密鑰后,UE (MTC裝置10)和MTC-1WF 20將導(dǎo)出用于保護(hù)在MTC-1WF 20和UE(MTC裝置10)之間的通信的一對臨時(shí)密鑰��。
[0057]通過服務(wù)的MTC-1WF 20來進(jìn)行在網(wǎng)絡(luò)側(cè)處的臨時(shí)密鑰導(dǎo)出����。當(dāng)MTC-1WF 20第一次需要與給定的UE進(jìn)行通信時(shí),它從根密鑰導(dǎo)出一對或幾對臨時(shí)密鑰�����。UE以MTC-1WF 20進(jìn)行的相同方式來導(dǎo)出相同的臨時(shí)密鑰��。如果存在超過一對臨時(shí)密鑰,則MTC-1WF 20將向UE指示哪個(gè)用于該通信�����。并且�,UE將選擇MTC-1WF 20指示的那個(gè)。
[0058][3],用于密鑰導(dǎo)出的輸入?yún)?shù)
[0059]可以將K_iwf導(dǎo)出如下���。
[0060](I)可以從CK (加密密鑰)�、IK (完整性密鑰)導(dǎo)出K_iwf��。在該情況下��,它可以重新使用現(xiàn)有密鑰分級的一部分��。
[0061](2)可以從Kasme (密鑰訪問安全管理實(shí)體)導(dǎo)出K_iwf��。它可以重新使用現(xiàn)有的密鑰分級的一部分�����。
[0062](3)可以從3GPP密鑰分級獨(dú)立地導(dǎo)出K_iwf����。
[0063]其他值也被用作用于K_iwf導(dǎo)出的輸入?yún)?shù)。
[0064]可以使用K_iwf和其他輸入?yún)?shù)來導(dǎo)出K_di�����。
[0065][4],密鑰存儲
[0066]可以在USIM(通用訂戶身份模塊)或ME (移動設(shè)備)的非易失性存儲器中存儲根密鑰(K_iwf)和臨時(shí)密鑰(K_di_con�����,K_di_int)兩者����。
[0067]隨后參考圖3、4和5來描述根密鑰導(dǎo)出的3種情況����。
[0068]圖3示出當(dāng)HSS 30導(dǎo)出根密鑰時(shí)的密鑰導(dǎo)出和分配。
[0069](Sll)HSS 30導(dǎo)出根密鑰K_iwf��,并且以CK����、IK作為輸入密鑰。
[0070](S12)HSS 30 向 MTC-1WF 20 發(fā)送根密鑰 K_iwf��。
[0071](S13)MTC裝置10導(dǎo)出相同的根密鑰K_iwf(S13a)��,或者,HSS 30向MTC裝置10發(fā)送根密鑰K_iwf(S 13b)���,這個(gè)應(yīng)當(dāng)在建立NAS和/或AS安全性后�����。
[0072](SH)MTC-1ffF 20 從 K_iwf 導(dǎo)出臨時(shí)密鑰�。
[0073](S15)MTC裝置10以MTC-1WF 20進(jìn)行的相同方式從它具有的K_iwf導(dǎo)出相同的臨時(shí)密鑰��。
[0074](S16)如果導(dǎo)出多對臨時(shí)密鑰�,則MTC-1WF 20向MTC裝置10指示它應(yīng)當(dāng)使用哪對臨時(shí)密鑰。
[0075](S17)通過一對臨時(shí)密鑰來保護(hù)在MTC裝置和MTC-1WF之間傳送的消息���。
[0076]圖4示出當(dāng)MME/SGSN/MSC 40導(dǎo)出根密鑰時(shí)的密鑰導(dǎo)出和分配���。
[0077](S21) MME/SGSN/MSC 40導(dǎo)出根密鑰K_iwf,并且以Kasme作為輸入密鑰��。
[0078](S22) MME/SGSN/MSC 40 向 MTC-1WF 20 發(fā)送根密鑰 K_iwf�����。
[0079](S23)MTC 裝置 10 導(dǎo)出相同的根密鑰 K_iwf(S23a)�����,或者�,MME/SGSN/MSC 40 向 MTC裝置10發(fā)送根密鑰K_iwf (S23b),這應(yīng)當(dāng)在建立NAS和/或AS安全性之后�����。
[0080](S24) MTC-1ffF 20 從 K_iwf 導(dǎo)出臨時(shí)密鑰�。
[0081](S25)MTC裝置10以MTC-1WF 20進(jìn)行的相同方式從它具有的K_iwf導(dǎo)出相同的臨時(shí)密鑰。
[0082](S26)如果導(dǎo)出多對臨時(shí)密鑰����,則MTC-1WF 20向MTC裝置10指示它應(yīng)當(dāng)使用哪對臨時(shí)密鑰。
[0083](S27)通過一對臨時(shí)密鑰來保護(hù)在MTC裝置10和MTC-1WF 20之間傳送的消息����。
[0084]圖5示出當(dāng)MTC-1WF 20導(dǎo)出根密鑰時(shí)的密鑰導(dǎo)出和分配。
[0085](S31) MME/SGSN/MSC 40 或 HSS 30 向 MTC-1WF 20 發(fā)送用于根密鑰 K_iwf 導(dǎo)出的材料(S31a)�����,或者����,MTC裝置10和MTC-1WF20具有用于K_iwf導(dǎo)出的公共值(S31b)����。
[0086](S32) MTC-1ffF 20 導(dǎo)出根密鑰 K_iwf�。
[0087](S33)MTC裝置10導(dǎo)出相同的根密鑰K_iwf。
[0088](S34) MTC-1ffF 20 從 K_iwf 導(dǎo)出臨時(shí)密鑰����。
[0089](S35)MTC裝置10以MTC-1WF 20進(jìn)行的方式從它具有的K_iwf導(dǎo)出相同的臨時(shí)密鑰。
[0090](S36)如果導(dǎo)出多對臨時(shí)密鑰����,則MTC-1WF 20向MTC裝置10指示它應(yīng)當(dāng)使用的哪對臨時(shí)密鑰。
[0091](S37)通過一對臨時(shí)密鑰來保護(hù)在MTC裝置10和MTC-1WF 20之間傳送的消息�。
[0092]接下來,隨后參考圖6至8來描述根據(jù)這個(gè)示例性實(shí)施例的MTC-1WF 20����、MTC裝置10和網(wǎng)絡(luò)實(shí)體(HSS 30或MME/SGSN/MSC40)的配置示例。
[0093]如圖6中所示��,MTC-1WF 20至少包括通信單元21�、共享單元22和導(dǎo)出單元23。通信單元21與MTC裝置10進(jìn)行通信��。共享單元22以在圖3至5的任何一個(gè)中所示的方式來與MTC裝置10安全地共享根密鑰K_iwf����。導(dǎo)出單元23通過使用根密鑰K_iwf導(dǎo)出臨時(shí)密鑰K_di,以用于保護(hù)通信����。結(jié)果,也可以在MTC-1WF 20和MTC裝置10之間共享臨時(shí)密鑰1(_(1;[�。注意,這些單元21至23通過總線等彼此相互連接�。這些單元21至23可以被例如下述部分構(gòu)成:收發(fā)器,其分別與HSS 30���、MME/SGSN/MSC 40和SCS 50進(jìn)行通信���;以及,控制器����,其控制這些收發(fā)器以執(zhí)行在圖3中的步驟S12、S14���、S16和S17至SlO處所示的處理�����、在圖4中的步驟S22���、S24��、S26處所示的處理�����、在圖5中的步驟S31����、S32����、S34、S36和S37處所示的處理或與其等同的處理����。
[0094]而且,如圖7中所示��,MTC裝置10至少包括通信單元11���、共享單元11和導(dǎo)出單元
13�。優(yōu)選的是,MTC裝置10進(jìn)一步包括授權(quán)單元14�����。通信單元11與MTC-1WF 20進(jìn)行通信����。共享單元12以在圖3至5的任何一個(gè)中所示的方式來與MTC裝置10安全地共享根密鑰1(_^1導(dǎo)出單元13通過使用根密鑰1(」#導(dǎo)出臨時(shí)密鑰K_di���,以用于保護(hù)通信�。結(jié)果���,也可以在MTC裝置10和MTC-1WF 20之間共享臨時(shí)密鑰K_di���。授權(quán)單元14通過使用完整性密鑰K_di_int來執(zhí)行完整性檢查,并且根據(jù)完整性檢查的結(jié)果來授權(quán)MTC-1WF 20��。注意��,這些單元11至14通過總線等彼此相互連接��。這些單元11至14可以被例如下述部分構(gòu)成:收發(fā)器�����,其通過RAN與核心網(wǎng)絡(luò)無線地進(jìn)行通信;以及����,控制器,其控制該收發(fā)器以執(zhí)行在圖3中的步驟S13和S15至S7處所示的處理����、在圖4中的步驟S23和S25至S27處所示的處理、在圖5中的步驟S31�、S33和S35至S37處所示的處理或與其等同的處理。
[0095]而且��,如圖8中所示�����,HSS 30和MME/SGSN/MSC 40的每一個(gè)至少包括導(dǎo)出單元31和發(fā)送單元32����。導(dǎo)出單元31導(dǎo)出根密鑰K_iwf。發(fā)送單元32向MTC-1WF 20發(fā)送根密鑰K_iwfo在MTC裝置10和HSS 30和MME/SGSN/MSC 40的每一個(gè)之間建立NAS和/或AS安全上下文后��,發(fā)送單元32也可以向MTC裝置10發(fā)送根密鑰K_iwf。替代地����,發(fā)送單元32向MTC-1ffF 20發(fā)送用于根密鑰1(_1#導(dǎo)出的材料。注意�,這些單元31和32通過總線等彼此相互連接。這些單元31和32可以被例如下述部分構(gòu)成:收發(fā)器����,其與MTC-1WF 20進(jìn)行通信���;收發(fā)器�����,其在MME/SGSN/MSC 40的情況下與RAN進(jìn)行通信��;以及�����,控制器��,其控制這些收發(fā)器以執(zhí)行在圖3中的步驟Sll至S13處所示的處理����、在圖4中的步驟S21至S23處所示的處理、在圖5中的步驟S31處所示的處理或與其等同的處理��。
[0096]注意��,本發(fā)明不限于上述示例性實(shí)施例�,并且顯然,本領(lǐng)域內(nèi)的普通技術(shù)人員可以基于權(quán)利要求的引用來來作出各種修改����。
[0097]如上所述的示例性實(shí)施例的整體或一部分可以被描述為但是不限于下面的補(bǔ)充說明。
[0098](補(bǔ)充說明I)
[0099]提出了新的密鑰分級�����,用于在MTC-1WF和UE/MTC裝置之間的安全通信�����。它包括下面的部分���。
[0100](A)用于導(dǎo)出一對臨時(shí)密鑰的根密鑰����。
[0101](B)包括保密性和完整性密鑰的一對臨時(shí)密鑰,用于保護(hù)在MTC-1WF和UE/MTC裝置之間的通信
[0102](補(bǔ)充說明2)
[0103]在用于在3GPP MTC架構(gòu)中的密鑰管理的現(xiàn)有消息中的新的消息或新的參數(shù)�。
[0104](補(bǔ)充說明3)
[0105]在所建立的NAS和/或AS安全上下文上提供了在MTC-1WF和UE/MTC裝置之間的安全通信
[0106](補(bǔ)充說明4)
[0107]可以通過執(zhí)行從MTC-1WF接收的消息的完整性檢查的UE/MTC裝置實(shí)現(xiàn)MTC-1WF授權(quán)。這也適用于漫游的UE/MTC裝置����。
[0108]本申請基于并且要求優(yōu)先權(quán)權(quán)益于在2012年9月13日提交的日本專利申請N0.2012-201693,其公開通過引用被整體并入在此�����。
[0109]附圖標(biāo)記列表
[0110]10 MTC 裝置
[0111]11,21 通信單元
[0112]12,22 共享單元
[0113]13����、23、31 導(dǎo)出單元
[0114]14 授權(quán)單元
[0115]20 MTC-1ffF
[0116]30 HSS
[0117]32 發(fā)送單元
[