TW201218790A

TW201218790A - Method and apparatus for relay node management and authorization

Info

Publication number: TW201218790A
Application number: TW100121246A
Authority: TW
Inventors: Anand Palanigounder; Adrian Edward Escott
Original assignee: Qualcomm Inc
Priority date: 2010-06-18
Filing date: 2011-06-17
Publication date: 2012-05-01
Also published as: CN102893646B; WO2011160070A1; CN102893646A; KR101499367B1; ES2568237T3; AR082019A1; JP5674175B2; JP2013534755A; EP2583481A1; TWI468032B; EP2583481B1; US8839373B2; US20110314522A1; KR20130023350A

Description

201218790 六、發明說明：根據專利法的優先權主張本專利申請案主張於2〇10年6月18曰提出申請且被轉讓給本案受讓人並因而明確以引用方式併入本文中的標題名稱為「Method and APparatus for Relay N〇de

Management and Auth〇rizati〇n (用於中繼節點管理和授權的方法和裝置）」的美國臨時巾請案第61/356，彻號的優先權。【發明所屬之技術領域】各個特徵係關於無線通訊㈣，且更特定言之係關於無線通訊系統中採用的中繼節點。【先前技術】隨著電信技術的進化，已提出務的更高級的網路存取穿備…=供先别不可能的服對傳統無線電㈣統巾的等^括作為備。在諸如長期進化二^ 可包括此類高級或下-代_備。^進化無線通訊標準中強型”點(叫無=點=^ 存取節點（或基地台）。傳統在-些實施中，網路可包括存取中繼節點在本文中亦可被稱中繼㈣兩者，繼叹備。中繼節點是無線 201218790 網路中相對新的網路組件，Α被配節點或另一中繼八置成擴展或增強由存取干繼即點所建立的覆蓋。々兩者皆A "T六★ 存取即點和中繼節點兩者音為可存在於無線通訊網路點通常対存取節點或其他…，‘，‘、線電騎。中繼郎 Λ. . , _ 、中繼知點的無線覆蓋來存取 …、線通訊系統中的其他組件。餡赴7 4 卜兩個或兩個以上中繼卽點可被用於連續地擴展蓋。增強由存取節點所建立的覆繼節點通“并入了存取終端功能和存取節點功能兩例如’中繼節點就像其是存取終端一般從網路接收資料’且就像其是存取節點一般將接收到的資料傳達給存取終端。為了使中繼節點恰當地起作用，中繼節點在其投入操乍之月〗必/頁用所需的操作和安全性身份碼來恰當地供應/配置。由於新部署的中繼節點可能不具有至服務供應商的管理系％ (例如’服務供應商的操作、管理、維護及供應（OAM&P )系統）的現有通訊鏈路，因此中繼節點在一般情況下需要操作人員到現場來初始配置該中繼節點。然而，中繼部署點需要操作人員是昂貴的、易出錯且不安全。其他一般的替代方案是使用服務供應商的預先存在的通訊方法，諸如租用IP鏈路或無線微波鏈路，來與服務供應商的管理系統通訊。然而，經由該等其他形式的通訊來提供至中繼節點的連接亦是昂貴的。因此，期望使得中繼節點能在部署作為通訊網路中用於在存取終端與其他網路實體之間傳送訊務的全效中繼設備之前安全地連接到管理系統以進行初始配置和授權。 201218790 【發明内容】各種特徵促進在部署為通訊網路中的中繼設備之前對中繼節點進行無線配置和授權。—個特徵提供了包括與處理電路輕合的無線通訊介面的中繼節點。處理電路可被適配成使用用於認證的初始安全性身份碼向網路實體認證中繼節點。回應於使用初始安全性身份碼的無線認證，處理電路可接收用於出於配置中繼節點的有限目的與通訊網路無線地通訊的授權。作為有限通訊的部分，處理電路可經由無線通訊介面接收新的安全性身份碼。在作為通訊網路中的中繼設備來操作之前，處理電路隨後可使用新的安全性身份碼向網路實體重新認證。根據-種用於促進在部署為通訊網路中的中繼設備之前對中繼節點進行無線配置和授權的特徵，亦提供了在中繼節點中操作的方法。在此類方法的至少—種實施中，例如’可使用㈣安全性身份碼向網路實體無線地認證中繼節點。基於認證，可接收用於出於配置中繼節點的有限目的與通訊網路無線地通訊的授權，其中該授權是回應於使用初始安全性身份碼的無線認證而接收的。作為有限通訊的部分’可接收新的安全性身份碼。隨後，在實現成作為通訊網路中的中繼設備來操作之前，可使用新的安全性身份碼向網路實體重新認證中繼節點。另一特徵提供了適配成促進在部署為通訊網路中的中 201218790 繼備之剛對中繼節點進行無線配置和授權的一或多個網路實體。此類網路實體可包括與處理電路耦合的通訊介面。處理電路可被適配成使用與中繼節點相關聯的初始安全性身份碼來認證該中繼節點。在使用初始安全性身份碼成功S忍證中繼節點之後，處理電路可授權中繼節點出於配置該中繼節點的有限目的與通訊網路無線地通訊。處理電路亦可使用與中繼節點相關聯的新的安全性身份碼來重新遇證該中繼節點，並且可在成功地重新認證該中繼節點之後，授權該中繼節點作為通訊網路中的中繼設備來操作。根據一種用於促進在部署為通訊網路中的中繼設備之前對中繼節點進行無線配置和授權的特徵，亦提供了在網路實體中操作的方法。在此類方法的至少一種實施中，例如，網路實體可使用與中繼節點相關聯的初始安全性身份碼來認證該中繼節點。在使用初始安全性身份碼成功認證該中繼節點之後，可授權該中繼節點出於配置該中繼節點的有限目的與通訊網路無線地通訊。可使用新的安全性身份碼重新認證該中繼節·點，且在用冑的安纟性身份碼成功地重新認證該中繼節點之後，可授權該中繼節點作為通訊網路中的中繼設備來操作。【實施方式】在以下描述中’提供了較細節以提供對所插述的實施 201218790 的透徹理解。然而，本領域一般技藝人士將理解，沒有該等特疋細I卩亦可實踐各種實施。例如，電路可能以方塊圖形式圖示，以免使該等實施在不必要的細節中難以理解。在其他實例中，熟知的電路、結構和技術可能被詳細圖示以免使所描述的實施難以理解。用語「示例性」在本文中用於意謂「用作示例、實例或說明」。本文中描述為「示例性」的任何實施或實施例不必被解釋為優於或勝過其他實施例或實施。同樣，術語「實施例」並不要求所有實施例皆包括所論述的特徵、優點或工作模式。 _ 綜述一種特徵促進中繼節點在通訊網路内的初始部署。中繼節點初始無線地附接到通訊網路並使用該中繼節點上預先供應的初始安全性參數被認證。在認證之後，中繼節點被授權針對獲得新的安全性身份碼和配置諸的有限範圍與通訊網路無線地通訊。在中繼節點被配置成作為網路中的中繼設備操作之後，該中繼節點重新附接到通訊網路並被重新認證。重新認證基於在中繼節點的有限存取時段期間接收到的新的安全性身份碼。在中繼節點被重新切證之後，該中繼節點被授權作為在一或多個存取終端和通訊網路之㈣達訊務的巾繼設備在該通訊網路中操作。示例性網路環境圖1是圖示採用—或多個中繼節點且被適配成促進在t 繼節點被初始部署時對該申繼節點進行無線配置和授權 201218790 的無線通訊系統的方塊圖。在至少一些實施中，中繼節點 102被部署在無線通訊網路中，諸如LTE或高級lte (LTE-A)網路。中繼節點1〇2可放大或重複從存取終端 104接收到的信號並且使得經修改信號在存取節點ι〇6處被接收到。通常，中繼節點102對於存取終端1〇4可看似存取節點（AN)並且對於存取節點可看似存取終端（ΑΤ)，如圖1中所示。在一些實施中，中繼節點1〇2接收來自存取終端104的帶有資料的信號並隨後產生新信號以將該資料傳送給存取節點1 06。中繼節點丨〇2亦可接收來自存取節點106的資料並將該資料遞送給存取终端i 〇4。中繼節點102可能被置放在細胞服務區邊緣附近，從而存取終端 1 04旎與中繼節點1 〇2通訊而非與該細胞服務區的存取節點106直接通訊。在無線電系統中，細胞服務區是接收和傳送覆蓋的地理區域。細胞服務區可彼此重疊。在典型的實例中，每個細胞服務區有一個相關聯的存取節點。細胞服務區的大小由諸如頻帶、功率位準和通道狀況等因素決定。中繼節點（諸如中繼節點1 02 )可被用於增強細胞服務區内部或附近的覆蓋’或者用於擴展細胞服務區的覆蓋大小。此外，中繼節點102的使用能增強細胞服務區内的信號傳輸量，因為 /、存取終端104在直接與該細胞服務區的存取節點通訊時可使用的資料率或功率傳輸相比，存取終端1 〇4能以更南資料率或更低功率傳輸來存取中繼節點1〇2。較高資料率下的傳輸建立了較高頻譜效率，而較低功率藉由消耗 201218790 較少電池功率而使存取終端1 04受益。中繼節點102可被實施為三種類型中之—種：層【中繼節點、層2中繼節點以及層3中繼節點。層丨中繼節點實質上是轉發器，其除了放大和輕微延遲以外不作任何修改地重傳-傳輸。層2中繼節點可解碼其接收的傳輸，重新編碼該解碼的結果，並隨後傳送經重新編碼的資料。層3 中繼節點可具有全部無線電資源控制能力且因此可^存取節點類似地起作用。中繼節點所使用的無線電資源控制協定可與存取節點所使用㈣等無，線電資源控制協定相同，且中繼節點可具有存取節點通常所使用的唯一性細胞服務區識別。出於本案的目的，中繼節點1〇2與存取節點1〇6的區別在於以下事實：中繼節點102可能依賴於存在至少一個存取fp點1 0 6 (以及與該存取Ip點相關聯的細胞服務區）或其他中繼節點來存取電信系統（例如，網路】〇 8 )中的其他組件。亦即，中繼節點102對於網路可看似用戶設備、客戶端設備或存取終端，因此其連接到存取節點以在該網路上通訊。然而，對於其他用戶設備、使用者設備及/或存取終端，中繼節點102可看似網路設備（例如，存取節點因此，中繼節點102可實施一或多個通訊介面以與存取節點及/或一或多個存取/用戶/使用者終端通訊。在一個實例中，中繼節點1 02可使用相同的發射機/接收機（例如，在一或多個無線通道中）來與其存取節點及/或一或多個存取終端通訊。在另一實例中，中繼節點i 〇2可利用兩個或兩 201218790 個以上不同的發射機/接收機來與該存取節點及/或該一或多個存取終端通訊。存取節點106可經由回載鏈路與網路1〇8 (例如，核心網路）相耦合。網路1〇8可包括一或多個行動性管理實體 (MME) 11〇,操作、管理、維護及供應（〇AM&p)系統 ’以及服務和pdn閘道（SGW/PGW) 114。在中繼節點102初始被安裝和設置時，中繼節點1〇2被適配成安全地連接到網路108以便被配置和授權成如中繼節點一般起作用。特定言之，中繼節點1〇2包括初始安全身伤碼，其使仔中繼即點1 〇 2經由存取節點1 〇 6使用通。孔.洞路（諸如LTE或LTE-A網路）作為回載來附接到網路 108。中繼節點丨〇2可被允許僅存取進行配置和授權所必需的管理網路元件，諸如行動性管理實體（MME) 11〇以及操作、管理、維護及供應（OAM&p )系統i 12。管理網路元件隨後可用必需的操作資訊（包括新的安全性身份碼）來配置中繼節點1〇2。在中繼節點1〇2被配置且被提供任何新的安全性身份碼之後，中繼節點丨〇2可使用該等新的安全性身份碼和被提供的操作資訊向網路1〇8 重新認證，此舉使得中繼節點102能如全效中繼設備一般操作。初始安全性身份碼可包括用於例如連接到網路、從網路獲得服務、啟動通訊通信期及/或保護通訊鏈路安全的一或多個金鑰、憑證、及/或用戶/帳戶資訊。舉例而言（但並非限制）’初始的和新的安全性身份碼可關於主金錄及/或 201218790 " 連同主金鑰—起用於產生複數個其他加密及/或完整性金 , 鑰的演算法。圖丨〇圖示初始安全性身份碼可如何被用來產生可在典型的無線通訊網路内實施的金鑰階層1〇〇〇以建立用於加密中繼節點102與網路108之間的通訊的加密或安全性金鑰的實例。中繼節點102(例如，在通用積體電路卡（UICC) 及/或信任環境（TrE)中）和網路1〇8可使用主金鑰κι〇〇2 來產生加密金鑰（CK) 1004和完整性金鑰（ΙΚ) 1〇〇6。加密金鑰（CK) 1004和完整性金鑰（ΙΚ) 1〇〇6隨後可被中繼郎點102和網路108用於產生存取安全管理實體金錄 K—ASME 1008。中繼節點1〇2的安全性啟動可經由認證和金錄協定程序（ΑΚΑ )、非存取階層（NAS )安全性模式配置（NAS SMC)程序及/或存取階層（As)安全性模式配置（AS SMC )程序來完成。AKA被用來推導金錄k_ASME 1008 ’金鑰K—ASME 1008隨後可被用作演算NAS (非存取階層）金錄1010和1012以及AS(存取階層）金錄1〇14、 1016、1018和1020的基本金錄。中繼節點1〇2和網路log 可隨後使用K—ASME 1008來產生該等安全性金鑰中的一或多個。中繼節點的示例性初始配置和授權圖2是圖示用於初始配置和授權中繼節點的至少一種實 • 施的實例的流程圖。出於說明目的圖示來自圖1的中繼節 • 點102，存取節點1 〇6 ’行動性管理實體丨丨〇，以及操作、管理、維護及供應（0AM&P )系統112。包括存取節點1 〇6 12 201218790 是為了圓示中繼節.點102與各個網路實體之間的通訊是經由存取節點106來促進的。 β初始’中繼節點U32被提供安全性身份碼2〇2,其將使得中繼節，點102能使用無線通訊網路作為回載來附接到網路並允許對管理網路元件的有限存取。初始安全性身份瑪可包括中繼節，點102的識別（例如，國際移動用戶識別 (IMSI))，以及一或多個秘密的預共享金鑰及/或憑證。中繼節點102可經由存取節.點1Q6與行動性管理實體 (MME) 11〇通訊以初始附接到網路並被認證（2〇4)。中繼節點H)2初始可作為使用者設備（例如，作為存取終端）附接到網路。亦即’從存取節點1〇6和網路的觀點而言，在中繼節·點102初始附接到網路時，中繼節點1(>2可看似使用者設備。可使用減安全性身份碼向網路認證中繼節點⑽。例如，行動性管理實體（μμε) ιι〇可使用與中繼節點102相關聯的初始安全性參數來執行结問-回應或其他一般的認證程序或演算法。若中繼節點1〇2被認證，則行動性管理實體（mme)ii〇可授權中繼節·點1()2有限地存取網路（2G6)。例如，行動性管理實體（MME) 11()可限制中繼節點1〇2在網路内能】達的目的地。在一些實施中，中繼節點1〇2可被限於存取網路中用於中繼節點管理和配置的彼等實體，諸如網路服務供應商的操作、管理 '維護及供應（〇AM&p)系統在至夕一些實施中，此類限制可藉由限制准許中繼節點1〇2存取的存取點名稱來執行。該等限制可由與隨初始 13 201218790 安全性身份碼所包括的中繼節點識別（例如，IMSI)相關聯的訂閱設定檔來定義。中繼節點102可與一或多個管理和配置網路實體（例如，操作、管理、維護及供應（OAM&P)系統112)通訊以獲付新的安全性身份碼（208 )。在至少一些實施中，新的安全性身份碼可包括從憑證授權機構頒發給中繼節點 102的服務供應商憑證及/或新的共享金鑰。在至少一些實施中新的安全性身份碼可包括新的認證和金输協定 (aka)身份碼。此類新的認證和金鑰協定（AKA)身份碼可包括新的中繼節點識別（例如，IMSI )及/或新的共享金錄。中繼節點102亦可從該管理和配置網路實體（例如，從操作、管理、維護及供應（0AM&P )系統112 )獲得額外的管理和配置資料（21〇)0從該網路實體（例如，〇AM&p 112)獲得的管理和配置資料可包括用於使得中繼節點作為通訊網路内的中繼設備來操作的配置資訊。亦即，中繼節點102可獲得恰當的配置資訊以使得中繼節點1〇2在存取終端與網路實體（例如，存取節點及/或其他中繼節點）之間傳達網路訊務。已接收到新的安全性身份碼（亦即，服務供應商身份碼、新的AKA身份碼或該兩者）後，中繼節點1〇2使用新的安全性身份碼向網路重新認證自己（212)。例如，中繼節點102可重新附接至行動性管理實體（mme) m並使用至少新的安全性身份碼被行動性管理實體（mme)ii〇 14 201218790 重新認證。若中繼節點102用新的安全性身份瑪被重新認證，則行動性管理實體（ΜΜΕ) 110可授權中繼節點1〇2作為全效中繼設備來起作用。亦即’中繼節點丨〇2可被授權存取作為在存取終端與網路實體之間傳達網路訊務的中繼設備履行其功能所必需的任何網路實體。在至少一些實施中，此舉可包括行動性管理實體（MME)llO授權中繼節點i〇2 存取用於向及/或從一或多個存取終端傳達訊務所需的任何存取點名稱（APN )。此類存取可由與隨用於重新認證程序的安全性身份碼所包括的中繼節點識別（例如，新的 IMSI或初始IMSI)相關聯的訂閱設定檔來定義。使用新的AKA身份瑪進行重新認證的中繼節點的第— 示例性初始配置和授權圖3 (包括圖3A和圖3B)是圖示使用新的安全性身份碼進行重新認證的中繼節點的初始配置和授權的至少— 個實例的流程圖。在圖3的實例中，出於說明目的圖示中繼節點102,存取節點1〇6,行動性管理實體11〇以及操作、管理、維濩及供應（〇AM&P )系統112。包括存取節點i 〇6 是為了圖示中繼節點i 〇2與各個網路實體之間的通訊是經由存取節點106來促進的。在圖3的實例中，中繼節點丨〇2採用通用積體電路卡 (UICC) 302和信任環境（TrE) 3〇4 (亦被稱為信任執行環境或TEE)兩者。UICC 3〇2可以是可移除模組的部分，而TrE 3 04可實施在中繼節點1 〇2的處理器内（例如，不 15 201218790 同於UICC)。初始參照圖3A，UICC 3〇2可包括通用用戶識別模組（USIM )應用，並且可包括其中安全地供應的初始安全性身份碼。例如，UICC 302可包括初始安全性身份碼，該等初始安全性身份碼包括其中安全地供應的初始認證和金鑰協定（AKA)身份碼306。此外，中繼節點1〇2 可包括安全地供應並保持在中繼節點1〇2的信任環境 (TrE ) 304中的供應商身份碼。節點的信任環境（『π ) 3 04在TS 3 3.3 20處的3GPP規範詳情中指定，其整個揭示内容明確以引用方式併入本文中。中繼節點1 02可附接（或無線地連接）到行動性管理實體（MME) 110並使用儲存在UICC 3〇2中的初始認證和金鑰協定身份碼被認證（3 1 0 )。為了認證中繼節點丨〇2，行動性管理實體（MME) 110可從歸屬用戶伺服器（HSS) 3 1 4獲知中繼卽點訂閱和認證資訊（3 12 )。使用從歸屬用戶祠服器（HSS ) 3 14獲得的訂閱和認證資訊，行動性管理實體（MME ) 11 0和中繼節點1 〇2可通訊以認證中繼節點1 02。例如，行動性管理實體（MME ) 11 〇可獲得與中繼節點102的識別（例如’ IMSI)相關聯的共享秘密，並且可採用認證演算法來驗證中繼節點1〇2。在行動性管理實體（MME) 110認證中繼節點1〇2之後，在步驟316，行動性管理實體（MME) 110可授權中繼節點1〇2有限地存取網路。例如，行動性管理實體（MME ) 11 〇可授權中繼節點102存取有限的存取點名稱（APNs )，諸如存取服務供應商的ΟAM&P系統112。 16 201218790 在至少一些實施中’服務供應商的Ο AM&P系統112可向中繼節點1 02頒發（3 1 8 )服務供應商身份碼（例如，服務供應商憑證）。服務供應商身份碼可由服務供應商的 OAM&P系統112的憑證授權機構（ca) 320頒發。在所圖示的實施中，服務供應商身份碼可被儲存在中繼節點 102的信任環境（TrE) 3 04中。可使用保持在中繼節點1〇2 的信任環境（TrE) 3 04中的供應商身份碼（例如，私密金錄和公用金錄對）將服務供應商身份碼安全地頒發給中繼節點102 。中繼節點102可接收（322)從服務供應商的oam&P 系統11 2頒發的新的認證和金鑰協定（aka )身份碼。例如’新的認證和金錄協定（AKA )身份碼可從服務供應商的OAM&P系統112頒發並被儲存在中繼節點丨〇2的信任環境（TrE) 304中以用於中繼節點1〇2的後續認證和金鑰協疋（AKA )通訊。新的認證和金錄協定（aka )身份碼可由服務供應商的OAM&P系統112的中繼節點管理飼服器（RN-MS ) 324使用與信任環境（TrE ) 304中的供應商身份碼或服務供應商身份碼（若被頒發）相關聯的私密金鑰/公用金鑰對來安全地頒發。舉例而言（但並非限制），新的認證和金餘協定（AKA )身份碼可包括新的國際移動用戶識別（IMSI )及/或加密金鑰以及認證和金鑰協定 (AKA )肩算法定製參數。例如，加密金錄以及aka演算法定製參數可遵循MILENAGE演算法，其中AKA定製參數包括服務供應商特定演算法配置攔位（例如，〇p欄 17 201218790 位），且加密金鑰（例如，OPc )是從該服務供應商特定演算法配置攔位推導出的。服務供應商的OAM&p系統112 亦用與中繼節點1 〇2相關聯的新的認證和訂閱資訊來更新 ( 326 )歸屬用戶伺服器（HSS) 314。現在參照圖3B，服務供應商的oam&P系統112亦可管理（328)中繼節點1〇2以將中繼節點1〇2配置成在通訊網路中用作在存取終端與網路實體（例如，存取節點、其他中繼節點）之間傳達訊務的中繼設備。任何一般的管理協定可被用於配置中繼節點102，諸如TR_069或現有的 OAM&P協定。在中繼節點1 02已接收到新的認證和金錄協定（aka ) 身份碼之後且在作為全效中繼設備在網路中操作之前，中繼節點102重新附接至網路並使用儲存在中繼節點ι〇2的信任環境（TrE) 3 04中的新的認證和金鑰協定（AKA)身份碼被重新認證（3 3 0 )。例如’行動性管理實體（MME ) Π0可從歸屬用戶伺服器（HSS) 314獲得（332)該中繼節點的新的訂閱和認證資訊。使用從歸屬用戶伺服器 (HSS ) 314獲得的訂閱和認證資訊，行動性管理實體 (MME ) 110和中繼節點1 〇2可通訊以認證中繼節點丨〇2。例如’行動性管理實體（MME ) 110可獲得與中繼節點1 02 的新識別（例如，IMSI)相關聯的新共享秘密，並且可採用認證演算法來驗證中繼節點102。在中繼節點102使用新的認證和金鑰協定（AKA)身份碼被認證之後，行動性管理實體（MME ) 110可授權（334) 18 201218790 中繼節點102成為全效中繼設備。亦即，中繼節點ι〇2可被授權存取用於向及/或從一或多個存取終端傳達訊務所必需的任何存取點名稱（APNs )。中繼節點1 〇2對於使用該中繼節點向通訊網路中繼通訊的用戶或客戶端終端可看似網路設備。圖4(包括圖4A和圖4B)是圖示使用新的安全性身份碼進行重新認證的中繼節點的初始配置和授權的至少一個實例的流程圖。在圖4的實例中，出於說明目的圖示中繼節點102’存取節點1〇6,行動性管理實體11〇以及操作、管理、維護及供應（OAM&P)系統112。包括存取節點1〇6 是為了圖示中繼節點102與各個網路實體之間的通訊是經由存取節點106來促進的。在圖4的實例中’中繼節點！ 02採用信任環境（TrE ) 4〇1。初始參照圖4A，信任環境（TrE) 401包括其中安全地供應的初始安全性身份碼。例如，信任環境（TrE ) 4〇又可包括初始安全性身份碼’該等初始安全性身份碼包括其中安全地供應的初始認證和金鑰協定（AKA)身份碼（例如，中繼節點識別（IMSI)及/或共享金鑰）以及供應商身份碼402。 1 中繼節點102可附接（或無線地連接）到行動性管理實體（MME) 110並使用儲存在信任環境（TrE) 4〇1中的初始認證和金鑰協定身份碼被認證（4〇4 )。為了認證中繼節點102’行動性管理實體（ΜΜΕ) 11〇可從歸屬用戶伺服器（HSS) 407獲得中繼節點訂閱和認證資訊（4〇6)。使 19 201218790 用從歸屬用戶伺服器（HSS)衛獲得的訂閲和認證資訊，行動性管理實體（MME) 110和令繼節點1〇2可通訊以認證中繼節點102。例如，行動性管理實體（mme ) i 1〇可獲得與中繼節點1〇2的識別（例如，IMSI)相關聯的共享秘密’並且可採用認證演算法來驗證中繼節點1〇2。在行動性管理實體（MME)110認證中繼節點1〇2之後，在步驟408，行動性管理實體（MME) 11〇可授權中繼節點1 02有限地存取網路。例如，行動性管理實體（) 11 〇可授權中繼節點1 02存取有限的存取點名稱（ApNs )，諸如存取服務供應商的OAM&P系統1丨2。在至少一些實施中，服務供應商的OAM&P系統112可向中繼節點102頒發（410)服務供應商身份碼（例如，服務供應商憑證）。服務供應商身份碼可由服務供應商的 OAM&P系統112的憑證授權機構（ca) 411頒發。在所圖示的實施中’服務供應商身份碼被儲存在中繼節點1〇2 的信任環境（TrE ) 40 1中。可使用保持在中繼節點1 〇2的信任環境（TrE ) 40 1中的供應商身份碼（例如，私密金錄和公用金输對）將服務供應商身份碼安全地頒發給中繼節點 102。中繼節點102可接收從服務供應商的OAM&P系統112 頒發的新的認證和金鑰協定（AKA)身份碼（412)。例如，新的認證和金鑰協定（AKA )身份碼可從服務供應商的 OAM&P系統112頒發並被儲存在中繼節點1()2的信任環境（TrE) 401中以用於中繼節點102的後續認證和金输協 20 201218790 定（AKA)通訊。新的認證和金鑰協定（aka)身份碼可由服務供應商的OAM&P系統11 2的中繼節點管理祠服器 (RN-MS ) 413使用與儲存在信任環境（τγε ) 40 1中的供應商身份碼或服務供應商身份碼（若被頒發）相關聯的私岔金錄/公用金錄對來安全地頒發。舉例而言（但並非限制）’新的認證和金錄協定（ΑΚΑ )身份碼可包括新的國際移動用戶識別（IMSI )及/或加密金餘以及認證和金餘協疋（AKA ) ’肩算法定製參數。例如，加密金鑰以及aka 演算法定製參數可遵循MILENAGE演算法，其中AKA定製參數包括服務供應商特定演算法配置棚位（例如，〇p 欄位）’且加密金鑰（例如，〇pc )是從該服務供應商特定演算法配置欄位推導出的。服務供應商的OAM&p系統1 i 2 亦用與中繼節點102相關聯的新的認證和訂閱資訊來更新 (414)歸屬用戶伺服器（HSS) 407。現在參照圖4B，服務供應商的〇am&P系統112亦可管理（4 1 6 )中繼節點1 〇2以將中繼節點丨〇2配置成在通訊網路中用作在存取終端與網路實體（例如，存取節點、其他中繼節點）之間傳達訊務的中繼設備。任何一般的管理協定可被用於配置中繼節點1〇2，諸如TR-069或現有的 OAM&P協定。在中繼節點102已接收到新的認證和金錄協定（aka ) 身份碼之後且在作為全效中繼設備在網路中操作之前，中繼節點102重新附接至網路並使用儲存在中繼節點1〇2的 k任環境（TrE) 401中的新的認證和金鑰協定（AKA)身 21 201218790 伤碼被重新認證（41 8 )。例如，行動性管理實體（mme ) 110可從歸屬用戶伺服器（Hss) 4〇7獲得（42〇)該中繼節點的新的訂閱和認證資訊。使用從歸屬用戶伺服器 (HSS) 407獲得的訂閱和認證資訊，行動性管理實體 (MME ) 11 0和中繼節點1 〇2可通訊以認證中繼節點i 〇2。例如’行動性管理實體（MME) 11〇可獲得與中繼節點102 的新識別（例如，IMSI )相關聯的新共享秘密，並且可採用認證演算法來驗證中繼節點1 〇2。在中繼節點1 02使用新的認證和金鑰協定（AKA )身份碼被認證之後，行動性管理實體（MME ) 110可授權（422) 中繼卽點1 02成為全效中繼設備。亦即，中繼節點1 〇2可被授權存取用於向及/或從一或多個存取終端傳達訊務所必需的任何存取點名稱（APNs )。使用初始AKA身份碼進行重新認證的中繼節點的第二示例性初始配置和授權圖5 (包括圖5 a和圖5B )是圖示使用初始安全性身份碼連同新的安全性身份碼一起進行重新認證的中繼節點的初始配置和授權的至少一個實例的流程圖。在圖5的實例中，出於說明目的圖示中繼節點102，存取節點j〇6，行動性管理實體110以及操作、管理、維護及供應 (OAM&P )系統ι12。包括存取節點1〇6是為了圖示中繼節點102與各個網路實體之間的通訊是經由存取節點來促進的。在圖5的實例中，中繼節點102採用通用積體電路卡 22 201218790 4 (UICC) 502和信任環境（TrE) 5〇4兩者。初始參照圖 • 5A，UICC 502可包括通用用戶識別模組（USIM)應用，並且可包括其中安全地供應的初始安全性身份碼。例如， UICC 5 02可包括初始安全性身份碼，該等初始安全性身份碼包括其中安全地供應的初始認證和金鑰協定（AKA)身份碼506。此外，中繼節點1〇2可包括安全地供應並保持在中繼節點102的信任環境（TrE)5〇4中的供應商身份碼。中繼Ip點1 02可附接（或無線地連接）到行動性管理實體（MME) 11〇並使用儲存在mcc 5〇2中的初始認證和金鑰協定身份碼被認證（5丨〇 )。為了認證中繼節點i 〇2，行動性管理實體（MME ) 11 〇可從歸屬用戶伺服器（HS s ) 514獲得中繼節點訂閱和認證資訊（512)。使用從歸屬用戶伺服器（HSS) 514獲得的訂閱和認證資訊，行動性管理實體（MME ) 11 〇和中繼節點j 〇2可通訊以認證中繼節點102。例如’行動性管理實體（mme ) 110可獲得與中繼節點102的識別（例如’ iMSI)相關聯的共享秘密，並且可採用認證演算法來驗證中繼節點1 〇2。在行動性管理實體（MME ) 11 〇認證中繼節點1 〇2之後，在步驟516，行動性管理實體（MME) 110可授權中繼節點1 〇2有限地存取網路。例如，行動性管理實體（mmE ) 11〇可授權中繼節點102存取有限的存取點名稱（APNs )，諸如存取服務供應商的OAM&P系統112。在至少一些實施中’有限存取可由從歸屬用戶伺服器（HSS) 514獲得的訂閱設定檔來定義。亦即，歸屬用戶伺服器（HSS ) 514 23 201218790 可提供與令繼節點識別（例如，職）相關聯的訂閲設定檔其中該訂閱設定棺指示中繼節點1〇2被授權存取有限數量的實體（例如，有限數量的存取點名稱（APNs))e 服務供應商的QAM&P系統112可向中繼節點ι〇2頒發服務供應商身料518 (例如，服務供應商憑證、共享金输）。服務供應商身份碼可由服務供應商的〇AM&p系統 112的憑證授權機構（CA)52〇頒發。在所圖示的實施中，服務供應商身份碼可被儲存在巾繼節點的信任環境 (TrE) 504中。可使用保持在十繼節點ι〇2的信任環境 (TrE ) 504中的供應商身份碼（例如，私密金鑰和公用金錄對）將服務供應商身份碼安全地頒發給中繼節點1〇2。在圖5的實施中，沒有新的認證和金鑰協定（AKA)身份碼被發送給中繼節點1〇2。替代地，服務供應商的 OAM&P系統112可與歸屬用戶词服器（hss) 514通訊以更新（522 )中繼節點的訂閲設定檔。更新中繼節點102 的訂閱設定檔可包括定義中繼節.點1G2被授權存取的額外網路實體（例如，存取點名稱（ApNs ))。此類網路實體可已括用於執行向及/或從一或多個存取終端傳達訊務的中繼設備的功能所必需的彼等實體。在所示的實例中，服務供應商〇AM&P系統112的中繼節點管理词服器（RN-MS ) 524可包括用於與歸屬用戶飼服器（Hss) $ 14通訊以更新中繼節點102的訂閱設定檔的實體。現在參照圖5B ’服務供應商的OAM&P系統112亦可管理（526 )中繼節點1 〇2以將中繼節點1 02配置成在通訊 24 201218790 b，存取節點、其。任何一般的管理 TR-069或現有的網路中用作在存取終端與網路實體（例如他中繼節點）之間傳達訊務的中繼設備。協定可被用於配置中繼節點1〇2，諸如Ί OAM&P協定。在中繼節點102已接收到服務供應商身份碼之後且在作為全效中繼設備在網路中操作之前，中繼節點1〇2重新附接至網路並使用儲存在中繼節點1〇2的UICC 5〇2中的初始認證和金鑰協定（AKA )身份碼連同儲存在信任環境 (TrE ) 5 04中的設備身份碼（例如，服務供應商身份碼）一起被重新認證（528 )。為了認證中繼節點丨〇2，行動性管理實體（MME) 110可從歸屬用戶伺服器（HSS) 514 獲得中繼節點的新的訂閱和認證資訊（ 530 )。如先前所述’新的訂閱和認證資訊可指示初始中繼節點識別（例如，IMSI )被允許存取哪些網路實體。使用從歸屬用戶伺服器（HSS) 514獲得的新的訂閱和認證資訊，行動性管理實體（MME ) 11 〇和中繼節點ί 〇2可通訊以認證中繼節點102。例如，行動性管理實體（MME ) 11 0可獲得與中繼節點102的識別（例如，imSI )相關聯的共享秘密，並且可採用認證演算法來驗證中繼節點1〇2。在中繼節點102使用與中繼節點識別相關聯的新的訂閱和認證資訊被認證之後，行動性管理實體（MME ) 11 〇可授權（532)中繼節點1〇2成為全效中繼設備。亦即，中繼節點102可被授權存取用於向及/或從一或多個存取終端傳達訊務所必需的任何存取點名稱（APNs )。 25 201218790 示例性中繼節點個實施例的中繼節點600的選擇 600通吊包括耦合至無線通訊介圖6是圖示根據至少一組件的方塊圖。中繼節點面604的處理電路6〇2。處理電路602被安排成獲得、處理及/或發送資料、控制資料存取和儲存、發佈命令以及控制其他期望㈣^ 少-個實施例中，處理電路6〇2可包括被配置成實施由合適的媒體提供的期望程式設計的電路系統。例如，處理電路602可被實施為處理器、控制器、複數個處理器及/或被配置成執行包括例如軟體及/或韌體指令的可執行指令的其他結構及/或硬體電路系統中的一或多者。處理電路6〇2 的實施例可包括被設計成執行本文中所描述的功能的通用處理器、數位k號處理器（DSp )、特殊應用積體電路 (ASIC)、現場可程式閘陣列（FpGA)或其他可程式邏輯組件、個別閘門或電晶體邏輯、個別的硬體組件或其任何組合。通用處理器可以是微處理器，但在替代方案中，處理器可以是任何一般的處理器、控制器、微控制器或狀態機。處理器亦可以實施為計算組件的組合，諸如DSp與微處理器的組合、數個微處理器、與DSP核心協調的一或多個微處理器或任何其他此類配置。處理電路602的該等實例是為了說明目的’並且本案範疇内的其他合適的配置亦被預期。處理電路602包括認證及重新認證模組603。認證及重新認證模組603可包括被適配成使用初始安全性身份碼來 26 201218790 執行認證程序，且被適配成使用新的安全性身份碼來執行重新認證程序的電路系統及/或程式設計。通訊介面604被配置成促進中繼節點6〇〇的無線通訊。例如，通訊介面604可被配置成關於諸如存取終端、存取點、其他中繼節點等其他無線設備雙向地傳達資訊。通訊介面604可耦合至天線（未圖示）並且可包括無線收發機電路系統’該無線收發機電路系統包括用於無線通訊的至少一個發射機及/或至少一個接收機（例如，—或多個發射機/接收機鏈）。在一些實施例中，中繼節點6〇〇可包括信任環境（TrE) 6〇6。信任環境606可被適配成滿足Ts 33 32〇處的規範詳情中對信任環境的規範任環境_可以被預先供應（或被安全地嵌入）初始安全性身份碼中的至少一些。例如，信任環境606中可儲存有供應商身份碼及/或初始認證和金鑰協定（AKA )身份碼。在一些實施例中’中繼節點600可包括安全的處理器 608，其被預先供應有初始安全性身份碼，諸如初始認證和金鎗協疋（AKA )身份碼。安全的處理器6〇8可包括智慧卡，諸如通用積體電路卡（UICC)，及/或可包括通用用戶識別模組（USIM )應用。根據中繼節點600的一或多個特徵，處理電路6〇2可被適配成執行與上文參照圖丨―圖5描述的各種中繼節點（例如，中繼節點102 )有關的任何或所有過程、功能、步驟及/或常式。如本文中所使用的，與處理電路6〇2相關的術 27 201218790 居「被適配」可以代表處理電路602被配置、採用、實施或程式設計中的一或多者以執行根據本文描述的各種特徵的特定過程、功能、步驟及/或常式。圖7是圖示可在中繼節點（諸如中繼節點6〇0 )中操作的方法的至少一種實施的實例的流程圖。參照圖6和圖7 兩者，在步驟702，中繼節點600可啟動與網路實體的通说。例如’處理電路602可使用通訊介面604無線地附接到網路實體（例如，行動性管理實體（MME ))。在中繼節點600初始附接到網路實體時’中繼節點6〇〇對於該網路實體可看似使用者設備（例如，存取終端或客戶端設備）。在步驟704，中繼節點可使用其初始安全性身份碼向網路實體無線地認證。例如，處理電路6〇2可經由通訊介面 6〇4向該網路實體認證該中繼節點。在至少一種實施中，認證及重新認證模組6〇3可使用儲存在中繼節點6〇〇處的初始安全性身份碼來執行認證程序。認證及重新認證模組 6 0 3可採用任何一般的認證方案，諸如語問回應認證。在些實施中，認證及重新認證模組6〇3所採用的初始安全性身份碼可包括初始認證和金鑰協定（AKA )身份碼及/ 或供應商身份碼（例如，供應商憑證）。初始認證和金鑰協定（AKA )身份碼可被儲存在中繼節點6〇〇的信任環境 (TrE) 606或安全的處理器608上。供應商身份碼可被儲存在信任環境（TrE) 606中。初始認證和金鑰協定（AKA )身份碼可包括初始中繼節點識別（例如，IMSI)及/或與初始中繼節點識別相關聯的 28 201218790 初始共享秘密。在無線認證時，訊網路中的訂閲設定檔相關聯， 600授權用於初始配置的有限目初始中繼節點識別可與通該訂閱設定檔向中繼節點的的網路存取。在步驟706 ’中繼節點600接收用於出與通訊網路無線地通訊的授權。例如，處由於有限配置目的理電路602可經通訊介面604接收用於與通訊網路的有限部分無線地通訊以獲得新的安全性身份碼以及在_ 資料的授權。該授權可將中繼節點6〇〇些實施中獲得配置限制為僅存取中繼設備的配置和管理中所涉及的網路實體。在—些實施卜中繼節點600的網路存取可藉由限制中繼節點_被允許與之通訊的存取點名稱（APNs)來限制。繼用於存取通訊網路的授權之後，在步驟谓，中繼節點600接收新的安全性身份碼。例如，處理電路_可經由通訊介面604從網路的管理和配置實體（諸如服務供應商的OAM&P系統）接收新的安全性身份碼。在一些實施中處理電路602可接收新的認證和金输協定（)身份碼，諸如新的中繼節點識別（例如，新的msi)以及與新的中繼節點識別相關聯的新的共享秘密。在一些實施中，處理電路602可接收服務供應商身份碼，諸如服務供應商J戍及/或新的共享金錄。新的安全性身份碼可被處理電路=02儲存在信任環境（加）6()6中。在—些實施中，中繼#點6GG可保留相同的初始中繼節點識別（IMSI)，但初始中繼即點識別可與新的訂閲設定播相關聯，該新的訂閱設定標為t繼節點6⑼授權作為在一或多個存取終端 29 201218790 和通訊網路之間傳達網路訊務的中繼設備來操作的任何必需的網路存取。根據至少一些實施，中繼節點600除新的安全性身份碼外亦可接收配置資料。例如，處理電路6〇2可接收配置資訊，該配置資訊被適配成使得中繼節點600作為通訊網路内的中繼設備來操作。亦即，中繼節點600可獲得恰當的配置資訊以使得其在通訊網路内的存取終端與網路實體 (例如，存取節點及/或其他中繼節點）之間傳達網路訊務。在中繼節點600接收和實施新的安全性身份碼以及任何配置資料（若接收到）之後，在作為通訊網路中的中繼設備來操作之前，在步驟710,中繼節點6〇〇可使用該新的安全性身份瑪向網路實體重新認證。例如，處理電路6〇2 可經由通訊介面604重新連接到網路實體，並且可使用新的安全性身份碼向該網路實體重新認證。在至少一些實施中，認證及重新認證模組603可從信任環境（TrE) 6〇6獲得新的安全性身份碼，並且可使用新的安全性身份碼來採用任何一般的認證方案，諸如詰問-回應認證演算法。在中繼節點600重新附接到網路實體以進行重新認證時，中繼節點600對於該網路實體可看似中繼設備。示例性網路實體圖8是圖示根據至少一個實施例的網路實體8〇〇的選擇組件的方塊圖。網路實體800可包括耦合至通訊介面8〇4 的處理電路802。處理電路8〇2被安排成獲得、處理及/或發送資料、控制 201218790 資料存取和儲存、發佈命令以及控制其他期望操作。在至少-個實施例中，處理電路802可包括被配置成實施由合適的媒體提供的期望程式設計的電路系統。例如，處理電路802可被實施為處理器、控制器 '複數個處理器及/或被配置成執行包括例如軟體及/或韌體指令的可執行指令的其他結構及/或硬體電路系統中的一或多者。處理電路8〇2 的實施例可包括被設計成執行本文中所描述的功能的通用處理器、數位信號處理器（DSP)、特殊應用積體電路 (ASIC )、現場可程式閘陣列（FPGA)或其他可程式邏輯組件、個別閘門或電晶體邏輯、個別的硬體組件或其任何組合。通用處理器可以是微處理器，但在替代方案中，處理器可以是任何一般的處理器、控制器、微控制器或狀態機。處理器亦可以實施為計算組件的組合，諸如Dsp與微處理器的組合、數個微處理器、與DSP核心協調的一或多個微處理器或任何其他此類配置。處理電路802的該等實例是為了說明目的，並且本案範疇内的其他合適的配置亦被預期。處理電路802包括認證及重新認證模組806❶認證及重新認證模組806可包括被適配成使用初始安全性身份碼來執行用於認證中繼節點的認證程序，且被適配成使用新的安全性身份碼來執行用於後續認證中繼節點的重新認證程序的電路系統及/或程式設計。通訊介面804被配置成促進網路實體800的通訊，以直接或間接（例如，經由一或多個其他網路實體）與中繼節 31 201218790 點通訊。根據網路實體800的一或多個特徵，處理電路8〇2可被適配成執行與上文參照圖1 -圖5描述的各種網路實體（例如，行動性管理實體（MME) 110、〇AM&p U2)有關的任何或所有過程、功能、步驟及/或常式。此外，網路實體 800可包括單個實體，或該網路的兩個或兩個以上實體的組合。舉例而言（但並非限制），網路實體8〇〇可包括行動性管理實體（MME )、服務供應商的操作、管理、維護及供應（OAM&P)系統（例如，中繼節點管理系統（RN MS) 及/或憑證授權機構（CA))、及/或歸屬用戶祠服器（hss)。如本文中所使用的，與處理電路802相關的術語「被適配」可以代表處理電路802被配置、採用、實施或程式設計中的一或多者以執行根據本文描述的各種特徵的特定過程、功能、步驟及/或常式。圖9是圖示可在網路實體（諸如網路實體800)中操作的方法的至少一種實施的實例的流程圖。參照圖8和圖9 兩者’在步驟902，網路實體可使用與中繼節點相關聯的初始安全性身份碼來認證該中繼節點。例如，處理電路8〇2 可經由通訊介面8〇4與中繼節點通訊以認證該中繼節點。根據至少一些實施，認證及重新認證模組806可使用中繼節點的初始安全性身份碼採用任何一般的認證方案（諸如詰問-回應認證演算法）來認證中繼節點。在中繼節點被網路實體800認證時，中繼節點對於網路實體8〇〇可看似使用者設備（例如，存取終端）。 32 201218790 在一些實施中’初始安全性身份碼可包括初始認證和金鑰協定（AKA )身份碼及/或供應商身份碼（例如，供應商憑證）。初始認證和金鑰協定（AKA )身份碼可包括初始中繼節點識別以及與初始中繼節點識別相關聯的初始共享秘密。在步驟904，網路實體800可授權中繼節點出於配置中繼節點的有限目的與通訊網路無線地通訊。例如，處理電路802可基於初始中繼節點識別決定該中繼節點被授權有限網路存取。在一些實施中，認證及重新認證模組8〇6可在認證期間獲得與初始中繼節點識別相關聯的訂閱設定檔，其中該訂閱設定播指示中繼節點被授權出於配置該中繼節點的有限目的而存取通訊網路。處理電路8〇2可被適配成藉由限制中繼節點被允許與之通訊的存取點名稱 (APNs )來限制中繼節點的網路存取。根據至乂些實施，網路實體800可授權中繼節點出於獲得新的φ全性身❾碼和酉己置資料的彳限目料行通訊。亦即，處理電路802可被適配成授權中繼節點與通訊網路通訊以使中繼節點獲得新的安全性身份碼和配置資料，同時限财繼節點出於其他目的進行無線通訊。繼中繼節點的認證和授權之後，且在中繼節點已從通訊網路獲得新的安全性身份碼和配置資料之後，在步驟 906網路實體_使用與中繼節點相關聯的新的安全性身伤碼重新忑證該中繼節點。例如，處理電路，可使用新的安全性身份碼來重新認證該中繼節點。在至少一些實 33 201218790 施中’認證及重新認證模組806可使用新的安全性身份碼採用一般的認證方案（諸如詰問-回應認證演算法）來認證使用其新的安全性身份碼的中繼節點。在網路實體重新認證中繼節點時，中繼節點對於網路實體800可看似中繼設備。中繼節點對於使用該中繼節點向通訊網路中繼通訊的用戶或客戶端終端可看似網路設備。在至少一些實施中，新的安全性身份碼可包括新的認證和金鑰協定（AKA)身份碼，諸如新的中繼節點識別（例如，新的IMSI)以及與新的中繼節點識別相關聯的新的共享秘密。在此類實施中，認證及重新認證模組8〇6可在重新認證程序期間獲得與新的中繼節點識別相關聯的訂閱設定檔，其中該訂閲設定檔向中繼節點授權用於作為在一或多個存取終端與通訊網路之間傳達訊務的中繼設備來操作的網路存取。在至二實施中，s忍證及重新認證模組8 〇 6可使用新的安全性身份碼和初始安全性身&碼兩纟來重新認證中

繼節點。在此類f拍；φ，A I施中新的女全性身份碼可包括服務供應商身份碼，諸如服務供應商憑證及/或新的共享金錄。結合新的*全性身份碼採用的初始安全性身份碼可包括初始中繼即點識W ( IMS。，但初始中繼節點識別可與新的灯閲設定權相關聯’該新的訂閱設定播為中繼節點授權作為在一或多個存取終端和通訊網路之間傳達網路訊務的中繼設備來操作的任何必需的網路存取。在此類實施中， °" ^新模組806可在重新認證程序期間獲得與初 34 201218790 始中繼節點識別相關聯的新的訂閲設定檔β 回應於成功地重新認證中繼節點，網路實體8⑼可在步驟90 8授權該中繼節點作為通訊網路中的中繼設備來操作例如處理電路8〇2可基於成功的重新認證而授權中繼節點作為在一或多個存取終端和通訊網路之間傳達訊務的中繼設備來操作。圖圖2 圖、圖4、圖、圖0、圖7、圖8、圖9 及7或圖1〇中圖示的組件、步驟、特徵及/或功能中的一或多個可以被重新安排及/或組合成單個組件、步驟 '特徵或功能’或可以實施在若干個组件、步驟或功能中。亦可添加額外的元件 '組件、步驟及/或功能而不會脫離本案。在圖1、圖6及/或圖8中圖+沾姑、凡圃S Τ圖不的裝置、設備及/或組件可被配置成執行在圖2、圖3、HI 4、me r-1 ^ 圖4圖5、圖7及/或圖9中描述的方法、特徵或步驟中的-或多冑。本文中描述的新賴演异法亦可以在軟體中高效地實施及/或嵌入硬體中。另外冑庄意至少一些實施是作為被圖示為流程圖、流圖、結構圖或方塊圖的過程來描述的。儘管流程圖會把諸操作描述為順序過程，但是該等操作巾㈣彡可以並K 同時執行。另夕卜，該等操作的次序可以被重新安排。過程在其操作完成時終止。過程可對應於方法、函數、程序、子常式、子程式等。當過程對應於函數時，其終止對應於該函數返回到調用方函數或主函數。此外’各實施例可由硬體、數辨田硬體軟體、細體、中介軟體、微碼或其任何組合來實施。當在軟髒田社歡體、韌體、中介軟體或微 35 201218790 碼中實施時，热仏、，Λ , 羽*订必要任務的程式碼或程式碼區段可被儲存在諸如儲存媒冑或其他儲#器之類的冑器可讀取媒體中處理器可以執行該等必要的任務。程式碼區段可以代表程序@數、子程式、程式、常式、子常式、模組、套裝軟體冑體組件，或是指令、資料結構或程式語句的任何組合。藉由傳遞及/或接收資訊、資料、引數、參數或記隐體内谷程式碼區段可被耦合到另一程式碼區段或硬體電路-貝訊、引數、參數、資料等可以經由包括記憶體共享、訊息傳遞、符記傳遞、網路傳輸等任何合適的手段被傳遞、轉發或傳輸。術語「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可磧取媒體」彳包括，但不限於’可攜式或固定的儲存設備次、光學儲存設備，以及能夠儲存、包含或攜帶指令及或-貝料的各種其他非暫態媒體。因此，本文中描述的各種方法可部分或全部地由可儲存在「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒體」中並由一或多個處理器、機器及/或設備執行的指令及/或資料來實施。結合本文中揭示的實例描述的方法或演算法可直接在硬體中、在由處理ϋ執行的軟體模組中或在該兩者的組合中’以處理單it、程式指令或其他指示的形式實施，並且可包含在單個設備中或跨多個設備分佈。軟體模組可常駐在RAM記憶體、快閃記憶體' R〇M記憶體、EpR〇M記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟: 36 201218790 cd-ROM，或本領域令所知的任何其他形式的非暫態倚存媒體中。儲存媒體可耦合到處理器以使得該處理器能從/ 向該儲存媒體讀寫資訊。在替代方案中，儲存媒體可以被整合到處理器。本領域技藝人士將可進一步瞭解，結合本文中揭示的實施例描述的各種說明性邏輯區塊、模組、電路和演算法步驟可被實施為電子硬體、電腦軟體或其組合。為清楚地說明硬體與軟體的此可互換性，各種說明性組件、方塊、模組、電路和步驟在上面是以其功能性的形式作一般化描述的。此類功能性是被實施為硬體還是軟體取決於特定應用和施加於整體系統的設計約束。本文中所描述的本發明的各種特徵可實施於不同系統中而不脫離本發明。應注意，以上實施例僅是實例，且並不被解釋成限定本發明。該等實施例的描述意欲是說明性的而並非意欲限定本案的範嘴。由此，本發明的教示可以容易地應用於其他類型的裝置，並且許多替代、修改和變化對於本領域技藝人士將是顯而易見的。【圖式簡單說明】圖1是圖示採用一或多個中繼節點且被適配成促進在中繼節點被初始部署時對該中繼節點進行無線配置和授權的無線通訊系統的方塊圖。圖2是圖示用於初始配置和授權中繼節點的至少一種實 37 201218790 施的實例的流程圖。圖3 (包括圖3A和圖3B )是圖示使用新的安全性身份碼進行重新認證的中繼節點的初始配置和授權的至少一個實例的流程圖。圖4(包括圖4A和圖4B)是圖示使用新的安全性身份碼進行重新認證的中繼節點的初始配置和授權的至少一個實例的流程圖。圖5 (包括® 5A和® 5B )是圖示使用初始安全性身份碼連同新的安王性身份碼—起進行重新認證的中繼節點的初始配置和授權的至少—個實例的流程圖。圖6疋圖不根據至少〜個實施例的中繼節點的選擇組件的方塊圖。圖7是圖示可在中繼節點中操作的方法的至少一種實施的實例的流程圖。圖8是圖示根據至少一個實施例的網路實體8〇〇的選擇組件的方塊圖。圖9是圖示可在網路實體中操作的方法的至少一種實施的實例的流程圖。圖_ 10圖示初始安全性身份碼可如何被用來產生可在血型的無線通訊網路内實施的金鑰階層的實例。【主要元件符號說明】 102 中繼節點 38 201218790 104 106 108 110 112 114 202 204 206 208 210 212 214 302 304 306 308 310 3 12 314 316 318 320 322 存取終端存取節點網路行動性管理實體（MME ) 操作、管理、維護及供應（OAM&P )系統服務和PDN閘道（SGW/PGW) 安全性身份碼步驟步驟步驟步驟步驟步驟通用積體電路卡（UICC) 信任環境（TrE ) 初始認證和金鑰協定（AKA )身份碼供應商身份碼步驟步驟歸屬用戶伺服器（HSS) 步驟步驟憑證授權機構（CA) 步驟 39 201218790 324 Λ 326 « 328 330 332 334 401 402 404 406 407 408 410 411 412 413 414 416 418 420 422 * 502 504 506 中繼節點管理伺服器（RN-MS ) 步驟步驟步驟步驟步驟信任環境（TrE ) 供應商身份碼步驟步驟歸屬用戶伺服器（HSS) 步驟步驟憑證授權機構（CA) 步驟中繼節點管理伺服器（RN-MS ) 步驟步驟步驟步驟步驟通用積體電路卡（UICC) 信任環境（TrE ) 初始認證和金鑰協定（AKA )身份碼 40 201218790 508 供應商身份碼 510 步驟 512 步驟 514 歸屬用戶伺服器（HSS) 516 步驟 518 步驟 520 憑證授權機構（CA) 522 步驟 524 中繼節點管理伺服器（RN-MS 526 步驟 528 步驟 530 步驟 532 步驟 600 中繼節點 602 處理電路 604 無線通訊介面 606 信任環境（TrE ) 608 安全的處理器 610 認證/重新認證模組 702 步驟 704 步驟 706 步驟 708 步驟 710 步驟 41 201218790 800 網路實體 802 處理電路 8 04 通訊介面 806 認證及重新認證模組 902 步驟 904 步驟 906 步驟 908 步驟 1000 金鑰階層

1002 主金鑰K 1004 加密金鑰（CK) 1006 完整性金鑰（IK) 1008 K_ASME 1010 NAS (非存取階層）金鑰 1012 NAS (非存取階層）金鑰 1014 AS (存取階層）金鑰 1016 AS (存取階層）金鑰 1018 AS (存取階層）金鑰 1020 AS (存取階層）金鑰 42

Claims

201218790 . 七、申請專利範圍： . 1. 一種中繼節點，包括：一無線通訊介面，·及一耦合到該無線通訊介面的處理電路，該處理電路適配成：使用初始安全性身份碼經由該無線通訊介面向—網路實體認證該中繼節點；回應於使用該等初始安全性身份碼的該無線認證，接收用於出於配置該中繼節點的一有限目的與一通訊網路無線地通訊的授權；經由該無線通訊介面接收新的安全性身份碼；及在作為該通訊網路中的一中繼設備來操作之前，使用該等新的安全性身份碼向該網路實體重新認證該中繼節 2·如請求項！之中繼節點，其中該等新的安全性身份崎新的中繼節點識別以及與該新的中繼節點識別相 «的—_共“'密；並且該處理電路進—步適配成：通訊網路中的一中繼設備來操作之前，使用該新的：知點識別以及與該新的中繼節點識別相關聯的該享秘密向該網路實體重新認證該中繼節點。繼節點識別與 3.如請求項2之中繼節點，其中該新的中 43 201218790 -訂閱叹定檔相關聯，該訂閱設定檔向該中繼節點於作為在-或多個存取終端和該通用的-中繼設備來操作的網路存取。傳達訊務成：月求項1之中繼節點，其中該處理電路進步適配使用該等新的安全性身份碼以及該等初始安全性身份碼向該網路實體重新認證該中繼節點。 1.括求項1之中繼節點，其中該等新的安全性身份碼 l括服務供應商身份碼中的至少—個或—共享金输。 6·如請求項1之中繼節點，其中該等初始安全性身份碟包括1始t繼節點識別以及與該初始中繼節點識別相關聯的一初始共享秘密。 7，如請求項6之中繼節點，其中： ^向該網路實體認證時，該初始中繼節點識別與-訂閱疋檔相關聯’該訂閲设定檔向該中繼節點授權用於配置中繼節點的一有限目的的網路存取；及在向該網路實體重新認證時，該初財繼節點識別與一的訂閱設定槽相關聯’該新的訂閱設㈣向該中繼節點; 權用於作為在-或多個存取終端和該通訊網路之間傳; 訊務的一中繼設備來操作的網路存取。 44 201218790 8·如請求項丨之中繼節點，進— 晚Μ 一 h / 7 I括耦合到該處理電路的t任環境，其中該處理電路進—步適配成：將該等新的安全性身份碼儲存在該信任環境中。 9.如請求項8之中繼節點，其中該等初始安全性身份碼中的至少—些被儲存在該信任環境中。 10.如-月求項丨之中繼節點’進一步包括耦合到該處理電路的一安全的處理器’纟中該等初始安全性身份碼中的至少一些被儲存在該安全的處理器中。 11·如請求項1之中繼節點，其中該處理電路進一步適配成：經由該無線通訊介面接收用於將該中繼節點配置成該通訊網路中的一中繼設備的配置資料，該配置資料是在向該網路實體重新認證之前接收的。 12·如請求項1之中繼節點，其中：在用初始安全性參數向該網路實體認證時，該中繼節點對於該網路實體看似一使用者設備；及在用新的安全性參數向該網路實體重新認證時，該中繼節點看似一中繼設備。 45 201218790 • 丨3. 一種在一中繼節點上操作的方法，包括以下步驟： • 使用初始安全性身份碼向一網路實體無線地認證該中繼節點；回應於使用該等初始安全性身份碼的該無線認證，接收用於出於配置該中繼節點的一有限目的與一通訊網路無線地通訊的授權；接收新的安全性身份碼；及在實現成作為該通訊網路中的—中繼設備來操作之前，使用該等新的女全性身份碼向該網路實體重新認證該中繼節點。 14.如請求項13之方法，其中：接收該等新的安全性身份碼的步驟包括以下步驟：接收一新的中繼節點識別以及與該新的中繼節點識別相關聯的一新的共享秘密；及使用該等新的安全性身份碼向該網路實體重新認證的驟包括以下步驟：使用該新的中繼節點識別以及與該新中繼節點識別相關聯的新的共予秘密向該網路實體新認證。 — 六τ场研的甲繼節點識別與閱SX疋棺相關聯，該 T閲认疋檔向該中繼節點授權用為在一或多個存取^故 * I料之㈣達訊務中繼&備來操作的網路存取。 46 201218790 16. 如請求項13之方法，其中使用該等新的安全性身份碼向該網路實體重新認證的步驟進一步包括以下步驟：使用該等新的安全性身份碼以及該等初始安全性身份碼向該網路實體重新認證。 17. 如請求項16之方法，進—步包括以下步驟：使用一初始中繼節點識別以及與該初始中繼節點識別相關聯的一初始共享秘密向該網路實體無線地認證，其中在向該網路實體無線認證時，該初始中繼節點識別與一訂閱設定檔相關聯，該訂閱設定檔向該中繼節點授權用於配置該中繼節點的一有限目的的網路存取；及使用該初始中繼節點識別以及與該初始中繼節點識別相關聯的該初始共享秘密向該網路實體重新認證其中在向該網路實體重新認證時，該初始中繼節點識別與一新的訂閲設定檔相關聯，該新的訂閲設定檔向該中繼節點授權用於作為在一或多個存取終端和該通訊網路之間傳達網路訊務的一中繼設備來操作的網路存取。 18. 如請求項13之方法，其中接收該等新的安全性身份碼的步驟包括以下步驟：接收服務供應商身份碼中的至少一個或一共享金鑰。 19. 如明求項13之方法，進一步包括以下步驟： 47 201218790 . 在使用該等初始安全性身份碼向該網路實體無線地認證時，對於該網路實體看似一使用者設備；及攀在使用該等新的安全性身份碼向該網路實體重新認證時，對於該網路實體看似一中繼設備。 20.如請求項13之方法，進一步包括以下步戰接收用於將該中繼節點配置成該通訊網路中的一中繼設備的配置資料’該配置資料是在向該網路實體重新認證之前接收的。 21. —種中繼節點，包括：一網路實體無線地認證的用於使用初始安全性身份碼向構件；該無線認證，接的與一通訊網路用於回應於使用該等初始安全性身份碼的收用於出於配置該中繼節點的一有限目無線地通訊的授權的構件；用於接收新的安全性身份碼的構件；及用於在實現成作為該通訊網路中& .〒的一中繼設備來操作之前’使用該等新的安全性身構身伤碼向該網路實體重新認證的 22. 裡包括在一中繼節點卜 “ 操作的指令的處理器可讀·Β 媒體，該等指令在由—處理器^ …理器了”“ 祛田、 ⑥器執行時使該處理器：使用初始安全性身份碼向一力路實體無線地認證該中翔 48 201218790 卽點；回應於使用該等初始安全性身份碼的該無線認證，接收用於出於配置該中繼節點的_有限目的與一通訊網路無線地通訊的授權；接收新的安全性身份碼；及在實現成作為該通訊網路中的—中繼設備來操作之前，使用該等新的安全性身份碼向該網路實體重新認證該中繼節點。 23. —種網路實體，包括：一通訊介面；及一耦合到該通訊介面的處理電路，該處理電路適配成：使用與一中繼節點相關聯的初始安全性身份碼來認證該中繼節點；在使用該等初始安全性身份碼成功認證該中繼節點之後’授權該中繼筇點出於配置該中繼節點的一有限目的與一通訊網路無線地通訊；使用新的安全性身份碼重新認證該中繼節點；及在成功地重新認證該中繼節點之後’授權該中繼節點作為該通訊網路中的一中繼設備來操作。 24. 如請求項23之網路實體’其中該處理電路被適配成授權該中繼節點出於獲得新的安全性身份碼和配置資料的一有限目的與該通訊網路無線地通訊。 49 201218790 其中該等新的安全性身份碼 25_如請求項23之網路實體，中繼節點識別相包括一新的中繼節點識別以及與該新的關聯的一新的共享秘密。 26.如請求項25之網路實體，其中該處理電路進_步適配成· 在重新認證該中繼節點時獲得盥 τ设付兴这新的中繼節點識別相關聯的一訂閱設定檔，其巾# 六丫忑可閲6又疋檔向該中繼節點授權用於作為在一或多個押泡崎_ *山^ 人夕1固仔取終螭和該通訊網路之間傳達訊務的一中繼設備來操作的網路存取。 27·如請求項23之網路實體’其中該等新的安全性身份碼包括服務供應商身份碼中的至少一個或—共享金输。 28·如請求項«V Ann a >谓23之網路實體使用該專新的容& & 6 〜女全性身份碼重新認證該中繼節點。 ’其中該處理電路被適配成：以及該等初始安全性身份碼 29.如請求項勹、之，同路實體，其中該等初始安全性身份碼、。中繼節點識別以及與該初始中繼節點識別相關聯的一初始共享秘密。 3〇·如請求”之網路實體，其中該處理電路進—步適配 50 201218790 成：獲得與用於使用該等初始安全性身份碼認證該中繼節點的該初始中繼節點識別相關聯的一訂閱設定檔，其中該訂閱設定檔為該中繼節點授權用於配置該中繼節點的一有限目的的網路存取；獲得與用⑤使用肖等新的安全性身料重新認證該中繼節點的該初始中繼節點識別相關聯的一新的訂閱設定檔，其中該新的訂閱設定槽為該中繼節點授權充分的網路存取以使得該巾繼節點作為在—或多個存取終端和該通訊網路之間傳達訊務的一中繼設備來操作。 31.如咐求項23之網路實體，其中該中繼節點在使用該等初始安全&身份碼被認證時看似—使用者設備，而該中繼節點在使用該等新的安全性身份碼重新認證時看似一中繼設備。 32·如請求jg 嚷23之網路實體，其中該網路實體包括一行動性管理實體（MME)。 33.種在一網路實體上操作的方法，包括以下步驟：使用與一' Φ A|«卜片繼卽點相關聯的初始安全性身份碼來認證該中繼節點；在使用該等初始安全性身份碼成功認證該中繼節點之後授權該中繼節點出於配置該中繼節點的一有限目的與 51 201218790 • 一通訊網路無線地通訊；，使用新的安全性身份碼重新認證該中繼節點；及在成功地重新認證該中繼節點之後，授權該令繼節點作為該通訊網路中的一中繼設備來操作。 34.如請求項33之方法，纟中授權該中繼節點出於配置該中繼節點的一有限目的與一通訊網路無線地通訊的步驟包括以下步驟：授權該中繼節點出於獲得新的安全性身份碼和配置資料的一有限目的與—通訊網路無線地通訊。 35·如請求項33之方法，其中使用該等新的安全性身份瑪重新認證該中繼節點的步驟包括以下步驟：使用一新的中繼節點識別以及與該新的中繼節點識別相關聯的新的共享秘密重新認證該中繼節點。 36·如請求項35之方法，其中使用該新的中繼節點識別以及與該新的中繼節點識別相關聯的該新的共享秘密重新忍證該中繼節點的步驟包括以下步驟：獲得與該新的中繼節點識別相關聯的—訂閱設定檔，其中該訂閱設定檔向該中繼節點授權用於作為在一或多個存取終端和該通訊網路之間傳達訊務的__中繼設備來操作的網路存取。 52 201218790 37.如請求項33之方法服務供應商身份碼中的 ’其中該等新的安全性身份碼包括至少一個或一共享金鑰。 38.如請求項33之方包括以下步驟：法，其中重新認證該中繼節點的步驟使用該等新的安全•地I心、份碼女全性身份碼以及該等初始安全性身重新認證該中繼節點。 ’其中該等初始安全性身份碼包括及與該初始中繼節點識別相關聯 39·如請求項38之方法一初始中繼節點識別以的一初始共享秘密。 4〇.如明求項39之方法，其中：使用該等初始安全性身份碼認證該中繼節點的步驟包招以下步驟·獲得與該初始中繼節點識別相關聯的一訂閲部定：，其中該訂閱設定槽為該令繼節點授: 繼節點的-有限目的的網路存取；及置該中使用該等新的安令· ^ ^ 身伤碼重新認證該中繼節點的步驟包括以下步驟··獲得與該 ^驟的訂閱設定構，其中”二_識別相關聯的-新充分的網路存取以佳俨兮士- P點授權仔取乂使仔該中繼節點作為在一或多終端和該通訊網路之間傳寻違訊務的一中繼設備來操作。 41.如請求項33之方法，其中· 53 201218790 • 使用該等初始安全性身份碼認證該中繼節點的步驟包括以下步驟：認證對於該網路實體看似一使用者設備的該中费繼節點；及使用該等新的安全性身份碼重新認證該中繼節點的步驟包括以下步驟：重新認證對於該網路實體看似一中繼設備的該中繼節點。 42. —種網路實體，包括：用於使用與一中繼節點相關聯的初始安全性身份碼來認證該中繼節點的構件；用於在使用該等初始安全性身份碼成功認證該中繼節點之後’授權該中繼節點出於配置該中繼節點的一有限目的與一通訊網路無線地通訊的構件；用於使用新的安全性身份碼重新認證該中繼節點的構件；及用於在成功地重新認證該中繼節點之後，授權該中繼節點作為該通訊網路巾的—巾繼設備來操作的構件。 43· 一種包括在一網路實體上操作的指令的處理器可讀取媒體該等才曰令在由一處理器執行時使該處理器：使用與中繼即點相關聯的初始安全性身份碼來認證該 Λ 中繼節點； * 在使用該等初始安全性身份碼成功認證該中，繼節點之後，授權該中繼節點出於配置該中繼節點的一有限目的與 54 201218790 一通訊網路無線地通訊；使用新的安全性身份碼重新認證該中繼節點；及在成功地重新認證該中繼節點之後，授權該中繼節點作為該通訊網路中的一中繼設備來操作。 55