专利名称:用于用户设备向无线网络注册的完整性保护及/或加密的制作方法
技术领域:
本发明大体上涉及通信,且更具体地说,涉及用于执行向无线通信网络注册的技术。
背景技术:
无线通信网络经广泛部署以提供例如语音、视频、包数据、消息接发、广播等各种 通信内容。这些无线网络可为能够通过共享可用网络资源而支持多个用户的多址网络。所 述多址网络的实例包括码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网 络、正交FDMA(OFDMA)网络及单载波FDMA(SC-FDMA)网络。无线通信网络可支持许多用户设备(UE)的通信。UE可(例如,在通电之后即亥Ij) 执行向所述无线网络注册以便接收通信服务。需要以有效的方式执行注册。
发明内容
本文描述用于使用完整性保护及/或加密来执行向无线网络注册的技术。加密可 用于安全地发送需要保持机密的信息。可针对消息使用完整性保护,使得接收者可确信消 息的内容未由第三方篡改。将加密及/或完整性保护用于注册可提供某些优点,例如较快 的注册过程、减少的信令等。在一个设计中,UE可针对第一会话与无线网络执行安全程序,且可在所述UE处产 生UE安全上下文数据。所述UE安全上下文数据可包括用于加密的加密密钥、用于完整性 保护的完整性密钥、临时UE识别码及/或其它信息。所述UE可在所述第一会话期间使用 所述UE安全上下文数据用于与所述无线网络进行安全通信。所述UE可在所述第一会话终 止后即刻存储所述UE安全上下文数据。所述UE可在所述第一会话结束时执行撤销注册且 可在所述第一会话之后断电。此后,所述UE可针对所述第一会话之后的第二会话使用所述所存储的UE安全上 下文数据用于向所述无线网络注册。所述UE可基于所述所存储的UE安全上下文数据针对 至少一条消息执行完整性保护及/或加密。在一个设计中,UE可基于加密密钥对注册消息 的至少一个参数进行加密,且可基于完整性密钥对整个注册消息进行完整性保护。UE可将 经完整性保护及/或加密的消息发送到无线网络用于UE的注册。以下更详细地描述本发明的各种方面及特征。
图1展示无线通信网络。
图2展示控制平面的实例协议堆栈。图3展示密码密钥层级。图4A及图4B展示无完整性保护或加密的UE注册的呼叫流程。图5A及图5B展示具有完整性保护及/或加密的UE注册的呼叫流程。图6及图7分别展示用于执行具有完整性保护及/或加密的注册的过程及设备。图8及图9分别展示用于支持具有完整性保护及/或加密的UE注册的过程及设备。图10展示图1中的各种实体的框图。
具体实施例方式本文中所描述的技术可用于例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA及其它网络等 各种无线通信网络。术语“网络”与“系统”通常可互换地使用。CDMA网络可实施例如通 用陆地无线电接入(UTRA)、cdma2000等无线电技术。UTRA包括宽带CDMA (WCDMA)及CDMA 的其它变体。cdma2000涵盖IS-2000、IS-95及IS-856标准。TDMA网络可实施例如全球 移动通信系统(GSM)等无线电技术。OFDMA网络可实施例如演进型UTRA(E-UTRA)、超移动 宽带(UMB)、IEEE 802. 11 (Wi-Fi)、IEEE802. 16 (WiMAX)、IEEE 802. 20、Flash-OFDM 等无 线电技术。UTRA及E-UTRA为通用移动电信系统(UMTS)的部分。3GPP长期演进(LTE)为 UMTS的使用E-UTRA的即将到来的版本,其在下行链路上使用OFDMA且在上行链路上使用 SC-FDMA。UTRA、E-UTRA, UMTS、LTE及GSM描述于来自名为“第三代合作伙伴计划”(3GPP) 的组织的文献中。cdma2000及UMB描述于来自名为“第三代合作伙伴计划2”(3GPP2)的组 织的文献中。为了清楚起见,下文针对LTE来描述所述技术的某些方面,且在以下大部分描 述中使用LTE术语。图1展示无线通信网络100,其可为实施LTE的公众陆地移动网络(PLMN)。无线网 络100可包括演进型通用陆地无线电接入网络(E-UTRAN) 120、移动性管理实体(MME) 130、 归属订户服务器(HSS) 140及服务网关(S-GW) 150。E-UTRAN 120可包括支持UE的无线电 通信的许多演进型节点B(eNB)。为了简单起见,在图1中仅展示一个eNB 122。eNB可为与 UE通信的固定台,且还可称为节点B、基站、接入点等。MME 130可执行各种功能,例如非接入层(NAS)的信令及安全的控制、UE的验证及 移动性管理、用于UE的网关的选择、承载管理功能等。NAS为运行于UE与核心网络之间的 功能层,且支持UE与核心网络之间的业务及信令消息。HSS 140可存储UE的预订相关信息 (例如,用户简档)及位置信息,所述UE在无线网络100中具有服务预订。HSS 140可执行 UE的验证及授权,且可将UE的信息提供给发出请求的网络实体。服务网关150可支持例 如包数据、IP语音(VoIP)、视频、消息接发等数据服务。服务网关150可执行各种功能,例 如支持eNB之间的越区移交、用于UE的数据的缓冲、路由及转发、网络触发的服务请求程序 的起始、用于计费的记帐功能等。服务网关150可耦合到包数据网络(PDN) 160(例如,因特 网),且可与耦合到PDN 160的其它实体(例如,远程服务器及终端)通信。E-UTRAN 120、MME 130、HSS 140 及服务网关 150 的功能描述于 3GPP TS 36. 300 中,其标题为“演进型通用陆地无线电接入(E-UTRA)及演进型通用陆地无线电接入网络 (E-UTRAN);综合描述;阶段 2 (Evolved Universal Terrestrial Radio Access (E-UTRA)and Evolved Universal Terrestrial Radio Access Network (E-UTRAN) ;Overall description ;Stage 2)”,且描述于3GPP TS 23. 401中,其标题为“用于演进型通用陆 地无线电接入网络(E-UTRAN)接入的通用包无线电服务(GPRS)增强(General Packet Radio Service(GPRS)enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) access) ”。这些文献可从3GPP公开得到。UE 110可为固定的或移动的,且还可称为移动台、终端、接入终端、订户单元、台 等。UE 110可为蜂窝式电话、个人数字助理(PDA)、无线调制解调器、无线通信装置、手持式 装置、膝上型计算机、无绳电话等。UE 110可在E-UTRAN 120内与eNB通信。UE 110可具有 与无线网络100的服务预订,且可使其预订相关信息存储于HSS 140中。UE 110可能够接 收一个或一个以上数据服务,例如因特网连接性、短消息服务(SMS)、即时消息接发(IM)、 无线应用协议(WAP)接入、多媒体串流、多媒体消息接发等。图2展示LTE中的控制平面的实例协议堆栈200。控制平面载运在UE 110与 E-UTRAN 120之间以及UE 110与MME 130之间交换的信令消息。如图2中所示,UE 110可 经由NAS控制协议与MME 130交换消息。NAS可执行各种功能,例如数据承载管理、验证、移 动性处置、寻呼起源、安全控制等。UE 110可经由无线电资源控制(RRC)在E-UTRAN 120内 与eNB交换消息。RRC可执行各种功能,例如RRC连接管理、无线电承载控制、移动性功能、 UE测量报告及控制、广播、寻呼等。RRC消息可经由包数据聚合协议(PDCP)、无线电链路控 制(RLC)、媒体接入控制(MAC)及物理层(PHY)发送。用于LTE的控制平面描述于前述3GPP TS 36. 300 中。UE 110可(例如)当对UE通电时执行附接程序且向无线网络100注册。UE 110 可发送注册消息作为附接程序的一部分。注册消息还可称为附接请求消息等。注册消息通 常用一般文字发送,即,无完整性保护或加密。完整性保护是用以确保信息未经篡改的过 程。这可通过具有以下各项来实现(i)发射器,其在待受完整性保护的信息上安全地产生 消息验证码(MAC),及(ii)接收器,其使用所述MAC来检查信息未经篡改。加密是将原始 信息(常称为明文)转换为经编密的信息(常称为密文)的过程,所述经编密的信息含有 原始信息,但并非呈可由无适当解密机制的人或计算机读取的格式。加密通常还称为编密。 如下文所描述,各种密码密钥可用于完整性保护及加密。在一方面中,UE 110可针对经发送用于注册的消息执行完整性保护及/或加密。 UEllO可对需要保持机密的信息进行加密,且可在注册消息中发送所述经加密的信息。加密 的使用可允许UE 110在注册消息中包括某些信息,所述信息原本由于信息需要保持机密 而通常不被包括。在注册消息中发送所述信息可(i)加速注册过程及后续承载激活过程, 且(ii)因为可能要求较少的信令而增加网络容量。UE 110还可对整个注册消息进行完整 性保护,使得网络可确信消息的内容未由第三方篡改。在一个设计中,UE 110及例如MME 130等网络实体可在撤销注册程序及后续断电 程序后即刻存储UE安全上下文数据。此后,UE 110及MME 130可在加电程序及后续注册 程序期间再次使用所存储的UE安全上下文数据以保护注册消息。UE安全上下文数据还可 称为NAS安全上下文信息、安全信息等。在另一设计中,UE 110及MME 130可在加电程序 及后续注册程序后即刻重新产生UE安全上下文数据,且可使用重新产生的UE安全上下文 数据以保护注册消息。重新产生的UE安全上下文数据可与或可不与在先前会话期间使用的UE安全上下文数据相同,所述先前会话由先前撤销注册程序及后续断电程序终止。图3展示可用于UE 110与无线网络100之间的通信的密码密钥层级。用于UE 110 的通用订户识别码模块(USIM)及用于无线网络100的验证中心(AuC)可共享经指示为K 的长期秘密密钥。秘密密钥K还可称为共享秘密密钥、预共享密钥等。秘密密钥K可用于 (例如)当UE 110执行验证及密钥约定(AKA)程序时产生经指示为CK的加密密钥及经指 示为IK的完整性密钥。AKA程序使用永久UE识别码,其可为国际移动订户识别码(IMSI)。 CK密钥及IK密钥可用于驱动经指示为Kasme的接入安全管理实体(ASME)基本密钥,其可被 提供到MME 130。Kasme密钥可用于产生经指示为KNASint及KNASm。的会话密钥。KNASint密钥可用于完整 性保护,且KNASen。密钥可用于在UE 110与MME 130之间交换的NAS信令消息(例如注册消 息)的加密。Kasme密钥还可用于产生经指示为KeNB的eNB密钥,所述经指示为KeNB的eNB密 钥可被传递到UE 110的服务eNB。例如KeNB_UP_en。密钥、KeNB_KK_int密钥及KeNB_KK_en。密钥等额 外eNB密钥可由UE 110及服务eNB根据KeNB密钥来产生,且可用于UE与eNB之间的安全 通信。图3中所示的各种密码密钥描述于前述3GPP TS36. 300中。下文描述用于支持具有完整性保护及/或加密的UE注册的设计。为简单起见,下 文描述中将MME 130及HSS 140共同地指示为MME/HSS,且省略MME 130与HSS 140之间 的通信。下文描述中的给定步骤可由MME 130或HSS 140或者MME 130及HSS 140两者执 行。图4A及图4B展示用于数据会话的UE 110、E-UTRAN 120中的eNB及MME/HSS之 间的通信的呼叫流程400。如图4A中所示,UE 110可具备长期秘密密钥K及永久UE识别 码(例如,IMSI),所述两者均可存储于通用集成电路卡(UICC)上的USIM中。HSS 140也 可具备用于UE 110的相同长期秘密密钥K及永久UE识别码,所述两者均可存储于HSS 140 处的安全数据库中。在某时间点处,可对UE通电且其可执行附接程序以向网络注册(步骤1A)。UE可 在未使用加密或完整性保护的情况下产生附接请求消息(其为注册消息)(步骤IB)。UE 可将附接请求消息发送到MME/HSS作为附接程序的一部分(步骤1C)。MME/HSS可从UE接 收附接请求消息,且可确定MME/HSS处不存在用于UE的上下文(步骤ID)。MME/HSS及UE 接着可执行AKA程序以验证UE且创建UE安全上下文(步骤1E)。对于AKA程序,MME/HSS 可创建UE安全上下文,其可包括在MME/HSS处产生用于UE的加密密钥CK、完整性密钥IK 及基本密钥Kasme (步骤IF)。UE还可本地创建UE安全上下文,其可包括在UE处产生CK密 钥、IK密钥及Kasme密钥(步骤1G)。 在完成AKA程序之后,MME及UE可执行NAS安全模式控制程序以针对NAS配置安 全(步骤1H)。对于此程序,MME可选择NAS安全算法来使用,且可创建KNASint密钥、KNASm。 密钥及KeNB密钥(步骤II)。UE可从MME接收NAS安全算法来使用,且可本地创建KNASint密 钥、KNASm。密钥及Kdffi密钥(步骤1J)。 图4B展示呼叫流程400的延续。在完成NAS安全模式控制程序之后,MME/HSS可 将具有KeNB密钥的附接接受消息返回到eNB (步骤IK)。eNB可从MME接收KeNB密钥(步骤 1L)。eNB及UE接着可执行RRC初始安全激活程序以针对RRC配置安全(步骤1M)。对于此 程序,eNB可选择RRC安全算法来使用,且可创建K m。密钥、K int密钥及密钥(步骤IN)。UE可从eNB接收RRC安全算法来使用,且可本地创建KeNB_UP_en。密钥、KeNB_KK_int 密钥及ΚεΝΒ
-RRC-enc 密钥(步骤10)。UE可接收附接接受消息(步骤1P),可在NAS层及RRC层两者处对所述附接接受 消息进行加密及完整性保护(步骤1Q)。还可向UE分配无线电资源(步骤1R),且其可经 由eNB与MME交换数据(步骤1S)。在某点处,UE可决定结束数据会话且关断(步骤1T)。 UE可将分离请求消息发送到MME/HSS (步骤1U)。可关断UE且其可将UE安全上下文数据 存储于USIM内的安全非易失性存储器中(步骤IV)。MME/HSS还可将UE安全上下文数据 存储于安全数据库中(步骤1W)。在一个设计中,UE及MME/HSS可各自在撤销注册程序及后续断电程序后即刻存储 UE安全上下文数据。UE安全上下文数据可包括以下各项 加密密钥(CK)-用于加密的会话密钥, 完整性密钥(IK)-用于完整性保护的会话密钥, 密钥集识别符(KSI)-在验证期间由网络分配且与加密密钥及完整性密钥相关 联的号码,及·临时移动订户识别码(TMSI)-临时UE识别码。UE及MME/HSS还可在撤销注册及断电后即刻存储其它信息。举例来说,UE及MME/ HSS可存储Kasme密钥、NAS密钥及/或eNB密钥。UE及MME/HSS还可存储用于完整性保护 及/或加密的其它密码密钥及/或其它信息。图5A及图5B展示用于后续数据会话的UE 110,E-UTRAN 120中的eNB及MME/HSS 之间的通信的呼叫流程500。如图5A中所示,可接通UE且其可执行附接程序以向网络注 册(步骤2A)。UE可使用所存储的UE安全上下文数据在NAS层处针对附接请求消息执行 完整性保护及/或加密(步骤2B)。在一个设计中,UE可使用所存储的UE安全上下文数据 对需要经加密的参数进行加密且对附接请求消息进行完整性保护。在另一设计中,UE可对 整个附接请求消息进行加密。UE可将经完整性保护及/或经加密的附接请求消息发送到MME/HSS(步骤2C)。 MME/HSS可接收附接请求消息,且基于MME/HSS处所存储的UE安全上下文来执行补充安全 处理(步骤2D)。在一个设计中,MME/HSS可使用由MME/HSS针对UE安全上下文存储的完 整性密钥在NAS层处对附接请求消息执行完整性检查,且可使用由MME/HSS针对UE安全上 下文存储的加密密钥对由UE进行加密的参数进行解密。MME/HSS还可在当前数据会话中使 用所存储的UE安全上下文用于与UE进行安全通信。或者,MME/HSS可与UE执行AKA程序 以产生最新加密密钥及完整性密钥(步骤2E、步骤2F及步骤2G)。MME还可与UE执行NAS 安全模式控制程序以产生最新KNASint密钥、KNASm。密钥及K.密钥(步骤2H、步骤21及步骤 2J)或可跳过此程序。图5B展示呼叫流程500的延续。MME/HSS可将具有KeNB密钥的附接接受消息返回 到eNB (步骤2K)。eNB可从MME接收KeNB密钥(步骤2L)。eNB及UE接着可执行RRC初始 安全激活程序(步骤2M)。对于此程序,eNB可选择RRC安全算法来使用,且可创建KeNB_UP_· 密钥、KeNB_KK。_int密钥及KeNB_KKe_en。密钥(步骤2N)。UE可从eNB接收RRC安全算法来使用, 且可本地创建K__UP_m。密钥、密钥及密钥(步骤20)。UE可接收附接接受消息(步骤2Ρ),可在NAS层及RRC层两者处对所述附接接受消息进行加密及完整性保护(步骤2Q)。还可向UE分配无线电资源(步骤2R),且其可经 由eNB与MME交换数据(步骤2S)。在某点处,UE可决定结束数据会话且关断(步骤2T)。 UE可将分离请求消息发送到MME/HSS (步骤2U)。可关断UE且其可继续将UE安全上下文 数据存储于USIM内的安全非易失性存储器中(步骤2V)。MME/HSS还可继续将UE安全上 下文数据存储于安全数据库中(步骤2W)。如图5A及图5B中所示,用于NAS信令消息的保护的安全引擎可驻存于UE及MME/ HSS中。在UE及MME/HSS两者中存储(或重新产生)UE安全上下文数据可使得UE可能在 加电程序及后续注册程序后即刻对附接请求消息进行完整性保护及/或加密。图6展示用于执行具有完整性保护及/或加密的注册的过程600的设计。过程 600可由UE 110(如下文所描述)或由某其它实体来执行。UE可针对第一会话与无线网络执行安全程序(例如,AKA程序),且可在UE处产生 UE安全上下文数据(框612)。UE可在第一会话期间使用UE安全上下文数据用于与无线网 络进行安全通信(框614)。UE可在第一会话终止后即刻存储UE安全上下文数据(例如,存 储于USIM中)(框616)。所存储的UE安全上下文数据可包含用于加密的加密密钥(CK)、 用于完整性保护的完整性密钥(IK)、密钥集识别符(KSI)、临时UE识别码(例如,TMSI)及 /或其它信息。UE可在第一会话结束时执行撤销注册且可在第一会话之后断电。UE可针对第一会话之后的第二会话使用所存储的UE安全上下文数据用于向无线 网络注册(框618)。在一个设计中,UE可基于所存储的UE安全上下文数据针对至少一条 消息(例如,注册消息)执行安全保护。UE接着可将所述至少一条经完整性保护的消息发 送到无线网络用于UE的注册。在另一设计中,UE可基于所存储的UE安全上下文数据对至 少一条消息进行加密。UE接着可将所述至少一条经加密的消息发送到无线网络用于UE的 注册。在又一设计中,UE可执行加密及完整性保护两者。举例来说,UE可基于所存储的UE 安全上下文数据中的加密密钥对注册消息(例如,附接请求消息)的至少一个参数进行加 密,且可基于所存储的UE安全上下文数据中的完整性密钥对整个注册消息进行完整性保 护。图7展示用于执行具有完整性保护及/或加密的UE注册的设备700的设计。设 备700包括用以针对第一会话与无线网络执行安全程序(例如,AKA程序)且在UE处产 生UE安全上下文数据的模块712 ;用以在第一会话期间使用UE安全上下文数据用于与无 线网络进行安全通信的模块714 ;用以在第一会话终止后即刻将UE安全上下文数据存储于 UE处的模块716 ;及用以针对第一会话之后的第二会话使用所存储的UE安全上下文数据用 于向无线网络注册的模块718。图8展示用于支持具有完整性保护及/或加密的UE注册的过程800的设计。过 程800可由例如MME 130及/或HSS 140等网络实体执行。网络实体可针对第一会话与UE执行安全程序(例如,AKA程序),且可在网络实体 处获得UE安全上下文数据(框812)。网络实体可在第一会话期间使用UE安全上下文数 据用于与UE进行安全通信(框814)。网络实体可在第一会话终止后即刻存储UE安全上 下文数据(例如,存储于安全数据库中)(框816)。所存储的UE安全上下文数据可包含用 于加密的加密密钥(CK)、用于完整性保护的完整性密钥(IK)、密钥集识别符(KSI)、临时UE 识别码(例如,TMSI)及/或其它信息。
网络实体可针对第一会话之后的第二会话使用所存储的UE安全上下文数据用于 UE的注册(框818)。在一个设计中,网络实体可接收由UE进行完整性保护的至少一条消 息(例如,注册消息)。网络实体可基于所存储的UE安全上下文数据针对所述至少一条消 息执行完整性检查。在另一设计中,网络实体可接收由UE进行加密的至少一条消息。网络 实体可基于所存储的UE安全上下文数据对所述至少一条消息进行解密。在又一设计中,网 络实体可执行解密及完整性检查两者。举例来说,网络实体可从UE接收注册消息,基于所 存储的UE安全上下文数据中的加密密钥对注册消息的至少一个参数进行解密,且基于所 存储的UE安全上下文数据中的完整性密钥针对整个注册消息执行完整性检查。图9展示用于支持具有完整性保护及/或加密的UE注册的设备900的设计。设 备900包括用以针对第一会话与UE执行安全程序(例如,AKA程序)且在网络实体处获 得UE安全上下文数据的模块912 ;用以在第一会话期间使用UE安全上下文数据用于与UE 进行安全通信的模块914 ;用以在第一会话终止后即刻将UE安全上下文数据存储于网络实 体处的模块916 ;及用以针对第一会话之后的第二会话使用所存储的UE安全上下文数据用 于UE的注册的模块918。图7及图9中的模块可包含处理器、电子装置、硬件装置、电子组件、逻辑电路、存 储器等或其任何组合。本文中描述的技术可提供某些优点。第一,无线网络可避免每次UE加电及执行注 册时均使用额外向量。使用向量来产生Kasme密钥及对UE验证网络,且反之亦然。第二,针 对注册在UE与无线网络之间可交换较少的信令。第三,可针对发送用于注册的消息使用安 全保护。图 10 展示图 1 中的 UE 110、E-UTRAN 120 中的 eNB 122、MME 130、HSS 140 及服 务网关150的设计的框图。为简单起见,图10展示(i)用于UE 110的一个控制器/处理 器1010、一个存储器1012及一个发射器/接收器(TMTR/RCVR) 1014 ; (ii)用于eNB 122的 一个控制器/处理器1020、一个存储器(Mem) 1022、一个发射器/接收器IOM及一个通信 (Comm)单元10 ; (iii)用于MME 130的一个控制器/处理器1030、一个存储器1032及一 个通信单元10;34 ; (iv)用于HSS 140的一个控制器/处理器1040、一个存储器1042及一 个通信单元1044 ;及(ν)用于服务网关150的一个控制器/处理器1050、一个存储器1052 及一个通信单元1054。一般来说,每一实体可包括任何数目的控制器、处理器、存储器、收发 器、通信单元等。在下行链路上,eNB 122可将数据及消息发射到其覆盖区域内的UE。数据及消息 可由处理器1020处理且由发射器IOM调节以产生下行链路信号,下行链路信号可被发射 到UE。在UE 110处,来自eNB 122的下行链路信号可由接收器1014接收及调节,且进一步 由处理器1010处理以获得发送到UE 110的数据及消息。存储器1012可存储用于UE 110 的程序代码及数据。处理器1010可执行或指导图6中的过程600及/或用于本文中所描 述的技术的其它过程。处理器1010还可执行图4A及图4B中的呼叫流程400以及图5A及 图5B中的呼叫流程500中的用于UE的处理。在上行链路上,UE 110可将数据及消息发射到eNB 122。数据及消息可由处理器 1010处理且由发射器1014调节以产生上行链路信号,上行链路信号可被发射到eNB122。在 eNB 122处,来自UE 110及其它UE的上行链路信号可由接收器IOM接收及调节,且进一步由处 理器1020处理以获得由UE发送的数据及消息。存储器1022可存储用于eNB 122的 程序代码及数据。通信单元1026可允许eNB 122与其它网络实体通信。举例来说,通信单 元1026可转发在UE 110与MME 130之间(例如)针对注册而交换的NAS信令消息。在MME 130内,处理器1030可执行用于MME的处理,存储器1032可存储用于MME 的程序代码及数据,且通信单元1034可允许MME与其它实体通信。处理器1030可执行或 指导图8中的过程800的全部或部分及/或用于本文中所描述的技术的其它过程。处理器 1030还可执行图4A及图4B中的呼叫流程400以及图5A及图5B中的呼叫流程500中的用 于MME/HSS的处理的全部或部分。存储器1032可存储用于UE 110的UE安全上下文数据。在HSS 140内,处理器1040可执行用于HSS的处理,存储器1042可存储用于HSS 的程序代码及数据,且通信单元1044可允许HSS与其它实体通信。处理器1040可执行或 指导图8中的过程800的全部或部分及/或用于本文中所描述的技术的其它过程。处理器 1040还可执行图4A及图4B中的呼叫流程400以及图5A及图5B中的呼叫流程500中的用 于MME/HSS的处理的全部或部分。存储器1042可存储用于UE 110的预订相关信息及安全 fn息ο在服务网关150内,处理器1050可执行用于网关的处理,存储器1052可存储用于 网关的程序代码及数据,且通信单元1054可允许网关与其它实体通信。应理解,所揭示的过程中的步骤的特定次序或层级是示范性方法的实例。基于设 计偏好,应理解,可在保持处于本发明的范围内的同时重新布置所述过程中的步骤的特定 次序或层级。附属方法权利要求项以样本次序来呈现各种步骤的要素,且并不打算被限定 于所呈现的特定次序或层级。所属领域的技术人员将理解,可使用多种不同技术及技艺中的任何一者来表示信 息及信号。举例来说,可通过电压、电流、电磁波、磁场或磁性粒子、光场或光学粒子或其任 何组合来表示可能贯穿以上描述而引用的数据、指令、命令、信息、信号、位、符号及码片。技术人员将进一步了解,可将结合本文中的揭示内容所描述的各种说明性逻辑 块、模块、电路及算法步骤实施为电子硬件、计算机软件或两者的组合。为了清楚地说明硬 件与软件的此可互换性,已在上文大体按其功能性描述了各种说明性组件、块、模块、电路 及步骤。将所述功能性实施为硬件还是软件取决于特定应用及强加于整个系统的设计约 束。熟练的技术人员可针对每一特定应用以变化的方式实施所描述的功能性,但所述实施 方案决策不应被解释为导致偏离本发明的范围。可用经设计以执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用 集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻 辑、离散硬件组件或其任何组合来实施或执行结合本文的揭示内容而描述的各种说明性逻 辑块、模块及电路。通用处理器可为微处理器,但在替代方案中,处理器可为任何常规处理 器、控制器、微控制器或状态机。还可将处理器实施为计算装置的组合,例如,DSP与微处理 器的组合、多个微处理器、结合DSP核心的一个或一个以上微处理器或任何其它此类配置。结合本文的揭示内容而描述的方法或算法的步骤可直接以硬件、以由处理器执行 的软件模块或以所述两者的组合来体现。软件模块可驻存于RAM存储器、快闪存储器、ROM 存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可装卸式盘片、CD-ROM或此项技术中 已知的任何其它形式的存储媒体中。示范性存储媒体耦合到处理器,使得处理器可从存储媒体读取信息及将信息写入到存储媒体。在替代方案中,存储媒体可与处理器成一体式。处 理器及存储媒体可驻存于ASIC中。ASIC可驻存于用户终端中。在替代方案中,处理器及存 储 媒体可作为离散组件而驻存于用户终端中。在一个或一个以上示范性设计中,所描述的功能可以硬件、软件、固件或其任何组 合来实施。如果以软件实施,则可将功能作为一个或一个以上指令或代码存储于计算机可 读媒体上或经由计算机可读媒体来传输。计算机可读媒体包括计算机存储媒体及通信媒体 两者,通信媒体包括促进将计算机程序从一处传送到另一处的任何媒体。存储媒体可为可 由通用或专用计算机存取的任何可用媒体。借助于实例而非限制,所述计算机可读媒体可 包含RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置, 或可用于以指令或数据结构的形式载运或存储所要程序代码装置且可由通用或专用计算 机或通用或专用处理器存取的任何其它媒体。而且,可适当地将任何连接称作计算机可读 媒体。举例来说,如果使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)或例如红外线、 无线电及微波等无线技术而从网站、服务器或其它远程源发射软件,则同轴电缆、光纤电 缆、双绞线、DSL或例如红外线、无线电及微波等无线技术包括于媒体的定义中。如本文中 所使用,磁盘及光盘包括压缩光盘(CD)、激光光盘、光学光盘、数字通用光盘(DVD)、软性磁 盘及蓝光光盘,其中磁盘通常以磁性方式再生数据,而光盘用激光以光学方式再生数据。以 上各项的组合也应包括于计算机可读媒体的范围内。提供本发明的先前描述以使所属领域的任何技术人员能够制作或使用本发明。所 属领域的技术人员将容易明白对本发明的各种修改,且可在不脱离本发明的精神或范围的 情况下将本文中所定义的一般原理应用于其它变体。因此,本发明不希望限于本文所描述 的实例及设计,而是应被赋予与本文所揭示的原理及新颖特征一致的最广范围。
权利要求
1. 一种用于无线通信的方法,其包含针对第一会话与无线网络执行安全程序,且在用户设备(UE)处产生UE安全上下文数据;在所述第一会话期间使用所述UE安全上下文数据用于与所述无线网络进行安全通在所述第一会话终止后即刻将所述UE安全上下文数据存储于所述UE处;及 针对所述第一会话之后的第二会话使用所述所存储的UE安全上下文数据用于向所述 无线网络注册。
2.根据权利要求1所述的方法,其中所述使用所述所存储的UE安全上下文数据用于注 册包含基于所述所存储的UE安全上下文数据针对至少一条消息执行完整性保护,及 将所述至少一条经完整性保护的消息发送到所述无线网络用于所述UE向所述无线网络注册。
3.根据权利要求1所述的方法,其中所述使用所述所存储的UE安全上下文数据用于注 册包含基于所述所存储的UE安全上下文数据中的完整性密钥针对注册消息执行完整性保 护,及将所述经完整性保护的注册消息发送到所述无线网络用于所述UE向所述无线网络注册。
4.根据权利要求1所述的方法,其中所述使用所述所存储的UE安全上下文数据用于注 册包含基于所述所存储的UE安全上下文数据对至少一条消息进行加密,及将所述至少一条经加密的消息发送到所述无线网络用于所述UE向所述无线网络注册。
5.根据权利要求1所述的方法,其中所述使用所述所存储的UE安全上下文数据用于注 册包含基于所述所存储的UE安全上下文数据中的加密密钥对注册消息的至少一个参数进行 加密,及将所述注册消息发送到所述无线网络用于所述UE向所述无线网络注册。
6.根据权利要求1所述的方法,其中所述使用所述所存储的UE安全上下文数据用于注 册包含基于所述所存储的UE安全上下文数据中的加密密钥对注册消息的至少一个参数进行 加密,基于所述所存储的UE安全上下文数据中的完整性密钥针对所述注册消息执行完整性 保护,及将包含所述至少一个经加密的参数的所述经完整性保护的注册消息发送到所述无线 网络用于所述UE向所述无线网络注册。
7.根据权利要求1所述的方法,其中所述与所述无线网络执行所述安全程序包含与所 述无线网络执行验证及密钥约定(AKA)程序。
8.根据权利要求1所述的方法,其中所述所存储的UE安全上下文数据包含用于加密的 加密密钥(CK)、用于完整性保护的完整性密钥(IK)、密钥集识别符(KSI)及临时UE识别码 中的至少一者。
9.根据权利要求1所述的方法,其进一步包含 在所述第一会话结束时执行撤销注册;及 在所述第一会话之后使所述UE断电。
10.一种用于无线通信的设备,其包含至少一个处理器,其经配置以针对第一会话与无线网络执行安全程序且在用户设备 (UE)处产生UE安全上下文数据,在所述第一会话期间使用所述UE安全上下文数据用于与 所述无线网络进行安全通信,在所述第一会话终止后即刻将所述UE安全上下文数据存储 于所述UE处,且针对所述第一会话之后的第二会话使用所述所存储的UE安全上下文数据 用于所述UE向所述无线网络注册。
11.根据权利要求10所述的设备,其中所述至少一个处理器经配置以基于所述所存储 的UE安全上下文数据针对注册消息执行完整性保护,且将所述经完整性保护的注册消息 发送到所述无线网络用于所述UE向所述无线网络注册。
12.根据权利要求10所述的设备,其中所述至少一个处理器经配置以基于所述所存储 的UE安全上下文数据对注册消息的信息进行加密,且将包含所述经加密的信息的所述注 册消息发送到所述无线网络用于所述UE向所述无线网络注册。
13.根据权利要求10所述的设备,其中所述至少一个处理器经配置以基于所述所存储的UE安全上下文数据中的加密密钥对注册消息的信息进行加密,基于所述所存储的UE安全上下文数据中的完整性密钥针对所述注册消息执行完整性保护,且将包含所述经加密的信息的所述经完整性保护的注册消息发送到所述无线网络用于所述UE向所述无线网络注 ππ册。
14.一种用于无线通信的设备,其包含用于针对第一会话与无线网络执行安全程序且在用户设备(UE)处产生UE安全上下文 数据的装置;用于在所述第一会话期间使用所述UE安全上下文数据用于与所述无线网络进行安全 通信的装置;用于在所述第一会话终止后即刻将所述UE安全上下文数据存储于所述UE处的装置;及用于针对所述第一会话之后的第二会话使用所述所存储的UE安全上下文数据用于所 述UE向所述无线网络注册的装置。
15.根据权利要求14所述的设备,其中所述用于使用所述所存储的UE安全上下文数据 用于注册的装置包含用于基于所述所存储的UE安全上下文数据针对注册消息执行完整性保护的装置,及 用于将所述经完整性保护的注册消息发送到所述无线网络用于所述UE向所述无线网 络注册的装置。
16.根据权利要求14所述的设备,其中所述用于使用所述所存储的UE安全上下文数据 用于注册的装置包含用于基于所述所存储的UE安全上下文数据对注册消息的信息进行加密的装置,及 用于将包含所述经加密的信息的所述注册消息发送到所述无线网络用于所述UE向所 述无线网络注册的装置。
17.根据权利要求14所述的设备,其中所述用于使用所述所存储的UE安全上下文数据 用于注册的装置包含用于基于所述所存储的UE安全上下文数据中的加密密钥对注册消息的信息进行加密 的装置,用于基于所述所存储的UE安全上下文数据中的完整性密钥针对所述注册消息执行完 整性保护的装置,及用于将包含所述经加密的信息的所述经完整性保护的注册消息发送到所述无线网络 用于所述UE向所述无线网络注册的装置。
18.一种计算机程序产品,其包含 计算机可读媒体,其包含用于致使至少一个计算机针对第一会话与无线网络执行安全程序且在用户设备(UE) 处产生UE安全上下文数据的代码,用于致使至少一个计算机在所述第一会话期间使用所述UE安全上下文数据用于与所 述无线网络进行安全通信的代码,用于致使所述至少一个计算机在所述第一会话终止后即刻将所述UE安全上下文数据 存储于所述UE处的代码,及用于致使所述至少一个计算机针对所述第一会话之后的第二会话使用所述所存储的 UE安全上下文数据用于所述UE向所述无线网络注册的代码。
19.一种用于无线通信的方法,其包含针对第一会话与用户设备(UE)执行安全程序且在网络实体处获得UE安全上下文数据;在所述第一会话期间使用所述UE安全上下文数据用于与所述UE进行安全通信; 在所述第一会话终止后即刻将所述UE安全上下文数据存储于所述网络实体处;及 针对所述第一会话之后的第二会话使用所述所存储的UE安全上下文数据用于所述UE 的注册。
20.根据权利要求19所述的方法,其中所述使用所述所存储的UE安全上下文数据用于 注册包含接收由所述UE进行完整性保护的至少一条消息,及基于所述所存储的UE安全上下文数据针对所述至少一条消息执行完整性检查。
21.根据权利要求19所述的方法,其中所述使用所述所存储的UE安全上下文数据用于 注册包含接收由所述UE进行完整性保护的注册消息,及基于所述所存储的UE安全上下文数据中的完整性密钥针对所述注册消息执行完整性 检查。
22.根据权利要求19所述的方法,其中所述使用所述所存储的UE安全上下文数据用于 注册包含接收由所述UE进行加密的至少一条消息,及基于所述所存储的UE安全上下文数据对所述至少一条消息进行解密。
23.根据权利要求19所述的方法,其中所述使用所述所存储的UE安全上下文数据用于 注册包含从所述UE接收注册消息,及基于所述所存储的UE安全上下文数据中的加密密钥对所述注册消息的至少一个参数 进行解密。
24.根据权利要求19所述的方法,其中所述使用所述所存储的UE安全上下文数据用于 注册包含从所述UE接收注册消息,基于所述所存储的UE安全上下文数据中的加密密钥对所述注册消息的至少一个参数 进行解密,及基于所述所存储的UE安全上下文数据中的完整性密钥针对所述注册消息执行完整性 检查。
25.根据权利要求19所述的方法,其中所述与所述UE执行所述安全程序包含与所述 UE执行验证及密钥约定(AKA)程序。
26.根据权利要求19所述的方法,其中所述所存储的UE安全上下文数据包含用于加密 的加密密钥(CK)、用于完整性保护的完整性密钥(IK)、密钥集识别符(KSI)及临时UE识别 码中的至少一者。
27.一种用于无线通信的设备,其包含至少一个处理器,其经配置以针对第一会话与用户设备(UE)执行安全程序且在网络 实体处获得UE安全上下文数据,在所述第一会话期间使用所述UE安全上下文数据用于与 所述UE进行安全通信,在所述第一会话终止后即刻将所述UE安全上下文数据存储于所述 网络实体处,且针对所述第一会话之后的第二会话使用所述所存储的UE安全上下文数据 用于所述UE的注册。
28.根据权利要求27所述的设备,其中所述至少一个处理器经配置以接收由所述UE进 行完整性保护的注册消息,且基于所述所存储的UE安全上下文数据针对所述注册消息执 行完整性检查。
29.根据权利要求27所述的设备,其中所述至少一个处理器经配置以从所述UE接收包 含经加密的信息的注册消息,且基于所述所存储的UE安全上下文数据对所述注册消息中 的所述经加密的信息进行解密。
30.根据权利要求27所述的设备,其中所述至少一个处理器经配置以从所述UE接收包 含经加密的信息的注册消息,基于所述所存储的UE安全上下文数据中的加密密钥对所述 注册消息中的所述经加密的信息进行解密,且基于所述所存储的UE安全上下文数据中的 完整性密钥针对所述注册消息执行完整性检查。
全文摘要
本发明描述用于使用完整性保护及/或加密执行向无线网络注册的技术。用户设备(UE)可针对第一会话与所述无线网络执行安全程序,且可在所述UE处产生UE安全上下文数据。所述UE安全上下文数据可包括用于加密的加密密钥、用于完整性保护的完整性密钥、临时UE识别码及/或其它信息。所述UE可在所述第一会话期间使用所述UE安全上下文数据用于与所述无线网络进行安全通信。所述UE可在所述第一会话终止后即刻存储所述UE安全上下文数据。此后,所述UE可针对所述第一会话之后的第二会话使用所述所存储的UE安全上下文数据用于向所述无线网络注册。所述UE可基于所述所存储的UE安全上下文数据针对用于注册的消息执行完整性保护及/或加密。
文档编号H04L29/06GK102132541SQ200980133541
公开日2011年7月20日 申请日期2009年8月27日 优先权日2008年8月27日
发明者彼得·安东尼·巴拉尼, 拉克什米拉特·R·东代提 申请人:高通股份有限公司