JP2017501626A - モバイルデバイスの同時複数セル接続のためのセキュリティ鍵生成 - Google Patents
モバイルデバイスの同時複数セル接続のためのセキュリティ鍵生成 Download PDFInfo
- Publication number
- JP2017501626A JP2017501626A JP2016536701A JP2016536701A JP2017501626A JP 2017501626 A JP2017501626 A JP 2017501626A JP 2016536701 A JP2016536701 A JP 2016536701A JP 2016536701 A JP2016536701 A JP 2016536701A JP 2017501626 A JP2017501626 A JP 2017501626A
- Authority
- JP
- Japan
- Prior art keywords
- computing device
- network
- given user
- security context
- user computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 26
- 238000000034 method Methods 0.000 claims description 48
- 230000006870 function Effects 0.000 claims description 22
- 238000009795 derivation Methods 0.000 claims description 17
- 230000015654 memory Effects 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 description 20
- 230000008569 process Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 8
- 230000009977 dual effect Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- -1 SHA256 Proteins 0.000 description 1
- 101100203322 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SKS1 gene Proteins 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0069—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
第1のセキュリティコンテキストが、所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間のセキュアなデータ接続を可能にするように、所与のユーザコンピューティングデバイスと通信ネットワークの第1のネットワークセルと関連付けられている第1のネットワークコンピューティングデバイスとの間で確立される。第2のセキュリティコンテキストが、所与のユーザコンピューティングデバイスと第2のネットワークコンピューティングデバイスとの間のセキュアなデータ接続を、所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間のセキュアなデータ接続と同時に可能にするように、所与のユーザコンピューティングデバイスと通信ネットワークの第2のネットワークセルと関連付けられている第2のネットワークコンピューティングデバイスとの間で確立される。第2のセキュリティコンテキストの確立は、第2のセキュリティコンテキストを第2のネットワークコンピューティングデバイスと確立するように、第1のネットワークコンピューティングデバイスが所与のユーザコンピューティングデバイスに所与のユーザコンピューティングデバイスにより使用され得る同時セキュアデータ接続パラメータを送信することを含む。
Description
本出願は、その開示が引用によりその全体が本明細書に組み込まれている、2013年12月5日に申請された「Security Key Generation for Simultaneous Multiple Cell Connections for Mobile Device(モバイルデバイスの同時複数セル接続のためのセキュリティ鍵生成)」と題する米国特許仮出願第61/912、311号に対する優先権を主張する。
本出願は一般に通信ネットワークに関し、より詳細にはセキュリティコンテキスト確立機能を提供する通信プロトコルに関する。
3GPP(3rd Generation Partnership Project)は現在、LTE(Long Term Evolution)通信ネットワークでのモバイルデバイスのユーザ機器(UE)に対して、デュアル接続を提供するためのパラメータを定義している。LTEネットワークの進化型アーキテクチャは、アクセスネットワーク側のE−UTRAN(Evolved Universal Terrestrial Radio Access Network)と、コアネットワーク側のEPC(Evolved Packet Core)を含む。
デュアル接続では、UEは、非理想的バックホールを介して接続される少なくとも2つの異なるネットワークアクセスポイント(マスタおよびセカンダリeNB)により提供される無線リソースを消費する(eNBは、LTEネットワークでの進化型ノードBネットワークアクセスポイントを意味する)。マスタ(またはマクロ)eNB(MeNB)は、無線リソース制御(RRC)層をホストし、S1−MME(E−UTRANとモビリティ管理エンティティ(MME)との間のコントロールプレーンプロトコルのための参照ポイント)を終端させ、したがってコアネットワーク(CN)に対してモビリティアンカーとして動作するeNBである。セカンダリ(またはスモール)eNB(SeNB)は、UEに対して付加的な無線リソースを提供するeNBである。所与のUEに対してSeNBとして構成されたeNBはまた、スタンドアローンUEに対して典型的なセル(すなわち、単一接続)として運用され得る。
3GPP TS 33.401
3GPP TS 33.220付録B
現在の3GPPセキュリティフレームワークは、UEと1つの接続点、すなわちUEと1つのeNBとの間のセキュアな運用を定義している。しかしながら、UEの複数セルに対する同時接続にはセキュリティ解決策が存在しない。
本発明の例示的な実施形態は、通信ネットワークで使用される、改善されたセキュリティコンテキスト確立技術を提供する。
一実施形態において、方法は以下のステップを含む。第1のセキュリティコンテキストが、所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間のセキュアなデータ接続を可能にするように、所与のユーザコンピューティングデバイスと通信ネットワークの第1のネットワークセルと関連付けられている第1のネットワークコンピューティングデバイスとの間で確立される。少なくとも第2のセキュリティコンテキストが、所与のユーザコンピューティングデバイスと第2のネットワークコンピューティングデバイスとの間のセキュアなデータ接続を、所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間のセキュアなデータ接続と同時に可能にするように、所与のユーザコンピューティングデバイスと通信ネットワークの少なくとも第2のネットワークセルと関連付けられている少なくとも第2のネットワークコンピューティングデバイスとの間で確立される。第2のセキュリティコンテキストの確立は、第2のセキュリティコンテキストを第2のネットワークコンピューティングデバイスと確立するように、第1のネットワークコンピューティングデバイスが所与のユーザコンピューティングデバイスに所与のユーザコンピューティングデバイスにより使用され得る同時セキュアデータ接続パラメータを送信することを含む。
例えば、第2のセキュリティコンテキストのセキュリティ鍵は、第1のセキュリティコンテキストに対して確立されるセキュリティ鍵および同時セキュアデータ接続パラメータに基づいて、鍵導出関数を使用して計算され得る。
有利には、例示的な実施形態は通信ネットワークでのUEの複数セルに対する同時接続に対して、セキュリティ解決策を提供する。
本発明のこれらおよび他の特徴ならびに利点は、付随する図面および以下の詳細な説明からさらに明らかになるであろう。
本発明の例示的な実施形態は本明細書で、典型的な通信ネットワーク、ユーザコンピューティングデバイス、ネットワークコンピューティングデバイス、処理プラットフォームおよび関連する通信プロトコルと関連して説明される。しかしながら、本発明の実施形態は説明される特定の構成による使用に限定されるものではなく、改善されたセキュリティコンテキスト確立機能を提供することが望ましい、任意の通信ネットワークの応用に対してより一般的に適用され得ることが理解されよう。
図1Aおよび1Bは、デュアル接続構成と関連付けられている2つの異なるネットワークアクセスポイント(MeNBおよびSeNB)に接続するユーザ機器に対する、例示的な3GPPインターフェースアーキテクチャを示している。
概して、eNBはUEとインターフェース接続し、物理(PHY)、媒体アクセス制御(MAC)、無線リンク制御(RLC)およびパケットデータ制御プロトコル(PDCP)層をホストする。eNBはまた、コントロールプレーンに対応する無線リソース制御(RRC)機能をホストし、とりわけユーザおよびコントロールプレーンデータの暗号化/復号を実行する。S1−Uインターフェースは、ハンドオーバ中のベアラごとのユーザプレーントンネリングおよびeNB間パス切り替えに対する、E−UTRANとサービングゲートウェイ(GW)との間の参照ポイントである。
図1A(100)および1B(150)で示されている両方のアーキテクチャで、ユーザプレーンデータは、MeNBまたはMeNBに配分されるSeNBのいずれかに関連付けられたPDCP層で暗号処理、すなわち暗号化および復号される一方で、UEはMeNBおよびSeNB両方との同時ユーザプレーン接続を維持する。
背景技術のセクションですでに述べたように、現在の3GPPセキュリティフレームワークは、UEと1つの接続点(すなわち1つのeNB)との間のセキュアな運用を定義しており、したがってUEの複数セルに対する同時接続にはセキュリティ解決策が存在しない。
その開示が引用によりその全体が本明細書に組み込まれている、現在の3GPP仕様TS 33.401によれば、新しい鍵KeNBはUEがeNBに接続するたびに計算される。KeNBから、ユーザプレーンおよびコントロールプレーンの完全性および暗号化保護のための鍵の集合が計算される。ハンドオフの間に、KeNB*はネットワークにより、目標eNBに対して現在のKeNBから計算される。サービングeNBにより目標eNBに配布されると、KeNB*は目標eNBに対して現在アクティブなKeNBになる。UEもまた、相互に知られているパラメータにより、目標セルに対してKeNBの同様の計算を行う。UEのKeNBと目標eNBが一致する場合、ハンドオフは成功する。新しい目標eNBに対するハンドオフに続いて、コントロールおよびユーザプレーンの完全性および暗号化鍵が再計算される。しかしながら、UEと1つのeNBとの間で確立される、現在の単一のセキュリティコンテキストは、同時複数セル接続をサポートするには不十分である。
単一のセキュリティコンテキストが、潜在的なセキュリティ脆弱性を防ぐために複数のセルに使用されるのは望ましくないことが理解される。したがって、本発明の実施形態は、UEによる複数セル(eNB)への同時接続に対して個々の(別個の)セキュリティコンテキストを持つセキュリティ解決策を提供する。すなわち、各接続はそれ自身の別個のセキュリティコンテキストを持つ。例えば、実施形態はUEによるeNB(例えば、MeNBおよびSeNB)への複数同時接続に対して鍵計算および鍵管理方法論を提供する。方法論は、階層セルやマクロセル内に配備されたスモールセルなど多くのシナリオに適用され得るが、これらに限定されるものではない。さらに、本発明の実施形態は、TS 33.401により定義された初期アクセスやハンドオーバなどの間の現在の鍵計算方式に影響しない。すなわち、本発明の実施形態は、現在のTS 33.401方式を不利に変更することなく、鍵計算のロバスト性を維持しながら、複数のセキュリティコンテキストの生成が可能である、新しい鍵導出方法論を定義する。例えば、1つまたは複数の例示的な実施形態は、新しい目標セルがUEの同時接続に追加されるたびに付加的なセキュリティコンテキストを計算するために、スモールセルカウンタ(SCC)と称されるパラメータおよび新しい鍵導出関数を使用する。SCCパラメータはまた、より一般的には、同時セキュアデータ接続パラメータと称される。
例えば、以下でさらに詳細に説明される例示的な実施形態において、MeNBがUEの同時接続のためにSeNBを追加する場合、MeNBはUEに(説明される他のパラメータと共に)スモールセルカウンタ(SCC)パラメータを送信する。SCCはMeNBによりそのUEコンテキストの一部として維持され、初期値mから開始し、第1のセルの追加に対して値m+1にインクリメントされ、次いで別のスモールセルがUEに追加されるたびにインクリメントされる(例えば、m+2、m+3、m+4、...など)、単調に増加するカウンタである。MeNBが同時接続を中止(例えば、UEの移動性のため)することを決定し、のちに同じSeNBに対するオフロードを再開することを決定する場合、SCC値はただ増加し続け、したがって計算されたセキュリティコンテキストを最新に保つ。したがって例として、カウンタ値は初め0から開始し、次いで第1のスモールセルが追加されたときに1にインクリメントし、次いで次のスモールセルが追加されたときに2にインクリメントし、以降同様に続く。また、他の実施形態において、カウンタインクリメント量は1よりも大きいことがある。
代替の実施形態において、SCCは何らかの初期値mから開始し、スモールセルがUEに追加されるたびにデクリメントされる(例えば、m−1、m−2、m−3、...など)、単調に減少するカウンタであり得る。カウンタは、追加される各スモールセルに対して一意の所定の値に変更される限り、任意の値mから開始され得ることを理解されたい。さらに、同時セキュアデータ接続パラメータは、追加される各セキュリティコンテキストに一意の値を提供するように、同じKeNBの存続期間中に繰り返すことのないランダムに選択された任意の値を含み得る。例えば、繰り返しの可能性が非常に低い(無視できる)、大きいランダムな数が使用され得る。
MeNBがデータオフロードのためのスモールセルSeNBをMeNBに接続された所与のUEに追加することを決定した場合、MeNBは目標セルにオフロード接続のリクエストメッセージを送信する。開始セルMeNBは、目標SeNBでのUE接続に使用される鍵SKeNBを計算する。
例示的な実施形態において、3GPP TS 33.401で定義された鍵導出手順を適応するために、セキュリティ鍵SKeNBがKDF(KeNB、S)として導出される。KeNBはMeNBの現在アクティブな鍵(MKeNBとして示されている)であり、KDFは、新しい関数コードFCと共にその開示が引用によりその全体が本明細書に組み込まれている3GPP TS 33.220付録Bで定義された鍵導出関数である。例示的な実施形態において、SパラメータはSCC、SCCの長さおよび他のSeNBセル特有のパラメータ(例えば、目標PCI、PCIの長さ、EARFCN−DLおよびEARFCN−DLの長さ。ここでPCIはPhysical Cell Identifier(物理セル識別子)を意味し、EARFCNはE−UTRA Absolute Radio Frequency Channel Numberを意味し、DLはダウンリンクを意味する)を使用して導出される。Sパラメータは、以下のようにn+1個の入力パラメータから構築される文字列である:
、この例は以下で例示的な実施形態により示される。他のSeNBセル特有のパラメータ(目標PCI、PCIの長さ、EARFCN−DLおよびEARFCN−DLの長さ)は代替の実施形態では使用されないことに留意されたい。
UEが、目標SeNBに対して接続リクエストを実行するよう指示されると、UEにも同じSCC、SCCの長さ、(使用されている場合は)他の目標セルパラメータ(目標PCI、PCIの長さ、EARFCN−DLおよびEARFCN−DLの長さ)が与えられる。UEは以下で定義される新しい関数を使用してSパラメータを計算し、同じ鍵導出関数KDF(KeNB、S)を使用してさらにSKeNBを計算する。
代替の実施形態は、3GPP TS 33.401で定義されたKDF以外の鍵導出関数を使用し得ることが理解されよう。例としてのみ示すと、適切なメッセージ認証コード(MAC)プロパティを持つハッシュ関数などの任意の一方向暗号関数を使用することができる。例えば、SHA1、SHA256、SHA3などのセキュアなハッシュアルゴリズムである。
SKeNBから、UEは目標セルのために、完全性および暗号化のためのさらなる鍵、すなわちSKUPint(ユーザプレーン完全性鍵)、SKUPenc(ユーザプレーン暗号鍵)、SKRRCint(RRC完全性鍵)およびSKRRCenc(RRC暗号鍵)を導出する。このような鍵はアップリンク(UL)鍵およびダウンリンク(DL)鍵を含む。すなわち、UEで、DL鍵はデータ受信時の復号に使用され、UL鍵はデータ送信時の暗号化に使用される。
アーキテクチャの選択により、SeNBはコントロールプレーンRRCメッセージを処理できる場合とできない場合がある。SeNBがRRCメッセージを処理できる場合、このことはMeNBからのオフロードコマンド内でUEに対して示される。この場合、UEからSeNBへの第1のRRCメッセージである、UEからの「オフロード接続リクエスト」メッセージは、SKRRCint鍵を使用して完全性保護されている。このメッセージの完全性検証はSeNBにより実施され、UEが正しいSKeNBならびに暗号化および完全性保護のためのすべての従属鍵(subordinate key)を計算したことを伝える。
SeNBがRRCメッセージを処理できない場合、UEでのSKeNBの正しい計算は、MeNBによってのみ確保される。これを可能にするために、少なくとも以下の手法を使用することができる:
(1)UEはMeNBにRRCメッセージを送信することができる。このメッセージは、検証ペイロードを例えばSKRRCint|SKRRCencのハッシュとして含む(すなわち、従属鍵はこの接続には使用されないが、検証される必要があるSKUPencとは依然として計算的に一致している)。このメッセージはMKRRCintを使用して完全性保護されている。
(2)UEは、同じ検証ペイロードを、SeNB無線リンク制御(RLC)層と関連付けられているオフロードPDCPを対象としたユーザプレーンメッセージの一部として送信することができる。PDCPは次いで、通常のユーザプランペイロードと検証ペイロードとの違いを区別し、UEにより計算された鍵が正しいかを検証するために検証ペイロードをそれに応じて処理する必要がある。
(3)UEは代わりに、UEとMeNBとの間のセキュリティ関連付けに基づいて、セキュアなRRCシグナリングを使用してオフロードコマンドの受諾をMeNBに伝え返すことができる。このシグナリングはMeNBに、SCC値がSKeNBの計算のために受信され、受諾されたことを暗示的に示す。この代替案では、MeNBはSKeNBの計算が正しいかを検証しないが、SKeNBの正しい計算のためのすべての必要なパラメータがUEに提供されることの保証を得る。
(1)UEはMeNBにRRCメッセージを送信することができる。このメッセージは、検証ペイロードを例えばSKRRCint|SKRRCencのハッシュとして含む(すなわち、従属鍵はこの接続には使用されないが、検証される必要があるSKUPencとは依然として計算的に一致している)。このメッセージはMKRRCintを使用して完全性保護されている。
(2)UEは、同じ検証ペイロードを、SeNB無線リンク制御(RLC)層と関連付けられているオフロードPDCPを対象としたユーザプレーンメッセージの一部として送信することができる。PDCPは次いで、通常のユーザプランペイロードと検証ペイロードとの違いを区別し、UEにより計算された鍵が正しいかを検証するために検証ペイロードをそれに応じて処理する必要がある。
(3)UEは代わりに、UEとMeNBとの間のセキュリティ関連付けに基づいて、セキュアなRRCシグナリングを使用してオフロードコマンドの受諾をMeNBに伝え返すことができる。このシグナリングはMeNBに、SCC値がSKeNBの計算のために受信され、受諾されたことを暗示的に示す。この代替案では、MeNBはSKeNBの計算が正しいかを検証しないが、SKeNBの正しい計算のためのすべての必要なパラメータがUEに提供されることの保証を得る。
SeNBはまた、MeNBから受信するSKeNBに基づいてUEに使用される、ユーザプレーン完全性および暗号化鍵SKUPintおよびSKUPencを計算する。接続確立が成功した後、暗号化鍵SKUPencは目標セルSeNBでユーザプレーン暗号化に使用される。ユーザプレーン完全性がオンになっている場合、SKUPintが完全性チェックに使用される。
鍵計算を示すこのオフロード確立のための例示的な呼び出しフローは、以下の図2で描写されており、以下でさらに説明される。
初めに、図4で描写されているSKeNB導出関数の例示的な実施形態を説明する。
以下のパラメータは、SKeNBをMeNBの現在のKeNB(MKeNB)から導出するために、KDFへの入力Sを形成するために使用される:
FC=0xNN(次に使用可能な連続するコードの代入、例えば、0x1C SKeNB導出のための新しい関数コード)、
P0=SCC(スモールセルカウンタ)、
L0=SCCの長さ(nビット、nはアプリケーション特有)、
P1=EARFCN−DL(目標物理セルダウンリンク周波数)、
L1=EARFCN−DLの長さ(例えば、0x00 0x02)、
P2=PCI(目標物理セル識別子)、および
L2=PCIの長さ(例えば、0x00 0x02)。
FC=0xNN(次に使用可能な連続するコードの代入、例えば、0x1C SKeNB導出のための新しい関数コード)、
P0=SCC(スモールセルカウンタ)、
L0=SCCの長さ(nビット、nはアプリケーション特有)、
P1=EARFCN−DL(目標物理セルダウンリンク周波数)、
L1=EARFCN−DLの長さ(例えば、0x00 0x02)、
P2=PCI(目標物理セル識別子)、および
L2=PCIの長さ(例えば、0x00 0x02)。
この実施形態では、入力鍵は現在の256ビットKeNBであり、
である。パラメータP1、L1、P2およびL2が本明細書で説明されている例示的な実施形態で使用されているが、代替の実施形態ではこれらのパラメータの1つまたは複数が除外され得ることに留意されたい。
本発明のこの例示的な実施形態による新しい鍵計算方法論では、全体的な鍵連鎖は図3に示されているように例示することができ、以下でさらに説明される。
本発明のこの例示的な実施形態による新しい関数は、ハンドオフの間に{NH、NCC}ペアの現在の使用を変更することなく独立して動作する。ここでNHはNext Hopパラメータを意味し、NCCはNH Chaining Counterパラメータを意味する。SCCを追加することにより、鍵計算パラメータの新しい集合は{NH、NCC、SCC}となる。同時接続に対して、UEは同時接続を確立したセルに対して計算した複数の鍵を維持する。
SCC値は、S1、X2ハンドオフまたはUEのネットワークからの退出のためにUEコンテキストが削除された場合、MeNBおよびUEでその初期値(例えば、SCC=0)にリセットされる。UEが別のセキュリティコンテキスト、すなわち別のMKeNBでネットワークに参加する場合、SCCはSeNBの第1の配分に対して、その初期値に1インクリメント量を追加した値(例えば、SCC=1)から再開される。
一実施形態において、SeNBはこのUE接続への配分が解除された場合でも、SCC値を保持する。再び配分される場合、SeNBは、計算される基となった関連するMKeNBの鍵識別子と同じである、SKeNBの鍵識別子を確認する。同じ鍵識別子に対して、SeNBはMeNBにより提供されたSCCが以前に使用されたものよりも大きいことを予期する。異なる鍵識別子に対して、SeNBはSCCをMeNBにより提供された初期値にリセットする。
この例示的な方法論は、MeNBに制御される2つ以上のセルに対する同時複数接続を可能にすることに留意されたい。鍵階層は、MeNBにそう決定された場合、複数接続をサポートする。
また、この例示的な方法論はいずれの直接MME入力にも依存しない。すなわち、方法論は制御側セルMeNBによりローカルで管理される。
3GPPの現在の鍵計算方式の改善であるこの例示的な実施形態は、鍵設計原理の1つ、すなわち計算前方セキュリティ鍵(computation forward security key)および後方セキュリティ鍵(backward security key)をそのままに保つこと、を維持する。
図2は、本発明の実施形態による、同時複数セキュアセル接続を確立するための方法論200を示している。例示的な方法論は、3GPP標準および手順の特定のメッセージ命名法を直接参照することなく、例示的なステップの典型的な使用を示している。
ステップ1(210):UE202は、MeNB204にSeNB1 206−1を示す測定レポートを送信する。すなわち、測定レポートはUE202がSeNB1 206−1の適切なアクセス範囲内にいることを示す。
ステップ2(212):MeNB204はオフロードのために複数接続を開始することを決定する。MeNB204は、接続に使用される鍵SKeNB1を計算する。目標SeNB1で使用される他の鍵(SKUP enc、SKUP int、SKRRC int、SKRRC encなど)もまたMeNBにより計算され、計算のためにSeNBに委託される。
ステップ3(214):MeNB204は目標SeNB1 206−1にオフロードリクエストを送信する。オフロードリクエストは、これらのパラメータおよびUE ID(識別子)、ならびに接続確立のための任意の他のパラメータを含む。セキュリティパラメータおよび他の接続パラメータは、決定されたその正しい呼び出しフローとメッセージコンテンツに同様に基づいて、異なるメッセージ内で送信され得る。
ステップ4(216):SeNB1 206−1は、UE202にオフロード接続を許可するのに十分なリソースがあるかどうかを検証する。
ステップ5(218):SeNB1 206−1は、MeNB204にオフロード承認メッセージを送信する。
ステップ6(220):MeNB204はUE202に、パラメータ(SCC、PCI、EARFCN−DLなど)により、オフロードのために目標SeNB1 206−1に接続するように指示する。SeNB1 206−1に接続するために使用されることが知られている他のパラメータも、UE202に送信され得る。
ステップ7(222):UE202は、目標セルSeNB1に対する完全性および暗号化のためのSKeNB1およびユーザプレーン鍵を計算する。
ステップ8(224):UE202は目標SeNB1 206−1に対してオフロード接続リクエストを実行する。呼び出しフローとその正しいメッセージに決定されたように、一実施形態では、これは接続リクエストフェーズ、UE認証フェーズおよびユーザプレーン確立を含む。MeNB204により与えられた接続パラメータは、SeNB1 206−1での物理接続をリクエストするために使用される。SKRRC intは、UE202の真正性を検証するために、メッセージを完全性保護するために使用される。別の変形形態において、上述のようにUE202はMeNB204に検証ペイロードを含むRRCメッセージを送信する。メッセージは、MeNB204と関連付けられているMKRRCInt鍵により署名されている。このメッセージが検証され検証ペイロードの正しさが確証されると、MeNB204はSeNB1 206−1に、SKeNBおよびその従属鍵がUE202で適切に確立されたことを伝える。
ステップ9(226):少なくとも1つの例示的な実施形態において、SeNB1 206−1は、SeNBがRRC機能を備えている場合、接続パラメータおよびUE202の真正性を検証する。UE検証の後、オフロードベアラがUE202およびSeNB1 206−1の両方でセットアップされる。UE202およびSeNB1 206−1の両方が、ユーザプレーンデータオフロードを開始する。ユーザデータは、暗号鍵SKUPEncを使用して暗号化される。
ステップ10−15(228−240):MeNB204が、UE202に対してSeNB2 206−2との別の同時接続を配分することを決定する場合、MeNB204はSCCをインクリメントし、ステップ1−9で説明されている鍵計算と接続手順を繰り返す(すなわち、SeNB2 206−2に対するステップ228、230、232、234、236、238および240はそれぞれ、SeNB1 206−1に対するステップ212、214、216、218、220、222および224に対応する)。
図3は、本発明の実施形態による、同時複数セキュアセル接続との鍵連鎖のモデルを示している。上述のように、本発明のこの例示的な実施形態による複数セル接続機能は、ハンドオフの間に{NH、NCC}ペアの現在の使用を変更することなく独立して動作する。SCCを追加することにより、鍵計算パラメータの新しい集合は{NH、NCC、SCC}となる。同時接続に対して、UEは同時接続を確立したセルに対して計算した複数の鍵を維持する。図3は、ハンドオフの間の目標セル鍵(KeNB)の階層での新しいSKeNB計算による鍵連鎖300を示している。
現在、3GPPは{NH、NCC}値を使用した水平鍵導出方式および垂直鍵導出方式を許可している。図3に示されているように、302は初期(水平)鍵導出プロセス(NCC=0)を表しており、304および306はそれぞれ第1のハンドオフ(NCC=1)および第2のハンドオフ(NCC=2)に対する(水平)鍵導出プロセスを表している。垂直鍵導出方式は、非アクセス層(NAS)アップリンクカウントのそれぞれの後続のインクリメントに対して、KASME(eUTRANでは、MMEはアクセスセキュリティ管理エンティティ(ASME)の役割を果たす)から計算される初期KeNBに基づいて付加的な水平鍵導出プロセスが実行されることを提供する。
図3に308として描写されている同時接続のための鍵SKeNBは、既存のKeNB鍵の計算、管理および挙動を変更しない。現在のKeNBは、同時接続が開始されSKeNBが計算される場合、MKeNBとして示される。同時接続で使用される完全性および暗号化鍵、例えばSKUPEnc、SKUPInt、SKRRCEnc、SKRRCIntは、この鍵から導出される。プロセスまたはUEメッセージに基づいて、これらの鍵は必要に応じて、UE接続確立、完全性検証およびユーザプレーンデータ暗号化に使用され得る。
図4は、本発明による実施形態による、プライマリアクセスポイントによる鍵計算のための方法論を示している。示されているように、方法論400は、UEと目標SeNBとの間でオフロード運用が開始された場合にSKeNBを生成するためにMeNBが実行する鍵計算プロセス(例えば、図2のステップ212)を要約する。対象UEは同じ鍵計算プロセス(例えば、ステップ222)を実行することに留意されたい。上述のように、1つの例示的な実施形態において、パラメータSCCおよびSCCの長さ402、MKeNB404および他の目標セルパラメータ406(例えば、目標PCI、PCIの長さ、EARFCN−DLおよびEARFCN−DLの長さ)は、目標SeNBのための鍵SKeNB410を計算するために、KDF408により使用される。他の目標セルパラメータ406(例えば、目標PCI、PCIの長さ、EARFCN−DLおよびEARFCN−DLの長さ)が本明細書で説明されている例示的な実施形態で使用されているが、代替の実施形態ではこれらのパラメータの1つまたは複数が除外され得ることに留意されたい。
図5は、本発明による実施形態による、セカンダリアクセスポイントによる鍵計算のための方法論を示している。示されているように、方法論500は、UEと目標SeNBとの間でオフロード運用が開始された場合に、MeNBから受信されたSKeNBに基づいて様々な完全性および暗号化鍵を生成するために目標SeNBが実行する鍵計算プロセスを要約する。すなわち、図5はSeNBに対する鍵の完全な集合の導出方法論500を示している。RRCがSeNBに存在するかどうかのアーキテクチャ的選択に基づいて、SKUPint、SKUPenc、SKRRCintおよびSKRRCencのうち必要な鍵のみが導出され使用される。RRCがMeNBにのみ存在する場合、SKUPint、SKUPenc鍵のみがSeNBでのユーザプレーン完全性および暗号化に使用される。SeNBに対するパラメータ:UP−enc−alg、Alg−ID;UP−int−alg、Alg−ID;RRC−enc−alg、Alg−ID;およびRRC−int−alg、Alg−IDは、X2インターフェースを介したネゴシエーションによりMeNBで選択されるアルゴリズム(SeNBにより実行可能)の識別子である(X2インターフェースは、MeNBとSeNBとの間のインターフェースであり、特にこのインターフェースのコントロールプレーンが使用されることに留意されたい)。MeNBはUEに対して、RRCメッセージを介して、UEでの鍵の同様の集合の生成のために同じアルゴリズムパラメータをシグナリングすることが理解されよう。
SeNBおよびUEは両方とも、2つ以上のアルゴリズムをサポートできることが理解されよう。1つのシナリオの例では、MeNBがUEのアルゴリズムパラメータのリストを送信できるか、SeNBがそのアルゴリズムパラメータをMeNBに送信でき、MeNBはUEとの間でネゴシエートされたその自身の選択に基づいて、アルゴリズムパラメータの選択を実行できる。
したがって示されているように、上述のアルゴリズム識別子およびSKeNB(502)はそれぞれのKDF504(ユーザプレーン完全性鍵生成)、506(ユーザプレーン暗号鍵生成)、508(RRC完全性鍵生成)および510(RRC暗号鍵生成)への入力である。それぞれのKDFは、それぞれの完全性/暗号化鍵SKUPint(512)、SKUPenc(514)、SKRRCint(516)およびSKRRCenc(518)を、それらの識別されたアルゴリズムを使用して計算し、出力する。この例示的な実施形態において、計算された鍵は長さが256ビットで、それぞれの完全性/暗号化鍵SKUPint(528)、SKUPenc(530)、SKRRCint(532)およびSKRRCenc(534)の128ビット版を生成するために、切り捨て関数520、522、524および526によりそれぞれ切り捨てられる。
本発明の実施形態は、それぞれのコンピューティングデバイスにより実装される、本明細書で説明されているモバイルデバイス(例えば、UE)、通信ネットワークアクセスポイント(例えば、eNB)および他の構成要素を提供する。そのようなコンピューティングデバイスは、通信ネットワーク媒体を介して運用可能に結合され得る。ネットワーク媒体は、それを介してコンピューティングデバイスが通信することができる、任意のネットワーク媒体であり得る。本発明の実施形態は、ネットワーク媒体の特定の種類に限定されない。
例えば図6は、通信ネットワーク環境が本発明の1つまたは複数の実施形態により実装される、処理プラットフォームを示している。この実施形態の処理プラットフォーム600は、ネットワーク640を介して互いに通信する、610、620および630で示されている複数のコンピューティングデバイスを含む。示されているように、コンピューティングデバイス610はMeNB(例えば、図2のMeNB204)を表し、コンピューティングデバイス620はSeNB(例えば、SeNB1 206−1)を表し、コンピューティングデバイス630はUE(例えば、UE202)を表す。付加的なコンピューティングデバイス(明示的には示されていない)は、通信ネットワーク環境600の一部であり得る。通信ネットワークの1つまたは複数のデバイス/要素はしたがって、それぞれ1つもしくは複数のコンピュータまたは他の処理プラットフォーム要素上で動作することができ、それぞれは、本明細書でより一般的には「コンピューティングデバイス」と称されるものの例とみなされ得る。図6に示されているように、そのようなデバイスは通常、少なくとも1つのプロセッサおよび関連するメモリを含み、本明細書で説明されているシステムと方法論の特徴をインスタンス化および/または制御するための1つまたは複数の機能モジュールを実装する。複数の要素またはモジュールは、所与の実施形態において単一のコンピューティングデバイスにより実装され得る。
処理プラットフォーム600のコンピューティングデバイス610は、メモリ616に結合されるプロセッサ614を含む。プロセッサ614はマイクロプロセッサ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)または他の種類の処理回路、およびそのような電気回路要素の一部または組合せを含み得る。本明細書で開示されているシステムの構成要素は、少なくとも部分的には、メモリに記憶された1つまたは複数のソフトウェアプログラムの形態で実装され、プロセッサ614などの処理デバイスのプロセッサにより実行され得る。そのようなプログラムコードが組み込まれたメモリ616(または他のストレージデバイス)は、本明細書でより一般的には非一時的プロセッサ可読(またはコンピュータ可読)記憶媒体と称されるものの例である。そのようなプロセッサ可読記憶媒体を含む製品は、本発明の実施形態とみなされる。所与のそのような製品は、例えばストレージディスク、ストレージアレイまたはメモリを含む集積回路などのストレージデバイスを含み得る。本明細書で使用される用語「製品」は、一時的な伝搬信号を除外すると理解されるよう。
さらに、メモリ616はランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)または他の種類のメモリなどの電子メモリの任意の組合せを含み得る。コンピューティングデバイス610などのコンピューティングデバイスにより実行される場合の1つまたは複数のソフトウェアプログラムは、デバイスに、システム/方法論200、300、400および/または500の1つまたは複数の構成要素/ステップと関連付けられている機能を実行させる。当業者は、本明細書で提供されている技術を考慮すれば、そのようなソフトウェアを容易に実装することができる。本発明の実施形態を具体化するプロセッサ可読記憶媒体の他の例は、例えば光または磁気ディスクを含み得る。
また、コンピューティングデバイス610に含まれているのはI/Oデバイス/ネットワークインターフェース回路612である。I/Oデバイスは、コンピューティングデバイスにデータを入力するための1つまたは複数の入力デバイス(例えば、キーボード、キーパッド、マウス、タッチスクリーンなど)ならびにコンピューティングデバイスに関連付けられた結果を提供するための1つまたは複数の出力デバイス(例えば、コンピュータディスプレイ、スクリーン、グラフィカルユーザインターフェースなど)を含む。ネットワークインターフェースは、コンピューティングデバイスをネットワーク(例えば、640)および他のネットワーク構成要素(例えば、620および630)とインターフェース接続するために使用される電気回路を含む。そのような電気回路は当技術分野でよく知られている種類の従来の送受信機を含み得る。
処理プラットフォーム600の他のコンピューティングデバイス620(I/Oデバイス/ネットワークインターフェース622、プロセッサ624およびメモリ626を持つ)および630(I/Oデバイス/ネットワークインターフェース632、プロセッサ634およびメモリ636を持つ)は、図中コンピューティングデバイス610に対して示されているものと同様の様式で構成されることが想定されている。
特定の例示的な実施形態は、特定の通信プロトコルを活用する通信ネットワークおよびシステムの文脈で本明細書において説明されているが、他の実施形態では他の種類のネットワークおよびシステムを使用することができる。上述の通り、本明細書で使用されている用語「ネットワーク」または「システム」はしたがって、広く解釈されることを意図している。さらに、上述の実施形態は例示のみを目的としており、いかなる形であれ限定するものとして解釈されるべきではないことが強調されるべきである。他の実施形態は、異なる種類のネットワーク、システム、デバイスおよびモジュール構成、ならびにセキュリティコンテキスト機能を実装するための代替の通信プロトコル、プロセスステップおよび運用を使用し得る。ユーザデバイスおよびネットワークノードが通信する特定の様式は、他の実施形態では異なり得る。また、例示的な実施形態を説明する文脈でなされた特定の前提は、本発明の必要条件と解釈されるべきではないことが理解されよう。本発明は、これらの特定の前提が適用しない他の実施形態でも実装され得る。添付された特許請求の範囲の範囲内のこれらおよび多数の他の代替の実施形態は、当業者にとって容易に理解される。
Claims (10)
- 所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間のセキュアなデータ接続を可能にするように、所与のユーザコンピューティングデバイスと通信ネットワークの第1のネットワークセルと関連付けられている第1のネットワークコンピューティングデバイスとの間で、第1のセキュリティコンテキストを確立するステップと、
所与のユーザコンピューティングデバイスと第2のネットワークコンピューティングデバイスとの間のセキュアなデータ接続を、所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間のセキュアなデータ接続と同時に可能にするように、所与のユーザコンピューティングデバイスと通信ネットワークの少なくとも第2のネットワークセルと関連付けられている少なくとも第2のネットワークコンピューティングデバイスとの間で、少なくとも第2のセキュリティコンテキストを確立するステップであって、第2のセキュリティコンテキストの確立は、第2のセキュリティコンテキストを第2のネットワークコンピューティングデバイスと確立するように、第1のネットワークコンピューティングデバイスが所与のユーザコンピューティングデバイスに所与のユーザコンピューティングデバイスにより使用され得る同時セキュアデータ接続パラメータを送信することを含む、確立するステップと
を含む、方法。 - 同時セキュアデータ接続パラメータが、各同時データ接続に対して単調に増加するか単調に減少するように構成されたカウンタ関数を含む、請求項1に記載の方法。
- カウンタ関数が、単調に増加するように構成された場合、同時接続された第2のネットワークコンピューティングデバイスに対して1インクリメントされた初期値に等しく、別のセキュリティコンテキストを所与のユーザコンピューティングデバイスと確立するように別のネットワークコンピューティングデバイスが第1のネットワークコンピューティングデバイスにより有効にされるたびに、さらにインクリメントされる、請求項2に記載の方法。
- カウンタ関数が、所与のユーザコンピューティングデバイスに対して別のネットワークコンピューティングデバイスとの同時接続のインスタンスを示すように、第1のネットワークコンピューティングデバイスにより制御される、請求項3に記載の方法。
- 第2のセキュリティコンテキストの確立が、第1のセキュリティコンテキストに対して確立されるセキュリティ鍵および同時セキュアデータ接続パラメータに基づいて、鍵導出関数を使用して第2のセキュリティコンテキストのセキュリティ鍵を計算することをさらに含む、請求項1に記載の方法。
- 1つまたは複数のメモリおよび1つまたは複数のメモリと結合された1つまたは複数のプロセッサを含み、請求項1に記載の方法のステップを実行するように構成された、装置。
- 所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間でセキュアデータ接続を形成するように、通信ネットワークの第1のネットワークセルと関連付けられた第1のネットワークコンピューティングデバイスと所与のユーザコンピューティングデバイスとの間で第1のセキュリティコンテキストが確立された場合、
第1のコンピューティングデバイスでオフロード運用を開始することを決定するステップと、
所与のユーザコンピューティングデバイスと通信ネットワークの少なくとも第2のネットワークセルと関連付けられた少なくとも第2のネットワークコンピューティングデバイスとの間の少なくとも第2のセキュリティコンテキストの確立が、所与のユーザコンピューティングデバイスと第2のネットワークコンピューティングデバイスとの間のセキュアなデータ接続を、所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間のセキュアなデータ接続と同時に形成するようにするステップであって、第2のセキュリティコンテキストは少なくとも部分的に、第1のネットワークコンピューティングデバイスにより制御される同時セキュアデータ接続パラメータに基づく、形成するようにするステップと
を含む、方法。 - メモリおよびメモリと結合されたプロセッサを含み、請求項7に記載の方法のステップを実行するように構成された、装置。
- 所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間でセキュアデータ接続を形成するように、通信ネットワークの第1のネットワークセルと関連付けられた第1のネットワークコンピューティングデバイスと所与のユーザコンピューティングデバイスとの間で第1のセキュリティコンテキストが確立され、第1のコンピューティングデバイスでオフロード運用を開始することが決定された場合、
所与のユーザコンピューティングデバイスと第2のネットワークコンピューティングデバイスとの間のセキュアなデータ接続を、所与のユーザコンピューティングデバイスと第1のネットワークコンピューティングデバイスとの間のセキュアなデータ接続と同時に形成するように、所与のユーザコンピューティングデバイスが、通信ネットワークの少なくとも第2のネットワークセルと関連付けられた少なくとも第2のネットワークコンピューティングデバイスとの少なくとも第2のセキュリティコンテキストを確立するステップであって、第2のセキュリティコンテキストは少なくとも部分的に、第1のネットワークコンピューティングデバイスにより制御され、所与のユーザコンピューティングデバイスに送信される、同時セキュアデータ接続パラメータに基づく、確立するステップと
を含む、方法。 - メモリおよびメモリと結合されたプロセッサを含み、請求項9に記載の方法のステップを実行するように構成された、装置。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361912311P | 2013-12-05 | 2013-12-05 | |
| US61/912,311 | 2013-12-05 | ||
| US14/265,987 | 2014-04-30 | ||
| US14/265,987 US9338136B2 (en) | 2013-12-05 | 2014-04-30 | Security key generation for simultaneous multiple cell connections for mobile device |
| PCT/US2014/065379 WO2015084559A1 (en) | 2013-12-05 | 2014-11-13 | Security key generation for simultaneous multiple cell connections for mobile device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017501626A true JP2017501626A (ja) | 2017-01-12 |
| JP6313858B2 JP6313858B2 (ja) | 2018-04-18 |
Family
ID=53272319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016536701A Active JP6313858B2 (ja) | 2013-12-05 | 2014-11-13 | モバイルデバイスの同時複数セル接続のためのセキュリティ鍵生成 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US9338136B2 (ja) |
| EP (2) | EP3863257A1 (ja) |
| JP (1) | JP6313858B2 (ja) |
| KR (1) | KR101813425B1 (ja) |
| CN (1) | CN105794243B (ja) |
| WO (1) | WO2015084559A1 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9338136B2 (en) | 2013-12-05 | 2016-05-10 | Alcatel Lucent | Security key generation for simultaneous multiple cell connections for mobile device |
| US9875373B2 (en) * | 2015-09-28 | 2018-01-23 | International Business Machines Corporation | Prioritization of users during disaster recovery |
| CN108353276B (zh) * | 2015-10-31 | 2020-12-04 | 华为技术有限公司 | 一种SeNB密钥更新的方法及装置 |
| KR102437619B1 (ko) * | 2016-04-01 | 2022-08-29 | 삼성전자주식회사 | 보안 키를 생성하기 위한 장치 및 방법 |
| US11044089B2 (en) | 2016-05-05 | 2021-06-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context escrowing |
| US10313878B2 (en) * | 2016-09-16 | 2019-06-04 | Qualcomm Incorporated | On-demand network function re-authentication based on key refresh |
| WO2018178081A1 (en) * | 2017-03-30 | 2018-10-04 | Sony Corporation | Telecommunications apparatus and methods |
| US10848975B2 (en) | 2017-11-14 | 2020-11-24 | Futurewei Technologies, Inc. | System and method of providing UE capability for support of security protection on bearers |
| CN110710238B (zh) * | 2018-01-19 | 2021-01-08 | Oppo广东移动通信有限公司 | 指示用户设备获取密钥的方法、用户设备及网络设备 |
| US11057766B2 (en) * | 2018-11-01 | 2021-07-06 | Nokia Technologies Oy | Security management in disaggregated base station in communication system |
| CN113766494A (zh) * | 2020-05-27 | 2021-12-07 | 维沃移动通信有限公司 | 密钥获取方法、装置、用户设备及网络侧设备 |
| KR102452037B1 (ko) * | 2020-11-10 | 2022-10-11 | 한국철도기술연구원 | 무선 통신 시스템에서 암호화 및 복호화 방법 및 장치 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645877A (zh) * | 2008-08-07 | 2010-02-10 | 华为技术有限公司 | 密钥衍生函数的协商方法、系统及网络节点 |
| CN102238541A (zh) * | 2010-04-29 | 2011-11-09 | 电信科学技术研究院 | 密钥更新方法和基站 |
| WO2011158663A1 (ja) * | 2010-06-18 | 2011-12-22 | 三菱電機株式会社 | 移動体通信システム |
| JP2013502879A (ja) * | 2009-08-24 | 2013-01-24 | アルカテル−ルーセント | 複数技術インターワーキングでの事前登録セキュリティサポート |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10145835A (ja) * | 1996-11-15 | 1998-05-29 | Hitachi Ltd | 移動通信システムにおけるハンドオーバ方法 |
| CN101237672B (zh) * | 2007-01-29 | 2012-05-23 | 华为技术有限公司 | 一种演进网络中建立s1信令连接的方法、装置及系统 |
| FI20070095A0 (fi) * | 2007-02-02 | 2007-02-02 | Nokia Corp | Turva-avainten luominen langatonta viestintää varten |
| WO2009056938A2 (en) * | 2007-10-29 | 2009-05-07 | Nokia Corporation | System and method for authenticating a context transfer |
| US9706395B2 (en) * | 2008-04-28 | 2017-07-11 | Nokia Technologies Oy | Intersystem mobility security context handling between different radio access networks |
| JP4505528B2 (ja) * | 2008-09-22 | 2010-07-21 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
| US20110312299A1 (en) * | 2010-06-18 | 2011-12-22 | Qualcomm Incorporated | Methods and apparatuses facilitating synchronization of security configurations |
| CN102340772B (zh) * | 2010-07-15 | 2014-04-16 | 华为技术有限公司 | 切换过程中的安全处理方法、装置和系统 |
| WO2013009762A2 (en) | 2011-07-11 | 2013-01-17 | Sourcebooks, Inc. | Customizable and interactive book system |
| KR101896001B1 (ko) * | 2011-07-12 | 2018-09-06 | 한국전자통신연구원 | 이종 네트워크 환경에서 단말의 이동성 관리 방법 |
| CN105916140B (zh) * | 2011-12-27 | 2019-10-22 | 华为技术有限公司 | 基站间载波聚合的安全通讯方法及设备 |
| US8948767B2 (en) * | 2012-01-25 | 2015-02-03 | Alcatel Lucent | Method and apparatus for dynamically modifying cell reselection and/or handover parameters |
| CN104160730B (zh) | 2012-02-06 | 2018-09-25 | 诺基亚技术有限公司 | 快速接入方法和装置 |
| WO2014107880A1 (zh) * | 2013-01-11 | 2014-07-17 | 华为技术有限公司 | 调度信令的传输方法和设备 |
| US9338711B2 (en) * | 2013-10-21 | 2016-05-10 | Htc Corporation | Method of handling handover for network of wireless communication system and communication device thereof |
| US9497673B2 (en) * | 2013-11-01 | 2016-11-15 | Blackberry Limited | Method and apparatus to enable multiple wireless connections |
| US9661657B2 (en) * | 2013-11-27 | 2017-05-23 | Intel Corporation | TCP traffic adaptation in wireless systems |
| US9338136B2 (en) | 2013-12-05 | 2016-05-10 | Alcatel Lucent | Security key generation for simultaneous multiple cell connections for mobile device |
| US9585134B2 (en) * | 2013-12-13 | 2017-02-28 | Sharp Kabushiki Kaisha | Systems and methods for multi-connectivity operation |
-
2014
- 2014-04-30 US US14/265,987 patent/US9338136B2/en active Active
- 2014-11-13 JP JP2016536701A patent/JP6313858B2/ja active Active
- 2014-11-13 WO PCT/US2014/065379 patent/WO2015084559A1/en active Application Filing
- 2014-11-13 EP EP21165493.4A patent/EP3863257A1/en active Pending
- 2014-11-13 CN CN201480066212.8A patent/CN105794243B/zh active Active
- 2014-11-13 EP EP14819121.6A patent/EP3078217A1/en not_active Withdrawn
- 2014-11-13 KR KR1020167014885A patent/KR101813425B1/ko active IP Right Grant
-
2016
- 2016-04-01 US US15/088,784 patent/US9479487B2/en not_active Ceased
-
2018
- 2018-10-23 US US16/168,584 patent/USRE48034E1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645877A (zh) * | 2008-08-07 | 2010-02-10 | 华为技术有限公司 | 密钥衍生函数的协商方法、系统及网络节点 |
| JP2013502879A (ja) * | 2009-08-24 | 2013-01-24 | アルカテル−ルーセント | 複数技術インターワーキングでの事前登録セキュリティサポート |
| CN102238541A (zh) * | 2010-04-29 | 2011-11-09 | 电信科学技术研究院 | 密钥更新方法和基站 |
| WO2011158663A1 (ja) * | 2010-06-18 | 2011-12-22 | 三菱電機株式会社 | 移動体通信システム |
Non-Patent Citations (5)
| Title |
|---|
| NEC CORPORATION: "Security aspects for independent PDCP", 3GPP TSG-RAN2 MEETING ♯83 R2-132675, vol. Agenda item: 7.2.4, JPN6017024820, 23 August 2013 (2013-08-23) * |
| NOKIA CORPORATION, ET AL.: "CR-33401: KeNB forward security simplification", 3GPP TSG SA WG3 SECURITY-S3#51 S3-080735, vol. 33.401 CR 0010, Current version: 8.0.0, JPN6017024819, 18 April 2008 (2008-04-18) * |
| NTT DOCOMO, ET AL.: "CR-33401: KeNB forward security solution", 3GPP TSG-SA WG3 SECURITY -S3#52 S3-080846, vol. 33.401 CR 0010, Current version: 8.0.0, JPN6017024821, 27 June 2008 (2008-06-27) * |
| PANTECH: "Signal flow modeling of inter-MeNB HO on dual connectivity", 3GPP TSG-RAN WG2 MEETING #84 R2-134422, vol. Agenda item: 7.2.2.1, JPN6017024823, 15 November 2013 (2013-11-15) * |
| SAMSUNG: "Xn main procedures", 3GPP TSG-RAN WG3 MEETING#82 R3-132316, vol. Agenda item: 20.2, JPN6017024822, 15 November 2013 (2013-11-15) * |
Also Published As
| Publication number | Publication date |
|---|---|
| USRE48034E1 (en) | 2020-06-02 |
| US20160219025A1 (en) | 2016-07-28 |
| US20150163202A1 (en) | 2015-06-11 |
| CN105794243A (zh) | 2016-07-20 |
| EP3078217A1 (en) | 2016-10-12 |
| WO2015084559A1 (en) | 2015-06-11 |
| CN105794243B (zh) | 2020-09-01 |
| US9479487B2 (en) | 2016-10-25 |
| EP3863257A1 (en) | 2021-08-11 |
| KR101813425B1 (ko) | 2017-12-28 |
| JP6313858B2 (ja) | 2018-04-18 |
| US9338136B2 (en) | 2016-05-10 |
| KR20160083071A (ko) | 2016-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6313858B2 (ja) | モバイルデバイスの同時複数セル接続のためのセキュリティ鍵生成 | |
| US10524120B2 (en) | Method and system to enable secure communication for inter-eNB transmission | |
| US9049594B2 (en) | Method and device for key generation | |
| US8855603B2 (en) | Local security key update at a wireless communication device | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| US10348703B2 (en) | Method and device for generating access stratum key in communications system | |
| EP3322252B1 (en) | Communication methods, network side device, and user equipment | |
| JP5774096B2 (ja) | エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム | |
| KR20100114927A (ko) | 무선 통신 시스템에서 핸드오버를 실행하는 동안 키 관리를 실행하기 위한 시스템 및 방법 | |
| JP5770288B2 (ja) | エアーインターフェースキーの更新方法、コアネットワークノード及びユーザ設備 | |
| KR101670743B1 (ko) | 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치 | |
| WO2011127775A1 (zh) | 空中接口密钥的更新方法及无线接入系统 | |
| WO2017070973A1 (zh) | 因特网协议安全性隧道建立方法,用户设备及基站 | |
| CN116941263A (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170612 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171003 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180313 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180323 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6313858 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |