專利名稱:用于將增強型安全性上下文從基于utran的服務網絡轉移到基于geran的服務網絡的裝置 ...的制作方法
用于將增強型安全性上下文從基于UTRAN的服務網絡轉移到基于GERAN的服務網絡的裝置及方法
背景
相關申請的交叉引用
本申請要求2010年4月16日提交的美國臨時申請No. 61/325,001的權益���,該申請通過援引納入于此���。
領域
本發(fā)明一般涉及在通用移動電信業(yè)務(UMTS)和/或GSM EDGE無線電接入網 (GERAN)中工作的用戶裝備的增強型安全性上下文。
背景
UMTS第三代(3G)無線電接入網中或使用3G AKA (認證和密鑰協(xié)定)認證的GERAN 網絡中成功的AKA認證導致用于保護用戶裝備(UE)與網絡之間的通信的一對共享密鑰�,即密碼密鑰(CK)和完整性密鑰(IK)。這些共享密鑰可以如在UTRAN (UMTS地面無線電接入網)情形中那樣直接被用來保護UE與網絡之間的話務����,或者可被用來靜態(tài)地推導密鑰���,例如 GERAN (GSM EDGE無線電接入網)情形中的Kc或Kci28。
泄密的密鑰可能導致嚴重的安全性問題���,直至這些密鑰在下一次AKA認證時被改變�����。典型情況下��,由于所需要的大量開銷�����,因而AKA認證并不經常運行���。另外���,如果這兩個密鑰(CK和IK)均被泄密��,那么GERAN密鑰就被泄密�����。
在UMTS/HSPA (高速分組接入)部署中��,無線電網絡控制器(RNC)和B節(jié)點的功能性中的一些或全部可被折疊到一起成為網絡邊緣處的一個節(jié)點����。RNC需要用于諸如用戶面密碼化和信令面密碼化以及完整性保護之類的功能性的密鑰。然而�,RNC功能性可能被部署在 曝露的位置中,諸如在UMTS毫微微蜂窩小區(qū)內的家用B節(jié)點中��。相應地�����,部署在可能不安全的位置中的提供接入(包括物理接入)的RNC功能性可能允許這些密鑰(即CK和IK) 被泄密�。
會話密鑰(CK和IK的修改版本)可被用來降低與曝露的RNC功能性相關聯(lián)的安全性風險。在美國專利申請公開NO.US2007/0230707A1中公開了用于提供此類會話密鑰的技術����。
遺憾的是,此類會話密鑰的使用需要對服務網絡進行升級修改���。然而����,網絡運營商有可能以分階段的方式來升級服務網絡。
因此���,需要用于將增強型安全性上下文支持從基于UTRAN的服務網絡轉移到基于 GERAN的服務網絡的技術��。
概述
本發(fā)明的一方面可在于一種用于將第一安全性上下文從第一類型的服務網絡轉移到第二類型的服務網絡的方法��。在該方法中�,遠程站根據第一安全性上下文使用第一信息元素并使用與第一安全性上下文相關聯(lián)的根密鑰來生成第一會話密鑰和第二會話密鑰���。 遠程站從第一類型的服務網絡接收第一消息�。該第一消息包括向該遠程站信令通知生成與第二類型的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素�����。遠程站響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會話密鑰來生成第三會話密鑰和第四會話密鑰�����。遠程站基于第三會話密鑰和第四會話密鑰來保護第二類型的服務網絡上的無線通信��。
在本發(fā)明的更詳細方面��,第一信息元素可包括計數(shù)值����。第一安全性上下文可以是具有不受第二安全性上下文支持的安全性特性的增強型安全性上下文。第一類型的服務網絡可以是基于UTRAN的服務網絡����,而第二類型的服務網絡可以是基于GERAN的服務網絡。替換地�����,第一類型的服務網絡可以是基于GERAN的服務網絡�����,而第二類型的服務網絡可以是基于UTRAN的服務網絡����。另外,遠程站可包括移動用戶裝備�。
本發(fā)明的另一方面可在于一種遠程站,該遠程站可包括用于根據第一安全性上下文使用第一信息元素并使用與第一安全性上下文相關聯(lián)的根密鑰來生成第一會話密鑰和第二會話密鑰的裝置�;用于從基于第一類型的服務網絡接收第一消息的裝置,其中該第一消息包括向該遠程站信令通知生成與第二類型的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素��;用于響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會話密鑰來生成第三會話密鑰和第四會話密鑰的裝置;以及用于基于第三會話密鑰和第四會話密鑰來保護第二類型的服務網絡上的無線通信的裝置�����。
本發(fā)明的另一方面可在于一種可包括處理器的遠程站��,該處理器被配置成根據第一安全性上下文使用第一信息元素并使用與第一安全性上下文相關聯(lián)的根密鑰來生成第一會話密鑰和第二會話密鑰���;從第一類型的服務網絡接收第一消息��,其中該第一消息包括向該遠程站信令通知生成與第二類型的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素���;響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會話密鑰來生成第三會話密鑰和第四會話密鑰;以及基于第三會話密鑰和第四會話密鑰來保護第二類型的服務網絡上的無線通信��。
本發(fā)明的另一方面可在于一種包括計算機可讀存儲介質的計算機程序產品����,該計算機可讀存儲介質包括用于使計算機根據第一安全性上下文使用第一信息元素并使用與第一安全性上下文相關聯(lián)的根密鑰來生成第一會話密鑰和第二會話密鑰的代碼;用于使計算機從第一類型的服務網絡接收第一消息的代碼��,其中該第一消息包括向該遠程站信令通知生成與第二類型的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素����;用于使計算機響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會話密鑰來生成第三會話密鑰和第四會話密鑰的代碼���;以及用于使計算機基于第三會話密鑰和第四會話密鑰來保護第二類型的服務網絡上的無線通信的代碼�����。
附圖簡述
圖1是無線通信系統(tǒng)的示例的框圖�。
圖2是根據UMTS/UTRAN架構的無線通信系統(tǒng)的示例的框圖。
圖3是根據GERAN架構的無線通信系統(tǒng)的示例的框圖��。
圖4是用于將增強型安全性上下文支持從基于UTRAN的服務網絡轉移到基于 GERAN的服務網絡的方法的流程圖����。
圖5是用于基于附連請求消息來建立遠程站與服務網絡之間的增強型安全性上下文的方法的流程圖。
圖6是用于基于服務請求消息從遠程站與服務網絡之間的增強型安全性上下文建立至少一個會話密鑰的方法的流程圖���。
圖7是用于基于路由區(qū)域更新請求消息從遠程站與服務網絡之間的增強型安全性上下文建立至少一個會話密鑰的方法的流程圖�。
圖8是包括處理器和存儲器的計算機的框圖�。
圖9是用于將增強型安全性上下文支持從基于UTRAN的服務網絡轉移到基于 GERAN的服務網絡的方法的流程圖。
詳細描述
措辭“示例性”在本文中用于表示“用作示例��、實例或解說”�。本文中描述為“示例性”的任何實施例不必被解釋為優(yōu)于或勝過其他實施例。
參照圖2到圖4,本發(fā)明的一方面可在于用于將增強型安全性上下文從基于UTRAN 的服務網絡230轉移到基于GERAN的服務網絡230’的方法400中��。在該方法中�����,遠程站 210根據增強型安全性上下文使用增強型安全性上下文根密鑰和第一信息元素來生成第一會話密鑰和第二會話密鑰(步驟410)����。遠程站從基于UTRAN的服務網絡接收第一消息(步驟 420)。該第一消息包括向該遠程站信令通知生成與基于GERAN的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素�。遠程站響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會 話密鑰來生成第三會話密鑰和第四會話密鑰(步驟430)。遠程站基于第三會話密鑰和第四會話密鑰來保護基于GERAN的服務網絡上的無線通信(步驟440)�����。
第一信息元素可包括計數(shù)���。另外�����,遠程站可包括諸如無線設備之類的移動用戶裝備(UE)�。
進一步參照圖8����,本發(fā)明的另一方面可在于遠程站210�,該遠程站210可包括用于根據增強型安全性上下文使用增強型安全性上下文根密鑰和第一信息元素來生成第一會話密鑰和第二會話密鑰的裝置(處理器810);用于從基于UTRAN的服務網絡接收第一消息的裝置�����,其中該第一消息包括向該遠程站信令通知生成與基于GERAN的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素����;用于響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會話密鑰來生成第三會話密鑰和第四會話密鑰的裝置�;以及用于基于第三會話密鑰和第四會話密鑰來保護基于GERAN的服務網絡上的無線通信的裝置。
本發(fā)明的另一方面可在于可包括處理器810的遠程站210����,該處理器810被配置成根據增強型安全性上下文使用增強型安全性上下文根密鑰和第一信息元素來生成第一會話密鑰和第二會話密鑰;從基于UTRAN的服務網絡接收第一消息�,其中該第一消息包括向遠程站信令通知生成與基于GERAN的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素;響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會話密鑰來生成第三會話密鑰和第四會話密鑰����;以及基于第三會話密鑰和第四會話密鑰來保護基于 GERAN的服務網絡上的無線通信。
本發(fā)明的另一方面可在于包括計算機可讀存儲介質820的計算機程序產品��,該計算機可讀存儲介質820包括用于使計算機800根據增強型安全性上下文使用增強型安全性上下文根密鑰和第一信息元素來生成第一會話密鑰和第二會話密鑰的代碼�;用于使計算機從基于UTRAN的服務網絡接收第一消息的代碼,其中該第一消息包括向該遠程站信令通知生成與基于GERAN的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素;用于使計算機響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會話密鑰來生成第三會話密鑰和第四會話密鑰的代碼���;以及用于使計算機基于第三會話密鑰和第四會話密鑰來保護基于GERAN的服務網絡上的無線通信的代碼�����。
服務核心網230連接至向遠程站210提供無線通信的服務RAN (無線電接入網) 220����。在UMTS/UTRAN架構中�����,服務RAN包括B節(jié)點和RNC(無線電網絡控制器)����。在GERAN架構中,服務RAN包括BTS (基收發(fā)機站)和BSC (基站控制器)�����。服務核心網包括用于提供電路交換(CS)服務的MSC/VLR (移動交換中心/訪客位置寄存器)和用于提供分組交換(PS) 服務的SGSN (服務GPRS支持節(jié)點)��。歸屬網絡包括HLR (歸屬位置寄存器)和AuC (認證中心)���。
可以用新的安全性特性來增強UE210和服務核心網230以使用COUNT (計數(shù)器值) 來創(chuàng)建增強型UMTS安全性上下文(ESC)�。當AKA認證被執(zhí)行時,可以從CK和IK推導用于 ESC的256位根密鑰(KASMEU)���。根密鑰可被設為等于CK| IIK�,或者可使用導致附加的有用安全性特性(例如��,CK和IK不需要被保持)的更復雜的推導來推導根密鑰�����。COUNT可以是在 UE與服務核心網之間維護的16位計數(shù)器值��。注意舊式UTRAN安全性上下文由KSI (3位密鑰集標識符)�、CK (128位加密密鑰)和IK (128位完整性密鑰)構成�����。
GERAN PS服務與UMTS/UTRAN PS服務的不同之處在于被用來保護話務的安全性貫穿空閑模式始終存在����。這意味著,如果希望對每個活躍會話有新鮮的UMTS密鑰����,那么就需要增強����。UTRAN向GERAN的切換(HO)可以按獨立于被用來確定會話密鑰的方法的方式進行����。UE和SGSN共享包括以下參數(shù)的增強型安全性上下文作為密鑰集標識符并且目前也在UMTS/GERAN中使用的KSI (也被稱為CKSN),以及作為用于安全性上下文的256位根密鑰的KASMEU�。從根密鑰Kasmeu并且可能地從在UE與SGSN之間交換的參數(shù)可以演算會話密鑰集CKs和IKs。在切換時�,源SGSN向目標SGSN傳遞會話密鑰CKs和IKs以及根密鑰KASMEU。
支持ESC的目標SGSN從根密鑰Kasmeu和舊的會話密鑰CKs和IKs以及可能地一些附加信息來演算新的會話密鑰CKs和IKS���。目標SGSN在作為切換信令(例如�,用于PS HO的 NAS容器集)的一部分發(fā)送的參數(shù)中向UE指示新的會話密鑰已被演算出并可能包括由SGSN 使用的對于UE而言尚不知曉的附加信息�����,并且UE執(zhí)行相同的演算以得到這些新的會話密鑰CKs和IKS�。相應地,當UE返回到UMTS/UTRAN時���,舊的會話密鑰將不被使用���。
參照圖5���,在與UMTS附連規(guī)程有關的方法500中,UE210可在UMTS附連請求消息中信令通知該UE210支持ESC (步驟510)�。支持信令可以是該消息中新信息元素(IE)的存在。該IE可包括計數(shù)值��。不支持ESC的服務網絡SN230將忽略該新IE����。從HLR/AuC240獲得認證數(shù)據(RAND, XRES, CK, IK, AUTN)(步驟515)。SN可在對UE的AKA質詢(認證請求)中指示ESC支持(步驟520)�����。UE執(zhí)行認證規(guī)程(步驟525)并向SN返回響應RES (步驟530)���。 一旦成功認證(步驟530),UE和SN就推導根密鑰Kasmeu和會話密鑰CKs和IKs (步驟535)����。 SN在SMC (安全性模式命令)消息中向RAN220轉發(fā)這些會話密鑰(步驟540)。RAN使用會話密鑰IKs來生成消息認證碼(MAC)��,該MAC在SMC消息中被轉發(fā)給UE(步驟545)。UE使用該UE推導出的會話密鑰IKs來檢查該MAC (步驟550)�����,并向RAN返回完成指示(步驟555)���, 該RAN向SN轉發(fā)該完成指示(步驟560)�����。UE隨后能夠使用這些會話密鑰來保護通信(步驟 565)��。
參照圖6�����,在與空閑至活躍模式規(guī)程600有關的方法600中�����,UE210向SN230轉發(fā)包括計數(shù)值的服務請求消息(步驟610)���。UE和SN從根密鑰Kasmeu推導新的會話密鑰CKs和 IKs (步驟620)。SN在SMC消息中向RAN220轉發(fā)這些會話密鑰(步驟630)����。RAN生成MAC�����, 該MAC在SMC消息中被轉發(fā)給UE (步驟640)���。UE檢查該MAC (步驟650)并向RAN返回完成指示(步驟660),該RAN向SN轉發(fā)該完成指示(步驟670)�。UE隨后能夠使用這些會話密鑰來保護通信(步驟680)。
參照圖7��,在與移動性管理規(guī)程700 (諸如路由區(qū)域更新(RAU)或位置區(qū)域更新 (LAU))有關的方法700中�����,UE210向SN230轉發(fā)包括計數(shù)值的RAU (或LAU)請求消息(步驟 710)�。可任選地���,UE和SN可從根密鑰Kasmeu推導新的會話密鑰CKs和IKs (步驟720)。SN 可在SMC消息中向RAN220轉發(fā)這些會話密鑰(步驟730)���。RAN可生成MAC����,該MAC可在SMC 消息中被轉發(fā)給UE (步驟740)。UE可檢查該MAC (步驟750)�,并可向RAN返回完成指示 (步驟760),該RAN向SN轉發(fā)該完成指示(步驟770)�。SN隨后向UE發(fā)送RAU接受消息(步驟780)。UE隨后能夠使用這些會話密鑰來保護通信��。
可以為從空閑向活躍狀態(tài)的每個轉移生成新的接入階層(AS)密鑰���。類似地�����,可以在其他事件發(fā)生時生成密鑰���。可以在空閑移動性消息中和在初始的層3消息(例如��,用于空閑����、移動性、或服務請求的附連、RAU���、LAU)中發(fā)送計數(shù)值���。SN可檢查所發(fā)送的計數(shù)值在之前尚未被使用過,并在該過程中更新存儲著的計數(shù)值�����。如果計數(shù)值是新的(例如�����,接收到的計數(shù)值 > 存儲著的計數(shù)值)��,那么UE和SN使用諸如HMAC-SHA256之類的密鑰推導函數(shù)(KDF) 從根密鑰Kasmeu和所發(fā)送的計數(shù)值來著手演算新的密鑰CKs和IKS�����。KDF可包括關于新密鑰演算的諸如RAN節(jié)點身份之類的附加信息����。如果檢查失敗(計數(shù)值不是新的),那么SN拒絕該消息�����。對于GERAN使用���,在從CKs和IKs演算K��。和Ka28時�,該演算可以按與在從CK和IK 演算K��。和Ka28時相同的方式進行�����。
會話密鑰(CKs和IKs)可具有壽命�����,以使得UE和服務網絡保持并使用這些會話密鑰����,直至存儲這些密鑰以在UE與網絡之間安全地發(fā)送話務不再是必需的(UE移至空閑模式)或者在后續(xù)事件(例如,AKA認證或移動性事件)發(fā)生時創(chuàng)建了新的上下文����。
參照圖9,本發(fā)明的一方面可在于用于將增強型安全性上下文從基于UTRAN的服務網絡230 (第一類型的服務網絡)轉移到基于GERAN的服務網絡230’(第二類型的服務網絡)的方法900。在該方法中�,遠程站210根據增強型安全性上下文使用增強型安全性上下文根密鑰(諸如Kasmeu)和第一信息元素IEl (諸如計數(shù)值)來生成第一會話密鑰和第二會話密鑰CKsa和IKsa (步驟910)。在切換時��,基于UTRAN的服務網絡230可向基于GERAN的服務網絡230’傳遞會話密鑰CKsa和IKsa以及根密鑰Kasmeu (步驟920)���?��;贕ERAN的服務網絡的包括第二信息元素IE2的響應向基于UTRAN的服務網絡告知該基于UTRAN的服務網絡可以將遠程站切換到基于該GERAN的服務網絡(步驟930)。遠程站從基于UTRAN的服務網絡接收第一消息(步驟940)����。該第一消息包括向該遠程站信令通知生成與基于GERAN的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰CKsb和IKsb的第二信息元素IE2。遠程站響應于第一消息而使用第二信息元素以及第一會話密鑰及第二會話密鑰來生成第三會話密鑰和第四會話密鑰(步驟950)����。對于GERAN使用,在從CKsb和IKsb演算K�����。和Ka28時���,該演算可以按與在從CK和IK演算K����。和Ka28時相同的方式進行(步驟960)。遠程站基于第三會話密鑰和第四會話密鑰來保護基于GERAN的服務網絡上的無線通信(步驟970)�。在本發(fā)明的另一方面�����,第一類型的服務網絡可以是基于GERAN的服務網絡�����,而第二類型的服務網絡可以是基于UTRAN的服務網絡���。
再次參照圖8���,遠程站210可包括計算機800,該計算機包括諸如存儲器之類的存儲介質820�����、顯示器830��、以及諸如鍵盤之類的輸入設備840����。該裝置可包括無線連接850����。
參照圖1�,無線遠程站(RS)102 (或UE)可以與無線通信系統(tǒng)100的一個或更多個基站(BS) 104通信。無線通信系統(tǒng)100可進一步包括一個或更多個基站控制器(BSC) 106���、 以及核心網108����。核心網可經由合適的回程連接至因特網110和公共交換電話網(PSTN) 112�����。典型的無線移動站可包括手持式電話或膝上型計算機���。無線通信系統(tǒng)100可以采用數(shù)種多址技術中的任何一種���,諸如碼分多址(⑶MA)、時分多址(TDMA)����、頻分多址(FDMA)�、空分多址(SDMA)�����、極分多址(PDMA)�、或其他本領域中所知的調制技術。
無線設備102可包括基于由無線設備傳送或在無線設備處接收到的信號來執(zhí)行諸功能的各種組件��。例如�,無線頭戴式送受話器可包括適配成基于經由接收機接收到的信號提供音頻輸出的換能器�。無線手表可包括適配成基于經由接收機接收到的信號提供指示的用戶接口。無線感測設備可包括適配成提供要傳送給另一設備的數(shù)據的傳感器����。
無線設備可經由一條或更多條無線通信鏈路通信,這些無線通信鏈路基于或以其他方式支持任何合適的無線通信技術����。例如,在一些方面���,無線設備可與網絡相關聯(lián)����。在一些方面,網絡可包括體域網或個域網(例如�,超寬帶網絡)。在一些方面����,網絡可包括局域網或廣域網。無線設備可支持或以其他方式使用各種無線通信技術�����、協(xié)議���、或標準——諸如舉 例而言CDMA�、TDMA����、0FDM、0FDMA����、WiMAX和W1-F1-中的一種或更多種。類似地,無線設備可支持或以其他方式使用各種相應調制或復用方案中的一種或更多種���。無線設備由此可包括用于使用以上或其他無線通信技術建立一條或更多條無線通信鏈路并經由這一條或更多條無線通信鏈路來通信的恰適組件(例如���,空中接口)��。例如����,設備可包括具有相關聯(lián)的發(fā)射機和接收機組件(例如�����,發(fā)射機和接收機)的無線收發(fā)機��,這些發(fā)射機和接收機組件可包括促成無線介質上的通信的各種組件(例如�,信號發(fā)生器和信號處理器)����。
本文中的教示可被納入各種裝置(例如,設備)中(例如����,實現(xiàn)在其內或由其執(zhí)行)。例如�����,本文示教的一個或更多個方面可被納入到電話(例如,蜂窩電話)�、個人數(shù)字助理(“PDA”)、娛樂設備(例如���,音樂或視頻設備)����、頭戴式送受話器(例如����,聽筒、耳機等)���、麥克風�、醫(yī)療設備(例如�����,生物測定傳感器��、心率監(jiān)視器���、計步器�����、EKG設備等)��、用戶I/O設備(例如�����,手表�、遙控器、照明開關�、鍵盤、鼠標等)����、輪胎氣壓監(jiān)視器����、計算機、銷售點(POS)設備�、娛樂設備、助聽器����、機頂盒�����、或任何其它合適設備中�����。
這些設備可具有不同功率和數(shù)據需求��。在一些方面中�,本文中的教示可適配成用在低功率應用中(例如����,通過使用基于脈沖的信令方案和低占空比模式),并且可支持各種數(shù)據率��,包括相對高的數(shù)據率(例如�,通過使用高帶寬脈沖)。
在一些方面�,無線設備可包括通信系統(tǒng)的接入設備(例如,W1-Fi接入點)�。此類接入設備可提供例如經由有線或無線通信鏈路至另一網絡(例如,諸如因特網或蜂窩網絡等廣域網)的連通性���。因此�����,接入設備可使得另一設備(例如����,W1-Fi站)能接入該另一網絡或某個其他功能。此外應領會�,這些設備中的一者或其兩者可以是便攜式的,或者在一些情形中為相對非便攜式的����。
本領域技術人員將可理解,信息和信號可使用各種不同技術和技藝中的任何技術和技藝來表示�。例如,以上描述通篇引述的數(shù)據����、指令、命令���、信息、信號�、位、碼元、和碼片可由電壓����、電流、電磁波���、磁場或磁粒子����、光場或光學粒子����、或其任何組合來表不。
本領域技術人員將進一步領會��,結合本文中所公開的實施例來描述的各種說明性邏輯塊���、模塊���、電路、和算法步驟可實現(xiàn)為電子硬件���、計算機軟件��、或這兩者的組合�。為清楚地解說硬件與軟件的這一可互換性,各種解說性組件����、框、模塊����、電路、和步驟在上面是以其功能性的形式作一般化描述的��。此類功能性是被實現(xiàn)為硬件還是軟件取決于具體應用和施加于整體系統(tǒng)的設計約束�。技術人員對于每種特定應用可用不同的方式來實現(xiàn)所描述的功能性,但這樣的實現(xiàn)決策不應被解讀成導致脫離了本發(fā)明的范圍�。
結合本文所公開的實施例描述的各種說明性邏輯塊、模塊���、和電路可用通用處理器���、數(shù)字信號處理器(DSP)、專用集成電路(ASIC)����、現(xiàn)場可編程門陣列(FPGA)或其它可編程邏輯器件�、分立門或晶體管邏輯����、分立硬件組件����、或其設計成執(zhí)行本文所描述功能的任何組合來實現(xiàn)或執(zhí)行。通用處理器可以是微處理器����,但在替換方案中,處理器可以是任何常規(guī)處理器��、控制器�����、微控制器����、或狀態(tài)機。處理器還可以被實現(xiàn)為計算設備的組合��,例如DSP與微處理器的組合�����、多個微處理器、與DSP核心協(xié)作的一個或更多個微處理器�����、或任何其他此類配置���。
結合本文中公開的實施例描述的方法或算法的步驟可直接在硬件中���、在由處理器執(zhí)行的軟件模塊中、或在這兩者的組合中實施�。軟件模塊可駐留在RAM存儲器、閃存����、ROM存儲器、EPROM存儲器����、EEPROM存儲器、寄存器��、硬盤、可移動盤����、CD-ROM、或本領域中所知的任何其他形式的存儲介質中���。示例性存儲介質耦合到處理器以使得該處理器能從/向該存儲介質讀取和寫入信息。在替換方案中����,存儲介質可以被整合到 處理器。處理器和存儲介質可駐留在ASIC中��。ASIC可駐留在用戶終端中�。在替換方案中,處理器和存儲介質可作為分立組件駐留在用戶終端中��。
在一個或更多個示例性實施例中��,所描述的功能可在硬件�����、軟件�����、固件或其任何組合中實現(xiàn)。如果在軟件中實現(xiàn)為計算機程序產品����,則各功能可以作為一條或更多條指令或代碼存儲在計算機可讀介質上或藉其進行傳送。計算機可讀介質包括計算機存儲介質和通信介質兩者���,其包括促成計算機程序從一地向另一地轉移的任何介質�����。存儲介質可以是能被計算機訪問的任何可用介質����。作為示例而非限定���,這樣的計算機可讀介質可包括RAM�、 ROM�、EEPROM、CD-ROM或其它光盤存儲���、磁盤存儲或其它磁存儲設備����、或能被用來攜帶或存儲指令或數(shù)據結構形式的合意程序代碼且能被計算機訪問的任何其它介質。任何連接也被正當?shù)胤Q為計算機可讀介質�。例如,如果軟件是使用同軸電纜���、光纖電纜���、雙絞線、數(shù)字訂戶線 (DSL)���、或諸如紅外、無線電�����、以及微波之類的無線技術從web網站�����、服務器���、或其它遠程源傳送而來����,則該同軸電纜、光纖電纜�、雙絞線、DSL��、或諸如紅外�����、無線電�����、以及微波之類的無線技術就被包括在介質的定義之中����。如本文中所使用的盤(disk)和碟(disc)包括壓縮碟 (⑶)、激光碟���、光碟���、數(shù)字多用碟(DVD)、軟盤和藍光碟��,其中盤(disk)往往以磁的方式再現(xiàn)數(shù)據,而碟(disc)用激光以光學方式再現(xiàn)數(shù)據���。上述的組合也應被包括在計算機可讀介質的范圍內��。
提供前面對所公開的實施例的描述是為了使本領域任何技術人員皆能制作或使用本發(fā)明���。對這些實施例的各種修改對于本領域技術人員將是顯而易見的,并且本文中定義的普適原理可被應用于其他實施例而不會脫離本發(fā)明的精神或范圍�。由此,本發(fā)明并非旨在被限定于本文中示出的實施例�,而是應被授予與本文中公開的原理和新穎性特征一致的最廣 義的范圍。
權利要求
1.一種用于將第一安全性上下文從第一類型的服務網絡轉移到第二類型的服務網絡的方法 所述遠程站根據所述第一安全性上下文使用第一信息元素并使用與所述第一安全性上下文相關聯(lián)的根密鑰來生成第一會話密鑰和第二會話密鑰����; 所述遠程站從所述第一類型的服務網絡接收第一消息�����,其中所述第一消息包括向所述遠程站信令通知生成與所述第二類型的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素�����; 所述遠程站響應于所述第一消息而使用所述第二信息元素以及所述第一會話密鑰和所述第二會話密鑰來生成所述第三會話密鑰和所述第四會話密鑰���; 所述遠程站基于所述第三會話密鑰和所述第四會話密鑰來保護所述第二類型的服務網絡上的無線通信����。
2.如權利要求1所述的用于轉移的方法,其特征在于�,所述第一信息元素包括計數(shù)值。
3.如權利要求1所述的用于轉移的方法����,其特征在于,所述第一安全性上下文是具有不受第二安全性上下文支持的安全性特性的增強型安全性上下文�����。
4.如權利要求1所述的用于轉移的方法�����,其特征在于�����,所述第一類型的服務網絡是基于UTRAN的服務網絡���,并且所述第二類型的服務網絡是基于GERAN的服務網絡��。
5.如權利要求1所述的用于轉移的方法�����,其特征在于�����,所述第一類型的服務網絡是基于GERAN的服務網絡�,并且所述第二類型的服務網絡是基于UTRAN的服務網絡。
6.如權利要求1所述的用于轉移的方法�,其特征在于,所述遠程站包括移動用戶裝備����。
7.—種遠程站,包括 用于根據第一安全性上下文使用第一信息元素并使用與所述第一安全性上下文相關聯(lián)的根密鑰來生成第一會話密鑰和第二會話密鑰的裝置; 用于從第一類型的服務網絡接收第一消息的裝置����,其中所述第一消息包括向所述遠程站信令通知生成與第二類型的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素�����; 用于響應于所述第一消息而使用所述第二信息元素以及所述第一會話密鑰和所述第二會話密鑰來生成所述第三會話密鑰和所述第四會話密鑰的裝置��;以及 用于基于所述第三會話密鑰和所述第四會話密鑰來保護所述第二類型的服務網絡上的無線通信的裝置。
8.如權利要求7所述的遠程站���,其特征在于�����,所述第一信息元素包括計數(shù)值�����。
9.如權利要求7所述的遠程站����,其特征在于���,所述第一安全性上下文是具有不受第二安全性上下文支持的安全性特性的增強型安全性上下文��。
10.如權利要求7所述的遠程站�����,其特征在于���,所述第一類型的服務網絡是基于UTRAN的服務網絡�,并且所述第二類型的服務網絡是基于GERAN的服務網絡�。
11.如權利要求7所述的遠程站,其特征在于�,所述第一類型的服務網絡是基于GERAN的服務網絡,并且所述第二類型的服務網絡是基于UTRAN的服務網絡���。
12.如權利要求7所述的遠程站���,其特征在于,所述遠程站包括移動用戶裝備����。
13.—種遠程站,包括 處理器,被配置為根據第一安全性上下文使用第一信息元素并使用與所述第一安全性上下文相關聯(lián)的根密鑰來生成第一會話密鑰和第二會話密鑰���; 從第一類型的服務網絡接收第一消息����,其中所述第一消息包括向所述遠程站信令通知生成與第二類型的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素���; 響應于所述第一消息而使用所述第二信息元素以及所述第一會話密鑰和所述第二會話密鑰來生成所述第三會話密鑰和所述第四會話密鑰;以及 基于所述第三會話密鑰和所述第四會話密鑰來保護所述第二類型的服務網絡上的無線通信��。
14.如權利要求13所述的遠程站,其特征在于�����,所述第一信息元素包括計數(shù)值��。
15.如權利要求13所述的遠程站�,其特征在于,所述第一安全性上下文是具有不受第二安全性上下文支持的安全性特性的增強型安全性上下文�。
16.如權利要求13所述的遠程站,其特征在于���,所述第一類型的服務網絡是基于UTRAN的服務網絡�����,并且所述第二類型的服務網絡是基于GERAN的服務網絡�。
17.如權利要求13所述的遠程站��,其特征在于���,所述第一類型的服務網絡是基于GERAN的服務網絡�,并且所述第二類型的服務網絡是基于UTRAN的服務網絡。
18.如權利要求13所述的遠程站�����,其特征在于���,所述遠程站包括移動用戶裝備���。
19.一種計算機程序產品,包括 計算機可讀存儲介質����,包括 用于使計算機根據第一安全性上下文使用第一信息元素并使用與所述第一安全性上下文相關聯(lián)的根密鑰來生成第一會話密鑰和第二會話密鑰的代碼; 用于使計算機從第一類型的服務網絡接收第一消息的代碼�����,其中所述第一消息包括向所述遠程站信令通知生成與第二類型的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素�����; 用于使計算機響應于所述第一消息而使用所述第二信息元素以及所述第一會話密鑰和所述第二會話密鑰來生成所述第三會話密鑰和第四會話密鑰的代碼�; 用于使計算機基于所述第三會話密鑰和所述第四會話密鑰來保護所述第二類型的服務網絡上的無線通信的代碼。
20.如權利要求19所述的計算機程序產品�,其特征在于,所述第一信息元素包括計數(shù)值。
21.如權利要求19所述的計算機程序產品���,其特征在于,所述第一安全性上下文是具有不受第二安全性上下文支持的安全性特性的增強型安全性上下文�。
22.如權利要求19所述的計算機程序產品,其特征在于���,所述第一類型的服務網絡是基于UTRAN的服務網絡�����,并且所述第二類型的服務網絡是基于GERAN的服務網絡�。
23.如權利要求19所述的計算機程序產品��,其特征在于����,所述第一類型的服務網絡是基于GERAN的服務網絡,并且所述第二類型的服務網絡是基于UTRAN的服務網絡�����。
全文摘要
公開了一種用于將增強型安全性上下文從基于UTRAN的服務網絡轉移到基于GERAN的服務網絡的方法���。在該方法中��,遠程站根據增強型安全性上下文使用增強型安全性上下文根密鑰和第一信息元素來生成第一會話密鑰和第二會話密鑰��。遠程站從基于UTRAN的服務網絡接收第一消息�。該第一消息包括向該遠程站信令通知生成與基于GERAN的服務網絡聯(lián)用的第三會話密鑰和第四會話密鑰的第二信息元素。遠程站響應于第一消息而使用第二信息元素以及第一會話密鑰和第二會話密鑰來生成第三會話密鑰和第四會話密鑰�。遠程站基于第三會話密鑰和第四會話密鑰來保護基于GERAN的服務網絡上的無線通信。
文檔編號H04W12/04GK103004243SQ201180018594
公開日2013年3月27日 申請日期2011年4月15日 優(yōu)先權日2010年4月16日
發(fā)明者A·E·艾斯科特, A·帕拉尼格朗德 申請人:高通股份有限公司