JP6633745B2 - 通信ネットワークにおいて使用するためのノード、および、それを動作させるための方法 - Google Patents

通信ネットワークにおいて使用するためのノード、および、それを動作させるための方法 Download PDF

Info

Publication number
JP6633745B2
JP6633745B2 JP2018517763A JP2018517763A JP6633745B2 JP 6633745 B2 JP6633745 B2 JP 6633745B2 JP 2018517763 A JP2018517763 A JP 2018517763A JP 2018517763 A JP2018517763 A JP 2018517763A JP 6633745 B2 JP6633745 B2 JP 6633745B2
Authority
JP
Japan
Prior art keywords
access node
radio access
base key
key
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018517763A
Other languages
English (en)
Other versions
JP2018536333A (ja
Inventor
ラスムス アクセン,
ラスムス アクセン,
カール ノーマン,
カール ノーマン,
Original Assignee
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エルエム エリクソン(パブル), テレフオンアクチーボラゲット エルエム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Publication of JP2018536333A publication Critical patent/JP2018536333A/ja
Application granted granted Critical
Publication of JP6633745B2 publication Critical patent/JP6633745B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01PWAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
    • H01P1/00Auxiliary devices
    • H01P1/20Frequency-selective devices, e.g. filters
    • H01P1/2005Electromagnetic photonic bandgaps [EPB], or photonic bandgaps [PBG]
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01PWAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
    • H01P3/00Waveguides; Transmission lines of the waveguide type
    • H01P3/12Hollow waveguides
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01PWAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
    • H01P5/00Coupling devices of the waveguide type
    • H01P5/08Coupling devices of the waveguide type for linking dissimilar lines or devices
    • H01P5/10Coupling devices of the waveguide type for linking dissimilar lines or devices for coupling balanced lines or devices with unbalanced lines or devices
    • H01P5/107Hollow-waveguide/strip-line transitions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/13Cell handover without a predetermined boundary, e.g. virtual cells
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/16Interfaces between hierarchically similar devices
    • H04W92/20Interfaces between hierarchically similar devices between access points

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Optics & Photonics (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本書類は、通信ネットワークに関し、特に、通信ネットワークにおける無線アクセスノード間の端末装置のハンドオーバに関する。
ロングタームエヴォリューション(LTE)において、ユーザ装置(UE)とeNBとの間の通信は、暗号化され、部分的に完全性保護がなされている。完全性と暗号化のキー(鍵)は、UEとeNBの間で共有されるKeNBと呼ばれる共通のルート鍵から導出される。 KeNBは、UE−Pセルのペアに固有であり、ここで、Pセルは、UEがeNBと通信する際に「マスター」セルとして使用するプライマリセルである。UEは、eNBとの通信のために1つのPセルのみを使用するため、KeNB は、UEとeNBのペアに対しても固有である。すなわち、同じKeNBは、UEと2つの異なるeNBとの間のトラフィックを保護するためには決して使用されない。この設計の論理的根拠は、UEと第1のeNBの間で使用されるKeNBのアクセスまたは知識を得た攻撃者が、UEと異なるUEとeNBとの間のトラフィック上の暗号または完全性を破壊しようとする際に、そのKeNBに対してあらゆる使用を行うことを防ぐことである。
UEとeNBのペア毎にKeNBが固有であることを保証するために、KeNBは、2つのeNB間のハンドオーバの間で変化する。簡単化のために、ソースeNBとターゲットeNBが同じノードである場合であっても、KeNBは、実際には全てのイントラLTEハンドオーバ(例えばセル間のハンドオーバ)上で変化する。
ハンドオーバの間のUEとKeNBのペアの固有性は、UEとソースeNBが現在のKeNB、ターゲットプライマリセル(Pセル)とターゲット物理セルダウンリンク周波数(例えば、ダウンリンクに対する進化型絶対無線周波数チャネル数(DARFCN−DL))から物理セル識別子(PCI)から新しいKeNB(KeNB*と示す)を導出するという事実により達成される。これは、3GPP TS 33.401、「3GPP System Architecture Evolution (SAE); Security architecture」、バージョン12.4.0(2015-03)の7.2.8節に規定されている。
より詳細には、KeNB*を導出するためのキー導出関数(KDF)は、
- FC = 0x13
- P0 = PCI (ターゲットPCI)
- L0 = length of PCI (すなわち。 0x00 0x02)
- P1 = EARFCN-DL (ターゲット物理セルダウンリンク周波数)
- L1 length of EARFCN-DL (すなわち、 0x00 0x02)
である。
コアネットワークの関与なしの2つのeNB間のハンドオーバ、いわゆるX2ハンドオーバについて、図1を参照して説明する。ハンドオーバは、UEが無線リソース制御(RRRC)および非アクセス層(NAS)セキュリティをアクティベートするための全ての必要な手順を完了した後に、実行することができる。X2ハンドオーバは、ソースeNB2とUE3の間で共有されている現在のアクティブKeNBからKeNB*キーを計算しているソースeNB2により開始され、それをUEセキュリティ能力と共に、ハンドオーバ要求メッセージ5においてターゲットeNB4へ送信する。ターゲットeNB4は、UEの接続に対する必要な設定情報5で、応答する。この情報は、ターゲットeNB4とUEが使用することとなる、選択されたアルゴリズムを含む。ソースeNB2はそして、当該応答をUE3へ転送し(信号6)、UE3は、完了メッセージ7でターゲットeNB4へのハンドオーバを確認する。最後のステップでは、ターゲットeNB4は、次のホップキー(NG)と呼ばれる新しいキーを、モビリティ管理エンティティ(MME)から取り出す。NHは、キーKASME (UEとMMEにより共有されているベースキー)から導出され、NHは、次のハンドオーバイベントにおいてKeNB*の計算のための基礎として使用される。
いくつかのシナリオでは、ハンドオーバを実行する際、ソースeNBは、「フレッシュな」NHキーを有さない。その代わりに、eNBは、現在のKeNBから新しいKeNB*を作成することができる。これは、垂直キー導出と呼ばれる。NHキーは、先に使用されていない場合に、「フレッシュ」であるとして参照される。
eNB*キーそれ自身は、eNBからUEに送信されない。その代わりに、KeNB* が垂直に導出されたか(すなわち、フレッシュなNHが存在する)水平に(eNBに新しいNHが存在しない)導出されたかを示す情報エレメント(IE)がUEに送信される。これは、NCC(Next-hop Chaining Counter)と呼ばれる情報エレメントであり、RRC再構成メッセージに含まれる。NCCは、0から7の間の値をとる。NCCが段階的である場合、UEは、垂直キーの導出が実行されることを知り、NCCが現在のアクティブ KeNBと関連付けられたNCCと同じ場合、UEは、その代りに水平のキー導出を実行する。
今日のネットワークの傾向は、オペレータに対して、より多くの周波数を加えることと、モバイルブロードバンドの容量を増加させるためにセルのサイズを小さくすることである。これは、UEの再構成とモビリティアクションにおける増加につながる。
セル間のUEのセッションを速く移動するか再開するための能力は、ショートデータバーストに関連付けられたトラフィックパターンに適合させるために、ますますより重要となっている。しかしながら、暗号化と完全性のキーが、プライマリセルと関係しているベースキー(KeNB)から(プライマリセルのEARFCN−DLとキーKeNBの導出におけるPCIの使用を介して)導出されるため、UEがそのPセルから移動するか別のPセルに再接続する各時間に、キー再交渉がトラフィックが再開できる前に実行されなければならない。これは、問題を引き起こす。なぜならば、KeNBの再交渉は、かなりの数のプロセッササイクルとメモリを消費し、特に、暗号化と保全性のキーが新しいKeNBから導出されることとなる。暗号化キーが更新されると、いくつかの既に暗号化されたパケットがバッファリングされ、古い暗号化キーを用いて復号され、そして、新しい暗号化キーを用いて再度暗号化されなければならない。類似の問題は、既に完全性保護されたパケットが、同様に、新しい完全性保護キーを用いて再度保護される必要があることである。これにより、エンドユーザエクスペリエンスを減らす遅延が追加される。さらに、それはeNBの実装を複雑にし、実装エラーに対するリスクが増大し、コード維持のためのコストが増大することとなる。
上記の問題は、LTEで扱われるセキュリティの方法を背景として説明したが、当該問題は、他のタイプの通信ネットワークにおいても明確である。セキュリティ処理を最適にするという必要性は、多くの異なるタイプのネットワークに共通であることが明らかである。
従って、2つのeNB間でハンドオーバが発生した場合にセキュリティが処理される方法における改良の必要性がある。
第1の観点によれば、通信ネットワークにおける第1の無線アクセスノードを動作させる方法が提供される。方法は、通信装置と第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のベースキーを、通信装置と第2の無線アクセスノードの間の通信を暗号化するために第2の無線アクセスノードが使用することができるかを決定することと、第1のベースキーを第2の無線アクセスノードが使用することができる場合に、第1のベースキーを、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバの間に、第2の無線アクセスノードに送信すること、を含む。
第2の観点によれば、通信ネットワークにおける第1の無線アクセスノードが提供される。第1の無線アクセスノードは、通信装置と第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のベースキーを、通信装置と第2の無線アクセスノードの間の通信を暗号化するために第2の無線アクセスノードが使用することができるかを決定し、第1のベースキーを第2の無線アクセスノードが使用することができる場合に、第1のベースキーを、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバの間に、第2の無線アクセスノードに送信するように適合化され、または構成される(または、そのように構成された1つ以上のモジュールを含む)。
第3の観点によれば、通信ネットワークにおける第1の無線アクセスノードが提供される。第1の無線アクセスノードは、プロセッサとメモリを有し、当該メモリは、プロセッサにより実行可能な命令を含むメモリとプロセッサを有し、当該メモリは、第1の無線アクセスノードが、上記のように設定された第1の観点による方法を実行するように動作する、プロセッサにより実行可能な命令を含む。
第4の観点によれば、通信装置を動作させる方法が提供される。方法は、通信ネットワークにおける第1の無線アクセスノードから通信ネットワークにおける第2の無線アクセスノードへの通信装置のハンドオーバにおいて、通信装置と第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかについての指標を受信することと、受信した指標が、第1のベースキーを、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができることを示す場合、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを第1のベースキーから決定し、それ以外の場合は、第1のベースキーから第2のベースキーを決定し、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを第2のベースキーから決定すること、を含む。
第5の観点によれば、通信装置が提供される。通信装置は、通信装置と通信ネットワークにおける第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバにおいて、通信装置と通信ネットワークにおける第2の無線アクセスノードとの間の通信を暗号化するために第2の暗号化キーを決定するために使用することができるかについての指標を受信し、受信した指標が、第1のベースキーを、第2の暗号化キーを決定するために使用することができることを示す場合、第1のベースキーから第2の暗号化キーを決定し、受信した指標が、第1のベースキーを、第2の暗号化キーを決定するために使用することができることを示さない場合、第1のベースキーから第2のベースキーを決定し、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを第2のベースキーから決定するように適合化され、または構成される(または、そのように構成された1つ以上のモジュールを含む)。
第6の観点によれば、別の通信装置が提供される。通信装置は、プロセッサとメモリを有し、当該メモリは、通信装置が上記のように設定された第4の観点による方法を実行するように動作する、プロセッサにより実行可能な命令を含む。
第7の観点によれば、通信ネットワークにおける第2の無線アクセスノードを動作させる方法が提供される。方法は、通信ネットワークにおける第1の無線アクセスノードから、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバの間に、第1のベースキーを受信することと、第1の無線アクセスノードから、第1のベースキーから第1の暗号化キーを決定するために使用する暗号化キー生成アルゴリズムの指標を受信することと、示された暗号化キー生成アルゴリズムを用いて、第1のベースキーから、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定すること、を含む。
第8の観点によれば、通信ネットワークにおける第2の無線アクセスノードが提供される。第2の無線アクセスノードは、通信ネットワークにおける第1の無線アクセスノードから、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバの間に、第1のベースキーを受信し、第1の無線アクセスノードから、第1のベースキーから第1の暗号化キーを決定するために使用する暗号化キー生成アルゴリズムの指標を受信し、示された暗号化キー生成アルゴリズムを用いて、第1のベースキーから、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するように適合化され、または構成される(または、そのように構成された1つ以上のモジュールを含む)。
第9の観点によれば、第2の無線アクセスノードが提供される。第2の無線アクセスノードは、プロセッサとメモリを有し、当該メモリは、第2の無線アクセスノードが上記のように設定された第7の観点による方法を実行するように動作する、プロセッサにより実行可能な命令を含む。
第10の観点によれば、通信ネットワークにおけるノードを動作させる方法が提供される。方法は、通信ネットワークにおける第1の無線アクセスノードから、通信ネットワークにおける第2の無線アクセスノードに関する情報に対する要求を受信し、当該情報は、通信装置と第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかに関連し、第2の無線アクセスノードに関する情報を第1の無線アクセスノードに送信し、当該情報は、第1のベースキーを第2の無線アクセスノードが使用されることができることを示す。
第11の観点によれば、通信ネットワークにおけるノードが提供される。ノードは、通信ネットワークにおける第1の無線アクセスノードから、通信ネットワークにおける第2の無線アクセスノードに関する情報に対する要求を受信し、当該情報は、通信装置と第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかに関連し、第2の無線アクセスノードに関する情報を第1の無線アクセスノードに送信し、当該情報は、第1のベースキーを第2の無線アクセスノードが使用されることができることを示す、ように適合化され、または構成される(または、そのように構成された1つ以上のモジュールを含む)。
第12の観点によれば、通信ネットワークにおいて使用するためのノードが提供される。ノードは、プロセッサとメモリを有し、当該メモリは、ノードはが上記のように設定された第10の観点による方法を実行するように動作する、プロセッサにより実行可能な命令を含む。
第13の観点によれば、コンピュータ読み取り可能なコードが内蔵されたコンピュータ読み取り可能な媒体を含むコンピュータプログラム製品が提供され、コンピュータ読み取り可能なコードは、適切なコンピュータまたはプロセッサによる実行を受けて、コンピュータまたはプロセッサが、上記に設定された方法の観点のいずれかを実行させるように構成される。
特定の実施形態は、上記に提供された観点の1つ以上を含み、ある観点のエレメントは組み合わせられ得る。
本書類で紹介される技術のいくつかの実施形態を、次の図を参照して、以下に説明する。
図1は、LTEネットワークにおいてソースeNBとターゲットeNBの間のハンドオーバにおけるシグナリングを示す。 図2は、LTEセルラ通信ネットワークの非限定的な例示的なブロック図である。 図3は、実施形態に従う通信装置のブロック図である。 図4は、実施形態に従う無線アクセスノードのブロック図である。 図5は、実施形態に従うコアネットワークノードのブロック図である。 図6は、実施形態に従う無線アクセスノードを動作させる方法を示すフローチャートである。 図7は、実施形態に従う通信装置を動作させる方法を示すフローチャートである。 図8は、別の実施形態に従う無線アクセスノードを動作させるための方法を示すフローチャートである。 図9は、実施形態に従う通信ネットワークにおけるノードを動作させる方法を示すフローチャートである。 図10は、説明した技術が使用される例示的なハンドオーバ手順を示す。 図11は、実施形態に従う第1の無線アクセスノードのブロック図である。 図12は、別の実施形態に従う通信装置のブロック図である。 図13は、実施形態に従う第2の無線アクセスノードのブロック図である。 図14は、更なる実施形態に従うノードのブロック図である。 図15は、更なる別の実施形態に従う第1の無線アクセスノードのブロック図である。 図16は、更なる別の実施形態に従う通信装置のブロック図である。 図17は、更なる別の実施形態に従う第2の無線アクセスノードのブロック図である。 図18は、別の実施形態に従うノードのブロック図である。
以下に、説明と非限定の目的のために特定の実施形態といった具体的な詳細について説明する。しかしながら、当業者であれば、これらの具体的な詳細から離れて他の実施形態も使用し得ることを理解するだろう。いくつかの例において、良く知られた方法、ノード、インタフェース、回路およびデバイスの詳細な説明は、不必要な詳細で説明が曖昧になることを避けるために省略する。当業者であれば、説明する機能が、ハードウェア回路(例えばアナログおよび/またはASIC、PLA等の特定の機能を実行するために相互接続された離散論理ゲート)を用いて、および/または、汎用コンピュータの1つ以上のデジタルマクロプロセッサと連動するソフトウェアプログラムとデータを用いて、1つ以上のノードにおいて実装され得ることを理解するだろう。エアインタフェースを用いて通信するノードはまた、適切な無線通信回路を有する。更に、説明する技術をプロセッサに実行させるコンピュータプログラムの適切なセットを含む固体メモリ、磁気ディスク、または光学ディスクといったコンピュータ読み取り可能なメモリのあらゆる形態内で全体に具現化されるように、適切な技術を追加的に考慮することができる。
ハードウェアの実装は、非限定的に、デジタルシグナルプロセッサ(DSP)ハードウェア、縮小命令セットプロセッサ、特定用途向け集積回路(ASIC)および/またはフィールドプログラマブルゲートアレイ(FPGA)を含むがこれらに限定されない、ハードウェア(例えばデジタルまたはアナログ)回路と、そのような機能を実行することが可能な(適切な)ステートマシーンを含み得る。
コンピュータの実装に関して、コンピュータは、一般的には、1つ以上のプロセッサ、1つ以上の処理ユニット、1つ以上の処理モジュール、または1つ以上のコントローラを含むものと理解される。また、コンピュータ、プロセッサ、処理ユニット、処理モジュール、およびコントローラは、同じ意味に用いられ得る。また、コンピュータ、プロセッサ、処理ユニット、処理モジュール、またはコントローラにより提供される場合、機能は、専用コンピュータ、プロセッサ、処理ユニット、処理モジュール、またはコンピュータにより、または、共有コンピュータ、プロセッサ、処理ユニット、処理モジュール、またはコントローラにより、または、複数の個別コンピュータ、プロセッサ、処理ユニット、処理モジュール、またはコントローラ、により提供され得る。それらのいくつかは共有されるか、分離される。さらに、これらの用語はまた、そのような機能を実行し、および/または、ソフトウェアを実行することが可能な他のハードウェア、例えば、上記の例示的なハードウェア、を参照する。
以下の説明において、ユーザ装置(UE)が使用されるが、当業者であれば「UE」は非限定な用語であり、あらゆるモバイル装置、通信装置、無線通信装置、端末装置、または、アップリンク(UL)で信号を送信しダウンリンク(DL)で信号を受信および/または測定することのうちの少なくとも1つが許容される無線インタフェースを備えるノードを含むことを理解するだろう。UEは、1つ以上の周波数、キャリア周波数、コンポーネントキャリア、または周波数バンドにおいて動作し、または、少なくとも測定を実行することが可能な(一般的な意味で)UEを含み得る。それは、単一または複数の無線アクセス技術(RAT)またはマルチスタンダードモードで動作する「UE」であり得る。「UE」並びに一般的な用語である「端末装置」、「通信装置」、および「無線通信装置」は、以下の説明で使用され、また、そのようなデバイスは、ユーザにより運ばれるという意味で「移動」する、またはしないことが理解されるだろう。代わりに、「端末装置」(および上記に設定した代替的な一般的な用語)は、グローバルシステムフォーモバイルコミュニケーションズ(GSM)、ユニバーサルモバイルテレコミュニケーション(UMTS)、ロングタームエヴォリューション(LTE)等の1つ以上の移動通信規格に従って動作する通信ネットワークと通信することが可能なあらゆるデバイスを含む。また、UEが、スマートカード上のユニバーサルサブスクリプションアイデンティティモジュール(USIM)を含むか、直接UEに、例えばソフトウェアまたは集積回路として直接実装されることが理解されるだろう。ここに説明する動作は、USIMにおいて、または、USIMの外側で、部分的に、または、完全に実装され得る。
1つ以上のセルは、基地局に関連付けられ、ここで、基地局は、一般的な意味において、ダウンリンクで無線信号を送信し、および/または、アップリンクで無線信号を受信する、あらゆるネットワークノードを含む。いくつかの例示的な基地局、または、基地局を説明するために使用される用語は、eNodeB、eNB、NodeB、マクロ/マイクロ/ピコ/フェムト基地局、ホームeNodeB(フェムト基地局としても知られる)、中継器、リピータ、センサ、送信専用無線ノード、または受信専用無線ノードである。基地局は、1つ以上の周波数、キャリア周波数、または周波数バンドで動作し、または少なくとも測定を実行し、キャリアアグリゲーションが可能であり得る。それはまた、単一の無線アクセス技術(RAT)、複数のRAT、または、例えば異なるRATに対して同じまたは異なるベースバンドモジュールを用いる、マルチスタンダードノードであり得る。
他に示さない限り、説明するシグナリングは、直接リンクまたは論理リンクのいずれかを介する(例えば、より高いレイヤプロトコルを介して、および/または、1つ以上のネットワークノードを介して)。
図2は、説明する技術を適用することが可能なLTEベースの通信システム32の一部としての、進化型ユニバーサル移動体通信システム(UMTS)地上波無線アクセスネットワーク(E−UTRAN)の構成の例示的な図を示す。システム32の一部であるコアネットワーク34におけるノードは、1つ以上のモビリティ管理エンティティ(MME)36、LTEアクセスネットワークネットワークに対するキー制御ノード、および、モビリティアンカーとして動作している間にユーザデータパケットを送付および転送する1つ以上のサービングゲートウェイ(SGW)を含む。それらは、例えばS1インタフェースである、エアインタフェースを介して、LTEにおいてeNBと称される基地局または無線アクセスノード40と通信を行う。eNB40は、同じ、または異なるカテゴリーのEeNB、例えば、マクロeNBおよび/またはマクロ/ピコ/フェムトeNBを含むことができる。eNB40は、例えばX2インタフェースである、ノード間インタフェースを介して、互いに通信を行う。S1インタフェースとX2インタフェースは、LTE規格において定義されている。UE42が示され、UE42は、基地局40のうちの1つからダウンリンクデータを受信し、アップリンクデータを送信する。基地局40は、UE42のサービング基地局として参照される。
図3は、説明する非限定的な例示的な実施形態の1つ以上に従って動作するように適合化され、または構成されることが可能な通信装置/端末装置(UE)42を示す。UE42は、UE42の動作を制御するプロセッサまたは処理ユニット50を有する。処理ユニット50は、ネットワーク32における無線アクセスノード40へ信号を送信し、当該無線アクセスノー40から信号を受信するために使用される関連アンテナ54を有する(受信器と送信器を含む)送受信器ユニット52に接続される。UE42はまた、処理ユニット50に接続され、処理ユニット50により実行可能な命令またはコンピュータコードおよびUE42の動作に対して必要な他の情報またはデータを含むメモリまたはメモリユニット56を有する。
図4は、説明する例示的な実施形態に従って動作するように適合し、または構成することができる無線アクセスノード(例えば、NodeBまたはeNodeB、eNBといったセルラネットワーク基地局)を示す。無線アクセスノード40は、無線アクセスノード40の動作を制御するプロセッサまたは処理ユニット60を有する。処理ユニット60は、ネットワーク32におけるUE42へ信号を送信し、UE42から信号を受信するために使用される関連アンテナ64を有する(受信器と送信器を含む)送受信器ユニット62に接続される。無線アクセスノード40はまた、処理ユニット60に接続され、処理ユニット60により実行可能な命令またはコンピュータコードおよび無線アクセスノード40の動作に対して必要な他の情報またはデータを含むメモリまたはメモリユニット66を有する。無線アクセスノード40はまた、無線アクセスノード40が別の無線アクセスノード40(例えばX2インタフェースを介して)、および/または、コアネットワークノード36、38(例えばS1インタフェースを介して)と情報を交換できるようにするための構成要素および/または回路68を含む。他のタイプのネットワーク(UTRANまたはWCDMA RAN)において使用するための基地局は、図4に示したものと同様の構成要素と、それらのタイプのネットワークの他の無線アクセスノード(例えば、他の基地局、モビリティ管理ノードおよび/またはコアネットワークにおけるノード)との通信を可能にするための適切なインタフェース回路68を有することが理解されるだろう。無線アクセスノード40は、無線アクセスネットワーク(RAN)における、多数の分散機能として実装することができる。
図5は、説明する例示的な実施形態において使用することができるコアネットワークノード36、38を示す。ノード36、38は、MME36、SGW38、または別のタイプのコアネットワークノード(例えば無線ネットワークコントローラ(RNC))であり得る。ノード36、38は、ノード36、38の動作を制御するプロセッサまたは処理ユニット70を有する。処理ユニット70は、ノード36、38が、無線アクセスネットワーク(RAN)におけるネットワークノード、例えば無線アクセスノード40と情報を交換できるように、インタフェース構成要素および/または回路72に接続される。(それは、典型的にはS1インタフェースを介して)関連付けられ、および/またはネットワークのコアネットワーク部分における他のノードと関連付けられる。ノード36、38はまた、処理ユニット70に接続され、プログラムとノード36、38の動作に対して必要な他の情報とデータを格納する、メモリユニット74を含む。
開示した実施形態の背景において説明し表したUE42、無線アクセスノード40、ネットワークノード36、38の構成要素のみが図3、4、及び5に示されることが理解できるだろう。
本開示の実施形態は、主にLTEの背景において説明されるが、当業者であれば、説明される課題および解決策は、他のアクセス技術および規格を実装する他のタイプの無線アクセスネットワークおよびユーザ装置(UE)に同等に適用可能であることを理解するだろう。したがって、LTE(およびここで使用される他のLTE固有の専門用語)は、技術を適用することができるテクノロジーの例としてのみ見なされるべきである。
上述したように、LTE通信ネットワークにおけるセキュリティの現在の処理に関連する、特に、eNB間のハンドオーバ手順の間のセキュリティの処理に関連する問題が存在する。従って、以下に提供される技術により、選択されたeNB間でハンドオーバが発生した場合にセキュリティが処理される方法において改善が示される。
特に、ここに説明する技術により、同じベースキー(例えばKeNB)は、KeNBの継続した使用が安全と考えられる場合、1つのPセルから別のセルに切り換えた(ハンドオーバ)の後に使用することができることが示される。KeNBが切り換えの後で使用することができる場合、UEに対して、UEはハンドオーバ後にも同じKeNBを使用し続けるべきであることを示すために、ソースeNBからターゲットeNBへのシグナリングが提供される。
特定の実施形態では、ソースeNBとターゲットeNBが同じ「セキュリティゾーン」の一部である場合に、ハンドオーバ後にKeNBを使用し続けることが安全と考えることができる。「セキュリティゾーン」は、eNBのセットとして定義することができる。当該eNBは、攻撃者が、セットにおけるeNBのうちの1つに不法侵入、アクセス、またはそれ以外に侵入した場合に、攻撃者がまた、実質的に追加の労力無しにその他のものの1つに不法侵入、アクセスまたはそれ以外に侵入することができるように、構成される。例えば、無線アクセスネットワーク(RAN)は「クラウド化」することができ、ここで、複数のeNBは同じハードウェア上で個別の仮想マシーンとして動作することができる。この場合、ハードウェアへのアクセスを得る攻撃者は、ハードウェア上で動作するいずれかまたは全てのeNBへアクセスを得ることができる。代替的な「クラウド化」したRANにおいて、複数のeNBを、同じ仮想マシーン内のそれぞれの箱に実装することが可能である。また、仮想マシーンへのアクセスを得る攻撃者は、仮想マシーンにより動作するいずれかまたは全てのeNBへのアクセスが可能となる。セキュリティゾーン内にいると考えられるeNBの更なる例は、同じ物理コンピュータラックにおけるそれぞれの回路/部品基板上でeNBが実装される場合である。一般的に、セキュリティゾーンは、同じ物理的および/または仮想的な位置におけるeNBのセットとして考えることができる。また、特定の「セキュリティゾーン」の一部であるeNBは、例えば、ゾーンにおけるeNBがハッキングまたはアクセスされる場合に損なわれるネットワークセキュリティのリスクの評価に基づいて、ネットワークのオペレータにより構成または選択することができる。
ここに説明する技術に従う、無線アクセスノード(例えばLTEネットワークにおけるeNB)を動作させる例示的な方法40を図6に示す。無線アクセスノード40はまた、以下において「第1の」無線アクセスノードとも称される。本方法では、第1の無線アクセスノード40は、通信装置(たとえばUE)42に対するソースセルである。
第1のステップであるS601では、第1の無線アクセスノード40は、通信装置と第1の無線アクセスノード40の間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のAS−ベースキー(例えばKeNB)を、前記通信装置と第2の無線アクセスノードの間の通信を暗号化するための第2の暗号化キーを決定するために第2の無線アクセスノード40が使用することができるかを決定する。
いくつかの実施形態では、ステップ601は、第1の無線アクセスノードと第2の無線アクセスノードが同じセキュリティゾーンの一部である場合に、第1のベースキーは第2の無線アクセスノードにより使用することができることを決定することを含む。いくつかの実施形態では、第1の無線アクセスノードと第2の無線アクセスノードが、(a)同じハードウェア上の個別の仮想マシーンとして動作している場合、(b)同じ仮想マシーン内の2つのコンテナである場合、(c)同じ物理的ラックにおけるボードに実装されている場合、(d)同じセキュリティゾーンに属するとしてセキュリティポリシーにより決定されている場合、(e)物理的に同じサイトに位置する場合に、前記第1の無線アクセスノードと前記第2の無線アクセスノードは、同じセキュリティゾーンの一部にいる、場合に、第1の無線アクセスノードと第2の無線アクセスノードは、同じセキュリティゾーンの一部である。
ステップS601は、第1の無線アクセスノードにおけるリストまたはローカルな構成を検査することにより、または(例えば、図9を参照して以下に説明するような)別のノードからの情報を要求することにより、行うことができる。この観点では、ステップ601は、更に、第2の無線アクセスノードに関する情報に対する要求を、通信ネットワークにおける別のノード(例えば、別の無線アクセスノード、eNB、またはコアネットワークにおけるノード、例えばMME36)に送信すること、および、第2の無線アクセスノードに関する情報を含むその要求に対する応答を受信することを含む。情報は、第1のベースキーを、第2の無線アクセスノードが使用することができるかを示し得る、または、情報は、第1の無線アクセスノード40が第1のベースキーを第2の無線アクセスノードが使用することができるかを決定することを許容する。
ステップ601において、第1のベースキーを第2の無線アクセスノードが利用できると判定された場合、方法は更に、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバの間に、第1のベースキーを第2の無線アクセスノードに送信するステップを含む(ステップ603)。
加えて、図6には示していないが、第1のベースキーが第2の無線アクセスノードにより利用できる場合、第1の無線アクセスノードはまた、第1のベースキーが通信装置と第2の無線アクセスノードの間の通信を暗号化するための第2の暗号化キーを決定するために使用されることの指標を、通信装置に送信する。この指標は、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバに関連するメッセージに含めることができる。メッセージは、無線リソース制御(RRC)再構成メッセージとすることができる。
ステップ601において、第1のベースキーを第2の無線アクセスノードが使用することができないと判定された場合、第1の無線アクセスノード40は、第1のベースキーから第2のベースキーを決定する(ステップ605)。このキーの導出は、従来の手法(例えば、水平または垂直のキー導出)において実行することができる。第1の無線アクセスノード40は、その後、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバの間に、第2のベースキーを第2の無線アクセスノードに送信する。この場合、第1の無線アクセスノード40はまた、指標を通信装置に送信し、通信装置に、第1のベースキーから、第2の無線アクセスノードとの使用のために、第2のベースキーを決定させることができる。
いくつかの実施形態では、第1の無線アクセスノード40はまた、第1のベースキーから第1の暗号化キーを決定するために使用された暗号化キー生成アルゴリズムの指標を、第2の無線アクセスノード40に送信することができる。
以下に示すように、いくつかの実施形態において、第1の無線アクセスノードと第2の無線アクセスノードは、PDCP機能または状態を共有する。
図7は、ここに提示する技術に従う、通信装置(例えばUE)42を動作させる方法を示す。通信装置42は、第1の無線アクセスノード40(例えばeNB)によりサービスが提供される。
第1のステップであるステップ701では、第1の無線アクセスノード(例えばeNB)40から第2の無線アクセスノード(例えばeNB)40への通信装置のハンドオーバにおいて、通信装置は、通信装置と第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかの指標を受信する。
この指標は、第1の無線アクセスノード40または第2の無線アクセスノード40から受信することができる。
受信した指標が、第1のベースキーを、第2の暗号化キーを決定するために使用することができることを示す場合(ステップ703)、通信装置42は、第1のベースキーから第2のベースキーを決定する(ステップ705)。この第2の暗号化キーは、通信装置と第2の無線アクセスノードとの間の通信を暗号化するために使用することができる。
受信した指標が、第1のベースキーを、第2の暗号化キーを決定するために使用することができないことを示す場合(ステップ703)、通信装置は、第1のベースキーから第2のベースキーを決定する(ステップ707)。この第2のベースキーは、従来の手法、例えば、水平または垂直のキー導出を用いて、導出することができる。
通信装置42は、その後、第2のベースキーから、通信装置と第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定する(ステップ709)。
いくつかの実施形態において、ステップ701において受信される指標は、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバに関連するメッセージにおけるものである。メッセージは、無線リソース制御(RRC)再構成メッセージとすることができる。
ここに説明する技術に従う、無線アクセスノード(例えばLTEネットワークにおけるeNB)を動作させる方法40を図8に示す。無線アクセスノード40は、以下において「第2の」無線アクセスノードとも称され、通信装置に対するターゲットセルに対応する。
第1のステップであるステップ801では、第2の無線アクセスノード40は、第1の無線アクセスノードから第2の無線アクセスノードへの通信装置のハンドオーバの間に、第1の無線アクセスノード40から第1のベースキーを受信する。第2の無線アクセスノード40はまた、第1の無線アクセスノードから、第1のベースキーから第1の暗号化キーを決定するために使用された暗号化キー生成アルゴリズムの指標を受信する。第2の無線アクセスノード40は、その後、暗号化キーを決定するために、第1のベースキーと、示された暗号化キー生成アルゴリズムを使用する。
第1のベースキーと示された暗号化キー生成アルゴリズムは、第1の無線アクセスノードにより、第1の無線アクセスノードと通信システムとの間の通信を暗号化する際に使用するための暗号化キーを生成するために先に使用されており、したがって、第1のベースキーと示された暗号化キー生成アルゴリズムを用いて暗号化キーを決定することにより、第2の無線アクセスノード40は、第1の無線アクセスノードにより使用されたものと同じ暗号化キーを生成し得る。
ここに説明する技術の別の実施形態に従う、ネットワークノードを動作させる例示的な方法を図9に示す。ノードは、通信ネットワークのコアネットワーク部分におけるノードであり得る(そして、例えば、ノードはMME36であり得る)。または、通信ネットワークのRANにおけるノード(例えばeNB40、または分散的eNB構成の一部である機能または構成要素)であり得る。このノードは、共有するベースキーについての決定を行い、当該決定を、要求側の無線アクセスノードに送信することを担うことができる。
したがって、第1のステップであるステップ901では、ノードは、通信ネットワークにおける第2の無線アクセスノードに関する情報に対する要求を、通信ネットワークにおける第1の無線アクセスノードから受信する。要求された情報は、通信装置と第1の無線アクセスノードの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、通信装置と第2の無線アクセスノードの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかに関連する。
ノードは、当該要求された情報を読み出し、または、取得し、当該情報を、第1の無線アクセスノード40に送信する(ステップ903)。当該情報は、第1のベースキーを第2の無線アクセスノードが使用することができるかを示す。
いくつかの実施形態において、情報に対する要求を受信した後に、ノードは、第1のベースキーを第2の無線アクセスノードが使用することができるかを決定(判定)することができる。決定は、第1の無線アクセスノードと第2の無線アクセスノードが同じセキュリティゾーンの一部である場合に、第1のベースキーを第2の無線アクセスノードが使用することができるかを決定(判定)することを含む。第1の無線アクセスノードと第2の無線アクセスノードが、(a)同じハードウェア上の個別の仮想マシーンとして動作している場合、(b)同じ仮想マシーン内の2つのコンテナである場合、(c)同じ物理的ラックにおけるボードに実装されている場合、(d)同じセキュリティゾーンに属するとしてセキュリティポリシーにより決定されている場合、(e)物理的に同じサイトに位置する場合に、第1の無線アクセスノードと第2の無線アクセスノードは、同じセキュリティゾーンの一部であると考えることができる。
LTEネットワークにおけるX2ハンドオーバの背景において、ここに示す技術の特定の実施形態を、図10に示す。なお、以下に説明する原理は、S1ハンドオーバまたは、同様のセキュリティおよび/またはメッセージング構成を用いる他のタイプのハンドオーバに適用することができる。
図10は、端末装置(UE42)のX2ハンドオーバに含まれる、第1の無線アクセスノード40から第2の無線アクセスノード40へのシグナリングを示す。第1の無線アクセスノード40は、ソースマスターセル(図10では「ソースセル」78と示される)を制御し(例えば第1のeNB)、第2の無線アクセスノード40は、ターゲットマスターセル(図10では「ターゲットセル」79と示される)を制御する(例えば第2のeNB40)。マスターセルという用語は、ここでは、eNB40と接続すると考えられるUE42がeNB40と確立する必要があるセルであり、例えばPセル(プライマリセル)であり得る。
X2ハンドオーバの構成は、一般的には、以下のステップを含む。すなわち、RAN(図10の例ではソースセル40)におけるノードが、UE42のハンドオーバを行うべきと決定すること(図10のステップ80)、ソースセル78をサポートまたはホストするeNB40が、ターゲットセル79をサポートまたはホストするeNB40に対してハンドオーバの準備を行うように要求すること(ステップ84)、ターゲットセル79をホストするeNB40が当該要求に肯定的に応答すること(ステップ86)、ソースセル78をホストするeNB40がUE42に対して、ターゲットセル79に対してRRC接続を再構成するように要求すること(ステップ88)、および最後に、UE42が、ターゲットセル79をホストするeNB40に通知することによりハンドオーバを完了すること(ステップ90)、である。
したがって、ステップ80において、RANにおけるノードは、UE42はソースセル78からターゲットセル79へ変更する必要があることを決定する。当該決定は異なるノードにより行うことができるが、この例において、この決定を行うノードは、ソースノード78をホストするeNB40である。当該決定は、典型的には、劣悪な信号品質等のカバレッジの理由に起因してなされるが、セルにおける負荷等の他の理由に起因してもなされ得る。ステップ80は、一般的には従来のものであり、更には説明しない。
ターゲットセル79をホストするeNB40にハンドオーバに対する準備を行うように要求する(ソースセル78をホストするeNB40からターゲットセル79をホストするeNB40へのハンドオーバ準備要求メッセージを送信することにより示される)前に、ソースセル78をホストするeNB40は、(ソースセル78において送信されるトラフィックを保護するために、暗号化および完全性保護キーを導出するためにUE42およびeNB40により使用される)現在のASベースキーが、セキュリティ(安全性)を有さずにUE42およびターゲットセル79ホストするeNB40により使用することができるか決定する。これは、図10におけるステップ82として示される(「キーを維持する決定」)。例えばKeNBあるASベースキーは、UEとソースセル78をホストするeNB40との間の通信を暗号化するための暗号化キーを決定するために使用される。
ステップ82における決定は、1つ以上のファクター、特に、ターゲットセル79をホストするeNB40が、ソースセル78をホストするeNB40と同じ「セキュリティゾーン」にいるか、に基づくことが可能である。セキュリティゾーンは、上記のように定義される。RANのオペレータは、(例えば、各セキュリティゾーンにおいてセルまたはeNBが存在する)セキュリティゾーンを構成することが可能であり得る。各セキュリティゾーンに存在するセル/eNBのリストがあってもよい。(各eNB40は、それを有して構成することができ、または、それは、eNBがアクセスでき、または、eNBにより照会できる)。そして、ステップ82における決定は、ターゲットセル79がソースセル78と同じリストに存在するかを決定することを含む。各セキュリティゾーンにおけるセル/eNBは、多くの手法のいずれかにおいて識別することができる。例えば、特定のPCI、RANにおけるeNB40に対するPCI識別子、インターネットプロトコル(IP)アドレス、完全修飾ドメイン名(FQDN)、および/または、各セル/eNBに関連付けられた媒体アクセス制御(MAC)アドレス、および/または、名前またはアドレスの範囲(例えば、特定の範囲におけるアドレスを有するセル/eNBはセキュリティゾーンの一部と考えられる)、である。
図6と図9を参照して上述したように、いくつかの実施形態において、ソースセル78をホストするeNBは、ターゲットセル79をホストするeNBまたはターゲットセル79が、ソースセル78をホストするeNBまたはソースセル79自身と同じセキュリティゾーンにいるか(、および、UE42のハンドオーバ後にKeNBを使用することができるか)についての決定を行うことができるが、他の実施形態では、当該決定は、通信ネットワークにおける別のノード(例えば、RANにおける別のノード、コアネットワークにおけるノード)により行うことができる。これらの実施形態において、ステップ82では、ソースセル78をホストするeNBは、UE42がターゲットセル79にハンドオーバし得ることをノードに伝え、ノードは、(例えば、ソースセル78と同じところにあるセル/eNBのリストを検査することにより)ソースセル78とターゲットセル79は同じセキュリティゾーンにいるかを決定し、ソースセル78をホストするeNBに適切な指標を提供することを示すことができる。
ターゲットセル79がソースセル78と同じセキュリティゾーンにいるかを決定(判定)することに加えて、ソースセル78をホストするeNBは、更に、UEは特徴(すなわち、ターゲットセル79においてソースセル78からのKeNBを使用する能力)をサポートするか、および/または、ターゲットセル79をサポートするeNBは特徴(すなわち、KeNBを受信し、それをUE42のために使用する能力)をサポートするかを検討することできる。ソースセル78をホストするeNBは、標準のLTE動作の一部として受信したUEの能力を検査することにより、UE42が当該特徴をサポートするかを決定することができる。ソースセル78をサポートするeNBは、例えば、X2接続確立の間に、または、RAN構成データを用いて、または、ハンドオーバ手順の間に、ターゲットセル79ホストするeNBが当該特徴をサポートするかを決定することができる。
ステップ82において、ソースセル78をホストするeNBが、現在のアクティブKeNBをターゲットセル79において安全に使用することができないと判定した場合(すなわち、ハンドオーバ後にターゲットセル79において現在のKeNBを使用することがセキュリティを損なう場合)、ハンドオーバは、(例えば、図1を参照して上記に説明したような)従来の技術に従って生じ得る。すなわち、KeNB*で示される新しいベースキーが、ハンドオーバの後に、ターゲットセル79をホストするeNBによる使用のために、ソースセル78をホストするeNBにより導出される。そして、この新しいベースキーは、ターゲットセル79をホストするeNBに送信される。
それ以外では、ステップ82において、現在のアクティブKeNBを、セキュリティ(安全性)を損なわずにターゲットセル79をホストするeNBが使用することができると判定された場合、ソースセル78をホストするeNBは、ターゲットセル79をホストするeNBに対して、ターゲットセル79をホストするeNBにハンドオーバ準備要求メッセージ84においてKeNBを提供するのと同じ時点での決定について通知する。このメッセージ84はまた、UEのセキュリティ能力、パケットデータコンバージェンスプロトコル(PDCP)COUNT(カウント)の値、KeNBを有する暗号化アルゴリズムに対する初期ベクトルを構成するために使用されている無線ベアラ識別子のアイデンティティ、も含めることができる。
ターゲットセル79をホストするeNBがこの情報を受信する場合、ターゲットセル79をホストするeNBは、受信したKeNBに対する追加的な導出を実行しない(そこで、ターゲットセル79をホストするeNBは、他の場合は従来のハンドオーバ手順に従って行う)。従来のLTE手順におけるこれらの追加的なキー導出は、S1ハンドオーバにおける、ターゲットセル79をホストするeNBにより実行される導出を参照する。S1ハンドオーバにおいて、ターゲットセル79をホストするeNBは、MMEからキーイングマテリアルを受信し、マスターターゲットセルのPCIおよびEARFCN−DLと共に、そのキーイングマテリアルをの導出を実行し、ターゲットセルで使用するためのベースキーに到達する。
ハンドオーバ後にKeNBを維持するかについての決定がなされた後、ソースセル78をホストするeNBは、直接的または非直接的に、当該決定、すなわち、現在アクティブなKeNBをターゲットセル97においても使用すべきかについての決定を、UE42に通知する。ソースセル78をホストするeNBは、多くの異なる方法において、これをUE42に通知することができる。
ハンドオーバ後に現在アクティブなKeNBを維持すべきである第1の例では、ターゲットセル79をホストするeNBは、ハンドオーバコマンドを作成することができ、ここで、ターゲットセル79をホストするeNBは、現在アクティブなKeNBをハンドオーバ後に使用すること(すなわち、水平または垂直のキー導出は生じない)、および、同じ暗号化アルゴリズムを使用し続けることを表現する。同じ暗号化アルゴリズムを使用する目的は、ベースキー(KeNB)から導出された暗号化キーが、ハンドオーバの前後でも同じであることを保証することである。これは、暗号化キーが、キー導出を介して使用される暗号化アルゴリズムと結びつくLTEのようなアクセスにおいては、望ましいことであり得る。暗号化キーの導出において使用される、あらゆる他のパラメータもまた、暗号化キーがハンドオーバにおいて変化しないことを保証するために、同じであり続け得る。ターゲットセル79をホストするeNBは、UE42に対する更なる送信のために、ソースセル78をホストするeNBに対して、RRC再構成メッセージ88においてハンドオーバコマンドを送信することができる。
第2の例では、ソースセル78をホストするeNBは、RRC再構成メッセージにおいて、ハンドオーバコマンドと共に、UE42に引き継がれることが可能な決定の指標を含めることができる。
第3の例では、ソースセル78をホストするeNBは、決定の結果を明示的にシグナリングするよりむしろ、決定の結果、および、ハンドオーバメッセージにおける情報エレメントの他の組み合わせを介して同じ暗号化および完全性のアルゴリズムを使用すべきかどうかを、暗示的にシグナリングすることができる。例えば、NCCが省略されておらず、UE42が規格に従って現在未使用なパラメータに対する値を受信する場合、UE42は、現在アクティブなベースキー(KeNB)を推定し、完全性保護と暗号化アルゴリズムがターゲットセル79において使用される。そのような未使用のパラメータ値の1つの可能性のある例は、暗号化アルゴリズム番号7であり得る(それは、3GPP TS 36.331の6.3.3には現在定義されていない)。NCCが省略される場合、NCCの省略は、ソースセル78をホストするeNBが垂直導出においてフレッシュなNHキーからKeNB*を導出することを示すため、KeNBを再利用することはできない。
UE42は、RRC再構成メッセージ88(ハンドオーバコマンドを含む)を受信した場合、ソースセル78をホストするeNBと使用するベースキー(KeNB)を再利用する決定に関する、メッセージにおける情報に基づいて、新しいベースキー(KeNB*)を決定するためにベースキー(KeNB)の水平または垂直キー導出を実行するか、または、ターゲットセル79をホストするeNBとの通信を保護するために現在アクティブなKeNBを再利用するか決定する。垂直または水平キー導出が実行されるべき場合、UE42は、LTEに規定されているような従来の方法で、ベースキー(KeNB*)を導出する。しかしながら、ベースキー(KeNB)が再使用されるべき場合、UE42は、ターゲットセル79においても、現在アクティブなベースキー(KeNB)を使用し続ける。
いくつかの実施形態において、PDCPインスタンスは、ソースセル78をホストするeNBとターゲットセル79をホストするeNBの両方に対して中心的な機能となり得る。その場合、ベースキー(KeNB)、PDCP COUNTS、および使用した無線ベアラ識別子は、ソースセル78をホストするeNBによりターゲットセル79をホストするeNBに送信される必要はなく、ソースセル78をホストするeNBは、ベースキー(KeNB)と暗号化アルゴリズムが使用し続けられることの情報を、ターゲットセル79をホストするeNBに送信することだけ必要となる。
図11は、実施形態に従う第1の無線アクセスノード40のブロック図である。第1の無線アクセスノード40は、通信ネットワーク32において使用するためのものであり、プロセッサ1101とメモリ1102を有する。メモリ1102は、第1の無線アクセスノード40が、通信装置と第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のベースキーを、通信装置42と第2の無線アクセスノード40の間の通信を暗号化するために第2の暗号化キーを決定するために第2の無線アクセスノードが使用することができるかを決定し、第1のベースキーを第2の無線アクセスノード40が使用することができる場合に、第1の無線アクセスノード40から第2の無線アクセスノード40への通信装置42のハンドオーバの間に、第1のベースキーを第2の無線アクセスノード40に送信するように動作可能であるような、プロセッサ1101により実行可能な命令を含む。
図12は、別の実施形態に従う通信装置42のブロック図である。通信装置42は、プロセッサ1201とメモリ1202を有する。メモリ1202は、通信装置42が、通信装置42と通信ネットワーク32における第1の無線アクセスノード40との間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、通信装置42と通信ネットワーク32における第2の無線アクセスノードと40の間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかについての指標を、第1の無線アクセスノード40から第2の無線アクセスノード40への通信装置42のハンドオーバにおいて受信し、受信した指標が、第1のベースキーを第2の暗号化キーを決定するために使用することができることを示す場合、第1のベースキーから第2の暗号化キーを決定し、受信した指標が、第1のベースキーを第2の暗号化キーを決定するために使用することができることを示さない場合、第1のベースキーから第2のベースキーを決定し、通信装置42と第2の無線アクセスノード40との間の通信を暗号化するために、第2のベースキーから第2の暗号化キーを決定する、ように動作可能である、プロセッサ1201により実行可能な命令を含む。
図13は、実施形態に従う第2の無線アクセスノード40のブロック図である。第2の無線アクセスノード40は、通信ネットワーク32において使用するためのものであり、プロセッサ1301とメモリ1302を有する。メモリ1302は、第2の無線アクセスノードが、第1の無線アクセスノード40から第2の無線アクセスノード40への通信装置42のハンドオーバの間に通信ネットワーク32における第1の無線アクセスノード40から第1のベースキーを受信し、第1のベースキーから第1の暗号化キーを決定するために使用する暗号化キー生成アルゴリズムの指標を、第1の無線アクセスノード40から受信し、示された暗号化キー生成アルゴリズムを用いて、通信装置42と第2の無線アクセスノード40との間の通信を暗号化するために、第1のベースキーから第1の暗号化キーを決定するように動作可能なように、プロセッサ1301により実行可能な命令を含む。
図14は、更なる実施形態に従うノード36、38のブロック図である。ノード36、38は、通信ネットワーク32において使用するためのものであり、プロセッサ1401とメモリ1402を有する。メモリ1402は、プロセッサ1401により実行可能な命令を含む。メモリ1402は、ノード36、38が、通信ネットワーク32における第2の無線アクセスノード40に関する情報に対する要求を通信ネットワーク32における第1の無線アクセスノード40から受信し、当該情報は、通信装置42と第1の無線アクセスノード40との間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、通信装置42と第2の無線アクセスノード40との間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかに関連し、第2の無線アクセスノード40に関する情報を第1の無線アクセスノード40に送信し、当該情報は、第1のベースキーを第2の無線アクセスノード40により使用することができることを示す、ように動作可能なように、プロセッサ1401により実行可能な命令を含む。
図15は、更なる別の実施形態に従う第1の無線アクセスノード40のブロック図である。第1の無線アクセスノード40は、通信ネットワーク32において使用するためのものであり、通信装置42と第1の無線アクセスノード40の間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のベースキーを、通信装置42と第2の無線アクセスノード40の間の通信を暗号化するための第2の暗号化キーを決定するために第2の無線アクセスノードが使用することができるかを決定(判定)するように構成された第1の決定モジュール1501を有する。第1の無線アクセスノード40はまた、第1のベースキーが第2の無線アクセスノード40により使用できる場合、第1の無線アクセスノード40から第2の無線アクセスノード40への通信装置42のハンドオーバの間に、第1のベースキーを第2の無線アクセスノード40に送信するように構成された第1の送信モジュール1502を有する。
図16は、更なる別の実施形態に従う通信装置42のブロック図である。通信装置42は、通信装置42と通信ネットワーク32における第1の無線アクセスノード40との間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、第1の無線アクセスノード40から第2の無線アクセスノード40への通信装置42のハンドオーバにおいて、通信装置42と通信ネットワーク32における第2の無線アクセスノード40との間の通信を暗号化するために第2の暗号化キーを決定するために使用することができるかについての指標を受信するように構成された受信モジュール1601と、受信した指標が、第1のベースキーを第2の暗号化キーを決定するために使用することができることを示す場合、第2の暗号化キーを第1のベースキーから決定すように構成されたる第1の決定モジュール1602と、受信した指標が、第1のベースキーを第2の暗号化キーを決定するために使用することができることを示さない場合、第1のベースキーから第2のベースキーを決定するように構成された第2の決定モジュール1603と、通信装置42と第2の無線アクセスノード40との間の通信を暗号化するための第2の暗号化キーを第2のベースキーから決定するように構成された第3の決定モジュール1604を有する。
図17は、更なる別の実施形態に従う第2の無線アクセスノード40のブロック図である。第2の無線アクセスノード40は、通信ネットワーク32において使用するためのものであり、第1の無線アクセスノード40から第2の無線アクセスノード40への通信装置42のハンドオーバの間に、通信ネットワーク32における第1の無線アクセスノード40から第1のベースキーを受信するように構成された受信モジュール1701と、第1のベースキーから第1の暗号化キーを決定するために使用する暗号化キー生成アルゴリズムの指標を第1の無線アクセスノード40から受信するように構成された第2の受信モジュール1702と、示された暗号化キー生成アルゴリズムを用いて、通信装置42と第2の無線アクセスノード40との間の通信を暗号化するための第1の暗号化キーを第1のベースキーから決定するよう構成された決定モジュール1703を有する。
図18は、別の実施形態に従うノード36、38のブロック図である。ノード36、38は、通信ネットワーク32において使用するためのものであり、通信ネットワーク32における第1の無線アクセスノード40から、通信ネットワーク32における第2の無線アクセスノード40に関する情報に対する要求を受信し、当該情報は、通信装置42と第1の無線アクセスノード40との間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、通信装置42と第2の無線アクセスノード40との間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかに関連する、ように構成された受信モジュール1801と、第2の無線アクセスノード40に関する情報を第1の無線アクセスノード40に送信し、当該情報は、第1のベースキーを第2の無線アクセスノード40が使用されることができることを示す、ように構成された送信モジュール1802を有する。
上述したように、ここに説明する技術により、多くの利点が提供される。例えば、当該技術は、eNBに対するハンドオーバのより効率的な実装に対して提供し、より速くスムーズなハンドオーバを提供し、より効率的にリソースを利用しセキュリティを引き継がないためにネットワークを構成するオペレータに対して提供し、バッファメモリに対するより低い要件およびハンドオーバにおける低遅延を有するネットワーク機能の仮想化/クラウド化をサポートし、および/または、1つ以上のキャリアが使用されているときに中断しないハンドオーバを実行する能力を提供することができる。
説明した記載および関連する図面に示された教示の利益を有する当業者であれば、説明した実施形態の改良および他の変形を想到するだろう。したがって、実施形態は、開示した特定の例に限定されず、改良および他の変形が、本開示の範囲内に含まれるように意図される。ここでは特定の用語が使用されるが、包括的で説明的な意味でのみ使用され、限定の目的では使用されない。
種々の実施形態は以下のステートメントにおいて提示される。
1.通信ネットワークにおいて第1の無線アクセスノードを動作させる方法であって、前記方法は、
通信装置と前記第1の無線アクセスノードの間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のベースキーを、前記通信装置と第2の無線アクセスノードの間の通信を暗号化するために前記第2の無線アクセスノードが使用することができるかを決定することと、
前記第1のベースキーを前記第2の無線アクセスノードが使用することができる場合、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置のハンドオーバの間に、前記第1のベースキーを前記第2の無線アクセスノードに送信することを含む。
2.ステートメント1に規定された方法であって、前記第1のベースキーを前記第2の無線アクセスノードが使用することができる場合、前記第1のベースキーが、前記通信装置と前記第2の無線アクセスノードの間の通信を暗号化するための第2の暗号化キーを決定するために使用されることの指標を、前記通信装置に送信することを含む。
3.ステートメント2に規定された方法であって、前記指標は、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置の前記ハンドオーバに関連するメッセージに含まれる。
4.ステートメント3に規定された方法であって、前記メッセージは、無線リソース制御(RRC)再構成メッセージである。
5.ステートメント1から4のいずれかに規定された方法であって、前記第1のベースキーを前記第2の無線アクセスノードが使用することができない場合、
前記第1のベースキーから第2のベースキーを決定することと、
前記第2のベースキーを、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置のハンドオーバの間に、前記第2の無線アクセスノードに送信することを含む。
6.ステートメント1から5のいずれかに規定された方法であって、前記第1のベースキーを前記第2の無線アクセスノードが使用することができない場合、
前記通信装置に、前記第2の無線アクセスノードとの使用のために、前記第1のベースキーから第2のベースキーを決定させるための指標を前記通信装置に送信することを含む。
7.ステートメント1から6のいずれかに規定された方法であって、前記第1のベースキーを第2の無線アクセスノードが使用することができるかを決定することは、前記第1の無線アクセスノードと前記第2の無線アクセスノードが同じセキュリティゾーンの一部である場合に、前記第1のベースキーを前記第2の無線アクセスノードが使用することができるかを決定することを含む。
8.ステートメント7に規定された方法であって、前記第1の無線アクセスノードと前記第2の無線アクセスノードが、(a)同じハードウェア上の個別の仮想マシーンとして動作している場合、(b)同じ仮想マシーン内の2つのコンテナである場合、(c)同じ物理的ラックにおけるボードに実装されている場合、(d)同じセキュリティゾーンに属するとしてセキュリティポリシーにより決定されている場合、(e)物理的に同じサイトに位置する場合に、前記第1の無線アクセスノードと前記第2の無線アクセスノードは、同じセキュリティゾーンの一部である。
9.ステートメント1から6のいずれかに規定された方法であって、前記第1のベースキーを前記第2の無線アクセスノードが使用できるかを決定することは、
前記第2の無線アクセスノードに関する情報に対する要求を、前記通信ネットワークにおける別のノードに送信することと、
前記第2の無線アクセスノードについての情報を、前記別のノードから受信し、当該情報は、前記第1のベースキーを前記第2の無線アクセスノードが使用できるかを示す。
10.ステートメント1から9のいずれかに規定された方法であって、前記第1のベースキーをハンドオーバの間に前記第2の無線アクセスノードに送信することは、前記第1のベースキーから前記第1の暗号化キーを決定するために使用された暗号化キー生成アルゴリズムの指標を送信することを更に含む。
11.ステートメント1から10のいずれかに規定された方法であって、前記第1の無線アクセスノードと前記第2の無線アクセスノードは、パケットデータコンバージェンスプロトコル(PDCP)機能を共有する。
12.通信ネットワークにおいて使用するための第1の無線アクセスノードであって、前記第1の無線アクセスノードは、
通信装置と前記第1の無線アクセスノードの間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のベースキーを、前記通信装置と第2の無線アクセスノードの間の通信を暗号化するために前記第2の無線アクセスノードが使用することができるかを決定し、
前記第1のベースキーを前記第2の無線アクセスノードが使用できる場合、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置のハンドオーバの間に、前記第1のベースキーを前記第2の無線アクセスノードに送信するように構成される。
13.通信装置を動作させる方法であって、前記方法は、
通信ネットワークにおける第1の無線アクセスノードから前記通信ネットワーク における第2の無線アクセスノードへの前記通信装置のハンドオーバにおいて、前記通信装置と前記第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかの指標を受信し、
前記受信した指標が、前記第1のベースキーを前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができることを示す場合、前記第1のベースキーから、前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定し、
それ以外の場合は、前記第1のベースキーから第2のベースキーを決定し、
前記第2のベースキーから、前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定する。
14.ステートメント13に規定された方法であって、前記指標は、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置の前記ハンドオーバに関連するメッセージにおいて受信される。
15.ステートメント14に規定された方法であって、前記メッセージは、無線リソース制御(RRC)再構成メッセージである。
16.ステートメント13から15のいずれかに規定された方法であって、前記指標は、前記第1の無線アクセスノードから受信される。
17.ステートメント13から15のいずれかに規定された方法であって、前記指標は、前記第2の無線アクセスノードから受信される。
18.通信装置であって、前記通信装置は、
前記通信装置と通信ネットワークにおける第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、前記第1の無線アクセスノードから前記第2の無線アクセスノードへのハンドオーバにおいて前記通信装置と前記通信ネットワークにおける第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかの指標を受信し、
前記受信した指標が、前記第1のベースキーを、第2の暗号化キーを決定するために使用することができることを示す場合、前記第1のベースキーから第2の暗号化キーを決定し、
前記受信した指標が、前記第1のベースキーを第2の暗号化キーを決定するために使用することができることを示さない場合、前記第1のベースキーから第2のベースキーを決定し、
前記第2のベースキーから、前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するように構成される。
19.通信ネットワークにおいて第2の無線アクセスノードを動作させる方法であって、前記方法は、
第1のベースキーを、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの通信装置のハンドオーバの間に、前記通信ネットワークにおける第1の無線アクセスノードから受信することと、
前記第1の無線アクセスノードから、前記第1のベースキーから第1の暗号化キーを決定するために使用するための暗号化キー生成アルゴリズムの指標を受信することと、
前記示された暗号化キー生成アルゴリズムを用いて、前記第1のベースキーから、前記通信装置と前記第2の無線アクセスノードの間の通信を暗号化するための第1の暗号化キーを決定することを含む。
20.通信ネットワークにおいて使用するための第2の無線アクセスノードであって、前記第2の無線アクセスノードは、
第1のベースキーを、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの通信装置のハンドオーバの間に、前記通信ネットワークにおける第1の無線アクセスノードから受信し、
前記第1の無線アクセスノードから、前記第1のベースキーから第1の暗号化キーを決定するために使用するための暗号化キー生成アルゴリズムの指標を受信し、
前記示された暗号化キー生成アルゴリズムを用いて、前記第1のベースキーから、前記通信装置と前記第2の無線アクセスノードの間の通信を暗号化するための第1の暗号化キーを決定するように構成される。
21.通信ネットワークにおけるノードを動作させる方法であって、前記方法は、
前記通信ネットワークにおける第1の無線アクセスノードから、前記通信ネットワークにおける第2の無線アクセスノードに関する情報に対する要求を受信することであって、前記情報は、通信装置と前記第1の無線アクセスノードの間の通信を暗号化するための11の暗号化キーを決定するために使用された第1のベースキーを、前記通信装置と前記第2の無線アクセスノードの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかに関連し、
前記第2の無線アクセスノードに関する情報を送信することであって、前記情報は、前記第1のベースキーを前記第2の無線アクセスノードが使用することができるかを示す。
22.ステートメント21に規定された方法であって、
前記第1のベースキーを第2の無線アクセスノードが使用することができるかを決定することを含む。
23.ステートメント22に規定された方法であって、前記決定することは、前記第1の無線アクセスノードと前記第2の無線アクセスノードが同じセキュリティゾーンの一部である場合に、前記第1のベースキーを前記第2の無線アクセスノードが使用することができるかを決定することを含む。
24.ステートメント23に規定された方法であって、前記第1の無線アクセスノードと前記第2の無線アクセスノードが、(a)同じハードウェア上の個別の仮想マシーンとして動作している場合、(b)同じ仮想マシーン内の2つのコンテナである場合、(c)同じ物理的ラックにおけるボードに実装されている場合、(d)同じセキュリティゾーンに属するとしてセキュリティポリシーにより決定されている場合、(e)物理的に同じサイトに位置する場合に、前記第1の無線アクセスノードと前記第2の無線アクセスノードは、同じセキュリティゾーンの一部である。
25.通信ネットワークにおいて使用するためのノードであって、前記ノードは、
前記通信ネットワークにおける第1の無線アクセスノードから、前記通信ネットワークにおける第2の無線アクセスノードに関する情報に対する要求を受信し、前記情報は、通信装置と前記第1の無線アクセスノードの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、前記通信装置と前記第2の無線アクセスノードの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかに関連し、
前記第2の無線アクセスノードについての情報を送信し、前記情報は、前記第1のベースキーは前記第2の無線アクセスノードにより使用することができるかを示す。
26.コンピュータ読み取り可能なコードが内蔵されたコンピュータ読み取り可能な媒体を含むコンピュータプログラム製品であって、前記コンピュータ読み取り可能なコードは、適切なコンピュータまたはプロセッサによる実行を受けて、前記コンピュータまたはプロセッサが、ステートメント1−11、13−17、19、または、21−24のいずれかの方法を実行するように構成される。

Claims (24)

  1. 通信ネットワークにおいて第1の無線アクセスノードを動作させる方法であって、
    通信装置と前記第1の無線アクセスノードの間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のベースキーを、前記通信装置と第2の無線アクセスノードの間の通信を暗号化するための第2の暗号化キーを決定するために前記第2の無線アクセスノードが使用することができるかを決定すること(601)と、
    前記第1のベースキーを前記第2の無線アクセスノードが使用することができる場合、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置のハンドオーバの間に、前記第1のベースキーを、前記第2の無線アクセスノードに送信すること(603)と、
    前記第1のベースキーを前記第2の無線アクセスノードが使用することができない場合、前記第1のベースキーから第2のベースキーを決定し(605)、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置のハンドオーバの間に、前記第2のベースキーを前記第2の無線アクセスノードへ送信すること(607)、を含む、方法。
  2. 記第1のベースキーを前記第2の無線アクセスノードが使用することができる場合、前記第1のベースキーを前記通信装置と前記第2の無線アクセスノードの間の通信を暗号化するための第2の暗号化キーを決定するために使用されることの指標を、前記通信装置に送信することを更に含む、請求項1に記載の方法。
  3. 前記第1のベースキーを前記第2の無線アクセスノードが使用することができないと決定された場合、
    前記通信装置に、前記第2の無線アクセスノードとの使用のために、前記第1のベースキーから第2のベースキーを決定させるための指標を前記通信装置に送信することを更に含む、請求項1または2に記載の方法。
  4. 前記第1のベースキーを第2の無線アクセスノードが使用することができるかを決定することは、前記第1の無線アクセスノードと前記第2の無線アクセスノードが同じセキュリティゾーンの一部である場合に、前記第1のベースキーを前記第2の無線アクセスノードが使用することができることを決定すること(601)を含む、請求項1から3のいずれか1項に記載の方法。
  5. 前記第1の無線アクセスノードと前記第2の無線アクセスノードが、(a)同じハードウェア上の個別の仮想マシーンとして動作している場合、(b)同じ仮想マシーン内の2つのコンテナである場合、(c)同じ物理的ラックにおけるボードに実装されている場合、(d)同じセキュリティゾーンに属するとしてセキュリティポリシーにより決定されている場合、(e)物理的に同じサイトに位置する場合に、前記第1の無線アクセスノードと前記第2の無線アクセスノードは、同じセキュリティゾーンの一部である、請求項4に記載の方法。
  6. 前記第1のベースキーを前記第2の無線アクセスノードが使用することができるかを決定すること(601)は、
    前記第2の無線アクセスノードに関する情報に対する要求を、前記通信ネットワークにおける別のノードに送信することと、
    前記第2の無線アクセスノードに関する情報を、前記別のノードから受信することを含み、当該情報は、前記第1のベースキーを前記第2の無線アクセスノードが使用することができるかを示す、請求項1から5のいずれか1項に記載の方法。
  7. 前記第1のベースキーを前記第2の無線アクセスノードが使用することができるかを決定すること(601)は、
    前記第1の無線アクセスノードにおけるリストまたはローカルな設定を検査することを含む、請求項1から3のいずれか1項に記載の方法。
  8. 前記第1のベースキーをハンドオーバの間に前記第2の無線アクセスノードに送信すること(603)は、前記第1のベースキーから前記第1の暗号化キーを決定するために使用された暗号化キー生成アルゴリズムの指標を送信することを更に含む、請求項1から7のいずれか1項に記載の方法。
  9. 前記第1の無線アクセスノードと前記第2の無線アクセスノードは、パケットデータコンバージェンスプロトコル(PDCP)状態を共有する、請求項1から8のいずれか1項に記載の方法。
  10. 通信装置を動作させる方法であって、
    通信ネットワークにおける第1の無線アクセスノードから前記通信ネットワークにおける第2の無線アクセスノードへの前記通信装置のハンドオーバにおいて、前記通信装置と前記第1の無線アクセスノードとの間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかの指標を受信すること(701)と、
    前記受信した指標が、前記第1のベースキーを前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するために使用することができることを示す場合、前記第1のベースキーから、前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定すること(705)と、
    それ以外は、前記第1のベースキーから第2のベースキーを決定すること(707)と、
    前記第2のベースキーから、前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定すること(709)を含む、方法。
  11. 前記指標は、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置の前記ハンドオーバに関連するメッセージにおいて受信される、請求項10に記載の方法。
  12. 前記指標は、前記第1の無線アクセスノードまたは前記第2の無線アクセスノードから受信される、請求項10または11に記載の方法。
  13. 通信ネットワーク(32)において使用するための第1の無線アクセスノード(40)であって、
    通信装置(42)と前記第1の無線アクセスノードの間の通信を暗号化するための第1の暗号化キーを決定するために使用される第1のベースキーを、前記通信装置と第2の無線アクセスノード(40)の間の通信を暗号化するための第2の暗号化キーを決定するために前記第2の無線アクセスノードが使用することができるかを決定し、
    前記第1のベースキーを前記第2の無線アクセスノードが使用することができる場合、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置のハンドオーバの間に、前記第1のベースキーを前記第2の無線アクセスノードに送信し、
    前記第1のベースキーを前記第2の無線アクセスノードが使用することができない場合、前記第1のベースキーから第2のベースキーを決定し、前記第1の無線アクセスノードから前記第2の無線アクセスノードへの前記通信装置のハンドオーバの間に、前記第2のベースキーを前記第2の無線アクセスノードへ送信するように構成される、第1の無線アクセスノード(40)。
  14. 前記第1のベースキーを前記第2の無線アクセスノードが使用することができる場合、前記通信装置と前記第2の無線アクセスノード(40)との間の通信を暗号化するための第2の暗号化キーを決定するために前記第1のベースキーが使用されることの指標を前記通信装置に送信するように更に構成される、請求項13に記載の第1の無線アクセスノード(40)。
  15. 前記第1のベースキーを前記第2の無線アクセスノード(40)が使用することができないと決定された場合、前記通信装置(42)に、前記第2の無線アクセスノードとの使用のために、前記第1のベースキーから第2のベースキーを決定させるための指標を前記通信装置に送信するように更に構成される、請求項13または14に記載の第1の無線アクセスノード(40)。
  16. 前記第1の無線アクセスノードと前記第2の無線アクセスノードが同じセキュリティゾーンの一部である場合、前記第1のベースキーを前記第2の無線アクセスノードが使用することができることを決定することにより、前記第1のベースキーを第2の無線アクセスノードが使用することができるかを決定するように構成される、請求項13から15のいずれか1項に記載の第1の無線アクセスノード(40)
  17. 前記第1の無線アクセスノードと前記第2の無線アクセスノードが、(a)同じハードウェア上の個別の仮想マシーンとして動作している場合、(b)同じ仮想マシーン内の2つのコンテナである場合、(c)同じ物理的ラックにおけるボードに実装されている場合、(d)同じセキュリティゾーンに属するとしてセキュリティポリシーにより決定されている場合、(e)物理的に同じサイトに位置する場合に、前記第1の無線アクセスノードと前記第2の無線アクセスノードは、同じセキュリティゾーンの一部である、請求項16に記載の第1の無線アクセスノード(40)。
  18. 前記第2の無線アクセスノードに関する情報に対する要求を、前記通信ネットワークにおける別のノードに送信し、
    前記第2の無線アクセスノードについての情報を、前記別のノードから受信することであって、当該情報は、前記第1のベースキーを前記第2の無線アクセスノードが使用することができるかを示す、
    ことにより、前記第1のベースキーを前記第2の無線アクセスノードが使用することができるかを決定するように構成される、請求項13から15のいずれか1項に記載の第1の無線アクセスノード(40)。
  19. 前記第1の無線アクセスノードにおけるリストまたはローカルな設定を検査することにより、前記第1のベースキーを前記第2の無線アクセスノードが使用できるかを決定するように構成される、請求項13から15のいずれか1項に記載の第1の無線アクセスノード(40)。
  20. 第1のベースキーから第1の暗号化キーを決定するために使用された暗号化キー生成アルゴリズムの指標を送信するように更に構成される、請求項13から19のいずれか1項に記載の第1の無線アクセスノード(40)。
  21. 前記第1の無線アクセスノードと前記第2の無線アクセスノードは、パケットデータコンバージェンスプロトコル(PDCP)状態を共有する、請求項13から20のいずれか1項に記載の第1の無線アクセスノード(40)。
  22. 通信装置(42)であって、
    前記通信装置と通信ネットワーク(32)における第1の無線アクセスノード(40)との間の通信を暗号化するための第1の暗号化キーを決定するために使用された第1のベースキーを、前記第1の無線アクセスノードから第2の無線アクセスノードへのハンドオーバにおいて、前記通信装置と前記通信ネットワークにおける前記第2の無線アクセスノード(40)との間の通信を暗号化するための第2の暗号化キーを決定するために使用することができるかの指標を受信し、
    前記受信した指標が、前記第1のベースキーを第2の暗号化キーを決定するために使用することができることを示す場合、前記第1のベースキーから第2の暗号化キーを決定し、
    前記受信した指標が、前記第1のベースキーを第2の暗号化キーを決定するために使用することができることを示さない場合、前記第1のベースキーから第2のベースキーを決定し、
    前記第2のベースキーから、前記通信装置と前記第2の無線アクセスノードとの間の通信を暗号化するための第2の暗号化キーを決定するように構成された、通信装置(42)
  23. 前記指標は、前記第1の無線アクセスノード(40)から前記第2の無線アクセスノード(40)への前記通信装置の前記ハンドオーバに関連するメッセージにおいて受信される、請求項22に記載の通信装置(42)。
  24. 前記指標は、前記第1の無線アクセスノード(40)または前記第2の無線アクセスノード(40)から受信される、請求項22または23に記載の通信装置(42)。
JP2018517763A 2015-10-08 2016-09-20 通信ネットワークにおいて使用するためのノード、および、それを動作させるための方法 Active JP6633745B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562238966P 2015-10-08 2015-10-08
US62/238,966 2015-10-08
PCT/SE2016/050879 WO2017061924A1 (en) 2015-10-08 2016-09-20 Nodes for use in a communication network and methods of operating the same

Publications (2)

Publication Number Publication Date
JP2018536333A JP2018536333A (ja) 2018-12-06
JP6633745B2 true JP6633745B2 (ja) 2020-01-22

Family

ID=57018165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018517763A Active JP6633745B2 (ja) 2015-10-08 2016-09-20 通信ネットワークにおいて使用するためのノード、および、それを動作させるための方法

Country Status (12)

Country Link
US (2) US11012897B2 (ja)
EP (2) EP3641367B1 (ja)
JP (1) JP6633745B2 (ja)
KR (1) KR102048225B1 (ja)
CN (1) CN108370508B (ja)
BR (1) BR112018007080A2 (ja)
DK (2) DK3641367T3 (ja)
ES (2) ES2753824T3 (ja)
NZ (1) NZ741170A (ja)
PL (2) PL3360359T3 (ja)
PT (2) PT3360359T (ja)
WO (1) WO2017061924A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017162309A1 (en) * 2016-03-22 2017-09-28 Telefonaktiebolaget Lm Ericsson (Publ) Methods and network nodes for multi-connectivity handling in a communication system
EP3263832A1 (en) * 2016-06-30 2018-01-03 Openfield Method and device for depth positioning downhole tool and associated measurement log of a hydrocarbon well
KR102502279B1 (ko) * 2016-07-08 2023-02-21 삼성전자 주식회사 무선 통신 시스템에 있어서 핸드오버를 수행하는 방법 및 장치
WO2018237373A1 (en) 2017-06-23 2018-12-27 Motorola Mobility Llc METHOD AND APPARATUS FOR REFRESHING THE SECURITY KEYS OF A SUBASSEMBLY OF CONFIGURED RADIO MEDIA
CN110771191B (zh) * 2017-06-23 2023-07-04 摩托罗拉移动有限责任公司 用于实现承载特定改变的方法和装置
CN109309919B (zh) 2017-07-27 2021-07-20 华为技术有限公司 一种通信方法及设备
EP3648492B1 (en) 2017-07-27 2021-10-06 Huawei Technologies Co., Ltd. Cell switching method and device
CN109309918B (zh) * 2017-07-27 2021-06-08 华为技术有限公司 通信方法、基站和终端设备
WO2020029165A1 (en) 2018-08-09 2020-02-13 Zte Corporation Security key generation techniques
US11882613B2 (en) * 2019-01-21 2024-01-23 Sony Group Corporation Terminal device, infrastructure equipment and methods

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6418130B1 (en) * 1999-01-08 2002-07-09 Telefonaktiebolaget L M Ericsson (Publ) Reuse of security associations for improving hand-over performance
US8320561B2 (en) * 2007-08-08 2012-11-27 Qualcomm Incorporated Key identifier in packet data convergence protocol header
EP2034661A1 (en) * 2007-09-07 2009-03-11 Deutsche Telekom AG Method and system for distributed, localized authentication in the framework of 802.11
US9167505B2 (en) * 2007-10-08 2015-10-20 Qualcomm Incorporated Access management for wireless communication
US8179860B2 (en) * 2008-02-15 2012-05-15 Alcatel Lucent Systems and method for performing handovers, or key management while performing handovers in a wireless communication system
KR20090126166A (ko) * 2008-06-03 2009-12-08 엘지전자 주식회사 트래픽 암호화 키 생성 방법 및 갱신 방법
CN101621374A (zh) * 2008-06-30 2010-01-06 华为技术有限公司 一种网络认证的方法、装置、系统及服务器
JPWO2010116621A1 (ja) * 2009-03-30 2012-10-18 パナソニック株式会社 無線通信装置
CN101702802B (zh) * 2009-11-03 2012-10-17 中兴通讯股份有限公司 移动终端越区切换的方法
US9794836B2 (en) * 2012-12-24 2017-10-17 Nokia Technologies Oy Methods and apparatus for differencitating security configurations in a radio local area network
KR102078866B1 (ko) 2013-08-09 2020-02-19 삼성전자주식회사 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안
EP2922326B1 (en) * 2014-03-21 2018-12-19 Sun Patent Trust Security key derivation in dual connectivity
EP3304974B1 (en) * 2015-05-29 2022-03-23 Apple Inc. Seamless mobility for 5g and lte systems and devices
US10728756B2 (en) * 2016-09-23 2020-07-28 Qualcomm Incorporated Access stratum security for efficient packet processing
US20180368049A1 (en) * 2017-06-20 2018-12-20 Qualcomm Incorporated Method and apparatus for gathering network neighborhood information and generating a reduced neighbor report

Also Published As

Publication number Publication date
WO2017061924A1 (en) 2017-04-13
JP2018536333A (ja) 2018-12-06
CN108370508B (zh) 2021-04-16
US20210084544A1 (en) 2021-03-18
DK3360359T3 (da) 2019-11-04
PT3641367T (pt) 2021-08-24
DK3641367T3 (da) 2021-09-13
US11758443B2 (en) 2023-09-12
EP3360359B1 (en) 2019-08-07
ES2753824T3 (es) 2020-04-14
ES2896057T3 (es) 2022-02-23
EP3360359A1 (en) 2018-08-15
EP3641367B1 (en) 2021-08-04
KR102048225B1 (ko) 2019-11-25
PL3360359T3 (pl) 2020-01-31
PT3360359T (pt) 2019-09-26
NZ741170A (en) 2019-12-20
KR20180063248A (ko) 2018-06-11
US20170272985A1 (en) 2017-09-21
BR112018007080A2 (pt) 2018-10-23
CN108370508A (zh) 2018-08-03
EP3641367A1 (en) 2020-04-22
PL3641367T3 (pl) 2022-01-10
US11012897B2 (en) 2021-05-18

Similar Documents

Publication Publication Date Title
JP6633745B2 (ja) 通信ネットワークにおいて使用するためのノード、および、それを動作させるための方法
US11523275B2 (en) Radio access nodes and terminal devices in a communication network
US11653199B2 (en) Multi-RAT access stratum security
EP2965554B1 (en) Method and system to enable secure communication for inter-enb transmission
KR102178000B1 (ko) 통신 네트워크에서 사용하기 위한 네트워크 노드, 통신 디바이스 및 이를 동작시키는 방법들
US20170359719A1 (en) Key generation method, device, and system
EP3360357B1 (en) A radio access node and a method of operating the same
EP4073996B1 (en) User equipment, network node and methods in a wireless communications network

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180525

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180525

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190318

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190618

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191212

R150 Certificate of patent or registration of utility model

Ref document number: 6633745

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250