技術(shù)特征:1.一種保護(hù)用戶設(shè)備(UE)和服務(wù)網(wǎng)絡(luò)之間的無(wú)線通信的方法�,包括:
在所述UE和所述服務(wù)網(wǎng)絡(luò)之間已經(jīng)建立了安全關(guān)聯(lián)之后�,通過(guò)所述UE將請(qǐng)求發(fā)送到所述服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)功能單元,其中所述請(qǐng)求包括隨機(jī)數(shù)和簽名請(qǐng)求��;
通過(guò)所述UE從所述網(wǎng)絡(luò)功能單元接收對(duì)所述請(qǐng)求的響應(yīng)�����,其中所述響應(yīng)包括所述網(wǎng)絡(luò)功能單元的簽名;以及
基于所述網(wǎng)絡(luò)功能單元的簽名�����,通過(guò)所述UE來(lái)認(rèn)證所述服務(wù)網(wǎng)絡(luò)�。
2.根據(jù)權(quán)利要求1所述的方法���,其中��,所述簽名是利用對(duì)應(yīng)于所述網(wǎng)絡(luò)功能單元的公共密鑰證書(shū)來(lái)創(chuàng)建的���,以及其中����,所述公共密鑰證書(shū)是利用由與所述服務(wù)網(wǎng)絡(luò)相關(guān)聯(lián)的網(wǎng)絡(luò)操作員提供的所述服務(wù)網(wǎng)絡(luò)的私有密鑰來(lái)簽名的。
3.根據(jù)權(quán)利要求2所述的方法����,其中�,認(rèn)證所述服務(wù)網(wǎng)絡(luò)包括:
利用信任的第三方來(lái)驗(yàn)證對(duì)應(yīng)于所述網(wǎng)絡(luò)功能單元的所述公共密鑰證書(shū)�。
4.根據(jù)權(quán)利要求1所述的方法,其中,所述簽名是利用在所述UE和所述網(wǎng)絡(luò)功能單元之間共享的密鑰來(lái)創(chuàng)建的����。
5.根據(jù)權(quán)利要求1所述的方法����,還包括:
在所述UE處維護(hù)標(biāo)識(shí)對(duì)應(yīng)于信任網(wǎng)絡(luò)的公共密鑰或公共密鑰證書(shū)的信任網(wǎng)絡(luò)的列表���;
其中����,認(rèn)證所述服務(wù)網(wǎng)絡(luò)包括:通過(guò)所述UE驗(yàn)證所述網(wǎng)絡(luò)功能單元的所述公共密鑰和通過(guò)所述網(wǎng)絡(luò)功能單元利用所述信任網(wǎng)絡(luò)的列表生成的簽名。
6.根據(jù)權(quán)利要求1所述的方法�,其中���,發(fā)送到所述服務(wù)網(wǎng)絡(luò)的所述請(qǐng)求包括無(wú)線資源控制消息(RRC消息)�。
7.根據(jù)權(quán)利要求6所述的方法�����,其中����,所述RRC消息包括RRC連接請(qǐng)求�����、RRC連接重新建立請(qǐng)求�、或RRC重新配置完成消息�����。
8.根據(jù)權(quán)利要求6所述的方法�����,其中����,所述RRC消息是在從空閑模式轉(zhuǎn)變期間發(fā)送的��。
9.根據(jù)權(quán)利要求1所述的方法�,其中���,發(fā)送到所述服務(wù)網(wǎng)絡(luò)的所述請(qǐng)求包括跟蹤區(qū)域更新(TAU)請(qǐng)求�。
10.根據(jù)權(quán)利要求1所述的方法�,還包括:
將證書(shū)完整性信息請(qǐng)求發(fā)送到所述服務(wù)網(wǎng)絡(luò)�����;以及
利用從歸屬用戶服務(wù)器接收到的第二證書(shū)完整性信息來(lái)驗(yàn)證從所述服務(wù)網(wǎng)絡(luò)接收到的第一證書(shū)完整性信息�;
其中���,所述證書(shū)完整性信息請(qǐng)求包括對(duì)應(yīng)于所述第二證書(shū)完整性信息的證書(shū)觀測(cè)站的標(biāo)識(shí)符��;以及
其中���,所述證書(shū)觀測(cè)站被配置為維護(hù)一個(gè)或多個(gè)網(wǎng)絡(luò)的一組證書(shū)的完整性。
11.根據(jù)權(quán)利要求10所述的方法���,其中�����,所述證書(shū)觀測(cè)站的標(biāo)識(shí)符包括互聯(lián)網(wǎng)協(xié)議(IP)地址或通用資源定位符(URL)��。
12.根據(jù)權(quán)利要求10所述的方法�����,其中,驗(yàn)證第一證書(shū)完整性信息包括:
利用所述證書(shū)觀測(cè)站的公共密鑰來(lái)認(rèn)證對(duì)所述證書(shū)完整性信息請(qǐng)求的響應(yīng)�����。
13.根據(jù)權(quán)利要求10所述的方法,其中���,驗(yàn)證第一證書(shū)完整性信息包括:
比較所述第一證書(shū)完整性信息與所述第二證書(shū)完整性信息��;
當(dāng)確定出所述第一證書(shū)完整性信息和所述第二證書(shū)完整性信息之間存在不同時(shí)�,將證書(shū)狀態(tài)請(qǐng)求發(fā)送給證書(shū)服務(wù)器功能單元(CSF)�;以及
基于來(lái)自所述CSF的響應(yīng),驗(yàn)證網(wǎng)絡(luò)功能單元證書(shū)的狀態(tài)�;
其中��,所述證書(shū)狀態(tài)請(qǐng)求包括標(biāo)識(shí)所述網(wǎng)絡(luò)功能單元的第一標(biāo)識(shí)信息,標(biāo)識(shí)所述網(wǎng)絡(luò)功能單元證書(shū)的第二標(biāo)識(shí)信息,以及所述網(wǎng)絡(luò)功能單元證書(shū)的版本號(hào)��;以及
其中���,來(lái)自所述CSF的響應(yīng)包括證書(shū)狀態(tài)響應(yīng),所述證書(shū)狀態(tài)響應(yīng)包括所述網(wǎng)絡(luò)功能單元證書(shū)的狀態(tài)、所述網(wǎng)絡(luò)的公共密鑰,以及利用所述網(wǎng)絡(luò)的私有密鑰由所述CSF創(chuàng)建的所述證書(shū)狀態(tài)響應(yīng)的簽名,以及其中��,所述證書(shū)狀態(tài)響應(yīng)的驗(yàn)證是利用所述網(wǎng)絡(luò)的所述公共密鑰來(lái)執(zhí)行的。
14.一種裝置��,包括:
無(wú)線收發(fā)機(jī);以及
耦合到所述收發(fā)機(jī)的處理器����,所述處理器被配置為:
在所述裝置和服務(wù)網(wǎng)絡(luò)之間已經(jīng)建立了安全關(guān)聯(lián)之后��,將請(qǐng)求發(fā)送到所述服務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)功能單元,其中�,所述請(qǐng)求包括隨機(jī)數(shù)和簽名請(qǐng)求���;
從所述網(wǎng)絡(luò)功能單元接收對(duì)所述請(qǐng)求的響應(yīng),其中,所述響應(yīng)包括所述網(wǎng)絡(luò)功能單元的簽名��;以及
基于所述網(wǎng)絡(luò)功能單元的簽名來(lái)認(rèn)證所述服務(wù)網(wǎng)絡(luò)�����。
15.根據(jù)權(quán)利要求14所述的裝置���,其中�����,所述請(qǐng)求包括無(wú)線資源控制連接請(qǐng)求或跟蹤區(qū)域請(qǐng)求�,以及其中,所述處理器被配置為:
在所述裝置從空閑模式轉(zhuǎn)變時(shí)�����,發(fā)送所述無(wú)線資源控制連接請(qǐng)求或跟蹤區(qū)域請(qǐng)求到所述服務(wù)網(wǎng)絡(luò)中的所述網(wǎng)絡(luò)功能單元���。
16.根據(jù)權(quán)利要求14所述的裝置��,其中�����,所述簽名是利用在所述UE和所述網(wǎng)絡(luò)功能單元之間共享的密鑰�����,或是利用使用由與所述服務(wù)網(wǎng)絡(luò)相關(guān)聯(lián)的網(wǎng)絡(luò)操作員提供的所述服務(wù)網(wǎng)絡(luò)的私有密鑰簽名的公共密鑰證書(shū)來(lái)創(chuàng)建的����。
17.根據(jù)權(quán)利要求14所述的裝置�,其中���,所述處理器被配置為:
將證書(shū)完整性信息請(qǐng)求發(fā)送給所述服務(wù)網(wǎng)絡(luò)��;
當(dāng)確定出從所述服務(wù)網(wǎng)絡(luò)接收到的第一證書(shū)完整性信息和從歸屬用戶服務(wù)器接收到的第二證書(shū)完整性信息之間沒(méi)有不同時(shí)���,基于所述第二證書(shū)完整性信息,驗(yàn)證所述第一證書(shū)完整性信息���;
當(dāng)確定在所述第一證書(shū)完整性信息和所述第二證書(shū)完整性信息之間存在不同時(shí)��,將證書(shū)狀態(tài)請(qǐng)求發(fā)送到證書(shū)服務(wù)器功能單元(CSF)��;以及
基于來(lái)自所述CSF的響應(yīng),驗(yàn)證網(wǎng)絡(luò)功能單元證書(shū)的狀態(tài);
其中��,所述證書(shū)完整性信息請(qǐng)求包括對(duì)應(yīng)于所述第二證書(shū)完整性信息的證書(shū)觀測(cè)站的標(biāo)識(shí)符�����;以及
其中�����,所述證書(shū)觀測(cè)站被配置為維護(hù)一個(gè)或多個(gè)網(wǎng)絡(luò)的一組證書(shū)的完整性���;以及
其中,所述證書(shū)狀態(tài)請(qǐng)求包括所述網(wǎng)絡(luò)功能單元的標(biāo)識(shí)符��、所述網(wǎng)絡(luò)功能單元證書(shū)的標(biāo)識(shí)符�、以及所述網(wǎng)絡(luò)功能單元證書(shū)的版本號(hào)。
18.一種證明服務(wù)網(wǎng)絡(luò)的成員資格的方法�,包括:
在用戶設(shè)備(UE)已經(jīng)建立了與歸屬網(wǎng)絡(luò)的安全連接之后��,從所述UE接收第一消息,其中���,所述第一消息被引導(dǎo)至所述服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)功能單元��,并且包括隨機(jī)數(shù)和簽名請(qǐng)求����;
利用由所述服務(wù)網(wǎng)絡(luò)的所述網(wǎng)絡(luò)功能單元維護(hù)的操作員簽名的證書(shū)來(lái)生成簽名��;以及
將第二消息發(fā)送到所述UE�,其中,所述簽名被附加到所述第二消息�。
19.根據(jù)權(quán)利要求18所述的方法�,其中�����,所述操作員簽名的證書(shū)是由所述服務(wù)網(wǎng)絡(luò)的操作員簽名的公共密鑰證書(shū)��。
20.根據(jù)權(quán)利要求18所述的方法�����,其中�����,對(duì)應(yīng)于所述操作員簽名的證書(shū)的私有密鑰是在安全存儲(chǔ)設(shè)備或安全執(zhí)行環(huán)境中維護(hù)的�����。
21.根據(jù)權(quán)利要求18所述的方法�����,其中��,對(duì)應(yīng)于所述操作員簽名的證書(shū)的私有密鑰是在信任環(huán)境中維護(hù)的�����。
22.根據(jù)權(quán)利要求18所述的方法��,其中���,所述簽名包括利用在所述UE和所述網(wǎng)絡(luò)功能單元之間共享的會(huì)話密鑰創(chuàng)建的消息認(rèn)證碼(MAC)���,以及其中��,對(duì)稱密碼用于對(duì)所述第二消息進(jìn)行簽名����。
23.根據(jù)權(quán)利要求22所述的方法�����,其中�,所述網(wǎng)絡(luò)功能單元包括移動(dòng)管理實(shí)體(MME)��,以及所述會(huì)話密鑰包括訪問(wèn)安全管理實(shí)體密鑰(KASME)���,以及還包括:
從歸屬用戶服務(wù)器(HSS)在利用所述MME的公共密鑰加密的消息中接收所述KASME;
利用存儲(chǔ)于信任環(huán)境中的私有密鑰對(duì)所述KASME進(jìn)行解密��;以及
在所述信任環(huán)境中存儲(chǔ)所述KASME����。
24.根據(jù)權(quán)利要求22所述的方法,其中���,所述網(wǎng)絡(luò)功能單元包括eNodeB,以及所述會(huì)話密鑰包括KeNB��,以及還包括:
從MME在利用所述eNodeB的公共密鑰加密的消息中接收所述KeNB�����;
利用存儲(chǔ)于信任環(huán)境中的私有密鑰對(duì)所述KeNB進(jìn)行解密;以及
在所述信任環(huán)境中存儲(chǔ)所述KeNB��。
25.根據(jù)權(quán)利要求18所述的方法,其中�,所述簽名包括利用所述網(wǎng)絡(luò)功能單元的私有密鑰創(chuàng)建的數(shù)字簽名���,其中,非對(duì)稱密碼用于對(duì)所述第二消息簽名����,以及其中����,所述網(wǎng)絡(luò)功能單元的所述私有密鑰存儲(chǔ)于信任環(huán)境中并且所述簽名是在所述信任環(huán)境中創(chuàng)建的。
26.根據(jù)權(quán)利要求18所述的方法�,其中,所述網(wǎng)絡(luò)功能單元包括eNodeB�,以及其中��,所述第一消息包括無(wú)線資源控制消息(RRC消息)����,以及所述第二消息包括對(duì)所述RRC消息的響應(yīng)。
27.根據(jù)權(quán)利要求26所述的方法����,其中��,所述RRC消息是RRC連接建立請(qǐng)求���、RRC連接重新建立請(qǐng)求或RRC重新配置完成消息��。
28.根據(jù)權(quán)利要求18所述的方法�,其中,所述網(wǎng)絡(luò)功能單元包括MME����,以及其中���,所述第一消息包括跟蹤區(qū)域更新(TAU)請(qǐng)求�����。
29.一種裝置���,包括:
用于在用戶設(shè)備(UE)已經(jīng)建立了與歸屬網(wǎng)絡(luò)的安全連接之后從所述UE接收第一消息的單元,其中��,所述第一消息被引導(dǎo)至服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)功能單元�,并且包括隨機(jī)數(shù)和簽名請(qǐng)求�;
用于利用由所述服務(wù)網(wǎng)絡(luò)的所述網(wǎng)絡(luò)功能單元維護(hù)的操作員簽名的證書(shū)來(lái)生成簽名的單元���;以及
用于將第二消息發(fā)送到所述UE的單元,其中��,所述簽名被附加到所述第二消息�;
其中,生成被附加到所述第二消息的所述簽名以向所述UE證明所述裝置是所述服務(wù)網(wǎng)絡(luò)的成員�,以及其中,所述操作員簽名的證書(shū)是由所述服務(wù)網(wǎng)絡(luò)的操作員簽名的公共密鑰證書(shū)�。
30.根據(jù)權(quán)利要求29所述的裝置,其中:
當(dāng)所述網(wǎng)絡(luò)功能單元包括eNodeB時(shí)����,所述第一消息包括無(wú)線資源控制(RRC)消息,以及所述第二消息包括對(duì)所述RRC消息的響應(yīng)����;以及
當(dāng)所述網(wǎng)絡(luò)功能單元包括移動(dòng)管理實(shí)體(MME)時(shí),所述第一消息包括跟蹤區(qū)域更新(TAU)請(qǐng)求�。