傳送給輔eNB���。
[0083]將Kassisting eNB直接從MME傳送給輔eNB —般而言是一種安全性優(yōu)點。以這種方式�,僅MME、輔eNB和無線終端知道密鑰����。如果用于在輔eNB與無線終端之間建立連接的信令使得牽涉到MME���,則這是更可取的��。
[0084]其他的替換方式是對于MME而言將Kassisting eNB發(fā)送給eNB���,eNB簡單地將K assistingeNB轉(zhuǎn)發(fā)給輔eNB。這種方法具有安全性缺點����,因為eNB現(xiàn)在也知曉K assisting eNB。然而�,如果在MME與輔eNB之間不存在直接的信令路徑并且Kasme是被使用作為用于K assisting eNB推導(dǎo)的基礎(chǔ)的加密鑰材料�,則該方法可能是有用的��。
_5] 示例方法
[0086]鑒于上面所描述的詳細示例����,將會意識到,圖6和7是描繪了分別由網(wǎng)絡(luò)節(jié)點和無線終端可能采取的示例操作的流程圖����,其中網(wǎng)絡(luò)在各種實施例中可以是錨基站或MME。所圖示的過程流程圖包括以實線邊界圖示的一些操作以及以虛線邊界圖示的一些操作�����。被包括在實線邊界中的操作是被包括在最寬的示例實施例中的操作����。被包括在虛線邊界中的操作是可以被包括在較寬示例實施例中或者是較寬示例實施例的一部分,或者是可以除了較寬示例實施例的操作之外又采取的進一步操作���。因此�,在虛線輪廓中示出的這些操作�,在它們可能不出現(xiàn)在所圖示的過程的每個實施例的每個實例中的意義上,可以被考慮為是“可選的”�。還應(yīng)當(dāng)意識到�,圖6和7的操作僅作為一種示例而被提供���。
[0087]更特別地��,圖6圖示了一種用于在雙連接場景中生成輔安全密鑰以用于由輔基站使用的過程�����。圖6中所示出的過程可以被實施在網(wǎng)絡(luò)節(jié)點中����,諸如在錨基站(例如����,LTE錨eNB)中或者在某個其他的網(wǎng)絡(luò)節(jié)點(諸如MME)中���。如在框10處所示出的�,網(wǎng)絡(luò)節(jié)點首先確定對于將被生成的輔安全密鑰的需求��。例如����,這可以由雙連接場景的建立來觸發(fā)���。響應(yīng)于這一確定,網(wǎng)絡(luò)節(jié)點至少部分地基于主安全密鑰來生成輔安全密鑰����。這示出在框12處。如上面詳細解釋的�����,這個主安全密鑰在各種實施例中可以是錨節(jié)點基本密鑰(例如��,KdJ或者對網(wǎng)絡(luò)節(jié)點和感興趣的移動終端而言是已知的其他密鑰����,諸如MME密鑰(例如,Kasme)�����。
[0088]如在框12和16處所示出的�����,輔安全密鑰的生成可以包含對KDF (例如�,單向密碼函數(shù))以及一個或多個新鮮度參數(shù)的使用�����。如在框17處所示出的����,在一些實施例中�,可以維護已經(jīng)被使用的新鮮度參數(shù)的列表。
[0089]如在框18處所示出的��,所生成的輔安全密鑰然后被發(fā)送給輔基站��。在一些情況中�����,如上面所詳述的����,輔安全密鑰然后被用來生成一個或多個附加密鑰以用于保護向移動終端和從移動終端傳送的數(shù)據(jù)�,盡管在一些實施例中可能為了這樣的目的而直接使用輔安全密鑰。
[0090]圖7圖示了諸如可能在移動終端中執(zhí)行的對應(yīng)方法���。如在框30處所示出的�����,移動終端至少部分地基于由圖6中的網(wǎng)絡(luò)節(jié)點使用的相同主安全密鑰來生成輔安全密鑰����。再一次地,這個主安全密鑰在各種實施例中可以是錨節(jié)點基本密鑰(例如�����,KdJ或者對網(wǎng)絡(luò)節(jié)點和感興趣的移動終端而言是已知的其他密鑰�����,諸如MME密鑰(例如����,Kasme)。如在框32和34處所示出的���,輔安全密鑰的生成可以包含對KDF(例如�����,單向密碼函數(shù))以及一個或多個新鮮度參數(shù)的使用����。如在框17處所示出的,在一些實施例中�����,可以維護已經(jīng)被使用的新鮮度參數(shù)的列表���。
[0091]如在框36處所示出的��,所生成的輔安全密鑰然后被應(yīng)用到對向輔基站和從輔基站發(fā)送的數(shù)據(jù)的保護����。在一些情況中�����,如上面所詳述的�����,輔安全密鑰被用來生成一個或多個附加密鑰以用于保護向移動終端和從移動終端傳送的數(shù)據(jù)����,盡管在一些實施例中可能為了這樣的目的而直接使用輔安全密鑰。
[0092]如上面所討論的��,在各種實施例中�,可以從錨節(jié)點密鑰或者從與另一節(jié)點(諸如MME)相對應(yīng)的安全密鑰來生成輔安全密鑰。圖8和9是分別與這兩種場景相對應(yīng)的過程流程圖���。這些方法可以在例如LTE網(wǎng)絡(luò)中執(zhí)行��,但是也能夠被應(yīng)用到采用雙連接的其他無線網(wǎng)絡(luò)�����。
[0093]圖8因此圖示了一種適合用于實施在網(wǎng)絡(luò)節(jié)點中的方法����,以用于針對在無線終端與錨基站之間以及在無線終端與輔基站之間的受保護通信的安全密鑰生成��,其中無線終端雙連接到或者即將雙連接到錨基站和輔基站�����。如在框810處所示出的�,所圖示的方法包括:至少部分地基于錨基站密鑰來生成用于輔基站的輔安全密鑰。如在框820處所示出的,所生成的輔安全密鑰然后被發(fā)送給輔基站����,以用于由輔基站在對被發(fā)送給無線終端的數(shù)據(jù)流量進行加密中或者在生成一個或多個附加輔安全密鑰中使用,該一個或多個附加輔安全密鑰用于對當(dāng)無線終端雙連接到錨基站和輔基站時由輔基站發(fā)送給無線終端的數(shù)據(jù)流量進行加密���。如在框830處所示出的�,使用錨基站密鑰��、或者從錨基站密鑰導(dǎo)出的密鑰用于對當(dāng)無線終端雙連接到錨基站和輔基站時由錨基站發(fā)送給無線終端的數(shù)據(jù)進行加密��。
[0094]在圖8中所圖示的方法的一些實施例中�,所生成的輔安全密鑰包括用于在生成一個或多個附加輔安全密鑰中使用的基本輔安全密鑰,該一個或多個附加輔安全密鑰用于對由輔基站發(fā)送給無線終端的數(shù)據(jù)流量進行加密����。在這些實施例中的一些實施例中,錨基站和移動終端可以每個都從錨基站密鑰來導(dǎo)出加密密鑰��、或者完整性密鑰��、或者兩者����,并且使用所導(dǎo)出的密鑰或多個密鑰用于保護當(dāng)無線終端雙連接到錨基站和輔基站時由錨基站向無線終端發(fā)送或者從無線終端接收的數(shù)據(jù)����。
[0095]在圖8中所示出的實施例中的一些實施例中���,生成輔安全密鑰包括:使用單向函數(shù)從錨基站密鑰導(dǎo)出輔安全密鑰。在一些實施例中�,單向函數(shù)可以是HMAC-SHA-256密碼函數(shù)。在這些實施例中的一些實施例中以及在一些其他的實施例中���,輔安全密鑰的生成進一步基于新鮮度參數(shù)��。
[0096]在一些實施例中����,所圖示的方法可以進一步包括:檢測輔基站中的分組數(shù)據(jù)匯聚協(xié)議(rocp)couNT參數(shù)即將返轉(zhuǎn)����,以及作為響應(yīng),發(fā)起對錨基站密鑰的刷新并且重新運算輔安全密鑰��。
[0097]在一些實施例中��,使用單個輔安全密鑰來生成密鑰集合以在所有的數(shù)據(jù)無線電承載中使用���。在其他實施例中���,可以使用多個輔安全密鑰����,在該情況中���,針對在無線終端與輔基站之間建立的多個數(shù)據(jù)無線電承載中的每個數(shù)據(jù)無線電承載來重復(fù)上面所描述的生成操作�,使得結(jié)果的輔安全密鑰對于每個數(shù)據(jù)無線電承載是不同的�����。在一些實施例中��,結(jié)果的若干密鑰中的多個密鑰可以同時被發(fā)送����。
[0098]圖9是圖示了用于生成用于輔基站的輔安全密鑰的另一方法的過程流程圖。如同圖8中所示出的方法��,圖9的過程適合用于實施在網(wǎng)絡(luò)節(jié)點中���,以用于針對在無線終端與錨基站之間以及在無線終端與輔基站之間的受保護通信的安全密鑰生成���,其中無線終端雙連接到或者即將雙連接到錨基站和輔基站��。然而���,在這個方法中,可以使用對錨基站而言可以是未知的主密鑰����,在除了錨基站之外的網(wǎng)絡(luò)節(jié)點中執(zhí)行該方法����。
[0099]如在框910處所示出的,所圖示的方法包括:與無線終端共享主安全密鑰�����。在一些實施例中�����,這個密鑰對錨基站而言可以是未知的�。一種示例是上面所討論的Kasme密鑰,其在LTE MME與移動終端之間共享���。
[0100]如在框920處所示出的���,該方法繼續(xù)于:至少部分地基于主安全密鑰來生成用于輔基站的輔安全密鑰�����。如在框930處所示出的����,所生成的輔安全密鑰然后被發(fā)送給輔基站���,以用于由輔基站在對被發(fā)送給無線終端的數(shù)據(jù)流量進行加密中或者在生成一個或多個附加輔安全密鑰中使用�����,該一個或多個附加輔安全密鑰用于對當(dāng)無線終端雙連接到錨基站和輔基站時由輔基站發(fā)送給無線終端的數(shù)據(jù)流量進行加密���。在一些實施例中,所生成的輔安全密鑰直接被發(fā)送給輔基站�,從而錨基站不知曉該密鑰,而在其他實施例中�,所生成的輔安全密鑰經(jīng)由錨基站而間接地被發(fā)送給輔基站。
[0101]在一些實施例中�,所生成的輔安全密鑰包括用于在生成一個或多個附加輔安全密鑰中使用的基本輔安全密鑰���,該一個或多個附加輔安全密鑰用于對由輔基站發(fā)送給無線終端的數(shù)據(jù)流量進行加密。在這些實施例中的一些實施例中以及在一些其他的實施例中���,生成輔安全密鑰包括:使用單向函數(shù)從錨基站密鑰導(dǎo)出輔安全密鑰�。例如����,單向函數(shù)可以是HMAC-SHA-256密碼函數(shù)。如上面詳細討論的����,在一些實施例中�,生成輔安全密鑰可以進一步基于新鮮度參數(shù)。
[0102]示例硬件實施方式
[0103]可以使用網(wǎng)絡(luò)節(jié)點(諸如錨基站)中或者MME中所提供的電子數(shù)據(jù)處理電路和無線電電路或者其他接口電路來實施上面所描述的技術(shù)和方法中的若干技術(shù)和方法���,而可以使用無線終端中所提供的無線電電路和電子數(shù)據(jù)處理電路來實施其他的技術(shù)和方法�����。
[0104]圖10圖示了可以執(zhí)行本文所描述的示例實施例中的一些示例實施例的錨基站40IA的一種示例節(jié)點配置��。錨基站401A可以包括:可以被配置為接收和/或發(fā)射通信測量�����、數(shù)據(jù)���、指令����、和/或消息的無線電電路或通信端口 410A��。錨基站401A可以進一步包括:可以被配置為例如向其他網(wǎng)絡(luò)節(jié)點和從其他網(wǎng)絡(luò)節(jié)點接收或發(fā)送網(wǎng)絡(luò)通信的網(wǎng)絡(luò)接口電路440A��。應(yīng)當(dāng)意識到��,無線電電路或通信端口 410A可以被包括作為任何數(shù)目的收發(fā)�����、接收��、和/或發(fā)射單元或電路����。應(yīng)當(dāng)進一步意識到,無線電電路或通信410A可以采用本領(lǐng)域中已知的任何輸入或輸出通信端口的形式。無線電電路或通信410A和/或網(wǎng)絡(luò)接口 440A可以包括RF電路和基帶處理電路���,它們的細節(jié)對熟悉于基站設(shè)計的人們而言是熟知的���。
[0105]錨基站401A還可以包括處理單元或電路420A,處理單元或電路420A可以被配置為執(zhí)行與如本文所描述的對輔安全密鑰(例如����,用于輔eNB的安全密鑰)的生成有關(guān)的操作。處理電路420A可以是任何合適類型的計算單元��,例如微處理器��、數(shù)字信號處理器(DSP)�、現(xiàn)場可編程門陣列(FPGA)、或者專用集成電路(ASIC)�、或者任何其他形式的電路���。錨基站40IA可以進一步包括存儲器單元或電路430A����,存儲器單元或電路430A可以是任何適合類型的計算機可讀存儲器并且可以具有易失性和/或非易失性的類型�����。存儲器430A可以被配置為存儲所接收的、所發(fā)射的�、和/或與安全密鑰的生成有關(guān)的任何信息或新鮮度參數(shù)、設(shè)備參數(shù)�、通信優(yōu)先級、和/或可執(zhí)行的程序指令�����。
[0106]例如�,當(dāng)利用存儲器430A中存儲的適當(dāng)程序代碼被配置時,處理電路420A的典型功能包括對所發(fā)射的信號的調(diào)制和編碼以及對所接收的信號的解調(diào)和解碼����。在本發(fā)明的若干實施例中,使用程序存儲存儲器430A中存儲的適合程序代碼將處理電路420A適配為��,例如���,執(zhí)行上面所描述的用于處置雙連接場景中的安全密鑰的技術(shù)之一����。當(dāng)然����,將意識到���,并不是這些技術(shù)的步驟中的所有步驟都必然在