Nothing Special   »   [go: up one dir, main page]

CN109511113B - 安全实现方法、相关装置以及系统 - Google Patents

安全实现方法、相关装置以及系统 Download PDF

Info

Publication number
CN109511113B
CN109511113B CN201811490322.3A CN201811490322A CN109511113B CN 109511113 B CN109511113 B CN 109511113B CN 201811490322 A CN201811490322 A CN 201811490322A CN 109511113 B CN109511113 B CN 109511113B
Authority
CN
China
Prior art keywords
key
target
security
amf
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811490322.3A
Other languages
English (en)
Other versions
CN109511113A (zh
Inventor
吴�荣
甘露
张博
谭帅帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201811490322.3A priority Critical patent/CN109511113B/zh
Publication of CN109511113A publication Critical patent/CN109511113A/zh
Application granted granted Critical
Publication of CN109511113B publication Critical patent/CN109511113B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了安全实现方法、相关装置和系统,该方法包括:第一网元接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求;第一网元获得安全密钥;所述安全密钥用于,在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后,对所述用户设备与所述目标接入网设备之间的通信进行保护;第一网元向所述目标接入网设备发送所述安全密钥。

Description

安全实现方法、相关装置以及系统
技术领域
本申请涉及通信技术领域,尤其涉及安全实现方法、相关装置以及系统。
背景技术
现如今,用户设备(如手机)已经被广泛地应用,极大的方便了人们的生活。用户设备可以直接与基站建立通信连接,从而进行通信,利用网络提供的数据传输服务为用户呈现丰富的通信体验。在一些应用场景中,如果用户设备从一个基站小区移动到当前基站小区,需要将用户设备的网络连接从原基站切换到当前基站,才能继续保持通信。
未来移动通信架构(例如第5代通信系统5G)同样要求网络满足用户设备的切换需求。目前,在现有的移动通信3GPP标准中,SA2架构组已经提出了5G网络的大致架构,在该架构中,核心网的接入与管理网元AMF通常会部署在离基站较近的位置,所以当用户设备跨基站切换通信时,也可能会造成跨AMF切换。
然而,目前的通信安全实现方法(可扩展的身份验证协议EAP方法)并不适用5G网络中跨AMF切换的安全保护,因此,如何建立基于未来的移动通信架构的安全机制,成为目前亟待解决的问题。
发明内容
本发明实施例提供了安全实现方法、相关装置以及系统,可实现跨AMF切换场景中的安全保护,提高未来的移动通信架构的安全性,满足用户需求。
第一方面,本发明实施例公开了一种安全实现方法,该方法包括:第一网元接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求;所述第一网元获得安全密钥;所述安全密钥用于,在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后,对所述用户设备与所述目标网络之间的通信进行保护,所述目标网络包括所述目标接入网设备和目标核心网设备,所述目标核心网设备包括所述第一网元;所述第一网元向所述目标接入网设备发送所述安全密钥。
其中,第二网元连接所述源接入网设备,第二网元和源接入网设备属于源侧的网络设备;第一网元连接目标接入网设备,第一网元和目标接入网设备属于目标侧的网络设备。
在具体实现中,所述第二网元可以是源AMF、源SEAF、源SMF等网络设备,第一网元为对应的目标AMF、目标SEAF、目标SMF等网络设备。
其中,所述请求可能携带有源侧的安全上下文,所述源侧安全上下文例如可以包括密钥的生存周期、密钥的索引、UE的安全能力、完整性算法、完整性算法标识、加密算法、加密算法标识、与计算密钥相关的计数值中的一项或多项,所述请求例如可以为切换请求、路径切换请求等等。
在本发明实施例中,所述第一网元获得安全密钥,包括:所述第一网元获取第一中间密钥;所述第一中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层AS和非接入层NAS密钥;所述第一网元确定安全保护算法,基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥。
所述安全密钥可包括接入层AS密钥和非接入层NAS密钥,AS密钥用于对用户设备与接入网设备之间的通信进行保护,NAS密钥用于对用户设备与核心网设备(如AMF/SEAF/SMF等等)之间的通信进行保护。
其中,第一网元获取第一中间密钥的方式可以是多种多样的:
具体实施例中,第一网元获取第二网元基于第二中间密钥、网络参数推衍出的所述第一中间密钥;其中,第二中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层和非接入层密钥,例如,第二中间密钥为原先已存在于第二网元的密钥Kamf,该密钥Kamf在通过认证时由第二网元所获取。
具体实施例中,第一网元接收第二网元发送的第二中间密钥;所述第一网元基于所述第二中间密钥、网络参数推衍出的所述第一中间密钥。
具体实施例中,在所述用户设备从所述源接入网设备切换到所述目标接入网设备、并且所述用户设备重新通过双向认证后,所述第一网元获得锚密钥Kseaf;所述第一网元基于所述锚密钥、网络参数推衍出的所述第一中间密钥。
其中,网络参数可包括目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF设置标识、AMF全局唯一指示符GUAMI、AMF指针pointer、AMF集合标识、计数值Nonce或Counter或随机码或序列码中的一项或多项。
在本发明具体实施例中,第一网元还可以获取第二网元发送的下一跳密钥第一NH、下一跳密钥关联计数第一NCC;所述第一网元基于{第一NH,第一NCC}对得到{第二NH,第二NCC}对。后续步骤中第一网元可向目标接入网设备发送{第二NH,第二NCC}对,以及第二密钥、第三密钥,目标接入网设备基于{第二NH,第二NCC}对生成第一密钥。
在可能的实施例中,所述安全密钥包括第一密钥,第二密钥和第三密钥;所述第一密钥为用户设备与所述目标接入网设备之间进行安全保护的中间密钥;所述第二密钥为NAS信令加密性保护密钥;所述第三密钥为NAS信令完整性保护密钥;
所述第一网元确定安全保护算法,基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥,包括:所述安全保护算法包括NAS机密性算法标识和NAS完整性算法标识,所述第一网元基于第一参数推衍出所述第一密钥,例如密钥KgNB;其中,所述第一参数包括所述第一中间密钥、目标小区标识、频点、NAS计数值、NAS连接标识、计数值或随机码或序列码中的一项或多项;所述第一网元基于第二参数推衍出所述第二密钥,例如密钥Knasenc;其中,所述第二参数包括所述第一中间密钥、所述NAS机密性算法标识、计数值或随机码或序列码中的一项或多项;所述第一网元基于第三参数推衍出所述第三密钥,例如Knasint;其中,所述第三参数包括所述第一中间密钥、所述NAS完整性算法标识、计数值或随机码或序列码中的一项或多项;
所述第一网元向所述目标接入网设备发送所述安全密钥,包括:所述第一网元向所述目标接入网设备发送所述第一密钥。
在可能的实施例中,所述源接入网设备为第一通信系统的接入网设备;所述目标接入网设备为第二通信系统的接入网设备;所述第一网元为所述第二通信系统的网元;所述请求包括所述第一通信系统的安全上下文、第三中间密钥;所述第三中间密钥为在所述第一通信系统中认证后生成的上层的密钥,用于推衍下层的接入层和非接入层的密钥;
所述第一网元获取第一中间密钥,包括:所述第一网元基于所述第一通信系统的安全上下文、所述第二通信系统的安全上下文以及所述第三中间密钥推衍出的所述第一中间密钥。
在可能的实施例中,所述第一网元包括目标接入和移动管理网元AMF,所述第二网元包括源AMF,所述目标AMF连接所述目标接入网设备,所述源AMF连接所述源接入网设备;或者,所述第一网元包括目标安全锚点SEAF,所述第二网元包括源安全锚点SEAF,所述目标SEAF连接所述目标接入网设备,所述源SEAF连接所述源接入网设备。
在可能的实施例中,所述网络参数包括目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF设置标识、AMF全局唯一指示符GUAMI、AMF指针pointer、AMF集合标识、计数值或随机码或序列码中的一项或多项。
在可能的实施例中,所述第一网元包括第一通信系统的移动性管理实体网元MME;所述目标接入网设备为所述第一通信系统的接入网设备;所述源接入网设备为第二通信系统的接入网设备;
具体的,所述MME接收将用户设备从所述源接入网设备切换到所述目标接入网设备的通信的请求;所述请求包括所述第二通信系统的安全上下文;所述MME获得安全密钥;所述安全密钥用于,在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后,对所述用户设备与所述目标接入网设备之间的通信进行保护;所述MME向所述目标接入网设备发送所述安全密钥。
在可能的实施例中,所述MME获取所述第一通信系统的归属签约用户服务器HSS基于第一加密密钥、第一完整性保护密钥、服务网络名称标识、序列号SQN推衍出的第三中间密钥;所述第三中间密钥为在所述第一通信系统中认证后生成的上层的密钥,用于推衍下层的接入层和非接入层的密钥;所述MME基于所述第二通信系统的安全上下文、所述第三中间密钥推衍出所述安全密钥。
在可能的实施例中,所述MME获取所述第二通信系统的AMF发送的第一中间密钥;所述第一中间密钥为所述第二通信系统中认证后生成的上层的密钥,用于推衍下层的接入层AS和非接入层NAS密钥;所述MME基于所述第一中间密钥推衍出所述第三中间密钥;所述MME基于所述第二通信系统的安全上下文、所述第三中间密钥推衍出所述安全密钥。
第二方面,本发明实施例提供了一种安全实现方法,其特征在于,包括:
目标接入网设备接收将用户设备从源无线节点切换到目标无线节点的通信的请求;所述目标接入网设备接收核心网设备发送的第一密钥;所述第一密钥为用户设备与所述目标接入网设备之间进行安全保护的中间密钥;所述目标接入网设备基于所述中间密钥生成第二密钥;所述第二密钥为用户设备与所述目标无线节点之间进行安全保护的中间密钥;所述目标接入网设备向目标无线节点发送所述第二密钥,以便于所述目标无线节点基于所述第二密钥生成安全密钥;所述安全密钥用于,在将所述用户设备从源无线节点切换到目标无线节点后,对所述用户设备与所述目标无线节点之间的通信进行保护。
第三方面,本发明实施例提供了一种网元,该网元为第一网元,第一网元包括接收器、发射器、存储器和与存储器耦合的处理器。接收器、发射器、存储器、处理器可通过总线或者其它方式连接。其中,发射器用于向外部发送数据、信令,接收器用于从外部接收数据、信令。存储器用于存储程序代码以及相关数据(如配置信息、安全上下文、密钥等等),处理器1201用于调用并运行存储于存储器中的程序代码,并执行第一方面所述方法的相关步骤。
第四方面,本发明实施例提供了一种目标接入网设备,该目标接入网设备包括接收器、发射器、存储器和与存储器耦合的处理器。接收器、发射器、存储器、处理器可通过总线或者其它方式连接。其中,发射器用于向外部发送数据、信令,接收器用于从外部接收数据、信令。存储器用于存储程序代码以及相关数据(如配置信息、安全上下文、密钥等等),处理器用于调用并运行存储于存储器中的程序代码,并执行第二方面所述方法的相关步骤。
第五方面,本发明实施例提供了一种网元,该网元包括接收模块,密钥处理模块,发送模块,该网元用于实现第一方面描述的方法。
第六方面,本发明实施例提供了一种计算机可读存储介质,用于存储第一方面或第二方面所述方法的实现代码。
第七方面,本发明实施例提供了一种计算机软件产品,当其在计算机中运行时,可用于实现第一方面或第二方面所述的方法。
实施本发明实施例,在跨网元(如跨AMF切换)的实施过程中,通信系统可相应生成安全密钥,使用安全网元(SEAF/AMF)来实现目标侧安全上下文和安全密钥的获取和传递。通过实施本发明实施例有利于实现在未来的移动通信架构(如5G)中跨AMF切换的场景中的安全保护,提高未来的移动通信架构的安全性,满足用户需求。
附图说明
下面将对背景技术或者实施例所需要使用的附图作简单地介绍。
图1是本发明实施例公开的一种移动通信的系统架构示意图;
图2是本发明实施例公开的一种LTE系统的场景示意图;
图3是本发明实施例公开的一种5G系统的场景示意图;
图4是本发明实施例公开的一种安全实现方法的流程示意图;
图5是本发明实施例公开的又一种安全实现方法的流程示意图;
图6是本发明实施例公开的又一种安全实现方法的流程示意图;
图7是本发明实施例公开的又一种安全实现方法的流程示意图;
图8是本发明实施例公开的又一种安全实现方法的流程示意图;
图9是本发明实施例公开的又一种安全实现方法的流程示意图;
图10是本发明实施例公开的又一种安全实现方法的流程示意图;
图11是本发明实施例公开的一种5G结合WLAN系统的场景示意图;
图12是本发明实施例公开的一种装置的结构示意图;
图13是本发明实施例公开的又一种装置的结构示意图。
具体实施方式
下面将结合附图对本发明实施例中的技术方案进行清楚地描述。
为便于方案理解,首先结合相关附图来举例介绍本申请实施例的方案可能应用到的网络架构。图1为未来的移动通信的网络架构,该网络架构包括用户设备、接入网设备和运营商网络(如5G等3GPP网络),运营商网络又包括核心网和数据网,用户设备通过接入网设备接入运营商网络。具体描述如下:
用户设备(User Equipment,UE),UE为逻辑实体,具体的,UE可以是终端设备(Terminal Equipment)、通信设备(Communication Device)、物联网(Internet ofThings,IoT)设备中的任意一种。其中,终端设备可以是智能手机(smart phone)、智能手表(smart watch),智能平板(smart tablet)等等。通信设备可以是服务器、网关(Gateway,GW)、控制器等等。物联网设备可以是传感器,电表以及水表等等。
接入网(access network,AN),在具体应用中又可称为无线接入网(Radio AccessNetwork,RAN),RAN由接入网设备组成,负责用户设备的接入。RAN可以是基站(如NB、eNB、gNB等)、无线保真(Wireless Fidelity,Wi-Fi)接入点、以及蓝牙接入点等等。
数据网络(Data network,DN),DN可以为运营商外部网络,也可以为运营商控制的网络,用于向用户提供业务服务。UE可通过接入运营商网络来访问DN,使用DN上的运营商或第三方提供的业务。
核心网(core network,CN),CN作为承载网络提供到DN的接口,为UE提供通信连接、认证、管理、策略控制以及对数据业务完成承载等。其中,CN又包括:接入和移动管理网元、会话管理网元,认证服务器网元、策略控制节点、应用功能网元、用户面节点等,相关描述具体如下:
接入与移动管理网元(Access and Mobility Management Function,AMF),由运营商提供的控制面网元,负责UE接入运营商网络的接入控制和移动性管理。作为NAS信令的终结点,处理网络信令;
安全锚点(Security Anchor Function,SEAF),SEAF与AMF连接,作为安全认证功能的节点。在具体实施中,在物理位置上可以将AMF和SEAF集合部署在一起,也可以将AMF和SEAF分别独立设置。另外,在可能的实施中,可以将AMF和SEAF的功能分离部署不同的网元,也可以将AMF和SEAF的功能几种设置于同一个网元(比如AMF具备SEAF的功能)。
会话管理网元(Session Management Function,SMF),由运营商提供的控制面网元,负责管理UE的数据包的会话。
认证服务器网元(Authentication Server Function,AUSF),认证服务器功能网元AUSF是由运营商提供的控制面网元,用于UE的认证。AUSF可以作为一个独立的逻辑功能实体单独部署,也可以集合在AMF/SMF等设备中。
统一数据管理网元(Unified Data Manager,UDM),由运营商提供的控制面网元,负责存储运营商网络的签约用户持久标识(Subscriber Permanent Identifier,SUPI)、注册信息、信任状(credential)、签约数据。这些数据用于UE接入运营商网络的认证和授权。
应用功能网元(Application Function,AF),用于存储业务安全需求,提供策略判定的信息。
用户面节点(User Plane Function,UPF),UPF可以是网关、服务器、控制器、用户面功能网元等。UPF可以设置在运营网内部,也可以设置在运营网外部。UPF是由运营商提供的用户面网元,是运营商网络与DN通信的网关。
策略控制节点(Policy control Function,PCF),所述PCF部署有策略控制的功能,所述策略控制的功能是指根据安全需求完成用户面保护机制的协商,确定网络中的用户面保护机制的功能。
需要说明的是,图1中体现的是各个网元之间的逻辑关系,在实际中,有些网元可以单独部署,也可以两两或多个网元集成部署在一个实体中。例如,AMF和SMF可部署在一个实体中,或者AMF和SMF也可分别部署在不同的实体中。
图2示出了一种LTE通信系统中切换通信的应用场景。该LTE通信系统由演进分组核心网(Evolved Packet Core,EPC)、基站(Evolved Node B,eNode B)和用户设备3部分组成。其中,EPC负责核心网部分,EPC包括用于存储用户签约信息的归属签约用户服务器(Home Subscriber Server,HSS)141,信令处理和移动管理的移动性管理实体(MobilityManagement Entity,MME);基站负责接入网部分,基站与核心网连接,如图示中基站121连接MME131,基站122连接MME132;用户设备与基站之间通过LTE空口技术(如Uu接口)进行上行通信或下行通信。
在一具体的通信场景中,用户设备与基站121通信连接,如果用户设备从111处移动至112处,那么,用户设备可能就需要将通信连接从基站121切换至基站122,在完成切换进程后,用户设备与基站122通信连接,进而才能继续进行通信。可以看出,在这一过程中,由于基站121和基站122分别连接于不同的MME,所以,上述通信切换过程同样伴随着MME的通信切换。
图3示出了一种5G通信系统中切换通信的应用场景。该5G通信系统包括用户设备、接入网和核心网,可参考图1实施例的相关描述。其中,接入网包括RAN设备221、RAN设备222,核心网包括核心网设备组231和核心网设备组232,接入网设备与核心网设备连接,如图示中RAN设备221连接核心网设备231中的AMF,RAN设备组222连接核心网设备组232中的AMF。用户设备与接入网设备之间通过5G空口技术进行上行通信或下行通信。
在一具体的通信场景中,用户设备与RAN设备221通信连接,如果用户设备从211处移动至212处,那么,用户设备可能就需要将通信连接从RAN设备221切换至RAN设备222,在完成切换进程后,用户设备与RAN设备222通信连接,进而才能继续进行通信。可以看出,在这一过程中,由于RAN设备221和RAN设备222分别连接于不同核心网设备组的AMF,所以,上述通信切换过程同样伴随着AMF的通信切换。
为了提高未来移动通信架构的网络安全性,实现跨AMF切换后网络侧和用户设备侧获得足够的安全把障,本发明实施例提供了一种安全实现方法,参见图4,该方法包括但不限于以下步骤:
1、源接入网设备触发通信切换。
本发明实施例中,用户设备与源接入网设备通过接入技术建立通信连接。当用户设备需要从当前连接的源RAN切换到目标RAN时,源接入网设备触发通信切换。其中,接入技术可以为CDMA2000、无线局域网络(WLAN)、固定接入(Fixed access)、全球微波互联接入(Worldwide Interoperability for Microwave Access,WiMAX)、长期演进(Long TermEvolution,LTE)、5G等技术。
具体应用场景中,当UE跨AMF切换时,即从源AMF切换至目标AMF时,其源AMF下连接管理的源RAN也需要切换至目标RAN。切换的原因可以是多种多样的,例如,源RAN与目标RAN没有Xn接口连接,当UE从源RAN的通信小区向目标RAN的通信小区移动时,需要将当前通信连接从源RAN切换至目标RAN;又比如,在当前网络拥塞导致通信资源不足,当前连接的源RAN需要将UE的通信连接请求切换至网络状况较好的目标RAN;又比如,需要将当前通信系统(如LTE)切换到另一个通信系统(如5G),等等。
2、源接入网设备向第二网元发送第一请求;第二网元向第一网元发送第二请求。
其中,源接入网设备向第二网元发送的第一请求和第二网元向第一网元发送的第二请求可以是相同的请求,也可能是不同的请求,所述第一请求或第二请求可能携带有源侧的安全上下文,所述源侧安全上下文例如可以包括密钥的生存周期、密钥的索引、UE的安全能力、完整性算法、完整性算法标识、加密算法、加密算法标识、与计算密钥相关的计数值中的一项或多项,所述第一请求例如为切换请求,第二请求例如为路径切换请求。后文实施例中相关的请求可参考这里的描述,后文将不再赘述。
其中,第二网元连接所述源接入网设备,第二网元和源接入网设备属于源侧的网络设备;第一网元连接目标接入网设备,第一网元和目标接入网设备属于目标侧的网络设备。
在具体实现中,所述第二网元可以是源AMF、源SEAF、源SMF等网络设备,第一网元为对应的目标AMF、目标SEAF、目标SMF等网络设备。
3、第一网元获得安全密钥。
其中,所述安全密钥用于在将所述用户设备从源接入网设备切换到目标接入网设备后,对用户设备与目标网络之间的通信进行保护,所述目标网络包括所述目标接入网设备和目标核心网设备,所述目标核心网设备包括所述第一网元。所述安全密钥可包括接入层AS密钥和非接入层NAS密钥,AS密钥用于对用户设备与接入网设备之间的通信进行保护,NAS密钥用于对用户设备与核心网设备(如AMF/SEAF/SMF等等)之间的通信进行保护。
第一网元获得安全密钥,包括:第一网元生成该安全密钥,或者,第一网元获取其他网元发送的安全密钥。
本发明实施例中,第一网元可首先获取第一中间密钥,其中,第一中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层AS和非接入层NAS密钥,例如,第一中间密钥为新的Kamf;然后,第一网元确定安全保护算法,包括具体的安全算法以及安全算法的标识,标识可以用来指示具体的保护算法。然后第一网元基于所述安全保护算法和所述第一中间密钥推衍出安全密钥,所述安全保护算法可包括NAS层机密性算法标识和NAS层完整性算法标识、AS层机密性算法标识和AS层完整性算法标识。
所述安全密钥包括第一密钥,第二密钥和第三密钥;所述第一密钥为用户设备与所述目标接入网设备之间进行安全保护的中间密钥,例如密钥KgNB;所述第二密钥为NAS信令加密性保护密钥,例如密钥Knasenc;所述第三密钥为NAS信令完整性保护密钥,例如Knasint。
具体的,第一网元可基于第一参数推衍出所述第一密钥,其中,所述第一参数包括所述第一中间密钥、目标小区标识、频点、NAS计数值、NAS连接标识、计数值Nonce或Counter或随机码或序列码中的一项或多项;基于第二参数推衍出所述第二密钥,其中,所述第二参数包括所述第一中间密钥、NAS机密性算法标识、计数值Nonce或Counter或随机码或序列码中的一项或多项;基于第三参数推衍出所述第三密钥,其中,所述第三参数包括所述第一中间密钥、NAS完整性算法标识、计数值Nonce或Counter或随机码或序列码中的一项或多项;第一网元可以保存所述第二密钥、第三密钥,并在后续的步骤中,将第一密钥发送给接入网设备。
其中,第一网元获取第一中间密钥的方式可以是多种多样的:
具体实施例中,第一网元获取第二网元基于第二中间密钥、网络参数推衍出的所述第一中间密钥;其中,第二中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层和非接入层密钥,例如,第二中间密钥为原先已存在于第二网元的密钥Kamf,该密钥Kamf在通过认证时由第二网元所获取。
具体实施例中,第一网元接收第二网元发送的第二中间密钥;所述第一网元基于所述第二中间密钥、网络参数推衍出的所述第一中间密钥。
具体实施例中,在所述用户设备从所述源接入网设备切换到所述目标接入网设备、并且所述用户设备重新通过双向认证后,所述第一网元获得锚密钥Kseaf;所述第一网元基于所述锚密钥、网络参数推衍出的所述第一中间密钥。
其中,网络参数可包括目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF设置标识、AMF全局唯一指示符GUAMI、AMF指针pointer、AMF集合标识、计数值Nonce或Counter或随机码或序列码中的一项或多项。
在本发明具体实施例中,第一网元还可以获取第二网元发送的下一跳密钥第一NH、下一跳密钥关联计数第一NCC;所述第一网元基于{第一NH,第一NCC}对得到{第二NH,第二NCC}对。后续步骤中第一网元可向目标接入网设备发送{第二NH,第二NCC}对,以及第二密钥、第三密钥,目标接入网设备基于{第二NH,第二NCC}对生成第一密钥。
4、第一网元向目标接入网设备发送安全密钥,所发送的安全密钥包括第一密钥。
5、第一网元通过第二网元、接入网设备向用户设备发送安全上下文,以便于用户设备可基于安全上下文生成安全密钥,其中,用户设备所接收到的安全上下文只需包括网络侧生成安全密钥相关的各个密钥时用户设备侧没有的参数,比如随机数RAND、计数值Nonce或者Counter、时间戳、相关的安全保护算法标识等。
6、用户设备基于安全上下文生成安全密钥。具体实施例中,用户设备可基于安全上下文、网络参数、预存在本地的中间密钥等生成安全密钥,这里的安全密钥包括AS密钥和NAS密钥。
7、用户设备与目标接入网设备完成后续的切换进程,最终,用户设备的通信连接从当前的源RAN切换到目标RAN。
需要说明的是,本发明实施例以及后文描述的实施例中,源侧和目标侧之间、源侧和UE侧之间、目标侧与UE侧之间传递的与安全相关的消息(例如安全上下文、中间密钥、密钥请求、密钥响应等等)可能是通过以独立的消息形式进行传递,也可能携带于其他消息(例如与切换相关的请求、响应等等)中进行传递,本发明在这里不做限定。
参见图5,本发明实施例提供了又一种安全实现方法,在该方法的应用场景中,UE在与网络认证后,UE侧与网络侧(例如SEAF)可配置有锚密钥Kseaf。当UE需要从当前连接的源RAN切换到目标RAN时,可通过以下方法实现网络安全,该方法包括但不限于以下步骤:
1、源RAN触发通信切换。
本发明实施例中当UE跨AMF切换时,即从源AMF切换至目标AMF时,其源AMF下连接管理的源RAN也需要切换至目标RAN。源RAN可触发该通信切换,切换的原因可以是多种多样的,例如,源RAN与目标RAN没有Xn接口连接,当UE从源RAN的通信小区向目标RAN的通信小区移动时,需要将当前通信连接从源RAN切换至目标RAN;又比如,在当前网络拥塞导致通信资源不足,当前连接的源RAN需要将UE的通信连接请求切换至网络状况较好的目标RAN,等等。
2、源RAN向源AMF发送切换请求。
源RAN发送切换请求(Handover Required)的消息到源AMF,通知源AMF有用户要进行切换,所述切换请求携带UE的标识。其中,AMF指定用来转发数据(消息)的承载。
3、源AMF向目标AMF发送路径切换请求。
为了实现通信切换,源AMF选择一个目标AMF,并向该目标AMF发送路径切换请求(Forward Relocation Request),所述路径切换请求中可以包含源侧的安全上下文。
4、目标AMF向目标RAN发送切换请求。
目标AMF向目标RAN发送切换请求(Handover Request)的消息,用以请求目标RAN建立无线网络资源,在目标RAN创建UE的上下文。在PDU会话(PDU session)激活后,目标AMF还可为PDU会话分配了上行通信隧道的标识符和IP地址,并目标RAN发送PDU会话。
5、目标RAN向目标AMF返回切换请求的确认消息。
目标RAN向目标AMF发送切换请求的确认消息,该确认消息中包括已经被目标RAN接受的PDU会话。目标RAN会分配下行通信隧道的标识符和PDU会话的IP地址,并向目标AMF发送PDU会话。
6、目标AMF向SEAF发送密钥请求。
在本发明实施例中,SEAF作为安全认证和密钥配置的节点,AMF和SEAF可以分离部署,也可以集合部署在一起。在AMF和SEAF分离部署时,SEAF的数量可能是一个,也可能是多个,也就是说,在跨AMF切换时,源AMF与目标AMF可连接同一个SEAF,也可能源AMF与目标AMF分别连接不同的SEAF(源AMF连接源SEAF,目标AMF连接目标SEAF),此时跨AMF将伴随着跨SEAF切换;在AMF和SEAF集合部署时,AMF和SEAF可以在物理位置上部署在一起,但仍然是两个功能不同的逻辑实体,则跨AMF的情况下,也将伴随着跨SEAF切换。
本发明实施例中,为了保障跨AMF切换后的网络通信安全,目标AMF向SEAF发送密钥请求,以便于获得用于生成安全密钥的中间密钥。
需要说明的是,步骤6与步骤4、5之间并没有必然的先后顺序,也就是说,具体实现中,步骤6也可以放在步骤3之后,还可以放在步骤4之后,本发明在这里不做限定。
还需要说明的是,本发明实施例并不限定密钥请求为单独的信令消息,在可能的实施方式中,步骤6中的密钥请求可以承载于目标AMF和SEAF之间的其他交互消息中。
7、SEAF基于Kseaf和网络参数生成Kamf。
其中,密钥Kseaf为锚密钥(anchor key),所述锚密钥为认证后生成的密钥,属于服务网络中的上层密钥,锚密钥可用于推衍服务网络的下层密钥。
需要说明的是,在本发明实施例中,在UE与网络进行身份验证过后,SEAF就具有密钥Kseaf。该Kseaf可能是固定存储于SEAF中,也可能临时存储于SEAF中,在Kseaf生成网络中的下层密钥后就被删除。在后一种情况中,当SEAF收到目标AMF的密钥请求时,SEAF可向AUSF发送请求,AUSF基于该请求生成Kseaf,并将该Kseaf发送给SEAF。
SEAF基于Kseaf和网络参数生成新的中间密钥Kamf(第一中间密钥),Kamf可用于推衍下层的接入层AS和非接入层NAS密钥。
其中,所述网络参数为网络侧的相关参数,该网络参数例如可以是目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF全局唯一指示符GUAMI、AMF指针pointer、AMF集合标识、AMF设置标识、计数值Nonce或Counter或随机码或序列码中的一项或多项,具体实现中,网络参数还会包括其他参数。下面简单说明上述网络参数。
目标侧标识:可以为目标侧服务网络标识、目标侧具体小区ID、目标侧基站ID等可以唯一标识目标侧信息的标识。
切片标识:用来唯一性地标识网络切片的ID。
网络接入标识符(Network Access Identifier,NAI):NAI通常用于唯一标识移动节点。
网络切片选择辅助信息(network slice selection assistant information,NSSAI):NSSAI可包括切片各种标识、切片相关实体的标识。终端可通过提供NSSAI来选择和组建网络切片相关的实例,一条网络切片选择辅助信息可对应一个网络切片。
AMF区域标识(AMF Region ID):用来区分AMF在哪个区域的标识。
AMF设置标识(AMF Set ID):在一个AMF区域内唯一标识一个AMF集的标识。
AMF指针(AMF Pointer):AMF指针为唯一标识在一个AMF集下的AMF的标识。
AMF全局唯一指示符GUAMI:GUAMI可以用来最终指示某个AMF,具体可为:<GUAMI>=<MCC><MNC><AMF区域标识><AMF设置标识><AMF指针>,其中,MCC表示移动国家码(MobileCountry Code),MNC表示移动网络码(Mobile Network Code)。
其他参数(Other parameters):本发明实施例中,其他的网络参数还可以为时间戳、注册类型(registration type)、AMF ID、SEAF ID、NAS计数(NAS Count)或安全算法标识、安全算法类型名称、序列号SQN、AK,还可以这些参数或者前述某个关键参数的长度,等等,后文在描述生成相关密钥时所采用的“其他参数”均可以参考这里的描述,后文将不再赘述。
举例来说,在具体实施例中,SEAF基于Kseaf和网络参数推衍出中间密钥Kamf:
Kamf=KDF(Kseaf,目标侧ID,切片ID,NAI,NSSAI,AMF区域标识,GUAMI,AMF指针,AMF设置标识,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数),其中,KDF为密钥推衍函数。
8、SEAF向目标AMF发送Kamf,相应的,目标AMF获得所述Kamf。
9、目标AMF基于Kamf生成安全密钥。
其中,所述安全密钥用于在将UE从所述源RAN切换到目标RAN后,对所述UE与所述目标RAN之间的通信进行保护。由于协议栈可以分为接入层(Access Stratum,AS)和非接入层(Non-Access Stratum,NAS)。所以,这里所生成的安全密钥需要包括AS层密钥和NAS层密钥。
在具体的实施例中,目标AMF收到中间密钥Kamf后,可以根据预设的规则确定密钥保护算法,例如,目标AMF中预设有算法优先级列表,算法优先级列表中具有多种算法ID,该目标AMF查找算法优先级列表,并根据算法优先级列表选择新的NAS算法,获得NAS机密性算法ID和NAS完整性算法ID。目标AMF也可能会选择新的AS算法,获得AS机密性算法ID和AS完整性算法ID。
对于AS层密钥,目标AMF首先生成中间密钥KgNB,所述KgNB为在目标RAN侧使用的中间密钥,KgNB用于在目标RAN侧生成AS层相关的密钥(如Krrcenc、Krrcint、Kupenc、Kupint等),后续步骤中需要将KgNB发送至目标接入网设备。
本发明实施例中,目标AMF基于Kamf和第一参数推衍出KgNB,具体为:
KgNB=KDF(Kamf,目标小区标识,频点,NAS计数值,NAS连接标识,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数)。
其中,NAS计数值(NAS Count)为NAS传输NAS消息的计数值或NAS数据包的计数值,具体可以为上行NAS计数值或者下行NAS计数值。频点(EARFCN-DL)表示网络的下行通信频率。目标小区标识(Target physical cell id)用于唯一标识目标小区。
对于NAS层密钥,目标AMF需要生成Knasenc和Knasint,其中,这里的Knasenc为网络侧的NAS信令加密保护密钥,这里的Knasint为网络侧的NAS信令完整性保护密钥。目标AMF保存NAS层密钥,还可能根据需要向其他核心网设备发送NAS层密钥。
本发明实施例中,目标AMF基于Kamf、重新确定的密钥保护算法和第二参数推衍出Knasenc,具体为:
Knasenc=KDF(Kamf,NAS机密性算法ID,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数)。
本发明实施例中,目标AMF基于Kamf、重新确定的密钥保护算法和第三参数推衍出Knasint,具体为:
Knasint=KDF(Kamf,NAS完整性算法ID,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数)。
10、目标AMF向目标RAN发送安全密钥、安全上下文。相应的,目标RAN获得安全密钥、安全上下文。其中,这里的安全密钥包括KgNB。
具体实施例中,目标AMF也会将所选择的NAS算法(也可能包括AS算法)通知给目标RAN,以便于目标RAN确定安全保护算法。
在可能的实施例中,目标AMF还可能会向目标RAN发送安全上下文。所述安全上下文包含与网络安全相关的信息。具体的,所述安全上下文包括:密钥的生存周期、密钥的索引、UE的安全能力、完整性算法、完整性算法标识、加密算法、加密算法标识、与计算密钥相关的计数值等,此外,也可能包括具体密钥。其中,所述UE安全能力可以为UE支持的加密和完整性算法列表,UE所要求的密钥长度、密钥生存期等。
目标RAN获得安全密钥后,基于安全保护算法、中间密钥KgNB继续推衍出AS层的具体密钥,包括密钥Krrcenc、密钥Krrcint、密钥Kupenc、密钥Kupint等,其中,密钥Krrcenc为空口无线接入侧控制面信令加密密钥;密钥Krrcint为空口无线接入侧信令完整性保护密钥;密钥Kupenc为空口无线接入侧用户面加密保护密钥;密钥Kupint为空口无线接入侧用户面完整性保护密钥。
需要说明的是,如果前述步骤6放在步骤3之后,那么,在可能的实施例中,步骤10中的安全密钥、安全上下文还可以放在步骤4中切换请求的消息中去具体实现。
11、目标RAN向目标AMF发送响应,以通知目标AMF成功获得安全密钥。
12、目标AMF向源AMF发送路径切换响应、安全上下文。
具体的,为了响应步骤3中的路径切换请求,目标AMF向源AMF发送路径切换请求的确认消息,其中,所述路径切换请求的确认消息可以携带安全上下文。
13、源AMF向源RAN发送切换要求、安全上下文。
具体的,为了响应步骤2中的切换请求,源AMF向源RAN发送切换要求(HOCommand),以向源RAN通知切换准备完成,其中,所述切换请求中可以携带安全上下文。
14、源RAN向UE发送切换要求、安全上下文。
具体的,源RAN向UE发送切换要求,向UE通知切换准备完成,促发UE完成后续的切换操作。其中,所述切换请求中可以携带安全上下文。
15、UE基于Kseaf、安全上下文生成安全密钥。
需要说明的是,UE侧所接收到的安全上下文,只需包括网络侧生成各个密钥时UE侧没有的参数,比如随机数,时间戳,安全保护算法标识等,UE可能在之前步骤中都已具备其他的用于生成密钥的参数。
由于UE原先在与网络认证后,就已经配置Kseaf,此外,UE还预先共享了网络侧的网络参数,所以,对UE来说,UE同样可基于Kseaf、网络参数、安全上下文生成新的NAS层密钥和AS层密钥。例如,UE可先基于Kseaf生成Kamf,再基于Kamf、网络参数、安全上下文生成AS层密钥(如Krrcenc、Krrcint、Kupenc、Kupint等)和NAS层密钥(如Knasenc、Knasint等),具体过程类似参考步骤7、步骤9、步骤10中的相关描述,这里不再赘述。
16、UE和目标RAN完成后续的切换进程。
UE和目标RAN还会继续完成后续的切换进程,例如,UE跟目标小区成功同步后,发送切换确认消息给目标RAN。目标RAN发送切换通知给目标AMF,通知目标AMF该UE已经位于目标小区。目标AMF发送切换路径重换完成消息给源AMF。源AMF再回复一个响应给目标AMF。源AMF发送UE上下文释放的消息通知源RAN释放与UE相关的资源。源RAN返回释放确认消息给源AMF,等等。最终,UE的通信连接从源RAN切换到目标RAN。
需要说明的是,在本发明实施例中,通信系统在进行AMF切换时,不同的AMF对应的SMF可能不同,所以在上述过程中也可能发生SMF切换。在这种情况下,也需要考虑PDU会话的安全保护。
在具体实现中,在步骤7中SEAF生成Kamf时,在目标侧需要考虑PDU会话密钥的更新。则在SEAF生成Kamf时,即为SEAF向AUSF发送指示信息,触发AUSF生成新的PDU会话密钥。具体的,AUSF预先保存有密钥Left K,那么,AUSF可基于Left K、以及源AMF所发送过来的UE的相关信息及会话信息(比如会话ID、切片信息等等),生成新的PDU会话密钥Ksmf,具体为:
Ksmf=KDF(Left K,NAI,NSSAI,切片ID,AMF相关参数,SMF相关参数,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数)。
然后,AUSF将Ksmf发送至SEAF或目标AMF,SEAF或目标AMF将Ksmf转发至目标SMF和UE,目标SMF/UE使用Ksmf更新PDU会话密钥。
可以看出,实施本发明实施例,在跨AMF切换的实施过程中,通信系统可相应生成安全密钥,使用安全网元SEAF/AMF等来实现目标侧安全上下文和安全密钥的获取和传递。对于网络而言,由于目标侧的安全密钥由目标侧的网元(如SEAF/目标AMF)生成,目标RAN不能获得源RAN使用的安全密钥,无法破解源RAN与UE之间的通信信息,实现了网络通信的后向安全;源RAN不能获得目标RAN使用的安全密钥,不能破解目标RAN与UE之间的通信信息,实现了网络通信的前向安全。
参见图6,本发明实施例提供了又一种安全实现方法,在该方法的应用场景中,UE在与网络认证后,UE侧与网络侧(例如源AMF/源SEAF)可配置有第一Kamf。当UE需要从当前连接的源RAN切换到目标RAN时,可通过以下方法实现网络安全,该方法包括但不限于以下步骤:
1、源RAN触发通信切换,可参考图5步骤1的描述。
2、源RAN向源AMF/源SEAF发送切换请求。
在本发明实施例中,SEAF作为安全认证和密钥配置的节点,源AMF和源SEAF可以分离部署,也可以集合部署在一起。在源AMF和源SEAF分离部署时,源AMF连接源SEAF,此时跨AMF将伴随着跨SEAF切换;在源AMF和源SEAF集合部署时,源AMF和源SEAF可以在物理位置上部署在一起,但仍然是两个功能不同的逻辑实体,则跨AMF的情况下,也将伴随着跨SEAF切换。
3、源AMF/源SEAF基于第一Kamf推衍出第二Kamf。
在源AMF/SEAF收到来自于源RAN发送的切换请求后,源SEAF/AMF基于预先存储的第一中间密钥Kamf(简称第一Kamf)、网络参数生成第二中间密钥Kamf(简称第二Kamf)。该网络参数例如可以是目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF全局唯一指示符GUAMI、AMF指针、AMF集合标识、Nonce计数值或随机码或序列码中的一项或多项,具体实现中,网络参数还会包括其他参数。
具体实施例中,源SEAF/AMF基于预先存储的第一Kamf、网络参数推衍出第二Kamf,具体为:
第二Kamf=KDF(第一Kamf,目标侧ID,切片ID,NAI,NSSAI,AMF区域标识,GUAMI,AMF指针,AMF设置标识,计数值Nonce或Counter或者随机码Random或者序列码Sequencenumber,其他参数)。
需要说明的是,在源AMF和源SEAF分离的情况下,源AMF/源SEAF基于第一Kamf推衍出第二Kamf,可能包含以下情况:
情况一:源AMF基于预设的第一Kamf推衍出第二Kamf;
情况二:源SEAF基于预设的第一Kamf推衍出第二Kamf,并将第二Kamf发送给源AMF。
4、源AMF/源SEAF向目标AMF/目标SEAF发送路径切换请求、第二Kamf。
在本发明实施例中,目标AMF和目标SEAF可以分离部署,也可以集合部署在一起。在目标AMF和目标SEAF分离部署时,目标AMF连接目标SEAF,此时跨AMF将伴随着跨SEAF切换;在目标AMF和目标SEAF集合部署时,目标AMF和目标SEAF可以在物理位置上部署在一起,但仍然是两个功能不同的逻辑实体,则跨AMF的情况下,也将伴随着跨SEAF切换。
在一具体实施例中,源AMF/源SEAF向目标AMF/目标SEAF发送路径切换请求,所述路径切换请求中携带有该第二Kamf。
在另一具体实施例中,源AMF/源SEAF分别向目标AMF/目标SEAF发送路径切换请求和第二Kamf。
5、目标AMF/目标SEAF向目标RAN发送切换请求。
6、目标RAN向目标AMF/目标SEAF反馈切换请求的确认消息。
7、目标AMF/目标SEAF基于第二Kamf生成安全密钥。
其中,所述安全密钥用于在将UE从所述源RAN切换到目标RAN后,对所述UE与所述目标RAN之间的通信进行保护。这里所生成的安全密钥包括AS层密钥和NAS层密钥。
本发明实施例中,目标AMF/目标SEAF收到中间密钥Kamf后,可以根据预设的规则确定NAS机密性算法ID和NAS完整性算法ID,目标AMF/目标SEAF基于第一Kamf和第一参数推衍出KgNB,基于第一Kamf、密钥保护算法和第二参数推衍出Knasenc,基于第一Kamf、密钥保护算法和第三参数推衍出Knasint,目标AMF/目标SEAF可保存所述Knasenc和Knasint。具体操作可类似参考图5实施例步骤9,这里不再赘述。
需要说明的是,步骤7与步骤5、6之间并没有必然的先后顺序,也就是说,具体实现中,步骤6也可以放在步骤4之后,还可以放在步骤5之后,本发明在这里不做限定。
还需要说明的是,在目标AMF和目标SEAF分离的情况下,目标AMF/目标SEAF第二Kamf生成安全密钥,可能包含以下情况:
情况一:目标AMF基于预设的第二Kamf推衍出安全密钥;
情况二:目标SEAF基于预设的第二Kamf推衍出安全密钥,并将安全密钥发送给目标AMF。
8、目标AMF/目标SEAF向目标RAN发送安全密钥、安全上下文。其中,所发送的安全密钥包括KgNB。具体操作可类似参考图5实施例步骤10,这里不再赘述。
9、目标RAN向目标AMF/目标SEAF反馈响应,以通知目标AMF/目标SEAF成功获得安全密钥。
10、目标AMF/目标SEAF向源AMF/源SEAF反馈路径切换响应、安全上下文。
具体的,为了响应步骤4中的路径切换请求,目标AMF向源AMF发送路径切换请求的确认消息,其中,所述路径切换请求的确认消息可以携带安全上下文。
11、源AMF/源SEAF向源RAN反馈切换要求、安全上下文。具体的,为了响应步骤2中的切换请求,源AMF向源RAN发送切换要求(HO Command),以向源RAN通知切换准备完成,其中,所述切换请求中可以携带安全上下文。
12、源RAN向UE发送切换要求、安全上下文。
具体的,源RAN向UE发送切换要求,向UE通知切换准备完成,促发UE完成后续的切换操作。其中,所述切换请求中可以携带安全上下文。
13、UE基于第一Kamf、安全上下文生成安全密钥。
需要说明的是,UE侧所接收到的安全上下文,只需包括网络侧生成各个密钥时UE侧没有的参数,比如随机数,时间戳等,安全保护算法标识等,UE可能在之前步骤中都已具备其他的用于生成密钥的参数。
由于UE原先在与网络认证后,就已经配置第一Kamf,此外,UE还预先共享了网络侧的网络参数,所以,可以理解的,对UE来说,UE同样可基于第一Kamf、网络参数、安全上下文生成新的NAS层密钥和AS层密钥。UE和目标RAN完成后续的切换进程。
需要说明的是,对于上述图6实施例,在一种可能的实施方式中,可以取消步骤3,而在步骤4中,源AMF/源SEAF将第一Kamf发送给到目标AMF/目标SEAF,在步骤4之后,目标AMF/目标SEAF基于第一Kamf生成第二Kamf。
还需要说明的是,在本发明实施例中,通信系统在进行AMF切换时,不同的AMF对应的SMF可能不同,所以在上述过程中也可能发生SMF切换。在这种情况下,也需要考虑PDU会话的安全保护。在具体实现中,在步骤7中目标AMF/目标SEAF基于第二Kamf生成安全密钥时,在目标侧需要考虑PDU会话密钥的更新。例如目标AMF/目标SEAF向AUSF发送指示信息,触发AUSF生成新的PDU会话密钥。具体的,AUSF预先保存有密钥Left K,那么,AUSF可基于Left K、以及源AMF/源SEAF所发送过来的UE的相关信息及会话信息(比如会话ID、切片信息等等),生成新的PDU会话密钥Ksmf。
可以看出,实施本发明实施例,在跨AMF切换的实施过程中,通信系统可相应生成安全密钥,使用安全网元SEAF/AMF等来实现目标侧安全上下文和安全密钥的获取和传递。由于下层的密钥推衍来自于源AMF/源SEAF的第一中间密钥Kamf的推衍,源AMF/源SEAF侧生成并传递目标侧安全上下文,对于网络而言,目标RAN无法破解源RAN与UE之间的通信信息,实现了网络通信的后向安全。
参见图7,本发明实施例提供了又一种安全实现方法,当UE需要从当前连接的源RAN切换到目标RAN时,可通过以下方法实现网络安全,该方法包括但不限于以下步骤:
1、源RAN触发通信切换。
2、源RAN向源AMF/源SEAF发送切换请求。
3、源AMF/源SEAF向目标AMF/目标SEAF发送路径切换请求。
4、目标AMF/目标SEAF向目标RAN发送切换请求。
5、目标RAN向目标AMF/目标SEAF反馈切换请求的确认消息。
6、目标AMF/目标SEAF确定本地安全策略。
其中,所述安全策略可预设于本地缓存中,也可以存储于其他安全网元中(例如PCF、UDM、AUSF等),所述安全策略指示确定该UE切换到目标RAN是否需要重新认证,目标AMF/目标SEAF从本地缓存中查询该安全策略,或者从其他安全网元中查询该安全策略。
举例来说,该安全策略可依据下列实施条件确定:源AMF/源SEAF侧的密钥已经到期或者不再安全,或者,需要重新获取UE的安全能力而不是通过源AMF/源SEAF侧传递的安全上下文。那么,在当前状况符合该安全策略所指示的实施条件时,目标AMF/目标SEAF确定本地安全策略指示了该UE切换到目标RAN需要重新认证,故目标AMF/目标SEAF将继续执行后续步骤。
7、目标AMF/目标SEAF向源AMF/源SEAF反馈路径切换响应,所述路径切换响应不携带安全上下文。
8、源AMF/源SEAF向源RAN反馈切换要求,所述切换要求不携带安全上下文。
9、源RAN向UE发送切换要求,所述切换要求不携带安全上下文。
10、UE和目标RAN完成后续的切换进程。
11、UE与AUSF或UDM进行双向认证。
在UE的通信连接从源RAN切换到目标RAN后,UE与认证网元进行双向认证,以验证UE身份合法性,认证网元可能是AUSF,也可能是UDM。在通过该双向认证后,UE侧和目标AMF/目标SEAF侧都获得了新的锚密钥Kseaf。
12、目标AMF/目标SEAF基于新的Kseaf生成安全密钥。
可以理解的,目标AMF/目标SEAF基于新的Kseaf、预先共享的网络参数、安全上下文生成安全密钥(用于生成AS层密钥的KgNB和NAS层密钥),并保存该NAS层密钥。详细过程可参考图5实施例步骤7、步骤9、步骤10中的相关描述,这里不再赘述。
需要说明的是,这里的安全上下文可以是基于从源AMF/源SEAF侧传递过来的安全上下文并结合目标AMF/目标SEAF侧自身的安全上下文取交集的结果,比如最终得到安全上下文包括:加密性算法ID和完整性算法ID、用户设备的安全能力,等等。
13、目标AMF/目标SEAF向目标RAN发送安全密钥,其中,所发送的安全密钥包括KgNB。
14、UE基于新的Kseaf生成安全密钥,本步骤和步骤12、步骤13并无必然先后顺序。
可以理解的,UE也可基于新的Kseaf、预先共享的网络参数、安全上下文生成安全密钥,详细过程可参考图5实施例步骤7、步骤9、步骤10中的相关描述,这里不再赘述。
需要说明的是,图7实施例中没有详细描述的步骤,均可以类似参考图5和图6实施例的相关描述。
还需要说明的是,在本发明实施例中,通信系统在进行AMF切换时,不同的AMF对应的SMF可能不同,所以在上述过程中也可能发生SMF切换。在这种情况下,也需要考虑PDU会话的安全保护。具体的,在通过步骤11所描述的双向认证后,AUSF同样获得新的密钥LeftK,AUSF可生成新的PDU会话密钥Ksmf并发送给SMF,这里不再赘述。
目标侧重新认证获取新的保护密钥,满足前后向安全。不需要源侧传递密钥,或者基于已有密钥生成。
可以看出,实施本发明实施例,在跨AMF切换结束后,通信系统可在重新的双向认证之后获得新的保护密钥,不需要源网络侧传递中间密钥,也不需要基于原有的密钥生成中间密钥。对于网络而言,目标RAN不能获得源RAN使用的安全密钥,无法破解源RAN与UE之间的通信信息,实现了网络通信的后向安全;源RAN不能获得目标RAN使用的安全密钥,不能破解目标RAN与UE之间的通信信息,实现了网络通信的前向安全。
参见图8,本发明实施例提供了又一种安全实现方法,在该方法的应用场景中,UE在与网络认证后,UE侧与源AMF/源SEAF可配置有第一密钥Kamf,源RAN侧配置有第一KgNB。当UE需要从当前连接的源RAN切换到目标RAN时,可通过以下方法实现网络安全,该方法包括但不限于以下步骤:
1、源RAN触发通信切换。
2、源RAN向源AMF/源SEAF发送切换请求。
3、源AMF/源SEAF基于第一Kamf推衍出第二Kamf,详细推衍过程可参考图6实施例步骤3的描述。
4、源AMF/源SEAF向目标AMF/目标SEAF发送路径切换请求、第二Kamf、第一NH、第一NCC。
在本发明实施例中,密钥KeNB和NH参数、NCC参数相关联,其中,NH表示下一跳密钥(Next hop),NCC表示下一跳密钥关联计数(Next Chain Counter)。KeNB和NH都可以从其他中间密钥(例如Kasme)推衍而来。初始建立过程中,KeNB直接从Kasme推衍产生,NCC值为0。后续KeNB需要更新时,可以依据{NH,NCC}对进行更新。
在一具体实施例中,源AMF/源SEAF确定{第一NH,第一NCC}对,分别将{第一NH,第一NCC,第二Kamf}、路径切换请求发送给目标AMF/目标SEAF。
另一具体实施例中,源AMF/源SEAF确定{第一NH,第一NCC}对,并将{第一NH,第一NCC}对、第二Kamf通过路径切换请求发送给目标AMF/目标SEAF。
5、目标AMF/目标SEAF基于第二Kamf、第一NH、第一NCC生成第一安全密钥。
具体实现中,目标AMF/目标SEAF保存收到的{第一NH,第一NCC}对,并基于{第一NH,第一NCC}对和第二Kamf推衍出{第二NH,第二NCC}对,具体推衍过程如下:
第二NH=KDF(第二Kamf,第一NH);
第二NCC=第一NCC+1;
另外,目标AMF/目标SEAF还将基于第二Kamf、重新确定的密钥保护算法和第二参数推衍出Knasenc,具体为:
Knasenc=KDF(第二Kamf,NAS机密性算法ID,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数)。
目标AMF/目标SEAF还将Kamf、密钥保护算法和第三参数推衍出Knasint,具体为:
Knasint=KDF(第二Kamf,NAS完整性算法ID,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数)。
可以理解的,所述第一安全密钥包括上述{第二NH,第二NCC}对、密钥Knasenc、密钥Knasint。后续目标AMF/目标SEAF保存密钥Knasenc、密钥Knasint,将{第二NH,第二NCC}对发送至接入网。
6、目标AMF/目标SEAF向目标RAN发送切换请求、第一安全密钥中的{第二NH,第二NCC}
对,相应的,目标RAN获得并保存{第二NH,第二NCC}对。
7、目标RAN向目标AMF/目标SEAF发送切换请求的确认消息,通知目标AMF/目标SEAF以成功获得该第一安全密钥中的{第二NH,第二NCC}对。
8、目标RAN基于第一安全密钥生成第二安全密钥。
具体实现中,目标RAN基于{第二NH,第二NCC}对、以及目标RAN的物理标识等参数生成第二KgNB,具体为:
第二KgNB=KDF(第二NH,物理标识,其他参数)。
可以理解的,目标RAN得到第二KgNB后,可基于安全保护算法、第二KgNB继续推衍出密钥Krrcenc、密钥Krrcint、密钥Kupenc、密钥Kupint等AS层的具体密钥。
9、目标AMF/目标SEAF向源AMF/源SEAF反馈路径切换响应、安全上下文。
10、源AMF/源SEAF向源RAN反馈切换要求、安全上下文。
11、源RAN向UE反馈切换要求、安全上下文。
12、UE基于第一Kamf和安全上下文生成安全密钥。
需要说明的是,UE侧所接收到的安全上下文,只需包括网络侧生成各个密钥时UE侧没有的参数,比如随机数,时间戳等,安全保护算法标识,{第一NH,第一NCC},等等,UE可能在之前步骤中都已具备其他的用于生成密钥的参数。
可以理解的,由于UE原先在与网络认证后,就已经配置第一Kamf,UE还预先共享了网络侧的网络参数,所以UE可以基于第一Kamf、网络参数、安全上下文生成NAS层密钥。另外,UE还可以基于{第一NH,第一NCC}、第一Kamf得到{第二NH,第二NCC},并基于{第二NH,第二NCC}、以及目标RAN的物理标识等参数生成第二KgNB,再基于第二KgNB推衍出具体的AS层密钥。
13、UE和目标RAN完成后续的切换进程。
可以看出,实施本发明实施例,在跨AMF切换的实施过程中,目标侧(目标RAN、目标AMF/目标SEAF等)基于源侧(源RAN、源AMF/源SEAF等)的密钥KgNB、Kamf生成目标侧的安全密钥,对于网络而言,目标RAN不能获得源RAN使用的安全密钥,无法破解源RAN与UE之间的通信信息,实现了网络通信的后向安全。
需要说明的是,在本发明上述一些实施例中,通信系统在进行AMF切换时,不同的AMF对应的SMF可能不同,所以在上述过程中也可能发生SMF切换。在这种情况下,也需要考虑PDU会话的安全保护。
进行AMF切换的流程中,在目标侧需要考虑PDU会话密钥的更新。在具体实现中,目标AMF/目标SEAF向AUSF发送指示信息,触发AUSF生成新的PDU会话密钥。具体的,AUSF预先保存有密钥Left K,那么,AUSF可基于Left K、以及目标AMF/目标SEAF所发送过来的UE的相关信息及会话信息(比如会话ID、切片信息等等),生成新的PDU会话密钥Ksmf,具体为:
Ksmf=KDF(Left K,NAI,NSSAI,切片ID,AMF相关参数,SMF相关参数,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数)。
然后,AUSF将Ksmf发送至SEAF或目标AMF,SEAF或目标AMF将Ksmf转发至目标SMF和UE,目标SMF/UE使用Ksmf更新PDU会话密钥。
在本发明实施例提供的安全实现方法不仅可以应用于同一个通信系统中跨RAN/跨AMF切换的场景,还可以应用于不同的通信系统中跨基站(eNB和gNB)/跨接入管理网元(MME和AMF)的场景,参见图9,本发明实施例提供了又一种安全实现方法,该方法可应用于不同通信系统的切换过程中,例如,UE原先在第一通信系统中建立通信连接,后来UE基于用户需求或者当前网络状况,需要将通信连接切换到第二通信系统(比如手机从LTE通信系统切换到5G通信系统)。在一种可能的实施方式中,第一通信系统(LTE通信系统)包括:处于接入网的eNB、处于核心网的MME、HSS等,第二通信系统(5G通信系统)包括:处于接入网的gNB,处于核心网的目标AMF/目标SEAF、AUSF等,当UE需要从当前连接的eNB切换到gNB时,可通过以下方法实现网络安全,该方法包括但不限于以下步骤:
1、eNB触发通信切换。
具体的,eNB可基于UE的需求、UE的移动、当前网络状况等因素触发通信切换。
2、eNB向MME发送切换请求。
eNB发送切换请求(Handover Required)的消息到MME,通知MME有用户要进行切换,所述切换请求携带UE的标识。
3、MME向目标AMF/目标SEAF发送路径切换请求、原系统安全上下文、中间密钥Kasme。
其中,所述原系统安全上下文即为第一通信系统的安全上下文,第一通信系统的安全上下文例如包括:第一通信系统中与安全相关的密钥的生存周期、密钥的索引、UE的安全能力、完整性算法、完整性算法标识、加密算法、加密算法标识、与计算密钥相关的计数值等,也可能包括具体密钥。其中,UE安全能力可以为UE支持的加密和完整性算法列表,UE所要求的密钥长度、密钥生存期等。
其中,中间密钥Kasme为第一通信系统中认证后生成的上层的密钥,用于推衍下层的接入层和非接入层的密钥。
在一具体实施例中,在MME到目标侧AMF/SEAF的路径切换请求中携带有第一通信系统的安全上下文,中间密钥Kasme。
在又一具体实施例中,MME将路径切换请求、第一通信系统的安全上下文和中间密钥Kasme分别发送至目标AMF/SEAF。
4、目标AMF/目标SEAF基于Kasme得到Kamf。
具体实施例中,AMF/SEAF中间密钥Kasme、网络参数推衍出Kamf,例如:
Kamf=KDF(Kasme,目标侧ID,切片ID,NAI,NSSAI,AMF区域标识,GUAMI,AMF指针,AMF设置标识,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数)。
此外,具体实现中,AMF/SEAF还可以使用Kasme、第一通信系统的安全上下文(例如利用UE的安全能力)、网络参数等推衍出该Kamf。
5、目标AMF/目标SEAF基于Kamf生成安全密钥。
在具体的实施例中,目标AMF/目标SEAF可以根据预设的规则确定第二通信系统的密钥保护算法,例如,目标AMF/目标SEAF中预设有5G的算法优先级列表,算法优先级列表中具有多种算法ID,该目标AMF查找该算法优先级列表,并根据算法优先级列表选择5G的NAS算法,获得NAS机密性算法ID和NAS完整性算法ID。
可以理解的,目标AMF/目标SEAF可基于Kamf推衍出AS层密钥和NAS层的相关密钥:如KgNB,Knasenc,Knasint等,目标AMF/目标SEAF保存所述Knasenc,Knasint。详细过程可参考图5步骤9的描述,这里不再赘述。
6、目标AMF/目标SEAF向gNB发送切换请求、安全密钥,这里所发送的安全密钥包括KgNB。相应的,gNB获取KgNB。
具体实施例中,目标AMF/目标SEAF向gNB发送切换请求,该切换请求中携带密钥KgNB。
需要说明的是,如果在前述步骤4和步骤5中生成密钥的过程中使用了计数值Nonce或Counter,则该切换请求还会携带该计数值Nonce或Counter,以便于UE侧能够正确的生成密钥。
在本发明实施例中,当第二通信系统支持用户面完整性保护时,gNB需要判断是否需要生成和启用用户面完保密钥,具体的,gNB可以根据预存的策略进行判断,或者,gNB还可以与SMF或AMF等网元进行协商从而进行判断,或者,gNB可以根据第二通信系统的安全上下文来进行判断,该安全上下文包括完整性是否开启的指示信息。当判断支持用户面保护时,gNB基于KgNB继续生成后续的密钥Krrcenc、密钥Krrcint、密钥Kupenc、密钥Kupint等AS层密钥。
7、gNB向目标AMF/目标SEAF发送切换请求的确认消息。
8、目标AMF/目标SEAF向MME发送路径切换请求、安全上下文。
如果在前述生成密钥的过程中使用了计数值Nonce或Counter,则安全上下文包括计数值Nonce或Counter。
9、MME向eNB发送切换要求、安全上下文。
10、eNB向UE发送切换要求、安全上下文。
11、UE生成安全密钥。
需要说明的是,UE侧所接收到的安全上下文,只需包括网络侧生成各个密钥时UE侧没有的参数,比如随机数(计数值Nonce或Counter),时间戳等,5G相关的安全保护算法标识等,UE可能在之前步骤中都已具备其他的用于生成密钥的参数。
由于UE可以从第一通信系统获得Kasme,所以,对UE来说,UE同样可基于Kasme、网络参数、安全上下文等生成新的NAS层密钥和AS层密钥。例如,UE可先基于Kasme生成Kamf,再基于Kamf、网络参数、安全上下文生成AS层密钥(如Krrcenc、Krrcint、Kupenc、Kupint等)和NAS层密钥(如Knasenc、Knasint等),这里不再赘述。
12、UE与gNB完成后续的切换进程,最终,UE的通信连接从eNB切换到gNB。
需要说明的是,对于上述图9实施例,在可能的实施方式中,可以不在步骤3中传递Kasme,并取消步骤4,那么,在步骤5之前,AUSF会根据目标侧的CK/IK和MME传递过来的原系统安全上下文生成目标侧新的Kseaf,并发送至目标AMF/目标SEAF,目标AMF/目标SEAF再根据新的Kseaf、第一通信系统(如5G)安全保护算法生成后续的Kamf等密钥。
还需要说明的是,在可能的实施方式中,可以不在步骤3中传递Kasme,并取消步骤4,那么,在步骤5之前,HSS基于自身的CK/IK和NONCE等参数计算密钥Klte,并将Klte传递给AUSF,AUSF再基于Klte生成Kseaf和Left K,具体的,Kseaf=KDF(Klte,服务网络名称标识,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,其他参数。AUSF发送Kseaf至目标AMF/目标SEAF,目标AMF/目标SEAF再根据Kseaf、第一通信系统(如5G)安全保护算法生成后续的Kamf等密钥。
可以看出,实施本发明实施例,在跨通信系统切换的实施过程中,目标侧的通信系统可利用源侧的通信系统的中间密钥和安全上下文相应生成安全密钥,从而对切换后的通信系统中的通信进行安全保护。对于网络而言,目标侧的通信系统不能获得源侧的通信系统使用的安全密钥,无法破解源侧的通信系统与UE之间的通信信息,实现了网络通信的后向安全。
参见图10,本发明实施例提供了又一种安全实现方法,该方法可应用于不同通信系统的切换过程中,例如,UE原先在第二通信系统中建立通信连接,后来UE基于用户需求或者当前网络状况,需要将通信连接切换到第一通信系统(比如手机从5G通信系统切换到LTE通信系统)。在一种可能的实施方式中,第一通信系统(LTE通信系统)包括:处于接入网的eNB、处于核心网的MME、HSS等,第二通信系统(5G通信系统)包括:处于接入网的gNB,处于核心网的目标AMF/目标SEAF、AUSF等,当UE需要从当前连接的gNB切换到eNB时,可通过以下方法实现网络安全,该方法包括但不限于以下步骤:
1、gNB触发通信切换。
具体的,eNB可基于UE的需求、UE的移动、当前网络状况等因素触发通信切换。
2、gNB向源AMF/源SEAF发送切换请求,通知向源AMF/源SEAF有用户要进行切换。
3、源AMF/源SEAF向MME发送路径切换请求、原系统的安全上下文;MME向HSS发送切换请求、源系统的安全上下文。
其中,所述原系统安全上下文即为第二通信系统的安全上下文,第二通信系统的安全上下文例如包括:第二通信系统中与安全相关的密钥的生存周期、密钥的索引、UE的安全能力、完整性算法、完整性算法标识、加密算法、加密算法标识、与计算密钥相关的计数值等,也可能包括具体密钥、完整性是否开启的指示信息等。
具体实施例中,源AMF/源SEAF向MME发送的路径切换请求中携带所述安全上下文。
4、HSS向MME反馈路径切换请求响应;MME向源AMF/源SEAF反馈路径切换请求响应。
5、AUSF向HSS发送CK、IK。
本发明具体实施例中,为了满足切换后的LTE系统的安全需求,AUSF可用于生成HSS所需的完整性密钥(Integrity Key,IK)和加密性密钥CK(Cipher Key,CK),并将所述CK、IK发送至HSS。
6、HSS向AUSF发送响应,以通知AUSF成功收到CK、IK。
7、HSS基于CK、IK生成Kasme。
具体实施例中,HSS基于所获取的CK、IK进一步推衍出适合第一通信系统的中间密钥Kasme,具体可以为:
Kasme=KDF(CK,IK,服务网络名称标识,序列号SQN,其他参数。
8、HSS向MME发送生成Kasme,相应的,MME获取该Kasme。
9、MME基于Kasme和安全上下文生成安全密钥。
具体实施例中,MME可基于Kasme、UE的安全能力,网络侧的安全能力等参数生成安全密钥(包括密钥KeNB和NAS密钥),MME可保存所述NAS密钥。其中,UE安全能力例如可以为UE支持的加密和完整性算法列表、UE所要求的密钥长度、密钥生存期等;网络侧安全能力例如可以为网络侧的网络设备中预配置的网络支持的加密和完整性算法列表,运营商支持的加密和完整性算法优先级列表,网络设备/运营商支持的密钥长度、密钥生存期等。
在具体实现中,该密钥KeNB的生成过程可能为:
KeNB=KDF(新的NAS计数值,NAS计数值的长度,算法标识,其他参数)。
10、MME向eNB发送S1路径切换请求、安全密钥,所发送的安全密钥包括KeNB。
其中,其中S1接口是eNB和MME之间的接口。具体实施例中,MME通过S1接口向eNB发送路径切换请求,该路径切换请求可携带KeNB;另一具体实施例中,MME通过S1接口分别向eNB发送路径切换请求和KeNB。
11、eNB向MME反馈S1路径响应,通知MME成功收到消息。
12、eNB不计算用户面完整性密钥。
在本发明实施例中,当第一通信系统(LTE)不支持用户面完整性保护时,eNB判断不需要生成和启用用户面完保密钥。这种情况下,如果所接收到的安全密钥里面包括用户面完整性保护密钥,则eNB将不启用该密钥;另外,在eNB基于所接收到的密钥KeNB生成AS密钥过程中,不再生成AS的用户面完整性保护密钥。
13、源AMF/源SEAF向gNB反馈切换要求、安全上下文。
14、gNB向UE发送切换要求、安全上下文。
15、UE生成安全密钥。
需要说明的是,UE侧所接收到的安全上下文,只需包括网络侧生成各个密钥时UE侧没有的参数,比如随机数(计数值Nonce或Counter),时间戳等,LTE相关的安全保护算法标识等,UE可能在之前步骤中都已具备其他的用于生成密钥的参数。UE可基于预设的Kamf推衍出Kasme,进而基于Kasme、网络参数,安全上下文等得到相应的AS层密钥和NAS层密钥。
16、UE与eNB完成后续的切换进程,最终,UE的通信连接从gNB切换到eNB。
需要说明的是,对于上述图10实施例,在可能的实施方式中,还可以取消步骤5和步骤6,而在步骤7中,HSS可根据预存的CK/IK、以及所接收的原系统(第二系统)安全上下文生成中间密钥Kasme,在步骤9中,MME可基于Kasme、第一系统(如5G)安全保护算法生成KeNB和NAS密钥。
还需要说明的是,在又一种可能的实施方式中,AMF可发送Kamf给MME,MME基于Kamf经过推衍得到Kasme,方式可能有:
第一次推衍:Kasme=KDF(Kamf,目标侧ID,服务网络名称标识,计数值Nonce或Counter或者随机码Random或者序列码Sequence number,NAS COUNT);
第二次Kasme=KDF(Kamf,第一次推衍的Kasme,其他参数)。
可以看出,实施本发明实施例,在跨通信系统切换的实施过程中,目标侧的通信系统可利用源侧的通信系统的中间密钥和安全上下文相应生成安全密钥,从而对切换后的通信系统中的通信进行安全保护。对于网络而言,目标侧的通信系统不能获得源侧的通信系统使用的安全密钥,无法破解源侧的通信系统与UE之间的通信信息,实现了网络通信的后向安全。
参见图11,基于同一发明构思,本发明实施例提供了一种5G网络结合WLAN网络而成的通信系统中切换通信的应用场景。其中,该5G网络包括接入网和核心网,接入网包括RAN设备331、RAN设备332,核心网包括核心网设备组341,接入网设备分别通过N2接口与核心网设备连接。WLAN网络包括无线节点321、无线节点322,以及与无线节点(无线节点也可以视为接入网的一部分)建立通信连接的用户设备,其中无线节点可分别与RAN设备331和RAN设备332通过Xw接口连接。用户设备与无线节点之间通过WLAN技术进行上行通信或下行通信。
在一具体的通信场景中,用户设备与无线节点321通信连接,如果用户设备从311处移动至312处,那么,用户设备可能就需要将通信连接从无线节点321切换至无线节点322,在完成切换进程后,用户设备与无线节点322通信连接,进而才能继续进行通信,在这一过程中,上述通信切换过程可能会伴随着RAN设备的通信切换。
在这种场景中,同样可应用本发明实施例提供的安全实现方法对切换后的通信进行安全保护。具体可以包括以下步骤:
1、RAN设备332接收将用户设备从无线节点321切换到无线节点322的通信的请求;
本发明实施例中,无线节点例如可以是WLAN端点(WLAN Termination)、无线接入点AP、无线路由等等。RAN设备例如可以gNB等基站设备。
2、RAN设备332获得主密钥;
具体实施例中,RAN设备332可通过以下方式获得主密钥:
核心网设备组341生成中间密钥KgNB,并将KgNB发送至RAN设备332。
RAN设备332基于KgNB生成主密钥,例如,当无线节点为WLAN端点(WLANTermination)。
RAN设备332g基于KgNB和WLAN端点计数值(WT Counter)推衍出主密钥S-Kwt,具体为:S-Kwt=KDF(KgNB,WT Counter,其他参数)。
3、RAN设备332通过Xw接口向无线节点322发送主密钥,所述S-Kwt该WLAN的空口保护密钥,无线节点322基于主密钥S-Kwt和IEEE 802.11规范生成最终的安全密钥,所述安全密钥用于,在将用户设备从无线节点321切换到无线节点322后,对所述用户设备与无线节点322之间的通信进行保护。
4、RAN设备332会通过与UE之间的空口消息如RRC信令消息将WLAN端点计数值(WTCounter)发送给用户设备,使得用户设备也能计算出对应的S-Kwt,继而基于S-Kwt和IEEE规范生成安全密钥。
上文详细阐述了本发明实施例的方法,为了便于更好地实施本发明实施例的上述方案,下面提供了本发明实施例的相关装置。
参见图12,本发明实施例提供了一种装置1200,该装置1200包括处理器1201、存储器1202和发射器1203以及接收器1204,所述处理器1201、存储器1202和发射器1203以及接收器1204相连接(如通过总线相互连接)。
存储器1202包括但不限于是随机存储记忆体(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory,EPROM)、或便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM),该存储器1202用于存储相关指令及数据。
发射器1203用于发射数据,接收器1204用于接收数据。
处理器1201可以是一个或多个中央处理器1201(Central Processing Unit,CPU),在处理器1201是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该处理器1201用于读取所述存储器1202中存储的程序代码,以实现图3实施例中的所述认证网元的功能。
当装置1200为第一网元时,存储器1202中存储的程序代码具体用于实现图4实施例中的所述第一网元的功能。具体描述如下:
所述接收器1204用于接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求;
所述处理器1201用于获得安全密钥;所述安全密钥用于,在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后,对所述用户设备与所述目标网络之间的通信进行保护,所述目标网络包括所述目标接入网设备和目标核心网设备,所述目标核心网设备包括所述第一网元;
所述发射器1203用于向所述目标接入网设备发送所述安全密钥。
具体的实施例中,所述处理器1201用于获得安全密钥,包括:
所述处理器1201用于获取第一中间密钥;所述第一中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层AS和非接入层NAS密钥;
所述处理器1201用于确定安全保护算法,基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥。
具体的实施例中,所述处理器1201用于获取第一中间密钥,包括:
所述处理器1201用于通过所述接收器1204获取安全锚点SEAF基于锚密钥、网络参数推衍出的所述第一中间密钥。
具体的实施例中,所述处理器1201用于获取第一中间密钥,包括:
所述处理器1201用于通过所述接收器1204获取第二网元基于第二中间密钥、网络参数推衍出的所述第一中间密钥;其中,第二中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层和非接入层密钥。
具体的实施例中,所述处理器1201用于获取第一中间密钥,包括:
所述处理器1201用于通过所述接收器1204接收第二网元发送的第二中间密钥;
所述处理器1201用于基于所述第二中间密钥、网络参数推衍出的所述第一中间密钥;其中,第二中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层和非接入层密钥。
具体的实施例中,所述处理器1201用于获取第一中间密钥,包括:
在所述用户设备从所述源接入网设备切换到所述目标接入网设备、并且所述用户设备重新通过双向认证后,所述处理器1201获得锚密钥;
所述处理器1201用于基于所述锚密钥、网络参数推衍出的所述第一中间密钥。
具体的实施例中,所述接收器1204还用于接收第二网元发送的下一跳密钥第一NH、下一跳密钥关联计数第一NCC;所述处理器1201还用于基于所述第一NH和第一NCC得到第二NH和第二NCC;所述发射器1203还用于向所述目标接入网设备发送所述第二NH和所述第二NCC。
具体的实施例中,所述安全密钥包括第一密钥,第二密钥和第三密钥;所述第一密钥为用户设备与所述目标接入网设备之间进行安全保护的中间密钥;所述第二密钥为NAS信令加密性保护密钥;所述第三密钥为NAS信令完整性保护密钥;
所述处理器1201用于确定安全保护算法,基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥,包括:
所述安全保护算法包括NAS机密性算法标识和NAS完整性算法标识。
所述处理器1201用于基于第一参数推衍出所述第一密钥;其中,所述第一参数包括所述第一中间密钥、目标小区标识、频点、NAS计数值、NAS连接标识、计数值或随机码或序列码中的一项或多项;
所述处理器1201用于基于第二参数推衍出所述第二密钥;其中,所述第二参数包括所述第一中间密钥、所述NAS机密性算法标识、计数值或随机码或序列码中的一项或多项;
所述处理器1201用于基于第三参数推衍出所述第三密钥;其中,所述第三参数包括所述第一中间密钥、所述NAS完整性算法标识、计数值或随机码或序列码中的一项或多项;
所述发射器1203用于向所述目标接入网设备发送所述安全密钥,包括:
所述发射器1203用于向所述目标接入网设备发送所述第一密钥。
具体的实施例中,所述源接入网设备为第一通信系统的接入网设备;所述目标接入网设备为第二通信系统的接入网设备;所述第一网元为所述第二通信系统的网元;所述请求包括所述第一通信系统的安全上下文、第三中间密钥;所述第三中间密钥为在所述第一通信系统中认证后生成的上层的密钥,用于推衍下层的接入层和非接入层的密钥;
所述处理器1201用于获取第一中间密钥,包括:
所述处理器1201用于基于所述第一通信系统的安全上下文、所述第二通信系统的安全上下文以及所述第三中间密钥推衍出的所述第一中间密钥。
具体的实施例中,所述第一网元包括目标接入和移动管理网元AMF,所述第二网元包括源AMF,所述目标AMF连接所述目标接入网设备,所述源AMF连接所述源接入网设备;或者,所述第一网元包括目标安全锚点SEAF,所述第二网元包括源安全锚点SEAF,所述目标SEAF连接所述目标接入网设备,所述源SEAF连接所述源接入网设备。
具体的实施例中,所述网络参数包括目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF设置标识、AMF全局唯一指示符GUAMI、AMF指针pointer、AMF集合标识、计数值或随机码或序列码中的一项或多项。
具体的实施例中,所述第一网元包括第一通信系统的移动性管理实体网元MME;所述目标接入网设备为所述第一通信系统的接入网设备;所述源接入网设备为第二通信系统的接入网设备;
所述MME的接收器1204用于接收将用户设备从所述源接入网设备切换到所述目标接入网设备的通信的请求;所述请求包括所述第二通信系统的安全上下文;
所述MME的处理器1201用于获得安全密钥;
所述MME的发射器1203用于向所述目标接入网设备发送所述安全密钥。
具体的实施例中,所述MME的处理器1201用于通过所述MME的接收器1204接收所述第一通信系统的归属签约用户服务器HSS基于第一加密密钥、第一完整性保护密钥、服务网络名称标识、序列号SQN推衍出的第三中间密钥;所述第三中间密钥为在所述第一通信系统中认证后生成的上层的密钥,用于推衍下层的接入层和非接入层的密钥;
所述MME的处理器1201用于基于所述第二通信系统的安全上下文、所述第三中间密钥推衍出所述安全密钥。
具体的实施例中,所述MME的处理器1201用于获得安全密钥,包括:
所述MME的处理器1201用于通过所述MME的接收器1204接收所述第二通信系统的AMF发送的第一中间密钥;所述第一中间密钥为所述第二通信系统中认证后生成的上层的密钥,用于推衍下层的接入层AS和非接入层NAS密钥;
所述MME的处理器1201用于基于所述第一中间密钥推衍出所述第三中间密钥;
所述MME的处理器1201用于基于所述第二通信系统的安全上下文、所述第三中间密钥推衍出所述安全密钥。
需要说明的是,当装置1200为第一网元时,处理器1201执行的步骤以及处理器1201涉及的其他技术特征还可以参照图5-图10所示的方法实施例的相应描述,这里不再赘述。
当装置1200为目标接入网设备时,存储器1202中存储的程序代码具体用于实现图11实施例中的所述RAN设备332的功能。具体描述如下:
所述接收器1204用于接收将用户设备从源无线节点切换到目标无线节点的通信的请求;
所述接收器1204还用于接收核心网设备发送的第一密钥(例如KeNB或KgNB);所述第一密钥为用户设备与所述目标接入网设备之间进行安全保护的中间密钥;
所述处理器1201用于基于所述中间密钥生成第二密钥(主密钥);所述第二密钥为用户设备与所述目标无线节点之间进行安全保护的中间密钥;
所述发射器1203用于向目标无线节点发送所述第二密钥,以便于所述目标无线节点基于所述第二密钥生成安全密钥;所述安全密钥用于,在将所述用户设备从源无线节点切换到目标无线节点后,对所述用户设备与所述目标无线节点之间的通信进行保护。
需要说明的是,当装置1200为第一网元时,处理器1201执行的步骤以及处理器1201涉及的其他技术特征还可以参照图11所示的方法实施例的相应描述,这里不再赘述。
参见图13,基于同一发明构思,本发明实施例提供了又一种装置1300,装置1300为第一网元,具体包括:接收模块1301,密钥处理模块1302,发送模块1303,描述如下:
接收模块1301用于接收将用户设备从源接入网设备切换到目标接入网设备的通信的请求;
密钥处理模块1302用于获得安全密钥;所述安全密钥用于,在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后,对所述用户设备与所述目标网络之间的通信进行保护,所述目标网络包括所述目标接入网设备和目标核心网设备,所述目标核心网设备包括所述第一网元;
发送模块1303用于向所述目标接入网设备发送所述安全密钥。
具体实施例中,密钥处理模块1302获取第一中间密钥;所述第一中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层AS和非接入层NAS密钥;
密钥处理模块1302确定安全保护算法,基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥。
具体实施例中,所述第一网元获取第一中间密钥,包括:
密钥处理模块1302通过接收模块1301获取安全锚点SEAF基于锚密钥、网络参数推衍出的所述第一中间密钥。
具体实施例中,密钥处理模块1302获取第一中间密钥,包括:
密钥处理模块1302通过接收模块1301获取第二网元基于第二中间密钥、网络参数推衍出的所述第一中间密钥;其中,第二中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层和非接入层密钥。
具体实施例中,密钥处理模块1302获取第一中间密钥,包括:
接收模块1301接收第二网元发送的第二中间密钥;
密钥处理模块1302基于所述第二中间密钥、网络参数推衍出的所述第一中间密钥;其中,第二中间密钥为认证后生成的上层的密钥,用于推衍下层的接入层和非接入层密钥。
具体实施例中,密钥处理模块1302获取第一中间密钥,包括:
在所述用户设备从所述源接入网设备切换到所述目标接入网设备、并且所述用户设备重新通过双向认证后,密钥处理模块1302获得锚密钥;
密钥处理模块1302基于所述锚密钥、网络参数推衍出的所述第一中间密钥。
具体实施例中,密钥处理模块1302通过接收模块1301还获取第二网元发送的下一跳密钥第一NH、下一跳密钥关联计数第一NCC;
密钥处理模块1302基于所述第一NH和第一NCC得到第二NH和第二NCC;
发送模块1303向所述目标接入网设备发送所述第二NH和所述第二NCC。
具体实施例中,所述安全密钥包括第一密钥,第二密钥和第三密钥;所述第一密钥为用户设备与所述目标接入网设备之间进行安全保护的中间密钥;所述第二密钥为NAS信令加密性保护密钥;所述第三密钥为NAS信令完整性保护密钥;
密钥处理模块1302确定安全保护算法,基于所述安全保护算法和所述第一中间密钥推衍出所述安全密钥,包括:
所述安全保护算法包括NAS机密性算法标识和NAS完整性算法标识
密钥处理模块1302基于第一参数推衍出所述第一密钥;其中,所述第一参数包括所述第一中间密钥、目标小区标识、频点、NAS计数值、NAS连接标识、计数值或随机码或序列码中的一项或多项;
密钥处理模块1302基于第二参数推衍出所述第二密钥;其中,所述第二参数包括所述第一中间密钥、所述NAS机密性算法标识、计数值或随机码或序列码中的一项或多项;
密钥处理模块1302基于第三参数推衍出所述第三密钥;其中,所述第三参数包括所述第一中间密钥、所述NAS完整性算法标识、计数值或随机码或序列码中的一项或多项;
发送模块1303向所述目标接入网设备发送所述安全密钥,包括:
所述发送向所述目标接入网设备发送所述第一密钥。
具体实施例中,所述源接入网设备为第一通信系统的接入网设备;所述目标接入网设备为第二通信系统的接入网设备;所述第一网元为所述第二通信系统的网元;所述请求包括所述第一通信系统的安全上下文、第三中间密钥;所述第三中间密钥为在所述第一通信系统中认证后生成的上层的密钥,用于推衍下层的接入层和非接入层的密钥;
密钥处理模块1302获取第一中间密钥,包括:
密钥处理模块1302基于所述第一通信系统的安全上下文、所述第二通信系统的安全上下文以及所述第三中间密钥推衍出的所述第一中间密钥。
具体实施例中,所述第一网元包括目标接入和移动管理网元AMF,所述第二网元包括源AMF,所述目标AMF连接所述目标接入网设备,所述源AMF连接所述源接入网设备;或者,所述第一网元包括目标安全锚点SEAF,所述第二网元包括源安全锚点SEAF,所述目标SEAF连接所述目标接入网设备,所述源SEAF连接所述源接入网设备。
具体实施例中,所述网络参数包括目标侧标识、切片标识、网络接入标识符NAI、网络切片选择辅助信息NSSAI、AMF区域标识、AMF设置标识、AMF全局唯一指示符GUAMI、AMF指针pointer、AMF集合标识、计数值或随机码或序列码中的一项或多项。
具体实施例中,所述第一网元包括第一通信系统的移动性管理实体网元MME;所述目标接入网设备为所述第一通信系统的接入网设备;所述源接入网设备为第二通信系统的接入网设备;
密钥处理模块1302通过接收模块1301接收将用户设备从所述源接入网设备切换到所述目标接入网设备的通信的请求;所述请求包括所述第二通信系统的安全上下文;
密钥处理模块1302获得安全密钥;所述安全密钥用于,在将所述用户设备从所述源接入网设备切换到所述目标接入网设备后,对所述用户设备与所述目标网络之间的通信进行保护;
发送模块1303向所述目标接入网设备发送所述安全密钥。
具体实施例中,所述MME获得安全密钥,包括:
密钥处理模块1302通过接收模块1301获取所述第一通信系统的归属签约用户服务器HSS基于第一加密密钥、第一完整性保护密钥、服务网络名称标识、序列号SQN推衍出的第三中间密钥;所述第三中间密钥为在所述第一通信系统中认证后生成的上层的密钥,用于推衍下层的接入层和非接入层的密钥;
密钥处理模块1302基于所述第二通信系统的安全上下文、所述第三中间密钥推衍出所述安全密钥。
具体实施例中,密钥处理模块1302获取安全密钥,包括:密钥处理模块1302通过接收模块1301获取所述第二通信系统的AMF发送的第一中间密钥;所述第一中间密钥为所述第二通信系统中认证后生成的上层的密钥,用于推衍下层的接入层AS和非接入层NAS密钥;
密钥处理模块1302基于所述第一中间密钥推衍出所述第三中间密钥;
密钥处理模块1302基于所述第二通信系统的安全上下文、所述第三中间密钥推衍出所述安全密钥。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者任意组合来实现。当使用软件实现时,可以全部或者部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网络站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、微波等)方式向另一个网络站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质,也可以是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带等)、光介质(例如DVD等)、或者半导体介质(例如固态硬盘)等等。
在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。

Claims (15)

1.一种密钥推演的方法,其特征在于,所述方法应用于用户设备从第四代通信系统向第五代通信系统切换的场景中,所述方法包括:
所述用户设备接收所述第四代通信系统中的无线接入网络发送的切换请求和安全上下文;其中,所述安全上下文包括所述第五代通信系统相关的安全保护算法标识;
响应于所述切换请求,所述用户设备根据所述第四代通信系统中的中间密钥Kasme生成所述第五代通信系统中的中间密钥Kamf;
所述用户设备根据网络参数、所述第五代通信系统相关的安全保护算法标识以及所述中间密钥Kamf生成接入层密钥,所述接入层密钥用于对所述用户设备与所述第五代通信系统中的基站之间的通信进行安全保护。
2.根据权利要求1所述的方法,其特征在于,所述网络参数为非接入层计数值;所述用户设备根据网络参数、所述第五代通信系统相关的安全保护算法标识以及所述中间密钥Kamf生成接入层密钥,包括:
所述用户设备根据所述Kamf以及所述非接入层计数值获取中间密钥KgNB;以及
所述用户设备根据所述中间密钥KgNB和所述第五代通信系统相关的安全保护算法标识生成所述接入层密钥。
3.根据权利要求1或2所述的方法,其特征在于,所述网络参数为上行非接入层计数值。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述用户设备根据所述第五代通信系统相关的安全保护算法标识以及所述中间密钥Kamf生成非接入层密钥。
5.根据权利要求1所述的方法,其特征在于,所述第四代通信系统中的无线接入网络为基站eNB。
6.根据权利要求1所述的方法,其特征在于,所述第五代通信中的基站为基站gNB。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述用户设备向所述基站gNB发送完成切换消息。
8.一种通信装置,其特征在于,所述通信装置包括处理器;所述处理器分别与发射器以及接收器耦合;所述发射器用于发送消息;所述接收器用于接受消息;
所述处理器,用于接收第四代通信系统中的无线接入网络发送的切换请求和安全上下文;其中,所述安全上下文包括第五代通信系统相关的安全保护算法标识;响应于所述切换请求,根据所述第四代通信系统中的中间密钥Kasme生成第五代通信系统中的中间密钥Kamf;以及根据网络参数、所述第五代通信系统相关的安全保护算法标识以及所述中间密钥Kamf生成接入层密钥,所述接入层密钥用于对所述通信装置与所述第五代通信系统中的基站之间的通信进行安全保护。
9.根据权利要求8所述的通信装置,其特征在于,所述网络参数为非接入层计数值;所述处理器,具体用于根据所述中间密钥Kamf以及所述非接入层计数值获取中间密钥KgNB;以及根据所述中间密钥KgNB和所述第五代通信系统相关的安全保护算法标识生成接入层密钥。
10.根据权利要求8或9所述的通信装置,其特征在于,所述网络参数为上行非接入层计数值。
11.根据权利要求8所述的通信装置,其特征在于,所述处理器,还用于根据所述第五代通信系统相关的安全保护算法标识以及所述中间密钥Kamf生成非接入层密钥。
12.根据权利要求8所述的通信装置,其特征在于,所述第四代通信系统中的无线接入网络为基站eNB。
13.根据权利要求8所述的通信装置,其特征在于,所述第五代通信中的基站为基站gNB。
14.根据权利要求13所述的通信装置,其特征在于,所述处理器,还用于向所述基站gNB发送完成切换消息。
15.一种非易失性计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有程序代码,当所述程序代码被运行时,权利要求1-7任一所述的方法会被运行。
CN201811490322.3A 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统 Active CN109511113B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811490322.3A CN109511113B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201811490322.3A CN109511113B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统
CN201710633559.1A CN109309920B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201710633559.1A Division CN109309920B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统

Publications (2)

Publication Number Publication Date
CN109511113A CN109511113A (zh) 2019-03-22
CN109511113B true CN109511113B (zh) 2020-04-14

Family

ID=64481334

Family Applications (6)

Application Number Title Priority Date Filing Date
CN201811490324.2A Active CN109462847B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统
CN201811490322.3A Active CN109511113B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统
CN201710633559.1A Active CN109309920B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统
CN201810775340.XA Active CN108966220B (zh) 2017-07-28 2017-07-28 一种密钥推演的方法及网络设备
CN201810774989.XA Active CN109005540B (zh) 2017-07-28 2017-07-28 一种密钥推演的方法、装置及计算机可读存储介质
CN201880048692.3A Active CN110945892B (zh) 2017-07-28 2018-04-26 安全实现方法、相关装置以及系统

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201811490324.2A Active CN109462847B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统

Family Applications After (4)

Application Number Title Priority Date Filing Date
CN201710633559.1A Active CN109309920B (zh) 2017-07-28 2017-07-28 安全实现方法、相关装置以及系统
CN201810775340.XA Active CN108966220B (zh) 2017-07-28 2017-07-28 一种密钥推演的方法及网络设备
CN201810774989.XA Active CN109005540B (zh) 2017-07-28 2017-07-28 一种密钥推演的方法、装置及计算机可读存储介质
CN201880048692.3A Active CN110945892B (zh) 2017-07-28 2018-04-26 安全实现方法、相关装置以及系统

Country Status (7)

Country Link
US (2) US10728757B2 (zh)
EP (2) EP3576446B1 (zh)
JP (1) JP7100115B2 (zh)
KR (1) KR102264718B1 (zh)
CN (6) CN109462847B (zh)
BR (1) BR112020001289B1 (zh)
WO (1) WO2019019736A1 (zh)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11071021B2 (en) * 2017-07-28 2021-07-20 Qualcomm Incorporated Security key derivation for handover
JP7232250B2 (ja) * 2017-09-26 2023-03-02 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 無線通信システムのハンドオーバにおけるセキュリティコンテキストの管理およびキー導出の実施
CN111386720B (zh) * 2017-09-27 2023-07-14 日本电气株式会社 通信终端、核心网络装置、核心网络节点、网络节点和密钥导出方法
CN110710238B (zh) * 2018-01-19 2021-01-08 Oppo广东移动通信有限公司 指示用户设备获取密钥的方法、用户设备及网络设备
EP3777011A1 (en) * 2018-04-05 2021-02-17 Nokia Technologies Oy User authentication in first network using subscriber identity module for second legacy network
CN110225517B (zh) * 2018-04-08 2020-07-14 华为技术有限公司 一种信息发送方法、装置、系统以及计算机可读存储介质
WO2020092560A1 (en) * 2018-11-02 2020-05-07 Intel Corporation Mobility management in information centric networking
CN112789896B (zh) * 2019-01-07 2022-06-14 华为技术有限公司 切换传输路径的方法及装置
CN111465012B (zh) * 2019-01-21 2021-12-10 华为技术有限公司 通信方法和相关产品
EP3925289A1 (en) * 2019-02-14 2021-12-22 Telefonaktiebolaget Lm Ericsson (Publ) Network node, ue and method for handling handover with parameter for deriving security context
CN111641947B (zh) * 2019-03-01 2021-12-03 华为技术有限公司 密钥配置的方法、装置和终端
CN111770492B (zh) * 2019-03-30 2022-07-12 华为技术有限公司 通信方法和通信设备
CN111865872B (zh) * 2019-04-26 2021-08-27 大唐移动通信设备有限公司 一种网络切片内终端安全策略实现方法及设备
CN111866867B (zh) * 2019-04-28 2022-01-14 华为技术有限公司 信息获取方法及装置
CN114727290A (zh) 2019-04-28 2022-07-08 华为技术有限公司 通信方法及其装置
CN111417117B (zh) * 2019-04-29 2021-03-02 华为技术有限公司 切换的处理方法和装置
CN111866874B (zh) * 2019-04-29 2022-05-10 华为技术有限公司 一种注册方法及装置
CN112423272A (zh) * 2019-08-05 2021-02-26 华为技术有限公司 数据传输的方法和装置
JP7529769B2 (ja) * 2019-09-16 2024-08-06 華為技術有限公司 エアインターフェース情報セキュリティ保護方法および装置
US11696128B2 (en) 2019-10-09 2023-07-04 Cisco Technology, Inc. Reducing authentication steps during Wi-Fi and 5G handover
US11197176B2 (en) * 2019-11-06 2021-12-07 Oracle International Corporation Methods, systems, and computer readable media for providing for policy-based access and mobility management function (AMF) selection using network slice selection assistance information (NSSAI) availability information
US11405931B2 (en) 2019-12-12 2022-08-02 Oracle International Corporation Methods, systems, and computer readable media for providing for network slice management using feedback mechanism
US10750366B1 (en) * 2019-12-19 2020-08-18 Cisco Technology, Inc. Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access
WO2021093160A1 (en) * 2020-01-15 2021-05-20 Zte Corporation Secure handling of registration in wireless communications
CN113766498B (zh) * 2020-06-01 2023-03-21 中国电信股份有限公司 密钥分发方法、装置、计算机可读存储介质及基站
CN112838925B (zh) * 2020-06-03 2023-04-18 中兴通讯股份有限公司 数据传输方法、装置和系统、电子设备、存储介质
CN112788594B (zh) * 2020-06-03 2023-06-27 中兴通讯股份有限公司 数据传输方法、装置和系统、电子设备、存储介质
CN114079920B (zh) * 2020-08-11 2023-01-20 大唐移动通信设备有限公司 接入网安全处理方法、设备、装置及存储介质
US11716283B2 (en) 2021-03-05 2023-08-01 Oracle International Corporation Methods, systems, and computer readable media for selecting a software defined wide area network (SD-WAN) link using network slice information
GB2609621B (en) 2021-08-05 2023-09-27 Olive Innovations Ltd Communication security module and method of secure communication
CN114286339A (zh) * 2021-12-21 2022-04-05 中国电信股份有限公司 安全策略的确定方法及系统
CN114205881B (zh) * 2021-12-31 2024-02-09 中国信息通信研究院 一种基站间切换方法和设备
KR102593167B1 (ko) * 2022-01-19 2023-10-24 순천향대학교 산학협력단 통신 네트워크 시스템의 동작방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102958052A (zh) * 2011-08-29 2013-03-06 华为技术有限公司 一种数据安全传输方法及相关设备
CN103781069A (zh) * 2012-10-19 2014-05-07 华为技术有限公司 一种双向认证的方法、设备及系统
CN104661217A (zh) * 2015-02-09 2015-05-27 哈尔滨工业大学深圳研究生院 基于td-lte网络的鉴权和密钥衍生方法及系统
CN106922216A (zh) * 2014-11-03 2017-07-04 高通股份有限公司 用于无线通信的装置和方法

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2454204A (en) 2007-10-31 2009-05-06 Nec Corp Core network selecting security algorithms for use between a base station and a user device
US8179860B2 (en) * 2008-02-15 2012-05-15 Alcatel Lucent Systems and method for performing handovers, or key management while performing handovers in a wireless communication system
CN101257723A (zh) * 2008-04-08 2008-09-03 中兴通讯股份有限公司 密钥生成方法、装置及系统
US20110096660A1 (en) * 2008-06-24 2011-04-28 Panasonic Corporation Handover processing method, and mobile terminal used in the method
EP2273820A1 (en) * 2009-06-30 2011-01-12 Panasonic Corporation Inter-VPLMN handover via a handover proxy node
JP5164939B2 (ja) * 2009-07-04 2013-03-21 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法及び無線基地局
WO2011038352A1 (en) * 2009-09-26 2011-03-31 Cisco Technology, Inc. Providing offloads in a communication network
KR101718164B1 (ko) * 2009-12-17 2017-03-20 엘지전자 주식회사 인증 절차를 고려한 핸드오버 수행 방법 및 장치
CN101742498A (zh) * 2009-12-18 2010-06-16 中兴通讯股份有限公司 空口密钥的管理方法和系统
US20110231654A1 (en) * 2010-03-16 2011-09-22 Gurudas Somadder Method, system and apparatus providing secure infrastructure
CN101835152A (zh) * 2010-04-16 2010-09-15 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
CN102244862A (zh) * 2010-05-10 2011-11-16 北京三星通信技术研究有限公司 一种获取安全密钥的方法
US9215220B2 (en) * 2010-06-21 2015-12-15 Nokia Solutions And Networks Oy Remote verification of attributes in a communication network
CN102340772B (zh) 2010-07-15 2014-04-16 华为技术有限公司 切换过程中的安全处理方法、装置和系统
CN102378168B (zh) 2010-08-17 2016-02-10 中兴通讯股份有限公司 多系统核心网通知密钥的方法和多系统网络
CN101931953B (zh) * 2010-09-20 2015-09-16 中兴通讯股份有限公司 生成与设备绑定的安全密钥的方法及系统
EP2622904B1 (en) * 2010-09-28 2023-04-26 BlackBerry Limited Method and user equipment having at least one pdn connection comprising lipa connectivity
KR101709352B1 (ko) * 2010-12-30 2017-02-22 에릭슨 엘지 주식회사 핸드오버 성능 향상을 위한 무선자원 할당 장치 및 그를 위한 기지국장치
CN102625300B (zh) 2011-01-28 2015-07-08 华为技术有限公司 密钥生成方法和设备
US8990554B2 (en) * 2011-06-30 2015-03-24 Verizon Patent And Licensing Inc. Network optimization for secure connection establishment or secure messaging
JP5944004B2 (ja) * 2011-10-03 2016-07-05 インテル・コーポレーション デバイスツーデバイス通信(d2d通信)メカニズム
CN103379490A (zh) * 2012-04-12 2013-10-30 华为技术有限公司 用户设备的认证方法、装置及系统
JP6135878B2 (ja) * 2012-05-04 2017-05-31 ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. ネットワークスイッチング中におけるセキュリティ処理方法およびシステム
US9204299B2 (en) * 2012-05-11 2015-12-01 Blackberry Limited Extended service set transitions in wireless networks
CN103428787B (zh) * 2012-05-17 2016-02-10 大唐移动通信设备有限公司 一种基站切换方法及装置
US20150304913A1 (en) * 2012-07-17 2015-10-22 Nokia Technologies Oy System and method for proactive u-plane handovers
US8934632B2 (en) * 2012-09-18 2015-01-13 Futurewei Technologies, Inc. System and method for device-to-device (D2D) assisted dynamic traffic control for cellular networks
EP2952027B1 (en) * 2013-01-30 2017-03-29 Telefonaktiebolaget LM Ericsson (publ) Security activation for dual connectivity
CN108112013B (zh) * 2013-03-13 2020-12-15 华为技术有限公司 数据的传输方法、装置和系统
EP2854450A1 (en) 2013-09-27 2015-04-01 Alcatel Lucent Reducing signaling load to the corenetwork caused by frequent cell changes of an user equipment among small cells
US9342699B2 (en) 2013-11-06 2016-05-17 Blackberry Limited Method and apparatus for controlling access to encrypted data
CN103747442B (zh) * 2013-12-27 2017-06-30 华为技术有限公司 一种安全密钥上下文分发方法,移动管理实体及基站
CN104980980A (zh) * 2014-04-10 2015-10-14 电信科学技术研究院 一种建立连接的方法、系统和设备
CN104010305B (zh) * 2014-05-09 2016-10-12 中国人民解放军信息工程大学 基于物理层密钥的终端和接入网的双向认证增强方法
GB2527518A (en) * 2014-06-23 2015-12-30 Nec Corp Communication system
KR102005166B1 (ko) 2014-12-31 2019-07-29 후아웨이 테크놀러지 컴퍼니 리미티드 무선 통신 방법, 장치, 및 시스템
WO2016134536A1 (zh) * 2015-02-28 2016-09-01 华为技术有限公司 密钥生成方法、设备及系统
GB2537377B (en) * 2015-04-13 2021-10-13 Vodafone Ip Licensing Ltd Security improvements in a cellular network
CN107852407B (zh) * 2015-06-05 2020-07-28 康维达无线有限责任公司 用于集成小型小区和Wi-Fi网络的统一认证
CN106658492A (zh) * 2015-07-23 2017-05-10 中兴通讯股份有限公司 密钥更新方法及装置
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
WO2017078657A1 (en) * 2015-11-03 2017-05-11 Intel IP Corporation Apparatus, system and method of cellular-assisted establishing of a secured wlan connection between a ue and a wlan ap
CN106714152B (zh) 2015-11-13 2021-04-09 华为技术有限公司 密钥分发和接收方法、第一密钥管理中心和第一网元
US10368238B2 (en) * 2015-12-01 2019-07-30 Htc Corporation Device and method of handling data transmission/reception for dual connectivity
WO2017104858A1 (ko) * 2015-12-14 2017-06-22 엘지전자(주) 무선 통신 시스템에서 대체 기지국과 네트워크 엔터티 간 s1 연결을 수행하기 위한 방법 및 이를 지원하는 장치
CN105515769A (zh) * 2016-01-12 2016-04-20 汉柏科技有限公司 一种用于网络设备的动态密码生成方法及装置
KR102656957B1 (ko) * 2016-12-16 2024-04-16 삼성전자 주식회사 무선통신 시스템에서 고속 이동을 위한 측정 방법 및 장치
US10299173B2 (en) * 2017-01-05 2019-05-21 Htc Corporation Device and method of handling a PDN connection in LTE to NR/5G inter-system mobility
CN108282836B (zh) * 2017-01-06 2020-10-30 展讯通信(上海)有限公司 辅基站切换方法、装置及基站
WO2018138348A1 (en) * 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5g during idle mode
WO2018138355A1 (en) * 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatuses for re-establishing a radio resource control (rrc) connection
KR102280004B1 (ko) * 2017-04-20 2021-07-22 주식회사 케이티 단말 기반 핸드오버 수행 방법 및 그 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102958052A (zh) * 2011-08-29 2013-03-06 华为技术有限公司 一种数据安全传输方法及相关设备
CN103781069A (zh) * 2012-10-19 2014-05-07 华为技术有限公司 一种双向认证的方法、设备及系统
CN106922216A (zh) * 2014-11-03 2017-07-04 高通股份有限公司 用于无线通信的装置和方法
CN104661217A (zh) * 2015-02-09 2015-05-27 哈尔滨工业大学深圳研究生院 基于td-lte网络的鉴权和密钥衍生方法及系统

Also Published As

Publication number Publication date
CN109511113A (zh) 2019-03-22
CN110945892A (zh) 2020-03-31
CN109462847B (zh) 2019-08-02
CN110945892B (zh) 2021-11-30
EP3576446B1 (en) 2021-03-31
CN108966220B (zh) 2019-07-23
CN109005540B (zh) 2019-07-23
CN109309920A (zh) 2019-02-05
CN109462847A (zh) 2019-03-12
EP3576446A4 (en) 2020-01-08
JP2020528249A (ja) 2020-09-17
KR102264718B1 (ko) 2021-06-11
US10728757B2 (en) 2020-07-28
WO2019019736A1 (zh) 2019-01-31
EP3576446A1 (en) 2019-12-04
US20190274038A1 (en) 2019-09-05
CN108966220A (zh) 2018-12-07
US11228905B2 (en) 2022-01-18
BR112020001289A2 (pt) 2020-07-28
JP7100115B2 (ja) 2022-07-12
EP3917187A1 (en) 2021-12-01
US20200128403A1 (en) 2020-04-23
KR20200030592A (ko) 2020-03-20
CN109309920B (zh) 2021-09-21
BR112020001289B1 (pt) 2021-08-03
CN109005540A (zh) 2018-12-14

Similar Documents

Publication Publication Date Title
CN110945892B (zh) 安全实现方法、相关装置以及系统
CN109644339B (zh) 连接模式期间5g中的安全性上下文处理的方法和装置
CN110419205B (zh) 针对用户平面数据的完整性保护的方法
CN109600803B (zh) 一种安全保护的方法、装置和系统
US20170359719A1 (en) Key generation method, device, and system
EP3582531B1 (en) Network access authentication method based on non-3gpp network, and related device and system
US10798082B2 (en) Network authentication triggering method and related device
EP2584802B1 (en) Methods and apparatuses for security control in a mobile communication system supporting emergency calls
KR20090005971A (ko) 이종망간 핸드오버시 빠른 보안연계 설정방법
WO2020056433A2 (en) SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo)
CN117812574A (zh) 通信方法和通信装置
CN114765827A (zh) 一种安全保护方法、装置和系统
CN110830996B (zh) 一种密钥更新方法、网络设备及终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant