CN109587688B - ***间移动性中的安全性 - Google Patents
***间移动性中的安全性 Download PDFInfo
- Publication number
- CN109587688B CN109587688B CN201811142939.6A CN201811142939A CN109587688B CN 109587688 B CN109587688 B CN 109587688B CN 201811142939 A CN201811142939 A CN 201811142939A CN 109587688 B CN109587688 B CN 109587688B
- Authority
- CN
- China
- Prior art keywords
- network
- user equipment
- target network
- mobility management
- management element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 39
- 238000012795 verification Methods 0.000 claims abstract description 32
- 238000000034 method Methods 0.000 claims description 42
- 230000004044 response Effects 0.000 claims description 11
- 230000006870 function Effects 0.000 description 31
- 230000015654 memory Effects 0.000 description 16
- 238000012545 processing Methods 0.000 description 9
- 238000013507 mapping Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000015556 catabolic process Effects 0.000 description 3
- 238000006731 degradation reaction Methods 0.000 description 3
- 239000002346 layers by function Substances 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/104—Location integrity, e.g. secure geotagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/10—Reselecting an access point controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Selective Calling Equipment (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
根据用户设备从接入通信***环境中的源网络移动到接入目标网络的移动性事件的发生,所述用户设备向所述目标网络发送控制平面消息,所述控制平面消息包括与所述源网络相关联的完整性验证参数和与所述目标网络相关联的完整性验证参数。通过在由用户设备发送到目标网络的移动性管理元件的初始消息中为源网络和目标网络两者提供完整性验证参数,目标网络的移动性管理元件可以自己验证用户设备或者寻求源网络的帮助。
Description
技术领域
该领域通常涉及通信***,更具体地但非排他地涉及这些***内的安全性。
背景技术
本部分介绍可能有助于对本发明的更好的理解的方面。因此,本部分的陈述将以这种方式阅读,并且不应被理解为承认哪些是现有技术或哪些不是现有技术。
***(4G)无线移动电信技术,也称为长期演进(LTE)技术,被设计为特别为人类交互提供具有高数据速率的高容量移动多媒体。下一代或第五代(5G)技术不仅旨在用于人类交互,还用于所谓的物联网(IoT)网络中的机器类型通信。
虽然5G网络旨在实现大规模IoT服务(例如,非常大量的有限容量设备)和关键任务IoT服务(例如,需要高可靠性),但是传统移动通信服务的改进以增强型移动宽带(eMBB)服务的形式得到支持,其旨在为移动设备提供改进的无线互联网接入。
在两个网络之间的用户设备或UE(诸如,移动终端或订户)的移动性(即,***间移动性)期间的安全性是重要的考虑因素。例如,如果UE中存在有效且被网络接受的当前NAS安全性上下文,则UE 与网络之间的例如注册消息的初始非接入层(NAS)消息受到UE的完整性保护。
今天,在UE在网络之间移动的场景中,例如4G网络和5G网络之间的互通,尚未定义足够的完整性验证。
发明内容
示意性实施例提供用于通信***环境中的用户设备的安全***间移动性的改进技术。
在根据示意性实施例的一个或多个方法中,根据用户设备从接入通信***环境中的源网络移动到接入目标网络的移动性事件的发生,所述用户设备向所述目标网络发送控制平面消息,所述控制平面消息包括与所述源网络相关联的完整性验证参数和与所述目标网络相关联的完整性验证参数。
在另一示意性实施例中,根据用户设备从接入通信***环境中的源网络移动到接入目标网络的移动性事件的发生,所述目标网络的移动性管理元件从所述用户设备接收控制平面消息,所述控制平面消息包括与所述源网络相关联的完整性验证参数和与所述目标网络相关联的完整性验证参数。
在另一实施例中,根据用户设备从接入通信***环境中的源网络移动到接入目标网络的移动性事件的发生,当所述目标网络的移动性管理元件不能基于从所述用户设备接收的控制平面消息来验证所述用户设备时,所述源网络的移动性管理元件从所述目标网络的所述移动性管理元件接收上下文请求消息,所述控制平面消息包括与所述源网络相关联的完整性验证参数和与所述目标网络相关联的完整性验证参数。
有利地,通过在由用户设备发送到目标网络的移动性管理元件的控制平面消息(例如,5G中的注册请求消息和4G中的跟踪区域更新消息)中为源网络和目标网络两者提供完整性验证参数,目标网络的移动性管理元件不必发起新的认证和密钥协商(AKA)运行,因此除了其他益处之外,还避免了性能下降。相反,目标网络可以自己验证用户设备或寻求源网络的帮助。
进一步的实施例以非暂时性计算机可读存储介质的形式提供,其中体现可执行程序代码,当由处理器执行时,该可执行程序代码使处理器执行上述步骤。又一些实施例包括具有处理器和存储器的装置,其被配置为执行上述步骤。
根据附图和以下详细描述,本文描述的实施例的这些和其他特征和优点将变得更加明显。
附图说明
图1示出了示意性实施例中的通信***环境的框图。
图2示出了示意性实施例中的网络元件/功能的更详细视图。
图3示出了示意性实施例中的安全***间移动性过程的消息流程。
图4示出了另一示意性实施例中的安全***间移动性过程的消息流程。
具体实施方式
本文将结合示例通信***和相关技术来说明实施例,用于在***间移动性期间为用户设备提供安全性,除了其他益处之外,其还避免核心网络的性能下降。然而,应当理解,权利要求的范围不限于所公开的特定类型的通信***和/或过程。可以使用替代过程和操作在各种其他类型的通信***中实现实施例。例如,尽管在利用诸如LTE演进分组核心(4G)和3GPP下一代***(5G)的3GPP***元件的无线蜂窝***的上下文中进行了说明,但是所公开的实施例可以以直接的方式适应于各种其他类型的通信***,包括但不限于WiMAX***和Wi-Fi***。
在现有***中,单个消息认证码(MAC)参数用于完整性保护发送到网络的NAS消息。在从源网络到目标网络的移动性事件(活动模式移动性,即切换,或空闲模式移动性)的情况下,初始NAS消息被发送到目标网络以触发移动性事件。如果UE仍然具有针对目标网络的有效安全性上下文,则它将使用该安全性上下文对NAS消息进行完整性保护,并使用MAC参数向目标网络发送生成的MAC代码。在现有方法中,NAS-MAC参数是包含要由源网络或目标网络验证的验证码的公共参数。只要源网络和目标网络都属于相同类型,即它们均为LTE网络,这都没有问题。然而,当源网络和目标网络属于不同类型时,这成为问题,例如源网络是LTE网络,并且目标网络是5G网络;问题是LTE中使用的MAC(很可能)与将在5G中使用的MAC不同。然而,今天不存在如果需要的话UE为源和目标网络两者发送两个独立MAC以验证消息的完整性的机制。
因此,当前机制的问题在于UE在事先不知道它发送到目标网络的初始完整性受保护消息是否可以被目标网络成功验证。目标网络可能已删除UE的对应“原生(native)”安全性上下文。在这种情况下,目标网络无法验证消息。另外,目标网络不能依赖源网络来验证消息,因为没有其他字段携带要由源网络验证的第二MAC。
目标网络的唯一逻辑动作是通过执行新的认证和密钥协商 (AKA)运行再次重新认证UE,然后通过相关过程来生成NAS和AS(接入层)安全性密钥。然而,重新认证对性能产生了显着的负面影响,因此可以避免这种情况的解决方案将被优先考虑。
如本文中示意性地使用的,非接入层(NAS)是通信网络的功能层,其为UE和核心网络(CN)之间的某些控制平面功能提供非无线电信令,其对无线电接入网络(RAN)是透明的。这些功能包括但不限于移动性管理、认证等。将NAS功能层与接入层(AS)进行比较,接入层是NAS下面的功能层,其提供UE和RAN之间的功能,包括但不是仅限于通过无线连接和无线电资源管理的数据传输。
示意性实施例提供用于***间移动性场景的改进技术。更具体地,在一个实施例中,如果需要,在5G中的初始NAS消息中提供参数以携带附加的4G-MAC以供源网络验证。在另一实施例中,类似地,当UE从5G网络移动到4G网络时,提供4G和5G验证参数两者。
在描述具有从4G到5G以及从5G到4G的移动性的互通场景之前,在图1和2的上下文中描述了其中这样的示意性实施例被实现的示例性通信***环境。
5G安全性方面在名称为“3rd Generation Partnership Project; TechnicalSpecification Group Services and System Aspects;Study on the security aspectsof the next generation system(Release 14),”的5G Technical Report(TR)33.899,V1.1.0和名称为“Security Architecture and Procedures for 5G System”的TS33.501,v0.3.0中得到了解决,其公开的全部内容通过引用并入本文。特别感兴趣的是UE正在从接入 5G网络移动到接入4G网络,并且相反,从接入4G网络转移到接入 5G网络的场景。不同代通信网络之间的这种移动在本文中通常称为“***间移动性”。除了安全性问题之外,当然,性能下降也是这种网络的关注点,即,在可能的情况下避免附加处理开销的上下文中。
图1示出了通信***环境100,其中实现了示意性实施例。更具体地,通信***环境100示出了(P/O)4G网络的一部分和5G网络的一部分。假定UE 102涉及从源网络(即,从4G网络和5G网络之一)到目标网络(即,到4G网络和5G网络中的另一个)的移动性事件(活动模式移动性,即,切换,或空闲模式移动性)。应当理解,通信***环境100中示出的元件旨在表示***内提供的主要功能,例如,UE接入功能和移动性管理功能。这样,图1中所示的方框参考了LTE和5G网络中提供主要功能的特定元件。然而,可以使用其他网络元件来实现所表示的主要功能中的一些或全部。而且,应当理解,图1中并非描绘了LTE或5G网络的所有功能。相反,表示了便于解释示意性实施例的功能。
因此,如图1所示,通信***环境100包括用户设备(UE)102,其经由空中接口103与图1中所示的4G网络的一部分中的接入点(例如,4G网络中的演进节点B或eNB)104通信。UE102可以是移动台,并且这种移动台可以包括,例如,移动电话、计算机或任何其他类型的通信设备。因此,本文使用的术语“用户设备”旨在被广义地解释,以便涵盖各种不同类型的移动台、订户站或更一般地,通信设备,包括诸如***膝上型计算机或其他设备的数据卡的组合的示例。这种通信设备还旨在涵盖通常称为接入终端的设备。
在一个实施例中,UE 102包括通用集成电路卡(UICC)和移动设备(ME)。UICC是UE的用户相关部分,并且包含至少一个通用订户身份模块(USIM)和适当的应用软件。USIM安全地存储国际移动用户识别码(IMSI)号码及其相关密钥,其用于识别和验证接入网络的用户。ME是UE的用户独立部分,并且包含终端设备(TE)功能和各种移动终端(MT)功能。
接入点104示意性地是4G网络的接入网络的一部分。这种接入网络可以包括多个基站。基站可以是逻辑上分离的实体,但是在给定实施例中可以在相同的物理网络元件中实现,诸如例如基站路由器或毫微微蜂窝接入点。在LTE(4G)网络中,接入网络是演进的通用陆地无线电接入网络(E-UTRAN)。通常,接入点向UE提供对核心网络(CN)的接入,核心网络然后向UE提供对其他UE和/或诸如分组数据网络(例如,因特网)的数据网络的接入。
该示意性实施例中的接入点104可操作地耦合到移动性管理功能 106。在4G网络中,该功能通常由移动性管理实体(MME)实现。这里使用的移动性管理功能是通信***的CN部分中的元件或功能,其管理与UE(通过接入点104)的接入和认证操作以及其他网络操作。
类似地,在如图1所示的5G网络中,UE 102可替代地经由空中接口113与接入点(例如,5G网络中的gNB)114进行通信。例如, 5G***在名称为“Technical SpecificationGroup Services and System Aspects;System Architecture for the 5G System”的5G技术规范(TS) 23.501,V0.4.0中描述,其公开的全部内容通过引用并入本文。
该示意性实施例中的接入点114可操作地耦合到移动性管理功能 116。在5G网络中,该功能由接入和移动性管理功能(AMF)实现。尽管没有明确示出,但是可以利用移动性管理连接UE的AMF来实现安全性锚定功能(SEAF)。因此,5G中的KSEAF将接管LTE中的接入安全管理实体密钥(KASME)的角色。
应当理解,图1中的***元件的这种特定布置仅是示例,并且可以使用其他类型和布置的附加或替代元件来实现其他实施例中的通信***。例如,在其他实施例中,***环境100可以包括认证元件、网关元件、以及本文未明确示出的其他元件。
因此,图1的布置仅是无线蜂窝***环境的一个示例配置,并且***元件的许多替代配置可以被使用。例如,尽管在图1的实施例中仅示出了单个UE、eNB/gNB和MME/AMF元件,但这仅是为了描述的简单和清楚。给定的替代实施例当然可以包括更多数量的这种***元件,以及通常与传统***实现相关联的类型的附加或替代元件。
还应注意,虽然图1将***元件示为单个功能块,但构成5G网络的各种子网被划分为所谓的网络片。网络片(网络分区)包括在公共物理基础设施上使用网络功能虚拟化(NFV)的每个对应服务类型的一系列功能集合(即,功能链)。网络片根据给定服务的需要被实例化,例如,eMBB服务、大规模IoT服务和任务关键型IoT服务。因此,当该网络切片或功能的实例被创建时,网络切片或功能被实例化。在一些实施例中,这涉及在底层物理基础设施的一个或多个主机设备上安装或以其他方式运行网络切片或功能。UE 102被配置为经由gNB 114接入这些服务中的一个或多个。
图2示出了示意性实施例中的MME 106和AMF 116的更详细视图。MME 106包括耦合到存储器202和接口电路204的处理器200。 MME 106的处理器200包括安全***间移动性处理模块210,其可以至少部分地以由处理器执行的软件的形式实现。处理模块210执行结合后续附图并以其他方式在本文中描述的处理的操作。MME 106的存储器202包括安全***间移动性存储模块212,其存储在安全***间移动性操作期间生成或以其他方式使用的数据。
AMF 116包括耦合到存储器222和接口电路224的处理器220。 AMF 116的处理器220包括安全***间移动性处理模块230,其可以至少部分地以由处理器执行的软件的形式实现。处理模块230执行结合后续附图并以其他方式在本文中描述的操作。AMF 116的存储器 222包括安全***间移动性存储模块232,其存储在安全***间移动性操作期间生成或以其他方式使用的数据。
相应MME 106和AMF 116的处理器200和220可以包括例如微处理器、专用集成电路(ASIC)、数字信号处理器(DSP)或其他类型的处理设备、以及这样的元件的部分或组合。
相应MME 106和AMF 116的存储器202和222可用于存储由相应处理器200和220执行的一个或多个软件程序,以实现本文描述的功能的至少一部分。例如,结合后续附图和以其他方式在本文中描述的操作和其他功能可以使用由处理器200和220执行的软件代码以直接的方式实现。
因此,存储器202或222中给定的一个可以被视为本文中更一般地称为计算机程序产品的示例,或者更一般地,被视为具有体现在其中的可执行程序代码的处理器可读存储介质。处理器可读存储介质的其他示例可以包括任何组合的磁盘或其他类型的磁性或光学介质。示意性实施例可包括制品,制品包括这种计算机程序产品或其他处理器可读存储介质。
存储器202或222可以更具体地包括例如电子随机存取存储器 (RAM),诸如静态RAM(SRAM)、动态RAM(DRAM)或其他类型的易失性或非易失性电子存储器。后者可以包括例如非易失性存储器,诸如闪存、磁RAM(MRAM)、相变RAM(PC-RAM)或铁电RAM(FRAM)。本文使用的术语“存储器”旨在被广泛地解释,并且可以附加地或替代地涵盖例如只读存储器(ROM)、基于磁盘的存储器或其他类型的存储设备、以及这些设备的部分或组合。
相应MME 106和AMF 116的接口电路204和224示意性地包括收发机或其他通信硬件或固件,其允许相关联的***元件以本文描述的方式彼此通信。
从图2中显而易见的是,MME 106被配置用于经由它们各自的接口电路204和224与AMF 116通信,反之亦然。该通信涉及MME 106 向AMF 116发送数据,并且AMF 116向MME 106发送数据。然而,在替代实施例中,其他网络元件可以可操作地耦合在MME 106和 AMF 116之间。也就是说,两个网络的移动性管理元件/功能可以通过一个或多个中间网络元件/功能或两者的某种组合来间接地、直接地相互通信。本文使用的术语“数据”旨在被宽泛地解释,以便涵盖可以经由基站元件在用户设备和核心网络之间发送的任何类型的信息,包括但不限于NAS消息、MAC代码、其他验证参数等
应当理解,图2中所示的组件的特定布置仅是示例,并且在其他实施例中可以使用许多替代配置。例如,移动性管理元件/功能可以被配置为集成附加或替代组件并支持其他通信协议。
诸如UE 102、eNB 104和gNB 114的其他***元件也可以各自配置为包括诸如处理器、存储器和网络接口的组件。这些元件不需要在单独的独立处理平台上实现,而是可以代之以例如代表单个公共处理平台的不同功能部分。这样的处理平台可以附加地包括eNB/gNB的至少一部分和相关联的无线电网络控制功能。
在描述与安全***间移动性过程的实施例相关联的消息流程之前,描述了具有从4G网络到5G网络的移动性的互通场景,随后是具有从5G网络到4G网络的移动性的互通场景。
在第一场景(4G到5G)中,假定4G网络是源网络,而5G网络是目标网络。UE具有有效的4G NAS安全性上下文(因为UE已经在4G网络中注册,直到移动性事件),并且UE可以具有从先前接入5G网络仍然存储的5G NAS安全性上下文。
根据示意性实施例,当UE从4G网络移动到5G网络并且UE仍然具有5G NAS安全性上下文时,UE在初始NAS消息中包括两个不同的MAC参数:
(i)根据5G规范('5G-MAC')使用假定可用的5G NAS安全性上下文生成的MAC;和
(ii)根据4G规范('4G-MAC')使用已经在4G源网络中注册的 4G NAS安全性上下文生成的MAC。
如果5G目标网络没有UE的对应5G NAS安全性上下文,因此无法验证该消息,则目标网络向4G源网络转发完整的5G初始NAS 消息,包括4G-MAC参数,但不包括5G-MAC参数,用于进一步动作。
在替代方案中,UE和5G目标网络将5G初始NAS消息映射到具有4G跟踪区域更新(TAU)或4G附着消息的结构的消息。然后, UE在映射的消息上计算4G-MAC,同时UE在整个5G初始NAS消息上计算5G-MAC。例如,该映射可以通过选择5G初始NAS消息的适当子集,或通过其他手段来实现。需要替代方案来与4G中的所谓传统MME互通,这些MME尚未更新以支持与5G的互通。这种传统MME只能处理具有4G消息结构的消息。但是替代方案也可以应用于与非传统MME的互通。
4G源网络基于所接收的4G-MAC参数来验证消息的完整性。如果验证成功,则4G网络生成要在目标网络中使用的密钥并将其发送到5G目标网络。当MME已经更新以支持与5G的互通时,该密钥可以是映射密钥,或者当MME是传统的MME时,该密钥可以是KASME密钥(如LTE安全规范TS 33.401中所定义的,其公开的全部内容通过引用并入本文)。
5G目标网络从响应中暗示该消息已经由4G源网络验证,并且随后使用所接收的密钥来生成新的5G-NAS密钥集合。现有的NAS安全模式命令过程用于完成UE中的密钥设置。
在第二场景(5G到4G)中,假定目标4G网络中的MME已经更新以支持与5G网络的互通。回想一下,根据示意性实施例,UE 在初始NAS消息中发送两个不同的MAC参数,4G-MAC和5G-MAC。进一步假定4G网络中的MME已经更新以支持与5G网络的互通,并且理解两个不同MAC参数的目的。
图3和图4示出了消息流程和网络配置,其中上述安全***间移动性技术中的一个或多个可以被实现。这些消息流程和网络配置被理解为示意性实施例。
图3示出了从4G源网络到5G目标网络的UE移动性事件。更具体地,图3中的示例示出了从4G到5G的空闲模式移动性事件。该过程描述了两个MAC如何在初始NAS消息(注册请求)中被发送,并在移动性事件期间被使用以在源网络(4G)或目标网络(5G)中验证UE。图3在过程300中示出了UE 302、gNB 304、5G目标*** (AMF)306和4G源***(MME)308。下面提到的编号步骤对应于图3中的编号1到10。应当理解,在空闲模式移动性过程中,诸如 eNB和gNB的无线电功能不一定起主动作用。
在步骤1中,UE 302利用通过gNB 304发送到AMF 306的注册请求(RR)消息来发起移动性注册更新。
如图所示,UE 302在注册请求消息中包括从4G-GUTI导出的映射的5G-GUTI、KSI和32比特NONCEUE,该KSI等于与当前演进分组***(EPS)安全性上下文相关联的eKSI的值。众所周知,GUTI 是指全球唯一的临时身份,并且KSI是密钥集合标识符。
映射的5G-GUTI具有足以标识4G-GUTI和MME 308的信息。
如果UE 302具有当前的5G NAS安全性上下文,则UE 302使用该上下文对该消息进行完整性保护,并且在注册请求消息中包括 5G-KSI、原生5G-GUTI和5G-MAC。UE 302使用当前的5G NAS安全性上下文算法来生成用于注册请求消息的5G-MAC。
UE 302还通过使用由用于导出映射的5G-GUTI的4G-GUTI标识的当前4G NAS完整性生成4G-MAC来完整性保护消息。4G-MAC 字段用于存储生成的4G-MAC。如上面的替换实施例所示,UE可以替代地通过从整个5G初始NAS消息映射的消息来计算4G-MAC。
在步骤2中,如果5G-GUTI与5G-KSI一起被包括在消息中,则 AMF 306搜索已存储的现有的UE上下文,并且如果可用,则使用它来使用5G-MAC参数来验证注册请求。
在步骤3中,AMF 306使用从UE接收的映射的5G-GUTI来导出MME地址,并向MME 308发送上下文请求消息以获取用户信息。
AMF 306利用上下文请求消息向MME 308转发完整的注册请求消息,或者替代地仅转发从完整的注册请求消息映射的消息,除了 5G-MAC以外,但包括“UE验证”字段和4GGUTI。当且仅当在步骤2中UE 302通过检查5G-MAC不能被验证时,它包括4G-MAC和 eKSI。“UE验证”字段用于指示AMF 306是否已经基于原生5G上下文验证了注册请求的完整性保护。
在步骤4中,如果由MME 308接收的注册请求消息或映射消息用4G MAC进行保护,则MME 308基于从AMF 306接收的eKSI值所标识的当前4G安全上下文,验证注册请求消息或映射消息的完整性保护。如果验证成功,则MME 308进行到步骤5。
在步骤5中,MME 308利用具有UE的安全性上下文的上下文响应来响应AMF 306。如果上下文请求指示UE未经验证且4G-MAC 验证成功,则此消息包括KASME或从KASME映射的密钥。如果上下文响应不包括KASME或从KASME映射的密钥,则继续执行步骤8。
在步骤6中,AMF 306使用以下各项来生成新映射的KAMF:其从MME 308获得的KASME密钥或从KASME映射的密钥、NONCEUE和 NONCEAMF,并且从包括NAS安全性密钥的映射的KAMF密钥导出5G NAS安全性上下文。AMF分配KSI4G以识别映射的KAMF密钥。
在步骤7a中,AMF 306发起NAS安全模式命令过程,如3GPP 技术规范TS 33.501中所述,其公开内容的全部内容通过引用并入本文,包括KSI4G、重放的UE安全能力、NONCEAMF、NONCEMME和 NAS算法。
在步骤7b中,UE 302以与AMF在步骤7a中所做的相同的方式从其KASME的副本或从KASME映射的密钥导出映射的KAMF。UE 302 还根据映射的KAMF来生成新的映射的5G NAS安全性上下文,其包括NAS安全性密钥。
在步骤7c中,UE 302利用NAS安全模式完成消息响应AMF 306。
在步骤8中,如果AMF 306与UE 302共享当前5G NAS安全性上下文并且已经成功验证了UE(来自步骤2),则AMF 306继续检查是否需要建立无线电承载。如果AMF 306想要改变NAS算法,则 AMF 306使用NAS安全模式过程来通知UE 302。如果在注册请求消息中设置“活动标志”或者当存在未决的下行链路UP数据或未决的下行链路信令时AMF 306选择建立无线电承载,则根据KAMF密钥执行KgNB推导。
新导出的KgNB密钥在S1接口上被传递到目标gNB。AS安全性上下文在gNB和UE之间建立。
在步骤9中,AMF 306向UE 302发送注册接受消息。
在步骤10中,UE 302利用注册完成消息向AMF 306进行响应。
如上述过程所示,完整性检查仅在步骤2中的目标AMF 306中或在源MME 308中的步骤4中发生一次。因此,在AMF 306中做出决定以重新使用现有的经验证的UE上下文或依赖于从源MME 308 发送的信息导出的映射密钥以生成新的映射的UE上下文。如果AMF 306利用其自己的UE安全性上下文存储成功地验证UE 302,则NAS 安全模式命令过程是可选的。
图4示出了从5G源网络到4G目标网络的UE移动性事件。更具体地,图4中的示例示出了在跟踪区域更新请求中使用双5G-MAC 和4G-MAC从5G源***到更新的4G目标***的移动性场景的呼叫流程。图4在过程400中示出了UE 402、eNB 404、4G更新目标***(MME)406、和5G源***(AMF)408。下面提到的编号步骤对应于图4中的编号1到10。
在步骤1中,UE 402发起通过eNB 404向MME 406发送的TAU (跟踪区域更新)请求消息。
如图所示,UE 402在TAU请求消息中包括从5G-GUTI导出的映射的4G-GUTI、eKSI和32比特NONCEUE,eKSI等于与当前5G安全性上下文相关联的NG-KSI的值。
映射的4G-GUTI具有足够的信息来标识5G-GUTI和AMF 408。
如果UE 402具有当前4G NAS安全性上下文,则UE 402使用该上下文对该消息进行完整性保护,并且在TAU请求消息中包括eKSI、原生4G-GUTI和4G-MAC。UE 402使用当前4GNAS安全性上下文算法来生成TAU请求消息的4G-MAC。
UE 402还通过使用由用于导出映射的4G-GUTI的5G-GUTI标识的当前5G NAS完整性生成5G-MAC来对消息进行完整性保护。 5G-MAC字段用于存储生成的5G-MAC。
在步骤2中,如果4G-GUTI与4G-KSI一起被包括在消息中,则 MME 406搜索存储的现有的UE上下文,并且如果可用,则使用它来使用4G-MAC参数来验证TAU请求。
在步骤3中,MME 406使用从UE接收的映射的4G-GUTI来导出AMF地址,并向AMF 408发送上下文请求消息以获取用户信息。
MME 406利用上下文请求消息向AMF 408转发除4G-MAC之外但是包括“UE验证”字段和5G GUTI的完整TAU请求消息。当且仅当在步骤2中UE 402通过检查4G-MAC不能被验证时,它包括 5G-MAC和NG-KSI。“UE验证”字段用于指示MME 406是否已经基于原生4G上下文验证了TAU请求的完整性保护。
在步骤4中,如果由AMF 408接收的TAU请求消息中包含的注册请求消息参数用5GMAC保护,则AMF 408基于其从MME 406 接收的NG-KSI值识别的当前5G安全上下文来验证注册请求消息的完整性保护。如果验证成功,则AMF 408进入步骤5。
在步骤5中,AMF 408利用具有UE的安全性上下文的上下文响应来响应MME 406。如果上下文请求指示UE未经验证且5G-MAC 验证成功,则此消息包括KAMF。如果上下文响应不包括KAMF,请继续执行步骤8。
在步骤6中,MME 406使用其从AMF 408获得的KAMF密钥、 NONCEUE和NONCEAMF来生成新的映射的KASME,并且从包括NAS 安全性密钥的映射的KASME密钥导出4G NAS安全性上下文。AMF 分配eKSI5G以标识映射的KASME密钥。
在步骤7a中,MME 406发起如3GPP技术规范TS 33.501中描述的NAS安全模式命令过程,其公开的全文通过引用并入本文,包括 KSI4G、重放的UE安全能力、NONCEAMF、NONCEMME和NAS算法。
在步骤7b中,UE 402以与MME在步骤7a中所做的相同的方式从其KAMF的副本导出映射的KASME。UE 402还根据映射的KASME生成新的映射的4G NAS安全性上下文,其包括NAS安全性密钥。
在步骤7c中,UE 402利用NAS安全模式完成消息响应MME 406。
在步骤8中,如果MME 406与UE 402共享当前4G NAS安全性上下文并且已经成功验证了UE(来自步骤2),则MME 406继续检查是否需要建立无线电承载。如果MME 406想要改变NAS算法,则 MME 406使用NAS安全模式过程来通知UE 402。如果“活动标志”在TAU请求消息中被设置或者当存在未决下行链路UP数据或未决下行链路信令时MME 406选择建立无线电承载,则使用TS 33.501 中规定的KDF从KASME密钥执行KeNB推导。
新导出的KeNB密钥在S1接口上被传递到目标gNB。AS安全性上下文在eNB和UE之间建立。
在步骤9中,MME 406向UE 402发送TAU接受消息。
在步骤10中,UE 402用TAU完成消息对MME 406进行响应。
如以上过程中所示,完整性检查仅在步骤2中的目标MME 406 中或在源AMF 408中的步骤4中发生一次。因此,在MME 406中做出决定以重新使用现有的经验证的UE上下文或依赖于从源AMF 408 发送的信息导出的映射密钥以生成新的映射UE上下文。如果MME 406成功地用其自己的UE安全性上下文存储验证了UE 402,则NAS 安全模式命令过程是可选的。
在又一个实施例中,源移动性管理实体可以是不知道5G互通的、未修改的4G移动性管理实体。如果5G目标AMF将从UE所接收的注册请求消息规范地映射到包含TAU参数连同来自UE的4G-MAC 的4G等效上下文请求消息,则这样的5G无意识移动性管理实体将能够支持到目标5G网络AMF的互通和上下文传送。5G AMF基于其对源4G移动性管理实体未知5G的认识,执行对上下文请求和上下文响应的智能映射。利用这个功能,5G AMF将与5G感知MME以及非感知MME互通。
应当理解,本文提及的标识符和参数的命名仅用于说明目的。也就是说,标识符或参数可以在用于不同通信网络技术的不同协议和标准中具有不同的名称或缩写词。因此,本文给出的这些标识符的特定名称或缩写词都不旨在以任何方式限制实施例。
如前所述,实施例不限于LTE或5G上下文,并且所公开的技术可以以直接的方式适应于各种其他通信***上下文,包括但不限于其他3GPP***和非3GPP***。
本文公开的通信***的用户设备或基站单元的处理器、存储器、控制器和其他组件可以包括适当修改的公知电路,以实现上述身份请求功能的至少一部分。
如上所述,实施例可以以制品的形式实现,每个制品包括由用户设备、基站或通信***的其他元件的处理电路执行的一个或多个软件程序。这种电路的常规方面是本领域技术人员公知的,因此这里不再详细描述。此外,实施例可以以任何组合在一个或多个ASICS、FPGA 或其他类型的集成电路设备中实现。这种集成电路器件以及其部分或组合是本文使用的术语“电路”的示例。可以使用各种其他硬件配置和相关联的软件或固件来实现示意性实施例。
因此,应再次强调,本文所述的各种实施方案仅以示意性实例的方式呈现,且不应解释为限制权利要求的范围。例如,替代实施例可以利用与上面在示意性实施例的上下文中描述的那些不同的通信***配置、用户设备配置、基站配置、网络元件/功能配置、处理、消息传送协议和消息格式。在所附权利要求范围内的这些和许多其他替代实施例对于本领域技术人员来说是显而易见的。
Claims (16)
1.一种用于通信的方法,包括:
根据用户设备从接入通信***环境中的源网络移动到接入目标网络的移动性事件的发生:
所述用户设备向所述目标网络发送控制平面消息,所述控制平面消息包括与所述目标网络相关联的第一完整性验证参数和与所述源网络相关联的第二完整性验证参数;以及
所述用户设备响应于使用所述第一完整性验证参数和所述第二完整性验证参数中的至少一个被验证而接入所述目标网络。
2.根据权利要求1所述的方法,其中所述用户设备存储:(i)当前与所述源网络建立的安全性上下文;以及(ii)先前与所述目标网络建立的安全性上下文。
3.根据权利要求2所述的方法,其中所述用户设备使用先前与所述目标网络建立的所述安全性上下文来对所述控制平面消息进行完整性保护。
4.根据权利要求3所述的方法,其中所述用户设备使用当前与所述源网络建立的所述安全性上下文来附加地对所述控制平面消息进行完整性保护。
5.根据权利要求3所述的方法,其中所述用户设备以所述源网络中的消息的格式将所述控制平面消息映射到另一消息,并且然后使用当前与所述源网络建立的所述安全性上下文来附加地对所映射的消息进行完整性保护。
6.根据权利要求2所述的方法,其中所述控制平面消息包括注册消息,所述注册消息还包括与所述目标网络相关联的所述用户设备的临时标识符和与所述目标网络相关联的密钥集合指示符。
7.根据权利要求2所述的方法,其中与所述源网络相关联的所述第二完整性验证参数是使用当前与所述源网络建立的所述安全性上下文生成的消息认证码。
8.根据权利要求2至7中任一项所述的方法,其中与所述目标网络相关联的所述第一完整性验证参数是使用先前与所述目标网络建立的所述安全性上下文生成的消息认证码。
9.一种用于通信的方法,包括:
根据用户设备从接入通信***环境中的源网络移动到接入目标网络的移动性事件的发生,所述目标网络的移动性管理元件从所述用户设备接收控制平面消息,所述控制平面消息包括与所述目标网络相关联的第一完整性验证参数和与所述源网络相关联的第二完整性验证参数;以及
所述目标网络的所述移动性管理元件使用所述第一完整性验证参数和所述第二完整性验证参数中的至少一个来验证所述用户设备。
10.根据权利要求9所述的方法,其中当所述目标网络的所述移动性管理元件保持先前与所述用户设备建立的安全性上下文时,所述目标网络的所述移动性管理元件使用所述第一完整性验证参数来验证所述用户设备。
11.根据权利要求10所述的方法,其中当所述目标网络的所述移动性管理元件不能使用所述第一完整性验证参数来验证所述用户设备时,所述目标网络的所述移动性管理元件与所述源网络的移动性管理元件通信,以通过向所述源网络的所述移动性管理元件发送上下文请求消息来验证所述用户设备,从而使用所述第二完整性验证参数来验证所述用户设备。
12.根据权利要求10所述的方法,其中当所述源网络的所述移动性管理元件未被更新用于目标网络感知以验证所述用户设备时,所述目标网络的所述移动性管理元件将所述控制平面消息规范地映射到源网络等效上下文请求消息以及所述第二完整性验证参数。
13.根据权利要求11所述的方法,其中当所述源网络的所述移动性管理元件使用当前与所述用户设备建立的安全性上下文来验证所述用户设备时,所述目标网络的所述移动性管理元件从所述源网络的所述移动性管理元件接收上下文响应消息。
14.一种用于通信的方法,包括:
根据用户设备从接入通信***环境中的源网络移动到接入目标网络的移动性事件的发生,当所述目标网络的移动性管理元件不能基于从所述用户设备接收的控制平面消息来验证所述用户设备时,所述源网络的移动性管理元件从所述目标网络的所述移动性管理元件接收上下文请求消息,所述控制平面消息包括与所述目标网络相关联的第一完整性验证参数和与所述源网络相关联的第二完整性验证参数,所述上下文请求消息包括所述第二完整性验证参数;
所述源网络的所述移动性管理元件使用所述第二完整性验证参数来验证所述用户设备;以及
响应于使用所述第二完整性验证参数对所述用户设备的成功验证,所述源网络的所述移动性管理元件向所述目标网络的所述移动性管理元件发送上下文响应消息。
15.根据权利要求14所述的方法,其中所述源网络的所述移动性管理元件使用当前与所述用户设备建立的安全性上下文来验证所述用户设备。
16.根据权利要求14或15所述的方法,其中所述源网络的所述移动性管理元件向所述目标网络的所述移动性管理元件发送所述上下文响应消息,以使所述目标网络的所述移动性管理元件能够发起与所述用户设备的新的安全性上下文的建立。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201741034678 | 2017-09-29 | ||
| IN201741034678 | 2017-09-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109587688A CN109587688A (zh) | 2019-04-05 |
| CN109587688B true CN109587688B (zh) | 2022-10-11 |
Family
ID=63722145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811142939.6A Active CN109587688B (zh) | 2017-09-29 | 2018-09-28 | ***间移动性中的安全性 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US10512005B2 (zh) |
| EP (1) | EP3462760A1 (zh) |
| JP (2) | JP6683784B2 (zh) |
| KR (2) | KR102148365B1 (zh) |
| CN (1) | CN109587688B (zh) |
| MY (1) | MY193642A (zh) |
| PH (1) | PH12018000291A1 (zh) |
| SG (1) | SG10201808530XA (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| MX2020002595A (es) | 2017-09-15 | 2020-10-22 | Ericsson Telefon Ab L M | Contexto de seguridad en un sistema de comunicacion inalambrica. |
| AU2018401423B2 (en) * | 2018-01-11 | 2021-10-21 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Locating method in multiconnectivity network, terminal device and location management function entity |
| CN110099382B (zh) * | 2018-01-30 | 2020-12-18 | 华为技术有限公司 | 一种消息保护方法及装置 |
| DK3902302T3 (da) | 2018-02-19 | 2022-07-04 | Ericsson Telefon Ab L M | Understøtning af samarbejde og/eller mobilitet mellem forskellige trådløse kommunikationssystemer |
| CN112567807B (zh) * | 2018-06-04 | 2023-07-21 | 瑞典爱立信有限公司 | 用于切换的核心网指示和安全性处理 |
| US20200322795A1 (en) * | 2019-04-03 | 2020-10-08 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for alignment of common non access stratum (nas) security context |
| CN111866974B (zh) * | 2019-04-29 | 2022-12-06 | 华为技术有限公司 | 用于移动注册的方法和装置 |
| CN114513790B (zh) * | 2019-05-31 | 2023-10-10 | 荣耀终端有限公司 | 获取安全上下文的方法和网络设备 |
| CN112087297B (zh) * | 2019-06-14 | 2022-05-24 | 华为技术有限公司 | 一种获取安全上下文的方法、***及设备 |
| CN112153647B (zh) * | 2019-06-29 | 2022-04-22 | 华为技术有限公司 | 通信方法和相关设备 |
| WO2021030946A1 (en) * | 2019-08-16 | 2021-02-25 | Zte Corporation | A method of registration with access and mobility management function re-allocation |
| CN112654067B (zh) * | 2019-10-17 | 2022-03-11 | 华为技术有限公司 | 一种数据传输的方法、通信设备及通信*** |
| EP4064748A4 (en) * | 2019-12-13 | 2022-11-16 | Huawei Technologies Co., Ltd. | COMMUNICATION METHOD, DEVICE AND SYSTEM |
| WO2022186654A1 (ko) * | 2021-03-04 | 2022-09-09 | 주식회사 센스톤 | Iot 디바이스의 보안을 위해 생성된 인증용가상코드의 검증을 위한 심카드 장치 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431780A (zh) * | 2007-11-09 | 2009-05-13 | 华为技术有限公司 | 一种实现网络优化切换的方法、设备及*** |
| CN105992290A (zh) * | 2016-04-28 | 2016-10-05 | 努比亚技术有限公司 | 一种用户设备及其网络切换方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080119188A1 (en) | 2006-11-21 | 2008-05-22 | Innovative Sonic Limited | Method and related apparatus for ciphering algorithm change in a wireless communcations system |
| CN101304600B (zh) | 2007-05-08 | 2011-12-07 | 华为技术有限公司 | 安全能力协商的方法及*** |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
| US9232452B2 (en) | 2008-10-31 | 2016-01-05 | Htc Corporation | Method of handling an inter rat handover in wireless communication system and related communication device |
| US8611306B2 (en) | 2009-01-12 | 2013-12-17 | Qualcomm Incorporated | Context fetching after inter-system handover |
| WO2016081837A1 (en) * | 2014-11-21 | 2016-05-26 | Interdigital Patent Holdings, Inc. | Using security posture information to determine access to services |
| US10637834B2 (en) * | 2015-07-12 | 2020-04-28 | Qualcomm Incorporated | Network architecture and security with simplified mobility procedure |
| JP2018179621A (ja) | 2017-04-06 | 2018-11-15 | Nok株式会社 | 表面欠陥検査装置、表面欠陥検査用の情報処理装置、表面欠陥検査用のコンピュータプログラム、及び表面欠陥検査方法 |
-
2017
- 2017-11-27 US US15/822,907 patent/US10512005B2/en active Active
-
2018
- 2018-09-21 EP EP18195844.8A patent/EP3462760A1/en active Pending
- 2018-09-26 JP JP2018179621A patent/JP6683784B2/ja active Active
- 2018-09-27 MY MYPI2018001649A patent/MY193642A/en unknown
- 2018-09-28 CN CN201811142939.6A patent/CN109587688B/zh active Active
- 2018-09-28 PH PH12018000291A patent/PH12018000291A1/en unknown
- 2018-09-28 SG SG10201808530XA patent/SG10201808530XA/en unknown
- 2018-09-28 KR KR1020180116130A patent/KR102148365B1/ko active IP Right Grant
-
2019
- 2019-11-15 JP JP2019206596A patent/JP6902594B2/ja active Active
-
2020
- 2020-08-20 KR KR1020200104499A patent/KR102209359B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431780A (zh) * | 2007-11-09 | 2009-05-13 | 华为技术有限公司 | 一种实现网络优化切换的方法、设备及*** |
| CN105992290A (zh) * | 2016-04-28 | 2016-10-05 | 努比亚技术有限公司 | 一种用户设备及其网络切换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| PH12018000291B1 (en) | 2019-06-10 |
| JP6902594B2 (ja) | 2021-07-14 |
| SG10201808530XA (en) | 2019-04-29 |
| JP2020048204A (ja) | 2020-03-26 |
| MY193642A (en) | 2022-10-21 |
| KR102209359B1 (ko) | 2021-01-29 |
| CN109587688A (zh) | 2019-04-05 |
| US10512005B2 (en) | 2019-12-17 |
| JP2019068416A (ja) | 2019-04-25 |
| US20190104447A1 (en) | 2019-04-04 |
| KR20190038431A (ko) | 2019-04-08 |
| PH12018000291A1 (en) | 2019-06-10 |
| JP6683784B2 (ja) | 2020-04-22 |
| EP3462760A1 (en) | 2019-04-03 |
| KR102148365B1 (ko) | 2020-08-27 |
| KR20200102397A (ko) | 2020-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109587688B (zh) | ***间移动性中的安全性 | |
| CN112219415B (zh) | 在第一网络中使用用于第二旧网络的订户标识模块的用户认证 | |
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| TWI724132B (zh) | 無線通訊的方法、用於無線通訊的裝置以及用於執行該方法的電腦程式軟體 | |
| KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
| US11297492B2 (en) | Subscriber identity privacy protection and network key management | |
| US11937079B2 (en) | Communication terminal, core network device, core network node, network node, and key deriving method | |
| CN109964453B (zh) | 统一安全性架构 | |
| RU2737348C1 (ru) | Индикаторы конфиденциальности для управления запросами аутентификации | |
| RU2665064C1 (ru) | Беспроводная связь, включающая в себя кадр обнаружения быстрого первоначального установления линии связи, fils, для сетевой сигнализации | |
| KR20170125831A (ko) | 무선 네트워크들에서의 아이덴티티 프라이버시 | |
| US20100172500A1 (en) | Method of handling inter-system handover security in wireless communications system and related communication device | |
| CN109906624B (zh) | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 | |
| CN107113608B (zh) | 使用密钥扩展乘数来生成多个共享密钥的方法和装置 | |
| US20110135095A1 (en) | Method and system for generating key identity identifier when user equipment transfers | |
| US20220167167A1 (en) | Authentication decision for fixed network residential gateways | |
| JPWO2018012611A1 (ja) | 加入者情報管理装置、情報取得方法、通信システム、及び通信端末 | |
| US11789803B2 (en) | Error handling framework for security management in a communication system | |
| JP6651613B2 (ja) | ワイヤレス通信 | |
| CN113676901A (zh) | 密钥管理方法、设备及*** | |
| US20220038904A1 (en) | Wireless-network attack detection | |
| CN115942305A (zh) | 一种会话建立方法和相关装置 | |
| WO2023072271A1 (zh) | 管理安全上下文的方法和装置 | |
| US20240154803A1 (en) | Rekeying in authentication and key management for applications in communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |