[发明专利]对用于UE的服务AMF的改变进行处理的方法、网络节点和介质

说明书

一种用于处理用于用户设备的服务接入和移动性管理功能的改变的方法。所述方法包括向源接入和移动性管理功能发送(S2)上下文请求。所述发送是从目标接入和移动性管理功能执行的。在所述目标接入和移动性管理功能中，从所述源接入和移动性管理功能接收(S3)作为答复的上下文。所述上下文包括标识安全锚功能接入和移动性管理功能的参数。所述安全锚功能接入和移动性管理功能保持与所述用户设备共享的密钥。还公开了一种在用户设备中处理服务接入和移动性管理功能的改变的方法，并且因此还公开了接入和移动性管理功能和用户设备。

技术领域

所提议的技术总体涉及5G通信系统中的安全问题。

背景技术

第三代合作伙伴计划(3GPP)是电信协会组之间的合作。3GPP 的最初目的是就全球适用的第三代(3G)移动电话系统规范达成一致。该范围后来被扩大为包括开发和维护其他代的移动电信产生，例如，通用移动电信系统(UMTS)架构(有时也被称为3G)和长期演进(LTE) 架构(也被称为第四代(4G))。

3GPP目前正在开发用于5G(又名下一代(NG))的标准。该未来一代无线通信(通常被称为下一代(NextGen或NG)、下一代系统 (NGS)或5G)正在全世界范围内被开发，然而尚未设置通用的5G 标准。

与当前的4G LTE网络相比，下一代无线通信的愿景在于提供非常高的数据速率、极低的延迟、基站容量的多方面增加以及用户感知服务质量(QoS)的显著改善。

期望5G将支持许多新场景和用例，并将成为物联网(IoT)的推动者。期望NG系统将为诸如传感器、智能可穿戴设备、车辆、机器等广泛的新设备提供连接性。于是，灵活性将是NG系统中的关键属性。这被反映在网络接入的安全要求中，其要求支持备选认证方法和不同类型的凭证，该不同类型的凭证不同于由运营商预先配置并被安全地存储在通用集成电路卡(UICC)中的通常的认证和密钥协议 (AKA)凭证。这将允许工厂所有者或企业针对认证和接入网络安全利用他们自己的标识和凭证管理系统。

NG系统中的新的安全特征之一是安全锚功能(SEAF)的引入。 SEAF的唯一目的是满足NG核心网络功能部署的灵活性和动态性。事实上，NG系统将利用虚拟化来实现这种属性。因此，将接入和移动性管理功能(AMF)部署在可能不如例如运营商所在地内那样安全的域中的场景不仅是合理的而且是被期望的。

SEAF应该与用户设备(UE)建立并共享密钥(称为K_seaf)，该密钥被用于导出任何其他密钥，例如用于控制平面保护的密钥(K_cn) 和用于无线电接口保护的密钥。这些密钥在4G系统中与非接入层 (NAS)密钥和K_eNB相对应。然后假设SEAF驻留在安全位置，而 K_seaf将决不会离开SEAF。该设置的一个主要优点是每次UE进入空闲然后再次激活时避免重新认证。事实上，认证是高成本的过程，特别是当UE正在漫游时。

在NG系统的架构研究期间，决定将SEAF与AMF并置。实际上，这确实首先破坏了这种附加安全功能的目的。是否仍然需要SEAF，以及如果是的话，如何来实现它？值得注意的是，传统系统中的安全设计在概念上是基于移动性管理实体(MME)始终位于运营商CN内的安全位置这一假设的。该假设不适用于AMF。在密集区域中，AMF 可以更靠近网络的边缘来部署(例如，在购物中心中)，并且因此可能被部署在暴露的位置。因此，在AMF改变期间，可能的情况是，AMF 不位于同等安全的域中，并且因此目标或源AMF可能需要遮蔽其自身免受另一AMF影响。

如下所述，在这种新的安全设置中重用传统机制是不够的。在演进型分组系统(EPS)中，AMF的等同物是MME。在MME改变期间，新的MME从旧的MME中获取UE的安全上下文。此外，MME 始终有可能触发新的认证。