用户设备与演进分组核心之间的相互认证的制作方法

本申请是申请日(国际申请日)为2016年1月11日，申请号为201680004082.4(国际申请号为pct/kr2016/000231)，发明名称为“用户设备与演进分组核心之间的相互认证”的发明专利申请的分案申请。本公开一般涉及无线通信系统，更具体地，涉及一种用于在用户设备(ue)与演进分组核心(epc)之间相互认证的装置及方法。
背景技术：
：第三代合作伙伴计划(3gpp)发起了关于演进通用移动电信系统地面无线接入网络(e-utran)用于公共安全的隔离操作(iops)方面的工作，其目标是确保公共安全用户在任务关键情况下持续通信的能力。无论演进节点b(enodeb)与核心网络之间的连接(例如回程链接)是否存在，iops都支持可恢复的任务关键网络操作。从用于公共安全用途的安全角度看，主要要求是公共安全ue对隔离的e-utran的访问以及在隔离的e-utran操作模式下的ue的安全操作。此外，当enodeb与核心网络失去连接时很难为ue提供认证。当enodeb不与核心网络通信(例如断开连接)时，对于enodeb而言归属用户服务器(hss)(认证中心(auc))不可用(或不可到达)于将从ue接收的访问请求传递至核心网络并获得用于访问控制和安全通信的安全上下文。当至核心网络的回程链接不可用时，公共安全enodeb(本地演进分组核心(epc))能够自主运行或与其他附近enodeb协调以在一区域内的公共安全ue附近提供本地路由的通信。隔离的e-utran操作模式还通过部署一个或多个单独的游离enodeb(nenb)，提供了创建无回程链接的服务无线接入网络(ran)的能力。从安全的角度来看，隔离的e-utran操作模式可能具有两种操作模式：至epc的信令回程连接活跃。因而，能够与auc或hss通信(模式1)；以及没有至epc的信令回程连接；因而，不能与auc或hss通信(模式2)。在模式1的情况下，正常的3gpp安全操作是可能的。此外，在模式2的情况下，隔离的e-utran必须确保用户数据和网络信令安全都处于可与模式1所提供的相比较的水平。在ue与nenb之间发生的通信和在不同的nenb之间的通信需要安全特征的提供。在常规的系统和方法中，在用于认证和授权的enodeb中包括潜在用户的完整用户数据库并不是可行的方案。此外，订阅证书被破解状态下的enodeb暴露存在很高的安全风险。除了安全认证，需要安全操作(例如完整性保护、重放保护、机密性保护)以减轻未授权灾害信息的分布和公共安全ue之间通信的窃听。技术实现要素：技术问题因此，需要简单而健壮的机制用于在enodeb未连接至核心网络时解决上述安全问题。解决方案本公开的一个方面在于提供认证用于iops的epc的装置和方法。本公开的另一方面在于提供在ue和本地epc之间认证的装置和方法。本公开的另一方面在于提供接收被本地epc广播的iops公共陆地移动网络(plmn)标识(id)的装置和方法，其中iopsplmnid指示本地epc处于iops模式下。本公开的另一方面在于提供基于从本地epc接收的iopsplmnid激活在ue中支持iops模式的通用用户识别模块(usim)的装置和方法。本公开的另一方面在于提供响应于接收iopsplmnid而认证本地epc的装置和方法。本公开的另一方面在于提供向本地epc发送第一请求消息的装置和方法。本公开的另一方面在于提供响应于第一请求消息从本地epc接收包括标志的第二请求消息的装置和方法。本公开的另一方面在于提供广播iopsplmnid的装置和方法，其中iopsplmnid指示本地epc处于iops模式下。本公开的另一方面在于提供从ue接收第一请求消息的装置和方法。本公开的另一方面在于提供响应于接收第一请求消息而生成标志的装置和方法。本公开的另一方面在于提供向ue发送包括生成的标志的第二请求消息以认证本地epc的装置和方法。根据本公开的一个方面，提供了一种操作启用用于公共安全的隔离演进通用移动电信系统地面无线接入网络(e-utran)(iops)的操作的用户设备的的方法。方法包括：从具有iops能力的enodeb(enb)接收包括iops公共陆地移动网络(plmn)标识的系统信息区块(sib)消息；基于iopsplmn标识激活专用的iops通用用户识别模块(usim)应用；以及基于专用的iopsusim应用认证具有iops能力的enb。根据本公开的另一方面，提供了操作具有iops能力的enb的方法。方法包括：广播包含iopsplmn标识的sib消息；以及基于专用的iopsusim应用认证启用iops的ue，其中专用的iopsusim应用基于iopsplmn标识被ue激活。根据本公开的另一方面，提供了启用iops的ue的装置。装置包括：控制器，以及可操作地与控制器耦合的至少一个收发器，其中控制器配置为：从具有iops能力的enb接收包括iopsplmn标识的sib消息；基于iopsplmn标识激活专用的iopsusim应用；以及基于专用的iopsplmn应用认证具有iops能力的enb。根据本公开的另一方面，提供了具有iops能力的enb的装置。装置包括：控制器，以及可操作地与控制器耦合的至少一个收发器，其中控制器配置为：广播包括iopsplmn标识的sib消息；以及基于专用的iopsusim应用认证启用iops的ue，其中专用的iopsusim应用被ue基于iopsplmn标识激活。根据本公开的另一方面，提供了一种操作无线通信系统中的用户设备(ue)的方法，所述方法包括：识别所述ue的通用用户识别模块(usim)应用，所述usim应用配置有安全证书，所述安全证书包括用于公共安全(iops)操作的隔离演进通用移动电信系统地面无线接入网络(e-utran)操作的国际移动用户识别码(imsi)和访问类状态11或15；以及基于所述安全证书在iops模式下执行与演进节点b(enb)的认证程序，其中，所述安全证书是用于所述iops操作的与用于正常操作的安全证书独立的安全证书的不同集合，并且其中，所述正常操作包括基于至演进分组核心(epc)的回程连接的非iops模式的操作。根据本公开的另一方面，提供了一种无线通信系统中的用户设备(ue)的装置，所述装置包括：收发器；和至少一个处理器，被配置成：识别所述ue的通用用户识别模块(usim)应用，所述usim应用配置有安全证书，所述安全证书包括用于公共安全(iops)操作的隔离演进通用移动电信系统地面无线接入网络(e-utran)操作的国际移动用户识别码(imsi)和访问类状态11或15；以及基于所述安全证书在iops模式下执行与演进节点b(enb)的认证程序，其中，所述安全证书是用于所述iops操作的与用于正常操作的安全证书独立的安全证书的不同集合，并且其中，所述正常操作包括基于至演进分组核心(epc)的回程连接的非iops模式的操作。根据本公开的另一方面，提供了一种操作无线通信系统中的演进节点b(enb)的方法，所述方法包括：基于安全证书认证用户设备(ue)，所述安全证书配置在所述ue的通用用户识别模块(usim)应用中，其中，所述安全证书包括用于公共安全(iops)操作的隔离演进通用移动电信系统地面无线接入网络(e-utran)操作的国际移动用户识别码(imsi)和访问类状态11或15，其中，所述安全证书是用于所述iops操作的与用于正常操作的安全证书独立的安全证书的不同集合，并且其中，所述正常操作包括基于至演进分组核心(epc)的回程连接的非iops模式的操作。根据本公开的另一方面，提供了一种无线通信系统中的演进节点b(enb)的装置，所述装置包括：收发器；以及至少一个处理器，被配置成基于安全证书认证用户设备(ue)，所述安全证书配置在所述ue的通用用户识别模块(usim)应用中，其中，所述安全证书包括用于公共安全(iops)操作的隔离演进通用移动电信系统地面无线接入网络(e-utran)操作的国际移动用户识别码(imsi)和访问类状态11或15，其中，所述安全证书是用于所述iops操作的与用于正常操作的安全证书独立的安全证书的不同集合，并且其中，所述正常操作包括基于至演进分组核心(epc)的回程连接的非iops模式的操作。发明效果本公开的实施方式能够在无线环境中有效保持公共安全。附图说明通过下文参照附图进行的详细描述，本公开的某些实施方式的上述和其他方面、特征和优点将更加显而易见，在附图中：图1a和1b是根据本公开的实施方式的ue与本地epc之间的认证系统的框图；图2是根据本公开的实施方式的用于认证enodeb或本地epc的ue的框图；图3是根据本公开的实施方式的用于认证ue的enodeb或本地epc的框图；图4a是根据本公开的实施方式的ue与本地epc之间的认证方法的流程图；图4b是根据本公开的实施方式的认证enodeb或本地epc的方法的流程图；图5a是根据本公开的实施方式的ue与enodeb或本地epc之间的认证方法的流程图；图5b是根据本公开的实施方式的认证enodeb或本地epc的方法的流程图；图6是根据本公开的实施方式的用于在ue与enodeb或本地epc之间执行认证的序列图；图7是根据本公开的实施方式的用于在ue与enodeb或本地epc之间执行相互认证的序列图；图8a和8b是根据本公开的实施方式的密钥导出方法的示意图；图9是根据本公开的实施方式的使用iops国际移动用户识别码(imsi)认证enodeb或本地epc的序列图；图10是根据本公开的实施方式的使用系统信息块(sib)消息认证enodeb或本地epc的序列图；图11是根据本公开的实施方式的通过使用imsi和国际移动站设备识别码(imei)认证enodeb或本地epc的序列图；图12是根据本公开的实施方式的认证enodeb或本地epc的方法的流程图；图13是根据本公开的实施方式的用于kasme(kenodeb)交换消息流的基于标识加密的序列图；图14是根据本公开实施方式的实施ue与本地epc之间认证的方法和系统的计算环境的框图。具体实施方式下面根据附图中所示且在下文描述中详细说明的非限制性实施方式更充分地描述本文中的实施方式及其各种特征和优势的细节。省略了熟知的组件和处理技术的描述，从而不会不必要地模糊本文中的实施方式。此外，本文中描述的各种实施方式不一定是互相排斥的，一些实施方式可以与一个或多个其他实施方式组合以形成新的实施方式。除非另有指明，否则如本文中所使用的术语“或”是指非排他性的或。本文中所使用的示例仅旨在便于理解可以实践本文中实施方式的方法，并进一步使本领域技术人员能够实践本文中的实施方式。因此，示例不应被理解为限制本公开的范围。下面参照附图描述本公开，其中同样的参考数字指示对应的元件。在详细描述实施方式前，提供了本文中使用的关键术语的定义。除非另有定义，否则本文中使用的所有术语具有与本公开所属领域的普通技术人员通常理解的相同的含义。下面是本公开中所使用的术语的词汇表：具有隔离的e-utraniops能力的enodeb：具有iops模式操作能力的enodeb，当enodeb失去至macroepc的回程或不具有至macroepc的回程时，通过本地epc向一个或多个启用iops的ue提供本地互联网协议(ip)连通性和公共安全服务。iops网络：包括在iops模式下操作并连接至本地epc的一个或多个enodeb的iops网络。本地epc：本地epc是代替macroepc提供在iops操作模式下的enodeb利用的功能的实体，以便支持公共安全服务。此外，本地epc能够包括移动管理实体(mme)、服务网关/分组数据网络网关(sgw/pgw)、归属用户服务器(hss)功能或其组合。macroepc：当不处于iops操作模式下时服务enodeb的epc。游离演进分组系统(eps)：在无正常eps的情况下能够向启用iops的ue提供无线接入(通过可部署的具有iops能力的enodeb)、本地ip连通性和公共安全服务的可部署系统。启用iops的ue：配置为使用在iops模式下操作的网络的ue。ue是通用集成电路卡(uicc)和移动设备(me)的组合。在本公开的实施方式中，失去回程通信后，通过具有iops能力的enodeb(或连接的具有iops能力的enodeb的集合)，iops提供保持用于公共安全用户的通信水平的能力。隔离的e-utran操作模式还适用于形成游离eps部署，即一个或多个独立的具有iops能力的enb的部署，创建无回程通信的服务无线接入网络并且还在无正常eps架构可用性的情况下向公共安全用户提供本地ip连通性和服务。3gpp技术规范22.346列出了iops中长期演进(lte)网络的一般要求。在3gppts23.401的资料性附录k中给出了iops的构架概念的描述。此外，3gppts23.401提供了用于在没有至macroepc的回程链接的情境中使用本地epc方法操作公共安全网络的安全指南。本地epc方法假设iops网络能够包含以下任意一者：本地epc和单个隔离的具有iops能力的enodeb(或可部署的具有iops能力的enodeb)，其可以位于相同位置或具有至本地epc的连通性；或本地epc和两个或多个具有iops能力的enodeb(或可部署的具有iops能力的enodeb)，其具有至单个本地epc的连通性。此外，本地epc包括mme、sgw或pgw、hss功能或其组合。当enodeb处于iops模式时，公共安全网络运营商指定用于通过enodeb在sib消息中进行广播的iops操作模式的plmn标识。只有授权的启用iops的ue能够访问指示为iopsplmn的plmn。本文中的实施方式公开了ue与本地epc之间认证的方法。方法包括接收通过本地epc广播的iopsplmnid，其中iopsplmnid表明本地epc处于iops模式。此外，方法包括基于从本地epc接收的iopsplmnid激活支持ue中的iops模式的usim。在一实施方式中，方法包括发送第一请求消息至本地epc。第一请求消息是attach(联接)请求消息。此外，方法包括在接收第一请求消息后从本地epc接收包括标志的第二请求消息。在本公开的实施方式中，第二请求消息是authentication(认证)(auth)请求消息。此外，方法包括基于标志认证本地epc。在一实施方式中，基于标志认证本地epc包括生成候选标志。在生成候选标志后，确定从本地epc接收的标志与候选标志之间是否匹配。此外，响应于确定标志与候选标志之间的匹配来认证本地epc。在一实施方式中，基于标志认证本地epc包括通过解密标志提取与本地epc相关的密钥并基于密钥认证本地epc。在一实施方式中，方法还包括发送包括至少一个参数的响应信息至本地epc以认证ue。此外，方法包括从本地epc接收接受消息。在一实施方式中，标志是认证和密钥协商(aka)程序的随机数(rand)和认证标志(autn)、使用ue的公共密钥加密的密钥、imsi或其组合的至少之一。在一实施方式中，attach请求消息包括访问类、imsi、ue的能力、imei和闭合用户组(csg)小区id中的至少之一。本文中的实施方式公开了在ue和本地epc之间认证的方法。方法包括通过本地epc广播iopsplmnid，其中iopsplmnid表明本地epc处于iops模式。在一实施方式中，方法包括从ue接收第一请求消息。此外，方法包括响应于接收第一请求消息生成标志。此外，方法包括发送包括生成的标志的第二请求消息至ue以认证本地epc。在一实施方式中，方法还包括从ue接收包括至少一个参数的响应消息。此外，方法包括基于至少一个参数认证ue。此外，方法包括发送接受消息至ue。不同于常规系统和方法，本公开的方法提供了用于iops的访问认证的方法。除正常的订阅证书之外，本公开的装置基于专用独有订阅证书在ue与enodeb(或本地epc)之间提供服务或ran证书用于iops操作的访问控制(例如许可或禁止)。此外，本公开的方法提供除正常订阅证书之外的访问类、imei、imsi或csgid特定证书用于当enodeb脱离核心网络(例如epc)时的访问控制(例如相互认证)。不同于常规系统和方法，本公开的装置包括在enodeb中生成认证向量(av)的功能用于iops访问控制和安全通信。此外，本公开的装置可以在无线资源控制(rrc)信令上提供认证和密钥协商(aka)程序，其中aka程序由分组数据汇聚协议(pdcp)实体或pdcp顶部的新实体提供。aka程序还可以使用认证管理字段(amf)位提供访问类控制。此外，本公开的装置处理诸如安全存储和执行环境、ue与隔离e-utran之间的相互认证、授权(即广播、多播和单播)、空中保护(例如完整性、保密性和重放保护)、用于一对一通信的密码式独立密钥以及真实抗灾信息发布的要求。现在参照附图，更具体地，参照图1a至图14，其中贯穿各附图相似的参考字符表示对应的特征，以示例方式示出了实施方式。图1a是根据本文所示实施方式的用于ue与本地epc之间认证的系统100a的框图。系统100a包括ue102、enodeb104、macroepc106和本地epc108。在一实施方式中，本地epc108可以位于enodeb104内。参照图1a，ue102包括uicc单元102a(或简单地可以称为uicc或ue102中的用户识别模块(sim)卡)。在一实施方式中，本地epc108可以包括mme、sgw或pgw、以及hhs功能中的至少之一。ue102可以是膝上型计算机、台式计算机、移动电话、移动站、移动终端、智能电话、个人数字助理(pda)、平板计算机、平板手机或任何其他电子装置。uicc单元102a包括应用(例如sim、通用用户识别模块(usim)和ip多媒体服务识别模块(isim))。在一实施方式中，除uicc单元102a中的应用外，通过运营商或通过公共安全社区或代理包括另一专用usim应用(例如iops应用)来使ue102能够在iops操作模式下通信。在一实施方式中，为了确保对iops操作模式的支持不危害正常操作的安全，当enodeb(例如本地epc)在iops操作模式下操作时，在存在于ue102中的uicc单元102a中的iops模式专用的usim应用与本地hss(包括在本地epc108中)之间执行认证和密钥协商(aka)程序。这也同样适用于失去回程通信和转换enodeb104的情况以支持用于启用iops的ue组的隔离e-utran操作。此外，iops操作模式专用的usim应用使用与用于正常操作的安全证书独立的安全证书的不同集合。在iops操作模式开始前将证书配置在本地epc108中和uicc单元102a中。在ue102中iops操作模式专用的usim应用具有包含以下所示的一项或多项的安全证书的不同集合：永久密钥“k”(唯一地分配用于iops操作模式)；分配用于iops网络操作的plmn标识；imsi(唯一地分配用于iops操作模式)；或访问类状态11或15(服从于地区/国家法规要求或运营商政策)。证书是在本地epc108内预设的，支持iops操作模式，其中公共安全部门要求在失去回程通信的情况下向ue102提供服务。本地epc108中的iops网络安全证书集仅在针对被认证用于iops网络中的操作的ue102的情况下执行存储。管理性预设用来保持在本地epc108处用于所有被认证的ue102的安全证书的及时更新。在一实施方式中，iops应用(例如专用于iops操作模式的usim应用)配置有(出于限制目的的)用于正常epc的访问类(下文“c”、“d”、“e”、“f”和“g”中所描述)。除第三代合作伙伴计划(3gpp)中定义的现有访问类外，运营商可以配置新的访问类(下文“h”中所描述)。a)类0-9：正常行为b)类10：紧急呼叫c)类15：plmn工作人员d)类14：紧急服务(包括iops)e)类13：公共事业(例如水、气供应商，或iops)f)类12：安全服务(包括iops)g)类11：用于plmn的使用(包括iops)h)类xx：iops服务首先，ue102通过访问正常应用的enodeb104联接至macroepc106。每当enodeb104与macroepc106断开连接(例如回程链接)时，enodeb104激活iops操作模式。在本公开的实施方式中，每当在enodeb104和macroepc106之间无回程链接连接时，enodeb104触发本地epc108(例如在enodeb104内)。此外，enodeb104可用作本地epc108，执行本地epc108的功能。此外，enodeb104或本地epc108广播用于iops操作的plmnid并采用如“11”或“15”的访问类。ue102在小区中探测iopsplmnid。如果ue102不能找到服务macroepc106的另一合适的小区或者用户手动选择iopsplmn，ue102激活并且使用专用于iops网络访问的usim应用，从而如果授权的话，则ue102联接至enodeb104或本地epc108并获得本地ip地址。然后可以访问由iops网络支持的公共安全服务。在一实施方式中，iops密钥“ki”与访问类相关并在ue102和enodeb104或本地epc108之间共享。enodeb104或本地epc108预配置有用于ue102的不同访问类的密钥“ki”的清单。ue102(例如uicc单元102a或安全环境(例如knox工作空间等))基于其访问类预配置有“ki”。uicc单元102a由移动网络运营商(mno)使用空中程序配置或预设并可以使用sim或usim工具包保护预设。诸如knox的安全环境由mno或诸如公共安全部门、国家监管机构等第三方使用移动设备管理(mdm)解决方案(例如mdm合作伙伴)来配置或预设。由于访问类非常有限，在enodeb104或本地epc108中需要非常有限数量的密钥用于提供对公共安全ue102的安全访问。基于ue102的访问类通过enodeb104或本地epc108选择“ki”。对应于访问类的密钥如下所示：a)类0-9：k1b)类10-iops：k7c)类15-plmn工作人员：k2d)类14-紧急服务：k3e)类13-公共事业(例如水/气供应商)：k4f)类12-安全服务：k5g)类11-用于plmn使用：k6在一实施方式中，现有的sim、usim或isim应用基于访问类具有除正常或常规网络访问密钥“k”以外的带有不同密钥索引i的iops密钥(ki)。在一实施方式中，enodeb104或本地epc108通过设置认证管理字段(amf)位激活iops特定认证(例如aka)。amf具有16位，其中位“0”用作分隔位，位“1”至“7”为将来的标准化使用预留，位“8”至“15”可以用于专有目的。amf中的16位从“0”至“15”编号，其中位“0”是最高有效位而位“15”是最低有效位。至少一个位用于指示iops安全证书或密钥索引i和待用于认证的“ki”(av的验证和推导)或允许的访问类和待使用的对应密钥“ki”的作用。下表1示出了amf位的作用以指示iops操作、待使用的密钥索引或允许的访问类(或待使用的对应密钥“ki”)。如果网络操作等同于iops则autn的amf字段中的位(留出“分隔位”)应设为1以向ue102指示av仅可用于iops上下文中的aka。表1543210如果网络操作等同于iops则autn的amf字段中的位“1”应设置为1以向ue102指出av仅可用于iops上下文中的aka。位“2”指示密钥索引(用于或待用于生成或验证av的密钥)(lte订阅密钥)。位“3”至“7”指示访问类(其被允许访问并且用于或待用于生成或验证av的对应密钥)。在一实施方式中，位“3”至“6”指示访问类(其被允许访问并且用于或待用于生成或验证av的对应密钥)。enodeb104或本地epc108生成av(安全环境中的auc功能)。可选地，enodeb104或本地epc108可以被预配置有(不同访问类的)av，来代替生成av。oracle访问管理(oam)服务器在(用于不同访问类的)enodeb104或本地epc108中预配置了av清单。enodeb104或本地epc108中的av预配置不提供所需的安全级别，因为任何被盗用的enodeb或本地epc都能够泄露av并且伪基站可以利用盗取的av获得特定区域的访问权限。尽管图1a示出了作为两个单独实体的enodeb104和本地epc108，但本公开不限于此。例如，本地epc108可以可用于在enodeb104内部。例如，如图1b中所示，本地epc108的功能可以预设(或配置)在enodeb104中而不明确示出本地epc108在enodeb104之外或在enodeb104之内。图1b是根据本文中公开的实施方式的用于在ue与用作本地epc108的enodeb104之间认证的系统100b的框图。本地epc108的功能可以被预设或配置至enodeb104，从而在enodeb104与macroepc之间失去连接时允许enodeb104用作本地epc108。图1a和图1b分别示出了系统100a和系统100b。然而，本公开不限于此。在一实施方式中，系统100a和系统100b可以包括更少的组件或额外的组件。此外，组件的标签或名称仅用于说明目的，并不旨在限制本公开的范围。一个或多个组件可以组合以执行系统100a和系统100b中相同的或大体上相同的功能。图2是根据本文中公开的实施方式的用于认证enodeb104或本地epc108的ue102的框图。ue102包括uicc单元102a、控制器单元202、存储单元204和通信单元206。控制器单元202、存储单元204和通信单元206可以位于uicc单元102a内。诸如控制器单元202、存储单元204和通信单元206的单元中的一些可以位于uicc单元102a内。uicc单元102a包括支持iops操作模式的usim应用。参照图2，uicc单元102a或控制器单元202可以被配置为发送第一请求消息至enodeb104或本地epc108。在一实施方式中，第一请求消息是attach请求消息。attach请求消息可以包括访问类、imsi、ue102的能力、imei、csg小区id或其组合。此外，uicc单元102a或控制器单元202可以被配置为从enodeb104或本地epc108接收包括标志的第二请求消息。在一实施方式中，第二请求消息是auth请求消息。标志可以是aka程序的rand和auth、使用ue102或uicc单元102a的公共密钥加密的密钥、imsi、用于完整性的消息认证代码(mac-i)或其组合。此外，uicc单元102a或控制器单元202可以被配置为基于所接收的标志认证enodeb104或本地epc108。在从enodeb104或本地epc108接收标志后，uicc单元102a或控制器单元202可以被配置为生成候选标志。候选标志可以是aka程序的rand和auth、使用ue102或uicc单元102a的公共密钥加密的密钥、imsi、响应消息(res)或其组合。此外，下面参照图5和图6描述本公开。在一实施方式中，在从enodeb104或本地epc108接收标志后，uicc单元102a或控制器单元202可以被配置为通过解密标志来提取与enodeb104或本地epc108相关的密钥。此外，uicc单元102a或控制器单元202可以被配置为基于该密钥认证enodeb104或本地epc108。此外，下面参照图12描述本公开。此外，uicc单元102a或控制器单元202可以被配置为向enodeb104或本地epc108提供用于响应消息的至少一个参数以认证ue102。在一实施方式中，响应消息是auth响应消息。参数可以是res、mac-i或其组合。此外，uicc单元102a或控制器单元202可以被配置为从enodeb104或本地epc108接收接受消息。接受消息是attach(联接)接受消息。存储单元204可以被配置为储存从enodeb104或本地epc108接收的标志。此外，存储单元204可以包括一个或多个计算机可读存储介质。存储单元204可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存或电性可编程存储器(eprom)或电性可擦除可编程存储器(eeprom)。另外，在一些示例中，存储单元204可以被认为是非暂时性存储介质。术语“非暂时性”可以指存储介质不在载波或传播的信号中体现。然而，术语“非暂时性”不应被解释为指示存储单元204是不可移动的。在一些示例中，存储单元204可以被配置为比存储器储存更大量的信息。在某些示例中，非暂时性存储介质可以储存可以随时间改变的数据(例如在随机存取存储器(ram)或高速缓存中)。通信单元206可以被配置为在单元之间内部通信以及与网络进行外部通信。图2示出了ue102的各单元，但要理解的是，本公开不限于此。在一实施方式中，ue102可以包括更少的单元或额外的单元。此外，单元的标签或名称仅用于说明目的，并不旨在限制本公开的范围。一个或多个单元可以组合以执行ue102中相同的或大体相同的功能。图3是根据本文中公开的实施方式的用于认证ue102的enodeb104或本地epc108的框图。本文中描述的enodeb104或本地epc108可以例如对应于但不限于lte网络、用于全球移动通信系统(gsm)演进(edge)无线接入网络(geran)的gsm增强数据率、通用移动通信系统(umts)无线接入网络(utran)、演进utran(eutran)或任何其他网络。在本公开的实施方式中，enodeb104或本地epc108包括接收器(rx)单元302、控制器单元304、存储单元306和发送器(tx)单元308。参照图3，rx单元302可以被配置为从ue102和网络接收一个或多个信令消息。控制器单元304可以被配置为使用rx单元302从ue102接收第一请求消息。在一实施方式中，第一请求消息是attach(联接)请求消息。attach(联接)请求消息可以包括访问类、imsi、ue102的能力、imei、csg小区id或其组合。此外，控制器单元304可以被配置为在接收第一请求消息后生成标志。在一实施方式中，标志可以是aka程序的rand和auth、使用ue102或uicc单元102a的公共密钥解密的密钥、imsi或其组合。此外，控制器单元304可以被配置为通过使用tx单元308发送包括生成的标志的第二请求消息至ue102。标志由控制器单元304用以认证enodeb104或本地epc108。此外，控制器单元304可以被配置为通过使用rx单元302从ue102接收包括至少一个参数的响应消息。响应消息是auth响应消息。参数可以是res、mac-i或其组合。此外，控制器单元304可以被配置为基于至少一个参数授权ue102。控制器单元304在验证从ue102接收的res后授权ue102。控制器单元304可以被配置为在验证mac-i后授权ue102。此外，控制器单元304可以被配置为通过使用tx单元308发送attach(联接)接受消息至ue102。存储单元306可以被配置为存储生成的标志，该标志还可以由控制器单元304使用以导出密钥。此外，存储单元306可以包括一个或多个计算机可读存储介质。存储单元306可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存或eprom或eeprom的形式。另外，在一些示例中，存储单元306可以被认为是非暂时性存储介质。术语“非暂时性”可以指存储介质不在载波或传播的信号中体现。然而，术语“非暂时性”不应被解释为指示存储单元306是不可移动的。例如，存储单元306可以被配置为比存储器储存更大量的信息。例如，非暂时性存储介质可以存储可以随时间改变的数据(例如在ram或高速闪存中)。图3示出了enodeb104或本地epc108，但要理解的是，本公开不限于此。在一实施方式中，enodeb104或本地epc108可以包括更少或更多的单元。此外，单元的标签或名称仅用于说明目的，并非旨在限制本公开的范围。一个或多个单元可以组合以执行enodeb104或本地epc中相同的或大体相同的功能。图4a是根据本文中公开的实施方式的ue102与本地epc108之间的认证方法400a的流程图。在步骤402a中，方法400a接收被本地epc108广播的iopsplmnid，其中iopsplmnid指示本地epc108处于iops模式下。方法400a允许ue102接收被本地epc108广播的iopsplmnid，其中iopsplmnid指示本地epc108处于iops模式下。在步骤404a中，方法400a激活uicc单元102a中的usim应用。方法400a允许ue102激活uicc单元102a中的usim应用。在步骤406a中，方法400a认证本地epc108。方法400a允许usim102b认证本地epc108。方法400a中的各种行为、动作、区块、步骤等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外，在一实施方式中，行为、动作、区块、步骤等中的一些可以省略、添加、修改、略过等而不背离本公开的范围和主旨。图4b是根据本公开的实施方式的认证enodeb104或本地epc108的方法400b的流程图。参照图4，在步骤402b中，方法400b发送第一请求消息至enodeb104或本地epc108。方法400b允许ue102发送第一请求消息至enodeb104或本地epc108。在一实施方式中，第一请求消息是attach(联接)请求消息。attach(联接)请求消息能够包括例如访问类、imsi、ue102的能力、imei、csg小区id或其组合。在步骤404b中，方法400b从enodeb104或本地epc108接收包括标志的第二请求消息。在一实施方式中，第二请求消息是auth请求消息。在一实施方式中，方法400b允许ue102从enodeb104或本地epc108接收包括标志的第二请求消息。在步骤406b中，方法400b使用iops应用生成候选标志。在一实施方式中，方法400b允许ue102使用iops应用生成候选标志。在一实施方式中，候选标志可以是mac-i。在步骤408b中，方法400b确定从enodeb104或本地epc108接收的标志与候选标志之间是否匹配。在一实施方式中，方法400b允许ue102确定从enodeb104或本地epc108接收的标志与候选标志之间是否匹配。在步骤410b中，方法400b在确定标志与候选标志之间匹配后认证enodeb104或本地epc108。在一实施方式中，方法400b允许ue102在确定标志与候选标志之间匹配后认证enodeb104或本地epc108。在步骤412b中，方法400b发送包括至少一个参数的响应消息至enodeb104或本地epc108以认证ue102。在一实施方式中，方法400b允许ue102发送包括至少一个参数的响应消息至enodeb104或本地epc108以认证ue102。参数可以是例如使用iops应用生成的res、mac-i或其组合。在步骤414b中，方法400b包括从enodeb104或本地epc108接收接受消息(例如attach(联接)接受消息)。在一实施方式中，方法400b允许ue102从enodeb104或本地epc108接收attach(联接)接受消息。方法400b的各种行为、动作、区块、步骤等等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外，在一实施方式中，行为、动作、区块、步骤等等中的一些可以省略、添加、修改、略过等等而不背离本公开的范围和主旨。图5a是根据本文中公开的实施方式的在ue102与enodeb104或本地epc108之间的认证方法500a的流程图。在步骤502中，方法500a广播iopsplmnid(即使用sib)，其中iopsplmnid指示enodeb104或本地epc108处于iops模式下。方法500a允许控制器单元304广播iopsplmnid至ue102以认证enodeb104或本地epc108，其中iopsplmnid指示enodeb104或本地epc108处于iops模式下。方法500a中的各种行为、动作、区块、步骤等等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外，在一实施方式中，行为、动作、区块、步骤等等中的一些可以省略、添加、修改、略过等等而不背离本公开的范围和主旨。图5b是根据本文中公开的实施方式的认证enodeb104或本地epc108的方法500b的流程图。参照图5b，在步骤502b中，方法500b从ue102接收第一请求消息。方法500b允许控制器单元304从ue102接收第一请求消息。在步骤504b中，方法500b使用该特定ue102的iops证书检索本地epc108中生成的标志。方法500b允许控制器单元304使用该特定ue102的iops证书检索本地epc108中生成的标志。在步骤506b中，方法500b发送包括生成的标志的第二请求消息至ue102以认证enodeb104或本地epc108。在一实施方式中，方法500b允许控制器单元304发送包括生成的标志的第二请求消息至ue102以认证enodeb104或本地epc108。在步骤508b中，方法500b从ue102接收包括至少一个参数的响应消息。方法500b允许控制器单元304从ue102接收包括至少一个参数的响应消息。在步骤510b中，方法500b基于该至少一个参数认证ue102。在本公开的实施方式中，方法500b允许控制器单元304基于该至少一个参数认证ue102。在步骤512b中，方法500b发送接受消息至ue102。在一实施方式中，方法500b允许控制器单元304发送接受消息至ue102。方法500b的各种行为、动作、区块、步骤等等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外，在一实施方式中，行为、动作、区块、步骤等等中的一些可以省略、添加、修改、略过等等而不背离本公开的范围和主旨。图6是根据本文中公开的本公开实施方式的用于在ue102与enodeb104或本地epc108之间执行认证的序列图600。在一实施方式中，信令序列描述ue102与enodeb104或本地epc108之间的通信。参照图6，在步骤602中，ue102发送第一请求消息至enodeb104或本地epc108。在一实施方式中，第一请求消息是attach(联接)请求消息，其中attach请求消息包括访问类、imsi、ue102的能力或其组合。在一实施方式中，ue102发送第一请求消息而不在该消息中包括访问类。在步骤604中，在接收第一请求消息后，enodeb104或本地epc108发送数据请求消息(即auth数据请求消息)至安全环境600a。数据请求消息包括访问类、imsi或其组合。基于接收的访问类，enodeb104或本地epc108请求安全环境602(其可以被包括在enodeb104或本地epc108中或者可以在enodeb104或本地epc108之外)提供av以认证ue102并授权在iops操作模式下访问安全通信。在步骤606中，在接收数据请求消息后，安全环境600a使用通过enodeb104基于由ue102提供的访问类选择的“ki”导出av。如果访问类不由ue102提供，则enodeb104使用允许的或许可的访问类(即访问类11)生成av并指示amf中的访问类以便ue102使用amf识别访问类和对应的密钥以生成或验证av(如果这是许可的)。在步骤608中，安全环境600a发送数据响应消息(例如auth数据响应消息)至enodeb104或本地epc108。数据响应消息包括rand、期望响应(xres)、auth和kenodeb。在步骤610中，在接收数据响应消息后，enodeb104或本地epc108储存数据响应消息中包括的kenodeb和xres。此外，enodeb104或本地epc108选择演进分组系统(eps)加密算法(eea)和eps完整性算法(eia)并导出进一步的密钥。在步骤612中，enodeb104或本地epc108发送包括标志的第二请求消息至ue102。标志可以是aka程序的rand和auth、使用ue102的公共密钥加密的密钥、imsi、mac-i或其组合。系统管理控制器(smc)程序随同aka认证程序一起执行。这通过包括选择的密码技术来执行。此外，使用选择的密码技术并使用从av的密钥导出的安全密钥(即对应于消息中包括的av的rand和auth的密钥)生成mac-i。当enodeb104或本地epc108在iops操作模式下操作时单独执行smc程序。在步骤614中，在接收第二请求消息后，ue102发送数据请求消息(例如auth数据请求消息)至uicc单元102a。数据请求消息包括rand、autn或其组合。在步骤616中，在接收数据请求消息后，uicc单元102a生成候选标志。候选标志可以是res、aka程序的rand和auth、使用ue102的公共密钥加密的密钥、imsi或其组合。候选标志在ue102或usim应用的两者之一中生成。此外，uicc单元102a或控制器单元202确定从enodeb104或本地epc108接收的标志与生成的候选标志之间是否匹配。一旦确定匹配，uicc单元102a或控制器单元202认证enodeb104或本地epc108。在步骤618中，在认证enodeb104或本地epc108后，uicc单元102a或控制器单元202发送数据响应消息至ue102。数据响应消息包括res、kenodeb或其组合。在步骤620中，在接收数据响应消息后，ue102生成进一步的密钥。ue102使用kasme(只有接入层(as)安全密钥或非接入层(nas)安全密钥)获得其他密钥。此外，如果smc程序随同aka程序一起执行，则ue102验证mac-i。在步骤622中，ue102发送包括至少一个参数的响应消息至enodeb104或本地epc108以认证ue102。参数可以是res、mac-i或其组合。在步骤624中，在接收响应消息后，enodeb104或本地epc108验证res是否等于xres(例如通过pdcp实体或enodeb104或本地epc108中的新实体)。如果res等于xres则认证成功且ue102得以认证。在步骤626中，在ue102认证成功后，enodeb104或本地epc108授予ue102访问权限，而且以安全方式进行在ue102与enodeb104或本地epc108之间的进一步的受保护数据交换。在步骤628中，enodeb104或本地epc108发送接受消息(即attach(联接)接受消息)至ue102。图7是根据本文中公开的实施方式的用于在ue102与enodeb104或本地epc108之间执行认证的序列图700。信令序列描述了在ue102与enodeb104或本地epc108之间的通信。参照图7，在步骤702中，enodeb104或本地epc108发送sib消息至ue102。sib消息包括iopsplmnid、iopscsgid或其组合。在步骤704中，ue102发送第一请求消息至enodeb104或本地epc108。第一请求消息是attach(联接)请求消息。attach请求消息包括imsi、ue102的能力、csg小区id或其组合。ue102发送请求消息而不在消息中包括访问类。在步骤706中，在接收请求消息后，enodeb104或本地epc108发送数据请求消息至作为认证中心(auc)的一部分的安全环境600a。数据请求消息是auth数据请求消息。auth数据请求消息包括csgid、imsi或其组合。enodeb104或本地epc108请求安全环境600a(例如可以是auc可以包括在enodeb104中或者可以位于enodeb104之外)提供av以认证ue102并授予访问权限用于在iops操作模式下安全通信。在步骤708中，在接收数据请求消息后，安全环境600a使用通过enodeb104或本地epc108基于由ue102提供的imsi、访问类中的至少之一选择的“ki”导出av。如果访问类不由ue102提供，则enodeb104或本地epc108使用允许的或许可的访问类(例如访问类11)生成av并指示amf中的访问类以便ue102使用amf识别访问类和对应的密钥以生成或验证av(如果这是许可的)。在步骤710中，安全环境600a(例如auc)发送数据响应消息至enodeb104或本地epc108。数据响应消息是auth数据响应消息。auth数据响应消息包括rand、xres、auth、kasme(kenodeb)或其组合。在步骤712中，在接收数据响应消息后，enodeb104或本地epc108存储数据响应消息中包括的kasme(kenodeb)和xres。此外，enodeb104或本地epc108选择eea和eia并导出进一步的密钥。在步骤714中，enodeb104或本地epc108发送包括标志的第二请求消息至ue102。标志能够是aka程序的rand和auth、使用ue102的公共密钥加密的密钥kasme(kenodeb)、mac-i或其组合。smc程序随同aka认证程序一起执行。这通过包括选择的密码技术来执行。此外，使用选择的技术并使用从av的密钥导出的安全密钥(例如密钥对应于消息中包括的av的rand和auth)生成mac-i。当enodeb104或本地epc108在iops操作模式下操作时单独执行smc程序。在步骤716中，在接收第二请求消息后，ue102发送数据请求消息至uicc单元102a或控制器单元202。该数据请求消息是auth数据请求消息。该auth数据请求消息包括rand、auth或其组合。在步骤718中，在接收数据请求消息后，uicc单元102a或控制器单元202使用iops应用生成候选标志。候选标志可以是aka程序的rand和auth、res、imsi、mac-i、使用公共密钥加密的密钥或其组合。候选标志在ue102或uicc单元102a中包括的usim应用的两者之一中生成。此外，uicc单元102a或控制器单元202确定从enodeb104或本地epc108接收的标志与生成的候选标志之间是否匹配。一旦确定匹配，uicc单元102a或控制器单元202认证enodeb104或本地epc108。在步骤720中，在认证enodeb104或本地epc108后，uicc单元102a或控制器单元202发送数据响应消息至ue102。数据响应消息是auth数据响应消息。auth数据响应消息包括res、kasme(kenodeb)或其组合。在步骤722中，在接收数据响应消息后，ue102生成进一步的密钥。ue102使用kasme(例如只有as安全密钥或nas安全密钥)生成进一步的密钥。此外，如果smc程序随同aka程序一起执行，则ue102验证mac-i。在步骤724中，ue102发送包括至少一个参数的响应消息至enodeb104或本地epc108以认证ue102。至少一个参数可以是res、mac-i或其组合。在步骤726中，在接收响应消息后，enodeb104或本地epc108验证mac-i并认证ue102。在步骤728中，在ue102成功认证后，enodeb104或本地epc108授予ue102访问权限，而且以安全方式进行在ue102与enodeb104或本地epc108之间进一步的受保护数据交换。在步骤730中，enodeb104或本地epc108发送接受消息至ue102。图8a和8b是根据本文中公开的实施方式的密钥导出方法的图解。密钥导出方法由ue102和enodeb104或本地epc108执行；在以下描述了用于通信保护的进一步密钥导出。在本公开的实施方式中，详细的密钥导出能够用于本公开中详述的其他解决方案。rand、imsi、enodebid或其组合可以用作密钥导出的输入。用于kasme-iops的等式(1)如下：kasme-iops＝epsaka算法(ki，唯一性参数，rand，sqn，<其他可能的参数>)(1)参照图8a和图8b，在一实施方式中，除ki之外，所有其他参数都是可选的。序列号(sn)id可以是enodebid。enodebid在sib信令消息中包括并广播。一般而言，28-bit字段的20msb识别enodeb104或本地epc108。如在图8a中所示，在一实施方式中，不使用nas密钥。导出的kasme用作enodeb104或本地epc108，并且nas信令(如有)使用as安全上下文保护。此外，当未导出nas安全上下文时，则在从enodeb104或本地epc108切换至另一enodeb期间，仅有as安全上下文被源enodeb导出并提供给目标enodeb，其中nas终止于联接的enodeb。如在图8b中所示，在一实施方式中，导出nas密钥并且nas终止于enodeb104或本地epc108。enodeb104或本地epc108进行移动性管理程序。在从enodeb104切换至另一enodeb时，nas密钥(如果导出并使用)可以保留在enodeb104中。只有目标特定as安全上下文被enodeb104导出并提供给另一enodeb，其中nas终止于认证的enodeb。图9是根据本文中公开的实施方式的使用iopsimsi认证enodeb104或本地epc108的序列图900。除了发送至enodeb104或本地epc108的访问类，imsi可用于访问控制和iops密钥的识别。例如，ue102内的imsi如下所述：imsi1：与密钥k1相关的xxxyyabcdef1234mccxxx国家代码mncyy(y)iops网络msinabcde1234具有iops服务能力的识别号(例如以1234结尾)imsi2：与密钥k2相关的404685505601234mcc404国家mnc68mnomsin5505601234参照图9，在一实施方式中，信令序列描述了在ue102与enodeb104或本地epc108之间的通信。在步骤902中，ue102发送包括imsi2的attach(联接)请求消息至enodeb104或本地epc108。此外，ue102发送attach(联接)请求消息以在正常操作模式下访问enodeb104或本地epc108。在步骤904中，在接收包括imsi2的attach(联接)请求消息后，enodeb104或本地epc108发送attach(联接)拒绝消息至ue102。attach(联接)拒绝消息指示enodeb104或本地epc108处于iops操作模式下。在步骤906中，ue102发送包括imsi1的attach(联接)请求消息至enodeb104或本地epc108。在步骤908中，在接收包括imsi1的attach(联接)请求消息后，enodeb104或本地epc108验证imsi1是否被认证用于iops操作模式。此外，如果验证成功，则被enodeb104或本地epc108生成对应于imsi1的av。在步骤910中，在验证成功并生成认证向量后，enodeb104或本地epc108发送包括标志的auth请求消息至ue102。标志可以是auth、rand、无密钥签名架构(ksi)、密钥索引或其组合。在步骤912中，ue102通过使用由enodeb104或本地epc108提供的auth请求消息中包括的密钥索引识别密钥来验证auth。在步骤914中，在验证成功后，ue102发送包括res(例如参数)的auth响应消息至enodeb104或本地epc108以认证ue102。在步骤916中，在接收auth响应消息后，enodeb104或本地epc108验证res是否等于xres(例如通过pdcp实体或enodeb104或本地epc108中的新实体)。如果res等于xres，则认证成功并且ue102被认证。在步骤918中，在ue102与enodeb104或本地epc108之间执行smc程序或完整性保护通信。当enodeb104或本地epc108在iops模式下操作时单独执行smc程序。图10是根据本文中公开的实施方式的使用sib消息认证enodeb104或本地epc108的序列图1000。信令序列描述了在ue102与enodeb104或本地epc108之间的通信。参照图10，在步骤1002中，enodeb104或本地epc108发送sib消息至ue102，指示enodeb104或本地epc108处于iops操作模式下。在步骤1004中，在接收sib消息后，ue102识别enodeb104或本地epc108处于iops操作模式下。此外，ue102选择imsi1，因为ue102有能力在iops模式下操作并具有iops订阅密钥。在步骤1006中，ue102发送包括imsi1的attach(联接)请求消息至enodeb104或本地epc108。在步骤1008中，在接收包括imsi1的attach(联接)请求消息后，enodeb104或本地epc108验证imsi1是否被认证用于iops操作模式。此外，如果验证成功，则对应于imsi1的av被enodeb104或本地epc108生成。在步骤1010中，在验证成功并生成av后，enodeb104或本地epc108发送包括标志的auth请求消息至ue102。标志可以是auth、rand、ksi、密钥索引或其组合。在步骤1012中，ue102通过使用由enodeb104或本地epc108提供的auth请求消息中包括的密钥索引识别密钥来验证auth。在步骤1014中，在验证成功后，ue102发送包括res(例如参数)的auth响应消息至enodeb104或本地epc108以认证ue102。在步骤1016中，在接收auth响应消息后，enodeb104或本地epc108验证res是否等于xres(例如通过pdcp实体或enodeb104或本地epc108中的新实体)。如果res等于xres，则认证成功并且ue102被认证。在步骤1018中，smc程序或完整性保护通信在ue102与enodeb104或本地epc108之间执行。当enodeb104或本地epc108在iops模式下操作时单独执行smc程序。图11是根据如本文中公开的实施方式的使用imsi和imei认证enodeb104或本地epc108的序列图1100。除了被发送至enodeb104或本地epc108的访问类，imei可以用于iops密钥的识别和访问控制。例如，ue102内的imei的格式如下表2所述：表2参照图11，在本公开的实施方式中，信令序列描述了在ue102与enodeb104或本地epc108之间的通信。在步骤1102中，enodeb104或本地epc108发送指示enodeb104或本地epc108处于iops操作模式下的sib消息至ue102。在步骤1104中，在接收sib消息后，ue102识别enodeb104或本地epc108处于iops操作模式下。此外，ue102选择imsi1，因为ue102有能力在iops模式下操作并具有iops订阅密钥。在步骤1106中，ue102发送包括imsi1和imei的attach(联接)请求消息至enodeb104或本地epc108。在步骤1108中，在接收包括imsi1和imei的attach(联接)请求消息后，enodeb104或本地epc108验证imsi1或imei是否被授权用于iops操作模式。此外，如果验证成功，则对应于imsi1或imei的av被enodeb104或本地epc108生成。在步骤1110中，在验证成功并生成av后，enodeb104或本地epc108发送包括标志的auth请求消息至ue102。标志可以是auth、rand、ksi、密钥索引或其组合。在步骤1112中，ue102通过使用由enodeb104或本地epc108提供的auth请求消息中包括的密钥索引识别密钥来验证auth。在步骤1114中，在验证成功后，ue102发送包括res(例如参数)的auth响应消息至enodeb104或本地epc108以授权ue102。在步骤1116中，在接收auth响应消息后，enodeb104或本地epc108验证res是否等于xres(例如通过pdcp实体或enodeb104或本地epc108中的新实体)。如果res等于xres，则认证成功并且ue102被认证。在步骤1118中，在ue102与enodeb104或本地epc108之间执行smc程序或完整性保护通信。当enodeb104或本地epc108在iops模式下操作时单独执行smc程序。图12是根据本文中公开的实施方式的认证enodeb104或本地epc108的方法1200的流程图。在步骤1202中，方法1200发送attach(联接)请求消息至enodeb104或本地epc108。方法1200允许usim102b发送attach请求消息至enodeb104或本地epc108。attach请求消息可以包括例如访问类、imsi、ue102的能力、imei、csg小区id或其组合。参照图12，在步骤1204中，方法1200从enodeb104或本地epc108接收包括标志的第二请求消息(例如auth请求消息)。方法1200允许usim102b从enodeb104或本地epc108接收包括标志的第二请求消息。在步骤1206中，方法1200包括通过解密标志提取与enodeb104或本地epc108相关的密钥。方法1200允许usim102b通过解密标志提取与enodeb104或本地epc108相关的密钥。在步骤1208中，方法1200基于密钥认证enodeb104或本地epc108。方法1200允许usim102b基于密钥认证enodeb104或本地epc108。方法1200允许usim102b认证enodeb104或本地epc108。在步骤1210中，方法1200发送包括至少一个参数的响应消息(例如auth响应消息)至enodeb104或本地epc108以认证ue102。方法1200允许usim102b发送包括至少一个参数的auth响应消息至enodeb104或本地epc108以认证ue102。该至少一个参数可以是例如res、mac-i或其组合。在步骤1212中，方法1200从enodeb104或本地epc108接收接受消息(例如attach(联接)接受消息)。方法1200允许usim102b从enodeb104或本地epc108接收attach(联接)接受消息。方法1200的各种行为、动作、区块、步骤等等可以以所示的顺序执行、以不同的顺序执行或同时执行。此外，在一实施方式中，行为、动作、区块、步骤等中的一些可以省略、添加、修改、略过等等而不背离本公开的范围和精神。图13是根据本文中公开的实施方式的用于kasme(kenodeb)交换消息流的基于标识加密(identitybasedcryptography，ibc)的序列图1300。ibc用于执行密钥交换，从而保护在ue102与以iops模式操作的enodeb104或本地epc108之间的通信。ue102在usim102b中预设有对应于其imsi、imei或移动用户综合业务数字网络号码(msisdn)(例如公共密钥)的私有密钥以及有关参数。使用常规私有密钥/公共密钥而不是ibc。参照图13，enodeb104预设有对应于其标识的私有密钥(例如外围组件互联(pci)或enodebid作为公共密钥)以及有关参数。使用常规私有密钥/公共密钥而不是ibc。enodeb104或本地epc108可以具有启用公共安全的ue102的imsi、imei或msisdn的清单(或范围)。ue102与enodeb104或本地epc108之间的通信如下进行保护，即enodeb104或本地epc108使用imsi保护用于特定ue102的数据(该数据可以是密钥kasme)。当与enodeb104或本地epc108通信时，ue102使用enodeb-id(例如pci、enodebid等等)保护数据。此外，通过使用ibc，kasme(或kenodeb)在enodeb104或本地epc108与ue102之间共享用于某一时段或某一会话。与imsi或enodebid相关的私有密钥被安全地储存在usim102b或安全环境中。信令序列描述了ue102与enodeb104或本地epc108之间的通信。在步骤1302中，enodeb104或本地epc108发送sib消息至ue102，指示enodeb104或本地epc108处于iops操作模式下。在步骤1304中，在接收sib消息后，ue102识别enodeb104或本地epc108处于iops操作模式下。此外，ue102选择imsi1，因为ue102有能力在iops模式下操作并具有iops订阅密钥(例如私有密钥)。在步骤1306中，ue102发送包括imsi1的attach(联接)请求消息至enodeb104或本地epc108。在步骤1308中，在接收包括imsi1的attach(联接)请求消息后，enodeb104或本地epc108验证imsi1是否被授权用于iops操作模式。此外，如果验证成功，则生成用于imsi1的kasme。在操作1310中，在验证成功并生成密钥后，enodeb104或本地epc108发送标志至ue102。标志包括使用imsi1(如公共密钥)加密的kasme(或kenodeb)。标志包括由从kenodeb导出的rrc初始密钥计算的消息的mac-i、所选择的安全技术以及ksi(例如kenodeb的索引)。在步骤1312中，在接收auth请求消息后，ue102解密并获得由enodeb104或本地epc108提供的kasme(或kenodeb)。此外，如果是在消息中接收，则ue102导出密钥并验证mac-i。在步骤1314中，ue102发送包括mac-i(例如参数)的auth响应消息至enodeb104或本地epc108以认证ue102。在步骤1316中，在接收auth响应消息后，enodeb104或本地epc108验证mac-i。一旦验证成功，ue102被enodeb104或本地epc108认证。在步骤1318中，在ue102与enodeb104或本地epc108之间执行smc程序或完整性保护通信。当enodeb104或本地epc108在iops模式下操作时单独执行smc程序。在本公开的实施方式中，smc程序(例如步骤1318)可被单独执行。smc程序可以与密钥分配一同执行而不是单独的smc程序(例如步骤1310、1312和1314)。图14是根据本文中公开的实施方式的在ue102与本地epc108之间实施认证的方法和系统的计算环境的框图。参照图14，计算环境1402包括配备有控制单元1404和算数逻辑单元(alu)1406的至少一个处理单元1408、存储器1410、存储装置1412、多个网络装置1416以及多个输入输出(i/o)装置1414。处理单元1408负责处理技术指令。处理单元1408从控制单元1404接收命令以执行其处理。此外，指令执行中涉及的任何逻辑和算数运算都借助alu1406来计算。计算环境1402可以包括多个同构或异构核心、不同种类的多个cpu、特殊介质及其他加速器。处理单元1408负责处理技术指令。此外，处理单元1408可以是单芯片上的或多芯片上的。包括实施所需的指令和代码的技术储存在存储单元1410和存储装置1412的一者或两者中。在执行时，指令可以从对应的存储器1410或存储装置1412中取出，并通过处理单元1408执行。在任何硬件实施的情况下，各网络装置1416或外部i/o装置1414可以连接至计算环境1402以支持通过网络装置1416和i/o装置1414实施。本文中公开的实施方式可以通过在至少一个硬件装置上运行并执行网络管理功能以控制元件的至少一个软件程序实施。图1至图14中所示的元件包括可以是硬件装置或硬件装置和软件单元组合中的至少之一的块。本公开的实施方式的前文描述体现了文中本公开的一般本质，所以其他人可以通过采用现有知识修改或改变上述具体实施方式用于各种应用而不背离本公开的范围和主旨，因此，这样的适应和修改旨在包含在所公开的实施方式的等同物的含义和范围内。应理解，本文中使用的术语是为了描述目的而非限制。因此，虽然文中已描述了本公开的实施方式，但本领域技术人员将认识到，本文中的实施方式可以利用如所附权利要求及其等同物所定义的本公开的主旨和范围内的修改来实践。当前第1页12