执行认证和密钥协商之前的安全信令的制作方法
本专利申请要求由lee等人于2016年11月7日提交的题为“securesignalingbeforeperforminganauthenticationandkeyagreement(执行认证和密钥协商之前的安全信令)”的美国专利申请no.15/345,077;以及由lee等人与2016年5月5日提交的题为“securesignalingbeforeperforminganauthenticationandkeyagreement(执行认证和密钥协商之前的安全信令)”的美国临时专利申请no.62/332,378的优先权;其中每一件申请均被转让给本申请的受让人。
引言
本公开例如涉及无线通信系统,尤其涉及用于在执行认证和密钥协商(aka)之前传送或接收安全信令的技术。
无线通信系统被广泛部署以提供诸如语音、视频、分组数据、消息接发、广播等各种类型的通信内容。这些系统可以是能够通过共享可用系统资源(例如,时间、频率和功率)来支持与多个用户通信的多址系统。此类多址系统的示例包括码分多址(cdma)系统、时分多址(tdma)系统、频分多址(fdma)系统、以及正交频分多址(ofdma)系统。
在一些示例中,无线多址通信系统可包括数个基站,每个基站同时支持多个通信设备(也称为用户装备(ue))的通信。在长期演进(lte)或高级lte(lte-a)网络中,一个或多个基站的集合可以定义演进型b节点(enb)。在其他示例中(例如,在下一代或5g网络中),无线多址通信系统可包括与数个接入节点控制器(anc)处于通信的数个智能无线电头端(无线电头端(rh)),其中与anc处于通信的一个或多个无线电头端的集合可定义enb。基站或无线电头端可在下行链路信道(例如,用于从基站或无线电头端到ue的传输)和上行链路信道(例如,用于从ue到基站或无线电头端的传输)上与ue集合进行通信。
在一些示例中,ue和网络设备(例如,网络接入设备(例如,无线电头端、基站、enb、或anc)或核心网的中心节点(例如,移动性管理实体(mme))可执行aka。在执行aka之后在ue与网络设备之间传送的消息受保护,而在执行aka之前在ue与网络设备之间传送的消息不受保护。
概述
在一个示例中,描述了一种在无线通信设备处进行无线通信的方法。所述方法可包括:至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息。所述受保护查询消息可在与网络执行aka之前被生成。所述方法可进一步包括:向所述网络传送所述受保护查询消息;接收对所述受保护查询消息的响应;以及至少部分地基于所接收到的响应来确定是否要与所述网络执行aka。
在一个示例中,描述了一种在无线通信设备处进行无线通信的方法。所述方法可包括:至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息。所述受保护查询消息可在与网络执行aka之前被生成。所述方法可进一步包括:向所述网络传送所述受保护查询消息;接收对所述受保护查询消息的响应;以及至少部分地基于所接收到的响应来确定是否要与所述网络执行aka。
在一些示例中,所述方法可包括:至少部分地基于所述无线通信设备的安全性凭证和所述网络的网络安全性凭证来与所述网络建立安全连接,并且所述受保护查询消息可使用所述安全连接被传送给所述网络。在一些示例中,建立所述安全连接可包括:与核心网建立所述安全连接。在一些示例中,建立所述安全连接可包括:在非接入层(nas)上执行传输层安全性(tls)握手。在一些示例中,建立所述安全连接可包括:与网络接入设备建立所述安全连接。在一些示例中,建立所述安全连接可包括:在无线电资源控制(rrc)连接上执行tls握手。在一些示例中,所述方法可包括:使用所述安全连接来执行aka。在一些示例中,所述无线通信设备可与归属移动网络运营商(mno)的第一移动网络相关联,并且所述方法可包括获取以下至少一者:从所述第一移动网络获取漫游mno的第一安全性凭证;或从所述漫游mno的第二移动网络获取所述漫游mno的第二安全性凭证,所述第二安全性凭证由所述归属mno签名;或从所述归属mno和所述漫游mno共用的证书权威机构获取所述漫游mno的第三安全性凭证;或其组合。
在一些示例中,所述方法可包括:确定网络支持接收受保护查询消息。在一些示例中,所述确定可至少部分地基于网络宣告。在一些示例中,所述方法可包括:从所述网络接收不受保护消息,并且所述受保护查询消息可响应于所述不受保护消息而被生成。在一些示例中,所述受保护查询消息可进一步至少部分地基于所述网络的网络安全性凭证来生成。在一些示例中,所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中,所述基于配对的密码术可包括以下至少一者:基于身份的加密、基于身份的签名、或其组合。在一些示例中,所述方法可包括:确定所述响应与所述无线通信设备的安全性凭证和所述网络的网络安全性凭证相关联,以及至少部分地基于所述响应来确定是否要与所述网络执行aka。在一些示例中,所述方法可包括:确定所述响应不与以下各项相关联:所述无线通信设备的安全性凭证、所述网络的网络安全性凭证、或其组合;以及在确定是否要与所述网络执行aka时避免考虑所述响应。在一些示例中,所述受保护查询消息可包括:接入请求、网络能力查询、服务查询、或其组合。在一些示例中,所述响应可包括使所述无线通信设备拒绝服务的消息。
在一个示例中,描述了一种在无线通信设备处进行无线通信的装备。所述装备可包括:用于至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息的装置。所述受保护查询消息可在与网络执行aka之前被生成。所述装备可进一步包括:用于向所述网络传送所述受保护查询消息的装置;用于接收对所述受保护查询消息的响应的装置;以及用于至少部分地基于所接收到的响应来确定是否要与所述网络执行aka的装置。
在一些示例中,所述装备可包括:用于至少部分地基于所述无线通信设备的安全性凭证和所述网络的网络安全性凭证来与所述网络建立安全连接的装置,并且所述受保护查询消息可使用所述安全连接被传送给所述网络。在一些示例中,所述用于建立所述安全连接的装置可包括:用于与核心网建立所述安全连接的装置。在一些示例中,所述用于建立所述安全连接的装置可包括:用于在nas上执行tls握手的装置。在一些示例中,所述用于建立所述安全连接的装置可包括:用于与网络接入设备建立所述安全连接的装置。在一些示例中,所述用于建立所述安全连接的装置可包括:用于在rrc连接上执行tls握手的装置。在一些示例中,所述装备可包括:用于使用所述安全连接来执行aka的装置。在一些示例中,所述无线通信设备可与归属mno的第一移动网络相关联,并且所述装备可包括用于获取以下至少一者的装置:从所述第一移动网络获取漫游mno的第一安全性凭证;或从所述漫游mno的第二移动网络获取所述漫游mno的第二安全性凭证,所述第二安全性凭证由所述归属mno签名;或从所述归属mno和所述漫游mno共用的证书权威机构获取所述漫游mno的第三安全性凭证;或其组合。
在一些示例中,所述装备可包括:用于确定网络支持接收受保护查询消息的装置。在一些示例中,所述确定可至少部分地基于网络宣告。在一些示例中,所述装备可包括:用于从所述网络接收不受保护消息的装置,并且所述受保护查询消息可响应于所述不受保护消息而被生成。在一些示例中,所述受保护查询消息可进一步至少部分地基于所述网络的网络安全性凭证来生成。在一些示例中,所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中,所述基于配对的密码术可包括以下至少一者:基于身份的加密、基于身份的签名、或其组合。在一些示例中,所述装备可包括:用于确定所述响应与所述无线通信设备的安全性凭证和所述网络的网络安全性凭证相关联的装置,以及用于至少部分地基于所述响应来确定是否要与所述网络执行aka的装置。在一些示例中,所述装备可包括:用于确定所述响应不与以下各项相关联的装置:所述无线通信设备的安全性凭证、所述网络的网络安全性凭证、或其组合;以及用于在确定是否要与所述网络执行aka时避免考虑所述响应的装置。在一些示例中,所述受保护查询消息可包括:接入请求、网络能力查询、服务查询、或其组合。在一些示例中,所述响应可包括使所述无线通信设备拒绝服务的消息。
在一个示例中,描述了另一种在无线通信设备处进行无线通信的装置。所述装置可包括处理器以及与所述处理器处于电子通信的存储器。所述处理器和所述存储器可被配置成:至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息。所述受保护查询消息可在与网络执行aka之前被生成。所述处理器和所述存储器可被进一步配置成:向所述网络传送所述受保护查询消息;接收对所述受保护查询消息的响应;以及至少部分地基于所接收到的响应来确定是否要与所述网络执行aka。
在所述装置的一些示例中,所述处理器和所述存储器可被配置成:至少部分地基于所述无线通信设备的安全性凭证和所述网络的网络安全性凭证来与所述网络建立安全连接,并且所述受保护查询消息可使用所述安全连接被传送给所述网络。在一些示例中,建立所述安全连接可包括:与核心网建立所述安全连接。在一些示例中,建立所述安全连接可包括:在nas上执行tls握手。在一些示例中,建立所述安全连接可包括:与网络接入设备建立所述安全连接。在一些示例中,建立所述安全连接可包括:在rrc连接上执行tls握手。在一些示例中,所述处理器和所述存储器可被配置成:使用所述安全连接来执行aka。在一些示例中,所述无线通信设备可与归属mno的第一移动网络相关联,并且所述处理器和所述存储器可被配置成获取以下至少一者:从所述第一移动网络获取漫游mno的第一安全性凭证;或从所述漫游mno的第二移动网络获取所述漫游mno的第二安全性凭证,所述第二安全性凭证由所述归属mno签名;或从所述归属mno和所述漫游mno共用的证书权威机构获取所述漫游mno的第三安全性凭证;或其组合。
在所述装置的一些示例中,所述处理器和所述存储器可被配置成:确定网络支持接收受保护查询消息。在一些示例中,所述确定可至少部分地基于网络宣告。在一些示例中,所述处理器和所述存储器可被配置成:从所述网络接收不受保护消息,并且所述受保护查询消息可响应于所述不受保护消息而被生成。在一些示例中,所述受保护查询消息可进一步至少部分地基于所述网络的网络安全性凭证来生成。在一些示例中,所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中,所述基于配对的密码术可包括以下至少一者:基于身份的加密、基于身份的签名、或其组合。在一些示例中,所述处理器和所述存储器可被配置成:确定所述响应与所述无线通信设备的安全性凭证和所述网络的网络安全性凭证相关联,以及至少部分地基于所述响应来确定是否要与所述网络执行aka。在一些示例中,所述处理器和所述存储器可被配置成:确定所述响应不与以下各项相关联:所述无线通信设备的安全性凭证、所述网络的网络安全性凭证、或其组合;以及在确定是否要与所述网络执行aka时避免考虑所述响应。在一些示例中,所述受保护查询消息可包括:接入请求、网络能力查询、服务查询、或其组合。在一些示例中,所述响应可包括使所述无线通信设备拒绝服务的消息。
在一个示例中,描述了一种存储用于在无线通信设备处进行无线通信的计算机可执行代码的非瞬态计算机可读介质。所述代码可由处理器执行以:至少部分地基于所述无线通信设备的安全性凭证来生成受保护查询消息。所述受保护查询消息可在与网络执行aka之前被生成。所述代码可进一步由所述处理器执行以:向所述网络传送所述受保护查询消息;接收对所述受保护查询消息的响应;以及至少部分地基于所接收到的响应来确定是否要与所述网络执行aka。
在所述非瞬态计算机可读介质的一些示例中,所述代码可由所述处理器执行以:至少部分地基于所述无线通信设备的安全性凭证和所述网络的网络安全性凭证来与所述网络建立安全连接,并且所述受保护查询消息可使用所述安全连接被传送给所述网络。在一些示例中,可由所述处理器执行以建立所述安全连接的代码可包括可由所述处理器执行以进行以下操作的代码:与核心网建立所述安全连接。在一些示例中,可由所述处理器执行以建立所述安全连接的代码可包括可由所述处理器执行以进行以下操作的代码:在nas上执行tls握手。在一些示例中,可由所述处理器执行以建立所述安全连接的代码可包括可由所述处理器执行以进行以下操作的代码:与网络接入设备建立所述安全连接。在一些示例中,可由所述处理器执行以建立所述安全连接的代码可包括可由所述处理器执行以进行以下操作的代码:在rrc连接上执行tls握手。在一些示例中,所述代码可由所述处理器执行以:使用所述安全连接来执行aka。在一些示例中,所述无线通信设备可与归属mno的第一移动网络相关联,并且所述代码可由所述处理器执行以获取以下至少一者:从所述第一移动网络获取漫游mno的第一安全性凭证;或从所述漫游mno的第二移动网络获取所述漫游mno的第二安全性凭证,所述第二安全性凭证由所述归属mno签名;或从所述归属mno和所述漫游mno共用的证书权威机构获取所述漫游mno的第三安全性凭证;或其组合。
在所述非瞬态计算机可读介质的一些示例中,所述代码可由所述处理器执行以:确定网络支持接收受保护查询消息。在一些示例中,所述确定可至少部分地基于网络宣告。在一些示例中,所述代码可由所述处理器执行以:从所述网络接收不受保护消息,并且所述受保护查询消息可响应于所述不受保护消息而被生成。在一些示例中,所述受保护查询消息可进一步至少部分地基于所述网络的网络安全性凭证来生成。在一些示例中,所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中,所述基于配对的密码术可包括以下至少一者:基于身份的加密、基于身份的签名、或其组合。在一些示例中,所述代码可由所述处理器执行以:确定所述响应与所述无线通信设备的安全性凭证和所述网络的网络安全性凭证相关联,以及至少部分地基于所述响应来确定是否要与所述网络执行aka。在一些示例中,所述代码可由所述处理器执行以:确定所述响应不与以下各项相关联:所述无线通信设备的安全性凭证、所述网络的网络安全性凭证、或其组合;以及在确定是否要与所述网络执行aka时避免考虑所述响应。在一些示例中,所述受保护查询消息可包括:接入请求、网络能力查询、服务查询、或其组合。在一些示例中,所述响应可包括使所述无线通信设备拒绝服务的消息。
在一个示例中,描述了一种用于在网络设备处进行无线通信的方法。所述方法可包括:在与无线通信设备执行aka之前在网络上从所述无线通信设备接收受保护查询消息。所述受保护查询消息可至少部分地基于所述无线通信设备的安全性凭证。所述方法还可包括:响应于接收到所述受保护查询消息,至少部分地基于所述网络设备的网络安全性凭证来生成受保护响应消息;以及向所述无线通信设备传送所述受保护响应消息。
在一些示例中,所述方法可包括:至少部分地基于所述无线通信设备的安全性凭证和所述网络设备的网络安全性凭证来与所述无线通信设备建立安全连接,并且所述受保护查询消息可使用所述安全连接在所述网络上被接收。在一些示例中,所述网络设备可包括以下至少一者:网络接入设备、核心网设备、或其组合。在一些示例中,所述安全连接可包括在nas上的tls握手。在一些示例中,所述安全连接可包括在rrc连接上的tls握手。在一些示例中,所述方法可包括:使用所述安全连接来与所述无线通信设备执行aka。在一些示例中,所述无线通信设备和所述网络设备可与归属mno的第一移动网络相关联,并且所述方法可包括:在所述第一移动网络上向所述无线通信设备传送漫游mno的安全性凭证。
在所述方法的一些示例中,所述受保护查询消息可进一步至少部分地基于所述网络设备的网络安全性凭证。在一些示例中,所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中,所述受保护查询消息可包括:接入请求、网络能力查询、服务查询、或其组合。在一些示例中,所述受保护响应消息可包括使所述无线通信设备拒绝服务的消息。
在一个示例中,描述了一种用于在网络设备处进行无线通信的装备。所述装备可包括:用于在与无线通信设备执行aka之前在网络上从所述无线通信设备接收受保护查询消息的装置。所述受保护查询消息可至少部分地基于所述无线通信设备的安全性凭证。所述设备还可包括:用于响应于接收到所述受保护查询消息,至少部分地基于所述网络设备的网络安全性凭证来生成受保护响应消息的装置;以及用于向所述无线通信设备传送所述受保护响应消息的装置。
在一些示例中,所述装备可包括:用于至少部分地基于所述无线通信设备的安全性凭证和所述网络设备的网络安全性凭证来与所述无线通信设备建立安全连接的装置,并且所述受保护查询消息可使用所述安全连接在所述网络上被接收。在一些示例中,所述网络设备可包括以下至少一者:网络接入设备、核心网设备、或其组合。在一些示例中,所述安全连接可包括在nas上的tls握手。在一些示例中,所述安全连接可包括在rrc连接上的tls握手。在一些示例中,所述装备可包括:用于使用所述安全连接来与所述无线通信设备执行aka的装置。在一些示例中,所述无线通信设备和所述网络设备可与归属mno的第一移动网络相关联,并且所述装备可包括:用于在所述第一移动网络上向所述无线通信设备传送漫游mno的安全性凭证的装置。
在所述装备的一些示例中,所述受保护查询消息可进一步至少部分地基于所述网络设备的网络安全性凭证。在一些示例中,所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中,所述受保护查询消息可包括:接入请求、网络能力查询、服务查询、或其组合。在一些示例中,所述受保护响应消息可包括使所述无线通信设备拒绝服务的消息。
在一个示例中,描述了另一种用于在网络设备处进行无线通信的装置。所述装置可包括处理器以及与所述处理器处于电子通信的存储器。所述处理器和所述存储器可被配置成:在与无线通信设备执行aka之前在网络上从所述无线通信设备接收受保护查询消息。所述受保护查询消息可至少部分地基于所述无线通信设备的安全性凭证。所述处理器和所述存储器还可被配置成:响应于接收到所述受保护查询消息,至少部分地基于所述网络设备的网络安全性凭证来生成受保护响应消息;以及向所述无线通信设备传送所述受保护响应消息。
在所述装置的一些示例中,所述处理器和所述存储器可被配置成:至少部分地基于所述无线通信设备的安全性凭证和所述网络设备的网络安全性凭证来与所述无线通信设备建立安全连接,并且所述受保护查询消息可使用所述安全连接在所述网络上被接收。在一些示例中,所述网络设备可包括以下至少一者:网络接入设备、核心网设备、或其组合。在一些示例中,所述安全连接可包括在nas上的tls握手。在一些示例中,所述安全连接可包括在rrc连接上的tls握手。在一些示例中,所述处理器和所述存储器可被配置成:使用所述安全连接来与所述无线通信设备执行aka。在一些示例中,所述无线通信设备和所述网络设备可与归属mno的第一移动网络相关联,并且所述处理器和所述存储器可被配置成:在所述第一移动网络上向所述无线通信设备传送漫游mno的安全性凭证。
在所述装备的一些示例中,所述受保护查询消息可进一步至少部分地基于所述网络设备的网络安全性凭证。在一些示例中,所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中,所述受保护查询消息可包括:接入请求、网络能力查询、服务查询、或其组合。在一些示例中,所述受保护响应消息可包括使所述无线通信设备拒绝服务的消息。
在一个示例中,描述了一种存储用于在网络设备处进行无线通信的计算机可执行代码的非瞬态计算机可读介质。所述代码可由处理器执行以:在与无线通信设备执行aka之前在网络上从所述无线通信设备接收受保护查询消息。所述受保护查询消息可至少部分地基于所述无线通信设备的安全性凭证。所述代码还可由所述处理器执行以:响应于接收到所述受保护查询消息,至少部分地基于所述网络设备的网络安全性凭证来生成受保护响应消息;以及向所述无线通信设备传送所述受保护响应消息。
在所述非瞬态计算机可读介质的一些示例中,所述代码可由所述处理器执行以:至少部分地基于所述无线通信设备的安全性凭证和所述网络设备的网络安全性凭证来与所述无线通信设备建立安全连接,并且所述受保护查询消息可使用所述安全连接在所述网络上被接收。在一些示例中,所述网络设备可包括以下至少一者:网络接入设备、核心网设备、或其组合。在一些示例中,所述安全连接可包括在nas上的tls握手。在一些示例中,所述安全连接可包括在rrc连接上的tls握手。在一些示例中,所述代码可由所述处理器执行以:使用所述安全连接来与所述无线通信设备执行aka。在一些示例中,所述无线通信设备和所述网络设备可与归属mno的第一移动网络相关联,并且所述代码可由所述处理器执行以:在所述第一移动网络上向所述无线通信设备传送漫游mno的安全性凭证。
在所述非瞬态计算机可读介质的一些示例中,所述受保护查询消息可进一步至少部分地基于所述网络设备的网络安全性凭证。在一些示例中,所述受保护查询消息可至少部分地以基于配对的密码术为基础来受保护。在一些示例中,所述受保护查询消息可包括:接入请求、网络能力查询、服务查询、或其组合。在一些示例中,所述受保护响应消息可包括使所述无线通信设备拒绝服务的消息。
前述内容已较宽泛地勾勒出根据本公开的示例的技术和技术优势以力图使下面的详细描述可以被更好地理解。附加技术和优势将在此后描述。所公开的概念和具体示例可容易地被用作修改或设计用于实施与本公开相同目的的其他结构的基础。此类等效构造并不背离所附权利要求书的范围。本文所公开的概念的特性在其组织和操作方法两方面以及相关联的优势将因结合附图来考虑以下描述而被更好地理解。每一附图是出于解说和描述目的来提供的,且并不定义对权利要求的限定。
附图简述
通过参考以下附图可获得对本发明的技术的本质和优点的进一步理解。在附图中,类似组件或功能可具有相同的附图标记。此外,相同类型的各个组件可通过在附图标记后跟随短划线以及在类似组件之间进行区分的第二标记来加以区分。如果在说明书中仅使用第一附图标记,则该描述可应用于具有相同的第一附图标记的类似组件中的任何一个组件而不论第二附图标记如何。
图1示出了根据本公开的一个或多个方面的无线通信系统的示例;
图2示出了根据本公开的一个或多个方面的基于公钥的密码术的示例;
图3示出了根据本公开的一个或多个方面的通信流,其中在ue、至少一个网络接入设备、mme、安全密钥管理设施(skmf)、网关(gw)、以及归属订户服务器(hss)之间发生通信;
图4示出了根据本公开的一个或多个方面的通信流,其中在ue与网络设备之间发生通信;
图5示出了根据本公开的一个或多个方面的通信流,其中在ue与网络设备之间发生通信;
图6示出了根据本公开的一个或多个方面的多根pki;
图7示出了根据本公开的一个或多个方面的混合pki;
图8示出了根据本公开的一个或多个方面的桥capki;
图9示出了根据本公开的一个或多个方面的基于配对的密码术的示例;
图10示出了根据本公开的一个或多个方面的通信流,其中在ue与网络设备之间发生通信;
图11示出了根据本公开的一个或多个方面的供在无线通信中使用的装置的框图;
图12示出了根据本公开的一个或多个方面的供在无线通信中使用的无线通信管理器的框图;
图13示出了根据本公开的一个或多个方面的供在无线通信中使用的装置的框图;
图14示出了根据本公开的一个或多个方面的供在无线通信中使用的无线通信管理器的框图;
图15示出了根据本公开的一个或多个方面的供在无线通信中使用的ue的框图;
图16示出了根据本公开的一个或多个方面的供在无线通信中使用的网络接入设备的框图;
图17示出了根据本公开的一个或多个方面的中心节点的框图;
图18是解说了根据本公开的一个或多个方面的在无线通信设备处进行无线通信的方法的示例的流程图;
图19是解说了根据本公开的一个或多个方面的在无线通信设备处进行无线通信的方法的示例的流程图;
图20是解说了根据本公开的一个或多个方面的在无线通信设备处进行无线通信的方法的示例的流程图;
图21是解说了根据本公开的一个或多个方面的在无线通信设备处进行无线通信的方法的示例的流程图;
图22是解说了根据本公开的一个或多个方面的在网络设备处进行无线通信的方法的示例的流程图;
图23是解说了根据本公开的一个或多个方面的在网络设备处进行无线通信的方法的示例的流程图;以及
图24是解说了根据本公开的一个或多个方面的在网络设备处进行无线通信的方法的示例的流程图。
详细描述
本公开描述了用于在执行aka之前传送或接收安全信令的技术。aka前(pre-aka)安全信令可例如通过在信令之前在ue与网络设备之间建立安全连接、或者通过基于ue或网络设备安全性凭证对消息进行认证来达成。网络设备可包括网络接入设备(例如,无线电头端、基站、enb、或anc)或者核心网的中心节点(例如,mme)。在一些示例中,可使用本公开中所描述的技术在aka前受保护的消息类型包括先前未受保护的nas消息,诸如附连请求消息、tau请求消息、服务请求消息、网络能力查询、服务查询、附连拒绝消息、tau拒绝消息、服务拒绝消息、断开请求消息、对这些消息的响应等等。
通过传送受保护信令消息,可缓解攻击者可能截取消息并提供不恰适响应的可能性。在一些示例中,对附连请求消息的不恰适响应可能使ue拒绝服务。例如,攻击者可截取由ue传送的附连请求消息,并使用至ue的附连拒绝消息来对ue进行响应。替换地,攻击者可截取由ue传送的网络能力查询消息,并在网络实际上确实具有能力的情况下使用指示网络不具有此类能力的消息来对ue进行响应。类似地,攻击者可截取被传送给ue的消息,并例如使用曲解ue的能力或者在ue还未从网络断开的情况下指示ue已从网络断开的消息来进行响应。在一些示例中,攻击者对不受保护的nas消息的不恰适响应可能使ue持续数分钟、数小时或更长时间拒绝服务。
以下描述提供示例而并非限定权利要求中阐述的范围、适用性或者示例。可以对所讨论的要素的功能和布置作出改变而不会脱离本公开的范围。各种示例可恰适地省略、替代、或添加各种规程或组件。例如,可以按不同于所描述的次序来执行所描述的方法,并且可以添加、省去、或组合各个方面。另外,参照一些示例所描述的特征可在一些其他示例中被组合。
图1示出了根据本公开的一个或多个方面的无线通信系统100的示例。无线通信系统100可以包括网络接入设备105、ue115和核心网130。核心网130可提供用户认证、接入授权、跟踪、互联网协议(ip)连通性,以及其他接入、路由、或移动性功能。至少一些网络接入设备105(例如,enb105-a或anc105-b)可通过回程链路132(例如,s1、s2等)与核心网130对接,并且可执行无线电配置和调度以与ue115通信。在各种示例中,anc105-b可以直接或间接地(例如,通过核心网130)在回程链路134(例如,x1、x2等)上彼此通信,回程链路134可以是有线或无线通信链路。每个anc105-b还可以通过数个智能无线电头端(无线电头端(rh))105-c与数个ue115通信。在无线通信系统100的替换配置中,anc105-b的功能性可由无线电头端105-c提供或跨enb105-a的无线电头端105-c分布。在无线通信系统100的另一替换配置中,无线电头端105-c可以用基站来替代,并且anc105-可以用基站控制器(或至核心网130的链路)来替代。无线通信系统100还可包括无线电头端105-c、基站、和/或其他网络接入设备105的混合以用于根据不同的rat(例如,lte/lte-a、5g、wi-fi等)来接收/传送通信。
宏蜂窝小区可覆盖相对大的地理区域(例如,半径为数千米的区域),并且可允许无约束地由与网络提供方具有服务订阅的ue115接入。小型蜂窝小区可包括与宏蜂窝小区相比较低功率的无线电头端或基站,并且可在与宏蜂窝小区相同或不同的频带中操作。根据各个示例,小型蜂窝小区可包括微微蜂窝小区、毫微微蜂窝小区、以及微蜂窝小区。微微蜂窝小区可覆盖相对较小的地理区域并且可允许无约束地由与网络提供方具有服务订阅的ue115接入。毫微微蜂窝小区也可覆盖相对较小的地理区域(例如,住宅)且可提供有约束地由与该毫微微蜂窝小区有关联的ue115(例如,封闭订户群(csg)中的ue、住宅中的用户的ue、等等)的接入。用于宏蜂窝小区的enb可被称为宏enb。用于小型蜂窝小区的enb可被称为小型蜂窝小区enb、微微enb、毫微微enb或家用enb。enb可支持一个或多个(例如,两个、三个、四个,等等)蜂窝小区(例如,分量载波)。
无线通信系统100可支持同步或异步操作。对于同步操作,各enb105-a和/或无线电头端105-c可以具有相似的帧定时,并且来自不同enb105-a和/或无线电头端105-c的传输可以在时间上大致对齐。对于异步操作,各enb105-a和/或无线电头端105-c可以具有不同的帧定时,并且来自不同enb105-a和/或无线电头端105-c的传输可以在时间上不对齐。本文中所描述的技术可被用于同步或异步操作。
可容适各种所公开的示例中的一些示例的通信网络可以是根据分层协议栈进行操作的基于分组的网络。在用户面,承载或分组数据汇聚协议(pdcp)层的通信可以是基于ip的。在一些情形中,无线电链路控制(rlc)层可执行分组分段和重组以在逻辑信道上通信。媒体接入控制(mac)层可执行优先级处置并将逻辑信道复用成传输信道。mac层还可使用混合arq(harq)以提供mac层的重传,从而改善链路效率。在控制面,无线电资源控制(rrc)协议层可以提供ue115与无线电头端105-c、anc105-b或核心网130之间支持用户面数据的无线电承载的rrc连接的建立、配置和维护。在物理(phy)层,传输信道可被映射到物理信道。
ue115可分散遍及无线通信系统100,并且每个ue115可以是驻定的或移动的。ue115还可包括或被本领域技术人员称为移动站、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持机、用户代理、移动客户端、客户端、或某个其他合适的术语。ue115可以是蜂窝电话、个人数字助理(pda)、无线调制解调器、无线通信设备、手持式设备、平板计算机、膝上型计算机、无绳电话、无线本地环路(wll)站、ioe设备、等等。ue可以能够与各种类型的enb105-a、无线电头端105-c、基站、接入点、或其他网络接入设备(包括宏enb、小型蜂窝小区enb、中继基站等)通信。ue115还可以能够直接与其他ue(例如,使用对等(p2p)协议)通信。
无线通信系统100中示出的通信链路125可包括从ue115到无线电头端105-c的上行链路(ul)、和/或从无线电头端105-c到ue115的下行链路(dl)。下行链路还可被称为前向链路,而上行链路还可被称为反向链路。控制信息和数据可根据各种技术在上行链路或下行链路上被复用。控制信息和数据可例如使用tdm技术、fdm技术、或混合tdm-fdm技术在上行链路或下行链路上被复用。
一个或多个ue115可包括无线通信管理器1120。在一些示例中,无线通信管理器1120可以是参照图11、12或15所描述的无线通信管理器1120的示例,并且可被用于至少部分地基于ue115的安全性凭证来生成受保护查询消息,其中该受保护查询消息是在与网络(例如,与网络接入设备105、或与核心网130的中心节点(例如,mme))执行aka之前生成的;向网络传送受保护查询消息;接收对受保护查询消息的响应;以及至少部分地基于接收到的响应来确定是否要与网络执行aka。
一个或多个网络设备(例如,无线电头端105-c、基站、enb105-a、或anc105-b、或核心网130的中心节点(例如,mme)中的一者或多者)可包括无线通信管理器1320。在一些示例中,无线通信管理器1320可以是参照图13、14、16或17所描述的无线通信管理器1320的示例,并且可被用于在与无线通信设备(例如,ue115)执行aka之前在网络上从该无线通信设备接收受保护查询消息。受保护查询消息可至少部分地基于无线通信设备的安全性凭证。无线通信管理器1320还可被用于:响应于接收到受保护查询消息,至少部分地基于网络设备的网络安全性凭证来生成受保护响应消息;以及向无线通信设备传送该受保护响应消息。
每个通信链路125可包括一个或多个载波,其中每个载波可以是由根据一个或多个无线电接入技术来调制的多个副载波构成的信号(例如,不同频率的波形信号)。每个经调制信号可在不同的副载波上被发送并且可携带控制信息(例如,参考信号、控制信道等)、开销信息、用户数据等。通信链路125可以使用频分双工(fdd)技术(例如,使用配对频谱资源)或时分双工技术(例如,使用未配对频谱资源)来传送双向通信。可以定义fdd的帧结构(例如,帧结构类型1)和tdd的帧结构(例如,帧结构类型2)。
在无线通信系统100的一些示例中,无线电头端105-c和/或ue115可包括多个天线以采用天线分集方案来改善无线电头端105-c与ue115之间的通信质量和可靠性。附加地或替换地,无线电头端105-c和/或ue115可采用多输入多输出(mimo)技术,该mimo技术可利用多径环境来传送携带相同或不同经编码数据的多个空间层。
无线通信系统100可支持多个蜂窝小区或载波上的操作,这是可被称为载波聚集(ca)或多载波操作的特征。载波也可被称为分量载波(cc)、层、信道等。术语“载波”、“分量载波”、“蜂窝小区”和“信道”在本文中可互换地使用。ue115可配置有用于载波聚集的多个下行链路cc以及一个或多个上行链路cc。载波聚集可与fdd和tdd分量载波两者联用。
图2示出了根据本公开的一个或多个方面的基于公钥的密码系统架构200的示例。基于公钥的密码系统架构200可由与网络进行通信的ue(或与ue进行通信的网络)采用。在一些示例中,ue可以是参照图1所描述的一个或多个ue115的各方面的示例,并且网络可包括参照图1所描述的一个或多个网络接入设备105或者参照图1所描述的核心网130中的一个或多个中心节点。在一些实施例中,ue可被称为“客户端设备”。
在图2中,第一实体205(例如,网络设备)可以基于公钥的密码术为基础在网络上向第二实体210(例如,ue)传送安全消息。在传送安全消息之前,第一实体205可生成公钥/私钥对。在一些示例中,第一实体205可生成私钥(s)和公钥(sp或ps),其中p是公共参数。在一个示例中,sp可被用作椭圆曲线密码术的公钥,而ps可被用于有限域密码术。公钥可与其他方共享。私钥可被维持为第一实体205的机密。
在215,第一实体205可将其公钥传送给注册权威机构(ra)220。ra220可认证第一实体205,并在225向证书权威机构(ca)230传送针对第一实体205的数字证书的请求。在225传送的请求可包括第一实体205的公钥。ca可用作网络实体的“信任根”(其中“实体”可包括网络中的网络设备、正在接入网络的用户设备、其组合),并且可发布第一实体205的数字证书(例如,其中ca使用ca230的私钥对第一实体205的公钥进行签名的证书)。在235,ca230可向第一实体205传送第一实体205的数字证书。
在240,第一实体205可向第二实体210传送安全消息。该安全消息可以是使用基于第一实体205的数字证书的数字签名进行签名的通信。在接收到安全消息之际,第二实体210可在245与ca230通信,以验证第一实体205的数字证书。如果第二实体可以藉由认证数字签名来验证通信,则ue可继续通信。
在其他示例中,如果ue不能验证通信(例如,不存在与传输相关联的数字签名),则ue可采取多个动作中的任何动作。在一个示例中,ue可在预定时间(例如,在每次失败的尝试之后的指数退避)期满之后传送重新请求(re-request)。在另一示例中,ue可使用不同的蜂窝小区来传送重新请求。在又一示例中,ue可在从当前蜂窝小区移动离开预定距离之后传送重新请求,或者可在作出跟踪区域改变之后传送重新请求。
类似于第一实体205如何生成公钥/私钥对并从ca230获取数字证书,第二实体210可类似地生成公钥/私钥对并从ca230获取其自身的数字证书。
在一些示例中,基于公钥的密码术(诸如参照图2所描述的基于公钥的密码系统架构200)可由移动网络运营商(mno)用于为由ue和网络设备传送的aka前消息提供安全性。在一些示例中,mno的节点(例如,中心节点)可生成公钥/私钥(pk-sk)对。mno可从受信任ca获取与其公钥相对应的数字证书,或者可生成针对其公钥的自认证数字证书。在任一情形中,mno可将与其公钥相对应的数字证书提供给在mno控制下的网络设备(例如,客户端装备(cpe),诸如移动性管理实体(mme);面向用户的运营商边界(upe)装备,诸如分组网关(p-gw);或网络接入设备,诸如无线电头端、基站、enb、或anc)。替换地,mno可促使或允许网络设备生成其自身的公钥/私钥对,或者可将公钥/私钥对提供给网络设备。mno还可将与其公钥相对应的数字证书、或者与mno内的网络设备的公钥相对应的数字证书提供给与mno相关联的订户装备(例如,ue)。在一些示例中,mno和/或其网络设备的(诸)数字证书可作为订户设备的订阅登记过程的一部分(例如,经由接入管理服务器)被提供给订户设备。
客户端设备也可生成公钥/私钥对,并且可从mno获取与其公钥相对应的数字证书。
图3示出了根据本公开的一个或多个方面的通信流300,其中在ue115-a、至少一个网络接入设备105-d(例如,无线电头端、基站、enb、和/或anc)、mme305、安全密钥管理实体(skmf)310、网关(gw)315、以及归属订户服务器(hss)320之间发生通信。在一些示例中,mme可以是4g实体,并且在4g技术的上下文中可使用术语“mme”或“移动性管理实体”。关于5g技术,所使用的术语可以是“移动性管理功能”(“mmf”)和“会话管理功能”(“smf”)。在4g上下文中,mme可被划分成两个功能:mmf和smf。ue115-a可以是参照图1所描述的ue115的各方面的示例,并且网络接入设备105-d可以是参照图1所描述的网络接入设备105的各方面的示例。
在325,ue115-a和mme305(第一网络设备)可设立认证和密钥协商前(aka前)安全连接。替换地,mme305可将aka前安全连接的设立委托给网络接入设备(第二网络设备),并且ue115-a和网络接入设备105-d可在325-a设立aka前安全连接。在一些示例中,mme305可将aka前安全连接的设立委托给网络接入设备105-d,这是因为mme305具有繁重的处理负载并且mme305与网络接入设备105-d具有受信任关系。在一些示例中,325或325-a的aka前安全连接设立可以基于握手(例如,传输层安全性(tls)握手)。aka前安全连接可以基于一个或多个端实体数字证书。当在ue115-a与mme305之间设立aka前安全连接时,并且在一些示例中,建立安全连接可包括在nas上执行tls握手。当aka前安全连接在ue115-a与网络接入设备105-d之间设立时,并且在一些示例中,建立安全连接可包括在rrc连接上执行tls握手。
在325或325-a设立aka前安全连接之后,ue115-a可向网络(例如,向网络接入设备105-d)传送非接入层(nas)消息,诸如附连请求消息330。可使用aka前安全连接来传送该nas消息。在335,网络接入设备105-d可向mme305传送初始ue消息,该mme305进而可在340向skmf310传送该初始ue消息。在345,ue115-a和网络(例如,skmf310)可执行aka。在执行aka的同时,skmf310可在350与hss320通信。作为执行aka的一部分,并且在355,skmf310可在mme305处安装密钥kasme,并且在360,mme305可向ue115-a传送nas安全性模式命令(smc),并且nas安全性可被配置用于ue115-a。在365,mme305可向gw315传送创建会话请求消息;并且在370,gw315可向mme305返回创建会话响应消息。mme305随后可在375向网络接入设备105-d传送初始上下文设立请求。
在380,网络接入设备105-d可向ue115-a传送接入层(as)smc,并且as安全性可被配置用于ue115-a。作为as安全性配置的一部分,并且在385,网络接入设备105-d可向ue115-a传送rrc连接重配置消息。在390,ue115-a可向网络接入设备105-d传送rrc连接重配置完成消息。在395,网络接入设备105-d可向mme305传送初始上下文设立响应。
在一些条件下,网络可拒绝ue的附连请求消息330,或者以其他方式使ue115-a拒绝服务。例如,mme305或网络接入设备105-d可向ue115-a传送附连拒绝消息,而不是在345执行aka。附连拒绝消息可使ue115-a拒绝服务,并且在lte/lte-a或4g环境中,附连拒绝消息可使ue115-a认为ue115-a的通用订户身份模块(usim)对于演进型分组系统(eps)服务和非eps服务两者都无效,直至ue115-a功率循环,或者直至包含usim的通用集成电路卡(uicc)被移除(并且被重新插入或替代)。在一些示例中,附连拒绝消息可由攻击者发送给ue115-a,由于不能够验证该附连拒绝消息而被ue115-a认为有效(即,由网络发送)。在一些示例中,可使ue115-a拒绝服务的消息或者由网络传送给ue115-a的其他aka前消息可使用aka前安全连接325或325-a来传送。以此方式,ue115-a可将由网络设备传送的有效响应与由攻击者传送的无效响应区分开。
在一些示例中,ue115-a可在附连请求消息330之前或者作为其替代来传送另一消息。例如,ue115-a可传送跟踪区域更新(tau)请求消息、服务请求消息、网络能力查询、服务查询等等。在一些示例中,网络设备可使用使ue115-a拒绝服务的消息(诸如tau拒绝消息或服务拒绝消息)来进行响应。网络设备还可使用指示网络不能提供ue115-a所期望的服务或能力的消息来进行响应。在一些示例中,网络可向ue115-a传送(并且可发起传输)断开请求消息。(由ue115-a或网络传送的)任何或所有这些消息可使用aka前安全连接325或325-a来传送。这些类型的消息的受保护传输可以缓解ue115-a或网络接收到和作用于攻击者的消息的可能性。如已经提到的,不受保护的aka前消息传输可以使ue115-a容易受到非网络发起的拒绝服务。不受保护的aka前消息传输还可以使ue115-a容易受到次佳服务传递。例如,攻击者可使用指示网络能够进行与它实际能够提供的服务相比更少的服务的消息来对ue115-a所传送的服务查询进行响应,或者攻击者可向网络传送指示ue115-d能够进行与它实际能够支持的服务相比更少的服务的消息。
图4示出了根据本公开的一个或多个方面的通信流400,其中在ue115-b与网络设备405之间发生通信。在一些示例中,通信流400可被用于设立参照图3所描述的aka前安全连接325或325-a。通信流400可以基于tls握手。ue115-b可以是参照图1或3所描述的ue115的各方面的示例,并且网络设备405可以是参照图1或3所描述的网络接入设备105(例如,无线电头端、基站、enb、和/或anc)、参照图1所描述的核心网130的中心节点、或参照图3所描述的mme305的各方面的示例。
在410,ue115-b可向网络设备405传送安全连接请求消息,该安全连接请求消息包括ue115-b的安全性凭证(例如,客户端随机数(c_rand))。在一些示例中,该安全连接请求消息还可包括由ue115-b支持的密码套件的指示。
在415,网络设备405可选择密码套件来与ue115-b建立安全连接。该密码套件可基于从ue115-b接收到的密码套件的指示或者由网络设备405独立地来选择。
在420,网络设备405可向ue115-b传送安全连接响应消息,该安全连接响应消息包括网络安全性凭证(例如,网络设备405的数字证书(certificate)和服务器随机数(s_rand))。
在425,ue115-b可验证网络设备405的数字证书,生成预主密钥(pre-mastersecret),并至少部分地基于网络设备405的公钥来加密该预主密钥。ue115-b还可基于预主密钥、客户端随机数、以及服务器随机数来推导出会话密钥。
在430,ue115-b可向网络设备405传送包括经加密预主密钥的消息。可任选地,可使用ue115-b的数字证书来认证该包括经加密预主密钥的消息。
在435,网络设备405可解密预主密钥,并基于预主密钥、客户端随机数、以及服务器随机数来推导出会话密钥。如果包括经加密预主密钥的消息是使用ue115-b的数字证书来认证的,则网络设备405可验证ue115-b的数字证书。
在440,网络设备405可向ue115-b传送可由ue115-b用于确认ue115-b和网络设备405推导出相同会话密钥的消息。ue115-b可在445确认ue115-b和网络设备405推导出相同的会话密钥。
在通信流400中,可在通信流400开始之前向ue115-b提供网络(或mno)的数字证书(例如,自签名的或受信任方签名的数字证书),并且基于该数字证书,ue115-b可验证数字证书(或网络安全性凭证),如图4中所描述的。
在通信流400的一些示例中,安全连接请求消息和安全连接响应消息可以至少部分地基于安全套接字层(ssl)或传输层安全性(tls)消息。替换地,ssl/tls连接可建立在nas上(例如,当网络设备405是mme时)或rrc上(例如,当网络设备405是网络接入设备时)。
图5示出了根据本公开的一个或多个方面的通信流500,其中在ue115-c与网络设备405-a之间发生通信。在一些示例中,通信流500可被用于认证如参照图3所描述的附连请求消息330的传输,而无需首先在ue115-c与网络设备405-a之间设立安全连接(例如,无需设立图3中的325或325-a的aka前安全连接)。ue115-c可以是参照图1、3或4所描述的ue115的各方面的示例,并且网络设备405-a可以是参照图1或3所描述的网络接入设备105(例如,无线电头端、基站、enb、和/或anc)、参照图1所描述的核心网130的中心节点、参照图3所描述的mme305、或参照图4所描述的网络设备405的各方面的示例。
在505,ue115-c可向网络设备405-a传送附连请求消息,其中该附连请求消息可包括ue115-c的安全性凭证(例如,客户端随机数(c_rand))。在一些示例中,ue115-c可使用ue115-c的私钥(例如,由第一实体205选择并且仅对第一实体205已知的机密数,并且可由kue-1表示)来对整个附连请求消息(包括客户端随机数)进行签名,并将经签名的消息和ue115-c的数字证书(certificate(ue))发送给网络设备405。
在510,网络设备405-a可向ue115-c传送附连拒绝消息,其中该附连拒绝消息可包括网络设备405-a的安全性凭证(例如,网络设备405-a的私钥(例如,由第一实体205选择并仅对第一实体205已知的机密数,并且可由knf-1表示))。在一些示例中,网络设备405-a可使用网络设备405-a的私钥来对附连拒绝消息连同客户端随机数进行签名。网络设备405-a还可向ue115-c提供网络设备405-a的数字证书(certificate(nf))。
在通信流500的替换示例中,附连请求消息可以替换地是或者包括tau请求消息、服务请求消息、网络能力查询、服务查询等等。此外,附连拒绝消息可以替换地是或者包括tau拒绝消息、或服务拒绝消息。替换地,通信流500可开始于网络设备405-a向ue115-c传送消息(例如,断开请求)(例如,基于服务器随机数(s_rand)、网络设备405-a的私钥、和/或网络设备405-a的数字证书),之后是ue115-c传送消息以确收该断开请求(例如,基于服务器随机数、ue115-c的私钥、和/或ue115-c的数字证书)。
当ue需要向漫游mno(例如,作为ue的归属mno的漫游伙伴来操作的mno)传送附连请求消息、tau请求消息、服务请求消息、网络能力查询、服务查询等等时,ue可能需要验证该漫游mno的数字证书。在一些示例中,可使用(例如,如参照图6所描述的)多根公钥基础设施(pki)、(例如,如参照图7所描述的)混合pki、或者(例如,如参照图8所描述的)桥capki来验证漫游mno的数字证书。
图6示出了根据本公开的一个或多个方面的多根pki600。多根pki600可包括已建立信任关系的多个mno(例如,第一mno605、第二mno605-a、以及第三mno605-b)。每个mno可与数个订户设备(例如,ue)相关联。例如,第一mno605可与第一订户设备610和第二订户设备610-a相关联;第二mno605-a可与第三订户设备610-b、第四订户设备610-c和第五订户设备610-d相关联;并且第三mno605-b可与第六订户设备610-e、第七订户设备610-f和第八订户设备610-g相关联。
由于各mno已建立信任关系,因此每个mno可将其数字证书(安全性凭证)提供给该信任关系中所包括的其他mno,并且每个mno可将其漫游伙伴的数字证书提供给其订户设备。以此方式,订户设备可通过从该订户设备的归属mno接收到漫游mno的数字证书来验证该漫游mno的数字证书的真实性。
在一些示例中,mno的漫游伙伴的数字证书可通过特殊接口(例如,通过mno的接入管理服务器)提供给该mno的订户设备。多根pki600的潜在优点可以是减少空中(ota)消息大小开销。然而,多根pki600的潜在缺点可以是由每个订户设备存储的数据量的增加。
图7示出了根据本公开的一个或多个方面的混合pki700。混合pki700可包括已建立信任关系的多个mno(例如,第一mno705和第二mno705-a)。每个mno可与数个无线通信设备(例如,ue)相关联。例如,第一mno705可与第一无线通信设备710、第二无线通信设备710-a和第三无线通信设备710-b相关联;并且第二mno705-a可与第四无线通信设备710-c、第五无线通信设备710-d、第六无线通信设备710-e、第七无线通信设备710-f和第八无线通信设备710-g相关联。
由于各mno已建立信任关系,因此每个mno可对该信任关系中所包括的其他mno的数字证书进行签名(例如,作为交叉证书)。当无线通信设备(例如,第四无线通信设备710-c)是一个mno(例如,第一mno705)的订户设备并且尝试附连到漫游mno(例如,第二mno705-a)的网络接入设备时,该漫游mno可向无线通信设备传送第一数字证书(例如,漫游mno的数字证书)和第二数字证书(例如,由无线通信设备的归属mno签名的漫游mno的数字证书)。以此方式,无线通信设备可通过验证其归属mno对漫游mno的数字证书的副本进行了签名来验证该漫游mno的数字证书的真实性。混合pki700的潜在优点可以是单个信任根(即,归属mno)。然而,混合pki700的潜在缺点可以是增加ota消息大小(因为可能需要将两个数字证书传送给正尝试附连到mno的无线通信设备)。
图8示出了根据本公开的一个或多个方面的桥capki800。桥capki800可包括已各自与桥ca815建立信任关系的多个mno(例如,第一mno805和第二mno805-a)。每个mno可与数个无线通信设备(例如,ue)相关联。例如,第一mno805可与第一无线通信设备810、第二无线通信设备810-a和第三无线通信设备810-b相关联;并且第二mno805-a可与第四无线通信设备810-c、第五无线通信设备810-d、第六无线通信设备810-e、第七无线通信设备810-f和第八无线通信设备810-g相关联。
由于每个mno与共用桥ca815具有已建立的信任关系,因此每个无线通信设备的归属mno可授权或配置其订户设备以信任可以由桥ca815认证的数字证书。在一些示例中,归属mno可向其订户设备提供桥ca815的gsma证书。桥capki800的潜在优点可以是单个信任根(即,桥ca815)和减少的ota消息大小(例如,因为可能仅需要将一个数字证书传送给正尝试附连到mno的无线通信设备)。然而,桥capki800的潜在缺点可以是单个故障点(即,桥ca)。
与参照图2-8所描述的安全信令示例相关联的数字证书传递会向安全信令添加相当大的消息接发开销。数字证书可包括例如公钥、指纹、签名、和/或其他元数据。对于128位安全性,rsa公钥大小和签名大小可以各自是3072位。对于128位安全性,椭圆曲线密码术(ecc)公钥大小可以是256位,并且签名大小可以是512位。即使在mno使用自签名的数字证书时,消息接发开销也可以是相当大的。例如,rs2048的自签名rsa数字证书可以是0.8千字节(kb)到1.0kb。此外,可传递两个数字证书(例如,端实体(ee)证书和中间ca证书(例如,在预先安装根ca证书的情况下))。
图9示出了根据本公开的一个或多个方面的基于配对的密码术900的示例。基于配对的密码术900可由与网络进行通信的ue(或与ue进行通信的网络)采用。在一些示例中,ue可以是参照图1、3、4或5所描述的一个或多个ue115的各方面的示例,并且网络可包括参照图1所描述的一个或多个网络接入设备105、参照图1所描述的核心网130中的一个或多个中心节点、参照图3所描述的mme305、或参照图4或5所描述的网络设备405中的一者。
在图9中,第一实体905(例如,ue)可使用基于配对的密码术(例如,椭圆曲线上的基于配对的密码术(例如,使用weil配对或tate配对))在网络上向第二实体910(例如,网络设备)传送安全消息。基于配对的密码术可包括例如基于身份的加密或基于身份的签名。在一些示例中,第一实体905可在920从私钥生成器(pkg)915获取公钥sp。pkg915可从私钥(s)和公共参数(p)生成公钥sp。该私钥可被维持作为pkg915的机密。使用公钥、第二实体910的标识符(id)、以及随机数(r),第一实体905可推导出加密密钥(k=(rid,sp)),并基于该加密密钥来加密消息(m)以形成经加密消息:ek[m],rp。经加密消息可在925被传送给第二实体910。在930,第二实体910可从pkg915获取私钥sid。pkg915可从该pkg的私钥(s)和第二实体910的标识符(id)生成私钥sid。使用私钥(sid)和参数rp,第二实体910可推导出加密密钥(k=(sid,rp))。由于k=(rid,sp)=(sid,rp),因此由第二实体910推导出的加密密钥可被用于解密从第一实体905接收到的经加密消息。
基于配对的密码术的潜在优点是pki是不必要的,并且不需要在各实体之间传递公钥。基于配对的密码术的潜在缺点是pkg915可以解密任何消息。然而,如果pkg915由其服务的mno控制,则这可能没问题。
图10示出了根据本公开的一个或多个方面的通信流1000,其中在ue115-d与网络设备405-b之间发生通信。在一些示例中,通信流1000可被用于认证参照图3所描述的附连请求消息330的传输,而无需首先在ue115-d与网络设备405-b之间设立安全连接(例如,无需设立图3中的325或325-a的aka前安全连接)。ue115-d可以是参照图1、3、4或5所描述的ue115的各方面的示例,并且网络设备405-b可以是参照图1或3所描述的网络接入设备105(例如,无线电头端、基站、enb、和/或anc)、参照图1所描述的核心网130的中心节点、参照图3所描述的mme305、或参照图4或5所描述的网络设备405的各方面的示例。
在1005,ue115-d可获取网络的公钥sp。公钥sp可基于网络的私钥(s)和公共参数(p)。使用该公钥、网络设备405-b的id、以及随机数(r),ue115-d可推导出加密密钥(k=(rid,sp)),并基于该加密密钥来推导出消息认证码(mack)。在一些示例中,网络设备405-b的id可以是全局唯一移动性管理实体标识符(gummei)的散列(即,hash(gummei))或跟踪区域身份(tai)的散列(即,hash(tai))。当id是hash(gummei)时,ue115-d可从网络接入设备(例如,enb)获取网络设备405-b的gummei。当id是hash(tai)时,相关联的(诸)mme可由其mno提供对应的私钥。消息认证码(mack)可被用于加密附连请求消息。在1010,ue115-d可向网络设备405-b传送经加密的附连请求消息和参数rp。
在1015,网络设备405-b可推导出加密密钥k以用于解密经加密的附连请求消息。在一些示例中,网络设备405-b可至少部分地基于参数rp来推导出加密密钥k,并基于网络的私钥和网络设备405-b的id来推导出私钥。在解密附连请求消息之后,网络设备405-b可生成响应(例如,附连拒绝消息),使用消息认证码mack来加密附连请求消息,并在1020将经加密的附连请求消息传送给ue115-d。
在通信流1000的替换示例中,附连请求消息可以替换地是或者包括tau请求消息、服务请求消息、网络能力查询、服务查询等等。此外,附连拒绝消息可以替换地是或者包括tau拒绝消息、或服务拒绝消息。替换地,通信流1000可开始于网络设备405-b向ue115-d传送消息(例如,断开请求),之后是ue115-d传送消息以确收该断开请求。
图11示出了根据本公开的一个或多个方面的供在无线通信中使用的装置1115的框图1100。装置1115可以是参照图1、3、4、5或10所描述的一个或多个ue115的各方面的示例。装置1115也可以是或包括处理器。装置1115可包括接收机1110、无线通信管理器1120-a或发射机1130。这些组件中的每一者可与彼此处于通信。
装置1115的各组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的专用集成电路(asic)来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在一些其他示例中,可使用可按本领域所知的任何方式来编程的其他类型的集成电路(例如,结构化/平台asic、现场可编程门阵列(fpga)、片上系统(soc)和/或其他类型的半定制ic)。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。
在一些示例中,接收机1110可包括至少一个射频(rf)接收机,诸如可操作用于在一个或多个射频谱带上接收传输的至少一个rf接收机。在一些示例中,该一个或多个射频谱带可被用于lte/lte-a或5g通信,如例如参照图1、2、3、4、5、6、7、8、9或10所描述的。接收机1110可被用于在无线通信系统的一条或多条通信链路(诸如参照图1所描述的无线通信系统100的一条或多条通信链路)上接收各种类型的数据或控制信号(即,传输)。
在一些示例中,发射机1130可包括至少一个rf发射机,诸如可操作用于在一个或多个射频谱带上进行传送的至少一个rf发射机。在一些示例中,该一个或多个射频谱带可被用于lte/lte-a或5g通信,如例如参照图1、2、3、4、5、6、7、8、9或10所描述的。发射机1130可被用于在无线通信系统的一条或多条通信链路(诸如参照图1所描述的无线通信系统100的一条或多条通信链路)上传送各种类型的数据或控制信号(即,传输)。
在一些示例中,无线通信管理器1120-a可被用来管理用于装置1115的无线通信的一个或多个方面。在一些示例中,无线通信管理器1120-a的一部分可被纳入接收机1110或发射机1130中或与其共享。在一些示例中,无线通信管理器1120-a可以是参照图1所描述的无线通信管理器1120的各方面的示例。在一些示例中,无线通信管理器1120-a可包括受保护查询消息生成器1135、受保护查询消息传输管理器1140、响应处理器1145、或aka管理器1150。
受保护查询消息生成器1135可被用于至少部分地基于装置1115的安全性凭证来生成受保护查询消息。可在与网络执行aka之前生成该受保护查询消息。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。受保护查询消息传输管理器1140可被用于将由受保护查询消息生成器1135生成的受保护查询消息传送给网络。响应处理器1145可被用于接收对受保护查询消息的响应。在一些示例中,该响应可包括对由受保护查询消息传输管理器1140传送的受保护查询消息的确收或者由网络开始执行aka的消息。aka管理器1150可被用于至少部分地基于由响应处理器1145接收到的响应来确定是否要与网络执行aka。
在装置1115的一些示例中,受保护查询消息生成器1135可以另外地或替换地至少部分地基于网络的网络安全性凭证来生成受保护查询消息。在一些示例中,受保护查询消息可至少部分地以基于配对的密码术为基础来受保护,如例如参照图9或10所描述的。在一些示例中,基于配对的密码术可包括基于身份的加密、基于身份的签名、或其组合。
图12示出了根据本公开的一个或多个方面的供在无线通信中使用的无线通信管理器1120-b的框图1200。无线通信管理器1120-b可以是参照图1或11所描述的无线通信管理器1120的各方面的示例。
无线通信管理器1120-b的各组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的asic来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在一些其他示例中,可使用可按本领域所知的任何方式来编程的其他类型的集成电路(例如,结构化/平台asic、fpga、soc和/或其他类型的半定制ic)。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。
在一些示例中,无线通信管理器1120-b可被用来管理用于无线通信设备(例如,ue)或装置(诸如参照图1、3、4、5、10或11所描述的ue115或装置1115中的一者)的无线通信的一个或多个方面。在一些示例中,无线通信管理器1120-b的一部分可被纳入接收机或发射机(例如,参照图11所描述的接收机1110或发射机1130)中或与其共享。在一些示例中,无线通信管理器1120-b可包括aka前安全性管理器1205、不受保护消息处理器1225、受保护查询消息生成器1135-a、受保护查询消息传输管理器1140-a、响应处理器1145a、或aka管理器1150-a。
aka前安全性管理器1205可包括所支持的安全性确定器1210、tls握手管理器1215、或漫游安全性管理器1220。所支持的安全性确定器1210可被用于可任选地确定网络是否支持接收受保护查询消息。在一些示例中,所支持的安全性确定器1210可至少部分地基于由网络通信管理器1120-b接收到的网络宣告来确定网络是否支持接收受保护查询消息。
在一些示例中,aka前安全性管理器1205可被用于可任选地至少部分地基于包括无线通信管理器1120-b的装置的安全性凭证和网络的网络安全性凭证来与该网络建立安全连接,如例如参照图2、3或4所描述的。在一些示例中,可与核心网(例如,与mme)建立安全连接。在这些(和其他)示例中,建立安全连接可包括:使用tls握手管理器1215在nas上执行tls握手。在其他示例中,可与网络接入设备(例如,无线电头端、基站、enb、或anc)建立安全连接。在这些(和其他)示例中,建立安全连接可包括:使用tls握手管理器1215在rrc连接上执行tls握手。
漫游安全性管理器1220可被用于可任选地获取以下至少一者:从包括无线通信管理器1120-b的装置的归属mno的第一移动网络获取漫游mno的第一安全性凭证;或者从漫游mno的第二移动网络获取该漫游mno的第二安全性凭证,其中第二安全性凭证由归属mno签名;或从归属mno和漫游mno共用的证书权威机构获取漫游mno的第三安全性凭证;或其组合。
不受保护消息处理器1225可被用于可任选地从网络接收不受保护消息。在一些示例中,不受保护消息可包括传送消息、执行aka等等的需求。响应于接收到不受保护消息,并且在一些示例中,不受保护消息处理器1225可触发受保护查询消息生成器1135-a以生成恰适的受保护查询消息。
受保护查询消息生成器1135-a可被用于至少部分地基于包括无线通信管理器1120-b的装置的安全性凭证来生成受保护查询消息。在一些示例中,受保护查询消息生成器1135-a可以另外地或替换地至少部分地基于网络的网络安全性凭证来生成受保护查询消息。可在与网络执行aka之前生成该受保护查询消息。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。在一些示例中,受保护查询消息可响应于由不受保护消息处理器1225接收到的不受保护消息而生成。在一些示例中,可至少部分地基于由所支持的安全性确定器1210确定的安全性类型来生成受保护查询消息。
在一些示例中,受保护查询消息生成器1135-a可包括基于公钥的密码术管理器1230或者基于配对的密码术管理器1235。基于公钥的密码术管理器1230可被用于生成受保护查询消息以用于使用安全连接来传输到网络,如例如参照图2、3或4所描述的。基于配对的密码术管理器1235可被用于至少部分地以基于配对的密码术为基础来生成受保护查询消息(以用于传输到网络),如例如参照图9或10所描述的。在一些示例中,基于配对的密码术可包括基于身份的加密、基于身份的签名、或其组合。
受保护查询消息传输管理器1140-a可被用于将由受保护查询消息生成器1135-a生成的受保护查询消息传送给网络。在一些示例中,可使用由aka前安全性管理器1205或tls握手管理器1215建立的安全连接来将受保护查询消息传送给网络。
响应处理器1145-a可被用于接收对受保护查询消息的响应。在一些示例中,该响应可包括对由受保护查询消息传输管理器1140-a传送的受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,响应处理器1145-a可确定接收到的响应是否与预期的安全性凭证(例如,包括无线通信管理器1120-b的装置的安全性凭证和网络的网络安全性凭证)相关联。在确定接收到的响应与预期的(诸)安全性凭证相关联之际,响应处理器1145-a可进一步确定接收到的响应是否包括使包括无线通信管理器1120-b的装置拒绝服务的消息。在确定接收到的响应不使无线通信设备拒绝服务之际,响应处理器1145-a可将该响应转发给aka管理器1150-a。在确定接收到的响应使包括无线通信管理器1120-b的装置拒绝服务之际,响应处理器1145-a可使包括无线通信管理器1120-b的装置避免接入网络。
在一些示例中,响应处理器1145-a可包括攻击标识器1240。攻击标识器1240可被用于确定接收到的响应何时不与预期的安全性凭证(例如,包括无线通信管理器1120-b的装置的安全性凭证或网络的网络安全性凭证)相关联,并使aka管理器1150-a在确定是否要与网络执行aka时避免考虑这种响应。
aka管理器1150-a可被用于至少部分地基于由响应处理器1145-a接收到的响应来确定是否要与网络执行aka。当执行aka时,并且在一些示例中,可使用由aka前安全性管理器1205或tls握手管理器1215建立的安全连接来执行aka。还可使用基于配对的密码术来执行aka。
图13示出了根据本公开的一个或多个方面的供在无线通信中使用的装置1305的框图1300。装置1305可以是参照图1、3或16所描述的一个或多个网络接入设备105(例如,无线电头端、基站、enb、或anc)的各方面、或参照图1所描述的核心网130的各方面、或参照图4、5或10所描述的网络设备405的各方面的示例。装置1305也可以是或包括处理器。装置1305可包括接收机1310、无线通信管理器1320-a或发射机1330。这些组件中的每一者可与彼此处于通信。
装置1305的各组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的asic来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在一些其他示例中,可使用可按本领域所知的任何方式来编程的其他类型的集成电路(例如,结构化/平台asic、fpga、soc和/或其他类型的半定制ic)。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。
在一些示例中,接收机1310可包括至少一个rf接收机,诸如可操作用于在一个或多个射频谱带上接收传输的至少一个rf接收机。在一些示例中,该一个或多个射频谱带可被用于lte/lte-a或5g通信,如例如参照图1、2、3、4、5、6、7、8、9或10所描述的。接收机1310可被用于在无线通信系统的一条或多条通信链路(诸如参照图1所描述的无线通信系统100的一条或多条通信链路)上接收各种类型的数据或控制信号(即,传输)。
在一些示例中,发射机1330可包括至少一个rf发射机,诸如可操作用于在一个或多个射频谱带上进行传送的至少一个rf发射机。在一些示例中,该一个或多个射频谱带可被用于lte/lte-a或5g通信,如例如参照图1、2、3、4、5、6、7、8、9或10所描述的。发射机1330可被用于在无线通信系统的一条或多条通信链路(诸如参照图1所描述的无线通信系统100的一条或多条通信链路)上传送各种类型的数据或控制信号(即,传输)。
在一些示例中,无线通信管理器1320-a可被用来管理用于装置1305的无线通信的一个或多个方面。在一些示例中,无线通信管理器1320-a的一部分可被纳入接收机1310或发射机1330中或与其共享。在一些示例中,无线通信管理器1320-a可以是参照图1所描述的无线通信管理器1320的各方面的示例。在一些示例中,无线通信管理器1320-a可包括受保护查询消息处理器1335、受保护响应消息生成器1340、或受保护响应消息传输管理器1345。
受保护查询消息处理器1335可被用于在与无线通信设备(例如,ue)执行aka之前在网络上从该无线通信设备接收受保护查询消息。受保护查询消息可至少部分地基于无线通信设备的安全性凭证。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。受保护响应消息生成器1340可被用于:响应于接收到受保护查询消息,至少部分地基于装置1305的网络安全性凭证来生成受保护响应消息。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,所述受保护响应消息可包括使所述无线通信设备拒绝服务的消息。受保护响应消息传输管理器1345可被用于向无线通信设备传送受保护响应消息。
在装置1305的一些示例中,由受保护查询消息处理器1335接收的受保护查询消息可以另外地或替换地至少部分地基于网络的网络安全性凭证。在一些示例中,由受保护响应消息生成器1340生成的受保护响应消息可以另外地或替换地至少部分地基于无线通信设备的安全性凭证。在一些示例中,受保护查询消息或受保护响应消息可至少部分地以基于配对的密码术为基础来受保护,如例如参照图9或10所描述的。在一些示例中,基于配对的密码术可包括基于身份的加密、基于身份的签名、或其组合。
图14示出了根据本公开的一个或多个方面的供在无线通信中使用的无线通信管理器1320-b的框图1400。无线通信管理器1320-b可以是参照图1或13所描述的无线通信管理器1320的各方面的示例。
无线通信管理器1320-b的各组件可个体地或整体地使用一个或多个适配成以硬件执行一些或所有适用功能的asic来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在一些其他示例中,可使用可按本领域所知的任何方式来编程的其他类型的集成电路(例如,结构化/平台asic、fpga、soc和/或其他类型的半定制ic)。每个组件的功能也可以整体或部分地用实施在存储器中的、被格式化成由一或多个通用或专用处理器执行的指令来实现。
在一些示例中,无线通信管理器1320-b可被用来管理用于无线通信设备(例如,网络接入设备或核心网的设备)或装置(诸如参照图1、3、4、5、10或13所描述的网络接入设备105、网络设备405或装置1305中的一者)的无线通信的一个或多个方面。在一些示例中,无线通信管理器1320-b的一部分可被纳入接收机或发射机(例如,参照图13所描述的接收机1310或发射机1330)中或与其共享。在一些示例中,无线通信管理器1320-b可包括aka前安全性管理器1405、不受保护消息接发管理器1425、受保护查询消息处理器1335-a、受保护响应消息生成器1340-a、受保护响应消息传输管理器1345-a、或aka管理器1440。
aka前安全性管理器1405可包括所支持的安全性宣告器1410、tls握手管理器1415、或漫游安全性管理器1420。所支持的安全性宣告器1410可被用于可任选地宣告与包括无线通信管理器1320-b的装置相关联的网络支持受保护查询消息。在一些示例中,进行宣告可包括在网络上广播网络宣告。
在一些示例中,aka前安全性管理器1405可被用于可任选地至少部分地基于无线通信设备(例如,ue)的安全性凭证和包括无线通信管理器1320-b的装置的网络安全性凭证来与该无线通信设备建立安全连接,如例如参照图2、3或4所描述的。在一些示例中,包括无线通信管理器1320-b的装置可包括核心网的一部分(例如,mme)。在这些(和其他)示例中,建立安全连接可包括:使用tls握手管理器1415在nas上执行tls握手。在其他示例中,包括无线通信管理器1320-b的装置可包括网络接入设备(例如,无线电头端、基站、enb、或anc)。在这些(和其他)示例中,建立安全连接可包括:使用tls握手管理器1415在rrc连接上执行tls握手。
漫游安全性管理器1420可被用于可任选地向无线通信网络传送漫游mno的安全性凭证。漫游mno的安全性凭证可在归属mno的第一移动网络上被传送给无线通信设备,网络设备和无线通信设备与该第一移动网络相关联。
不受保护消息接发管理器1425可被用于可任选地向无线通信设备传送不受保护消息。在一些示例中,不受保护消息可包括传送消息、执行aka等等的需求。
受保护查询消息处理器1335-a可被用于在与无线通信设备执行aka之前在网络上从该无线通信设备接收受保护查询消息。受保护查询消息可至少部分地基于无线通信设备的安全性凭证。在一些示例中,受保护查询消息可以另外地或替换地至少部分地基于网络的网络安全性凭证。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。在一些示例中,受保护查询消息可响应于不受保护消息接发管理器1425传送不受保护消息而被接收。
受保护响应消息生成器1340-a可被用于:响应于接收到受保护查询消息,至少部分地基于包括无线通信管理器1320-b的装置的网络安全性凭证来生成受保护响应消息。在一些示例中,受保护响应消息生成器1340-a可以另外地或替换地至少部分地基于无线通信设备的安全性凭证来生成受保护响应消息。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,受保护响应消息可包括使无线通信设备拒绝服务的消息。
在一些示例中,受保护响应消息生成器1340-a可包括基于公钥的密码术管理器1430或者基于配对的密码术管理器1435。基于公钥的密码术管理器1430可被用于生成受保护响应消息以用于使用安全连接来传输到无线通信设备,如例如参照图2、3或4所描述的。基于配对的密码术管理器1435可被用于至少部分地以基于配对的密码术为基础来生成受保护响应消息(以用于传输到无线通信设备),如例如参照图9或10所描述的。在一些示例中,基于配对的密码术可包括基于身份的加密、基于身份的签名、或其组合。
受保护响应消息传输管理器1345-a可被用于向无线通信设备传送受保护响应消息。
aka管理器1440可被用于可任选地与无线通信设备执行aka。当执行aka时,并且在一些示例中,可使用由aka前安全性管理器1405或tls握手管理器1415建立的安全连接来执行aka。还可使用基于配对的密码术来执行aka。
图15示出了根据本公开的一个或多个方面的供在无线通信中使用的ue115-e的框图1500。ue115-e可被包括在个人计算机(例如,膝上型计算机、上网本计算机、平板计算机等)、蜂窝电话、pda、dvr、因特网电器、游戏控制台、电子阅读器、车辆、家用电器、照明或报警控制系统等中或是其一部分。ue115-e在一些示例中可具有内部电源(未示出),诸如小电池,以促成移动操作。在一些示例中,ue115-e可以是参照图1、3、4、5或10所描述的一个或多个ue115的各方面、或参照图11所描述的装置1115的各方面的示例。ue115-e可被配置成实现参照图1、2、3、4、5、6、7、8、9、10、11或12所描述的ue或装置技术和功能中的至少一些。
ue115-e可包括处理器1510、存储器1520、至少一个收发机(由(诸)收发机1530表示)、至少一个天线(由(诸)天线1540表示)、或者无线通信管理器1120-c。这些组件中的每一者可在一条或多条总线1535上直接或间接地彼此通信。
存储器1520可包括随机存取存储器(ram)或只读存储器(rom)。存储器1520可存储包含指令的计算机可读、计算机可执行代码1525,这些指令被配置成在被执行时使处理器1510执行本文所描述的与无线通信相关的各种功能,包括例如在与网络执行aka之前传送或接收安全信令。替换地,计算机可执行代码1525可以是不能由处理器1510直接执行的,而是被配置成(例如,在被编译和执行时)使得ue115-e执行本文所描述的各种功能。
处理器1510可包括智能硬件设备,例如,中央处理单元(cpu)、微控制器、asic等。处理器1510可处理通过(诸)收发机1530接收到的信息或者处理要发送给(诸)收发机1530以供通过(诸)天线1540发射的信息。处理器1510可单独或与无线通信管理器1120-c结合地处置在一个或多个射频谱带上通信(或管理这些通信)的一个或多个方面。
(诸)收发机1530可包括调制解调器,该调制解调器被配置成调制分组并将经调制分组提供给(诸)天线1540以供发射,以及解调从(诸)天线1540接收到的分组。(诸)收发机1530在一些示例中可被实现为一个或多个发射机以及一个或多个分开的接收机。(诸)收发机1530可支持一个或多个射频谱带中的通信。(诸)收发机1530可被配置成:经由(诸)天线1540与参照图1、3、4、5或10所描述的一个或多个网络接入设备105、或参照图13所描述的装置1305双向地通信。虽然ue115-e可包括单个天线,但可存在其中ue115-e可包括多个天线1540的示例。
无线通信管理器1120-c可被配置成:执行或控制参照图1、2、3、4、5、6、7、8、9、10、11或12所描述的与在一个或多个射频谱带上的无线通信相关的ue或装置技术或功能中的一些或全部。无线通信管理器1120-c或其各部分可包括处理器,或者无线通信管理器1120-c的一些或全部功能可由处理器1510执行或与处理器1510相结合地执行。在一些示例中,无线通信管理器1120-c可以是参照图1、11或12所描述的无线通信管理器1120的示例。
图16示出了根据本公开的一个或多个方面的供在无线通信中使用的网络接入设备105-e的框图1600。在一些示例中,网络接入设备105-e可以是参照图1或3所描述的网络接入设备105(例如,无线电头端、基站、enb、或anc)的一个或多个方面、参照图4、5或10所描述的网络设备405的各方面、或参照图13所描述的装置1305的各方面的示例。网络接入设备105-e可被配置成:实现或促成参照图1、2、3、4、5、6、7、8、9、10、13或14所描述的网络接入设备技术和功能中的至少一些。
网络接入设备105-e可包括处理器1610、存储器1620、至少一个收发机(由(诸)收发机1650表示)、至少一个天线(由(诸)基站天线1655表示)、或者无线通信管理器1320-c。网络接入设备105-e还可包括网络接入设备通信器1630或网络通信器1640中的一者或多者。这些组件中的每一者可在一条或多条总线1635上直接或间接地彼此通信。
存储器1620可包括ram或rom。存储器1620可存储包含指令的计算机可读、计算机可执行代码1625,这些指令被配置成在被执行时使处理器1610执行本文所描述的与无线通信相关的各种功能,包括例如在与无线通信设备执行aka之前传送或接收安全信令。替换地,计算机可执行代码1625可以不是能由处理器1610直接执行的,而是被配置成(例如,在被编译和执行时)使得网络接入设备105-e执行本文所描述的各种功能。
处理器1610可包括智能硬件设备,例如cpu、微控制器、asic等。处理器1610可处理通过(诸)收发机1650、网络接入设备通信器1630或网络通信器1640接收到的信息。处理器1610还可处理待发送给(诸)收发机1650以供通过(诸)天线1655发射、或待发送给网络接入设备通信器1630以供传输到一个或多个其他网络接入设备(例如,网络接入设备105-f和网络接入设备105-g)、或待发送给网络通信器1640以供传输到核心网130-a的信息,该核心网130-a可以是参照图1所描述的核心网130的一个或多个方面的示例。处理器1610可单独或与无线通信管理器1320-c结合地处置在一个或多个射频谱带上通信(或管理这些通信)的一个或多个方面。
(诸)收发机1650可包括调制解调器,该调制解调器被配置成调制分组并将经调制分组提供给(诸)天线1655以供发射,以及解调从(诸)天线1655接收到的分组。(诸)收发机1650在一些示例中可被实现为一个或多个发射机以及一个或多个分开的接收机。(诸)收发机1650可支持一个或多个射频谱带中的通信。(诸)收发机1650可被配置成:经由(诸)天线1655与一个或多个ue或装置(诸如参照图1、3、4、5、10或15所描述的各ue115或参照图11所描述的装置1115中的一者或多者)双向地通信。网络接入设备105-e例如可包括多个天线1655(例如,天线阵列)。网络接入设备105-e可通过网络通信器1640与核心网130-a通信。网络接入设备105-e还可使用网络接入设备通信器1630来与其他网络接入设备(诸如网络接入设备105-f和网络接入设备105-g)通信。
无线通信管理器1320-c可被配置成:执行或控制参照图1、2、3、4、5、6、7、8、9、10、13或14所描述的与在一个或多个射频谱带上的无线通信相关的网络接入设备或装置技术或功能中的一些或全部。无线通信管理器1320-c或其各部分可包括处理器,或者无线通信管理器1320-c的一些或全部功能可由处理器1610执行或与处理器1610相结合地执行。在一些示例中,无线通信管理器1320-c可以是参照图1、13或14所描述的无线通信管理器1320的示例。
图17示出了根据本公开的一个或多个方面的中心节点1705的框图1700。在一些示例中,中心节点1705可以是核心网的节点(例如,参照图1或16所描述的核心网130的节点、或参照图3所描述的mme305)、或参照图4、5或10所描述的网络设备405的各方面的示例。中心节点1705可被配置成实现参照图1、2、3、4、5、6、7、8、9、10、13、14或16所描述的核心网、mme、或装置功能中的至少一些。
中心节点1705可包括处理器1710、存储器1720、网络接入设备通信器1730、或无线通信管理器1320-d。这些组件中的每一者可在一条或多条总线1735上直接或间接地彼此通信。
存储器1720可包括ram或rom。存储器1720可存储包含指令的计算机可读、计算机可执行代码1725,这些指令被配置成在被执行时使处理器1710执行本文所描述的与无线通信相关的各种功能,包括例如在与无线通信设备执行aka之前传送或接收安全信令。替换地,计算机可执行代码1725可以是不能由处理器1710直接执行的,而是被配置成(例如,在被编译和执行时)使得中心节点1705执行本文所描述的各种功能。
处理器1710可包括智能硬件设备,例如cpu、微控制器、asic等。处理器1710可处理通过网络接入设备通信器1730接收到的信息或者要经由网络接入设备通信器1730发送给一个或多个网络接入设备(例如,无线电头端、基站、enb、或anc)的信息。处理器1710可单独或与无线通信管理器1320-d结合地处置在一个或多个射频谱带上通信(或管理这些通信)的一个或多个方面。
网络接入设备通信器1730可由中心节点1705用于与一个或多个网络接入设备105-h或105-j通信。网络接入设备通信器1730可被配置成与该一个或多个网络接入设备105-h或105-j进行双向通信。在一些示例中,网络接入设备105-h或105-j可以是参照图1、3或16所描述的一个或多个网络接入设备105的各方面、参照图4、5或10所描述的一个或多个网络设备405的各方面、或参照图13所描述的装置1305的各方面的示例。
无线通信管理器1320-d可被配置成:执行或控制参照图1、2、3、4、5、6、7、8、9、10、13或14所描述的中心节点或装置技术或功能中的一些或全部。无线通信管理器1320-d或其各部分可包括处理器,或者无线通信管理器1320-d的一些或全部功能可由处理器1710执行或与处理器1710相结合地执行。在一些示例中,无线通信管理器1320-d可以是参照图1、13或14所描述的无线通信管理器1320的示例。
图18是解说了根据本公开的一个或多个方面的在无线通信设备处进行无线通信的方法1800的示例的流程图。为了清楚起见,下面参考参照图1、3、4、5、10或15所描述的ue115中的一者的各方面、参照图11所描述的装置1115的各方面、或参照图1、11、12或14所描述的无线通信管理器1120中的一者的各方面来描述方法1800。在一些示例中,无线通信设备可执行用于控制无线通信设备的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地,无线通信设备可以使用专用硬件来执行以下描述的一个或多个功能。
在框1805,方法1800可包括:至少部分地基于无线通信设备的安全性凭证来生成受保护查询消息。可在与网络执行aka之前生成该受保护查询消息。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。框1805的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的受保护查询消息生成器1135来执行。
在框1810,方法1800可包括向网络传送受保护查询消息。框1810的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的受保护查询消息传输管理器1140来执行。
在框1815,方法1800可包括接收对受保护查询消息的响应。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,该响应可包括使无线通信设备拒绝服务的消息。框1815的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的响应处理器1145来执行。
在框1820,方法1800可包括:至少部分地基于接收到的响应(即,在框1815接收到的响应)来确定是否要与网络执行aka。框1820的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的aka管理器1150来执行。
在方法1800的一些示例中,受保护查询消息可以另外地或替换地至少部分地基于网络的网络安全性凭证来(在框1805)生成。在一些示例中,受保护查询消息可至少部分地以基于配对的密码术为基础来受保护,如例如参照图9或10所描述的。在一些示例中,基于配对的密码术可包括基于身份的加密、基于身份的签名、或其组合。当受保护查询消息是至少部分地以基于配对的密码术为基础来受保护时,并且在一些示例中,aka(如果执行的话)还可使用基于配对的密码术来执行。
图19是解说了根据本公开的一个或多个方面的在无线通信设备处进行无线通信的方法1900的示例的流程图。为了清楚起见,下面参考参照图1、3、4、5、10或15所描述的ue115中的一者的各方面、参照图11所描述的装置1115的各方面、或参照图1、11、12或14所描述的无线通信管理器1120中的一者的各方面来描述方法1900。在一些示例中,无线通信设备可执行用于控制无线通信设备的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地,无线通信设备可以使用专用硬件来执行以下描述的一个或多个功能。
在框1905,方法1900可包括:至少部分地基于无线通信设备的安全性凭证和网络的网络安全性凭证来与该网络建立安全连接,如例如参照图2、3或4所描述的。在一些示例中,可与核心网(例如,与mme)建立安全连接。在这些(和其他)示例中,建立安全连接可包括在nas上执行tls握手。在其他示例中,可与网络接入设备(例如,无线电头端、基站、enb、或anc)建立安全连接。在这些(和其他)示例中,建立安全连接可包括在rrc连接上执行tls握手。框1905的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图12所描述的aka前安全性管理器1205或tls握手管理器1215来执行。
在框1910,方法1900可包括:至少部分地基于无线通信设备的安全性凭证来生成受保护查询消息,如例如参照图2、3或4所描述的。可在与网络执行aka之前生成该受保护查询消息。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。框1910的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、参照图11或12所描述的受保护查询消息生成器1135、或参照图12所描述的基于公钥的密码术管理器1230来执行。
在框1915,方法1900可包括:使用在1905建立的安全连接来向网络传送受保护查询消息。框1915的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的受保护查询消息传输管理器1140来执行。
在框1920,方法1900可包括接收对受保护查询消息的响应。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,该响应可包括使无线通信设备拒绝服务的消息。框1920的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的响应处理器1145来执行。
在框1925,方法1900可包括:至少部分地基于接收到的响应(即,在框1920接收到的响应)来确定是否要与网络执行aka。当执行aka时,并且在一些示例中,aka可使用在框1905建立的安全连接来执行。框1925的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的aka管理器1150来执行。
在框1930,方法1900可以可任选地包括获取以下至少一者:从无线通信设备的归属mno的第一移动网络获取漫游mno的第一安全性凭证;或者从漫游mno的第二移动网络获取该漫游mno的第二安全性凭证,其中第二安全性凭证由归属mno签名;或从对于归属mno和漫游mno共用的证书权威机构获取漫游mno的第三安全性凭证;或其组合。框1930的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图12所描述的aka前安全性管理器1205或漫游安全性管理器1220来执行。
图20是解说了根据本公开的一个或多个方面的在无线通信设备处进行无线通信的方法2000的示例的流程图。为了清楚起见,下面参考参照图1、3、4、5、10或15所描述的ue115中的一者的各方面、参照图11所描述的装置1115的各方面、或参照图1、11、12或14所描述的无线通信管理器1120中的一者的各方面来描述方法2000。在一些示例中,无线通信设备可执行用于控制无线通信设备的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地,无线通信设备可以使用专用硬件来执行以下描述的一个或多个功能。
在框2005,方法2000可以可任选地包括确定网络支持接收受保护查询消息。在一些示例中,该确定可以至少部分地基于网络宣告。框2005的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图12所描述的aka前安全性管理器1205或所支持的安全性确定器1210来执行。
在框2010,方法2000可以可任选地包括从网络接收不受保护消息。在一些示例中,不受保护消息可包括传送消息、执行aka等等的需求。框2010的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图12所描述的不受保护消息处理器1225来执行。
在框2015,方法2000可包括:至少部分地基于无线通信设备的安全性凭证来生成受保护查询消息。可在与网络执行aka之前生成该受保护查询消息。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。在一些示例中,受保护查询消息可响应于在框2010接收到的不受保护消息而生成。在一些示例中,受保护查询消息可至少部分地基于在框2005确定的安全性类型来生成。框2015的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的受保护查询消息生成器1135来执行。
在框2020,方法2000可包括向网络传送受保护查询消息。框2020的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的受保护查询消息传输管理器1140来执行。
在框2025,方法2000可包括接收对受保护查询消息的响应。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,该响应可包括使无线通信设备拒绝服务的消息。框2025的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的响应处理器1145来执行。
在框2030,方法2000可包括:至少部分地基于接收到的响应(即,在框2025接收到的响应)来确定是否要与网络执行aka。框2030的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的aka管理器1150来执行。
图21是解说了根据本公开的一个或多个方面的在无线通信设备处进行无线通信的方法2100的示例的流程图。为了清楚起见,下面参考参照图1、3、4、5、10或15所描述的ue115中的一者的各方面、参照图11所描述的装置1115的各方面、或参照图1、11、12或14所描述的无线通信管理器1120中的一者的各方面来描述方法2100。在一些示例中,无线通信设备可执行用于控制无线通信设备的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地,无线通信设备可以使用专用硬件来执行以下描述的一个或多个功能。
在框2105,方法2100可包括:至少部分地基于无线通信设备的安全性凭证来生成受保护查询消息。可在与网络执行aka之前生成该受保护查询消息。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。框2105的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的受保护查询消息生成器1135来执行。
在框2110,方法2100可包括向网络传送受保护查询消息。框2110的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的受保护查询消息传输管理器1140来执行。
在框2115,方法2100可包括接收对受保护查询消息的响应。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,该响应可包括使无线通信设备拒绝服务的消息。框2115的(诸)操作可以用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的响应处理器1145来执行。
在框2120、2125、2130、2135或2140中的一个或多个框,方法2100可包括确定是否要与网络执行aka,并且在一些情形中可包括与网络执行aka。在框2120,方法2100可包括:确定在框2115接收到的响应是否与预期的安全性凭证(例如,无线通信设备的安全性凭证和网络的网络安全性凭证)相关联。在确定在框2115接收到的响应与预期的(诸)安全性凭证相关联之际,方法2100可在框2125继续。在确定在框2115接收到的响应不与预期的(诸)安全性凭证相关联之际,方法2100可在框2140继续。框2120的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的响应处理器1145来执行。
在框2125,方法2100可包括:确定在框2115接收到的响应是否包括使无线通信设备拒绝服务的消息。在确定在框2105接收到的响应不使无线通信设备拒绝服务之际,方法2100可在框2130继续。在确定在框2105接收到的响应使无线通信设备拒绝服务之际,方法2100可在框2135继续。框2125的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的响应处理器1145来执行。
在框2130,方法2100可包括:至少部分地基于接收到的响应(即,在框2115接收到的响应)来与网络执行aka。框2120的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的aka管理器1150来执行。
在框2135,方法2100可包括避免接入网络。框2135的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、或参照图11或12所描述的响应处理器1145来执行。
在框2140,方法2100可包括:在确定是否要与网络执行aka时避免考虑在框2115接收到的响应。框2140的(诸)操作可使用参照图1、11、12或14所描述的无线通信管理器1120、参照图11或12所描述的响应处理器1145、或参照图12所描述的攻击标识器1240来执行。
在框2140之后,方法2100可以可任选地包括:在框2115接收对受保护查询消息的另一响应,并在框2120、2125、2130、2135或2140中的一个或多个框处理该另一响应。
在一些示例中,参照图18-21所描述的方法1800、1900、2000、或2100的各方面可被组合。
图22是解说了根据本公开的一个或多个方面的在网络设备处进行无线通信的方法2200的示例的流程图。为了清楚起见,下面参考参照图1或16所描述的网络接入设备105(例如,无线电头端、基站、enb、或anc)中的一者的各方面、参照图4、5或10所描述的网络设备405中的一者的各方面、中心节点1705(例如,参照图1或16所描述的核心网130的节点)的各方面、参照图13所描述的装置1305的各方面、或参照图1、13、14、16或17所描述的无线通信管理器1320中的一者的各方面来描述方法2200。在一些示例中,网络设备可执行用于控制网络设备的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地,网络设备可以使用专用硬件来执行以下描述的一个或多个功能。
在框2205,方法2200可包括:在与无线通信设备执行aka之前在网络上从该无线通信设备接收受保护查询消息。受保护查询消息可至少部分地基于无线通信设备的安全性凭证。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。框2205的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护查询消息处理器1335来执行。
在框2210,方法2200可包括:响应于接收到受保护查询消息,至少部分地基于网络设备的网络安全性凭证来生成受保护响应消息。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,受保护响应消息可包括使无线通信设备拒绝服务的消息。框2210的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护响应消息生成器1340来执行。
在框2215,方法2200可包括向无线通信设备传送受保护响应消息。框2215的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护响应消息传输管理器1345来执行。
在框2220,方法2200可以可任选地包括与无线通信设备执行aka。框2220的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图14所描述的aka管理器1440来执行。
在方法2200的一些示例中,在框2205接收到的受保护查询消息可以另外地或替换地至少部分地基于网络的网络安全性凭证。在方法2200的一些示例中,在框2210生成的受保护响应消息可以另外地或替换地至少部分地基于无线通信设备的安全性凭证。在一些示例中,受保护查询消息或受保护响应消息可至少部分地以基于配对的密码术为基础来受保护,如例如参照图9或10所描述的。在一些示例中,基于配对的密码术可包括基于身份的加密、基于身份的签名、或其组合。
图23是解说了根据本公开的一个或多个方面的在网络设备处进行无线通信的方法2300的示例的流程图。为了清楚起见,下面参考参照图1或16所描述的网络接入设备105(例如,无线电头端、基站、enb、或anc)中的一者的各方面、参照图4、5或10所描述的网络设备405中的一者的各方面、中心节点1705(例如,参照图1或16所描述的核心网130的节点)的各方面、参照图13所描述的装置1305的各方面、或参照图1、13、14、16或17所描述的无线通信管理器1320中的一者的各方面来描述方法2300。在一些示例中,网络设备可执行用于控制网络设备的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地,网络设备可以使用专用硬件来执行以下描述的一个或多个功能。
在框2305,方法2300可包括:至少部分地基于无线通信设备的安全性凭证和网络设备的网络安全性凭证来与该无线通信设备建立安全连接,如例如参照图2、3或4所描述的。在一些示例中,执行方法2300的网络设备可包括核心网的一部分(例如,mme)。在这些(和其他)示例中,建立安全连接可包括在nas上执行tls握手。在其他示例中,执行方法2300的网络设备可包括网络接入设备(例如,无线电头端、基站、enb、或anc)。在这些(和其他)示例中,建立安全连接可包括在rrc连接上执行tls握手。框2305的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图14所描述的aka前安全性管理器1405或tls握手管理器1415来执行。
在框2310,方法2300可包括:在与无线通信设备执行aka之前在网络上从该无线通信设备接收受保护查询消息。受保护查询消息可以至少部分地基于无线通信设备的安全性凭证,并且可使用在2305建立的安全连接来被接收。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。框2310的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护查询消息处理器1335来执行。
在框2315,方法2300可包括:响应于接收到受保护查询消息,至少部分地基于网络设备的网络安全性凭证来生成受保护响应消息,如例如参照图2、3或4所描述的。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,受保护响应消息可包括使无线通信设备拒绝服务的消息。框2315的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护响应消息生成器1340来执行。
在框2320,方法2300可包括向无线通信设备传送受保护响应消息。框2320的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护响应消息传输管理器1345来执行。
在框2325,方法2300可以可任选地包括与无线通信设备执行aka。在一些示例中,可使用在框2305建立的安全连接来执行aka。框2325的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图14所描述的aka管理器1440来执行。
在框2330,方法2300可以可任选地包括向无线通信设备传送漫游mno的安全性凭证。漫游mno的安全性凭证可在归属mno的第一移动网络上被传送给无线通信设备,网络设备和无线通信设备与该第一移动网络相关联。框2330的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图14所描述的aka前安全性管理器1405或漫游安全性管理器1420来执行。
图24是解说了根据本公开的一个或多个方面的在网络设备处进行无线通信的方法2400的示例的流程图。为了清楚起见,下面参考参照图1或16所描述的网络接入设备105(例如,无线电头端、基站、enb、或anc)中的一者的各方面、参照图4、5或10所描述的网络设备405中的一者的各方面、中心节点1705(例如,参照图1或16所描述的核心网130的节点)的各方面、参照图13所描述的装置1305的各方面、或参照图1、13、14、16或17所描述的无线通信管理器1320中的一者的各方面来描述方法2400。在一些示例中,网络设备可执行用于控制网络设备的功能元件执行以下描述的功能的一个或多个代码集。附加地或替换地,网络设备可以使用专用硬件来执行以下描述的一个或多个功能。
在框2405,方法2400可以可任选地包括:宣告与网络设备相关联的网络支持受保护查询消息。在一些示例中,进行宣告可包括在网络上广播网络宣告。在一些示例中,进行宣告可由除了执行方法2400的网络设备之外的设备来执行。框2405的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图14所描述的aka前安全性管理器1405或所支持的安全性宣告器1410来执行。
在框2410,方法2400可以可任选地包括向无线通信设备传送不受保护消息。在一些示例中,不受保护消息可包括传送消息、执行aka等等的需求。框2410的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图14所描述的不受保护消息接发管理器1425来执行。
在框2415,方法2400可包括:在与无线通信设备执行aka之前在网络上从该无线通信设备接收受保护查询消息。受保护查询消息可至少部分地基于无线通信设备的安全性凭证。在一些示例中,受保护查询消息可包括接入请求、网络能力查询、服务查询、或其组合。在一些示例中,受保护查询消息可响应于在框2410传输不受保护消息而被接收。框2415的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护查询消息处理器1335来执行。
在框2420,方法2400可包括:响应于接收到受保护查询消息,至少部分地基于网络设备的网络安全性凭证来生成受保护响应消息。在一些示例中,该响应可包括对受保护查询消息的确收或者由网络开始执行aka的消息。在一些示例中,受保护响应消息可包括使无线通信设备拒绝服务的消息。框2420的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护响应消息生成器1340来执行。
在框2425,方法2400可包括向无线通信设备传送受保护响应消息。框2425的(诸)操作可使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图13或14所描述的受保护响应消息传输管理器1345来执行。
在框2430,方法2400可以可任选地包括与无线通信设备执行aka。框2430的(诸)操作可以、使用参照图1、13、14、16或17所描述的无线通信管理器1320、或参照图14所描述的aka管理器1440来执行。
在一些示例中,参照图22-24所描述的方法2200、2300或2400的各方面可被组合。
参照图18、19、20、21、22、23和24所描述的方法1800、1900、2000、2100、2200、2300和2400可提供无线通信。应注意,方法1800、1900、2000、2100、2200、2300和2400仅是示例实现,并且方法1800、1900、2000、2100、2200、2300和2400的操作可被重新安排或以其他方式被修改,以使得其它实现也是可能的。
本文所描述的技术可用于各种无线通信系统,诸如cdma、tdma、fdma、ofdma、sc-fdma和其他系统。术语“系统”和“网络”常被可互换地使用。cdma系统可以实现无线电技术,诸如cdma2000、通用地面无线电接入(utra)等。cdma2000涵盖is-2000、is-95和is-856标准。is-2000版本0和a可被称为cdma20001x、1x等。is-856(tia-856)可被称为cdma20001xev-do、高速率分组数据(hrpd)等。utra包括宽带cdma(wcdma)和其他cdma变体。tdma系统可实现诸如全球移动通信系统(gsm)之类的无线电技术。ofdma系统可以实现诸如超移动宽带(umb)、演进型utra(e-utra)、ieee802.11(wi-fi)、ieee802.16(wimax)、ieee802.20、flash-ofdmtm等的无线电技术。utra和e-utra是通用移动电信系统(umts)的一部分。3gpplte和lte-a是使用e-utra的新umts版本。utra、e-utra、umts、lte、lte-a、和gsm在来自名为3gpp的组织的文献中描述。cdma2000和umb在来自名为“第三代伙伴项目2”(3gpp2)的组织的文献中描述。本文所描述的技术既可被用于以上提及的系统和无线电技术,也可用于其他系统和无线电技术,包括无执照或共享带宽上的蜂窝(例如,lte)通信。然而,以上描述出于示例目的描述了lte/lte-a系统,并且在以上大部分描述中使用了lte术语,但这些技术也可应用于lte/lte-a应用以外的应用。
以上结合附图阐述的详细说明描述了示例而不代表可被实现或者落在权利要求的范围内的所有示例。术语“示例”和“示例性”在本说明书中使用时意指“用作示例、实例或解说”,并且并不意指“优于或胜过其他示例”。本详细描述包括具体细节以提供对所描述的技术的理解。然而,可以在没有这些具体细节的情况下实践这些技术。在一些实例中,众所周知的结构和装置以框图形式示出以避免模糊所描述的示例的概念。
信息和信号可使用各种各样的不同技艺和技术中的任一种来表示。例如,贯穿上面说明始终可能被述及的数据、指令、命令、信息、信号、比特、码元和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表示。
结合本文中的公开所描述的各种解说性框以及组件可用设计成执行本文中描述的功能的通用处理器、数字信号处理器(dsp)、asic、fpga或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如dsp与微处理器的组合、多个微处理器、与dsp核心协作的一个或多个微处理器、或任何其他此类配置。
本文所描述的功能可以在硬件、由处理器执行的软件、固件、或其任何组合中实现。如果在由处理器执行的软件中实现,则各功能可以作为一条或多条指令或代码存储在计算机可读介质上或藉其进行传送。其他示例和实现落在本公开及所附权利要求的范围和精神内。例如,由于软件的本质,上述功能可使用由处理器执行的软件、硬件、固件、硬连线或其任何组合来实现。实现各功能的各组件也可物理地位于各种位置,包括被分布以使得各功能的各部分在不同的物理位置处实现。如本文中(包括权利要求中)所使用的,在两个或更多个项目的列表中使用的术语“或”意指所列出的项目中的任一者可单独被采用,或者两个或更多个所列出的项目的任何组合可被采用。例如,如果组成被描述为包含组成部分a、b、或c,则该组成可包含仅a;仅b;仅c;a和b的组合;a和c的组合;b和c的组合;或者a、b和c的组合。同样,如本文中(包括权利要求中)所使用的,在项目列举中(例如,在接有诸如“中的至少一个”或“中的一个或多个”的短语的项目列举中)使用的“或”指示析取式列举,以使得例如“a、b或c中的至少一个”的列举意指a或b或c或ab或ac或bc或abc(即,a和b和c)。
计算机可读介质包括计算机存储介质和通信介质两者,包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被通用或专用计算机访问的任何可用介质。作为示例而非限定,计算机可读介质可包括ram、rom、eeprom、闪存、cd-rom或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合需程序代码手段且能被通用或专用计算机、或者通用或专用处理器访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(dsl)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其他远程源传送而来,则该同轴电缆、光纤电缆、双绞线、dsl、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(cd)、激光碟、光碟、数字多用碟(dvd)、软盘、和蓝光碟,其中盘(disk)常常磁性地再现数据,而碟(disc)用激光来光学地再现数据。以上介质的组合也被包括在计算机可读介质的范围内。
提供对本公开的先前描述是为使得本领域技术人员皆能够制作或使用本公开。对本公开的各种修改对于本领域技术人员将是显而易见的,并且本文中所定义的普适原理可被应用于其他变形而不会脱离本公开的范围。由此,本公开并不被限定于本文中所描述的示例和设计,而是应被授予与本文中公开的原理和新颖技术一致的最宽泛的范围。
- 还没有人留言评论。精彩留言会获得点赞!