CN114630381B - 无线通信系统中的安全性上下文 - Google Patents
无线通信系统中的安全性上下文 Download PDFInfo
- Publication number
- CN114630381B CN114630381B CN202210120349.3A CN202210120349A CN114630381B CN 114630381 B CN114630381 B CN 114630381B CN 202210120349 A CN202210120349 A CN 202210120349A CN 114630381 B CN114630381 B CN 114630381B
- Authority
- CN
- China
- Prior art keywords
- security context
- network device
- core network
- user equipment
- handover
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 94
- 238000000034 method Methods 0.000 claims abstract description 281
- 230000007704 transition Effects 0.000 claims abstract description 37
- 230000011664 signaling Effects 0.000 claims description 150
- 230000004048 modification Effects 0.000 claims description 61
- 238000012986 modification Methods 0.000 claims description 61
- 238000012545 processing Methods 0.000 claims description 44
- 230000008859 change Effects 0.000 claims description 32
- 230000004044 response Effects 0.000 claims description 26
- 230000006870 function Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 31
- 230000008569 process Effects 0.000 description 17
- 230000007246 mechanism Effects 0.000 description 12
- 238000007726 management method Methods 0.000 description 11
- 238000009795 derivation Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 9
- 238000005259 measurement Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 230000006978 adaptation Effects 0.000 description 4
- 230000007774 longterm Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000003213 activating effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 238000013468 resource allocation Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 230000003245 working effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
- H04L5/003—Arrangements for allocating sub-channels of the transmission path
- H04L5/0053—Allocation of signaling, i.e. of overhead other than pilot signals
- H04L5/0055—Physical resource allocation for ACK/NACK
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/25—Maintenance of established connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
核心网络设备(16)被配置成供无线通信系统的核心网络中使用。核心网络设备(16)被配置成进行转变成使用用户设备(14)和核心网络设备(16)之间的新非接入层NAS安全性上下文的转变。核心网络设备(16)还被配置成在用于用户设备(14)的切换的切换过程期间或与该切换过程相关联地从核心网络设备(16)发信号通知用户设备(14)和核心网络设备(16)之间的新NAS安全性上下文要被用作用户设备(14)和无线电接入网设备(12)之间的接入层(AS)安全性上下文的基础。
Description
背景技术
无线通信系统中的用户设备与系统中的无线电接入网(RAN)建立所谓的接入层(AS)安全性(Security)上下文,以及与系统的核心网络(CN)建立所谓的非接入层(NAS)安全性上下文。AS安全性上下文(其中包括(一个或多个)AS安全性密钥)用于AS消息的机密性和/或完整性保护,而NAS安全性上下文(包括其中的(一个或多个)NAS安全性密钥)用于NAS消息的机密性和/或完整性保护。因为AS安全性上下文基于NAS安全性上下文(例如,从NAS安全性上下文中导出),所以当NAS安全性上下文改变时,特别是当在用于修改AS安全性上下文的过程与用于切换用户设备的过程之间形成竞争条件(race conditions)时,出现复杂问题。
发明内容
本文的一些实施例利用在用于用户设备的切换(handover)的切换过程期间或与该切换过程相关联的(例如,响应于该切换过程的)来自核心网络设备的信令。在一些实施例中,此信令最终使RAN中的无线电接入网设备(例如,切换的目标无线电接入网设备)和用户设备能够确定是否任何新NAS安全性上下文要被用作用户设备和该无线电接入网设备之间的AS安全性上下文的基础。在信令在切换过程期间或与切换过程相关联地发生的情况下,显式(专用)安全性上下文修改过程可能是不必要的。这通过最终减少控制信令、减少切换和简化状态管理可证明是有利的。
更特别地,本文的一些实施例包括一种由被配置成供无线通信系统的核心网络中使用的核心网络设备执行的方法。在一些实施例中,该方法包括转变(switch)成使用用户设备和核心网络设备之间的新非接入层NAS安全性上下文。在一些实施例中,所述方法进一步包括:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备发信号通知(signaling)用户设备和核心网络设备之间的新NAS安全性上下文要被用作用户设备和无线电接入网设备之间的接入层(AS)安全性上下文的基础。在一些实施例中,例如,信令采取新安全性上下文指示符NSCI或密钥改变指示符的形式。
在一些实施例中,所述方法进一步包括:响应于确定以下内容来执行所述发信号通知:所述新NAS安全性上下文已经被激活,所述新NAS安全性上下文不同于当前活动的AS安全性上下文所基于的NAS安全性上下文以及所述核心网络设备尚未执行显式安全性上下文修改过程,所述安全性上下文修改过程提示(prompt)所述无线电接入网设备和所述用户设备基于所述新NAS安全性上下文转变成使用新AS安全性上下文。
在一些实施例中,切换过程用于用户设备到目标无线电接入网设备的切换。在一个这种实施例中,该方法进一步包括:在切换过程之后从目标无线电接入网设备接收路径转变请求。在这种情况下,信令可以包括:在切换过程之后,响应于路径转变请求,向目标无线电接入网设备传送路径转变请求确认消息。路径转变请求确认消息可以包括指示新NAS安全性上下文要被用作AS安全性上下文的基础的字段。例如,该字段可以是新安全性上下文指示符字段。
在一些实施例中,切换过程用于用户设备从源无线电接入网设备到目标无线电接入网设备的切换,并且核心网络设备包括与源无线电接入网设备相关联的源核心网络设备。在一个这种实施例中,信令包括:在切换过程期间并且响应于从源无线电接入网设备接收到切换要求的消息,从核心网络设备向与目标接入无线电接入网设备相关联的目标核心网络设备传送前向(forward)重定位请求消息。前向重定位请求消息可以包括指示新NAS安全性上下文要被用作AS安全性上下文的基础的字段。例如,所述字段可以是指示NAS安全性上下文密钥已经改变的密钥改变指示符字段。
在一些实施例中,切换过程用于用户设备从源无线电接入网设备到目标无线电接入网设备的切换。在一个这种实施例中,信令包括:在切换过程期间,从核心网络设备向目标无线电接入网设备传送切换请求消息。切换请求消息可以包括指示新NAS安全性上下文要被用作AS安全性上下文的基础的字段。例如,所述字段可以是指示NAS安全性上下文密钥已经改变的密钥改变指示符字段。
在一些实施例中,核心网络设备在核心网络中实现接入和移动性管理功能AMF。
本文的其它实施例包括由被配置成供无线通信系统中使用的设备执行的方法。在一些实施例中,所述方法包括:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备接收信令,所述信令指示用户设备和核心网络设备之间的新非接入层(NAS)安全性上下文要被用作用户设备和无线电接入网设备之间的接入层(AS)安全性上下文的基础。
在一些实施例中,该方法进一步包括:基于所述信令来确定要用作AS安全性上下文的基础的NAS安全性上下文,以及使用作为基于所确定的NAS安全性上下文的AS安全性上下文。
在一些实施例中,该方法进一步包括:基于来自核心网络设备的信令,向用户设备发信号通知NAS安全性上下文已经改变,AS安全性上下文基于所述NAS安全性上下文,或者用户设备和核心网络设备之间的新NAS安全性上下文要被用作AS安全性上下文的基础。在一个这种实施例中,例如,通过在无线电资源控制RRC连接重新配置消息中将密钥改变指示符传送到所述用户设备来执行向所述用户设备发信号通知。
在一些实施例中,切换过程用于用户设备到目标无线电接入网设备的切换,并且所述设备是目标无线电接入网设备。在一个这种实施例中,接收信令包括:在切换过程之后,从核心网络设备接收路径转变请求确认消息,其包括指示新NAS安全性上下文要被用作AS安全性上下文的基础的字段。例如,该字段可以是新安全性上下文指示符字段。
在一些实施例中,切换过程用于用户设备从源无线电接入网设备到目标无线电接入网设备的切换,核心网络设备包括与源无线电接入网设备相关联的源核心网络设备,并且所述设备是与目标接入无线电接入网设备相关联的目标核心网络设备。在一个这种实施例中,接收信令包括:在切换过程期间,从源核心网络设备接收前向重定位请求消息,其包括指示新NAS安全性上下文要被用作AS安全性上下文的基础的字段。
在一些实施例中,切换过程用于用户设备从源无线电接入网设备到目标无线电接入网设备的切换,并且所述设备是目标无线电接入网设备。在一个这种实施例中,接收信令包括:在切换过程期间,从核心网络设备接收切换请求消息,其包括指示新NAS安全性上下文要被用作AS安全性上下文的基础的字段。例如,所述字段可以是指示NAS安全性上下文密钥已经改变的密钥改变指示符字段。
在一些实施例中,核心网络设备在核心网络中实现接入和移动性管理功能AMF。
实施例还包括对应的设备、计算机程序和载体。例如,实施例包括被配置成供无线通信系统的核心网络中使用的核心网络设备。核心网络设备被配置成(例如,经由核心网络设备的处理电路和存储器)转变成使用用户设备和核心网络设备之间的新非接入层NAS安全性上下文;以及在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备发信号通知用户设备和核心网络设备之间的新NAS安全性上下文要被用作用户设备和无线电接入网设备之间的接入层AS安全性上下文的基础。
实施例还包括被配置成供无线通信系统中使用的设备(例如,核心网络设备、无线电接入网设备或用户设备)。所述设备被配置成(例如,经由设备的处理电路和存储器):在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备接收信令,其指示用户设备和核心网络设备之间的新非接入层(NAS)安全性上下文要被用作用户设备和无线电接入网设备之间的接入层(AS)安全性上下文的基础。
附图说明
图1是根据一些实施例的无线通信系统的框图。
图2是根据一些实施例由核心网络设备执行的方法的逻辑流程图。
图3是根据一些实施例由设备执行的方法的逻辑流程图。
图4是根据一些实施例由核心网络设备直接促进的切换的序列图。
图5是根据一些实施例不是由核心网络设备直接促进的切换的序列图。
图6A是根据一些实施例的核心网络设备的框图。
图6B是根据其它实施例的核心网络设备的框图。
图7A是根据一些实施例的用户设备的框图。
图7B是根据其它实施例的用户设备的框图。
图8A是根据一些实施例的无线电接入网设备的框图。
图8B是根据其它实施例的无线电接入网设备的框图。
图9是根据一些实施例的5G网络的框图。
图10是根据一些实施例的显式UE上下文修改过程的序列图。
图11A是根据一些实施例的小区内切换的框图。
图11B是根据一些实施例的Xn切换的框图。
图11C是根据一些实施例的N2切换的框图。
图12是根据一些实施例的N2切换的序列图。
图13是根据其它实施例的N2切换的序列图。
图14是根据一些实施例在AMF和目标gNB之间用于切换的信令的序列图。
图15是根据一些实施例在源AMF和目标AMF之间用于切换的信令的序列图。
图16是根据一些实施例由核心网络设备或实现AMF的设备执行的方法的逻辑流程图。
图17是根据一些实施例的由目标AMF执行的方法的逻辑流程图。
图18是根据其它实施例由核心网络设备或实现AMF的设备执行的方法的逻辑流程图。
图19是根据一些实施例由无线电接入网络设备执行的方法的逻辑流程图。
图20是根据一些实施例的Xn切换的序列图。
图21是根据又一些其它实施例由核心网络设备或实现AMF的设备执行的方法的逻辑流程图。
图22是根据其它实施例由无线电接入网络设备执行的方法的逻辑流程图。
图23是根据一些实施例的电信网络的框图。
图24是根据一些实施例的UE、基站和主机计算机的框图。
图25是图示根据一个实施例在通信系统中实现的方法的流程图。
图26是图示根据一个实施例在通信系统中实现的方法的流程图。
图27是图示根据一个实施例在通信系统中实现的方法的流程图。
图28是图示根据一个实施例在通信系统中实现的方法的流程图。
具体实施方式
图1示出了根据一些实施例的无线通信系统10(例如,5G系统)。系统10包括核心网(CN)10A和无线电接入网(RAN)10B。RAN 10B包括一个或多个无线电接入网设备12(例如,一个或多个基站)以用于向用户设备(其中一个被示为用户设备14)(例如,经由一个或多个小区)提供无线电接入。经由这种无线电接入,用户设备14连接到CN 10A中的核心网络设备16(例如,在5G核心网络中实现接入和移动性功能AMF),其又可以向用户设备14提供对一个或多个外部网络(诸如,因特网)的接入。
用户设备14和核心网络设备16在它们自身之间建立安全性状态,称为非接入层(NAS)安全性上下文18。NAS安全性上下文18可以包括例如NAS安全性密钥、安全性密钥标识符、安全性能力、计数器等。用户设备14和核心网络设备16使用NAS安全性上下文18来为用户设备14和核心网络设备16交换的NAS消息提供机密性和/或完整性保护。类似地,用户设备14和无线电接入网设备12在它们自身之间建立安全性状态,称为接入层(AS)安全性上下文20。AS安全性上下文可以包括例如AS安全性密钥、安全性密钥标识符、安全性能力、计数器等。用户设备14和无线电接入网设备12使用AS安全性上下文20来为用户设备14和无线电接入网设备12交换的AS消息提供机密性和/或完整性保护。
根据一些实施例,AS安全性上下文基于NAS安全性上下文。例如,AS安全性上下文的基础密钥(例如,5G中的K_gNB)可以从NAS安全性上下文的基础密钥(例如,5G中的K_AMF)中导出,或者以其他方式基于该NAS安全性上下文的基础密钥,使得一般来说,AS安全性上下文从NAS安全性上下文导出,或者以其他方式基于该NAS安全性上下文。因此,如果核心网络设备16和用户设备14从使用一个NAS安全性上下文转变成使用新NAS安全性上下文(例如,其具有新的基础密钥),则无线电接入网设备12和用户设备14它们自身要从使用基于旧的NAS安全性上下文的AS安全性上下文转变成使用基于新NAS安全性上下文的新AS安全性上下文。为此目的,核心网络设备16可以针对无线电接入网设备12执行显式(专用)安全性上下文修改过程,即,提示无线电接入网设备12和用户设备14(同步地)转变成基于新NAS安全性上下文的新AS安全性上下文。然而,在一些情况下(例如,由于控制信令竞争条件),诸如当安全性上下文修改要基本上与用户设备14的切换并发执行时,使用显式安全性上下文修改过程证明是复杂和/或低效的。
因此,本文的一些实施例利用在用于用户设备14的切换22的切换过程期间或与该切换过程相关联的(例如,响应于该切换过程的)来自核心网络设备16的信令24。在一些实施例中,这种信令24最终使RAN 10B中的无线电接入网设备(例如,切换22的目标无线电接入网设备)和用户设备14能够确定是否任何新NAS安全性上下文要被用作用户设备14和该无线电接入网设备之间的AS安全性上下文的基础。在信令24在切换过程期间或与切换过程相关联地发生的情况下,显式(专用)安全性上下文修改过程可能是不必要的。这通过最终减少控制信令、减少切换和简化状态管理可证明是有利的。
图2图示了根据一些实施例由核心网络设备16在这方面执行的处理。如所示,由核心网络设备16执行的方法100包括:在用于用户设备14的切换22的切换过程期间或与该切换过程相关联地(例如,响应于该切换过程),从核心网络设备16(显式地或隐式地)发信号通知24用户设备14和核心网络设备16之间的任何新NAS安全性上下文是否要被用作用户设备14和无线电接入网设备(例如,切换22的目标无线电接入网设备)之间的AS安全性上下文的基础(框110)。在例如核心网络设备16已经转变成使用新NAS安全性上下文(即,激活了新NAS安全性上下文以便将新NAS安全性上下文投入使用)的情况下(框105),核心网络设备16可以发信号通知新NAS安全性上下文要被用作AS安全性上下文的基础。否则,(例如,如果核心网络设备16尚未转变成使用新NAS安全性上下文),核心网络设备16可以发信号通知没有新NAS安全性上下文要被用作AS安全性上下文的基础(例如,因为不存在这种新NAS安全性上下文)。
在一些实施例中,如果核心网络设备16尚未执行显式(专用)安全性上下文修改过程,即,提示无线电接入网设备和用户设备14转变成使用基于新NAS安全性上下文的新AS安全性上下文,则核心网络设备16可以仅以这种方式发信号通知新NAS安全性上下文要被用作AS安全性上下文的基础。事实上,如果已经执行了这种显式上下文修改过程,则不需要向用户设备14和无线电接入网设备通知新NAS安全性上下文要被用作AS安全性上下文的基础,因为它们将已经为该目的转变成使用新NAS安全性上下文。因此,如图2所示,在一些实施例中,方法100可以进一步包括确定:新NAS安全性上下文已经被激活(即,由核心网络设备16和用户设备14投入使用),新NAS安全性上下文不同于当前活动的AS安全性上下文所基于的NAS安全性上下文以及尚未执行显式安全性上下文修改过程(框107)。响应于做出该确定,核心网络设备16可以相应地发信号通知新NAS安全性上下文要被用作AS安全性上下文的基础(框110)。
核心网络设备16可以执行图2中的向某个设备的信令。该设备可以是例如用户设备14、无线电接入网设备(例如,切换22的目标无线电接入网设备),或者核心网络设备,例如,这取决于条件或环境(例如,切换22的类型)。无论如何,图3图示了根据一些实施例由这种设备执行的处理。如图3所示,由被配置成供系统10中使用的设备执行的方法200包括:在用于用户设备14的切换22的切换过程期间或与该切换过程相关联地(例如,响应于该切换过程),从核心网络设备16接收(显式或隐式)信令24,其指示用户设备14和核心网络设备16之间的任何新NAS安全性上下文是否要被用作用户设备14和无线电接入网设备(例如,切换22的目标无线电接入网设备)之间的AS安全性上下文的基础(框210)。如上所述,在核心网络设备16已经转变成使用新NAS安全性上下文的情况下,信令可以指示新NAS安全性上下文要被用作AS安全性上下文的基础。否则,(例如,如果核心网络设备16尚未转变成使用新NAS安全性上下文),该信令可以指示没有新NAS安全性上下文要被用作AS安全性上下文的基础(例如,因为不存在这种新NAS安全性上下文)。
在一些实施例中,例如在设备是从核心网络设备16接收到信令22的用户设备14自身的一些情况下,方法200可以进一步包括:基于信令22确定要用作AS安全性上下文的基础的NAS安全性上下文(框220)。在例如用户设备14和核心网络设备12已经从使用旧的NAS安全性上下文转变成使用新NAS安全性上下文的情况下,信令26使用户设备14能够确定例如在切换过程中是旧的NAS安全性上下文还是新的NAS安全性上下文要被用作AS安全性上下文的基础。在任何情况下,方法200可以进一步包括使用作为基于所确定的NAS安全性上下文的AS安全性上下文(框230)。使用AS安全性上下文可以例如涉及使用AS安全性上下文用于与无线电接入网设备交换的AS消息的机密性和/或完整性保护。
在其他实施例中,诸如在设备是无线电接入网设备的一些情况下,设备的方法可以备选地或附加地包括:基于来自核心网络设备的信令24,执行向用户设备14的信令26(框215)。所示出的信令26例如又可以发信号通知用户设备14和核心网络设备16之间的任何新NAS安全性上下文是否要被用作AS安全性上下文的基础。在这个意义上,则无线电接入网设备有效地将信令24从核心网络设备转发或以其它方式传播到用户设备14作为信令26。在其他实施例中,信令26可以被构造为发信号通知NAS安全性上下文(AS安全性上下文基于该NAS安全性上下文)是否已经改变,例如,改变成用户设备14可能已经转变到的新NAS安全性上下文。然而,在任一情况下,在一些实施例中,可以通过在无线电资源控制(RRC)连接重新配置消息中向用户设备14传送密钥改变指示符(keyChangeIndicator字段)来实现向用户设备14的信令26。无论如何,到用户设备14的信令26使用户设备14能够确定:即,在如上所述的切换过程中要用作AS安全性上下文的基础的NAS安全性上下文。
图4图示了其中在切换22是核心网络设备16直接促进切换的类型(例如,5G中的N2切换,其中切换的目标和源无线电接入网设备之间不存在Xn接口)的上下文中的上述一些实施例的一个示例。如图4所示,用户设备14与核心网络设备16建立第一NAS安全性上下文(例如,包括第一NAS基础密钥)(步骤300)。用户设备14还基于第一NAS安全性上下文与(即将成为的)源无线电接入网设备12-S建立第一AS安全性上下文(步骤310)。第一AS安全性上下文可以例如包括从第一NAS基础密钥导出的第一AS基础密钥。无论如何,在稍后的时间,诸如在认证过程期间,用户设备14和核心网络设备16可以从使用第一(现在是“旧的”)NAS安全性上下文转变成使用第二(新)NAS安全性上下文(步骤320)。在这种情况下,第二(新)NAS安全性上下文不同于第一NAS安全性上下文,其中用户设备14和源无线电接入网设备12-S之间的第一AS安全性上下文基于所述第一NAS安全性上下文。换句话说,至少如步骤320那样,如图4所示的第二(新)NAS安全性上下文是用户设备14和核心网络设备16已经转变成使用的NAS安全性上下文,但是基于该第二(新)NAS安全性上下文的(第二)AS安全性上下文尚未例如经由显式(专用)UE上下文修改过程而投入使用。如图4所示,当发起切换过程330以用于用户设备14从源无线电接入网设备12-S到目标无线电接入网设备12-T的切换时,情况仍然是这样。例如,当核心网络设备16接收到要求切换的消息(步骤340)时,核心网络设备16可能仍然没有发起显式(专用)UE上下文修改过程,以便将基于第二(新)NAS安全性上下文的第二(新)AS安全性上下文投入使用。
值得注意,核心网络设备16在切换过程330期间执行信令24,以便向目标无线电接入网设备12-T发信号通知用户设备14和核心网络设备16之间的任何新NAS安全性上下文是否要被用作用户设备14和目标无线电接入网设备12-T之间的AS安全性上下文的基础。信令24可以(例如,作为布尔字段)例如被包括在发送到目标无线接入网络设备12-T的切换请求消息中。在一些实施例中,目标无线电接入网设备12-T又基于来自核心网络设备16的信令24执行向用户设备14的信令26。信令26可以指示例如AS安全性上下文所基于的NAS安全性上下文是否已经改变;或者用户设备14和核心网络设备16之间的任何新NAS安全性上下文是否要被用作AS安全性上下文的基础。信令26可以例如作为密钥改变指示符包括在RRC连接重新配置消息中。在任何情况下,基于该信令26,用户设备14可以确定是在切换过程330中使用第一AS安全性上下文(基于第一NAS安全性上下文)还是在切换过程330中使用第二AS安全性上下文(基于第二(新)NAS安全性上下文)。有利的是,在这种情况下,不需要执行显式(专用)UE上下文修改过程(360)。
图5图示了在切换22是核心网络设备16不直接促进切换的类型(例如,5G中的Xn切换,其中切换的目标和源无线电接入网设备之间存在Xn接口)的上下文中的一些实施例的另一个示例。如图5所示,用户设备14与核心网络设备16建立第一NAS安全性上下文(例如,包括第一NAS基础密钥)(步骤400)。用户设备14还基于第一NAS安全性上下文与(即将成为的)源无线电接入网设备12-S建立第一AS安全性上下文(步骤410)。第一AS安全性上下文可以例如包括从第一NAS基础密钥导出的第一AS基础密钥。无论如何,在稍后的时间,诸如在认证过程期间,用户设备14和核心网络设备16可以从使用第一(现在是“旧的”)NAS安全性上下文转变成使用第二(新)NAS安全性上下文(步骤420)。在这种情况下,第二(新)NAS安全性上下文不同于第一NAS安全性上下文,其中用户设备14和源无线电接入网设备12-S之间的第一AS安全性上下文基于所述第一NAS安全性上下文。换句话说,至少如步骤420那样,如图5所示的第二(新)NAS安全性上下文是用户设备14和核心网络设备16已经转变成使用的NAS安全性上下文,但是基于该第二(新)NAS安全性上下文的(第二)AS安全性上下文尚未例如经由显式(专用)UE上下文修改过程而投入使用。如图5所示,在没有核心网络设备16直接参与的情况下,当发起第一切换过程430以用于用户设备14从源无线电接入网设备12-S到目标无线电接入网设备12-T的切换时,情况仍然是这样。事实上,在这些实施例中,即使用户设备14和核心网络设备16已经转变成使用第二(新)NAS安全性上下文,也使用基于第一NAS安全性上下文的第一AS安全性上下文来执行第一切换过程430。
然而,值得注意,核心网络设备16与切换过程430相关联地(例如,响应于切换过程430)执行信令24,以便向目标无线电接入网设备12-T发信号通知用户设备14和核心网络设备16之间的任何新NAS安全性上下文是否要被用作用户设备14和目标无线电接入网设备12-T(或者用户设备可以被切换到的不同无线电接入网设备)之间的AS安全性上下文的基础。如所示,例如,核心网络设备16可以与第一切换过程430相关联地响应于从目标无线电接入网设备12-T接收到路径转变请求450来执行信令24。信令24可以(例如,作为布尔字段)例如被包括在发送到目标无线电接入网络设备12-T的路径转变请求确认消息中。在一些实施例中,目标无线电接入网设备12-T又基于来自核心网络设备16的这个信令24,例如,在可以是小区内切换或无线电接入网设备间(例如Xn)切换的第二切换过程460期间或与第二切换过程460相关联地执行向用户设备14的信令26。信令26在任何情况下都可以指示NAS安全性上下文(AS安全性上下文基于该NAS安全性上下文)是否已经改变,或者用户设备14和核心网络设备16之间的任何新NAS安全性上下文是否要被用作AS安全性上下文的基础。在第二切换过程460期间,信令26可以例如作为密钥改变指示符被包括在RRC连接重新配置消息中。在任何情况下,基于该信令26,用户设备14可以确定是在第二切换过程430中使用第一AS安全性上下文(基于第一NAS安全性上下文)还是在切换过程430中使用第二AS安全性上下文(基于第二(新)NAS安全性上下文)。如所示,例如,用户设备14和目标无线电接入网设备12-T使用第二AS安全性上下文(基于第二(新)NAS安全性上下文)执行小区内切换作为第二切换(步骤470)。有利的是,在这种情况下,没有显式(专用)UE上下文修改过程需要被执行。
注意,本文执行信令24的核心网络设备16可以是源核心网络设备或目标核心网络设备,其中切换22涉及核心网络设备的改变。在核心网络设备16是目标核心网络设备的实施例中,信令24可以到用户设备14和/或无线电接入网设备(例如,切换22的目标无线电接入网设备)。在核心网络设备16是源核心网络设备的实施例中,信令24可以到切换22的目标核心网络设备,例如,由此目标核心网络设备又可以执行类似的信令,以便传播到用户设备14和/或无线电接入网设备。
还要注意,图1中所示的信令24可以采取任何多种方式实现。在一些实施例中,例如,信令24可以通过指示NAS安全性上下文18是否已经改变(例如,通过指示NAS安全性上下文已经改变或者NAS安全性上下文尚未改变)来指示是否要使用任何新NAS安全性上下文。在一个这种实施例中,信令24可以指示NAS安全性上下文18已经改变为不同于用户设备14和源无线电接入网设备之间的AS安全性上下文(即,当前活动的AS安全性上下文)所基于的NAS安全性上下文。在另一个这种实施例中,信令24可以指示NAS安全性上下文(AS安全性上下文要基于该NAS安全性上下文)是否已经改变。在又一些其他实施例中,信令24可以有效地指示哪个NAS安全性上下文(旧的或新的)要被用作AS安全性上下文的基础。在又一些其他实施例中,信令24可以发信号通知在切换过程中是否任何新NAS安全性密钥要被用作AS安全性密钥的基础。
进一步注意,上述设备可以通过实现任何功能部件、模块、单元或电路来执行本文的方法和任何其他处理。例如,在一个实施例中,设备包括配置成执行方法附图中所示的步骤的相应电路或电路系统。这些电路或电路系统在这方面可以包括专用于执行某些功能处理的电路和/或一个或多个微处理器连同存储器。例如,电路可以包括一个或多个微处理器或微控制器,以及其他数字硬件,其可以包括数字信号处理器(DSP)、专用数字逻辑等。处理电路可以被配置成执行存储在存储器中的程序代码,存储器可以包括一种或几种类型的存储器,诸如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪存装置、光存储装置等。在若干实施例中,存储在存储器中的程序代码可以包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于实行本文所述的一种或多种技术的指令。在采用存储器的实施例中,存储器存储程序代码,所述代码当由一个或多个处理器执行时,执行本文描述的技术。
至少在一些实施例中,如上所述的核心网络设备可以实现接入和移动性功能(AMF)。无论如何,核心网络设备可以通过实现任何功能部件或单元来执行本文的任何处理。例如,在一个实施例中,核心网络设备包括被配置成执行图2-5中任一图所示的任何步骤的相应电路或电路系统。这些电路或电路系统在这方面可以包括专用于执行某些功能处理的电路和/或一个或多个微处理器连同存储器。在采用存储器的实施例中,存储器可以包括一种或几种类型的存储器,诸如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪存装置、光存储装置等,存储器存储程序代码,所述程序代码当由一个或多个处理器执行时,实行本文描述的技术。
图6A图示了根据一个或多个实施例的核心网络设备500。核心网络设备500可以对应于例如本文讨论的执行信令24的核心网络设备16,或者可以接收这种信令24的任何其他核心网络设备(例如,目标核心网络设备)。无论如何,如所示,核心网络设备500包括处理电路510和通信电路520。通信电路520被配置成例如经由任何通信技术向一个或多个其他节点传送信息和/或从一个或多个其他节点接收信息。处理电路510被配置成诸如通过执行存储在存储器530中的指令来执行上面例如在图2-5的任一图中描述的处理。在这方面,处理电路510可以实现某些功能部件、单元或模块。
图6B图示了根据一个或多个其他实施例实现的核心网络设备600。核心网络设备600可以对应于例如本文讨论为执行信令24的核心网络设备16,或者可以接收这种信令24的任何其他核心网络设备(例如,目标核心网络设备)。无论如何,如所示,核心网络设备600例如经由图6A中的处理电路510和/或经由软件代码来实现各种功能部件、单元或模块。这些功能部件、单元或模块(例如用于实现图2-5中任一个图中的任何步骤)包括例如信令单元或模块610。在一些实施例中,信令单元或模块610用于:在用于用户设备14的切换的切换过程期间或与该切换过程相关联地从核心网络设备600发信号通知用户设备和核心网络设备600之间的任何新非接入层(NAS)安全性上下文是否要被用作用户设备14和无线电接入网设备之间的接入层(AS)安全性上下文的基础。然而,在其他实施例中,信令单元或模块610可以用于:在用于用户设备14的切换的切换过程期间或与该切换过程相关联地从(其他)核心网络设备接收信令,所述信令指示用户设备14和(其他)核心网络设备之间的任何新非接入层(NAS)安全性上下文是否要被用作用户设备14和无线电接入网设备之间的接入层(AS)安全性上下文的基础。无论如何,还可以包括用于执行切换过程的一些方面的切换单元或模块610。
图7A图示了根据一个或多个实施例实现的用户设备14。如所示,用户设备14包括处理电路700和通信电路710。通信电路710(例如无线电电路)被配置成例如经由任何通信技术向一个或多个其他节点传送信息和/或从一个或多个其他节点接收信息。这种通信可以经由用户设备14内部或外部的一个或多个天线发生。处理电路700被配置成诸如通过执行存储在存储器720中的指令来执行上述处理。在这方面,处理电路700可以实现某些功能部件、单元或模块。
图7B图示了根据又一些其他实施例的无线网络中的用户设备14的示意框图。如所示,用户设备14例如经由图7A中的处理电路700和/或经由软件代码来实现各种功能部件、单元或模块。这些功能部件、单元或模块(例如,用于实现本文的(一种或多种)方法)包括例如信令单元或模块800以用于接收上述信令24,即,用于:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备600接收信令,所述信令指示用户设备14和核心网络设备600之间的任何新非接入层(NAS)安全性上下文是否要被用作用户设备14和无线电接入网设备之间的接入层(AS)安全性上下文的基础。还可以包括:确定单元或模块810,用于基于信令来确定要用作AS安全性上下文的基础的NAS安全性上下文;以及使用单元或模块820,用于使用作为基于所确定的NAS安全性上下文的AS安全性上下文。
类似地,如上所述的无线电接入网设备可以通过实现任何功能部件或单元来执行本文的任何处理。例如,在一个实施例中,无线电接入网设备包括被配置成执行图3-5中任一图所示的任何步骤的相应电路或电路系统。这些电路或电路系统在这方面可以包括专用于执行某些功能处理的电路和/或一个或多个微处理器连同存储器。在采用存储器的实施例中,存储器可以包括一种或几种类型的存储器,诸如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪存装置、光存储装置等,存储器存储程序代码,所述程序代码当由一个或多个处理器执行时,实行本文描述的技术。
图8A图示了根据一个或多个实施例的无线电接入网设备900。无线电接入网设备900可以对应于上面讨论的任何无线电接入网设备(例如,目标无线电接入网设备12-T)。如所示,无线电接入网设备900包括处理电路910和通信电路920。通信电路920被配置成例如经由任何通信技术向一个或多个其他节点传送信息和/或从一个或多个其他节点接收信息。处理电路910被配置成诸如通过执行存储在存储器930中的指令来执行上面例如在图4中描述的处理。在这方面,处理电路910可以实现某些功能部件、单元或模块。
图8B图示了根据一个或多个实施例实现的无线电接入网设备1000。无线电接入网设备900可以对应于上面讨论的任何无线电接入网设备(例如,目标无线电接入网设备12-T)。如所示,无线电接入网设备1000例如经由图8A中的处理电路910和/或经由软件代码来实现各种功能部件、单元或模块。这些功能部件、单元或模块(例如,用于实现图3-5的任一图中的任何步骤)包括例如信令单元或模块1010以用于接收上述信令24,即,用于:在用于用户设备的切换的切换过程期间或与切换过程相关联地从核心网络设备16接收信令,所述信令指示用户设备14和核心网络设备16之间的任何新非接入层(NAS)安全性上下文是否要被用作用户设备14和无线电接入网设备之间的接入层(AS)安全性上下文的基础。还可以包括:确定单元或模块1020,其用于基于信令来确定要用作AS安全性上下文的基础的NAS安全性上下文;以及使用单元或模块1030,其用于使用基于所确定的NAS安全性上下文的AS安全性上下文。
本领域技术人员还将理解,本文的实施例进一步包括对应的计算机程序。
计算机程序包括指令,所述指令当在被配置成供无线通信系统中使用的设备的至少一个处理器上执行时,使该设备实行上述相应处理中的任何处理。在这方面,计算机程序可以包括对应于上述部件或单元的一个或多个代码模块。
实施例进一步包括含有这种计算机程序的载体。该载体是电子信号、光信号、无线电信号或计算机可读存储介质之一。
在这方面,本文的实施例还包括计算机程序产品,所述计算机程序产品存储在非暂时性计算机可读(存储或记录)介质上,并且包括指令,所述指令当由无线电接入网设备12或用户设备14的处理器执行时,使无线电接入网设备12或用户设备14如上所述的那样执行。
实施例进一步包括计算机程序产品,该计算机程序产品包括程序代码部分,其用于当计算机程序产品由无线电接入网设备12或用户设备14执行时执行本文任何实施例的步骤。该计算机程序产品可以被存储在计算机可读记录介质上。
现在将描述附加实施例。出于说明性目的,这些实施例中的至少一些可以被描述为可应用于某些上下文和/或无线网络类型(例如5G),但是这些实施例类似地应用于未明确描述的其他上下文和/或无线网络类型。因而,以下实施例可以是上述实施例的特定示例和/或以其他方式与上述实施例可组合。
现在考虑5G网络及其安全性的简要概述。3GPP TS 23.501描述了5G网络架构。5G网络的精简的简化版本如图9所示。
UE(用户设备)30是由用户用于无线地接入该网络的移动装置。UE 30可以对应于图1中的用户设备14。无线电接入网功能或称为gNB(下一代节点B)的基站32负责向UE 30提供无线无线电通信并将UE 30连接到核心网络。gNB 32可以对应于图1中的无线电接入网设备12。称为AMF(接入和移动性管理功能)的核心网络功能34负责处置UE 30的移动性还有其他责任。AMF 34可以对应于图1中的CN设备16。称为SMF(会话管理功能)的另一个核心网络功能36负责处置UE 30的会话和业务引导还有其他责任。
UE 30使用无线电接口通过空中与gNB 32交互。gNB 32又使用称为N2的接口与AMF34交互。AMF 34和SMF 36之间的接口称为N11。gNB使用Xn接口相互交互。类似地,AMF使用N14接口相互交互。
UE 30和AMF 34之间的逻辑方面被称为NAS(非接入层),以及UE 30和gNB 32之间的逻辑方面被称为AS(接入层)。对应地,通信(控制平面和用户平面(如果适用的话))的安全性分别被称为NAS安全性和AS安全性。
当在UE 30和AMF 34之间建立安全性状态时,它们二者都存储相关安全性数据,例如,NAS安全性密钥、安全性密钥标识符、安全性能力、各种计数器等。在UE 30和AMF 34之间包括安全性数据的这种安全性状态被称为NAS安全性上下文。类似地,AS安全性上下文指的是包括UE 30和gNB 32之间的安全性数据的安全性状态。
基础密钥被称为K_AMF,NAS安全性上下文基于所述基础密钥。根据这个K_AMF,进一步的密钥导出得到了用于提供NAS消息(主要是控制平面)的机密性和完整性保护的其它密钥。K_AMF还用于导出另一个基础密钥,称为K_gNB,AS安全性上下文基于所述另一个基础密钥。根据这个K_gNB,进一步的密钥导出得到用于提供AS消息(控制平面和用户平面两者)的机密性和完整性保护的其它密钥。
考虑NAS和AS安全性上下文之间的下一次同步。如早期所述,围绕称为NAS安全性上下文和AS安全性上下文的两种安全性状态构建UE业务的安全性。NAS安全性上下文在UE30和AMF 34之间共享,并且AS安全性上下文在UE 30和gNB 32之间共享。K_AMF是用于NAS安全性上下文的基础密钥,并且K_gNB是用于AS安全性上下文的基础密钥。因为K_gNB是从K_AMF导出的,所以一般来说,AS安全性上下文是从NAS安全性上下文导出的。注意,当层级被视为树时,术语基础密钥并不意味着该密钥是整个密钥层级的根。相反,该术语指示该密钥是以密钥K为根的总密钥层级中的子树的基础(或根),密钥K是特定于特定预订的密钥。在用户侧,密钥K被存储在通用订户身份模块(USIM)上,至少直到LTE(长期演进)系统是如此。
在时间过程期间,例如作为运行认证过程的结果,UE 30和AMF 34可以将共享的K_AMF从旧的K_AMF改变为新K_AMF。在K_AMF已经改变之后,在UE 30和AMF 34之间的NAS业务的安全性可以开始使用新K_AMF。换句话说,新K_AMF变成活动K_AMF。
然而,由于AMF 34和gNB 32是不同的网络功能,所以K_AMF的改变对于gNB 32来说不是自动已知的,这意味着gNB 32中的K_gNB仍然是从旧K_AMF导出的那一个。这也意味着,在UE 30和gNB 32之间的AS业务的安全性是基于从旧K_AMF导出的K_gNB。换句话说,活动K_gNB基于旧K_AMF。这被称为K_gNB与K_AMF不同步,这意味着活动K_gNB基于旧K_AMF。
因此,每当K_AMF已经改变时,就需要由AMF 34向gNB 32和UE 30发起显式UE上下文修改过程39(如图10所示),使得基于活动K_AMF导出新K_gNB 。在密钥改变机制完成后,这被称为K_gNB与K_AMF同步,这意味着活动K_gNB基于活动K_AMF。
UE上下文修改过程39属于N2接口,并且在3GPP TS 38.413中规定了。注意,3GPPTS 38.413使用术语“NG”代替“N2”,并且对应地,协议栈被称为NGAP(下一代应用协议)。该过程一般由AMF 34发起,以修改所建立的UE上下文。该修改可能与安全性或其他类型的参数(例如,无线电参数)相关。因此,在此消息中包括安全性数据是可选的。由AMF 34发送的消息被称为UE上下文修改请求消息40。当修改与安全性相关时(即,使K_gNB与K_AMF同步),消息40除了其他数据还包括新K_gNB和UE安全性能力。
如图10所示,gNB 32执行UE 30的小区内切换过程42,以改变活动K_gNB,即,将新K_gNB投入使用。gNB 32在此后可以发送UE上下文修改响应44以确认所执行的UE上下文更新。
接下来将简要描述5g中的切换过程。3GPP规范TS 23.502、TS 38.413和TS 38.423描述了5G系统中的切换过程的各个方面。注意,5G规范工作正在进行,并且每当该规范缺少一些信息时,它将被假定为与4G或LTE(长期演进)系统类似地工作。
其中gNB服务于UE的最小覆盖区域被称为小区。一个gNB通常服务于不止一个小区。当UE从一个小区移动到另一个小区,同时具有活动无线电连接,即,处于RRC_CONNECTED模式时,源小区准备与UE相关的信息并将其切换到目标小区,使得目标小区能开始服务于UE。这种切换机制直观上被称为切换过程。换句话说,切换过程为正在从一个小区移动到另一个小区的UE提供移动性支持。一般来说,存在如下3种类型的切换,并且在图11A-11C图示。
第一种类型是图11A所示的小区内切换。当源小区和目标小区相同并且由相同的gNB服务时,则小区内通信全都在该gNB内部,其中对应的切换被称为小区内切换。也可能发生源小区和目标小区不同但由相同的gNB服务的情况。这种切换可能被称为gNB内切换。但是出于本文的目的,该描述不需要区分小区内和gNB内切换。
第二种类型是Xn切换,如图11B所示。当源小区和目标小区属于不同的gNB,并且那些gNB在它们之间具有Xn接口时,则经由Xn接口进行小区间通信,其中对应的切换被称为Xn切换。
第三种类型是图11C所示的N2切换。当在gNB之间没有Xn接口时,AMF促进该切换,其中对应的切换被称为N2切换。在N2切换期间,也可能发生源小区/gNB和目标小区/gNB属于不同AMF的情况。这种切换仍被称为N2切换。然而,还将存在经由N14接口的附加AMF间通信。
类似于LTE系统,不管切换属于小区内、Xn还是N2类型,UE行为都可能是统一的。
当前存在某(一个或多个)挑战。NAS和AS安全性上下文之间的同步,即,UE上下文修改过程39的执行,可能具有与切换过程的竞争条件。更具体地,当UE上下文修改过程39和Xn/N2切换正并发发生时,可能存在不期望的情况,这可能引起NAS和AS安全性上下文之间的不匹配(即,可能导致K_gNB与K_AMF不同步)。
避免这种竞争条件需要特定的规则,这些规则确定在特定的情况下哪个过程优先,以及gNB 32和AMF 34如何行动。这种规则不是最优解决方案,因为它们要求维持由于竞争条件而引起的不想要的附加状态,并且在核心网络和无线电网络两者中引入不想要的附加信令。此外,并发处置规则增加了系统设计和实现二者的复杂度。复杂度的结果是,它使得系统更难分析,并且引入了不正确实现的风险。所部署系统的安全性保障因此被降低,这是不期望的。
本公开及其实施例的某些方面可以提供对这些或其他挑战的解决方案。一些实施例包括用于在切换时在NAS和AS安全性上下文之间快速同步的机制。
例如,在来自AMF侧的N2切换(单个AMF)中,AMF 34可以执行用于减少切换次数的方法。该方法可以包括决定触发第一切换以修改AS安全性上下文。第一切换要在第一gNB发起。AS安全性上下文当前基于第一AS安全性上下文。但是,AS安全性上下文的修改导致AS安全性上下文基于第二NAS安全性上下文。在这方面,该方法进一步包括从第一gNB接收触发AMF促进到第二gNB的第二切换的请求。该方法然后进一步包括:通过向第二gNB发送包括指示的消息来促进第二切换,该指示使第二gNB能够向UE传达是基于第一NAS安全性上下文还是第二NAS安全性上下文来导出新AS安全性上下文。在一些实施例中,该方法可以进一步包括不触发第一切换。
某些实施例可以提供以下(一个或多个)技术优势中的一个或多个。与现有解决方案相比,一些实施例提供了用于在切换时快速同步NAS和AS安全性上下文的更简单机制。这种简单性来自于特殊情况并发处置规则数量的减少、核心网络和RAN之间信令的减少(为重新获得同步而执行的NGAP过程的实际数量减少)和/或更简单的状态管理(核心网络不再需要维持和转移多个版本的NAS安全性上下文)。
更特别地,一些实施例设法避免例如在5G中由并发运行的UE上下文修改和N2切换过程引起的竞争条件。这种竞争条件的后果将是K_gNB可能与K_AMF不同步,这是不可接受的。因此,5G需要一种方式来处置竞争条件。
一种可能的方式将是改编4G或LTE(长期演进)中的机制。那将意味着,将使用3GPPTS 33.401(关于安全性过程的并发运行的规则)中描述的相关规则。在5G场景中,相关规则将如下所述:
作为规则#3的改编,当UE和AMF已经将新K_AMF投入使用时,AMF将继续在N2切换过程中使用基于旧K_AMF的旧K_gNB,直到AMF借助于UE上下文修改过程将从新K_AMF导出的新K_gNB投入使用。
作为规则#4的改编,当UE和AMF已经将新K_AMF投入使用时,UE将继续在N2切换过程中使用基于旧K_AMF的K_gNB,直到目标gNB和UE执行小区内切换以将从新K_AMF导出的新K_gNB投入使用。
作为规则#8的改编,当UE和源AMF已经将新K_AMF投入使用,但是源AMF还没有成功执行UE上下文修改过程时,源AMF将向目标AMF发送旧NAS安全性上下文(包括旧K_AMF)和新NAS安全性上下文(包括新K_AMF)两者。这发生在涉及AMF改变的N2切换期间。
作为规则#9的改编,当目标AMF接收到旧NAS安全性上下文(包括旧K_AMF)和新NAS安全性上下文(包括新K_AMF)两者时,然后目标MME将在NAS过程中使用新K_AMF,但是对于AS安全性相关参数将继续使用旧K_AMF,直到UE上下文修改过程完成。这发生在涉及AMF改变的N2切换期间。
图12图示了实现上述规则的序列图。为简单起见,该图仅示出了涉及单个AMF的N2切换。如所示,AMF 34激活被称为旧K_AMF的NAS密钥(步骤1100)。然后,UE 30和源gNB 32-S基于旧K_AMF激活被称为旧K_gNB的AS密钥(步骤1110)。然后,在UE 30和AMF 34之间执行认证过程,导致激活被称为新K_AMF的新NAS密钥,即,作为新NAS安全性上下文的一部分(步骤1120)。然后,AMF 34准备向源gNB 32-S发送UE上下文修改请求消息,以便提示源gNB 32-S和UE 30将AS安全性建立在新激活的NAS密钥、新K_AMF基础上(步骤1130)。然而,同时,源gNB 32-S准备执行到目标gNB 32-T的N2切换(步骤1140),并且向AMF 34发送要求切换消息(作为N2切换的一部分)(步骤1150)。这在步骤1160创建了竞争条件。在该示例中,由于竞争条件,AMF 34不向源gNB发送UE上下文修改请求消息。取而代之,使用基于旧K_AMF的旧K_gNB来执行N2切换(步骤1165)。结果,AMF 34准备向目标gNB发送“UE上下文修改请求”消息(步骤1170),并相应地发送该消息(步骤1175)。然后,在UE 30和目标gNB 32-T之间执行小区内切换,从而得出基于新K_AMF的新活动AS密钥,称为新K_gNB(步骤1180)。目标gNB 32-T然后可以发送确认对UE上下文的修改的UE上下文修改响应(步骤1190)。
如果LTE中的机制适合于5G,则这是处置UE上下文修改和N2切换过程之间的竞争条件的次优方式。NAS安全性基于活动的K_AMF,并且AS安全性基于旧K_AMF。因此,AMF 34必须维持多个NAS安全性上下文,一个基于活动的K_AMF,而另一个基于旧K_AMF。此外,虽然为了简单起见未在图中示出,但是当正在进行的N2切换要求AMF的改变时,维持多个NAS安全性上下文带来了进一步的复杂问题。这发生在源gNB由源AMF服务以及目标gNB由目标AMF服务时。在这种情况下,源AMF需要将旧的和新的NAS安全性上下文两者转移到目标AMF。目标AMF变为负责执行UE上下文修改过程,并且直到成功为止,AS安全性都基于旧NAS安全性上下文,而NAS安全性基于新NAS安全性上下文。另外,虽然3GPP尚未做出决定,但是能使得源AMF在将NAS安全性上下文转移到目标AMF之前执行水平密钥导出,这意味着源AMF将单向函数(像散列或KDF)(3GPP中使用的密钥导出函数)应用于K_AMF,从而得出另一个密钥,比如K_AMF*,并将K_AMF*转移到目标AMF。一起处置旧的和新的NAS安全性上下文和水平密钥导出进一步增加了复杂度。此外,恰好在N2切换完成之后,还有另一个小区内切换,这在N2和无线电接口中引起不想要的附加信令。在5G中,当存在大量UE并且快速递送服务至关重要时,上述处置竞争条件的次优方式并不是最合适的。因此,需要一种更恰当且得体的方法。
图13图示了用于处置UE上下文修改和N2切换过程之间的竞争条件的一些实施例。特别地,图13图示了根据一些实施例的方法,其中在涉及单个AMF的N2切换期间,AMF对于正在进行的N2切换使用基于新K_AMF的新K_gNB。如所示,例如,不是使用基于旧K_AMF的旧K_gNB来执行N2切换(如图12的步骤1165),而是使用基于新K_AMF的新K_gNB来执行N2切换(步骤1195)。新的效果是,为了使基于新K_AMF的新K_gNB有效,不再需要AMF 34执行UE上下文修改过程,也不再需要目标gNB 32-T执行小区内切换过程。因此,前面提到的所有次优问题都得到解决。
然而,注意,触发UE 30转变成目标gNB 32-T的消息被称为RRC连接重新配置消息,其由目标gNB 32-T发送并透明地递送给UE 30。RRC连接重新配置消息包括称为keyChangeIndicator的布尔(BOOLEAN)字段,顾名思义,它通知UE在正在进行的切换期间,新K_AMF供导出K_gNB中使用。这意味着目标gNB 32-T具有通知UE 30关于使用新K_AMF的机制。因此,当目标gNB 32-T从AMF 34接收到UE上下文修改请求消息时,它能够将keyChangeIndicator的值设置为TRUE(真)。但是在N2切换期间,目标gNB 32-T不知道AMF34是否已经开始使用基于新K_AMF的新K_gNB,这意味着目标gNB 32-T不能将keyChangeIndicator的值设置为TRUE。
为了解决这个障碍,在一些实施例中,AMF 34向目标gNB 32-T指示(例如,如上所述的信令24)新K_AMF是否正在被用于K_gNB。该指示(例如,信令24)可以显式实现,例如,可能被称为K_AMF_CHANGE_INDICATOR或新安全性上下文指示符(NSCI)的单独布尔字段。备选地,该指示可以隐式实现,例如,根据曾使用旧的还是新的K_AMF来发送不同数据。发送不同数据的示例可能是例如,当曾使用新K_AMF时发送新K_gNB,以及当曾使用旧K_AMF时,发送可能用于导出K_gNB的中间值。中间值的示例可能是下一跳链(chaining)计数器(NCC)和下一跳(NH),即{NCC,NH}对。通过这样做,目标gNB 32-T知道AMF 34是否已经使用新K_AMF。因此,目标gNB 32-T变为能够相应地将keyChangeIndicator字段的值设置为TRUE或FALSE。最后,基于由目标gNB 32-T设置的keyChangeIndicator的值,UE 30知道使用哪个K_AMF。
在又一种解决障碍的方式中,一些实施例重用具有特殊含义的现有字段,例如,为{NCC,NH}对的NCC部分预留像0或7这样的特殊值,以指示使用新K_AMF,这意味着NH要被用作新K_gNB。在又一种方式中,一些实施例引入了新指示符(例如,布尔标志)(例如,作为信令24),其从AMF 34透明地转移到UE 30,使得中间目标和源gNBs简单地将该标志(可能在无线电资源控制消息内)转移到UE 30,并且UE 30相应地行动。
图14示出了一些实施例,其中AMF 34在作为正在进行的N2切换的切换资源分配过程的一部分的“N2切换请求”消息1200中,将NSCI连同{NCC,NH}对一起(例如,作为信令24)发送到目标gNB。切换资源分配过程(在3GPP TS 38.413中描述)由AMF 34发起,作为在目标gNB 32-T预留资源的N2切换的一部分。由AMF 34发送的消息被称为切换请求消息。对于5G,切换请求消息的内容尚未最终确定。但是,它极有可能包含与4G或LTE(长期演进)中类似的数据。在其他数据当中,该消息将有可能包括UE安全性上下文和UE安全性能力。UE安全性上下文将有可能包含下一跳链计数器(NCC)和下一跳(NH),即{NCC,NH}对,这使目标gNB能够导出K_gNB并将K_gNB投入使用。无论如何,如图14所示,作为响应,目标gNB 32-T可以向AMF34发送切换请求确认消息1210。
现在描述根据一些实施例可以如何使用K_gNB和{NCC,NH}对。尽管对于5G来说,K_gNB和{NCC,NH}对是如何导出的尚未最终确定,但有可能会使用一种类似的机制,在LTE中通常被称为密钥链。密钥链机制不仅在切换时起作用,而且在UE进入“活动”模式时进行初始化,并且然后从彼此导出密钥,使得它们在各种移动性事件(例如,切换)时形成“链”。如果将在5G中使用密钥链,则将在“空闲”到“活动”转变时通过AMF将KDF(在3GPP中使用的密钥导出函数)与一些新参数(其在LTE中曾是NAS上行链路计数)一起应用于新K_AMF来导出称为K_gNB_initial的临时密钥而发起密钥改变。K_gNB_initial与初始化为“0”的NCC值相关联。然后,AMF通过将KDF应用于K_gNB_initial和新K_AMF来导出称为NH_1的临时的NH值。NH_1与从“0”递增到“1”的NCC值相关联。同样,AMF通过将KDF应用于NH_1和新K_AMF导出另一个称为NH_2的NH值。NH_2与从“1”递增到“2”的NCC值相关联。因此,N2切换请求中的{NCC,NH}对是{ '2', NH_2}。gNB通过将KDF应用于接收到的NH_2和一些参数(这些参数在LTE中曾是物理小区标识符和下行链路频率信息)来导出K_gNB。另一个(优选的)备选方案是,N2切换请求中的{NCC,NH}对是{'0',K_gNB_initial}。因此,gNB可能直接使用接收到的NH值,即K_gNB_initial,作为K_gNB。在这个备选方案中,AMF没有导出像前面所提到的NH_1和NH_2那样的另外值,并且UE也具有与AMF相同的密钥导出机制。不管怎样,从AMF发送到gNB的密钥材料从更高级的密钥K_AMF导出。
此外,从目标gNB 32-T返回AMF 34的确定或确认1210(类似于由UE上下文修改响应提供的那一个,其意味着UE上下文更新成功了)可以隐式或显式地完成。作为N2切换的一部分,目标gNB 32-T向AMF 34发送切换通知消息,以通知AMF 34在目标gNB 32-T中已经标识UE 30,并且N2切换已经完成。隐式确认的示例是,AMF使用切换通知作为基于新K_AMF的新K_gNB已经就位的确认。显式确认的一个示例是目标gNB 32-T在切换通知中发送显式指示或者向AMF 34发送单独的消息。类似地,由目标gNB 32-T向AMF 34发送的通知切换已经失败的切换失败消息、切换失败消息中的显式字段或单独的消息可能用于向AMF 34提供类似于由UE上下文修改失败消息提供的指示,其意味着UE上下文更新曾未成功。类似地,由源gNB 32-S发送到AMF 34的通知切换已经被取消的切换取消消息、切换取消消息中的显式字段或单独的消息可用于向AMF 34提供类似于由UE上下文修改失败消息提供的指示,其意味着UE上下文更新曾未成功。在切换失败的情况下,UE的行为可能类似于在LTE系统中的行为,即,丢弃作为切换的一部分接收到的keyChangeIndicator和NCC值,并且使用旧K_gNB执行RRC连接重建过程。在切换失败的情况下,AMF的行为也可以类似于LTE系统中的那样,即,运行涉及UE 30的NAS安全性模式命令过程。UE上下文修改和N2切换过程之间的任何进一步的竞争条件然后都将遵循如早期所述的相同机制。
图15图示了另一个实施例,其中在涉及AMF改变(即,涉及源AMF 34-S和目标AMF34-T)的N2切换期间,源AMF 34-S向目标AMF 34-T发送活动NAS安全性上下文(包括活动K_AMF)连同目标AMF 34-T能从中导出或推断出NSCI值的指示符。例如,图15示出了源AMF 34-S向目标AMF 34-T发送包括NCSI的前向重定位请求消息1300。注意,指示符的缺失可以被用于向目标AMF 34-T发信号通知NSCI的特定值。源AMF 34-S因此可以避免将旧NAS安全性上下文(包括旧K_AMF)发送到目标AMF 34-T。然后,目标AMF 34-T将与目标gNB 32-T通信,与如早期所述的类似,即,优选地,目标AMF 34-T将NSCI(例如,作为信令24)连同{NH,NCC}对一起发送到目标gNB 32-T。注意,3GPP尚未正式决定两个AMF之间的N14接口是否将使用如在LTE中两个MME(移动管理实体)之间的S10接口中所使用的GTPv2、GPRS(通用分组无线电服务)隧道协议版本2。图15示出的是假定在5G的N14接口中将使用与LTE的S10接口类似的机制。S10接口在3GPP TS 29.274中有规定。
此外,在图15的上下文中讨论了成功或失败指示。目标AMF 34-T从目标gNB 32-T得到成功或失败指示(对应于UE上下文修改响应和UE上下文修改失败),如前所述。目标AMF34-T然后能隐式或显式地将消息传递给源AMF 34-S。使用隐式指示的示例可以是使用目标AMF 34-T和源AMF 34-S之间的现有消息来指示成功或失败的切换,诸如使用从目标AMF34-T到源AMF 34-S的前向重定位完成通知消息1310作为成功的指示。显式指示的示例可以是在现有消息中使用新消息或新字段。假如源AMF 34-S例如根据来自源gNB 32-S的切换取消消息预先知道切换失败,则源AMF 34-S可以类似于在LTE系统中那样例如通过发送重定位取消消息来通知目标AMF 34-T。在切换失败的情况下,UE和源AMF的行为可类似于前面所描述的LTE系统中的行为。
考虑将N2切换的一个特定实现作为示例。在接收到要求切换消息时,源AMF 34-S应将其本地保存的NCC值增加1,并使用函数从其存储的数据中计算新NH。源AMF 34-S应使用来自当前活动5GS NAS安全性上下文的KAMF来计算新的NH。源AMF 34-S将在N14前向重定位请求消息1300中向目标AMF 34-T发送新的{NH,NCC}对。N14前向重定位请求消息1300此外应包含曾用于计算新{NH,NCC}对及其对应nKSI的KAMF。如果源AMF 34-S已经用新KAMF激活了新5GS NAS安全性上下文,其不同于5GS NAS安全性上下文(当前活动的5GS AS安全性上下文基于所述5GS NAS安全性),但是尚未成功地执行UE上下文修改过程,则N14前向重定位请求消息1300此外应包含NSCI(新安全性上下文指示符),这意味着发送的KAMF是新的一个。在这种情况下,源AMF 34-S应从最近的NAS安全模式完成消息中的上行链路NAS COUNT和新的KAMF中导出新的KgNB。源AMF 34-S应将新KgNB与初始化为值“0”的新NCC相关联。然后,源AMF34-S应通过应用密钥导出函数,从新KAMF和新KgNB中导出新NH,并将NCC值增加1(即NCC='1')。然后,源AMF 34-S应通过应用密钥导出函数,从新的KAMF和之前的NH中导出第二新的NH,并将NCC值增加1(即NCC= '2')。
目标AMF 34-T应在本地存储从源AMF接收到的{NH,NCC}对。目标AMF 34-T然后应在N2切换请求消息内向目标gNB 32-T发送接收到的{NH,NCC}对和NSCI(如果这个也曾接收到的话)。在从目标AMF 34-T接收到N2切换请求消息时,目标gNB 32-T应通过用N2切换请求中的新{NH,NCC}对和目标NR-PCI及其频率NR-EARFCN-DL执行密钥导出来计算要与UE 30一起使用的KgNB。目标gNB 32-T应将从目标AMF 34-T接收到的NCC值与KgNB相关联。目标gNB32-T应将来自接收到的{NH,NCC}对的NCC值包括到去往UE 30的RRCConnectionReconfiguration消息中,并且移除任何现有的未使用的、存储的{NH,NCC}对。如果目标gNB 32-T已经接收到NSCI,则它应将RRCConnectionReconfiguration消息中的keyChangeIndicator字段设置为真。
注意,源AMF 34-S可以与以上描述中的目标AMF 34-T相同。如果是,则单个AMF 34执行源和目标AMF两者的角色,即,AMF计算并存储新{NH,NCC}对和NSCI(如果需要的话),并将其发送到目标gNB 32-T。在这种情况下,与N14消息相关的动作在单个AMF中内部处置。
鉴于以上所述,图16示出了根据一些实施例的方法1400,例如,如核心网络设备16或实现AMF的设备所执行的方法。如所示,方法1400包括确定与NAS安全性上下文(当前活动的AS安全性上下文基于该NAS安全性上下文)不同的新NAS安全性上下文(例如,具有新KAMF的新5G NAS安全性上下文)已经被激活,并且UE上下文修改过程尚未被成功执行(框1410)。方法1400进一步包括,例如,响应于该确定,传送包含来自新NAS安全性上下文的密钥(例如,新KAMF)并且包含指示该密钥是新的指示符的消息(例如,前向重定位请求消息)(框1420)。该指示符可以例如采取新安全性上下文指示符NSCI的形式,或者采取密钥改变指示符的形式。在一些实施例中,可以在接收到切换要求消息之后或响应于接收到切换要求消息来执行确定和消息传输(框1405)。备选地或附加地,方法1400可以进一步包括激活新NAS安全性上下文(框1402)。
在一些实施例中,图16中的消息可以被发送到切换的目标核心网络设备或者实现切换的目标AMF的设备。图17图示了根据一些实施例在这种情况下的方法1500,例如,由目标核心网络设备或实现目标AMF的设备所执行的方法。如所示,方法1500包括接收包含来自新NAS安全性上下文的密钥(例如,新KAMF)并且包含指示该密钥是新的指示符的消息(例如,前向重定位请求消息)(框1510)。该指示符可以例如采取新安全性上下文指示符NSCI的形式,或者采取密钥改变指示符的形式。无论如何,方法1500可以进一步包括在切换请求消息内将指示符发送到目标无线电接入网设备(例如,目标gNB)(框1520)。
然而,如上所述,在一些实施例中,源和目标核心网络设备(例如,源和目标AMF)可以是相同的。图18图示了在这种情况下执行的方法1600,例如由核心网络设备16或实现AMF的设备所执行的方法。如所示,方法1600包括确定与NAS安全性上下文(当前活动的AS安全性上下文基于所述NAS安全性上下文)不同的新NAS安全性上下文(例如,具有新KAMF的新5GNAS安全性上下文)已经被激活,并且UE上下文修改过程尚未被成功执行(框1610)。方法1600进一步包括,例如,响应于该确定,向目标无线电接入网设备(例如,目标gNB)传送切换请求消息,其包含指示NAS安全性上下文的密钥是新的指示符(框1620)。该指示符可以例如采取新安全性上下文指示符NSCI的形式,或者采取密钥改变指示符的形式。在一些实施例中,可以在接收到切换要求消息之后或响应于接收到切换要求消息来执行确定和消息传输(框1605)。备选地或附加地,方法1400可以进一步包括激活新NAS安全性上下文(框1602)。
无论如何,图19图示了根据一些实施例由目标无线电接入网设备执行的方法。方法1700包括接收切换请求消息,其包含指示NAS安全性上下文的密钥是新的指示符(框1710)。该指示符可以例如采取新安全性上下文指示符NSCI的形式,或者采取密钥改变指示符的形式。方法1700还包括基于切换请求消息中的指示符来设置RRC连接重新配置消息的密钥改变指示符字段(例如,作为切换命令消息的一部分)(框1720)。例如,如果切换请求消息包括该指示符,则密钥改变指示符字段可以被设置为真。无论如何,所示的方法1700进一步包括传送RRC连接重新配置消息(框1730)。
最后,描述了根据一些实施例可如何处置UE上下文修改和Xn切换过程之间的竞争条件。Xn切换不同于N2切换,因为只有在源gNB和目标gNB之间经由Xn接口已经执行了切换之后,才涉及AMF。在3GPP TS 23.502中描述了Xn切换。
类似于N2切换情况,使在3GPP TS 33.401中描述的相关规则(关于安全性过程的并发运行的规则)适合于Xn切换情况将导致次优解决方案。这种情况下的竞争条件是,在AMF 34向源gNB 32-S发送UE上下文修改请求消息之前,AMF 34从目标gNB 32-T接收路径转变请求消息。作为N2路径转变请求过程的一部分的路径转变请求消息在3GPP TS 38.413中描述。在次优解决方案中,AMF 34然后不向源gNB 32-S发送UE上下文修改请求消息;取而代之,它向目标gNB 32-T发送路径转变请求确认消息(在3GPP TS 38.413中描述)。在完成Xn切换之后,AMF 34然后将与目标gNB 32-T执行UE上下文修改过程,并且目标gNB 32-T又将与UE执行小区内切换。
图20图示了用于在Xn切换情况下处置这种竞争条件的一些实施例。如所示,在如上所述的步骤1120中,在激活新NAS密钥、新K_AMF之后,使用基于旧K_AMF的旧K_gNB来准备和执行Xn切换(步骤1800)。当AMF 34正准备向源gNB发送UE上下文修改请求消息(步骤1810)时,考虑到新激活的NAS密钥,AMF 34从目标gNB 32-T接收用于Xn切换的“路径转变请求”消息(步骤1820)。结果,存在竞争条件,并且在该示例中,AMF 34不向源gNB发送UE上下文修改请求(步骤1830)。取而代之,在一个或多个实施例中,在作为N2路径转变请求过程的一部分的路径转变请求确认消息中,AMF 34将NSCI(例如,作为信令24)连同{NCC,NH}对一起发送到目标gNB 32-T(步骤1840)。在其他实施例中,如前所述,现有字段以特殊含义被重用。
目标gNB 32-T从AMF 34接收NSCI值和{NCC,NH}对,并且然后在一些实施例中,立即执行小区内切换,或者由于某种原因,如快速移动的UE,执行又一个Xn切换。目标gNB 32-T根据NSCI值在RRC连接重新配置消息中设置keyChangeIndicator(步骤1850)。AMF 34不再需要执行附加UE上下文修改过程。目标gNB 32-T可以向AMF 34发送显式的成功或失败指示,以传达与通过UE上下文修改响应和UE上下文修改失败消息类似的信息。这种显式指示的示例可以是在路径转变请求过程中引入新消息,比如路径转变请求完成消息。指示也可以是隐式的,例如——没有从目标gNB 32-T接收到任何失败消息意味着成功。
鉴于以上所述,图21示出了根据一些实施例的方法1900,例如,如核心网络设备16或实现AMF的设备所执行的方法。如所示,方法1900包括从目标无线电接入网设备(例如,目标gNB)接收路径转变请求消息(框1905)。方法1900还包括确定已经激活了新NAS安全性上下文(例如,具有新KAMF的新5G NAS安全性上下文),例如,其不同于当前活动AS安全性上下文所基于的NAS安全性上下文(框1910)。尽管未示出,但是在一些实施例中,该确定还可以包括确定尚未成功执行UE上下文修改过程。方法1900进一步包括,例如,响应于该确定,向目标无线电接入网设备传送包含新安全性上下文指示符NSCI的路径转变请求确认消息(框1920)。例如,NSCI可以指示新NAS安全性上下文已经被激活。在一些实施例中,方法1900可以进一步包括激活新NAS安全性上下文(框1902)。
图22图示了根据一些实施例的例如由目标核心网络设备或实现目标AMF的设备所执行的方法2000。如所示,方法2000包括接收包含新安全性上下文指示符NSCI的路径转变请求确认消息(框2010)。例如,NSCI可以指示新NAS安全性上下文已经被激活。无论如何,方法2000可以进一步包括基于NSCI设置RRC连接重新配置消息的密钥改变指示符字段(例如,作为用于进一步切换的切换命令消息的一部分)(框2020)。所示的方法2000进一步包括传送RRC连接重新配置消息(框2030)。
尽管在一些实施例中在NR的上下文中进行了解释,但是应当理解,该技术可以应用于其他无线网络,以及NR的后继者。从而,本文使用来自3GPP标准的术语对信号的引用应该被理解为更一般地应用于在其他网络中具有相似特性和/或目的的信号。
现在将在下面列举一些示例性实施例。实施例1是一种由被配置成供无线通信系统的核心网络中使用的核心网络设备执行的方法。在一些实施例中,所述方法包括:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备发信号通知是否用户设备和核心网络设备之间的任何新非接入层(NAS)安全性上下文要被用作用户设备和无线电网络设备之间的接入层(AS)安全性上下文的基础。
实施例2是一种由被配置成供无线通信系统中使用的设备执行的方法。在一些实施例中,所述方法包括:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备接收信令,所述信令指示是否用户设备和核心网络设备之间的任何新非接入层(NAS)安全性上下文要被用作用户设备和无线电网络设备之间的接入层(AS)安全性上下文的基础。
实施例3是实施例2所述的方法,进一步包括:基于所述信令来确定要用作AS安全性上下文的基础的NAS安全性上下文,以及使用作为基于所确定的NAS安全性上下文的AS安全性上下文。
实施例4是实施例2-3中任一项所述的方法,其中该方法由用户设备要通过切换而切换到的目标无线网络设备执行。
实施例5是实施例2-4中任一项所述的方法,进一步包括:基于来自核心网络设备的信令,向用户设备发信号通知是否NAS安全性上下文已经改变,AS安全性上下文基于该NAS安全性上下文,或者是否用户设备和核心网络设备之间的任何新NAS安全性上下文要被用作AS安全性上下文的基础。
实施例6是实施例5所述的方法,其中通过在无线电资源控制(RRC)连接重新配置消息中将密钥改变指示符传送到所述用户设备来执行向所述用户设备发信号通知。
实施例7是实施例2-3中任一项所述的方法,其中该方法由用户设备执行。
实施例8是实施例1-7中任一项所述的方法,其中新NAS安全性上下文不同于切换的用户设备和源无线电网络设备之间的AS安全性上下文所基于的NAS安全性上下文。
实施例9是实施例1-8中任一项所述的方法,其中新NAS安全性上下文是用户设备和核心网络设备已经转变成使用的NAS安全性上下文,但是基于该NAS安全性上下文的AS安全性上下文尚未投入使用。
实施例10是实施例1-9中任一项所述的方法,其中信令在切换过程期间。
实施例11是实施例1-10中任一项所述的方法,其中切换过程用于用户设备到目标无线网络设备的切换,并且其中信令是从核心网络设备到目标无线网络设备的。
实施例12是实施例11所述的方法,其中由核心网络设备传送的切换请求消息的字段来发信号通知是否任何新NAS安全性上下文要被用作AS安全性上下文的基础。
实施例13是实施例1-10中任一项所述的方法,其中信令是从核心网络设备到用户设备的。
实施例14是实施例1-10中任一项所述的方法,其中切换过程用于用户设备从源无线电网络设备到目标无线电网络设备的切换,其中核心网络设备包括与源无线电网络设备相关联的源核心网络设备,并且其中信令是从核心网络设备到与目标无线电网络设备相关联的目标核心网络设备。
实施例15是实施例14所述的方法,其中由核心网络设备传送的前向重定位请求消息的字段来发信号通知是否任何新NAS安全性上下文要被用作AS安全性上下文的基础。
实施例16是实施例1-15中任一项所述的方法,其中切换过程用于用户设备到目标无线电网络设备的切换,并且其中AS安全性上下文在用户设备和目标无线电网络设备之间。
实施例17是实施例1-16中任一项所述的方法,其中信令响应于从切换的源无线电网络设备传送到核心网络设备的切换要求消息,或者响应于从切换的目标无线电网络设备传送到核心网络设备的路径转变请求。
实施例18是实施例1-11和17中任一项所述的方法,其中由核心网络设备传送的路径转变确认消息的字段来发信号通知是否任何新NAS安全性上下文要被用作AS安全性上下文的基础。
实施例19是实施例1-11和17-18中任一项所述的方法,其中切换过程用于用户设备到第一无线电网络设备的第一切换,其中信令是从核心网络设备到第一无线电网络设备,并且其中AS安全性上下文在用户设备和第二目标无线电网络设备之间,用户设备要在第一切换之后接下来发生的任何第二切换中被切换到的第二目标无线电网络设备。
实施例20是实施例1-19中任一项所述的方法,其中由核心网络设备传送的消息的布尔字段来发信号通知是否任何新NAS安全性上下文要被用作AS安全性上下文的基础,其中该布尔字段被配置成:如果新NAS安全性上下文要被用作AS安全性上下文的基础则设置为真,如果新NAS安全性上下文不要被用作AS安全性上下文的基础则设置为假。
实施例21是实施例1-19中任一项所述的方法,其中根据是否任何新NAS安全性上下文要被用作AS安全性上下文的基础,由核心网络设备传送的不同数据参数来发信号通知是否任何新NAS安全性上下文要被用作AS安全性上下文的基础。
实施例22是实施例1-21中任一项所述的方法,其中所述信令发信号通知是否任何新NAS安全性上下文的基础密钥要被用于导出AS安全性上下文的基础密钥。
实施例23是实施例1-22中任一项所述的方法,其中核心网络设备在5G或新空口(NR)无线通信系统的核心网络中实现接入和移动性管理功能(AMF)。
实施例24是被配置成供无线通信系统的核心网络中使用的核心网络设备,该核心网络设备被配置成:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备发信号通知是否用户设备和核心网络设备之间的任何新非接入层(NAS)安全性上下文要被用作用户设备和无线电网络设备之间的接入层(AS)安全性上下文的基础。
实施例25是实施例24的核心网络设备,配置成执行实施例8-23中任一项所述的方法。
实施例26是被配置成供无线通信系统的核心网络中使用的核心网络设备,该核心网络设备包括:处理电路和存储器,该存储器包含由处理电路可执行的指令,由此该核心网络设备被配置成:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备发信号通知是否用户设备和核心网络设备之间的任何新非接入层(NAS)安全性上下文要被用作用户设备和无线电网络设备之间的接入层(AS)安全性上下文的基础。
实施例27是实施例26的核心网络设备,所述存储器包含由处理电路可执行的指令,由此核心网络设备被配置成执行实施例8-23中任一项所述的方法。
实施例28是被配置成供无线通信系统中使用的设备,该设备被配置成:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备接收信令,所述信令指示是否用户设备和核心网络设备之间的任何新非接入层(NAS)安全性上下文要被用作用户设备和无线电网络设备之间的接入层(AS)安全性上下文的基础。
实施例29是实施例28所述的设备,其被配置成执行实施例3-23中任一项所述的方法。
实施例30是被配置成供无线通信系统中使用的设备,该设备包括:处理电路和存储器,该存储器包含由处理电路可执行的指令,由此该设备被配置成:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备接收信令,所述信令指示是否用户设备和核心网络设备之间的任何新非接入层(NAS)安全性上下文要被用作用户设备和无线电网络设备之间的接入层(AS)安全性上下文的基础。
实施例31是实施例30所述的设备,所述存储器包含由处理电路可执行的指令,由此该设备被配置成执行实施例3-23中任一项所述的方法。
实施例32是一种包括指令的计算机程序,所述指令当由被配置成供无线通信系统中使用的设备的至少一个处理器执行时,被使该设备执行实施例1-23中任一项所述的方法。
实施例33是一种载体,包含实施例32所述的计算机程序,其中所述载体是电子信号、光信号、无线电信号或计算机可读存储介质之一。
实施例34是一种由被配置成供无线通信系统的核心网络中使用的核心网络设备执行的方法,所述方法包括:在用于用户设备从源无线电网络设备到目标无线电网络设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备发信号通知用户设备和核心网络设备正在使用的非接入层(NAS)安全性上下文是否已经改变为不同于用户设备和源无线电网络设备之间的接入层(AS)安全性上下文所基于的NAS安全性上下文。
实施例35是一种由被配置成供无线通信系统的核心网络中使用的核心网络设备执行的方法,所述方法包括:在用于用户设备的切换的切换过程期间或者与该切换过程相关联地从核心网络设备发信号通知用户设备和无线电网络设备之间的接入层(AS)安全性上下文要基于的NAS安全性上下文是否已经改变。
实施例36是一种由被配置成供无线通信系统的核心网络中使用的核心网络设备执行的方法,所述方法包括:在用于用户设备的切换的切换过程期间或与该切换过程相关联地从核心网络设备发信号通知用户设备和核心网络设备之间的任何新非接入层(NAS)安全性上下文要被用作用户设备和无线电网络设备之间的接入层(AS)安全性上下文的基础。
实施例37是实施例34-36中任一项所述的方法,包括实施例8-23中任一项所述的任何步骤。
实施例38是一种由被配置成供无线通信系统的核心网络中使用的核心网络设备执行的方法,所述方法包括:在用于用户设备的切换的切换过程期间,从核心网络设备发信号通知是否任何新非接入层(NAS)安全性密钥要被用作切换过程中的接入层(AS)安全性密钥的基础。
本文的核心网络设备是被配置供无线通信系统的核心网络中使用的任何类型的设备。核心网络设备的示例包括例如实现接入和移动性管理功能(AMF)、会话管理功能(SMF)等的设备。
本文的无线电设备是被配置用于与其他无线电设备进行无线电通信的任何类型的设备。无线电设备可以例如构成无线电接入网设备(例如基站)或用户设备(UE)。无线电接入网设备是能够通过无线电信号与用户设备通信的任何设备。无线电接入网设备的示例包括但不限于:基站(BS)、无线电基站、节点B、多标准无线电(MSR)无线电节点(诸如MSRBS)、演进的节点B(eNB)、gNodeB(gNB)、毫微微基站、微微基站、微基站、宏基站、诸如集中式数字单元和/或远程无线电单元之类的分布式无线电基站的一个或多个(或所有)部分(它们可以与或可以不与天线集成为天线集成的无线电设备)、网络控制器、无线电网络控制器(RNC)、基站控制器(BSC)、中继节点、控制中继的中继施主节点、基站收发信台(BTS)、接入点(AP)、无线电接入点、传输点、传输节点、远程无线电单元(RRU)、远程无线电头端(RRH)、分布式天线系统(DAS)中的节点等。
用户设备是能够通过无线电信号与无线电接入网设备通信的任何类型的装置。因此,用户设备可以指的是机器对机器(M2M)装置、机器型通信(MTC)装置、NB-IoT装置等。然而,应该注意,UE不一定具有在拥有和/或操作装置的个人的意义上的“用户”。用户设备也可以被称为无线电装置、无线电通信装置、无线终端或者简称为终端——除非上下文另有指示,否则这些术语中的任何术语的使用意在包括装置对装置UE或装置、机器型装置或者能够进行机器对机器通信的装置、配备有无线装置的传感器、启用无线的台式计算机、移动终端、智能电话、膝上型嵌入式设备(LEE)、膝上型安装设备(LME)、USB软件狗和无线客户端设备(CPE)等。在本文的讨论中,也可以使用术语机器对机器(M2M)装置、机器型通信(MTC)装置、无线传感器和传感器。应该理解,这些装置可以是UE,但一般被配置成传送和/或接收数据无需直接人为干预。
在IOT场景中,本文所描述的用户设备可以是或者可以被包括在执行监测或测量并将这种监测测量的结果传送到另一个装置或网络的机器或装置。这种机器的特定示例是功率计、工业机械或家用或个人电器,例如冰箱、电视、诸如手表等的个人可穿戴设备。在其他情况下,如本文所述的用户设备可以被包括在车辆中,并且可以执行对车辆的操作状态或与车辆相关联的其他功能的监测和/或报告。
图23图示了根据一些实施例的经由中间网络连接到主机计算机的电信网络。特别地,参考图23,根据实施例,通信系统包括电信网络2310,诸如3GPP型蜂窝网络,其包括接入网2311(诸如无线电接入网)以及核心网络2314。接入网2311包括多个基站2312a、2312b、2312c,诸如NB、eNB、gNB或其他类型的无线接入点,它们各自定义对应的覆盖区域2313a、2313b、2313c。每个基站2312a、2312b、2312c可通过有线或无线连接2315连接到核心网络2314。位于覆盖区域2313c中的第一UE 2391被配置成无线连接到对应的基站2312c,或由对应的基站2312c寻呼。覆盖区域2313a中的第二UE 2392可无线连接到对应的基站2312a。虽然在该示例中图示了多个UE 2391、2392,但是所公开的实施例同样可应用于唯一UE在覆盖区域中或者唯一UE正连接到对应的基站2312的情况。
电信网络2310本身连接到主机计算机2330,主机计算机2330可以被体现在独立服务器、云实现的服务器、分布式服务器的硬件和/或软件中,或者作为服务器群中的处理资源。主机计算机2330可以在服务提供商的所有权或控制下,或者可以由服务提供商或代表服务提供商操作。电信网络2310和主机计算机2330之间的连接2321和2322可以从核心网络2314直接延伸到主机计算机2330,或者可以经由可选的中间网络2320。中间网络2320可以是公用、私用或托管网络中的一个或多于一个的组合;中间网络2320(如果有的话)可以是主干网或因特网;特别地,中间网络2320可以包括两个或更多个子网(未示出)。
图23的通信系统作为整体实现所连接的UE 2391、2392与主机计算机2330之间的连接性。这种连接性可以被描述为超高层(over-the-top,OTT)连接2350。主机计算机2330和所连接的UE 2391、2392被配置成使用接入网2311、核心网络2314、任何中间网络2320和可能的另外基础设施(未示出)作为中介,经由OTT连接2350来传递数据和/或信令。在OTT连接2350通过的参与的通信装置不知道上行链路和下行链路通信的路由的意义上,OTT连接2350可以是透明的。例如,基站2312可以不被告知或者不需要被告知传入下行链路通信的过去路由,该传入下行链路通信具有源自主机计算机2330的要被转发(例如,切换)到所连接的UE 2391的数据。类似地,基站2312不需要知道源自UE 2391向主机计算机2330的传出上行链路通信的未来路由。
根据实施例,现在将参考图24描述在前面段落中讨论的UE、基站和主机计算机的示例实现。图24图示了根据一些实施例的主机计算机,其经由基站通过部分无线连接与用户设备通信。在通信系统2400中,主机计算机2410包括硬件2415,硬件2415包括通信接口2416,通信接口2416被配置成设立并保持与通信系统2400的不同通信装置的接口的有线或无线连接。主机计算机2410进一步包括处理电路2418,其可以具有存储和/或处理能力。特别地,处理电路2418可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或适合于执行指令的这些(未示出)的组合。主机计算机2410进一步包括软件2411,软件2411被存储在主机计算机2410中或可由主机计算机2410访问,并且可由处理电路2418执行。软件2411包括主机应用2412。主机应用2412可操作以向远程用户提供服务,远程用户诸如经由终止于UE 2430和主机计算机2410的OTT连接2450连接的UE 2430。在向远程用户提供服务时,主机应用2412可以提供使用OTT连接2450传送的用户数据。
通信系统2400进一步包括基站2420,基站2420在电信系统中提供并且包括硬件2425,从而使其能够与主机计算机2410和UE 2430通信。硬件2425可以包括用于设立和维持与通信系统2400的不同通信装置的接口的有线或无线连接的通信接口2426,以及用于设立和维持与位于由基站2420服务的覆盖区域(图24中未示出)中的UE 2430的至少无线连接2470的无线电接口2427。通信接口2426可以被配置成便于连接2460到主机计算机2410。连接2460可以是直接的,或者它可以通过电信系统的核心网络(图24中未示出)和/或通过电信系统外部的一个或多个中间网络。在所示的实施例中,基站2420的硬件2425进一步包括处理电路2428,处理电路2428可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或适合于执行指令的这些(未示出)的组合。基站2420进一步具有内部存储的或可经由外部连接访问的软件2421。
通信系统2400进一步包括已经提及的UE 2430。它的硬件2435可以包括无线电接口2437,该接口被配置成设立和维持与服务于UE 2430当前所在的覆盖区域的基站的无线连接2470。UE 2430的硬件2435进一步包括处理电路2438,该处理电路可以包括一个或多个可编程处理器、专用集成电路、现场可编程门阵列或适合于执行指令的这些(未示出)的组合。UE 2430进一步包括软件2431,该软件2431被存储在UE 2430中或由UE 2430可访问,并且由处理电路2438可执行。软件2431包括客户端应用2432。客户端应用2432可以可操作以在主机计算机2410的支持下,经由UE 2430向人类或非人类用户提供服务。在主机计算机2410中,正在执行的主机应用2412可以经由终止于UE 2430和主机计算机2410的OTT连接2450与正在执行的客户端应用2432通信。在向用户提供服务时,客户端应用2432可以从主机应用2412接收请求数据,并响应于该请求数据而提供用户数据。OTT连接2450可以转移请求数据和用户数据二者。客户端应用2432可以与用户交互,以生成它提供的用户数据。
注意,图24所示的主机计算机2410、基站2420和UE 2430可以分别与图23的主机计算机2330、基站2312a、2312b、2312c之一和UE 2391、2392之一类似或相同。也就是说,这些实体的内部工作可以如图24所示,并且独立地,周围的网络拓扑可以是图23的网络拓扑。
在图24中,OTT连接2450已经被抽象地画出,以说明主机计算机2410和UE 2430之间经由基站2420的通信,而没有明确提及任何中间装置和经由这些装置的消息的精确路由。网络基础设施可以确定路由,它可以被配置成对UE 2430或对操作主机计算机2410的服务提供商隐藏该路由,或者对两者都隐藏该路由。当OTT连接2450活动时,网络基础设施可以进一步做出决定,通过这些决定,它动态地(例如,基于网络的重新配置或负载平衡考虑)改变路由。
UE 2430和基站2420之间的无线连接2470根据贯穿本公开描述的实施例的教导。各种实施例中的一个或多个改进了使用OTT连接2450提供给UE 2430的OTT服务的性能,其中无线连接2470形成最后一段。更准确地说,这些实施例的教导能改进与通信系统B-00的一个或多个装置和/或在通信系统B-00中执行的通信关联的数据速率、时延和/或功耗中的一个或多个,并且由此能为OTT用户数据通信提供益处,诸如减少的用户等待时间、对文件大小的放松的约束、更好的响应性和/或延长的电池寿命中的一个或多个。
为了监测数据速率、时延和一个或多个实施例改进的其他因素的目的,可以提供测量过程。还可以有可选的网络功能性,用于响应于测量结果的变化而重新配置主机计算机2410和UE 2430之间的OTT连接2450。用于重新配置OTT连接2450的测量过程和/或网络功能性可以在主机计算机2410的软件2411和硬件2415中或者在UE 2430的软件2431和硬件2435中或者二者中实现。
在实施例中,传感器(未示出)可以被部署在OTT连接2450通过的通信装置中或与之关联;传感器可以通过提供上面举例说明的监测量的值或者提供软件2411、2431可以从中计算或估计监测量的其他物理量的值来参与测量过程。OTT连接2450的重新配置可以包括消息格式、重传设置、优选路由等;重新配置不需要影响基站2420,并且可能对基站2420是未知的或者不可察觉的。
这样的过程和功能在本领域中可能已知并实践了。在某些实施例中,测量可以涉及专有的UE信令,其便于主机计算机2410对吞吐量、传播时间、时延等的测量。测量可以采用下述方式实现:软件2411和2431在它监测传播时间、错误等的同时使用OTT连接2450使消息(特别是空消息或“虚设”消息)被传送。
图25是图示根据一个实施例在通信系统中实现的方法的流程图。通信系统包括主机计算机、基站和UE,它们可以是参考图23和24描述的那些。为了简化本公开,在本节将仅包括对图25的附图参考。在步骤2510,主机计算机提供用户数据。在步骤2510的子步骤2511(其可以是可选的),主机计算机通过执行主机应用来提供用户数据。在步骤2520,主机计算机发起将用户数据运载到UE的传输。在步骤2530(其可以是可选的),根据贯穿本公开描述的实施例的教导,基站向UE传送在主机计算机发起的传输中运载了的用户数据。在步骤2540(其也可以是可选的),UE执行与由主机计算机执行的主机应用关联的客户端应用。
图26是图示根据一个实施例在通信系统中实现的方法的流程图。通信系统包括主机计算机、基站和UE,它们可以是参考图23和24描述的那些。为了简化本公开,在本节将仅包括对图26的附图参考。在该方法的步骤2610,主机计算机提供用户数据。在可选的子步骤(未示出)中,主机计算机通过执行主机应用来提供用户数据。在步骤2620,主机计算机发起将用户数据运载到UE的传输。根据贯穿本公开描述的实施例的教导,传输可以经由基站传递。在步骤2630(其可以是可选的),UE接收传输中运载的用户数据。
图27是图示根据一个实施例在通信系统中实现的方法的流程图。通信系统包括主机计算机、基站和UE,它们可以是参考图23和24描述的那些。为了简化本公开,在本节将仅包括对图27的附图参考。在步骤2710(其可以是可选的),UE接收由主机计算机提供的输入数据。附加地或备选地,在步骤2720,UE提供用户数据。在步骤2720的子步骤2721(其可以是可选的),UE通过执行客户端应用来提供用户数据。在步骤2710的子步骤2711(其可以是可选的),UE反应于由主机计算机提供的接收到的输入数据而执行提供用户数据的客户端应用。在提供用户数据时,所执行的客户端应用可以进一步考虑从用户接收到的用户输入。不考虑提供用户数据曾采用的特定方式如何,在子步骤2730(其可以是可选的),UE发起用户数据向主机计算机的传输。在该方法的步骤2740,根据贯穿本公开描述的实施例的教导,主机计算机接收从UE传送的用户数据。
图28是图示根据一个实施例在通信系统中实现的方法的流程图。通信系统包括主机计算机、基站和UE,它们可以是参考图23和24描述的那些。为了简化本公开,在本节将仅包括对图28的附图参考。在步骤2810(其可以是可选的),根据贯穿本公开描述的实施例的教导,基站从UE接收用户数据。在步骤2820(其可以是可选的),基站发起接收到的用户数据向主机计算机的传输。在步骤2830(其可以是可选的),主机计算机接收由基站发起的传输中运载的用户数据。
本文公开的任何适当的步骤、方法、特征、功能或益处可以通过一个或多个虚拟设备的一个或多个功能单元或模块来执行。每个虚拟设备可以包括一定数量的这些功能单元。这些功能单元可以经由处理电路以及其它数字硬件实现,处理电路可以包括一个或多个微处理器或微控制器,数字硬件可以包括数字信号处理器(DSP)、专用数字逻辑等等。处理电路可以被配置成执行存储在存储器中的程序代码,存储器可以包括一种或几种类型的存储器,诸如只读存储器(ROM)、随机存取存储器(RAM)、高速缓冲存储器、闪存装置、光存储装置等。存储在存储器中的程序代码包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于实行本文所述的一种或多种技术的指令。在一些实现中,根据本公开的一个或多个实施例,处理电路可以用于使相应的功能单元执行对应的功能。
一般来说,本文使用的所有术语都要根据它们在相关技术领域中的普通含义来解释,除非从在其中使用的上下文中清楚地给出和/或暗示了不同的含义。对一/一个/该元件、设备、组件、部件、步骤等的所有引用都要开放式地解释为指的是该元件、设备、组件、部件、步骤等的至少一个实例,除非另有明确声明。本文公开的任何方法的步骤都并非必须按照公开的确切顺序来执行,除非步骤被明确描述为在另一个步骤之后或之前,和/或暗示步骤必须在另一个步骤之后或之前。在任何适当的情况下,本文公开的任何实施例的任何特征都可应用于任何其它实施例。同样,实施例中的任何实施例的任何优点都可应用于任何其它实施例,并且反之亦然。所附实施例的其他目的、特征和优点根据该描述将是显然的。
术语“单元”在电子学、电装置和/或电子装置领域中具有常规意义,并且可以包括例如电和/或电子电路、装置、模块、处理器、存储器、逻辑固态和/或分立装置、用于实行相应任务、过程、计算、输出和/或显示功能等的计算机程序或指令,诸如本文所描述的那些。
参考附图更全面地描述本文设想的实施例中的一些。然而,其他实施例被包含在本文公开的主题的范围内。所公开的主题不应被解释为仅限于本文阐述的实施例;相反,这些实施例通过示例的方式提供,以向本领域技术人员传达主题的范围。
Claims (24)
1.一种由被配置成在无线通信系统(10)中使用的设备(12-T)执行的方法,其中所述无线通信系统(10)包括核心网络(10A)和无线电接入网(10B),所述方法包括:
在用于用户设备(14)的切换的切换过程期间或与所述切换过程相关联地从核心网络设备(16)接收信令,所述信令指示:所述用户设备(14)和所述核心网络设备(16)之间的新非接入层NAS安全性上下文要被用作所述用户设备(14)和无线电接入网设备(12-T)之间的接入层AS安全性上下文的基础,其中
响应于确定以下方面来执行所述信令:所述新NAS安全性上下文已经被所述核心网络设备(16)激活,所述新NAS安全性上下文不同于当前活动的AS安全性上下文所基于的NAS安全性上下文以及所述核心网络设备(16)尚未执行显式安全性上下文修改过程,所述显式安全性上下文修改过程提示所述无线电接入网(10B)中包括的所述无线电接入网设备(12-T)和所述用户设备(14)转变成使用基于所述新NAS安全性上下文的新AS安全性上下文。
2.如权利要求1所述的方法,进一步包括:
基于所述信令,确定要用作所述AS安全性上下文的基础的NAS安全性上下文;以及
使用作为基于所确定的NAS安全性上下文的所述AS安全性上下文。
3.如权利要求1或权利要求2所述的方法,进一步包括:基于来自所述核心网络设备的所述信令,向所述用户设备发信号通知:
所述AS安全性上下文所基于的所述NAS安全性上下文已经改变;或者
所述用户设备和所述核心网络设备之间的所述新NAS安全性上下文要被用作所述AS安全性上下文的所述基础。
4.如权利要求3所述的方法,其中通过在无线电资源控制RRC连接重新配置消息中将密钥改变指示符传送到所述用户设备来执行所述向所述用户设备发信号通知。
5.如权利要求1所述的方法,其中所述切换过程用于所述用户设备到目标无线电接入网设备的切换,其中所述设备是所述目标无线电接入网设备,并且其中接收所述信令包括:在所述切换过程之后,从所述核心网络设备接收路径转变请求确认消息,所述路径转变请求确认消息包括指示所述新NAS安全性上下文要被用作所述AS安全性上下文的基础的字段。
6.如权利要求5所述的方法,其中所述字段是新安全性上下文指示符字段。
7.如权利要求1所述的方法,其中所述切换过程用于所述用户设备从源无线电接入网设备到目标无线电接入网设备的切换,其中所述核心网络设备包括与所述源无线电接入网设备相关联的源核心网络设备,其中所述设备是与所述目标无线电接入网设备相关联的目标核心网络设备,并且其中接收所述信令包括:在所述切换过程期间,从所述源核心网络设备接收请求消息,所述请求消息包括指示所述新NAS安全性上下文要被用作所述AS安全性上下文的基础的字段。
8.如权利要求1所述的方法,其中所述切换过程用于所述用户设备从源无线电接入网设备到目标无线电接入网设备的切换,其中所述设备是所述目标无线电接入网设备,并且其中接收所述信令包括:在所述切换过程期间,从所述核心网络设备接收切换请求消息,所述切换请求消息包括指示所述新NAS安全性上下文要被用作所述AS安全性上下文的基础的字段。
9.如权利要求7或权利要求8所述的方法,其中所述字段是指示NAS安全性上下文密钥已经改变的密钥改变指示符字段。
10.如权利要求1-2、4-8中任一项所述的方法,其中所述核心网络设备在核心网络中实现接入和移动性管理功能AMF。
11.一种目标无线电接入网设备(12-T、900),被配置成在无线通信系统(10)中使用,其中所述无线通信系统(10)包括核心网络(10A)和无线电接入网(10B),所述设备包括:处理电路(910)和存储器(930),所述存储器(930)包含由所述处理电路(910)可执行的指令,由此所述设备(12-T、900)被配置成:在用于用户设备(14)的切换的切换过程期间或与所述切换过程相关联地从核心网络设备(16)接收信令,所述信令指示:所述用户设备(14)和所述核心网络设备(16)之间的新非接入层NAS安全性上下文要被用作所述用户设备(14)和无线电接入网设备(12-T)之间的接入层AS安全性上下文的基础,其中响应于确定以下方面来执行所述信令:所述新NAS安全性上下文已经被所述核心网络设备(16)激活,所述新NAS安全性上下文不同于当前活动的AS安全性上下文所基于的NAS安全性上下文以及所述核心网络设备(16)尚未执行显式安全性上下文修改过程,所述显式安全性上下文修改过程提示所述无线电接入网(10B)中包括的所述无线电接入网设备(12-T)和所述用户设备(14)转变成使用基于所述新NAS安全性上下文的新AS安全性上下文。
12.如权利要求11所述的设备,其中所述设备被进一步配置成;
基于所述信令,确定要用作所述AS安全性上下文的基础的NAS安全性上下文;以及
使用作为基于所确定的NAS安全性上下文的所述AS安全性上下文。
13.如权利要求11或权利要求12所述的设备,其中所述设备被进一步配置成:基于来自所述核心网络设备的所述信令,向所述用户设备发信号通知:
所述AS安全性上下文所基于的所述NAS安全性上下文已经改变;或者
所述用户设备和所述核心网络设备之间的所述新NAS安全性上下文要被用作所述AS安全性上下文的所述基础。
14.如权利要求13所述的设备,其中通过在无线电资源控制RRC连接重新配置消息中将密钥改变指示符传送到所述用户设备来执行所述向所述用户设备发信号通知。
15.一种由被配置成在无线通信系统(10)中使用的用户设备(14)执行的方法,其中所述无线通信系统包括核心网络(10A)和无线电接入网(10B),所述方法包括:
在用于所述用户设备(14)的切换的切换过程期间或与所述切换过程相关联地从无线电接入网设备(12-T)接收信令,所述信令指示:
接入层AS安全性上下文所基于的非接入层NAS安全性上下文已经改变;或者
所述用户设备(14)和核心网络设备(16)之间的新NAS安全性上下文要被用作所述AS安全性上下文的基础,
到所述用户设备(14)的所述信令的通信响应于以下方面:所述新NAS安全性上下文已经被所述核心网络设备(16)激活,所述新NAS安全性上下文不同于当前活动的AS安全性上下文所基于的NAS安全性上下文以及所述核心网络设备(16)尚未执行显式安全性上下文修改过程,所述显式安全性上下文修改过程提示所述无线电接入网(10B)中包括的所述无线电接入网设备(12-T)和所述用户设备(14)转变成使用基于所述新NAS安全性上下文的新AS安全性上下文。
16.如权利要求15所述的方法,进一步包括:
基于所述信令,确定要用作所述AS安全性上下文的基础的NAS安全性上下文;以及
使用作为基于所确定的NAS安全性上下文的所述AS安全性上下文。
17.如权利要求15或权利要求16所述的方法,其中通过在无线电资源控制RRC连接重新配置消息中将密钥改变指示符传送到所述用户设备来执行所述信令。
18.如权利要求15-16中任一项所述的方法,其中所述信令包括keySetChangeIndicator。
19.一种被配置成在无线通信系统(10)中使用的用户设备(14),其中所述无线通信系统包括核心网络(10A)和无线电接入网(10B),所述用户设备(14)包括:
处理电路(700)和存储器(720),所述存储器(720)包含由所述处理电路(700)可执行的指令,由此所述用户设备(14)被配置成:
在用于所述用户设备(14)的切换的切换过程期间或与所述切换过程相关联地从无线电接入网设备(12-T)接收信令,所述信令指示:
接入层AS安全性上下文所基于的非接入层NAS安全性上下文已经改变;或者
所述用户设备(14)和核心网络设备(16)之间的新NAS安全性上下文要被用作所述AS安全性上下文的基础,
到所述用户设备(14)的所述信令的通信响应于以下方面:所述新NAS安全性上下文已经被所述核心网络设备(16)激活,所述新NAS安全性上下文不同于当前活动的AS安全性上下文所基于的NAS安全性上下文以及所述核心网络设备(16)尚未执行显式安全性上下文修改过程,所述显式安全性上下文修改过程提示所述无线电接入网(10B)中包括的所述无线电接入网设备(12-T)和所述用户设备(14)转变成使用基于所述新NAS安全性上下文的新AS安全性上下文。
20.如权利要求19所述的用户设备,其中所述用户设备被进一步配置成:
基于所述信令,确定要用作所述AS安全性上下文的基础的NAS安全性上下文;以及
使用作为基于所确定的NAS安全性上下文的所述AS安全性上下文。
21.如权利要求19或权利要求20所述的用户设备,其中通过在无线电资源控制RRC连接重新配置消息中将密钥改变指示符传送到所述用户设备来执行所述信令。
22.如权利要求19-20中任一项所述的用户设备,其中所述信令包括keySetChangeIndicator。
23.一种计算机可读存储介质,所述计算机可读存储介质上存储包括指令的计算机程序,所述指令当由被配置成在无线通信系统中使用的设备(12-T、16)的至少一个处理器执行时,使所述设备(12-T、16)执行如权利要求1-10中任一项所述的方法。
24.一种计算机可读存储介质,所述计算机可读存储介质上存储包括指令的计算机程序,所述指令当由被配置成在无线通信系统中使用的设备(14)的至少一个处理器执行时,使所述设备(14)执行如权利要求15-18中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210120349.3A CN114630381B (zh) | 2017-09-15 | 2018-09-14 | 无线通信系统中的安全性上下文 |
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762559245P | 2017-09-15 | 2017-09-15 | |
US62/559245 | 2017-09-15 | ||
CN201880074273.7A CN111328457B (zh) | 2017-09-15 | 2018-09-14 | 无线通信系统中的安全性上下文 |
PCT/EP2018/074871 WO2019053185A1 (en) | 2017-09-15 | 2018-09-14 | SECURITY CONTEXT IN A WIRELESS COMMUNICATIONS SYSTEM |
CN202210120349.3A CN114630381B (zh) | 2017-09-15 | 2018-09-14 | 无线通信系统中的安全性上下文 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880074273.7A Division CN111328457B (zh) | 2017-09-15 | 2018-09-14 | 无线通信系统中的安全性上下文 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114630381A CN114630381A (zh) | 2022-06-14 |
CN114630381B true CN114630381B (zh) | 2024-06-04 |
Family
ID=63762452
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210120349.3A Active CN114630381B (zh) | 2017-09-15 | 2018-09-14 | 无线通信系统中的安全性上下文 |
CN201880074273.7A Active CN111328457B (zh) | 2017-09-15 | 2018-09-14 | 无线通信系统中的安全性上下文 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880074273.7A Active CN111328457B (zh) | 2017-09-15 | 2018-09-14 | 无线通信系统中的安全性上下文 |
Country Status (10)
Country | Link |
---|---|
US (2) | US10939334B2 (zh) |
EP (2) | EP3682667B1 (zh) |
JP (1) | JP7055863B2 (zh) |
CN (2) | CN114630381B (zh) |
ES (1) | ES2969548T3 (zh) |
MX (1) | MX2020002595A (zh) |
PL (1) | PL3682667T3 (zh) |
RU (1) | RU2741509C1 (zh) |
SG (1) | SG11202002018WA (zh) |
WO (1) | WO2019053185A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114630381B (zh) * | 2017-09-15 | 2024-06-04 | 瑞典爱立信有限公司 | 无线通信系统中的安全性上下文 |
CN111417117B (zh) * | 2019-04-29 | 2021-03-02 | 华为技术有限公司 | 切换的处理方法和装置 |
EP3780888A1 (en) * | 2019-08-16 | 2021-02-17 | THALES DIS AIS Deutschland GmbH | Method and user equipment for selecting a core network |
US20210368407A1 (en) * | 2020-05-19 | 2021-11-25 | Qualcomm Incorporated | Network triggered handover |
CN113938970A (zh) * | 2020-06-29 | 2022-01-14 | 中兴通讯股份有限公司 | 切换方法、网络设备、用户设备以及通信系统 |
CN116074828A (zh) * | 2021-10-30 | 2023-05-05 | 华为技术有限公司 | 管理安全上下文的方法和装置 |
CN114554483B (zh) * | 2022-02-09 | 2024-06-11 | 成都中科微信息技术研究院有限公司 | 一种nr系统xn切换过程中增加秘钥前向隔离度的方法、基站、ue及nr系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016134536A1 (zh) * | 2015-02-28 | 2016-09-01 | 华为技术有限公司 | 密钥生成方法、设备及系统 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8406191B2 (en) * | 2006-04-14 | 2013-03-26 | Qualcomm Incorporated | Pseudo wires for mobility management |
EP2403180A1 (en) | 2007-09-17 | 2012-01-04 | Telefonaktiebolaget L M Ericsson AB (Publ) | Method and arrangement in a telecommunication system |
US8798632B2 (en) * | 2008-06-13 | 2014-08-05 | Nokia Corporation | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
JP5174237B2 (ja) * | 2008-06-17 | 2013-04-03 | アルカテル−ルーセント | 音声通話連続性を条件とするベアラの明示的指示 |
US20100173610A1 (en) * | 2009-01-05 | 2010-07-08 | Qualcomm Incorporated | Access stratum security configuration for inter-cell handover |
KR101700448B1 (ko) | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
CN101945387B (zh) * | 2010-09-17 | 2015-10-21 | 中兴通讯股份有限公司 | 一种接入层密钥与设备的绑定方法和系统 |
JP5488716B2 (ja) | 2010-11-30 | 2014-05-14 | 富士通株式会社 | 鍵更新方法、ノード、ゲートウェイ、サーバ、およびネットワークシステム |
CN103139771B (zh) | 2011-11-25 | 2018-03-30 | 中兴通讯股份有限公司 | 切换过程中密钥生成方法及系统 |
WO2014067542A1 (en) * | 2012-10-29 | 2014-05-08 | Nokia Solutions And Networks Oy | Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks |
US8964562B2 (en) * | 2012-12-31 | 2015-02-24 | Verizon Patent And Licensing Inc. | Flow control methods and systems for use with a wireless network |
CN110650505B (zh) * | 2013-03-21 | 2022-04-08 | 北京三星通信技术研究有限公司 | 一种支持切换的方法 |
US10237729B2 (en) * | 2015-03-05 | 2019-03-19 | Qualcomm Incorporated | Identity privacy in wireless networks |
WO2016181586A1 (ja) | 2015-05-08 | 2016-11-17 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 認証方法及び認証システム |
PL3745756T3 (pl) * | 2017-05-08 | 2022-04-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Sposoby zapewniające bezpieczeństwo wielu połączeń NAS przy użyciu oddzielnych liczników i powiązanych węzłów sieciowych oraz terminali bezprzewodowych |
WO2019049110A1 (en) * | 2017-09-11 | 2019-03-14 | Telefonaktiebolaget Lm Ericsson (Publ) | PRECODING AND MULTILAYER TRANSMISSION USING REFERENCE SIGNAL RESOURCE SUB-SETS |
CN114630381B (zh) * | 2017-09-15 | 2024-06-04 | 瑞典爱立信有限公司 | 无线通信系统中的安全性上下文 |
US10512005B2 (en) * | 2017-09-29 | 2019-12-17 | Nokia Technologies Oy | Security in intersystem mobility |
US10374768B2 (en) * | 2017-10-02 | 2019-08-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Efficient SRS resource indication methods |
US11974122B2 (en) * | 2018-08-13 | 2024-04-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Protection of non-access stratum communication in a wireless communication network |
CN111417117B (zh) * | 2019-04-29 | 2021-03-02 | 华为技术有限公司 | 切换的处理方法和装置 |
-
2018
- 2018-09-14 CN CN202210120349.3A patent/CN114630381B/zh active Active
- 2018-09-14 EP EP18782318.2A patent/EP3682667B1/en active Active
- 2018-09-14 SG SG11202002018WA patent/SG11202002018WA/en unknown
- 2018-09-14 CN CN201880074273.7A patent/CN111328457B/zh active Active
- 2018-09-14 US US16/321,563 patent/US10939334B2/en active Active
- 2018-09-14 RU RU2020113453A patent/RU2741509C1/ru active
- 2018-09-14 ES ES18782318T patent/ES2969548T3/es active Active
- 2018-09-14 WO PCT/EP2018/074871 patent/WO2019053185A1/en unknown
- 2018-09-14 MX MX2020002595A patent/MX2020002595A/es unknown
- 2018-09-14 PL PL18782318.2T patent/PL3682667T3/pl unknown
- 2018-09-14 JP JP2020515164A patent/JP7055863B2/ja active Active
- 2018-09-14 EP EP23210450.5A patent/EP4301044A3/en active Pending
-
2021
- 2021-01-25 US US17/157,685 patent/US11184812B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016134536A1 (zh) * | 2015-02-28 | 2016-09-01 | 华为技术有限公司 | 密钥生成方法、设备及系统 |
Non-Patent Citations (1)
Title |
---|
Key hierarchy when using UP security function;ZTE, China Unicom;3GPP TSG SA WG3 (Security) Meeting #87 S3-17105;第5.1.4.X.2.5节,图5.1.4.X.2.5-1 * |
Also Published As
Publication number | Publication date |
---|---|
US11184812B2 (en) | 2021-11-23 |
MX2020002595A (es) | 2020-10-22 |
CN114630381A (zh) | 2022-06-14 |
JP7055863B2 (ja) | 2022-04-18 |
CN111328457B (zh) | 2022-01-28 |
EP4301044A3 (en) | 2024-03-06 |
EP3682667A1 (en) | 2020-07-22 |
SG11202002018WA (en) | 2020-04-29 |
CN111328457A (zh) | 2020-06-23 |
ES2969548T3 (es) | 2024-05-21 |
EP3682667C0 (en) | 2023-12-27 |
EP3682667B1 (en) | 2023-12-27 |
JP2020533917A (ja) | 2020-11-19 |
US20220086706A1 (en) | 2022-03-17 |
PL3682667T3 (pl) | 2024-05-13 |
US20210144595A1 (en) | 2021-05-13 |
US20200396650A1 (en) | 2020-12-17 |
US10939334B2 (en) | 2021-03-02 |
WO2019053185A1 (en) | 2019-03-21 |
RU2741509C1 (ru) | 2021-01-26 |
EP4301044A2 (en) | 2024-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114630381B (zh) | 无线通信系统中的安全性上下文 | |
EP3583822B1 (en) | Method and apparatus for managing session to change a user plane function in a wireless communication system | |
JP6637617B2 (ja) | 通信方法、ネットワーク側デバイス、およびユーザ端末 | |
CN113615253B (zh) | 到潜在目标节点的有条件切换执行概率信息 | |
US11284468B2 (en) | Suspending/resuming measurements in RRC inactive state | |
US20190387446A1 (en) | Communication Path Switching Method and Device | |
US10554763B2 (en) | Method and apparatus for virtual base station migration in BBU pool | |
US20200120572A1 (en) | Methods and Units in a Network Node for Handling Communication with a Wireless Device | |
KR20240034875A (ko) | 통신 방법 및 장치 | |
US20230108496A1 (en) | Triggering a Subsequent Handover during a Dual-Active Protocol Stack Handover | |
JP7404550B2 (ja) | マスタノード、セカンダリノード、ユーザ装置及び通信ネットワークで実行される方法 | |
JP2021503749A (ja) | Ueの非アクティブ状態に関する方法、装置およびシステム | |
US11985592B2 (en) | Systems and methods for determining the validity of idle mode measurements | |
US12137380B2 (en) | Security context in a wireless communication system | |
CN104303553B (zh) | 数据处理方法、装置及系统 | |
WO2022131995A1 (en) | Mobility load balancing with rrc inactive awareness | |
CN117177320A (zh) | 用于辅小区组的小区更新方法及装置、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |