CN102187599A - 在移动通信系统中安全保护的非接入层面协议操作支持方法 - Google Patents
在移动通信系统中安全保护的非接入层面协议操作支持方法 Download PDFInfo
- Publication number
- CN102187599A CN102187599A CN2009801409751A CN200980140975A CN102187599A CN 102187599 A CN102187599 A CN 102187599A CN 2009801409751 A CN2009801409751 A CN 2009801409751A CN 200980140975 A CN200980140975 A CN 200980140975A CN 102187599 A CN102187599 A CN 102187599A
- Authority
- CN
- China
- Prior art keywords
- key
- new
- mme
- request message
- place
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及用于在移动电信网络中通过使用非接入层面(即,网络层面,以下简称为“NAS”)的、终端的移动性管理、空闲模式管理、登录管理(连接和断开管理)以及位置管理(跟踪区域的管理)的方法和系统。为此,根据本发明的实施例的通过使用NAS协议即消息的、终端的移动性管理、空闲模式管理、登录管理和位置管理的方法包括终端(以下,称为“UE”)和移动性管理实体(以下,称为“MME”),并且专注于当终端执行活动模式下的切换、执行空闲模式下的位置管理以及向网络登录时,在诸如3GPP的EPS(演进的分组系统)的网络中发送或接收用作EMM(EPS移动性管理)消息即移动性管理消息的消息的情况下,如果接收的消息是安全保护的NAS消息,用于有效地处理安全保护的NAS消息的方法,从而在终端的移动性管理、位置管理和登录管理中实现了改善的效率。
Description
技术领域
本发明涉及用于管理移动通信系统的用户设备的方法,具体地说,涉及用于利用NAS协议有效地支持用户设备(UE)的移动性、位置和登录管理的方法。
背景技术
作为代表性的移动通信标准化组织之一,第三代伙伴计划(3GPP)已经发展了演进的分组系统(Evolved Packet System,EPS)并且定义了移动性管理实体(Mobility Management Entity,MME)。为了满足这样的下一代移动通信系统的高速的移动性和加强的安全要求,已经提出了要改善用于传统的移动通信系统的NAS协议,特别是3GPP的3G系统。
然而,NAS协议以及基于NAS协议的NAS的移动性、位置和登录管理方案对于提供支持前述功能的准确程序和性质的定义是不成熟的。而且,当前定义的程序和消息在实际系统中关于移动性、位置和/或登录管理已经不可操作(malfunctioned),并产生了不清楚的问题。因此,需要对有效支持NAS协议的移动性、位置和登录管理、安全保护的程序、以及UE和MME的角色的定义。
发明内容
为了解决现有技术的问题,本发明提供了用于在诸如3GPP EPS的演进的移动通信系统中利用安全保护的NAS消息、保护地和有效地支持移动性、位置和登录管理的方法。而且,本发明利用UE和MME之间的NAS消息定义了NAS协议的操作。因此,本发明提供了用于支持使用NAS协议的UE的移动性、位置和登录管理的方法,即使在3GPP EPS和其他无线接入技术(即,非3GPP系统)之间,以及在3GPP EPS内。
本发明提供了用于在移动通信网络中利用非接入层面(NAS)协议支持UE的移动性管理、空闲模式管理、登录管理(连接和断开管理)和位置管理(跟踪区域管理)的方法。也就是,本发明提供了用于使用NAS协议(即,NAS消息)支持UE的移动性管理、空闲模式管理、登录管理和位置管理的方法。本发明的移动通信系统包括用户设备(UE)和移动性管理实体(MME),并且提出了当UE执行激活模式下的切换(handover)、空闲模式的位置管理以及向网络的登录时,在诸如3GPP EPS的网络中有效利用安全保护的NAS消息的方法。
根据本发明的一个方面,用于在移动通信系统中处理UE的状态信息的方法包括:在UE处,向新的MME发送状态转换请求消息;在新的MME处,从旧的MME接收到旧的密钥信息;以及在新的MME处,在使用旧的密钥信息分析请求消息之后,向UE发送响应消息。优选地,旧的密钥信息包括KSIasme和Kaseme。
优选地,该方法还包括:在新的MME处,向UE发送NAS安全模式命令消息,该NAS安全模式命令消息包含当解释请求消息失败时生成的新的密钥信息;以及在UE处,向新的MME发送对于利用UE的新的密钥信息生成的NAS安全模式命令消息的响应。
优选地,由新的MME生成的新的密钥信息包括NAS密码密钥(NAS cipher key,KNASenc)和完整性密钥(KNAsint);NAS安全模式命令消息包括安全标识符(KSI)、UE安全能力、要使用的加密算法和完整性算法;以及由UE生成的新的密钥信息包括基于由NAS安全模式命令消息的安全标识符(KSI)索引的基本安全密钥(KASME)生成的密码密钥(KNASenc)和完整性密钥(KNAsint)。优选地,该方法还包括:在新的MME处,当利用旧的密钥解释请求消息失败时,发送用户认证请求消息,以及在UE处应答该用户认证请求消息。优选地,用户认证请求消息包括认证矢量(AUTN)和安全密钥标识符(KSIASME)。
优选地,状态转换请求消息是切换请求消息、TAU请求消息和连接(断开)请求消息中的一个。
根据本发明的另一个方面,用于在移动通信系统中处理状态信息的方法包括:在UE处,向新的MME发送利用新的密钥进行安全保护的状态转换请求消息;在新的MME处,通过向新的MME发送用户认证请求消息,应答状态转换请求消息;在新的MME处,生成新的密钥并向UE发送具有新的密钥的NAS安全模式命令消息;以及在UE处,基于新的MME的新的密钥信息生成新的密钥,并应答NAS安全模式命令消息。
根据本发明的另一个方面,用于在移动通信系统中处理切换的方法包括:在旧的MME处,向新的MME发送具有UE的旧的密钥信息的转送重新定位请求消息;在UE处,向新的MME发送利用旧的密钥进行安全保护的TAU请求消息;以及在新的MME处,利用旧的密钥解释TAU请求消息。优选地,该方法还包括:在新的MME处,当利用旧的密钥解释TAU请求消息失败时,发送用户认证请求消息,并在UE处应答用户认证请求消息;在新的MME处,生成新的密钥,并向UE发送具有关于新的密钥的信息的NAS安全模式命令消息;在UE处,使用新的MME的新的密钥信息生成新的密钥,并应答NAS安全模式命令;以及在UE处,向新的MME发送利用新的密钥进行安全保护的TAU请求消息,并在新的MME处利用新的密钥处理消息。
根据本发明的另一个方面,用于在移动通信系统中处理UE的位置更新的方法包括:在UE处,向新的MME发送利用旧的密钥进行安全保护的TAU请求消息;在新的MME处,向旧的MME请求与UE的旧的密钥有关的信息,并接收旧的密钥信息;以及在新的MME处,利用旧的密钥解释TAU请求消息,并向UE发送利用旧的密钥进行安全保护的TAU接受消息。优选地,该方法还包括:在新的MME处,当利用旧的密钥解释TAU请求消息失败时,发送用户认证请求消息,并在UE处应答用户认证请求消息;在新的MME处,生成新的密钥,并向UE发送具有关于新的密钥的信息的NAS安全模式命令消息;在UE处,基于新的MME的新的密钥信息生成新的密钥,并应答NAS安全模式命令;以及在UE处,向新的MME发送利用新的密钥进行安全保护的TAU请求消息,并在新的MME处利用新的密钥处理消息。
根据本发明的再一个方面,用于在移动通信系统中处理UE的登录的方法包括:在UE处,向新的MME发送利用旧的密钥进行安全保护的登录请求消息;在新的MME处,向旧的MME请求与UE的旧的密钥有关的信息,并接收旧的密钥信息;以及在新的MME处,解释登录请求消息,并向UE发送利用旧的密钥进行安全保护的登录接受消息。优选地,该方法还包括:在新的MME处,当利用旧的密钥解释登录请求消息失败时,发送用户认证请求消息,并应答用户认证请求消息;在新的MME处,生成新的密钥,并向UE发送具有关于新的密钥的信息的NAS安全模式命令消息;在UE处,基于新的MME的新的密钥信息生成新的密钥,并应答NAS安全模式命令消息;以及在UE处,向新的MME发送利用新的密钥进行安全保护的登录请求消息,并在新的MME处利用新的密钥处理消息。
有益效果
如前所述,本发明涉及在移动通信系统中使用非接入层面(NAS)支持UE的空闲模式管理、登录管理(连接和断开管理)和位置管理(跟踪区域管理)的方法和系统。使用NAS协议支持移动性管理、空闲模式管理、登录管理和位置管理的方法包括用户设备(UE)和移动性管理实体(MME),并提出了在诸如3GPP EPS的网络中发送或接收作为移动性管理消息的EPS移动性管理(EMM)时,特别是在激活模式下UE的切换、空闲模式下UE的位置管理、UE与网络的登录的情况下,用于有效地处理安全保护的NAS消息的方法,从而改善移动性、位置和登录管理效率。
附图说明
图1和图2是示出根据本发明的实施例的用于在移动通信系统中进行切换的结构和操作的附图;
图3和图4是示出根据本发明的实施例的用于在移动通信系统中进行位置管理的结构和操作的附图;
图5和图6是示出根据本发明的实施例的用于UE的登录程序的结构和操作的附图;
图7到图9是示出根据本发明的实施例的移动通信系统中MME的移动性管理,位置管理和登录管理程序的流程图;以及
图10是示出在本发明的实施例中UE的移动性管理、位置管理和登录管理程序的流程图。
具体实施方式
参照附图对本发明的示范性实施例进行详细地描述。相同的参考标号在附图中始终用于指代相同或相似的部分。这里所结合的已知功能和结构的详细说明将被省略,以避免模糊本发明的主题。以下术语是考虑到在本发明中的功能来定义的,其含义可根据用户或操作者的意图、或者根据惯例而变化。因此,术语的定义必须基于本说明书的整体内容来解释。
在以下描述中,术语“状态转换请求消息”是指切换请求消息、跟踪区域更新(TAU)请求消息和连接(断开)请求消息中的任何一个。术语“旧的密钥”是指与在UE所连接的旧的MME(服务MME)中使用的安全密钥有关的信息,而术语“新的密钥”是指与要由UE根据状态转换所连接的新的MME(目标MME)使用的安全密钥有关的信息。
术语“旧的密钥信息”是指从旧的MME接收的信息,并且包括诸如基本安全密钥标识符(KSIASME)和基本安全密钥(KASME)之类的安全信息,并且KASME(Key access security management entity,密钥接入安全管理实体)可以包括用于加密NAS消息的密码密钥(KNASenc)、用于NAS消息的完整性保护的完整性密钥(KNASint)、以及用于生成演进的节点B密钥(KeNB)的安全密钥,该演进的节点B密钥(KeNB)用于在无线接口处保护AS(接入层面)消息。
术语“用户认证请求消息”是指用于在新的MME和UE之间生成新的密钥的认证消息,并且可以包括认证标记(authentication token,AUTN)(作为认证矢量)和安全标识符(KSIASME)。
术语“NAS安全模式命令消息”是指在创建新的密钥之后新的MME发送给UE的消息,并且能够包括密钥集索引(key set index)、作为关于UE所支持的安全算法的信息的UE安全能力、要使用的加密算法以及要使用的完整性算法。
本发明提供用于使用UE和MME之间的NAS协议在移动通信系统中支持移动性管理、位置管理和登录管理的方法。虽然描述针对3GPP EPS系统,但是本发明能够应用于使用NAS的其他移动通信系统。
虽然图1的实施例针对于存在两个3GPP EPS网络的情况,但是使用NAS本发明可以应用于从3GPP EPS到另一个3GPP EPS、3GPP UMTS网络、3GPPGPRS网络、WiMAX网络、或3GPP2无线接入网络的UE的切换。根据本发明的使用NAS协议支持移动性管理、位置管理和登录管理的方法能够应用于具有类似技术背景和信道格式的其他类型的移动通信系统,而不脱离本发明的精神和范围。
图1是示出根据本发明的实施例的移动通信系统环境中的切换情形(situation)的视图。在这个实施例中,以3GPPEPS进行描述。
参考图1,演进的节点基站(以下,可互换地称为E节点B或eNB)112与位于作为eNB的服务覆盖范围的小区内的用户设备(以下,称为UE)110建立无线连接。UE 110是经由服务网关(以下,可互换地称为服务GW或SGW)116访问诸如Internet的分组数据网络的终端。在以下描述中,作为本发明分组数据网络的重要网络实体,分组数据网络网关(以下,称为PDN GW)118用作家庭代理的角色(以下,称为HA)。
这里存在用于在eNB 112(132)和服务GW 116(136)之间以及在MME114(134)和服务GW 116(136)之间管理UE的移动性的接口和数据路径。在本发明的实施例中,UE 110和MME 114(134)具有NAS协议栈,用于支持移动性管理、位置管理、登录管理、以及会话管理。
在本发明的实施例中,UE 110能够从NW1141向NW2143切换或从NW2向NW1切换。在本发明的实施例中,在MME 114和MME 134之间以及在eNB 112和eNB 132之间能够存在接口,用于UE 110的移动性管理、位置管理、以及登录。
在本发明的实施例中,描述针对于在MME 114和UE 110之间的NAS协议操作,MME被引入用于UE的移动性、位置、以及会话管理。也就是,用于移动性、位置和会话管理的UE 110和MME 114之间的NAS协议操作被演进以便连同移动性和会话管理功能中的修改一起加强安全性。
图2是示出根据本发明的实施例、如图1中所示构建的移动通信系统中用于利用在MME和UE之间的NAS协议进行切换的程序的信令图。
参考图1和2,在切换情形中,新的MME 134能够如以下三种方式进行操作。一个实施例是包括图2的步骤151到153的情况2,其中新的MME 134使用从旧的MME 114接收的与安全相关的信息。另一个实施例是对应于步骤151、153、171到179、181、191和193的情况1,除认证程序(171和173)和安全模式命令程序(175到181)之外,其还包括用于使用新的与安全相关的信息解释消息的程序。再一个实施例是其中执行步骤151、153、161、163、以及171到181的情况3,并且具体来讲,当在执行步骤151、153、161、和163之后,在步骤163利用旧的安全密钥解释TAU请求的结果在安全认证中失败时,执行步骤171到181。
参考图2,在情况2,在步骤151服务MME(旧的MME)114将转送重新定位请求(Forward Relocation Request)消息发送给目标MME(新的MME)134。这里,转送重新定位请求消息包含UE安全上下文。当接收到转送重新定位请求消息时,目标MME 134将转送重新定位响应(Forward Relocation Response)消息发送给服务MME 114。然后,在步骤161,UE 110发送TAU请求(TAU Request)消息给目标MME 134,该TAU请求消息通过旧的密钥进行安全保护。当接收到TAU请求消息时,目标MME使用旧的密钥解释TAU请求消息。
如前所述,在图2的情况2,服务MME(即,在切换之前的旧的MME)发送包含目标MME(即,新的MME)134的UE安全上下文的转送重新定位请求消息。可以包括UE安全上下文。当接收到转送重新定位请求消息时,新的MME 134将转送重新定位响应消息发送给旧的MME 114。然后,UE 110将通过旧的密钥进行安全保护的TAU请求消息发送到新的MME 134,该新的MME 134使用旧的密钥解释TAU请求消息。
参考图2,在情况1,服务MME 114和目标MME 134执行步骤151和153以交换转送重新定位请求消息和转送重新定位响应消息。接下来,在步骤171,目标MME 134将用户认证请求(User Authentication Request)消息发送给UE 110。用户认证请求消息包含认证矢量(AUTN)和安全标识符(KSIASME)。响应于用户认证请求消息,在步骤173,UE 110将用户认证响应(User Authentication Response)消息发送给目标MME 134。当接收到用户认证响应消息时,目标MME 134生成密码密钥(KNASenc)和完整性密钥(KNASint)。
然后,在步骤177,目标MME 134将包含密钥集索引(KSI)、UE安全能力、加密算法、完整性算法等等的NAS安全模式命令(NAS Security Mode Command)发送给UE 110。当接收到NAS安全模式命令时,在步骤179,UE 110基于通过KSI索引的KASME生成密码密钥(KNASint)和完整性密钥(KNASint)。作为步骤179的结果,目标MME 134和UE 110共享相同的密钥值。接下来,在步骤181,UE 110将NAS安全模式完成(NAS Security Mode Complete)消息发送给目标MME 134,并且结束NAS安全模式命令处理。
然后,UE发送通过新的密钥、即新的密码密钥(KNASenc)或完整性密钥(KNASint)进行安全保护的TAU请求消息,并且目标MME 134使用新的密钥解释TAU请求消息。
如前所述,在图2的情况1,旧的MME 114和新的MME 134交换转送重新定位请求消息和转送重新定位响应消息。然后,新的MME 134向UE 110发送包含AUTN和KSIASME的用户认证请求消息。响应于用户认证请求消息,UE发送用户认证响应消息。当接收到用户认证响应消息时,新的MME134生成密码密钥(KNASenc)和完整性密钥(KNASint),并将NAS安全模式命令消息发送给UE 110。此时,NAS安全模式命令消息包含密钥集索引(KSI)、UE安全能力、加密算法、完整性算法等等。当接收到NAS安全模式命令消息时,UE 110基于通过KSI索引的KASME生成密码密钥(KNASint)和完整性密钥(KNASint),从而MME 134和UE 110共享相同的密钥值。接下来,UE 110将NAS安全模式完成信息发送给目标MME 134,以便结束NAS安全模式命令处理,然后发送由新的安全密钥、即新的密码密钥(KNASenc)或完整性密钥(KNASint)保护的TAU请求消息。
参考图2,情况3可以是在情况1中TAU请求消息在安全认证中失败的情况。也就是说,在执行步骤151、153、以及161之后,如果目标MME 134在步骤163使用旧的安全密钥解释TAU请求消息时未通过安全认证,则目标MME 134和UE 110在步骤171到181执行对应于情况2的处理,以生成新的安全密钥并通过共享新的安全密钥实行NAS安全模式。然后,UE 110发送通过新的密钥、即新的密码密钥(KNASenc)或完整性密钥(KNASint)进行安全保护的TAU请求消息,并且目标MME 134使用新的密钥解释TAU请求消息。
如上所述,在图2的情况3,如果经由使用旧的安全密钥进行TAU请求消息解释的结果,安全认证失败,则新的MME 134和UE 110生成并共享新的安全密钥,以及使用新的安全密钥处理TAU请求消息。
图3是例示根据本发明实施例的移动通信系统环境中的位置管理情形的示图。在这个实施例中,假设移动通信体系为3GPP EPS进行描述。
参照图3,移动通信的功能实体和结构配置环境与图1的类似。在图3中,描述关注于位置管理功能。也就是说,与UE 110处于活动模式的图1不同,在图3的环境中,UE 110处于空闲模式用于节约功率消耗,或者在活动模式中进行切换之后从跟踪区域1(TA1)241移动到跟踪区域2(TA2)243。在这种情况下,需要对UE的位置进行管理。虽然跟踪区域(TA)以小区为单位精确地定位UE,但是它是一种用来粗略地管理位置的概念。
图4是例示根据本发明实施例的如图3所示构造的移动通信系统中用于位置管理的MME的操作的信令图。在位置管理情形中,新的MME 234可以以如下三种方式操作。
在情况2的位置管理情形中,从步骤251到259,新的MME 234使用从旧的MME接收的安全相关的信息。情况1的位置管理情形包括步骤251到257、步骤261到269、步骤271、以及步骤181。也就是说,情况1除了认证程序(步骤261和263)以及安全模式命令程序(步骤265到271)以外,还包括用于使用新的安全相关的信息解释消息的程序。在情况1,当利用从旧的MME 214接收的旧的安全上下文来解释消息的尝试失败时,新的MME234和UE 210通过步骤261到271执行认证和安全程序,以生成和共享新的安全信息,并且因此执行利用新的安全信息发送消息以及利用新的安全信息解释回复消息的程序。情况3是其中通过步骤251到257的消息验证失败的情况,并且不同于情况1,当需要新的安全认证程序的而通过步骤261到271的认证程序或安全程序失败时,在步骤291,MME 234发送位置登录拒绝消息。
以下更详细地描述关联于用于UE的位置管理的UE和MME的操作描述的情况1、情况2、以及情况3的程序。在情况2,在步骤251,UE 210将通过旧的密钥进行安全保护的TAU请求消息发送给新的MME 234。当接收到TAU请求消息时,新的MME 234将上下文请求(Context Request)消息发送给旧的MME 214,以请求有关UE的信息。在步骤257,旧的MME 214响应于上下文请求消息将上下文响应(Context Response)消息发送给新的MME234。上下文响应消息包括UE安全信息,诸如基本安全密钥标识符(KSIASME)和基本安全密钥(KASME)。这里,KASME(密钥接入安全管理实体)被用来生成用于NAS消息的加密保护的安全密钥(KNASenc)、用于完整性保护的NAS完整性密钥(KNASint)、以及用于保护接入层面(AS)消息的演进节点B密钥(KeNB)。
接下来,新的MME 234使用旧的密钥解释在步骤251从UE 210接收的TAU请求消息(257)。也就是说,如果从UE 210发送给新的MME 234的、作为位置登录消息的TAU请求消息是利用旧的密钥进行安全保护的,则新的MME 234在步骤257使用旧的密钥解释TAU请求消息。这里,旧的密钥包括NAS密码密钥(KNASenc)和NAS完整性密钥(KNASint),用来保护在UE 210和旧的MME 214之间通信的NAS。接下来,新的MME 234将使用旧的密钥进行安全保护的TAU接受消息发送给UE 210(259)。
在UE的位置管理的情况2,如果从UE 210接收到通过旧的密钥进行安全保护的TAU请求消息,则新的MME 234将上下文请求消息发送给旧的MME 214以请求有关UE 210的信息。当接收到上下文请求消息时,旧的MME214将包含诸如KSIasme和Kasme之类的UE的安全信息的上下文响应消息发送给新的MME 234。新的MME 234使用在由旧的MME 214发送的上下文响应消息中携带的旧的密钥解释从UE 110接收TAU请求消息,并将使用旧的密钥进行安全保护的TAU接受消息发送给UE 210。也就是说,如果接收到利用旧的密钥进行安全保护的TAU请求消息,则新的MME 234向旧的MME 214请求UE 210的旧的密钥信息,使用旧的密钥解释TAU请求消息以登录位置,并将使用旧的密钥进行安全保护的TAU接受消息发送给UE 210。
在用于UE的位置管理的情况1,以与情况2相同的方式执行步骤251到257。如果在步骤257使用旧的密钥解释TAU请求消息失败,则新的MME234发送用户认证请求消息到UE 210(261)。用户认证请求消息包括认证矢量,即AUTN(认证标记,authentication token)和安全密钥标识符(KSIASME)。响应于用户认证请求消息,UE 210将用户认证响应消息发送给新的MME234。
当接收到用户认证响应消息时,新的MME 234生成新的安全信息,即密码密钥(KNASenc)和完整性密钥(KNASint)。接下来,新的MME 234将NAS安全模式命令消息发送给UE 210(267)。NAS安全模式命令消息包含密码密钥标识符(密钥集索引)、UE安全能力、加密算法、以及完整性算法。当接收到NAS安全模式命令消息时,UE 210基于由KSI索引的KASME生成KNASenc和KNASint(269)。作为步骤269的结果,新的MME 234和UE 210共享相同的密码密钥值。接下来,UE 210将安全模式完成消息发送给新的MME,以便结束NAS安全模式命令程序(271)。当接收到NAS安全模式完成消息时,新的MME 234将TAU接受消息发送给UE 210,该TAU接受消息是使用新的密码密钥(KNASenc)或完整性密钥(KNASint)保护的位置登录响应消息。
如果新的MME 234解释由旧的密钥保护的TAU请求消息失败或者未能获得旧的密钥,则新的MME 234生成新的安全密钥(KNASenc和KNASint),并将NAS安全模式命令消息发送给UE 210,从而UE 210生成新的安全密钥(KNASenc和KNASint)。作为NAS安全模式程序的结果,新的MME 234和UE 210共享相同的安全密钥。
在用于UE 210的位置管理的情况3,以这样的方式执行步骤251到257以及步骤261到271:当在步骤257使用旧的密钥解释TAU请求消息失败时执行步骤261到271。与情况2不同,在情况3,如果步骤261和263的认证程序失败,或者虽然认证程序成功,但是在步骤267到271中的任何一步安全模式命令(Security Mode Command,SMC)程序发生错误,则UE 210和新的MME 234会具有不同的安全密钥。在这种情况下,新的MME 234发送TAU拒绝消息给UE(291)。
在用于位置管理程序的情况3,如果在不利用旧的密钥解释TAU请求消息的情形下,在新的MME和UE之间的用户认证或NAS安全模式程序失败,则新的MME和UE具有不同的安全密钥,并因此新的MME发送TAU拒绝消息给UE。
图5是例示根据本发明实施例的移动通信系统环境中UE登录情形的示图。
参考图5,当UE 310首次尝试连接到网络时,可以执行连接(attach)程序。同时,当UE 310不需要连接到EPS网络时,可以执行断开(detach)程序;以及,当UE 310已经很久没有与MME 314进行通信或网络操作确定切断连接(disconnection)时,UE 110可以执行断开程序。
图6是例示如图5构建的移动通信体系中UE连接和断开程序的信令图。
参考图5和图6,新的MME 334在UE连接程序中可以以如下三种方式(情况1到情况3)操作。
在情况2,可以执行步骤351、步骤361到365、以及步骤371,并且新的MME 334使用从旧的MME 314接收的安全信息。在情况1,可以执行步骤351、步骤361到365、步骤381到391、以及步骤395,以及除了步骤381和383的认证程序和步骤385到391的安全模式命令程序以外的使用新的安全信息解释消息的程序。情况1是使用从旧的MME 314接收的旧的安全上下文解释消息失败的情况,并且包括如下程序:使用通过步骤381到391的认证和安全程序获得的新的安全信息交换消息以及使用新的安全信息解释消息的程序。情况3是在执行步骤351以及步骤361到365之后消息的安全认证失败的情况,并且不同于情况1,当需要新的安全认证程序的、通过步骤381到391的认证程序或安全程序失败时,MME响应于UE登录(连接或断开)请求发送连接拒绝消息到UE 310。
以下详细描述这三种情况的程序。
在情况2的程序中,UE 310将连接请求(Attach Request)消息发送给新的MME 334(351),该连接请求消息是通过旧的密钥进行安全保护的。当接收到连接请求消息时,新的MME 334将识别请求(ldentification Request)消息发送给旧的MME 314,以请求有关UE 310的信息(361)。响应于识别请求消息,旧的MME 314将识别响应(ldentification Response)消息发送给新的MME 334(363)。识别响应消息包含基本安全标识符(KSIASME)和基本安全密钥(KASME)作为UE的安全信息。KASME(密钥接入安全管理实体)被用来生成用于NAS消息的加密保护的安全密钥(KNASenc)、用于完整性保护的NAS完整性密钥(KNASint)、以及用于保护接入层面(AS)消息的演进节点B密钥(KeNB)。当接收到识别响应消息时,新的MME 334使用旧的密钥解释由UE 310在步骤351发送的连接请求消息(365)。旧的密钥包括用于保护在UE 310和旧的MME 314之间的通信中使用的NAS消息的NAS安全密钥(KNASenc)和NAS完整性密钥(KNASint)。在使用旧的密钥解释连接请求消息之后,新的MME 334将使用旧的密钥进行安全保护的连接接受消息发送给UE 310(371)。
在情况1的程序中,以与情况2相同的方式执行步骤351以及步骤361到365。然而,当在步骤365解释使用旧的密钥进行安全保护的连接请求消息失败时,新的MME 334发送用户认证请求消息到UE 310(381)。用户认证请求消息包含认证矢量,即AUTN(认证标志)和认证密钥标识符(KSIASME)。响应于用户认证请求消息,UE 310发送用户认证响应消息到新的MME 334(383)。
当利用用户认证消息交换成功地进行用户认证时,MME 334生成密码密钥(KNASenc)和完整性密钥(KNASint)(385)。接下来,新的MME 334将NAS安全模式命令消息发送给UE 310(387)。NAS安全模式命令消息包含安全密钥标识符(密钥集索引)、作为关于UE所支持的安全算法的信息的UE安全能力、要使用的加密算法、以及要使用的完整性算法。当接收到NAS安全模式命令消息时,UE 310基于由KSI索引的KASME生成密码密钥(KNASenc)和完整性密钥(KNASint)(389),结果,与新的MME 334共享相同的密钥值(389)。接下来,UE 310将安全模式完成消息发送给新的MME 334,以完成NAS安全模式命令程序。然后,新的MME 334将由安全密钥-即KNASenc或KNASint-保护的连接接受消息作为连接登录响应发送给UE 310(395)。
在情况3的程序中,以这样的方式执行步骤351、步骤361到365、步骤381、以及步骤391:当作为使用旧的密钥解释连接请求消息的结果、新的MME 334认证用户失败时执行步骤371到191。不同于情况2,在情况3,当在步骤381和步骤383中的任一步认证程序失败,或者即使认证程序成功,但在步骤367到391中的任一步安全模式命令(SMC)程序失败时,UE 310和新的MME 334也具有不同的安全密钥。在这种情况下,新的MME 334将连接拒绝消息发送给UE 310(399)。
已将描述导向这样的情况,即如果接收到状态转变消息(这里,切换、TAU、以及连接(断开)请求消息),则新的MME从旧的MME接收旧的密钥,并使用旧的密钥解释相应的请求消息。然而,MME可以生成新的密钥并利用新的密钥解释消息,而无需利用旧的密钥解释消息的过程。也就是说,当接收到状态转变消息(这里,切换TAU、连接(断开)请求消息)时,MME可以生成新的密钥以处理请求消息,而无需基于旧的密钥的请求消息解释过程(图2的步骤151、步骤153、以及步骤163,图4的步骤253、步骤255、步骤257、以及步骤259,以及图6的步骤361、步骤363、步骤365、以及步骤371)。
图7到9是例示根据本发明实施例的移动通信系统中MME的移动性、位置、以及登录管理程序的流程图。图10是例示根据本发明实施例的移动通信系统中UE的移动性、位置、以及登录管理程序的流程图。虽然参考图7到10作出的描述关注于MME解释由UE发送的消息的情况,但是本发明可以被应用到UE解释由MME发送的消息的情况,除非操作特征彼此相同。除了对于如图7到10所示MME和UE的操作要交换的上下文以外,关于消息的详细描述在这里将被省略。
参考图7到9,NAS协议用来支持前述UE和MME之间的管理程序。NAS协议包括安全保护的NAS协议和没有安全保护的NAS协议,并且存在EPS移动性管理(EMM)NAS消息和EPS会话管理(ESM)NAS消息用于支持EPS NAS协议。如果接收到请求消息(切换请求、TAU请求、或者连接(断开)请求),则MME分析请求的种类(401),并取决于接收的是哪个消息(即切换、位置管理、登录请求消息)来操作。
如果在步骤401确定接收到切换请求消息,则程序前进到步骤411,从而MME执行切换相关的处理。在本发明的实施例中,假定在图1的环境中,UE 110从在MME 114控制下的网络NW 1 141移动到在MME 134控制下的网络NW 2 143。虽然对于切换、可以存在服务GW被转换到另一个GW的情况,但是也可以将MME转换到另一个MME而不改变服务GW。
在切换的情况下,服务MME(或旧的MME)114通过FORWARDRELOCATION REQUEST/RESPONSE(转送重新定位请求/响应)消息将有关UE的信息发送给目标MME。该信息包括安全相关的参数,即KSI(密钥集标识符)、认证参数或认证矢量,以及包括NAS KSI(密钥集标识符)、NAS密码密钥(KNASenc)或完整性密钥(KNASint)的安全密钥。目标MME确定是否执行与UE的新用户认证和/或安全模式命令程序(413)。如果确定执行与UE的新的认证程序和/或安全模式命令(SMC)程序,则MME通过认证程序或安全模式命令程序获得包括新的安全相关的参数的安全密钥,即KSI(密钥集标识符)、认证参数或认证矢量、NAS KSI(密钥集标识符)、以及NAS密码密钥(KNASenc)或完整性密钥(KNASint)。
因此,如果确定执行认证、SMC或NAS SMC程序,则目标MME接收TRACKING AREA UPDATE REQUEST(跟踪区域更新请求)(以下,称为TAU请求)NAS消息,该消息使用来自UE的包括NAS KSI(密钥集识别号)、NAS密码密钥(KNASenc)或完整性密钥(KNASint)的安全密钥进行安全保护(415)。当接收到TAU请求NAS消息时,MME使用安全密钥解释TAUREQUES消息,该安全密钥包括新的安全相关的参数,即KSI(密钥集标识符)、认证参数或认证矢量、NAS KSI(密钥集标识符)、以及NAS密码密钥(KNASenc)或完整性密钥(KNASint)(417)。
如果确定不执行认证、SMC、以及NAS SMC,则MME接收使用旧的密钥进行安全保护的TAU REQUEST消息,所述旧的密钥包括在MME和UE之间使用的安全参数,即,来自UE的诸如旧的KSI(密钥集标识符)、旧的认证参数或认证矢量、旧的NAS KSI(密钥集标识符)、以及旧的NAS密码密钥(KNASenc)或旧的完整性密钥(KNASint)之类的旧的参数。接下来,MME使用旧的安全密钥解释TAU REQUEST消息,所述旧的安全密钥包括在MME和UE之间使用的安全参数,即,诸如旧的KSI(密钥集标识符)、旧的认证参数或认证矢量、旧的NAS KSI(密钥集标识符)、以及旧的NAS密码密钥(KNASenc)或旧的完整性密钥(KNASint)之类的旧的参数。
如果确定在步骤401接收到TRACKING AREA UPDATE(跟踪区域更新)(以下,称为TAU)消息,则程序前进到步骤431,从而目标MME执行TAUREQUEST处理。TAU REQUEST消息使用旧的安全密钥进行安全保护,所述旧的安全密钥包括在旧的服务MME和UE 110之间使用的旧的安全参数,诸如KSI(密钥集标识符)、旧的认证参数或认证矢量、旧的NAS KSI(密钥集标识符)、以及旧的NAS密码密钥(KNASenc)或旧的完整性密钥(KNASint)。在这种情况下,新的MME通过CONTEXT RESPONSE(上下文响应)消息从旧的MME接收安全相关的参数。为了从旧的MME接收安全参数,新的MME必须知道旧的MME和UE。也就是说,当在步骤431接收到TAU REQUEST消息时,为了识别旧的MME和UE,新的MME必须知道最后访问的登录的跟踪区域标识(Tracking area identity)(TAI)和UE标识符,即旧的全局唯一临时标识符(GUTI),而且虽然进行安全保护,但是不可以加密,从而新的MME能够向旧的MME请求安全参数信息。当在步骤433从旧的MME接收安全参数(NAS KSI、密钥、认证参数、以及KSI)时,新的MME利用旧的安全参数(旧的MME的NAS密钥、认证参数、和KSI)解释TAU REQUEST消息(435)。
接下来,新的MME决定是否执行认证程序(437)。如果完整性检查失败,则新的MME执行认证程序。具体而言,当在步骤435安全认证失败时,新的MME在步骤439必须执行认证程序。如果在步骤439决定执行认证、NAS SMC、或SMC程序,则新的MME将使用新的安全参数保护的TAUACCEPT(TAU接受)消息发送给UE(441)。否则,如果在步骤439决定不执行认证、NAS SMC、或SMC程序,则新的MME将使用旧的安全参数保护的TAUACCEPT消息发送给UE(443)。
如果在步骤401确定接收到连接请求消息,则程序前进到步骤461,从而新的MME执行连接相关的处理。在步骤460接收的ATTACH REQUEST消息使用旧的安全密钥来保护,所述旧的安全密钥包括在旧的服务MME和UE之间使用的旧的安全参数,诸如KSI(密钥集标识符)、旧的认证参数或认证矢量、旧的NAS KSI(密钥集标识符)、以及旧的NAS密码密钥(KNASenc)或旧的完整性密钥(KNASint)。在这种情况下,新的MME确定是否具有UE 110的安全参数(463),并且如果具有的话,则利用该安全参数解释ATTACH REQUEST消息(469)。如果程序从步骤463进展到步骤469,这意味着UE已经登录到新的MME,但是由于某种原因而断开,并且UE和MME共享相同的安全相关的参数。如果新的MME没有UE的安全参数,则新的MME确定是否能够从旧的MME获得新的安全相关的参数(465)。如果不能从旧的MME获得安全相关的参数,则新的MME消息解释失败,并因此发送错误信息给UE(479)。这是为了UE发送没有安全保护的消息或重新发送安全保护的消息。
当从旧的MME接收到安全相关的参数时(467),在步骤469新的MME使用由旧的MME发送的安全参数信息解释ATTACH REQUEST消息。为了在步骤469从旧的MME获得安全参数,新的MME必须在步骤461接收到ATTACH REQUEST消息时知道旧的MME和相应的UE。这样的信息能够以关于GUTI的最后访问的登录的TAI和UE标识符、即旧的GUTI的知识来获得,并且虽然被安全保护,其不可以被加密,从而新的MME能够向旧的MME请求安全参数信息。
接下来,新的MME决定执行认证(471),因此认证程序开始(473),由此,特别是当安全认证在步骤469失败时,新的MME在步骤473执行安全程序。在步骤473执行认证、NAS SMC、或SMC程序的情况下,新的MME使用新的安全参数发送和接收NAS消息(475)。在步骤473不执行认证、NAS SMC、或SMC程序的情况下,新的MME使用旧的安全参数发送和接收NAS消息(477)。
图10是例示根据本发明实施例的移动通信系统中支持UE的移动性、位置、以及登录管理的程序的流程图。描述关注于用于生成、发送/接收、以及认证NAS消息的过程。
参考图10,UE确定其是否具有安全密钥,该安全密钥包括可用的KSI(密钥集标识符)、认证参数或认证矢量、NAS KSI(密钥集标识符)、NAS密码密钥(KNASenc)或完整性密钥(KNASint)(501)。这里,KSI是在UE和MME之间的认证程序的中使用的密钥的标识符,而认证参数或认证矢量是认证程序所必需的。而且,NAS KSI是用于区别要用于加密NAS消息的密钥的标识符,密钥是安全相关的密钥,也是UE和MME共享的密钥,诸如UE和MME利用NAS消息进行通信所必需的NAS安全相关的密钥,即NAS密码密钥(KNASenc)或完整性密钥(KNASint)。这里,KSI与NAS KSI相同。KSI可以是在切换情形中使用的KSIASME或KSISGSN值。也就是说,KSIAME基本安全标识符用来识别基本安全密钥KASME,并且由于NAS密码密钥(KNASenc)或完整性密钥(KNASint)是从基本安全密钥KASME生成的,所以KSI等于NAS KSI。在从KSI不是KSIASME的GERAN/UTRAN到3GPP LTE的E-UTRAN的切换情形中使用的KSISGSN的情况下,KSIAME基本安全标识符是从密码密钥(CK)和完整性密钥(IK)生成的与K’ASME相关的值,即通过新的认证程序或通过映射到EPS SECURITY CONTEXT(EPS安全上下文)生成的与密钥K’ASME相关的值。因此,如果在步骤501,UE没有可用的安全相关的值,具体而言,NAS KSI或NAS相关的安全密钥,即NAS密码密钥(KNASenc)或完整性密钥(KNASint),则UE发送没有安全保护的NAS消息(513)。如果UE具有可用的NAS KSI或NAS相关的安全密钥,则UE确定是否发送安全保护的消息,并且如果UE不想发送安全保护的消息,则程序前进到步骤513。
如果想发送安全保护的消息,则UE使用KSI(密钥集标识符)、认证参数或认证矢量、NAS KSI(密钥集标识符)、以及安全密钥生成NAS消息,并发送NAS消息。接下来,UE接收用于MME的新的安全相关的参数(507)。这里,安全相关的参数包括KSI(密钥集标识符)、认证参数或认证矢量、NASKSI(密钥集标识符)、NAS密码密钥(KNASenc)或完整性密钥(KNASint)。这样的安全相关的参数可以通过认证程序或安全模式命令程序从MME获得。在执行步骤507之后,UE验证新的安全相关的参数,即安全密钥,包括KSI(密钥集标识符)、认证参数或认证矢量、NAS KSI(密钥集标识符)、NAS密码密钥(KNASenc)或完整性密钥(KNASint)(509)。在验证过程之后,UE使用新的安全相关的参数生成并发送NAS消息(511)。
虽然已经在以上详细描述了本发明的示范性实施例,应当清楚地理解,对于本领域技术人员显而易见的是,在这里教导的基本发明构思的许多变化和/或修改仍将落在本发明的精神和范围内,本发明的精神和范围在所附权利要求中限定。
Claims (16)
1.一种用于在移动通信系统中处理UE的状态信息的方法,包括:
在UE处,向新的MME发送状态转换请求消息;
在新的MME处,从旧的MME接收旧的密钥信息;以及
在新的MME处,在使用旧的密钥信息分析请求消息之后,向UE发送响应消息。
2.如权利要求1所述的方法,其中,所述旧的密钥信息包括KSIasme和Kaseme。
3.如权利要求1所述的方法,还包括:
在新的MME处,向UE发送包含当解释请求消息失败时生成的新的密钥信息的NAS安全模式命令消息;以及
在UE处,向新的MME发送对于利用UE的新的密钥信息生成的NAS安全模式命令消息的响应。
4.如权利要求3所述的方法,其中,由新的MME生成的新的密钥信息包括NAS密码密钥(KNASenc)和完整性密钥(KNAsint);NAS安全模式命令消息包括安全标识符(KSI)、UE安全能力、要使用的加密算法和完整性算法;以及由UE生成的新的密钥信息包括基于由NAS安全模式命令消息的安全标识符(KSI)索引的基本安全密钥(KASME)生成的密码密钥(KNASenc)和完整性密钥(KNASint)。
5.如权利要求3所述的方法,还包括:在新的MME处,当利用旧的密钥解释请求消息失败时,发送用户认证请求消息,以及在UE处应答该用户认证请求消息。
6.如权利要求5所述的方法,其中,所述用户认证请求消息包括认证矢量(AUTN)和安全密钥标识符(KSIASME)。
7.如权利要求1、3和5中任意一个所述的方法,其中,所述状态转换请求消息是切换请求消息、TAU请求消息和连接(断开)请求消息中的一个。
8.一种用于在移动通信系统中处理UE的状态信息的方法,包括:
在UE处,向新的MME发送利用新的密钥进行安全保护的状态转换请求消息;
在新的MME处,通过向新的MME发送用户认证请求消息,应答状态转换请求消息;
在新的MME处,生成新的密钥,并向UE发送具有新的密钥的NAS安全模式命令消息;以及
在UE处,基于新的MME的新的密钥信息生成新的密钥,并应答NAS安全模式命令消息。
9.如权利要求8所述的方法,其中,由新的MME生成的新的密钥信息包括NAS密码密钥(KNASenc)和完整性密钥(KNAsint);NAS安全模式命令消息包括安全标识符(KSI)、UE安全能力、要使用的加密算法和完整性算法;以及由UE生成的新的密钥信息包括基于由NAS安全模式命令消息的安全标识符(KSI)索引的基本安全密钥(KASME)生成的密码密钥(KNASenc)和完整性密钥(KNASint)。
10.如权利要求9所述的方法,其中,所述用户认证请求消息包括认证矢量(AUTN)和安全标识符(KSIASME)。
11.一种用于在移动通信系统中处理切换的方法,包括:
在旧的MME处,向新的MME发送具有UE的旧的密钥信息的转送重新定位请求消息;
在UE处,向新的MME发送利用旧的密钥进行安全保护的TAU请求消息;
在新的MME处,利用旧的密钥解释TAU请求消息。
12.如权利要求11所述的方法,还包括:
在新的MME处,当利用旧的密钥解释TAU请求消息失败时,发送用户认证请求消息,并在UE处应答该用户认证请求消息;
在新的MME处,生成新的密钥,并向UE发送具有关于新的密钥的信息的NAS安全模式命令消息;
在UE处,使用新的MME的新的密钥信息生成新的密钥,并应答NAS安全模式命令消息;以及
在UE处,向新的MME发送利用新的密钥进行安全保护的TAU请求消息,并在新的MME处利用新的密钥处理所述消息。
13.一种用于在移动通信系统中处理UE的位置更新的方法,包括:
在UE处,向新的MME发送利用旧的密钥进行安全保护的TAU请求消息;
在新的MME处,向旧的MME请求与UE的旧的密钥有关的信息,并接收旧的密钥信息;以及
在新的MME处,利用旧的密钥解释TAU请求消息,并向UE发送用旧的密钥进行安全保护的TAU接受消息。
14.如权利要求13所述的方法,还包括:
在新的MME处,当利用旧的密钥解释TAU请求消息失败时,发送用户认证请求消息,并在UE处应答该用户认证请求;
在新的MME处生成新的密钥,并向UE发送具有关于新的密钥的信息的NAS安全模式命令消息;
在UE处,基于新的MME的新的密钥信息生成新的密钥,并应答NAS安全模式命令消息;以及
在UE处向新的MME发送利用新的密钥进行安全保护的TAU请求消息,并在新的MME处利用新的密钥处理所述消息。
15.一种用于在移动通信系统中处理UE的登录的方法,包括:
在UE处,向新的MME发送利用旧的密钥进行安全保护的登录请求消息;
在新的MME处,向旧的MME请求与UE的旧的密钥有关的信息,并接收旧的密钥信息;以及
在新的MME处,解释所述登录请求消息,并向UE发送利用旧的密钥进行安全保护的登录接受消息。
16.如权利要求15所述的方法,还包括:
在新的MME处,当利用旧的密钥解释登录请求消息失败时,发送用户认证请求消息,并应答该用户认证请求消息;
在新的MME处,生成新的密钥,并向UE发送具有关于新的密钥的信息的NAS安全模式命令消息;
在UE处,基于新的MME的新的密钥信息生成新的密钥,并应答NAS安全模式命令消息;以及
在UE处,向新的MME发送利用新的密钥进行安全保护的登录请求消息,并在新的MME处利用新的密钥处理所述消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2008-0080205 | 2008-08-15 | ||
| KR20080080205 | 2008-08-15 | ||
| PCT/KR2009/004570 WO2010019020A2 (ko) | 2008-08-15 | 2009-08-14 | 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102187599A true CN102187599A (zh) | 2011-09-14 |
| CN102187599B CN102187599B (zh) | 2015-04-01 |
Family
ID=41669507
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980140975.1A Active CN102187599B (zh) | 2008-08-15 | 2009-08-14 | 在移动通信系统中安全保护的非接入层面协议操作支持方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8638936B2 (zh) |
| EP (2) | EP2315371A4 (zh) |
| JP (1) | JP5390611B2 (zh) |
| KR (1) | KR101579757B1 (zh) |
| CN (1) | CN102187599B (zh) |
| WO (1) | WO2010019020A2 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572816A (zh) * | 2011-12-27 | 2012-07-11 | 电信科学技术研究院 | 一种移动切换的方法及装置 |
| WO2013040962A1 (zh) * | 2011-09-23 | 2013-03-28 | 电信科学技术研究院 | 数据发送和接收方法及设备 |
| CN105578456A (zh) * | 2014-10-14 | 2016-05-11 | 成都鼎桥通信技术有限公司 | Td-lte集群通信系统的端到端加密方法、设备及系统 |
| CN108924841A (zh) * | 2017-03-20 | 2018-11-30 | 中国移动通信有限公司研究院 | 安全保护方法、装置、移动终端、基站和mme设备 |
| CN109586913A (zh) * | 2017-09-28 | 2019-04-05 | 中国移动通信有限公司研究院 | 安全认证方法、安全认证装置、通信设备及存储介质 |
| CN110249584A (zh) * | 2017-01-27 | 2019-09-17 | 三星电子株式会社 | 用于在任务关键数据通信系统中通过信令平面提供端到端安全的方法 |
| CN113170369A (zh) * | 2018-10-04 | 2021-07-23 | 诺基亚技术有限公司 | 用于在系统间改变期间的安全上下文处理的方法和装置 |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010146465A1 (en) | 2009-06-16 | 2010-12-23 | Research In Motion Limited | Method for accessing a service unavailable through a network cell |
| EP2443873B1 (en) | 2009-06-16 | 2014-06-04 | BlackBerry Limited | Method for accessing a service unavailable through a network cell |
| EP2443868B1 (en) | 2009-06-16 | 2018-08-08 | BlackBerry Limited | Method for accessing a service unavailable through a network cell |
| DE102009029828B4 (de) * | 2009-06-18 | 2011-09-01 | Gigaset Communications Gmbh | DEFAULT Verschlüsselung |
| WO2011137580A1 (en) | 2010-05-04 | 2011-11-10 | Qualcomm Incorporated | Shared circuit switched security context |
| US9729314B2 (en) * | 2010-06-01 | 2017-08-08 | Samsung Electronics Co., Ltd. | Method and system of securing group communication in a machine-to-machine communication environment |
| JP4892084B2 (ja) * | 2010-06-16 | 2012-03-07 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
| KR101737425B1 (ko) * | 2010-06-21 | 2017-05-18 | 삼성전자주식회사 | 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템 |
| KR101712865B1 (ko) * | 2010-09-09 | 2017-03-08 | 삼성전자주식회사 | 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치 |
| US8743828B2 (en) | 2010-11-16 | 2014-06-03 | Qualcomm Incorporated | Systems and methods for non-optimized handoff |
| US8929334B2 (en) | 2010-11-16 | 2015-01-06 | Qualcomm Incorporated | Systems and methods for non-optimized handoff |
| EP2944067B1 (en) * | 2013-01-10 | 2023-03-01 | NEC Corporation | Mtc key management for key derivation at both ue and network |
| JP2016527736A (ja) * | 2013-07-31 | 2016-09-08 | 日本電気株式会社 | Mtcグループ鍵管理用デバイス及び方法 |
| CN104581652B (zh) | 2013-10-15 | 2018-12-07 | 华为技术有限公司 | 消息处理方法、选择mme的方法和装置 |
| EP3141039B1 (en) * | 2014-05-08 | 2020-07-22 | Interdigital Patent Holdings, Inc. | Method and mobility management entity, mme, for re-directing a ue to a dedicated core network node |
| KR102102858B1 (ko) * | 2014-05-13 | 2020-04-23 | 주식회사 케이티 | Lte망으로 천이시 인증 과정을 간소화한 시스템 |
| US10104603B2 (en) * | 2014-05-30 | 2018-10-16 | Nec Corporation | Apparatus, system and method for dedicated core network |
| US9693219B2 (en) | 2014-10-24 | 2017-06-27 | Ibasis, Inc. | User profile conversion to support roaming |
| US9585013B2 (en) * | 2014-10-29 | 2017-02-28 | Alcatel Lucent | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
| US20180041926A1 (en) | 2015-02-13 | 2018-02-08 | Nec Corporation | Apparatus, system and method for security management |
| RU2017132104A (ru) * | 2015-02-16 | 2019-03-18 | Нек Корпорейшн | Система связи, устройство узла, терминал связи, способ управления ключами и энергонезависимый читаемый компьютером носитель, на котором хранится программа |
| US9686675B2 (en) * | 2015-03-30 | 2017-06-20 | Netscout Systems Texas, Llc | Systems, methods and devices for deriving subscriber and device identifiers in a communication network |
| US9883385B2 (en) * | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
| US10334435B2 (en) | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
| EP3479614B1 (en) * | 2016-07-01 | 2024-10-16 | Nokia Technologies Oy | Secure communications |
| US20170013651A1 (en) * | 2016-09-22 | 2017-01-12 | Mediatek Singapore Pte. Ltd. | NAS Security And Handling Of Multiple Initial NAS Messages |
| JP6763435B2 (ja) * | 2016-10-26 | 2020-09-30 | 日本電気株式会社 | ソースコアネットワークのノード、端末、及び方法 |
| EP3952375B1 (en) * | 2017-01-30 | 2022-11-23 | Telefonaktiebolaget LM Ericsson (publ) | Security context handling in 5g during connected mode |
| JP6996824B2 (ja) * | 2017-05-04 | 2022-01-17 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 鍵取得方法およびデバイス、ならびに通信システム |
| CN116866905A (zh) * | 2017-09-27 | 2023-10-10 | 日本电气株式会社 | 通信终端和通信终端的方法 |
| CN109803333B (zh) * | 2017-11-17 | 2022-04-19 | 中兴通讯股份有限公司 | 偶联重定向方法及装置 |
| US10542428B2 (en) | 2017-11-20 | 2020-01-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context handling in 5G during handover |
| CN110099382B (zh) * | 2018-01-30 | 2020-12-18 | 华为技术有限公司 | 一种消息保护方法及装置 |
| KR102405412B1 (ko) * | 2018-04-06 | 2022-06-07 | 삼성전자주식회사 | 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법 |
| KR102425582B1 (ko) * | 2018-05-11 | 2022-07-26 | 삼성전자주식회사 | 무선통신 시스템에서 정보 보호 방법 및 장치 |
| KR102449988B1 (ko) * | 2018-06-29 | 2022-10-05 | 삼성전자주식회사 | 무선 통신 시스템에서 통신 방법 및 장치 |
| KR102601585B1 (ko) * | 2018-09-24 | 2023-11-13 | 노키아 테크놀로지스 오와이 | Nas 메시지의 보안 보호를 위한 시스템 및 방법 |
| WO2021060904A1 (ko) * | 2019-09-25 | 2021-04-01 | 삼성전자 주식회사 | 무선 통신 시스템에서 통신을 수행하는 방법 및 장치 |
| CN110933669A (zh) * | 2019-11-21 | 2020-03-27 | 北京长焜科技有限公司 | 一种跨rat用户的快速注册的方法 |
| EP4064748A4 (en) * | 2019-12-13 | 2022-11-16 | Huawei Technologies Co., Ltd. | COMMUNICATION METHOD, DEVICE AND SYSTEM |
| WO2021207084A1 (en) * | 2020-04-07 | 2021-10-14 | Apple Inc. | Tracking area identifier (tai) change during authentication request processing |
| KR102279293B1 (ko) | 2020-08-07 | 2021-07-20 | 한국인터넷진흥원 | 비암호화 채널 탐지 방법 및 장치 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070249352A1 (en) * | 2006-03-31 | 2007-10-25 | Samsung Electronics Co., Ltd. | System and method for optimizing authentication procedure during inter access system handovers |
| US20080025263A1 (en) * | 2006-06-16 | 2008-01-31 | Nokia Corporation | Apparatus and method for transferring PDP context information for a terminal in the case of intersystem handover |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR19990004237A (ko) | 1997-06-27 | 1999-01-15 | 김영환 | 비동기 전송 모드망에서의 데이터 암호화/복호화 장치 및 방법 |
| FI111423B (fi) | 2000-11-28 | 2003-07-15 | Nokia Corp | Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi |
| JP5042834B2 (ja) | 2004-08-25 | 2012-10-03 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | 無線携帯インターネットシステムでeapを利用する保安関係交渉方法 |
| US20080167054A1 (en) * | 2006-01-31 | 2008-07-10 | Interdigital Technology Corporation | Method and system for performing cell update and routing area update procedures while a wireless transmit/receive unit is in an idle state |
| GB0619409D0 (en) * | 2006-10-02 | 2006-11-08 | Vodafone Plc | Telecommunications networks |
| EP1914930A1 (en) * | 2006-10-17 | 2008-04-23 | Matsushita Electric Industrial Co., Ltd. | User plane entity selection in a mobile communication system having overlapping pool areas |
| MY159950A (en) | 2006-10-31 | 2017-02-15 | Qualcomm Inc | Inter-enode b handover procedure |
| FI20075297A0 (fi) * | 2007-04-27 | 2007-04-27 | Nokia Siemens Networks Oy | Menetelmä, radiojärjestelmä ja tukiasema |
-
2009
- 2009-08-14 KR KR1020090075379A patent/KR101579757B1/ko active IP Right Grant
- 2009-08-14 WO PCT/KR2009/004570 patent/WO2010019020A2/ko active Application Filing
- 2009-08-14 CN CN200980140975.1A patent/CN102187599B/zh active Active
- 2009-08-14 EP EP09806882.8A patent/EP2315371A4/en not_active Ceased
- 2009-08-14 EP EP19175614.7A patent/EP3554113A1/en not_active Ceased
- 2009-08-14 US US13/059,227 patent/US8638936B2/en active Active
- 2009-08-14 JP JP2011522916A patent/JP5390611B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070249352A1 (en) * | 2006-03-31 | 2007-10-25 | Samsung Electronics Co., Ltd. | System and method for optimizing authentication procedure during inter access system handovers |
| US20080025263A1 (en) * | 2006-06-16 | 2008-01-31 | Nokia Corporation | Apparatus and method for transferring PDP context information for a terminal in the case of intersystem handover |
Non-Patent Citations (1)
| Title |
|---|
| NOKIA 等: "《3GPP TSG SA WG3 Security — SA3#51》", 18 April 2008 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013040962A1 (zh) * | 2011-09-23 | 2013-03-28 | 电信科学技术研究院 | 数据发送和接收方法及设备 |
| CN102572816B (zh) * | 2011-12-27 | 2014-08-06 | 电信科学技术研究院 | 一种移动切换的方法及装置 |
| CN102572816A (zh) * | 2011-12-27 | 2012-07-11 | 电信科学技术研究院 | 一种移动切换的方法及装置 |
| CN105578456A (zh) * | 2014-10-14 | 2016-05-11 | 成都鼎桥通信技术有限公司 | Td-lte集群通信系统的端到端加密方法、设备及系统 |
| CN105578456B (zh) * | 2014-10-14 | 2019-01-25 | 成都鼎桥通信技术有限公司 | Td-lte集群通信系统的端到端加密方法、设备及系统 |
| CN110249584B (zh) * | 2017-01-27 | 2022-04-19 | 三星电子株式会社 | 用于在任务关键数据通信系统中提供端到端安全的方法 |
| US11770247B2 (en) | 2017-01-27 | 2023-09-26 | Samsung Electronics Co., Ltd. | Method for providing end-to-end security over signaling plane in mission critical data communication system |
| CN110249584A (zh) * | 2017-01-27 | 2019-09-17 | 三星电子株式会社 | 用于在任务关键数据通信系统中通过信令平面提供端到端安全的方法 |
| US11316678B2 (en) | 2017-01-27 | 2022-04-26 | Samsung Electronics Co., Ltd. | Method for providing end-to-end security over signaling plane in mission critical data communication system |
| CN108924841A (zh) * | 2017-03-20 | 2018-11-30 | 中国移动通信有限公司研究院 | 安全保护方法、装置、移动终端、基站和mme设备 |
| CN108924841B (zh) * | 2017-03-20 | 2021-11-19 | 中国移动通信有限公司研究院 | 安全保护方法、装置、移动终端、基站和mme设备 |
| CN109586913B (zh) * | 2017-09-28 | 2022-04-01 | 中国移动通信有限公司研究院 | 安全认证方法、安全认证装置、通信设备及存储介质 |
| CN109586913A (zh) * | 2017-09-28 | 2019-04-05 | 中国移动通信有限公司研究院 | 安全认证方法、安全认证装置、通信设备及存储介质 |
| CN113170369A (zh) * | 2018-10-04 | 2021-07-23 | 诺基亚技术有限公司 | 用于在系统间改变期间的安全上下文处理的方法和装置 |
| CN113170369B (zh) * | 2018-10-04 | 2024-06-14 | 诺基亚技术有限公司 | 用于在系统间改变期间的安全上下文处理的方法和装置 |
| US12052628B2 (en) | 2018-10-04 | 2024-07-30 | Nokia Technologies Oy | Method and apparatus for security context handling during inter-system change |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2315371A4 (en) | 2015-10-14 |
| US20110142239A1 (en) | 2011-06-16 |
| JP2012500511A (ja) | 2012-01-05 |
| EP3554113A1 (en) | 2019-10-16 |
| WO2010019020A9 (ko) | 2010-09-10 |
| JP5390611B2 (ja) | 2014-01-15 |
| KR20100021385A (ko) | 2010-02-24 |
| WO2010019020A3 (ko) | 2010-07-22 |
| US8638936B2 (en) | 2014-01-28 |
| CN102187599B (zh) | 2015-04-01 |
| EP2315371A2 (en) | 2011-04-27 |
| WO2010019020A2 (ko) | 2010-02-18 |
| KR101579757B1 (ko) | 2015-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102187599B (zh) | 在移动通信系统中安全保护的非接入层面协议操作支持方法 | |
| KR100480258B1 (ko) | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 | |
| KR101467780B1 (ko) | 이기종 무선접속망간 핸드오버 방법 | |
| US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
| US8295488B2 (en) | Exchange of key material | |
| CN106134231B (zh) | 密钥生成方法、设备及系统 | |
| US10320754B2 (en) | Data transmission method and apparatus | |
| WO2005027559A1 (en) | Fast authentication method and apparatus for inter-domain handover | |
| CN101946535A (zh) | 在无线通信系统中执行切换时执行密钥管理的系统和方法 | |
| JP2009533932A (ja) | キー導出におけるパラメータ結合に基づくチャネル結合機構 | |
| US20200389788A1 (en) | Session Key Establishment | |
| KR20080086127A (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
| CN101945388A (zh) | 无线漫游认证方法、无线漫游方法及其装置 | |
| US8819778B2 (en) | Method and system for switching station in centralized WLAN when WPI is performed by access controller | |
| KR101460680B1 (ko) | 무선 기술들 간의 인터워킹을 위한 방법 | |
| US20110002272A1 (en) | Communication apparatus and communication method | |
| Kim et al. | MoTH: mobile terminal handover security protocol for HUB switching based on 5G and beyond (5GB) P2MP backhaul environment | |
| WO2017171835A1 (en) | Key management for fast transitions | |
| CN1997212A (zh) | 无线通信网络中实现位置更新的方法 | |
| Zheng et al. | Handover keying and its uses | |
| Liu et al. | The untrusted handover security of the S-PMIPv6 on LTE-A | |
| CN110830996A (zh) | 一种密钥更新方法、网络设备及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |