无线网络接入保护和安全架构的系统和方法技术方案

无线网络特定的(WN特定的)密钥可用于在无线接入链路上提供接入保护。WN特定的密钥可关联(或被分配给)无线网络，并被分发给无线网络的接入点，以及UE认证之后的用户设备(UE)。接着，WN特定的密钥用来加密/解密在无线接入链路上传输的数据。WN特定的密钥可与UE特定的密钥结合使用，以便提供多级接入保护。在一些实施例中，在相邻无线网络之间共享WN特定的密钥，以便在切换期间减少密钥交换的频率。业务特定的密钥可用来对机器对机器(M2M)业务提供接入保护。群组特定的密钥可用来对专用社交网络的成员之间通信的业务流提供接入保护。

【技术实现步骤摘要】
【国外来华专利技术】本专利申请要求于2014年7月3日提交的申请号为62/020,593、专利技术名称为“无线网络接入保护和安全架构的系统和方法”的美国临时申请的优先权，其全部内容通过引用结合于此，就如同将其内容全文复制在此一样。
本专利技术涉及一种用于无线通信的系统和方法，并且在具体实施例中，涉及一种用于无线网络接入保护和安全架构的系统和方法。
技术介绍
无线网络经常使用接入密钥，以确保只有有效用户才允许接入该无线网络。在传统的3G/4G无线网络中，在UE认证/授权之后，移动性管理实体(MME)向演进的分组核心(EPC)中的分组数据网(PDN)网关(PGW)和用户设备(UE)分发用户设备(UE)特定的密钥材料，所述用户设备特定的密钥材料用来加密在UE和PGW之间延伸的承载信道上的数据通信。特别地，在切换期间无线网络之间传送UE特定的密钥材料，或UE特定的密钥(简称)。在切换更加频繁的密集部署环境中传送UE特定的密钥可能会有问题，这是因为在无线网络之间反复地传送密钥材料会显著增加与UE移动性相关的延迟和开销。因此，需要在密集部署环境中能够快速、有效认证UE的技术。
技术实现思路
技术优点一般通过本公开描述“无线网络接入保护和安全架构”的实施例来实现。根据一实施例，提供了一种无线网络接入保护的方法。在本实例中，该方法包括基站获得无线网络(WN)特定的密钥，所述无线网络(WN)特定的密钥被分配给无线网络。该基站属于该无线网络。该方法进一步包括：建立基站和用户设备(UE)之间的无线连接，以及在无线连接上从UE接收加密的数据。加密的数据具有第一层加密和第二层加密。该方法进一步包括：使用WN特定的密钥解密第一层加密，以获得部分解密的数据；以及向所述WN中的网关转发该部分解密的数据。还提供了一种执行该方法的装置。根据另一个实施例，提供了一种在无线网络中分发密钥的方法。在本实例中，该方法包括在WN密钥控制器生成无线网络(WN)特定的密钥。所述WN特定的密钥被分配给第一无线网络。该方法进一步包括：向所述第一无线网络中的基站分发WN特定的密钥，用于提供所述基站与接入所述无线网络的用户设备(UE)之间建立的无线接入接口上的接入保护。还提供了一种执行该方法的装置。根据再一个实施例，提供了一种密钥管理架构。在本实例中，所述密钥管理架构包括：无线网络(WN)保护控制器，适于获得用户设备(UE)特定的密钥，所述用户设备(UE)特定的密钥被分配给接入无线网络的UE，并且适于向无线网络中的服务网关(SGW)分发UE特定的密钥。UE特定的密钥适于提供在UE与SGW之间延伸的承载信道上的接入保护。根据再一个实施例，提供了一种用于认证移动设备的方法。在本实例中，该方法包括：在WN保护控制器接收UE特定的密钥，该WN保护控制器被分配在整个无线网络中分发密钥。该方法进一步包括：识别对应由UE特定的密钥指定的UE标识符的无线网络域；以及向无线网络域中的服务网关(SGW)分发UE特定的密钥。所述UE特定的密钥适于为UE与SGW之间延伸的承载信道上提供接入保护。还提供了一种执行该方法的装置。根据再一个实施例，提供了一种提供业务特定的接入保护的方法。在本实例中，该方法包括：识别与机器对机器(M2M)客户相关联的M2M业务；在SGW接收分配给M2M业务的业务特定的密钥；以及从网络设备接收分组。所述分组与M2M业务相关。该方法进一步包括：使用业务特定的密钥尝试解密所述分组；以及当解密所述分组的尝试不成功时，丢弃所述分组。也提供了一种执行该方法的装置。根据再一个实施例，提供了一种群组(group)特定的接入保护的方法。在本实例中，该方法包括：识别专用网络，在SGW接收分配给所述专用网络的群组特定的密钥，接收寻址到属于所述专用网络的网络设备的分组；以及使用群组特定的密钥尝试解密分组。该方法进一步包括：当解密所述分组的尝试不成功时，丢弃所述分组。还提供了一种执行该方法的装置。附图说明为了更全面地理解本公开及其优点，现在参考下面结合附图的说明，附图中：图1示出了无线网络实施例的示意图；图2示出了传统无线网络安全架构的示意图；图3示出了无线网络安全架构实施例的示意图；图4示出了用于提供多级接入保护的无线网络架构实施例的示意图；图5示出了用于管理网络接入密钥的无线网络安全架构实施例的示意图；图6示出了用于管理网络接入密钥的无线网络安全架构另一个实施例的示意图；图7示出了用于管理UE特定的密钥材料的无线网络架构实施例的示意图；图8示出了用于向M2M业务提供接入保护的网络架构实施例的示意图；图9示出了用于管理UE特定的密钥材料的无线网络架构实施例的示意图；图10示出了用于为公共群组的成员之间的通信提供接入保护的网络架构实施例的示意图；图11示出了用于管理群组特定的密钥材料的无线网络架构实施例的示意图；图12示出了计算平台实施例的示意图；以及图13示出了通信设备实施例的示意图。除非另外指明，不同附图中对应编号和符号一般表示对应部件。附图的绘制清楚地示出了实施例的相关方面，并不必是按比例绘制。具体实施方式下面将更详细地讨论本公开的实施例的实现和运用。然而，应理解，本文公开的构思可以体现在多种特定语境中，并且所讨论的具体实施例仅仅是说明性的，并不用来限制权利要求书的范围。应进一步理解，可以在不偏离所附权利要求限定的本公开的精神和范围的情况下，做出各种改变、替换和变更。3G/4G无线网络使用UE特定的密钥向从UE向演进的分组核心(EPC)网络的分组数据网(PDN)网关(PGW)之间延伸的承载信道提供接入保护。然而，不会为UE和RAN之间延伸的无线连接提供单独等级的接入保护。在未来的网络架构中，无线接入网可具有第一实体提供的基础设施以及另一实体在该基础设施之上提供的电信服务。为了适应对带宽日益增长的需求，很可能未来的网络部署将包括作为整个网络一部分的密集和超密集网络片段。因此，需要适合密集部署的无线网络的多级接入网络安全框架。本公开的各个方面提供了利用无线网络特定的(WN特定的)密钥材料，或WN特定的密钥(简称)的技术，以便提供在无线接入链路上的接入保护。更具体地，WN特定的密钥关联(或被分配给)无线网络，并被分发给无线网络的接入点，以及UE认证之后的UE。接着，WN特定的密钥用来加密/解密在无线接入链路上传输的数据。WN特定的密钥可与UE特定的密钥结合使用，以便提供多级接入保护。在一些实施例中，在相邻无线网络之间分享WN特定的密钥，以便减少在切换期间密钥交换的频率。例如，公共WN特定的密钥可预分发给相邻无线网络中的接入点，以便在这些相邻无线网络之间发生切换，而在切换期间不交换WN特定的密钥。本公开的多个方面还提供了用于向机器对机器(M2M)业务提供接入保护的业务特定的密钥，以及用于向例如专用社交网络等公共群组的成员之间通信的业务流提供接入保护的群组特定的密钥。也提供了用于分发UE特定的、WN特定的、业务特定的以及群组特定的密钥的网络安全架构。下文将更详细地描述这些及其他细节。图1示出了用于通信数据的网络100。网络100包括具有覆盖区域101的接入点(AP)110，多个移动设备120和回程网络130。AP110可包括能够提供无线接入的，特别是通过与移动设备120建立上行链路(短划线)和本文档来自技高网...

【技术保护点】
一种无线网络接入保护的方法，所述方法包括：基站获得无线网络(WN)特定的密钥，所述无线网络(WN)特定的密钥被分配给所述基站所属的无线网络；建立所述基站和用户设备(UE)之间的无线连接；在所述无线连接上从所述UE接收加密的数据，所述加密的数据具有第一层加密和第二层加密；使用所述WN特定的密钥解密所述第一层加密，以获得部分解密的数据；以及向所述WN中的网关转发所述部分解密的数据。

【技术特征摘要】
【国外来华专利技术】2014.07.03 US 62/020,5931.一种无线网络接入保护的方法，所述方法包括：基站获得无线网络(WN)特定的密钥，所述无线网络(WN)特定的密钥被分配给所述基站所属的无线网络；建立所述基站和用户设备(UE)之间的无线连接；在所述无线连接上从所述UE接收加密的数据，所述加密的数据具有第一层加密和第二层加密；使用所述WN特定的密钥解密所述第一层加密，以获得部分解密的数据；以及向所述WN中的网关转发所述部分解密的数据。2.根据权利要求1所述的方法，其中所述网关包括用户特定的服务网关(SGW)。3.根据权利要求2所述的方法，其中所述用户特定的SGW适于使用UE特定的密钥进一步解密所述部分解密的数据，以便从所述加密的数据除去所述第二层加密，所述UE特定的密钥不同于所述WN特定的密钥。4.根据权利要求2所述的方法，其中所述用户特定的SGW和所述基站共同处于相同的网络侧设备上。5.根据权利要求2所述的方法，其中所述用户特定的SGW和所述基站处于不同的网络侧设备上。6.根据权利要求2所述的方法，进一步包括：在所述无线连接上接收分组；使用所述WN特定的密钥尝试部分解密所述分组；以及当部分解密所述分组的尝试不成功时，丢弃所述分组。7.根据权利要求6所述的方法，进一步包括：当部分解密所述分组的尝试成功时，向所述用户特定的SGW转发所述分组，其中所述用户特定的SGW适于使用UE特定的密钥尝试进一步解密所述分组，并且当使用所述UE特定的密钥进一步解密所述分组的尝试失败时，丢弃所述分组。8.根据权利要求7所述的方法，其中所述第一层加密为所述无线连接提供接入保护，并且所述第二层加密为所述UE与所述用户特定的SGW之间延伸的承载信道提供接入保护。9.根据权利要求1所述的方法，其中所述WN特定的密钥被分发给所述无线网络中的一组基站，并且所述组基站中的基站之间发生切换，而在所述切换期间，不用交换所述WN特定的密钥。10.根据权利要求1所述的方法，其中所述WN特定的密钥被分配给一群组无线网络，并且所述群组无线网络中的无线网络之间发生切换，而在所述切换期间，不用交换所述WN特定的密钥。11.根据权利要求1所述的方法，其中使用所述WN特定的密钥对称地加密在所述无线连接上接收的所述加密数据。12.一种基站，包括：处理器；以及计算机可读存储介质，存储用于所述处理器执行的程序所述程序包括指令，用于：基站获得无线网络(WN)特定的密钥，该无线网络(WN)特定的密钥被分配给所述基站所属的无线网络；建立所述基站和用户设备(UE)之间的无线连接；在所述无线连接上从所述UE接收加密的数据，所述加密的数据具有第一层加密和第二层加密；使用所述WN特定的密钥解密所述第一层加密，以获得部分解密的数据；以及向所述WN中的网关转发所述部分解密的数据。13.一种在无线网络中分发密钥的方法，所述方法包括：在WN密钥控制器生成无线网络(WN)特定的密钥，所述WN特定的密钥被分配给第一无线网络；以及向所述第一无线网络中的基站分发所述WN特定的密钥，其中所述WN特定的密钥用于提供所述基站与接入所述无线网络的用户设备(UE)之间建立的无线接入接口上的接入保护。14.根据权利要求13所述的方法，其中所述WN特定的密钥被分配给至少包括所述第一无线网络和第二无线网络的一群组无线网络，并且所述方法进一步包括向所述第二无线网络中的基站分发所述WN特定的密钥。15.根据权利要求13所述的方法，进一步包括：在第一时间段结束时，所述密钥控制器更新所述WN特定的密钥；以及向所述第一无线网络中的基站分发更新的WN特定的密钥，其中在所述第一时间段期间，所述WN特定的密钥为所述无线接入接口提供接入保护，并且在第二时间段期间，所述更新的WN特定的密钥为所述无线接入接口提供接入保护。16.一种密钥控制器，包括：处理器；以及计算机可读存储介质，存储用于所述处理器执行的程序，所述程序包括指令，用于：在WN密钥控制器生成无线网络(WN)特定的密钥，所述WN特定的密钥被分配给第一无线网络；以及向所述第一无线网络中的基站分发所述WN特定的密钥，其中所述WN特定的密钥用于提供所述基站与接入所述无线网络的用户设备(UE)之间建立的无线接入接口上的接入保护。17.一种密钥管理架构，包括：无线网络(WN)保护控制器，适于获得用户设备(UE)特定的密钥，所述用户设备(UE)特定的密钥被分配给接入无线网络...

【专利技术属性】
技术研发人员：张航，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44