專(zhuān)利名稱(chēng):用于為會(huì)話加密和完整性密鑰信令通知增強(qiáng)型安全性上下文的裝置和方法
用于為會(huì)話加密和完整性密鑰信令通知增強(qiáng)型安全性上下文的裝置和方法背景相關(guān)申請(qǐng)的交叉引用本申請(qǐng)要求2010年4月15日提交的美國(guó)臨時(shí)申請(qǐng)No. 61/324,646的權(quán)益��,該申請(qǐng)通過(guò)援引納入于此���。領(lǐng)域本發(fā)明一般涉及在通用移動(dòng)電信業(yè)務(wù)(UMTS)和/或GSM EDGE無(wú)線電接入網(wǎng)(GERAN)中工作的用戶裝備的增強(qiáng)型安全性上下文信令。背景 UMTS第三代(3G)無(wú)線電接入網(wǎng)中或使用3G AKA (認(rèn)證和密鑰協(xié)定)認(rèn)證的GERAN網(wǎng)絡(luò)中成功的AKA認(rèn)證導(dǎo)致用于保護(hù)用戶裝備(UE)與網(wǎng)絡(luò)之間的通信的一對(duì)共享密鑰�����,即密碼密鑰(CK)和完整性密鑰(IK)。這些共享密鑰可以如在UTRAN (UMTS地面無(wú)線電接入網(wǎng))情形中那樣直接被用來(lái)保護(hù)UE與網(wǎng)絡(luò)之間的話務(wù)�����,或者可被用來(lái)靜態(tài)地推導(dǎo)密鑰��,例如GERAN (GSM EDGE無(wú)線電接入網(wǎng))情形中的Kc或Kci28����。泄密的密鑰可能導(dǎo)致嚴(yán)重的安全性問(wèn)題,直至這些密鑰在下一次AKA認(rèn)證時(shí)被改變���。典型情況下�,由于所需要的大量開(kāi)銷(xiāo)���,因而AKA認(rèn)證并不經(jīng)常運(yùn)行���。另外,如果這兩個(gè)密鑰(CK和IK)均被泄密��,那么GERAN密鑰就被泄密�。在UMTS/HSPA (高速分組接入)部署中��,無(wú)線電網(wǎng)絡(luò)控制器(RNC)和B節(jié)點(diǎn)的功能性中的ー些或全部可被折疊到一起成為網(wǎng)絡(luò)邊緣處的ー個(gè)節(jié)點(diǎn)���。RNC需要用于諸如用戶面密碼化和信令面密碼化以及完整性保護(hù)之類(lèi)的功能性的密鑰。然而�����,RNC功能性可能被部署在隱露的位直中�,諸如在UMTS暈微微蜂窩小區(qū)內(nèi)的歸屬B節(jié)點(diǎn)中。相應(yīng)地�,部署在可能不安全的位置中的提供接入(包括物理接入)的RNC功能性可能允許這些密鑰(即CK和IK)被泄密。會(huì)話密鑰(CK和IK的修改版本)可被用來(lái)降低與曝露的RNC功能性相關(guān)聯(lián)的安全性風(fēng)險(xiǎn)�����。在美國(guó)專(zhuān)利申請(qǐng)公開(kāi)No. US 2007/0230707A1中公開(kāi)了用于提供此類(lèi)會(huì)話密鑰的技術(shù)���。遺憾的是�����,此類(lèi)會(huì)話密鑰的使用需要對(duì)服務(wù)網(wǎng)絡(luò)進(jìn)行升級(jí)修改����。然而�,網(wǎng)絡(luò)運(yùn)營(yíng)商有可能以分階段的方式來(lái)升級(jí)服務(wù)網(wǎng)絡(luò)。因此���,需要用于信令通知與舊式服務(wù)網(wǎng)絡(luò)兼容的增強(qiáng)型安全性上下文支持的技術(shù)����。概述本發(fā)明的一方面可在于ー種用于建立遠(yuǎn)程站與服務(wù)網(wǎng)絡(luò)之間的第一安全性上下文的方法��。第一安全性上下文具有不受第二安全性上下文支持的安全性特性�����。在該方法中�����,遠(yuǎn)程站向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息���,其中該第一消息包括信令通知該遠(yuǎn)程站支持第一安全性上下文的信息元素����。遠(yuǎn)程站根據(jù)第一安全性上下文使用該信息元素來(lái)生成至少ー個(gè)會(huì)話密鑰�。遠(yuǎn)程站響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持第一安全性上下文的指示的第二消息����。遠(yuǎn)程站響應(yīng)于第二消息而使無(wú)線通信由該至少一個(gè)會(huì)話密鑰來(lái)保護(hù)�����。在本發(fā)明的更詳細(xì)方面����,信息元素可包括為會(huì)話更新的計(jì)數(shù)值。另外�����,服務(wù)網(wǎng)絡(luò)支持第一安全性上下文的指示可包括認(rèn)證碼���,該認(rèn)證碼是基于由服務(wù)網(wǎng)絡(luò)使用接收自遠(yuǎn)程站的信息元素生成的相應(yīng)的至少ー個(gè)會(huì)話密鑰生成的�。另外��,遠(yuǎn)程站可包括移動(dòng)用戶裝備�����。在本發(fā)明的其他更詳細(xì)方面,服務(wù)網(wǎng)絡(luò)可以是UMTS服務(wù)網(wǎng)絡(luò)���。第一安全性上下文可以是增強(qiáng)型UMTS安全性上下文�,而第二安全性上下文可以是舊式UTRAN安全性上下文���。替換地,服務(wù)網(wǎng)絡(luò)可以是GERAN服務(wù)網(wǎng)絡(luò)���。本發(fā)明的另一方面可在于ー種遠(yuǎn)程站���,該遠(yuǎn)程站可包括用于向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息的裝置,其中該第一消息包括信令通知該遠(yuǎn)程站支持第一安全性上下文的信息元素���,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性�����;用于根據(jù)第一安全性上下文使用該信息元素來(lái)生成至少ー個(gè)會(huì)話密鑰的裝置�����;用于響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持第一安全性上下文的指示的第二消息的裝置���;以及用于響應(yīng)于第二消息而使無(wú)線通信由該至少一個(gè)會(huì)話密鑰來(lái)保護(hù)的裝置�����。 本發(fā)明的另一方面可在于ー種可包括處理器的遠(yuǎn)程站�,該處理器被配置成向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息�,其中該第一消息包括信令通知該遠(yuǎn)程站支持第一安全性上下文的信息元素,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性����;根據(jù)第一安全性上下文使用該信息元素來(lái)生成至少ー個(gè)會(huì)話密鑰;響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持第一安全性上下文的指示的第二消息���;以及響應(yīng)于第二消息而使無(wú)線通信由該至少一個(gè)會(huì)話密鑰來(lái)保護(hù)���。本發(fā)明的另一方面可在于ー種包括計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的計(jì)算機(jī)程序產(chǎn)品,該計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括用于使計(jì)算機(jī)向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息的代碼�,其中該第一消息包括信令通知該計(jì)算機(jī)支持第一安全性上下文的信息元素,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性�����;用于使計(jì)算機(jī)根據(jù)第一安全性上下文使用該信息元素來(lái)生成至少ー個(gè)會(huì)話密鑰的代碼���;用于使計(jì)算機(jī)響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持第一安全性上下文的指示的第二消息的代碼�����;以及用于使計(jì)算機(jī)響應(yīng)于第二消息而使無(wú)線通信由該至少一個(gè)會(huì)話密鑰來(lái)保護(hù)的代碼����。附圖簡(jiǎn)述圖I是無(wú)線通信系統(tǒng)的示例的框圖�����。圖2是根據(jù)UMTS/UTRAN架構(gòu)的無(wú)線通信系統(tǒng)的示例的框圖���。圖3是根據(jù)GERAN架構(gòu)的無(wú)線通信系統(tǒng)的示例的框圖����。圖4是用于建立遠(yuǎn)程站與服務(wù)網(wǎng)絡(luò)之間的增強(qiáng)型安全性上下文的方法的流程圖��。圖5是用于基于附連請(qǐng)求消息來(lái)建立遠(yuǎn)程站與服務(wù)網(wǎng)絡(luò)之間的增強(qiáng)型安全性上下文的方法的流程圖��。圖6是用于基于服務(wù)請(qǐng)求消息從遠(yuǎn)程站與服務(wù)網(wǎng)絡(luò)之間的增強(qiáng)型安全性上下文建立至少ー個(gè)會(huì)話密鑰的方法的流程圖�。圖7是用于基于路由區(qū)域更新請(qǐng)求消息從遠(yuǎn)程站與服務(wù)網(wǎng)絡(luò)之間的增強(qiáng)型安全性上下文建立至少ー個(gè)會(huì)話密鑰的方法的流程圖。圖8是包括處理器和存儲(chǔ)器的計(jì)算機(jī)的框圖���。詳細(xì)描述
措辭“示例性”在本文中用于表示“用作示例����、實(shí)例或解說(shuō)”。本文中描述為“示例性”的任何實(shí)施例不必被解釋為優(yōu)于或勝過(guò)其他實(shí)施例���。參照?qǐng)D2到圖4�����,本發(fā)明的一方面可在于用于建立遠(yuǎn)程站210與服務(wù)網(wǎng)絡(luò)230之間的增強(qiáng)型安全性上下文的方法400����。在該方法中��,遠(yuǎn)程站向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息(步驟410)��,其中該第一消息包括信令通知該遠(yuǎn)程站支持增強(qiáng)型安全性上下文的信息元素���。遠(yuǎn)程站根據(jù)增強(qiáng)型安全性上下文使用該信息元素來(lái)生成至少ー個(gè)會(huì)話密鑰(CKs和IKs)(步驟420)���。遠(yuǎn)程站響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持增強(qiáng)型安全性上下文的指示的第二消息(步驟430)。遠(yuǎn)程站響應(yīng)于第二消息而使無(wú)線通信由該至少ー個(gè)會(huì)話密鑰來(lái)保護(hù)(步驟440)�����。該信息元素可包括計(jì)數(shù)。另外���,服務(wù)網(wǎng)絡(luò)支持增強(qiáng)型安全性上下文的指示可包括認(rèn)證碼(MAC)�,該認(rèn)證碼是基于由服務(wù)網(wǎng)絡(luò)230使用接收自遠(yuǎn)程站210的信息元素生成的相應(yīng)的至少ー個(gè)會(huì)話密鑰生成的����。另外,遠(yuǎn)程站可包括諸如無(wú)線設(shè)備之類(lèi)的移動(dòng)用戶裝備(UE)0
進(jìn)ー步參照?qǐng)D8����,本發(fā)明的另一方面可在于ー種遠(yuǎn)程站210����,該遠(yuǎn)程站210可包括用于向服務(wù)網(wǎng)絡(luò)230轉(zhuǎn)發(fā)第一消息的裝置(處理器810),其中該第一消息包括信令通知該遠(yuǎn)程站支持增強(qiáng)型安全性上下文的信息元素��;用于根據(jù)增強(qiáng)型安全性上下文使用該信息元素來(lái)生成至少ー個(gè)會(huì)話密鑰的裝置�����;用于響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持增強(qiáng)型安全性上下文的指示的第二消息的裝置�����;以及用于響應(yīng)于第二消息而使無(wú)線通信由該至少ー個(gè)會(huì)話密鑰來(lái)保護(hù)的裝置。本發(fā)明的另一方面可在于ー種可包括處理器810的遠(yuǎn)程站210�����,該處理器810被配置成向服務(wù)網(wǎng)絡(luò)230轉(zhuǎn)發(fā)第一消息����,其中該第一消息包括信令通知該遠(yuǎn)程站支持增強(qiáng)型安全性上下文的信息元素;根據(jù)增強(qiáng)型安全性上下文使用該信息元素來(lái)生成至少ー個(gè)會(huì)話密鑰�;響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持增強(qiáng)型安全性上下文的指示的第二消息;以及響應(yīng)于第二消息而使無(wú)線通信由該至少一個(gè)會(huì)話密鑰來(lái)保護(hù)����。本發(fā)明的另一方面可在于ー種包括計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)820的計(jì)算機(jī)程序產(chǎn)品,該計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)820包括用于使計(jì)算機(jī)800向服務(wù)網(wǎng)絡(luò)230轉(zhuǎn)發(fā)第一消息的代碼��,其中該第一消息包括信令通知該計(jì)算機(jī)支持增強(qiáng)型安全性上下文的信息元素����;用于使計(jì)算機(jī)根據(jù)增強(qiáng)型安全性上下文使用該信息元素來(lái)生成至少ー個(gè)會(huì)話密鑰的代碼;用于使計(jì)算機(jī)響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持增強(qiáng)型安全性上下文的指示的第二消息的代碼���;以及用于使計(jì)算機(jī)響應(yīng)于第二消息而使無(wú)線通信由該至少一個(gè)會(huì)話密鑰來(lái)保護(hù)的代碼�。服務(wù)核心網(wǎng)230連接至向遠(yuǎn)程站210提供無(wú)線通信的服務(wù)RAN (無(wú)線電接入網(wǎng))220。在UMTS/UTRAN架構(gòu)中�,服務(wù)RAN包括B節(jié)點(diǎn)和RNC(無(wú)線電網(wǎng)絡(luò)控制器)。在GERAN架構(gòu)中���,服務(wù)RAN包括BTS (基收發(fā)機(jī)站)和BSC (基站控制器)����。服務(wù)核心網(wǎng)包括用于提供電路交換(CS)服務(wù)的MSC/VLR (移動(dòng)交換中心/訪客位置寄存器)和用于提供分組交換(PS)服務(wù)的SGSN (服務(wù)GPRS支持節(jié)點(diǎn))�����。歸屬網(wǎng)絡(luò)包括HLR (歸屬位置寄存器)和AuC (認(rèn)證中心)�����?��?梢杂眯碌陌踩蕴匦詠?lái)增強(qiáng)UE 210和服務(wù)核心網(wǎng)230以使用COUNT(計(jì)數(shù)器值)來(lái)創(chuàng)建增強(qiáng)型UMTS安全性上下文(ESC)。當(dāng)AKA認(rèn)證被執(zhí)行時(shí)��,可以從CK和IK推導(dǎo)用于ESC的256位根密鑰(KASMEU)�����。根密鑰可被設(shè)為等于CK| IIK,或者可使用導(dǎo)致附加的有用安全性特性(例如�����,CK和IK不需要被保持)的更復(fù)雜的推導(dǎo)來(lái)推導(dǎo)根密鑰��。COUNT可以是在UE與服務(wù)核心網(wǎng)之間維護(hù)的16位計(jì)數(shù)器值����。注意舊式UTRAN安全性上下文由KSI (3位密鑰集標(biāo)識(shí)符)、CK (128位加密密鑰)和IK (128位完整性密鑰)構(gòu)成�。參照?qǐng)D5,在與UMTS附連規(guī)程有關(guān)的方法500中���,UE 210可在UMTS附連請(qǐng)求消息中信令通知該UE 210支持ESC(步驟510)����。ESC是第一安全性上下文的示例���。支持信令可以是該消息中新信息元素(IE)的存在����。該IE可包括計(jì)數(shù)值�����。不支持ESC的服務(wù)網(wǎng)絡(luò)SN230將忽略該新IE。不支持ESC是第二安全性上下文的示例���。從HLR/AuC 240獲得認(rèn)證數(shù)據(jù)(RAND, XRES, CK, IK, AUTN)(步驟515)��。SN可在對(duì)UE的AKA質(zhì)詢(xún)(認(rèn)證請(qǐng)求)中指示ESC支持(步驟520)����。UE執(zhí)行認(rèn)證規(guī)程(步驟525)并向SN返回響應(yīng)RES(步驟530)�。一旦成功認(rèn)證(步驟530),UE和SN就推導(dǎo)根密鑰Kasmeu和會(huì)話密鑰CKs和IKs (步驟535)����。SN在SMC(安全性模式命令)消息中向RAN 220轉(zhuǎn)發(fā)這些會(huì)話密鑰(步驟540)。RAN使用會(huì)話密鑰IKs來(lái)生成消息認(rèn)證碼(MAC)�,該MAC在SMC消息中被轉(zhuǎn)發(fā)給UE(步驟545)。UE使用該UE推導(dǎo)出的會(huì)話密鑰IKs來(lái)檢查該MAC (步驟550)��,并向RAN返回完成指示(步驟555)����,該RAN向SN轉(zhuǎn)發(fā)該完成指示(步驟560)�����。UE隨后能夠使用這些會(huì)話密鑰來(lái)保護(hù)通信(步驟565)。 參照?qǐng)D6��,在與空閑至活躍模式規(guī)程600有關(guān)的方法600中���,UE 210向SN 230轉(zhuǎn)發(fā)包括計(jì)數(shù)值的服務(wù)請(qǐng)求消息(步驟610)����。UE和SN從根密鑰Kasmeu推導(dǎo)新的會(huì)話密鑰CKs和IKs (步驟620)����。SN在SMC消息中向RAN 220轉(zhuǎn)發(fā)這些會(huì)話密鑰(步驟630)。RAN生成MAC,該MAC在SMC消息中被轉(zhuǎn)發(fā)給UE (步驟640)�。UE檢查該MAC (步驟650)并向RAN返回完成指示(步驟660),該RAN向SN轉(zhuǎn)發(fā)該完成指示(步驟670)����。UE隨后能夠使用這些會(huì)話密鑰來(lái)保護(hù)通信(步驟680)。參照?qǐng)D7�����,在與移動(dòng)性管理規(guī)程700 (諸如路由區(qū)域更新(RAU)或位置區(qū)域更新(LAU))有關(guān)的方法700中,UE 210向SN 230轉(zhuǎn)發(fā)包括計(jì)數(shù)值的RAU (或LAU)請(qǐng)求消息(步驟710)��?�?扇芜x地�����,UE和SN可從根密鑰Kasmeu推導(dǎo)新的會(huì)話密鑰CKs和IKs (步驟720)�����。SN可在SMC消息中向RAN 220轉(zhuǎn)發(fā)這些會(huì)話密鑰(步驟730)���。RAN可生成MAC��,該MAC可在SMC消息中被轉(zhuǎn)發(fā)給UE (步驟740)���。UE可檢查該MAC (步驟750),并可向RAN返回完成指示(步驟760)�����,該RAN向SN轉(zhuǎn)發(fā)該完成指示(步驟770)��。SN隨后向UE發(fā)送RAU接受消息(步驟780)。UE隨后能夠使用這些會(huì)話密鑰來(lái)保護(hù)通信����?����?梢詾閺目臻e向活躍狀態(tài)的每個(gè)轉(zhuǎn)移生成新的接入階層(AS)密鑰�����。類(lèi)似地���,可以在其他事件發(fā)生時(shí)生成密鑰�����?����?梢栽诳臻e移動(dòng)性消息中和在初始的層3消息(例如�����,用于空閑����、移動(dòng)性、或服務(wù)請(qǐng)求的附連���、RAU����、LAU)中發(fā)送計(jì)數(shù)值��。SN可檢查所發(fā)送的計(jì)數(shù)值在之前尚未被使用過(guò)����,并在該過(guò)程中更新存儲(chǔ)著的計(jì)數(shù)值。如果計(jì)數(shù)值是新的(例如��,接收到的計(jì)數(shù)值 > 存儲(chǔ)著的計(jì)數(shù)值)���,那么UE和SN使用諸如HMAC-SHA256之類(lèi)的密鑰推導(dǎo)函數(shù)(KDF)從根密鑰Kasmeu和所發(fā)送的計(jì)數(shù)值來(lái)著手演算新的密鑰CKs和IKS���。KDF可包括關(guān)于新密鑰演算的諸如RAN節(jié)點(diǎn)身份之類(lèi)的附加信息。如果檢查失敗(計(jì)數(shù)值不是新的)�����,那么SN拒絕該消息。對(duì)于GERAN使用�,在從CKs和IKs演算K。和Ka28吋���,該演算可以按與在從CK和IK演算K。和Ka28時(shí)相同的方式進(jìn)行�。會(huì)話密鑰(CKs和IKs)可具有壽命,以使得UE和服務(wù)網(wǎng)絡(luò)保持并使用這些會(huì)話密鑰���,直至存儲(chǔ)這些密鑰以在UE與網(wǎng)絡(luò)之間安全地發(fā)送話務(wù)不再是必需的(UE移至空閑模式)或者在后續(xù)事件(例如�,AKA認(rèn)證或移動(dòng)性事件)發(fā)生時(shí)創(chuàng)建了新的上下文���。遠(yuǎn)程站210可包括計(jì)算機(jī)800����,該計(jì)算機(jī)包括諸如存儲(chǔ)器之類(lèi)的存儲(chǔ)介質(zhì)820����、顯示器830、以及諸如鍵盤(pán)之類(lèi)的輸入設(shè)備840����。該裝置可包括無(wú)線連接850���。參照
圖1,無(wú)線遠(yuǎn)程站(RS)102 (或UE)可以與無(wú)線通信系統(tǒng)100的ー個(gè)或更多個(gè)基站(BS) 104通信���。無(wú)線通信系統(tǒng)100可進(jìn)ー步包括一個(gè)或更多個(gè)基站控制器(BSC) 106��、以及核心網(wǎng)108����。核心網(wǎng)可經(jīng)由合適的回程連接至因特網(wǎng)110和公共交換電話網(wǎng)(PSTN)112���。典型的無(wú)線移動(dòng)站可包括手持式電話或膝上型計(jì)算機(jī)�����。無(wú)線通信系統(tǒng)100可以采用數(shù)種多址技術(shù)中的任何ー種����,諸如碼分多址(⑶MA)�����、時(shí)分多址(TDMA)、頻分多址(FDMA)���、空分多址(SDMA)�、極分多址(PDMA)�����、或其他本領(lǐng)域中所知的調(diào)制技術(shù)�。無(wú)線設(shè)備102可包括基于由無(wú)線設(shè)備傳送或在無(wú)線設(shè)備處接收到的信號(hào)來(lái)執(zhí)行諸功能的各種組件���。例如���,無(wú)線頭戴式送受話器可包括適配成基于經(jīng)由接收機(jī)接收到的信號(hào)提供音頻輸出的換能器。無(wú)線手表可包括適配成基于經(jīng)由接收機(jī)接收到的信號(hào)提供指示的用戶接ロ��。無(wú)線感測(cè)設(shè)備可包括適配成提供要傳送給另ー設(shè)備的數(shù)據(jù)的傳感器�����。 無(wú)線設(shè)備可經(jīng)由一條或更多條無(wú)線通信鏈路通信����,這些無(wú)線通信鏈路基于或以其他方式支持任何合適的無(wú)線通信技木����。例如���,在ー些方面���,無(wú)線設(shè)備可與網(wǎng)絡(luò)相關(guān)聯(lián)。在一些方面��,網(wǎng)絡(luò)可包括體域網(wǎng)或個(gè)域網(wǎng)(例如��,超寬帶網(wǎng)絡(luò))����。在ー些方面,網(wǎng)絡(luò)可包括局域網(wǎng)或廣域網(wǎng)�����。無(wú)線設(shè)備可支持或以其他方式使用各種無(wú)線通信技術(shù)����、協(xié)議、或標(biāo)準(zhǔn)——諸如舉例而言CDMA����、TDMA���、0FDM、0FDMA�����、WiMAX和Wi-Fi——中的一種或更多種���。類(lèi)似地,無(wú)線設(shè)備可支持或以其他方式使用各種相應(yīng)調(diào)制或復(fù)用方案中的ー種或更多種����。無(wú)線設(shè)備由此可包括用于使用以上或其他無(wú)線通信技術(shù)建立一條或更多條無(wú)線通信鏈路并經(jīng)由這一條或更多條無(wú)線通信鏈路來(lái)通信的恰適組件(例如��,空中接ロ)��。例如�����,設(shè)備可包括具有相關(guān)聯(lián)的發(fā)射機(jī)和接收機(jī)組件(例如�,發(fā)射機(jī)和接收機(jī))的無(wú)線收發(fā)機(jī)��,這些發(fā)射機(jī)和接收機(jī)組件可包括促成無(wú)線介質(zhì)上的通信的各種組件(例如,信號(hào)發(fā)生器和信號(hào)處理器)�����。本文中的教示可被納入各種裝置(例如��,設(shè)備)中(例如���,實(shí)現(xiàn)在其內(nèi)或由其執(zhí)行)����。例如���,本文示教的ー個(gè)或更多個(gè)方面可被納入到電話(例如�,蜂窩電話)���、個(gè)人數(shù)字助理(“PDA”)�、娛樂(lè)設(shè)備(例如��,音樂(lè)或視頻設(shè)備)�、頭戴式送受話器(例如,聽(tīng)筒、耳機(jī)等)���、麥克風(fēng)����、醫(yī)療設(shè)備(例如��,生物測(cè)定傳感器�����、心率監(jiān)視器����、計(jì)步器、EKG設(shè)備等)����、用戶I/O設(shè)備(例如���,手表����、遙控器、照明開(kāi)關(guān)�����、鍵盤(pán)���、鼠標(biāo)等)��、輪胎氣壓監(jiān)視器��、計(jì)算機(jī)�����、銷(xiāo)售點(diǎn)(POS)設(shè)備���、娛樂(lè)設(shè)備、助聽(tīng)器��、機(jī)頂盒�����、或任何其它合適設(shè)備中�����。這些設(shè)備可具有不同功率和數(shù)據(jù)需求。在ー些方面中��,本文中的教示可適配成用在低功率應(yīng)用中(例如�,通過(guò)使用基于脈沖的信令方案和低占空比模式),并且可支持各種數(shù)據(jù)率�,包括相對(duì)高的數(shù)據(jù)率(例如,通過(guò)使用高帶寬脈沖)�����。在ー些方面����,無(wú)線設(shè)備可包括通信系統(tǒng)的接入設(shè)備(例如,Wi-Fi接入點(diǎn))��。此類(lèi)接入設(shè)備可提供例如經(jīng)由有線或無(wú)線通信鏈路至另ー網(wǎng)絡(luò)(例如�����,諸如因特網(wǎng)或蜂窩網(wǎng)絡(luò)等廣域網(wǎng))的連通性���。因此,接入設(shè)備可使得另ー設(shè)備(例如,Wi-Fi站)能接入該另ー網(wǎng)絡(luò)或某個(gè)其他功能�。此外應(yīng)領(lǐng)會(huì),這些設(shè)備中的一者或其兩者可以是便攜式的�,或者在一些情形中為相對(duì)非便攜式的。本領(lǐng)域技術(shù)人員將可理解�����,信息和信號(hào)可使用各種不同技術(shù)和技藝中的任何技術(shù)和技藝來(lái)表示�。例如,以上描述通篇引述的數(shù)據(jù)���、指令�����、命令��、信息�����、信號(hào)��、位����、碼元、和碼片可由電壓�、電流、電磁波��、磁場(chǎng)或磁粒子���、光場(chǎng)或光學(xué)粒子����、或其任何組合來(lái)表不�����。本領(lǐng)域技術(shù)人員將進(jìn)ー步領(lǐng)會(huì)���,結(jié)合本文中所公開(kāi)的實(shí)施例來(lái)描述的各種說(shuō)明性邏輯塊���、模塊、電路����、和算法步驟可實(shí)現(xiàn)為電子硬件�����、計(jì)算機(jī)軟件、或這兩者的組合�����。為清楚地解說(shuō)硬件與軟件的這一可互換性���,各種解說(shuō)性組件�、框�����、模塊�、電路、和步驟在上面是以其功能性的形式作一般化描述的���。此類(lèi)功能性是被實(shí)現(xiàn)為硬件還是軟件取決于具體應(yīng)用和施加于整體系統(tǒng)的設(shè)計(jì)約束��。技術(shù)人員對(duì)于每種特定應(yīng)用可用不同的方式來(lái)實(shí)現(xiàn)所描述的功能性��,但這樣的實(shí)現(xiàn)決策不應(yīng)被解讀成導(dǎo)致脫離了本發(fā)明的范圍�。結(jié)合本文所公開(kāi)的實(shí)施例描述的各種說(shuō)明性邏輯塊、模塊��、和電路可用通用處理器�����、數(shù)字信號(hào)處理器(DSP)�����、專(zhuān)用集成電路(ASIC)����、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)或其它可編程邏輯器件、分立門(mén)或晶體管邏輯����、分立硬件組件、或其設(shè)計(jì)成執(zhí)行本文所描述功能的任何組合來(lái)實(shí)現(xiàn)或執(zhí)行�。通用處理器可以是微處理器,但在替換方案中��,處理器可以是任何常規(guī)處理器����、控制器���、微控制器、或狀態(tài)機(jī)����。處理器還可以被實(shí)現(xiàn)為計(jì)算設(shè)備的組合�����,例如DSP與微處理器的組合����、多個(gè)微處理器、與DSP核心協(xié)作的一個(gè)或更多個(gè)微處理器�����、或任何其他此類(lèi)配置����。 結(jié)合本文中公開(kāi)的實(shí)施例描述的方法或算法的步驟可直接在硬件中、在由處理器執(zhí)行的軟件模塊中����、或在這兩者的組合中實(shí)施���。軟件模塊可駐留在RAM存儲(chǔ)器、閃存�、ROM存儲(chǔ)器、EPROM存儲(chǔ)器�、EEPROM存儲(chǔ)器、寄存器���、硬盤(pán)����、可移動(dòng)盤(pán)����、CD-ROM、或本領(lǐng)域中所知的任何其他形式的存儲(chǔ)介質(zhì)中��。示例性存儲(chǔ)介質(zhì)耦合到處理器以使得該處理器能從/向該存儲(chǔ)介質(zhì)讀取和寫(xiě)入信息�����。在替換方案中�����,存儲(chǔ)介質(zhì)可以被整合到處理器。處理器和存儲(chǔ)介質(zhì)可駐留在ASIC中��。ASIC可駐留在用戶終端中���。在替換方案中���,處理器和存儲(chǔ)介質(zhì)可作為分立組件駐留在用戶終端中。在一個(gè)或更多個(gè)示例性實(shí)施例中��,所描述的功能可在硬件����、軟件�、固件或其任何組合中實(shí)現(xiàn)。如果在軟件中實(shí)現(xiàn)為計(jì)算機(jī)程序產(chǎn)品�����,則各功能可以作為一條或更多條指令或代碼存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上或藉其進(jìn)行傳送�。計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)兩者,其包括促成計(jì)算機(jī)程序從一地向另一地轉(zhuǎn)移的任何介質(zhì)�����。存儲(chǔ)介質(zhì)可以是能被計(jì)算機(jī)訪問(wèn)的任何可用介質(zhì)。作為示例而非限定�����,這樣的計(jì)算機(jī)可讀介質(zhì)可包括RAM��、ROM����、EEPROM、CD-ROM或其它光盤(pán)存儲(chǔ)�����、磁盤(pán)存儲(chǔ)或其它磁存儲(chǔ)設(shè)備�、或能被用來(lái)攜帯或存儲(chǔ)指令或數(shù)據(jù)結(jié)構(gòu)形式的合意程序代碼且能被計(jì)算機(jī)訪問(wèn)的任何其它介質(zhì)。任何連接也被正當(dāng)?shù)胤Q(chēng)為計(jì)算機(jī)可讀介質(zhì)���。例如����,如果軟件是使用同軸電纜���、光纖電纜�����、雙絞線����、數(shù)字訂戶線(DSL)、或諸如紅外��、無(wú)線電�、以及微波之類(lèi)的無(wú)線技術(shù)從web網(wǎng)站、服務(wù)器�����、或其它遠(yuǎn)程源傳送而來(lái)����,則該同軸電纜����、光纖電纜、雙絞線�����、DSL、或諸如紅外��、無(wú)線電��、以及微波之類(lèi)的無(wú)線技術(shù)就被包括在介質(zhì)的定義之中���。如本文中所使用的盤(pán)(disk)和碟(disc)包括壓縮碟(⑶)�、激光碟��、光碟��、數(shù)字多用碟(DVD)��、軟盤(pán)和藍(lán)光碟�,其中盤(pán)(disk)往往以磁的方式再現(xiàn)數(shù)據(jù),而碟(diSC)用激光以光學(xué)方式再現(xiàn)數(shù)據(jù)�。上述的組合也應(yīng)被包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。提供前面對(duì)所公開(kāi)的實(shí)施例的描述是為了使本領(lǐng)域任何技術(shù)人員皆能制作或使用本發(fā)明�。對(duì)這些實(shí)施例的各種修改對(duì)于本領(lǐng)域技術(shù)人員將是顯而易見(jiàn)的,并且本文中定義的普適原理可被應(yīng)用于其他實(shí)施例而不會(huì)脫離本發(fā)明的精神或范圍����。由此�����,本發(fā)明并非旨在被限定于本文中示出的實(shí)施例����,而是應(yīng)被授予與本文中公開(kāi)的原理和新穎性特征一致的最廣義的范圍��。 ·
權(quán)利要求
1.一種用于建立遠(yuǎn)程站與服務(wù)網(wǎng)絡(luò)之間的第一安全性上下文的方法�����,所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性����,所述方法包括 所述遠(yuǎn)程站向所述服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息,其中所述第一消息包括信令通知所述遠(yuǎn)程站支持所述第一安全性上下文的信息元素�����; 所述遠(yuǎn)程站根據(jù)所述第一安全性上下文使用所述信息元素來(lái)生成至少一個(gè)會(huì)話密鑰����; 所述遠(yuǎn)程站響應(yīng)于所述第一消息而接收具有所述服務(wù)網(wǎng)絡(luò)支持所述第一安全性上下文的指示的第二消息���;以及 所述遠(yuǎn)程站響應(yīng)于所述第二消息而使無(wú)線通信由所述至少一個(gè)會(huì)話密鑰來(lái)保護(hù)����。
2.如權(quán)利要求I所述的用于建立第一安全性上下文的方法,其特征在于�,所述信息元素包括為會(huì)話更新的計(jì)數(shù)值。
3.如權(quán)利要求I所述的用于建立第一安全性上下文的方法�����,其特征在于��,所述服務(wù)網(wǎng)絡(luò)是UMTS服務(wù)網(wǎng)絡(luò)��。
4.如權(quán)利要求3所述的用于建立第一安全性上下文的方法�����,其特征在于����,所述第一安全性上下文是增強(qiáng)型UMTS安全性上下文,并且所述第二安全性上下文是舊式UTRAN安全性上下文���。
5.如權(quán)利要求I所述的用于建立第一安全性上下文的方法�,其特征在于,所述服務(wù)網(wǎng)絡(luò)是GERAN服務(wù)網(wǎng)絡(luò)��。
6.如權(quán)利要求I所述的用于建立第一安全性上下文的方法�����,其特征在于���,所述服務(wù)網(wǎng)絡(luò)支持所述第一安全性上下文的所述指示包括認(rèn)證碼���,所述認(rèn)證碼是基于由所述服務(wù)網(wǎng)絡(luò)使用接收自所述遠(yuǎn)程站的所述信息元素生成的相應(yīng)的至少一個(gè)會(huì)話密鑰來(lái)生成的。
7.如權(quán)利要求I所述的用于建立第一安全性上下文的方法���,其特征在于���,所述遠(yuǎn)程站包括移動(dòng)用戶裝備。
8.—種遠(yuǎn)程站,包括 用于向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息的裝置���,其中所述第一消息包括信令通知所述遠(yuǎn)程站支持第一安全性上下文的信息元素�����,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性����; 用于根據(jù)所述第一安全性上下文使用所述信息元素來(lái)生成至少一個(gè)會(huì)話密鑰的裝置���; 用于響應(yīng)于所述第一消息而接收具有所述服務(wù)網(wǎng)絡(luò)支持所述第一安全性上下文的指示的第二消息的裝置��;以及 用于響應(yīng)于所述第二消息而使無(wú)線通信由所述至少一個(gè)會(huì)話密鑰來(lái)保護(hù)的裝置����。
9.如權(quán)利要求8所述的遠(yuǎn)程站��,其特征在于���,所述信息元素包括為會(huì)話更新的計(jì)數(shù)值����。
10.如權(quán)利要求8所述的遠(yuǎn)程站����,其特征在于,所述服務(wù)網(wǎng)絡(luò)是UMTS服務(wù)網(wǎng)絡(luò)���。
11.如權(quán)利要求10所述的遠(yuǎn)程站���,其特征在于���,所述第一安全性上下文是增強(qiáng)型UMTS安全性上下文,并且所述第二安全性上下文是舊式UTRAN安全性上下文��。
12.如權(quán)利要求8所述的遠(yuǎn)程站�,其特征在于,所述服務(wù)網(wǎng)絡(luò)是GERAN服務(wù)網(wǎng)絡(luò)�。
13.如權(quán)利要求8所述的遠(yuǎn)程站,其特征在于�,所述服務(wù)網(wǎng)絡(luò)支持所述第一安全性上下文的所述指示包括認(rèn)證碼,所述認(rèn)證碼是基于由所述服務(wù)網(wǎng)絡(luò)使用接收自所述遠(yuǎn)程站的所述信息元素生成的相應(yīng)的至少一個(gè)會(huì)話密鑰來(lái)生成的�����。
14.如權(quán)利要求8所述的遠(yuǎn)程站�����,其特征在于���,所述遠(yuǎn)程站包括移動(dòng)用戶裝備�。
15.—種遠(yuǎn)程站,包括 處理器,被配置為 向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息��,其中所述第一消息包括信令通知所述遠(yuǎn)程站支持第一安全性上下文的信息元素���,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性; 根據(jù)所述第一安全性上下文使用所述信息元素來(lái)生成至少一個(gè)會(huì)話密鑰�; 響應(yīng)于所述第一消息而接收具有所述服務(wù)網(wǎng)絡(luò)支持所述第一安全性上下文的指示的第二消息;以及 響應(yīng)于所述第二消息而使無(wú)線通信由所述至少一個(gè)會(huì)話密鑰來(lái)保護(hù)�����。
16.如權(quán)利要求15所述的遠(yuǎn)程站���,其特征在于����,所述信息元素包括為會(huì)話更新的計(jì)數(shù)值�����。
17.如權(quán)利要求15所述的遠(yuǎn)程站��,其特征在于�,所述服務(wù)網(wǎng)絡(luò)是UMTS服務(wù)網(wǎng)絡(luò)。
18.如權(quán)利要求17所述的遠(yuǎn)程站,其特征在于�����,所述第一安全性上下文是增強(qiáng)型UMTS安全性上下文���,并且所述第二安全性上下文是舊式UTRAN安全性上下文����。
19.如權(quán)利要求15所述的遠(yuǎn)程站�,其特征在于,所述服務(wù)網(wǎng)絡(luò)是GERAN服務(wù)網(wǎng)絡(luò)��。
20.如權(quán)利要求15所述的遠(yuǎn)程站�,其特征在于,所述服務(wù)網(wǎng)絡(luò)支持所述第一安全性上下文的所述指示包括認(rèn)證碼���,所述認(rèn)證碼是基于由所述服務(wù)網(wǎng)絡(luò)使用接收自所述遠(yuǎn)程站的所述信息元素生成的相應(yīng)的至少一個(gè)會(huì)話密鑰來(lái)生成的���。
21.如權(quán)利要求15所述的遠(yuǎn)程站,其特征在于���,所述遠(yuǎn)程站包括移動(dòng)用戶裝備����。
22.—種計(jì)算機(jī)程序產(chǎn)品,包括 計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)����,包括 用于使計(jì)算機(jī)向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息的代碼,其中所述第一消息包括信令通知所述計(jì)算機(jī)支持第一安全性上下文的信息元素�,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性����; 用于使計(jì)算機(jī)根據(jù)所述第一安全性上下文使用所述信息元素來(lái)生成至少一個(gè)會(huì)話密鑰的代碼; 用于使計(jì)算機(jī)響應(yīng)于所述第一消息而接收具有所述服務(wù)網(wǎng)絡(luò)支持所述第一安全性上下文的指示的第二消息的代碼��;以及 用于使計(jì)算機(jī)響應(yīng)于所述第二消息而使無(wú)線通信由所述至少一個(gè)會(huì)話密鑰來(lái)保護(hù)的代碼�����。
23.如權(quán)利要求22所述的計(jì)算機(jī)程序產(chǎn)品�,其特征在于,所述信息元素包括為會(huì)話更新的計(jì)數(shù)值�����。
24.如權(quán)利要求22所述的計(jì)算機(jī)程序產(chǎn)品����,其特征在于�����,所述服務(wù)網(wǎng)絡(luò)是UMTS服務(wù)網(wǎng)絡(luò)���。
25.如權(quán)利要求24所述的計(jì)算機(jī)程序產(chǎn)品,其特征在于���,所述第一安全性上下文是增強(qiáng)型UMTS安全性上下文�����,并且所述第二安全性上下文是舊式UTRAN安全性上下文�����。
26.如權(quán)利要求22所述的計(jì)算機(jī)程序產(chǎn)品��,其特征在于��,所述服務(wù)網(wǎng)絡(luò)是GERAN服務(wù)網(wǎng)絡(luò)���。
27.如權(quán)利要求22所述的計(jì)算機(jī)程序產(chǎn)品���,其特征在于,所述服務(wù)網(wǎng)絡(luò)支持所述第一安全性上下文的所述指示包括認(rèn)證碼����,所述認(rèn)證碼是基于由所述服務(wù)網(wǎng)絡(luò)使用所接收到的信息元素生成的相應(yīng)的至少一個(gè)會(huì)話密鑰來(lái)生成的。
全文摘要
公開(kāi)了一種用于建立遠(yuǎn)程站與服務(wù)網(wǎng)絡(luò)之間的增強(qiáng)型安全性上下文的方法�����。在該方法中�,遠(yuǎn)程站向服務(wù)網(wǎng)絡(luò)轉(zhuǎn)發(fā)第一消息�,其中該第一消息包括信令通知該遠(yuǎn)程站支持增強(qiáng)型安全性上下文的信息元素。遠(yuǎn)程站根據(jù)增強(qiáng)型安全性上下文使用該信息元素來(lái)生成至少一個(gè)會(huì)話密鑰�。遠(yuǎn)程站響應(yīng)于第一消息而接收具有服務(wù)網(wǎng)絡(luò)支持增強(qiáng)型安全性上下文的指示的第二消息。遠(yuǎn)程站響應(yīng)于第二消息而使無(wú)線通信由該至少一個(gè)會(huì)話密鑰來(lái)保護(hù)�����。
文檔編號(hào)H04L29/06GK102835136SQ201180018855
公開(kāi)日2012年12月19日 申請(qǐng)日期2011年4月15日 優(yōu)先權(quán)日2010年4月15日
發(fā)明者A·E·艾斯科特, A·帕拉尼格朗德 申請(qǐng)人:高通股份有限公司