CN101610506B - 防止网络安全失步的方法和装置 - Google Patents

防止网络安全失步的方法和装置 Download PDF

Info

Publication number
CN101610506B
CN101610506B CN2008101468314A CN200810146831A CN101610506B CN 101610506 B CN101610506 B CN 101610506B CN 2008101468314 A CN2008101468314 A CN 2008101468314A CN 200810146831 A CN200810146831 A CN 200810146831A CN 101610506 B CN101610506 B CN 101610506B
Authority
CN
China
Prior art keywords
network
ksi
key
usim
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2008101468314A
Other languages
English (en)
Other versions
CN101610506A (zh
Inventor
陈璟
杨艳梅
许怡娴
马库斯
张爱琴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Shanghai Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Huawei Technologies Co Ltd filed Critical Shanghai Huawei Technologies Co Ltd
Priority to CN2008101468314A priority Critical patent/CN101610506B/zh
Priority to EP09765398.4A priority patent/EP2293610B1/en
Priority to PCT/CN2009/072292 priority patent/WO2009152759A1/zh
Priority to ES09765398.4T priority patent/ES2615956T3/es
Priority to EP16187307.0A priority patent/EP3197191B1/en
Publication of CN101610506A publication Critical patent/CN101610506A/zh
Application granted granted Critical
Publication of CN101610506B publication Critical patent/CN101610506B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Abstract

本发明实施例公开了防止网络安全失步的方法和装置,其中,所述方法包括在适当的时机单独对用户终端(USIM卡部分)的安全参数的处理,或者在用户终端发生网络切换的时候,对用户终端(ME部分)和网络侧进行安全参数的处理。根据本发明实施例,通过适时地改变安全参数,有效地避免了因安全参数失步而使终端接入网络失败的情况,提高了切换相关场景的网络可用性和安全性。

Description

防止网络安全失步的方法和装置
技术领域
本发明涉及通信技术领域,尤其涉及网络安全技术。
背景技术
当前,移动通信已经发展的十分普及,在移动通信过程中,涉及到终端在不同的接入系统间切换的问题。
基站的无线接入网络包括第二代移动通信(2G,Second Generation)、第二代移动通信(3G,Third Generation)以及未来的长期演进(LTE,Long TermEvolve)系统等,终端与各种无线接入网络间的安全保护等级和保护措施是不一样的。这些异构接入网络有不同的接入技术,安全参数结构也不完全相同。终端在这些不同的接入网络之间切换的时候,某些情况下也考虑重用原系统中的安全上下文参数。
图1是通用地面无线接入网络(UTRAN,Universal Terrestrial Radio AccessNetwork)的网络结构。UTRAN包含一个或几个无线网络子系统(RNS)。一个RNS由一个无线网络控制器(RNC)和一个或多个基站(Node B)组成。RNC与CN(核心网Core network)之间的接口是Iu接口,Node B和RNC通过Iub接口连接。在UTRAN内部,无线网络控制器(RNC)之间通过Iur互联,Iur可以通过RNC之间的直接物理连接或通过传输网连接。RNC用来分配和控制与之相连或相关的Node B的无线资源。Node B则完成Iub接口和Uu接口之间的数据流的转换,同时也参与一部分无线资源管理。无线网络子系统(RNS)通过RNC和服务支撑节点(SGSN,GPRS Serving GPRS SupportNode)的Iu接口和核心网相连。
用户设备(UE,User Equipment)接入UTRAN网络,经过鉴权和密钥协商(AKA,Authentication and Key Agreement)以后,UE和网络侧共同产生加密密钥(CK,Ciphering Key)和完整性保护的密钥(IK,Integrity Key)。
密钥标识KSI(Key Set Identifier)是一个3比特位的值,用来标识密钥CK,IK。KSI的值范围为[0,111],但是,当KSI的值为111的时候,即指示CK,IK密钥不可用,当UE下一次附着(Attach)的时候,网络侧,例如SGSN会检测到KSI为111的情况,从而触发新的认证过程(AKA,Authentication and Key Agreement)。
CK,IK密钥针对不同域的类型(分组域或者电路域)又分为两套:分组域的密钥,CKps、IKps和电路域的密钥,CKcs、IKcs
CK,IK密钥是有生命期的,是由START值来标识的,START范围为[0,门限值],当CK,IK在原AKA中新生成的时候,START值为0.随着CK,IK密钥的使用,START值不断增加,直到门限。当START值到达门限的时候,会触发新的AKA。
当移动终端(ME,Mobile Equipment)掉电的时候,ME上所存储的根密钥Kasme以及START值和KSIasme全部被清除。当ME再次上电的时候,通用用户识别模块(USIM,Universal Subscriber Identity Module)卡里面保存的安全参数(例如CKps,IKps,KSI,START值)会发送到ME,这样,CKps,IKps密钥也可以正常重复使用,而不需要新的AKA。
图2为演进的UTRAN(EUTRAN,Evolved UTRAN)的网络结构,包括eNB(EUTRAN NodeB),eNB之间有X2接口实现数据和信令的交互。eNB通过S1接口连接到演变分组核心(EPC Evolved Packet Core)网络的移动性管理实体(MME,Mobility Management Entity),eNB通过S1接口连到服务网关(S-GW,the Serving Gateway)。EUTRAN网络中只有分组域,所以只有CKps、IKps,在后文中,如无特别说明,所述的CK、IK均表示分组域密钥。
UE接入EUTRAN网络,经过认证以后,UE和网络侧共同产生CKps、IKps,保存在UE中的USIM卡中。由CKps、IKps进一步推演得到接入安全管理实体(ASME,Access Security Management Entity)根密钥Kasme,保存在UE中的移动设备(ME,Mobile Equipment)部分。在EUTRAN中接入安全管理实体就是MM。
当UE从EUTRAN移动(包括active状态下的切换handover和idle状态下的移动mobility)到UTRAN中,可以由根密钥Kasme推演得到新的密钥CKps’和IKps’(这里的CKps’、IKps’和前述的CKps、IKps是不等值的)。同样,当UE从UTRAN移动到EUTRAN,也可以由CK,IK推演得到根密钥Kasme
下面以两个典型的实例来说明终端和网络侧安全参数失步的场景。
第一个场景,UE最初在EUTRAN网络完成初始认证AKA,当UE从EUTRAN移动到UTRAN时,由EUTRAN中使用的Kasme来推演UTEAN中使用的CK、IK。
最初UE在EUTRAN网络,经过原AKA,产生了包括CKps、IKps以及Kasme的密钥标识KSIasme,ME中也保存KSIasme和Kasme,如图3所示。
当UE从一个EUTRAN的分组网络移动到UTEAN的分组网络时,需要利用ME中保存的Kasme来产生新的CKps’和IKps’,ME中还保存了密钥标志KSI,其中,KSI=KSIasme,如图4所示。
当UE从EUTRAN网络移动到UTRAN网络后,如果ME突然掉电(类似于手机拔掉电池),这个时候,网络侧GPRS支持节点(SGSN)还会暂时保存原来ME的安全密钥参数,即KSI,CKps’、IKps’。ME中的存储安全密钥已经完全因为掉电删除。USIM中还存有原来的KSIasme,以及CKps,IKps,如图5所示。
当用户再次开机时,UE上电,此时,ME读取USIM中保存的安全参数,包括CKps,IKps,以及KSI。这个时候,网络侧SGSN还保存有原来ME中的安全参数,即CKps’、IKps’、KSI,如图6所示。
在现有技术中,当UE重新开机附着UTRAN网络的时候,在安全上下文建立的过程中,ME将安全密钥标识发送给SGSN,SGSN比较接收到的KSI与自身保存的KSI相同,即认为ME和SGSN存有相同的加密密钥和完整性保护密钥。不需要新的AKA过程。本发明人在研究中发现,实际上如图6所示的情况下,ME上保存的是终端在EUTRAN系统中使用的是CKps,IKps,SGSN上保存的是在EUTRAN切换至UTRAN时,MME上由Kasme推演得到的CKps’、IKps’,ME和SGSN上保存的完整性保护密钥和加密密钥并不相同,所以网络安全参数失步会导致终UE接入网络失败。
第二个场景,UE从初始网络移动到EUTRAN网络,再从EUTRAN网络移动到UTRAN网络,其中所述的初始网络可以是GMS网络或者UTRAN网络,当UE最初在UTRAN网络进行了初始认证AKA,USIM卡存储了UE在UTRAN网路中的安全上下文CKps,IKps,以及密钥标识KSI。
当UE从UTRAN网路移动到EUTRAN网络时,需要根据USIM卡存储的Ckps,IKps推演得到UE在EUTRAN中的安全上下文Kasme。此时USIM卡中保存着CKps、IKps以及密钥标识KSI,ME中保存KSI和Kasme,其情形类似与上述场景一的UE直接在EUTRAN中AKA的结果,如图3所示。
当UE从EUTRAN网络移动到UTRAN网络后,进一步从Kasme进行密钥推演CKps’、IKps’,KSI未变化。如果ME突然掉电(类似于拔掉电池),这时,网络侧的SGSN还会暂时保存原来ME的安全密钥参数,即KSI,CKps’、IKps’。ME中的存储安全密钥已经完全因为掉电删除。USIM中还存有原来的KSIasme,以及CKps,IKps,这一过程与场景一类似,结果如图5所示。
当用户再次开机时,UE上电,此时,ME读取USIM中保存的安全参数,包括CKps,IKps,以及KSI。这个时候,网络侧SGSN还保存有原来ME中的安全参数,即CKps’、IKps’、KSI,如图6所示。
和上述场景一同样的情形,当UE重新开机附着UTRAN网络的时候,在安全上下文建立的过程中,ME将安全密钥标识发送给SGSN,SGSN比较接收到的KSI与自身保存的KSI相同,即认为ME和SGSN存有相同的加密密钥和完整性保护密钥。不需要新的AKA过程。实际上如图6所示的情况下,ME上保存的是CKps,IKps,SGSN上保存的是在EUTRAN切换至UTRAN时,MME上由Kasme推演得到的CKps’、IKps’,ME和SGSN上保存的完整性保护密钥和加密密钥并不相同,所以网络安全参数失步会导致终UE接入网络失败。
类似的,当UE最初在GSM网络进行了初始AKA后,USIM卡中保存了GSM初始AKA的安全参数,然后UE移动至EUTRAN网络,进行密钥的推演,当UE再次从EUTRAN网络移动到UTRAN网络或者GSM网络,ME掉电,然后开机。其网络安全参数失步导致终UE接入网络失败的原理等同于场景二。
发明内容
有鉴于此,本发明实施例的目的是提供防止网络安全失步的方法和装置,从而避免因网络安全参数失步导致用户接入网络失败的情况。
为实现本发明实施例的目的,本发明实施例提供了如下技术方案:
一种防止网络安全失步的方法,包括:
用户终端与网络进行鉴权和密钥协商AKA;
修改AKA过程中产生的安全参数。
一种防止网络安全失步的方法,包括:
在进行网络切换时,根据原网络的密钥标识获得新密钥标识;
将所述新密钥标识作为目标网络的密钥标识。
一种防止网络安全失步的装置,该装置位于用户终端侧,包括:
接入单元,用于接入原网络,在原网络进行AKA;
更改单元,用于将USIM的安全参数设置为不可用状态。
一种用于防止网络安全失步的终端,所述终端包括上述防止网络安全失步的装置。
一种防止网络安全失步的装置,所述装置位于网络侧,包括:
接收单元,用于在网络切换时,接收密钥标识;
修改单元,用于修改密钥标识;
通知单元,用于发送通知信息通知新的网络标识。
一种防止网络安全失步的网络侧设备,包括上述防止网络安全失步的网络侧装置。
一种解决网络安全失步的方法,包括:
网络进行安全参数匹配;
网络向终端发送启动安全模式命令信息;
网络在预定时限内没有收到终端的回复消息;
网络侧发起重认证过程。
一种解决网络安全失步的装置,所述装置包括:
接收单元,用于接收用户终端发送的安全参数;
匹配单元,用于将接收到的安全参数与自身的安全参数进行匹配;
发送单元,用于向用户终端发送安全信息;
发起单元,用于在预定时限内没有收到终端的回复消息时重新发起AKA。
一种解决网络安全失步的网络侧设备,所述设备包括上述解决网络安全失步的网络侧装置。
可见,通过在适当的时机单独对用户终端(USIM卡部分)的安全参数的处理,或者在用户终端发生网络切换的时候,对用户终端(ME部分)和网络侧进行安全参数的处理。根据本发明实施例,通过适时地改变安全参数,有效地避免了因安全参数失步而使终端接入网络失败的情况,提高了切换相关场景的网络可用性和安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有UTRAN网络结构示意图;
图2为现有EUTRAN网络结构示意图;
图3为现有网络切换中间过程示意图;
图4为现有网络切换中间过程示意图;
图5为现有网络切换中间过程示意图;
图6为现有网络切换中间过程示意图;
图7为本发明实施例一所提供的方法的流程图;
图8为本发明实施例二所提供的方法的流程图;
图9为本发明实施例三所提供的方法的流程图;
图10为本发明实施例三所提供的方法的信令图;
图11为本发明实施例四所提供的方法的流程图;
图12为本发明实施例四所提供的方法的信令图;
图13为本发明实施例五所提供的方法的流程图;
图14为本发明实施例六所提供的方法的流程图;
图15为本发明实施例六所提供的方法的信令图;
图16为本发明实施例七所提供的方法的流程图;
图17为本发明实施例七所提供的方法的信令图;
图18为本发明实施例八所提供的方法的流程图;
图19为本发明实施例八所提供的方法的信令图;
图20为本发明一实施例所提供的装置的结构示意图;
图21为本发明另一实施例所提供的装置的结构示意图;
图22为本发明另一实施例所提供的装置的结构示意图;
图23为发明实施例九所提供的方法的信令图;
图24为发明实施例十所提供的方法的信令图;
图25为发明实施例十一所提供的方法的信令图。
具体实施方式
为使本发明实施例的目的、技术方案及优点更加清楚明白,以下对本发明实施例作进一步详细说明。
本发明实施例中所提到的切换包括终端在空闲状态下的移动(idlemobility)和终端在激活状态下的切换(active handover)。
图7为本发明的实施例一,在该实施例中,实现本发明实施例所提供的防止网络安全失步的方法包括以下步骤:
步骤701:用户终端在原网络(例如EUTRAN网络)进行鉴权和密钥协商(AKA)。
其中所述原网络为EUTRAN网络,经过AKA过程,产生了包括CKps、IKps以及Kasme和Kasme的密钥标识KSIasme,CKps、IKps、KSIasme保存在USIM中,ME中保存了和USIM中同样的KSIasme。与现有技术相同,不再赘述。
步骤702:修改安全参数。
优选地,在步骤702之后,还包括:
重新触发AKA,生成新的安全参数信息。
在不同的实施例中,修改安全参数可以采用不同的方式来实现,下面结合不同的方式,对本发明实施例进行详细描述。
实施例二,在该实施例中,通过将USIM的安全参数设置为不可用状态来实现修改安全参数。所述不可用状态是指:通过修改USIM中的安全参数,使得它们不可用。参见图8,该实施例具体包括以下步骤:
步骤801:用户终端在原网络进行AKA。
其中所述原网络为EUTRAN网络、UTRAN网络或者GSM网络。
当UE处于EUTRAN网络,经过初始网络的AKA过程,产生了包括CKps、IKps以及Kasme或者KSI和Kasme的密钥标识KSIasme,CKps、IKps以及Kasme和KSIasme保存在USIM中,ME中也保存了USIM中同样的KSIasme和Kasme。
当UE处于UTRAN网络,经过UTRAN AKA过程,产生了包括CKps、IKps以及密钥标识KSI,存储在ME中。当ME向USIM卡发送指令要求USIM卡保存安全参数,USIM卡中也会保存CKps,IKps以及KSI。
步骤802:将USIM的安全参数设置为不可用状态。
其中,将USIM的安全参数设置为不可用状态又有多种实现方式,包括将USIM中的START值置为门限,将密钥标识KSI置为111,将密钥CK,IK删除等下面分别通过实施例详细说明。
实施例三,在该实施例中,通过改变USIM中START的值来使得USIM为不可用状态,参见图9,该实施例具体包括以下步骤:
步骤901:用户终端在原网络进行AKA。
步骤902:将USIM的START值置为门限值;
或者删除CK,IK;
或者将KSI置成111。
图10为本实施例所提供的一个例子的对应的信令流程图,在该图中,UE在EUTRAN网络中,具体步骤为:
步骤1~步骤2:UE在E-UTRAN网络中,UE通过eNB向MME发送业务请求消息。
步骤3:MME中没有UE的安全参数,触发AKA过程,UE和MME产生根密钥Kasme。
步骤4:在UE侧,ME将USIM中的START值置为门限。
当USIM的START值被置为门限值时,CK,IK就不能再被使用(或者CK,IK被删除),当用户终端(ME部分)掉电又再次上电,ME将从USIM中读取安全参数。当网络侧接收到终端的附着请求(携带密钥标识KSI)而发现KSI所对应的原CK,IK不可用(或者因为CK,IK已经被删除,终端在附着请求中无法携带密钥标识KSI),网络侧则判断触发新的认证过程,不会出现前述的网络安全失步的状况。
实施例四,在该实施例中,在用户终端在网络中发生切换,用户终端发生密钥推演(例如终端从EUTRAN切换到UTRAN,终端的ME部分以及网络侧的密钥由Kasme推演得到Ckps’,IKps’之后,通过将USIM中的密钥置成无效(包括将KSI置成111,和/或将USIM中的START值置为门限,和或将USIM中的CK,IK密钥删除)来使USIM中的安全参数不可用,参见图11,该实施例具体包括以下步骤:
步骤1101:用户终端在原网络进行AKA。
过程与前述实施例中基本相同,不再赘述。
步骤1102:用户终端进行网络切换,生成推演密钥,同步到网络侧。
当用户网络切换成功后,网络侧的SGSN与ME上的信息同步,SGSN保存有ME的安全参数,即CKps’、IKps’、KSI。
步骤1103:将USIM中的KSI置成111。
KSI可以是一个数字,占3bit,即用7个值来标识密钥集。值111被终端用来表示KASME或者CK,IK不可用,如果将KSIASME或KSI被置为111。
通过将将USIM中的KSI置成111,表明当前没有可用的CKps,IKps,从而触发在后续的流程中(例如重新开机或者终端进行网络切换)触发新的AKA过程,建立新的安全参数。
图12为该实施例所提供的一个例子的信令流程图,在该图中,UE从一个EUTRAN的分组网络切换到UTRAN的分组网络,其中步骤1~11与现有技术中网络切换步骤相同,此处不再赘述。
步骤12:网络切换完成后,将USIM中的KSI置为111。
当用户再次开机时,网络检测到UE上报的KSI值为111,和/或UE无法上报KSI值,时就会触发AKA过程,生成新的密钥,避免了网络安全失步现象的出现。
实施例五,参见图13,在该实施例中,使USIM中的KSI发生变化,该实施例具体包括:
步骤1301:用户终端在原网络进行AKA。
过程与前述实施例中都相同,不再赘述。
步骤1302:用户终端进行网络切换,生成推演密钥,并同步到网络侧。
当用户网络切换成功后,网络侧的SGSN与ME上的信息同步,SGSN保存有UE的安全参数,即CKps’、IKps’、KSI。
步骤1303:改变USIM中的KSI值。
其中改变USIM中的KSI值可以采用多种方法,例如,令KSI=KSI+1。
当用户从EUTRAN切换到UTRAN后,如果断电,当用户再开机,ME向网络侧发送用户标识包括KSI标识,网络侧检查对比KSI。
网络侧的SGSN上保存的是网络转换完成时ME上的KSI。在网络转换完成后,改变UTRAN中KSI的值,例如可以将KSI置为KSI’=KSI+1,用户在断电时,ME中存储的安全密钥因断电而丢失,开机时,ME读取USIM中的信息,所读取的就是改变之后的KSI’值。这样用户发送KSI’与网络侧的KSI不同,则认为没有可用的密钥CK,IK,USIM处于不可用状态。那么就重新触发AKA过程。避免了因安全参数失步而导致终端接入网络失败的情况。
实际应用中,还可以通过改变网络的密钥标识KSI的来实现修改安全参数,包括:
用户终端在原网络AKA;
在进行网络切换时,根据原网络的密钥标识获得新密钥标识;
将所述新密钥标识作为目标网络的密钥标识。
其中,根据原网络的密钥标识获得新密钥标识又包括接收原网络传递的密钥标识,将其进行改变或者接受由原网络密钥标识改变后的新密钥标识,
实施例六,参见图14,在该实施例中,通过改变原网络的密钥标识来防止网络安全失步,该实施例具体包括以下步骤:
步骤1401:用户终端在原网络AKA;
步骤1402:在进行网络切换时,改变原网络的密钥标识。
步骤1403:将新产生的密钥标识发送给目标网络。
通过以下方法改变所述网络侧的密钥标识:
基于原有的密钥标识值计算得到新密钥标识值;和/或
给密钥标识值赋予一个新密钥标识的名称;或者
从网络实体请求得到新密钥标识;或者
根据预设算法计算得到新密钥标识。
图15为本实施例所提供的一个例子的信令流图,原网络为EUTRAN网络,目标网络为UTRAN网络,具体步骤包括:
步骤1:UE向目标SGSN发送RAU请求,携带UE保存的密钥标识KSI,临时身份标识等。
步骤2:目标SGSN向原MME请求安全参数,携带从UE处得到的TMSI标识。
步骤2a:原MME进行密钥推演,从Kasme推演得到CKps’,IKps’。
步骤2b:原MME得到一个新的KSI密钥标识。
其中,所述新的KSI由所述原MME产生,例如消息1中原有的KSI的基础上演变更新,例如new KSI=old KSI+1;或者基于一定的默认算法计算获得;或者是基于正常AKA过程的步骤产生的。
在其他实施例中,所述性的KSI由所述原MME向网络实体(例如HSS)请求得到。
所述原MME也可以将这一新密钥标识赋予新的名称,例如KSInew或KSIUTRAN,有别于在EUTRAN中使用的KSI,在目标网络中使用的是KSIUTRA,而这个新的密钥标识的值KSInew可以等于原系统密钥标识的值KSIold,或者KSInew不等于KSIold
在其他实施例中,还可以为KSI增加字段表明是属于何种网络类型安全参数的密钥标识。例如增加两比特来标识KSI所对应的网络类型,01:标识GSM网络;10:标识UTRAN网络;11:标识EUTRAN网络。这样,对于原值相同的密钥标识KSI(3比特),例如110,当增加网络类型后,在GSM网络,UTRAN,EPS网络中的实际KSI标识就是:01110、10110,11110。在实际的不同类型网络的切换过程中,UE和网络侧根据网络类型信息对长度为3bit的KSI原值不作改动,而是在原值上增加不同的网络类型的标识。
当UE发起层3消息(例如attach消息,Service request业务请求消息)携带具有网络类型标识的KSI时(对应背景技术中已经讲述的场景,图19),网络侧就能够判断两端KSI(添加了网络类型值,5比特)不一致,而触发新的AKA过程,防止网络安全上下文失步。
步骤3.SGSN获得MME发送过来的安全参数,包括推演得到的CKps’,IKps’,以及新的KSI密钥标识。
步骤4:可选地,如果步骤1中,从UE发送过来的KSI为111或者其他需要,触发新的AKA过程。也会生成新的KSI。
步骤5:SGSN发出安全模式命令(Security Mode Command),包括从原MME处得到的推演密钥CKps’,IKps’和SGSN允许的加密算法UEAs和完整性保护算法UIAs。
步骤6:RNC选择最终的加密算法UEA和完整性保护算法UIA,将安全模式命令(Security Mode Command)发送给UE。
步骤7:UE从Kasme推演CKps’,IKps’;
步骤8:UE发出安全模式命令完成(Security Mode Comelepte)消息。
步骤9:RNC将安全模式命令完成(Security Mode Comelepte)消息传给SGSN。
步骤10:SGSN向UE发出RAU Accept消息(完整性保护),携带上述步骤2b中得到的new KSI。
步骤11:UE收到RAU Accept消息,回给SGSN RAU Compelete消息。
基于以上的解决方法,对于切换后UTRAN系统中使用的密钥,无论是由原系统密钥Kasme推演得到的,还是由新的AKA过程得到的,都会生成一个新密钥标识new KSI。
这样,切换之后,new KSI和UE的USIM中保存的Kasme就不相等了。如果,此时UE在UTRAN中掉电,ME中的密钥被清除。
再次开机时,ME从USIM中读取CK,IK,以及Kasme。SGSN中还存有推演后生成的CKps’、IKps’,KSI。而KSI和Kasme不等,就不会出现安全失步的问题。而是触发新的AKA过程。
实施例七,在该实施例中,通过改变网络的密钥标识KSI的来实现修改安全参数。参见图16,该实施例具体包括以下步骤:
步骤1601:用户终端在原网络AKA;
步骤1602:在进行网络切换时,改变目标网络的密钥标识。
执行产生新密钥标识的实体可以是原网络的网元(例如MME),或者目标网络的网元(例如SGSN)。
通过以下方法改变所述网络侧的密钥标识:
基于原有的密钥标识值计算得到新密钥标识值;和/或
给密钥标识值赋予一个新密钥标识的名称;或者
从网络实体请求得到新密钥标识;或者
根据预设算法计算得到新密钥标识。
步骤1603:用户终端得到相同的新密钥标识。
包括网络侧将新产生的密钥标识通知用户终端,或者用户终端基于和网络侧同样的计算策略(例如同样的算法)基于旧的密钥标识在用户终端本地计算得到新密钥标识。
图17为本发明实施例所提供的一个例子的信令流图,包括:
步骤1:UE向目标SGSN发送RAU请求,携带UE保存的KSI,临时身份标识等。
步骤2:目标SGSN向原MME请求安全参数,携带从UE处得到的TMSI标识。
步骤2a:原MME进行密钥推演,从Kasme推演得到CKps’,IKps’。
步骤3.SGSN获得MME发送过来的安全参数,包括推演得到的CK’,IK’,以及KSI密钥标识。
步骤3a:基于old KSI和默认算法来生成一个新的KSI。目标SGSN也可以将这一新密钥标识赋予新的名称,例如KSInew,KSIUTRAN(有别于原KSI是在EUTRAN中使用的,KSIUTRAN是在目标网络中使用)等。
步骤4:可选地,如果步骤1中,从UE发送过来的KSI为111或者其他需要,触发新的AKA过程。也会生成新的KSI。
步骤5:SGSN发出安全模式命令(Security Mode Command),包括从原MME处得到的推演密钥CKps’,IKps’和SGSN允许的加密算法UEAs和完整性保护算法UIAs。
步骤6:RNC选择最终的加密算法UEA和完整性保护算法UIA,将安全模式命令(Security Mode Command)发送给UE。
步骤7:UE从Kasme推演CKps’,IKps’。
步骤7a:基于old KSI和默认算法来生成新的KSI。
步骤8:UE发出安全模式命令完成(Security Mode Comelepte)消息。
步骤9:RNC将安全模式命令完成(Security Mode Comelepte)消息传给SGSN。
步骤10:SGSN向UE发出RAU Accept消息(完整性保护),携带上述步骤2b中得到的new KSI。
步骤11:UE收到RAU Accept消息,回给SGSN RAU Compelete消息。
本方法实施例的效果与图15的效果相同,此处不再赘述。
实施例六和实施例七介绍的是用户终端在空闲状态的“切换”(idlemobility)场景,对于用户终端在激活状态下的切换(active handover)场景,其实现方法可以类比,这里不再赘述。
实施例八,在本实施例中,针对已经发生网络安全失步的情况,提供一种补救方法,如图18所示,该方法包括:
1801:终端上的安全参数与网络的安全参数不匹配,网络安全失步。
1802:终端丢弃收到信息。
1803:网络在预定时限内没有收到终端的回复消息。
1804:网络侧发起重认证过程。
图19为本发明实施例所提供的信令流图,包括:
步骤1:用户的移动终端MS(Mobile station)发起附着请求,MS和SRNC(服务无线网络控制器Serving Radio Network Controller)之间建立RRC(无线资源控制Radio Resource Control)连接。
步骤2:MS向SGSN发送附着请求消息,在请求消息里面携带MS里面已经有的密钥标识KSI。
步骤3:网络侧将本地存储的CK,IK对应的密钥标识KSI’和收到的KSI进行对比,发现两者值相等,则认为网络侧和终端侧存有相同的密钥CK,IK。可以使用原来的安全参数,不需要新的AKA认证过程。
步骤4:SGSN下发安全模式命令,通知终端启用哪种安全算法,并且指示加密和完整性保护的启动时间,并且加上了完整性保护的MAC计算值。该消息是以IK(网络侧存储的,在这里,网络侧则认为终端也有同样的IK)进行完整性保护的。
步骤5~6:当UE收到安全模式命令,首先用终端上的IK’值对此消息进行完整性校验,但是因为事实上,IK和IK’并不相等,所以,终端用IK’计算的MAC’和消息中携带的MAC值并不相等,终端认为接收到的消息有误,从而丢弃。
步骤7~8:网络侧因为没有收到回复,会在一定时间内重复发送安全模式命令,直到超时。
步骤9:发起重认证AKA的过程。
通过本实施例所提供的方法,解决了前述的网络安全失步的状况。
本发明实施例还提供一种解决网络安全失步的方法,包括:
网络进行安全参数匹配。
网络向终端发送启动安全模式命令信息。
网络在预定时限内没有收到终端的回复消息。
网络侧发起重认证过程。
通过本发明实施例所提供的方法,就能解决网络安全失步的问题。
实施例九,在空闲状态,UE首先在UTRAN网络中驻留,完成AKA过程。UTRAN网络进行AKA之后,USIM卡存储了UTRAN网络安全上下文相关的密钥CKps,IKps,以及密钥标识KSI。当UE从UTRAN网络移动到EUTRAN网络,实现的方法如下:
步骤1:UE向目标MME发送TAU请求,携带UE保存的KSI,临时身份标识等。
步骤2:目标MME向原SGSN请求安全参数,携带从UE处得到的临时身份标识。
步骤2a.MME获得SGSN发送过来的安全参数,包括CK,IK,以及KSI密钥标识。
步骤3:目标MME进行密钥推演,从CKps,IKps推演得到Kasme,以及子层密钥KNASenc,KNASint,Kenb。
步骤4:触发可能的AKA过程。
步骤5:MME发出安全模式命令(Security Mode Command),包括从MME处得到的推演密钥Kenb和MME选择的NAS层加密算法和完整性保护算法。
步骤6:eNB选择AS层的加密算法和完整性保护算法,将安全模式命令(Security Mode Command)发送给UE。
步骤7:UE从CKps,IKps推演Kasme,及其子层密钥。
步骤8:UE发出安全模式命令完成(Security Mode Comelepte)消息。
步骤9:eNB将安全模式命令完成(Security Mode Comelepte)消息传递给MME。
步骤10:MME向UE发出TAU Accept消息(完整性保护)。
步骤11:UE收到TAUAccept消息,回给MME TAU Compelete消息。
步骤12:UE将USIM中的KSI置为无效值“111”。
上述步骤1~11均属于现有技术,步骤12是实施例九新增的步骤。通过将将USIM中的KSI置成111,表明当前没有可用的CKps,IKps,从而触发在后续的流程中(例如重新开机或者终端进行网络间切换)触发新的AKA过程,建立新的安全参数。例如当UE从EUTRAN网络移动到UTRAN之后,ME中推演产生新的密钥CKps’,IKps’.当UE在UTRAN网络中,ME掉电。当ME再次上电以后,由于USIM卡中没有安全参数,UE上报的层3消息(如图19所示)中就不会携带密钥标识KSI,当网络侧检测到UE没有携带安全上下文标识,会触发产生新的AKA过程。从而避免了背景技术中所述的安全上下文失步的状况。
实施例十,参见图24的信令流程图。在实施例9的基础上,增加了步骤7b:当UE收到安全模式命令,进行了密钥推演之后,ME向USIM卡发出指令,删除USIM卡中的安全参数(CK,IK,KSI等)。
优选地,将USIM中安全参数删除的步骤也可以在步骤7之前进行。
这样,当UE移动到UTRAN网络,ME掉电,重新开机时,因为USIM卡中的安全参数已经被删除,所以UE上报的KSI值为“111”,当网络侧读取后,会触发一个新的AKA的过程。避免了安全上下文失步的状况。
实施例十和实施例九介绍的是用户终端在空闲状态的“切换”(idlemobility)场景,对于用户终端在激活状态下的切换(active handover)场景,其实现方法可以类比,参见图25,实施例十一是UE在激活状态下的切换(active handover)过程,包括:
步骤1:原RNC发出发出(例如通过分析测量报告)切换决定;
步骤2:RNC向SGSN发出切换请求;
步骤3:SGSN向目标MME转发切换请求,同时携原系统的安全参数。
步骤4:目标MME根据原系统的安全参数Ck,IK推演得到Kasme,并进一步计算子层密钥;
步骤5:目标MME向目标eNB下发切换请求;
步骤6:eNB回复MME;
步骤7:目标MME将切换请求回复转发给原SGSN;
步骤8:原SGSN向RNC发出切换命令;
步骤9:RNC向UE发出切换命令;
步骤10:UE收到切换命令,由CK,IK推演Kasme;
步骤10b:修改USIM参数,包括ME向USIM卡发出指令,要求删除USIM卡里面的安全参数CK,IK。或者将USIM卡中的密钥标识KSI置为无效值“111”;
步骤11:UE向eNB发出切换完成消息;
步骤12:eNB向MME发送切换请求完成消息;
步骤13:MME向SGSN转发切换请求完成消息;
步骤14:SGSN向MME回复切换请求完成消息。
上述步骤中,步骤10b增加了USIM卡中安全参数的处理过程。所述步骤10b也可以发生在步骤9和步骤10之间,这里不再赘述。其有益效果和实施例九,实施例十中所述类似,也不再重复。
与方法实施例相对应,本发明实施例还提供用于防止网络安全失步的装置,参见图20,所述装置位于用户终端侧,包括:
接入单元201,用于接入原网络,在原网络进行AKA。
更改单元202,用于将通用用户识别模块USIM的安全参数设置为不可用状态。
优选地,更改单元包括第一更改单元、第二更改单元、第三更改单元或者第四更改单元,其中:
第一更改单元,用于将USIM的START值置为门限值。
第二更改单元,用于将USIM中的密钥标识KSI置成111。
第三更改单元,用于改变USIM中的密钥标识KSI。
第四更改单元,用于删除USIM中的密钥CK,IK。
通过该变终端中USIM的安全参数,使得USIM的安全参数都不再被使用(例如CK,IK被删除),当用户终端(ME部分)掉电又再次上电,ME将从USIM中读取安全参数,这时已经没有安全参数可用,重新触发新的认证过程,不会出现前述的网络安全失步的状况。
优选地,本装置还包括发送单元,用于将更改单元更改后的KSI发送给网络侧进行安全参数对比。
用户登录网络时,就会将更改之后的密钥标识发送给网络侧进行安全参数对比,如果对比发现不一致,就触发新的认证过程,同样不会出现安全失步的情况。
本发明实施例还提供一种防止网络安全失步的终端,该终端包括上述任意一种防止网络安全失步的终端侧装置。
参见图21,本发明实施例提供一种防止网络安全失步的装置,所述装置位于网络侧,包括:
接收单元211,用于在网络切换时,接收密钥标识。
修改单元212,用于修改密钥标识。
通知单元213,用于发送通知信息通知新的网络标识。
通过本实施例所提供的装置,网络在接受到密钥标识时,对收到的密钥标识做修改。
当所述网络为原网络时,在进行网络切换时,将修改后的密钥标识通过通知单元发送给目标网络,目标网络将收到的密钥标识作为新密钥标识。
当所述网络为目标网络时,可以对接收到的原网络的密钥标识进行修改,将修改后的密钥标识作为新密钥标识,并通过通知单元通知用户终端。
优选地,所述修改单元还包括:
算法模块,用于基于原有的密钥标识值计算得到新密钥标识值;和/或
用于给密钥标识值赋予一个新密钥标识的名称;或者
用于从网络实体请求得到新密钥标识;或者
用于根据预设算法计算得到新密钥标识。
通过不同的算法模块,采用不同的算法对原网络的密钥标识进行修改。所述的修改可以在目标网络进行,也可以在原网络进行。
本发明实施例还提供一种防止网络安全失步的网络侧设备,该设备包括上述防止网络安全失步的网络侧装置。
本发明实施例提供一种补救网络安全失步的装置,参见图22,该装置位于网络侧,该装置包括:
接收单元221,用于接收用户终端发送的安全参数。
匹配单元222,用于将接收到的安全参数与自身的安全参数进行匹配。
发送单元223,用于向用户终端发送安全信息。
发起单元224,用于在预定时限内没有收到终端的回复消息时重新发起AKA。
通过本发明实施例所提供的装置,可以在发生网络安全失步时做出相应的补救,当网络在预设的时限内没有收到用户发出的响应信息时,就主动发起AKA,从而避免了因网络安全失步而造成用户接入网络失败,提高了切换相关场景的网络可用性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (6)

1.一种防止网络安全失步的方法,其特征在于,包括:
用户终端与网络进行鉴权和密钥协商AKA;
修改AKA过程中产生的安全参数,所述修改安全参数包括:
将通用用户识别模块USIM的START值置为门限值;和/或
将所述USIM中的密钥标识KSI置成111;或者
改变所述USIM中的密钥标识KSI;或者
删除所述USIM中的密钥CK,IK。
2.根据权利要求1所述的方法,其特征在于,所述修改AKA过程中产生的安全参数之前还包括:
用户终端与网络进行AKA之后,用户终端进行网络切换,在新的网络生成推演密钥。
3.根据权利要求1或2所述的方法,其特征在于,所述修改AKA过程中产生的安全参数之后,还包括:
重新触发AKA,生成新的安全参数信息。
4.一种防止网络安全失步的装置,该装置位于用户终端侧,其特征在于,包括:
接入单元,用于接入原网络,在原网络进行AKA;
更改单元,用于将USIM的安全参数设置为不可用状态,所述更改单元包括第二更改单元或者第三更改单元或者第四更改单元,其中:
第二更改单元,用于将USIM中的密钥标识KSI置成111;
第三更改单元,用于改变USIM中的密钥标识KSI;
第四更改单元,用于删除USIM中的密钥CK,IK。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括:
发送单元,用于将更改单元更改后的KSI发送给网络侧进行安全参数对比。
6.一种用于防止网络安全失步的终端,其特征在于,所述终端包括权利要求4~5中所述的任何一种装置。
CN2008101468314A 2008-06-16 2008-08-25 防止网络安全失步的方法和装置 Active CN101610506B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN2008101468314A CN101610506B (zh) 2008-06-16 2008-08-25 防止网络安全失步的方法和装置
EP09765398.4A EP2293610B1 (en) 2008-06-16 2009-06-16 Method and device for preventing loss of network security synchronization
PCT/CN2009/072292 WO2009152759A1 (zh) 2008-06-16 2009-06-16 防止网络安全失步的方法和装置
ES09765398.4T ES2615956T3 (es) 2008-06-16 2009-06-16 Método y dispositivo de prevención de pérdida de sincronización de seguridad de red
EP16187307.0A EP3197191B1 (en) 2008-06-16 2009-06-16 Method and apparatuses for avoiding network security desynchronization

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200810039233.7 2008-06-16
CN200810039233 2008-06-16
CN2008101468314A CN101610506B (zh) 2008-06-16 2008-08-25 防止网络安全失步的方法和装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201210031885.2A Division CN102595397B (zh) 2008-06-16 2008-08-25 防止网络安全失步的方法和装置

Publications (2)

Publication Number Publication Date
CN101610506A CN101610506A (zh) 2009-12-23
CN101610506B true CN101610506B (zh) 2012-02-22

Family

ID=41433702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008101468314A Active CN101610506B (zh) 2008-06-16 2008-08-25 防止网络安全失步的方法和装置

Country Status (4)

Country Link
EP (2) EP2293610B1 (zh)
CN (1) CN101610506B (zh)
ES (1) ES2615956T3 (zh)
WO (1) WO2009152759A1 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111765B (zh) * 2009-12-28 2013-10-23 中国移动通信集团公司 一种业务密钥的处理方法和设备
US8666368B2 (en) * 2010-05-03 2014-03-04 Apple Inc. Wireless network authentication apparatus and methods
CN102348206B (zh) * 2010-08-02 2014-09-17 华为技术有限公司 密钥隔离方法和装置
US8681740B2 (en) * 2010-12-21 2014-03-25 Tektronix, Inc. LTE network call correlation during User Equipment mobility
US8417220B2 (en) 2011-04-01 2013-04-09 Renesas Mobile Corporation Method, apparatus and computer program product for security configuration coordination during a cell update procedure
GB2480127B (en) 2011-04-01 2012-05-16 Renesas Mobile Corp Method, apparatus and computer program product for security configuration coordination during a cell update procedure
CN102821385B (zh) * 2011-06-10 2017-03-22 中兴通讯股份有限公司 一种向终端发送公共警报系统密钥信息的方法和网络实体
CN104322089A (zh) * 2012-05-23 2015-01-28 诺基亚公司 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备
CN104427584B (zh) * 2013-08-19 2019-08-16 南京中兴软件有限责任公司 安全上下文处理方法及装置
WO2015180134A1 (en) * 2014-05-30 2015-12-03 Apple Inc. Methods and apparatus to reuse wireless circuitry for multiple subscriber identities in a wireless communication device
CN104469745B (zh) * 2014-11-26 2018-05-01 大唐移动通信设备有限公司 一种完整性保护参数的应用方法及装置
WO2016129238A1 (en) * 2015-02-13 2016-08-18 Nec Corporation Apparatus, system and method for security management
GB2537377B (en) * 2015-04-13 2021-10-13 Vodafone Ip Licensing Ltd Security improvements in a cellular network
CN105959951A (zh) * 2016-04-25 2016-09-21 乐视控股(北京)有限公司 一种移动设备信息同步控制方法及系统
CN108347728B (zh) * 2017-01-23 2021-06-08 中国移动通信有限公司研究院 一种信息处理方法及装置
CN110913393B (zh) * 2018-09-15 2021-09-07 华为技术有限公司 切换方法和终端设备
CN116391376A (zh) * 2020-09-30 2023-07-04 华为技术有限公司 通信方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1521981A (zh) * 2003-02-13 2004-08-18 华硕电脑股份有限公司 无线通信系统上储存安全开始值的方法
CN1553730A (zh) * 2003-05-30 2004-12-08 华为技术有限公司 一种无线局域网中用于移动台切换的密钥协商方法
CN1905734A (zh) * 2005-07-25 2007-01-31 华为技术有限公司 一种目标基站获取鉴权密钥的方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080096530A1 (en) * 2006-10-20 2008-04-24 Innovative Sonic Limited Method for calculating start value for security for user equipment in a wireless communications system and related apparatus

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1521981A (zh) * 2003-02-13 2004-08-18 华硕电脑股份有限公司 无线通信系统上储存安全开始值的方法
CN1553730A (zh) * 2003-05-30 2004-12-08 华为技术有限公司 一种无线局域网中用于移动台切换的密钥协商方法
CN1905734A (zh) * 2005-07-25 2007-01-31 华为技术有限公司 一种目标基站获取鉴权密钥的方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP work term.3GPP TS 25.331 V8.1.0.《3GPP TS 25.331》.2007, *

Also Published As

Publication number Publication date
EP3197191B1 (en) 2019-12-18
EP2293610B1 (en) 2016-11-30
CN101610506A (zh) 2009-12-23
EP2293610A4 (en) 2011-05-18
EP2293610A1 (en) 2011-03-09
WO2009152759A1 (zh) 2009-12-23
ES2615956T3 (es) 2017-06-08
EP3197191A1 (en) 2017-07-26

Similar Documents

Publication Publication Date Title
CN101610506B (zh) 防止网络安全失步的方法和装置
US11632670B2 (en) Method and arrangement in a telecommunication system
CN108632815B (zh) 通信方法与设备
RU2517410C2 (ru) Способ выработки ключа, устройство и система
EP2663107B1 (en) Key generating method and apparatus
CN101232731B (zh) 用于ue从utran切换到eutran的密钥生成方法和系统
CN101647299B (zh) 用于切换失败恢复的方法、设备和计算机程序产品
CN107454679B (zh) 处理无线资源控制连结恢复程序的装置及方法
EP2139175A1 (en) Method, system and apparatus for negotiating the security ability when a terminal is moving
EP2205014A2 (en) Method of handling inter-system handover security in wireless communications system and related communication device
US20180035288A1 (en) Secure establishment method, system and device of wireless local area network
US20110123029A1 (en) Method and system for generating an identity identifier of a key
EP2290875B1 (en) Generating method and system for key identity identifier at the time when user device transfers
CN101257723A (zh) 密钥生成方法、装置及系统
CA3060420A1 (en) Radio link recovery for user equipment
CN102083063B (zh) 一种确定as密钥的方法、系统和设备
CN114642014B (zh) 一种通信方法、装置及设备
CN102917350B (zh) 启用安全密钥的方法,接入网节点、用户设备和系统
CN102595397B (zh) 防止网络安全失步的方法和装置
EP3804374B9 (en) Method and apparatus for security algorithm negotiation
CN101741551A (zh) 确保前向安全的方法、网络设备、用户设备和通信系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220929

Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd.

Address before: 200121 No. 615 Nanjing Road, Shanghai, Pudong New Area

Patentee before: SHANGHAI HUAWEI TECHNOLOGIES CO.,LTD.

TR01 Transfer of patent right