通信系统中的分解基站中的安全性管理的制作方法

技术领域总体上涉及通信系统，并且更具体地但非排他性地涉及这样的系统内的安全性管理。

背景技术：

本部分介绍可以有助于促进对本发明的更好理解的各方面。因此，本部分的陈述应当从这种角度来阅读，而不应当被理解为对现有技术中存在的内容或对现有技术中不存在的内容的承认。

第四代(4g)无线移动电信技术(也称为长期演进(lte)技术)旨在为大容量移动多媒体提供高数据速率，特别是用于人类交互。下一代或第五代(5g)技术旨在不仅用于人类交互，而且还用于所谓的物联网(iot)网络中的机器类型通信。

虽然5g网络旨在使能大规模iot服务(例如，数量众多的有限容量设备)和关键任务iot服务(例如，要求高可靠性)，但是以增强型移动宽带(embb)服务的形式来支持对传统移动通信服务的改善，以为移动设备提供改善的无线互联网访问。

在示例通信系统中，诸如移动终端(订户)等用户设备(5g网络中的5gue，或更广泛地，ue)通过空中接口与基站或接入点(在5g网络中称为gnb)通信。接入点(例如，gnb)说明性地是通信系统的接入网的一部分。例如，在5g网络中，接入网称为5g系统，并且在题为“technicalspecificationgroupservicesandsystemaspects；systemarchitectureforthe5gsystem”的5g技术规范(ts)23.501的v15.2.0(其全部内容通过引用整体并入本文)中描述。通常，接入点(例如，gnb)为ue提供对核心网(cn)的访问，然后，核心网(cn)为ue提供对其他ue和/或诸如分组数据网络(例如，互联网)等数据网络的访问。

ts23.501继续定义了一种5g基于服务的架构(sba)，该sba将服务建模为网络功能(nf)，该nf使用代表性的状态转移应用程序编程接口(restfulapi)彼此通信。

此外，题为“technicalspecificationgroupservicesandsystemaspects；securityarchitectureandproceduresforthe5gsystem”的5g技术规范(ts)33.501的v15.1.0和题为“technicalspecificationgroupservicesandsystemaspects；studyonthesecurityaspectsofthenextgenerationsystem”的5g技术报告(tr)33.899的v1.3.0(其全部内容通过引用整体并入本文)进一步描述了与5g网络相关联的安全性管理细节。

安全性管理是任何通信系统中的重要考虑因素。例如，ue与gnb之间的接入层(as)密钥管理是一项重要但具有挑战性的任务。

技术实现要素：

说明性实施例提供了用于通信系统中的安全性管理的改善的技术，特别是在用户设备与分解基站之间的通信系统的安全性管理的改善的技术。

例如，在一个说明性实施例中，一种方法包括以下步骤。在通信系统中的用户设备处，从用户设备已经与之建立当前安全上下文的分解基站接收重新配置消息。重新配置消息包括基于安全域计数器值来计算新安全上下文的指令，其中安全域计数器值表示由分解基站支持的来自多个安全域的给定安全域。在用户设备处基于安全域计数器值为给定安全域计算新安全上下文。在用户设备处从新安全上下文中得出一组安全密钥。

在另一说明性实施例中，一种方法包括从通信系统中的分解基站向分解基站已经与之建立当前安全上下文的用户设备发送重新配置消息。重新配置消息包括给用户设备的基于安全域计数器值来计算新安全上下文的指示，其中安全域计数器值表示来自由分解基站支持的来自多个安全域的给定安全域。在一个或多个说明性实施例中，该方法还分别为多个安全域计算多组安全密钥，其中一个或多个计算基于安全域计数器值。

以一种其中实施有可执行程序代码的非暂态计算机可读存储介质的形式提供了另外的说明性实施例，该可执行程序代码在由处理器执行时引起处理器执行上述步骤。另外的说明性实施例包括一种具有处理器和存储器的装置，该装置被配置为执行上述步骤。

根据附图和以下详细描述，本文中描述的实施例的这些和其他特征和优点将变得更加明显。

附图说明

图1示出了实现一个或多个说明性实施例的通信系统。

图2示出了用于实现一个或多个说明性实施例的被配置用于提供安全性管理的用户设备和基站。

图3示出了用于实现一个或多个说明性实施例的通信系统中的分解基站的总体架构。

图4示出了用于支持用于用户设备连接的仅一组密钥的分解基站的接入层密钥层次结构。

图5示出了根据说明性实施例的用于支持多个安全域的分解基站的接入层密钥层次结构。

图6示出了根据说明性实施例的在用户设备与支持多个安全域的分解基站之间的消息流。

具体实施方式

本文中将结合示例性通信系统和用于在通信系统中提供安全性管理的相关技术来说明实施例。然而，应当理解，权利要求的范围不限于所公开的特定类型的通信系统和/或过程。可以使用备选过程和操作在各种其他类型的通信系统中实现实施例。例如，尽管在利用诸如3gpp下一代系统(5g)等3gpp系统元件的无线蜂窝系统的上下文中进行说明，但是所公开的实施例可以以直接方式适应于各种其他类型的通信系统。

根据在5g通信系统环境中实现的说明性实施例，一个或多个3gpp技术规范(ts)和技术报告(tr)提供了与一个或多个说明性实施例交互的用户设备和网络元件/功能和/或操作的另外的说明，例如上述3gppts23.501、3gppts33.501和3gpptr33.899。其他3gppts/tr文档提供了本领域普通技术人员将认识到的其他常规细节。然而，尽管说明性实施例非常适合于与上述5g相关3gpp标准相关联的实现，但是备选实施例不必旨在限于任何特定标准。

此外，本文中将在开放系统互连模型(osi模型)的上下文中解释说明性实施例，该模型是一种在概念上表征诸如5g网络等通信系统的通信功能的模型。osi模型通常被概念化为分层堆栈，其中给定层服务于上一层并且由下一层服务。通常，osi模型包括七个层，堆栈的顶层是应用层(第7层)，其后是呈现层(第6层)、会话层(第5层)、传输层(第4层)、网络层(第3层)、数据链路层(第2层)和物理层(第1层)。本领域普通技术人员将理解各个层的功能和相互作用，因此，本文中不描述每个层的其他细节。然而，应当理解，尽管说明性实施例非常适合于利用osi模型的实现，但是备选实施例不必限于任何特定通信功能模型。

说明性实施例涉及与用于5g网络的基于服务的架构(sba)相关联的安全性管理。在描述这样的说明性实施例之前，下面将在图1和图2的上下文中描述5g网络的主要组件的一般描述。

图1示出了在其中实现说明性实施例的通信系统100。应当理解，通信系统100中所示的元件旨在表示系统内提供的主要功能，例如，ue接入功能、移动性管理功能、认证功能、服务网关功能等。这样，图1所示的框引用提供这些主要功能的在5g网络中的特定元件。然而，在其他实施例中使用其他网络元件来实现所表示的一些或全部主要功能。另外，应当理解，在图1中并未示出5g网络的所有功能。而是，示出了有助于对说明性实施例的解释的功能。附图描绘了一些附加元件/功能。

因此，如图所示，通信系统100包括经由空中接口103与接入点(gnb)104通信的用户设备(ue)102。在一些实施例中，ue102是移动站，并且这样的移动站可以包括例如移动电话、计算机或任何其他类型的通信设备。因此，本文中使用的术语“用户设备”旨在被广义地解释，以便涵盖各种不同类型的移动站、订户站或更一般地是通信设备，包括诸如插入笔记本计算机或其他设备(诸如智能电话或其他蜂窝设备)中的数据卡的组合的示例。在一个或多个说明性实施例中，用户设备是指iot设备和/或执行超可靠低延迟通信(urllc)应用软件的设备，其中ue上的计算资源受到限制、或者性能和定时要求非常严格。这样的通信设备还旨在涵盖通常被称为接入终端的设备。

在一个实施例中，ue102包括通用集成电路卡(uicc)部分和移动设备(me)部分。uicc是ue的用户相关部分，并且包含至少一个通用订户身份模块(usim)和适当的应用软件。usim安全地存储用于标识和认证要访问网络的订户的永久订阅标识符及其相关密钥。me是ue的用户独立部分，并且包含终端设备(te)功能和各种移动终端(mt)功能。

注意，在一个示例中，永久订阅标识符是ue的国际移动订户身份(imsi)。在一个实施例中，imsi是固定的15位长度，并且由3位移动国家代码(mcc)、3位移动网络代码(mnc)和9位移动站标识号码(msin)组成。在5g通信系统中，imsi被称为订阅永久标识符(supi)。在imsi作为supi的情况下，msin提供订户身份。因此，通常仅需要加密imsi的msin部分。imsi的mnc和mcc部分提供路由信息，该路由信息由服务网络使用以路由到正确的归属网络。当supi的msin被加密时，其称为“订阅隐藏标识符”(suci)。

接入点104说明性地是通信系统100的接入网的一部分。这种接入网包括例如具有多个基站和一个或多个相关联的无线电网络控制功能的5g系统。基站和无线电网络控制功能在一些实施例中是逻辑上分离的实体，但是在一些实施例中基站和无线电网络控制功能在同一物理网络单元中实现，例如，基站路由器或毫微微蜂窝接入点。

在该说明性实施例中，接入点104可操作地耦合到移动性管理功能106。在5g网络中，移动性管理功能由接入和移动性管理功能(amf)实现。在一些实施例中，还利用将ue与移动性管理功能连接的amf来实现安全锚功能(seaf)。本文中使用的移动性管理功能是通信系统的核心网(cn)部分中的元素或功能(即，实体)，它管理或以其他方式参与涉及ue的接入和移动性(包括认证/授权)操作(通过接入点104)以及其他网络操作。amf在本文中也更一般地称为接入和移动性管理实体。

在该说明性实施例中，amf106可操作地耦合到归属订户功能108，即，驻留在订户的归属网络中的一个或多个功能。如图所示，这些功能中的一些功能包括统一数据管理(udm)功能以及认证服务器功能(ausf)。ausf和udm(分别或共同)在本文中也更一般地称为认证实体。此外，归属订户功能包括但不限于网络切片选择功能(nssf)、网络暴露功能(nef)、网络存储库功能(nrf)、策略控制功能(pcf)和应用功能(af)。

需要注意的重要一点是，在sba通信系统(诸如5g系统)中，控制平面使用服务模型方法，其中组件(nf)查询nrf以通过应用程序编程接口(api)发现彼此并且彼此通信。nf服务发现和授权方法将在下面进一步详细描述。

接入点104也可操作地耦合到服务网关功能(即，会话管理功能(smf)110)，该功能可操作地耦合到用户平面功能(upf)112。upf112可操作地耦合到分组数据网络，例如，互联网114。如在5g和其他通信网络中所知，用户平面(up)或数据平面承载网络用户业务，而控制平面(cp)承载信令业务。smf110支持与up订户会话有关的功能，例如，协议数据单元(pdu)会话的建立、修改和释放。upf112支持用于促进up操作的功能，例如，分组路由和转发、与数据网络(例如，图1中的114)的互连、策略实施和数据缓冲。

应当理解，图1是简化图示，因为在图1中并未示出在nf与其他系统元件之间的所有通信链路和连接。被提供有各种3gppts/tr的本领域普通技术人员将理解在图1中未明确示出或可以以其他方式概括的各种链路和连接。

当某些网络元件不是说明性实施例的焦点、但可以在适当3gpp5g文档中找到时，本文中将不详细描述这些网络元件的其他典型操作和功能。应当理解，图1中的系统元件的特定布置仅是示例，并且在其他实施例中，附加或备选元件的其他类型和布置可以用于实现通信系统。例如，在其他实施例中，系统100包括本文中未明确示出的其他元件/功能。而且，尽管在图1中仅示出了单个元件/功能，但是，这仅是为了图示的简单和清楚。给定备选实施例可以包括更多的这种系统元件，以及通常与常规系统实现相关联的类型的附加或备选元件。

还应当注意，尽管图1将系统元件图示为单个功能框，但是组成5g网络的各个子网被划分为所谓的网络切片。网络切片(网络分区)包括在公共物理基础设施上使用网络功能虚拟化(nfv)的每个对应服务类型的一系列网络功能(nf)集(即，功能链)。网络切片根据给定服务(例如，embb服务、大规模iot服务和关键任务iot服务)的需要被实例化。因此，在创建网络切片或功能的实例时，该网络切片或功能将被实例化。在一些实施例中，这涉及在底层物理基础设施的一个或多个主机设备上安装或以其他方式运行网络切片或功能。ue102被配置为经由gnb104访问这些服务中的一个或多个服务。nf也可以访问其他nf的服务。

图2是说明性实施例中的被配置用于提供安全性管理的用户设备和基站的框图。更具体地，系统200被示出为包括用户设备202和基站204。

用户设备202包括耦合到存储器216和接口电路装置210的处理器212。用户设备202的处理器212包括可以至少部分以由处理器执行的软件的形式来实现的安全性管理处理模块214。处理模块214执行下文中结合图3以及本文中以其他方式描述的安全性管理。用户设备202的存储器216包括存储在安全性管理操作期间生成或以其他方式使用的数据的安全性管理存储模块218。

基站204包括耦合到存储器226和接口电路装置220的处理器222。基站204的处理器222包括可以至少部分以由处理器222执行的软件的形式来实现的安全性管理处理模块224。处理模块224执行下文中结合图3以及本文中以其他方式描述的安全性管理。基站204的存储器226包括存储在安全性管理操作期间生成或以其他方式使用的数据的安全性管理存储模块228。

用户设备202和基站204的相应处理器212和222可以包括例如微处理器、专用集成电路(asic)、现场可编程门阵列(fpga)、数字信号处理器(dsp)或其他类型的处理设备或集成电路、以及这样的元件的部分或组合。这样的集成电路器件及其部分或组合是本文中使用的“电路装置”的示例。硬件以及相关软件或固件的多种其他布置可以用于实现说明性实施例。

用户设备202和基站204的相应存储器216和226可以用于存储由相应处理器212和222执行以实现本文中描述的功能的至少一部分的一个或多个软件程序。例如，下文中结合图3以及本文中以其他方式描述的安全性管理操作和其他功能可以使用由处理器212和222执行的软件代码以直接方式来实现。

因此，存储器216或226中的给定一个存储器可以被视为本文中更一般地被称为计算机程序产品的内容的示例，或者仍被更一般地被视为其中实施有可执行程序代码的处理器可读存储介质的内容的示例。处理器可读存储介质的其他示例可以以任何组合包括磁盘或其他类型的磁或光介质。说明性实施例可以包括具有这样的计算机程序产品或其他处理器可读存储介质的制品。

存储器216或226可以更具体地包括例如电子随机存取存储器(ram)，诸如静态ram(sram)、动态ram(dram)或其他类型的易失性或非易失性电子存储器。后者可以包括例如非易失性存储器，诸如闪存、磁性ram(mram)、相变ram(pc-ram)或铁电ram(fram)。本文中使用的术语“存储器”旨在被广义地解释，并且可以另外地或备选地包括例如只读存储器(rom)、基于磁盘的存储器或其他类型的存储设备、以及这样的设备的部分或组合。

用户设备202和基站204的相应接口电路装置210和220说明性地包括允许相关联的系统元件以本文中描述的方式彼此通信的收发器、或其他通信硬件或固件。

从图2可以看出，用户设备202被配置用于经由其相应接口电路装置210和220与基站204通信，以及基站204被配置用于经由相应接口电路装置210和220与用户设备通信。该通信涉及用户设备202向基站204发送数据，以及基站204向用户设备202发送数据。然而，在备选实施例中，其他网络元件可以可以操作地耦合在用户设备202与基站204之间，以及操作地耦合到用户设备202和基站204。本文中使用的术语“数据”旨在广泛地解释为包括可以在用户设备与基站之间发送的任何类型的信息，包括但不限于消息、令牌、标识符、密钥、指示符、用户数据、控制数据等。

应当理解，图2所示的组件的特定布置仅是示例，并且在其他实施例中使用很多备选配置。例如，用户设备和基站可以被配置为并入附加或备选组件并且支持其他通信协议。

5g网络中的其他元素也可以分别被配置为包括诸如处理器、存储器和网络接口等组件。这些元素不必在单独的独立处理平台上实现，而是可以例如表示单个公共处理平台的不同功能部分。

如上所述，在ue与gnb之间的接入层密钥管理是一个重要但具有挑战性的任务。接入层或as是5g系统中的功能层，其在无线电接入网(ran，gnb是其一部分)与用户设备(ue)之间，其负责通过在gnb与ue之间的无线连接来传输数据、并且负责管理无线电资源。将as与非接入层(nas)功能层进行对比。nas是在ue与核心网之间的功能层(例如，移动性管理功能等)。

在5g中，为了支持云ran(或c-ran，它是用于无线电接入网的基于云计算的架构)实现方式，基站(gnb)被分解(拆分)为多个分布式单元(du)和集中式单元(cu)。cu进一步拆分为两个实体：控制平面(cu-cp)和用户平面(cu-up)。cu-cp支持gnb的无线电资源控制(rrc)，cu-up支持分组数据融合协议(pdcp)实体。下一代(ng)ran架构和功能划分在题为“technicalspecificationgroupradioaccessnetwork；ng-ran；architecturedescription”的5g技术规范(ts)38.401的v15.3.0(其公开内容通过引用整体并入本文)中指定。

图3示出了分解基站的来自ts38.401的总体架构。更具体地，图3中的架构示出了gnb300，其中：

gnb包括gnb-cu-cp(集中式单元控制平面组件)、多个gnb-cu-up(集中式单元用户平面组件)和多个gnb-du(分布式单元)；

gnb-cu-cp通过f1-c接口连接到gnb-du。

gnb-cu-up通过f1-u接口连接到gnb-du。

gnb-cu-up通过e1接口连接到gnb-cu-cp。

一个gnb-du连接到仅一个gnb-cu-cp；以及

一个gnb-cu-up连接到仅一个gnb-cu-cp。

为了有弹性，通过适当实现方式可以将gnb-du和/或gnb-cu-up连接到多个gnb-cu-cp。

一个gnb-du可以在同一gnb-cu-cp的控制下连接到多个gnb-cu-up。

一个gnb-cu-up可以在同一gnb-cu-cp的控制下连接到多个du。

由gnb-cu-cp使用承载上下文管理功能在gnb-cu-up与gnb-du之间建立连接。

gnb-cu-cp为ue的所请求的服务选择适当的(一个或多个)gnb-cu-up。

xn-u可以支持在gnb内进行gnb-cu-cp内切换期间在gnb-cu-up之间进行数据转发。

有关组件和接口的更多详细信息在ts38.401中描述。

在3gpprel-15中，假定的是连接的ue所涉及的所有du和cu-up在同一安全域中(同一up加密密钥)。然而，根据说明性实施例认识到的是，在未来的部署中，单个ue(例如，智能电话)可以同时调用多个应用，例如，尽力而为数据应用、语音应用、urllc应用和iot应用。由于这些应用的服务质量(qos)和等待时间要求不同，因此ue可以与多个du建立连接以建立适当的无线电承载(rb)、与upf的n3连接、以及下一代应用协议(ngap)链路。用于urllc应用的无线电承载可以连接到du，并且其对应cu-up可以放置在du附近，以最小化传输延迟。因此，说明性实施例意识到，针对特定应用和服务特性而优化的多个cu-up可能并不总是位于同一安全域中。

因此，根据说明性实施例实现的是，管理不同du和cu-up上的无线电承载的实例化和分配的cu-cp需要新的安全性框架来管理在不同安全域中终止，但仍在同一cu-cp和逻辑gnb的控制下的cu-up实例的安全性。没有这样的新的安全性框架，不同安全域中的up加密密钥将是相同的。如果在不同安全域中使用相同密钥，则任何虚假代理都将能够解密或操纵另一域中的数据，从而失去隐私和安全性隔离。

因此，当在不同安全域中实例化cu-up实体时，一个或多个说明性实施例得出不同up加密密钥(kupenc)和up完整性密钥(kupint)。为了实现这一点，在逻辑gnb中采用双连接性原理以实现密钥分离。

在说明本发明的解决方案之前，图4示出了当前as密钥层次结构400，其中针对ue连接中涉及的所有cu-up仅生成一组密钥。注意，对于给定gnb，相同up加密密钥(kupenc)和up完整性密钥(kupint)如何由安全域中的所有cu-up(gnb-cu-up1、gnb-cu-up2、gnb-cu-up3)共享。

图5示出了根据说明性实施例的支持多个安全域的as密钥层次结构500。注意，对于给定gnb，如何针对多个安全域中的每个安全域为每个cu-up(gnb-cu-up1、gnb-cu-up2、gnb-cu-up3)生成不同up加密密钥(kupenc)和up完整性密钥(kupint)。因此，在安全域1中针对gnb-cu-up1生成kupenc1和kupint1，在安全域2中针对gnb-cu-up2生成kupenc2和kupint2，在安全域3中针对gnb-cu-up3生成kupenc3和kupint3。

在一个或多个说明性实施例中，如果cu-up和du在不同安全域中，则对于属于该gnb的同一数据无线电承载标识符(drbid)空间，发生以下步骤：

1)cu-cp使用“安全域计数器”参数和当前默认kgnb来为新的安全域(例如，在双连接的情况下)计算新鲜kgnb(新安全上下文)，如下所示：

kgnb安全域1＝kgnb(即，kgnb的当前值)

kgnb安全域2＝kdf(kgnb，安全域计数器＝2)

kgnb安全域3＝kdf(kgnb，安全域计数器＝3)

其中kdf是密钥得出函数。

“安全域计数器”存储在ue的as安全上下文中。

2)根据计算出的kgnb安全域值，cu-cp进一步在对应安全域中得出up密钥，即，用于dl/ul数据的加密/解密的kupenc、用于dl/ul数据的完整性消息认证码(mac)计算和验证的kupint。

3)cu-cp将得出的up密钥发送给对应cu-up以供使用，同时在这些安全域中实例化无线电承载。在一些实施例中，cu-cp还发送对应安全域id以通过cu-up进一步检查。

图6示出了根据说明性实施例的在用户设备与支持多个安全域的分解基站之间的消息流600。

步骤602：为了指示ue针对新的安全域使用新的密钥集，用于添加特定无线电承载的“rrc重新配置消息”中的cu-cp添加用于具有新的“安全域计数器”值的新的kgnb计算的指示kgnb安全域x。

步骤604：当接收到该指示时，ue根据主要默认kgnb(当前安全上下文)来为安全性计算新鲜kgnb，作为kgnb安全域x＝kdf(kgnb，安全域计数器＝x)。

步骤606：ue进一步根据计算出的kgnb安全域值来为对应安全域中的无线电承载的dl/ul数据的完整性mac计算和验证得出up秘钥kupint，即，用于dl/ul数据的加密/解密的秘钥kupenc。

步骤608：当在这些安全域中实例化无线电承载时，ue将所得出的密钥kupenc和kupint用于对应cu-up实例。

结合附图描述的特定处理操作和其他系统功能仅通过说明性示例的方式呈现，而不应当以任何方式解释为限制本公开的范围。备选实施例可以使用其他类型的处理操作和消息传递协议。例如，在其他实施例中，步骤的顺序可以改变，或者某些步骤可以至少部分彼此并发而不是顺序地执行。而且，可以周期性地重复一个或多个步骤，或者可以彼此并行地执行方法的多个实例。

因此，应当再次强调，本文中描述的各种实施例仅通过说明性示例的方式呈现，而不应当被解释为限制权利要求的范围。例如，备选实施例可以利用与以上在说明性实施例的上下文中描述的不同的通信系统配置、用户设备配置、基站配置、密钥对供应和使用过程、消息收发协议和消息格式。在所附权利要求书的范围内的这些以及很多其他备选实施例对于本领域技术人员将是很清楚的。