第一通信網(wǎng)絡(luò)的第一網(wǎng)絡(luò)設(shè)備(MME)獲得質(zhì)詢(RAND)，生成第一PFS參數(shù)(PFS1)，獲得第一PFS參數(shù)(PFS1)的第一驗(yàn)證碼(VC1A)，并向通信設(shè)備(ME)發(fā)送質(zhì)詢(RAND)、第一PFS參數(shù)(PFS1)和第一驗(yàn)證碼(VC1A)，通信設(shè)備(ME)進(jìn)而接收質(zhì)詢(RAND)、第一PFS參數(shù)(PFS1)和第一驗(yàn)證碼(VC1A)，向身份模塊(USIM)轉(zhuǎn)發(fā)所述質(zhì)詢或其導(dǎo)出物，從所述身份模塊(USIM)接收至少一個(gè)結(jié)果參數(shù)(CK/IK，RES)作為響應(yīng)，基于所述結(jié)果參數(shù)(CK/IK，RES)確定所述第一PFS參數(shù)(PFS1)是否可信，并且如果該確定為肯定，則生成并向第一網(wǎng)絡(luò)設(shè)備發(fā)送第二PFS參數(shù)(PFS2)，第一網(wǎng)絡(luò)設(shè)備進(jìn)而驗(yàn)證所述第二PFS參數(shù)(PFS2)。

技術(shù)領(lǐng)域

本發(fā)明涉及用于與網(wǎng)絡(luò)設(shè)備通信的通信設(shè)備、用于與通信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備通信的通信設(shè)備的方法、計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品、第一通信網(wǎng)絡(luò)的第一網(wǎng)絡(luò)設(shè)備、用于第一通信網(wǎng)絡(luò)的第一網(wǎng)絡(luò)節(jié)點(diǎn)的方法、計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品、以及包括第一通信系統(tǒng)中的第一網(wǎng)絡(luò)設(shè)備和第二通信系統(tǒng)中的第二網(wǎng)絡(luò)設(shè)備的系統(tǒng)。本發(fā)明還涉及第二網(wǎng)絡(luò)設(shè)備。

背景技術(shù)

通過通信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)變得越來越敏感。諸如移動(dòng)、無線和固定通信網(wǎng)絡(luò)之類的通信網(wǎng)絡(luò)現(xiàn)在越來越頻繁地用于例如各種經(jīng)濟(jì)和商業(yè)相關(guān)交易、信息物理系統(tǒng)的控制等。因此，需要采取更強(qiáng)的安全措施。

在例如移動(dòng)通信中重要的是，通信網(wǎng)絡(luò)和用戶設(shè)備(UE)彼此相互認(rèn)證，并且能夠加密交換的業(yè)務(wù)數(shù)據(jù)，其中這兩個(gè)安全服務(wù)都嚴(yán)格依賴于安全密鑰管理，包括密鑰協(xié)商或密鑰建立。

在這方面，來自第二代(2G)和以后的移動(dòng)網(wǎng)絡(luò)已經(jīng)使用了強(qiáng)大的基于(通用)用戶識(shí)別模塊((U)SIM)卡的認(rèn)證和加密密鑰協(xié)議。從第三代(3G)網(wǎng)絡(luò)往后，認(rèn)證已是相互的：網(wǎng)絡(luò)和用戶設(shè)備互相認(rèn)證。基于USIM的3G/4G認(rèn)證在例如3GPP TS 33.102V12.2.0和33.401V12.13.0中描述。該協(xié)議取決于使用哪種接入網(wǎng)絡(luò)類型被稱為UMTS AKA或LTE AKA，其中UMTS AKA是通用移動(dòng)電信系統(tǒng)認(rèn)證和密鑰協(xié)商的首字母縮寫，而LTE AKA是長(zhǎng)期演進(jìn)認(rèn)證和密鑰協(xié)商的縮寫。注意，雖然3GPP標(biāo)準(zhǔn)使用術(shù)語密鑰協(xié)議，但實(shí)際使用的協(xié)議更具有密鑰建立性質(zhì)。然而，該差異對(duì)于本討論并不重要。已經(jīng)針對(duì)IP多媒體子系統(tǒng)(IMS)以及針對(duì)一般服務(wù)層認(rèn)證(通用引導(dǎo)架構(gòu)，GBA，3GPP TS 33.220V12.3.0)開發(fā)了該AKA協(xié)議的變體，IMS AKA，非3GPP接入技術(shù)(EAP-AKA，IETF RFC4187)。

圖1示出了根據(jù)TS 33.102V12.2.0的針對(duì)3G網(wǎng)絡(luò)的高層上的AKA的功能，其中具有與用戶設(shè)備相對(duì)應(yīng)的通信設(shè)備類型的移動(dòng)站MS與服務(wù)網(wǎng)絡(luò)(SN)的訪問位置寄存器(VLR)/服務(wù)網(wǎng)絡(luò)支持節(jié)點(diǎn)(SGSN)進(jìn)行通信，服務(wù)網(wǎng)絡(luò)(SN)的訪問位置寄存器(VLR)/服務(wù)網(wǎng)絡(luò)支持節(jié)點(diǎn)(SGSN)進(jìn)而與歸屬環(huán)境(HE)/歸屬位置寄存器(HLR)進(jìn)行通信。在4G/LTE中，移動(dòng)管理實(shí)體(MME)代替VLR/SGSN，并且HE/HLR對(duì)應(yīng)于歸屬訂戶服務(wù)器(HSS)。

在圖1中，示出了VLR/SGSN向HE/HLR發(fā)送有關(guān)訪問移動(dòng)臺(tái)MS的認(rèn)證數(shù)據(jù)請(qǐng)求10。HE/HLR生成12一組認(rèn)證矢量(AV(1..n))，并在認(rèn)證數(shù)據(jù)響應(yīng)消息14中向VLR/SGSN發(fā)送矢量(AV1..n)，其中VLR/SGSN然后存儲(chǔ)16認(rèn)證矢量。這些步驟一起形成了來自HE的分發(fā)和認(rèn)證矢量的階段17。