專利名稱:用于認證上下文轉(zhuǎn)移的系統(tǒng)和方法
用于認證上下文轉(zhuǎn)移的系統(tǒng)和方法相關申請的交叉引用本申請要求以下文件的利益美國臨時申請序列號No. 60/983,450,其申請日為 2007 ip 10 29 H,feH^j"System and Method forAuthenticating a Context Transfer from MME towards a Legacy 3GPPSystem,,,在此通過引用將其并入。
背景技術:
此章節(jié)意在提供針對下文描述的和/或在權利要求中闡述的資料的背景。此背景 章節(jié)可以包括可以被實行的概念,但不一定是之前已經(jīng)進行過構(gòu)思和實行的概念。除了另 外特別指明之外,此章節(jié)不是本申請的描述和權利要求的背景技術,并且此章節(jié)中任何內(nèi) 容不被認為是現(xiàn)有技術。在通用移動電信系統(tǒng)(UMTS)陸地無線電接入網(wǎng)絡(UTRAN)中,分組交換網(wǎng)絡臨時 移動站標識符(P-TMSI)簽名(P-TMSI簽名)被用于認證和授權用戶設備(UE)上下文信息 的轉(zhuǎn)移。如現(xiàn)有技術中普遍理解的,用于UE的分組數(shù)據(jù)協(xié)議(PDP)上下文信息是參數(shù)值的 記錄,其提供了建立連接所需的信息。這些參數(shù)可以包括關于正使用的PDP上下文的類型 的信息、服務質(zhì)量(QoS)信息等。當服務通用分組無線服務(GPRS)支持節(jié)點(SGSN)改變 時,在UE上下文信息在單個系統(tǒng)的網(wǎng)絡實體之間或者在不同系統(tǒng)的網(wǎng)絡實體之間轉(zhuǎn)移的 時候執(zhí)行認證和授權。當UE由于移動到不同地點而被手動切斷時,可能發(fā)生所述改變。以 此方式,舊的SGSN(即,UE正在從其轉(zhuǎn)移開的SGSN)可以校驗來自新的SGSN(即,UE被轉(zhuǎn)移 到的SGSN,也被稱為受讓SGSN)的上下文轉(zhuǎn)移請求為有效的,并且與上下文轉(zhuǎn)移請求中所 識別的UE有關。在網(wǎng)絡單元之間的逐跳(hop-by-hop)信令可以受到網(wǎng)絡域安全(NDS)的 保護,從而外人不可以修改分組。用于在演進式第三代合作伙伴計劃(3GPP)系統(tǒng)中對轉(zhuǎn)移上下文信息的請求進行 認證的機制不同于傳統(tǒng)UMTS和GPRS系統(tǒng)中的機制。在演進的3GPP系統(tǒng)(也被稱為演進 式UTRAN(E-UTRAN)或長期演進(LTE)),其例如在3GPP技術規(guī)范(TS) 23. 401中描述,不希 望使用P-TMSI簽名。取而代之的是,在空閑(IDLE)模式期間,管理非接入層(NAS)級別的 安全關聯(lián)和對應的密鑰和計數(shù)(COUNT)值。所有NAS級別的信令通過完整性保護利用NAS 密鑰進行認證。如TS 23. 401中所描述的以及如本領域內(nèi)已知的,演進式3GPP網(wǎng)絡中的UE 移動性受到被稱為移動性管理實體(MME)的單元的控制。MME的功能可以包括NAS信令、 移動性管理(MM)、NAS信令安全、以及認證。在從舊MME到新MME的移動期間,舊MME基于 利用完整性保護密鑰計算的NAS權標來認證上下文轉(zhuǎn)移請求以及移動性信令。當UE在UMTS、全球移動通信系統(tǒng)(GSM)或GPRS以及演進的3GPP系統(tǒng)之間移動 時,上下文轉(zhuǎn)移和移動性信令仍然必須被認證。不過,存在下述問題,其關于演進的3GPP系 統(tǒng)如何授權來自UMTS/GPRS系統(tǒng)的上下文轉(zhuǎn)移請求或移動性信令,其中所述請求沒有提供 與演進的3GPP系統(tǒng)相同的授權機制。具體而言,受讓UMTS/GPRS網(wǎng)絡節(jié)點(UE被轉(zhuǎn)移到其 域中的節(jié)點)期望來自UE (即,移動終端或其它設備)的P-TMSI簽名。當請求針對該UE 的上下文信息時,UMTS/GPRS節(jié)點接著將該P-TMSI簽名提供給對等網(wǎng)絡實體(例如,UE正從其轉(zhuǎn)移開的SGSN)。不過,演進的3GPP系統(tǒng)(EPS)不提供P-TMSI簽名處理。事實上,在 演進的3GPP系統(tǒng)中,可以出于不同目的使用在UTRAN系統(tǒng)信令消息中保存有P-TMSI簽名 的信息單元(IE)的若干部分。例如,在演進的3GPP系統(tǒng)中可能需要該IE的某些比特,以 用于保存演進的分組系統(tǒng)TMSI(S-TMSI)的若干部分。這樣減少了將認證資料用于上下文 轉(zhuǎn)移授權的可用比特。
發(fā)明內(nèi)容
此發(fā)明內(nèi)容被提供用于介紹簡化形式的概念選擇,其在下文具體實施方式
中進行 進一步描述。此發(fā)明內(nèi)容并非意在識別本發(fā)明的關鍵特征或必要特征。根據(jù)至少某些實施例,在演進的3GPP系統(tǒng)中的用戶設備(UE)和MME各自生成認 證資料。該認證資料可以被承載在當UE正在轉(zhuǎn)移到UTRAN/GERAN系統(tǒng)時從UE到UMTS/GPRS SGSN的UMTS信令消息的P-TMSI簽名字段內(nèi)。該認證資料還可以從UMTS/GPRS SGSN向UE 正從其轉(zhuǎn)移開的(演進的3GPP系統(tǒng)的)MME傳送。在此方案中,舊MME于是可以基于所轉(zhuǎn) 移的認證資料以及關于如何創(chuàng)建該認證資料的知識,來認證來自傳統(tǒng)3GPP系統(tǒng)的上下文 轉(zhuǎn)移請求。在至少某些實施例中,MME和UE基于用戶特定密鑰導出認證資料。當NAS密鑰被創(chuàng) 建或需要時可以被導出的認證資料,接著可以被嵌入到用于從UE以及從UMTS/GPRS SGSN 到MME的傳統(tǒng)3GPP信令的P-TMSI簽名字段中。在使用一個或多個NAS密鑰(或者使用根 據(jù)NAS密鑰被導出的密鑰)的情形中,可以每當NAS密鑰改變時改變所生成的認證資料。以 此方式,不需要在P-TMSI簽名字段中轉(zhuǎn)移序列號,由此在重用的P-TMSI簽名字段的給定長 度限制下提供了提高的安全性。如果每當UE移動時(例如從UTRAN到E-UTRAN)NAS密鑰 改變,則當UE移動回到UTRAN時認證資料也將是最新的。通過此處描述的多種實施例,針對演進的3GPP系統(tǒng)不需要類似于P-TMSI簽名的 機制,即,不需要在接收到上下文轉(zhuǎn)移認證請求之前在MME中創(chuàng)建P-TMSI簽名。也不需要 從MME向UE轉(zhuǎn)移權標或簽名。UE可以隨需生成認證資料(例如權標),由此避免對權標的 存儲需求。該權標可以在現(xiàn)有的UMTS信令消息中攜帶。當結(jié)合附圖閱讀時,通過以下詳細描述,這些和其它優(yōu)點和特征、連同其操作的組 織和方式將變得明顯,其中,貫穿以下描述的若干附圖,相同單元具有相同標號。
圖1是根據(jù)至少某些實施例的、用于在早期和演進的3GPP標準版本之間進行互操 作的漫游體系結(jié)構(gòu)的框圖。圖2是根據(jù)至少某些實施例的、示出在MME到SGSN路由區(qū)域更新過程中的信令交 換的圖。圖3是可以結(jié)合至少某些實施例的實現(xiàn)而使用的電子設備的透視圖。圖4是可以包括在圖3的電子設備中的電路的示意性表示。圖5是圖2中示出的MME的框圖。
具體實施例方式在至少某些實施例中,在演進的3GPP系統(tǒng)中,用戶設備(UE)和移動性管理實體 (MME)各自生成認證資料(例如權標)。認證資料可以被攜帶于傳統(tǒng)的UMTS信令消息的 P-TMSI簽名字段中,其中該消息是從UE到UE正在被轉(zhuǎn)移到其中的UTRAN中或GSM/邊緣無 線接入網(wǎng)絡(GERAN)中的UMTS/GPRS SGSN的消息。例如,UE可能不知道其是正被轉(zhuǎn)移到演 進的3GPP MME的域中,還是正被轉(zhuǎn)移到傳統(tǒng)UTRAN或GERAN中的SGSN的域中,并因此,UE 可能使用針對UE-SGSN信令RAU(路由區(qū)域更新)的傳統(tǒng)信令。認證資料還可以在從UMTS/ GPRSSGSN到UE正在從其轉(zhuǎn)移開的演進的3GPP系統(tǒng)的舊MME的信令消息中使用。在此方案 中,UE創(chuàng)建認證資料,并將其提供給SGSN,而SGSN接著在上下文轉(zhuǎn)移請求中將該認證資料 提供給舊MME。知道認證資料在UE中如何被創(chuàng)建的舊MME接著可以在接收到識別UE的上 下文轉(zhuǎn)移請求時重新創(chuàng)建認證資料,并認證該上下文轉(zhuǎn)移請求。在某些實施例中,MME和UE基于至少一個用戶特定的密鑰(例如,K_ASME、K_ 嫩5111仏或1(_織5611(3)來導出認證資料。當非接入層(NAS)密鑰被創(chuàng)建或被需要時,認證 資料可以被導出。如果使用了一個或多個NAS密鑰(或者如果使用了從NAS密鑰導出的 一個或多個密鑰),則所可以每當NAS密鑰改變時改變所生成的認證資料。因此,不是一定 要在P-TMSI簽名中轉(zhuǎn)移序列號,這在重用的P-TMSI簽名字段的給定長度限制下提供了提 高的安全性。如果NAS密鑰每當UE移動(例如從UTRAN到E-UTRAN)時改變,則當UE移 動回到UTRAN時認證資料也將是最新的。如果使用了較高級別的用戶特定密鑰(例如K_ ASME),則認證資料可以是基于當前存在的遞增的序列號值,諸如下行鏈路或上行鏈路非接 入層(NAS)信令COUNT(計數(shù))值。COUNT是遞增的分組序列號。COUNT被存儲在存儲器 中??梢詢H將COUNT值的某些個最高位存儲在存儲器中,而可以將其余位在消息上用信號 傳送。每當存在NAS信令時,COUNT值都被更新,并由此認證資料也將是最新的。通過此處描述的多種實施例,針對演進的3GPP系統(tǒng)不需要類似于P-TMSI簽名的 機制,并且不需要將P-TMSI簽名(任意其它類型的權標或簽名)從MME轉(zhuǎn)移到UE,或者在 從受讓SGSN接收到認證請求之前創(chuàng)建認證資料。用戶設備還可以隨需生成權標,這意味著 針對該權標不存在存儲需求。另外,通過多種實施例,現(xiàn)有的UMTS信令消息可以被用于攜 帶認證資料(例如權標)。圖1是根據(jù)至少某些實施例的、用于在早期和演進的3GPP標準版本之間進行互操 作的漫游體系結(jié)構(gòu)的框圖。如圖1所示,UE 100與演進的UTRAN網(wǎng)絡(E-UTRAN) 110交互, 演進的UTRAN網(wǎng)絡110依次與服務網(wǎng)關(SGW) 120和MME 130進行通信。除了與SGW 120直 接進行通信之外,MME 130還與SGSN 140進行通信,SGSN 140連接于UTRAN 150和GERAN 160。MME 130禾口 SGSN 140也與歸屬訂戶服務器(HSS) 170進行交互。SGSN 140禾口 SGW 120 都與私有數(shù)據(jù)網(wǎng)絡(PDN)網(wǎng)關(PGW) 180進行通信,私有數(shù)據(jù)網(wǎng)絡(PDN)網(wǎng)關180依次與策 略計費規(guī)則功能(PCRF) 190和運營商自身的IP服務195進行通信。圖2是根據(jù)至少某些實施例的、示出在MME到SGSN路由區(qū)域更新過程中的信令交 換的圖。在某些實施例中,來自和去往SGSN的消息以及其中包含的信息單元與3GPP技術規(guī) 范(TS) 23. 060中針對SGSN路由區(qū)域更新過程所規(guī)定的相同。來自和去往MME 130或SGW 120的消息以及其中包含的信息單元與該技術規(guī)范中針對RAT(無線電接入技術)間路由區(qū) 域更新過程所規(guī)定的相同。
參考圖2,MME到SGSN路由區(qū)域更新過程開始于200,其中UE 100將“路由區(qū)域 更新請求”發(fā)送到新SGSN 140。路由區(qū)域更新請求包括下述信息,諸如,舊路由區(qū)域標識 (RAI)、NAS權標(非接入層認證密鑰,其是由UE計算的、并用作為“舊”P-TMSI簽名的認證 資料)、更新類型、級別標志(classmark)、間斷接收(DRX)參數(shù)、以及UE的網(wǎng)絡能力信息。 基站系統(tǒng)的子系統(tǒng)(BSS)添加了蜂窩(cell)的蜂窩全球身份(cellglobal identity),其 包括真實應用集群(RAC)和這樣的蜂窩的位置區(qū)域碼(LAC),即在將消息傳送到新SGSN 140之前在所述蜂窩中接收了消息。級別標志包含UE的GPRS多時隙能力以及所支持的 GPRS加密算法,如TS 24. 008中所定義的那樣。DRX參數(shù)指示出UE是否使用間斷接收,并 且如果是這樣則指示出DRX循環(huán)長度。UE 100將其注冊的跟蹤區(qū)域身份(TAI)之一指示為 舊RAI,并且基于K_NASInt (對于用戶特定的NAS完整性密鑰)或K_ASME (接入安全管理實 體密鑰,其是在成功認證之后存儲于MME和UE中的根密鑰)以及對應的NAS上行鏈路或下 行鏈路COUNT (以及遞增計數(shù)器)值,將NAS權標計算為舊P-TMSI簽名。在圖2中的205,新SGSN 140將“SGSN上下文請求”發(fā)送到舊MME130,以便獲得針 對該UE的移動性管理(MM)和分組數(shù)據(jù)協(xié)議(PDP)上下文。SGSN上下文請求包括舊RAI、 臨時邏輯鏈路身份(TLLI)和/或P-TMSI、舊P-TMSI簽名、以及新SGSN地址。如下文所解 釋的,在210舊MME 130接著可以將“SGSN上下文響應”發(fā)送回新SGSN 140。SGSN可以以多種方式將SGSN上下文請求指引到MME。如果新SGSN提供用于無線 電接入網(wǎng)絡(RAN)節(jié)點到多個核心網(wǎng)絡(CN)節(jié)點的域內(nèi)連接的功能,則新SGSN可以從舊 RAI和舊P-TMSI (或TLLI)導出舊MME,并且將SGSN上下文請求消息發(fā)送給此舊MME。否 貝丨J,新SGSN從舊RAI導出舊MME。新SGSN 140導出其認為是舊MME 130的MME。所導出的 該MME自身是舊MME 130,或者其關聯(lián)于與實際舊MME相同的池區(qū)域。不是舊MME的所導出 MME根據(jù)P-TMSI (或TLLI)確定正確的舊MME 130,并且將該消息中繼到實際的舊MME 130。當接收到SGSN上下文請求時,舊MME 130基于K_ASME和對應的NAS下行鏈路 COUNT值(其是MME 130已知的)驗證舊P-TMSI簽名值,其是由用戶設備計算的MAS權標。 在例如這是由于剛剛運行的認證和密鑰協(xié)商(AKA)過程的原因,MME具有以不同密鑰集合 標識符(KSI)識別的多個K_ASME密鑰的情形中,MME可以利用所有可用密鑰計算認證權標, 以確定可用密鑰之一是否匹配。舊MME還可以計算權標并提供權標給新SGSN。不過,出于 重放保護的原因,如果COUNT值被用作為認證權標生成中的一個參數(shù),則其被重用,即,其 增加。也可以在P-TMSI簽名字段內(nèi)轉(zhuǎn)移KSI,尤其是在可變長度的P-TMSI簽名選項的情 形中。由于NAS信令消息丟失的原因,在UE和MME之間COUNT值可能不同步,因此,MME可 以通過當前COUNT值的范圍內(nèi)的多個COUNT值計算認證權標(例如,[當前NAS下行鏈路 C0UNT-L,當前 NAS 下行鏈路 COUNT])。如果舊P-TMSI簽名是有效的,則舊MME 130通過“SGSN上下文響應”進行響應。 SGSN上下文響應消息包括下述信息,諸如MM上下文、PDP上下文、網(wǎng)絡路由服務(NRS)、以 及安全上下文。如果由舊MME 130基于所接收的NAS序列號以及所存儲的舊K_ASME計算的值不 匹配從SGSN接收的NAC權標,MME 130通過適當?shù)腻e誤原因進行響應。這可以發(fā)起新SGSN 140中的安全功能。如果SGSN 140中的這些安全功能正確地認證UE 100,則新SGSN 140 將另一 SGSN上下文請求(舊RAI、TLLI、已驗證的用戶設備/移動站、新的SGSN地址)消
9息發(fā)送給舊MME 130,從而指示出新SGSN 140已經(jīng)認證了 UE100。如果新SGSN 140指示出 其已經(jīng)認證了 UE 100,則舊MME 130通過“SGSN上下文響應”進行響應,如上所述。一旦發(fā)送了 SGSN上下文響應消息,舊MME 130存儲新SGSN 140的地址,以便允許 舊的通用陸地無線接入網(wǎng)絡基站(eNB)、服務網(wǎng)關(SGW)120或其它實體將數(shù)據(jù)分組轉(zhuǎn)發(fā)到 新SGSN 140。舊MME 130接著啟動計時器,其目的在下文討論。MME將演進分組系統(tǒng)(EPS) 載體信息映射到PDP上下文。還要確定是否以及如何執(zhí)行從eNB 155或SGW120向SGSN的 任意數(shù)據(jù)轉(zhuǎn)發(fā)。一旦接收了 SGSN上下文響應,則僅當SGSN 140之前已經(jīng)在路由區(qū)域更新請求中 接收到UE網(wǎng)絡能力時,新SGSN 140忽略SGSN上下文響應的MM上下文中包含的UE 100網(wǎng) 絡能力。SGSN上下文響應中的網(wǎng)絡路由服務(NRS)指示出UE 100對新SGSN 140的網(wǎng)絡請 求載體控制的支持。SGSN上下文響應中的安全上下文包括密鑰集合標識符(KSI)以及從 K_ASME (接入安全管理實體密鑰)導出的UTRAN加密密鑰(CK)/完整性密鑰(IK)。UMTS認 證矢量也可以被包括。E-UTRAN認證矢量不在E-UTRAN之外被轉(zhuǎn)移,并且因此不會被包括在 SGSN上下文響應中。在圖2中的215,可以執(zhí)行多種安全功能。例如,在3GPP TS 23. 060的“Security Function”章節(jié)中討論了所述過程。如果支持加密模式,則在此時設置加密模式。如果之前 在210傳送的SGSN上下文響應消息不包括國際移動站設備身份和軟件版本號(IMEISV), 并且如果SGSN支持自動設備檢測(ADD),則在此時SGSN也可以從UE 100檢索MEISV。如 果安全功能失效,例如由于SGSN無法確定歸屬位置寄存器(HLR)地址來建立“發(fā)送認證信 息”對話,則將拒絕消息返回到用戶設備100,其注明了適當?shù)脑颉T趫D2的220,新SGSN 140將“SGSN上下文確認”消息發(fā)送到舊MME 130。在這 點,舊MME 130在其上下文信息中標記出網(wǎng)關和HSS 170中的信息是無效的。如果UE 100 在完成進行中的路由區(qū)域更新過程之前發(fā)起了回到舊MME 130的跟蹤區(qū)域更新過程,則這 會觸發(fā)SGW 120、PDN網(wǎng)關180和HSS 170被更新。如果安全功能沒有正確地認證UE 100, 則路由區(qū)域更新請求被拒絕,并且新SGSN 140將拒絕指示發(fā)送到舊MME 130。舊MME 130 接著將繼續(xù),就好像未曾接收到SGSN上下文請求205 —樣。不過,如果UE 100被正確地認證,則也確定是否向舊MME 130通知了新SGSN 140 準備好接收屬于已激活PDP上下文的數(shù)據(jù)分組,以及如何執(zhí)行從eNB 155或SGW 120到新 SGSN 140的任意數(shù)據(jù)轉(zhuǎn)發(fā)。在UE 100處于舊MME 130中的LTE_Acitve狀態(tài)的情形中,則 在225舊MME 130將“數(shù)據(jù)轉(zhuǎn)發(fā)命令”消息發(fā)送到eNB 155。數(shù)據(jù)轉(zhuǎn)發(fā)命令包括下述信息, 諸如無線電接入載體(RAB_ID)、傳輸層地址、以及S1傳輸關聯(lián)信息。在圖2中的230,舊eNB 155復制已緩沖的網(wǎng)絡協(xié)議數(shù)據(jù)單元(N-PDU),并且開始 將它們隧傳(tunneling)到新SGSN 140。在MME130計時器(之前描述的)到期之前,從SGW 120接收的附加的N-PDU也被復制和隧傳到新SGSN 140。在計時器到期之后,沒有N-PDU 被轉(zhuǎn)發(fā)到新SGSN 140。在235,新SGSN 140將“更新PDP上下文請求”發(fā)送到各個PGW 180。該更新PDP 上下文請求包括下述信息,諸如新SGSN 140的地址、隧道端點標識符(TEID)、與協(xié)商的服 務質(zhì)量(QoS)有關的信息、服務網(wǎng)絡身份、公共網(wǎng)關接口(CGI)/服務區(qū)域接口(SAI)信息、 RAT類型、CGI/SAI/資源可用性指示符(RAI)改變支持指示、以及NRS信息。
新SGSN 140將服務網(wǎng)絡身份發(fā)送到PGW 180。NRS指示出網(wǎng)絡請求的載體控制的 SGSN支持。新SGSN 140指示出其支持所述過程,并且如果其支持該過程,則指示出UE 100 也在如前所述的SGSN上下文響應消息210中支持該過程。如果NRS未被包括在更新PDP 上下文請求消息235中,則PGW 180跟隨此過程執(zhí)行GGSN發(fā)起的PDP上下文修改,從而針 對當前的BCM為“僅NW(NW_0nly) ”的所有PDP地址/APN對,將載體控制模式(BCM)改變?yōu)?“僅 MS (MS-0nly) ”。在240,(一個或多個)PGW 180更新其PDP上下文字段,并返回“更新PDP上下 文響應”。更新PDP上下文響應包括下述信息,諸如TEID、禁止凈荷壓縮信息、接入點名稱 (APN)限制信息、以及關于是否需要CGI/SAI/RAI改變支持的信息。禁止凈荷壓縮信息指示 出SGSN 140應該針對該PDP上下文協(xié)商不數(shù)據(jù)壓縮。在圖2中的245,新SGSN 140通過發(fā)送“更新位置”信息,向位于HSS 170處的歸 屬位置寄存器(HLR)通知SGSN的改變。該信息可以包括SGSN號碼、SGSN地址、國際移動 訂戶身份(IMSI)、以及IMEISV。如果支持ADD功能,則IMEISV被發(fā)送。在250,位于HSS 170處的HLR將“取消位置”指令發(fā)送到舊MME130。此消息可以 包括下述信息,諸如IMSI和取消類型。在此消息中,取消類型被設為“更新過程”。在未運 行前述的MME 130計時器的情形中,則舊MME 130移除匪和EPS載體上下文。否則,僅當 計時器到期時上下文被移除。舊MME 130還確保匪和PDP上下文被保持在舊MME 130中, 以防UE 100在完成進行中的對新SGSN 140的路由區(qū)域更新之前發(fā)起另一 SGSN間路由區(qū) 域更新。在255,舊MME 130通過包括IMSI的“取消位置Ack”確認取消位置指令250。還 確定舊MME 130或eNB 155是否需要完成對N-PDU的任意轉(zhuǎn)發(fā)。在260,位于HSS 170的HLR將“插入訂戶數(shù)據(jù)”消息發(fā)送到新SGSN140。此消息 包括IMSI和GPRS訂購數(shù)據(jù)。新SGSN 140驗證在新路由區(qū)域(RA)中的UE 100的存在。 如果由于區(qū)域訂購限制或接入限制的原因不允許UE 100附接到RA中,則新SGSN 140通過 適當原因拒絕路由區(qū)域更新請求。在265新SGSN 140還可以將“插入訂戶數(shù)據(jù)Ack”(包 括IMSI和“SGSN區(qū)域受限”信息)消息返回到HLR。如果所有檢查都是成功的,則SGSN為 UE 100構(gòu)建匪上下文,并且將“插入訂戶數(shù)據(jù)Ack”消息與包括IMSI的消息一起返回到 HLR(同樣在265表示)。在圖2中的270,位于HSS 170的HLR通過將包括IMSI的“更新 位置Ack”消息發(fā)送到新SGSN 140,而確認“更新位置”消息。在以上步驟之后,新SGSN 140驗證UE 100在新RA中的存在。如果由于漫游限 制或接入限制的原因不允許UE 100附接到新SGSN 140中,或者如果訂購檢查失效,則新 SGSN 140通過適當原因拒絕路由區(qū)域更新。如果所有檢查是成功的,則新SGSN 140構(gòu)建用 于用戶設備的匪和PDP上下文。在新SGSN 140和UE 100之間建立邏輯鏈路。在275,新 SGSN140接著通過“路由區(qū)域更新接受”消息響應于UE 100,所述“路由區(qū)域更新接受”消息 包括新P-TMSI、新P-TMSI簽名、以及接收N-PDU號碼。還確定是否以及如何使用N-PDU號 碼。例如,接收N-PDU號碼包括針對由UE 100使用的每個已確認模式的網(wǎng)絡層服務接入點標 識符(NSAPI)的確認,由此證實在開始更新過程之前,所有移動發(fā)起的N-PDU成功地被轉(zhuǎn)移。在圖2中的280,UE 100通過將包括接收N-PDU號碼的“路由區(qū)域更新完成”消息 返回到新SGSN 140,而確定新P-TMSI。在此時,在UE 100中的邏輯鏈路控制(LLC)和子網(wǎng) 相關會聚協(xié)議(SNDCP)被重置。再一次地,還確定是否以及如何使用N-PDU號碼。例如,接收的N-PDU號碼包含針對由UE 100使用的每個已確認模式的NSAPI的確認,由此證實所有 移動終接的N-PDU在開始更新過程之前被成功地轉(zhuǎn)移。如果接收的N-PDU號碼證實接收了 從舊MME 130轉(zhuǎn)發(fā)的N-PDU,則這些N-PDU可以被新SGSN 140丟棄。當前述的MME 130中 的計時器到期時,舊MME130釋放任意eNB和SGW資源(未示出)。在已拒絕路由區(qū)域更新操作的情形中,由于區(qū)域訂購、漫游限制、接入限制的原 因,或者由于SGSN無法確定HLR地址以建立定位更新對話,則新SGSN 140不會構(gòu)建MM上 下文。拒絕消息以及對應原因的指示被返回給UE 100。UE 100不會再次嘗試對于該RA的 路由區(qū)域更新。當UE 100被加電時,檢測到RAI值。如果新SGSN 140無法更新一個或多 個PGW 180中的PDP上下文,則新SGSN 140使對應的PDP上下文無效。不過這應該不會導 致SGSN拒絕路由區(qū)域更新。以優(yōu)先化的順序從舊MME 130向新SGSN140發(fā)送PDP上下文,S卩,最重要的PDP上 下文在SGSN上下文響應消息中被首先發(fā)送。應該注意,將使用的確切優(yōu)先化方法可以是依 賴于實現(xiàn)方式的。不過,在某些實施例中,優(yōu)先化是基于當前活動的。新SGSN 140基于來 自PGW 180的每個PDP上下文的已接收APN限制而確定最大APN限制,并接著存儲新的最 大APN限制值。如果新SGSN 140無法支持如從舊MME 130接收的那樣同樣數(shù)量的活動PDP上下 文,則新SGSN 140當決定哪些PDP上下文將維持為活動的,而哪些應該被刪除時,可以使用 由舊MME 130發(fā)送的優(yōu)先化作為輸入。在任意情形中,新SGSN 140首先更新在一個或多個 PGW 180中所有上下文,并接著使其無法維護的(一個或多個)上下文無效。這應該不會導 致SGSN拒絕路由區(qū)域更新。如果前述位于MME 130的計時器到期,并且如果未從HLR接收到取消位置消息 (包括IMSI),則舊MME 130停止將N-PDU轉(zhuǎn)發(fā)到新SGSN140。如果路由區(qū)域更新過程失敗 了最大可允許次數(shù),或者如果SGSN 140返回路由區(qū)域更新拒絕(原因)消息,則用戶設備 進入空閑(IDLE)狀態(tài)。同樣在圖2中示出的是對使用針對移動網(wǎng)絡增強邏輯(CAMEL)交互的定制應用 的多種實施例的描述。在圖2中的C1處,在舊MME 130處調(diào)用CAMEL_GPRS_PDP_Context_ Disconnection、CAMEL_GPRS_Detach、以及 CAMEL_PS_Notification 過程。具體而言, CAMEL_GPRS_PDP_Context_Disconnection過程被首先調(diào)用,并且被調(diào)用若干次——每PDP 上下文一次。該過程返回“繼續(xù)”作為結(jié)果。CAMEL_GPRS_Detach過程接著被調(diào)用一次。該 過程也返回“繼續(xù)”作為結(jié)果。最后,CAMEL_PS_NotifiCation過程被調(diào)用一次。該過程也 返回“繼續(xù)”作為結(jié)果。在圖2 中的 C2 處,在新 SGSN 140 處調(diào)用 CAMEL_GPRS_Routeing_Area_Update_ Session 和 CAMEL_PS_Not i fi cat ion 過程。具體而言,CAMEL_GPRS_Routeing_Area_ UpdateSession過程被首先調(diào)用。該過程返回“繼續(xù)”作為結(jié)果。CAMEL_PS_Notification 過程接著被調(diào)用,同樣返回“繼續(xù)”作為結(jié)果。在圖2中的C3處,CAMEL_GPRS_Routeing_ Area_Update_Context過程被調(diào)用若干次——每PDP上下文一次,并且其返回“繼續(xù)”作為 結(jié)果。存在根據(jù)多種實施例的、可以被用于生成可以被嵌入到P-TMSI簽名字段中的認 證資料的若干方案。在此處討論的每個實施例中,使用NAS密鑰或從其導出的密鑰,但是精確用于如何生成密鑰的方法可以不同。因此,應該理解,此處所述的用于認證資料生成的這 些方法在性質(zhì)上僅是示例性的。在此處討論的方案中,舊MME 130不需要預先向用戶設備 轉(zhuǎn)移認證資料,其在用于SGSN/UMTS(SGSN/GSM)轉(zhuǎn)移的P-TMSI簽名分配之后進行。這是因 為在此處討論的實施例中,認證信息是基于用戶特定密鑰的。這允許增強安全性,因為可以 避免認證資料到用戶設備的下行鏈路轉(zhuǎn)移。
在一個具體實施例中,在UTRAN消息的某些或所有部分上計算基于NAS密鑰的權 標。在此方案中,被發(fā)送到SGSN 140的信息單元被從新SGSN 140轉(zhuǎn)發(fā)到舊MME 130,從而 使得舊MME 130可以基于所接收的消息(即,基于消息中識別的UE的認證碼)計算NAS權 標。在此方法的變體中,通過其計算NAS權標的內(nèi)容被預先定義,并且由MME接收的消息指 向正確值(通過P-TMSI的用戶設備識別)。在此情形中,不會在(P-) TMSI簽名中轉(zhuǎn)移NAS 序列號(SN),而是可以將NAS序列號(SN)用作為輸入?yún)?shù)。這需要NAS級的SN值也被包 括在P-TMSI簽名字段中,從而使得MME 130可以構(gòu)成正確的COUNT值,作為用于NAS權標 計算的輸入?yún)?shù)。與通常的NAS消息保護中一樣,出于回復保護的原因使用COUNT值。以下是P-TMSI簽名信息單元的兩個變體。第一變體是固定大小的,而第二變體是 可變大小的。在固定大小的P-TMSI簽名信息單元的情形中,具有NAS序列號的NAS權標 被截斷為例如24位(固定大小信息單元中P-TMSI的大小)的固定長度。在可變大小的 P-TMSI簽名信息單元的情形中,可以使用完全32位(或更多)NAS權標以及序列號(例如, 4位或更多)。當在P-TMSI簽名信息單元之內(nèi)傳統(tǒng)的信令消息中攜帶上下文轉(zhuǎn)移認證信息 時,可以實現(xiàn)對固定大小和可變大小的P-TMSI簽名的支持。在某些實施例中,NAS密鑰被用于在用戶設備和MME處創(chuàng)建一次性權標。示例性 的認證權標或認證密鑰導出函數(shù)如下NAS_Token = KDF (K_NASInt Il K_NASenc Il S-TMSI Il “ E-UTRAN 到 UTRAN 的認證權 標")在以上函數(shù)中,KDF是密鑰導出函數(shù),而K_NASInt*K_NASenc是NAS完整性和 加密密鑰。符號“ Il ”表示并置,并且引號("“)內(nèi)的串是常數(shù)。在可替換情形中,其中 S-TMSI的改變足以刷新認證權標,導出如下NAS_Token = KDF (K_ASME Il S-TMSI Il “ E-UTRAN 到 UTRAN 的認證權標〃)在以上函數(shù)中,S-TMSI是在MME中使用的臨時id,而K_ASME是通過其導出NAS密 鑰的根密鑰。NAS密鑰按照TS 33.abc中的定義。在再一個可替換方案中,COUNT值也被采 用為輸入?yún)?shù),從而使得導出函數(shù)如下NAS_Token = KDF (K_NASint Il K_NASenc Il S-TMSI Il COUNT Il “ E-UTRAN 到 UTRAN 的認證權標")或者NAS-Token = KDF (K_ASME Il S-TMSI Il COUNT Il “ E-UTRAN 到 UTRAN 的認證權標〃)在最簡單的形式中,不需要S-TMSI和串。其被如下示出NAS-Token = KDF(K_ASME 11 COUNT)所有的NAS權標(NAS-Token)導出可以進一步包括常數(shù)值,以便區(qū)分NAS權標導 出和其它導出。下文是關于上述認證權標的創(chuàng)建的時刻的討論。在一個特定實施例中,對用于在用戶設備和MME處的權標創(chuàng)建的輸入?yún)?shù)的同步可以通過定義同步點而完成。在此方案 中,每當在MME中的成功注冊,則權標通過使用可用輸入?yún)?shù)被重新創(chuàng)建,并被存儲在兩端 用于重用。可替換地,對用于在用戶設備和MME處的權標創(chuàng)建的輸入?yún)?shù)的同步可以通過 依賴于最新可用的參數(shù)NAS密鑰、S-TMSI等,以及在輸入?yún)?shù)已經(jīng)被改變的情形中通過一 個重試可能性進行拷貝,來實現(xiàn)。例如,在對UTRAN的切換請求之后立即用EPS中的新密鑰 進行的NAS密鑰更新可以使得MME計算不同的權標。在此方案中,避免了對權標的預先存 儲。 在上述實施例中,如果上下文轉(zhuǎn)移認證失敗,則網(wǎng)絡/信令行為應該是相同的。由UMTS定義的P-TMSI簽名信息單元僅具有針對SGSN的本地簽名,所述SGSN生 成該簽名并將其分配給用戶設備。在演進的3GPP系統(tǒng)中,用戶設備和MME 二者都計算認證 權標。因此,MME不一定要提供與UTRAN中類似的針對用戶設備的簽名,即,不存在從MME到 用戶設備的“P-TMSI簽名”轉(zhuǎn)移。上述方案的安全級別取決于特定實現(xiàn)方式而不同。一般而言,認證資料越長,對拒 絕服務(DoS)攻擊的保護就越好。圖3和4示出了可以作為用戶設備(UE)的一個典型移動設備12,通過其可以實現(xiàn) 多種實施例。此處所述的設備可以包括圖3和4中描述的任意和/或所有特征。不過,應 該理解,本發(fā)明并非意在受限于一個特定類型的電子設備。圖3和4的移動設備12包括外 殼30、液晶顯示器形式的顯示器32、小鍵盤34、麥克風36、耳機38、電池40、紅外端口 42、天 線44、根據(jù)一實施例為通用集成電路卡(UICC)形式的智能卡46、讀卡器48、無線電接口電 路52、編解碼器電路54、控制器56、以及存儲器58。除了執(zhí)行此處所述的方法和過程所需 的編程和/或其它指令之外,獨立的電路和單元都是本領域已知的類型。在某些實施例中, 設備可以包括并非全部圖3和4中示出的組件。例如,可連接于(例如通過通用串行總線 插頭)膝上型計算機或其它設備的適配器(dongle)或其它外圍組件可以包括天線、無線電 接口電路、控制器和存儲器,但是可能缺少顯示器、鍵盤、麥克風和/或紅外端口。此處所述的某些實施例在方法步驟或過程的通用上下文中進行描述,其可以在一 個實施例中由在計算機可讀存儲介質(zhì)中包含的計算機程序產(chǎn)品實現(xiàn),所述計算機程序產(chǎn)品 包括計算機可執(zhí)行指令,諸如由連網(wǎng)環(huán)境中的一個或多個計算機執(zhí)行的程序代碼。一般而 言,程序模塊可以包括執(zhí)行特定任務或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、程序、對象、組件、 數(shù)據(jù)結(jié)構(gòu)等等。計算機可執(zhí)行指令、相關聯(lián)的數(shù)據(jù)結(jié)構(gòu)、以及程序模塊表示用于執(zhí)行此處公 開的方法的步驟的程序代碼的示例。所述可執(zhí)行指令或相關聯(lián)的數(shù)據(jù)結(jié)構(gòu)的特定順序表示 用于實現(xiàn)在所述步驟或過程中描述的功能的對應動作的示例。本發(fā)明的實施例可以用軟件、硬件、應用邏輯、或軟件、硬件和應用邏輯的結(jié)合來 實現(xiàn)。軟件、應用邏輯、和/或硬件可以駐留于芯片組(例如,一個或多個集成電路(IC)或 專用集成電路(ASIC))、移動設備、臺式計算機、膝上型計算機、服務器、適配器(dongle)或 其它外圍組件等等之上。應用邏輯、軟件或指令集優(yōu)選地在多種傳統(tǒng)計算機可讀介質(zhì)上保 存。在本文檔的上下文中,“計算機可讀介質(zhì)”可以是任意介質(zhì)或裝置,其可以包含、存儲、傳 送、傳播或傳輸由指令執(zhí)行系統(tǒng)、裝置或設備使用或與指令執(zhí)行系統(tǒng)、裝置或設備相結(jié)合使 用的指令。對于多種實施例的軟件和web實現(xiàn)可以通過具有基于規(guī)則的邏輯和其它邏輯的標準編程技術來實現(xiàn),所述邏輯用于實現(xiàn)多種數(shù)據(jù)庫搜索步驟或過程、相關步驟或過程、比 較步驟或過程、以及決策步驟或過程。應該注意,此處所使用的詞語“組件”和“模塊”意在 包括使用一個或多個軟件代碼行、和/或硬件實現(xiàn)、和/或用于接收手動輸入的設備的實現(xiàn) 方式。圖5是示出圖2的MME 130的附加細節(jié)的框圖。MME 130包括一個或多個處理器 202和一個或多個存儲器204,所述存儲器可以是易失性的(例如,隨機存取存儲器(RAM))、 非易失性的(例如,磁盤驅(qū)動器),或者包括易失性和非易失性組件。MME 130可以是獨立服 務器或其它網(wǎng)絡單元,或者可以駐留在也執(zhí)行其它網(wǎng)絡功能的網(wǎng)絡單元之內(nèi)??邕^所示的 多種接口(即,Sl-MME、S10、Sll、S6a和Gn接口)以及跨過其它接口到MME 130的輸入以 及來自MME 130的輸出可以是通過單獨的物理介質(zhì)??商鎿Q地,通過多個接口的通信可以 合并在單個物理連接上(例如,作為在單個IP網(wǎng)絡物理連接上的單獨分組)。處理器202 通過多種所示接口接收和發(fā)送通信,并且與存儲器204進行通信,以檢索和存儲數(shù)據(jù),從而 執(zhí)行此處所述的MME操作。已經(jīng)出于說明和描述的目的呈現(xiàn)了對實施例的前述描述。前述描述并非意在是窮 舉性的或者將本發(fā)明的實施例限于所公開的精確形式,并且考慮到上述講授,修改和變體 是可能的,或者可以通過試試多種實施例而獲得。此處討論的實施例被選擇和 描述,以便解 釋多種實施例的原理和性質(zhì)及其實際應用,從而使得本領域技術人員能夠在多種實施例中 以及在具有適于所預期的特定使用的多種修改的情況下利用本發(fā)明。此處所述的實施例的 特征可以在方法、裝置、模塊、系統(tǒng)和計算機程序產(chǎn)品的所有可能組合中進行結(jié)合。
權利要求
一種方法,包括在第二網(wǎng)絡實體處接收來自第一網(wǎng)絡實體的上下文轉(zhuǎn)移請求,所述上下文轉(zhuǎn)移請求包括信息字段,所述信息字段包含對應于移動設備的認證資料;在所述第二網(wǎng)絡實體處計算驗證資料,其中所述驗證資料是根據(jù)將被包含在所述移動設備中的第二網(wǎng)絡實體已知的信息計算的,并且其中所述驗證資料先前沒有從所述第二網(wǎng)絡實體轉(zhuǎn)移給所述移動設備;以及確定所述驗證資料是否匹配所述認證資料。
2.根據(jù)權利要求1所述的方法,進一步包括一旦確定所述驗證資料匹配所述認證資料,則認證所述上下文轉(zhuǎn)移請求并將上下文信 息轉(zhuǎn)移給所述第一網(wǎng)絡實體。
3.根據(jù)權利要求1所述的方法,進一步包括一旦確定所述驗證資料不匹配所述認證資料,則發(fā)送錯誤消息給所述第一網(wǎng)絡實體;在發(fā)送錯誤消息之后,從所述第一網(wǎng)絡實體接收第二上下文轉(zhuǎn)移請求,所述第二上下 文轉(zhuǎn)移請求指示出對所述移動設備的授權;以及響應于所述第二上下文轉(zhuǎn)移請求,將上下文信息轉(zhuǎn)移給所述第一網(wǎng)絡實體。
4.根據(jù)權利要求1所述的方法,其中所述第一網(wǎng)絡實體包括傳統(tǒng)第三代合作伙伴 (3GPP)通用移動電信系統(tǒng)(UMTS)網(wǎng)絡、傳統(tǒng)3GPP通用分組無線服務(GPRS)網(wǎng)絡、或全球 移動通信系統(tǒng)(GSM)邊緣無線電接入網(wǎng)絡(GERAN)內(nèi)的實體,并且其中所述第二網(wǎng)絡實體 是演進的3GPP網(wǎng)絡中的移動性管理實體。
5.根據(jù)權利要求1所述的方法,其中所述信息字段包括分組交換網(wǎng)絡臨時移動站標 識符(P-TMSI)簽名信息字段。
6.根據(jù)權利要求1所述的方法,其中所述驗證資料根據(jù)至少一個用戶特定密鑰導出。
7.根據(jù)權利要求6所述的方法,其中所述至少一個用戶特定密鑰是接入安全管理實體 密鑰(K_ASME)。
8.根據(jù)權利要求6所述的方法,其中所述至少一個用戶特定密鑰根據(jù)至少一個非接入 層(NAS)密鑰導出。
9.根據(jù)權利要求6所述的方法,其中所述至少一個用戶特定密鑰根據(jù)至少一個接入安 全管理實體密鑰(K_ASME)導出。
10.根據(jù)權利要求1所述的方法,其中所述認證資料包括根據(jù)接入安全管理實體密鑰 (K_ASME)導出的一次性權標。
11.根據(jù)權利要求1所述的方法,其中所述認證資料包括通過通用移動電信系統(tǒng) (UMTS)陸地無線電接入網(wǎng)絡(UTRAN)消息和全球移動通信系統(tǒng)/邊緣無線電接入網(wǎng)絡 (GERAN)消息中之一的至少一部分計算的權標。
12.—種具有機器可執(zhí)行指令的機器可讀存儲介質(zhì),所述指令用于執(zhí)行一種方法,所述 方法包括在第二網(wǎng)絡實體處接收來自第一網(wǎng)絡實體的上下文轉(zhuǎn)移請求,所述上下文轉(zhuǎn)移請求包 括信息字段,所述信息字段包含對應于移動設備的認證資料;在所述第二網(wǎng)絡實體處計算驗證資料,其中所述驗證資料是根據(jù)將被包含在所述移動 設備中的第二網(wǎng)絡實體已知的信息計算的,并且其中所述驗證資料先前沒有從所述第二網(wǎng)絡實體轉(zhuǎn)移給所述移動設備;以及確定所述驗證資料是否匹配所述認證資料。
13.根據(jù)權利要求12所述的機器可讀存儲介質(zhì),包括附加指令,用于一旦確定所述驗證資料匹配所述認證資料,則認證所述上下文轉(zhuǎn)移請求并將上下文信 息轉(zhuǎn)移給所述第一網(wǎng)絡實體。
14.根據(jù)權利要求12所述的機器可讀存儲介質(zhì),包括附加指令,用于一旦確定所述驗證資料不匹配所述認證資料,則發(fā)送錯誤消息給所述第一網(wǎng)絡實體;在發(fā)送錯誤消息之后,從所述第一網(wǎng)絡實體接收第二上下文轉(zhuǎn)移請求,所述第二上下 文轉(zhuǎn)移請求指示出對所述移動設備的授權;以及響應于所述第二上下文轉(zhuǎn)移請求,將上下文信息轉(zhuǎn)移給所述第一網(wǎng)絡實體。
15.根據(jù)權利要求12所述的機器可讀存儲介質(zhì),其中所述第一網(wǎng)絡實體包括傳統(tǒng)第 三代合作伙伴(3GPP)通用移動電信系統(tǒng)(UMTS)網(wǎng)絡、傳統(tǒng)3GPP通用分組無線服務(GPRS) 網(wǎng)絡、或全球移動通信系統(tǒng)(GSM)邊緣無線接入網(wǎng)絡(GERAN)內(nèi)的實體,并且其中所述第二 網(wǎng)絡實體是演進的3GPP網(wǎng)絡中的移動性管理實體。
16.根據(jù)權利要求12所述的機器可讀存儲介質(zhì),其中所述信息字段包括分組交換網(wǎng) 絡臨時移動站標識符(P-TMSI)簽名信息字段。
17.根據(jù)權利要求12所述的機器可讀存儲介質(zhì),其中所述驗證資料通過至少一個用戶 特定密鑰導出。
18.根據(jù)權利要求17所述的機器可讀存儲介質(zhì),其中所述至少一個用戶特定密鑰是接 入安全管理實體密鑰(K_ASME)。
19.根據(jù)權利要求17所述的機器可讀存儲介質(zhì),其中所述至少一個用戶特定密鑰根據(jù) 至少一個非接入層(NAS)密鑰導出。
20.根據(jù)權利要求17所述的機器可讀存儲介質(zhì),其中所述至少一個用戶特定密鑰根據(jù) 至少一個接入安全管理實體密鑰(K_ASME)導出。
21.根據(jù)權利要求12所述的機器可讀存儲介質(zhì),其中所述認證資料包括通過接入安全 管理實體密鑰(K_ASME)導出的一次性權標。
22.根據(jù)權利要求12所述的機器可讀存儲介質(zhì),其中所述認證資料包括通過通用移動 電信系統(tǒng)(UMTS)陸地無線接入網(wǎng)絡(UTRAN)消息和全球移動通信系統(tǒng)/邊緣無線接入網(wǎng) 絡(GERAN)消息中之一的至少一部分計算的權標。
23.一種裝置,包括至少一個處理器,被配置用于從第一網(wǎng)絡接收上下文轉(zhuǎn)移請求,所述上下文轉(zhuǎn)移請求包括信息字段,所述信息字段 包含對應于移動設備的認證資料;計算驗證資料,其中所述驗證資料根據(jù)將被包含在所述移動設備中的所述裝置已知的 信息進行計算,并且其中所述驗證資料先前沒有從所述裝置轉(zhuǎn)移給所述移動設備;以及確定所述驗證資料是否匹配所述認證資料。
24.根據(jù)權利要求23所述的裝置,其中所述至少一個處理器被進一步配置用于一旦確定所述驗證資料匹配所述認證資料,則認證所述上下文轉(zhuǎn)移請求并將上下文信息轉(zhuǎn)移給所述第一網(wǎng)絡實體。
25.根據(jù)權利要求23所述的裝置,其中所述至少一個處理器被進一步配置用于 一旦確定所述驗證資料不匹配所述認證資料,則發(fā)送錯誤消息給所述第一網(wǎng)絡實體; 在發(fā)送錯誤消息之后,從所述第一網(wǎng)絡實體接收第二上下文轉(zhuǎn)移請求,所述第二上下文轉(zhuǎn)移請求指示出對所述移動設備的授權;以及響應于所述第二上下文轉(zhuǎn)移請求,將上下文信息轉(zhuǎn)移給所述第一網(wǎng)絡實體。
26.根據(jù)權利要求23所述的裝置,其中所述第一網(wǎng)絡實體包括傳統(tǒng)第三代合作伙伴 (3GPP)通用移動電信系統(tǒng)(UMTS)網(wǎng)絡、傳統(tǒng)3GPP通用分組無線服務(GPRS)網(wǎng)絡、或全球 移動通信系統(tǒng)(GSM)邊緣無線電接入網(wǎng)絡(GERAN)內(nèi)的實體,并且其中所述裝置被配置用 于作為演進的3GPP網(wǎng)絡中的移動性管理實體進行操作。
27.根據(jù)權利要求23所述的裝置,其中所述信息字段包括分組交換網(wǎng)絡臨時移動站 標識符(P-TMSI)簽名信息字段。
28.根據(jù)權利要求23所述的裝置,其中所述驗證資料根據(jù)至少一個用戶特定密鑰導出ο
29.根據(jù)權利要求28所述的裝置,其中所述至少一個用戶特定密鑰是接入安全管理實 體密鑰(K_ASME)。
30.根據(jù)權利要求28所述的裝置,其中所述至少一個用戶特定密鑰根據(jù)至少一個非接 入層(NAS)密鑰導出。
31.根據(jù)權利要求23所述的裝置,其中所述至少一個用戶特定密鑰根據(jù)至少一個接入 安全管理實體密鑰(K_ASME)導出。
32.根據(jù)權利要求23所述的裝置,其中所述認證資料包括根據(jù)接入安全管理實體密鑰 (K_ASME)導出的一次性權標。
33.根據(jù)權利要求23所述的裝置,其中所述認證資料包括通過通用移動電信系統(tǒng) (UMTS)陸地無線接入網(wǎng)絡(UTRAN)消息和全球移動通信系統(tǒng)/邊緣無線接入網(wǎng)絡(GERAN) 消息中之一的至少一部分計算的權標。
34.一種方法,包括在第一無線網(wǎng)絡內(nèi)操作移動設備;基于與所述第一無線網(wǎng)絡的單元共享的信息在所述移動設備中計算認證資料; 在第二無線網(wǎng)絡中從所述移動設備發(fā)送路由區(qū)域更新,其中所述第二無線網(wǎng)絡不同于 所述第一無線網(wǎng)絡,并且其中所述路由區(qū)域更新請求包括信息字段,所述信息字段包含認 證資料;以及作為發(fā)送所述路由區(qū)域更新請求的結(jié)果,在所述移動設備處從所述第二無線網(wǎng)絡接收 路由區(qū)域更新接受。
35.根據(jù)權利要求34所述的方法,其中所述第一無線網(wǎng)絡是演進的第三代合作伙伴 (3GPP)網(wǎng)絡,并且其中所述第二無線網(wǎng)絡是以下之一傳統(tǒng)第三代合作伙伴(3GPP)通用移 動電信系統(tǒng)(UMTS)網(wǎng)絡、傳統(tǒng)3GPP通用分組無線服務(GPRS)網(wǎng)絡、或全球移動通信系統(tǒng) (GSM)邊緣無線電接入網(wǎng)絡(GERAN)。
36.根據(jù)權利要求34所述的方法,其中所述信息字段包括分組交換網(wǎng)絡臨時移動站 標識符(P-TMSI)簽名信息字段。
37.根據(jù)權利要求34所述的方法,其中所述認證資料根據(jù)至少一個用戶特定密鑰導出。
38.根據(jù)權利要求34所述的方法,其中所述認證資料包括根據(jù)接入安全管理實體密鑰 (K_ASME)導出的一次性權標。
39.一種具有機器可執(zhí)行指令的機器可讀存儲介質(zhì),所述指令用于執(zhí)行一種方法,所述 方法包括 在第一無線網(wǎng)絡內(nèi)操作移動設備;基于與所述第一無線網(wǎng)絡的單元共享的信息在所述移動設備中計算認證資料;在第二無線網(wǎng)絡中從所述移動設備發(fā)送路由區(qū)域更新,其中所述第二無線網(wǎng)絡不同于 所述第一無線網(wǎng)絡,并且其中路由區(qū)域更新請求包括信息字段,所述信息字段包含認證資 料;以及作為發(fā)送所述路由區(qū)域更新請求的結(jié)果,在所述移動設備處從所述第二無線網(wǎng)絡接收 路由區(qū)域更新接受。
40.根據(jù)權利要求39所述的機器可讀存儲介質(zhì),其中所述第一無線網(wǎng)絡是演進的第 三代合作伙伴(3GPP)網(wǎng)絡,并且其中所述第二無線網(wǎng)絡是以下之一傳統(tǒng)第三代合作伙伴 (3GPP)通用移動電信系統(tǒng)(UMTS)網(wǎng)絡、傳統(tǒng)3GPP通用分組無線服務(GPRS)網(wǎng)絡、或全球 移動通信系統(tǒng)(GSM)邊緣無線電接入網(wǎng)絡(GERAN)。
41.根據(jù)權利要求39所述的機器可讀存儲介質(zhì),其中所述信息字段包括分組交換網(wǎng) 絡臨時移動站標識符(P-TMSI)簽名信息字段。
42.根據(jù)權利要求39所述的機器可讀存儲介質(zhì),其中所述認證資料根據(jù)至少一個用戶 特定密鑰導出。
43.根據(jù)權利要求39所述的機器可讀存儲介質(zhì),其中所述認證資料包括根據(jù)接入安全 管理實體密鑰(K_ASME)導出的一次性權標。
44.一種裝置,包括至少一個處理器,被配置用于第一無線網(wǎng)絡內(nèi)操作所述裝置;基于與所述第一無線網(wǎng)絡的單元共享的信息計算認證資料;在第二無線網(wǎng)絡中發(fā)送路由區(qū)域更新,其中所述第二無線網(wǎng)絡不同于所述第一無線網(wǎng) 絡,并且其中路由區(qū)域更新請求包括信息字段,所述信息字段包含認證資料;以及作為發(fā)送所述路由區(qū)域更新請求的結(jié)果,從所述第二無線網(wǎng)絡接收路由區(qū)域更新接受。
45.根據(jù)權利要求44所述的裝置,其中所述第一無線網(wǎng)絡是演進的第三代合作伙伴 (3GPP)網(wǎng)絡,并且其中所述第二無線網(wǎng)絡是以下之一傳統(tǒng)第三代合作伙伴(3GPP)通用移 動電信系統(tǒng)(UMTS)網(wǎng)絡、傳統(tǒng)3GPP通用分組無線服務(GPRS)網(wǎng)絡、或全球移動通信系統(tǒng) (GSM)邊緣無線電接入網(wǎng)絡(GERAN)。
46.根據(jù)權利要求44所述的裝置,其中所述信息字段包括分組交換網(wǎng)絡臨時移動站 標識符(P-TMSI)簽名信息字段。
47.根據(jù)權利要求44所述的裝置,其中所述認證資料根據(jù)至少一個用戶特定密鑰導出。
48.根據(jù)權利要求44所述的裝置,其中所述認證資料包括根據(jù)接入安全管理實體密鑰 (K_ASME)導出的一次性權標。
全文摘要
在演進的3GPP系統(tǒng)中的用戶設備(UE)和移動性管理實體(MME)生成認證資料,該認證資料可以在從UE到UMTS或GPRS陸地無線接入網(wǎng)絡(UTRAN)中或者GSM/邊緣無線接入網(wǎng)絡(GERAN)中的UMTS/GPRS服務GPRS支持節(jié)點(SGSN)、以及從SGSN到演進的3GPP系統(tǒng)的MME的通用移動電信系統(tǒng)(UMTS)信令消息的分組交換網(wǎng)絡臨時移動站標識符(P-TMSI)簽名字段內(nèi)攜帶。MME基于所轉(zhuǎn)移的認證資料以及關于如何創(chuàng)建或校驗認證資料的知識,來認證來自UTRAN/GERAN系統(tǒng)的上下文轉(zhuǎn)移請求。此外,MME和UE基于至少一個用戶特定密鑰導出或校驗認證資料,用于嵌入到傳統(tǒng)3GPP信令中的P-TMSI簽名字段中。
文檔編號H04W8/12GK101843126SQ200880113927
公開日2010年9月22日 申請日期2008年10月27日 優(yōu)先權日2007年10月29日
發(fā)明者D·福斯貝里, F·馬德曼, M·布洛馬特, V·奈來 申請人:諾基亞公司