CN115769616A - 用于目标amf的安全上下文 - Google Patents
用于目标amf的安全上下文 Download PDFInfo
- Publication number
- CN115769616A CN115769616A CN202180044503.7A CN202180044503A CN115769616A CN 115769616 A CN115769616 A CN 115769616A CN 202180044503 A CN202180044503 A CN 202180044503A CN 115769616 A CN115769616 A CN 115769616A
- Authority
- CN
- China
- Prior art keywords
- nas
- amf
- security
- key
- security context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于在AMF重新分配期间的安全上下文处置的装置、方法和系统。一种移动通信网络中的装置(700)包括网络接口(740)和处理器(705),该处理器导出(805)重新路由安全上下文并导出(810)用于认证目标AMF的第一认证参数。网络接口(740)在UE注册过程期间在AMF重新分配之后从与目标AMF共同定位的SEAF接收(815)密钥请求消息。处理器(705)通过确定第二认证参数是否匹配导出的用于认证目标AMF的第一认证参数来验证(820)密钥请求消息。处理器(705)响应于成功地验证密钥请求消息而导出(825)用于目标AMF/SEAF的新的安全上下文。网络接口(740)向目标AMF/SEAF发送(830)密钥响应消息。
Description
相关申请的交叉引用
本申请要求对于2020年6月26日为Sheeba Backia Mary Baskaran、Andreas Kunz和Genadi Velev提交的题为“AMF REALLOCATION BASED UE NAS SECURITY HANDLING IN5G SYSTEM(5G系统中的基于AMF重新分配的UE NAS安全处置)”的美国临时专利申请号63/044,981的优先权,该申请通过引用并入本文。
技术领域
本文公开的主题总体上涉及无线通信,并且更具体地涉及第五代(“5G”)系统中的基于接入和移动性管理功能(“AMF”)重新分配的用户设备(“UE”)非接入层(“NAS”)安全处置。
背景技术
5G系统(“5GS”)当初始AMF由于UE的切片订阅信息和切片相关的服务要求而不能服务于UE时支持利用AMF重新分配的注册过程。在具有严格切片隔离的部署的情况下,基于切片订阅,在初始AMF和目标AMF(即,重新分配的AMF)之间没有N14接口可以得到支持。在缺少N14接口的情况下,目标AMF将无法从初始AMF获取NAS安全上下文来处置UE的注册请求。
发明内容
公开了用于在AMF重新分配期间的主要安全上下文处置(基于切片安全要求的存储和供应)的过程。所述过程可以由装置、系统、方法或计算机程序产品来实现。
一种移动通信网络中的公共网络功能(“NF”)的方法包括:导出重新路由安全上下文,该重新路由安全上下文至少包含用于重新路由非接入层(“NAS”)完整性保护的完整性密钥和用于重新路由NAS加密保护的加密密钥;以及导出用于认证目标AMF的第一认证参数。该方法包括:在UE注册过程期间在AMF重新分配之后从与目标AMF共同定位的安全锚功能(“SEAF”)接收密钥请求消息,其中,密钥请求消息包括以下中的至少一个:UE标识符、目标AMF信息、第二认证参数和重新路由密钥指示。该方法包括:通过确定第二认证参数是否匹配导出的用于认证目标AMF的第一认证参数来验证密钥请求消息。该方法包括:响应于成功地验证密钥请求消息而导出用于目标AMF/SEAF的新的安全上下文,其中,新的安全上下文是从主UE安全上下文导出的。该方法包括:向目标AMF/SEAF发送密钥响应消息,其中,密钥响应消息包括以下中的至少一个:新的安全上下文、与UE标识符相关联的订阅永久标识符(“SUPI”)、具有特殊值的架构间反竞标下降(Anti-Bidding down BetweenArchitectures)(“ABBA”)参数和新的NAS安全上下文指示符(“N-NSCI”)。
一种具有共同定位的SEAF的初始AMF的方法包括在UE注册过程期间向公共NF发送安全上下文请求消息,其中,安全上下文请求消息包括以下中的至少一个:目标AMF信息、用户订阅标识符和密钥集标识符(“KSI”)。该方法包括:从公共NF接收安全上下文响应消息,其中,安全上下文响应消息包含认证参数;以及响应于确定经由无线电接入网络(“RAN”)执行AMF重新分配和重新路由而向RAN节点发送具有NAS保护的重新路由NAS消息,其中,重新路由NAS消息包括至少一个明文信息元素(“IE”)。
一种具有共同定位的SEAF的目标AMF的方法包括接收用于UE的重新路由NAS消息,该重新路由NAS消息包括以下中的至少一个:UE的用户订阅标识符、KSI和认证参数,其中,不支持与初始AMF的N14接口。该方法包括基于认证参数来确定获取重新路由NAS安全上下文并向公共NF发送密钥请求消息,其中,密钥请求消息包括以下中的至少一个:认证参数、AMF信息、重新路由密钥指示符和KSI。该方法包括接收从公共NF到目标AMF的密钥响应消息,其中,密钥响应消息包括以下中的至少一个:与接收到的用户订阅标识符相关的SUPI、N-NSCI、具有特殊值的ABBA参数、新的安全上下文、以及至少包含用于重新路由NAS完整性验证的完整性密钥和用于重新路由NAS解密的加密密钥的重新路由NAS安全上下文,其中,新的安全上下文是从主UE安全上下文导出的。
一种AUSF的方法包括在UE注册过程期间从公共网络功能接收UE认证请求消息。这里,UE认证请求消息包括用户订户标识符和SNN。该第四方法包括响应于成功的UE认证而导出主UE安全上下文,其中,主UE安全上下文包括从AUSF密钥(“Kausf”)导出的第一密钥。第四方法包括向公共网络功能发送UE认证响应消息,其中,UE认证响应消息包括认证结果、SUPI和主UE安全上下文。
一种UE的方法包括从目标接收NAS安全模式命令消息,其中,NAS安全模式命令消息包括以下中的至少一个:N-NSCI、具有特殊值的ABBA参数和KSI。该方法包括:响应于具有特殊值的ABBA参数并进一步响应于N-NSCI,从主UE安全上下文导出新的SEAF密钥(“Kseaf”)。该方法包括:响应于N-NSCI,从主UE安全上下文导出新的AMF密钥(“Kamf”)。该方法包括使用从新的Kamf导出的NAS完整性密钥和使用从新的Kamf导出的NAS加密密钥来验证NAS安全模式命令消息。该方法包括响应于NAS安全模式命令消息的成功验证,将Kamf连同N-NSCI、KSI和具有特殊值的ABBA参数一起存储到本地存储器。该方法包括向目标AMF发送NAS安全模式完成消息,其中,NAS安全模式完成消息包括N-NSCI确认。
附图说明
将参考附图中图示的特定实施例呈现对上面简要描述的实施例的更具体的描述。理解这些附图仅描绘了一些实施例并且因此不应被认为是对范围的限制,将通过使用附图以附加的特异性和细节来描述和解释这些实施例,在附图中:
图1是图示用于在AMF重新分配期间的安全上下文处置的无线通信系统的一个实施例的示意框图;
图2是图示第五代(“5G”)新无线电(“NR”)协议栈的一个实施例的框图;
图3A描绘了图示初始注册过程和UE主要安全上下文的供应的一个实施例的信号流程图;
图3B是图3A的信号流程图的延续;
图4A描绘了图示用于移动性注册更新的NAS安全处置的解决方案的一个实施例的信号流程图;
图4B是图4A的信号流程图的延续;
图5A描绘了图示用于AMF重新分配的NAS安全处置的解决方案的一个实施例的信号流程图;
图5B是图5A的信号流程图的延续;
图5C是图5A和图5B的信号流程图的延续;
图6是图示可以用于在AMF重新分配期间的安全上下文处置的用户设备装置的一个实施例的图;
图7是图示可以用于在AMF重新分配期间的安全上下文处置的网络装置的一个实施例的图;以及
图8是图示在AMF重新分配期间的安全上下文处置的第一方法的一个实施例的流程图;
图9是图示在AMF重新分配期间的安全上下文处置的第二方法的一个实施例的流程图;
图10是图示在AMF重新分配期间的安全上下文处置的第三方法的一个实施例的流程图;
图11是图示在AMF重新分配期间的安全上下文处置的第四方法的一个实施例的流程图;以及
图12是图示在AMF重新分配期间的安全上下文处置的第五方法的一个实施例的流程图。
具体实施方式
如本领域技术人员将理解的,实施例的各方面可以被体现为系统、装置、方法或程序产品。因此,实施例可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)或组合软件和硬件各方面的实施例的形式。
例如,所公开的实施例可以被实现为硬件电路,其包括定制的超大规模集成(“VLSI”)电路或门阵列、诸如逻辑芯片、晶体管或其他分立组件的现成半导体。所公开的实施例也可以被实现在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中。作为另一示例,所公开的实施例可以包括可执行代码的一个或多个物理或逻辑块,其可以例如被组织为对象、过程或功能。
实施例可以采取体现在一个或多个计算机可读存储设备中的程序产品的形式,该一个或多个计算机可读存储设备存储机器可读代码、计算机可读代码和/或程序代码,以下称为代码。存储设备可以是有形的、非暂时性的和/或非传输的。存储设备可以不体现信号。在某个实施例中,存储设备仅采用用于接入代码的信号。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是存储代码的存储设备。存储设备可以是,例如,但不限于电子、磁、光、电磁、红外、全息、微机械或半导体系统、装置或设备、或前述的任何适当的组合。
存储设备的更具体示例(非详尽列表)将包括以下:具有一条或多条电线的电气连接、便携式计算机软盘、硬盘、随机存取存储器(“RAM”)、只读存储器(“ROM”)、可擦除可编程只读存储器(“EPROM”或闪存)、便携式致密盘只读存储器(“CD-ROM”)、光存储设备、磁存储设备、或前述的任何适当的组合。在本文档的上下文中,计算机可读存储介质可以是能够包含或存储用于由指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合使用的程序的任何有形介质。
用于执行实施例的操作的代码可以是任意数量的行,并且可以用包括诸如Python、Ruby、Java、Smalltalk、C++等面向对象的编程语言、和诸如“C”编程语言等传统过程编程语言、和/或诸如汇编语言的机器语言中的一种或多种编程语言的任意组合来编写。代码可以完全在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上并且部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种场景下,远程计算机可以通过包括局域网(“LAN”)、无线LAN(“WLAN”)或广域网(“WAN”)的任何类型的网络连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商(“ISP”)的互联网)。
此外,实施例的所述特征、结构或特性可以以任何适当的方式组合。在下面的描述中,提供了许多具体细节,诸如编程的示例、软件模块、用户选择、网络事务、数据库查询、数据库结构、硬件模块、硬件电路、硬件芯片等,以提供对实施例的透彻理解。然而,相关领域的技术人员将认识到,实施例可以在没有这些具体细节中的一个或多个的情况下或者利用其他方法、组件、材料等来实践。在其他实例中,未详细示出或描述众所周知的结构、材料或操作以避免模糊实施例的各方面。
贯穿本说明书对“一个实施例”、“实施例”或类似语言的引用意指结合该实施例描述的特定特征、结构或特性被包括在至少一个实施例中。因此,除非另有明确说明,否则贯穿本说明书的短语“在一个实施例中”、“在实施例中”和类似语言的出现可以但不一定都指代相同的实施例,而是意指“一个或多个但不是所有实施例”。除非另有明确说明,否则术语“包括”、“包含”、“具有”及其变体意指“包括但不限于”。除非另有明确说明,否则所列举的项的列表并不暗示任何或所有项是相互排斥的。除非另有明确说明,否则术语“一”、“一个”和“该”也指“一个或多个”。
如本文中所使用的,具有“和/或”连词的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和/或C的列表包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文中所使用的,使用术语“……中的一个或多个”的列表包括列表中的任何单个项或列表中的项的组合。例如,A、B和C中的一个或多个包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。如本文所使用的,使用术语“……中的一个”的列表包括列表中的任何单个项中的一个且仅一个。例如,“A、B和C中的一个”包括仅A、仅B或仅C并且不包括A、B和C的组合。如本文所使用的,“选自由A、B和C组成的组的成员”包括A、B或C中的一个且仅一个,并且不包括A、B和C的组合。”如本文所使用的,“选自由A、B和C及其组合组成的组的成员”包括仅A、仅B、仅C、A和B的组合、B和C的组合、A和C的组合或A、B和C的组合。
下面参考根据实施例的方法、装置、系统和程序产品的示意流程图和/或示意框图来描述实施例的各方面。将理解,示意流程图和/或示意框图中的各个框以及示意流程图和/或示意框图中的框的组合都能够通过代码实现。该代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图中指定的功能/动作的手段。
代码还可以被存储在存储设备中,该存储设备能够引导计算机、其他可编程数据处理装置或其他设备以特定方式运行,使得存储在存储设备中的指令产生包括实现流程图和/或框图中指定的功能/动作的指令的制品。
代码还可以被加载到计算机、其他可编程数据处理装置或其他设备上以使一系列操作步骤在计算机、其他可编程装置或其他设备上执行,从而产生计算机实现的过程,使得在计算机或其他可编程装置上执行的代码提供用于实现流程图和/或框图中指定的功能/动作的过程。
附图中的流程图和/或框图示了根据各种实施例的装置、系统、方法和程序产品的可能实施方式的架构、功能性和操作。在这点上,流程图和/或框图中的每个框可以表示模块、段或代码的一部分,其包括用于实现指定逻辑功能的代码的一个或多个可执行指令。
还应注意,在一些替代实施方式中,框中标注的功能可以不按图中标注的顺序出现。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能性。可以设想到在功能、逻辑或效果上与示出的图中的一个或多个框或其部分等效的其他步骤和方法。
虽然在流程图和/或框图中可以采用各种箭头类型和线类型,但它们被理解为不限制对应实施例的范围。实际上,一些箭头或其他连接器可以用于仅指示描绘的实施例的逻辑流程。例如,箭头可以指示描绘的实施例的列举步骤之间的未指定持续时间的等待或监视时段。还将注意,框图和/或流程图的每个框以及框图和/或流程图中的框的组合能够由执行指定功能或动作的基于专用硬件的系统或专用硬件与代码的组合实现。
每个图中的元件的描述可以参考前面的附图的元件。在所有附图中,相同的标号指代相同的元件,包括相同元件的替代实施例。
通常,本公开描述了系统、方法和设备,通过它们,可以在5GS中处置基于AMF重新分配的NAS安全(由于在严格切片隔离要求的情况下在初始AMF和目标AMF之间没有N14接口支持)。在某些实施例中,可以使用嵌入在计算机可读介质上的计算机代码执行该方法。在某些实施例中,装置或系统可以包括包含计算机可读代码的计算机可读介质,该代码在由处理器执行时使装置或系统执行以下所述解决方案的至少一部分。
在第三代合作伙伴项目(“3GPP”)中,5G系统(“5GS”)当初始AMF例如由于UE的切片订阅信息和切片相关的服务要求而不能服务于UE服务时支持利用AMF重新分配的注册过程。然而,在具有严格切片隔离的部署的情况下,初始AMF和目标AMF可能位于不同的安全域中,使得在初始AMF和目标AMF之间没有N14接口可以得到支持。请注意,可以针对垂直服务要求实现严格切片隔离,以防止一个切片与其他切片进行交互。严格切片隔离还防止在网络切片之间共享NAS安全上下文。
在缺少N14接口的情况下,初始AMF使用重新路由过程经由RAN将UE的注册消息发送到目标AMF。然而,当前的重新路由过程不允许目标AMF从初始AMF获取安全上下文(例如,NAS安全上下文)以处置UE的注册请求。这种无法获取安全上下文检索会影响以下两种场景。
场景1——初始注册过程:在初始注册期间,如果没有改进的安全上下文处置,目标AMF将不能处置接收到的重新路由的NAS消息(即,初始UE消息或注册请求),因为重新路由的NAS消息将不会包含任何NAS安全上下文(因为它是经由RAN被路由的),并且由于缺乏与初始AMF(即,源AMF)的连接性,目标AMF也将不能访问UE的安全上下文或订阅配置文件。因此,没有N14接口的AMF重新分配将在场景1中失败(即,将导致注册失败)。
场景2——移动性注册更新:一旦UE利用源AMF(例如,初始AMF)注册并建立了与源AMF(例如,初始AMF)的安全,在UE移动到不同区域时,UE就向目标AMF发送类型‘移动性注册更新’的注册请求,其中,目标AMF——在缺少N14接口的情况下——将不能从源AMF(例如,初始AMF)获取UE安全上下文(例如,NAS安全上下文)。因此,目标AMF将不能处理接收到的“注册请求”消息,该消息在完整性和机密性两者上都受保护。目标AMF执行主要认证(以及与UE建立的NAS安全),并基于本地策略和订阅,如果确定经由RAN执行AMF重新分配和重新路由,并且如果它将注册请求/初始UE消息经由RAN发送到新目标AMF,则没有N14接口的AMF重新分配将在场景2中失败。
如3GPP TS 33.501条款6.46“初始NAS消息的保护”中定义,初始NAS消息是在UE从空闲状态转变之后发送的第一NAS消息。这里,UE将发送一组有限的IE(称为明文IE),包括当它没有NAS安全上下文时需要在初始消息中建立安全的那些。
然而,UE具有NAS安全上下文,UE应发送一条消息,该消息具有在NAS容器中加密的完整初始NAS消息以及明文IE,其中,整体消息完整性被保护。完整初始消息在后一种情况下在需要(例如,AMF不能找到使用的安全上下文)时被包括在NAS容器中的NAS安全模式完成消息中,并且在前一种情况下始终如此。在某些实施例中,明文IE包括订阅标识符(例如SUCI或GUTI)、UE安全能力、新一代密钥集标识符(“ngKSI”)、UE正在从EPC移动的指示、附加GUTI、以及在来自LTE的空闲移动性的情况下包含TAU请求的IE。
因此,除非目标AMF(即,重新分配的AMF)能够访问UE安全上下文,否则目标AMF在所述的任一情况下都不能处置注册请求。到目前为止,在SA3技术规范(3GPP TS)或技术报告(TR)中没有可用的安全解决方案,用于在缺少N14接口的情况下到目标AMF的UE NAS安全上下文传送以支持场景(i)在注册期间的AMF重新分配和(ii)注册移动性更新。
为了解决关于在AMF重新分配期间的UE安全上下文处置的上述问题,本公开描述了5G核心网络(“5GC”)中的公共网络功能(“NF”),该功能通过在遵守切片安全和服务要求(例如,不同切片和/或安全域之间的严格隔离)的同时控制安全上下文供应来执行新的安全功能。在某些实施例中,公共网络功能被体现在新的网络功能中,该新的网络功能可以称为以下中的任一个:公共安全锚功能(“CSEAF”)、安全管理功能(“SEMF”)或安全控制功能(“SECF”)。在其他实施例中,可以通过执行新的安全功能的现有网络功能实现公共网络功能。合适的现有NF的示例包括但不限于认证服务器功能(“AUSF”)、网络切片选择功能(“NSSF”)、网络储存库功能(“NRF”)、或另一个良好连接的NF。
在各种实施方案中,公共NF(例如,AUSF,CSEAF等)可能是切片无关的。如本文所述,“切片无关的”是指被设计为与不同网络切片兼容的安全上下文。在某些实施例中,公共NF位于服务网络中。或者,基于部署场景,公共NF也可以位于家庭网络处。如果目标AMF不属于源AMF(例如,初始AMF)的相同AMF集,则可能需要此新的安全功能。
在由于严格切片隔离要求而导致在AMF(初始/源AMF和目标AMF)之间缺少N14接口的情况下,公共NF充当UE安全上下文存储和控制功能,其在成功认证之后由家庭网络提供的服务网络处管理安全上下文。公共NF在需要时在如下文更详细描述的注册过程(例如,初始注册过程或移动性注册更新过程)和AMF重新分配过程期间控制切片安全要求,并促进在SEAF之间的(例如,切片特定的)锚密钥(例如,Kseaf)共享和/或在AMF之间的NAS安全上下文共享。
图1描绘了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的无线通信系统100。在一个实施例中,无线通信系统100包括至少一个远程单元105、无线电接入网络(“RAN”)120和移动核心网络130。RAN 120和移动核心网络130形成移动通信网络。RAN 120可以由基本单元121组成,远程单元105使用无线通信链路123与基本单元121进行通信。虽然图1中描绘了特定数量的远程单元105、基本单元121、无线通信链路123、RAN 120和移动核心网络130,但本领域的技术人员将认识到,任何数量的远程单元105、基本单元121、无线通信链路123、RAN 120和移动核心网络130可以被包括在无线通信系统100中。
在一个实施方式中,RAN 120与在第三代合作伙伴项目(“3GPP”)规范中指定的5G系统兼容。例如,RAN 120可以是NG-RAN,其实现NR RAT和/或LTE RAT。在另一个示例中,RAN120可以包括非3GPP RAT(例如,Wi-
或电气和电子工程师协会(“IEEE”)802.11家族兼容的WLAN)。在另一个实施方式中,RAN 120与在3GPP规范中指定的LTE系统兼容。然而,更一般地,无线通信系统100可以实现某个其他开放或专有的通信网络,例如全球微波接入互操作性(“WiMax”)或IEEE 802.16家族标准以及其他网络。本公开不旨在限于实现任何特定无线通信系统架构或协议。
在一个实施例中,远程单元105可以包括计算设备,诸如台式计算机、膝上型计算机、个人数字助理(“PDA”)、平板计算机、智能电话、智能电视(例如,连接到互联网的电视)、智能电器(例如,连接到互联网的电器)、机顶盒、游戏控制台、安全系统(包括安全相机)、车载计算机、网络设备(例如,路由器、交换机、调制解调器)等。在一些实施例中、远程单元105包括可穿戴设备,诸如智能手表、健身带、光学头戴式显示器等。此外,远程单元105可以称为UE、订户单元、移动设备、移动站、用户、接入终端、移动终端、固定终端、订户站、用户终端、无线发射/接收单元(“WTRU”)、设备或本领域中使用的其他术语。在各种实施例中,远程单元105包括订户标识和/或识别模块(“SIM”)和移动设备(“ME”),其提供移动终端功能(例如、无线电传输、切换、语音编码和解码、错误检测和校正、对SIM的信令和接入)。在某些实施例中,远程单元105可以包括终端设备(“TE”)和/或被嵌入电器或设备(例如,如上所述的计算设备)中。
远程单元105可以经由上行链路(“UL”)和下行链路(“DL”)通信信号直接与RAN120中的一个或多个基本单元121通信。此外,可以通过无线通信链路123承载UL和DL通信信号。这里,RAN 120是中间网络,其为远程单元105提供对移动核心网络130的接入。如下所述,RAN 120可以向远程单元105发送测量和报告配置111,其中,远程单元105向RAN 120发送测量报告113。
在一些实施例中,远程单元105经由与移动核心网络130的网络连接与应用服务器141通信。远程单元105中的应用107(例如,web浏览器、媒体客户端、电话和/或互联网语音协议(“VoIP”)应用)可以触发远程单元105经由RAN 120与移动核心网络130建立协议数据单元(“PDU”)会话(或其他数据连接)。然后,移动核心网络130使用PDU会话中继在分组数据网络140中的远程单元105和应用服务器141之间的流量。PDU会话表示在远程单元105与用户平面功能(“UPF”)131之间的逻辑连接。
为了建立PDU会话(或PDN连接),远程单元105必须向移动核心网络130注册(在第四代(“4G”)系统的上下文中也称为“附接到移动核心网络”)。请注意,远程单元105可以与移动核心网络130建立一个或多个PDU会话(或其他数据连接)。因此,远程单元105可以具有至少一个PDU会话,用于与分组数据网络140进行通信。远程单元105可以建立附加的PDU会话,用于与其他数据网络和/或其他通信对等体进行通信。
在5G系统(“5GS”)的上下文中,术语“PDU会话”是指通过UPF 131在远程单元105和特定数据网络(“DN”)之间提供端到端(“E2E”)用户平面(“UP”)连接性的数据连接。PDU会话支持一个或多个服务质量(“QoS”)流。在某些实施例中,QoS流和QoS简档之间可以存在一对一的映射,使得所有属于特定QoS流的分组都具有相同的5G QoS标识符(“5QI”)。
在诸如演进分组系统(“EPS”)的4G/LTE系统的上下文中,分组数据网络(“PDN”)连接(也称为EPS会话)提供在远程单元和PDN之间的E2E UP连接性。PDN连接性过程建立了EPS承载,即在移动核心网络130中的远程单元105和分组网关(“PGW”,未示出)之间的隧道。在某些实施例中,在EPS承载和QoS简档之间存在一对一的映射,使得所有属于特定EPS承载的分组都具有相同的QoS类标识符(“QCI”)。
基本单元121可以分布在地理区域上。在某些实施例中,基本单元121也可以称为接入终端、接入点、基地、基站、节点B(“NB”)、演进节点B(缩写为eNodeB或“eNB”,也称为演进通用陆地无线电接入网络(“E-UTRAN”)节点B)、5G/NR节点B(“gNB”)、家庭节点B、中继节点、RAN节点或本领域中使用的任何其他术语。基本单元121通常是诸如RAN 120的RAN的一部分,其可以包括可通信耦合到一个或多个对应的基本单元121的一个或多个控制器。无线电接入网络的这些和其他元件未示出,但是本领域的普通技术人员公知。基本单元121经由RAN 120连接到移动核心网络130。
基本单元121可以经由无线通信链路123服务于在服务区域(例如,小区或小区扇区)内的多个远程单元105。基本单元121可以经由通信信号与一个或多个远程单元105直接通信。通常,基本单元121发射DL通信信号,以在时间、频率和/或空间域中服务于远程单元105。此外,可以通过无线通信链路123承载DL通信信号。无线通信链路123可以是在授权或未授权无线电频谱中的任何合适的载波。无线通信链路123促进在一个或多个远程单元105和/或一个或多个基本单元121之间的通信。请注意,在NR-U操作期间,基本单元121和远程单元105通过未授权无线电频谱进行通信。
在一个实施例中,移动核心网络130是第五代核心网络(“5GC”)或演进分组核心网络(“EPC”),其可以耦合到分组数据网络140,例如互联网和私有数据网络以及其他数据网络。远程单元105可以具有关于移动核心网络130的订阅或其他帐户。在各种实施例中,每个移动核心网络130属于单个移动网络运营商(“MNO”)。本公开不旨在限于任何特定无线通信系统架构或协议的实现。
移动核心网络130包括若干网络功能(“NF”)。如所描绘的,移动核心网络130包括至少一个UPF 131。移动核心网络130还包括多个控制平面(“CP”)功能,该多个控制平面(“CP”)功能包括但不限于服务于5G-RAN 115的接入和移动性管理功能(“AMF”)132、会话管理功能(“SMF”)133、策略控制功能(“PCF”)135、认证服务器功能(“AUSF”)136、网络切片选择功能(“NSSF”)137、网络储存库功能(“NRF”)138、统一数据管理功能(“UDM”)和用户数据储存库(“UDR”)。所描绘的移动核心网络包括公共安全锚功能(“CSEAF”)134;然而,在其他实施例中,CSEAF被省略为离散的NF,并且其安全功能由移动核心网络140中的另一个NF(诸如AUSF 136、NSSF 137或NRF 138)实现。
UPF 141负责5G架构中的分组路由和转发、分组检查、QoS处置和用于互连数据网络(“DN”)的外部PDU会话。AMF 132负责非接入层(“NAS”)信令的终止、NAS加密和完整性保护、注册管理、连接管理、移动性管理、接入认证和授权、安全上下文管理。虽然图1示出了单个AMF 132,但在其他实施例中,移动核心网络130可以包括多个AMF 132。SMF 133负责会话管理(即,会话建立、修改、释放)、远程单元(即,UE)互联网协议(“IP”)地址分配和管理、DL数据通知、以及用于适当的流量路由的UPF 131的流量转向配置。
PCF 135负责统一策略框架,为CP功能提供策略规则,访问UDR中的策略决策的订阅信息。AUSF 136充当认证服务器,并允许AMF 132认证远程单元105。
NSSF 137负责选择网络切片实例,以服务于远程单元105,以确定允许的网络切片选择辅助信息(“NSSAI”),并确定要用于服务于远程单元105的AMF 132的集。这里,“NSSAI”是指向量值,其包括一个或多个S-NSSAI值。NRF 138提供了NF服务注册和发现,从而使得NF能够识别彼此中的适当服务,并通过应用编程接口(“API”)相互通信。
UDM负责认证和密钥协议(“AKA”)凭证的生成、用户识别处置、接入授权、订阅管理。UDR是订户信息的储存库,并且可以用于服务于多个网络功能。例如,UDR可以存储订阅数据、策略相关的数据、被准许被暴露于第三方应用的订户相关的数据等。在一些实施例中,UDM与UDR共同定位,被描绘为组合实体“UDM/UDR”139。
在各种实施例中,移动核心网络130还可以包括网络曝光功能(“NEF”)(其负责使客户和网络合作伙伴易于访问网络数据和资源)、应用功能(“AF”)(其支持应用对流量路由、接入NEF、与用于策略控制的策略框架的交互或为5GC定义的其他NF的影响)。在某些实施例中,移动核心网络130可以包括认证、授权和计费(“AAA”)服务器。
在各种实施例中,移动核心网络130中的每个支持不同类型的移动数据连接和不同类型的网络切片,其中,每个移动数据连接都利用特定网络切片。这里,“网络切片”是指针对某个业务类型或通信服务优化的核心网络的一部分。可以通过单网络切片选择辅助信息(“S-NSSAI”)来识别网络切片实例,而NSSAI可以识别远程单元105被授权使用的一组网络切片。在某些实施例中,各个网络切片可以包括网络功能的单独实例,诸如SMF 133和UPF131。在某些实施例中,不同的网络切片可以共享一些公共网络功能,诸如AMF 132。为易于图示在图1中未示出不同的网络切片,但假定它们的支持。
虽然图1中描绘了特定数量和类型的网络功能,但本领域的技术人员将认识到,任何数量和类型的网络功能可以被包括在移动核心网络130中。此外,在其中移动核心网络130是EPC的LTE变体中,可以用适当的EPC实体(诸如移动性管理实体(“MME”)、服务网关(“SGW”)、PGW、家庭订户服务器(“HSS”)等)替代所描绘的网络功能。例如,AMF 132可以被映射到MME,SMF 133可以被映射到PGW的控制平面部分和/或映射到MME,UPF 131可以被映射到SGW和PGW的用户平面部分,UDM/UDR 139可以被映射到HSS,等等。
虽然图1描绘了5G RAN和5G核心网络的组件,但用于在AMF重新分配期间的安全上下文处置的所描述的实施例适用于其他类型的通信网络和RAT,包括IEEE 802.11变体、全球移动通信系统(“GSM”,即2G数字蜂窝网络)、通用分组无线电服务(“GPRS”)、通用移动电信系统(“UMTS”)、LTE变体、CDMA 2000、蓝牙、Zigbee、Sigfox等。
在以下描述中,术语“RAN节点”用于基站,但它可被任何其他无线电接入节点(例如,gNB、eNB、基站(“BS”)、接入点(“AP”)等)替代。术语UE用于用户设备,但它可被任何其他无线电接入节点(例如,移动终端(“MT”)、接入终端(“AT”)、WTRU、IAB节点等)替代。此外,这些操作主要是在5G NR的上下文中描述的。但是,所描述的解决方案/方法也同样适用于其他移动通信系统在AMF重新分配期间的安全上下文处置。
图2描绘了根据本公开的实施例的NR协议栈200。虽然图2示出了5G核心网络(“5GC”)中的UE 205、RAN 210和AMF 215,但是它们表示与基本单元121和移动核心网络130交互的一组远程单元105。如所描绘的,协议栈200包括用户平面协议栈201和控制平面协议栈203。用户平面协议栈201包括物理(“PHY”)层220、介质接入控制(“MAC”)子层225、无线电链路控制(“RLC”)子层230、分组数据汇聚协议(“PDCP”)子层235和服务数据适配协议(“SDAP”)层240。控制平面协议栈203包括物理层220、MAC子层225、RLC子层230和PDCP子层235。控制平面协议栈203还包括无线电资源控制(“RRC”)层245和非接入层(“NAS”)层250。
用于用户平面协议栈201的AS层(也称为“AS协议栈”)至少由SDAP、PDCP、RLC和MAC子层以及物理层组成。用于控制平面协议栈203的AS层至少由RRC、PDCP、RLC和MAC子层以及物理层组成。层2(“L2”)被拆分为SDAP、PDCP、RLC和MAC子层。层3(“L3”)包括用于控制平面的RRC子层245和NAS层250,并且包括例如用于用户平面的互联网协议(“IP”)层和/或PDU层(未描绘)。L1和L2称为“下层”,而L3及以上(例如,传输层、应用层)称为“高层”或“上层”。
物理层220提供到MAC子层225的传输信道。物理层220可以使用能量检测阈值执行空闲信道评估(“CCA”)和/或先听后说(“LBT”)过程,如本文所述。在某些实施例中,物理层220可以向在MAC子层225处的MAC实体发送UL LBT失败的通知。MAC子层225向RLC子层230提供逻辑信道。RLC子层230向PDCP子层235提供RLC信道。PDCP子层235向SDAP子层240和/或RRC层245提供无线电承载。SDAP子层240向核心网络(例如5GC)提供QoS流。RRC层245提供载波聚合和/或双连接性的添加、修改和释放。RRC层245还管理信令无线电承载(“SRB”)和数据无线电承载(“DRB”)的建立、配置、维护和释放。
NAS层250位于UE 205和AMF 215之间。通过RAN透明地传递NAS消息。NAS层250用于管理通信会话的建立,并且用于在UE 205在RAN的不同小区之间移动时维持与UE 205的连续通信。相比之下,AS层在UE 205和RAN 210(即RAN节点,诸如gNB)之间,并且在网络的无线部分上承载信息。
当初始AMF 215不能服务于UE 205时,从UE 205接收到的NAS消息将直接通过AMF至AMF接口(即,N14)或经由RAN 210重新路由到另一个目标AMF 215。当前的3GPP规范仅定义了在初始注册期间经由RAN重新路由。一旦UE已经向网络注册并与网络建立了安全,就只有之后才能直接重新路由。其原因是3GPP TS 33.501中指定的当前安全机制在很大程度上依赖于AMF可以直接通信的假设。
对这一假设的依赖性在一定程度上由于安全规范禁止UE 205一旦已经建立安全就从核心接受未受保护的消息。因此,在注册的UE 205正在从一个区域移动到另一个区域时,假定目标AMF 215始终能够从用于服务于UE 205的旧的AMF(即源AMF 215)中检索安全上下文。如果发生经由RAN 210的重新路由,并且目标AMF 215不能检索UE安全上下文,则目标AMF 215不能触发新认证过程以便建立新的安全上下文。事实上,目标AMF 215从一开始将不能与UE 205通信,因为所有未受保护的下行链路消息将被UE 205摒弃。
为了在核心网络上启用具有更严格的切片隔离要求的部署场景,例如,在AMF 215不能相互通信的情况下,该网络支持间接重新路由过程以注册UE 205。
因此,对于需要严格切片隔离的部署,没有N14接口可以得到支持,并且因此使用常规机制不能直接重新路由和检索UE NAS安全上下文。在用于支持切片隔离的RAN重新路由的情况下,仅NAS消息被重新路由,并且考虑到NAS安全上下文的安全,UE NAS安全上下文不能经由RAN从初始AMF重新路由到目标AMF。
为了支持严格切片隔离和AMF重新分配两者,公共NF(即AUSF、CSEAF等)充当UE安全上下文存储和控制功能,其管理在成功认证之后由家庭网络提供的在服务网络处的安全上下文。公共NF通过确保网络切片安全要求(诸如切片安全隔离和切片服务数据隐私)来控制向诸如AMF、共同定位的SEAF等的其他NF的安全上下文供应。
根据第一解决方案的实施例,启用目标AMF以从公共NF(即AUSF、CSEAF等)接收UE安全上下文(例如,NAS安全上下文或安全锚密钥(即SEAF密钥))。第一解决方案适用于UE通过AMF(称为初始AMF)对5GS执行初始注册并得到成功注册的场景。同一UE在它移动到另一个区域时将类型‘移动性注册更新’的注册请求发送到新目标AMF。这里,初始AMF可以称为“源AMF”。
根据第一解决方案,对现有5G系统的更新包括以下内容:
良好连接的NF处置主要安全上下文存储和供应(例如,基于切片安全要求)。良好连接的NF也可以称为“公共NF”。如上所述,公共NF可以是新网络功能,诸如公共SEAF、SEMF、SECF和/或独立的SEAF。或者,公共NF可以由诸如AUSF、NSSF、NRF等的现有5GC NF实现。
公共NF用于在服务网络(或家庭网络)中存储高级(即主)UE安全上下文,其控制基于服务/基于切片安全隔离的UE安全上下文(例如,Kseaf/Kamf)向切片特定的核心网络功能(SEAF、AMF等)的供应。如本文所使用的,符号“Kx/Ky”是指替代安全密钥,其中,取决于实施方式,可以用‘Ky’替代密钥‘Kx’。例如,“Kcseaf/Kausf”具有“Kcseaf或Kausf”的含义,其中,特定密钥(Kcseaf或Kausf)取决于实施方式(例如,是否部署了CSEAF)。同样,符号“Kx/Ky/Kz”是指替代安全密钥,其中,取决于实施方式,可以用“Ky”或用密钥“Kz”替代密钥“Kx”。
下面参考图3A至3B描述了在缺少N14接口的情况下支持目标AMF的UE注册请求处置所需的注册过程期间涉及的初始认证过程步骤的更新。下面参考图4A至4B描述了在缺少N14接口的情况下支持目标AMF的UE注册请求处置所需的类型‘移动性注册更新’的注册过程的更新。
公共NF例如使用基于服务的架构和接口向请求者NF提供UE相关的网络安全上下文供应服务。在部署CSEAF的情况下,公共NF可以使用如下定义的“Ncseaf_SecurityContext_Get”服务操作向请求者NF提供UE相关的网络安全上下文供应服务:
·服务操作名称:Ncseaf_SecurityContext_Get
·描述:证实NF请求者(AMF/SEAF)提供了UE信息(SUCI和SUPI配对和ngKSI),并将UE安全上下文提供给NF请求者。
·输入:
o必需:SUCI,KeyRequestIndicator
o可选:ngKSI
·输出:
o必需:Kamf/Kseaf,新ABBA参数(用于切片特定的安全特征),ngKSI,N-NSCI,SUPI
o可选:无
注意,在使用AUSF实现公共NF的情况下,AUSF可以使用如下定义的“Nausf_SecurityContext_Get”服务操作向请求者NF提供UE相关的网络安全上下文供应服务:
·服务操作名称:Nausf_SecurityContext_Get
·描述:证实NF请求者(AMF/SEAF)提供UE信息(SUCI和SUPI配对和ngKSI),并将UE安全上下文提供给NF请求者。
·输入:
o必需:SUCI,KeyRequestIndicator
o可选:ngKSI
·输出:
o必需:Kamf/Kseaf,新ABBA参数(用于切片特定的安全特征),ngKSI,N-NSCI,SUPI
o可选:无
附加5GS更新包括由公共NF(即AUSF,CSEAF等)向AMF提供新的NAS安全上下文指示符(N-NSCI),并且继而AMF向UE提供以指示UE从Kseaf、Kausf或Kcseaf导出NAS安全上下文(Kamf),并相应地对Kamf进行密钥更新。
附加5GS更新包括公共NF(即AUSF、CSEAF等),其提供了特定于基于切片的安全特征的新的ABBA参数,以使得AMF和UE能够生成符合切片隔离安全要求的NAS安全上下文。
在部署CSEAF的情况下,注意,当部署具有没有共同定位的SEAF的AMF时,CSEAF可以称为独立SEAF。但是,如果AMF具有共同定位的SEAF,例如,如在3GPP版本16和版本17的当前部署中那样,那么用于主要安全上下文处置(即基于切片安全要求的存储和供应)的新的SEAF被称为公共SEAF(“CSEAF”)。
AMF和CSEAF(或者,SEMF、SECF和/或独立SEAF)之间的参考点可以被定义为‘NX’,并且在CSEAF(或者,SEMF、SECF和/或独立SEAF)和AUSF之间的参考可以被定义为‘Ny’,其中,‘Nx’和‘Ny’中的‘x’和‘y’可以基于如由3GPP服务架构组处置的可用性而取任何数值。
图3A至3B描绘了根据用于AMF重新分配的NAS安全处置的第一解决方案的用于初始注册过程和将UE主要安全上下文供应给CSEAF的过程300的信号流。该过程300涉及UE205、RAN 210、具有共同定位的SEAF的初始AMF(被描绘为组合实体“初始AMF/SEAF”301)、CSEAF 303、AUSF 305和与UDM共同定位的认证凭证储存库和处理功能(“ARPF”)(被描绘为“ARPF/UDM”组合实体307)。如本文所使用的,符号“AMF/SEAF”是指具有共同定位的SEAF的AMF。
在步骤1处,UE 205将具有SUCI或5G-GUTI的注册请求发送到初始AMF(即初始AMF/SEAF 301;参见消息传递311)。
当前,5G系统(版本15和16)具有与AMF共同定位的SEAF。但是,该SEAF被视为安全锚功能,该功能保存了在成功的UE主要认证之后由家庭网络提供给服务网络的锚密钥(Kseaf)。所有NAS和AS安全密钥都从该锚密钥(Kseaf)导出。因此,如果由于切片隔离要求而没有N14接口在AMF之间得到支持,则将这样的网络功能SEAF与AMF共同定位将对UE安全上下文共享产生重大影响。因此,第一解决方案在这里考虑了两个选项,以便NF管理UE安全上下文:
根据选项1,部署了独立SEAF以服务于多个AMF,即,在AMF中可能没有共同定位的SEAF。这里,SEAF的每个功能都可以类似于版本15和16特征,但另外,独立SEAF支持本公开中指定的建议的特征。
根据选项2,除了在AMF中共同定位的SEAF之外,还部署了公共SEAF(也称为SECF/SEMF),以便通过考虑基于切片的安全要求来管理UE安全上下文的存储和向其他NF(诸如AMF、(与AMF共同定位的)SEAF)等的供应。
注意,在图3A至3B的实施例中,除了在AMF中的共同定位的SEAF之外,该网络还部署CSEAF 303。然而,在以下描述中,CSEAF303表示这两种选项,即独立SEAF和公共SEAF。类似地,如果图3A至3B表示独立AMF(即选项1)和共同定位的AMF/SEAF(即选项2),则描绘初始AMF/SEAF 301。
在步骤2处,初始AMF(如果选项1)或共同定位的SEAF(其中SEAF从AMF接收注册请求的选项2)基于其本地策略发起认证,并通过向CSEAF 303发送包含SUCI/SUPI的新服务操作消息Ncseaf_UEAuthentication_Authenticate请求和服务网络名称(SNN/SN名称)(参见消息传递313)来触发认证请求。CSEAF 303本地存储SUCI。
在步骤3a处,CSEAF 303通过验证SNN并将接收到的认证请求在Nausf_UEAuthentication_Authenticate请求消息中从初始AMF/SEAF301转发到AUSF 305来调用认证。
在步骤3b处,在接收到Nausf_UEAuthentication_Authenticate请求消息后,AUSF305通过将服务网络名称与预期服务网络名称进行比较来检查服务网络中的请求CSEAF303是否有权使用Nausf_UEAuthentication_Authenticate请求中的服务网络名称。在成功验证之后,AUSF 305将Nudm_UEAuthentication_Get请求发送给具有SUCI/SUPI和SNN的ARPF/UDM 307。
在步骤3d处,在接收到Nudm_UEAuthentication_Get请求后,如果接收到SUCI,则ARPF/UDM 307调用订阅标识符解除隐藏功能(“SIDF”)。然后,SIDF在ARPF/UDM 307可以处理请求之前将SUCI解除隐藏以获得SUPI。此外,ARPF/UDM 307选择认证方法(例如EAP-AKA’或5G AKA或任何方法)以用于在UE 205和5G系统之间执行相互认证,例如如在3GPP TS33.501条款6.1.2中所述。
在步骤3e处,ARPF/UDM 307基于选择的认证方法(例如,EAP-AKA’AV或5G家庭环境AV)生成认证向量(“AV”),并在Nudm_UEAuthentication_Get响应消息中将AV连同SUPI和选择的认证方法指示一起提供给AUSF 305。
在步骤3f处,基于选择的用于主要认证的认证方法,AUSF 305和UE 205交换方法特定的认证请求/响应消息,例如,如3GPP TS 33.501条款6.1.3所述,直到在AUSF 305处确定成功认证。
在步骤4a处,在成功认证之后,AUSF 305例如根据3GPP TS33.501基于认证方法导出AUSF密钥(Kausf)。AUSF 305进一步从Kausf导出锚密钥(Kseaf)。注意对于选项2,如果AUSF 305在步骤3a中从CSEAF 303接收认证请求,则AUSF 305另外从Kausf导出CSEAF密钥(Kcseaf)。在某些实施例中,从kausf导出kcseaf和kseaf如下:
Kcseaf=KDF(Kausf,FC,SNN,SNN的长度,SUPI,SUPI的长度,使用类型=‘服务网络主密钥’,使用类型的长度)等式(1)Kseaf=KDF(Kausf,FC,SNN,SNN的长度,使用类型=‘切片/服务信息/AMF集/默认’,使用类型的长度)等式(2)
其中,“KDF”表示密钥导出功能(例如,散列导出)。使用的FC数字空间由3GPP TS33.220控制。FC只是一个数字空间,FC用于区分该算法的不同实例,其中,分配给本公开的FC值在0x69至0x76的范围内。
如本文所述,密钥输入‘使用类型’可以包含与指定使用相对应的指示符,可以用作密钥导出中的输入。或者,密钥输入‘使用类型’包含特定于使用类型的关键字,可以用作密钥导出中的输入。注意,本文描述的任何密钥导出(例如,从输入键‘KEY’导出的“K”)将采用‘K=KDF(KEY,S)’的形式,这里S将包含一个或多个输入,如本文所述。
在步骤4b处,AUSF 305在Nausf_UEAuthentication_Authenticate响应消息中向CSEAF 303发送认证结果(例如,如果使用EAP-AKA’,‘EAP成功’,或者如果使用5G AKA,‘认证成功’)、SUPI、Kseaf。注意,对于选项2,AUSF 305另外发送新导出的Kcseaf。
在图3B上继续,在步骤5处,CSEAF 303存储接收到的SUPI以及SUCI、Kseaf,并且对于(选项2)也存储Kcseaf。如果未从AUSF接收到Kseaf,并且仅接收到Kcseaf(选项2),则CSEAF 303基于切片安全要求(诸如在需要时对于默认切片各一个或对于具有严格隔离要求的切片每个各一个)导出AMF集的Kseaf(默认锚密钥),如下Kseaf=KDF(Kcseaf,FC,SNN,SNN的长度,使用类型=‘切片/服务信息/AMF集/默认’,使用类型的长度)等式(3)
或者,如果CSEAF 303仅从AUSF 305接收到Kseaf,并且未接收到Kcseaf,则CSEAF303本地存储Kseaf,在需要时从本地存储的Kseaf导出切片特定的AMF密钥(Kamf)或Seaf密钥(Kseaf)。
CSEAF 303指配了特殊架构间反竞标下降(“ABBA”)参数值(例如,0x0001),其专用于为5GS定义的切片特定的安全特征。CSEAF303指配了新一代密钥集标识符(“ngKSI”),以独特地识别在CSEAF303处处置并存储的UE安全上下文和相关信息(诸如SUPI、Kcseaf、Kseaf、Kamf和ABBA参数)。如本文所使用的,术语“特殊ABBA”是指具有专用于切片特定的安全特征的特殊值的ABBA参数。
此外,如果CSEAF 303直接从初始AMF接收到认证请求(即,选项1,其中,AMF不具有共同定位的SEAF),则独立SEAF(根据选项1)也从Kseaf导出Kamf。
在步骤6处,CSEAF 303将Ncseaf_UEAuthentication_Authenticate响应结果消息发送给初始AMF/SEAF 301的SEAF(也称为“初始SEAF”),其中,该消息包含作为“成功”的认证结果、ngKSI、特殊ABBA参数和Kseaf。初始SEAF进一步从Kseaf导出Kamf密钥,并为AMF提供Kamf密钥、ngKSI、它自己的ABBA参数、CSEAF提供的ABBA参数和认证结果。
或者,对于选项1,对于其中初始AMF不具有任何共同定位的SEAF的情况,CSEAF303(即,这里的独立SEAF)将在步骤5中导出的Kamf连同认证结果、默认ABBA参数(如33.501附录A.7.1中)、特殊ABBA参数和ngKSI一起发送到初始AMF。
在步骤7处,初始AMF/SEAF 301然后将包含认证结果、ngKSI、默认ABBA参数(ABBA值1)和(选项2)特殊ABBA参数(ABBA值2)的N1消息(其可以是NAS安全模式命令消息)发送到UE 205。该特殊ABBA参数值允许UE 205导出类似于在步骤4a、4b和5中指定的网络的Kcseaf和Kseaf密钥。
在步骤8a处,在步骤7之后,UE 205和网络成功地执行NAS和AS安全模式命令过程,例如,如TS 33.501中所述,并且完成成功注册,如TS 23.502中所述。
在步骤8b处,在成功注册过程之后,初始AMF/SEAF 301将注册接受消息发送给UE205。
图4A至4B描绘了根据第一解决方案的实施例的图示在移动性注册更新期间的NAS安全处置的一个实施例的过程400的信号流。该过程300涉及UE 205、RAN 210、初始AMF/SEAF 301(也称为“源AMF/SEAF”)、具有共同定位的SEAF的目标AMF(被描述为组合实体“目标AMF/SEAF”401)和CSEAF 303。
过程400在步骤9a处开始,UE 205在改变到新跟踪区域的移动时经由新目标AMF401发起类型‘移动性注册更新’的注册过程(参见框405)。出于各种特定原因,对于UE 205发生了移动性注册更新(即,UE 205处于RM已注册状态,并由于移动性或由于UE 205需要更新其能力或协议参数或请求改变允许它使用的网络切片集而发起注册过程)。
在步骤9b处,因为UE 205已经注册(例如,如图3A至3B的步骤1至8b所示)并包含NAS安全上下文,因此UE 205向目标AMF 401发送在完整性和机密性两者上都受保护的注册请求消息(参见消息传递407)。但是此外,注册请求消息包含明文IE(示例:订阅标识符(例如,SUCI或GUTI)、UE安全能力、ngKSI、UE正在从EPC移动的指示、附加GUTI、以及包含在来自LTE的空闲移动性的情况下的TAU请求的IE)。
在步骤10处,目标AMF 401在接收到注册请求消息时,基于明文IE(即5G-GUTI),目标AMF 401发现UE的安全上下文可用于不同AMF(即,这里为初始AMF 301),并且发现由于严格切片隔离要求,它不会与源AMF(“S-AMF”,即初始AMF 301)共享N14接口(参见框409)。或者,如果目标AMF 401接收到SUCI而不是5G-GUTI,则跳过步骤11a至11b。无论哪种方式(无论目标AMF 401收到5G-GUTI还是SUCI),因为目标AMF 401都不具有UE 205的NAS安全上下文中的任一个来验证完整性并解密接收到的注册请求消息,所以目标AMF 401确定从CSEAF303(即,如果选项2,则公共SEAF,或者如果选项1,则独立SEAF)获取UE安全上下文(即NAS安全上下文)。
在条件步骤11a至11b处,如果目标AMF 401不能识别UE 205,并且然后如果在目标AMF 401处不可获得UE 205的SUCI,则目标AMF 401通过向UE 205发送标识请求消息而发起标识请求过程(参见消息传递411)。UE 205在对目标AMF 401的标识响应消息中以SUCI做出了响应。
在步骤12处,目标AMF 401将包含SUCI和ngKSI的Ncseaf_SecurityContext_Get请求消息直接(选项1)或经由共同定位的SEAF(选项2)发送到CSEAF 303(参见消息传递413)。或者,目标AMF 401可以向UDM发送包含SUCI的标识请求,并从UDM接收具有SUPI的标识响应。然后,目标AMF 401在步骤12中向CSEAF 303提供SUPI而不是SUCI。
在步骤13处,CSEAF 303利用本地存储的一个验证从目标AMF401接收到的SUCI和ngKSI,并且如果验证成功,则CSEAF 303通过基于运营商部署使用以下选项中的任一个获取与SUCI相关的SUPI来导出AMF密钥(Kamf)(参见框415)。如果CSEAF 303发现从AMF401接收到的SUCI是新的(因为其不能在本地存储中找到任何合适的匹配),则CSEAF 303可以将包含SUCI的订阅标识请求发送到UDM并从UDM接收具有SUPI的订阅标识响应。
或者,如果CSEAF 303使用本地存储的一个验证(从UDM接收到的)SUPI和从目标AMF接收到的ngKSI,并且如果验证成功,则CSEAF 303相应地导出Kamf密钥。
选项1(独立SEAF):
Kamf=KDF(Kseaf,SUPI,SUPI的长度,特殊ABBA参数,特殊ABBA参数的长度,N-NSCI,N-NSCI的长度)等式(4)
选项2(公共SEAF),变体1:
Kamf=KDF(Kcseaf,SUPI,SUPI的长度,特殊ABBA参数,特殊ABBA参数的长度,N-NSCI,N-NSCI的长度) 等式(5)
选项2(公共SEAF),变体2:
Kamf=KDF(Kseaf,SUPI,SUPI的长度,特殊ABBA参数,特殊ABBA参数的长度,N-NSCI,N-NSCI的长度) 等式(6)
请注意,在选项2的变体2中用作Kamf导出中的输入密钥的Kseaf是由AUSF提供的一个,或由CSEAF 303(基于运营商部署)导出的一个。
在步骤14处,CSEAF 303(选项2)将包含Kseaf/Kamf、特殊ABBA参数、ngKSI、N-NSCI和SUPI的Ncseaf_SecurityContext_Get响应消息分别直接(在这种情况下发送Kamf)或经由共同定位的目标SEAF(在这种情况下发送Kseaf)发送到目标AMF 401(参见消息传递417)。在后一种情况下,共同定位的目标SEAF存储Kseaf和特殊ABBA参数。
在选项2部署中,共同定位的目标SEAF可以导出Kamf(类似于选项1独立SEAF),并将其提供给目标AMF 401。或者,在选项1部署的情况下,独立SEAF向目标AMF 401仅发送Kamf、特殊ABBA参数、N-NSCI和SUPI。
在图4B上继续,在步骤15处,目标AMF 401存储接收到的UE安全上下文,诸如Kamf、特殊ABBA参数、ngKSI、N-NSCI和SUPI。目标AMF 401基于UE安全能力来选择NAS安全算法(完整性和加密算法),并从在步骤14中接收到的Kamf(例如,从独立SEAF或共同定位的SEAF)导出Knasint和Knasenc密钥(完整性和加密密钥)。目标AMF 401进一步将NAS安全模式命令消息发送到UE,该消息包含N-NSCI、特殊ABBA参数和请求初始NAS消息标志(参见消息传递419)。
在步骤16处,新的NAS安全上下文指示符(N-NSCI)指示UE 205从kcseaf或Kseaf正确地导出新的NAS安全上下文(Kamf),与如在步骤13中所示的(使用基于运营商部署的选项中的任一个)网络导出Kamf的方式完全一样。特殊ABBA参数值指示新的Kamf密钥导出特定于为5GS定义的切片安全特征,并且因此UE 205从由ngKSI指向的Kseaf或Kcseaf导出Kamf而不是从现有Kamf导出。
如果UE 205在NAS安全模式命令消息中接收到设置为1的新的NAS安全上下文指示符/标志,则UE 205使用在注册请求消息中发送的上行链路NAS COUNT值从由NAS安全模式命令消息中的接收到的ngKSI标识的当前活动的(选项1)Kseaf或(选项2)Kcseaf导出新的密钥Kamf。UE 205进一步将在NAS安全模式命令消息中的接收到的ngKSI指配给新导出的Kamf的ngKSI。UE 205可以从新的Kamf导出新的NAS密钥(Knasint和Knasenc),并且使用新的Knasint密钥对NAS安全模式命令消息进行完整性检查(参见框421)。
在步骤17处,在UE 205处成功验证NAS安全模式命令消息之后,UE 205在NAS容器中发送包括完整注册请求消息的NAS安全模式完成消息(参见消息传递423)。
在步骤18处,目标AMF 401使用从与N-NSCI相关的新的Kamf导出的Knasint和Knasenc,并使用NAS完整性密钥(Knasint)验证NAS安全模式完成消息,并使用新导出的NAS加密密钥(Knasenc)获得注册请求消息(参见框425)。
目标AMF 401进一步发起在RAN 210(例如,gNB)和UE 205之间的NGAP过程INITIALCONTEXT SETUP,其中,gNB和UE 205执行AS安全模式命令过程以建立AS安全。此外,由目标AMF 401负责成功的UE移动性注册更新。过程400结束。
请注意,在备选实施例中,CSEAF 303功能性可以代替地由任何良好连接的NF(诸如NSSF、NRF或AUSF)作为服务来提供,以处置需要严格切片隔离和相关安全方面的UE注册和服务。在这样的实施例中,Kcseaf可以用诸如Knssf、Knrf、Kausf等的适当NF密钥替换,并且服务操作Ncseaf_SecurityContext_Get可以用诸如Nnssf_SecurityContext_Get、Nnrf_SecurityContext_Get、Nausf_SecurityContext_Get等的等效服务操作替换。
根据第二解决方案的实施例,当两个AMF不经由RAN重新路由共享N14接口时,启用AMF重新分配过程以处置在5G系统处的安全上下文供应。根据安全解决方案,对现有5G系统的更新包括以下内容:
良好连接的NF(即,公共NF)处置主要安全上下文存储和供应(例如,基于切片安全要求)。
公共NF用于在服务网络(或家庭网络)中存储高级(即,主要)UE安全上下文,其控制基于服务/基于切片安全隔离的UE安全上下文(例如,Kseaf/Kamf)向切片特定的核心网络功能(SEAF、AMF等)的供应。如上所述,公共NF可以是新的网络功能,诸如公共SEAF、SEMF、SECF和/或独立SEAF。或者,公共NF可以由诸如AUSF、NSSF、NRF等的现有5GC NF实现。
公共NF通过向源/初始AMF提供散列码并验证由目标AMF发布的相同散列码以为目标AMF供应必要的NAS安全上下文,来实现基于AMF重新分配的NAS安全处置。服务操作Ncseaf_AMFRealloc_SecurityContext被定义如下:
·服务操作名称:Ncseaf_AMFRealloc_SecurityContext
·说明:为NF请求者(例如AMF)提供散列码,以在AMF重新分配期间启用NAS安全处置。
·输入:
o必需:ngKSI、AMF_Reroute_SecurityRequired指示、SUPI、目标AMF信息(例如,AMF标识符(“ID”)/AMF网络切片实例(“NSI”)ID/AMF集ID/AMF服务集ID等)
o可选:无
·输出:
o必需:Knasint’、Knasenc’、NAS_Sec_ID(用于认证目标AMF的散列码)、ngKSI(即,密钥集标识符)
o可选:无
服务操作Nausf_AMFRealloc_SecurityContext被定义如下:
·服务操作名称:Nausf_AMFRealloc_SecurityContext
·说明:为NF请求者(例如AMF)提供散列码,以在AMF重新分配期间启用NAS安全处置。
·输入:
o必需:ngKSI、AMF_Reroute_SecurityRequired指示、SUPI、目标AMF信息(例如,AMF ID/AMF NSI ID/AMF集ID/AMF服务集ID等)
o可选:无
·输出:
o必需:Knasint’、Knasenc’、NAS_Sec_ID(用于认证目标AMF的散列码)、ngKSI(即,密钥集标识符)
o可选:无
服务操作Ncseaf_NASKey_Request被定义如下:
·服务操作名称:Ncseaf_NASKey_Request
·说明:公共NF(例如,CSEAF、AUSF)验证NF请求者(AMF/SEAF)提供的散列码,并且如果验证成功,则安全上下文(即安全锚密钥/NAS安全密钥和/或重新路由NAS安全上下文)被提供给目标AMF以处置重新路由的NAS消息(即,初始UE消息或注册请求)。
·输入:
o必需:SUCI、NAS_Sec_ID、AMF信息(示例,AMF ID/AMF NSI ID/AMF集ID/AMF服务集ID等)
o可选:ngKSI
·输出:
o必需:SUPI、NAS_Sec_ID、(Knasint’,Knasenc’)、N-NSCI、密钥(Kamf/Kseaf)、SUPI、特殊ABBA参数(即,特定于切片隔离特征)
o可选:无
服务操作Nausf_NASKey_Request被定义如下:
·服务操作名称:Nausf_NASKey_Request
·说明:公共NF(例如,CSEAF、AUSF)验证NF请求者(AMF/SEAF)提供的散列码,并且如果验证成功,则安全上下文(即安全锚密钥/NAS安全密钥和/或重新路由NAS安全上下文)被提供给目标AMF以处置重新路由的NAS消息(即,初始UE消息或注册请求)。
·输入:
o必需:SUCI、NAS_Sec_ID、AMF信息(示例,AMF ID/AMF NSI ID/AMF集ID/AMF服务集ID等)
o可选:ngKSI
·输出:
o必需:SUPI、NAS_Sec_ID、(Knasint’,Knasenc’)、N-NSCI、密钥(Kamf/Kseaf)、SUPI、特殊ABBA参数(即,特定于切片隔离特征)
o可选:无
图5A和5B描绘了图示根据用于AMF重新分配的NAS安全处置的第二解决方案的在注册过程期间基于RAN重新路由的在AMF重新分配期间的NAS安全处置的一个实施例的信令流500。信令流500涉及UE 205、RAN 210、具有共同定位的SEAF的初始AMF(被描绘为组合实体“初始AMF/SEAF”301)、CSEAF和/或AUSF(表示公共NF)501以及与UDM共同定位的认证凭证储存库和处理功能(“ARPF”)(被描绘为组合实体“ARPF/UDM”307)。
在步骤1处,UE向RAN发送注册请求并且RAN在初始UE消息内向初始AMF发送注册请求消息(参见消息传递505)。
在可选步骤2a处,如果AMF需要SUPI和/或UE的订阅信息来决定是否重新路由注册请求,或者如果没有完整性保护地发送注册请求或完整性保护被指示为失败,则AMF可选地执行UE标识请求/响应、AUSF选择、UE认证,例如,如3GPP TS 23.502图4.2.2.2.2-1的步骤4至9a/9b中所述(参见框507)。
在该步骤中,UE和网络认证将已经成功完成,并且在成功认证之后,UE与初始AMF之间的NAS安全也将已经成功被建立。UE将包含NAS安全上下文。初始AMF将包含UE的NAS安全上下文。
在条件步骤2b处,如果初始AMF需要UE的订阅信息来决定是否重新路由注册请求并且旧的AMF没有提供UE的切片选择订阅信息,则AMF选择UDM,例如,如3GPP TS 23.501条款6.3.8中所述(参见框509)。
在步骤2c处,当初始AMF/SEAF 301不具有UE 205的切片选择订阅数据时,则初始AMF/SEAF 301例如通过调用Nudm_SDM_Get请求服务操作来请求来自UDM的订户数据,例如,如3GPP TS 23.502条款5.2.3.3.1中所述(参见消息传递511)。这里,Nudm_SDM_Get请求包括UE 205的标识(例如,SUPI)和切片选择订阅数据指示。在某些实施例中,UDM可以例如通过使用Nudr_DM_Query(SUPI,切片选择订阅数据)从UDR获得此信息。
在步骤2d处,UDM例如通过调用Nudm_SDM_Get响应服务操作将订户数据返回给初始AMF/SEAF 301(参见消息传递513)。初始AMF/SEAF 301获得包括订阅的S-NSSAI的切片选择订阅数据。
在条件步骤2e处,如果需要切片选择(参见TS 23.501的条款5.15.5.2.1),例如,初始AMF不能服务于来自通过订阅信息准许的请求的NSSAI的所有S-NSSAI,则初始AMF通过下述方式从NSSF调用Nnssf_NSSelection_Get服务操作:包括请求的NSSAI、请求的NSSAI的可选映射、具有默认S-NSSAI指示的订阅的S-NSSAI、其他接入类型的允许的NSSAI(如果有)、允许的NSSAI的映射、SUPI的PLMN ID和UE的TAI(参见消息传递515)。
在步骤2f处,NSSF 503向初始AMF/SEAF 301返回第一接入类型的允许的NSSAI、可选的允许的NSSAI的映射、第二接入类型的允许的NSSAI(如果有的话)、可选的允许的NSSAI的映射和目标AMF集或基于配置返回候选AMF列表(参见消息传递517)。NSSF 503可以执行在3GPP TS 23.501的条款5.15.5.2.1中的点(B)中指定的步骤。
NSSF 503可以返回关联到对应于某些S-NSSAI的网络切片实例的NSI ID。NSSF可以返回NRF,以用于在所选择的网络切片实例内选择NF/服务。它还可以返回有关未包括在允许的NSSAI中的S-NSSAI的拒绝原因的信息。NSSF可以返回用于服务PLMN的配置的NSSAI,并且可能返回配置的NSSAI的相关联的映射。
在步骤3处,可选地,初始AMF/SEAF 301向旧的AMF发送拒绝指示,例如,通知UE注册过程在初始AMF/SEAF 301处没有完全完成(参见框519)。此外,如果初始AMF不在本地存储目标AMF地址,并且如果经由NG-RAN消息的重新路由需要包括AMF地址,则初始AMF从NRF调用Nnrf_NFDiscovery_Request服务操作以找到具有服务于UE的所需NF能力的恰当的目标AMF。NF类型被设置为AMF。AMF集被包括在Nnrf_NFDiscovery_Request中。此外,NRF向初始AMF发送对Nnrf_NFDiscovery_Request的响应((AMF指针,AMF地址加上附加选择规则和NF能力)的列表)。NRF回复潜在目标AMF列表。
在步骤4处,由于严格切片隔离要求,初始AMF/SEAF 301决定经由NG-RAN将NAS消息重新路由到目标AMF,但是这里的主要问题是目标AMF不能直接(因为没有N14接口)或经由NGRAN(当NAS安全上下文不能被暴露给执行初始NAS消息的路由的NGRAN时)从初始AMF获取UE的NAS安全上下文(即Kamf)。
为了促进针对对应UE的正在进行的注册过程向目标AMF供应NAS安全上下文,在5GS中部署了CSEAF。请注意,仅当没有AMF具有共同定位的SEAF时,才可以将CSEAF称为独立SEAF。或者,CSEAF可以用AUSF替换,其中,AUSF实现UE安全处置/供应,如本文所述。因此,取决于网络实现,元件CSEAF/AUSF 501可以是CSEAF(例如,公共SEAF或独立SEAF)或良好连接的NF(例如,AUSF)。
如果初始AMF/SEAF 301具有在NAS SMC完成中从UE 205接收到的完整初始NAS消息,则初始AMF/SEAF 301可以通过从CSEAF/AUSF 501请求重新路由NAS安全上下文以进行重新路由消息保护,将完整初始NAS消息(其在完整性和机密性两者上受保护)在受保护的NAS容器中经由RAN 210发送到目标AMF/SEAF 401(参见消息传递521)。
或者,如果初始AMF/SEAF 301确定仅重新路由接收到的初始NAS消息(在步骤1中接收到的初始NAS消息),则初始AMF/SEAF301可以仅重新路由如从UE 205接收到的初始NAS消息。初始AMF/SEAF 301在确定经由RAN 210重新路由之后向CSEAF/AUSF501发送包含目标AMF信息、ngKSI(用于识别UE在网络中的安全上下文)、AMF_Reroute_SecurityRequired指示和用户订阅标识符(例如,SUCI和可选的与UE 205相关的一个或多个标识符,即,SUPI和/或5G-GUTI)的Ncseaf_AMFRealloc_SecurityContext(或者,Nausf_AMFRealloc_SecurityContext)请求消息。
在图5B上继续,在步骤5处,在接收到Ncseaf_AMFRealloc_SecurityContext请求消息时,CSEAF/AUSF 501基于SUCI从其本地存储器中找到SUCI-SUPI对,并且然后基于检索到的SUPI和接收到的ngKSI识别本地存储的安全上下文。此外,CSEAF/AUSF 501使用任何以下密钥导出公式(基于运营商的部署)从对应于ngKSI识别的本地存储的(选项1)Kseaf或(选项2)Kcseaf/Kausf生成重新路由安全上下文(Knasint’和Knasenc’,NAS_Sec_ID)(参见框523)。
如果需要从作为输入安全密钥的Kseaf/Kcseaf/Kausf导出重新路由安全上下文,则CSEAF/AUSF 501可以从其本地存储器容易地获取存储的Kseaf/Kcseaf/Kausf。否则,如果需要从作为输入安全密钥的Kamf导出重新路由安全上下文,则初始AMF可以CSEAF/AUSF501应该在重新路由安全上下文导出之前首先从Kseaf/Kcseaf/Kausf导出Kamf,如下。
关于用于AMF重新分配的NAS容器安全上下文生成,ABBA参数值可以具有特殊值(例如,0x0001)以表示为5GS定义的切片特定的安全特征。
关于在CSEAF/AUSF 501处的重新路由安全上下文导出,特定密钥导出可以是基于部署的特定NF。这里,输入“T-AMF-ID”表示目标AMF/SEAF 401的AMF标识信息,诸如以下中的一项或多项:目标AMF ID、目标AMF NSI ID、目标AMF集ID、目标AMF服务集ID等等。
对于选项1(即,独立SEAF)
Knasint’=KDF(Kamf,T-AMF-ID,SUPI,S-NSSAI/任何切片信息,使用类型‘NAS容器完整性’,每个输入的长度) 等式(7)
Knasenc’=KDF(Kamf,T-AMF-ID,SUPI,S-NSSAI/任何切片信息,使用类型‘NAS容器机密性’,每个输入的长度) 等式(8)
NAS_Sec_ID=Hash(Knasint’,Knasenc’,SUPI,目标AMF信息,‘Kseaf’) 等式(9)
Kamf=KDF(Kseaf,SUPI,ABBA参数,任何切片信息,N-NSCI,输入的长度) 等式(10)
对于选项3(即,共同SEAF或SEMF)
Knasint’=KDF(Kcseaf(或Ksemf)/Kamf*,T-AMF-ID,T-AMF-ID的长度,SUPI,SUPI的长度,S-NSSAI/任何切片信息,切片信息的长度,使用类型‘NAS容器完整性’,使用类型的长度) 等式(11)
Knasenc’=KDF(Kseaf/Kcseaf(或Ksemf)/Kamf*,T-AMF-ID,T-AMF-ID的长度,SUPI,SUPI的长度,S-NSSAI/任何切片信息,切片信息长度,使用类型‘NAS容器机密性’,使用类型的长度) 等式(12)
NAS_Sec_ID=Hash(Knasint’,Knasenc’,SUPI,目标AMF信息,‘Kcseaf) 等式(13)
Kamf*=KDF(Kseaf/Kcseaf/Ksemf,T-AMF-ID,SUPI,输入的长度) 等式(14)
对于选项3(即,AUSF)
Knasint’=KDF(Kausf/Kamf*,T-AMF-ID,T-AMF-ID的长度,SUPI,SUPI的长度,S-NSSAI/任何切片信息,切片信息的长度,使用类型‘NAS容器完整性’,使用类型的长度)等式(15)
Knasenc’=KDF(Kseaf/Kausf/Kamf*,T-AMF-ID,T-AMF-ID的长度,SUPI,SUPI的长度,S-NSSAI/任何切片信息,切片信息的长度,使用类型‘NAS容器机密性’,使用类型的长度) 等式(16)
NAS_Sec_ID=Hash(Knasint’,Knasenc’,SUPI,目标AMF信息,‘Kausf’) 等式(17)
Kamf*=KDF(Kseaf/Kausf,T-AMF-ID,SUPI,输入的长度) 等式(18)
CSEAF/AUSF 501在本地存储导出的重新路由安全上下文连同ngKSI、Knasint’(重新路由完整性密钥)、Knasenc’(重新路由加密密钥)和为目标AMF认证生成的散列码(NAS_Sec_ID)。
在步骤6处,CSEAF/AUSF 501在Ncseaf_AMFRealloc_Security上下文响应消息(备选地,Nausf_AMFRealloc_Security上下文响应消息)中向初始AMF发送重新路由安全上下文Knasint’、Knasenc’、NAS_Sec_ID和ngKSI(参见消息传递525)。
在步骤7处,初始AMF在接收到重新路由安全上下文时,使用Knasint’、Knasenc’来机密性和完整性保护完整初始UE消息/初始UE消息以及NAS_Sec_ID、ABBA参数、SUPI、安全算法ID(用于重新路由NAS消息保护)和ngKSI以经由NG-RAN重新路由到目标AMF/SEAF 401(参见框527)。
在步骤8a处,初始AMF/SEAF 301将受保护的完整初始NAS消息或初始NAS消息连同5G-GUTI/SUCI和CSEAF/AUSF 501在重新路由NAS消息中提供的NAS_Sec_ID、ABBA参数和ngKSI一起发送到NG-RAN(参见消息传递529)。重新路由NAS消息还包含明文NAS_Sec_ID、ngKSI、5G-GUTI/SUCI和ABBA参数。如果在重新路由消息中发送受保护的NAS消息,则初始AMF也可以发送用于加密和完整性保护的NAS安全算法。重新路由NAS消息还包含由于切片化和目标AMF信息而重新路由的指示。
诸如NAS_Sec_ID、特殊ABBA参数、安全算法ID的附加信息可以组合称为重新路由安全信息,其当完整初始UE消息被发送到目标AMF/SEAF 401时由初始AMF/SEAF 301与NAS容器中的重新路由NAS消息一起经由RAN 210发送到目标AMF/SEAF 401。或者,如果初始AMF/SEAF 301仅发送初始UE消息,则重新路由安全信息可以以明文形式发送到目标AMF/SEAF 401,在这种情况下,重新路由安全信息将包含SUCI而不是SUPI,其余其他信息元素将与上述步骤中指定的相同。
如果在受保护的NAS容器中发送重新路由NAS消息,则它包括2个部分,诸如机密性和完整性保护部分(完整UE初始消息、SUPI和重新路由安全信息)和明文IE(例如,SUCI或5G-GUTI,重新路由安全信息)。
或者,如果重新路由NAS消息在未受保护的情况下被发送,则它包括2个部分,诸如初始UE消息以及由UE在步骤1中发送的明文IE和附加明文IE(SUCI,重新路由安全信息)。
在步骤8b处,NG-RAN 210将接收到的重新路由NAS消息转发到适当的目标AMF目标AMF/SEAF 401(参见消息传递531)。
在步骤9a处,在接收到具有NAS_Sec_ID的重新路由NAS消息(作为明文重新路由安全信息的一部分)之后,目标AMF/SEAF 401确定它应该从CSEAF/AUSF 501获取对应的重新路由安全上下文以在它接收到受保护的NAS容器的情况下解密完整UE初始NAS消息(参见框533)。目标AMF/SEAF 401本地存储明文IE,诸如ABBA参数、ngKSI、5G-GUTI/SUCI、NAS安全算法ID以及NAS_Sec_ID(作为重新路由安全信息的一部分)。
在可选步骤9b处,如果目标AMF/SEAF 401接收到5G-GUTI并且还没有接收到UE205的任何SUCI,则标识请求过程可以由目标AMF/SEAF 401与UE 205发起以接收SUCI(参见消息传递535)。UE 205提供的SUCI被存储在目标AMF/SEAF 401中并且5G-GUTI被删除。
在图5C上继续,在步骤10处,目标AMF/SEAF 401在接收到NAS_Sec_ID时将Ncseaf_NASKey_Request消息(或者,Nausf_NASKey_Request消息)发送到CSEAF/AUSF 501,该消息包含SUCI(即,诸如SUCI或5G-GUTI的UE ID)、NAS_Sec_ID、ngKSI和目标AMF信息(诸如AMF集ID、AMF ID或NSI ID等)(参见消息传递537)。如果目标AMF/SEAF 401在步骤8b中接收到受保护的NAS容器,则它在Ncseaf_NASKey_Request消息中包括重新路由密钥指示符(RRK_ID)以从CSEAF/AUSF 501请求Knasint’和Knasenc’密钥。
否则,如果目标AMF/SEAF 401接收到未受保护的初始UE消息,则它在Ncseaf_NASKey_Request消息中发送NAS_Sec_ID的同时跳过重新路由密钥指示符(RRK_ID)。
在步骤11处,CSEAF/AUSF 501在接收到NAS_Sec_ID和ngKSI(重新路由密钥的散列)时通过检索相关的重新路由安全上下文来验证NAS_Sec_ID(参见框539)。如果NAS_Sec_ID验证成功,则CSEAF/AUSF 501生成新的NAS安全上下文(Kamf)(或者,安全上下文,即安全锚密钥)以提供给目标AMF/SEAF 401,如下面给出的。
Kamf=KDF(Kcseaf(或Kseaf或Kausf),SUPI,SUPI的长度,ABBA参数,ABBA的长度,切片类型/服务类型/S-NSSAI,切片信息的长度,N-NSCI,N-NSCI的长度) 等式(19)
此外,如果接收到SUCI(即,诸如SUCI或5G-GUTI的UE ID),则CSEAF/AUSF 501从其本地存储器获取对应于SUCI的SUPI(即,诸如SUCI或5G-GUTI的UE ID)。如果CSEAF/AUSF501接收到RRK_ID,则其确定还提供重新路由安全上下文。
在步骤12处,CSEAF/AUSF 501向目标AMF/SEAF 401发送Ncseaf_NASKey_Response消息(或者,Nausf_NASKey_Response),该消息包含SUPI、与NAS_Sec_ID相关的重新路由安全上下文(Knasint’,Knasenc’)、Kamf(或者,安全上下文,即安全锚密钥)、N-NSCI(向目标AMF/SEAF 401指示Kamf是从Kseaf/Kcseaf/Kausf导出的)和特殊ABBA参数(以指示为5G定义的切片特定的安全特征)(参见消息传递541)。
在步骤13处,目标AMF/SEAF 401本地存储接收到的SUPI、与NAS_Sec_ID相关的重新路由安全上下文(Knasint’,Knasenc’)、N-NSCI、Kamf和特殊ABBA参数以及ngKSI。此外,目标AMF/SEAF401使用Knasint’密钥来验证从初始AMF/SEAF 301接收到的重新路由NAS消息的完整性,并使用Knasenc’密钥来解密完整UE初始消息(即,注册请求消息)(参见框543)。在检索注册请求时,当目标AMF/SEAF401现在拥有UE ID(SUPI)和NAS安全上下文(Kamf)时,它向UE 205发起NAS安全模式命令以将新的NAS安全上下文与UE 205对准。
或者,如果目标AMF/SEAF 401仅具有初始UE消息(未受保护)和明文IE(包括订阅标识符(例如,SUCI或GUTI)、UE安全能力、ngKSI)以及除了重新路由安全上下文之外如在步骤13中从CSEAF/AUSF 501接收到的所有信息,则利用从CSEAF/AUSF 501接收到的SUPI和Kamf,目标AMF/SEAF 401发起NAS SMC。
在步骤14处,目标AMF/SEAF 401基于UE安全能力来选择NAS安全算法(完整性和加密算法)并且向UE 205发送包含新的NAS安全上下文指示符(N-NSCI)、特殊ABBA参数值和可选的请求初始NAS消息标志的NAS安全模式命令消息(参见消息传递545)。
在步骤15处,UE 205在接收到NAS安全模式命令消息中的N-NSCI时,UE 205使用本地存储的或新导出的Kseaf/Kcseaf/Kausf来导出Kamf(或者,安全上下文,即,安全锚密钥和Kamf),如下所示,类似于CSEAF/AUSF 501和目标AMF/SEAF 401中可用的一个(参见框547)。UE 205使用在Kamf生成中接收到的特殊ABBA参数和N-NSCI。UE 205还存储由目标AMF/SEAF 401指示的NAS安全算法。
Kamf=KDF(Kcseaf(或Kseaf或Kausf),SUPI,SUPI的长度,ABBA参数,ABBA的长度,切片类型/服务类型/S-NSSAI,切片信息的长度,N-NSCI,N-NSCI的长度) 等式(20)
在步骤16处,UE 205在NAS安全模式命令消息的成功验证之后,其向目标AMF/SEAF401发送NAS安全模式完成消息(参见消息传递549)。
在目标AMF/SEAF 401和UE 205之间的成功的NAS安全模式命令过程之后,目标AMF/SEAF 401向NG-RAN 210发送初始上下文建立消息以在UE 205和NG-RAN 210之间发起AS SMC以基于目标AMF/SEAF 401中可用的新的NAS安全上下文来设置AS安全。UE注册过程的执行类似于现有5G系统。
图6描绘了根据本公开的实施例的可以用于在AMF重新分配期间的安全上下文处置的用户设备装置600。在各种实施例中,用户设备装置600用于实现上述解决方案中的一种或多种。用户设备装置600可以是上述远程单元105和/或UE 205的一个实施例。此外,用户设备装置600可以包括处理器605、存储器610、输入设备615、输出设备620和收发器625。
在一些实施例中,输入设备615和输出设备620被组合成单个设备,诸如触摸屏。在某些实施例中,用户设备装置600可以不包括任何输入设备615和/或输出设备620。在各种实施例中,用户设备装置600可以包括以下中的一个或多个:处理器605、存储器610和收发器625,并且可以不包括输入设备615和/或输出设备620。
如所描绘,收发器625包括至少一个发射器630和至少一个接收器635。在一些实施例中,收发器625与一个或多个基本单元121支持的一个或多个小区(或无线覆盖区域)通信。在各种实施例中,收发器625可在非授权频谱上操作。此外,收发器625可以包括支持一个或多个波束的多个UE面板。此外,收发器625可以支持至少一个网络接口640和/或应用接口645。应用接口645可以支持一个或多个API。网络接口640可以支持3GPP参考点,诸如Uu、N1、PC5等。如本领域普通技术人员所理解的,可以支持其他网络接口640。
在一个实施例中,处理器605可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器605可以是微控制器、微处理器、中央处理单元(“CPU”)、图形处理单元(“GPU”)、辅助处理单元、现场可编程门阵列(“FPGA”)或类似的可编程控制器。在一些实施例中,处理器605执行存储在存储器610中的指令以执行本文描述的方法和例程。处理器605通信地耦合到存储器610、输入设备615、输出设备620和收发器625。在某些实施例中,处理器605可以包括管理应用域和操作系统(“OS”)功能的应用处理器(也称为“主处理器”)以及管理无线电功能的基带处理器(也称为“基带无线电处理器”)。
在各种实施例中,经由收发器625,处理器605从目标AMF接收NAS安全模式命令消息,其中,NAS安全模式命令消息包括以下中的至少一个:N-NSCI、具有特殊值的ABBA参数(即,切片特定的隔离特征)和KSI(例如,密钥集标识符)。处理器605响应于具有特殊值的ABBA参数并进一步响应于N-NSCI从主UE安全上下文(例如,从Kausf)导出新的SEAF密钥(即,Kseaf)。处理器605响应于N-NSCI从主UE安全上下文(例如,从新的Kseaf)导出新的AMF密钥(即,Kamf)。
处理器605使用从新的Kamf导出的NAS完整性密钥和使用从新的Kamf导出的NAS加密密钥来验证NAS安全模式命令消息。响应于NAS安全模式命令消息的成功验证,处理器605将Kamf连同N-NSCI、KSI和具有特殊值的ABBA参数一起存储到存储器610。经由收发器625,处理器605向目标AMF发送NAS安全模式完成消息,其中,NAS安全模式完成消息包括N-NSCI确认。
在一些实施例中,收发器625从初始AMF接收NAS安全模式命令消息,其中,NAS安全模式命令消息包括具有特殊值的ABBA参数和KSI。在这样的实施例中,处理器605使用NAS安全上下文来验证NAS安全模式命令消息并且响应于NAS安全模式命令消息的成功验证将具有特殊值的ABBA参数和KSI存储到存储器610。这里,处理器605还响应于接收到具有特殊值的ABBA参数而生成主UE安全上下文(例如,从Kausf生成新的Kseaf)。
在一些实施例中,主UE安全上下文包括AUSF密钥(即,Kausf)。在这样的实施例中,处理器605通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出新的Kseaf:具有特殊值的ABBA参数(即,切片特定的隔离特征)、ABBA参数的长度、使用类型=‘切片/服务信息/AMF集/默认’以及使用类型的长度。在某些实施例中,处理器605通过使用导出的新的Kseaf作为输入密钥并使用以下输入值中的至少一个来从主UE安全上下文导出新的Kamf:SUPI、SUPI的长度、具有特殊值的ABBA参数、ABBA参数的长度、N-NSCI和N-NSCI的长度。这里,包含具有特殊值的ABBA参数的NAS安全模式命令消息启用UE中的切片安全特征以用于Kseaf和/或Kamf导出。
在一些实施例中,主UE安全上下文包括CSEAF密钥(即,Kcseaf)。在此类实施例中,处理器使用Kausf作为输入密钥并使用以下输入值中的至少一个导出Kcseaf:FC、SNN、SNN的长度、具有特殊值的ABBA参数、ABBA参数的长度、SUPI、SUPI的长度、使用类型=‘服务网络主密钥’和使用类型的长度。在某些实施例中,处理器使用Kcseaf作为输入密钥并使用以下输入值中的至少一个从主UE安全上下文导出新的Kamf:SUPI、SUPI的长度、特殊ABBA参数、特殊ABBA参数的长度、N-NSCI和N-NSCI的长度。
在一个实施例中,存储器610是计算机可读存储介质。在一些实施例中,存储器610包括易失性计算机存储介质。例如,存储器610可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器610包括非易失性计算机存储介质。例如,存储器610可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器610包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器610存储与在AMF重新分配期间的安全上下文处置相关的数据。例如,存储器610可以存储如上所述的各种参数、面板/波束配置、资源指配、策略等。在某些实施例中,存储器610还存储程序代码和相关数据,诸如在装置600上运行的操作系统或其他控制器算法。
在一个实施例中,输入设备615可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备615可以与输出设备620集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备615包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备615包括两个或更多不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备620被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备620包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备620可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一个非限制性示例,输出设备620可以包括与用户设备装置600的其余部分分离但通信耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等等。此外,输出设备620可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备620包括一个或多个用于产生声音的扬声器。例如,输出设备620可以产生可听警报或通知(例如,哔哔声或铃声)。在一些实施例中,输出设备620包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备620的全部或部分可以与输入设备615集成。例如,输入设备615和输出设备620可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备620可以位于输入设备615附近。
收发器625经由一个或多个接入网络与移动通信网络的一个或多个网络功能进行通信。收发器625在处理器605的控制下运行以发送消息、数据和其他信号并且还接收消息、数据和其他信号。例如,处理器605可以在特定时间选择性地激活收发器625(或其部分)以便发送和接收消息。
收发器625包括至少发射器630和至少一个接收器635。一个或多个发射器630可以用于向基本单元121提供UL通信信号,例如本文描述的UL传输。类似地,一个或多个接收器635可以用于从基本单元121接收DL通信信号,如本文所述。虽然仅图示了一个发射器630和一个接收器635,但是用户设备装置600可以具有任何合适数量的发射器630和接收器635。此外,发射器630和接收器635可以是任何合适类型的发射器和接收器。在一个实施例中,收发器625包括用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在非授权无线电频谱上与移动通信网络通信的第二发射器/接收器对。
在某些实施例中,用于在授权无线电频谱上与移动通信网络通信的第一发射器/接收器对和用于在非授权无线电频谱上与移动通信网络通信的第二发射器/接收器对可以组合成单个收发器单元,例如执行与授权和非授权无线电频谱两者一起使用的功能的单个芯片。在一些实施例中,第一发射器/接收器对和第二发射器/接收器对可以共享一个或多个硬件组件。例如,某些收发器625、发射器630和接收器635可以实现为接入共享硬件资源和/或软件资源(诸如例如网络接口640)的物理上分离的组件。
在各种实施例中,一个或多个发射器630和/或一个或多个接收器635可以被实现和/或集成到单个硬件组件中,该硬件组件诸如为多收发器芯片、片上系统、ASIC或其他类型的硬件组件。在某些实施例中,一个或多个发射器630和/或一个或多个接收器635可以被实现和/或集成到多芯片模块中。在一些实施例中,诸如网络接口640或其他硬件组件/电路的其他组件可以与任意数量的发射器630和/或接收器635集成到单个芯片中。在这样的实施例中,发射器630和接收器635可以在逻辑上被配置为使用一个多个公共控制信号的收发器625,或者被配置为在同一硬件芯片中或多芯片模块中实现的模块化发射器630和接收器635。
图7描绘了根据本公开的实施例的可以用于在AMF重新分配期间的安全上下文处置的网络装置700。在一个实施例中,网络装置700可以是RAN节点的一种实施方式,诸如上述基本单元121、RAN节点210或gNB。此外,基础网络装置700可以包括处理器705、存储器710、输入设备715、输出设备720和收发器725。
在一些实施例中,输入设备715和输出设备720被组合成单个设备,诸如触摸屏。在某些实施例中,网络装置700可以不包括任何输入设备715和/或输出设备720。在各种实施例中,网络装置700可以包括以下中的一个或多个:处理器705、存储器710和收发器725,并且可以不包括输入设备715和/或输出设备720。
如图所示,收发器725包括至少一个发射器730和至少一个接收器735。这里,收发器725与一个或多个远程单元105通信。此外,收发器725可以支持至少一个网络接口740和/或应用接口745。应用接口745可以支持一个或多个API。网络接口740可以支持3GPP参考点,诸如Uu、N1、N2和N3。如本领域普通技术人员所理解的,可以支持其他网络接口740。
在一个实施例中,处理器705可以包括能够执行计算机可读指令和/或能够执行逻辑操作的任何已知控制器。例如,处理器705可以是微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA或类似的可编程控制器。在一些实施例中,处理器705执行存储在存储器710中的指令以执行本文描述的方法和例程。处理器705通信耦合到存储器710、输入设备715、输出设备720和收发器725。
在各种实施例中,网络装置700是发送UE配置和接收测量报告的RAN节点(例如,gNB),如本文所述。在这样的实施例中,处理器705控制网络装置700执行上述行为。当作为RAN节点运行时,处理器705可以包括管理应用域和操作系统(“OS”)功能的应用处理器(也称为“主处理器”)和管理无线电功能的基带处理器(也称为“基带无线电处理器”")。
在各种实施例中,处理器705控制网络装置700执行上述公共NF/CSEAF行为。如上所述,公共NF可以由CSEAF 134、AUSF 136、NSSF 137、NRF 138或另一个良好连接的NF来实现。在各种实施例中,处理器705导出重新路由安全上下文、密钥集标识符并导出用于认证目标AMF的第一认证参数(例如,NAS_Sec_ID)。这里,重新路由安全上下文至少包含用于重新路由NAS完整性保护的完整性密钥(即Knasint’)和用于重新路由NAS加密保护的加密密钥(即Knasenc’)。请注意,可以从关联到公共NF的第一密钥(即,在AUSF、NSSF、NRF、CSEAF等中配置和/或可用的密钥)导出重新路由安全上下文。
网络接口740在UE注册过程期间在AMF重新分配之后从目标AMF接收密钥请求消息(例如,NAS密钥请求),并且处理器705通过确定第二认证参数是否匹配导出的用于认证目标AMF的第一认证参数来验证密钥请求消息。这里,密钥请求消息包括以下中的至少一个:UE标识符(例如,SUCI和/或5G-GUTI)、目标AMF信息(例如,AMF集ID、AMF ID和/或AMF NSIID)、第二认证参数和重新路由密钥指示。
处理器705响应于成功地验证密钥请求消息而导出用于目标AMF及其共同定位的SEAF的新的安全上下文(例如,Kseaf或Kamf),并且网络接口740向目标AMF/SEAF发送密钥响应消息。这里,新的安全上下文是从主UE安全上下文(例如,Kseaf、Kausf和/或Kcseaf)导出的。例如,密钥导出可以如上所述,其中,Kcseaf/Kausf和/或Kseaf被用作输入密钥,其中对密钥导出功能的附加输入可以包括以下中的一项或多项:与UE相关联的SUPI、SUPI的长度、具有特殊值的ABBA参数(即切片特定的隔离特征)。此外,密钥响应消息包括以下中的至少一个:新的安全上下文(例如,Kseaf或Kamf)、与UE标识符相关联的SUPI、具有特殊值的ABBA参数(即,切片特定的隔离特征)和N-NSCI。
在一些实施例中,密钥请求消息进一步包含重新路由密钥指示,并且密钥响应消息进一步包含重新路由安全上下文。在一些实施例中,网络接口740在UE注册过程期间并且在接收密钥请求消息之前从初始AMF/SEAF接收安全上下文请求消息。这里,安全上下文请求消息包括以下中的至少一个:目标AMF信息(例如,T-AMF ID、T-AMF NSI ID和/或T-AMF集ID)、用户订阅标识符(例如,SUCI、SUPI和/或5G-GUTI)、重新路由安全要求指示和第一KSI(例如,ng-KSI)。
在这样的实施例中,处理器705响应于重新路由安全要求指示是肯定指示而生成重新路由安全上下文。这里,完整性密钥是从与网络功能相关联的第一密钥导出的,并且加密密钥是从第一密钥导出的。此外,使用以下中的至少一个作为附加输入来导出重新路由完整性密钥:目标AMF(“T-AMF”)信息(例如,T-AMF ID、T-AMF NSI ID和/或T-AMF集ID)、SUPI、S-NSSAI(或其他切片信息)、使用类型(例如,“NAS容器完整性”)和每个输入的长度。重新路由加密密钥是使用以下中的至少一个作为附加输入导出的:目标AMF信息(例如,T-AMF ID、T-AMF NSI ID和/或T-AMF集ID)、SUPI、S-NSSAI(或其他切片信息)、使用类型(例如“NAS容器机密性”)和每个输入的长度。
处理器705使用以下中的至少一个导出认证参数:完整性密钥、加密密钥、用户订阅标识符、目标AMF信息和第一密钥,将导出的重新路由安全上下文、用户订阅标识符和/或认证参数存储在本地存储器中,并且网络接口740向初始AMF/SEAF发送安全上下文响应消息。这里,安全上下文响应消息包含认证参数。在某些实施例中,安全上下文响应消息响应于重新路由安全要求指示是肯定指示而进一步包含重新路由安全上下文。在其他实施例中,安全上下文响应消息响应于重新路由安全要求指示是否定的(或者如果不存在/未接收到)而不包括重新路由安全上下文。
在一些实施例中,用户订阅标识符包括以下中的至少一个:SUCI、5G-GUTI和SUPI。在这样的实施例中,处理器705确定SUCI、5G-GUTI和/或SUPI是否被存储在本地存储器中,并且响应于确定SUCI、5G-GUTI和/或SUPI被存储在本地存储器中将对应于SUCI、5G-GUTI和/或SUPI的用户设备(“UE”)视为已经被认证。此外,处理器705可以响应于确定SUCI、5G-GUTI和/或SUPI被存储在本地存储器中,在第一安全上下文请求消息中检索(即,从本地存储器)与以下中的至少一个相关的有效主UE安全上下文(例如,Kcseaf、Kausf和/或Kseaf):认证参数(例如,NAS_Sec_ID)、用户订阅标识符和/或KSI。
在一些实施例中,网络接口740在UE初始注册过程期间从初始AMF(例如,直接地或经由共同定位的SEAF)接收UE认证请求消息并且将UE认证请求消息转发给AUSF。这里,UE认证请求消息可以包括UE的SUCI和SNN。
在某些实施例中,网络接口740进一步从AUSF接收UE认证响应消息,其中,UE认证响应消息包括SUPI和主UE安全上下文(例如,包含Kseaf、Kcseaf、Kausf)。在这样的实施例中,处理器705可以存储接收到的SUPI、主UE安全上下文和KSI,其中,KSI是识别主UE安全上下文的本地指配值。经由网络接口740,处理器705将Kseaf发送到与初始AMF共同定位的SEAF(例如,在UE认证响应消息中)。
在一些实施例中,具有特殊值的ABBA参数指示网络切片特定的特征,其中,新的SEAF密钥(即,Kseaf)和AMF密钥(即,Kamf)要从主UE安全上下文(例如,Kausf和/或Kseaf)导出以符合初始AMF和目标AMF之间的切片安全和隔离要求。在这样的实施例中,处理器705通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出新的Kseaf:具有特殊值的ABBA参数、ABBA参数的长度、使用类型=‘切片/服务信息/AMF集/默认’以及使用类型的长度。此外,处理器705可以通过使用导出的新的Kseaf作为输入密钥并使用以下输入值中的至少一个从主UE安全上下文中导出新的Kamf:SUPI、SUPI的长度、特殊ABBA参数、特殊ABBA参数的长度、N-NSCI和N-NSCI的长度。
在一些实施例中,主UE安全上下文不特定于任何网络切片(即,是切片无关的)。因此,公共网络功能基于由运营商配置的网络切片安全、服务和隔离要求以及本地策略来控制对UE安全上下文传送到其他网络功能(例如,AMF/SEAF或其他NF)的供应。在各种实施例中,核心网络中的公共NF是AUSF、NSSF、NRF、CSEAF、SEMF和/或SECF。
在一些实施例中,在UE认证响应中接收到的主UE安全上下文包含AUSF密钥(“Kausf”)并且不包含安全锚功能(“SEAF”)密钥(“Kseaf”)。因此,处理器705可以从Kausf导出Kseaf。在某些实施例中,处理器705通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘切片/服务信息/AMF集/默认’。请注意,输入FC是来自数字空间的值(即数字)。FC值可以用于区分算法的不同实例。在进一步的实施例中,处理器705可以通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:SNN、SNN的长度、切片信息和切片信息的长度。
在某些实施例中,在UE认证响应中接收到的主UE安全上下文包含SEAF密钥(即,Kseaf)并且不包含Kausf。在这样的实施例中,处理器705将接收到的Kseaf存储到本地存储器并且从Kseaf导出AMF密钥(即,Kamf)。另外,处理器705在UE认证响应消息中将Kamf提供给初始AMF。
在各种实施例中,处理器705控制网络装置700执行上述初始AMF/SEAF行为。例如,网络接口740可以在UE注册过程期间向公共NF发送安全上下文请求消息。注意,处理器705可以响应于确定经由RAN执行AMF重新分配和重新路由而触发安全上下文请求消息。这里,安全上下文请求消息包括以下中的至少一个:目标AMF信息(例如,AMF ID、AMF NSI ID和/或AMF集ID)、用户订阅标识符(例如,SUCI、SUPI和/或5G-GUTI)和KSI(例如ngKSI)。在一个实施例中,安全上下文请求消息是使用公共NF和AMF/SEAF之间的基于服务的接口的Nnf_AMFRealloc_SecurityContext请求,其中,‘Nnf’中的‘nf’用公共NF的名称(例如,AUSF、NSSF、NRF、CSEAF、SEMF、SECF等)替换。
注意,AMF标识符(“ID”)可以由AMF区域ID、AMF集ID和AMF指针构造。在一个实施例中,AMF ID的格式为AMF区域ID|AMF集ID|AMF指针,其中,符号‘|’表示级联。在一个实施例中,AMF区域ID的长度为8比特,AMF集ID的长度为10比特,并且AMF指针的长度为6比特。在此类实施例中,AMF ID将是24比特ID。
网络接口740从公共NF接收安全上下文响应消息,其中,安全上下文响应消息包含认证参数(例如,NAS_Sec_ID)。经由网络接口740,处理器705响应于确定经由RAN执行AMF重新分配和重新路由将具有NAS保护(例如,具有完整性和加密保护)的重新路由NAS消息发送到RAN节点。这里,重新路由NAS消息包含至少一个明文IE(例如,ngKSI、SUCI、重新路由安全信息)。在一个实施例中,安全上下文请求消息是使用公共NF和AMF/SEAF之间的基于服务的接口的Nnf_AMFRealloc_SecurityContext响应,其中,‘Nnf’中的‘nf’用公共NF的名称(例如,AUSF、NSSF、NRF、CSEAF、SEMF、SECF等)替换。
在一些实施例中,安全上下文请求消息进一步包含重新路由安全要求指示,并且安全上下文响应消息响应于安全上下文请求消息包含重新路由安全要求指示而进一步包含重新路由安全上下文。在一些实施例中,重新路由安全上下文至少包含用于重新路由NAS完整性的完整性密钥(即,Knasint’)和用于重新路由NAS加密的加密密钥(即,Knasenc’)。在某些实施例中,重新路由NAS消息包含使用重新路由安全上下文保护的受保护的NAS容器。
在某些实施例中,处理器705响应于初始AMF具有以下之一而确定将受保护的NAS容器包括在重新路由NAS消息中:完整初始UE消息和NAS安全信息。在此类实施例中,受保护的NAS容器包含以下中的至少一个:用户订户标识符(例如,SUPI)、完整UE初始消息、NAS安全信息和重新路由安全信息。在某些实施例中,安全上下文请求消息响应于初始AMF已经接收到完整初始UE消息而包含重新路由安全要求指示。
在一些实施例中,至少一个明文IE包括以下中的至少一个:UE安全能力、用户订阅标识符(例如,SUCI和/或5G-GUTI)、KSI、认证参数和具有特殊值的ABBA参数。在一些实施例中,重新路由NAS消息包括重新路由安全信息,该重新路由安全信息包括以下中的至少一个:接收到的认证参数、具有特殊值(即切片隔离特定值)的ABBA参数以及用于重新路由NAS完整性和加密保护的安全算法标识。
在一些实施例中,处理器705控制网络接口740在初始UE注册过程期间向公共NF(例如,CSEAF、AUSF)发送UE认证请求消息并且响应于UE认证请求消息从公共NF接收UE认证响应消息(或者,通过SEAF接收)。在这样的实施例中,UE认证请求消息包括用户订阅标识符(例如,SUCI和/或SUPI)和SNN并且UE认证响应消息包括:认证结果、具有特殊值的ABBA参数、KSI和第一密钥(例如,Kseaf和/或Kamf)。
处理器705将认证结果、具有特殊值的ABBA参数、KSI和第一密钥存储到本地存储器。在某些实施例中,第一密钥包括SEAF密钥(即,Kseaf)。在这样的实施例中,响应于初始AMF具有共同定位的SEAF而发送Kseaf。在某些实施例中,第一密钥包括AMF密钥(即,Kamf)。在这样的实施例中,响应于初始AMF不具有共同定位的SEAF而发送Kamf。
在一些实施例中,处理器705控制网络接口740向UE发送NAS安全模式命令消息并接收NAS安全模式完成消息。这里,NAS安全模式命令消息包括具有特殊值(即,切片特定的隔离特征)的ABBA参数。在这样的实施例中,处理器705使用NAS安全上下文来验证NAS安全模式完成消息并且响应于NAS安全模式完成消息的成功验证而在本地存储具有特殊值的ABBA参数。
在各种实施例中,处理器705控制网络装置700执行上述目标AMF/SEAF行为。例如,网络接口740可以接收用于UE的重新路由NAS消息(例如,包含初始UE消息或注册请求),其中,不支持与初始AMF的N14接口。这里,重新路由NAS消息包含以下中的至少一个:UE的用户订阅标识符(例如SUCI和/或5G-GUTI)、KSI(例如ngKSI)和认证参数。在一个实施例中,重新路由NAS消息还包括NAS安全算法。处理器705基于认证参数来确定获取重新路由NAS安全上下文。经由网络接口740,处理器705向公共NF发送密钥请求(例如,NAS密钥请求)消息。这里,密钥请求消息包括以下中的至少一个:认证参数、AMF信息(例如,AMF ID、AMF NSI ID、AMF集ID)、重新路由密钥指示符和KSI。在某些实施例中,密钥请求消息包括用户订阅标识符(例如,SUCI或5G-GUTI)。
网络接口740接收从公共NF到目标AMF的密钥响应消息,其中,密钥响应消息包括以下中的至少一个:与接收到的用户订阅标识符相关的SUPI、N-NSCI、具有特殊值的ABBA参数、新的安全上下文(例如,Kseaf和/或Kamf)、以及至少包含用于重新路由NAS完整性验证的完整性密钥和用于重新路由NAS解密的加密密钥的重新路由NAS安全上下文。这里,新的安全上下文是从主UE安全上下文(例如,包括密钥Kcseaf、Kseaf和/或Kausf)导出的。注意,可以从关联到公共NF的第一密钥(即,在AUSF、NSSF、NRF、CSEAF等中配置和/或可用的密钥)导出重新路由安全上下文。
在一些实施例中,处理器705经由网络接口740向UE发送NAS安全模式命令消息并且从UE接收NAS安全模式完成消息。这里,NAS安全模式命令消息包括以下中的至少一个:N-NSCI、具有特殊值的ABBA参数、KSI,并且其中,NAS安全模式完成消息包括N-NSCI确认。在这样的实施例中,处理器705响应于接收到N-NSCI确认,通过使用从关联到N-NSCI的新的Kamf导出的NAS完整性和加密密钥来验证接收到的NAS安全模式完成消息。此外,响应于NAS安全模式完成消息的成功验证,处理器705至少将KSI和具有特殊值的ABBA参数存储到本地存储器。
在某些实施例中,NAS安全模式命令消息中的ABBA参数具有特定于网络切片、切片隔离和AMF重新分配的值。这里,具有特定值的ABBA参数启用UE中的切片安全特征以用于新的SEAF密钥(即,Kseaf)导出和对应的AMF密钥(即,Kamf)导出。在某些实施例中,NAS安全模式命令消息中的N-NSCI向UE指示从新的Kseaf导出新的NAS安全上下文并对Kamf进行密钥更新以使在UE处导出的新的NAS安全与在目标AMF中可用的重新路由NAS安全上下文对准。
在一些实施例中,重新路由NAS消息包括至少一个明文IE和受保护的NAS容器。在这样的实施例中,确定获取重新路由NAS安全上下文是进一步基于接收到的NAS容器。在某些实施例中,处理器705使用重新路由安全上下文来执行对受保护NAS容器的完整性验证和解密。
在这样的实施例中,至少一个明文IE包括以下中的至少一个:UE安全能力、用户订阅标识符、KSI、认证参数(例如,NAS_Sec_ID)和具有特殊值的ABBA参数。在某些实施例中,重新路由NAS消息包含重新路由安全信息,其中,重新路由安全信息包括以下中的至少一个:接收到的认证参数、具有特殊值的ABBA参数、以及用于重新路由NAS完整性和加密保护的安全算法标识。
在一些实施例中,当不支持N14接口时,需要直接UE识别。在这样的实施例中,处理器705控制网络接口740向UE发送标识请求并从UE接收标识请求,其中,标识请求包含属于UE的SUCI。
在各种实施例中,处理器705控制网络装置700执行上述AUSF行为。例如,网络接口740可以在UE注册过程期间从公共网络功能(例如,CSEAF/SEMF/SECF)接收UE认证请求消息。这里,UE认证请求消息包括用户订户标识符(例如,SUCI和/或SUPI)和SNN。处理器705响应于成功的UE认证而导出主UE安全上下文(例如,Kcseaf和/或Kseaf),其中,主UE安全上下文包括从AUSF密钥(即,Kausf)导出的第一密钥。经由网络接口740,处理器705向公共网络功能发送UE认证响应消息,其中,UE认证响应消息包括认证结果、SUPI和主UE安全上下文。
在某些实施例中,导出主UE安全上下文进一步包括响应于移动通信网络部署与AMF共同定位的SEAF而导出SEAF密钥(即,Kseaf)。在这样的实施例中,处理器705通过使用Kcseaf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘切片/服务信息/AMF集/默认’。
在一些实施例中,第一密钥是CSEAF密钥(即,Kcseaf)。在这样的实施例中,处理器705通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出Kcseaf:FC、SNN、SNN的长度、SUPI、SUPI的长度、使用类型参数以及使用类型参数的长度,其中,使用类型参数包含字符串‘服务网络主密钥’。在某些实施例中,响应于处理器705确定发送单个主要安全上下文,在UE认证响应消息中发送的主UE安全上下文仅包含Kcseaf。在某些实施例中,响应于第四装置被配置为仅发送一个服务网络密钥,在UE认证响应消息中发送的主UE安全上下文仅包含Kcseaf。
在一些实施例中,第一密钥是SEAF密钥(即,Kseaf)。在这样的实施例中,处理器705通过使用Kcseaf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘切片/服务信息/AMF集/默认’。在某些实施例中,响应于处理器705确定发送单个主要安全上下文,在UE认证响应消息中发送的主UE安全上下文仅包括Kseaf。在某些实施例中,响应于第四装置被配置为仅发送一个服务网络密钥,在UE认证响应消息中发送的主UE安全上下文仅包括Kseaf。
在一个实施例中,存储器710是计算机可读存储介质。在一些实施例中,存储器710包括易失性计算机存储介质。例如,存储器710可以包括RAM,包括动态RAM(“DRAM”)、同步动态RAM(“SDRAM”)和/或静态RAM(“SRAM”)。在一些实施例中,存储器710包括非易失性计算机存储介质。例如,存储器710可以包括硬盘驱动器、闪存或任何其他合适的非易失性计算机存储设备。在一些实施例中,存储器710包括易失性和非易失性计算机存储介质两者。
在一些实施例中,存储器710存储与在AMF重新分配期间的安全上下文处置相关的数据。例如,存储器710可以存储参数、配置、资源指配、策略等,如上所述。在某些实施例中,存储器710还存储程序代码和相关数据,诸如在装置700上运行的操作系统或其他控制器算法。
在一个实施例中,输入设备715可以包括任何已知的计算机输入设备,包括触摸面板、按钮、键盘、手写笔、麦克风等。在一些实施例中,输入设备715可以与输出设备720集成,例如作为触摸屏或类似的触敏显示器。在一些实施例中,输入设备715包括触摸屏,使得可以使用显示在触摸屏上的虚拟键盘和/或通过在触摸屏上手写来输入文本。在一些实施例中,输入设备715包括两个或更多不同的设备,诸如键盘和触摸面板。
在一个实施例中,输出设备720被设计成输出视觉、听觉和/或触觉信号。在一些实施例中,输出设备720包括能够向用户输出视觉数据的电子可控显示器或显示设备。例如,输出设备720可以包括但不限于LCD显示器、LED显示器、OLED显示器、投影仪或能够向用户输出图像、文本等的类似显示设备。作为另一个非限制性示例,输出设备720可以包括与网络装置700的其余部分分离但通信耦合的可穿戴显示器,诸如智能手表、智能眼镜、平视显示器等。此外,输出设备720可以是智能电话、个人数字助理、电视、台式计算机、笔记本(膝上型)计算机、个人计算机、车辆仪表板等的组件。
在某些实施例中,输出设备720包括一个或多个用于产生声音的扬声器。例如,输出设备720可以产生可听警报或通知(例如,哔哔声或铃声)。在一些实施例中,输出设备720包括用于产生振动、运动或其他触觉反馈的一个或多个触觉设备。在一些实施例中,输出设备720的全部或部分可以与输入设备715集成。例如,输入设备715和输出设备720可以形成触摸屏或类似的触敏显示器。在其他实施例中,输出设备720可以位于输入设备715附近。
收发器725包括至少发射器730和至少一个接收器735。一个或多个发射器730可以用于与UE通信,如本文所述。类似地,一个或多个接收器735可以用于与PLMN和/或RAN中的网络功能进行通信,如本文所述。虽然仅示出了一个发射器730和一个接收器735,但是网络装置700可以具有任何合适数量的发射器730和接收器735。此外,发射器730和接收器735可以是任何合适类型的发射器和接收器。
图8描绘了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的方法800的一个实施例。在各种实施例中,方法800由诸如上述的CSEAF 134、AUSF 136、NSSF137、NRF 138和/或网络装置700的公共网络功能执行。在一些实施例中,方法800由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
方法800开始并导出805重新路由安全上下文并导出用于认证目标AMF的第一认证参数。这里,重新路由安全上下文至少包含用于重新路由NAS完整性保护的完整性密钥和用于重新路由NAS加密保护的加密密钥。注意,重新路由安全上下文可以从关联到公共NF的第一密钥(即,在AUSF、NSSF、NRF、CSEAF等中配置和/或可用的密钥)导出。方法800包括在UE注册过程期间在AMF重新分配之后从目标AMF接收810密钥请求消息。在一个实施例中,UE注册过程是初始注册过程。在另一个实施例中,UE注册过程是移动性注册更新过程。
方法800包括通过确定第二认证参数是否匹配导出的用于认证目标AMF的第一认证参数来验证815密钥请求消息。这里,密钥请求消息包括以下中的至少一个:UE标识符、目标AMF信息、第二认证参数和重新路由密钥指示。方法800包括响应于成功地验证密钥请求消息而导出820用于目标AMF及其共同定位的SEAF的新的安全上下文。方法800包括向目标AMF/SEAF发送825密钥响应消息。这里,新的安全上下文是从主UE安全上下文(例如,Kseaf、Kausf和/或Kcseaf)导出的。例如,密钥导出可以如上所述,其中,Kcseaf/Kausf和/或Kseaf被用作输入密钥,其中对密钥导出功能的附加输入可以包括以下中的一项或多项:与UE相关联的SUPI、SUPI的长度、具有特殊值(即,切片特定的隔离特征)的ABBA参数。此外,密钥响应消息包括以下中的至少一个:新的安全上下文、重新路由安全上下文(即,如果接收到重新路由密钥指示)、与UE标识符相关联的SUPI、具有特殊值的ABBA参数和N-NSCI。方法800结束。
图9描绘了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的方法900的一个实施例。在各种实施例中,方法900由诸如上述的AMF 131、初始AMF/SEAF301和/或网络装置700的具有共同定位的SEAF的初始AMF执行。在一些实施例中,方法900由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
方法900开始并在利用AMF重新分配的UE注册过程期间向公共NF发送905安全上下文请求消息,其中,安全上下文请求消息包括以下中的至少一个:目标AMF信息、用户订阅标识符(例如,SUPI和SUCI/5G-GUTI)、密钥请求指示符和KSI。方法900包括从公共NF接收910安全上下文响应消息,其中,安全上下文响应消息包含认证参数和KSI。在某些实施例中,安全上下文响应消息包含重新路由安全上下文。方法900还包括响应于确定经由RAN执行AMF重新分配和重新路由而向RAN节点发送915具有NAS保护的重新路由NAS消息,其中,重新路由NAS消息包含至少一个明文IE。方法900结束。
图10描绘了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的方法1000的一个实施例。在各种实施例中,方法1000由诸如上述的AMF 131、目标AMF/SEAF401和/或网络装置700的具有共同定位的SEAF的目标AMF执行。在一些实施例中,方法1000由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
方法1000开始并接收1005用于UE的重新路由NAS消息,该重新路由NAS消息包括以下中的至少一个:UE的用户订阅标识符(例如,SUCI或5G-GUTI)、KSI和认证参数,其中,不支持与初始AMF的N14接口。在一些实施例中,重新路由NAS消息还包括以下中的一种或多种:NAS安全算法、具有专用于切片特定的安全特征的特殊值的ABBA参数、NAS安全算法标识符、重新路由安全信息和/或NAS安全信息。方法1000包括基于认证参数来确定1010获取重新路由NAS安全上下文。该方法包括向公共NF发送1015密钥请求消息,其中,密钥请求消息包括以下中的至少一个:认证参数、AMF信息(例如,AMF ID、AMF NSI ID、AMF集ID)、重新路由密钥指示符和KSI。在某些实施例中,密钥请求消息包括用户订阅标识符(例如,SUCI或5G-GUTI)。
方法1000包括接收1020从公共NF到目标AMF/SEAF的密钥响应消息,其中,密钥响应消息包括以下中的至少一个:与接收到的用户订阅标识符相关的SUPI、N-NSCI、具有特殊值的ABBA参数、新的安全上下文、以及至少包含用于重新路由NAS完整性验证的完整性密钥和用于重新路由NAS解密的加密密钥的重新路由NAS安全上下文,其中,新的安全上下文是从主UE安全上下文导出的。方法1000结束。
图11描绘了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的方法1100的一个实施例。在各种实施例中,方法1100由移动通信网络中的诸如上述的AUSF136、AUSF 305和/或网络装置700的AUSF执行。在一些实施例中,方法1100由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
方法1100开始并在UE注册过程期间从公共网络功能(例如,CSEAF/SEMF/SECF)接收1105UE认证请求消息。这里,UE认证请求消息包括用户订户标识符(例如,SUCI和/或SUPI)和SNN。方法1100包括响应于成功的UE认证而导出1110主UE安全上下文(例如,包含Kcseaf和/或Kseaf),其中,主UE安全上下文包括从AUSF密钥(即Kausf)导出的第一密钥。方法1100包括向公共网络功能发送1115UE认证响应消息,其中,UE认证响应消息包括认证结果、订户永久标识(“SUPI”)和主UE安全上下文。方法1100结束。
图12描绘了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的方法1200的一个实施例。在各种实施例中,方法1200由移动通信网络中的诸如上述的远程单元105、UE 205和/或用户设备装置600的用户设备装置执行。在一些实施例中,方法1200由诸如微控制器、微处理器、CPU、GPU、辅助处理单元、FPGA等的处理器执行。
方法1200开始并从目标AMF接收1205NAS安全模式命令消息,其中,NAS安全模式命令消息包括以下中的至少一个:N-NSCI、具有特殊值的ABBA参数和KSI。方法1210包括响应于具有特殊值的ABBA参数并进一步响应于N-NSCI,从主UE安全上下文(例如,从Kausf)导出新的SEAF密钥(即,Kseaf)。方法1200包括响应于N-NSCI,从主UE安全上下文(例如,从新的Kseaf)导出1215新的AMF密钥(“Kamf”)。
方法1200包括使用从新的Kamf导出的NAS完整性密钥和使用从新的Kamf导出的NAS加密密钥来验证1220NAS安全模式命令消息。方法1200包括响应于NAS安全模式命令消息的成功验证,将Kamf连同N-NSCI、KSI和具有特殊值的ABBA参数一起存储1225到本地存储器。方法1200包括向目标AMF发送1230NAS安全模式完成消息,其中,NAS安全模式完成消息包括N-NSCI确认。方法1200结束。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第一装置。第一装置可以由移动通信网络中的诸如上述的CSEAF 134、AUSF 136、NSSF 137、NRF 138和/或网络装置700的网络功能实现。第一装置包括网络接口和处理器,该处理器导出重新路由安全上下文并导出用于认证目标AMF的第一认证参数(例如,NAS_Sec_ID)。这里,重新路由安全上下文至少包含用于重新路由NAS完整性保护的完整性密钥(即Knasint’)和用于重新路由NAS加密保护的加密密钥(即Knasenc’)。
网络接口在UE注册过程期间在AMF重新分配之后从目标AMF接收密钥请求消息(例如,NAS密钥请求)并且处理器通过确定第二认证参数是否匹配导出的用于认证目标AMF的第一认证参数来验证密钥请求消息。这里,密钥请求消息包括以下中的至少一个:UE标识符(例如,SUCI和/或5G-GUTI)、目标AMF信息(例如,AMF集ID、AMF ID和/或AMF NSI ID)、第二认证参数和重新路由密钥指示。
处理器响应于成功地验证密钥请求消息而导出用于目标AMF及其共同定位的SEAF的新的安全上下文(例如,Kseaf或Kamf),并且网络接口向目标AMF/SEAF发送密钥响应消息。这里,新的安全上下文是从主UE安全上下文(例如,Kseaf、Kausf和/或Kcseaf)导出的。例如,密钥导出可以如上所述,其中,Kcseaf/Kausf和/或Kseaf用作输入密钥,其中对密钥导出功能的附加输入可以包括以下中的一项或多项:SUPI、SUPI的长度、具有特殊值(即切片特定的隔离特征)的ABBA参数。此外,密钥响应消息包括以下中的至少一个:新的安全上下文(例如,Kseaf或Kamf)、与UE标识符相关联的SUPI、具有特殊值的ABBA参数和N-NSCI。
在一些实施例中,密钥请求消息进一步包含重新路由密钥指示,并且密钥响应消息进一步包含重新路由安全上下文。在一些实施例中,网络接口740在UE注册过程期间并且在接收密钥请求消息之前从初始AMF/SEAF接收安全上下文请求消息。这里,安全上下文请求消息包括以下中的至少一个:目标AMF信息(例如,T-AMF ID、T-AMF NSI ID和/或T-AMF集ID)、用户订阅标识符(例如,SUCI、SUPI和/或5G-GUTI)、重新路由安全要求指示和第一KSI(例如,ng-KSI)。
在这样的实施例中,处理器响应于重新路由安全要求指示是肯定指示而生成重新路由安全上下文。这里,完整性密钥是从与网络功能相关联的第一密钥导出的,并且加密密钥是从第一密钥导出的。此外,重新路由完整性密钥是使用以下中的至少一个作为附加输入导出的:目标AMF信息(例如,T-AMF ID、T-AMF NSI ID和/或T-AMF集ID)、SUPI、S-NSSAI(或其他切片信息)、使用类型(例如‘NAS容器完整性’)和每个输入的长度。重新路由加密密钥是使用以下中的至少一个作为附加输入导出的:目标AMF信息(例如,T-AMF ID、T-AMFNSI ID和/或T-AMF集ID)、SUPI、S-NSSAI(或其他切片信息)、使用类型(即‘NAS容器机密性’)和每个输入的长度。
处理器使用以下中的至少一个导出认证参数:完整性密钥、加密密钥、用户订阅标识符、目标AMF信息和第一密钥,将导出的重新路由安全上下文、用户订阅标识符和/或认证参数存储在本地存储器中,并且网络接口向初始AMF/SEAF发送安全上下文响应消息。这里,安全上下文响应消息包含认证参数。在某些实施例中,安全上下文响应消息响应于重新路由安全要求指示是肯定指示而进一步包含重新路由安全上下文。在其他实施例中,安全上下文响应消息响应于重新路由安全要求指示是否定的而不包括重新路由安全上下文。
在一些实施例中,用户订阅标识符包括以下中的至少一个:SUCI、5G-GUTI和SUPI。在这样的实施例中,处理器确定SUCI、5G-GUTI和/或SUPI是否被存储在本地存储器中,并响应于确定SUCI、5G-GUTI和/或SUPI被存储在本地存储器中将对应于SUCI、5G-GUTI和/或SUPI的用户设备(“UE”)视为已经被认证。此外,处理器可以响应于确定SUCI、5G-GUTI和/或SUPI被存储在本地存储器中,在第一安全上下文请求消息中检索(即,从本地存储器)与以下中的至少一个相关的有效主UE安全上下文(例如,Kcseaf、Kausf和/或Kseaf):认证参数(例如,NAS_Sec_ID)、用户订阅标识符和/或KSI。
在一些实施例中,网络接口在UE初始注册过程期间从初始AMF接收UE认证请求消息(例如,直接地或经由共同定位的SEAF)并且将UE认证请求消息转发给AUSF。这里,UE认证请求消息可以包括UE的SUCI和SNN。
在某些实施例中,网络接口进一步从AUSF接收UE认证响应消息,其中,UE认证响应消息包括SUPI和主UE安全上下文(例如,包含Kseaf、Kcseaf/Kausf)。在这样的实施例中,处理器可以存储接收到的SUPI、主UE安全上下文和KSI,其中,KSI是识别主UE安全上下文的本地指配值。经由网络接口,处理器将Kseaf发送到与初始AMF共同定位的SEAF(例如,在UE认证响应消息中)。
在一些实施例中,具有特殊值的ABBA参数指示网络切片特定的特征,其中,新的SEAF密钥(即,Kseaf)和AMF密钥(即,Kamf)要从主UE安全上下文(例如,包含Kausf/Kseaf)导出以符合初始AMF和目标AMF之间的切片安全和隔离要求。在此类实施例中,处理器通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出新的Kseaf:具有特殊值的ABBA参数、ABBA参数的长度、使用类型=‘切片/服务信息/AMF集/默认’和使用类型的长度。此外,处理器可以通过使用导出的新的Kseaf作为输入密钥并使用以下输入值中的至少一个来从主UE安全上下文导出新的Kamf:SUPI、SUPI的长度、特殊ABBA参数、特殊ABBA参数的长度、N-NSCI和N-NSCI的长度。
在一些实施例中,主UE安全上下文不特定于任何网络切片(即,是切片无关的)。因此,公共网络功能基于由运营商配置的网络切片安全、服务和隔离要求以及本地策略来控制对UE安全上下文传送到其他网络功能(例如,AMF/SEAF或其他NF)的供应。在各种实施例中,核心网络中的公共NF是AUSF、NSSF、NRF、CSEAF、SEMF和/或SECF。
在一些实施例中,在UE认证响应中接收到的主UE安全上下文包含AUSF密钥(“Kausf”)并且不包含安全锚功能(“SEAF”)密钥(“Kseaf”)。因此,处理器可以从Kausf导出Kseaf。在某些实施例中,处理器通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包括字符串‘切片/服务信息/AMF集/默认’。在进一步的实施例中,处理器可以通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:SNN、SNN的长度、切片信息和切片信息的长度。
在某些实施例中,在UE认证响应中接收到的主UE安全上下文包含SEAF密钥(即,Kseaf)并且不包含Kausf。在此类实施例中,处理器将接收到的Kseaf存储到本地存储器并从Kseaf导出AMF密钥(即,Kamf)。此外,处理器在UE认证响应消息中将Kamf提供给初始AMF。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第一方法。第一方法可以由移动通信网络中的诸如上述的CSEAF 134、AUSF 136、NSSF 137、NRF 138和/或网络装置700的网络功能执行。第一方法包括导出重新路由安全上下文和导出用于认证目标AMF的第一认证参数(例如,NAS_Sec_ID)。这里,重新路由安全上下文至少包含用于重新路由NAS完整性保护的完整性密钥(即Knasint’)和用于重新路由NAS加密保护的加密密钥(即Knasenc’)。
第一方法包括在UE注册过程期间在AMF重新分配之后从目标AMF接收密钥请求消息(即,NAS密钥请求)并且通过确定第二认证参数是否匹配导出的用于认证目标AMF的第一认证参数来验证密钥请求消息。这里,密钥请求消息包括以下中的至少一个:UE标识符(例如,SUCI和/或5G-GUTI)、目标AMF信息(例如,AMF集ID、AMF ID和/或AMF NSI ID)、第二认证参数和重新路由密钥指示。
第一方法包括响应于成功地验证密钥请求消息而导出用于目标AMF及其共同定位的SEAF的新的安全上下文(例如,Kseaf或Kamf)并向目标AMF/SEAF发送密钥响应消息。这里,新的安全上下文是从主UE安全上下文(例如,Kseaf、Kausf和/或Kcseaf)导出的。例如,密钥导出可以如上所述,其中,Kcseaf/Kausf和/或Kseaf用作输入密钥,其中对密钥导出功能的附加输入可以包括以下中的一项或多项:SUPI、SUPI的长度、具有特殊值(即切片特定的隔离特征)的ABBA参数。此外,密钥响应消息包括以下中的至少一个:新的安全上下文(例如,Kseaf或Kamf)、与UE标识符相关联的SUPI、具有特殊值的ABBA参数和N-NSCI。
在一些实施例中,密钥请求消息进一步包含重新路由密钥指示,并且密钥响应消息进一步包含重新路由安全上下文。在一些实施例中,第一方法还包括在UE注册过程期间并且在接收密钥请求消息之前从初始AMF/SEAF接收安全上下文请求消息。这里,安全上下文请求消息可以包括以下中的至少一个:目标AMF信息(例如,T-AMF ID、T-AMF NSI ID和/或T-AMF集ID)、用户订阅标识符(例如,SUCI、SUPI和/或5G-GUTI)、重新路由安全要求指示和第一KSI(例如,ng-KSI)。
在这样的实施例中,第一方法包括响应于重新路由安全要求指示是肯定指示而生成重新路由安全上下文。这里,完整性密钥是从与网络功能相关联的第一密钥导出的,并且加密密钥是从第一密钥导出的。此外,重新路由完整性密钥是使用以下中的至少一个作为附加输入导出的:目标AMF信息/T-AMF-ID/T-AMF集ID、SUPI、S-NSSAI/任何切片信息、使用类型‘NAS容器完整性’和每个输入的长度。重新路由加密密钥是使用以下中的至少一个作为附加输入导出的:目标AMF信息/T-AMF-ID/T-AMF集ID、SUPI、S-NSSAI/任何切片信息、使用类型‘NAS容器机密性’和每个输入的长度。
第一方法可以包括使用以下中的至少一个导出认证参数:完整性密钥、加密密钥、用户订阅标识符、目标AMF信息和第一密钥,将导出的重新路由安全上下文、用户订阅标识符和/或认证参数存储在本地存储器中,并向初始AMF/SEAF发送安全上下文响应消息。这里,安全上下文响应消息包含认证参数。在某些实施例中,安全上下文响应消息响应于重新路由安全要求指示是肯定指示而进一步包含重新路由安全上下文。在其他实施例中,安全上下文响应消息响应于重新路由安全要求指示是否定的而不包括重新路由安全上下文。
在一些实施例中,用户订阅标识符包括以下中的至少一个:SUCI、5G-GUTI和SUPI。在这样的实施例中,第一方法进一步包括确定SUCI、5G-GUTI和/或SUPI是否被存储在本地存储器中并且响应于确定SUCI、5G-GUTI和/或SUPI被存储在本地存储器中将对应于SUCI、5G-GUTI和/或SUPI的用户设备(“UE”)视为已经被认证。此外,第一方法可以包括响应于确定SUCI、5G-GUTI和/或SUPI被存储在本地存储器中,在第一安全上下文请求消息中检索(即,从本地存储器)与以下中的至少一个相关的有效主UE安全上下文(例如,Kcseaf、Kausf和/或Kseaf):认证参数(例如,NAS_Sec_ID)、用户订阅标识符和/或KSI。
在一些实施例中,第一方法包括在UE初始注册过程期间从初始AMF接收UE认证请求消息(例如,直接地或经由共同定位的SEAF)并且将UE认证请求消息转发给AUSF。这里,UE认证请求消息包括UE的SUCI和SNN。
在某些实施例中,第一方法进一步包括从AUSF接收UE认证响应消息,其中,UE认证响应消息包括SUPI和主UE安全上下文(例如,包含Kseaf、Kcseaf/Kausf)。第一方法另外包括存储接收到的SUPI、主UE安全上下文和KSI,并将Kseaf发送到与初始AMF共同定位的SEAF(例如,在UE认证响应消息中)。这里,KSI是识别主UE安全上下文的本地指配值。
在一些实施例中,具有特殊值的ABBA参数指示网络切片特定的特征,其中,新的SEAF密钥(即,Kseaf)和AMF密钥(即,Kamf)要从主UE安全上下文(例如,包含Kausf/Kseaf)导出以符合初始AMF和目标AMF之间的切片安全和隔离要求。在某些实施例中,导出新的Kseaf包括使用Kausf作为输入密钥并使用以下输入值中的至少一个:具有特殊值的ABBA参数、ABBA参数的长度、使用类型=‘切片/服务信息/AMF集/默认’和使用类型的长度。在某些实施例中,从主UE安全上下文导出新的Kamf包括使用导出的新的Kseaf作为输入密钥并使用以下输入值中的至少一个:SUPI、SUPI的长度、特殊ABBA参数、特殊ABBA参数的长度、N-NSCI和N-NSCI的长度。
在一些实施例中,主UE安全上下文不特定于任何网络切片(即,是切片无关的),并且公共网络功能基于由运营商配置的网络切片安全、服务和隔离要求以及本地策略来控制对UE安全上下文传送到其他网络功能(例如,AMF/SEAF或其他NF)的供应。在各种实施例中,核心网络中的公共NF是AUSF、NSSF、NRF、CSEAF、SEMF和/或SECF。
在一些实施例中,在UE认证响应中接收到的主UE安全上下文包含AUSF密钥(“Kausf”)并且不包含安全锚功能(“SEAF”)密钥(“Kseaf”)。在这样的实施例中,第一方法进一步包括从Kausf导出Kseaf。在某些实施例中,导出Kseaf包括使用Kausf作为输入密钥并使用以下输入值中的至少一个:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包括字符串‘切片/服务信息/AMF集/默认’。在进一步的实施例中,导出Kseaf包括使用Kausf作为输入密钥并使用以下输入值中的至少一个:SNN、SNN的长度、切片信息和切片信息的长度。
在某些实施例中,在UE认证响应中接收到的主UE安全上下文包含SEAF密钥(即,Kseaf)并且不包含Kausf。在此类实施例中,第一方法包括将接收到的Kseaf存储到本地存储器,从Kseaf导出AMF密钥(即,Kamf),并在UE认证响应消息中将Kamf提供给初始AMF。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第二装置。第二装置可以由诸如上述的AMF 131、初始AMF/SEAF 301和/或网络装置700的具有共同定位的SEAF的初始AMF实现。第二装置包括处理器和网络接口,该网络接口在UE注册过程期间向公共NF发送安全上下文请求消息(例如,Nnf_AMFRealloc_SecurityContext请求,其中,‘Nnf’中的‘nf’可以用公共NF的名称(例如,AUSF、NSSF、NRF、CSEAF、SEMF、SECF等)替换)。这里,安全上下文请求消息包括以下中的至少一个:目标AMF信息(例如,AMF ID、AMFNSI ID和/或AMF集ID)、用户订阅标识符(例如,SUCI、SUPI和/或5G-GUTI)和KSI(例如ngKSI)。
网络接口从公共NF接收安全上下文响应消息(例如,Nnf_AMFRealloc_SecurityContext响应,其中,‘Nnf’中的‘nf’可以用公共NF的名称(例如,AUSF、NSSF、NRF、CSEAF、SEMF、SECF等)替换),其中,安全上下文响应消息包含认证参数(例如,NAS_Sec_ID)。经由网络接口,处理器响应于确定经由RAN执行AMF重新分配和重新路由而向RAN节点发送具有NAS保护(例如,具有完整性和加密保护)的重新路由NAS消息。这里,重新路由NAS消息包含至少一个明文IE(例如,ngKSI、SUCI/5G-GUTI、重新路由安全信息、ABBA参数和/或NAS安全算法)。
在一些实施例中,安全上下文请求消息进一步包含重新路由安全要求指示,并且安全上下文响应消息响应于安全上下文请求消息包含重新路由安全要求指示而进一步包含重新路由安全上下文。在一些实施例中,重新路由安全上下文至少包含用于重新路由NAS完整性的完整性密钥(即,Knasint’)和用于重新路由NAS加密的加密密钥(即,Knasenc’)。在某些实施例中,重新路由NAS消息包含使用重新路由安全上下文保护的受保护的NAS容器。
在某些实施例中,处理器响应于初始AMF具有以下之一而确定将受保护的NAS容器包括在重新路由NAS消息中:完整初始UE消息和NAS安全信息。在此类实施例中,受保护的NAS容器包含以下中的至少一个:用户订户标识符(例如,SUPI)、完整UE初始消息、NAS安全信息和重新路由安全信息。在某些实施例中,安全上下文请求消息响应于初始AMF已经接收到完整初始UE消息而包含重新路由安全要求指示。
在一些实施例中,至少一个明文IE包括以下中的至少一个:UE安全能力、用户订阅标识符(例如,SUCI和/或5G-GUTI)、KSI、认证参数和具有特殊值的ABBA参数。在一些实施例中,重新路由NAS消息包括重新路由安全信息,该重新路由安全信息包括以下中的至少一个:接收到的认证参数、具有特殊值(即切片隔离特定值)的ABBA参数、以及用于重新路由NAS完整性和加密保护的安全算法标识。
在一些实施例中,处理器控制网络接口以在初始UE注册过程期间向CSEAF发送UE认证请求消息并且响应于UE认证请求消息而从CSEAF接收UE认证响应消息(或者,经由SEAF接收)。在这样的实施例中,UE认证请求消息包括用户订阅标识符(例如,SUCI和/或SUPI)和SNN并且UE认证响应消息包括:认证结果、具有特殊值的ABBA参数、KSI和第一密钥(例如,Kseaf和/或Kamf)。
处理器将认证结果、具有特殊值的ABBA参数、KSI和第一密钥存储到本地存储器。在某些实施例中,第一密钥包括SEAF密钥(即,Kseaf)。在这样的实施例中,响应于初始AMF具有共同定位的SEAF而发送Kseaf。在某些实施例中,第一密钥包括AMF密钥(即,Kamf)。在这样的实施例中,响应于初始AMF不具有共同定位的SEAF而发送Kamf。
在一些实施例中,处理器控制网络接口以向UE发送NAS安全模式命令消息并接收NAS安全模式完成消息。这里,NAS安全模式命令消息包括具有特殊值的ABBA参数。在这样的实施例中,处理器使用NAS安全上下文来验证NAS安全模式完成消息并且响应于NAS安全模式完成消息的成功验证而本地存储具有特殊值的ABBA参数。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第二方法。第二方法可以由诸如上述的AMF 131、初始AMF 301和/或网络装置700的与SEAF共同定位的初始AMF执行。第二方法包括在UE注册过程期间向公共NF发送安全上下文请求消息(例如,Nnf_AMFRealloc_SecurityContext请求,其中,‘Nnf’中的‘nf’可以用公共NF的名称(例如,AUSF、NSSF、NRF、CSEAF、SEMF、SECF等)替换)。请注意,安全上下文请求消息可以响应于初始AMF确定经由RAN执行AMF重新分配和重新路由而被触发。这里,安全上下文请求消息包括以下中的至少一个:目标AMF信息(例如,AMF ID、AMF NSI ID和/或AMF集ID)、用户订阅标识符(例如,SUCI、SUPI和/或5G-GUTI)和KSI(例如ngKSI)。
第二方法包括从公共NF接收安全上下文响应消息(例如,Nnf_AMFRealloc_SecurityContext响应,其中,‘Nnf’中的‘nf’可以用公共NF的名称(例如,AUSF、NSSF、NRF、CSEAF、SEMF、SECF等)替换),其中,安全上下文响应消息包含认证参数(例如NAS_Sec_ID)。第二方法还包括响应于确定经由RAN执行AMF重新分配和重新路由而向RAN节点发送具有NAS保护(例如,具有完整性和加密保护)的重新路由NAS消息。这里,重新路由NAS消息包含至少一个明文IE(例如,ngKSI、SUCI/5G-GUTI、重新路由安全信息、ABBA参数和/或NAS安全算法)。
在一些实施例中,安全上下文请求消息进一步包含重新路由安全要求指示,并且安全上下文响应消息响应于安全上下文请求消息包含重新路由安全要求指示而进一步包含重新路由安全上下文。在一些实施例中,重新路由安全上下文至少包含用于重新路由NAS完整性的完整性密钥(即,Knasint’)和用于重新路由NAS加密的加密密钥(即,Knasenc’)。在某些实施例中,重新路由NAS消息包含使用重新路由安全上下文保护的受保护的NAS容器。
在某些实施例中,第二方法包括响应于初始AMF具有以下之一而确定将受保护的NAS容器包括在重新路由NAS消息中:完整初始UE消息和NAS安全信息。这里,受保护的NAS容器可以包括以下中的至少一个:用户订户标识符(例如,SUPI)、完整UE初始消息、NAS安全信息和重新路由安全信息。在某些实施例中,安全上下文请求消息响应于初始AMF已经接收到完整初始UE消息而包含重新路由安全要求指示。
在一些实施例中,至少一个明文IE包括以下中的至少一个:UE安全能力、用户订阅标识符(例如,SUCI和/或5G-GUTI)、KSI、认证参数和具有特殊值的ABBA参数。在一些实施例中,重新路由NAS消息包括重新路由安全信息,该重新路由安全信息包括以下中的至少一个:接收到的认证参数、具有特殊值(即切片隔离特定值)的ABBA参数、以及用于重新路由NAS完整性和加密保护的安全算法标识。
在一些实施例中,第二方法包括在初始UE注册过程期间向CSEAF发送UE认证请求消息并且响应于UE认证请求消息而从CSEAF接收UE认证响应消息(或者,经由SEAF接收)。在这样的实施例中,UE认证请求消息包括用户订阅标识符(例如,SUCI和/或SUPI)和SNN并且UE认证响应消息包括:认证结果、具有特殊值的ABBA参数、KSI和第一密钥(例如,Kseaf和/或Kamf)。
第二方法进一步包括将认证结果、具有特殊值的ABBA参数、KSI和第一密钥存储到本地存储器。在某些实施例中,第一密钥包括SEAF密钥(即,Kseaf)。在这样的实施例中,响应于初始AMF具有共同定位的SEAF而发送Kseaf。在某些实施例中,第一密钥包括AMF密钥(即,Kamf)。在这样的实施例中,响应于初始AMF不具有共同定位的SEAF而发送Kamf。
在一些实施例中,第二方法包括向UE发送NAS安全模式命令消息和接收NAS安全模式完成消息。这里,NAS安全模式命令消息包括具有特殊值的ABBA参数。在这样的实施例中,第二方法进一步包括使用NAS安全上下文来验证NAS安全模式完成消息并且响应于NAS安全模式完成消息的成功验证而本地存储具有特殊值的ABBA参数。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第三装置。第三装置可以由诸如上述的AMF 131、目标AMF/SEAF 401和/或网络装置700的与SEAF共同定位的目标AMF实现。第三装置包括处理器和网络接口,该网络接口接收用于UE的重新路由NAS消息(例如,包含注册请求),其中,不支持与初始AMF的N14接口。这里,重新路由NAS消息包含以下中的至少一个:UE的用户订阅标识符(例如SUCI和/或5G-GUTI)、KSI(例如ngKSI)和认证参数。处理器基于认证参数来确定获取重新路由NAS安全上下文。经由网络接口,处理器向公共NF发送密钥请求(例如NAS密钥请求)消息。这里,密钥请求消息包括以下中的至少一个:认证参数、AMF信息(例如AMF ID、AMF NSI ID、AMF集ID)和KSI。
网络接口接收从公共NF到目标AMF的密钥响应消息,其中,密钥响应消息包括以下中的至少一个:与接收到的用户订阅标识符相关的SUPI、N-NSCI、具有特殊值的ABBA参数、新的安全上下文(例如,Kseaf和/或Kamf)、以及至少包含用于重新路由NAS完整性验证的完整性密钥和用于重新路由NAS解密的加密密钥的重新路由NAS安全上下文。这里,新的安全上下文是从主UE安全上下文(例如,包括密钥Kcseaf、Kseaf和/或Kausf)导出的。
在一些实施例中,处理器经由网络接口向UE发送NAS安全模式命令消息并且从UE接收NAS安全模式完成消息。这里,NAS安全模式命令消息包括以下中的至少一个:N-NSCI、具有特殊值的ABBA参数和KSI,并且其中,NAS安全模式完成消息包括N-NSCI确认。在这样的实施例中,处理器响应于接收到N-NSCI确认,通过使用从关联到N-NSCI的新的Kamf导出的NAS完整性和加密密钥来验证接收到的NAS安全模式完成消息。此外,响应于NAS安全模式完成消息的成功验证,处理器至少将KSI和具有特殊值的ABBA参数存储到本地存储器。
在某些实施例中,NAS安全模式命令消息中的ABBA参数具有特定于网络切片、切片隔离和AMF重新分配的值。这里,具有特定值的ABBA参数启用UE中的切片安全特征以用于新的SEAF密钥(即,Kseaf)导出和对应的AMF密钥(即,Kamf)导出。在某些实施例中,NAS安全模式命令消息中的N-NSCI向UE指示从新的Kseaf导出新的NAS安全上下文并对Kamf进行密钥更新以使在UE处导出的新的NAS安全与在目标AMF中可用的重新路由NAS安全上下文对准。
在一些实施例中,重新路由NAS消息包括至少一个明文IE和受保护的NAS容器。在这样的实施例中,确定获取重新路由NAS安全上下文是进一步基于接收到的NAS容器。在某些实施例中,处理器使用重新路由安全上下文来执行对受保护的NAS容器的完整性验证和解密。
在这样的实施例中,至少一个明文IE包括以下中的至少一个:UE安全能力、用户订阅标识符、KSI、认证参数(例如,NAS_Sec_ID)和具有特殊值的ABBA参数。在某些实施例中,重新路由NAS消息包含重新路由安全信息,其中,重新路由安全信息包括以下中的至少一个:接收到的认证参数、具有特殊值的ABBA参数、以及用于重新路由NAS完整性和加密保护的安全算法标识。
在一些实施例中,当不支持N14接口时,需要直接UE识别。在这样的实施例中,处理器控制网络接口以向UE发送标识请求并从UE接收标识请求,其中,标识请求包含属于UE的SUCI。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第三方法。第三方法可以由诸如上述的AMF 131、目标AMF/SEAF 401和/或网络装置700的与SEAF共同定位的目标AMF执行。第三方法包括接收用于UE的重新路由NAS消息(例如,包含注册请求),该重新路由NAS消息包括以下中的至少一个:重新路由指示、UE的用户订阅标识符(例如,SUCI和/或5G-GUTI)、KSI(例如,ngKSI)和认证参数,其中,不支持与初始AMF的N14接口。第三方法包括基于认证参数来确定获取重新路由NAS安全上下文。
第三方法包括向公共NF发送密钥请求(例如,NAS密钥请求)消息并接收从公共NF到目标AMF的密钥响应消息。这里,密钥请求消息包括以下中的至少一个:认证参数、AMF信息(例如AMF ID、AMF NSI ID、AMF集ID)、重新路由密钥指示符和KSI。此外,密钥响应消息包括以下中的至少一个:与接收到的用户订阅标识符相关的SUPI、N-NSCI、具有特殊值的ABBA参数、新的安全上下文(例如,Kseaf和/或Kamf)以及至少包含用于重新路由NAS完整性验证的完整性密钥和用于重新路由NAS解密的加密密钥的重新路由NAS安全上下文,其中,新的安全上下文是从主UE安全上下文(例如,包括密钥Kcseaf、Kseaf和/或Kausf)导出的。
在一些实施例中,第三方法包括向UE发送NAS安全模式命令消息和从UE接收NAS安全模式完成消息,其中,NAS安全模式命令消息包括以下中的至少一个:N-NSCI、具有特殊值的ABBA参数和KSI,并且其中,NAS安全模式完成消息包括N-NSCI确认。在此类实施例中,第三方法包括:响应于接收到N-NSCI确认,通过使用从关联到N-NSCI的新的Kamf导出的NAS完整性和加密密钥来验证接收到的NAS安全模式完成消息;并且响应于NAS安全模式完成消息的成功验证,本地存储KSI和具有特殊值的ABBA参数。
在某些实施例中,NAS安全模式命令消息中的ABBA参数具有特定于网络切片、切片隔离和AMF重新分配的值。这里,具有特定值的ABBA参数启用UE中的切片安全特征以用于新的SEAF密钥(即,Kseaf)导出和对应的AMF密钥(即,Kamf)导出。在某些实施例中,NAS安全模式命令消息中的N-NSCI向UE指示从新的Kseaf导出新的NAS安全上下文并对Kamf进行密钥更新以使在UE处导出的新的NAS安全与在目标AMF中可用的重新路由NAS安全上下文对准。
在一些实施例中,重新路由NAS消息包括至少一个明文IE和受保护的NAS容器。在这样的实施例中,确定获取重新路由NAS安全上下文是进一步基于接收到的NAS容器。在某些实施例中,处理器使用重新路由安全上下文来执行对受保护的NAS容器的完整性验证和解密。
在这样的实施例中,至少一个明文IE包括以下中的至少一个:UE安全能力、用户订阅标识符、KSI、认证参数(例如,NAS_Sec_ID)和具有特殊值的ABBA参数。在某些实施例中,重新路由NAS消息包含重新路由安全信息,其中,重新路由安全信息包括以下中的至少一个:接收到的认证参数、具有特殊值的ABBA参数、以及用于重新路由NAS完整性和加密保护的安全算法标识。
在一些实施例中,当不支持N14接口时,需要直接UE识别。在这样的实施例中,第三方法进一步包括向UE发送标识请求并从UE接收标识请求,其中,标识请求包含属于UE的SUCI。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第四装置。第四装置可以由移动通信网络中的诸如上述的AUSF 136、AUSF 305和/或网络装置700的认证服务器功能实现。第四装置包括处理器和网络接口,该网络接口在UE注册过程期间从公共网络功能(例如,CSEAF/SEMF/SECF)接收UE认证请求消息。这里,UE认证请求消息包括用户订户标识符(例如,SUCI和/或SUPI)和SNN。处理器响应于成功的UE认证而导出主UE安全上下文(例如,包含Kcseaf和/或Kseaf),其中,主UE安全上下文包括从AUSF密钥导出的第一密钥(即Kausf)。经由网络接口,处理器向公共网络功能发送UE认证响应消息,其中,UE认证响应消息包括认证结果、SUPI和主UE安全上下文。
在某些实施例中,导出主UE安全上下文进一步包括响应于移动通信网络部署与AMF共同定位的SEAF而导出SEAF密钥(即,Kseaf)。在这样的实施例中,处理器通过使用Kcseaf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘切片/服务信息/AMF集/默认’。
在一些实施例中,第一密钥是CSEAF密钥(即,Kcseaf)。在此类实施例中,处理器通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出Kcseaf:FC、SNN、SNN的长度、SUPI、SUPI的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘服务网络主密钥’。在某些实施例中,响应于处理器确定发送单个主要安全上下文,在UE认证响应消息中发送的主UE安全上下文仅包含Kcseaf。在某些实施例中,响应于第四装置被配置为仅发送一个服务网络密钥,在UE认证响应消息中发送的主UE安全上下文仅包含Kcseaf。
在一些实施例中,第一密钥是SEAF密钥(即,Kseaf)。在这样的实施例中,处理器通过使用Kcseaf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘切片/服务信息/AMF集/默认’。在某些实施例中,响应于处理器确定发送单个主要安全上下文,在UE认证响应消息中发送的主UE安全上下文仅包括Kseaf。在某些实施例中,响应于第四装置被配置为仅发送一个服务网络密钥,在UE认证响应消息中发送的主UE安全上下文仅包括Kseaf。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第四方法。第四方法可以由移动通信网络中的诸如上述的AUSF 136、AUSF 305和/或网络装置700的认证服务器功能(“AUSF”)执行。第四方法包括在UE注册过程期间从公共网络功能(例如,CSEAF/SEMF/SECF)接收UE认证请求消息。这里,UE认证请求消息包括用户订户标识符(例如,SUCI和/或SUPI)和SNN。第四方法包括响应于成功的UE认证而导出主UE安全上下文(例如,包含Kcseaf和/或Kseaf),其中,主UE安全上下文包括从AUSF密钥(即Kausf)导出的第一密钥。第四方法包括向公共网络功能发送UE认证响应消息,其中,UE认证响应消息包括认证结果、用户永久标识(“SUPI”)和主UE安全上下文。
在某些实施例中,导出主UE安全上下文进一步包括响应于移动通信网络部署与AMF共同定位的SEAF而导出SEAF密钥(即,Kseaf)。在这样的实施例中,处理器通过使用Kcseaf作为输入密钥并使用以下输入值中的至少一个来导出Kseaf:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘切片/服务信息/AMF集/默认’。
在一些实施例中,第一密钥是CSEAF密钥(即,Kcseaf)。在此类实施例中,导出Kcseaf包括使用Kausf作为输入密钥并使用以下输入值中的至少一个:FC、SNN、SNN的长度、SUPI、SUPI的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘服务网络主密钥’。
在某些实施例中,响应于AUSF确定发送单个主要安全上下文,在UE认证响应消息中发送的主UE安全上下文仅包括Kcseaf。在某些实施例中,响应于AUSF被配置为仅发送一个服务网络密钥,在UE认证响应消息中发送的主UE安全上下文仅包括Kcseaf。
在一些实施例中,第一密钥是SEAF密钥(即,Kseaf)。在这样的实施例中,导出Kseaf包括使用Kcseaf作为输入密钥并使用以下输入值中的至少一个:FC值、SNN、SNN的长度、使用类型参数和使用类型参数的长度,其中,使用类型参数包含字符串‘切片/服务信息/AMF集/默认’。在某些实施例中,响应于AUSF确定发送单个主要安全上下文,在UE认证响应消息中发送的主UE安全上下文仅包括Kseaf。在某些实施例中,响应于AUSF被配置为仅发送一个服务网络密钥,在UE认证响应消息中发送的主UE安全上下文仅包括Kseaf。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第五装置。第五装置可以由移动通信网络中的诸如上述的远程单元105、UE 205和/或用户设备装置600的用户设备装置实现。第五装置包括处理器和收发器,该收发器从目标AMF接收NAS安全模式命令消息,其中,NAS安全模式命令消息包括以下中的至少一个:N-NSCI、具有特殊值的ABBA参数和KSI。处理器响应于具有特殊值的ABBA参数并进一步响应于N-NSCI,从主UE安全上下文(例如,从Kausf)导出新的SEAF密钥(即,Kseaf)。处理器响应于N-NSCI,从主UE安全上下文(例如,从新的Kseaf)导出新的AMF密钥(即,Kamf)。
处理器使用从新的Kamf导出的NAS完整性密钥和使用从新的Kamf导出的NAS加密密钥来验证NAS安全模式命令消息。处理器响应于成功地验证NAS安全模式命令消息将Kamf连同N-NSCI、KSI和具有特殊值的ABBA参数一起存储到本地存储器(即,存储到易失性或非易失性存储器和/或USIM/ME中)。经由收发器,处理器向目标AMF发送NAS安全模式完成消息,其中,NAS安全模式完成消息包括N-NSCI确认。
在一些实施例中,收发器从初始AMF接收NAS安全模式命令消息,其中,NAS安全模式命令消息包括具有特殊值的ABBA参数和KSI。在这样的实施例中,处理器使用NAS安全上下文来验证NAS安全模式命令消息并且响应于NAS安全模式命令消息的成功验证将具有特殊值的ABBA参数和KSI存储到本地存储器。这里,处理器还响应于接收到具有特殊值的ABBA参数而生成主UE安全上下文(例如,从Kausf生成新的Kseaf)。
在一些实施例中,主UE安全上下文包括AUSF密钥(即,Kausf)。在此类实施例中,处理器通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出新的Kseaf:具有特殊值的ABBA参数、ABBA参数的长度、使用类型=‘切片/服务信息/AMF集/默认’和使用类型的长度。在某些实施例中,处理器通过使用导出的新的Kseaf作为输入密钥并使用以下输入值中的至少一个从主UE安全上下文中导出新的Kamf:SUPI、SUPI的长度、具有特殊值的ABBA参数、ABBA参数的长度、N-NSCI和N-NSCI的长度。这里,包含具有特殊值的ABBA参数的NAS安全模式命令消息启用UE中的切片安全特征以用于Kseaf和/或Kamf导出。
在一些实施例中,主UE安全上下文包括CSEAF密钥(即,Kcseaf)。在此类实施例中,处理器通过使用Kausf作为输入密钥并使用以下输入值中的至少一个来导出Kcseaf:FC、SNN、SNN的长度、具有特殊值的ABBA参数、ABBA参数的长度,SUPI、SUPI的长度、使用类型=‘服务网络主密钥’和使用类型的长度。在某些实施例中,处理器通过使用Kcseaf作为输入密钥并使用以下输入值中的至少一个从主UE安全上下文中导出新的Kamf:SUPI、SUPI的长度、特殊ABBA参数、特殊ABBA参数的长度、N-NSCI和N-NSCI的长度。
本文公开了根据本公开的实施例的用于在AMF重新分配期间的安全上下文处置的第五方法。第五方法可以由移动通信网络中的诸如上述的远程单元105、UE 205和/或用户设备装置600的用户设备装置执行。第五方法包括从目标AMF接收NAS安全模式命令消息。这里,NAS安全模式命令消息包括以下中的至少一个:N-NSCI、具有特殊值的ABBA参数和KSI。第五方法包括响应于具有特殊值的ABBA参数并进一步响应于N-NSCI,从主UE安全上下文(例如,从Kausf)导出新的SEAF密钥(即,Kseaf)。第五方法包括响应于N-NSCI,从主UE安全上下文(例如,从新的Kseaf)导出新的AMF密钥(即,Kamf)。
第五方法包括使用从新的Kamf导出的NAS完整性密钥和使用从新的Kamf导出的NAS加密密钥来验证NAS安全模式命令消息。第五方法包括响应于成功地验证NAS安全模式命令消息将Kamf连同N-NSCI、KSI和具有特殊值的ABBA参数一起存储到本地存储器(即,存储到易失性或非易失性存储器和/或USIM/ME中)。第五方法包括向目标AMF发送NAS安全模式完成消息,其中,NAS安全模式完成消息包括N-NSCI确认。
在一些实施例中,第五方法包括从初始AMF接收NAS安全模式命令消息,其中,NAS安全模式命令消息包括具有特殊值的ABBA参数和KSI。在这样的实施例中,第五方法进一步包括使用NAS安全上下文来验证NAS安全模式命令消息并且响应于NAS安全模式命令消息的成功验证将具有特殊值的ABBA参数和KSI存储到本地存储器。这里,第五方法还包括响应于接收到具有特殊值的ABBA参数而生成主UE安全上下文(例如,从Kausf生成新的Kseaf)。
在一些实施例中,主UE安全上下文包括AUSF密钥(即,Kausf)。在此类实施例中,导出新的Kseaf包括使用Kausf作为输入密钥并使用以下输入值中的至少一个:具有特殊值的ABBA参数、ABBA参数的长度、使用类型=‘切片/服务信息/AMF集/默认’和使用类型的长度。在某些实施例中,从主UE安全上下文导出新的Kamf包括使用导出的新的Kseaf作为输入密钥并使用以下输入值中的至少一个:SUPI、SUPI的长度、具有特殊值的ABBA参数、ABBA参数的长度、N-NSCI和N-NSCI的长度。这里,包含具有特殊值的ABBA参数的NAS安全模式命令消息启用UE中的切片安全特征以用于Kseaf和/或Kamf导出。
在一些实施例中,主UE安全上下文包括CSEAF密钥(即,Kcseaf)。在此类实施例中,导出Kcseaf包括使用Kausf作为输入密钥并使用以下输入值中的至少一个:FC、SNN、SNN的长度、具有特殊值的ABBA参数、ABBA参数的长度、SUPI、SUPI的长度、使用类型=‘服务网络主密钥’和使用类型的长度。在某些实施例中,从主UE安全上下文导出新的Kamf包括使用Kcseaf作为输入密钥并使用以下输入值中的至少一个:SUPI、SUPI的长度、特殊ABBA参数、特殊ABBA参数的长度、N-NSCI和N-NSCI的长度。
可以以其他特定形式实施实施例。所描述的实施例在所有方面都应被视为说明性的而非限制性的。因此,本发明的范围由所附权利要求而不是前述描述来指示。落入权利要求的等同物的含义和范围内的所有变化都应被包含在其范围内。
Claims (20)
1.一种核心网络中的网络功能装置,所述装置包括:
处理器,所述处理器:
导出重新路由安全上下文,所述重新路由安全上下文至少包含用于重新路由非接入层(“NAS”)完整性保护的完整性密钥和用于重新路由NAS加密保护的加密密钥;
导出用于认证具有共同定位的安全锚功能(“SEAF”)的目标接入和移动性管理功能(“AMF”)的第一认证参数;
在用户设备(“UE”)注册过程期间在AMF重新分配之后从与所述目标AMF共同定位的所述SEAF接收密钥请求消息,其中,所述密钥请求消息包括以下中的至少一个:UE标识符、目标AMF信息、第二认证参数和重新路由密钥指示;
通过确定所述第二认证参数是否匹配导出的用于认证具有所述共同定位的SEAF的所述目标AMF(“目标AMF/SEAF”)的所述第一认证参数来验证所述密钥请求消息;以及
响应于成功地验证所述密钥请求消息而导出用于所述目标AMF/SEAF的新的安全上下文,其中,所述新的安全上下文是从主UE安全上下文导出的;以及
向所述目标AMF/SEAF发送密钥响应消息的网络接口,其中,所述密钥响应消息包括以下中的至少一个:所述新的安全上下文、与所述UE标识符相关联的订阅永久标识符(“SUPI”)、具有特殊值的架构间反竞标下降(“ABBA”)参数和新的NAS安全上下文指示符(“N-NSCI”)。
2.根据权利要求1所述的装置,其中,所述密钥请求消息进一步包含重新路由密钥指示,其中,所述密钥响应消息进一步包含所述重新路由安全上下文。
3.根据权利要求1所述的装置,其中,所述处理器进一步:
在所述UE注册过程期间并且在接收所述密钥请求消息之前从具有共同定位的SEAF的初始AMF(“初始AMF/SEAF”)接收安全上下文请求消息,其中,所述安全上下文请求消息包括以下中的至少一个:目标AMF信息、用户订阅标识符、重新路由安全要求指示和第一密钥集标识符(“KSI”);
响应于所述重新路由安全要求指示是肯定指示而生成重新路由安全上下文,
其中,所述完整性密钥是从与所述网络功能装置相关联的第一密钥导出的;
其中,所述加密密钥是从所述第一密钥导出的;
使用以下中的至少一个导出所述认证参数:所述完整性密钥、所述加密密钥、所述用户订阅标识符、所述目标AMF信息和所述第一密钥;
将导出的重新路由安全上下文、所述用户订阅标识符和/或所述认证参数存储在本地存储器中;以及
向所述初始AMF/SEAF发送安全上下文响应消息,所述安全上下文响应消息包含所述认证参数,其中,响应于所述重新路由安全要求指示为肯定指示,所述安全上下文响应消息进一步包括所述重新路由安全上下文。
4.根据权利要求3所述的装置,其中,所述用户订阅标识符包括以下中的至少一个:订阅隐藏标识符(“SUCI”)、5G全球唯一临时UE标识(“5G-GUTI”)和所述SUPI,其中,所述处理器进一步:
确定所述SUCI、5G-GUTI和/或所述SUPI是否被存储在本地存储器中;
响应于确定所述SUCI、5G-GUTI和/或SUPI被存储在所述本地存储器中,将对应于所述SUCI、5G-GUTI和/或SUPI的用户设备(“UE”)视为已经被认证;以及
响应于确定所述SUCI/5G-GUTI和/或所述SUPI被存储在所述本地存储器中,在第一安全上下文请求消息中检索与以下中的至少一个相关的有效主UE安全上下文(Kcseaf/Kausf/Kseaf):所述认证参数、用户订阅标识符和/或KSI。
5.根据权利要求1所述的装置,其中,具有所述特殊值的所述ABBA参数指示网络切片特定的特征,其中,新的安全锚功能(“SEAF”)密钥(“Kseaf”)和AMF密钥(“Kamf”)要从所述主UE安全上下文导出以遵守在所述初始AMF和所述目标AMF之间的切片安全和隔离要求,其中,导出所述新的Kseaf包括使用所述Kausf作为输入密钥并使用以下输入值中的至少一个:具有所述特殊值的所述ABBA参数、所述ABBA参数的长度、使用类型=‘切片/服务信息/AMF集/默认’、以及使用类型的长度,其中,从所述主UE安全上下文导出所述新的Kamf包括使用导出的新的Kseaf作为输入密钥并使用以下输入值中的至少一个:SUPI、SUPI的长度、特殊ABBA参数、特殊ABBA参数的长度、N-NSCI和N-NSCI的长度。
6.根据权利要求1所述的装置,其中,所述主UE安全上下文不特定于任何网络切片,其中,所述处理器基于由运营商配置的网络切片安全、服务和隔离要求以及本地策略来控制对UE安全上下文传送到其他网络功能的供应。
7.根据权利要求1所述的装置,其中,所述网络功能装置包括以下中的一个:认证服务器功能(“AUSF”)、网络切片选择功能(“NSSF”)、网络储存库功能(“NRF”)、通用安全锚功能(“CSEAF”)、安全管理功能(“SEMF”)和安全控制功能(“SECF”)。
8.一种与安全锚功能(“SEAF”)共同定位的初始接入和移动性管理功能(“AMF”)装置,所述装置包括:
网络接口;以及
处理器,所述处理器:
在用户设备(“UE”)注册过程期间向公共网络功能(“NF”)发送安全上下文请求消息,其中,所述安全上下文请求消息包括以下中的至少一个:目标AMF信息、用户订阅标识符和密钥集标识符(“KSI”);
从所述公共NF接收安全上下文响应消息,其中,所述安全上下文响应消息包含认证参数;以及
响应于确定经由无线电接入网络(“RAN”)执行AMF重新分配和重新路由而向RAN节点发送具有非接入层(“NAS”)保护的重新路由NAS消息,其中,所述重新路由NAS消息包括至少一个明文信息元素(“IE”)。
9.根据权利要求8所述的装置,其中,所述安全上下文请求消息进一步包含重新路由安全要求指示,其中,响应于所述安全上下文请求消息包含所述重新路由安全要求指示,所述安全上下文响应消息进一步包含重新路由安全上下文。
10.根据权利要求9所述的装置,其中,所述重新路由安全上下文至少包含用于重新路由NAS完整性的完整性密钥和用于重新路由NAS加密的加密密钥,其中,所述重新路由NAS消息包括使用所述重新路由安全上下文保护的受保护NAS容器。
11.根据权利要求10所述的装置,其中,所述处理器响应于所述初始AMF具有以下中的一个而确定将所述受保护的NAS容器包括在所述重新路由NAS消息中:完整初始UE消息和NAS安全信息,其中,所述受保护的NAS容器包括以下中的至少一个:所述用户订户标识符、所述完整UE初始消息、所述NAS安全信息和重新路由安全信息。
12.根据权利要求8所述的装置,其中,所述至少一个明文IE包括以下中的至少一个:UE安全能力、所述用户订阅标识符、所述KSI、所述认证参数和具有特殊值的架构间反竞标下降(“ABBA”)参数。
13.根据权利要求8所述的装置,其中,所述重新路由NAS消息包括重新路由安全信息,所述重新路由安全信息包括以下中的至少一个:接收到的认证参数、具有特殊值的架构间反竞标下降(“ABBA”)参数、以及用于重新路由NAS完整性和加密保护的安全算法标识。
14.一种与安全锚功能(“SEAF”)共同定位的目标接入和移动性管理功能(“AMF”)装置,所述装置包括:
网络接口,所述网络接口接收用于UE的重新路由非接入层(“NAS”)消息,所述重新路由NAS消息包括以下中的至少一个:用户设备(“UE”)的用户订阅标识符、密钥集标识符(“KSI”)和认证参数,其中,不支持与初始AMF的N14接口;以及
处理器,所述处理器:
基于所述认证参数来确定获取重新路由非接入层(“NAS”)安全上下文;
其中,所述网络接口进一步:
向公共网络功能(“NF”)发送密钥请求消息,其中,所述密钥请求消息包括以下中的至少一个:所述认证参数、AMF信息、重新路由密钥指示符和所述KSI;以及
接收从所述公共NF到所述目标AMF的密钥响应消息,其中,所述密钥响应消息包括以下中的至少一个:与接收到的用户订阅标识符相关的订阅永久标识符(“SUPI”)、新的NAS安全上下文指示符(“N-NSCI”)、具有特殊值的架构间反竞标下降(“ABBA”)参数、新的安全上下文、以及至少包含用于重新路由NAS完整性验证的完整性密钥和用于重新路由NAS解密的加密密钥的重新路由NAS安全上下文,其中,所述新的安全上下文是从主UE安全上下文导出的。
15.根据权利要求14所述的装置,
其中,收发器进一步:
向所述UE发送NAS安全模式命令消息,其中,所述NAS安全模式命令消息包括以下中的至少一个:所述N-NSCI、具有所述特殊值的所述ABBA参数、以及所述KSI;以及
从所述UE接收NAS安全模式完成消息,其中,所述NAS安全模式完成消息包括N-NSCI确认,
其中,所述处理器进一步:
响应于接收到N-NSCI确认,通过使用从关联到所述N-NSCI的新的Kamf导出的NAS完整性和加密密钥来验证接收到的NAS安全模式完成消息;以及
响应于所述NAS安全模式完成消息的成功验证,将所述KSI和所述ABBA参数存储到本地存储器。
16.根据权利要求15所述的装置,其中,所述NAS安全模式命令消息中的所述ABBA参数启用所述UE中的切片安全特征以用于新的SEAF密钥(“Kseaf”)导出和对应的AMF密钥(“Kamf”)导出。
17.根据权利要求16所述的装置,其中,所述NAS安全模式命令消息中的所述N-NSCI向所述UE指示从所述新的Kseaf导出新的NAS安全上下文并且对所述Kamf进行密钥更新以使在UE处导出的所述新的NAS安全与在所述目标AMF中可用的所述重新路由NAS安全上下文对齐。
18.根据权利要求14所述的装置,其中,所述重新路由NAS消息包括至少一个明文信息元素(“IE”)和受保护的NAS容器,其中,确定获取所述重新路由NAS安全上下文是进一步基于接收到的NAS容器,其中,所述重新路由NAS消息包括至少一个明文信息元素(“IE”),其中,所述至少一个明文IE包括以下中的至少一个:UE安全能力、所述用户订阅标识符、所述KSI、所述认证参数和具有所述特殊值的所述ABBA参数,其中,所述重新路由NAS消息包括重新路由安全信息,所述重新路由安全信息包括以下中的至少一个:接收到的认证参数、具有所述特殊值的所述ABBA参数、以及用于重新路由NAS完整性和加密保护的安全算法标识。
19.一种用户设备(“UE”)装置,包括:
收发器,所述收发器从目标接入和移动性管理功能(“AMF”)接收非接入层(“NAS”)安全模式命令消息,其中,所述NAS安全模式命令消息包括以下中的至少一个:新的NAS安全上下文指示符(“N-NSCI”)、具有特殊值的架构间反竞标下降(“ABBA”)参数、以及密钥集标识符(“KSI”);以及
处理器,所述处理器:
响应于具有所述特殊值的所述ABBA参数并进一步响应于所述N-NSCI,从主用户设备(“UE”)安全上下文导出新的安全锚功能(“SEAF”)密钥(“Kseaf”);
响应于所述N-NSCI,从所述主UE安全上下文导出新的AMF密钥(“Kamf”);
使用从所述新的Kamf导出的NAS完整性密钥和使用从所述新的Kamf导出的NAS加密密钥来验证所述NAS安全模式命令消息;
响应于所述NAS安全模式命令消息的成功验证,将所述新的Kamf连同所述N-NSCI、所述KSI和具有所述特殊值的所述ABBA参数一起存储到本地存储器;以及
向所述目标AMF发送所述NAS安全模式完成消息,所述NAS安全模式完成消息包括N-NSCI确认。
20.根据权利要求19所述的装置,其中,所述主UE安全上下文包括认证服务器功能(“AUSF”)密钥(“Kausf”),其中,导出所述新的Kseaf包括使用所述Kausf作为输入密钥并使用以下输入值中的至少一个:具有所述特殊值的所述ABBA参数、所述ABBA参数的长度、使用类型=‘切片/服务信息/AMF集/默认’、以及使用类型的长度,其中,从所述主UE安全上下文导出所述新的Kamf包括使用导出的新的Kseaf作为输入密钥并使用以下输入值中的至少一个:SUPI、SUPI的长度、特殊ABBA参数、特殊ABBA参数的长度、N-NSCI和N-NSCI的长度,其中,包含具有所述特殊值的所述ABBA参数的所述NAS安全模式命令消息启用所述UE中的切片安全特征以用于Kseaf和/或Kamf导出。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063044981P | 2020-06-26 | 2020-06-26 | |
| US63/044,981 | 2020-06-26 | ||
| PCT/IB2021/055721 WO2021260661A1 (en) | 2020-06-26 | 2021-06-26 | Security context for target amf |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115769616A true CN115769616A (zh) | 2023-03-07 |
Family
ID=76744882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180044503.7A Pending CN115769616A (zh) | 2020-06-26 | 2021-06-26 | 用于目标amf的安全上下文 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230262453A1 (zh) |
| EP (1) | EP4173332A1 (zh) |
| CN (1) | CN115769616A (zh) |
| BR (1) | BR112022026269A2 (zh) |
| WO (1) | WO2021260661A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20230043969A (ko) * | 2020-07-31 | 2023-03-31 | 비보 모바일 커뮤니케이션 컴퍼니 리미티드 | 접속 제어 방법, 장치 및 통신기기 |
| US11432158B2 (en) * | 2020-08-10 | 2022-08-30 | Verizon Patent And Licensing Inc. | Systems and methods for using a unique routing indicator to connect to a network |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102577006B1 (ko) * | 2018-08-13 | 2023-09-11 | 삼성전자 주식회사 | 4g 및 5g 네트워크 이동 시 네트워크 슬라이스 지원 방법 및 장치 |
| EP3939224A1 (en) * | 2019-03-13 | 2022-01-19 | Telefonaktiebolaget LM Ericsson (publ) | Providing ue capability information to an authentication server |
| US11792767B2 (en) * | 2019-03-19 | 2023-10-17 | Comcast Cable Communications, Llc | Wireless communications for communication setup/response |
| EP3737197B1 (en) * | 2019-05-06 | 2022-12-07 | Comcast Cable Communications LLC | Wireless communications for asymmetric services |
| US20210385625A1 (en) * | 2020-06-04 | 2021-12-09 | Comcast Cable Communications, Llc | Wireless device location determination |
-
2020
- 2020-06-26 US US18/012,383 patent/US20230262453A1/en active Pending
-
2021
- 2021-06-26 CN CN202180044503.7A patent/CN115769616A/zh active Pending
- 2021-06-26 WO PCT/IB2021/055721 patent/WO2021260661A1/en active Application Filing
- 2021-06-26 BR BR112022026269A patent/BR112022026269A2/pt unknown
- 2021-06-26 EP EP21737174.9A patent/EP4173332A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4173332A1 (en) | 2023-05-03 |
| WO2021260661A1 (en) | 2021-12-30 |
| US20230262453A1 (en) | 2023-08-17 |
| BR112022026269A2 (pt) | 2023-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114080843A (zh) | 用于增强5g网络的网络切片和策略框架的装置、系统和方法 | |
| US20230269589A1 (en) | Slice-specific security requirement information | |
| US20230231851A1 (en) | Authenticating a device not having a subscription in a network | |
| US20230171600A1 (en) | Distinct user plane security | |
| CN115769616A (zh) | 用于目标amf的安全上下文 | |
| EP4173335B1 (en) | Authentication using slice capability indication | |
| US20240098494A1 (en) | Revocation of uas-related authorization and security information | |
| US20230262460A1 (en) | Network function reallocation with security context | |
| CN118020330A (zh) | 使用应用的认证及密钥管理实现漫游 | |
| US20240236906A1 (en) | Establishing an additional registration with a mobile network | |
| CN116965003A (zh) | 基于路由信息的网络安全 | |
| US12143812B2 (en) | Enabling roaming with authentication and key management for applications | |
| US20230284030A1 (en) | Uas authentication and security establishment | |
| US20240313969A1 (en) | Establishing a trust relationship between an application entity and a wireless communication network | |
| US20230292114A1 (en) | Securing communications between user equipment devices | |
| EP4454349A1 (en) | Slice-based network selection information | |
| JP2024537675A (ja) | セキュアドパケットのプロビジョニング |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |