CN109791590A - 安全性过程 - Google Patents
安全性过程 Download PDFInfo
- Publication number
- CN109791590A CN109791590A CN201680089649.2A CN201680089649A CN109791590A CN 109791590 A CN109791590 A CN 109791590A CN 201680089649 A CN201680089649 A CN 201680089649A CN 109791590 A CN109791590 A CN 109791590A
- Authority
- CN
- China
- Prior art keywords
- information
- encipherment scheme
- base station
- message
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 67
- 230000008569 process Effects 0.000 title claims description 20
- 238000004891 communication Methods 0.000 claims abstract description 47
- 230000005540 biological transmission Effects 0.000 claims abstract description 46
- 230000004913 activation Effects 0.000 claims abstract description 30
- 238000012545 processing Methods 0.000 claims abstract description 20
- 238000004590 computer program Methods 0.000 claims abstract description 11
- 230000004044 response Effects 0.000 claims description 25
- 238000005259 measurement Methods 0.000 claims description 9
- 230000008901 benefit Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 10
- 239000010410 layer Substances 0.000 description 9
- 230000001413 cellular effect Effects 0.000 description 7
- 230000003213 activating effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 239000000463 material Substances 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 240000001436 Antirrhinum majus Species 0.000 description 1
- 101001046686 Homo sapiens Integrin alpha-M Proteins 0.000 description 1
- 101000935040 Homo sapiens Integrin beta-2 Proteins 0.000 description 1
- 102100022338 Integrin alpha-M Human genes 0.000 description 1
- 101000962498 Macropis fulvipes Macropin Proteins 0.000 description 1
- 108091005487 SCARB1 Proteins 0.000 description 1
- 102100037118 Scavenger receptor class B member 1 Human genes 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000002346 layers by function Substances 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0457—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/10—Scheduling measurement reports ; Arrangements for measurement reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
根据本发明的示例性方面,提供了装置,该装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为,与至少一个处理核心一起引起该装置至少:建立将被提供给基站设备的信息,在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的信息向基站设备的传输,在引起信息的传输之后,开始在装置与基站设备之间的通信中使用第一加密方案。
Description
技术领域
本发明涉及通信系统中的数据加密。
背景技术
在可以包括无线和/或有线网络的通信网络中,用户设备可以具有关于网络的不同的模式。例如,在蜂窝无线网络中,用户设备可以发现自己处于空闲更多或连接模式。
空闲模式的特征在于存在用户设备的通用粗略位置知识(其可以被称为UE上下文)的存在,和/或不存在用户设备与网络之间的活动通信上下文。用户设备可以由网络寻呼,并且网络可以被布置为跟踪用户设备的下落。类似地,用户设备可以调用连接建立进程以激活与网络的通信上下文。例如,空闲模式用户设备可以进行小区重选测量。
另一方面,连接模式的特征可以在于用户位置的更多小区级知识和/或存在用户设备与网络之间的活动通信上下文。通过这种活动通信上下文传送的信息可以被加密(encrypted)或加密(ciphered),以在传输过程时保护其安全性。活动通信上下文可以包括具有多个层的协议结构,使得层彼此封装,以实现维持不同网络级的整体连接。例如,物理层可以将无线终端连接到基站或接入点,并且传送所有较高层作为物理层的有效载荷。这样的较高层可以包括例如作为用户可以被呈现的有效载荷信息进行传送的传输层和应用层。
在一些技术中,当用户设备UE第一次连接到网络时,它既不处于空闲模式也不处于连接模式。然后,第一连接被用于经由到网络的初始附接过程来注册UE,使得即使在其不存在活动的通信上下文时,其也知道用户设备的粗略位置。在初始连接之后,向用户设备提供其在后续连接尝试中连接到网络所需要的信息,并且向网络提供关于用于后续连接尝试的用户身份的信息。因此,在初始附接之后,用户设备可以在空闲模式和连接模式下操作,并且网络具有被存储的UE上下文。
结合连接建立过程,建立连接并且激活加密。为了使加密工作,参与实体必须支持相同的加密算法和模态,使得由发射器加密的数据可以由接收者解密。解密是在涉及反转或撤消加密操作时使用的术语。例如,加密操作从明文获得密文,并且然后解密从密文获得原始明文。
可以由网络通过向用户设备传输安全命令来激活加密。安全命令的示例是长期演进LTE的SecurityModeCommand。
发明内容
本发明由独立权利要求的特征来定义。从属权利要求中定义了一些特定实施例。
根据本发明的第一方面,提供了装置,该装置包括存储器,存储器被配置为存储信息,至少一个处理核心,至少一个处理核心被配置为在第一加密方案的激活之前,在装置中从用户设备接收具有第二加密方案的加密形式的信息,获得信息的未加密形式,以及在第一加密方案被激活之前或之后,使用信息的未加密形式向用户设备提供服务。
第一方面的各种实施例可以包括来自以下项目符号列表的至少一个特征:
·该装置被配置为在连接建立过程期间处理第一加密方案的激活的触发
·该装置被配置为经由核心网络来获得信息的未加密形式
·该装置被配置为至少部分地通过从核心网络请求解密密钥来获得信息的未加密形式
·第一加密方案包括接入层AS加密方案
·第二加密方案包括与用户设备相关的非接入层NAS加密方案
·该装置被配置为通过向移动性管理实体提供信息的加密形式、并且从移动性管理实体接收信息的未加密形式来获得信息的未加密形式
·第二加密方案包括在核心网络与用户设备之间预先协商的加密方案
·该装置被配置为从核心网络接收加密密钥,并且解密该信息,以从而获得未加密形式
·该信息包括由用户设备请求的辅小区测量结果和辅小区配置中的至少一个
·至少一个处理核心被配置为引起安全命令的传输,该安全命令包括用来触发在用户设备与网络之间的第一加密方案的激活的指令
该装置被包括在基站设备中。
根据本发明的第二方面,提供了装置,该装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为,与至少一个处理核心一起引起该装置至少:建立将被提供给基站设备的信息,在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的信息向基站设备的传输,以及在引起信息的传输之后,开始在该装置与基站设备之间的通信中使用第一加密方案。
第二方面的各种实施例可以包括来自以下项目符号列表的至少一个特征:
·该信息包括辅小区测量结果和期望的辅小区配置中的至少一个
·该装置被配置为响应于与基站设备通信的安全命令而开始使用第一加密方案,该安全命令包括用来激活第一加密方案的指令
·该装置被配置为结合连接建立进程来引起信息的传输
·该装置被配置为引起非接入层容器中的信息的传输。
根据本发明的第三方面,提供了装置,该装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为与至少一个处理核心一起引起该装置至少:从基站设备接收初始UE消息,执行加密操作作为对初始UE消息的响应,以及引起初始上下文建立请求消息的传输作为对初始UE消息的响应,初始上下文建立请求消息包括加密操作的输出。
第三方面的各种实施例可以包括来自以下项目符号列表的至少一个特征:
·加密操作包括对初始UE消息中存在的信息的解密,并且加密操作的输出包括解密的信息
·加密操作包括加密密钥的导出,并且加密操作的输出包括加密密钥,加密密钥与KeNB不同。
根据本发明的第四方面,提供了方法,该方法包括:将信息存储在装置中,在第一加密方案的激活之前,在该装置中从用户设备接收具有使用第二加密方案加密的形式的信息,获得信息的未加密形式,以及在第一加密方案被激活之前或之后,使用信息的未加密形式向用户设备提供服务。
第四方面的各种实施例可以包括结合第一方面列出的在前项目符号列表中的特征对应的至少一个特征。
根据本发明的第五方面,提供了方法,该方法包括:建立将被提供给基站设备的信息,在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的信息向基站设备的传输,以及在引起信息的传输之后,开始在装置与基站设备之间的通信中使用第一加密方案。
第五方面的各种实施例可以包括结合第二方面列出的在前项目符号列表中的特征对应的至少一个特征。
根据本发明的第六方面,提供了方法,该方法包括:从基站设备接收初始UE消息,执行加密操作作为对初始UE消息的响应,以及引起初始上下文建立请求消息的传输作为对初始UE消息的响应,初始上下文建立请求消息包括加密操作的输出。
第六方面的各种实施例可以包括结合第三方面列出的在前项目符号列表中的特征对应的至少一个特征。
根据本发明的第七方面,提供了装置,该装置包括:用于将信息存储在装置中的部件;用于在第一加密方案的激活之前,在装置中从用户设备接收具有使用第二加密方案加密的形式的信息的部件;用于获得信息的未加密形式的部件;以及用于在第一加密方案被激活之前或之后,使用信息的未加密形式向用户设备提供服务的部件。
根据本发明的第八方面,提供了装置,该装置包括用于建立将被提供给基站设备的信息的部件;用于在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的信息向基站设备的传输的部件;以及用于在引起信息的传输之后,开始在装置与基站设备之间的通信中使用第一加密方案的部件。
根据本发明的第九方面,提供了非暂时性计算机可读介质,其上存储有计算机可读指令集合,计算机可读指令集合在由至少一个处理器执行时引起装置至少:将信息存储在装置中,在第一加密方案的激活之前,在装置中从用户设备接收具有使用第二加密方案加密的形式的信息,获得信息的未加密形式,并且在第一加密方案被激活之前或之后,使用信息的未加密形式向用户设备提供服务。
根据本发明的第十方面,提供了非暂时性计算机可读介质,其上存储有计算机可读指令集合,计算机可读指令集合在由至少一个处理器执行时引起装置至少:在装置中建立将被提供给基站设备的信息,在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的信息向基站设备的传输,并且在引起信息的传输之后,开始在该装置与基站设备之间的通信中使用第一加密方案。
根据本发明的第十一方面,提供了非暂时性计算机可读介质,其上存储有计算机可读指令集合,计算机可读指令集合在由至少一个处理器执行时引起装置至少:从基站设备接收初始UE消息,执行加密操作作为对初始UE消息的响应,并且引起初始上下文建立请求消息的传输作为对初始UE消息的响应,初始上下文建立请求消息包括加密操作的输出。
根据本发明的第十二方面,提供了计算机程序,其被配置为引起根据第四、第五和第六方面中的至少一个方面的方法被执行。
附图说明
图1示出了根据本发明的至少一些实施例的示例系统;
图2示出了根据本发明的原理的早期加密的示例实施例;
图3示出了能够支持本发明的至少一些实施例的示例装置;
图4示出了根据本发明的原理的早期加密的示例实施例;
图5示出了根据本发明的原理的早期加密的示例实施例;
图6是根据本发明的至少一些实施例的方法的流程图;
图7是根据本发明的至少一些实施例的方法的流程图;
图8是根据本发明的原理的示例实施例;
图9是根据本发明的原理的示例实施例;以及
图10是根据本发明的原理的示例实施例。
具体实施方式
当用户设备UE从RRC IDLE移动到RRC CONNECTED模式时,在随机接入过程期间在UE与eNB之间的第一消息被非加密地发送,这些包括例如在随机接入Msg3中SRB0上的RRCConnectionRequest消息、在随机接入Msg4中SRB0上的从eNB到UE的RRCConnectionSetup消息以及在随机接入Msg5中SRB1上的从UE到eNB的RRCConnectionSetupComplete。针对第一消息,缺乏安全性是自然的,例如RRCConnectionRequest,因为在该初始阶段,eNB不知道它正在与哪个UE通信。RRCConnectionSetup消息已经被发送到单个UE,并且原理上可以被加密。这同样适用于从UE到eNB的RRCConnectionSetupComplete消息,其也可以被加密。然而,在当前LTE系统中,在eNB已经与MME通信并且接收到密钥之后,加密在被发送到UE的SecurityModeCommand之后被开启。
由于初始消息是未加密的,因此它们不能包含可以揭示例如UE位置或可能被恶意使用的其他特定于UE的信息的任何关键信息。UE可能具有已经在第一RRC重新配置中的、可以在初始连接建立之后由eNB使用的一些有用信息,但是在当前LTE系统中,必须首先建立UE与eNB之间的安全性,并且仅在此之后才可以从UE请求信息。并且仅在从UE接收到附加信息之后,eNB才可以执行考虑到该信息的另一RRC重新配置。
在本发明中,提出了新的安全性机制,使得UE可以在较早阶段向eNB发送加密的相关信息,使得eNB例如可以在安全性模式命令之后采取已经在第一RRC重新配置中的UE信息来使用。
在通信上下文加密(encryption)或加密(ciphering)的激活之前已经以加密形式从用户设备向基站传输信息可以提供益处,诸如减少在基站可以对所接收的信息进行动作之前的延迟。通信上下文加密或上下文加密,是指在对在连接状态的通信上下文中传输的信息进行加密时采用的加密,即,例如作为连接状态的先决条件存在的通信上下文。它有时也称为访问层AS加密或安全性。某些信息类型不适合以未加密格式传输,因此本发明的至少一些实施例提供了具有加密形式的信息的早期传输。详细地,可以使用非接入层NAS容器和安全性,或者可以在通信上下文加密的激活之前导出专用的早期加密密钥以用于在连接建立中使用。有利地,例如,基站可以至少从用户设备接收信息,并且还可能在通信上下文加密是活动的之前已经使用该信息重新配置与用户设备的连接。
NAS是指协议栈中的功能层,该层被布置在UE与核心网络之间。例如,该层可以被用于管理通信会话的建立和/或在UE移动时维持与UE的连续连接。在LTE系统中,一旦UE已经执行了与网络的初始附接过程,其就被具有存储在移动性管理实体MME内的UE上下文。
图1图示了根据本发明的至少一些实施例的示例系统。该系统包括用户设备UE110,UE110可以包括智能电话、移动电话、平板计算机、膝上型计算机、台式计算机或实际上另一种合适的设备。UE110经由无线链路112与基站120进行无线通信。基站是在讨论蜂窝通信系统中的无线电节点时经常被采用的术语,但是在本文件的上下文中,应当理解,设想非蜂窝系统也受益于本发明的实施例,并且不应当被该术语选择排除在外。接入点是在讨论非蜂窝无线电节点时经常采用的术语。
基站120、无线链路112和UE110被布置为根据通信标准进行操作,从而获得互操作性。例如,宽带码分多址WCDMA以及长期演进LTE和5G是蜂窝通信标准。另一方面,无线局域网WLAN和全球微波接入互操作性WiMAX是非蜂窝通信标准的示例。虽然本文中描述为无线通信系统,但是本发明的其他实施例可以被实现为有线通信系统。有线通信标准包括例如以太网。在有线通信系统的情况下,链路112不是无线的而是有线的。
基站120经由连接123与节点130耦合。例如,节点130可以被包括作为核心网络或无线电接入网络中的节点。例如,节点130可以包括移动性管理实体MME或交换机。连接123可以包括有线连接、无线连接或部分无线连接。连接123可以被用于在节点130与基站120之间传送有效载荷业务。节点130经由连接134与网关140耦合,并且网关140又经由连接141与其他网络耦合。连接134和141可以包括例如有线连接。有线连接可以包括例如以太网和/或光纤连接。
经由基站120、节点130和网关140,UE110可以与通信实体通信,通信实体可以是因特网上的服务器、国内或国外位置的电话端点、或者例如公司外联网中的银行服务。
当从空闲状态转换到连接状态时,UE110可以触发链路112上至少一个物理信道的建立。详细地,UE110可以触发连接建立进程,该进程包括诸如例如随机接入过程。例如,UE110可以向基站120传输随机接入前导码,基站120可以利用随机接入响应进行回复。然后,UE110可以向基站120传输连接请求,连接请求的示例是根据LTE系统的RRCConnectionRequest消息。
一旦基站120已经对连接请求消息进行响应,例如通过传输连接建立消息,并且从UE110接收到连接建立完成消息,则基站120可以咨询节点130或另一节点以获得与UE110相关的上下文信息。例如,节点130可以包括MME。上下文信息可以包括将在通信上下文加密中被使用的加密密钥。连接建立完成消息的示例是根据LTE系统的RRCConnectionSetupComplete消息,并且上下文加密密钥的示例是KeNB。其他技术也具有类似的消息和密钥。
可以从基站120向UE110传输安全命令以引起上下文加密被激活。安全命令可以包括以下中的至少一个:关于将使用的加密算法的信息、关于将使用的完整性算法的信息和消息认证码-完整性MAC-1字段。例如,MAC-I字段可以被用于确保消息完整性。在UE110中接收到安全命令并且在UE110中对其进行动作之后,可以使用上下文加密来完成通信上下文中的信息的加密。备选地,安全命令可以被称为安全指令。
从基站120的角度来看,当发送安全命令时激活上下文加密,以及从UE110的角度来看,当接收和处理安全命令时激活上下文加密。因此,基站120可以触发上下文加密的激活,尽管在一些实施例中,可以由UE110传输触发消息。
另一方面,UE110可以具有信息,该信息在上下文加密被激活之前已经被提供给基站120可能是有用的。例如,这样的信息可以包括辅小区测量结果和/或由UE110期望的辅小区配置。在这种信息是需要加密的类型的情况下,对信息进行加密将是有益的,但是由于上下文加密尚未激活,因此可以使用另一加密。这样的信息可以由基站120使用来向用户设备提供服务,换言之,该信息可以旨在用于在基站120中使用,而不仅提供给基站120用于转发以用于在其他节点中使用。基站120可以通过使用该信息来提供服务,例如以配置UE110的方面。在上下文加密可用之前使用的另一加密在本文中将被称为早期加密,因为它可以使用上下文加密之前结合连接建立进程来使用。早期加密也可以在其他时间被使用。
图2示出了根据本发明的原理的早期加密的示例实施例。在纵轴上从左到右设置有UE110、基站120和节点130。例如,在该实施例中,节点130可以包括MME。时间从顶部向底部前进。与图4和图5的那些类似,图2的整个过程是从空闲状态到连接或活动状态的转换。
在阶段210,基站120可以寻呼UE110。该阶段是可选的,因为本发明同样适用于移动发起的通信。阶段220包括例如用来获得用于UE110与基站120之间的通信的无线电资源的随机接入过程。阶段220可以包括例如在UE110与基站120之间交换的RRC连接请求和建立消息,其形成RRC连接建立过程的一部分。
阶段230包括从UE110向基站120传输的消息,该消息包括旨在用于在基站120中使用的信息,该信息在具有加密格式的消息中。例如,消息本身可以是RRC连接建立完成消息,但是在各种实施例中,消息可以采用不同的名称。阶段230的消息在UE110与基站120之间的上下文加密尚未激活之前被传输。例如,具有加密形式的信息可以在NAS容器中。NAS加密的使用在根据图2的实施例中提供早期加密。早期加密不同于上下文加密。
在阶段240,基站120结合连接建立过程与节点130通信。在阶段240,基站120将其在阶段230已经接收的NAS容器提供给节点130。节点130在阶段250解密NAS容器,并且在阶段260将信息以未加密形式返回到基站120。进一步地,在阶段260,节点130可以关于连接建立来指导基站120,例如通过提供用于在上下文加密中使用的加密密钥。
一旦接收到在阶段260中提供的信息,基站就可以在阶段230应用在早期加密下提供的信息。阶段270包括从基站120向UE110传输安全命令,安全命令如上所述。提供阶段280至2110作为技术上下文并且鉴于LTE系统进行描述,然而在不同的通信技术中,这些阶段可以以不同的方式进行。详细地,阶段280可以包括连接重新配置,其可以包括根据使用早期加密被传送到基站120的信息添加辅小区。阶段280和阶段270可以在相同的传输块中被传输。阶段290可以包括安全命令响应,例如安全性模式完成消息,并且响应于在阶段280中指导的重新配置的完成,阶段2100可以包括连接重新配置完成消息。响应于阶段260的消息传递,阶段2110可以包括初始上下文建立响应。通常,基站120可以被配置为使用在早期加密下提供的信息重新配置与UE110的连接,例如在上下文加密活动之前。
阶段2120包括UE110与网络之间的数据通信,该信息使用此时活动的上下文加密而被保护。
图3图示了能够支持本发明的至少一些实施例的示例装置。图示的是设备300,其可以包括例如移动通信设备(诸如UE110)或者在适用的部分中包括图1的基站120。设备300中包括处理器310,处理器310可以包括例如单核或多核处理器,其中单核处理器包括一个处理核心,而多核处理器包括多于一个处理核心。处理器310可以包括多于一个处理器。处理核心可以包括例如由ARM Holdings制造的Cortex-A8处理核心或由Advanced MicroDevices Corporation生产的Steamroller处理核心。处理器310可以包括至少一个Qualcomm Snapdragon和/或Intel Atom处理器。处理器310可以包括至少一个专用集成电路ASIC。处理器310可以包括至少一个现场可编程门阵列FPGA。处理器310可以是用于执行设备300中的方法步骤的部件。处理器310可以至少部分地由计算机指令配置以执行动作。
设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或持久性存储器。存储器320可以包括至少一个RAM芯片。例如,存储器320可以包括固态、磁性、光学和/或全息存储器。存储器320可以至少部分由处理器310可访问。存储器320可以至少部分被包括在处理器310中。存储器320可以是用于存储信息的部件。存储器320可以包括处理器310被配置为执行的计算机指令。当被配置为引起处理器310执行某些动作的计算机指令被存储在存储器320中,并且设备300整体被配置为使用来自存储器320的计算机指令在处理器310的指导下运行时,处理器310和/或其至少一个处理核心可以被认为将被配置为执行所述特定动作。存储器320可以至少部分地被包括在处理器310中。存储器320可以至少部分在设备300外部但是由设备300可访问。
设备300可以包括发射器330。设备300可以包括接收器340。发射器330和接收器340可以被配置为分别根据至少一个蜂窝或非蜂窝标准发射和接收信息。发射器330可以包括多于一个发射器。接收器340可以包括多于一个接收器。例如,发射器330和/或接收器340可以被配置为根据全球移动通信系统GSM、宽带码分多址WCDMA、长期演进LTE、IS-95、无线局域网WLAN、以太网和/或全球微波接入互操作性WiMAX标准进行操作。
设备300可以包括近场通信NFC收发器350。NFC收发器350可以支持至少一个NFC技术,诸如NFC、Bluetooth、Wibree或类似技术。
设备300可以包括用户接口UI360。UI360可以包括显示器、键盘、触摸屏、被布置为通过引起设备300振动来向用户发信号的振动器、扬声器和麦克风中的至少一个。用户可以能够经由UI360操作设备300,例如以接受传入的电话呼叫,发起电话呼叫或视频呼叫,浏览因特网,管理被存储在存储器320中的或者经由发射器330和接收器340或经由NFC收发器350可访问的云上的数字文件,和/或玩游戏。
设备300可以包括或被布置为接受用户身份模块370。用户身份模块370可以包括例如可以安装在设备300中的订户身份模块SIM卡。用户身份模块370可以包括标识设备300的用户的订阅的信息。用户身份模块370可以包括加密信息,该加密信息可以用于验证设备300的用户的身份和/或促进对所传送的信息进行加密以及针对经由设备300影响的通信向设备300的用户计费。
处理器310可以被配备有被布置为经由设备300内部的电引线从处理器310向设备300中包括的其他设备输出信息的发射器。这样的发射器可以包括例如被布置为经由至少一个电引线向存储器320输出信息以用于存储在其中的串行总线发射器。作为对串行总线的备选,发射器可以包括并行总线发射器。同样地,处理器310可以包括被布置为经由设备300内部的电引线从设备300中包括的其他设备接收处理器310中的信息的接收器。这样的接收器可以包括被布置为例如经由至少一个电引线从接收器340接收信息以用于在处理器310中处理的串行总线接收器。作为对串行总线的备选,接收器可以包括并行总线接收器。
设备300可以包括图3中未示出的另外的设备。例如,在设备300包括智能电话的情况下,它可以包括至少一个数字相机。一些设备300可以包括后置摄像头和前置摄像头,其中后置摄像头可以旨在用于数字摄影,而前置摄像头旨在用于视频电话。设备300可以包括被布置为至少部分认证设备300的用户的指纹传感器。在一些实施例中,设备300缺少至少一个上述设备。例如,一些设备300可能缺少NFC收发器350和/或用户身份模块370。
处理器310、存储器320、发射器330、接收器340、NFC收发器350、UI360和/或用户身份模块370可以以多种不同方式通过设备300内部的电引线互连。例如,前述设备中的每个可以被单独连接到设备300内部的主总线,以允许设备交换信息。然而,如技术人员将理解的,这仅是一个示例,并且取决于实施例,可以在不脱离本发明的范围的情况下选择互连前述装置中的至少两个的各种方式。
图4图示了根据本发明的原理的早期加密的示例实施例。如图2所示,在纵轴上设置有UE110、基站120和节点130。
阶段410至420分别对应于图2的阶段210和220。
阶段430包括从UE110向基站120传输的消息,该消息包括旨在用于在基站120中使用的信息,该信息在具有加密格式的消息中。例如,消息本身可以是RRC连接建立完成消息,但是在各种实施例中,消息可以采用不同的名称。阶段430的消息在UE110与基站120之间的上下文加密尚未激活之前被传输。可以使用早期加密密钥对加密形式的信息进行加密。可以生成早期加密密钥,例如结合UE110与网络的初始附接。例如,可以使用Diffie-Hellman交换生成早期加密密钥。早期加密密钥的使用在根据图4的实施例中提供早期加密。例如,可以在NAS层过程中建立早期加密密钥。作为对NAS过程的备选,可以定义默认完整性/加密算法,并且可以在不在UE与MME之间协商的情况下定义密钥。
图4和5图示了在UE与基站之间定义新的临时安全性的实施例,基站在LTE中是eNB。新的早期加密密钥可以在LTE技术中从UE和MME中的KASME导出,并且MME将在eNB请求时向eNB提供密钥。当eNB将接收早期加密的UE信息时,eNB将请求早期加密密钥。可以将早期加密密钥请求添加到S1上的某个(些)现有消息(诸如例如,INITIAL UE MESSAGE),或者可以创建用于其的新消息。以及,早期加密密钥可以在一些现有消息中被提供给eNB,诸如例如INITIAL CONTEXT SETUP REQUEST,其中也提供KeNB,或者可以定义新消息。然后,eNB可以利用早期加密密钥或从MME接收的早期加密密钥中导出的密钥来解密早期加密的UE信息。除了早期(解密)密钥之外,eNB和UE还可以从早期加密密钥中导出早期完整性保护密钥。早期完整性密钥可以被用于对由UE发送的消息进行完整性保护。这些备选方案的优点在于,不需要将从UE接收的信息发送到MME以进行解密并且返回到eNB以用于使用。通常,安全性方案可以包括完整性保护方案和/或加密方案。例如,加密方案又可以包括早期加密或上下文加密。
在阶段440,基站120结合连接建立过程与节点130通信。在阶段440,基站120请求将早期加密密钥提供给基站120。节点130在阶段450取回、生成或重新生成早期加密密钥,并且在阶段460将其提供给基站120。此外,在阶段460,节点130可以关于连接建立来指导基站120,例如通过提供用于在上下文加密中使用的加密密钥。换言之,阶段460可以包括节点130向基站120提供两个加密密钥,即用于上下文加密的密钥和用于早期加密的密钥。
在阶段470,基站120可以使用早期加密密钥来解密由UE110在阶段430提供的信息,从而以未加密的形式获得信息。
一旦接收到在阶段430中提供的具有未加密形式的信息,基站120可以应用阶段430中的在早期加密下提供的信息。阶段480包括从基站120向UE110传输安全命令,安全命令在上文中描述。阶段490至4120作为技术上下文被提供并且鉴于LTE系统进行描述,然而在不同的通信技术中,这些阶段可以以不同的方式进行。详细地,阶段490可以包括连接重新配置,连接重新配置可以包括根据使用早期加密传送到基站120的信息添加辅小区。阶段490和阶段480可以在相同传输块中传输。阶段4100可以包括安全命令响应,例如安全性模式完成消息,并且阶段4110可以响应于在阶段490中指导的重新配置的完成而包括连接重新配置完成消息。例如,阶段4120可以响应于阶段460的消息传递而包括初始上下文建立响应。通常,例如在上下文加密活动之前,基站120可以被配置为使用在早期加密下提供的信息来重新配置与UE110的连接。
阶段4130包括UE110与网络之间的数据通信,该信息使用此时活动的上下文加密而被保护。
图5图示了根据本发明的原理的早期加密的示例实施例。图5的实施例类似于图4的实施例,因为使用早期加密密钥。阶段510和520分别对应于图4的阶段410和420。
阶段530包括从UE110向基站120传输的消息,该消息包括旨在用于基站120的信息在UE110中是可用的指示。包括该指示的消息不包括该信息本身。该信息可以是需要加密以进行传输的类型,同时在上下文加密活动之前已经对基站120有用。例如,阶段530的消息可以是RRC连接建立完成消息,但是在各种实施例中,该消息可以采用不同的名称。阶段530的消息在UE110与基站120之间的上下文加密尚未激活之前被传输。
响应于阶段530的指示,基站120可以请求从UE110向基站120提供所指示的信息。这种请求在图5中被示出为阶段532。例如,该信息可以包括辅小区测量信息或期望的辅小区配置。阶段540和532可以或多或少同时发生,或者一个在另一个之前或之后发生。由于该信息将使用早期加密从UE110提供,其中基站120请求信息,所以基站120还从节点130请求早期加密密钥。这种请求可以被包括在阶段540中。
可以使用早期加密密钥对具有加密形式的信息进行加密。早期加密密钥可以例如结合UE110与网络的初始附接而被生成。例如,早期加密密钥可以使用Diffie-Hellman交换来生成。早期加密密钥的使用在根据图5的实施例中提供早期加密。
在阶段540,基站120结合连接建立过程与节点130通信。在阶段540,基站120请求将早期加密密钥提供给基站120。节点130在阶段550中取回、生成或重新生成早期加密密钥,并且在阶段560将其提供给基站120。在阶段560,节点130可以关于连接建立指导基站120,例如通过提供用于在上下文加密中使用的加密密钥。换言之,阶段560可以包括节点130向基站120提供两个加密密钥,即用于上下文加密的密钥和用于早期加密的密钥。
在阶段535,UE110可以以加密形式向基站120提供信息,作为对阶段532的请求的响应。在阶段570,基站120可以使用早期加密密钥来解密由UE110在阶段535提供的信息,从而以未加密的形式获得信息。
一旦接收到阶段535中提供的具有未加密的形式的信息,基站可以应用阶段535中的在早期加密下提供的信息。阶段580包括从基站120向UE110传输安全命令,安全命令在上文中描述。阶段590至5120作为技术背景被提供并且鉴于LTE系统进行描述,然而在不同的通信技术中,这些阶段可以以不同的方式进行。详细地,阶段590可以包括连接重新配置,连接重新配置可以包括根据使用早期加密传送到基站120的信息添加辅小区。阶段5100可以包括安全命令响应,例如安全性模式完成消息,并且阶段5110可以响应于在阶段590中指导的重新配置的完成而包括连接重新配置完成消息。例如,阶段5120可以响应于阶段560的消息传递而包括初始上下文建立响应。通常,例如在上下文加密活动之前,基站120可以被配置为使用在早期加密下提供的信息来重新配置与UE110的连接。
阶段5130包括UE110与网络之间的数据通信,该信息使用此时活动的上下文加密而被保护。
图4和图5实施例的优点在于,在基站与节点130之间不传送足够灵敏以需要加密的信息。图5实施例的优点在于,阶段530的消息的大小不增加,因为信息不是自动包含在其中的,并且基站120仅能够在主要情况下有用的情况下请求信息。所描述的安全性方案对于暂停/恢复也是有用的,即,当恢复UE连接时,释放所有辅小区,包括整个辅小区组SCG。因此,当UE请求恢复先前暂停的连接时,它可以指示它还可以根据新的主小区配置利用载波聚合,这可以受益于本发明。所描述的安全性机制还可以与5G或具有空闲到连接转换的其他蜂窝技术一起使用,其中在UE向eNB发送任何测量信息之前需要激活安全性。
图6是根据本发明的至少一些实施例的方法的流程图。所示方法的各阶段可以在基站120中被执行,或者在控制设备中被执行,该控制设备被配置为在被植入其中时控制其功能。
阶段610包括将信息存储在装置中。阶段620包括在第一加密方案的激活之前,在装置中从用户设备接收具有使用第二加密方案加密的形式的信息。阶段630包括获得信息的未加密形式。最后,阶段640包括在第一加密方案被激活之前或之后,使用信息的未加密形式向用户设备提供服务。
图7是根据本发明的至少一些实施例的方法的流程图。所示方法的各阶段可以在UE110中被执行,或者在控制设备中被执行,该控制设备被配置为在被植入其中时控制其功能。
阶段710包括建立将被提供给基站设备的信息。阶段720包括在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的信息向基站设备的传输。最后,阶段730包括在引起信息的传输之后,开始在装置与基站设备之间的通信中使用第一加密方案。
具有示例消息名称和内容的其他示例实施例在图8、9和10中被示出。它们分别是图2、4和5中的实施例的示例。建议在向eNB发送UE特定信息时使用预定义的加密、以及给eNB的、是否需要经由MME来取回密钥信息或解密消息的显式或隐式指示。
具体地,除了正常的NAS消息之外,图8所示的一种可能性是使用在ATTACH时间协商的现有NAS加密密钥,也加密由UE发送的信息。然后,应当将UE信息发送到MME,MME将对其进行解密并且在正常上下文建立过程之前、期间或之后将未加密的消息返回给eNB。
备选地,在图9和10中,可以使用新的临时空闲到连接“ItoC”模式加密方案来加密UE信息,使得在ATTACH时间在UE与MME之间协商密钥。然后,eNB将在接收UE信息时从MME请求密钥,并且不需要将UE信息发送到MME并且将其返回到eNB。
在图8中描绘了使用NAS安全性以用于发送旨在用于eNB的UE信息。在该图中,SCell测量结果或期望/指示/请求的SCell配置(sCellInfo)被用作旨在用于eNB的可能UE信息的示例。可以出于此目的指定新的NAS消息,例如“到eNB的NAS UE信息”消息,其将包含旨在用于eNB的控制信息的容器。在该实施例中,具有容器的新NAS消息在S1上被发送到MME,MME将解密容器的内容并且将解密的UE信息作为下一S1消息(例如,INITIAL CONTEXTSETUP REQUEST消息)的一部分返回给eNB。备选地,可以出于此目的定义新的S1消息。在图中,新的NAS消息作为RRCConnectionSetupComplete消息的一部分通过空中被发送。备选地,可以定义新的RRC消息。这种替代方案的优点是不需要新的安全密钥。现有NAS密钥将被重用。
图9和图10示出了将在UE与eNB之间被定义新的临时安全性的替代方案。新的空闲到连接“ItoC”密钥或早期加密密钥可以从UE和/或MME中的KASME中被导出,并且MME可以在eNB请求时向eNB提供密钥。当eNB将接收加密的UE信息时,eNB将请求ItoC密钥。可以(例如,INITIAL UE MESSAGE)将ItoC密钥请求添加到S1上的某个(些)现有消息,或者可以创建用于其的新消息。并且,新的ItoC密钥KItoC可以在一些现有消息中被提供给eNB,诸如例如INITIAL CONTEXT SETUP REQUEST,其中也提供KeNB,或者可以定义新消息。然后,eNB可以利用从KItoC中导出的密钥来解密UE信息。这些备选方案的优点在于,UE信息不被发送到MME。
在图9中,UE信息在RRCConnectionSetupComplete消息内被提供。
图10图示了备选方案,其中例如由eNB通过UEInformationRequest消息请求UE信息并且使用新的ItoC早期加密在例如UEInformationResponse消息内发送UE信息来请求UE信息。在该备选方案中,UEInformationRequest和UEInformationResponse消息在正常安全性激活之前被发送,即在SecurityModeCommand之前被发送,这在规范的先前版本中是不允许的。可以在没有加密的情况下传输请求本身,因为eNB还没有新的密钥。
该备选方案的优点在于,RRCConnectionSetupComplete消息不会增长太多,仅增长新UE信息的指示。与传统UE信息传输相比,可以通过使用新的ItoC安全性在正常安全性激活之前开始传输。
新的ItoC安全性可以是临时的,并且仅在UE与eNB之间的正常安全性被激活之前被使用。
为了创建ItoC密钥,应当定义UE与MME之间的新NAS级过程,类似于NAS安全性模式命令,或者出于此目的,可以定义默认完整性/加密算法并且可以定义密钥而没有在UE与MME和/或eNB之间进行协商。
新的早期安全性机制也可以被用于具有空闲到连接转换的5G或其他蜂窝技术,其中在UE向eNB发送任何测量信息之前需要激活安全性。
应当理解,所公开的本发明的实施例不限于本文中公开的特定结构、过程步骤或材料,而是延伸至其等同物,如相关领域的普通技术人员将认识到的。还应当理解,本文中采用的术语仅出于描述特定实施例的目的,而不是限制性的。
本说明书中对一个实施例或实施例的引用表示结合该实施例描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。因此,贯穿本说明书在各个地方出现的短语“在一个实施例中”或“在实施例中”不一定都指代同一实施例。在使用术语(诸如例如,大约或基本上)参考数值的情况下,还公开了精确的数值。
如本文中使用的,为方便起见,可以在共同列表中呈现多个项目、结构元素、组成元素和/或材料。但是,这些列表应当被解释为好像列表中的每个成员都被单独标识为独立且独特的成员。因此,不应当仅基于它们在共同组中的呈现而没有相反的指示来将这样的列表中的任何个人成员理解为事实上等同于同一列表中的任何其他成员。另外,本发明的各种实施例和示例可以在本文中与其各种组分的替代物一起提及。应当理解,这些实施例、示例和替代方案不应当被解释为彼此的事实上的等同物,而是应当被视为本发明的单独和自主的表示。
此外,所描述的特征、结构或特性可以在一个或多个实施例中以任何合适的方式被组合。在前面的描述中,提供了很多具体细节,诸如长度、宽度、形状等的示例,以提供对本发明的实施例的透彻理解。然而,相关领域的技术人员将认识到,本发明可以在没有一个或多个具体细节的情况下或者利用其他方法、组件、材料等来实践。在其他情况下,公知的结构、材料或操作未详细示出或描述以避免模糊本发明的各方面。
虽然前述示例在一个或多个特定应用中说明了本发明的原理,但是对于本领域普通技术人员来说很清楚的是,可以在没有运用创新能力并且不脱离本发明的原理和概念的情况下对实现的形式、使用和细节进行多种修改。因此,除了通过下面提出的权利要求之外,并不意图限制本发明。
动词“包括(to comprise)”和“包括(to include)”在本文中用作开放限制,其既不排除也不要求也存在未记载的特征。除非另有明确说明,否则从属权利要求中所述的特征可以相互自由组合。此外,应当理解,在整个该文献中对“一个(a)”或“一个(an)”(即,单数形式)的使用并不排除多个。
工业实用性
本发明的至少一些实施例在增强数据安全性和/或减少启动连接的延迟中找到工业应用。
缩略语列表
5G: 第五代
LTE: 长期演进
MME: 移动性管理实体
NAS: 非接入层
RACH: 随机接入信道
RRC: 无线电资源控制
SCG: 辅小区组
UE: 用户设备
WCDMA: 宽带码分多址
WiMAX: 全球微波接入互操作性
WLAN: 无线局域网
附图标记列表
| 110 | UE(用户设备) |
| 120 | 基站 |
| 130 | 节点 |
| 140 | 网关 |
| 112 | 无线链路 |
| 123、134、141 | 连接 |
| 210-2120 | 图2的方法的阶段 |
| 300-370 | 图3的设备的结构 |
| 410-4130 | 图4的方法的阶段 |
| 510-5130 | 图5的方法的阶段 |
| 610-640 | 图6的方法的阶段 |
| 710-730 | 图7的方法的阶段 |
Claims (43)
1.一种装置,包括:
存储器,所述存储器被配置为存储信息;
至少一个处理核心,所述至少一个处理核心被配置为:
在第一加密方案的激活之前,在所述装置中从用户设备接收具有使用第二加密方案的加密形式的所述信息;
获得所述信息的未加密形式,以及
在所述第一加密方案被激活之前或之后,使用所述信息的所述未加密形式向所述用户设备提供服务。
2.根据权利要求1所述的装置,其中所述装置被配置为在连接建立过程期间处理所述第一加密方案的所述激活的触发。
3.根据权利要求1或2所述的装置,其中所述装置被配置为经由核心网络获得所述信息的所述未加密形式。
4.根据权利要求1或2所述的装置,其中所述装置被配置为至少部分地通过从核心网络请求解密密钥来获得所述信息的所述未加密形式。
5.根据权利要求1至4中任一项所述的装置,其中所述第一加密方案包括接入层AS加密方案。
6.根据权利要求1、2或3中任一项所述的装置,其中所述第二加密方案包括与所述用户设备相关的非接入层NAS加密方案。
7.根据权利要求1、2、3、5和6中任一项所述的装置,其中所述装置被配置为通过向移动性管理实体提供所述信息的所述加密形式、以及通过从所述移动性管理实体接收所述信息的所述未加密形式来获得所述信息的所述未加密形式。
8.根据权利要求1或2所述的装置,其中所述第二加密方案包括在所述核心网络与所述用户设备之间预先协商的加密方案。
9.根据权利要求1或8所述的装置,其中所述装置被配置为从核心网络接收加密密钥、以及解密所述信息,从而获得所述未加密形式。
10.根据权利要求1至9中任一项所述的装置,其中所述信息包括辅小区测量结果和由所述用户设备请求的辅小区配置中的至少一项。
11.根据权利要求1至10中任一项所述的装置,其中所述至少一个处理核心被配置为引起安全命令的传输,所述安全命令包括用以触发所述用户设备与网络之间的所述第一加密方案的激活的指令。
12.根据前述权利要求中任一项所述的装置,其中所述装置被包括在基站设备中。
13.一种装置,所述装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为,与所述至少一个处理核心一起引起所述装置至少:
建立将被提供给基站设备的信息;
在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的所述信息向所述基站设备的传输,以及
在引起所述信息的所述传输之后,开始在所述装置与所述基站设备之间的通信中使用所述第一加密方案。
14.根据权利要求13所述的装置,其中所述信息包括辅小区测量结果和期望的辅小区配置中的至少一项。
15.根据权利要求13或14所述的装置,其中所述装置被配置为响应于由所述基站设备传送的安全命令而开始使用所述第一加密方案,所述安全命令包括用以激活所述第一加密方案的指令。
16.根据权利要求13至15中任一项所述的装置,其中所述装置被配置为结合连接建立进程来引起所述信息的所述传输。
17.根据权利要求13至16中任一项所述的装置,其中所述装置被配置为引起非接入层容器中的所述信息的所述传输。
18.一种装置,所述装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为,与所述至少一个处理核心一起引起所述装置至少:
从基站设备接收初始UE消息;
作为对所述初始UE消息的响应,执行加密操作,以及
作为对所述初始UE消息的响应,引起初始上下文建立请求消息的传输,所述初始上下文建立请求消息包括所述加密操作的输出。
19.根据权利要求18所述的装置,其中所述加密操作包括对所述初始UE消息中存在的信息的解密,并且所述加密操作的所述输出包括解密的信息。
20.根据权利要求18所述的装置,其中所述加密操作包括加密密钥的导出,并且所述加密操作的所述输出包括所述加密密钥,所述加密密钥与KeNB不同。
21.一种方法,包括:
将信息存储在装置中;
在第一加密方案的激活之前,在所述装置中从用户设备接收具有使用第二加密方案的加密形式的所述信息;
获得所述信息的未加密形式,以及
在所述第一加密方案被激活之前或之后,使用所述信息的所述未加密形式向所述用户设备提供服务。
22.根据权利要求21所述的方法,还包括在连接建立过程期间处理所述第一加密方案的所述激活的触发。
23.根据权利要求21或22所述的方法,其中所述信息的所述未加密形式经由核心网络而被获得。
24.根据权利要求21或22所述的方法,其中所述信息的所述未加密形式至少部分地通过从核心网络请求解密密钥而被获得。
25.根据权利要求21至24中任一项所述的方法,其中所述第一加密方案包括接入层AS加密方案。
26.根据权利要求21、22或23中任一项所述的方法,其中所述第二加密方案包括与所述用户设备相关的非接入层NAS加密方案。
27.根据权利要求21、22、23、25和26中任一项所述的方法,其中所述信息的所述未加密形式通过向移动性管理实体提供所述信息的所述加密形式、以及通过从所述移动性管理实体接收所述信息的所述未加密形式来获得。
28.根据权利要求21或22所述的方法,其中所述第二加密方案包括在所述核心网络与所述用户设备之间预先协商的加密方案。
29.根据权利要求21或28所述的方法,还包括从核心网络接收加密密钥,并且解密所述信息以获得所述未加密形式。
30.根据权利要求21至29中任一项所述的方法,其中所述信息包括辅小区测量结果和由所述用户设备请求的辅小区配置中的至少一项。
31.根据权利要求21至30中任一项所述的方法,还包括引起安全命令的传输,所述安全命令包括用以触发所述用户设备与网络之间的所述第一加密方案的激活的指令。
32.根据权利要求21至31中任一项所述的方法,其中所述方法在基站设备中被执行。
33.一种方法,包括:
建立将被提供给基站设备的信息;
在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的所述信息向所述基站设备的传输,以及
在引起所述信息的所述传输之后,开始在所述装置与所述基站设备之间的通信中使用所述第一加密方案。
34.根据权利要求33所述的方法,其中所述信息包括辅小区测量结果和期望的辅小区配置中的至少一项。
35.根据权利要求33或34所述的方法,其中所述第一加密方案的使用响应于由所述基站设备传送的安全命令而开始,所述安全命令包括用以激活所述第一加密方案的指令。
36.根据权利要求33至35中任一项所述的方法,其中结合连接建立进程,所述信息被引起传输。
37.一种方法,包括:
从基站设备接收初始UE消息;
作为对所述初始UE消息的响应,执行加密操作,以及
作为对所述初始UE消息的响应,引起初始上下文建立请求消息的传输,所述初始上下文建立请求消息包括所述加密操作的输出。
38.一种装置,包括:
用于将信息存储在装置中的部件;
用于在第一加密方案的激活之前,在所述装置中从用户设备接收具有使用第二加密方案的加密形式的所述信息的部件;
用于获得所述信息的未加密形式的部件,以及
用于在所述第一加密方案被激活之前或之后,使用所述信息的未加密形式向所述用户设备提供服务的部件。
39.一种装置,包括:
用于建立将被提供给基站设备的信息的部件;
用于在第一加密方案的激活之前,引起具有使用第二加密方案的加密形式的所述信息向所述基站设备的传输的部件,以及
用于在引起所述信息的所述传输之后,开始在所述装置与所述基站设备之间的通信中使用所述第一加密方案的部件。
40.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质具有存储于其上的计算机可读指令集合,所述计算机可读指令集合在由至少一个处理器执行时引起装置至少:
将信息存储在装置中;
在第一加密方案的激活之前,在所述装置中从用户设备接收具有使用第二加密方案的加密形式的所述信息;
获得所述信息的未加密形式,以及
在所述第一加密方案被激活之前或之后,使用所述信息的所述未加密形式向所述用户设备提供服务。
41.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质具有存储于其上的计算机可读指令集合,所述计算机可读指令集合在由至少一个处理器执行时引起装置至少:
在装置中建立将被提供给基站设备的信息;
在第一加密方案的激活之前,引起具有使用第二加密方案加密的形式的所述信息向所述基站设备的传输,以及
在引起所述信息的所述传输之后,开始在所述装置与所述基站设备之间的通信中使用所述第一加密方案。
42.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质具有存储于其上的计算机可读指令集合,所述计算机可读指令集合在由至少一个处理器执行时引起装置至少:
从基站设备接收初始UE消息;
作为对所述初始UE消息的响应,执行加密操作,以及
作为对所述初始UE消息的响应,引起初始上下文建立请求消息的传输,所述初始上下文建立请求消息包括所述加密操作的输出。
43.一种计算机程序,所述计算机程序被配置为引起根据权利要求21至37中的至少一项所述的方法被执行。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/FI2016/050574 WO2018037149A1 (en) | 2016-08-22 | 2016-08-22 | Security procedure |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109791590A true CN109791590A (zh) | 2019-05-21 |
Family
ID=61245520
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680089649.2A Pending CN109791590A (zh) | 2016-08-22 | 2016-08-22 | 安全性过程 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11275852B2 (zh) |
| EP (1) | EP3501234A4 (zh) |
| CN (1) | CN109791590A (zh) |
| WO (1) | WO2018037149A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11252561B2 (en) * | 2017-06-26 | 2022-02-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Refreshing a security context for a mobile device |
| ES2935640T3 (es) | 2018-02-15 | 2023-03-08 | Nokia Technologies Oy | Métodos y aparatos para activación más rápida de radiofrecuencia |
| US11419153B2 (en) * | 2018-02-15 | 2022-08-16 | Lg Electronics Inc. | Method and apparatus for early data transmission |
| WO2020212202A1 (en) * | 2019-04-15 | 2020-10-22 | Nokia Technologies Oy | Counteractions against suspected identity imposture |
| EP4024958A4 (en) * | 2019-09-16 | 2022-08-17 | Huawei Technologies Co., Ltd. | DATA TRANSMISSION METHOD AND DEVICE |
| WO2021212304A1 (en) * | 2020-04-21 | 2021-10-28 | Qualcomm Incorporated | Recovery from a problematic cell |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080039096A1 (en) * | 2006-03-28 | 2008-02-14 | Nokia Corporation | Apparatus, method and computer program product providing secure distributed HO signaling for 3.9G with secure U-plane location update from source eNB |
| CN101272621A (zh) * | 2007-03-19 | 2008-09-24 | 华为技术有限公司 | 用户设备能力信息传输方法、用户设备及网络设备 |
| CN101336554A (zh) * | 2006-01-04 | 2008-12-31 | 诺基亚公司 | 安全分配的切换信令 |
| CN101378591A (zh) * | 2007-08-31 | 2009-03-04 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| US20110300828A1 (en) * | 2009-02-16 | 2011-12-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Un-ciphered network operation solution |
| US20160029211A1 (en) * | 2013-05-16 | 2016-01-28 | Fujitsu Limited | Terminal device, communication system, and terminal device readable storage medium |
| KR101625037B1 (ko) * | 2015-11-23 | 2016-05-27 | 주식회사 엘앤제이테크 | Lte 망 초기 접속 구간에서 ue 식별 파라미터의 암호화 방법 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2509345A1 (en) * | 2011-04-05 | 2012-10-10 | Panasonic Corporation | Improved small data transmissions for machine-type-communication (MTC) devices |
| US10064221B2 (en) | 2012-03-14 | 2018-08-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Determining a transition of a terminal between its idle state and its connected state |
| GB2514357A (en) * | 2013-05-20 | 2014-11-26 | Nec Corp | Communications system |
| CN106465106B (zh) * | 2014-05-02 | 2020-02-14 | 皇家Kpn公司 | 用于从无线电接入网络提供安全性的方法和系统 |
| US9820184B2 (en) * | 2014-09-23 | 2017-11-14 | Qualcomm Incorporated | Methods and apparatus for secure connectionless uplink small data transmission |
| US9998449B2 (en) * | 2014-09-26 | 2018-06-12 | Qualcomm Incorporated | On-demand serving network authentication |
| US10362011B2 (en) * | 2015-07-12 | 2019-07-23 | Qualcomm Incorporated | Network security architecture |
| EP3664487B1 (en) * | 2015-09-14 | 2022-10-05 | Telefonaktiebolaget LM Ericsson (publ) | Radio access nodes and terminal devices in a communication network |
| EP3386265B1 (en) * | 2015-12-04 | 2021-07-21 | LG Electronics Inc. | Method and apparatus for transmitting ue id in wireless communication system |
| CN108476131B (zh) * | 2015-12-31 | 2021-02-12 | 华为技术有限公司 | 数据传输方法、装置和设备 |
| WO2017117807A1 (en) * | 2016-01-08 | 2017-07-13 | Nokia Technologies Oy | User plane optimization for narrowband internet of things |
| CN108702288B (zh) * | 2016-03-01 | 2021-04-09 | 华为技术有限公司 | 数据传输方法、设备及系统 |
| US10728748B2 (en) * | 2016-03-24 | 2020-07-28 | Motorola Mobility Llc | Method and device for establishing a peer-to-peer connection in a mobile communication network |
| KR102358918B1 (ko) * | 2016-07-04 | 2022-02-07 | 삼성전자 주식회사 | 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치 |
-
2016
- 2016-08-22 EP EP16914096.9A patent/EP3501234A4/en not_active Withdrawn
- 2016-08-22 WO PCT/FI2016/050574 patent/WO2018037149A1/en active Application Filing
- 2016-08-22 CN CN201680089649.2A patent/CN109791590A/zh active Pending
- 2016-08-22 US US16/327,146 patent/US11275852B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101336554A (zh) * | 2006-01-04 | 2008-12-31 | 诺基亚公司 | 安全分配的切换信令 |
| US20080039096A1 (en) * | 2006-03-28 | 2008-02-14 | Nokia Corporation | Apparatus, method and computer program product providing secure distributed HO signaling for 3.9G with secure U-plane location update from source eNB |
| CN101272621A (zh) * | 2007-03-19 | 2008-09-24 | 华为技术有限公司 | 用户设备能力信息传输方法、用户设备及网络设备 |
| CN101378591A (zh) * | 2007-08-31 | 2009-03-04 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| US20110300828A1 (en) * | 2009-02-16 | 2011-12-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Un-ciphered network operation solution |
| US20160029211A1 (en) * | 2013-05-16 | 2016-01-28 | Fujitsu Limited | Terminal device, communication system, and terminal device readable storage medium |
| KR101625037B1 (ko) * | 2015-11-23 | 2016-05-27 | 주식회사 엘앤제이테크 | Lte 망 초기 접속 구간에서 ue 식별 파라미터의 암호화 방법 |
Non-Patent Citations (3)
| Title |
|---|
| EVENTHELIX.COM INC: "S1AP View of LTE Attach & EPS Bearer Setup", 《HTTP://WWW.EVENTHELIX.COM/LTE/ATTACH/S1AP-LTE-ATTACH-EPS-BEARER-SETUP.PDF》 * |
| NETMANIAS: "LTE Security I: LTE Security Concept and LTE Authentication", 《NETMANIAS TECHNICAL DOCUMENT, NMC CONSULTING GROUP》 * |
| SUNDAYGEEK: "6-LTE Security II: NAS and AS Security", 《CSDN》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3501234A4 (en) | 2020-04-01 |
| US20190215686A1 (en) | 2019-07-11 |
| EP3501234A1 (en) | 2019-06-26 |
| US11275852B2 (en) | 2022-03-15 |
| WO2018037149A1 (en) | 2018-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109791590A (zh) | 安全性过程 | |
| EP3735787B1 (en) | System and method for end-to-end secure communication in device-to-device communication networks | |
| US20210136048A1 (en) | System and Method for Secure Remote Control of a Medical Device | |
| CN103477602B (zh) | 用于提供秘密委托的方法和设备 | |
| CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
| CN109995513A (zh) | 一种低延迟的量子密钥移动服务方法 | |
| WO2019153994A1 (zh) | 安全协商方法及装置 | |
| CN107852600A (zh) | 具有简化的移动性过程的网络架构和安全 | |
| CN108353275A (zh) | 被代理设备的安全性 | |
| CN104641617A (zh) | 一种密钥交互方法及装置 | |
| CN108347420A (zh) | 一种网络密钥处理的方法、相关设备及系统 | |
| CN108141744A (zh) | 多个电子订户身份模块(eSIM)实例的实例化 | |
| CN105814859B (zh) | 一种网络配置方法、相关装置及系统 | |
| EP3108633B1 (en) | Key management | |
| WO2016161583A1 (zh) | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 | |
| CN104010297B (zh) | 无线终端配置方法及装置和无线终端 | |
| CN110249589A (zh) | 一种通信方法及设备 | |
| CN101917711A (zh) | 一种移动通信系统及其语音通话加密的方法 | |
| CN112566113B (zh) | 密钥生成以及终端配网方法、装置、设备 | |
| WO2022222152A1 (zh) | 联邦学习方法、联邦学习系统、第一设备和第三设备 | |
| CN107295507A (zh) | 一种专网接入方法、装置及系统 | |
| CN108781110A (zh) | 用于通过通信网络中继数据的系统和方法 | |
| CN103582169B (zh) | 多层网络连线通信系统、智能终端装置及其通信方法 | |
| CN103905389B (zh) | 基于中继设备的安全关联、数据传输方法及装置、系统 | |
| CN107211265A (zh) | 一种终端间的安全交互方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190521 |