本申請是申請日為2008年07月16日、申請號為200880024996.2、名稱為“長期演進無線設備中實施非接入層(MAS)安全性的方法和裝置”的發明專利申請的分案申請。?

技術領域

本方法和裝置涉及無線通信。尤其地，本方法和裝置涉及長期演進兼容無線設備中的安全通信。?

背景技術

第三代合作伙伴計劃(3GPP)長期演進(LTE)的當前目標是給新的LTE設置和配置帶來新技術、新體系架構和新方法，以提供改進的頻譜效率和減少的延遲時間，從而更好的使用無線電資源，以日益提高的用戶體驗和低成本的豐富的應用以及服務。?

作為該演進過程的一部分，3GPP組將在LTE中使用與通用移動電信系統(UMTS)和全球移動通信系統(GSM)中所用的不同的安全性架構。出于對比目的，假設在分組交換(PS)域中，UMTS認證和密鑰協議(AKA)過程為用于所提出的新的LTE過程的基線。?

圖1示出了UMTS接入層協議棧100。UMTS?AKA和加密過程覆蓋在多個協議層上，并且使用非接入層(NAS)和無線電資源控制(RRC)信令二者來達成其目的。通常地，無線發射接收單元(WTRU)的標識和認證是通過NSA信令來完成的。一旦在NAS級的認證完成，則加密和/或完整性保護被網絡通過使用安全模式命令激活，該安全模式指令為RRC消息。一旦安全性通過使用RRC層的安全模式命令被激活，則WTRU通過在?GMMAS-SAP(在GPRS移動性管理(GMM)和AS之間進行定義的)上使用GMMAS-SECURITY-RES原語將加密和完整性密鑰(CK和IK)傳遞至接入層(AS)。在接收到這些密鑰后，RRC110通過使用CRLC-CONFIG原語(在RRC和RLC之間的C-SAP上)和CMAC-CONFIG原語(在RRC與MAC之間的C-SAP上)將這些密鑰傳遞給無線電鏈路控制器(RLC)120和介質接入控制(MAC)130。C-SAP(未示出)是用于RRC和較低層之間的C平面信令的服務接入點。實際的加密和完整性保護通常是在RLC120中執行的，但在透明的RLC模式通信情況下則是在MAC130中執行的。較低層(即MAC/RLC)用于確保用于上層(如第三層NAS消息)的消息已經得到完整性保護，和/或得到正確地加密。如果沒有，則較低層忽略/丟棄該消息。一旦安全性已經被激活，所有的C平面和U平面安全性在RLC或者MAC中得到完成。?

對于LTE，已經提出了用于安全性的完全不同的架構。主要的區別在于不同于單一的安全層(即在MAC/RLC)，其采用三層安全性：NAS安全性、RRC安全性和U平面安全性。每一個層具有其自身的密鑰。NAS安全性在移動性管理實體(MME)中結束，并在NAS層中執行。RRC安全性在演進型節點B(e-NB)中結束，并在分組數據匯聚協議(PDCP)中執行。U平面安全性僅由加密組成(無完整性保護)，并也是在PDCP中執行。簡而言之，AKA過程是在NAS中完成的，并且獲得NAS安全密鑰。以密碼分離方式從NAS密鑰中獲得RRC/U平面安全性參數。RRC/U平面密鑰的內容使得攻擊者無法確定NAS密鑰。該決定的主要基本原理是在LTE中用戶可在易受攻擊的位置，例如家中，具有eNB。RRC以及由此的安全性在e-NB中結束，因此這被認為是安全性隱患。從而在標準中采用兩級安全性。?

圖2是LTE200中的密鑰分級的結構圖。如圖2所示，USIM(在無線發射/接收單元(WTRU)中)和認證中心(AuC)205共享一個密鑰K210。?作為NAS認證和密鑰協議(AKA)信令(類似于當前的UMTS?AKA過程)的一部分，USIM和AuC/HSS獲取加密密鑰(CK)215和完整性密鑰(IK)220。獲取CK215和IK220的方法與UMTS中的類似，在UMTS中AuC/HSS獲取認證向量，并且在WTRU所響應且HSS/AuC進行檢驗的NAS消息中向WTRU發送質詢(challenge)。但是，不像在UMTS中為MAC/RLC層提供CK215和IK220來執行加密和/或完整性保護那樣，在LTE中，CK215和IK220用于從主密鑰、即所謂的K_ASME密鑰225開始的密鑰分級中導出剩余的密鑰。剩余的密鑰通過使用不同的密鑰導出函數(KDF)和截斷(truncate)從K_ASME密鑰中導出。?