站和无线电网络控制器(RNC)。RNC是控制RAN的节点，并且它还将RAN连接到核心网络(CN)。图1是示出了UMTS的核心网络的简化概述的示意图。UMTS的核心网络包括：·具有移动交换中心(MSC)的电路交换(CS)域，其中所述MSC用于连接到公共交换电话网络(PSTN)；以及·具有服务GPRS支持节点(SGSN)和网关GPRS支持节点(GGSN)的分组交换(PS)域，其中所述SGSN用于连接到RAN，并且所述GGSN用于连接到外部网络，例如因特网。这两个域的共同之处在于归属位置寄存器(HLR)，即归属运营商网络中的保持对运营商的订户的跟踪的数据库。LTERAN的关键设计原理是仅使用一种类型的节点，即，演进型节点B，也被称为eNodeB或eNB。LTECN的主要概念是尽可能独立于无线电接入技术。LTERAN功能通常涉及：·编码、交织、调制和其他典型的物理层功能；·自动重复请求(ARQ)头部压缩和其他典型的链路层功能；·用户平面(UP)安全性功能(例如加密)和RAN信令安全性(例如，RAN向用户平面(UE)发起的信令的加密和完整性保护)；以及·无线电资源管理(RRM)、切换和其他典型的无线电资源控制功能。LTECN功能通常涉及：·非接入层(NAS)安全性功能(例如，去往UE的CN信令的加密和完整性保护)；·订户管理；·移动性管理；·承载管理和服务质量(QoS)处理；·政策控制和用户数据流；·与外部网络的互连。LTECN的演进和标准化被称为系统架构演进(SAE)，并且SAE中定义的核心网络与上一代核心网络完全不同，并且因此被称为演进型分组核心(EPC)。图2是示出了EPC架构的简化概述的示意图。EPC的基本节点包括：·移动性管理实体(MME)，它是EPC的控制平面节点；·服务网关(SG)，它是将EPC连接到LTERAN的用户平面节点；以及·分组数据网络(PDN)网关，它是将EPC连接到互联网的用户平面节点。MME通常还连接到归属订户服务器(HSS)，所述HSS是与HLR相对应的数据库节点。服务网关和PDN网关可以被配置为单个实体。有时，EPC与LTERAN一起被表示为演进型分组系统(EPS)。目前，尽管尚未设置通用的5G标准，但是正在全世界范围内开发通常被称为下一代(NextGen或NG)、下一代系统(NGS)或5G的未来一代无线通信。与当前的4GLTE网络相比，下一代无线通信的愿景在于提供非常高的数据速率、极低的延迟、基站容量的多方面增加以及用户感知到的QoS的显著改善。3GPPSA2已经在3GPPTR23.799V14.0.0中就非漫游架构达成一致，其中该架构在图3中示出。接入和移动性管理功能(AMF)(有时被称为移动性管理功能(MMF)、核心网络移性动管理(CN-MM)或简称为移动性管理(MM))是支持移动性管理的核心网络节点，并且因此扮演与EPC中的MME类似的角色。AMF具有到RAN的所谓的NG2接口，其中所述NG2接口与EPC中MME与RAN之间的所谓的S1接口相对应。目前在传统3GPP系统中支持3G与4G无线通信系统之间(即UMTS与EPS/LTE之间或UTRAN与E-UTRAN之间)的切换。在这种交互切换中，在切换可能发生之前激活NAS和接入层(AS)安全性。因此，切换中的源无线通信系统向切换中的目标无线通信系统发送密钥集。在从3G切换到4G(即从UMTS或UTRAN切换到EPS/LTE或E-UTRAN)的情况下，在源UMTS系统中使用的机密性和完整性密钥被传输给目标EPS/LTE系统，其中在所述目标EPS/LTE系统中，它们被用于导出NAS和AS密钥。因此，目标EPS/LTE系统具有在源UMTS系统中使用的机密性和完整性密钥的知识。因此，缺乏后向安全性。在从4G切换到3G(即从EPS/LTE或E-UTRAN切换到UMTS或UTRAN)时，在源EPS/LTE系统中使用的安全密钥不被传输给目标UMTS系统。与之形成明显的对比，新的机密性和完整性密钥被生成并被发送给目标UMTS系统。新的机密性和完整性密钥的这种生成提供1跳后向安全性。目前正在开发从NGS切换到EPS/LTE时涉及的信令。在该上下文中，NGS的移动性管理实体(即AMF)应该将安全参数发送给EPS/LTE的对应移动性管理实体(即MME)。为了最小化对现有节点的影响，目标MME将从源AMF接收的信令消息理解为由传统MME发送的。这意味着源AMF需要相应地采取行动，并且以与在EPC中在MME之间提供安全参数的方式类似的方式来提供必需的安全参数。然而，目前缺乏在从NGS到EPS/LTE的切换交互中实现安全性的有效解决方案。在从NGS切换到EPS/LTE之前，应该激活NAS和AS安全性。因此，根据现有技术，源NGS需要在切换期间将所需的安全参数发送给目标EPS/LTE。但是，这种方法不能实现任何后向安全性。
技术实现思路
总体目的是实现与用户设备从源无线通信系统到不同代的目标无线通信系统的切换相结合的安全性。该目的和其它目的由本文公开的实施例来满足。实施例的一方面涉及一种与用户设备从源无线通信系统到目标无线通信系统的切换相结合的密钥管理方法。该方法包括：基于在源5G无线通信系统的核心网络处可用的5G密钥和5G新鲜度参数导出第一4G主密钥。该方法还包括：将第一4G主密钥转发给目标4G无线通信系统的核心网络，使得能够基于第一4G主密钥和4G新鲜度参数导出第二4G主密钥。该方法还包括：将5G新鲜度参数转发给用户设备，使得能够基于5G密钥和5G新鲜度参数导出第一4G主密钥，并且能够基于第一4G主密钥和4G新鲜度参数导出第二4G主密钥。实施例的另一方面涉及一种与用户设备从源无线通信系统到目标无线通信系统的切换相结合的密钥管理方法。该方法包括：在目标4G无线通信系统的核心网络处，从源5G无线通信系统的核心网络接收第一4G主密钥，其中该第一4G主密钥是基于i)在源5G无线通信系统的核心网络处和用户设备处可用的5G密钥和ii)5G新鲜度参数导出的。该方法还包括：基于第一4G主密钥和4G新鲜度参数导出第二4G主密钥。实施例的另一方面涉及一种与用户设备从源无线通信系统到目标无线通信系统的切换相结合的密本文档来自技高网...

【技术保护点】
1.一种与用户设备从源无线通信系统到目标无线通信系统的切换相结合的密钥管理方法，所述方法包括：基于在源5G无线通信系统的核心网络处可用的5G密钥和5G新鲜度参数导出第一4G主密钥；将所述第一4G主密钥转发给目标4G无线通信系统的核心网络，以便能够基于所述第一4G主密钥和4G新鲜度参数导出第二4G主密钥；以及将所述5G新鲜度参数转发给所述用户设备，以便能够基于所述5G密钥和所述5G新鲜度参数导出所述第一4G主密钥，并且能够基于所述第一4G主密钥和所述4G新鲜度参数导出所述第二4G主密钥。

【技术特征摘要】
【国外来华专利技术】2017.01.30 US 62/451,8601.一种与用户设备从源无线通信系统到目标无线通信系统的切换相结合的密钥管理方法，所述方法包括：基于在源5G无线通信系统的核心网络处可用的5G密钥和5G新鲜度参数导出第一4G主密钥；将所述第一4G主密钥转发给目标4G无线通信系统的核心网络，以便能够基于所述第一4G主密钥和4G新鲜度参数导出第二4G主密钥；以及将所述5G新鲜度参数转发给所述用户设备，以便能够基于所述5G密钥和所述5G新鲜度参数导出所述第一4G主密钥，并且能够基于所述第一4G主密钥和所述4G新鲜度参数导出所述第二4G主密钥。2.根据权利要求1所述的方法，还包括：基于接收到指示需要从所述源5G无线通信系统的无线电接入网络RAN进行切换的通知消息来生成所述5G新鲜度参数。3.根据权利要求1或2所述的方法，其中导出所述第一4G主密钥包括：基于KAMF和所述5G新鲜度参数导出所述第一4G主密钥；并且KAMF是在接入和移动性管理功能AMF处可用的密钥，其中所述AMF构成支持所述源5G无线通信系统中的移动性管理的核心网络节点。4.根据权利要求1至3中任一项所述的方法，其中，导出所述第一4G主密钥包括：所述源5G无线通信系统的所述核心网络的移动性管理实体或功能基于所述5G密钥和所述5G新鲜度参数导出所述第一4G主密钥。5.根据权利要求1至4中任一项所述的方法，其中，将所述第一4G主密钥转发给所述目标4G无线通信系统的所述核心网络包括：将所述第一4G主密钥转发给所述目标4G无线通信系统的所述核心网络的目标移动性管理实体MME。6.根据权利要求1至5中任一项所述的方法，其中，将所述第一4G主密钥转发给所述目标4G无线通信系统的所述核心网络包括：将包括所述第一4G主密钥在内的重定位请求消息转发给所述目标4G无线通信系统的所述核心网络。7.根据权利要求1至6中任一项所述的方法，其中，将所述5G新鲜度参数转发给所述用户设备包括：经由所述源5G无线通信系统的无线电接入网络将所述5G新鲜度参数转发给所述用户设备。8.根据权利要求1至7中任一项所述的方法，还包括：从所述目标4G无线通信系统的所述核心网络接收包括所述4G新鲜度参数在内的重定位响应消息，其中，将所述5G新鲜度参数转发给所述用户设备包括：将包括所述5G新鲜度参数和所述4G新鲜度参数在内的切换命令转发给所述用户设备。9.一种与用户设备从源无线通信系统到目标无线通信系统的切换相结合的密钥管理方法，所述方法包括：在目标4G无线通信系统的核心网络处，从源5G无线通信系统的核心网络接收第一4G主密钥，其中所述第一4G主密钥是基于i)在所述源5G无线通信系统的所述核心网络处和所述用户设备处可用的5G密钥和ii)5G新鲜度参数导出的；以及基于所述第一4G主密钥和4G新鲜度参数导出第二4G主密钥。10.根据权利要求9所述的方法，还包括：基于接收到所述第一4G主密钥来生成所述4G新鲜度参数。11.根据权利要求9或10所述的方法，其中，导出所述第二4G主密钥包括：所述目标4G无线通信系统的所述核心网络的移动性管理实体MME基于所述第一4G主密钥和所述4G新鲜度参数导出所述第二4G主密钥。12.根据权利要求9至11中任一项所述的方法，其中，接收所述第一4G主密钥包括：从所述源5G无线通信系统的所述核心网络接收包括所述第一4G主密钥在内的重定位请求消息。13.根据权利要求9至12中任一项所述的方法，还包括：将所述第二4G主密钥或从所述第二4G主密钥导出的密钥转发给所述目标4G无线通信系统的无线电接入网络，以使所述用户设备能够使用所述第二4G主密钥或基于所述第二4G主密钥导出的所述密钥与所述目标4G无线通信系统的所述无线电接入网络安全地通信。14.根据权利要求9至13中任一项所述的方法，还包括：将所述4G新鲜度参数转发给所述用户设备。15.根据权利要求14所述的方法，其中，将所述4G新鲜度参数转发给所述用户设备包括：经由所述源5G无线通信系统的所述核心网络和无线电接入网络将所述4G新鲜度参数转发给所述用户设备。16.一种与用户设备从源无线通信系统到目标无线通信系统的切换相结合的密钥管理方法，所述方法包括：基于在所述用户设备处和源5G无线通信系统的核心网络处可用的5G密钥和源自所述源5G无线通信系统的所述核心网络的5G新鲜度参数导出第一4G主密钥；以及基于所述第一4G主密钥和在目标4G无线通信系统的核心网络处可用的4G新鲜度参数导出第二4G主密钥。17.根据权利要求16所述的方法，其中导出所述第一4G主密钥包括基于KAMF和所述5G新鲜度参数导出所述第一4G主密钥；并且KAMF是在接入和移动性管理功能AMF处可用的密钥，其中所述AMF构成支持所述源5G无线通信系统中的移动性管理的核心网络节点。18.根据权利要求16或17所述的方法，还包括：从所述源5G无线通信系统的无线电接入网络接收所述5G新鲜度参数。19.根据权利要求18所述的方法，其中，接收所述5G新鲜度参数包括：从所述源5G无线通信系统的所述无线电接入网络接收所述5G新鲜度参数和所述4G新鲜度参数。20.根据权利要求16至18中任一项所述的方法，还包括：从所述用户设备处的存储设备提供所述4G新鲜度参数。21.根据权利要求16至20中任一项所述的方法，还包括：基于所述第二4G主密钥导出至少一个非接入层NAS密钥。22.根据权利要求16至21中任一项所述的方法，还包括：基于所述第二4G主密钥导出KeNB。23.根据权利要求1至22中任一项所述的方法，其中，所述用户设备处于与所述源5G无线通信系统的连接状态。24.根据权利要求1至23中任一项所述的方法，其中，所述5G新鲜度参数是计数器值。25.一种密钥管理装置(100、1110、120)，被配置为：基于i)在源5G无线通信系统的核心网络处和要从所述源5G无线通信系统切换到目标4G无线通信系统的用户设备处可用的5G密钥和ii)5G新鲜度参数导出第一4G主密钥；将所述第一4G主密钥转发给所述目标4G无线通信系统的核心网络，以便能够基于所述第一4G主密钥和4G新鲜度参数导出第二4G主密钥；以及将所述5G新鲜度参数转发给所述用户设备，以便能够基于所述5G密钥和所述5G新鲜度参数导出所述第一4G主密钥，并且能够基于所述第一4G主密钥和所述4G新鲜度参数导出所述第二4G主密钥。26.根据权利要求25所述的密钥管理装置，其中，所述密钥管理装置(100、1110、120)被配置为基于接收到指示需要进行切换的通知消息来生成所述5G新鲜度参数。27.根据权利要求25或26所述的密钥管理装置，其中所述密钥管理装置(100、1110、120)被配置为基于KAMF和所述5G新鲜度参数导出所述第一4G主密钥；并且KAMF是在接入和移动性管理功能AMF处可用的密钥，其中所述AMF构成支持所述源5G无线通信系统中的移动性管理的核心网络节点。28.根据权利要求25至27中任一项所述的密钥管理装置，其中，所述密钥管理装置(100、1110、120)被配置为：从所述目标4G无线通信系统的所述核心网络接收包括所述4G新鲜度参数在内的重定位响应消息；以及将包括所述5G新鲜度参数和所述4G新鲜度参数在内的切换命令转发给所述用户设备。29.根据权利要求25至28中任一项所述的密钥管理装置，包括：处理器(101)；以及包括所述处理器(102)可执行的指令的存储器(102)，其中，所述处理器(101)操作用于：基于i)所述5G密钥和ii)所述5G新鲜度参数导出所述第一4G主密钥；将所述第一4G主密钥转发给所述目标4G无线通信系统的所述核心网络；以及将所述5G新鲜...

【专利技术属性】
技术研发人员：克里斯汀·约斯特，莫尼卡·威弗森，诺阿蒙·本赫达，韦萨·勒托威尔塔，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE