本公開的實(shí)施例總體涉及用于漫游引導(dǎo)(sor)過程的安全機(jī)制，并且更具體地，涉及用于保護(hù)用于由用戶設(shè)備(ue)發(fā)起的sor過程的信息的方法和裝置。

背景技術(shù)：

1、漫游引導(dǎo)(sor)是一種漫游的ue被鼓勵(lì)漫游到由該ue的本地公共陸地移動(dòng)網(wǎng)絡(luò)(hplmn)指示的優(yōu)選的漫游到的網(wǎng)絡(luò)的技術(shù)。例如，ue正在一個(gè)訪問公共陸地移動(dòng)網(wǎng)絡(luò)(vplmn)上漫游，并且出于一些原因，ue的hplmn可能希望ue在另一plmn上注冊(cè)。然而，sor過程可能會(huì)遇到一些安全威脅。

2、例如，vplmn可以防止該漫游的ue移動(dòng)到任何其他訪問網(wǎng)絡(luò)，例如因?yàn)関plmn想要將漫游的ue維持在該vplmn上。為了防止該漫游的ue移動(dòng)到任何其他訪問網(wǎng)絡(luò)，該vplmn可以篡改用于sor過程的信息，諸如向ue發(fā)送的sor信息、用于觸發(fā)sor過程的信息等。

3、因此，有必要提供用于sor過程的安全機(jī)制。

技術(shù)實(shí)現(xiàn)思路

1、本
技術(shù)實(shí)現(xiàn)要素：
被提供以介紹用于保護(hù)用于sor過程的安全機(jī)制的方法和裝置的簡(jiǎn)化概念。本發(fā)明內(nèi)容不旨在標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或必要特征，也不旨在用于限制所要求保護(hù)的主題的范圍。

2、根據(jù)本公開的第一方面，提供了一種在ue處實(shí)現(xiàn)的裝置。該裝置包括至少一個(gè)處理器、以及存儲(chǔ)有指令的至少一個(gè)存儲(chǔ)器，該指令在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使裝置至少：創(chuàng)建利用一個(gè)或多個(gè)密鑰保護(hù)的第一安全分組，其中該第一安全分組包括用于觸發(fā)漫游引導(dǎo)(sor)過程的增強(qiáng)型sor相關(guān)的信息；以及向第一訪問公共陸地移動(dòng)網(wǎng)絡(luò)(vpln)發(fā)送包括第一安全分組的消息。一個(gè)或多個(gè)密鑰中的每個(gè)密鑰是對(duì)稱密鑰，該對(duì)稱密鑰在向第一vplmn的初始注冊(cè)的主認(rèn)證之前可用于ue和ue的本地公共陸地移動(dòng)網(wǎng)絡(luò)(hplmn)。

3、根據(jù)本公開的第二方面，提供了另一種在ue處實(shí)現(xiàn)的裝置。該裝置包括至少一個(gè)處理器、被耦合到一個(gè)或多個(gè)處理器的通用集成電路卡(uicc)、以及存儲(chǔ)有指令的至少一個(gè)存儲(chǔ)器，該指令在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使裝置至少：在uicc中維持第一密鑰，該第一密鑰是與ue的本地公共陸地移動(dòng)網(wǎng)絡(luò)(hplmn)共享的預(yù)配置的應(yīng)用密鑰；創(chuàng)建第一安全分組，該第一安全分組通過使用uicc中的第一密鑰來加密，其中第一安全分組包括用于觸發(fā)漫游引導(dǎo)(sor)過程的增強(qiáng)型sor相關(guān)的信息；通過使用第二密鑰來向第一安全分組提供完整性保護(hù)，該第二密鑰是與hplmn共享的網(wǎng)絡(luò)層的密鑰；以及向第一訪問公共陸地移動(dòng)網(wǎng)絡(luò)(vplmn)發(fā)送包括具有完整性保護(hù)的第一安全分組的消息。

4、根據(jù)本公開的第三方面，提供了一種在公共陸地移動(dòng)網(wǎng)絡(luò)(plmn)中的統(tǒng)一數(shù)據(jù)管理(udm)節(jié)點(diǎn)處實(shí)現(xiàn)的裝置。該裝置包括至少一個(gè)處理器、以及存儲(chǔ)有指令的至少一個(gè)存儲(chǔ)器，該指令在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使裝置至少：經(jīng)由第一訪問plmn(vplmn)接收源自用戶設(shè)備(ue)的消息，plmn是針對(duì)該ue的本地plmn(hplmn)，其中消息包括第一安全分組，該第一安全分組包括用于觸發(fā)漫游引導(dǎo)(sor)過程的增強(qiáng)型sor相關(guān)的信息；通過以下操作之一啟用第一安全分組的驗(yàn)證以取回增強(qiáng)型sor相關(guān)的信息：在udm節(jié)點(diǎn)處通過使用一個(gè)或多個(gè)密鑰來驗(yàn)證第一安全分組；或者向維持一個(gè)或多個(gè)密鑰的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送第一安全分組；以及根據(jù)取回的增強(qiáng)型sor相關(guān)的信息獲取sor信息。一個(gè)或多個(gè)密鑰中的每個(gè)密鑰是對(duì)稱密鑰，該對(duì)稱密鑰在ue向第一vplmn的初始注冊(cè)的主認(rèn)證之前可用于ue和hplmn。

5、根據(jù)本公開的第四方面，提供了一種在公共陸地移動(dòng)網(wǎng)絡(luò)(plmn)中的另一統(tǒng)一數(shù)據(jù)管理(udm)節(jié)點(diǎn)處實(shí)現(xiàn)的裝置。該裝置包括至少一個(gè)處理器、以及存儲(chǔ)有指令的至少一個(gè)存儲(chǔ)器，該指令在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使裝置至少：經(jīng)由第一訪問plmn(vplmn)接收源自用戶設(shè)備(ue)的消息，plmn是針對(duì)該ue的本地plmn(hplmn)，其中消息包括第一安全分組，該第一安全分組包括用于觸發(fā)漫游引導(dǎo)(sor)過程的增強(qiáng)型sor相關(guān)的信息；向認(rèn)證服務(wù)器功能(ausf)節(jié)點(diǎn)發(fā)送第一安全分組，該ausf節(jié)點(diǎn)維持用于觸發(fā)第一安全分組的完整性的驗(yàn)證的第四密鑰，其中該第四密鑰是與ue共享的網(wǎng)絡(luò)層的密鑰；向sor應(yīng)用功能節(jié)點(diǎn)發(fā)送第一安全分組，該sor應(yīng)用功能節(jié)點(diǎn)維持與ue共享的第三密鑰以用于解密第一安全分組，其中該第三密鑰是預(yù)配置的應(yīng)用密鑰；從sor應(yīng)用功能節(jié)點(diǎn)接收從第一安全分組取回的增強(qiáng)型sor相關(guān)的信息的至少一部分；以及根據(jù)接收到的增強(qiáng)型sor相關(guān)的信息的至少一部分來獲取sor信息。

6、根據(jù)本公開的第五方面，提供了一種在公共陸地移動(dòng)網(wǎng)絡(luò)(plmn)中的漫游引導(dǎo)(sor)應(yīng)用功能節(jié)點(diǎn)處實(shí)現(xiàn)的裝置。該裝置包括至少一個(gè)處理器、以及存儲(chǔ)有指令的至少一個(gè)存儲(chǔ)器，該指令在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使裝置至少：從統(tǒng)一數(shù)據(jù)管理(udm)節(jié)點(diǎn)接收請(qǐng)求針對(duì)用戶設(shè)備(ue)的sor信息的消息，該ue正在第一訪問plmn(vplmn)中漫游并且plmn是針對(duì)該ue的本地plmn(hplmn)，其中消息包括第一安全分組，該第一安全分組包括用于觸發(fā)sor過程的增強(qiáng)型sor相關(guān)的信息；利用一個(gè)或多個(gè)密鑰驗(yàn)證第一安全分組以取回增強(qiáng)型sor相關(guān)的信息；以及向udm節(jié)點(diǎn)發(fā)送取回的增強(qiáng)型sor相關(guān)的信息的至少一部分。一個(gè)或多個(gè)密鑰中的每個(gè)密鑰是對(duì)稱應(yīng)用密鑰，該對(duì)稱應(yīng)用密鑰在ue和sor應(yīng)用功能節(jié)點(diǎn)中被預(yù)配置。

7、根據(jù)本公開的第六方面，提供了一種在公共陸地移動(dòng)網(wǎng)絡(luò)(plmn)中的認(rèn)證服務(wù)器功能(ausf)節(jié)點(diǎn)處實(shí)現(xiàn)的裝置。該裝置包括至少一個(gè)處理器、以及存儲(chǔ)有指令的至少一個(gè)存儲(chǔ)器，該指令在由一個(gè)或多個(gè)處理器執(zhí)行時(shí)使裝置至少：從統(tǒng)一數(shù)據(jù)管理(udm)節(jié)點(diǎn)接收針對(duì)用戶設(shè)備(ue)的請(qǐng)求消息，該ue正在第一訪問plmn(vplmn)中漫游并且plmn是針對(duì)ue的本地plmn(hplmn)，其中請(qǐng)求消息包括第一安全分組，該第一安全分組包括用于觸發(fā)sor過程的增強(qiáng)型sor相關(guān)的信息；利用一個(gè)或多個(gè)密鑰驗(yàn)證第一安全分組以取回增強(qiáng)型sor相關(guān)的信息；以及向udm節(jié)點(diǎn)發(fā)送取回的信息元素。一個(gè)或多個(gè)密鑰中的每個(gè)密鑰是網(wǎng)絡(luò)層的對(duì)稱密鑰，該對(duì)稱密鑰在ue向第一vplmn的初始注冊(cè)的主認(rèn)證之前在ue和ausf節(jié)點(diǎn)中被預(yù)配置。

8、根據(jù)本公開的第七方面，提供了一種在用戶設(shè)備(ue)處被執(zhí)行的方法。該方法包括：創(chuàng)建利用一個(gè)或多個(gè)密鑰保護(hù)的第一安全分組，其中該第一安全分組包括用于觸發(fā)漫游引導(dǎo)(sor)過程的增強(qiáng)型sor相關(guān)的信息元素；以及向第一訪問公共陸地移動(dòng)網(wǎng)絡(luò)(vplmn)發(fā)送包括第一安全分組的消息。一個(gè)或多個(gè)密鑰中的每個(gè)密鑰是對(duì)稱密鑰，該對(duì)稱密鑰在向第一vplmn的初始注冊(cè)的主認(rèn)證之前可用于ue和ue的本地公共陸地移動(dòng)網(wǎng)絡(luò)(hplmn)。

9、根據(jù)本公開的第八方面，提供了另一種在用戶設(shè)備(ue)處被執(zhí)行的方法。該方法包括：在ue的通用集成電路卡(uicc)中維持第一密鑰，該第一密鑰是與ue的本地公共陸地移動(dòng)網(wǎng)絡(luò)(hplmn)共享的預(yù)配置的應(yīng)用密鑰；創(chuàng)建第一安全分組，該第一安全分組通過使用uicc中的第一密鑰來加密，其中第一安全分組包括用于觸發(fā)漫游引導(dǎo)(sor)過程的增強(qiáng)型sor相關(guān)的信息元素；通過使用第二密鑰來向第一安全分組提供完整性保護(hù)，該第二密鑰是與hplmn共享的網(wǎng)絡(luò)層的密鑰；以及向第一訪問公共陸地移動(dòng)網(wǎng)絡(luò)(vplmn)發(fā)送包括具有完整性保護(hù)的第一安全分組的消息。

10、根據(jù)本公開的第九方面，提供了一種在公共陸地移動(dòng)網(wǎng)絡(luò)(plmn)中的統(tǒng)一數(shù)據(jù)管理(udm)節(jié)點(diǎn)處被執(zhí)行的方法。該方法包括：經(jīng)由第一訪問plmn(vplmn)接收源自用戶設(shè)備(ue)的消息，plmn是針對(duì)ue的本地plmn(hplmn)，其中消息包括第一安全分組，該第一安全分組包括用于觸發(fā)漫游引導(dǎo)(sor)過程的增強(qiáng)型sor相關(guān)的信息；通過以下操作之一啟用第一安全分組的驗(yàn)證以取回增強(qiáng)型sor相關(guān)的信息：在udm節(jié)點(diǎn)處通過使用一個(gè)或多個(gè)對(duì)稱密鑰來驗(yàn)證第一安全分組；或者向維持一個(gè)或多個(gè)對(duì)稱密鑰的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送第一安全分組；以及根據(jù)經(jīng)解密的安全分組中的增強(qiáng)型sor相關(guān)的信息獲取sor信息。一個(gè)或多個(gè)密鑰中的每個(gè)密鑰是對(duì)稱密鑰，該對(duì)稱密鑰在ue向第一vplmn的初始注冊(cè)的主認(rèn)證之前可用于ue和hplmn。

11、根據(jù)本公開的第十方面，提供了另一種在公共陸地移動(dòng)網(wǎng)絡(luò)(plmn)中的統(tǒng)一數(shù)據(jù)管理(udm)節(jié)點(diǎn)處被執(zhí)行的方法。該方法包括：經(jīng)由第一訪問plmn(vplmn)接收源自用戶設(shè)備(ue)的消息，plmn是針對(duì)ue的本地plmn(hplmn)，其中消息包括第一安全分組，該第一安全分組包括用于觸發(fā)漫游引導(dǎo)(sor)過程的增強(qiáng)型sor相關(guān)的信息；向認(rèn)證服務(wù)器功能(ausf)節(jié)點(diǎn)發(fā)送第一安全分組，該ausf節(jié)點(diǎn)維持用于驗(yàn)證第一安全分組的完整性的第四密鑰，其中該第四密鑰是與ue共享的網(wǎng)絡(luò)層的密鑰；向sor應(yīng)用功能節(jié)點(diǎn)發(fā)送第一安全分組，該sor應(yīng)用功能節(jié)點(diǎn)維持與ue共享的第三密鑰以用于解密第一安全分組，其中該第三密鑰是預(yù)配置的應(yīng)用密鑰；從sor應(yīng)用功能節(jié)點(diǎn)接收從第一安全分組取回的增強(qiáng)型sor相關(guān)的信息的至少一部分；以及根據(jù)接收到的增強(qiáng)型sor相關(guān)的信息的至少一部分來獲取sor信息。

12、根據(jù)本公開的第十一方面，提供了一種在公共陸地移動(dòng)網(wǎng)絡(luò)(plmn)中的漫游引導(dǎo)(sor)應(yīng)用功能節(jié)點(diǎn)處被執(zhí)行的方法。該方法包括：從統(tǒng)一數(shù)據(jù)管理(udm)節(jié)點(diǎn)接收請(qǐng)求針對(duì)用戶設(shè)備(ue)的sor信息的消息。該ue正在第一訪問plmn(vplmn)中漫游并且plmn是針對(duì)ue的本地plmn(hplmn)，其中消息包括第一安全分組，該第一安全分組包括用于觸發(fā)sor過程的增強(qiáng)型sor相關(guān)的信息；利用一個(gè)或多個(gè)密鑰驗(yàn)證第一安全分組以取回增強(qiáng)型sor相關(guān)的信息；以及向udm節(jié)點(diǎn)發(fā)送取回的增強(qiáng)型sor相關(guān)的信息的至少一部分。一個(gè)或多個(gè)密鑰中的每個(gè)密鑰是對(duì)稱應(yīng)用密鑰，該對(duì)稱應(yīng)用密鑰在ue和sor應(yīng)用功能節(jié)點(diǎn)中被預(yù)配置。

13、根據(jù)本公開的第十二方面，提供了一種在公共陸地移動(dòng)網(wǎng)絡(luò)(plmn)中的認(rèn)證服務(wù)器功能(ausf)節(jié)點(diǎn)處被執(zhí)行的方法。該方法包括：從統(tǒng)一數(shù)據(jù)管理(udm)節(jié)點(diǎn)接收針對(duì)用戶設(shè)備(ue)的請(qǐng)求消息，該ue正在第一訪問plmn(vplmn)中漫游并且plmn是針對(duì)ue的本地plmn(hplmn)，其中請(qǐng)求消息包括第一安全分組，該第一安全分組包括用于觸發(fā)sor過程的增強(qiáng)型相關(guān)的信息；利用一個(gè)或多個(gè)密鑰驗(yàn)證第一安全分組以取回增強(qiáng)型sor相關(guān)的信息；以及向udm節(jié)點(diǎn)發(fā)送取回的增強(qiáng)型sor相關(guān)的信息的至少一部分。一個(gè)或多個(gè)密鑰中的每個(gè)密鑰是網(wǎng)絡(luò)層的對(duì)稱密鑰，該對(duì)稱密鑰在ue向第一vplmn的初始注冊(cè)的主認(rèn)證之前在ue和ausf節(jié)點(diǎn)中被預(yù)配置。

14、根據(jù)本技術(shù)的第十三方面，提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有指令，該指令在由裝置執(zhí)行時(shí)使裝置執(zhí)行根據(jù)第七方面、第八方面、第九方面、第十方面、第十一方面和第十二方面的任意方法。

15、根據(jù)本公開的第十四方面，提供了一種計(jì)算機(jī)程序產(chǎn)品，該計(jì)算機(jī)程序產(chǎn)品包括指令，該指令在由裝置執(zhí)行時(shí)使裝置執(zhí)行根據(jù)第七方面、第八方面、第九方面、第十方面、第十一方面和第十二方面的任意方法。