申请/专利权人：沃达方IP许可有限公司

申请日：2016-04-13

公开（公告）日：2021-06-08

公开（公告）号：CN107683616B

主分类号：H04W12/041(20210101)

分类号：H04W12/041(20210101);H04W12/06(20210101)

优先权：["20150413 GB 1506256.5"]

专利状态码：有效-授权

法律状态：2021.06.08#授权;2018.04.17#实质审查的生效;2018.02.09#公开

摘要：本公开涉及经由蜂窝网络的节点在移动终端30与网络实体40之间通过蜂窝网络的安全通信，其中移动终端的归属公用陆地移动网PLMN生成加密密钥CK和或完整性密钥IK以用于移动终端的认证，并且其中移动终端与蜂窝网络的节点之间的认证和密钥协商AKA程序的执行准许移动终端确定CK和或IK。特别地，提供了包括应用特殊密钥以允许用户平面数据以可信方式在移动终端与网络实体之间的传送的方法，其中特殊密钥是根据CK和或IK生成的但不同于CK和IK。

主权项：1.一种用于经由蜂窝网络的节点在移动终端与网络实体之间的安全通信的方法，其中移动终端的归属公用陆地移动网PLMN生成：加密密钥CK；和或完整性密钥IK，以用于移动终端的认证；以及用于保护UE与网络实体之间的通信的特殊密钥，其中节点在被访问PLMN中，其中移动终端与蜂窝网络的节点之间的认证和密钥协商AKA程序的执行准许移动终端确定CK和或IK并且其中网络实体在归属PLMN中或者耦合到在归属PLMN中的网络实体，所述方法包括：在网络实体和或移动终端处应用特殊密钥以允许用户平面数据以可信方式在移动终端与网络实体之间的传送，其中特殊密钥是根据CK和或IK生成的但是不同于CK和IK。

全文数据：蜂窝网络中的安全改进技术领域[0001]本发明涉及一种用于在移动终端与网络实体诸如GGSN之间通过蜂窝网络进行安全通信的方法。还提供了相应的网络节点和或移动终端。背景技术[0002]蜂窝网络越来越多地被机器对机器M2M设备使用，例如作为所谓的“物联网”I〇T的部分。许多这样的设备是电池供电的，并且因此经受显著的功率限制，例如需要用5kWh电池持续达约十年。在一些应用中，这样的M2M或IoT设备特别使得用户平面数据被以可信方式传送的）的通信安全是显著的顾虑。此安全可以以机密性保护和或数据完整性保护的形式。对于一些M2M或IoT用户而言，用户数据的拦截或模拟所谓的“欺骗”）可能危及他们的生意、他们的名声或者他们自己的安全。[0003]当蜂窝M2M或IoT在归属公用陆地移动网（PLMN中操作时，网络运营商可以在其PLMN域内保证特定的安全水平。但是在许多情况下，这些设备将不会在其归属PLMN中操作。当设备在被访问PLMN中操作时，归属PLMN不能确保用户数据安全。当安全是问题时，具有在被访问PLMN中操作的设备的用户可能因此依赖于附加的应用层或传输层安全机制，诸如传输层安全TLS或通用自举架构GBA。[0004]针对第三代合作伙伴计划3GPP技术规范组TSGSA服务和系统方面WG3S3-151121的最近研究将UMTS认证和密钥协商AKA程序与TLS和GBA进行了比较。此研宄发现TLS和GBA比AKA程序显著更低效，尤其是如果蜂窝网络向M2M或IoT设备仅提供非常低吞吐量的连接诸如160位秒的话。当考虑到功率消耗时，执行TLS或GBA所需的通信交换的有意义的数目和时间长度可能使得其不适合于低功率、低吞吐量设备。特别地，TLS具有大量不同的安全配置，使得其难以优化。[0005]这些程序因此消耗不可忽视的量的资源就时间和或能量而言）。由M2M或IoT月艮务提供商选择用以保护用户平面数据的配置可能相当大地影响蜂窝I〇T网络的性能，并且设备可能比预期的更早耗尽电池。GPRSUMTS或演进分组系统EPS所需的AKA相比之下显得高效得多。找到可以与AKA合作但不添加与其它现有安全协议相关联的显著缺点的程序因此是个挑战。发明内容[0006]在此背景下，本发明提供了一种根据权利要求1的用于经由蜂窝网络的节点在移动终端与网络实体之间通过蜂窝网络进行的安全通信的方法。还可以考虑与权利要求17—致的计算机程序，但本发明还可以以可编程逻辑、固件或其它可配置系统的形式来体现。还提供了如权利要求18定义的相应网络节点和如权利要求19指定的移动终端。参考权利要求且在以下描述中公开了其它优选特征。[0007]本发明涉及其中移动终端的归属PLMN生成用于移动终端认证的加密密钥CK和或完整性密钥（IK的情况。通常，生成CK和IK二者。移动终端可以包括用户设备UE和或USIM应用程序，其可以被存储在与UE分离的硬件诸如通用集成电路卡UICC上。在移动终端与蜂窝网络的节点之间的AKA程序的执行准许移动终端确定〇和或IK。正常地，这是由于为移动终端和归属PLMN中的归属注册实体共有的共享秘密K。应用特殊密钥以允许用户平面数据以可信方式在移动终端与网络实体之间的传送。特殊密钥是根据⑶和或^生成的，但是不同于CK和IK。方法可选地进一步包括根据CK和或IK生成特殊密钥。一些网络实体可以使用特殊密钥，但它们可以从另一网络实体接收该特殊密钥而不是其本身生成该特殊密钥。[0008]因此，CK和或IK被用来生成一个或多个新密钥。所述一个或多个新密钥被用来保护移动终端与网络实体之间的用户平面数据通信。可以通过从移动终端至网络实体的链路的部分端到端安全或链路的部分PLMN间安全来应用所提供的安全，如下文将讨论的。网络实体通常在归属PLMN中或者被耦合到在归属PLMN中的网络实体。例如，网络实体可以是GGSN或者被耦合到GGSN。其正常地并不是被访问PLMN的部分。特殊密钥还可以是根据随机数种子生成的，该随机数种子优选地仅针对特殊密钥而生成。[0009]可以应用多个特殊密钥。例如，可以应用第一特殊密钥以允许（以正常地在UMTS或EPS中使用CK的方式对用户平面数据的机密性保护加密或解密和或验证。然后，可以应用第二特殊密钥以允许（以正常地在UMTS或EPS中使用IK的方式对用户平面数据的完整性保护和或验证。第二特殊密钥是根据CK和或IK生成的，但是不同于CK和IK。优选地，第二特殊密钥不冋于第一特殊密钥，但是可选地其可以是相同的。[0010]因此可以根据CK和IK改变被用于AKA的密钥以改进安全。例如，可以根据CK和或IK生成一个或多个替换密钥。特别地，这可以以不能从所述一个或多个替换密钥推导出CK和IK的这样的方式来做。优选地，所述一个或多个替换密钥不同于特殊密钥。然后优选地使用所述一个或多个替换密钥CK’和或IK’）作为移动终端与蜂窝网络之间的AKA程序的部分。可以将包括所述一个或多个替换密钥的认证向量从归属PLMN中的归属注册实体诸如HSSHLR传送至移动终端所使用的被访问PLMN中的访问者注册实体诸如SGSN。这可以允许AKA在没有复杂化或安全损失的情况下生效。在一些实施例中，方法进一步包括在归属注册实体处从移动终端所使用的被访问PlilN中的访问者注册实体接收AKA认证结果消息。[0011]可以向移动终端警告程序中的从正常的改变。例如，可以从蜂窝网络向移动终端传送认证管理字段标志，指示特殊密钥的使用和或一个或多个替换密钥的使用。在优选实施例中，移动终端生成特殊密钥。然后，应用特殊密钥可以包括使用特殊密钥在移动终端处对用户平面数据的安全保护和或验证针对机密性或完整性）。这可以允许端到端安全。[0012]在优选实施例中，在归属PL丽中的归属注册实体诸如HSSHLRAuC处生成特殊密钥。然后，应用特殊密钥的一个方式是将其从归属注册实体传送至网络实体。此传送可以响应于不同的触发器。在一个实施例中，其响应于生成特殊密钥的步骤。这可以称为“推送”方法。在替换的“推送”方法中，其可以是响应于接收到AKA认证结果消息而执行的。AKA认证结果消息可选地标识用于网络实体的路由地址，并且然后可以使用所标识的路由地址来传送特殊密钥。[0013]在另一实施例中，从网络实体向归属注册实体传送拉取pul1消息。拉取消息优选地提供用于标识移动终端的指示数据。然后，响应于接收到拉取消息，有利地从归属注册实体向网络实体传送特殊密钥。在传送拉取消息之前，有利地将该指示数据从被访问PLMN中的访问者注册实体传送至网络实体。该指示数据被获利地用来允许归属注册实体确认网络实体具有正确的数据。例如，用于标识移动终端的指示数据可以包括以下各项中的一个或多个:与移动终端相关联的密钥标识符;从用于移动终端的认证向量推导出的认证数据项，所述认证向量被从归属注册实体传送至移动终端所使用的被访问PLMN中的访问者注册实体；用于移动终端的国际移动订户身份（IMSI;以及用于移动终端的移动订户ISDNMSISDN。[0014]在一些实施例中，可以提供PLMN间安全。然后，在归属PLMN中的归属注册实体处生成特殊密钥。将特殊密钥从归属注册实体传送至移动终端所使用的被访问PLMN中的访问者注册实体。有利地，在访问者注册实体处使用特殊密钥以例如通过对用户平面数据进行机密性和或完整性保护以可信方式传送用户平面数据。另外或替换地，使用特殊密钥例如通过在通信中对GTP报头进行机密性保护来提供订阅身份隐私保护。[0015]在不脱离所描述的发明的情况下，可以以任何适当的或兼容的方式将上文的特征和或方法和或方面中的任何或全部组合以便达到本发明的附加方面。附图说明[0016]仅通过示例的方式参考以下附图来描述本公开的各方面，在所述附图中：图1示出了根据第一实施例的在移动终端和网络实体处建立E2E密钥所使用的系统的高度示意性表示；图2示出了根据第二实施例的在移动终端和网络实体处建立E2E密钥所使用的系统的高度示意性表示；图3示出了根据第三实施例的在移动终端和网络实体处建立E2E密钥所使用的系统的高度示意性表示；图4示出了根据第四实施例的在移动终端和网络实体处建立E2E密钥所使用的系统的尚度不意性表亦；以及图5示出了根据第五实施例的在蜂窝网络的节点和网络实体处建立PLMN间密钥所使用的系统的高度示意性表示。具体实施方式[0017]下面定义了利用蜂窝物联网RAT用于移动网络的增强认证和密钥协商程序，其扩展了UMTSAKA参见3GPPTS33.102,条款6.3和EPSAKA3GPPTS33.401，条款6.1程序：_同时保持与在XPPTS33.401中定义的UE与E-UTRAN之间的现有安全程序兼容-同时在如在3GPPTS33.102中定义的那样使用UMTSAKA时保持与UE与GERAN之间的现有安全程序的兼容-以（从CK和随机生成数或计数器推导出附加密钥，其保护在固定网络间元件（即SGSN-GGSN接口和SGW-PGW接口）之间传输的数据-以（从IK，并且在特定情况下从CK推导出附加密钥，其以端到端的方式保护UE与归属PLMN内的网络节点之间的数据。[0018]描述了两个类型的安全保护：1.UE至归属网络E2E保护：从UE到归属网络提供用户平面数据的“端到端”保护。从UE到归属网络提供用户平面数据的“UE至GGSN”保护。下文GGSNP-GW被提及作为用于终止“端到端”安全的具体端点，但是还可以将要在此端支持的安全功能一般化为逻辑节点，其可以与GGSNP-GW搭配或者直接地被GGSNP-GW支持。[0019]上文所使用的术语“端到端”安全指的是应用于发生在两个端点之间的通信的安全保护，并且其中该通信可以穿过不能对在那两个端点之间交换的数据执行安全操作的中间体。[0020]UE或者说GGSNP-GW使用相关密钥来生成核实签名MAC或者对用户平面数据进行加密解密。[0021]在此研宄中，针对不同的密钥协商程序在考虑之中的是：-具有HLR推送程序的E2E安全解决方案-具有HLR推送程序的E2E安全解决方案——替换方案-具有GGSN拉取程序的E2E安全解决方案-具有GGSN拉取程序的E2E安全解决方案替换方案2.PLMN间接口保护：可以在H-PLMN具有朝向作为端点实体的被访问网络的较高信任水平时使用此类型的保护。本身，被访问网络代表UE提供用户平面UP数据起源真实性和或机密性。在H-PLMN与被访问网络之间载送GTP分组的通信链路不被信任。[0022]用户平面数据最低层是N-PDU分组）意图通过生成的密钥保护，但是那些密钥还可以用来保护较低层消息，诸如GTP报头，因此提供订户身份隐私保护。[0023]HLR提供密钥材料给SGSNMME针对LTE情况和针对S4-SGSN情况，那些密钥最终被SGSNMME提供给S-GW和GGSNP-GW以确保用户平面内容的机密性和或完整性。[0024]在此研宄中，一个密钥协商程序在考虑之中：-具有HLR推送程序的PLMN间安全解决方案。[0025]所有那些程序共享一个实现密钥推导规则的可能方式。还可以定义其它可能的实现选项。[0026]考虑到在被访问网络侧处未被适当地定义的认证策略可能损害漫游UE的电池的事实，还提供了用于关于UMTSAKA和EPSAKA的认证和密钥使用策略的解决方案。[0027]图1是包括归属订户服务器HSS10、服务GPRS支持节点（SGSN20、用户设备OJE30和网关GPRS支持节点GGSN40的系统100的高度示意性表示。在图1中还表示了根据本公开的第一实施例的过程的步骤0.至5.。[0028]将领会，HSS10可以替换地是归属位置寄存器HLR或认证中心AuC或任何其它适当的归属注册registration实体，但是为了效率起见在以下描述中将仅描述为HSS。同样地，SGSN20可以替换地是移动性管理实体MME、访问者位置寄存器VLR或被配置成执行下文描述的功能的任何其它蜂窝网络节点和或访问注册实体，但是为了效率起见在以下描述中将仅描述为SGSN。同样地，UE30可以是任何形式的移动终端，例如机器对机器M2M设备或物联网（I〇T中的事物或者UICC或智能卡，但是为了效率起见在以下描述中将仅描述为UE。同样地，GGSN40可以替换地是PDN网关P-GW或被配置成执行下文描述的功能的任何其它网络实体或服务器，但是为了效率起见在以下描述中将仅描述为GGSN。[0029]HSS10和GGSN40是UE30的归属公用陆地移动网（H-PLMN的部分，而SGSN20是被访问公用陆地移动网V-PLMN的部分。[0030]系统100内的实体和通信可以利用任何适当的通信标准和或协议，例如GPRS、EDGE、3G、LTE等。[0031]当UE30加入V-PLMN时，可以运行认证和密钥协商（AKA程序，例如（在3GPPTS33.102中描述的UMTSAKA或EPSAKA3GPPTS33.401。如在标准中定义的，作为AKA程序的部分，使用认证向量并且例如，根据为HSS10和UE30所共有的共享秘密K确定加密机密性密钥CK和完整性密钥（IK。[0032]在步骤0•中，在认证向量被传送至SGSN20之前，HSS10推导出第一特殊密钥E2ECK，用以允许稍后较详细地描述的）在UE30与GGSN40之间传送的用户平面数据的机密性保护和或验证。E2ECK被推导出为不同于CK和ILE2ECK可以是从IK或者从CK和IK例如，从CK和IK的级联concatenation推导出的。E2ECK可以是以任何适当的方式推导出的，例如使用HMACSHA256或任何其它适当的算法函数。可选地，HSS10还生成用于E2ECK的密钥ID。[0033]并且在步骤0•中，HSS10推导出第二特殊密钥E2EIK，用以允许稍后较详细地描述的）在UE30与GGSN40之间传送的用户平面数据的完整性保护和或验证。E2EIK被推导出为不同于CK和IKA2EIK可以是从IK或者从CK和IK例如，从CK和IK的级联推导出的。E2EIK可以是以任何适当的方式推导出的，例如使用HMACSHA256或任何其它适当的算法函数。可选地，HSS10还生成用于E2EIK的密钥ID。[0034]被用于E2ECK和E2EIK且用于E2ECK密钥ID和E2EIK密钥ID的密钥推导函数⑽F应是被UE30例如被通用集成电路卡UICC或智能卡所支持的函数。[0035]在一个示例密钥生成程序中，如果CK和IK每个128位长，则可以通过以下推导出E2ECK和E2ECK密钥ID:E2ECK=KDFCK||IK，密钥类型）E2ECK密钥ID=KDFCK||IK，密钥类型）并且可以通过以下推导出E2EIK和E2EIK密钥ID:E2EIK=KDFCK||IK，密钥类型）E2EIK密钥ID=KDFCK||IK，密钥类型）。[0036]在另一示例密钥生成程序中，如果CK和IK每个256位长，则可以通过以下推导出E2ECK和E2ECK密钥ID:E2ECK=KDFIK，密钥类型）E2ECK密钥ID=KDFIK，密钥类型）并且可以通过以下推导出E2EIK和E2EIK密钥ID:E2EIK=KDFIK，密钥类型）E2EIK密钥ID=KDFIK，密钥类型）。[0037]在这些示例中，将密钥推导函数写为KDF密钥，SZ‘密钥类型”或S可以是恒定静态值，例如3GPP-E2E-CK-SEC、3GPP-E2E-IK-SEC、CKGERAN、IKGERAN、CKinterGSN128、IKinterGSN128、CKinterGSN256、IKinterGSN256、E2E—CK—128、E2E—IK—128、E2E—CK_256、E2E_IK_256、E2E_密钥_ID等等。被用于密钥推导函数的算法可以是（如在3GPPTS33.220中定义的HMACSHA256,但将领会，可以替换地使用其它算法。可以以非常难以或者不可能根据E2ECK或E2EIK或根据E2ECK密钥ID或E2EIK密钥ID确定CK和或IK的这样的方式推导出E2ECK和E2EIK。[0038]上文用于生成E2ECK、E2EIK、E2ECK密钥ID和E2EIK密钥ID的程序仅被描述作为示例。可以替换地使用UE30所支持的其它适当的密钥生成程序。[0039]HSS10设置认证向量以向UE30指示需要密钥推导以便获得E2ECK和E2EIK。这可以例如通过将保留用以指示E2E密钥的使用的认证管理字段AMF位设置成1来完成。[0040]针对UMTSAKA，在步骤0•中，HSS10还可以推导出第一替换密钥CK，），以供在用于SGSN20与UE3〇之间的空中接口的AKA程序中使用。CK’被推导出为不同于CK和IKXK’可以是从IK或者从CK和IK例如，从CK和IK的级联推导出的。CK’可以是以任何适当的方式推导出的，例如使用HMACSHA256或任何其它适当的算法函数。此外，HSS10还推导出第二替换密钥（IK’），以供在用于SGSN20与UE30之间的空中接口的AKA程序中使用。IK’被推导出为不同于CK且不同于IHK’可以是从CK或者从CK和IK例如，从CK和IK的级联推导出的。IK’可以是以任何适当的方式推导出的，例如使用HMACSHA256或任何其它适当的算法函数。可以以不可逆方式推导出CK’和IK’，使得不能根据CK’和IK’确定CK和HHSS10然后用CK’和IK’替换认证向量中的CK和IK。这样，CK和K不被作为UMTSAKA程序的部分传送至SGSN20——代之以，CK’和IK’被作为UMTSAKA程序的部分传送至SGSN20。此外，在以不可逆方式推导出CK’和IK’的情况下，对于SGSN20或任何其它实体而言根据CK’和IK’来确定CK和IK将是非常困难的。在此实例中，保留的AMF位将还通知UE30需要密钥推导以便获得供在UMTSAKA程序中使用的CK’和IK’。[0041]被用于CK’和IK’的KDF应是被UE30例如被UICC或智能卡所支持的KDF。[0042]在一个示例密钥生成程序中，如果CK和IK每个128位长且Milenage或Tuak被使用，则可以通过以下推导出CK’和IK’：CK’=KDFCK||IK，密钥类型）IK’=KDFCK||IK，密钥类型）。[0043]在另一示例中，如果CK和K每个256位长且Tuak被使用，则可以通过以下推导出CK’和IK’：CK’=KDFCK，密钥类型）IK’=KDFCK，密钥类型）。[0044]可以将CK’和IK’级联CK’||IK’）用于插入到认证向量中，使得CK’从位0转到位127且IK’从位128转到位255或者替换地IK’从位0转到位127且CK’从位128转到位255。[0045]在这些示例中，将密钥推导函数写为KDF密钥，S。“密钥类型”或S可以是恒定静态值，如上文所解释的。被用于密钥推导函数的算法可以是（如在3GPPTS33.220中定义的HMACSHA256,但是将领会，可以替换地使用其它算法。[0046]上文的用于生成CK’和IK’的程序仅被描述作为示例。可以替换地使用UE30所支持的其它适当的密钥生成程序。[0047]在建立认证向量以具有如上文所描述的那样设置的保留的AMF位并且还在UMTSAKA的情况下将CK和IK改变成CK’和IK’之后，在步骤1.a中，HSS10将认证向量传送至SGSN20〇[0048]在步骤i.b中，HSS10将E2ECK和E2EIK并且可选地还将其相应密钥ID推送至GGSN4KHSS10可能因为任何原因，例如由于与GGSN40的早先通信和或通过例如，根据存在于存储在HSS10中的订户信息数据中的APN标识UE30将想要与哪个GGSN通信等，而己经具有GGSN40的地址。可以将E2ECK和E2EIK级联（E2ECK||E2EIK以用于传送至GGSN40,使得E2ECK从位0转到位127且E2EIK从位128转到位255或者替换地，E2EIK从位0转到位127且E2ECK从位128转到位255。同样地，可以将E2ECK密钥ID和E2EIK密钥ID级联E2ECK密钥ID||E2EIK密钥ID以用于传送至GGSN40,使得E2ECK密钥ID从位0转到位127且E2EIK密钥ID从位128转到位255或者替换地，E2EIK密钥ID从位0转到位127且E2ECK密钥ID从位128转到位255。[0049]在步骤2•中，SGSN20执行如在AKA标准中定义的AKA程序例如，UMTSAKA或EPSAKA。[0050]在步骤3.中，SGSN20向UE30传送认证请求，如在AKA标准中定义的那样。[0051]在步骤4•中，UE30执行如在AKA标准中定义的AKA过程。UE30从认证向量中的保留的AMF位识别出除执行通常的AKA程序之外，其还必须推导出E2ECK和E2EIK且可选地还推导出E2ECK密钥ID和E2EIK密钥ID以供在保护与GGSN40的E2E通信中使用。UE30可以以如早先关于HSS10所描述的方式相同的方式从IK或CK及IK推导出E2ECK和E2EIK且可选地还推导出E2ECK密钥ID和E2EIK密钥ID存储在UE30的通用集成电路卡UICC或智能卡上的USM应用程序可能已生成CK和IK作为标准AKA程序的部分）。在生成密钥ID的情况下，通过以UE30本身可以推导出密钥ID的这样的方式生成它们，对于UE30而言在没有经由SGSN20将密钥ID从HSS10发送至UE30的情况下获得密钥ID是可能的。因此，可以使从HSS10至SGSN20且然后从SGSN20至UE30的数据传送量最小化。密钥ID稍后可以被UE30和GGSN40使用以便在随后的通信期间跟踪E2E密钥的使用，这在本公开中并未进一步描述。[0052]此外，在正在使用UMTSAKA的情况下，UE30还将从认证向量中的保留的AMF位识别出除执行通常的AKA程序之外，其还必须推导出CK’和IK’以供在AKA程序中使用。UE30可以以如早先关于HSS10所描述的方式相同的方式从CK或CK和IK推导出CK’和IK’。[0053]UE30可以（例如，在设备制造时或者在UICC制造时或者随后，例如在设备和或UICC更新期间等）被配置成包括必要的E2ECK和E2EIK且可选地还包括E2ECK密钥ID和E2EIK密钥ID和或CK’和IK’）推导函数，使得其可以推导出正确的E2ECK和E2EIK且可选地还推导出正确的E2ECK密钥ID和E2EIK密钥ID和或CK’和IK’）。[0054]在完成步骤4之后，SGSN20和UE30二者具有完成AKA程序所需的所有数据。例如，在正在使用UMTSAKA的情况下，SGSN20和UE30二者将具有可以用来完成UTMS-AKA程序的CKlPIK’。[0055]此外，GGSN40和UE30将具有E2ECK和E2EIK且可选地还具有E2ECK密钥ID和E2EIK密钥ID。因此，可以将E2E密钥用于以可信方式在UE30与SGSN40之间传送用户平面数据。[0056]例如，可以使用E2ECK例如，通过用户平面数据的加密解密来实现机密性保护和或验证，并且可以使用E2EIK例如，通过签名和或MAC的生成核实）来实现完整性保护和或验证。[0057]因为E2ECK和E2EIK都将不为V-PLMN所知，所以可以以可信方式传送用户平面数据，即使UE30经由V-PLMN的节点（SGSN20与GGSN40通信。此外，因为V-PLMN还不知道CK和IK因为在UMTSAKA示例中，使用CK’和IK’而不是使用CK和IK来用于保护空中接口，并且因为在EPSAKA中，CK和IK未被传送至SGSN20，所以对于V-PLMN而言推导出E2ECK和E2EIK在任何时候都将是极其困难的。特别地，对于SGSN20而言首先推导出或获得正确的CK和或IK将是必要的从CK’和IK’推导出或获得正确的CK和或IK将是非常困难的，因为HSS10可能以不可逆方式从CK和或IK推导出这些），并且然后从CK和或IK进一步正确地推导出E2ECK和E2EIK。[0058]可以替换地如下描述上文参考图1所描述的示例实施例：程序先决条件：-SGSNMME已向H-PLMN指示GERANE-UTRAN的所支持的安全配置，即所使用的机密性算法和完整性保护算法例如，对于GERAN而言:在使用中的GEA4，例如对于LTE而言，在使用中的128-EEA2和128-EIA2步骤：0.除如在UMTSAKA或者说EPSAKA中定义的生成的认证向量之外，AuC:-从CK并且在特定条件下从CK和IK的级联，参见条款Y.1.2.A推导出被用于空中IFsec的）CK’IK’（UMTSAKA情况），并且将AMF位设置成1以向USIM指示需要对CK做KDF以获得可用的CKIK-从IK且在特定条件下从CK和IK的级联，参见条款Y.1.2.A推导出E2ECKIK-从IK且在特定条件下从CK和IK的级联，参见条款Y.1.2.A推导出E2ECKIK密钥ID-将AMF位设置成1以向SGSNMMEUE指示是否应推导出E2E密钥-建立AV。针对UMTSAKA情况，用新生成的CK’IK’来替换CKIK。la.AV到SGSNMffi的分发lb.HSSHLRAuC向GGSNP-GW推送以下各项：-E2ECKIK-E2ECKIK密钥ID2•在SGSNMME层处继续UMTSAKA或EPSAKA，如在TS33.102或者说TS33.401中定义的。3.SGSN向UE发送认证请求消息，如在TS33.1〇2或者说TS33.401中定义的。4.US頂运行UMTSEPSAKA并执行以下附加密钥推导：-来自CK并且在特定条件下来自CK和IK的级联，参见条款Y.1.2.A的仅UMTSAKA情况），如果指示必须做KDF的AMF位被设置成值1的话-来自IK并且在特定条件下来自CK和IK的级联，参见条款Y.1.2.A值的E2ECKIK，如果指示必须做E2EKDF的AMF位被设置成值1的话-来自IK并且在特定条件下来自CK和IK的级联，参见条款Y.1.2.A值的E2ECKIK密钥ID，如果指示必须做E2EKDF的AMF位被设置成值1的话5.UE向SGSNMME发送认证响应消息，如在TS33.1〇2或者说TS33.401中定义的。[0059]图2示出了系统200的高度示意性表示，所述系统200类似于图1的系统，而是本公开的替换实施例。[0060]在图2中的示例实施例中，步骤〇.至5.与上文参考图丨所描述的相同，除了未执行步骤l.b。代之以，在步骤6.中，在成功的AKA认证结果和或成功的PDP上下文激活程序从而保护空中接口）之后，SGSN20向HSS10传送通知消息。通知消息包括UE20的IMSI或UE20的任何其它适当的标识符）、在AKA程序中使用了的SQN值或RAND以及SGSN20可能已从UE3〇接收到的GGSN40的地址中的至少一个。[0061]使用IMSI和或SQN值或RAND，HSS10可以检索E2ECK和E2EIK并且可选地检索E2ECK密钥ID和E2EIK密钥ID，并且在步骤7.中，将E2ECK和E2EIK并且可选地将E2ECK密钥ID和E2EIK密钥ID传送至GGSN40。例如，当在步骤0.中生成E2E密钥并且可选地生成密钥ID时，HSS10可以（例如，在是HSS10的部分或者与HSS10分离且对HSS10可访问的数据库中）存储E2E密钥（以及密钥ID与IMSI和或SQN值（或RAND之间的关联，使得HSS10可以使用MSI和或SQN值或RAND来检索正确的E2E密钥（以及密钥ID。[0062]在替换方案中，HSS10可以代之以被配置成在步骤6.之后且在步骤7.之前生成E2ECK和E2EIK并且可选地生成E2ECK密钥ID和E2EIK密钥ID，而不是在步骤0.中生成E2ECK和E2EIK并且可选地生成E2ECK密钥ID和E2EIK密钥ID且然后在步骤6.之后检索它们。在本替换方案中，用于E2ECK和E2EIK以及E2ECK密钥ID和E2EIK密钥ID的推导程序仍可以与上文参考图1所描述的推导程序相同（例如，可以使用相同的KDF。[0063]可以替换地如下描述上文参考图2所描述的实施例：程序：先决条件：-SGSNMME已向H-PLMN指示GERANE-UTRAN的所支持的安全配置，即所使用的机密性算法和完整性保护算法例如，对于GERAN而言:在使用中的GEA4，例如对于LTE而言，在使用中的128-EEA2和128-EIA2。步骤：0.除如在UMTSAKA或者说EPSAKA中定义的生成的认证向量之夕卜，AuC:-从CK并且在特定条件下从CK和IK的级联，参见条款Y.1.2.A推导出CK’IK’（仅UMTSAKA情况），并且将AMF位设置成1以向USIM指示需要对CK做KDF以获得可用的CKIK-从IK且在特定条件下从CK和IK的级联，参见条款Y.1.2.A推导出E2ECKIK-将AMF位设置成1以向SGSNMMEUE指示是否应推导出E2E密钥-在建立AV时且仅针对UMTSAKA情况，用新生成的CK’IK’替换CKIK1.AV到SGSNMME的分发2.在863^^顧£层处继续通了34以或£?3八以，如在了833.102或者说了333.401中定义的。3.SGSNMME向UE发送认证请求消息，如在TS33.102或者说TS33.401中定义的。4.USIM运行UMTSEPSAKA并执行以下附加密钥推导：-来自CK并且在特定条件下来自CK和IK的级联，参见条款Y•1.2.A的CK’IK’（仅UMTSAKA情况），如果指示必须做KDF的AMF位被设置成值1的话-来自K并且在特定条件下来自CK和IK的级联，参见条款Y.1.2.A值的E2ECKIK，如果指示必须做E2EKDF的AMF位被设置成值1的话5.UE向SGSNMME发送认证响应消息，如在TS33.102或者说TS33.401中定义的。6.在成功的UMTSAKA或者说EPSAKA认证结果和如在23.002中定义的成功的PDP上下文激活或者说PDN连通性请求，参见3GPPTS23.401时，363^^^向乩1?邶8发送通知消息，其具有IMSI、SQN值域RAND和GGSNP-GW地址作为参数。7.HLRHSS向GGSNP-GW推送E2ECKIK。[0064]图3示出了系统300的高度示意性表示，所述系统300类似于图1和2的系统，而是本公开的替换实施例。图1和2中表示的实施例可能都被描述为HSS推送实现，因为E2ECK和E2EIK并且可选地E2ECK密钥ID和E2EIK密钥ID被HSS10推送至GGSN40。相比之下，图3中表示的实施例可能被描述为GGSN拉取程序，因为GGSN40从HSS10拉取E2ECK和E2EIK并且可选地拉取E2ECK密钥ID和E2EIK密钥ID。[0065]在图3中表示的过程中的步骤0•与上文参考图1所描述的步骤〇.相同。[0066]在图3中表示的过程中的步骤1.与上文参考图1所描述的步骤la.相同，但是除传送认证向量之外，还向SGSN20传送E2ECK密钥ID和E2EIK密钥ID例如，连同认证向量，或者作为认证向量的部分）。[0067]在图3中表示的过程中的步骤2•至5•与上文参考图1所描述的步骤2.至5.相同。[0068]在步骤6•中，在成功的AKA程序之后，SGSN20向GGSN40发送E2ECK密钥ID和E2EIK密钥ID并且可选地还发送在任何情况下可以被包括在GTP-C报头的较低层内的UE的頂SI，或者UE的任何其它适当的标识符）。这可以使用任何适当的手段来做，例如用GTP-C消息，诸如针对用于GPRS实现的PDP上下文激活的请求，或者用于LTE实现的修改承载命令。SGSN20可能己在早先的步骤期间或者在某个其它时间接收到GGSN40的地址。[0069]在步骤7.中，GGSN40通过向HSS10提供E2ECK密钥ID和E2EIK密钥ID并且可选地提供IMSI来从HSS10获取或拉取E2ECK和E2EILHSS10然后可以返回对应于E2ECK密钥ID的E2ECK和对应于E2EIK密钥ID的E2EIK。例如，当在步骤0.中生成E2E密钥时，HSS10可以（例如，在是HSS10的部分或者与HSS10分离且对HSS10可访问的数据库中）存储E2E密钥与其相应密钥ID之间的关联，使得HSS10稍后可以使用密钥ID来检索正确的E2E密钥。GGSN40然后将具有E2ECK和E2EIK以供在以可信方式执行与UE30的通信时使用。[0070]在本实施例的替换方案中，UE30可以代之以在步骤4.中使用相关KDF推导出密钥ID并在步骤5•中将密钥ID传送至SGSN20,而不是HSS10在步骤1•中向SGSN20传送密钥ID〇[0071]可以替换地如下描述上文参考图3所描述的实施例：程序：先决条件：-SGSNMME已向H-PLMN指示GERANE-UTRAN的所支持的安全配置，即所使用的机密性算法和完整性保护算法例如，对于GERAN而言:在使用中的GEA4，例如对于LTE而言，在使用中的128-EEA2和128-EIA2。步骤：〇•除如在UMTSAKA域者说EPSAKA中定义的生成的认证向量之夕卜，AuC:-从CK并且在特定条件下从CK和IK的级联，参见条款Y.1.2.A推导出被用于空中IFsec的）CK’IK’（UMTSAKA情况），并且将AMF位设置成1以向USIM指示需要对CK做KDF以获得可用的CKIK-从IK且在特定条件下从CK和IK的级联，参见条款Y.1.2.A推导出E2ECKIK-随机地生成E2ECKIK密钥ID-将AMF位AMF位设置成1以向SGSNMMEUE指示是否应推导出E2E密钥-在建立AV时且仅针对UMTSAKA情况，用新生成的CK’IK’替换CKIK。1.AV到SGSNMME的分发。另外，HLRHSSAuC包括：-被关联到AV的随机生成的E2ECKIK密钥ID。2.在363^0腫层处继续1^3六1^或£?3^^，如在了833.1〇2或者说1333.4〇1中定义的。3.303~丽£向1^发送认证请求消息，如在1333.102或者说1333.401中定义的。4.USM运行UMTSEPSAKA并执行以下附加密钥推导：-来自CK并且在特定条件下来自CK和IK的级联，参见条款Y.1.2.A的CK’IK’（仅UMTSAKA情况），如果指示必须做KDF的AMF位被设置成值1的话-来自IK值并且在特定条件下来自CK和IK的级联，参见条款Y.1.2.A的E2ECKIK，如果指示必须做E2EKDF的AMF位被设置成值1的话5.1^向363~匪£发送认证响应消息，如在1333.102或者说1333.401中定义的。6a•针对GPRS系统:在成功的UMTSAKA程序时，SGSN例如用GTP-C消息将随机生成的E2ECKIK密钥ID和关联頂SI发送至GGSN6b•针对LTE系统:在成功的EPSAKA程序时，MME例如用GTP-C消息）（经由S-GW将随机生成的E2ECKIK密钥ID和关联IMSI发送至P-GW7.GGSNP-GW通过提供E2ECKIK密钥ID和可选地提供IMSI而从HSSHLRAuC获取E2ECKIK密钥。[0072]图4示出了系统400的高度示意性表示，所述系统400类似于图3的系统，而是本公开的替换实施例，其也可能被说成是GGSN拉取实现。[0073]图4中表示的过程中的步骤0.至5.与上文参考图3所描述的步骤0.至5.相同。然而，与上文参考图3所描述的过程相比，在步骤1中可以不将E2ECK密钥ID和E2EIK密钥ID传送至SGSN20。[OO74]在步骤6•中，在成功的AKA程序之后，SGSN20将如在AKA标准中定义的SQN值或RAND和或UE3〇的IMSI或UE30的任何其它适当的标识符）中的至少一个发送至GGSN40。这可以使用任何适当的手段来做，例如用GTP-C消息，诸如针对用于GPRS实现的PDP上下文激活的请求或者用于LTE实现的修改承载命令。SGSN20可能已在早先的程序步骤期间或者在某个其它时间接收到GGSN40的地址。[0075]在步骤7•中，GGSN40通过向HSS10提供SQN或RAND和或IMSI或UE30的其它适当的标识符）来从HSS10获取或拉取E2ECK和E2EIK且可选地还获取或拉取E2ECK密钥ID和E2EIK密钥IDKHSS10然后可以返回与SQN值或RAND和或IMSI或UE30的其它适当的标识符）相关联的E2ECK和E2EIK以及E2ECK密钥ID和E2EIK密钥ID。此步骤类似于早先参考图3所描述的步骤7.。GGSN40然后将具有E2ECK和E2EIK以及E2ECK密钥ID和E2EIK密钥ID以供在以可信方式执行与UE30的通信时使用。[0076]因此，在上文所描述的所有实施例中，GGSN40和UE30二者都获得E2ECK和E2EIK且可选地还获得E2ECK密钥ID和E2EIK密钥ID。因此，可以将E2E密钥用于以可信方式在UE30与SGSN40之间传送用户平面数据。例如，可以使用E2ECK例如，通过用户平面数据的加密解密来实现机密性保护和或验证，并且可以使用E2EIK例如，通过签名和或MAC的生成核实来实现完整性保护和或验证。[0077]因为E2ECK和E2EIK都将不为V-PLMN所知，所以可以以可信方式传送用户平面数据，即使UE30经由V-PLMN的节点（SGSN20与GGSN40通信。此外，因为V-PL丽还不知道CK和IK因为在UMTSAKA示例中，使用CK’和IK’而不是使用CK和IK来用于保护空中接口，并且因为在EPSAKA中，CK和IK未被传送至SGSN20，所以对于V-PLMN而言推导出E2ECK和E2EIK在任何时候都将是极其困难的。特别地，对于SGSN20而言首先推导出或获得正确的CK和或IK将是必要的（从CK’和IK’推导出或获得正确的CK和或IK将是非常困难的，因为HSS10可能以不可逆方式从CK和或IK推导出这些），并且然后从CK和或IK进一步正确地推导出E2ECK和E2EIK。[0078]可以替换地如下描述上文参考图4所描述的实施例：程序：先决条件：-SGSNMME已向H-PL丽指示GERANE-UTRAN的所支持的安全配置，即所使用的机密性算法和完整性保护算法例如，对于GERAN而言:在使用中的GEA4，例如对于LTE而言，在使用中的128-EEA2和128-EIA2步骤：0.除如在UMTSAKA或者说EPSAKA中定义的生成的认证向量之外，AuC:-从CK并且在特定条件下从CK和IK的级联，参见条款Y.1•2.A推导出（被用于空中IFsec的）CK’IK’（UMTSAKA情况），并且将AMF位设置成1以向USIM指示需要对CK做KDF以获得可用的CKIK-从IK且在特定条件下从CK和IK的级联，参见条款Y.1.2.A推导出E2ECKIK-将AMF位设置成1以向SGSNMMEUE指示是否应推导出E2E密钥-在建立AV时且仅针对UMTSAKA情况，用新生成的CK’IK’替换CKIK。1.AV到SGSNMME的分发2.在SGSNMME层处继续UMTSAKA或EPSAKA，如在TS33.102或者说TS33.401中定义的。3.SGSNMME向UE发送认证请求消息，如在TS33.102或者说TS33.401中定义的。4.US頂运行UMTSEPSAKA并执行以下附加密钥推导：-来自CK并且在特定条件下来自CK和IK的级联，参见条款Y•1•2.A的被用于空中IFsec的CK’IK’（仅UMTSAKA情况），如果指示必须做KDF的AMF位被设置成值1的话-来自IK并且在特定条件下来自CK和IK的级联，参见条款Y.1.2.A的E2ECKIK，如果指示必须做E2EKDF的AMF位被设置成值1的话5.UE向SGSNMME发送认证响应消息，如在TS33.102或者说TS33.401中定义的。6a.针对GPRS系统:在成功的UMTSAKA程序时，SGSN例如用GTP-C消息，诸如请求fDP上下文激活将来自AV的SQN值或RAN和关联IMSI发送至GGSN6b•针对LTE系统:在成功的EPSAKA程序时，MME例如用GTP-C消息，诸如修改承载命令将SQN值域RAND和关联IMSI发送至P-GW7.GGSNP-GW通过提供SQN值或RAND和关联IMSI而从HSSHLRAuC获取E2ECKIK密钥。[0079]图1至4都表示其中特殊密钥、E2ECK和E2EIK被在UE30和GGSN40处建立且可以被用于以可信方式执行用户平面数据在UE30与GGSN40之间的E2E传送的实施例。[0080]图5示出了表示本公开的另一实施例的系统500的高度示意性表示。在本实施例中，将特殊密钥、PLMN间UPCK和PLMN间UPIK共同地称为PLMN间密钥）用于在UE30与GGSN40之间传送的用户平面数据的PLMN间机密性保护和或验证和或完整性保护。[0081]本实施例的以下描述的示例的过程步骤可以例如通过UE30第一次加入V-PUIN例如，用作为会话创建通信——3GPPTS23•401的部分的PDN连通性请求而发起。步骤0.类似于上文参考图1所描述的步骤0•，但是并未推导出第一和第二特殊密钥在本示例中，GGSN40还没有为HSS10所知）。[0082]针对UMTSAKA，在步骤0•中，HSS10如上文参考图1所描述的那样推导出CK’和IK\HSS10用CK’和IK’来替换认证向量中的CK和IK，并且将保留的AMF位设置成向UE30指示需要密钥推导以便获得供在UMTSAKA程序中使用的CK’和IK’。[0083]在步骤1•中，HSS10向SGSN20传送认证向量。[0084]步骤2•至5•与上文参考图1所描述的步骤2.至5.相同。[0085]在步骤6•中，SGSN20向HSS10传送通知消息。可以在如在3GPPTS29.060中定义的）成功的PDP上下文激活时发送通知。通知可以包括以下各项中的至少一个:UE的IMSI或UE30的任何其它适当的标识符；（如在AKA标准中定义的SQN值或RAND;以及GGSN40的地址（例如，GGSN40的IP地址或任何其它适当的地址类型hSGSN20可能己在早先的步骤期间或者在任何其它时间从UE30获得GGSN40的地址。[0086]在步骤7中，在接收到通知消息之后，HSS10推导出第一特殊密钥PLMN间UPCK。PL丽间UPCK可以被SGSN20和GGSN40用于在UE30与GGSN40之间传送的用户平面数据的机密性保护和或验证如稍后更详细地解释的）ALMN间UPCK被推导出为不同于CK和IK。可以从CK和种子lSEEDl其可以例如是随机值或计数器推导出PIJ1N间UPCK。可以用任何适当的方式推导出PLMN间UPCK，例如使用HMACSHA256或任何其它适当的算法函数。可选地，HSS10还可以例如通过生成随机或伪随机数或者通过（以与上文关于E2E密钥ID所描述的方式类似的方式使用KDF而生成用于PLMN间UPCK的密钥ID。[0087]HSS10还推导出第二特殊密钥（PLMN间UPIKhPLMN间UPIK可以被SGSN20和GGSN40用于在UE30与GGSN40之间传送的用户平面数据的完整性保护和或验证如稍后更详细地解释的）。PLMN间UPIK被推导出为不同于CK和IK。可以从CK和种子1推导出PLMN间UPIK。可以以任何适当的方式推导出PLMN间UPH，例如使用HMACSHA256或任何其它适当的算法函数。可选地，HSS10还可以针对PLMN间UPIK或者通过（以与上文关于E2E密钥ID所描述的方式类似的方式使用KDF而生成密钥ID。[0088]在一个示例密钥生成程序中，如果CK为128位长，则可以通过以下来推导出PLMN间UPCK和PLMN间UPIK:PLMN间UPCK=HFCK||种子1，SGSNID||GGSNID||密钥类型）PLMN间UPIK=KDFCK||种子1，SGSNID||GGSNID||密钥类型）。[0089]在另一示例密钥生成程序中，如果CK为256位长，则可以通过以下来推导出PLMN间UPCK和PL丽间UPIK:PLMN间UPCK=KDFCK，种子l||SGSNID||GGSNID||密钥类型）PLMN间UPIK=KDFCK，种子l||SGSNID||GGSNID||密钥类型）。[0090]在这些示例中，种子1可以是计数器或随机值，GGSNID可以是GGSN40的任何适当的标识符，例如GGSN2〇的IP地址，并且SGSNID可以是SGSN20的任何适当的标识符，例如SGSN20的IP地址。[0091]在这些示例中，可以将密钥推导函数写为KDF密钥，S，密钥类型”或S可以是恒定静态值，如早先关于E2E密钥所描述的。被用于密钥推导函数的算法可以是HMACSHA256如在3GPPTS33.220中定义的），但是将领会，可以替换地使用任何其它密钥推导函数。可以用非常难以或不可能根据PLMN间UPCK和或PLMN间UPIK来确定CK和或IK的这样的方式推导出PLMN间UPCK和PLMN间UPIK。[OO92]上文的用于生成PLMN间UPCK和PLMN间UPIK的密钥生成程序仅被描述作为示例。可以替换地使用其它适当的密钥生成程序。[0093]在步骤8a•中，HSS10向SGSN20传送PL丽间UPCK和PL丽间UPIK并且可选地传送PLMN间UPCK密钥ID和PLMN间UPIK密钥ID在LTE和S4-SGSN情况下，这些数据然后可以被SGSN20提供给S-GW。[0094]在步骤8b.中，HSS10向GGSN40推送PL丽间UPCK和PL丽间UPIK并且可选地推送PLMN间UPCK密钥ID和PLMN间UPIK密钥IDJLMN间UPCK和PLMN间UPIK可以被级联PL丽间UPCK||PL丽间UPIK以用于传送至GGSN40,使得PLMN间UPCK从位0转到位127且PLMN间UPIK从位128转到位255或者替换地，PLMN间UPIK从位0转到位127且PLMN间UPCK从位128转到位255。同样地，PLMN间UPCK密钥ID和PLMN间UPIK密钥ID可以被级联PLMN间UPCK密钥ID||PLMN间UPIK密钥ID以用于传送至GGSN40,使得PLMN间UPCK密钥ID从位0转到位127且PLMN间UPIK密钥ID从位128转到位255或者替换地，PLMN间UPIK密钥ID从位〇转到位127且PLMN间UPCK密钥ID从位128转到位255。步骤8b.因此类似于上文参考图1所描述的步骤lb.。[0095]SGSN20和GGSN40二者现在具有PLMN间UPCK和PLMN间UPIK并且可选地具有PLMN间UPCK密钥ID和PLMN间UPIK密钥ID，使用其可以以可信方式执行用户平面数据在这两个固定网络间元件之间（例如，经由SGSN-GGSN接口或SGW-PGW接口）的传送，使得SGSN20可以代表UE30确保用户平面数据的机密性和或完整性。特别地，可以使用PLMN间密钥，使得被访问网络（例如，使用签名MAC的生成核实和或用户平面数据的加密解密，类似于上文所描述的E2E密钥可以代表UE20提供用户平面数据起源真实性和或机密性，使得H-PLMN可以实现朝向作为端点实体的被访问网络的较高信任水平。这可以通过使用PLMN间密钥来保护用户平面数据最低层是N-PDU分组），例如通过加密解密和或签名MAC的使用，而实现。[0096]另外或替换地，例如通过加密解密来保护诸如GTP报头之类的较低层消息是可能的。这可以用来提供订户身份隐私保护。[0097]因此，甚至在H-PLMN与被访问网络之间的通信链路载送GTP分组且不被信任的情况下，甚至可以实现以可信方式进行通信。此外，可以借助于成功的AKA程序来以可信方式执行用户平面数据在UE30与SGSN20之间的传送。因此，可以使用特殊密钥PLMN间UPCK和PL丽间UPIK来以可信方式执行用户平面数据在UE30与GGSN40之间的传送。[0098]在替换方案中，可以采用GGSN拉取程序，而不是HSS10向GGSN40推送PLMN间UPCK和PlilN间UPIK并且可选地推送PLMN间UPCK密钥ID和PLMN间UPIK密钥ID。在本替换方案中，在步骤5.之后，SGSN20可以向GGSN40传送以下各项中的至少一个:UE的IMSI或UE30的任何其它适当的标识符）；PLMN间UPCK密钥ID和PLMN间UPIK密钥ID;和或SQN值或RAND。这类似于上文参考图3和4所描述的步骤6.AGSN40然后可以使用这些中的至少一个来从HSS10拉取PLMN间UPCK和PLMN间UPIK并且可选地拉取PLMN间UPCK密钥ID和PLMN间UPIK密钥ID。因此，可以看出用于获得PLMN间UPCK和PLMN间UPIK的GGSN拉取程序类似于上文参考图3和4所描述的GGSN拉取程序。[0099]在替换方案中，当发起上文所描述的过程步骤时，GGSN40可以为HSS10所知。例如，UE30可能正在用（在3GPPTS23.401中定义的）至少包括GGSN40的地址的TON连通性请求第一次加入V-PLMN。替换地，SGSN20可能正在请求用于已在V-PMN上注册的UE30的新认证向量。在此实例中，因为HSS10知道GGSN40的地址，所以除上文所描述的步骤0•的过程之外，HSS10还可以生成PL丽间UPCK和PLMN间UPIK且可选地还生成PLMN间UPCK密钥ID和PL丽间UPIK密钥ID。[0100]HSS10然后可以在步骤1•中用认证向量向SGSN20传送PLMN间UPCK和PLMN间UPIK且可选地还传送PMN间UPCK密钥ID和PLMN间UPIK密钥ID。7•和8a•然后将不是必要的。此外，步骤6.将是可选的，因为HSS10可以根据上文所描述的HSS推送或GGSN拉取程序在任何适当的时间向GGSN40传送PU1N间UPCK和PUMN间UPIK且可选地还传送PLMN间UPCK密钥ID和PL顧间UPIK密钥ID。[0101]在另一替换方案中，可以在己存在SGSN中的改变时发起上文所描述的过程。在此实例中，HSS10可以接收指示已存在SGSN20改变或在SGSN20进行S4接口使用的情况下的S-GW改变）的LAURAUTAU通知，或指示已存在SGSN的改变且可选地还已存在GGSN中的改变的（如在3GPPTS29.060中定义的成功更新PDP上下文消息交换的通知。在此实例中，先前的PLMN间密钥不应被传送至新的SGSN20,因为其表示特定SGSN与GGSN之间的独特关联。如果新SGSN是与先前SGSN相同的PLMN的部分，则在步骤0•中，HSS10可以仅生成新的种子1值并使用它连同新SGSN地址和新GGSN地址，在相关的情况下）来生成新的PLMN间UPCK和新的PLMN间UPIK且可选地还生成新的PLMN间UPCK密钥ID和新的PLMN间UPIK密钥ID。这些数据然后可以被传送至新的SGSN在没有也传送认证向量的情况下）以及GGSN40或者新的GGSN，在相关的情况下）。上文所描述的其它步骤随后将都不需要着手进行，因为新的SGSN和GGSN40或新的GGSN，在相关的情况下将都具有新的PLMN间密钥和新的PLMN间密钥ID。然而，如果新的SGSN不是与先前的SGSN相同的PLMN的部分（S卩，其属于不同的PLMN，则HSS10不应直接地生成新的PLMN间UPCK和新的PLMN间UPIK。代之以，应运行新的AKA程序，并且通过执行上文所描述的步骤0•至8b•来建立新的PLMN间密钥。这样，可以在SGSN间移动性期间维持PLMN间安全。[0102]可以替换地如下描述上文参考图5所描述的示例实施例：程序：先决条件：-SGSNMME已向H-PLMN指示GERANE-UTRAN的所支持的安全配置，即所使用的机密性算法和完整性保护算法例如，对于GERAN而言:在使用中的GEA4，例如对于LTE而言，在使用中的128-EEA2和128-EIA2步骤：0.除如在UMTSAKA或者说EPSAKA中定义的生成的认证向量之外，AuC:-从CK且在特定条件下从CK和IK的级联，参见条款Y.l.2.A推导出（被用于空中IFsec的）CK’IK’（UMTSAKA情况），并且将AMF位设置成1以向USIM指示需要对CK做KDF以获得可用的CKIK-生成随机数种子1-当且仅当HLRHSS已经知道当前GSNP-GWID时从CK和种子1推导出PLMN间UPCKIK参见条款Y.l.2.A以理解密钥推导函数）-将AMF位设置成1以向UE指示是否应推导出CK’IK’-在建立AV时且仅针对UMTSAKA情况，用新生成的CK’IK’来替换CKIK。1.AV到SGSNMME的分发。另外，HLRHSSAuC可以包括：-PLMN间UPCKIK，如果其已被生成的话。2•在SGSNMME层处继续UMTSAKA或EPSAKA，如在TS33.102或者说TS33.401中定义的。3.SGSNMME向UE发送认证请求消息，如在TS33.102或者说TS33.401中定义的。4.USIM运行UMTSEPSAKA并执行以下附加密钥推导：-来自CK且在特定条件下来自CK和IK的级联，参见条款Y.1.2.A的（被用于空中IFsec的CK’IK’（仅UMTSAKA情况），如果指示必须做KDF的AMF位被设置成值1的话5.UE向SGSNMME发送认证响应消息，如在TS33.102或者说3GPPTS33.401中定义的。6.SGSNMME应向HLRHSS发送通知具有IMSI、SQN值或RAND和GGSNP-GW地址的通知消息：-在如3GPPTS29.060中定义的成功的？0?上下文激活或者说?0~连通性请求，参见3〇??1323.401时，如果其在步骤1.期间未被提供?11^间现011的话-在如在3GPPTS29.060中定义的成功的更新TOP上下文消息交换时。7.HSSHLR应从CK和种子1值推导出PLMN间UPCKIK:-在有来自步骤6.的通知时-否则在有LAUARUTAU通知时，其意味着已发生SGSNMME改变或者SGSN进行S4接口使用的情况下的S-GW改变）。在推导出PUMN间UPCKIK之前应生成新的随机值种子1。注意：如果新的SGSNMME属于另一服务网络，则HLRHSS不应返回新的PLMN间UPCKIK值。应代之以运行新的UMTSAKA或者说EPSAKA。8a.HSSAuC向SGSNMMES-GW发送PLMN间用户平面CKIK和生成的密钥ID。8b.HSSHLRAuC向GGSNP-GW推送以下各项：-新的PL丽间UPCKIK和生成的密钥ID。[0103]针对PLMN间安全的SGSN间移动性影响：当SGSN改变时，不可将当前PLMN间UP密钥传输至新的SGSN，因为所述密钥表不特疋SGSN与GGSN之间的独特关联。[0104]请注意：需要将地址用于GERAN的是FFS用于进一步研宄：用于用户业务的GGSN地址可以是正确的地址候选。针对记录:如果存在SGSN间移动性，则在前向重定位请求响应之后，新SGSN将发送更新PDP上下文请求。GGSN还可以在更新PDP上下文响应中传输新的063附也址。参见30??1329.060中的条款7.7.29。[0105]可以替换地如下描述先前关于E2E密钥和PLMN间密钥二者所描述的密钥推导程序：Y.1.2.A密钥推导规则以下是实现密钥推导规则的一个可能方式。可以定义其它可能的实现选项。[0106]密钥推导函数应被UICC和HLRHSSAuC支持，并且在下文被写为KDF密钥，S。[0107]密钥推导算法应为（如在30??1333.220中定义的）迅仏03骱256。[0108]针对UMTSAKA情况，如果在256位的初始CK长度的情况下使用Tuak，则应用以下密钥推导：-CK’||IK’=KDFCK，密钥类型）。密钥推导算法在此实例中应为（如在3GPPTS33.220中定义的）歷03拟256。请注意:CK’从位0转到位127，IK’从位128转到位255。[0109]针对UMTSAKA情况，如果在128位的初始CK和IK长度的情况下使用Milenage或Tuak，则应用以下密钥推导：-0’||11’=即卩0||11，密钥类型）。请注意:CK’从位0转到位127，IK’从位128转到位255。[0110]如果CKIK为128位长，则应用以下密钥生成程序：-PLMN间UPCKIK=KDFCK||种子1，||SGSNID||GGSNID||密钥类型）-E2ECKIK=KDFCK||IK，密钥类型）-E2ECKIK密钥ID=KDFCK||IK，密钥类型）请注意:E2ECK或者说E2ECK密钥、E2ECK密钥ID、PL丽间UPCK从位0转到位127，E2EIK或者说E2EIK密钥、E2EIK密钥ID、PLMN间UPIK从位128转到位255。[0111]如果CK和IK为256位长，则应用以下密钥生成程序：-PLMN间UPCK=KDFCK，种子1||SGSNID||GGSNID||密钥类型）-PLMN间UPIK=KDFCK，种子11|SGSNID||GGSNID||密钥类型）-E2ECK=KDFIK，密钥类型）-E2EIK=KDFIK，密钥类型）-E2E密钥ID=KDFIK，密钥类型）种子1:计数器或随机值SGSNID:FFS用于进一步研究）。[0112]如可以领会的，所有上文的实施例利用AKA程序且与其兼容，诸如UMTSAKA和EPSAKA。通过执行上文所描述的程序，可以（例如通过使用E2E密钥或pLMN间密钥来:生成核实签名和或MAC;和或对用户平面数据进行加密解密）以可信方式在UE3〇与GGSN4〇之间传送用户平面数据而不要求使用TLS和GBA。因此，本公开的过程与TLS和GBA相比实现效率方面的显著改进，特别是在蜂窝网络向UE30提供非常低吞吐量的连接的情况下。这不仅使得建立可信通信的过程更快速，其还减少了UE130的能量消耗其可以改进电池寿命）。[0113]此外，上文的实施例保持与在3GPPTS33.401中定义的UE与E-UTRAN之间的现有安全程序兼容。其还在如在3GPPTS33.102中定义的那样使用UMTSAKA时保持与UE和GERAN之间的现有安全程序兼容。[0114]此外，可以基于每个设备和或业务类型而设置不同的安全策略，例如仅机密性保护诸如加密解密或仅验证完整性保护诸如签名和或MAC或二者。参考图5所描述的PLMN间实施例还去除了在不同的网络之间协商VPN密钥的需要并使得能够实现起源认证。[0115]此外，可以由HSS10驱动认证和密钥使用策略。V-PLMN通常具有很少或不具有关于UE30的信息，因为UE30将大部分应对H-PLMN，因此在V-PLMN侧处不适当的地定义的认证策略可能损害UE30的电池寿命。H-PLMN将被更好地告知要使用的最佳认证策略，因此HSS10驱动的认证策略可以使得H-PLMN能够实现系统中的效率和或改进，例如UE30的电池寿命中的上文所描述的改进。[0116]特别地，如果SGSN20例如，通过运行多个AKA程序）请求多组认证数据，则SGSN20可能被迫优先地使用具有如上文所描述的那样设置的保留的AMF位的认证数据例如，认证向量），从而优先地使用上文所描述的更加高效的过程。此外，HSS20可以被配置成向SGSN20返回仅一个认证向量或比所请求的少的认证向量），不管针对每个SGSN20认证请求由SGSN20所请求的认证向量的数目如何。可以针对其向SGSN20传送的每个认证向量指示到期时间。当认证向量到期时，SGSN20可以被配置成使用存储的、未使用的且未到期的认证向量对具有如上文所描述的那样设置的保留的AMF位的认证向量的使用划分优先次序或者从HSS20请求新的认证向量。这样，H-PLMN可以通过要求V-PLMN在规则或半规则的基础上获得新的认证向量来维持对认证和密钥使用策略的较长期控制。[0117]可以替换地如下描述认证和密钥使用策略：H-PU1N被更好地告知最佳认证策略，其将使UE的电池容量最大化。V-PUWN不具有关于MTC客户的足够信息其主要应对H-PLMN。因此需要HLRHSS驱动的认证策略。[0118]保留AMF位以指示是否必须由USIM推导出E2E密钥。如果SGSNIME已从HSS请求许多认证数据，则SGSNMME应首先使用具有请求被推导的E2E密钥的AMF位的那个。HLRHSS应依照SGSNMMEAV请求仅返回具有被设置成请求E2E密钥推导的AMF位的一个AV。[0119]HLRHSS还应向认证向量提供到期时间。当达到到期时间时，SGSNMME应使用存储的、未使用的且未到期的AV或者向HLRHSS请求新的AV。[0120]当HLRHSS被请求不止一个AV时，其可以向SGSNMME返回不同数目的Av始终不及所请求的量。[0121]下文描述本公开的各种方面和实施例。将领会，这些方面和实施例仅被描述作为特定示例，并且可以采用许多变化或修改。[0122]例如，在参考图1至4所描述的实施例中，E2ECK和E2EIK二者由HSS10和UE30推导出并被传送至GGSN40。然而，E2ECK和E2EIK中的仅一个可以由HSS10和或UE30推导出。替换地，E2ECK和E2EIK二者可以由HSS10推导出（并且一个或二者由UE30推导出），但是仅一个被传送至GGSN40。在本替换方案中，如果UE3〇和GGSN40二者具有E2ECK但没有E2EIK，则可以通过将E2ECK用于机密性保护和或验证而以可信方式传送用户平面数据。如果UE30和GGSN40二者具有E2EIK但没有E2ECK，则可以通过将E2EIK用于完整性保护和或验证而以可信方式传送用户平面数据。[0123]即使UE30和GGSN40二者具有E2ECK和E2EIK，但可能仅一个被用于在这二者之间传送用户平面数据。[0124]同样地，在参考图5所描述的实施例中，PLMN间UPCK和PLMN间UPIK二者由HSS10和SGSN20推导出并被传送至SGSN20和GGSN40。然而，PLMNUPCK和PLMN间UPIK中的仅一个可以由HSS10推导出并被提供给SGSN20和GGSN40。替换地，HSS10可以推导出PLMNUPCK和PL丽间UPK二者，但是将仅一个传送至SGSN20和GGSN40。在本替换方案中，如果SGSN20和GGSN40二者都具有PLMN间UPCK但没有PLMN间UPIK，则可以通过将PLMN间UPCK用于机密性保护和或验证而以可信方式传送用户平面数据。如果SGSN20和GGSN40二者都具有PLMN间UPIK但没有PLMN间UPCK，则可以通过将PLMN间UPIK用于完整性保护和或验证而以可信方式传送用户平面数据。[0125]即使SGSN20和GGSN40二者具有PLMN间UPCK和PLMN间UPIK，但可能仅一个被用于在这二者之间传送用户平面数据。[0126]在另一替换方案中，E2ECK和E2EIK可以是相同的，使得可以有效地使用单个密钥来执行E2ECK和E2EIK二者的功能。同样地，PLMN间UPCK和PLMN间UPIK可以是相同的，使得可以有效地使用单个密钥来执行PLMN间UPCK和PLMN间UPIK二者的功能。[0127]因此，可以看出，可以基于每个设备和或业务类型而设置不同的安全策略，例如仅机密性保护诸如加密解密或仅验证完整性保护诸如签名和或MAC或二者。[0128]此外，在生成密钥ID作为参考图1至4所描述的实施例的部分时，可以以任何其它方式生成密钥ID，而不是如上文所描述的那样使用KDF。例如，密钥ID可以是随机数或伪随机数。在此情况下，可以将密钥ID连同认证向量或者作为认证向量的部分从HSS10传送至SGSN20,并且SGSN20可以进而将其转发至UE30,例如在步骤3中。[0129]在上文所描述的实施例中，将E2ECK和E2EIK以及E2ECK密钥ID和E2EIK密钥ID描述为是从IK或CK和IK推导出的。在替换方案中，其可以是从CK推导出的。同样地，虽然将PLMN间UPCK和PlilN间UPIK描述为是从CK推导出的，但其可以替换地是从IK或CK和IK推导出的。同样地，虽然将CK’和IK’描述为是从CK或CK和IK推导出的，但其可以替换地是从IK推导出的。[0130]在公开的实施例中的一些中，使用用于E2ECK和E2EIK或者PLIWN间UPCK和PLMN间UPIK的密钥ID，作为例如，在关于图3所描述的GGSN拉取实现中）所描述的过程的部分。将领会，甚至当密钥ID未被用作上文描述的过程的部分时，其仍然还可以由HSS10和或UE3〇生成并可选地被传送至SGSN20和或GGSN40例如，使得其可以被用于密钥跟踪等）。[0131]在上文公开的实施例中，针对UMTS-AKA程序，将CK’和IK’插入到认证向量中并用于AKA程序来代替CK和IK。然而，将领会，在替换方案中，可以在认证向量中使用CK和IK，并且可以遵循在标准中定义的通常的UMTS-AKA程序。[0132]在上文描述的实施例中，认证向量具有保留的AMF位，用于向UE30指示要求密钥推导（以获得E2E密钥和或CK’和IK’）。将领会，可以以任何其它适当的方式向UE30指示这一点，例如通过以不同方式修改认证向量或者通过上文所描述的通信步骤内的不同手段例如，通过在通信步骤1.la中包括附加数据以用于在步骤3中转发至ue20等）或者用其它一个或多个通信步骤。'[0133]在图中，示出了HSS10、SGSN20、UE30与GGSN40之间的直接通信。然而，将领会，通信可以经过任何数目的中间实体，例如网络路由服务器等。此外，虽然HSS10、SGSN20和GGSN40在图中已被表示为单个元件，但将领会，可以例如在服务器实例的集群布置中将它们中的任何一个或多个实现为两个或更多实体，其中每个实体可以位于相同的地理位置或不同的地理位置中。此外，可以将HSS10、SGSN20和GGSN40中的一个或多个实现为多用途实体的部分，例如作为服务器内的软件或功能元件或者作为可编程逻辑、固件或可配置系统。[0134]此外，虽然上文的描述涉及保护在UE30与GGSN40之间传送的用户平面数据，但将领会，可以使用所公开的过程在UE30与任何网络实体之间以可信方式传送用户平面数据。此外，可以将GGSN40或与UE20通信的任何其它归属网络实体所支持的安全功能一般化为逻辑节点或网络实体）。逻辑节点（或网络实体可以与GGSN40搭配或者被GGSN40支持。

权利要求：1.一种用于经由蜂窝网络的节点在移动终端与网络实体之间的安全通信的方法，其中移动终端的归属公用陆地移动网PLMN生成加密密钥CK和或完整性密钥IK以用于移动终端的认证，并且其中移动终端与蜂窝网络的节点之间的认证和密钥协商AKA程序的执行准许移动终端确定CK和或IK，方法包括：应用特殊密钥以允许用户平面数据以可信方式在移动终端与网络实体之间的传送，其中特殊密钥是根据CK和或IK生成的但是不同于CK和IK。2.权利要求1的方法，其中特殊密钥是第一特殊密钥，并且应用第一特殊密钥的步骤允许对用户平面数据的机密性保护和或验证，方法进一步包括：应用第二特殊密钥以允许对在移动终端与网络实体之间传送的用户平面数据的完整性保护和或验证，其中第二特殊密钥是根据CK和或IK生成的但是不同于CK和IK。3.权利要求1或权利要求2的方法，进一步包括：以这样的方式根据CK和或IK生成一个或多个替换密钥，所述方式为不能从所述一个或多个替换密钥推导出CK和IK，所述一个或多个替换密钥不同于特殊密钥；以及使用所述一个或多个替换密钥作为移动终端与蜂窝网络之间的AKA程序的部分。4.权利要求3的方法，进一步包括：将包括所述一个或多个替换密钥的认证向量从归属PLMN中的归属注册实体传送至移动终端所使用的被访问PLMN中的访问者注册实体。5.任何前述权利要求的方法，进一步包括：在蜂窝网络与移动终端之间传送认证管理字段标志，指示特殊密钥的使用和或一个或多个替换密钥的使用。6.任何前述权利要求的方法，其中特殊密钥是在移动终端处生成的，应用特殊密钥的步骤包括使用特殊密钥在移动终端处对用户平面数据进行安全保护和或验证。7.任何前述权利要求的方法，其中特殊密钥是在归属PLMN中的归属注册实体处生成的，应用特殊密钥的步骤包括将特殊密钥从归属注册实体传送至网络实体。8.权利要求7的方法，其中响应于生成特殊密钥的步骤而执行将特殊密钥从归属注册实体传送至网络实体的步骤。9.权利要求7的方法，进一步包括：在归属注册实体处从移动终端所使用的被访问PLMN中的访问者注册实体接收AKA认证结果.并且其中响应于接收到AKA认证结果消息而执行将特殊密钥从归属注册实体传送至网络实体的步骤。10.权利要求9的方法，其中AKA认证结果消息标识网络实体的路由地址，传送特殊密钥的步骤使用所标识的路由地址。11.权利要求7的方法，进一步包括：__从网络实体向归属注册实体传送拉取消息，拉取消息提供用于标识移动终端的指亦数据;并且其中响应于接收到拉取消息而执行将特殊密钥从归属注册实体传送至网络实体的步骤。12.权利要求11的方法，其中用于标识移动终端的指示数据包括以下各项中的一个或多个:与移动终端相关联的密钥标识符;从用于移动终端的认证向量推导出的认证数据项，所述认证向量被从归属注册实体传送至移动终端所使用的被访问PLMN中的访问者注册实体;用于移动终端的国际移动订户身份IMSI;以及用于移动终端的移动订户ISDN。13.权利要求11或权利要求12的方法，进一步包括：在将拉取消息从网络实体传送至归属注册实体的步骤之前，将用于标识移动终端的指示数据从被访问PLMN中的访问者注册实体传送至网络实体。14.任何前述权利要求的方法：其中特殊密钥是在归属PLMN中的归属注册实体处生成的，应用特殊密钥的步骤包括：将特殊密钥从归属注册实体传送至移动终端所使用的被访问中的访问者注册实体；以及在访问者注册实体处使用特殊密钥来以可信方式传送用户平面数据。15.任何前述权利要求的方法，进一步包括：根据CK和或IK生成特殊密钥。16.任何前述权利要求的方法，其中特殊密钥进一步是根据随机数种子生成的，仅针对特殊密钥而生成随机数种子。_17.—种计算机程序，被配置成当被处理器操作时根据任何前述权利要求的方法进行操作。18.—种网络节点，被配置成根据权利要求1至5和7至16中的任一个进行操作。19.一种移动终端，被配置成根据权利要求1至6、15和16中的任一个进行操作。

百度查询： 沃达方IP许可有限公司 蜂窝网络中的安全改进

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD