BR112012026136B1 - APPARATUS AND METHOD TO SIGNAL AN IMPROVED SECURITY CONTEXT FOR ENCRYPTION AND SESSION INTEGRITY KEYS - Google Patents
APPARATUS AND METHOD TO SIGNAL AN IMPROVED SECURITY CONTEXT FOR ENCRYPTION AND SESSION INTEGRITY KEYS Download PDFInfo
- Publication number
- BR112012026136B1 BR112012026136B1 BR112012026136-3A BR112012026136A BR112012026136B1 BR 112012026136 B1 BR112012026136 B1 BR 112012026136B1 BR 112012026136 A BR112012026136 A BR 112012026136A BR 112012026136 B1 BR112012026136 B1 BR 112012026136B1
- Authority
- BR
- Brazil
- Prior art keywords
- security context
- remote station
- message
- server network
- information element
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 37
- 230000004044 response Effects 0.000 claims abstract description 23
- 238000012795 verification Methods 0.000 claims 2
- 230000011664 signaling Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000001010 compromised effect Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000010287 polarization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000004846 x-ray emission Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H04W12/0401—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Abstract
aparelho e método para sinalizar um contexto de segurança aperfeiçoada para criptografia de sessão e chaves de integridade é revelado um método para estabelecer um contexto de segurança aprimorado entre uma estação remota e uma rede servidora. no método, a estação remota encaminha uma primeira mensagem à rede servidora, em que a primeira mensagem inclui um elemento de informações que sinaliza que a estação remota suporta um contexto de segurança aprimorado. a estação remota gera ao menos uma chave de sessão, de acordo com o contexto de segurança aprimorado, com uso do elemento de informações. a estação remota recebe, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o contexto de segurança aprimorado. a estação remota, em resposta à segunda mensagem, tem comunicações sem fio protegidas pela ao menos uma chave de sessão.Apparatus and Method for Signaling an Enhanced Security Context for Session Encryption and Integrity Keys A method for establishing an enhanced security context between a remote station and a server network is disclosed. In the method, the remote station forwards a first message to the server network, wherein the first message includes an information element that signals that the remote station supports an enhanced security context. the remote station generates at least one session key, according to the enhanced security context, using the information element. the remote station receives, in response to the first message, a second message that has an indication that the serving network supports the enhanced security context. the remote station, in response to the second message, has wireless communications protected by at least one session key.
Description
[0001] Este pedido de patente reivindica o benefício do Pedido de Patente Provisória no U.S. 61/324.646, depositado em 15 de abril de 2010, no qual o pedido de patente está incorporado no presente documento a título de referência.[0001] This patent application claims the benefit of U.S. Provisional Patent Application 61/324,646, filed April 15, 2010, in which the patent application is incorporated herein by reference.
[0002] A presente invenção refere-se, em geral, a um contexto de segurança aprimorado que sinaliza para equipamento de usuário que opera em um Serviço de Telecomunicações Móvel Universal (UMTS) e/ou Rede de Acesso por Rádio de Borda GSM (GERAN). Antecedentes[0002] The present invention relates, in general, to an enhanced security context that signals to user equipment operating in a Universal Mobile Telecommunications Service (UMTS) and/or GSM Edge Radio Access Network (GERAN ). Background
[0003] Uma autenticação de AKA (Acordo de Chave e Autenticação) bem sucedida em uma rede de acesso por rádio de terceira geração (3G) UMTS, ou em redes GERAN que usam autenticação de AKA 3G, resulta em um par de chaves compartilhadas, uma chave de codificação (CK) e uma chave de integridade (IK), para proteger as comunicações entre um equipamento de usuário (UE) e a rede. As chaves compartilhadas podem ser usadas diretamente para proteger o tráfego entre o UE e a rede como no caso de UTRAN (UMTS Rede de Acesso por Rádio Terrestre), ou podem ser usados para derivar estaticamente as chaves, por exemplo, KC ou KC128, no caso de GERAN (Rede de Acesso por Rádio de Borda GSM).[0003] Successful AKA (Key Agreement and Authentication) authentication on a UMTS third-generation (3G) radio access network, or on GERAN networks that use AKA 3G authentication, results in a shared key pair, an encryption key (CK) and an integrity key (IK) to secure communications between a user equipment (UE) and the network. Shared keys can be used directly to secure traffic between the UE and the network as in the case of UTRAN (UMTS Terrestrial Radio Access Network), or can be used to statically derive keys, eg KC or KC128, in case of GERAN (GSM Edge Radio Access Network).
[0004] Uma chave comprometida pode resultar em problemas sérios de segurança até que as chaves sejam alteradas em uma próxima autenticação de AKA. Tipicamente, a autenticação de AKA não é executada frequentemente devido à exigência de uma sobrecarga significante. Também, se ambas as chaves (CK e IK) estiverem comprometidas, então as chaves GERAN estarão comprometidas.[0004] A compromised key can result in serious security issues until the keys are changed at the next AKA authentication. Typically, AKA authentication is not performed very often due to the significant overhead requirement. Also, if both keys (CK and IK) are compromised, then the GERAN keys will be compromised.
[0005] Em implantações de UMTS/HSPA (Acesso de Pacote de Alta Velocidade), algumas ou todas as funcionalidades de um controlador de rede por rádio (RNC) e um Nó B podem ser recolhidos juntos em um Nó na borda da rede. O RNC precisa das chaves para funcionalidades, tais como criptografia de plano de usuário e sinalizar a proteção de integridade e criptografia de plano. Entretanto, a funcionalidade do RNC pode ser implantada em um local exposto tal como em um Nó de Residência B em um Femtocélula UMTS. Conformemente, a funcionalidade do RNC implantado em locais possivelmente inseguros que fornecem acesso (que inclui acesso físico) pode permitir que as chaves, CK e IK, sejam comprometidas.[0005] In UMTS/HSPA (High Speed Packet Access) deployments, some or all of the functionality of a radio network controller (RNC) and a Node B may be collapsed together into a Node at the edge of the network. The RNC needs the keys for functionality such as user plane encryption and signal plane encryption and integrity protection. However, the functionality of the RNC can be deployed in an exposed location such as a Residence Node B in a UMTS Femtocell. Accordingly, RNC functionality deployed in potentially insecure locations that provide access (which includes physical access) can allow keys, CK and IK, to be compromised.
[0006] As chaves de sessão (versões modificadas de CK e IK) podem ser usadas para diminuir os riscos de segurança associados com uma funcionalidade do RNC exposta. Técnicas para fornecer tais chaves de sessão são reveladas na Publicação de Pedido de Patente no U.S. 2007/0230707 A1.[0006] Session keys (modified versions of CK and IK) can be used to mitigate security risks associated with exposed RNC functionality. Techniques for providing such session keys are disclosed in U.S. Patent Application Publication 2007/0230707 A1.
[0007] Infelizmente, o uso de tais chaves de sessão exige modificações de atualização às redes servidoras. Entretanto, operadores de redes são suscetíveis a atualizar as redes servidoras em estágios.[0007] Unfortunately, the use of such session keys requires upgrade modifications to server networks. However, network operators are likely to upgrade server networks in stages.
[0008] Há, portanto, uma necessidade de uma técnica para sinalizar o suporte de contexto de segurança aprimorado, o qual é compatível com redes servidoras legadas. Sumário[0008] There is therefore a need for a technique to signal enhanced security context support, which is compatible with legacy server networks. summary
[0009] Um aspecto da presente invenção pode residir em um método para estabelecer um primeiro contexto de segurança entre uma estação remota e uma rede servidora. O primeiro contexto de segurança tem uma propriedade de segurança que não é suportada por um segundo contexto de segurança. No método, a estação remota encaminha uma primeira mensagem à rede servidora, em que a primeira mensagem inclui um elemento de informações que sinaliza que a estação remota suporta o primeiro contexto de segurança. A estação remota gera ao menos uma chave de sessão, de acordo com o primeiro contexto de segurança, que usa o elemento de informações. A estação remota recebe, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o primeiro contexto de segurança. A estação remota, em resposta à segunda mensagem, tem comunicações sem fio protegidas pelo ao menos uma chave de sessão.[0009] One aspect of the present invention may reside in a method for establishing a first security context between a remote station and a server network. The first security context has a security property that is not supported by a second security context. In the method, the remote station forwards a first message to the server network, the first message including an information element that signals that the remote station supports the first security context. The remote station generates at least one session key, according to the first security context, which uses the information element. The remote station receives, in response to the first message, a second message which has an indication that the serving network supports the first security context. The remote station, in response to the second message, has wireless communications secured by at least one session key.
[0010] Em aspectos mais detalhados da invenção, o elemento de informações pode compreender um valor do contador atualizado para uma sessão. Além disso, a indicação que a rede servidora suporta o primeiro contexto de segurança pode compreender um código de autenticação gerado com base em ao menos uma chave de sessão correspondente gerada pela rede servidora que usa o elemento de informações recebido a partir da estação remota. Também, a estação remota pode compreender um equipamento de usuário móvel.[0010] In more detailed aspects of the invention, the information element may comprise an updated counter value for a session. Furthermore, the indication that the server network supports the first security context may comprise an authentication code generated on the basis of at least one corresponding session key generated by the server network using the information element received from the remote station. Also, the remote station may comprise mobile user equipment.
[0011] Em outros aspectos mais detalhados da invenção, a rede servidora pode ser uma Rede servidora UMTS. O primeiro contexto de segurança pode ser um contexto de segurança UMTS aprimorado, e o segundo contexto de segurança pode ser um contexto de segurança UTRAN legado. Alternativamente, a rede servidora pode ser uma rede servidora GERAN.[0011] In other more detailed aspects of the invention, the server network can be a UMTS server network. The first security context can be an enhanced UMTS security context, and the second security context can be a legacy UTRAN security context. Alternatively, the server network can be a GERAN server network.
[0012] Outro aspecto da invenção pode residir em uma estação remota a qual pode incluir meios para encaminhar uma primeira mensagem a uma rede servidora, em que a primeira mensagem inclui um elemento de informações que sinaliza que a estação remota suporta um primeiro contexto de segurança, e em que o primeiro contexto de segurança tem uma propriedade de segurança que não é suportada por um segundo contexto de segurança; meios para gerar ao menos uma chave de sessão, de acordo com o primeiro contexto de segurança, que usa o elemento de informações; meios para receber, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o primeiro contexto de segurança; e meios para ter comunicações sem fio, em resposta à segunda mensagem, protegidas pela ao menos uma chave de sessão.[0012] Another aspect of the invention may reside in a remote station which may include means for forwarding a first message to a server network, wherein the first message includes an information element signaling that the remote station supports a first security context , and where the first security context has a security property that is not supported by a second security context; means for generating at least one session key, in accordance with the first security context, using the information element; means for receiving, in response to the first message, a second message having an indication that the serving network supports the first security context; and means for having wireless communications, in response to the second message, secured by the at least one session key.
[0013] Outro aspecto da invenção pode residir em uma estação remota, a qual pode incluir um processador configurado para: encaminhar uma primeira mensagem a uma rede servidora, em que a primeira mensagem inclui um elemento de informações que sinaliza que a estação remota suporta um primeiro contexto de segurança, e em que o primeiro contexto de segurança tem uma propriedade de segurança que não é suportada por um segundo contexto de segurança; gera ao menos uma chave de sessão, de acordo com o primeiro contexto de segurança, que usa o elemento de informações; recebe, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o primeiro contexto de segurança; e tem comunicações sem fio, em resposta à segunda mensagem, protegidas pela ao menos uma chave de sessão.[0013] Another aspect of the invention may reside in a remote station, which may include a processor configured to: forward a first message to a server network, wherein the first message includes an information element signaling that the remote station supports a first security context, and where the first security context has a security property that is not supported by a second security context; generates at least one session key, according to the first security context, which uses the information element; receives, in response to the first message, a second message which has an indication that the serving network supports the first security context; and has wireless communications, in response to the second message, protected by at least one session key.
[0014] Outro aspecto da invenção pode residir em um produto de programa de computador, que compreende um meio de armazenamento legível por computador, que compreende o código para fazer com que um computador encaminhe uma primeira mensagem a uma rede servidora, em que a primeira mensagem inclui um elemento de informações que sinaliza que o computador suporta um primeiro contexto de segurança, e em que o primeiro contexto de segurança tem uma propriedade de segurança que não é suportada por um segundo contexto de segurança; o código para fazer com que um computador gere ao menos uma chave de sessão, de acordo com o primeiro contexto de segurança, que usa o elemento de informações; o código para fazer com que um computador receba, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o primeiro contexto de segurança; e o código para fazer com que um computador tenha comunicações sem fio, em resposta à segunda mensagem, protegidas pelo ao menos uma chave de sessão.[0014] Another aspect of the invention may reside in a computer program product, comprising a computer-readable storage medium, comprising code for causing a computer to forward a first message to a server network, wherein the first message includes an information element that signals that the computer supports a first security context, and that the first security context has a security property that is not supported by a second security context; code to cause a computer to generate at least one session key, according to the first security context, which uses the information element; code for causing a computer to receive, in response to the first message, a second message having an indication that the serving network supports the first security context; and code for causing a computer to have wireless communications, in response to the second message, protected by at least one session key.
[0015] A Figura 1 é um diagrama de bloco de um exemplo de um sistema de comunicação sem fio.[0015] Figure 1 is a block diagram of an example of a wireless communication system.
[0016] A Figura 2 é um diagrama de bloco de um exemplo de um sistema de comunicação sem fio de acordo com uma arquitetura UMTS/UTRAN.[0016] Figure 2 is a block diagram of an example of a wireless communication system according to a UMTS/UTRAN architecture.
[0017] A Figura 3 é um diagrama de bloco de um exemplo de um sistema de comunicação sem fio de acordo com uma arquitetura GERAN.[0017] Figure 3 is a block diagram of an example of a wireless communication system according to a GERAN architecture.
[0018] A Figura 4 é um diagrama de fluxo de um método para estabelecer um contexto de segurança aprimorado entre uma estação remota e uma rede servidora.[0018] Figure 4 is a flow diagram of a method to establish an enhanced security context between a remote station and a server network.
[0019] A Figura 5 é um diagrama de fluxo de um método para estabelecer um contexto de segurança aprimorado entre uma estação remota e uma rede servidora com base em uma mensagem de solicitação de anexação.[0019] Figure 5 is a flow diagram of a method for establishing an enhanced security context between a remote station and a server network based on an attach request message.
[0020] A Figura 6 é um diagrama de fluxo de um método para estabelecer ao menos uma chave de sessão a partir de um contexto de segurança aprimorado entre uma estação remota e uma rede servidora com base em uma mensagem de solicitação de serviço.[0020] Figure 6 is a flow diagram of a method for establishing at least one session key from an enhanced security context between a remote station and a server network based on a service request message.
[0021] A Figura 7 é um diagrama de fluxo de um método para estabelecer ao menos uma chave de sessão a partir de um contexto de segurança aprimorado entre uma estação remota e uma rede servidora com base em uma mensagem de solicitação de atualização de área de roteamento.[0021] Figure 7 is a flow diagram of a method for establishing at least one session key from an enhanced security context between a remote station and a server network based on an area update request message. routing.
[0022] A Figura 8 é um diagrama de bloco de um computador que inclui um processador e uma memória. Descrição Detalhada[0022] Figure 8 is a block diagram of a computer that includes a processor and a memory. Detailed Description
[0023] A palavra "exemplificativa" é usada no presente documento para significar "que serve como um exemplo, instância, ou ilustração." Qualquer modalidade descrita no presente documento como "exemplificativa" não deve, necessariamente, ser entendida como preferencial ou vantajosa sobre outras modalidades.[0023] The word "exemplary" is used herein to mean "which serves as an example, instance, or illustration." Any embodiment described herein as "exemplary" is not necessarily to be understood as preferable or advantageous over other embodiments.
[0024] Com referência às Figuras 2 a 4, um aspecto da presente invenção pode residir em um método 400 para estabelecer um contexto de segurança aprimorado entre uma estação remota 210 e uma rede servidora 230. No método, a estação remota encaminha uma primeira mensagem à rede servidora (etapa 410), em que a primeira mensagem inclui um elemento de informações que sinaliza que a estação remota suporta um contexto de segurança aprimorado. A estação remota gera ao menos uma chave de sessão, CKS e IKS, de acordo como contexto de segurança aprimorado, com o uso do elemento deinformações (etapa 420). A estação remota recebe, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o contexto de segurança aprimorado (etapa 430). A estação remota, em resposta à segunda mensagem, tem comunicações sem fio protegidas pela ao menos uma chave de sessão (etapa 440).[0024] Referring to Figures 2 to 4, an aspect of the present invention may reside in a
[0025] O elemento de informações pode compreender uma contagem. Além disso, a indicação de que a rede servidora suporta o contexto de segurança aprimorado pode compreender um código de autenticação (MAC) gerado com base em ao menos uma chave de sessão correspondente gerada pela rede servidora 230 com o uso do elemento de informações recebido a partir da estação remota 210. Também, a estação remota pode compreender um equipamento de usuário móvel (UE) tal como um dispositivo sem fio.[0025] The information element may comprise a count. In addition, the indication that the server network supports the enhanced security context may comprise an authentication code (MAC) generated based on at least one corresponding session key generated by the
[0026] Com referência adicional à Figura 8, outro aspecto da invenção pode residir em uma estação remota 210 a qual pode incluir meios (processador 810) para encaminhar uma primeira mensagem a uma rede servidora 230, em que a primeira mensagem includes uma elemento de informações que sinaliza que a estação remota suporta um contexto de segurança aprimorado; meios para gerar ao menos uma chave de sessão, de acordo com o contexto de segurança aprimorado, com o uso do elemento de informações; meios para receber, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o contexto de segurança aprimorado; e meios para ter comunicações sem fio, em reposta à segunda mensagem, protegidas pela ao menos uma chave de sessão.[0026] Referring further to Figure 8, another aspect of the invention may reside in a
[0027] Outro aspecto da invenção pode residir em uma estação remota 210 a qual pode incluir um processador 810 configurado para: encaminhar uma primeira mensagem a uma rede servidora 230, em que a primeira mensagem inclui um elemento de informações que sinaliza que a estação remota suporta um contexto de segurança aprimorado; gera ao menos uma chave de sessão, de acordo com o contexto de segurança aprimorado, que usa o elemento de informações; recebe, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o contexto de segurança aprimorado; e tem comunicações sem fio, em resposta à segunda mensagem, protegidas pela ao menos uma chave de sessão.[0027] Another aspect of the invention may reside in a
[0028] Outro aspecto da invenção pode residir em um produto de programa de computador, que compreende o meio de armazenamento legível por computador 820, que compreende o código para fazer com que um computador 800 encaminhe uma primeira mensagem a uma rede servidora 230, em que a primeira mensagem inclui um elemento de informações que sinaliza que o computador suporta um contexto de segurança aprimorado; o código para fazer com que um computador gere ao menos uma chave de sessão, de acordo com o contexto de segurança aprimorado, que usa o elemento de informações; o código para fazer com que um computador receba, em resposta à primeira mensagem, uma segunda mensagem que tem uma indicação de que a rede servidora suporta o contexto de segurança aprimorado; e o código para fazer com que um computador tenha comunicações sem fio, em resposta à segunda mensagem, protegidas pela ao menos uma chave de sessão.[0028] Another aspect of the invention may reside in a computer program product, comprising computer-
[0029] A rede principal servidora 230 está conectada a uma RAN (Rede de Acesso por Rádio) servidora 220 a qual fornece comunicações sem fio à estação remota 210. Em uma arquitetura UMTS/UTRAN, a RAN servidora inclui um Nó B e um RNC (Controlador de Rede por Rádio). Em uma arquitetura GERAN, a RAN servidora inclui uma BTS (Estação do Transceptor de Base) e um BSC (Controlador da Estação base). A rede principal servidora inclui um MSC/VLR (Registro de Localização Visitante/Central de Comutação Móvel) para fornecer o serviço de circuito comutado (CS) e um SGSN (Nó de Suporte de GPRS Servidor) para fornecer serviços de pacote comutado (PS). A rede residencial inclui um HLR (Registro de Localização de Residência) e um AuC (Centro de Autenticação).[0029] The serving
[0030] O UE 210 e a rede principal servidora 230 podem ser aprimorados com novas propriedades de segurança para criar um contexto de segurança UMTS aprimorado (ESC) com o uso de um COUNT (valor do contador). Uma chave de raiz de 256 bits (KASMEU) para o ESC pode ser derivada a partir da CK e da IK quando a autenticação de AKA for realizada. A chave de raiz pode ser igualada a CK||IK, ou a mesma pode ser derivada com o uso de uma derivação mais complexa que resulta em propriedades de segurança úteis adicionais (por exemplo, CK e IK não precisam ser mantidos). O COUNT pode ser um valor do contador de 16 bits que é conservado entre o UE e a rede principal servidora. (Note: um contexto de segurança UTRAN legado consiste de um KSI (um Identificador de Conjunto de Chaves de 3 bits), um CK (uma chave de criptografia de 128 bits) e um IK (uma chave de integridade de 128 bits)).[0030] UE 210 and
[0031] Com referência à Figura 5, em um método 500 que se refere aos procedimentos de anexação de UMTS, o UE 210 pode sinalizar que o mesmo suporta o ESC em uma mensagem de solicitação de anexação UMTS (etapa 510). O ESC é um exemplo do primeiro contexto de segurança. O sinal de suporte pode ser a presença de um novo elemento de informações (IE) na mensagem. O IE pode compreender o valor de COUNT. Uma rede servidora SN 230 que não suporta o ESC irá ignorar onovo IE. Não suportar o ESC é um exemplo do segundo contexto de segurança. Os dados de autenticação (RAND, XRES, CK, IK,AUTN) são obtidos a partir do HLR/AuC 240 (etapa 515). A SN pode indicar o suporte do ESC no desafio de AKA (Solicitação de Autenticação) ao UE (etapa 520). O UE realiza os procedimentos de autenticação (etapa 525) e retorna uma resposta RES à SN (etapa 530). Mediante a autenticação bem sucedida (etapa 530), o UE e a SN derivam a chave de raiz KASMEU e as chaves de sessão CKS e IKS (etapa 535). A SNencaminha as chaves de sessão à RAN 220 em uma mensagem SMC (Comando de Modo de Segurança) (etapa 540). A RAN gera um código de autenticação de mensagem (MAC) com o uso da chave de sessão IKS, a qual é encaminhada ao UE em uma mensagem SMC (etapa 545). O UE verifica o MAC (etapa 550) com o uso da chave de sessão IKS que o UE derivou (etapa 535), e retorna uma indicação completa à RAN (etapa 555), a qual encaminha a mesma à SN (etapa 560). O UE é então capaz de proteger as comunicações com o uso das chaves de sessão (etapa 565).[0031] Referring to Fig. 5, in a
[0032] Com referência à Figura 6, em um método 600 que se refere a um procedimento de Modo Ocioso para Modo Ativo 600, o UE 210 encaminha uma mensagem de solicitação de serviço a qual inclui o valor de COUNT à SN 230 (etapa 610). O UE e a SN derivam as novas chaves de sessão CKS e IKS a partir da chave de raiz KASMEU (etapa 620). A SN encaminha as chaves de sessão à RAN 220 em uma mensagem SMC (etapa 630). A RAN gera um MAC, o qual é encaminhado ao UE em uma mensagem SMC (etapa 640). O UE verifica o MAC (etapa 650), e retorna uma indicação completa à RAN (etapa 660), a qual encaminha a mesma à SN (etapa 670). O UE é então capaz de proteger as comunicações com o uso das chaves de sessão (etapa 680).[0032] Referring to Figure 6, in a
[0033] Com referência à Figura 7, em um método 700 que se refere aos procedimentos de gerenciamento de mobilidade 700 (tais como uma Atualização de Área de Roteamento (RAU) ou Atualização de Área de Localização (LAU), o UE 210 encaminha uma mensagem de solicitação de RAU (ou LAU), a qual inclui o valor de COUNT à SN 230 (etapa 710)). Opcionalmente, o UE e a SN podem derivar as novas chaves de sessão CKS e IKS a partir da chave de raiz KASMEU (etapa 720) A SN pode encaminhar as chaves de sessão à RAN 220 em uma mensagem SMC (etapa 730). A RAN pode gerar um MAC, o qual pode ser encaminhado ao UE em uma mensagem SMC (etapa 740). O UE pode verificar o MAC (etapa 750), e pode retornar uma indicação completa à RAN (etapa 760), a qual encaminha a mesma à SN (etapa 770). A SN então enviar uma mensagem de aceitação de RAU ao UE (etapa 780). O UE é então capaz de proteger as comunicações com o uso das chaves de sessão.[0033] Referring to Figure 7, in a
[0034] As novas chaves de estrato de acesso (AS) podem ser geradas para cada transição a partir do Estado Ocioso ao Estado Ativo. Similarmente, chaves podem ser geradas em outros eventos. O valor de COUNT pode ser enviadoem mensagens de mobilidade ociosa e em mensagens de camada3 iniciais, por exemplo, Anexações, RAUs, LAUs, para solicitação de ociosidade, mobilidade, ou serviço. A SN pode verificar que o valor de COUNT enviado não foi usado antes, e atualiza o valor de COUNT armazenado no processo. Se o valor de COUNT for novo (por exemplo, valor de COUNT recebido > valor de COUNT armazenado), o UE e a SN procedem para calcular a nova chave CKS e IKS, com o uso de uma Função deDerivação de Chave (KDF) tal como HMAC-SHA256, a partir da chave de raiz KASMEU e o valor de COUNT enviado. A KDF podeincluir informações adicionais, tais como a identidade de nó de RAN, para o cálculo de chave nova. Se a verificação falhar(o valor de COUNT não for novo), a SN rejeita a mensagem. Para o uso de GERAN, quando KC e KC128 forem calculados a partir de CKS e IKS, o mesmo pode ser feito na mesma maneiracomo quando calculado a partir de CK e IK.[0034] New access stratum (AS) keys can be generated for each transition from Idle State to Active State. Similarly, keys can be generated at other events. The value of COUNT can be sent in idle mobility messages and in initial layer3 messages, for example, Attachments, RAUs, LAUs, for idle, mobility, or service request. The SN can verify that the submitted COUNT value has not been used before, and updates the COUNT value stored in the process. If the COUNT value is new (eg received COUNT value > stored COUNT value), the UE and SN proceed to calculate the new key CKS and IKS, using a Key Derivation Function (KDF) such as HMAC-SHA256, from the root key KASMEU and the COUNT value sent. KDF may include additional information, such as RAN node identity, for new key calculation. If the check fails (the value of COUNT is not new), the SN rejects the message. For the use of GERAN, when KC and KC128 are calculated from CKS and IKS, the same can be done in the same way as when calculated from CK and IK.
[0035] As chaves de sessão (CKS e IKS) podem ter um tempo de vida de modo que o UE e a rede servidora conserveme usem as chaves de sessão até que ou o mesmo não seja maisnecessário para armazenar as chaves para enviar tráfego seguramente entre o UE e a rede (UE se move para o modo ocioso), ou um novo contexto seja criado em um evento subsequente (por exemplo, autenticação de AKA ou um evento de mobilidade).[0035] The session keys (CKS and IKS) can have a lifetime such that the UE and the server network keep me using the session keys until or it is no longer needed to store the keys to send traffic securely between o UE and network (UE moves to idle mode), or a new context is created in a subsequent event (eg AKA authentication or a mobility event).
[0036] A estação remota 210 pode compreender um computador 800 que inclui um meio de armazenamento 820 tal como memória, um visor 830 e um dispositivo de entrada 840 tal como um teclado. O aparelho pode incluir uma conexão sem fio 850.[0036]
[0037] Com referência à Figura 1, uma estação remota sem fio (RS) 102 (ou UE) pode se comunicar com uma ou mais estações base (BS) 104 de um sistema de comunicação sem fio 100. O sistema de comunicação sem fio 100 pode incluir, adicionalmente, um ou mais controladores de estação base (BSC) 106 e uma rede principal 108. A rede principal pode estar conectada a uma Internet 110 e uma Rede de Telefonia Comutada Pública (PSTN) 112 por meio de redes de retorno (redes de retorno) adequadas. Uma estação móvel sem fio típica pode incluir um telefone portátil ou um computador do tipo laptop. O sistema de comunicação sem fio 100 pode empregar qualquer uma de um número de múltiplas técnicas deacesso, tais como acesso múltiplo por divisão de código (CDMA), acesso múltiplo por divisão de tempo (TDMA), acessomúltiplo por divisão de frequência (FDMA), acesso múltiplo por divisão de espaço (SDMA), acesso múltiplo por divisão de polarização (PDMA) ou outras técnicas de modulação conhecidas na técnica.[0037] Referring to Figure 1, a wireless remote station (RS) 102 (or UE) can communicate with one or more base stations (BS) 104 of a
[0038] Um dispositivo sem fio 102 pode incluir vários componentes que realizam funções com base em sinais que são transmitidos ou recebidos pelo dispositivo sem fio. Por exemplo, um fone de ouvido sem fio pode incluir um transdutor adaptado para fornecer uma saída de áudio com base em um sinal recebido por meio do recebedor. Um relógio sem fio pode incluir uma interface de usuário adaptada para fornecer uma indicação com base em um sinal recebido por meio do recebedor. Um dispositivo sensor sem fio pode incluir um sensor adaptado para fornecer dados a serem transmitidos a outro dispositivo.[0038] A
[0039] Um dispositivo sem fio pode se comunicar por meio de um ou mais ligações de comunicação sem fio que são baseadas em, ou de outro modo suportam, qualquer tecnologia de comunicação sem fio adequada. Por exemplo, em alguns aspectos, um dispositivo sem fio pode se associar com uma rede. Em alguns aspectos, a rede pode compreender uma rede de área de corpo ou uma rede de área pessoal (por exemplo, uma rede de banda ultralarga). Em alguns aspectos, a rede pode compreender uma rede de área local ou uma rede de área ampla. Um dispositivo sem fio pode suportar ou, de outro modo usar, uma ou mais de uma variedade de tecnologias de comunicação sem fio, protocolos, ou padrões tais como, por exemplo, CDMA, TDMA, OFDM, OFDMA, WiMAX e Wi-Fi. Similarmente, um dispositivo sem fio pode suportar ou, de outro modo usar, um ou mais de uma variedade de esquemas de multiplexação ou modulação correspondentes. Um dispositivo sem fio pode, assim, incluir componentes apropriados (por exemplo, interfaces aéreas) para estabelecer e comunicar por meio de uma ou mais ligações de comunicação sem fio com o uso das tecnologias de comunicação sem fio acima ou outras. Por exemplo, um dispositivo pode compreender um transceptor sem fio com um transmissor associado e componentes de recebedor (por exemplo, um transmissor e um recebedor) que possam incluir vários componentes (por exemplo, geradores de sinal e processadores de sinal) que facilitem a comunicação sobre um meio sem fio.[0039] A wireless device may communicate through one or more wireless communication links that are based on, or otherwise support, any suitable wireless communication technology. For example, in some respects a wireless device can associate with a network. In some aspects, the network may comprise a body area network or a personal area network (e.g., an ultra-wideband network). In some aspects, the network can comprise a local area network or a wide area network. A wireless device may support, or otherwise use, one or more of a variety of wireless communication technologies, protocols, or standards such as, for example, CDMA, TDMA, OFDM, OFDMA, WiMAX, and Wi-Fi. Similarly, a wireless device may support or otherwise use one or more of a variety of corresponding multiplexing or modulation schemes. A wireless device may thus include appropriate components (eg, air interfaces) to establish and communicate via one or more wireless communication links using the above or other wireless communication technologies. For example, a device may comprise a wireless transceiver with an associated transmitter and receiver components (e.g., a transmitter and a receiver) that can include various components (e.g., signal generators and signal processors) that facilitate communication over a wireless medium.
[0040] Os ensinamentos no presente documento podem ser incorporados em (por exemplo, implantado dentro ou realizado por) uma variedade de aparelhos (por exemplo, dispositivos). Por exemplo, um ou mais aspectos ensinados no presente documento podem ser incorporados em um telefone (por exemplo, um telefone celular), um assistente de dados pessoal ("PDA"), um dispositivo de entretenimento (por exemplo, um dispositivo de musica ou vídeo), um fone de ouvido (por exemplo, headphones, um fone, etc.), um microfone, um dispositivo médico (por exemplo, um sensor biométrico, um monitor de frequência cardíaca, um pedômetro, um dispositivo EKG, etc.), um dispositivo de usuário I/O (por exemplo, um relógio, um controle remoto, um comutador de luz, um teclado, um mouse, etc.), um monitor de pressão de pneu, um computador, um dispositivo de ponto de venda, um dispositivo de entretenimento, um aparelho de audição, um decodificador de sinais, ou qualquer outro dispositivo adequado.[0040] The teachings in this document may be incorporated into (eg, deployed within or performed by) a variety of apparatus (eg, devices). For example, one or more aspects taught in this document may be incorporated into a telephone (for example, a cell phone), a personal data assistant ("PDA"), an entertainment device (for example, a music device or video), a headset (eg headphones, a headset, etc.), a microphone, a medical device (eg, a biometric sensor, a heart rate monitor, a pedometer, an EKG device, etc.) , a user I/O device (eg, a watch, a remote control, a light switch, a keyboard, a mouse, etc.), a tire pressure monitor, a computer, a point of sale device , an entertainment device, a listening device, a set-top box, or any other suitable device.
[0041] Esses dispositivos podem ter diferentes exigências de potência e dados. Em alguns aspectos, os ensinamentos no presente documento podem ser adaptados para uso em aplicações de baixa potência (por exemplo, através douso de um esquema de sinalização com base em impulso e modosde ciclo de trabalho baixos) e podem suportar uma variedade de taxas de dados que inclui taxas de dados relativamente altas (por exemplo, através do uso de pulsos de largura de banda alta).[0041] These devices may have different power and data requirements. In some aspects, the teachings in this document can be adapted for use in low power applications (for example, through the use of a pulse-based signaling scheme and low duty cycle modes) and can support a variety of data rates. which includes relatively high data rates (for example, through the use of high bandwidth pulses).
[0042] Em alguns aspectos, um dispositivo sem fio pode compreender um dispositivo de acesso (por exemplo, um ponto de acesso por Wi-Fi) para um sistema de comunicação. Tal dispositivo de acesso pode fornecer, por exemplo, conectividade a outra rede (por exemplo, uma rede de área ampla tal como a Internet ou uma rede celular) por meio de uma ligação de comunicação com ou sem fio. Conformemente, o dispositivo de acesso pode permitir que outro dispositivo (por exemplo, uma estação Wi-Fi) acesse a outra rede ou alguma outra funcionalidade. Adicionalmente, deve ser apreciado que um ou ambos os dispositivos possam ser portáteis ou, em alguns casos, relativamente não portáteis.[0042] In some aspects, a wireless device may comprise an access device (eg a Wi-Fi access point) to a communication system. Such an access device may provide, for example, connectivity to another network (for example, a wide area network such as the Internet or a cellular network) via a wired or wireless communication link. Accordingly, the access device may allow another device (for example, a Wi-Fi station) to access another network or some other functionality. Additionally, it should be appreciated that one or both devices can be portable or, in some cases, relatively non-portable.
[0043] Aqueles com habilidade na técnica entenderiam que informações e sinais podem ser representados com o uso de qualquer de uma variedade de diferentes tecnologias e técnicas. Por exemplo, dados, instruções, comandos, informações, sinais, bits, símbolos, e chips que possam ser referenciados por toda a descrição acima podem ser representados por tensões, correntes, ondas eletromagnéticas, partículas ou campos magnéticos, partículas ou campos óticos, ou qualquer combinação desses.[0043] Those skilled in the art would understand that information and signals can be represented using any of a variety of different technologies and techniques. For example, data, instructions, commands, information, signals, bits, symbols, and chips that may be referenced throughout the above description may be represented by voltages, currents, electromagnetic waves, particles or magnetic fields, particles or optical fields, or any combination of these.
[0044] Aqueles com habilidade apreciariam, adicionalmente, que os vários blocos lógicos, módulos, circuitos, e etapas de algoritmo ilustrativos descritos em conexão com as modalidades reveladas no presente documento podem ser implantados como um hardware eletrônico, software de computador, ou combinações de ambos. Para ilustrar claramente essa permutabilidade de hardware e software, vários componentes, blocos, módulos, circuitos, e etapas ilustrativos foram descritos acima geralmente em termos de suas funcionalidades. Se tal funcionalidade for implantada como hardware ou software, depende das restrições da aplicação e do projeto em particular impostas no sistema em geral. Artesões habilidosos podem implantar a funcionalidade descrita em várias maneiras para cada aplicação em particular, mas tais decisões de implantação não devem ser interpretadas como causadores de um desvio a partir do escopo da presente invenção.[0044] Those of skill would further appreciate that the various illustrative logic blocks, modules, circuits, and algorithm steps described in connection with the embodiments disclosed herein may be deployed as electronic hardware, computer software, or combinations of both. To clearly illustrate this interchangeability of hardware and software, various illustrative components, blocks, modules, circuits, and steps have been described above generally in terms of their functionality. Whether such functionality is implemented as hardware or software depends on the particular application and project constraints imposed on the overall system. Skilled artisans can deploy the described functionality in various ways for each particular application, but such deployment decisions should not be construed as causing a deviation from the scope of the present invention.
[0045] Os vários blocos lógicos, módulos, e circuitos ilustrativos descritos, em conexão com as modalidades reveladas no presente documento, podem ser implantados ou realizados com um processador de finalidade geral, um processador de sinal digital (DSP), um circuito integrado de aplicação específica (ASIC), uma matriz de portas programável em campo (FPGA) ou outro dispositivo de lógica programável, portão discreto ou lógica de transistor, componentes de hardware discretos, ou qualquer combinação disso, projetados para realizar as funções descritas no presente documento. Um processador de finalidade geral pode ser um microprocessador, mas em alternativa, o processador pode ser qualquer processador, controlador, microcontrolador, ou máquina de estados convencional. Um processador pode também ser implantado como uma combinação de dispositivos de computação, por exemplo, uma combinação de um DSP e um microprocessador, uma pluralidade de microprocessadores, um ou mais microprocessadores em conjunto com um núcleo DSP ou qualquer outra tal configuração.[0045] The various logic blocks, modules, and illustrative circuits described, in connection with the embodiments disclosed herein, can be implemented or realized with a general purpose processor, a digital signal processor (DSP), an integrated circuit of specific application (ASIC), a field-programmable gate array (FPGA) or other programmable logic device, discrete gate or transistor logic, discrete hardware components, or any combination thereof, designed to perform the functions described in this document. A general purpose processor can be a microprocessor, but alternatively, the processor can be any conventional processor, controller, microcontroller, or state machine. A processor may also be deployed as a combination of computing devices, for example, a combination of a DSP and a microprocessor, a plurality of microprocessors, one or more microprocessors together with a DSP core, or any other such configuration.
[0046] As etapas de um método ou algoritmo descritas em conexão com as modalidades reveladas no presente documento podem ser embutidas diretamente em um hardware, em um módulo de software executado por um processador ou em uma combinação dos dois. Um módulo de software pode residir em uma memória RAM, memória flash, memória ROM, memória EPROM, memória EEPROM, registros, disco rígido, um disco removível, um CD- ROM ou qualquer outra forma ou meio de armazenamento conhecido na técnica. Um meio de armazenamento exemplificativo é acoplado ao processador de modo que o processador possa ler as informações a partir, e escrever informações ao, do meio de armazenamento. Em alternativa, o meio de armazenamento pode se parte integrante do processador. O processador e o meio de armazenamento podem residir em um ASIC. O ASIC pode residir em um terminal de usuário. Em alternativa, o processador e o meio de armazenamento podem residir como componentes discretos em um terminal de usuário.[0046] The steps of a method or algorithm described in connection with the modalities disclosed in this document can be embedded directly in a hardware, in a software module executed by a processor or in a combination of the two. A software module may reside in RAM memory, flash memory, ROM memory, EPROM memory, EEPROM memory, registers, hard disk, a removable disk, a CD-ROM, or any other form or storage medium known in the art. An exemplary storage medium is coupled to the processor so that the processor can read information from, and write information to, the storage medium. Alternatively, the storage medium may be an integral part of the processor. The processor and storage medium can reside on an ASIC. The ASIC can reside on a user terminal. Alternatively, the processor and storage medium can reside as discrete components in a user terminal.
[0047] Em uma ou mais modalidades exemplificativas, as funções descritas podem ser implantadas em um hardware, software, firmware, ou qualquer combinação disso. Se implantado em um software como um produto de programa de computador, as funções podem ser armazenadas em, ou transmitidas sobre, como uma ou mais instruções ou códigos em um meio legível por computador. A mídia legível por computador inclui ambas uma mídia de armazenamento de computador e uma mídia de comunicação que inclui qualquer meio que facilite a transferência de um programa de computador a partir de um lugar a outro. Uma mídia de armazenamento pode ser qualquer mídia disponível que possa ser acessada por um computador. Por meio de exemplo, e não limitação, tal mídia legível por computador pode compreender RAM, ROM, EEPROM, CD-ROM ou outro armazenamento de disco ótico, armazenamento de disco magnético ou outros dispositivos de armazenamento magnéticos ou qualquer outro meio que possa ser usado para carregar ou armazenar um código de programa desejado na forma de instruções ou estrutura de dados e que possa ser acessado por um computador. Também, qualquer conexão é apropriadamente chamada de um meio legível por computador. Por exemplo, se o software for transmitido a partir de um site da Web, servidor, ou outra fonte remota que usa um cabo coaxial, cabo de fibra ótica, par trançado, linha de assinatura digital (DSL) ou tecnologias sem fio tais como infravermelho, rádio, e micro-ondas, então o cabo coaxial, cabo de fibra ótica, par trançado, DSL, ou tecnologias sem fio tais como infravermelho, rádio, e microondas são incluídas na definição de meio. Disco magnético e disco óptico, como usado no presente documento, incluem disco compacto (CD), disco a laser, disco óptico, disco versátil digital (DVD), disquete e disco Blu-ray, onde discos magnéticos geralmente reproduzem dados magneticamente, enquanto discos ópticos reproduzem dados oticamente com lasers. Combinações do que precede também devem ser incluídas dentro do escopo da mídia legível por computador.[0047] In one or more exemplary modalities, the functions described can be implemented in hardware, software, firmware, or any combination thereof. If deployed in software as a computer program product, functions may be stored in, or transmitted over, one or more instructions or codes on a computer-readable medium. Computer readable media includes both a computer storage media and a communication media which includes any medium that facilitates the transfer of a computer program from one place to another. A storage media can be any available media that can be accessed by a computer. By way of example, and not limitation, such computer-readable media may comprise RAM, ROM, EEPROM, CD-ROM or other optical disk storage, magnetic disk storage or other magnetic storage devices or any other medium that may be used to load or store a desired program code in the form of instructions or data structure and which can be accessed by a computer. Also, any connection is appropriately called a computer-readable medium. For example, if the software is transmitted from a website, server, or other remote source that uses coaxial cable, fiber optic cable, twisted pair, digital signature line (DSL) or wireless technologies such as infrared , radio, and microwave, so coaxial cable, fiber optic cable, twisted pair, DSL, or wireless technologies such as infrared, radio, and microwave are included in the medium definition. Magnetic disk and optical disk, as used herein, include compact disk (CD), laser disk, optical disk, digital versatile disk (DVD), floppy disk, and Blu-ray disk, where magnetic disks generally reproduce data magnetically, while discs Optical devices reproduce data optically with lasers. Combinations of the foregoing should also be included within the scope of computer readable media.
[0048] A descrição anterior das modalidades reveladas é fornecida para permitir que qualquer pessoa com habilidade na técnica faça ou use a presente invenção. Várias modificações a estas modalidades serão prontamente aparentes a aqueles com habilidade na técnica, e os princípios genéricos definidos no presente documento também podem ser aplicados a outras modalidades sem desviar a partir do espírito ou escopo da invenção. Assim, a presente invenção não se destina a ser limitada às modalidades mostradas no presente documento, mas sim para ser concedido o escopo mais amplo consistente com os princípios e características inovadoras reveladas no presente documento.[0048] The foregoing description of the disclosed embodiments is provided to enable any person skilled in the art to make or use the present invention. Various modifications to these embodiments will be readily apparent to those skilled in the art, and the generic principles defined herein may also be applied to other embodiments without departing from the spirit or scope of the invention. Thus, the present invention is not intended to be limited to the embodiments shown herein, but rather to be granted the broadest scope consistent with the principles and innovative features disclosed herein.
Claims (13)
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US32464610P | 2010-04-15 | 2010-04-15 | |
US61/324,646 | 2010-04-15 | ||
US13/084,378 | 2011-04-11 | ||
US13/084,378 US9197669B2 (en) | 2010-04-15 | 2011-04-11 | Apparatus and method for signaling enhanced security context for session encryption and integrity keys |
PCT/US2011/032755 WO2011130682A2 (en) | 2010-04-15 | 2011-04-15 | Apparatus and method for signaling enhanced security context for session encryption and integrity keys |
Publications (2)
Publication Number | Publication Date |
---|---|
BR112012026136A2 BR112012026136A2 (en) | 2016-06-28 |
BR112012026136B1 true BR112012026136B1 (en) | 2021-09-21 |
Family
ID=44584594
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
BR112012026136-3A BR112012026136B1 (en) | 2010-04-15 | 2011-04-15 | APPARATUS AND METHOD TO SIGNAL AN IMPROVED SECURITY CONTEXT FOR ENCRYPTION AND SESSION INTEGRITY KEYS |
Country Status (16)
Country | Link |
---|---|
EP (1) | EP2559276A2 (en) |
JP (2) | JP5795055B2 (en) |
KR (1) | KR101474093B1 (en) |
CN (1) | CN102835136B (en) |
AU (1) | AU2011239422B2 (en) |
BR (1) | BR112012026136B1 (en) |
CA (1) | CA2795358C (en) |
HK (1) | HK1177861A1 (en) |
IL (1) | IL222384A (en) |
MX (1) | MX2012011985A (en) |
MY (1) | MY171059A (en) |
RU (1) | RU2555227C2 (en) |
SG (1) | SG184442A1 (en) |
TW (1) | TWI450557B (en) |
UA (1) | UA108099C2 (en) |
WO (1) | WO2011130682A2 (en) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DK3493464T3 (en) | 2015-07-02 | 2021-03-08 | Gn Hearing As | Client device with certificate and related method |
WO2017060245A1 (en) | 2015-10-05 | 2017-04-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless communications |
EP3395034B1 (en) * | 2015-12-21 | 2019-10-30 | Koninklijke Philips N.V. | Network system for secure communication |
SG10201605752PA (en) | 2016-07-13 | 2018-02-27 | Huawei Int Pte Ltd | A unified authentication work for heterogeneous network |
JP2019527509A (en) * | 2016-07-18 | 2019-09-26 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Encryption security and integrity protection |
EP3937513A1 (en) | 2016-12-08 | 2022-01-12 | GN Hearing A/S | Hearing system, devices and method of securing communication for a user application |
CN110235458B (en) * | 2017-01-30 | 2022-10-28 | 瑞典爱立信有限公司 | Method, network node and medium for handling changes to serving AMF for UE |
US10893568B2 (en) | 2017-08-18 | 2021-01-12 | Huawei Technologies Co., Ltd. | Location and context management in a RAN INACTIVE mode |
US10939288B2 (en) * | 2018-01-14 | 2021-03-02 | Qualcomm Incorporated | Cellular unicast link establishment for vehicle-to-vehicle (V2V) communication |
CN112616145B (en) * | 2018-04-04 | 2022-09-13 | 中兴通讯股份有限公司 | Techniques for managing integrity protection |
CN114071466A (en) * | 2018-08-10 | 2022-02-18 | 华为技术有限公司 | User plane integrity protection method, device and equipment |
CN112055984A (en) * | 2019-04-08 | 2020-12-08 | 联发科技(新加坡)私人有限公司 | Recovery of 5G non-access stratum from non-access stratum transparent container failure |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6986040B1 (en) * | 2000-11-03 | 2006-01-10 | Citrix Systems, Inc. | System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel |
US7873163B2 (en) * | 2001-11-05 | 2011-01-18 | Qualcomm Incorporated | Method and apparatus for message integrity in a CDMA communication system |
KR100975685B1 (en) * | 2005-02-04 | 2010-08-12 | 콸콤 인코포레이티드 | Secure bootstrapping for wireless communications |
US7739199B2 (en) * | 2005-11-07 | 2010-06-15 | Harsch Khandelwal | Verification of a testimonial |
US7752441B2 (en) * | 2006-02-13 | 2010-07-06 | Alcatel-Lucent Usa Inc. | Method of cryptographic synchronization |
CN101406024A (en) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | Security considerations for the LTE of UMTS |
US9106409B2 (en) | 2006-03-28 | 2015-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling keys used for encryption and integrity |
AU2007232622B2 (en) * | 2006-03-31 | 2010-04-29 | Samsung Electronics Co., Ltd. | System and method for optimizing authentication procedure during inter access system handovers |
KR101338477B1 (en) * | 2006-04-19 | 2013-12-10 | 한국전자통신연구원 | The efficient generation method of authorization key for mobile communication |
PL2099584T3 (en) * | 2006-07-18 | 2018-01-31 | Kistler Holding Ag | Joining unit |
US8094817B2 (en) * | 2006-10-18 | 2012-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
FI20070094A0 (en) * | 2007-02-02 | 2007-02-02 | Nokia Corp | Changing the radio overlay security algorithm during a handover |
EP1973265A1 (en) * | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
CN101304600B (en) * | 2007-05-08 | 2011-12-07 | 华为技术有限公司 | Method and system for negotiating safety capability |
CN101309500B (en) * | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | Security negotiation method and apparatus when switching between different wireless access technologies |
KR100924168B1 (en) * | 2007-08-07 | 2009-10-28 | 한국전자통신연구원 | Method for generating authorization key and method for negotiating authorization in communication system based frequency overlay |
CN103220674B (en) * | 2007-09-03 | 2015-09-09 | 华为技术有限公司 | A kind of method, system and device of preventing degraded attack when terminal moving |
CN101232736B (en) * | 2008-02-22 | 2012-02-29 | 中兴通讯股份有限公司 | Method for setting initialization of cryptographic key existence counter among different access systems |
-
2011
- 2011-04-15 JP JP2013505195A patent/JP5795055B2/en active Active
- 2011-04-15 CN CN201180018855.1A patent/CN102835136B/en not_active Expired - Fee Related
- 2011-04-15 CA CA2795358A patent/CA2795358C/en active Active
- 2011-04-15 KR KR1020127029828A patent/KR101474093B1/en not_active IP Right Cessation
- 2011-04-15 TW TW100113219A patent/TWI450557B/en active
- 2011-04-15 SG SG2012073748A patent/SG184442A1/en unknown
- 2011-04-15 RU RU2012148506/08A patent/RU2555227C2/en active
- 2011-04-15 AU AU2011239422A patent/AU2011239422B2/en active Active
- 2011-04-15 WO PCT/US2011/032755 patent/WO2011130682A2/en active Application Filing
- 2011-04-15 BR BR112012026136-3A patent/BR112012026136B1/en active IP Right Grant
- 2011-04-15 EP EP11738847A patent/EP2559276A2/en not_active Withdrawn
- 2011-04-15 MX MX2012011985A patent/MX2012011985A/en active IP Right Grant
- 2011-04-15 MY MYPI2012004417A patent/MY171059A/en unknown
- 2011-04-15 UA UAA201212984A patent/UA108099C2/en unknown
-
2012
- 2012-10-11 IL IL222384A patent/IL222384A/en active IP Right Grant
-
2013
- 2013-04-22 HK HK13104841.8A patent/HK1177861A1/en unknown
-
2015
- 2015-05-13 JP JP2015098276A patent/JP6069407B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
RU2012148506A (en) | 2014-05-20 |
IL222384A0 (en) | 2012-12-31 |
AU2011239422B2 (en) | 2014-05-08 |
JP2013524741A (en) | 2013-06-17 |
CN102835136B (en) | 2016-04-06 |
TWI450557B (en) | 2014-08-21 |
AU2011239422A1 (en) | 2012-11-08 |
WO2011130682A2 (en) | 2011-10-20 |
HK1177861A1 (en) | 2013-08-30 |
TW201206139A (en) | 2012-02-01 |
SG184442A1 (en) | 2012-11-29 |
CA2795358C (en) | 2017-12-19 |
KR20130018299A (en) | 2013-02-20 |
KR101474093B1 (en) | 2014-12-17 |
UA108099C2 (en) | 2015-03-25 |
MY171059A (en) | 2019-09-23 |
MX2012011985A (en) | 2012-12-17 |
JP5795055B2 (en) | 2015-10-14 |
CN102835136A (en) | 2012-12-19 |
CA2795358A1 (en) | 2011-10-20 |
RU2555227C2 (en) | 2015-07-10 |
IL222384A (en) | 2017-02-28 |
JP6069407B2 (en) | 2017-02-01 |
WO2011130682A3 (en) | 2012-03-01 |
BR112012026136A2 (en) | 2016-06-28 |
EP2559276A2 (en) | 2013-02-20 |
JP2015180095A (en) | 2015-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9084110B2 (en) | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network | |
BR112012026136B1 (en) | APPARATUS AND METHOD TO SIGNAL AN IMPROVED SECURITY CONTEXT FOR ENCRYPTION AND SESSION INTEGRITY KEYS | |
US9197669B2 (en) | Apparatus and method for signaling enhanced security context for session encryption and integrity keys | |
US9191812B2 (en) | Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node | |
JP5398934B2 (en) | Apparatus and method for migrating an extended security context from a UTRAN-based serving network to a GERAN-based serving network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
B06F | Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette] | ||
B06U | Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette] | ||
B15K | Others concerning applications: alteration of classification |
Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04W 12/04 , H04L 29/06 Ipc: H04W 12/04 (2009.01), H04L 29/06 (2006.01), H04W 8 |
|
B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 15/04/2011, OBSERVADAS AS CONDICOES LEGAIS. PATENTE CONCEDIDA CONFORME ADI 5.529/DF, QUE DETERMINA A ALTERACAO DO PRAZO DE CONCESSAO. |