5G中的多个认证过程的处理制造技术

提供了一种被配置为通过接口与电子设备进行通信的归属PLMN的AUSF的方法。从正在认证电子设备的第一PLMN接收第一认证请求。获得用于从归属PLMN被传送到电子设备的消息的完整性保护的第一安全密钥。从正在认证电子设备的第二PLMN接收第二认证请求。获得用于从归属PLMN被传送到电子设备的消息的完整性保护的第二安全密钥。接收消息保护请求。确定第一安全密钥和第二安全密钥中的哪一个是最新安全密钥。使用最新安全密钥来保护与消息保护请求相关联的消息。相关联的消息。相关联的消息。

【技术实现步骤摘要】
5G中的多个认证过程的处理
[0001]本申请是申请日为2020年04月20日、申请号为202080031704.9、专利技术名称为“5G中的多个认证过程的处理”的专利申请的分案申请。


[0002]本公开一般地涉及通信，更具体地，涉及通信方法以及支持通信的相关设备和节点。

技术介绍

[0003]3GPP安全标准化工作组SA3已在TS 33.501[1]中最终确定了版本15的5G系统的安全规范。5G系统包括需要引入附加安全机制的许多新特征。例如，5G系统以无缝方式将非3GPP接入(例如WLAN)与3GPP接入(新无线电和LTE)集成在一起。更准确地，在5G中，UE可以独立于底层接入而运行通常的服务接入过程。
[0004]5G系统包括接入网络(AN)和核心网络(CN)。AN是允许UE获得与CN连接的网络，例如可以是5G中的下一代节点B(gNB)或下一代演进型节点B(ng
‑
eNB)的基站。CN包含所有网络功能(NF)，它们确保各种不同的功能，例如会话管理、连接管理、计费、认证等。来自TS23.501[2]的图1提供了对用于非漫游场景的5G架构的高度概述。
[0005]UE与网络(AN和CN)之间的通信链路可以被分组到两个不同的层中。UE可以通过非接入层(NAS)与CN进行通信，以及可以通过接入层(AS)与AN进行通信。所有NAS通信都通过NAS协议(图1中的N1接口)在UE与CN中的接入和连接管理功能(AMF)之间发生。由NAS协议(对于NAS)和分组数据汇聚协议(PDCP)协议(对于AS)提供对这些层上的通信的保护。
[0006]可以在TS 33.501[1]中找到关于5G安全性的更多细节。一般而言，这些协议的安全机制依赖于多个不同的安全密钥。在5G安全规范中，这些密钥被按层次结构来组织。在顶级处，存在认证凭证的长期密钥部分，并且被其存储在UE侧的SIM卡中以及在归属公共陆地移动网络(PLMN)侧的统一数据管理/认证凭证储存库和处理功能(UDM/ARPF)中。
[0007]UE与归属PLMN中的AUSF之间的成功主认证可以导致K
AUSF
密钥的建立，K
AUSF
密钥是层次结构中的第二级密钥。该密钥不打算离开归属PLMN，并且被用于在5G系统中引入的新特征，例如用于从归属PLMN向UE提供参数。更准确地，K
AUSF
密钥可以用于从归属PLMN被传送到UE的消息的完整性保护。如TS 33.501[1]中所述，这样的新特征包括漫游引导(SoR)和UDM参数传送过程。
[0008]K
AUSF
可以被用于导出被发送到服务PLMN的另一个密钥(K
SEAF
)。服务PLMN密钥(K
SEAF
)然后可以被用于导出后续的NAS和AS保护密钥。这些低级密钥与其他安全参数(例如，加密算法、UE安全能力、用于不同协议中的重放保护的计数器的值等)一起构成了TS 33.501[1]中定义的5G安全上下文。K
AUSF
不是5G安全上下文的一部分，因为5G安全上下文位于服务网络中。

技术实现思路

[0009]根据本专利技术概念的一些实施例，可以提供一种确定在保护从归属PLMN被发送到电子设备的消息中要使用哪个安全密钥的机制。
[0010]根据本专利技术概念的一些实施例，提供了一种操作归属PLMN的认证服务器功能AUSF的方法。所述方法包括从正在认证电子设备的第一PLMN接收第一认证请求。所述方法还包括获得用于从所述归属PLMN被传送到所述电子设备的消息的完整性保护的第一安全密钥。所述方法还包括从正在认证所述电子设备的第二PLMN接收第二认证请求。所述方法包括获得用于从所述归属PLMN被传送到所述电子设备的所述消息的完整性保护的第二安全密钥。所述方法包括接收消息保护请求。所述方法还包括确定所述第一安全密钥和所述第二安全密钥中的哪一个是最新安全密钥。所述方法包括使用所述最新安全密钥来保护与所述消息保护请求相关联的消息。
[0011]提供了执行与本专利技术概念的上述实施例类似的操作的通信系统的认证服务器功能AUSF、计算机程序、以及计算机程序产品。
[0012]能够提供的一个优点是要用于SoR和UPU之类的过程的K
AUSF
密钥在归属PLMN与电子设备之间被同步。这一优点保护了要从归属PLMN被传送到电子设备的信息的完整性。能够提供的另一个优点是在电子设备与网络之间不需要附加的信令开销。
[0013]根据本专利技术概念的其他实施例，提供了一种在电子设备中的方法，所述电子设备被配置为通过无线空中接口与归属PLMN和拜访PLMN进行通信。所述方法包括向第一PLMN发送注册所述电子设备的第一注册请求。所述方法还包括生成用于从所述归属PLMN被传送到所述电子设备的消息的完整性保护的第一安全密钥，并且存储所述第一安全密钥。所述方法还包括向正在认证所述电子设备的第二PLMN发送第二注册请求。所述方法还包括生成用于从所述归属PLMN被传送到所述电子设备的所述消息的完整性保护的第二安全密钥，并且存储所述第二安全密钥。所述方法还包括从所述归属PLMN接收受保护消息。所述方法还包括确定所述第一安全密钥和所述第二安全密钥中的哪一个是最新安全密钥。所述方法包括使用所述最新安全密钥来确定从所述归属PLMN接收的消息的内容。
[0014]提供了执行与本专利技术概念的上述实施例类似的操作的电子设备、计算机程序、以及计算机程序产品。
附图说明
[0015]被包括以提供对本公开的进一步理解并且被结合在本申请中并构成本申请的一部分的附图示出了本专利技术概念的特定非限制性实施例。在附图中：
[0016]图1是示出用于非漫游场景的5G架构的概览的框图；
[0017]图2是示出用于具有非3GPP接入的5G核心网络的本地分流(LBO)架构的框图；
[0018]图3是示出根据本公开的一些实施例的用于保护从HPLMN被传送到电子设备(例如UE)的消息的多个KAUSF的管理示例的流程图；
[0019]图4是示出根据本专利技术概念的一些实施例的电子设备的框图；
[0020]图5是示出根据本专利技术概念的一些实施例的核心网络节点(例如AMF节点等)的框图；
[0021]图6是示出PLMN节点(例如AUSF节点)的框图；
[0022]图7是示出根据本专利技术概念的一些实施例的AUSF节点的操作的流程图；
[0023]图8是示出根据本专利技术概念的一些实施例的电子设备的操作的流程图；
[0024]图9
‑
11是示出根据本专利技术概念的一些实施例的AUSF节点和/或电子设备的操作的流程图；
[0025]图12是根据一些实施例的无线网络的框图；
[0026]图13是根据一些实施例的用户设备的框图；
[0027]图14是根据一些实施例的虚拟化环境的框图；
[0028]图15是根据一些实施例的经由中间网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种被配置为通过接口与电子设备进行通信的归属公共陆地移动网络PLMN的认证服务器功能AUSF的方法，所述方法包括：从正在认证电子设备的第一PLMN接收第一认证请求；获得用于从所述归属PLMN被传送到所述电子设备的消息的完整性保护的第一安全密钥，其中，所述第一安全密钥是响应于基于所述第一认证请求的成功认证而获得的；从正在认证所述电子设备的第二PLMN接收第二认证请求；获得用于从所述归属PLMN被传送到所述电子设备的所述消息的完整性保护的第二安全密钥，其中，所述第二安全密钥是响应于基于所述第二认证请求的成功认证而获得的；接收消息保护请求；确定所述第一安全密钥和所述第二安全密钥中的哪一个是最新安全密钥；以及使用所述最新安全密钥来保护与所述消息保护请求相关联的消息。2.根据权利要求1所述的方法，还包括：生成指示获得所述第一安全密钥的第一时间的第一时间戳，并且将所述第一时间戳与所述第一安全密钥相关联；以及生成指示获得所述第二安全密钥的第二时间的第二时间戳，并且将所述第二时间戳与所述第二安全密钥相关联。3.根据权利要求2所述的方法，其中，确定所述第一安全密钥和所述第二安全密钥中的哪一个是所述最新安全密钥包括：获得所述第一时间戳；获得所述第二时间戳；响应于所述第一时间戳的第一时间晚于所述第二时间戳的第二时间，确定所述第一安全密钥是所述最新安全密钥；以及响应于所述第二时间戳的所述第二时间晚于所述第一时间戳的所述第一时间，确定所述第二安全密钥是所述最新安全密钥。4.根据权利要求1所述的方法，还包括：在获得所述第一安全密钥时递增计数器，并且将所述计数器的值与所述第一安全密钥相关联；以及在获得所述第二安全密钥时递增所述计数器，并且将所述计数器的值与所述第二安全密钥相关联。5.根据权利要求4所述的方法，其中，确定所述第一安全密钥和所述第二安全密钥中的哪一个是所述最新安全密钥包括：获得与所述第一安全密钥相关联的所述计数器的值；获得与所述第二安全密钥相关联的所述计数器的值；响应于与所述第一安全密钥相关联的所述计数器的值高于与所述第二安全密钥相关联的所述计数器的值，确定所述第一安全密钥是所述最新安全密钥；以及响应于与所述第二安全密钥相关联的所述计数器的值高于与所述第一安全密钥相关联的所述计数器的值，确定所述第二安全密钥是所述最新安全密钥。6.根据权利要求1所述的方法，还包括：响应于所述第一安全密钥是所述最新安全密钥，删除所述第二安全密钥；以及
响应于所述第二安全密钥是所述最新安全密钥，删除所述第一安全密钥。7.根据权利要求6所述的方法，其中，所述第一PLMN是第一接入类型，所述第二PLMN是第二接入类型，其中，所述第一安全密钥由所述AUSF的与所述第一接入类型相关联的第一实例来生成，所述第二安全密钥由所述AUSF的与所述第二接入类型相关联的第二实例来生成，并且其中，删除所述第二安全密钥包括：向所述AUSF的所述第二实例发送删除所述第二安全密钥的第二指示；以及删除所述第一安全密钥包括：向所述AUSF的所述第一实例发送删除所述第一安全密钥的第一指示。8.根据权利要求6所述的方法，其中，删除所述第二安全密钥包括响应于所述第一安全密钥被存储而删除所述第二安全密钥，删除所述第一安全密钥包括响应于所述第二安全密钥被存储而删除所述第一安全密钥。9.根据权利要求1所述的方法，其中，所述消息保护请求是用于漫游引导SoR消息或UE参数更新消息中的一个的消息保护请求。10.一种通信系统的认证服务器功能AUSF，所述通信系统包括被配置为通过接口与电子设备进行通信的归属公共陆地移动网络PLMN，所述AUSF包括：至少一个处理器，其被配置为执行操作，所述操作包括：从正在认证电子设备的第一PLMN接收第一认证请求；获得用于从归属公共陆地移动网络PLMN被传送到所述电子设备的消息的完整性保护的第一安全密钥，其中，所述第一安全密钥是响应于基于所述第一认证请求的成功认证而获得的；从正在认证所述电子设备的第二PLMN接收第二认证请求；获得用于从所述归属PLMN被传送到所述电子设备的所述消息的完整性保护的第二安全密钥，其中，所述第二安全密钥是响应于基于所述第二认证请求的成功认证而获得的；接收消息保护请求；确定所述第一安全密钥和所述第二安全密钥中的哪一个是...

【专利技术属性】
技术研发人员：N，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：