多RAT接入层安全性制造技术

本发明专利技术的主题是“多RAT接入层安全性”。本公开一般涉及安全性上下文设定领域。更具体地说，本公开涉及支持在无线通信网络中的安全性上下文设定的技术。方法实施例涉及支持在无线通信网络中的安全性上下文设定，方法包括由无线通信网络的无线电接入网络（RAN）元件（200）在共用信令过程中发起（S304）用于第一无线电接入技术（RAT）和第二RAT的接入层（AS）安全性上下文设定。上下文设定。上下文设定。

Multi rat Access Layer Security

【技术实现步骤摘要】
多RAT接入层安全性
[0001]本申请是2015年12月3日提交的、申请号为201580085791.5、专利技术名称为“多RAT接入层安全性”的专利申请的分案申请。


[0002]本公开一般涉及安全性上下文设定领域。更具体地说，本公开涉及支持在无线通信网络中的安全性上下文设定的技术。

技术介绍

[0003]安全性是如今移动通信系统中至关重要的方面。例如，长期演进（LTE）的安全性设计提供区室化（compartmentalization）。区室化主要包括确保如果攻击者破解一个功能的安全性，则仅该功能受到损害。例如，存在用于无线电资源控制（RRC）协议的加密的一个密钥和用于RRC协议的完整性保护的另一密钥。RRC是信令协议，其将更低层用于信令消息的分段和可靠有序输送。RRC适合用于要求可靠输送的任何大小的消息，诸如用户设备（UE）配置。在LTE和LTE
‑
高级（LTE
‑
a）中，RRC涉及到在UE与移动性管理实体（MME）之间的非接入层（NAS）消息交换以及在UE和演进NodeB（eNodeB或简写eNB）两者上提供各种控制平面功能。
[0004]接入层（AS）安全性由控制平面的完整性保护（即，RRC信令）以及控制和用户平面两者的加密组成。如果攻击者破解RRC加密密钥，则攻击者能够解密和读取所有RRC消息。然而，由于完整性密钥不同于加密密钥，因此，攻击者不能修改或注入RRC消息。已破解RRC加密密钥的攻击者也不能使用该密钥在数据无线电承载（DRB）上偷听，因为它们使用单独的加密密钥（且反之亦然）。区室外设计的另一部分是每个eNB使用单独的密钥集。基本原理是这确保侵入一个eNB的攻击者未获得有关在UE与另一物理上不同的eNB之间传送的数据的任何信息。为维持侵入一个物理无线电接入网络（RAN）节点（即，eNB）对攻击另一RAN节点没有帮助的性质，辅助eNB应使用与在锚eNB中使用的密钥集分离的其自己的密钥集，然而，它能够如在LTE双连接性中一样从锚eNB被导出。
[0005]典型地，在新无线电接入技术（RAT）被标准化时，这通过也引入投合该RAT的单独核心网络来完成，并且3GPP引入经由核心网络以最小服务中断从一个RAT移动到另一RAT的机制。因此，在任何情况下，从一个RAT移动到另一RAT意味着建立朝向目标RAT的RRC连接和从源RAT去除RRC连接，并且因为这些RRC连接在锚定在不同核心网络的不同逻辑节点中终止（即，是完全单独的UE连接），所以在它们之间没有协同的可能性。
[0006]信令承载和/或数据承载建立和/或信令承载和/或数据承载恢复要求大量的信令步骤，导致例如信令开销和/或长的信令持续时间。用于安全性上下文设定的当前信令过程尚未被设计成或至少未被优化成支持如在多RAT网络中一样由多个空中接口组成的RAN架构。甚至是在UE的第一RAT和第二RAT连接将朝向相同或换而言之，共享的无线电节点和/或核心网络节点时，情况也是这样。
[0007]更进一步，安全性上下文可以对不同RAT（尽管紧密集成）或标准版本或UE能力或装置类别是不同的。例如，可对不同RAT的安全性密钥有不同的长度要求，或者网络终止可
在要求单独的密钥集的单独的节点中。

技术实现思路

[0008]因此，存在对用于支持在多RAT无线通信网络中的安全性上下文设定的改进技术的需要。
[0009]根据第一方面，提供了一种支持在无线通信网络中的安全性上下文设定的方法。方法包括由无线通信网络的无线电接入网络（RAN）元件在共用信令过程中发起用于第一无线电接入技术（RAT）和第二RAT的接入层（AS）安全性上下文设定。
[0010]用这种方法，降低了用于第一和第二RAT（即多RAT环境）的AS安全性上下文设定的信令。因此，能够简化多RAT安全性上下文设定。
[0011]术语无线电接入技术（RAT）可被理解为用于基于无线电的通信网络的基础物理连接技术。无线电接入网络元件可包括或者被配置为无线电接入网络的基站。
[0012]共用信令过程可包括与第一RAT和第二RAT均有关的一个或多个消息的交换。
[0013]方法可包括由RAN元件接收来自无线通信网络的核心网络（CN）元件的第一RAN密钥材料。第一RAN密钥材料使RAN元件能发起用于第一RAT的AS安全性上下文设定。方法进一步包括由RAN元件接收来自无线通信网络的CN元件的第二RAN密钥材料。第二RAN密钥材料使RAN元件能发起用于第二RAT的AS安全性上下文设定。
[0014]在这种情况下，可向RAN发信号通知两个单独的密钥材料，一个用于第一RAT并且一个用于第二RAT。密钥材料可用于设定安全性上下文。从CN接收的密钥材料可以但不是必须在安全性上下文设定中被直接使用，例如，可在以后被使用。
[0015]方法可包括由RAN元件接收来自无线通信网络的CN元件的第一RAN密钥材料。第一RAN密钥材料使RAN元件能发起用于第一RAT的AS安全性上下文设定。方法可进一步包括由RAN元件从接收的第一RAN密钥材料导出第二RAN密钥材料。第二RAN密钥材料使RAN元件能发起用于第二RAT的AS安全性上下文设定。
[0016]在这种情况下，用于第一RAT的第一RAN密钥材料可用于导出用于第二RAT的密钥材料。密钥材料可然后被用于设定安全性上下文。
[0017]发起AS安全性上下文设定的步骤可包括直接使用接收的第一RAN密钥材料来发起用于第一RAT的AS安全性上下文设定。备选的是，发起AS安全性上下文设定的步骤可包括从接收的第一RAN密钥材料导出第三RAN密钥材料，并且使用导出的第三RAN密钥材料来发起用于第一RAN的AS安全性上下文设定。例如，从CN接收的第一RAN密钥材料可以但不是必须在安全性上下文设定中被直接使用，例如，可在以后被使用。例如，可从第一RAN密钥材料导出第三RAN密钥材料，并且可将第三RAN密钥材料用于设定用于第一RAT的安全性上下文。由于第二RAN密钥材料是从接收的第一RAN密钥材料导出，因此，用于第一和第二RAT（即多RAT环境）的AS安全性设定的信令被甚至进一步降低。因此，能够甚至进一步简化多RAT安全性上下文设定。
[0018]在一个或多个实施例中，发起AS安全性上下文设定的步骤可包括由RAN元件将用于第一RAT和第二RAT的共用AS安全性模式命令消息传送到无线通信网络的无线通信装置。
[0019]方法可包括由RAN元件接收AS安全性模式完成消息，所述AS安全性模式完成消息通知RAN元件用于第一RAT和第二RAT的AS安全性上下文设定的完成。
[0020]RAN元件可对应于实现第一RAT的RAN元件。进一步，RAN元件可对应于或者可不同于实现第二RAT的RAN元件。
[0021]根据第二方面，提供了一种支持在无线通信网络中的安全性上下文设定的方法。方法包括由无线通信网络的核心网络（CN）元件通知无线通信网络的无线电接入网络（RAN）元件在共用信令本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种由基站实现的支持在无线通信网络中的安全性上下文设定的方法，其中所述无线通信网络中的无线通信装置能够使用第一无线电接入技术RAT和不同于所述第一RAT的第二RAT进行通信，所述方法包括：由所述基站获得用于所述第一RAT和所述第二RAT的密钥材料；以及由所述基站并且基于所述密钥材料来在单个信令过程中发起用于所述第一RAT和所述第二RAT的接入层AS安全性上下文设定。2.如权利要求1所述的方法，其中，获得用于所述第一RAT和所述第二RAT的所述密钥材料包括：由所述基站从所述无线通信网络的核心网络CN元件接收第一RAN密钥材料，所述第一RAN密钥材料使得所述基站能够发起用于所述第一RAT的所述AS安全性上下文设定；以及由所述基站从所述无线通信网络的所述CN元件接收第二RAN密钥材料，所述第二RAN密钥材料使得所述基站能够发起用于所述第二RAT的所述AS安全性上下文设定。3.如权利要求2所述的方法，其中，发起所述AS安全性上下文设定包括直接将接收的第一RAN密钥材料用于发起用于所述第一RAT的所述AS安全性上下文设定。4.如权利要求2所述的方法，其中，发起所述AS安全性上下文设定包括从接收的第一RAN密钥材料导出第三RAN密钥材料并且将导出的第三RAN密钥材料用于发起用于所述第一RAN的所述AS安全性上下文设定。5.如权利要求1所述的方法，其中，获得用于所述第一RAT和所述第二RAT的所述密钥材料包括：由所述基站从所述无线通信网络的核心网络CN元件接收第一RAN密钥材料，所述第一RAN密钥材料使得所述基站能够发起用于所述第一RAT的所述AS安全性上下文设定；以及由所述基站从接收的第一RAN密钥材料导出第二RAN密钥材料，所述第二RAN密钥材料使得所述基站能够发起用于所述第二RAT的所述AS安全性上下文设定。6.如权利要求1所述的方法，其中，发起所述AS安全性上下文设定包括由所述基站将用于所述第一RAT和所述第二RAT的单个AS安全性模式命令消息传送到所述无线通信网络的所述无线通信装置。7.一种用于支持在无线通信网络中的安全性上下文设定的基站，其中所述无线通信网络中的无线通信装置能够使用第一无线电接入技术RAT和不同于所述第一RAT的第二RAT进行通信，所述基站包括：存储器电路；以及处理电路，所述处理电路被操作连接到所述存储器电路并且被配置成：获得用于所述第一RAT和所述第二RAT的密钥材料；以及基于所述密钥材料来在单个信令过程中发起用于所述第一RAT和所述第二RAT的接入层AS安全性上下文设定。8.如权利要求7所述的基站，其中，为了获得用于所述第一RAT和所述第二RAT的所述密钥材料，所述处理电路被配置成：从所述无线通信网络的核心网络CN元件接收第一RAN密钥材料，所述第一RAN密钥材料使得所述基站能够发起用于所述第一RAT的所述AS安全性上下文设定；以及从所述无线通信网络的所述CN元件接收第二RAN密钥材料，所述第二RAN密钥材料使得
所述基站能够发起用于所述第二RAT的所述AS安全性上下文设定。9.如权利要求8所述的基站，其中，为了发起所述AS安全性上下文设定，所述处理电路被配置成直接使用所述第一RAN密钥材料来发起用于所述第一RAT的所述AS安全性上下文设定。10.如权利要求8所述的基站，其中，为了发起所述AS安全性上下文设定，所述处理电路被配置成从所述第一RAN密钥材料导出第三RAN密钥材料并且使用导出的第三RAN密钥材料来发起用于所述第一RAN的所述AS安全性上下文设定。11.如权利要求7所述的基站，其中，为了获得用于所述第一RAT和所述第二RAT的所述密钥材料，所述处理电路被配置成：从所述无线通信网络的核心网络CN元件接收第一RAN密钥材料，所述第一RAN密钥材料使得所述基站能够发起用于所述第一RAT的所述AS安全性上下文设定；以及从接收的第一...

【专利技术属性】
技术研发人员：ONC依玛兹，ILJ达思华，K诺尔曼，P舒利华伯特陵，S瓦格，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：