BR112012000658B1 - Métodos de derivação de chave e entidade de gerenciamento de mobilidade - Google Patents

Métodos de derivação de chave e entidade de gerenciamento de mobilidade Download PDF

Info

Publication number
BR112012000658B1
BR112012000658B1 BR112012000658-4A BR112012000658A BR112012000658B1 BR 112012000658 B1 BR112012000658 B1 BR 112012000658B1 BR 112012000658 A BR112012000658 A BR 112012000658A BR 112012000658 B1 BR112012000658 B1 BR 112012000658B1
Authority
BR
Brazil
Prior art keywords
key
count value
mme
point
downlink count
Prior art date
Application number
BR112012000658-4A
Other languages
English (en)
Other versions
BR112012000658A2 (pt
Inventor
Aiqin Zhang
Jing Chen
Xiaoyu BI
Original Assignee
Huawei Technologies Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=43370806&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=BR112012000658(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Huawei Technologies Co., Ltd. filed Critical Huawei Technologies Co., Ltd.
Publication of BR112012000658A2 publication Critical patent/BR112012000658A2/pt
Publication of BR112012000658B1 publication Critical patent/BR112012000658B1/pt

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • H04W12/0401
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

método, dispositivo e sistema de derivação de chave um método de derivação de chave, dispositivo e sistema são providos no campo de tecnologias de comunicações móveis. o método de derivação de chave é aplicável um processo de transferência de ponto a ponto de um equipamento de usuário (ue) a partir de uma rede de acesso por rádio terrestre universal evoluída (eutran) para uma rede de acesso por rádio terrestre universal (utran). a partir da falha de uma primeira transferência de ponto a ponto para uma segunda transferência de ponto a ponto, é garantido que a chave derivada em uma entidade de gerenciamento de mobilidade (mme) de fonte no primeiro processo de transferência de ponto a ponto do ue seja diferente da chave derivada na mme no segundo processo de transferência de ponto a ponto do ue pela mudança de parâmetros de entrada usados na derivação de chave, tal como pela geração de um valor randômico, pela mudança de um valor count de enlace descendente de estrato não de acesso (nas) atual, e pela obtenção de um valor renovado do ue, de modo a se evitar a situação na técnica anterior de, uma vez que a chave usada em um rnc seja obtida, as chaves nos outros rncs podem ser derivadas de modo conforme, desse modo se melhorando a segurança da rede.

Description

Este pedido reivindica prioridade para o Pedido de Patente Chinesa N° 200910148423.7, depositado junto ao Escritório Chinês de Patentes em 26 de junho de 2009 e intitulado “KEY DERIVATION METHOD, DEVICE, AND SYSTEM”, o qual é incorporado aqui como referência em sua totalidade.
CAMPO DA INVENÇÃO
A presente invenção refere-se ao campo de tecnologias de comunicações e, em particular, a um método, dispositivo e sistema de derivação de chave.
ANTECEDENTES DA INVENÇÃO
Em um sistema de comunicação móvel, uma rede de acesso por rádio inclui um sistema de comunicação móvel de segunda geração, um som de terceira geração e um sistema de evolução de longo prazo (LTE).
Em uma transferência de ponto a ponto de um equipamento de usuário (UE) a partir da rede em que o UE originalmente se localiza, especificamente, uma rede de fonte, para uma rede alvo, uma chave da rede alvo pode ser derivada a partir de uma chave da rede de fonte, desse modo se evitando o processo de autenticação e negociação de chave, de modo que o UE e um lado de rede gerem, através do mesmo parâmetro de chave e algoritmo, a chave eventualmente usada na rede alvo.
Em uma rede de acesso por rádio terrestre universal (UTRAN), o processo de autenticação e negociação de chave gera uma chave de cifração (CK) e uma chave de integridade (IK); e em uma UTRAN evoluída (EUTRAN), o processo de autenticação e negociação de chave gera uma chave de raiz (Kasme).
Tomando a transferência de ponto a ponto de um UE a partir de uma EUTRAN para uma UTRAN como um exemplo, a estação base (BS) originalmente servindo ao UE na EUTRAN (referida como uma BS de fonte para resumir abaixo) inicia um processo de transferência de ponto a ponto de rede; uma entidade de gerenciamento de mobilidade (MME) associada à BS de fonte, especificamente, uma MME de fonte, deriva uma chave CK’ || IK’ do UE em uma rede alvo de acordo com uma função de derivação de chave (KDF), um parâmetro de entrada, especificamente uma chave de raiz Kasme, e um valor COUNT de enlace descendente de estrato não de acesso (NAS) no contexto de segurança atual, e envia a chave derivada para a UTRAN alvo; a rede alvo decide um algoritmo de segurança para o UE e retorna o algoritmo de segurança para o UE; e o UE sincroniza a chave com um lado de rede alvo de acordo com o algoritmo de segurança.
No processo de transferência de ponto a ponto acima do UE a partir da EUTRAN para a UTRAN, a transferência de ponto a ponto do UE para a UTRAN pode falhar devido à falha da conexão de um enlace de rádio de interface de ar, de modo que o UE retorna para a EUTRAN e inicia um processo de restabelecimento de enlace com a BS atualmente servindo ao UE, isto é, a BS em que o UE se localiza atualmente, referida como uma BS atual para resumir abaixo, e, após decidir que é para realizar uma transferência de ponto a ponto, a BS inicia um outro processo de transferência de ponto a ponto. Neste caso, a derivação de chave na MME no segundo processo de transferência de ponto a ponto e a derivação de chave na MME no primeiro processo de transferência de ponto a ponto são ambas realizadas de acordo com a chave de raiz Kasme e o valor COUNT de enlace descendente de NAS atual, e, portanto, a chave calculada CK’ || IK’ é a mesma, o que resulta no fato de a chave obtida durante a transferência de ponto a ponto orientação múltiplos controladores de rede de rádio (RNC) em uma rede de UMTS através de um nó de suporte de GPRS de serviço (SGSN) alvo ser a mesma. Desta maneira, uma vez que a chave usada em um RNC é obtida, as chaves nos outros RNCs podem ser derivadas de modo conforme, e a segurança de rede está em risco.
SUMÁRIO DA INVENÇÃO
A presente invenção é dirigida a um método de derivação de chave, um dispositivo e um sistema, para a melhoria da segurança de rede.
Uma modalidade da presente invenção provê um método de derivação de chave em que o método compreende: a obtenção, por uma entidade de gerenciamento de mobilidade (MME), de um novo valor COUNT de enlace descendente de estrato não de acesso (NAS); a derivação, pela MME, de uma chave de um equipamento de usuário (UE) em uma rede de acesso por rádio terrestre universal (UTRAN) alvo de acordo com uma função de derivação de chave (KDF), uma chave de raiz e o novo valor COUNT de enlace descendente de NAS; o salvamento, pela MME, da chave após a derivação de chave; e o envio, pela MME, do novo valor COUNT de enlace descendente de NAS para o UE, em que antes da obtenção, pela MME, do novo valor COUNT de enlace descendente de NAS, o método compreende ainda: a determinação, pela MME, de se ou não a chave do UE na UTRAN alvo está atualmente salva; se sim, determinar ainda se um valor COUNT de enlace descendente de NAS correspondente à chave atualmente salva do UE no UTRAN alvo é consistente com o valor atual do COUNT de enlace descendente de NAS; e se consistente, executar a etapa de obtenção do novo valor COUNT de enlace descendente de NAS.
Uma modalidade da presente invenção provê uma Entidade de Gerenciamento de Mobilidade (MME), que compreende: uma unidade de obtenção de valor de contagem, configurada para obter um novo valor COUNT de enlace descendente de estrato não de acesso (NAS); uma segunda unidade de derivação, configurada para derivar uma chave de um equipamento de usuário (UE) em uma rede de acesso por rádio terrestre universal (UTRAN) alvo de acordo com uma função de derivação de chave (KDF), uma chave de raiz e o novo valor COUNT de enlace descendente de NAS que é obtido pela unidade de obtenção de valor de contagem; uma unidade de salvamento, configurada para salvar a chave derivada pela segunda unidade de derivação; uma unidade de envio de transferência de ponto a ponto, configurada para enviar o novo valor COUNT de enlace descendente de NAS obtido pela unidade de obtenção de valor de contagem para o UE; uma unidade de determinação, configurada para determinar se ou não a chave de UE na UTRAN alvo está atualmente salva; e se sim, determinar ainda se um valor COUNT de enlace descendente de NAS correspondente à chave atualmente salva do UE na UTRAN alvo é consistente com o valor atual COUNT de enlace descendente de NAS, em que quando um resultado de determinação da unidade de determinação é que o valor COUNT de enlace descendente de NAS correspondente à chave atualmente salva do UE na UTRAN alvo é consistente com o valor COUNT de enlace descendente de NAS atual, a unidade de obtenção do valor COUNT obtém o novo valor COUNT de enlace descendente de NAS.
Uma modalidade da presente invenção provê um método de derivação de chave, onde o método inclui: o recebimento, por uma entidade de gerenciamento de mobilidade (MME), uma mensagem de requerimento de transferência de ponto a ponto a partir de uma estação base (BS); a derivação, pela MME, de uma chave de um equipamento de usuário (UE) em uma rede de acesso por rádio terrestre universal (UTRAN) alvo de acordo com uma função de derivação de chave (KDF), uma chave de raiz Kasme, e um valor COUNT de enlace descendente de estrato de não acesso (NAS) atual; a chave do UE sendo CK’ || IK’, com CK’ sendo uma chave de cifração e IK’ sendo uma chave de integridade; o envio, pela MME, do valor COUNT de enlace descendente de NAS atual para o UE; a adição, pela MME, de um certo valor ao valor COUNT de enlace descendente de NAS atual.
Uma modalidade da presente invenção provê um método de derivação de chave, onde o método inclui: o recebimento, por um equipamento de usuário (UE), de valor COUNT de enlace descendente de estrato de não acesso (NAS) atual a partir de uma entidade de gerenciamento de mobilidade (MME) e um primeiro processo de transferência de ponto a ponto; a derivação, pelo UE, de uma chave de UE em uma rede de acesso por rádio terrestre universal (UTRAN) alvo de acordo com uma função de derivação de chave (KDF), uma chave de raiz Kasme, e um valor COUNT de enlace descendente de NAS atual no primeiro processo de transferência de ponto a ponto; a chave do UE sendo CK’ || IK’, com CK’ sendo uma chave de cifração e IK’ sendo uma chave de integridade; o recebimento, pelo UE, de um novo valor COUNT de enlace descendente de NAS obtido pela MME ao adicionar um certo valor ao valor COUNT de enlace descendente de NAS atual em um segundo processo de transferência de ponto a ponto. O método, dispositivo e sistema de derivação de chave de acordo com as modalidades da presente invenção são aplicáveis ao processo de transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN. A partir da falha da primeira transferência de ponto a ponto para a segunda transferência de ponto a ponto, é garantido que a chave derivada na MME de fonte no primeiro processo de transferência de ponto a ponto do UE é diferente da chave derivada na MME no segundo processo de transferência de ponto a ponto do UE através da obtenção dos parâmetros de entrada usados na derivação de chave, tal como a geração do valor randômico, a mudança do valor COUNT de enlace descendente de NAS atual, e a obtenção do valor renovado do UE, de modo a se evitar a situação na técnica anterior de, uma vez que a chave usada em um RNC fosse obtida, as chaves nos outros RNCs poderem ser derivadas de modo conforme, desse modo se melhorando a segurança da rede.
BREVE DESCRIÇÃO DOS DESENHOS
A figura 1 é um fluxograma de um método de derivação de chave de acordo com uma modalidade da presente invenção; a figura 2 é um fluxograma de um método de derivação de chave de acordo com a Modalidade de Método 1 da presente invenção; a figura 3 é um fluxograma de um método de derivação de chave de acordo com a Modalidade de Método 2 da presente invenção; a figura 4 é um fluxograma de um método de derivação de chave de acordo com a Modalidade de Método 3 da presente invenção; a figura 5 é um fluxograma de um método de derivação de chave de acordo com a Modalidade de Método 4 da presente invenção; a figura 6 é um fluxograma de um método de derivação de chave de acordo com a Modalidade de Método 5 da presente invenção; a figura 7 é um diagrama esquemático que ilustra uma estrutura lógica de uma MME de acordo com uma Modalidade de Dispositivo 1 da presente invenção; a figura 8 é um diagrama esquemático que ilustra uma estrutura lógica de um UE de acordo com uma Modalidade de Dispositivo 2 da presente invenção; a figura 9 é um diagrama esquemático que ilustra uma estrutura lógica de uma MME de acordo com uma Modalidade de Dispositivo 3 da presente invenção; a figura 10 é um diagrama esquemático que ilustra uma estrutura lógica de um UE de acordo com uma Modalidade de Dispositivo 4 da presente invenção; a figura 11 é um diagrama esquemático que ilustra uma estrutura lógica de uma MME de acordo com uma Modalidade de Dispositivo 5 da presente invenção; a figura 12 é um diagrama esquemático que ilustra uma estrutura lógica de uma BS de acordo com uma Modalidade de Dispositivo 6 da presente invenção; a figura 13 é um diagrama esquemático que ilustra uma estrutura lógica de um UE de acordo com uma Modalidade de Dispositivo 7 da presente invenção; a figura 14 é um diagrama esquemático que ilustra uma estrutura lógica de uma MME de acordo com uma Modalidade de Dispositivo 8 da presente invenção.
DESCRIÇÃO DETALHADA DAS MODALIDADES
As modalidades da presente invenção são aplicáveis ao processo de transferência de ponto a ponto de um UE a partir de uma EUTRAN para uma UTRAN. O método a seguir é usado para a melhoria da segurança de rede nas modalidades da presente invenção: um valor COUNT de enlace descendente de NAS usado quando uma derivação de chave é realizada em uma MME de fonte durante um primeiro processo de transferência de ponto a ponto do UE é diferente do valor COUNT de enlace descendente de NAS usado quando uma derivação de chave é realizada na MME durante um segundo processo de transferência de ponto a ponto do UE, de modo que as chaves geradas durante cada processo de transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN sejam diferentes, e as chaves do UE usadas no RNC e no SGSN na rede alvo sejam assim diferentes. Portanto, a situação na técnica anterior de, uma vez que a chave usada em um RNC fosse obtida, as chaves nos outros RNCs poderem ser derivadas de modo conforme, desse modo se melhorando a segurança da rede.
Uma modalidade da presente invenção provê um método de derivação de chave, onde o método inclui as etapas a seguir:
Etapa 10: uma MME gera um valor randômico.
Etapa 20: a MME usa o valor randômico e uma chave de raiz como parâmetros de entrada de uma KDF para a derivação de uma chave de um UE em uma UTRAN alvo; ou usa o valor randômico, um valor COUNT de enlace descendente de NAS atual e a chave de raiz como parâmetros de entrada da KDF para a derivação da chave do UE na UTRAN alvo.
Para melhor entendimento, o método de derivação de chave, o dispositivo e o sistema de acordo com as modalidades da presente invenção são descritos abaixo através de um processo de transferência de ponto a ponto específico de rede.
Modalidade de Método 1
Um método de derivação de chave é provido. Um cenário de aplicação desta modalidade é um processo de transferência de ponto a ponto de um UE a partir de uma EUTRAN para uma UTRAN. Um fluxograma do método de acordo com esta modalidade é mostrado na figura 2, o qual inclui as etapas a seguir:
Etapa 101: uma BS em que um UE se localiza atualmente, de forma específica, uma BS atual, envia uma mensagem de transferência de ponto a ponto requerida para uma MME associada à BS atual, especificamente, uma MME atual.
Etapa 102: a MME atual recebe a mensagem de transferência de ponto a ponto requerida, gera um valor randômico, e usa o valor randômico e uma chave de raiz como parâmetros de entrada de uma KDF para a derivação de uma chave do UE em uma UTRAN alvo.
Pode ser entendido que a MME atual pode gerar um valor randômico a qualquer momento quando do recebimento da mensagem de transferência de ponto a ponto requerida. Quando da geração do valor randômico, a MME atual pode gerar randomicamente o valor randômico, isto é, um valor renovado da MME através de um módulo de geração de número randômico interno.
A descrição específica de uma KDF é que KDF=Hash Function (HMAC)-SHA-256(Key, S), em que Key é uma função de entrada, e S=FC || P0 || L0 || P1 || L1 || P2 || L2 || P3 || L3 ||... || Pn || Ln, onde || representa uma concatenação, FC é usada para a distinção de KDFs diferentes, P é um código do parâmetro de entrada, e L é o comprimento do parâmetro de entrada correspondente a P. Quando a KDF é empregada para a derivação de uma chave CK' || IK', a CK' || IK'=KDF(KASME, S), e S=FC || P0 || L0, onde FC é especificamente 0x16, P0 é um valor COUNT de enlace descendente de NAS, e L0 é o comprimento do valor COUNT de enlace descendente de NAS (tal como 0x00 0x04).
Quando da derivação da chave nesta modalidade, a MME atual pode usar o valor renovado da MME e a chave de raiz como os parâmetros de entrada do KDF para a derivação da chave do UE na UTRAN alvo. Neste caso, a chave CK' || IK'=KDF(Kasme, S), onde S=FC || valor renovado de MME || comprimento de valor renovado de MME.
Etapa 103: a MME atual envia uma mensagem de requisição de realocação para um RNC alvo através de um SGSN alvo, em que a mensagem de requisição de realocação inclui a chave do UE na UTRAN alvo calculada na etapa 102, uma KSI correspondente, e uma informação, tal como uma capacidade de segurança da UTRAN do UE ou uma rede de acesso por rádio de GSM / EDGE (GERAN).
Etapa 104: o RNC alvo envia uma mensagem de resposta de encaminhamento de realocação para a MME através do SGSN alvo, em que a mensagem de resposta de encaminhamento de realocação porta um identificador (ID) de algoritmo selecionado pelo RNC alvo de acordo com a capacidade de segurança do UE.
Etapa 105: a MME atual envia o valor randômico obtido na etapa 102 para o UE através de uma mensagem de comando de transferência de ponto a ponto.
Pode ser entendido que a MME pode enviar a mensagem de comando de transferência de ponto a ponto para a BS, na qual a mensagem de comando de transferência de ponto a ponto pode incluir o valor randômico gerado, e, ainda, incluir uma informação, tal como o ID de algoritmo e o valor COUNT de enlace descendente de NAS atual; e a BS então envia uma informação, tal como o valor randômico, o valor COUNT de enlace descendente de NAS atual e o ID de algoritmo incluídos na mensagem de comando de transferência de ponto a ponto para o UE através de uma mensagem de comando de HO a partir de EUTRAN.
Etapa 106: o UE recebe a mensagem de comando de transferência de ponto a ponto, deriva a chave de acordo com o valor randômico através do método na etapa 102 acima, portanto obtendo a sincronização da chave entre o UE e a rede alvo, e envia uma mensagem de HO completada para o RNC alvo para completar a transferência de ponto a ponto de rede. Pode ser entendido que o UE pode calcular a CK’ ou a IK’ específica de acordo com o ID de algoritmo.
Deve ser notado que no primeiro processo de transferência de ponto a ponto do UE para a UTRAN, a MME de fonte pode aplicar o método de derivação de chave usado na transferência de ponto a ponto de rede desta modalidade; e, após a falha da primeira transferência de ponto a ponto do UE, a MME também pode aplicar o método de derivação de chave desta modalidade, para a derivação da chave na segunda transferência de ponto a ponto do UE.
Em uma outra modalidade específica, quando da realização da derivação de chave na etapa 102, a MME pode usar o valor randômico, o valor COUNT de enlace descendente de NAS atual e a chave de raiz como os parâmetros de entrada da KDF para a derivação da chave do UE na UTRAN alvo. Neste caso, a chave CK' || IK'=KDF(Kasme, S), em que S=FC || P0 || L0 || valor renovado de MME || comprimento de 8 de MME. Então, na etapa 105, a MME envia a mensagem de comando de transferência de ponto a ponto incluindo o valor randômico e o valor COUNT de enlace descendente de NAS atual para o UE, e apenas quatro bits menos significativos do valor COUNT de enlace descendente de NAS atual podem ser incluídos aqui. Desse modo, na etapa 106, o UE deriva a chave de acordo com o valor randômico e o valor COUNT de enlace descendente de NAS atual pelo uso do método na etapa 102.
Em outras modalidades específicas, na primeira transferência de ponto a ponto do UE, a MME de fonte pode salvar a chave, após derivar a chave; e, quando a primeira transferência de ponto a ponto do UE é bem sucedida, a chave salva pode ser apagada. A MME de fonte recebe uma mensagem de encaminhamento de realocação completado enviada pelo SGSN alvo, após o UE enviar a mensagem de HO completada, o que indica que a primeira transferência de ponto a ponto é bem sucedida. Após o recebimento da mensagem de transferência de ponto a ponto requerida, a MME determina se a chave do UE na UTRAN alvo está atualmente salva; caso sim, a MME ainda determina se o valor COUNT de enlace descendente de NAS correspondente à chave salva atualmente do UE na UTRAN alvo é consistente com o valor COUNT de enlace descendente de NAS atual; e, caso consistente, a MME obtém um valor randômico. Definitivamente, quando a MME determina que a chave do UE na UTRAN alvo não está salva atualmente, um valor randômico é obtido pelo uso do método desta modalidade, e, então, a derivação é realizada; e, se o resultado de determinação de consistência acima for inconsistente, a derivação será realizada pelo uso do método de derivação atual.
Pode ser entendido que, na segunda transferência de ponto a ponto, do UE após a primeira transferência de ponto a ponto do UE falhar e antes de a MME receber a mensagem de transferência de ponto a ponto requerida de novo, um processo de NAS pode ser realizado, e o valor COUNT de enlace descendente de NAS muda, de modo que, quando o resultado de determinação acima for inconsistente, a MME possa usar o valor COUNT de enlace descendente de NAS atual para a derivação da chave, e a chave derivada nesta maneira é diferente da chave derivada na primeira transferência de ponto a ponto; se o resultado de determinação for positivo, um valor randômico será obtido.
Na modalidade da presente invenção, o método de derivação de chave usado na transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN é que: quando do recebimento da mensagem de transferência de ponto a ponto requerida, a MME gera um valor randômico, e deriva a chave do UE na UTRAN alvo de acordo com a KDF, a chave de raiz e o valor randômico. Neste caso, a chave derivada no segundo processo de transferência de ponto a ponto após a falha da primeira transferência de ponto a ponto do UE seguramente é diferente da chave derivada no primeiro processo de transferência de ponto a ponto, portanto se evitando a situação na técnica anterior e melhorando a segurança da rede.
Modalidade de Método 2
Um método de transferência de ponto a ponto de rede é provido. Um cenário de aplicação desta modalidade é aquele no processo de transferência de ponto a ponto de um UE a partir de uma EUTRAN para uma UTRAN, após uma primeira transferência de ponto a ponto do UE falhar, o UE retornando para uma EUTRAN original e selecionando um SGSN para uma segunda transferência de ponto a ponto. Um fluxograma do método de acordo com esta modalidade é mostrado na figura 3, o qual inclui as etapas a seguir:
Etapa 201: o UE envia uma mensagem de requisição de restabelecimento de conexão de RRC para uma BS de fonte, e realiza um processo de restabelecimento de conexão de RRC.
Pode ser entendido que, após a primeira transferência de ponto a ponto falhar, o UE pode retornar para uma célula diferente sob a BS de fonte, ou retornar para a mesma célula sob a BS de fonte, ou retornar para uma BS diferente da BS de fonte. Nesta modalidade, um exemplo do UE retornando para a mesma célula sob a BS de fonte é usado para ilustração.
Etapa 202: após a conexão de RRC ser restabelecida, a BS de fonte envia uma mensagem de transferência de ponto a ponto requerida para uma MME de fonte.
Etapa 203: a MME de fonte recebe a mensagem de transferência de ponto a ponto requerida, e obtém um valor COUNT de enlace descendente de NAS novo, no qual o valor COUNT de enlace descendente de NAS novo é diferente de um valor COUNT de enlace descendente de NAS atual.
Quando da obtenção do novo valor COUNT de enlace descendente de NAS, a MME de fonte pode obter o novo valor COUNT de enlace descendente de NAS da forma a seguir: pela adição de um certo valor ao valor COUNT de enlace descendente de NAS atual, tal como adicionando 1; ou enviando uma mensagem de NAS, tal como uma mensagem de comando de modo de segurança (SMC) de NAS, para o UE, de modo que ao valor COUNT de enlace descendente de NAS atualmente salvo seja adicionado 1, e o valor COUNT de enlace descendente de NAS após a mensagem de NAS ser enviada é usado como o novo valor COUNT de enlace descendente de NAS.
Etapa 204: a MME de fonte deriva a chave do UE em uma UTRAN alvo de acordo com uma KDF, uma chave de raiz e o novo valor COUNT de enlace descendente de NAS.
A chave derivada pela MME de fonte é CK' || IK'=KDF(Kasme, S), onde S=FC || novo valor COUNT de enlace descendente de AS || comprimento de novo valor COUNT de enlace descendente de AS.
Etapa 205: a MME de fonte envia uma mensagem de requisição de realocação para um RNC alvo através do SGSN alvo, no qual a mensagem de requisição de realocação inclui a chave do UE na UTRAN alvo calculada na etapa 204.
Etapa 206: o RNC alvo envia uma mensagem de resposta de encaminhamento de realocação para a MME de fonte através do SGSN alvo, em que a mensagem de resposta de encaminhamento de realocação porta um ID de algoritmo selecionado pelo RNC alvo de acordo com uma capacidade de segurança do UE.
Etapa 207: o MME de fonte envia o novo valor COUNT de enlace descendente de NAS para o UE através de uma mensagem de comando de transferência de ponto a ponto, na qual apenas quatro bits menos significativos do novo valor COUNT de enlace descendente de NAS podem ser enviados para o UE.
Pode ser entendido que a MME pode enviar a mensagem de comando de transferência de ponto a ponto para a BS, na qual a mensagem de comando de transferência de ponto a ponto pode incluir o novo valor COUNT de enlace descendente de NAS, e também pode incluir uma informação, tal como um ID de algoritmo; e a BS então envia o novo valor COUNT de enlace descendente de NAS para o UE através de uma mensagem de comando de HO a partir de EUTRAN.
Etapa 208: o UE recebe a mensagem de comando de transferência de ponto a ponto, deriva a chave de acordo com o valor randômico através do método na etapa 204 acima, portanto obtendo a sincronização da chave entre o UE e a rede alvo, e envia uma mensagem de HO completada para o RNC alvo para completar a transferência de ponto a ponto de rede.
Em outras modalidades específicas, no primeiro processo de transferência de ponto a ponto do UE, a MME de fonte pode salvar a chave após a derivação de chave e, quando do recebimento de uma mensagem de encaminhamento de realocação completado enviada pelo SGSN alvo, a MME de fonte pode apagar a chave salva. Portanto, antes da execução da etapa 203, a MME de fonte determina se a chave do UE na UTRAN alvo está atualmente salva; caso sim, ainda determina se o valor COUNT de enlace descendente de NAS correspondente à chave salva atualmente do UE na UTRAN alvo é consistente com o valor COUNT de enlace descendente de NAS atual; e, caso consistente, executa a etapa 203 para obter o novo valor COUNT de enlace descendente de NAS. Definitivamente, quando a MME de fonte determina que a chave do UE na UTRAN alvo não está atualmente salva, a MME pode executar a etapa 203 para obter o novo valor COUNT de enlace descendente de NAS; e, se o resultado de determinação de consistência acima for inconsistente, a MME executará a derivação de acordo com o método de derivação atual.
Pode ser entendido que na segunda transferência de ponto a ponto do UE, após a segunda transferência de ponto a ponto do UE falhar e antes de a MME de fonte receber a mensagem de transferência de ponto a ponto requerida de novo, um processo de NAS pode ser realizado, e o valor COUNT de enlace descendente de NAS muda, de modo que, quando o resultado de determinação acima for inconsistente, a MME de fonte possa usar o valor COUNT de enlace descendente de NAS atual para derivar a chave, e a chave derivada desta maneira é diferente da chave derivada na segunda transferência de ponto a ponto; se o resultado de determinação for positivo, a derivação de chave será realizada após o novo valor COUNT de enlace descendente de NAS ser obtido.
Em uma modalidade da presente invenção, duas máquinas de estado são reguladas na MME de fonte, respectivamente, para a derivação de chave incapaz de usar o valor COUNT de enlace descendente de NAS salvo e a derivação de chave capaz de uso do valor COUNT de enlace descendente de NAS salvo e a derivação de chave capaz de usar o valor COUNT de enlace descendente de NAS salvo, e são respectivamente indicados pelo Estado 0 e pelo Estado 1. Quando a MME de fonte recebe a mensagem de transferência de ponto a ponto requerida, o Estado 0 é regulado; e quando a MME passa por um certo processo interno e satisfaz a uma condição pré- regulada, o Estado 1 é regulado, isto é, a derivação de chave pode ser realizada, em que a condição pré-regulada inclui: a MME recebe uma mensagem de encaminhamento de realocação completado, o valor COUNT de enlace descendente de NAS atual é adicionado por um certo valor, e a MME entrega uma mensagem de NAS. Por exemplo, após a MME receber a mensagem de transferência de ponto a ponto requerida e entregar a mensagem de NAS, a derivação de chave pode ser realizada.
Na modalidade da presente invenção, no processo de transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN, após a primeira transferência de ponto a ponto falhar, o método de derivação de chave na segunda transferência de ponto a ponto de rede é que, após o recebimento da mensagem de transferência de ponto a ponto requerida, a MME de fonte obtém o novo valor COUNT de enlace descendente de NAS diferente do valor COUNT de enlace descendente de NAS atual, e deriva a chave do UE na UTRAN alvo de acordo com a KDF, a chave de raiz e o novo valor COUNT de enlace descendente de NAS. Desta maneira, a chave derivada no segundo processo de transferência de ponto a ponto é seguramente diferente da chave derivada no primeiro processo de transferência de ponto a ponto, portanto se evitando a situação na técnica anterior e melhorando a segurança da rede.
Modalidade de Método 3
Um método de derivação de chave é provido. Um cenário de aplicação desta modalidade é que, no processo de transferência de ponto a ponto de um UE a partir de uma EUTRAN para uma UTRAN, após a primeira transferência de ponto a ponto do UE falhar, o UE retorna para a EUTRAN original e seleciona um SGSN para uma segunda transferência de ponto a ponto. Um fluxograma do método é mostrado na figura 4, o qual inclui as etapas a seguir:
Etapa 301: o UE envia uma mensagem de requisição de requisição de restabelecimento de conexão de RRC para uma 85, onde o UE atualmente se localiza, especificamente, uma BS atual, para a realização de um processo de restabelecimento de conexão de RRC.
Pode ser entendido que, após a primeira transferência de ponto a ponto falhar, o UE pode retornar para uma célula diferente sob uma BS de fonte, ou retornar para a mesma célula sob a BS de fonte, ou retornar para uma BS diferente a partir da BS de fonte.
Etapa 302: após a conexão de RRC ser restabelecida, a BS atual envia uma mensagem de restabelecimento de conexão de RRC completado para uma MME associada à BS atual, especificamente, uma memória atual.
Pode ser entendido que a mensagem de restabelecimento de conexão de RRC completado pode ser uma mensagem de notificar HO, ou pode ser uma mensagem de comutação de percurso. Especificamente, se o UE retornar para a célula diferente sob a BS de fonte, a BS atual, especificamente, a BS de fonte, poderá enviar a mensagem de notificar HO para a MME atual para indicar que o restabelecimento de conexão está completado; se o UE retornar para a BS diferente da BS de fonte, a BS atual poderá enviar a mensagem de comutação de percurso para a MME atual.
Etapa 303: a MME atual recebe a mensagem de restabelecimento de conexão de RRC completado enviada pela BS atual, e obtém um novo valor COUNT de enlace descendente de NAS, no qual o novo valor COUNT de enlace descendente de NAS é diferente de um valor COUNT de enlace descendente de NAS atual.
O método de obtenção é o mesmo que aquele descrito na etapa 203 da Modalidade de Método 2, e os detalhes não serão descritos aqui de novo.
Etapa 304: a BS atual determina que é para realizar a segunda transferência de ponto a ponto e envia uma mensagem de transferência de ponto a ponto requerida para a MME atual.
Etapa 305: após o recebimento da mensagem de transferência de ponto a ponto requerida, a MME atual deriva a chave do UE na UTRAN alvo de acordo com uma KDF, uma chave de raiz e o novo valor COUNT de enlace descendente de NAS obtido na etapa 303, e envia a chave derivada para um RNC alvo.
Após a chave ser enviada para o RNC alvo, o método de transferência de ponto a ponto de rede é o mesmo que o método da Modalidade de Método 2 após a etapa 205, e os detalhes não são descritos aqui de novo. Além disso, a etapa 303 e a etapa 304 nesta modalidade podem ser realizadas ao mesmo tempo, mas, preferencialmente, são realizadas em sequência, e, portanto, o processo de transferência de ponto a ponto de rede não pode ser afetado, o que poupa tempo de transferência de ponto a ponto de rede.
O método de derivação de chave na modalidade da presente invenção é que, durante a transferência de ponto a ponto do UE da EUTRAN para a UTRAN, após a primeira transferência de ponto a ponto falhar e antes da segunda transferência de ponto a ponto do UE, a MME obtém o novo valor COUNT de enlace descendente de NAS diferente do valor COUNT de enlace descendente de NAS atual, de modo que, após a MME receber a mensagem de transferência de ponto a ponto requerida, a chave derivada e calculada do UE na UTRAN alvo é seguramente diferente da chave derivada no primeiro processo de transferência de ponto a ponto, portanto se evitando a situação na técnica anterior e melhorando a segurança da rede.
Além disso, devido ao fato de a obtenção do novo valor COUNT de enlace descendente de NAS ser realizada antes da segunda transferência de ponto a ponto, a transferência de ponto a ponto de rede não pode ser afetada, e, se comparado com a Modalidade de Método 1, o tempo de transferência de ponto a ponto de rede é reduzido.
Modalidade de Método 4
Um método de derivação de chave é provido. Um cenário de aplicação desta modalidade é que, no processo de transferência de ponto a ponto de um UE de uma EUTRAN para uma UTRAN, após uma primeira transferência de ponto a ponto do UE falhar, o UE retorna para a EUTRAN original para uma segunda transferência de ponto a ponto. Um fluxograma do método é mostrado na figura 5, o qual inclui as etapas a seguir:
Etapa 401: o UE envia uma mensagem de requisição de restabelecimento de conexão de RRC para uma BS, onde o UE atualmente se localiza, especificamente, uma BS atual, na qual a mensagem de requisição de restabelecimento de conexão de RRC pode incluir 2 bits avulsos para portarem um valor renovado do UE, especificamente, um valor randômico.
Etapa 402: após o recebimento da mensagem de requisição de restabelecimento de conexão de RRC, a BS atual determina que é para realizar a segunda transferência de ponto a ponto do UE, e envia, através de uma mensagem de transferência de ponto a ponto requerida, o valor renovado do UE para a MME associada à BS atual, especificamente, a MME atual, para a derivação da chave do UE na UTRAN alvo.
Etapa 403: após o recebimento da mensagem de transferência de ponto a ponto requerida, a MME atual usa o valor renovado do UE incluído na mensagem de transferência de ponto a ponto requerida e uma chave de raiz como parâmetros de entrada de uma KDF para a derivação da chave do UE na UTRAN alvo.
Quando da derivação da chave, a MME atual pode usar o valor renovado do UE e a chave de raiz como os parâmetros de entrada da KDF para a derivação da chave do UE na UTRAN alvo; e, neste caso, a chave CK' || IK'=KDF(Kasme, S), onde S=FC || valor renovado de UE || comprimento de valor renovado de UE.
Etapa 404: a MME atual envia uma mensagem de requisição de realocação para um RNC alvo através de um SGSN alvo, em que a mensagem de requisição de realocação inclui a chave do UE na UTRAN alvo calculada na etapa 403.
Etapa 405: o RNC alvo envia uma mensagem de resposta de encaminhamento de realocação para a MME atual através do SGSN alvo, em que a mensagem de resposta de encaminhamento de realocação porta um ID de algoritmo selecionado pelo RNC alvo de acordo com uma capacidade de segurança do UE.
Etapa 406: a MME atual envia uma mensagem de comando de transferência de ponto a ponto para a BS, em que a mensagem de comando de transferência de ponto a ponto pode incluir o valor COUNT de enlace descendente de NAS atual, e ainda pode incluir uma informação tal como um ID de algoritmo; e, então, a BS envia a mensagem de comando de transferência de ponto a ponto para o UE, em que a mensagem de comando de transferência de ponto a ponto pode incluir o valor COUNT de enlace descendente de NAS atual.
Etapa 407: o UE recebe a mensagem de comando de transferência de ponto a ponto, e deriva a chave de acordo com o valor renovado do UE através do método na etapa 403 acima, portanto obtendo a sincronização da chave entre o UE e a rede alvo.
Em uma outra modalidade específica, na etapa 403, a MME pode usar o valor renovado do UE, o valor COUNT de enlace descendente de NAS atual e a chave de raiz como parâmetros de entrada da KDF para a derivação da chave do UE na UTRAN alvo. Neste caso, a chave CK' || IK'=KDF(Kasme, S), onde S=FC || P0 || L0 || valor renovado de UE || comprimento de valor renovado de UE, de modo que a mensagem de comando de transferência de ponto a ponto enviada para o UE na etapa 406 deve incluir o valor COUNT de enlace descendente de NAS atual, e pode incluir os quatro bits menos significativos; e, na etapa 407, o UE pode derivar a chave de acordo com o valor renovado do UE e o valor COUNT de enlace descendente de NAS atual pelo uso do método na etapa 403.
Pode ser entendido que o processo subsequente é similar à técnica anterior, e os detalhes não são descritos aqui de novo.
Em outras modalidades específicas, no primeiro processo de transferência de ponto a ponto do UE, a MME de fonte pode salvar a chave após a derivação de chave e, quando do recebimento de uma mensagem de encaminhamento de realocação completado enviada pelo SGSN alvo, a MME de fonte pode apagar a chave salva. Portanto, após o recebimento da mensagem de transferência de ponto a ponto requerida, a MME atual determina se a chave do UE na UTRAN alvo está atualmente salva; caso sim, ainda determina se o valor COUNT de enlace descendente de NAS correspondente à chave salva atualmente do UE na UTRAN alvo é consistente com o valor COUNT de enlace descendente de NAS atual; e, caso consistente, a derivação de chave é realizada de acordo com o método desta modalidade. Definitivamente, quando a MME determina que a chave do UE na UTRAN alvo não está atualmente salva, a derivação é realizada de acordo com o método desta modalidade; e, se o resultado de determinação de consistência acima for inconsistente, a derivação será realizada de acordo com o método de derivação na técnica anterior.
Pode ser entendido que, na segunda transferência de ponto a ponto do UE, após a primeira transferência de ponto a ponto do UE falhar, antes de a MME receber a mensagem de transferência de ponto a ponto requerida de novo, um processo de NAS pode ser realizado, e o valor COUNT de enlace descendente de NAS muda, de modo que, quando o resultado de determinação acima for inconsistente, a MME possa usar o valor COUNT de enlace descendente de NAS atual para a derivação da chave, e a chave derivada desta maneira é diferente da chave derivada na primeira transferência de ponto a ponto; se o resultado de determinação for positivo, a derivação de chave será realizada de acordo com o método desta modalidade.
O método de derivação de chave na modalidade da presente invenção é que, no processo de transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN, quando o UE realiza a segunda transferência de ponto a ponto, após a primeira transferência de ponto a ponto falhar, o UE calcula um valor renovado, e envia o valor renovado para a MME atual através da BS atual; após o recebimento da mensagem de transferência de ponto a ponto requerida, a MME deriva a chave do UE na UTRAN alvo de acordo com o valor renovado do UE, a KDF, a chave de raiz e o valor COUNT de enlace descendente de NAS atual incluído na mensagem de transferência de ponto a ponto requerida. Desta maneira, a chave derivada no segundo processo de transferência de ponto a ponto é diferente da chave derivada no primeiro processo de transferência de ponto a ponto, portanto se evitando a situação na técnica anterior e melhorando a segurança da rede.
Modalidade de Método 5
Um método de derivação de chave é provido. Um cenário de aplicação desta modalidade é que, no processo de transferência de ponto a ponto de um UE a partir de uma EUTRAN para uma UTRAN, uma BS na EUTRAN original do UE, especificamente, uma BS de fonte, inicia uma transferência de ponto a ponto de rede. Um fluxograma do método é mostrado na figura 6, o qual inclui as etapas a seguir.
Etapa 501: a BS de fonte envia uma mensagem de transferência de ponto a ponto requerida para uma MME de fonte.
Etapa 502: a MME de fonte deriva CK' || IK' de acordo com uma KDF, uma chave de raiz Kasme e uma valor COUNT de enlace descendente de NAS em um contexto de segurança atual.
Etapa 503: a MME de fonte envia uma mensagem de requisição de realocação para um RNC alvo através de um SGSN alvo, em que a mensagem de requisição de realocação inclui CK' || IK', KSI, e uma informação, tal como uma capacidade de segurança da UTRAN/GERAN do UE.
Etapa 504: o RNC alvo envia uma mensagem de resposta de encaminhamento de realocação para a MME de fonte através do SGSN alvo, em que a mensagem de resposta de encaminhamento de realocação porta um ID de algoritmo da capacidade de segurança do UE.
Etapa 505: a MME de fonte completa um processo de preparação de transferência de ponto a ponto, e envia uma mensagem de comando de transferência de ponto a ponto para o UE através da BS de fonte, em que a mensagem de comando de transferência de ponto a ponto porta o valor COUNT de enlace descendente de NAS atual e o ID de algoritmo da capacidade de segurança.
Etapa 506: a MME de fonte muda o valor COUNT de enlace descendente de NAS atual, por exemplo, adicionando um certo valor ao valor COUNT de enlace descendente de NAS atual, tal como adicionando 1, e salva o valor COUNT de enlace descendente de NAS mudado; o valor COUNT de enlace descendente de NAS mudado é usado para a derivação da chave do UE na UTRAN alvo.
Etapa 507: após receber a mensagem de comando de transferência de ponto a ponto, o UE deriva e calcula a CK' || IK' de acordo com a KDF e o valor COUNT de enlace descendente de NAS que está incluído na mensagem de comando de transferência de ponto a ponto, de modo que a chave do UE e a rede alvo sejam sincronizadas, e uma mensagem de HO completada é enviada para o RNC alvo.
Pode ser entendido que, no primeiro processo de transferência de ponto a ponto nesta modalidade, após a MME de fonte enviar a mensagem de comando de transferência de ponto a ponto, o valor COUNT de enlace descendente de NAS é mudado, de modo que, após a primeira transferência de ponto a ponto do UE falhar, o valor COUNT de enlace descendente de NAS salvo na etapa 506 e usado pela MME para a derivação de chave na segunda transferência de ponto a ponto é seguramente diferente do valor COUNT de enlace descendente de NAS usado na primeira transferência de ponto a ponto, e, portanto, as chaves derivadas e calculadas nas duas transferências de ponto a ponto são diferentes, o que alcança a finalidade de melhorar a segurança de rede.
Modalidade de Dispositivo 1
Uma MME é provida. Um diagrama esquemático estrutural da MME é mostrado na figura 7, o qual inclui uma unidade de geração 10, uma unidade de derivação 11 e uma unidade de envio 12.
A unidade de geração 10 é configurada para gerar um valor randômico.
A unidade de derivação 11 é configurada para usar uma chave de raiz e o valor randômico que é gerado pela unidade de geração 10 como parâmetros de entrada de uma KDF para a derivação de uma chave de um UE em uma UTRAN alvo.
A unidade de envio 12 é configurada para enviar o valor randômico gerado pela unidade de geração 10 para o UE, de modo que o UE derive a chave na UTRAN alvo, de acordo com o valor randômico.
A unidade de derivação 11 é adicionalmente configurada para usar um valor COUNT de enlace descendente de NAS atual, a chave de raiz e o valor randômico gerado pela unidade de geração 10 como os parâmetros de entrada da KDF, para a derivação da chave do UE na UTRAN alvo; e a unidade de envio 12 é configurada para enviar o valor COUNT de enlace descendente de NAS atual e o valor randômico gerado pela unidade de geração 10 para o UE, de modo que o UE derive a chave na UTRAN alvo de acordo com o valor randômico e o valor COUNT de enlace descendente de NAS atual.
Nesta modalidade, a unidade de geração 10 da MME gera um valor randômico, e a unidade de derivação 11 deriva a chave de acordo com o valor randômico, de modo que, no processo de transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN, após a primeira transferência de ponto a ponto falhar, a chave derivada pela MME no segundo processo de transferência de ponto a ponto é seguramente diferente da chave derivada no primeiro processo de transferência de ponto a ponto, portanto se evitando a situação na técnica anterior e melhorando a segurança da rede.
Modalidade de Dispositivo 2
Um UE é provido. Um diagrama esquemático estrutural do eu é mostrado na figura 8, a qual inclui uma unidade de recebimento de mensagem 20 e uma unidade de derivação de chave 21.
A unidade de recebimento de mensagem 20 é configurada para receber uma mensagem de comando de transferência de ponto a ponto.
A unidade de derivação de chave 21 é configurada para usar um valor randômico e uma chave de raiz como parâmetros de entrada de uma KDF para a derivação da chave do UE em uma UTRAN alvo, se a mensagem de comando de transferência de ponto a ponto recebida pela unidade de recebimento de mensagem 20 incluir o valor randômico; e configurada para usar o valor randômico, um valor COUNT de enlace descendente de NAS atual e a chave de raiz como os parâmetros de entrada da KDF para a derivação da chave do UE na UTRAN alvo, se a mensagem de comando de transferência de ponto a ponto recebida pela unidade de recebimento de mensagem 20 incluir o valor randômico e o valor COUNT de enlace descendente de NAS atual.
Modalidade de Dispositivo 3
Uma MME é provida. Um diagrama esquemático estrutural da MME é mostrado na figura 9, o qual inclui uma unidade de obtenção de valor de contagem 31, uma segunda unidade de derivação 32 e uma unidade de envio de transferência de ponto a ponto 33.
A unidade de obtenção de valor de contagem 31 é configurada para obter um novo valor COUNT de enlace descendente de NAS.
Quando o novo valor COUNT de enlace descendente de NAS é obtido, uma mensagem de NAS pode ser enviada para o UE, tal como uma mensagem de SMC de NAS, de modo que ao valor COUNT de enlace descendente de NAS atualmente salvo possa ser adicionado 1, e o valor COUNT de enlace descendente de NAS após a mensagem de NAS ser enviada pode ser usada como o novo valor COUNT de enlace descendente de NAS. Um certo valor, tal como 1, pode ser adicionado ao valor COUNT de enlace descendente de NAS atual.
A segunda unidade de derivação 32 é configurada para derivar uma chave do UE em uma UTRAN alvo, de acordo com uma KDF, uma chave de raiz e o novo valor COUNT de enlace descendente de NAS que é obtido pela unidade de obtenção de valor de contagem 31.
A unidade de envio de transferência de ponto a ponto 33 é configurada para enviar o novo valor COUNT de enlace descendente de NAS obtido pela unidade de obtenção de valor de contagem 31 para o UE através de uma BS, onde o UE atualmente se localiza, de modo que o UE derive a chave na UTRAN alvo.
Pode ser entendido que em outras modalidades específicas, a MME ainda pode incluir: uma unidade de determinação 34, configurada para determinar se a chave do UE na UTRAN alvo está atualmente salva; e, caso sim, ainda determina se o valor COUNT de enlace descendente de NAS correspondente à chave atualmente salva do UE na UTRAN alvo é consistente com o valor COUNT de enlace descendente de NAS atual.
Quando o resultado de determinação da unidade de determinação 34 é que o valor COUNT de enlace descendente de NAS correspondente à chave atualmente salva do UE na UTRAN alvo é consistente com o valor COUNT de enlace descendente de NAS atual, a unidade de obtenção de valor de contagem 31 obtém o novo valor COUNT de enlace descendente de NAS.
A unidade de obtenção de valor de contagem 31 na MME de acordo com a modalidade da presente invenção obtém o novo valor COUNT de enlace descendente de NAS diferente do valor COUNT de enlace descendente de NAS atual; e, finalmente, a segunda unidade de derivação 32 deriva a chave do UE na UTRAN alvo de acordo com a KDF, a chave de raiz e o novo valor COUNT de enlace descendente de NAS, e a unidade de envio de transferência de ponto a ponto 33 envia o novo valor COUNT de enlace descendente de NAS para o UE. Desta maneira, no processo de transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN, após a primeira transferência de ponto a ponto falhar, a chave derivada pela MME no segundo processo de transferência de ponto a ponto é seguramente diferente da chave derivada no primeiro processo de transferência de ponto a ponto, portanto se evitando a situação na técnica anterior e melhorando a segurança de rede.
Além disso, pode ser entendido que, após a primeira transferência de ponto a ponto do UE falhar, durante a segunda transferência de ponto a ponto do UE, antes da MME receber a mensagem de transferência de ponto a ponto requerida de novo, um processo de NAS pode ser realizado, e o valor COUNT de enlace descendente de NAS, portanto, muda, a MME ainda inclui a unidade de determinação 34 para determinação de consistência. Se o resultado de determinação de consistência for inconsistente, o valor COUNT de enlace descendente de NAS atual poderá ser usado para a derivação da chave; se o resultado de determinação de consistência for positivo, a chave será derivada após a unidade de obtenção de valor de contagem 31 obter o novo valor COUNT de enlace descendente de NAS. Portanto, a obtenção do novo valor COUNT de enlace descendente de NAS é reduzida, quando o resultado de determinação de consistência é inconsistente, desse modo se economizando a carga da MME.
Modalidade de Dispositivo 4
Um UE é provido. Um diagrama esquemático estrutural do UE é mostrado na figura 10, o qual inclui uma segunda unidade de recebimento de mensagem 40 e uma segunda unidade de derivação de chave 41.
A segunda unidade de recebimento de mensagem 40 é configurada para receber uma mensagem de comando de transferência de ponto a ponto, em que a mensagem de comando de transferência de ponto a ponto inclui um novo valor COUNT de enlace descendente de NAS.
A segunda unidade de derivação de chave 41 é configurada para derivar uma chave do UE em uma UTRAN alvo de acordo com uma KDF, uma chave de raiz e o novo valor COUNT de enlace descendente de NAS na mensagem de comando de transferência de ponto a ponto recebida pela segunda unidade de recebimento de mensagem 40.
Modalidade de Dispositivo 5
Uma MME é provida. Um diagrama esquemático estrutural da MME é mostrado na figura 11, o qual inclui uma unidade de recebimento de transferência de ponto a ponto 50 e uma terceira unidade de derivação 51.
A unidade de recebimento de transferência de ponto a ponto 50 é configurada para receber uma mensagem de transferência de ponto a ponto requerida, na qual a mensagem de transferência de ponto a ponto requerida inclui um valor renovado de um UE.
A terceira unidade de derivação 51 é configurada para usar uma chave de raiz e o valor renovado do UE na mensagem de transferência de ponto a ponto requerida recebida pela unidade de recebimento de transferência de ponto a ponto 50 como parâmetros de entrada de uma KDF, para a derivação da chave do UE em uma UTRAN alvo, ou usar um valor COUNT de enlace descendente de NAS atual, a chave de raiz e o valor renovado do UE na mensagem de transferência de ponto a ponto requerida recebida pela unidade de recebimento de transferência de ponto a ponto 50 como os parâmetros de entrada da KDF para a derivação da chave do UE na UTRAN alvo.
Nesta modalidade, após a unidade de recebimento de transferência de ponto a ponto 50 da MME receber a mensagem de transferência de ponto a ponto requerida, a terceira unidade de derivação 51 deriva a chave de acordo com o valor renovado do UE incluído na mensagem de transferência de ponto a ponto requerida, de modo que, no processo de transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN, após a primeira transferência de ponto a ponto falhar, a chave derivada pela MME no segundo processo de transferência de ponto a ponto é seguramente diferente da chave derivada no primeiro processo de transferência de ponto a ponto, portanto se evitando a situação na técnica anterior e melhorando a segurança de rede.
Modalidade de Dispositivo 6
Uma BS é provida. Um diagrama esquemático estrutural da BS é mostrado na figura 12, o qual inclui uma unidade de recebimento de restabelecimento 60 e uma unidade de envio e de derivação 61.
A unidade de recebimento de restabelecimento 60 é provida para receber uma mensagem de requisição de restabelecimento de conexão de RRC, em que a mensagem de requisição de restabelecimento de conexão de RRC inclui um valor renovado do UE.
A unidade de envio e de derivação 61 é configurada para enviar o valor renovado do UE incluído na mensagem de requisição de restabelecimento de conexão de RRC recebida pela unidade de recebimento de restabelecimento 60 para uma MME através de uma mensagem de transferência de ponto a ponto requerida, quando uma segunda transferência de ponto a ponto do UE for determinada, de modo a facilitar a MME para a derivação da chave do UE na UTRAN alvo.
Modalidade de Dispositivo 7
Um UE é provido. Um diagrama esquemático estrutural do UE é mostrado na figura 13, o qual inclui uma unidade de envio de restabelecimento 71 e uma terceira unidade de derivação de chave 72.
A unidade de envio de restabelecimento 71 é configurada para enviar uma mensagem de requisição de restabelecimento de conexão de RRC, em que a mensagem de requisição de restabelecimento de conexão de RRC inclui um valor renovado de um UE.
A terceira unidade de derivação de chave 72 é configurada para usar o valor renovado do UE e uma chave de raiz como parâmetros de entrada de uma KDF para a derivação da chave do UE em uma UTRAN alvo, quando do recebimento de uma mensagem de comando de transferência de ponto a ponto, e usar o valor renovado do UE, um valor COUNT de enlace descendente de NAS atual, e a chave de raiz como os parâmetros de entrada da KDF para a derivação da chave do UE na UTRAN alvo, se a mensagem de comando de transferência de ponto a ponto incluir o valor COUNT de enlace descendente de NAS atual.
Modalidade de Dispositivo 8
Uma MME é provida. Um diagrama esquemático estrutural da MME é mostrado na figura 14, o qual inclui uma unidade de recebimento de mensagem 81 e uma unidade de mudança de valor de contagem 82.
A unidade de recebimento de mensagem 81 é configurada para receber uma mensagem de resposta de encaminhamento de realocação enviada por um SGSN alvo.
A unidade de mudança de valor de contagem 82 é configurada para mudar um valor COUNT de enlace descendente de NAS atual e salvar o valor COUNT de enlace descendente de NAS mudado após o envio de uma mensagem de comando de transferência de ponto a ponto para um UE, em que o valor COUNT de enlace descendente de NAS mudado é usado para a derivação de uma chave do UE em uma UTRAN alvo.
Pode ser entendido que: após a unidade de recebimento de mensagem 81 na MME receber a mensagem de resposta de encaminhamento de realocação enviada pelo SGSN na rede alvo, a qual indica que a rede alvo realizou uma realocação para o UE, a transferência de ponto a ponto pode ser realizada. Neste caso, após a unidade de mudança de valor de contagem 82 envia a mensagem de comando de transferência de ponto a ponto, o valor COUNT de enlace descendente de NAS atual é mudado.
Portanto, após a primeira transferência de ponto a ponto do UE falhar, durante uma segunda transferência de ponto a ponto, a MME usa o valor COUNT de enlace descendente de NAS salvo na MME para a derivação da chave, o que garante que o valor COUNT de enlace descendente de NAS é diferente do valor COUNT de enlace descendente de NAS usado na primeira transferência de ponto a ponto, de modo que as chaves derivadas e calculadas nas duas transferências de ponto a ponto sejam diferentes. Portanto, a finalidade de melhoria da segurança de rede é obtida.
Modalidade de Sistema
Um sistema de comunicação é provido, o qual inclui uma MME. A MME é similar a qualquer uma das MMEs nas Modalidades de Dispositivo 1, 3, 5 e 8, e o método de derivação de chave de acordo com as modalidades acima pode ser realizado.
Pode ser entendido que o sistema de comunicação ainda inclui outros dispositivos, tais como um UE e uma BS, e a segurança de rede pode ser melhorada através da comunicação entre o UE e a BS.
O método de derivação d chave, o dispositivo e o sistema de acordo com as modalidades da presente invenção são aplicáveis ao processo de transferência de ponto a ponto do UE a partir da EUTRAN para a UTRAN. A partir da falha da primeira transferência de ponto a ponto para a segunda transferência de ponto a ponto, é garantido que a chave derivada na MME de fonte no primeiro processo de transferência de ponto a ponto do UE seja diferente da chave derivada na MME no segundo processo de transferência de ponto a ponto do UE, pela mudança dos parâmetros de entrada usados na derivação de chave pela MME, tal como se gerando o valor randômico, mudando-se o valor COUNT de enlace descendente de NAS atual, e obtendo-se o valor renovado do UE, de modo a se evitar a situação na técnica anterior de, uma vez que a chave usada em um RNC seja obtida, as chaves nos outros RNCs poderem ser derivadas de modo conforme, desse modo se melhorando a segurança da rede.
As pessoas versadas na técnica devem entender que todas as etapas ou uma parte delas do método de acordo com as modalidades da presente invenção podem ser implementadas por um programa instruindo um hardware relevante. O programa pode ser armazenado em um meio de armazenamento que pode ser lido em computador, tal como uma memória apenas de leitura (ROM), uma memória de acesso randômico (RAM), um disco magnético ou um disco ótico.
O método de derivação de chave, o dispositivo e o sistema são descritos em detalhes acima. O princípio e a implementação da presente invenção são descritos aqui através de exemplos específicos. A descrição sobre as modalidades da presente invenção é meramente provida para facilidade de entendimento do método e das ideias de núcleo da presente invenção. As pessoas versadas na técnica podem fazer variações e modificações na presente invenção nos termos de implementações específicas e escopos de aplicação de acordo com as ideias da presente invenção. Portanto, o relatório descritivo não deve ser construído como um limite para a presente invenção.

Claims (15)

1. Método de derivação de chave, caracterizadopor compreender: a obtenção, por uma entidade de gerenciamento de mobilidade (MME), de um novo valor COUNT de enlace descendente de estrato não de acesso (NAS); a derivação, pela MME, de uma chave de um equipamento de usuário (UE) em uma rede de acesso por rádio terrestre universal (UTRAN) alvo de acordo com uma função de derivação de chave (KDF), uma chave de raiz e o novo valor COUNT de enlace descendente de NAS; o salvamento, pela MME, da chave após a derivação de chave; e o envio, pela MME, do novo valor COUNT de enlace descendente de NAS para o UE, em que antes da obtenção, pela MME, do novo valor COUNT de enlace descendente de NAS, o método compreende ainda: a determinação, pela MME, de se ou não a chave do UE na UTRAN alvo está atualmente salva; se sim, determinar ainda se um valor COUNT de enlace descendente de NAS correspondente à chave atualmente salva do UE no UTRAN alvo é consistente com o valor atual do COUNT de enlace descendente de NAS; e se consistente, executar a etapa de obtenção do novo valor COUNT de enlace descendente de NAS.
2. Método, de acordo com a reivindicação 1, caracterizadopelo fato da obtenção, pela MME, do novo valor COUNT de enlace descendente de NAS compreender: a adição, pela MME, de um certo valor a um valor COUNT de enlace descendente de NAS atual.
3. Método, de acordo com a reivindicação 2, caracterizado pelo fato do certo valor ser 1.
4. Método, de acordo com a reivindicação 1, caracterizado pelo fato da obtenção pela MME do novo valor COUNT de enlace descendente de NAS compreender: o envio, pela MME, de uma mensagem de NAS para o UE, e o uso de um valor COUNT de enlace descendente de NAS após a mensagem de NAS ser enviada como o novo valor COUNT de enlace descendente de NAS.
5. Método, de acordo com a reivindicação 1, caracterizado pelo fato do envio, pela MME, do novo valor COUNT de enlace descendente de NAS para o UE compreender: o envio, pela MME, dos quatro dígitos mais baixos do novo valor COUNT de enlace descendente de NAS para o UE.
6. Entidade de Gerenciamento de Mobilidade (MME), caracterizada por compreender: uma unidade de obtenção de valor de contagem, configurada para obter um novo valor COUNT de enlace descendente de estrato não de acesso (NAS); uma segunda unidade de derivação, configurada para derivar uma chave de um equipamento de usuário (UE) em uma rede de acesso por rádio terrestre universal (UTRAN) alvo de acordo com uma função de derivação de chave (KDF), uma chave de raiz e o novo valor COUNT de enlace descendente de NAS que é obtido pela unidade de obtenção de valor de contagem; uma unidade de salvamento, configurada para salvar a chave derivada pela segunda unidade de derivação; uma unidade de envio de transferência de ponto a ponto, configurada para enviar o novo valor COUNT de enlace descendente de NAS obtido pela unidade de obtenção de valor de contagem para o UE; uma unidade de determinação, configurada para determinar se ou não a chave de UE na UTRAN alvo está atualmente salva; e se sim, determinar ainda se um valor COUNT de enlace descendente de NAS correspondente à chave atualmente salva do UE na UTRAN alvo é consistente com o valor atual COUNT de enlace descendente de NAS, em que quando um resultado de determinação da unidade de determinação é que o valor COUNT de enlace descendente de NAS correspondente à chave atualmente salva do UE na UTRAN alvo é consistente com o valor COUNT de enlace descendente de NAS atual, a unidade de obtenção do valor COUNT obtém o novo valor COUNT de enlace descendente de NAS.
7. Entidade de Gerenciamento de Mobilidade (MME), de acordo com a reivindicação 6, caracterizada pelo fato de: a unidade de obtenção de valor de contagem ser configurada para a obtenção do novo valor COUNT de enlace descendente de NAS pela adição de um certo valor a um valor COUNT de enlace descendente de NAS atual.
8. Entidade de Gerenciamento de Mobilidade (MME), de acordo com a reivindicação 7, caracterizada pelo fato do certo valor ser 1.
9. Método de derivação de chave, caracterizado por compreender: o recebimento, por uma entidade de gerenciamento de mobilidade (MME), uma mensagem de requerimento de transferência de ponto a ponto a partir de uma estação base (BS); a derivação, pela MME, de uma chave de um equipamento de usuário (UE) em uma rede de acesso por rádio terrestre universal (UTRAN) alvo de acordo com uma função de derivação de chave (KDF), uma chave de raiz Kasme, e um valor COUNT de enlace descendente de estrato de não acesso (NAS) atual; a chave do UE sendo CK’ || IK’, com CK’ sendo uma chave de cifração e IK’ sendo uma chave de integridade; o envio, pela MME, do valor COUNT de enlace descendente de NAS atual para o UE; a adição, pela MME, de um certo valor ao valor COUNT de enlace descendente de NAS atual.
10. Método de derivação de chave, de acordo com a reivindicação 9, caracterizadopelo fato de que a derivação, pela MME, de uma chave de UE em uma UTRAN alvo de acordo com uma KDF, uma chave de raiz, e um valor COUNT de enlace descendente de NAS atual compreende: a derivação, pela MME, da chave do UE na UTRAN de acordo com a KDF, a chave de raiz, e o valor COUNT de enlace descendente de NAS atual em um contexto de segurança atual.
11. Método, de acordo com a reivindicação 9 ou 10, caracterizadopelo fato do certo valor ser 1.
12. Método, de acordo com a reivindicação 9, caracterizadopelo fato do envio, pela MME, do valor COUNT de enlace descendente de NAS atual para o UE compreende: o envio, pela MME, de uma mensagem de comando de transferência de ponto a ponto portando o valor COUNT de enlace descendente de NAS atual para o UE.
13. Método de derivação de chave, caracterizadopor compreender: o recebimento, por um equipamento de usuário (UE), de valor COUNT de enlace descendente de estrato de não acesso (NAS) atual a partir de uma entidade de gerenciamento de mobilidade (MME) e um primeiro processo de transferência de ponto a ponto; a derivação, pelo UE, de uma chave de UE em uma rede de acesso por rádio terrestre universal (UTRAN) alvo de acordo com uma função de derivação de chave (KDF), uma chave de raiz Kasme, e um valor COUNT de enlace descendente de NAS atual no primeiro processo de transferência de ponto a ponto; a chave do UE sendo CK’ || IK’, com CK’ sendo uma chave de cifração e IK’ sendo uma chave de integridade; o recebimento, pelo UE, de um novo valor COUNT de enlace descendente de NAS obtido pela MME ao adicionar um certo valor ao valor COUNT de enlace descendente de NAS atual em um segundo processo de transferência de ponto a ponto.
14. Método, de acordo com a reivindicação 13, caracterizadopelo fato do certo valor ser 1.
15. Método, de acordo com a reivindicação 13, caracterizadopelo fato do recebimento, pelo UE, de um valor COUNT de enlace descendente de NAS atual compreender: o recebimento, pelo UE, de uma mensagem de comando de transferência de ponto a ponto enviada pela MME, em que a mensagem de comando de transferência de ponto a ponto compreende o valor COUNT de enlace descendente de NAS atual.
BR112012000658-4A 2009-06-26 2010-06-26 Métodos de derivação de chave e entidade de gerenciamento de mobilidade BR112012000658B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2009101484237A CN101931951B (zh) 2009-06-26 2009-06-26 密钥推演方法、设备及系统
CN200910148423.7 2009-06-26
PCT/CN2010/074559 WO2010149083A1 (zh) 2009-06-26 2010-06-26 密钥推演方法、设备及系统

Publications (2)

Publication Number Publication Date
BR112012000658A2 BR112012000658A2 (pt) 2016-11-16
BR112012000658B1 true BR112012000658B1 (pt) 2021-06-22

Family

ID=43370806

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112012000658-4A BR112012000658B1 (pt) 2009-06-26 2010-06-26 Métodos de derivação de chave e entidade de gerenciamento de mobilidade

Country Status (9)

Country Link
US (2) US11240019B2 (pt)
EP (4) EP2416598B2 (pt)
CN (1) CN101931951B (pt)
AU (1) AU2010265281B2 (pt)
BR (1) BR112012000658B1 (pt)
ES (1) ES2436552T5 (pt)
PL (1) PL3651490T3 (pt)
RU (1) RU2517410C2 (pt)
WO (1) WO2010149083A1 (pt)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
GB2472580A (en) * 2009-08-10 2011-02-16 Nec Corp A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers
CN101835152A (zh) * 2010-04-16 2010-09-15 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
CN101841810B (zh) * 2010-06-07 2016-01-20 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统
CN102625300B (zh) 2011-01-28 2015-07-08 华为技术有限公司 密钥生成方法和设备
CN102790965B (zh) 2011-05-18 2016-09-14 华为技术有限公司 切换方法、基站、用户设备和移动管理实体
JP6135878B2 (ja) 2012-05-04 2017-05-31 ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. ネットワークスイッチング中におけるセキュリティ処理方法およびシステム
US9942210B2 (en) 2012-05-23 2018-04-10 Nokia Technologies Oy Key derivation method and apparatus for local access under control of a cellular network
US9088408B2 (en) * 2012-06-28 2015-07-21 Certicom Corp. Key agreement using a key derivation key
US10341859B2 (en) 2012-10-19 2019-07-02 Nokia Technologies Oy Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment
CN110493776B (zh) * 2012-12-28 2023-05-16 北京三星通信技术研究有限公司 一种同步辅小区和ue之间加密信息的方法
DE102013227087A1 (de) 2013-12-23 2015-06-25 Siemens Aktiengesellschaft Gesichertes Bereitstellen eines Schlüssels
WO2016116128A1 (en) * 2015-01-19 2016-07-28 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for direct communication key establishment
EP3255914A4 (en) * 2015-02-28 2018-02-14 Huawei Technologies Co. Ltd. Key generation method, device and system
US10602411B2 (en) * 2015-07-02 2020-03-24 Qualcomm Incorporated Redirection in a neutral-host network
KR102437619B1 (ko) * 2016-04-01 2022-08-29 삼성전자주식회사 보안 키를 생성하기 위한 장치 및 방법
US10462837B2 (en) 2016-11-04 2019-10-29 Qualcomm Incorporated Method, apparatus, and system for reestablishing radio communication links due to radio link failure
ES2886881T3 (es) 2017-01-30 2021-12-21 Ericsson Telefon Ab L M Manejo del contexto de seguridad en 5G durante el modo inactivo
WO2018137824A1 (en) * 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Methods, apparatuses, computer programs and carriers for security management before handover from 5g to 4g system
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
US11553381B2 (en) 2018-01-12 2023-01-10 Qualcomm Incorporated Method and apparatus for multiple registrations
JP2021524167A (ja) * 2018-01-12 2021-09-09 クゥアルコム・インコーポレイテッドQualcomm Incorporated 複数の登録のための方法および装置
CN110769417B (zh) * 2018-07-25 2021-03-23 华为技术有限公司 一种密钥生成方法及装置
CN111465012B (zh) * 2019-01-21 2021-12-10 华为技术有限公司 通信方法和相关产品

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6918035B1 (en) * 1998-07-31 2005-07-12 Lucent Technologies Inc. Method for two-party authentication and key agreement
AU1547402A (en) 2001-02-09 2002-08-15 Sony Corporation Information processing method/apparatus and program
RU2373653C2 (ru) * 2003-09-12 2009-11-20 Сикьюред Имэйл Гетеборг Аб Безопасность сообщений
CN101103586B (zh) * 2005-01-11 2011-01-12 三星电子株式会社 在通信系统中加密/解密信号的装置和方法
FR2885753A1 (fr) * 2005-05-13 2006-11-17 France Telecom Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique
CN101094065B (zh) * 2006-06-23 2011-09-28 华为技术有限公司 无线通信网络中的密钥分发方法和系统
US7875396B2 (en) 2006-06-29 2011-01-25 GM Global Technology Operations LLC Membrane humidifier for a fuel cell
US9225518B2 (en) * 2006-12-08 2015-12-29 Alcatel Lucent Method of providing fresh keys for message authentication
US8588174B2 (en) * 2007-07-17 2013-11-19 Blackberry Limited Dual-mode device and method for handover of session from VOIP interface to cellular interface
US8699711B2 (en) * 2007-07-18 2014-04-15 Interdigital Technology Corporation Method and apparatus to implement security in a long term evolution wireless device
PT2218270E (pt) * 2007-10-29 2012-01-24 Nokia Corp Sistema e método para autenticar a transferência de um contexto
CN101232731B (zh) * 2008-02-04 2012-12-19 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和系统
CN101232736B (zh) * 2008-02-22 2012-02-29 中兴通讯股份有限公司 用于不同接入系统之间密钥生存计数器的初始化设置方法
CN101304311A (zh) * 2008-06-12 2008-11-12 中兴通讯股份有限公司 密钥生成方法和系统
EP2283668B1 (en) * 2008-06-13 2018-11-14 Nokia Technologies Oy Providing fresh security context during intersystem mobility
CN101355507B (zh) * 2008-09-12 2012-09-05 中兴通讯股份有限公司 更新跟踪区时的密钥生成方法及系统
US20100098247A1 (en) * 2008-10-20 2010-04-22 Nokia Corporation Method, Apparatus And Computer Program Product For Generating An Encryption Key And An Authentication Code Key Utilizing A Generic Key Counter
MX2011010539A (es) * 2009-04-23 2011-10-24 Ericsson Telefon Ab L M Acceso de ip local a traves de una estacion base femto.
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统

Also Published As

Publication number Publication date
EP2416598B2 (en) 2020-07-29
EP2416598A1 (en) 2012-02-08
BR112012000658A2 (pt) 2016-11-16
RU2517410C2 (ru) 2014-05-27
CN101931951B (zh) 2012-11-07
RU2012102647A (ru) 2013-08-10
EP3654684A1 (en) 2020-05-20
WO2010149083A1 (zh) 2010-12-29
ES2436552T3 (es) 2014-01-02
EP3651490B1 (en) 2021-08-04
EP2416598B1 (en) 2013-08-28
EP2658300A3 (en) 2014-01-22
AU2010265281A1 (en) 2011-12-01
US20220150062A1 (en) 2022-05-12
EP2658300A2 (en) 2013-10-30
PL3651490T3 (pl) 2022-01-10
US11240019B2 (en) 2022-02-01
EP3654684B1 (en) 2022-01-19
US20120077501A1 (en) 2012-03-29
EP2416598A4 (en) 2012-05-30
CN101931951A (zh) 2010-12-29
EP3651490A1 (en) 2020-05-13
EP2658300B1 (en) 2019-09-18
AU2010265281B2 (en) 2013-10-31
ES2436552T5 (es) 2021-04-08

Similar Documents

Publication Publication Date Title
BR112012000658B1 (pt) Métodos de derivação de chave e entidade de gerenciamento de mobilidade
BR112020001289B1 (pt) Método de implementação de segurança, aparelho relacionado e sistema
US9713001B2 (en) Method and system for generating an identifier of a key
BRPI1008831B1 (pt) Método para negociação de algoritimos de criptografia e elemento de rede núcleo
CN101267668B (zh) 密钥生成方法、装置及系统
ES2768275T3 (es) Método y dispositivo de separación de claves
BR112018005017B1 (pt) Aparelho e método para procedimento de mobilidade envolvendo relocação de entidade de gerenciamento de mobilidade
ES2385690T3 (es) Métodos y aparatos que generan una clave para estación de base de radio en un sistema celular de radio
CN101600205A (zh) Sim卡用户设备接入演进网络的方法和相关设备
BR112020002515A2 (pt) método de acionamento de autenticação de rede e dispositivo relacionado
BRPI0915001B1 (pt) método para derivação de chave, aparelho e sistema de comunicações
BRPI0717324B1 (pt) Criptografia em telecomunicações sem fio
BRPI0909124B1 (pt) método e aparelhos para prover separação criptográfica multi-salto para transferências
BR112012028406B1 (pt) Método, meio legível por computador não transitório e aparelho
WO2009152759A1 (zh) 防止网络安全失步的方法和装置
BR112012026451B1 (pt) Equipamento e método para fazer transição de um nó de rede servidora que suporta um contexto de segurança melhorado para um nó de rede servidora de legado
BR112013018552B1 (pt) Método de transferência de ponto a ponto e elemento de rede de gerenciamento de mobilidade
ES2784977T3 (es) Restablecimiento de una conexión del control de los recursos de radio
BR112012018268B1 (pt) métodos, nó que serve um terminal móvel e terminal móvel
CN103781069A (zh) 一种双向认证的方法、设备及系统
CN105532035B (zh) 路径切换方法、移动锚点及基站
CN102572819B (zh) 一种密钥生成方法、装置及系统
ES2807532T3 (es) Un método y aparato para manejar claves para encriptación e integridad
JPWO2018203573A1 (ja) 無線通信システム及び無線通信方法
BR112019013483A2 (pt) Método de restabelecimento de ligação, aparelho de comunicação, meio de armazenamento legível por computador, programa, e sistema

Legal Events

Date Code Title Description
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: A CLASSIFICACAO ANTERIOR ERA: H04W 12/04

Ipc: H04L 9/08 (2006.01), H04L 29/06 (2006.01), H04W 12

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 26/06/2010, OBSERVADAS AS CONDICOES LEGAIS. PATENTE CONCEDIDA CONFORME ADI 5.529/DF, , QUE DETERMINA A ALTERACAO DO PRAZO DE CONCESSAO.