[发明专利]对网络的无线电通信装置的认证

说明书

提供有用于向网络认证第一无线电通信装置的机制。一种方法由第一无线电通信装置执行。该方法包括获得针对网络的网络订阅的凭证。该方法包括获得无线电协议栈的上部部分，根据该无线电协议栈，第一无线电通信装置配置成与网络通信。该方法包括向网络认证。该方法包括向第二无线电通信装置提供在认证期间根据凭证导出的至少一个密钥，以供第二无线电通信装置在执行无线电协议栈的剩余部分以用于第二无线电通信装置与网络之间的通信时使用。

技术领域

本文提出的实施例涉及用于向网络认证第一无线电通信装置的方法、第一无线电通信装置、计算机程序和计算机程序产品。本文所提出的实施例还涉及用于能够实现第一无线电通信装置与网络之间的通信的方法、第二无线电通信装置、计算机程序和计算机程序产品。

背景技术

在通信网络中，对于给定的通信协议、其参数和其中部署通信网络的物理环境，获得良好的性能和容量可能存在挑战。

例如，蜂窝通信系统（例如第二（2G）、第三（3G）、第四（4G）和第五（5G）代电信系统）通常使用无线电通信装置中的无线电调制解调器通过空中或无线电接口来接入。无线电通信装置具有订阅凭证，所述订阅凭证用于向网络认证无线电通信装置，以及用于向无线电通信装置认证网络。凭证存储在核心网络中的订户数据库中，例如，存储在归属订户服务器（HSS）或归属位置寄存器（HLR）中。可能使用认证和密钥协商（AKA）协议来执行认证，所述AKA协议在无线电通信装置和诸如4G代电信系统中的移动性管理实体（MME）之类的移动性实体之间的非接入层（NAS）层上运行。作为运行AKA协议的结果，MME和无线电通信装置两者共享用于使用NAS协议保护在无线电通信装置与MME之间的信令的密钥材料。根据密钥材料，无线电通信装置和MME还导出用于保护接入层（AS）通信的密钥，例如无线电通信装置与网络之间的无线电资源控制（RRC）信令和用户平面信令。

图1是用于无线电通信装置和网络之间的NAS安全性设立的信令图；图1示出了第四代（4G）电信系统的情况下的细节，并且信令流对于其它代电信系统是类似的。

S1：无线电通信装置通过发送包含其身份（4G中的IMSI）的附连请求来附连到网络。该消息还包含无线电通信装置的网络能力，从而指示由其支持的安全性算法。

S2：MME基于所接收的身份，从订户数据库（4G中的HSS）请求认证向量（AV）。

S3：HSS为由所提供的身份所标识的订阅生成AV。

S4：HSS将AVS提供给负责认证无线电通信装置的MME。

S5：MME和无线电通信装置运行AKA协议以相互认证，并且无线电通信装置生成密钥K_ASME。

S6：MME基于无线电通信装置的所接收的网络能力来选择NAS安全性算法，并根据K_ASME导出密钥K_NAS_enc和K_NAS_int。

S7：MME将NAS安全性模式命令消息发送到无线电通信装置。该消息包含由MME选择的算法，并且使用K_NAS_int密钥来进行完整性保护。

S8：无线电通信装置生成对应的NAS密钥（K_NAS_enc和K_NAS_int）并且验证所接收的消息的完整性。

S9：无线电通信装置以NAS安全性模式完成消息进行响应，该NAS安全性模式完成消息被加密并且使用NAS密钥进行完整性保护。

S10：MME验证消息的完整性并对其解密。

S11：所有未来的NAS消息都被加密并且被完整性保护。

图2是无线电通信装置和网络之间AS安全性设立的信令图；图2示出了第四代（4G）电信系统的情况下的细节，并且信令流对于其它代电信系统是类似的。

S21：MME根据K_ASME导出密钥K_eNB。