[发明专利]用于在网络中的设备和智能卡之间建立安全和授权连接的方法

说明书

技术领域

本发明的实施例一般地涉及移动通信，并且更特别地涉及通信网络中的网络设备和方法。本发明涉及用于在网络中的第一设备和智能卡之间建立安全和授权连接的方法。此外，本发明涉及网络内的设备、涉及智能卡、涉及计算机程序产品、以及涉及计算机可读介质。

背景技术

对演进分组系统（EPS）的增强，尤其是中继节点体系结构，可以包括安全方面。当前，3GPP处于定义对EPS的增强的过程中，其将所谓的中继节点（RN）引入到EPS体系结构中。包括RN的EPS体系结构也被称为（EPS）中继节点体系结构。特定的EPS中继节点体系结构已经由3GPP所选择以用于进一步详细阐述（elaboration）。该选择的体系结构在3GPP TR 36.806中备有证明文件，其中其被称为替代2（alternative 2）。该体系结构的概述在TR 36.806 v2.0.0的图4.2.1.1-1中被给出，其在以下被解释，并且其在图1中被图示出。

中继节点（RN）可以是基站，其在用户设备（UE）和另一个基站（施主（donor）基站）之间中继通信量。EPS中的基站可以被称为eNB，因此施主基站被缩写为DeNB。UE与RN之间的Uu接口和RN与DeNB之间的Un接口均可以是无线电接口。Uu和Un可以是相似的。在没有中继节点的EPS体系结构中的UE与eNB之间的Uu可以与UE与RN之间的Uu相同，即，该UE可能意识不到该RN的存在。

RN可以具有两面： 对于UE，该RN可以作为eNB； 以及对于（剩余的）该网络，该RN可以作为UE。尤其是当在所谓的RN启动阶段期间建立该无线电接口Un上的连接时，RN的UE特性开始起作用。该RN可以附着到该网络，并且在RN和它的DeNB之间的Un上的无线电载体可以以相同的方式被建立，其中UE附着到该网络，并且在UE和eNB之间的Uu接口上建立无线电载体。

因此，可能存在MME，其看到RN处于作为UE的它的角色中，并且该MME尤其可以在RN启动阶段期间是有效的。该MME为简略起见被称为中继UE的MME或MME-RN。该MME-RN可以在启动阶段期间认证该RN并为此目的而与HSS交互。该HSS可以包含RN处于它的UE角色中的订阅数据。类似适当的UE，RN也可以包括UICC上的USIM以启用认证。为了将该USIM和UICC与被插入UE中的那些相区分，它们可以被命名为USIM-RN和UICC-RN（图1中未示出）。用于保护Un接口上的信令和用户平面以及用于保护RN和MME-RN之间的NAS信令的安全密钥，可以如为没有中继节点的EPS而定义的那样进行得出。

将中继节点引入到该EPS体系结构中也可能产生新的安全挑战。因此，存在对于在网络内的设备和智能卡或USIM之间提供安全连接的需要。

发明内容

根据本发明的示例性实施例，可以提供一种方法，用于在网络中的智能卡和第一设备之间建立第一安全和授权连接，其中该第一设备可以包括到第二设备的第二安全连接。该方法可以包括存储第一安全数据，将该第一安全数据在该第一设备和该第二设备之间进行传输，在该第一设备处提供该第一安全数据，利用该第一安全数据经由该第一安全和授权连接来在该智能卡和该第一设备之间建立绑定，授权该智能卡和该第一设备之间的绑定，以及鉴于第二安全数据对于将该第一设备认证到该网络是可用的，将该第二安全数据经由该第一安全和授权连接从该智能卡发送到该第一设备。

安全连接可以是通信信道，其被完整性保护和/或机密性保护和/或提供发送数据的来源证明。授权连接可以是一种连接，其中获得连接建立的知识的端点或第三方（例如MME-RN）中的至少一个已经进行了允许该连接被建立或使用的判定，其中该判定是基于一些授权数据，该授权数据可以本地存储在该端点中的至少一个中，或可以从一些其他实体由该端点中的至少一个所接收，或可以被存储在第三方或由第三方所接收。

安全和授权连接可以是其组合。安全和授权连接通常在该情境内和以下文本中也被称为安全信道。

智能卡可以被理解为具有嵌入的集成电路（IC）的模块，其提供用于存储和传送信息的介质，例如SIM卡或UICC卡是智能卡。智能卡可以包括诸如USIM应用（在以下为简略起见也被称为USIM）的应用。该UICC可以提供用于数据的非易失性存储，以及在其中用于存储、执行和验证密码算法的结果的安全环境。该UICC可以是从移动设备可分离的，或永久嵌入的。