CN102835136A - 用于为会话加密和完整性密钥信令通知增强型安全性上下文的装置和方法 - Google Patents
用于为会话加密和完整性密钥信令通知增强型安全性上下文的装置和方法 Download PDFInfo
- Publication number
- CN102835136A CN102835136A CN2011800188551A CN201180018855A CN102835136A CN 102835136 A CN102835136 A CN 102835136A CN 2011800188551 A CN2011800188551 A CN 2011800188551A CN 201180018855 A CN201180018855 A CN 201180018855A CN 102835136 A CN102835136 A CN 102835136A
- Authority
- CN
- China
- Prior art keywords
- security context
- service network
- message
- distant station
- information element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000011664 signaling Effects 0.000 title claims abstract description 21
- 238000004891 communication Methods 0.000 claims abstract description 35
- 230000004044 response Effects 0.000 claims abstract description 27
- 238000004590 computer program Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 description 10
- 239000004576 sand Substances 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000000712 assembly Effects 0.000 description 4
- 238000000429 assembly Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000006249 magnetic particle Substances 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 229920002939 poly(N,N-dimethylacrylamides) Polymers 0.000 description 1
- 238000004846 x-ray emission Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了一种用于建立远程站与服务网络之间的增强型安全性上下文的方法。在该方法中,远程站向服务网络转发第一消息,其中该第一消息包括信令通知该远程站支持增强型安全性上下文的信息元素。远程站根据增强型安全性上下文使用该信息元素来生成至少一个会话密钥。远程站响应于第一消息而接收具有服务网络支持增强型安全性上下文的指示的第二消息。远程站响应于第二消息而使无线通信由该至少一个会话密钥来保护。
Description
背景
相关申请的交叉引用
本申请要求2010年4月15日提交的美国临时申请No.61/324,646的权益,该申请通过援引纳入于此。
领域
本发明一般涉及在通用移动电信业务(UMTS)和/或GSM EDGE无线电接入网(GERAN)中工作的用户装备的增强型安全性上下文信令。
背景
UMTS第三代(3G)无线电接入网中或使用3G AKA(认证和密钥协定)认证的GERAN网络中成功的AKA认证导致用于保护用户装备(UE)与网络之间的通信的一对共享密钥,即密码密钥(CK)和完整性密钥(IK)。这些共享密钥可以如在UTRAN(UMTS地面无线电接入网)情形中那样直接被用来保护UE与网络之间的话务,或者可被用来静态地推导密钥,例如GERAN(GSM EDGE无线电接入网)情形中的KC或KC128。
泄密的密钥可能导致严重的安全性问题,直至这些密钥在下一次AKA认证时被改变。典型情况下,由于所需要的大量开销,因而AKA认证并不经常运行。另外,如果这两个密钥(CK和IK)均被泄密,那么GERAN密钥就被泄密。
在UMTS/HSPA(高速分组接入)部署中,无线电网络控制器(RNC)和B节点的功能性中的一些或全部可被折叠到一起成为网络边缘处的一个节点。RNC需要用于诸如用户面密码化和信令面密码化以及完整性保护之类的功能性的密钥。然而,RNC功能性可能被部署在曝露的位置中,诸如在UMTS毫微微蜂窝小区内的归属B节点中。相应地,部署在可能不安全的位置中的提供接入(包括物理接入)的RNC功能性可能允许这些密钥(即CK和IK)被泄密。
会话密钥(CK和IK的修改版本)可被用来降低与曝露的RNC功能性相关联的安全性风险。在美国专利申请公开No.US 2007/0230707A1中公开了用于提供此类会话密钥的技术。
遗憾的是,此类会话密钥的使用需要对服务网络进行升级修改。然而,网络运营商有可能以分阶段的方式来升级服务网络。
因此,需要用于信令通知与旧式服务网络兼容的增强型安全性上下文支持的技术。
概述
本发明的一方面可在于一种用于建立远程站与服务网络之间的第一安全性上下文的方法。第一安全性上下文具有不受第二安全性上下文支持的安全性特性。在该方法中,远程站向服务网络转发第一消息,其中该第一消息包括信令通知该远程站支持第一安全性上下文的信息元素。远程站根据第一安全性上下文使用该信息元素来生成至少一个会话密钥。远程站响应于第一消息而接收具有服务网络支持第一安全性上下文的指示的第二消息。远程站响应于第二消息而使无线通信由该至少一个会话密钥来保护。
在本发明的更详细方面,信息元素可包括为会话更新的计数值。另外,服务网络支持第一安全性上下文的指示可包括认证码,该认证码是基于由服务网络使用接收自远程站的信息元素生成的相应的至少一个会话密钥生成的。另外,远程站可包括移动用户装备。
在本发明的其他更详细方面,服务网络可以是UMTS服务网络。第一安全性上下文可以是增强型UMTS安全性上下文,而第二安全性上下文可以是旧式UTRAN安全性上下文。替换地,服务网络可以是GERAN服务网络。
本发明的另一方面可在于一种远程站,该远程站可包括用于向服务网络转发第一消息的装置,其中该第一消息包括信令通知该远程站支持第一安全性上下文的信息元素,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性;用于根据第一安全性上下文使用该信息元素来生成至少一个会话密钥的装置;用于响应于第一消息而接收具有服务网络支持第一安全性上下文的指示的第二消息的装置;以及用于响应于第二消息而使无线通信由该至少一个会话密钥来保护的装置。
本发明的另一方面可在于一种可包括处理器的远程站,该处理器被配置成:向服务网络转发第一消息,其中该第一消息包括信令通知该远程站支持第一安全性上下文的信息元素,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性;根据第一安全性上下文使用该信息元素来生成至少一个会话密钥;响应于第一消息而接收具有服务网络支持第一安全性上下文的指示的第二消息;以及响应于第二消息而使无线通信由该至少一个会话密钥来保护。
本发明的另一方面可在于一种包括计算机可读存储介质的计算机程序产品,该计算机可读存储介质包括用于使计算机向服务网络转发第一消息的代码,其中该第一消息包括信令通知该计算机支持第一安全性上下文的信息元素,并且其中第一安全性上下文具有不受第二安全性上下文支持的安全性特性;用于使计算机根据第一安全性上下文使用该信息元素来生成至少一个会话密钥的代码;用于使计算机响应于第一消息而接收具有服务网络支持第一安全性上下文的指示的第二消息的代码;以及用于使计算机响应于第二消息而使无线通信由该至少一个会话密钥来保护的代码。
附图简述
图1是无线通信系统的示例的框图。
图2是根据UMTS/UTRAN架构的无线通信系统的示例的框图。
图3是根据GERAN架构的无线通信系统的示例的框图。
图4是用于建立远程站与服务网络之间的增强型安全性上下文的方法的流程图。
图5是用于基于附连请求消息来建立远程站与服务网络之间的增强型安全性上下文的方法的流程图。
图6是用于基于服务请求消息从远程站与服务网络之间的增强型安全性上下文建立至少一个会话密钥的方法的流程图。
图7是用于基于路由区域更新请求消息从远程站与服务网络之间的增强型安全性上下文建立至少一个会话密钥的方法的流程图。
图8是包括处理器和存储器的计算机的框图。
详细描述
措辞“示例性”在本文中用于表示“用作示例、实例或解说”。本文中描述为“示例性”的任何实施例不必被解释为优于或胜过其他实施例。
参照图2到图4,本发明的一方面可在于用于建立远程站210与服务网络230之间的增强型安全性上下文的方法400。在该方法中,远程站向服务网络转发第一消息(步骤410),其中该第一消息包括信令通知该远程站支持增强型安全性上下文的信息元素。远程站根据增强型安全性上下文使用该信息元素来生成至少一个会话密钥(CKS和IKS)(步骤420)。远程站响应于第一消息而接收具有服务网络支持增强型安全性上下文的指示的第二消息(步骤430)。远程站响应于第二消息而使无线通信由该至少一个会话密钥来保护(步骤440)。
该信息元素可包括计数。另外,服务网络支持增强型安全性上下文的指示可包括认证码(MAC),该认证码是基于由服务网络230使用接收自远程站210的信息元素生成的相应的至少一个会话密钥生成的。另外,远程站可包括诸如无线设备之类的移动用户装备(UE)。
进一步参照图8,本发明的另一方面可在于一种远程站210,该远程站210可包括用于向服务网络230转发第一消息的装置(处理器810),其中该第一消息包括信令通知该远程站支持增强型安全性上下文的信息元素;用于根据增强型安全性上下文使用该信息元素来生成至少一个会话密钥的装置;用于响应于第一消息而接收具有服务网络支持增强型安全性上下文的指示的第二消息的装置;以及用于响应于第二消息而使无线通信由该至少一个会话密钥来保护的装置。
本发明的另一方面可在于一种可包括处理器810的远程站210,该处理器810被配置成:向服务网络230转发第一消息,其中该第一消息包括信令通知该远程站支持增强型安全性上下文的信息元素;根据增强型安全性上下文使用该信息元素来生成至少一个会话密钥;响应于第一消息而接收具有服务网络支持增强型安全性上下文的指示的第二消息;以及响应于第二消息而使无线通信由该至少一个会话密钥来保护。
本发明的另一方面可在于一种包括计算机可读存储介质820的计算机程序产品,该计算机可读存储介质820包括用于使计算机800向服务网络230转发第一消息的代码,其中该第一消息包括信令通知该计算机支持增强型安全性上下文的信息元素;用于使计算机根据增强型安全性上下文使用该信息元素来生成至少一个会话密钥的代码;用于使计算机响应于第一消息而接收具有服务网络支持增强型安全性上下文的指示的第二消息的代码;以及用于使计算机响应于第二消息而使无线通信由该至少一个会话密钥来保护的代码。
服务核心网230连接至向远程站210提供无线通信的服务RAN(无线电接入网)220。在UMTS/UTRAN架构中,服务RAN包括B节点和RNC(无线电网络控制器)。在GERAN架构中,服务RAN包括BTS(基收发机站)和BSC(基站控制器)。服务核心网包括用于提供电路交换(CS)服务的MSC/VLR(移动交换中心/访客位置寄存器)和用于提供分组交换(PS)服务的SGSN(服务GPRS支持节点)。归属网络包括HLR(归属位置寄存器)和AuC(认证中心)。
可以用新的安全性特性来增强UE 210和服务核心网230以使用COUNT(计数器值)来创建增强型UMTS安全性上下文(ESC)。当AKA认证被执行时,可以从CK和IK推导用于ESC的256位根密钥(KASMEU)。根密钥可被设为等于CK||IK,或者可使用导致附加的有用安全性特性(例如,CK和IK不需要被保持)的更复杂的推导来推导根密钥。COUNT可以是在UE与服务核心网之间维护的16位计数器值。注意:旧式UTRAN安全性上下文由KSI(3位密钥集标识符)、CK(128位加密密钥)和IK(128位完整性密钥)构成。
参照图5,在与UMTS附连规程有关的方法500中,UE 210可在UMTS附连请求消息中信令通知该UE 210支持ESC(步骤510)。ESC是第一安全性上下文的示例。支持信令可以是该消息中新信息元素(IE)的存在。该IE可包括计数值。不支持ESC的服务网络SN 230将忽略该新IE。不支持ESC是第二安全性上下文的示例。从HLR/AuC 240获得认证数据(RAND,XRES,CK,IK,AUTN)(步骤515)。SN可在对UE的AKA质询(认证请求)中指示ESC支持(步骤520)。UE执行认证规程(步骤525)并向SN返回响应RES(步骤530)。一旦成功认证(步骤530),UE和SN就推导根密钥KASMEU和会话密钥CKS和IKS(步骤535)。SN在SMC(安全性模式命令)消息中向RAN 220转发这些会话密钥(步骤540)。RAN使用会话密钥IKS来生成消息认证码(MAC),该MAC在SMC消息中被转发给UE(步骤545)。UE使用该UE推导出的会话密钥IKS来检查该MAC(步骤550),并向RAN返回完成指示(步骤555),该RAN向SN转发该完成指示(步骤560)。UE随后能够使用这些会话密钥来保护通信(步骤565)。
参照图6,在与空闲至活跃模式规程600有关的方法600中,UE 210向SN 230转发包括计数值的服务请求消息(步骤610)。UE和SN从根密钥KASMEU推导新的会话密钥CKS和IKS(步骤620)。SN在SMC消息中向RAN 220转发这些会话密钥(步骤630)。RAN生成MAC,该MAC在SMC消息中被转发给UE(步骤640)。UE检查该MAC(步骤650)并向RAN返回完成指示(步骤660),该RAN向SN转发该完成指示(步骤670)。UE随后能够使用这些会话密钥来保护通信(步骤680)。
参照图7,在与移动性管理规程700(诸如路由区域更新(RAU)或位置区域更新(LAU))有关的方法700中,UE 210向SN 230转发包括计数值的RAU(或LAU)请求消息(步骤710)。可任选地,UE和SN可从根密钥KASMEU推导新的会话密钥CKS和IKS(步骤720)。SN可在SMC消息中向RAN 220转发这些会话密钥(步骤730)。RAN可生成MAC,该MAC可在SMC消息中被转发给UE(步骤740)。UE可检查该MAC(步骤750),并可向RAN返回完成指示(步骤760),该RAN向SN转发该完成指示(步骤770)。SN随后向UE发送RAU接受消息(步骤780)。UE随后能够使用这些会话密钥来保护通信。
可以为从空闲向活跃状态的每个转移生成新的接入阶层(AS)密钥。类似地,可以在其他事件发生时生成密钥。可以在空闲移动性消息中和在初始的层3消息(例如,用于空闲、移动性、或服务请求的附连、RAU、LAU)中发送计数值。SN可检查所发送的计数值在之前尚未被使用过,并在该过程中更新存储着的计数值。如果计数值是新的(例如,接收到的计数值>存储着的计数值),那么UE和SN使用诸如HMAC-SHA256之类的密钥推导函数(KDF)从根密钥KASMEU和所发送的计数值来着手演算新的密钥CKS和IKS。KDF可包括关于新密钥演算的诸如RAN节点身份之类的附加信息。如果检查失败(计数值不是新的),那么SN拒绝该消息。对于GERAN使用,在从CKS和IKS演算KC和KC128时,该演算可以按与在从CK和IK演算KC和KC128时相同的方式进行。
会话密钥(CKS和IKS)可具有寿命,以使得UE和服务网络保持并使用这些会话密钥,直至存储这些密钥以在UE与网络之间安全地发送话务不再是必需的(UE移至空闲模式)或者在后续事件(例如,AKA认证或移动性事件)发生时创建了新的上下文。
远程站210可包括计算机800,该计算机包括诸如存储器之类的存储介质820、显示器830、以及诸如键盘之类的输入设备840。该装置可包括无线连接850。
参照图1,无线远程站(RS)102(或UE)可以与无线通信系统100的一个或更多个基站(BS)104通信。无线通信系统100可进一步包括一个或更多个基站控制器(BSC)106、以及核心网108。核心网可经由合适的回程连接至因特网110和公共交换电话网(PSTN)112。典型的无线移动站可包括手持式电话或膝上型计算机。无线通信系统100可以采用数种多址技术中的任何一种,诸如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空分多址(SDMA)、极分多址(PDMA)、或其他本领域中所知的调制技术。
无线设备102可包括基于由无线设备传送或在无线设备处接收到的信号来执行诸功能的各种组件。例如,无线头戴式送受话器可包括适配成基于经由接收机接收到的信号提供音频输出的换能器。无线手表可包括适配成基于经由接收机接收到的信号提供指示的用户接口。无线感测设备可包括适配成提供要传送给另一设备的数据的传感器。
无线设备可经由一条或更多条无线通信链路通信,这些无线通信链路基于或以其他方式支持任何合适的无线通信技术。例如,在一些方面,无线设备可与网络相关联。在一些方面,网络可包括体域网或个域网(例如,超宽带网络)。在一些方面,网络可包括局域网或广域网。无线设备可支持或以其他方式使用各种无线通信技术、协议、或标准——诸如举例而言CDMA、TDMA、OFDM、OFDMA、WiMAX和Wi-Fi——中的一种或更多种。类似地,无线设备可支持或以其他方式使用各种相应调制或复用方案中的一种或更多种。无线设备由此可包括用于使用以上或其他无线通信技术建立一条或更多条无线通信链路并经由这一条或更多条无线通信链路来通信的恰适组件(例如,空中接口)。例如,设备可包括具有相关联的发射机和接收机组件(例如,发射机和接收机)的无线收发机,这些发射机和接收机组件可包括促成无线介质上的通信的各种组件(例如,信号发生器和信号处理器)。
本文中的教示可被纳入各种装置(例如,设备)中(例如,实现在其内或由其执行)。例如,本文示教的一个或更多个方面可被纳入到电话(例如,蜂窝电话)、个人数字助理(“PDA”)、娱乐设备(例如,音乐或视频设备)、头戴式送受话器(例如,听筒、耳机等)、麦克风、医疗设备(例如,生物测定传感器、心率监视器、计步器、EKG设备等)、用户I/O设备(例如,手表、遥控器、照明开关、键盘、鼠标等)、轮胎气压监视器、计算机、销售点(POS)设备、娱乐设备、助听器、机顶盒、或任何其它合适设备中。
这些设备可具有不同功率和数据需求。在一些方面中,本文中的教示可适配成用在低功率应用中(例如,通过使用基于脉冲的信令方案和低占空比模式),并且可支持各种数据率,包括相对高的数据率(例如,通过使用高带宽脉冲)。
在一些方面,无线设备可包括通信系统的接入设备(例如,Wi-Fi接入点)。此类接入设备可提供例如经由有线或无线通信链路至另一网络(例如,诸如因特网或蜂窝网络等广域网)的连通性。因此,接入设备可使得另一设备(例如,Wi-Fi站)能接入该另一网络或某个其他功能。此外应领会,这些设备中的一者或其两者可以是便携式的,或者在一些情形中为相对非便携式的。
本领域技术人员将可理解,信息和信号可使用各种不同技术和技艺中的任何技术和技艺来表示。例如,以上描述通篇引述的数据、指令、命令、信息、信号、位、码元、和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光学粒子、或其任何组合来表示。
本领域技术人员将进一步领会,结合本文中所公开的实施例来描述的各种说明性逻辑块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性,但这样的实现决策不应被解读成导致脱离了本发明的范围。
结合本文所公开的实施例描述的各种说明性逻辑块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何常规处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或更多个微处理器、或任何其他此类配置。
结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中实施。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。
在一个或更多个示例性实施例中,所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现为计算机程序产品,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟,其中盘(disk)往往以磁的方式再现数据,而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。
提供前面对所公开的实施例的描述是为了使本领域任何技术人员皆能制作或使用本发明。对这些实施例的各种修改对于本领域技术人员将是显而易见的,并且本文中定义的普适原理可被应用于其他实施例而不会脱离本发明的精神或范围。由此,本发明并非旨在被限定于本文中示出的实施例,而是应被授予与本文中公开的原理和新颖性特征一致的最广义的范围。
Claims (27)
1.一种用于建立远程站与服务网络之间的第一安全性上下文的方法,所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性,所述方法包括:
所述远程站向所述服务网络转发第一消息,其中所述第一消息包括信令通知所述远程站支持所述第一安全性上下文的信息元素;
所述远程站根据所述第一安全性上下文使用所述信息元素来生成至少一个会话密钥;
所述远程站响应于所述第一消息而接收具有所述服务网络支持所述第一安全性上下文的指示的第二消息;以及
所述远程站响应于所述第二消息而使无线通信由所述至少一个会话密钥来保护。
2.如权利要求1所述的用于建立第一安全性上下文的方法,其特征在于,所述信息元素包括为会话更新的计数值。
3.如权利要求1所述的用于建立第一安全性上下文的方法,其特征在于,所述服务网络是UMTS服务网络。
4.如权利要求3所述的用于建立第一安全性上下文的方法,其特征在于,所述第一安全性上下文是增强型UMTS安全性上下文,并且所述第二安全性上下文是旧式UTRAN安全性上下文。
5.如权利要求1所述的用于建立第一安全性上下文的方法,其特征在于,所述服务网络是GERAN服务网络。
6.如权利要求1所述的用于建立第一安全性上下文的方法,其特征在于,所述服务网络支持所述第一安全性上下文的所述指示包括认证码,所述认证码是基于由所述服务网络使用接收自所述远程站的所述信息元素生成的相应的至少一个会话密钥来生成的。
7.如权利要求1所述的用于建立第一安全性上下文的方法,其特征在于,所述远程站包括移动用户装备。
8.一种远程站,包括:
用于向服务网络转发第一消息的装置,其中所述第一消息包括信令通知所述远程站支持第一安全性上下文的信息元素,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性;
用于根据所述第一安全性上下文使用所述信息元素来生成至少一个会话密钥的装置;
用于响应于所述第一消息而接收具有所述服务网络支持所述第一安全性上下文的指示的第二消息的装置;以及
用于响应于所述第二消息而使无线通信由所述至少一个会话密钥来保护的装置。
9.如权利要求8所述的远程站,其特征在于,所述信息元素包括为会话更新的计数值。
10.如权利要求8所述的远程站,其特征在于,所述服务网络是UMTS服务网络。
11.如权利要求10所述的远程站,其特征在于,所述第一安全性上下文是增强型UMTS安全性上下文,并且所述第二安全性上下文是旧式UTRAN安全性上下文。
12.如权利要求8所述的远程站,其特征在于,所述服务网络是GERAN服务网络。
13.如权利要求8所述的远程站,其特征在于,所述服务网络支持所述第一安全性上下文的所述指示包括认证码,所述认证码是基于由所述服务网络使用接收自所述远程站的所述信息元素生成的相应的至少一个会话密钥来生成的。
14.如权利要求8所述的远程站,其特征在于,所述远程站包括移动用户装备。
15.一种远程站,包括:
处理器,被配置为:
向服务网络转发第一消息,其中所述第一消息包括信令通知所述远程站支持第一安全性上下文的信息元素,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性;
根据所述第一安全性上下文使用所述信息元素来生成至少一个会话密钥;
响应于所述第一消息而接收具有所述服务网络支持所述第一安全性上下文的指示的第二消息;以及
响应于所述第二消息而使无线通信由所述至少一个会话密钥来保护。
16.如权利要求15所述的远程站,其特征在于,所述信息元素包括为会话更新的计数值。
17.如权利要求15所述的远程站,其特征在于,所述服务网络是UMTS服务网络。
18.如权利要求17所述的远程站,其特征在于,所述第一安全性上下文是增强型UMTS安全性上下文,并且所述第二安全性上下文是旧式UTRAN安全性上下文。
19.如权利要求15所述的远程站,其特征在于,所述服务网络是GERAN服务网络。
20.如权利要求15所述的远程站,其特征在于,所述服务网络支持所述第一安全性上下文的所述指示包括认证码,所述认证码是基于由所述服务网络使用接收自所述远程站的所述信息元素生成的相应的至少一个会话密钥来生成的。
21.如权利要求15所述的远程站,其特征在于,所述远程站包括移动用户装备。
22.一种计算机程序产品,包括:
计算机可读存储介质,包括:
用于使计算机向服务网络转发第一消息的代码,其中所述第一消息包括信令通知所述计算机支持第一安全性上下文的信息元素,并且其中所述第一安全性上下文具有不受第二安全性上下文支持的安全性特性;
用于使计算机根据所述第一安全性上下文使用所述信息元素来生成至少一个会话密钥的代码;
用于使计算机响应于所述第一消息而接收具有所述服务网络支持所述第一安全性上下文的指示的第二消息的代码;以及
用于使计算机响应于所述第二消息而使无线通信由所述至少一个会话密钥来保护的代码。
23.如权利要求22所述的计算机程序产品,其特征在于,所述信息元素包括为会话更新的计数值。
24.如权利要求22所述的计算机程序产品,其特征在于,所述服务网络是UMTS服务网络。
25.如权利要求24所述的计算机程序产品,其特征在于,所述第一安全性上下文是增强型UMTS安全性上下文,并且所述第二安全性上下文是旧式UTRAN安全性上下文。
26.如权利要求22所述的计算机程序产品,其特征在于,所述服务网络是GERAN服务网络。
27.如权利要求22所述的计算机程序产品,其特征在于,所述服务网络支持所述第一安全性上下文的所述指示包括认证码,所述认证码是基于由所述服务网络使用所接收到的信息元素生成的相应的至少一个会话密钥来生成的。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US32464610P | 2010-04-15 | 2010-04-15 | |
| US61/324,646 | 2010-04-15 | ||
| US13/084,378 | 2011-04-11 | ||
| US13/084,378 US9197669B2 (en) | 2010-04-15 | 2011-04-11 | Apparatus and method for signaling enhanced security context for session encryption and integrity keys |
| PCT/US2011/032755 WO2011130682A2 (en) | 2010-04-15 | 2011-04-15 | Apparatus and method for signaling enhanced security context for session encryption and integrity keys |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102835136A true CN102835136A (zh) | 2012-12-19 |
| CN102835136B CN102835136B (zh) | 2016-04-06 |
Family
ID=44584594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180018855.1A Expired - Fee Related CN102835136B (zh) | 2010-04-15 | 2011-04-15 | 用于为会话加密和完整性密钥信令通知增强型安全性上下文的装置和方法 |
Country Status (16)
| Country | Link |
|---|---|
| EP (1) | EP2559276A2 (zh) |
| JP (2) | JP5795055B2 (zh) |
| KR (1) | KR101474093B1 (zh) |
| CN (1) | CN102835136B (zh) |
| AU (1) | AU2011239422B2 (zh) |
| BR (1) | BR112012026136B1 (zh) |
| CA (1) | CA2795358C (zh) |
| HK (1) | HK1177861A1 (zh) |
| IL (1) | IL222384A (zh) |
| MX (1) | MX2012011985A (zh) |
| MY (1) | MY171059A (zh) |
| RU (1) | RU2555227C2 (zh) |
| SG (1) | SG184442A1 (zh) |
| TW (1) | TWI450557B (zh) |
| UA (1) | UA108099C2 (zh) |
| WO (1) | WO2011130682A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111034265A (zh) * | 2017-08-18 | 2020-04-17 | 华为技术有限公司 | Ran inactive模式下的位置和上下文管理 |
| CN111567075A (zh) * | 2018-01-14 | 2020-08-21 | 高通股份有限公司 | 针对交通工具到交通工具(v2v)通信的蜂窝单播链路建立 |
| CN113194467A (zh) * | 2015-07-12 | 2021-07-30 | 高通股份有限公司 | 用于具有上下文的网络架构和安全性的方法和装置 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3493464B1 (en) | 2015-07-02 | 2020-12-02 | GN Hearing A/S | Client device with certificate and related method |
| PL3360303T3 (pl) | 2015-10-05 | 2020-06-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Komunikacja bezprzewodowa |
| JP6517444B2 (ja) * | 2015-12-21 | 2019-05-22 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | セキュア通信のためのネットワークシステム |
| SG10201605752PA (en) | 2016-07-13 | 2018-02-27 | Huawei Int Pte Ltd | A unified authentication work for heterogeneous network |
| US10887089B2 (en) * | 2016-07-18 | 2021-01-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Security of ciphering and integrity protection |
| EP3334185B1 (en) | 2016-12-08 | 2021-06-02 | GN Hearing A/S | Hearing system, devices and method of securing communication for a user application |
| CN110235458B (zh) * | 2017-01-30 | 2022-10-28 | 瑞典爱立信有限公司 | 对用于ue的服务amf的改变进行处理的方法、网络节点和介质 |
| CA3095656C (en) * | 2018-04-04 | 2023-08-08 | Zte Corporation | Techniques to manage integrity protection |
| CN110831007B (zh) * | 2018-08-10 | 2021-09-17 | 华为技术有限公司 | 用户面完整性保护方法、装置及设备 |
| WO2020207401A1 (en) * | 2019-04-08 | 2020-10-15 | Mediatek Singapore Pte. Ltd. | 5g nas recovery from nasc failure |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070106620A1 (en) * | 2005-11-07 | 2007-05-10 | Harsch Khandelwal | Verification of a testimonial |
| CN101147377A (zh) * | 2005-02-04 | 2008-03-19 | 高通股份有限公司 | 无线通信的安全自启动 |
| CN101232736A (zh) * | 2008-02-22 | 2008-07-30 | 中兴通讯股份有限公司 | 用于不同接入系统之间密钥生存计数器的初始化设置方法 |
| CN101304600A (zh) * | 2007-05-08 | 2008-11-12 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN101406024A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | Umts的lte的安全考量 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6986040B1 (en) * | 2000-11-03 | 2006-01-10 | Citrix Systems, Inc. | System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel |
| US7873163B2 (en) * | 2001-11-05 | 2011-01-18 | Qualcomm Incorporated | Method and apparatus for message integrity in a CDMA communication system |
| US7752441B2 (en) * | 2006-02-13 | 2010-07-06 | Alcatel-Lucent Usa Inc. | Method of cryptographic synchronization |
| US9106409B2 (en) | 2006-03-28 | 2015-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling keys used for encryption and integrity |
| CA2642822C (en) * | 2006-03-31 | 2013-01-15 | Samsung Electronics Co., Ltd. | System and method for optimizing authentication procedure during inter access system handovers |
| US20090164788A1 (en) * | 2006-04-19 | 2009-06-25 | Seok-Heon Cho | Efficient generation method of authorization key for mobile communication |
| US8302273B2 (en) * | 2006-07-18 | 2012-11-06 | Kistler Holding Ag | Joining unit |
| US8094817B2 (en) * | 2006-10-18 | 2012-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
| FI20070094A0 (fi) * | 2007-02-02 | 2007-02-02 | Nokia Corp | Radiopäällysverkon turvallisuusalgoritmin vaihtaminen handoverin aikana |
| EP1973265A1 (en) * | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
| CN101309500B (zh) * | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
| KR100924168B1 (ko) * | 2007-08-07 | 2009-10-28 | 한국전자통신연구원 | 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법 |
| CN101384079A (zh) * | 2007-09-03 | 2009-03-11 | 华为技术有限公司 | 一种终端移动时防止降质攻击的方法、系统及装置 |
-
2011
- 2011-04-15 KR KR1020127029828A patent/KR101474093B1/ko not_active IP Right Cessation
- 2011-04-15 UA UAA201212984A patent/UA108099C2/ru unknown
- 2011-04-15 TW TW100113219A patent/TWI450557B/zh active
- 2011-04-15 CA CA2795358A patent/CA2795358C/en active Active
- 2011-04-15 SG SG2012073748A patent/SG184442A1/en unknown
- 2011-04-15 MY MYPI2012004417A patent/MY171059A/en unknown
- 2011-04-15 CN CN201180018855.1A patent/CN102835136B/zh not_active Expired - Fee Related
- 2011-04-15 EP EP11738847A patent/EP2559276A2/en not_active Withdrawn
- 2011-04-15 WO PCT/US2011/032755 patent/WO2011130682A2/en active Application Filing
- 2011-04-15 MX MX2012011985A patent/MX2012011985A/es active IP Right Grant
- 2011-04-15 BR BR112012026136-3A patent/BR112012026136B1/pt active IP Right Grant
- 2011-04-15 JP JP2013505195A patent/JP5795055B2/ja active Active
- 2011-04-15 AU AU2011239422A patent/AU2011239422B2/en active Active
- 2011-04-15 RU RU2012148506/08A patent/RU2555227C2/ru active
-
2012
- 2012-10-11 IL IL222384A patent/IL222384A/en active IP Right Grant
-
2013
- 2013-04-22 HK HK13104841.8A patent/HK1177861A1/zh unknown
-
2015
- 2015-05-13 JP JP2015098276A patent/JP6069407B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101147377A (zh) * | 2005-02-04 | 2008-03-19 | 高通股份有限公司 | 无线通信的安全自启动 |
| US20070106620A1 (en) * | 2005-11-07 | 2007-05-10 | Harsch Khandelwal | Verification of a testimonial |
| CN101406024A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | Umts的lte的安全考量 |
| CN101304600A (zh) * | 2007-05-08 | 2008-11-12 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN101232736A (zh) * | 2008-02-22 | 2008-07-30 | 中兴通讯股份有限公司 | 用于不同接入系统之间密钥生存计数器的初始化设置方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113194467A (zh) * | 2015-07-12 | 2021-07-30 | 高通股份有限公司 | 用于具有上下文的网络架构和安全性的方法和装置 |
| CN111034265A (zh) * | 2017-08-18 | 2020-04-17 | 华为技术有限公司 | Ran inactive模式下的位置和上下文管理 |
| US10893568B2 (en) | 2017-08-18 | 2021-01-12 | Huawei Technologies Co., Ltd. | Location and context management in a RAN INACTIVE mode |
| US11678400B2 (en) | 2017-08-18 | 2023-06-13 | Huawei Technologies Co., Ltd. | Location and context management in a ran inactive mode |
| CN111567075A (zh) * | 2018-01-14 | 2020-08-21 | 高通股份有限公司 | 针对交通工具到交通工具(v2v)通信的蜂窝单播链路建立 |
| CN111567075B (zh) * | 2018-01-14 | 2023-05-02 | 高通股份有限公司 | 针对交通工具到交通工具(v2v)通信的蜂窝单播链路建立 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20130018299A (ko) | 2013-02-20 |
| JP6069407B2 (ja) | 2017-02-01 |
| MX2012011985A (es) | 2012-12-17 |
| SG184442A1 (en) | 2012-11-29 |
| UA108099C2 (uk) | 2015-03-25 |
| MY171059A (en) | 2019-09-23 |
| AU2011239422B2 (en) | 2014-05-08 |
| EP2559276A2 (en) | 2013-02-20 |
| WO2011130682A2 (en) | 2011-10-20 |
| JP2013524741A (ja) | 2013-06-17 |
| JP2015180095A (ja) | 2015-10-08 |
| CA2795358C (en) | 2017-12-19 |
| HK1177861A1 (zh) | 2013-08-30 |
| TWI450557B (zh) | 2014-08-21 |
| IL222384A (en) | 2017-02-28 |
| BR112012026136B1 (pt) | 2021-09-21 |
| AU2011239422A1 (en) | 2012-11-08 |
| CA2795358A1 (en) | 2011-10-20 |
| IL222384A0 (en) | 2012-12-31 |
| WO2011130682A3 (en) | 2012-03-01 |
| RU2012148506A (ru) | 2014-05-20 |
| RU2555227C2 (ru) | 2015-07-10 |
| BR112012026136A2 (pt) | 2016-06-28 |
| KR101474093B1 (ko) | 2014-12-17 |
| JP5795055B2 (ja) | 2015-10-14 |
| TW201206139A (en) | 2012-02-01 |
| CN102835136B (zh) | 2016-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102948183B (zh) | 用于将增强型安全性上下文从基于utran/geran的服务网络转移到基于e-utran的服务网络的装置及方法 | |
| CN102835136B (zh) | 用于为会话加密和完整性密钥信令通知增强型安全性上下文的装置和方法 | |
| CN102845105B (zh) | 用于从支持增强型安全性上下文的服务网络节点向旧式服务网络节点转移的装置和方法 | |
| US9197669B2 (en) | Apparatus and method for signaling enhanced security context for session encryption and integrity keys | |
| CN103004243A (zh) | 用于将增强型安全性上下文从基于utran的服务网络转移到基于geran的服务网络的装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1177861 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1177861 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160406 Termination date: 20170415 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |