本公開內(nèi)容涉及用于無線通信的裝置、方法和存儲介質(zhì)。執(zhí)行與設(shè)備的認證和密鑰協(xié)商，并且獲得與該設(shè)備相關(guān)聯(lián)的認證信息，所述認證信息包括認證會話密鑰。會話密鑰管理實體(SKME)基于該認證會話密鑰來生成移動性會話密鑰，并且向?qū)υ撛O(shè)備進行服務(wù)的移動性管理實體(MME)發(fā)送該移動性會話密鑰。

本申請是2017年04月28日提交的、申請?zhí)枮?01580059220.4的、發(fā)明名稱為“用于無線通信的裝置、方法和存儲介質(zhì)”的申請的分案申請。

相關(guān)申請的交叉引用

本申請要求以下申請的優(yōu)先權(quán)和權(quán)益：于2014年11月3日向美國專利商標局提交的題為“Apparatus and Method Having an Improved Cellular Network KeyHierarchy”的臨時申請No.62/074,513，以及于2015年10月21日向美國專利商標局提交的題為“Apparatuses and Methods for Wireless Communication”的非臨時申請No.14/919,397，通過引用方式將上述申請的全部公開內(nèi)容明確地并入本文。

技術(shù)領(lǐng)域

概括地說，本公開內(nèi)容涉及用于蜂窩網(wǎng)絡(luò)的改進的密鑰層次。

背景技術(shù)

圖1中所示的當前蜂窩網(wǎng)絡(luò)架構(gòu)100使用移動性管理實體(MME)110來實現(xiàn)用于控制用戶設(shè)備(UE)120對蜂窩網(wǎng)絡(luò)的接入的過程。通常，MME110作為核心網(wǎng)102元件由網(wǎng)絡(luò)服務(wù)提供商(系統(tǒng)運營商)擁有和操作，并且位于由網(wǎng)絡(luò)服務(wù)提供商控制的安全位置。核心網(wǎng)102具有包括歸屬訂戶服務(wù)器(HSS)130和MME 110的控制平面，以及包括分組數(shù)據(jù)網(wǎng)絡(luò)(P-DN)網(wǎng)關(guān)(PGW)140和服務(wù)網(wǎng)關(guān)(S-GW)150的用戶平面。MME 110連接到無線電接入節(jié)點160(例如，演進型節(jié)點B(eNB))。RAN 160提供與UE 120的無線電接口(例如，無線電資源控制(RRC)180和分組數(shù)據(jù)匯聚協(xié)議(PDCP)/無線電鏈路控制(RLC)190)。

在未來的蜂窩網(wǎng)絡(luò)架構(gòu)中，可以想象到執(zhí)行MME 110的功能中的許多功能的MME110或網(wǎng)絡(luò)組件將被朝網(wǎng)絡(luò)邊緣推出，在那里它們不太安全，因為它們在物理上更易于訪問和/或不與其它網(wǎng)絡(luò)運營商隔離。當網(wǎng)絡(luò)功能被移動到例如云端(例如，互聯(lián)網(wǎng))時，可以不假設(shè)它們是安全的，因為它們可能具有較低級別的物理隔離或者沒有物理隔離。此外，網(wǎng)絡(luò)設(shè)備可能不由單個網(wǎng)絡(luò)服務(wù)提供商擁有。作為示例，可以將多個MME實例托管在單個物理硬件設(shè)備內(nèi)。結(jié)果，向MME發(fā)送的密鑰可能需要較頻繁地刷新，因此可能不建議向MME轉(zhuǎn)發(fā)認證向量(AV)。

需要改進的裝置和方法，該裝置和方法為靠近網(wǎng)絡(luò)邊緣執(zhí)行MME功能的未來的蜂窩網(wǎng)絡(luò)架構(gòu)提供額外的安全性。

發(fā)明內(nèi)容

一個特征提供了一種在網(wǎng)絡(luò)設(shè)備處可操作的方法，所述方法包括：執(zhí)行與設(shè)備的認證和密鑰協(xié)商；獲得與所述設(shè)備相關(guān)聯(lián)的認證信息，所述認證信息包括至少認證會話密鑰；部分基于所述認證會話密鑰來生成移動性會話密鑰；以及向?qū)λ鲈O(shè)備進行服務(wù)的移動性管理實體(MME)發(fā)送所述移動性會話密鑰。根據(jù)一個方面，所述方法還包括：基于所述認證會話密鑰，針對不同的MME生成不同的移動性會話密鑰。根據(jù)另一個方面，獲得所述認證信息包括：確定與所述設(shè)備相關(guān)聯(lián)的認證信息沒有存儲在所述網(wǎng)絡(luò)設(shè)備處；向歸屬訂戶服務(wù)器發(fā)送認證信息請求；以及響應(yīng)于發(fā)送所述認證信息請求，從所述歸屬訂戶服務(wù)器接收與所述設(shè)備相關(guān)聯(lián)的所述認證信息。

根據(jù)一個方面，獲得所述認證信息包括：確定與所述設(shè)備相關(guān)聯(lián)的認證信息存儲在所述網(wǎng)絡(luò)設(shè)備處；以及從所述網(wǎng)絡(luò)設(shè)備處的存儲器電路取回(retrieve)所述認證信息。根據(jù)另一個方面，所述方法還包括：從所述設(shè)備接收密鑰集標識符；以及基于接收到的所述密鑰集標識符來確定與所述設(shè)備相關(guān)聯(lián)的所述認證信息存儲在所述網(wǎng)絡(luò)設(shè)備處。根據(jù)又一個方面，所述方法還包括：在執(zhí)行與所述設(shè)備的認證和密鑰協(xié)商之前，從所述MME接收源自所述設(shè)備的非接入層(NAS)消息。