[发明专利]用于无线通信的装置、方法和存储介质

说明书

本公开内容涉及用于无线通信的装置、方法和存储介质。执行与设备的认证和密钥协商，并且获得与该设备相关联的认证信息，所述认证信息包括认证会话密钥。会话密钥管理实体(SKME)基于该认证会话密钥来生成移动性会话密钥，并且向对该设备进行服务的移动性管理实体(MME)发送该移动性会话密钥。

本申请是2017年04月28日提交的、申请号为201580059220.4的、发明名称为“用于无线通信的装置、方法和存储介质”的申请的分案申请。

相关申请的交叉引用

本申请要求以下申请的优先权和权益：于2014年11月3日向美国专利商标局提交的题为“Apparatus and Method Having an Improved Cellular Network KeyHierarchy”的临时申请No.62/074,513，以及于2015年10月21日向美国专利商标局提交的题为“Apparatuses and Methods for Wireless Communication”的非临时申请No.14/919,397，通过引用方式将上述申请的全部公开内容明确地并入本文。

技术领域

概括地说，本公开内容涉及用于蜂窝网络的改进的密钥层次。

背景技术

图1中所示的当前蜂窝网络架构100使用移动性管理实体(MME)110来实现用于控制用户设备(UE)120对蜂窝网络的接入的过程。通常，MME110作为核心网102元件由网络服务提供商(系统运营商)拥有和操作，并且位于由网络服务提供商控制的安全位置。核心网102具有包括归属订户服务器(HSS)130和MME 110的控制平面，以及包括分组数据网络(P-DN)网关(PGW)140和服务网关(S-GW)150的用户平面。MME 110连接到无线电接入节点160(例如，演进型节点B(eNB))。RAN 160提供与UE 120的无线电接口(例如，无线电资源控制(RRC)180和分组数据汇聚协议(PDCP)/无线电链路控制(RLC)190)。

在未来的蜂窝网络架构中，可以想象到执行MME 110的功能中的许多功能的MME110或网络组件将被朝网络边缘推出，在那里它们不太安全，因为它们在物理上更易于访问和/或不与其它网络运营商隔离。当网络功能被移动到例如云端(例如，互联网)时，可以不假设它们是安全的，因为它们可能具有较低级别的物理隔离或者没有物理隔离。此外，网络设备可能不由单个网络服务提供商拥有。作为示例，可以将多个MME实例托管在单个物理硬件设备内。结果，向MME发送的密钥可能需要较频繁地刷新，因此可能不建议向MME转发认证向量(AV)。

需要改进的装置和方法，该装置和方法为靠近网络边缘执行MME功能的未来的蜂窝网络架构提供额外的安全性。

发明内容

一个特征提供了一种在网络设备处可操作的方法，所述方法包括：执行与设备的认证和密钥协商；获得与所述设备相关联的认证信息，所述认证信息包括至少认证会话密钥；部分基于所述认证会话密钥来生成移动性会话密钥；以及向对所述设备进行服务的移动性管理实体(MME)发送所述移动性会话密钥。根据一个方面，所述方法还包括：基于所述认证会话密钥，针对不同的MME生成不同的移动性会话密钥。根据另一个方面，获得所述认证信息包括：确定与所述设备相关联的认证信息没有存储在所述网络设备处；向归属订户服务器发送认证信息请求；以及响应于发送所述认证信息请求，从所述归属订户服务器接收与所述设备相关联的所述认证信息。

根据一个方面，获得所述认证信息包括：确定与所述设备相关联的认证信息存储在所述网络设备处；以及从所述网络设备处的存储器电路取回(retrieve)所述认证信息。根据另一个方面，所述方法还包括：从所述设备接收密钥集标识符；以及基于接收到的所述密钥集标识符来确定与所述设备相关联的所述认证信息存储在所述网络设备处。根据又一个方面，所述方法还包括：在执行与所述设备的认证和密钥协商之前，从所述MME接收源自所述设备的非接入层(NAS)消息。