本申請(qǐng)要求2014年9月26日于美國(guó)專利和商標(biāo)局遞交的臨時(shí)申請(qǐng)No.62/056,371的優(yōu)先權(quán)和權(quán)益以及2015年3月31日于美國(guó)專利和商標(biāo)局遞交的非臨時(shí)申請(qǐng)No.14/674,763的優(yōu)先權(quán)和權(quán)益，通過(guò)引用方式將以上申請(qǐng)的全部?jī)?nèi)容并入本文。

技術(shù)領(lǐng)域

概括地說(shuō)，本公開內(nèi)容涉及通信系統(tǒng)，并且更具體地說(shuō)，涉及用于在無(wú)線通信系統(tǒng)中在用戶設(shè)備和服務(wù)網(wǎng)絡(luò)之間進(jìn)行認(rèn)證的系統(tǒng)。

背景技術(shù)：

為了提供諸如話音、視頻、數(shù)據(jù)、消息傳遞和廣播等各種電信服務(wù)，廣泛地部署了無(wú)線通信系統(tǒng)。典型的無(wú)線通信系統(tǒng)可以使用能夠通過(guò)共享可用的系統(tǒng)資源(例如，帶寬、傳輸功率)來(lái)支持與多個(gè)用戶通信的多址技術(shù)。這種多址技術(shù)的例子包括碼分多址(CDMA)系統(tǒng)、時(shí)分多址(TDMA)系統(tǒng)、頻分多址(FDMA)系統(tǒng)、正交頻分多址(OFDMA)系統(tǒng)、單載波頻分多址(SC-FDMA)系統(tǒng)、和時(shí)分同步碼分多址(TD-SCDMA)系統(tǒng)。

在各種電信標(biāo)準(zhǔn)中已經(jīng)采用了這些多址技術(shù)以提供使得不同的無(wú)線設(shè)備能在城市、國(guó)家、地區(qū)乃至全球?qū)用孢M(jìn)行通信的公共協(xié)議。隨著多址技術(shù)的提高和增強(qiáng)，出現(xiàn)了新的電信標(biāo)準(zhǔn)。新興電信標(biāo)準(zhǔn)的例子是第四代長(zhǎng)期演進(jìn)(LTE)。LTE是對(duì)由第三代合作伙伴計(jì)劃(3GPP)頒布的通用移動(dòng)電信系統(tǒng)(UMTS)移動(dòng)標(biāo)準(zhǔn)的增強(qiáng)集。它被設(shè)計(jì)用于通過(guò)以下行為來(lái)更好地支持移動(dòng)寬帶互聯(lián)網(wǎng)接入：提高頻譜效率、降低成本、改善服務(wù)、利用新的頻譜，以及通過(guò)在下行鏈路(DL)上使用OFDMA、在上行鏈路(UL)上使用SC-FDMA以及使用多輸入多輸出(MIMO)天線技術(shù)來(lái)與其它開放標(biāo)準(zhǔn)更好地整合。然而，隨著對(duì)移動(dòng)寬帶接入的需求持續(xù)增加，存在對(duì)LTE技術(shù)的進(jìn)一步改進(jìn)的需求，和/或?qū)哂刑岣叩哪芰Φ男乱淮娦艠?biāo)準(zhǔn)的需求。

安全配置是在LTE網(wǎng)絡(luò)中建立邏輯承載或信道(例如，在移動(dòng)通信設(shè)備和網(wǎng)絡(luò)實(shí)體或接入點(diǎn)之間的通信鏈路)的初始步驟。密鑰推導(dǎo)和建立是該安全配置的一部分。生成的密鑰的大部分是用于非接入層(NAS)安全模式配置(NAS SMC)和接入層(AS)安全模式配置(AS SMC)的加密和完整性密鑰。隨著新一代通信技術(shù)的部署，安全配置過(guò)程中可能會(huì)暴露針對(duì)攻擊的漏洞。因此，存在對(duì)改進(jìn)安全性過(guò)程的需要。優(yōu)選地，改進(jìn)應(yīng)當(dāng)適用于其它的多址技術(shù)以及采用這些技術(shù)的電信標(biāo)準(zhǔn)。

技術(shù)實(shí)現(xiàn)要素：

在本公開內(nèi)容的一個(gè)方面，提供了一種方法、計(jì)算機(jī)程序產(chǎn)品和裝置。

根據(jù)某些方面，一種用于在用戶設(shè)備(UE)處的無(wú)線通信的方法包括：建立與服務(wù)網(wǎng)絡(luò)的連接；向所述服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送包括認(rèn)證憑證的第一消息，所述認(rèn)證憑證包括隨機(jī)選擇的密鑰加密密鑰(KEK)和服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符，其中，所述認(rèn)證憑證是使用歸屬網(wǎng)絡(luò)中的歸屬訂戶服務(wù)器(HSS)的加密密鑰來(lái)加密的；接收響應(yīng)于所述第一消息的第二消息，其中，所述第二消息包括來(lái)自所述網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證請(qǐng)求和由所述網(wǎng)絡(luò)節(jié)點(diǎn)使用所述KEK生成的簽名；以及基于所述簽名來(lái)認(rèn)證所述網(wǎng)絡(luò)節(jié)點(diǎn)。

根據(jù)某些方面，一種用于服務(wù)網(wǎng)絡(luò)中的移動(dòng)性管理實(shí)體(MME)處的無(wú)線通信的方法包括：接收來(lái)自UE的第一請(qǐng)求，所述第一請(qǐng)求用于與所述服務(wù)網(wǎng)絡(luò)建立連接，所述第一請(qǐng)求包括所述UE的唯一標(biāo)識(shí)符和加密的信息。所述加密的信息包括所述服務(wù)網(wǎng)絡(luò)的標(biāo)識(shí)符和隨機(jī)選擇的密鑰加密密鑰(KEK)，并且所述方法還包括：向與所述UE相關(guān)聯(lián)的歸屬網(wǎng)絡(luò)的HSS發(fā)送第二請(qǐng)求，所述請(qǐng)求包括在所述第一請(qǐng)求中接收到的所述加密的信息和所述MME的公鑰。所述方法還包括：接收來(lái)自所述HSS的對(duì)所述第二請(qǐng)求的響應(yīng)，對(duì)所述第二請(qǐng)求的所述響應(yīng)包括使用所述MME的公鑰加密的所述KEK，以及使用所述KEK加密的認(rèn)證向量；使用與所述MME的所述公鑰相對(duì)應(yīng)的私鑰來(lái)解密所述KEK；使用所述KEK來(lái)解密所述認(rèn)證向量；以及向所述UE發(fā)送第三請(qǐng)求，所述第三請(qǐng)求包括使用所述KEK簽名的認(rèn)證請(qǐng)求。

根據(jù)某些方面，一種用于UE的歸屬網(wǎng)絡(luò)中的HSS處的無(wú)線通信的方法包括：接收來(lái)自服務(wù)網(wǎng)絡(luò)的節(jié)點(diǎn)的認(rèn)證信息請(qǐng)求，其中，所述請(qǐng)求包括第一服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符、所述服務(wù)網(wǎng)絡(luò)的所述節(jié)點(diǎn)的公鑰、以及由所述UE加密的信息。由所述UE加密的所述信息包括隨機(jī)選擇的KEK和第二服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符。所述方法還包括：使用所述HSS的私鑰來(lái)解密來(lái)自由所述UE加密的所述信息的、所述第二服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符和所述KEK；以及將所述第一服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符與所述第二服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符進(jìn)行比較。當(dāng)所述第一服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符與所述第二服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符匹配時(shí)，所述方法包括：使用所述服務(wù)網(wǎng)絡(luò)的所述節(jié)點(diǎn)的所述公鑰來(lái)加密所述KEK，以獲取加密的KEK；使用所述KEK來(lái)加密所述認(rèn)證向量，以獲取加密的認(rèn)證向量；以及發(fā)送對(duì)所述認(rèn)證信息請(qǐng)求的響應(yīng)，其中，所述響應(yīng)包括所述加密的KEK和所述加密的認(rèn)證向量。

根據(jù)某些方面，一種裝置包括：用于在UE和服務(wù)網(wǎng)絡(luò)之間建立連接的單元；用于向與所述UE相關(guān)聯(lián)的歸屬網(wǎng)絡(luò)中的HSS傳輸?shù)谝幌⒌膯卧?，其中，所述第一消息包括由所述UE使用所述HSS的加密密鑰來(lái)加密的認(rèn)證憑證；以及用于基于比較來(lái)認(rèn)證所述網(wǎng)絡(luò)節(jié)點(diǎn)的單元，所述比較是由所述服務(wù)網(wǎng)絡(luò)提供的、所述服務(wù)網(wǎng)絡(luò)的第一標(biāo)識(shí)與在所述認(rèn)證憑證中提供的、所述服務(wù)網(wǎng)絡(luò)的第二標(biāo)識(shí)的比較。所述HSS可以被配置為解密所述認(rèn)證憑證以獲取所述第二標(biāo)識(shí)和由所述UE提供的KEK，并且被配置為向所述服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)提供使用所述網(wǎng)絡(luò)節(jié)點(diǎn)的公鑰來(lái)加密的、所述KEK的版本。所述用于認(rèn)證所述網(wǎng)絡(luò)節(jié)點(diǎn)的所述單元可以被配置為在所述網(wǎng)絡(luò)節(jié)點(diǎn)已向所述UE發(fā)送了使用所述KEK簽名的認(rèn)證請(qǐng)求之后，認(rèn)證所述網(wǎng)絡(luò)節(jié)點(diǎn)。

附圖說(shuō)明

圖1是示出了網(wǎng)絡(luò)架構(gòu)的例子的示圖。

圖2是示出了接入網(wǎng)絡(luò)的例子的示圖。

圖3是示出了針對(duì)用戶平面和控制平面的無(wú)線協(xié)議架構(gòu)的例子的示圖。

圖4是示出了接入網(wǎng)中的演進(jìn)型節(jié)點(diǎn)B和用戶設(shè)備的例子的示圖。

圖5示出了可能在LTE網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)的E-UTRAN密鑰層的例子。

圖6示出了可能在LTE分組交換網(wǎng)絡(luò)中操作的通信設(shè)備中實(shí)現(xiàn)的協(xié)議棧的例子。

圖7是示出了LTE無(wú)線網(wǎng)絡(luò)中的認(rèn)證的例子的消息流圖。

圖8是示出了LTE無(wú)線網(wǎng)絡(luò)中的漏洞(vulnerability)的例子的示圖。

圖9是示出了LTE無(wú)線網(wǎng)絡(luò)中的假冒(impersonation)的例子的示圖。

圖10是示出了根據(jù)本文公開的某些方面的認(rèn)證過(guò)程的例子的消息流圖。

圖11是示出了一種裝置的例子的框圖，該裝置采用可能根據(jù)本文公開的某些方面被適配的處理電路。

圖12是根據(jù)本文公開的某些方面在UE處執(zhí)行的無(wú)線通信的方法的流程圖。

圖13示出了針對(duì)一種裝置的硬件實(shí)現(xiàn)的第一例子，所述裝置例如根據(jù)本文公開的一個(gè)或多個(gè)方面適配的UE。

圖14是根據(jù)本文公開的某些方面在MME處執(zhí)行的無(wú)線通信的方法的流程圖。

圖15示出了針對(duì)根據(jù)本文所公開的一個(gè)或多個(gè)方面適配的MME裝置的硬件實(shí)現(xiàn)的第一例子。

圖16是根據(jù)本文公開的某些方面在HSS處執(zhí)行的無(wú)線通信的方法的流程圖。

圖17示出了針對(duì)根據(jù)本文所公開的一個(gè)或多個(gè)方面適配的一種HSS裝置的硬件實(shí)現(xiàn)的例子。

具體實(shí)施方式

在下面結(jié)合附圖所闡述的詳細(xì)描述，旨在作為對(duì)各種配置的描述，而不旨在表示本文中所描述的概念可以以其實(shí)踐的唯一配置。出于提供給對(duì)各種概念的透徹理解的目的，詳細(xì)描述包括特定的細(xì)節(jié)。但是，對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)將顯而易見的是，可以在不具有這些特定細(xì)節(jié)的情況下實(shí)踐這些概念。在一些實(shí)例中，為了避免模糊這些概念，以框圖形式示出公知的結(jié)構(gòu)和組件。

現(xiàn)將參照各種裝置和方法來(lái)呈現(xiàn)電信系統(tǒng)的若干方面。這些裝置和方法在下面的詳細(xì)描述中進(jìn)行描述，并且在附圖中通過(guò)各種框、模塊、組件、電路、步驟、過(guò)程、算法等等(其統(tǒng)稱為“要素”)來(lái)示出。可以使用電子硬件、計(jì)算機(jī)軟件或者其任意組合來(lái)實(shí)現(xiàn)這些要素。至于這些要素是實(shí)現(xiàn)成硬件還是實(shí)現(xiàn)成軟件，取決于具體的應(yīng)用和對(duì)整個(gè)系統(tǒng)所施加的設(shè)計(jì)約束條件。

通過(guò)示例的方式，要素、或者要素的任意部分、或者要素的任意組合，可以用包括一個(gè)或多個(gè)處理器的“處理系統(tǒng)”來(lái)實(shí)現(xiàn)。處理器的例子包括微處理器、微控制器、數(shù)字信號(hào)處理器(DSP)、現(xiàn)場(chǎng)可編程門陣列(FPGA)、可編程邏輯器件(PLD)、狀態(tài)機(jī)、門控邏輯器件、分立硬件電路和被配置為執(zhí)行貫穿本公開內(nèi)容所描述的各種功能的其它適當(dāng)硬件。處理系統(tǒng)中的一個(gè)或多個(gè)處理器可以執(zhí)行軟件。無(wú)論被稱為軟件、固件、中間件、微代碼、硬件描述語(yǔ)言還是其它術(shù)語(yǔ)，軟件應(yīng)當(dāng)被廣意地解釋為意味著指令、指令集、代碼、代碼段、程序代碼、程序、子程序、軟件模塊、應(yīng)用、軟件應(yīng)用、軟件包、例程、子例程、對(duì)象、可執(zhí)行文件、執(zhí)行的線程、過(guò)程、函數(shù)等等。

因此，在一個(gè)或多個(gè)示例性的設(shè)計(jì)方案中，所描述的功能可以在硬件、軟件、固件或其任意組合中實(shí)現(xiàn)。如果在軟件中實(shí)現(xiàn)，則可以將這些功能存儲(chǔ)或編碼為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的一個(gè)或多個(gè)指令或代碼。計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)存儲(chǔ)介質(zhì)。計(jì)算機(jī)可讀介質(zhì)可以包括可以由一個(gè)或多個(gè)處理器讀取和/或操縱的臨時(shí)性存儲(chǔ)介質(zhì)和非臨時(shí)性存儲(chǔ)介質(zhì)。存儲(chǔ)介質(zhì)可以是計(jì)算機(jī)能夠存取的任何可用介質(zhì)。通過(guò)示例的方式而不是限制的方式，這種計(jì)算機(jī)可讀介質(zhì)可以包括隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、可編程ROM(PROM)、可擦除PROM(EPROM)、電可擦除PROM(EEPROM)、壓縮光盤只讀存儲(chǔ)器(CD-ROM)或其它光盤存儲(chǔ)器、磁盤存儲(chǔ)器或其它磁存儲(chǔ)設(shè)備、或者能夠用于攜帶或存儲(chǔ)具有指令或數(shù)據(jù)結(jié)構(gòu)形式的期望的程序代碼并能夠由計(jì)算機(jī)存取的任何其它介質(zhì)。如本文中所使用的，磁盤和光盤包括壓縮光盤(CD)、激光光盤、光盤、數(shù)字通用光盤(DVD)和軟盤，其中磁盤通常磁性地復(fù)制數(shù)據(jù)，而光盤則用激光來(lái)光學(xué)地復(fù)制數(shù)據(jù)。上面的組合也應(yīng)當(dāng)包括在計(jì)算機(jī)可讀介質(zhì)的保護(hù)范圍之內(nèi)。

本文所公開的某些方面涉及通過(guò)其可以保護(hù)無(wú)線鏈路建立和/或承載建立過(guò)程的安全的系統(tǒng)和方法。本公開內(nèi)容的某些方面解決了在新一代的無(wú)線接入技術(shù)(RAT)(包括第五代(5G)和以后的網(wǎng)絡(luò)，以及第四代(4G)和更早的網(wǎng)絡(luò))中可能出現(xiàn)的安全問(wèn)題。在本文中通過(guò)示例的方式來(lái)描述4G LTE網(wǎng)絡(luò)架構(gòu)的配置和操作，并且出于簡(jiǎn)化某些方面的描述的目的，其可適用于多種RAT。

圖1是示出了LTE網(wǎng)絡(luò)架構(gòu)100的示圖。LTE網(wǎng)絡(luò)架構(gòu)100可以稱為演進(jìn)的分組系統(tǒng)(EPS)。EPS可以包括一個(gè)或多個(gè)用戶設(shè)備(UE)102、演進(jìn)的UMTS陸地?zé)o線接入網(wǎng)絡(luò)(E-UTRAN)104、演進(jìn)的分組核心(EPC)110、歸屬訂戶服務(wù)器(HSS)120、和運(yùn)營(yíng)商的IP服務(wù)122。EPS可以與其它接入網(wǎng)絡(luò)互連，但為了簡(jiǎn)單起見，沒(méi)有示出這些實(shí)體/接口。如圖所示，EPS提供分組交換服務(wù)，然而，如本領(lǐng)域技術(shù)人員將容易理解的，貫穿本公開內(nèi)容給出的各種概念可以擴(kuò)展到提供電路交換服務(wù)的網(wǎng)絡(luò)。

E-UTRAN包括演進(jìn)型節(jié)點(diǎn)B(eNodeB)106和其它eNodeB 108。eNodeB 106提供了朝向UE 102的用戶和控制平面協(xié)議終止。eNodeB 106可以經(jīng)由回程(例如，X2接口)連接到其它eNodeB 108。eNodeB 106還可以被稱為基站、基站收發(fā)臺(tái)、無(wú)線基站、無(wú)線收發(fā)機(jī)、收發(fā)機(jī)功能單元、基本服務(wù)集(BSS)、擴(kuò)展服務(wù)集(ESS)、eNB、或一些其它的適當(dāng)術(shù)語(yǔ)。eNodeB 106為UE 102提供了到EPC 110的接入點(diǎn)。UE 102的例子包括蜂窩電話、智能電話、會(huì)話發(fā)起協(xié)議(SIP)電話、膝上型計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA)、衛(wèi)星無(wú)線設(shè)備、全球定位系統(tǒng)、多媒體設(shè)備、視頻設(shè)備、數(shù)字音頻播放器、(例如MP3播放器)、照相機(jī)、游戲控制臺(tái)、虛擬現(xiàn)實(shí)設(shè)備、平板計(jì)算設(shè)備、媒體播放器、電器、游戲設(shè)備、如智能手表或光學(xué)頭戴式顯示器的可穿戴計(jì)算設(shè)備、或任何其他類似功能的設(shè)備。UE 102還可以被本領(lǐng)域技術(shù)人員稱為移動(dòng)站、訂戶站、移動(dòng)單元、訂戶單元、無(wú)線單元、遠(yuǎn)程單元、移動(dòng)設(shè)備、無(wú)線設(shè)備、無(wú)線通信設(shè)備、遠(yuǎn)程設(shè)備、移動(dòng)訂戶站、接入終端、移動(dòng)終端、無(wú)線終端、遠(yuǎn)程終端、手持設(shè)備、用戶代理、移動(dòng)客戶端、客戶端、或者一些其它的適當(dāng)術(shù)語(yǔ)。

eNodeB 106由“S1”接口連接到EPC 110。EPC 110包括移動(dòng)性管理實(shí)體(MME)112、其它MME 114、服務(wù)網(wǎng)關(guān)116、和分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)網(wǎng)關(guān)118。MME 112是處理UE 102和EPC 110之間的信號(hào)傳送的控制節(jié)點(diǎn)。通常，MME 112提供承載和連接管理。所有的用戶IP分組都是通過(guò)服務(wù)網(wǎng)關(guān)116進(jìn)行傳送的，服務(wù)網(wǎng)關(guān)116本身連接到PDN網(wǎng)關(guān)118。PDN網(wǎng)關(guān)118提供UE IP地址分配以及其它功能。PDN網(wǎng)關(guān)118連接到運(yùn)營(yíng)商的IP服務(wù)122。運(yùn)營(yíng)商的IP服務(wù)122可以包括互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、IP多媒體子系統(tǒng)(IMS)以及PS流服務(wù)(PSS)。

圖2是示出了LTE網(wǎng)絡(luò)架構(gòu)中的接入網(wǎng)絡(luò)200的例子的示圖。在這個(gè)例子中，將接入網(wǎng)絡(luò)200劃分成數(shù)個(gè)蜂窩區(qū)域(小區(qū))202。一個(gè)或多個(gè)較低功率級(jí)的eNodeB 208可以具有與小區(qū)202中的一個(gè)或多個(gè)重疊的蜂窩區(qū)域210。較低功率級(jí)的eNodeB 208可以是毫微微小區(qū)(例如家庭eNodeB(HeNodeB))、微微小區(qū)、微小區(qū)或遠(yuǎn)程無(wú)線頭端(RRH)。每個(gè)宏eNodeB 204被分配給相應(yīng)的小區(qū)202并且經(jīng)配置為小區(qū)202中的所有UE 206提供到EPC 110的接入點(diǎn)。在接入網(wǎng)絡(luò)200的這個(gè)例子中沒(méi)有集中式控制器，但是可以在可替代的配置中使用集中式控制器。eNodeB 204負(fù)責(zé)所有無(wú)線相關(guān)的功能，包括無(wú)線承載控制、準(zhǔn)入控制、移動(dòng)性控制、調(diào)度、安全性、以及到服務(wù)網(wǎng)關(guān)116的連接性。

由接入網(wǎng)絡(luò)200采用的調(diào)制和多址方案可以取決于所部署的具體電信標(biāo)準(zhǔn)而變化。在LTE應(yīng)用中，OFDM用在DL上并且SC-FDMA用在UL上以支持頻分雙工(FDD)和時(shí)分雙工(TDD)二者。如本領(lǐng)域技術(shù)人員根據(jù)接下來(lái)的詳細(xì)描述將容易理解的，本文中給出的各種概念良好地適用于LTE應(yīng)用。然而，這些概念可以容易地?cái)U(kuò)展到采用其它調(diào)制和多址技術(shù)的其它電信標(biāo)準(zhǔn)。通過(guò)示例的方式，這些概念可以擴(kuò)展到演進(jìn)數(shù)據(jù)優(yōu)化(EV-DO)或超移動(dòng)寬帶(UMB)。EV-DO和UMB是由第三代合作伙伴計(jì)劃2(3GPP2)公布的、作為CDMA2000標(biāo)準(zhǔn)族一部分的空中接口標(biāo)準(zhǔn)并且采用CDMA以提供到移動(dòng)站的寬帶互聯(lián)網(wǎng)接入。這些概念還可以擴(kuò)展到采用寬帶CDMA(W-CDMA)和CDMA的其它變型的通用陸地?zé)o線接入(UTRA)，例如TD-SCDMA；采用TDMA的全球移動(dòng)通信系統(tǒng)(GSM)；和采用OFDMA的演進(jìn)的UTRA(E-UTRA)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20和Flash-OFDM。在來(lái)自3GPP組織的文獻(xiàn)中描述了UTRA、E-UTRA、UMTS、LTE和GSM。在來(lái)自3GPP2組織的文獻(xiàn)中描述了CDMA2000和UMB。實(shí)際所采用的無(wú)線通信標(biāo)準(zhǔn)和多址技術(shù)將取決于具體應(yīng)用和對(duì)系統(tǒng)施加的整體設(shè)計(jì)約束。

eNodeB 204可以具有支持MIMO技術(shù)的多個(gè)天線。MIMO技術(shù)的使用使得eNodeB 204能夠利用空間域來(lái)支持空間復(fù)用、波束成形和發(fā)射分集?？臻g復(fù)用可以用于在同一個(gè)頻率上同時(shí)發(fā)送不同的數(shù)據(jù)流。可以將數(shù)據(jù)流發(fā)送給單個(gè)UE 206以提高數(shù)據(jù)速率或發(fā)送給多個(gè)UE 206以提高整體系統(tǒng)容量。這可以通過(guò)對(duì)每個(gè)數(shù)據(jù)流進(jìn)行空間預(yù)編碼(即施加振幅和相位的縮放)并且隨后通過(guò)DL上的多個(gè)發(fā)送天線來(lái)發(fā)送每個(gè)空間預(yù)編碼的流來(lái)實(shí)現(xiàn)。到達(dá)UE(206)處的空間預(yù)編碼的數(shù)據(jù)流具有不同的空間簽名，這使得每個(gè)UE 206能夠恢復(fù)去往UE 206的一個(gè)或多個(gè)數(shù)據(jù)流。在UL上，每個(gè)UE 206發(fā)送空間預(yù)編碼的數(shù)據(jù)流，這使得eNodeB 204能夠識(shí)別每個(gè)空間預(yù)編碼的數(shù)據(jù)流的源。

當(dāng)信道狀況良好時(shí)，通常使用空間復(fù)用。當(dāng)信道狀況較差時(shí)，可以使用波束成形來(lái)將傳輸能量集中到一個(gè)或多個(gè)方向上。這可以由對(duì)通過(guò)多個(gè)天線進(jìn)行發(fā)送的數(shù)據(jù)進(jìn)行空間預(yù)編碼來(lái)實(shí)現(xiàn)。為了在小區(qū)的邊緣獲得良好的覆蓋，可以結(jié)合發(fā)射分集來(lái)使用單個(gè)流波束成形傳輸。

在接下來(lái)的詳細(xì)描述中，將參照在DL上支持OFDM的MIMO系統(tǒng)來(lái)描述接入網(wǎng)絡(luò)的各個(gè)方面。OFDM是在OFDM符號(hào)內(nèi)的數(shù)個(gè)子載波上調(diào)制數(shù)據(jù)的擴(kuò)頻技術(shù)。子載波以精確的頻率間隔開。所述間隔提供了使得接收機(jī)能夠從子載波恢復(fù)數(shù)據(jù)的“正交性”。在時(shí)域中，可以向每個(gè)OFDM符號(hào)添加保護(hù)間隔(例如循環(huán)前綴)以對(duì)抗OFDM符號(hào)間干擾。UL可以使用DFT擴(kuò)展OFDM信號(hào)的形式的SC-FDMA以補(bǔ)償高的峰均功率比(PAPR)。

圖3是示出了LTE中針對(duì)用戶平面和控制平面的無(wú)線協(xié)議架構(gòu)的例子的示圖300。針對(duì)UE和eNodeB的無(wú)線協(xié)議架構(gòu)被示出為具有三層：層1、層2和層3。層1(L1層)是最低層并且實(shí)現(xiàn)各種物理層信號(hào)處理功能。L1層在本文中將被稱為物理層306。層2(L2層)308在物理層306之上并且負(fù)責(zé)物理層306上的、UE和eNodeB之間的鏈路。

在用戶平面中，L2層308包括介質(zhì)訪問(wèn)控制(MAC)子層310、無(wú)線鏈路控制(RLC)子層312和分組數(shù)據(jù)匯聚協(xié)議(PDCP)子層314，這些子層終止于網(wǎng)絡(luò)側(cè)的eNodeB處。盡管沒(méi)有示出，但UE可以具有在L2層308之上的若干上層，所述若干上層包括終止于網(wǎng)絡(luò)側(cè)的PDN網(wǎng)關(guān)118處的網(wǎng)絡(luò)層(例如，IP層)，以及終止于連接的另一端(例如遠(yuǎn)端UE、服務(wù)器等)處的應(yīng)用層。

PDCP子層314提供不同的無(wú)線承載和邏輯信道之間的復(fù)用。PDCP子層314還提供針對(duì)上層數(shù)據(jù)分組的報(bào)頭壓縮以減少無(wú)線傳輸開銷，通過(guò)加密數(shù)據(jù)分組提供安全性，并且針對(duì)UE提供eNodeB之間的切換支持。RLC子層312提供上層數(shù)據(jù)分組的分段和重組、丟失數(shù)據(jù)分組的重傳以及數(shù)據(jù)分組的重新排序以補(bǔ)償由混合自動(dòng)重傳請(qǐng)求(HARQ)導(dǎo)致的無(wú)序接收。MAC子層310提供邏輯信道和傳輸信道之間的復(fù)用。MAC子層310還負(fù)責(zé)在UE之間分配一個(gè)小區(qū)中的各種無(wú)線資源(例如，資源塊)。MAC子層310還負(fù)責(zé)HARQ操作。

在控制平面中，除了以下的例外之處，針對(duì)UE和eNodeB的無(wú)線協(xié)議架構(gòu)對(duì)于物理層306和L2層308是基本相同的，所述例外之處是：對(duì)于控制平面而言沒(méi)有報(bào)頭壓縮功能?？刂破矫孢€包括層3(L3層)中的無(wú)線資源控制(RRC)子層316。RRC子層316負(fù)責(zé)獲取無(wú)線資源(即無(wú)線承載)并且負(fù)責(zé)使用eNodeB和UE之間的RRC信令來(lái)配置較低層。

圖4是在接入網(wǎng)絡(luò)中與UE 450通信的eNodeB 410的框圖。在DL中，向控制器/處理器475提供來(lái)自核心網(wǎng)的上層分組。控制器/處理器475實(shí)現(xiàn)L2層的功能性。在DL中，控制器/處理器475提供報(bào)頭壓縮、加密、分組分段和重新排序、邏輯信道和傳輸信道之間的復(fù)用，以及基于各種優(yōu)先級(jí)度量的到UE 450的無(wú)線資源分配?？刂破?處理器475還負(fù)責(zé)HARQ操作、對(duì)丟失分組的重發(fā)、以及到UE 450的信令。

發(fā)射(TX)處理器416實(shí)現(xiàn)針對(duì)L1層(即物理層)的各種信號(hào)處理功能。信號(hào)處理功能包括：編碼和交織以促進(jìn)UE 450處的前向糾錯(cuò)(FEC)，和基于各種調(diào)制方案(例如二進(jìn)制相移鍵控(BPSK)、正交相移鍵控(QPSK)、M相移鍵控(M-PSK)、M正交幅度調(diào)制(M-QAM))向信號(hào)星座進(jìn)行映射。隨后將經(jīng)編碼和經(jīng)調(diào)制的符號(hào)分離成并行流。隨后將每個(gè)流映射到OFDM子載波、在時(shí)域和/或頻域上與參考信號(hào)(例如導(dǎo)頻)進(jìn)行復(fù)用、并且隨后使用反向快速傅里葉變換(IFFT)組合在一起以產(chǎn)生攜帶時(shí)域OFDM符號(hào)流的物理信道。對(duì)OFDM流進(jìn)行空間預(yù)編碼以產(chǎn)生多個(gè)空間流?？梢允褂脕?lái)自信道估計(jì)器474的信道估計(jì)來(lái)確定編碼和調(diào)制方案，以及使用其用于空間處理。信道估計(jì)可以從參考信號(hào)和/或由UE 450發(fā)送的信道狀況反饋推導(dǎo)出。隨后經(jīng)由分別的發(fā)射機(jī)418TX將每個(gè)空間流提供給不同的天線420。每個(gè)發(fā)射機(jī)418TX將RF載波調(diào)制有相應(yīng)的空間流以用于傳輸。

在UE 450處，每個(gè)接收機(jī)454RX通過(guò)其相應(yīng)的天線452接收信號(hào)。每個(gè)接收機(jī)454RX恢復(fù)調(diào)制到RF載波上的信息并且向接收機(jī)(RX)處理器456提供所述信息。RX處理器456實(shí)現(xiàn)L1層的各種信號(hào)處理功能。RX處理器456執(zhí)行對(duì)信息的空間處理以恢復(fù)去往UE 450的任何空間流。如果多個(gè)空間流要去往UE 450，則RX處理器456可以將它們組合成單個(gè)OFDM符號(hào)流。隨后RX處理器456使用快速傅里葉變換(FFT)將OFDM符號(hào)流從時(shí)域轉(zhuǎn)換到頻域。頻域信號(hào)包括針對(duì)OFDM信號(hào)的每個(gè)子載波的分開的OFDM符號(hào)流。通過(guò)確定由eNodeB 410發(fā)送的最可能的信號(hào)星座點(diǎn)來(lái)恢復(fù)和解調(diào)每個(gè)子載波上的符號(hào)和參考信號(hào)。這些軟決定可以基于由信道估計(jì)器458所計(jì)算的信道估計(jì)。隨后對(duì)軟決定進(jìn)行解碼和解交織以恢復(fù)最初由eNodeB 410在物理信道上發(fā)送的數(shù)據(jù)和控制信號(hào)。隨后將數(shù)據(jù)和控制信號(hào)提供給控制器/處理器459。

控制器/處理器459實(shí)現(xiàn)L2層。控制器/處理器可以與存儲(chǔ)有程序代碼和數(shù)據(jù)的存儲(chǔ)器460相關(guān)聯(lián)。存儲(chǔ)器460可以稱為計(jì)算機(jī)可讀介質(zhì)。在UL中，控制器/處理器459提供了傳輸信道和邏輯信道之間的解復(fù)用、分組重組、解密、報(bào)頭解壓縮、控制信號(hào)處理以恢復(fù)來(lái)自核心網(wǎng)的上層分組。隨后向數(shù)據(jù)宿462提供上層分組，所述上層分組表示L2層之上的所有協(xié)議層。還可以向數(shù)據(jù)宿462提供各種控制信號(hào)用于L3處理?？刂破?處理器459還負(fù)責(zé)使用確認(rèn)(ACK)和/或否定確認(rèn)(NACK)協(xié)議進(jìn)行檢錯(cuò)以支持HARQ操作。

在UL上，使用數(shù)據(jù)源467來(lái)向控制器/處理器459提供上層分組。數(shù)據(jù)源467表示L2層之上的所有協(xié)議層。類似于結(jié)合由eNodeB 410進(jìn)行的DL傳輸來(lái)描述的功能性，控制器/處理器459基于eNodeB 410進(jìn)行的無(wú)線資源分配，通過(guò)提供報(bào)頭壓縮、加密、分組分段和重新排序、以及邏輯信道和傳輸信道之間的復(fù)用來(lái)實(shí)現(xiàn)針對(duì)用戶平面和控制平面的L2層。控制器/處理器459還負(fù)責(zé)HARQ操作、丟失分組的重發(fā)、和到eNodeB 410的信號(hào)傳送。

TX處理器468可以使用由信道估計(jì)器458從參考信號(hào)或由eNodeB 410發(fā)送的反饋推導(dǎo)出的信道估計(jì)來(lái)選擇合適的編碼和調(diào)制方案，以及促進(jìn)空間處理?？梢越?jīng)由分別的發(fā)射機(jī)454TX向不同的天線452提供由TX處理器468產(chǎn)生的空間流。每個(gè)發(fā)射機(jī)454TX將RF載波調(diào)制有相應(yīng)的空間流以用于傳輸。

以類似于結(jié)合UE 450處的接收機(jī)功能所描述的方式在eNodeB 410處對(duì)UL傳輸進(jìn)行處理。每個(gè)接收機(jī)418RX通過(guò)其相應(yīng)的天線420接收信號(hào)。每個(gè)接收機(jī)418RX恢復(fù)調(diào)制到RF載波上的信息并且向RX處理器470提供所述信息。RX處理器470可以實(shí)現(xiàn)L1層。

控制器/處理器475實(shí)現(xiàn)L2層?？刂破?處理器475可以與存儲(chǔ)有程序代碼和數(shù)據(jù)的存儲(chǔ)器476相關(guān)聯(lián)。存儲(chǔ)器476可以被稱為計(jì)算機(jī)可讀介質(zhì)。在UL中，控制器/處理器475提供傳輸信道和邏輯信道之間的解復(fù)用、分組重組、解密、報(bào)頭解壓縮、控制信號(hào)處理以恢復(fù)來(lái)自UE 450的上層分組。可以向核心網(wǎng)提供來(lái)自控制器/處理器475的上層分組?？刂破?處理器475還負(fù)責(zé)使用ACK和/或NACK協(xié)議來(lái)檢錯(cuò)，以支持HARQ操作。

LTE網(wǎng)絡(luò)中的承載建立

LTE網(wǎng)絡(luò)中的無(wú)線鏈路建立可以涉及向網(wǎng)絡(luò)提供訪問(wèn)的接入點(diǎn)和通信設(shè)備之間的一個(gè)或多個(gè)無(wú)線承載的建立。無(wú)線鏈路建立典型地包括安全性激活交換。隨后可以通過(guò)所述無(wú)線鏈路來(lái)建立會(huì)話承載(其可能是邏輯承載或邏輯信道)，并且可以通過(guò)該會(huì)話承載來(lái)建立一個(gè)或多個(gè)服務(wù)和/或通信。會(huì)話承載、服務(wù)和/或通信可以由一個(gè)或多個(gè)安全密鑰來(lái)保護(hù)。

作為會(huì)話承載建立的一部分，認(rèn)證請(qǐng)求和/或一個(gè)或多個(gè)密鑰交換可以發(fā)生。在根據(jù)LTE兼容協(xié)議操作的網(wǎng)絡(luò)中，密鑰可以由通信設(shè)備基于由一個(gè)或多個(gè)網(wǎng)絡(luò)實(shí)體提供的算法導(dǎo)出。

E-UTRAN密鑰層的例子

圖5示出了典型的E-UTRAN密鑰層500，其可以在典型的LTE網(wǎng)絡(luò)中實(shí)現(xiàn)。在通信設(shè)備中，網(wǎng)絡(luò)側(cè)的網(wǎng)絡(luò)實(shí)體中的通用訂戶標(biāo)識(shí)模塊(USIM)和認(rèn)證中心(AuC)使用主密鑰(K)502來(lái)生成密碼密鑰(CK)504和完整性密鑰(IK)506。密碼密鑰(CK)504和完整性密鑰(IK)506隨后可以由網(wǎng)絡(luò)實(shí)體中的通信設(shè)備和歸屬訂戶服務(wù)器(HSS)使用，以生成訪問(wèn)安全管理實(shí)體密鑰(K_ASME)508。在LTE網(wǎng)絡(luò)中操作的通信設(shè)備的安全性激活可以通過(guò)認(rèn)證和密鑰協(xié)商過(guò)程(AKA)、非接入層(NAS)安全模式配置(NAS SMC)和接入層(AS)安全模式配置(AS SMC)來(lái)完成。AKA用于導(dǎo)出K_ASME 508，所述K_ASME 508隨后用作計(jì)算NAS密鑰510和512以及AS密鑰514、516、518和520的基礎(chǔ)密鑰。網(wǎng)絡(luò)側(cè)的通信設(shè)備和MME隨后可以使用K_ASME 508來(lái)生成這些安全密鑰中的一個(gè)或多個(gè)。

LTE分組交換網(wǎng)絡(luò)可以以多個(gè)分層協(xié)議層來(lái)構(gòu)造，其中較低的協(xié)議層向上層提供服務(wù)并且每一層負(fù)責(zé)不同的任務(wù)。例如，圖6示出了協(xié)議棧600的例子，其可以在LTE分組交換網(wǎng)絡(luò)中操作的通信設(shè)備中實(shí)現(xiàn)。在這個(gè)例子中，LTE協(xié)議棧600包括物理(PHY)層604、介質(zhì)訪問(wèn)控制(MAC)層606、無(wú)線鏈路控制(RLC)層608、分組數(shù)據(jù)匯聚協(xié)議(PDCP)層611、RRC層612、NAS層614和應(yīng)用(APP)層616。NAS層614之下的層通常被稱為接入層(AS)層602。

RLC層608可以包括一個(gè)或多個(gè)信道610。RRC層612可以實(shí)現(xiàn)針對(duì)UE的各種監(jiān)測(cè)模式(包括連接狀態(tài)和空閑狀態(tài))。NAS層614可以維持該通信設(shè)備的移動(dòng)性管理上下文、分組數(shù)據(jù)上下文和/或其IP地址。要注意的是，其他層可能存在于該協(xié)議棧600中(例如，上方、下方、和/或示出的層之間)，但出于說(shuō)明的目的而將其省略。無(wú)線/會(huì)話承載613可以例如在RRC層612和/或NAS層614處建立。因此，通信設(shè)備和MME可以使用NAS層614以生成安全密鑰K_NASenc 510和K_NAS-int 512。類似地，通信設(shè)備和eNodeB可以使用RRC層612以生成安全密鑰K_UP-enc 516、K_RRC-enc 518和K_RRC-int 520。雖然安全密鑰K_UP-enc 516、K_RRC-enc 518和K_RRC-int 520可以在RRC層612處生成，但是這些密鑰可以由PDCP層611使用，以保護(hù)信令和/或用戶/數(shù)據(jù)通信的安全。例如，密鑰K_UP-enc 516可以由PDCP層611使用，以確保用戶/數(shù)據(jù)平面(UP)通信的安全，而密鑰K_RRC-enc 518和K_RRC-int520可以被用于保護(hù)PDCP層611處的信令(即，控制)通信的安全。

在一個(gè)例子中，在建立這些安全密鑰(密鑰K_NASenc 510、K_NAS-int 512、K_UP-enc 516、K_RRC-enc 518和/或K_RRC-int 520)之前，可以通過(guò)不安全的公共控制信道(CCCH)來(lái)發(fā)送去往/來(lái)自通信設(shè)備的通信(未受保護(hù)的或未加密的)。在建立了這些安全密鑰之后，可以通過(guò)專用控制信道(DCCH)來(lái)發(fā)送這些相同的用戶數(shù)據(jù)和/或控制/信令通信。

在LTE兼容網(wǎng)絡(luò)中的連接建立/會(huì)話承載建立過(guò)程期間，如果存在已經(jīng)來(lái)自先前建立的會(huì)話的、現(xiàn)有的本地NAS安全上下文，則AKA和NAS SMC過(guò)程是可選的?？梢栽诜?wù)請(qǐng)求、附著請(qǐng)求和跟蹤區(qū)域更新(TAU)請(qǐng)求的時(shí)間重用(reuse)現(xiàn)有的NAS上下文。TAU請(qǐng)求可以由UE定期發(fā)送或當(dāng)UE進(jìn)入不與所述UE相關(guān)聯(lián)的跟蹤區(qū)域時(shí)發(fā)送，其中，跟蹤區(qū)域(或路由區(qū)域)可以是在其中UE能夠在無(wú)需首先更新網(wǎng)絡(luò)的情況下進(jìn)行移動(dòng)的區(qū)域。

在AS(用戶平面和RRC)和NAS二者處皆可以使用被提供作為輸入之一的單個(gè)算法標(biāo)識(shí)來(lái)導(dǎo)出用于加密和完整性算法的安全密鑰。在NAS層(例如，NAS層614)處，其由接入節(jié)點(diǎn)(eNodeB)在NAS SMC過(guò)程期間在NAS安全模式命令中提供給通信設(shè)備。在AS水平，要使用的算法由無(wú)線資源控制(RRC)安全模式命令提供。密鑰生成可以由密鑰推導(dǎo)函數(shù)(KDF)來(lái)完成，所述函數(shù)例如HMAC-SHA-256函數(shù)。在生成NAS安全密鑰K_NASenc 510和完整性密鑰K_NAS-int512以及RRC安全密鑰K_UP-enc 516、K_RRC-enc 518和完整性密鑰K_RRC-int 520時(shí)，密鑰導(dǎo)出函數(shù)KDF取若干類型的輸入，所述輸入包括安全性激活交換期間由網(wǎng)絡(luò)所提供的輸入算法標(biāo)識(shí)。例如，該輸入算法標(biāo)識(shí)可以標(biāo)識(shí)高級(jí)加密標(biāo)準(zhǔn)(AES)或“SNOW-3G”。

應(yīng)當(dāng)指出的是，在一些實(shí)現(xiàn)中，所有的安全密鑰(例如，NAS加密和完整性密鑰以及RRC加密和完整性密鑰)是使用相同的密鑰推導(dǎo)函數(shù)(KDF)來(lái)生成的，所述密鑰推導(dǎo)函數(shù)例如HMAC-SHA-256，其使用根/基礎(chǔ)密鑰(例如，K_ASME)、一個(gè)或多個(gè)固定的輸入、和多個(gè)可能的輸入算法標(biāo)識(shí)中的一個(gè)(即，安全性密鑰＝KDF(根/基礎(chǔ)密鑰、固定的輸入、算法標(biāo)識(shí))。

AKA過(guò)程的例子

圖7是消息流程圖700，其示出了LTE無(wú)線網(wǎng)絡(luò)中的認(rèn)證的例子。UE702可以通過(guò)服務(wù)網(wǎng)絡(luò)704連接到網(wǎng)絡(luò)，以便獲取由網(wǎng)絡(luò)運(yùn)營(yíng)商提供的來(lái)自歸屬網(wǎng)絡(luò)706的服務(wù)。在承載建立期間，UE 702可以建立與歸屬網(wǎng)絡(luò)706的HSS 712的連接。UE 702可以信任該HSS 712，而服務(wù)網(wǎng)絡(luò)704的eNodeB 708可能是不被信任的。UE 702可以發(fā)送具有標(biāo)識(shí)信息(例如國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI))的NAS附著請(qǐng)求720。MME 710接收該NAS附著請(qǐng)求720，并在認(rèn)證信息請(qǐng)求消息722中向HSS 712轉(zhuǎn)發(fā)該請(qǐng)求720。認(rèn)證信息請(qǐng)求消息722可以包括該UE 702的IMSI和服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符(SN_id)。HSS 712可以利用認(rèn)證信息響應(yīng)消息724進(jìn)行響應(yīng)，該認(rèn)證信息響應(yīng)消息724包括認(rèn)證值(AUTN)、預(yù)期結(jié)果值(XRES)隨機(jī)數(shù)和K_ASME。AUTN與RAND是一起由AuC生成的，其向UE 702認(rèn)證HSS 712。MME 710和HSS 712之間的消息722、724在鏈路740和受保護(hù)的認(rèn)證、授權(quán)和計(jì)費(fèi)協(xié)議(Diameter)上傳輸。

MME 710向UE 702發(fā)送NAS認(rèn)證請(qǐng)求726，UE 702用NAS認(rèn)證響應(yīng)消息728進(jìn)行響應(yīng)。NAS認(rèn)證請(qǐng)求726包括AUTN、RAND和密鑰集標(biāo)識(shí)符(KSI_ASME)。MME 710可以向UE 702發(fā)送非接入層(NAS)安全模式配置(NAS SMC)消息730。UE 702隨后向MME 710發(fā)送“NAS安全模式完成”消息732，MME 710向eNodeB 708用信號(hào)形式發(fā)送“S1AP初始上下文建立”消息734。eNodeB 708隨后可以向UE 702發(fā)送RRC非接入層(NAS)安全模式配置(RRC SMC)消息736，其用RRC安全模式完成消息738進(jìn)行響應(yīng)(當(dāng)準(zhǔn)備好時(shí))。

在某些網(wǎng)絡(luò)實(shí)施方式中，服務(wù)網(wǎng)絡(luò)704在認(rèn)證完成之后的一段時(shí)間是可信任的。在一個(gè)例子中，在認(rèn)證之后，直到HSS 712執(zhí)行另一個(gè)認(rèn)證過(guò)程(AKA)，服務(wù)網(wǎng)絡(luò)704可以是可信任的。所建立的信任存活的持續(xù)時(shí)間可以由網(wǎng)絡(luò)運(yùn)營(yíng)商確定。網(wǎng)絡(luò)運(yùn)營(yíng)商可以配置信任的時(shí)段持續(xù)數(shù)個(gè)小時(shí)、數(shù)天或數(shù)個(gè)星期。

演進(jìn)的網(wǎng)絡(luò)技術(shù)中的安全性考慮的例子

由于4G、5G和其它網(wǎng)絡(luò)技術(shù)的發(fā)展，某些網(wǎng)絡(luò)功能可能朝向網(wǎng)絡(luò)的邊緣而被推動(dòng)。例如，與MME相關(guān)聯(lián)的網(wǎng)絡(luò)功能可以被分配具有小型小區(qū)中的eNodeB的網(wǎng)絡(luò)功能。在一些實(shí)例中，一個(gè)或多個(gè)網(wǎng)絡(luò)功能的重定位可以降低蜂窩核心網(wǎng)絡(luò)上的信任或使其無(wú)效。

在一個(gè)例子中，可以部署毫微微小區(qū)或家庭eNodeB(HeNB)，以通過(guò)寬帶連接來(lái)提供本地化的無(wú)線服務(wù)。毫微微小區(qū)可以被表征為小的、低功率的蜂窩基站，其典型地被設(shè)計(jì)為在家庭或小型商業(yè)環(huán)境中使用。毫微微小區(qū)可以是任意小型小區(qū)，其典型地具有有限范圍和/或有限數(shù)量的活動(dòng)的附著UE，所述附著UE通過(guò)廣域網(wǎng)或連接來(lái)連接到網(wǎng)絡(luò)運(yùn)營(yíng)商的網(wǎng)絡(luò)。毫微微小區(qū)可以在一個(gè)或多個(gè)網(wǎng)絡(luò)中可操作，所述一個(gè)或多個(gè)網(wǎng)絡(luò)包括WCDMA、GSM、CDMA2000、TD-SCDMA、WiMAX和LTE網(wǎng)絡(luò)。較新的技術(shù)的部署和/或毫微微小區(qū)的使用可能導(dǎo)致對(duì)在較少受到保護(hù)的和/或更容易受到攻擊的、分離的位置處的網(wǎng)絡(luò)功能單元進(jìn)行處理。出于這些和其他原因，由小型小區(qū)或中繼節(jié)點(diǎn)提供的安全水平相對(duì)于由宏小區(qū)提供的安全性可能顯著降低?？赡軙?huì)期望對(duì)小型小區(qū)的增加的部署和用于支持網(wǎng)絡(luò)中的多跳的中繼器。

在另一個(gè)例子中，在某些較新的技術(shù)中的網(wǎng)絡(luò)功能單元可能位于共享的系統(tǒng)，和/或在云環(huán)境中提供。在這樣的系統(tǒng)和環(huán)境中，網(wǎng)絡(luò)和計(jì)算功能可以是虛擬化的，并且通常由第三方提供商管理。盡管網(wǎng)絡(luò)運(yùn)營(yíng)商可能能夠保護(hù)至云的訪問(wèn)路徑的安全，但云內(nèi)部的安全不能得到保證。在一些情況下，在虛擬(云)環(huán)境的內(nèi)部安全和虛擬化系統(tǒng)性能之間做出折衷。在一些情況下，網(wǎng)絡(luò)運(yùn)營(yíng)商不需要擁有用于連接UE的網(wǎng)絡(luò)設(shè)備，和/或網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的不同組件可以由不同的運(yùn)營(yíng)商所擁有。運(yùn)營(yíng)商之間的減少的隔離可能會(huì)導(dǎo)致，并且一些網(wǎng)絡(luò)運(yùn)營(yíng)商可能更容易獲取其他網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證。例如，當(dāng)兩個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商共享共同的eNodeB或MME時(shí)，第一網(wǎng)絡(luò)運(yùn)營(yíng)商的憑證可能更容易地由第二網(wǎng)絡(luò)運(yùn)營(yíng)商挪用。

當(dāng)某些安全假設(shè)是無(wú)效的時(shí)，網(wǎng)絡(luò)可能被暗示為是不安全的。例如在4G AKA中，所述HSS是可信任的網(wǎng)絡(luò)實(shí)體，而HSS可能是信任的根源(root)。UE和服務(wù)網(wǎng)絡(luò)之間的相互認(rèn)證可以依賴于HSS和服務(wù)網(wǎng)絡(luò)之間的安全性。HSS代表UE來(lái)認(rèn)證服務(wù)網(wǎng)絡(luò)，并通過(guò)安全信道向服務(wù)網(wǎng)絡(luò)提供針對(duì)UE的認(rèn)證憑證。

參考圖8，HSS 818和服務(wù)網(wǎng)絡(luò)804之間的通信信道(S6a參考點(diǎn))816被假定為是安全的，并且在一些例子中，由認(rèn)證、授權(quán)和計(jì)費(fèi)協(xié)議來(lái)保護(hù)，所述協(xié)議例如Diameter協(xié)議，其通過(guò)其傳輸層安全(TLS)協(xié)議提供加密(cryptographic)能力。在一些情況下，HSS 818和MME 810之間的通信信道816可能是不夠安全的，并且在某些情況下，S6a參考點(diǎn)816是不受保護(hù)的。例如，當(dāng)MME 810物理上位于不太安全的環(huán)境中(包括當(dāng)MME 810與eNodeB 808共同位于公共空間中，或位于云計(jì)算或網(wǎng)絡(luò)環(huán)境之內(nèi))時(shí)，安全問(wèn)題可能會(huì)出現(xiàn)。由于在到MME 810的傳輸中針對(duì)UE 802的憑證(包括認(rèn)證向量(AV)824)可能會(huì)被攻擊者820攔截，所以會(huì)發(fā)生威脅。在這樣的環(huán)境中，HSS 818和MME 810之間的安全連接并不一定意味著認(rèn)證信息請(qǐng)求是合法的。例如，安全連接可能由不執(zhí)行針對(duì)上層協(xié)議的健全性檢查的代理服務(wù)器來(lái)處理。

圖9示出了一種場(chǎng)景，其中流氓(rogue)公共陸地移動(dòng)網(wǎng)(PLMN)906可能假冒由有效網(wǎng)絡(luò)運(yùn)營(yíng)商提供的一個(gè)或多個(gè)其他PLMN 908、910。如圖8所示，HSS 904和合法的服務(wù)PLMN 908之間的通信信道918、920的漏洞可能被利用，以使得流氓PLMN 906可以監(jiān)測(cè)通信信道918、920，以捕捉在HSS 904和有效的PLMN 910之間發(fā)送的IMSI和密鑰信息922。在一些情況下，流氓PLMN 906中的MME可以假冒有效PLMN 910中的MME，以便基于捕捉的UE認(rèn)證向量與UE 902建立通信鏈路916。流氓PLMN 906中的網(wǎng)絡(luò)實(shí)體隨后可以訪問(wèn)關(guān)于UE 902的信息，并且可以監(jiān)測(cè)源自UE 902的通信。

改善的服務(wù)網(wǎng)絡(luò)認(rèn)證的例子

根據(jù)本文公開的某些方面，并繼續(xù)參考圖8，通過(guò)僅將HSS 818作為受信任的實(shí)體，可以避免假冒攻擊。UE 802可以提供給HSS 818能夠用于對(duì)憑證(即，AV)進(jìn)行加密的密鑰。HSS 818可以使用所提供的密鑰來(lái)加密針對(duì)UE 802的憑證。HSS 818可以加密密鑰，使得僅期望的MME 810可以解密密鑰。期望的MME 810可以被識(shí)別和/或通過(guò)網(wǎng)絡(luò)操作來(lái)向HSS 818注冊(cè)。MME 810可以解密密鑰，并且隨后解密針對(duì)UE 802的憑證。因此，MME 810可以向UE 802證明對(duì)密鑰的知曉。以這種方式，UE 802可以直接地和明確地認(rèn)證服務(wù)網(wǎng)絡(luò)804，而無(wú)需依賴額外的安全協(xié)議，例如Diameter協(xié)議。

圖10是示出了無(wú)線網(wǎng)絡(luò)中的認(rèn)證的例子的消息流程圖1000，其中，UE 802直接地和明確地認(rèn)證服務(wù)網(wǎng)絡(luò)804。無(wú)線網(wǎng)絡(luò)可以是LTE或5G網(wǎng)絡(luò)或其一些衍生物。UE 802可以連接至服務(wù)網(wǎng)絡(luò)804，以便從網(wǎng)絡(luò)運(yùn)營(yíng)商提供的歸屬網(wǎng)絡(luò)806獲取服務(wù)。在承載建立期間，UE 802可以與歸屬網(wǎng)絡(luò)806的HSS 818建立安全的連接。UE 802可以信任HSS 818，而服務(wù)網(wǎng)絡(luò)804的eNodeB 808和MME 810可能是不被信任的。UE 802可以發(fā)送具有其IMSI和信息的NAS附著請(qǐng)求1002，所述信息包括服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符(SN_id)和隨機(jī)選擇的密鑰加密密鑰(KEK)。公共或共享的密鑰加密可以用于加密NAS附著請(qǐng)求1002中的信息。如果使用公鑰加密，則IMSI、SN_id和KEK可以使用HSS 818的公鑰進(jìn)行加密。如果使用共享密鑰加密，則SN_id和KEK可以使用UE 802和HSS 818之間共享的秘密密鑰來(lái)加密。由UE 802發(fā)送的SN_id反映UE 802所請(qǐng)求連接的服務(wù)網(wǎng)絡(luò)的標(biāo)識(shí)。

MME 810接收NAS附著請(qǐng)求1002，并向HSS 818發(fā)送認(rèn)證信息請(qǐng)求1004。認(rèn)證信息請(qǐng)求1004可以包括NAS附著請(qǐng)求中提供的加密的信息、MME 810所屬于的網(wǎng)絡(luò)的SN_id和MME證書(其可能是MME 810的公鑰(PK_MME))。針對(duì)MME 810的證書的可以由網(wǎng)絡(luò)運(yùn)營(yíng)商簽名。HSS 818可以解密來(lái)自于NAS附著請(qǐng)求1002中提供的加密的信息的KEK和SN_id。HSS 818可以將之后解密的SN_id與由MME 810在認(rèn)證信息請(qǐng)求1004中發(fā)送的SN_id進(jìn)行比較。如果兩個(gè)SN_id匹配，則HSS 818準(zhǔn)備并發(fā)送認(rèn)證信息響應(yīng)1006。認(rèn)證信息響應(yīng)1006可以包括KEK的加密的版本，其是使用MME 810的公鑰(PK_MME)加密的。認(rèn)證信息響應(yīng)1006還可以包括使用KEK加密的認(rèn)證向量。

MME 810接收認(rèn)證信息響應(yīng)1006并使用其私鑰來(lái)解密認(rèn)證信息響應(yīng)1006中的KEK。MME 810隨后可以使用KEK來(lái)解密認(rèn)證信息響應(yīng)1006中的認(rèn)證向量。MME 810隨后可以向UE 802發(fā)送NAS認(rèn)證請(qǐng)求1008，其中，完整性由KEK來(lái)保護(hù)。認(rèn)證請(qǐng)求1008包括認(rèn)證參數(shù)(AUTN、RAND、eKSI)，其中，AUTN參數(shù)是認(rèn)證令牌，RAND參數(shù)是隨機(jī)或偽隨機(jī)數(shù)，并且eKSI參數(shù)是由MME 810提供的演進(jìn)的密鑰集標(biāo)識(shí)符。認(rèn)證請(qǐng)求1008包括使用KEK通過(guò)消息創(chuàng)建的簽名或消息認(rèn)證碼(MAC_KEK)。UE 802用NAS認(rèn)證響應(yīng)消息1010進(jìn)行響應(yīng)。

MME 810可以向UE 802發(fā)送NAS安全模式命令(SMC)消息1012，以在建立某些無(wú)線承載之前激活A(yù)S安全性。UE 802通過(guò)向MME 810發(fā)送“NAS安全模式完成”消息1014進(jìn)行響應(yīng)，MME 810向eNodeB 808用信號(hào)形式發(fā)送“S1AP初始上下文建立”消息1016。S1AP在E-UTRAN 104和演進(jìn)的分組核心(EPC)110(見圖1)之間提供信令服務(wù)。隨后eNodeB 808可以向UE 802發(fā)送RRC SMC消息1018，UE 802用“RRC安全模式完成”消息1020進(jìn)行響應(yīng)(當(dāng)準(zhǔn)備好時(shí))。

圖11是示出了針對(duì)一種裝置的硬件實(shí)現(xiàn)的簡(jiǎn)化例子的概念圖1100，所述裝置采用可以被配置為執(zhí)行本文公開的一個(gè)或多個(gè)功能的處理電路1102。根據(jù)本公開內(nèi)容的各個(gè)方面，可以使用處理電路1102來(lái)實(shí)現(xiàn)如本文中公開的要素、或要素的任意部分、或要素的任意組合。處理電路1102可以包括由硬件和軟件模塊的某種組合控制的一個(gè)或多個(gè)處理器1104。處理器1104的例子包括微處理器、微控制器、數(shù)字信號(hào)處理器(DSP)、現(xiàn)場(chǎng)可編程門陣列(FPGA)、可編程邏輯器件(PLD)、狀態(tài)機(jī)、定序器、門控邏輯器件、分立的硬件電路，和被配置為執(zhí)行貫穿本公開內(nèi)容所描述的各種功能的其它適當(dāng)硬件。所述一個(gè)或多個(gè)處理器1104可以包括執(zhí)行特定功能并且可以由軟件模塊1116中的一個(gè)來(lái)配置、增強(qiáng)或控制的專用處理器。所述一個(gè)或多個(gè)處理器1104可以通過(guò)在初始化期間加載的軟件模塊1116的組合來(lái)配置，并進(jìn)一步通過(guò)在操作期間加載或卸載一個(gè)或多個(gè)軟件模塊1116來(lái)配置。

在圖示的例子中，處理電路1102可以使用總線架構(gòu)來(lái)實(shí)現(xiàn)，所述總線架構(gòu)由總線1110來(lái)總體表示。取決于處理電路1102的特定應(yīng)用和整體設(shè)計(jì)約束條件，總線1110可以包括任意數(shù)量的互連總線和橋接器?？偩€1110將各種電路鏈接在一起，所述各種電路包括一個(gè)或多個(gè)處理器1104和存儲(chǔ)器1106。存儲(chǔ)器1106可以包括存儲(chǔ)設(shè)備和大容量存儲(chǔ)器設(shè)備，并且在本文中可以被稱為計(jì)算機(jī)可讀介質(zhì)和/或處理器可讀介質(zhì)?？偩€1110還可以鏈接各種其它電路，例如定時(shí)源、定時(shí)器、外圍設(shè)備、電壓調(diào)節(jié)器和電源管理電路?？偩€接口1108可以在總線1110和一個(gè)或多個(gè)收發(fā)機(jī)1112之間提供接口?？梢葬槍?duì)由處理電路所支持的每個(gè)網(wǎng)絡(luò)技術(shù)來(lái)提供收發(fā)機(jī)1112。在某些情況下，多種網(wǎng)絡(luò)技術(shù)可以共享在收發(fā)機(jī)1112中發(fā)現(xiàn)的電路或處理模塊中的一些或全部。每個(gè)收發(fā)機(jī)1112提供用于通過(guò)傳輸介質(zhì)與各種其它裝置進(jìn)行通信的單元。取決于裝置的性質(zhì)，還可以提供用戶接口1118(例如，小鍵盤、顯示器、揚(yáng)聲器、麥克風(fēng)、操縱桿)，并且用戶接口1118可以直接地或通過(guò)總線接口1108通信地耦合到總線1110。

處理器1104可以負(fù)責(zé)管理總線1110以及負(fù)責(zé)通用處理，所述通用處理可以包括執(zhí)行存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)(可以包括存儲(chǔ)器1106)中的軟件。在這方面，處理電路1102(包括處理器1104)可以用于實(shí)現(xiàn)本文公開的任意方法、功能和技術(shù)。存儲(chǔ)器1106可以用于存儲(chǔ)由處理器1104在執(zhí)行軟件時(shí)所操縱的數(shù)據(jù)，并且該軟件可以被配置為實(shí)現(xiàn)本文中所公開的任何一種方法。

處理電路1102中的一個(gè)或多個(gè)處理器1104可以執(zhí)行軟件。無(wú)論被稱為軟件、固件、中間件、微代碼、硬件描述語(yǔ)言還是其它術(shù)語(yǔ)，軟件應(yīng)當(dāng)被廣意地解釋為意味著指令、指令集、代碼、代碼段、程序代碼、程序、子程序、軟件模塊、應(yīng)用、軟件應(yīng)用、軟件包、例程、子例程、對(duì)象、可執(zhí)行文件、執(zhí)行的線程、過(guò)程、函數(shù)、算法等等。軟件可以以計(jì)算機(jī)可讀的形式位于存儲(chǔ)器1106中或位于外部計(jì)算機(jī)可讀介質(zhì)中。外部計(jì)算機(jī)可讀介質(zhì)和/或存儲(chǔ)器1106可以包括非臨時(shí)性計(jì)算機(jī)可讀介質(zhì)。通過(guò)舉例的方式，非臨時(shí)性計(jì)算機(jī)可讀介質(zhì)包括：磁存儲(chǔ)設(shè)備(例如，硬盤、軟盤、磁條)、光盤(例如，壓縮光盤(CD)或數(shù)字多功能光盤(DVD))、智能卡、閃存設(shè)備(例如，“閃存驅(qū)動(dòng)器”、卡、棒、或鑰匙驅(qū)動(dòng)器)、隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、可編程ROM(PROM)、可擦除PROM(EPROM)、電可擦除PROM(EEPROM)、寄存器、可移動(dòng)磁盤，以及用于存儲(chǔ)計(jì)算機(jī)能夠訪問(wèn)和讀取的軟件和/或指令的任何其它適當(dāng)介質(zhì)。通過(guò)舉例的方式，計(jì)算機(jī)可讀介質(zhì)和/或存儲(chǔ)器1106還可以包括：載波、傳輸線、以及用于傳輸計(jì)算機(jī)能夠訪問(wèn)和讀取的軟件和/或指令的任何其它適當(dāng)介質(zhì)。計(jì)算機(jī)可讀介質(zhì)和/或存儲(chǔ)器1106可以駐留在處理電路1102中、處理器1104中、處理電路1102外部，或跨越包括處理電路1102的多個(gè)實(shí)體而分布。計(jì)算機(jī)可讀介質(zhì)和/或存儲(chǔ)器1106可以體現(xiàn)在計(jì)算機(jī)程序產(chǎn)品中。通過(guò)舉例的方式，計(jì)算機(jī)程序產(chǎn)品可以包括封裝材料中的計(jì)算機(jī)可讀介質(zhì)。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到如何取決于具體應(yīng)用和施加于整個(gè)系統(tǒng)的總體設(shè)計(jì)約束來(lái)最好地實(shí)現(xiàn)貫穿本公開內(nèi)容呈現(xiàn)的所描述的功能。

存儲(chǔ)器1106可以維持以代碼段、模塊、應(yīng)用、程序等等維持和/或組織的軟件，其在本文中可以被稱為軟件模塊1116。軟件模塊1116中的每一個(gè)可以包括指令和數(shù)據(jù)，當(dāng)其安裝或加載到處理電路1102上并由一個(gè)或多個(gè)處理器1104執(zhí)行時(shí)，促成運(yùn)行時(shí)圖像(run-time image)1114，其控制一個(gè)或多個(gè)處理器1104的操作。當(dāng)被執(zhí)行時(shí)，某些指令可以使得處理電路1102執(zhí)行根據(jù)本文所描述的某些方法、算法和過(guò)程的功能。

軟件模塊1116中的一些可以在處理電路1102的初始化期間被加載，并且這些軟件模塊1116可以配置處理電路1102來(lái)啟用本文所公開的各種功能的性能。例如，軟件模塊1116中的一些可以配置內(nèi)部設(shè)備和/或處理器1104的邏輯電路1122，并且可以管理對(duì)外部設(shè)備的訪問(wèn)，所述外部設(shè)備例如收發(fā)機(jī)1112、總線接口1108、用戶接口1118、定時(shí)器、數(shù)學(xué)協(xié)處理器等。軟件模塊1116可以包括與中斷處理器和設(shè)備驅(qū)動(dòng)器交互、并且控制對(duì)由處理電路1102提供的各種資源的訪問(wèn)的控制程序和/或操作系統(tǒng)。所述資源可以包括存儲(chǔ)器、處理時(shí)間、對(duì)收發(fā)機(jī)1112的訪問(wèn)、用戶接口1118等等。

處理電路1102的一個(gè)或多個(gè)處理器1104可以是多功能的，由此一些軟件模塊1116被加載并且被配置為執(zhí)行不同的功能或相同功能的不同實(shí)例。一個(gè)或多個(gè)處理器1104可以額外適配為管理響應(yīng)于來(lái)自例如用戶接口1118、收發(fā)機(jī)1112、和設(shè)備驅(qū)動(dòng)器的輸入而發(fā)起的后臺(tái)任務(wù)。為了支持多種功能的性能，一個(gè)或多個(gè)處理器1104可以被配置為提供多任務(wù)環(huán)境，由此多個(gè)功能中的每個(gè)功能被實(shí)現(xiàn)為一個(gè)或多個(gè)處理器1104根據(jù)需要或期望而提供的任務(wù)集。在一個(gè)例子中，可以使用在不同任務(wù)之間傳遞處理器1104的控制的分時(shí)程序1120來(lái)實(shí)現(xiàn)多任務(wù)環(huán)境，由此每個(gè)任務(wù)在完成了任何未完成的操作和/或響應(yīng)于例如中斷的輸入時(shí)，向分時(shí)程序1120返回所述一個(gè)或多個(gè)處理器1104的控制。當(dāng)任務(wù)在一個(gè)或多個(gè)處理器1104的控制下時(shí)，處理電路有效地專用于由與控制任務(wù)相關(guān)聯(lián)的功能處理的目的。分時(shí)程序1120可以包括操作系統(tǒng)、主循環(huán)、函數(shù)和/或中斷驅(qū)動(dòng)主循環(huán)，所述主循環(huán)在循環(huán)(round-robin)的基礎(chǔ)上傳遞控制，所述函數(shù)根據(jù)功能的優(yōu)先級(jí)來(lái)分配一個(gè)或多個(gè)處理器1104的控制，所述中斷驅(qū)動(dòng)主循環(huán)通過(guò)將一個(gè)或多個(gè)處理器1104的控制提供給正在處理的功能來(lái)響應(yīng)外部事件。

下面的流程圖示出了在根據(jù)本文中公開的某些方面適配或配置的網(wǎng)絡(luò)元件上執(zhí)行或可操作的方法和過(guò)程。所述方法和過(guò)程可以以任意適當(dāng)?shù)木W(wǎng)絡(luò)技術(shù)來(lái)實(shí)現(xiàn)，所述網(wǎng)絡(luò)技術(shù)包括3G、4G、5G技術(shù)等等。因此，權(quán)利要求并不受限于單個(gè)網(wǎng)絡(luò)技術(shù)。在這點(diǎn)上，對(duì)“UE”的引用還可以理解為指的是移動(dòng)站、訂戶站、移動(dòng)單元、訂戶單元、無(wú)線單元、遠(yuǎn)程單元、移動(dòng)設(shè)備、無(wú)線設(shè)備、無(wú)線通信設(shè)備、遠(yuǎn)程設(shè)備、移動(dòng)訂戶站、接入終端、移動(dòng)終端、無(wú)線終端、遠(yuǎn)程終端、手持機(jī)、用戶代理、移動(dòng)客戶端、客戶端、或一些其它適當(dāng)?shù)男g(shù)語(yǔ)。對(duì)“eNodeB”的引用可以被理解為指的是基站、基站收發(fā)臺(tái)、無(wú)線基站、無(wú)線收發(fā)機(jī)、收發(fā)機(jī)功能單元、基本服務(wù)集、擴(kuò)展服務(wù)集、或一些其它適當(dāng)?shù)男g(shù)語(yǔ)。對(duì)MME的引用還可以指的是例如作為服務(wù)網(wǎng)絡(luò)中的認(rèn)證器和/或諸如移動(dòng)交換中心等主服務(wù)傳遞節(jié)點(diǎn)的實(shí)體。對(duì)HSS的引用還可以指的是數(shù)據(jù)庫(kù)，其包含用戶相關(guān)和訂戶相關(guān)信息的數(shù)據(jù)庫(kù)、在移動(dòng)性管理中提供支持功能、呼叫和會(huì)話設(shè)置、和/或用戶認(rèn)證和訪問(wèn)授權(quán)，其包括例如歸屬位置寄存器(HLR)、認(rèn)證中心(AuC)和/或認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器。

圖12是無(wú)線通信的方法的流程圖1200。該方法可以由UE執(zhí)行。在框1202處，UE可以建立與服務(wù)網(wǎng)絡(luò)的連接。

在框1204處，UE可以向服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送在第一消息中的認(rèn)證憑證，所述認(rèn)證憑證包括隨機(jī)選擇的KEK和服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符。該網(wǎng)絡(luò)節(jié)點(diǎn)可以是MME。認(rèn)證憑證可以是使用與歸屬網(wǎng)絡(luò)中的HSS的加密密鑰來(lái)加密的。在一些情況下，該認(rèn)證憑證是基于與所述HSS共享的密鑰，使用對(duì)稱密碼加密的。在一些情況下，認(rèn)證憑證可以基于所述HSS的公鑰，使用非對(duì)稱密碼進(jìn)行加密。

在框1206處，UE可以接收響應(yīng)于所述第一消息的第二消息。所述第二消息可以包括來(lái)自所述網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證請(qǐng)求和由所述網(wǎng)絡(luò)節(jié)點(diǎn)使用所述KEK生成的簽名。所述第二消息可以攜帶使用所述KEK生成的消息認(rèn)證碼。所述第二消息可以由MME所述MME接收到對(duì)發(fā)送至HSS的認(rèn)證信息請(qǐng)求的響應(yīng)之后生成。對(duì)所述認(rèn)證信息請(qǐng)求的所述響應(yīng)可能是由所述HSS發(fā)送至所述MME的，并且是使用所述MME的公鑰來(lái)加密的。

在框1208處，UE可以基于所述簽名來(lái)認(rèn)證所述網(wǎng)絡(luò)節(jié)點(diǎn)。

在一個(gè)例子中，當(dāng)所述簽名是使用所述KEK的副本生成的時(shí)，所述網(wǎng)絡(luò)節(jié)點(diǎn)可以被認(rèn)證。當(dāng)在加密的消息的交換期間，所述網(wǎng)絡(luò)節(jié)點(diǎn)已接收到所述KEK的副本時(shí)，所述簽名可能是使用所述KEK的副本生成的，所述加密的消息的交換是與所述HSS進(jìn)行的、響應(yīng)于所述第一消息由所述網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)起的。

圖13是示出了針對(duì)采用處理電路1302的裝置1300的硬件實(shí)現(xiàn)的簡(jiǎn)化例子的框示意圖。處理電路典型地具有處理器1316，所述處理器1316可以包括微處理器、微控制器、數(shù)字信號(hào)處理器、定序器和狀態(tài)機(jī)中的一個(gè)或多個(gè)。處理電路1302可以使用總線架構(gòu)來(lái)實(shí)現(xiàn)，所述總線架構(gòu)由總線1320來(lái)總體表示。取決于處理電路1302的特定應(yīng)用和整體設(shè)計(jì)約束條件，總線1320可以包括任意數(shù)量的互連總線和橋接器?？偩€1320將各種電路鏈接在一起，所述各種電路包括一個(gè)或多個(gè)處理器和/或硬件模塊(由處理器1316、模塊或電路1304、1306和1308、無(wú)線收發(fā)機(jī)電路1312所表示)，無(wú)線收發(fā)機(jī)電路1312可配置為通過(guò)天線1314和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1318來(lái)進(jìn)行通信?？偩€1320還可以鏈接各種其它電路，例如定時(shí)源、外圍設(shè)備、電壓調(diào)節(jié)器和電源管理電路，這在本領(lǐng)域是公知的，并且因此將不再進(jìn)一步描述。

處理器1316負(fù)責(zé)一般處理，包括執(zhí)行計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1318上存儲(chǔ)的軟件。當(dāng)軟件由處理器1316執(zhí)行時(shí)，使得處理系統(tǒng)1302執(zhí)行以上針對(duì)任意具體裝置所描述的各種功能。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1318還可以用于存儲(chǔ)當(dāng)處理器1316正在執(zhí)行軟件時(shí)所操作的數(shù)據(jù)，所述數(shù)據(jù)包括對(duì)從通過(guò)天線1314(其可以被配置為數(shù)據(jù)通道和時(shí)鐘通道)發(fā)送的符號(hào)解碼得到的數(shù)據(jù)。處理電路1302還包括模塊1304、1306和1308中的至少一個(gè)。模塊1304、1306和1308可以是在處理器1316中運(yùn)行、駐留/存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1318中的軟件模塊，耦合到處理器1316的一個(gè)或多個(gè)硬件模塊，或其一些組合。模塊1304、1306和/或1308可以包括微控制器指令、狀態(tài)機(jī)配置參數(shù)，或其某些組合。

在一種配置中，用于無(wú)線通信的裝置1300包括模塊和/或電路1304、模塊和/或電路1306以及模塊和/或電路1308，模塊和/或電路1304被配置為與歸屬網(wǎng)絡(luò)建立連接，模塊和/或電路1306被配置為處理用于與服務(wù)網(wǎng)絡(luò)的通信的加密和解密，模塊和/或電路1308被配置為發(fā)送消息以及接收消息。在一個(gè)例子中，消息在UE和服務(wù)網(wǎng)絡(luò)之間傳輸。在另一個(gè)例子中，消息在UE和歸屬網(wǎng)絡(luò)之間傳輸。在另一個(gè)例子中，消息在服務(wù)網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)之間傳輸。

圖14是無(wú)線通信的方法的流程圖1400。該方法可以由服務(wù)網(wǎng)絡(luò)的實(shí)體(例如MME)來(lái)執(zhí)行。在框1402處，MME可以接收來(lái)自UE的、用于建立與所述服務(wù)網(wǎng)絡(luò)的連接的第一請(qǐng)求。第一請(qǐng)求可以包括UE的唯一標(biāo)識(shí)符和加密的信息，所述加密的信息包括服務(wù)網(wǎng)絡(luò)的標(biāo)識(shí)符和隨機(jī)選擇的KEK。

在框1404處，MME可以向與UE相關(guān)聯(lián)的歸屬網(wǎng)絡(luò)的HSS發(fā)送第二請(qǐng)求。該請(qǐng)求可以包括在第一請(qǐng)求中接收到的加密的信息和MME的公鑰。在所述第一請(qǐng)求中接收到的所述加密的信息是由所述UE使用所述HSS的加密密鑰來(lái)加密的。

在框1406處，MME可以接收對(duì)來(lái)自HSS的對(duì)第二請(qǐng)求的響應(yīng)。對(duì)所述第二請(qǐng)求的所述響應(yīng)可以包括使用所述MME的公鑰來(lái)加密的所述KEK。對(duì)所述第二請(qǐng)求的所述響應(yīng)可以包括使用所述KEK加密的認(rèn)證向量。

在框1408處，MME可以使用與MME的公鑰相對(duì)應(yīng)的私鑰來(lái)解密所述KEK。

在框1410處，MME可以使用所述KEK來(lái)解密認(rèn)證向量。

在框1412處，MME可以向UE發(fā)送第三請(qǐng)求。第三請(qǐng)求可以包括使用所述KEK簽名的認(rèn)證請(qǐng)求。

在一些情況下，MME可以接收到來(lái)自UE的對(duì)第三請(qǐng)求的響應(yīng)，并且在接收到對(duì)所述第三請(qǐng)求的所述響應(yīng)之后在UE與服務(wù)網(wǎng)絡(luò)之間建立連接。

圖15是示出了針對(duì)采用處理電路1502的裝置1500的硬件實(shí)現(xiàn)的簡(jiǎn)化例子的示圖。處理電路典型地具有處理器1516，所述處理器可以包括微處理器、微控制器、數(shù)字信號(hào)處理器、定序器和狀態(tài)機(jī)中的一個(gè)或多個(gè)。處理電路1502可以使用總線架構(gòu)來(lái)實(shí)現(xiàn)，所述總線架構(gòu)由總線1520來(lái)總體表示。取決于處理電路1502的特定應(yīng)用和整體設(shè)計(jì)約束條件，總線1520可以包括任意數(shù)量的互連總線和橋接器。總線1520將各種電路鏈接在一起，所述各種電路包括一個(gè)或多個(gè)處理器和/或硬件模塊(由處理器1516、模塊或電路1504、1506、1508和1510、無(wú)線收發(fā)機(jī)電路1512所表示)，無(wú)線收發(fā)機(jī)電路1512可配置為通過(guò)天線1514和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1518來(lái)進(jìn)行通信。總線1520還可以鏈接各種其它電路，例如定時(shí)源、外圍設(shè)備、電壓調(diào)節(jié)器和電源管理電路，這在本領(lǐng)域是公知的，因此將不再進(jìn)一步描述。

處理器1516負(fù)責(zé)一般處理，包括執(zhí)行計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1518上存儲(chǔ)的軟件。當(dāng)軟件由處理器1516執(zhí)行時(shí)，使得處理系統(tǒng)1502執(zhí)行以上針對(duì)任意具體裝置所描述的各種功能。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1518還可以用于存儲(chǔ)當(dāng)處理器1516正在執(zhí)行軟件時(shí)所操作的數(shù)據(jù)，所述數(shù)據(jù)包括對(duì)從通過(guò)天線1514(其可以被配置為數(shù)據(jù)通道和時(shí)鐘通道)發(fā)送的符號(hào)解碼得到的數(shù)據(jù)。處理電路1502還包括模塊1504、1506和1508中的至少一個(gè)。模塊1504、1506、1508和1510可以在處理器1516中運(yùn)行、駐留/存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1518中的軟件模塊，耦合到處理器1516的一個(gè)或多個(gè)硬件模塊，或其一些組合。模塊1504、1506、1508和/或1510可以包括微控制器指令、狀態(tài)機(jī)配置參數(shù)，或其某些組合。

在一種配置中，用于無(wú)線通信的裝置1500包括模塊和/或電路1504、模塊和/或電路1506以及模塊和/或電路1508，模塊和/或電路1504被配置為與一個(gè)或多個(gè)UE建立連接，模塊和/或電路1506被配置為管理或處理加密和解密過(guò)程，模塊和/或電路1508被配置為向UE發(fā)送消息以及從UE接收消息和/或向HSS發(fā)送消息以及從HSS接收消息。

圖16是無(wú)線通信的方法的流程圖1600。該方法可以由UE的歸屬網(wǎng)絡(luò)中的HSS來(lái)執(zhí)行。在框1602處，HSS可以接收來(lái)自服務(wù)網(wǎng)絡(luò)的節(jié)點(diǎn)的認(rèn)證信息請(qǐng)求。服務(wù)網(wǎng)絡(luò)的節(jié)點(diǎn)可以是MME。該請(qǐng)求可以包括第一服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符、服務(wù)網(wǎng)絡(luò)的節(jié)點(diǎn)的公鑰、以及由UE加密的信息。由UE加密的信息可以包括隨機(jī)選擇的KEK和第二服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符。在一些情況下，由UE加密的信息是基于與HSS共享的密鑰，使用對(duì)稱密碼加密的。在一些情況下，由UE加密的信息是基于所述HSS的公鑰，使用非對(duì)稱密碼加密的。

在框1604處，HSS可以使用HSS的私鑰來(lái)解密來(lái)自于由UE加密的信息的、第二服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符和所述KEK。

在框1606處，HSS可以將第一服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符與第二服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符進(jìn)行比較。

在框1608處，下一個(gè)框是基于所述第一服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符是否與第二服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)符匹配來(lái)確定的。當(dāng)沒(méi)有找到匹配時(shí)，該方法可以在框1616處以認(rèn)證失敗而終止。當(dāng)發(fā)現(xiàn)匹配時(shí)，該方法可以在框1610處繼續(xù)。

在框1610處，HSS可以使用所述服務(wù)網(wǎng)絡(luò)的節(jié)點(diǎn)的公鑰來(lái)加密KEK，以獲取加密的KEK。

在框1612處，HSS可以使用所述KEK來(lái)加密認(rèn)證向量，以獲取加密的認(rèn)證向量。

在框1614處，HSS可以發(fā)送對(duì)認(rèn)證信息請(qǐng)求的響應(yīng)，其中，所述響應(yīng)包括所述加密的KEK和加密的認(rèn)證向量。

圖17是示出了針對(duì)采用處理電路1702的裝置1700的硬件實(shí)現(xiàn)的簡(jiǎn)化例子的示圖。處理電路典型地具有處理器1716，所述處理器可以包括微處理器、微控制器、數(shù)字信號(hào)處理器、定序器和狀態(tài)機(jī)中的一個(gè)或多個(gè)。處理電路1702可以使用總線架構(gòu)來(lái)實(shí)現(xiàn)，所述總線架構(gòu)由總線1720來(lái)總體表示。取決于處理電路1702的特定應(yīng)用和整體設(shè)計(jì)約束條件，總線1720可以包括任意數(shù)量的互連總線和橋接器?？偩€1720將各種電路鏈接在一起，所述各種電路包括一個(gè)或多個(gè)處理器和/或硬件模塊(由處理器1716、模塊或電路1704、1706和1708、無(wú)線收發(fā)機(jī)電路1712所表示)，無(wú)線收發(fā)機(jī)電路1712可配置為通過(guò)天線1714和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1718來(lái)進(jìn)行通信。總線1720還可以鏈接各種其它電路，例如定時(shí)源、外圍設(shè)備、電壓調(diào)節(jié)器和電源管理電路，這在本領(lǐng)域是公知的，并且因此將不再進(jìn)一步描述。

處理器1716負(fù)責(zé)一般處理，包括執(zhí)行計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1718上存儲(chǔ)的軟件。當(dāng)軟件由處理器1716執(zhí)行時(shí)，使得處理系統(tǒng)1702執(zhí)行以上針對(duì)任意具體裝置所描述的各種功能。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1718還可以用于存儲(chǔ)當(dāng)處理器1716正在執(zhí)行軟件時(shí)所操作的數(shù)據(jù)，所述數(shù)據(jù)包括對(duì)從通過(guò)天線1714(其可以被配置為數(shù)據(jù)通道和時(shí)鐘通道)發(fā)送的符號(hào)解碼得到的數(shù)據(jù)。處理電路1702還包括模塊1704、1706和1708中的至少一個(gè)。模塊1704、1706和1708可以是在處理器1716中運(yùn)行、駐留/存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)1718中的軟件模塊，耦合到處理器1716的一個(gè)或多個(gè)硬件模塊，或其一些組合。模塊1704、1706和/或1708可以包括微控制器指令、狀態(tài)機(jī)配置參數(shù)，或其某些組合。

在一種配置中，用于無(wú)線通信的裝置1700包括模塊和/或電路1704、模塊和/或電路1706以及模塊和/或電路1708，模塊和/或電路1704被配置為管理與歸屬網(wǎng)絡(luò)相關(guān)聯(lián)的加密密鑰，模塊和/或電路1706被配置為管理或執(zhí)行與在歸屬網(wǎng)絡(luò)內(nèi)以及在歸屬網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)之間發(fā)送的消息有關(guān)的加密和解密，模塊和/或電路1708被配置為向服務(wù)網(wǎng)絡(luò)發(fā)送消息以及從服務(wù)網(wǎng)絡(luò)接收消息。

應(yīng)當(dāng)理解的是，所公開的過(guò)程中步驟的特定順序或?qū)哟问菍?duì)示例性方法的說(shuō)明。應(yīng)當(dāng)理解的是，基于設(shè)計(jì)偏好，可以重新排列所述過(guò)程中步驟的特定順序或?qū)哟?。此外，可以組合或者省略一些步驟。所附的方法權(quán)利要求以樣本順序來(lái)呈現(xiàn)各種步驟的要素，但并不意味著其要受限于所呈現(xiàn)的特定順序或?qū)哟巍?/p>

為使本領(lǐng)域任何技術(shù)人員能夠?qū)嵺`本文中所描述的各個(gè)方面，提供了之前的描述。對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)，對(duì)這些方面的各種修改將是顯而易見的，并且，本文中定義的一般原理可以適用于其它方面。因此，權(quán)利要求并不是要限于本文中所示出的方面，而是要符合與權(quán)利要求語(yǔ)言相一致的全部范圍，其中，以單數(shù)形式來(lái)參考的要素并不旨在意味著“一個(gè)并且只有一個(gè)”(除非特別如此說(shuō)明)，而指的是“一個(gè)或多個(gè)”。除非另外特別說(shuō)明，否則術(shù)語(yǔ)“一些”指的是一個(gè)或多個(gè)。貫穿本公開內(nèi)容來(lái)描述的各個(gè)方面的要素的所有結(jié)構(gòu)等同物和功能等同物(對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)說(shuō)是已知的或稍后要知道的)通過(guò)引用明確地并入本文，并且旨在由權(quán)利要求所包含。另外，本文中公開的所有內(nèi)容均不是要貢獻(xiàn)給公眾的，不論這種公開內(nèi)容是否在權(quán)利要求中進(jìn)行了明確地陳述。權(quán)利要求的任何要素都不應(yīng)當(dāng)被解釋為功能單元，除非所述要素使用短語(yǔ)“用于……的單元”來(lái)明確地陳述。