JP6734936B2 - 通信セキュリティ処理方法及び装置並びにシステム - Google Patents

通信セキュリティ処理方法及び装置並びにシステム Download PDF

Info

Publication number
JP6734936B2
JP6734936B2 JP2018559809A JP2018559809A JP6734936B2 JP 6734936 B2 JP6734936 B2 JP 6734936B2 JP 2018559809 A JP2018559809 A JP 2018559809A JP 2018559809 A JP2018559809 A JP 2018559809A JP 6734936 B2 JP6734936 B2 JP 6734936B2
Authority
JP
Japan
Prior art keywords
terminal
node
ran node
target
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018559809A
Other languages
English (en)
Other versions
JP2019515598A (ja
Inventor
リン,ボ
イン,ジャンウェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2019515598A publication Critical patent/JP2019515598A/ja
Application granted granted Critical
Publication of JP6734936B2 publication Critical patent/JP6734936B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/04Reselecting a cell layer in multi-layered cells
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • H04W36/087Reselecting an access point between radio units of access points
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/34Reselection control
    • H04W36/38Reselection control by fixed network equipment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

この出願は、通信技術の分野に関し、特に通信セキュリティ処理方法及び装置並びにシステムに関する。
無線通信技術の発展により、無線ネットワークにますます多くのユーザが存在しており、人々は無線通信のセキュリティにより注目している。したがって、無線ネットワークは、情報伝送のセキュリティを改善するためのセキュリティ機構を提供する。現在のセキュリティ機構は、認証、非アクセス層(non-access stratum, NAS)セキュリティ及びアクセス層(access stratum, AS)セキュリティのような側面を主に含む。ASセキュリティの側面では、各ハンドオーバ中に、端末は、ASセキュリティ鍵を更新する必要がある。その結果、セル数が増加してセルカバレッジが減少すると、ASセキュリティ鍵の更新頻度が絶えず増加する。ASセキュリティ鍵のこの頻繁な更新は、大きなオーバーヘッドを生じる。
このことに鑑みて、この出願は、ASセキュリティ鍵の更新により引き起こされるオーバーヘッドを低減するための通信セキュリティ処理方法及び装置並びにシステムを提供する。
通信セキュリティ処理方法において、端末は、同じRANノードにおいて或いは同じRANノードグループ又はエリア内においてセルの間でハンドオーバされるとき、ASセキュリティ鍵を更新する必要はなく、異なるRANノードにおいて或いは異なるRANノードグループ又はエリア内においてセル又は周波数の間でハンドオーバされるときのみ、ASセキュリティ鍵を更新する。このように、ASセキュリティ通信により必要となるオーバーヘッドが低減される。
第1の態様によれば、ソースセルからターゲットセルにハンドオーバされるとき、端末は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定する動作と、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、ソースセル内で使用されるASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続ける動作を実行する。
このように、端末は、ASセキュリティ鍵を更新する必要はなく、それにより、鍵更新のオーバーヘッドを低減する。
端末は、複数の方法を使用することにより、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定してもよい。いくつかの方法が以下に列挙される。
端末は、ソースRANノードにより送信されたハンドオーバコマンドを受信する。ハンドオーバコマンドがNCCを含まないか、或いはハンドオーバコマンドに含まれるNCCが端末の現在のNCCと同じであるとき、端末は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置すると決定する。
他の例では、端末は、ソースRANノードにより送信されたシグナリングを受信する。シグナリングは、端末に対して、ソースセルからターゲットセルにハンドオーバされるように命令するために使用される。導出パラメータを受信しないとき、端末は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置すると決定する。
他の例では、端末は、ソースRANノードにより送信されたシグナリングを受信する。シグナリングは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを端末に通知するために使用されるか、或いはASルート鍵を導出すべきか否か又はASセキュリティ鍵を更新すべきか否かを端末に通知するために使用される。端末は、シグナリングに基づいて、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定する。
第2の態様によれば、端末がソースセルからターゲットセルにハンドオーバされ、ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置するとき、端末は、導出パラメータを取得する動作と、ソースASルート鍵及び導出パラメータに基づいて、ターゲットASルート鍵を導出する動作と、ターゲットASルート鍵に基づいて、ターゲットセル内で使用されるASセキュリティ鍵を計算する動作とを実行する。ソースASルート鍵は、ソースセル内で使用されるASルート鍵であり、ターゲットASルート鍵は、ターゲットセル内で使用されるASルート鍵であり、導出パラメータは、ASルート鍵を導出するために使用され、ターゲットセルが位置するRANノード又はRANノードグループ若しくはエリアに対応し、同じRANノードにおける或いは同じRANノードグループ又はエリア内におけるセルは、同じ導出パラメータを有する。
第3の態様によれば、通信セキュリティ処理装置が提供される。通信セキュリティ処理装置は、端末に位置し、第1の態様又は第2の態様による方法を実行するように構成される。装置は、第1の態様又は第2の態様による方法におけるステップを実行するためのユニットを有するか、或いはプロセッサ及びメモリを有する。メモリはプログラムを記憶し、プロセッサは、第1の態様又は第2の態様による方法を実行するために、メモリに記憶されたプログラムを呼び出す。
例えば、装置は、第1の態様による方法を実行するための決定ユニット及び使用ユニットを有する。決定ユニットは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定するように構成される。使用ユニットは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、ソースセル内で使用されるASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続けるように構成される。
例えば、装置は、取得ユニット、導出ユニット及び計算ユニットを有する。取得ユニットは、端末がソースセルからターゲットセルにハンドオーバされるとき、導出パラメータを取得するように構成される。導出パラメータは、ASルート鍵を導出するために使用され、導出パラメータは、ターゲットセルが位置するRANノード又はRANノードグループ若しくはエリアに対応する。同じRANノードにおける或いは同じRANノードグループ又はエリア内におけるセルは、同じ導出パラメータを有する。導出ユニットは、ソースASルート鍵及び導出パラメータに基づいて、ターゲットASルート鍵を導出するように構成される。ソースASルート鍵は、ソースセル内で端末により使用されるASルート鍵であり、ターゲットASルート鍵は、ターゲットセル内で端末により使用されるASルート鍵である。計算ユニットは、ターゲットASルート鍵に基づいて、ターゲットセル内で使用されるASセキュリティ鍵を計算するように構成される。ソースセル及びターゲットセルは、異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置する。装置は、計算ユニットにより計算されたASセキュリティ鍵を使用することにより、ターゲットRANノードと通信するように構成された使用ユニットを更に含んでもよい。
の態様によれば、通信セキュリティ処理方法が提供される。通信セキュリティ処理方法は、RANノードにより実行され、端末をソースセルからターゲットセルにハンドオーバすることを決定するステップと、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定するステップと、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、ソースASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続けるステップ、又はソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置するとき、導出パラメータを取得し、ソースASルート鍵及び導出パラメータに基づいて、ターゲットASルート鍵を導出し、ターゲットASルート鍵をターゲットRANノードに送信するステップとを含む。導出パラメータは、ターゲットセルが位置するRANノード又はRANノードグループ若しくはエリアに対応し、同じRANノードにおける或いは同じRANノードグループ又はエリア内におけるセルは、同じ導出パラメータを有する。
の態様によれば、通信セキュリティ処理装置が提供される。通信セキュリティ処理装置は、RANノードに位置し、第の態様による方法を実行するように構成される。装置は、第の態様による方法におけるステップを実行するためのユニットを有するか、或いはプロセッサ及びメモリを有する。メモリはプログラムを記憶し、プロセッサは、第の態様による方法を実行するために、メモリに記憶されたプログラムを呼び出す。
例えば、装置は、決定ユニット及び使用ユニットを含む。決定ユニットは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定するように構成される。使用ユニットは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、ソースASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続けるように構成される。
例えば、装置は、決定ユニット、取得ユニット、導出ユニット及び第1の送信ユニットを含む。決定ユニットは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定するように構成される。取得ユニットは、ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置するとき、導出パラメータを取得するように構成される。導出パラメータは、ターゲットセルが位置するターゲットRANノード又はRANノードグループ若しくはエリアに対応する。同じRANノードにおける或いは同じRANノードグループ又はエリア内におけるセルは、同じ導出パラメータを有する。導出ユニットは、ソースASルート鍵及び導出パラメータに基づいて、ターゲットASルート鍵を導出するように構成される。第1の送信ユニットは、ターゲットASルート鍵をターゲットRANノードに送信するように構成される。
前述の態様において、導出パラメータは、以下のパラメータ、すなわち、ターゲットセルが位置するRANノードの識別子、ターゲットセルが位置するRANノードグループの識別子、ターゲットセルが位置するRANノード又はRANノードグループに対応する設定値、ターゲットセルが位置するエリアの識別子、又は端末識別子を含んでもよい。端末識別子は、端末識別子を端末に割り当てるRANノードの範囲内に端末があることを識別するために使用される。端末識別子は、導出パラメータと別々に使用されてもよく、或いはターゲットASルート鍵を導出するために他の導出パラメータと共に導出パラメータとして使用されてもよい。さらに、同じRANノードグループ又はエリア内におけるRANノードは、同じ端末識別子を端末に割り当てる。このように、ASセキュリティ鍵を更新する範囲が更に拡大でき、ASセキュリティ鍵を更新するオーバーヘッドが更に低減できる。
前述の態様において、端末は、ソースセル又はターゲットセルが位置するRANノードから導出パラメータを取得してもよい。導出パラメータが、ソースセルが位置するRANノードから取得されるとき、前述のRANノードは、導出パラメータを端末に送信するように構成された第2の送信ユニットを更に含んでもよい。
例えば、導出パラメータが、ソースセルが位置するRANノードから取得されるとき、ソースセルが位置するRANノードにより送信されるハンドオーバコマンドは、導出パラメータを端末に送信するため、導出パラメータを搬送するために使用されてもよい。ハンドオーバプロセスにおいて、RANノードは、端末のハンドオーバをトリガーするために、ハンドオーバコマンドを端末に送信する。したがって、導出パラメータは、ここでのハンドオーバコマンドで搬送されてもよく、これは、既存のハンドオーバ手順と共存でき、新たなシグナリング交換手順が回避できる。
他の例では、導出パラメータが、ターゲットセルが位置するRANノードから取得されるとき、導出パラメータは、ターゲットセルによりブロードキャストされるシステムメッセージに追加されてもよく、或いはECGIは、導出パラメータを搬送するように拡張される。さらに、代替として、導出パラメータは、端末がターゲットセルが位置するRANノードとASセキュリティアルゴリズム交渉を実行するとき、ASセキュリティモードコマンドを使用することにより、端末に送信されてもよい。
前述の態様において、端末は、ネットワーク側のものと同じ導出パラメータポリシーを設定し、例えば、導出パラメータの同じ初期値及び同じ更新ポリシーを設定してもよい。この場合、端末及びRANノードは、導出パラメータの同じ初期値及び同じ更新ポリシーを設定し、端末は、導出パラメータを取得するために更新ポリシーを使用することにより、導出パラメータを更新する。同様に、RANノードもまた、導出パラメータを取得するために更新ポリシーを使用することにより、導出パラメータを更新する。
RANノードは、ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置すると決定したとき、導出パラメータを更新してもよい。この場合、RANノードは、端末に対して、導出パラメータを更新するように命令するために、通知メッセージを端末に送信してもよい。端末は、通知メッセージに基づいて、導出パラメータを更新してもよい。さらに、端末は、ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置すると決定したとき、導出パラメータを更新してもよい。
前述の態様は、第1のネットワークに適用されてもよい。第1のネットワークのRANは、CUノード及びDUノードを含み、CUノードは、少なくとも1つのDUノードに接続され、導出パラメータは、ターゲットセルが位置するCUノード又はCUノードグループに対応し、同じCUノードにおける或いは同じCUノードグループ内におけるセルは、同じ導出パラメータを有する。例えば、導出パラメータは、CUノードの識別子、CUノードグループの識別子、CUノードに対応する設定値、又はCUノードグループに対応する設定値を含む。
前述のCUノードは、制御プレーンCUエンティティ及びユーザプレーンCUエンティティを含んでもよく、導出パラメータは、第1のパラメータ及び/又は第2のパラメータを含む。第1のパラメータは、ターゲットセルが位置する制御プレーンCUエンティティ又は制御プレーンCUエンティティグループに対応し、同じ制御プレーンCUエンティティにおける或いは同じ制御プレーンCUエンティティグループ内におけるセルは、同じ導出パラメータを有する。第2のパラメータは、ターゲットセルが位置するユーザプレーンCUエンティティ又はユーザプレーンCUエンティティグループに対応し、同じユーザプレーンCUエンティティにおける或いは同じユーザプレーンCUエンティティグループ内におけるセルは、同じ導出パラメータを有する。例えば、第1のパラメータは、制御プレーンCUエンティティの識別子、制御プレーンCUエンティティグループの識別子、制御プレーンCUエンティティに対応する設定値、又は制御プレーンCUエンティティグループに対応する設定値を含む。第2のパラメータは、ユーザプレーンCUエンティティの識別子、ユーザプレーンCUエンティティグループの識別子、ユーザプレーンCUエンティティに対応する設定値、又はユーザプレーンCUエンティティグループに対応する設定値を含む。
前述の態様において、端末は、同じRANノードにおいて或いは同じRANノードグループ又はエリア内においてセルの間でハンドオーバされるとき、ASセキュリティ鍵を更新する必要はなく、異なるRANノードにおいて或いは異なるRANノードグループ又はエリア内においてセル又は周波数の間でハンドオーバされるときのみ、ASセキュリティ鍵を更新することが習得され得る。このように、ASセキュリティ通信により必要となるオーバーヘッドが低減される。
この出願の実施例によるセキュリティ機構の概略図である。 この出願の実施例によるASセキュリティ鍵の生成プロセスの概略図である。 従来技術におけるASルート鍵の導出の概略図である。 この出願の実施例によるASルート鍵の導出の概略図である。 この出願の実施例によるASルート鍵の他の導出の概略図である。 この出願の実施例が適用される通信シナリオの概略図である。 この出願の実施例による通信セキュリティ処理方法の概略図である。 この出願の実施例による他の通信セキュリティ処理方法の概略図である。 この出願の実施例によるネットワークアーキテクチャの概略図である。 この出願の実施例による他のネットワークアーキテクチャの概略図である。 この出願の実施例によるASルート鍵の更に他の導出の概略図である。 この出願の実施例による更に他の通信セキュリティ処理方法の概略図である。 この出願の実施例による更に他の通信セキュリティ処理方法の概略図である。 この出願の実施例による更に他の通信セキュリティ処理方法の概略図である。 この出願の実施例によるASセキュリティアルゴリズム交渉方法の概略図である。 この出願の実施例による更に他の通信セキュリティ処理方法の概略図である。 この出願の実施例による通信セキュリティ処理装置の概略図である。 この出願の実施例による他の通信セキュリティ処理装置の概略図である。 この出願の実施例による更に他の通信セキュリティ処理装置の概略図である。 この出願の実施例による更に他の通信セキュリティ処理装置の概略図である。 この出願の実施例による更に他の通信セキュリティ処理装置の概略図である。 この出願の実施例による更に他の通信セキュリティ処理装置の概略図である。
以下に、添付図面を参照してこの出願の実施例における擬寿的解決策を明確に説明する。明らかに、説明する実施例は、この出願の実施例の全部ではなく、単なる一部に過ぎない。創造的取り組みなしにこの出願の実施例に基づいて当業者により取得される全ての他の実施例は、この出願の保護範囲内に入るものとする。
(1)端末は、ユーザ装置(User Equipment, UE)又は移動装置(mobile equipment, ME)とも呼ばれ、ユーザのために音声及び/又はデータ接続を提供するデバイスである。例えば、端末は、無線接続機能を有するハンドヘルドデバイス又は車載デバイスである。一般的な端末は、例えば、移動電話、タブレットコンピュータ、ノートブックコンピュータ、パームトップコンピュータ、モバイルインターネットデバイス(mobile internet device, MID)、及びスマートウォッチ、スマートバンド又は歩数計のようなウェアラブルデバイスを含む。
(2)無線アクセスネットワーク(Radio Access Network, RAN)は、ネットワーク内にあり且つ端末を無線ネットワークに接続する部分である。RANノードは、RAN側のデバイスであり、進化型ノードB(evolved NodeB, eNB)、無線ネットワークコントローラ(radio network controller, RNC)、ノードB(NodeB, NB)、基地局コントローラ(Base Station Controller, BSC)、基地送受信局(Base Transceiver Station, BTS)、ホーム基地局(例えば、Home evolved NodeB又はHome NodeB, HNB)、ベースバンドユニット(BaseBand Unit, BBU)、WiFiアクセスポイント(Access Point, AP)等を含むが、これらに限定されない。さらに、この出願の実施例に記載されるネットワーク構造において、RANは、集中ユニット(centralized unit, CU)及び分散ユニット(distributed unit, DU)のようなノードを含んでもよい。この出願におけるネットワーク構造を有する実施例では、RANノードはCUノードである。
(3)ASルート鍵は、ASセキュリティアルゴリズムの入力として使用され、ASセキュリティ鍵を計算するために使用されるパラメータである。例えば、ASルート鍵は、KeNB又は略してNHと呼ばれる次ホップ(next hop, NH)鍵を含んでもよい。さらに、RANがCU及びDUのようなノードを含み且つこの出願の実施例に記載されるネットワーク構造において、ASルート鍵は、KCUを含んでもよい。端末ハンドオーバプロセスにおいて、ソースセル内で使用されるASルート鍵は、ソースASルート鍵と呼ばれてもよく、ターゲットセル内で使用されるASルート鍵は、ターゲットASルート鍵と呼ばれてもよい。
(4)導出パラメータは、ASルート鍵を導出(derive)するために使用されるパラメータである。
(5)RANノードの識別子は、対応するRANノードを識別するために使用される。RANノードグループの識別子は、対応するRANノードグループを識別するために使用され、RANノードグループは、少なくとも1つのRANノードを有する。エリアの識別子は、対応するエリアを識別するために使用される。
(6)「複数」は、2つ以上を示し、他の数も同様である。「及び/又は」という用語は、関連する物の間の対応付け関係を記述しており、3つの関係が存在し得ることを表す。例えば、A及び/又はBは、以下の3つの場合、すなわち、Aのみが存在する場合と、A及びBが存在する場合と、Bのみが存在する場合とを表してもよい。「/」という文字は、関連する物の間の「又は」の関係を示す。
図1を参照すると、図1は、この出願の実施例によるセキュリティ機構の概略図である。図1に示すように、セキュリティ機構は、主に以下のいくつかの側面を含む。
第1に、認証は、端末が無線ネットワークにアクセスするとき、端末とネットワークとの間の識別認証を実行するために使用される。プロセスは、アクセス認証とも呼ばれてもよく、双方向性であり、端末とコアネットワーク(core network, CN)デバイスとの間で実行される。端末とネットワークとの間で相互認証を完了することに加えて、認証プロセスは、ルート鍵KASMEを生成するために更に使用される。
第2に、NASセキュリティは、端末とネットワークとの間でNASセキュリティアルゴリズムを交渉し、NASセキュリティアルゴリズム及びルート鍵KASMEに基づいてNASセキュリティ鍵を生成するために使用される。NASセキュリティ鍵は、NAS暗号化鍵NAS_enc及びNASインテグリティ保護鍵NAS_intを含む。このように、端末とネットワークとの間で交換されるNASシグナリングは、NASセキュリティ鍵により保護できる。
NASセキュリティアルゴリズムの交渉は、端末とCNデバイスとの間で実行され、NASセキュリティ鍵は、交渉されたNASセキュリティアルゴリズム及びルート鍵KASMEに基づいて、端末及びCNデバイスにより生成される。
第3に、アクセス層(access stratum, AS)セキュリティは、端末とネットワークとの間でASセキュリティアルゴリズムを交渉し、ASセキュリティアルゴリズムに基づいてASセキュリティ鍵を生成するために使用される。ASセキュリティ鍵は、シグナリングプレーン暗号化鍵Krrcenc、シグナリングプレーンインテグリティ保護鍵Krrcint及びユーザプレーン暗号化鍵Kupencを含む。ユーザプレーンデータは暗号化のみされてもよく、ユーザプレーンデータに対してインテグリティ保護は実行されない。いくつかのシナリオでは、例えば、中継(relay)シナリオ又はセルラのモノのインターネット(CIoT)のようなシナリオでは、インテグリティ保護は、ユーザプレーンデータに対して実行されてもよい。この場合、ASセキュリティ鍵は、ユーザプレーンインテグリティ保護鍵Kupintを更に含んでもよい。ASセキュリティ保護は、ASセキュリティ鍵を使用することにより、端末とRANデバイスとの間で交換されるシグナリング及びユーザプレーンデータに対して実行できる。
ASセキュリティプロセスにおいて、ASセキュリティアルゴリズムを交渉した後に、端末及びRANデバイスは、ASセキュリティアルゴリズム及びASルート鍵を使用することにより、ASセキュリティ鍵を計算する。以下に図2及び図3を参照して、ASセキュリティ鍵の生成プロセスについて、ロングタームエボリューション(Long Term Evolution, LTE)システムを例として使用することにより説明する。RANデバイスはeNBであり、CNデバイスはモビリティマネジメントエンティティ(mobility management entity, MME)である。図2は、ASセキュリティ鍵の生成プロセスの概略図であり、図3は、従来技術におけるASルート鍵の導出の概略図である。
端末及びeNBは、互いのセキュリティ能力に基づいてASセキュリティアルゴリズムを交渉する。例えば、図2に示すように、端末及びeNBは、進化型パケットシステムインテグリティアルゴリズム(evolved packet system integrity algorithm, EIA)及び進化型パケットシステム暗号化アルゴリズム(evolved packet system encryption algorithm, EEA)を取得するために、端末セキュリティ能力(UE SEC CAPA)及びeNBセキュリティ能力(eNB SEC CAPA)に基づいて交渉を実行し、次に、交渉されたアルゴリズム及びASルート鍵に基づいてASセキュリティ鍵を計算する。図2に示すように、ASセキュリティ鍵は、シグナリングプレーン暗号化鍵Krrcenc、シグナリングプレーンインテグリティ保護鍵Krrcint及びユーザプレーン暗号化鍵Kupencを含む。いくつかのシナリオでは、ASセキュリティ鍵は、ユーザプレーンインテグリティ保護鍵Kupintを更に含んでもよい。ASルート鍵は、KeNBでもよく、或いはNHでもよい。図3を参照すると、端末が最初にネットワークにアクセスするか、或いは状態が転換するとき、例えば、端末が最初にネットワークにアタッチ(attach)されるか、或いはアイドル(idle)状態から接続(connected)状態に転換するとき、ASルート鍵KeNBは、ルート鍵KASME及びNAS上りリンクカウント(NAS uplink count)に基づいてMME及び端末により生成され、MMEは、生成されたASルート鍵KeNBをeNBに送信し、それにより、eNBは、ASセキュリティ鍵を計算する。後に生成されるKeNBと区別するために、ASルート鍵KeNBは初期ASルート鍵(略して初期KeNB)と呼ばれる。端末がソースセルからターゲットセルにハンドオーバされるとき、新たなASセキュリティ鍵を生成するために、新たなASルート鍵KeNB(図3においてKeNB*により表される)が導出される必要がある。図3に示すように、現在、2つの導出方法が存在する。
水平導出(横方向導出とも呼ばれる):ターゲットセル内で端末により使用されるKeNBは、ソースセル内で端末により使用されるKeNB、ターゲットセルの物理セル識別子(physical cell identifier, PCI)及びターゲットセルの進化型ユニバーサル地上無線アクセス絶対無線周波数チャネル番号−下りリンク(evolved universal terrestrial radio access, E-UTRA, absolute radio frequency channel number-downlink, EARFCN-DL)に基づいて生成される。
垂直導出(縦方向導出とも呼ばれる):ターゲットセル内で端末により使用されるKeNBは、ソースeNBに記憶されたNH、ターゲットセルのPCI及びターゲットセルのEARFCN-DLに基づいて生成される。KeNBは、ASセキュリティ鍵を計算するために使用され、NHはKeNBに関連する。したがって、NHはまた、ASセキュリティ鍵を計算するためのルート鍵として理解され得る。KeNB及びNHの双方が更に導出されてもよい。KeNBは水平導出に使用され、NHは垂直導出に使用される。各NHは、次ホップチェイニングカウント(next hop chaining count, NCC)に対応する。初期KeNBは、KASMEを使用することにより直接導出される。初期KeNBは、NCC値が0である仮想NHに関連する。第1のNHは、KASME及び初期KeNBを使用することにより導出され、NHの値に対応するNCC値は1である。その後、次のNHが現在のNHに基づいて導出される毎に、NCCが1だけ増加する。
現在、ハンドオーバプロセスにおいて、端末は、PCI及びEARFCN-DLのようなパラメータを使用することにより、ASルート鍵を導出する必要がある。したがって、ASセキュリティ鍵は、ハンドオーバ毎に更新される必要がある。その結果、セル数が増加してセルカバレッジが減少すると、ASセキュリティ鍵の更新頻度が絶えず増加する。ASセキュリティ鍵のこの頻繁な更新は、大きなオーバーヘッドを生じる。
この問題を考慮して、この出願は、鍵導出機構を提供する。鍵導出機構では、PCI及びEARFCN-DLは、もはやASルート鍵の導出パラメータとして使用されず、図4に示すように、eNB識別子(eNB ID)がASルート鍵を導出するための導出パラメータとして使用される。さらに、eNB IDに対応するeNBによりサービス提供される全てのセルは、同じ導出パラメータ、言い換えると、eNB IDを有する。すなわち、端末がeNBによりサービス提供されるセルの間でハンドオーバされるとき、ASセキュリティ鍵が更新される場合、ASルート鍵は、同じ導出パラメータを使用することにより導出され、導出されたASルート鍵は同じである。したがって、ASセキュリティ鍵は更新される必要はなく、それにより、鍵更新のオーバーヘッドを低減する。
前述のeNBは、異なる無線ネットワークにおける異なるRANノードでもよく、導出パラメータは、RANノードの識別子でもよい。さらに、RANノードの識別子は、設定値で置換されてもよく、すなわち、値はRANノード毎に設定される。例えば、設定値は乱数でもよい。さらに、ASルート鍵が設定値を使用することにより導出される場合、RANノードによりサービス提供される全てのセルは、ASルート鍵の導出パラメータとして設定値を使用し、端末は、RANノードによりサービス提供されるセルの間でハンドオーバされるとき、ASセキュリティ鍵を更新する必要はない。さらに、代替として、RANノードの識別子は、エリアの識別子で置換されてもよい。エリア内におけるセルは全て、ASルート鍵の導出パラメータとしてエリアの識別子を使用する。このように、端末は、エリア内におけるセルの間でハンドオーバされるとき、ASセキュリティ鍵を更新する必要はない。さらに、代替として、RANノードグループの識別子が設定されてもよく、グループ内におけるRANノードによりサービス提供されるセルは全て、ASルート鍵の導出パラメータとしてRANノードグループの識別子を使用する。このように、端末は、グループ内におけるセルの間でハンドオーバされるとき、ASセキュリティ鍵を更新する必要はない。
さらに、導出パラメータの同じ更新ポリシーが端末及びRANノードにおいて更に設定されてもよい。端末がRANノードによりサービス提供されるセルの間でハンドオーバされるとき、導出パラメータは更新されない。端末がRANノードの間でハンドオーバされるとき、導出パラメータは、更新ポリシーを使用することにより更新される。端末及びRANノードは、同じ更新ポリシーを使用することにより、導出パラメータを更新する。したがって、端末において更新された導出パラメータは、ターゲットセル内のものと同じであり、導出されたASルート鍵は同じであり、ASセキュリティ鍵は同じである。したがって、ターゲットセルと端末との間のAS通信は、ASセキュリティ鍵を使用することにより保護できる。
例えば、前述の更新ポリシーは、カウンタ(counter)を使用することにより実現されてもよい。カウンタは、端末及びRANノードにおいて共に設定される。端末及びRANノードは、それぞれのカウンタを維持し、カウンタの初期値を設定し、例えば、初期値を0又は1に設定する。明らかに、代替として、初期値は、他の任意の値に設定されてもよい。端末及びRANノードが初期接続を確立するとき、2つのカウンタは共に初期値を使用する。端末がRANノード内においてハンドオーバされるとき、RANノード及び端末は、カウンタの値を更新する必要はない。端末がRANノードの間でハンドオーバされるとき、RANノードは、ノード変更を端末に通知してもよい。それに従って、端末は、カウンタの値を更新し、RANノードもまた同じようにカウンタの値を更新する。例えば、RANノード及び端末は、同じ更新方式でカウンタの値を更新し、それにより、ネットワーク側及び端末は、同じASルート鍵を取得するために同じ導出パラメータを維持し、同じセキュリティ鍵を更に使用する。この実施例では、導出パラメータはカウンタの値であることが習得され得る。さらに、端末がRANノードの間でハンドオーバされるとき、RANノード及び端末は、同じ更新ポリシーを使用することにより、導出パラメータを更新する。この実施例では、同じRANノードによりサービス提供されるセルは、同じ導出パラメータを有することが習得され得る。
他の実現方式では、導出パラメータは、端末識別子(terminal ID、UE ID又はME IDとも呼ばれる)でもよい。端末識別子は、RANノードにより端末に割り当てられた識別情報であり、端末識別子の内容形式に限定されない。端末識別子は、端末がRANノードの範囲内にあることを識別するために使用される。端末によりアクセスされるRANノードが変化した場合、対応する端末識別子が変化する。したがって、端末識別子は、導出パラメータとして使用されてもよく、それにより、端末がRANノードによりサービス提供されるセルの間でハンドオーバされるとき、導出パラメータは不変のままであり、端末は、ソースセル内で使用されるASルート鍵を使用し続け、ASセキュリティ鍵は不変のままであり、それにより、鍵更新のオーバーヘッドを低減する。各RANノードは、端末識別子を端末に割り当て、RANノードにより割り当てられた端末識別子は異なってもよい。したがって、端末がソースRANノードからターゲットRANノードになるとき、端末識別子が変化する。導出パラメータは、ターゲットRANノードにより端末に割り当てられた端末識別子であり、すなわち、ターゲットセルが位置するRANノードに対応する。明らかに、RANノードグループ内におけるRANノードは、同じ端末識別子を端末に割り当てるように設定されてもよい。このように、端末は、RANノードグループ内におけるセルの間でハンドオーバされるとき、ASセキュリティ鍵を更新する必要はない。さらに、エリア内におけるRANノードは、同じ端末識別子を端末に割り当てるように設定されてもよい。このように、端末は、エリア内におけるセルの間でハンドオーバされるとき、ASセキュリティ鍵を更新する必要はない。さらに、導出パラメータ、端末識別子は別々に使用されてもよく、或いはASルート鍵を導出するための入力パラメータとして、前述の導出パラメータのうちいずれか1つと組み合わされてもよく、すなわち、ASルート鍵は少なくとも2つの入力パラメータを使用することにより導出される。例えば、図5を参照すると、この実施例では、eNB ID及びUE IDがASルート鍵の導出パラメータとして使用される。
前述の実施例では、RANノード、RANノードグループ又はエリアに対応する導出パラメータが設計され、同じRANノード、RANノードグループ又はエリアの範囲内の全てのセルは、ASルート鍵の同じ導出パラメータを有する。このように、端末が範囲内におけるセルの間でハンドオーバされるとき、ASルート鍵が再導出されるが、同じルート鍵が導出される。したがって、導出は必要なく、ASセキュリティ鍵は更新される必要はなく、それにより、ASセキュリティ鍵を更新するオーバーヘッドを低減する。
LTEシステムが例として以下で使用される。LTEシステムでは、RANノードはeNBであり、導出パラメータは、eNB、eNBグループ又はエリアに対応する。図6に示すように、LTEシステムは、eNB610及びMME620を含む。MME620とeNB610との間のインタフェースはS1インタフェースであり、eNB610の間のインタフェースはX2インタフェースである。さらに、各eNBは、複数のセル、例えば、セル1〜セル3を制御し、各セルはPCIを割り当てられる。従来技術では、PCI及びEARFCN-DLがASルート鍵の導出パラメータとして使用される。この実施例では、eNB IDが導出パラメータとして使用される。このように、端末630がeNBによりサービス提供されるセルの間でハンドオーバされるとき、例えば、セル1からセル3にハンドオーバされるとき、導出パラメータeNB IDが不変のままであるため、ASセキュリティ鍵は更新される必要はない。端末がeNB611からeNB612にハンドオーバされるとき、導出パラメータeNB IDが変化する。したがって、ターゲットASルート鍵は、eNB612のeNB IDに基づいて導出され、ターゲットセル内で使用されるASセキュリティ鍵は、ターゲットASルート鍵に基づいて計算される。
eNB IDは、対応するeNBを識別するために使用される。eNBによりサービス提供されるセルが導出パラメータとしてeNBのeNB IDを使用する場合、セルは同じ導出パラメータを有する。eNB毎に設定された値がeNBによりサービス提供される全てのセルの導出パラメータとして使用される場合、セルもまた、同じ導出パラメータを有することが確保できる。したがって、eNBに対応する設定値は、eNB IDと置換して導出パラメータとしての役目を果たすために使用されてもよい。さらに、複数のeNBによりサービス提供されるセルは、ASセキュリティ鍵を更新しない範囲を更に拡大するために、同じ導出パラメータを使用してもよい。この場合、eNBグループの識別子が導出パラメータとして使用されてもよい。さらに、エリア内におけるセルは同じ導出パラメータを使用してもよく、エリアの識別子は導出パラメータとして使用される。エリアの識別子は、例えば、トラッキングエリア(tracking area, TA)識別子である。
前述の導出パラメータは、CNデバイスによりRANノードに送信されてもよい。次に、RANノードは、同期のために、導出パラメータを端末に送信する。CNデバイスは、複数の方式で導出パラメータをRANノードに送信してもよい。以下に、例を使用することにより説明を提供し、この出願を限定することを意図するものではない。
例えば、端末がネットワークと接続を確立するとき、CNデバイスは、導出パラメータをRANノードに送信する。例えば、LTEシステムを例として使用すると、初期コンテキスト設定プロセスにおいて、MMEは、初期コンテキスト設定要求(initial context setup request)メッセージを使用することにより、導出パラメータをeNBに送信する。他の例では、インタフェースがRANノードとCNデバイスとの間で設定されるとき、CNデバイスは導出パラメータをRANノードに送信する。例えば、LTEシステムでは、S1設定プロセスにおいて、MMEは、S1設定応答(S1 setup response)メッセージを使用することにより、導出パラメータをeNBに送信する。
以下に、eNB IDを例として使用することにより説明を提供し、他の導出パラメータもeNB IDと同様であり、詳細はここでは説明しない。
図7を参照すると、図7は、この出願の実施例による通信セキュリティ処理方法の概略図である。方法は、端末がソースセルからターゲットセルにハンドオーバされるときのASセキュリティの処理に適用される。この実施例はまた、eNB IDが導出パラメータとして使用される例を使用することにより、LTEシステムの背景において説明する。他の導出パラメータもeNB IDと同様であり、詳細はここでは説明しない。図7に示すように、ソースセル及びターゲットセルは異なるeNB、言い換えると、ソースeNB及びターゲットeNBに位置する。方法は以下のステップを含む。
S710:ソースeNBは、端末をターゲットeNBにハンドオーバすることを決定し、ターゲットeNBのeNB IDを取得する。
例えば、ソースeNBは、端末により報告された測定レポートに基づいてターゲットセルを決定し、ターゲットeNBのeNB IDを更に決定してもよい。各eNB IDは、MMEにより割り当てられ、対応するeNBに送信されてもよい。次に、eNBは、互いのeNB IDを取得するために、互いに相互作用する。これは、前述の実施例において記載されており、詳細はここでは再び説明しない。
X2インタフェースが設定されたとき、eNBは、eNBのeNB ID及びeNBのeNB IDに対応するセルリスト(cell list)を交換してもよい。このように、ソースeNBは、ターゲットセルのセル識別子(cell ID)に基づいて、ターゲットeNBのeNB IDを取得し、ターゲットeNBのeNB IDを使用することにより、ターゲットASルート鍵を導出してもよい。X2インタフェースがソースeNBとターゲットeNBとの間で設定されていないとき、ターゲットeNBのeNB IDはまた、S1インタフェースを使用することにより取得されてもよい。
S720:ソースeNBは、ソースeNBに記憶されたNH又はソースKeNB(すなわち、ソースセル内で使用されるASルート鍵)及びターゲットeNBのeNB IDに基づいて、ターゲットKeNB(すなわち、ターゲットセル内で使用されるASルート鍵)を導出する。
S730:ソースeNBは、導出したターゲットKeNBをターゲットeNBに送信し、それにより、ターゲットeNBはASセキュリティ鍵を計算する。
S740:ソースeNBにより送信されたターゲットKeNBを受信した後に、ターゲットeNBは、ターゲットKeNBを使用することにより、ASセキュリティ鍵を計算する。
この場合、端末はまた、ASセキュリティ鍵を更新する必要がある。端末が同じ導出パラメータを使用することによりASルート鍵を導出することを可能にするために、ソースeNB又はターゲットeNBは、導出パラメータ、ターゲットeNBのeNB IDを端末に送信する。例えば、以下のステップS750又はS760が実行される。
S750:ソースeNBは、ターゲットeNBのeNB IDを端末に送信する。
例えば、ソースeNBは、ターゲットeNBのeNB IDを端末に送信されるハンドオーバコマンドに追加してもよい。
S760:ターゲットeNBは、ターゲットeNBのeNB IDを端末に送信する。
例えば、ターゲットeNBは、ターゲットeNBのeNB IDを、端末にブロードキャストされるシステムメッセージに追加してもよく、或いはECGIを拡張してECGIを使用することによりターゲットeNBのeNB IDを送信してもよく、或いは端末とASセキュリティアルゴリズムを交渉するときにターゲットeNBのeNB IDを端末に送信してもよい。
S770:端末は、現在のNH又はソースKeNB及びターゲットeNBのeNB IDに基づいて、ターゲットKeNBを導出する。
S780:端末は、ターゲットKeNBに基づいて、ターゲットセル内で使用されるASセキュリティ鍵を計算する。
前述のステップのシーケンス番号S710〜S780は、ステップの順序を限定することを意図するものではない点に留意すべきである。例えば、ソースeNBは、最初にターゲットeNBのeNB IDを端末に送信し、次に、ターゲットKeNBを導出してもよい。代替として、ソースeNBは、ターゲットeNBのeNB IDを端末に送信し、同時にターゲットKeNBを導出してもよい。他の例では、ターゲットeNBは、最初にターゲットeNBのeNB IDを端末に送信し、次に、ASセキュリティ鍵を計算してもよい。
他の実現方式では、端末及びネットワーク側は、同じ導出パラメータポリシーを設定し、例えば、導出パラメータの同じ初期値及び同じ更新ポリシーを設定してもよい。導出パラメータの初期値及び更新ポリシーは、各RANノードにおいて、例えば、eNB内において設定されてもよい。端末がeNBによりサービス提供されるセルの間でハンドオーバされるとき、導出パラメータは更新されず、端末及びeNBは、ASセキュリティ鍵を更新する必要はない。端末がeNBの間でハンドオーバされるとき、eNBは、端末に対して、eNBが導出パラメータを更新したことを命令してもよい。具体的には、図8を参照すると、図8は、この出願の実施例による他の通信セキュリティ処理方法の概略図である。図8に示すように、方法は、端末がソースセルからターゲットセルにハンドオーバされるときのASセキュリティの処理に適用される。ソースセル及びターゲットセルは異なるeNB、言い換えると、ソースeNB及びターゲットeNBに位置する。端末のものと同じ導出パラメータがネットワーク側で設定される。例えば、導出パラメータの同じ初期値及び同じ更新ポリシーがソースeNB及び端末において設定される。方法は以下のステップを含む。
S810:ソースeNBは、端末をターゲットeNBにハンドオーバすることを決定し、更新ポリシーに従って導出パラメータを更新し、更新前の導出パラメータは、初期値を有する導出パラメータでもよく、或いは1回又は複数回更新された導出パラメータでもよい。
例えば、カウンタがソースeNBにおいて設定されてもよい。カウンタは、初期値Aを有し、カウンタの更新ステップはBである。端末がターゲットeNBにハンドオーバされる必要があるとき、ソースeNBは、更新ステップBに基づいてカウンタを更新し、更新されたカウントは、ターゲットKeNBを導出するための導出パラメータである。
S820:ソースeNBは、ソースeNBに記憶されたNH又はソースKeNB及び更新された導出パラメータに基づいて、ターゲットKeNBを導出する。
S830:ソースeNBは、導出したターゲットKeNBをターゲットeNBに送信し、それにより、ターゲットeNBはASセキュリティ鍵を計算する。
S840:ソースeNBにより送信されたターゲットKeNBを受信した後に、ターゲットeNBは、ターゲットKeNBを使用することにより、ASセキュリティ鍵を計算する。
この場合、端末はまた、ASセキュリティ鍵を更新する必要がある。端末が同じ導出パラメータを使用することによりASルート鍵を導出することを可能にするために、ソースeNBは、端末に対して、導出パラメータを更新するように命令するか、或いは端末は、eNB IDを使用することにより、eNBが変化したと決定し、導出パラメータを更新する。ソースeNBが端末に命令する例が、ここで説明のために使用される。
S850:ソースeNBは、端末に対して、導出パラメータを更新するように命令する。
命令方式は、いずれかの形式、例えば、端末に対して導出パラメータを更新するように命令するために指示情報を送信すること、又はターゲットeNBのeNB IDを送信することでもよい。この出願はこれに限定されない。
S860:端末は、命令に基づいて、導出パラメータを更新する。端末の更新ポリシーはネットワーク側のものと同じである。したがって、更新された導出パラメータも同じである。
例えば、カウンタがまた、端末において設定されてもよい。カウンタはまた、初期値Aを有し、カウンタの更新ステップはBである。端末がターゲットeNBにハンドオーバされる必要があるとき、端末は、更新ステップBに基づいてカウンタを更新し、更新されたカウントは、ターゲットKeNBを導出するための導出パラメータとして使用される。
S870:端末は、現在のNH又はソースKeNB及び更新された導出パラメータに基づいて、ターゲットKeNBを導出する。
S880:端末は、ターゲットKeNBに基づいて、ターゲットセル内で使用されるASセキュリティ鍵を計算する。
端末がeNB IDを使用することによりeNBが変化したと決定するとき、ソースeNBは、ソースeNBのeNB IDを端末に送信する。さらに、ハンドオーバ中に、ソースeNB又はターゲットeNBは、ターゲットeNBのeNB IDを端末に送信し、それにより、端末はeNBが変化したか否かを決定する。
同様に、前述のステップのシーケンス番号S810〜S880は、ステップの順序を限定することを意図するものではない。
この出願において提供される実施例では、導出パラメータはRANノード、RANノードグループ又はエリア毎に設定されることが習得され得る。同じRANノード、RANノードグループ又はエリアによりサービス提供されるセルは、同じ導出パラメータを有する。ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、端末は、ASセキュリティ鍵を更新する必要はない。このように、ASセキュリティ鍵を更新するオーバーヘッドが低減できる。方法はまた、図9及び図10に示す以下のネットワークに適用可能である。
図9を参照すると、図9は、この出願の実施例による他のネットワークアーキテクチャの概略図である。図9に示すように、ネットワークは、CN、RAN及び端末を含む。RANの構造は、前述のLTEネットワークアーキテクチャのものと異なり、集中ユニット(centralized unit, CU)及び分散ユニット(distributed unit, DU)を含む。構造は、LTEにおけるeNBのプロトコルレイヤを分割する。同じプロトコルレイヤにおける機能は、CUにおいて集中的に制御され、残りのプロトコルレイヤの一部又は全部における機能は、DUにおいて分散される。CUはDUを集中的に制御する。例えば、図9に示すように、PDCP及びPDCPより上のプロトコルレイヤは、集中実現方式のためにCUに配置され、RLC、MAC及びそれより下のプロトコルレイヤは、実現方式のためにDUに配置される。さらに、無線周波数部は遠隔に配置されてDUに配置されなくてもよく、或いはDUに統合されてもよい。これはここでは限定されない。
さらに、続けて図10を参照して、図9に示すアーキテクチャに対して、CUの制御プレーン及びユーザプレーンは、制御のために異なるエンティティに更に分離されてもよい。異なるエンティティは、それぞれ制御プレーンCUエンティティ、CU-CPエンティティ、ユーザプレーンCUエンティティ及びCU-UPエンティティである。ネットワークアーキテクチャにおいて、端末は、制御プレーンのみをターゲットセルにハンドオーバし、ソースセル内においてユーザプレーンを維持してもよい。代替として、端末は、ユーザプレーンをターゲットセルにハンドオーバし、ソースセル内において制御プレーンを維持してもよい。
図9に示すネットワークアーキテクチャにおいて、CU識別子(CU ID)は、CUノード毎に設定されてもよく、ターゲットASルート鍵は、CU IDを使用することにより導出される。図11に示すように、この実施例では、CU IDがASルート鍵の導出パラメータとして使用される。CU IDはCU毎に設定される。したがって、端末がCU範囲内においてハンドオーバされるとき、例えば、同じCU内の異なるDU内におけるセルにハンドオーバされるとき、CU IDを使用することにより導出されるASルート鍵は不変のままである。したがって、ASセキュリティ鍵は、更新される必要はない。このように、ASセキュリティ鍵を更新するオーバーヘッドが低減される。
さらに、複数のCUは、1つのCUグループに分類されてもよく、グループ識別子がCUグループ毎に設定される。グループ識別子は導出パラメータとして使用され、対応する端末がグループ内でハンドオーバされるとき、ASセキュリティ鍵は更新される必要はない。
前述のCU識別子及びCUグループ識別子は、パラメータがCU及びCUグループを一意に識別できるという条件で、他のパラメータと置換されてもよい。例えば、CNは、CU毎に値(例えば、乱数)を設定してもよく、CUは設定値を使用することにより識別される。同様に、値はまた、CUグループ毎に設定されてもよく、CUグループは設定値を使用することにより識別される。代替として、エリア識別子が定義されてもよい。
図10に示すネットワーク構造において、CU-CP及びCU-UPは、CUとして考えられてもよく、CU識別子、CUグループ識別子及びCU又はCUグループに対応する設定値、又はエリア識別子の前述の解決策はまた、当該ネットワーク構造に適用されてもよい。さらに、CU-CP識別子(CU-CP ID)は、CU-CP毎に設定されてもよく、CU-UP識別子(CU-UP ID)は、CU-UP毎に設定されてもよい。ターゲットASルート鍵は、CU-CP ID及び/又はCU-UP IDを使用することにより導出される。さらに、複数のCU-CPは、CU-CPグループに分類されてもよく、グループ識別子はCU-CPグループ毎に設定される。グループ識別子は、導出パラメータとして使用される。同様に、CU-CP識別子及びCU-CPグループ識別子は、パラメータがCU-CP及びCU-CPグループを一意に識別できるという条件で、他のパラメータと置換されてもよい。例えば、CNは、CU-CP毎に値(例えば、乱数)を設定してもよく、CU-CPは設定値を使用することにより識別される。同様に、値はまた、CU-CPグループ毎に設定されてもよく、CU-CPグループは設定値を使用することにより識別される。代替として、エリア識別子が定義されてもよい。CP-UPはCU-CPと同様であり、詳細はここでは再び説明しない。このように、端末が制御プレーンをターゲットセルにハンドオーバし、ソースセル内においてユーザプレーンを維持するとき、ターゲットASルート鍵、言い換えると、ターゲットKCU-CPは、CU-CPに対応する導出パラメータを使用することにより導出される。例えば、CU-CP識別子、CU-CPグループ識別子、又はCU-CP又はCU-CPグループに対応する設定値は、導出パラメータとして使用される。端末がユーザプレーンをターゲットセルにハンドオーバし、ソースセル内において制御プレーンを維持するとき、ターゲットASルート鍵、言い換えると、ターゲットKCU-UPは、CU-UPに対応する導出パラメータを使用することにより導出される。例えば、CU-UP識別子、CU-UPグループ識別子、又はCU-UP又はCU-UPグループに対応する設定値は、導出パラメータとして使用される。端末が制御プレーン及びユーザプレーンの双方をターゲットセルにハンドオーバするとき、ターゲットASルート鍵、言い換えると、ターゲットKCU-CP及びターゲットKCU-UPは、CU-CP及びCU-UPに対応する導出パラメータを使用することにより導出される。明らかに、この場合、CU-CP及びCU-UPは一体的に考えられてもよく、ターゲットASルート鍵KCUは、CU識別子、CUグループ識別子、CU又はCUグループに対応する設定値、又はエリア識別子を使用することにより導出される。
すなわち、前述の実施例における方法は、図9又は図10におけるネットワークアーキテクチャに適用されてもよい。この場合、前述の実施例におけるRANノードはCUノードである。対応して、導出パラメータは、CUノード、CUノードグループ又はエリアに対応し、同じCUノードにおける或いは同じCUノードグループ又はエリア内におけるセルは、同じ導出パラメータを有する。例えば、導出パラメータは、CU ID、CUノードグループの識別子又はエリアの識別子でもよい。図10に示すネットワークアーキテクチャでは、CUノードは、CU-UPエンティティでもよく、CU-CPエンティティでもよく、或いはCU-CP及びCU-UPを含むCUエンティティでもよい。
以下に、図9に示すネットワーク構造を例として使用することにより説明を提供する。
図12を参照すると、図12は、この出願の実施例による他の通信セキュリティ処理方法の概略図である。ステップS121〜S128は、図7におけるステップS710〜S780と同様であり、ステップの順序はシーケンス番号の順序に限定されない。この実施例及び図7に示す実施例は、異なるネットワークアーキテクチャに適用される。この実施例は、図9に示すネットワークアーキテクチャに適用される。図7に示す実施例に対して、ソースeNB及びターゲットeNBは、ソースCU及びターゲットCUに変更される。さらに、図7に示す実施例との相違点は、RANノードがCUノードであり、導出パラメータがCU IDであり、ASルート鍵がKCUである点である。明らかに、代替として、ASルート鍵はNHでもよい。各ステップの説明について、図7に示す実施例を参照し、詳細はここでは再び説明しない。この実施例が図10に示すネットワークアーキテクチャに適用されるとき、RANノードはCUノード、CU-UPエンティティ又はCU-CPエンティティでもよく、導出パラメータはCU ID、CU-UP ID又はCU-CP IDでもよい。
さらに、端末及びネットワーク側で同じ導出パラメータポリシーを設定することもまた、図9及び図10に示すネットワーク構造に適用可能である。例えば、導出パラメータの同じ初期値及び同じ更新ポリシーが端末及びネットワーク側のCUノードにおいて設定される。端末がCUノードにおけるセルの間でハンドオーバされるとき、導出パラメータは更新されず、端末及びCUノードは、ASセキュリティ鍵を更新する必要はない。端末がCUノードの間でハンドオーバされるとき、CUノードは、端末に対して、導出パラメータを更新するように命令してもよい。図13を参照すると、図13は、この出願の実施例による他の通信セキュリティ処理方法の概略図である。ステップS131〜S138は、図8におけるステップS810〜S880と同様であり、ステップの順序はシーケンス番号の順序に限定されない。この実施例及び図8に示す実施例は、異なるネットワークアーキテクチャに適用される。この実施例は、図9に示すネットワークアーキテクチャに適用される。図8に示す実施例に対して、ソースeNB及びターゲットeNBは、ソースCU及びターゲットCUに変更される。さらに、図8に示す実施例との相違点は、RANノードがCUノードであり、ASルート鍵がKCUである点である。明らかに、代替として、ASルート鍵はNHでもよい。各ステップの説明について、図8に示す実施例を参照し、詳細はここでは再び説明しない。この実施例が図10に示すネットワークアーキテクチャに適用されるとき、RANノードはCUノード、CU-UPエンティティ又はCU-CPエンティティでもよく、導出パラメータはCU ID、CU-UP ID又はCU-CP IDでもよい。
この出願の実施例において適用される通信セキュリティ処理方法では、同じRANノードにより或いは同じRANノードグループ又はエリア内においてサービス提供されるセルは、同じ導出パラメータを有する。ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、端末及びRANノードは、ASセキュリティ鍵を更新する必要はない。ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置するとき、端末及びRANノードは、ASセキュリティ鍵を更新する。このように、鍵更新のオーバーヘッドが低減できる。
図14を参照すると、図14は、この出願の実施例による通信セキュリティ処理方法の概略図である。通信セキュリティ処理方法は、ソースセルが位置するRANノード、言い換えると、ソースRANノードにより実行される。図14に示すように、方法は以下のステップを含む。
S141:ソースセルからターゲットセルにハンドオーバすることを決定する。
例えば、ソースRANノードは、端末により送信された測定レポートを受信し、測定レポートに基づいて、ターゲットセルのサービス品質がより良いと決定し、端末をソースセルからターゲットセルにハンドオーバすることを決定してもよい。代替として、端末は、測定を通じて、ターゲットセルのサービス品質がより良いと決定し、ソースセルからターゲットセルにハンドオーバされることを決定し、端末がソースセルからターゲットセルにハンドオーバされることを決定したことをソースRANノードに通知する。ソースRANノードは、端末からの通知に基づいて、端末をソースセルからターゲットセルにハンドオーバすることを決定する。
S142:ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定する。ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、ステップS143を実行し、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置しないとき、ステップS144を実行する。
S143:ソースセル内で使用されるASセキュリティ鍵を使用することにより、端末と通信する。
S144:ソースASルート鍵及び導出パラメータに基づいて、ターゲットASルート鍵を導出し、導出したターゲットASルート鍵をターゲットRANノードに送信する。
ソースeNBにより送信されたターゲットASルート鍵を受信した後に、ターゲットeNBは、ターゲットASルート鍵に基づいて、ASセキュリティ鍵を計算し、ASセキュリティ鍵を使用することにより、端末と通信する。
導出パラメータについて、前述の説明を参照し、詳細はここでは再び説明しない。
ソースセル及びターゲットセルが異なるRANノードに位置するとき、端末はまた、ASセキュリティ鍵を更新する必要がある。この場合、導出パラメータは、ソースRANノードにより端末に送信されてもよく、或いはターゲットRANノードにより端末に送信されてもよい。例えば、導出パラメータは、ハンドオーバコマンドを使用することにより、ソースRANノードにより端末に送信されるか、或いはシステムメッセージを使用することにより、ターゲットRANノードにより端末に送信される。代替として、ターゲットRANノードは、進化型ユニバーサル地上無線アクセス・セルグローバル識別子(E-UTRAN Cell Global Identifier, ECGI)を拡張し、導出パラメータをECGIに追加し、ECGIを使用することにより、導出パラメータを端末に送信する。代替として、導出パラメータは、端末とASセキュリティアルゴリズム交渉を実行するとき、ターゲットRANノードにより端末に送信される。
図15を参照すると、図15は、この出願の実施例によるASセキュリティアルゴリズム交渉方法の概略図である。ASセキュリティアルゴリズム交渉は、RANノードと端末との間で実行される。図15に示すように、ASセキュリティアルゴリズム交渉は以下のステップを含む。
S151:RANノードは、RRCインテグリティ保護を開始する(start RRC integrity protection)。
S152:RANノードは、ASセキュリティモードコマンド(AS security mode command)を端末に送信し、ASセキュリティモードコマンドは、インテグリティアルゴリズム(integrity algorithm)、暗号化アルゴリズム(ciphering algorithm)及びインテグリティのためのメッセージ認証コード(message authentication code for integrity, MAC-I)を搬送する。導出パラメータは、コマンドを使用することにより端末に送信されてもよく、すなわち、ASセキュリティモードコマンドは、導出パラメータを更に搬送する。例えば、RANノードはeNBであり、導出パラメータはeNB IDである。他の例では、RANノードはCUであり、導出パラメータはCU IDである。
S153:端末は、ASセキュリティモードコマンド(SMC)のインテグリティを検証し、検証が成功した場合、RRCインテグリティ保護及びRRC/UP下りリンク解読を開始する(Verify AS SMC integrity. If successful, start RRC integrity protection, RRC/UP downlink deciphering)。
S154:端末は、ASセキュリティモード完了(AS Security Mode Complete)メッセージをRANノードに送信する。ASセキュリティモード完了メッセージはMAC-Iを搬送する。
S155:端末は、RRC/UP上りリンク暗号化を開始する。
S156:RANノードは、RRC/UP上りリンク解読を開始する。
端末は、前述のASセキュリティアルゴリズム交渉プロセスを使用することにより、ターゲットRANノードから導出パラメータを取得し、ターゲットASルート鍵を導出できることが習得され得る。
導出パラメータを受信した後に、端末は、導出パラメータに基づいて、ターゲットASルート鍵を導出し、次に、ASセキュリティ鍵を計算してもよい。
さらに、ソースRANノードもターゲットRANノードも導出パラメータを端末に送信しないとき、端末は、ソースセル内で使用されるASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続けてもよい。さらに、端末は、他の方式で、ソースセル内で使用されるASルート鍵を使用し続けるべきか否かを決定してもよい。以下に、図16を参照して説明を提供する。
図16を参照すると、図16は、この出願の実施例による他の通信セキュリティ処理方法の概略図である。図16に示すように、方法は、端末がソースセルからターゲットセルにハンドオーバされるときのASセキュリティの処理に適用される。方法は端末により実行され、以下のステップを含む。
S161:ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定する。
ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、ステップS162を実行し、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置しないとき、ステップS163〜S165を実行する。
S162:ソースASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続ける。
S163:導出パラメータを取得する。
S164:ソースASルート鍵及び導出パラメータに基づいて、ターゲットASルート鍵を導出する。
S165:ターゲットASルート鍵に基づいて、ターゲットセル内で使用されるASセキュリティ鍵を計算する。
端末は前述のステップS161を実行しなくてもよい点に留意すべきである。例えば、端末は、ソースRANノードにより送信されたハンドオーバコマンドを受信し、ハンドオーバコマンドに基づいて、ソースセルからターゲットセルにハンドオーバされ、ターゲットセル内において、ソースセル内で使用されるASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続ける。この場合、端末は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内にあることを認識しない。
他の例では、導出パラメータを受信したとき、端末は、導出パラメータを直接使用することにより、ターゲットASルート鍵を導出することを検討してもよく、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定する必要はなく、すなわち、前述のステップS163〜S165を直接実行する。この場合、RANノードは、ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置すると決定した後に、導出パラメータを端末に送信する。ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かに拘わらず、RANノードが導出パラメータを端末に送信する場合、端末は、導出パラメータがソースセル内で端末により使用される導出パラメータと同じであるか否かを更に決定してもよい。導出パラメータがソースセル内で端末により使用される導出パラメータと異なるとき、前述のステップS163〜S165を実行する。導出パラメータがソースセル内で端末により使用される導出パラメータと同じであるとき、前述のステップS162を実行する。この場合、プロセスは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定するプロセスとして考えられてもよい。プロセスの目的は、ASセキュリティ鍵を更新すべきか否かを決定することであり、具体的に目的を達成するための方法に限定されない点に留意すべきである。いくつかの決定方法が以下に列挙される。
例えば、従来技術では、ソースRANノードは、端末の各ハンドオーバ中にASルート鍵を導出し、対応するNCCを更新し、ハンドオーバコマンドを使用することにより、更新されたNCCを端末に送信する必要があり、それにより、端末は、NCCに基づいてASルート鍵を導出し、ASセキュリティ鍵を更新する。この実施例において提供される方法では、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置すると決定したとき、ソースRANノードは、ASルート鍵を導出しないか、或いはNCCを更新しない。このように、ソースRANノードは、もはやNCCをハンドオーバコマンドに追加しなくてもよい。ハンドオーバコマンドを受信し、ハンドオーバコマンドがNCCを搬送しないことを検出したとき、端末は、ターゲットセル及びソースセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置すると決定し、ソースASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続ける。代替として、ソースRANノードは、更新されていないNCCをハンドオーバコマンドに追加する。ハンドオーバコマンドを受信し、ハンドオーバコマンドで搬送されたNCCが端末の現在のNCCと同じであることを検出したとき、端末は、ターゲットセル及びソースセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置すると決定し、ソースASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続ける。この場合、前述のステップS161は、端末により、ソースRANノードにより送信されたハンドオーバコマンドを受信し、ハンドオーバコマンドがNCCを含まないか、或いはハンドオーバコマンドに含まれるNCCが端末の現在のNCCと同じであるとき、端末により、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置すると決定し、そうでない場合、ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置すると決定することを含む。
他の例では、ソースRANノードは、シグナリングを端末に送信する。シグナリングは、端末に対して、セルハンドオーバを実行するように命令するために使用されるが、端末は導出パラメータを受信しない。したがって、端末は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置すると決定し、ソースASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続けてもよい。この場合、前述のステップS161は、端末により、ソースRANノードにより送信されたシグナリングを受信し、シグナリングは、端末に対して、ソースセルからターゲットセルにハンドオーバされるように命令するために使用され、導出パラメータを受信しないとき、端末により、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置すると決定することを含む。
他の例では、ソースRANノードは、シグナリングを端末に送信する。シグナリングは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを端末に通知するために使用されるか、或いはASルート鍵を導出すべきか否か又はASセキュリティ鍵を更新すべきか否かを端末に通知するために使用される。シグナリングの値が第1の値であるとき、端末はASルート鍵を導出し、シグナリングの値が第2の値であるとき、端末はASルート鍵を導出しない。この場合、前述のステップS161は、端末により、ソースRANノードにより送信されたシグナリングを受信し、シグナリングは、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを端末に通知するために使用されるか、或いはASルート鍵を導出すべきか否か又はASセキュリティ鍵を更新すべきか否かを端末に通知するために使用され、端末により、シグナリングに基づいて、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定することを含む。
ステップS163において、端末は、複数の方式で導出パラメータを取得してもよい。例えば、導出パラメータは、ソースRANノードから取得されてもよく、或いはターゲットRANノードから取得されてもよい。代替として、導出パラメータの初期値及び更新ポリシーはローカルに予め設定されてもよく、RANノードが変化したとき、導出パラメータは更新を通じて取得される。端末がソースRANノードから導出パラメータを取得したとき、導出パラメータは、ハンドオーバプロセスにおいてソースRANノードにより端末に送信されたハンドオーバコマンド(handover command)で搬送されてもよい。明らかに、代替として、導出パラメータは、ソースRANノードにより端末に送信された他のメッセージで搬送されてもよく、或いはソースRANノードにより端末に直接送信される。端末がターゲットRANノードから導出パラメータを取得するとき、導出パラメータは、ターゲットRANノードにより端末にブロードキャストされてもよく、例えば、システムメッセージを使用することにより端末にブロードキャストされてもよい。代替として、ECGIが拡張されてもよく、導出パラメータは、端末に送信されるべきECGIで搬送される。代替として、端末とASセキュリティアルゴリズムを交渉するとき、ターゲットRANノードは、ASセキュリティモードコマンドを使用することにより、導出パラメータを端末に送信する。明らかに、代替として、ターゲットRANノードは、他のメッセージを使用することにより、導出パラメータを端末に送信してもよく、或いはターゲットRANノードは、導出パラメータを端末に直接送信する。
さらに、ネットワーク側のものと同じ導出パラメータの初期値及び同じ更新ポリシーが端末において設定されてもよい。端末がソースセルからターゲットセルにハンドオーバされ、ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置するとき、ソースRANノードは、端末に対して、導出パラメータを更新するように命令してもよい。導出パラメータを更新した後に、端末は、更新された導出パラメータを使用することにより、ターゲットASルート鍵を導出する。前述のステップS163は以下のステップ、
端末により、ソースセルが位置するRANノードにより送信された通知メッセージを受信するステップであり、通知メッセージは、端末に対して、導出パラメータを更新するように命令するために使用される、ステップと、
端末により、通知メッセージに基づいて、ネットワーク側と同じ更新ポリシーを使用することにより、導出パラメータを更新するステップであり、導出パラメータの初期値及び更新ポリシーは端末において設定される、ステップと、
端末により、更新された導出パラメータを取得するステップと
を含む。
例えば、カウンタが端末及びRANノード、例えば、RAN側の各RANノードにおいて設定されてもよく、カウンタの同じ初期値及び更新ステップが設定される。端末が他のRANノードにハンドオーバされることが検出されたとき、ソースセルが位置するRANノードは、端末に対して、カウンタの値を更新するように命令する。さらに、ソースセルが位置するRANノードもまた、ターゲットASルート鍵を導出するための導出パラメータとしてカウンタの値を更新し、導出パラメータを、ターゲットセルが位置するRANノードに送信し、それにより、ターゲットセルが位置するRANノードは、ASセキュリティ鍵を計算する。
ステップS164において、端末は、鍵導出関数(key derivation function, KDF)を使用することにより、ターゲットASルート鍵を導出してもよい。例えば、
ターゲットASルート鍵=KDF(ソースASルート鍵, 導出パラメータ)=HMAC-SHA-256(ソースASルート鍵, 導出パラメータ)である。鍵導出関数は、図6に示すシステムに適用され、導出パラメータがeNB IDである例が使用される。ターゲットASルート鍵KeNB*=KDF(ソースKeNB, eNB ID)=HMAC-SHA-256(ソースKeNB, eNB ID)である。鍵導出関数は、図9又は図10に示すシステムに適用され、導出パラメータがCU IDである例が使用される。ターゲットASルート鍵KCU*=KDF(ソースKCU, CU ID)=HMAC-SHA-256(ソースKCU, CU ID)である。
KDFは、HmacSha 256アルゴリズムの省略であり、ハッシュメッセージ認証方法であり、HMACアルゴリズムとSHA256アルゴリズムとを組み合わせた方法として考えられてもよく、既存のアルゴリズムである。この実施例における改善は、関数の入力パラメータが変更されている点である。したがって、アルゴリズムはここでは説明しない。さらに、導出パラメータは、ASルート鍵を導出するための他の関数に更に適用されてもよく、導出関数はこの実施例では限定されない。
ステップS165において、ターゲットセル内で端末により使用されるASセキュリティ鍵もまた、KDFを使用することにより計算されてもよい。例えば、
Krrcenc/Krrcint/Kupenc/Kupint=KDF(ターゲットASルート鍵, アルゴリズムタイプ識別子, アルゴリズム識別子)=HMAC-SHA-256(ターゲットASルート鍵, アルゴリズムタイプ識別子, アルゴリズム識別子)であり、言い換えると、Krrcenc/Krrcint/Kupenc/Kupint=(ターゲットASルート鍵, algorithm type distinguisher, Alg_ID)=HMAC-SHA-256(ターゲットASルート鍵, algorithm type distinguisher, Alg_ID)である。
この出願における各実施例では、KDFは、ASルート鍵を導出してASセキュリティ鍵を計算するために使用されてもよい点に留意すべきである。さらに、RANノード及び端末は共に、当該方法を使用してもよい。
さらに、この出願の実施例におけるセルは、無線ノードにより伝送される信号によりカバーされるエリアを示してもよい点に留意すべきである。無線ノードは、例えば、アンテナ、リモートラジオヘッド(remote radio head, RRH)、送受信ポイント(transmission reception point, TRP)、アクセスポイント(access point)、送信ポイント(transmission point, TP)、RANノード又は基地局を含んでもよい。端末は、無線ノードによりブロードキャストされたセル識別子を使用することにより、エリアを一意に識別してもよい。セル識別子は異なるレベルを有し、物理レイヤ識別子(例えば、PCI)、参照信号(例えば、チャネル測定のために使用される参照信号又はビーム測定のために使用される参照信号)、セルグローバル識別番号(cell global identification, CGI)等でもよい。無線ノードが複数の周波数でセル識別子をブロードキャストするとき、複数のセルが形成されてもよい。この場合、セルは、或る周波数で無線ノードにより伝送される信号によりカバーされるエリアである。端末が同じRANノードにおいて或いは同じRANノードグループ又はエリア内において異なる周波数のセルの間でハンドオーバされるとき、前述の実施例において提供される方法がまた適用可能である。この場合、前述の実施例におけるセルは、特定の周波数に対応するセルである。
前述の実施例において開示された方法におけるネットワークエレメントのステップは、それぞれ対応するネットワークエレメント上の装置により実行されてもよい。対応する装置は、装置により実行されるステップを実行するように構成された対応するユニットを有する。
図17を参照すると、図17は、この出願の実施例による通信セキュリティ処理装置の概略構成図である。装置は、端末に位置し、前述の実現方式における端末により実行される一部又は全部の動作を実行するように構成される。図17に示すように、装置170は、取得ユニット171、導出ユニット172及び計算ユニット173を含む。取得ユニット171は、端末がソースセルからターゲットセルにハンドオーバされるとき、導出パラメータを取得するように構成される。導出ユニット172は、ソースASルート鍵及び導出パラメータに基づいて、ターゲットASルート鍵を導出するように構成される。計算ユニット173は、ターゲットASルート鍵に基づいて、ターゲットセル内で使用されるASセキュリティ鍵を計算するように構成される。ソースセル及びターゲットセルは、異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置する。導出パラメータの取得及び内容のような説明は、前述の実施例のものと同様であり、詳細はここでは再び説明しない。
さらに、装置170は、計算ユニット173により計算されたASセキュリティ鍵を使用することにより、ターゲットRANノードと通信するように構成された使用ユニット174を更に含んでもよい。さらに、使用ユニット174は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、ソースセル内で使用されるASセキュリティ鍵を使用し続けるように更に構成される。
任意選択で、図18を参照すると、装置170は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定するように構成された決定ユニット175を更に含んでもよい。
前述のユニットは、別々に配置された処理エレメントでもよく、或いは実現のために端末内のチップに統合されてもよい。さらに、ユニットは、プログラムコードの形式で端末のメモリに記憶されてもよい。プログラムコードは、前述のユニットの機能を実行するために、端末の処理エレメントにより呼び出される。さらに、ユニットは、一緒に統合されてもよく、或いは個別に実現されてもよい。ここでの処理エレメントは、中央処理装置(Central Processing Unit, CPU)、特定用途向け集積回路(Application-Specific Integrated Circuit, ASIC)、又は前述の方法を実行するように構成された1つ以上の集積回路、例えば、1つ以上のマイクロプロセッサ(digital signal processor, DSP)又は1つ以上のフィールドプログラマブルゲートアレイ(Field Programmable Gate Array, FPGA)でもよい。
例えば、図19を参照すると、図19は、この出願の実施例による通信セキュリティ処理装置の概略構成図である。装置は端末に位置する。図19に示すように、装置は、プロセッサ191、記憶エレメント192及び送受信装置193を含む。送受信装置193はアンテナに接続されてもよい。下りリンク方向では、送受信装置193は、アンテナを使用することにより、RANノードにより送信された情報を受信し、処理のために情報をプロセッサ191に送信する。上りリンク方向では、プロセッサ191は、端末のデータを処理し、送受信装置193を使用することにより、データをRANノードに送信する。
記憶エレメント192は、前述の方法の実施例又は図17又は図18に示す実施例におけるユニットを実現するように構成されたプログラムを記憶するように構成される。プロセッサ191は、前述の方法の実施例における動作を実行するためにプログラムを呼び出し、図17又は図18に示すユニットを実現する。
さらに、前述のユニットの一部又は全部は、実現のためにフィールドプログラマブルゲートアレイ(Field Programmable Gate Array, FPGA)の形式で端末のチップに埋め込まれてもよい。さらに、ユニットは、別々に実現されてもよく、或いは一緒に統合されてもよい。
ここでのプロセッサは、CPU、ASIC、又は前述の方法を実現するように構成された1つ以上の集積回路、例えば、1つ以上のDSP又は1つ以上のFPGAでもよい。記憶エレメントは、記憶装置でもよく、或いは複数の記憶エレメントの一般用語でもよい。
さらに、複数のインタフェースがプロセッサに配置されてもよく、周辺機器デバイス又は周辺機器デバイスに接続されたインタフェース回路に接続するように別々に構成され、例えば、ディスプレイ画面のインタフェース、カメラのインタフェース又はオーディオ処理エレメントのインタフェースに接続するように構成される。
前述の装置は、図9又は図10に示すネットワークに適用されてもよい。装置がネットワークに適用されるときの導出パラメータの内容及び取得は、前述の説明と同様であり、詳細はここでは再び説明しない。
図20を参照すると、図20は、この出願の実施例による通信セキュリティ処理装置の概略構成図である。装置は、RANノードに位置し、前述の実現方式におけるソースRANノードにより実行される一部又は全部の動作を実行するように構成される。図20に示すように、装置200は、決定ユニット201及び使用ユニット202を含む。決定ユニット201は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するか否かを決定するように構成される。使用ユニット202は、ソースセル及びターゲットセルが同じRANノードに或いは同じRANノードグループ又はエリア内に位置するとき、ソースASルート鍵を使用し続け、言い換えると、ソースセル内で使用されるASセキュリティ鍵を使用し続けるように構成される。
さらに、装置は、取得ユニット203、導出ユニット204及び第1の送信ユニット205を更に含んでもよい。取得ユニット203は、ソースセル及びターゲットセルが異なるRANノードに或いは異なるRANノードグループ又はエリア内に位置するとき、導出パラメータを取得するように構成される。導出ユニット204は、ソースASルート鍵及び導出パラメータに基づいて、ターゲットASルート鍵を導出するように構成される。第1の送信ユニット205は、ターゲットASルート鍵をターゲットRANノードに送信し、ターゲットRANノードがASセキュリティ鍵を計算するのを助けるように構成される。導出パラメータの取得及び内容のような説明は、前述の実施例におけるものと同様であり、詳細はここでは再び説明しない。
任意選択で、図21に示すように、導出パラメータがソースRANノードから端末に送信されるとき、装置200は、導出パラメータを端末に送信するように構成された第2の送信ユニット206を更に含んでもよい。
さらに、装置が図9又は図10に示すネットワーク構造に適用されるとき、RANノードはCUノードである。
前述のユニットは、別々に配置された処理エレメントでもよく、或いは実現のためにRANノードのチップに統合されてもよい。さらに、ユニットは、プログラムコードの形式でRANノードのメモリに記憶されてもよい。プログラムコードは、前述のユニットの機能を実行するために、RANノードの処理エレメントにより呼び出される。さらに、ユニットは、一緒に統合されてもよく、或いは個別に実現されてもよい。ここでの処理エレメントは、CPU、ASIC、又は前述の方法を実現するように構成された1つ以上の集積回路、例えば、1つ以上のDSP又は1つ以上のFPGAでもよい。
さらに、第1の送信ユニット205は、ソースRANノードとターゲットRANノードとの間のインタフェース、例えば、Xインタフェースを使用することにより、ターゲットASルート鍵をターゲットRANノードに送信してもよい。ソースRANノードとターゲットRANノードとの間に直接の接続が存在しないとき、第1の送信ユニット205は、CNデバイスを使用することにより、ターゲットASルート鍵をターゲットRANノードに送信してもよい。第2の送信ユニット206は、ソースRANノードと端末との間のインタフェース、例えば、エアインタフェースを使用することにより、導出パラメータを端末に送信してもよい。具体的な実現方式では、第2の送信ユニット206は、無線周波数装置及びアンテナを使用することにより、導出パラメータを端末に送信してもよい。
例えば、図22を参照すると、図22は、この出願の実施例によるRANデバイスの概略構成図である。図22に示すように、RANデバイスは、アンテナ221、無線周波数装置222及びベースバンド装置223を含む。アンテナ221は、無線周波数装置222に接続される。上りリンク方向では、無線周波数装置222は、アンテナ221を使用することにより、端末により送信された情報を受信し、処理のために端末により送信された情報をベースバンド装置223に送信する。下りリンク方向では、ベースバンド装置223は、端末の情報を処理し、情報を無線周波数装置222に送信する。無線周波数装置222は、端末の情報を処理し、アンテナ221を使用することにより、情報を端末に送信する。
前述の通信セキュリティ処理装置は、ベースバンド装置223に位置してもよく、ベースバンド装置223は、処理エレメント2231及び記憶エレメント2232を含む。ベースバンド装置223は、例えば、少なくとも1つのベースバンドプレートを含んでもよい。複数のチップがベースバンドプレートに配置される。図22に示すように、複数のチップのうち1つは処理エレメント2231であり、前述の方法の実施例におけるソースRANノードの動作を実行するために記憶エレメント2232内のプログラムを呼び出すために、記憶エレメント2232に接続される。ベースバンド装置223は、無線周波数装置222と情報を交換するように構成されたインタフェース2233を更に含んでもよい。インタフェースは、例えば、コモン・パブリック・ラジオ・インタフェース(common public radio interface, CPRI)である。
決定ユニット201は、ベースバンド装置223の1つのチップを使用することにより実現されてもよい。代替として、決定ユニット201の機能は、プログラムの形式でベースバンド装置223の記憶エレメントに記憶され、決定ユニット201の機能を実現するためにベースバンド装置223の処理エレメントを使用することによりスケジューリングされる。他のユニット、例えば、使用ユニット202の実現方式は、決定ユニット201のものと同じである。他のユニットは、ベースバンド装置223の他のチップを使用することにより実現されてもよく、或いは決定ユニット201と一緒に統合され、ベースバンド装置223の1つのチップを使用することにより実現されてもよい。前述のユニットの一部又は全部は、少なくとも1つのチップに統合されてもよい。代替として、これらのユニットの一部又は全部は、プログラムの形式でベースバンド装置223の記憶ユニットに記憶され、実現のためにベースバンド装置223の処理エレメントによりスケジューリングされてもよい。明らかに、いくつかのユニットは、チップ統合を通じて実現されてもよく、いくつかのユニットは、プログラムを使用することにより実現されてもよい。これはこの出願では限定されない。
ここでの処理エレメントはプロセッサでもよく、複数の処理エレメントの一般用語でもよい。例えば、処理ユニットは、CPU、ASIC、又は前述の方法を実現するように構成された1つ以上の集積回路、例えば、1つ以上のDSP又は1つ以上のFPGAでもよい。記憶エレメントは、メモリでもよく、或いは複数の記憶エレメントの一般用語でもよい。
当業者は、方法の実施例のステップの全部又は一部が、関係するハードウェアに命令するプログラムにより実現されてもよいことを理解し得る。プログラムは、コンピュータ読み取り可能記憶媒体に記憶されてもよい。プログラムが実行するとき、方法の実施例のステップが実行される。前述の記憶媒体は、ROM、RAM、磁気ディスク又はコンパクトディスクのような、プログラムコードを記憶できるいずれかの媒体を含む。

Claims (14)

  1. 通信セキュリティ処理方法であって、
    端末により、ソース無線アクセスネットワーク(RAN)ノードからハンドオーバコマンドを受信するステップであり、前記ハンドオーバコマンドは、前記端末に対してソースセルからターゲットセルにハンドオーバするように命令するために使用される、ステップと、
    前記端末により、前記ハンドオーバコマンドが次ホップチェイニングカウント(NCC)を含まないとき、前記ソースセル及び前記ターゲットセルが同じRANノードに位置すると決定するステップと、
    前記端末により、前記ソースセル及び前記ターゲットセルが前記同じRANノードに位置するとき、前記ソースセル内で使用されるアクセス層(AS)ルート鍵又はASセキュリティ鍵を使用し続けるステップと
    を含む方法。
  2. 前記RANノードは集中ユニット(CU)ノードであり、前記CUノードは少なくとも1つの分散ユニット(DU)ノードに接続される、請求項1に記載の方法。
  3. パケットデータコンバージェンスプロトコル(PDCP)レイヤ及び前記PDCPレイヤより上のプロトコルレイヤは前記CUノードに配置され、無線リンク制御(RLC)レイヤ、媒体アクセス制御(MAC)レイヤ及びそれより下のプロトコルレイヤは前記DUノードに配置される、請求項2に記載の方法。
  4. 通信セキュリティ処理方法であって、
    無線アクセスネットワーク(RAN)ノードにより、端末をソースセルからターゲットセルにハンドオーバすることを決定するステップと、
    前記RANノードにより、前記ソースセル及び前記ターゲットセルが同じRANノードに位置するか否かを決定するステップと、
    前記RANノードにより、前記ソースセル及び前記ターゲットセルが前記同じRANノードに位置するとき、前記ソースセル内で使用されるアクセス層(AS)ルート鍵又はASセキュリティ鍵を使用し続けるステップと
    前記RANノードにより、前記ソースセル及び前記ターゲットセルが前記同じRANノードに位置するとき、ハンドオーバコマンドを前記端末に送信するステップであり、前記ハンドオーバコマンドは、次ホップチェイニングカウント(NCC)を含まない、ステップと
    を含む方法。
  5. 前記RANノードは集中ユニット(CU)ノードであり、前記CUノードは少なくとも1つの分散ユニット(DU)ノードに接続される、請求項4に記載の方法。
  6. パケットデータコンバージェンスプロトコル(PDCP)レイヤ及び前記PDCPレイヤより上のプロトコルレイヤは前記CUノードに配置され、無線リンク制御(RLC)レイヤ、媒体アクセス制御(MAC)レイヤ及びそれより下のプロトコルレイヤは前記DUノードに配置される、請求項5に記載の方法。
  7. 端末に位置する通信セキュリティ処理装置であって、
    ソース無線アクセスネットワーク(RAN)ノードからハンドオーバコマンドを受信するように構成された受信ユニットであり、前記ハンドオーバコマンドは、前記端末に対してソースセルからターゲットセルにハンドオーバするように命令するために使用される、受信ユニットと、
    前記ハンドオーバコマンドが次ホップチェイニングカウント(NCC)を含まないとき、前記ソースセル及び前記ターゲットセルが同じRANノードに位置する決定するように構成された決定ユニットと、
    前記ソースセル及び前記ターゲットセルが前記同じRANノードに位置するとき、前記ソースセル内で使用されるASルート鍵又はASセキュリティ鍵を使用し続けるように構成された使用ユニットと
    を含む装置。
  8. 前記RANノードは集中ユニット(CU)ノードであり、前記CUノードは少なくとも1つの分散ユニット(DU)ノードに接続される、請求項7に記載の装置。
  9. パケットデータコンバージェンスプロトコル(PDCP)レイヤ及び前記PDCPレイヤより上のプロトコルレイヤは前記CUノードに配置され、無線リンク制御(RLC)レイヤ、媒体アクセス制御(MAC)レイヤ及びそれより下のプロトコルレイヤは前記DUノードに配置される、請求項8に記載の装置。
  10. 無線アクセスネットワーク(RAN)ノードに位置する通信セキュリティ処理装置であって、
    端末をソースセルからターゲットセルにハンドオーバすることを決定し、前記ソースセル及び前記ターゲットセルが同じRANノードに位置するか否かを決定するように構成された決定ユニットと、
    前記ソースセル及び前記ターゲットセルが前記同じRANノードに位置するとき、前記ソースセル内で使用されるアクセス層(AS)ルート鍵又はASセキュリティ鍵を使用し続けるように構成された使用ユニットと
    前記ソースセル及び前記ターゲットセルが前記同じRANノードに位置するとき、ハンドオーバコマンドを前記端末に送信するように構成された送信ユニットであり、前記ハンドオーバコマンドは、次ホップチェイニングカウント(NCC)を含まない、送信ユニットと
    を含む装置。
  11. 前記RANノードは集中ユニット(CU)ノードであり、前記CUノードは少なくとも1つの分散ユニット(DU)ノードに接続される、請求項10に記載の装置。
  12. パケットデータコンバージェンスプロトコル(PDCP)レイヤ及び前記PDCPレイヤより上のプロトコルレイヤは前記CUノードに配置され、無線リンク制御(RLC)レイヤ、媒体アクセス制御(MAC)レイヤ及びそれより下のプロトコルレイヤは前記DUノードに配置される、請求項11に記載の装置。
  13. プロセッサにより実行されたとき、請求項1乃至のうちいずれか1項に記載の方法を実現するように構成されたコンピュータプログラムを記憶したコンピュータ読み取り可能記憶媒体。
  14. プロセッサにより実行されたとき、請求項4乃至6のうちいずれか1項に記載の方法を実現するように構成されたコンピュータプログラムを記憶したコンピュータ読み取り可能記憶媒体。
JP2018559809A 2016-05-13 2017-05-11 通信セキュリティ処理方法及び装置並びにシステム Active JP6734936B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610319275.0 2016-05-13
CN201610319275.0A CN107371155B (zh) 2016-05-13 2016-05-13 通信安全的处理方法、装置及系统
PCT/CN2017/084002 WO2017193974A1 (zh) 2016-05-13 2017-05-11 通信安全的处理方法、装置及系统

Publications (2)

Publication Number Publication Date
JP2019515598A JP2019515598A (ja) 2019-06-06
JP6734936B2 true JP6734936B2 (ja) 2020-08-05

Family

ID=60266704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018559809A Active JP6734936B2 (ja) 2016-05-13 2017-05-11 通信セキュリティ処理方法及び装置並びにシステム

Country Status (6)

Country Link
US (1) US11425618B2 (ja)
EP (2) EP3771243B1 (ja)
JP (1) JP6734936B2 (ja)
CN (1) CN107371155B (ja)
BR (1) BR112018073255A2 (ja)
WO (1) WO2017193974A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018029854A1 (ja) * 2016-08-12 2018-02-15 富士通株式会社 無線基地局、無線装置、無線制御装置、無線通信システム、通信方法および無線端末
CN108513325B (zh) * 2017-02-28 2022-04-12 中兴通讯股份有限公司 一种无线接入网络系统及集中单元
CN109905900B (zh) * 2017-12-07 2020-09-08 华为技术有限公司 一种中心单元切换的方法以及业务处理装置
CN110035479B (zh) 2018-01-11 2023-08-08 北京三星通信技术研究有限公司 选择集中式单元用户平面的方法和基站
CN110167051B (zh) 2018-02-14 2024-04-12 华为技术有限公司 集中式单元-分布式单元架构下的通信方法、通信设备
CN110365470B (zh) * 2018-03-26 2023-10-10 华为技术有限公司 一种密钥生成方法和相关装置
CN110351716B (zh) * 2018-04-03 2021-10-26 大唐移动通信设备有限公司 无线接入网区域码的处理方法、装置及无线接入网节点
KR102398433B1 (ko) * 2018-04-04 2022-05-13 지티이 코포레이션 전송 지연의 측정
US11329926B2 (en) 2018-04-04 2022-05-10 Zte Corporation Measuring transmission delay
US20190320352A1 (en) * 2018-04-12 2019-10-17 Qualcomm Incorporated Access stratum (as) security for a centralized radio access network (c-ran)
CN110381535B (zh) 2018-04-12 2022-04-29 中兴通讯股份有限公司 传输控制方法及装置
CN110650502B (zh) * 2018-06-26 2021-04-09 电信科学技术研究院有限公司 一种切换方法及装置
WO2020010497A1 (zh) * 2018-07-09 2020-01-16 华为技术有限公司 通信方法、设备及系统
CN112602374B (zh) * 2018-09-07 2024-04-05 英特尔公司 在下一代无线接入网(ng-ran)中支持先接后断(mbb)切换的装置和方法
WO2020060461A1 (en) 2018-09-17 2020-03-26 Telefonaktiebolaget Lm Ericsson (Publ) Resuming a radio resource control connection using a security token comprising a globally unique cell identifier
EP3854171A1 (en) 2018-09-17 2021-07-28 Telefonaktiebolaget Lm Ericsson (Publ) Re-establishing a radio resource control connection using a security token comprising a globally unique cell identifier
US11399322B2 (en) * 2018-09-17 2022-07-26 Telefonaktiebolaget Lm Ericsson (Publ) User equipment, network node and methods in a wireless communications network
CN111432404B (zh) * 2019-01-09 2022-11-18 中兴通讯股份有限公司 信息处理方法及装置
CN109462875B (zh) * 2019-01-16 2020-10-27 展讯通信(上海)有限公司 无线漫游方法、接入点装置以及移动台
US11470473B2 (en) * 2019-01-18 2022-10-11 Qualcomm Incorporated Medium access control security
CN111585746A (zh) * 2019-02-15 2020-08-25 中国移动通信有限公司研究院 密钥生成方法、切换方法、装置、网络设备和存储介质
US20220159465A1 (en) * 2019-03-26 2022-05-19 Apple Inc. Integrity protection of uplink data
CN111757424B (zh) * 2019-03-29 2022-03-22 大唐移动通信设备有限公司 一种无线接入网的共享方法及装置
US11363582B2 (en) * 2019-12-20 2022-06-14 Qualcomm Incorporated Key provisioning for broadcast control channel protection in a wireless network
US11190955B1 (en) 2020-01-16 2021-11-30 Sprint Communications Company L.P. Configuration of a wireless network centralized unit (CU) and multiple wireless network distributed units (DUs)
US20210297853A1 (en) * 2020-03-17 2021-09-23 Qualcomm Incorporated Secure communication of broadcast information related to cell access
US11558786B2 (en) * 2020-08-05 2023-01-17 Qualcomm Incorporated Transmission of group handover message
KR20220084601A (ko) * 2020-12-14 2022-06-21 삼성전자주식회사 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101237381B (zh) * 2007-02-02 2010-07-07 华为技术有限公司 一种传送start值的方法及系统
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
WO2009088331A1 (en) * 2008-01-10 2009-07-16 Telefonaktiebolaget Lm Ericsson (Publ) Improved method and arrangement in a telecommunications system
JP4394730B1 (ja) * 2008-06-27 2010-01-06 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法及び移動局
KR101567896B1 (ko) * 2009-02-13 2015-11-11 삼성전자주식회사 다중 홉 릴레이 방식을 사용하는 광대역 무선 통신 시스템에서 최적화된 기지국 내 핸드오버 지원 장치 및 방법
US20120008776A1 (en) * 2009-03-30 2012-01-12 Panasonic Corporation Wireless communication apparatus
US20120039468A1 (en) 2009-04-17 2012-02-16 Panasonic Corporation Wireless communication apparatus
CN102340772B (zh) * 2010-07-15 2014-04-16 华为技术有限公司 切换过程中的安全处理方法、装置和系统
WO2011137824A1 (zh) * 2010-09-30 2011-11-10 华为技术有限公司 一种密钥管理方法、检查授权方法和装置
SG11201403482TA (en) * 2011-12-21 2014-07-30 Ssh Comm Security Oyj Automated access, key, certificate, and credential management
CN102740289B (zh) 2012-06-15 2015-12-02 电信科学技术研究院 一种密钥更新方法、装置及系统
CN104584633B (zh) * 2012-08-23 2018-12-18 交互数字专利控股公司 在无线系统中采用多个调度器进行操作
US20150215838A1 (en) * 2012-09-12 2015-07-30 Nokia Corporation Method and apparatus for mobility control in heterogenous network
GB2509937A (en) * 2013-01-17 2014-07-23 Nec Corp Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations
CN104125563B (zh) * 2013-04-25 2017-12-29 电信科学技术研究院 认知无线电系统中的安全管理方法和设备
KR102078866B1 (ko) * 2013-08-09 2020-02-19 삼성전자주식회사 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안
US20190014509A1 (en) * 2017-03-17 2019-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Network node for use in a communication network, a communication device and methods of operating the same

Also Published As

Publication number Publication date
EP3448076B1 (en) 2020-07-08
EP3448076A4 (en) 2019-05-15
EP3771243B1 (en) 2022-09-14
CN107371155A (zh) 2017-11-21
WO2017193974A1 (zh) 2017-11-16
US11425618B2 (en) 2022-08-23
BR112018073255A2 (pt) 2019-02-26
EP3771243A1 (en) 2021-01-27
EP3448076A1 (en) 2019-02-27
US20190082367A1 (en) 2019-03-14
JP2019515598A (ja) 2019-06-06
CN107371155B (zh) 2021-08-31

Similar Documents

Publication Publication Date Title
JP6734936B2 (ja) 通信セキュリティ処理方法及び装置並びにシステム
CN110945892B (zh) 安全实现方法、相关装置以及系统
JP6950140B2 (ja) 設定方法および装置、並びにシステム
JP2020536424A (ja) セキュリティ保護方法、装置及びシステム
JP4390842B1 (ja) 移動通信方法、無線基地局及び移動局
US20170359719A1 (en) Key generation method, device, and system
WO2018029952A1 (ja) ビーム及びセキュリティ強化に関連する装置、方法、システム、プログラム及び記録媒体
JP5774096B2 (ja) エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム
CN111448813B (zh) 与配置的安全保护进行通信的系统和方法
JP2012532539A (ja) 無線リソース制御接続再確立の際のセキュリティキー処理方法、装置及びシステム
JP2019510432A (ja) 通信方法、ネットワーク側デバイス、およびユーザ端末
TW201637469A (zh) 使用再關聯物件的無線網路快速認證/關聯
JP2018536333A (ja) 通信ネットワークにおいて使用するためのノード、および、それを動作させるための方法
WO2012171281A1 (zh) 一种安全参数修改方法及基站
WO2014094663A1 (zh) 小区优化方法及装置
WO2013075417A1 (zh) 切换过程中密钥生成方法及系统
WO2018228444A1 (zh) 连接管理方法、终端及无线接入网设备
JP2010045815A (ja) 移動通信方法、無線基地局及び移動局
US20160249215A1 (en) Communication control method, authentication server, and user terminal
CN116684865A (zh) 通信的方法和装置
CN116941263A (zh) 一种通信方法及装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181219

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200616

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200710

R150 Certificate of patent or registration of utility model

Ref document number: 6734936

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250