执行认证和密钥协商之前的安全信令制造技术

描述了用于无线通信的技术。一种在无线通信设备处进行无线通信的方法包括：至少部分地基于无线通信设备的安全性凭证来生成受保护查询消息，其中该受保护查询消息是在与网络执行认证和密钥协商(AKA)之前生成的；向网络传送该受保护查询消息；接收对该受保护查询消息的响应；以及至少部分地基于所接收到的响应来确定是否要与网络执行AKA。

【技术实现步骤摘要】
【国外来华专利技术】执行认证和密钥协商之前的安全信令交叉引用本专利申请要求由Lee等人于2016年11月7日提交的题为“SecureSignalingBeforePerforminganAuthenticationandKeyAgreement(执行认证和密钥协商之前的安全信令)”的美国专利申请No.15/345,077；以及由Lee等人与2016年5月5日提交的题为“SecureSignalingBeforePerforminganAuthenticationandKeyAgreement(执行认证和密钥协商之前的安全信令)”的美国临时专利申请No.62/332,378的优先权；其中每一件申请均被转让给本申请的受让人。引言本公开例如涉及无线通信系统，尤其涉及用于在执行认证和密钥协商(AKA)之前传送或接收安全信令的技术。无线通信系统被广泛部署以提供诸如语音、视频、分组数据、消息接发、广播等各种类型的通信内容。这些系统可以是能够通过共享可用系统资源(例如，时间、频率和功率)来支持与多个用户通信的多址系统。此类多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、以及正交频分多址(OFDMA)系统。在一些示例中，无线多址通信系统可包括数个基站，每个基站同时支持多个通信设备(也称为用户装备(UE))的通信。在长期演进(LTE)或高级LTE(LTE-A)网络中，一个或多个基站的集合可以定义演进型B节点(eNB)。在其他示例中(例如，在下一代或5G网络中)，无线多址通信系统可包括与数个接入节点控制器(ANC)处于通信的数个智能无线电头端(无线电头端(RH))，其中与ANC处于通信的一个或多个无线电头端的集合可定义eNB。基站或无线电头端可在下行链路信道(例如，用于从基站或无线电头端到UE的传输)和上行链路信道(例如，用于从UE到基站或无线电头端的传输)上与UE集合进行通信。在一些示例中，UE和网络设备(例如，网络接入设备(例如，无线电头端、基站、eNB、或ANC)或核心网的中心节点(例如，移动性管理实体(MME))可执行AKA。在执行AKA之后在UE与网络设备之间传送的消息受保护，而在执行AKA之前在UE与网络设备之间传送的消息不受保护。概述在一个示例中，描述了一种在无线通信设备处进行无线通信的方法。所述方法可包括：至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息。所述受保护查询消息可在与网络执行AKA之前被生成。所述方法可进一步包括：向所述网络传送所述受保护查询消息；接收对所述受保护查询消息的响应；以及至少部分地基于所接收到的响应来确定是否要与所述网络执行AKA。在一个示例中，描述了一种在无线通信设备处进行无线通信的方法。所述方法可包括：至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息。所述受保护查询消息可在与网络执行AKA之前被生成。所述方法可进一步包括：向所述网络传送所述受保护查询消息；接收对所述受保护查询消息的响应；以及至少部分地基于所接收到的响应来确定是否要与所述网络执行AKA。在一些示例中，所述方法可包括：至少部分地基于所述无线通信设备的安全性凭证和所述网络的网络安全性凭证来与所述网络建立安全连接，并且所述受保护查询消息可使用所述安全连接被传送给所述网络。在一些示例中，建立所述安全连接可包括：与核心网建立所述安全连接。在一些示例中，建立所述安全连接可包括：在非接入层(NAS)上执行传输层安全性(TLS)握手。在一些示例中，建立所述安全连接可包括：与网络接入设备建立所述安全连接。在一些示例中，建立所述安全连接可包括：在无线电资源控制(RRC)连接上执行TLS握手。在一些示例中，所述方法可包括：使用所述安全连接来执行AKA。在一些示例中，所述无线通信设备可与归属移动网络运营商(MNO)的第一移动网络相关联，并且所述方法可包括获取以下至少一者：从所述第一移动网络获取漫游MNO的第一安全性凭证；或从所述漫游MNO的第二移动网络获取所述漫游MNO的第二安全性凭证，所述第二安全性凭证由所述归属MNO签名；或从所述归属MNO和所述漫游MNO共用的证书权威机构获取所述漫游MNO的第三安全性凭证；或其组合。在一些示例中，所述方法可包括：确定网络支持接收受保护查询消息。在一些示例中，所述确定可至少部分地基于网络宣告。在一些示例中，所述方法可包括：从所述网络接收不受保护消息，并且所述受保护查询消息可响应于所述不受保护消息而被生成。在一些示例中，所述受保护查询消息可进一步至少部分地基于所述网络的网络安全性凭证来生成。在一些示例中，所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中，所述基于配对的密码术可包括以下至少一者：基于身份的加密、基于身份的签名、或其组合。在一些示例中，所述方法可包括：确定所述响应与所述无线通信设备的安全性凭证和所述网络的网络安全性凭证相关联，以及至少部分地基于所述响应来确定是否要与所述网络执行AKA。在一些示例中，所述方法可包括：确定所述响应不与以下各项相关联：所述无线通信设备的安全性凭证、所述网络的网络安全性凭证、或其组合；以及在确定是否要与所述网络执行AKA时避免考虑所述响应。在一些示例中，所述受保护查询消息可包括：接入请求、网络能力查询、服务查询、或其组合。在一些示例中，所述响应可包括使所述无线通信设备拒绝服务的消息。在一个示例中，描述了一种在无线通信设备处进行无线通信的装备。所述装备可包括：用于至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息的装置。所述受保护查询消息可在与网络执行AKA之前被生成。所述装备可进一步包括：用于向所述网络传送所述受保护查询消息的装置；用于接收对所述受保护查询消息的响应的装置；以及用于至少部分地基于所接收到的响应来确定是否要与所述网络执行AKA的装置。在一些示例中，所述装备可包括：用于至少部分地基于所述无线通信设备的安全性凭证和所述网络的网络安全性凭证来与所述网络建立安全连接的装置，并且所述受保护查询消息可使用所述安全连接被传送给所述网络。在一些示例中，所述用于建立所述安全连接的装置可包括：用于与核心网建立所述安全连接的装置。在一些示例中，所述用于建立所述安全连接的装置可包括：用于在NAS上执行TLS握手的装置。在一些示例中，所述用于建立所述安全连接的装置可包括：用于与网络接入设备建立所述安全连接的装置。在一些示例中，所述用于建立所述安全连接的装置可包括：用于在RRC连接上执行TLS握手的装置。在一些示例中，所述装备可包括：用于使用所述安全连接来执行AKA的装置。在一些示例中，所述无线通信设备可与归属MNO的第一移动网络相关联，并且所述装备可包括用于获取以下至少一者的装置：从所述第一移动网络获取漫游MNO的第一安全性凭证；或从所述漫游MNO的第二移动网络获取所述漫游MNO的第二安全性凭证，所述第二安全性凭证由所述归属MNO签名；或从所述归属MNO和所述漫游MNO共用的证书权威机构获取所述漫游MNO的第三安全性凭证；或其组合。在一些示例中，所述装备可包括：用于确定网络支持接收受保护查询消息的装置。在一些示例中，所述确定可至少部分地基于网络宣告。在一些示例中，所本文档来自技高网...

【技术保护点】
1.一种在无线通信设备处进行无线通信的方法，包括：至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息，所述受保护查询消息是在与网络执行认证和密钥协商(AKA)之前生成的；向所述网络传送所述受保护查询消息；接收对所述受保护查询消息的响应；以及至少部分地基于所接收到的响应来确定是否要与所述网络执行AKA。

【技术特征摘要】
【国外来华专利技术】2016.05.05 US 62/332,378;2016.11.07 US 15/345,0771.一种在无线通信设备处进行无线通信的方法，包括：至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息，所述受保护查询消息是在与网络执行认证和密钥协商(AKA)之前生成的；向所述网络传送所述受保护查询消息；接收对所述受保护查询消息的响应；以及至少部分地基于所接收到的响应来确定是否要与所述网络执行AKA。2.如权利要求1所述的方法，其特征在于，进一步包括：至少部分地基于所述无线通信设备的安全性凭证和所述网络的网络安全性凭证来与所述网络建立安全连接；其中，所述受保护查询消息是使用所述安全连接被传送给所述网络的。3.如权利要求2所述的方法，其特征在于，建立所述安全连接包括：与核心网建立所述安全连接。4.如权利要求2所述的方法，其特征在于，建立所述安全连接包括：在非接入层(NAS)上执行传输层安全性(TLS)握手。5.如权利要求2所述的方法，其特征在于，建立所述安全连接包括：与网络接入设备建立所述安全连接。6.如权利要求2所述的方法，其特征在于，建立所述安全连接包括：在无线电资源控制(RRC)连接上执行TLS握手。7.如权利要求2所述的方法，其特征在于，进一步包括：使用所述安全连接来执行AKA。8.如权利要求2所述的方法，其特征在于，所述无线通信设备与归属移动网络运营商(MNO)的第一移动网络相关联，所述方法进一步包括获取以下至少一者：从所述第一移动网络获取漫游MNO的第一安全性凭证；或从所述漫游MNO的第二移动网络获取所述漫游MNO的第二安全性凭证，所述第二安全性凭证由所述归属MNO签名；或从所述归属MNO和所述漫游MNO共用的证书权威机构获取所述漫游MNO的第三安全性凭证；或其组合。9.如权利要求1所述的方法，其特征在于，进一步包括：确定所述响应不与以下各项相关联：所述无线通信设备的安全性凭证、所述网络的网络安全性凭证、或其组合；以及在确定是否要与所述网络执行AKA时避免考虑所述响应。10.如权利要求1所述的方法，其特征在于，进一步包括：确定网络支持接收受保护查询消息。11.如权利要求10所述的方法，其特征在于，所述确定至少部分地基于网络宣告。12.如权利要求1所述的方法，其特征在于，进一步包括：从所述网络接收不受保护消息；其中，所述受保护查询消息是响应于所述不受保护消息而生成的。13.如权利要求1所述的方法，其特征在于，所述受保护查询消息是进一步至少部分地基于所述网络的网络安全性凭证来生成的。14.如权利要求1所述的方法，其特征在于，所述受保护查询消息是至少部分地以基于配对的密码术为基础来受保护的。15.如权利要求14所述的方法，其特征在于，所述基于配对的密码术包括以下至少一者：基于身份的加密、基于身份的签名、或其组合。16.如权利要求1所述的方法，其特征在于，进一步包括：确定所述响应与所述无线通信设备的安全性...

【专利技术属性】
技术研发人员：S·B·李，L·G·沙蓬尼尔，A·帕拉尼格朗德，A·E·艾斯科特，G·B·霍恩，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国,US