无线网络接入保护和安全架构的系统和方法与流程

本发明涉及一种用于无线通信的系统和方法，并且在具体实施例中，涉及一种用于无线网络接入保护和安全架构的系统和方法。

背景技术：

无线网络经常使用接入密钥，以确保只有有效用户才允许接入该无线网络。在传统的3g/4g无线网络中，在ue认证/授权之后，移动性管理实体(mme)向演进的分组核心(epc)中的分组数据网(pdn)网关(pgw)和用户设备(ue)分发用户设备(ue)特定的密钥材料，所述用户设备特定的密钥材料用来加密在ue和pgw之间延伸的承载信道上的数据通信。特别地，在切换期间无线网络之间传送ue特定的密钥材料，或ue特定的密钥(简称)。在切换更加频繁的密集部署环境中传送ue特定的密钥可能会有问题，这是因为在无线网络之间反复地传送密钥材料会显著增加与ue移动性相关的延迟和开销。因此，需要在密集部署环境中能够快速、有效认证ue的技术。

技术实现要素：

技术优点一般通过本公开描述“无线网络接入保护和安全架构”的实施例来实现。

根据一实施例，提供了一种无线网络接入保护的方法。在本实例中，该方法包括基站获得无线网络(wn)特定的密钥，所述无线网络(wn)特定的密钥被分配给无线网络。该基站属于该无线网络。该方法进一步包括：建立基站和用户设备(ue)之间的无线连接，以及在无线连接上从ue接收加密的数据。加密的数据具有第一层加密和第二层加密。该方法进一步包括：使用wn特定的密钥解密第一层加密，以获得部分解密的数据；以及向所述wn中的网关转发该部分解密的数据。还提供了一种执行该方法的装置。

根据另一个实施例，提供了一种在无线网络中分发密钥的方法。在本实例中，该方法包括在wn密钥控制器生成无线网络(wn)特定的密钥。所述wn特定的密钥被分配给第一无线网络。该方法进一步包括：向所述第一无线网络中的基站分发wn特定的密钥，用于提供所述基站与接入所述无线网络的用户设备(ue)之间建立的无线接入接口上的接入保护。还提供了一种执行该方法的装置。

根据再一个实施例，提供了一种密钥管理架构。在本实例中，所述密钥管理架构包括：无线网络(wn)保护控制器，适于获得用户设备(ue)特定的密钥，所述用户设备(ue)特定的密钥被分配给接入无线网络的ue，并且适于向无线网络中的服务网关(sgw)分发ue特定的密钥。ue特定的密钥适于提供在ue与sgw之间延伸的承载信道上的接入保护。

根据再一个实施例，提供了一种用于认证移动设备的方法。在本实例中，该方法包括：在wn保护控制器接收ue特定的密钥，该wn保护控制器被分配在整个无线网络中分发密钥。该方法进一步包括：识别对应由ue特定的密钥指定的ue标识符的无线网络域；以及向无线网络域中的服务网关(sgw)分发ue特定的密钥。所述ue特定的密钥适于为ue与sgw之间延伸的承载信道上提供接入保护。还提供了一种执行该方法的装置。

根据再一个实施例，提供了一种提供业务特定的接入保护的方法。在本实例中，该方法包括：识别与机器对机器(m2m)客户相关联的m2m业务；在sgw接收分配给m2m业务的业务特定的密钥；以及从网络设备接收分组。所述分组与m2m业务相关。该方法进一步包括：使用业务特定的密钥尝试解密所述分组；以及当解密所述分组的尝试不成功时，丢弃所述分组。也提供了一种执行该方法的装置。

根据再一个实施例，提供了一种群组(group)特定的接入保护的方法。在本实例中，该方法包括：识别专用网络，在sgw接收分配给所述专用网络的群组特定的密钥，接收寻址到属于所述专用网络的网络设备的分组；以及使用群组特定的密钥尝试解密分组。该方法进一步包括：当解密所述分组的尝试不成功时，丢弃所述分组。还提供了一种执行该方法的装置。

附图说明

为了更全面地理解本公开及其优点，现在参考下面结合附图的说明，附图中：

图1示出了无线网络实施例的示意图；

图2示出了传统无线网络安全架构的示意图；

图3示出了无线网络安全架构实施例的示意图；

图4示出了用于提供多级接入保护的无线网络架构实施例的示意图；

图5示出了用于管理网络接入密钥的无线网络安全架构实施例的示意图；

图6示出了用于管理网络接入密钥的无线网络安全架构另一个实施例的示意图；

图7示出了用于管理ue特定的密钥材料的无线网络架构实施例的示意图；

图8示出了用于向m2m业务提供接入保护的网络架构实施例的示意图；

图9示出了用于管理业务特定的密钥材料的无线网络架构实施例的示意图；

图10示出了用于为公共群组的成员之间的通信提供接入保护的网络架构实施例的示意图；

图11示出了用于管理群组特定的密钥材料的无线网络架构实施例的示意图；

图12示出了计算平台实施例的示意图；以及

图13示出了通信设备实施例的示意图。

除非另外指明，不同附图中对应编号和符号一般表示对应部件。附图的绘制清楚地示出了实施例的相关方面，并不必是按比例绘制。

具体实施方式

下面将更详细地讨论本公开的实施例的实现和运用。然而，应理解，本文公开的构思可以体现在多种特定语境中，并且所讨论的具体实施例仅仅是说明性的，并不用来限制权利要求书的范围。应进一步理解，可以在不偏离所附权利要求限定的本公开的精神和范围的情况下，做出各种改变、替换和变更。

3g/4g无线网络使用ue特定的密钥向从ue向演进的分组核心(epc)网络的分组数据网(pdn)网关(pgw)之间延伸的承载信道提供接入保护。然而，不会为ue和ran之间延伸的无线连接提供单独等级的接入保护。在未来的网络架构中，无线接入网可具有第一实体提供的基础设施以及另一实体在该基础设施之上提供的电信服务。为了适应对带宽日益增长的需求，很可能未来的网络部署将包括作为整个网络一部分的密集和超密集网络片段。因此，需要适合密集部署的无线网络的多级接入网络安全框架。

本公开的各个方面提供了利用无线网络特定的(wn特定的)密钥材料，或wn特定的密钥(简称)的技术，以便提供在无线接入链路上的接入保护。更具体地，wn特定的密钥关联(或被分配给)无线网络，并被分发给无线网络的接入点，以及ue认证之后的ue。接着，wn特定的密钥用来加密/解密在无线接入链路上传输的数据。wn特定的密钥可与ue特定的密钥结合使用，以便提供多级接入保护。在一些实施例中，在相邻无线网络之间分享wn特定的密钥，以便减少在切换期间密钥交换的频率。例如，公共wn特定的密钥可预分发给相邻无线网络中的接入点，以便在这些相邻无线网络之间发生切换，而在切换期间不交换wn特定的密钥。本公开的多个方面还提供了用于向机器对机器(m2m)业务提供接入保护的业务特定的密钥，以及用于向例如专用社交网络等公共群组的成员之间通信的业务流提供接入保护的群组特定的密钥。也提供了用于分发ue特定的、wn特定的、业务特定的以及群组特定的密钥的网络安全架构。下文将更详细地描述这些及其他细节。

图1示出了用于通信数据的网络100。网络100包括具有覆盖区域101的接入点(ap)110，多个移动设备120和回程网络130。ap110可包括能够提供无线接入的，特别是通过与移动设备120建立上行链路(短划线)和/或下行链路(点划线)连接的任何组件，例如基站、增强的基站(enb)、毫微微蜂窝基站以及其他无线启用的设备。移动设备120可包括能够与ap110建立无线连接的任何组件，例如用户设备(ue)、移动站(sta)或其他无线启用的设备。回程网络130可以是能够使数据在ap110和远程端(未示出)之间进行交换的任何组件或组件集合。在一些实施例中，网络100可包括各种其他无线设备，例如继电器、低功率节点等。

传统的3g/4g无线网络使用ue特定的密钥向从ue向epc网络的pgw之间延伸的承载信道提供接入保护，但不会为ue和ran之间延伸的无线连接提供单独等级的接入保护。图2示出了提供单层接入保护的传统的无线网络安全架构200。如图所示，传统的无线网络安全架构200包括向ue205提供无线接入的无线网络域210。所述无线网络域210包括基站212、sgw214、pgw216、移动性管理实体(mme)218以及家庭安全服务器(hhs)220。通过bs212和sgw214在ue205和pgw216之间建立承载信道。pgw216充当无线网络域210和互联网240之间的网关。

当建立承载信道时，mme218认证ue205。具体地，认证中心230在ue认证期间使用加密密钥(ck)和完整性密钥(ik)生成共享密钥(例如，公共私密密钥接入安全管理实体(kasme))。接着，认证中心230使用共享密钥和随机数生成一组密钥和校验和，并向mme218发送生成的密钥、校验和以及随机数。mme218向ue205分发生成的校验和以及随机数。ue205中的通用用户标识模块(usim)使用mme218提供的随机数和共享密钥独立地计算一组相同的密钥。通过验证在ue205和epc218中计算的校验和执行双向认证。其后，mme218向ue205和pgw216两者分发ue特定的密钥。ue特定的密钥用于加密/解密在承载信道上通信的数据。例如，ue205可使用ue特定的密钥来加密在承载信道上上行链路传输中承载的数据，并且pgw216可使用该ue特定的密钥，尝试解密在该承载信道上接收的数据。一旦数据被解密，pgw216可通过互联网240向远程目的地转发该数据。在一些实施例中，mme218向ue205和pgw216发送公开-私有密钥对。ue205和pgw216可使用该公开-私有密钥对生成ue特定的密钥。例如，ue205可单侧生成ue特定的密钥，使用公开-私有密钥对加密该ue特定的密钥，然后向pgw216通信该加密的ue特定的密钥。又如另一实例，pgw216可单侧生成ue特定的密钥，使用该公开-私有密钥对加密该ue特定的密钥，然后向ue205通信该加密的ue特定的密钥。再如又一实例，例如通过密钥交换协议，pgw216和ue205可双侧生成ue特定的密钥，并且可使用公开-私有密钥加密在密钥交换协议期间交换的消息。

然而，ue特定的密钥可向ue和pgw之间延伸的承载信道提供接入保护，但不会为ue和bs之间延伸的无线连接提供保护。因此，需要适合密集部署的无线网络的多级接入网络安全框架。

本公开的各个方面提供了一种多层接入保护方案，该方案除了使用ue特定的密钥向承载信道提供接入保护之外，使用wn特定的密钥向无线接入链路提供接入保护。图3示出了用于提供多级接入保护的无线网络安全架构300的实施例。如图所示，实施例的无线网络安全架构300包括向ue305提供无线接入的无线网络域310。无线网络域310包括基站312(也称为接入点312)、服务网关314、分组网关316、wn密钥控制器322、wn保护控制器324以及密钥管理实体326。

ue特定的密钥用来加密/解密在ue305和服务网关314之间延伸的承载信道上通信的数据。服务网关314可为虚拟服务网关，例如虚拟用户特定的服务网关或虚拟业务特定的服务网关。ue特定的密钥可经由wn保护控制器324向服务网关314分发，wn保护控制器324可从密钥管理实体326获得ue特定的密钥。在一实施例中，密钥管理实体326为由独立并区别于无线网络的运营商的第三方管理员运营的第三方管理实体。密钥管理实体326可使用认证中心330提供的信息导出ue特定的密钥。wn保护控制器324可具有多种职责。例如，wn保护控制器324可维护例如ue特定的密钥、业务特定的密钥、群组特定的密钥、回程(bh)密钥等密钥材料。wn保护控制器324还可以管理网络-节点/设备认证，并且协调与其他无线网络域中的其他控制器的密钥同步。

wn特定的密钥用来加密/解密在ue305和接入点312之间延伸的无线连接上通信的数据。在ue305建立无线链路连接之前，wn特定的密钥可分发给接入点312。wn特定的密钥可在ue认证之后发送给ue305。wn特定的密钥可专属地被分配给无线网络域310。可替代地，wn特定的密钥可被分配给无线网络域310所属的无线网络域的群组或集群。

图4示出了用于提供多级接入保护的无线网络架构400的实施例。如图所示，实施例的无线网络架构400包括无线接入网络410、演进的分组核心(epc)420以及虚拟网络430。ran410包括适于向ue405提供无线接入的接入点412。epc420特别地包括适于充当在epc420和ran410之间的网关的网关，例如服务网关(sgw)414，以及适于充当epc420与互联网450之间的网关的分组数据网(pdn)网关(pgw)416。epc420可包括其他组件(图4中未示出)，例如移动性管理实体(mme)、演进的分组数据网关以及归属用户服务器(hss)。在下一代网络中，epc420可划分为多个分布式epc，这种情况下，一些组件(例如sgw)可置于分布式epc中。

特别地，ran410和epc420共同形成提供ue405和互联网450之间的承载路径451的无线网络。承载路径451可承载ue405和远程端490之间通信的业务流，并且可以包括多个接口和/或片段。在该实例中，承载路径451包括ue405和接入点412之间延伸的无线连接415(例如，“uu接口”)、接入点412和sgw414之间延伸的承载信道424(例如，“s1-u接口”)、以及sgw414和pgw416之间延伸的承载信道426(例如，“s5接口”)。在一些实施例中，ran410和epc420形成的无线网络的物理拓扑可使用虚拟网络430映射到虚拟拓扑。在这些实施例中，承载路径451可对应于通过虚拟网络430延伸的虚拟路径452。

如图所示，实施例的无线网络架构400沿着承载路径451提供多级接入保护。具体地，wn特定的密钥适于提供在无线连接415上的接入保护，而ue特定的密钥适于提供在承载信道424和/或承载信道426上的接入保护。在一些实施例中，还可以使用客户隐私信息提供端到端保护。另外，可以使用虚拟网络特定的(vn特定的)密钥材料或vn特定的密钥(简称)提供虚拟网络保护。尽管无线网络架构400描述为提供多级接入保护，本公开的方面并不仅限于此。例如，无线网络400可适于提供单级接入保护，例如不用使用ue特定的密钥信息，通过使用wn特定的密钥来加密/解密在无线连接415上通信的数据。这提供了更有效的切换，因为不用交换任何密钥就可以发生切换。

图5示出了用于管理无线网络域510中网络接入密钥的无线网络安全架构500的实施例。如图所示，无线网络域510包括多个无线节点515以及无线网络接入链路保护密钥控制器509或wn密钥控制器509(简称)。wn密钥控制器509向本地无线节点515发送wn特定的密钥。无线节点515在ue认证之后向ue505分发该wn特定的密钥，此后，该wn特定的密钥用于加密/解密无线接入链路上通信的数据。在一实施例中，wn特定的密钥在所述多个无线节点515上被同步，使得ue505可在所述多个无线节点515之间被切换，而在切换期间不用传送wn特定的密钥。所述多个无线节点515可由相同网络运营商管理。

图6示出了用于管理多个无线网络域610、620上的网络接入密钥的无线网络安全架构600的实施例。无线网络域610、620可由相同或不同运营商管理，并可包括适于向ue605、606提供无线接入的无线节点615、625。在无线连接建立之前，密钥控制器609向无线节点615、625分发wn特定的密钥。ue认证之后，无线节点615、625向ue605、606分发wn特定的密钥。在无线网络域610、620之间共享wn特定的密钥，使得在切换期间不用传送wn特定的密钥就可以进行域间切换。

本公开的各个方面提供了用于管理ue特定的密钥的安全架构。图7示出了用于管理无线网络域710、720之间ue特定的密钥材料的无线网络架构700的实施例。如图所示，网络架构700包括位于各自无线网络域710、720的ue特定的sgw714、sgw724，与各自无线网络域710、720相关联的wn保护控制器718、728，密钥管理实体736以及认证中心740。

对无线网络架构700中ue特定的密钥材料的管理以八个步骤的顺序进行描述，当ue705启动链路建立过程时，可触发这些步骤。在第一步骤(1)中，ue705由认证中心740授权和认证。在一些实施例中，认证中心740包括负责例如ue特定的名称、认证、授权和/或计费中心等各种ue特定的任务的全局实体。在其他实施例中，认证中心740包括ue705的归属网络的控制中心。

在第二步骤(2)期间，认证中心740向密钥管理实体736提供ue特定的密钥或用于导出ue特定的密钥的材料。接着，密钥管理实体在第三步骤(3)期间向wn保护控制器718提供ue特定的密钥。wn保护控制器718在第四步骤(4)期间向ue特定的sgw714分发ue特定的密钥，以及在第五步骤(5)期间向ue705分发ue特定的密钥。

在第六步骤期间，ue705从无线网络域710移动到无线网络域720，从而触发切换。切换的结果是，在第七步骤(7)期间，从wn保护控制器718向wn保护控制器728传送ue特定的密钥。wn保护控制器728负责第二无线域720中的密钥分发，并且在第八步骤(8)期间向ue特定的sgw分发ue特定的密钥。

本公开的各个方面提供适于为机器对机器(m2m)业务相关的业务流提供接入保护的业务特定的密钥。图8示出了为在多个网络域801、802、803上传输的m2m业务相关的业务流提供接入保护的网络架构800的实施例。在本实例中，第一m2m业务注册到m2m客户810，并且第二m2m业务注册到m2m客户820。可使用业务特定的密钥信息加密/解密m2m相关的业务流。例如，在将业务流通信到m2m业务客户810之前，机器811、812可使用第一业务特定的密钥加密数据，而在将业务流通信到m2m业务客户820之前，机器821、822可使用第二业务特定的密钥加密数据。

可以在不同网络位置过滤m2m业务相关的业务流。例如，具有相对稳定拓扑(例如，不频繁增加/去除机器)的网络可在网络边缘，例如在各自的机器和m2m客户上执行业务流过滤。其他网络可在网络域801-803中的网关831-833的其中一个上过滤m2m业务相关的业务流。例如，可在例如虚拟业务特定的sgw等业务特定的网关处执行过滤。也可以由pgw或虚拟网络域中的网关执行过滤。对m2m相关的业务流进行过滤的实体可尝试使用相应的业务特定的密钥解密在业务流流量中的分组，接着丢弃实体不能成功解密的任何分组。

本公开的各个方面提供了用于管理业务特定的密钥材料的架构。图9示出了用于管理网络域910中业务特定的密钥材料的无线网络架构900的实施例。如图所示，网络架构900包括位于网络域910中业务特定的sgw914，与网络域910相关联的保护控制器918、密钥管理实体936、认证中心940和m2m客户950。

对无线网络架构900中业务特定的密钥材料的管理以八个步骤的顺序进行描述，当m2m客户950启动m2m业务注册时，可触发这些步骤。在第一步骤(1)中，m2m客户950由认证中心940授权和认证，认证中心可以是负责多种m2m业务特定的任务的全局实体或m2m客户950的归属网络中的控制中心。

在第二步骤(2)期间，认证中心940向密钥管理实体936提供业务特定的密钥或用于导出业务特定的密钥的材料。接着在第三步骤(3)期间，密钥管理实体向保护控制器918提供业务特定的密钥，并且在第四步骤(4)期间，保护控制器918向业务特定的sgw914分发业务特定的密钥。在第五步骤(5)期间，机器905尝试注册为m2m业务的参与者，其可包括向业务特定的sgw914发送指定业务名称的请求。当机器905通电或以其他方式被用户配置时，可触发该注册尝试。在第六步骤(6)期间，从业务特定的sgw914向m2m客户950转发业务请求，m2m客户950可维护用于认证允许参与m2m业务的设备/机器的安全信息。在第七步骤(7)期间，m2m客户950向保护控制器918通知机器905已经被认证，提示保护控制器918在第八步骤(8)期间向机器905分发业务特定的密钥。

本公开的各个方面使用群组特定的密钥向专用社交网络的成员之间通信的业务流提供接入保护。图10示出了用于向例如专用社交网络的公共群组的成员之间通信的业务流提供接入保护的网络架构1000的实施例。如图所示，实施例的网络架构1000包括用于向注册到公共网络或群组，例如专用社交网络/群组的无线设备1005、1006、1007提供无线接入的无线网络域1010、1020。如图所示，无线网络域1010、1020包括适于向无线设备1005、1006、1007提供无线接入的接入点1012、1022，以及服务网关1014、1024，和分组网关1016、1026。在一些实施例中，经由互联网1030向远程端1036(例如应用服务器等)传输群组相关的业务流。也可在群组成员1005、1006、1007之间通信群组相关的业务流。成员1005、1006、1007以及远程端1036可使用群组特定的密钥加密/解密群组相关的业务流。

图11示出了用于管理网络域1110中群组特定的密钥材料的无线网络架构1100的实施例。如图所示，网络架构1100包括位于网络域1110中的群组特定的sgw1114、与网络域1110相关联的保护控制器1118、密钥管理实体1136、以及认证中心1150。对无线网络架构1100中群组特定的密钥材料的管理以八个步骤的顺序进行描述，当群组头设备1105启动专用群组/网络注册时，可触发这些步骤。

在第一步骤(1)中，头设备1105由认证中心1150授权和认证。认证中心1150可以是负责多种群组特定的任务的全局实体，或头设备1105的归属网络的控制中心。在第二步骤(2)中，密钥管理实体1136创建群组特定的密钥。接着在第三步骤(3)中，密钥管理实体1136向wn保护控制器1118提供群组特定的密钥，并且在第四步骤(4)期间，wn保护控制器1118向群组特定的sgw1114发送群组特定的密钥。在第五步骤(5)期间，群组成员1106通过向认证中心1150发送注册请求尝试注册为专用网络的参与者。在第六步骤中，认证中心1150向头设备1105转发该请求，在第七步骤中向wn保护控制器1118发送认证确认。在第八步骤(8)中，wn保护控制器1118向群组成员1106发送群组特定的密钥，在此之后，群组特定的密钥用来加密/解密群组相关的业务流。

本公开的各个方面提供了几个益处。例如，实施例的技术可以为无线网络接入提供灵活的保护方案，并减少切换期间传送的链路保护材料的量。实施例也可提供统一的安全控制并提供虚拟用户特定的sgw、虚拟业务特定的sgw和/或群组特定的sgw处的安全控制收敛(convergence)。本公开的各个方面可以向无线回程链路提供接入保护，以及防止恶意节点攻击客户业务流。在一实施例中，无线网络域中的节点可使用回程(bh)密钥，来加密/解密无线回程接口上的通信。对不同类型的密钥的管理可彼此独立进行。

可以在相应链路、接口或信道上以任一方向使用各种密钥(例如ue特定的密钥、wn特定的密钥等)进行加密/解密。例如，wn特定的密钥可用来执行无线接入链路上通信的上行链路数据的加密/解密，以及执行无线接入链路上通信的下行链路数据的加密/解密。

本公开的各个方面提供了一种无线网络接入保护的方法。该方法包括：获得分配给无线网络的无线网络(wn)特定的密钥，建立基站和用户设备(ue)之间的无线接口，以及在无线接口上从ue接收加密的数据。加密的数据至少具有第一层加密和第二层加密。该方法进一步包括：使用wn特定的密钥部分地解密该加密的数据，以便从加密的数据除去第一层加密，从而获得包括第二层加密的部分解密的数据，并且向wn中的网关转发该部分解密的数据。在一些实施例中，网关包括用户特定的服务网关(sgw)。在一些实施例中，用户特定的sgw适于使用ue特定的密钥进一步解密该部分解密的数据，以便从解密的数据中除去第二层加密。ue特定的密钥可以不同于wn特定的密钥。在一些实施例中，用户特定的sgw和基站共同处于相同的网络侧设备上。在另一些实施例中，用户特定的sgw和基站处于不同的网络侧设备上。在一些实施例中，该方法进一步包括：在无线接口上接收分组，使用wn特定的密钥尝试部分解密该分组；以及当部分解密该分组的尝试不成功时，丢弃该分组。该方法可进一步包括：当部分地解密该分组的尝试成功时，向用户特定的sgw转发该分组。用户特定的sgw适于使用ue特定的密钥尝试进一步解密该分组，并且适于当使用ue特定的密钥进一步解密该分组的尝试失败时，丢弃该分组。在一些实施例中，第一层加密为无线接口提供接入保护，并且第二层加密为ue和用户特定的sgw之间延伸的承载信道提供接入保护。在一些实施例中，向无线网络中的一组基站分发wn特定的密钥，使得该组基站中的基站之间发生切换，而在切换期间，不用交换wn特定的密钥。向一群组无线网络分配wn特定的密钥，使得该群组无线网络中的无线网络之间发生切换，而在切换期间，不用交换wn特定的密钥。还提供了一种执行该方法的装置。

本公开的各个方面提供了一种在无线网络中分发密钥的方法。在本实例中，该方法包括：在wn密钥控制器上生成无线网络(wn)特定的密钥。向第一无线网络分配wn特定的密钥。该方法进一步包括：向在第一无线网络中的基站分发wn特定的密钥，以便在基站和接入该无线网络的用户设备(ue)之间建立的无线接入接口上提供接入保护。在一些实施例中，向至少包括第一无线网络和第二无线网络的一群组无线网络分配wn特定的密钥。在这些实施例中，该方法进一步包括：向第二无线网络中的基站分发wn特定的密钥。在一些实施例中，该方法进一步包括：在第一时间段结束时，更新wn特定的密钥，以及在第二时间段开始时，向第一无线网络中的基站分发更新的wn特定的密钥。在第一时间段期间，wn特定的密钥向无线接入接口提供接入保护，并且在第二时间段期间，更新的wn特定的密钥向无线接入接口提供接入保护。还提供了一种执行该方法的装置。wn特定的密钥可被分发到ue没有连接的接入点，减轻了在基站到基站切换过程中包括密钥信息的需求。同时，如果使用不同的密钥(例如，ue特定的密钥)加密到网关的ue业务流时，ue业务流在其被网关接收前仍被保护免于入侵。

本公开的各个方面提供了一种密钥管理架构。在本实例中，该密钥管理架构包括：无线网络(wn)保护控制器，适于获得分配给接入无线网络的ue的用户设备(ue)特定的密钥，并且向该无线网络中的服务网关(sgw)分发该ue特定的密钥。该ue特定的密钥适于对在ue和sgw之间延伸的承载信道提供接入保护。在一些实施例中，该wn保护控制器从第三方密钥管理实体获得ue特定的密钥。该第三方密钥管理实体由独立并区别于所述无线网络的运营商的第三方管理员运营。在一些实施例中，密钥管理架构还包括wn密钥控制器，适于生成向无线网络分配的wn特定的密钥，以及向无线网络中的基站分发wn特定的密钥。该wn特定的密钥可独立并区别于ue特定的密钥。该wn特定的密钥适于对在基站和接入该无线网络的用户设备(ue)之间建立的无线接入接口提供接入保护。

本公开的各个方面提供了一种用于认证移动设备的方法。在本实例中，该方法包括：在wn保护控制器处，从第三方密钥管理实体接收ue特定的密钥，该wn保护控制器被指派在整个无线网络中分发密钥。该第三方密钥管理实体由不同于无线网络的运营商的第三方管理员运营。该方法进一步包括：识别对应由ue特定的密钥指定的ue标识符的无线网络域；以及向无线网络域中的服务网关(sgw)分发ue特定的密钥。ue特定的密钥适于对在ue和sgw之间延伸的承载信道提供接入保护。在一些实施例中，sgw为用户特定的sgw。还提供了一种执行该方法的装置。

本公开的各个方面提供了一种提供业务特定的接入保护的方法。在本实例中，该方法包括：识别与机器对机器(m2m)客户相关联的m2m业务；在sgw处接收分配给该m2m业务的业务特定的密钥；以及从网络设备接收分组。该分组与m2m业务相关。该方法进一步包括：使用业务特定的密钥尝试解密该分组；以及当解密该分组的尝试不成功时，丢弃该分组。在一些实施例中，sgw为业务特定的sgw。在一些实施例中，该方法进一步包括：当解密该分组的尝试成功时，向m2m客户转发解密的分组。在一些实施例中，向m2m业务分配业务特定的密钥，并且该业务特定的密钥并不特定于该网络设备。在一些实施例中，在m2m客户认证网络设备之后，向网络设备提供业务特定的密钥。还提供了一种执行该方法的装置。

本公开的各个方面提供了一种群组特定的接入保护的方法。在本实例中，该方法包括：识别专用网络，在sgw处接收分配给该专用网络的群组特定的密钥，接收寻址到属于该专用网络的网络设备的分组，以及使用该群组特定的密钥尝试解密该分组。该方法进一步包括：当解密该分组的尝试不成功时，丢弃该分组。在一些实施例中，该sgw为业务特定的sgw。在一些实施例中，公共群组包括专用社交网络。在一些实施例中，向专用网络分配密钥，并且该密钥并不特定于任何一个单独的网络设备。还提供了一种执行该方法的装置。

图12为可用于实现此处公开的设备和方法的处理系统的框图。特定设备可使用示出的所有组件，或组件的仅仅一个子集，并且集成水平可随不同设备而变化。此外，设备可含有组件的多个实例，例如，多个处理单元、处理器、存储器、发送器、接收器等。处理系统可包括处理单元，该处理单元配备有一个或多个输入/输出设备、例如，扬声器、麦克风、鼠标、触摸屏、小键盘、键盘、打印机、显示器等。处理单元可包括连接到总线的中央处理单元(cpu)、存储器、大容量存储设备、视频适配器，以及i/o接口。

总线可为一个或多个任何类型的几个总线架构，包括存储器总线或存储器控制器，外围总线、视频总线等。cpu可包括任何类型的电子数据处理器。存储器可包括任何类型的非瞬态系统存储器，诸如静态随机存取存储器(sram)、动态随机存取存储器(dram)、同步dram(sdram)、只读存储器(rom)或其组合等。在一实施例中，存储器可包括启动时使用的rom，执行程序时使用的用于程序和数据存储的dram。

大容量存储设备可包括用于存储数据、程序及其它信息并用于通过总线使数据、程序及其它信息可访问的任何类型的非瞬态存储设备。大容量存储设备可包括，例如，一个或多个固态驱动器、硬盘驱动器、磁盘驱动器、光盘驱动器等。

视频适配器以及i/o接口提供将外部输入和输出设备耦合到处理单元的接口。如图所示，输入和输出设备的实例包括耦合至视频适配器的显示器，以及耦合至i/o接口的鼠标/键盘/打印机。其他设备可耦合至处理单元，并且可使用附加的或更少的接口卡。例如，可使用诸如通用串行总线(usb)(未示出)的串行接口为打印机提供接口。

处理单元还包括一个或多个网络接口，这些网络接口可包括诸如以太网线缆之类的有线连接，和/或接入节点或不同网络的无线连接。网络接口使得处理单元经由网络与远程单元进行通信。例如，网络接口可经由一个或多个发送器/发送天线和一个或多个接收器/接收天线提供无线通信。在一实施例中，处理单元耦合至局域网或广域网以便与远程设备进行数据处理和通信，远程设备例如其他处理单元、互联网、远程存储设施等。

图13示出了通信设备1300的实施例的框图，通信设备1300相当于如上所述的一个或多个设备(例如，ue、enb、控制器等)。通信设备1300可包括可以(或不是)按照图13所示排列的处理器1304、存储器1306以及多个接口1310、1312、1314。处理器1304可以是能够进行计算和/或其他处理相关任务的任何组件，并且存储器1306可以是能够存储用于处理器1304的程序和/或指令的任何组件。接口1310、1312、1314可以是使得通信设备1300与其他设备进行通信的任何组件或组件集合。

尽管已经详细描述了本发明，但应理解，可以在不偏离所附权利要求限定的本公开的精神和范围的情况下，做出各种改变、替换和变更。此外，本公开的范围并不意图受限于此处描述的具体实施例，正如本领域普通技术人员可以轻易地从本公开意识到一样，目前存在的或以后待开发的过程、机器、制造、物质组成、手段、方法或步骤可与此处描述的相应实施例实现基本相同的功能或达到基本相同的结果。因此，所附权利要求旨在其范围内包括这些过程、机器、制造、物质组成、手段、方法或步骤。

虽然已结合示例性实施例对本发明进行了描述，但是本发明并不旨在被解释为限于此。参照这些描述，对示例性实施例和本发明的其它实施例进行各种修改和组合对本领域技术人来讲是显而易见的。因此，所附权利要求涵盖任何这些修改或实施例。