專利名稱:用于為會話加密和完整性密鑰信令通知增強型安全性上下文的裝置和方法
用于為會話加密和完整性密鑰信令通知增強型安全性上下文的裝置和方法背景相關申請的交叉引用本申請要求2010年4月15日提交的美國臨時申請No. 61/324,646的權益��,該申請通過援引納入于此�。領域本發(fā)明一般涉及在通用移動電信業(yè)務(UMTS)和/或GSM EDGE無線電接入網(wǎng)(GERAN)中工作的用戶裝備的增強型安全性上下文信令。背景 UMTS第三代(3G)無線電接入網(wǎng)中或使用3G AKA (認證和密鑰協(xié)定)認證的GERAN網(wǎng)絡中成功的AKA認證導致用于保護用戶裝備(UE)與網(wǎng)絡之間的通信的一對共享密鑰�,即密碼密鑰(CK)和完整性密鑰(IK)。這些共享密鑰可以如在UTRAN (UMTS地面無線電接入網(wǎng))情形中那樣直接被用來保護UE與網(wǎng)絡之間的話務��,或者可被用來靜態(tài)地推導密鑰�,例如GERAN (GSM EDGE無線電接入網(wǎng))情形中的Kc或Kci28。泄密的密鑰可能導致嚴重的安全性問題�,直至這些密鑰在下一次AKA認證時被改變。典型情況下��,由于所需要的大量開銷��,因而AKA認證并不經(jīng)常運行�����。另外���,如果這兩個密鑰(CK和IK)均被泄密���,那么GERAN密鑰就被泄密。在UMTS/HSPA (高速分組接入)部署中�,無線電網(wǎng)絡控制器(RNC)和B節(jié)點的功能性中的ー些或全部可被折疊到一起成為網(wǎng)絡邊緣處的ー個節(jié)點�����。RNC需要用于諸如用戶面密碼化和信令面密碼化以及完整性保護之類的功能性的密鑰��。然而��,RNC功能性可能被部署在隱露的位直中���,諸如在UMTS暈微微蜂窩小區(qū)內(nèi)的歸屬B節(jié)點中。相應地�,部署在可能不安全的位置中的提供接入(包括物理接入)的RNC功能性可能允許這些密鑰(即CK和IK)被泄密。會話密鑰(CK和IK的修改版本)可被用來降低與曝露的RNC功能性相關聯(lián)的安全性風險�。在美國專利申請公開No. US 2007/0230707A1中公開了用于提供此類會話密鑰的技術。遺憾的是�����,此類會話密鑰的使用需要對服務網(wǎng)絡進行升級修改��。然而����,網(wǎng)絡運營商有可能以分階段的方式來升級服務網(wǎng)絡。因此,需要用于信令通知與舊式服務網(wǎng)絡兼容的增強型安全性上下文支持的技術�。概述本發(fā)明的一方面可在于ー種用于建立遠程站與服務網(wǎng)絡之間的第一安全性上下文的方法。第一安全性上下文具有不受第二安全性上下文支持的安全性特性��。在該方法中�����,遠程站向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息�����,其中該第一消息包括信令通知該遠程站支持第一安全性上下文的信息元素�����。遠程站根據(jù)第一安全性上下文使用該信息元素來生成至少ー個會話密鑰��。遠程站響應于第一消息而接收具有服務網(wǎng)絡支持第一安全性上下文的指示的第二消息�。遠程站響應于第二消息而使無線通信由該至少一個會話密鑰來保護���。在本發(fā)明的更詳細方面���,信息元素可包括為會話更新的計數(shù)值。另外,服務網(wǎng)絡支持第一安全性上下文的指示可包括認證碼����,該認證碼是基于由服務網(wǎng)絡使用接收自遠程站的信息元素生成的相應的至少ー個會話密鑰生成的。另外�����,遠程站可包括移動用戶裝備��。在本發(fā)明的其他更詳細方面��,服務網(wǎng)絡可以是UMTS服務網(wǎng)絡���。第一安全性上下文可以是增強型UMTS安全性上下文���,而第二安全性上下文可以是舊式UTRAN安全性上下文。替換地����,服務網(wǎng)絡可以是GERAN服務網(wǎng)絡。本發(fā)明的另一方面可在于ー種遠程站�,該遠程站可包括用于向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息的裝置,其中該第一消息包括信令通知該遠程站支持第一安全性上下文的信息元素�,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性;用于根據(jù)第一安全性上下文使用該信息元素來生成至少ー個會話密鑰的裝置;用于響應于第一消息而接收具有服務網(wǎng)絡支持第一安全性上下文的指示的第二消息的裝置�����;以及用于響應于第二消息而使無線通信由該至少一個會話密鑰來保護的裝置�����。 本發(fā)明的另一方面可在于ー種可包括處理器的遠程站�,該處理器被配置成向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息��,其中該第一消息包括信令通知該遠程站支持第一安全性上下文的信息元素����,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性;根據(jù)第一安全性上下文使用該信息元素來生成至少ー個會話密鑰�;響應于第一消息而接收具有服務網(wǎng)絡支持第一安全性上下文的指示的第二消息;以及響應于第二消息而使無線通信由該至少一個會話密鑰來保護�。本發(fā)明的另一方面可在于ー種包括計算機可讀存儲介質(zhì)的計算機程序產(chǎn)品,該計算機可讀存儲介質(zhì)包括用于使計算機向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息的代碼�����,其中該第一消息包括信令通知該計算機支持第一安全性上下文的信息元素�,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性;用于使計算機根據(jù)第一安全性上下文使用該信息元素來生成至少ー個會話密鑰的代碼;用于使計算機響應于第一消息而接收具有服務網(wǎng)絡支持第一安全性上下文的指示的第二消息的代碼���;以及用于使計算機響應于第二消息而使無線通信由該至少一個會話密鑰來保護的代碼���。附圖簡述圖I是無線通信系統(tǒng)的示例的框圖。圖2是根據(jù)UMTS/UTRAN架構(gòu)的無線通信系統(tǒng)的示例的框圖��。圖3是根據(jù)GERAN架構(gòu)的無線通信系統(tǒng)的示例的框圖����。圖4是用于建立遠程站與服務網(wǎng)絡之間的增強型安全性上下文的方法的流程圖。圖5是用于基于附連請求消息來建立遠程站與服務網(wǎng)絡之間的增強型安全性上下文的方法的流程圖�。圖6是用于基于服務請求消息從遠程站與服務網(wǎng)絡之間的增強型安全性上下文建立至少ー個會話密鑰的方法的流程圖。圖7是用于基于路由區(qū)域更新請求消息從遠程站與服務網(wǎng)絡之間的增強型安全性上下文建立至少ー個會話密鑰的方法的流程圖�����。圖8是包括處理器和存儲器的計算機的框圖���。詳細描述
措辭“示例性”在本文中用于表示“用作示例���、實例或解說”。本文中描述為“示例性”的任何實施例不必被解釋為優(yōu)于或勝過其他實施例�。參照圖2到圖4����,本發(fā)明的一方面可在于用于建立遠程站210與服務網(wǎng)絡230之間的增強型安全性上下文的方法400�����。在該方法中��,遠程站向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息(步驟410)�����,其中該第一消息包括信令通知該遠程站支持增強型安全性上下文的信息元素�����。遠程站根據(jù)增強型安全性上下文使用該信息元素來生成至少ー個會話密鑰(CKs和IKs)(步驟420)�。遠程站響應于第一消息而接收具有服務網(wǎng)絡支持增強型安全性上下文的指示的第二消息(步驟430)����。遠程站響應于第二消息而使無線通信由該至少ー個會話密鑰來保護(步驟440)。該信息元素可包括計數(shù)���。另外�,服務網(wǎng)絡支持增強型安全性上下文的指示可包括認證碼(MAC),該認證碼是基于由服務網(wǎng)絡230使用接收自遠程站210的信息元素生成的相應的至少ー個會話密鑰生成的��。另外�����,遠程站可包括諸如無線設備之類的移動用戶裝備(UE)0
進ー步參照圖8��,本發(fā)明的另一方面可在于ー種遠程站210�,該遠程站210可包括用于向服務網(wǎng)絡230轉(zhuǎn)發(fā)第一消息的裝置(處理器810),其中該第一消息包括信令通知該遠程站支持增強型安全性上下文的信息元素����;用于根據(jù)增強型安全性上下文使用該信息元素來生成至少ー個會話密鑰的裝置;用于響應于第一消息而接收具有服務網(wǎng)絡支持增強型安全性上下文的指示的第二消息的裝置�;以及用于響應于第二消息而使無線通信由該至少ー個會話密鑰來保護的裝置。本發(fā)明的另一方面可在于ー種可包括處理器810的遠程站210����,該處理器810被配置成向服務網(wǎng)絡230轉(zhuǎn)發(fā)第一消息,其中該第一消息包括信令通知該遠程站支持增強型安全性上下文的信息元素���;根據(jù)增強型安全性上下文使用該信息元素來生成至少ー個會話密鑰����;響應于第一消息而接收具有服務網(wǎng)絡支持增強型安全性上下文的指示的第二消息;以及響應于第二消息而使無線通信由該至少一個會話密鑰來保護����。本發(fā)明的另一方面可在于ー種包括計算機可讀存儲介質(zhì)820的計算機程序產(chǎn)品,該計算機可讀存儲介質(zhì)820包括用于使計算機800向服務網(wǎng)絡230轉(zhuǎn)發(fā)第一消息的代碼����,其中該第一消息包括信令通知該計算機支持增強型安全性上下文的信息元素;用于使計算機根據(jù)增強型安全性上下文使用該信息元素來生成至少ー個會話密鑰的代碼��;用于使計算機響應于第一消息而接收具有服務網(wǎng)絡支持增強型安全性上下文的指示的第二消息的代碼���;以及用于使計算機響應于第二消息而使無線通信由該至少一個會話密鑰來保護的代碼�。服務核心網(wǎng)230連接至向遠程站210提供無線通信的服務RAN (無線電接入網(wǎng))220�。在UMTS/UTRAN架構(gòu)中,服務RAN包括B節(jié)點和RNC(無線電網(wǎng)絡控制器)�����。在GERAN架構(gòu)中�����,服務RAN包括BTS (基收發(fā)機站)和BSC (基站控制器)����。服務核心網(wǎng)包括用于提供電路交換(CS)服務的MSC/VLR (移動交換中心/訪客位置寄存器)和用于提供分組交換(PS)服務的SGSN (服務GPRS支持節(jié)點)。歸屬網(wǎng)絡包括HLR (歸屬位置寄存器)和AuC (認證中心)�����?��?梢杂眯碌陌踩蕴匦詠碓鰪奤E 210和服務核心網(wǎng)230以使用COUNT(計數(shù)器值)來創(chuàng)建增強型UMTS安全性上下文(ESC)����。當AKA認證被執(zhí)行時�����,可以從CK和IK推導用于ESC的256位根密鑰(KASMEU)����。根密鑰可被設為等于CK| IIK,或者可使用導致附加的有用安全性特性(例如��,CK和IK不需要被保持)的更復雜的推導來推導根密鑰�����。COUNT可以是在UE與服務核心網(wǎng)之間維護的16位計數(shù)器值。注意舊式UTRAN安全性上下文由KSI (3位密鑰集標識符)���、CK (128位加密密鑰)和IK (128位完整性密鑰)構(gòu)成����。參照圖5����,在與UMTS附連規(guī)程有關的方法500中,UE 210可在UMTS附連請求消息中信令通知該UE 210支持ESC(步驟510)����。ESC是第一安全性上下文的示例。支持信令可以是該消息中新信息元素(IE)的存在����。該IE可包括計數(shù)值。不支持ESC的服務網(wǎng)絡SN230將忽略該新IE����。不支持ESC是第二安全性上下文的示例。從HLR/AuC 240獲得認證數(shù)據(jù)(RAND, XRES, CK, IK, AUTN)(步驟515)���。SN可在對UE的AKA質(zhì)詢(認證請求)中指示ESC支持(步驟520)��。UE執(zhí)行認證規(guī)程(步驟525)并向SN返回響應RES(步驟530)�。一旦成功認證(步驟530)��,UE和SN就推導根密鑰Kasmeu和會話密鑰CKs和IKs (步驟535)��。SN在SMC(安全性模式命令)消息中向RAN 220轉(zhuǎn)發(fā)這些會話密鑰(步驟540)���。RAN使用會話密鑰IKs來生成消息認證碼(MAC)�����,該MAC在SMC消息中被轉(zhuǎn)發(fā)給UE(步驟545)����。UE使用該UE推導出的會話密鑰IKs來檢查該MAC (步驟550)�,并向RAN返回完成指示(步驟555),該RAN向SN轉(zhuǎn)發(fā)該完成指示(步驟560)����。UE隨后能夠使用這些會話密鑰來保護通信(步驟565)。 參照圖6�,在與空閑至活躍模式規(guī)程600有關的方法600中,UE 210向SN 230轉(zhuǎn)發(fā)包括計數(shù)值的服務請求消息(步驟610)。UE和SN從根密鑰Kasmeu推導新的會話密鑰CKs和IKs (步驟620)�。SN在SMC消息中向RAN 220轉(zhuǎn)發(fā)這些會話密鑰(步驟630)。RAN生成MAC,該MAC在SMC消息中被轉(zhuǎn)發(fā)給UE (步驟640)���。UE檢查該MAC (步驟650)并向RAN返回完成指示(步驟660)�,該RAN向SN轉(zhuǎn)發(fā)該完成指示(步驟670)��。UE隨后能夠使用這些會話密鑰來保護通信(步驟680)�。參照圖7,在與移動性管理規(guī)程700 (諸如路由區(qū)域更新(RAU)或位置區(qū)域更新(LAU))有關的方法700中����,UE 210向SN 230轉(zhuǎn)發(fā)包括計數(shù)值的RAU (或LAU)請求消息(步驟710)?����?扇芜x地�,UE和SN可從根密鑰Kasmeu推導新的會話密鑰CKs和IKs (步驟720)。SN可在SMC消息中向RAN 220轉(zhuǎn)發(fā)這些會話密鑰(步驟730)���。RAN可生成MAC�����,該MAC可在SMC消息中被轉(zhuǎn)發(fā)給UE (步驟740)���。UE可檢查該MAC (步驟750),并可向RAN返回完成指示(步驟760)��,該RAN向SN轉(zhuǎn)發(fā)該完成指示(步驟770)����。SN隨后向UE發(fā)送RAU接受消息(步驟780)。UE隨后能夠使用這些會話密鑰來保護通信���?��?梢詾閺目臻e向活躍狀態(tài)的每個轉(zhuǎn)移生成新的接入階層(AS)密鑰。類似地��,可以在其他事件發(fā)生時生成密鑰�����?���?梢栽诳臻e移動性消息中和在初始的層3消息(例如,用于空閑、移動性���、或服務請求的附連�����、RAU�、LAU)中發(fā)送計數(shù)值�����。SN可檢查所發(fā)送的計數(shù)值在之前尚未被使用過�,并在該過程中更新存儲著的計數(shù)值。如果計數(shù)值是新的(例如��,接收到的計數(shù)值 > 存儲著的計數(shù)值)�����,那么UE和SN使用諸如HMAC-SHA256之類的密鑰推導函數(shù)(KDF)從根密鑰Kasmeu和所發(fā)送的計數(shù)值來著手演算新的密鑰CKs和IKS����。KDF可包括關于新密鑰演算的諸如RAN節(jié)點身份之類的附加信息。如果檢查失敗(計數(shù)值不是新的)�����,那么SN拒絕該消息。對于GERAN使用�����,在從CKs和IKs演算K�����。和Ka28吋����,該演算可以按與在從CK和IK演算K���。和Ka28時相同的方式進行�����。會話密鑰(CKs和IKs)可具有壽命�,以使得UE和服務網(wǎng)絡保持并使用這些會話密鑰��,直至存儲這些密鑰以在UE與網(wǎng)絡之間安全地發(fā)送話務不再是必需的(UE移至空閑模式)或者在后續(xù)事件(例如��,AKA認證或移動性事件)發(fā)生時創(chuàng)建了新的上下文。遠程站210可包括計算機800���,該計算機包括諸如存儲器之類的存儲介質(zhì)820�����、顯示器830���、以及諸如鍵盤之類的輸入設備840。該裝置可包括無線連接850����。參照
圖1,無線遠程站(RS)102 (或UE)可以與無線通信系統(tǒng)100的ー個或更多個基站(BS) 104通信�。無線通信系統(tǒng)100可進ー步包括一個或更多個基站控制器(BSC) 106、以及核心網(wǎng)108�����。核心網(wǎng)可經(jīng)由合適的回程連接至因特網(wǎng)110和公共交換電話網(wǎng)(PSTN)112���。典型的無線移動站可包括手持式電話或膝上型計算機����。無線通信系統(tǒng)100可以采用數(shù)種多址技術中的任何ー種,諸如碼分多址(⑶MA)���、時分多址(TDMA)�、頻分多址(FDMA)���、空分多址(SDMA)��、極分多址(PDMA)�����、或其他本領域中所知的調(diào)制技術。無線設備102可包括基于由無線設備傳送或在無線設備處接收到的信號來執(zhí)行諸功能的各種組件��。例如���,無線頭戴式送受話器可包括適配成基于經(jīng)由接收機接收到的信號提供音頻輸出的換能器�����。無線手表可包括適配成基于經(jīng)由接收機接收到的信號提供指示的用戶接ロ����。無線感測設備可包括適配成提供要傳送給另ー設備的數(shù)據(jù)的傳感器。 無線設備可經(jīng)由一條或更多條無線通信鏈路通信�����,這些無線通信鏈路基于或以其他方式支持任何合適的無線通信技木��。例如����,在ー些方面,無線設備可與網(wǎng)絡相關聯(lián)��。在一些方面����,網(wǎng)絡可包括體域網(wǎng)或個域網(wǎng)(例如,超寬帶網(wǎng)絡)����。在ー些方面,網(wǎng)絡可包括局域網(wǎng)或廣域網(wǎng)�。無線設備可支持或以其他方式使用各種無線通信技術、協(xié)議��、或標準——諸如舉例而言CDMA�����、TDMA、0FDM�����、0FDMA��、WiMAX和Wi-Fi——中的一種或更多種���。類似地,無線設備可支持或以其他方式使用各種相應調(diào)制或復用方案中的ー種或更多種���。無線設備由此可包括用于使用以上或其他無線通信技術建立一條或更多條無線通信鏈路并經(jīng)由這一條或更多條無線通信鏈路來通信的恰適組件(例如,空中接ロ)����。例如�,設備可包括具有相關聯(lián)的發(fā)射機和接收機組件(例如,發(fā)射機和接收機)的無線收發(fā)機�����,這些發(fā)射機和接收機組件可包括促成無線介質(zhì)上的通信的各種組件(例如�,信號發(fā)生器和信號處理器)���。本文中的教示可被納入各種裝置(例如,設備)中(例如���,實現(xiàn)在其內(nèi)或由其執(zhí)行)�����。例如����,本文示教的ー個或更多個方面可被納入到電話(例如�����,蜂窩電話)����、個人數(shù)字助理(“PDA”)、娛樂設備(例如��,音樂或視頻設備)��、頭戴式送受話器(例如,聽筒���、耳機等)���、麥克風、醫(yī)療設備(例如�,生物測定傳感器、心率監(jiān)視器��、計步器��、EKG設備等)��、用戶I/O設備(例如���,手表�����、遙控器、照明開關���、鍵盤���、鼠標等)��、輪胎氣壓監(jiān)視器�����、計算機�、銷售點(POS)設備��、娛樂設備��、助聽器��、機頂盒�����、或任何其它合適設備中�����。這些設備可具有不同功率和數(shù)據(jù)需求��。在ー些方面中�,本文中的教示可適配成用在低功率應用中(例如�,通過使用基于脈沖的信令方案和低占空比模式)���,并且可支持各種數(shù)據(jù)率��,包括相對高的數(shù)據(jù)率(例如�,通過使用高帶寬脈沖)�����。在ー些方面�����,無線設備可包括通信系統(tǒng)的接入設備(例如��,Wi-Fi接入點)����。此類接入設備可提供例如經(jīng)由有線或無線通信鏈路至另ー網(wǎng)絡(例如,諸如因特網(wǎng)或蜂窩網(wǎng)絡等廣域網(wǎng))的連通性���。因此���,接入設備可使得另ー設備(例如,Wi-Fi站)能接入該另ー網(wǎng)絡或某個其他功能��。此外應領會����,這些設備中的一者或其兩者可以是便攜式的,或者在一些情形中為相對非便攜式的���。本領域技術人員將可理解�����,信息和信號可使用各種不同技術和技藝中的任何技術和技藝來表示�����。例如���,以上描述通篇引述的數(shù)據(jù)、指令��、命令����、信息����、信號����、位、碼元�、和碼片可由電壓、電流��、電磁波�����、磁場或磁粒子�、光場或光學粒子、或其任何組合來表不�����。本領域技術人員將進ー步領會�,結(jié)合本文中所公開的實施例來描述的各種說明性邏輯塊、模塊����、電路�、和算法步驟可實現(xiàn)為電子硬件��、計算機軟件����、或這兩者的組合����。為清楚地解說硬件與軟件的這一可互換性,各種解說性組件����、框、模塊��、電路�、和步驟在上面是以其功能性的形式作一般化描述的。此類功能性是被實現(xiàn)為硬件還是軟件取決于具體應用和施加于整體系統(tǒng)的設計約束����。技術人員對于每種特定應用可用不同的方式來實現(xiàn)所描述的功能性,但這樣的實現(xiàn)決策不應被解讀成導致脫離了本發(fā)明的范圍�����。結(jié)合本文所公開的實施例描述的各種說明性邏輯塊、模塊�、和電路可用通用處理器、數(shù)字信號處理器(DSP)���、專用集成電路(ASIC)�����、現(xiàn)場可編程門陣列(FPGA)或其它可編程邏輯器件��、分立門或晶體管邏輯�����、分立硬件組件��、或其設計成執(zhí)行本文所描述功能的任何組合來實現(xiàn)或執(zhí)行��。通用處理器可以是微處理器�,但在替換方案中��,處理器可以是任何常規(guī)處理器���、控制器����、微控制器、或狀態(tài)機����。處理器還可以被實現(xiàn)為計算設備的組合,例如DSP與微處理器的組合�����、多個微處理器����、與DSP核心協(xié)作的一個或更多個微處理器��、或任何其他此類配置����。 結(jié)合本文中公開的實施例描述的方法或算法的步驟可直接在硬件中、在由處理器執(zhí)行的軟件模塊中�、或在這兩者的組合中實施。軟件模塊可駐留在RAM存儲器���、閃存��、ROM存儲器�����、EPROM存儲器���、EEPROM存儲器����、寄存器��、硬盤��、可移動盤����、CD-ROM、或本領域中所知的任何其他形式的存儲介質(zhì)中����。示例性存儲介質(zhì)耦合到處理器以使得該處理器能從/向該存儲介質(zhì)讀取和寫入信息。在替換方案中�,存儲介質(zhì)可以被整合到處理器。處理器和存儲介質(zhì)可駐留在ASIC中。ASIC可駐留在用戶終端中���。在替換方案中����,處理器和存儲介質(zhì)可作為分立組件駐留在用戶終端中�。在一個或更多個示例性實施例中,所描述的功能可在硬件����、軟件、固件或其任何組合中實現(xiàn)���。如果在軟件中實現(xiàn)為計算機程序產(chǎn)品,則各功能可以作為一條或更多條指令或代碼存儲在計算機可讀介質(zhì)上或藉其進行傳送�����。計算機可讀介質(zhì)包括計算機存儲介質(zhì)和通信介質(zhì)兩者�����,其包括促成計算機程序從一地向另一地轉(zhuǎn)移的任何介質(zhì)���。存儲介質(zhì)可以是能被計算機訪問的任何可用介質(zhì)�。作為示例而非限定,這樣的計算機可讀介質(zhì)可包括RAM�����、ROM����、EEPROM、CD-ROM或其它光盤存儲���、磁盤存儲或其它磁存儲設備�����、或能被用來攜帯或存儲指令或數(shù)據(jù)結(jié)構(gòu)形式的合意程序代碼且能被計算機訪問的任何其它介質(zhì)�。任何連接也被正當?shù)胤Q為計算機可讀介質(zhì)�。例如,如果軟件是使用同軸電纜�、光纖電纜、雙絞線���、數(shù)字訂戶線(DSL)�、或諸如紅外、無線電����、以及微波之類的無線技術從web網(wǎng)站、服務器�����、或其它遠程源傳送而來�����,則該同軸電纜�、光纖電纜、雙絞線�����、DSL�、或諸如紅外�����、無線電�、以及微波之類的無線技術就被包括在介質(zhì)的定義之中����。如本文中所使用的盤(disk)和碟(disc)包括壓縮碟(⑶)�����、激光碟��、光碟�、數(shù)字多用碟(DVD)、軟盤和藍光碟����,其中盤(disk)往往以磁的方式再現(xiàn)數(shù)據(jù),而碟(diSC)用激光以光學方式再現(xiàn)數(shù)據(jù)��。上述的組合也應被包括在計算機可讀介質(zhì)的范圍內(nèi)����。提供前面對所公開的實施例的描述是為了使本領域任何技術人員皆能制作或使用本發(fā)明。對這些實施例的各種修改對于本領域技術人員將是顯而易見的�,并且本文中定義的普適原理可被應用于其他實施例而不會脫離本發(fā)明的精神或范圍。由此�����,本發(fā)明并非旨在被限定于本文中示出的實施例,而是應被授予與本文中公開的原理和新穎性特征一致的最廣義的范圍��。 ·
權利要求
1.一種用于建立遠程站與服務網(wǎng)絡之間的第一安全性上下文的方法�����,所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性��,所述方法包括 所述遠程站向所述服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息�,其中所述第一消息包括信令通知所述遠程站支持所述第一安全性上下文的信息元素; 所述遠程站根據(jù)所述第一安全性上下文使用所述信息元素來生成至少一個會話密鑰�����; 所述遠程站響應于所述第一消息而接收具有所述服務網(wǎng)絡支持所述第一安全性上下文的指示的第二消息��;以及 所述遠程站響應于所述第二消息而使無線通信由所述至少一個會話密鑰來保護����。
2.如權利要求I所述的用于建立第一安全性上下文的方法,其特征在于�,所述信息元素包括為會話更新的計數(shù)值����。
3.如權利要求I所述的用于建立第一安全性上下文的方法���,其特征在于,所述服務網(wǎng)絡是UMTS服務網(wǎng)絡���。
4.如權利要求3所述的用于建立第一安全性上下文的方法�,其特征在于���,所述第一安全性上下文是增強型UMTS安全性上下文�,并且所述第二安全性上下文是舊式UTRAN安全性上下文�。
5.如權利要求I所述的用于建立第一安全性上下文的方法,其特征在于����,所述服務網(wǎng)絡是GERAN服務網(wǎng)絡。
6.如權利要求I所述的用于建立第一安全性上下文的方法����,其特征在于,所述服務網(wǎng)絡支持所述第一安全性上下文的所述指示包括認證碼�����,所述認證碼是基于由所述服務網(wǎng)絡使用接收自所述遠程站的所述信息元素生成的相應的至少一個會話密鑰來生成的��。
7.如權利要求I所述的用于建立第一安全性上下文的方法,其特征在于���,所述遠程站包括移動用戶裝備����。
8.—種遠程站,包括 用于向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息的裝置��,其中所述第一消息包括信令通知所述遠程站支持第一安全性上下文的信息元素�,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性; 用于根據(jù)所述第一安全性上下文使用所述信息元素來生成至少一個會話密鑰的裝置�; 用于響應于所述第一消息而接收具有所述服務網(wǎng)絡支持所述第一安全性上下文的指示的第二消息的裝置;以及 用于響應于所述第二消息而使無線通信由所述至少一個會話密鑰來保護的裝置����。
9.如權利要求8所述的遠程站,其特征在于���,所述信息元素包括為會話更新的計數(shù)值�����。
10.如權利要求8所述的遠程站����,其特征在于���,所述服務網(wǎng)絡是UMTS服務網(wǎng)絡�����。
11.如權利要求10所述的遠程站�,其特征在于�,所述第一安全性上下文是增強型UMTS安全性上下文,并且所述第二安全性上下文是舊式UTRAN安全性上下文�。
12.如權利要求8所述的遠程站,其特征在于�,所述服務網(wǎng)絡是GERAN服務網(wǎng)絡。
13.如權利要求8所述的遠程站�����,其特征在于�����,所述服務網(wǎng)絡支持所述第一安全性上下文的所述指示包括認證碼��,所述認證碼是基于由所述服務網(wǎng)絡使用接收自所述遠程站的所述信息元素生成的相應的至少一個會話密鑰來生成的。
14.如權利要求8所述的遠程站����,其特征在于,所述遠程站包括移動用戶裝備����。
15.—種遠程站,包括 處理器,被配置為 向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息����,其中所述第一消息包括信令通知所述遠程站支持第一安全性上下文的信息元素,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性��; 根據(jù)所述第一安全性上下文使用所述信息元素來生成至少一個會話密鑰�����; 響應于所述第一消息而接收具有所述服務網(wǎng)絡支持所述第一安全性上下文的指示的第二消息�;以及 響應于所述第二消息而使無線通信由所述至少一個會話密鑰來保護。
16.如權利要求15所述的遠程站�,其特征在于,所述信息元素包括為會話更新的計數(shù)值�����。
17.如權利要求15所述的遠程站,其特征在于���,所述服務網(wǎng)絡是UMTS服務網(wǎng)絡��。
18.如權利要求17所述的遠程站,其特征在于���,所述第一安全性上下文是增強型UMTS安全性上下文�,并且所述第二安全性上下文是舊式UTRAN安全性上下文�����。
19.如權利要求15所述的遠程站�,其特征在于,所述服務網(wǎng)絡是GERAN服務網(wǎng)絡�。
20.如權利要求15所述的遠程站,其特征在于����,所述服務網(wǎng)絡支持所述第一安全性上下文的所述指示包括認證碼,所述認證碼是基于由所述服務網(wǎng)絡使用接收自所述遠程站的所述信息元素生成的相應的至少一個會話密鑰來生成的�����。
21.如權利要求15所述的遠程站,其特征在于��,所述遠程站包括移動用戶裝備�����。
22.—種計算機程序產(chǎn)品���,包括 計算機可讀存儲介質(zhì)���,包括 用于使計算機向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息的代碼,其中所述第一消息包括信令通知所述計算機支持第一安全性上下文的信息元素�,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性; 用于使計算機根據(jù)所述第一安全性上下文使用所述信息元素來生成至少一個會話密鑰的代碼��; 用于使計算機響應于所述第一消息而接收具有所述服務網(wǎng)絡支持所述第一安全性上下文的指示的第二消息的代碼����;以及 用于使計算機響應于所述第二消息而使無線通信由所述至少一個會話密鑰來保護的代碼。
23.如權利要求22所述的計算機程序產(chǎn)品�����,其特征在于����,所述信息元素包括為會話更新的計數(shù)值�����。
24.如權利要求22所述的計算機程序產(chǎn)品����,其特征在于����,所述服務網(wǎng)絡是UMTS服務網(wǎng)絡�����。
25.如權利要求24所述的計算機程序產(chǎn)品�����,其特征在于�����,所述第一安全性上下文是增強型UMTS安全性上下文���,并且所述第二安全性上下文是舊式UTRAN安全性上下文���。
26.如權利要求22所述的計算機程序產(chǎn)品����,其特征在于�,所述服務網(wǎng)絡是GERAN服務網(wǎng)絡。
27.如權利要求22所述的計算機程序產(chǎn)品�����,其特征在于����,所述服務網(wǎng)絡支持所述第一安全性上下文的所述指示包括認證碼,所述認證碼是基于由所述服務網(wǎng)絡使用所接收到的信息元素生成的相應的至少一個會話密鑰來生成的���。
全文摘要
公開了一種用于建立遠程站與服務網(wǎng)絡之間的增強型安全性上下文的方法��。在該方法中���,遠程站向服務網(wǎng)絡轉(zhuǎn)發(fā)第一消息,其中該第一消息包括信令通知該遠程站支持增強型安全性上下文的信息元素��。遠程站根據(jù)增強型安全性上下文使用該信息元素來生成至少一個會話密鑰。遠程站響應于第一消息而接收具有服務網(wǎng)絡支持增強型安全性上下文的指示的第二消息�。遠程站響應于第二消息而使無線通信由該至少一個會話密鑰來保護。
文檔編號H04L29/06GK102835136SQ201180018855
公開日2012年12月19日 申請日期2011年4月15日 優(yōu)先權日2010年4月15日
發(fā)明者A·E·艾斯科特, A·帕拉尼格朗德 申請人:高通股份有限公司