JP2012527203A - 切替過程におけるキーの生成方法及システム - Google Patents

切替過程におけるキーの生成方法及システム Download PDF

Info

Publication number
JP2012527203A
JP2012527203A JP2012511132A JP2012511132A JP2012527203A JP 2012527203 A JP2012527203 A JP 2012527203A JP 2012511132 A JP2012511132 A JP 2012511132A JP 2012511132 A JP2012511132 A JP 2012511132A JP 2012527203 A JP2012527203 A JP 2012527203A
Authority
JP
Japan
Prior art keywords
enb
key
target
ciphertext
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012511132A
Other languages
English (en)
Other versions
JP5859956B2 (ja
Inventor
バイ,シャオチュン
ジャン,シュウー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2012527203A publication Critical patent/JP2012527203A/ja
Application granted granted Critical
Publication of JP5859956B2 publication Critical patent/JP5859956B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0061Transmission or use of information for re-establishing the radio link of neighbour cell information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は切替過程におけるキーの発生方法及びシステムを提供し、前記方法は、移動性管理エンティティMME (103)が、ユーザ設備UE (101)がカレント所在する進化型基地局eNB (102)即ちソースeNBに基づいて、前記ソースeNBのすべての隣接のeNB (S130)を知り、前記ソースeNBと各隣接のeNBのためにそれぞれキー(S140)を生成し、且つ相応のeNB公開鍵でそれぞれ暗号化して暗号文(S150)を得て、すべての暗号文、キー及び基地局識別子を前記UE (S160)に発信することと、前記UEの切替過程に、目標が前記UEから前記目標の対応する暗号文を取得し、自分の秘密鍵で復号化してキー(S260)を得ることとを含む。本発明は、従来の方法にソースeNBがネクストホップUEのキーを知ることができる問題を克服し、UEが非切替態にある時期を利用して、切替データ準備を完成し、切替過程におけるキーの生成方法を簡単化させ、且つMMEが切替プロセスに参与する必要がなく、切替過程の無線性能を向上させる。
【選択図】図1

Description

本発明は通信分野に関し、特に、切替過程におけるキーの生成方法及びシステムに関する。
3GPP進化型パケットシステム(Evolved Packet System、EPSと略称)は進化型地上波無線アクセスネットワーク(Evolved UMTS Terrestrial Radio Access Network、EUTRANと略称)と進化型パケットコア(Evolved Packet Core、EPCと略称)からなる。
その中で、EPCは移動性管理エンティティ(MME、mobility management entity)を含み、移動性管理エンティティが移動性の管理、非アクセス層シグナリングの処理、及びユーザーセーフモードの管理等の制御方面に関連することを行う。その中で、MMEがEUTRANのルートキーアクセスセキュリティ管理エンティティキー(Key Access Security Management Entity、KASME)を記憶し、且つKASMEとアップリンクNAS SQN(非アクセス層シーケンス番号)でeNBに使用されるアクセス層のルートキー進化型基地局キー(Key eNB、KeNB)を生成する。
その中で、進化型UTRANに、基地局設備が進化型基地局(evolved Node-B、eNBと略称)であり、主に無線通信、無線通信管理、及び移動性コンテキストの管埋を行う。
その中、eNBとEPCの間の通信をネットワークドメインセキュリティ対策で暗号化し、即ち、EPCがeNBの公開鍵でメッセージに対して暗号し、目標eNBが自分の秘密鍵で復号化する。
3GPPにおいて1つのeNBは複数のセルを含み、ユーザ設備(User Equipment、UE)の切替がセルの間に行うため、UEの切替が同一のeNBに行う可能性があり、2つの異なるeNBの間に行う可能性もある。
従来、最新の切替状態キー生成方法は以下の通りであり、
初期接続するときに、MMEがネクストホップパラメータ(Next Hop parameter、NH)、NHの変更カウンタ( NH Chaining Counter、NCC)、及びKenbを生成する。
Kenb=KDF(Kasme、NasCount)、
(注:KDFがパスワード生成関数であり、NasCountが非アクセス層アップリンクメッセージカウントである)
NH=NULL、NCC=0、
以上の初期化を経て、MMEがKenbをeNBに発信し、初期キーKenbを生じる。UEもMMEと同様な方法でKenbを得る。
切替において、ソースeNBがKenbに基づいてKenb*を計算し出し、且つNHとKenb*を目標eNBに伝送し、ソースeNBが切り替える再配置メッセージに、UEにNCCを携帯する。UEが自分の記憶したNHに基づいてKenbを計算し出し、計算公式が
Kenb=KDF(Kenb*、NH)であり、
目標eNBも同様な方法でKenbを計算し出す。
MMEがNH値に対してアップデートを行い、アップデート方式が
NH=KDF(Kasme、NH)であり、
且つアップデートごとに、NCCに1を加える。
MMEがNHをアップデートした後、アップデートしたNH値とNCCを目標eNBに伝送し、UEが受信したNCC値に基づいて、自分の記憶したNCCと比較し、NCCの相違回数に基づいて、新しいNH値を計算する。
全体切替過程にUE、eNBおよびMMEがNCCとNH値を協議し、且つ数回でNH値をアップデートする方式によってキーKenbを得る。
該考案はソースeNBがUEネクストホップ時のキーKenbを導出することができ、安全の隠れた危険をもたらし、且つ全体過程の計算が複雑し、且つ同期しなければならないパラメータが多い欠点を有する。
本発明は解決しようとする技術課題は切替過程におけるキーの生成方法及びシステムを提案し、従来技術にソースeNBがUEネクストホップのときのキーKenbを導出することができ、安全の隠れた危険をもたらす問題を克服することである。
前記技術課題を解決するために、本発明は切替過程におけるキーの生成方法を提供し、
移動性管理エンティティMMEは、ユーザ設備UEがカレント所在する進化型基地局eNB即ちソースeNBに基づいて、前記ソースeNBのすべての隣接のeNBを知り、前記ソースeNBと各隣接のeNBにそれぞれキーを生成し、且つ相応のeNB公開鍵でそれぞれ前記キーに暗号化して暗号文を得て、すべての暗号文、キー及び基地局識別子を前記UEに発信することと、及び
前記UEの切替過程に、目標eNBが、前記UEから前記目標eNBの対応する暗号文を取得し、自分の秘密鍵で該暗号文を復号化して、キーを得ることを含む。
前記方法はさらに以下の特徴を有してもよい:
前記目標eNBの対応する暗号文が前記UEにより直接に前記目標eNBに発信するものである。
前記方法はさらに以下の特徴を有してもよい:
前記目標eNBが、前記UEから前記目標eNBの対応する暗号文を取得するステップは、
ソースeNBがUE報告した測量報告に基づいて、前記UEに対して切替判断を行い、ネクストホップの目標セルを確定するステップと、
前記ソースeNBが切替メッセージを前記UEに発信し、前記切替メッセージに目標エリアの所在する基地局識別子即ち目標基地局識別子を携帯するステップと、
前記UEが前記目標基地局識別子、及び対応関係に応じて記憶した暗号文、キー、基地局識別子に基づいて、目標eNBの対応する暗号文とキーを得るステップと、
前記UEが切替終了メッセージに目標eNBの対応する暗号文を携帯して、目標eNBに発信するステップとを含み、
前記キーを得るステップの後、前記方法はさらに
前記UEが目標eNBの対応するキーを使用して、目標eNBとの交互ルートキーとすることを含む。
前記方法はさらに以下の特徴を有してもよい:
前記目標eNBの対応する暗号文が、前記UEがすべての暗号文と対応する基地局識別子とをソースeNBに発信した後、前記ソースeNBにより目標eNBに発信するものである。
前記方法はさらに以下の特徴を有してもよい:
前記目標eNBが、前記UEから前記目標eNBの対応する暗号文を取得するステップは、
UEが報告した測量報告にすべての暗号文と対応する基地局識別子を携帯して、ソースeNBに発信するステップと、
ソースeNBがUEの測量情報に基づいて切替判断を行い、目標セルを確定するステップと、
ソースeNBが目標セルの所在するeNB即ち目標eNBに基づいて、対応する暗号文を取得して、前記目標eNBの対応する暗号文を目標eNBに発信するステップを含み、
前記キーを得るステップ後、前記方法はさらに、
目標eNBがソースeNBに切替確認メッセージを返事することと、
ソースeNBがUEに切替命令を発信し、目標基地局識別子を携帯することと、
UEが前記目標基地局識別子に基づいて該目標基地局の対応するキーを知ることを含む。
前記方法はさらに以下の特徴を有してもよい:
前記相応のeNB公開鍵でそれぞれ前記キーに対して暗号化して暗号文を得るステップ前に、前記方法はさらに、MMEが前記キーにサインすることを含み、
自分の秘密鍵で該暗号文を復号化するステップのあと、及び前記キーを得るステップの前に、前記方法はさらに、前記MMEの公開鍵で認証することを含む。
前記技術課題を解決するために、本発明はさらに、切替過程におけるキーの生成システムを提供し、UE、ソースeNB、目標eNB、及びMMEを含み、
前記MMEは、前記UEがカレント所在するeNB即ちソースeNBに基づいて、前記ソースeNBのすべての隣接のeNBを知り、前記ソースeNBと各隣接のeNBにそれぞれキーを生成し、且つ相応のeNB公開鍵でそれぞれ前記キーを暗号化して暗号文を得て、すべての暗号文、キー及び基地局識別子を前記UEに発信するように設置される。
前記目標eNBは、前記UEが切り替える過程に、前記目標eNBの対応する暗号文を取得し、自分の秘密鍵で該暗号文を復号化して、キーを得るように設置される。
前記システムはさらに以下の特徴を有しても良い:
前記UEは、切替の過程に、前記目標eNBの対応する暗号文を目標eNBに発信するように設置される。
前記システムはさらに以下の特徴を有しても良い:
前記UEは、すべての暗号文と対応する基地局識別子とをソースeNBに発信するように設置され、
前記ソースeNBは、前記UEが切り替える過程に、目標eNBの対応する暗号文を目標eNBに発信するように設置される。
前記システムはさらに以下の特徴を有しても良い:
前記MMEはさらに、相応のeNB公開鍵でそれぞれ前記キーを暗号化して暗号文を得る前に、前記キーにサインするように設置され、
前記目標eNBはさらに、受信した暗号文に対して自分の秘密鍵で復号化した後、キーを得る前に前記MMEの公開鍵で認証するように設置される。
本発明は従来の方法にソースeNBがネクストホップUEのKenbを知ることができる問題を克服し、UEが非切替態にある時期を利用して、切替データの準備を完成し、切替過程におけるキーの生成方法を簡単化させ、且つMMEが切替プロセスに参与する必要がなく、切替過程の無線性能を向上させる。
本発明実施例のUEの接続が確立した後、MMEがUEのために切替パラメータを設置する過程である。 本発明実施例的UEが切り替えるときに、切替パラメータで切替状態を完成するキー生成過程である。 本発明応用例1のフローチャート図である。 本発明応用例3のフローチャート図である。
本発明において、MMEを利用して切替キーを生成し、且つキーに対して暗号化し、さらに暗号文をUEに発信する。UEが切り替えるときに、目標eNBが前記暗号文を取得し、復号化してキーを得る。
具体的に、
1、MMEはUEの所在するeNB(即ち、ソースeNB)に基づいて、該eNBすべての隣接のeNB、即ち、該UEが切り替えるまで可能性があるすべてのeNBを知ることと、
2、MMEは前記ソースeNBと各隣接のeNBのためにランダムにキーKenbを生成し、且つ対応するeNB公開鍵で暗号化して暗号文S*を得て、すべての暗号文S*、Kenb、基地局識別子enbIDをUEに発信することと、
3、前記UEの切替過程に、目標eNBが、前記UEから前記目標eNBの対応する暗号文S*を取得し、自分の秘密鍵で復号化してキーKenbを得ることとを含む。
その中、目標eNBが前記UEから前記目標eNBの対応する暗号文S*を得る方式は、
UEが切り替える過程に、前記UEが直接に前記目標eNBの対応の暗号文S*を目標eNBに発信し、或いは、前記UEがすべての暗号文S*と対応する基地局識別子enbIDをソースeNBに発信し、前記UEの切替過程に、前記ソースeNBが目標eNBの対応する暗号文S*を目標eNBに発信することであってよい。
次に、本発明について、図面及び具体的な実施例を結合して詳しく説明する。
本発明の実施例において、切替ときのキー生成方法を提供しており、以下のステップが必要である。
ステップ1、MMEを配置する、MME端に1枚データ表を配置し、該表にいずれのeNBの対応する1組がそれと切り替える可能性があるeNBを記録し、この組のeNBを本文では隣接のeNBと言う。即ち、UEが1つのeNB(即ち、ソースeNB)に接続を確立して、切替が発生すると、目標eNBが必ず隣接のeNBに含まれる。
前記隣接のeNBとソースeNBが交差関係であってもよく或は包含関係であってもよく、それらの間に直接の切替関係が発生する可能性さえあれば、それらが隣接関係であることと考えられる。
ステップ2、ステップ1のデータの支持に基づいて、UEが正常の接続を確立した後、切替データの設置を行い、該ステップは以下のステップ(図1に示すように)に分けられる。
S110、UEが接続を確立することが成功した或いは切り替えることが成功した、且つアクセス層と非アクセス層とが安全にアクティブにされる。
S120、UEがMMEに切替データ配置をアップデートすることを申請する。
S130、MMEがUEの所在するeNBに基づいて、ステップ1のデータを利用して、該eNBすべての隣接のeNBを取得する。
S140、MMEが各隣接のeNBとUEの所在するeNBにランダムに1組のキーKenbを生成し、Kenbが前記各eNBと一々対応する。
S150、S140における対応関係に基づいて、MMEがeNBの公開鍵でKenbに対して暗号化を行い、1組の暗号文S*を得て、S*とeNBも一々対応する。
S160、MMEが以上に生成したKenb、S*及びeNBIDを対応関係に応じて、非アクセス層メッセージによってUEに知らせる。
S170、UEが対応関係に応じてKenb、S*、eNBIDを記憶する。
ステップ3、UEがステップ2のデータ準備を完成することに基づいて、UEが切替過程を実施し、該ステップはさらに、以下のステップ(図2に示すように)に分けられる。
S210、ソースセルが属するeNB(即ち、ソースeNB)は、UEの報告した測量報告に基づいて、UEに対して切替判断を行い、ネクストホップの目標セルを確定する。
S220、ソースeNBが切替メッセージをUEに発信し、メッセージに目標セルの所在する基地局識別子eNBIDを携帯する。
S230、UEがeNBIDに基づいて、ステップ2のデータで、対応するKenbとS*を得る。
S240、UEが切替完成したメッセージに、S*が発信した目標エリアに属するeNB(即ち、目標eNB)を携帯し、このメッセージに対して完整性保護だけを行い、暗号化しない。
S250、目標eNBがS*を受信した後、eNBの秘密鍵で復号化し、Kenbを得る。
S260、UEがステップ3に得たKenbをカレントeNBとの交互ルートキーとする。
ステップ4、UE切替が完成し、切替データをアップデートする。
切替が完成し、UEがステップ2に基づいて、自分の切替データをアップデートする。
本実施例において、UEが、直接に前記目標eNBの対応する暗号文S*を目標eNBに発信する。実際応用に、UEがすべての暗号文S*と対応するeNBIDをソースeNBに発信することをさらに採用してもよく、前記UEの切替過程に、前記ソースeNBが、目標eNBの対応する暗号文S*を目標eNBに発信する。
さらに、MMEがKenbに対してサインを行う方式を採用してもよく、S*の安全性を向上させる。
本発明の実施例に係る切替過程におけるキーの生成システムは、UE、ソースeNB、目標eNB、及びMMEを含み、
前記MMEが、前記UEがカレントに所在するeNB即ちソースeNBに基づいて、前記ソースeNBのすべての隣接のeNBを知り、前記ソースeNBと各隣接のeNBためにそれぞれキーを生成し、且つ相応のeNB公開鍵でそれぞれ得た暗号文を暗号化し、すべての暗号文、キー及び基地局識別子を前記UEに発信することに用いられ、
目標eNBが、前記UEの切替過程に、前記目標eNBの対応する暗号文を取得し、自分の秘密鍵で復号化してキーを得ることに用いられ、
前記UEが、切替の過程に、前記目標eNBの対応する暗号文を目標eNBに発信することに用いられる。
或いは、前記UEがすべての暗号文と対応する基地局識別子とをソースeNBに発信することに用いられ、前記ソースeNBが前記UEの切替過程に、目標eNBの対応する暗号文を目標eNBに発信することに用いられる。
前記MMEがさらに、前記ソースeNBと各隣接のeNBにそれぞれキーを生成した後、まず前記キーにサインし、次に対応するeNBの公開鍵でそれぞれキーに対して暗号化を行って暗号文を得ることに用いられ、前記目標eNBがさらに、受信した暗号文に対して自分の秘密鍵で復号化した後、前記MMEの公開鍵で認証して、キーを得ることに用いられる。
次に、さらに本発明について、具体的な応用例で詳しく述べる。
応用例1
図3に本発明応用例1による、UE切替過程におけるキーの生成方法に用いられるフローチャート図を示す。
図における3本点線L1、L2、L3が全体プロセスを3つの段階に分ける。
L1以上はMME配置段階であり、該段階が実際にネットワーク構築した後、eNBのカーバ情況に基づいて、eNBの隣接関係表を生成し、静態的にデータを配置することに属する。
L1とL2の間には、UEが接続を確立した後、MMEがUEのために切替データ配置を行うことである。
L2とL3の間には、UEが切替過程にキーKenbの生成過程である。
次に、実現ステップについて説明する。
S305、本ステップは実際にネットワーク構築した後、すべてのeNBのカーバ情況に基づいて、すべてのeNBが隣接のeNBとの関係配置を完成する。隣接のeNBが満たす条件は、ソースeNBの下で接続したUEは切替が発生すれば、その目標eNBがソースeNBと隣接関係であることである。前記条件に基づいて、各eNBが必ず1組のeNBと隣接する。
S310、UEがソースセルにあって、接続を成功に確立し、或いは切替が完成し、且つ安全にアクティブにされる時。このとき、UEが正常な接続態にある。
S315、正常な接続態に入った後、UEが非アクセス層メッセージによって、MMEに切替データをアップデートすることを申請する。非アクセス層メッセージが、アクセス層と異なるキーでメッセージ暗号化を行うため、該メッセージがeNBに対して不可視である。
S320、MMEは、UEがこのとき所在するeNBに基づいて、その隣接のeNBを確定する。
S325、MMEが各隣接のeNBのためにランダムに1つのキーKenbを生成する。UEが切り替えるときに、セルの間に行い、セルとeNBの関係が、1つのeNBに複数のセルを含むため、切り替えるときに、同じeNBで行う可能性があり(即ち、ソースeNBが目標eNBと同じである可能性がある)、UEに、切替がeNBを変えるかどうかを考慮させる必要がないために、ここでUEの所在するeNBにランダムに1つのKenbを生成する必要がある。
S330、ステップS325で生成したすべてのKenbに対して、MMEがeNBの対応する公開鍵で暗号化して、1組の暗号文S*を得る。
S335、MMEが前記すべてのKenb、S*、eNBIDを非アクセス層メッセージに構成して、UEに発信する。該メッセージがeNB対して不可視である。
S340、UEが受信したKenb、S*、eNBIDを記憶する。
S345、UEが測量報告を報告する。
S350、ソースeNBが、UEが報告した測量報告に基づいて、UEに対して切替判断を行い、且つ目標セルを選択する。
S355、ソースeNBが目標eNBに切替請求を発信する。
S360、目標eNBが切替請求確認メッセージを返事する。
S365、ソースeNBがUEに切替配置命令を発信し、メッセージに目標セルの所在するeNBIDを携帯する。
S370、UEが前に得たeNBIDに基づいて、ステップS340で記憶したデータに、KenbとS*を得る。
S375、UEがS370に得たS*を、切替完成メッセージによって、目標eNBに発信する。このメッセージに完整性保護だけを行い、暗号化しない。
S380、UEがS370に得たKenbをカレントキーKenbとする。
S385、目標eNBがS*を受信した後、該eNBの秘密鍵で、S*に対して復号化を行い、Kenbを得る。
UE切替が完成し、前記S310からS340までのステップを繰り返し、UEネクストホップの切替データをアップデートする。
応用例2
S*の安全性を向上させるために、応用例1における一部ステップを以下のように改正すれば実現でき、改正されたステップが以下の方法ように実現する。
ステップS330において、MMEが、まずKenbのためにサインを行い、次に、eNBの公開鍵で暗号化して、暗号文S*を得てもよい。
ステップS385において、目標eNBがS*を受信した後、まず、暗号文S*に対して復号化を行い、次に、対応するMMEの公開鍵で認証する、最後にKenbを得る。
このようにすれば、目標eNBにS*の正確性を検証させることができ、それにより、安全情報安全性を向上させる。
応用例3
応用例1において、S*の報告タイミングが切替完成メッセージにあり、測量報告メッセージにS*を携帯することに改正してもよい。図4に測量メッセージでS*を報告するときに、L2とL3の間のメッセージ変化を説明する。具体的な実施ステップは以下の通りである。
S410、UEが測量報告を報告するときに、すべてのS*とeNBIDを携帯してソースeNBに達する。測量報告がより頻繁なメッセージであるため、メッセージごとにS*を携帯することができない。従って、UEが一定の条件を設置する必要があり、条件を満たした後、UEが報告した測量報告中にS*を携帯する。ソースeNBが自発的にUEに要求して測量情報を報告するときにS*を携帯する方式を採用してもよい。
S415、ソースeNBがUEの測量情報に基づいて切替判断を行い、目標セルを確定する。
S420、ソースeNBが目標セルを確定した後、目標セルの所在するeNB(即ち、目標eNB)に基づいて、対応するS*を取得し、S*を目標eNBに発信する。
S425、目標eNBがS*に対して復号化を行い、Kenbを得る。
S430、目標eNBがソースeNBに切替確認メッセージを返事する。
S435、ソースeNBが切替命令をUEに発信し、目標eNBIDを携帯する。
S440、UEがeNBIDに基づいてKenbを得る。
S445、UEが目標eNBに切替完成メッセージを発信し、該メッセージが完整性保護を行い且つ暗号化する。
UE切替が完成し、S310からS340までのステップを繰り返し、UEネクストホップの切替データをアップデートする。
以上のように、本発明は従来の方法に比べて、ソースeNBがネクストホップUEのキーKenbを知られなく、安全性を向上させ、且つキー生成のときに、必要なパラメータが少なく、計算が簡単で、同期パラメータが必要なく、MMEが切替過程に参与する必要がなく、実際にネットワーク構築ときのUEの無線性能を向上することができる。
ただし、本発明は長期進化型( Long-Term Evolution、LTE) アーキテクチャを例として述べて説明を行ったが、本発明のキーの生成方法及びシステムはLTEアーキテクチャだけに限定するものではなく、同様に他のアーキテクチャにキーの生成にも適用できる。
当然、本発明はさらに他の多種実施例を有してもよく、本発明の精神及びその実質を外れない場合に、本分野をよく知っている技術者が本発明に基づいて各種の相応の改変と変形をしてもよいが、これらの相応の改変と変形がいずれも本発明に付け加えた請求範囲の保護範囲に属する。
本発明は従来の方法にソースeNBがネクストホップUEのKenbを知ることができる問題を克服し、UEが非切替態にある時期を利用して、切替データ準備を完成し、切替過程におけるキーの生成方法を簡単化させ、且つMMEが切替プロセスに参与する必要がなく、切替過程の無線性能を向上させる。

Claims (10)

  1. 切替過程におけるキーの発生方法であって、
    移動性管理エンティティ(MME)は、ユーザ設備(UE)がカレント所在する進化型基地局(eNB)即ちソースeNBに基づいて、前記ソースeNBのすべての隣接のeNBを知り、前記ソースeNBと各隣接のeNBのためにそれぞれキーを生成し、且つ相応のeNB公開鍵でそれぞれ前記キーに対し暗号化して暗号文を得て、すべての暗号文、キー及び基地局識別子を前記UEに発信することと、及び
    前記UEの切替過程に、目標eNBが、前記UEから前記目標eNBの対応する暗号文を取得し、自分の秘密鍵で該暗号文を復号化して、キーを得ることを含む。
  2. 前記目標eNBの対応する暗号文が前記UEにより直接に前記目標eNBに発信するものである請求項1に記載の方法。
  3. 前記目標eNBが、前記UEから前記目標eNBの対応する暗号文を取得するステップは、
    ソースeNBがUEの報告した測量報告に基づいて、前記UEに対して切替判断を行い、ネクストホップの目標セルを確定するステップと、
    前記ソースeNBが切替メッセージを前記UEに発信し、前記切替メッセージには目標セルの所在する基地局識別子即ち目標基地局識別子を携帯するステップと、
    前記UEが前記目標基地局識別子、及び対応関係に応じて記憶した暗号文、キー、基地局識別子に基づいて、目標eNBの対応する暗号文とキーを得るステップと、
    前記UEが切替終了メッセージに目標eNBの対応する暗号文を携帯して、目標eNBに発信するステップとを含み、
    前記キーを得るステップの後、前記方法はさらに、
    前記UEが目標eNBの対応するキーを使用して、目標eNBとの交互ルートキーとすることを含む請求項2に記載の方法。
  4. 前記目標eNBの対応する暗号文は、前記UEがすべての暗号文と対応する基地局識別子とをソースeNBに発信した後、前記ソースeNBにより目標eNBに発信されるものである請求項1に記載の方法。
  5. 前記の目標eNBが、前記UEから前記目標eNBの対応する暗号文を取得するステップは、
    UEが報告した測量報告にすべての暗号文と対応する基地局識別子とを携帯して、ソースeNBに発信するステップと、
    ソースeNBがUEの測量情報に基づいて切替判断を行い、目標セルを確定するステップと、
    ソースeNBが目標セルの所在するeNB即ち目標eNBに基づいて、対応する暗号文を取得して、前記目標eNBの対応する暗号文を目標eNBに発信するステップとを含み、
    前記キーを得るステップ後、前記方法はさらに、
    目標eNBがソースeNBに切替確認メッセージを返事することと、
    ソースeNBがUEに切替命令を発信し、目標基地局識別子を携帯することと、
    UEが前記目標基地局識別子に基づいて該目標基地局の対応するキーを知ることを含む請求項4に記載の方法。
  6. 前記の相応のeNB公開鍵でそれぞれ前記キーに対して暗号化して暗号文を得るステップの前に、前記方法はさらに、MMEが前記キーのためにサインすることを含み、前記の自分の秘密鍵で該暗号文を復号化するステップのあと、及び前記のキーを得るステップの前に、前記方法はさらに、前記MMEの公開鍵で認証することを含む請求項1〜5の中のいずれかの一つに記載の方法。
  7. 切替過程におけるキーの生成システムであって、ユーザー設備(UE)、ソース進化型基地局(eNB)、目標eNB、及び移動性管理エンティティ(MME)を含み、
    前記MMEは、前記UEがカレント所在するeNB即ちソースeNBに基づいて、前記ソースeNBのすべての隣接のeNBを知り、前記ソースeNBと各隣接のeNBにそれぞれキーを生成し、且つ相応のeNB公開鍵でそれぞれ前記キーを暗号化して暗号文を得て、すべての暗号文、キー及び基地局識別子を前記UEに発信するように設置され、
    前記目標eNBは、前記UEが切り替える過程に、前記目標eNBの対応する暗号文を取得し、自分の秘密鍵で該暗号文を復号化して、キーを得るように設置される。
  8. 前記UEは、切替の過程に、前記目標eNBの対応する暗号文を目標eNBに発信するように設置される請求項7に記載のシステム。
  9. 前記UEは、すべての暗号文と対応する基地局識別子とをソースeNBに発信するように設置され、
    前記ソースeNBは、前記UEが切り替える過程に、目標eNBの対応する暗号文を目標eNBに発信するように設置される請求項7に記載のシステム。
  10. 前記MMEはさらに、相応のeNB公開鍵でそれぞれ前記キーを暗号化して暗号文を得る前に、前記キーのためにサインするように設置され、
    前記目標eNBはさらに、受信した暗号文に対して自分の秘密鍵で復号化した後、キーを得る前に前記MMEの公開鍵で認証するように設置される請求項7〜9の中のいずれかの一つに記載のシステム。
JP2012511132A 2009-06-12 2010-05-13 切替過程におけるキーの生成方法及システム Expired - Fee Related JP5859956B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200910203765.4A CN101925059B (zh) 2009-06-12 2009-06-12 一种切换的过程中密钥的生成方法及系统
CN200910203765.4 2009-06-12
PCT/CN2010/072727 WO2010142185A1 (zh) 2009-06-12 2010-05-13 一种切换的过程中密钥的生成方法及系统

Publications (2)

Publication Number Publication Date
JP2012527203A true JP2012527203A (ja) 2012-11-01
JP5859956B2 JP5859956B2 (ja) 2016-02-16

Family

ID=43308409

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012511132A Expired - Fee Related JP5859956B2 (ja) 2009-06-12 2010-05-13 切替過程におけるキーの生成方法及システム

Country Status (5)

Country Link
US (1) US8666078B2 (ja)
EP (1) EP2418884B1 (ja)
JP (1) JP5859956B2 (ja)
CN (1) CN101925059B (ja)
WO (1) WO2010142185A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8681740B2 (en) * 2010-12-21 2014-03-25 Tektronix, Inc. LTE network call correlation during User Equipment mobility
CN102833743B (zh) * 2011-06-17 2016-12-07 中兴通讯股份有限公司 公共警报系统密钥更新信息的发送、更新方法和相应设备
CN103167492B (zh) 2011-12-15 2016-03-30 华为技术有限公司 在通信系统中生成接入层密钥的方法及其设备
CN105916140B (zh) 2011-12-27 2019-10-22 华为技术有限公司 基站间载波聚合的安全通讯方法及设备
CN102711100B (zh) * 2012-04-24 2015-04-15 中国联合网络通信集团有限公司 语音加解密处理方法、基站及网络系统
US9578514B2 (en) * 2012-05-10 2017-02-21 Nokia Technologies Oy Method, apparatus, and computer program product for enablement
CN104010276B (zh) * 2013-02-27 2019-02-15 中兴通讯股份有限公司 一种宽带集群系统的组密钥分层管理方法、系统和终端
US9924416B2 (en) 2013-08-01 2018-03-20 Nokia Technologies Oy Methods, apparatuses and computer program products for fast handover
CN108293183B (zh) * 2015-11-18 2021-06-01 上海诺基亚贝尔股份有限公司 E-utran与wlan之间的切换
CN110169128B (zh) * 2017-03-29 2021-01-29 华为技术有限公司 一种通信方法、装置和系统
CN109462875B (zh) * 2019-01-16 2020-10-27 展讯通信(上海)有限公司 无线漫游方法、接入点装置以及移动台
KR20220084601A (ko) * 2020-12-14 2022-06-21 삼성전자주식회사 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0591555A (ja) * 1991-09-25 1993-04-09 Nippon Telegr & Teleph Corp <Ntt> 移動通信のチヤネル切替制御方式
JP2001333110A (ja) * 2000-05-23 2001-11-30 Toshiba Corp ゲートウェイ装置、通信装置、制御装置、および通信制御方法
WO2007094989A2 (en) * 2006-02-13 2007-08-23 Lucent Technologies Inc. Method of cryptographic synchronization
JP2008146632A (ja) * 2006-10-21 2008-06-26 Toshiba Corp キーキャッシング、QoSおよびメディア独立事前認証のマルチキャスト拡張
WO2008088092A2 (en) * 2007-01-19 2008-07-24 Kabushiki Kaisha Toshiba Kerberized handover keying
WO2009038522A1 (en) * 2007-09-17 2009-03-26 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement in a telecommunication system
JP2009094612A (ja) * 2007-10-04 2009-04-30 Hitachi Communication Technologies Ltd 無線通信システムにおけるハンドオフ制御方法
WO2009136981A1 (en) * 2008-05-07 2009-11-12 Alcatel-Lucent Usa Inc. Traffic encryption key generation in a wireless communication network

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100561914C (zh) 2005-08-25 2009-11-18 华为技术有限公司 获取密钥的方法
US20070224993A1 (en) * 2006-03-27 2007-09-27 Nokia Corporation Apparatus, method and computer program product providing unified reactive and proactive handovers
CN101309503A (zh) * 2007-05-17 2008-11-19 华为技术有限公司 无线切换方法、基站及终端
CN101232731B (zh) * 2008-02-04 2012-12-19 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和系统
US8179860B2 (en) * 2008-02-15 2012-05-15 Alcatel Lucent Systems and method for performing handovers, or key management while performing handovers in a wireless communication system
CN101257723A (zh) * 2008-04-08 2008-09-03 中兴通讯股份有限公司 密钥生成方法、装置及系统
CN101267668B (zh) * 2008-04-16 2015-11-25 中兴通讯股份有限公司 密钥生成方法、装置及系统
CN101594606B (zh) * 2008-05-27 2012-07-25 电信科学技术研究院 用户位置信息上报方法、系统及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0591555A (ja) * 1991-09-25 1993-04-09 Nippon Telegr & Teleph Corp <Ntt> 移動通信のチヤネル切替制御方式
JP2001333110A (ja) * 2000-05-23 2001-11-30 Toshiba Corp ゲートウェイ装置、通信装置、制御装置、および通信制御方法
WO2007094989A2 (en) * 2006-02-13 2007-08-23 Lucent Technologies Inc. Method of cryptographic synchronization
JP2008146632A (ja) * 2006-10-21 2008-06-26 Toshiba Corp キーキャッシング、QoSおよびメディア独立事前認証のマルチキャスト拡張
WO2008088092A2 (en) * 2007-01-19 2008-07-24 Kabushiki Kaisha Toshiba Kerberized handover keying
WO2009038522A1 (en) * 2007-09-17 2009-03-26 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement in a telecommunication system
JP2009094612A (ja) * 2007-10-04 2009-04-30 Hitachi Communication Technologies Ltd 無線通信システムにおけるハンドオフ制御方法
WO2009136981A1 (en) * 2008-05-07 2009-11-12 Alcatel-Lucent Usa Inc. Traffic encryption key generation in a wireless communication network

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CSNB199700220001; 岡本栄司: "暗号理論入門" 初版3刷, 19961001, p.109-112、133-143, 共立出版株式会社 *
JPN6013016194; 岡本栄司: "暗号理論入門" 初版3刷, 19961001, p.109-112、133-143, 共立出版株式会社 *
JPN7012004412; Larry J. Hughes, Jr. 著/長原宏治 監訳: "インターネットセキュリティ" 初版, 19970221, p.94-108、120-121, 株式会社インプレス *

Also Published As

Publication number Publication date
EP2418884A4 (en) 2016-07-20
CN101925059A (zh) 2010-12-22
US8666078B2 (en) 2014-03-04
EP2418884B1 (en) 2019-01-02
US20120082315A1 (en) 2012-04-05
JP5859956B2 (ja) 2016-02-16
EP2418884A1 (en) 2012-02-15
WO2010142185A1 (zh) 2010-12-16
CN101925059B (zh) 2014-06-11

Similar Documents

Publication Publication Date Title
JP5859956B2 (ja) 切替過程におけるキーの生成方法及システム
US11122428B2 (en) Transmission data protection system, method, and apparatus
KR101617607B1 (ko) 기지국 자가 구성을 위한 방법 및 장치
Cao et al. CPPHA: Capability-based privacy-protection handover authentication mechanism for SDN-based 5G HetNets
Ma et al. FTGPHA: Fixed-trajectory group pre-handover authentication mechanism for mobile relays in 5G high-speed rail networks
US20140233736A1 (en) Method and related device for generating group key
US20090209259A1 (en) System and method for performing handovers, or key management while performing handovers in a wireless communication system
CN102106111A (zh) 导出和更新业务加密密钥的方法
KR20090059074A (ko) 보안 키 변경 처리 방법 및 관련 통신 기기
JP2013066220A (ja) セルラー無線システムにおける無線基地局鍵を生成する方法と装置
WO2012028043A1 (zh) 认证方法、装置及系统
WO2015144041A1 (zh) 一种网络鉴权认证的方法及设备
US20240098488A1 (en) Communication channel management methods and apparatuses
EP2648437B1 (en) Method, apparatus and system for key generation
WO2019137121A1 (zh) 信息处理方法及装置、网络实体及存储介质
CN103139771B (zh) 切换过程中密钥生成方法及系统
JP2011515904A (ja) ワイヤレス通信システムにおいてハンドオーバ、またはハンドオーバ実行中の鍵管理を実行するシステムおよび方法
CN102833739A (zh) 一种初始非接入层消息的传输方法、装置及系统
CN101742492B (zh) 密钥处理方法及系统
WO2018126783A1 (zh) 一种密钥传输方法及装置、计算机存储介质
WO2011153851A1 (zh) 空口密钥处理方法及系统
JP6499315B2 (ja) 移動通信システム及び通信網
EP3174326B1 (en) Method for providing a wireless user station for access to a telecommunication network through a network wireless access point, associated network wireless access point and wireless user station
WO2024086995A1 (zh) 广播消息保护方法及相关装置
CN116782211A (zh) 切换密钥的确定方法、切换方法及装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130409

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130702

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140226

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20140305

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20140328

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151217

R150 Certificate of patent or registration of utility model

Ref document number: 5859956

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees