用于无线通信的装置和方法制造方法及图纸

技术编号:15768632 阅读:277 留言:0更新日期:2017-07-06 19:45
执行与设备的认证和密钥协商,并且获得与该设备相关联的认证信息,所述认证信息包括认证会话密钥。会话密钥管理实体(SKME)基于该认证会话密钥来生成移动性会话密钥,并且向对该设备进行服务的移动性管理实体(MME)发送该移动性会话密钥。

Apparatus and method for wireless communication

Authentication and key agreement are performed with the device, and authentication information associated with the device is obtained, including authentication session keys. The session key management entity (SKME) generates a mobility session key based on the authentication session key, and transmits the mobility session key to the mobility management entity (MME) serving the device.

【技术实现步骤摘要】
【国外来华专利技术】用于无线通信的装置和方法相关申请的交叉引用本申请要求以下申请的优先权和权益:于2014年11月3日向美国专利商标局提交的题为“ApparatusandMethodHavinganImprovedCellularNetworkKeyHierarchy”的临时申请No.62/074,513,以及于2015年10月21日向美国专利商标局提交的题为“ApparatusesandMethodsforWirelessCommunication”的非临时申请No.14/919,397,通过引用方式将上述申请的全部公开内容明确地并入本文。
概括地说,本公开内容涉及用于蜂窝网络的改进的密钥层次。
技术介绍
图1中所示的当前蜂窝网络架构100使用移动性管理实体(MME)110来实现用于控制用户设备(UE)120对蜂窝网络的接入的过程。通常,MME110作为核心网102元件由网络服务提供商(系统运营商)拥有和操作,并且位于由网络服务提供商控制的安全位置。核心网102具有包括归属订户服务器(HSS)130和MME110的控制平面,以及包括分组数据网络(P-DN)网关(PGW)140和服务网关(S-GW)150的用户平面。MME110连接到无线电接入节点160(例如,演进型节点B(eNB))。RAN160提供与UE120的无线电接口(例如,无线电资源控制(RRC)180和分组数据汇聚协议(PDCP)/无线电链路控制(RLC)190)。在未来的蜂窝网络架构中,可以想象到执行MME110的功能中的许多功能的MME110或网络组件将被朝网络边缘推出,在那里它们不太安全,因为它们在物理上更易于访问和/或不与其它网络运营商隔离。当网络功能被移动到例如云端(例如,互联网)时,可以不假设它们是安全的,因为它们可能具有较低级别的物理隔离或者没有物理隔离。此外,网络设备可能不由单个网络服务提供商拥有。作为示例,可以将多个MME实例托管在单个物理硬件设备内。结果,向MME发送的密钥可能需要较频繁地刷新,因此可能不建议向MME转发认证向量(AV)。需要改进的装置和方法,该装置和方法为靠近网络边缘执行MME功能的未来的蜂窝网络架构提供额外的安全性。
技术实现思路
一个特征提供了一种在网络设备处可操作的方法,所述方法包括:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥;以及向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥。根据一个方面,所述方法还包括:基于所述认证会话密钥,针对不同的MME生成不同的移动性会话密钥。根据另一个方面,获得所述认证信息包括:确定与所述设备相关联的认证信息没有存储在所述网络设备处;向归属订户服务器发送认证信息请求;以及响应于发送所述认证信息请求,从所述归属订户服务器接收与所述设备相关联的所述认证信息。根据一个方面,获得所述认证信息包括:确定与所述设备相关联的认证信息存储在所述网络设备处;以及从所述网络设备处的存储器电路取回(retrieve)所述认证信息。根据另一个方面,所述方法还包括:从所述设备接收密钥集标识符;以及基于接收到的所述密钥集标识符来确定与所述设备相关联的所述认证信息存储在所述网络设备处。根据又一个方面,所述方法还包括:在执行与所述设备的认证和密钥协商之前,从所述MME接收源自所述设备的非接入层(NAS)消息。根据一个方面,所述方法还包括:还部分基于标识所述MME的MME标识值来生成所述移动性会话密钥。根据另一个方面,所述MME标识值是全球唯一的MME标识符(GUMMEI)。根据又一个方面,所述MME标识值是MME组标识符(MMEGI)。根据一个方面,所述方法还包括:针对对所述设备进行服务的每个MME,生成不同的移动性管理密钥,所述不同的移动性管理密钥中的每个移动性管理密钥部分基于所述认证会话密钥和与每个MME相关联的不同的MME标识值。根据另一个方面,所述方法还包括:结合MME重定位(relocation)来确定第二MME正试图对所述设备进行服务;部分基于所述认证会话密钥和与所述第二MME相关联的MME标识值来生成第二移动性管理密钥;以及向所述第二MME发送所述第二移动性管理密钥以促进MME重定位。根据又一个方面,所述方法还包括:维持计数器值密钥计数(KeyCount);以及还部分基于计数器值密钥计数来生成所述移动性会话密钥。根据另一个方面,生成所述移动性会话密钥包括:使用具有下列各项中的至少一项作为输入的密钥导出函数来导出所述移动性会话密钥:所述认证会话密钥、唯一地标识所述MME的MME标识值、和/或计数器值密钥计数。另一个特征提供了一种网络设备,其包括:适于发送和接收数据的通信接口;以及通信地耦合到所述通信接口的处理电路;所述处理电路适于:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥,以及向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥。根据一个方面,所述处理电路还适于:基于所述认证会话密钥,针对不同的MME生成不同的移动性会话密钥。根据另一个方面,所述处理电路适于获得所述认证信息包括:确定与所述设备相关联的认证信息没有存储在所述网络设备处;向归属订户服务器发送认证信息请求;以及响应于发送所述认证信息请求,从所述归属订户服务器接收与所述设备相关联的所述认证信息。根据一个方面,所述处理电路还适于:还部分基于标识所述MME的MME标识值来生成所述移动性会话密钥。根据另一个方面,所述处理电路还适于:在执行与所述设备的认证和密钥协商之前,从所述MME接收源自所述设备的非接入层(NAS)消息。根据又一个方面,接收到的所述NAS消息包括标识所述设备的设备标识符和标识所述MME的MME标识值。另一个特征提供了一种网络设备,其包括:用于执行与设备的认证和密钥协商的单元;用于获得与所述设备相关联的认证信息的单元,所述认证信息包括至少认证会话密钥;用于部分基于所述认证会话密钥来生成移动性会话密钥的单元;以及用于向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥的单元。根据一个方面,所述网络设备还包括:用于基于所述认证会话密钥,针对不同的MME生成不同的移动性会话密钥的单元。另一个特征提供了一种具有存储在其上、在网络设备处可操作的指令的非临时性计算机可读存储介质,所述指令在由至少一个处理器执行时使得所述处理器进行以下操作:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥;以及向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥。根据一个方面,所述指令在由所述处理器执行时还使得所述处理器进行以下操作:基于所述认证会话密钥,针对不同的MME生成不同的移动性会话密钥。另一个特征提供了一种在网络设备处可操作的方法,所述方法包括:从设备接收非接入层(NAS)消息;向会话密钥管理实体(SKME)设备转发所述NAS消息连同标识所述网络设备的网络设备标识值;从所述SKME设备接收移动性会话密本文档来自技高网
...
用于无线通信的装置和方法

【技术保护点】
一种在网络设备处可操作的方法,所述方法包括:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥;以及向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥。

【技术特征摘要】
【国外来华专利技术】2014.11.03 US 62/074,513;2015.10.21 US 14/919,3971.一种在网络设备处可操作的方法,所述方法包括:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥;以及向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥。2.根据权利要求1所述的方法,还包括:基于所述认证会话密钥,针对不同的MME生成不同的移动性会话密钥。3.根据权利要求1所述的方法,其中,获得所述认证信息包括:确定与所述设备相关联的认证信息没有存储在所述网络设备处;向归属订户服务器发送认证信息请求;以及响应于发送所述认证信息请求,从所述归属订户服务器接收与所述设备相关联的所述认证信息。4.根据权利要求1所述的方法,其中,获得所述认证信息包括:确定与所述设备相关联的认证信息存储在所述网络设备处;以及从所述网络设备处的存储器电路取回所述认证信息。5.根据权利要求4所述的方法,还包括:从所述设备接收密钥集标识符;以及基于接收到的所述密钥集标识符来确定与所述设备相关联的所述认证信息存储在所述网络设备处。6.根据权利要求1所述的方法,还包括:在执行与所述设备的认证和密钥协商之前,从所述MME接收源自所述设备的非接入层(NAS)消息。7.根据权利要求1所述的方法,还包括:还部分基于标识所述MME的MME标识值来生成所述移动性会话密钥。8.根据权利要求7所述的方法,其中,所述MME标识值是全球唯一的MME标识符(GUMMEI)。9.根据权利要求7所述的方法,其中,所述MME标识值是MME组标识符(MMEGI)。10.根据权利要求1所述的方法,还包括:针对对所述设备进行服务的每个MME,生成不同的移动性管理密钥,所述不同的移动性管理密钥中的每个移动性管理密钥部分基于所述认证会话密钥和与每个MME相关联的不同的MME标识值。11.根据权利要求1所述的方法,还包括:结合MME重定位来确定第二MME正试图对所述设备进行服务;部分基于所述认证会话密钥和与所述第二MME相关联的MME标识值来生成第二移动性管理密钥;以及向所述第二MME发送所述第二移动性管理密钥以促进MME重定位。12.根据权利要求1所述的方法,还包括:维持计数器值密钥计数;以及还部分基于计数器值密钥计数来生成所述移动性会话密钥。13.根据权利要求1所述的方法,其中,生成所述移动性会话密钥包括:使用具有下列各项中的至少一项作为输入的密钥导出函数来导出所述移动性会话密钥:所述认证会话密钥、唯一地标识所述MME的MME标识值、和/或计数器值密钥计数。14.一种网络设备,包括:通信接口,其适于发送和接收数据;以及处理电路,其通信地耦合到所述通信接口,所述处理电路适于:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥;以及向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥。15.根据权利要求14所述的网络设备,其中,所述处理电路还适于:基于所述认证会话密钥,针对不同的MME生成不同的移动性会话密钥。16.根据权利要求14所述的网络设备,其中,所述适于获得所述认证信息的处理电路包括:确定与所述设备相关联的认证信息没有存储在所述网络设备处;向归属订户服务器发送认证信息请求;以及响应于发送所述认证信息请求,从所述归属订户服务器接收与所述设备相关联的所述认证信息。17.根据权利要求14所述的网络设备,其中,所述处理电路还适于:还部分基于标识所述MME的MME标识值来生成所述移动性会话密钥。18.根据权利要求14所述的网络设备,其中,所述处理电路还适于:在执行与所述设备的认证和密钥协商之前,从所述MME接收源自所述设备的非接入层(NAS)消息。19.根据权利要求18所述的网络设备,其中,接收到的所述NAS消息包括标识所述设备的设备标识符和标识所述MME的MME标识值。20.一种网络设备,包括:用于执行与设备的认证和密钥协商的单元;用于获得与所述设备相关联的认证信息的单元,所述认证信息包括至少认证会话密钥;用于部分基于所述认证会话密钥来生成移动性会话密钥的单元;以及用于向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥的单元。21.根据权利要求20所述的网络设备,还包括:用于基于所述认证会话密钥,针对不同的MME生成不同的移动性会话密钥的单元。22.一种具有存储在其上、在网络设备处可操作的指令的非临时性计算机可读存储介质,所述指令在由至少一个处理器执行时使得所述处理器进行以下操作:执行与设备的认证和密钥协商;获得与所述设备相关联的认证信息,所述认证信息包括至少认证会话密钥;部分基于所述认证会话密钥来生成移动性会话密钥;以及向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥。23.根据权利要求22所述的非临时性计算机可读存储介质,其中,所述指令在由所述处理器执行时还使得所述处理器进行以下操作:基于所述认证会话密钥,针对不同的MME生成不同的移动性会话密钥。24.一种在网络设备处可操作的方法,所述方法包括:从设备接收非接入层(NAS)消息;向会话密钥管理实体(SKME)设备转发所述NAS消息连同标识所述网络设备的网络设备标识值;从所述SKME设备接收移动性会话密钥,所述移动性会话密钥部分基于从在所述设备和无线通信网络之间共享的密钥导出的认证会话密钥;以及向所述设备发送密钥导出数据,所述密钥导出数据使得所述设备能够导出所述移动性会话密钥。25.根据权利要求24所述的方法,其中,从所述SKME设备接收的所述移动性会话密钥还部分基于所述网络设备标识值。26.根据权利要求25所述的方法,其中,所述网络设备标识值是全球唯一的移动性管理实体标识符(GUMMEI)。27.根据权利要求25所述的方法,其中,所述网络设备标识值是移动性管理实体组标识符(MMEGI)。28.根据权利要求24所述的方法,其中,从所述SKME设备接收的所述移动性会话密钥还部分基于在所述SKME设备处维持的计数器值密钥计数。29.根据权利要求24所述的方法,其中,所述密钥导出数据被包括在向所述设备发送的NAS安全模式命令消息中。30.根据权利要求24所述的方法,其中,所述密钥导出数据包括所述网络设备标识值。31.根据权利要求24所述的方法,其中,所述密钥导出数据包括在所述SKME设备处维持的计数器值密钥计数。32.根据权利要求24所述的方法,还包括:确定第二网络设备需要对所述设备进行服务;确定所述第二网络设备与所述网络设备共享公共组标识符;以及向所述第二网络设备发送所述移动性会话密钥。33.根据权利要求32所述的方法,其中,所述网络设备和所述第二网络设备是移动性管理实体(MME),并且所述公共组标识符是公共MME组标识符。34.一种网络设备,包括:通信接口,其适于发送和接收数据;以及处理电路,其通信地耦合到所述通信接口,所述处理电路适于:从设备接收非接入层(NAS)消息;向会话密钥管理实体(SKME)设备转发所述NAS消息连同标识所述网络设备的网络设备标识值;从所述SKME设备接收移动性会话密钥,所述移动性会话密钥部分基于从在所述设备和无线通信网络之间共享的密钥导出的认证会话密钥;以及向所述设备发送密钥导出数据,所述密钥导出数据使得所述设备能够导出所述移动性会话密钥。35.根据权利要求34所述的网络设备,其中,从所述SKME设备接收的所述移动性会话密钥还部分基于所述网络设备标识值。36.根据权利要求35所述的网络设备...

【专利技术属性】
技术研发人员:S·B·李G·B·霍恩A·帕拉尼恭德尔
申请(专利权)人:高通股份有限公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1