ES2626666T3 - Método y sistema de generación para identificador de identidad de claves durante la transferencia del dispositivo de usuario - Google Patents

Método y sistema de generación para identificador de identidad de claves durante la transferencia del dispositivo de usuario Download PDF

Info

Publication number
ES2626666T3
ES2626666T3 ES08874669.8T ES08874669T ES2626666T3 ES 2626666 T3 ES2626666 T3 ES 2626666T3 ES 08874669 T ES08874669 T ES 08874669T ES 2626666 T3 ES2626666 T3 ES 2626666T3
Authority
ES
Spain
Prior art keywords
key
ksiasme
sgsn
message
mme
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08874669.8T
Other languages
English (en)
Inventor
Xuwu Zhang
Lu Gan
Qing Huang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Application granted granted Critical
Publication of ES2626666T3 publication Critical patent/ES2626666T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/12Reselecting a serving backbone network switching or routing node

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método para la generación de un identificador de identidad de claves cuando un equipo de usuario, UE, se transfiere, que incluye las siguientes etapas: cuando un UE se transfiere desde una red de acceso por radio terrestre, EUTRAN, de un sistema universal de telecomunicaciones móviles evolucionado, UMTS, a un sistema objetivo, una entidad de gestión de la movilidad, MME, del EUTRAN, enviar un identificador de identidad de una clave de la entidad de la gestión de seguridad de acceso, KASME, KSIASME, a un nodo de soporte, SGSN, del servicio general de paquetes vía radio, GPRS, en servicio, del sistema objetivo (A1, B1), y mapear tanto el SGSN como el UE el KSIASME en un identificador de identidad de claves del sistema objetivo; en el que el mapeado del KSIASME en un identificador de conjunto de claves, KSI, cuando el sistema objetivo es una red de acceso por radio terrestre UMTS, UTRAN (A2, A3) y el mapeado del KSIASME en un número de secuencia de clave de cifrado, CKSN, cuando el sistema objetivo es una red de acceso por radio GERAN (B2, B3), GPRS/tasas de datos mejoradas para la evolución de GSM, EDGE, en el que, la MME del EUTRAN que envía el KSIASME, al SGSN del sistema objetivo, comprende: generar la MME una clave de integridad, IK, y una clave de cifrado, CK, basándose en la KASME y enviar el KSIASME junto con la IK y la CK que se generaron a partir de la KASME al SGSN (A1, B1).

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo y sistema de generacion para identificador de identidad de claves durante la transferencia del dispositivo de usuario
Campo tecnico
La presente invencion se refiere al campo de las telecomunicaciones moviles, particularmente a un metodo y sistema para la generacion de un identificador de identidad de claves cuando se transfiere un equipo de usuario.
Antecedentes
Cuando un equipo de usuario (UE) se transfiere entre diferentes sistemas de acceso en un sistema de telecomunicaciones moviles, se requiere que se mapeen parametros de seguridad de una red de servicios de origen a aquellos capaces de ser reconocidos y usados por una red de servicio objetivo, de modo que el UE pueda transferirse con exito y desarrollar los servicios. Estos parametros de seguridad incluyen una clave, un identificador de clave, un contador, un algoritmo de seguridad, etc.
Un sistema de paquetes evolucionado 3GPP (EPS) consiste en una red de acceso por radio terrestre UMTS evolucionada (eUtRaN) y una red del nucleo de paquetes evolucionado (EPC).
En el que la red EPC comprende una entidad de gestion de la movilidad (MME), que es la responsable de las tareas relacionadas con una superficie de control, por ejemplo, la gestion de la movilidad, procesamiento de una senalizacion del estrato de no acceso, y la gestion del modo de seguridad en el lado de usuario, etc.; en el que la MME almacena una clave rafz Kasme (clave de la entidad de gestion de la seguridad de acceso) del EUTRAn, y genera una clave rafz KeNB (clave del eNB) de un estrato de acceso para un nodo B (eNB) evolucionado basado en la Kasme y un numero de secuencia del estrato de no acceso (NAS SQN) del enlace ascendente. Un identificador de conjunto de claves para la entidad de gestion de la seguridad de acceso (KSIasme) es un identificador de identidad (o numero de secuencia de clave) de la Kasme, y el KSIasme tiene 3 bits de longitud y se usa para la identificacion y recuperacion de una clave entre una red y un equipo de usuario (UE). Cuando se conecta el UE con la red, de acuerdo con el KSIasme, puede notificarse a una parte opuesta para el uso de una clave especificada que se ha almacenado para establecer un contexto de seguridad sin necesidad de autenticacion y asociacion de clave (AKA), pueden ahorrarse asf recursos de la red. Cuando se necesita borrar la clave debido a la finalizacion de su vida util o por otras causas, el KSIasme se fija a “111” por el UE.
En el que el dispositivo de estacion base en el EUTRAN es un nodo B evolucionado (eNB), y es responsable principalmente de las comunicaciones de radio, gestion de la comunicacion de radio y gestion del contexto de movilidad.
En el sistema universal de telecomunicaciones moviles (UMTS) 3GPP, un nodo de soporte GPRS en servicio (SGSN) es un dispositivo responsable de la gestion del contexto de movilidad en el dominio de paquetes y/o la gestion del modo de seguridad en el lado del usuario. El SGSN es responsable tambien de la autenticacion y gestion de la seguridad de una red de acceso por radio terrestre universal (UTRAN) en el UMTS, y del almacenamiento de una clave de integridad (IK) y una clave de cifrado (CK). Un identificador de identidad de claves de las CK/IK es un identificador del conjunto de claves (KSI) cuya funcion y uso son similares a los del KSIasme en el EPS, ambos se usan para identificacion y recuperacion de claves entre un UE y una red, y el KSI tiene 3 bits de longitud. Cuando el KSI es igual a 111, significa que no hay clave utilizable y el KSI no es valido. Cuando es necesario que el UE y el SGSN establezcan una conexion de seguridad UMTS a traves de la asociacion de claves, si se ha almacenado una clave utilizable en el UE, entonces el UE envfa el KSI almacenado al SGSN que verifica si el KSI almacenado es identico al KSI almacenado en el UE, si es asf, entonces se usa un conjunto de claves almacenado para establecer un contexto de seguridad a traves de la asociacion de claves y el KSI es enviado de vuelta al UE para confirmar la clave que usa el UE; si no hay clave utilizable almacenada en el UE, entonces el KSI se establece en 111 y se envfa al SGSN, y el SGSN, tras detectar que el KSI esta a 111, envfa una mensaje de solicitud de autenticacion al registro de localizacion local (HLR)/servidor de abonado local (HSS), y el UE y la red realizan un AKA durante una segunda vez y generan un nuevo conjunto de claves.
El SGSN es tambien un dispositivo responsable de la gestion del contexto de movilidad en el dominio de paquetes y/o gestion del modo de seguridad en el lado usuario en un sistema del servicio general de paquetes via radio (GPRS)/ tasas de datos mejoradas para la evolucion del GSM (EDGE). El SGSN es el responsable de la autenticacion y gestion de la seguridad de una red de acceso por radio GPRS/EDGE (GERAN), y para el almacenamiento de una clave de cifrado (Kc) del GERAN; un identificador de identidad (o identificador de identidad de claves) del Kc es un numero de secuencia de clave de cifrado (CKSN) cuya funcion y uso son las mismas que las del KSI.
Cuando un UE se transfiere desde EUTRAN a un UTRAN, una MME genera una CK y una IK para una red de servicio objetivo basandose en una Kasme, y envfa la CK y la IK a un SGSN, a continuacion el UE y el SGSN usan la
5
10
15
20
25
30
35
40
45
50
55
60
65
CK y la IK para establecer un contexto de seguridad UTRAN mediante la negociacion de los algoritmos de seguridad correspondientes; hay dos tipos de transferencias, que incluyen la transferencia cuando el RRC (control de recursos de radio) esta en un estado activo y una transferencia cuando el UE esta en un estado inactivo, en el que el primero incluye conmutacion, etc., y el ultimo incluye una solicitud de actualizacion del area de ruta, solicitud de adicion del area de ruta, etc.
Cuando el UE se transfiere a GERAN desde el EUTRAN, la MME genera una CK y una IK basandose en la Kasme (cuyo metodo es el mismo que el de la transferencia a UMTS), y envfa la CK y la IK a un SGSN. El SGSN genera una Kc del GERAN basandose en la IK y la CK.
En la tecnica anterior, un KSIasme, un KSI y un CKSN se generan todos por un lado de red durante la autenticacion, y se envfan a un UE a traves de un mensaje de solicitud de autenticacion. En un proceso de transferencia desde un EUTRAN a un UTRAN o un GERAN, aunque una MME genere una IK y una Ck necesarias por el UTRAN o el GERAN para una red de servicio objetivo, no se genera ningun identificador de identidad correspondiente al par de claves, despues de la finalizacion de la transferencia el UE y el SGSN no son capaces de recuperar las claves generadas durante la transferencia y, por lo tanto, no puede usar el par de claves. Cuando el UE y la red necesitan restablecer un control de recursos de radio (RRC) u otras conexiones, han de ser generadas nuevas claves a traves de un AKA antes de establecer una conexion de radio, debido a que no pueden usarse esas claves almacenadas. Esto incrementa indudablemente la sobrecarga de senalizacion tanto de la red como del UE y retarda el tiempo de comunicacion normal entre el UE y la red, dando como resultado un deterioro de la satisfaccion del usuario.
El documento EP 1 841 267 A2 explica un sistema y metodo para la optimizacion de un procedimiento de autenticacion durante traspasos del sistema entre accesos.
El documento 3GPP TS 33.401 v2.0.0 (2008-05) explica una evolucion de la arquitectura del sistema (SAE) 3GPP. Sumario
La presente invencion se dirige principalmente a proporcionar un metodo y sistema para la generacion de un identificador de identidad de claves cuando se transfiere un equipo de usuario, que sea capaz de resolver el problema de la tecnica anterior en la que una clave mapeada desde una Kasme en un proceso de transferencia no tiene identificador de identidad despues de que un equipo de usuario se transfiera desde un EUTRAN a un UTRAN o un GERAN.
La presente invencion se dirige a una materia objeto tal como se divulga en las reivindicaciones adjuntas.
El esquema tecnico de la presente invencion puede proporcionar una clave con un identificador de identidad en un proceso de transferencia, para reutilizar una clave generada a partir de una Kasme, resolviendo de ese modo el problema de que la clave generada a partir de la Kasme no puede reutilizarse debido a una carencia de un identificador de identidad cuando un UE se transfiere desde un EUTRAN a otro sistema, reduciendo asf la senalizacion interactiva entre el UE y la red.
Breve descripcion de los dibujos
Los dibujos a ser descritos en el presente documento se usan para facilitar una comprension adicional y constituyen parte de la presente solicitud. Los ejemplos de implementacion de la presente invencion y la descripcion de la misma se usan para explicacion de la presente invencion, y no deberan interpretarse como una limitacion inapropiada de la presente invencion. En los dibujos,
La Fig. 1 es un diagrama esquematico que ilustra un metodo para la generacion de un KSI cuando un UE se transfiere desde un EUTRAN a un UTRAN en la presente invencion;
La Fig. 2 es un diagrama esquematico que ilustra un metodo para la generacion de un KSI cuando un UE se transfiere desde un EUTRAN a un GERAN en la presente invencion;
La Fig. 3 es un diagrama de flujo de senalizacion de la realizacion del Ejemplo de Aplicacion Uno del metodo en la presente invencion;
La Fig. 4 es un diagrama de flujo de senalizacion de la realizacion del Ejemplo de Aplicacion Dos del metodo en la presente invencion;
La Fig. 5 es un diagrama de flujo de senalizacion de la realizacion del Ejemplo de Aplicacion Tres del metodo en la presente invencion;
La Fig. 6 es un diagrama de flujo de senalizacion de la realizacion del Ejemplo de Aplicacion Cuatro del metodo en la presente invencion;
5
10
15
20
25
30
35
40
45
50
55
60
65
La Fig. 7 es un diagrama de flujo de senalizacion de la realizacion del Ejemplo de Aplicacion Cinco del metodo en la presente invencion;
La Fig. 8 es un diagrama de flujo de senalizacion de la realizacion del Ejemplo de Aplicacion Seis del metodo en la presente invencion;
Descripcion detallada
El esquema tecnico de la invencion se describira adicionalmente en detalle basandose en los dibujos y realizaciones.
Un metodo para la generacion de un identificador de identidad de claves cuando un UE se transfiere en la presente invencion incluye las siguientes etapas:
cuando un UE se transfiere desde un EUTRAN a un sistema objetivo, una MME envfa un identificador de identidad de una Kasme (KSIasme) a un SGSN, y tanto el SGSN como el UE mapean el KSIasme en un identificador de identidad de claves del sistema objetivo.
En el que el metodo de mapeado puede incluir las siguientes etapas: asignar directamente del KSIasme al identificador de identidad de claves del sistema objetivo, asignar directamente de la suma del KSIasme y una constante al identificador de identidad de claves del sistema objetivo; y
el SGSN y el UE acuerdan sobre el metodo de mapeado y la constante.
En el que el metodo de mapeado incluye tambien la siguiente etapa: el UE y el SGSN almacenan el identificador de identidad de claves del sistema objetivo adquirido a partir del mapeado conjunto con la clave del sistema objetivo generada a partir de la Kasme.
En el que la suma del KSIasme y la constante no puede ser 111, en caso contrario, se alterara de acuerdo con el acuerdo entre el UE y el SGSN, por ejemplo mediante su sustitucion con un siguiente valor 000 u otro valor.
En el que si el UE y el SGSN han acordado acerca de una clave antes de la transferencia y el identificador de identidad de claves almacenado en el sistema objetivo es el mismo que el identificador de identidad de claves del sistema objetivo mapeado desde el KSIasme durante la transferencia, entonces se borra la clave almacenada antes de la transferencia.
En el que la transferencia del UE desde el EUTRAN a otros sistemas de acceso por radio significa la transferencia del UE a un sistema UTRAN o un sistema GERAN; y hay dos tipos de transferencia: transferencia inactiva y conmutacion.
Cuando un UE se transfiere en un estado inactivo desde el EUTRAN a un UTRAN, el metodo de generacion, tal como se muestra en la Fig. 1, comprende las siguientes etapas espedficas:
A1: despues de recibir un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion, una MME genera una IK y una CK basandose en la Kasme y envfa el KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion;
A2: despues de la recepcion del KSIasme, la IK y la CK desde la MME, el SGSN mapea el KSIasme en un KSI, y almacena el KSI, la IK y la CK conjuntamente; y el SGSN envfa un mensaje de indicacion de finalizacion del mapeado del KSI al UE; y
A3: el UE mapea el KSIasme en un KSI, es decir, asignando el valor del KSIasme al KSI: KSI = KSIasme, y almacena el kSi junto con la IK y la CK que se generan a partir de la Kasme.
Adicionalmente, se incluye la siguiente etapa antes de la etapa A1:
A0: el UE decide transferirse a un UTRAN en un estado inactivo, y envfa al SGSN un mensaje de solicitud de transferencia inactiva al UTRAN, en el que el mensaje de solicitud es un mensaje de solicitud de actualizacion del area de ruta o un mensaje de solicitud de adicion del area de ruta; despues de la recepcion del mensaje de solicitud de transferencia inactiva al UTRAN que se envfa desde el UE, el SGSN envfa un mensaje de solicitud correspondiente a la MME.
Adicionalmente, en correspondencia, en la etapa A2, el mensaje de indicacion de finalizacion del mapeado del KSI enviado por el SGSN es un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta.
5
10
15
20
25
30
35
40
45
50
55
60
65
Adicionalmente, la etapa A3 puede tener lugar en cualquier etapa despues de que el UE decida transferirse al UTRAN en un estado inactivo y antes de que el UE envfe un mensaje de finalizacion de actualizacion del area de ruta o mensaje de finalizacion de adicion del area de ruta correspondiente al SGSN.
Cuando el UE conmuta desde el EUTRAN a un UTRAN, las etapas espedficas del metodo de generacion son como sigue:
a1: despues de la recepcion de un mensaje de solicitud de conmutacion, la MME genera una IK y una CK basandose en la Kasme, y envfa el KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de solicitud de envfo y redireccion;
a2: tras la recepcion del KSIasme, la IK y la CK desde la MME, el SGSN mapea el KSIasme en un KSI, y almacena el KSI, la IK y la CK juntas; el SGSN envfa un mensaje de respuesta de envfo y redireccion de indicacion de finalizacion del mapeado del KSI a la MME; y la MME envfa una orden de conmutacion para dar instrucciones al UE para conmutar; y
a3: despues de la recepcion de la orden de conmutacion desde la red, el UE mapea el KSIasme en un KSI, y almacena el KSI junto con la IK y la CK que se generan a partir de la Kasme.
El metodo mencionado anteriormente para la generacion de un KSI mapea un valor de un KSIasme en el EUTRAN en un valor de un KSI en el UTRAN, y garantiza que el KSI adquirido a traves de mapeado y un numero de secuencia de clave previamente almacenado no se repiten, resolviendo asf el problema de la tecnica anterior en la que una IK y una CK adquiridas a traves de un mapeado no pueden reutilizarse debido a una carencia de identificadores de identidad cuando un UE se transfiere desde un EUTRAN a un UTRAN.
Cuando el UE se transfiere en un estado inactivo desde el EUTRAN a un GERAN, el metodo de generacion, tal como se muestra en la Fig. 2, comprende las etapas espedficas como sigue:
B1: despues de recibir un mensaje de solicitud de contexto o de solicitud de identificacion, la MME genera una IK y una CK basandose en la Kasme y envfa el KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion;
B2: despues de la recepcion del KSIasme, la IK y la CK desde la MME, el SGSN genera una Kc basandose en la IK y la CK, mapea el KSIasme en un CKSN, y almacena el CKSN junto con la Kc generada a partir de la IK y la CK; y el SGSN envfa al UE un mensaje de indicacion de finalizacion del mapeado del CKSN; y
B3: el UE mapea el KSIasme en un CKSN, y almacena el CKSN junto con la Kc generada a partir de la Kasme.
Adicionalmente, se incluye la siguiente etapa antes de la etapa B1:
B0: el UE decide transferir a un GERAN en un estado inactivo, y envfa al SGSN un mensaje de solicitud de transferencia inactiva al UTRAN, en el que el mensaje de solicitud es un mensaje de solicitud de actualizacion del area de ruta o un mensaje de solicitud de adicion del area de ruta; despues de la recepcion del mensaje de solicitud de transferencia inactiva al UTRAN que se envfa desde el UE, el SGSN envfa un mensaje de solicitud correspondiente a la MME.
En correspondencia, en la etapa B2, el mensaje de indicacion de finalizacion del mapeado del CKSN enviado por el SGSN es un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta.
Adicionalmente, la etapa B3 puede tener lugar en cualquier paso despues de que el UE decida transferirse al GERAN en un estado inactivo y antes de que el UE envfe un mensaje de conmutacion correspondiente al lado de red.
Cuando el UE conmuta desde el EUTRAN a un GERAN, las etapas espedficas del metodo de generacion son como sigue:
b1: tras la recepcion de un mensaje de solicitud de conmutacion, la MME genera una IK y una CK basandose en la Kasme, y envfa el KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de solicitud de envfo y redireccion;
b2: tras la recepcion del KSI, la IK y la CK desde la MME, el SGSN genera una Kc basandose en la IK y la CK, mapea el KSIasme en un CKSN, y almacena el CKSN junto con la Kc generada a partir de la IK y la CK; el SGSN envfa un mensaje de indicacion de finalizacion del mapeado del CKSN a la MME; y la MME envfa una orden de conmutacion para dar instrucciones al UE para conmutar; y
5
10
15
20
25
30
35
40
45
50
55
60
65
b3: despues de la recepcion de la orden de conmutacion desde la red, el UE mapea el KSIasme en un CKSN, y almacena el CKSN junto con la Kc generada a partir de la Kasme.
El metodo mencionado anteriormente para la generacion de un KSI mapea un valor de un KSIasme en un valor de un CKSN, y garantiza que el CKSN y un numero de secuencia de clave previamente almacenado no se repiten, resolviendo asf el problema de la tecnica anterior en la que una Kc adquirida a traves de un mapeado no puede reutilizarse debido a una carencia de identificadores de identidad cuando un UE se transfiere desde un EUTRAN a un GERAN.
Un sistema para la generacion de un identificador de identidad de claves cuando un UE transfiere en la presente invencion incluye un UE, una MME y un SGSN;
la MME se usa para el envfo de un KSIasme al SGSN cuando el UE se transfiere desde un EUTRAN a un sistema objetivo; y
tanto el SGSN como el UE se usan para mapeado del KSIasme en un identificador de identidad de claves del sistema objetivo;
en el que el SGSN/UE puede realizar el mapeado en el siguiente metodo: asignar directamente del KSIasme al identificador de identidad de claves del sistema objetivo, o asignar directamente de la suma del KSIasme y una constante al identificador de identidad de claves del sistema objetivo; el SGSN y el UE acuerdan sobre el metodo de mapeado y la constante.
En el que el SGSN y el UE se usan tambien para almacenamiento del identificador de identidad de claves del sistema objetivo generado durante el mapeado junto con la clave del sistema objetivo generada a partir de la Kasme.
En el que la suma del KSIasme y la constante no puede ser 111, en caso contrario, puede alterarse en consonancia con el acuerdo entre el UE y el SGSN, por ejemplo sustituyendole con un siguiente valor 000 u otro valor.
El UE y el SGSN se usan tambien para borrar una clave almacenada antes de la transferencia cuando el UE y el SGSN han acordado acerca de una clave antes de la transferencia y el identificador de identidad de claves del sistema objetivo almacenado es el mismo que el identificador de identidad de claves del sistema objetivo mapeado desde el KSIasme durante la transferencia.
En el que la transferencia del UE desde el EUTRAN a otro sistema de acceso por radio significa la transferencia del UE a un sistema UTRAN o un sistema GERAN; y hay dos tipos de transferencia: transferencia inactiva y conmutacion.
En el que el UE consiste en una unidad de interaccion del mensaje, una unidad de mapeado del identificador de clave y una unidad de almacenamiento de claves e identificador de claves;
la unidad de interaccion del mensaje se usa para la recepcion de un mensaje desde un lado de red; la unidad de mapeado del identificador de claves se usa para mapeado del KSIasme en el identificador de identidad de claves del sistema objetivo cuando la unidad de interaccion del mensaje recibe una orden de conmutacion, un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta, el mapeado del KSIasme en un KSI cuando el sistema objetivo es un UTRAN, y el mapeado del KSIasme en un CKSN cuando el sistema objetivo es un GERAN; y
la unidad de almacenamiento de claves e identificador de claves se usa para almacenar una clave de un sistema objetivo y un identificador de identidad de claves del sistema objetivo conjuntamente.
La MME consiste en una unidad de recepcion del mensaje de solicitud y una unidad de procesamiento del parametro de seguridad;
la unidad de recepcion del mensaje de solicitud se usa para la recepcion de mensajes de solicitud de transferencia desde otras entidades de red e instruir a la unidad de procesamiento del parametro de seguridad para procesar estos mensajes; si el mensaje de solicitud de transferencia es un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion, entonces la unidad de recepcion del mensaje de solicitud envfa una primera instruccion de procesamiento a la unidad de procesamiento del parametro de seguridad; si el mensaje de solicitud de transferencia es un mensaje de solicitud de conmutacion, entonces la unidad de recepcion del mensaje de solicitud envfa una segunda instruccion de procesamiento a la unidad de procesamiento del parametro de seguridad; y
la unidad de procesamiento del parametro de seguridad se usa para generar una CK y una IK basandose en la Kasme y el envfo del KSIasme junto con la IK y la CK que se han generado a partir de la Kasme al SGSN despues de la recepcion de una instruccion desde la unidad de recepcion del mensaje de solicitud; si la instruccion es la primera instruccion de procesamiento, entonces la unidad de procesamiento del parametro de seguridad envfa el KSIasme junto con la IK y la CK que se han generado a partir de la Kasme al SGSN a traves de un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion; y si la instruccion es la segunda instruccion de procesamiento, entonces la unidad de procesamiento del parametro de seguridad envfa el KSIasme junto con
5
10
15
20
25
30
35
40
45
50
55
60
65
la IK y la CK que se han generado a partir de la Kasme al SGSN a traves de un mensaje de solicitud de envfo y redireccion.
El SGSN consiste en una unidad de procesamiento del parametro de seguridad, una unidad de interaccion del mensaje, una unidad de mapeado del identificador de claves, y una unidad de generacion de claves;
la unidad de recepcion del parametro de seguridad se usa para la recepcion de las claves y del KSIasme desde la MME, el envro del KSIasme a la unidad de mapeado del identificador de claves, generacion de una clave de un sistema objetivo basandose en las claves enviadas por la MME y su envfo a la unidad de almacenamiento de claves e identificador de claves: si se juzga que el sistema objetivo es un UTRAN, entonces la unidad de recepcion del parametro de seguridad envfa las claves enviadas por la MME a la unidad de almacenamiento de claves e identificador de claves; y si el sistema objetivo es un GERAN, entonces la unidad de recepcion del parametro de seguridad genera una Kc basandose en las claves enviadas por la MME y envfa la Kc a la unidad de almacenamiento de claves e identificador de claves;
la unidad de mapeado del identificador de claves se usa para mapeado del KSIasme en un identificador de identidad de claves de un sistema objetivo despues de la recepcion del KSIasme: si se juzga que el sistema objetivo es un UTRAN, entonces la unidad de mapeado del identificador de claves mapea el KSIasme en un KSI; y si el sistema objetivo es un GERAN, entonces la unidad de mapeado del identificador de claves mapea el KSIasme en un CKSN; y envfa el identificador de identidad de claves adquirido a traves del mapeado a la unidad de almacenamiento de claves e identificador de claves;
la unidad de almacenamiento de claves e identificador de claves se usa para almacenamiento tanto de la clave del sistema objetivo enviada por la unidad de recepcion del parametro de seguridad como el identificador de identidad de claves del sistema objetivo enviada por la unidad de mapeado del identificador de claves, y para notificacion a la unidad de interaccion del mensaje de la finalizacion del mapeado despues del almacenamiento;
y
la unidad de interaccion del mensaje se usa para el envro de una notificacion de exito del mapeado del identificador de claves en el lado de red despues de la recepcion del mensaje de finalizacion de mapeado.
En el que la unidad de interaccion del mensaje en el UE se usa tambien para el envro de un mensaje de solicitud de actualizacion del area de ruta o un mensaje de solicitud de adicion del area de ruta al SGSN cuando el UE decide transferirse en un estado inactivo; y
la unidad de interaccion del mensaje en el SGSN se usa tambien para el envro de un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion correspondientes a la MME despues de haber recibido el mensaje de solicitud de actualizacion del area de ruta o el mensaje de solicitud de adicion del area de ruta.
En el que la unidad de mapeado del identificador de claves en el UE se usa tambien para mapeado del KSIasme en el identificador de identidad de claves del sistema objetivo cuando el UE decide transferirse en un estado inactivo.
En el que la unidad interaccion del mensaje en el SGSN envfa una notificacion de exito de mapeado del identificador de claves del lado de red, es decir: si el mensaje de envro de la clave y del identificador de claves por la MME es un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion, entonces la unidad de interaccion del mensaje envfa en consecuencia un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta al UE para indicar el exito del mapeado del identificador de claves del lado de red; y si el mensaje de envro de la clave y el identificador de claves por la MME es un mensaje de solicitud de envro y redireccion, entonces la unidad de interaccion del mensaje envfa un mensaje de respuesta de envro y redireccion a la MME para indicar el exito del mapeado del identificador de claves del lado de red.
El sistema para la generacion de un identificador de identidad de claves mapea un valor de un KSIasme en un valor de un KSI o un valor de un CKSN, y garantiza que el KSI o CKSN adquiridos a traves del mapeado y un numero de secuencia clave previamente almacenado en un SGSN no se repiten, resolviendo asf el problema en la tecnica anterior de que una IK y una CK o una Kc mapeadas a partir de la Kasme no pueden reutilizarse debido a la carencia de identificadores de identidad cuando el UE se transfiere desde un EUTRAN a un UTRAN, y reduciendo la senalizacion interactiva entre el UE y la red, y mejorando la satisfaccion del usuario.
La siguiente parte describe adicionalmente la invencion con seis ejemplos de aplicacion.
La Fig. 3 es el Ejemplo de Aplicacion Uno del metodo de la presente invencion, que ilustra un diagrama de flujo del metodo para la generacion de un identificador de claves cuando un UE se transfiere en un estado inactivo desde un EUTRAN a un UTRAN, lo que incluye las siguientes etapas:
etapa S301: un UE decide transferirse a un UTRAN en un estado inactivo y envfa a un SGSN objetivo un mensaje de solicitud de transferencia inactiva al UTRAN, en el que el mensaje de solicitud puede ser un mensaje de solicitud de actualizacion del area de ruta o un mensaje de solicitud de adicion del area de ruta;
etapa S302: tras la recepcion del mensaje de solicitud de transferencia inactiva al UTRAN enviada desde el UE,
5
10
15
20
25
30
35
40
45
50
55
60
65
el SGSN objetivo envfa a una MME de origen un mensaje de solicitud, en el que el tipo de mensaje de solicitud se corresponde al de un mensaje de solicitud de transferencia, es decir, puede ser un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion;
etapa S303: tras la recepcion del mensaje de solicitud desde el SGSN objetivo, la MME de origen genera una CK y una IK basandose en una Kasme;
etapa S304: la MME de origen responde en correspondencia con un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion, y envfa la CK, la IK y un KSIasme al SGSN objetivo;
etapa S305: tras la recepcion de la CK, la IK y un KSIasme desde la MME de origen, el SGSN objetivo asigna el valor del KSIasme a un KSI, es decir, KSI = KSIasme, y almacena el KSI junto con la CK y la IK;
etapa S306: el SGSN objetivo envfa al UE un mensaje de aceptacion de transferencia inactiva al UTRAN (en correspondencia, un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta) para notificar al UE el exito del mapeado del identificador de claves del lado de red;
etapa S307: el UE asigna el valor del KSIasme a un KSI, es decir, KSI = KSIasme, y almacena el KSI junto con la CK y la IK que se generaron a partir de la Kasme; y
etapa S308: el UE envfa un mensaje de finalizacion de actualizacion del area de ruta o un mensaje de finalizacion de adicion del area de ruta correspondiente al SGSN objetivo.
La Fig. 4 es el Ejemplo de Aplicacion Dos del metodo de la presente invencion, que ilustra un diagrama de flujo del metodo para la generacion de un identificador de claves cuando un UE se transfiere en un estado inactivo desde un EUTRAN a un UTRAN, lo que incluye las siguientes etapas:
etapa S401: un UE decide transferirse a un UTRAN en un estado inactivo, asigna un valor de un KSIasme a un KSI, es decir, KSI = KSIasme, y almacena el KSI junto con una CK y una IK que se generaron a partir de una
Kasme;
etapa S402: el UE envfa a un SGSN objetivo un mensaje de solicitud de transferencia inactiva al UTRAN, en el que el mensaje de solicitud puede ser un mensaje de solicitud de actualizacion del area de ruta o un mensaje de solicitud de adicion del area de ruta;
etapa S403: tras la recepcion del mensaje de solicitud de transferencia inactiva al UTRAN enviada desde el UE, el SGSN objetivo envfa a una MME de origen un mensaje de solicitud, en el que el tipo de mensaje de solicitud se corresponde al de un mensaje de solicitud de transferencia, es decir, puede ser un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion;
etapa S404: tras la recepcion del mensaje de solicitud desde el SGSN, la MME de origen genera una CK y una IK basandose en la Kasme;
etapa S405: la MME responde en correspondencia con un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion, y envfa la CK, la IK y el KSIasme al SGSN;
etapa S406: tras la recepcion del KSIasme, de la CK y la IK desde la MME de origen, el SGSN objetivo asigna el valor del KSIasme a un KSI, es decir, KSI = KSIasme, y almacena el KSI junto con la CK y la IK;
etapa S407: el SGSN objetivo envfa al UE un mensaje de aceptacion de transferencia inactiva al UTRAN (en correspondencia, un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta) para notificar al UE el exito del mapeado del identificador de claves del lado de red; y
etapa S408: el UE envfa un mensaje de finalizacion de actualizacion del area de ruta o un mensaje de finalizacion de adicion del area de ruta correspondiente al SGSN objetivo.
La Fig. 5 es el Ejemplo de Aplicacion Tres del metodo de la presente invencion, que ilustra un diagrama de flujo del metodo para la generacion de un identificador de claves cuando un UE conmuta en un estado inactivo desde un EUTRAN a un UTRAN, lo que incluye las siguientes etapas:
etapa S501: un eNB de origen decide iniciar una conmutacion basandose o bien en un informe de consulta enviado desde un UE al eNB o bien por otras razones;
etapa S502: el eNB de origen envfa a una MME de origen un mensaje de solicitud de conmutacion; etapa S503: la MME de origen genera una IK y una CK basandose en una Kasme;
5
10
15
20
25
30
35
40
45
50
55
60
65
etapa S504: la MME de origen envfa a un SGSN objetivo una solicitud de envfo y redireccion, y transmite un KSIasme junto con la IK y la CK al SGSN objetivo;
etapa S505: el SGSN objetivo asigna el valor del KSIasme a un KSI, es decir, KSI = KSIasme, y almacena el KSI junto con la IK y la CK;
etapa S506: el SGSN objetivo envfa a la MME de origen un mensaje de respuesta de envfo y redireccion para notificar a la MME de origen que la red de servicio objetivo se ha preparado para conmutacion;
etapa S507: la MME de origen envfa al eNB una orden de conmutacion;
etapa S508: el eNB de origen envfa al UE una orden de conmutacion EUTRAN;
etapa S509: el UE asigna el valor del KSIasme a un KSI, es decir, KSI = KSIasme, genera una IK y una CK basandose en la Kasme, y almacena el KSI junto con la CK y la IK; y
etapa S510: el UE envfa un mensaje de exito de conmutacion a un RNC objetivo para notificarle el exito del mapeado del KSI de red.
La Fig. 6 es el Ejemplo de Aplicacion Cuatro del metodo de la presente invencion, que ilustra un diagrama de flujo del metodo para la generacion de un identificador de claves cuando un UE se transfiere en un estado inactivo desde un EUTRAN a un GERAN, lo que incluye las siguientes etapas:
etapa S601: un UE decide transferirse a un GERAN en un estado inactivo, y envfa a un SGSN objetivo un mensaje de solicitud de transferencia inactiva al GERAN, en el que el mensaje de solicitud puede ser un mensaje de solicitud de actualizacion del area de ruta o un mensaje de solicitud de adicion del area de ruta;
etapa S602: tras la recepcion del mensaje de solicitud de transferencia inactiva al GERAN enviada desde el UE, el SGSN objetivo envfa a una MME de origen un mensaje de solicitud, en el que el tipo de mensaje de solicitud se corresponde al de un mensaje de solicitud de transferencia recibido, es decir, puede ser un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion;
etapa S603: tras la recepcion del mensaje de solicitud desde el SGSN objetivo, la MME de origen genera una CK y una IK basandose en una Kasme;
etapa S604: la MME de origen responde en correspondencia con un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion, y envfa la CK, la IK y un KSIasme al SGSN objetivo;
etapa S605: tras la recepcion del KSIasme, la CK y la IK desde la MME de origen, el SGSN objetivo asigna el valor del KSIasme a un cKsN, es decir, CKSN = KSIasme, y almacena el CKSN junto con una Kc generada a partir de la CK y la IK;
etapa S606: el SGSN objetivo envfa al UE un mensaje de aceptacion de transferencia inactiva correspondiente al UTRAN (en correspondencia, un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta) para notificar al UE el exito del mapeado del identificador de claves del lado de red;
etapa S607: el UE asigna el valor del KSIasme a un CKSN, es decir, CKSN = KSIasme, y almacena el CKSN junto con una Kc generada a partir de la Kasme; y
etapa S608: el UE envfa un mensaje de finalizacion de actualizacion del area de ruta o un mensaje de finalizacion de adicion del area de ruta correspondiente al SGSN objetivo.
La Fig. 7 es el Ejemplo de Aplicacion Cinco del metodo de la presente invencion, que ilustra un diagrama de flujo del metodo para la generacion de un identificador de claves cuando un UE se transfiere en un estado inactivo desde un EUTRAN a un GERAN, lo que incluye las siguientes etapas:
etapa S701: un UE decide transferirse a un GERAN en un estado inactivo, asigna un valor de un KSIasme a un CKSN, es decir, CKSN = KSIasme, y almacena el CKSN junto con una Kc generada a partir de una Kasme;
etapa S702: el UE envfa a un SGSN objetivo un mensaje de solicitud de transferencia inactiva al GERAN, en el que el mensaje de solicitud puede ser un mensaje de solicitud de actualizacion del area de ruta o un mensaje de solicitud de adicion del area de ruta;
etapa S703: tras la recepcion del mensaje de solicitud de transferencia inactiva al GERAN enviada desde el UE, el SGSN objetivo envfa a una MME de origen un mensaje de solicitud, en el que el tipo de mensaje de solicitud
5
10
15
20
25
30
35
40
45
50
55
60
65
se corresponde al de un mensaje de solicitud de transferencia, es decir, puede ser un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion;
etapa S704: tras la recepcion del mensaje de solicitud desde el SGSN, la MME de origen genera una CK y una IK basandose en la Kasme;
etapa S705: la MME de origen responde en correspondencia con un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion, y envfa la CK, la IK y el KSIasme al SGSN objetivo;
etapa S706: tras la recepcion del KSIasme, de la CK y la IK desde la MME de origen, el SGSN objetivo asigna el valor del KSIasme a un CKSN, es decir, CKSN = KSIasme, y almacena el CKSN junto con una Kc generada a partir de la CK y la IK;
etapa S707: el SGSN objetivo envfa al UE un mensaje de aceptacion de transferencia inactiva al GERAN (en correspondencia, un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta) para notificar al UE el exito del mapeado del identificador de claves del lado de red; y
etapa S708: el UE envfa un mensaje de finalizacion de actualizacion del area de ruta o un mensaje de finalizacion de adicion del area de ruta correspondiente al SGSN objetivo.
La Fig. 8 es el Ejemplo de Aplicacion Seis del metodo de la presente invencion, que ilustra un diagrama de flujo del metodo para la generacion de un identificador de claves cuando un UE conmuta en un estado inactivo desde un EUTRAN a un GERAN, lo que incluye las siguientes etapas:
etapa S801: un eNB de origen decide iniciar una conmutacion basandose o bien en un informe de consulta enviado desde un UE al eNB o bien por otras razones;
etapa S802: el eNB de origen envfa a una MME de origen un mensaje de solicitud de conmutacion; etapa S803: la MME de origen genera una IK y una CK basandose en una Kasme;
etapa S804: la MME de origen envfa a un SGSN objetivo una solicitud de envfo y redireccion, y transmite un KSIasme junto con la IK y la CK al SGSN objetivo;
etapa S805: el SGSN objetivo asigna el valor del KSIasme a un CKSN, es decir, CKSN = KSIasme, y almacena el CKSN junto con una Kc generada a partir de la IK y la CK;
etapa S806: el SGSN objetivo envfa a la MME de origen un mensaje de respuesta de envfo y redireccion para notificar a la MME de origen que la red de servicio objetivo se ha preparado para conmutacion;
etapa S807: la MME de origen envfa al eNB una orden de conmutacion;
etapa S808: el eNB de origen envfa al UE una orden de conmutacion EUTRAN;
etapa S809: el UE asigna el valor del KSIasme a un CKSN, es decir, CKSN = KSIasme, genera una Kc basandose en la Kasme, y almacena el CKSN junto con la Kc; y
etapa S810: el UE envfa un mensaje de exito de conmutacion a un RNC objetivo para notificarle el exito del mapeado del CKSN de red.
En los seis ejemplos de aplicacion anteriormente mencionados, el UE y el SGSN pueden asignar tambien la suma del KSIasme y una constante al identificador de identidad de claves del sistema objetivo; la constante se acuerda por el UE y la red, en el que la suma del KSIasme y la constante no pueden ser 111, en caso contrario, puede alterarse en consonancia con el acuerdo entre el UE y el SGSN, por ejemplo mediante su sustitucion con un valor siguiente 000 u otro valor.
Obviamente, los expertos en la materia debenan entender que varios modulos o etapas de la presente invencion pueden implementarse mediante dispositivos de calculo universal, pueden estar integrados en un unico dispositivo de calculo, o pueden distribuirse en una red que consiste en multiples dispositivos de calculo; alternativamente, pueden implementarse mediante codigos ejecutables por dispositivos de calculo. Por lo tanto, pueden almacenarse en un dispositivo de almacenamiento para ser ejecutados mediante un dispositivo de calculo, o pueden realizarse en varios modulos de circuitos integrados, o multiples modulos o etapas de los mismos pueden realizarse en un unico modulo de circuito integrado. Por ello, la presente invencion no esta limitada a ninguna combinacion espedfica de hardware y software.
Los ejemplos anteriores son solo realizaciones preferidas de la presente invencion, y no constituyen limitacion a la
presente invencion. Para los expertos en la materia, la presente invencion puede tener una variedad de modificaciones y cambios.

Claims (16)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo para la generacion de un identificador de identidad de claves cuando un equipo de usuario, UE, se transfiere, que incluye las siguientes etapas:
    cuando un UE se transfiere desde una red de acceso por radio terrestre, EUTRAN, de un sistema universal de telecomunicaciones moviles evolucionado, UMTS, a un sistema objetivo, una entidad de gestion de la movilidad, MME, del EUTRAN, enviar un identificador de identidad de una clave de la entidad de la gestion de seguridad de acceso, Kasme, KSIasme, a un nodo de soporte, SGSN, del servicio general de paquetes via radio, GPRS, en servicio, del sistema objetivo (A1, B1), y mapear tanto el SGSN como el UE el KSIasme en un identificador de identidad de claves del sistema objetivo; en el que el mapeado del KSIasme en un identificador de conjunto de claves, KSI, cuando el sistema objetivo es una red de acceso por radio terrestre UMTS, UTRAN (A2, A3) y el mapeado del KSIasme en un numero de secuencia de clave de cifrado, CKSN, cuando el sistema objetivo es una red de acceso por radio GERAN (B2, B3), GPRS/tasas de datos mejoradas para la evolucion de GSM, EDGE, en el que, la MME del EUTRAN que envfa el KSIasme, al SGSN del sistema objetivo, comprende:
    generar la MME una clave de integridad, IK, y una clave de cifrado, CK, basandose en la Kasme y enviar el KSIasme junto con la IK y la CK que se generaron a partir de la Kasme al SGSN (A1, B1).
  2. 2. El metodo de generacion de acuerdo con la reivindicacion 1, en el que el mapeado incluye las siguientes etapas: asignar directamente el KSIasme al identificador de identidad de claves del sistema objetivo, o asignar directamente la suma del KSIasme y una constante que es acordada por el UE y la red al identificador de identidad de claves del sistema objetivo.
  3. 3. El metodo de generacion de acuerdo con cualquiera de las reivindicaciones 1 a 2, en el que las etapas espedficas son como sigue cuando el UE se transfiere en un estado inactivo desde el EUTRAN al UTRAN:
    A1: despues de recibir un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion, la MME genera la IK y la CK basandose en la Kasme y envfa el KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion; A2: despues de la recepcion del KSIasme, la IK y la CK desde la MME, el SGSN mapea el KSIasme en el KSI, y almacena el KSI, la IK y la CK; y el SGSN envfa un mensaje de indicacion de finalizacion del mapeado del KSI al UE; y
    A3: el UE mapea el KSIasme en el KSI, y almacena el KSI junto con la IK y la CK que se generan a partir de la
    Kasme.
  4. 4. El metodo de generacion de acuerdo con la reivindicacion 3, en el que la etapa A3 tiene lugar en cualquier etapa despues de que el UE decida transferirse al UTRAN en un estado inactivo y antes de que el UE envfe un mensaje de finalizacion de actualizacion del area de ruta o mensaje de finalizacion de adicion del area de ruta correspondientes al SGSN.
  5. 5. El metodo de generacion de acuerdo con cualquiera de las reivindicaciones 1 a 2, en el que las etapas espedficas son como sigue cuando el UE conmuta desde el EUTRAN al UTRAN:
    a1: despues de la recepcion de un mensaje de solicitud de conmutacion, la MME genera la IK y la CK basandose en la Kasme, y envfa el KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de solicitud de envfo y redireccion;
    a2: tras la recepcion del KSIasme, junto con la IK y la CK desde la MME, el SGSN mapea el KSIasme en el KSI, y almacena el KSI, la IK y la CK juntas; el SGSN envfa un mensaje de respuesta de envfo y redireccion de indicacion de finalizacion del mapeado del KSI a la MME; y la MME envfa una orden de conmutacion para dar instrucciones al UE para conmutar; y
    a3: despues de la recepcion de la orden de conmutacion desde la red, el UE mapea el KSIasme en el KSI, y almacena el KSI junto con la IK y la CK que se generan a partir de la Kasme.
  6. 6. El metodo de generacion de acuerdo con cualquiera de las reivindicaciones 1 a 2, en el que las etapas espedficas son como sigue cuando el UE se transfiere en un estado inactivo desde el EUTRAN al GERAN:
    B1: despues de recibir un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion, la MME genera la IK y la CK basandose en la Kasme y envfa el KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion; B2: despues de la recepcion del KSIasme, la IK y la CK desde la MME, el SGSN genera una clave de cifrado, Kc, del GeRaN basandose en la IK y la CK, mapea el KSIasme en el CKSN del GERAN, y almacena el CKSN del GERAN junto con la Kc del GERAN; y el SGSN envfa al UE un mensaje de indicacion de finalizacion del mapeado del CKSN del GERAN; y
    B3: el UE mapea el KSIasme en el CKSN del GERAN, y almacena el CKSN del GERAN junto con la Kc del GERAN generada a partir de la Kasme.
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
  7. 7. El metodo de generacion de acuerdo con la reivindicacion 6, en el que la etapa B3 tiene lugar en cualquier etapa despues de que el UE decida transferirse al GERAN en un estado inactivo y antes de que el UE envfe un mensaje de conmutacion a la red.
  8. 8. El metodo de generacion de acuerdo con cualquiera de las reivindicaciones 1 a 2, en el que las etapas espedficas son como sigue cuando el UE conmuta desde el EUTRAN al GERAN:
    b1: tras la recepcion de un mensaje de solicitud de conmutacion, la MME genera la IK y la CK basandose en la Kasme, y envfa el KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de solicitud de envfo y redireccion;
    b2: tras la recepcion del KSIasme junto con la IK y la CK desde la MME, el SGSN genera una Kc del GERAN basandose en la IK y la CK, asigna el valor del kSIasme al CKSN del GERAN, y almacena el CKSN del GERAN junto con la Kc del GERAN; el SGSN envfa un mensaje de indicacion de finalizacion del mapeado del CKSN del GERAN a la MME; y la MME envfa una orden de conmutacion para dar instrucciones al UE para conmutar; y b3: despues de la recepcion de la orden de conmutacion desde la red, el UE mapea el KSIasme en el CKSN del GERAN, y almacena el CKSN del GERAN junto con la Kc del GERAN generada a partir de la Kasme.
  9. 9. Un sistema para la generacion de un identificador de identidad de claves cuando un UE se transfiere, que incluye un equipo de usuario, UE, una entidad de gestion de la movilidad, MME, y un nodo de soporte, SGSN, del servicio general de paquetes via radio, GPRS, en servicio;
    estando adaptada la MME para el envfo de un identificador de identidad de una clave de entidad de gestion de seguridad de acceso, Kasme, KSIasme, al SGSN cuando el UE se transfiere desde una red de acceso por radio terrestre, EUTRAN, del sistema universal de telecomunicaciones moviles evolucionado, UMTS, a un sistema objetivo (A1, B1); y
    estando adaptados tanto el SGSN como el UE para mapeado del KSIasme en un identificador de identidad de claves del sistema objetivo;
    en el que el mapeado del KSIasme en un identificador del conjunto de claves, KSI, cuando el sistema objetivo es una red de acceso por radio terrestre UMTS, UTRAN (A2, A3) y el mapeado del KSIasme en un numero de secuencia de clave de cifrado, CKSN, cuando el sistema objetivo es una red de acceso por radio GERAN (B2, B3), GPRS/tasas de datos mejoradas para evolucion de GSM, EDGE,;
    en el que, estando adaptada la MME para la generacion de una clave de integridad, IK, y una clave de cifrado, CK, basandose en la Kasme y el envfo del KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN (A1, B1).
  10. 10. El sistema de generacion de acuerdo con la reivindicacion 9, en el que el SGSN/UE esta adaptado para la realizacion del mapeado asignando directamente el KSIasme al identificador de identidad de claves del sistema objetivo, o asignar directamente la suma del KSIasme y una constante, que se acuerda por el UE y la red al identificador de identidad de claves del sistema objetivo.
  11. 11. El sistema de generacion de acuerdo con la reivindicacion 9, en el que el UE y el SGSN estan adaptados adicionalmente para borrar una clave almacenada antes de la transferencia cuando el UE y el SGSN han acordado acerca de una clave antes de la transferencia y el identificador de identidad de claves de un sistema objetivo es el mismo que el identificador de identidad de claves del sistema objetivo convertido desde el KSIasme durante la transferencia.
  12. 12. El sistema de generacion de acuerdo con cualquiera de las reivindicaciones 9 a 11, en el que
    el UE comprende una unidad de interaccion del mensaje, una unidad de mapeado del identificador de claves y una unidad de almacenamiento de claves e identificador de claves;
    la unidad de interaccion del mensaje esta adaptada para la recepcion de un mensaje desde un lado de red; la unidad de mapeado del identificador de claves esta adaptada para mapeado del KSIasme en un identificador de identidad de claves de un sistema objetivo cuando la unidad de interaccion del mensaje recibe una orden de conmutacion, un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta; y
    la unidad de almacenamiento de claves e identificador de claves esta adaptada para almacenar una clave de un sistema objetivo y un identificador de identidad de claves del sistema objetivo conjuntamente; la MME comprende una unidad de recepcion del mensaje de solicitud y una unidad de procesamiento del parametro de seguridad;
    la unidad de recepcion del mensaje de solicitud esta adaptada para la recepcion de mensajes de solicitud de transferencia desde otras entidades de red e instruir a la unidad de procesamiento del parametro de seguridad para procesar estos mensajes; y
    la unidad de procesamiento del parametro de seguridad esta adaptada para generar la CK y la IK a partir de la Kasme y el envfo del KSIasme junto con la IK y la CK que se han generado a partir de la Kasme al SGSN despues de la recepcion de la instruccion desde la unidad de recepcion del mensaje de solicitud;
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    el SGSN comprende una unidad de procesamiento del parametro de seguridad, una unidad de interaccion del mensaje, una unidad de mapeado del identificador de claves, y una unidad de generacion de claves; la unidad de recepcion del parametro de seguridad esta adaptada para la recepcion de las claves y del KSIasme desde la MME, el envfo del KSIasme a la unidad de mapeado del identificador de claves, adquirir la clave del sistema objetivo basandose en las claves enviadas por la MME y enviarlas a la unidad de almacenamiento de claves e identificador de claves;
    la unidad de mapeado del identificador de claves esta adaptada para mapeado del KSIasme en un identificador de identidad de claves del sistema objetivo tras la recepcion del KSIasme;
    la unidad de almacenamiento de claves e identificador de claves esta adaptada para almacenar tanto la clave del sistema objetivo enviada por la unidad de recepcion del parametro de seguridad como el identificador de identidad de claves del sistema objetivo enviado por la unidad de mapeado del identificador de claves, y para notificar a la unidad de interaccion del mensaje de la finalizacion del mapeado despues del almacenamiento; y la unidad de interaccion del mensaje esta adaptada para el envfo de una notificacion de exito del mapeado del identificador de claves en el lado de red despues de la recepcion del mensaje de finalizacion de mapeado.
  13. 13. El sistema de generacion de acuerdo con la reivindicacion 12, en el que
    la unidad de recepcion del parametro de seguridad en el SGSN esta adaptada para la adquisicion de la clave del sistema objetivo basandose en las claves enviadas por la MME y esta adaptada para enviarlas a la unidad de almacenamiento de claves e identificador de claves, en el que
    cuando el sistema objetivo es un UTRAN, las claves enviadas por la MME se envfan a la unidad de almacenamiento de claves e identificador de claves; y cuando el sistema objetivo es un GERAN, las claves enviadas por la MME se usan para generar una Kc del GERAN que se envfa a la unidad de almacenamiento de claves e identificador de claves.
  14. 14. El sistema de generacion de acuerdo con la reivindicacion 12, en el que la unidad de mapeado del identificador de claves en el UE esta adaptada adicionalmente para mapeado del KSIasme en el identificador de identidad de claves del sistema objetivo cuando el UE decide transferirse en un estado inactivo.
  15. 15. El sistema de generacion de acuerdo con la reivindicacion 12, en el que
    la unidad de interaccion del mensaje en el UE esta adaptada adicionalmente para el envfo de un mensaje de solicitud de actualizacion del area de ruta o un mensaje de solicitud de adicion del area de ruta al SGSN cuando el UE decide transferirse en un estado inactivo;
    la unidad de interaccion del mensaje en el SGSN esta adaptada adicionalmente para envfo de un mensaje de solicitud de contexto o mensaje de solicitud de identificacion correspondiente a la MME tras la recepcion del mensaje de solicitud de actualizacion del area de ruta o del mensaje de solicitud de adicion del area de ruta; la unidad de recepcion del mensaje de solicitud en la MME esta adaptada para el envfo de una primera instruccion de procesamiento a la unidad de procesamiento del parametro de seguridad si el mensaje de solicitud de transferencia es un mensaje de solicitud de contexto o un mensaje de solicitud de identificacion, y la unidad de recepcion del mensaje de solicitud esta adaptada para el envfo de una segunda instruccion de procesamiento a la unidad de procesamiento del parametro de seguridad si el mensaje de solicitud de transferencia es un mensaje de solicitud de conmutacion; y
    la unidad de procesamiento del parametro de seguridad en la MME esta adaptada para el envfo del KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de respuesta de contexto o mensaje de respuesta de identificacion despues de la recepcion de la primera instruccion de procesamiento, y la unidad de procesamiento del parametro de seguridad esta adaptada para el envfo del KSIasme junto con la IK y la CK que se generan a partir de la Kasme al SGSN a traves de un mensaje de solicitud de envfo y redireccion despues de la recepcion de la segunda instruccion de procesamiento.
  16. 16. El sistema de generacion de acuerdo con la reivindicacion 15, en el que la unidad de interaccion del mensaje en el SGSN esta adaptada para el envfo de una notificacion de exito de mapeado del identificador de claves del lado de red, en el que si el mensaje de envfo de la clave y del identificador de claves por la MME es un mensaje de respuesta de contexto o un mensaje de respuesta de identificacion, entonces la unidad de interaccion del mensaje esta adaptada para el envfo de un mensaje de aceptacion de actualizacion del area de ruta o un mensaje de aceptacion de adicion del area de ruta al UE para indicar el exito del mapeado del identificador de claves del lado de red; y si el mensaje de envfo de la clave y el identificador de claves por la MME es un mensaje de solicitud de envfo y redireccion, entonces la unidad de interaccion del mensaje esta adaptada para el envfo de un mensaje de respuesta de envfo y redireccion a la MME para indicar el exito del mapeado del identificador de claves del lado de red.
ES08874669.8T 2008-06-16 2008-12-29 Método y sistema de generación para identificador de identidad de claves durante la transferencia del dispositivo de usuario Active ES2626666T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200810100472A CN101299884B (zh) 2008-06-16 2008-06-16 用户设备转移时密钥身份标识符的生成方法和生成系统
CN200810100472 2008-06-16
PCT/CN2008/002116 WO2009152656A1 (zh) 2008-06-16 2008-12-29 用户设备转移时密钥身份标识符的生成方法和生成系统

Publications (1)

Publication Number Publication Date
ES2626666T3 true ES2626666T3 (es) 2017-07-25

Family

ID=40079535

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08874669.8T Active ES2626666T3 (es) 2008-06-16 2008-12-29 Método y sistema de generación para identificador de identidad de claves durante la transferencia del dispositivo de usuario

Country Status (5)

Country Link
US (1) US20110135095A1 (es)
EP (1) EP2290875B1 (es)
CN (1) CN101299884B (es)
ES (1) ES2626666T3 (es)
WO (1) WO2009152656A1 (es)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101299666A (zh) 2008-06-16 2008-11-05 中兴通讯股份有限公司 密钥身份标识符的生成方法和系统
CN101299884B (zh) * 2008-06-16 2012-10-10 中兴通讯股份有限公司 用户设备转移时密钥身份标识符的生成方法和生成系统
AU2010286125B2 (en) * 2009-08-17 2015-01-22 Telefonaktiebolaget Lm Ericsson (Publ) Method for handling ciphering keys in a mobile station
CN101860862B (zh) * 2010-05-17 2015-05-13 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
EP2656648B1 (en) * 2010-12-21 2018-05-09 Koninklijke KPN N.V. Operator-assisted key establishment
CN102685730B (zh) * 2012-05-29 2015-02-04 大唐移动通信设备有限公司 一种ue上下文信息发送方法及mme
WO2014113922A1 (zh) * 2013-01-22 2014-07-31 华为技术有限公司 移动通信系统的安全认证的方法和网络设备
EP3178194B1 (en) * 2014-08-08 2020-09-30 Samsung Electronics Co., Ltd. System and method of counter management and security key update for device-to-device group communication
CN109819439B (zh) * 2017-11-19 2020-11-17 华为技术有限公司 密钥更新的方法及相关实体
TWI783184B (zh) * 2018-10-17 2022-11-11 新加坡商聯發科技(新加坡)私人有限公司 行動性更新時的使用者設備金鑰推導方法及相關使用者設備
CN111866967A (zh) * 2019-04-29 2020-10-30 华为技术有限公司 切换的处理方法和装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
KR100640479B1 (ko) * 2004-06-07 2006-10-30 삼성전자주식회사 이동 광대역 무선접속 시스템에서 핸드오버 절차 최적화 시스템 및 방법
CN1294785C (zh) * 2004-09-30 2007-01-10 华为技术有限公司 一种系统间切换的方法
WO2007004051A1 (en) * 2005-07-06 2007-01-11 Nokia Corporation Secure session keys context
CN100551148C (zh) * 2005-09-01 2009-10-14 华为技术有限公司 一种加密模式下系统切换的实现方法
CN1964259B (zh) * 2005-11-07 2011-02-16 华为技术有限公司 一种切换过程中的密钥管理方法
US7864731B2 (en) * 2006-01-04 2011-01-04 Nokia Corporation Secure distributed handover signaling
CA2642822C (en) * 2006-03-31 2013-01-15 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers
CN101102600B (zh) * 2007-06-29 2012-07-04 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
CN101083839B (zh) * 2007-06-29 2013-06-12 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
CN101145932B (zh) * 2007-10-15 2011-08-24 中兴通讯股份有限公司 一种移动多媒体广播业务中节目流密钥的实现方法及系统
US9706395B2 (en) * 2008-04-28 2017-07-11 Nokia Technologies Oy Intersystem mobility security context handling between different radio access networks
CN101299666A (zh) * 2008-06-16 2008-11-05 中兴通讯股份有限公司 密钥身份标识符的生成方法和系统
CN101299884B (zh) * 2008-06-16 2012-10-10 中兴通讯股份有限公司 用户设备转移时密钥身份标识符的生成方法和生成系统

Also Published As

Publication number Publication date
CN101299884B (zh) 2012-10-10
US20110135095A1 (en) 2011-06-09
EP2290875B1 (en) 2017-03-01
EP2290875A4 (en) 2015-05-27
CN101299884A (zh) 2008-11-05
WO2009152656A1 (zh) 2009-12-23
EP2290875A1 (en) 2011-03-02

Similar Documents

Publication Publication Date Title
ES2626666T3 (es) Método y sistema de generación para identificador de identidad de claves durante la transferencia del dispositivo de usuario
ES2950488T3 (es) Manejo del contexto de seguridad en 5G durante el modo inactivo
ES2861269T3 (es) Aparatos y procedimientos para comunicación inalámbrica
CN109587688B (zh) 系统间移动性中的安全性
ES2750051T3 (es) Método y disposición en un sistema de telecomunicaciones
ES2671170T3 (es) Sistemas y procedimientos para la gestión de claves para sistemas de comunicación inalámbrica
ES2703279T3 (es) Métodos y nodos para establecer múltiples conexiones de paquetes de datos para un equipo de usuario hacia un punto de acceso
ES2670853T3 (es) Perfil de usuario, política y distribución de claves de PMIP en una red de comunicación inalámbrica
JP5175980B2 (ja) 位置プライバシー支援方法
US9713001B2 (en) Method and system for generating an identifier of a key
ES2659368T3 (es) Métodos, aparatos, sistema y productos de programa informático relacionados para la seguridad del traspaso
US10320754B2 (en) Data transmission method and apparatus
ES2385690T3 (es) Métodos y aparatos que generan una clave para estación de base de radio en un sistema celular de radio
ES2717340T3 (es) Método y sistema para distribución de claves en una red de comunicación inalámbrica
ES2965452T3 (es) Método y dispositivos para establecer una conexión de señalización entre un equipo de usuario, UE, remoto y una red de telecomunicaciones a través de un UE con capacidad de retransmisión
CN103096311B (zh) 家庭基站安全接入的方法及系统
KR20100114927A (ko) 무선 통신 시스템에서 핸드오버를 실행하는 동안 키 관리를 실행하기 위한 시스템 및 방법
JP2014116961A (ja) セキュリティ設定の同期を支援する方法および装置
KR20110119785A (ko) 비-암호화 망 동작 해결책
ES2784977T3 (es) Restablecimiento de una conexión del control de los recursos de radio
BR112020002515A2 (pt) método de acionamento de autenticação de rede e dispositivo relacionado
ES2936657T3 (es) Métodos, aparatos y programas informáticos para restablecer una conexión de Control de Recuso de Radio (RRC)
BR112020000870A2 (pt) método de transmissão de dados, dispositivo e sistema relacionados ao mesmo
ES2901650T3 (es) Métodos, dispositivo y sistema para el restablecimiento de enlaces
JP2015535153A (ja) Ca公開鍵を更新するための方法および装置、ueおよびca