[发明专利]通信系统中的分解基站中的安全性管理

权利要求书

1.一种装置，包括：

至少一个处理器，耦合到与通信系统中的用户设备相关联的存储器，并且所述至少一个处理器被配置为：

从分解基站接收重新配置消息，所述用户设备已经与所述分解基站建立当前安全上下文，其中所述重新配置消息包括基于安全域计数器值来计算新安全上下文的指令，其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域；

基于所述安全域计数器值，为所述给定安全域计算所述新安全上下文；以及

从所述新安全上下文中得出一组安全密钥。

2.根据权利要求1所述的装置，其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个集中式单元用户平面(CU-UP)组件中的每个集中式单元用户平面组件。

3.根据权利要求1所述的装置，其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个分布式单元(DU)组件中的每个分布式单元组件。

4.根据权利要求1所述的装置，其中所述多个安全域中的每个安全域对应于由所述用户设备调用的不同应用。

5.根据权利要求1所述的装置，其中所述一组安全密钥包括针对由所述安全域计数器值表示的所述给定安全域的一个或多个用户平面密钥。

6.根据权利要求5所述的装置，其中所述一个或多个用户平面密钥包括针对由所述安全域计数器值表示的所述给定安全域的用户平面加密密钥和用户平面完整性密钥中的一项或多项。

7.根据权利要求5所述的装置，其中所述用户设备的所述处理器还被配置为在针对由所述安全域计数器值表示的所述给定安全域实例化一个或多个无线电承载时，使用所得出的所述一个或多个用户平面密钥。

8.一种方法，包括：

在通信系统中的用户设备处从分解基站接收重新配置消息，所述用户设备已经与所述分解基站建立当前安全上下文，其中所述重新配置消息包括基于安全域计数器值来计算新安全上下文的指令，其中所述安全域计数器值表示由所述分解基站支持的来自多个安全域的给定安全域；

在所述用户设备处基于所述安全域计数器值，为所述给定安全域计算所述新安全上下文；以及

在所述用户设备处从所述新安全上下文中得出一组安全密钥。

9.根据权利要求8所述的方法，其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个集中式单元用户平面(CU-UP)组件中的每个集中式单元用户平面组件。

10.根据权利要求8所述的方法，其中所述多个安全域中的每个安全域对应于在所述分解基站中的多个分布式单元(DU)组件中的每个分布式单元组件。

11.根据权利要求8所述的方法，其中所述多个安全域中的每个安全域对应于由所述用户设备调用的不同应用。

12.根据权利要求8所述的方法，其中所述一组安全密钥包括针对由所述安全域计数器值表示的所述给定安全域的一个或多个用户平面密钥。

13.根据权利要求12所述的方法，其中所述一个或多个用户平面密钥包括针对由所述安全域计数器值表示的所述给定安全域的用户平面加密密钥和用户平面完整性密钥中的一项或多项。

14.根据权利要求12所述的方法，还包括所述用户设备在针对由所述安全域计数器值表示的所述给定安全域实例化一个或多个无线电承载时，使用所得出的所述一个或多个用户平面密钥。

15.一种制品，包括其中实施有可执行程序代码的非暂态计算机可读存储介质，所述可执行程序代码在由与用户设备相关联的处理器执行时引起所述处理器执行根据权利要求8所述的步骤。