CN101622896A - 用于无线通信的安全密钥生成 - Google Patents
用于无线通信的安全密钥生成 Download PDFInfo
- Publication number
- CN101622896A CN101622896A CN200880006899A CN200880006899A CN101622896A CN 101622896 A CN101622896 A CN 101622896A CN 200880006899 A CN200880006899 A CN 200880006899A CN 200880006899 A CN200880006899 A CN 200880006899A CN 101622896 A CN101622896 A CN 101622896A
- Authority
- CN
- China
- Prior art keywords
- travelling carriage
- safe key
- temporary identifier
- random assignment
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
高效地生成和重新生成用于无线电接入网上的无线通信的安全密钥,而不必同步序列号。响应于预定事件,通过利用与移动台相关联的随机分配的临时标识符,生成至少一个安全密钥,用于在所述移动台与接入网元件之间的无线通信中使用。
Description
技术领域
本发明一般涉及电信。特别地,本发明涉及用于无线通信的安全密钥生成。
背景技术
安全密钥对(例如,加密密钥和完整性保护密钥)现今可以被用于保证无线电接入网上的无线电信业务的安全。例如,第三代合作伙伴项目(3GPP)移动电信网络的当前实施通常实现了用于这样的目的的安全密钥对。
通常,在这些实现中使用的加密是流加密类型(与块加密相对)。如本领域中已知的,流密码一次加密一个明文数位(经常是单个的比特或字节)。因此,后续数位(digits)的变换在加密期间是变化的。
基于加密密钥,流密码生成可以与明文数位组合在一起的密钥流。流密码经常被用于例如像无线通信这样的应用中,在该应用中,明文以大量的不可知长度出现。
然而,即使在切换和状态转移期间(例如,当移动台从空闲状态或模式进入活动状态或模式时),也需要维持连续的密钥流。为此,与无线电资源控制协议(例如,在3GPP移动电信中所使用的)相关的现有技术所教导的一个方法包括:在切换期间同步分组序列号,以便维持连续的密钥流。然而,这种同步引入了与数据安全相关的重大缺陷。例如,同步可能导致序列号以可预测的方式改变,因而提供了潜在的滥用机会。
现有技术所教导的另一种方法是:在返回到先前的基站并且使用在不同情况下相同的密钥资料(keying material)时,使用称为“现时使用(nonce)”的随机参数作为导出安全密钥的输入,这因而允许刷新安全密钥。这种方法例如在无线局域网或WLAN中被使用。然而,这种方法的重大缺陷在于发信号通知“现时使用”引入了大量的附加开销和复杂性。
发明内容
本发明的第一方面是一种方法,在所述方法中,响应于预定事件,通过利用与移动台相关联的随机分配的临时标识符,生成至少一个安全密钥,用于在所述移动台与接入网元件之间的无线通信中使用。
本发明的第二方面是一种装置,所述装置包括安全密钥生成器,所述安全密钥生成器被配置以便:响应于预定事件,通过利用与移动台相关联的随机分配的临时标识符,生成至少一个安全密钥,用于在所述移动台与接入网元件之间的无线通信中使用。
本发明的第三方面是一种设备,所述设备包括安全密钥生成装置,所述安全密钥生成装置用于响应于预定事件,通过利用与移动台相关联的随机分配的临时标识符,生成至少一个安全密钥,用于在所述移动台与接入网元件之间的无线通信中使用。
本发明的第四方面是一种在计算机可读介质上体现的计算机程序,所述计算机程序控制数据处理设备来实现:
响应于预定事件,通过利用与移动台相关联的随机分配的临时标识符,生成至少一个安全密钥,用于在所述移动台与接入网元件之间的无线通信中使用。
在本发明的实施例中,在生成所述至少一个安全密钥中利用随机分配的临时标识符进一步包括:将所述随机分配的临时标识符与预定的安全情境数据进行级联。
在本发明的实施例中,将要生成的所述至少一个安全密钥包括加密密钥和完整性保护密钥中的至少一个。
在本发明的实施例中,所述接入网元件包括当前接入点。
在本发明的实施例中,所述预定事件包括:所述移动台从先前的接入点切换到当前接入点。
在本发明的实施例中,与所述移动台相关联的随机分配的临时标识符包括:被随机分配给在所述移动台与所述当前接入点之间的无线电链路的无线电链路标识符。
在本发明的实施例中,在生成所述至少一个安全密钥中利用被分配给所述当前接入点的接入点标识符。
在本发明的实施例中,与所述移动台相关联的随机分配的临时标识符包括:被随机分配给所述移动台的临时标识符。
在本发明的实施例中,将要生成的所述至少一个安全密钥包括:用于由无线电资源控制信令使用的安全密钥。
在本发明的实施例中,所述接入网元件包括移动性管理元件和用户数据网关中的至少一个。
在本发明的实施例中,所述预定事件包括:在所述移动台处从第一状态到第二状态的状态改变。
在本发明的实施例中,与所述移动台相关联的随机分配的临时标识符包括:被随机分配给所述移动台的临时标识符。
在本发明的实施例中,在生成所述至少一个安全密钥中利用被分配给当前路由区域的路由区域标识符。
在本发明的实施例中,将要生成的所述至少一个安全密钥包括:用于由非接入层信令和用户数据保护中的一个使用的安全密钥。
在本发明的实施例中,所述第二或第三方面的装置被布置在所述移动台处。
在本发明的实施例中,所述第二或第三方面的装置被布置在所述接入网元件处。
可以按照彼此任意组合的方式来使用以上所描述的本发明的实施例。所述实施例的几个可以被组合到一起来形成本发明的进一步的实施例。作为本发明一个方面的方法、装置或计算机程序可以包括以上所描述的本发明的实施例中的至少一个。
本发明允许生成和重新生成安全密钥,以便用于无线电接入网上的无线通信,而不必同步序列号。此外,本发明允许以高效的方式生成和重新生成这些安全密钥。
附图说明
被包括以便提供对本发明的进一步理解并构成本说明书的一部分的附图示出了本发明的实施例,其与说明书一起帮助解释本发明的原理。在附图中:
图1是示出了根据本发明实施例的方法的信令图;
图2是示出了根据本发明另一实施例的方法的信令图;以及
图3是示出了根据本发明实施例的装置的框图。
具体实施方式
现在将详细参照本发明的实施例,附图中示出了所述实施例的例子。
图1是示出了根据本发明实施例的方法的信令图。在步骤100,第一接入点310向第二接入点330发送切换指示消息。第一接入点310已经在使用先前的安全密钥对来与移动台320通信。该切换指示消息指示移动台320将要从第一或先前的接入点310切换到第二或当前的接入点330。在实施例中,该切换指示消息包括指示了先前的安全密钥对的信息。此外,在实施例中,步骤100的切换指示消息可以包括指示了移动台320的安全能力的移动台安全能力信息。此外,在实施例中,步骤100的切换指示消息可以包括指示了移动台320支持哪些安全算法的信息。
在实施例中,安全密钥被用于保证无线电接入网业务的安全,例如,通过以下中的至少一个:加密无线电接入网业务,以及保护无线电接入网业务的完整性。更特别地,在图1的例子中,将要生成的安全密钥可以例如是被用于保证移动台320与第二接入点330之间的无线电资源控制(RRC)信令的安全的RRC密钥。
作为响应,在步骤101,第二接入点330向移动台320与当前或第二接入点330之间的无线电链路随机分配无线电链路标识符(RLID)。在步骤102,第二接入点330向第一接入点310发送安全要求消息,该安全要求消息包括所分配的无线电链路标识符。
作为响应,在步骤103,从第一接入点310向移动台320发送切换消息,其命令移动台320切换到第二接入点330并且该消息包括所分配的无线电链路标识符。
在步骤104,通过利用所分配的无线电链路标识符,第二接入点330生成至少一个安全密钥(在图1所示出的例子中的包括加密密钥和完整性保护密钥的密钥对),以便在移动台320与第二接入点330之间的无线通信中使用。此外,除了所分配的无线电链路标识符之外,在生成所述至少一个安全密钥时,还可以使用被分配给当前或第二接入点330的接入点标识符。类似地,除了所分配的无线电链路标识符之外,在生成所述至少一个安全密钥时,还可以使用被随机分配给移动台320的临时标识符(例如像蜂窝无线电网络临时标识符或C-RNTI,等等)。
在本发明的实施例中,通过将所分配的无线电链路标识符与预定的安全情境数据进行级联,第二接入点330生成所述至少一个安全密钥。例如,可以使用诸如以下的密钥推导函数:
security keys(CK′||IK′)=KDF(CK||IK||RLID||AP Identity||″constant string″);(安全密钥(CK′||IK′)=KDF(CK||IK||RLID||AP身份||“常量串”))
其中,||表示级联,CK表示加密密钥,IK表示完整性保护密钥,AP身份表示被分配给当前接入点330的接入点标识符,并且KDF表示密钥推导函数。
在步骤105,第二接入点330使用其所生成的安全密钥对来开始保证其无线电接入网业务的安全,例如,通过以下中的至少一个:开始加密无线电接入网业务,以及开始保护无线电接入网业务的完整性。
对应地,在步骤106,通过利用在步骤103接收到的所分配的无线电链路标识符,移动台320生成至少一个安全密钥(在图1所示出的例子中的包括加密密钥和完整性保护密钥的密钥对),以便在移动台320与第二接入点330之间的无线通信中使用。此外,在步骤107,移动台320使用其所生成的安全密钥对来开始保证其无线电接入网业务的安全,例如,通过以下中的至少一个:开始加密无线电接入网业务,以及开始保护无线电接入网业务的完整性。
在步骤108,从移动台320向第二接入点330发送切换响应消息。该切换响应消息现在是利用新生成的安全密钥来保证安全的。在步骤109,第二接入点330解密所接收到的切换响应消息,并且在步骤110,通过发送切换确认消息来进行响应。
在实施例中,步骤100的切换指示消息可以例如是3G移动电信网络的情境传送消息等。此外,步骤102的安全要求消息可以例如是3G移动电信网络的情境传送确认消息等。此外,步骤103的切换消息可以例如是3G移动电信网络的切换命令消息等。此外,步骤108的切换响应消息可以例如是3G移动电信网络的切换命令响应消息等。
图2是示出了根据本发明另一实施例的方法的信令图。在步骤201,移动台320从空闲状态进入活动状态。作为响应,在步骤202,临时标识符被随机分配给移动台320。在实施例中,临时标识符可以例如是临时移动订户身份(TMSI),例如像在LTE(长期演进)增强的3GPP移动电信网络技术中所使用的用来在一个路由区域中标识移动台的S-TMSI。在另一实施例中,临时标识符可以例如是与移动台322相关联的路由区域标识符(RAI)。
在实施例中,给定的S-TMSI并不随具有相同密钥资料的相同移动台一起重新使用。换言之,S-TMSI是随机分配的。实现这样的一种方式是:每次重新分配S-TMSI时增加给定的S-TMSI的一些比特,以便使所得到的S-TMSI不同于先前的S-TMSI。在耗尽所有的比特组合之后,密钥资料需要被刷新(例如,在AKA(认证和密钥协议)重新认证的情况下)。实现这样的另一方式是:随机选择S-TMSI并且确保具有相同密钥资料的相同移动台使用相同S-TMSI的可能性相当低。
在步骤203,向移动性管理元件340发信号通知所分配的临时标识符S-TMSI。在实施例中,移动性管理元件340可以例如是LTE增强的3GPP移动电信网络的移动性管理实体(MME)。在任选步骤204,进一步向用户数据网关350发信号通知S-TMSI。在实施例中,用户数据网关350可以例如是LTE增强的3GPP移动电信网络的用户平面实体(UPE)。
在步骤205,通过利用所分配的临时标识符S-TMSI,移动台320生成至少一个第一安全密钥(在图2所示出的例子中的包括第一加密密钥和第一完整性保护密钥的第一密钥对),以便在移动台320与移动性管理元件340之间的无线通信中使用。在实施例中,将要生成的第一安全密钥可以例如是被用于保证移动台320与移动性管理元件340之间的非接入层(NAS)信令的安全的NAS密钥。
此外,在实施例中,在步骤205,通过利用所分配的临时标识符S-TMSI,移动台320生成至少一个第二安全密钥(在图2所示出的例子中的第二加密密钥),以便在移动台320与用户数据网关350之间的无线通信中使用。在实施例中,将要生成的第二安全密钥可以例如是被用于保证移动台320与用户数据网关350之间的用户平面(UP)数据的安全的UP密钥。再者,例如通过将所分配的临时标识符S-TMSI与预定的安全情境数据进行级联,可以生成第一和第二安全密钥。
在步骤206,使用其所生成的安全密钥,移动台320开始保证它与移动性管理元件340和用户数据网关350的无线电接入网业务的安全,例如,通过以下中的至少一个:开始加密无线电接入网业务,以及开始保护无线电接入网业务的完整性。
对应地,在步骤205,通过利用在步骤203接收到的所分配的临时标识符S-TMSI,移动性管理元件340生成至少一个第一安全密钥(在图2所示出的例子中的包括第一加密密钥和第一完整性保护密钥的第一密钥对),以便在移动台320与移动性管理元件340之间的无线通信中使用。在实施例中,将要生成的第一安全密钥可以例如是被用于保证移动台320与移动性管理元件340之间的非接入层(NAS)信令的安全的NAS密钥。再者,例如通过将所分配的临时标识符S-TMSI与预定的安全情境数据进行级联,可以生成NAS密钥。
在步骤208,使用其所生成的安全密钥,移动性管理元件340开始保证它与移动台320的无线电接入网业务的安全,例如,通过以下中的至少一个:开始加密无线电接入网业务,以及开始保护无线电接入网业务的完整性。
对应地,在步骤209,通过利用步骤205的所分配的临时标识符S-TMSI,用户数据网关350生成至少一个第二安全密钥(在图2所示出的例子中的第二加密密钥),以便在移动台320与用户数据网关350之间的无线通信中使用。在实施例中,将要生成的第二安全密钥可以例如是被用于保证移动台320与用户数据网关350之间的用户平面(UP)数据的安全的UP密钥。再者,例如通过将所分配的临时标识符S-TMSI与预定的安全情境数据进行级联,可以生成UP密钥。
在步骤206,使用其所生成的安全密钥,用户数据网关350开始保证它与移动台320的无线电接入网业务的安全,例如,通过开始加密无线电接入网业务。步骤211-212表示利用以上所生成的安全密钥来保证安全的通信。
图3是示出了根据本发明实施例的装置的框图。图3包括第一或先前的接入点310、第二或当前的接入点330、移动台320、移动性管理元件340和用户数据网关350。
在图3示出的实施例中,第二或当前的接入点330包括装置331,装置331包括第二安全密钥生成器332,第二安全密钥生成器332被配置以便:响应于预定事件,通过利用与移动台320相关联的随机分配的临时标识符,生成至少一个安全密钥,以便在移动台320与第二接入点330之间的无线通信中使用。
此外,在图3示出的实施例中,移动性管理元件340包括装置341,装置341包括第三安全密钥生成器342,第三安全密钥生成器342被配置以便:响应于预定事件,通过利用与移动台320相关联的随机分配的临时标识符,生成至少一个安全密钥,以便在移动台320与移动性管理元件340之间的无线通信中使用。
此外,在图3示出的实施例中,用户数据网关350包括装置351,装置351包括第四安全密钥生成器352,第四安全密钥生成器352被配置以便:响应于预定事件,通过利用与移动台320相关联的随机分配的临时标识符,生成至少一个安全密钥,以便在移动台320与用户数据网关350之间的无线通信中使用。
此外,在图3示出的实施例中,移动台320包括装置321,装置321包括第一安全密钥生成器322,第一安全密钥生成器322被配置以便:响应于预定事件,通过利用与移动台320相关联的随机分配的临时标识符,生成用于在移动台320与移动性管理元件340之间的无线通信中使用的至少一个安全密钥和/或用于在移动台320与用户数据网关350之间的无线通信中使用的至少一个安全密钥。
在实施例中,第一接入点310可以包括:基站、接入路由器、IP-sec网关(IPsec指的“因特网协议安全”,它是用于保证因特网协议通信的安全的一系列协议)、无线ad hoc(特定)网络的中继站、3G移动电信网络的节点B网络元件,等等。
在实施例中,第二接入点330可以包括:基站、接入路由器、IP-sec网关(IPsec指的“因特网协议安全”,它是用于保证因特网协议通信的安全的一系列协议)、无线ad hoc网络的中继站、3G移动电信网络的节点B网络元件,等等。
在实施例中,移动台320可以包括3G移动电信网络的用户设备等。在实施例中,移动性管理元件340可以包括LTE增强的3GPP移动电信网络的移动性管理实体。在实施例中,用户数据网关350可以包括LTE增强的3GPP移动电信网络的用户平面实体。
示例性实施例可以包括例如能够实现所述示例性实施例的过程的任何适当的服务器、工作站等。示例性实施例的设备和子系统可以使用任何适当的协议来彼此通信,并且可以使用一个或多个编程计算机系统或设备来实现。
一个或多个接口机制可以与示例性实施例一起使用,包括例如因特网访问、任何适当形式(例如语音、调制解调器等)的电信、无线通信介质等。例如,所采用的通信网络或链路可以包括一个或多个无线通信网络、蜂窝通信网络、3G通信网络、利用LTE技术(长期演进)增强的3G通信网络、利用SAE技术(系统体系结构演进)增强的3G通信网络、公共交换电话网络(PSTN)、分组数据网络(PDN)、因特网、内联网、它们的组合,等等。
要理解,示例性实施例是出于示例性目的,如硬件和/或软件领域的技术人员可以理解的,用来实现示例性实施例的特定硬件的很多变化是可行的。例如,示例性实施例的一个或多个组件的功能可以经由一个或多个硬件和/或软件设备来实现。
示例性实施例可以存储与此处描述的各种过程相关的信息。这种信息可以被存储在一个或多个存储器中,诸如硬盘、光盘、磁光盘、RAM等。一个或多个数据库可以存储被用来实现本发明的示例性实施例的信息。可以使用被包括在文中所列出的一个或多个存储器或存储设备中的数据结构(例如记录、表格、数组、字段、图表、树、列表等)来组织所述数据库。关于示例性实施例所描述的过程可以包括适当的数据结构,以便在一个或多个数据库中存储通过示例性实施例的设备和子系统的过程所收集和/或生成的数据。
计算机和/或软件领域的技术人员将理解,可以使用根据本发明的示例性实施例的教导而编程的一个或多个通用处理器、微处理器、数字信号处理器、微控制器等来便利地实现全部或部分示例性实施例。软件领域的技术人员将理解,普通技术编程员可以基于示例性实施例的教导来轻松准备适当的软件。另外,电子领域的技术人员将理解,可以通过准备专用集成电路或通过互连常规组件电路的适当网络来实现示例性实施例。因而,示例性实施例不限于硬件和/或软件的任何特定组合。
存储在计算机可读介质的任何一个或组合上的本发明示例性实施例可以包括软件来控制示例性实施例的组件、驱动示例性实施例的组件、使得示例性实施例的组件能够与人类用户交互,等等。这样的软件可以包括但不限于:设备驱动器、固件、操作系统、开发工具、应用软件等。这样的计算机可读介质进一步可以包括用于执行在实现本发明中所执行的全部或部分处理(如果处理是分布式的话)的本发明实施例的计算机程序产品。本发明的示例性实施例的计算机代码设备可以包括任何适当的可解译的或可执行的代码机制,包括但不限于:脚本、可解译的程序、动态链接库(DLL)、Java类和小应用程序(applet)、完整的可执行程序、公共对象请求代理体系结构(CORBA)对象,等等。此外,为了更好的性能、可靠性、成本等,本发明的示例性实施例的部分处理可以是分布式的。
如以上所声明的,示例性实施例的组件可以包括计算机可读介质或存储器,以便保存根据本发明的教导所编程的指令以及保存文中所描述的数据结构、表格、记录和/或其它数据。计算机可读介质可以包括参与向处理器提供用于执行的指令的任何适当的介质。这样的机制可以采取很多形式,包括但不限于:非易失性介质、易失性介质、传输介质等。非易失性介质可以包括例如光盘或磁盘、磁光盘等。易失性介质可以包括动态存储器等。传输介质可以包括同轴线缆、铜线、光纤等。传输介质还可以采取声、光、电磁波等形式,诸如在射频(RF)通信、红外(IR)数据通信等期间所生成的那些。计算机可读介质的常见形式可以包括例如软盘、弹性盘、硬盘、磁带、任何其它适当的磁介质、CD-ROM、CDR、CD-RW、DVD、DVD-ROM、DVD±RW、DVD±R、任何其它适当的光介质、穿孔卡、纸带、光标记表、具有孔图案或其它光可识别标记的任何其它适当的物理介质、RAM、PROM、EPROM、FLASH-EPROM、任何其它适当的存储芯片或卡盘、载波或计算机可以读取的任何其它适当的介质。
虽然已经结合许多示例性实施例和实施方式描述了本发明,但是本发明不限于此,而是涵盖了落入预期权利要求的范围内的各种修改和等效布置。
Claims (32)
1.一种方法,其包括:
响应于预定事件,通过利用与移动台相关联的随机分配的临时标识符,生成至少一个安全密钥,用于在所述移动台与接入网元件之间的无线通信中使用。
2.根据权利要求1的方法,其中,在生成所述至少一个安全密钥中利用所述随机分配的临时标识符进一步包括:将所述随机分配的临时标识符与预定的安全情境数据进行级联。
3.根据权利要求1的方法,其中,生成所述至少一个安全密钥包括:生成加密密钥和完整性保护密钥中的至少一个。
4.根据权利要求1的方法,其中,所述接入网元件包括当前接入点。
5.根据权利要求4的方法,其中,所述预定事件包括:所述移动台从先前的接入点切换到所述当前接入点。
6.根据权利要求4的方法,其中,利用与所述移动台相关联的随机分配的临时标识符包括:向所述移动台与所述当前接入点之间的无线电链路随机分配无线电链路标识符。
7.根据权利要求6的方法,其进一步包括:
在生成所述至少一个安全密钥中利用被分配给所述当前接入点的接入点标识符。
8.根据权利要求4的方法,其中,利用与所述移动台相关联的随机分配的临时标识符包括:向所述移动台随机分配临时标识符。
9.根据权利要求4的方法,其中,生成所述至少一个安全密钥包括:无线电资源控制信令的安全密钥。
10.根据权利要求1的方法,其中,所述接入网元件包括移动性管理元件和用户数据网关中的至少一个。
11.根据权利要求10的方法,其中,所述预定事件包括:在所述移动台处从第一状态到第二状态的状态改变。
12.根据权利要求10的方法,其中,利用与所述移动台相关联的随机分配的临时标识符包括向所述移动台随机分配临时标识符。
13.根据权利要求12的方法,其进一步包括:
在生成所述至少一个安全密钥中利用被分配给当前路由区域的路由区域标识符。
14.根据权利要求10的方法,其中,生成所述至少一个安全密钥包括:非接入层信令和用户数据保护中的一个的安全密钥。
15.一种装置,其包括:
安全密钥生成器,其被配置以便:响应于预定事件,通过利用与移动台相关联的随机分配的临时标识符,生成至少一个安全密钥,用于在所述移动台与接入网元件之间的无线通信中使用。
16.根据权利要求15的装置,其中,所述安全密钥生成器被进一步配置以便:通过将所述随机分配的临时标识符与预定的安全情境数据进行级联,实现在生成所述至少一个安全密钥中利用所述随机分配的临时标识符。
17.根据权利要求15的装置,其中,将要生成的所述至少一个安全密钥包括加密密钥和完整性保护密钥中的至少一个。
18.根据权利要求15的装置,其中,所述装置被布置在所述移动台处。
19.根据权利要求15的装置,其中,所述装置被布置在所述接入网元件处。
20.根据权利要求15的装置,其中,所述接入网元件包括当前接入点。
21.根据权利要求20的装置,其中,所述预定事件包括:所述移动台从先前的接入点切换到所述当前接入点。
22.根据权利要求20的装置,其中,与所述移动台相关联的随机分配的临时标识符包括:被随机分配给所述移动台与所述当前接入点之间的无线电链路的无线电链路标识符。
23.根据权利要求22的装置,其中,所述安全密钥生成器被进一步配置以便:利用被分配给所述当前接入点的接入点标识符来生成所述至少一个安全密钥。
24.根据权利要求20的装置,其中,与所述移动台相关联的随机分配的临时标识符包括:被随机分配给所述移动台的临时标识符。
25.根据权利要求20的装置,其中,将要生成的所述至少一个安全密钥包括:用于由无线电资源控制信令使用的安全密钥。
26.根据权利要求15的装置,其中,所述接入网元件包括移动性管理元件和用户数据网关中的至少一个。
27.根据权利要求26的装置,其中,所述预定事件包括:在所述移动台处从第一状态到第二状态的状态改变。
28.根据权利要求26的装置,其中,与所述移动台相关联的随机分配的临时标识符包括:被随机分配给所述移动台的临时标识符。
29.根据权利要求28的装置,其中,所述安全密钥生成器被进一步配置以便:利用被分配给当前路由区域的路由区域标识符来生成所述至少一个安全密钥。
30.根据权利要求26的装置,其中,将要生成的所述至少一个安全密钥包括:用于由非接入层信令和用户数据保护中的一个使用的安全密钥。
31.一种设备,其包括:
接收装置,用于接收预定事件;以及
安全密钥生成装置,用于响应于所接收到的预定事件,生成至少一个安全密钥,以便在移动台与接入网元件之间的无线通信中使用,
其中,所述安全密钥生成装置包括用于利用与所述移动台相关联的随机分配的临时标识符的装置。
32.一种在计算机可读介质上体现的计算机程序,所述计算机程序控制数据处理设备来实现:
响应于预定事件,通过利用与移动台相关联的随机分配的临时标识符,生成至少一个安全密钥,用于在所述移动台与接入网元件之间的无线通信中使用。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI20070095 | 2007-02-02 | ||
| FI20070095A FI20070095A0 (fi) | 2007-02-02 | 2007-02-02 | Turva-avainten luominen langatonta viestintää varten |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101622896A true CN101622896A (zh) | 2010-01-06 |
Family
ID=37832140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880006899A Pending CN101622896A (zh) | 2007-02-02 | 2008-01-31 | 用于无线通信的安全密钥生成 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20080188200A1 (zh) |
| EP (1) | EP2127194A1 (zh) |
| CN (1) | CN101622896A (zh) |
| FI (1) | FI20070095A0 (zh) |
| TW (1) | TW200841679A (zh) |
| WO (1) | WO2008092998A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105794243A (zh) * | 2013-12-05 | 2016-07-20 | 阿尔卡特朗讯公司 | 用于移动设备的同时多小区连接的安全密钥生成 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| PT2087634T (pt) * | 2006-11-01 | 2016-10-26 | ERICSSON TELEFON AB L M (publ) | Sistemas de telecomunicações e cifragem de mensagens de controlo em sistemas deste tipo |
| US20080268842A1 (en) * | 2007-04-30 | 2008-10-30 | Christian Herrero-Veron | System and method for utilizing a temporary user identity in a telecommunications system |
| CN101304600B (zh) * | 2007-05-08 | 2011-12-07 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| CN101399767B (zh) | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| US8532614B2 (en) | 2007-10-25 | 2013-09-10 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
| CN102595399B (zh) * | 2008-06-23 | 2017-02-01 | 华为技术有限公司 | 密钥衍生方法、设备及系统 |
| WO2010040259A1 (zh) * | 2008-10-10 | 2010-04-15 | 上海贝尔阿尔卡特股份有限公司 | 一种为通信终端用户提供身份机密性保护的方法和装置 |
| US20100173610A1 (en) * | 2009-01-05 | 2010-07-08 | Qualcomm Incorporated | Access stratum security configuration for inter-cell handover |
| CN101521873B (zh) * | 2009-03-16 | 2014-12-10 | 中兴通讯股份有限公司 | 启用本地安全上下文的方法 |
| WO2010124474A1 (zh) * | 2009-04-30 | 2010-11-04 | 华为技术有限公司 | 空口链路安全机制建立的方法、设备 |
| EP2259545A1 (fr) * | 2009-06-05 | 2010-12-08 | Gemalto SA | Procédé de calcul d'un premier identifiant d'un élément sécurisé d'un terminal mobile à partir d'un second identifiant de cet élément sécurisé |
| US9002357B2 (en) * | 2009-06-26 | 2015-04-07 | Qualcomm Incorporated | Systems, apparatus and methods to facilitate handover security |
| US20120127951A1 (en) * | 2010-11-11 | 2012-05-24 | Qualcomm Incorporated | Method and apparatus for assigning wireless network packet resources to wireless terminals |
| CA2832067C (en) * | 2011-04-01 | 2019-10-01 | Interdigital Patent Holdings, Inc. | Method and apparatus for controlling connectivity to a network |
| TWI489899B (zh) * | 2011-10-28 | 2015-06-21 | 智邦科技股份有限公司 | 應用於無線網路之連線方法以及應用其之無線網路裝置以及無線網路存取點 |
| KR102062688B1 (ko) * | 2012-06-13 | 2020-02-11 | 삼성전자주식회사 | 모바일 광대역 네트워크 환경에서 제어 패킷 및 데이터 패킷을 보호하기 위한 방법 및 시스템 |
| US9119062B2 (en) | 2012-10-19 | 2015-08-25 | Qualcomm Incorporated | Methods and apparatus for providing additional security for communication of sensitive information |
| US9386619B2 (en) | 2013-02-22 | 2016-07-05 | Htc Corporation | Method of handling a cell addition for dual connectivity and related communication device |
| EP2770796B1 (en) * | 2013-02-22 | 2016-04-27 | HTC Corporation | Method for simultaneous communications with multiple base stations and related communication device |
| EP2836050B1 (en) | 2013-08-09 | 2017-07-19 | HTC Corporation | Method, device and network for radio network temporary identifier allocation in dual connectivity |
| US9401874B2 (en) * | 2013-08-14 | 2016-07-26 | Qualcomm Incorporated | Minimizing coverage holes in a communication network |
| US10057218B2 (en) * | 2014-07-28 | 2018-08-21 | The Boeing Company | Network address-based encryption |
| US10271270B2 (en) | 2016-07-21 | 2019-04-23 | Global Business Software Development Technologies, Inc. | Reducing fraudulent activity associated with mobile networks |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI107367B (fi) * | 1996-12-10 | 2001-07-13 | Nokia Networks Oy | Tiedonsiirron osapuolien oikeellisuuden tarkistaminen tietoliikenneverkossa |
| GB2377589B (en) * | 2001-07-14 | 2005-06-01 | Motorola Inc | Ciphering keys for different cellular communication networks |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US20040228491A1 (en) * | 2003-05-13 | 2004-11-18 | Chih-Hsiang Wu | Ciphering activation during an inter-rat handover procedure |
| ATE552709T1 (de) * | 2003-09-26 | 2012-04-15 | Ericsson Telefon Ab L M | Verbesserter sicherheitsentwurf für die kryptographie in mobilkommunikationssystemen |
| WO2005125261A1 (en) * | 2004-06-17 | 2005-12-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Security in a mobile communications system |
| JP4543842B2 (ja) * | 2004-09-09 | 2010-09-15 | 日本電気株式会社 | 無線基地局装置およびリソース管理方法 |
| US7602918B2 (en) * | 2005-06-30 | 2009-10-13 | Alcatel-Lucent Usa Inc. | Method for distributing security keys during hand-off in a wireless communication system |
| KR101376700B1 (ko) * | 2006-06-19 | 2014-03-24 | 인터디지탈 테크날러지 코포레이션 | 초기 시그널링 메시지 내의 원 사용자 신원의 보안 보호를 위한 방법 및 장치 |
| US20080096530A1 (en) * | 2006-10-20 | 2008-04-24 | Innovative Sonic Limited | Method for calculating start value for security for user equipment in a wireless communications system and related apparatus |
-
2007
- 2007-02-02 FI FI20070095A patent/FI20070095A0/fi not_active Application Discontinuation
- 2007-04-02 US US11/730,536 patent/US20080188200A1/en not_active Abandoned
-
2008
- 2008-01-31 EP EP08709302A patent/EP2127194A1/en not_active Withdrawn
- 2008-01-31 WO PCT/FI2008/050034 patent/WO2008092998A1/en active Application Filing
- 2008-01-31 CN CN200880006899A patent/CN101622896A/zh active Pending
- 2008-02-01 TW TW097104054A patent/TW200841679A/zh unknown
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105794243A (zh) * | 2013-12-05 | 2016-07-20 | 阿尔卡特朗讯公司 | 用于移动设备的同时多小区连接的安全密钥生成 |
| CN105794243B (zh) * | 2013-12-05 | 2020-09-01 | 诺基亚技术有限公司 | 用于移动设备的同时多小区连接的安全密钥生成 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW200841679A (en) | 2008-10-16 |
| US20080188200A1 (en) | 2008-08-07 |
| EP2127194A1 (en) | 2009-12-02 |
| WO2008092998A1 (en) | 2008-08-07 |
| FI20070095A0 (fi) | 2007-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101622896A (zh) | 用于无线通信的安全密钥生成 | |
| EP2702741B1 (en) | Authenticating a device in a network | |
| CN101836470B (zh) | 用于启用lte移动单元中非接入层(nas)安全性的方法和设备 | |
| WO2017114123A1 (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
| EP2357858B3 (en) | Enhanced security design for cryptography in mobile communication systems | |
| KR101270342B1 (ko) | 키 요소의 교환 | |
| TWI332345B (en) | Security considerations for the lte of umts | |
| US20100111308A1 (en) | Key handling in communication systems | |
| CN101895877B (zh) | 密钥协商方法、设备及系统 | |
| CN101771992B (zh) | 国际移动用户标识符imsi机密性保护的方法、设备及系统 | |
| CN101606407A (zh) | 在切换期间改变无线电接入网安全算法 | |
| KR20110119785A (ko) | 비-암호화 망 동작 해결책 | |
| EP3146740B1 (en) | Cellular network authentication | |
| Damir et al. | A beyond-5G authentication and key agreement protocol | |
| WO2020216047A1 (zh) | 一种认证信息处理方法、终端和网络设备 | |
| RU2384018C2 (ru) | Расширение протокола сообщения сигнализации | |
| CN111835691B (zh) | 一种认证信息处理方法、终端和网络设备 | |
| US20220256338A1 (en) | Ultra-wideband communication node and method for contention based ranging | |
| Saxena et al. | SAKA: a secure authentication and key agreement protocol for GSM networks | |
| Glass et al. | Insecurity in public-safety communications: APCO project 25 | |
| CN101909368B (zh) | 无线网络安全解决方法和设备 | |
| CN106465110B (zh) | 蜂窝认证中的异常处理 | |
| Qachri et al. | A formally verified protocol for secure vertical handovers in 4G heterogeneous networks | |
| Zidouni et al. | New safety measure to protect the 3G/4G SIM cards against cloning | |
| Køien | A “Best Current Practice” for 3GPP-based cellular system security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100106 |