CN102067642B - 用于在系统间移动性期间提供新的安全性上下文的方法、设备 - Google Patents
用于在系统间移动性期间提供新的安全性上下文的方法、设备 Download PDFInfo
- Publication number
- CN102067642B CN102067642B CN200880129776.6A CN200880129776A CN102067642B CN 102067642 B CN102067642 B CN 102067642B CN 200880129776 A CN200880129776 A CN 200880129776A CN 102067642 B CN102067642 B CN 102067642B
- Authority
- CN
- China
- Prior art keywords
- sequence number
- number value
- instruction
- security context
- current sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000004891 communication Methods 0.000 claims abstract description 55
- 238000013507 mapping Methods 0.000 claims description 53
- 238000009795 derivation Methods 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 13
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 abstract description 13
- 230000006870 function Effects 0.000 description 31
- 230000015654 memory Effects 0.000 description 22
- 238000005516 engineering process Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 8
- 230000001360 synchronised effect Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000000875 corresponding effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000010358 mechanical oscillation Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/12—Reselecting a serving backbone network switching or routing node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/30—Reselection being triggered by specific parameters by measured or perceived connection quality data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0069—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
- H04W36/00695—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink using split of the control plane or user plane
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0069—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
- H04W36/00698—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink using different RATs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/04—Reselecting a cell layer in multi-layered cells
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1443—Reselecting a network or an air interface over a different radio air interface technology between licensed networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/16—Performing reselection for specific purposes
- H04W36/18—Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/10—Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供一种方法、设备和计算机程序产品以在系统间移动性期间提供新的安全性上下文。提供一种方法,该方法包括接收远程设备从源系统向目标系统切换的指示。该目标系统可以实现不同于源系统的通信标准。该方法还包括确定维持在源系统中的安全性上下文的当前序列号值。此外,该方法包括至少部分地基于确定的序列号值导出用于目标系统的新的映射安全性上下文。该方法进一步包括向目标系统提供导出的新的映射安全性上下文。
Description
技术领域
本发明的实施方式一般地涉及无线通信技术,以及更特别地涉及用于在系统间移动性期间提供新的安全性上下文的设备、方法和计算机程序产品。
背景技术
目前和未来的网络互联技术持续地促进信息传送的简易性和对用户而言的便捷性。为了提供更容易或更快的信息传送和简易性,电信行业服务提供者正在开发对现有网络的改进。例如,当前正在开发演进的通用移动电信系统(UMTS)陆地无线电接入网(E-UTRAN)。称作长期演进(LTE)或3.9G的E-UTRAN电信标准目标在于通过改进效率、降低成本、改进服务、利用新的频谱机会并且提供与其他开发标准的更佳整合来升级现有技术。
继续与其他在前电信标准共享的E-UTRAN的一个优势在于以下事实:使用户能够接入使用此类标准的网络而保持移动。因此,例如,具有配备的移动终端以根据此类标准进行通信的用户可以游历大量距离而维持与网络的通信。就此,对于为特定区域(或小区)提供网络覆盖的接入点或基站当前常见的是:当特定移动终端的用户退出基站的覆盖区域时将与该特定移动终端的通信转到相邻基站或者可以由相邻基站更有效地服务。该过程通常称作“切换”或“移动性事件”。
E-UTRAN和其他移动通信网络中关于切换的一个遗留问题是在系统间移动性期间向目标系统提供新的安全性上下文的问题。就此,在相邻基站之间进行切换期间,移动终端可以遍历实现不同电信标 准的多个电信系统。例如,正如某些电信系统实现E-UTRAN标准,其他电信系统以及因此相邻基站可以继续实现旧有电信标准,诸如通用移动电信系统(UMTS)陆地无线电接入网(UTRAN)电信标准和针对GSM演进的全球移动系统(GSM)增强数据速率(EDGE)无线电接入网(GERAN)电信标准。
例如,移动终端可以从源无线电接入点或基站(在E-UTRAN中称作“演进的节点B”或“eNB”)向目标无线电接入点或实现旧有电信标准(诸如UTRAN或GERAN)的目标系统的基站切换。E-UTRAN系统可以为移动终端维持高速缓存的安全性上下文,其可以被访问并被用于生成映射安全性上下文以提供目标系统。该映射安全性上下文例如可以包括加密密钥和完整性密钥,加密密钥和完整性密钥可以基于源系统在高速缓存的安全性上下文中维持的主密钥来计算并且用于导出用于与移动终端进行通信的安全性密钥。因而,在针对移动终端维持在源系统的高速缓存的安全性上下文中的主密钥的生命期期间,向目标系统提供的映射安全性上下文以及加密密钥和完整性密钥在移动终端每次从E-UTRAN源系统向目标系统切换时都是相同的。在源E-UTRAN系统维持在高速缓存的安全性上下文中的主密钥生命期期间,如果移动终端在源E-UTRAN系统和目标系统之间来回切换多次,则对目标系统的最终相同的映射安全性上下文的供应有时称作“密钥流重用”。可利用的安全性漏洞可能源自该密钥流重用。
因而,期望开发用于从高速缓存的安全性上下文中导出映射安全性上下文的协议,从而避免密钥流重用并因此提供更安全的通信。如果该协议不需要对目标系统进行任何修改则也是期望的。
发明内容
因此提供一种方法、设备和计算机程序产品,它们可以在系统间移动性期间提供新的安全性上下文。在这点上,本发明实施方式可以通过对源网元(诸如通用分组无线电服务支持节点(SGSN)(在 E-UTRAN中称作“移动性管理实体(MME)”)和可以是移动终端的用户设备(UE)两者本地维持的序列号值进行同步,以及至少部分地基于经同步的序列号值导出新的映射安全性上下文以向目标系统提供,来在系统间移动性期间提供新的安全性上下文。该新的映射安全性上下文例如可以包括至少部分地基于序列号值和针对UE维持在高速缓存的安全性上下文中的主密钥计算的多个安全性密钥(诸如加密密钥和完整性密钥)。在活跃模式切换中,UE和源网元维持的序列号值可以通过以下步骤同步,即在切换命令中向UE提供由源网元使用的当前序列号值的指示。在空闲模式移动性中,UE和源网元维持的序列号值可以通过以下步骤同步,即源网元基于在上下文请求消息中接收的序列号值令牌计算UE的当前序列号值。因而,通过从在主密钥生命期期间递增的经同步的序列号值导出映射安全性上下文,在切换期间向目标系统提供的导出的映射安全性上下文可以是新的,从而避免密钥流重用。
在示例性实施方式中,提供了一种方法,其包括接收远程设备从源系统向目标系统切换的指示,其中所述目标系统实现不同于所述源系统的通信标准。该方法还包括确定维持在所述源系统中的安全性上下文的当前序列号值。该方法还包括至少部分地基于确定的序列号值导出用于所述目标系统的新的映射安全性上下文。该方法可以进一步包括向所述目标系统提供导出的新的映射安全性上下文。
在另一示例性实施方式中,提供一种计算机程序产品。该计算机程序产品可以包括至少一个计算机可读存储介质(诸如移动终端的存储器设备),所述至少一个计算机可读存储介质具有存储于其中的计算机可读程序代码部分。所述计算机可读程序代码部分可以包括第一、第二、第三和第四程序代码部分。第一程序代码部分用于接收远程设备从源系统向目标系统切换的指示,其中所述目标系统实现不同于所述源系统的通信标准。第二程序代码部分用于确定维持在所述源系统中的安全性上下文的当前序列号值。第三程序代 码部分用于至少部分地基于确定的序列号值导出用于所述目标系统的新的映射安全性上下文。第四程序代码部分用于向所述目标系统提供导出的新的映射安全性上下文。
在另一示例性实施方式中,提供一种设备。该设备可以包括处理元件,该处理元件配置用于接收远程设备从源系统向目标系统切换的指示,其中所述目标系统实现不同于所述源系统的通信标准。该处理元件还配置用于确定维持在所述源系统中的安全性上下文的当前序列号值。该处理元件进一步配置用于至少部分地基于确定的序列号值导出用于所述目标系统的新的映射安全性上下文。该处理元件还配置用于向所述目标系统提供导出的新的映射安全性上下文。
在另一示例性实施方式中,提供一种设备。该设备可以包括用于接收远程设备从源系统向目标系统切换的指示的装置,其中所述目标系统实现不同于所述源系统的通信标准。该设备还可以包括用于确定维持在所述源系统中的安全性上下文的当前序列号值的装置。该设备可以进一步包括用于至少部分地基于确定的序列号值导出用于所述目标系统的新的映射安全性上下文的装置。该设备还可以包括用于向所述目标系统提供导出的新的映射安全性上下文的装置。
附图说明
由此,已经从总体上描述了本发明,现在将对附图进行参考,附图未必是按比例绘制的,在附图中:
图1是根据本发明示例性实施方式的移动终端的示意性框图;
图2是根据本发明示例性实施方式的无线通信系统的示意性框图;
图3是示出了根据本发明示例性实施方式的、用于在系统间移动性期间提供新的安全性上下文的系统的示意图;
图4是根据本发明示例性实施方式的、在活跃模式切换过程期 间在图3的示例性实施方式的实体之间传递的通信信号的控制流程图;
图5是根据本发明示例性实施方式的、在空闲模式移动性事件期间在图3的示例性实施方式的实体之间传递的通信信号的控制流程图;
图6-图9是按照根据本发明示例性实施方式的、用于在系统间移动性期间提供新的安全性上下文的示例性方法的流程图。
具体实施方式
现在将参考附图更全面地描述本发明的实施方式,附图中示出了本发明的某些实施方式而不是所有实施方式。实际上,本发明的实施方式可以按照多种不同的形式来实现,并且不应该认为是对在此记载的实施方式的限制;相反,提供这些实施方式是为了使本公开内容满足适用的法律要求。贯穿附图,相同的标号表示相同的元素。
图1示出了可以从本发明实施方式获益的移动终端10的框图。然而,应当理解,所示出以及在此后描述的移动电话可以仅仅是受益于本发明实施方式的一种类型移动终端的示范,因此,不应用来限制本发明实施方式的范围。尽管出于示例目的而示出并在此后描述了移动终端10的一个实施方式,但是其他类型的移动终端也可以容易地采用本发明的实施方式,其中其他类型的移动终端诸如移动电话、移动计算机、便携式数字助理(PDA)、寻呼机、移动计算机、移动电视、游戏设备、膝上型计算机、照相机、录像机、GPS设备以及其他类型的语音和文本通信系统。
移动终端10可以包括天线12(或者多个天线),其可操作地与发射机14和接收机16进行通信。移动终端10还可以包括控制器20或者其他处理元件,其分别提供去往发射机14的信号和接收来自接收机16的信号。信号可以包括按照适当蜂窝系统的空中接口标准的 信令信息,并且还包括用户语音、接收的数据和/或用户生成的数据。在此方面,移动终端10能够利用一个或多个空中接口标准、通信协议、调制类型以及接入类型来进行操作。作为示范,移动终端10能够根据多个第一代、第二代、第三代和/或第四代通信协议等中的任何协议来进行操作。例如,移动终端10能够按照第二代(2G)无线通信协议IS-136(TDMA)、GSM和IS-95(CDMA)来进行操作,或者按照诸如UMTS、CDMA2000、WCDMA和TD-SCDMA、LTE或E-UTRAN的第三代(3G)无线通信协议来进行操作,或者按照第四代(4G)无线通信协议等来进行操作。
控制器20可以包括实现移动终端10的音频和逻辑功能所需的电路。例如,控制器20可以包括数字信号处理器设备、微处理器设备以及各种模数转换器、数模转换器和其他支持电路。移动终端10的控制和信号处理功能按照这些设备各自的能力在其间分配。控制器20由此还可以包括在调制和传输之前对消息和数据进行卷积编码和交织的功能。控制器20还可以包括内部声音编码器,并且可以包括内部数据调制解调器。此外,控制器20可以包括对可以存储在存储器中的一个或多个软件程序进行操作的功能。例如,控制器20能够操作连接程序,诸如传统的Web浏览器。连接程序继而可以允许移动终端10例如按照无线应用协议(WAP)、超文本传输协议(HTTP)等来发射和接收Web内容(诸如基于位置的内容)和/或其他web页面内容。
移动终端10还可以包括用户接口,其包括输出设备,例如传统的耳机或者扬声器24、振铃器22、麦克风26、显示器28以及用户输入接口,所有这些设备都耦合至控制器20。允许移动终端10接收数据的用户输入接口可以包括允许移动终端10接收数据的多种设备中的任意设备,例如小键盘30、触摸显示器(未示出)或者其他输入设备。在包括小键盘30的实施方式中,小键盘30可以包括传统的数字键(0-9)和相关键(#、*),以及用于操作移动终端10的其他键。备选地,小键盘30可以包括传统的QWERTY小键盘布置。 小键盘30还可以包括与功能相关联的各种软键。此外或者备选地,移动终端10可以包括诸如操纵杆的接口设备或者其他用户输入接口。移动终端10还可以包括电池34,诸如振动电池组,用于为操作移动终端10所需的各种电路供电,以及可选地提供机械振动作为可觉察输出。
移动终端10还可以包括用户身份模块(UIM)38。UIM 38可以实现为具有内置处理器的存储器设备。UIM 38例如可以包括订户身份模块(SIM)、通用集成电路卡(UICC)、通用订户身份模块(USIM)、可移动用户身份模块(R-UIM)等。UIM 38可以存储与移动订户相关的信元。除了UIM 38之外,移动终端10还可以具有存储器。例如,移动终端10可以包括易失性存储器40,例如包括用于数据临时存储的高速缓存区域的易失性随机访问存储器(RAM)。移动终端10还可以包括其他非易失性存储器42,其可以是嵌入式的和/或可拆除的。非易失性存储器42可以附加地或者可选地包括EEPROM、闪存等。存储器可以存储移动终端10所使用的多个信息片段和数据中的任意项,以实现移动终端10的功能。例如,存储器可以包括能够唯一标识移动终端10的标识符,诸如国际移动设备标识(IMEI)码。
现在参考图2,其提供可以从本发明示例性实施方式获益的无线通信系统的示意性框图。该系统的一个示例包括多个网络设备。如图所示,一个或多个移动终端10每个都可以包括天线12,以用于将信号发射至基地或基站(BS)44以及用于从其接收信号。虽然BS可以包括一个或多个小区,但是这里对BS的参考通常称作BS和BS的小区。基站44可以是一个或多个蜂窝或移动网络的一部分,每个移动网络包括操作该网络所需的元件,例如移动交换中心(MSC)46。在操作中,当移动终端10进行和接收呼叫时,MSC 46能够路由去往和来自移动终端10的呼叫。当呼叫涉及移动终端10时,MSC46还可以提供到陆地线主干的连接。此外,MSC 46能够控制去往和来自移动终端10的消息的转发,并且还能够控制去往和来自消息收发中心的、针对移动终端10的消息的转发。应当注意,尽管在图2 的系统中示出了MSC 46,但是MSC 46仅仅是示例性网络设备,并且本发明的实施方式不限于在采用MSC的网络中或网络上使用。
MSC 46可以耦合至数据网络,诸如局域网(LAN)、城域网(MAN)和/或广域网(WAN)。MSC 46可以直接耦合至数据网络。然而,在一个典型实施方式中,MSC 46可以耦合至网关设备(GTW)48,而GTW 48可以耦合至例如因特网50的WAN。继而,诸如处理元件(例如,个人计算机、服务器计算机等)的设备可以经由因特网50耦合至移动终端10。例如,如下所述,处理元件可以包括与下文描述的计算系统52(图2中示出了两个)、源服务器54(图2中示出了一个)等相关联的一个或多个处理元件。
BS 44还可以耦合至服务通用分组无线电服务(GPRS)支持节点(SGSN)56。如本领域技术人员公知的,SGSN 56能够执行类似于MSC 46的功能,以用于分组交换服务。与MSC 46类似,SGSN 56可以耦合至诸如因特网50的数据网络。SGSN 56可以直接耦合至数据网络。备选地,SGSN 56可以耦合至分组交换核心网,诸如GPRS核心网58。分组交换核心网继而可以耦合至另一GTW 48,诸如网关GPRS支持节点(GGSN)60,而GGSN 60可以耦合至因特网50。除了GGSN 60之外,分组交换核心网还可以耦合至GTW 48。而且,GGSN 60可以耦合至消息收发中心。在此方面,类似于MSC 46,GGSN 60和SGSN 56能够控制消息(诸如MMS消息)的转发。GGSN60和SGSN 56还能够控制去往和来自消息收发中心的、针对移动终端10的消息的转发。
此外,通过将SGSN 56耦合至GPRS核心网58和GGSN 60,诸如计算系统52和/或源服务器54的设备可以经由因特网50、SGSN 56以及GGSN 60耦合至移动终端10。在此方面,诸如计算系统52和/或源服务器54的设备可以跨越SGSN 56、GPRS核心网58以及GGSN60来与移动终端10通信。通过将移动终端10以及其他设备(例如,计算系统52、源服务器54等)直接或者间接地连接至因特网50,移动终端10例如可以按照超文本传输协议(HTTP)等来与其他设 备通信以及相互之间彼此通信,由此执行移动终端10的各种功能。
尽管在此没有示出和描述每个可能的移动网络的每个元件,应当意识到,移动终端10可以通过BS 44耦合至多个不同网络中的任意的一个或多个。在此方面,网络能够支持按照多个第一代(1G)、第二代(2G)、2.5G、第三代(3G)、3.9G、第四代(4G)移动通信协议等中的任意一个或多个协议的通信。例如,一个或多个网络能够支持按照2G无线通信协议IS-136(TDMA)、GSM和IS-95(CDMA)的通信。而且,例如,一个或多个网络能够支持按照2.5G无线通信协议GPRS、增强数据GSM环境(EDGE)等的通信。此外,例如,一个或多个网络能够支持按照3G无线通信协议的通信,其中3G无线通信协议诸如使用宽带码分多址(WCDMA)无线电接入技术的通用移动电话系统(UMTS)网络。此外,例如,一个或多个网络能够支持按照3.9G无线通信协议的通信,其中3.9G无线通信协议诸如E-UTRAN。一些窄带高级移动电话系统(NAMPS)以及全接入通信系统(TACS)网络以及双模或者更高模的移动终端(例如,数字/模拟或者TDMA/CDMA/模拟电话)也可以得益于本发明的实施方式。
移动终端10还可以耦合至一个或多个无线接入点(AP)62。AP 62可以包括被配置为按照诸如以下的技术来与移动终端10进行通信的接入点:例如,射频(RF)、红外(IrDA)或者多种不同的无线网络互联技术中的任意技术,其中无线网络互联技术包括:诸如IEEE 3162.11(例如,3162.11a、3162.11b、3162.11g、3162.11n等)的无线LAN(WLAN)技术,诸如IEEE 3162.16的WiMAX技术,和/或诸如IEEE 3162.15、蓝牙(BT)、超宽带(UWB)技术的无线个域网(WPAN)等等。AP 62可以耦合至因特网50。类似于MSC 46,AP 62可以直接耦合至因特网50。然而,在一个实施方式中,AP 62可以经由GTW 48间接耦合至因特网50。此外,在一个实施方式中,可以将BS 44视作另一AP 62。将会意识到,通过将移动终端10以及计算系统52、源服务器54和/或多种其他设备中的任 意设备直接或者间接地连接至因特网50,移动终端10可以彼此进行通信,与计算系统进行通信,等等,由此来执行移动终端10的各种功能,例如将数据、内容等发射至计算系统52和/或从计算系统52接收内容、数据等。这里使用的术语“数据”、“内容”、“信息”以及类似术语可以互换使用,用来表示能够根据本发明的实施方式而被发射、接收和/或存储的数据。由此,不应将任何这种术语的使用作为对本发明实施方式的精神以及范围的限制。
尽管未在图2中示出,除了跨越因特网50将移动终端10耦合至计算系统52之外或者作为替代,可以按照例如RF、BT、IrDA或者多种不同的有线或无线通信技术(包括LAN、WLAN、WiMAX、UWB等技术)中的任意技术来将移动终端10与计算系统52彼此耦合和通信。一个或多个计算系统52可以附加地或者备选地包括可移动存储器,其能够存储随后可以传送给移动终端10的内容。此外,移动终端10可以耦合至一个或多个电子设备,诸如打印机、数字投影仪和/或其他多媒体捕获、产生和/或存储设备(例如,其他终端)。类似于计算系统52,移动终端10可以被配置为按照例如RF、BT、IrDA或者多种不同的有线或无线通信技术(包括USB、LAN、WLAN、WiMAX、UWB等技术)中的任意技术来与便携式电子设备进行通信。
在示例性实施方式中,内容或数据可以通过图2的系统在移动终端(类似于图1的移动终端10)和图2的系统的网络设备之间传送,从而例如执行应用以便经由图2的系统在移动终端10和其他移动终端之间建立通信。同样,应了解,不必将图2的系统用于移动终端之间的通信或网络设备和移动终端之间的通信,图2仅处于示例的目的提供。
现在将参考图3描述本发明的示例性实施方式,其中示出了用于针对系统间移动性提供新的安全性上下文的系统的某些元件。如这里所用,“示例性”仅意味着示例以及表示本发明的一个示例实施方式,不应以任何方式认为限制了本发明的精神或范围。应该理 解,本发明的范围涵盖了除此处示出和描述之外的很多潜在实施方式。除了图3表示E-UTRAN和实现旧有电信标准(诸如UTRAN或GERAN)的相邻目标系统的一般性框图之外,图3的系统300表示诸如图2中所示一般性网络之类的网络的特定实施方式。同样,结合图3,用户设备(UE)302可以是图1的移动终端10的一个实施方式的示例,并且源演进的节点B 304和目标接入点310可以是图2的BS 44或AP 62的实施方式的示例。因而,尽管随后将使用术语“演进的节点B”(也称作“eNB”),但是演进的节点B仅仅是接入点的一个实施方式并且术语“接入点”可以涵盖接入点、基站和演进的节点B。因此,虽然关于E-UTRAN标准讨论了本发明的实施方式,但是本发明的实施方式并不限于此并且可以与任何通信协议一起使用。此外,图3的系统还可以结合各种其他设备(移动和固定的)使用,并且因此,本发明的实施方式不应限制为诸如图1的移动终端10或图2的网络设备的设备上的应用。
现在参考图3,提供了示意性框图,该示意性框图示出了根据本发明示例性实施方式的、用于在系统间移动性期间提供新的安全性上下文的系统。如这里使用的,“系统间移动性”可以与“移动性事件”和“切换”互换使用,并且其可以包括空闲模式移动性事件和活跃模式切换两者。系统300可以包括E-UTRAN 306,其除其他事物外可以包括与演进的分组核(EPC)308(其可以包括一个或多个移动性管理实体(MME)316(也被称作源MME 316)以及一个或多个系统架构演进(SAE)网关)通信的多个演进的节点B,诸如源演进的节点B 304。该演进的节点B(包括源演进的节点B 304)可以是演进的节点B(例如,eNB)并且也可以与UE 302和其他UE通信。系统300还包括目标系统312,其实现的通信标准不同于E-UTRAN。目标系统312可实现旧有的通信标准,诸如,UTRAN或GERAN。目标系统312可除其他以外包括,多个接入点,诸如目标接入点310,其与一个或多个SGSN通信,一个或多个SGSN诸如目标SGSN 314。目标SGSN和EPC 308可以通信,诸如通过有线网 络,无线网络或有线和无线网络的组合。
演进的节点B可以为该UE 302提供E-UTRA用户平面和控制平面(无线电资源控制(RRC))协议终止。演进的节点B可以提供用于主管功能的功能性,其中功能诸如无线电资源管理、无线电承载控制、无线电许可控制、连接移动性控制、上行链路和下行链路中对UE的动态资源分配、UE附接时对MME 316的选择、IP报头压缩和加密、寻呼和广播信息的调度、数据的路由、测量和报告配置移动性的测量等。
MME 316可以主管诸如以下的功能:向各个演进的节点B的消息分发、安全性控制、空闲状态移动性控制、SAE承载控制、非接入层(NAS)信令的加密和完整性保护等。尽管这里根据E-UTRAN标准称作“MME”,但是应该理解,本发明的实施方式不限于根据E-UTRAN标准的操作并且MME 316还可以是以其他网络互联标准操作的实体。在这点上,MME 316例如可以是图2系统的SGSN 56。SAE网关可以主管功能,诸如用于寻呼的某些分组的终止和切换以及对UE移动性的支持。在示例性实施方式,EPC 308可以提供到诸如因特网之类网络的连接。
MME 316可以包括各种装置,诸如处理器318、切换控制器320和存储器322,以便执行这里描述的各种功能。处理器318可以实现为各种处理装置的任意一种,处理装置包括处理器、协处理器、控制器或者包括集成电路的各种其他处理设备,例如ASIC(专用集成电路)、现场可编程门阵列(FPGA)和/或其他适当地配置或编程的硬件和/或软件元件。切换控制器320可以是以硬件、软件或硬件和软件的组合实现的任何设备或装置,并且在一个实施方式中,其可以实现为处理器318或由其控制。切换控制器320可以配置用于与演进的节点B进行通信并且管理UE 302的切换。切换控制器320此外可以配置用于与服务SAE网关通信。在这点上,切换控制器320可以配置用于向服务网关发送U平面更新请求并且从服务网关接收U平面更新响应。
在示例性实施方式中,切换控制器320可以配置用于接收UE 302从源演进的节点B 304向目标接入点310切换的指示。在这点上,切换控制器320可以配置用于接收包括从源演进的节点B 304接收的需要切换消息的活跃模式切换的指示。基于标识UE 302将切换到目标接入点310的需要切换消息中的信息和/或参数,切换控制器320可以配置用于获取用于UE 302的高速缓存的安全性上下文,其可以存储在存储器322中,并且配置用于确定当前序列号值。获取的高速缓存的安全性上下文可以是活跃安全性上下文。高速缓存的安全性上下文可以包括主密钥,在与UE 302通信中使用的其他安全性密钥可以从该主密钥中导出或者是序列号值。主密钥可以是密钥KASME、诸如可以根据E-UTRAN电信标准使用。序列号值可以是包括多个比特的存储的值并且用于维持可以自动和/或周期性递增的顺序计数,诸如响应于涉及UE 302的通信和/或切换事件。UE 302还可以维持类似的序列号值,该序列号值可以具有由MME 316维持在高速缓存的安全性上下文中的值相同的值,除非各个序列号值的值失去同步,如以下将描述的那样。在活跃模式切换中,“当前序列号值”可以是由MME 316维持的序列号值,并且因而,切换控制器320可以配置用于基于维持在UE 302的高速缓存的安全性上下文中的序列号值来确定当前序列号值。在某些实施方式中,序列号值例如可以是如根据E-UTRAN标准维持的NAS下行链路COUNT。
切换控制器320附加地或备选地可以配置用于接收UE 302的空闲模式移动性事件的指示。空闲模式移动性事件的指示可以包括从目标系统312接收上下文请求消息。上下文请求消息可以从目标系统312的目标SGSN 314接收。上下文请求消息可以包括指示序列号值令牌的参数。切换控制器320可以配置用于从上下文请求消息中解析或提取序列号值令牌并且基于该序列号值令牌来确定当前序列号值。在这点上,在空闲模式移动性事件中,当前序列号值是UE 302维持的序列号值。从目标SGSN 314接收的序列号值令牌可以之前由UE 302转发到目标系统312。切换控制器320可以配置用于使用将 序列号值令牌用作输入的导出函数来确定当前序列号值。序列号值令牌例如可以是根据E-UTRAN标准的NAS下行链路令牌。在接收空闲模式移动性事件的指示时,切换控制器320还可以配置用于诸如从存储器322获取包括主密钥的高速缓存的安全性上下文,如之前所述的那样。
对于活跃切换和空闲模式移动性事件,切换控制器320可以配置用于导出用于目标系统312的新的映射安全性上下文。新的映射安全性上下文可以包括多个安全性密钥,以便在与UE 302的通信中使用和/或在导出附加密钥中使用,该附加密钥由目标系统312用在UE 302之间的通信中。这些安全性密钥例如可以包括加密密钥(CK’)和完整性密钥(IK’)。在这点上,切换控制器320可以配置用于使用将当前序列号值用作输入参数的密钥导出函数来导出新的映射安全性上下文。切换控制器320还可以将来自于高速缓存的安全性上下文的主密钥,诸如KASME作为密钥导出函数的输入参数。因而,由于将递增的序列号值用作导出映射安全性上下文的输入参数,所以甚至在主密钥生命期期间,切换控制器320导出的映射安全性上下文可以是任何之前导出的映射安全性上下文中唯一的。
切换控制器320还可以配置用于向目标系统提供导出的新的映射安全性上下文。因而,对于活跃模式切换,切换控制器320可以配置用于向目标SGSN 314发送导出的、新的映射安全性上下文的重定位请求消息。此外或备选地,对于空闲模式移动性事件,切换控制器320可以配置用于向目标SGSN 314发送上下文响应消息,诸如响应于接收的上下文请求消息。
对于活跃模式切换,切换控制器320可以配置用于向UE 302提供当前序列号值的指示,从而UE 302可以将其序列号值与源MME316使用的序列号值进行同步,从而UE 302可以导出相应的映射安全性上下文。当前序列号值的指示可以包括全部当前序列号值或备选地可以包括包含当前序列号值的预定义数量的比特。在一个示例性实施方式中,当前序列号值的指示可以包括当前序列号值的三个 最低有效位。切换控制器320可以配置用于在可以发送到源演进的节点B 304的切换命令消息中提供当前序列号值的指示。源演进的节点B 304继而可以向UE 302转发包括当前序列号值的指示的切换命令消息。
现在参考UE 302,在示例性实施方式中,UE 302可以包括各种装置,诸如处理器324、切换管理器326和存储器328,以便执行这里描述的各种功能。处理器324可以实现为各种处理装置的任意一种,处理装置包括处理器、协处理器、控制器或者包括集成电路的各种其他处理设备,例如ASIC(专用集成电路)、现场可编程门阵列(FPGA)和/或其他适当地配置或编程的硬件和/或软件元件。在某些实施方式中,处理器324可以是移动终端10的控制器20。切换管理器326可以是以硬件、软件或硬件和软件的组合实现的任何设备或装置,并且在一个实施方式中,其可以实现为处理器324或由其控制。在某些实施方式中,存储器328可以是移动终端10的易失性存储器40或非易失性存储器42。
切换管理器326可以配置用于发起和/或管理UE 302从源演进的节点B 304向目标接入点310的切换。因而,对于活跃模式切换,切换管理器326可以配置用于从源演进的节点B 304接收切换命令消息并且响应于接收该消息而发起相关的本地切换过程。切换命令消息可以包括当前序列号值的指示。如上所述,该指示可以包括例如全部当前序列号值或当前序列号值的多个比特。此外,在示例性实施方式中,当前序列号值的指示可以指示NAS下行链路COUNT的当前值。切换管理器326还可以配置用于基于接收的指示来确定当前序列号值,从而切换管理器326维持的和使用的序列号值与源MME 316的切换控制器320维持的和使用的序列号值同步。在这点上,如果接收的当前序列号值的指示包括全部当前序列号值,则切换管理器326可以配置用于将接收的指示用作当前序列号值。此外或备选地,如果接收的指示仅包括当前序列号值的某些比特,诸如三个最低有效位,则切换管理器326可以配置用于基于接收的指示 和切换管理器326本地维持的序列号值来确定当前序列号值。该本地维持的序列号值例如可以存储在存储器328中,诸如与UE 302的高速缓存的安全性上下文信息相关联。因而,切换管理器326可以配置用于利用包括所接收指示的当前序列号值的三个最低有效位替换本地维持的序列号值的三个最低有效位,从而确定当前序列号值。切换管理器326还可以配置用于使用确定的当前序列号值来导出对应于MME 316的切换控制器320导出的映射安全性上下文的映射安全性上下文。因而,切换管理器326可以配置用于使用将确定的当前序列号值用作输入参数的密钥导出函数来计算多个安全性密钥,其可以包括CK’和IK’。
切换管理器326还可以配置用于诸如响应于检测到的虚弱无线电信号条件而发起UE 302从源演进的节点B 304到目标接入点310的空闲模式移动性事件。因而,切换管理器326可以配置用于将无线电控制从E-UTRAN系统306向目标系统312切换。切换管理器326还可以配置用于通过获取本地维持的序列号值(诸如可以存储在存储器328中)来确定当前序列号值。如上所述,切换管理器326还可以配置用于使用确定的当前序列号值来导出映射安全性上下文。切换管理器326还可以配置用于向目标接入点310发送路由区域更新请求消息。该路由区域更新请求消息可以包括在示例性实施方式中可以是NAS下行链路令牌的序列号值令牌。如上所述,序列号值令牌可以随后由目标系统312的目标SGSN 314向源MME 316转发并且由源MME 316的切换控制器320使用来同步MME维持的序列号值与切换管理器326使用的序列号值,从而导出对应于由切换管理器326导出的映射安全性上下文的映射安全性上下文。
图4是根据本发明示例性实施方式的、在活跃模式系统间移动性切换过程期间在图3的示例性实施方式的实体间传递的通信信号以及由实体执行的操作的控制流程图。在该示例性实施方式中,UE302从E-UTRAN系统向使用另一通信标准(诸如GERAN或UTRAN)的目标系统切换。操作400可以包括源演进的节点B 304向源MME 316发送需要切换消息。源MME 316的切换控制器320继而可以确定维持在E-UTRAN系统中安全性上下文的当前NAS下行链路COUNT并且在操作402使用确定的当前NAS下行链路COUNT导出新的映射安全性上下文。操作404可以包括源MME 316的切换控制器320向目标SGSN 314转发包括导出的新的映射安全性上下文的重定位请求消息。在操作406,目标SGSN 314继而可以向目标接入点310转发具有导出的新的映射安全性上下文的重定位请求消息。操作408可以包括目标接入点310向目标SGSN 314发送确认重定位请求的接收的消息。操作410可以包括目标SGSN 314向源MME 316发送确认重定位的转发重定位响应消息。在操作412,源MME 316的切换控制器320继而可以向源演进的节点B 304发送包括当前NAS下行链路COUNT值的指示的切换命令消息。在操作414,源演进的节点B 304继而可以向UE 302发送包括当前NAS下行链路COUNT值的指示的根据E-UTRAN的切换命令。操作416可以包括UE 302的切换管理器326基于在切换命令消息中接收的指示来确定当前NAS下行链路COUNT值并且使用确定的当前NAS下行链路COUNT导出对应于源MME 316导出的新的映射安全性上下文的新的映射安全性上下文。
图5是根据本发明示例性实施方式的、在空闲模式系统间移动性切换过程期间在图3的示例性实施方式的实体间传递的通信信号以及由实体执行的操作的控制流程图。在该示例性实施方式中,UE302从E-UTRAN系统向使用另一通信标准(诸如GERAN或UTRAN)的目标系统切换。操作500可以包括UE 302在切换管理器326的命令处从E-UTRAN系统306向目标系统312切换,目标系统312例如可以是UTRAN或GERAN系统。因而,操作500可以进一步包括切换管理器326基于切换管理器326维持的当前NAS下行链路COUNT来计算新的映射安全性上下文。操作502可以包括切换管理器326向目标接入点310发送包括NAS下行链路令牌的路由区域更新请求消息。在操作504,目标接入点310继而可以向目标SGSN 314转发 路由区域更新请求消息。操作506可以包括目标SGSN 314向源MME316发送包括NAS下行链路令牌的上下文请求消息。在操作508,MME 316的切换控制器320继而可以使用接收的NAS下行链路令牌计算当前NAS下行链路COUNT。操作508可以进一步包括切换控制器320基于计算的当前NAS下行链路COUNT来导出对应于由切换管理器326导出的新的映射安全性上下文的新的映射安全性上下文。操作510可以包括切换控制器320向目标SGSN发送包括导出的新的映射安全性上下文的上下文响应消息,其继而可以在操作512确认上下文响应的接收。
图6-图9是根据本发明示例性实施方式的系统、方法和程序产品的流程图。应该理解,流程图的每个框或者步骤以及流程图中框的组合可以通过各种方式来实现,诸如通过硬件、固件和/或包括一个或多个计算机程序指令的软件。例如,上文描述的一个或多个过程可以通过计算机程序指令来实现。在此方面,实现上文描述过程的计算机程序指令可以由移动终端或另一网络实体(诸如SGSN或MME)的存储器设备来存储,并由移动终端或另一网络实体(诸如SGSN或MME)中的处理器来执行。将会意识到,任何这种计算机程序指令可以加载至计算机或者其他可编程设备(也即,硬件)以产生机器,使得当该指令在计算机或其他可编程设备上执行时,创建出用于实现在流程图框或者步骤中指定功能的装置。这些计算机程序指令还可以存储在计算机可读存储器中,该指令可以指引计算机或其他可编程设备以特定方式工作,以使得存储在计算机可读存储器中的指令产生处包括指令装置的产品,该指令装置实现流程图框或者步骤中指定的功能。该计算机程序指令还可以被加载至计算机或者其他可编程设备,以使得在该计算机或其他可编程设备上执行可操作步骤序列,以便产生计算机实现的过程,该过程使得在计算机或其他可编程设备上执行的指令提供用于实现在流程图框或者步骤中指定的功能的步骤。
因此,流程图的框或者步骤支持用于执行特定功能的装置组合、 用于执行特定功能的步骤组合和用于执行特定功能的程序指令装置。还应当理解,流程图的一个或多个框或者步骤以及流程图中框或者步骤的组合可以由基于专用硬件的计算机系统(其执行特定的功能或步骤)或者专用硬件和计算机指令的组合实现。
图6示出了用于在系统间移动性期间提供新的安全性上下文的方法的一个实施方式,示出了根据本发明示例性实施方式的、在活跃模式切换过程期间可以在信令网关(诸如SGSN或移动性管理实体(MME))处发生的操作。在这点上,图6示出的方法的一个实施方式包括:在操作600,MME 316的切换控制器320从源接入点(诸如,源演进的节点B 304)接收需要切换消息。在操作610,切换控制器320继而可以确定在源系统中维持的安全性上下文的当前序列号值。操作620可以包括切换控制器320至少部分地基于确定的当前序列号值导出新的映射安全性上下文。操作630可以包括切换控制器320诸如通过向目标SGSN 314发送包括导出的新的映射安全性上下文的重定位请求消息来向目标系统提供导出的新的映射安全性上下文。操作640可以包括切换控制器320向源接入点发送包括当前序列号值的指示的切换命令消息。
图7示出了用于在系统间移动性期间提供新的安全性上下文的方法的一个实施方式,示出了根据本发明示例性实施方式的、在空闲模式移动性事件期间可以在信令网关(诸如SGSN或移动性管理实体(MME))处发生的操作。在这点上,图6示出的方法的一个实施方式包括:在操作700,MME 316的切换控制器320从目标系统312接收包括序列号值令牌的上下文请求消息。在这点上,例如,切换控制器320可以从目标SGSN 314接收上下文请求消息。操作710可以包括诸如通过至少部分地基于所接收序列号值令牌来计算当前序列号值而确定当前序列号值。操作720可以包括切换控制器320至少部分地基于计算的当前序列号值来导出新的映射安全性上下文。在操作730,切换控制器320继而可以向目标系统312发送包括新的映射安全性上下文的上下文响应消息。在这点上,例如,切 换控制器320可以向目标SGSN 314发送上下文响应消息。
图8示出了用于在系统间移动性期间提供新的安全性上下文的方法的一个实施方式。在这点上,图8示出了根据本发明示例性实施方式的、可以在活跃模式切换过程期间在UE 302处发生的操作。该方法可以包括:在操作800,切换管理器326从接入点(诸如源演进的节点B 304)接收包括当前序列号值的指示的切换命令消息。操作810可以包括切换管理器326基于接收的当前序列号值的指示来确定当前序列号值。切换管理器326继而可以至少部分地基于确定的当前序列号值来导出映射安全性上下文。
图9示出了用于在系统间移动性期间提供新的安全性上下文的方法的一个实施方式。在这点上,图8示出了根据本发明示例性实施方式的、可以在空闲模式移动性事件期间在UE 302处发生的操作。该方法可以包括:在操作900,切换管理器326从E-UTRAN源系统306切换到目标系统312。操作910可以包括切换管理器326确定当前本地存储的当前序列号值。操作920可以包括切换管理器326至少部分地基于确定的本地存储的当前序列号值来导出映射安全性上下文。在操作930,切换管理器326继而可以向目标系统发送包括序列号值令牌的路由区域更新请求消息。在这点上,切换管理器326例如可以向目标接入点310发送路由区域更新请求消息。
上述功能可以以很多方式实现。例如,可以使用用于执行上述每个功能的任何适用装置来实现本发明。在一个实施方式中,适当配置的处理器可以提供本发明的所有或部分元件。在另一个实施方式中,本发明的全部或者部分元件可以由计算机程序产品配置并且在其控制下操作。用于执行本发明的实施方式的方法的计算机程序产品包括计算机可读存储介质(诸如,非易失性存储介质),以及计算机可读程序代码部分(诸如,在计算机可读存储介质中包含的一系列计算机指令)。
因而,本发明的实施方式可以在系统间移动性期间向目标系统提供新的映射安全性上下文。新的映射安全性上下文可以这样导出, 通过在维持在针对UE高速缓存的安全性上下文中维持的主密钥生命期期间,至少部分地基于UE和MME两者维持的、递增的序列号值来导出向目标系统提供的安全性密钥。因而,本发明的实施方式可以防止密钥流重用,该密钥流重用否则可以在主密钥KASME生命期期间例如在UE在E-UTRAN和UTRAN或GERAN系统之间来回多次切换时可能发生,其中主密钥KASME可以由E-UTRAN维持在高速缓存的安全性上下文中。
在具有以上说明书和相关附图中呈现出的教导的受益下,对于本领域技术人员而言,可以想到本发明的各种修改和其他实施方式。由此应当注意,本发明的实施方式不限于所公开的具体实施方式,以及修改和其他实施方式旨在包括于所附权利要求书的范围内。此外,尽管以上说明书和相关附图在元件和/或功能的特定示例性组合的上下文中描述了示例性实施方式,但是应当理解,可以由备选实施方式提供元件和/或功能的不同组合,而并不脱离所附权利要求书的范围。就此,例如,所附权利要求书的某些内容也旨在阐明除上述明示的元件和/或功能以外的不同组合。尽管在此使用了特定术语,其仅出于一般性和描述性方式使用而并非用于限制目的。
Claims (22)
1.一种用于通信的方法,包括:
在源网元处,接收远程设备从源系统向目标系统切换的指示,其中所述目标系统实现不同于所述源系统的通信标准;
在所述源网元处,确定维持在所述源系统中的安全性上下文的当前序列号值;
在所述源网元处,至少部分地基于确定的序列号值导出用于所述目标系统的新的映射安全性上下文;以及
通过所述源网元向所述目标系统提供导出的新的映射安全性上下文,
其中所述源系统实现演进的通用陆地无线电接入网(E-UTRAN)通信标准;确定所述当前序列号值包括确定当前非接入层(NAS)下行链路COUNT值;以及导出新的映射安全性上下文包括至少部分地基于确定的NAS下行链路COUNT值计算加密密钥(CK’)和完整性密钥(IK’)。
2.根据权利要求1所述的方法,其中接收远程设备切换的指示包括接收所述远程设备的活跃模式切换的指示。
3.根据权利要求2所述的方法,其中接收所述远程设备的活跃模式切换的指示包括从源接入点接收需要切换消息;并且还包括
向所述源接入点发送包括确定的当前序列号值的指示的切换命令消息。
4.根据权利要求3所述的方法,其中发送包括所述确定的当前序列号值的指示的切换命令消息包括发送包括以下参数的切换命令消息,指示所述确定的序列号值的预定义数量的最低有效位的参数或指示所述确定的序列号值的每个比特的参数。
5.根据权利要求1-4中任一项所述的方法,其中接收远程设备切换的指示包括接收所述远程设备的空闲模式移动性事件的指示。
6.根据权利要求5所述的方法,其中接收所述远程设备的空闲模式移动性事件的指示包括从目标服务通用分组无线电服务支持节点(目标SGSN)接收上下文请求消息,其中所述上下文请求消息包括由所述远程设备向所述目标系统提供的序列号值令牌。
7.根据权利要求6所述的方法,其中确定当前序列号值包括至少部分地基于接收的序列号值令牌来计算所述当前序列号值。
8.一种用于通信的设备,包括:
用于在源网元处接收远程设备从源系统向目标系统切换的指示的装置,其中所述目标系统实现不同于所述源系统的通信标准;
用于在所述源网元处确定维持在所述源系统中的安全性上下文的当前序列号值的装置;
用于在所述源网元处至少部分地基于确定的序列号值导出用于所述目标系统的新的映射安全性上下文的装置;以及
用于通过所述源网元向所述目标系统提供导出的新的映射安全性上下文,
其中所述源系统实现演进的通用陆地无线电接入网(E-UTRAN)通信标准;所述用于确定当前序列号值的装置包括用于确定当前非接入层(NAS)下行链路COUNT值的装置;以及所述用于导出新的映射安全性上下文的装置包括用于至少部分地基于确定的NAS下行链路COUNT值计算加密密钥(CK’)和完整性密钥(IK’)的装置。
9.根据权利要求8所述的设备,其中所述用于接收远程设备切换的指示的装置包括用于接收所述远程设备的活跃模式切换的指示的装置。
10.根据权利要求9所述的设备,其中所述用于接收远程设备切换的指示的装置包括用于从源接入点接收需要切换消息的装置;并且所述设备还包括
用于向所述源接入点发送包括确定的当前序列号值的指示的切换命令消息的装置。
11.根据权利要求10所述的设备,其中所述用于发送切换命令消息的装置包括用于发送包括以下参数的切换命令消息的装置,所述参数指示所述确定的序列号值的预定义数量的最低有效位的参数或指示所述确定的序列号值的每个比特的参数。
12.根据权利要求8所述的设备,其中所述用于接收远程设备切换的指示的装置包括用于接收所述远程设备的空闲模式移动性事件的指示的装置。
13.根据权利要求12所述的设备,其中所述用于接收远程设备切换的指示的装置包括用于从目标服务通用分组无线电服务支持节点(目标SGSN)接收上下文请求消息的装置,其中所述上下文请求消息包括由所述远程设备向所述目标系统提供的序列号值令牌。
14.根据权利要求13所述的设备,其中所述用于确定当前序列号值的装置包括用于至少部分地基于接收的序列号值令牌来计算所述当前序列号值的装置。
15.一种用于通信的方法,包括:
在用户设备处,针对从源系统向目标系统的切换发起本地切换过程,其中所述目标系统实现不同于所述源系统的通信标准;
在所述用户设备处,确定维持在所述源系统中的安全性上下文的当前序列号值;以及
在所述用户设备处,至少部分地基于确定的序列号值导出映射安全性上下文以便在与所述目标系统的通信中使用,
其中所述源系统实现演进的通用陆地无线电接入网(E-UTRAN)通信标准;确定所述当前序列号值包括确定当前非接入层(NAS)下行链路COUNT值;以及导出映射安全性上下文包括至少部分地基于确定的NAS下行链路COUNT值计算加密密钥(CK’)和完整性密钥(IK’)。
16.根据权利要求15所述的方法,其中发起本地切换过程包括接收包括当前序列号值的指示的切换命令消息以及响应于接收所述切换命令消息来发起本地活跃切换过程;以及其中确定当前序列号值包括至少部分地基于接收的所述当前序列号值的指示来确定所述当前序列号值。
17.根据权利要求15所述的方法,其中发起本地切换过程包括发起空闲模式移动性事件;以及其中确定当前序列号值包括确定本地存储的当前序列号值。
18.根据权利要求15-17中任一项所述的方法,还包括向所述目标系统发送序列号值令牌。
19.一种用于通信的设备,包括:
用于在用户设备处针对从源系统向目标系统的切换发起本地切换过程的装置,其中所述目标系统实现不同于所述源系统的通信标准;
用于在所述用户设备处确定维持在所述源系统中的安全性上下文的当前序列号值的装置;以及
用于在所述用户设备处至少部分地基于确定的序列号值导出映射安全性上下文以便在与所述目标系统的通信中使用的装置,
其中所述源系统实现演进的通用陆地无线电接入网(E-UTRAN)通信标准;所述用于确定当前序列号值的装置包括用于确定当前非接入层(NAS)下行链路COUNT值的装置;以及所述用于导出映射安全性上下文的装置包括用于至少部分地基于确定的NAS下行链路COUNT值计算加密密钥(CK’)和完整性密钥(IK’)的装置。
20.根据权利要求19所述的设备,其中还包括用于接收包括当前序列号值的指示的切换命令消息以及响应于接收所述切换命令消息来发起本地活跃切换过程的装置;以及用于至少部分地基于接收的所述当前序列号值的指示来确定所述当前序列号值的装置。
21.根据权利要求19所述的设备,其中还包括用于通过发起空闲模式移动性事件来发起本地切换过程的装置;以及用于确定本地存储的当前序列号值的装置。
22.根据权利要求19-21中任一项所述的设备,其中还包括用于向所述目标系统发送序列号值令牌的装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2008/052351 WO2009150493A1 (en) | 2008-06-13 | 2008-06-13 | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102067642A CN102067642A (zh) | 2011-05-18 |
| CN102067642B true CN102067642B (zh) | 2014-12-24 |
Family
ID=40134830
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880129776.6A Active CN102067642B (zh) | 2008-06-13 | 2008-06-13 | 用于在系统间移动性期间提供新的安全性上下文的方法、设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8798632B2 (zh) |
| EP (1) | EP2283668B1 (zh) |
| KR (1) | KR101224230B1 (zh) |
| CN (1) | CN102067642B (zh) |
| WO (1) | WO2009150493A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11849389B2 (en) | 2017-01-30 | 2023-12-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Management of security contexts at idle mode mobility between different wireless communication systems |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299666A (zh) * | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
| US8526617B2 (en) * | 2008-12-29 | 2013-09-03 | Htc Corporation | Method of handling security configuration in wireless communications system and related communication device |
| CN101932049A (zh) * | 2009-06-18 | 2010-12-29 | 中兴通讯股份有限公司 | 一种用户接入模式的通知方法及系统 |
| CN101931951B (zh) * | 2009-06-26 | 2012-11-07 | 华为技术有限公司 | 密钥推演方法、设备及系统 |
| GB2472580A (en) * | 2009-08-10 | 2011-02-16 | Nec Corp | A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers |
| BR112012007687B1 (pt) * | 2009-10-05 | 2021-10-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Método para uso em um controlador de rede de rádio de servidor, e, aparelho para uso em um controlador de rede de rádio |
| US8600390B2 (en) * | 2010-02-02 | 2013-12-03 | Telefonaktiebolet L M Ericsson (publ) | Returning user equipment to a source radio access network |
| US20110230192A1 (en) * | 2010-03-18 | 2011-09-22 | Kundan Tiwari | Apparatuses and methods for controlling sequenced message transfer during signal radio voice call continuity (srvcc) |
| US8929334B2 (en) | 2010-11-16 | 2015-01-06 | Qualcomm Incorporated | Systems and methods for non-optimized handoff |
| US8743828B2 (en) | 2010-11-16 | 2014-06-03 | Qualcomm Incorporated | Systems and methods for non-optimized handoff |
| US8730912B2 (en) * | 2010-12-01 | 2014-05-20 | Qualcomm Incorporated | Determining a non-access stratum message count in handover |
| CN102790965B (zh) * | 2011-05-18 | 2016-09-14 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
| WO2013163815A1 (zh) * | 2012-05-04 | 2013-11-07 | 华为技术有限公司 | 一种网络切换过程中的安全处理方法及系统 |
| GB2491047B (en) * | 2012-06-07 | 2013-12-11 | Renesas Mobile Corp | Apparatus and methods for security context selection |
| US9973986B2 (en) * | 2013-01-17 | 2018-05-15 | Intel IP Corporation | Systems and methods for mobility optimization in a heterogeneous network |
| ES2743214T3 (es) * | 2013-09-11 | 2020-02-18 | Samsung Electronics Co Ltd | Procedimiento y sistema para posibilitar una comunicación segura para una transmisión inter-eNB |
| US9913137B2 (en) * | 2015-09-02 | 2018-03-06 | Huawei Technologies Co., Ltd. | System and method for channel security |
| JP6630990B2 (ja) | 2015-12-03 | 2020-01-15 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | マルチratネットワークにおける軽量rrc接続セットアップ |
| EP4102871A1 (en) | 2015-12-03 | 2022-12-14 | Telefonaktiebolaget LM Ericsson (publ) | Multi-rat security setup |
| WO2017129089A1 (zh) * | 2016-01-29 | 2017-08-03 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及存储介质 |
| BR112019013937A2 (pt) * | 2017-01-06 | 2020-02-11 | Huawei Technologies Co., Ltd. | Método de mudança automática de rede e dispositivo relacionado |
| CN108616881A (zh) * | 2017-01-24 | 2018-10-02 | 中兴通讯股份有限公司 | 连接重建的认证方法、基站、用户设备、核心网及系统 |
| US11849316B2 (en) | 2017-01-30 | 2023-12-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, apparatuses, computer programs and carriers for security management before handover from 5G to 4G system |
| ES2870553T3 (es) | 2017-03-17 | 2021-10-27 | Nec Corp | Dispositivo de red, método de comunicación y programa informático |
| CN108668281B (zh) * | 2017-03-31 | 2021-07-09 | 华为技术有限公司 | 一种通信方法、相关设备及系统 |
| US10939334B2 (en) * | 2017-09-15 | 2021-03-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context in a wireless communication system |
| US11243978B2 (en) * | 2018-06-29 | 2022-02-08 | EMC IP Holding Company LLC | Non-centralized data synchronization for IoT and other distributed applications |
| EP3837873A1 (en) * | 2018-08-13 | 2021-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Protection of non-access stratum communication in a wireless communication network |
| US20210385722A1 (en) * | 2018-10-04 | 2021-12-09 | Nokia Technologies Oy | Method and apparatus for security context handling during inter-system change |
| CN111314913B (zh) * | 2018-12-12 | 2021-08-20 | 大唐移动通信设备有限公司 | 一种rrc消息的处理方法和装置 |
| EP3944669A4 (en) * | 2019-03-22 | 2022-04-27 | Sony Group Corporation | COMMUNICATION CONTROL DEVICE AND METHOD, COMMUNICATION TERMINAL AND METHOD |
| CN116033541A (zh) * | 2020-12-30 | 2023-04-28 | 展讯通信(上海)有限公司 | 一种网络注册方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0616660D0 (en) * | 2006-08-22 | 2006-10-04 | Vodafone Plc | Telecommunications networks |
| US8948395B2 (en) * | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
| US8780856B2 (en) * | 2007-09-18 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter-system handoffs in multi-access environments |
| CN101304311A (zh) * | 2008-06-12 | 2008-11-12 | 中兴通讯股份有限公司 | 密钥生成方法和系统 |
-
2008
- 2008-06-13 CN CN200880129776.6A patent/CN102067642B/zh active Active
- 2008-06-13 WO PCT/IB2008/052351 patent/WO2009150493A1/en active Application Filing
- 2008-06-13 US US12/997,793 patent/US8798632B2/en active Active
- 2008-06-13 EP EP08763338.4A patent/EP2283668B1/en active Active
- 2008-06-13 KR KR1020117000831A patent/KR101224230B1/ko active IP Right Grant
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11849389B2 (en) | 2017-01-30 | 2023-12-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Management of security contexts at idle mode mobility between different wireless communication systems |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2283668B1 (en) | 2018-11-14 |
| CN102067642A (zh) | 2011-05-18 |
| WO2009150493A1 (en) | 2009-12-17 |
| KR101224230B1 (ko) | 2013-01-21 |
| US20110092213A1 (en) | 2011-04-21 |
| US8798632B2 (en) | 2014-08-05 |
| KR20110040831A (ko) | 2011-04-20 |
| EP2283668A1 (en) | 2011-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102067642B (zh) | 用于在系统间移动性期间提供新的安全性上下文的方法、设备 | |
| CN101647299B (zh) | 用于切换失败恢复的方法、设备和计算机程序产品 | |
| US10873889B2 (en) | Handover apparatus and method | |
| US11553540B2 (en) | Data processing method and device | |
| AU2009233486B2 (en) | Methods, apparatuses, and computer program products for providing multi-hop cryptographic separation for handovers | |
| CN108702810A (zh) | 无线通信系统中执行用于基于网络切片的nr的小区特定过程或者移动性过程的方法和装置 | |
| JP2019520765A (ja) | 無線通信システムにおけるネットワークスライスベースのnrのためのセル特定手順を実行する方法及び装置 | |
| CN108811000A (zh) | 一种参数的确定方法及通信实体 | |
| EP3737195A1 (en) | Network architecture and information interaction method and device | |
| KR20100047966A (ko) | 통신 시스템 및 그의 데이터 전송 방법 | |
| CN110049533A (zh) | 一种本地数据网络的指示方法及装置 | |
| CN101690324A (zh) | 用于切换时的数据转发的方法、设备和计算机程序产品 | |
| CN102905265A (zh) | 一种实现移动设备附着的方法及装置 | |
| US20170180259A1 (en) | Offloading policy negotiation method and apparatus | |
| CN102905266A (zh) | 一种实现移动设备附着的方法及装置 | |
| CN110650499B (zh) | 重定向的方法、通信系统和通信装置 | |
| CN113055879B (zh) | 一种用户标识接入方法及通信装置 | |
| CN109314893B (zh) | 一种切换方法及装置 | |
| CN102469619A (zh) | 一种移动通信系统及其服务网关重定位的方法 | |
| CN112789896B (zh) | 切换传输路径的方法及装置 | |
| US10721051B2 (en) | Encryption management in carrier aggregation | |
| CN110890967A (zh) | 一种计费处理方法、网元及网络系统 | |
| CN115884153A (zh) | 通信的方法和装置 | |
| CN114915929A (zh) | 确定策略的方法和通信装置 | |
| EP3556126B1 (en) | Method for provisioning enhanced communication capabilities to user equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160119 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |