通信系统中的分解基站中的安全性管理的制作方法

技术特征：

1.一种装置，包括：

至少一个处理器，耦合到与通信系统中的用户设备相关联的存储器，并且所述至少一个处理器被配置为：

从分解基站接收重新配置消息，所述用户设备已经与所述分解基站建立当前安全上下文，其中所述重新配置消息包括基于安全域计数器值来计算新安全上下文的指令，其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域；

基于所述安全域计数器值，为所述给定安全域计算所述新安全上下文；以及

从所述新安全上下文中得出一组安全密钥。

2.根据权利要求1所述的装置，其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个集中式单元用户平面(cu-up)组件中的每个集中式单元用户平面组件。

3.根据权利要求1所述的装置，其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个分布式单元(du)组件中的每个分布式单元组件。

4.根据权利要求1所述的装置，其中所述多个安全域中的每个安全域对应于由所述用户设备调用的不同应用。

5.根据权利要求1所述的装置，其中所述一组安全密钥包括针对由所述安全域计数器值表示的所述给定安全域的一个或多个用户平面密钥。

6.根据权利要求5所述的装置，其中所述一个或多个用户平面密钥包括针对由所述安全域计数器值表示的所述给定安全域的用户平面加密密钥和用户平面完整性密钥中的一项或多项。

7.根据权利要求5所述的装置，其中所述用户设备的所述处理器还被配置为在针对由所述安全域计数器值表示的所述给定安全域实例化一个或多个无线电承载时，使用所得出的所述一个或多个用户平面密钥。

8.一种方法，包括：

在通信系统中的用户设备处从分解基站接收重新配置消息，所述用户设备已经与所述分解基站建立当前安全上下文，其中所述重新配置消息包括基于安全域计数器值来计算新安全上下文的指令，其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域；

在所述用户设备处基于所述安全域计数器值，为所述给定安全域计算所述新安全上下文；以及

在所述用户设备处从所述新安全上下文中得出一组安全密钥。

9.根据权利要求8所述的方法，其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个集中式单元用户平面(cu-up)组件中的每个集中式单元用户平面组件。

10.根据权利要求8所述的方法，其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个分布式单元(du)组件中的每个分布式单元组件。

11.根据权利要求8所述的方法，其中所述多个安全域中的每个安全域对应于由所述用户设备调用的不同应用。

12.根据权利要求8所述的方法，其中所述一组安全密钥包括针对由所述安全域计数器值表示的所述给定安全域的一个或多个用户平面密钥。

13.根据权利要求12所述的方法，其中所述一个或多个用户平面密钥包括针对由所述安全域计数器值表示的所述给定安全域的用户平面加密密钥和用户平面完整性密钥中的一项或多项。

14.根据权利要求12所述的方法，还包括所述用户设备在针对由所述安全域计数器值表示的所述给定安全域实例化一个或多个无线电承载时，使用所得出的所述一个或多个用户平面密钥。

15.一种制品，包括其中实施有可执行程序代码的非暂态计算机可读存储介质，所述可执行程序代码在由与用户设备相关联的处理器执行时引起所述处理器执行根据权利要求8所述的步骤。

16.一种装置，包括：

至少一个处理器，耦合到与通信系统中的分解基站相关联的存储器，并且所述至少一个处理器被配置为：向用户设备发送重新配置消息，所述分解基站已经与所述用户设备建立当前安全上下文，其中所述重新配置消息包括给所述用户设备的、基于安全域计数器值来计算新安全上下文的指令，其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域。

17.根据权利要求16所述的装置，其中所述分解基站的所述处理器还被配置为分别为所述多个安全域计算多组安全密钥，其中所述计算中的一个或多个计算基于所述安全域计数器值。

18.根据权利要求17所述的装置，其中所述分解基站的所述处理器还被配置为向所述分解基站的多个集中式单元用户平面(cu-up)组件中的每个集中式单元用户平面组件发送分别为所述多个安全域而计算的所述多组安全密钥中的不同组安全密钥。

19.根据权利要求18所述的装置，其中所述分解基站的所述处理器还被配置为向所述分解基站的所述多个集中式单元用户平面(cu-up)组件中的每个集中式单元用户平面组件发送对应安全域标识符。

20.根据权利要求17所述的装置，其中所述多组安全密钥的所述计算由所述分解基站的集中式单元控制平面(cu-cp)组件来执行。

21.一种方法，包括：

从通信系统中的分解基站向用户设备发送重新配置消息，所述分解基站已经与所述用户设备建立当前安全上下文，其中所述重新配置消息包括给所述用户设备的、基于安全域计数器值来计算新安全上下文的指令，其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域。

22.根据权利要求21所述的方法，还包括分别为所述多个安全域计算多组安全密钥，其中所述计算中的一个或多个计算基于所述安全域计数器值。

23.根据权利要求22所述的方法，还包括向所述分解基站的多个集中式单元用户平面(cu-up)组件中的每个集中式单元用户平面组件发送分别为所述多个安全域而计算的所述多组安全密钥中的不同组安全密钥。

24.根据权利要求23所述的方法，还包括向所述分解基站的所述多个集中式单元用户平面(cu-up)组件中的每个集中式单元用户平面组件发送对应安全域标识符。

25.根据权利要求22所述的方法，其中所述多组安全密钥的所述计算由所述分解基站的集中式单元控制平面(cu-cp)组件来执行。

26.一种制品，包括其中实施有可执行程序代码的非暂态计算机可读存储介质，所述可执行程序代码在由与分解基站相关联的处理器执行时引起所述处理器执行根据权利要求21所述的步骤。

技术总结
在通信系统中的用户设备处从用户设备已经与之建立当前安全上下文的分解基站接收重新配置消息。重新配置消息包括基于安全域计数器值来计算新安全上下文的指令，其中安全域计数器值表示由分解基站支持的来自多个安全域的给定安全域。在用户设备处基于安全域计数器值为给定安全域计算新安全上下文。在用户设备处从新安全上下文中得出一组安全密钥。

技术研发人员：S·奈尔;T·奇巴;P·戈丁
受保护的技术使用者：诺基亚技术有限公司
技术研发日：2019.10.23
技术公布日：2021.06.18