[发明专利]用于涉及移动性管理实体重定位的移动性过程的装置和方法

说明书

一种设备，其识别进入新服务区域，向与网络相关联的网络设备发送服务区域更新请求，从所述网络接收控制平面消息，所述控制平面消息指示由于响应于发送所述服务区域更新请求的服务区域变化而引起的控制平面设备重定位或密钥刷新，以及部分地基于在所述控制平面消息中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥。另一种设备，其从与网络相关联的网络设备接收切换命令，所述切换命令指示新服务区域，基于在所述切换命令中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥，以及发送基于所述第一密钥来保护的切换确认消息。

相关申请的交叉引用

本申请要求于2015年9月15日在美国专利商标局递交的临时申请No.62/218,863以及于2016年4月1日在美国专利商标局递交的非临时申请No.15/089,396的优先权和权益，通过引用的方式将上述申请的全部内容并入本文。

技术领域

本公开内容总体上涉及用于改进的涉及移动性管理实体(MME)重定位的移动性过程的装置和方法。

背景技术

图1中示出的当前的蜂窝网络架构使用移动性管理实体(MME)110来实现用于控制用户设备(UE)120对蜂窝网络的接入的过程。通常，MME由网络服务提供商(系统运营商)所拥有并由网络服务提供商操作作为核心网络元素，并且位于由网络服务提供商控制的安全位置。核心网100具有控制平面和用户平面，控制平面包括归属用户服务器(HSS)130和MME，用户平面包括分组数据网络(PDN)网关(PGW)140和服务网关(SGW)150。MME连接到演进型节点B(eNodeB)160。eNodeB向UE提供无线接口、RRC 180和PDCP/RLC 190。

在未来的蜂窝网络架构中，可以预见的是，MME 110或执行MME 110的功能中的许多功能的网络组件将被朝着网络边缘推出，其中在网络边缘，它们不那么安全，这是因为它们在物理上更可访问和/或没有与其它网络运营商隔离。随着将网络功能移动至例如云端(例如，互联网)，可能不假定它们是安全的，这是因为它们可以具有较低等级的物理隔离，或者没有物理隔离。此外，网络设备可以不是由单个网络服务提供商所拥有。举例而言，可以利用单个物理硬件设备来托管多个MME实例。结果，发送至MME的密钥可能需要更频繁地刷新，并且因此向MME转发认证向量(AV)可能是不可取的。

存在针对改进的装置和方法的需求，该改进的装置和方法为其中靠近网络边缘来执行MME功能的未来的蜂窝网络架构提供额外的安全性。

发明内容

一个特征提供了一种设备(例如，用户设备)，所述设备包括：无线通信接口，其适于向网络无线地发送数据以及从网络无线地接收数据；以及处理电路，其通信地耦合到所述无线通信接口。所述处理电路可以适于：识别进入新服务区域；向与所述网络相关联的网络设备发送服务区域更新请求；从所述网络接收控制平面消息，所述控制平面消息指示由于响应于发送所述服务区域更新请求的服务区域变化而引起的控制平面设备重定位或密钥刷新；以及部分地基于在接收到的所述控制平面消息中包括的数据以及在所述设备与密钥管理设备之间共享的第二密钥来推导第一密钥，所述密钥管理设备与所述网络相关联。根据一个方面，所述控制平面消息是由于所述服务区域变化而从目标控制平面设备接收的，所述目标控制平面设备是与当前对所述设备进行服务的控制平面设备不同的控制平面设备。根据另一个方面，在所述控制平面消息中包括的所述数据包括控制平面设备标识符，所述控制平面设备标识符标识正在和/或将对所述设备进行服务的控制平面设备。

根据一个方面，推导所述第一密钥还部分地基于被保持在所述密钥管理设备处并被包括在所述控制平面消息中的计数器值密钥计数。根据另一个方面，所述处理电路还适于：基于所述第一密钥来推导演进型节点B(eNB)密钥K_eNB、非接入层密钥K_NAS、和/或下一跳跃(NH)密钥中的至少一者以保护所述设备与所述网络之间的通信。根据另一个方面，所述新服务区域是新跟踪区域和/或新路由区域中的至少一者，并且所述服务区域更新请求与跟踪区域更新和/或路由区域更新中的至少一者相关联。