用于蜂窝物联网的无状态接入阶层安全性制造技术

技术编号:18737935 阅读:60 留言:0更新日期:2018-08-22 06:10
描述了安全方案(例如,完整性保护、加密、或二者)的各方面。可以实现接入阶层安全性的措施,而无需蜂窝物联网(C‑IoT)基站(C‑BS)处的与建立和/或维护每蜂窝设备接入阶层安全性上下文相关联的开销。网关(例如,CIoT服务网关节点(C‑SGN))可以导出第一密钥。该第一密钥可以是仅对该C‑SGN网关已知的。该C‑SGN可以从该第一密钥和对于该C‑BS而言独有的参数导出第二密钥。该C‑SGN还可以从该第二密钥和蜂窝设备的身份导出第三密钥。该C‑SGN可以将该第二密钥和该第三密钥分别发送到该C‑BS和该蜂窝设备。由该蜂窝设备加密和/或完整性保护的小数据消息可以由该C‑BS解密和/或验证。

【技术实现步骤摘要】
【国外来华专利技术】用于蜂窝物联网的无状态接入阶层安全性相关申请的交叉引用本申请要求于2015年12月23日在美国专利商标局提交的临时申请No.62/387,499以及于2016年6月30日在美国专利商标局提交的非临时申请No.15/199,924的优先权和权益,该申请的全部内容通过援引如同在下文全面阐述那样且出于所有适用目的被纳入于此。引言本公开的各方面一般涉及无线通信,并且尤其但不排他地涉及以无状态方式达成用于蜂窝物联网(CIoT)消息的接入阶层安全性的技术。国际电信联盟(ITU)将物联网(IoT)描述为基于可互操作的信息和通信技术来连接物理和虚拟物体的基础设施。如本文使用的,并且在IoT的上下文中,“物体”是能够被标识和集成到通信网络中的、物理世界中的对象(例如,物理物体)或信息世界中的对象(例如,虚拟物体)。ITU-TY.2060建议书。诸如无线广域网(WWAN)和/或无线局域网(无线LAN)之类的无线通信网络是可与IoT设备互操作的信息和通信技术。根据长期演进(LTE)范例,为无线电连接定义了两种模式:连接模式;以及空闲模式。在连接模式中,蜂窝设备正在发送和接收数据。在连接模式中建立用户装备(UE)上下文(“UE上下文”)或“无线电资源控制(RRC)连接”。对于UE上下文,建立无线电承载以在蜂窝设备与核心网(例如,演进型分组核心(EPC))之间中继数据。被称为演进型无线电接入承载(eRAB)的无线电承载包括无线电承载部分和S1承载部分。通过LTE-Uu参考点在蜂窝设备与演进型B节点(eNodeB)之间建立无线电承载。通过S1参考点在演进型B节点与服务网关(S-GW)之间建立S1承载。建立安全性上下文以使通信安全。在空闲模式中,eRAB承载(无线电承载和S1承载)被释放并且安全性上下文被丢弃。以此方式,释放了不必要的无线电资源。无线电承载和安全性上下文仅在存在要发送/接收的数据时(即,在连接模式中)才被建立和维护。当蜂窝设备苏醒(例如,从空闲模式)时,演进型B节点经由对移动性管理实体(MME)的服务请求来建立新的UE上下文和安全性上下文并且进入连接模式。当蜂窝设备变得空闲时,演进型B节点移除UE上下文(例如,eRAB承载)和安全性上下文,并且进入空闲模式。对于蜂窝物联网(CIoT)设备和支持CIoT设备的网络,LTE移动性管理和会话管理规程可能在例如能耗方面引发显著开销,因为用于建立UE上下文的信令延迟将延长CIoT设备苏醒时段。开销导致等待时间增加,这也是不期望的。为了减小开销和等待时间,已经提出了与对于通过蜂窝设备的其他通信的要求相比,对于CIoT的移动性管理和安全性功能的不同要求。这些不同要求可以减小与在蜂窝网络中操作的IoT设备的移动性管理和安全性功能有关的开销。然而,这些不同要求可能使无线电接入网(RAN)节点和核心网节点具有不期望的弱点,诸如举例而言拒绝服务(DoS)和/或分组洪泛攻击。因此,找到在不增大开销和等待时间的情况下克服或防止这些不期望的弱点的方法是期望的。概述以下给出本公开的一些方面的简要概述以提供对这些方面的基本理解。此概述不是本公开的所有构想到的特征的详尽综览,并且既非旨在标识出本公开的所有方面的关键性或决定性要素亦非试图界定本公开的任何或所有方面的范围。其唯一目的是要以简化形式给出本公开的一些方面的各种概念以作为稍后给出的更详细描述之序。在一些实现中,一种通信方法可包括在网关处导出可仅对该网关已知的第一密钥。该网关还可以导出第二密钥,该第二密钥可基于该第一密钥和可对于无线电接入网(RAN)的节点而言独有的参数。该网关可以将该第二密钥发送到该RAN的节点。该网关也可以导出第三密钥。该第三密钥可基于该第二密钥和可对于蜂窝设备而言独有的参数。该网关可随后将该第三密钥发送到该蜂窝设备。在一些实现中,一种通信装置可包括:可以与通信网络的各节点通信的通信接口,以及可以耦合至该通信接口的处理电路。处理电路可以被构造、适配、和/或配置成导出可仅对该通信装置已知的第一密钥。该处理电路还可以导出第二密钥,该第二密钥可基于该第一密钥和可对于无线电接入网(RAN)的节点而言独有的参数。该处理电路可使得该通信装置将该第二密钥发送到该RAN的节点。该处理电路还可以导出第三密钥,该第三密钥可基于该第二密钥和对于蜂窝设备而言独有的参数。该处理电路可使得该通信装置将该第三密钥发送到该蜂窝设备。在一些实现中,一种完整性保护通信的方法可包括在无线电接入网(RAN)节点处接收第二密钥。该第二密钥可以基于第一密钥和对于该RAN节点而言独有的参数。该方法还可包括:在该RAN节点处接收包括设备身份和第一完整性保护值(例如,归属于消息认证码(MAC)或令牌的值)的小数据消息。该RAN节点可以导出第三密钥,该第三密钥可以基于第二密钥和该设备身份。该RAN节点可以随后使用该第三密钥来导出第二完整性保护值。可以进行该第一完整性保护值与该第二完整性保护值的比较。如果该比较的结果指示该第一完整性保护值和该第二完整性保护值不相等,则该RAN节点可丢弃该小数据消息。然而,如果该比较的结果指示该第一完整性保护值和该第二完整性保护值相等,则该RAN节点可将该小数据消息发送到网关。在一些实现中,可以实践一种无状态接入阶层安全性的方法。该方法可包括在无线电接入网(RAN)节点处接收第二密钥。该第二密钥可以基于第一密钥和对于该RAN节点而言独有的参数。该RAN节点可以接收包括设备身份的经加密小数据消息。该小数据消息可以用第三密钥来加密。该RAN节点可以导出该第三密钥,该第三密钥可以基于该第二密钥和该设备身份。该RAN节点可以随后使用该第三密钥来解密该小数据消息。在一些实现中,可以实践另一种无状态接入阶层安全性的方法。该方法可包括在无线电接入网(RAN)节点处接收第二密钥。该第二密钥可以基于第一密钥和对于该RAN节点而言独有的参数。该RAN节点可以接收包括设备身份的小数据消息。该小数据消息可以使用第三密钥来加密,并且该小数据消息可包括完整性保护值,其中使用该第三密钥来实现完整性保护。该RAN节点可以导出该第三密钥,该第三密钥可以基于该第二密钥和该设备身份。该小数据消息可以在该RAN节点处使用该第三密钥来解密。附加地,该完整性保护值可以在该RAN节点处使用该第三密钥来验证。在一些实现中,可以提供一种按需完整性保护的方法。该方法可包括由无线电接入网(RAN)节点监视话务负载值。该RAN节点可以检测该话务负载值超过预定阈值。该RAN节点响应于检测到话务负载值超过预定阈值而可以向蜂窝设备发送消息。该消息可以请求该蜂窝设备在发送到该RAN节点的下一个或多个消息中包括令牌。在一些实现中,一种装置(诸如通信装置)可包括:用于与通信网络的各节点通信的通信接口,以及耦合至该通信接口的处理电路。该装置可被用于完整性保护通信。在一些实现中,该处理电路可以被构造、适配、和/或配置成接收第二密钥。该第二密钥可以基于第一密钥和对于该装置而言独有的参数。该处理电路还可接收包括设备身份和第一完整性保护值的小数据消息。该处理电路可导出第三密钥,该第三密钥可以基于第二密钥和该设备身份。该处理电路可随后使用该第三密钥来导出第二完整性保护值。在该处理电路处,可以进行该第一完整性保本文档来自技高网...

【技术保护点】
1.一种通信方法,包括:在网关处获得仅对所述网关已知的第一密钥;在所述网关处获得第二密钥,所述第二密钥基于所述第一密钥以及对于无线电接入网(RAN)节点而言独有的参数;由所述网关将所述第二密钥供应给所述RAN节点;在所述网关处获得第三密钥,所述第三密钥基于所述第二密钥和对于蜂窝设备而言独有的参数;以及由所述网关将所述第三密钥供应给所述蜂窝设备。

【技术特征摘要】
【国外来华专利技术】2015.12.23 US 62/387,499;2016.06.30 US 15/199,9241.一种通信方法,包括:在网关处获得仅对所述网关已知的第一密钥;在所述网关处获得第二密钥,所述第二密钥基于所述第一密钥以及对于无线电接入网(RAN)节点而言独有的参数;由所述网关将所述第二密钥供应给所述RAN节点;在所述网关处获得第三密钥,所述第三密钥基于所述第二密钥和对于蜂窝设备而言独有的参数;以及由所述网关将所述第三密钥供应给所述蜂窝设备。2.如权利要求1所述的方法,其特征在于,所述网关是蜂窝物联网服务网关节点(C-SGN)。3.如权利要求1所述的方法,其特征在于,所述第一密钥不是从任何其他密钥获得的和/或是在所述网关处随机生成的。4.如权利要求1所述的方法,其特征在于,所述RAN节点是蜂窝物联网(CIoT)基站(C-BS)或演进型B节点(eNodeB),并且其中对于所述RAN节点而言独有的所述参数是C-BS身份或演进型B节点身份。5.如权利要求1所述的方法,其特征在于,所述第二密钥在非接入阶层(NAS)消息中被供应给所述RAN节点。6.如权利要求1所述的方法,其特征在于,所述第三密钥在非接入阶层(NAS)消息中被供应给所述蜂窝设备。7.如权利要求6所述的方法,其特征在于,所述NAS消息是安全NAS消息。8.如权利要求1所述的方法,其特征在于,所述第三密钥作为经加密信息元素(IE)被供应给所述蜂窝设备。9.如权利要求8所述的方法,其特征在于,所述IE包括标识用于加密所述IE的算法的算法标识符。10.一种通信装置,包括:通信接口,所述通信接口用于与通信网络的各节点通信;耦合至所述通信接口的处理电路,所述处理电路适配成:获得仅对所述通信装置已知的第一密钥;获得第二密钥,所述第二密钥基于所述第一密钥以及对于无线电接入网(RAN)节点而言独有的参数;将所述第二密钥供应给所述RAN节点;获得第三密钥,所述第三密钥基于所述第二密钥和对于蜂窝设备而言独有的参数;以及将所述第三密钥供应给所述蜂窝设备。11.如权利要求10所述的通信装置,其特征在于,所述处理电路被进一步适配成:在不从任何其他密钥获得所述第一密钥的情况下获得所述第一密钥;和/或通过在所述通信装置处随机生成所述第一密钥来获得所述第一密钥。12.如权利要求10所述的通信装置,其特征在于,所述处理电路被进一步适配成:在非接入阶层(NAS)消息中将所述第二密钥供应给所述RAN节点。13.如权利要求10所述的通信装置,其特征在于,所述处理电路被进一步适配成:在非接入阶层(NAS)消息中将所述第三密钥供应给所述蜂窝设备。14.如权利要求10所述的通信装置,其特征在于,所述处理电路被进一步适配成:在经加密信息元素(IE)中将所述第三密钥供应给所述蜂窝设备。15.一种装置,包括:通信接口,所述通信接口用于与通信网络的各节点通信;耦合至所述通信接口的处理电路,所述处理电路适配成:获得第二密钥,所述第二密钥基于第一密钥以及对于所述装置而言独有的参数;获得包括设备身份和第一完整性保护值的小数据消息;获得基于所述第二密钥和所述设备身份的第三密钥;获得基于所述第三密钥的第二完整性保护值;将所述第一完整性保护值与所述第二完整性保护值进行比较;如果比较结果指示所述第一完整性保护值不等于所述第二完整性保护值,则丢弃所述小数据消息;以及如果所述比较结果指示所述第一完整性保护值等于所述第二完整性保护值,则向网关发...

【专利技术属性】
技术研发人员:S·B·李A·帕拉尼格朗德A·E·艾斯科特
申请(专利权)人:高通股份有限公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1