專(zhuān)利名稱(chēng):用于切換安全的方法、裝置���、系統(tǒng)和相關(guān)的計(jì)算機(jī)程序產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于切換安全的方法��、裝置���、系統(tǒng)以及相關(guān)的計(jì)算機(jī)程序產(chǎn)品�。特 別地�����,本發(fā)明還可以涉及UTRAN (UMTS (通用移動(dòng)電信系統(tǒng))陸地?zé)o線(xiàn)電接入網(wǎng)絡(luò))�����、 GERAN(GSM(全球移動(dòng)通信系統(tǒng))EDGE (增強(qiáng)型數(shù)據(jù)速率全球演進(jìn))無(wú)線(xiàn)電接入網(wǎng)絡(luò))�����、 E-UTRAN (演進(jìn)型UTRAN)�����、3GPP (第三代合作伙伴計(jì)劃)EPS (演進(jìn)型分組系統(tǒng))/E-UTRAN密 鑰管理和密鑰體系�、系統(tǒng)間切換�����、UTRAN/GERAN密鑰管理、在HSPA(高速分組接入)演進(jìn)和 所謂的歸屬節(jié)點(diǎn)B中的UTRAN/GERAN CK/IK(加密密鑰/完整性密鑰)密鑰使用���。
背景技術(shù):
在3GPP(第三代合作伙伴計(jì)劃)中����,已有涉及切換安全的討論����。存在針對(duì)以下內(nèi)容的方法-在切換到E-UTRAN之后立即執(zhí)行AKA(認(rèn)證和密鑰協(xié)商),并且隨后執(zhí)行運(yùn)行中 的密碼變換(例如��,在3GPP SA3 (系統(tǒng)架構(gòu)3)中所討論的)���。-密鑰體系還用于諸如UTRAN/GERAN側(cè)的更新(將在下面的內(nèi)容中介紹)��;以及-已在3GPPSA3中提及的針對(duì)E-UTRAN的密鑰高速緩存的部分解決方案�。然而��,鑒于以上內(nèi)容�,如果諸如在UTRAN/GERAN側(cè)上使用的CK和IK密鑰被泄露 (例如,攻擊者從RNC (無(wú)線(xiàn)電網(wǎng)路控制器)����、歸屬節(jié)點(diǎn)B或HSPA基站獲得CK/IK密鑰)并 且發(fā)生了到E-UTRAN的切換����,那么E-UTRAN密鑰也將可能存在泄露的問(wèn)題���,因?yàn)镋-UTRAN密 鑰基于所轉(zhuǎn)移的CK/IK (例如從UTRAN/GERAN側(cè)到E-UTRAN)���。
發(fā)明內(nèi)容
考慮到上述情況,本發(fā)明的目的是為了克服上述一個(gè)或多個(gè)缺點(diǎn)���。特別地�,本發(fā)明 提供了一種用于切換安全的方法�、裝置、系統(tǒng)和相關(guān)的計(jì)算機(jī)程序產(chǎn)品��。根據(jù)本發(fā)明����,在第一方面中�����,例如通過(guò)一種方法來(lái)實(shí)現(xiàn)該目的,所述方法包括在切換操作之前����,接收第一密鑰指示信息;在所述切換操作之前�����,基于所接收的第一密鑰指示信息來(lái)創(chuàng)建密鑰信息�;保留所創(chuàng)建的密鑰信息;在所述切換操作之后�����,發(fā)送與在所述切換操作之前所創(chuàng)建的密鑰信息相關(guān)聯(lián)的所 接收的第一密鑰指示信息���;在所述切換操作之后����,基于所述第一密鑰指示信息來(lái)檢索所保留的密鑰信息�。根據(jù)對(duì)上述第一方面中定義的本發(fā)明的進(jìn)一步細(xì)化,-所述方法進(jìn)一步包括發(fā)送指示創(chuàng)建成功的響應(yīng)����;-所述切換操作是在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)路實(shí)體之間進(jìn)行的����;-以下中的至少一個(gè)是詢(xún)問(wèn)/響應(yīng)協(xié)議的一部分所述創(chuàng)建����,以及在所述切換操作 之前的所述接收;_由以下中的至少一個(gè)構(gòu)成所述詢(xún)問(wèn)/響應(yīng)協(xié)議認(rèn)證和密鑰協(xié)商協(xié)議�����,以及可擴(kuò)展認(rèn)證協(xié)議����; -所述保留包括利用安全模式命令進(jìn)行發(fā)配(dispense);-所述密鑰信息包括以下中的至少一個(gè)加密密鑰和完整性密鑰��;-所述第一密鑰標(biāo)識(shí)信息包括密鑰集標(biāo)識(shí)符����。根據(jù)本發(fā)明,在第二方面中��,例如通過(guò)一種方法來(lái)實(shí)現(xiàn)該目的�,所述方法包括在切換操作之前,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息�����;在所述切換操作之前��,發(fā)送所生成的第一密鑰指示信息����;以及在所述切換操作之后,接收與所生成的第一密鑰指示信息相對(duì)應(yīng)的第二密鑰指示 fn息ο根據(jù)對(duì)上述第二方面中所定義的本發(fā)明的進(jìn)一步細(xì)化�,-所述方法進(jìn)一步包括接收指示創(chuàng)建成功的響應(yīng);-所述切換操作是在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)路實(shí)體之間進(jìn)行的���;-所述生成和所述發(fā)送中的至少一個(gè)是詢(xún)問(wèn)/響應(yīng)協(xié)議的一部分�����;_由以下中的至少一個(gè)構(gòu)成所述詢(xún)問(wèn)/響應(yīng)協(xié)議認(rèn)證和密鑰協(xié)商協(xié)議���,以及可擴(kuò) 展認(rèn)證協(xié)議;-所述切換操作之后的所述接收包括安全上下文轉(zhuǎn)移��;-所述第一和第二密鑰標(biāo)識(shí)信息中的至少一個(gè)包括密鑰集標(biāo)識(shí)符���。根據(jù)本發(fā)明�����,在第三方面中���,例如通過(guò)一種裝置來(lái)實(shí)現(xiàn)該目的�,所述裝置包括接收器�,其被配置以便在切換操作之前,接收第一密鑰指示信息���;創(chuàng)建器��,其被配置以便在所述切換操作之前���,基于所述接收器所接收的密鑰指示 信息來(lái)創(chuàng)建第一密鑰信息;保留器�,其被配置以便保留由所述創(chuàng)建器創(chuàng)建的密鑰信息;發(fā)送器�����,其被配置以便在所述切換操作之后�,發(fā)送由所述接收器所接收的并且與 在所述切換操作之前由所述創(chuàng)建器創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息����;檢索器��,其被配置以便在所述切換操作之后�,基于所述第一密鑰指示信息來(lái)檢索 由所述保留器所保留的密鑰信息����。根據(jù)對(duì)上述第三方面中所定義的本發(fā)明的進(jìn)一步細(xì)化,-所述發(fā)送器被配置以便發(fā)送指示成功創(chuàng)建所述第一密鑰信息的響應(yīng)��;-所述切換操作是在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)路實(shí)體之間進(jìn)行的�����;-所述接收器和所述創(chuàng)建器中的至少一個(gè)被配置以便至少執(zhí)行詢(xún)問(wèn)/響應(yīng)協(xié)議的 一部分����;_由以下中的至少一個(gè)構(gòu)成所述詢(xún)問(wèn)/響應(yīng)協(xié)議認(rèn)證和密鑰協(xié)商協(xié)議,以及可擴(kuò) 展認(rèn)證協(xié)議�;-所述保留器進(jìn)一步被配置以便在安全模式命令情況下進(jìn)行發(fā)配;-所述密鑰信息包括以下中的至少一個(gè)加密密鑰和完整性密鑰�;-所述第一密鑰標(biāo)識(shí)信息包括密鑰集標(biāo)識(shí)符;-所述裝置是用戶(hù)設(shè)備��;-所述裝置依從以下中的至少一個(gè)通用移動(dòng)電信系統(tǒng)陸地?zé)o線(xiàn)電接入網(wǎng)絡(luò)、全 球移動(dòng)通信系統(tǒng)增強(qiáng)型數(shù)據(jù)速率全球演進(jìn)無(wú)線(xiàn)電接入網(wǎng)絡(luò)�����,以及演進(jìn)型通用移動(dòng)電信系統(tǒng)陸地?zé)o線(xiàn)電接入網(wǎng)絡(luò)�。根據(jù)本發(fā)明,在第四方面中�,例如通過(guò)一種裝置來(lái)實(shí)現(xiàn)該目的,所述裝置包括生成器�,其被配置以便在切換操作之前,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第 一密鑰指示信息���;發(fā)送器��,其被配置以便在所述切換操作之前��,發(fā)送由所述生成器生成的第一密鑰 指示信息���;以及接收器,其被配置以便在所述切換操作之后����,接收與所述生成器所生成的第一密 鑰指示信息相對(duì)應(yīng)的第二密鑰指示信息。根據(jù)對(duì)上述第四方面中所定義的本發(fā)明的進(jìn)一步細(xì)化���,-接收器被配置以便接收指示成功創(chuàng)建所述第一密鑰信息的響應(yīng)�����;-所述切換操作是在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)路實(shí)體之間進(jìn)行的���;-所述生成器和所述發(fā)送器中的至少一個(gè)被配置以便執(zhí)行詢(xún)問(wèn)/響應(yīng)協(xié)議的一部 分�����;_由以下中的至少一個(gè)構(gòu)成所述詢(xún)問(wèn)/響應(yīng)協(xié)議認(rèn)證和密鑰協(xié)商協(xié)議,以及可擴(kuò) 展認(rèn)證協(xié)議����;-所述接收器進(jìn)一步被配置以便基于安全上下文轉(zhuǎn)移來(lái)進(jìn)行接收;-所述第一和第二密鑰標(biāo)識(shí)信息中的至少一個(gè)包括密鑰集標(biāo)識(shí)符�;_所述裝置由以下中的至少一個(gè)構(gòu)成服務(wù)通用分組無(wú)線(xiàn)電業(yè)務(wù)支持節(jié)點(diǎn),以及 移動(dòng)管理實(shí)體���。根據(jù)本發(fā)明����,在第五方面中��,例如通過(guò)一種設(shè)備來(lái)實(shí)現(xiàn)該目的,所述設(shè)備包括用于在切換操作之前接收第一密鑰指示信息的裝置�;用于在所述切換操作之前,基于由用于接收的裝置所接收的第一密鑰指示信息來(lái) 創(chuàng)建密鑰信息的裝置�;用于保留由用于創(chuàng)建的裝置所創(chuàng)建的密鑰信息的裝置;用于在所述切換操作之后����,發(fā)送由用于接收的裝置所接收的并且與在所述切換操 作之前由用于創(chuàng)建的裝置所創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息的裝置;以及用于在所述切換操作之后�,基于所述第一密鑰指示信息來(lái)檢索由用于保留的裝置 所保留的密鑰信息的裝置。根據(jù)本發(fā)明�����,在第六方面中�����,例如通過(guò)一種設(shè)備來(lái)實(shí)現(xiàn)該目的����,所述設(shè)備包括用于在切換操作之前,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息的 裝置�����;用于在所述切換操作之前,發(fā)送由用于生成的裝置所生成的第一密鑰指示信息的 裝置��;以及用于在所述切換操作之后����,接收與由用于生成的裝置所生成的密鑰指示信息相對(duì) 應(yīng)的第二密鑰指示信息的裝置。根據(jù)對(duì)上述第六方面中所定義的本發(fā)明的進(jìn)一步細(xì)化���,-所述設(shè)備被實(shí)現(xiàn)為芯片集或模塊�。根據(jù)本發(fā)明����,在第七方面中��,例如通過(guò)一種系統(tǒng)來(lái)實(shí)現(xiàn)該目的����,所述系統(tǒng)包括以下 中的至少一個(gè)
根據(jù)所述第三方面的裝置;以及根據(jù)所述第四方面的裝置���;以及根據(jù)所述第五方面的設(shè)備���;以及根據(jù)所述第六方面的設(shè)備��。
根據(jù)本發(fā)明��,在第八方面中��,例如通過(guò)一種計(jì)算機(jī)程序產(chǎn)品來(lái)實(shí)現(xiàn)該目的�����,所述計(jì) 算機(jī)程序產(chǎn)品包括被配置以便執(zhí)行方法的代碼裝置����,所述方法包括在切換操作之前����,接收第一密鑰指示信息;在所述切換操作之前�,基于所接收的第一密鑰指示信息來(lái)創(chuàng)建密鑰信息;保留所創(chuàng)建的密鑰信息�;在所述切換操作之后,發(fā)送與在所述切換操作之前所創(chuàng)建的密鑰信息相關(guān)聯(lián)的所 接收的第一密鑰指示信息���;以及在所述切換操作之后��,基于所述第一密鑰指示信息來(lái)檢索所保留的密鑰信息�����。根據(jù)對(duì)上述第八方面中所定義的本發(fā)明的進(jìn)一步細(xì)化�����,-所述計(jì)算機(jī)程序產(chǎn)品體現(xiàn)在計(jì)算機(jī)可讀介質(zhì)上���。根據(jù)本發(fā)明��,在第九方面中�����,例如通過(guò)一種計(jì)算機(jī)程序產(chǎn)品來(lái)實(shí)現(xiàn)該目的�,所述計(jì) 算機(jī)程序產(chǎn)品包括被配置以便執(zhí)行方法的代碼裝置����,所述方法包括在切換操作之前���,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息�����;在所述切換操作之前�����,發(fā)送所生成的第一密鑰指示信息����;以及在所述切換操作之后,接收與所生成的第一密鑰指示信息相對(duì)應(yīng)的第二密鑰指示 fn息ο根據(jù)對(duì)上述第九方面中所定義的本發(fā)明的進(jìn)一步細(xì)化���,-所述計(jì)算機(jī)程序產(chǎn)品體現(xiàn)在計(jì)算機(jī)可讀介質(zhì)上���。就此而論,必須指出本發(fā)明實(shí)現(xiàn)了一個(gè)或多個(gè)以下內(nèi)容-密鑰的便攜性�,例如到E-UTRAN側(cè)中。_獨(dú)立于例如所涉及的SGSN(服務(wù)GPRS(通用分組無(wú)線(xiàn)電業(yè)務(wù))支持節(jié)點(diǎn))的發(fā) 布版本����。-由于可以在沒(méi)有SMC(安全模式命令)的情況下實(shí)現(xiàn)AKA,因此獨(dú)立于UE (用戶(hù) 設(shè)備)的發(fā)布版本��。-使得能夠檢測(cè)UE的發(fā)布版本(例如�,如果UE有可能切換到E-UTRAN,則UE為版 本8或更新版本)。-有效使用KSI(密鑰集標(biāo)識(shí)符)��,以便也標(biāo)識(shí)在E-UTRAN側(cè)的密鑰(例如����,如果 KSI指向在UTRAN/GERAN側(cè)上使用的先前的(所謂的“舊的”)CK和IK,或者指向基于在沒(méi) 有相應(yīng)的SMC過(guò)程情況下的AKA的新密鑰)����。-對(duì)于諸如到E-UTRAN的第一消息(例如,服務(wù)請(qǐng)求或初始L3(3級(jí))消息或 RRC(無(wú)線(xiàn)電資源控制)連接請(qǐng)求��,等等)的完整性保護(hù)�,因?yàn)槔帽桓咚倬彺婧捅晦D(zhuǎn)移的密 鑰(從UTRAN/GERAN切換到E-UTRAN),UE可以對(duì)例如到E-UTRAN的第一消息進(jìn)行簽名���。-由于安全上下文高速緩存而導(dǎo)致的更快的分離到依附轉(zhuǎn)變���,特別是在獨(dú)立于源 RAT (無(wú)線(xiàn)電接入技術(shù))而切換回E-UTRAN時(shí)。-實(shí)現(xiàn)故障恢復(fù)����,例如��,在與源RAT的無(wú)線(xiàn)電連接丟失的情況下(即,在E-UTRAN中的安全上下文高速緩存并不需要來(lái)自其它RAT的任何信息)����。
下面通過(guò)參考附圖來(lái)描述本發(fā)明的實(shí)施例,其中圖1示出了根據(jù)本發(fā)明的實(shí)施例用于切換安全的相應(yīng)方法�����;圖2示出了根據(jù)本發(fā)明的實(shí)施例用于切換安全的相應(yīng)裝置(例如����,SGSN/MME(移 動(dòng)管理實(shí)體)和UE);以及圖3示出了本發(fā)明實(shí)施例的概況���。
具體實(shí)施方式
下面例如通過(guò)參考附圖的方式來(lái)介紹本發(fā)明的實(shí)施例���。值得注意的是,對(duì)于本說(shuō)明書(shū)�����,術(shù)語(yǔ)“加密密鑰/完整性密鑰��、密鑰集標(biāo)識(shí)符���、SGSN 和MME”是對(duì)“密鑰信息��、密鑰指示信息����、第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)絡(luò)實(shí)體”的示例,且并不將 后命名的術(shù)語(yǔ)限制成被施加到先命名的術(shù)語(yǔ)的特定技術(shù)或?qū)崿F(xiàn)細(xì)節(jié)�。圖1示出了根據(jù)本發(fā)明實(shí)施例的用于切換安全的方法。在水平方向上指示了元 件之間的信令��,而通過(guò)信令序列的垂直排列以及序列號(hào)來(lái)反映信令間的時(shí)間方面����。值得注 意的是,圖1示出的時(shí)間方面并不必然將所示的方法步驟的任意一步限制為所概述的步驟 序列��。這特別應(yīng)用于功能上彼此分離的方法步驟��,例如���,關(guān)于從SGSN到MME(例如�����,由于從 UTRAN/GERAN切換到E-UTRAN而導(dǎo)致的安全上下文轉(zhuǎn)移)發(fā)送/接收密鑰指示信息的可選 步驟可以在切換操作之前的任意時(shí)間執(zhí)行��,并且���,關(guān)于發(fā)送/接收指示了創(chuàng)建成功的響應(yīng) 的可選步驟可以在切換操作之前的任意時(shí)間執(zhí)行。如圖1中所示�����,通信網(wǎng)絡(luò)200可以包括用戶(hù)設(shè)備UE 201和網(wǎng)絡(luò)202����。網(wǎng)絡(luò)202進(jìn) 而可以包括第一網(wǎng)絡(luò)實(shí)體(在下文中稱(chēng)為“SGSN”)2021和第二網(wǎng)絡(luò)實(shí)體(在下文中稱(chēng)為 “MME”)2022。如圍繞SGSN 2021/MME 2022的功能模塊的虛線(xiàn)框所示出的那樣����,SGSN 2021 和MME 2022也可以被布置為集成的實(shí)體。在步驟S1-1����,例如,SGSN 2021可執(zhí)行在(例如����,如圖1中的粗虛線(xiàn)所示,在基于 UTRAN/GERAN的網(wǎng)絡(luò)202側(cè)和基于E-UTRAN的網(wǎng)絡(luò)202側(cè)之間的)切換操作之前�,生成與打 算創(chuàng)建的密鑰信息(例如����,將在UE 201中創(chuàng)建)相關(guān)聯(lián)的第一密鑰指示信息(例如�,第一 密鑰集標(biāo)識(shí)符KSI)。在步驟S1-2����,例如,SGSN 2021可執(zhí)行在切換操作之前��,將所生成的第一密鑰指 示信息(例如���,密鑰集標(biāo)識(shí)符)發(fā)送給例如UE 201���。在步驟S2-1,例如�����,UE 201可執(zhí)行同 樣在切換操作之前��,接收第一密鑰指示信息(例如���,KSI)�。接下來(lái),在步驟S2-2����,例如,UE 201可執(zhí)行在切換操作之前��,基于所接收到的第 一密鑰指示信息來(lái)創(chuàng)建密鑰信息(例如�����,加密密鑰CK和/或完整性密鑰IK)(例如��,基于所 接收到的KSI的CK����、IK)����。可選地�����,在步驟S2_2a��,例如,UE 201可執(zhí)行發(fā)送指示了創(chuàng)建成功的響應(yīng)����,并且, 在步驟Sl-2a����,例如,SGSN 2021可執(zhí)行接收響應(yīng)��?��?梢詫?shí)現(xiàn)對(duì)響應(yīng)的該傳輸��,以便為網(wǎng)絡(luò) 202提供關(guān)于UE 201當(dāng)前是否持有密鑰信息的信息�。在步驟S2-3��,例如��,UE 201可執(zhí)行保留所生成的密鑰信息(例如��,保留CK和/或IK以便稍后使用��,例如,在切換之后)��。 此外���,在不加以限制的情況下���,根據(jù)以下內(nèi)容可以對(duì)步驟Sl-1、Sl-2���、S2-1、S2_2 和S2-3進(jìn)行總結(jié)例如����,可以在沒(méi)有針對(duì)RNC的相關(guān)聯(lián)的SMC過(guò)程的情況下運(yùn)行(EAP-) AKA,從而使得例如可以在RNC中或在UTRAN/GERAN側(cè)上通過(guò)空中不使用所創(chuàng)建的CK和IK�����。值得注意的是��,在切換之前的任意時(shí)間��,可以在SGSN 2021和MME2022之間執(zhí)行關(guān) 于發(fā)送和接收密鑰指示信息(例如�����,KSI)的可選步驟,例如����,在SGSN 2021和MME 2021被布 置為分離實(shí)體的情況下(由圖1中SGSN 2021和MME 2022間的虛線(xiàn)箭頭示出)。反過(guò)來(lái)�, 也可以省略上述可選步驟,例如�,在SGSN 2021和MME 2021被布置為單個(gè)/組合實(shí)體的情 況下。舉例來(lái)說(shuō)��,這些可選步驟可以例如實(shí)現(xiàn)由于諸如從UTRAN/GERAN切換到E-UTRAN而 導(dǎo)致的安全上下文轉(zhuǎn)移的一部分����。在步驟S2-4,例如�����,UE 201可執(zhí)行在切換操作之后���,發(fā)送與在切換操作之前所創(chuàng) 建的密鑰信息(例如CK和/或IK)相關(guān)聯(lián)的所接收到的第一密鑰指示信息(例如KSI)�����。 在步驟S1-3���,例如�����,MME 2022可執(zhí)行在切換操作之后����,例如從UE 201接收第一密鑰指示 信息����,作為與所生成的第一密鑰指示信息(例如KSI)相對(duì)應(yīng)的第二密鑰生成信息(例如 KSI)。并且����,在步驟S2-5��,例如�,UE 201可執(zhí)行在切換操作之后,基于第一密鑰指示信 息(例如KSI)來(lái)檢索所保留的密鑰信息(例如CK和/或IK)�����。此外,在不加以限制的情況下�����,根據(jù)以下內(nèi)容可以對(duì)步驟S2-4�、S1-3和S2-5進(jìn)行 總結(jié)使用例如KSI來(lái)指明E-UTRAN密鑰的起源(例如,標(biāo)識(shí)例如在UE 201和MME 2022之 間使用的CK和IK)���。根據(jù)本發(fā)明方法的進(jìn)一步發(fā)展���,可以在第一網(wǎng)絡(luò)實(shí)體(例如像在基于UTRAN/ GERAN的網(wǎng)絡(luò)202側(cè)上的SGSN)和第二網(wǎng)絡(luò)實(shí)體(例如像在基于E-UTRAN的網(wǎng)絡(luò)202側(cè)上 的MME)之間執(zhí)行切換操作。另外�,可以由認(rèn)證和密鑰協(xié)商(AKA)協(xié)議和/或可擴(kuò)展認(rèn)證協(xié) 議(EAP)構(gòu)成詢(xún)問(wèn)/響應(yīng)協(xié)議。此外���,密鑰信息可以包括加密密鑰(CK)和完整性密鑰(IK) 中的至少一個(gè)�,并且第一和/或第二密鑰標(biāo)識(shí)信息可以包括密鑰集標(biāo)識(shí)符(KSI)���。根據(jù)與例如UE 201相關(guān)的方法的進(jìn)一步發(fā)展���,所述接收和所述創(chuàng)建中的至少一 個(gè)可以是詢(xún)問(wèn)/響應(yīng)協(xié)議(例如上述(EAP-)AKA協(xié)議)的一部分。另外����,所述保留可以包 括在SMC(安全模式命令)情況下進(jìn)行發(fā)配���。此外,UE 201可以進(jìn)一步執(zhí)行發(fā)送指示創(chuàng) 建成功的響應(yīng)���。根據(jù)與例如SGSN 2021/MME 2022相關(guān)的方法的進(jìn)一步發(fā)展�����,在切換操作之前的 所述生成和所述發(fā)送中的至少一個(gè)可以是詢(xún)問(wèn)/響應(yīng)協(xié)議(例如上述(EAP-)AKA協(xié)議)的 一部分�����。此外����,在切換操作之后的所述接收可以包括安全上下文轉(zhuǎn)移�����。圖2示出了根據(jù)本發(fā)明實(shí)施例的用于切換安全的相應(yīng)裝置(例如UE201和SGSN 2021/MME 2022)�。在圖2中����,為說(shuō)明情況�����,提供主要功能的部分用實(shí)線(xiàn)功能框和正常字體來(lái) 描述��,而提供可選功能的部分用虛線(xiàn)功能框和斜體字體來(lái)描述���。UE 201可以包括中央處理單元CPU或核心功能CF (在下文中稱(chēng)為“CPU”) 2011、存 儲(chǔ)器2012����、發(fā)送器Tx 2013、接收器Rx 2014�����、創(chuàng)建器2015�、保留器2016和檢索器2017。值 得注意的是�,發(fā)送器2013對(duì)于UE 201來(lái)說(shuō)還可以變成強(qiáng)制的,例如用于與SGSN 2021/MME 2022進(jìn)行數(shù)據(jù)通信�����。
SGSN 2021可以包括CPU(或核心功能CF) 20211、用于持有(例如由未示出的歸屬 用戶(hù)服務(wù)器所提供的)認(rèn)證矢量AV #1���,...AV #n的存儲(chǔ)器20212���、發(fā)送器Tx 20213、可選 的接收器Rx 20214�����,以及生成器20215����。MME 2022可以包括CPU 20221、存儲(chǔ)器20222�、可選 的發(fā)送器Tx 20223、接收器Rx 20224和生成器20225�。如CPU 2011和20211 ;20221功能 框的虛線(xiàn)外延部分(SGSN 2021/MME 2022的CPU 20211 ;20221)或虛線(xiàn)凹進(jìn)部分(UE 201 的CPU 2011)所指示的�����,生成器20215 ����;20225、創(chuàng)建器2015�、保留器2016和檢索器2017可 以是運(yùn)行在CPU 2011和20211 ;20221上的功能���,或者可選地��,可以是分離的功能實(shí)體或裝 置��。此外����,生成器20215和20225可以互換地被布置在SGSN 2021和MME 2022之間��,而不 管SGSN 2021和MME 2022是被布置為分離的實(shí)體或是單個(gè)/組合實(shí)體��。CPU 20xl(其中χ= 1�,21和22)可以被分別配置用于處理各種數(shù)據(jù)輸入和用于 控制存儲(chǔ)器20x2、發(fā)送器202x3和接收器20x4的功能(以及UE201的創(chuàng)建器2015�、保留器 2016 和檢索器 2017 及 SGSN 2021/MME 2022 的生成器 20215 ;20225)�����。當(dāng)運(yùn)行在 CPU 20x1 上時(shí)���,存儲(chǔ)器20x2可以分別進(jìn)行服務(wù)�����,例如用于存儲(chǔ)執(zhí)行諸如根據(jù)本發(fā)明的各個(gè)方法的代 碼裝置�����。值得注意的是�����,(可選的)發(fā)送器20x3和(可選的)接收器20x4可以替代地被 提供作為相應(yīng)的集成收發(fā)器(未示出)或作為分離的實(shí)體���。進(jìn)一步值得注意的是��,發(fā)送器 /接收器可以被實(shí)現(xiàn)i)作為用于例如通過(guò)空中接口進(jìn)行收發(fā)的物理發(fā)送器/接收器(例 如���,在UE 201的情況下),或者ii)作為例如用于在諸如PS(分組交換)網(wǎng)絡(luò)中發(fā)送/接收 數(shù)據(jù)分組的路由實(shí)體(例如��,在SGSN 2021和MME 2022 (當(dāng)被布置為分離的網(wǎng)絡(luò)實(shí)體時(shí)) 之間)��,或者iii)作為向/從給定存儲(chǔ)器區(qū)域?qū)懭?讀取信息的功能(舉例來(lái)說(shuō),在例如 SGSN 2021和MME 2022 (當(dāng)被布置為集成的網(wǎng)絡(luò)實(shí)體時(shí))的共享/公用CPU或存儲(chǔ)器的情 況下)�,或者iv)作為i)到iii)的任何適當(dāng)?shù)慕M合。此外����,如上所述��,如SGSN 2021和MME 2022的功能框之間以虛線(xiàn)連接所指示的那 樣��,值得注意的是�,SGSN 2021和MME 2022可以被實(shí)現(xiàn)為集成的/組合的實(shí)體。如果是那 樣的話(huà)�,CPU 20211,20221��、存儲(chǔ)器20212,20222���、(可選的)發(fā)送器20213��,20223和(可選 的)接收器20234,20244可以分別是公用和/或共享的資源����。因此����,舉例來(lái)說(shuō)��,SGSN 2021/MME 2022的生成器20215 ;20225例如結(jié)合CPU 20211 ��;20221可以被配置以便在切換操作之前(參見(jiàn)圖2中點(diǎn)劃線(xiàn)的左邊��,標(biāo)記為“在HO 之前”)���,生成與打算創(chuàng)建(例如,將被UE 201的生成器2015創(chuàng)建)的密鑰信息(例如���,CK和 /或IK)相關(guān)聯(lián)的第一密鑰指示信息(例如密鑰集標(biāo)識(shí)符KSI)���。可以從認(rèn)證矢量AV#1�����,...�, AV#n中公用的一個(gè)來(lái)創(chuàng)建密鑰集標(biāo)識(shí)符。并且���,例如��,SGSN 2021/MME 2022的發(fā)送器20213 �;20223可以被配置以便在切 換操作之前,發(fā)送由生成器20215 ��;20225生成的第一密鑰指示信息(例如�����,KSI)�。而后��,例 如�,UE 201的接收器2014可以被配置以便在切換操作之前,接收第一密鑰指示信息(例 如 KSI)��。例如�����,UE 201創(chuàng)建器2015可以被配置以便在切換操作之前���,基于接收器2014所 接收的第一密鑰指示信息來(lái)創(chuàng)建密鑰信息(例如CK和/或IK)(例如基于KSI的CK��,IK)��?��?蛇x地��,例如���,UE 201的發(fā)送器2013可以被配置以便發(fā)送指示成功創(chuàng)建第一密 鑰信息的響應(yīng)。并且�����,例如��,SGSN 2021的接收器20214可以被配置以便接收所述響應(yīng)�����?����??以實(shí)現(xiàn)對(duì)所述響應(yīng)的該傳輸�,以便為SGSN
2021并且隨后為MME 2022提供關(guān)于UE 201當(dāng)前是否持有第一密鑰信息的信息。然后����,例如��,UE 201的保留器2016可以被配置以便保留由創(chuàng)建器2015創(chuàng)建的密 鑰信息(例如�����,保留CK和/或IK用于稍后在切換操作之后的使用)�����。
此外�����,例如,UE 201的發(fā)送器2013可以進(jìn)一步被配置以便在切換操作之后���,發(fā)送 與在切換操作之前由創(chuàng)建器2015所創(chuàng)建的密鑰信息(例如CK和/或IK)相關(guān)聯(lián)的第一密 鑰指示信息(例如密鑰集標(biāo)識(shí)符KSI)��。因此����,例如�����,SGSN 2021/MME 2022的接收器20214 ; 20224可以進(jìn)一步被配置以便在切換操作之后(參見(jiàn)圖2中點(diǎn)劃線(xiàn)的右邊��,標(biāo)記為“在HO 之后”)����,接收(例如,來(lái)自UE 201的)第一密鑰指示信息�����,作為與由生成器20215 ����;20225所 生成的第一密鑰指示信息(例如,與例如在MME 2022中的相應(yīng)CK和/或IK相關(guān)的KSI) 相對(duì)應(yīng)的第二密鑰指示信息(例如�,與UE 203中所保留的CK和/或IK相關(guān)的KSI)。并且�����,例如�,UE 201的檢索器2017可以被配置以便在切換操作之后,基于密鑰指 示信息(例如KSI)來(lái)檢索由保留器2016所保留的密鑰信息(例如CK和/或IK)��。根據(jù)本發(fā)明的裝置(例如UE 201和SGSN 2021/MME 2022)的進(jìn)一步發(fā)展,可以在 第一網(wǎng)絡(luò)實(shí)體(例如�,在諸如基于UTRAN/GERAN的網(wǎng)絡(luò)202側(cè)上的SGSN)和第二網(wǎng)絡(luò)實(shí)體 (例如,在諸如基于E-UTRAN網(wǎng)絡(luò)202側(cè)上的MME)之間執(zhí)行切換操作����。另外,可以由認(rèn)證和 密鑰協(xié)商(AKA)協(xié)議和/或可擴(kuò)展認(rèn)證協(xié)議(EAP)-AKA來(lái)構(gòu)造詢(xún)問(wèn)/響應(yīng)協(xié)議�����。此外���,密 鑰信息可以包括加密密鑰(CK)和完整性密鑰(IK)中的至少一個(gè)���,并且第一和/或第二密 鑰標(biāo)識(shí)信息可以包括密鑰集標(biāo)識(shí)符(KSI)��。根據(jù)UE 201的示例進(jìn)一步發(fā)展���,可以配置接收器2014和創(chuàng)建器2015中的至少一 個(gè)以便執(zhí)行詢(xún)問(wèn)/響應(yīng)協(xié)議(例如���,上述(EAP)-AKA協(xié)議)的一部分。另外����,保留器2016 可以進(jìn)一步被配置以便在SMC(安全模式命令)的情況下進(jìn)行發(fā)配�����。最后�����,UE可以依從于 以下中的至少一個(gè)通用移動(dòng)電信系統(tǒng)陸地?zé)o線(xiàn)電接入網(wǎng)絡(luò)(UTRAN)�、全球移動(dòng)通信系統(tǒng) 增強(qiáng)型數(shù)據(jù)速率全球演進(jìn)無(wú)線(xiàn)電接入網(wǎng)絡(luò)(GERAN)和演進(jìn)型UTRAN�����。此外���,發(fā)送器2013可 以被配置以便發(fā)送指示第一密鑰信息創(chuàng)建成功的響應(yīng)����。根據(jù)SGSN 2021/MME 2022示例的進(jìn)一步發(fā)展�,可以配置生成器20215 ;20255和發(fā) 送器20213中的至少一個(gè)以便執(zhí)行詢(xún)問(wèn)/響應(yīng)協(xié)議(例如,上述(EAP)-AKA協(xié)議)的一部 分��。此外,可以將接收器20224配置為基于安全上下文轉(zhuǎn)移來(lái)進(jìn)行接收����。此外,可以進(jìn)一步 將接收器20214配置為接收上述響應(yīng)�。圖3示出了本發(fā)明的實(shí)施例的概況。根據(jù)所述概況��,步驟Sl可在沒(méi)有限制的情況下執(zhí)行下面的內(nèi)容例如���,(EAP-)AKA 可以在沒(méi)有針對(duì)RNC的相關(guān)聯(lián)的SMC過(guò)程的情況下運(yùn)行��,從而使得可以例如在RNC中或在 UTRAN/GERAN側(cè)上通過(guò)空中不使用所創(chuàng)建的CK和IK�����。更進(jìn)一步地�,步驟S2可在沒(méi)有限制的情況下執(zhí)行下面的內(nèi)容由于例如從UTRAN/ GERAN切換到E-UTRAN而導(dǎo)致的安全上下文轉(zhuǎn)移�����。最后�����,步驟S3可在沒(méi)有限制的情況下執(zhí)行下面的內(nèi)容使用例如KSI來(lái)指明 E-UTRAN密鑰的起源(例如�����,標(biāo)識(shí)例如在UE 201和MME 2022之間使用的CK和IK)�。此外,根據(jù)本實(shí)施方式的UE 201和/或SGSN 2021/MME 2022也可以被實(shí)現(xiàn)為芯 片集或模塊��。另外��,本實(shí)施方式還涉及可包括UE 201和SGSN 2021/MME 2022這兩者的系統(tǒng)���。
在不限制為本節(jié)以下細(xì)節(jié)的情況下���,本發(fā)明的實(shí)施例可以總結(jié)如下實(shí)施例可以在于在切換到E-UTRAN之前,在UTRAN/GERAN側(cè)上沒(méi)有安全模式命令 過(guò)程的情況下運(yùn)行(EAP-)AKA�,并且在E-UTRAN側(cè)上使用來(lái)自所運(yùn)行的(EAP-)AKA過(guò)程的這 些新生密鑰,而不是所使用的CK和IK��。在E-UTRAN側(cè)��,可以利用來(lái)自(EPA-) AKA過(guò)程的相 關(guān)聯(lián)的密鑰集標(biāo)識(shí)符(KSI)來(lái)標(biāo)識(shí)新生密鑰���。實(shí)施例還可以在于UE能夠使用KSI來(lái)指向E-UTRAN側(cè)上被高速緩存的密鑰�,而 不是來(lái)自UTRAN/GERAN SGSN的被轉(zhuǎn)移的密鑰(要么是舊的CK和IK,要么是基于在沒(méi)有SMC 情況下運(yùn)行的(EAP-)AKA的新生密鑰)���。實(shí)施例還可以在于MME中的E-UTRAN側(cè)安全上下文可被轉(zhuǎn)移到UTRAN/GERAN側(cè) (例如�,作為透明容器)����,所以,E-UTRAN側(cè)的MME不必為沒(méi)有依附的UE來(lái)高速緩存UE上下 文����。“高速緩存的”E-UTRAN(安全)上下文(例如��,會(huì)話(huà)密鑰����、計(jì)數(shù)器值、密鑰集標(biāo)識(shí)符�、UE 安全能力,等等)隨著UE從SGSN移動(dòng)到MME以及從MME移動(dòng)到SGSN�����。[更進(jìn)一步的實(shí)施方式]
按照上文中所描述的本發(fā)明的目的��,應(yīng)該注意的是-接入技術(shù)可以是通過(guò)其可使用戶(hù)設(shè)備能夠接入到接入網(wǎng)絡(luò)(或者相應(yīng)地��,基站) 的任何技術(shù)����。可以使用任何現(xiàn)有的或未來(lái)的技術(shù)�����,諸如WLAN(無(wú)線(xiàn)局域接入網(wǎng))�����、WiMAX(全 球微波接入互操作性)�����、藍(lán)牙����、紅外線(xiàn)等;雖然上述技術(shù)大部分是無(wú)線(xiàn)接入技術(shù)��,例如���,在不 同的無(wú)線(xiàn)電頻譜中�����,然而�,在本發(fā)明意義上的接入技術(shù)也意味著有線(xiàn)范圍的技術(shù),例如��,像 有線(xiàn)網(wǎng)絡(luò)或固定線(xiàn)路這樣的基于IP的接入技術(shù)��。-接入網(wǎng)可以是任何設(shè)備�����、單元或裝置����,通過(guò)上述接入網(wǎng),站臺(tái)實(shí)體或其它用戶(hù)設(shè) 備可以連接到由接入網(wǎng)提供的服務(wù)和/或利用由接入網(wǎng)提供的服務(wù)�����;這樣的服務(wù)尤其包 括數(shù)據(jù)和/或(音頻)可視通信���、數(shù)據(jù)下載等���。-一般地��,本發(fā)明適用于那些依賴(lài)基于數(shù)據(jù)分組的傳輸方案的網(wǎng)絡(luò)/用戶(hù)設(shè)備環(huán) 境����,根據(jù)所述傳輸方案�����,在數(shù)據(jù)分組中傳輸數(shù)據(jù)�,并且所述傳輸方案例如是基于因特網(wǎng)協(xié)議 IP的���。然而���,本發(fā)明并不限于此,并且任何其它現(xiàn)有的或未來(lái)的IP或移動(dòng)IP(MIP)版本��,或 者更一般地����,遵循與(M) IPv4/6類(lèi)似原理的協(xié)議同樣適用。-用戶(hù)設(shè)備可以是任何設(shè)備�、單元或裝置��,系統(tǒng)用戶(hù)通過(guò)上述用戶(hù)設(shè)備可以體驗(yàn)來(lái) 自接入網(wǎng)路的服務(wù)���。-可被當(dāng)作軟件代碼部分來(lái)實(shí)現(xiàn)并且在網(wǎng)絡(luò)元件上用處理器運(yùn)行的方法步驟是獨(dú) 立軟件代碼,并且只要保留方法步驟所定義的功能性�����,便可以使用任何已知的或未來(lái)開(kāi)發(fā) 的編程語(yǔ)言來(lái)指定所述方法步驟�����。-一般地����,在不改變本發(fā)明思想的情況下根據(jù)所實(shí)現(xiàn)的功能,任何方法步驟都適合 于被實(shí)現(xiàn)為軟件或通過(guò)硬件來(lái)實(shí)現(xiàn)���。-可能作為在用戶(hù)設(shè)備或基站處的硬件部件或其任何模塊來(lái)實(shí)現(xiàn)的方法步驟和/ 或設(shè)備��、單元或裝置是獨(dú)立于硬件的����,并且可以利用任何已知的或未來(lái)開(kāi)發(fā)的硬件技術(shù)或 任何這些技術(shù)的復(fù)合體來(lái)實(shí)現(xiàn)�����,諸如MOS (金屬氧化物半導(dǎo)體)、CM0S (互補(bǔ)MOS) ,BiMOS (雙 極MOS)��、BiCMOS (雙極CMOS)���、ECL (射極耦合邏輯)��、TTL (晶體管-晶體管邏輯),等��,使用 例如ASIC(專(zhuān)用IC(集成電路))組件�����、FPGA(現(xiàn)場(chǎng)可編程門(mén)陣列)組件�、CPLD(復(fù)雜可編程 邏輯器件)組件或DSP (數(shù)字信號(hào)處理器)組件;另外���,可能作為軟件組件實(shí)現(xiàn)的任何方法步驟和/或設(shè)備�、單元或裝置例如可基于能夠進(jìn)行認(rèn)證�����、授權(quán)、加密和/或業(yè)務(wù)保護(hù)的任意 安全架構(gòu)�,例如AKA和/或EAP-AKA。-設(shè)備���、單元或裝置(例如用戶(hù)設(shè)備和基站)可作為單個(gè)設(shè)備�、單元或裝置來(lái)實(shí)現(xiàn)����, 但這并不排除以貫穿系統(tǒng)的分布式方式來(lái)實(shí)現(xiàn)它們,只要保留設(shè)備���、單元或裝置的功能性�?�?s寫(xiě)詞 列表3GPP第三代合作伙伴計(jì)劃UE用戶(hù)設(shè)備MME移動(dòng)管理實(shí)體SGSN服務(wù)GPRS支持節(jié)點(diǎn)GPRS通用分組無(wú)線(xiàn)電業(yè)務(wù)UTRANUMTS陸地?zé)o線(xiàn)電接入網(wǎng)絡(luò)GSM全球移動(dòng)通信系統(tǒng)EDGE增強(qiáng)型數(shù)據(jù)速率全球演進(jìn)GERANGSM EDGE無(wú)線(xiàn)電接入網(wǎng)絡(luò)UMTS通用移動(dòng)電信系統(tǒng)EAP可擴(kuò)展認(rèn)證協(xié)議AKA認(rèn)證和密鑰協(xié)商SMC安全模式命令E-UTRAN演進(jìn)型 UTRANEPS演進(jìn)型分組系統(tǒng)KSI密鑰集標(biāo)識(shí)符CK加密密鑰IK完整性密鑰HSPA高速分組接入(或 HSUPA/HSPDA)
權(quán)利要求
一種方法��,其包括在切換操作之前����,接收第一密鑰指示信息;在所述切換操作之前�����,基于所接收的第一密鑰指示信息來(lái)創(chuàng)建密鑰信息;保留所創(chuàng)建的密鑰信息�����;在所述切換操作之后����,發(fā)送與在所述切換操作之前所創(chuàng)建的密鑰信息相關(guān)聯(lián)的所接收的第一密鑰指示信息;以及在所述切換操作之后�,基于所述第一密鑰指示信息來(lái)檢索所保留的密鑰信息。
2.根據(jù)權(quán)利要求1所述的方法���,其進(jìn)一步包括下述特征中的至少一個(gè) 發(fā)送指示創(chuàng)建成功的響應(yīng),所述切換操作是在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)路實(shí)體之間進(jìn)行的���, 以下中的至少一個(gè)是詢(xún)問(wèn)/響應(yīng)協(xié)議的一部分所述創(chuàng)建�,以及在所述切換操作之前 的所述接收����,由認(rèn)證和密鑰協(xié)商協(xié)議以及可擴(kuò)展認(rèn)證協(xié)議中的至少一個(gè)構(gòu)成所述詢(xún)問(wèn)/響應(yīng)協(xié)議, 所述保留包括在安全模式命令情況下進(jìn)行發(fā)配��, 所述密鑰信息包括加密密鑰和完整性密鑰中的至少一個(gè),以及 所述第一密鑰標(biāo)識(shí)信息包括密鑰集標(biāo)識(shí)符�����。
3.一種方法�,其包括在切換操作之前,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息�;在所述切換操作之前,發(fā)送所生成的第一密鑰指示信息��;以及在所述切換操作之后�����,接收與所生成的第一密鑰指示信息相對(duì)應(yīng)的第二密鑰指示信息�����、ο
4.根據(jù)權(quán)利要求3所述的方法���,其進(jìn)一步包括下述特征中的至少一個(gè) 接收指示創(chuàng)建成功的響應(yīng)���,所述切換操作是在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)路實(shí)體之間進(jìn)行的, 所述生成和所述發(fā)送中的至少一個(gè)是詢(xún)問(wèn)/響應(yīng)協(xié)議的一部分�����, 由認(rèn)證和密鑰協(xié)商協(xié)議以及可擴(kuò)展認(rèn)證協(xié)議中的至少一個(gè)構(gòu)成所述詢(xún)問(wèn)/響應(yīng)協(xié)議, 在所述切換操作之后的所述接收包括安全上下文轉(zhuǎn)移�,以及 所述第一和第二密鑰標(biāo)識(shí)信息中的至少一個(gè)包括密鑰集標(biāo)識(shí)符。
5.一種裝置��,其包括接收器�,其被配置以便在切換操作之前,接收第一密鑰指示信息����; 創(chuàng)建器,其被配置以便在所述切換操作之前���,基于由所述接收器接收的密鑰指示信息 來(lái)創(chuàng)建第一密鑰信息�;保留器���,其被配置以便保留由所述創(chuàng)建器創(chuàng)建的密鑰信息;發(fā)送器����,其被配置以便在所述切換操作之后,發(fā)送由所述接收器所接收的并且與在所 述切換操作之前由所述創(chuàng)建器創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息����;檢索器��,其被配置以便在所述切換操作之后���,基于所述第一密鑰指示信息來(lái)檢索由所 述保留器保留的密鑰信息。
6.根據(jù)權(quán)利要求5所述的裝置�,其進(jìn)一步包括下述特征中的至少一個(gè) 所述發(fā)送器被配置以便發(fā)送指示所述第一密鑰信息創(chuàng)建成功的響應(yīng);所述切換操作是在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)路實(shí)體之間進(jìn)行的���; 所述接收器和所述創(chuàng)建器中的至少一個(gè)被配置以便至少執(zhí)行詢(xún)問(wèn)/響應(yīng)協(xié)議的一部分���;由認(rèn)證和密鑰協(xié)商協(xié)議以及可擴(kuò)展認(rèn)證協(xié)議中的至少一個(gè)構(gòu)成所述詢(xún)問(wèn)/響應(yīng)協(xié)議; 所述保留器進(jìn)一步被配置以便在安全模式命令的情況下進(jìn)行發(fā)配�����; 所述密鑰信息包括加密密鑰和完整性密鑰中的至少一個(gè)��; 所述第一密鑰標(biāo)識(shí)信息包括密鑰集標(biāo)識(shí)符���; 所述裝置是用戶(hù)設(shè)備�;以及所述裝置依從于以下中的至少一個(gè)通用移動(dòng)電信系統(tǒng)陸地?zé)o線(xiàn)電接入網(wǎng)絡(luò)�����、全球移 動(dòng)通信系統(tǒng)增強(qiáng)型數(shù)據(jù)速率全球演進(jìn)無(wú)線(xiàn)電接入網(wǎng)絡(luò),以及演進(jìn)型通用移動(dòng)電信系統(tǒng)陸地 無(wú)線(xiàn)電接入網(wǎng)絡(luò)���。
7.一種裝置�����,其包括生成器��,其被配置以便在切換操作之前�����,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密 鑰指示信息���;發(fā)送器,其被配置以便在所述切換操作之前��,發(fā)送由所述生成器生成的第一密鑰指示 信息����;以及接收器�,其被配置以便在所述切換操作之后����,接收與由所述生成器生成的第一密鑰指 示信息相對(duì)應(yīng)的第二密鑰指示信息��。
8.根據(jù)權(quán)利要求7所述的裝置��,其進(jìn)一步包括下述特征中的至少一個(gè) 所述接收器被配置以便接收指示所述第一密鑰信息創(chuàng)建成功的響應(yīng)���; 所述切換操作是在第一網(wǎng)絡(luò)實(shí)體和第二網(wǎng)路實(shí)體之間進(jìn)行的���;所述生成器和所述發(fā)送器中的至少一個(gè)被配置以便執(zhí)行詢(xún)問(wèn)/響應(yīng)協(xié)議的一部分; 由認(rèn)證和密鑰協(xié)商協(xié)議以及可擴(kuò)展認(rèn)證協(xié)議中的至少一個(gè)構(gòu)成所述詢(xún)問(wèn)/響應(yīng)協(xié)議�; 所述接收器進(jìn)一步被配置以便基于安全上下文轉(zhuǎn)移進(jìn)行接收; 所述第一和第二密鑰標(biāo)識(shí)信息中的至少一個(gè)包括密鑰集標(biāo)識(shí)符�����;以及 所述裝置由服務(wù)通用分組無(wú)線(xiàn)電業(yè)務(wù)支持節(jié)點(diǎn)和移動(dòng)性管理實(shí)體中的至少一個(gè)構(gòu)成��。
9.一種裝置�����,其包括檢索器�����,所述檢索器被配置以便在切換操作之后,基于在所述切換操作之前所接收的 第一密鑰指示信息�����,檢索在所述切換操作之前保留的密鑰信息����。
10.一種裝置,其包括發(fā)送器����,所述發(fā)送器被配置以便在切換操作之前,發(fā)送第一密鑰指示信息����,所述第一 密鑰指示信息與打算創(chuàng)建的密鑰信息相關(guān)聯(lián),并且在所述切換操作之前生成���。
11.一種裝置���,其包括指示器,所述指示器被配置以便通過(guò)將相應(yīng)的密鑰集標(biāo)識(shí)符包括到針對(duì)目標(biāo)演進(jìn)型 節(jié)點(diǎn)B的切換確認(rèn)消息中,指示所選擇的上下文��,所選擇的上下文是映射的安全上下文和 高速緩存的安全上下文之一����,這取決于所述高速緩存的安全上下文是否存在�����。
12.一種裝置����,其包括插入器,所述插入器被配置以便取決于高速緩存的安全上下文是否存在��,將以下之一 插入到透明容器中與接入安全管理實(shí)體相關(guān)的密鑰集標(biāo)識(shí)符�����,以及與映射的安全上下文的服務(wù)通用分組無(wú)線(xiàn)電業(yè)務(wù)支持節(jié)點(diǎn)相關(guān)的密鑰集標(biāo)識(shí)符����。
13.一種裝置,其包括提供器�,所述提供器被配置以便取決于高速緩存的安全上下文是否存在于移動(dòng)性管 理實(shí)體中,連同與接入安全管理實(shí)體相關(guān)的密鑰集標(biāo)識(shí)符和與服務(wù)通用分組無(wú)線(xiàn)電業(yè)務(wù)支 持節(jié)點(diǎn)相關(guān)的密鑰集標(biāo)識(shí)符一起����,基于用于目標(biāo)演進(jìn)性節(jié)點(diǎn)B的高速緩存的安全上下文和 映射的安全上下文�����,提供與演進(jìn)型節(jié)點(diǎn)B相關(guān)的密鑰�����。
14.根據(jù)權(quán)利要求5��,7或9至13所述的裝置����,其中���,所述裝置被實(shí)現(xiàn)為芯片集或模塊�。
15.一種設(shè)備�����,其包括用于在切換操作之前接收第一密鑰指示信息的裝置�;用于在所述切換操作之前,基于由用于接收的裝置所接收的第一密鑰指示信息來(lái)創(chuàng)建 密鑰信息的裝置;用于保留由用于創(chuàng)建的裝置所創(chuàng)建的密鑰信息的裝置����;用于在所述切換操作之后,發(fā)送由用于接收的裝置所接收的并且與在所述切換操作之 前由用于創(chuàng)建的裝置所創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息的裝置�����;以及用于在所述切換操作之后��,基于所述第一密鑰指示信息來(lái)檢索由用于保留的裝置所保 留的密鑰信息的裝置����。
16.一種設(shè)備�,其包括用于在切換操作之前,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息的裝置�;用于在所述切換操作之前,發(fā)送由用于生成的裝置所生成的第一密鑰指示信息的裝 置��;以及用于在所述切換操作之后��,接收與用于生成的裝置所生成的密鑰指示信息相對(duì)應(yīng)的第 二密鑰指示信息的裝置��。
17.一種設(shè)備��,其包括用于在切換操作之后,基于在所述切換操作之前所接收的第一密鑰指示信息�,檢索在 所述切換操作之前所保留的密鑰信息的裝置。
18.一種設(shè)備��,其包括用于在切換操作之前����,發(fā)送第一密鑰指示信息的裝置,所述第一密鑰指示信息與打算 創(chuàng)建的密鑰信息相關(guān)聯(lián)���,并且在所述切換操作之前生成���。
19.一種設(shè)備,其包括用于通過(guò)將相應(yīng)的密鑰集標(biāo)識(shí)符包括到針對(duì)目標(biāo)演進(jìn)型節(jié)點(diǎn)B的切換確認(rèn)消息中來(lái) 指示所選擇的上下文的裝置�����,所選擇的上下文是高速緩存的安全上下文和映射的安全上下 文之一����,這取決于所述高速緩存的安全上下文是否存在。
20.一種設(shè)備����,其包括用于取決于高速緩存的安全上下文是否存在���,將以下中的一個(gè)插入到透明容器中的裝 置與接入安全管理實(shí)體相關(guān)的密鑰集標(biāo)識(shí)符,以及與映射的安全上下文的服務(wù)通用分組 無(wú)線(xiàn)電業(yè)務(wù)支持節(jié)點(diǎn)相關(guān)的密鑰集標(biāo)識(shí)符�����。
21.一種設(shè)備�����,其包括用于取決于高速緩存的安全上下文是否存在于移動(dòng)性管理實(shí)體中��,連同與接入安全管理實(shí)體相關(guān)的密鑰集標(biāo)識(shí)符和與服務(wù)通用分組無(wú)線(xiàn)電業(yè)務(wù)支持節(jié)點(diǎn)相關(guān)的密鑰集標(biāo)識(shí)符 一起��,基于用于目標(biāo)演進(jìn)型節(jié)點(diǎn)B的高速緩存的安全上下文和映射的安全上下文��,提供與 演進(jìn)型節(jié)點(diǎn)B相關(guān)的密鑰的裝置�����。
22.一種包括代碼裝置的計(jì)算機(jī)程序產(chǎn)品�����,所述代碼裝置被配置以便執(zhí)行包括以下內(nèi) 容的方法在切換操作之前��,接收第一密鑰指示信息���;在所述切換操作之前��,基于所接收的第一密鑰指示信息來(lái)創(chuàng)建密鑰信息�; 保留所創(chuàng)建的密鑰信息�;在所述切換操作之后,發(fā)送與在所述切換操作之前所創(chuàng)建的密鑰信息相關(guān)聯(lián)的所接收 的第一密鑰指示信息���;以及在所述切換操作之后�,基于所述第一密鑰指示信息來(lái)檢索所保留的密鑰信息�����。
23.根據(jù)權(quán)利要求22所述的計(jì)算機(jī)程序產(chǎn)品���,其中���,所述計(jì)算機(jī)程序產(chǎn)品體現(xiàn)在計(jì)算 機(jī)可讀介質(zhì)上。
24.一種包括代碼裝置的計(jì)算機(jī)程序產(chǎn)品���,所述代碼裝置被配置以便執(zhí)行包括以下內(nèi) 容的方法在切換操作之前��,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息�����;在所述切換操作之前�,發(fā)送所生成的第一密鑰指示信息;以及在所述切換操作之后�,接收與所生成的第一密鑰指示信息相對(duì)應(yīng)的第二密鑰指示信息ο
25.根據(jù)權(quán)利要求24所述的計(jì)算機(jī)程序產(chǎn)品,其中���,所述計(jì)算機(jī)程序產(chǎn)品體現(xiàn)在計(jì)算 機(jī)可讀介質(zhì)上���。
全文摘要
公開(kāi)了一種方法,其包括在切換操作之前��,接收第一密鑰指示信息����;在所述切換操作之前��,基于所接收的第一密鑰指示信息來(lái)創(chuàng)建密鑰信息��;保留所創(chuàng)建的密鑰信息�����;在所述切換操作之后,發(fā)送與在所述切換操作之前所創(chuàng)建的密鑰信息相關(guān)聯(lián)的所接收的第一密鑰指示信息�;以及在所述切換操作之后,基于所述第一密鑰指示信息來(lái)檢索所保留的密鑰信息���;以及一種方法�,其包括在切換操作之前���,生成與打算創(chuàng)建的密鑰信息相關(guān)聯(lián)的第一密鑰指示信息��;在所述切換操作之前���,發(fā)送所生成的第一密鑰指示信息;以及在所述切換操作之后�����,接收與所生成的第一密鑰指示信息相對(duì)應(yīng)的第二密鑰指示信息��。
文檔編號(hào)H04L29/06GK101889423SQ200880119761
公開(kāi)日2010年11月17日 申請(qǐng)日期2008年12月8日 優(yōu)先權(quán)日2007年12月19日
發(fā)明者D·L·A·福斯貝里, P·V·尼米 申請(qǐng)人:諾基亞公司