JP2013531939A - エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム - Google Patents

エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム Download PDF

Info

Publication number
JP2013531939A
JP2013531939A JP2013513528A JP2013513528A JP2013531939A JP 2013531939 A JP2013531939 A JP 2013531939A JP 2013513528 A JP2013513528 A JP 2013513528A JP 2013513528 A JP2013513528 A JP 2013513528A JP 2013531939 A JP2013531939 A JP 2013531939A
Authority
JP
Japan
Prior art keywords
key
message
next hop
rnc
core network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013513528A
Other languages
English (en)
Other versions
JP5774096B2 (ja
Inventor
チェンイエン フェン
ルー ガン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2013531939A publication Critical patent/JP2013531939A/ja
Application granted granted Critical
Publication of JP5774096B2 publication Critical patent/JP5774096B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステムを開示し、ここで、エアインターフェースキーの更新方法は、コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信し、この移転完了指示メッセージがユーザ設備UEがソースRNCからターゲットRNCまでに成功に移転することを指示することに用いられるステップ(S502)と、コアネットワークノードが保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するステップ(S504)と、ネクストホップ拡張キーをターゲットRNCに送信するステップ(S506)とを含む。本発明によれば、ユーザのフォワードセキュリティを効果的に保障し、これで無線アクセスシステムの通信安全性を全体的に向上させた。
【選択図】図5

Description

本発明は無線通信分野に関し、具体的には、無線通信システムのSRNC(Serving Radio Network Controller、サービス無線ネットワークコントローラ)移転時のエアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステムに関する。
3GPP(3rd Generation Partnership Project,第3世代移動体通信システムの標準化プロジェクト)がRelease7では直交周波数分割多重(Orthogonal Frequency Division Multiplexing,「OFDM」と略称)及び多入力多出力(Multiple-Input Multiple-Output,「MIMO」と略称)技術を用いてHSDPA(High Speed Downlink Packet Access,高速ダウンリンクパケットアクセス)及びHSUPA(High Speed Uplink Packet Access,高速アップリンクパケットアクセス)の未来発展道路HSPA+を完了する。HSPA+は3GPP HSPA(HSDPAとHSUPAを含む)の拡張技術であり、HSPA事業者に複雑度の低い、低コストの、HSPAからLTE(Long Term Evolution,長期的発展)への円滑な発展の道を提供する。
HSPAに比べて、HSPA+がシステム枠組では無線ネットワークコントローラ(Radio Network Controller,「RNC」と略称)の機能を基地局ノードB(Node B)に移動させ、図1に示すとおり、完全にフラット化の無線アクセスネットワーク枠組を形成する。この時、完全RNC機能を統合したNode BをEvolved HSPA Node Bと称し、又は拡張ノードB(Node B+)と略称する。SGSN+はグレードアップした、HSPA+機能を支援できるSGSN(SERVICE GPRS SUPPORT NODE、サービスGPRS(GPRS:General Packet Radio System,通用パケット無線システム)支援ノード)である。ME+はHSPA+機能を支援できるユーザ端末設備である。発展型HSPAシステムは3GPP Rel−5及びその後のエアインターフェースバージョンを使用でき、エアインターフェースのHSPAサービスに対して如何なる修正も施していない。このようなスキームを用いた後、各Node B+はいずれもRNCに相当するノードになり、Iu−PSインターフェースを有してPS CN(Core Network、コアネットワーク)(図1のSGSN+とGGSN+)と直接接続でき、Iu−PSユーザインターフェースがSGSNで終結し、ここで、ネットワークが直接接続トンネル機能を支援すれば、Iu−PSユーザインターフェースもGGSN(Gateway GPRS Support Node、ゲートウェイGPRS支援ノード)で終結してもよい。発展型HSPA Node Bの間の通信はIurインターフェースを介して実行される。Node B+は独立ネットワーク構築の能力を有し、且つ、システム間とシステム内ハンドオーバーを含む完全な移動性機能を支援する。
フラット化した後、ユーザインターフェースデータがRNCを通さなくても、GGSNまで直接到着でき、つまり、ユーザ平面の暗号化と完全性保護機能がNode B+までに移動しなければならない。図2に示すとおり、現在、エリクソンはHSPA+安全キー階層構成を提出している。ここで、K(Key,ルートキー)、CK(Ciphering Key、暗号化キー)及びIK(Integrity Key、完全性キー)の定義はUMTS(Universal Mobile Telecommunications System、汎用移動通信システム)において定義とは完全に一致し、即ちKはAuC(Authentication Center、認証センター)及びUSIM(UNIVERSAL SUBSCRIBER IDENTITY MODULE、万国加入者同定モジュール)に保存されるルートキーであり、CKとIKはユーザ設備とHSS(Home Subscriber Server,帰属ユーザサーバー)AKA(Authentication and Key Agreement,認証とキー協定)を行う場合にKにより算出した暗号化キーと完全性キーであり、伝統的なキーと称する。
UMTSでは、RNCは伝統的なエアインターフェースキーCKとIKを用いてデータに対して暗号化と完全性保護を行う。HSPA+枠組では、RNCの全部機能を基地局Node B+に移動させるため、暗号化・復号ともNode B+で行われるが、Node B+が不安全の環境に位置し、安全性が高くない。このため、HSPA+がE−UTRAN(Evolved Universal Terrestrial Radio Access Network,発展型通用陸地無線アクセスネットワーク)に類似するキー階層を導入し、即ち、UTRANキー階層(UTRAN Key Hierarchy)。UTRANキー階層構成では、エアインターフェースキーCKとIKはHSPA+が新たに導入したキーであり、伝統的なキーCKとIKにより推定生成され、拡張キーと称し、ここで、拡張キーCKがユーザインターフェースデータと制御面シグナルの暗号化に用いられ、拡張キーIKが制御インターフェースシグナルに対して完全性保護を行うことに用いる。
WCDMAシステムでは、Iurインターフェースの導入のため、SRNC/DRNC(Drift RNC,ドリフトRNC)の概念が生じる。SRNCとDRNCともある具体的なUEに対するロジック概念である。簡単に言うと、あるUEにとって、それがCN(Core Network,コアネットワーク)に直接接続され、且つ、UE(User Equipment、ユーザ設備)のすべてのリソースに対して制御を行うRNCがUEのSRNCと言い、UEがCNに接続されず、UEにリソースを提供するだけのRNCをこのUEのDRNCと言う。接続状態にあるUEがSRNCを1つのみ有しなければならず、ゼロ又は複数のDRNCを有してもよい。
WCDMAシステムでは、SRNC移転(SRNC Relocation)とはUEのSRNCが1つのRNCからもう1つのRNCに変わるプロセスである。移転の発生する前後のUEが位置する位置の異なるにつれ、静的移転と随伴移転という2種類の情況に分けられる。
静的移転を発生する条件はUEが1つのDRNC、且つ1つのみのDRNCからアクセスする。移転プロセスではUEの参与が必要とならないため、UEにかかわらず(UE Not Involved)移転とも称する。移転が発生した後、Iurインターフェースの接続が解除されるため、図3に示すとおり、Iuインターフェースの移転が発生し、元DRNCがSRNCに変わる。
静的移転はソフトハンドオーバーの時に発生するものであり、Iurインターフェースのため、すべての無線リンクがDRNCに接続された後に移転が開始する。
図4に示すとおり、随伴移転とはUEがSRNCからターゲットRNCにハードハンドオーバーするとともにIuインターフェースが変化するプロセスである。移転プロセスではUEの参与が必要となるため、UEに係わる(UE Involved)移転とも称する。
HSPA+では、Node B+が物理的不安全な環境に置かれるため、悪意攻撃を受けやすく、安全性が脅かされる。伝統的なUMTSでは、SRNC移転の前後、暗号化キーCKと完全性キーIKは同一であり、これで、一方、ある基地局が攻撃者に破壊された後、攻撃者がネクストホップターゲット基地局の安全キーを推定できる可能性があり、他方、キーが漏らされ又は攻撃者が違法取得すると、攻撃者がユーザの通信をモニタリングでき、ユーザとネットワークとの間のデータ伝送をも偽造でき、これでユーザの通信の安全が保障できないことになる。
本発明の主な目的はエアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステムを提供し、関連技術においてSRNC移転時キーの同一によるユーザの通信の安全が保障できない問題を解決することにある。
本発明の一態様によれば、エアインターフェースキーの更新方法を提供し、コアネットワークノードがターゲット無線ネットワークコントローラRNCの移転完了指示メッセージを受信し、この移転完了指示メッセージが、ユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いるステップと、コアネットワークノードが保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するステップと、コアネットワークノードがネクストホップ拡張キーをターゲットRNCに送信するステップとを含む。
伝統的なキーが伝統的な完全性キーIK及び/又は伝統的な暗号化キーCKを含み、拡張キーは拡張完全性キーIK及び/又は拡張暗号化キーCKを含むことが好ましい。
コアネットワークノードにネクストホップカウンターネットワークNCCを設置し、コアネットワークノードがネクストホップ拡張キーを算出する回数をカウンターすることが好ましい。
コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信するステップの前、更に、ソースRNCがコアネットワークノードに移転需要メッセージを送信し、移転需要メッセージがソースRNCのネクストホップCK及び/又はIKを含むことと、コアネットワークノードが移転需要メッセージを受信し、そしてターゲットRNCに移転要請メッセージを送信し、移転要請メッセージがソースRNCが送信したネクストホップCK及び/又はIKを含むことを含むことが好ましい。
移転需要メッセージと移転要請メッセージともネットワークNCCが指示した情報を更に含むことが好ましい。
ソースRNCがコアネットワークノードに移転需要メッセージを送信するステップは、ソースRNCがネクストホップIKを移転需要メッセージのIKフィールドに置き、及び/又はネクストホップCKを移転需要メッセージのCKフィールドに置き、コアネットワークノードに送信することを含み、コアネットワークノードがターゲットRNCに移転要請メッセージを送信するステップは、コアネットワークノードがソースRNCが送信したネクストホップIKを移転要請メッセージのIKフィールドに置き、及び/又はソースRNCが送信したネクストホップCKを移転要請メッセージのCKフィールドに置き、ターゲットRNCに送信することを含むことが好ましい。
コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信するステップの前、更に、ソースRNCがターゲットRNCに拡張した移転要請メッセージを送信し、拡張した移転要請メッセージがソースRNCのネクストホップCK及び/又はIKを含むことを含むことが好ましい。
ソースRNCがターゲットRNCに拡張した移転要請メッセージを送信するステップは、ソースRNCがネクストホップIKを拡張した移転要請メッセージのIKフィールドに置き、及び/又はネクストホップCKを拡張した移転要請メッセージのCKフィールドに置き、ターゲットRNCに送信することを含むことが好ましい。
コアネットワークノードがターゲットRNCに移転要請メッセージ/拡張した移転要請メッセージを送信するステップの後、更に、ターゲットRNCが拡張した安全モードを支援しないと、移転要請メッセージ/拡張した移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることと、ターゲットRNCが拡張した安全モードを支援すると、移転要請メッセージ/拡張した移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることとを含むことが好ましい。
コアネットワークノードがターゲットRNCに移転要請メッセージを送信するステップの後、更に、コアネットワークノードがターゲットRNCの移転要請確認メッセージを受信し、ソースRNCに移転コマンドメッセージを送信し、移転コマンドメッセージがネットワークNCCが指示した情報を含むことと、ソースRNCが移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信し、移転メッセージがネットワークNCCが指示した情報を含むことを含むことが好ましい。
ソースRNCが移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信するステップの後、更に、UEが移転メッセージを受信し、ネクストホップカウンター端末NCCがネットワークNCCに等しいかを判断することと、YESであると、UEが端末NCCに対応する予め保存したIK及び/又はCKを用いることと、NOであると、UEがIK及び/又はCKを算出し、端末NCCがネットワークNCCに等しくなるまでに、対応する端末NCCを逓増することとを含むことが好ましい。
エアインターフェースキーの更新方法は更に、ユーザ設備UEがネットワークに初回付着し、又はUEがアイドルモードから接続モードに転換し、又はUEが発展型通用陸地無線アクセスネットワークE−UTRAN又はグローバル移動通信システムGSMネットワークから汎用陸地無線アクセスネットワークUTRANまでに移動し、又はUEが伝統的なUTRANから拡張したUTRANに移動する場合に、コアネットワークノードが保存した伝統的なキーに応じて現在の拡張キーを算出することと、コアネットワークノードが現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーをサービスRNCに送信することを含むことが好ましい。
初期ネクストホップ拡張キーがコアネットワークノードにより以下の公式で、保存した伝統的なキーと算出した現在の拡張キーに基づいて算出される:(IK、CK)=F1(IK||CK、Parameter);(IK’、CK’)=F2(IK||CK、IK||CK)。ここで、F1とF2はキー関数、IKは伝統的な完全性キー、CKは伝統的な暗号化キー、IKは現在の拡張完全性キー、CKは現在の拡張暗号化キー、IK’は初期ネクストホップ拡張完全性キー、CK’は初期ネクストホップ拡張暗号化キー、“||”はカスケード、Parameterはパラメーターであることが好ましい。
コアネットワークノードが現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーをサービスRNCに送信するステップの後、更に、サービスRNCが現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーを受信して保存し、そしてUEに安全モードコマンドメッセージを送信することと、UEが安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出することを含むことが好ましい。
UEが安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出するテップの後、更に、UEが伝統的なキーと拡張キーを用いてネクストホップ拡張キーを算出することを含むことが好ましい。
本発明のもう一つの態様によれば、コアネットワークノードを更に提供し、ターゲットRNCの移転完了指示メッセージを受信し、この移転完了指示メッセージがユーザ設備UEがソースRNCからターゲットRNCまでに成功に移転することを指示することに用いるように設置される受信モジュールと、受信モジュールが移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、ネクストホップ拡張キーをターゲットRNCに送信するように設置される送信モジュールとを含む。
このコアネットワークノードは更に、コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含むことが好ましい。
このコアネットワークノードの受信モジュールは更に、ターゲットRNCの移転完了指示メッセージを受信する前、ソースRNCが送信した移転需要メッセージを受信するように設置され、移転需要メッセージがソースRNCのネクストホップCK及び/又はIKを含み、送信モジュールは更に、ターゲットRNCに移転要請メッセージを送信するように設置され、移転要請メッセージがソースRNCが送信したネクストホップCK及び/又はIKを含むことが好ましい。
本発明のもう一つの態様によれば、無線アクセスシステムを更に提供し、ソースRNC、ターゲットRNC、コアネットワークノード及びユーザ設備UEを含み、ここで、ソースRNCが、コアネットワークノードに移転需要メッセージを送信し、この移転需要メッセージはソースRNCのネクストホップ拡張キーを含み、コアネットワークノードの移転コマンドを受信し、UEに移転メッセージを送信するように設置される。ターゲットRNCが、コアネットワークノードが送信した移転要請メッセージを受信し、この移転要請メッセージはソースRNCが送信したネクストホップ拡張キーを含み、コアネットワークノードに移転完了指示メッセージを送信し、コアネットワークノードの移転完了確認メッセージを受信し、この移転完了確認メッセージがターゲットRNCのネクストホップ拡張キーを含むように設置される。
コアネットワークノードが、ターゲットRNCの移転完了指示メッセージを受信し、ネクストホップ拡張キーを算出し、そして移転完了確認メッセージをターゲットRNCに送信するように設置される。ユーザ設備UEは、ソースRNCが送信した移転メッセージに応じて自身の拡張キーを同期するように設置される。
この無線アクセスシステムのコアネットワークノードは、ターゲットRNCの移転完了指示メッセージを受信し、移転完了指示メッセージがユーザ設備UEがソースRNCからターゲットRNCまでの移転が完了したことを指示するように設置される受信モジュールと、受信モジュールが移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、ネクストホップ拡張キーを前記ターゲットRNCに送信するように設置される送信モジュールを含むことが好ましい。
この無線アクセスシステムのコアネットワークノードは更に、コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含むことが好ましい。
この無線アクセスシステムのUEは、UEに対してネクストホップ拡張キーの算出回数を数えるように設置されるネクストホップカウンター端末NCCを含むことが好ましい。
この無線アクセスシステムのUEは更に、端末NCCがネットワークNCCに等しいかを判断するように設置される判断モジュールと、モジュールの判断結果がはいであると、端末NCCに対応する予め保存したCK及び/又はIKを用いるように設置される確定モジュールと、判断モジュールの判断結果がいいえであると、CKU及び/又はIKUを算出し、そして端末NCCがネットワークNCCに等しくなるまでに、対応する端末NCCを逓増するように設置される否定モジュールとを含む。
本発明によれば、無線アクセスシステムのコアネットワークノードが端末初期付着の時、又はSRNC移転成功完了後、コアネットワークノードの伝統的なキーIK、CKに応じてネクストホップ拡張キーIKとCKを算出し生成し、そしてネクストホップ拡張キーをターゲットRNCに送信し、次回SRNC移転に用意しておき、これでソースRNCとターゲットRNCが異なる拡張キーIKとCKを用いるようになる。且つネクストホップターゲットRNCが用いた拡張したエアインターフェースキーはコアネットワークにより推定したものであるため、2回SRNC移転後、ソースRNCが2ホップ後のターゲットRNCのエアインターフェースキーを知らないようになる。
このため、ある基地局が攻撃者により破壊され又は違法制御されても、2回SRNC移転後にもユーザが安全な通信を行うことを保証でき、ユーザのフォワードセキュリティを保障し、これで無線アクセスシステムの全体の通信安全性を向上させた。
ここで説明する図面は本発明を理解するためのもので、本発明の一部を構成し、本発明における模式的な実施例とその説明共に本発明を解釈し、本発明を不当に限定するものではない。図面において、
関連技術におけるHSPA+技術を用いる無線アクセスネットワークの枠組模式図である。 関連技術におけるHSPA+安全キー階層構成模式図である。 関連技術におけるSRNC静的移転模式図である。 関連技術におけるSRNC随伴移転模式図である。 本発明の実施例によるエアインターフェースキーの更新方法のステップフローチャートである。 本発明の実施例によるエアインターフェースキー更新のキーチェーンの模式図である。 本発明の実施例による初期エアインターフェースキー設立プロセスのフローチャートである。 本実施例によるSRNC随伴移転を行う時のエアインターフェースキーの更新フローチャートである。 本発明の実施例によるSRNC静的移転を行う時のエアインターフェースキーの更新フローチャートである。 本発明の実施例によるコアネットワークノードの構成ブロック図である。 本発明の実施例による無線アクセスシステムの構成ブロック図である。 本発明の実施例によるもう1種のSRNC随伴移転を行う時のエアインターフェースキーの更新フローチャートである。
以下、図面と実施例を参照しながら、本発明を詳しく説明する。特に説明するのは、矛盾しない場合、本案における実施例及び実施例における特徴を相互に組み合わせてもよい。
UTRANを用いる無線アクセスシステムにおけるSRNC移転は、図3と図4に示すように、コアネットワークノード(SGSN+又はMSC+)、ソースRNC(即ちSRNC)、ターゲットRNC、Node B及びUEに係わる。HSPA+を用いる無線アクセスシステムでは、Node B+をNode BとRNCの結合と見なしてもよく、両者が1つの物理エンティティであるが、2つの異なるロジックエンティティでもある。本発明の実施例において拡張安全キー階層を支援するNode B+はUMTSでグレードアップを行ったRNC(RNC+)に相当し、本発明の実施例におけるSRNCがソースRNC(ソースNode B+)に相当し、DRNCがターゲットRNC(ターゲットNode B+)に相当する。
図5を参照し、本発明の実施例によるエアインターフェースキーの更新方法のステップフローチャートを示し、以下のステップを含む。
ステップS502において、コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信する。
ここで、移転完了指示メッセージはユーザ設備UEがソースRNCからターゲットRNCまでに成功に移転することを指示する。
ステップS504において、コアネットワークノードが保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出する。
ここで、伝統的なキーが伝統的な完全性キーIK及び/又は伝統的な暗号化キーCKを含み、拡張キーが拡張完全性キーIK及び/又は拡張暗号化キーCKを含む。
コアネットワークノードはコアネットワークノードが保存した伝統的なキーIK及び/又はCK、及び現在使用する拡張キーIK及び/又はCKを用いて、キー生成関数でネクストホップ拡張キーIK及び/又はCKを算出する。現在用いている現在の拡張キーIK/CKと区別するために、本発明の実施例ではネクストホップ拡張キーをIK’とCK’と称する。
ステップS506において、コアネットワークノードがネクストホップ拡張キーをターゲットRNCに送信する。
本ステップでは、コアネットワークノードがIK’とCK’をターゲットRNCに送信して保存し、次回SRNC移転時にターゲットRNCの使用に用意しておく。
伝統的なUTRAN関連技術では、SRNC移転を行う場合に、移転前後のキーを変えないが、本実施例によれば、コアネットワークノードが更新したネクストホップ拡張キーをターゲットRNCに送信し、ユーザ設備が次回SRNC移転時の使用に用意しておき、これでソースRNCとターゲットRNCが異なるキーを使用するようになる。且つ、2回SRNC移転を行った後、ソースRNCが2ホップ後のターゲット基地局が用いた拡張キーを取得できず、これでユーザ通信のフォワードセキュリティを保証し、無線アクセスシステムの通信安全性を向上させた。
ネクストホップ拡張キーIK’とCK’の算出プロセスでは、伝統的なキーIKとCK、拡張キーIKとCKのほか、以下のパラメーター:シリアルナンバーSQN異又は隠蔽キーAK、ユーザ識別子(例えば国際ユーザ識別コードIMSI、臨時移動ユーザ識別コードTMSI)、サービスネットワーク識別子、コアネットワークノードタイプの1つ又は任意の組合せを用いてもよい。
本発明の実施例は以下キー関数を提供して各安全キーを算出し、初期とSRNC移転時に各安全キーを算出するキー関数を含み、以下キー関数において、カッコ内のパラメーターが先後順を問わず、その中の複数のパラメーターをカスケード形式又は他の形式で組み合せてもよい。
初期:(IK、CK)=F1(IK||CK、Parameter);
(IK’、CK’)=F2(IK||CK、IK||CK);
SRNC移転時:(IK’、CK’)=F2(IK||CK、IK’U_old||CK’U_old);
又は、
IK=IK’U_old、CK=IK’U_old、
(IK’、CK’)=F2(IK||CK、IK||CK);
ここで、F1とF2は異なる又は同一なキー関数であり、例えば3GPPが定義したKDF関数である。IKは拡張した完全性キー、CKは拡張した暗号化キー、IK’はネクストホップ拡張した完全性キー、CK’はネクストホップ拡張した暗号化キー、IK’U_oldは現在の拡張した完全性キー、CK’U_oldは現在の拡張した暗号化キー、“||”はカスケード、Parameterはパラメーターである。UEがアイドル状態から接続状態に入る場合に、毎回用いるParameterが異なることを保証しなければならない。
本発明の実施例はいずれも前記キー関数を用いてもよい。当業者が実際情況に応じて、他の適当なキーの算出方法を用いてもよく、本発明はこれを制限しない。
初期付着時、又はユーザ設備がアイドル状態からアクティブ状態に戻る時、又はユーザ設備がE−UTRAN又はグローバル移動通信システムGSMからUTRANに移動する時、又はユーザ設備が伝統的なUTRAN(HSPA+安全を支援しない)から拡張したUTRANに移動する時、コアネットワークノードがネクストホップ拡張キーに対する処理は一般的に2種類に分けられ、1種類はコアネットワークノード初期時にSRNCにネクストホップ拡張キーIK’/CK’を送信し、初回SRNC移転時、ソースRNCがネクストホップ拡張キーをターゲットRNCに送信し、ターゲットRNCとUEがそれぞれこのネクストホップ拡張キーをIKとCKとして用いる。
もう1種類はコアネットワークノード初期時、SRNCにネクストホップ拡張キーを送信せず、初回SRNC移転時、ソースRNCが現在の拡張キーIK/CKをターゲットRNCに送信し、ターゲットRNCとUEがそれぞれこのキーIKとCKを用いて通信に対してセキュリティ保護をする。第2回SRNC移転時、ターゲットRNCとUEが更にそれぞれネクストホップ拡張キーIK’/CK’を用いる。エアインターフェースキーの更新のキーチェーンが図6に示すとおり、ここで、NCCはネクストホップカウンターである。Parameterはパラメーターである。
図7を参照し、本発明の実施例による初期エアインターフェースキー設立プロセスのフローチャートを示し、以下のステップを含む。
ステップS702において、コアネットワークノードが(例えばSGSN+又はMSC +)保存したIKとCKに基づいて拡張キーIK/CKを算出する。
このステップのトリガー条件は、UEがネットワークに初回付着する時、又はUEがアイドルモードから接続モードに転換する時、又はUEが発展型汎用陸地無線アクセスネットワークE−UTRAN又はGSMから汎用陸地無線アクセスネットワークUTRANに移動する時、又はユーザ設備が伝統的なUTRAN(HSPA+安全を支援する)から拡張したUTRANに移動する時である。
UEがアイドルモードから接続モードに転換する時にトリガーした安全モードコマンドフローにとって、SGSN+又はMSC/VLR+が効果的な拡張キーIK/CKを保存すると、このステップが選択可能であり、保存した拡張キーを直接使用でき、新たに算出しなくてもよい。
ステップS704において、コアネットワークノードが伝統的な完全性キーIK、暗号化キーCK及びステップS702で算出した拡張キーIKとCKに基づいてネクストホップ拡張キーIK’/CK’を算出する。
ステップS706において、コアネットワークノードがSRNCに安全モードコマンドメッセージを送信し、このメッセージは拡張キーIKとCK、及び/又はネクストホップ拡張キーIK’/CK’を含む。
ここで、安全モードコマンドメッセージは以下のパラメーター:ユーザ設備安全能力、キー集識別子、選択した完全性アルゴリズム集、暗号化アルゴリズム集の1つ又は任意の組合せを含んでもよい。
ここで、ネクストホップ拡張キーIK’/CK’の送信が選択可能であり、即ち初期接続の構築時、ネクストホップ拡張キーIK’/CK’を送信せず、拡張キーIK/CKのみを送信する。
ステップS708において、SRNCが安全モードコマンドメッセージを受信した後、受信した拡張キーIKとCK、及び/又はネクストホップ拡張キーIK’/CK’を保存する。
ステップS710において、SRNCがUEに安全モードコマンドメッセージを送信する。
この安全モードコマンドメッセージにIKで算出したメッセージ識別コードを持ってもよく、以下のパラメーター:ユーザ設備安全能力、キー集識別子、選択した完全性アルゴリズム、暗号化アルゴリズムの1つ又は任意の組合せを含んでもよい。
ステップS712において、UEが安全モードコマンドメッセージを受信した後、暗号化アルゴリズムと完全性アルゴリズムを保存し、AKAプロセスが生成した伝統的な暗号化キーCKと伝統的な完全性キーIKに基づいて拡張キーIKとCKを算出する(このプロセスが安全モードコマンドメッセージを受信する前に発生してもよい)。この時、UEとSRNCが同一の拡張した完全性キーIK及び/又は拡張した暗号化キーCKを共有し、前記キーを用いて双方間の通信を保護する。
本ステップでは、UEがアイドルモードから接続モードに転換する時、トリガーした安全モードコマンドフローにとって、UEが効果的な拡張キーIKとCKを保存すると、この拡張キーIKとCKを直接使用してもよく、新たに算出しなくてもよい。
ステップS714において、UEが伝統的な暗号化キーCK、完全性キーIK及びステップS712で算出した拡張キーIKとCKに基づいてネクストホップ拡張キーIK’/CK’を算出する。
このステップは選択可能なステップであり、即ちUEが初期時にネクストホップ拡張キーを算出せず、需要時に算出してもよい。
ステップS716において、UEがIKを用いて受信した安全モードコマンドメッセージを検証する。
ステップS718において、安全モードコマンドメッセージ検証が成功すると、UEがSRNCに安全モード完了メッセージを送信し、このメッセージにIKで算出したメッセージ識別コードを持ち、又は、UEが同時にCKでこの安全モード完了メッセージに対して暗号化を行う。
ステップS720において、SRNCがIKで受信した安全モード完了メッセージを検証し、又は、まずCKでこのメッセージを解読し、そしてIKで受信した安全モード完了メッセージを検証する。
ステップS722において、安全モード完了メッセージ検証に成功すると、SRNCがコアネットワークノードに安全モード完了メッセージを送信し、このメッセージは以下のパラメーター:選択した完全性アルゴリズム及び/又は暗号化アルゴリズムを持ってもよい。
その後、UEとNodeB+が前記キーに基づいて暗号化・復号化操作を開始する。
本実施例では、コアネットワークノードが1つのネクストホップカウンターネットワークNCCを維持し、ネクストホップ拡張キーの算出回数を数え、ユーザ側のキーに同期する。ネットワークNCC初期値は0である。
ステップS704でネクストホップ拡張キーを初回算出する時、対応するネットワークNCCは1である。コアネットワークノードが1つのネットワークNCCを維持する場合に、安全モードコマンドメッセージにパラメーターネットワークNCCを持ってもよく、そしてSRNCに送信し、SRNCで受信・保存する。同様に、UEも1つのネクストホップカウンター端末NCCを維持し、UEがネクストホップ拡張キーを算出する回数を数え、ネットワーク側のキーと同期し、初期値は0である。
UEがネクストホップ拡張キーを初回算出する時、対応する端末NCC値は1である。後のSRNC移転フローでは、端末NCCがネットワークNCCに等しくない場合に、UEがネクストホップ拡張キーを算出し、端末NCCがネットワークNCCに等しくなるまでに、対応する端末NCCを増やし、これでUEとターゲットRNCが用いたキーに一致する。NCCを用いてネットワーク側とユーザ側のキーを同期し、ネットワーク側とユーザ側のキーの一致性を効果的に保証する。
図8を参照し、本実施例によるSRNC随伴移転を行う時のエアインターフェースキーの更新フローチャートを示す。本実施例では、SRNCとターゲットRNCとの間のメッセージインタラクションがコアネットワークノードCNN+(SGSN+又はMSC+)を介して移転する必要がなる。
本実施例が以下のステップを含む。
ステップS802において、ソースRNC(即ちSRNC)SRNC移転を行なうと決定する。
この決定のトリガーは、ソースRNCがUEの測定報告を受信すること、又はターゲットRNCが送信したアップリンクシグナル伝送指示を受信し、セル更新又はURA更新を行なうと要求すること等である。
ステップS804において、ソースRNCがコアネットワークノードに移転需要メッセージを送信する。
ソースRNCが同時に2つのCNN+ノードを接続すると、ソースRNCが同時にこの2つのCNN+ノードに移転需要メッセージを送信する。ソースRNCとターゲットRNCは2つの異なるCNN+ノード下に位置すると、このメッセージがこの2つのCNN+ノードの移転が必要となる。
移転需要メッセージは以下のパラメーターを含む。ネクストホップ拡張した完全性キーIK’、及び/又はネクストホップ拡張した暗号化キーCK’である。このほか、以下のパラメーターの1つ又は任意の組合を持ってもよい。ユーザ設備の安全能力、ユーザが支援する暗号化アルゴリズム、ユーザが支援する完全性アルゴリズム、選択した暗号化アルゴリズム、選択した完全性アルゴリズム、拡張したエアインターフェースキーに関連するネクストホップカウンターネットワークNCCである。前記安全材料はソースRNCからターゲットRNCまでの透明容器中に含まれることが好ましい。
ソースRNCがネクストホップ拡張した完全性キーIK’を拡張した完全性キーIKとし、ネクストホップ拡張した暗号化キーCK’を拡張した暗号化キーCKとしてもよい。ソースRNCが送信した移転需要メッセージに以下のパラメーター:拡張完全性キーIK、及び/又は拡張暗号化キーCKを含む。
ソースRNCはターゲットRNCが拡張した安全を支援するかを確定できない可能性があるため、ソースRNCがネクストホップ拡張キーIK’とCK’をそれぞれ移転需要メッセージのIKとCKフィールドに置いてよい。
実際のネットワーク配置では、拡張安全機能を支援するネットワークエンティティと伝統的な安全のみを支援するネットワークエンティティが共存し、SRNCが移転する場合に、UEが拡張安全機能を支援するSRNC+から拡張安全機能を支援しないターゲットRNCまでに移転するシーンが存在する。SRNC+が移転を決定する場合に、ターゲットRNCが拡張安全機能を支援するかを知らない恐れがある。その故、SRNCが移転する場合に、キーの更新も伝統的なネットワークの安全支援を考える必要がある。
ステップS806において、コアネットワークノードがターゲットRNCに移転要請メッセージを送信し、メッセージはネクストホップ拡張キーIK’とCK’、及び/又はネットワークNCCを含む。
本実施例では、ネットワーク側のコアネットワークノードが1つのネクストホップカウンターネットワークNCCを維持するため、移転要請メッセージにネットワークNCC情報を含んでもよい。ネットワークNCC情報をターゲットRNCに送信し、これでターゲットRNCとユーザとの間のキーの一致性を便利に実現する。
本ステップでは、コアネットワークノードがCK’を前記移転要請メッセージのCKフィールドに置き、及び/又はIK’を前記移転要請メッセージのIKフィールドに置き、ターゲットRNCに送信する。
拡張したSRNC移転プロセスでは、ソースRNCが移転要請メッセージをターゲットRNCに直接送信でき、この時、この移転要請メッセージが拡張した移転要請メッセージと称する。拡張した移転要請メッセージにネクストホップ拡張した完全性キーIK’、及び/又はネクストホップ拡張した暗号化キーCK’を持ち、ソースRNCがネクストホップ拡張キーIK’とCK’をそれぞれ移転需要メッセージのIKとCKフィールドに置いてターゲットRNCに送信する。
ステップS808において、ターゲットRNCが受信したキーを保存する。ターゲットRNCが拡張した安全を支援すると、ターゲットRNCが受信したメッセージにおけるIKフィールドの値を拡張キーIKとし、CKフィールドの値を拡張キーCKとする。ターゲットRNCが拡張した安全を支援しないと、ターゲットRNCが受信したメッセージにおけるIKフィールドの値を伝統的なキーIKとし、CKフィールドの値を伝統的なキーCKとする。
ステップS810において、ターゲットRNCがコアネットワークノードに移転要請確認メッセージを送信する。このメッセージを送信する前、ターゲットRNCとコアネットワークノードが新たなIuベアリングを構築でき、UEにRRC(Radio Resource Control,無線リソース制御プロトコル)接続リソース及び無線リンク等のリソースを配布する。ソースRNCとターゲットRNCが2つの異なるCNN+ノード(SGSN+及び/又はMSC/VLR+)下に位置すると、このメッセージはこの2つのCNN+ノードの移転が必要となる。
この移転確認メッセージがネクストホップカウンターネットワークNCC情報を含んでもよい。
ステップS812において、コアネットワークノードがソースRNCに移転コマンドメッセージを送信する。
この移転コマンドメッセージがコアネットワークノードのネクストホップカウンターネットワークNCC情報を含んでもよい。
ステップS814において、ソースRNCがUEに移転メッセージを送信してもよい。ここで、移転メッセージとは物理チャネル再配置メッセージ又はUTRAN移動性情報メッセージである。
前記物理チャネル再配置メッセージ又はUTRAN移動性情報メッセージはネクストホップカウンターネットワークNCC情報を含んでもよい。
ステップS816において、UEが拡張した安全を支援すると、UEがネットワーク側に同一なアルゴリズムで拡張した完全性キーIK及び/又は暗号化キーCKを更新する。
本ステップでは、UEにネクストホップカウンター端末NCCが設置され、UEがネットワークNCCを受信し、現在アクティブにした拡張キーに対応する端末NCCがネットワークNCCに等しいかを判断し、両者が等しい場合、UEが自ら保存した拡張完全性キーIK及び/又は拡張暗号化キーCKを直接使用する。ネットワークNCCが端末NCCより大きい場合、UEが拡張キーIK/CKを算出し、端末NCCがネットワークNCCに等しくなるまで、対応する端末NCCを逓増する。
ステップS818において、UEがターゲットRNCに物理チャネル再配置完了メッセージ又はUTRAN移動性情報確認メッセージを送信する。前記メッセージが更新した完全性キーIKで完全性保護を行なってもよく、又は更新した完全性キーIKと暗号化キーCKで前記メッセージに対して同時に完全性と暗号化保護を行なってもよい。
このメッセージにはユーザ設備安全能力パラメーターを含んでもよい。
ステップS820において、ターゲットRNCが更新した完全性キーIK及び/又は暗号化キーCKを用いてこのメッセージに対して安全検証を行う。ターゲットRNCがUEに送信したメッセージを成功に検証すると、ターゲットRNCがコアネットワークノード(SGSN+又はMSC/VLR+)に移転完了メッセージを送信し、このメッセージがコアネットワークノードに移転完了を指示する情報を含み、ネットワークNCC情報を含んでもよい。
ステップS822において、コアネットワークノードがIK、CKと現在の拡張キーIK、CKに基づいてネクストホップ拡張キーIK’、CK’を算出する。
ネットワーク側が1つのネクストホップカウンターネットワークNCCを維持すると、コアネットワークノードがネクストホップ拡張キーIK’、CK’を算出する前又は後、ネットワークNCCを逓増してもよい。
ステップS824において、コアネットワークノードがターゲットRNCに移転完了確認メッセージを送信し、このメッセージがネクストホップ拡張キーIK’、C’K、及び/又は関連するネットワークNCCを含む。
ステップS826において、ターゲットRNCが受信したネクストホップ拡張キーIK’、CK’、及び/又は関連するネットワークNCCを保存し、次回SRNC移転に使うために用意しておく。
ステップS828において、コアネットワークノード(SGSN+又はMSC/VLR+)がソースRNCとの間のIuインターフェースを解除する。
図8に示す実施例における安全操作が拡張SRNC移転フローにも適応し、拡張SRNC移転フローでは、ソースRNCとターゲットRNCとの間が直接に通信を行い、コアネットワークノードの移転が必要とならない。図8におけるステップS804、S806に示すメッセージが、ソースRNCがターゲットRNCに送信する拡張した移転要請メッセージに代わり、図8においてステップS810、S812に示すメッセージがターゲットRNCからソースRNCに送信する拡張した移転応答メッセージに代わる。図8においてステップS820、S824に示すメッセージがそれぞれターゲットRNCとコアネットワークノードの間の拡張した移転完了要請メッセージと拡張した移転完了応答メッセージに代わる。そのほか、メッセージに含まれるパラメーター、及び他のステップの操作が完全に同一であり、ここで詳細な記載は省略する。
初期において、コアネットワークノード、即ちネクストホップ拡張キーをSRNCに送信する時、UEが第一回SRNC移転フローを行う時、前記キー更新フローを用いてもよい。初期、コアネットワークノードがネクストホップ拡張キーをSRNCに送信しない場合、UEが第一回SRNC移転フローを行う場合、伝統的なUMTSが定義したSRNC移転の安全操作で実行し、即ちソースRNCが現在使用する拡張キーIK及び/又はCKをターゲットRNCに送信し、UEとターゲットRNCがこの現在の拡張キーを直接使用する。第2回SRNC移転を行う時、また前記キー更新フローを用いる。
一回のSRNC移転フローが無事に完了した後、ターゲットRNCが一回SRNC内部の移転を開始してもよく、この時、ソースRNCとターゲットRNCとも同一なSRNCである。これで、フォワードセキュリティの目的を達成する。
図9を参照し、本発明実施例によるSRNC静的移転を行う場合の拡張したエアインターフェースキーの更新フローチャートを示す。本実施例が伝統的なSRNC移転フローを用い、即ちSRNCとターゲットRNCとの間のメッセージインタラクションがコアネットワークノードの移転によるフローである。この実施例の安全操作が拡張したSRNC随伴移転フローにも適応し、即ちSRNCとターゲットRNCとの間がメッセージインタラクションを直接行い、コアネットワークノードの移転と必要としない。
本実施例は以下のステップを含む。
ステップS902において、UEがUTRANにURA更新メッセージ、又はセル更新メッセージ、又は測定報告メッセージを送信する。
ステップS904において、ターゲットRNCがこのUEのURA更新メッセージ又はセル更新メッセージ、又は測定報告メッセージを受信したことによって、このUEのソースRNCにアップリンクシグナル伝送指示メッセージを送信する。
ステップS906において、ソースRNC(即ちSRNC)がSRNC移転を行なうと決定する。
ステップS908において、ソースRNCがコアネットワークノードに移転需要メッセージを送信する。メッセージにネクストホップ拡張キーIK’とCK’が含まれ、ネットワークNCCを含んでもよい。
ステップS910において、コアネットワークノードがターゲットRNCに移転要請メッセージを送信し、メッセージはネクストホップ拡張キーIK’とCK’、及び/又はネットワークNCCを含む。
本実施例では、ネットワーク側コアネットワークノードが1つのネクストホップカウンターネットワークNCCを維持するため、移転要請メッセージはネットワークNCC情報を含んでもよい。
ステップS912において、ターゲットRNCが受信したキーを保存する。
ステップS914において、ターゲットRNCがコアネットワークノードに移転要請確認メッセージを送信する。このメッセージを送信する前、ターゲットRNCとコアネットワークノードが新たなIuベアリングを確立してもよく、UEにRRC(Radio Resource Control、無線リソース制御プロトコル)接続リソースと無線リンク等のリソースを配布する。
この移転確認メッセージにネクストホップカウンターネットワークNCC情報を含んでもよい。
ステップS916において、コアネットワークノードがソースRNCに移転コマンドメッセージを送信する。
この移転コマンドメッセージがコアネットワークノードのネクストホップカウンターネットワークNCC情報を含んでもよい。
ステップS918において、ソースRNCがターゲットRNCに移転提出メッセージを送信する。
ステップS920において、ターゲットRNCがコアネットワークノードに移転検出メッセージを送信する。
ステップS922において、ターゲットRNCがUEにセル更新確認メッセージ、又はURA更新確認メッセージ、又はRAN移動性情報メッセージを送信する。このメッセージがターゲットRNCの安全能力の指示情報を含む。
前記メッセージは、ネクストホップカウンターネットワークNCC情報を含んでもよい。
ステップS924において、UEが拡張した安全を支援すると、UEがネットワーク側に同一なアルゴリズムで拡張した完全性キーIK及び/又は暗号化キーCKを更新する。
本ステップでは、UEにネクストホップカウンター端末NCCが設置され、UEがネットワークNCCを受信し、現在アクティブにした拡張キーに対応する端末NCCがネットワークNCCに等しいかを判断し、両者が等しいと、UEが自ら保存した拡張完全性キーIK及び/又は拡張暗号化キーCKをそのまま使用する。ネットワークNCCが端末NCCより大きいと、UEが拡張キーIK/CKを算出し、端末NCCがネットワークNCCに等しくなるまでに、対応する端末NCCを増やす。
ステップS926において、UEがターゲットRNCにUTRAN移動性情報確認メッセージ又はRAN移動性情報確認メッセージを送信する。前記メッセージが更新した完全性キーIKで完全性保護を行なってもよく、又は更新した完全性キーIKと暗号化キーCKで前記メッセージに対して同時に完全性と暗号化保護を行なってもよい。
このメッセージにはユーザ設備安全能力パラメーターを含んでもよい。
ステップS928において、ターゲットRNCが更新した完全性キーIK及び/又は暗号化キーCKを用いてこのメッセージに対して安全検証を行う。ターゲットRNCがUEに送信したメッセージを成功に検証すると、ターゲットRNCがコアネットワークノード(SGSN+又はMSC/VLR+)に移転完了メッセージを送信し、このメッセージがコアネットワークノードに移転完了を指示する情報を含み、ネットワークNCC情報を含んでもよい。
ステップS930において、コアネットワークノードがIK、CKと現在の拡張キーIK、CKに基づいてネクストホップ拡張キーIK’、CK’を算出する。
選択可能には、ネットワーク側が1つのネクストホップカウンターネットワークNCCを保守すると、コアネットワークノードがネクストホップ拡張キーIK’、CK’を算出する前又は後、ネットワークNCCを逓増する。
ステップS932において、コアネットワークノードがターゲットRNCに移転完了確認メッセージを送信し、このメッセージがネクストホップ拡張キーIK’、CK’、及び/又は関連するネットワークNCCを含む。
ステップS934において、ターゲットRNCが受信したネクストホップ拡張キーIK’、CK’、及び/又は関連するネットワークNCCを保存し、次回SRNC移転のために用意しておく。
ステップS936において、コアネットワークノード(SGSN+又はMSC+)がソースRNCとの間のIuインターフェースを解除する。
本ステップのコアネットワークノード(SGSN+又はMSC/VLR+)がソースRNCとの間のIuインターフェースを解除することはステップS930の前に発生してもよい。
前記すべての実施例がSRNC内部の移転にも適応し、即ちソースRNCとターゲットRNCは同一のRNCのシーンである。
図10は、本発明の実施例によるコアネットワークノードの構成ブロック図を示し、以下を含む。
受信モジュール1002において、ターゲットRNCの移転完了指示メッセージを受信するように設置され、この移転完了指示メッセージがUEがソースRNCからターゲットRNCまでに成功に移転することを指示することに用いられる。算出モジュール1004において、受信モジュール1002が移転完了指示メッセージを受信した後、保存された伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される。送信モジュール1006において、ネクストホップ拡張キーをターゲットRNCに送信するように設置される。
本実施例のコアネットワークノードは更に、コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含んでもよい。
好ましくは、受信モジュール1002は更にターゲットRNCの移転完了指示メッセージを受信する前、ソースRNCが送信した移転需要メッセージを受信するように設置され、この移転需要メッセージがソースRNCのネクストホップCK’及び/又はIK’を含む。送信モジュール1006は更にターゲットRNCに移転要請メッセージを送信するように設置され、この移転要請メッセージがソースRNCが送信したネクストホップCK’及び/又はIK’を含む。
図11は、本発明の実施例による無線アクセスシステムの構成ブロック図を示し、ソースRNC1102、ターゲットRNC1104、コアネットワークノード1106及びユーザ設備UE1108を含む。
ここで、ソースRNC1102が、コアネットワークノード1106に移転需要メッセージを送信し、この移転需要メッセージにソースRNC1102のネクストホップ拡張キーを持ち、コアネットワークノード1106の移転コマンドを受信し、そしてUE1108に移転メッセージを送信するように設置される。
ここで、ターゲットRNC1104が、コアネットワークノード1106が送信した移転要請メッセージを受信し、この移転要請メッセージにソースRNC1102が送信したネクストホップ拡張キーを持ち、且つ、コアネットワークノード1106に移転完了指示メッセージを送信し、コアネットワークノード1106の移転完了確認メッセージを受信し、この移転完了確認メッセージがターゲットRNC1104のネクストホップ拡張キーを含むように設置される。
ここで、コアネットワークノード1106が、ターゲットRNC1104の移転完了指示メッセージを受信し、ネクストホップ拡張キーを算出し、そして移転完了確認メッセージを介してターゲットRNC1104に送信するように設置される。
ここで、ユーザ設備UE1108が、ソースRNC1102が送信した移転メッセージに基づいて自身の拡張キーを同期するように設置される。
好ましくは、コアネットワークノード1106は、ターゲットRNC1104の移転完了指示メッセージを受信するように設置され、この移転完了指示メッセージがUE1108がソースRNC1102からターゲットRNC1104までに成功に移転することを指示する受信モジュール11062と、受信モジュール11062が移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュール11064と、ネクストホップ拡張キーをターゲットRNC1104に送信するように設置される送信モジュール11066とを含む。
コアネットワークノード1106は更に、コアネットワークノード1106がネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含むことが好ましい。
UE1108は、UE1108がネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンター端末NCCを含むことが好ましい。
好ましくは、UE1108は更に、端末NCCがネットワークNCCに等しいかを判断するように設置される判断モジュール11082と、判断モジュール11082の判断がはいであると、使用端末NCCに対応する予め保存したCK及び/又はIKを用いるように設置される確定モジュール11084と、判断モジュール11082の判断結果がいいえであると、CK及び/又はIKを算出し、そして端末NCCがネットワークNCCに等しくなるまで、対応する端末NCCを増やすように設置される否定モジュール11086とを含む。
図12を参照し、本実施例によるSRNC随伴移転を行う時のエアインターフェースキーの更新フローチャートを示す。本実施例では、SRNCとターゲットRNCとの間のメッセージインタラクションにはコアネットワークノードCNN+(SGSN+又はMSC+)移転を必要とせず、拡張したSRNS移転フローを用いる。
本実施例は以下のステップを含む。
ステップS1202において、ソースRNC(即ち、SRNC)SRNC移転を行なうと決定する。
この決定のトリガーは、ソースRNCがUEの測定報告を受信すること、又はターゲットRNCが送信したアップリンクシグナル伝送指示を受信し、セル更新又はURA更新を行なうことを要請すること等がある。
ステップS1204において、ソースRNCがターゲットRNCに拡張した移転要請メッセージを送信し、メッセージにネクストホップ拡張キーIK’とCK’、及び/又はネットワークNCCを含む。
拡張した移転要請メッセージは以下のパラメーター、即ち、ネクストホップ拡張した完全性キーIK’、及び/又はネクストホップ拡張した暗号化キーCK’を含む。そのほか、以下のパラメーターの1つ又は任意組合を持ってもよい:ユーザ設備安全能力、ユーザが支援する暗号化アルゴリズム、ユーザが支援する完全性アルゴリズム、選択した暗号化アルゴリズム、選択した完全性アルゴリズム、拡張したエアインターフェースキーに関連するネクストホップカウンターネットワークNCCの中の1つ又は任意の組み合わせを含んでもよい。前記安全材料がソースRNCからターゲットRNCまでの透明容器中に含まれることが好ましい。
ソースRNCがネクストホップ拡張した完全性キーIK’を拡張した完全性キーIKとし、ネクストホップ拡張した暗号化キーCK’を拡張した暗号化キーCKとしてもよい。ソースRNCが送信した移転需要メッセージに、拡張完全性キーIK、及び/又は拡張暗号化キーCKを含む。
ソースRNCはターゲットRNCが拡張した安全を支援するかを確定できない可能性があるため、ソースRNCがネクストホップ拡張キーIK’とCK’をそれぞれ移転需要メッセージのIKとCKフィールドに置いてもよい。
実際のネットワーク配置では、拡張安全機能を支援するネットワークエンティティと伝統的な安全のみを支援するネットワークエンティティが共存し、SRNCが移転する場合に、UEが拡張安全機能を支援するSRNC+から拡張安全機能を支援しないターゲットRNCまでに移転するシーンが存在する。SRNC+が移転を決定する場合に、ターゲットRNCが拡張安全機能を支援するか否かを知らない可能性がある。そのため、SRNCが移転する場合に、キーの更新も伝統的なネットワークの安全支援を考える必要がある。
ステップS1206において、ターゲットRNCが受信したキーを保存する。ターゲットRNCが拡張した安全を支援すると、ターゲットRNCが受信したメッセージにおけるIKフィールドの値を拡張キーIKとし、CKフィールドの値を拡張キーCKとする。ターゲットRNCが拡張した安全を支援しないと、ターゲットRNCが受信したメッセージにおけるIKフィールドの値を伝統的なキーIKとし、CKフィールドの値を伝統的なキーCKとする。
ステップS1208において、ターゲットRNCがソースRNCに拡張した移転応答メッセージを送信する。このメッセージを送信する前、ターゲットRNCがUEにRRC(Radio Resource Control、無線リソース制御プロトコル)接続リソースと無線リンク等のリソースを配布する。
この拡張した移転応答メッセージがネクストホップカウンターネットワークNCC情報を含んでもよい。
ステップS1210において、ソースRNCが、物理チャネル再配置メッセージ又はUTRAN移動性情報メッセージである移転メッセージをUEに送信する。
前記物理チャネル再配置メッセージ又はUTRAN移動性情報メッセージにネクストホップカウンターネットワークNCC情報を含んでもよい。
ステップS1212において、UEが拡張した安全を支援すると、UEがネットワーク側に同一なアルゴリズムで拡張した完全性キーIK及び/又は暗号化キーCKを更新する。
本ステップでは、UEにネクストホップカウンター端末NCCが設置され、UEがネットワークNCCを受信し、現在アクティブにした拡張キーに対応する端末NCCがネットワークNCCに等しいかを判断し、両者が等しいと、UEが自ら保存した拡張完全性キーIK及び/又は拡張暗号化キーCKをそのまま使用する。ネットワークNCCが端末NCCより大きいと、UEが拡張キーIK/CKを算出し、端末NCCがネットワークNCCに等しくなるまで、対応する端末NCCを逓増する。
ステップS1214において、UEがターゲットRNCに物理チャネル再配置完了メッセージ又はUTRAN移動性情報確認メッセージを送信する。前記メッセージが更新した完全性キーIKで完全性保護を行なってもよく、又は更新した完全性キーIKと暗号化キーCKで前記メッセージに対して同時に完全性と暗号化保護を行なってもよい。
このメッセージにはユーザ設備安全能力パラメーターを含んでもよい。
ステップS1216において、ターゲットRNCが更新した完全性キーIK及び/又は暗号化キーCKを用いてこのメッセージに対して安全検証を行う。ターゲットRNCがUEに送信したメッセージを成功に検証すると、ターゲットRNCがコアネットワークノード(SGSN+又はMSC/VLR+)に拡張した移転完了要請メッセージを送信し、このメッセージがコアネットワークノードに移転完了を指示する情報を含み、ネットワークNCC情報を含んでもよい。
ステップS1218において、コアネットワークノードがIK、CKと現在の拡張キーIK、CKに基づいてネクストホップ拡張キーIK’、CK’を算出する。
選択可能には、ネットワーク側が1つのネクストホップカウンターネットワークNCCを保守すると、コアネットワークノードがネクストホップ拡張キーIK’、CK’を算出する前又は後、ネットワークNCCを逓増する。
ステップS1220において、コアネットワークノードがターゲットRNCに移転完了確認メッセージを送信し、このメッセージがネクストホップ拡張キーIK’、C’K、及び/又は関連するネットワークNCCを含む。
ステップS1222において、ターゲットRNCが受信したネクストホップ拡張キーIK’、CK’、及び/又は関連するネットワークNCCを保存し、次回SRNC移転のために用意しておく。
ステップS1224において、コアネットワークノード(SGSN+又はMSC/VLR+)がソースRNCとの間のIuインターフェースをリリースする。
当業者にとっては、上記本発明の各モジュール又は各ステップは汎用の計算装置によって実現することができ、単独の計算装置に集中させてもよく、複数の計算装置から構成されるネットワークに分布させてもよく、または計算装置が実行可能なプログラムのコードによって実現することもできるので、それらを記憶装置に記憶させて計算装置によって実行することができ、また、ある場合には、示された或は述べられたステップが上記と異なる順で実行されてもよく、又はそれらの夫々をそれぞれ集積回路ブロックに製作し、又はそれらにおける複数のモジュール又はステップを単独の集積回路モジュールに製作して実現することができることは明らかなことである。このように、本発明は如何なる指定のハードウェアとソフトウェアの結合にも限定されない。
以上は、本発明の好適な実施例に過ぎず、本発明を限定するものではない。当業者であれば本発明に様々な修正や変形が可能である。本発明の主旨や原則内で行う如何なる修正、置換、改良などは本発明の保護範囲内に含まれる。

Claims (23)

  1. コアネットワークノードがターゲット無線ネットワークコントローラRNCの移転完了指示メッセージを受信し、前記移転完了指示メッセージがユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いられるステップと、
    コアネットワークノードが保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出するステップと、
    コアネットワークノードが前記ネクストホップ拡張キーを前記ターゲットRNCに送信するステップと、
    を含むエアインターフェースキーの更新方法。
  2. 前記伝統的なキーは伝統的な完全性キーIK及び/又は伝統的な暗号化キーCKを含み、前記拡張キーは拡張完全性キーIK及び/又は拡張暗号化キーCKを含む請求項1に記載の方法。
  3. 前記コアネットワークノードにネクストホップカウンターネットワークNCCを設置し、前記コアネットワークノードがネクストホップ拡張キーを算出する回数を数える。請求項2に記載の方法。
  4. 前記コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信するステップの前、更に、
    前記ソースRNCが前記コアネットワークノードに移転需要メッセージを送信し、前記移転需要メッセージがソースRNCのネクストホップCK及び/又はIKを含むことと、
    前記コアネットワークノードが前記移転需要メッセージを受信し、前記ターゲットRNCに移転要請メッセージを送信し、前記移転要請メッセージが前記ソースRNCが送信したネクストホップCK及び/又はIKを含むこととを含む請求項3に記載の方法。
  5. 前記移転需要メッセージと移転要請メッセージは、いずれも前記ネットワークNCCの指示した情報をさらに含む請求項4に記載の方法。
  6. 前記ソースRNCが前記コアネットワークノードに移転需要メッセージを送信するステップは、前記ソースRNCが前記ネクストホップIKを前記移転需要メッセージのIKフィールドに置き、及び/又は前記ネクストホップCKを前記移転需要メッセージのCKフィールドに置き、前記コアネットワークノードに送信することを含み、
    前記コアネットワークノードが前記ターゲットRNCに移転要請メッセージを送信するステップは、前記コアネットワークノードが前記ソースRNCが送信したネクストホップIKを前記移転要請メッセージのIKフィールドに置き、及び/又は前記ソースRNCが送信したネクストホップCKを前記移転要請メッセージのCKフィールドに置き、前記ターゲットRNCに送信することを含む請求項4に記載の方法。
  7. 前記コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信するステップの前、更に、
    前記ソースRNCが前記ターゲットRNCに拡張した移転要請メッセージを送信し、前記拡張した移転要請メッセージが前記ソースRNCのネクストホップCK及び/又はIKを含むことを含む請求項3に記載の方法。
  8. 前記ソースRNCが前記ターゲットRNCに拡張した移転要請メッセージを送信するステップは、前記ソースRNCが前記ネクストホップIKを前記拡張した移転要請メッセージのIKフィールドに置き、及び/又は前記ネクストホップCKを前記拡張した移転要請メッセージのCKフィールドに置き、前記ターゲットRNCに送信することを含む請求項7に記載の方法。
  9. 前記コアネットワークノードが前記ターゲットRNCに移転要請メッセージ/拡張した移転要請メッセージを送信するステップの後、更に、
    前記ターゲットRNCが拡張した安全モードを支援しないと、前記移転要請メッセージ/拡張した移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることと、
    前記ターゲットRNCが拡張した安全モードを支援すると、前記移転要請メッセージ/拡張した移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることとを含む請求項6又は8に記載の方法。
  10. 前記コアネットワークノードが前記ターゲットRNCに移転要請メッセージを送信するステップの後、更に、
    前記コアネットワークノードが前記ターゲットRNCの移転要請確認メッセージを受信し、そして前記ソースRNCに移転コマンドメッセージを送信し、前記移転コマンドメッセージが前記ネットワークNCCが指示した情報を含むことと、
    前記ソースRNCが前記移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信し、前記移転メッセージが前記ネットワークNCCが指示した情報を含むことを含む請求項4に記載の方法。
  11. 前記ソースRNCが前記移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信するステップの後、更に、
    前記UEが前記移転メッセージを受信し、現在アクティブにした拡張キーに対応するネクストホップカウンター端末NCCが前記ネットワークNCCに等しいかを判断することと、
    はいであると、前記UEが前記端末NCCに対応する予め保存した前記IK及び/又はCKを用いることと、
    いいえであると、前記UEが前記IK及び/又はCKを算出し、そして前記端末NCCが前記ネットワークNCCに等しくなるまで、対応する前記端末NCCを逓増すること、とを含む請求項10に記載の方法。
  12. 前記方法は更に、
    ユーザ設備UEがネットワークに初回付着し、又は前記UEがアイドルモードから接続モードに転換し、又は前記UEが発展型汎用陸地無線アクセスネットワークE−UTRAN又はグローバル移動通信システムGSMネットワークから汎用陸地無線アクセスネットワークUTRANまでに移動し、又は前記UEが伝統的なUTRANから拡張したUTRANに移動する場合に、前記コアネットワークノードが保存した伝統的なキーに応じて現在の拡張キーを算出することと、
    前記コアネットワークノードが前記現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーをサービスRNCに送信すること、とを含む請求項1に記載の方法。
  13. 前記初期ネクストホップ拡張キーが前記コアネットワークノードにより以下の公式で、前記保存した伝統的なキーと前記算出した現在の拡張キーに基づいて算出される請求項12に記載の方法であって、
    (IK、CK)=F1(IK||CK、Parameter);
    (IK’、CK’)=F2(IK||CK、IK||CK);
    ここで、F1とF2はキー関数、IKは伝統的な完全性キー、CKは伝統的な暗号化キー、IKは現在拡張完全性キー、CKは現在拡張暗号化キー、IK’は初期ネクストホップ拡張完全性キー、CK’は初期ネクストホップ拡張暗号化キー、“||”はカスケード、Parameterはパラメーターである。
  14. 前記コアネットワークノードが前記現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーを前記サービスRNCに送信するステップの後、更に、
    前記サービスRNCが前記現在拡張キー及び/又は算出した初期ネクストホップ拡張キーを受信して保存し、そして前記UEに安全モードコマンドメッセージを送信することと、
    前記UEが前記安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出すること、とを含む請求項12に記載の方法。
  15. 前記UEが前記安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出するステップの後、更に、
    前記UEが前記伝統的なキーと拡張キーを用いてネクストホップ拡張キーを算出することを含む請求項14に記載の方法。
  16. ターゲット無線ネットワークコントローラRNCの移転完了指示メッセージを受信し、前記移転完了指示メッセージがユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いられるように設置される受信モジュールと、
    前記受信モジュールが前記移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、
    前記ネクストホップ拡張キーを前記ターゲットRNCに送信するように設置される送信モジュールとを含むコアネットワークノード。
  17. 前記コアネットワークノードは更に、
    前記コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含む請求項16に記載のコアネットワークノード。
  18. 前記受信モジュールは、前記ターゲットRNCの移転完了指示メッセージを受信する前、前記ソースRNCが送信した移転需要メッセージを受信するように設置され、前記移転需要メッセージが前記ソースRNCのネクストホップCK及び/又はIKを含み、
    前記送信モジュールは、前記ターゲットRNCに移転要請メッセージを送信するように設置され、前記移転要請メッセージが前記ソースRNCが送信したネクストホップCK及び/又はIKを含む請求項17に記載のコアネットワークノード。
  19. ソース無線ネットワークコントローラRNC、ターゲットRNC、コアネットワークノード及びユーザ設備UEを含む無線アクセスシステムであって、
    前記ソースRNCが、前記コアネットワークノードに移転需要メッセージを送信し、
    前記移転需要メッセージに前記ソースRNCのネクストホップ拡張キーを含み、
    前記コアネットワークノードの移転コマンドを受信し、そして前記UEに移転メッセージを送信するように設置され、
    前記ターゲットRNCが、前記コアネットワークノードが送信した移転要請メッセージを受信し、前記移転要請メッセージに前記ソースRNCが送信したネクストホップ拡張キーを持ち、そして前記コアネットワークノードに移転完了指示メッセージを送信し、前記コアネットワークノードの移転完了確認メッセージを受信し、前記移転完了確認メッセージが前記ターゲットRNCのネクストホップ拡張キーを含むように設置され、
    前記コアネットワークノードが、前記ターゲットRNCの移転完了指示メッセージを受信し、ネクストホップ拡張キーを算出し、そして前記移転完了確認メッセージを前記ターゲットRNCに送信するように設置され、
    前記UEが、前記ソースRNCが送信した移転メッセージに応じて自身の拡張キーを同期するように設置される無線アクセスシステム。
  20. 前記コアネットワークノードは、
    前記ターゲットRNCの移転完了指示メッセージを受信し、前記移転完了指示メッセージがユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いるように設置される受信モジュールと、
    前記受信モジュールが前記移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、
    前記ネクストホップ拡張キーを前記ターゲットRNCに送信するように設置される送信モジュールと、を含む請求項19に記載の無線アクセスシステム。
  21. 前記コアネットワークノードは更に、
    前記コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含む請求項20に記載の無線アクセスシステム。
  22. 前記UEは、
    前記UEに対してネクストホップ拡張キーの算出回数を数えるように設置されるネクストホップカウンター端末NCCを含む請求項21に記載の無線アクセスシステム。
  23. 前記UEは更に、
    前記端末NCCが前記ネットワークNCCに等しいかを判断するように設置される判断モジュールと、
    前記モジュールの判断結果がはいであると、前記端末NCCに対応する予め保存したCK及び/又はIKを用いるように設置される確定モジュールと、
    前記判断モジュールの判断結果がいいえであると、前記CKU及び/又はIKUを算出し、そして前記端末NCCが前記ネットワークNCCに等しくなるまでに、対応する前記端末NCCを逓増するように設置される否定モジュールとを含む請求項22に記載の無線アクセスシステム。
JP2013513528A 2010-06-07 2011-03-09 エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム Expired - Fee Related JP5774096B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201010200885.1A CN101841810B (zh) 2010-06-07 2010-06-07 空中接口密钥的更新方法、核心网节点及无线接入系统
CN201010200885.1 2010-06-07
PCT/CN2011/071628 WO2011153852A1 (zh) 2010-06-07 2011-03-09 空中接口密钥的更新方法、核心网节点及无线接入系统

Publications (2)

Publication Number Publication Date
JP2013531939A true JP2013531939A (ja) 2013-08-08
JP5774096B2 JP5774096B2 (ja) 2015-09-02

Family

ID=42744854

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013513528A Expired - Fee Related JP5774096B2 (ja) 2010-06-07 2011-03-09 エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム

Country Status (6)

Country Link
US (1) US8938071B2 (ja)
EP (1) EP2571305A4 (ja)
JP (1) JP5774096B2 (ja)
CN (1) CN101841810B (ja)
CA (1) CA2801615A1 (ja)
WO (1) WO2011153852A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841810B (zh) 2010-06-07 2016-01-20 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统
CN101902736B (zh) * 2010-07-23 2018-01-23 江苏悦达数梦技术有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统
CN101909292B (zh) 2010-08-18 2016-04-13 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及用户设备
CN103096398B (zh) * 2011-11-08 2016-08-03 华为技术有限公司 一种网络切换的方法和装置
CN109155775B (zh) * 2016-05-09 2020-11-17 华为技术有限公司 一种移动设备、网络节点及其方法
KR20230147749A (ko) * 2017-06-23 2023-10-23 모토로라 모빌리티 엘엘씨 이용되는 보안 키들에 영향을 주는 연결 재구성의 일부로서 베어러 특정 변경들을 구현하기 위한 방법 및 장치
WO2019140633A1 (zh) * 2018-01-19 2019-07-25 Oppo广东移动通信有限公司 指示用户设备获取密钥的方法、用户设备及网络设备
US11457353B2 (en) 2018-06-25 2022-09-27 Mediatek Singapore Pte. Ltd. Indication of additional security capabilities using NAS signaling in 5G mobile communications
US11057766B2 (en) * 2018-11-01 2021-07-06 Nokia Technologies Oy Security management in disaggregated base station in communication system
CN109495916B (zh) * 2018-11-20 2022-05-10 华为技术服务有限公司 一种通信方法及设备
CN113795024A (zh) * 2020-05-26 2021-12-14 华为技术有限公司 一种获取密钥的方法及装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0020443D0 (en) * 2000-08-18 2000-10-04 Nokia Networks Oy Controlling communication between stations
EP1770917A1 (en) * 2005-09-29 2007-04-04 Nortel Networks Limited Method for managing communications and related core network node
WO2008115447A2 (en) * 2007-03-15 2008-09-25 Interdigital Technology Corporation Methods and apparatus to facilitate security context transfer, rohc and pdcp sn context reinitialization during handover
CN101232731B (zh) * 2008-02-04 2012-12-19 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和系统
EP2351395A4 (en) * 2008-11-03 2014-07-09 Nokia Corp METHOD, DEVICES AND COMPUTER PROGRAM PRODUCT FOR MANUFACTURING SAFETY DURING TRANSMISSION BETWEEN A PACKAGED NETWORK AND A LINEAR NETWORK
US9344924B2 (en) * 2008-11-27 2016-05-17 Htc Corporation Method of handling handover security configuration and related communication device
CN101583130B (zh) * 2009-06-18 2015-09-16 中兴通讯股份有限公司 空口密钥的生成方法与装置
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
CN101715188B (zh) * 2010-01-14 2015-11-25 中兴通讯股份有限公司 一种空口密钥的更新方法及系统
CN101835151B (zh) * 2010-04-16 2016-03-30 中兴通讯股份有限公司 空中接口密钥的更新方法及无线接入系统
CN101841810B (zh) * 2010-06-07 2016-01-20 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统
CN101867924B (zh) * 2010-06-07 2016-07-06 中兴通讯股份有限公司 空中接口密钥的更新、生成方法及无线接入系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
JPN6014038458; ZTE Corporation, Huawei, HiSilicon: 'IWK with GERAN/E-UTRAN for simplified forward security based solution' 3GPP TSG-SA3 SA3#62, S3-110069 , 20110128 *
JPN6014038460; ZTE Corporation: 'Key Change during SRNS Relocation' 3GPP TSG-SA3 SA3#59, S3-100515 , 20100430 *
JPN6014038463; '3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study' 3GPP TR 33.859 V1.0.0 , 201012, pp.18-49 *

Also Published As

Publication number Publication date
EP2571305A1 (en) 2013-03-20
CN101841810A (zh) 2010-09-22
EP2571305A4 (en) 2014-01-15
CN101841810B (zh) 2016-01-20
US20130077785A1 (en) 2013-03-28
US8938071B2 (en) 2015-01-20
JP5774096B2 (ja) 2015-09-02
CA2801615A1 (en) 2011-12-15
WO2011153852A1 (zh) 2011-12-15

Similar Documents

Publication Publication Date Title
JP5774096B2 (ja) エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム
US8145195B2 (en) Mobility related control signalling authentication in mobile communications system
US7020455B2 (en) Security reconfiguration in a universal mobile telecommunications system
US8179860B2 (en) Systems and method for performing handovers, or key management while performing handovers in a wireless communication system
JP4820429B2 (ja) 新しい鍵を生成する方法および装置
US20170359719A1 (en) Key generation method, device, and system
EP3322252B1 (en) Communication methods, network side device, and user equipment
KR20100114927A (ko) 무선 통신 시스템에서 핸드오버를 실행하는 동안 키 관리를 실행하기 위한 시스템 및 방법
US20080039096A1 (en) Apparatus, method and computer program product providing secure distributed HO signaling for 3.9G with secure U-plane location update from source eNB
KR20090063274A (ko) 무선 원격통신에서의 암호화
WO2011085682A1 (zh) 一种空中接口密钥的更新方法及系统
AU2009233486A1 (en) Methods, apparatuses, and computer program products for providing multi-hop cryptographic separation for handovers
KR20040073247A (ko) 무선 통신 시스템에 보안 스타트 값을 저장하는 방법
JP5770288B2 (ja) エアーインターフェースキーの更新方法、コアネットワークノード及びユーザ設備
WO2011127791A1 (zh) 终端移动到增强utran时建立增强密钥的方法及系统
WO2013075417A1 (zh) 切换过程中密钥生成方法及系统
US20130078956A1 (en) Method for updating and generating air interface key and radio access system
KR20100126691A (ko) 무선 통신 시스템에서 핸드오버들을 수행, 또는 핸드오버들을 수행하면서 키 관리를 수행하는 시스템 및 방법
Zhang et al. An enhanced handover authentication solution for 6LoWPAN networks
WO2008152611A1 (en) Apparatus, method and computer program product providing transparent container
CN101835151B (zh) 空中接口密钥的更新方法及无线接入系统
CN1964259B (zh) 一种切换过程中的密钥管理方法
CN101902736B (zh) 空中接口密钥的更新方法、核心网节点及无线接入系统
WO2001043476A1 (en) Communication method
WO2012022186A1 (zh) 空中接口密钥的更新方法、核心网节点、ue及无线接入系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150630

R150 Certificate of patent or registration of utility model

Ref document number: 5774096

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees