机器到机器的蜂窝通信安全性的制作方法

本发明涉及用于在蜂窝网络中操作的移动终端和服务器之间的通信的方法、移动终端以及蜂窝网络的服务GPRS支持节点（SGSN）。

背景技术：

常规地，蜂窝网络被设计为包括一些安全性功能。在由第三代合作伙伴项目（3GPP）规定的GSM EDGE无线电接入网络（GERAN）架构中，使用通用分组无线业务（GPRS）的去向和来自用户设备（UE）（也被称为移动站（MS））的分组交换业务通过该UE在其中操作的公共陆地移动网络（PLMN）中的服务GPRS支持节点（SGSN）而被路由。在UE和SGSN之间支持对具有用于差错检测的循环冗余码校验（CRC）的用户平面数据的加密。

越来越多地，蜂窝网络被适配为促进其被机器到机器（M2M）类型设备的使用。这些设备通常被配置成与服务器进行通信，所述服务器在该设备（该设备通常包括被配置有对归属PLMN的预订的UE）的归属PLMN中（例如，是该设备的归属PLMN的一部分）或者处于与该设备的归属PLMN的通信中。服务器可以处于与归属PLMN中的网关GPRS支持节点（GGSN）的通信中。在一些情况中，M2M设备将正在漫游，因此SGSN将处于受访（Visited）PLMN中，而GGSN处于归属PLMN中。GPRS隧道协议（GTP）允许SGSN和GGSN之间的通信，并且因为通信通常发生在运营商管理的环境（通过PLMN内或者PLMN间）内，所以接口的安全性被视为足够的。

然而，从应用级观点，客户可能不满足以移动网络内的安全性级别，特别是在SGSN和GGSN之间的加密或者完整性保护缺失的情况下。这在UE在其归属PLMN之外操作时可能是尤其有问题的。即便受访SGSN和GGSN之间的链路可以被保护，但是依然存在MS和应用服务器之间的通信可能在受访网络中（例如，在受访SGSN中）被拦截的风险，客户可能不与所述受访网络具有契约关系。

在关于蜂窝物联网（IoT）的第三次GERAN电信会议中，强调了对于针对蜂窝IoT应用的用户数据和信令传送（signalling）两者的安全传递的需要。对于使用Gb接口（在基站子系统和SGSN之间）的方法而言，标识了在MS和SGSN之间不支持完整性保护，并且MS和SGSN之间的用户平面安全性可能受益于更多的安全加密算法，诸如GEA4。然而，对于Gb接口架构方法和基于S1接口（在eNodeB和核心网之间）的选项两者而言，用户平面加密不扩展到GGSN/分组数据网（PDN）网关（或者邻近的MTC服务器）。

因此，客户可以决定在他们的应用服务器和UE之间端到端地运行他们自身的应用层安全性机制。MS和应用服务器之间的端到端安全性协议（诸如数据报传输层安全性（DTLS））提供了不管通过无线电接入和蜂窝网络域（包括归属网络和受访网络两者）内的安全性的性质如何都保护MS和蜂窝IoT应用服务器之间的通信的一种方式。

支持现有的用于蜂窝IoT设备的端到端安全性协议的主要缺点之一是在可以发送任何有用信息之前（常常是小的数据分组）需要在MS和应用服务器之间交换的安全性相关的信令传送（例如，诸如DTLS握手之类的协议开销）的量。信令传送开销不仅将减小无线电接入能力，而且更重要地将增大由M2M设备的能量消耗。这可能使得难以实现使设备以标准电池电力持续多年的目标。

因此，该方法将在可以传输任何有用应用数据之前添加大的水平的信令传送开销，除非该过程可以被优化。对于M2M类型应用，很可能的是，需要以相对长的时间间隔（例如，数小时或者甚至数天）发送仅仅小的数据分组。而且，预期的是，M2M数据将通过窄带蜂窝系统使用小块的谱以非常低的吞吐量能力传输。在信令传送交换中不具有任何优化的情况下针对M2M应用引入端到端应用层安全性将向应该需要被传输以便传达信息比特的信令传送比特量添加大的开销。这可能不仅影响系统的能力，而且更重要地可能影响被预期成靠电池电力操作多年的M2M设备的电池寿命。

因此，期望的是，蜂窝网络中的安全性采用一种用以移除针对应用服务器和UE之间的端到端安全性的需要的有效方式来改进，或是开发一种减小用以建立UE和应用服务器之间的安全性的信令传送开销的经优化的端到端安全性机制。增强蜂窝网络安全性框架以实现这些目的是有价值的。

技术实现要素：

提供了根据权利要求1的用于在移动终端和该移动终端的归属公共陆地移动网络（PLMN）中的网关GPRS支持节点（GGSN）之间通信的方法、符合权利要求11的用于在蜂窝网络中操作的移动终端、以及按照权利要求12的蜂窝网络的网络实体。参考权利要求并且在以下描述中公开了其他优选特征。

感兴趣的特定情况是：其中GGSN正在将通用引导算法（GBA）推送消息路由到UE（例如，代表NAF）而通过用户平面之外的控制信道将其传给UE，和/或其中GGSN发起GBA推送消息（例如，因为GGSN正在充当NAF）而通过任何方式（在用户平面或者控制平面之内）将其传给UE。一般地，“GBA推送消息”可以被称为认证和密钥协定（AKA）消息，其被推送向UE。而且，作为AKA消息的部分的AKA挑战（其可以包括RAND和AUTN字段）可以采用不与GBA推送严格一致的格式来封装。

附图说明

本发明可以以许多方式被付诸实践，并且现在将仅通过示例的方式并且参考附图来描述优选实施例，在所述附图中：

图1描绘了蜂窝网络实体的示意性图示，解释了SGSN和GGSN之间的潜在用户平面安全性间断（gap）；以及

图2示出了图示出本发明的各方面的蜂窝网络架构的示意性示图。

具体实施方式

首先参考图1，描绘了蜂窝网络实体的示意性图示，解释了SGSN和GGSN之间的潜在用户平面安全性间断。如上文讨论的，在移动站（MS）200和SGSN 210之间存在安全链路205。这即便SGSN 210处于受访PLMN中也是如此。在GGSN 220和应用服务器（AS）230（其可能特定于IoT应用）之间也存在安全链路225。例如，GGSN 220和AS 230两者可以都处于归属PLMN中。

然而，SGSN 210和GGSN 220之间的链路215可能不是安全的。这当SGSN 210是受访SGSN时尤其如此，这是因为SGSN 210和GGSN 220是不同网络的部分（也就是说，MS 200正在漫游）。本公开内容意在解决由该潜在不安全的链路215所引起的问题。特别地，这可以通过针对蜂窝IoT使用现有的端到端应用级安全性协议来解决问题。例如，可以可能的是，标识潜在的解决方案以在不具有由端到端应用级协议招致的开销的情况下，建立MS 200和SGSN 210之间的完整性保护以及MS 200和GGSN 220和/或AS 230之间的用户平面加密。

现在参考图2，示出了蜂窝网络架构的示意性示图。这包括：受访PLMN（VPLMN）10；以及归属PLMN（HPLMN）50。仅仅出于抽象的目的示出了该区别，并且将理解的是，在一些情况下，HPLMN 50和VPLMN 10可以是相同的网络和/或具有相同的运营商。

在VPLMN 10中，示出了：UE 20；以及SGSN 30。在HPLMN 50中，示出了：归属位置寄存器/归属订户服务器（HLR/HSS）60；GGSN 70；以及服务器80。GGSN 70可以附加地或者可替换地是分组数据网络网关（PDN-GW，未示出）。UE 20意在与服务器80进行单向或者双向的通信。服务器80可以形成GGSN 70的部分或者处于与GGSN 70的通信中。虽然服务器80被示出为位于HPLMN 50中，但是这仅仅是示意性的，并且可能是或者可能不是该情况。可以在HPLMN 50中的一个或者多个网络实体（诸如GGSN 70）和服务器80之间提供安全通信基础结构。SGSN 30可以由具有对应的或者类似的功能的网络实体代替，但是为了简单起见，这样的网络实体可以被视为SGSN或者等价物。

实际上，VPLMN 10和HPLMN 50两者都将包括另外的网络实体和接口，但是示出了简化示图图1以促进下文呈现的接口和消息的较容易理解。现在，将参考图1来讨论许多特定方面，特别地，以示出特定接口和消息。

UE和SGSN之间的密码完整性保护

常规地，UE 20和SGSN 30之间的接口100（GPRS中的LLC层）支持加密和24比特循环冗余校验（CRC）。这意在保护从第三方对数据的可见性并且意在检测随机比特差错或者其他破坏（例如由于干扰而引起的）。CRC比特在接口100上经由逻辑链路控制（LLC）层传送，其在差错是可容忍的情况下将帧与警告一同通过，或者在准确度是危险的（critical）情况下丢弃该帧。差错校正是不可能的，并且有意操纵比特流可能不是可检测的。的确，SGSN 30（LLC层处）不执行差错校正。LLC层在差错是可容忍的情况下将帧与警告一同通过，或者在准确度是危险的情况下丢弃该帧。CRC可以检测随机比特差错，但是不能应付对比特流的有意操纵。的确，现有的GPRS加密也无法防止有意操纵。其只不过使得攻击者难以看到他们正在操纵什么。

因此，加密和差错检测可能只具有有限的益处，尤其是对于诸如M2M设备之类的应用而言。然而，在使用密码完整性检查（诸如由EIA1（以前是UIA2）提供的32比特消息认证码（MAC））方面可能存在一些益处。通过重新使用来自UMTS和/或LTE的安全性算法协商算法并且引入MAC，用于MS和SGSN之间的完整性保护的方法可以是可能的。这在蜂窝IoT电信公司#3处所提出的论文中进行了讨论，其名为“Minimal security enhancements for GSM/GPRS to support secure delivery of MTC data”。该方法可以帮助防止数据会话被劫持。然而，其增大了用户平面上的开销，并且还添加了额外的信令传送开销以用于安全性算法协商。

相比之下，CRC可以由密码完整性检查代替。换言之，LLC层处的CRC字段可以以MAC替代，以提供UE 20和SGSN 30之间的完整性保护。这可以减小开销以支持针对小消息的完整性保护。

一般地，这可以被视为一种用于在蜂窝网络中操作的移动终端和服务器之间的通信的方法。该方法可以包括：通过移动终端在其中操作的蜂窝网络的服务GPRS支持节点（SGSN）来路由该移动终端和服务器之间的通信；并且在该移动终端和SGSN之间在数据链路层消息中传送密码完整性检查信息。在优选的实施例中，数据链路层消息是逻辑链路控制（LLC）层消息。密码完整性检查信息可以与一个承载商（bearer）或者多个承载商相关。

加密可能不具有显著的、进一步的益处。因此，该方法可以进一步包括使移动终端和SGSN之间的通信的加密无效。附加地或者可替换地，该方法还可以包括使针对移动终端和SGSN之间的通信的非密码差错检测无效。对于任一种情况或者这两种情况，密码完整性检查信息有利地针对以下中的一个或者两个代替数据链路层消息中的信息：加密；以及诸如CRC比特之类的差错检测。

应该指出，包括承载商完整性保护可以有助于防止劫持数据会话，并且在该情况下，可以不需要承载商加密。实际上，承载商加密可能造成另外的开销和/或保密的错觉，其实际上可能无法实现，这是因为加密端点是错误的。例如，在SGSN和GGSN之间通常存在数千公里的间断。

优选地，密码完整性检查信息使用与移动终端相关联的完整性密钥（IK）。有益地，密码完整性检查信息基于从以下各项选择的算法，即：EPS完整性算法1（EIA1）、UMTS完整性算法2（UIA2）、EPS完整性算法2（EIA2）、UMTS完整性算法1（UIA1）、和EPS完整性算法3（EIA3）。例如，可以使用由EIA1提供的也被称为完整性检查值（ICV）的32比特消息认证码（MAC），但是也可以使用其他算法。因为MAC构造是高效的（其是伽罗瓦（Galois）MAC），并且已经在该层中完成了密码操作，所以这样的方法将不太可能载送很多的开销，并且可能比实现加密算法GEA4、EEA1或者EEA2更少的总体上的开销。

在一些实施例中，移动终端在VPLMN内操作（也就是说，其正在漫游或者附接到不是其归属网络的蜂窝网络）并且服务器是该移动终端的HPLMN的部分或者处于与该移动终端的HPLMN的通信中。在该上下文中，移动终端可以被理解为订户和/或UE。可选地，该方法还包括：进行从该移动终端的归属PLMN到VPLMN的信令传送以激活传送密码完整性检查信息的步骤。用于归属网络以告知受访网络关闭加密和/或打开完整性保护的信令传送选项可能是有利的。这些不被现有的信令传送消息所支持：既不被MAP所支持（参见3GPP TS 29.002），也不被S6a所支持（参见3GPP TS 29.272）。

优选地，服务器包括GGSN或者PDN-GW、是GGSN或者PDN-GW的部分、或者处于与GGSN或者PDN-GW的通信中。

在另一方面，该概念可以由移动终端提供以用于在蜂窝网络中的操作，其被配置成在移动终端和蜂窝网络的服务GPRS支持节点（SGSN）之间在数据链路层消息中传送密码完整性检查信息来作为移动终端和服务器之间的通信的部分。移动终端可以具有被配置成执行上文讨论的过程步骤中的任何一个或者与上文讨论的过程步骤中的任何一个交互的特征。

在另外的方面，该概念可以由蜂窝网络的网络实体（诸如SGSN或者具有类似的或者对应的功能的实体）来提供，其被配置成路由在蜂窝网络中操作的移动终端和服务器之间的通信，以及在移动终端和网络实体之间在数据链路层消息中传送密码完整性检查信息。该消息可以是移动终端和服务器之间的通信的部分。再次，网络实体可选地具有被配置成执行上文讨论的过程步骤中的任何一个或者与上文讨论的过程步骤中的任何一个交互的特征。

还提供了上文讨论的单个特征的任何组合，即便该组合未被明确地详述。

密钥分发中的改进的安全性

作为UE 20和SGSN 30之间的配置过程的部分，许多消息被传送。例如，承载商认证消息110从SGSN 30被传送到UE 20，其可以包括随机挑战消息（RAND）和认证令牌（AUTN），这如在认证和密钥协定（AKA）字段中公知的。UE 20提供响应消息120，其通常将包括基于所接收的RAND和AUTN的认证响应（SRES）。SGSN 20经由Gr接口160从HSS/HLR 60检索包括RAND和AUTN的认证向量。通常，认证向量包括五元组（quintuplet），其具有：RAND；AUTN；SRES；加密密钥（CK）；以及完整性密钥（IK）。常规地，UE 20使用CK来加密用户平面数据，并且SGSN 30可以通过知晓CK而解密该数据。

现在提出一种可替换的方法，其中不向SGSN 30提供由UE 20使用的真实CK。例如，只有IK可以被SGSN 30使用。换言之，可以将3G-五元组从HLR/HSS 60分发到SGSN 30，但是只有完整性密钥（IK）可以被SGSN 30使用。加密密钥（CK）字段可以被设定为某一空值或虚值，并且真实的CK将在其他地方使用（或者从CK导出的密钥将在其他地方使用）。在另一方面，可以理解的是，只有完整性密钥从HLR/HSS 60分发到SGSN 30以用于完整性保护，并且加密密钥由归属网络保留。

一般地，提供了一种用于促进对移动终端和服务器之间的通信的认证的方法。通过移动终端在其中操作的网络的SGSN来进行通信。移动终端的归属PLMN生成加密密钥，以用于对移动终端和服务器之间的分组交换数据的加密。该方法包括：代替加密密钥而传送可替换数据来作为SGSN预期在其中接收所述加密密钥的从归属PLMN中的网络实体到SGSN的消息的部分。这可以允许SGSN在不必知晓由移动终端使用的加密密钥的情况下利用关于加密密钥的信息继续常规的操作。因此，用于加密的端点可以从SGSN变为某其他实体，其优选地是服务器（这如将在下文中讨论的）。

这可以可替换地或者等价地理解为一种用于在移动终端的归属PLMN和移动终端在其中操作的网络的SGSN之间通信的方法。归属PLMN生成加密密钥，以用于对移动终端和服务器之间的分组交换数据加密。然后，该方法包括将针对移动终端的加密密钥数据（其可以是加密密钥，或者是可以通过其来确定加密密钥的信息）从归属PLMN中的网络实体提供到SGSN。然而，加密密钥数据不是加密密钥。换言之，加密密钥数据可以被理解为上文指出的可替换数据。有利地，可替换数据或者加密密钥数据防止或者不允许SGSN确定由归属PLMN生成的关于移动终端的加密密钥。

因此，这显著地不同于HLR/HSS 60实际上向SGSN 30提供CK的现有系统。相比之下，所提出的方法导致SGSN根本不知晓正确的CK。例如，这可能是因为针对移动终端的可替换数据或者加密密钥数据是基于或者包括以下之一或者以下的组合，即：（i）针对所有移动终端的固定的序列；（ii）不与加密密钥相联系的序列；以及（iii）与移动终端相关联的另一参数。关于（i）或者（ii），其可以是虚值，诸如一系列零或者一些其他固定的、随机或者任意序列。对于（iii），可替换数据或者加密密钥数据可以被设定为与IK相同。实际上，CK和IK可以具有相同的长度（例如，128比特）。在一些情况下，可替换数据或者加密密钥数据可以是空白的。作为另外的可替换方案，可以使用其中SGSN不能对其解码的CK的加密版本。

将针对移动终端的可替换数据从归属PLMN传送到SGSN的步骤优选地包括传送认证向量信息，其包括可替换数据或者加密密钥数据。认证向量信息可以采用如由已知标准规定的格式来提供，诸如三元组（triplet）或者五元组。如上文指示的，认证向量信息可以包括以下的一个或者多个：RAND；AUTN；SRES；以及IK。

归属PLMN中的网络实体优选地包括以下的一个或者多个：HLR；HSS；认证中心（AuC）；以及代理服务器。代理服务器的一种或者多种可能使用将在下文中进一步地讨论，并且那些细节可以在本文相等地适用。优选地，该方法还包括在归属PLMN中生成加密密钥，例如在HPLMN的网络实体中。

虽然加密密钥不被传送到SGSN 30并且因此不被其使用，但是实际上可以使用加密密钥，并且将在接下来的章节中讨论采用其的一种或者多种方式。应该理解的是，这些方法可以可选地与在这些章节中描述的技术组合。等价地提供了蜂窝网络的网络实体和/或移动终端，其被配置成按照如上文描述的方法进行操作。而且，还提供了上文讨论的单个特征的任何组合，即便该组合未被明确地详述。

增强的用户平面加密

可以有利的是，提供UE 20和服务器80之间的端到端加密。如上文指出的，在一些情形中，服务器可以包括GGSN 70或者形成GGSN 70的部分（或者具有某些GGSN功能的更精细的服务器）。HPLMN 50中的应用服务器（未示出）是可以充当加密端点的服务器的可替换形式。如上文指出的，PDN-GW（未示出）可以替代GGSN 70来使用。GGSN 70可以通过已知的Diameter（直径）/RADIUS参数与服务器80通信。

为了使得GGSN 70或者服务器80能够变成加密端点，将接口用于端点服务器，以向HSS/HLR 60询问相关的加密密钥（CK或者衍生物）。这可以直接完成（使用例如Diameter）或者通过代理（诸如http->Diameter或者Diameter->MAP，或者http->MAP），尤其是如果端点服务器与HLR/HSS 60不在相同的局域网（LAN）上的话。

该端到端的加密有利地使用CK。为了允许该情况，要求服务器知晓CK。这可以通过经由接口170询问HSS/HLR 60或者代理65来实现。换言之，GGSN 70或者服务器80应该能够向归属网络中的代理65或HLR/HSS 60查询相关的加密密钥，以与UE 20开始端到端的用户平面加密。

预见的是，GGSN 70或者服务器80（端点服务器）将使用用于相关认证向量的标识符（诸如IMSI或者RAND或者优选地两者）来询问HLR/HSS 60。可替换地，在HLR/HSS 60前面的代理65可以找到相匹配的CK并且将其返回到端点服务器。如果受访网络中的SGSN 30也已经通过代理65连接以检索原始向量（减去CK）（其确保了代理将知晓该向量），则这将很好地工作。

一般地，这可以被理解为一种用于促进移动终端和服务器之间的安全通信的方法。服务器是移动终端的HPLMN的网络实体的部分或者处于与移动终端的HPLMN的网络实体的通信中。该方法包括在归属PLMN中的网络实体和服务器之间通信，以便向服务器传递关于由归属PLMN生成的针对移动终端的（该）加密密钥的信息。该方法可以等价地理解为从归属PLMN中的网络实体向服务器传送（传递）关于由归属PLMN生成的针对移动终端的加密密钥的信息。

该传送有利地使用应用编程接口（API）来实现。归属PLMN中的网络实体优选地包括以下的一个或者多个：HLR；HSS；认证中心（AuC）；以及代理服务器。传送可以是直接的，例如使用Diameter接口。可替换地，其可以经由或者通过代理（服务器），其可选地被配置成在第一协议和第二协议之间转换通信，所述第一协议在网络实体和代理之间使用，所述第二协议在代理和服务器之间使用（例如，从HTTP转换到Diameter、从Diameter转换到MAP、从HTTP转换到MAP）。附加地或者可替换地，如果服务器80与网络实体（诸如HLR/HSS 60）不在相同的网络（诸如局域网，LAN）上，则可以使用代理。代理优选地位于HLR/HSS 60的前面以找到相匹配的CK并且返回它。优选地，VLPMN 10中的SGSN 30还应该通过代理连接，以检索认证向量，这如在上文的章节中讨论的。这可以确保该代理将知晓关于其的情况。

在本章节描述的方法可以具有与通用引导架构（GBA）类似的特性，但是可以避免与GBA相关联的开销。不需要引导服务功能（BSF）（虽然如上文讨论的代理65可以被视为具有相同特性中的一些）。在设备和BSF之间不需要HTTP接口，在设备、BSF和网络应用功能（NAF）服务器之间不需要多路交换，不需要请求和消耗附加的认证向量（并且增大BSF处的安全性因此其不丢失这些认证向量）并且不需要实现针对设备中的应用的特殊方法以将认证向量传给UE 20的USIM。

服务器80（或者代理65）可以询问HLR/HSS 60，以便接收CK。这可以通过提供用于UE 20的标识符和/或相关的认证向量（诸如IMSI或者RAND或者优选地两者）来实现。附加地或者可替换地，可以提供MSISDN或者与移动终端（UE和/或订户）相关联的其他标识符。一般地，这可以被理解为传送步骤，包括将以下的一个或者多个从服务器传送到归属PLMN中的网络实体：针对移动终端的标识符；以及针对移动终端的认证向量信息。在用于比较的GBA中，客户端侧应用将BTID（其包含RAND）传给服务器侧应用（NAF）并且NAF将其传给BSF。然后，BSF将其针对预先检索的向量进行匹配。

可以可能的是，在需要时通过AuC重新运行密钥生成算法（诸如f3）和重新计算CK来避免由代理缓存CK。一般而言，这可以被视为例如响应于来自另一个网络实体（诸如服务器和/或GGSN）的请求而生成归属PLMN中的加密密钥。HSS和/或HLR 60可以被开发成例如支持针对认证向量的部分而非其整体的附加MAP或者Diameter请求。为了避免滥用该新的请求方法（以恢复已经被发出和使用的CK），HLR/HSS 60可以保持其中它还未给出CK（例如，因为已经发出了虚的CK）的IMSI/RAND的记录，并且仅对第一请求供应CK。如果已经给出了CK，则其不应该被再次供应。一般地，这可以被视为生成加密密钥的步骤，其包括：维护针对每个移动终端和/或关于蜂窝网络的每个认证事件（诸如附接）标识是否已经供应了（和/或生成了）加密密钥的记录。然后，可以检查该记录，使得针对每个移动终端和/或关于蜂窝网络的每个认证事件仅供应（和/或生成）一次加密密钥。

将进一步认识到，UE 20和GGSN 70（或者PDN-GW）之间的通信接口可以是有利的。这样的接口已经以协议配置选项（PCO）信道的形式存在。GGSN 70或者服务器80可以通过在UE 20和GGSN 70或服务器80端点之间直接交换标识符或者其他安全性参数来获得加密密钥。例如，UE 20和SGSN 30之间的非接入层（NAS）消息交换中的PCO信息元素（IE）已经提供了一种用于将信息传达给GGSN 70的方式，这是因为PCO IE以双向的方式透明地传达给GGSN 70。

有益地，这可以被用来将RAND传到GGSN 70并且可选地，然后将IMSI和RAND的组合传到服务器80上（如果服务器80未与GGSN 70组合）。这将有助于使得端点服务器80能够查找CK。一般地，这可以被理解为使用PCO信道在移动终端和归属PLMN中的GGSN之间传送针对移动终端的认证向量信息（诸如以下的一个或者多个：RAND；AUTN；SRES；IK；以及CK）。优选地，该方法还可以包括从或者通过GGSN向服务器传送针对移动终端的认证向量信息和针对移动终端的标识符。这可以准许服务器确定针对移动终端的加密密钥信息。

可以单独考虑或者与本文描述的任何其他想法结合考虑的另外方面可以被视为一种用于在蜂窝网络中操作的移动终端和移动终端的归属PLMN的网络实体（诸如GGSN）之间的通信的方法。该方法包括使用以下的一个或者两个在移动终端和归属PLMN的网络实体之间通信，即：在移动终端和网络实体之间的端到端用户平面加密；以及在移动终端和网络实体之间的端到端密码完整性检查信息。端到端密码完整性检查信息可以在数据链路层消息中被提供，这如上文讨论的（例如，使用LLC层）。在移动终端和网络实体之间的通信有利地经由SGSN（其可以属于移动终端在其中操作的VPLMN）被路由。

在另一方面，提供了蜂窝网络的网络实体和/或移动终端，其被配置成按照如上文描述的方法中的任何一种来操作。也提供了上文讨论的单个特征中的任何组合，即便该组合未被明确地详述。

移动终端处的加密密钥的使用

加密密钥（CK或者衍生物；多个密钥也是可能的）可以在UE 20和加密端点（GGSN 70、PDN GW或者服务器80）处以不同方式使用。例如，可以认为加密密钥可以被传“下去”（就层而言）到调制解调器中或者传“上来”到应用层，例如以被应用处理器使用。这可以避免针对用以在两端建立加密密钥的“繁重的”应用级协议握手的需要。

如果加密密钥被传“下去”，那么UE 20中的调制解调器的现有密码功能可以被用以不同的端点（比如在LTE中分开的非接入层对接入层）。然而，然后应该限定UE 20和GGSN 70之间的新的帧协议。而且，GGSN 70端点可以依然不处于确切恰当的地点，但是其很可能处于恰当的地点或者足够接近。然后，应用将不必涉及对加密进行处理。

如果密钥被传“上来”，则应该针对应用处理器限定API以从无线调制解调器检索（一个或者多个）加密密钥。然而，应用不需要使用API，或者可能通过使用的方式而强加附加的开销。其可能参与到高开销的握手（比如互联网密钥交换、IKE、传输层安全性或者数据报传输层安全性）中，并且在每次设备唤醒时进行重复。如果其尝试通过睡眠循环保持安全性关联为活跃，则这也可能造成风险，这是因为现有的加密软件可能未被设计成这么做（其可能协商会话密钥、使它们未受保护地保持在RAM中、以及清除它们）。

将密钥传“上来”可以通过在联网层中应用加密（例如使用IPsec）来实现，特别是如果在不需要进一步的IKE交换的情况下使用密钥。这可以减小或者最小化开销，并且具有这样的优点，即：M2M应用可能不需要大量地（significantly）处理安全性（例如，如果这是一种负担的话）。在联网层处，IPsec可以被用于以封装安全性有效载荷（ESP）来仅加密IP有效载荷。可以通过使用组合的加密和认证方法（比如AES-CCM）来实现另外的优化。因此，这（或者类似的方法）可以允许应用或者联网层使用从蜂窝安全性框架导出的加密密钥（而不具有来自握手或者其他消息的额外开销）。

一般地，可以考虑一种移动终端和服务器之间的经由蜂窝网络的安全通信的方法。通过移动终端在其中操作的网络的SGSN来进行通信。移动终端在其中操作的网络和/或SGSN与服务器分开。服务器可以是移动终端的HPLMN的网络实体的部分或者处于与移动终端的HPLMN的网络实体的通信中。该方法包括在移动终端和服务器之间的网络层消息中使用（该）加密密钥来应用加密。加密密钥有益地基于由移动终端的归属PLMN中的网络实体生成的密钥信息。这可以被视为使用CK或者基于CK的密钥（例如，用以将CK和IK组合成Ks并且然后导出或者使用另外的密钥来导出用于加密的密钥的已知技术）来加密在UE和非SGSN的另一端点之间的通信。优选地，加密密钥与用来向移动终端在其中操作的网络认证该移动终端的认证向量（诸如UMTS五元组或者等价物）相关联地生成。加密有利地应用在移动终端和服务器之间的网络层消息中。移动终端和服务器之间的消息可以包括网际协议（IP）分组。使用加密密钥来应用加密的步骤优选地使用IPSec协议。

可选地，密钥可以被用于封装安全性有效载荷（ESP）操作。这可以加密IP分组的有效载荷的至少部分（也就是，有效载荷的部分或者全部）。更一般地，这可以被视为使用加密密钥来加密每个IP分组的有效载荷。然后，可以依然对在UE 20和SGSN 30（或者GGSN 70、服务器 80或者中间服务器）之间的链路的整体或者部分之间的链路应用IP报头（header）压缩。附加地或者可替换地，可以采用对IPSec协议的一个或者多个参数（诸如以下的一个或者多个：安全性参数索引；序列号；以及初始值）的压缩。特别地，这可以在这些未在分组之间显著地改变时使用。尤其地，这可能是该情况，如果初始值和序列号是相同的话。这样的技术可以减小或者最小化每IP分组的开销。

在另一增强（其可以被用作是针对上文的可替换方案）中，可以使用针对IP分组的组合加密和认证，诸如AES-CCM。可选地，完整性检查字段（ICV）可以被减少到4字节。在一些实施例中，IP分组内的协议报头信息可以被认证但不被加密。附加地或可替换地，未加密的协议报头信息可以在移动终端和服务器或中间服务器之间的IP分组中被压缩。

附加地或者可替换地，该方法可以进一步包括不加密针对每个IP分组的相应报头的至少部分。这可以被理解为跳过一些附加报头（比如UDP报头或者CoAP报头）的加密，其可能不是尤为秘密的但将是可压缩的。然后，这些报头可以从加密数据移动到附加的认证数据，并且将依然被完整性检查覆盖。SPI的最低几个比特可以指示多少个进入IP分组中的字节将被计数为AAD并且因此将不是加密块的部分。还提供了上文讨论的单个特征的任何组合，即便该组合未被明确地详述。

使用AKA推送消息

UE 20和GGSN 70（或者等价物，诸如PDN-GW）之间的信道可以被用来将GBA推送消息（GPI）从GGSN 70载送到UE 20。信道的一种可能的实现方式是使用UE和SSGN之间的非接入层（NAS）消息交换中的现有的PCO信息元素（IE），其被透明地转发到GGSN。可以将PCO IE从UE传达到GGSN，并且反之亦然，从而提供双向信道。该方法可以消耗附加的认证向量（并且然后，来自第一向量的CK将被浪费）。

一般地，这可以被视为一种用于在移动终端和该移动终端的HPLMN中的GGSN之间通信的方法。该方法包括将认证和密钥协定推送消息从GGSN传送到移动终端。优选地，传送步骤是经由控制平面信道的和/或认证和密钥协定推送消息在GGSN处被生成。有利地，传送步骤是经由信道的，该信道可以使用被透明地转发到GGSN/转发自GGSN的UE和SGSN之间的消息交换中的PCO IE来实现。在优选的实施例中，认证和密钥协定推送消息是通用引导架构（GBA）推送消息。

等价地提供了蜂窝网络的网络实体和/或移动终端，其被配置成按照如上文描述的方法操作。该方法可以被单独实现，但是它可以优选地与移动终端处的加密密钥的使用（如在之前章节中讨论的）相组合。而且，将理解的是，上文的任何章节中讨论的任何方法可以酌情与另一方法相组合。