共享电路交换安全性上下文的制作方法

专利名称：共享电路交换安全性上下文的制作方法
技术领域：
概括地说，下面的描述涉及无线通信，具体地说，涉及安全性管理。
背景技术：
无线通信系统被广泛地部署以提供各种类型的通信内容，例如语音、数据、视频等等，无论用户位于哪里(例如，在建筑物内或外)并且无论用户是静止地或移动的(例如，在车辆中、在步行)都传送信息。这些系统可以是能够通过共享可用的系统资源(例如带宽和发射功率)支持与多个用户的通信的多址系统。多址系统包括频分多址(FDMA)系统、时分多址(TDMA)系统、码分多址(CDMA)系统、正交频分多址(OFDMA)系统、第三代合作伙伴计划(3GPP)长期演进(LTE)系统等等。通常，无线多址通信系统可以同时支持多个移动设备的通信。每个移动设备可以通过前向链路和反向链路上的传输与一个或多个基站进行通信。前向链路(或下行链路)指的是从基站到移动设备的通信链路。反向链路(或上行链路)指的是从移动设备到基站的通信链路。这些通信链路可以通过单输入单输出(SISO)系统、多输入单输出(MISO)系统、多输入多输出(MMO)系统等来建立。此外，移动设备能够以对等无线网络配置的方式与其它移动设备(和/或基站与其它基站)进行通信。正交频分复用(OFDM)通信系统有效地将整个系统带宽分为多个子载波，这些子载波还可以称为频率子信道、音调或频段。对于OFDM系统，首先用特定的编码方法对要发送的数据(例如信息比特)进行编码以生成编码比特，然后将编码比特进一步分为多比特符号以便随后映射为调制符号。每个调制符号对应于由用于数据传输的特定调制方案(例如M-PSK或M-QAM)定义的单个星座图中的点。在每个可以依赖于每个频率子载波带宽的·时间间隔，可以在每个频率子载波上发送调制符号。因此，可以使用OFDM来抵抗由频率选择性衰落引起的符号间干扰(ISI)，其特征在于系统带宽上的不同衰减总量。通常，无线多址通信系统能够同时支持通过前向链路和反向链路上的传输与一个或多个基站进行通信的多个无线终端的通信。前向链路(或下行链路)指的是从基站到终端的通信链路，而反向链路(或上行链路)指的是从终端到基站的通信链路。可以通过单输入单输出、多输入单输出或者多输入多输出(MMO)系统来建立该通信链路。MIMO系统使用多个(NT个)发射天线和多个(NR个)接收天线来进行数据传输。由NT个发射天线和NR个接收天线组成的MMO信道可以分解为NS个独立的信道，这NS个独立的信道也被称作空间信道。通常，NS个独立信道中的每一个对应于一个维度。如果使用由多个发射天线和接收天线创建的额外维度，则MIMO系统可以提供改进的性能(例如更高的吞吐量和/或更大的可靠性)。MMO系统还支持时分双工(TDD)和频分双工(FDD)系统。在TDD系统中，前向链路传输和反向链路传输在相同的频率区域上，使得互易原理允许根据反向链路信道来估计前向链路信道。这使得当多个天线在接入点处是可用的时，接入点能够在前向链路上提取出发射波束成形增益。

发明内容
下面给出了一个或多个方面的简化概述以便提供对这些方面的基本理解。这个概述不是所有预期方面的泛泛概述，其并不旨在标识所有方面的关键或重要元素也不旨在描绘任意或所有方面的范围。其唯一目的是以简化的形式呈现一个或多个方面的一些概念，作为后面给出的更详细的描述的前奏。根据一个或多个方面及其相应的公开内容，结合为电路交换域服务在用户设备和MSC/VLR(移动交换中心/访问位置寄存器)之间创建或更新安全性上下文描述了多个方面。该创建或更新是基于将在移动性管理实体(MME)中的演进通用陆地无线接入网络(E-UTRAN)中使用的安全性上下文转换为用于电路交换域目标系统的安全性上下文并将其传送到MSC/VLR。当用户设备从E-UTRAN移动到GSM EDGE无线接入网络/通用陆地无线接入网络(GERAN/UTRAN)时，MME不需要执行认证和密钥协商过程来为用户设备建立共享电路交换安全性上下文。根据一个方面，给出了用于创建或更新共享电路交换域安全性上下文的方法。方 法包括从用户设备接收创建或更新电路交换安全性上下文的请求并且将当前的安全性上下文映射为电路交换安全性上下文。方法还包括向网络节点通知该电路交换安全性上下文以及将密钥集标识符传递给用户设备，其中该密钥集标识符被分配给电路交换安全性上下文。另一方面涉及包括存储器和处理器的无线通信装置。存储器保存与以下操作有关的指令从用户设备接收创建或更新电路交换安全性下上文的请求以及将当前的安全性上下文映射为电路交换安全性上下文。存储器还保存与以下操作有关的指令向网络节点通知该电路交换安全性上下文以及将密钥集标识符传递给用户设备，其中密钥集标识符被分配给电路交换安全性上下文。处理器被耦合到存储器并且被配置为执行在存储器中保存的指令。另一方面涉及更新或创建共享电路交换域安全性上下文的无线通信装置。无线通信装置包括用于从用户设备接收创建或更新电路交换安全性上下文的请求的模块和用于将当前的安全性上下文映射为电路交换安全性上下文的模块。无线通信装置还包括用于向网络节点通知该电路交换安全性上下文的模块以及将密钥集标识符传递给用户设备的模块，其中密钥集标识符被分配给电路交换安全性上下文。根据一些方面，用于接收的模块包括用于接收指示符或现有的用于电路交换域的密钥集标识符中的至少一个的模块。根据一些方面，用于接收的模块包括用于接收附着请求、跟踪区域更新消息或路由区域更新消息的模块。根据一些方面，无线通信装置包括用于从网络节点接收位置更新接受消息的模块，其中密钥集标识符包含在该位置更新接受消息中。根据一些方面，用于通知的模块包括用于使用位置更新请求消息来发送电路交换安全性上下文的模块。根据一些方面，用于映射的模块包括用于使用密钥导出函数的模块以及用于选择K_ASME、NAS COUNT或者CS PLMN ID中的至少一个作为密钥导出函数输入的模块。根据一些方面，用于映射的模块包括用于输入N0NCE_UE以及N0NCE_SGSN作为密钥导出函数的输入的模块，其中N0NCE_UE是由用户设备生成的，用于生成密钥CK和IK的模块，以及用于在附着消息或RAU接受消息中指示N0NCE_SGSN和新的CS_KSI的模块。
另一方面涉及包括计算机可读介质的计算机程序产品。该计算机可读介质是用于使计算机从用户设备接收创建或更新电路交换安全性上下文的请求的第一代码集和用于使计算机将当前的安全性上下文映射为电路交换安全性上下文的第二代码集。还包括用于使计算机向网络节点通知该电路交换安全性上下文的第三代码集和用于使计算机将密钥集标识符传递给用户设备的第四代码集，其中密钥集标识符被分配给电路交换安全性上下文。另一个方面涉及被配置为创建或更新共享电路交换域安全性上下文的至少一个处理器。至少一个处理器包括从用户设备接收创建或更新电路交换安全性上下文的请求的第一模块以及将当前的安全性上下文映射为电路交换安全性上下文的第二模块。至少一个处理器还包括向网络节点通知该电路交换安全性上下文的第三模块以及将密钥集标识符传递给用户设备的第四模块，其中密钥集标识符被分配给电路交换安全性上下文。
为了实现前述目的和有关目的，一个或多个方面包括在下文中充分描述并且在权利要求中特别指出的特征。下面的描述和附图详细阐述了一个或多个方面的某些说明性特征。然而，这些特征只表示可以使用各个方面的原理的各种方法中的一些。，将根据下面结合附图给出的详细描述了解其它优点和新颖特征，并且所公开的方面旨在包括所有这些方面及其等同形式。


图I示出了根据一个方面的提高电路交换回退安全性的系统。图2示出了根据一个方面的用于在演进分组系统中的SG上进行电路交换回退和短消息服务的过程。图3示出了根据一个方面的用于在EPS中的SG上进行电路交换回退相对于(over) SMS的组合的TA/LA过程。图4示出了根据一个方面的用于SG的安全性增强的流程。图5示出了根据一个方面的用于G(例如3G)的安全性增强的示例性流程。图6示出了根据一个方面的用于创建或更新共享电路交换域安全性上下文的方法。图7示出了根据所公开的方面中的一个或多个方面的便于创建或更新安全性上下文的系统。图8示出了根据本文呈现的各个方面的便于在电路交换回退流程中创建或更新共享电路交换域安全性上下文的系统。图9示出了根据一个方面的更新或创建共享电路交换域安全性上下文的示例性系统。图10示出了根据一个方面的无线通信系统。图11示出了根据各个方面的计划的或半计划的无线通信环境。附录A是描述了各个方面和与特定方面相关联的特征的文章一该附录被视为本申请的说明书的一部分。附录B描述了各个方面和与特定方面相关联的特征一该附录被视为本申请的说明书的一部分。
具体实施例方式现在参照附图描述各个方面。在下面的描述中，为了解释的目的，阐述了大量具体细节以提供对一个或多个方面的彻底理解。然而，显而易见的是，这些方面可以不用这些具体细节来实现。在其它实例中，公知的结构和设备以框图形式示出以帮助描述这些方面。参照图1，不出了根据一个方面提高电路交换回退安全性的系统100。系统100被配置为针对电路交换域服务在用户设备(UE)和MSC/VLR(移动交换中心/访问位置寄存器)之间创建或更新安全性上下文。系统100可以将在MME(移动性管理实体)中的E-UTRAN(演进通用陆地无线接入网络)中使用的安全性上下文转换为用于电路交换域目标系统的安全性上下文，并且将该安全性上下文传送到MSC。为了在不支持IP多媒体子系统(MS)分组交换(PS)语音服务的EPS (演进分组核心)网络中获得语音服务，UE执行电路交换(CS)回退(CSFB)。在一些CSFB过程中，组合的EPS/MSI附着可以针对CS域服务组合TA/LA更新过程，该TA/LA更新过程在UE和MSC/ VLR之间不创建或更新安全性上下文。因此，当执行从E-UTRAN到GERAN/UTRAN的CSFB时，MSC可能需要执行认证和密钥协商(AKA)过程来作为CS呼叫建立的一部分，以创建与UE的共享CS安全性上下文。除非UE和CS域在先前的GERAN/UTRAN注册或CS域呼叫中已经建立了 CS安全性上下文，否则需要上述操作。AKA过程可以显著地减慢CSFB呼叫建立。公开的方面被配置为减少在CS呼叫建立时执行AKA的需要，因此，可以显著地减少CSFB方案的呼叫建立延迟。诸如MME 102的节点与UE 104和MSC 106交换数据和传送信号。尽管在系统100中可能存在一个以上的节点、一个以上的UE 104和一个以上的MSC 106，但是为了简化的目的，仅示出了一个节点、一个UE 104和一个MSC 106。此外，尽管没有示出，但是系统中可以存在其它节点或设备(例如RNC、HSS等等)。MME 102被配置为例如在接收机组件108处接收来自UE 104的请求110以创建或更新电路交换安全性上下文。请求110可以包括特定的指示符(例如CS安全性更新指示符)和/或已经存在的用于CS域的密钥集标识符(KSI)(例如CS_KSI)。例如，可以使用KSI设置“111”(或者其它字符串或代码)来指示不存在现有的安全性上下文。根据一些方面，在附着请求中发送请求110。根据一些方面，在TAU请求消息中发送请求110。根据其它方面，在RAU请求消息中发送请求110。在与接收到请求110大概相同的时间，MME 102的映射组件112访问在E-UTRAN/EPS中使用的当前安全性上下文并且将当前的安全性上下文映射为CS安全性上下文。根据一些方面，映射组件112可以使用以K_ASME、NAS COUNT、CS PLMN ID作为输入参数的密钥导出函数(KDF)。(例如由发射机组件114)发送生成的CS安全性上下文116。根据一些方面，使用位置更新请求消息将生成的CS安全性上下文传递到MSC/VLR。(例如在接收机模块118处)MSC106接受CS安全性上下文116。分配模块120被配置为分配新的CS_KSI 122。(例如由发射模块124)将新的CS_KSI 122传递到MME 102。可以在与位置更新接受消息基本上相同的时间发送新的KSI 122。在与接收到新的CS_KSI 122大概相同的时间，MME 102 (例如使用发射组件114)将新的CS_KSI 122传输到UE 104。可以在附着接受消息、TAU接受消息或RAU接受消息中将新的CS_KSI 122发送到UE 104。在接收到CS_KSI后，UE 104以与MME 102导出CS安全性上下文的方式类似的方式导出CS安全性上下文。UE 104可以使用参数K_ASME、NAS COUNT、CS PLMN ID作为KDF的输入。使用附着或TAU接受消息接收的CS-KSI用作映射的CS安全性上下文的标识符。当UE 104使用CS回退过程从E-UTRAN移动到GERAN/UTRAN时，MME 102不需要执行AKA过程来为UE 104建立共享CS安全性上下文。以类似的方式，当在SGSN和MSC/VLR之间使用G接口时，可以应用以上操作来组合GPRS/MSI附着/RAU过程。公开的方面节省了 CS域中的AKA过程。在GPRS/MSI附着/RAU中，应当执行从GERAN/UTRAN PS安全性上下文到CS安全性上下文的映射。与上面描述的过程相反，UE应当生成目前的N0NCE_UE并且将其与旧的CS_KSI —起包含在附着或RAU请求消息中来保证生成的密钥的新鲜性。当生成密钥CK和IK时，SGSN应当生成目 前的N0NCE_SGSN并且使用N0NCE_UE和N0NCE_SGSN 二者作为KDF的输入。然后，在附着或RAU接受消息中向UE指示N0NCE_SGSN以及新的CS_KSI。系统100可以包括可操作地耦合到MME 102的存储器126。存储器126可以在MME102的外部或者可以位于MME 102内部。存储器126保存与以下操作有关的指令从用户设备接收创建或更新电路交换安全性上下文的请求，将当前的安全性上下文映射为电路交换安全性上下文，向网络节点通知该电路交换安全性上下文以及将密钥集标识符传递给用户设备，其中密钥集标识符被分配给电路交换安全性上下文。根据一些方面，与接收有关的指令包括与以下操作有关的指令接收指示符或现有的用于电路交换域的密钥集标识符中的至少一个，其中指示符是电路交换安全性更新指示符。根据一些方面，与接收有关的指令包括与以下各项有关的指令接收附着请求、跟踪区域更新消息或路由区域更新消息。根据一些方面，存储器保存与以下操作有关的其它指令从网络节点接收位置更新接受消息，其中密钥集标识符包含在位置更新接受消息中。根据一些方面，与通知有关的指令包括与以下操作有关的指令使用位置更新请求消息发送电路交换安全性上下文。在一些方面，存储器保存与以下操作有关的其它指令使用密钥导出函数以及选择1(_45]\^、嫩3 COUNT或CS PLMN ID中的至少一个作为密钥导出函数的输入。根据一些方面，存储器保存与以下操作有关的其它指令输入N0NCE_UE和N0NCE_SGSN作为密钥导出函数的输入，其中N0NCE_UE是由用户设备生成的，生成密钥CK和IK以及在附着消息或RAU接受消息中指示N0NCE_SGSN和新的CS_KSI。存储器126可以存储与安全性上下文管理相关联的协议，从而采取行动来控制在系统设备之间的通信，使得系统100可以使用存储的协议和/或算法来如本文所描述的在无线网络中实现改进的通信。应当清楚的是，本文描述的数据存储(例如存储器)组件可以是易失性存储器或非易失性存储器，或者可以是包括易失性存储器和非易失性存储器。举例说明而非限制性地，非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除ROM(EEPROM)或者闪存。易失性存储器可以包括随机存储器(RAM)，其用作外部缓存存储器。举例说明而非限制性地，RAM可以以很多形式可用，例如同步 RAM (SRAM)、动态 RAM (DRAM)、同步 DRAM (SDRAM)、双倍数据速率 SDRAM (DDR SDRAM)、增强SDRAM (ESDRAM)、同步链接DRAM (SLDRAM)以及直接Rambus RAM (DRRAM)。公开方面的存储器旨在包括而非限制于这些或其它合适类型的存储器。至少一个处理器128可以可操作性地连接到MME 102 (和/或存储器126)以帮助分析与通信网络中的安全性上下文有关的信息。处理器128可以是专用于分析和/或生成由MME 102接收的信息的处理器、控制系统100的一个或多个组件的处理器和/或既分析和生成由MME 102接收的信息又控制系统100的一个或多个组件的处理器。根据一些方面，处理器128被配置为创建或更新共享电路交换域安全性上下文。处理器128可以包括接收来自用户设备的创建或更新电路交换安全性上下文的请求的第一模块和将当前的安全性上下文映射为电路交换安全性上下文的第二模块。还包括向网络节点通知该电路交换安全性上下文的第三模块以及将密钥集标识符传递到用户设备的第 四模块，其中，密钥集标识符被分配给电路交换安全性上下文。根据一些方面，至少一个处理器包括使用密钥导出函数的第五模块和选择K_ASME、NAS COUNT或者CS PLMN ID中的至少一个作为密钥导出函数的输入的第六模块。根据其它方面，至少一个处理器包括输入N0NCE_UE和N0NCE_SGSN作为密钥导出函数的输入的第五模块，其中N0NCE_CE是由用户设备生成的。还包括生成密钥CK和IK的第六模块以及在附着消息或RAU接受消息中指示N0NCE_SGSN和新的CS_KSI的第七模块。根据一些方面，存储器和处理器可操作地附着到UE 104和/或MSC 106。考虑到本文示出和描述的示例性系统，参照各个流程图将更好地理解可以根据公开的主题执行的方法。虽然为了简化解释的目的，将方法示出并描述为一系列方框，但是应当理解和清楚的是，要求保护的主题并不受方框的编号或顺序的限制，这是因为一些方框可以按不同顺序发生和/或与本文中示出和描述的其它方框同时发生。此外，如果要实现本文描述的方法，并非描绘出的所有方框都是必需的。应当清楚的是，与方框相关联的功能可以通过软件、硬件、其组合或任意其它合适的方式(例如设备、系统、进程、组件)来实现。另外，还应当清楚的是，贯穿说明书所公开的方法能够存储在制品上以帮助向各个设备转移和传送这样的方法。本领域技术人员将理解和清楚的是，方法可以替代地表示成诸如状态图中的一系列相互关联的状态或事件。图2示出了根据一个方面用于在演进分组系统中的SG上进行电路交换回退和短消息服务的过程200。过程200可以基于组合的GPRS/MSI (通用分组无线服务/国际移动用户识别)。通过方框示意性地示出了 UE 202 (用户设备)、MME 204 (移动性管理实体)、MSC/VLR 206 (移动交换中心/访问位置寄存器)和HSS 208 (归属用户服务器)。UE 202通过发送附着请求210来发起附着过程。根据一些方面，附着请求210可以基于在TS 23. 401 [2]中规定的参数来来向MME 204发送，所述参数包括附着类型和移动站分类标记2、CS [电路交换]安全性更新指示符、CS_KSI [电路交换_密钥集标识符]消息。附着类型指示UE 202请求组合的EPS/IMSI (演进分组系统/国际移动用户识别)附着并且向网络通知该UE 202能够并且被配置为在SG上使用CS回退和/或SMS (短消息服务)。如果UE 202需要SMS服务但是不需要CSFB (电路交换回退)，则UE 202需要在组合的EPS/MSI附着请求中包含“仅SMS”的指示。参见条款5. 4. 4。CS安全性更新指示符指示UE 202希望更新或创建其CS安全性上下文。CS_KSI是当前存储在UE 202上的CS安全性上下文的KSI。
在212，执行EPS附着过程，如在TS 23. 401 [2]中规定的。如果附着请求消息包括指示UE 202请求组合的EPS/IMSI附着的附着类型，则将根据TS 23. 060 [3]中的组合的GPRS/IMSI附着过程来更新VLR (访问位置寄存器)。MME 204为用户202分配LAI (位置区域标识)。MME 204基于分配的LAI和頂SI哈希函数导出VLR号214，如在TS 23. 236 [23]中定义的。MME 204在从HSS[在EPS附着过程期间]接收到用户数据以后向新的MSC/VLR206开始位置更新过程。该操作在VLR中将MS (移动站)标记为EPS附着。MME 204向VLR发送位置更新请求216 (新的LAI、MSI、MME名称、位置更新类型、CK、IK、CS_KSI)消息。MME名称是FQDN字符串。如果接收到了 CS安全性更新指示符，则MME 204向VLR发送使用Kasme、NAS COUNTXS PLMN作为输入从EPS安全性上下文的映射的CK、IK。VLR通过存储MME名称来创建与MME 204的关联(创建SG关联218)。如果在位 置更新请求216中接收到CK、IK并且VLR希望使用新的安全性上下文，则VLR为UE创建或更新CS安全性上下文并且为新的密钥集分配KSI。VLR在CS域220中执行位置更新过程。VLR向MME 204响应出位置更新接受222(VLR TMSI、CS_KSI)。在224，通过执行如TS 23. 401 [2]中规定的步骤17到步骤26来完成EPS附着过程。附着接受消息包括TS 23. 401 [2]中规定的参数在上面的步骤3中被分配的VLR TMSI和LAI以及CS_KSI (如果MME从VLR接收到CS_KSI的话)。LAI和VLRTMSI的存在指示成功附着到CS域。如果UE 202请求不具有“仅SMS”指示的组合的EPS/MSI附着请求，并且如果网络在SG上仅支持SMS,则网络将执行IMSI附着并且MME将在附着接受消息中指示IMSI附着用于“仅SMS”。当网络接受不限制于“仅SMS”的组合的EPS/MSI附着，则网络可以向UE提供“ CSFB非优选”指示。如果UE请求具有“仅SMS”指示的组合的EPS/MSI附着请求，并且如果网络在SG上仅支持SMS或者如果网络在SG上支持CSFB和SMS，则网络将执行MSI附着并且MME将在附着接受消息中指示IMSI附着用于“仅SMS”。网络基于本地配置的运营商策略(例如，基于漫游协议)提供“仅SMS”或“CSFB非优选”指示。在TS 23. 221 [26]中描述了在接收到这些指示以后的UE行为。如果接收到CS_KSI，则UE通过与MME执行的映射类似的映射导出CK、IK,来创建或更新它的本地CS安全性上下文。注意不成功附着到CS域的情况在阶段3的说明书中记载，其考虑了具有用户偏好以相对于数据服务优先语音并且未被配置为/支持使用MS语音服务的UE的CS服务的可达性。图3不出了根据一个方面用于在EPS中的SG上进行电路交换回退相对于SMS的组合TA/LA过程300。该过程可以与TS 23. 060 [3]中规定的组合的RA/LA更新过程结合使用。通过方框示意性地示出了 UE 302 (用户设备)、新的MME 304 (移动性管理实体)、旧的MME 306、MSC/VLR 308 (移动交换中心/访问位置寄存器)和HSS 310 (归属用户服务器)。UE 302通过发现其当前的TAI不在UE向网络注册的TAI的列表中来检测新的TA的改变，或者UE的TIN指示当重新选择到E-UTRAN时需要TAU。还执行组合的TA/LA更新过程以重新建立SG关联。因此，在312处，UE确定执行TAU。UE 302通过向MME 304发送TAU请求314 (如TS 23. 401 [2]中规定的参数，其包括更新类型和移动站分类标记2)消息来发起TAU过程。更新类型指示这是组合的跟踪区域/位置区域更新请求或者具有MSI附着的组合的跟踪区域/位置区域更新请求。如果UE需要SMS服务但是不需要CSFB，则UE将在组合的TA/LA更新过程中包括“仅SMS ”指示，参见条款5. 4. 4。如果UE希望更新或创建其CS安全性上下文，则它可以将CS安全性更新指示符和任意现有的CS_KSI包含到TAU请求消息中。CS KSI是目前存储在UE上的CS安全性上下文的KSI。在316dAREPS TAU过程的步骤4到19，如在TS 23. 401 [2]中规定的。如果在丽上下文中存在相关联的VLR，则还需要更新VLR。MME为UE分配LAI。 如果必须建立关联或者如果LA改变，则新的MME向VLR发送位置更新请求318 (新的LAI、IMSI,MME名称、位置更新类型、CK、IK、CS_KSI)消息。MME从确定的LAI中获得相应的VLR号。如果多个MSC/VLR为该LAI提供服务，则将使用IMSI哈希函数来获得针对该LAI的VLR号，如在TS 23. 236 [23]中定义的。位置更新类型将指示一般位置更新。MME名称是FQDN字符串。如果接收到CS安全性更新指示符，则MME向VLR发送使用Kasme、NAS COUNT、CS PLMN作为输入从EPS安全性上下文映射的CK、IK。如果VLR希望使用该新的CS安全性上下文，则VLR为UE创建或更新CS安全性上下文并且为新的密钥集分配CS_KSI。VLR在CS域320中执行位置更新过程。VLR向MME响应出位置更新接受322 (VLRTMSI、CS_KSI)。MME 304 向 UE 302 发送 TAU 接受 324(如在 TS 23. 401 [2]中定义的参数LAI、VLRTMSI、CS_KSI)消息。如果VLR还未改变，则VLRTMSI是可选的。依照上述操作来确定LAI。LAI的存在向UE指示它是MSI附着的。如果MME在步骤6中从VLR处接收到CE_KSI，则包括CS_KSI。如果UE请求不具有“仅SMS”指示的组合的TA/LA更新请求，并且如果网络仅为了 SMS而支持SG，则网络将执行MSI附着并且MME将在TAU接受消息中指示IMSI附着用于“仅SMS”。如果UE请求不具有“仅SMS”指示的组合的TA/LA更新(或具有MSI附着的组合的TA/LA更新)并且如果网络在SG上仅支持SMS，则网络将执行组合的TA/LA更新过程并且MME将在TAU接受消息中指示“仅SMS”。然而，如果网络在SG上支持CSFB和SMS并且接受组合的TA/LA更新过程但是没有指示“仅SMS，，，则MME可以向UE提供“CSFB非优选”指示。如果UE请求具有“仅SMS”指示的组合的TA/LA更新(或者具有MSI附着的组合的TA/LA更新)并且如果网络在SG上仅支持SMS或如果其在SG上支持CSFB和SMS，则网络将执行组合的TA/LA更新过程并且MME将在TAU接受消息中指示组合的TA/LA更新过程用于“仅SMS ”。网络基于本地配置的操作策略(例如，基于漫游协议)提供“仅SMS”指示或“CSFB非优选”指示。在TS 23. 221 [26]中描述了在接收到这些指示以后的UE行为。如果接收到CS_KSI，则UE通过与MME在步骤4中进行的映射相同映射导出CK、IK，来创建或更新其本地的CS安全性上下文。UE可以针对TAU过程发送如TS 23. 401 [2]中规定的TAU完成消息326。参照图4，示出了根据一个方面用于SG的安全性增强的流400。通过方框示意性地示出了 UE 402 (用户设备)、eNB 404 (演进型节点B)、MME406 (移动性管理实体)、MSC/VLR 408 (移动交换中心/访问位置寄存器)和HSS 410 (归属用户服务器)。在412，为了创建或更新安全性上下文，UE 402向MME 406通知UE 402希望创建或更新CS安全性上下文。来自UE 402的信息可以在组合的EPS/IMSI附着或组合的TA/LA更新过程(在组合的附着/TAU的位置更新过程之前，如在23. 401中定义的)的附着请 求或TAU请求消息中进行发送。根据一些方面，该信息在与例如特定的指示符(例如“CS安全性更新指示符”和/或任意已经存在的用于CS域的密钥集标识符(KSI)(表示为“CS_KSI”))基本上相同的时间进行发送。例如，CS_KSI设置“111”可以用于指示目前不存在有效的安全性上下文。然而，根据一些方面，可以使用另一个CS_KSI并且公开的方面不限于“111”。当从UE 402接收到具有创建/更新CS安全性上下文的指示的附着/TAU请求时，MME 408通过用K_ASME、NAS COUNT,CS PLMN ID作为输入参数的密钥导出函数(KDF)来将在E-UTRAN/EPS中使用的当前安全性上下文映射为CS安全性上下文。在414，使用位置更新请求消息通过SG接口向MSC/VLR 408发送所生成的CS安全性上下文。MSC/VLR 408接受CS安全性上下文并且分配新的CS_KSI。在416，新的CS_KSI在位置更新接受消息中被发送回MME 406。在418，丽406在附着或TAU接受消息中向UE 402返回去往UE 402的新的CS_KSI。在接收到 CS_KSI 以后，UE 402 以与 MME 使用参数 K_ASME、NAS COUNT,CS PLMN ID 作为KDF的输入的方式相同的方式导出CS安全性上下文。使用附着或TAU接受消息接收的CS_KSI用作映射的CS安全性上下文的标识符。当UE然后使用CS回退过程从E_UTRAN移动到GERAN/UTRAN时，MME不需要执行AKA过程来为UE建立共享CS安全性上下文。图5示出了根据一个方面用于G(例如3G)的安全性增强的示例性流程500。通过方框示意性地示出了 UE 402(用户设备)、RNC 404(无线网络控制器)、SGSN 406 (服务GPRS支持节点)、MSC/VLR 408 (移动交换中心/访问位置寄存器)和HSS 410 (归属用户服务器)。流程500类似于图4中的流程400。当在SGSN和MSC/VLR之间使用G接口时，将流程500应用于组合的GPRS/IMSI附着/RAU过程。流程500可以减少在CS域中对AKA过程的需要。在GPRS/MSI附着/RAU中，应当执行从GERAN/UTRAN PS安全性上下文到CS安全性上下文的映射。与流程400相反，对于流程500，UE 502应当生成目前的N0NCE_UE并且将N0NCE_UE与旧的CS_KSI —起包含在附着或RAU请求消息中以帮助保证生成的密钥的新鲜性。当生成密钥CK和IK时，SGSN应当生成目前的N0NCE_SGSN并且使用(N0NCE_UE和N0NCE_SGSN) 二者作为KDF的输入。然后，在附着或RAU接受消息中向UE 502指示N0NCE_SGSN 和新的 CS_KSI。在512，为了创建或更新安全性上下文，UE 502向MME 506通知UE 502希望创建或更新CS安全性上下文。来自UE 502的信息可以在附着请求或RAU请求消息中进行发送。在组合的附着/TAU的位置更新过程之前的过程如23. 060中所定义的。根据一些方面，信息在与例如KSI、“旧的CS_KSI”和/或“CS安全性更新指示符”、NONCE_UE基本上相同的时间进行发送。当从UE 502接收到具有创建/更新CS安全性上下文的指示的附着/RAU请求时，MME 508通过使用K_ASME、N0NCE_UE、N0NCE_SGSN作为输入参数的密钥导出函数(KDF)来将在E-UTRAN/EPS中使用的当前安全性上下文映射为CS安全性上下文。在514，使用位置更新请求消息(CK、IK、旧的CS_KSI)向MSC/VLR 508发送所生成的CS安全性上下文。MSC/VLR 508接受CS安全性上下文并且分配新的CS_KSI。在616，新的CS_KSI在位置更新接受消息中被发送回MME 506。在418，MME 506 在附着或 RAU 接受消息(新的 CS_KSI、NONCE_SGSN、TMSI 等等)中将新的CS_KSI返回给UE 502。在接收到CS_KSI以后，UE 502以与MME使用参数K_ASME、N0NECE_UE、COUNT、N0NCE_SGSN作为KDF的输入的方式类似的方式来导出CS安全性上下文。根据一些方面，2G过程与流程500基本上相同。 现在参照图6，示出了根据一个方面的用于创建或更新共享电路交换域安全性上下文的方法600。在602，当接收到来自用户设备的创建或更新电路交换安全性上下文的请求时，方法600开始。根据一些方面，接收包括接收指示符或现有的用于电路交换域的密钥集标识符中的至少一个。指示符可以是电路交换安全性更新指示符。根据一些方面，电路交换安全性更新指示符被设置为111。根据一些方面，接收包括接收附着请求、跟踪区域更新消息或者路由区域更新消息。在604，将当前的安全性上下文映射为电路交换安全性上下文。根据一些方面，映射包括使用密钥导出函数并且选择K_ASME、NAS COUNT、或CS PLMN ID中的至少一个作为密钥导出函数的输入。根据一些方面，映射包括输入N0NCE_UE和N0NCE_SGSN作为密钥导出函数的输入，其中N0NCE_UE是由用户设备生成的，生成密钥CK和IK，并且在附着消息或RAU接受消息中指示N0NCE_SGSN和新的CS_KSI。在606，向网络节点通知该电路交换安全性上下文。网络节点可以是移动交换中心。通知可以包括使用位置更新请求消息来发送电路交换安全性上下文。在608，密钥集标识符被传递到用户设备。将密钥集标识符分配给电路交换安全性上下文。根据一些方面，方法600包括接收来自网络节点的位置更新接受消息，其中密钥集标识符包含在位置更新接受消息中。根据一些方面，用户设备可以使用参数K_ASME、NAS COUNT、或者CS PLMN ID作为密钥导出函数的一个或多个参数来导出电路交换安全性上下文。根据一些方面，计算机程序产品可以包括计算机可读介质，其包含用于执行多个流程、过程和/或方法的多个方面的代码。计算机可读介质可以包括用于使计算机从用户设备接收创建或更新电路交换安全性上下文的请求的第一代码集和用于使计算机将当前的安全性上下文映射为电路交换安全性上下文的第二代码集。还包括用于使计算机向网络节点通知该电路交换安全性上下文的第三代码集以及用于使计算机向用户设备传递密钥集标识符的第四代码集，其中密钥集标识符被分配给电路交换安全性上下文。根据一些方面，第一代码集包括用于接收指示符或用于电路交换域的现有的密钥集指示符中的至少一个的代码集。根据一些方面，用于引起操作的第一代码集包括用于接收附着请求、跟踪区域更新消息或者路由区域更新消息的代码集。
在组合的附着或TAU中，MSC信任MME对UE的认证。因此，当UE在E-UTRAN中时，不需要建立UE的CS安全性上下文。当UE针对CSFB移动到GERAN/UTRAN时，如果UE和MSC不具有共享安全性上下文，则MSC必须执行AKA过程来为UE建立CS安全性上下文。该AKA过程显著地增加了 CSFB的延迟。即使UE已经具有通过先前在GERAN/UTRAN中的驻留而获得的CS安全性上下文，由于例如PLMN改变、运营商的策略(例如，运营商授权用于附着到MSC的UE认证)，MSC中的安全性上下文可能已经在UE分离以后被删除，因此安全性上下文可能不能被当前的服务MSC所接受。在组合的附着或TAU期间，UE可以向MME通知其CS安全性上下文的状态。MME然后可以计算新的CS安全性上下文并且将其发送给MSC/VLR。MSC/VLR可以保持新的上下文并且向其分配KSI。MSC/VLR经由MME将任意分配的KSI传输回UE。如果UE已经接收到用 于CS域安全性的新的KSUU UE然后计算新的CS安全性上下文。在组合的EPS/MSI附着/TAU中，MSC信任MME并且不在SG上传递安全性参数。因此，组合的EPS/MSI附着/TAU过程不在UE和MSC之间建立共享CS安全性上下文。UE和MSC需要用于CS呼叫的共享安全性。通过当UE在2G/3G中时UE和MSC之间的AKA过程或者来自旧的MSC的安全性上下文和UE本地缓存的安全性上下文，来建立共享安全性。如果MSC与UE不具有共享安全性，则MSC在LAU或CS呼叫建立期间发起AKA，具有AKA和身份核查的LAU需要2秒或者不具有AKA和身份核查的LAU需要300ms。CS安全性增强建议在组合的附着/TAU中的来自UE的请求时，经由SG接口向MSC发送映射的安全性上下文(IK、CK)，或者以与SRVCC密钥映射的过程类似的过程通过K_ASME 和 NAS COUNT 导出 IK、CK。现在参照图7，示出了根据所公开的方面中的一个或多个方面的帮助创建或更新安全性上下文的系统700。系统700可以位于用户设备中。系统700包括接收机组件702，该接收机组件702通过例如接收机天线接收信号。接收机组件702可以对接收的信号执行典型的动作，例如滤波、放大、下变频等等。接收机组件702还可以数字化所调节的信号以获得采样。解调器704可以获得针对每个符号周期的接收的符号，并且向处理器706提供接收的符号。处理器706可以是专用于分析接收机组件702接收的信息和/或生成由发射机708发送的信息的处理器。此外或可替换地，处理器706可以控制系统700的一个或多个组件、分析由接收机组件702接收的信息、生成由发射机708发送的信息和/或控制系统700的一个或多个组件。处理器706可以包括能够协调与额外的用户设备的通信的控制器组件。系统700还可以包括可操作地耦合到处理器706的存储器710。存储器710可以存储与协调通信有关的信息和其它任意合适的信息。存储器710还可以存储与安全性管理相关联的协议。各个方面的存储器710旨在包括而不限于这些或其它任意合适类型的存储器。系统700还可以包括符号调制器712，其中发射机708发送调制的信号。图8是根据本文给出的各个方面的帮助在电路交换回退过程中创建或更新共享电路交换域安全性上下文的系统800的示意图。系统800包括接入点或基站802。如图所示，基站802通过接收天线806从一个或多个通信设备804 (例如用户设备)接收信号并且通过发射天线808向一个或多个通信设备804进行发送。基站802包括接收机810，接收机810通过接收天线806接收信息并且可操作地与解调接收信息的解调器812相关联。通过耦合到存储器816的处理器814来分析解调的符号，其中，存储器816存储与安全性管理有关的信息。解调器818可以复用信息以由发射机820通过发射天线808传输到通信设备804。参考图9，示出了根据一个方面的更新或创建共享电路交换域安全性上下文的示例性系统900。系统900可以至少部分位于节点内。应当清楚的是，系统900被表示为包括功能块，这些功能块可以是代表由处理器、软件或其组合(例如固件)执行的功能的功能块。系统900包括可以单独操作或者联合操作的电子组件的逻辑组902。逻辑组902可以包括用于从用户设备接收创建或更新电路交换安全性上下文的请求的电子组件904。 根据一些方面，电子组件904包括用于接收指示符或现有的用于电路交换域的密钥集标识符中的至少一个的电子组件。根据一些方面，电子组件904包括用于接收附着请求、跟踪区域更新消息或者路由区域更新消息的电子组件。还包括用于将当前的安全性上下文映射为电路交换安全性上下文的电子组件906。逻辑组902还包括用于向网路节点通知该电路交换安全性上下文的电子组件908。电子组件908可以包括用于使用位置更新请求消息来发送电路交换安全性上下文的电子组件。还包括用于向用户设备传递密钥集标识符的电子组件910，其中密钥集标识符被分配给电路交换安全性上下文。根据一些方面，逻辑组902包括用于接收来自网络节点的位置更新接受消息的电子组件，其中密钥集标识符包含在位置更新接受消息中。根据一些方面，电子组件906包括用于使用密钥导出函数的电子组件和用于选择K_ASME、NAS COUNT或CS PLMN ID中的至少一个作为密钥导出函数的输入的电子组件。根据一些方面，电子组件906包括用于输入N0NCE_UE和N0NCE_SGSN作为密钥导出函数的输入的电子组件，其中N0NCE_UE是由用户设备生成的。电子组件906还包括用于生成密钥CK和IK的电子组件以及用于在附着消息或RAU接受消息中指示N0NCE_SGSN和新的CS_KSI的电子组件。此外，系统900可以包括存储器912，存储器912保存用于执行与电子组件904、906、908和910或其它组件相关联的功能的指令。虽然示出为位于存储器912的外部，但是应当理解的是，电子组件904、906、908和910中的一个或多个可以存在存储器912中。简单的实现可以是UE仅向MME指示其希望创建/更新CS安全性上下文(而不是使用KSI-类型的指示符)。然后，MME创建映射的安全性上下文并通过SG接口向MSC发送映射的安全性上下文。MSC向UE分配新的CS KSI。如果UE接收到CS KSI (这意味着网络支持该CSFB安全性增强)，则UE通过从EPS安全性上下文进行映射来生成CS安全性上下文。这个安全性增强想法也可以应用于G接口，即SGSN在组合的附着/RAU过程中向MSC发送PS安全性上下文。当与SGSN—起操作时，N0NCE_UE和N0NCE_SGSN确保密钥的新鲜性。
图10示出了例如可以结合一个或多个方面使用的、具有多个基站(BS) 1010(例如无线接入点、无线通信装置)和多个终端1020(例如AT)的无线通信系统1000。BS 1010通常是与终端进行通信的固定站，并且还可以称为接入点、节点B或者某种其它术语。每个BS1010为特定的地理区域或覆盖区域提供通信覆盖，在图10中示出为三个地理区域，其被标记为1002a、1002b和1002c。术语“小区”可以是指BS或者其覆盖区域，这取决于使用术语的上下文。为了提高系统容量，BS的地理区域/覆盖区域可以划分为多个更小的区域(例如，根据图10中的小区1002a，三个更小的区域)1004a、1004b和1004c。每个更小的区域(1004a、1004b、1004c)可以由相应的基站收发机子系统(BTS)提供服务。术语“扇区”可以是指BTS或者其覆盖区域，这取决于使用术语的上下文。对于扇区化的小区，该小区的所有扇区的BTS通常共同位于该小区的基站中。本文所描述的传输技术可以用于具有扇区化的小区的系统以及具有非扇区化的小区的系统。为了简单起见，在本描述中，除非另外规定，否则通常针对为扇区提供服务的固定站和为小区提供服务的固定站使用术语“基站”。 终端1020通常散布在整个系统中，并且每个终端1020可以是固定的或移动的。终端1020还可以称为移动站、用户设备、用户装备、无线通信装置、接入终端、用户终端或某种其它术语。终端1020可以是无线设备、蜂窝电话、个人数字助理(PDA)、无线调制解调器卡等等。每个终端1020可以在给定的时刻在下行线路(例如FL)和上行链路(例如RL)上与零个、一个或多个BS 1010进行通信。下行链路指的是从基站到终端的通信链路，而上行链路指的是从终端到基站的通信链路。对于集中式架构，系统控制器1030耦合到基站1010并且为BS 1010提供协调和控制。对于分布式架构，BS 1010可以根据需要(例如，通过可通信地耦合基站1010的有线或无线回程网络)相互通信。在前相链路上通常发生以或者接近前向链路或者通值系统能够支持的最大数据速率进行的从一个接入点到一个接入终端的数据传输。可以从多个接入点向一个接入终端发送前向链路的额外信道(例如控制信道)。可以发生从一个接入终端到一个或多个接入点的反向链路数据通信。图11是根据各个方面的计划的或半计划的无线通信环境1100的示意图。通信环境1100包括包含HNB 1110的多个接入点BS，其中每一个HNB 1100被安装在相应的小规模的网络环境中。小规模的网络环境的示例可以包括用户住宅、商业区、室内/室外设施1130等等。HNB 1110可以被配置为向(例如，包含在与HNB 1110相关联的CSG中的)相关联的UE 1120或者(例如，未被配置用于HNB 1110的CSG的)可选择的外来或访问UE 1120提供服务。每个HNB 1110进一步通过DSL路由器(未示出)或者电缆调制解调器、电源线上的宽带连接、卫星因特网连接或者类似的宽带因特网连接(未示出)耦合到因特网1140和移动运营商核心网络1150。为了通过HNB 1110实现无线服务，HNB 1110的拥有者订购通过移动运营商核心网络1150提供的诸如3G移动服务的移动服务。此外，UE 1120能够使用本文所描述的各种技术在宏蜂窝环境和/或在住宅的小规模网络环境中操作。因此，至少在一些公开方面，HNB 1110可以与任何合适的现有UE 1120后向兼容。此外，除了宏小区移动网络1155，UE1120还由预定数量的HNB 1110来提供服务，特别是位于相应的用户住宅、商业区或室内/室外设施1130中并且不能与移动运营商核心网络1150的宏小区移动网络1155处于软切换状态的HNB 1110。应当清楚的是，虽然本文描述的方面使用3GPP技术，但是应当理解的是，这些方面也可以应用于3GPP技术(版本99[Rel99]、Rel5、Rel6、Rel7)和3GPP2技术(IxRTTUxEV-DO RelO、RevA、RevB)以及其它公知和相关的技术。附录A是描述了各个方面和与特定方面相关联的特征的文章一该附录被视作本申请的说明书的一部分。附图B描述了各个方面和与特定方面相关联的特征一该附录被视作本申请的说明书的一部分。应当理解的是，本文描述的实施例可以实现在硬件、软件、固件、中间件、微代码或者其任意组合中。对于硬件实现，处理单元可以实现在被设计为执行本文描述的功能的一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSro)、可编程逻辑设备(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、其它电子单元或其组合中。
在本发明的一个方面，逻辑信道被分类为控制信道和业务信道。逻辑控制信道包括广播控制信道(BCCH)，其是用于广播系统控制信息的DL信道。寻呼控制信道(PCCH)，其是传送寻呼信息的DL信道。多播控制信道(MCCH)，其是用于发送针对一个或多个MTCH的多媒体广播和多播业务(MBMS)调度和控制信息的点到多点的DL信道。通常，在建立无线资源控制(RRC)连接以后，该信道仅由接收MBMS(注意旧的MCCH+MSCH)的UE(用户设备)使用。专用控制信道(DCCH)是发送专用控制信息并且被具有RRC连接的用户设备使用的点到点的双向信道。逻辑业务信道包括专用业务信道(DTCH)，其是专用于一个用户设备的用于传送用户信息的点到点的双向信道。逻辑业务信道还包括针对点对多点DL信道的用于发送业务数据的多播业务信道(MTCH)。传输信道被分类为DL传输信道和UL传输信道。DL传输信道包括广播信道(BCH)、下行链路共享数据信道(DL-SDCH)以及寻呼信道(PCH)。支持用户设备功率节省(由网络向用户设备指示DRX循环)的PCH在整个小区上进行广播并且映射到可以用于其它控制/业务信道的PHY资源。UL传输信道包括随机接入信道(RACH)、请求信道(REQCH)、上行链路共享数据信道(UL-SDCH)和多个PHY信道。PHY信道包括一组DL信道和UL信道。DL PHY信道包括公共导频信道(CPICH)、同步信道(SCH)、通用控制信道(CCCH)、共享DL控制信道(SDCCH)、多播控制信道(MCCH)、共享UL分配信道(SUACH)、确认信道(ACKCH)、DL物理共享数据信道(DL-PSDCH)、UL功率控制信道(UPCCH)、寻呼指示符信道(PICH)以及负载指示符信道(LICH)。UL PHY信道包括物理随机接入信道(PRACH)、信道质量指示符信道(CQICH)、确认信道(ACKCH)、天线子集指示符信道(ASICH)、共享请求信道(SREQCH)、UL物理共享数据信道(UL-PSDCH)和宽带导频信道(BPICH)。与本发明有关的其它术语包括3G第三代、3GPP DRX代合作伙伴计划、ACLR相邻信道泄漏比、ACPR相邻信道功率比、ACS相邻信道选择性、ADS先进设计系统、AMC自适应调制与编码、A-MPR额外最大功率减少、AP应用协议、ARQ自动重传请求、BCCH广播控制信道、BTS基站收发机、Bff带宽、⑶D循环延迟分集、CXDF互补积分分布函数、CDMA码分多址、CFI控制格式指示符、Co-MIMO联合MMO、CP循环前缀、CPICH公共导频信道、CPRI通用公共无线接口、CQI信道质量指示符、CRC循环冗余校验、CRS公共参考信号、CSI信道状态信息、DCI下行链路控制指示符、DFT离散傅立叶变换、DFT-S0FDM离散傅立叶变换扩频0FDM、DL下行链路(基站到用户的传输)、DL-SCH下行链路共享信道、D-PHY 500Mbps物理层、DM-RS解调RS (也称作特定于UE的RS)、DSP数字信号处理、DT开发工具集、DVSA数字向量信号分析、EDA电子设计自动化、E-DCH增强型专用信道、E-UTRAN演进UMTS陆地无线接入网络、eMBMS演进多媒体广播多播服务、eNB演进型节点B、EPC演进分组核心、EPRE针对每个资源要素的能量、ETSI欧洲电信标准化协会、E-UTRA演进UTRA、E-UTRAN演进UTRAN、EVM误差向量幅度以及FDD频分双工。其它术语包括FFT快速傅立叶变换、FRC固定参考信道、FSl帧结构类型1、FS2帧结构类型2、GSM全球移动通信系统、HARQ混合自动重传请求、HDL硬件描述语言、HI HARQ指示符、HSDPA高速下行链路分组接入、HSPA高速分组接入、HSUPA高速上行链路分组接入、IFFT逆FFT、IOT互操作测试、IP因特网协议、LO本地振荡器、LTE长期演进、MAC介质访问控制、MBMS多媒体广播多播服务、MBSFN多播广播单频网、MCH多播信道、MMO多输入多输出、MISO多输入单输出、MME移动性管理实体、MOP最大输出功率、MPR最大功率下降、MU-MIMO多用户MMO、NAS非接入层、OBSAI开放式基站架构接口、OFDM正交频分复用、OFDMA正交频分多址、P-GW分组数据网络(PDN)网关、PAPR峰均功率比、PAR峰均比、PBCH物理广播信 道、P-CCPCH主公共控制物理信道、PCFICH物理控制格式指示符信道、PCH寻呼信道、PDCCH物理下行链路控制信道、PDCP分组数据汇聚协议、PDSCH物理下行链路共享信道、PHICH物理混合ARQ指示符信道、PHY物理层、PRACH物理随机接入信道、PRB物理资源块、PMCH物理多播信道、PMI预编码矩阵指示符、P-SCH主同步信号、PUCCH物理上行链路控制信道以及PUSCH物理上行链路共享信道。其它术语包括QAM正交振幅调制、QoS服务质量、QCI.QoS分类标识符、QPSK正交相移键控、RACH随机接入信道、RAT无线接入技术、RB资源块、RE资源单元、RF射频、RFDERF设计环境、RLC无线链路控制、RMC参考测量信道、RNC无线网络控制器、RRC无线资源控制、RRM无线资源管理、RS参考信号、RSCP接收信号码功率、RSRP参考信号接收功率、RSRQ参考信号接收质量、RSSI接收信号强度指示符、RTD往返延迟、SAE系统架构演进、SAP服务接入点、SC-FDMA单载波频分多址、SDF服务数据流、SFBC空频分组编码、S-GW服务网关、SIMO单输入多输出、SISO单输入单输出、SNR信噪比、SRS探测参考信号、S-SCH辅同步信号、SU-MIMO单用户MMO、TDD时分双工、TDMA时分多址、TEID隧道端点标识符、TR技术报告、TrCH传输信道、TS技术规范、TTA电信技术协会、TTI传输时间间隔、UCI上行链路控制指示符、UE用户设备、UL上行链路(用户到基站的传输)、UL-SCH上行链路共享信道、UMB超移动宽带、UMTS通用移动电信系统、UTRA通用陆地无线接入、UTRAN通用陆地无线接入网络、VSA矢量信号分析器、W-CDMA宽带码分多址。应当理解的是，本文描述的方面可以实现在硬件、软件、固件、中间件、微代码或者其任意组合中。对于硬件实现，处理单元可以实现在被设计为执行本文所描述的功能的一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSro)、可编程逻辑设备(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、其它电子单元或其组合中。当实施例实现在软件、固件、中间件或微代码、程序代码或者代码段中时，它们可以存储在诸如存储组件的机器可读介质中。代码段可以表示过程、功能、子程序、程序、例程、子例程、模块、软件包、类或者指令、数据结构、或者程序语句的任意组合。代码段可以通过传递和/或接收信息、数据、自变量、参数或者存储内容来耦合到其它代码段或者硬件电路。信息、自变量、参数、数据等可以使用任意合适的方式(包括有存储器共享、消息传递、令牌传递、网络传输等等)来进行传递、转发或者发送。当实现在软件中时，功能可以作为一个或多个指令或代码存储在或者传送到计算机可读介质上。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括有助于将计算机程序从一个地方转移到另一个地方的任意介质。存储介质可以是能够通用或专用计算机访问的任意可用介质。举例说明而非限制性地，这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或者其它光盘存储器、磁盘存储器或者其它磁性存储设备或者可以用于以指令或者数据结构的形式携带或存储期望的程序代码模块并且可以由通用或专用计算机或者通用或专用处理器访问的其它任意介质。同样，任意连接被适当地称作计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或者诸如红外线、无线和微波的无线技术从网站、服务器或其它远程源发送的，那么所述同轴电 缆、光纤电缆、双绞线、DSL或者诸如红外线、无线和微波的无线技术包括在所述介质的定义中。本文所使用的磁盘和光盘包括压缩光盘(CD)、激光光盘、光盘、数字通用光盘(DVD)、软盘和蓝光光盘，其中，磁盘通常磁性地复制数据，而光盘用激光光学地复制数据。上面各项的组合也应包括在计算机可读介质的范围内。可以使用被设计用于执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑设备、分立门或者晶体管逻辑器件、分立硬件组件或者其任意组合来实现或执行结合本文公开的方面描述的各种示例性的逻辑单元、逻辑方框、模块和电路。通用处理器可以是微处理器，或者，该处理器也可以是任何常规的处理器、控制器、微控制器或者状态机。处理器还可以实现为计算设备的组合，例如，DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP内核的结合，或者任何其它此种配置。此外，至少一个处理器可以包括可以操作以执行本文所描述的步骤和/或动作中的一个或多个的一个或多个模块。对于软件实现，本文所描述的技术可以用执行本文所描述的功能的模块(例如过程、功能等等)来实现。软件代码可以存储在存储器单元中并且由处理器执行。存储器单元可以实现在处理器内部或者实现在处理器外部，在实现在处理器外部的情况下，存储器单元可以通过本领域已知的多种方式可通信地耦合到处理器。另外，至少一个处理器可以包括可以操作以执行本文描述的功能的一个或多个模块。本文所描述的技术可以用于多种无线通信系统，例如，CDMA, TDMA, FDMA, OFDMA,SC-FDMA和其它系统。术语“系统”和“网络”通常交互使用。CDMA系统可以实现诸如通用陆地无线接入(UTRA)、CDMA2000等的无线技术。UTRA包括宽带-CDMA (W-CDMA)和CDMA的其它变形。此外，CDMA2000覆盖IS-2000标准、IS-95标准和IS-856标准。TDMA系统可以实现诸如全球移动通信系统(GSM)的无线技术。OFDMA系统可以实现诸如演进型UTRA (E-UTRA)、超移动宽带(UMB), IEEE 802. 11 (Wi-Fi)、IEEE 802. 16 (WiMAX)、IEEE 802. 20、闪速-OFDM 等的无线技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的一部分。3GPP长期演进(LTE)是UMTS的使用E-UTRA的版本，其在下行链路上使用OFDMA而在上行链路上使用SC-FDMA。在来自名为“第三代合作伙伴计划”(3GPP)的组织的文档中描述了 UTRA、E-UTRA, UMTS,LTE和GSM。此外，在来自于名为“第三代合作伙伴计划2”(3GPP2)的组织的文档中描述了CDMA2000和UMB。此外，此类无线通信系统可以另外包括常常使用不成对的非授权的频谱、802. XX无线LAN、蓝牙和任何其它近程或远程无线通信技术的端对端(例如，移动台到移动台)自组网络系统。使用单载波调制和频域均衡的单载波频分多址(SC-FDMA)是可以结合所公开的方面使用的技术。SC-FDMA具有与OFDMA系统类似的性能和实际上类似的整体复杂度。SC-FDMA信号由于其固有的单载波结构而具有较低的峰均功率比(PAPR)。可以在上行链路通信中使用SC-FDMA，在发射功率效率方面PAPR可以有益于移动终端。此外，本文描述的多个方面或特征可以实现为方法、装置或者使用标准程序和/或工程技术的制品。本文使用的术语“制品”旨在涵盖可以从任何计算机可读设备、载体或介质访问的计算机程序。例如，计算机可读介质可以包括但不限于磁存储设备(例如，硬盘、软盘、磁带等)、光盘(例如，压缩光盘(CD)、数字通用光盘(DVD)等)，智能卡和闪存设备(例如，卡、棒、钥匙驱动器等)。此外，本文描述的多个存储介质可以表示一个或多个设备和/或用于存储信息的其它机器可读介质。术语“机器可读介质”可以包括但是不限于无线信道和能够存储、保含和/或携带指令和/或数据的多种其它介质。此外，计算机程序产品可以包括具有可操作以使计算机执行本文描述的功能的一个或多个指令或代码的计算机可读介质。此外，结合本文公开的方面所描述的方法或算法的步骤和/或动作可以直接体现在硬件、处理器执行的软件模块或者其组合中。软件模块可以位于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或者本领域公知的任意其它形式的存储介质中。示例性的存储介质可以耦合到处理器，使得处理器可以从该存储介质读取信息并且向该存储介质写入信息。或者，存储介质可以是处理器的组成部分。此外，在一些方面，处理器和存储介质可以位于ASIC中。此外,ASIC位于用户终端中。或者，处理器和存储介质可以作为分离组件位于用户终端中。此外，在一些方面，方法或算·法的步骤和/或动作可以作为代码和/或指令中的一个或任意组合或集合位于机器可读介质和/或计算机可读介质上，其中机器可读介质和/或计算机可读介质可以并入到计算机程序广品中。虽然前面的公开内容讨论了示例性的方面和/或实施例，但是应当注意的是，在不偏离所附权利要求定义的所描述的方面和/或实施例的范围的情况下，可以在本文中进行各种改变和修改。因此，所描述的方面旨在包括落入所附权利要求的范围内的所有此类变化、修改和改变。此外，尽管可以以单数形式描述或者要求保护所描述的方面和/或实施例的要素，但是除非明确声明限制为单数，否则可以设想复数形式。此外，除非另外声明，否则任意方面和/或实施例的全部或一部分可以与任意其它方面和/或实施例的全部或一部分一起使用。就说明书或权利要求书中使用的术语“包含”而言，该术语的涵盖方式类似于术语“包括”，就如同“包括”在权利要求中用作衔接词所解释的那样。此外，说明书或权利要求书中使用的术语“或者”意味着包括性的“或者”而不是排他性的“或者”。也就是说，除非另外指定，或者从上下文能清楚得知，否则“X使用A或者B”的意思是任何自然的包括性置换。也就是说，下面的例子中的任意一个满足短语“X使用A或者B”:X使用A ；X使用B ;或者X使用A和B 二者。另外，除非另外指定或从上下文能清楚得知是单一形式，否则本申请和所附权利要求书中使用的冠词“一”和“一个”通常表示“一个或多个”。如本申请中使用的术语“组件”、“模块”、“系统“等旨在指代计算机相关的实体，其是硬件、固件或者硬件和软件的组合、软件或者执行中的软件。例如，组件可以是但是不限于在处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。举例说明，在计算设备上运行的应用程序和计算设备都可以是组件。一个或多个组件可以位于进程和/或执行的线程中并且组件可以位于一个计算机上和/或分布在两个或多个计算机之间。另外，这些组件可以从其上存储有多种数据结构的多种计算机可读介质执行。这些组件可以通过诸如根据具有一个或多个数据分组的信号(例如，来自一个组件的数据，该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如因特网的网络与其它系统进行交互)，以本地和/或远程处理的方式进行通信。此外，本文结合移动设备描述了各个方面。移动设备也可以称作并且可以包括系统、用户单元、用户站、移动站、移动台、无线终端、节点、设备、远程站、远程终端、接入终端、用户终端、终端、无线通信设备、无线通信装置、用户代理、用户装备或用户设备(UE)的功能中的一些或全部。移动设备可以是蜂窝电话、无绳电话、会话发起协议(SIP)电话、智能电话、无线本地环路(WLL)站、个人数字助理(PDA)、膝上型计算机、手持通信设备、手持计 算设备、卫星无线电设备、无线调制解调器卡和/或用于通过无线系统进行通信的另一个处理设备。此外，本文结合基站描述了各个方面。基站可以用于与无线终端进行通信，并且还可以称为并且可以包括接入点、节点、节点B、e-NodeB、e-NB或某种其它网络实体的功能中的一些或全部。围绕系统给出了多个方面或特征，其中该系统可以包括多个设备、组件、模块等。应当理解和清楚的是，各个系统可以包括额外的设备、组件、模块等等，和/或可以不包括结合附图讨论的所有设备、组件、模块等等。还可以使用这些方法的组合。此外，在本说明中，单词“示例性”(及其变形)用于表示用做例子、实例或者说明。本文描述为“示例性”的任意方面或设计不必解释为比其它方面或设计更优选或更具优势。更确切地说，使用单词“示例性”旨在以具体的方式来呈现概念。
权利要求
1.一种用于创建或更新共享电路交换域安全性上下文的方法，包括 从用户设备接收创建或更新电路交换安全性上下文的请求； 将当前的安全性上下文映射为所述电路交换安全性上下文； 向网络节点通知所述电路交换安全性上下文；以及 将密钥集标识符传递给所述用户设备，其中所述密钥集标识符被分配给所述电路交换安全性上下文。
2.如权利要求I所述的方法，其中，所述接收包括接收指示符或现有的用于电路交换域的密钥集标识符中的至少一个。
3.如权利要求2所述的方法，其中，所述指示符是电路交换安全性更新指示符。
4.如权利要求3所述的方法，其中，所述电路交换安全性更新指示符被设置为111。
5.如权利要求I所述的方法，其中，所述接收包括接收附着请求、跟踪区域更新消息或者路由区域更新消息。
6.如权利要求I所述的方法，还包括 从所述网络节点接收位置更新接受消息，其中所述密钥集标识符包含在所述位置更新接受消息中。
7.如权利要求I所述的方法，其中，所述通知包括使用位置更新请求消息发送所述电路交换安全性上下文。
8.如权利要求I所述的方法，其中，所述映射包括 使用密钥导出函数；以及 选择K_ASME、NAS COUNT或者CS PLMN ID中的至少一个作为所述密钥导出函数的输入。
9.如权利要求8所述的方法，其中，所述用户设备使用参数K_ASME、NASCOUNT或者CSPLMN ID作为所述密钥导出函数的一个或多个参数来导出所述电路交换安全性上下文。
10.如权利要求I所述的方法，其中，所述映射包括 输入N0NCE_UE和NONCE_SGSN作为密钥导出函数的输入，其中所述N0NCE_UE是由所述用户设备生成的； 生成密钥CK和IK ；以及 在附着消息或RAU接受消息中指示所述NONCE_SGSN和新的CS_KSI。
11.如权利要求I所述的方法，其中，所述网络节点是移动交换中心。
12.一种无线通信装置，包括 存储器，其保存与以下操作有关的指令从用户设备接收创建或更新电路交换安全性上下文的请求，将当前的安全性上下文映射为所述电路交换安全性上下文，向网络节点通知所述电路交换安全性上下文，以及将密钥集标识符传递给所述用户设备，其中所述密钥集标识符被分配给所述电路交换安全性上下文；以及 耦合到所述存储器的处理器，其被配置为执行保存在所述存储器中的指令。
13.如权利要求12所述的无线通信装置，其中，所述与接收有关的指令包括与以下操作有关的指令接收指示符或现有的用于所述电路交换域的密钥集标识符中的至少一个，其中所述指示符是电路交换安全性更新指示符。
14.如权利要求12所述的无线通信装置，其中，所述与接收有关的指令包括与以下操作有关的指令接收附着请求、跟踪区域更新消息或路由区域更新消息。
15.如权利要求12所述的无线通信装置，其中，所述存储器还保存与以下操作有关的指令从所述网络节点接收位置更新接受消息，其中所述密钥集标识符包含在所述位置更新接受消息中。
16.如权利要求12所述的无线通信装置，其中，所述与通知有关的指令包括与以下操作有关的指令使用位置更新请求消息发送所述电路交换安全性上下文。
17.如权利要求12所述的无线通信装置，其中，所述存储器还保存与以下操作有关的指令使用密钥导出函数以及选择K_ASME、NAS COUNT或者CS PLMN ID中至少一个作为所述密钥导出函数的输入。
18.如权利要求12所述的无线通信装置，其中，所述存储器还保存与以下操作有关的指令输入N0NCE_UE和NONCE_SGSN作为密钥导出函数的输入，其中所述N0NCE_UE是由用户设备生成的，生成密钥CK和IK、以及在附着消息或RAU接受消息中指示所述NONCE_SGSN和新的CS_KSI。
19.一种更新或创建共享电路交换域安全性上下文的无线通信装置，包括 用于从用户设备接收创建或更新电路交换安全性上下文的请求的模块； 用于将当前的安全性上下文映射为所述电路交换安全性上下文的模块； 用于向网络节点通知所述电路交换安全性上下文的模块；以及 用于将密钥集标识符传递给所述用户设备的模块，其中所述密钥集标识符被分配给所述电路交换安全性上下文。
20.如权利要求19所述的无线通信装置，其中，所述用于接收的模块包括用于接收指示符或现有的用于所述电路交换域的密钥集标识符中的至少一个的模块。
21.如权利要求19所述的无线通信装置，其中，所述用于接收的模块包括用于接收附着请求、跟踪区域更新消息或路由区域更新消息的模块。
22.如权利要求19所述的无线通信装置，还包括用于从所述网络节点接收位置更新接受消息的模块，其中所述密钥集标识符包含在所述位置更新接受消息中。
23.如权利要求19所述的无线通信装置，其中，所述用于通知的模块包括用于使用位置更新请求消息发送所述电路交换安全性上下文的模块。
24.如权利要求19所述的无线通信装置，其中，所述用于映射的模块包括 用于使用密钥导出函数的模块；以及 用于选COUNT或者CS PLMN ID中的至少一个作为所述密钥导出函数的输入的模块。
25.如权利要求19所述的无线通信装置，其中，所述用于映射的模块包括 用于输入N0NCE_UE和NONCE_SGSN作为密钥导出函数的输入的模块，其中所述N0NCE_UE是由所述用户设备生成的； 用于生成密钥CK和IK的模块；以及 用于在附着消息或者RAU接受消息中指示所述NONCE_SGSN和新的CS_KSI的模块。
26.一种计算机程序产品，包括 计算机可读介质，其包括 用于使计算机从用户设备接收创建或更新电路交换安全性上下文的请求的第一代码集; 用于使所述计算机将当前的安全性上下文映射为所述电路交换安全性上下文的第二代码集； 用于使所述计算机向网络节点通知所述电路交换安全性上下文的第三代码集；以及 用于使所述计算机将密钥集标识符传递给所述用户设备的第四代码集，其中所述密钥集标识符被分配给所述电路交换安全性上下文。
27.如权利要求26所述的计算机程序产品，其中，所述第一代码集包括用于接收指示符或现有的用于电路交换域的密钥集标识符中至少一个的代码集。
28.如权利要求26所述的方法，其中，所述用于引起操作的第一代码集包括用于接收附着请求、跟踪区域更新消息或路由区域更新消息的代码集。
29.被配置为创建或更新共享电路交换域安全性上下文的至少一个处理器，包括 从用户设备接收创建或更新电路交换安全性上下文的请求的第一模块； 将当前的安全性上下文映射为所述电路交换安全性上下文的第二模块； 向网络节点通知所述电路交换安全性上下文的第三模块；以及 将密钥集标识符传递给所述用户设备的第四模块，其中所述密钥集标识符被分配给所述电路交换安全性上下文。
30.如权利要求29所述的至少一个处理器，还包括 使用密钥导出函数的第五模块；以及 选择K_ASME、NAS COUNT或者CS PLMN ID中的至少一个作为所述密钥导出函数的输入的第六模块。
31.如权利要求29所述的至少一个处理器，还包括 输入N0NCE_UE和NONUE_SGSN作为密钥导出函数的输入的第五模块，其中所述N0NCE_UE是由所述用户设备生成的； 生成密钥CK和IK的第六模块；以及 在附着消息或RAU接受消息中指示所述NONCE_SGSN和新的CS_KSI的第七模块。
全文摘要
提供了为电路交换域服务在用户设备和MSC/VLR(移动交换中心/访问位置寄存器)之间进行安全性上下文的创建或更新。该创建或更新是基于将在移动性管理实体(MME)中的演进通用陆地无线接入网络(E-UTRAN)中使用的安全性上下文转换为用于电路交换域目标系统的安全性上下文并将其传送到MSC/VLR。当用户设备从E-UTRAN移动到GSM EDGE无线接入网络/通用陆地无线接入网络(GERAN/UTRAN)时，MME不需要执行认证和密钥协商过程来为用户设备建立共享电路交换安全性上下文。
文档编号H04L9/00GK102948112SQ201080066603
公开日2013年2月27日 申请日期2010年5月4日 优先权日2010年5月4日
发明者X·朱, W·格兰索, A·埃斯科特 申请人:高通股份有限公司