ES2896057T3 - Nodo para su uso en una red de comunicación y método para operar el mismo - Google Patents
Nodo para su uso en una red de comunicación y método para operar el mismo Download PDFInfo
- Publication number
- ES2896057T3 ES2896057T3 ES19190259T ES19190259T ES2896057T3 ES 2896057 T3 ES2896057 T3 ES 2896057T3 ES 19190259 T ES19190259 T ES 19190259T ES 19190259 T ES19190259 T ES 19190259T ES 2896057 T3 ES2896057 T3 ES 2896057T3
- Authority
- ES
- Spain
- Prior art keywords
- radio access
- access node
- enb
- node
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 146
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012545 processing Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 21
- 238000004422 calculation algorithm Methods 0.000 description 18
- 238000009795 derivation Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000013146 percutaneous coronary intervention Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 239000000969 carrier Substances 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241000700159 Rattus Species 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01P—WAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
- H01P1/00—Auxiliary devices
- H01P1/20—Frequency-selective devices, e.g. filters
- H01P1/2005—Electromagnetic photonic bandgaps [EPB], or photonic bandgaps [PBG]
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01P—WAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
- H01P3/00—Waveguides; Transmission lines of the waveguide type
- H01P3/12—Hollow waveguides
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01P—WAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
- H01P5/00—Coupling devices of the waveguide type
- H01P5/08—Coupling devices of the waveguide type for linking dissimilar lines or devices
- H01P5/10—Coupling devices of the waveguide type for linking dissimilar lines or devices for coupling balanced lines or devices with unbalanced lines or devices
- H01P5/107—Hollow-waveguide/strip-line transitions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/20—Interfaces between hierarchically similar devices between access points
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/13—Cell handover without a predetermined boundary, e.g. virtual cells
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Optics & Photonics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un método para operar un nodo en una red de comunicación, comprendiendo el método: recibir (901) una petición desde un primer nodo de acceso de radio en la red de comunicación para información en un segundo nodo de acceso de radio en la red de comunicación, refiriéndose la información a si una primera clave base que se utilizó para determinar una primera clave de encriptación para encriptar comunicaciones entre un dispositivo de comunicación y el primer nodo de acceso de radio puede utilizarse para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el segundo nodo de acceso de radio; determinar si la primera clave base puede utilizarse por el segundo nodo de acceso de radio, en donde el paso de determinar (901) comprende determinar que la primera clave base puede utilizarse por el segundo nodo de acceso de radio si el primer nodo de acceso de radio y el segundo nodo de acceso de radio son parte de la misma zona de seguridad, en donde el primer nodo de acceso de radio y el segundo nodo de acceso de radio son parte de la misma zona de seguridad si el primer nodo de acceso de radio y el segundo nodo de acceso de radio: (a) están funcionando como máquinas virtuales separadas en el mismo equipo físico informático; (b) son dos contenedores dentro de la misma máquina virtual; (c) están implementados en placas en el mismo estante físico; (d) se determina por una política de seguridad que pertenecen a la misma zona de seguridad; o (e) están localizados físicamente en el mismo lugar; y enviar (903) información en el segundo nodo de acceso de radio al primer nodo de acceso de radio, indicando la información si la primera clave base puede utilizarse por el segundo nodo de acceso de radio.
Description
DESCRIPCIÓN
Nodo para su uso en una red de comunicación y método para operar el mismo
Campo técnico
Este documento se refiere a una red de comunicación, y en particular a técnicas que se refieren al traspaso de un dispositivo terminal entre los nodos de acceso de radio en la red de comunicación.
Antecedentes
En redes de comunicación de evolución a largo plazo (LTE), las comunicaciones entre el equipamiento de usuario (UE) y un eNB encriptado y parcialmente protegido de integridad. Las claves de integridad y encriptación derivan de una clave raíz común llamada KeNB que se comparte entre el UE y el eNB. El KeNB es único al par Pcell-UE, donde Pcell es la célula primaria que el UE utiliza como una célula "maestra" cuando se comunica con un eNB. Desde que el UE solo utiliza una Pcell para comunicar con un eNB, el KeNB es también único para el par eNB-UE. Esto es, el mismo KeNB nunca se utiliza para proteger el tráfico entre el UE y dos eNB diferentes. El razonamiento detrás de este diseño es prevenir que un atacante que ha ganado acceso a o conocimiento de un KeNB que se utiliza entre un UE a un primer eNB obtenga utilidad de ese KeNB cuando intenta romper la encriptación o integridad en el tráfico entre el UE y un eNB diferente.
Para asegurar que el KeNB es único por cada par eNB-UE, KeNB se cambia durante el traspaso entre dos eNB. para la simplicidad, KeNB realmente se cambia en todos los traspasos inter-LTE (por ejemplo, traspaso entre células), aun cuando los eNB de origen y eNB de destino es el mismo nodo.
La singularidad del par UE-KeNB durante el traspaso se consigue por el hecho de que el UE y el eNB de origen derivan un nuevo KeNB (denotado KeNB*) a partir del KeNB actual, el identificador de célula física (PCI) de la célula primera de destino (PCell) y la frecuencia de enlace descendente de célula física de destino (por ejemplo, el número de canal de frecuencia de radio absoluto evolucionado para el enlace descendente, EARFCN-DL). Esto se especifica en la cláusula 7.2.8. sw 3GPP TS 33.401 "3GPP evolución de arquitectura de sistema (SAE); arquitectura de seguridad", versión 12.14.0 (2015-03).
Mas específicamente, la entrada a la función de derivación de clave (KDF) para derivar KeNB* es:
- FC = 0x13
- P0 = PCI (PCI de destino)
- L0 = largo de PCI (es decir, 0x000x02)
- P1 = EARFCN-DL (frecuencia de enlace descendente de célula física de destino)
- L1 largo de EARFCN-DL (es decir, 0x00 0x02)
Un traspaso entre dos eNB sin la intervención de red central, un llamado traspaso X2, se describe posteriormente con referencia a la figura 1. Los traspasos pueden realizarse después de que el UE haya completado todos los procedimientos necesarios para activar la seguridad del control de recurso de radio (RRC) y del estrato de no-acceso (NAS). El traspaso X2 se inicia por el eNB de origen 2 calculando una clave KeNB* desde la KeNB activa actual, compartida entre el eNB de origen 2 y el UE 3, y enviándola junto con las capacidades de seguridad de UE al eNB de destino 4 en un mensaje de solicitud de traspaso 5. El eNB de destino 4 responde con la información de configuración requerida 5 para la conexión UE. Esta información incluye los algoritmos elegidos que deberían utilizar el eNB de destino 4 y el UE 3. El eNB de origen 2 entonces avanza la respuesta al UE 3 (señal 6), y el UE 3 confirma el traspaso con un mensaje de fin 7 al eNB de destino 4. En el último paso, el eNB de destino 4 recupera una nueva clave llamada la clave de siguiente salto (NH) desde una entidad de administración de movilidad (MME). El NH se deriva desde una clave KASME (una clave base que se comparte por el UE y MME) y el NH se utiliza como una base para el cálculo de KeNB* en el siguiente evento de traspaso.
En algunos escenarios el eNB de origen no tiene una clave NH "fresca" cuando realiza un traspaso, y en vez de eso el eNB puede crear un nuevo KeNB* a partir del KeNB actual. Esto se llama una derivación de clave vertical. Una clave NH se denomina que es "fresca" cuando no se ha utilizado previamente.
La clave KeNB* en sí no se envía desde el eNB al UE, y en vez un elemento de información (IE) indicando si el KeNB*se deriva verticalmente (es decir, existe un NH fresco) u horizontalmente (no existe NH fresco en el eNB) se envía al UE. Este elemento de información se llama NCC (contador de concatenación de siguiente salto) y se incluye en el mensaje de reconfiguración RRC. El NCC es un valor entre 0-7. Si se pisa el NCC, entonces el UE sabe que debe realizarse una derivación de llave vertical, y cuando el NCC es el mismo que el NCC asociado con el KeNB actualmente activo, el UE en vez de eso realizara una derivación de clave horizontal.
Una tendencia en las redes de hoy en día es que la operadora añada más frecuencias y reduzca al tamaño de las células para aumentar la capacidad de banda ancha móvil. Esto lleva a un aumento en las reconfiguraciones de UE y acciones de movilidad.
La habilidad de mover rápido o resumir una sesión de UE entre células se vuelve cada vez más importante con el fin de caber los patrones de tráfico asociados con explosiones de datos cortos. Sin embargo, desde que las claves de encriptación e integridad derivan desde una clave base (KeNB) que está atada a la célula primaria (mediante el uso del EARFCN-DL de la célula primaria y el PCI en la derivación de la clave KeNB), cada vez que el UE se mueve desde esa Pcell o se reconecta en otra Pcell se debe realizar una renegociación de clavee antes de que se siga con el tráfico. Esto causa un problema puesto que la renegociación de KeNB consume considerable memoria y ciclos de procesador, y en particular resulta en que las claves de encriptación e integridad tienen que derivarse desde el nuevo KeNB. Cuando se actualiza la nueva clave de encriptación, algunos paquetes ya encriptados deben ser cargados, desencriptados utilizando la vieja clave de encriptación y entonces re-encriptados utilizando la nueva clave de encriptación. Un problema análogo es que los paquetes ya protegidos de integridad igualmente necesitan re-protegerse utilizando la nueva clave de protección de integridad. Esto añade retraso que reduce la experiencia del usuario final. Además, complica la implementación del eNB, llevando a un riesgo mayor de errores de implementación y un coste mayor para el mantenimiento de código.
El documento WO 00/41427 A2 se refiere a un sistema en donde se negocian atributos de seguridad (SA) para las comunicaciones entre, por ejemplo, una unidad móvil (MU) y una unidad estacionaria (SU) en un procedimiento de dos fases. La primera fase incluye la negociación de ISAKMP SA, que se definen mediante un conjunto de SA básicos que proporcionan protección para intercambios de ISAKMP posteriores. La segunda fase, llevada a cabo bajo la protección del ISAKMP SA, incluye que las partes comunicantes negocien los IPsec SA asociados al protocolo de encabezado de autenticación y/o el protocolo de carga útil de seguridad de encapsulación IPs e c . Se observa que el procedimiento de negociación consume una gran cantidad de tiempo y recursos que de otro modo podrían haberse utilizado para la comunicación. Por lo tanto, se sugiere que los SA establecidos en la negociación entre una MU y una SU podrían reutilizarse para la comunicación entre la MU y otra SU siempre que las SU pertenezcan a un dominio de red administrativo común que esté bajo el control de una política de seguridad común. También se sugiere que la reutilización de los SA puede referirse tanto a los SA de la primera fase como a los AS de la segunda fase o a una reutilización parcial en la que solo se reutilizan los SA de la segunda fase. La reutilización parcial tiene la ventaja de ofrecer una opción más segura.
El problema anterior se describe en el contexto de la manera que se maneja la seguridad en LTE, aunque el problema puede también ser evidente en otros tipos de redes de comunicación. Se apreciará que la necesidad de optimizar el procesamiento de seguridad es común a muchos tipos diferentes de redes.
Por ello, hay una necesidad de mejoras en la manera en que se maneja la seguridad cuando ocurre un traspaso entre dos eNB.
Sumario
Según un aspecto, las dificultades mencionadas anteriormente se eliminan o al menos se mitigan con un método según la reivindicación 1 y un nodo correspondiente según la reivindicación 2.
Breve descripción de los dibujos
Algunas realizaciones de las técnicas introducidas en este documento se describen posteriormente con referencia a las siguientes figuras, en las que:
la figura 1 ilustra la señalización en un traspaso entre un eNB de origen y un eNB de destino en una red LTE;
la figura 2 es un ejemplo no limitante de un diagrama de bloques de una red de comunicaciones celulares LTE; la figura 3 es un diagrama de bloques de un dispositivo de comunicación según una realización;
la figura 4 es un diagrama de bloques de un nodo de acceso de radio según una realización;
la figura 5 es un diagrama de bloques de un nodo de red central según una realización;
la figura 6 es un diagrama de flujo que ilustra un método para operar un nodo de acceso de radio según una realización;
la figura 7 es un diagrama de flujo que ilustra un método para operar un dispositivo de comunicación según una realización;
la figura 8 es un diagrama de flujo que ilustra un método para operar un nodo de acceso de radio según otra realización;
la figura 9 es un diagrama de flujo que ilustra un método para operar un nodo de una red de comunicación según una realización;
la figura 10 ilustra un procedimiento de traspaso ejemplar en el que se utilizan las técnicas descritas en el presente documento;
la figura 11 es un diagrama de bloques de un primer nodo de acceso de radio según una realización;
la figura 12 es un diagrama de bloques de un dispositivo de comunicación según otra realización;
la figura 13 es un diagrama de bloques de un segundo nodo de acceso de radio según una realización;
la figura 14 es un diagrama de bloques de un nodo según una realización adicional;
la figura 15 es un diagrama de bloques de un primer nodo de acceso de radio según todavía otra realización;
la figura 16 es un diagrama de bloques de un dispositivo de comunicación según todavía otra realización;
la figura 17 es un diagrama de bloques de un segundo nodo de acceso de radio según todavía otra realización; y la figura 18 es un diagrama de bloques de un nodo según todavía otra realización.
Descripción detallada
Lo siguiente establece detalles específicos, tales como realizaciones particulares con fines de explicación y no de limitación. Pero se apreciará por uno experto en la técnica que pueden emplearse otras realizaciones aparte de estos detalles específicos. En algunos casos, se omiten descripciones detalladas de métodos, nodos, interfaces, circuitos y dispositivos bien conocidos para no ocultar la descripción con detalles innecesarios. Los expertos en la técnica apreciaran que las funciones descritas en el presente documento pueden implementase en uno o más nodos utilizando circuitería de equipo físico informático (por ejemplo, puertas lógicas analógicas y/o discretas interconectadas para realizar una función especializada, ASIC, PLA, etc.) y/o utilizando programas de equipo lógico informático y datos en conjunto con uno o más microprocesadores digitales u ordenadores de objetivo general. Nodos que comunican utilizando la interfaz de aire también tienen circuitería de comunicaciones de radio adecuada. Además, en caso apropiado, la tecnología se puede considerar adicionalmente para ser materializada totalmente dentro de cualquier forma de memoria leíble por ordenador, tal como memoria de estado sólido, disco magnético o disco óptico que contiene un conjunto apropiado de instrucciones de ordenador que podrían hacer que un procesador lleve a cabo las técnicas descritas en el presente documento.
La implementación de equipo físico informático puede incluir o abarcar, sin limitación, equipo físico informático de procesador de señal digital (DSP), un procesador de conjunto de instrucciones reducido, circuitería de equipo físico informático (por ejemplo, digital o analógico) que incluye pero no limitado a circuito(s) integrado(s) específico(s) de aplicación (ASIC) y/o matriz/matrices de puertas programables de campo (FPGA) y (en caso apropiado) máquinas de estado capaces de realizar tales funciones.
En términos de implementación de ordenador, un ordenador se entiende generalmente para comprender uno o más procesadores, una o más unidades de procesamiento, uno o más módulos de procesamiento o uno o más controladores, y los términos de ordenador, procesador, unidad de procesamiento, módulo de procesamiento y controlador pueden emplearse de manera intercambiable. Cuando se proporciona por un ordenador, procesador, unidad de procesamiento, módulo de procesamiento o controlador, las funciones pueden proporcionarse por un único y delicado ordenador, procesador, unidad de procesamiento, módulo de procesamiento o controlador, por un único y compartido ordenador, procesador, unidad de procesamiento, módulo de procesamiento o controlador, o por una pluralidad de ordenadores, procesadores, unidades de procesamiento, módulos de procesamiento o controladores individuales, algunos de los cuales pueden compartirse o distribuirse. Además, estos términos también se refieren a otro equipo físico informático capaz de realizar tales funciones y/o equipo lógico informático de ejecución, tal como el equipo físico informático de ejemplo citado anteriormente.
Aunque en la descripción posterior se utiliza el término equipamiento de usuario (UE), debería entenderse por los expertos en la técnica que "UE" es un término no limitante que comprende cualquier dispositivo móvil, dispositivo de comunicación, dispositivo de comunicación inalámbrica, dispositivo terminal o nodo equipado con una interfaz de radio que permite al menos una de: transmitir señales en enlace ascendente (UL) y recibir y/o medir señales en enlace descendente (DL). Un UE en el presente documento puede comprender un UE (en su sentido general) capaz de operar o al menos realizar medidas en una o más frecuencias, frecuencias portadoras, portadoras de componentes o bandas de frecuencia. Puede ser un "UE" operando en tecnología de acceso de única radio o multi radio (RAT) o modo multi estándar. Así como "UE", los términos generales "dispositivo terminal", "dispositivo de comunicación" y "dispositivo de comunicación inalámbrica", se utilizan en la siguiente descripción, y se apreciará que dicho dispositivo puede o no ser "movible" en el sentido de que se lleva por un usuario. En vez de eso, el término "dispositivo terminal" (y los términos generales alternativos establecidos anteriormente) abarca cualquier dispositivo que es capaz de comunicarse con redes de comunicación que operan según uno o más estándares de comunicación móvil, tales como sistema global para comunicaciones móviles, GSM, sistema de telecomunicaciones móvil universal (UMTS), evolución a largo plazo, LTE, etc. También se apreciará que un UE puede comprenden un módulo de identidad de suscripción universal (USIM) en una tarjeta inteligente o implementado directamente en el UE, por ejemplo como un equipo lógico informático o un
circuito integrado. Las operaciones descritas en el presente documento pueden implementarse parcial o completamente en el USIM o fuera del USIM.
Una o más células están asociadas con una estación base, donde una estación base comprende en un sentido general cualquier nodo de red que transmite señales de radio en el enlace descendente y/o recibe señales de radio en el enlace ascendente. Algunas estaciones base de ejemplo, o términos utilizados para describir estaciones base, don eNodoB, eNB, NodoB, macro/micro/pico/femto estación base de radio, eNodoB de casa (también conocido como estación base femto), relé, repetidor, sensor, transmitir solo nodos de radio o recibir solo nodos de radio. Una estación base puede operar o al menos realizar medidas en una o más frecuencias, frecuencias portadoras o bandas de frecuencia y puede ser capaz de agregar portadoras. También puede ser una única tecnología de acceso de radio (RAT), multi-RAT, o nodo multi estándar, por ejemplo utilizando los mismos o diferentes módulos de banda base para diferentes RAT.
A no ser que se indique en el presente documento, la señalización descrita es o bien mediante enlaces directos o enlaces lógicos (por ejemplo, mediante protocolos de capa alta y/o mediante uno o más nodos de red).
La figura 2 muestra un diagrama de ejemplo de una arquitectura de red de acceso de radio terrestre de sistema de telecomunicaciones móviles universal (UMTS) evolucionado (E-UTRAN) como parte de un sistema de comunicaciones basadas en LTE 32 al que se aplican las técnicas descritas en el presente documento. Nodos en una red central 34 parte del sistema 32 incluyen una o más entidades de administración de movilidad (MME) 36, un nodo de control de clave para la red de acceso LTE, y una o más pasarelas de servicio (SGW) 38 que enruta y remite paquetes de datos de usuario mientras actúan como ancla de movilidad. Comunican con estaciones base o nodos de acceso de radio 40 referidos como eNB en el LTE, sobre una interfaz, por ejemplo una interfaz S1. Los eNB 40 pueden incluir las mismas o diferentes categorías de eNB, por ejemplo macro eNB, y/o micro/pico/femto eNB. Los eNB 40 comunican entre ellos sobre una interfaz inter-nodo, por ejemplo una interfaz X2. La interfaz S1 y la interfaz X2 se definen en el estándar LTE. Se muestra un UE 42, y un UE 42 puede recibir de enlace descendente desde y enviar datos de enlace ascendente a una de las estaciones base 40, denominándose esa estación base 40 la estación base de servicio del UE 42.
La figura 3 muestra un dispositivo de comunicación/dispositivo terminal (UE) 42 que puede adaptarse o configurarse para operar según uno o más de los ejemplos no limitantes de las realizaciones descritas. El UE 42 comprende un procesador o unidad de procesamiento 50 que controla la operación del UE 42. La unidad de procesamiento 50 está conectada a una unidad transceptora 52 (que comprende un receptor y un transmisor) con antena(s) asociada(s) 54 que se utilizan para transmitir señales y recibir señales hace un nodo de acceso de radio 40 en la red 32. El UE 42 también comprende una memoria o unidad de memoria 56 que está conectada a la unidad de procesamiento 50 y que contiene instrucciones o códigos ejecutables de ordenador por la unidad de procesamiento 50 y otra información o datos requeridos para la operación del UE 42.
La figura 4 muestra un nodo de acceso de radio (por ejemplo, una estación base de red celular tal como un NodoB o un eNodoB, eNB) 40 que puede adaptarse o configurarse para operar según las realizaciones de ejemplo descritas. El nodo de acceso de radio 40 comprende un procesador o unidad de procesamiento 60 que controla la operación del nodo de acceso de radio 40. La unidad de procesamiento 60 está conectada a una unidad transceptora 62 (que comprende un receptor y un transmisor) con antena(s) asociada(s) 64 que se utilizan para transmitir señales a, y recibir señales de, los UE 42 en la red 32. El nodo de acceso de radio 40 también comprende una memoria o unidad de memoria 66 que está conectado a la unidad de procesamiento 60 y que contiene instrucciones o códigos de ordenador ejecutables por la unidad de procesamiento 60 y otra información o datos requeridos para la operación del nodo de acceso de radio 40. El nodo de acceso de radio 40 también incluye componentes y/o circuitos 68 para permitir el nodo de acceso de radio 40 para cambiar información con otro nodo de acceso de radio 40 (por ejemplo, mediante una interfaz X2), y/o con un nodo de red central 36, 38 (por ejemplo, mediante una interfaz S1). Se apreciará que las estaciones base para utilizar en otros tipos de red (por ejemplo, UTRAN o RAN WCDMA) incluirán componentes similares a aquellos mostrados en la figura 4 y circuito de interfaz apropiado 68 para permitir comunicaciones con los nodos de acceso de radio en aquellos tipos de redes (por ejemplo, otras estaciones base, nodos de administración de movilidad y/o nodos en la red central). Se apreciará que un nodo de acceso de radio 40 puede implementarse como un número de funciones distribuidas en la red de acceso de radio (RAN).
La figura 5 muestra un nodo de red central 36, 38 que puede utilizarse en las realizaciones descritas de ejemplo. El nodo 36, 38 podría ser un MME 36, una SGW 38, u otro tipo de nodo de red central (por ejemplo, un controlador de red de radio, RNC). El nodo 36, 38 comprende una unidad de procesamiento 70 que controla la operación del nodo 36, 38. La unidad de procesamiento 70 está conectada a circuitería y/o componentes de interfaz 72 por permitir al nodo 36, 38 intercambiar información con nodos de red en la red de acceso de radio (RAN), por ejemplo, nodos de acceso de radio 40, que se asocia (que es típicamente mediante la interfaz S1) y/o con otros nodos en la parte de red central de la red. El nodo 36, 38 también comprende una unidad de memoria 74 que está conectada a la unidad de procesamiento 70 y que guarda programa y otra información y datos requeridos para la operación del nodo 36, 38.
También se apreciará que solo los componentes del UE 42, nodo de acceso de radio 40 y nodo de red 36, 38 descritos y presentados en el contexto de las realizaciones divulgadas en el presente documento se ilustran en las figuras 3, 4
Aunque las realizaciones de la presente divulgación serán principalmente descritas en el contexto de LTE, se apreciará por aquellos expertos en la técnica que los problemas y soluciones descritos en el presente documento se aplican igualmente a otros tipos de redes de acceso inalámbricas y equipamientos de usuario (UE) implementando otras tecnologías de acceso y estándares, y por ello LTE (y la otra terminología específica de LTE utilizada en el presente documento) deberían solo verse como ejemplos de las tecnologías a las que se aplican las técnicas.
Como se mencionó anteriormente, hay problemas con el manejo actual de la seguridad en una red de comunicación LTE, particularmente refiriéndose al manejo de la seguridad durante el procedimiento de traspaso entre eNB. Las técnicas proporcionadas posteriormente por ello proporcionan mejoras en la manera en que la seguridad se maneja cuando ocurre un traspaso entre eNB seleccionados.
En particular las técnicas descritas en el presente documento proporcionan que la misma clave base (por ejemplo, KeNB) pueda utilizarse después de un cambio (traspaso) desde una Pcell a otra si se considera segura la continua utilización del KeNB. Si el KeNB puede utilizarse después de un cambio, se proporciona señalización desde el eNB de origen o el eNB de destino para indicar al UE que el UE debería seguir utilizando KeNB después del traspaso.
En realizaciones particulares puede considerarse seguro seguir utilizando el KeNB después de un traspaso si el eNB de origen y el eNB de destino son parte de la misma "zona se seguridad". Una "zona de seguridad" puede definirse como un conjunto de eNB que están configurados o dispuestos de tal manera que, si un atacante fuera a hackear, acceder o asaltar de otro modo uno de los eNB en el conjunto, el atacante también debería ser capaz de hackear, acceder o asaltar de otro modo uno de los otros sin un esfuerzo adicional sustancial. Por ejemplo, una red de acceso de radio (RAN) pueden "nubificarse", donde múltiples eNB pueden funcionar como máquinas virtuales separadas en el mismo equipo físico informático. En este caso, un atacante que gana acceso al equipo físico informático puede ganar acceso a cualquiera o todos los eNB que funcionan en ese equipo físico informático. En una RAN alternativa "nubificada", múltiples eNB pueden implementarse en respectivos contendores dentro de la misma máquina virtual. De nuevo, un atacante que gana acceso a la máquina virtual puede acceder a cualquiera de todos los eNB que se están haciendo funcionar por esa máquina virtual. Un ejemplo más de eNB estando considerados para están dentro de una zona de seguridad es cuando los eNB se implementan en respectivos circuitos/placas de componentes en el mismo estante de ordenador físico. Generalmente, una zona de seguridad puede considerarse como un conjunto de eNB que están en la misma localización física y/o virtual. Alternativamente, los eNB que son partes de una "zona de seguridad" particular pueden configurarse o seleccionarse por la operadora de la red, por ejemplo en base a la valoración del riesgo de la seguridad de red que está comprometida si un eNB en la zona se hackea o accede.
Un método ejemplar de operar un nodo de acceso de radio (por ejemplo, un eNB en una red LTE) 40 según las técnicas descritas en el presente documento se muestra en la figura 6. El nodo de acceso de radio 40 también se refiere posteriormente como el "primer" nodo de acceso de radio. En este método, el primer nodo de acceso de radio 40 es la célula de origen para un dispositivo de comunicación (por ejemplo, un UE) 42.
En un primer paso, el paso 601, el primer nodo de acceso de radio 40 determina si una primera clave de base, referida como primera clave base AS (por ejemplo, KeNB) posteriormente que se utiliza para determinar una primera clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el primer nodo de acceso de radio 40 puede utilizarse por un segundo nodo de acceso de radio 40 para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el segundo nodo de acceso de radio.
En algunas realizaciones el paso 601 comprende determinar que la primera clave base puede ser utilizada por el segundo nodo de acceso de radio si el primero nodo de acceso de radio y el segundo nodo de acceso de radio son parte de la misma zona de seguridad. En algunas realizaciones, el primer nodo de acceso de radio y el segundo nodo de acceso de radio son parte de la misma zona de seguridad si el primer nodo de acceso de radio y el segundo nodo de acceso de radios radio: (a) están funcionando como máquinas virtuales separadas en el mismo equipo físico informático; (b) son dos contenedores dentro de la misma máquina virtual; (c) están implementados en placas en el mismo estante físico; (d) se determina por política de seguridad que pertenecen a la misma zona de seguridad; (e) están localizados físicamente en el mismo lugar.
El paso 601 puede realizarse examinando una lista o configuración local en el primer nodo de acceso de radio, o por pedir información de otro nodo (por ejemplo, como se describe posteriormente con referencia a la figura 9. En este respecto, el paso 601 puede además comprender enviar una petición de información en el segundo nodo de acceso de radio a otro nodo en la red de comunicación (por ejemplo, otro nodo de acceso de radio, eNB, o un nodo en la red central, por ejemplo, un MME 36), y recibir una respuesta a esa petición que contiene información en el segundo nodo de acceso de radio. La información puede indicar si la primera clave de base puede ser utilizada por el segundo de nodo de acceso de radio, o la información puede permitir el primer nodo de acceso de radio 40 para determinar si la primera clave base puede ser utilizada por el segundo nodo de acceso de radio.
Si en el paso 601 se determina que la primera clave base puede utilizarse por el segundo nodo de acceso de radio, el método además comprende el paso de enviar la primera clave base al segundo nodo de acceso de radio durante el traspaso del dispositivo de comunicación desde el primer nodo de acceso de radio al segundo nodo de acceso de radio (paso 603).
En adición, aunque no se muestra en la figura 6, si la primera clave base puede utilizarse por el segundo nodo de acceso de radio, el primer nodo de acceso de radio también manda una indicación al dispositivo de comunicación que la primera clave base se debe utilizar para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el segundo nodo de acceso de radio. Esta indicación puede incluirse en un mensaje que se refiere al traspaso del dispositivo de comunicación desde el primer nodo de acceso de radio al segundo nodo de acceso de radio. El mensaje puede ser un mensaje de reconfiguración de control de recurso de radio, RRC.
Si en el paso 601 se determina que la primera clave base no se puede utilizar por el segundo nodo de acceso de radio, el primer nodo de acceso de radio 40 determina una segunda clave base desde la primera clave base (paso 605). Esta derivación de clave puede llevarse a cabo de una manera convencional (por ejemplo, utilizando derivación horizontal o vertical). El primer nodo de acceso de radio 40 entonces manda la segunda clave base al segundo nodo de acceso de radio durante el traspaso del dispositivo de comunicación desde el primer nodo de acceso de radio al segundo nodo de acceso de radio (paso 607). En este caso el primer nodo de acceso de radio 40 puede también manda una indicación al dispositivo de comunicación para hacer que el dispositivo de comunicación determine una segunda clave base desde la primera clave base para utilizar con el segundo nodo de acceso de radio.
En algunas realizaciones, el primer nodo de acceso de radio 40 puede también enviar una indicación de un algoritmo de generación de clave de encriptación que se utilizó para determinar la primera clave de encriptación desde la primera clave base al segundo nodo de acceso de radio 40.
Como se nota posteriormente, en algunas realizaciones el primer nodo de acceso de radio y el segundo nodo de acceso de radio pueden compartir un estado o función PDCP.
La figura 7 ilustra un método de operar un dispositivo de comunicación (por ejemplo, un UE) 42 según las técnicas presentadas en el presente documento. El dispositivo de comunicación 42 se sirve por un primer nodo de acceso de radio 40 (por ejemplo, un eNB).
En un primer paso, el paso 701, en el traspaso del dispositivo de comunicación desde un primer nodo de acceso de radio (por ejemplo, eNB) 40 a un segundo nodo de acceso de radio (por ejemplo, eNB) 40, el dispositivo de comunicación recibe una indicación de si una primera clave base que se utiliza para determinar una primera clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el primer nodo de acceso de radio se pueden utilizar para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el segundo nodo de acceso de radio.
Esta indicación se puede recibir desde el primer nodo de acceso de radio 40 o el segundo nodo de acceso de radio 40.
Si la indicación recibida indica que la primera clave base se puede utilizar para determinar una segunda clave de encriptación (en el paso 703), el dispositivo de comunicación 42 determina una segunda clave de encriptación desde la primera clave base (paso 705). Esta segunda clave de encriptación puede entonces utilizarse para encriptar comunicaciones entre el dispositivo de comunicación y el segundo nodo de acceso de radio.
Si la indicación recibida indica que la primera clave base no se puede utilizar para determinar una segunda clave de encriptación (en el paso 703), el dispositivo de comunicación determina una segunda clave base desde la primera clave base (paso 707). Esta segunda clave base puede derivarse de una manera convencional, por ejemplo, utilizando derivación de clave horizontal o vertical.
El dispositivo de comunicación 42 entonces determina una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el segundo nodo de acceso de radio desde la segunda clave base (paso 709).
En algunas realizaciones, la indicación recibida en el paso 701 está en un mensaje que se refiere al traspaso del dispositivo de comunicación desde el primer nodo de acceso de radio al segundo nodo de acceso de radio el mensaje puede ser un mensaje de reconfiguración de control de recurso de radio, RRC.
Un método de operar un nodo de acceso de radio (por ejemplo, un eNB en una red LTE) 40 según las técnicas recibidas en el presente documento se muestra en a figura 8. El nodo de acceso de radio 40 también se denomina "segundo" nodo de acceso de radio posteriormente, y corresponde a la célula de destino para el dispositivo de comunicación.
En un primer paso, el paso 901, el segundo nodo de acceso de radio 40 recibe una primera clave base desde un primer nodo de acceso de radio 40 durante el traspaso de un dispositivo de comunicación desde el primer nodo de acceso de radio al segundo nodo de acceso de radio. El segundo nodo de acceso de radio 40 también recibe desde el primer nodo de acceso de radio una indicación de un algoritmo de generación de clave de encriptación que se utilizó para determinar una primera clave de encriptación desde una primera clave base (paso 903). El segundo nodo de acceso de radio 40 entonces utiliza la primera clave base y el algoritmo de generación de clave de encriptación indicado para determinar una clave de encriptación.
La primera clave base y algoritmo de generación de clave de encriptación indicado deberán haber sido utilizados previamente por el primer nodo de acceso de radio para generar una clave de encriptación para utilizar en comunicaciones de encriptación entre el primer nodo de acceso de radio y el dispositivo de comunicación, y entonces determinar una clave de encriptación utilizando la primera clave base y el algoritmo de generación de clave de encriptación indicado, el segundo nodo de acceso de radio 40 generará la misma clave de encriptación como la que se utilizó por el primer nodo de acceso de radio 40.
Un método ejemplar de operar un nodo de red según otra realización de las técnicas descritas en el presente documento se muestra en la figura 9. El nodo podría ser un nodo en la parte de red central de la red de comunicación (y por ejemplo el nodo podría ser un MME 36), o un nodo en el RAN de la red de comunicación (por ejemplo, un eNB 40, o una función o componente que es parte de una arquitectura eNB distribuida). Este nodo puede ser responsable para tomar una decisión en compartir una clave base y enviar la decisión al nodo de acceso de radio requerido.
Además, en un primer paso, paso 901, el nodo recibe una petición desde un primer nodo de acceso de radio en la red de comunicación para información en un segundo nodo de acceso de radio en la red de comunicación. La información requerida se refiere a si la primera clave base que se utilizó para determinar una primera clave de encriptación para encriptar comunicaciones entre un dispositivo de comunicación y el primer nodo de acceso de radio pueden utilizarse para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el segundo nodo de acceso de radio.
El nodo recupera u obtiene la información requerida y manda la información al primer nodo de acceso de radio 40 (paso 903), la información indicando si la primera clave base puede utilizarse por el segundo nodo de acceso de radio.
En algunas realizaciones, después de recibir la petición por información, el nodo puede determinar si la primera clave base puede utilizarse por un segundo nodo de acceso de radio. Esta determinación puede comprender el nodo determinando que la primera clave base puede utilizarse por el segundo nodo de acceso de radio si el primer nodo de acceso de radio y el segundo nodo de acceso de radio son parte de la misma zona de seguridad. El primer nodo de acceso de radio y el segundo nodo de acceso de radio pueden considerarse como parte de la misma zona de seguridad si el primer nodo de acceso de radio y el segundo nodo de acceso de radio: (a) están funcionando como máquinas virtuales separadas en el mismo equipo físico informático; (b) son dos contenedores dentro de la misma máquina virtual; (c) están implementados en placas en el mismo estante físico; (d) se determina por política de seguridad que pertenecen a la misma zona de seguridad; o (e) están localizados físicamente en el mismo lugar.
Una realización específica de las técnicas presentadas en el presente documento en el contexto de un traspaso X2 en una red LTE se muestra en la figura 10. Debería notarse que los principios descritos posteriormente pueden aplicarse a traspasos S1 u otros tipos de traspasos que utilizan seguridad y/o estructuras de mensaje similares.
La figura 10 muestra la señalización involucrada en un traspaso X2 de un dispositivo terminal (UE 42) desde un primer nodo de acceso de radio 40 que controla una célula maestra de origen (denotada "célula de origen" 78 en la figura 10), por ejemplo, un primer eNB 40, a un segundo nodo de acceso de radio 40 que controla una célula maestra de destino (denotada "célula de destino" 79 en la figura 10), por ejemplo, un segundo eNB 40. El término célula maestra en el presente documento se refiere a una célula que el UE 42 necesita haber establecido con un eNB 40 para considerarse conectada a ese eNB 40, y podría, por ejemplo, ser una Pcell (célula primaria).
La estructura del traspaso X2 generalmente comprende los siguientes pasos: un nodo en el RAN (por ejemplo, la célula de origen 40 en el ejemplo de la figura 10) decide que debe tener lugar un traspaso del UE 42 (paso 80 en la figura 10), el eNB que soporta o aloja la célula de origen 78 pide al eNB 40 que soporta o aloja la célula de destino 79 que se prepare para el traspaso (paso 84), el eNB 40 que aloja la célula de destino 79 reconoce positivamente la petición (paso 86), el eNB 40 que aloja la célula de origen 78 pide al UE 42 que reconfigure la conexión RRC para la célula de destino 79 (paso 88), y finalmente el UE 42 completa el traspaso informando al eNB 40 que aloja la célula de destino 79 (paso 90).
De este modo, en el paso 80 un nodo en la RAN decide que el UE 42 necesita cambiar desde la célula de origen 78 a la célula de destino 79. En este ejemplo el nodo que toma esta decisión es el eNB 40 que aloja la célula de origen 78, aunque es posible que la decisión se tome en un nodo diferente. La decisión se toma típicamente debido a razones de cobertura, por ejemplo calidad baja de señal, pero podría tomarse debido a otras razones tales como carga en la célula. El paso 80 se generalmente convencional y no se describirá más.
Antes de pedir al eNB 40 que aloja la célula de destino 79 que se prepare para un traspaso (que está representado por el envío del mensaje petición de preparación de traspaso 84 desde el eNB 40 que aloja la célula de origen 78 al eNB 40 que aloja la célula de destino 79), el eNB 40 que aloja la célula de origen 78 determina si la clave base AS actual (utilizada por el UE 42 y el eNB 40 para derivar claves de protección de encriptación y seguridad para proteger el tráfico transmitido en la célula de origen 78) puede utilizarse por el UE 42 y el eNB 40 que aloja la célula de origen 79 sin comprender seguridad. Esto se muestra como el paso 82 en la figura 10 (DeterminarMantenerClave). La clave base AS, por ejemplo KeNB, se utiliza para determinar una clave de encriptación para encriptar comunicaciones entre el UE 42 y el eNB 40 que aloja la célula de origen 78.
La decisión en el paso 82 puede basarse en uno o más factores, y en particular si el eNB 40 que aloja la célula de destino 79 está en la misma "zona de seguridad" que el eNB que aloja la célula de origen 78. Una zona de seguridad es tal como se definió anteriormente. La operadora del RAN puede ser capaz de configurar zonas de seguridad (por ejemplo, que células o eNB están en cada zona de seguridad). Puede haber una lista de células/eNB que están en cada zona de seguridad (que cada eNB 40 puede estar configurado con lo que puede accederse o consultarse por eNB), y la decisión en el paso 82 puede comprender determinar si la célula de destino 79 está en la misma lista que la célula de origen 78. Las células/eNB en cada zona de seguridad puede identificarse de numerosas maneras, por ejemplo, utilizando PCI específicos, identificadores para eNB 40 en el RAN, direcciones de protocolo de internet (IP), nombres de dominio cualificados completamente (FQDN) y/o direcciones de control de acceso de media (MAC) que están asociados con cada célula/eNB, y/o por rangos de nombres o direcciones (por ejemplo, cualquier célula/eNB que tiene una dirección en el rango específico se considera parte de la zona de seguridad).
Como se mencionó anteriormente con referencia a las figuras 6 y 9, aunque en algunas realizaciones el eNB que aloja la célula de origen 78 puede tomar la decisión en si el eNB que aloja la célula de destino 79 o la célula de destino 79 está en la misma zona de seguridad que el eNB que aloja la célula de origen 78 o la célula de origen 78 en sí (y por ello si el KeNB puede utilizarse después del traspaso del Ue 42), en otras realizaciones la decisión se puede tomar por otro nodo en la red de comunicación (por ejemplo, otro nodo en el RAN, o un nodo en la red central). En estas realizaciones, en el paso 82 el eNB que aloja la célula de origen 78 puede indicar a ese nodo que el UE 42 puede traspasarse a una célula de destino 79, el nodo puede determinar si la célula de origen 78 y la célula de destino 79 están en la misma zona de seguridad (por ejemplo, examinando una lista de células/eNB que están en la misma zona de seguridad que la célula de origen 78), y proporcionar una indicación apropiada al eNB que aloja la célula de origen 78.
Además de determinar si la célula de destino 79 está en la misma zona de seguridad que la célula de origen 78, el eNB que aloja la célula de origen 78 puede además considerar si el UE soporta la característica (es decir, la habilidad de utilizar el KeNB de la célula de origen 78 en la célula de destino 79), y/o si el eNB que aloja la célula de destino 79 soporta la característica (es decir, la habilidad de recibir el KeNB y de utilizarlo para el UE 42). El eNB que aloja la célula de origen 78 puede determinar si el UE 42 soporta la característica examinando las capacidades de UE que recibe como parte de la operación normal de LTE. El eNB que aloja la célula de origen 78 puede determinar puede determinar si el eNB que aloja la célula de origen 79 soporta la característica durante el establecimiento de conexión X2 o utilizando datos de configuración RAN o durante el procedimiento de traspaso, por ejemplo.
Si en el paso 82 el eNB que aloja la célula de origen 78 determina que el KeNB activo actualmente no puede utilizarse de forma segura en la célula de destino 79 (es decir, utilizando el KeNB actual en la célula de destino 79 después del traspaso comprometerá la seguridad), el traspaso ocurrirá según técnicas convencionales (por ejemplo, como se describe anteriormente con referencia a la figura 1). Eso es, una nueva clave base, denotada KeNB, se deriva por el eNB que aloja la célula de origen 78 para utilizar por el eNB que aloja la célula de destino 79 después del traspaso, y esta nueva clave base se manda al eNB que aloja la célula de destino 79.
De otra manera, si se determina en el paso 82 que el KeNB activo actualmente puede utilizarse por el eNB que aloja la célula de destino 79 sin comprometer la seguridad, el eNB que aloja la célula de origen 78 informa que el eNB que aloja la célula de destino 79 sobre la decisión al mismo tiempo que proporciona el eNB que aloja la célula de destino 79 con el KeNB en el mensaje petición de preparación de traspaso 84. Este mensaje 84 puede también incluir las capacidades de seguridad de UE, el valor de los conteos de protocolo de convergencia de datos de paquete (PDCP), y las identidades de los identificadores de portador de radio que se han utilizado para construir vectores de inicialización para el algoritmo de encriptación con el KeNB.
Cuando el eNB que aloja la célula de destino 79 recibe esta información, el eNB que aloja la célula de destino 79 no realiza ninguna derivación adicional en el KeNB recibido (que el eNB que aloja la célula de destino 79 de otra manera habría hecho según el procedimiento de traspaso convencional). Estas derivaciones de clave adicionales en el procedimiento de traspaso LTE convencional se refieren a la derivación realizada por el eNB que aloja la célula de destino 79 en un traspaso S1. En un traspaso S1, el eNB que aloja la célula de destino 79 recibe material de clave desde el MME y entonces realiza una derivación de ese material de clave junto con el PCI y EARFCN-DL de la célula maestra de destino para llegar a la clave base para utilizar en la célula de destino.
Después de tomar la decisión de si mantener el KeNB después de que se haya hecho el traspaso, el eNB que aloja la célula de origen 78 directa o indirectamente informa al UE 42 de la decisión, es decir, si el KeNB actualmente activo también debería utilizarse con la célula de destino 79. El eNB que aloja la célula de origen 78 puede informar al UE 42 de esto de un número de maneras diferentes.
En un primer ejemplo, donde el KeNB actualmente activo debería mantenerse después del traspaso, el eNB que aloja la célula de destino 79 puede crear una orden de traspaso en la que el eNB que aloja la célula de destino 79 expresa que el KeNB actualmente activo debería utilizarse también después del traspaso (es decir, no debe ocurrir ninguna derivación de clave horizontal o vertical) y que el mismo algoritmo de encriptación debe continuar para utilizarse. El objetivo de utilizar el mismo algoritmo de encriptación es asegurar que también la clave de encriptación derivada desde la clave base (KeNB) se mantiene la misma antes y después del traspaso. Esto puede desearse en accesos como LTE donde la clave de encriptación está obligada al algoritmo de encriptación con el que se debe utilizar mediante una
derivación de clave. Cualquier otro parámetro utilizado en la clave de encriptación puede también mantenerse igual para asegurar que la clave de encriptación no cambia en el traspaso. El eNB que aloja la célula de destino 79 puede enviar la orden de traspaso al eNB que aloja la célula de origen 78 para más transmisión al UE 42 en el mensaje de reconfiguración RRC 88.
En el segundo ejemplo, el eNB que aloja la célula de origen 78 puede incluir una indicación de la decisión de que puede pasar al UE 42 junto con la orden de traspaso en el mensaje de reconfiguración RRC 88.
En un tercer ejemplo, en vez de señalizar explícitamente el resultado de la decisión, el eNB que aloja la célula de origen 78 puede señalizar implícitamente el resultado de la decisión y si los mismos algoritmos de encriptación e integridad deberían utilizarse mediante otras combinaciones de elementos de información en los mensajes de traspaso. Por ejemplo, si no se pasa NCC y el UE 42 recibe un valor para un parámetro que está actualmente inutilizado según los estándares, el UE 42 puede deducir que la clave base activa actualmente (KeNB), y el algoritmo de protección de integridad y encriptación también debería utilizarse en la célula de destino 79. Un posible ejemplo de dicho valor de parámetro inutilizado podría ser un número de algoritmo de encriptación 7 (que está actualmente indefinido en 3GPP TS 36.331 clausula 6.3.3. Si se pasa en NCC, no es posible reutilizar el KeNB, ya que el paso del NCC indica que el eNB que aloja la célula de origen 78 ha derivado un KeNB desde una clave NH fresca en una derivación vertical.
Cuando el UE 42 recibe el mansaje de reconfiguración RRC 88 (que incluye la orden de traspaso) determina, en base a la información en el mensaje al respecto de la decisión para reutilizar la clave base (KeNB) que utiliza con el eNB que aloja la célula de origen 78, de si realizar una derivación de clave horizontal o vertical de la clave base (KeNB) para determinar una nueva clave base, KeNB, de si reutilizar el KeNB activo actualmente para proteger las comunicaciones con el eNB que aloja la célula de destino 79. Por si acaso se debe realizar una derivación de clave vertical y horizontal, el UE 42 derivará la clave base (KeNB*) de la manera convencional como se prescribe en LTE. Sin embargo, si la clave base (KeNB) se debe reutilizar, el UE 42 debería continuar utilizando la clave base actualmente activa (KeNB) también en la célula de destino 79.
En algunas realizaciones, la instancia PDCP puede ser una función que es central tanto al eNB que aloja la célula de origen 78 como al eNB que aloja la célula de destino 79, en cuyo caso la clave base (KeNB), PDCP cuenta y los identificadores portadores de radio utilizados no necesitan enviarse al eNB que aloja la célula de destino 79 por el eNB que aloja la célula de origen 78, y solo es necesario que el eNB que aloja la célula de origen 78 envíe al eNB que aloja la célula de destino 79 la información de que la clave base (KeNB) y el algoritmo de encriptación se seguirán utilizando.
La figura 11 es un diagrama de bloques de un primer nodo de acceso de radio 40 según una realización. El primer nodo de acceso de radio 40 es para utilizar en una red de comunicación 32 y comprende un procesador 1101 y una memoria 1102. La memoria 1102 contiene instrucciones ejecutables por el procesador 1101 de manera que el primer nodo de acceso de radio 40 está operativo para determinar si una primera clave base que se utiliza para determinar una primera clave de encriptación para encriptar comunicaciones entre un dispositivo de comunicación 42 y el primer nodo de acceso de radio 40 puede utilizarse por el segundo nodo de acceso de radio 40 para determinar una segunda clave de encriptación para encripta comunicaciones entre el dispositivo de comunicación 42 y el segundo nodo de acceso de radio 40, y enviar la primera clave base al segundo nodo de acceso de radio 40 durante el traspaso del dispositivo de comunicación 42 desde el primer nodo de acceso de radio 40 al segundo nodo de acceso de radio 40 si la primera clave base puede utilizarse por el segundo nodo de acceso de radio 40.
La figura 12 es un diagrama de bloques de un dispositivo de comunicación 42 según otra realización. El dispositivo de comunicación 42 comprende un procesador 1201 y una memoria 1202. La memoria 1202 contiene instrucciones ejecutables por el procesador 1201, donde el dispositivo de comunicación 42 está operativo para recibir una indicación de si una primera clave base que se utilizó para determinar una primera clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y un primer nodo de acceso de radio 40 en una red de comunicación 32 puede utilizarse para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y un segundo nodo de acceso de radio 40 en la red de comunicación 32 en el traspaso del dispositivo de comunicación 42 desde el primer nodo de acceso de radio 40 al segundo nodo de acceso de radio 40, determina una segunda clave de encriptación desde la primera clave base si la indicación recibida indica que la primera clave base puede utilizarse para determinar una segunda clave de encriptación; determina una segunda clave base desde la primera clave base si la indicación recibida no indica que la primera clave base puede utilizarse para determinar una segunda clave de encriptación, y determina una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y el segundo nodo de acceso de radio 40 desde la segunda clave base.
La figura 13 es un diagrama de bloques de un segundo nodo de acceso de radio 40 según una realización. El segundo nodo de acceso de radio 40 es para utilizar en una red de comunicación 32 y comprende un procesador 1301 y una memoria 1302. La memoria 1302 contiene instrucciones ejecutables por el procesador 1301 de manera que el segundo nodo de acceso de radio 40 está operativo para recibir una primera clave base desde un primer nodo de acceso de radio 40 en la red de comunicación 32 durante un traspaso de un dispositivo de comunicación 42 desde el primer nodo de acceso de radio 40 al segundo nodo de acceso de radio 40, recibir desde el primer nodo de acceso de radio 40 una indicación de un algoritmo de generación de clave de encriptación para utilizar para determinar una primera clave de encriptación desde la primera clave base; y determinar la primera clave de encriptación para encriptar
comunicaciones entre el dispositivo de comunicación 42 y el segundo nodo de acceso de radio 42 desde la primera clave base utilizando el algoritmo de generación de clave de encriptación indicado.
La figura 14 es un diagrama de bloques de un nodo 36, 38 según una realización más. El nodo 36, 38 es para utilizar en una red de comunicación 32, y el nodo 36, 38 comprende un procesador 1401 y una memoria 1402. La memoria 1402 contiene instrucciones ejecutables por el procesador 1401 de manera que el nodo 36, 38 está operativo para recibir una petición desde un primer nodo de acceso de radio 40 en la red de comunicación 32 para información en un segundo nodo de acceso de radio 40 en la red de comunicación 32, la información que se refiere a si la primera clave base que se utilizó para determinar una primera clave de encriptación para encriptar comunicaciones entre un dispositivo de comunicación 42 y el primer nodo de acceso de radio 40 que puede utilizarse para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y el segundo nodo de acceso de radio 40, y enviar información en el segundo nodo de acceso de radio 40 al primer nodo de acceso de radio 40, la información indicando si la primera clave base puede utilizarse por el segundo nodo de acceso de radio 40.
La figura 15 es un diagrama de bloques de un primer nodo de acceso de radio 40 según todavía a otra realización. El primer nodo de acceso de radio 40 se para utilizar en una red de comunicación 32 y comprende un primer módulo de determinación 1501 que se configura para determinar si una primera clave base que se utiliza para determinar una primera clave de encriptación para encriptar comunicaciones entre un dispositivo de comunicación 42 y el primer nodo de acceso de radio 40 se puede utilizar por un segundo nodo de acceso de radio 40 para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y el segundo nodo de acceso de radio 40. El primer nodo de acceso de radio 40 también comprende un primer módulo de envío 1502 que está configurado para enviar una primera clave base a un segundo nodo de acceso de radio 40 durante un traspaso del dispositivo de comunicación 42 desde el primer nodo de acceso de radio 40 al segundo nodo de acceso de radio 40 si la primera clave base se puede utilizar por el segundo nodo de acceso de radio 40.
La figura 16 es un diagrama de bloques de un dispositivo de comunicación según todavía otra realización. El dispositivo de comunicación 42 comprende un módulo receptor 1601 que está configurado para recibir una indicación de si una primera clave base que se utilizó para determinar una primera clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y un primer nodo de acceso de radio 40 en una red de comunicación 32 se puede utilizar para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y un segundo nodo de acceso de radio 40 en la red de comunicación 32 en el traspaso del dispositivo de comunicación 42 desde el primer nodo de acceso de radio 40 al segundo nodo de acceso de radio 40; un primer módulo de determinación 1602 configurado para determinar una segunda clave de encriptación desde la primera clave base si la indicación recibida indica que la primera clave base puede utilizarse para determinar una segunda clave de encriptación; un segundo módulo de determinación 1603 configurado para determinar una segunda clave base desde la primera clave base si la indicación recibida no indica que la primera clave base puede utilizarse para determinar una segunda clave de encriptación; y un tercer módulo de determinación 1604 configurado para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y el segundo nodo de acceso de radio 40 desde la segunda clave base.
La figura 17 es un diagrama de bloques de un segundo nodo de acceso de radio 40 según todavía otra realización. El segundo nodo de acceso de radio 40 es para utilizar una red de comunicación 32 y comprende un primer módulo receptor 1701 configurado para recibir una primera clave base desde un primer nodo de acceso de radio 40 en la red de comunicación 32 durante el traspaso de un dispositivo de comunicación 42 desde el primer nodo de acceso de radio 40 al segundo nodo de acceso de radio 40, un segundo módulo receptor 1702 configurado para recibir desde el primer nodo de acceso de radio 40 una indicación de un algoritmo de generación de clave de encriptación para utilizar para determinar una primera clave de encriptación desde la primera clave base; y un módulo de determinación 1703 configurado para determinar la primera clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y el segundo nodo de acceso de radio 40 desde la primera clave base utilizando el algoritmo de generación de clave de encriptación indicado.
La figura 18 es un diagrama de bloques de un nodo 36, 38 según todavía otra realización. El nodo 36, 38 es para utilizar en una red de comunicación 32, y comprende un módulo receptor 1801 configurado para recibir una petición desde un primer nodo de acceso de radio 40 en la red de comunicación 32 para información en un segundo nodo de acceso de radio 40 en la red de comunicación 32, la información que se refiere a si la primera clave base que se utilizó para determinar una primera clave de encriptación para encriptar comunicaciones entre un dispositivo de comunicación 42 y el primer nodo de acceso de radio 40 puede utilizarse para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación 42 y el segundo nodo de acceso de radio 40, y un módulo de envío 1802 configurado para enviar información en el segundo nodo de acceso de radio 40 al primer nodo de acceso de radio 40, la información indicando si la primera clave base puede utilizarse por el segundo nodo de acceso de radio 40.
Como se mencionó anteriormente, las técnicas descritas en el presente documento pueden proporcionar un número de ventajas. Por ejemplo, las técnicas pueden: proporcionar más implementaciones eficientes de traspasos para eNB, proporcionar un traspaso más rápido y suave, proporcionar que una operadora configure la red para utilizar los recursos más eficientemente y no rebase la seguridad, soportar la virtualización/nubificación de las funciones de red
con menos requisitos para la memoria intermedia y disminuir retrasos en el traspaso, y/o proporcionar la posibilidad de realizar traspasos no interrumpidos cuando se utiliza más de una portadora.
Modificaciones y otras variantes de la(s) realización/realizaciones descrita(s) se le ocurrirán a alguien experto en la técnica que tiene el beneficio de las enseñanzas presentadas en las descripciones que vienen adelante y los dibujos asociados. Por ello, se debe entender que la(s) realización/realizaciones no debe(n) limitarse a los ejemplos específicos divulgados y que se intenta que las modificaciones y otras variantes se incluyan dentro del alcance de esta divulgación. Aunque se empleen en el presente documento diferentes términos, se utilizan en un sentido genérico y descriptivo y no con fines de limitación. El alcance de la invención se define por las reivindicaciones adjuntas.
Claims (2)
1. Un método para operar un nodo en una red de comunicación, comprendiendo el método:
recibir (901) una petición desde un primer nodo de acceso de radio en la red de comunicación para información en un segundo nodo de acceso de radio en la red de comunicación, refiriéndose la información a si una primera clave base que se utilizó para determinar una primera clave de encriptación para encriptar comunicaciones entre un dispositivo de comunicación y el primer nodo de acceso de radio puede utilizarse para determinar una segunda clave de encriptación para encriptar comunicaciones entre el dispositivo de comunicación y el segundo nodo de acceso de radio;
determinar si la primera clave base puede utilizarse por el segundo nodo de acceso de radio, en donde el paso de determinar (901) comprende determinar que la primera clave base puede utilizarse por el segundo nodo de acceso de radio si el primer nodo de acceso de radio y el segundo nodo de acceso de radio son parte de la misma zona de seguridad, en donde el primer nodo de acceso de radio y el segundo nodo de acceso de radio son parte de la misma zona de seguridad si el primer nodo de acceso de radio y el segundo nodo de acceso de radio: (a) están funcionando como máquinas virtuales separadas en el mismo equipo físico informático; (b) son dos contenedores dentro de la misma máquina virtual; (c) están implementados en placas en el mismo estante físico; (d) se determina por una política de seguridad que pertenecen a la misma zona de seguridad; o (e) están localizados físicamente en el mismo lugar; y
enviar (903) información en el segundo nodo de acceso de radio al primer nodo de acceso de radio, indicando la información si la primera clave base puede utilizarse por el segundo nodo de acceso de radio.
2. Un nodo (36; 38) para su uso en una red de comunicación (32), estando adaptado el nodo para realizar el método según la reivindicación 1.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562238966P | 2015-10-08 | 2015-10-08 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2896057T3 true ES2896057T3 (es) | 2022-02-23 |
Family
ID=57018165
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES19190259T Active ES2896057T3 (es) | 2015-10-08 | 2016-09-20 | Nodo para su uso en una red de comunicación y método para operar el mismo |
ES16775001T Active ES2753824T3 (es) | 2015-10-08 | 2016-09-20 | Nodos para uso en una red de comunicación y métodos para operar los mismos |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES16775001T Active ES2753824T3 (es) | 2015-10-08 | 2016-09-20 | Nodos para uso en una red de comunicación y métodos para operar los mismos |
Country Status (12)
Country | Link |
---|---|
US (2) | US11012897B2 (es) |
EP (2) | EP3641367B1 (es) |
JP (1) | JP6633745B2 (es) |
KR (1) | KR102048225B1 (es) |
CN (1) | CN108370508B (es) |
BR (1) | BR112018007080A2 (es) |
DK (2) | DK3641367T3 (es) |
ES (2) | ES2896057T3 (es) |
NZ (1) | NZ741170A (es) |
PL (2) | PL3641367T3 (es) |
PT (2) | PT3641367T (es) |
WO (1) | WO2017061924A1 (es) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017162309A1 (en) * | 2016-03-22 | 2017-09-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and network nodes for multi-connectivity handling in a communication system |
EP3263832A1 (en) * | 2016-06-30 | 2018-01-03 | Openfield | Method and device for depth positioning downhole tool and associated measurement log of a hydrocarbon well |
KR102502279B1 (ko) * | 2016-07-08 | 2023-02-21 | 삼성전자 주식회사 | 무선 통신 시스템에 있어서 핸드오버를 수행하는 방법 및 장치 |
WO2018237373A1 (en) | 2017-06-23 | 2018-12-27 | Motorola Mobility Llc | METHOD AND APPARATUS FOR REFRESHING THE SECURITY KEYS OF A SUBASSEMBLY OF CONFIGURED RADIO MEDIA |
EP4221290A1 (en) * | 2017-06-23 | 2023-08-02 | Motorola Mobility LLC | Method and apparatus for implementing bearer specific changes as part of a connection reconfiguration that impacts the security keys being used |
CN109309919B (zh) * | 2017-07-27 | 2021-07-20 | 华为技术有限公司 | 一种通信方法及设备 |
CN109309918B (zh) * | 2017-07-27 | 2021-06-08 | 华为技术有限公司 | 通信方法、基站和终端设备 |
WO2019019121A1 (zh) * | 2017-07-27 | 2019-01-31 | 华为技术有限公司 | 小区切换方法和装置 |
JP7390359B2 (ja) | 2018-08-09 | 2023-12-01 | 中興通訊股▲ふん▼有限公司 | セキュリティキー生成技術 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6418130B1 (en) | 1999-01-08 | 2002-07-09 | Telefonaktiebolaget L M Ericsson (Publ) | Reuse of security associations for improving hand-over performance |
US8320561B2 (en) * | 2007-08-08 | 2012-11-27 | Qualcomm Incorporated | Key identifier in packet data convergence protocol header |
US8307414B2 (en) * | 2007-09-07 | 2012-11-06 | Deutsche Telekom Ag | Method and system for distributed, localized authentication in the framework of 802.11 |
US9167505B2 (en) * | 2007-10-08 | 2015-10-20 | Qualcomm Incorporated | Access management for wireless communication |
US8179860B2 (en) * | 2008-02-15 | 2012-05-15 | Alcatel Lucent | Systems and method for performing handovers, or key management while performing handovers in a wireless communication system |
KR20090126166A (ko) * | 2008-06-03 | 2009-12-08 | 엘지전자 주식회사 | 트래픽 암호화 키 생성 방법 및 갱신 방법 |
CN101621374A (zh) * | 2008-06-30 | 2010-01-06 | 华为技术有限公司 | 一种网络认证的方法、装置、系统及服务器 |
JPWO2010116621A1 (ja) | 2009-03-30 | 2012-10-18 | パナソニック株式会社 | 無線通信装置 |
CN101702802B (zh) * | 2009-11-03 | 2012-10-17 | 中兴通讯股份有限公司 | 移动终端越区切换的方法 |
CN104885518B (zh) * | 2012-12-24 | 2019-03-12 | 诺基亚技术有限公司 | 在无线电局域网中用于区分安全配置的方法和装置 |
KR102078866B1 (ko) | 2013-08-09 | 2020-02-19 | 삼성전자주식회사 | 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안 |
EP2922326B1 (en) * | 2014-03-21 | 2018-12-19 | Sun Patent Trust | Security key derivation in dual connectivity |
KR102349361B1 (ko) * | 2015-05-29 | 2022-01-10 | 애플 인크. | 5g 및 lte 시스템 및 장치에서의 단절없는 이동 |
US10728756B2 (en) * | 2016-09-23 | 2020-07-28 | Qualcomm Incorporated | Access stratum security for efficient packet processing |
US20180368049A1 (en) * | 2017-06-20 | 2018-12-20 | Qualcomm Incorporated | Method and apparatus for gathering network neighborhood information and generating a reduced neighbor report |
-
2016
- 2016-09-20 ES ES19190259T patent/ES2896057T3/es active Active
- 2016-09-20 PT PT191902592T patent/PT3641367T/pt unknown
- 2016-09-20 BR BR112018007080-7A patent/BR112018007080A2/pt unknown
- 2016-09-20 DK DK19190259.2T patent/DK3641367T3/da active
- 2016-09-20 EP EP19190259.2A patent/EP3641367B1/en active Active
- 2016-09-20 NZ NZ741170A patent/NZ741170A/en unknown
- 2016-09-20 JP JP2018517763A patent/JP6633745B2/ja active Active
- 2016-09-20 DK DK16775001T patent/DK3360359T3/da active
- 2016-09-20 EP EP16775001.7A patent/EP3360359B1/en active Active
- 2016-09-20 KR KR1020187012565A patent/KR102048225B1/ko active IP Right Grant
- 2016-09-20 WO PCT/SE2016/050879 patent/WO2017061924A1/en active Application Filing
- 2016-09-20 CN CN201680071628.8A patent/CN108370508B/zh active Active
- 2016-09-20 PL PL19190259T patent/PL3641367T3/pl unknown
- 2016-09-20 PL PL16775001T patent/PL3360359T3/pl unknown
- 2016-09-20 PT PT16775001T patent/PT3360359T/pt unknown
- 2016-09-20 US US15/306,806 patent/US11012897B2/en active Active
- 2016-09-20 ES ES16775001T patent/ES2753824T3/es active Active
-
2020
- 2020-11-30 US US17/107,727 patent/US11758443B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN108370508A (zh) | 2018-08-03 |
US11012897B2 (en) | 2021-05-18 |
CN108370508B (zh) | 2021-04-16 |
ES2753824T3 (es) | 2020-04-14 |
NZ741170A (en) | 2019-12-20 |
DK3641367T3 (da) | 2021-09-13 |
BR112018007080A2 (pt) | 2018-10-23 |
KR102048225B1 (ko) | 2019-11-25 |
US11758443B2 (en) | 2023-09-12 |
DK3360359T3 (da) | 2019-11-04 |
PT3641367T (pt) | 2021-08-24 |
JP6633745B2 (ja) | 2020-01-22 |
JP2018536333A (ja) | 2018-12-06 |
PT3360359T (pt) | 2019-09-26 |
WO2017061924A1 (en) | 2017-04-13 |
EP3360359A1 (en) | 2018-08-15 |
EP3641367A1 (en) | 2020-04-22 |
PL3641367T3 (pl) | 2022-01-10 |
EP3360359B1 (en) | 2019-08-07 |
KR20180063248A (ko) | 2018-06-11 |
PL3360359T3 (pl) | 2020-01-31 |
US20210084544A1 (en) | 2021-03-18 |
EP3641367B1 (en) | 2021-08-04 |
US20170272985A1 (en) | 2017-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2896057T3 (es) | Nodo para su uso en una red de comunicación y método para operar el mismo | |
US11653199B2 (en) | Multi-RAT access stratum security | |
ES2860687T3 (es) | Modo de operación de conectividad dual de un equipo de usuario en una red de comunicación inalámbrica | |
EP2965554B1 (en) | Method and system to enable secure communication for inter-enb transmission | |
ES2882071T3 (es) | Nodo de red para uso en una red de comunicación, dispositivo de comunicación y métodos de operación del mismo | |
US11026136B2 (en) | Handovers with simplified network topology | |
EP2897398B1 (en) | Key isolation method and device | |
KR20150018265A (ko) | 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안 | |
EP3326424B1 (en) | Apparatus, system and method of communicating between a cellular manager and a user equipment (ue) via a wlan node | |
EP3360357B1 (en) | A radio access node and a method of operating the same | |
ES2934314T3 (es) | Gestión de claves para CIoT | |
EP4073996B1 (en) | User equipment, network node and methods in a wireless communications network | |
WO2022055402A1 (en) | Source and target network nodes and methods therein for preventing agents from illegitimately identifying the source network node when resuming a wireless terminal in a target network node in a wireless communications network |