CN104322089A - 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 - Google Patents
用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 Download PDFInfo
- Publication number
- CN104322089A CN104322089A CN201280073393.8A CN201280073393A CN104322089A CN 104322089 A CN104322089 A CN 104322089A CN 201280073393 A CN201280073393 A CN 201280073393A CN 104322089 A CN104322089 A CN 104322089A
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- network node
- subscriber equipment
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于密钥导出的方法可以包括:响应于进入空闲模式的决定而至少部分地基于用于用户设备和第一网络节点之间的第一连接的第一密钥生成第二密钥;释放所述第一连接以进入空闲模式;响应于用户设备和第二网络节点之间的第二连接的设置过程的启动经由第二网络节点向第一网络节点提供用户设备的身份;以及响应于从第二网络节点接收到在第一网络节点处成功地验证了用户设备的身份的指示而将所述第二密钥用于所述第二连接。
Description
技术领域
本发明总体上涉及通信网络。更具体而言,本发明涉及用于密钥导出的方法和设备。
背景技术
现代化通信时代造就了通信网络的极度扩张。无线和移动联网技术解决了相关的消费需求,同时提供了更高的信息传递灵活性和直接性。在诸如混合网络的通信系统中,接入点(AP)可以为用户设备(UE)提供本地服务,并且可以通过宏演进节点B(eNB)的回程连接至核心网络(CN),UE和AP之间的本地无线电接入在这样的诸如混合网络的通信系统中,也需要保护。因而,需要在不降低本地服务的安全级的情况下研究用于确保本地服务的轻量解决方案。
发明内容
本说明书介绍了一种用于蜂窝网络的控制下的本地接入的密钥导出机构,其能够在不消耗认证向量(AV)的情况下在无线电接入网(RAN)一侧生成新的接入层(stratum)(AS)密钥。此外,这一机制能够在不涉及CN的情况下与宏网络的当前安全原理相一致,与此同时降低相关安全过程的成本。
根据本发明的第一方面,提供了一种方法,其包括:响应于进入空闲模式的决定而至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成第二密钥;释放所述第一连接以进入空闲模式;响应于UE和第二网络节点之间的第二连接的设置过程的启动将UE的身份通过第二网络节点提供给第一网络节点;以及响应于从第二网络节点接收到在第一网络节点处成功地验证了UE的身份的指示而将所述第二密钥用于所述第二连接。
根据本发明的第二方面,提供了一种设备,其包括:至少一个处理器;以及至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为借助至少一个处理器使所述设备至少执行下述操作:响应于进入空闲模式的决定而至少部分地基于用于所述设备和第一网络节点之间的第一连接的第一密钥生成第二密钥;释放所述第一连接以进入空闲模式;响应于所述设备和第二网络节点之间的第二连接的设置过程的启动通过第二网络节点向第一网络节点提供所述设备的身份;以及响应于从第二网络节点接收到在第一网络节点处成功地验证了所述设备的身份的指示而将所述第二密钥用于所述第二连接。
根据本发明的第三方面,提供了一种计算机程序产品,其包括具有体现于其内的与计算机一起使用的计算机程序的计算机可读介质,所述计算机程序包括:用于响应于进入空闲模式的决定至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成第二密钥的代码;用于释放所述第一连接以进入空闲模式的代码;用于响应于UE和第二网络节点之间的第二连接的设置过程的启动将UE的身份通过第二网络节点提供给第一网络节点的代码;以及用于响应于从第二网络节点接收到在第一网络节点处成功地验证了UE的身份的指示而将所述第二密钥用于所述第二连接的代码。
根据本发明的第四方面,提供了一种设备,其包括:用于响应于进入空闲模式的决定至少部分地基于用于所述设备和第一网络节点之间的第一连接的第一密钥生成第二密钥的生成构件;用于释放第一连接以进入空闲模式的释放构件;用于响应于所述设备和第二网络节点之间的第二连接的设置过程的启动通过第二网络节点向第一网络节点提供所述设备的身份的提供构件;以及用于响应于从第二网络节点接收到在第一网络节点处成功地验证了所述设备的身份的指示而将所述第二密钥用于所述第二连接的使用构件。
在示范性实施例中,所述的进入空闲模式的决定可以包括向第一网络节点发送UE决定进入空闲模式的指示。在另一个示范性实施例中,所述的至少部分地基于第一密钥生成第二密钥可以包括:确定用于导出第二密钥的一组输入参数;以及采用所述第一密钥和该组输入参数应用预定义密钥导出算法生成第二密钥。该组输入参数可以包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引、UE的标识符以及UE的标识符的长度。根据示范性实施例,所述的向第一网络节点提供UE的身份可以包括:从第二网络节点接收针对UE的身份的请求消息;以及将包括UE的身份的响应消息发送至第二网络节点,以供转发至第一网络节点。根据另一示范性实施例,所述的将第二密钥用于第二连接可以包括:至少部分地基于所述第二密钥生成用于通过第二连接的服务的一个或多个安全密钥。
根据本发明的第五方面,提供了一种方法,其包括:响应于接收到UE决定进入空闲模式的指示而至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成第二密钥;释放所述第一连接;验证从第二网络节点获得的UE的身份;以及响应于对UE身份的成功验证将用于UE和第二网络节点之间的第二连接的第二密钥发送至第二网络节点。
根据本发明的第六方面,提供了一种设备,其包括:至少一个处理器;以及至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为借助至少一个处理器使所述设备至少执行下述操作:响应于接收到UE决定进入空闲模式的指示而至少部分地基于用于UE和所述设备之间的第一连接的第一密钥生成第二密钥;释放所述第一连接;验证从另一设备获得的UE的身份;以及响应于对UE身份的成功验证将用于UE和所述另一设备之间的第二连接的第二密钥发送至所述另一设备。
根据本发明的第七方面,提供了一种计算机程序产品,其包括具有体现于其内的与计算机一起使用的计算机程序的计算机可读介质,所述计算机程序包括:用于响应于接收到UE决定进入空闲模式的指示而至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成第二密钥的代码;用于释放所述第一连接的代码;用于验证从第二网络节点获得的UE的身份的代码;以及用于响应于UE的身份的成功验证而将用于UE和第二网络节点之间的第二连接的第二密钥发送至第二网络节点的代码。
根据本发明的第八方面,提供了一种设备,其包括:用于响应于接收到UE决定进入空闲模式的指示而至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成第二密钥的生成构件;用于释放所述第一连接的释放构件;用于验证从另一设备的UE的身份的验证构件;以及用于响应于UE身份的成功验证而将用于UE和所述另一设备之间的第二连接的第二密钥发送至所述另一设备的发送构件。
根据示范性实施例,本发明的第六/第八方面的设备可以包括第一网络节点,本发明的第六/第八方面的另一设备可以包括第二网络节点。根据示范性实施例,所述的至少部分地基于第一密钥生成第二密钥可以包括:确定用于导出第二密钥的一组输入参数;以及采用所述第一密钥和该组输入参数应用预定义密钥导出算法生成第二密钥。例如,该组输入参数可以包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引、UE的标识符以及UE的标识符的长度。在示范性实施例中,UE身份的成功验证可以包括成功地得到与UE的身份相关的第二密钥。在另一个示范性实施例中,在第一网络节点和第二网络节点之间可以存在安全相关。
根据本发明的第九方面,提供了一种方法,其包括:响应于UE和第二网络节点之间的第二连接的设置过程的启动从UE获得UE的身份;将UE的身份转发至第一网络节点;从第一网络节点接收包括用于第二连接的第二密钥的消息,所述消息指示在第一网络节点处成功地验证了UE的身份,其中,第二密钥是至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成的;以及通知UE在第一网络节点处成功地验证了UE的身份。
根据本发明的第十方面,提供了一种设备,其包括:至少一个处理器;以及至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为借助至少一个处理器使所述设备至少执行下述操作:响应于UE和所述设备之间的第二连接的设置过程的启动从UE获得UE的身份;将UE的身份转发至另一设备;从所述另一设备接收包括用于第二连接的第二密钥的消息,所述消息指示在所述另一设备处成功地验证了UE的身份,其中,所述第二密钥是至少部分地基于用于UE和所述另一设备之间的第一连接的第一密钥生成的;以及通知UE在所述另一设备处成功地验证了UE的身份。
根据本发明的第十一方面,提供了一种计算机程序产品,其包括具有体现于其内的与计算机一起使用的计算机程序的计算机可读介质,所述计算机程序包括:用于响应于UE和第二网络节点之间的第二连接的设置过程的启动从UE获得UE的身份的代码;用于将UE的身份转发至第一网络节点的代码;用于从第一网络节点接收包括用于第二连接的第二密钥的消息的代码,所述消息指示在第一网络节点处成功地验证了UE的身份,其中,第二密钥是至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成的;以及用于通知UE在第一网络节点处成功地验证了UE的身份的代码。
根据本发明的第十二方面,提供了一种设备,其包括:用于响应于UE和所述设备之间的第二连接的设置过程的启动而从UE获得UE的身份的获得构件;用于将UE的身份转发至另一设备的转发构件;用于从所述另一设备接收包括用于第二连接的第二密钥的消息的接收构件,所述消息指示在所述另一设备处成功地验证了UE的身份,其中,第二密钥是至少部分地基于用于UE和所述另一设备之间的第一连接的第一密钥生成的;以及用于通知UE在所述另一设备处成功地验证了UE的身份的通知构件。
根据示范性实施例,本发明的第十/第十二方面的设备可以包括第二网络节点,本发明的第十/第十二方面的另一设备可以包括第一网络节点。根据示范性实施例,第二网络节点还可以至少部分地基于所述第二密钥生成一个或多个用于通过第二连接的服务的安全密钥。
在本发明的示范性实施例中,所提供的方法、设备和计算机程序产品能够使诸如AP的本地网络节点在不消耗任何AV的情况下获得用于本地业务的一个或多个安全密钥。因此,能够降低诸如混合网络的通信系统的成本和复杂性,并且可以保持与当前安全原理的良好兼容性。
附图说明
通过在结合附图阅读时参考下文对实施例的详细描述,本发明本身、优选使用模式以及其他目标将得到最佳理解。
图1是说明根据本发明的实施例的可以在UE处执行的密钥导出方法的流程图;
图2是说明根据本发明的实施例的可以在第一网络节点处执行的密钥导出方法的流程图;
图3是说明根据本发明的实施例的可以在第二网络节点处执行的密钥导出方法的流程图;
图4示出了根据本发明的实施例的采用长期演进(LTE)安全机制的示范性本地服务建立;以及
图5是适于在本发明的示范性实施例的实践当中使用的各种设备的简化方框图。
具体实施方式
将参考附图详细描述本发明的实施例。在整个本说明书中对特征、优点或类似措辞的提及并非暗示可以借助本发明实现的所有特征和优点都应当处于或者处于本发明的任何单个实施例中。相反,应当将提到特征和优点的措辞理解为联系实施例描述的具体特征、优点或特性包含在本发明的至少一个实施例中。此外,可以将所描述的本发明的特征、优点和特性通过任何适当的方式结合到一个或多个实施例中。本领域技术人员将认识到可以在不需要特定实施例的一个或多个具体特征或优点的情况下实践本发明。在其他情况下,可以在某些实施例中识别出可能并不存在于本发明的所有实施例中的额外特征和优点。
随着诸如LTE系统的无线电通信网的发展,高速数据服务一直被作为最重要的需求之一对待。尤其是对于局域网(LAN)而言,从用户的角度希望具有更高的数据率。怎样以高速数据率提供本地服务已经变成了3GPP(第三代合作伙伴项目)中的热门课题。
一种被称为局域演进(LAE)的新型架构被设计为实现在峰值数据率、蜂窝容量、服务质量(QoS)保证、干扰管理方面提供高性能的局域系统的部署。此外,还希望LAE系统具有低成本和高能量效率。在LAE系统中,引入了支持节点(SN)的概念,它是位于核心网络本地的网络元件,其为LAE系统提供某些支持/控制/维护功能。基站(BS)位于提供局域网的RAN一侧,就像LTE系统中的本地演进节点B(HeNB)一样。UE可以建立与宏eNB的连接和/或另一与LAE BS的连接。宏网络连接更加稳定而且受到更加仔细的管理,因而UE不会轻易失去其连接,而LAE连接在该处更多地用于提供高速数据服务以及本地区域内的某些特征服务。人们还研究了另一被称为LTE-LAN的架构,其与在世界范围内流行的无线保真(WiFi)技术存在竞争。LTE-LAN基本上被假定为以LTE技术为基础,但是其更加关注某些局域性使用情况和情景,其与LAE原理具有很高的相似性。还希望LTE-LAN以低成本为用户提供高性能本地服务。可以将LAE架构中的BS看作是LTE-LAN系统中的接入点(AP)。LTE-LAN和LTE宏网络是可以在不同波段内工作的独立网络。迄今为止,可以在不同的AP之间以及AP和eNB之间引入X2式或SI式接口,因为将借助这种接口开发出很多特征(例如,载波群聚、干扰管理等)。此外,一种可行的架构选择可以是,AP在宏eNB下工作(就像是eNB的子系统),并且可以将AP通过宏eNB的回程连接至CN(例如,重复利用eNB到CN的SI式接口),这意味着在AP和CN之间没有直接接口,并且所述AP所连接的eNB可以充当RAN侧的集中器。在这一架构下,在AP与宏网络由同一网络操作员部署并且该网络操作员决定将现有的LTE安全机制重复用于AP支持的本地服务时,可能向整个系统引入过高的信令负担和复杂性。
在上文所述的混合网络中,UE和AP之间的本地无线电接入也需要保护。如果采用非3GPP安全机制(例如,其可能发生在诸如LTE-Hi的混合网络由第三方部署的情况下),那么本地服务的安全级将下降,其可能为局域网带来潜在的安全风险。另一方面,如果重复利用现有的3GPP安全机制,例如,可扩展认证协议-认证和密钥协商(EAP-AKA),那么相关安全过程的成本可能会过高。具体而言,在安全机制的执行过程中还可能会频繁地涉及CN,其可能对CN造成过高的负担。换言之,如果将现有安全机制的预先配置的密钥或证书用于混合网络,那么实施局域网的相关安全过程的成本可能会过高。例如,在诸如3GPP TS33.234和TS33.402规约中,具有采用EAP-AKA导出用于本地链路的密钥的解决方案。但是,这种解决方案的成本对于LTE-Hi系统而言可能太高了。由于成本是通信系统的最重要的关键性能指标之一,因而希望研究出一种不会降低本地服务的安全级的轻量解决方案。
根据示范性实施例,提供了一种保护UE和诸如AP的本地网络节点之间的无线电链路的新颖解决方案。所述解决方案设计了一种用于蜂窝网络的控制之下的本地接入的密钥导出机制。例如,所设计的密钥导出机制可以在不消耗任何AV的情况下采用一组新的针对密钥导出函数的输入在RAN侧生成新的AS密钥。此外,这一解决方案能够在不涉及CN的情况下与宏网络的当前安全原理相一致,与此同时降低相关安全过程的成本。在下文中将参考附图以举例方式描述本发明中提出的解决方案的更多细节。
图1是说明根据本发明的实施例的可以在UE(例如移动站、无线终端、个人数字助理(PDA)、便携式装置等)处执行的密钥导出方法的流程图。根据示范性实施例的解决方案可以适用于诸如LTE-LAN、LAE以及任何其他适当混合网络节点的通信网络,在所述网络中,UE可以建立与宏网络节点(例如,eNB/BS/控制中心等)和本地网络节点(例如,AP/BS/控制中心等)各自的无线电连接。例如,所述UE可以由第一网络节点(例如eNB)通过第一连接服务,并且可以在UE和第一网络节点之间共享用于所述第一连接的第一密钥。在通过第一连接的一项或多项服务和/或业务结束时,UE可以通过(例如)释放与第一网络节点的第一连接而进入空闲模式。UE可以响应于进入空闲模式的决定至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成第二密钥,如块102中所示。例如,UE可以向第一网络节点发送指示,从而表明UE决定进入空闲模式。在示范性实施例中,可以通过确定一组用于导出第二密钥的输入参数并将预定义密钥导出算法与所述第一密钥(例如,KeNB)和该组输入参数结合使用,生成第二密钥(例如,KAp)。例如,所述预定义密钥导出算法可以包括Internet工程任务组(IETF)请求注解(RFC)2104中指定的用于消息鉴别的Keyed-Hashing(KHAC)、国际标准化组织/国际电工委员会(ISO/IEC)10118-3中指定的安全技术散列函数(SHA)、其他适当安全机制和/或它们的任何组合。用于导出第二密钥的该组输入参数可以包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引(例如,序列号、标识符等)、标识符(例如蜂窝无线电网络临时标识符(C-RNTI)、国际移动用户身份(IMSI)、UE的媒体存取控制(MAC)地址等)以及UE的标识符的长度(其取决于UE的选定标识符)。UE可以存储所生成的第二密钥。在块104中,UE可以释放第一连接,以进入空闲模式。在UE想要通过第二网络节点(例如AP)支持的服务时,可以启动UE和第二网络节点之间的连接设置过程。响应于UE和第二网络节点之间的第二连接的设置过程的启动,UE可以通过第二网络节点向第一网络节点提供UE的身份,如块106所示。例如,UE可以从第二网络节点接收UE身份的请求消息,并向第二网络节点发送包括UE身份的响应消息,从而将其转发至第一网络节点。第一网络节点可以如联系图2所示验证UE的身份,例如,采用UE的身份得到先前针对第二连接生成的相关密钥。响应于从第二网络节点接收到在第一网络节点处成功地验证了UE的身份的指示,UE可以将所述第二密钥用于所述第二连接,如块108中所示。在示范性实施例中,UE可以至少部分地基于所述第二密钥生成一个或多个用于通过第二连接的服务的安全密钥。例如,可以将所述一个或多个安全密钥用于本地服务和/或业务的加密和完整性检验。
图2是说明根据本发明的实施例的可以在第一网络节点(例如,eNB/BS/控制中心等)处执行的密钥导出方法的流程图。对应于联系图1的描述,第一网络节点可以具有与UE的第一连接并与UE共享针对第一连接的第一密钥。在通过第一连接的服务和/或业务结束时,UE可以通过(例如)释放与第一网络节点的第一连接而进入空闲模式。第一网络节点可以响应于接收到UE决定进入空闲模式的指示而至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成第二密钥。根据示范性实施例,可以按照与在UE处采用的相同的方式生成第二密钥(例如,KAp)。例如,第一网络节点可以确定用于导出第二密钥的一组输入参数,并通过结合第一密钥(例如,KeNB)和该组输入参数应用预定义密钥导出算法而生成第二密钥。如相对于图1所描述的,所述预定义密钥导出算法可以包括KHAC、SHA、其他适当的安全机制和/或它们的任何组合。用于导出第二密钥的该组输入参数可以包括下述参数的至少其中之一:与所述预定义密钥导出算法相关的索引、UE的标识符(例如蜂窝无线电网络临时标识符(C-RNTI)以及UE的标识符的长度。在示范性实施例中,所述预定义密钥导出算法可以包括表达为KAP=HMAC-SHA-256(x,y)的密钥导出函数(KDF),其中,x和y是函数的自变量,HMAC-SHA-256表示指定的与HMAC相关的SHA。具体而言,可以将自变量x设为U和第一网络节点之间共享的第一密钥(例如,KeNB),可以将自变量y设为所确定的该组输入参数的某一计算结果(例如,逻辑计算结果)。在块204中,第一网络节点可以存储所生成的第二密钥,第一网络节点可以由于(例如)通过第一连接的服务的结束而释放所述第一连接。在UE想要来自第二网络节点(例如AP)的本地服务时,可以启动UE和第二网络节点之间的连接设置过程。根据示范性实施例,第二网络节点可以在第一网络节点下工作,例如,就像是第一网络节点的子系统。可以将第二网络节点通过第一网络节点的回程连接至CN,例如,通过重复利用第一网络节点到CN的SI式接口。在这种方案中,在第二网络节点和CN之间可以没有直接接口,并且第一网络节点可以充当RAN侧的集中器。具体而言,第一网络节点和第二网络节点可以已经经过相互认证,并且可以在它们之间建立安全相关。当在UE和第二网络节点之间启动连接设置过程时,第二网络节点可以获得UE的身份并将其转发至第一网络节点。所述第一网络节点可以验证从第二网络节点获得的UE的身份,如块206中所示。在示范性实施例中,可以通过对应UE的身份对存储在第一网络节点处的先前生成的第二密钥进行索引。因而,可以采用从第二网络节点获得的UE的身份得到相关的第二密钥。在块208中,第一网络节点可以响应于UE身份的成功验证将所述的用于UE和第二网络节点之间的第二连接的第二密钥发送至第二网络节点。在示范性实施例中,UE身份的成功验证可以包括成功地得到与UE身份相关的第二密钥。
图3是说明根据本发明的实施例的可以在第二网络节点(例如,AP/BS控制中心等)处执行的密钥导出方法的流程图。对应于联系图1和图2的描述,在释放了与第一网络节点的第一连接的UE想要由第二网络节点支持的服务时,可以启动UE和第二网络节点之间的连接设置过程。要注意,UE和第一网络节点可以具有如联系图1和图2所述生成的相应的第二密钥。响应于第二网络节点和UE之间的第二连接的设置过程的启动,第二网络节点可以从UE获得UE身份,如块302所示。根据示范性实施例,第二网络节点可以将EAP请求/身份发送至UE,并接收来自UE的EAP响应/身份,以获得UE的身份。在块304中,第二网络节点可以将UE的身份转发至第一网络节点。如联系图2所提到的,作为UE身份的成功验证的结果,第一网络节点可以采用UE的身份得到相关的第二密钥。之后,第二网络节点可以从第一网络节点接收到包括用于第二连接的第二密钥的消息,所述消息指示在第一网络节点处成功地验证了UE的身份。如图1和图2中详示的,可以至少部分地基于用于UE和第一个网络节点之间的第一连接的第一密钥(例如,KeNB)生成第二密钥(例如,KAp)。在块308中,第二网络节点可以通知UE在第一网络节点处成功地验证了UE的身份。例如,第二网络节点可以将EAP成功消息发送至UE。第二网络节点可以至少部分地基于从第一网络节点获得的第二密钥生成用于通过第二连接的服务的一个或多个安全密钥。如联系图1所提到的,可以将所述一种或多种安全密钥用于UE和第二网络节点之间的本地服务和/或业务的加密和完整性检验。可以看出,上述用于本地服务和/或业务的密钥导出不消耗任何AV,并且避免了涉及CN。可以在第一网络节点处通过采用用于UE和第一网络节点之间的第一连接的第一密钥生成用于保护第二连接的第二密钥,之后将其从第一网络节点提供至第二网络节点。这一过程可以与当前的宏网络安全原理很好地匹配,并使本地网络的安全级至少不低于宏网络的安全级。
可以将图1-3所示的各个块看作是由计算机程序代码的运行得到的方法步骤和/或操作,和/或可以将其看作是多个被构造为执行相关功能的耦合逻辑电路元件。上文所述的示意性流程图图解一般是作为逻辑流程图图解阐述的。因而,所描绘的顺序和带标签的步骤指示所介绍的方法的具体实施例。可以设想其他步骤和方法,它们在功能、逻辑或效果上等同于图示方法的一个或多个步骤或其部分。此外,具体方法的发生顺序严格地遵循所示出的对于步骤的顺序,也可以不严格遵循该顺序。本发明提供的解决方案可以采用用于宏网络的密钥导出用于本地网络当中的无线电链路的密钥。例如,eNB可以采用一组新的针对新的定义KDF的输入由KeNB导出KAp,并将其发送至LTE-Hi AP。与eNB共享KeNB的UE也可以采用与eNB相同的方案由KeNB导出KAP。之后,LTE-Hi AP和UE能够进一步采用KAp生成用于本地服务的安全密钥。换言之,根据示范性实施例的针对蜂窝网络控制下的本地接入提出的密钥导出机制能够在不消耗任何AV的情况下在RAN侧生成新的AS密钥。因此,能够降低诸如混合网络的通信系统的成本和复杂性,并且可以保持与当前安全原理的良好兼容性。
图4示出了根据本发明的实施例的采用LTE安全机构的示范性本地服务建立。在图4所示的情景中,可以通过eNB为UE提供宏服务,通过LTE-Hi AP为UE提供本地服务。所述LTE-Hi AP和eNB可以已经经过相互验证,并且可以在它们之间存在安全相关(例如,Internet协议安全(IPsec)保护链路)。如图4所示,演进分组系统(EPS)服务可以正在进行,并且可以在UE和eNB之间共享KeNB。在来自eNB的预期服务结束时,UE可以向eNB指示其决定进入空闲模式。根据示范性实施例,ENB可以在释放UE和eNB之间的连接之前采用预定义密钥导出算法(例如,采用一组新的KDF输入)至少部分地基于当前共享的密钥(例如,KeNB)预先生成用于要在UE和AP之间建立的连接的密钥(例如,KAp)。例如,可以利用被定义为具有一组新的输入的新型KDF(其可以不同于现有的KDF)生成用于局域安全的KAp。如联系图1-3所描述的,该组新的输入可以包括下述内的至少其中之一:与预定义密钥导出算法相关的索引(可以将其表示为“FC”,并且为其分配诸如0xxx的十六进制数或者其可以具有任何其他标度)、UE的标识符(例如,C-RNTI、IMSI、MAC地址等)(可以将其表示为“P0”)、以及UE的标识符的长度(可以将其表示为“L0”)。可以提供这些参数(FC、P0和L0)连同KeNB作为输入,从而通过采用这一新型的为所述预定义密钥导出算法设计的KDF生成KAp。例如,假设中间变量S=FC‖P0‖L0,那么可以通过下述函数计算KAp:KAp=HMAC-SHA-256(KeNB,S),其中,HMAC-SHA-256是符合IETFRFC 2104和ISO/IEC 10118-3的规约的安全算法。相应地,UE也可以采用与eNB相同的方法和原理预先生成KAp,并且对其进行存储以供下一本地服务接入过程之用。之后可以释放UE和相关eNB之间的连接(例如,RRC连接),如图4所示。UE可以由于本地区域服务要求的原因启动与AP的RRC连接设置过程。在这种情况下,UE可以启动对AP的RRC连接设置过程,并且可以在UE、AP和相关eNB中间启动针对UE和AP之间共享的密钥的EAP过程。例如,LTE-Hi AP可以向UE发送EAP请求/身份消息,UE可以作为响应发送EAP响应/身份消息。UE可以发送符合3GPP TS 23.003中指定的网络接入标识符(NAI)格式的身份或者eNB已知的身份。LTE-Hi AP可以将所述EAP响应/身份消息朝向eNB或者eNB的附属AAA(认证、授权和记帐)服务器路由。根据示范性实施例,可以将AAA的功能合并到eNB内,这样可以将功能集中在同一网络节点内,以替代不同局域网内的特设部署,因而节约了本地区域内的部署成本。或者,可以通过与eNB分离的AAA服务器实现AAA的功能。如果能够在eNB或者eNB的附属AAA服务器中得到与UE相关的KAp,那么eNB可以得到通过UE的身份索引的KAp,并将得到的KAp在EAP成功消息内发送至LTE-Hi AP,以供本地安全用途的使用。在UE接收到LTE-Hi AP转发的EAP成功消息时,其可以采用先前导出的KAp生成额外的安全密钥(例如,至少部分地基于旧式蜂窝安全规则),以供本地服务和/或业务的加密和完整性检验之用。相应地,LTE-Hi AP也可以将从eNB获得的同一KAp用于本地服务和/或业务。可以看出,整个过程都不消耗AV,并且避免了涉及CN,但是又能够与当前的宏网络安全原理匹配。
图5是适于在本发明的示范性实施例的实践当中使用的各种设备的简化方框图。在图5中,UE 530(例如移动电话、无线终端、便携式装置、PDA、多媒体平板电脑等)可以适于与一个或多个网络节点,例如,第一网络节点510和第二网络节点520通信。第一网络节点510(例如,eNB/BS/控制中心等)和第二网络节点520(例如AP/BS/控制中心等)可以适于直接相互通信或者通过中间实体(图5未示出)通信。在示范性实施例中,UE 530可以包括数据处理器(DP)530A、存储成像(PROG)530C的存储器(MEM)530B和用于与诸如另一UE、网络节点、服务器等的设备通信的适当收发器530D。第一网络节点510可以包括数据处理器(DP)510A、存储程序(PROG)510C的存储器(MEM)510B以及用于与诸如第二网络节点520、UE 530或网络实体(图5未示出)的设备通信的适当收发器510D。类似地,第二网络节点520可以包括数据处理器(DP)520A、存储程序(PROG)520C的存储器(MEM)520B以及用于与诸如第一网络节点510、UE 530或网络实体(图5未示出)的设备通信的适当收发器520D。例如,收发器510 D、520D、530D的至少其中之一可以是用于发送和/或接收信号和消息的集成部件。或者,收发器510D、520D、530D的至少其中之一可以包括分别支持信号/消息的发送和接收的单独部件。可以将相应的DP 510A、520A和530A用于处理这些信号和消息。
或者或此外,第一网络节点510、第二网络节点520和UE 530可以包括各种用于实施图1-4中的上述步骤和方法的功能的构件和/或部件。例如,UE 530可以包括:用于响应于进入空闲模式的决定至少部分地基于用于UE和第一网络节点(例如,第一网络节点510)之间的第一连接的第一密钥生成第二密钥的生成构件;用于释放所述第一连接以进入空闲模式的释放构件;用于响应于UE和第二网络节点之间的第二连接的设置过程的启动而通过第二网络节点(例如,第二网络节点520)向第一网络节点提供UE的身份的提供构件;以及响应于从第二网络节点接收到在第一网络节点处成功地验证了UE的身份的指示而将所述第二密钥用于所述第二连接的使用构件。在示范性实施例中,第一网络节点510可以包括:用于响应于接收到UE决定进入空闲模式的决定至少部分地基于用于UE(例如,UE 530)和第一网络节点之间的第一连接的第一密钥生成第二密钥的生成构件;用于释放第一连接的释放构件;用于验证从第二网络节点(例如,第二网络节点520)获得的UE的身份的验证构件;以及用于响应于UE身份的成功验证将用于UE和第二网络节点之间的第二连接的第二密钥发送至第二网络节点的发送构件。在另一个示范性实施例中,第二网络节点520可以包括:用于响应于UE和第二网络节点之间的第二连接的设置构成的启动从UE获得UE身份的获得构件;用于将UE的身份转发至第一网络节点(例如,第一网络节点510)的转发构件;用于从第一网络节点接收包括用于第二连接的第二密钥的消息的接收构件,所述消息指示在第一网络节点处成功地验证了UE的身份,其中,第二密钥是至少部分地基于用于UE和第一网络节点之间的第一连接的第一密钥生成的;以及用于通知UE在第一网络节点处成功地验证了UE的身份的通知构件。
假设PROG 510C、520C、530C的至少其中之一包括在通过相关DP运行时能够使设备根据上文所述的示范性实施例工作的程序指令。也就是说,本发明的示范性实施例可以至少部分地通过可由第一网络节点510的DP 510A、第二网络节点520的DP 520A和UE 530的DP 530A运行的计算机软件,通过硬件,或者通过软件和硬件的组合实现。
MEM 510B、520B和530B可以具有任何适于本地技术环境的类型,并且可以采用任何适当的数据存储技术实现,例如,基于半导体的存储装置、闪速存储器、磁存储装置和系统、光存储装置和系统、固定存储器和可拆卸存储器。DP 510A、520A和530A可以具有任何适于本地技术环境的类型,作为非限制性例子,其可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多芯处理器架构的处理器中的一者或多者。
一般而言,可以通过硬件或专用电路、软件、逻辑或其任何组合实现所述的各种示范性实施例。例如,可以通过硬件实现一些方面,而其他方面则可以通过由控制器、微处理器或其他计算装置执行的固件或软件实现,但是本发明不限于此。尽管可以将本发明的示范性实施例的各个方面示为或者描述为方框图、流程图或者采用某种其他图示,但是应当理解,可以通过(作为非限制性例子的)硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算装置或者它们的某种组合来实现文中描述的这些块、设备、系统、技术或方法。
应当认识到,可以通过由一个或多个计算机或其他装置运行的处于一个或多个程序模块内的计算机可执行指令实施本发明的示范性实施例的至少一些方面。一般而言,程序模块包括在通过计算机中的处理器或者其他装置运行时执行特定任务或者实施特定抽象数据类型的例程、程序、对象、部件、数据结构等。所述计算机可执行指令可以存储在诸如硬盘、光盘、可拆卸存储介质、固态存储器、随机存取存储器(RAM)等的计算机可读介质上面。本领域技术人员将认识到,在各实施例中,程序模块的功能可以根据预期结合或者分布。此外,所述功能可以完全或者部分通过固件或者硬件对等体实现,例如,集成电路、现场可编程门阵列(FPGA)等。
尽管已经公开了本发明的具体实施例,但是本领域技术人员应当理解,在不背离本发明的精神和范围的情况下可以对具体实施例做出修改。因此,本发明的范围不限于具体实施例,我们的意图在于使所附权利要求涵盖任意此类落在本发明的范围内的应用、修改和实施例。
Claims (40)
1.一种方法,包括:
响应于进入空闲模式的决定至少部分地基于用于用户设备和第一网络节点之间的第一连接的第一密钥生成第二密钥;
释放所述第一连接以进入空闲模式;
响应于用户设备和第二网络节点之间的第二连接的设置过程的启动经由第二网络节点向第一网络节点提供用户设备的身份;以及
响应于从第二网络节点接收到在第一网络节点处成功地验证了用户设备的身份的指示而将所述第二密钥用于所述第二连接。
2.根据权利要求1所述的方法,其中,所述的进入空闲模式的决定包括:将用户设备决定进入空闲模式的指示发送至第一网络节点。
3.根据权利要求1或2所述的方法,其中所述的至少部分地基于第一密钥生成第二密钥包括:
确定用于导出第二密钥的一组输入参数;以及
采用所述第一密钥和该组输入参数通过应用预定义密钥导出算法生成第二密钥。
4.根据权利要求3所述的方法,其中,该组输入参数包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引、用户设备的标识符以及用户设备的标识符的长度。
5.根据权利要求1到4的任一项所述的方法,其中,所述的向第一网络节点提供用户设备的身份包括:
从第二网络节点接收针对用户设备的身份的请求消息;以及
将包括用户设备的身份的响应消息发送至第二网络节点,以供转发至第一网络节点。
6.根据权利要求1到5的任一项所述的方法,其中,所述的将第二密钥用于第二连接包括:至少部分地基于所述第二密钥生成用于通过第二连接的服务的一个或多个安全密钥。
7.一种设备,包括:
至少一个处理器;以及
至少一个包括计算机程序代码的存储器,
所述至少一个存储器和所述计算机程序代码被配置为借助至少一个处理器使所述设备至少执行下述操作:
响应于进入空闲模式的决定至少部分地基于用于所述设备和第一网络节点之间的第一连接的第一密钥生成第二密钥;
释放所述第一连接以进入空闲模式;
响应于所述设备和第二网络节点之间的第二连接的设置过程的启动经由第二网络节点向第一网络节点提供所述设备的身份;以及
响应于从第二网络节点接收到在第一网络节点处成功地验证了所述设备的身份的指示而将所述第二密钥用于所述第二连接。
8.根据权利要求7所述的设备,其中,所述的进入空闲模式的决定包括:向第一网络节点发送所述设备决定进入空闲模式的指示。
9.根据权利要求7或8所述的设备,其中,所述的至少部分地基于第一密钥生成第二密钥包括:
确定用于导出第二密钥的一组输入参数;以及
采用所述第一密钥和该组输入参数通过应用预定义密钥导出算法生成第二密钥。
10.根据权利要求9所述的设备,其中,该组输入参数包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引、设备的标识符以及设备的标识符的长度。
11.根据权利要求7到10的任一项所述的设备,其中,所述的向第一网络节点提供所述设备的身份包括:
从第二网络节点接收针对所述设备的身份的请求消息;以及
将包括所述设备的身份的响应消息发送至第二网络节点,以供转发至第一网络节点。
12.根据权利要求7到11的任一项所述的设备,其中,所述的将第二密钥用于第二连接包括:至少部分地基于所述第二密钥生成用于通过第二连接的服务的一个或多个安全密钥。
13.一种计算机程序产品,其包括具有体现于其内的与计算机一起使用的计算机程序的计算机可读介质,所述计算机程序包括:
用于响应于进入空闲模式的决定至少部分地基于用于用户设备和第一网络节点之间的第一连接的第一密钥生成第二密钥的代码;
用于释放所述第一连接以进入空闲模式的代码;
用于响应于用户设备和第二网络节点之间的第二连接的设置过程的启动经由第二网络节点向第一网络节点提供用户设备的身份的代码;以及
用于响应于从第二网络节点接收到在第一网络节点处成功地验证了用户设备的身份的指示而将所述第二密钥用于所述第二连接的代码。
14.根据权利要求13所述的计算机程序产品,其中,所述的进入空闲模式的决定包括:向第一网络节点发送用户设备决定进入空闲模式的指示。
15.根据权利要求13或14所述的计算机程序产品,其中,所述的至少部分地基于第一密钥生成第二密钥包括:
确定用于导出第二密钥的一组输入参数;以及
采用所述第一密钥和该组输入参数通过应用预定义密钥导出算法生成第二密钥。
16.根据权利要求15所述的计算机程序产品,其中,该组输入参数包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引、用户设备的标识符以及用户设备的标识符的长度。
17.根据权利要求13到16的任一项所述的计算机程序产品,其中,向第一网络节点提供用户设备的身份包括:
从第二网络节点接收针对用户设备的身份的请求消息;以及
将包括用户设备的身份的响应消息发送至第二网络节点,以供转发至第一网络节点。
18.根据权利要求13到17的任一项所述的计算机程序产品,其中,所述的将第二密钥用于第二连接包括:至少部分地基于所述第二密钥生成用于通过第二连接的服务的一个或多个安全密钥。
19.一种设备,包括:
用于响应于进入空闲模式的决定至少部分地基于用于所述设备和第一网络节点之间的第一连接的第一密钥生成第二密钥的生成构件;
用于释放所述第一连接以进入空闲模式的释放构件;
用于响应于所述设备和第二网络节点之间的第二连接的设置过程的启动经由第二网络节点向第一网络节点提供所述设备的身份的提供构件;以及
用于响应于从第二网络节点接收到在第一网络节点处成功地验证了所述设备的身份的指示而将所述第二密钥用于所述第二连接的使用构件。
20.一种方法,包括:
响应于接收到用户设备决定进入空闲模式的指示至少部分地基于用于用户设备和第一网络节点之间的第一连接的第一密钥生成第二密钥;
释放所述第一连接;
验证从第二网络节点获得的用户设备身份;以及
响应于对用户设备身份的成功验证将用于用户设备和第二网络节点之间的第二连接的第二密钥发送至第二网络节点。
21.根据权利要求20所述的方法,其中,所述的至少部分地基于第一密钥生成第二密钥包括:
确定用于导出第二密钥的一组输入参数;以及
采用所述第一密钥和该组输入参数通过应用预定义密钥导出算法生成第二密钥。
22.根据权利要求21所述的方法,其中,该组输入参数包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引、用户设备的标识符以及用户设备的标识符的长度。
23.根据权利要求20到22的任一项所述的方法,其中,用户设备身份的成功验证包括成功地得到与用户设备的身份相关的第二密钥。
24.根据权利要求20到23的任一项所述的方法,其中,在第一网络节点和第二网络节点之间存在安全相关。
25.一种设备,包括:
至少一个处理器;以及
至少一个包括计算机程序代码的存储器,
所述至少一个存储器和所述计算机程序代码被配置为借助至少一个处理器使所述设备至少执行下述操作:
响应于接收到用户设备决定进入空闲模式的指示至少部分地基于用于用户设备和所述设备之间的第一连接的第一密钥生成第二密钥;
释放所述第一连接;
验证从另一设备获得的用户设备身份;以及
响应于对用户设备身份的成功验证将用于用户设备和所述另一设备之间的第二连接的第二密钥发送至所述另一设备。
26.根据权利要求25所述的设备,其中,所述的至少部分地基于第一密钥生成第二密钥包括:
确定用于导出第二密钥的一组输入参数;以及
采用所述第一密钥和该组输入参数通过应用预定义密钥导出算法生成第二密钥。
27.根据权利要求26所述的设备,其中,该组输入参数包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引、用户设备的标识符以及用户设备的标识符的长度。
28.根据权利要求25到27的任一项所述的设备,其中,用户设备身份的成功验证包括成功地得到与用户设备的身份相关的第二密钥。
29.根据权利要求25到28的任一项所述的设备,其中,在所述设备和所述另一设备之间存在安全相关。
30.一种计算机程序产品,其包括具有体现于其内的与计算机一起使用的计算机程序的计算机可读介质,所述计算机程序包括:
用于响应于接收到用户设备决定进入空闲模式的指示而至少部分地基于用于用户设备和第一网络节点之间的第一连接的第一密钥生成第二密钥的代码;
用于释放所述第一连接的代码;
用于验证从第二网络节点获得的用户设备的身份的代码;以及
用于响应于用户设备的身份的成功验证而将用于用户设备和第二网络节点之间的第二连接的第二密钥发送至第二网络节点的代码。
31.根据权利要求30所述的计算机程序产品,其中,所述的至少部分地基于第一密钥生成第二密钥包括:
确定用于导出第二密钥的一组输入参数;以及
采用所述第一密钥和该组输入参数通过应用预定义密钥导出算法生成第二密钥。
32.根据权利要求31所述的计算机程序产品,其中,该组输入参数包括下述参数的至少其中之一:与预定义密钥导出算法相关的索引、用户设备的标识符以及用户设备的标识符的长度。
33.根据权利要求30到32的任一项所述的计算机程序产品,其中,用户设备身份的成功验证包括成功地得到与用户设备的身份相关的第二密钥。
34.一种设备,包括:
用于响应于用户设备决定进入空闲模式的指示至少部分地基于用于用户设备和所述设备之间的第一连接的第一密钥生成第二密钥的生成构件;
用于释放所述第一连接的释放构件;
用于验证从另一设备获得的用户设备的身份的验证构件;以及
用于响应于用户设备身份的成功验证而将用于用户设备和所述另一设备之间的第二连接的第二密钥发送至所述另一设备的发送构件。
35.一种方法,包括:
响应于用户设备和第二网络节点之间的第二连接的设置过程的启动而从用户设备获得用户设备的身份;
将用户设备的身份转发至第一网络节点;
从第一网络节点接收包括用于第二连接的第二密钥的消息,所述消息指示在第一网络节点处成功地验证了用户设备的身份,其中,第二密钥是至少部分地基于用于用户设备和第一网络节点之间的第一连接的第一密钥生成的;以及
通知用户设备在第一网络节点处成功地验证了用户设备的身份。
36.根据权利要求35所述的方法,还包括:
至少部分地基于所述第二密钥生成一个或多个用于通过第二连接的服务的安全密钥。
37.一种设备,包括:
至少一个处理器;以及
至少一个包括计算机程序代码的存储器,
所述至少一个存储器和所述计算机程序代码被配置为借助至少一个处理器使所述设备至少执行下述操作:
响应于用户设备和所述设备之间的第二连接的设置过程的启动而从用户设备获得用户设备的身份;
将用户设备的身份转发至另一设备;
从所述另一设备接收包括用于第二连接的第二密钥的消息,所述消息指示在所述另一设备处成功地验证了用户设备的身份,其中,所述第二密钥是至少部分地基于用于用户设备和所述另一设备之间的第一连接的第一密钥生成的;以及
通知用户设备在所述另一设备处成功地验证了用户设备的身份。
38.根据权利要求37所述的设备,其中,使所述设备进一步执行:
至少部分地基于所述第二密钥生成一个或多个用于通过第二连接的服务的安全密钥。
39.一种计算机程序产品,其包括具有体现于其内的与计算机一起使用的计算机程序的计算机可读介质,所述计算机程序包括:
用于响应于用户设备和第二网络节点之间的第二连接的设置过程的启动从用户设备获得用户设备的身份的代码;
用于将用户设备的身份转发至第一网络节点的代码;
用于从第一网络节点接收包括用于第二连接的第二密钥的消息的代码,所述消息指示在第一网络节点处成功地验证了用户设备的身份,其中,第二密钥是至少部分地基于用于用户设备和第一网络节点之间的第一连接的第一密钥生成的;以及
用于通知用户设备在第一网络节点处成功地验证了用户设备的身份的代码。
40.一种设备,包括:
用于响应于用户设备和所述设备之间的第二连接的设置过程的启动而从用户设备获得用户设备的身份的获得构件;
用于将用户设备的身份转发至另一设备的转发构件;
用于从所述另一设备接收包括用于第二连接的第二密钥的消息的接收构件,所述消息指示在所述另一设备处成功地验证了用户设备的身份,其中,第二密钥是至少部分地基于用于用户设备和所述另一设备之间的第一连接的第一密钥生成的;以及
用于通知用户设备在所述另一设备处成功地验证了用户设备的身份的通知构件。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2012/075955 WO2013173988A1 (en) | 2012-05-23 | 2012-05-23 | A key derivation method and apparatus for local access under control of a cellular network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104322089A true CN104322089A (zh) | 2015-01-28 |
Family
ID=49623012
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280073393.8A Pending CN104322089A (zh) | 2012-05-23 | 2012-05-23 | 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9942210B2 (zh) |
| EP (1) | EP2853106A4 (zh) |
| CN (1) | CN104322089A (zh) |
| WO (1) | WO2013173988A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108432206A (zh) * | 2015-12-23 | 2018-08-21 | 高通股份有限公司 | 用于蜂窝物联网的无状态接入阶层安全性 |
| CN110249707A (zh) * | 2017-02-03 | 2019-09-17 | 华为技术有限公司 | 一种连接释放的方法和装置 |
| CN111034265A (zh) * | 2017-08-18 | 2020-04-17 | 华为技术有限公司 | Ran inactive模式下的位置和上下文管理 |
| CN111401672A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种基于区块链的合法性校验方法、设备及系统 |
| CN111670587A (zh) * | 2018-01-12 | 2020-09-15 | 高通股份有限公司 | 用于多个注册的方法和设备 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9942210B2 (en) | 2012-05-23 | 2018-04-10 | Nokia Technologies Oy | Key derivation method and apparatus for local access under control of a cellular network |
| WO2014109968A1 (en) * | 2013-01-09 | 2014-07-17 | Ntt Docomo, Inc. | Secure radio access with inter-enb carrier aggregation |
| US9801099B2 (en) * | 2013-05-15 | 2017-10-24 | Blackberry Limited | Method and system for use of cellular infrastructure to manage small cell access |
| US11412376B2 (en) * | 2014-09-05 | 2022-08-09 | Telefonaktiebolaget L M Ericsson (Publ) | Interworking and integration of different radio access networks |
| CN106060812A (zh) * | 2015-04-09 | 2016-10-26 | 财团法人工业技术研究院 | 长期演进技术基站与用户设备及其前置连结与认证的方法 |
| US10631163B2 (en) | 2015-04-09 | 2020-04-21 | Industrial Technology Research Institute | LTE base station, UE and pre-association and pre-authentication methods thereof in WWAN-WLAN aggregation |
| EP3119118B1 (en) * | 2015-07-17 | 2020-07-15 | HTC Corporation | Handling of cellular-wireless local area network aggregation |
| US9980133B2 (en) * | 2015-08-12 | 2018-05-22 | Blackberry Limited | Network access identifier including an identifier for a cellular access network node |
| WO2017059579A1 (en) * | 2015-10-09 | 2017-04-13 | Microsoft Technology Licensing, Llc | Sim provisioning of a mobile device |
| KR102437619B1 (ko) * | 2016-04-01 | 2022-08-29 | 삼성전자주식회사 | 보안 키를 생성하기 위한 장치 및 방법 |
| FR3057132A1 (fr) * | 2016-10-04 | 2018-04-06 | Orange | Procede d'authentification mutuelle entre un equipement utilisateur et un reseau de communication |
| WO2018237374A1 (en) | 2017-06-23 | 2018-12-27 | Motorola Mobility Llc | METHOD AND APPARATUS FOR IMPLEMENTING MEDIA-SPECIFIC MODIFICATIONS AS PART OF CONNECTION RECONFIGURATION WHICH HAS CONSEQUENCES OF SAFETY KEYS DURING USE |
| US10880737B2 (en) | 2017-06-23 | 2020-12-29 | Motorola Mobility Llc | Method and apparatus for refreshing the security keys of a subset of configured radio bearers |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1482832A (zh) * | 2002-09-10 | 2004-03-17 | ��Ϊ��������˾ | 一种移动终端在无线局域网接入站间安全切换的方法 |
| WO2008046915A1 (en) * | 2006-10-20 | 2008-04-24 | Nokia Corporation | Generating keys for protection in next generation mobile networks |
| CN101610506A (zh) * | 2008-06-16 | 2009-12-23 | 上海华为技术有限公司 | 防止网络安全失步的方法和装置 |
| US20110116629A1 (en) * | 2008-04-04 | 2011-05-19 | Nokia Corporation | Methods, apparatuses and computer program products for providing multi-hop cryptographic separation for handovers |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100523061B1 (ko) * | 2003-12-23 | 2005-10-24 | 한국전자통신연구원 | 고속 데이터 스크램블링 장치 및 그 방법 |
| GB2415579B (en) * | 2004-06-23 | 2006-12-20 | Hewlett Packard Development Co | Cryptographic method and apparatus |
| DE102005033455A1 (de) | 2005-07-18 | 2007-01-25 | GEMÜ Gebr. Müller Apparatebau GmbH & Co. KG | Antriebsvorrichtung zum linearen Bewegen von länglichen Körpern |
| US20080014981A1 (en) * | 2006-07-17 | 2008-01-17 | Muthaiah Venkatachalam | Methods and apparatus for providing idle mode operations for a platform with a plurality of wireless communication devices |
| CN101309500B (zh) | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
| JP4818345B2 (ja) | 2007-12-05 | 2011-11-16 | イノヴァティヴ ソニック リミテッド | セキュリティーキー変更を処理する方法及び通信装置 |
| EP2109278B1 (en) | 2008-04-07 | 2011-09-14 | NTT DoCoMo, Inc. | Method and apparatus for generating a new key |
| CN101299666A (zh) * | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
| JP5309825B2 (ja) * | 2008-09-18 | 2013-10-09 | 日本電気株式会社 | 通信システム、送信装置、受信装置、及び通信方法 |
| CN101931951B (zh) | 2009-06-26 | 2012-11-07 | 华为技术有限公司 | 密钥推演方法、设备及系统 |
| KR101571567B1 (ko) | 2009-11-27 | 2015-12-04 | 삼성전자주식회사 | 이종 무선 통신 시스템에서 아이들 모드 핸드오버를 지원하는 장치 및 방법 |
| US8891365B2 (en) * | 2009-12-16 | 2014-11-18 | Verizon Patent And Licensing Inc. | Dual connection admission control (CAC) at origination and destination points in LTE and EPC networks |
| FR2957737B1 (fr) * | 2010-03-17 | 2012-08-10 | Bouygues Telecom Sa | Procede et systeme de diffusion securisee d'un flux de donnees numeriques |
| US8804957B2 (en) | 2010-03-29 | 2014-08-12 | Nokia Corporation | Authentication key generation arrangement |
| CN102209355B (zh) * | 2010-03-31 | 2013-12-04 | 华为终端有限公司 | 网络切换的方法及支持网络切换的终端 |
| US20120042390A1 (en) * | 2010-08-12 | 2012-02-16 | Nokia Corporation | Method and apparatus for secure revocable location sharing |
| WO2012096496A2 (en) * | 2011-01-10 | 2012-07-19 | Samsung Electronics Co., Ltd. | Method and apparatus for encrypting short data in a wireless communication system |
| JP2012195903A (ja) * | 2011-03-18 | 2012-10-11 | Toshiba Corp | 情報処理装置、プログラム及びアクセス制御システム |
| US9942210B2 (en) | 2012-05-23 | 2018-04-10 | Nokia Technologies Oy | Key derivation method and apparatus for local access under control of a cellular network |
-
2012
- 2012-05-23 US US14/398,730 patent/US9942210B2/en active Active
- 2012-05-23 EP EP12877118.5A patent/EP2853106A4/en not_active Withdrawn
- 2012-05-23 CN CN201280073393.8A patent/CN104322089A/zh active Pending
- 2012-05-23 WO PCT/CN2012/075955 patent/WO2013173988A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1482832A (zh) * | 2002-09-10 | 2004-03-17 | ��Ϊ��������˾ | 一种移动终端在无线局域网接入站间安全切换的方法 |
| WO2008046915A1 (en) * | 2006-10-20 | 2008-04-24 | Nokia Corporation | Generating keys for protection in next generation mobile networks |
| US20110116629A1 (en) * | 2008-04-04 | 2011-05-19 | Nokia Corporation | Methods, apparatuses and computer program products for providing multi-hop cryptographic separation for handovers |
| CN101610506A (zh) * | 2008-06-16 | 2009-12-23 | 上海华为技术有限公司 | 防止网络安全失步的方法和装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108432206A (zh) * | 2015-12-23 | 2018-08-21 | 高通股份有限公司 | 用于蜂窝物联网的无状态接入阶层安全性 |
| CN108432206B (zh) * | 2015-12-23 | 2021-04-27 | 高通股份有限公司 | 用于蜂窝物联网的无状态接入阶层安全性 |
| CN110249707A (zh) * | 2017-02-03 | 2019-09-17 | 华为技术有限公司 | 一种连接释放的方法和装置 |
| CN110249707B (zh) * | 2017-02-03 | 2023-10-17 | 华为技术有限公司 | 一种连接释放的方法和装置 |
| CN111034265A (zh) * | 2017-08-18 | 2020-04-17 | 华为技术有限公司 | Ran inactive模式下的位置和上下文管理 |
| US10893568B2 (en) | 2017-08-18 | 2021-01-12 | Huawei Technologies Co., Ltd. | Location and context management in a RAN INACTIVE mode |
| US11678400B2 (en) | 2017-08-18 | 2023-06-13 | Huawei Technologies Co., Ltd. | Location and context management in a ran inactive mode |
| CN111670587A (zh) * | 2018-01-12 | 2020-09-15 | 高通股份有限公司 | 用于多个注册的方法和设备 |
| CN111670587B (zh) * | 2018-01-12 | 2024-04-26 | 高通股份有限公司 | 用于多个注册的方法和设备 |
| CN111401672A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种基于区块链的合法性校验方法、设备及系统 |
| CN111401672B (zh) * | 2019-01-02 | 2023-11-28 | 中国移动通信有限公司研究院 | 一种基于区块链的合法性校验方法、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150121490A1 (en) | 2015-04-30 |
| US9942210B2 (en) | 2018-04-10 |
| WO2013173988A1 (en) | 2013-11-28 |
| EP2853106A1 (en) | 2015-04-01 |
| EP2853106A4 (en) | 2015-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104322089A (zh) | 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 | |
| US10187370B2 (en) | Fast-accessing method and apparatus | |
| US9462464B2 (en) | Secure and simplified procedure for joining a social Wi-Fi mesh network | |
| CN104581843B (zh) | 用于无线通信系统的网络端的处理交递方法及其通信装置 | |
| US9258692B2 (en) | Relay assisted peer discovery | |
| US9204296B2 (en) | Apparatus and methods for key generation | |
| CN103609154B (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| CN108293223A (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| US20150092696A1 (en) | Method and apparatus for managing radio bearer for user equipment | |
| CN105340212A (zh) | 用于生成在设备至设备通信中的密钥的方法和装置 | |
| JP2019149822A (ja) | 端末デバイスが別の端末デバイスを発見するための方法および装置 | |
| JPWO2020050138A1 (ja) | コアネットワーク装置、通信端末、及び通信方法 | |
| JP2017098986A (ja) | Mtcのためのシステム、コアネットワーク、及び方法 | |
| WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
| TW201724799A (zh) | 安全傳呼 | |
| CN105378770A (zh) | 对于设备到设备服务的安全计费的方法和装置 | |
| KR102104844B1 (ko) | 데이터 전송 방법, 제1 장치 및 제2 장치 | |
| CN113395697B (zh) | 传输寻呼信息的方法和通信装置 | |
| WO2022237561A1 (zh) | 一种通信方法及装置 | |
| WO2017039945A1 (en) | Unicast key management across multiple neighborhood aware network data link groups | |
| WO2019213925A1 (zh) | 密钥更新方法、设备和存储介质 | |
| CN102318259A (zh) | 用于业务计数密钥管理和密钥计数管理的方法和装置 | |
| KR102593167B1 (ko) | 통신 네트워크 시스템의 동작방법 | |
| WO2023137760A1 (zh) | 无线通信方法、远端ue、ausf以及amf | |
| US20220393877A1 (en) | Cryptographic Security Mechanism for Groupcast Communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160113 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |
|
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150128 |
|
| WD01 | Invention patent application deemed withdrawn after publication |