用于从无线电接入网络提供安全性的方法和系统技术方案

本公开涉及一种无线电接入网络系统中的安全性方法。共享秘密密钥被存储在用户设备和核心网络系统二者中。从核心网络系统接收另外的秘密密钥，其中另外的秘密密钥已经使用存储在核心网络系统中的共享秘密密钥而导出。通过无线电接口向用户设备提供一个或多个值以至少从存储在用户设备中的共享秘密密钥和通过无线电接口提供的一个或多个值中的一个或多个值在用户设备中导出另外的秘密密钥。使用无线电接入网络系统中接收到的另外的秘密密钥和用户设备中所导出的另外的秘密密钥通过无线无线电接口针对用户设备而执行认证过程和/或密钥协定过程。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于从电信网络的无线电接入网络提供安全性的方法和系统。更具体地，本专利技术涉及用于在安全性功能不可用或未从电信网络的核心网络系统获得的情况下从无线电接入网络提供安全性的方法和系统。本专利技术还涉及应用在安全性方法中的用户设备和订户模块。
技术介绍
在过去十年间，移动电信已经成为通信的主导形式并且在未来几年中预计到进一步增长。移动电信依赖于借助于移动用户设备可以移动通过的区域中的基站（例如，(e)NodeB）提供无线电覆盖的无线电接入网络系统的存在。基站连接到电信提供方的电信网络的核心网络系统以便允许建立通信服务。核心网络系统包括若干另外的电信节点。一个这样的节点是家庭订户系统（HSS）。HSS具有两个功能，即（1）存储用户订阅信息和当必要时更新该信息以及（2）根据一个或多个秘密密钥生成安全信息。秘密密钥通常在HSS与用户设备中的(U)SIM之间共享并且应当保密，即共享秘密密钥。使用秘密密钥导出安全信息。安全信息用于设备认证，和/或在3G和4G网络中用于网络认证并且以确保通过无线电路径传送的数据被加密。对于3G网络，可以在3GPPTS33.102中找到安全性的详细描述；对于4G网络在3GPPTS33.401中。已经在3GPP中启动新的项目以研究用于公共安全的隔离的E-UTRAN操作（3GPPTR22.897）。核心网络系统可能出于各种原因而不可用于无线电接入网络系统（即无线电接入网络系统被隔离）。可能已经发生灾难性的事件（例如地震、洪灾、爆炸）或者在电信系统中可能发生硬件或软件故障。在一个特定示例中，一个或多个基站之间的连接链路（其照此仍旧能够为用户设备提供用于一个或多个通信服务的无线电覆盖）和核心网络系统可能损坏。在一个其它示例中，与基站的连接链路在操作，但是核心网络的其它部分不适当地操作使得中心数据库不能被访问。其中核心网络系统不可用或者不连续可用的其它情况包括独立网络在未被主要无线电接入网络覆盖或未被其充分覆盖的一些区域中提供覆盖或附加的容量。具体示例包括军事任务，其中卡车可以承载无线电接入网络，其使得能够实现由移动无线电接入网络覆盖的区域中的军事人员之间的通信。WO2011/134039公开了一种在移动通信网络内的故障期间建立通信线路的方法。基站可以采取可存活性模式，如果检测到破坏的话。在可存活性模式中，可存活性组件可以在基站内被激活，其使得通信和服务能够由基站提供。一个可存活性组件包括提供针对基站的覆盖区域中的移动设备的认证和授权的认证器。认证器可存活性组件执行核心网络系统的认证中心AuC的功能并且存储秘密密钥。从安全角度来看，该方法是不利的。尽管核心网络系统的AuC元件或AuC部分是高度安全且严格受保护的环境，但是对于基站而言不太如此。在每一个基站中存储原始秘密密钥可能因而危及通信安全。如果认证器可存活性组件受损，针对其的共享秘密密钥存储在基站中的所有用户设备的安全性受损。在本领域中存在对于提供用于基站或基站集合的本地认证功能的更安全的解决方案的需要。
技术实现思路
如本领域技术人员将领会到的，本专利技术的各方面可以体现为系统、方法或计算机程序产品。相应地，本专利技术的各方面可以采取完全硬件实施例、软件实施例（包括固件、驻留软件、微代码等）或组合软件和硬件方面的实施例的形式，其在本文中一般可以全部被称为“电路”、“模块”或“系统”。在本公开中描述的功能可以被实现为由计算机的微处理器执行的算法。另外，本专利技术的各方面可以采取计算机程序产品的形式，所述程序产品体现在其上体现（例如存储）有计算机可读程序代码的一个或多个计算机可读介质中。可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是，例如但不限于，电子、磁性、光学、电磁、红外或半导体系统、装置或设备或者前述的任何合适组合。计算机可读存储介质的更加具体的示例（非详尽列表）将包括以下：具有一个或多个导线的电气连接、便携式计算机盘、硬盘、固态驱动器、随机存取存储器（RAM）、非易失性存储器设备、只读存储器（ROM）、可擦除可编程只读存储器（EPROM或闪速存储器）、光纤、便携式压缩盘只读存储器（CD-ROM）、光学存储设备、磁性存储设备或前述的任何合适组合。在本公开的上下文中，计算机可读存储介质可以是任何有形介质，其可以包含或存储程序以供指令执行系统、装置或设备使用或与其结合使用。计算机可读信号介质可以包括其中体现有计算机可读程序代码的传播数据信号，例如在基带中或作为载波的部分。这样的传播信号可以采取各种形式中的任一种，包括但不限于，电磁、光学或其任何合适的组合。计算机可读信号介质可以是不是计算机可读存储介质并且可以传送、传播或传输程序以供指令执行系统、装置或设备使用或与其结合使用的任何计算机可读介质。体现在计算机可读介质上的程序代码可以使用任何适当的介质传输，所述介质包括但不限于无线（使用电磁和/或光学辐射）、有线、光纤、线缆等，或前述的任何合适的组合。用于实施用于本专利技术的各方面的操作的计算机程序代码可以以一个或多个编程语言的任何组合编写，所述一个或多个编程语言包括面向对象的编程语言（诸如Java（TM）、Smalltalk、C++等）以及常规过程编程语言，诸如“C”编程语言或类似的编程语言。程序代码可以完全在用户的计算机（例如用户设备）上执行或者在网络中的计算机机构（例如无线电接入网络系统中和/或核心网络系统中的计算机机构）上执行，部分地在计算机上作为独立软件包执行，部分地在用户的计算机上并且部分地在网络中的计算机机构上执行，或者完全在远程计算机或服务器上执行。在后一种场景中，远程计算机可以通过任何类型的网络连接到用户的计算机，所述网络包括局域网（LAN）或广域网（WAN），或者可以做出到外部计算机的连接（例如通过使用互联网服务提供方的互联网）。以下参照根据本专利技术的实施例的方法、装置（系统）和计算机程序产品的流程图图示和/或框图来描述本专利技术的各方面。将理解的是，流程图图示和/或框图的每一个块以及流程图图示和/或框图中的块的组合可以由计算机程序指令实现。这些计算机程序指令可以被提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器（特别地，微处理器或中央处理单元（CPU））以产生机器，使得经由计算机的处理器、其它可编程数据处理装置或其它设备执行的指令创建用于实现流程图和/或框图的一个或多个块中指定的功能/动作的构件。这些计算机程序指令还可以被存储在计算机可读介质中，其可以引导计算机、其它可编程数据处理装置或其它设备以特定方式起作用，使得存储在计算机可读介质中的指令产生包括实现在流程图和/或框图的一个或多个块中指定的功能/动作的指令的制造品。计算机程序指令还可以被加载到计算机、其它可编程数据处理装置或其它设备上以使一系列操作步骤在计算机、其它可编程装置或其它设备上执行以产生计算机实现的过程，使得在计算机或其它可编程装置上执行的指令提供用于实现在流程图和/或框图的一个或多个块中指定的功能/动作的过程。图中的流程图和框图图示了根据本专利技术的各种实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。在这方面，流程图或框图中的每一个块本文档来自技高网...

【技术保护点】
一种提供针对至少一个用户设备的无线无线电接口的电信网络的无线电接入网络系统中的安全性方法，其中共享秘密密钥被存储在用户设备和电信网络的核心网络系统二者中，所述方法包括无线电接入网络系统中的以下步骤：从核心网络系统接收另外的秘密密钥，其中另外的秘密密钥已经使用存储在核心网络系统中的共享秘密密钥而导出；通过无线电接口向用户设备提供一个或多个值以至少从存储在用户设备中的共享秘密密钥和通过无线电接口提供的一个或多个值中的一个或多个值在用户设备中导出另外的秘密密钥；以及使用无线电接入网络系统中接收到的另外的秘密密钥和用户设备中所导出的另外的秘密密钥通过无线无线电接口执行针对用户设备的本地认证过程和本地密钥协定过程中的至少一个。

【技术特征摘要】
【国外来华专利技术】2014.05.02 EP 14166880.61.一种提供针对至少一个用户设备的无线无线电接口的电信网络的无线电接入网络系统中的安全性方法，其中共享秘密密钥被存储在用户设备和电信网络的核心网络系统二者中，所述方法包括无线电接入网络系统中的以下步骤：从核心网络系统接收另外的秘密密钥，其中另外的秘密密钥已经使用存储在核心网络系统中的共享秘密密钥而导出；通过无线电接口向用户设备提供一个或多个值以至少从存储在用户设备中的共享秘密密钥和通过无线电接口提供的一个或多个值中的一个或多个值在用户设备中导出另外的秘密密钥；以及使用无线电接入网络系统中接收到的另外的秘密密钥和用户设备中所导出的另外的秘密密钥通过无线无线电接口执行针对用户设备的本地认证过程和本地密钥协定过程中的至少一个。2.根据权利要求1所述的安全性方法，其中从核心网络接收的另外的秘密密钥是使用以下中的至少一个而导出的：-通过无线电接口提供到用户设备的一个或多个值中的一个或多个值；-标识无线电接入网络系统的标识符；以及-用户设备的标识符。3.根据前述权利要求中的一项或多项所述的安全性方法，包括以安全的方式在无线电接入网络系统处接收至少另外的秘密密钥的步骤。4.根据前述权利要求中的一项或多项所述的安全性方法，包括从核心网络系统接收要通过无线电接口提供给用户设备的一个或多个值中的一个或多个值作为针对用户设备的认证矢量的步骤。5.根据前述权利要求中的一项或多项所述的安全性方法，还包括以下中的至少一个：-响应于触发而在无线电接入网络系统处接收一个或多个值中的一个或多个值和另外的秘密密钥中的至少一个，其中所述触发可选地在检测到针对无线电接入网络系统的无能力或不可用性之前被提供以处置来自核心网络系统的认证过程和密钥协定过程中的至少一个；-从核心网络系统请求一个或多个值中的一个或多个值和另外的秘密密钥中的至少一个。6.根据前述权利要求中的一项或多项所述的安全性方法，还包括以下步骤中的至少一个：-当无线电接入网络处于RAN_only模式中时将RAN_only指示传输到无线无线电接口上；-将无线电接入网络系统的标识符传输到无线无线电接口上；以及-从用户设备接收指示导出另外的秘密密钥的能力的指示。7.根据前述权利要求中的一项或多项所述的安全性方法，还包括无线电接入网络系统中的以下步骤：接收从用户设备到无线电接入网络系统的连接请求；从连接请求或响应于接收到连接请求而确定要从无线电接入网络系统执行本地认证过程和本地密钥协定过程中的至少一个。8.一种计算机程序，或计算机程序套装，包括被布置成使计算机或计算机套装执行根据前述权利要求中的一项或多项所述的方法的指令集。9.一种计算机可读介质，包括权利要求8的计算机程序或计算机程序套装。10.一种包括提供针对至少一个用户设备的无线无线电接口的一个或多个基站的无线电接入网络系统，其中共享秘密密钥被存储在用户设备和电信网络的核心网络...

【专利技术属性】
技术研发人员：F弗兰森，
申请(专利权)人：皇家KPN公司，荷兰应用自然科学研究组织，
类型：发明
国别省市：荷兰;NL