BR112018005017B1 - Aparelho e método para procedimento de mobilidade envolvendo relocação de entidade de gerenciamento de mobilidade - Google Patents

Aparelho e método para procedimento de mobilidade envolvendo relocação de entidade de gerenciamento de mobilidade Download PDF

Info

Publication number
BR112018005017B1
BR112018005017B1 BR112018005017-2A BR112018005017A BR112018005017B1 BR 112018005017 B1 BR112018005017 B1 BR 112018005017B1 BR 112018005017 A BR112018005017 A BR 112018005017A BR 112018005017 B1 BR112018005017 B1 BR 112018005017B1
Authority
BR
Brazil
Prior art keywords
key
mme
network
control plane
target
Prior art date
Application number
BR112018005017-2A
Other languages
English (en)
Other versions
BR112018005017A2 (pt
Inventor
Soo Bum Lee
Adrian Edward Escott
Gavin Bernard Horn
Anand Palanigounder
Original Assignee
Qualcomm Incorporated
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Incorporated filed Critical Qualcomm Incorporated
Publication of BR112018005017A2 publication Critical patent/BR112018005017A2/pt
Publication of BR112018005017B1 publication Critical patent/BR112018005017B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0064Transmission or use of information for re-establishing the radio link of control information between different access points
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

APARELHO E MÉTODO PARA PROCEDIMENTO DE MOBILIDADE ENVOLVENDO RELOCAÇÃO DE ENTIDADE DE GERENCIAMENTO DE MOBILIDADE. Um dispositivo que identifica a entrada em uma nova área de serviço, transmite uma solicitação de atualização de área de serviço para um dispositivo de rede associado com uma rede, recebe uma mensagem de plano de controle a partir da rede indicando a relocação de dispositivo de plano de controle ou uma renovação de chave devido a uma mudança de área de serviço em resposta à transmissão da solicitação de atualização de área de serviço, e deriva uma primeira chave com base em parte nos dados incluídos na mensagem de plano de controle e em uma segunda chave compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave. Outro dispositivo que recebe um comando de transferência a partir de um dispositivo de rede associado com uma rede, o comando de transferência indicando uma nova área de serviço, deriva uma primeira chave com base em dados incluídos no comando de transferência e em uma segunda chave compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave, e envia uma mensagem de confirmação de transferência que é segura com base na primeira chave.

Description

[0001] Este pedido reivindica a prioridade e o benefício do Pedido Provisório N° 62/218.863 depositado no Escritório de Patentes e Marcas Registradas dos Estados Unidos em 15 de Setembro de 2015, e Pedido não Provisório N° 15/089.396 depositado Escritório de Patentes e Marcas Registradas dos Estados Unidos em 01 Abril de 2016, cujos conteúdos integrais são aqui incorporados mediante referência.
FUNDAMENTOS CAMPO
[0002] A presente descrição refere-se geralmente a aparelhos e métodos para procedimentos aperfeiçoados de mobilidade envolvendo relocação de entidade de gerenciamento de mobilidade (MME).
FUNDAMENTOS
[0003] Uma arquitetura de rede celular atual, mostrada na Figura 1, utiliza uma entidade de gerenciamento de mobilidade (MME) 110 para implementar procedimentos para controlar o acesso à rede celular por um equipamento de usuário (UE) 120. Tipicamente, a MME pertence e é operada por um provedor de serviço de rede (operador de sistema) como um elemento de rede de núcleo, e é localizada em uma localização segura, controlada pelo provedor de serviço de rede. A rede de núcleo 100 tem um plano de controle incluindo um Servidor de Assinante Doméstico (HSS) 130 e a MME, e um plano de usuário incluindo um Portal (PGW) de Rede de Dados em Pacote (PDN) 140 e um Portal Servidor (SGW) 150. A MME é conectada a um Nó B Evoluído (eNóB) 160. O eNóB fornece interfaces de rádio, RRC 180 e PDCP/RLC 190, com o UE.
[0004] Nas futuras arquiteturas de rede celular é previsto que as MMEs 110 ou componentes de rede que desempenham muitas das funções das MMEs 110 serão empurradas na direção da borda de rede onde elas são menos seguras porque são fisicamente mais acessíveis e/ou não são isoladas de outros operadores de rede. Quando as funções de rede são movidas para, por exemplo, a nuvem (por exemplo, a Internet), pode não ser suposto que elas estejam seguras porque podem ter um menor nível de isolamento físico, ou nenhum isolamento físico. Além disso, equipamento de rede pode não ser possuído por um único provedor de serviço de rede. Como exemplo, múltiplas instâncias de MME podem ser hospedadas com um único dispositivo de hardware físico. Como um resultado, as chaves enviadas para as MMEs podem necessitar de renovação mais frequentemente e assim pode não ser aconselhável encaminhar os vetores de autenticação (AVs) para as MMEs.
[0005] Há uma necessidade de aparelhos e métodos que forneçam segurança adicional para as arquiteturas de rede celular do futuro em que funções de MME são executadas próximo à borda de rede.
SUMÁRIO
[0006] Uma característica provê um dispositivo (por exemplo, dispositivo de usuário) que compreende uma interface de comunicação sem fio adaptada para transmitir e receber dados sem fio para e a partir de uma rede, e um circuito de processamento comunicativamente acoplado à interface de comunicação sem fio. O circuito de processamento pode ser adaptado para identificar a entrada em uma nova área de serviço, transmitir uma solicitação de atualização de área de serviço para um dispositivo de rede, associado com a rede, receber uma mensagem de plano de controle da rede indicando a relocação de dispositivo de plano de controle ou uma renovação de chave devido a uma mudança de área de serviço em resposta à transmissão de solicitação de atualização de área de serviço, e derivar uma primeira chave com base em parte em dados incluídos na mensagem de plano de controle, recebida e em uma segunda chave compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave, o dispositivo de gerenciamento de chave associado com a rede. De acordo com um aspecto, a mensagem de plano de controle é recebida de um dispositivo de plano de controle alvo devido à mudança de área de serviço, o dispositivo de plano de controle alvo sendo um dispositivo de plano de controle diferente daquele atualmente servindo o dispositivo. De acordo com outro aspecto, os dados incluídos na mensagem de plano de controle incluem um identificador de dispositivo de plano de controle que identifica um dispositivo de plano de controle que está e/ou irá servir o dispositivo.
[0007] De acordo com um aspecto, derivar a primeira chave adicionalmente se baseia em parte na Contagem de Chave de valor de contador mantida no dispositivo de gerenciamento de chave e incluída na mensagem de plano de controle. De acordo com outro aspecto, o circuito de processamento é adicionalmente adaptado para derivar pelo menos um dentre uma Chave KeNB de Nó B evoluído (eNB), uma Chave de estrato de não-acesso KNAS, e/ou uma chave de próximo salto (NH) com base na primeira chave para comunicações seguras entre o dispositivo e a rede. De acordo com ainda outro aspecto, a nova área de serviço é pelo menos uma de uma nova área de rastreamento e/ou uma nova área de roteamento, e a solicitação de atualização de área de serviço é associada com pelo menos uma dentre uma atualização de área de monitoramento e/ou uma atualização de área de roteamento.
[0008] De acordo com um aspecto, a mensagem de plano de controle é um comando de modo de segurança, o dispositivo de plano de controle alvo é uma entidade de gerenciamento de mobilidade alvo (MME), o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão (SKMF), e a segunda chave é uma chave de raiz de sessão para uma sessão de autenticação. De acordo com outro aspecto, um dispositivo de plano de controle mantém um contexto de gerenciamento de mobilidade e um contexto de gerenciamento de sessão para o dispositivo, e o dispositivo de gerenciamento de chave mantém a segunda chave.
[0009] Outra característica provê um dispositivo compreendendo uma interface de comunicação sem fio adaptada para transmitir e receber dados sem fio para uma rede, e um circuito de processamento acoplado em comunicação com a interface de comunicação sem fio. O circuito de processamento é adaptado para receber um comando de handover de um dispositivo de rede, associado com a rede, o comando de handover indicando uma nova área de serviço, derivando uma primeira chave com base em dados incluídos no comando de handover e em uma segunda chave compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave, o dispositivo de gerenciamento de chave associado com a rede, e enviar uma mensagem de confirmação de handover que é segura com base na primeira chave. De acordo com um aspecto, o comando de handover inclui um identificador de dispositivo de plano de controle alvo associado com um dispositivo de plano de controle alvo servindo a um nó de acesso de rádio alvo que está e/ou irá servir o dispositivo. De acordo com outro aspecto, derivar a primeira chave se baseia em parte no identificador de dispositivo de plano de controle alvo.
[0010] De acordo com um aspecto, o dispositivo de plano de controle alvo é uma entidade de gerenciamento de mobilidade alvo (MME), o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão (SKMF), e o identificador de dispositivo de plano de controle alvo é um identificador de MME associado com a MME alvo de acordo com outro aspecto, derivar a primeira chave se baseia adicionalmente em parte em uma Contagem de Chave de valor de contador mantida no dispositivo de gerenciamento de chave. De acordo com ainda outro aspecto, a segunda chave é uma chave de raiz de sessão para uma sessão de autenticação.
[0011] Outra característica provê um dispositivo de rede associado com uma rede, o dispositivo de rede compreendendo uma interface de comunicação adaptada para transmitir e receber informações, e um circuito de processamento comunicativamente acoplado à interface de comunicação. O circuito de processamento é adaptado para receber uma solicitação de atualização de área de serviço de um dispositivo para o qual o dispositivo de rede não tem um contexto de dispositivo ou o dispositivo mudou as áreas de serviço, transmitir uma solicitação para uma primeira chave para um dispositivo de gerenciamento de chave, receber a primeira chave do dispositivo de gerenciamento de chave, a primeira chave baseada em parte em uma segunda chave compartilhada entre o dispositivo de gerenciamento de chave e o dispositivo, e transmitir uma mensagem de plano de controle para o dispositivo que inclui os dados permitindo que o dispositivo derive a primeira chave. De acordo com um aspecto, o dispositivo de rede é uma entidade de gerenciamento de mobilidade (MME) e a primeira chave se baseia adicionalmente em um identificador de MME que identifica a MME. De acordo com outro aspecto, o circuito de processamento é adicionalmente adaptado para transmitir uma solicitação de contexto de dispositivo para um dispositivo de plano de controle anterior que previamente serviu o dispositivo se o dispositivo de rede não tem o contexto de dispositivo, e receber o contexto a partir do dispositivo de plano de controle em resposta à transmissão da solicitação de contexto de dispositivo.
[0012] De acordo com um aspecto, os dados incluem um identificador de dispositivo de plano de controle que identifica o dispositivo de rede. De acordo com outro aspecto, o circuito de processamento é adicionalmente adaptado para receber Contagem de Chave de valor de contador do dispositivo de gerenciamento de chave juntamente com a primeira chave, e a contagem de chave inclui o valor de contador nos dados transmitidos para o dispositivo. De acordo com ainda outro aspecto, o circuito de processamento é adicionalmente adaptado para transmitir uma atualização de área de serviço para o dispositivo após receber a notificação do dispositivo de que a mensagem de plano de controle foi recebida com sucesso.
[0013] De acordo com um aspecto, a solicitação de atualização de área de serviço é associada com pelo menos uma dentre uma atualização de área de monitoramento e/ou uma atualização de área de roteamento e alterar as áreas de serviço inclui pelo menos uma de mudar as áreas de rastreamento e/ou mudar as áreas de roteamento. De acordo com outro aspecto, a mensagem de plano de controle é um comando de modo de segurança de estrato de não acesso, o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão (SKMF), o dispositivo é um dispositivo de equipamento de usuário, o contexto é um contexto de equipamento de usuário associado com o equipamento de usuário, e a segunda chave é uma chave de raiz de sessão para uma sessão de autenticação.
[0014] Outra característica provê um dispositivo de rede associado com uma rede, o dispositivo de rede compreendendo uma interface de comunicação adaptada para transmitir e receber informações, e um circuito de processamento comunicativamente acoplado à interface de comunicação. O circuito de processamento é adaptado para receber uma solicitação de relocação direta no dispositivo de rede a partir de um plano de controle de origem, transmitir uma solicitação para uma primeira chave para um dispositivo de gerenciamento de chave, receber a primeira chave do dispositivo de gerenciamento de chave, a primeira chave com base em parte em uma segunda chave compartilhada entre o dispositivo de gerenciamento de chave e um dispositivo, e transmitir uma solicitação de handover para um nó de acesso de rádio alvo (RAN) com uma chave de sessão RAN derivada a partir da primeira chave. De acordo com um aspecto, o circuito de processamento é adicionalmente adaptado para receber uma mensagem de confirmação de solicitação de handover de RAN alvo indicando que a RAN alvo servirá o dispositivo. De acordo com outro aspecto, o circuito de processamento é adicionalmente adaptado para transmitir uma mensagem de confirmação para o dispositivo de gerenciamento de chave indicando o recebimento da primeira chave somente após receber a mensagem de confirmação de solicitação de handover de RAN alvo.
[0015] De acordo com um aspecto, o circuito de processamento é adicionalmente adaptado para transmitir uma resposta de relocação direta para o dispositivo de plano de controle de origem que inclui dados utilizados pelo dispositivo para derivar a primeira chave. De acordo com outro aspecto, o dispositivo de rede é um dispositivo de plano de controle alvo que servirá o dispositivo e os dados incluem um identificador de dispositivo de plano de controle alvo que identifica o dispositivo de plano de controle alvo. De acordo com ainda outro aspecto, o dispositivo de plano de controle alvo é uma entidade de gerenciamento de mobilidade alvo (MME), o dispositivo de plano de controle de origem é uma MME de origem, o identificador de dispositivo de plano de controle alvo é um identificador MME globalmente único (GUMMEI), o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão (SKMF), e o dispositivo é um equipamento de usuário.
[0016] De acordo com um aspecto, os dados incluem a Contagem de Chave de valor de contador mantida no dispositivo de gerenciamento de chave. De acordo com outro aspecto, o circuito de processamento adaptado para receber a primeira chave do dispositivo de gerenciamento de chave é ainda adaptado para receber um Contagem de Chave de valor de contador juntamente com a primeira chave.
[0017] Outra característica provê um método operacional em um dispositivo para efetuar atualizações de área de rastreamento envolvendo a relocação de entidade de gerenciamento de mobilidade (MME) ou uma mudança de área de rastreamento, o método compreendendo identificar entrada em uma nova área de rastreamento, transmitir uma solicitação de atualização de área de monitoramento (TAU) para um dispositivo de rede associado com uma rede de comunicação sem fio, receber um comando de modo de segurança do dispositivo de rede indicando relocação de MME ou uma renovação de chave devido a uma mudança de área de rastreamento em resposta à transmissão da solicitação TAU, e derivar uma primeira chave KASME com base em parte em dados incluídos no modo de segurança comando recebido. De acordo com um aspecto, o comando de modo de segurança é enviado por uma MME para renovar a primeira chave KASME. De acordo com outro aspecto, o comando de modo de segurança é enviado por uma MME alvo devido à mudança da área de monitoramento.
[0018] De acordo com um aspecto, os dados incluídos no comando de modo de segurança incluem um identificador MME. De acordo com outro aspecto, O identificador de MME é um identificador globalmente único (MME GUMMEI) de acordo com ainda outro aspecto, derivar a primeira Chave KASME se baseia em parte na GUMMEI.
[0019] De acordo com um aspecto, derivar a primeira chave KASME se baseia adicionalmente em parte em uma segunda Chave KASME compartilhado entre o dispositivo e um dispositivo de função de gerenciamento de chave de sessão (SKMF). De acordo com outro aspecto, derivar a primeira Chave KASME se baseia adicionalmente em parte em Contagem de Chave de valor de contador mantida no dispositivo SKMF. De acordo com ainda outro aspecto, os dados incluídos no comando de modo de segurança incluem adicionalmente o contador de Chave de valor de contador.
[0020] De acordo com um aspecto, o método também compreende receber uma mensagem de atualização de área de monitoramento a partir do dispositivo de rede. De acordo com outro aspecto, o método compreende ainda descriptografar a mensagem de atualização de área de monitoramento usando uma ou mais chaves derivadas da primeira Chave KASME. De acordo com ainda outro aspecto, a mensagem de atualização de área de monitoramento inclui um novo identificador temporário globalmente singular (GUTI).
[0021] Outra característica provê um dispositivo compreendendo uma interface de comunicação sem fio adaptado para transmitir e receber dados sem fio com um dispositivo de rede associado com uma rede de comunicação sem fio, e um circuito de processamento acoplado em comunicação com a interface de comunicação sem fio, o circuito de processamento adaptada para identificar a entrada em uma nova área de rastreamento, transmitir uma atualização de área de monitoramento (TAU) requisição para o dispositivo de rede associado com a rede de comunicação sem fios, receber um comando de modo de segurança do dispositivo de rede indicando a relocação de entidade de gerenciamento de mobilidade (MME) ou uma renovação de chave devido a uma mudança de área de rastreamento em resposta à transmissão da solicitação de TAU, e derivar uma primeira chave KASME com base em parte em dados incluídos no modo de segurança comando recebido.
[0022] Outra característica provê um dispositivo compreendendo meios para identificar entrada em uma nova área de rastreamento, meios para transmitir uma solicitação de atualização de área de monitoramento (TAU) para um dispositivo de rede associado com uma rede de comunicação sem fio, meios para receber um comando de modo de segurança a partir do dispositivo de rede indicando a relocação de entidade de gerenciamento de mobilidade (MME) ou uma renovação de chave devido a uma mudança de área de rastreamento em resposta ao transmitir a solicitação TAU, e meio para derivar uma primeira chave KASME com base em parte em dados incluídos no modo de segurança comando recebido.
[0023] Outra característica provê não transitório meio de armazenamento legível por computador tendo instruções para executar atualizações de área de rastreamento envolvendo a relocação de entidade de gerenciamento de mobilidade (MME) ou uma mudança de área de monitoramento neles armazenados, as instruções quando executadas por pelo menos um processador, faz com que o processador identifique entrada em uma nova área de rastreamento, transmitem uma solicitação de atualização de área de monitoramento (TAU) para um dispositivo de rede associado com uma rede de comunicação sem fio, receber um comando de modo de segurança do dispositivo de rede indicando relocação de MME ou uma renovação de chave devido a uma mudança de área de rastreamento em resposta à transmissão da solicitação TAU, e derivar uma primeira chave KASME com base em parte em dados incluídos no modo de segurança comando recebido.
[0024] Outra característica provê um método operacional em um dispositivo para realizar a transferência envolvendo relocação de entidade de gerenciamento de mobilidade (MME) ou uma mudança de área de rastreamento, o método compreendendo receber um comando de handover de um dispositivo de rede indicando uma nova área de rastreamento, derivar uma primeira chave KASME com base em dados incluídos no comando de handover, e enviar uma mensagem de confirmação de handover segura com base na primeira chave KASME. De acordo com um aspecto o método compreende também verificar o comando de handover antes de derivar a primeira chave KASME. De acordo com outro aspecto, o comando de handover inclui um alvo identificador de MME associado com uma MME alvo servindo o dispositivo de rede.
[0025] De acordo com um aspecto, derivar a primeira chave KASME se baseia em parte no alvo identificador de MME. De acordo com outro aspecto, o identificador alvo de MME é um identificador MME globalmente único (GUMMEI) associado com a MME alvo servindo o dispositivo de rede. De acordo com ainda outro aspecto, derivar a primeira chave KASME se baseia adicionalmente em parte em uma segunda chave SKMF compartilhada entre o dispositivo e um dispositivo de função de gerenciamento de chave de sessão (SKMF) servindo a MME alvo.
[0026] De acordo com um aspecto, derivar a primeira chave KASME se baseia adicionalmente em parte em Contagem de Chave de valor de contador mantida no dispositivo SKMF. De acordo com outro aspecto, os dados incluídos no comando de handover ainda incluem a Contagem de Chave de valor de contador.
[0027] Outra característica provê um dispositivo compreendendo uma interface de comunicação sem fio adaptado para transmitir e receber dados sem fio com um dispositivo de rede associado com uma rede de comunicação sem fio, e um circuito de processamento acoplado em comunicação com a interface de comunicação sem fio, o circuito de processamento adaptada para receber um comando de handover a partir do dispositivo de rede indicando uma nova área de rastreamento, derivar uma primeira chave KASME com base em dados incluídos no comando de handover, e enviar uma mensagem de confirmação de handover segura com base na primeira chave KASME.
[0028] Outra característica provê um dispositivo compreendendo meios para receber um comando de handover de um dispositivo de rede indicando uma nova área de rastreamento, meios para derivar uma primeira chave KASME com base em dados incluídos no comando de handover, e meio para enviar uma mensagem de confirmação de handover segura com base na primeira chave KASME.
[0029] Outra característica provê meio de armazenamento legível por computador não transitório tendo instruções para realizar transferência envolvendo a relocação de entidade de gerenciamento de mobilidade (MME) ou uma mudança de área de monitoramento nele armazenada, as instruções, quando executadas por pelo menos um processador faz com que o processador para receber um comando de handover de um dispositivo de rede indicando uma nova área de monitoramento, derivar uma primeira chave KASME com base em dados incluídos no comando de handover, e enviar uma mensagem de confirmação de handover segura com base na primeira chave KASME.
[0030] Outro aspecto fornece um método para realizar uma atualização de área de monitoramento envolvendo a relocação de entidade de gerenciamento de mobilidade (MME) ou uma mudança de área de rastreamento na MME, o método compreendendo receber uma solicitação de atualização de área de monitoramento (TAU) do equipamento do usuário (UE) para que a MME não tenha um contexto de UE associado com o UE ou que o UE alterou áreas de rastreamento, transmitir uma solicitação para uma primeira chave KASME para um dispositivo de função de gerenciamento de chave de sessão (SKMF), receber a primeira chave SKMF KASME do dispositivo, e transmitir um comando de modo de segurança de estrato de não acesso (NAS) (SMC) ao UE que inclui os dados permitindo ao UE derivar a primeira chave KASME. De acordo com um aspecto, o método compreende ainda transmitir uma solicitação de contexto de UE para uma MME de origem que previamente apresentado o UE se a MME não tem o contexto de UE. De acordo com outro aspecto, o método também compreende receber o contexto do UE MME de origem em resposta à transmissão da solicitação de contexto de UE. De acordo com ainda outro aspecto, o método compreende ainda transmitir uma confirmação para o dispositivo de chave SKMF após receber a primeira chave KASME.
[0031] De acordo com um aspecto, os dados incluem um identificador de MME que identifica a MME. De acordo com outro aspecto, o identificador de MME é um identificador MME globalmente único (GUMMEI). De acordo com ainda outro aspecto, os dados incluem uma Contagem de Chave de valor de contador mantida no dispositivo SKMF.
[0032] De acordo com um aspecto, receber a primeira chave KASME do dispositivo SKMF inclui ainda receber Contagem de Chave de valor de contador do dispositivo SKMF. De acordo com outro aspecto, o método compreende ainda transmitir uma atualização de área de monitoramento ao UE após receber a notificação do UE de que NAS SMC é completado com sucesso. De acordo com ainda outro aspecto, o método compreende ainda transmitir uma atualização de área de monitoramento criptografada para o UE simultaneamente com NAS SMC. De acordo com outro aspecto, transmitir o pedido para a primeira chave KASME inclui transmitir uma atualização de localização de UE.
[0033] Outra característica provê um dispositivo de rede associado com uma rede de comunicação sem fio, o dispositivo de rede compreendendo uma interface de comunicação adaptado para transmitir e receber informações, e um circuito de processamento comunicativamente acoplado à interface de comunicação, o circuito de processamento adaptada para receber uma solicitação de atualização de área de monitoramento (TAU) do equipamento do usuário (UE) para que o dispositivo de rede não tenha um contexto de UE associado com o UE ou que o UE alterou áreas de rastreamento, transmitir uma solicitação para uma primeira chave KASME para um dispositivo de função de gerenciamento de chave de sessão (SKMF), receber a primeira chave KASME do dispositivo SKMF e transmitir um comando de modo de segurança (SMC) de estrato de não acesso (NAS) para o UE que inclui os dados permitindo ao UE derivar a primeira chave KASME.
[0034] Outra característica provê um dispositivo de rede associado com uma rede de comunicação sem fio, o dispositivo de rede compreendendo meios para receber uma solicitação de atualização de área de monitoramento (TAU) do equipamento do usuário (UE) para que o dispositivo de rede não tenha um contexto de UE associado com o UE ou que o UE alterou as áreas de rastreamento; meios para transmitir uma solicitação para uma primeira chave KASME para um dispositivo de função de gerenciamento de chave de sessão (SKMF), meios para receber a primeira chave KASME do dispositivo SKMF, e meios para transmitir um comando de modo de segurança (SMC) de estrato de não-acesso (NAS) para o UE que inclui os dados permitindo ao UE derivar a primeira chave KASME.
[0035] Outro aspecto provê um meio de armazenamento legível por computador não transitório tendo instruções para realizar uma atualização de área de monitoramento envolvendo relocação de gerenciamento de mobilidade de entidade (MME) ou uma mudança de área de rastreamento da MME nele armazenada, as instruções, quando executadas por pelo menos um processador fazem com que o processador receba uma solicitação de atualização de área de monitoramento (TAU) do equipamento do usuário (UE) para que a MME não tenha um contexto de UE associado com o UE ou que o UE alterou áreas de rastreamento, transmita uma solicitação para uma primeira chave KASME para um dispositivo de função de gerenciamento de chave de sessão (SKMF), receba a primeira chave KASME do dispositivo SKMF e transmita um comando de modo de segurança (SMC) de estrato de não acesso (NAS) para o UE que inclui os dados permitindo ao UE derivar a primeira chave KASME.
[0036] Outro aspecto fornece um método para executar a transferência envolvendo a relocação de entidade de gerenciamento de mobilidade (MME) ou uma mudança de área de rastreamento na MME, o método compreendendo receber uma solicitação de relocação direta em uma MME alvo de uma MME de origem, transmitir uma solicitação para uma primeira chave KASME para um dispositivo de função de gerenciamento de chave de sessão (SKMF), receber a primeira chave KASME do dispositivo SKMF, e transmitir uma solicitação de handover para um nó de acesso de rádio alvo (RAN) com uma chave KeNB derivada a partir da primeira chave KASME. De acordo com um aspecto, o método compreende adicionalmente receber uma mensagem de confirmação de solicitação de handover de RAN alvo indicando que a RAN alvo irá servir um equipamento de usuário (UE). De acordo com outro aspecto, o método compreende ainda transmitir uma mensagem de confirmação para o recebimento da indicação SKMF da primeira chave KASME somente após receber a mensagem de confirmação de solicitação de handover de RAN alvo.
[0037] De acordo com um aspecto, o método compreende ainda transmitir uma resposta de relocação direta para a MME de origem que inclui dados utilizados por um UE para derivar a primeira chave KASME. De acordo com outro aspecto, os dados incluem um identificador de MME que identifica a MME alvo. De acordo com ainda outro aspecto, o identificador de MME é um identificador globalmente única MME (GUMMEI).
[0038] De acordo com um aspecto, os dados incluem a Contagem de Chave de valor de contador mantida no dispositivo SKMF. De acordo com outro aspecto, receber a primeira chave KASME do dispositivo SKMF inclui ainda receber Contagem de Chave de valor de contador do dispositivo SKMF.
[0039] Outra característica provê um dispositivo de rede compreendendo uma interface de comunicação adaptada para transmitir e receber informações, e um circuito de processamento comunicativamente acoplado à interface de comunicação, o circuito de processamento adaptado para receber uma solicitação de relocação direta no dispositivo de rede a partir de uma entidade de gerenciamento de mobilidade de origem (MME), transmitir uma solicitação para uma primeira chave KASME para um dispositivo de função de gerenciamento de chave de sessão (SKMF), receber a primeira chave KASME do dispositivo SKMF, e transmitir uma solicitação de handover para um nó de acesso de rádio alvo (RAN) com uma chave KENB derivada a partir da primeira chave KASME.
[0040] Outra característica provê um dispositivo de rede associado com uma rede de comunicação sem fio, o dispositivo de rede compreendendo meios para receber uma solicitação de relocação direta no dispositivo de rede a partir de uma entidade de gerenciamento de mobilidade de origem (MME), meios para transmitir uma solicitação para uma primeira chave KASME para um dispositivo de função de gerenciamento de chave de sessão (SKMF), meios para receber a primeira chave KASME do dispositivo SKMF, e meios para transmitir uma solicitação de handover para um nó de acesso de rádio alvo (RAN) com uma chave KeNB derivada a partir da primeira chave KASME.
[0041] Outra característica provê um meio de armazenamento legível por computador não transitório tendo instruções para realizar transferência envolvendo a relocação de entidade de gerenciamento de mobilidade (MME) ou uma mudança de área de rastreamento nele armazenadas, as instruções, quando executadas por pelo menos um processador fazem com que o processador receba uma solicitação para relocação no dispositivo de rede a partir de uma MME de origem, transmita uma solicitação para uma primeira chave KASME para um dispositivo de função de gerenciamento de chave de sessão (SKMF), receba a primeira chave KASME do dispositivo SKMF, e transmita uma solicitação de handover para um nó de acesso de rádio alvo (RAN) com uma chave KeNB derivada a partir da primeira chave KASME.
BREVE DESCRIÇÃO DOS DESENHOS
[0042] A Figura 1 é um diagrama de blocos de um exemplo de um sistema de comunicação sem fio encontrado na técnica anterior.
[0043] A Figura 2 é um fluxograma de um método para derivar chaves digitais para uma rede celular de segurança.
[0044] A Figura 3 é um diagrama de blocos de uma primeira modalidade de um sistema de comunicação tendo uma hierarquia de chave de rede melhorada.
[0045] A Figura 4 é um diagrama de blocos de uma segunda modalidade de um sistema de comunicação tendo uma hierarquia de chave de rede melhorada.
[0046] A Figura 5 é um diagrama de blocos de uma terceira modalidade de um sistema de comunicação tendo uma hierarquia de chave de rede melhorada.
[0047] A Figura 6 é um diagrama esquemático de uma hierarquia de chave aperfeiçoada para uma rede celular.
[0048] A Figura 7 ilustra um fluxograma de um procedimento de anexação e transferência de dados inicial para um UE se conectando a uma rede de comunicação sem fio (por exemplo, rede celular sem fio).
[0049] A Figura 8 ilustra um fluxograma de um procedimento de transferência S1.
[0050] A Figura 9 ilustra um fluxograma de um procedimento de atualização de área de monitoramento após um UE se mover para uma nova localização que requer uma relocação de MME.
[0051] A Figura 10 ilustra um primeiro exemplo de diagrama de blocos esquemático de um dispositivo tal como um dispositivo/equipamento de usuário.
[0052] A Figura 11 mostra um primeiro exemplo de método operacional em um dispositivo para efetuar atualizações de área de serviço envolvendo relocação de dispositivo de plano de controle ou uma mudança de área de serviço.
[0053] A Figura 12 ilustra um segundo método exemplificativo operacional em um dispositivo para efetuar a transferência de dispositivo de plano de controle envolvendo relocação ou uma mudança de área de serviço.
[0054] A Figura 13 ilustra um primeiro exemplo de diagrama de bloco esquemático de um dispositivo de rede tal como uma MME.
[0055] A Figura 14 ilustra um primeiro exemplo de método operacional em um dispositivo de rede para realizar uma atualização de área de serviço envolvendo relocação de dispositivo de plano de controle ou uma mudança de área de serviço no dispositivo de plano de controle.
[0056] A Figura 15 ilustra um segundo método exemplificativo operacional em um dispositivo de rede para realizar transferência envolvendo relocação de dispositivo plano de controle ou uma mudança de área de serviço no dispositivo de plano de controle.
[0057] A Figura 16 ilustra um segundo diagrama de blocos esquemático exemplificativo de um dispositivo tal como um dispositivo/equipamento de usuário.
[0058] A Figura 17 ilustra um quarto exemplo de diagrama de blocos esquemático de um dispositivo tal como um dispositivo/equipamento de usuário.
[0059] A Figura 18 ilustra um segundo diagrama de blocos esquemático exemplificativo de um dispositivo de rede tal como uma MME.
[0060] A Figura 19 ilustra um quarto exemplo de diagrama de bloco esquemático de um dispositivo de rede tal como uma MME.
DESCRIÇÃO DETALHADA
[0061] A palavra “exemplificativa” é utilizada aqui para significar “servir como exemplo, instância ou ilustração”. Qualquer modalidade descrita aqui como “exemplificativa” não deve ser necessariamente considerada como preferida ou vantajosa em relação a outras modalidades.
[0062] Com referência às Figuras 2 e 3, um aspecto da presente descrição pode residir em um método 200 para derivar chaves digitais para segurança de rede celular. No método, o equipamento de usuário (UE) 320 autentica mutuamente com uma função de gerenciamento de chave de sessão dispositivo 300 (doravante “SKMF”) o equipamento de usuário deriva uma primeira chave de sessão (por exemplo, KASME) compartilhada com a SKMF 300 usando uma chave secreta (SK) compartilhada com um servidor de assinante doméstico (HSS) 330. O equipamento de usuário então deriva uma segunda chave de sessão (por exemplo, KASME) compartilhada com uma entidade de gerenciamento de mobilidade (MME) 310 usando a primeira chave de sessão.
[0063] Nos aspectos mais detalhados da invenção, o SKMF (autenticador) pode ser uma âncora de confiança (ou âncora de chave) localizado profundamente no interior da rede de telecomunicações que obtém uma chave (por exemplo, KASME) para Cada MME assim, Coma MMEs e/ou dispositivos de rede que realizam suas funções são empurrados para a borda da rede, SKMF permanece profundamente no interior da rede e é muito seguro A primeira chave de sessão pode ser derivada usando uma primeira função de derivação de chave tendo o chave secreta e uma identidade de rede servidora (SN_id) como entradas. Da primeira função de derivação de chave pode ser baseada, por exemplo, HMAC-256. A autenticação mútua pode ser realizada usando um protocolo de autenticação extensível (EAP), ou Específico sinalização NAS. A segunda chave de sessão pode ser derivada durante um acordo de chave e autenticação (AKA) procedimento (para a atualmente anexada MME com o UE), ou durante uma transferência envolvendo uma relocação MME. A sessão pode ser definida para a atualmente anexada MME pelo servidor AAA. A relocação de MME pode ser realizada dentro de um grupo De MMEs compartilhando uma MME identidade de grupo (MMEGI). Alternativamente, a relocação de MME pode ser realizada com outra MME tendo uma diferente MMEGI.
[0064] Em outros aspectos mais detalhados da invenção, a segunda chave de sessão pode ser derivada usando uma segunda função de derivação de chave tendo a primeira chave de sessão e um identificador globalmente único de MME (GUMMEI) como entradas. GUMMEI pode ser baseada em uma combinação de um código MMEGI e uma MME. A segunda função de derivação de chave pode ser baseada em HMAC-256. Alternativamente, a segunda chave de sessão pode ser derivada usando uma segunda função de derivação de chave tendo a primeira chave de sessão e uma MMEGI como entradas
[0065] Outro aspecto da invenção pode residir em um método para derivar uma chave para um equipamento de usuário 320. No método, uma entidade de rede recebe uma chave de sessão (por exemplo, KASME), para o equipamento de usuário, do SKMF 300. Um canal de comunicação para receber a chave de sessão pode ser protegido por segurança. A entidade de rede pode ser um eNB 360, MME, GW, etc. Alternativamente, um aspecto da invenção pode residir em um método em que a entidade de rede pode receber a chave de sessão, para o equipamento de usuário, de uma outra entidade de rede em um mesmo grupo. Em um aspecto mais detalhado da descrição, uma entidade de rede pode solicitar uma chave de sessão (por exemplo, KASME) do SKMF quando uma MME de origem requisita uma transferência sem transferir uma chave de sessão.
[0066] Outro aspecto da descrição, o SKMF 300 pode autenticar mutuamente com O equipamento de usuário 320. SKMF 300 pode derivar uma chave de sessão (por exemplo, KASME) para uso na comunicação com o UE 320 conectada a uma MME 310. A SKMF 300 pode enviar a chave de sessão, para o UE 320, para a MME 10. Mutuamente autenticar com o UE 320 pode incluir A SKMF 300 enviando uma solicitação para um HSS 330 para a informação de autenticação para o UE 320 Informação de autenticação podem incluir autenticação vetores (AVs) para o UE 320. Mutuamente autenticar com o UE 320 pode incluir ainda A SKMF 300 receber uma resposta de autenticação do UE 320. Um vetor de autenticação pode incluir uma resposta esperada (XRES), um valor de autenticação (AUTN), um número randômico (RAND), e a primeira chave de sessão (por exemplo, KSKMF). O AUTN pode ser baseado em um número de sequência e uma chave secreta (SK) que o UE 320 compartilha com o HSS 330.
[0067] A presente descrição permite funções de rede (por exemplo, a MME 310) seja movido para uma borda da rede para longe de um núcleo de rede. SKMF 300 pode ser colocado entre a MME 310 e HSS 330. O SKMF 300 pode atuar uma chave local âncora. Consequentemente, a confiança requerida pela MME 310 pode ser reduzida. Como um resultado, uma MME 310 para um UE 320 não deve ser transferida durante relocação de MME.
[0068] O UE pode executar autenticação de acordo de chave (AKA) com o SKMF. O HHS pode enviar um AV para a SKMF. O AV pode incluir XRES, AUTN, RAND e KSKMF. KSKMF pode ser derivada de uma chave secreta compartilhada SK entre o UE e o HSS. Assim, a autenticação mútua pode ser efetuada entre o UE e o SKMF. Esta arquitetura pode ser usada em uma rede celular de quinta geração (5G).
[0069] Se a AKA for bem-sucedida, a chave SKMF envia uma chave de MME (por exemplo, KASME) para a MME. A chave de MME (e outras chaves derivadas da mesma) pode ser derivada de acordo com os detalhes fornecidos abaixo.
[0070] Em um cenário de roaming (isto é, o UE está em uma rede visitada), a SKMF na rede visitada pode se tornar a âncora de chave local. Similarmente, a AKA pode ser realizada através da SKMF. Como mostrado nas Figuras 4 e 5, uma SKMF 300, que esteja na rede visitada, e não na rede doméstica 406, é a âncora de chave local. Durante uma relocação de MME (por exemplo, transferência ou atualização de área de monitoramento) na rede local, a SKMF deriva uma nova KASME e a fornece à MME alvo/nova. A chave de sessão (por exemplo, KeNB) de nó de acesso de rádio (RAN), pode ser derivada do novo KASME.
[0071] A Figura 6 ilustra um diagrama esquemático de uma hierarquia de chave aperfeiçoada para uma rede celular. O UE de módulo de identidade de assinante universal (USIM) e a rede de centro de autenticação (AuC) armazenar a chave secreta compartilhada (SK) Da SK a chave de integridade (IK) e chave de criptografia (CK) são derivados e fornecidos para O HSS. O HSS pode por sua vez gerar a primeira chave de sessão (KSKMF) e provê-los para O SKMF. KSKMF da primeira chave de sessão é válida durante a sessão de autenticação inteira. SKMF pode utilizar a KSKMF para gerar a segunda chave de sessão (KASME) e prover esta chave para a MME. O KASME pode ser válido para somente uma MME. A MME pode por sua vez gerar outras chaves (KNASenC, KNAsint, KeNB/NH, etc.) com base no KASME. Processos exemplificativos de Anexação, Transferência, e Atualização de Área de Monitoramento (TAU)
[0072] Aspectos da descrição são descritos em algumas partes abaixo com relação a componentes de sistema de Evolução de Longo Prazo 4 G. Isso é meramente exemplificativo. A descrição não é limitada por qualquer sistema de rede, específico, tal como LTE 4G e ao invés pode ser aplicada a outros tipos de sistemas de comunicação, incluindo, mas não limitado a sistemas de 5G.
[0073] Durante uma fixação inicial para uma rede, o UE realiza um acordo de chave e autenticação (AKA) procedimento com um dispositivo de função de gerenciamento de chave de sessão (SKMF). Uma vez que a autenticação é bem-sucedida, SKMF deriva uma chave (por exemplo, KASME) para a MME ao qual o UE é anexado e fornece a chave para a MME.
[0074] Quando uma atualização de área de monitoramento (TAU) envolvendo relocação de MME é solicitada por um UE, a nova MME (por exemplo, MME alvo) que recebe a solicitação TAU recebe uma nova chave KASME do SKMF e estabelece uma associação de segurança com o UE pela realização de um estrato de não acesso (NAS) comando de modo de segurança (SMC) procedimento. Similarmente, quando ocorre uma transferência envolvendo a relocação de MME, a MME alvo também recebe uma nova chave KASME do SKMF e estabelece uma associação de segurança com o UE.
[0075] Uma MME que suporta duas áreas de rastreamento pode iniciar uma mudança de KASME quando o UE se move entre áreas de rastreamento. Isto esconde a configuração de rede do UE. Por exemplo, os UEs vêem apenas as áreas de rastreamento de não MMEs isto pode ocorrer tanto em resposta a um TAU como em resposta a uma transferência que muda áreas de rastreio.
[0076] A Figura 7 ilustra um fluxograma de um procedimento de conexão e transferência de dados iniciais para um UE conectar a uma rede de comunicação sem fio (por exemplo, rede celular sem fio) de acordo com um aspecto da descrição. Primeiro, o UE transmite uma solicitação de conexão 702 para um eNB, que por sua vez transmite uma mensagem Inicial de UE 704 para a MME próxima, o UE e o SKMF realiza um acordo de chave e autenticação (AKA) 706 Para realizar a AKA, o SKMF transmite uma solicitação de informação de autenticação 707 para o HSS e em resposta receber um vetor de autenticação 708 de HSS que pode incluir uma resposta esperada (XRES), um valor de autenticação (AUTN), um número randômico (RAND), e uma Tecla MME específica KSKMF. A AUTN pode ser baseada em um número de sequência e uma chave secreta (SK) que o UE compartilha com o HSS.
[0077] Quando AKA for bem-sucedida, o SKMF pode derivar uma chave de sessão KASME (por exemplo, “primeira chave”) com base em KSKMF (por exemplo, “segunda chave”), um identificador de MME (por exemplo, GUMMEI), e/ou um valor de contador (por exemplo, Contagem de Chave) assim, KASME pode igualar KDF (KSKMF, GUMMEI | Contagem de Chave) onde KDF é uma função de derivação de chave. A Contagem de Chave de valor de contador é um valor de contador que pode ser incrementado pela SKMF para habilitar o SKMF para derivar uma nova chave KASME para a mesma MME sempre que ocorrer transferência de volta para a MME. De acordo com um aspecto, um número utilizado uma vez (nonce) pode ser usado em vez do valor de contador. De acordo com outro aspecto, O GUMMEI pode ser omitido se ele não for usado para autorizar uma identidade MME específica. Por exemplo, se SKMF está sempre na mesma rede como os MMEs que fornece KASME para, então incluindo GAMEI na derivação de chave pode ser desnecessária. Assim, de acordo com outro exemplo, KASME pode igualar KDF (KSKMF, nonce). A chave específica de MME é então enviada para a MME 710. A MME pode então usar a chave KASME para realizar um procedimento de comando de modo de segurança (SMC) de estrato de não acesso (NAS) 712 com o UE. Durante o procedimento NAS-SMC 712, a MME pode fornecer seu GAMEI e/ou a Contagem de Chaves para o UE de modo que o UE possa também derivar KASME. Os restantes 714-728 mostrados na figura 7 são similares àqueles encontrados nos protocolos de comunicação celular de 4G LTE.
[0078] A Figura 8 ilustra um fluxograma de um procedimento de transferência-SI de acordo com um aspecto da descrição. Primeiro, o eNB de origem (isto é, o eNB atual) transmite uma mensagem (HO) necessária) 802 para a MME de origem (isto é, a MME atual). A seguir, a MME de origem transmite/envia uma solicitação de relocação 804 para a MME alvo (isto é, a nova MME). A MME alvo pode criar e transmitir uma solicitação de sessão 806 para um portal de servidor alvo (S-GW) e receber uma resposta de sessão 808 do S-GW alvo. A MME alvo também pode transmitir uma solicitação de chave 810 para uma chave específica para uma chave específica de MME KASME para o SKMF. Ao fazer isso, a MME alvo pode prover o SKMF com sua GUMMEI. SKMF pode por sua vez gerar a KASME usando o GUMMEI da MME, a chave KSKMF previamente recebida do HSS (descrita acima), e a Contagem de Chave. De acordo com um aspecto, um número utilizado uma vez (nonce) pode ser usado em vez da contagem de chave. De acordo com outro aspecto, a GUMMEI pode ser omitida se ela não for desejada para autorizar uma identidade de MME específica. A SKMF transmite KASME 812 para a MME alvo. De acordo com um aspecto, a MME alvo pode transmitir o pedido de sessão 806 para o S-GW alvo e transmitir a chave solicitação 810 em aproximadamente o mesmo tempo. Assim as etapas 806 e 810 podem ser realizadas simultaneamente com as etapas 808 e 812.
[0079] A MME alvo pode então transmitir uma solicitação de handover 814 para o eNB alvo (isto é, o potencial novo eNB) e em resposta o eNB alvo envia de volta uma resposta de transferência 816. O pedido de transferência 814 pode incluir a chave KeNB derivada pela MME alvo usando KASME. A resposta de transferência 816 indica se o eNB alvo concorda em aceitar a transferência. Se o eNB alvo não concordar em aceitar a transferência então a MME alvo envia uma mensagem de confirmação de chave (isto é, KASME) 818 para a SKMF. Ao receber a mensagem de confirmação de chave, a SKMF pode, então, incrementar o valor de contador de Contagem de Chave. A etapa de enviar a mensagem de confirmação de chave 818 é retardada até que a confirmação de pedido de transferência 816 seja recebida porque a requisição de transferência pode ser rejeitada pelo eNB alvo. Em tal caso, uma nova KASME não necessita ser derivada pelo UE, e SKMF pode não precisar aumentar a Contagem de Chave. Após a MME alvo enviar a MME de origem, a resposta de relocação 820, a MME de origem envia um comando de handover 822 para o eNB de origem que é transferida 824 para o UE. O comando de handover 822, 824 pode incluir a GUMMEI da MME alvo e a Chave Contagem de modo que o UE pode derivar a nova KASME e a nova KeNB para o eNB alvo. O UE responde com uma mensagem de confirmação de handover 826 para o eNB alvo. A mensagem de confirmação de handover 826 é de integridade protegida e cifrada.
[0080] A figura 9 ilustra um fluxograma de um procedimento de atualização de área de monitoramento após um UE se move para uma nova localização que requer uma relocação de MME de acordo com um aspecto da descrição. Primeiro, o UE gera e transmite uma solicitação de atualização de área de monitoramento 902 para o eNB. O eNB, por sua vez, envia a solicitação de atualização de área de monitoramento 904 para uma MME alvo que será associada com o UE. O eNB determina para qual MME nova/alvo enviar a solicitação de atualização de área de monitoramento com base em vários critérios incluindo a localização do UE. A solicitação de atualização de área de monitoramento pode incluir um identificador temporário globalmente singular (GUTI) que por sua vez inclui O GUMMEI da MME de origem (isto é, MME atualmente associado com o UE) a MME alvo pode então usar O GUMMEI na solicitação de atualização de área de rastreamento que recebe para transmitir Uma mensagem de solicitação de contexto de UE 906 para a MME de origem MME de origem então responde com a informação de contexto de UE em uma mensagem de resposta de contexto de UE 908. Uma confirmação 910 pode ser enviada da MME alvo à MME de origem uma vez que esta resposta é recebida.
[0081] A MME alvo pode então enviar uma atualização de localização e uma chave de solicitação (isto é, chave KASME) ao SKMF 912. A atualização de localização é encaminhada para O HSS, que então envia uma mensagem cancelamento de localização 914 para a MME antiga (a MME antiga pode transmitir uma mensagem de confirmação de cancelamento de localização 916 de volta para O HSS) SKMF 912 pode gerar uma nova KASME para a MME alvo com base no GUMMEI da MME alvo e/ou o Contagem de Chave de valor de contador como anteriormente descrito. De acordo com um aspecto, um número utilizado uma vez (nonce) pode ser usado em vez da contagem de chave. De acordo com outro aspecto, o GUMMEI pode ser omitido se ele não é desejado para autorizar uma identidade Particular MME. A nova KASME 918 é transmitida para a MME alvo juntamente com uma confirmação de atualização de localização. Após receber KASME da SKMF, a MME alvo pode responder com uma mensagem de chave de reconhecimento 920 para O SKMF. De acordo com um aspecto, a MME alvo pode transmitir a mensagem de solicitação de contexto de UE 906 para a MME de origem aproximadamente ao mesmo tempo em que transmite a atualização de localização e chave 912 para a solicitação SKMF. Assim as etapas 906, 908 e 910 podem ser executadas simultaneamente com as etapas 914, 916, 918, 920
[0082] Uma vez que a MME alvo tenha recebido a KASME a partir do SKMF, a MME alvo pode então executar um procedimento de comando de modo de segurança de estrato de não acesso 922, 924 com o UE. Durante o procedimento de comando de modo de segurança, o UE deriva a chave KASME usado pela MME alvo, pois a MME alvo fornece o UE com Sua GUMMEI. Quando o UE também tem o mesmo KASME como a MME alvo, o UE e a MME alvo podem estabelecer comunicações seguras com base na chave KASME. Por exemplo, a MME alvo pode engatar em uma troca de atualização de área de monitoramento 926, 928 com o UE cujas comunicações são KASME cifradas ou outras chaves (por exemplo, chaves de criptografia e proteção de integridade NAS) derivadas de KASME. Essa troca pode incluir uma mensagem enviada da MME alvo para o UE que inclui a nova GUTI com base na GUMMEI da MME alvo. Tal mensagem é novamente criptografada por KASME ou outra chave derivada de KASME.
[0083] Como mostrado na Figura 9 e descrito acima, o NAS SMC 922, 924 é seguido pelo processo de atualização de área de monitoramento 926, 928. Em alguns aspectos da descrição, O NAS SMC 922, 924 e o processo de atualização de área de monitoramento 926, 928 podem ser combinadas. Por exemplo, a mensagem de SMC NAS 922, enviada da MME alvo ao UE pode ser combinada com a mensagem de atualização de área de monitoramento 926. Fazendo isso, apenas parte da mensagem combinada (por exemplo, a parte associada com a atualização de área de monitoramento) pode ser codificada, enquanto a parte da mensagem que auxilia o UE a derivar KASME é deixada não criptografada. Uma nova identidade de assinante móvel temporário (TMSI), que é parte de GUTI, alocada pela MME pode ser criptografada.
Derivação de Chave
[0084] Como discutido acima, AKA é executado entre o UE e o SKMF. A chave KSKMF é derivada por HSS e enviada ao SKMF. Da perspectiva de HSS, vetores de autenticação são construídos na mesma maneira de 4G LTE e enviados ao invés da MME. Assim HSS, pode ser conectado a SKMF sem qualquer modificação.
[0085] A chave específica SKMF deriva uma MME KASME para uma dada MME e assim a GUMMEI da MME pode ser usada no processo de derivação de chave KASME. O valor de contagem pode ser inicializado para zero (0) para uma nova KASME. Em um exemplo, os valores antigos de contagem de NAS não são descartados se atualização de área de monitoramento (s) não completa. Para a chave nova KASME o UE e a chave SKMF podem manter um valor de contador de contagem e usá-lo para derivação KASME. Isto pode ser feito para evitar derivar o mesmo KASME em casos onde o UE se move de volta a uma Antiga MME (por exemplo, MME de origem) a chave de contagem de valor de contador pode ser inicializada para zero (0) ou algum outro valor predeterminado quando a Inicial AKA é realizada com sucesso. Em algum aspecto, um nonce pode ser usado em vez de Contagem de Chave de valor de contador. Em outro aspecto, o GUMMEI pode ser omitido da derivação de chave.
[0086] Função de derivação de chave (KDF) usada para gerar as chaves KSKMF, KASME, KeNB, salto seguinte (NH), etc. pode utilizar HMAC-SHA-256, HMAC-SHA-3, etc. A sequência de entrada S pode ser construída de n+1 parâmetros de entrada. Por exemplo, S = [FC||P0||L0||P1||L1||P2||L2||...PN||LN||. o Código de campo FC pode ser um único octeto utilizado para distinguir entre diferentes instâncias do algoritmo e pode usar um valor na faixa de 0x50-0 x5F. Os parâmetros de entrada P0 a PN são as codificações de parâmetro de entrada n+1. P0 pode ser uma série estática codificada ASCII. Os Valores L0 a LN são duas representações de octeto do comprimento dos parâmetros de entrada correspondentes P0 a PN.
[0087] Derivação de KSKMF
[0088] KSKMF = KDF (KSKMF, S). A entrada S pode ser igual a [FC||P0||L0||P1||L1] onde FC = 0x50, P0 = SN id, L0 = comprimento do SN id (isto é, L0 = 0x00 0x03), P1 = SQN XOR AK, e Li = comprimento de P1 (isto é, L1 = 0x00 0x06). SQN é o número de sequência e AK é chave de anonimato, e XOR é a operação OR exclusiva. O Valor SQN XOR AK é enviado para o UE como parte do token de autenticação (AUTN). Se AK não é usado então AK pode ser tratada de acordo com TS 33.102 (isto é, 000... 0). A chave de entrada KCK/IK é a concatenação da chave de criptografia (CK) e a chave de integridade (IK), isto é, KCK/IK = CK||LK.
[0089] Derivação de KASME
[0090] KASME = KDF (KSKMF, S). A entrada S pode ser igual a [FC||P0||L0||P1||L1] onde FC = 0x51, P0 = GUMMEI, L0 = comprimento de 48 Bits (isto é, GUMMEI L0 = 0x00 0x06), P1 = contagem de Chave, e L1 pode igualar o comprimento de P1 (por exemplo, L1 = 0x00 0x08) este é meramente um exemplo de como pode ser derivada KASME. Em outros aspectos, a GUMMEI pode ser omitida e número RAND usado uma vez (por exemplo, nonce) pode ser usado ao invés do valor de contador de Contagem de Chave.
[0091] NH Derivação
[0092] Nh = KDF (KASME, S). A Entrada S pode ser igual a [FC||P0||L0] onde FC = 0x52, P0 = entrada de sincronização, L0 = comprimento de entrada de sincronização (isto é, L0 = 0x00 0x20) o parâmetro de entrada de sincronização pode ser a recém derivado KeNB para a derivação de NH inicial, e NH prévio para todas as derivações subsequentes. Isto resulta em uma cadeia NH, onde a próxima NH é sempre recente e derivada a partir da NH prévia.
[0093] Derivação de KeNB
[0094] K'ENB = KDF(KX, S). Ao derivar K'ENB da KENB atual ou do novo NH e o identificador de célula físico alvo no UE e o eNB como especificado na cláusula 7.2.8 para transferência, a entrada S pode ser igual a [FC||P0||L0||P1||L1] onde FC = 0x53, p0 = identificador de célula física alvo (PCI), L0 = comprimento de PCI (por exemplo, L0 = 0x00 0x02), P1 = EARFCN-DL (célula de frequência de downlink físico alvo), e L1 = comprimento de P1 (por exemplo, L1 = 0x00 0x02). A chave de entrada Kx pode ser a chave de próximo salto de 256 bits (NH) quando o índice na transferência aumenta, de outra maneira a KeNB atual de 256 Bits é usada.
[0095] Figuras 7-9 mostradas e descritas acima supõem que as MMEs mudam de MME de origem para alvo. Entretanto, os mesmos fluxogramas de processo podem ser usados quando uma única MME assume o papel de dois MMEs (MME de origem e MME alvo) e não há interface efetiva entre os dois MMEs.
[0096] Na descrição acima com relação às Figuras 7-9 e derivação de chave não exclusiva, específica, exemplos não limitantes de componentes de rede e terminologia relacionada foram usados para demonstrar aspectos da descrição da presente aplicação. Por exemplo, o “equipamento de usuário” pode ser apenas um exemplo de um dispositivo. As MMEs podem ser apenas um exemplo de dispositivos de plano de controle. A SMKF pode ser apenas um exemplo de um dispositivo de gerenciamento de chave. O identificador de MME (por exemplo, GUMMEI) pode ser apenas um exemplo de um identificador de dispositivo de plano de controle. A área de rastreamento pode ser apenas um exemplo de uma área de serviço, e similarmente, a atualização de área de monitoramento pode ser apenas um exemplo de uma atualização de área de serviço. SMC e NAS SMC podem ser apenas alguns exemplos de mensagens de plano de controle. O eNB pode ser apenas um exemplo de um nó de acesso de rádio.
[0097] A Figura 10 ilustra um diagrama esquemático de blocos de um dispositivo 1000 (por exemplo, “dispositivo de usuário”, “equipamento de usuário”, “dispositivo sem fio”, etc.), de acordo com um aspecto da descrição. O dispositivo de usuário 1000 pode ser qualquer dispositivo de comunicação sem fio tal como, mas não limitado a um telefone móvel, um telefone inteligente, um laptop, um assistente digital pessoal (PDA), um tablet, um computador, um smartwatch, e um computador usável montado na cabeça (por exemplo, Google Glass ®). O dispositivo de usuário 1000 pode incluir pelo menos uma ou mais interfaces de comunicação sem fio 1002, de um ou mais circuitos de memória 1004, um ou mais de dispositivos/circuitos de entrada e/ou saída (E/S) 1006, e/ou um ou mais circuitos de processamento 1008 que podem ser comunicativamente acoplados uns aos outros. Por exemplo, a interface 1002, O circuito de memória 1004, os dispositivos E/S 1006, e o circuito de processamento 1008 podem ser comunicativamente acoplados entre si através de um barramento 1010. A interface de comunicação sem fio 1002 permite que o dispositivo de usuário 1000 se comunique sem fio com a rede de comunicação sem fio 104. Assim, a interface 1002 permite que o dispositivo de usuário 1000 se comunique sem fio com redes de área remota sem fio (WWAN), tais como redes celulares de telecomunicação móvel, bem como redes de área local sem fio de curto alcance, (por exemplo, WiFi ®, Zigbee ®, Bluetooth ®, etc.).
[0098] O circuito de memória 1004 pode incluir um ou mais circuitos de memória volátil e/ou não volátil circuitos de memória. Assim, o circuito de memória 1004 pode incluir memória dinâmica de acesso aleatório (DRAM), memória estática de acesso aleatório (SRAM) magnetorresistiva, memória de acesso aleatório (MRAM), memória de leitura programável eletricamente apagável (EEPROM), memória flash, etc. O circuito de memória 1004 pode armazenar uma ou mais chaves criptográficas. O circuito de memória 1004 também pode armazenar instruções que podem ser executadas pelo circuito de processamento 1008. Os dispositivos/circuitos E/S 1006 podem incluir um ou mais teclados, mouses, displays, displays de tela sensível a toque, impressoras, escâneres de impressão digital, e quaisquer outros dispositivos de entrada e/ou saída.
[0099] O circuito de processamento 1008 (por exemplo, processador, unidade central de processamento (CPU), unidade de processamento de aplicativo (APU), etc.) pode executar instruções armazenadas no circuito de memória 1006 e/ou instruções armazenadas em outro meio legível por computador (por exemplo, a unidade de disco rígido, unidade de disco ótico, de estado sólido, etc.) comunicativamente acoplado ao dispositivo de usuário 1000. O circuito de processamento 1008 pode realizar qualquer uma das etapas e/ou processos do dispositivo de usuário 1000 descrito aqui incluindo aqueles discutidos com referência às Figuras 2, 3, 4, 5, 6, 7, 8, 9, 11, e 12.
[00100] A Figura 11 ilustra um método 1100 operacional em um dispositivo. O dispositivo pode ser um circuito integrado, uma pluralidade de circuitos integrados, ou um dispositivo eletrônico que incorpora um ou mais circuitos integrados. O método pode ser para efetuar atualizações de área de serviço envolvendo relocação de dispositivo de plano de controle ou uma mudança de área de serviço. Primeiro, a entrada em uma nova área de serviço (por exemplo, área de rastreamento novo, nova área de roteamento, etc.) é identificada 1102 no dispositivo. Em seguida, uma solicitação de atualização de área de serviço é transmitida 1104 para um dispositivo de rede associado com uma rede. Então, uma mensagem de plano de controle (não limitador, exemplo não exclusivo inclui um comando de modo de segurança) é recebida 1106 da rede indicando a relocação de dispositivo de plano de controle ou uma chave de restauração devido a uma mudança de área de serviço em resposta à transmissão da solicitação de atualização de área de serviço. A seguir, uma primeira chave (por exemplo, KASME) é derivada 1108 com base em parte em dados incluídos na mensagem de plano de controle recebida e uma segunda chave (por exemplo, KSKMF) compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave (por exemplo, SKMF), onde o dispositivo de gerenciamento de chave é associado com a rede. De acordo com um aspecto, a mensagem de plano de controle é recebida de um dispositivo de plano de controle alvo (por exemplo, MME alvo) devido à área de serviço mudar, o dispositivo de plano de controle alvo sendo um dispositivo de plano de controle diferente (por exemplo, MME) de uma fonte, atualmente servindo o dispositivo. De acordo com outro aspecto, os dados incluídos na mensagem de plano de controle incluem um plano de controle de identificador de dispositivo (por exemplo, identificador de MME, tal como, mas não limitado a GUMMEI) que identifica um dispositivo de plano de controle que está e/ou irá servir o dispositivo.
[00101] De acordo com um aspecto, derivar a primeira chave se baseia adicionalmente em parte na Contagem de Chave de valor de contador mantida no dispositivo de gerenciamento de chave e é incluído na mensagem de plano de controle. De acordo com outro aspecto, pelo menos um de um Nó B evoluído (eNB), chave KeNB, uma chave de estrato de não-acesso KNAS, e/ou uma chave de próximo salto (NH) é derivada com base na primeira chave para comunicações seguras entre o dispositivo e a rede de acordo com ainda outro aspecto, a nova área de serviço é pelo menos uma de uma nova área de rastreamento e/ou uma nova área de roteamento, e a solicitação de atualização de área de serviço é associada com pelo menos um de uma atualização de área de monitoramento e/ou uma atualização de área de roteamento.
[00102] De acordo com um aspecto, a mensagem de plano de controle é de comando de modo de segurança, o dispositivo de plano de controle alvo é uma MME alvo, o dispositivo de gerenciamento de chave é um dispositivo de SKMF, e a segunda chave é uma chave de raiz de sessão para a sessão de autenticação. De acordo com outro aspecto, um dispositivo de plano de controle mantém um contexto de gerenciamento de mobilidade e um contexto de gerenciamento de sessão para o dispositivo, e o dispositivo de gerenciamento de chave mantém a segunda chave.
[00103] A Figura 12 ilustra um método 1200 operacional em um dispositivo para realizar controle de transferência envolvendo dispositivo plano relocação ou uma mudança de área de serviço. Primeiro, um comando de handover é recebido 1202 de um dispositivo de rede (por exemplo, eNB de origem) associado com a rede, onde o comando de handover indica uma nova área de serviço (por exemplo, nova área de rastreamento, nova área de roteamento, etc.). A seguir, uma primeira chave (por exemplo, KASME) 1204 é derivada com base em dados incluídos no comando de handover e em uma segunda chave (por exemplo, KSKMF) compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave (por exemplo, SKMF), onde o dispositivo de gerenciamento de chave é associado com a rede. Então, uma mensagem de confirmação de handover que é segura com base na primeira chave é enviada 1206 para o dispositivo de rede.
[00100] De acordo com um aspecto, o comando de handover inclui um identificador de dispositivo de plano de controle alvo (por exemplo, alvo identificador de MME que pode incluir GUMMEI) associado com um dispositivo de plano de controle alvo (por exemplo, MME alvo) servindo um nó de acesso de rádio alvo (por exemplo, eNB alvo) que está e/ou estará servindo o dispositivo. De acordo com outro aspecto, derivar a primeira chave se baseia em parte no dispositivo de plano de controle alvo. De acordo com ainda outro aspecto, o dispositivo de plano de controle alvo é uma entidade de gerenciamento de mobilidade alvo (MME), o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão (SKMF), e o identificador de dispositivo de plano de controle alvo é um identificador de MME associado com a MME alvo.
[00101] A Figura 13 ilustra um diagrama de blocos esquemático de um dispositivo de rede 1300 de acordo com um aspecto da descrição. O dispositivo de rede 1300 pode ser uma MME, Uma RAN, S-GW e/ou P-GW. O dispositivo de rede 1300 pode incluir pelo menos uma ou mais interfaces de comunicação sem fio 1302, de um ou mais circuitos de memória 1304, um ou mais de entrada e/ou saída (I/O) dispositivos/circuitos 1306, e/ou um ou mais circuitos de processamento 1308 que pode ser comunicativamente acoplados um ao outro, Por exemplo, a interface 1302, O circuito de memória 1304, os dispositivos I/O 1306, e o circuito de processamento 1308 pode ser comunicativamente acoplado a cada outro através de um barramento 1310. A interface de comunicação sem fio 1302 permite que o dispositivo de rede 1300 para comunicação sem fio com o dispositivo de usuário 102 Assim, a interface 1302 permite que o dispositivo de rede 1300 para se comunicar sem fio através de redes de área remota sem fio (WWAN), tais como redes celulares de telecomunicação móvel, e/ou uma faixa curta, redes de área local sem fio (por exemplo, WiFi ®, Zigbee ®, Bluetooth ®, etc.).
[00102] Circuito de memória 1304 pode incluir um ou mais circuitos de memória volátil e/ou não volátil circuitos de memória. Assim, o circuito de memória 1304 pode incluir DRAM, SRAM, MRAM, EEPROM, memória flash, etc. O circuito de memória 1304 pode armazenar uma ou mais chaves criptográficas. O circuito de memória 1304 também pode armazenar instruções que podem ser executadas pelo circuito de processamento 1308. Os dispositivos/circuitos de E/S 1306 podem incluir um ou mais teclados, mouses, displays, tela de toque, monitores, impressoras, escâneres de impressão digital, e quaisquer outros dispositivos de entrada e/ou saída.
[00103] Circuito de processamento 1308 (por exemplo, processador, a unidade de processamento central (CPU), unidade de processamento de aplicativo (APU), etc.) pode executar instruções armazenadas no circuito de memória 1306 e/ou instruções armazenadas em outro meio legível por computador (por exemplo, a unidade de disco rígido, unidade de disco ótico, de estado sólido, etc.) comunicativamente acoplado ao dispositivo de rede 1300. O circuito de processamento 1308 pode realizar qualquer uma das etapas e/ou processos de uma rede de dispositivos aqui descritos, incluindo aqueles discutidos com referência às Figuras 2, 3, 4, 5, 6, 7, 8, 9, 14, e 15.
[00104] A Figura 14 ilustra um método 1400 operacional em um dispositivo de rede para realizar uma atualização de área de monitoramento envolvendo relocação de dispositivo de plano de controle ou uma mudança de área de serviço no dispositivo de plano de controle. Primeiro, uma solicitação de atualização de área de serviço é recebida 1402 de um dispositivo (por exemplo, equipamento de utilizador) para que o dispositivo de rede não tem um contexto de dispositivo (por exemplo, contexto de UE) ou o dispositivo mudou as áreas de serviço (por exemplo, áreas de rastreamento ou áreas de roteamento). A seguir, uma solicitação para uma primeira chave (por exemplo, KASME) é transmitida 1404 para um dispositivo de gerenciamento de chave (por exemplo, SKMF) então, a primeira chave 1406 é recebida a partir do dispositivo de gerenciamento de chave, onde a primeira chave com base em parte em uma segunda chave (por exemplo, KSKMF) compartilhado entre o dispositivo de gerenciamento de chave e o dispositivo. Próxima, uma mensagem de plano de controle é transmitida 1408 para o dispositivo que inclui os dados permitindo que o dispositivo derive a primeira chave de acordo com um aspecto, o dispositivo de rede é uma entidade de gerenciamento de mobilidade (MME) e a primeira chave se baseia adicionalmente em um identificador de MME que identifica a MME de acordo com outro aspecto, uma solicitação de contexto de dispositivo é transmitido para um dispositivo de plano de controle anterior que previamente apresentado o dispositivo se o dispositivo de rede não tem o contexto de dispositivo.
[00105] De acordo com um aspecto, o dispositivo contexto é recebido do dispositivo do plano de controle em resposta à transmissão da solicitação de contexto de dispositivo. De acordo com outro aspecto, os dados incluem um identificador de dispositivo de plano de controle que identifica o dispositivo de rede. De acordo com ainda outro aspecto, um Contagem de Chave de valor de contador é recebida a partir do dispositivo de gerenciamento de chave juntamente com a primeira chave.
[00106] De acordo com um aspecto, o valor de contador de Contagem de Chave é incluído nos dados transmitidos para o dispositivo. De acordo com outro aspecto, uma atualização de área de serviço é transmitida para o dispositivo após receber a notificação do dispositivo que a mensagem de plano de controle foi recebida com sucesso. De acordo com ainda outro aspecto, a solicitação de atualização de área de serviço é associada com pelo menos um de uma atualização de área de monitoramento e/ou uma atualização de área de roteamento e alterar áreas de serviço inclui pelo menos um rastreamento de mudança de áreas e/ou alterar áreas de roteamento. De acordo com outro aspecto, a mensagem de plano de controle é de estrato de não acesso de comando de modo de segurança, o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão (SKMF), o dispositivo é um equipamento de usuário, o dispositivo contexto é um contexto de equipamento de usuário associado com o equipamento de usuário, e a segunda chave é uma chave de raiz de sessão para uma sessão de autenticação.
[00107] A Figura 15 ilustra um método 1500 operacional em um dispositivo de rede para realizar transferência envolvendo um dispositivo de plano de controle de reposicionamento ou uma mudança de área de serviço no dispositivo de plano de controle. Primeiro, uma relocação dianteira solicitação é recebida 1502 no dispositivo de rede a partir de um plano de controle de origem dispositivo. A seguir, uma solicitação para uma primeira chave é transmitida 1504 para um dispositivo de gerenciamento de chave (SKMF). Então, a primeira chave é recebida 1506 do dispositivo de gerenciamento de chave, onde a primeira chave se baseia em parte em uma segunda chave compartilhada entre o dispositivo de gerenciamento de chave e um dispositivo. Próxima, uma solicitação de handover é transmitida para um nó de acesso de rádio alvo (RAN) com uma chave de sessão RAN derivada a partir da primeira chave. De acordo com um aspecto, uma mensagem de ACK de solicitação de handover é recebida pela RAN alvo indicando a RAN alvo servirá o dispositivo. De acordo com outro aspecto, uma mensagem de confirmação é transmitida para o dispositivo de gerenciamento de chave indicando o recebimento da primeira chave somente após receber a mensagem de confirmação de solicitação de handover de RAN alvo.
[00108] De acordo com um aspecto, uma resposta de relocação direto é transmitida para o dispositivo de controle de origem plano que inclui dados utilizados pelo dispositivo para derivar a primeira chave. De acordo com outro aspecto, o dispositivo de rede é um dispositivo de plano de controle alvo que servirá o dispositivo e os dados inclui um identificador de dispositivo de plano de controle alvo que identifica o dispositivo de plano de controle alvo De acordo com ainda outro aspecto, o dispositivo de plano de controle alvo é uma entidade de gerenciamento de mobilidade alvo (MME), o dispositivo de plano de controle de origem é uma MME de origem, o identificador de dispositivo de plano de controle alvo é um identificador MME globalmente único (GUMMEI), o dispositivo de gerenciamento de chave é uma função de gerenciamento de chave de sessão (SKMF), e o dispositivo é um dispositivo de equipamento de usuário. De acordo com ainda outro aspecto, um Contagem de Chave de valor de contador é recebido juntamente com a primeira chave.
[00109] A Figura 16 ilustra um diagrama de blocos de um dispositivo 1600 (por exemplo, dispositivo/equipamento de usuário) de acordo com um aspecto da descrição. O dispositivo 1600 pode incluir uma área de circuito de identificação 1602, um circuito de transmissão de solicitação de atualização de área de serviço 1604, um plano de controle de circuito de recepção 1606, e/ou um primeiro circuito de derivação de chave 1608, que podem ser comunicativamente acoplados via um barramento de comunicação 1610 Cada um dos circuitos 1602, 1604, 1606, 1608 do dispositivo 1600 pode ser circuitos especializados (por exemplo, circuitos integrados de aplicação específica (ASICs), arranjos de portas programáveis em campo (FPGAs), etc.) que são especificamente ligados para realizar suas respectivas funções específicas.
[00110] O Circuito de identificação de área de serviço 1602 pode ser um exemplo de um meio para identificar entrada em uma nova área de serviço. A solicitação de atualização de área de circuito de transmissão 1604 pode ser um exemplo de um meio para transmitir uma solicitação de atualização de área de serviço para um dispositivo de rede associado com a rede Circuito de recepção do plano de controle 1606 pode ser um exemplo de um meio para receber uma mensagem de plano de controle da rede indicando o relocação de dispositivo de plano de controle ou uma renovação de chave devido a uma mudança de área de serviço em resposta à transmissão da solicitação de atualização de área de serviço. Derivação de chave do primeiro circuito 1608 pode ser um exemplo de um meio para derivar uma primeira chave com base em parte em dados incluídos na mensagem de plano de controle recebida e uma segunda chave compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave.
[00111] A Figura 17 ilustra um diagrama de blocos de um dispositivo 1700 (por exemplo, dispositivo/equipamento de usuário) de acordo com um aspecto da descrição. O dispositivo 1700 pode incluir um circuito de recepção de comando de handover 1702, um primeiro circuito de derivação de chave 1704, e/ou um circuito de transmissão de confirmação de handover 1706, que podem ser comunicativamente acoplados via um barramento de comunicação 1708. Cada um dos circuitos 1702, 1704, 1706, do dispositivo 1700, pode ser circuito especializado (por exemplo, ASICs, FPGAs, etc.) que são especificamente ligados para realizar suas respectivas funções específicas.
[00112] O circuito de recebimento do comando de handover 1702 pode ser um exemplo de um meio para receber um comando de handover de um dispositivo de rede associado com a rede, o comando de handover indicando uma nova área de serviço. O primeiro circuito de derivação de chave 1704 pode ser um exemplo de um meio para derivar uma primeira chave com base em dados incluídos no comando de handover e em uma segunda chave compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave. O circuito de transmissão de confirmação de handover 1706 pode ser um exemplo de um meio para enviar uma mensagem de confirmação de handover que é segura com base na primeira chave.
[00113] A Figura 18 ilustra um diagrama de blocos de um dispositivo de rede 1800 (por exemplo, MME) de acordo com um aspecto da descrição. O dispositivo 1800 pode incluir uma primeira chave de circuito de transmissão 1802, um circuito receptor de solicitação de atualização de área de serviço 1804, um primeiro circuito receptor chave 1806, e/ou de plano de controle de circuito de transmissão de mensagem 1808, que podem ser comunicativamente acoplados via um barramento de comunicação 1810. Cada um dos circuitos 1802, 1804, 1806, 1808 do dispositivo de rede 1800 pode ser circuitos especializados (por exemplo, ASICs, FPGAs, etc.) que são especificamente ligados para realizar suas respectivas funções específicas.
[00114] O primeiro circuito de transmissão de solicitação de chave 1802 pode ser um exemplo de um meio para transmitir uma solicitação para uma primeira chave para um dispositivo de gerenciamento de chave. O circuito receptor de solicitação de atualização de área de serviço 1804 pode ser um exemplo de um meio para receber uma solicitação de atualização de área de serviço de um dispositivo para o qual o dispositivo de rede não tem um contexto de dispositivo ou o dispositivo tiver mudado de áreas de serviço. Circuito de recebimento da primeira chave 1806 pode ser um exemplo de um meio para receber a primeira chave do dispositivo de gerenciamento de chave, a primeira chave baseada em parte em uma segunda chave compartilhada entre o dispositivo de gerenciamento de chave e o dispositivo. O plano de controle de circuito de transmissão 1808 pode ser um exemplo de um meio para transmitir uma mensagem de plano de controle para o dispositivo que incluem dados permitindo o dispositivo para derivar a primeira chave.
[00115] A Figura 19 ilustra um diagrama de blocos de um dispositivo de rede 1900 (por exemplo, MME) de acordo com um aspecto da descrição. O dispositivo 1900 pode incluir um circuito receptor de relocação dianteira 1902, uma primeira chave de circuito de transmissão 1904, uma primeira chave de recepção 1906, e/ou um circuito de transmissão de pedido de transferência 1908, que podem ser comunicativamente acoplados via um barramento de comunicação 1910 Cada um dos circuitos 1902, 1904, 1906, 1908 do dispositivo de rede 1900 pode ser circuitos especializados (por exemplo, ASICs, FPGAs, etc.) que são especificamente ligados para realizar suas respectivas funções específicas.
[00116] Circuito receptor de solicitação de relocação 1902 pode ser um exemplo de um meio para receber uma solicitação de relocação direto no dispositivo de rede a partir de um plano de controle de origem dispositivo. A primeira chave de circuito de transmissão 1904 pode ser um exemplo de um meio para transmitir uma solicitação para uma primeira chave para um dispositivo de gerenciamento de chave Circuito de recebimento da primeira chave 1906 pode ser um exemplo de um meio para receber a primeira chave do dispositivo de gerenciamento de chave, a primeira chave baseada em parte em uma segunda chave compartilhada entre o dispositivo de gerenciamento de chave e um dispositivo. O circuito de transmissão de pedido de transferência 1908 pode ser um exemplo de um meio para transmitir uma solicitação de handover para um nó de acesso de rádio alvo (RAN) com uma chave de sessão RAN derivada a partir da primeira chave.
[00117] Um ou mais dos componentes, etapas, características e/ou funções ilustradas nas Figuras 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, e/ou 19 pode ser rearranjado e/ou combinado em um único componente, etapa, característica ou função ou incorporado em vários componentes, etapas ou funções. Elementos adicionais, componentes, etapas e/ou funções também podem ser adicionados sem se afastar da invenção. O aparelho, dispositivos, e/ou componentes ilustrados nas Figuras 1, 3, 4, 5, 7, 8, 9, 10, 13, 16, 17, 18 e/ou 19 pode ser configurado para realizar um ou mais métodos, características ou etapas descritas. Nas Figuras 2, 6, 7, 8, 9, 11, 12, 14, e/ou 15 os algoritmos descritos aqui também podem ser eficientemente implementados em software e/ou embutidos em hardware.
[00118] Além disso, observa-se que os aspectos da presente invenção podem ser descritos como um processo que é representado como um fluxograma, um fluxograma, um diagrama de estrutura ou um diagrama de blocos. Apesar de um fluxograma poder descrever as operações como um processo sequencial, muitas das operações podem ser realizadas em paralelo ou concorrentemente. Além disso, a ordem das operações pode ser rearranjada. Um processo é terminado quando suas operações forem completadas Um processo pode corresponder a um método, uma função, um procedimento, uma subrotina, um subprograma, etc. quando um processo corresponder a uma função, seu término corresponde a um retorno da função para a função de chamada ou à função principal.
[00119] Além disso, um meio de armazenamento pode representar um ou mais dispositivos para armazenamento de dados, incluindo memória apenas de leitura (ROM), memória de acesso aleatório (RAM), meios de armazenamento de disco magnético, meios de armazenamento ópticos, dispositivos de memória flash e/ou outros meios legíveis por máquina e, meios legíveis por processador, e/ou meios legíveis por computador para armazenar informações Os termos “meio legível por máquina”, “meio legível por computador”, e/ou “meio legível por processador” pode incluir, mas não são limitados a meios não transitórios, tais como dispositivos de armazenamento portáteis ou fixos, dispositivos ópticos de armazenamento, e vários outros meios capazes de armazenar ou conter instrução (es) e/ou dados. Assim, os vários métodos descritos aqui podem ser completamente ou parcialmente implementados por instruções e/ou dados que podem ser armazenados em um “meio legível por máquina”, “meio legível por computador”, e/ou “meio legível por processador” e executados por um ou mais processadores, máquinas e/ou dispositivos.
[00120] Além disso, aspectos da descrição podem ser implementados por meio de hardware, software, firmware, middleware, microcódigo, ou qualquer combinação dos mesmos. Quando implementado em software, firmware, middleware ou microcódigo, o código de programa ou segmentos de código para executar as tarefas necessárias pode ser armazenado em um meio legível por máquina, tal como um meio de armazenamento ou outro armazenamento (s). Um processador pode efetuar as tarefas necessárias. Um segmento de código pode representar um procedimento, uma função, um subprograma, um programa, uma rotina, uma sub-rotina, um módulo, um pacote de software, uma classe, ou qualquer combinação de instruções, estruturas de dados, ou declarações de programa. Um segmento de código pode ser acoplado a outro segmento de código ou a um circuito de hardware por passar e/ou receber informações, dados, argumentos, parâmetros, ou conteúdos de memória. Informações, argumentos, parâmetros, dados, etc., podem ser passados, encaminhados, ou transmitidos através de quaisquer meios adequados, incluindo compartilhamento de memória, passagem de mensagem, passagem de token, transmissão de rede, etc.
[00121] Os vários exemplos de blocos lógicos, módulos, circuitos, elementos, e/ou componentes descritos em conexão com as modalidades aqui apresentadas podem ser implementados ou realizados com um processador de finalidade geral, um processador de sinal digital (DSP), um circuito integrado de aplicação específica (ASIC), um arranjo de portas programável em campo (FPGA) ou outro componente lógico programável, porta discreta ou lógica de transistor, componentes de hardware discretos, Ou qualquer combinação dos mesmos, projetada para realizar as funções descritas aqui. Um processador de finalidade geral pode ser um microprocessador, mas na alternativa, o processador pode ser qualquer processador convencional, controlador, microcontrolador, ou máquina de estado. Um processador pode ser também implementado como uma combinação de componentes de computação, por exemplo, uma combinação de um DSP e um microprocessador, uma série de microprocessadores, um ou mais microprocessadores em conjunto com um núcleo DSP, ou qualquer outra tal configuração.
[00122] Métodos ou algoritmos descritos em conexão com as modalidades aqui apresentadas podem ser efetivadas diretamente em hardware, em um módulo de software executado por um processador, ou em uma combinação de ambos, na forma de unidade de processamento, instruções de programação, ou outras direções, e podem ser contidos em um único dispositivo ou distribuídos através de múltiplos dispositivos Um módulo de software pode residir em memória RAM, memória flash, memória ROM, memória EPROM, memória EEPROM, registradores, disco rígido, um disco removível, Um CD-ROM, ou qualquer outra forma de meio de armazenamento conhecido na técnica. Um meio de armazenamento pode ser acoplado ao processador de forma que o processador possa ler informação A partir de, e gravar informações para, o meio de armazenamento. Na alternativa, o meio de armazenamento pode ser integral com o processador.
[00123] Aqueles versados na técnica considerarão adicionalmente que os vários blocos lógicos ilustrativos, módulos, circuitos, e etapas de algoritmos descritos em conexão com as modalidades aqui apresentadas podem ser implementados como hardware eletrônico, software de computador, ou combinações de ambos. Para ilustrar claramente essa permutabilidade de hardware e software, vários componentes ilustrativos, blocos, módulos, circuitos, e etapas foram descritos acima geralmente em termos de sua funcionalidade. Fato de se essa funcionalidade é implementada como hardware ou software depende da aplicação específica e das restrições de desenho impostas ao sistema como um todo.
[00124] As várias características da invenção aqui descritas podem ser implementadas em sistemas diferentes sem se afastar da invenção. Deve ser notado que os aspectos precedentes da invenção são meramente exemplos e não devem ser interpretados como limitando a invenção. Da descrição dos aspectos da presente descrição é pretendida para ser ilustrativa, e não para limitar o escopo das reivindicações. Como tal, os presentes ensinamentos podem ser prontamente aplicados a outros tipos de equipamentos e várias alternativas, modificações e variações serão aparentes para aqueles versados na técnica.

Claims (16)

1. Dispositivo, caracterizado pelo fato de que compreende: uma interface de comunicação sem fio adaptada para transmitir e receber dados sem fio para e de uma rede, em que a rede compreende um dispositivo de gerenciamento de chave de sessão (300), uma entidade de gerenciamento de mobilidade, MME, de origem (310a) e uma MME alvo (310b); e um circuito de processamento acoplado comunicativamente com a interface de comunicação sem fio, o circuito de processamento sendo adaptado para: identificar entrada em uma nova área de serviço; transmitir uma solicitação de atualização de área de serviço para a entidade de gerenciamento de mobilidade, MME, alvo (310b); receber uma mensagem de plano de controle da rede indicando relocação de dispositivo de plano de controle ou uma renovação de chave devido a uma mudança de área de serviço em resposta a transmissão da solicitação de atualização de área de serviço; e derivar uma primeira chave para desempenho de procedimentos de comando de modo de segurança, SMC, entre o UE e a MME alvo, em que o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão, SKMF, e a primeira chave é baseada em parte em (i) dados incluídos na mensagem de plano de controle recebida e (ii) uma segunda chave compartilhada entre o dispositivo e o dispositivo de gerenciamento de chave.
2. Dispositivo, de acordo com a reivindicação 1, caracterizado pelo fato de que os dados incluídos na mensagem de plano de controle incluem um identificador de dispositivo de plano de controle que identifica um dispositivo de plano de controle que está servindo e/ou servirá o dispositivo.
3. Dispositivo, de acordo com a reivindicação 1, caracterizado pelo fato de que derivar a primeira chave é baseado adicionalmente em parte na Contagem de Chave de valor de contador mantida no dispositivo de gerenciamento de chave e incluída na mensagem de plano de controle.
4. Dispositivo, de acordo com a reivindicação 1, caracterizado pelo fato de que o circuito de processamento é adicionalmente adaptado para: derivar pelo menos uma de Chave de nó B evoluído (eNB), KeNB, uma chave de estrato de não acesso KNAS e/ou uma chave de próximo salto (NH) baseada na primeira chave para comunicações seguras entre o dispositivo e a rede.
5. Dispositivo, de acordo com a reivindicação 1, caracterizado pelo fato de que a nova área de serviço é pelo menos uma de uma nova área de rastreamento e/ou uma nova área de roteamento, e a solicitação de atualização de área de serviço é associada com pelo menos uma de uma atualização de área de monitoramento e/ou uma atualização de área de roteamento.
6. Dispositivo, de acordo com a reivindicação 1, caracterizado pelo fato de que a segunda chave é uma chave de raiz de sessão para uma sessão de autenticação.
7. Dispositivo, de acordo com a reivindicação 1, caracterizado pelo fato de que um dispositivo de plano de controle mantém um contexto de gerenciamento de mobilidade e um contexto de gerenciamento de sessão para o dispositivo, e o dispositivo de gerenciamento de chave mantém a segunda chave.
8. Dispositivo, caracterizado pelo fato de que compreende: uma interface de comunicação sem fio adaptada para transmitir e receber dados de forma sem fio para uma rede, em que a rede compreende um dispositivo de gerenciamento de chave de sessão (300), uma entidade de gerenciamento de mobilidade MME, de origem (310a), e uma MME alvo (310b); e um circuito de processamento acoplado comunicativamente com a interface de comunicação sem fio, o circuito de processamento adaptado para: receber um comando de handover a partir da MME de origem (310a), o comando de handover indicando uma nova área de serviço; derivar uma primeira chave com base nos dados incluídos no comando de handover e em uma segunda chave compartilhada entre o dispositivo e um dispositivo de gerenciamento de chave (300); e enviar uma mensagem de confirmação de handover que é segura com base na primeira chave, em que o comando de handover inclui um identificador de MME alvo associado com a MME alvo servindo a um nó de acesso de rádio alvo (360b) que está servindo e/ou servirá o dispositivo, e em que o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão, SKMF, e o identificador de dispositivo de plano de controle alvo é um identificador de MME associado com a MME alvo.
9. Dispositivo, de acordo com a reivindicação 8, caracterizado pelo fato de que derivar a primeira chave é baseado em parte no identificador de dispositivo de plano de controle alvo.
10. Dispositivo, de acordo com a reivindicação 8, caracterizado pelo fato de que derivar a primeira chave é baseado adicionalmente em parte em uma Contagem de Chave de valor de contador mantida no dispositivo de gerenciamento de chave.
11. Dispositivo, de acordo com a reivindicação 8, caracterizado pelo fato de que a segunda chave é uma chave de raiz de sessão para uma sessão de autenticação.
12. Dispositivo de rede associado com uma rede, em que a rede compreende um dispositivo de gerenciamento de chave de sessão (300), uma entidade de gerenciamento de mobilidade de origem, MME (310a) e uma MME alvo (310b), o dispositivo de rede sendo caracterizado pelo fato de que compreende: uma interface de comunicação adaptada para transmitir e receber informações; e um circuito de processamento comunicativamente acoplado à interface de comunicação, o circuito de processamento adaptado para: receber uma solicitação de atualização de área de serviço a partir de um dispositivo de usuário para o qual o dispositivo de rede não tem um contexto de dispositivo ou o dispositivo de usuário tem mudado de áreas de serviço; transmitir uma solicitação para uma primeira chave para o dispositivo de gerenciamento de chave; receber a primeira chave a partir do dispositivo de gerenciamento de chave, a primeira chave baseada em parte em (i) uma segunda chave compartilhada entre o dispositivo de gerenciamento de chave e o dispositivo de usuário e (ii) um identificador de MME que identifica o dispositivo de rede; e transmitir uma mensagem de plano de controle para o dispositivo de usuário que inclui dados permitindo que o dispositivo de usuário derive a primeira chave, em que a mensagem de plano de controle é um comando de modo de segurança de estrato de não acesso, o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão, SKMF, e a segunda chave é uma chave de raiz de sessão para uma sessão de autenticação.
13. Dispositivo de rede, de acordo com a reivindicação 12, caracterizado pelo fato de que o circuito de processamento é adicionalmente adaptado para: transmitir uma atualização de área de serviço para o dispositivo após receber a notificação a partir do dispositivo de que a mensagem de plano controle foi recebida com sucesso.
14. Dispositivo de rede associado com uma rede, em que a rede compreende um dispositivo de gerenciamento de chave de sessão (300), uma entidade de gerenciamento de mobilidade, MME, de origem (310a) e uma MME alvo (310b), o dispositivo de rede sendo caracterizado pelo fato de que compreende: uma interface de comunicação adaptada para transmitir e receber informação; e um circuito de processamento comunicativamente acoplado à interface de comunicação, o circuito de processamento adaptado para: receber uma solicitação de relocação direta no dispositivo de rede a partir de uma MME de origem; transmitir uma solicitação para uma primeira chave para um dispositivo de gerenciamento de chave; receber a primeira chave do dispositivo de gerenciamento de chave, a primeira chave baseada em parte em uma segunda chave compartilhada entre o dispositivo de gerenciamento de chave e um dispositivo; e transmitir uma solicitação de handover para um nó de acesso de rádio alvo, RAN, com uma chave de sessão de RAN derivada a partir da primeira chave; em que o dispositivo de gerenciamento de chave é um dispositivo de função de gerenciamento de chave de sessão, SKMF, e o identificador de dispositivo de plano de controle de origem é um identificador de MME globalmente único, GUMMEI, associado com a MME de origem.
15. Dispositivo de rede, de acordo com a reivindicação 14, caracterizado pelo fato de que o circuito de processamento é adicionalmente adaptado para: transmitir uma mensagem de confirmação para o dispositivo de gerenciamento de chave indicando o recebimento da primeira chave somente após receber a mensagem de confirmação de solicitação de handover a partir da RAN alvo.
16. Dispositivo de rede, de acordo com a reivindicação 14, caracterizado pelo fato de que o circuito de processamento é adicionalmente adaptado para: transmitir uma resposta de relocação direta para o dispositivo de plano de controle de origem que inclui os dados utilizados pelo dispositivo para derivar a primeira chave, em que o dispositivo de rede é um dispositivo de plano de controle alvo que servirá o dispositivo e os dados incluem um identificador de dispositivo de plano de controle alvo que identifica o dispositivo de plano de controle alvo.
BR112018005017-2A 2015-09-15 2016-08-15 Aparelho e método para procedimento de mobilidade envolvendo relocação de entidade de gerenciamento de mobilidade BR112018005017B1 (pt)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562218863P 2015-09-15 2015-09-15
US62/218,863 2015-09-15
US15/089,396 US9883385B2 (en) 2015-09-15 2016-04-01 Apparatus and method for mobility procedure involving mobility management entity relocation
US15/089,396 2016-04-01
PCT/US2016/047101 WO2017048434A1 (en) 2015-09-15 2016-08-15 Apparatus and method for mobility procedure involving mobility management entity relocation

Publications (2)

Publication Number Publication Date
BR112018005017A2 BR112018005017A2 (pt) 2018-10-02
BR112018005017B1 true BR112018005017B1 (pt) 2024-02-27

Family

ID=58237244

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112018005017-2A BR112018005017B1 (pt) 2015-09-15 2016-08-15 Aparelho e método para procedimento de mobilidade envolvendo relocação de entidade de gerenciamento de mobilidade

Country Status (8)

Country Link
US (3) US9883385B2 (pt)
EP (1) EP3351030B1 (pt)
JP (1) JP6812421B2 (pt)
KR (1) KR102355340B1 (pt)
CN (1) CN108141754B (pt)
BR (1) BR112018005017B1 (pt)
TW (2) TWI750130B (pt)
WO (1) WO2017048434A1 (pt)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9883385B2 (en) 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
EP3449679B1 (en) * 2016-04-28 2020-06-03 Telefonaktiebolaget LM Ericsson (PUBL) Handling tracking area information in a wireless communication network
US10362511B2 (en) * 2016-05-17 2019-07-23 Lg Electronics Inc. Method and apparatus for determining PDU session identity in wireless communication system
WO2018000590A1 (zh) * 2016-07-01 2018-01-04 华为技术有限公司 安全协商方法、安全功能实体、核心网网元及用户设备
EP3468253B1 (en) * 2016-07-01 2021-04-14 Huawei Technologies Co., Ltd. Switching method and device
US10219193B2 (en) * 2016-08-22 2019-02-26 Samsung Electronics Co., Ltd. Method and apparatus for providing services of network to terminal by using slice
US10455459B2 (en) * 2016-08-23 2019-10-22 Lg Electronics Inc. Method and apparatus for establishing session for data transmission and reception in wireless communication system
KR102449475B1 (ko) * 2016-10-21 2022-09-30 삼성전자 주식회사 무선 통신 시스템에서 단말이 지원 가능한 네트워크 정보에 기반한 단말의 네트워크 접속 방법 및 장치
JP6763435B2 (ja) * 2016-10-26 2020-09-30 日本電気株式会社 ソースコアネットワークのノード、端末、及び方法
ES2806991T3 (es) * 2016-10-31 2021-02-19 Ericsson Telefon Ab L M Autentificación para sistemas de próxima generación
CN108235317B (zh) * 2016-12-21 2019-06-21 电信科学技术研究院有限公司 一种接入控制的方法及设备
EP3574669B1 (en) * 2017-01-30 2021-10-13 Telefonaktiebolaget LM Ericsson (Publ) Security context handling in 5g during connected mode
EP3574667B1 (en) 2017-01-30 2021-02-24 Telefonaktiebolaget LM Ericsson (PUBL) Methods and apparatueses for security management before handover from 5g to 4g system
EP3520454B1 (en) * 2017-01-30 2024-03-06 Telefonaktiebolaget LM Ericsson (publ.) Security anchor function in 5g systems
WO2018146090A1 (en) * 2017-02-07 2018-08-16 Telefonaktiebolaget Lm Ericsson (Publ) Reset of dynamic allowed area list for a ue
EP3579589B1 (en) * 2017-03-07 2021-05-12 Huawei Technologies Co., Ltd. Session migration method and device
CN109314861B (zh) * 2017-05-04 2021-09-07 华为技术有限公司 获取密钥的方法、设备和通信系统
WO2018223311A1 (en) * 2017-06-07 2018-12-13 Zte Corporation Methods and computing device for facilitating handover from a first network to a second network
EP3648492B1 (en) * 2017-07-27 2021-10-06 Huawei Technologies Co., Ltd. Cell switching method and device
US11071021B2 (en) * 2017-07-28 2021-07-20 Qualcomm Incorporated Security key derivation for handover
CN108966220B (zh) * 2017-07-28 2019-07-23 华为技术有限公司 一种密钥推演的方法及网络设备
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
CN109936444B (zh) * 2017-12-18 2021-07-09 华为技术有限公司 一种密钥生成方法及装置
CN110167081B (zh) * 2018-02-13 2022-07-26 中兴通讯股份有限公司 认证方法及装置、消息处理方法及装置、存储介质
CN110574407B (zh) * 2018-03-06 2023-04-04 联发科技(新加坡)私人有限公司 用于保护初始非接入层消息的用户设备和方法
US11061920B2 (en) 2018-03-28 2021-07-13 Opus Global, Inc. Application programming interfaces (“APIs”) for accessing and amalgamating data from incongruent sources
CN110730485B (zh) 2018-07-17 2021-01-29 华为技术有限公司 切换方法、设备及系统
CN111031486B (zh) * 2018-10-10 2021-05-11 电信科学技术研究院有限公司 一种定位服务密钥分发方法及其装置
WO2020078416A1 (en) * 2018-10-17 2020-04-23 Mediatek Singapore Pte. Ltd. User equipment key derivation at mobility update in mobile communications
CN109548178B (zh) * 2018-12-26 2022-02-08 腾讯科技(深圳)有限公司 一种通信方法和网络设备
CN111404666A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
CN111641947B (zh) * 2019-03-01 2021-12-03 华为技术有限公司 密钥配置的方法、装置和终端
US11671824B2 (en) * 2019-08-26 2023-06-06 Qualcomm Incorporated 5G broadcast/multicast security key refresh
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
US11706619B2 (en) * 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
US11778463B2 (en) 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007004051A1 (en) * 2005-07-06 2007-01-11 Nokia Corporation Secure session keys context
KR101196100B1 (ko) * 2006-05-13 2012-11-02 삼성전자주식회사 통신 시스템에서 인증 방법 및 그 장치
US8094817B2 (en) 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
US8300602B2 (en) * 2006-12-21 2012-10-30 Telefonaktiebolaget Lm Ericsson (Publ) Arrangement and method relating to direct tunnelling in connection with handover in a communications network
US20080181411A1 (en) * 2007-01-26 2008-07-31 Karl Norrman Method and system for protecting signaling information
CN101431797B (zh) * 2007-05-11 2012-02-01 华为技术有限公司 一种注册处理方法、系统及装置
CN101378591B (zh) * 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101400059B (zh) 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
CN101516089B (zh) * 2008-02-18 2012-09-05 中国移动通信集团公司 一种切换方法及系统
CN101610147A (zh) * 2008-06-16 2009-12-23 华为技术有限公司 密钥处理方法、系统、设备及终端
WO2010019020A2 (ko) * 2008-08-15 2010-02-18 삼성전자주식회사 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법
US8131296B2 (en) * 2008-08-21 2012-03-06 Industrial Technology Research Institute Method and system for handover authentication
US9668139B2 (en) * 2008-09-05 2017-05-30 Telefonaktiebolaget Lm Ericsson (Publ) Secure negotiation of authentication capabilities
WO2010093200A2 (en) * 2009-02-12 2010-08-19 Lg Electronics Inc. Method and apparatus for traffic count key management and key count management
GB0912944D0 (en) * 2009-07-24 2009-09-02 Vodafone Plc SMS over lte sgs interface optimisations
KR20110020161A (ko) * 2009-08-21 2011-03-02 엘지전자 주식회사 이동통신 네트워크 내에서 제어 평면(Control Plane)을 담당하는 서버 및 SIPTO 기반의 세션을 제어하는 방법
US8570995B2 (en) * 2009-09-30 2013-10-29 Nokia Corporation Apparatus and method for providing access to a local area network
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
WO2011060837A1 (en) 2009-11-23 2011-05-26 Telefonaktiebolaget L M Ericsson (Publ) Access control according to a policy defined for a group of associated electronic devices comprising a cellular modem
KR20120099794A (ko) * 2009-12-28 2012-09-11 인터디지탈 패튼 홀딩스, 인크 사물 지능 통신 게이트웨이 아키텍쳐
US9084110B2 (en) * 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
CN101860862B (zh) * 2010-05-17 2015-05-13 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
KR101712865B1 (ko) * 2010-09-09 2017-03-08 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치
US20120159151A1 (en) 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
JP5865992B2 (ja) * 2011-03-23 2016-02-17 インターデイジタル パテント ホールディングス インコーポレイテッド ネットワーク通信をセキュアにするためのシステムおよび方法
US8838971B2 (en) * 2012-01-16 2014-09-16 Alcatel Lucent Management of public keys for verification of public warning messages
US20130196631A1 (en) * 2012-01-31 2013-08-01 Qualcomm Incorporated Methods and apparatus for providing network-assisted end-to-end paging between lte devices tracked by different mobility management entities
CN103686708B (zh) * 2012-09-13 2018-01-19 电信科学技术研究院 一种密钥隔离方法及设备
US9596630B2 (en) * 2012-11-06 2017-03-14 Telefonaktiebolaget Lm Ericsson (Publ) Source based selection of serving operator
US9794836B2 (en) * 2012-12-24 2017-10-17 Nokia Technologies Oy Methods and apparatus for differencitating security configurations in a radio local area network
JP2016526805A (ja) * 2013-06-28 2016-09-05 日本電気株式会社 セキュアシステム、及び、セキュア通信を行う方法
US20170251357A1 (en) * 2014-09-05 2017-08-31 Nec Corporation Method and device for transferring mobility management and bearer management
CN104661217A (zh) * 2015-02-09 2015-05-27 哈尔滨工业大学深圳研究生院 基于td-lte网络的鉴权和密钥衍生方法及系统
US9883385B2 (en) 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation

Also Published As

Publication number Publication date
JP2018527837A (ja) 2018-09-20
TWI705728B (zh) 2020-09-21
JP6812421B2 (ja) 2021-01-13
US20200037155A1 (en) 2020-01-30
US9883385B2 (en) 2018-01-30
CN108141754A (zh) 2018-06-08
EP3351030B1 (en) 2021-03-31
CN108141754B (zh) 2021-12-28
US20170078874A1 (en) 2017-03-16
TWI750130B (zh) 2021-12-21
WO2017048434A1 (en) 2017-03-23
KR102355340B1 (ko) 2022-01-24
US10462656B2 (en) 2019-10-29
US20180063707A1 (en) 2018-03-01
TW201713149A (zh) 2017-04-01
KR20180053373A (ko) 2018-05-21
EP3351030A1 (en) 2018-07-25
BR112018005017A2 (pt) 2018-10-02
TW202037217A (zh) 2020-10-01
US11178543B2 (en) 2021-11-16

Similar Documents

Publication Publication Date Title
US11178543B2 (en) Apparatus and method for mobility procedure involving mobility management entity relocation
US10674355B2 (en) Apparatuses and methods for wireless communication
US20130137398A1 (en) Local security key update at a wireless communication device
BR112020002515A2 (pt) método de acionamento de autenticação de rede e dispositivo relacionado
WO2018076740A1 (zh) 数据传输方法及相关设备
Taneja Lightweight protocols for LTE M2M networks

Legal Events

Date Code Title Description
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B06A Patent application procedure suspended [chapter 6.1 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 15/08/2016, OBSERVADAS AS CONDICOES LEGAIS