通信终端、核心网络装置、核心网络节点、网络节点和密钥导出方法制造方法及图纸

提供了一种通信终端，其能够防止在经由3GPP接入和非3GPP接入建立多个连接时所引起的安全级别的降低。根据本发明专利技术的通信终端(10)包括：通信单元(11)，其被配置为经由不受信任的非3GPP接入来与被配置在核心网络装置(20)的前级的网关装置进行通信；以及密钥导出单元(12)，其被配置为根据用于对使用与核心网络装置(20)之间定义的协议传输的消息进行安全处理的第一安全密钥来导出用于对使用与网关装置之间定义的协议传输的消息进行安全处理的第二安全密钥。

【技术实现步骤摘要】
【国外来华专利技术】通信终端、核心网络装置、核心网络节点、网络节点和密钥导出方法
本专利技术涉及通信终端、核心网络装置、核心网络节点、网络节点和密钥导出方法。
技术介绍
在3GPP(第三代合作伙伴计划)中，考虑了被称为5G的通信系统(以下称为5GS(5G系统))的规范。5GS包括3GPP接入和非3GPP接入作为接入网络。另外，非3GPP接入包括受信任的非3GPP接入和不受信任的非3GPP接入。3GPP网络是包括功能或规范在3GPP中规定了的装置的网络。非3GPP网络是包括功能或规范未在3GPP中规定的装置的网络。受信任的非3GPP接入是被通信公共运营商识别为可靠接入网络的网络。不受信任的非3GPP接入是未被通信公共运营商识别为可靠接入网络的网络。在非专利文献1中公开了3GPP接入和非3GPP接入之间的切换处理。引用列表非专利文献非专利文献1：3GPPTR23.799V2.0.0(2016-11)
技术实现思路
专利技术要解决的问题非专利文献1公开了3GPP接入和非3GPP接入之间的切换处理，但是没有公开通信终端的UE经由3GPP接入和非3GPP接入建立了多个连接时的安全机制。因此，在使用3GPP接入和非3GPP接入的多个连接中，存在安全级别降低的问题。考虑到以上问题，本专利技术的目的是提供能够防止在经由3GPP接入和非3GPP接入建立多个连接时所引起的安全级别的降低的通信终端、核心网络装置和密钥导出方法。用于解决问题的方案根据本专利技术的第一方面的通信终端包括：通信单元，其被配置为经由不受信任的非3GPP接入来与被配置在核心网络装置的前级的网关装置进行通信；以及密钥导出单元，其被配置为根据用于对使用与所述核心网络之间定义的协议传输的消息进行安全处理的第一安全密钥来导出用于对使用与所述网关装置之间定义的协议传输的消息进行安全处理的第二安全密钥。根据本专利技术的第二方面的核心网络装置包括：通信单元，其被配置为经由被配置在核心网络装置的前级的网关装置以及不受信任的非3GPP接入来与通信终端进行通信；以及密钥导出单元，其被配置为根据用于对与所述通信终端之间使用定义的协议传输的消息进行安全处理的第一安全密钥来导出用于对使用所述通信终端与所述网关装置之间定义的协议传输的消息进行安全处理的第二安全密钥。根据本专利技术的第三方面的密钥导出方法包括：经由不受信任的非3GPP接入来与被配置在核心网络装置的前级的网关装置进行通信；以及根据用于对使用与所述核心网络装置之间定义的协议传输的消息进行安全处理的第一安全密钥来导出用于对使用与所述网关装置之间定义的协议传输的消息进行安全处理的第二安全密钥。专利技术的效果根据本专利技术，可以提供能够防止在经由3GPP接入和非3GPP接入建立多个连接时所引起的安全级别的降低的通信终端、核心网络装置、核心网络节点、网络节点和密钥导出方法。附图说明图1是根据第一示例性实施例的通信终端的结构图。图2是根据第一示例性实施例的核心网络装置的结构图。图3是根据第二示例性实施例的通信系统的结构图。图4是示出根据第二示例性实施例的密钥分层结构的图。图5是示出根据第二示例性实施例的密钥分层结构的图。图6是根据第二示例性实施例的通信系统的结构图。图7是示出根据第二示例性实施例的密钥分层结构的图。图8是示出根据第二示例性实施例的密钥分层结构的图。图9是示出根据第二示例性实施例的密钥分层结构的图。图10是根据第二示例性实施例的通信系统的结构图。图11是示出根据第二示例性实施例的密钥分层结构的图。图12是示出根据第二示例性实施例的密钥分层结构的图。图13是示出根据第二示例性实施例的安全密钥的导出的图。图14是示出根据第二示例性实施例的安全密钥的导出的图。图15是示出根据第二示例性实施例的发送与UE所使用的接入网络有关的信息的处理的流程的图。图16是示出根据第二示例性实施例的发送与UE所使用的接入网络有关的信息的处理的流程的图。图17是示出根据第二示例性实施例的导出安全密钥KSEAF的处理的图。图18是示出根据第二示例性实施例的导出安全密钥KSEAF的处理的图。图19是示出根据第二示例性实施例的导出安全密钥KSEAF的处理的图。图20是示出根据第二示例性实施例的导出安全密钥KSEAF的处理的图。图21是示出根据第二示例性实施例的导出安全密钥KSEAF的处理的图。图22是示出根据第二示例性实施例的导出安全密钥KSEAF的处理的图。图23是示出根据第二示例性实施例的导出安全密钥KSEAF的处理的图。图24是示出根据第三示例性实施例的与UE30相关的认证处理的流程的图。图25是示出根据第三示例性实施例的与UE30相关的认证处理的流程的图。图26是示出根据第三示例性实施例的与UE30相关的认证处理的流程的图。图27是示出根据第三示例性实施例的与UE30相关的认证处理的流程的图。图28是示出根据第三示例性实施例的用于导出切换期间的安全密钥KAMF*的过程的图。图29是示出根据第三示例性实施例的安全密钥的导出的图。图30是示出根据第三示例性实施例的用于导出切换期间的安全密钥KAMF*的过程的图。图31是示出根据第三示例性实施例的安全密钥的导出的图。图32是示出根据第三示例性实施例的用于导出切换期间的安全密钥KAMF*的过程的图。图33是示出根据第三示例性实施例的安全密钥的导出的图。图34是示出根据第三示例性实施例的用于导出切换期间的安全密钥KAMF*的过程的图。图35是示出根据第三示例性实施例的安全密钥的导出的图。图36是示出根据第三示例性实施例的切换处理的流程的图。图37是示出根据第三示例性实施例的切换处理的流程的图。图38是示出根据第三示例性实施例的切换处理的流程的图。图39是示出根据第三示例性实施例的切换处理的流程的图。图40是示出根据第三示例性实施例的切换处理的流程的图。图41是示出根据第三示例性实施例的切换处理的流程的图。图42是示出根据第三示例性实施例的切换处理的流程的图。图43是示出根据第三示例性实施例的切换处理的流程的图。图44是示出根据第三示例性实施例的切换处理的流程的图。图45是示出根据第三示例性实施例的切换处理的流程的图。图46是示出根据第三示例性实施例的切换处理的流程的图。图47是示出根据第三示例性实施例的切换处理的流程的图。图48是示出根据第三示例性实施例的切换处理的流程的图。图49是示出根据第三示例性实施例的切换处理的流程的图。图50是示出根据第三示例性实施例的切换处理的流程的图。图51是示出根据第三示例性实施例的切换处理的流程的图。图52是示本文档来自技高网...

【技术保护点】
1.一种通信终端，包括：/n通信单元，其被配置为经由不受信任的非3GPP接入来与被配置在核心网络装置的前级的网关装置进行通信；以及/n密钥导出单元，其被配置为根据用于对使用与所述核心网络之间定义的协议传输的消息进行安全处理的第一安全密钥来导出用于对使用与所述网关装置之间定义的协议传输的消息进行安全处理的第二安全密钥。/n

【技术特征摘要】
【国外来华专利技术】20170927 IN 2017110343371.一种通信终端，包括：
通信单元，其被配置为经由不受信任的非3GPP接入来与被配置在核心网络装置的前级的网关装置进行通信；以及
密钥导出单元，其被配置为根据用于对使用与所述核心网络之间定义的协议传输的消息进行安全处理的第一安全密钥来导出用于对使用与所述网关装置之间定义的协议传输的消息进行安全处理的第二安全密钥。


2.根据权利要求1所述的通信终端，其中，
所述通信单元经由所述不受信任的非3GPP接入来与被配置在所述核心网络装置的前级的第一网关装置进行通信，并且经由所述不受信任的非3GPP接入或与所述不受信任的非3GPP接入不同的不受信任的非3GPP接入来与被配置在所述核心网络装置的前级的第二网关装置进行通信，以及
所述密钥导出单元导出针对各网关装置不同的所述第二安全密钥。


3.根据权利要求1或2所述的通信终端，
其中，所述密钥导出单元使用接入网络的识别信息来导出所述第二安全密钥。


4.根据权利要求1至3中任一项所述的通信终端，
其中，所述密钥导出单元根据所述第一安全密钥来导出用于对经由所述不受信任的非3GPP接入和所述网关装置在所述密钥导出单元和所述核心网络装置之间传输的NAS消息进行安全处理的第三安全密钥。


5.根据权利要求4所述的通信终端，其中，
所述通信单元经由所述不受信任的非3GPP接入来与被配置在所述核心网络装置的前级的第一网关装置进行通信，并且经由所述不受信任的非3GPP接入或与所述不受信任的非3GPP接入不同的不受信任的非3GPP接入来与被配置在所述核心网络装置的前级的第二网关装置进行通信，以及
所述密钥导出单元导出针对各网关装置不同的所述第三安全密钥。


6.根据权利要求4或5所述的通信终端，
其中，所述密钥导出单元使用接入网络的识别信息来导出所述第三安全密钥。


7.一种核心网络装置，包括：
通信单元，其被配置为经由被配置在核心网络装置的前级的网关装置以及不受信任的非3GPP接入来与通信终端进行通信；以及
密钥导出单元，其被配置为根据用于对使用与所述通信终端之间定义的协议传输的消息进行安全处理的第一安全密钥来导出用于对使用所述通信终端与所述网关装置之间定义的协议传输的消息进行安全处理的第二安全密钥。


8.根据权利要求7所述的核心网络装置，其中，
所述通信单元经由第一网关装置和所述不受信任的非3GPP接入来与所述通信终端进行通信，并且还经由第二网关装置和所述不受信任的非3GPP接入或与所述不受信任的非3GPP接入不同的不受信任的非3GPP接入来与所述通信终端进行通信，以及
所述密钥导出单元导出针对各网关装置不同的所述第二安全密钥。


9.根据权利要求7或8所述的核心网络装置，
其中，所述密钥导出单元使用接入网络的识别信息来导出所述第二安全密钥。


10.根据权利要求7至9中任一项所述的核心网络装置，其中，所述密钥导出单元根据所述第一安全密钥来导出用于对经由所述不受信任的非3GPP接入和所述网关装置在所述密钥导出单元与所述通信终端之间传输的NAS消息进行安全处理的第三安全密钥。


11.根据权利要求10所述的核心网络装置，其中，
所述通信单元经由所述第一网关装置和所述不受信任的非3GPP接入来与所述通信终端进行通信，并且还经由所述第二网关装置和所述不受信任的非3GPP接入或与所述不受信任的非3GPP接入不同的不受信任的非3GPP接入来与所述通信终端进行通信，以及
所述密钥导出单元导出针对各网关装置不同的所述第三安全密钥。


12.根据权利要求10或11所述的核心网络装置，
其中，所述密钥导出单元使用接...

【专利技术属性】
技术研发人员：伊藤博纪，S·拉克什米纳雷亚南，阿南德·罗迦沃·普拉萨德，S·阿鲁姆甘，S·B·M·巴斯卡伦，
申请(专利权)人：日本电气株式会社，
类型：发明
国别省市：日本;JP