執行與設備的認證和密鑰協商，并且獲得與該設備相關聯的認證信息，所述認證信息包括認證會話密鑰。會話密鑰管理實體(SKME)基于該認證會話密鑰來生成移動性會話密鑰，并且向對該設備進行服務的移動性管理實體(MME)發送該移動性會話密鑰。

相關申請的交叉引用

本申請要求以下申請的優先權和權益：于2014年11月3日向美國專利商標局提交的題為“Apparatus and Method Having an Improved Cellular Network KeyHierarchy”的臨時申請No.62/074,513，以及于2015年10月 21日向美國專利商標局提交的題為“Apparatuses and Methods for Wireless Communication”的非臨時申請No.14/919,397，通過引用方式將上述申請的全部公開內容明確地并入本文。

技術領域

概括地說，本公開內容涉及用于蜂窩網絡的改進的密鑰層次。

背景技術

圖1中所示的當前蜂窩網絡架構100使用移動性管理實體(MME)110 來實現用于控制用戶設備(UE)120對蜂窩網絡的接入的過程。通常，MME 110作為核心網102元件由網絡服務提供商(系統運營商)擁有和操作，并且位于由網絡服務提供商控制的安全位置。核心網102具有包括歸屬訂戶服務器(HSS)130和MME 110的控制平面，以及包括分組數據網絡(P-DN) 網關(PGW)140和服務網關(S-GW)150的用戶平面。MME 110連接到無線電接入節點160(例如，演進型節點B(eNB))。RAN 160提供與UE 120 的無線電接口(例如，無線電資源控制(RRC)180和分組數據匯聚協議 (PDCP)/無線電鏈路控制(RLC)190)。

在未來的蜂窩網絡架構中，可以想象到執行MME 110的功能中的許多功能的MME110或網絡組件將被朝網絡邊緣推出，在那里它們不太安全，因為它們在物理上更易于訪問和/或不與其它網絡運營商隔離。當網絡功能被移動到例如云端(例如，互聯網)時，可以不假設它們是安全的，因為它們可能具有較低級別的物理隔離或者沒有物理隔離。此外，網絡設備可能不由單個網絡服務提供商擁有。作為示例，可以將多個MME實例托管在單個物理硬件設備內。結果，向MME發送的密鑰可能需要較頻繁地刷新，因此可能不建議向MME轉發認證向量(AV)。

需要改進的裝置和方法，該裝置和方法為靠近網絡邊緣執行MME功能的未來的蜂窩網絡架構提供額外的安全性。

發明內容

一個特征提供了一種在網絡設備處可操作的方法，所述方法包括：執行與設備的認證和密鑰協商；獲得與所述設備相關聯的認證信息，所述認證信息包括至少認證會話密鑰；部分基于所述認證會話密鑰來生成移動性會話密鑰；以及向對所述設備進行服務的移動性管理實體(MME)發送所述移動性會話密鑰。根據一個方面，所述方法還包括：基于所述認證會話密鑰，針對不同的MME生成不同的移動性會話密鑰。根據另一個方面，獲得所述認證信息包括：確定與所述設備相關聯的認證信息沒有存儲在所述網絡設備處；向歸屬訂戶服務器發送認證信息請求；以及響應于發送所述認證信息請求，從所述歸屬訂戶服務器接收與所述設備相關聯的所述認證信息。

根據一個方面，獲得所述認證信息包括：確定與所述設備相關聯的認證信息存儲在所述網絡設備處；以及從所述網絡設備處的存儲器電路取回 (retrieve)所述認證信息。根據另一個方面，所述方法還包括：從所述設備接收密鑰集標識符；以及基于接收到的所述密鑰集標識符來確定與所述設備相關聯的所述認證信息存儲在所述網絡設備處。根據又一個方面，所述方法還包括：在執行與所述設備的認證和密鑰協商之前，從所述MME 接收源自所述設備的非接入層(NAS)消息。

根據一個方面，所述方法還包括：還部分基于標識所述MME的MME 標識值來生成所述移動性會話密鑰。根據另一個方面，所述MME標識值是全球唯一的MME標識符(GUMMEI)。根據又一個方面，所述MME標識值是MME組標識符(MMEGI)。