用于從無線電接入網(wǎng)絡(luò)提供安全的方法和系統(tǒng)的制作方法
【專利摘要】本公開涉及包括無線電接入網(wǎng)絡(luò)系統(tǒng)和核心網(wǎng)絡(luò)系統(tǒng)的電信網(wǎng)絡(luò)中的安全方法和系統(tǒng)。無線電接入網(wǎng)絡(luò)系統(tǒng)被配置成提供用于至少一個(gè)用戶設(shè)備的無線無線電接口,其中共享秘密密鑰被存儲(chǔ)在用戶設(shè)備和核心網(wǎng)絡(luò)系統(tǒng)二者中。從核心網(wǎng)絡(luò)系統(tǒng)接收包括從共享秘密密鑰導(dǎo)出的一個(gè)或多個(gè)值的至少一個(gè)矢量。認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)在無線電接入網(wǎng)絡(luò)系統(tǒng)中針對(duì)用戶設(shè)備通過無線無線電接口使用所接收的矢量的一個(gè)或多個(gè)值來執(zhí)行,以用于建立用戶設(shè)備和無線電接入網(wǎng)絡(luò)系統(tǒng)之間的連接。
【專利說明】
用于從無線電接入網(wǎng)絡(luò)提供安全的方法和系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種用于從無線電接入網(wǎng)絡(luò)提供安全的方法和系統(tǒng)。更具體地,本發(fā)明涉及一種用于在安全功能不可用或者未從核心網(wǎng)絡(luò)系統(tǒng)獲得的情況下從無線電接入網(wǎng)絡(luò)提供安全的方法和系統(tǒng)。
【背景技術(shù)】
[0002]在近十年期間,移動(dòng)電信已經(jīng)成為通信的主要形式,并且在未來幾年內(nèi)預(yù)期進(jìn)一步增長(zhǎng)。移動(dòng)電信依賴于無線電接入網(wǎng)絡(luò)系統(tǒng)的存在,其通過基站(例如(e)NodeB)在移動(dòng)用戶設(shè)備可以移動(dòng)通過其的區(qū)域中提供無線電覆蓋?;具B接到電信提供商的核心網(wǎng)絡(luò)系統(tǒng),以便允許建立通信服務(wù)。核心網(wǎng)絡(luò)系統(tǒng)包括若干另外的電信節(jié)點(diǎn)。
[0003]—個(gè)這樣的節(jié)點(diǎn)是歸屬訂戶系統(tǒng)(HSS) ASS具有兩個(gè)功能,S卩(I)存儲(chǔ)用戶預(yù)訂信息并在必要時(shí)更新該信息,以及(2)從一個(gè)或多個(gè)秘密密鑰生成安全信息。秘密密鑰通常在用戶設(shè)備中的(U)SIM和HSS之間共享并且應(yīng)當(dāng)被保持秘密,S卩,共享秘密密鑰。安全信息使用秘密密鑰導(dǎo)出。安全信息被用于設(shè)備認(rèn)證和/或在3G和4G網(wǎng)絡(luò)中被用于網(wǎng)絡(luò)認(rèn)證并確保通過無線電路徑傳遞的數(shù)據(jù)被加密。對(duì)于3G網(wǎng)絡(luò),詳細(xì)描述可以在3GPP TS 33.102中找到;對(duì)于4G網(wǎng)絡(luò),詳細(xì)描述可以在3GPP TS 33.401中找到。
[0004]現(xiàn)有的3G和4G電信標(biāo)準(zhǔn)要求通信標(biāo)識(shí)符(例如,涉及用戶設(shè)備的用于語音通信服務(wù)和SMS服務(wù)的IMSI或MSISDN、或用于SIP通信服務(wù)的SIPURI)和來自中央數(shù)據(jù)庫(例如,HLR/AuC或HSS)的安全信息的可用性以建立與基站的覆蓋區(qū)域中的終端的通信服務(wù)。
[0005]已經(jīng)在3GPP中啟動(dòng)了新項(xiàng)目以研究用于公共安全的隔離E-UTRAN操作(3GPPTR22.897)。核心網(wǎng)絡(luò)系統(tǒng)可以出于各種原因而不可用于無線電接入網(wǎng)絡(luò)系統(tǒng)(S卩,無線電接入網(wǎng)絡(luò)系統(tǒng)被隔離)??赡馨l(fā)生災(zāi)難性事件(例如,地震、洪水、爆炸)或者可能在電信系統(tǒng)中發(fā)生硬件或軟件故障。在一個(gè)特定示例中,一個(gè)或多個(gè)基站和核心網(wǎng)絡(luò)系統(tǒng)之間的連接鏈路(其這樣仍然能夠提供用于一個(gè)或多個(gè)通信服務(wù)的針對(duì)用戶設(shè)備的無線電覆蓋)可能被破壞。在一個(gè)其他示例中,與基站的連接鏈路是可操作的,但核心網(wǎng)絡(luò)的其他部分不適當(dāng)?shù)夭僮鳎沟貌荒茉L問中央數(shù)據(jù)庫。
[0006]WO 2011/134039公開了一種在移動(dòng)通信網(wǎng)絡(luò)內(nèi)的故障期間建立通信線路的方法。如果檢測(cè)到中斷,則基站可以假定生存模式。在生存模式下,生存組件可以在基站內(nèi)被激活,這使得能夠由基站提供通信和服務(wù)。一個(gè)生存組件包括提供用于基站的覆蓋區(qū)域中的移動(dòng)設(shè)備的認(rèn)證和授權(quán)的認(rèn)證器。認(rèn)證器生存組件執(zhí)行核心網(wǎng)絡(luò)系統(tǒng)的認(rèn)證中心AuC的功能并存儲(chǔ)秘密密鑰。
[0007]該方法從安全觀點(diǎn)是不利的。雖然核心網(wǎng)絡(luò)系統(tǒng)的AuC元件或AuC部件是高度安全且嚴(yán)格受保護(hù)的環(huán)境,但是這對(duì)于基站較少些。因此,在每一個(gè)基站中存儲(chǔ)秘密密鑰可能危及通信安全。
【發(fā)明內(nèi)容】
[0008]如將由本領(lǐng)域技術(shù)人員所領(lǐng)會(huì)的,本發(fā)明的各方面可以具體化為系統(tǒng)、方法或計(jì)算機(jī)程序產(chǎn)品。因此,本發(fā)明的各方面可以采取完全硬件實(shí)施例、軟件實(shí)施例(包括固件、駐留軟件、微代碼等)、或者組合軟件和硬件方面的可以在本文中均通常被稱為“電路”、“?!缐被颉跋到y(tǒng)”的實(shí)施例的形式。在本公開中描述的功能可以被實(shí)現(xiàn)為由計(jì)算機(jī)的微處理器所執(zhí)行的算法。此外,本發(fā)明的各方面可以采取具體化在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品的形式,所述介質(zhì)具有具體化例如存儲(chǔ)在其上的計(jì)算機(jī)可讀程序代碼。
[0009]可以利用一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的任何組合。計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算機(jī)可讀信號(hào)介質(zhì)或計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是例如但不限于電子、磁性、光學(xué)、電磁、紅外、或半導(dǎo)體系統(tǒng)、裝置或設(shè)備、或前述的任何合適組合。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的更具體示例(非窮舉列表)將包括以下:具有一個(gè)或多個(gè)電線的電連接、便攜式計(jì)算機(jī)磁盤、硬盤、固態(tài)驅(qū)動(dòng)器、隨機(jī)存取存儲(chǔ)器(RAM)、非易失性存儲(chǔ)器設(shè)備、只讀存儲(chǔ)器(ROM)、可擦除可編程只讀存儲(chǔ)器(EPR0M或閃存)、光纖、便攜式壓縮盤只讀存儲(chǔ)器(CD-R0M)、光學(xué)存儲(chǔ)設(shè)備、磁性存儲(chǔ)設(shè)備、或前述的任何合適組合。在本公開的上下文中,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是可以包含或存儲(chǔ)程序以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或結(jié)合指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用的任何有形介質(zhì)。
[0010]計(jì)算機(jī)可讀信號(hào)介質(zhì)可以包括其中計(jì)算機(jī)可讀程序代碼具體化在其中的傳播數(shù)據(jù)信號(hào),例如,在基帶中或作為載波的一部分。這樣的傳播信號(hào)可以采取多種形式中的任何一個(gè),包括但不限于電磁、光學(xué)、或其任何合適組合。計(jì)算機(jī)可讀信號(hào)介質(zhì)可以為不是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的并且可以傳送、傳播、或運(yùn)輸程序以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或結(jié)合指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用的任何計(jì)算機(jī)可讀介質(zhì)。
[0011]具體化在計(jì)算機(jī)可讀介質(zhì)上的程序代碼可以使用任何適當(dāng)?shù)慕橘|(zhì)來發(fā)送,包括但不限于:無線(使用電磁和/或光輻射)、有線、光纖、電纜等、或前述的任何合適組合。用于執(zhí)行用于本發(fā)明的各方面的操作的計(jì)算機(jī)程序代碼可以以一個(gè)或多個(gè)編程語言的任何組合編寫,包括面向?qū)ο缶幊陶Z言(諸如Java (TM)、Smal I talk、C++等)和常規(guī)的過程編程語言(諸如“C"編程語言或類似的編程語言)。程序代碼可以完全在計(jì)算機(jī)(例如,用戶設(shè)備)上或在網(wǎng)絡(luò)中的計(jì)算機(jī)設(shè)施(例如,無線電接入網(wǎng)絡(luò)系統(tǒng)中的和/或核心網(wǎng)絡(luò)系統(tǒng)中的服務(wù)器)上執(zhí)行,部分地在計(jì)算機(jī)上作為獨(dú)立的軟件包執(zhí)行,部分地在用戶的計(jì)算機(jī)上且部分地在網(wǎng)絡(luò)中的計(jì)算機(jī)設(shè)施上執(zhí)行,或者完全地在無線電接入網(wǎng)絡(luò)系統(tǒng)和/或核心網(wǎng)絡(luò)系統(tǒng)中的一個(gè)或多個(gè)計(jì)算機(jī)設(shè)施上執(zhí)行。
[0012]以下參照根據(jù)本發(fā)明的實(shí)施例的方法、裝置(系統(tǒng))以及計(jì)算機(jī)程序產(chǎn)品的流程圖示和/或框圖來描述本發(fā)明的各方面。將理解,流程圖示和/或框圖的每一個(gè)框以及流程圖示和/或框圖中的框的組合可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)。這些計(jì)算機(jī)程序指令可以被提供給通用計(jì)算機(jī)、專用計(jì)算機(jī)、或者其他可編程數(shù)據(jù)處理裝置的處理器(特別地,微處理器或中央處理單元(CPU))以產(chǎn)生機(jī)器,使得經(jīng)由計(jì)算機(jī)、其他可編程數(shù)據(jù)處理裝置、或其他設(shè)備的處理器執(zhí)行的指令創(chuàng)建用于實(shí)現(xiàn)在流程圖和/或框圖框或多個(gè)框中規(guī)定的功能/動(dòng)作的手段(means) ο
[0013]這些計(jì)算機(jī)程序指令還可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中,所述指令可以引導(dǎo)計(jì)算機(jī)、其他可編程數(shù)據(jù)處理裝置、或其他設(shè)備以特定方式起作用,使得存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中的指令產(chǎn)生包括實(shí)現(xiàn)在流程圖和/或框圖框或多個(gè)框中規(guī)定的功能/動(dòng)作的指令的制品。
[0014]計(jì)算機(jī)程序指令還可以被加載到計(jì)算機(jī)、其他可編程數(shù)據(jù)處理裝置、或其他設(shè)備上,以使要在計(jì)算機(jī)、其他可編程裝置、或其他設(shè)備上執(zhí)行的一系列操作步驟產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的過程,使得在計(jì)算機(jī)或其他可編程裝置上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖和/或框圖框或多個(gè)框中規(guī)定的功能/動(dòng)作的過程。
[0015]圖中的流程圖和框圖圖示了根據(jù)本發(fā)明的各種實(shí)施例的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的架構(gòu)、功能和操作。在這方面,流程圖或框圖中的每一個(gè)框可以表示代碼的模塊、區(qū)段或部分,其包括用于實(shí)現(xiàn)所規(guī)定的(多個(gè))邏輯功能的一個(gè)或多個(gè)可執(zhí)行指令。還應(yīng)當(dāng)指出的是,在一些替代實(shí)現(xiàn)中,框中指出的功能可以以在圖中指出的次序之外的次序發(fā)生。例如,連續(xù)示出的兩個(gè)框?qū)嶋H上可以基本上同時(shí)執(zhí)行,或在塊中指出的功能有時(shí)可以以相反次序執(zhí)行,這取決于所涉及的功能。還將指出的是,框圖和/或流程圖示中的每一個(gè)框以及框圖和/或流程圖示中的框的組合可以由基于專用硬件的系統(tǒng)來實(shí)現(xiàn),其執(zhí)行規(guī)定功能或動(dòng)作、或者專用硬件和計(jì)算機(jī)指令的組合。
[0016]在一個(gè)方面中,本公開提出包括無線電接入網(wǎng)絡(luò)系統(tǒng)和核心網(wǎng)絡(luò)系統(tǒng)的電信網(wǎng)絡(luò)中的安全方法。無線電接入網(wǎng)絡(luò)系統(tǒng)被配置成提供用于至少一個(gè)用戶設(shè)備的無線無線電接口。共享秘密密鑰存儲(chǔ)在用戶設(shè)備和核心網(wǎng)絡(luò)系統(tǒng)二者中。
[0017]在所公開的安全方法中,至少一個(gè)矢量從核心網(wǎng)絡(luò)系統(tǒng)發(fā)送并且由無線電接入網(wǎng)絡(luò)系統(tǒng)接收。至少一個(gè)矢量由一個(gè)或多個(gè)值的集合所形成,其中一個(gè)或多個(gè)值中的一個(gè)或多個(gè)從核心網(wǎng)絡(luò)系統(tǒng)中的秘密密鑰導(dǎo)出。如本領(lǐng)域技術(shù)人員已知的,這樣的矢量的示例包括認(rèn)證矢量。無線電接入網(wǎng)絡(luò)系統(tǒng)可以存儲(chǔ)矢量以供將來使用,以用于執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程,如果必要的話。
[0018]認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)在無線電接入網(wǎng)絡(luò)系統(tǒng)中(例如,在基站中)針對(duì)用戶設(shè)備或關(guān)于用戶設(shè)備通過無線無線電接口而執(zhí)行。從核心網(wǎng)絡(luò)系統(tǒng)所接收的矢量的一個(gè)或多個(gè)值被用于認(rèn)證和/或密鑰協(xié)商過程,以便建立用戶設(shè)備和無線電接入網(wǎng)絡(luò)系統(tǒng)之間的連接。
[0019]在本公開的另一方面中,提出了一種包括一個(gè)或多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的無線電接入網(wǎng)絡(luò)系統(tǒng),其提供用于至少一個(gè)用戶設(shè)備的無線無線電接口并配置成連接到核心網(wǎng)絡(luò)系統(tǒng)。在無線電接入網(wǎng)絡(luò)的操作中,共享秘密在用戶設(shè)備和核心網(wǎng)絡(luò)系統(tǒng)中可用。
[0020]無線電接入網(wǎng)絡(luò)系統(tǒng)包括接收器,其被配置用于從核心網(wǎng)絡(luò)系統(tǒng)接收包括從共享密鑰導(dǎo)出的一個(gè)或多個(gè)值的至少一個(gè)矢量。
[0021]無線電接入網(wǎng)絡(luò)系統(tǒng)還可以包括用于存儲(chǔ)矢量以供將來使用的存儲(chǔ)。
[0022]無線電接入網(wǎng)絡(luò)系統(tǒng)還包括處理器,其被配置用于針對(duì)用戶設(shè)備或關(guān)于用戶設(shè)備通過無線無線電接口使用所接收的矢量的一個(gè)或多個(gè)值執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程,以用于建立用戶設(shè)備和無線電接入網(wǎng)絡(luò)系統(tǒng)之間的連接。處理器可以包括運(yùn)行用于執(zhí)行該任務(wù)的計(jì)算機(jī)程序的硬件電路。
[0023]在本公開的又另一方面中,提出了一種計(jì)算機(jī)程序或一套計(jì)算機(jī)程序,其包括被布置成使計(jì)算機(jī)或一套計(jì)算機(jī)執(zhí)行該方法的一組指令。
[0024]在本公開的又另外的方面中,提出了一種存儲(chǔ)計(jì)算機(jī)程序的計(jì)算機(jī)介質(zhì),例如,非臨時(shí)性計(jì)算機(jī)介質(zhì)。
[0025]本發(fā)明的其他方面包括核心網(wǎng)絡(luò)系統(tǒng)和用戶設(shè)備。用戶設(shè)備可以不僅包括移動(dòng)設(shè)備(諸如移動(dòng)電話、平板電腦、智能眼鏡、智能手表、以及膝上型計(jì)算機(jī)等),而且包括公知為機(jī)器類型通信(MTC)設(shè)備(例如參見3GPP TS 22.368)的設(shè)備。后者設(shè)備中的一些的操作也可以被認(rèn)為由政府機(jī)構(gòu)必需的。
[0026]所公開的方面使得認(rèn)證和/或密鑰協(xié)商過程能夠從無線電接入網(wǎng)絡(luò)系統(tǒng)(例如,從基站,諸如NodeB或eNodeB)執(zhí)行,而不必在無線電接入網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)共享秘密密鑰。從無線電接入網(wǎng)絡(luò)系統(tǒng)執(zhí)行認(rèn)證和/或密鑰協(xié)商過程使得能夠在用戶設(shè)備和無線電接入網(wǎng)絡(luò)系統(tǒng)之間建立安全的連接,即使核心網(wǎng)絡(luò)系統(tǒng)不可用(無線電接入網(wǎng)絡(luò)系統(tǒng)然后被隔離;隔離RAN模式)。這是有利的,原因在于,共享秘密密鑰不必在HLR/AuC或HSS之外傳送,因此共享秘密密鑰的(秘密的)安全不受損害。
[0027]本發(fā)明還可以應(yīng)用在核心網(wǎng)絡(luò)系統(tǒng)可用于無線電接入網(wǎng)絡(luò)系統(tǒng)但不被用于認(rèn)證和/或密鑰協(xié)商時(shí)。即使核心網(wǎng)絡(luò)系統(tǒng)可用也使用無線電接入網(wǎng)絡(luò)系統(tǒng)的優(yōu)點(diǎn)將在于,矢量可以被預(yù)加載在無線電接入網(wǎng)絡(luò)系統(tǒng)中,例如在非繁忙時(shí)間期間,從而減少繁忙時(shí)間期間的核心網(wǎng)絡(luò)中的信令。此外,如果矢量被預(yù)加載在無線電接入網(wǎng)絡(luò)系統(tǒng)中,則將更快地執(zhí)行認(rèn)證和/或密鑰協(xié)商過程。
[0028]因此,一般,本公開涉及僅RAN模式,其包括隔離RAN模式,但不限于此。
[0029]雖然通常認(rèn)證和密鑰協(xié)商(也稱為AKA)二者均被執(zhí)行,但是應(yīng)當(dāng)領(lǐng)會(huì)的是,如本文所公開的無線電接入網(wǎng)絡(luò)可以執(zhí)行這些過程中的僅一個(gè),例如僅認(rèn)證或僅密鑰協(xié)商。
[0030]在一個(gè)示例中,認(rèn)證是指用戶設(shè)備和網(wǎng)絡(luò)的身份的驗(yàn)證。
[0031]在一個(gè)示例中,密鑰協(xié)商是指建立至少一個(gè)密鑰以用于加密地保護(hù)無線無線電接口之上的數(shù)據(jù)和/或信令的過程。
[0032]還應(yīng)領(lǐng)會(huì)的是,在執(zhí)行認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)之后,無線電接入網(wǎng)絡(luò)系統(tǒng)可以存儲(chǔ)(多個(gè))這些程序和/或加密密鑰/參數(shù)的結(jié)果以用于維持無線電接入網(wǎng)絡(luò)系統(tǒng)和用戶設(shè)備之間的安全的關(guān)聯(lián)。
[0033]在矢量中發(fā)送的一個(gè)或多個(gè)值包括從秘密密鑰導(dǎo)出的一個(gè)或多個(gè)值。秘密密鑰本身不存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中。矢量值的數(shù)目和類型取決于電信系統(tǒng)的生成。一般,矢量包括在無線電接入網(wǎng)絡(luò)中接收并且可能地存儲(chǔ)的安全元組。
[0034]應(yīng)當(dāng)指出的是,多個(gè)矢量可以針對(duì)單個(gè)用戶設(shè)備被存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中。這使得即使當(dāng)核心網(wǎng)絡(luò)系統(tǒng)不可用時(shí)也能夠進(jìn)行密鑰更新(rekey)。
[0035]還應(yīng)當(dāng)指出的是,其他核心網(wǎng)絡(luò)功能也可以實(shí)現(xiàn)在無線電接入網(wǎng)絡(luò)系統(tǒng)中,包括但不限于,SGSN功能或MME功能。
[0036]對(duì)于GSM/GPRS網(wǎng)絡(luò),三元組矢量通常被用于執(zhí)行AKA。三元組矢量包含由無線電接入網(wǎng)絡(luò)系統(tǒng)所接收并存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中的值的組合(RAND,XRES, K。)。秘密密鑰K形成用于安全機(jī)制的基石。秘密密鑰K被存儲(chǔ)在用戶設(shè)備中(通常在SM卡上)并且在核心網(wǎng)絡(luò)系統(tǒng)中(例如在HLR/AuC中)ALR/AuC生成隨機(jī)數(shù)RAND ^AND和秘密密鑰K被用來使用密鑰生成算法導(dǎo)出加密密鑰Kc以及用來在認(rèn)證算法之下導(dǎo)出預(yù)期的響應(yīng)XRES。組合(RAND,XRES, K。)形成從核心網(wǎng)絡(luò)系統(tǒng)發(fā)送到其中存儲(chǔ)矢量的無線電接入網(wǎng)絡(luò)系統(tǒng)(例如基站)的GSM認(rèn)證矢量(三元組)。
[0037]對(duì)于UMTS網(wǎng)絡(luò),代替三元組認(rèn)證矢量而生成五元組認(rèn)證矢量,其再次包含RAND和預(yù)期的響應(yīng)XRES、以及從秘密密鑰K所生成的密碼密鑰CK、完整性密鑰IK和認(rèn)證令牌AUTN。AUTN以如此已知的方式生成。五元組認(rèn)證矢量被發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)(例如NodeB),并存儲(chǔ)在其中。
[0038]對(duì)于4G演進(jìn)分組系統(tǒng)(EPS),認(rèn)證過程類似于UMTS網(wǎng)絡(luò),雖然使用新的密鑰層次結(jié)構(gòu)。存儲(chǔ)在用戶設(shè)備側(cè)處的USIM中的秘密密鑰K和核心網(wǎng)絡(luò)系統(tǒng)側(cè)處的AuC被用來導(dǎo)出密鑰CK和IKXK和IK結(jié)合于服務(wù)網(wǎng)絡(luò)ID被用來導(dǎo)出新密鑰Kasme。從該新密鑰Kasme,其他加密和完整性密鑰被導(dǎo)出用于終端和核心網(wǎng)絡(luò)之間的信令的保護(hù)(密鑰KNAS.)、終端和核心網(wǎng)絡(luò)之間的完整性的保護(hù)(密鑰KNASint)、通過無線電接口的RRC信令和用戶數(shù)據(jù)傳遞,后者包括加密密鑰Kupenc。安全元組(Kasme,AUTN,XRES和RAND)從核心網(wǎng)絡(luò)系統(tǒng)發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)(例如發(fā)送至eNodeB)并存儲(chǔ)在其中。
[0039]除了2G、3G和4G之外,本發(fā)明可以被用在包括接入網(wǎng)絡(luò)系統(tǒng)以及核心網(wǎng)絡(luò)系統(tǒng)的其他網(wǎng)絡(luò)中,其中密鑰從共享秘密密鑰導(dǎo)出。這樣的網(wǎng)絡(luò)可以包括潛在地5G和更后代移動(dòng)網(wǎng)絡(luò)。
[0040]還應(yīng)當(dāng)領(lǐng)會(huì)并將由本領(lǐng)域技術(shù)人員所理解的是,本發(fā)明及其許多實(shí)施例可以被用在其中無線電接入網(wǎng)絡(luò)系統(tǒng)是漫游網(wǎng)絡(luò)(FPLMN)的部分并且核心網(wǎng)絡(luò)系統(tǒng)是歸屬網(wǎng)絡(luò)(HPLMN)的部分的網(wǎng)絡(luò)中,例如以便在歸屬核心網(wǎng)絡(luò)或其對(duì)于漫游是關(guān)鍵的元件(例如HLR)不可用時(shí)支持在漫游網(wǎng)絡(luò)上漫游的用戶設(shè)備。
[0041]用于單個(gè)用戶設(shè)備的若干矢量(例如矢量的拷貝)可以被存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中的多個(gè)位置處,以在需要時(shí)增加矢量可用于用戶設(shè)備的概率。可以在無線電接入網(wǎng)絡(luò)中(例如在專用eNodeB中)提供控制實(shí)體,以確保一旦矢量已經(jīng)被用于認(rèn)證和/或密鑰協(xié)商則禁止使用該矢量。
[0042]在實(shí)施例中,該方法包括如下步驟:檢測(cè)從核心網(wǎng)絡(luò)系統(tǒng)處理認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)的無能力(inability)。為此,無線電接入網(wǎng)絡(luò)系統(tǒng)包括檢測(cè)指示該無能力的信息的檢測(cè)器。檢測(cè)器可以例如檢測(cè)指示無線電接入網(wǎng)絡(luò)系統(tǒng)的隔離的信息。信息可以從外部系統(tǒng)接收。信息也可以通過基站檢測(cè)基站和核心網(wǎng)絡(luò)系統(tǒng)之間的斷開而獲得。指示斷開的信息可以包括將在操作性連接的情況下被接收的信息的不存在或者指示核心網(wǎng)絡(luò)系統(tǒng)或其子系統(tǒng)的故障的錯(cuò)誤消息。例如,基站可以檢測(cè)對(duì)發(fā)送到核心網(wǎng)絡(luò)的消息的確認(rèn)的不存在。在該情況下,(多個(gè))確認(rèn)的不存在指示與核心網(wǎng)絡(luò)系統(tǒng)的斷開。對(duì)無能力的檢測(cè)也可以是指由于例如功能障礙的元件或節(jié)點(diǎn)(諸如HSS)而造成的從核心網(wǎng)絡(luò)系統(tǒng)處理AKA過程的無能力。
[0043]在檢測(cè)到斷開之前,至少一個(gè)矢量從核心網(wǎng)絡(luò)系統(tǒng)發(fā)送并且被接收并存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中。這暗示,在電信網(wǎng)絡(luò)的正常操作期間(其中無線電接入網(wǎng)絡(luò)系統(tǒng)和核心網(wǎng)絡(luò)系統(tǒng)被連接,或當(dāng)負(fù)責(zé)AKA過程的節(jié)點(diǎn)可操作并能夠與無線電接入網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信時(shí)),至少一個(gè)矢量應(yīng)當(dāng)向無線電接入網(wǎng)絡(luò)系統(tǒng)發(fā)送至少一次并存儲(chǔ)在其中。
[0044]只要可以從核心網(wǎng)絡(luò)系統(tǒng)處理AKA過程,則可以從核心網(wǎng)絡(luò)系統(tǒng)執(zhí)行AKA。在檢測(cè)到無能力之后,從無線電接入網(wǎng)絡(luò)系統(tǒng)執(zhí)行使用所接收的矢量的一個(gè)或多個(gè)值的認(rèn)證過程和/或密鑰協(xié)商過程。
[0045]如果其他通信服務(wù)功能也實(shí)現(xiàn)在無線電接入網(wǎng)絡(luò)系統(tǒng)中,則用戶設(shè)備可以以安全的方式使用無線電接入網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信。
[0046]在無線電接入網(wǎng)絡(luò)中實(shí)現(xiàn)通信服務(wù)功能的一個(gè)實(shí)施例是例如在檢測(cè)到無線電接入網(wǎng)絡(luò)系統(tǒng)和核心網(wǎng)絡(luò)系統(tǒng)之間的斷開之后,在無線電接入網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)至少一個(gè)通信標(biāo)識(shí)符,該通信標(biāo)識(shí)符使得能夠針對(duì)用戶設(shè)備建立通信服務(wù)。
[0047]通過在無線電接入網(wǎng)絡(luò)系統(tǒng)中實(shí)現(xiàn)本地?cái)?shù)據(jù)庫來存儲(chǔ)用戶設(shè)備的至少一個(gè)通信標(biāo)識(shí)符,無線電接入網(wǎng)絡(luò)系統(tǒng)可訪問本地存儲(chǔ)以在需要時(shí)訪問通信標(biāo)識(shí)符(以及可能地,與該通信標(biāo)識(shí)符相關(guān)聯(lián)的信息),以在不要求對(duì)核心網(wǎng)絡(luò)系統(tǒng)中的中央數(shù)據(jù)庫的訪問的情況下建立與該通信標(biāo)識(shí)符相關(guān)聯(lián)的通信服務(wù)。換句話說,當(dāng)由于某種原因而不能進(jìn)行與中央數(shù)據(jù)庫的連接時(shí),仍然可以關(guān)于一個(gè)或多個(gè)通信標(biāo)識(shí)符針對(duì)其被存儲(chǔ)在本地存儲(chǔ)中的用戶設(shè)備通過可訪問本地存儲(chǔ)的基站來提供無線通信服務(wù)。當(dāng)基站和核心網(wǎng)絡(luò)系統(tǒng)之間的連接不可操作時(shí),本地存儲(chǔ)提供了模擬核心網(wǎng)絡(luò)系統(tǒng)的功能(的部分)的手段。一旦在無線電接入網(wǎng)絡(luò)系統(tǒng)中檢測(cè)到從核心網(wǎng)絡(luò)的斷開,則可以從用戶設(shè)備接收至少一個(gè)通信標(biāo)識(shí)符。不預(yù)先存儲(chǔ)至少一個(gè)通信標(biāo)識(shí)符的優(yōu)點(diǎn)在于,本地存儲(chǔ)中的通信標(biāo)識(shí)符在正常操作期間不必更新和維持。
[0048]通信標(biāo)識(shí)符的典型示例包括用于語音通信服務(wù)和/或數(shù)據(jù)通信服務(wù)的標(biāo)識(shí)符。這些標(biāo)識(shí)符是用戶級(jí)通信標(biāo)識(shí)符,即,用戶通常用來關(guān)于用戶設(shè)備建立通信服務(wù)的標(biāo)識(shí)符。例如,(多個(gè))通信標(biāo)識(shí)符可以包括涉及用戶設(shè)備的用于語音通信服務(wù)和SMS服務(wù)的IMSI或MSISDN、或者用于SIP通信服務(wù)的SIPURI。
[0049]為了避免針對(duì)潛在地所有用戶設(shè)備傳輸和存儲(chǔ)通信標(biāo)識(shí)符和/或矢量,實(shí)施例涉及預(yù)先存儲(chǔ)指示(也被稱為僅無線電接入網(wǎng)絡(luò)(RAN)預(yù)訂指示),其與核心網(wǎng)絡(luò)系統(tǒng)中的至少一個(gè)用戶設(shè)備相關(guān)聯(lián),以指示針對(duì)該用戶設(shè)備,至少一個(gè)矢量應(yīng)當(dāng)被發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)。對(duì)于未被分配僅RAN預(yù)訂指示的用戶設(shè)備,矢量不被發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)并且不被存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中。
[0050]在一個(gè)方面中,本公開提出了一種被配置用于與無線電接入網(wǎng)絡(luò)系統(tǒng)一起操作的核心網(wǎng)絡(luò)系統(tǒng)。核心網(wǎng)絡(luò)系統(tǒng)包括寄存器、處理器和發(fā)送器。寄存器被配置用于存儲(chǔ)與用戶設(shè)備相關(guān)聯(lián)的指示矢量應(yīng)當(dāng)被發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)例如以用于存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中的僅RAN預(yù)訂指示。處理器被配置用于控制針對(duì)用戶設(shè)備僅在寄存器具有預(yù)先存儲(chǔ)的僅RAN預(yù)訂指示的情況下傳輸矢量。發(fā)送器由處理器所控制,并且被配置成將矢量發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)。
[0051]如果無線電接入網(wǎng)絡(luò)系統(tǒng)被隔離,則僅RAN預(yù)訂指示使得能夠?qū)崿F(xiàn)用于安全通信的向電信運(yùn)營商的特定預(yù)訂。這樣的預(yù)訂將例如為應(yīng)急工作人員、緊急(critical)人員、緊急機(jī)器對(duì)機(jī)器應(yīng)用等所感興趣。
[0052]在實(shí)施例中,從核心網(wǎng)絡(luò)系統(tǒng)周期性地接收至少一個(gè)矢量(優(yōu)選地具有不同的值),并將其存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中。響應(yīng)于接收到一個(gè)或多個(gè)新的矢量,可以刪除一個(gè)或多個(gè)較舊的矢量。
[0053]在實(shí)施例中,可以從無線電接入網(wǎng)絡(luò)系統(tǒng)發(fā)送(例如,使用小區(qū)廣播消息)指示無線電接入網(wǎng)絡(luò)系統(tǒng)將執(zhí)行認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)的用于從無線電接入網(wǎng)絡(luò)系統(tǒng)所獲得的服務(wù)的指示。該實(shí)施例確保使用無線電接入網(wǎng)絡(luò)系統(tǒng)在僅RAN模式下操作的用戶設(shè)備例如在從核心網(wǎng)絡(luò)系統(tǒng)隔離時(shí)被授權(quán)使用這些服務(wù),并且可以以安全的方式與無線電接入網(wǎng)絡(luò)進(jìn)行通信。指示可以被稱為僅RAN指示。該指示可以是無線電接入網(wǎng)絡(luò)系統(tǒng)發(fā)起的指示。
[0054]在實(shí)施例中,無線電接入網(wǎng)絡(luò)系統(tǒng)包括至少第一節(jié)點(diǎn)和通信地連接到第一節(jié)點(diǎn)的第二節(jié)點(diǎn)。可以在第一節(jié)點(diǎn)處從用戶設(shè)備接收用于建立連接的請(qǐng)求。然而,認(rèn)證過程和/或密鑰協(xié)商過程可以在可訪問所存儲(chǔ)的矢量的第二節(jié)點(diǎn)處執(zhí)行。第一和第二節(jié)點(diǎn)可以是不同的基站,例如(e )NodeB?;咎幱谕ㄐ胚B接中(使用例如X2接口直接地或間接地)。該實(shí)施例促進(jìn)不是無線電接入網(wǎng)絡(luò)系統(tǒng)的每個(gè)節(jié)點(diǎn)都應(yīng)當(dāng)實(shí)現(xiàn)用于矢量的存儲(chǔ)和/或能夠執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程。
[0055]對(duì)于其中執(zhí)行所公開的方法的無線電接入網(wǎng)絡(luò)系統(tǒng)的節(jié)點(diǎn)不同于在特定時(shí)刻處提供用于用戶設(shè)備的無線無線電接口的一個(gè)或多個(gè)節(jié)點(diǎn)的這樣的分布式系統(tǒng),已經(jīng)設(shè)想用于發(fā)現(xiàn)可訪問所存儲(chǔ)矢量和/或被配置成執(zhí)行AKA過程的節(jié)點(diǎn)的機(jī)制。
[0056]在一個(gè)實(shí)施例中,用戶設(shè)備可以將指示發(fā)送到用于訪問至少一個(gè)矢量的位置的無線電接入網(wǎng)絡(luò)系統(tǒng)。(多個(gè))位置指示可以由用戶設(shè)備以各種方式獲得,例如,通過在用戶設(shè)備中或在存儲(chǔ)卡上存儲(chǔ)位置指示、或者通過從無線電接入網(wǎng)絡(luò)系統(tǒng)或從核心網(wǎng)絡(luò)系統(tǒng)通知用戶設(shè)備,例如包括在小區(qū)廣播消息中)。位置指示可以當(dāng)連接到無線電接入網(wǎng)絡(luò)系統(tǒng)時(shí)在無線電接入網(wǎng)絡(luò)系統(tǒng)處被接收,例如,在附接請(qǐng)求或追蹤區(qū)更新(TAU)請(qǐng)求中。
[0057]在另一實(shí)施例中,無線電接入網(wǎng)絡(luò)系統(tǒng)的節(jié)點(diǎn)記錄存儲(chǔ)矢量和/或被配置用于執(zhí)行AKA過程的無線電接入系統(tǒng)的另一節(jié)點(diǎn)的地址。例如,每個(gè)位置區(qū)域或路由區(qū)域的一個(gè)基站可以被給予保持追蹤矢量針對(duì)特定用戶設(shè)備被存儲(chǔ)在其中的地址的附加功能。然后可以從例如第一節(jié)點(diǎn)查詢?cè)摶?,以向第一?jié)點(diǎn)通知矢量在第二節(jié)點(diǎn)處是可用的。
[0058]在又另一實(shí)施例中,第一節(jié)點(diǎn)可以針對(duì)保存矢量的節(jié)點(diǎn)在無線電接入網(wǎng)絡(luò)系統(tǒng)中(例如通過X2接口)廣播請(qǐng)求。
[0059]為了甚至進(jìn)一步增強(qiáng)安全,在一個(gè)實(shí)施例中,矢量可以僅在被指定為可信節(jié)點(diǎn)的無線電接入網(wǎng)絡(luò)的節(jié)點(diǎn)中被接收,例如因?yàn)檫@些節(jié)點(diǎn)物理地位于安全位置(例如室內(nèi)位置)中,而其他節(jié)點(diǎn)可能處于相對(duì)不安全的室外位置中。
[0060]在另一實(shí)施例中,被接收并存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中的矢量的值可以包括只要核心網(wǎng)絡(luò)系統(tǒng)可用于執(zhí)行AKA過程則不可操作的一個(gè)或多個(gè)值。這可以通過信令來指示。例如,矢量可以包含指示值僅針對(duì)僅RAN模式的情況的旗標(biāo)。在一個(gè)實(shí)施例中,AKA參數(shù)AMF可以被用于該類型的信令。僅RAN模式可以在例如PLMN指示中指示。當(dāng)用戶設(shè)備的USIM接收到AMF參數(shù)時(shí),它可以檢查僅RAN模式指示符(例如與PLMN指示一起發(fā)送的)它是否處于僅RAN模式下。如果未設(shè)置僅RAN模式指示符并且未設(shè)置AMF參數(shù),則利用核心網(wǎng)絡(luò)系統(tǒng)執(zhí)行常規(guī)的AKA。如果未設(shè)置僅RAN模式指示符但設(shè)置了 AMF參數(shù),則用戶設(shè)備不應(yīng)當(dāng)認(rèn)證網(wǎng)絡(luò)。在該情況下,可能發(fā)生假基站攻擊。用戶設(shè)備可以被配置例如編程為僅當(dāng)檢測(cè)到僅RAN模式時(shí)使用具有信令消息的矢量的一個(gè)或多個(gè)值來認(rèn)證無線電接入網(wǎng)絡(luò)系統(tǒng)。
[0061]在實(shí)施例中,在無線電接入網(wǎng)絡(luò)系統(tǒng)中刷新一個(gè)或多個(gè)矢量,以用于執(zhí)行認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)。這允許從無線電接入網(wǎng)絡(luò)系統(tǒng)對(duì)矢量的換新。被刷新的一個(gè)或多個(gè)矢量可以包括已經(jīng)被使用的矢量和/或保持未用于認(rèn)證和/或密鑰協(xié)商的矢量。應(yīng)當(dāng)指出的是,在僅RAN模式下,刷新過程不能繼續(xù)進(jìn)行,然后可以故意地維持矢量以供更長(zhǎng)的使用,例如只要RAN在隔離中操作。這可以例如針對(duì)關(guān)于核心網(wǎng)絡(luò)系統(tǒng)的可用性的持久冋題是有利的。
[0062]在本公開的一個(gè)方面中,用戶設(shè)備被適配成在本文中所公開的方法和無線電接入網(wǎng)絡(luò)系統(tǒng)中協(xié)作。例如,用戶設(shè)備可以被配置用于處理僅RAN指示和/或存儲(chǔ)矢量的無線電接入網(wǎng)絡(luò)系統(tǒng)中的節(jié)點(diǎn)的位置指示和/或指示當(dāng)核心網(wǎng)絡(luò)系統(tǒng)能夠執(zhí)行認(rèn)證過程和密鑰協(xié)商過程時(shí)矢量的一個(gè)或多個(gè)值不可操作用于執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程的信令消息。
[0063]用戶設(shè)備可以接收認(rèn)證過程和/或密鑰協(xié)商過程將由無線電接入網(wǎng)絡(luò)系統(tǒng)執(zhí)行并且可能地僅有限的服務(wù)是可用的僅RAN指示。在一個(gè)實(shí)施例中,用戶設(shè)備可以被控制為例如通過被禁止請(qǐng)求通常將使用核心網(wǎng)絡(luò)系統(tǒng)而可用的其他服務(wù)而被限于僅某些服務(wù)。為了使用由無線電接入網(wǎng)絡(luò)系統(tǒng)所提供的服務(wù)集,向用戶設(shè)備通知要求利用無線電接入網(wǎng)絡(luò)系統(tǒng)的認(rèn)證訪問由無線電接入網(wǎng)絡(luò)系統(tǒng)所提供的服務(wù)。
[0064]在另一實(shí)施例中,用戶設(shè)備可以處理指示矢量在無線電接入網(wǎng)絡(luò)系統(tǒng)的特定節(jié)點(diǎn)處是可用的位置指示。例如,用戶設(shè)備可以接收位置指示并被配置成將位置指示存儲(chǔ)在用戶設(shè)備中的特定地址處,使得其可以在必要時(shí)應(yīng)用。例如,如果用戶設(shè)備從無線電接入網(wǎng)絡(luò)系統(tǒng)接收到僅RAN指示,則用戶設(shè)備可以請(qǐng)求附接到無線電接入網(wǎng)絡(luò)系統(tǒng),從位置指示被存儲(chǔ)在其中的地址檢索位置指示,以及將位置指示包括在請(qǐng)求中以向無線電接入網(wǎng)絡(luò)通知至少一個(gè)矢量在何處是可用的。
[0065]在又其他實(shí)施例中,用戶設(shè)備被配置成處理指示當(dāng)核心網(wǎng)絡(luò)系統(tǒng)能夠執(zhí)行認(rèn)證過程和密鑰協(xié)商過程時(shí)矢量的一個(gè)或多個(gè)值不可操作用于執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程的信令消息。例如,用戶設(shè)備可以被配置例如編程為僅在信令消息指示一個(gè)或多個(gè)值在僅RAN模式下是有效的并且僅RAN模式由無線電接入網(wǎng)絡(luò)系統(tǒng)所指示的情況下使用矢量的一個(gè)或多個(gè)值來認(rèn)證無線電接入網(wǎng)絡(luò)系統(tǒng)。
[0066]要指出的是,本發(fā)明涉及權(quán)利要求中所記載的特征的所有可能組合。
【附圖說明】
[0067]將通過參照附圖中所示的示例性實(shí)施例來更詳細(xì)地解釋本發(fā)明的各方面,其中:
圖1是包括無線電接入網(wǎng)絡(luò)系統(tǒng)和核心網(wǎng)絡(luò)系統(tǒng)的電信系統(tǒng)的示意圖示;
圖2是其中無線電接入網(wǎng)絡(luò)系統(tǒng)從核心網(wǎng)絡(luò)系統(tǒng)隔離的電信系統(tǒng)的另一示意圖示;
圖3A-3C是圖示所公開的方法的實(shí)施例的基本時(shí)間圖;
圖4描繪了用于LTE電信系統(tǒng)的密鑰層次結(jié)構(gòu);
圖5描繪了根據(jù)所公開的方法的實(shí)施例的用于在如圖1中所圖示的LTE電信系統(tǒng)中執(zhí)行認(rèn)證和密鑰協(xié)商過程的更詳細(xì)的時(shí)間圖;
圖6描繪了根據(jù)所公開的方法的實(shí)施例的用于在如圖1中所圖示的UMTS電信系統(tǒng)中執(zhí)行認(rèn)證和密鑰協(xié)商過程的更詳細(xì)的時(shí)間圖;
圖7描繪了根據(jù)所公開的方法的實(shí)施例的用于在如圖1中所圖示的GSM/GPRS電信系統(tǒng)中執(zhí)行認(rèn)證和密鑰協(xié)商過程的更詳細(xì)的時(shí)間圖;以及
圖8是電信網(wǎng)絡(luò)或用戶設(shè)備的通用系統(tǒng)或元件的實(shí)施例的示意框圖。
【具體實(shí)施方式】
[0068]圖1示出電信系統(tǒng)I的示意圖示。電信系統(tǒng)I包括無線電接入網(wǎng)絡(luò)系統(tǒng)2(在圖1中也被指示為E-UTRAN或RAN)和包含如在以下進(jìn)一步詳細(xì)描述的各種元件或節(jié)點(diǎn)的控制網(wǎng)絡(luò)系統(tǒng)3。
[0069]在圖1的電信系統(tǒng)中,出于簡(jiǎn)潔的目的,一起示意性地描繪了三代網(wǎng)絡(luò)。架構(gòu)和概述的更詳細(xì)描述可以在3GPP TS 23.002中找到,其通過引用以其整體包括在本申請(qǐng)中。
[0070]圖1的下部分分支表示GPRS或UMTS網(wǎng)絡(luò)。
[0071]對(duì)于GSM/GPRS網(wǎng)絡(luò),無線電接入網(wǎng)絡(luò)系統(tǒng)2包括多個(gè)基站(BSC和BTS的組合)和一個(gè)或多個(gè)無線電網(wǎng)絡(luò)控制器(RNC),未單獨(dú)地示出在圖1中。核心網(wǎng)絡(luò)系統(tǒng)3包括網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)、服務(wù)GPRS支持節(jié)點(diǎn)(SGSN,用于GPRS)或移動(dòng)交換中心(MSC,用于GSM,未示出在圖1中)、與認(rèn)證中心(AuC)結(jié)合的歸屬位置寄存器(HLR) ALR包含用于用戶設(shè)備4的預(yù)訂信息并且AuC包含被用于認(rèn)證和密鑰協(xié)商(AKA)過程的秘密密鑰。
[0072]對(duì)于UMTS無線電接入網(wǎng)絡(luò)(UTRAN),無線電接入網(wǎng)絡(luò)系統(tǒng)2還包括連接到多個(gè)NodeB的無線電網(wǎng)絡(luò)控制器(RNC),也未示出。在核心網(wǎng)絡(luò)系統(tǒng)3中,GGSN和SGSN/MSC常規(guī)地連接到包含用戶設(shè)備4的預(yù)訂信息和秘密密鑰的HLR/AuC。
[0073]應(yīng)當(dāng)指出的是,GSM和UMTS網(wǎng)絡(luò)中的RNC功能形式上是RAN的一部分。RNC功能可以實(shí)現(xiàn)在一個(gè)或多個(gè)基站中。這樣的配置已知為折疊(collapsed)架構(gòu)。
[0074]圖1中的上部分分支表示下一代網(wǎng)絡(luò),通常被指示為長(zhǎng)期演進(jìn)(LTE)系統(tǒng)或演進(jìn)的分組系統(tǒng)(EPS)。
[0075]指示為E-UTRAN的無線電接入網(wǎng)絡(luò)系統(tǒng)2包括演進(jìn)的NodeB(eNodeB或eNB),其提供用于設(shè)備3的無線訪問。核心網(wǎng)絡(luò)系統(tǒng)3包括PDN網(wǎng)關(guān)(P-GW)和服務(wù)網(wǎng)關(guān)(S-GW)。EPS的E-UTRAN經(jīng)由分組網(wǎng)絡(luò)連接到S-GW A-GW連接到歸屬訂戶服務(wù)器HSS和移動(dòng)性管理實(shí)體MME以用于信令目的。HSS包括預(yù)訂簡(jiǎn)檔儲(chǔ)存庫SPR并且與存儲(chǔ)用于AKA過程的秘密密鑰的認(rèn)證中心(AuC)結(jié)合。
[0076]對(duì)于GPRS、UMTS和LTE系統(tǒng),核心網(wǎng)絡(luò)系統(tǒng)3通常連接至另外的分組網(wǎng)絡(luò)5,例如因特網(wǎng)。
[0077]EPS網(wǎng)絡(luò)的通用架構(gòu)的另外信息可以在3GPP TS 23.401中找到。
[0078]當(dāng)然,由3GGP所限定的之外的架構(gòu)(例如,WiMAX)也可以在本公開的上下文內(nèi)使用。
[0079]圖2是包含無線電接入網(wǎng)絡(luò)系統(tǒng)2和核心網(wǎng)絡(luò)系統(tǒng)3的2G、3G或4G電信系統(tǒng)I的示意圖示。無線電接入網(wǎng)絡(luò)系統(tǒng)3包括在某個(gè)時(shí)刻已經(jīng)從核心網(wǎng)絡(luò)系統(tǒng)3隔離的五個(gè)eNodeB。eNodeB 5可以經(jīng)由X2接口連接到彼此。應(yīng)當(dāng)指出的是,如本文所公開的方法和系統(tǒng)也可以在無線電接入網(wǎng)絡(luò)系統(tǒng)2保持連接到核心網(wǎng)絡(luò)系統(tǒng)3時(shí)執(zhí)行。
[0080]無線電接入網(wǎng)絡(luò)系統(tǒng)2包括存儲(chǔ)20,例如數(shù)據(jù)庫。在圖2的實(shí)施例中,存儲(chǔ)20與eNodeB_2相關(guān)聯(lián),S卩,可以通過eNodeB_2而訪問。應(yīng)當(dāng)領(lǐng)會(huì)的是,其他實(shí)施例包括每一個(gè)基站具有其自身的存儲(chǔ)或由相似的所有基站可訪冋的共孚存儲(chǔ)。存儲(chǔ)20可以存儲(chǔ)要被用于針對(duì)用戶設(shè)備4的認(rèn)證和/或密鑰協(xié)商的一個(gè)或多個(gè)矢量和通信標(biāo)識(shí)符中的至少一個(gè)。如圖2中所圖示的,用戶設(shè)備4未必在由eNodeB_2所提供的小區(qū)中。
[0081 ]圖3A-3C是圖示所公開的方法的實(shí)施例的基本流程圖。
[0082]在圖3A中,步驟S30表示在核心網(wǎng)絡(luò)系統(tǒng)3中出于認(rèn)證和/或密鑰協(xié)商的目的的矢量的生成。在步驟S31中,矢量從核心網(wǎng)絡(luò)系統(tǒng)3發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)2,并且可以存儲(chǔ)在其中(例如在與一個(gè)或多個(gè)基站相關(guān)聯(lián)的存儲(chǔ)20中),以應(yīng)用在操作的僅RAN模式下。在步驟S3 2中,無線電接入網(wǎng)絡(luò)系統(tǒng)2接收連接請(qǐng)求,例如附接請(qǐng)求。響應(yīng)于接收到連接請(qǐng)求,在步驟S33中,從無線電接入網(wǎng)絡(luò)系統(tǒng)2針對(duì)用戶設(shè)備UE 4使用在步驟S31中接收并存儲(chǔ)的矢量執(zhí)行AKA過程。
[0083]在圖3B中,步驟S30再次表示在核心網(wǎng)絡(luò)系統(tǒng)3中出于認(rèn)證和/或密鑰協(xié)商目的的矢量的生成。在步驟S31中,矢量從核心網(wǎng)絡(luò)系統(tǒng)3發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)2并且存儲(chǔ)在其中,例如在與一個(gè)或多個(gè)基站相關(guān)聯(lián)的存儲(chǔ)20中。
[0084]在步驟S34中,無線電接入網(wǎng)絡(luò)系統(tǒng)2檢測(cè)從核心網(wǎng)絡(luò)系統(tǒng)3的斷開或核心網(wǎng)絡(luò)系統(tǒng)3的故障。無線電接入網(wǎng)絡(luò)系統(tǒng)現(xiàn)在處于僅RAN模式下,更具體地,處于隔離的RAN模式下。應(yīng)當(dāng)指出,如果相鄰的基站能夠連接到核心網(wǎng)絡(luò)系統(tǒng)3以用于執(zhí)行AKA過程,則本文所公開的方法未必應(yīng)當(dāng)應(yīng)用,這是因?yàn)锳KA過程可以經(jīng)由通過相鄰基站的路由而執(zhí)行。
[0085]響應(yīng)于檢測(cè)到核心網(wǎng)絡(luò)系統(tǒng)3的不可用,在步驟S35中,無線電接入網(wǎng)絡(luò)系統(tǒng)發(fā)送包括僅RAN指示(在本實(shí)施例中,為IND_RAN-only)的消息(例如廣播消息),其指示無線電接入網(wǎng)絡(luò)系統(tǒng)操作在僅RAN模式下。指示可以包括僅RAN模式是指隔離的RAN模式的更具體的指示。僅RAN指示可以包含無線電接入網(wǎng)絡(luò)系統(tǒng)要求執(zhí)行新的認(rèn)證和/或密鑰協(xié)商過程例如以便得到對(duì)在僅RAN模式或隔離的RAN模式下提供的服務(wù)的訪問的指示??梢赃M(jìn)行區(qū)分,這取決于應(yīng)用僅RAN模式還是應(yīng)用更具體的隔離RAN模式。在后一種情況下,與當(dāng)應(yīng)用更一般的僅RAN模式相比,可以提供用于使用來自無線電接入網(wǎng)絡(luò)系統(tǒng)的更多服務(wù)的認(rèn)證,例如也利用包含通信標(biāo)識(shí)符的無線電接入網(wǎng)絡(luò)系統(tǒng)中的存儲(chǔ)。用戶設(shè)備檢測(cè)指示IND_RAN-only并且這觸發(fā)請(qǐng)求S32,所述請(qǐng)求向無線電接入網(wǎng)絡(luò)系統(tǒng)針對(duì)步驟S33中的新的認(rèn)證和/或密鑰協(xié)商過程以用于使用僅RAN(或隔離的RAN)服務(wù),再次使用在圖3B的步驟S31中接收并存儲(chǔ)的矢量。
[0086]在圖3C中,核心網(wǎng)絡(luò)系統(tǒng)3的元件(例如HLR或HSS)包括具有訂戶信息的寄存器。寄存器包括與用戶設(shè)備UE 4相關(guān)聯(lián)的僅RAN預(yù)訂指示。僅RAN預(yù)訂指示指示(在本實(shí)施例中,通過被設(shè)置成“I”的單個(gè)值)針對(duì)該特定用戶設(shè)備UE 4,要在無線電接入網(wǎng)絡(luò)中執(zhí)行的認(rèn)證和/或密鑰協(xié)商過程應(yīng)當(dāng)被啟用,并且作為其結(jié)果,從與用戶設(shè)備UE 4相關(guān)聯(lián)的秘密密鑰導(dǎo)出的矢量應(yīng)當(dāng)被發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)3。
[0087]根據(jù)僅RAN預(yù)訂指示,在步驟S30中生成的矢量從核心網(wǎng)絡(luò)系統(tǒng)3發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)2并存儲(chǔ)在其中,例如但未必在與一個(gè)或多個(gè)基站相關(guān)聯(lián)的存儲(chǔ)20中。對(duì)于在寄存器中未被分配僅RAN預(yù)訂指示的用戶設(shè)備,矢量不發(fā)送到并存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中。如果無線電接入網(wǎng)絡(luò)系統(tǒng)2例如由于無線電接入網(wǎng)絡(luò)系統(tǒng)從核心網(wǎng)絡(luò)系統(tǒng)隔離而操作在僅RAN模式下,則僅RAN指示使得能夠?qū)崿F(xiàn)用于安全通信的向電信運(yùn)營商的特定預(yù)訂。這樣的預(yù)訂將例如為應(yīng)急工作人員、緊急人員、緊急機(jī)器對(duì)機(jī)器應(yīng)用等所感興趣。
[0088]在圖3C的實(shí)施例中,矢量被存儲(chǔ)在圖2中所示的系統(tǒng)的eNodeB_2的存儲(chǔ)20中。在步驟S36中,通過指示IND_L0C向用戶設(shè)備UE 4通知eNodeB_2的地址。應(yīng)當(dāng)領(lǐng)會(huì),已經(jīng)設(shè)想了用于向UE 4通知無線電接入網(wǎng)絡(luò)系統(tǒng)2中的矢量的位置的替代方案。在一個(gè)實(shí)施例中,向UE 4通知關(guān)于基站例如使用SMS設(shè)施可訪問來自核心網(wǎng)絡(luò)系統(tǒng)3的矢量。在可能特別適于基本上固定的用戶設(shè)備和/或適于MTC設(shè)備的另一實(shí)施例中,位置指示可以被預(yù)先存儲(chǔ)在用戶設(shè)備UE 4 中。
[0089]在步驟S37中,用戶設(shè)備UE4將訪問請(qǐng)求發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)2,特別地發(fā)送到為用戶設(shè)備UE 4提供小區(qū)覆蓋的eNodeBJWE 4被配置成向無線電接入網(wǎng)絡(luò)系統(tǒng)2通知對(duì)于執(zhí)行認(rèn)證和/或密鑰協(xié)商過程所需要的無線電接入網(wǎng)絡(luò)系統(tǒng)中的矢量的位置。在一個(gè)實(shí)施例中,位置指示L0C_IND與訪問請(qǐng)求一起發(fā)送或是訪問請(qǐng)求的一部分。無線電接入網(wǎng)絡(luò)系統(tǒng)2接收位置指示L0C_IND并且被配置成解析可訪問矢量的基站的地址。要指出的是,UE 4可以以另一方式(例如,在不是訪問請(qǐng)求的一部分的專用消息中)向無線電接入網(wǎng)絡(luò)系統(tǒng)2通知位置指示。
[0090]在圖3C的實(shí)施例中,使得eNodeB_l能夠從在步驟S37中所接收的位置指示L0C_IND發(fā)現(xiàn)與UE 4相關(guān)聯(lián)的矢量是與eNodeB_2—起。基站eNodeBj和eNodeB_2處于通信連接中(使用例如X2接口(見圖2)直接地或間接地)。實(shí)施例促進(jìn)不是無線電接入網(wǎng)絡(luò)系統(tǒng)2的每個(gè)節(jié)點(diǎn)都應(yīng)當(dāng)實(shí)現(xiàn)用于矢量的存儲(chǔ)和/或能夠執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程。
[0091 ] 在步驟S38中,eNodeB_l向eNodeB_2通知認(rèn)證過程和/或密鑰協(xié)商過程應(yīng)當(dāng)針對(duì)UE4執(zhí)行。在步驟S33中在eNodeB_2和UE 4之間使用eNodeB_l作為中間節(jié)點(diǎn)來執(zhí)行過程。
[0092]應(yīng)當(dāng)指出的是,雖然在圖3A-3C的實(shí)施例中,矢量被存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)2中,但這不是要求的。在圖3A和3C的實(shí)施例中,例如,無線電接入網(wǎng)絡(luò)系統(tǒng)2(例如諸如eNodeB_2的基站)可以從核心網(wǎng)絡(luò)系統(tǒng)3(例如,從來自相同的電信網(wǎng)絡(luò)I的HSS或HLR/AuC)接收矢量并使用矢量來針對(duì)用戶設(shè)備執(zhí)行進(jìn)行中的認(rèn)證過程和/或密鑰協(xié)商過程。
[0093]在一個(gè)實(shí)施例中,無線電接入網(wǎng)絡(luò)系統(tǒng)2可以包含或存儲(chǔ)比矢量更多的信息以用于認(rèn)證和/或密鑰協(xié)商目的。例如,至少一個(gè)通信標(biāo)識(shí)符也可以被存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)2中,例如在存儲(chǔ)20中。通信標(biāo)識(shí)符使得能夠針對(duì)用戶設(shè)備或關(guān)于用戶設(shè)備建立通信服務(wù)。通過在無線電接入網(wǎng)絡(luò)系統(tǒng)2中實(shí)現(xiàn)本地存儲(chǔ)以存儲(chǔ)用戶設(shè)備4的至少一個(gè)通信標(biāo)識(shí)符,無線電接入網(wǎng)絡(luò)系統(tǒng)2可訪問該存儲(chǔ)以在需要時(shí)訪問通信標(biāo)識(shí)符(以及可能地,與該通信標(biāo)識(shí)符相關(guān)聯(lián)的信息),以在不需要對(duì)核心網(wǎng)絡(luò)系統(tǒng)2的訪問的情況下建立與該通信標(biāo)識(shí)符相關(guān)聯(lián)的通信服務(wù)。換句話說,當(dāng)由于某種原因而不能進(jìn)行與核心網(wǎng)絡(luò)系統(tǒng)2的連接時(shí),仍然可以關(guān)于一個(gè)或多個(gè)通信標(biāo)識(shí)符針對(duì)其被存儲(chǔ)在本地存儲(chǔ)中的用戶設(shè)備通過可訪問存儲(chǔ)的隔離無線電接入網(wǎng)絡(luò)系統(tǒng)來提供無線通信服務(wù)。當(dāng)無線電接入網(wǎng)絡(luò)系統(tǒng)2和核心網(wǎng)絡(luò)系統(tǒng)3之間的連接不可操作或者存在核心網(wǎng)絡(luò)系統(tǒng)3(的元件)的故障時(shí),本地存儲(chǔ)提供了模擬核心網(wǎng)絡(luò)系統(tǒng)2的功能(的部分)的手段??梢栽谂c核心網(wǎng)絡(luò)系統(tǒng)3的斷開或核心網(wǎng)絡(luò)系統(tǒng)3的故障之前或之后從用戶設(shè)備4接收至少一個(gè)通信標(biāo)識(shí)符。可替代地或附加地,至少一個(gè)通信標(biāo)識(shí)符可以從核心網(wǎng)絡(luò)系統(tǒng)3預(yù)先加載到本地存儲(chǔ)。
[0094]通信標(biāo)識(shí)符的典型示例包括用于語音通信服務(wù)和/或數(shù)據(jù)通信服務(wù)的標(biāo)識(shí)符。這些標(biāo)識(shí)符是用戶級(jí)通信標(biāo)識(shí)符,即,用戶通常用來關(guān)于用戶設(shè)備建立通信服務(wù)的標(biāo)識(shí)符。例如,(多個(gè))通信標(biāo)識(shí)符可以包括涉及用戶設(shè)備的用于語音通信服務(wù)和SMS服務(wù)的IMSI或MSISDN、或者用于SIP通信服務(wù)的SIPURI。
[0095]應(yīng)當(dāng)指出,在圖3A-3C的實(shí)施例中,步驟S31可以被執(zhí)行多于一次,例如周期性地。針對(duì)單個(gè)用戶設(shè)備發(fā)送的矢量可以是不同的。響應(yīng)于在無線電接入網(wǎng)絡(luò)系統(tǒng)2中接收到一個(gè)或多個(gè)新的矢量,可以刪除一個(gè)或多個(gè)較舊的矢量。這允許從無線電接入網(wǎng)絡(luò)系統(tǒng)2對(duì)矢量的換新。被刷新的一個(gè)或多個(gè)矢量可以包括保持未用于認(rèn)證和/或密鑰協(xié)商的矢量。應(yīng)當(dāng)指出的是,在替代實(shí)施例中,矢量被維持以供使用。這可以例如針對(duì)關(guān)于核心網(wǎng)絡(luò)系統(tǒng)的可用性的持久問題是有利的。
[0096]還應(yīng)當(dāng)指出的是,圖3C的實(shí)施例之外的其他替代方案已經(jīng)被設(shè)想用于解析分布式系統(tǒng)中的矢量的位置,其中執(zhí)行所公開的方法的無線電接入網(wǎng)絡(luò)系統(tǒng)2的節(jié)點(diǎn)不同于在特定時(shí)刻處提供用于用戶設(shè)備4的無線無線電接口的一個(gè)或多個(gè)節(jié)點(diǎn)。
[0097]在一個(gè)實(shí)施例中,無線電接入網(wǎng)絡(luò)系統(tǒng)2的節(jié)點(diǎn)(例如,圖2中的eNodeB_3)記錄存儲(chǔ)矢量和/或被配置用于執(zhí)行認(rèn)證和/或密鑰協(xié)商過程的無線電接入網(wǎng)絡(luò)系統(tǒng)的另一節(jié)點(diǎn)(例如圖2中的eNodeB_2)的地址。eNodeB_3可以用作針對(duì)特定位置區(qū)域或路由區(qū)域的超級(jí)節(jié)點(diǎn),其被給予保持追蹤矢量針對(duì)特定用戶設(shè)備被存儲(chǔ)在其中的地址的附加功能。然后可以從例如提供無線接入的eNodeB_l查詢?cè)摶緀NodeB_3,以向第一節(jié)點(diǎn)eNodeB_l通知矢量在eNodeB_2處是可用的。
[0098]在又另一實(shí)施例中,第一節(jié)點(diǎn)eNodeB_l可以針對(duì)保存矢量的節(jié)點(diǎn)在無線電接入網(wǎng)絡(luò)系統(tǒng)中(例如通過X2接口)廣播請(qǐng)求,并從第二節(jié)點(diǎn)eNodeB_2接收響應(yīng)。
[0099]為了甚至進(jìn)一步增強(qiáng)安全,在一個(gè)實(shí)施例中,矢量可以僅在被指定為可信節(jié)點(diǎn)的無線電接入網(wǎng)絡(luò)2的節(jié)點(diǎn)中被接收,例如因?yàn)檫@些節(jié)點(diǎn)物理地位于安全位置(例如室內(nèi)位置)中,而其他節(jié)點(diǎn)可能處于相對(duì)不安全的室外位置中。例如,在圖2中,eNodeB_2可能相對(duì)于其他基站是容納在安全環(huán)境中的可信節(jié)點(diǎn),而eN0deB_2仍然也為用戶設(shè)備提供無線電覆至
ΠΠ O
[0100]用于單個(gè)用戶設(shè)備4的若干矢量(例如矢量的拷貝)可以被存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)中的多個(gè)位置處,以在需要時(shí)增加矢量可用于用戶設(shè)備4的概率。例如,用于單個(gè)用戶設(shè)備的矢量可以被存儲(chǔ)為使得它們可以針對(duì)無線電接入網(wǎng)絡(luò)系統(tǒng)2中的每一個(gè)基站而被訪問,例如針對(duì)圖 2 中的 eNodeB_l、eNodeB_2、eNodeB_3、eNodeB_4和eNodeB_5 中的每一個(gè)。
[0101]接下來,將參照?qǐng)D4-7來描述更詳細(xì)的實(shí)施例。在這些圖中,縮寫“AV”代表認(rèn)證矢量,其是在本領(lǐng)域中用來指定在AKA過程中使用的安全元組的術(shù)語。
[0102]圖4和5應(yīng)用于LTE電信系統(tǒng)I。
[0103]圖4是用于LTE電信網(wǎng)絡(luò)的密鑰層次結(jié)構(gòu)的示意圖示。
[0104]秘密密鑰K在核心網(wǎng)絡(luò)系統(tǒng)3的HSS/AuC中并且在用戶設(shè)備4中(更具體地,在用戶設(shè)備4的US頂卡上)均被提供。從用戶設(shè)備4和核心網(wǎng)絡(luò)系統(tǒng)(更具體地,認(rèn)證中心AuC) 二者中的秘密密鑰K生成完整性密鑰IK和密碼密鑰CK,并且隨后,以已知方式從完整性密鑰IK、密碼密鑰CK和服務(wù)網(wǎng)絡(luò)id生成密鑰KASME。從所生成的密鑰Kasme生成用于無線電接口上的NAS信令、RRC信令和用戶平面通信的保護(hù)的密鑰,如圖4中所圖示的。
[0105]NAS密鑰KNAsenc和(en )KNAsint用于會(huì)話管理的加密。密鑰KUPenc、KRRCint、和K.咖在UE和基站eNodeB之間的無線電接口處使用。這些密鑰使用中間密鑰KeNB來導(dǎo)出。Krrc密鑰是用于無線電資源信令的接入層密鑰。用戶平面密鑰Kup用于無線電接口上的(用戶平面)業(yè)務(wù)的加密。
[0106]圖5描繪了用于在如圖1中所圖示的LTE電信系統(tǒng)中執(zhí)行認(rèn)證和密鑰協(xié)商過程的時(shí)間圖。
[0107]在步驟S510中,MME請(qǐng)求HSS/AuC使用秘密密鑰K來生成AV以供在僅RAN模式下使用。在步驟S511中,HSS/AuC以包含RAND、AUTN、XRES和Kasme(AUTN、XRES和Kasme使用秘密密鑰K導(dǎo)出)的AV的形式發(fā)送響應(yīng)。在步驟S512中,該安全元組被發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)2(在本文中,為eNodeB_2),并存儲(chǔ)在其處。該過程可以不時(shí)地被重復(fù),例如周期性地。更新無線電接入網(wǎng)絡(luò)系統(tǒng)中的矢量的頻率可以取決于UE 4的移動(dòng)性??梢葬槍?duì)UE 4提供一個(gè)或多個(gè)矢量。單個(gè)矢量的傳輸節(jié)省無線電接入網(wǎng)絡(luò)系統(tǒng)2中的存儲(chǔ)資源并減少電信網(wǎng)絡(luò)I中的信令開銷。多個(gè)矢量的傳輸促進(jìn)獨(dú)立于核心網(wǎng)絡(luò)系統(tǒng)3的可用性從無線電接入網(wǎng)絡(luò)系統(tǒng)2進(jìn)行密鑰更新。(多個(gè))矢量的傳輸可以包括在現(xiàn)有Sl-MME信令消息中(例如,在路徑切換請(qǐng)求中或者在UE初始上下文設(shè)置請(qǐng)求中),但也可以為此目的而使用專用消息。
[0108]在特定的時(shí)刻處,無線電接入網(wǎng)絡(luò)系統(tǒng)2檢測(cè)到與核心網(wǎng)絡(luò)系統(tǒng)3的連接的丟失,如上所述。在步驟S513中,從無線電接入網(wǎng)絡(luò)系統(tǒng)2發(fā)送廣播以向用戶設(shè)備4通知僅RAN模式,或更具體地,隔離的RAN模式。僅RAN模式信號(hào)例如到用戶設(shè)備4,當(dāng)附接到RAN時(shí),AKA要從無線電接入網(wǎng)絡(luò)系統(tǒng)2執(zhí)行(而不是從核心網(wǎng)絡(luò)系統(tǒng)3),并且可能地,有限的服務(wù)是可用的。代替廣播消息,UE 4可以由無線電接入網(wǎng)絡(luò)系統(tǒng)2以另一方式通知,例如響應(yīng)于RRC連接請(qǐng)求。
[0109]在建立RRC連接之后,在無線電接入網(wǎng)絡(luò)系統(tǒng)2處(S卩,在本實(shí)施例中,在eNodeB_l處)接收附接請(qǐng)求。附接請(qǐng)求包含用戶設(shè)備4的頂SI以標(biāo)識(shí)用戶設(shè)備。其他通信標(biāo)識(shí)符也可以被提供并存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)2中,以使得能夠在不具有對(duì)核心網(wǎng)絡(luò)系統(tǒng)3的訪問的情況下建立通信服務(wù)。
[0110]隨后,可以應(yīng)用上述的替代方案中的一個(gè)來檢測(cè)可訪問AV以用于執(zhí)行AKA過程的eNodeB。在解析出eNodeB_2可訪問AV之后,eNodeB j將附接請(qǐng)求與頂SI或多個(gè)頂SI—起轉(zhuǎn)發(fā)到eNodeB_2,針對(duì)其AV應(yīng)當(dāng)針對(duì)AKA過程而被處理。eNodeB_2可以用作MME。
[0111]步驟S516和S517指示從eNodeB_2經(jīng)由eNodeB_l到UE 4的RAND、AUTN以及(可選地)執(zhí)行AKA的節(jié)點(diǎn)的標(biāo)識(shí)符的傳輸。節(jié)點(diǎn)標(biāo)識(shí)符可以被UE 4用來重新訪問無線電接入網(wǎng)絡(luò)系統(tǒng)2(在其處于空閑狀態(tài)(ECM-1DLE)下時(shí)),使得不必在發(fā)生重新訪問時(shí)在無線電接入網(wǎng)絡(luò)系統(tǒng)2中重新發(fā)現(xiàn)eNodeB_2。
[0112]步驟S518指示來自UE4的使用RAND和存儲(chǔ)在UE 4中的秘密密鑰K的所計(jì)算的響應(yīng)RES。在步驟S519中,響應(yīng)RES被轉(zhuǎn)發(fā)到eNodeB_2。如果eNodeB_2發(fā)現(xiàn)RES匹配于XRES,則在步驟S520和S521中,UE 4被認(rèn)證并且附接接受被生成并針對(duì)UE 4發(fā)送。在步驟S20中,在eNodeB_l中接收密鑰KeNcldeB(在eNodeB_2中從Kasme導(dǎo)出)以計(jì)算要在UE和基站eNodeB_l之間的無線電接口處使用的密鑰Kw、KRRCint、和Krw。然后進(jìn)入接入層(AS)安全模式,其中用戶設(shè)備UE 4和eN0deB_l之間的通信將使用密鑰KlIPendRCint、和K.?。以及在AS安全模式命令中所指示的加密算法來加密地保護(hù)。非接入層(NAS)安全使用用戶設(shè)備UE 4和eNodeB_2之間的NAS密鑰Knas.和KNASint提供,后者具有MME功能。
[0113]對(duì)于AS密鑰,正常操作關(guān)于保留安全上下文的有效性而應(yīng)用。此外,在ECM-C0NNECTED到ECM-1DLE轉(zhuǎn)變之后,刪除AS安全上下文。在移交之后,針對(duì)目標(biāo)eNodeB建立新的Ke3Nclde3B。對(duì)于AV中的Kasme,存在更多的選項(xiàng)。在一個(gè)實(shí)施例中,在僅RAN模式期間,AV的有效性可以被設(shè)置為不會(huì)到期,使得NAS安全上下文保持現(xiàn)狀并存儲(chǔ)在UE 4和eNodeB_2二者中。在另一實(shí)施例中,可以使用多個(gè)AV,正常的過程可以被應(yīng)用以確定何時(shí)發(fā)起新的AKA過程。過程可以被用來確定eNodeB_2何時(shí)用完AV。
[0114]移交仍然可以執(zhí)行,包括eNodeB間移交(X2移交、MME內(nèi)移交)。源eNodeB可以向目標(biāo)eNodeB通知針對(duì)該UE充當(dāng)MME的eNodeB(在該情況下,eNodeB_2)的地址。目標(biāo)eNodeB也可以將路徑切換請(qǐng)求發(fā)送到充當(dāng)MME的eNodeB。該eNodeB可以向目標(biāo)eNodeB提供新的NH、NCC以確保針對(duì)接下來的移交的轉(zhuǎn)發(fā)保密,如在3GPP TS 33.401中規(guī)定的。
[0115]圖6描繪了用于在如圖1中所圖示的UMTS電信系統(tǒng)中執(zhí)行認(rèn)證和密鑰協(xié)商過程的時(shí)間圖。步驟S610-S621類似于步驟S510-S521,雖然使用不同的AV的和不同的密鑰層次結(jié)構(gòu)。對(duì)于1]]^3^1^乂1^3、0(和11(使用秘密密鑰1(來導(dǎo)出。
[0116]圖7描繪了用于在如圖1中所圖示的GSM/GPRS電信系統(tǒng)中執(zhí)行認(rèn)證和密鑰協(xié)商過程的時(shí)間圖。步驟S710-S721類似于步驟S510-S521以及步驟S610-S621,再次雖然使用不同的AV的和不同的密鑰層次結(jié)構(gòu)。對(duì)于GSM/GPRS,XRES和K。使用秘密密鑰K來導(dǎo)出。要指出,對(duì)于GPRS系統(tǒng),密鑰K??赡懿恍枰话l(fā)送到BSC/BTS_1,這取決于在何處SGSN功能被實(shí)現(xiàn)在無線電接入網(wǎng)絡(luò)系統(tǒng)中。
[0117]圖8是圖示可以被用作設(shè)備4或者用作無線電接入網(wǎng)絡(luò)系統(tǒng)2中的網(wǎng)絡(luò)節(jié)點(diǎn)(例如基站)或核心網(wǎng)絡(luò)系統(tǒng)3中的網(wǎng)絡(luò)節(jié)點(diǎn)(例如,具有HSS/AuC功能的節(jié)點(diǎn))的示例性數(shù)據(jù)處理系統(tǒng)50的框圖。
[0118]數(shù)據(jù)處理系統(tǒng)80可以包括通過系統(tǒng)總線83耦合到存儲(chǔ)器元件82的至少一個(gè)處理器81。這樣,數(shù)據(jù)處理系統(tǒng)80可以在存儲(chǔ)器元件82內(nèi)存儲(chǔ)程序代碼。此外,處理器81可以執(zhí)行經(jīng)由系統(tǒng)總線83從存儲(chǔ)器元件82所訪問的程序代碼。在一個(gè)方面中,數(shù)據(jù)處理系統(tǒng)80可以被實(shí)現(xiàn)為適于存儲(chǔ)和/或執(zhí)行程序代碼的計(jì)算機(jī)。然而,應(yīng)當(dāng)領(lǐng)會(huì),數(shù)據(jù)處理系統(tǒng)80可以以包括處理器和存儲(chǔ)器的能夠執(zhí)行本公開內(nèi)所描述的功能的任何系統(tǒng)的形式實(shí)現(xiàn)。
[0119]存儲(chǔ)器元件82可以包括一個(gè)或多個(gè)物理存儲(chǔ)器設(shè)備,諸如例如本地存儲(chǔ)器84以及一個(gè)或多個(gè)大容量存儲(chǔ)設(shè)備85。本地存儲(chǔ)器84可以是指通常在程序代碼的實(shí)際執(zhí)行期間使用的隨機(jī)存取存儲(chǔ)器或(多個(gè))其他非持久性存儲(chǔ)器設(shè)備。大容量存儲(chǔ)設(shè)備可以被實(shí)現(xiàn)為硬盤驅(qū)動(dòng)器或其他持久性數(shù)據(jù)存儲(chǔ)設(shè)備。數(shù)據(jù)處理系統(tǒng)80還可以包括一個(gè)或多個(gè)高速緩存存儲(chǔ)器(未示出),其提供至少一些程序代碼的臨時(shí)存儲(chǔ)以便減少必須在執(zhí)行期間從大容量存儲(chǔ)設(shè)備85檢索程序代碼的次數(shù)。
[0120]描繪為輸入設(shè)備86和輸出設(shè)備87的輸入/輸出(I/O)設(shè)備可選地可以耦合到數(shù)據(jù)處理系統(tǒng)80。輸入設(shè)備的示例可以包括但不限于例如鍵盤、定點(diǎn)設(shè)備(諸如鼠標(biāo))、觸摸屏等。輸出設(shè)備的示例可以包括但不限于例如監(jiān)視器或顯示器、揚(yáng)聲器等。輸入設(shè)備86和/或輸出設(shè)備87可以直接地或通過中間I/O控制器耦合到數(shù)據(jù)處理系統(tǒng)80。網(wǎng)絡(luò)適配器88也可以耦合到數(shù)據(jù)處理系統(tǒng)80,以使得其能夠變得通過中間專用或公用網(wǎng)絡(luò)耦合到其他系統(tǒng)、計(jì)算機(jī)系統(tǒng)、遠(yuǎn)程網(wǎng)絡(luò)設(shè)備和/或遠(yuǎn)程存儲(chǔ)設(shè)備。網(wǎng)絡(luò)適配器88可以包括用于接收由所述系統(tǒng)、設(shè)備和/或網(wǎng)絡(luò)發(fā)送到所述數(shù)據(jù)處理系統(tǒng)80的數(shù)據(jù)的數(shù)據(jù)接收器、以及用于將數(shù)據(jù)發(fā)送到所述系統(tǒng)、設(shè)備和/或網(wǎng)絡(luò)的數(shù)據(jù)發(fā)送器。調(diào)制解調(diào)器、電纜調(diào)制解調(diào)器以及以太網(wǎng)卡是可以與數(shù)據(jù)處理系統(tǒng)80—起使用的不同類型的網(wǎng)絡(luò)適配器的示例。
[0121]如圖8中所描繪的,存儲(chǔ)器元件82可以存儲(chǔ)應(yīng)用89。應(yīng)當(dāng)領(lǐng)會(huì),數(shù)據(jù)處理系統(tǒng)80還可以執(zhí)行操作系統(tǒng)(未示出),其可以促進(jìn)應(yīng)用的執(zhí)行。以可執(zhí)行程序代碼的形式實(shí)現(xiàn)的應(yīng)用可以由數(shù)據(jù)處理系統(tǒng)80例如由處理器81所執(zhí)行。響應(yīng)于執(zhí)行應(yīng)用89,數(shù)據(jù)處理系統(tǒng)80可以被配置成執(zhí)行如本文更詳細(xì)描述的一個(gè)或多個(gè)操作。
[0122]在一個(gè)方面中,例如,數(shù)據(jù)處理系統(tǒng)80可以表示用戶設(shè)備4,諸如移動(dòng)電話、便攜式計(jì)算機(jī)、平板電腦、智能眼鏡、智能手表、MTC設(shè)備等。在該情況下,應(yīng)用59可以表示客戶端應(yīng)用,其在執(zhí)行時(shí)將數(shù)據(jù)處理系統(tǒng)50配置成針對(duì)用戶設(shè)備4執(zhí)行本文所描述的各種功能。用戶設(shè)備4可以存儲(chǔ)或具有存儲(chǔ)秘密密鑰K的存儲(chǔ)模塊。
[0123]用戶設(shè)備4可以接收如參照?qǐng)D3B—般討論的、現(xiàn)在無線電接入網(wǎng)絡(luò)系統(tǒng)2而不是核心網(wǎng)絡(luò)系統(tǒng)3執(zhí)行認(rèn)證和/或密鑰協(xié)商過程以訪問由無線電接入網(wǎng)絡(luò)系統(tǒng)所提供的服務(wù)的僅RAN指示。
[0124]用戶設(shè)備4可以接收如參照?qǐng)D3B—般討論的僅RAN指示。僅RAN指示指示有限的服務(wù)是可用的并且將由無線電接入網(wǎng)絡(luò)系統(tǒng)2來執(zhí)行。在一個(gè)實(shí)施例中,用戶設(shè)備4可以被控制為例如通過被禁止請(qǐng)求通常將使用核心網(wǎng)絡(luò)系統(tǒng)3而可用的其他服務(wù)而被限于僅某些服務(wù)。為了使用由無線電接入網(wǎng)絡(luò)系統(tǒng)2所提供的服務(wù)集,向用戶設(shè)備通知要求利用無線電接入網(wǎng)絡(luò)系統(tǒng)2的認(rèn)證訪問由無線電接入網(wǎng)絡(luò)系統(tǒng)2所提供的服務(wù)。
[0125]在另一實(shí)施例中,用戶設(shè)備4可以處理指示矢量在無線電接入網(wǎng)絡(luò)系統(tǒng)2的特定節(jié)點(diǎn)處是可用的位置指示,如參照?qǐng)D3C所描述的。
[0126]例如,用戶設(shè)備4可以接收位置指示并被配置成將位置指示存儲(chǔ)在用戶設(shè)備中的特定地址處,使得其可以在必要時(shí)應(yīng)用。例如,如果用戶設(shè)備從無線電接入網(wǎng)絡(luò)系統(tǒng)2接收到僅RAN指示,則用戶設(shè)備可以請(qǐng)求附接到無線電接入網(wǎng)絡(luò)系統(tǒng)2,從位置指示被存儲(chǔ)在其中的地址檢索位置指示,以及將位置指示包括在請(qǐng)求中以向無線電接入網(wǎng)絡(luò)2通知至少一個(gè)矢量在何處是可用的。
[0127]用戶設(shè)備4還可以被配置成處理指示當(dāng)核心網(wǎng)絡(luò)系統(tǒng)3能夠執(zhí)行認(rèn)證過程和密鑰協(xié)商過程時(shí)矢量的一個(gè)或多個(gè)值不可操作用于執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程的信令消息。這可以防止假基站攻擊。例如,用戶設(shè)備可以被配置例如編程為僅在信令消息指示一個(gè)或多個(gè)值在僅RAN模式下是有效的并且僅RAN模式由無線電接入網(wǎng)絡(luò)系統(tǒng)2所指示的情況下使用矢量的一個(gè)或多個(gè)值來認(rèn)證無線電接入網(wǎng)絡(luò)系統(tǒng)。
[0128]在另一方面中,數(shù)據(jù)處理系統(tǒng)80可以表示網(wǎng)絡(luò)節(jié)點(diǎn),諸如基站,在所述情況下,執(zhí)行應(yīng)用59以執(zhí)行如本文所描述的操作中的一個(gè)或多個(gè)。這些操作包括但不限于如在所附權(quán)利要求中所限定的一個(gè)或多個(gè)步驟,包括:接收矢量、存儲(chǔ)矢量、使用所接收的和/或存儲(chǔ)的矢量來執(zhí)行認(rèn)證和/或密鑰協(xié)商過程、檢測(cè)核心網(wǎng)絡(luò)系統(tǒng)的不可用、存儲(chǔ)通信標(biāo)識(shí)符、發(fā)送僅RAN指示、解析無線電接入網(wǎng)絡(luò)系統(tǒng)中的所接收的矢量的存儲(chǔ)的位置等。
[0129]在另一方面中,數(shù)據(jù)處理系統(tǒng)80表示核心網(wǎng)絡(luò)系統(tǒng)3中的網(wǎng)絡(luò)節(jié)點(diǎn)或元件,例如具有HLR、HSS和/或AuC功能的節(jié)點(diǎn)或元件,在所述情況下,執(zhí)行應(yīng)用59來執(zhí)行如本文所描述的操作中的一個(gè)或多個(gè)。操作包括但不限于維持其中信息針對(duì)一個(gè)(或一組)用戶設(shè)備(本發(fā)明的方法針對(duì)其是適用的)而被寄存的寄存器、將一個(gè)或多個(gè)矢量發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)2(例如周期性地)、以及(協(xié)助)向用戶設(shè)備通知其中矢量被存儲(chǔ)在無線電接入網(wǎng)絡(luò)系統(tǒng)2中的位置。
[0130]要指出的是,已經(jīng)在要執(zhí)行的步驟方面描述了該方法,但其不要被解釋為所描述的步驟必須以所描述的確切次序和/或一個(gè)接一個(gè)地執(zhí)行。本領(lǐng)域技術(shù)人員可以設(shè)想改變步驟的次序和/或并行地執(zhí)行步驟,以實(shí)現(xiàn)等價(jià)的技術(shù)結(jié)果。
[0131]本文所使用的術(shù)語僅出于描述具體實(shí)施例的目的,并非意在限制本發(fā)明。如本文中所使用的,單數(shù)形式“一”、“一個(gè)”和“該”也意在包括復(fù)數(shù)形式,除非上下文另有明確指示。將進(jìn)一步理解的是,術(shù)語“包括”和/或“包括有”當(dāng)在本說明書中使用時(shí),規(guī)定所陳述的特征、整數(shù)、步驟、操作、元件和/或組件的存在,但不排除一個(gè)或多個(gè)其他特征、整數(shù)、步驟、操作、元件、組件和/或它們的群組的存在或添加。
[0132]以下權(quán)利要求中的所有手段或步驟加上功能元件的對(duì)應(yīng)的結(jié)構(gòu)、材料、動(dòng)作和等價(jià)物意在包括用于與如具體要求保護(hù)的其他要求保護(hù)元件結(jié)合執(zhí)行功能的任何結(jié)構(gòu)、材料或動(dòng)作。本發(fā)明的描述出于說明和描述的目的而呈現(xiàn),但并不意在是詳盡的或以所公開的形式限制本發(fā)明。許多修改和變化對(duì)于本領(lǐng)域普通技術(shù)人員將是顯而易見,而不脫離本發(fā)明的范圍和精神。已經(jīng)選擇并描述了實(shí)施例以便最佳地解釋本公開的原理和實(shí)際應(yīng)用,并且使得其他本領(lǐng)域普通技術(shù)人員能夠針對(duì)如適于所預(yù)期的特定用途具有各種修改的各種實(shí)施例理解本發(fā)明。
[0133]本公開的各種實(shí)施例可以被實(shí)現(xiàn)為程序產(chǎn)品以供計(jì)算機(jī)系統(tǒng)或者處理器使用,其中程序產(chǎn)品的(多個(gè))程序限定實(shí)施例(包括本文所描述的方法)的功能。在一個(gè)實(shí)施例中,(多個(gè))程序可以包含在多種非臨時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(通常稱為“存儲(chǔ)”)上,其中如本文所使用的,表達(dá)“非臨時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)”包括所有的計(jì)算機(jī)可讀介質(zhì),其中僅有的例外是臨時(shí)性、傳播信號(hào)。在另一實(shí)施例中,(多個(gè))程序可以包含在多種臨時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上。說明性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括但不限于:(i)信息永久地存儲(chǔ)在其上的不可寫存儲(chǔ)介質(zhì)(例如計(jì)算機(jī)內(nèi)的只讀存儲(chǔ)器設(shè)備,諸如可由CD-ROM驅(qū)動(dòng)器讀取的CD-ROM盤、ROM芯片或者任何類型的固態(tài)非易失性半導(dǎo)體存儲(chǔ)器);以及(ii)在其上存儲(chǔ)可改變信息的可寫存儲(chǔ)介質(zhì)(例如,閃速存儲(chǔ)器、硬盤驅(qū)動(dòng)器或軟盤驅(qū)動(dòng)器內(nèi)的軟盤或者任何類型的固態(tài)隨機(jī)存取半導(dǎo)體存儲(chǔ)器)。
【主權(quán)項(xiàng)】
1.一種包括無線電接入網(wǎng)絡(luò)系統(tǒng)和核心網(wǎng)絡(luò)系統(tǒng)的電信網(wǎng)絡(luò)中的安全方法,其中無線電接入網(wǎng)絡(luò)系統(tǒng)被配置成提供用于至少一個(gè)用戶設(shè)備的無線無線電接口,其中共享秘密密鑰被存儲(chǔ)在用戶設(shè)備和核心網(wǎng)絡(luò)系統(tǒng)二者中,所述方法包括無線電接入網(wǎng)絡(luò)系統(tǒng)中的如下步驟: 從核心網(wǎng)絡(luò)系統(tǒng)接收包括從共享秘密密鑰導(dǎo)出的一個(gè)或多個(gè)值的至少一個(gè)矢量; 針對(duì)用戶設(shè)備通過無線無線電接口使用所接收的矢量的一個(gè)或多個(gè)值來執(zhí)行認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè),以用于建立用戶設(shè)備和無線電接入網(wǎng)絡(luò)系統(tǒng)之間的連接。2.根據(jù)權(quán)利要求1的方法,還包括如下步驟:檢測(cè)從核心網(wǎng)絡(luò)系統(tǒng)處理認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)的無能力,其中接收矢量的步驟在檢測(cè)所述無能力之前執(zhí)行,并且使用所接收的矢量的一個(gè)或多個(gè)值來執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程的步驟在檢測(cè)所述無能力之后執(zhí)行。3.根據(jù)權(quán)利要求1或2的方法,還包括如下步驟:在無線電接入網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)至少一個(gè)通信標(biāo)識(shí)符,所述通信標(biāo)識(shí)符使得能夠針對(duì)用戶設(shè)備建立通信服務(wù)。4.根據(jù)前述權(quán)利要求中的一個(gè)或多個(gè)的方法,其中核心網(wǎng)絡(luò)系統(tǒng)預(yù)先存儲(chǔ)與用戶設(shè)備相關(guān)聯(lián)的將矢量發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)的僅RAN指示,還包括如下步驟:僅針對(duì)僅RAN指示已經(jīng)針對(duì)其被預(yù)先存儲(chǔ)的用戶設(shè)備從核心網(wǎng)絡(luò)系統(tǒng)在無線電接入網(wǎng)絡(luò)系統(tǒng)中接收至少一個(gè)矢量。5.根據(jù)前述權(quán)利要求中的一個(gè)或多個(gè)的方法,還包括無線電接入網(wǎng)絡(luò)系統(tǒng)中的以下步驟中的一個(gè)或多個(gè): -從核心網(wǎng)絡(luò)系統(tǒng)周期性地接收矢量; -向用戶設(shè)備發(fā)送無線電接入網(wǎng)絡(luò)系統(tǒng)執(zhí)行認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)的用于從無線電接入網(wǎng)絡(luò)系統(tǒng)獲得一個(gè)或多個(gè)服務(wù)的僅RAN指示。6.根據(jù)前述權(quán)利要求中的一個(gè)或多個(gè)的方法,其中無線電接入網(wǎng)絡(luò)系統(tǒng)包括至少第一節(jié)點(diǎn)和通信地連接到第一節(jié)點(diǎn)的第二節(jié)點(diǎn),所述方法包括如下步驟: 在無線電接入網(wǎng)絡(luò)系統(tǒng)中的第一節(jié)點(diǎn)處接收用于建立連接的請(qǐng)求;以及 在無線電接入網(wǎng)絡(luò)系統(tǒng)中的第二節(jié)點(diǎn)處執(zhí)行認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)。7.根據(jù)權(quán)利要求6的方法,還包括以下步驟中的至少一個(gè): -在第一節(jié)點(diǎn)處在用于建立連接的請(qǐng)求中接收位置指示,所述位置指示指示矢量在第二節(jié)點(diǎn)處是可用的; -在無線電接入網(wǎng)絡(luò)系統(tǒng)的第三節(jié)點(diǎn)中記錄矢量在第二節(jié)點(diǎn)處是可用的,并由第三節(jié)點(diǎn)向第一節(jié)點(diǎn)通知矢量在第二節(jié)點(diǎn)處是可用的; -從無線電接入網(wǎng)絡(luò)系統(tǒng)中的第一節(jié)點(diǎn)廣播請(qǐng)求,所述請(qǐng)求標(biāo)識(shí)針對(duì)其搜尋矢量的用戶設(shè)備;以及 -從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)并進(jìn)一步向用戶設(shè)備發(fā)送位置指示,所述位置指示指示矢量在第二節(jié)點(diǎn)處是可用的。8.根據(jù)前述權(quán)利要求中的一個(gè)或多個(gè)的方法,執(zhí)行以下步驟中的一個(gè)或多個(gè): -在無線電接入網(wǎng)絡(luò)系統(tǒng)中的可信節(jié)點(diǎn)中接收矢量; -向用戶設(shè)備發(fā)送指示在核心網(wǎng)絡(luò)系統(tǒng)能夠執(zhí)行認(rèn)證過程和密鑰協(xié)定過程時(shí)矢量的一個(gè)或多個(gè)值不可操作用于執(zhí)行認(rèn)證過程和/或密鑰協(xié)商過程的信令消息。9.根據(jù)前述權(quán)利要求中的一個(gè)或多個(gè)的方法,包括如下步驟:在無線電接入網(wǎng)絡(luò)系統(tǒng)中刷新一個(gè)或多個(gè)矢量以用于執(zhí)行認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)。10.—種計(jì)算機(jī)程序或一套計(jì)算機(jī)程序,其包括被布置成使計(jì)算機(jī)或一套計(jì)算機(jī)執(zhí)行根據(jù)前述權(quán)利要求中的一個(gè)或多個(gè)的方法的一組指令。11.一種計(jì)算機(jī)可讀介質(zhì),其包括權(quán)利要求10的計(jì)算機(jī)程序。12.—種包括一個(gè)或多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的無線電接入網(wǎng)絡(luò)系統(tǒng),其提供用于至少一個(gè)用戶設(shè)備的無線無線電接口并配置成連接到核心網(wǎng)絡(luò)系統(tǒng),其中,在操作中,共享秘密被存儲(chǔ)在用戶設(shè)備和核心網(wǎng)絡(luò)系統(tǒng)二者中,其中無線電接入網(wǎng)絡(luò)系統(tǒng)包括: 接收器,其被配置用于從核心網(wǎng)絡(luò)系統(tǒng)接收包括從共享秘密密鑰導(dǎo)出的一個(gè)或多個(gè)值的至少一個(gè)矢量; 處理器,其被配置用于針對(duì)用戶設(shè)備通過無線無線電接口使用所接收的矢量的一個(gè)或多個(gè)值來執(zhí)行認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè),以用于建立用戶設(shè)備和無線電接入網(wǎng)絡(luò)系統(tǒng)之間的連接。13.根據(jù)權(quán)利要求12的無線電接入網(wǎng)絡(luò)系統(tǒng),其中無線電接入網(wǎng)絡(luò)系統(tǒng)還被配置用于執(zhí)行根據(jù)權(quán)利要求2-9中的一個(gè)或多個(gè)的方法。14.一種核心網(wǎng)絡(luò)系統(tǒng),其被配置用于與根據(jù)權(quán)利要求12或13的無線電接入網(wǎng)絡(luò)系統(tǒng)一起操作,其中核心網(wǎng)絡(luò)系統(tǒng)包括: 寄存器,其被配置用于存儲(chǔ)與用戶設(shè)備相關(guān)聯(lián)的指示矢量應(yīng)當(dāng)被發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)的僅RAN預(yù)訂指示; 處理器,其被配置用于控制針對(duì)用戶設(shè)備僅在寄存器具有預(yù)先存儲(chǔ)的僅RAN預(yù)訂指示的情況下傳輸矢量; 發(fā)送器,由處理器所控制,用于將矢量發(fā)送到無線電接入網(wǎng)絡(luò)系統(tǒng)。15.—種用戶設(shè)備,其被配置用于參與權(quán)利要求5、7和8中的一個(gè)或多個(gè),其被配置用于分別處理指示認(rèn)證過程和密鑰協(xié)商過程中的至少一個(gè)由無線電接入網(wǎng)絡(luò)系統(tǒng)執(zhí)行的用于訪問來自無線電接入網(wǎng)絡(luò)系統(tǒng)的服務(wù)的僅RAN指示、指示矢量在第二節(jié)點(diǎn)處是可用的位置指示、以及指示在核心網(wǎng)絡(luò)系統(tǒng)執(zhí)行認(rèn)證和密鑰協(xié)商過程中的至少一個(gè)時(shí)矢量的一個(gè)或多個(gè)值是不可操作的信令消息。
【文檔編號(hào)】H04W12/06GK105830476SQ201480070530
【公開日】2016年8月3日
【申請(qǐng)日】2014年12月23日
【發(fā)明人】F.弗蘭森
【申請(qǐng)人】皇家Kpn公司, 荷蘭應(yīng)用自然科學(xué)研究組織