快速接入方法和装置制造方法

xiaoxiao2020-9-10  3

【知识产权代理】【专利服务】Tel:18215660330

快速接入方法和装置制造方法
【专利摘要】一种快速接入方法可以包括:建立第一网络节点和用户设备之间的第一安全连接;从第二网络节点获取第一信息,其中第一信息包括下述中的至少一种:第二网络节点的系统信息,以及由第二网络节点选择用于用户设备的安全算法的标识符;响应于来自用户设备的对第二网络节点的指示,向第二网络节点提供第二信息,其中第二信息包括与用户设备相关的安全信息;以及将第一信息发送给用户设备,用于建立用户设备和第二网络节点之间的第二安全连接。
【专利说明】快速接入方法和装置

【技术领域】
[0001] 本发明一般涉及通信网络。更具体地,本发明涉及一种快速接入方法和装置。

【背景技术】
[0002] 现代通信时代已经引起通信网络的巨大扩张。无线和移动联网技术已经解决了相 关的顾客需求,同时提供更灵活和即时的信息传递。在诸如长期演进(LTE)网络的通信系 统中,在用户设备(UE)发起无线电资源控制(RRC)消息和非接入层面(NAS)消息的传输之 前,需要分别激活用于接入层面(AS)和NAS的安全模式命令(SMC)过程。安全过程和系统 信息采集是耗时的,其在用户接入通信网络时引入很多时延。加速通信网络中用户的接入 过程的解决方案可能是期望的。


【发明内容】

[0003] 本说明书引入了一种用于快速接入通信网络的解决方案,其可以在享受通信服务 时加快用户的接入过程并带来良好的用户体验。
[0004] 根据本发明的第一方面,提供了一种方法,包括:建立第一网络节点和UE之间的 第一安全连接;从第二网络节点获取第一信息,其中第一信息包括第二网络节点的系统信 息、以及由第二网络节点选择用于UE的安全算法的标识符中的至少一种;响应于来自UE的 对第二网络节点的指示,向第二网络节点提供第二信息,其中第二信息包括与UE相关的安 全信息;以及将第一信息发送到UE,用于建立UE和第二网络节点之间的第二安全连接。
[0005] 根据本发明的第二方面,提供了一种装置,包括:至少一个处理器;以及包括计算 机程序代码的至少一个存储器;至少一个存储器和计算机程序代码被配置成利用至少一个 处理器使装置至少执行以下操作:建立装置和UE之间的第一安全连接;从另一个装置获取 第一信息,其中第一信息包括另一个装置的系统信息、以及由另一个装置选择用于UE的安 全算法的标识符中的至少一种;响应于来自UE的对另一个装置的指示,向另一个装置提供 第二信息,其中第二信息包括与UE相关的安全信息;以及将第一信息发送到UE,用于建立 UE和另一个装置之间的第二安全连接。
[0006] 根据本发明的第三方面,提供了一种计算机程序产品,其包括承载体现在其中的 用于与计算机一起使用的计算机程序代码的计算机可读介质,计算机程序代码包括:用于 建立第一网络节点和UE之间的第一安全连接的代码;用于从第二网络节点获取第一信息 的代码,其中第一信息包括第二网络节点的系统信息、以及由第二网络节点选择用于UE的 安全算法的标识符中的至少一种;用于响应于来自UE的对第二网络节点的指示,向第二网 络节点提供第二信息的代码,其中第二信息包括与UE相关的安全信息;以及用于将第一信 息发送到UE以建立UE和第二网络节点之间的第二安全连接的代码。
[0007] 根据本发明的第四方面,提供了一种装置,包括:用于建立装置和UE之间的第一 安全连接的建立单元;用于从另一个装置获取第一信息的获取单元,其中第一信息包括另 一个装置的系统信息、以及由另一个装置选择用于UE的安全算法的标识符中的至少一种; 用于响应于来自UE的对另一个装置的指示,向另一个装置提供第二信息的提供单元,其中 第二信息包括与UE相关的安全信息;以及用于将第一信息发送到UE以建立UE和另一个装 置之间的第二安全连接的发送单元。
[0008] 根据示例性实施例,本发明的第二/第四方面中的装置可以包括第一网络节点, 并且本发明的第二/第四方面中的另一个装置可以包括第二网络节点。在示例性实施例 中,建立第一网络节点和UE之间的第一安全连接可以包括获取用于第一安全连接的第一 安全密钥,以及其中与UE相关的安全信息可以包括:UE的标识符、以及至少部分地基于第 一安全密钥生成的第二安全密钥。例如,第一信息可以通过第一网络节点和第二网络节点 之间的直接接口或间接接口获取。根据示例性实施例,第一安全连接在第二安全连接被建 立时仍然被维持。
[0009] 根据本发明的第五方面,提供了一种方法,包括:建立第一网络节点和UE之间的 第一安全连接;将对第二网络节点的指示发送到第一网络节点;以及从第一网络节点接收 第一信息,用于建立UE和第二网络节点之间的第二安全连接,其中第一信息包括第二网络 节点的系统信息、以及由第二网络节点选择用于UE的安全算法的标识符中的至少一种。 [0010] 根据本发明的第六方面,提供了一种装置,包括:至少一个处理器;以及包括计算 机程序代码的至少一个存储器;至少一个存储器和计算机程序代码被配置成利用至少一个 处理器使装置至少执行以下操作:建立第一网络节点和装置之间的第一安全连接;将对第 二网络节点的指示发送到第一网络节点;以及从第一网络节点接收第一信息,用于建立装 置和第二网络节点之间的第二安全连接,其中第一信息包括第二网络节点的系统信息、以 及由第二网络节点选择用于装置的安全算法的标识符中的至少一种。
[0011] 根据本发明的第七方面,提供了一种计算机程序产品,其包括承载体现在其中的 用于与计算机一起使用的计算机程序代码的计算机可读介质,计算机程序代码包括:用于 建立第一网络节点和UE之间的第一安全连接的代码;用于将对第二网络节点的指示发送 到第一网络节点的代码;以及用于从第一网络节点接收第一信息以建立UE和第二网络节 点之间的第二安全连接的代码,其中第一信息包括第二网络节点的系统信息、以及由第二 网络节点选择用于UE的安全算法的标识符中的至少一种。
[0012] 根据本发明的第八方面,提供了一种装置,包括:用于建立第一网络节点和装置之 间的第一安全连接的建立单元;用于将对第二网络节点的指示发送到第一网络节点的发送 单元;以及用于从第一网络节点接收第一信息以建立装置和第二网络节点之间的第二安全 连接的接收单元,其中第一信息包括第二网络节点的系统信息、以及由第二网络节点选择 用于装置的安全算法的标识符中的至少一种。
[0013] 根据示例性实施例,本发明的第六/第八方面中的装置可以包括UE。根据示例 性实施例,建立UE和第二网络节点之间的第二安全连接可以包括:至少部分地基于第一信 息、以及包括与UE相关的安全信息的第二信息来执行认证过程。根据另一个示例性实施 例,建立第一网络节点和UE之间的第一安全连接可以包括获取用于第一安全连接的第一 安全密钥,以及其中与UE相关的安全信息可以包括:UE的标识符、以及至少部分地基于第 一安全密钥生成的第二安全密钥。
[0014] 根据本发明的第九方面,提供了一种方法,包括:向第一网络节点报告第一信息, 其中第一信息包括第二网络节点的系统信息、以及由第二网络节点选择用于具有与第一网 络节点的第一安全连接的UE的安全算法的标识符中的至少一种;以及从第一网络节点接 收第二信息,用于建立第二网络节点和UE之间的第二安全连接,其中第二信息包括与UE相 关的安全信息。
[0015] 根据本发明的第十方面,提供了一种装置,包括:至少一个处理器;以及包括计算 机程序代码的至少一个存储器;至少一个存储器和计算机程序代码被配置成利用至少一个 处理器使装置至少执行以下操作:向另一个装置报告第一信息,其中第一信息包括装置的 系统信息、以及由装置选择用于具有与另一个装置的第一安全连接的UE的安全算法的标 识符中的至少一种;以及从另一个装置接收第二信息,用于建立装置和UE之间的第二安全 连接,其中第二信息包括与UE相关的安全信息。
[0016] 根据本发明的第十一方面,提供了一种计算机程序产品,其包括承载体现在其中 的用于与计算机一起使用的计算机程序代码的计算机可读介质,计算机程序代码包括:用 于向第一网络节点报告第一信息的代码,其中第一信息包括第二网络节点的系统信息、以 及由第二网络节点选择用于具有与第一网络节点的第一安全连接的UE的安全算法的标识 符中的至少一种;以及用于从第一网络节点接收第二信息以建立第二网络节点和UE之间 的第二安全连接的代码,其中第二信息包括与UE相关的安全信息。
[0017] 根据本发明的第十二方面,提供了一种装置,包括:用于向另一个装置报告第一信 息的报告单元,其中第一信息包括装置的系统信息、以及由装置选择用于具有与另一个装 置的第一安全连接的UE的安全算法的标识符中的至少一种;以及用于从另一个装置接收 第二信息以建立装置和UE之间的第二安全连接的接收单元,其中第二信息包括与UE相关 的安全信息。
[0018] 根据示例性实施例,本发明的第十/十二方面中的装置可以包括第二网络节点, 并且本发明的第十/十二方面中的另一个装置可以包括第一网络节点。根据示例性实施 例,与UE相关的安全信息可以包括:UE的标识符、以及至少部分地基于用于第一安全连接 的第一安全密钥生成的第二安全密钥。在示例性实施例中,建立第二网络节点和UE之间的 第二安全连接可以包括:至少部分地基于第一信息和第二信息执行认证过程。
[0019] 在本发明的示例性实施例中,所提供的方法、装置和计算机程序产品可以降低接 入通信网络的过程期间的时延,并加快UE的接入进度以获得通信网络所支持的服务。

【专利附图】

【附图说明】
[0020] 当结合附图阅读时,通过参考实施例的以下详细描述,本发明自身、优选的使用模 式、以及其它目的将被最好地理解,在附图中:
[0021] 图1示例性地示出考虑安全问题的用于UE的服务请求过程;
[0022] 图2是示出根据本发明的实施例,可以在第一网络节点处执行的快速接入方法的 流程图;
[0023] 图3是示出根据本发明的实施例,可以在UE处执行的快速接入方法的流程图;
[0024] 图4是示出根据本发明的实施例,可以在第二网络节点处执行的快速接入方法的 流程图;
[0025] 图5示出根据本发明的实施例,在UE接入接入点(AP)时的示例性安全过程;并且
[0026] 图6是适合用于实现本发明示例性实施例的各种装置的简化框图。

【具体实施方式】
[0027] 参考附图详细描述本发明的实施例。整个本说明书中对特征、优点、或类似语言的 提及并不意味着可以用本发明实现的所有特征和优点应该是本发明的单个实施例或者处 于其中。相反,提及特征和优点的语言应该被理解为意味着结合实施例描述的特定特征、优 点或特性被包括在本发明的至少一个实施例中。此外,所描述的本发明的特征、优点和特性 可以以任何适合的方式组合在一个或多个实施例中。本领域技术人员会认识到的是,可以 在没有特定实施例的一个或多个特定特征或优点的情况下实现本发明。在其他情况下,在 可能不存在于本发明所有实施例中的某些实施例中可能会认识到附加特征和优点。
[0028] 伴随着诸如LTE系统的无线电通信网络的发展,高速数据服务已经被作为最重要 的需求之一对待。尤其对于局域网(LAN)而言,从用户的角度期望更高的数据速率。如何 提供具有高速数据速率的本地服务已经成为3GPP(第三代合作伙伴项目)中的热点话题。
[0029] 被称为"局域演进(LAE) "的新架构被设计旨在部署一种局域系统,其提供关于峰 值数据速率、小区容量、服务质量(QoS)保证、干扰管理等的高性能。在LAE系统中,支持节 点(SN)概念被引入,并且它是位于核心网中的为LAE系统提供一些支持/控制/维护功能 的网络单元。就像LTE系统中的家庭演进节点B(HeNB)那样,基站(BS)位于提供局域网的 无线电接入网络(RAN)侧。UE可以维持两个连接,一个是与宏eNB的连接(宏连接),另一 个是与LAE BS的连接(LAE连接),其被称为"双无线电连接"。宏网络连接更稳定并被更 加仔细地管理,使得UE不会轻易丢失其连接,而LAE连接更多用于在局域中提供高速数据 服务和一些特性服务。另一种称为"LTE-LAN"的架构也被研究,以与全世界流行的无线保 真(WiFi)技术竞争。LTE-LAN基本上被假设为基于LTE技术,但是更专注于一些局域应用 情况和方案,并且其与LAE概念具有很多类似性。LTE-LAN也被期望以低成本为用户提供高 性能本地服务。LAE架构中的BS可以被看做LTE-LAN系统中的AP。LTE-LAN和LTE宏网络 是可以工作在不同频带的独立网络。迄今为止,类似X2或类似S1的接口可以被引入在不 同AP之间以及在AP与eNB之间,这是由于会利用该接口开发出许多特征(例如载波聚合、 干扰管理等)。
[0030] 例如,在LTE系统中,执行用于AS的系统采集过程和认证过程以支持UE和网络节 点(诸如服务eNB)之间的RRC连接。图1示例性地示出考虑安全问题的用于UE的服务请 求过程。当UE试图建立与服务eNB的RRC连接时,该UE需要从服务eNB读取系统信息。此 夕卜,在UE发起RRC消息和NAS消息的传输前,需要分别激活用于AS和NAS的SMC过程。具 体而言,如图1所示,在RRC连接被建立之后,执行用于AS的SMC过程,以从诸如移动性管 理实体(MME)的核心网获取用于AS的安全密钥。一般地,在RRC连接建立过程期间,在UE 和MME之间共享相同的接入安全性管理实体密钥(KASME),其可以用于提供NAS层安全和AS 层安全密钥。如图1所示,安全过程和系统信息采集是耗时的,其在用户接入网络时引入大 量时延。
[0031] 如上所述,在诸如LTE-LAN和LAE网络的通信系统中,UE可以维持两个连接,一个 用于宏网络且另一个用于局域网,其被称为"双无线电连接"。例如,UE可以具有两个独立 的RRC连接,一个是与其服务eNB的连接且另一个是与其服务AP的连接。当UE已经建立 了与第一网络(诸如宏网络)的第一 RRC连接、并试图建立与第二网络(诸如局域网)的 第二RRC连接时,UE可能必须首先从第二网络读取系统信息,这是由于该UE仅具有在第一 RRC连接建立期间从第一网络获取的系统信息。在建立了第二RRC连接后,根据LTE的规 范(例如3GPP TS33. 401),需要用于AS的SMC过程以确保安全,这是耗时的并在用户的接 入过程期间引入时延。因此,合乎期望的是提供一种新解决方案来加速例如第二服务网络 (诸如局域网)中的用户接入过程、并在享受本地服务时带来良好的用户体验。
[0032] 图2是示出根据本发明的实施例,可以在第一网络节点(诸如BS/eNB/控制中 心等)处执行的快速接入方法的流程图。根据示例性实施例的解决方案可以应用于诸如 LTE-LAN和LAE的通信网络,在所述LTE-LAN和LAE中,UE (诸如移动台、无线终端、个人数字 助理(PDA)、便携式设备等)可以建立各自与两个网络节点的无线电连接。在方框202中, 可以在第一网络节点和UE之间建立第一安全连接。然后第一网络节点可以从第二网络节 点获取第一信息,如方框204所示。根据示例性实施例,第一网络节点可以从包括第二网络 节点的一个或多个相邻网络节点获取各个第一信息。例如,第一信息可以包括下述中的至 少一个:第二网络节点的系统信息、以及由第二网络节点选择用于UE的安全算法的标识符 (ID)。在示例性实施例中,可以通过第一网络节点和第二网络节点之间的接口获取第一信 息。该接口可以包括第一信息可通过其从第二网络节点被直接传递到第一网络节点的直接 接口(诸如被定义用于直接数据传输的类似X2的接口或类似S1的接口)、或者来自第二网 络节点的第一信息可通过其经由网络实体(诸如MME)或核心网中其它适合的中间实体被 传递到第一网络节点的间接接口(诸如类似S1的接口)。响应于来自UE的对第二网络节 点的指示,第一网络节点可以向第二网络节点提供第二信息,如方框206中所示。例如,第 一网络节点可以使用信令消息(例如,诸如eNB配置更新过程的任何X2-AP消息)或专用过 程而将第二信息传送到第二网络节点。在示例性实施例中,第二信息可以包括与UE相关的 安全信息,其可以由第二网络节点在建立与UE的第二安全连接时使用。在方框208中,第 一网络节点可以将第一信息发送到UE,用于建立UE和第二网络节点之间的第二安全连接。 例如,第一网络节点可以使用诸如下行链路(DL)信息传递的信令消息、或任何新定义的信 令消息而将第一信息传送到UE。在示例性实施例中,建立第一网络节点和UE之间的第一安 全连接可以包括获取用于第一安全连接的第一安全密钥(诸如Κ εΝΒ)。在此情况下,与UE相 关的安全信息可以包括UE的标识符(诸如系统架构演进临时移动台标识符(S-TMSI))、以 及至少部分地基于第一安全密钥生成的第二安全密钥(诸如根据例如TS33. 401,利用KeNB、 第二网络节点的物理小区标识(PCI)和频率计算的K_*)。根据示例性实施例,第一安全连 接在第二安全连接被建立时仍然被维持。
[0033] 图3是示出根据本发明的实施例,可以在UE处执行的快速接入方法的流程图。对 应于关于图2的描述,UE(诸如移动台、无线终端、PDA、便携式设备等)可以建立与第一网 络节点(诸如BS/eNB/AP/控制中心等)的第一安全连接,如方框302中所示。根据示例性 实施例,由于UE可以维持两个独立的RRC连接用于不同的服务(例如,一个是与其服务eNB 的连接,并且另一个是与其服务AP的连接),所以除了第一安全连接之外,UE的用户可能想 要建立与第二网络节点的第二安全连接。第一网络节点和第二网络节点可以是相同种类的 网络节点或不同类型的网络节点。例如,这两个连接中的一个可以被用于本地网服务(诸 如局域中的高速数据服务),并且另一个可以被用于宏网络服务(诸如宏网络中更稳定且 更仔细管理的服务)。在方框304中,UE可以将对第二网络节点的指示发送到第一网络节 点。例如,UE可以通过第一安全连接使用诸如上行链路(UL)信息传递的信令消息、或任何 新定义的信令消息向第一网络节点指示第二网络节点。然后,UE可以从第一网络节点接收 第一信息,用于建立与第二网络节点的第二安全连接,如方框306中所示。应注意的是,第 一安全连接在第二安全连接被建立时仍然被维持。在示例性实施例中,第一信息可以包括 下述中的至少一个:由第二网络节点选择用于UE的安全算法的标识符、以及第二网络节点 的系统信息。因此,UE可以直接基于接收到的第一信息发起与第二网络节点的第二安全连 接的建立,而不触发诸如认证和密钥协商(AKA)或AS SMC过程的安全激活过程。例如,UE 可以至少部分地基于第一信息、以及包括与UE相关的安全信息的第二信息,来执行与第二 网络节点的认证过程。在示例性实施例中,与UE相关的安全信息可以包括UE的标识符、以 及至少部分地基于在建立与第一网络节点的第一安全连接期间获取的第一安全密钥(诸 如K eNB)生成的第二安全密钥(诸如KeNB*)。例如,UE可以在连接建立过程期间向第二网络节 点指示其标识符,使得该第二网络节点可以将该标识符映射到对应的安全密钥并执行为该 UE选择的适当的安全算法。根据示例性实施例,UE可以根据例如TS33. 401,使用KeNB*(其 可以根据TS33. 401利用KeNB、第二网络节点的PCI和频率计算)来导出用于完整性的密钥 (诸如KKKant)和用于加密的密钥(诸如Κ κκεη。和ΚυΡεη。)。除了减少AS安全过程的时间以外, 将第二网络节点的系统信息从第一网络节点传送到UE可以节省UE从第二网络节点读取系 统信息的时间,这也能极大地缩短接入延迟。
[0034] 图4是示出根据本发明的实施例,可以在第二网络节点(诸如BS/eNB/AP/控制中 心等)处执行的快速接入方法的流程图。对应于关于图2的描述,第二网络节点可以向第 一网络节点报告第一信息,如方框402中所示。例如,第二网络节点可以使用信令消息(例 如任何X2-AP消息,诸如eNB配置更新过程)或专用过程来报告第一信息,其可以由第一网 络节点响应于来自UE的指示而提供给UE。第一信息可以包括下述中的至少一个:第二网 络节点的系统信息、以及由第二网络节点选择用于具有与第一网络节点的第一安全连接的 UE的安全算法的标识符。在示例性实施例中,第一网络节点可以要求第二网络节点通过将 相关的UE能力发送到第二网络节点用于算法选择来报告优选安全算法的标识符(诸如RRC 完整性/加密算法ID、UP加密算法ID等)。在方框404中,第二网络节点可以从第一网络 节点接收第二信息,用于建立与UE的第二安全连接。例如,可以至少部分地基于第一信息 和第二信息,在UE和第二网络节点之间执行认证过程。根据示例性实施例,第二信息可以 包括与UE相关的安全信息,诸如UE的标识符、以及至少部分地基于用于第一安全连接的第 一安全密钥生成的第二安全密钥。基于UE的标识符,第二网络节点可以将对应的第二安全 密钥映射到该UE。根据示例性实施例,第二网络节点可以基于例如S-TMSI来维持UE和先 前从第一网络节点接收的安全密钥之间的绑定关系。因此可以看出利用本方法,不需要触 发诸如AKA或AS SMC过程的附加安全激活过程来获取用于第二网络节点和UE之间的认证 的安全密钥。UE和第二网络节点之间的接入过程期间的时延可以被降低,同时UE为获取第 二网络节点所支持的服务而进行接入的进度可以被加速。
[0035] 图2-4中所示的各种方框可以被看做方法步骤、和/或看做由计算机程序代码的 运行产生的操作、和/或看做构建成执行相关联功能的多个耦合的逻辑电路单元。上述的 示意性流程图一般被解释为逻辑流程图。因此,图示的顺序和标号的步骤指示所提出的方 法的特定实施例。在功能、逻辑或效果上与图示方法的一个或多个步骤或其一部分等价的 其它步骤和方法可以被构想到。此外,特定方法发生的顺序可以或可以不严格遵守图示的 对应步骤的顺序。在示例性实现中,如果UE已经建立了与服务eNB的第一 RRC连接、并且 用于AS的SMC过程也已完成,则UE的服务eNB可以使用KeNB来导出用于在与UE的Uu接 口上进行完整性保护和加密的K KKant和KKKeen。。在UE建立与服务AP的第二RRC连接之前, 服务eNB预先将K eNB*传递到服务AP。当UE发起与服务AP的RRC连接建立过程时,UE可 以使用相同的密钥(ΚεΝΒ*)来导出用于RRC消息的完整性检查和加密的安全密钥。因此,不 需要附加的ΑΚΑ或AS SMC。此外,服务eNB也可以将服务ΑΡ的系统信息发送到UE,这使UE 能够节省系统信息采集的时间。本解决方案可以帮助具有与网络的正在进行的通信连接的 UE实现以低得多的延迟和良好的用户体验快速接入另一个网络。
[0036] 图5示出根据本发明的实施例,在UE接入AP时的示例性安全过程。在图5所示 的实现中,UE可以维持两个共存的与通信系统的RRC连接,一个是与宏eNB (在图5中示为 服务eNB)的连接,另一个是与诸如LTE-LAN AP (在图5中示为服务AP)的本地AP的连接。 根据图5中的示例性实现,UE已经建立了与宏eNB的RRC连接,并且AS SMC已经例如至少 部分地基于第一安全密钥(诸如KeNB)而被完成。服务eNB可以开始建立与一个或多个包括 图5中所示的服务AP在内的相邻AP的接口(例如直接或间接接口)。在示例性实施例中, 包括服务AP的一个或多个相邻AP可以利用任何X2-AP消息(诸如eNB配置更新过程)向 服务eNB报告一些基本信息(例如可以由UE使用以直接朝向服务AP发起RRC连接建立过 程的系统信息)。可替换地或附加地,服务eNB还可以要求服务AP通过使用例如X2-AP消 息(诸如eNB配置更新过程)或专用过程将相关的UE能力发送到AP用于算法选择来报告 一些安全信息诸如优选算法ID (例如RRC完整性/加密算法ID、UP加密算法ID等)。当 UE决定接入服务AP以获得本地服务时,UE可以通过现有的RRC连接,使用诸如UL信息传 递之类的RRC消息或任何新的上行链路RRC消息向服务eNB指示服务AP作为目标AP。然 后服务eNB可以使用任何诸如DL信息传递之类的下行链路RRC消息、或任何新的下行链路 RRC消息,将目标AP的系统信息和/或目标AP选择的算法ID发送到UE。根据示例性实施 例,针对UE的算法选择可以由服务AP预先实现,例如在服务eNB和服务AP之间的安全信 息交换期间被实现。另一方面,UE的服务eNB可以使用诸如eNB配置更新过程的X2-AP消 息或专用过程,将第二安全密钥(诸如可以利用K_、服务AP的PCI和频率计算的Κ_*)以 及UE ID(例如S-TMSI)发送到服务ΑΡ。例如,服务ΑΡ可以存储第二安全密钥以导出用于 另外的完整性检查和加密过程的其他安全密钥。
[0037] 根据示例性实施例,由于服务AP的系统信息已经由服务eNB提供,所以UE不必读 取服务AP的系统信息。相反,UE可以直接根据接收到的系统信息发起朝向服务AP的RRC 连接建立过程。可替换地或附加地,在RRC连接建立过程中(例如在朝向服务AP的RRC连 接请求中),UE可以指示与服务eNB发送到服务AP的UE ID相同的UE ID (例如S-TMSI)。 在示例性实施例中,该UE ID可以由服务AP使用以将对应的第二安全密钥映射到相关的 UE。如图5所示,在RRC建立过程和NAS SMC完成后,不需要触发用于在UE和服务AP之间 协商第二安全密钥(诸如Κ_*)的附加 AKA或AS SMC过程。UE可以直接激活AS安全性, 并在空中传输用户数据以节省时间。例如,UE可以根据例如TS 33. 401从KeNB*(其也可以 使用KeNB、服务AP的PCI和频率计算)导出K KKant、KKKen。和KUPen。。当UE脱离服务AP时,UE 和服务AP都可以删除用于该连接的KKKant、Κκκεη。和ΚυΡεη。。
[0038] 本领域技术人员将认识到,本发明中提供的快速介入解决方案也可以在UE(其已 经建立了与局域网的第一连接)需要建立与宏网络的第二连接时被使用。在此情况下,在 UE建立与宏网络中的eNB的第二连接之前,其服务AP可以预先将用于第二连接的安全密钥 传送到eNB。当发起与eNB的连接建立过程时,UE可以直接使用相同的安全密钥来导出用 于与eNB的认证过程的密钥,并且不需要附加的安全激活过程诸如AKA或ASSMC。此外,月艮 务AP还可以将eNB的系统信息发送到UE,这使UE节省了用于系统信息采集的时间。可以 通过使用关于图2-5描述的以上解决方案实现许多优点。例如,由于不需要从目标网络读 取信息且不需要协商AS安全密钥,UE与网络建立服务的时延可以被大幅降低,并且可以提 供良好的用户性能而对当前规范施加最小的影响。
[0039] 图6是适合用于实现本发明示例性实施例的各种装置的简化框图。在图6中, UE630 (诸如移动台、无线终端、便携式设备、PDA、多媒体平板电脑等)可以适于与一个或多 个诸如第一网络节点610以及第二网络节点620的网络节点通信。第一网络节点610 (诸 如BS/eNB/AP/控制中心等)和第二网络节点620 (诸如BS/eNB/AP/控制中心等)可以适于 直接或通过诸如MME或核心网中的其它中间实体(图6中未示出)的网络实体彼此通信。 在示例性实施例中,UE630可以包括数据处理器(DP)630A、存储程序(PR0G)630C的存储器 (MEM) 630B、以及适当的用于与诸如另一个UE、网络节点、服务器等的装置通信的收发信机 630D。第一网络节点610可以包括数据处理器(DP)610A、存储程序(PR0G)610C的存储器 (MEM)610B、以及适当的用于与诸如第二网络节点620、UE630、或网络实体(图6中未示出) 的装置通信的收发信机610D。类似地,第二网络节点620可以包括数据处理器(DP)620A、存 储程序(PR0G)620C的存储器(MEM)620B、以及适当的用于与诸如第一网络节点610、UE630、 或网络实体(图6中未示出)的装置通信的收发信机620D。例如,收发信机610D、620D、 630D中的至少一个可以是用于传输和/或接收信号和消息的集成组件。可替换地,收发信 机610D、620D、630D中的至少一个可以分别包括用于支持传输和接收信号/消息的独立组 件。各个DP610A、620A、630A可以被用于处理这些信号和消息。
[0040] 可替换地或附加地,UE630、第一网络节点610以及第二网络节点620可以包括各 种用于实现图2-4中前述步骤和方法的功能的各种单元和/或组件。例如,UE630可以包 括:用于建立第一网络节点(诸如第一网络节点610)和UE之间的第一安全连接的建立单 元;用于将对第二网络节点(诸如第二网络节点620)的指示发送到第一网络节点的发送单 元;以及用于从第一网络节点接收第一信息以建立UE和第二网络节点之间的第二安全连 接的接收单元,其中第一信息可以包括下述中的至少一种:第二网络节点的系统信息,以及 由第二网络节点选择用于UE的安全算法的标识符。在示例性实施例中,第一网络节610可 以包括:用于建立第一网络节点和UE(诸如UE630)之间的第一安全连接的建立单元;用于 从第二网络节点(诸如第二网络节点620)获取第一信息的获取单元,其中第一信息可以包 括下述中的至少一种:第二网络节点的系统信息,以及由第二网络节点选择用于UE的安全 算法的标识符;用于响应于来自UE的对第二网络节点的指示,向第二网络节点提供第二信 息的提供单元,其中第二信息可以包括与UE相关的安全信息;以及用于将第一信息发送到 UE以建立UE和第二网络节点之间的第二安全连接的发送单元。在另一个示例性实施例中, 第二网络节点620可以包括:用于向第一网络节点(诸如第一网络节点610)报告第一信息 的报告单元,其中第一信息可以包括下述中的至少一种:第二网络节点的系统信息,以及由 第二网络节点选择用于具有与第一网络节点的第一安全连接的UE(诸如UE630)的安全算 法的标识符;以及用于从第一网络节点接收第二信息以建立第二网络节点和UE之间的第 二安全连接的接收单元,其中第二信息可以包括与UE相关的安全信息。
[0041] 假设PR0G610C、620C、630C中的至少一个包括在被相关联的DP执行时,使装置能 够根据以上讨论的示例性实施例工作的程序指令。即,本发明的示例性实施例可以至少部 分通过可由第一网络节点610的DP610A、第二网络节点620的DP620A、以及UE的DP630A 执行的计算机软件、或硬件、或软件和硬件的组合来实现。
[0042] MEM610B、620B和630B可以是适合于本地技术环境的任何类型,并可以使用任何 适当的数据存储技术(诸如基于半导体的存储设备、闪存、磁存储设备和系统、光存储设备 和系统、固定存储器、以及可移除存储器)实现。DP610A、620A和630A可以是适合于本地技 术环境的任何类型,并且作为非限制性实例,可以包括通用计算机、专用计算机、微处理器、 数字信号处理器(DSP)、以及基于多核处理器架构的处理器中的一个或多个。
[0043] 一般地,各种示例性实施例可以以硬件或专用电路、软件、逻辑或其任意组合实 现。例如,一些方面可以以硬件实现,而其它方面可以以可由控制器、微处理器、或其它计算 设备执行的固件或软件实现,虽然本发明并不局限于此。虽然本发明示例性实施例的各种 方面可以被示意或描述为框图、流程图、或使用一些其它的图示,但可以理解这里描述的这 些方框、装置、系统、技术或方法可以作为非限制性实例以硬件、软件、固件、专用电路或逻 辑、通用硬件或控制器或其它计算设备、或其某种组合来实现。
[0044] 将理解的是,本发明示例性实施例的至少一些方面可以体现在由一个或多个计算 机或其它设备执行的计算机可执行指令中,诸如一个或多个程序模块中。一般地,程序模块 包括在由计算机或其它设备中的处理器执行时执行特定任务或实现特定抽象数据类型的 例行程序、程序、对象、组件、数据结构等。计算机可执行指令可以被存储在诸如硬盘、光盘、 可移除存储介质、固态存储器、随机存取存储器(RAM)等的计算机可读介质上。如本领域技 术人员会意识到的,程序模块的功能可以在需要时被组合或分布在各种实施例中。此外,功 能还可以整体或部分体现在诸如集成电路、场可编程门阵列(FPGA)等的固件或硬件等价 物中。
[0045] 虽然已经公开了本发明的具体实施例,但是本领域技术人员会理解的是,可以对 具体实施例做出变化而不脱离本发明的精神和范围。因此,本发明的范围并不局限于具体 实施例,并且所附权利要求意在覆盖本发明范围内的任何和所有这样的应用、修改以及实 施例。
【权利要求】
1. 一种方法,包括: 建立第一网络节点和用户设备之间的第一安全连接; 从第二网络节点获取第一信息,其中所述第一信息包括下述中的至少一种:所述第二 网络节点的系统信息,以及由所述第二网络节点选择用于所述用户设备的安全算法的标识 符; 响应于来自所述用户设备的对所述第二网络节点的指示,向所述第二网络节点提供第 二信息,其中所述第二信息包括与所述用户设备相关的安全信息;以及 将所述第一信息发送给所述用户设备,用于建立所述用户设备和所述第二网络节点之 间的第二安全连接。
2. 根据权利要求1所述的方法,其中建立所述第一网络节点和所述用户设备之间的所 述第一安全连接包括获取用于所述第一安全连接的第一安全密钥,以及其中与所述用户设 备相关的安全信息包括:所述用户设备的标识符,以及至少部分地基于所述第一安全密钥 生成的第二安全密钥。
3. 根据权利要求1或2所述的方法,其中所述第一信息是通过所述第一网络节点和所 述第二网络节点之间的直接接口或间接接口获取的。
4. 根据权利要求1至3中任一项所述的方法,其中当所述第二安全连接被建立时,所述 第一安全连接仍然被维持。
5. -种装置,包括: 至少一个处理器;以及 包括计算机程序代码的至少一个存储器; 所述至少一个存储器和所述计算机程序代码被配置成利用所述至少一个处理器使所 述装置至少执行以下操作: 建立所述装置和用户设备之间的第一安全连接; 从另一个装置获取第一信息,其中所述第一信息包括下述中的至少一种:所述另一个 装置的系统信息,以及由所述另一个装置选择用于所述用户设备的安全算法的标识符; 响应于来自所述用户设备的对所述另一个装置的指示,向所述另一个装置提供第二信 息,其中所述第二信息包括与所述用户设备相关的安全信息;以及 将所述第一信息发送给所述用户设备,用于建立所述用户设备和所述另一个装置之间 的第二安全连接。
6. 根据权利要求5所述的装置,其中建立所述装置和所述用户设备之间的所述第一安 全连接包括获取用于所述第一安全连接的第一安全密钥,以及其中与所述用户设备相关的 安全信息包括:所述用户设备的标识符,以及至少部分地基于所述第一安全密钥生成的第 二安全密钥。
7. 根据权利要求5或6所述的装置,其中所述第一信息是通过所述装置和所述另一个 装置之间的直接接口或间接接口获取的。
8. 根据权利要求5至7中任一项所述的装置,其中当所述第二安全连接被建立时,所述 第一安全连接仍然被维持。
9. 一种包括计算机可读介质的计算机程序产品,所述计算机可读介质承载体现在其中 的用于与计算机一起使用的计算机程序代码,所述计算机程序代码包括: 用于建立第一网络节点和用户设备之间的第一安全连接的代码; 用于从第二网络节点获取第一信息的代码,其中所述第一信息包括下述中的至少一 种:所述第二网络节点的系统信息,以及由所述第二网络节点选择用于所述用户设备的安 全算法的标识符; 用于响应于来自所述用户设备的对所述第二网络节点的指示,向所述第二网络节点提 供第二信息的代码,其中所述第二信息包括与所述用户设备相关的安全信息;以及 用于将所述第一信息发送给所述用户设备以建立所述用户设备和所述第二网络节点 之间的第二安全连接的代码。
10. 根据权利要求9所述的计算机程序产品,其中建立所述第一网络节点和所述用户 设备之间的所述第一安全连接包括获取用于所述第一安全连接的第一安全密钥,以及其中 与所述用户设备相关的安全信息包括:所述用户设备的标识符,以及至少部分地基于所述 第一安全密钥生成的第二安全密钥。
11. 根据权利要求9或10所述的计算机程序产品,其中所述第一信息是通过所述第一 网络节点和所述第二网络节点之间的直接接口或间接接口获取的。
12. -种装置,包括: 用于建立所述装置和用户设备之间的第一安全连接的建立单元; 用于从另一个装置获取第一信息的获取单元,其中所述第一信息包括下述中的至少一 种:所述另一个装置的系统信息,以及由所述另一个装置选择用于所述用户设备的安全算 法的标识符; 用于响应于来自所述用户设备的对所述另一个装置的指示,向所述另一个装置提供第 二信息的提供单元,其中所述第二信息包括与所述用户设备相关的安全信息;以及 用于将所述第一信息发送给所述用户设备以建立所述用户设备和所述另一个装置之 间的第二安全连接的发送单元。
13. -种方法,包括: 建立第一网络节点和用户设备之间的第一安全连接; 将对第二网络节点的指示发送给所述第一网络节点;以及 从所述第一网络节点接收第一信息,用于建立所述用户设备和所述第二网络节点之间 的第二安全连接,其中所述第一信息包括下述中的至少一种:所述第二网络节点的系统信 息,以及由所述第二网络节点选择用于所述用户设备的安全算法的标识符。
14. 根据权利要求13所述的方法,其中建立所述用户设备和所述第二网络节点之间的 所述第二安全连接包括: 至少部分地基于所述第一信息以及包括与所述用户设备相关的安全信息的第二信息, 执行认证过程。
15. 根据权利要求14所述的方法,其中建立所述第一网络节点和所述用户设备之间的 所述第一安全连接包括获取用于所述第一安全连接的第一安全密钥,以及其中与所述用户 设备相关的安全信息包括:所述用户设备的标识符,以及至少部分地基于所述第一安全密 钥生成的第二安全密钥。
16. 根据权利要求13至15中任一项所述的方法,其中当所述第二安全连接被建立时, 所述第一安全连接仍然被维持。
17. -种装置,包括: 至少一个处理器;以及 包括计算机程序代码的至少一个存储器; 所述至少一个存储器和所述计算机程序代码被配置成利用所述至少一个处理器使所 述装置至少执行以下操作: 建立第一网络节点和所述装置之间的第一安全连接; 将对第二网络节点的指示发送给所述第一网络节点;以及 从所述第一网络节点接收第一信息,用于建立所述装置和所述第二网络节点之间的第 二安全连接,其中所述第一信息包括下述中的至少一种:所述第二网络节点的系统信息,以 及由所述第二网络节点选择用于所述装置的安全算法的标识符。
18. 根据权利要求17所述的装置,其中建立所述装置和所述第二网络节点之间的所述 第二安全连接包括: 至少部分地基于所述第一信息以及包括与所述用户设备相关的安全信息的第二信息, 执行认证过程。
19. 根据权利要求18所述的装置,其中建立所述第一网络节点和所述装置之间的所述 第一安全连接包括获取用于所述第一安全连接的第一安全密钥,以及其中与所述装置相关 的安全信息包括:所述装置的标识符,以及至少部分地基于所述第一安全密钥生成的第二 安全密钥。
20. 根据权利要求17至19中任一项所述的装置,其中当所述第二安全连接被建立时, 所述第一安全连接仍然被维持。
21. -种包括计算机可读介质的计算机程序产品,所述计算机可读介质承载体现在其 中的用于与计算机一起使用的计算机程序代码,所述计算机程序代码包括: 用于建立第一网络节点和用户设备之间的第一安全连接的代码; 用于将对第二网络节点的指示发送给所述第一网络节点的代码;以及 用于从所述第一网络节点接收第一信息以建立所述用户设备和所述第二网络节点之 间的第二安全连接的代码,其中所述第一信息包括下述中的至少一种:所述第二网络节点 的系统信息,以及由所述第二网络节点选择用于所述用户设备的安全算法的标识符。
22. 根据权利要求21所述的计算机程序产品,其中建立所述用户设备和所述第二网络 节点之间的所述第二安全连接包括: 至少部分地基于所述第一信息以及包括与所述用户设备相关的安全信息的第二信息, 执行认证过程。
23. 根据权利要求22所述的计算机程序产品,其中建立所述第一网络节点和所述用户 设备之间的所述第一安全连接包括获取用于所述第一安全连接的第一安全密钥,以及其中 与所述用户设备相关的安全信息包括:所述用户设备的标识符,以及至少部分地基于所述 第一安全密钥生成的第二安全密钥。
24. -种装置,包括: 用于建立第一网络节点和所述装置之间的第一安全连接的建立单元; 用于将对第二网络节点的指示发送给所述第一网络节点的发送单元;以及 用于从所述第一网络节点接收第一信息以建立所述装置和所述第二网络节点之间的 第二安全连接的接收单元,其中所述第一信息包括下述中的至少一种:所述第二网络节点 的系统信息,以及由所述第二网络节点选择用于所述装置的安全算法的标识符。
25. -种方法,包括: 向第一网络节点报告第一信息,其中所述第一信息包括下述中的至少一种:第二网络 节点的系统信息,以及由所述第二网络节点选择用于用户设备的安全算法的标识符,所述 用户设备具有与所述第一网络节点的第一安全连接;以及 从所述第一网络节点接收第二信息,用于建立所述第二网络节点和所述用户设备之间 的第二安全连接,其中所述第二信息包括与所述用户设备相关的安全信息。
26. 根据权利要求25所述的方法,其中与所述用户设备相关的安全信息包括:所述用 户设备的标识符,以及至少部分地基于用于所述第一安全连接的第一安全密钥生成的第二 安全密钥。
27. 根据权利要求25或26所述的方法,其中建立所述第二网络节点和所述用户设备之 间的所述第二安全连接包括: 至少部分地基于所述第一信息和所述第二信息,执行认证过程。
28. 根据权利要求25至27中任一项所述的方法,其中当所述第二安全连接被建立时, 所述第一安全连接仍然被维持。
29. -种装置,包括: 至少一个处理器;以及 包括计算机程序代码的至少一个存储器; 所述至少一个存储器和所述计算机程序代码被配置成利用所述至少一个处理器使所 述装置至少执行以下操作: 向另一个装置报告第一信息,其中所述第一信息包括下述中的至少一种:所述装置的 系统信息,以及由所述装置选择用于用户设备的安全算法的标识符,所述用户设备具有与 所述另一个装置的第一安全连接;以及 从所述另一个装置接收第二信息,用于建立所述装置和所述用户设备之间的第二安全 连接,其中所述第二信息包括与所述用户设备相关的安全信息。
30. 根据权利要求29所述的装置,其中与所述用户设备相关的安全信息包括:所述用 户设备的标识符,以及至少部分地基于用于所述第一安全连接的第一安全密钥生成的第二 安全密钥。
31. 根据权利要求29或30所述的装置,其中建立所述装置和所述用户设备之间的所述 第二安全连接包括: 至少部分地基于所述第一信息和所述第二信息,执行认证过程。
32. 根据权利要求29至31中任一项所述的装置,其中当所述第二安全连接被建立时, 所述第一安全连接仍然被维持。
33. -种包括计算机可读介质的计算机程序产品,所述计算机可读介质承载体现在其 中的用于与计算机一起使用的计算机程序代码,所述计算机程序代码包括: 用于向第一网络节点报告第一信息的代码,其中所述第一信息包括下述中的至少一 种:第二网络节点的系统信息,以及由所述第二网络节点选择用于用户设备的安全算法的 标识符,所述用户设备具有与所述第一网络节点的第一安全连接;以及 用于从所述第一网络节点接收第二信息以建立所述第二网络节点和所述用户设备之 间的第二安全连接的代码,其中所述第二信息包括与所述用户设备相关的安全信息。
34. 根据权利要求33所述的计算机程序产品,其中与所述用户设备相关的安全信息包 括:所述用户设备的标识符,以及至少部分地基于用于所述第一安全连接的第一安全密钥 生成的第二安全密钥。
35. 根据权利要求33或34所述的计算机程序产品,其中建立所述第二网络节点和所述 用户设备之间的所述第二安全连接包括: 至少部分地基于所述第一信息和所述第二信息,执行认证过程。
36. -种装置,包括: 用于向另一个装置报告第一信息的报告单元,其中所述第一信息包括下述中的至少一 种:所述装置的系统信息,以及由所述装置选择用于用户设备的安全算法的标识符,所述用 户设备具有与所述另一个装置的第一安全连接;以及 用于从所述另一个装置接收第二信息以建立所述装置和所述用户设备之间的第二安 全连接的接收单元,其中所述第二信息包括与所述用户设备相关的安全信息。
【文档编号】H04W12/04GK104160730SQ201280071196
【公开日】2014年11月19日 申请日期:2012年2月6日 优先权日:2012年2月6日
【发明者】Y·刘, H·李, 雷艺学, 张大江 申请人:诺基亚公司

最新回复(0)