针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置与流程
本公开涉及一种用于在无线网络上的传送信令的方法和装置。更具体地,本公开涉及一种针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置。
背景技术:
目前,无线通信设备(诸如ue)使用无线信号来与其它通信设备进行通信。在第三代合作伙伴计划(3gpp)中,文件sp-170382“newsid:studyonsystemenhancementsforprovisionofaccesstorestrictedlocaloperatorservicesbyunauthenticatedues(parlos)(新sid:对提供由未认证ue对受限本地运营商服务的接入的系统增强的研究)”中的研究项目被同意。此研究目的旨在满足3gppsa1要求以便即使ue未被成功地认证也给ue提供对受限本地运营商服务的网络接入。用于提供对此类本地服务的接入的能力已可供美国运营商使用,但是仅在专有基础上进行。
附图说明
为了描述可用来获得本公开的优点和特征的方式,通过参考本公开的被图示在附图中的具体实施例来呈现本公开的描述。这些附图仅描绘本公开的示例实施例,因此不应被认为限制其范围。为了清楚附图可能已被简化并且不一定按比例绘制。
图1是根据可能的实施例的示例系统的框图;
图2是根据可能的实施例的图1的示例系统的示例信号流程图;
图3a和图3b是根据可能的实施例的图1的示例系统的另一示例信号流程图;
图4图示根据可能的实施例的用于受限本地运营商服务(rlos)安全的密钥层次;
图5图示根据可能的实施例的图示装置的操作的示例流程图;
图6图示根据可能的实施例的图示另一装置的操作的示例流程图;以及
图7是根据可能的实施例的示例装置的框图。
具体实施方式
实施例提供用于针对受限本地运营商服务的安全的方法和装置。根据可能的实施例,可发送受限本地运营商服务指示和与受限本地运营商服务相关联的安全能力中的至少一个。可接收包括对称根密钥的非接入层密钥交换请求。可利用公钥对对称根密钥进行加密。可确认非接入层密钥交换请求。可利用对称根密钥导出非接入层安全密钥。可利用对称根密钥导出用于用户平面和无线电资源控制的无线电接口密钥。
实施例还提供用于针对受限本地运营商服务的安全的另一方法和装置。根据可能的实施例,可接收受限本地运营商服务指示、与受限本地运营商服务相关联的安全能力和公钥中的至少一个。可基于对受限本地运营商服务指示的至少一个的接收来创建对称根密钥。可使安全能力与受限本地运营商服务和公钥相关联。可发送包括对称根密钥的非接入层密钥交换请求。可利用公钥对对称根密钥进行加密。
图1是根据可能的实施例的系统100的示例框图。系统100可包括用户设备(ue)110、网络实体120(诸如基站)和网络130及互联网协议(ip)多媒体核心网络子系统(ims)140。ue110可以是无线广域网设备、用户设备、无线终端、便携式无线通信设备、智能电话、蜂窝电话、翻盖电话、个人数字助理、个人计算机、选择性呼叫接收器、物联网(iot)设备、平板计算机、便携式计算机或能够在无线网络上发送和接收通信信号的任何其它用户设备。网络实体120可以是无线广域网基站,可以是节点b,可以是增强型节点b(enb),可以是新无线电节点b(gnb),诸如5g节点b,可以是非授权网络基站,可以是接入点,可以是基站控制器,可以是网络控制器,可以是传输/接收点(trp),并且可以是可在ue110与网络130之间提供无线接入的任何网络实体。
网络130可包括能够发送和接收无线通信信号的任何类型的网络。例如,网络130可包括无线通信网络、蜂窝电话网络、基于时分多址(tdma)的网络、基于码分多址(cdma)的网络、基于正交频分多址(ofdma)的网络、长期演进(lte)网络、基于第三代合作伙伴计划(3gpp)的网络、卫星通信网络、高空平台网络、因特网和/或其它通信网络。
在操作中,ue110可经由网络实体120与网络130进行通信。例如,ue110可在控制信道上发送和接收控制信号并且在数据信道上发送和接收用户数据信号。网络130还可与ims140进行通信,所述ims140可包括服务呼叫会话控制功能(s-cscf)144、询问呼叫会话控制功能(i-cscf)148、代理呼叫会话控制功能(p-cscf)142、应用服务器(as)146。网络130还可包括移动性管理实体(mme)132、临时订户服务器(tss)138和归属订户服务器(hss)139。
在以下实施例中,术语enb/gnb可被用于基站,但是基站可用任何其它无线接入节点(ran)(诸如接入点(ap)、新无线电(nr))替换。另外,所提出的在下面描述的系统100和方法可被应用于其它类型的网络,包括ieee802.11变体、全球移动通信系统(gsm)、通用分组无线电服务(gprs)、通用移动电信服务(umts)、lte变体、码分多址(cdma)2000、蓝牙、zigbee(紫峰)、sigfoxx等。所描述的实施例也可适用于下一代移动网络,参见3gppts23.501和3gppts23.502,其中例如mme132可映射到接入和移动性管理功能(amf)135,并且可部分地映射到amf135以便终止非接入层(nas)稀疏模式(sm)协议,会话管理功能(smf)/用户平面功能(upf)可映射到服务网关(sgw)137或分组数据网络网关(pgw)136,并且hss139可映射到统一数据管理(udm)/用户数据储存库(udr)。新逻辑功能实体tss138可以是独立的或者可与mme132、hss139或认证、授权和计费(aaa)服务器或甚至amf135、smf、udm、udr或网络中的任何其它涉及的节点搭配。在以下实施例中,ue110可指代移动设备,但是它还可能是没有通用移动电信sim(usim)或通用订户身份模块(usim)/sim的移动站(ms)或移动设备。当需要时,ue110、ms或移动实体(me)可被假定成被预先配置有公开和私密密钥对或者能够基于内部逻辑来生成它们。
本文公开的实施例可满足3gpp安全要求,以便即使ue110未被成功地认证也向ue110提供对网络130的接入以进行受限本地运营商服务。美国运营商已在专有基础上获得了提供对此类本地服务的接入的能力。然而,lte的广泛部署和lte语音(volte)的相应引入产生对于允许ue110在不一定被成功地认证以便接入的情况下接入这些服务的标准化机制的需求,所述服务诸如拨打特定数字串和接入强制门户。
系统100可基于运营商策略和地区监管要求允许可能未经认证的ue110接入rlos。系统100可识别到受限本地运营商服务的起源,诸如拨号数字和强制门户。系统100可确定rlos是可用的。系统100可允许由未经认证的ue110接入受限运营商服务。系统100可对信息收集收费。系统100能够对安全考虑负有责任。实施例提供用于ue110在没有网络运营商的任何凭证的情况下附着到网络130的解决方案,包括ue110与网络130之间的安全关系的建立。
如技术规范(ts)23.401[2]中所描述的演进型分组系统(eps)中的当前注册过程不允许ue110在没有网络130凭证的情况下附着。如果网络130不能找到ue110的订阅,例如服务gprs支持节点(sgsn)、mme132或amf135不能从归属位置寄存器(hlr)或hss139中检索到ue110的订阅,则来自ue110的附着/注册请求可被拒绝。另外,如果ue110不能提供对由网络130发送的询问的正确响应,则ue110可被拒绝进行进一步信令和任何通信。相同的构思也适用于如ts23.501[3]中规定的下一代系统。
为了允许ue110接入受限运营商服务,从而仅针对受限服务执行成功附着过程,尽管网络130不具有ue110的订阅并且ue110不拥有有效的通用订户身份模块(u)sim凭证,但是网络130和ue110将需要建立某个安全级别。为了同样提供ue110与网络130之间的通信的最小安全级别即机密性,若干增强功能和变化是必需的。
实施例可在不使用网络130中的ue110的订阅的情况下并在不用在ue110中保持有效的(u)sim凭证的情况下在ue110与网络130之间建立安全。这基于ue110的公钥和网络130(诸如mme132)的公钥的交换。使用公钥,ue110和网络130可为至少非接入层(nas)、接入层(as)、无线电资源控制(rrc)完整性保护和/或机密性保护导出另外的凭证。as可在所公开的实施例内与用户平面(up)互换地使用并且可描述用于在ue110与网络网关(诸如pgw136或upf)之间交换的用户数据(诸如分组数据单元(pdu)或ip分组)的连接。
rlos和/或parlos可描述由网络运营商为不具有用于认证的有效的/足够的订阅信息的ue110所提供的数据服务。rlos可以是例如到特定门户的ip连接或到呼叫中心的语音服务。
图2图示根据可能的实施例的图1的示例系统的示例信号流程图200。特别地,图2在高级别上示出在附着过程中广播mme132的公钥并发送ue110的公钥或稍后在不同的消息中交换密钥的两种解决方案变体。在205中,ue110不能被附着到任何公用陆地移动网络(plmn),并且不能具有任何有效的通用集成电路卡(uicc)/usim或者不能具有足够的凭证以附着到任何可用的plmn。ue110可执行plmn的选择并且ue110可向此plmn发起对rlos的附着/注册请求。
ue110可向mme132或amf135发送nas附着或注册请求消息。在可能的实施例中,ue110可能已在广播消息中或在广播系统信息(sib)内接收到mme132的公钥,然后可将ue110的公钥包括在nas附着消息中。
ue110可在附着请求消息中包括给网络130的附着过程是针对受限服务的指示,诸如rlos指示。基于此rlos指示,网络130(诸如mme132或amf135)可知道ue110不能在网络130可联系的任何hss139/hlr中具有订阅配置文件。换句话说,网络130可确定ue110缺少任何有效的凭证,诸如密钥,其将允许对网络130的资源进行“正常”认证接入,即至少在ue110被允许ip接入之前不可能有可用的凭证。在较高级别(诸如应用级)上,ue110可能具有凭证,但是一旦ue110已获得到受限服务的ip连接,就可使用/交换ue110。
基于rlos指示,网络130(诸如mme132或amf135)可确定要提供对特定受限服务的接入。另外,基于rlos指示,网络130可根据附着/注册请求消息来确定如何处理ue110的标识符,诸如ue110的标识(id)。网络130确定由ue110提供的ue110的if不能被用于来自hss139/hlr/udm的订阅检索。替代地,网络130可确定发起用于与ue110进行凭证交换的信令。凭证可被稍后用于至少nas、as、rrc完整性保护和/或机密性保护。
在210中,基于所接收到的附着请求消息的类型或指示(诸如rlos附着过程),如果未像205中所描述的那样交换mme132的公钥和ue110的公钥,则按照图3a和图3b中的另一实施例,可在mme132接收到nas附着请求消息之后交换两个公钥。首先mme132可向ue110发送nas消息,包括mme132的公钥,并且ue110可应答并提供ue110的公钥。ue110的响应消息可能已经被用mme132的公钥加密。在另一实施例中并且如图3a和图3b中详细地描述的,可用公钥生成新对称密钥并进行交换加密。这个新对称密钥也可用于在ue110和mme132中导出其它密钥以用于无线电接口上的加密和完整性。
210中的信令交换可基于nas信令协议。可能的实施例可使用现有的nas安全模式命令(scm)消息并且可为了rlos接入用相关公钥和对称密钥交换来增强那些消息。在另一可能的实施例中,可为与rlos接入有关的凭证交换定义新nas消息。
在215中,mme132可为了rlos对网络130中的其它功能元件(诸如sgw137和pgw136)或者对smf/upf执行承载建立过程、分组数据网络(pdn)连接建立或协议数据单元(pdu)会话建立。这些功能元件对于正在提供受限服务的rlso服务来说可以是特定的。
ue110可能已针对rlos接入的类型向网络130提供了(诸如在205中)另外的指示。网络130(诸如mme132、amf135)可在确定要建立什么类型的rlso承载时考虑这个指示。
在220中,mme132可发送用ue110的公钥加密或者用在210中为了nas安全而导出的ue110的对称密钥加密的附着接受消息或注册接受消息。在具有sgw137/pgw136的网络130中成功地建立pdn连接、pdu会话或承载时,网络130可向网络实体120提供ue110的接入层(as)安全上下文。网络实体120可使用此as安全上下文来在无线电uu接口之上建立安全连接。
虽然以上过程可涵盖所描述的两个用例,但是在广播mme132的公钥情况下的用例可具有如下假定:在区域中存在仅一个专用mme132并且网络实体120可能总是为rlos选择同一mme132,否则在所广播的mme132的公钥与另一个mme132中的mme132的公钥之间存在失配。
在可能的实施例中,可在单独的过程中执行密钥/凭证交换,如图3a和图3b中详细地描述的。然而,可同样在使用广播mme132的公钥并在附着请求中发送ue110的公钥的实施例时以类似的方式完成对称密钥的交换。
图3a和图3b是根据可能的实施例的图1的示例系统的另一示例信号流程图300。在305中,ue110不能被附着到任何plmn并且不能具有任何uicc/usim,或者没有有效的凭证来附着到任何可用的plmn。ue110可执行plmn选择并且可执行到此plmn的未经认证的附着。ue110可向网络130(诸如mme132或amf135)发送nas附着请求消息或注册请求。如果网络实体120广播mme132的公钥,则ue110可将ue110的公钥包括在nas附着请求中。ue110可在附着请求消息中包括给网络130的附着过程是针对受限服务的指示,诸如rlos指示,类似于图2中图示的信号流程图200中的205。
由于rlos接入,ue110可生成ue110的公钥。ue110可将ue110的公钥包括在给网络130的附着请求消息中。可选地,ue110可包括预先配置的公钥证书。如果这种机制被启用,则网络130可检查ue110的安全证书的证书的有效性。ue110可在附着消息中的ue110的id字段中使用空字段或任意数字。不能在此过程期间在网络130处使用ue110的id,因为在网络130中没有相关订阅。因此,如果附着请求消息中的ue110的id是空的,则mme132不可能需要在单独的信令中请求ue110的id。
在310中,mme132可检测对rlos的请求并且不能设法对ue110进行认证或者检查hss139是否有订阅配置文件。在尚未交换公钥(诸如广播中的mme132的公钥和nas附着中的ue110的公钥)的情况下,mme132可执行密钥交换过程,其可以与nas安全模式命令(smc)过程类似。mme132可向ue110发送包括mme132的公钥的nas密钥交换请求。如果ue110已经将ue110的公钥包括在附着请求消息中,则mme132可使用ue110的公钥来完整性和机密性保护到ue110的密钥交换请求消息。可选地,网络130(诸如mme132)可包括安全证书。如果ue110已被预先配置有对应的证书,则ue110可检查网络130的证书有效性。
在315中,ue110可用包括ue110的公钥和ue110的安全能力的密钥交换响应消息进行响应。如果ue110已经在附着请求消息中提供了ue110的公钥,则ue110可省略在密钥交换响应消息中发送ue公钥。可用mme132的公钥对此消息进行加密。ue110的安全能力可包括ue110支持什么种类的算法和密钥导出功能(kdf)。可在ue110中预先配置私密密钥和ue110的公钥或者可在ue110中临时生成它们。
在320中,mme132可基于ue110的安全能力来生成新对称kroot密钥。然后可将此对称密钥用作新主/根密钥。关于如何可从kroot密钥导出knas和kenb密钥可能有若干种可能性。kroot密钥可以已经是nasknas密钥或需要用来导出knas密钥的上级kasme密钥。如果kroot密钥与kasme密钥类似则可以与在传统演进型分组系统(eps)中类似的方式导出kenb密钥(参见33.401[4]),然而在kroot密钥可与knas密钥类似的情况下,可从knas密钥导出kenb密钥。以下过程可假定kroot密钥可与kasme密钥类似,但是其它选项也是可能的。
可选地,ue110和网络130可在315和320期间交换预先配置的公开安全证书或标识证书。此类证书可由网络130和ue110使用来验证公钥的有效性和/或所有权。这可在假定提供了公钥基础设施(pki)方案时被使用,诸如还可由ue110的制造商在ue110中提供,或者可在ip连接可用时经由软件更新在ue110中进行更新。网络130(诸如mme132或aaa服务器)可连接到pki机构以验证由ue110提供的证书。
在325中,mme132可在用ue110的公钥加密或者若可用的话用先前导出的对称密钥加密的另一nas密钥交换请求中将新根kroot密钥提供给ue110。
在330中,mme132可存储所指配的kroot密钥并且可导出knas密钥和kenb密钥。knas密钥可被用于nas协议消息的完整性保护和机密性。kenb密钥可用于进一步导出用于网络实体120中的as和rrc的密钥,如355中所说明的。在335中,ue110可存储所指配的kroot密钥并且可从kroot密钥导出knas密钥和kenb密钥。在330中说明knas密钥和kenb密钥的用法。在340中,ue110可用可用knas密钥进行加密的密钥交换响应消息对325做出响应。在345中,mme132可为了rlos对sgw137/pgw136执行承载建立过程,其中图3a和图3b仅示出sgw137。mme132可基于在305期间来自ue110的指示来确定执行345。例如,ue110可能已指示“rlos接入”和/或某个类似的指示。
mme132可导出ue110的临时id并且可将此id用于在345中与sgw137/pgw136建立pdn连接或pdu会话或承载。ue的临时id110可具有国际移动订户标识(imsi)或全球唯一临时标识(guti)的格式。其它cn实体(诸如sgw137和pgw136)可使用ue110的这个临时id作为用于pdn连接或承载的参考。对于网络130内的所有后续信令,ue110的临时id可被用作参考。ue110的临时id可包含mme132的id,诸如全球唯一移动性管理实体标识符(gummei)。
在350中,mme132可向网络实体120发送接入层安全模式命令,其可包括kenb。mme132可将此消息/命令包括在将as上下文安装在网络实体120中的s1ue上下文建立消息内。mme132和网络实体120可将ue110的临时id用作信令交换中的参考。
在355中,ue110可从kenb密钥导出krrcint密钥、krrcenc密钥、kupint密钥、kupenc密钥。在360中,网络实体120可从kenb密钥导出krrcint密钥、krrcenc密钥、kupint密钥和kupenc密钥。在365中,网络实体120可向mme132确认assmc。在370中,加密可在lte-uu无线电接口上启动。在375中,mme132可向ue110发送用knas密钥加密的附着接受消息。附着接受消息可包含由网络130指配的ue110的临时id以及可选地ue的永久id。ue110可在针对rlos的注册期间在每个后续nas请求消息处使用ue110的临时id。mme132可使用ue110的临时id来找到针对ue110的移动性管理(mm)上下文。
在380中,ue110现在是“rlos附着”,即ue110具有ip连接并且可接入rlos。可执行ue110与网络130(诸如mme132)之间的信令以交换初始凭证,诸如ue110的公钥和mme132的公钥。附加地,可在ue110与网络130之间交换附加凭证,诸如根密钥或主密钥,其可以是对称密钥。可在ue110中和网络130中(诸如在mme132中或在网络实体120中)自主地使用附加凭证(诸如根密钥或主密钥)来确定用于针对nas消息(诸如nas密钥)、rrc消息(诸如rrc密钥)和接入层数据(诸如as密钥或up密钥)的对应完整性保护和/或机密性保护的“导出凭证”。
图4图示根据可能的实施例的用于rlos安全的密钥层次400。如在图3b中的355中所描述的,mme132可基于ue110的安全能力来生成新对称kroot密钥。然后可将此对称密钥用作新主/根密钥。关于如何从kroot密钥导出knas密钥和kenb密钥可存在若干种可能性。kroot密钥可以已经是nas密钥knas或需要用来导出knas密钥的上级kasme密钥。如果kroot密钥与kasme密钥类似,则可以与在传统eps中类似的方式导出kenb密钥(参见33.401[4]),然而在kroot密钥与knas密钥类似的情况下,将可从knas密钥导出kenb密钥。可假定kroot密钥与kasme密钥类似,但其它选项也是可能的。
实施例可提供系统100和在ue110与网络130(诸如mme132或amf135)之间交换初始凭证(诸如公钥)的方法,以便生成并安全地转移附加安全凭证,诸如对称根密钥,以用于进一步导出用于至少nas、接入层(as)和/或rrc完整性保护和/或机密性保护的导出凭证。可存在ue110和mme132可交换公钥的两种方式。可广播mme132的公钥,并且ue110可将其公钥包括在nas附着请求中。mme132可发起与nassmc类似的新nas密钥交换过程,但是仅为了交换公钥。例如,mme132可将mme132的公钥发送到ue110并且ue110可用已经用mme132的公钥潜在地加密的ue110的公钥对mme132进行应答。ue110可将其安全能力提供给mme132。mme132可基于ue110的安全能力来创建对称根密钥。mme132可在nas密钥交换请求中将用ue110的公钥加密的新对称根密钥发送到ue110。在kroot密钥不是knas密钥的情况下,ue110和mme132可从根密钥导出mme132的knas密钥、kenb密钥。ue110可确认已经用对称密钥加密的请求。ue110和mme132可正常地导出用于up和rrc的无线电接口密钥。
图5图示根据可能的实施例的图示装置的操作的示例流程图500。在可能的实施例中,流程图500可由ue110实现。在510中,可发送rlos指示和与rlos相关联的安全能力中的至少一个。
在520中,可接收包括对称根密钥的nas密钥交换请求。可用公钥对对称根密钥进行加密。在530中,可确认nas密钥交换请求。在540中,可用对称根密钥导出nas安全密钥。在550中,可用对称根密钥导出用于up和rrc的无线电接口密钥。
在可能的实施例中,可接收广播系统信息消息。公钥可以是第一公钥并且广播系统信息可包括第一公钥,可发送nas请求消息,诸如nas附着请求,包括与rlos相关联的安全能力和第二公钥中的至少一个。在可能的实施例中,可用第一公钥对第二公钥进行加密。在可能的实施例中,可在第一nas请求消息(诸如nas密钥交换请求消息)中接收第一公钥,并且可响应于接收到第一公钥而接收第二nas消息,诸如nas密钥交换响应消息,包括与rlos相关联的安全能力和第二公钥中的至少一个。在可能的实施例中,可用第一公钥对第二公钥进行加密。在可能的实施例中,可在发送第二nas请求消息之前发送第三nas请求消息,诸如nas附着请求,包括rlos指示。
图6图示根据可能的实施例的图示另一装置的操作的示例流程图600。在可能的实施例中,流程图600可由mme132实现。在610中,可接收rlos指示、与rlos相关联的安全能力和公钥中的至少一个。在可能的实施例中,装置是ue110。在620中,可基于rlos指示、与rlos相关联的安全能力和公钥中的至少一个的接收来创建对称根密钥。在630中,可发送包括对称根密钥的nas密钥交换请求,所述对称根密钥被用公钥加密。
在可能的实施例中,可接收包括rlos指示、与rlos相关联的安全能力和公钥中的至少一个的nas附着请求。在可能的实施例中,可接收包括用于nas密钥交换请求的公钥的确认。在可能的实施例中,可基于对称根密钥来导出用于up和rrc的无线电接口密钥,并且可发送这些无线电接口密钥。在可能的实施例中,可基于对称根密钥来导出nas安全密钥。在可能的实施例中,可用nas安全密钥对nas附着接受消息进行加密。在可能的实施例中,可发送经加密的nas附着接受消息。
在可能的实施例中,公钥可以是第一公钥,响应于发送第一公钥,可接收包括与rlos相关联的安全能力和第二公钥中的至少一个的第一nas消息和第二nas消息。在可能的实施例中,可接收用第一公钥加密的第二公钥。在可能的实施例中,可用第二公钥对对称根密钥进行加密。
应该理解的是,不管如图中所示的特定步骤如何,可根据实施例而执行各种附加或不同的步骤,并且可根据实施例而重新布置、重复或者完全消除这些特定步骤中的一个或多个。另外,可在执行其它步骤的同时在进行或连续基础上同时地重复所执行的步骤中的一些。此外,可通过不同的元件或者在所公开的实施例的单个元件中执行不同的步骤。
图7是根据可能的实施例的装置700的示例框图,所述装置700诸如ue110、网络实体120或本文公开的任何其它无线和非无线通信设备。装置700可包括外壳710、耦合到外壳710的控制器720、耦合到控制器720的音频输入和输出电路730、耦合到控制器720的显示器740、耦合到控制器720的收发器750、耦合到收发器750的天线755、耦合到控制器720的用户接口760、耦合到控制器720的存储器770以及耦合到控制器720的网络接口780。装置700可执行所有实施例中描述的方法。
显示器740可以是取景器、液晶显示器(lcd)、发光二极管(led)显示器、等离子体显示器、投影显示器、触摸屏或显示信息的任何其它设备。收发器750可包括发射器和/或接收器。音频输入和输出电路730可包括麦克风、扬声器、换能器或任何其它音频输入和输出电路。用户接口760可包括键区、键盘、按钮、触摸板、操纵杆、触摸屏显示器、另一附加显示器或用于在用户与电子设备之间提供接口的任何其它设备。网络接口780可以是通用串行总线(usb)端口、以太网端口、红外发射器/接收器、ieee1394端口、wlan收发器,或可将装置连接到网络、设备或计算机并且可发送和接收数据通信信号的任何其它接口。存储器770可包括随机存取存储器、只读存储器、光学存储器、固态存储器、闪速存储器、可移动存储器、硬盘驱动器、高速缓存,或可耦合到装置的任何其它存储器。
装置700或控制器720可以实现任何操作系统,诸如microsoft
在作为ue110的装置700的操作的可能的实施例中,收发器750可例如向mme132发送rlos指示和与rlos相关联的安全能力中的至少一个。收发器750可进一步接收包括对称根密钥的nas密钥交换请求,所述对称根密钥被用公钥加密。收发器750可进一步确认nas密钥交换请求。控制器720可用对称根密钥导出nas安全密钥。控制器720可用对称根密钥进一步导出用于up和rrc的无线电接口密钥。
在可能的实施例中,公钥是第一公钥,收发器750可进一步接收广播系统信息消息,所述广播系统信息包括第一公钥,并且可进一步包括nas请求消息,诸如nas附着请求,包括与rlos相关联的安全能力和第二公钥中的至少一个。在可能的实施例中,控制器720可用第一公钥进一步对第二公钥进行加密。在可能的实施例中,收发器750可在第一nas请求消息(诸如nas密钥交换请求消息)中进一步接收第二公钥,并且可响应于接收到第一公钥而进一步发送第二nas消息,诸如nas密钥交换响应消息,包括与rlos相关联的安全能力和第二公钥中的至少一个。在可能的实施例中,控制器720可用第一公钥进一步对第二公钥进行加密。在可能的实施例中,收发器750可在发送第二nas请求消息之前进一步发送第三nas请求消息,诸如nas附着请求,包括rlos指示。
在作为mme132的装置700的操作的可能的实施例中,收发器750可例如从ue110接收rlos指示、与rlos相关联的安全能力和公钥中的至少一个。控制器720可基于rlos指示、与rlos相关联的安全能力和公钥中的至少一个的接收来创建对称根密钥。收发器750可进一步发送包括对称根密钥的nas密钥交换请求,所述对称根密钥被用公钥加密。
在可能的实施例中,收发器750可进一步接收包括rlos指示、与rlos相关联的安全能力和公钥中的至少一个的nas附着请求。在可能的实施例中,收发器750可进一步接收包括用于nas密钥交换请求的公钥的确认。在可能的实施例中,控制器720可基于对称根密钥进一步导出用于up和rrc的无线电接口密钥,其中,收发器750可发送这些无线电接口密钥。在可能的实施例中,控制器720可基于对称根密钥进一步导出nas安全密钥,并且可用该nas安全密钥对nas附着接受消息进行加密,同时收发器750可发送经加密的nas附着接受消息。
可在编程处理器上实现本公开的方法。然而,还可以在通用或专用计算机、编程微处理器或微控制器以及外围集成电路元件、集成电路、硬件电子或逻辑电路(诸如分立元件电路)、可编程逻辑器件等上实现控制器、流程图和模块。通常,上面驻留有能够实现各图中所示的流程图的有限状态机的任何设备可以用于实现本公开的处理器功能。
虽然已用本公开的具体实施例描述了本公开,但是显然的是,许多替代方案、修改和变化对于本领域的技术人员而言将是显而易见的。例如,可以在其它实施例中互换、添加或者替换实施例的各种组件。另外,每个图的所有元件不是所公开的实施例的操作所必需的。例如,将使得所公开的实施例的本领域的普通技术人员能够通过简单地采用独立权利要求的要素来做出并使用本公开的教导。因此,如本文所阐述的本公开的实施例旨在为说明性的,而不是限制性的。可以在不脱离本公开的精神和范围的情况下做出各种变化。
在本文件中,诸如“第一”、“第二”等这样的关系术语可以仅用于将一个实体或动作与另一实体或动作区分开,而不一定在此类实体或动作之间要求或者暗示任何实际的这种关系或顺序。后面有列表的短语“……中的至少一个”、“从……的组中选择的至少一个”或“从……中选择的至少一个”被定义成意指列表中的元素中的一个、一些或全部,但不一定是全部。术语“包含”、“含有”、“包括”或其任何其它变化旨在涵盖非排他性包括,使得包括元素的列表的过程、方法、物品或装置不仅包括那些元素,还可以包括未明确地列举或者为这样的过程、方法、物品或装置所固有的其它元素。在没有更多约束的情况下,继之以“一”、“一个”等的元素不排除在含该元素的过程、方法、物品或装置中存在附加相同的元素。另外,术语“另一”被定义为至少第二或更多。如本文所使用的术语“包括”、“具有”等被定义为“含有”。此外,背景技术部分被书写为发明人自己在提交时对一些实施例的上下文的理解,并且包括本发明人自己对现有技术的任何问题和/或本发明人自己的工作中遇到的问题的认识。
- 还没有人留言评论。精彩留言会获得点赞!