用于下一代蜂窝网络的用户面安全制造技术

通过在设备(例如，芯片组件、客户端设备)处获得第一共享密钥，并在该设备处，获得基于第一共享密钥的第二共享密钥，可以在该设备处实现确保该设备和分组数据网络网关(P‑GW)之间的用户面数据业务安全。第二共享密钥可以用于确保用户面数据业务在该设备和P‑GW之间传输期间的安全。该设备和P‑GW共享第二共享密钥。可以基于第二共享密钥来确保数据业务安全，以产生第一安全的数据业务。可以经由接入节点来向P‑GW发送第一安全的数据业务。P‑GW和接入节点是不同的网络实体。第二共享密钥是接入节点不知道的。P‑GW从与该设备不同的网络实体获得第二共享密钥。

【技术实现步骤摘要】
【国外来华专利技术】用于下一代蜂窝网络的用户面安全本申请要求享有2014年10月29日在美国专利和商标局提交的美国临时申请No.62/072,388，以及2015年10月26日在美国专利和商标局提交的美国非临时申请No.14/923,223的优先权和利益，以引用方式将它们的全部内容并入本文。
概括地说，本公开内容涉及通信系统，并且更特别地，本公开内容涉及用于在无线通信系统中保护用户面消息传递的系统。
技术介绍
图1是根据现有技术的第四代(4G)蜂窝网络100的元素的视图。4G蜂窝网络100可以包括接入部分(例如，无线接入网络(RAN))和核心部分(例如，核心网络)，本文可以将接入部分称为演进型通用陆地无线接入网络(E-UTRAN)102，本文可以将核心部分称为演进型分组核心(EPC)104。E-UTRAN102和EPC104一起构成演进型分组系统(EPS)。EPS可以与客户端设备106(例如，移动设备、移动终端、用户设备(UE)、终端)进行通信。客户端设备106可以包括通用用户识别模块(USIM)108(其通常称为SIM卡)。USIM108可以是安全地存储例如国际移动用户标识(IMSI)号和其相关的密钥K的集成电路芯片。密钥K可以是根密钥。将EPS中的通信划分为多个平面(即，用户面(UP)和控制面(CP))中。在图1中，一个特定的控制面信令路径通过接入节点112(例如，eNodeB)和移动管理实体(MME)114之间的虚线110来标识，而一个特定的用户面数据业务路径通过接入节点112和服务网关(S-GW)118之间的实线116来标识。本领域技术人员知道用于控制面信令和用户面数据业务的额外的和替代的路径。图1的视图是示例性的，并不旨在是限制性的。E-UTRAN102包括接入节点112，接入节点112包括与客户端设备106进行无线通信的硬件。在长期演进型(LTE)网络中，接入节点112可以称为演进型节点B(eNodeB)。举例而言，单个LTE接入节点可以服务一个或多个E-UTRAN102小区。EPC104包括分组数据网络(PDN)网关(P-GW)120。P-GW120用作至分组数据网络122(例如，互联网和/或专用的企业网)的网关。P-GW120可以被视作为至分组数据网络122的通道；其是网络策略实施的点。可以将接入节点112视作为用于客户端设备106到核心网络(例如，EPC104)的空中接入的通道。接入节点112可以与P-GW120并置在一起，但接入节点112的功能与P-GW120的功能不同。换言之，即使它们并置在一起，接入节点112和P-GW120也是具有单独功能的单独实体。此外，EPC104还包括归属用户服务器(HSS)124。HSS124存储每个客户端设备106的唯一标识。认证中心(AuC)126可以耦合到HSS124。当客户端设备106尝试连接到EPC104时，AuC126可以用于对USIM108进行认证。AuC126可以存储与在USIM108中所存储的密钥相同的密钥(例如，根密钥K)。换言之，AuC126可以存储在USIM108中存储的根密钥K的第二实例。不通过空中来发送根密钥。当客户端设备106加电时，通常可以发生AuC126对USIM108的认证。EPC104还包括S-GW118。S-GW118执行与传输用户面IP消息往返客户端设备106有关的功能。通常，应当理解的是，消息可以包括一个或多个分组。分组和消息可以具有不同的格式，并通过不同的报头进行封装。为了本文便于引用起见，通篇使用术语消息。EPC104还包括MME114。MME114执行与建立、维持和释放各个物理信道有关的功能。MME114可以准备用于消息通信的承载。MME114包含在控制面中，而客户端设备106、接入节点112、S-GW118、P-GW120和HSS124包含在控制面和用户面两者中。当客户端设备106与网络(例如，EPC104)进行通信时，使用由MME114在连接过程期间分配的临时移动用户标识(TMSI)进行标识。还通过IP地址来标识客户端设备106，只要客户端设备106一加电，P-GW120就分配该IP地址。控制面在控制面中，当客户端设备106寻求连接到网络时，其将联系接入节点112。接入节点112将选择用于该客户端设备106的MME114。MME114将选择S-GW118和P-GW120。可以根据接入点名称(APN)来选择P-GW120，其中该APN通常是由用户或用户的操作者提供的。从所选定的P-GW120向客户端设备106分配IP地址，并且客户端设备106因此连接到蜂窝网络100。用户面一旦进行了连接，客户端设备106就可以经由接入节点112，在用户面上向P-GW120发送消息(例如，用于语音和数据的数据业务)和从P-GW120接收消息。为了确保客户端设备106和接入节点112之间的用户面链路安全，这两个节点目前导出称为KUPenc密钥的加密密钥。结合在图3中描述的密钥等级里给出的KUPenc密钥316，来提供KUPenc密钥的导出的解释。为了确保接入节点112和P-GW120之间的用户面回程链路安全，这两个节点依赖于互联网协议安全(IPSEC)。IPSEC是用于通过对通信会话的每一个IP分组进行认证和加密，来确保互联网协议(IP)通信安全的协议组。应当注意的是，在承载基础中没有定义回程安全，但网络域安全(NDS)进行了定义。蜂窝网络100在下行链路和上行链路方向两者中，提供了用于用户面数据业务流动往返接入节点112的安全。在下行链路方向中，当携带用户数据业务的IP消息(例如，来自诸如互联网的分组数据网络122)到达P-GW120时，可以使用IPSEC对该消息进行加密，并将其安全地传送到接入节点112。可以在接入节点112处，对该消息进行解密。因此，在接入节点112上可以存在未加密的消息数据。随后，再次对该消息进行加密，并使用KUPenc密钥将其从接入节点112安全地传送到客户端设备106。在上行链路方向中，当携带用户数据的IP消息被设置为通过空中来从客户端设备106向接入节点112发送时，可以使用KUPenc密钥对该消息进行加密并将其安全地传送到接入节点112。可以接入节点112处，对该消息进行解密。同样，因此在接入节点112上可以存在未加密的消息数据。随后，可以再次对该消息进行加密，并使用IPSEC将其从接入节点112安全地传送到P-GW120。加密提供的安全应当优选地保持消息安全，免受第三方或者甚至在不信任位置中部署或者被损害的接入节点的攻击。如下面将描述的，客户端设备106和接入节点112均导出KUPenc密钥，该KUPenc密钥用于确保在客户端设备106和接入节点112之间的上行链路方向和下行链路方向，在空中行进的数据业务安全。用户面安全终止在接入节点112处。用户面安全取决于接入节点112的正确行为，如上所述，当消息数据等待轮到其在其路径上从接入节点112传送到P-GW120或者客户端设备106时，接入节点112保持未加密的该数据。应当注意，如在非接入层(NAS)和接入层(AS)之间，单独地定义安全。NAS提供对核心网络节点(例如，MME114)和客户端设备106之间的通信的处理。AS提供接入节点112和本文档来自技高网...

【技术保护点】
一种在设备处操作的方法，包括：在所述设备处，获得第一共享密钥；在所述设备处，获得基于所述第一共享密钥的第二共享密钥，以确保数据业务在所述设备和分组数据网络网关(P‑GW)之间传输期间的安全，其中所述第二共享密钥是由所述设备和所述P‑GW共享的；基于所述第二共享密钥来确保数据业务安全，以产生第一安全的数据业务；以及经由接入节点来向所述P‑GW发送所述第一安全的数据业务，其中所述P‑GW和所述接入节点是不同的网络实体。

【技术特征摘要】
【国外来华专利技术】2014.10.29 US 62/072,388;2015.10.26 US 14/923,2231.一种在设备处操作的方法，包括：在所述设备处，获得第一共享密钥；在所述设备处，获得基于所述第一共享密钥的第二共享密钥，以确保数据业务在所述设备和分组数据网络网关(P-GW)之间传输期间的安全，其中所述第二共享密钥是由所述设备和所述P-GW共享的；基于所述第二共享密钥来确保数据业务安全，以产生第一安全的数据业务；以及经由接入节点来向所述P-GW发送所述第一安全的数据业务，其中所述P-GW和所述接入节点是不同的网络实体。2.根据权利要求1所述的方法，其中，所述第一共享密钥是所述P-GW不知道的。3.根据权利要求1所述的方法，其中，所述第一共享密钥和所述第二共享密钥是在所述设备处本地地导出的，并且不是发送给所述设备的。4.根据权利要求1所述的方法，其中，所述第二共享密钥确保用户面通信的至少一些层安全，而不同的密钥确保控制面通信安全。5.根据权利要求1所述的方法，还包括：在所述设备处，获得基于所述第一共享密钥的第三共享密钥，以确保在所述设备和移动管理实体(MME)之间发送的控制消息传递安全，其中所述第三共享密钥是由所述设备和所述MME共享的，并且所述P-GW、所述MME和所述接入节点是不同的网络实体。6.根据权利要求5所述的方法，还包括：在所述设备处，获得基于所述第三共享密钥的第四共享密钥，以确保所述设备和所述接入节点之间的数据业务以及所述设备和所述MME之间的控制消息传递安全，其中所述第四共享密钥是由所述设备和所述接入节点共享的；基于所述第四共享密钥来确保所述第一安全的数据业务安全，以产生第二安全的数据业务，其中所述第一安全的数据业务是封装在所述第二安全的数据业务之中的；以及替代所述第一安全的数据业务，经由所述接入节点向所述P-GW发送所述第二安全的数据业务，其中，所述P-GW、所述MME和所述接入节点是不同的网络实体。7.根据权利要求6所述的方法，其中，所述第二共享密钥在用户面的互联网协议(IP)层中保护所述第二安全的数据业务。8.根据权利要求6所述的方法，其中，所述第四共享密钥在用户面的分组数据会聚协议(PDCP)层中保护所述第二安全的数据业务。9.根据权利要求6所述的方法，其中，所述第四共享密钥在用户面的某些层上保护业务的某些传输，而所述第二共享密钥用于在所述用户面的其它层上保护业务的其它传输。10.根据权利要求1所述的方法，其中，所述第一共享密钥是在所述设备和网络实体之间共享的。11.根据权利要求10所述的方法，其中，所述网络实体从归属订制服务器(HSS)获得所述第一共享密钥。12.根据权利要求1所述的方法，其中，所述设备独立于所述P-GW来获得所述第二共享密钥。13.根据权利要求1所述的方法，其中，获得所述第二共享密钥还包括：在所述设备处，根据所述第一共享密钥和分组数据网络网关标识符(GWID)来导出所述第二共享密钥。14.根据权利要求1所述的方法，其中，数据业务与控制消息传递不同。15.根据权利要求1所述的方法，其中，数据业务是在用户面上发送的，并且控制消息传递是在控制面上发送的，其中所述用户面和所述控制面是不同的传输路径。16.根据权利要求1所述的方法，其中，确保所述数据业务安全包括：基于所述第二共享密钥，对所述数据业务进行加密。17.根据权利要求1所述的方法，其中，确保所述数据业务安全包括：包含基于所述第二共享密钥的认证签名。18.根据权利要求1所述的方法，还包括：经由所述接入节点来从所述P-GW接收第三安全的数据业务，其中所述第三安全的数据业务是基于所述第二共享密钥来确保安全的；以及基于所述第二共享密钥对所述第三安全的数据业务进行解密和/或认证，以产生不确保安全的数据业务。19.一种设备，包括：无线通信电路，其被配置为与蜂窝网络的接入节点进行通信；耦合到所述无线通信电路的处理电路，所述处理电路被配置为：获得基于第一共享密钥的第二共享密钥，以确保用户面数据业务在所述设备和分组数据网络网关(P-GW)之间传输期间的安全，其中所述第一共享密钥是由所述设备和所述P-GW共享的；基于所述第二共享密钥来确保数据业务安全，以产生第一安全的数据业务；以及经由所述接入节点来向所述P-GW发送所述第一安全的数据业务，其中所述P-GW和所述接入节点是不同的网络实体。20.根据权利要求19所述的设备，其中，所述处理电路还被配置为：获得基于所述第一共享密钥的第三共享密钥，以确保在所述设备和移动管理实体(MME)之间发送的控制消息传递安全，其中所述第三共享密钥是由所述设备和所述MME共享的，所述P-GW、所述MME和所述接入节点是不同的网络实体。21.根据权利要求20所述的设备，其中，所述处理电路还被配置为：获得基于所述第三共享密钥的第四共享密钥，以确保所述设备和所述接入节点之间的数据业务以及所述设备和所述MME之间的控制消息传递安全，其中所述第四共享密钥是由所述设备和所述接入节点共享的；基于所述第四共享密钥来确保所述第一安全的数据业务安全，以产生第二安全的数据业务，其中所述第一安全的数据业务是封装在所述第二安全的数据业务之中的；以及替代所述第一安全的数据业务，经由所述接入节点向所述P-GW发送所述第二安全的数据业务，其中，所述P-GW、所述MME和所述接入节点是不同的网络实体。22.一种设备，包括：用于获得第一共享密钥的单元；用于获得基于所述第一共享密钥的第二共享密钥，以确保用户面数据业务在所述设备和分组数据网络网关(P-GW)之间传输期间的安全的单元，其中所述第一共享密钥是由所述设备和所述P-GW共享的；用于基于所述第二共享密钥来确保数据业务安全，以产生第一安全的数据业务的单元；以及用于经由接入节点来向所述P-GW发送所述第一安全的数据业务的单元，其中所述P-GW和所述接入节点是不同的网络实体。23.根据权利要求22所述的设备，还包括：用于获得基于所述第一共享密钥的第三共享密钥，以确保在所述设备和移动管理实体(MME)之间发送的控制消息传递安全的单元，其中所述第三共享密钥是由所述设备和所述MME共享的，并且所述P-GW、所述MME和所述接入节点是不同的网络实体。24.根据权利要求23所述的设备，还包括：用于获得基于所述第三共享密钥的第四共享密钥，以确保所述设备和所述接入节点之间的数据业务以及所述设备和所述MME之间的控制消息传递安全的单元，其中所述第四共享密钥是由所述设备和所述接入节点共享的；用于基于所述第四共享密钥来确保所述第一安全的数据业务安全，以产生第二安全的数据业务的单元，其中所述第一安全的数据业务是封装在所述第二安全的数据业务之中的；以及用于替代所述第一安全的数据业务，经由所述接入节点向所述P-GW发送所述第二安全的数据业务的单元，其中，所述P-GW、所述MME和所述接入节点是不同的网络实体。25.一种其上存储有一个或多个指令的非临时性机器可读存储介质，其中当所述一个或多个指令由至少一个处理器执行时，使得所述至少一个处理器用于：获得第一共享密钥；获得基于所述第一共享密钥的第二共享密钥，以确保用户面数据业务在设备和分组数据网络网关(P-GW)之间传输期间的安全，其中所述第一共享密钥是由所述设备和所述P-GW共享的；基于所述第二共享密钥来确保数据业务安全，以产生第一安全的数据业务；以及经由接入节点来向所述P-GW发送所述第一安全的数据业务，其中所述P-GW和所述接入节点是不同的网络实体。26.根据权利要求25所述的非临时性机器可读存储介质，其上存储有一个或多个进一步的指令，其中当所述一个或多个进一步的指令由所述至少一个处理器执行时，使得所述至少一个处理器用于：获得基于所述第一共享密钥的第三共享密钥，以确保在所述设备和移动管理实体(MME)之间发送的控制消息传递安全，其中所述第三共享密钥是由...

【专利技术属性】
技术研发人员：S·B·李，G·B·霍恩，A·帕拉尼恭德尔，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国,US