專利名稱:用于為切換提供多跳密碼分離的方法���、設備和計算機程序產品的制作方法
技術領域:
本發(fā)明的實施方式總體上涉及無線通信技術��,尤其涉及用于在切換后提供密碼密 鑰分離的設備�����、方法和計算機程序產品��。
背景技術:
當前和未來聯(lián)網技術繼續(xù)促進簡化信息傳輸和方便用戶����。為了提供更簡潔或更快 速的信息傳輸和便捷性�����,電信業(yè)服務提供商正在對現(xiàn)有網絡進行改進����。例如��,當前正在研發(fā) 演進的通用移動電信系統(tǒng)(UMTS)陸地無線接入網(E-UTRAN)。E-UTRAN也被稱作長期演進 (LTE)或3. 9G��,其目的在于通過提高效率�����、降低成本����、提高服務、利用新的頻譜機會以及提 供與其他公開標準更好的整合來更新現(xiàn)有技術����。繼續(xù)與其他先前電信標準共享的E-TURAN的一個優(yōu)勢在于用戶能夠接入采用了 這種標準的網絡而同時保持移動這樣的事實。因此���,例如�,裝配以根據這種標準進行通信的 移動終端的用戶可以長距離旅行���,而同時保持與網絡的通信�。在這方面�,目前常見的是接入 點或基站為特定區(qū)域(或小區(qū))提供網絡覆蓋,當特定移動終端的用戶離開該基站的覆蓋 范圍或可能由鄰近基站更有效地服務時�����,便將與特定移動終端的通信交給鄰近基站。此過 程經常被稱作切換�。關于E-UTRAN與其他移動通信網絡中切換的一個揮之不去的問題是無線接入點 之間密碼密鑰分離的問題。在這方面�����,移動終端可以使用移動終端和接入點或基站已知的 加密密鑰經由無線接入點或基站(指的是E-UTRAN中的“演進節(jié)點B”或“eNB”)來傳送經 加密的數(shù)據�����。在切換期間����,可以向移動終端要被切換到的目標演進節(jié)點B傳送移動終端及 其當前服務的演進節(jié)點B所使用的加密密鑰或加密密鑰的推導。目標演進節(jié)點B繼而可以 使用從先前演進節(jié)點B接收到的加密密鑰�。因此,先前服務于移動終端的演進節(jié)點B可以 知道或者能夠計算由移動終端及其服務演進節(jié)點B當前使用的加密密鑰�����,并且解密在移動 終端與當前服務演進節(jié)點B之間傳送的數(shù)據����,因此導致缺乏密碼密鑰分離安全性。因此����,期望研發(fā)出可以提供密碼密鑰分離安全性的切換協(xié)議,使得先前演進節(jié)點B 不能導出由移動終端和當前演進節(jié)點B使用的加密密鑰���。進一步期望���,如果切換協(xié)議不要 求由移動終端、演進節(jié)點B�����、通用分組無線業(yè)務支持節(jié)點(SGSN)(指的是E-UTRAN中的“移 動管理實體(MME) ”)或服務網關(S-GW)進行的大量處理或數(shù)據傳輸開銷���,那么使得通信的 切換和隨后恢復沒有顯著地延遲�。
發(fā)明內容
因此提供可以為切換提供密碼密鑰分離的方法��、設備和計算機程序產品����。在這方 面,本發(fā)明的實施方式通過配置SGSN(這里還稱作MME)在兩個切換(也被稱作兩“跳”)之 后提供密碼密鑰分離�����,用于向目標接入點提供路徑交換確認消息內的中間密鑰值。因此����,目 標接入點可以使用將中間值用作輸入參數(shù)的密鑰推導函數(shù)來推導密鑰,以獲得與由源接入點使用的密鑰密碼地分離的密鑰����。本發(fā)明的某些實施方式進一步向用戶設備發(fā)送包括切換 類型的指示(例如,切換是接入點間切換還是接入點內切換)的切換命令�。因此,在本發(fā)明 的某些實施方式中�����,用戶設備被配置用于基于包括在切換命令中的指示確定切換的類型����, 并且基于切換的類型執(zhí)行密鑰推導。本發(fā)明的某些實施方式進一步使用中間密鑰和/或從 中間密鑰導出的密鑰來保護路徑交換信息����,使得只有源無線接入點和目標無線接入點能夠 發(fā)送有效的路徑交換信息,從而降低任何任意無線接入點發(fā)送錯誤路徑交換信息的風險�����。 本發(fā)明的實施方式可以進一步提供密碼密鑰分離�����,同時在切換過程期間減少或最小化網絡 實體所需的開銷以及減少或最小化切換中的延遲����。在示例性實施方式中,提供一種方法�����,包括響應于用戶裝置設備從源接入點到目 標接入點的切換��,至少部分地基于先前存儲的第一中間值來計算密鑰�����。此實施方式的方法 還包括至少部分地基于經計算的密鑰來計算第二中間值����。此實施方式的方法另外包括 向目標接入點發(fā)送包括第二中間值的路徑交換確認以用于用戶裝置設備的隨后切換。此實 施方式的方法可以進一步包括接收包括小區(qū)標識的指示的路徑交換消息,并且基于該小 區(qū)標識來計算加密密鑰�。此實施方式的方法可以另外包括存儲第二中間值。在某些實施方 式中�����,計算密鑰可以進一步包括計算無線鏈路切換后的密鑰���。在另一示例性實施方式中��,提供一種方法���,包括從源接入點接收切換命令。此實施 方式的方法進一步包括響應于切換命令的接收�����,至少部分地基于第一中間值來計算密鑰�����。 此實施方式的方法另外包括至少部分地基于該第一中間值來計算第二中間值���。該第二中 間值可以用于計算隨后切換中的一個或多個密鑰��。在另一示例性實施方式中���,提供了一種裝置��。該裝置可以包括處理器和存儲了可 執(zhí)行指令的存儲器,所述可執(zhí)行指令在被執(zhí)行時���,使得該裝置響應于用戶裝置設備從源接 入點到目標接入點的切換����,至少部分地基于先前存儲的第一中間值來計算密鑰�����。所述可執(zhí) 行指令在被執(zhí)行時��,還可以使得裝置至少部分地基于經計算密鑰來計算第二中間值�。所述 可執(zhí)行指令在被執(zhí)行時,可以進一步使得裝置向目標接入點發(fā)送包括第二中間值的路徑交 換確認用于用戶裝置設備的隨后切換��。在另一示例性實施方式中��,提供了一種裝置�。該裝置可以包括處理器和存儲可執(zhí) 行指令的存儲器,所述可執(zhí)行指令在被執(zhí)行時,使得裝置從源接入點接收切換命令�。所述可 執(zhí)行指令在被執(zhí)行時,可以進一步使得裝置響應于切換命令的接收��,至少部分地基于第一 中間值來計算密鑰��。所述可執(zhí)行指令在被執(zhí)行時��,可以另外使得裝置至少部分地基于第一 中間值來計算第二中間值�����。該第二中間值可以用于計算隨后切換中的一個或多個密鑰���。在另一示例性實施方式中�����,提供了一種計算機程序產品�����。該計算機程序產品可以 包括至少一個其中存儲計算機可讀程序指令的計算機可讀存儲介質��。計算機可讀程序指令 可以包括多個程序指令����。在此發(fā)明內容中,雖然程序指令是經排序的�,但應當理解提供的發(fā) 明內容只是為了示例的目的,并且排序只是用于促進概括計算機程序產品���。示例排序不用 于限制相關聯(lián)計算機程序指令的實現(xiàn)����。第一程序指令可以配置用于響應從源接入點到目標 接入點用戶裝置設備的切換��,至少部分地基于先前存儲的第一中間值來計算密鑰���。第二程 序指令可以配置用于至少部分地基于經計算密鑰來計算第二中間值。第三程序指令可以配 置用于向目標接入點發(fā)送包括第二中間值的路徑交換確認用于用戶裝置設備的隨后切換�����。在另一示例性實施方式中��,提供了一種計算機程序產品�。該計算機程序產品可以
7包括至少一個其中存儲計算機可讀程序指令的計算機可讀存儲介質。計算機可讀程序指令 可以包括多個程序指令�。雖然在此發(fā)明內容中����,程序指令是經排序的����,但應當理解提供的發(fā) 明內容只是為了示例的目的,并且排序只是用于促進概括計算機程序產品���。示例排序不用 于限制相關聯(lián)計算機程序指令的實現(xiàn)�����。第一程序指令可以配置用于從源接入點接收切換命 令�。第二程序指令可以配置用于響應于切換命令的接收�����,至少部分地基于第一中間值來計 算密鑰���。第三程序指令可以配置用于至少部分地基于第一中間值來計算第二中間值���。該第 二中間值可以用于計算隨后切換中的一個或多個密鑰。在另一示例性實施方式中��,提供了一種裝置,其包括用于響應從源接入點到目標 接入點用戶裝置設備的切換�,至少部分地基于先前存儲的第一中間值來計算密鑰的裝置。 此實施方式的裝置還包括用于至少部分地基于經計算密鑰來計算第二中間值的裝置���。此實 施方式的裝置進一步包括用于向目標接入點發(fā)送包括第二中間值的路徑交換確認用于用 戶裝置設備的隨后切換的裝置���。在另一示例性實施方式中,提供了一種裝置���,其包括用于從源接入點接收切換命 令的裝置�。此實施方式的裝置進一步包括用于響應于切換命令的接收�����,至少部分地基于第 一中間值來計算密鑰的裝置���。此實施方式的裝置另外包括用于至少部分地基于第一中間值 來計算第二中間值的裝置。該第二中間值可以用于計算隨后切換中的一個或多個密鑰����。提供的上文發(fā)明內容只是用于概括本發(fā)明某些示例實施方式的目的,以便提供本 發(fā)明某些方面的基本理解�。因此��,應當理解上文所述示例實施方式只是示例�����,并且不應當以 任何方式理解為用于縮小本發(fā)明的范圍或精神��。除了那些這里概括的���,應當理解本發(fā)明的 范圍還包括許多潛在的實施方式,其中某些實施方式將在下面進行進一步的描述�����。
已經總體上描述了本發(fā)明���,現(xiàn)在將對附圖進行參考�����,其中附圖沒有必要按比例繪 制��,其中圖1是根據本發(fā)明示例性實施方式的移動終端的示意框圖�����;圖2是根據本發(fā)明示例性實施方式的無線通信系統(tǒng)的示意框圖���;圖3是根據本發(fā)明示例性實施方式示出了用于為切換提供密碼密鑰分離的系統(tǒng) 的示意圖�����;圖4是根據本發(fā)明示例性實施方式在切換過程期間在圖3的示例性實施方式的實 體之間傳送的通信信號的控制流程圖�;圖5是根據本發(fā)明示例性實施方式根據為切換提供密碼密鑰分離的示例性方法 的流程圖����;以及圖6是根據本發(fā)明示例性實施方式根據為切換提供密碼密鑰分離的另一示例性 方法的流程圖。
具體實施例方式現(xiàn)將參考附圖更全面地描述本發(fā)明的實施方式�,附圖中示出了本發(fā)明的某些而不 是所有的實施方式。實際上���,本發(fā)明可以按照許多不同形式來實現(xiàn),并且不應當解釋為局限 于這里提出的實施方式���;相反�����,提供這些實施方式是為了本公開滿足適用的法律要求�����。貫穿全文����,相同的標號表示相同的元件。圖1示出了將受益于本發(fā)明實施方式的移動終端10的框圖��。然而��,應當理解�,所 示出的以及在此后描述的移動電話僅僅是受益于本發(fā)明實施方式的一種類型的移動終端 的示范,因此�����,不應用來限制本發(fā)明實施方式的范圍�。盡管出于示例目的而示出并在此后描 述了移動終端10的一種實施方式,但是其他類型的移動終端也可以容易地采用本發(fā)明的 示例性實施方式�����,其中其他類型的移動終端諸如可以是便攜數(shù)字助理(PDA)��、尋呼機、移動 計算機���、移動電視�����、游戲設備�����、膝上型計算機�����、照相機�、錄像機���、全球定位系統(tǒng)(GPS)設備以 及其他類型的語音和文本通信系統(tǒng)�����。此外,非移動的設備也可以容易地使用本發(fā)明的實施 方式�。下文將主要結合移動通信應用來描述本發(fā)明實施方式的系統(tǒng)和方法。然而,應當 理解���,可以結合移動通信產業(yè)之內以及移動通信產業(yè)之外的各種其他應用來使用本發(fā)明實 施方式的系統(tǒng)和方法����。一個實施方式的移動終端10包括與發(fā)射器14以及接收器16進行可操作通信的 天線12 (或多個天線)���。該移動終端10可以進一步包括分別向發(fā)射器14提供信號以及從接 收器16接收信號的控制器20或其他處理元件�����。該信號可以包括符合合適的蜂窩系統(tǒng)的空 中接口標準的信令信息��,以及用戶語音����、接收到的數(shù)據和/或用戶生成的數(shù)據����。在這方面, 移動終端10能夠結合一個或多個空中接口標準�����、通信協(xié)議、調制類型以及接入類型進行操 作��。作為例證��,移動終端10能夠依照第一����、第二、第三和/或第四代通信協(xié)議等眾多協(xié)議中 的任何一種來操作��。例如��,移動終端10能夠依照第二代(2G)無線通信協(xié)議IS-136(時分 多址(TDMA))�����、全球移動通信系統(tǒng)(GSM)和IS-95(碼分多址(CDMA))來操作�,或者能夠依 照諸如通用移動電信系統(tǒng)(UMTS)、CDMA2000���、寬帶碼分多址(WCDMA)以及時分同步碼分多 址(TD-SCDMA)���、LTE或E-UTRAN之類的第三代(3G)無線通信協(xié)議來操作,還能夠依照第四 代(4G)無線通信協(xié)議等來操作�����?��?梢岳斫?���,一個實施方式的控制器20包括用于實現(xiàn)移動終端10的音頻和邏輯功 能所需的電路�。例如,控制器20可以包括數(shù)字信號處理器設備��、微處理器設備以及各種模 數(shù)轉換器���、數(shù)模轉換器和其他支持電路�����。移動終端10的控制和信號處理功能按照這些設備 各自的能力在其間分配�?��?刂破?0由此還可以包括在調制和傳送之前對消息和數(shù)據進行 卷積編碼和交織的功能���??刂破?0還可以包括內部語音編碼器���,并且可以包括內部數(shù)據調 制解調器�。此外�����,控制器20可以包括對一個或多個軟件程序進行操作的功能���,該軟件程序 可以存儲在存儲器中����。例如�,控制器20可以能夠操作連接程序,諸如傳統(tǒng)的Web瀏覽器�。連 接程序繼而可以允許移動終端10例如按照無線應用協(xié)議(WAP)、超文本傳輸協(xié)議(HTTP)和 /或類似協(xié)議來傳送和接收Web內容(諸如基于位置的內容和/或其他web頁面內容)����。移動終端10還可以包括用戶接口,其包括輸出設備��,例如傳統(tǒng)的耳機或者揚聲器 24���、振鈴器22�����、麥克風26�����、顯示器28以及用戶輸入接口��,所有這些設備都耦合至控制器20���。 允許移動終端10接收數(shù)據的用戶輸入接口可以包括允許移動終端10接收數(shù)據的多種設備 中的任意設備,例如小鍵盤30��、觸摸顯示器(未示出)或者其他輸入設備�。在包括小鍵盤 30的實施方式中,小鍵盤30可以包括傳統(tǒng)的數(shù)字鍵(0-9)和相關鍵(#�、*),以及用于操作 移動終端10的其他鍵���。備選地���,小鍵盤30可以包括傳統(tǒng)的QWERTY小鍵盤布置�����。小鍵盤30 還可以包括與功能相關聯(lián)的各種軟鍵���。作為補充或備選,移動終端10可以包括諸如操縱桿的接口設備或者其他用戶輸入接口�。移動終端10還包括電池34,諸如振動電池組����,用于為 操作移動終端10所需的各種電路供電,以及可選地提供機械振動作為可檢測輸出�。移動終端10可以進一步包括用戶身份模塊(UIM) 38。在一個實施方式中�,UIM 38 包括具有內置處理器的存儲器設備。例如�����,UIM38可以包括訂戶標識模塊(SIM)�����、通用集成 電路卡(UICC)���、通用訂戶標識模塊(USIM)�、可拆卸用戶標識模塊(R-UIM)等。UIM38可以存 儲關于移動訂戶的信息元素�����。除了 UIM 38之外��,移動終端10還可以配備存儲器���。例如,移 動終端10可以包括易失性存儲器40��,諸如包含用于臨時存儲數(shù)據的高速緩存區(qū)域的易失 性隨機存取存儲器(RAM)��。該移動終端10還可以包括其他非易失性存儲器42�����,其中所述非 易失性存儲器可以是嵌入式的和/或可以是可拆卸的���。作為補充或備選���,非易失性存儲器 42可以包括EEPR0M��、快閃存儲器等�。這些存儲器可以存儲多種信息和數(shù)據中的任何一種�, 這些信息和數(shù)據供移動終端10使用以便實施移動終端10的功能。例如���,這些存儲器可以 包括能夠唯一標識移動終端10的標識符�����,例如國際移動設備標識(IMEI)碼?,F(xiàn)在參考圖2�,提供了一種從本發(fā)明示例性實施方式中獲益的無線通信系統(tǒng)的示 意性框圖。所示實施方式的系統(tǒng)包括多個網絡設備����。如圖所示,一個或多個移動終端10中 的每一個都可以包括用于向基點或基站(BS)44發(fā)射信號以及從基點或基站(BS)44接收信 號的天線12�。雖然BS可以包括一個或多個小區(qū),但是這里引入的BS通常涉及BS和該BS 的小區(qū)二者��?����;?4可以是一個或多個蜂窩或移動網絡的一部分,其中每個蜂窩或移動網 絡都包括操作網絡所需要的單元�,例如移動交換中心(MSC)46。移動網絡也可以被稱為基站 /MSC/互連功能(BMI)�����。在操作中���,當移動終端10發(fā)起和接收呼叫時��,一個實施方式的MSC 46能夠路由往來于移動終端10的呼叫�。當在某個呼叫中涉及移動終端10時�,MSC 46還可 以提供與陸線干線相連的連接�。另外,MSC 46能夠控制往來于移動終端10的消息的轉發(fā)���, 并且還可以控制往來于消息收發(fā)中心且針對移動終端10的消息的轉發(fā)�。應該指出的是��,雖 然在圖2的系統(tǒng)中顯示了 MSC 46�����,但是MSC46僅僅是一個示例性網絡設備,并且本發(fā)明的實 施方式并不限于在采用了 MSC的網絡中使用���。MSC 46可以耦合到數(shù)據網絡���,例如局域網(LAN)、城域網(MAN)和/或廣域網 (WAN)����。MSC 46可以直接耦合到數(shù)據網絡。然而�,在一個實施方式中,MSC 46耦合到網關設 備(GTW) 48�,而GTW 48耦合到WAN,例如因特網50�����。而諸如處理元件(例如個人計算機�����、服 務器計算機等)之類的設備可以經由因特網50耦合到移動終端10����。例如�,如下所述���,處理 元件可以包括與如下所述的計算系統(tǒng)52 (圖2中示出了兩個)��、源服務器54 (圖2中示出了 一個)等相關聯(lián)的一個或多個處理元件����。BS 44還可以耦合到信令GPRS(通用分組無線服務)支持節(jié)點(SGSN)56���。一個實 施方式的SGSN 56能為分組交換服務執(zhí)行與MSC 46相類似的功能�����。與MSC 46相似��,SGSN 56可以耦合到數(shù)據網絡,例如因特網50�����。該SGSN 56可以直接耦合到數(shù)據網絡���。然而�����,在 另一實施方式中���,SGSN 56耦合到分組交換核心網絡����,例如GPRS核心網絡58�����。繼而�,此實 施方式的分組交換核心網絡耦合到另一 GTW48,例如網關GPRS支持節(jié)點(GGSN) 60��,并且該 GGSN 60耦合到因特網50�����。除了 GGSN 60之外����,分組交換核心網絡還可以耦合到GTW48����。同 樣�����,GGSN 60可以耦合到消息收發(fā)中心�����。在這方面����,與MSC 46相似,GGSN 60和SGSN 56能 夠控制諸如多媒體消息收發(fā)服務(MMS)消息之類的消息的轉發(fā)���。GGSN 60和SGSN 56還能 控制往來于消息收發(fā)中心的針對移動終端10的消息的轉發(fā)��。
10
此外���,通過將SGSN 56耦合到GPRS核心網絡58和GGSN 60,諸如計算系統(tǒng)52和 /或源服務器54之類的設備可以經由因特網50����、SGSN 56和GGSN 60耦合到移動終端10。 在這方面�,諸如計算系統(tǒng)52和/或源服務器54之類的設備可以經由SGSN 56、GPRS核心網 絡58和GGSN 60與移動終端10進行通信��。通過直接或間接地將移動終端10和其他設備 (例如計算系統(tǒng)52�����、源服務器54等)連接到因特網50�,移動終端10可以與其他設備通信以 及相互通信,例如��,所述通信可以依據超文本傳輸協(xié)議(HTTP)和/或類似協(xié)議��,由此可以執(zhí) 行移動終端10的各種功能���。雖然在這里沒有顯示和描述每個可能的移動網絡中的每個元件����,但是應該理解�, 移動終端10可以通過BS 44耦合到多個不同網絡中的一個或多個網絡。在這方面���,所述 (一個或多個)網絡能夠支持依照第一代(IG)��、第二代(2G)��、2. 5G����、第三代(3G)、3.9G��、第四 代(4G)移動通信協(xié)議等眾多協(xié)議中的一個或多個協(xié)議的通信����。例如,一個或多個網絡可以 能夠支持依照2G無線通信協(xié)議IS-136 (TDMA)���、GSM和IS-95 (CDMA)的通信���。同樣,例如�,一 個或多個網絡能夠支持依照2. 5G無線通信協(xié)議GPRS、增強型數(shù)據GSM環(huán)境(EDGE)等的通 信���。更進一步����,例如,一個或多個網絡能夠支持依照3G無線通信協(xié)議的通信����,諸如采用了寬 帶碼分多址(WCDMA)無線接入技術的通用移動電話系統(tǒng)(UMTS)網絡�。同樣,例如����,一個或 多個網絡能夠支持依照3. 9G無線通信協(xié)議的通信,諸如E-UTRAN����。某些窄帶AMPS (NAMPS) 以及全接入通信系統(tǒng)(TACS)網絡同樣可以得益于本發(fā)明的實施方式,雙模式或更高模式 的移動終端(例如數(shù)字/模擬或TDMA/CDMA/模擬電話)也應如此����。移動終端10可以進一步耦合到一個或多個無線接入點(AP)62。AP 62可以包括 被配置成根據例如射頻(RF)���、紅外(IrDA)或是多種不同無線聯(lián)網技術中的任何一種的技 術來與移動終端10進行通信的接入點����,其中所述無線網絡技術包括無線LAN(WLAN)技術, 例如 IEEE 802. 11 (例如 802. Ila,802. lib,802. Ilg,802. Iln 等)�、諸如 IEEE 802. 16 之類 的全球微波接入互操作性(WiMAX)技術和/或諸如IEEE 802. 15、藍牙(BT)��、超寬帶(UWB) 等之類的無線個人局域網(WPAN)技術�。AP 62可以耦合到因特網50。與MSC 46相似�,AP 62可以直接耦合到因特網50。然而�����,在一個實施方式中�,AP是經由GTW 48間接耦合到因特 網50。此外�,在一個實施方式中,BS 44可以被認為是另一個AP 62�����。正如所了解的那樣���, 通過直接或間接地將移動終端10和計算系統(tǒng)52����、源服務器54和/或多個其他設備中的任 意設備連接到因特網50,移動終端10既可以相互通信����,也可以與計算系統(tǒng)等通信,由此執(zhí) 行移動終端10的各種功能�,例如向計算系統(tǒng)52傳送數(shù)據、內容等和/或接收來自計算系統(tǒng) 52的內容�����、數(shù)據等��。這里使用的術語“數(shù)據”��、“內容”����、“信息”以及類似的術語可以可交換使 用�,用于指示那些能夠依照本發(fā)明實施方式而被傳送、接收和/或存儲的數(shù)據���。由此�,任何 此類術語的使用不應該限制本發(fā)明的實施方式的精神和范圍�����。雖然在圖2中沒有顯示,但是作為將移動終端10經由因特網50耦合到計算系統(tǒng) 52的補充或替代����,移動終端10和計算系統(tǒng)52可以相互耦合和通信,例如�,所述通信依照的 是RF、BT�����、IrDA或是多種不同的有線或無線通信技術中的任何一種���,這其中包括LAN�����、WLAN����、 WiMAX.UWB技術等���?���;蛘咦鳛檠a充或備選,一個或多個計算系統(tǒng)52可以包括能夠存儲此后 能被傳送到移動終端10的內容的可拆卸存儲器���。更進一步���,移動終端10可以耦合到一個或 多個電子設備,例如打印機����、數(shù)字投影儀和/或其他多媒體捕獲�����、產生和/或存儲設備(例 如其他終端)��。與計算系統(tǒng)52相似�,移動終端10可以被配置用于與便攜電子設備進行通信,例如���,所述通信依據的技術可以是RF�����、BT�、IrDA或是多種不同有線或無線通信技術中的 任何一種,其中包括通用串行總線(USB)��、LAN�����、WLAN��、WiMAX, UffB技術等���。在示例性實施方式中����,內容或數(shù)據可以通過圖2的系統(tǒng)在移動終端(類似于圖1 的移動終端10)和圖2的系統(tǒng)的網絡設備之間進行通信���,以便例如經由圖2的系統(tǒng)來執(zhí)行 用于在移動終端10與其他移動終端之間建立通信的應用��。同樣�,應當理解�,不必將圖2的 系統(tǒng)用于移動終端之間的通信或網絡設備與移動終端之間的通信,圖2僅出于示例的目來 提供?��,F(xiàn)在將參考圖3描述本發(fā)明的示例性實施方式����,其中示出了用于促進切換失敗恢 復的系統(tǒng)的某些元件。圖3的系統(tǒng)表示網絡(例如����,圖2中所示的通用網絡)的特定實施 方式,例外之處在于圖3表示了 E-UTRAN的通用框圖�。同樣,關于圖3��,用戶設備(UE) 70可 以是圖1移動終端10的一個示例性實施方式����,并且源演進節(jié)點B 72和目標演進節(jié)點B 74 可以是圖2的BS 44或AP 62的示例性實施方式����。因此,雖然隨后將使用術語“演進節(jié)點 B”����,但是演進節(jié)點B只是接入點的一個實施方式,并且術語“接入點”可以包括接入點���、基站 和演進節(jié)點B��。因此�����,雖然本發(fā)明的實施方式是關于E-UTRAN標準進行討論����,但是本發(fā)明的 實施方式并不受到這樣的限制,并且可以連同任何通信協(xié)議使用���。更進一步�,還可以結合各 種其他設備(移動的和固定的)來采用圖3的系統(tǒng)���,因此����,本發(fā)明的實施方式不應當限制于 諸如圖1的移動終端10或圖2的網絡設備之類的設備上的應用?���,F(xiàn)在參考圖3,提供了根據本發(fā)明的示例性實施方式示出為切換提供密碼密鑰 分離的系統(tǒng)的示意框圖����。該系統(tǒng)尤其包括可以包含與分組核心演進(EPC)78通信的多個 演進節(jié)點B的E-UTRAN 76��,該分組核心演進(EPC) 78可以包括一個或多個移動管理實體 (MME) 80和一個或多個系統(tǒng)架構演進(SAE)網關����。演進節(jié)點B (包括源演進節(jié)點B 72和目 標演進節(jié)點B 74)可以是演進演進節(jié)點B(例如�����,eNB)���,并且還可以與UE 70和其他UE進行
通{曰�。演進節(jié)點B可以向UE 70提供演進的通用移動電信系統(tǒng)陸地無線接入(E-UTRA) 用戶平面和控制平面(無線資源控制(RRC))協(xié)議終端�����。演進節(jié)點B可以向以下功能提供 功能性承載�����,例如無線資源管理�、無線承載控制���、無線許可控制��、連接移動性控制�、在上行 鏈路和下行鏈路中向用戶動態(tài)分配資源、在用戶附件選擇MME 80����、因特網協(xié)議(IP)報頭壓 縮和加密、頁面和廣播信息的調度��、路由數(shù)據��、針對配置移動性的測量和測量報告等。MME 80可以承載如下功能��,例如向相應的演進節(jié)點B分發(fā)消息����、安全控制�����、空閑 狀態(tài)移動性控制��、SAE承載控制、非接入層(NAS)信令的完整保護和計算等�����。雖然這里所謂 的“MME”符合E-UTRAN標準�����,但是應當理解本發(fā)明的實施方式不限制于根據E-UTRAN標準 的操作��,MME 80還可以是依照其他網絡標準操作的實體�。在這方面,例如�����,MME 80可以是 圖2系統(tǒng)的SGSN 56�。SAE網關可以承載例如用于尋呼的某些分組的交換和終止以及支持 UE移動性的功能。在一個示例性實施方式中����,EPC 78可以提供到網絡(例如,因特網)的 連接�。如圖3中所示,每個接入點(例如�����,演進節(jié)點B)可以包括配置用于執(zhí)行與每個對 應接入點相關聯(lián)的功能的處理器88���。例如�,這種功能可以與存儲的指令相關聯(lián)�,當由處理器 88執(zhí)行該指令時,完成與指令相關聯(lián)的對應功能��。例如那些上文所述的處理器可以通過許 多方式來體現(xiàn)�����。例如�,處理器88可以體現(xiàn)為處理器、協(xié)處理器�����、控制器或包括集成電路(例
12如�����,ASIC(特定用途集成電路)���、現(xiàn)場可編程門陣列(FPGA)和/或其他適當配置或編程的硬 件和/或軟件元件)的各種其他處理裝置或設備���。在示例性實施方式中����,每個演進節(jié)點B還可以包括切換管理元件90��。切換管理元 件90可以是包含在硬件����、計算機程序產品或硬件和軟件組合中的任何設備或裝置,并且可 以體現(xiàn)為處理器88或者由其所控制�。例如,切換管理元件90可以配置用于基于從UE 70 接收到的測量報告確定是否與另一演進節(jié)點B進行切換�����。例如��,在這方面�,如果在源演進節(jié) 點B 72接收到的測量報告指示出現(xiàn)了切換期望的條件(例如,低信號強度)���,那么源演進節(jié) 點B 72可以向目標演進節(jié)點B 74發(fā)送切換請求��。在本發(fā)明的示例性實施方式中��,切換管 理元件90可以配置用于包括切換請求以及加密密鑰����,所述加密密鑰可以用于促進與UE 70 進行通信�����。在這方面��,切換管理元件90可以配置用于利用從另一網絡設備(例如����,另一演 進節(jié)點B或MME 80)接收到的加密密鑰來與UE 70通信和/或使用從另一網絡設備接收到 的參數(shù)來推導或者計算要在與UE 70通信中使用的加密密鑰。切換管理元件90可以進一步配置用于與MME 80通信��。在這方面���,切換管理元件 90可以配置用于從MME 80接收初始上下文建立請求消息��。上下文建立請求消息可以包括 一個或多個作為參數(shù)可以促進與UE 70通信的加密密鑰�。上下文建立請求消息可以另外包 括一個或多個可以由切換管理元件使用來計算附加加密密鑰的參數(shù)�����。切換管理元件90可 以另外配置用于向MME 80傳輸路徑交換請求,以及從MME 80接收可以包括一個或多個可 以用于加密密鑰推導的參數(shù)的路徑交換確認消息����。在某些實施方式中,切換管理元件90可 以另外配置用于利用中間密鑰和/或從中間密鑰導出的任何密鑰來保護路徑交換消息�����。保 護可以通過若干方式中的任何方式來達到���,例如�����,通過路徑交換消息上的完整性保護校驗 或通過基于中間密鑰和/或從中間密鑰導出的密鑰計算的認證令牌�����,并且某些附加元件可 以包括在路徑交換消息和/或在目標無線接入點與移動管理實體(MME)之間共享�����。切換管理元件90可以進一步配置用于與UE 70傳送關于切換的消息���。在這方面��, 源演進節(jié)點B 72的切換管理元件90可以配置用于向UE 70發(fā)送切換命令�,例如響應于基 于從UE 70接收到的測量報告做出的切換決定�。切換命令可以包括該切換是否是演進節(jié)點 B間切換的指示符。在示例性實施方式中���,此指示符可以簡單地是1比特的標記指示符,其 中UE 70可以基于是否設置了 1比特標記來確定切換是演進節(jié)點B內切換還是演進節(jié)點B 間切換����。在備選的實施方式中,可以使用其他指示方式����,例如,利用切換命令消息傳送附加 參數(shù)��。MME 80可以包括處理器82��、切換控制器84和存儲器86��。處理器82可以體現(xiàn)為處 理器����、協(xié)處理器���、控制器或包括集成電路(例如,ASIC(特定用途集成電路)��、現(xiàn)場可編程門 陣列(FPGA)和/或其他適當配置或編程的硬件和/或軟件元件)的各種其他處理裝置或 設備�����。切換控制器84可以是包含在硬件�����、一個或多個計算機程序產品或硬件和軟件組合中 的任何設備或裝置���,并且可以體現(xiàn)為處理器82或者由其所控制�����。切換控制器84可以配置 用于與演進節(jié)點B通信并且管理UE 70的切換����。切換控制器84可以另外配置用于與服務 SAE網關通信����。在這方面��,切換控制器84可以配置用于向服務網關發(fā)送U-平面更新請求�����, 并且從服務網關接收U-平面更新響應���。在示例性實施方式中,切換控制器84可以配置用于計算加密密鑰以及中間值�����,該 中間值可以由演進節(jié)點B使用以用于推導附加加密密鑰��。切換控制器84可以配置用于將一個或多個這些加密密鑰和中間值存儲到存儲器86中��。切換控制器84可以配置用于向源 演進節(jié)點B 72發(fā)送初始上下文建立請求消息�����。該上下文建立請求消息可以包括作為參數(shù) 的一個或多個加密密鑰值�����,其可以促進演進節(jié)點B與UE 70的通信��。作為補充或者備選�����,上 下文建立請求消息可以包括一個或多個作為參數(shù)的中間值��,該中間值可以由演進節(jié)點B使 用以用于計算附加加密密鑰��。切換控制器84可以進一步配置用于從演進節(jié)點B接收路徑 交換請求����,以及向演進節(jié)點B發(fā)送可以包括一個或多個可以由接收演進節(jié)點B使用以用于 推導加密密鑰的參數(shù)的路徑交換確認消息。在某些實施方式中���,切換控制器84可以配置用 于驗證接收到的路徑交換消息來確保該路徑交換消息是從有效演進節(jié)點B接收���。例如,這 種驗證可以基于一個或多個密鑰�����,例如,中間密鑰和/或從中間值導出的一個或多個密鑰�。在示例性實施方式中,UE 70可以包括處理器92��、切換管理器94和存儲器86���。處 理器92可以體現(xiàn)為處理器�����、協(xié)處理器����、控制器或包括集成電路(例如�,ASIC(專用集成電 路)、現(xiàn)場可編程門陣列(FPGA)和/或其他適當配置或編程的硬件和/或軟件元件)的各 種其他處理裝置或設備����。在某些實施方式中�,處理器92可以是移動終端10的控制器20。 切換管理器94可以是包含在硬件����、一個或多個計算機程序產品或硬件和軟件組合中的任 何設備或裝置,并且可以體現(xiàn)為處理器92或者由其所控制。在某些實施方式中���,存儲器96 可以是移動終端10的易失性存儲器40或非易失性存儲器42�。切換管理器94可以配置用于與源演進節(jié)點B 72和目標演進節(jié)點B 74進行通信����, 并且計算在與演進節(jié)點B進行通信時使用的加密密鑰,以便促進UE 70從源演進節(jié)點B 72 到目標演進節(jié)點B 74的切換���。切換管理器可以配置用于向源演進節(jié)點B 72發(fā)送測量報告 并且從源演進節(jié)點B 72接收切換命令�。在某些實施方式中��,接收到的切換命令可以包括指 示切換是否是演進節(jié)點B間切換的指示符�����。切換管理器94繼而可以配置用于基于接收到 的指示符來執(zhí)行加密密鑰推導���。在這方面��,這里公開的本發(fā)明的實施方式可以執(zhí)行一個密 鑰推導過程(如果切換是演進節(jié)點B間切換)以及另一密鑰推導過程(如果切換是演進節(jié) 點B內切換)���。在無線鏈路故障(RLF)的情況下��,切換管理器94可以進一步配置用于接收無線資 源控制(RRC)重配置消息����。RRC消息可以包括指示UE附接的小區(qū)是否與該UE先前附接的 小區(qū)是不同的演進節(jié)點B的指示符���。因此����,切換管理器94可以配置用于確定UE是否在無 線鏈路故障后正在附接新的演進節(jié)點B����,并且基于該確定執(zhí)行中間密鑰推導。圖4是根據本發(fā)明示例性實施方式在切換過程期間在圖3的示例性實施方式的實 體之間傳送的通信信號��,以及由該實體執(zhí)行的操作的控制流程圖�����。操作400-404包括可以 在初始附接和/或空閑到活動狀態(tài)轉換之后發(fā)生的初始化操作����,其中沒有路徑交換消息����。 這些初始化操作可以用于提供中間密鑰和/或可以用于推導加密和完整性保護密鑰以及 在隨后切換之后用于推導新中間密鑰的其他值��。在操作400處��,MME可以可選地計算中間密 鑰KeNB (如果MME還沒有訪問密鑰)����,例如密鑰被先前計算過并且存儲在存儲器中����。這種計 算可以使用MME和UE已知的任何密鑰推導函數(shù)進行執(zhí)行。這種密鑰推導函數(shù)可以使用密 鑰KASME和NAS上行鏈路序列號(SN)作為輸入參數(shù)�����。在訂戶認證之后或者在無線技術間 切換之后接收到某些安全性上下文從而具有初始的安全性上下文之后�����,KASME是安全性上 下文的一部分并且MME和UE都知道�。類似地,NAS上行鏈路SN是這種相同安全性上下文 的一部分并且MME和UE都知道���。在這方面�����,NAS上行鏈路SN可以根據空閑到活動狀態(tài)轉換中的服務請求消息確定和/或根據認證之后的或RAT間切換的切換(HO)之后初始化的 重置值0進行確定�。操作400可以進一步包括計算可以被演進節(jié)點B用來推導密鑰的中間 值。在圖4中標識為“Next-Hop-KeNB 1” (下一跳KeNBl)的這種中間值可以根據MME和UE 已知的任何密鑰推導函數(shù)進行計算�。密鑰推導函數(shù)可以使用KASME和KeNB的值作為輸入 參數(shù)。MME繼而可以在操作402向源演進節(jié)點B發(fā)送可以包括KeNB和Next-Hop-KeNBl值 的初始上下文建立請求消息����。在操作404處,UE可以可選地計算KeNB的值(如果UE還沒 有訪問密鑰)���,例如密鑰被先前計算過并且存儲在存儲器中���。操作404可以進一步包括UE 使用與步驟400中使用的MME相同的密鑰推導函數(shù)和輸入參數(shù)來計算Next-Hop-KeNB 1的 值。在這方面�����,KeNB是可以用于促進UE與源演進節(jié)點B之間通信的密鑰��。Next-Hop-KeNB 1 是可以用于推導用于促進切換后UE與目標演進節(jié)點B之間通信的密鑰值的中間參數(shù)�����。雖 然沒有示出,但操作404可以進一步包括UE從KeNB的值和/或通過預定密鑰推導函數(shù)從 此KeNB導出的隨后密鑰值導出RRC和UP密鑰���。操作406表示可以執(zhí)行以發(fā)起UE從源演進節(jié)點B到目標演進節(jié)點B切換的第一 操作。在這方面���,UE可以在操作406向源演進節(jié)點B發(fā)送測量報告�。源演進節(jié)點B繼而可 以在操作408基于該測量報告做出切換決定�����。例如��,如果測量報告指示UE可以從另一演 進節(jié)點B接收更強或者更可靠的信號����,那么源演進節(jié)點B可以做出決定來切換該UE。操作 408可以進一步包括使用UE也知道的任何密鑰推導函數(shù)來計算加密密鑰KeNB*��。密鑰推 導函數(shù)可以使用中間值“Next-Hop-KeNBl”(可以在初始上下文建立請求中(例如��,在操作 402中)和/或在路徑交換確認消息中(例如��,在操作430中)將此中間值提前提供給源 演進節(jié)點B)�����,以及小區(qū)ID或物理小區(qū)ID(其是選定目標小區(qū)的標識的指示)作為輸入參 數(shù)。然而��,在備選的實施方式中���,密鑰推導函數(shù)可以不使用選定目標小區(qū)的任何指示作為輸 入參數(shù)�����。在這種備選的實施方式中��,密鑰推導函數(shù)可以單獨依靠中間值Next-Hop-KeNBl或 可以使用中間值Next-Hop-KeNBl與一個或多個其他已知值組合作為輸入參數(shù)���。操作410 可以包括源演進節(jié)點B向目標演進節(jié)點B發(fā)送作為參數(shù)包括KeNB*的值的切換請求。在這 方面��,KeNB*是可以用于促進UE與目標演進節(jié)點B之間通信的密鑰�。操作414可以包括目標演進節(jié)點B向源演進節(jié)點B確認切換請求。源演進節(jié)點B 繼而可以在操作416向UE發(fā)送切換命令���。此切換命令可以包括標識切換是否是演進節(jié)點B 間切換的切換類型指示符��。在某些實施方式中����,密鑰推導過程可以有別于這里公開的針對 演進節(jié)點B切換的過程。因此���,UE可以使用切換類型指示符來確定適當?shù)拿荑€推導過程。 在將標識目標小區(qū)的指示用于密鑰推導函數(shù)并且使用Cell-ID(小區(qū)ID)而非物理小區(qū)ID 的實施方式中�����,切換命令可以另外包括目標Cel I-ID的指示�����。UE繼而可以在操作418計算KeNB*和Next_Hop-KeNB2的值��。UE可以使用在操作 408處由源演進節(jié)點B使用的相同密鑰推導函數(shù)和輸入參數(shù)來計算KeNB*����。NeXt-H0p-KeNB2 是使用與可以用于在隨后切換中計算中間值Next-Hop-KeNBl—樣的密鑰推導函數(shù)計算的 中間值。因此�,NeXt-H0p-KeNB2可以由UE存儲用于在從目標演進節(jié)點B到第三演進節(jié)點B 的隨后切換過程中使用。在操作420�����,UE可以向目標演進節(jié)點B發(fā)送切換確認消息。目標演進節(jié)點B繼而可以在操作422向MME發(fā)送路徑交換消息��。在將標識目標小 區(qū)的指示用于密鑰推導函數(shù)并且使用物理小區(qū)ID而非小區(qū)ID的實施方式中(例如����,圖4 中所示),路徑交換消息可以包括物理小區(qū)ID的指示��,使得物理小區(qū)ID可以由MME從路徑交換消息中確定�。在操作408、418和426中沒有目標小區(qū)指示用于密鑰推導函數(shù)的備選實 施方式中�����,路徑交換消息不需要包括物理小區(qū)ID的指示��。在某些實施方式中�,路徑交換消 息可以另外包括簽名密鑰或其他方式來允許MME驗證從有效演進節(jié)點B發(fā)送的路徑交換消 息。例如����,這種簽名密鑰可以是中間值(例如,Next-Hop-KeNBl)和/或從中間值導出的密 鑰��。目標演進節(jié)點B可以基于切換情況確定是否發(fā)送路徑交換消息。在某些實施方式中����,目標演進節(jié)點B僅當切換是演進節(jié)點B間切換時(例如,圖4 中所示的切換情況)才可以發(fā)送操作422的路徑交換消息�����。在圖4中未示出的備選情況下�, 切換可以是小區(qū)間切換但仍然是源演進節(jié)點B和目標演進節(jié)點B是相同的切換(還稱作 eNB內、小區(qū)間切換)�。在圖4中未示出的另一備選情況下�,切換可以是小區(qū)內切換。因此�����, 在備選的實施方式中����,目標演進節(jié)點B可以配置用于在操作422為所有小區(qū)間切換(即, eNB間切換和eNB內����、小區(qū)間切換)發(fā)送路徑交換消息。在這種備選的實施方式中,MME可 以配置用于例如基于改變小區(qū)ID將小區(qū)間切換從小區(qū)內切換進行區(qū)分��。在另一備選的實 施方式中�����,目標演進節(jié)點B可以配置用于在操作422甚至為小區(qū)內切換發(fā)送路徑交換消息�����。 在這種備選的實施方式中��,MME可以配置用于將路徑交換消息傳播與小區(qū)內路徑交換消息 進行區(qū)分��。操作424可以包括MME向服務網關發(fā)送U平面更新請求�。操作426可以包括MME 使用由源演進節(jié)點B在操作408使用的相同密鑰推導函數(shù)和輸入參數(shù)來計算KeNB*的值。 操作426可以進一步包括MME基于KASME和KeNB*的值使用與由UE在操作418使用的相 同密鑰推導函數(shù)來計算Next-Hop-KeNB2��。MME繼而可以將Next_Hop-KeNB2存儲到存儲器 中�����。服務網關繼而可以在操作428向MME發(fā)送U平面更新響應���。操作430可以包括MME向 目標演進節(jié)點B發(fā)送路徑交換確認�����。路徑交換確認可以包括NeXt-H0p-KeNB2的值作為參 數(shù)��。目標演進節(jié)點B繼而可以在操作432將NeXt-H0p-KeNB2的值存儲到存儲器中����。在 這方面,NeXt-H0p-KeNB2可以由目標演進節(jié)點B用作中間參數(shù)來計算隨后切換中的KeNB*���。 目標演進節(jié)點B繼而可以在操作434向源演進節(jié)點B發(fā)送消息��,從而釋放源演進節(jié)點B�。圖5和圖6是根據本發(fā)明示例性實施方式的系統(tǒng)���、方法和程序產品的流程圖。應 當理解�����,該流程圖的每個塊或步驟以及流程圖中塊的組合可以通過各種方式來實現(xiàn)��,例如���, 硬件��、固件和/或包括一個或多個計算機程序指令的計算機程序產品�。例如,上文所述的一 個或多個步驟可以通過包括計算機程序指令的計算機程序產品來體現(xiàn)�����。在這方面�,體現(xiàn)了 上述過程的計算機程序指令可以由移動終端的存儲器設備進行存儲,并且由移動終端中的 處理器和/或另一網絡實體(例如�����,SGSN或MME)的處理器進行執(zhí)行���。還應當理解�,可以將 任何這種計算機程序指令加載到計算機或其他可編程設備(即���,硬件)來產生機器�����,使得存 儲在存儲器中的在計算機或其他可編程設備上執(zhí)行的指令產生用于實現(xiàn)流程圖塊或步驟 中指定功能的方法��。這些計算機程序指令還可以存儲在計算機可讀存儲器中�,以便可以指 導計算機或其他可編程設備以特定方式來運行,使得存儲在計算機可讀存儲器中的指令產 生包括實現(xiàn)流程圖塊或步驟中指定功能的指令裝置的制品����。還可以將計算機程序指令加載 到計算機或其他可編程設備上來產生一系列可以在計算機或其他可編程設備上執(zhí)行的可 操作步驟從而產生計算機實現(xiàn)的過程,使得存儲在存儲器中的在計算機或其他可編程設備 上執(zhí)行的指令提供用于實現(xiàn)流程圖塊或步驟中指定功能的步驟�����。
16
因此��,流程圖的塊或步驟支持用于執(zhí)行特定功能的裝置的組合��;用于執(zhí)行特定功 能的步驟的組合以及包括用于執(zhí)行特定功能的程序指令的計算機程序產品��。還應當理解���, 流程圖的一個或多個塊或步驟以及流程圖中塊或步驟的組合可以由專用基于硬件的計算 機系統(tǒng)來實現(xiàn),該計算機系統(tǒng)執(zhí)行特定功能或步驟或者專用硬件和計算機指令的組合���。圖5示出了用于為切換提供密碼密鑰分離的方法的一個實施方式��,其在切換過程 中示出了可能發(fā)生在信令網關(例如���,SGSN或移動管理實體(MME))的操作���。在這方面,圖5 中示出方法的一個實施方式包括MME在操作500計算KeNB和Next-Hop-KeNBl����。MME繼而可 以在操作510向服務接入點(例如,服務演進節(jié)點B)發(fā)送可以包括KeNB和Next-Hop-KeNBl 的初始上下文建立請求�。應當理解,操作500和510包括可能發(fā)生在最初附接和/或空閑 到活動狀態(tài)轉換之后的可選擇初始化操作���,其中沒有路徑交換消息��。這些初始化操作可以 用于提供中間密鑰和/或可以用于推導加密和完整性保護密鑰以及在隨后切換之后用于 推導新中間密鑰的其他值�。因此���,在某些情況下���,操作500和510可以不發(fā)生。這種上下文 建立請求可以包括KeNB和Next-Hop-KeNBl的值作為參數(shù)���。在操作520處���,MME可以從目 標接入點(例如�����,目標演進節(jié)點B)接收路徑交換請求���。在某些實施方式中,MME還可以在 操作530基于Next-Hop-KeNBl密鑰和/或從Next-Hop-KeNBl導出的密鑰選擇性地驗證路 徑交換消息�����。在某些情況下����,路徑交換消息還可以包括物理目標小區(qū)ID。MME繼而可以在 操作540響應路徑交換請求來向服務網關發(fā)送U平面更新請求�����。操作550可以包括MME計 算KeNB*和Next-Hop-KeNB2���。MME繼而可以將Next_Hop-KeNB2的值存儲到存儲器中。操 作560可以包括MME從服務網關接收U平面更新響應����。MME可以另外在操作570向目標演 進節(jié)點B發(fā)送包括NeXt-H0p-KeNB2的值的路徑交換確認���。圖6示出了用于為切換提供密碼密鑰分離的方法的另一示例性實施方式。在這方 面�,圖6示出了在切換過程期間可能發(fā)生在UE處的操作。該方法可以包括在操作600處計 算KeNB��。UE繼而可以在操作610處計算Next-Hop-KeNBl��,并且在操作620向源接入點(例 如����,源演進節(jié)點B)發(fā)送測量報告。操作630可以包括UE從源接入點(例如���,源演進節(jié)點B) 接收切換命令��。UE繼而可以在操作640計算KeNB*和Next-Hop-KeNB2��。UE繼而可以從經 計算的KeNB*的值導出RRC和UP密鑰���。操作650可以包括UE向目標接入點(例如,目標 演進節(jié)點B)發(fā)送切換確認消息。上述功能可以通過許多方式來實現(xiàn)���。例如�����,可以采用用于實現(xiàn)上文所述每個功能 的任何適當?shù)姆绞絹韺崿F(xiàn)本發(fā)明��。在一個實施方式中����,本發(fā)明的所有或部分元件通常在計 算機程序產品的控制下進行操作�。用于執(zhí)行本發(fā)明實施方式的方法的計算機程序產品包括 計算機可讀存儲介質(例如,非易失性存儲介質)���,以及包含在計算機可讀存儲介質中的計 算機可讀程序代碼部分(例如�����,一系列計算機指令)����。因此�����,本發(fā)明的實施方式在兩個切換(也被稱作“跳”)之后通過配置信令網關或 移動管理實體(例如,MME)為切換提供密碼分離中間密鑰�,用于向目標接入點提供位置更 新確認/響應內或綁定更新確認/響應消息(例如�,路徑交換確認消息)的Next-Hop-KeNB。 在這方面��,利用使用了 KASME和Next-Hop-KeNB兩者作為輸入參數(shù)的密鑰推導函數(shù)推導密 鑰可以產生從源接入點使用的KeNB密碼分離的密鑰���。本發(fā)明的至少某些實施方式在兩個 切換之后提供了密碼密鑰分離�����,這是因為在無線鏈路切換之后提供了路徑交換確認消息�, 因此源接入點提供了目標接入點使用的密鑰值����。然而,在附加切換之后���,源接入點可以不計算目標接入點用于為隨后目標接入點準備切換的密鑰��,因為目標接入點使用的值是由MME 在路徑交換確認消息中提供的����。此外,本發(fā)明的實施方式可以為切換提供在開銷方面對網絡實體最小影響 的密碼密鑰分離��。在某些實施方式中����,MME每次切換執(zhí)行附加密鑰推導并且存儲當前 Next-Hop-KeNB,使得MME可以在密鑰推導函數(shù)中使用當前Next-Hop-KeNB的值來產生新的 KeNB和新的Next-Hop-KeNB�����。在某些實施方式中�,UE執(zhí)行附加計算以先于計算KeNB*值來 推導中間值。這里列出的本發(fā)明的許多修改和其他實施方式將使這些發(fā)明所屬領域的技術人 員意識到能從上文描述和附圖中呈現(xiàn)的教導中受益���。例如�����,雖然本發(fā)明的實施方式結合 E-UTRAN標準進行描述��,但是本發(fā)明的實施方式還可以采用其他網絡和通信協(xié)議����。因此,應 當理解本發(fā)明并不限于所公開的特定實施方式���,并且修改和其他實施方式旨在包括在所附 權利要求的范圍內�。此外�����,雖然上文描述和附圖描述了元件和/或功能的某些示例性組合 的上下文中的示例性實施方式�����,但是應當理解元件和/或功能的不同組合可以通過備選的 實施方式提供而不脫離所附權利要求書的范圍��。在這方面���,例如,有別于那些上文明確描述 的元件和/或函數(shù)的組合還被視為可以在所附權利要求書的某些權利要求中列出�����。雖然這 里采用了特定術語�����,但是它們僅在通用和描述性的意義上使用而不用于限制目的。
權利要求
一種方法���,包括響應用戶裝置設備從源接入點到目標接入點的切換�,至少部分地基于先前存儲的第一中間值來計算密鑰�����;至少部分地基于所述計算的密鑰來計算第二中間值���;以及向所述目標接入點發(fā)送包括所述第二中間值的路徑交換確認消息以用于所述用戶裝置設備的隨后切換����。
2.根據權利要求1所述的方法����,進一步包括從所述目標接入點接收路徑交換消息;以及其中計算所述密鑰包括響應于所述路徑交換消息的接收來計算所述密鑰�。
3.根據權利要求2所述的方法,其中接收路徑交換消息進一步包括接收包括小區(qū)標識的指示的路徑交換消息�;以及其中計算所述密鑰包括至少部分地基于所述小區(qū)標識和所述先前存儲的第一中間值來計 算所述密鑰。
4.根據權利要求1所述的方法�,其中接收路徑交換消息進一步包括接收已經由所述目標接入點至少部分地基于所述第一 中間值保護的路徑交換消息;以及進一步包括在計算所述密鑰之前�,至少部分地基于所述第一中間值來驗證所述路徑交換消息���。
5.根據權利要求1所述的方法,其中計算所述第二中間值包括至少部分地基于所計算 的密鑰��、所述第一中間值和Kasme來計算所述第二中間值���。
6.根據權利要求1所述的方法����,進一步包括將所述第二中間值存儲到存儲器中���。
7.根據權利要求1所述的方法,其中計算密鑰包括計算所述用戶裝置設備的無線鏈路 切換之后的所述密鑰�����。
8.根據權利要求1所述的方法�,其中計算密鑰包括計算Κ_*。
9.根據權利要求1所述的方法�����,其中計算所述第二中間值包括移動管理實體計算所述 第二中間值��。
10.一種方法,包括從源接入點接收切換命令��;響應于所述切換命令的接收�,至少部分地基于第一中間值來計算密鑰;以及至少部分地基于所述第一中間值來計算第二中間值��,其中所述第二中間值將用于計算 隨后切換中的一個或多個密鑰��。
11.根據權利要求10所述的方法�����,其中所述切換命令進一步包括小區(qū)標識的指示��;以 及其中計算所述密鑰包括至少部分地基于所述小區(qū)標識和所述第一中間值來計算所述密鑰�����。
12.根據權利要求10所述的方法��,其中計算密鑰包括計算Κ_*���。
13.根據權利要求10所述的方法�,其中計算所述第二中間值包括至少部分地基于所計 算的密鑰���、所述第一中間值和Kasme來計算所述第二中間值���。
14.根據權利要求10所述的方法��,其中所述切換命令指示用戶裝置設備從所述源接入 點到目標接入點的切換����。
15.根據權利要求10所述的方法���,其中所述計算的密鑰用于促進切換后與目標接入點的通信���。
16.根據權利要求10所述的方法,進一步包括將所述第二中間值存儲到存儲器中����。
17.根據權利要求10所述的方法�����,其中計算所述第二中間值包括利用切換管理器來計 算所述第二中間值��。
18.—種包括處理器和存儲可執(zhí)行指令的存儲器的設備�,當所述處理器執(zhí)行所述指令 時��,使得所述設備至少用于響應于用戶裝置設備從源接入點到目標接入點的切換��,至少部分地基于先前存儲的第 一中間值來計算密鑰�����;至少部分地基于所述計算的密鑰來計算第二中間值����;以及向所述目標接入點發(fā)送包括所述第二中間值的路徑交換確認消息以用于所述用戶裝 置設備的隨后切換���。
19.根據權利要求18所述的設備��,其中當執(zhí)行所述可執(zhí)行指令時����,進一步使得所述設 備從所述目標接入點接收路徑交換消息����;以及其中所述可執(zhí)行指令在被執(zhí)行時,使得所述設備響應于所述路徑交換消息的接收來計 算所述密鑰���。
20.根據權利要求19所述的設備�����,其中所述路徑交換消息包括小區(qū)標識的指示���;以及其中所述可執(zhí)行指令在被執(zhí)行時�����,使得所述設備通過至少部分地基于所述小區(qū)標識和所述 先前存儲的第一中間值計算所述密鑰來計算所述密鑰��。
21.根據權利要求18所述的設備�,其中所述路徑交換消息已經由所述目標接入點至少 部分地基于所述第一中間值來保護�;以及其中所述可執(zhí)行指令在被執(zhí)行時,進一步使得所述設備在計算所述密鑰之前至少部分 地基于所述第一中間值來驗證所述路徑交換消息����。
22.根據權利要求18所述的設備,其中所述可執(zhí)行指令在被執(zhí)行時��,使得所述設備至 少部分地基于所計算的密鑰��、所述第一中間值和Kasme來計算所述第二中間值�����。
23.根據權利要求18所述的設備�,其中所述可執(zhí)行指令在被執(zhí)行時,進一步使得所述 設備將所述第二中間值存儲到所述存儲器中����。
24.根據權利要求18所述的設備,其中所述可執(zhí)行指令在被執(zhí)行時�,使得所述設備計 算所述用戶裝置設備的無線鏈路切換之后的所述密鑰。
25.根據權利要求18所述的設備���,其中所述可執(zhí)行指令在被執(zhí)行時��,使得所述處理器 通過計算來計算所述密鑰�。
26.—種包括處理器和存儲可執(zhí)行指令的存儲器的設備���,所述可執(zhí)行指令在被執(zhí)行時�, 使得所述設備至少用于從源接入點接收切換命令�����;響應于所述切換命令的接收�����,至少部分地基于第一中間值來計算密鑰;以及至少部分地基于所述第一中間值來計算第二中間值��,其中所述第二中間值將被用于計 算隨后切換中的一個或多個密鑰�����。
27.根據權利要求26所述的設備�,其中所述切換命令進一步包括小區(qū)標識的指示;以 及其中所述可執(zhí)行指令在被執(zhí)行時���,使得所述設備通過至少部分地基于所述小區(qū)標識和所述 第一中間值計算所述密鑰來計算所述密鑰����。
28.根據權利要求26所述的設備�����,其中所述可執(zhí)行指令在被執(zhí)行時�,使得所述設備通 過計算來計算密鑰。
29.根據權利要求26所述的設備�,其中所述可執(zhí)行指令在被執(zhí)行時,使得所述設備通 過至少部分地基于所計算的密鑰�����、所述第一中間值和Kasme計算所述第二中間值來計算所述 第二中間值��。
30.根據權利要求26所述的設備��,其中所述切換命令指示用戶裝置設備從所述源接入 節(jié)點到目標接入節(jié)點的切換�����。
31.根據權利要求26所述的設備�����,其中所述可執(zhí)行指令在被執(zhí)行時����,進一步使得所述 設備使用所計算的密鑰來促進切換后與目標接入點的通信。
32.根據權利要求26所述的設備�����,其中所述可執(zhí)行指令在被執(zhí)行時���,進一步使得所述 設備將所述第二中間值存儲到所述存儲器中�。
33.一種包括至少一個其中存儲計算機可讀程序指令的計算機可讀存儲介質的計算機 程序產品,所述計算機可讀程序指令包括用于響應用戶裝置設備從源接入點到目標接入點的切換��,至少部分地基于先前存儲的 第一中間值來計算密鑰的程序指令��;用于至少部分地基于所計算的密鑰來計算第二中間值的程序指令��;以及用于向所述目標接入點發(fā)送包括所述第二中間值的路徑交換確認消息以用于所述用 戶裝置設備的隨后切換的程序指令�����。
34.根據權利要求33所述的計算機程序產品����,進一步包括用于從所述目標接入點接收路徑交換消息的程序指令;以及其中用于計算所述密鑰的所述程序指令包括用于響應于所述路徑交換消息的接收來 計算所述密鑰的指令�。
35.根據權利要求34所述的計算機程序產品,其中用于接收路徑交換消息的所述程序指令進一步包括用于接收包括小區(qū)標識的指示的 路徑交換消息的指令�;以及用于計算所述密鑰的所述程序指令包括用于至少部分地基于所述小區(qū)標識和所述先 前存儲的第一中間值計算所述密鑰的指令。
36.根據權利要求33所述的計算機程序產品����,其中用于接收路徑交換消息的所述程序 指令進一步包括用于接收已經由所述目標接入點至少部分地基于所述第一中間值保護的 路徑交換消息的指令;以及進一步包括用于在計算所述密鑰之前至少部分地基于所述第一中間值驗證所述路徑交換消息的 程序指令�����。
37.根據權利要求33所述的計算機程序產品,其中用于計算所述第二中間值的所述程 序指令包括用于至少部分地基于所述計算的密鑰����、所述第一中間值和Kasme計算所述第二中 間值的指令�����。
38.根據權利要求33所述的計算機程序產品����,進一步包括用于將所述第二中間值存儲 到存儲器中的程序指令。
39.根據權利要求33所述的計算機程序產品�,其中用于計算密鑰的所述程序指令包括 用于計算所述用戶裝置設備的無線鏈路切換后所述密鑰的指令。
40.根據權利要求33所述的計算機程序產品�����,其中用于計算密鑰的所述程序指令包括 用于計算Kdffi*的指令�����。
41.一種包括至少一個其中存儲了計算機可讀程序指令的計算機可讀存儲介質的計算 機程序產品�,所述計算機可讀程序指令包括用于從源接入點接收切換命令的程序指令;用于響應于所述切換命令的接收而至少部分地基于第一中間值計算密鑰的程序指令;以及用于至少部分地基于所述第一中間值計算第二中間值的程序指令���,其中所述第二中間 值將用于計算隨后切換中的一個或多個密鑰�����。
42.根據權利要求41所述的計算機程序產品�,其中所述切換命令進一步包括小區(qū)標識 的指示;以及其中用于計算所述密鑰的所述程序指令包括用于至少部分地基于所述小區(qū)標識和所述第 一中間值計算所述密鑰的指令����。
43.根據權利要求41所述的計算機程序產品,其中用于計算密鑰的所述程序指令包括 用于計算Kdffi*的指令��。
44.根據權利要求41所述的計算機程序產品�����,其中用于計算所述第二中間值的所述程 序指令包括用于至少部分地基于所述計算的密鑰�、所述第一中間值和Kasme計算所述第二中 間值的指令。
45.根據權利要求41所述的計算機程序產品�,其中所述切換命令指示了用戶裝置設備 從所述源接入點到目標接入點的切換。
46.根據權利要求41所述的計算機程序產品��,進一步包括用于使用所述計算的密鑰來 促進切換后與目標接入點通信的程序指令��。
47.根據權利要求41所述的計算機程序產品�����,進一步包括用于將所述第二中間值存儲 到存儲器中的程序指令。
48.一種設備��,包括用于響應用戶裝置設備從源接入點到目標接入點的切換�����,至少部分地基于先前存儲的 第一中間值來計算密鑰的裝置���;用于至少部分地基于所述計算的密鑰來計算第二中間值的裝置;以及 用于向所述目標接入點發(fā)送包括所述第二中間值的路徑交換確認消息用于所述用戶 裝置設備的隨后切換的裝置��。
49.一種設備�����,包括用于從源接入點接收切換命令的裝置��;用于響應于所述切換命令的接收����,至少部分地基于第一中間值來計算密鑰的裝置;以及用于至少部分地基于所述第一中間值計算第二中間值的裝置���,其中所述第二中間值將 用于計算隨后切換中的一個或多個密鑰����。
全文摘要
提供了一種方法、設備和計算機程序產品用于為切換提供密碼密鑰分離�����。提供的方法包括至少部分地基于先前存儲的第一中間值來計算密鑰����。該方法還包括至少部分地基于經計算的密鑰來計算第二中間值。該方法另外包括向目標接入點發(fā)送包括該第二中間值的路徑交換確認���。該方法可以進一步包括接收包括了小區(qū)標識的指示的路徑交換消息�����,并且基于該小區(qū)標識的指示計算加密密鑰�。該方法可以進一步包括存儲該第二中間值��。密鑰的計算可以進一步包括計算無線鏈路切換后的密鑰���。同樣提供了對應的設備和計算機程序產品���。
文檔編號H04L29/06GK101983518SQ200980112212
公開日2011年3月2日 申請日期2009年3月30日 優(yōu)先權日2008年4月4日
發(fā)明者D·L·A·弗斯伯格, M·布羅梅爾特, P·V·涅米 申請人:諾基亞公司