用于涉及移动性管理实体重定位的移动性过程的装置和方法制造方法及图纸

一种设备，其识别进入新服务区域，向与网络相关联的网络设备发送服务区域更新请求，从所述网络接收控制平面消息，所述控制平面消息指示由于响应于发送所述服务区域更新请求的服务区域变化而引起的控制平面设备重定位或密钥刷新，以及部分地基于在所述控制平面消息中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥。另一种设备，其从与网络相关联的网络设备接收切换命令，所述切换命令指示新服务区域，基于在所述切换命令中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥，以及发送基于所述第一密钥来保护的切换确认消息。

【技术实现步骤摘要】
【国外来华专利技术】用于涉及移动性管理实体重定位的移动性过程的装置和方法相关申请的交叉引用本申请要求于2015年9月15日在美国专利商标局递交的临时申请No.62/218,863以及于2016年4月1日在美国专利商标局递交的非临时申请No.15/089,396的优先权和权益，通过引用的方式将上述申请的全部内容并入本文。
本公开内容总体上涉及用于改进的涉及移动性管理实体(MME)重定位的移动性过程的装置和方法。
技术介绍
图1中示出的当前的蜂窝网络架构使用移动性管理实体(MME)110来实现用于控制用户设备(UE)120对蜂窝网络的接入的过程。通常，MME由网络服务提供商(系统运营商)所拥有并由网络服务提供商操作作为核心网络元素，并且位于由网络服务提供商控制的安全位置。核心网100具有控制平面和用户平面，控制平面包括归属用户服务器(HSS)130和MME，用户平面包括分组数据网络(PDN)网关(PGW)140和服务网关(SGW)150。MME连接到演进型节点B(eNodeB)160。eNodeB向UE提供无线接口、RRC180和PDCP/RLC190。在未来的蜂窝网络架构中，可以预见的是，MME110或执行MME110的功能中的许多功能的网络组件将被朝着网络边缘推出，其中在网络边缘，它们不那么安全，这是因为它们在物理上更可访问和/或没有与其它网络运营商隔离。随着将网络功能移动至例如云端(例如，互联网)，可能不假定它们是安全的，这是因为它们可以具有较低等级的物理隔离，或者没有物理隔离。此外，网络设备可以不是由单个网络服务提供商所拥有。举例而言，可以利用单个物理硬件设备来托管多个MME实例。结果，发送至MME的密钥可能需要更频繁地刷新，并且因此向MME转发认证向量(AV)可能是不可取的。存在针对改进的装置和方法的需求，该改进的装置和方法为其中靠近网络边缘来执行MME功能的未来的蜂窝网络架构提供额外的安全性。
技术实现思路
一个特征提供了一种设备(例如，用户设备)，所述设备包括：无线通信接口，其适于向网络无线地发送数据以及从网络无线地接收数据；以及处理电路，其通信地耦合到所述无线通信接口。所述处理电路可以适于：识别进入新服务区域；向与所述网络相关联的网络设备发送服务区域更新请求；从所述网络接收控制平面消息，所述控制平面消息指示由于响应于发送所述服务区域更新请求的服务区域变化而引起的控制平面设备重定位或密钥刷新；以及部分地基于在接收到的所述控制平面消息中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥，所述密钥管理设备与所述网络相关联。根据一个方面，所述控制平面消息是由于所述服务区域变化而从目标控制平面设备接收的，所述目标控制平面设备是与当前对所述设备进行服务的控制平面设备不同的控制平面设备。根据另一个方面，在所述控制平面消息中包括的所述数据包括控制平面设备标识符，所述控制平面设备标识符标识正在和/或将对所述设备进行服务的控制平面设备。根据一个方面，推导所述第一密钥还部分地基于被保持在所述密钥管理设备处并被包括在所述控制平面消息中的计数器值密钥计数。根据另一个方面，所述处理电路还适于：基于所述第一密钥来推导演进型节点B(eNB)密钥KeNB、非接入层密钥KNAS、和/或下一跳跃(NH)密钥中的至少一者以保护所述设备与所述网络之间的通信。根据另一个方面，所述新服务区域是新跟踪区域和/或新路由区域中的至少一者，并且所述服务区域更新请求与跟踪区域更新和/或路由区域更新中的至少一者相关联。根据一个方面，所述控制平面消息是安全模式命令，所述目标控制平面设备是目标移动性管理实体(MME)，所述密钥管理设备是会话密钥管理功能(SKMF)设备，并且所述第二密钥是用于认证会话的会话根密钥。根据另一个方面，控制平面设备保持针对所述设备的移动性管理上下文和会话管理上下文，并且所述密钥管理设备保持所述第二密钥。另一个特征提供了一种设备，所述设备包括：无线通信接口，其适于向网络无线地发送数据以及从网络无线地接收数据；以及处理电路，其通信地耦合到所述无线通信接口。所述处理电路适于：从与所述网络相关联的网络设备接收切换命令，所述切换命令指示新服务区域；基于在所述切换命令中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥，所述密钥管理设备与所述网络相关联；以及发送基于所述第一密钥来保护的切换确认消息。根据一个方面，所述切换命令包括与对目标无线接入节点进行服务的目标控制平面设备相关联的目标控制平面设备标识符，所述目标无线接入节点正在和/或将对所述设备进行服务。根据另一个方面，推导所述第一密钥部分地基于所述目标控制平面设备标识符。根据一个方面，所述目标控制平面设备是目标移动性管理实体(MME)，所述密钥管理设备是会话密钥管理功能(SKMF)设备，并且所述目标控制平面设备标识符是与所述目标MME相关联的MME标识符。根据另一个方面，推导所述第一密钥还部分地基于被保持在所述密钥管理设备处的计数器值密钥计数。根据再一个方面，所述第二密钥是用于认证会话的会话根密钥。另一个特征提供了一种与网络相关联的网络设备，所述网络设备包括：通信接口，其适于发送和接收信息；以及处理电路，其通信地耦合到所述通信接口。所述处理电路适于：从设备接收服务区域更新请求，其中针对所述设备，所述网络设备不具有设备上下文或者所述设备已改变服务区域；向密钥管理设备发送针对第一密钥的请求；从所述密钥管理设备接收所述第一密钥，所述第一密钥部分地基于在所述密钥管理设备与所述设备之间共享的第二密钥；以及向所述设备发送控制平面消息，所述控制平面消息包括允许所述设备推导所述第一密钥的数据。根据一个方面，所述网络设备是移动性管理实体(MME)，并且所述第一密钥还基于标识所述MME的MME标识符。根据另一个方面，所述处理电路还适于：如果所述网络设备不具有所述设备上下文，则向先前对所述设备进行服务的在先控制平面设备发送设备上下文请求；以及响应于发送所述设备上下文请求，从所述在先控制平面设备接收所述设备上下文。根据一个方面，所述数据包括标识所述网络设备的控制平面设备标识符。根据另一个方面，所述处理电路还适于：从所述密钥管理设备接收计数器值密钥计数连同所述第一密钥；以及将所述计数器值密钥计数包括在发送给所述设备的所述数据中。根据再一个方面，所述处理电路还适于：在从所述设备接收关于所述控制平面消息被成功地接收的通知之后，向所述设备发送服务区域更新。根据一个方面，所述服务区域更新请求与跟踪区域更新和/或路由区域更新中的至少一者相关联，并且改变服务区域包括改变跟踪区域和/或改变路由区域中的至少一者。根据另一个方面，所述控制平面消息是非接入层安全模式命令，所述密钥管理设备是会话密钥管理功能(SKMF)设备，所述设备是用户设备，所述设备上下文是与所述用户设备相关联的用户设备上下文，并且所述第二密钥是用于认证会话的会话根密钥。另一个特征提供了一种与网络相关联的网络设备，所述网络设备包括：通信接口，其适于发送和接收信息；以及处理电路，其通信地耦合到所述通信接口。所述处理电路适于：在所述网络设备处从源控制平面设备接收前向重定位请求；向密钥管理设备发送针对第一密钥的请求；从所述密钥管理设备接收本文档来自技高网...

【技术保护点】
一种设备，包括：无线通信接口，其适于向网络无线地发送数据以及从网络无线地接收数据；以及处理电路，其通信地耦合到所述无线通信接口，所述处理电路适于：识别进入新服务区域；向与所述网络相关联的网络设备发送服务区域更新请求；从所述网络接收控制平面消息，所述控制平面消息指示由于响应于发送所述服务区域更新请求的服务区域变化而引起的控制平面设备重定位或密钥刷新；以及部分地基于在接收到的所述控制平面消息中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥，所述密钥管理设备与所述网络相关联。

【技术特征摘要】
【国外来华专利技术】2015.09.15 US 62/218,863;2016.04.01 US 15/089,3961.一种设备，包括：无线通信接口，其适于向网络无线地发送数据以及从网络无线地接收数据；以及处理电路，其通信地耦合到所述无线通信接口，所述处理电路适于：识别进入新服务区域；向与所述网络相关联的网络设备发送服务区域更新请求；从所述网络接收控制平面消息，所述控制平面消息指示由于响应于发送所述服务区域更新请求的服务区域变化而引起的控制平面设备重定位或密钥刷新；以及部分地基于在接收到的所述控制平面消息中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥，所述密钥管理设备与所述网络相关联。2.根据权利要求1所述的设备，其中，所述控制平面消息是由于所述服务区域变化而从目标控制平面设备接收的，所述目标控制平面设备是与当前对所述设备进行服务的控制平面设备不同的控制平面设备。3.根据权利要求1所述的设备，其中，在所述控制平面消息中包括的所述数据包括控制平面设备标识符，所述控制平面设备标识符标识正在和/或将对所述设备进行服务的控制平面设备。4.根据权利要求1所述的设备，其中，推导所述第一密钥还部分地基于被保持在所述密钥管理设备处并被包括在所述控制平面消息中的计数器值密钥计数。5.根据权利要求1所述的设备，其中，所述处理电路还适于：基于所述第一密钥来推导演进型节点B(eNB)密钥KeNB、非接入层密钥KNAS、和/或下一跳跃(NH)密钥中的至少一者，以保护所述设备与所述网络之间的通信。6.根据权利要求1所述的设备，其中，所述新服务区域是新跟踪区域和/或新路由区域中的至少一者，并且所述服务区域更新请求与跟踪区域更新和/或路由区域更新中的至少一者相关联。7.根据权利要求2所述的设备，其中，所述控制平面消息是安全模式命令，所述目标控制平面设备是目标移动性管理实体(MME)，所述密钥管理设备是会话密钥管理功能(SKMF)设备，并且所述第二密钥是用于认证会话的会话根密钥。8.根据权利要求1所述的设备，其中，控制平面设备保持针对所述设备的移动性管理上下文和会话管理上下文，并且所述密钥管理设备保持所述第二密钥。9.一种设备，包括：无线通信接口，其适于向网络无线地发送数据以及从网络无线地接收数据；以及处理电路，其通信地耦合到所述无线通信接口，所述处理电路适于：从与所述网络相关联的网络设备接收切换命令，所述切换命令指示新服务区域；基于在所述切换命令中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥，所述密钥管理设备与所述网络相关联；以及发送基于所述第一密钥来保护的切换确认消息。10.根据权利要求9所述的设备，其中，所述切换命令包括与对目标无线接入节点进行服务的目标控制平面设备相关联的目标控制平面设备标识符，所述目标无线接入节点正在和/或将对所述设备进行服务。11.根据权利要求10所述的设备，其中，推导所述第一密钥部分地基于所述目标控制平面设备标识符。12.根据权利要求10所述的设备，其中，所述目标控制平面设备是目标移动性管理实体(MME)，所述密钥管理设备是会话密钥管理功能(SKMF)设备，并且所述目标控制平面设备标识符是与所述目标MME相关联的MME标识符。13.根据权利要求9所述的设备，其中，推导所述第一密钥还部分地基于被保持在所述密钥管理设备处的计数器值密钥计数。14.根据权利要求9所述的设备，其中，所述第二密钥是用于认证会话的会话根密钥。15.一种与网络相关联的网络设备，所述网络设备包括：通信接口，其适于发送和接收信息；以及处理电路，其通信地耦合到所述通信接口，所述处理电路适于：从设备接收服务...

【专利技术属性】
技术研发人员：S·B·李，A·E·埃斯科特，G·B·霍恩，A·帕拉尼恭德尔，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国,US