JP6812421B2 - モビリティ管理エンティティ再配置を伴うモビリティ手順のための装置および方法 - Google Patents

モビリティ管理エンティティ再配置を伴うモビリティ手順のための装置および方法 Download PDF

Info

Publication number
JP6812421B2
JP6812421B2 JP2018513346A JP2018513346A JP6812421B2 JP 6812421 B2 JP6812421 B2 JP 6812421B2 JP 2018513346 A JP2018513346 A JP 2018513346A JP 2018513346 A JP2018513346 A JP 2018513346A JP 6812421 B2 JP6812421 B2 JP 6812421B2
Authority
JP
Japan
Prior art keywords
key
mme
network
control plane
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018513346A
Other languages
English (en)
Other versions
JP2018527837A (ja
JP2018527837A5 (ja
Inventor
ス・ボム・イ
エイドリアン・エドワード・エスコット
ギャヴィン・バーナード・ホーン
アナンド・パラニガウンダー
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Publication of JP2018527837A publication Critical patent/JP2018527837A/ja
Publication of JP2018527837A5 publication Critical patent/JP2018527837A5/ja
Application granted granted Critical
Publication of JP6812421B2 publication Critical patent/JP6812421B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0064Transmission or use of information for re-establishing the radio link of control information between different access points
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

関連出願の相互参照
本出願は、2015年9月15日に米国特許商標庁に出願された仮出願第62/218,863号、および2016年4月1日に米国特許商標庁に出願された非仮出願第15/089,396号の優先権および利益を主張し、それらの内容全体が参照により本明細書に組み込まれる。
本開示は概して、モビリティ管理エンティティ(MME)再配置を伴う改良されたモビリティ手順のための装置および方法に関する。
図1に示される現在のセルラーネットワークアーキテクチャは、ユーザ機器(UE)120によるセルラーネットワークへのアクセスを制御するための手順を実装するために、モビリティ管理エンティティ(MME)110を使用する。典型的には、MME110は、コアネットワーク要素としてネットワークサービスプロバイダ(システムオペレータ)によって所有され、運用され、ネットワークサービスプロバイダによって制御される安全な(secure)場所に配置される。コアネットワーク100は、ホーム加入者サーバ(HSS)130およびMME110を含む制御プレーンと、パケットデータネットワーク(PDN)ゲートウェイ(PGW)140およびサービングゲートウェイ(SGW)150を含むユーザプレーンとを有する。MMEは、発展型ノードB(eNodeB)160に接続される。eNodeBは、UEとともに無線インターフェース、RRC180、およびPDCP/RLC190を提供する。
将来のセルラーネットワークアーキテクチャでは、MME110またはMME110の多くの機能を実行するネットワーク構成要素は、物理的によりアクセス可能であり、および/または他のネットワークオペレータから隔離されていないので、あまり安全ではないネットワークエッジに向かって押し出されることが想定される。ネットワーク機能は、たとえばクラウド(たとえば、インターネット)に移動されると、物理的な隔離のレベルがより低いか、または物理的な隔離がない可能性があるため、安全であると見なされない可能性がある。さらに、ネットワーク機器が単一のネットワークサービスプロバイダによって所有されていない可能性がある。一例として、複数のMMEインスタンスが単一の物理ハードウェアデバイス内にホストされる場合がある。結果として、MMEに送られる鍵は、より頻繁にリフレッシュする必要があり、したがって、認証ベクトル(AV)をMMEに転送することは推奨できないことがある。
MME機能がネットワークエッジの近くで実行される将来のセルラーネットワークアーキテクチャのための追加のセキュリティを提供する改良された装置および方法が必要とされている。
一特徴として、ネットワークとの間でデータをワイヤレスに送受信するように適合されたワイヤレス通信インターフェースと、ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備えるデバイス(たとえば、ユーザデバイス)が提供される。処理回路は、新しいサービスエリアへの進入を特定することと、ネットワークに関連付けられたネットワークデバイスにサービスエリア更新要求を送信することと、サービスエリア更新要求を送信したことに応じてサービスエリアの変更に起因する制御プレーンデバイス再配置または鍵リフレッシュを示す制御プレーンメッセージをネットワークから受信することと、受信された制御プレーンメッセージに含まれるデータおよび上記デバイスと鍵管理デバイスとの間で共有される第2の鍵に部分的に基づいて第1の鍵を導出することであって、鍵管理デバイスがネットワークに関連付けられる、導出することとを行うように適合されてよい。一態様によれば、制御プレーンメッセージは、サービスエリアの変更に起因してターゲット制御プレーンデバイスから受信され、ターゲット制御プレーンデバイスは、現在上記デバイスにサービスしている制御プレーンデバイスとは異なる制御プレーンデバイスである。別の態様によれば、制御プレーンメッセージに含まれるデータは、現在上記デバイスにサービスしており、ならびに/あるいは将来上記デバイスにサービスする制御プレーンデバイスを特定する制御プレーンデバイス識別子を含む。
一態様によれば、第1の鍵を導出することは、鍵管理デバイスにおいて維持され、制御プレーンメッセージ内に含まれるカウンタ値Key Countにさらに部分的に基づく。別の態様によれば、処理回路は、上記デバイスとネットワークとの間の通信を安全にするために第1の鍵に基づいて発展型ノードB(eNB)鍵KeNB、非アクセス層鍵KNAS、および/またはネクストホップ(NH)鍵のうちの少なくとも1つを導出するようにさらに適合される。また別の態様によれば、新しいサービスエリアは、新しいトラッキングエリアおよび/または新しいルーティングエリアの少なくとも一方であり、サービスエリア更新要求は、トラッキングエリア更新および/またはルーティングエリア更新の少なくとも一方に関連付けられる。
一態様によれば、制御プレーンメッセージは、セキュリティモードコマンドであり、ターゲット制御プレーンデバイスは、ターゲットモビリティ管理エンティティ(MME)であり、鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、第2の鍵は、認証セッションに関するセッションルート鍵である。別の態様によれば、制御プレーンデバイスは、上記デバイスに関するモビリティ管理コンテキストおよびセッション管理コンテキストを維持し、鍵管理デバイスは第2の鍵を維持する。
別の特徴として、ネットワークとの間でデータをワイヤレスに送受信するように適合されたワイヤレス通信インターフェースと、ワイヤレス通信インターフェースに通信可能に結合された処理回路とを備えるデバイスが提供される。処理回路は、ネットワークに関連付けられたネットワークデバイスからハンドオーバコマンドを受信することであって、ハンドオーバコマンドが、新しいサービスエリアを示す、受信することと、ハンドオーバコマンドに含まれるデータおよび上記デバイスと鍵管理デバイスとの間で共有される第2の鍵に基づいて第1の鍵を導出することであって、鍵管理デバイスがネットワークに関連付けられる、導出することと、第1の鍵に基づいて安全にされたハンドオーバ確認メッセージを送信することとを行うように適合される。一態様によれば、ハンドオーバコマンドは、現在上記デバイスにサービスしておりならびに/あるいは将来上記デバイスにサービスするターゲット無線アクセスノードにサービスするターゲット制御プレーンデバイスに関連するターゲット制御プレーンデバイス識別子を含む。別の態様によれば、第1の鍵を導出することは、ターゲット制御プレーンデバイス識別子に部分的に基づく。
一態様によれば、ターゲット制御プレーンデバイスは、ターゲットモビリティ管理エンティティ(MME)であり、鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、ターゲット制御プレーンデバイス識別子は、ターゲットMMEに関連するMME識別子である。別の態様によれば、第1の鍵を導出することは、鍵管理デバイスにおいて維持されるカウンタ値Key Countにさらに部分的に基づく。また別の態様によれば、第2の鍵は認証セッション用のセッションルート鍵である。
別の特徴として、ネットワークに関連付けられたネットワークデバイスであって、情報を送受信するように適合された通信インターフェースと、通信インターフェースに通信可能に結合された処理回路とを備えるネットワークデバイスが提供される。処理回路は、ネットワークデバイスがデバイスコンテキストを有しないデバイスまたはサービスエリアを変更したデバイスからサービスエリア更新要求を受信することと、鍵管理デバイスに第1の鍵を求める要求を送信することと、鍵管理デバイスから第1の鍵を受信することであって、第1の鍵が、鍵管理デバイスと上記デバイスとの間で共有される第2の鍵に部分的に基づく、受信することと、上記デバイスが第1の鍵を導出するのを可能にするデータを含む制御プレーンメッセージを上記デバイスに送信することとを行うように適合される。一態様によれば、ネットワークデバイスは、モビリティ管理エンティティ(MME)であり、第1の鍵はさらに、MMEを特定するMME識別子に基づく。別の態様によれば、処理回路は、ネットワークデバイスがデバイスコンテキストを有しない場合に以前にデバイスにサービスした以前の制御プレーンデバイスにデバイスコンテキスト要求を送信することと、デバイスコンテキスト要求を送信したことに応じて以前の制御プレーンデバイスからデバイスコンテキストを受信することとを行うようにさらに適合される。
一態様によれば、データは、ネットワークデバイスを特定する制御プレーンデバイス識別子を含む。別の態様によれば、処理回路は、鍵管理デバイスから第1の鍵とともにカウンタ値Key Countを受信し、デバイスに送信されるデータにカウンタ値Key Countを含めるようにさらに適合される。また別の態様によれば、処理回路は、制御プレーンメッセージが成功裏に受信された旨の通知を上記デバイスから受信した後で上記デバイスにサービスエリア更新を送信するようにさらに適合される。
一態様によれば、サービスエリア更新要求は、トラッキングエリア更新および/またはルーティングエリア更新の少なくとも一方に関連付けられ、サービスエリアを変更することは、トラッキングエリアを変更することおよび/またはルーティングエリアを変更することの少なくとも一方を含む。別の態様によれば、制御プレーンメッセージは、非アクセス層セキュリティモードコマンドであり、鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、上記デバイスは、ユーザ機器であり、デバイスコンテキストは、ユーザ機器に関連するユーザ機器コンテキストであり、第2の鍵は、認証セッションに関するセッションルート鍵である。
別の特徴として、ネットワークに関連付けられたネットワークデバイスであって、情報を送受信するように適合された通信インターフェースと、通信インターフェースに通信可能に結合された処理回路とを備えるネットワークデバイスが提供される。処理回路は、ネットワークデバイスにおいてソース制御プレーンデバイスから転送再配置要求を受信することと、鍵管理デバイスに第1の鍵を求める要求を送信することと、鍵管理デバイスから第1の鍵を受信することであって、第1の鍵が、鍵管理デバイスとデバイスとの間で共有される第2の鍵に部分的に基づく、受信することと、ターゲット無線アクセスノード(RAN)に対して、ハンドオーバ要求を第1の鍵から導出されたRANセッション鍵とともに送信することとを行うように適合される。一態様によれば、処理回路は、ターゲットRANが上記デバイスにサービスすることを示すハンドオーバ要求肯定応答メッセージをターゲットRANから受信するようにさらに適合される。別の態様によれば、処理回路は、ターゲットRANからハンドオーバ要求肯定応答メッセージを受信した後にのみ第1の鍵を受信したことを示す肯定応答メッセージを鍵管理デバイスに送信するようにさらに適合される。
一態様によれば、処理回路は、第1の鍵を導出するために上記デバイスによって利用されるデータを含む転送再配置応答をソース制御プレーンデバイスに送信するようにさらに適合される。別の態様によれば、ネットワークデバイスは、上記デバイスにサービスするターゲット制御プレーンデバイスであり、データは、ターゲット制御プレーンデバイスを特定するターゲット制御プレーンデバイス識別子を含む。また別の態様によれば、ターゲット制御プレーンデバイスは、ターゲットモビリティ管理エンティティ(MME)であり、ソース制御プレーンデバイスはソースMMEであり、ターゲット制御プレーンデバイス識別子は、グローバル一意MME識別子(GUMMEI)であり、鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、上記デバイスはユーザ機器である。
一態様によれば、データは、鍵管理デバイスにおいて維持されるカウンタ値Key Countを含む。別の態様によれば、鍵管理デバイスから第1の鍵を受信するように適合された処理回路は、第1の鍵とともにカウンタ値Key Countを受信するようにさらに適合される。
別の特徴として、モビリティ管理エンティティ(MME)再配置またはトラッキングエリアの変更を伴うトラッキングエリア更新を実行するためにデバイスにおいて実施される方法であって、新しいトラッキングエリアへの進入を特定するステップと、ワイヤレス通信ネットワークに関連付けられたネットワークデバイスにトラッキングエリア更新(TAU)要求を送信するステップと、TAU要求を送信したことに応じてトラッキングエリアの変更に起因するMME再配置または鍵リフレッシュを示すセキュリティモードコマンドをネットワークデバイスから受信するステップと、受信されたセキュリティモードコマンドに含まれるデータに部分的に基づいて第1の鍵KASMEを導出するステップとを含む方法が提供される。一態様によれば、セキュリティモードコマンドは、第1の鍵KASMEをリフレッシュするためにMMEによって送信される。別の態様によれば、セキュリティモードコマンドは、トラッキングエリアの変更に起因してターゲットMMEによって送信される。
一態様によれば、セキュリティモードコマンドに含まれるデータは、MME識別子を含む。別の態様によれば、MME識別子は、グローバル一意MME識別子(GUMMEI)である。また別の態様によれば、第1の鍵KASMEを導出するステップは、GUMMEIに部分的に基づく。
一態様によれば、第1の鍵KASMEを導出するステップは、上記デバイスとセッション鍵管理機能(SKMF)デバイスとの間で共有される第2の鍵KSKMFにさらに部分的に基づく。別の態様によれば、第1の鍵KASMEを導出するステップは、SKMFデバイスにおいて維持されるカウンタ値Key Countにさらに部分的に基づく。また別の態様によれば、セキュリティモードコマンドに含まれるデータは、カウンタ値Key Countをさらに含む。
一態様によれば、この方法は、トラッキングエリア更新メッセージをネットワークデバイスから受信するステップをさらに含む。別の態様によれば、この方法は、第1の鍵KASMEから導出された1つまたは複数の鍵を使用してトラッキングエリア更新メッセージを復号するステップをさらに含む。また別の態様によれば、トラッキングエリア更新メッセージは、新しいグローバル一意一時識別子(GUTI)を含む。
別の特徴として、ワイヤレス通信ネットワークに関連付けられたネットワークデバイスとの間でデータをワイヤレスに送受信するように適合されたワイヤレス通信インターフェースと、ワイヤレス通信インターフェースに通信可能に結合された処理回路であって、新しいトラッキングエリアへの進入を特定することと、ワイヤレス通信ネットワークに関連付けられたネットワークデバイスにトラッキングエリア更新(TAU)要求を送信することと、TAU要求を送信したことに応じてトラッキングエリアの変更に起因するモビリティ管理エンティティ(MME)再配置または鍵リフレッシュを示すセキュリティモードコマンドをネットワークデバイスから受信することと、受信されたセキュリティモードコマンドに含まれるデータに部分的に基づいて第1の鍵KASMEを導出することとを行うように適合された処理回路とを備えるデバイスが提供される。
別の特徴として、新しいトラッキングエリアへの進入を特定するための手段と、ワイヤレス通信ネットワークに関連付けられたネットワークデバイスにトラッキングエリア更新(TAU)要求を送信するための手段と、TAU要求を送信したことに応じてトラッキングエリアの変更に起因するモビリティ管理エンティティ(MME)再配置または鍵リフレッシュを示すセキュリティモードコマンドをネットワークデバイスから受信するための手段と、受信されたセキュリティモードコマンドに含まれるデータに部分的に基づいて第1の鍵KASMEを導出するための手段とを備えるデバイスが提供される。
別の特徴として、モビリティ管理エンティティ(MME)再配置またはトラッキングエリアの変更を伴うトラッキングエリア更新を実行するための命令が記憶された非一時的コンピュータ可読記憶媒体であって、命令が、少なくとも1つのプロセッサによって実行されたときに、プロセッサに、新しいトラッキングエリアへの進入を特定することと、ワイヤレス通信ネットワークに関連するネットワークデバイスにトラッキングエリア更新(TAU)要求を送信することと、TAU要求を送信したことに応じてトラッキングエリアの変更に起因するMME再配置または鍵リフレッシュを示すセキュリティモードコマンドをネットワークデバイスから受信することと、受信されたセキュリティモードコマンドに含まれるデータに部分的に基づいて第1の鍵KASMEを導出することとを行わせる非一時的コンピュータ可読記憶媒体が提供される。
別の特徴として、モビリティ管理エンティティ(MME)再配置またはトラッキングエリアの変更を伴うハンドオーバを実行するためにデバイスにおいて実施される方法であって、新しいトラッキングエリアを示すハンドオーバコマンドをネットワークデバイスから受信するステップと、ハンドオーバコマンドに含まれるデータに基づいて第1の鍵KASMEを導出するステップと、第1の鍵KASMEに基づいて安全にされたハンドオーバ確認メッセージを送るステップとを含む方法が提供される。一態様によれば、この方法は、第1の鍵KASMEを導出する前にハンドオーバコマンドを検証するステップをさらに含む。別の態様によれば、ハンドオーバコマンドは、ネットワークデバイスにサービスするターゲットMMEに関連するターゲットMME識別子を含む。
一態様によれば、第1の鍵KASMEを導出するステップは、ターゲットMME識別子に部分的に基づく。別の態様によれば、ターゲットMME識別子は、ネットワークデバイスにサービスするターゲットMMEに関連するグローバル一意MME識別子(GUMMEI)である。また別の態様によれば、第1の鍵KASMEを導出するステップは、上記デバイスとターゲットMMEにサービスするセッション鍵管理機能(SKMF)デバイスとの間で共有される第2の鍵KSKMFにさらに部分的に基づく。
一態様によれば、第1の鍵KASMEを導出するステップは、SKMFデバイスにおいて維持されるカウンタ値Key Countにさらに部分的に基づく。別の態様によれば、ハンドオーバコマンドに含まれるデータは、カウンタ値Key Countをさらに含む。
別の特徴として、ワイヤレス通信ネットワークに関連付けられたネットワークデバイスとの間でデータをワイヤレスに送受信するように適合されたワイヤレス通信インターフェースと、ワイヤレス通信インターフェースに通信可能に結合された処理回路であって、新しいトラッキングエリアを示すハンドオーバコマンドをネットワークデバイスから受信することと、ハンドオーバコマンドに含まれるデータに基づいて第1の鍵KASMEを導出することと、第1の鍵KASMEに基づいて安全にされたハンドオーバ確認メッセージを送ることとを行うように適合された処理回路とを備えるデバイスが提供される。
別の特徴として、新しいトラッキングエリアを示すハンドオーバコマンドをネットワークデバイスから受信するための手段と、ハンドオーバコマンドに含まれるデータに基づいて第1の鍵KASMEを導出するための手段と、第1の鍵KASMEに基づいて安全にされたハンドオーバ確認メッセージを送るための手段とを備えるデバイスが提供される。
別の特徴として、モビリティ管理エンティティ(MME)再配置またはトラッキングエリアの変更を伴うハンドオーバを実行するための命令が記憶された非一時的コンピュータ可読記憶媒体であって、命令が、少なくとも1つのプロセッサによって実行されたときに、プロセッサに、新しいトラッキングエリアを示すハンドオーバコマンドをネットワークデバイスから受信することと、ハンドオーバコマンドに含まれるデータに基づいて第1の鍵KASMEを導出することと、第1の鍵KASMEに基づいて安全にされたハンドオーバ確認メッセージを送ることとを行わせる非一時的コンピュータ可読記憶媒体が提供される。
別の特徴として、モビリティ管理エンティティ(MME)再配置またはMMEにおけるトラッキングエリアの変更を伴うトラッキングエリア更新を実行するための方法であって、MMEがユーザ機器(UE)に関連するUEコンテキストを有しないUEまたはトラッキングエリアを変更したUEからトラッキングエリア更新(TAU)要求を受信するステップと、第1の鍵KASMEを求める要求をセッション鍵管理機能(SKMF)デバイスに送信するステップと、SKMFデバイスから第1の鍵KASMEを受信するステップと、UEが第1の鍵KASMEを導出するのを可能にするデータを含む非アクセス層(NAS)セキュリティモードコマンド(SMC)をUEに送信するステップとを含む方法が提供される。一態様によれば、この方法は、MMEがUEコンテキストを有しない場合、以前にUEにサービスしたソースMMEにUEコンテキスト要求を送信するステップをさらに含む。別の態様によれば、この方法は、UEコンテキスト要求を送信したことに応じてソースMMEからUEコンテキストを受信するステップをさらに含む。また別の態様によれば、この方法は、第1の鍵KASMEを受信した後SKMFデバイスに鍵肯定応答を送信するステップをさらに含む。
一態様によれば、データは、MMEを特定するMME識別子を含む。別の態様によれば、MME識別子は、グローバル一意MME識別子(GUMMEI)である。また別の態様によれば、データは、SKMFデバイスにおいて維持されるカウンタ値Key Countを含む。
一態様によれば、SKMFデバイスから第1の鍵KASMEを受信するステップは、SKMFデバイスからカウンタ値Key Countを受信するステップをさらに含む。別の態様によれば、この方法は、NAS SMCが成功裏に完了した旨の通知をUEから受信した後にUEにトラッキングエリア更新を送信するステップをさらに含む。また別の態様によれば、この方法は、暗号化されたトラッキングエリア更新をNAS SMCと同時にUEに送信するステップをさらに含む。別の態様によれば、第1の鍵KASMEを求める要求を送信するステップは、UEロケーション更新を送信するステップを含む。
別の特徴として、ワイヤレス通信ネットワークに関連付けられたネットワークデバイスであって、情報を送受信するように適合された通信インターフェースと、通信インターフェースに通信可能に結合された処理回路であって、ネットワークデバイスがユーザ機器(UE)に関連するUEコンテキストを有しないUEまたはトラッキングエリアを変更したUEからトラッキングエリア更新(TAU)要求を受信することと、第1の鍵KASMEを求める要求をセッション鍵管理機能(SKMF)デバイスに送信することと、SKMFデバイスから第1の鍵KASMEを受信することと、UEが第1の鍵KASMEを導出するのを可能にするデータを含む非アクセス層(NAS)セキュリティモードコマンド(SMC)をUEに送信することとを行うように適合された処理回路とを備えるネットワークデバイスが提供される。
別の特徴として、ワイヤレス通信ネットワークに関連付けられたネットワークデバイスであって、ネットワークデバイスがユーザ機器(UE)に関連するUEコンテキストを有しないUEまたはトラッキングエリアを変更したUEからトラッキングエリア更新(TAU)要求を受信するための手段と、第1の鍵KASMEを求める要求をセッション鍵管理機能(SKMF)デバイスに送信するための手段と、SKMFデバイスから第1の鍵KASMEを受信するための手段と、UEが第1の鍵KASMEを導出するのを可能にするデータを含む非アクセス層(NAS)セキュリティモードコマンド(SMC)をUEに送信するための手段とを備えるネットワークデバイスが提供される。
別の特徴として、モビリティ管理エンティティ(MME)再配置またはMMEにおけるトラッキングエリアの変更を伴うトラッキングエリア更新を実行するための命令が記憶された非一時的コンピュータ可読記憶媒体であって、命令が、少なくとも1つのプロセッサによって実行されたときに、プロセッサに、MMEがユーザ機器(UE)に関連するUEコンテキストを有しないUEまたはトラッキングエリアを変更したUEからトラッキングエリア更新(TAU)要求を受信することと、第1の鍵KASMEを求める要求をセッション鍵管理機能(SKMF)デバイスに送信することと、SKMFデバイスから第1の鍵KASMEを受信することと、UEが第1の鍵KASMEを導出するのを可能にするデータを含む非アクセス層(NAS)セキュリティモードコマンド(SMC)をUEに送信することとを行わせる非一時的コンピュータ可読記憶媒体が提供される。
別の特徴として、モビリティ管理エンティティ(MME)再配置またはMMEにおけるトラッキングエリアの変更を伴うハンドオーバを実行するための方法であって、ターゲットMMEにおいてソースMMEから転送再配置要求を受信するステップと、第1の鍵KASMEを求める要求をセッション鍵管理機能(SKMF)デバイスに送信するステップと、SKMFデバイスから第1の鍵KASMEを受信するステップと、ハンドオーバ要求を、第1の鍵KASMEから導出された鍵KeNBとともにターゲット無線アクセスノード(RAN)に送信するステップとを含む方法が提供される。一態様によれば、この方法は、ターゲットRANがユーザ機器(UE)にサービスすることを示すハンドオーバ要求肯定応答メッセージをターゲットRANから受信するステップをさらに含む。別の態様によれば、この方法は、ターゲットRANからハンドオーバ要求肯定応答メッセージを受信した後にのみ第1の鍵KASMEを受信したことを示す肯定応答メッセージをSKMFに送信するステップをさらに含む。
一態様によれば、この方法は、第1の鍵KASMEを導出するためにUEによって利用されるデータを含む転送再配置応答をソースMMEに送信するステップをさらに含む。別の態様によれば、データは、ターゲットMMEを特定するMME識別子を含む。また別の態様によれば、MME識別子は、グローバル一意MME識別子(GUMMEI)である。
一態様によれば、データは、SKMFデバイスにおいて維持されるカウンタ値Key Countを含む。別の態様によれば、SKMFデバイスから第1の鍵KASMEを受信するステップは、SKMFデバイスからカウンタ値Key Countを受信するステップをさらに含む。
別の特徴として、情報を送受信するように適合された通信インターフェースと、通信インターフェースに通信可能に結合された処理回路であって、ネットワークデバイスにおいてソースモビリティ管理エンティティ(MME)から転送再配置要求を受信することと、第1の鍵KASMEを求める要求をセッション鍵管理機能(SKMF)デバイスに送信することと、SKMFデバイスから第1の鍵KASMEを受信することと、ハンドオーバ要求を、第1の鍵KASMEから導出された鍵KeNBとともにターゲット無線アクセスノード(RAN)に送信することとを行うように適合された処理回路とを備えるネットワークデバイスが提供される。
別の特徴として、ワイヤレス通信ネットワークに関連付けられたネットワークデバイスであって、ネットワークデバイスにおいてソースモビリティ管理エンティティ(MME)から転送再配置要求を受信するための手段と、第1の鍵KASMEを求める要求をセッション鍵管理機能(SKMF)デバイスに送信するための手段と、SKMFデバイスから第1の鍵KASMEを受信するための手段と、ハンドオーバ要求を、第1の鍵KASMEから導出された鍵KeNBとともにターゲット無線アクセスノード(RAN)に送信するための手段とを備えるネットワークデバイスが提供される。
別の特徴として、モビリティ管理エンティティ(MME)再配置またはMMEにおけるトラッキングエリアの変更を伴うハンドオーバを実行するための命令が記憶された非一時的コンピュータ可読記憶媒体であって、命令が、少なくとも1つのプロセッサによって実行されたときに、プロセッサに、ネットワークデバイスにおいてソースMMEから転送再配置要求を受信することと、第1の鍵KASMEを求める要求をセッション鍵管理機能(SKMF)デバイスに送信することと、SKMFデバイスから第1の鍵KASMEを受信することと、ハンドオーバ要求を、第1の鍵KASMEから導出された鍵KeNBとともにターゲット無線アクセスノード(RAN)に送信することとを行わせる非一時的コンピュータ可読記憶媒体が提供される。
従来技術に見られるワイヤレス通信システムの一例のブロック図である。 セルラーネットワークセキュリティに関するデジタル鍵を導出するための方法のフローチャートである。 改良されたネットワーク鍵階層を有するワイヤレス通信システムの第1の実施形態のブロック図である。 改良されたネットワーク鍵階層を有するワイヤレス通信システムの第2の実施形態のブロック図である。 改良されたネットワーク鍵階層を有するワイヤレス通信システムの第3の実施形態のブロック図である。 セルラーネットワークに関する改良された鍵階層の概略図である。 UEがワイヤレス通信ネットワーク(たとえば、ワイヤレスセルラーネットワーク)に接続する場合の接続手順および初期データ転送の流れ図である。 S1ハンドオーバ手順の流れ図である。 UEがMME再配置を必要とする新しい位置に移動した後のトラッキングエリア更新手順の流れ図である。 ユーザデバイス/機器などのデバイスの第1の例示的な概略ブロック図である。 制御プレーンデバイス再配置またはサービスエリアの変更を伴うサービスエリア更新を実行するためにデバイスにおいて実施される第1の例示的な方法を示す図である。 制御プレーンデバイス再配置またはサービスエリアの変更を伴うハンドオーバを実行するためにデバイスにおいて実施される第2の例示的な方法を示す図である。 MMEなどのネットワークデバイスの第1の例示的な概略ブロック図である。 制御プレーンデバイス再配置または制御プレーンデバイスにおけるサービスエリアの変更を伴うサービスエリア更新を実行するためにネットワークデバイスにおいて実施される第1の例示的な方法を示す図である。 制御プレーンデバイス再配置または制御プレーンデバイスにおけるサービスエリアの変更を伴うハンドオーバを実行するためにネットワークデバイスにおいて実施される第2の例示的な方法を示す図である。 ユーザデバイス/機器などのデバイスの第2の例示的な概略ブロック図である。 ユーザデバイス/機器などのデバイスの第3の例示的な概略ブロック図である。 MMEなどのネットワークデバイスの第2の例示的な概略ブロック図である。 MMEなどのネットワークデバイスの第3の例示的な概略ブロック図である。
「例示的」という単語は、本明細書では、「例、実例、または例証として機能する」を意味するために使用される。「例示的」として本明細書で説明するいかなる実施形態も、他の実施形態よりも好ましい、または有利であると必ずしも解釈されるべきでない。
図2および図3を参照すると、本開示の態様は、セルラーネットワークセキュリティに関するデジタル鍵を導出するための方法200に属する場合がある。この方法では、ユーザ機器(UE)320がセッション鍵管理機能デバイス300(以下では「SKMF」)と相互に認証する。ユーザ機器は、ホーム加入者サーバ(HSS)330と共有される秘密鍵(SK)を使用してSKMF300と共有される第1のセッション鍵(たとえば、KSKMF)を導出する。ユーザ機器は次いで、第1のセッション鍵を使用してモビリティ管理エンティティ(MME)310と共有される第2のセッション鍵(たとえば、KASME)を導出する。
本開示のより詳細な態様では、SKMF(オーセンティケータ)は、MMEごとに鍵(たとえば、KASME)を導出する電気通信ネットワークの内部深くに配置されたトラストアンカー(または鍵アンカー)であってよい。したがって、MMEおよび/またはその機能を実行するネットワークデバイスがネットワークのエッジにプッシュされたときに、SKMFはネットワークの内部深くに留まり、非常に安全である。第1のセッション鍵は、入力として秘密鍵およびサービングネットワーク識別子(SN_id)を有する第1の鍵導出関数を使用して導出されてよい。第1の鍵導出関数は、たとえばHMAC-256に基づいてよい。相互認証は、拡張認証プロトコル(EAP)、または特定のNASシグナリングを使用して実行されてよい。第2のセッション鍵は、(UEと現在接続されているMMEについての)認証および鍵一致(AKA)手順中に導出されても、あるいはMME再配置を伴うハンドオーバ中に導出されてよい。セッションは、AAAサーバによって、現在接続されているMMEについて定義されてよい。MME再配置は、MMEグループ識別情報(MMEGI)を共有するMMEのグループ内で実行されてよい。代替的に、MME再配置は、異なるMMEGIを有する別のMMEとともに実行されてよい。
本開示の他のより詳細な態様では、第2のセッション鍵は、第1のセッション鍵および一意のグローバル一意MME識別子(GUMMEI)を入力として有する第2の鍵導出関数を使用して導出されてよい。GUMMEIは、MMEGIとMMEコードとの組合せに基づいてよい。第2の鍵導出関数は、HMAC-256に基づいてよい。代替的に、第2のセッション鍵は、第1のセッション鍵およびMMEGIを入力として有する第2の鍵導出関数を使用して導出されてよい。
本開示の別の態様は、ユーザ機器320に関する鍵を導出するための方法に属する場合がある。この方法では、ネットワークエンティティが、ユーザ機器に関するセッション鍵(たとえば、KASME)をSKMF300から受信する。セッション鍵を受信するための通信チャネルが、セキュリティ保護されてよい。ネットワークエンティティは、eNB360、MME、GWなどであってよい。代替的に、本開示の一態様は、ネットワークエンティティが、ユーザ機器に関するセッション鍵を同じグループ内の別のネットワークエンティティから受信する場合がある方法に属することがある。本開示のより詳細な態様では、ソースMMEがセッション鍵を転送せずにハンドオーバを要求するときにネットワークエンティティがSKMFにセッション鍵(たとえば、KASME)を要求してよい。
本開示の別の態様では、SKMF300はユーザ機器320と相互に認証してよい。SKMF300は、MME310に接続されたUE320と通信する際に使用されるセッション鍵(たとえば、KASME)を導出してよい。SKMF300は、UE320に関するセッション鍵をMME310に送ってよい。UE320と相互に認証することは、SKMF300が、UE320に関する認証情報を求める要求をHSS330に転送することを含んでよい。この認証情報は、UE320に関する認証ベクトル(AV)を含んでよい。UE320と相互に認証することは、SKMF300がUE320から認証応答を受信することをさらに含んでよい。認証ベクトルは、予想される応答(XRES)、認証値(AUTN)、乱数(RAND)、および第1のセッション鍵(たとえば、KSKMF)を含んでよい。AUTNは、シーケンス番号およびUE320がHSS330と共有する秘密鍵(SK)に基づいてよい。
本開示は、ネットワーク機能(たとえば、MME310)をネットワークコアから離れたネットワークのエッジに移動させるのを可能にする。SKMF300は、MME310とHSS330との間に配置されてよい。SKMF300は、ローカル鍵アンカーとして働いてよい。したがって、MME310によって必要とされる信頼度が低下する場合がある。その結果、UE320に関するMME310がMME再配置の間に転送されなくなる。
UEは、SKMFとの認証鍵一致(AKA)を実行してよい。HHSは、SKMFにAVを送ってよい。AVは、XRES、AUTN、RAND、およびKSKMFを含んでよい。KSKMFは、UEとHSSとの間の共有秘密鍵SKから導出されてよい。したがって、相互認証はUEとSKMFとの間で実行されてよい。このアーキテクチャは、第5世代(5G)セルラーネットワークにおいて使用されてよい。
AKAが成功した場合、SKMFはMMEにMME鍵(たとえば、KASME)を送る。MME鍵(およびMME鍵から導出される他の鍵)は、以下にさらに示す詳細に従って導出されてよい。
ローミングシナリオ(すなわち、UEが訪問先ネットワークに位置する)では、訪問先ネットワークにおけるSKMFがローカル鍵アンカーになる場合がある。同様に、AKAはSKMFを介して実行されてよい。図4および図5に示すように、訪問先ネットワークに存在するがホームネットワーク406には存在しないSKMF300がローカル鍵アンカーである。ローカルネットワーク内のMME再配置(たとえば、ハンドオーバまたはトラッキングエリア更新)中に、SKMFは、新しいKASMEを導出し、それをターゲット/新しいMMEに提供する。無線アクセスノード(RAN)セッション鍵(たとえば、KeNB)は、新しいKASMEから導出されてよい。
図6は、セルラーネットワークに関する改良された鍵階層の概略図を示す。UEのユニバーサル加入者識別モジュール(USIM)およびネットワークの認証センター(AuC)は、共有秘密鍵(SK)を記憶する。SKから、完全性鍵(IK)および暗号鍵(CK)が導出され、HSSに提供される。次いでHSSは、第1の認証セッション(鍵KSKMF)を生成し、それをSKMFに提供してよい。第1のセッション鍵KSKMFは、全認証セッションの間有効である。SKMFは、KSKMFを利用して、第2のセッション鍵(KASME)を生成し、その鍵をMMEに提供してよい。KASMEは、特定のMMEについてのみ有効であってよい。次いでMMEは、KASMEに基づいて他の鍵(KNASenc、KNASint、KeNB/NHなど)を生成してよい。
例示的な接続、ハンドオーバ、およびトラッキングエリア更新(TAU)プロセス
本開示の態様については、4Gロングタームエボリューションシステム構成要素に関して以下のいくつかの部分において説明する。これは例にすぎない。本開示は、4G LTEなどの任意の1つの特定のネットワークシステムによって限定されず、その代わり5Gシステムを含むがそれに限定されない他の種類の通信システムに適用されてよい。
ネットワークへの最初の接続中に、UEは、セッション鍵管理機能(SKMF)デバイスとの認証および鍵一致(AKA)手順を実行する。認証が成功すると、SKMFは、UEが接続されているMMEの鍵(たとえば、KASME)を導出し、その鍵をMMEに提供する。
MME再配置を伴うトラッキングエリア更新(TAU)がUEによって要求されると、TAU要求を受信した新しいMME(たとえば、ターゲットMME)は、SKMFから新しい鍵KASMEを受信し、非アクセス層(NAS)セキュリティモードコマンド(SMC)手順を実行することによってUEとのセキュリティアソシエーションを確立する。同様に、MME再配置を伴うハンドオーバが生じると、ターゲットMMEも、SKMFから新しい鍵KASMEを取得し、UEとのセキュリティアソシエーションを確立する。
2つのトラッキングエリアをサポートするMMEは、UEがトラッキングエリア間を移動するときにKASMEの変更を開始してよい。これによって、ネットワーク構成がUEから隠される。たとえば、UEには、トラッキングエリアのみが見えて、MMEは見えない。このことは、トラッキングエリアを変更するTAUまたはハンドオーバの両方に応答して生じる場合がある。
図7は、本開示の一態様によるUEがワイヤレス通信ネットワーク(たとえば、ワイヤレスセルラーネットワーク)に接続する場合の接続手順および初期データ転送の流れ図を示す。まず、UEがeNBに接続要求702を送信し、次いで、eNBがMMEに初期UEメッセージ704を送信する。次に、UEとSKMFが認証および鍵一致(AKA)706を実行する。AKAを実行する場合、SKMFは、認証情報要求707をHSSに送信し、それに応答して、期待応答(XRES)、認証値(AUTN)、乱数(RAND)、およびMME特定鍵KSKMFを含んでよい認証ベクトル708をHSSから受信する。AUTNは、シーケンス番号およびUEがHSSと共有する秘密鍵(SK)に基づいてよい。
AKAが成功すると、SKMFは、KSKMF(たとえば、「第2の鍵」)に基づくセッション鍵KASME(たとえば、「第1の鍵」)、MME識別子(たとえば、GUMMEI)、および/またはカウンタ値(たとえば、Key Count)を導出してよい。したがって、KASMEは、KDF(KSKMF、GUMMEI|Key Count)と等しくてよく、ここでは、KDFが鍵導出関数である。カウンタ値Key Countは、MMEへのハンドオーバが生じるたびに、SKMFが同じMMEの新しいKASME鍵を導出することを可能にするために、SKMFによって増分される場合があるカウンタ値である。一態様によれば、カウンタ値の代わりに1回使用される数字(ナンス)が使用されてよい。別の態様によれば、GUMMEIは、特定のMME識別情報を認可するために使用されない場合、省略されてよい。たとえば、SKMFが常に、KASMEを提供するMMEと同じネットワーク内にある場合、鍵導出にGUMMEIを含めることは不要である場合がある。したがって、別の例によれば、KASMEはKDF(KSKMF,ナンス)と等しくてよい。次いで、MME特定鍵KASMEがMMEに送られる710。MMEは次いで、鍵KASMEを使用してUEとの非アクセス層(NAS)セキュリティモードコマンド(SMC)手順712を実行してよい。NAS SMC手順712の間、MMEは、UEがKASMEを導出することもできるように、MMEのGUMMEIおよび/またはKey CountをUEに提供してよい。図7に示される手順の残りの部分714〜728は、4G LTEセルラー通信プロトコルにおける手順と同様である。
図8は、本開示の一態様によるS1ハンドオーバ手順の流れ図を示す。まず、ソースeNB(すなわち、現在のeNB)は、ソースMME(すなわち、現在のMME)にハンドオーバ(HO)必要メッセージ802を送信する。次に、ソースMMEは、ターゲットMME(すなわち、新しいMME)に再配置要求804を送信/転送する。ターゲットMMEは、セッション要求806を作成してターゲットサービングゲートウェイ(S-GW)に送信し、ターゲットS-GWからセッション応答808を受信してよい。ターゲットMMEはまた、MME特定鍵KASMEを求める鍵要求810をSKMFに送信してもよい。そうする際に、ターゲットMMEは、SKMFにMMEのGUMMEIを提供してよい。SKMFは次に、MMEのGUMMEIと、(上述したように)以前にHSSから受信したKSKMF鍵と、Key Countとを使用して、KASMEを生成してよい。一態様によれば、Key Countの代わりに1回使用される数字(ナンス)が使用され得る。別の態様によれば、GUMMEIは、特定のMME識別情報を認可することが望まれない場合、省略されてよい。SKMFは、812においてKASMEをターゲットMMEに送信する。一態様によれば、ターゲットMMEは、セッション要求806をターゲットS-GWに送信し、ほぼ同時に鍵要求810を送信してよい。したがって、ステップ806および810は、ステップ808および812と同時に実行されてよい。
次いで、ターゲットMMEは、ターゲットeNB(すなわち、潜在的な新しいeNB)にハンドオーバ要求814を送信してよく、それに応答して、ターゲットeNBは、ハンドオーバ応答816を返送する。ハンドオーバ要求814は、KASMEを使用してターゲットMMEによって導出された鍵KeNBを含んでよい。ハンドオーバ応答816は、ターゲットeNBがハンドオーバを受け入れることに同意するかどうかを示す。ターゲットeNBがハンドオーバを受け入れることに同意する場合、ターゲットMMEは、鍵(すなわち、KASME)肯定応答メッセージ818をSKMFに送る。SKMFは、鍵肯定応答メッセージを受信すると、次に、Key Countカウンタ値を増分してよい。ハンドオーバ要求がターゲットeNBによって拒否される可能性があるため、鍵確認メッセージ818を送るステップは、ハンドオーバ要求肯定応答816が受信されるまで遅延される。そのような場合、新しいKASMEは、UEによって導出される必要はなく、SKMFがKey Countを増やす必要がない場合もある。ターゲットMMEがソースMMEに再配置応答820を送った後、ソースMMEは、ハンドオーバコマンド822をソースeNBに送り、ソースeNBは、824においてUEに転送される。ハンドオーバコマンド822、824は、UEがターゲットeNBのための新しいKASMEおよび新しいKeNBを導出することができるように、ターゲットMMEのGUMMEIおよびKey Countを含んでよい。UEは、ハンドオーバ確認メッセージ826でターゲットeNBに応答する。ハンドオーバ確認メッセージ826は、完全性が保護され、暗号化される。
図9は、UEが本開示の一態様によるMME再配置を必要とする新しい位置に移動した後のトラッキングエリア更新手順の流れ図を示す。まず、UEは、トラッキングエリア更新要求902を生成してeNBに送信する。eNBは次に、UEに関連付けられるターゲットMMEにトラッキングエリア更新要求904を転送する。eNBは、UEの位置を含む様々な基準に基づいて、トラッキングエリア更新要求を送るべき新しい/ターゲットMMEを決定する。トラッキングエリア更新要求は、今度はソースMME(すなわち、UEに現在関連付けられているMME)のGUMMEIを含むグローバル一意一時識別子(GUTI)を含んでよい。次いで、ターゲットMMEは、UEコンテキスト要求メッセージ906をソースMMEに送信するために、受信したトラッキングエリア更新要求においてGUMMEIを使用してよい。次いで、ソースMMEは、UEコンテキスト応答メッセージ908内のUEコンテキスト情報で応答する。ひとたびこの応答が受信されると、910においてターゲットMMEからソースMMEに肯定応答が送られてよい。
次いで、ターゲットMMEは、SKMF912においてロケーション更新および鍵要求(すなわち、KASME鍵要求)をSKMFに送ってよい。ロケーション更新はHSSに転送され、HSSは次いで、古いMMEにロケーション取消しメッセージ914を送る(古いMMEはHSSにロケーション取消し肯定応答メッセージ916を送り返してよい)。SKMF912においてSKMFは、前に説明したように、ターゲットMMEのGUMMEIおよび/またはKey Countカウンタ値に基づいて、ターゲットMMEのための新しいKASMEを生成してよい。一態様によれば、Key Countの代わりに1回使用される数字(ナンス)が使用されてよい。別の態様によれば、GUMMEIは、特定のMME識別情報を認可することが望まれない場合、省略されてよい。918において新しいKASMEが、ロケーション更新肯定応答とともにターゲットMMEに送信される。ターゲットMMEは、SKMFからKASMEを受信すると、SKMFに鍵肯定応答メッセージ920で応答してよい。一態様によれば、ターゲットMMEは、ロケーション更新および鍵要求912をSKMFに送信するのとほぼ同時に、UEコンテキスト要求メッセージ906をソースMMEに送信してよい。したがって、ステップ906、908、および910は、ステップ914、916、918、920と同時に実行されてよい。
ターゲットMMEがひとたびSKMFからKASMEを受信すると、ターゲットMMEは、次いで、UEとの非アクセス層セキュリティモードコマンド手順922、924を実行してよい。セキュリティモードコマンド手順の間、UEは、ターゲットMMEがそのGUMMEIをUEに提供するので、ターゲットMMEによって使用される鍵KASMEを導出する。ひとたびUEがターゲットMMEと同じKASMEも有すると、UEおよびターゲットMMEは、KASME鍵に基づいて安全な通信を行い得る。たとえば、ターゲットMMEは、926、928で、KASMEまたはKASMEから導出された他の鍵(たとえば、NAS暗号化および完全性保護鍵)によって通信が暗号化されているUEとのトラッキングエリア更新交換926、928を行ってよい。この交換は、ターゲットMMEのGUMMEIに基づいて新しいGUTIを含むターゲットMMEからUEに送られるメッセージを含んでよい。そのようなメッセージは、KASMEまたはKASMEから導出された別の鍵によって再び暗号化される。
図9に示され、かつ上述したように、NAS SMC922、924の後にトラッキングエリア更新プロセス926、928が続く。本開示のいくつかの態様では、NAS SMC922、924とトラッキングエリア更新プロセス926、928が組み合わされてよい。たとえば、ターゲットMMEからUEに送られたNAS SMCメッセージ922は、トラッキングエリア更新メッセージ926と組み合わされてよい。そうする際に、UEがKASMEを導出するのを助けるメッセージの部分は暗号化されないまま、組み合わされたメッセージの一部(たとえば、トラッキングエリア更新に関連する部分)のみが暗号化されてよい。MMEによって割り振られた、GUTIの一部である新しい一時的モバイル加入者識別情報(TMSI)が暗号化されてよい。
鍵導出
上記で説明したように、AKAは、UEとSKMFとの間で実行される。鍵KSKMFは、HSSによって導出され、SKMFに送られる。HSSの観点から、認証ベクトルは、4G LTEと同じ方法で構築され、MMEの代わりにSKMFに送られる。したがって、HSSは、いかなる変更もなく、SKMFに接続されてよい。
SKMFは、所与のMMEについてMME特定鍵KASMEを導出し、したがって、MMEのGUMMEIは、KASME鍵導出プロセスにおいて使用されてよい。NASカウント値は、新しいKASMEについてゼロ(0)に初期化されてよい。一例では、トラッキングエリア更新が完了しなければ、古いNASカウント値は破棄されない。鍵KASMEが新しい鍵であるように、UEおよびSKMFは、Key Countカウンタ値を維持し、それをKASME導出のために使用してよい。これは、UEが古いMME(たとえば、ソースMME)に戻る場合に同じKASMEを導出することを避けるために行われてよい。Key Countカウンタ値は、初期のAKAが成功裏に実行されたとき、ゼロ(0)または何らかの他の所定の値に初期化されてよい。いくつかの態様では、Key Countカウンタ値の代わりにナンスが使用されてよい。別の態様では、鍵導出からGUMMEIが省略されてよい。
鍵KSKMF、KASME、KeNB、ネクストホップ(NH)などを生成するために使用される鍵導出関数(KDF)は、HMAC-SHA-256、HMAC-SHA-3などを利用してよい。入力文字列Sは、n+1個の入力パラメータから構成されてよい。たとえば、S=[FC||P0||L0||P1||L1||P2||L2||…||PN||LN]である。フィールドコードFCは、アルゴリズムの異なるインスタンス間を区別するために使用される単一のオクテットであってよく、0x50〜0x5Fの範囲内の値を使用してよい。入力パラメータP0〜PNは、n+1個の入力パラメータ符号化である。P0は、ASCIIで符号化された静的な文字列であってよい。値L0〜LNは、対応する入力パラメータP0〜PNの長さの2オクテット表現である。
KSKMF導出
KSKMF=KDF(KCK/IK, S)。入力Sは、[FC||P0||L0||P1||L1]に等しくてよく、ここでは、FC=0x50、P0=SN id、L0=SN idの長さ(すなわち、L0=0x00 0x03)、P1=SQN XOR AK、およびL1=P1の長さ(すなわち、L1=0x00 0x06)である。SQNはシーケンス番号であり、AKは匿名鍵であり、XORは排他的論理和演算である。値SQN XOR AKは、認証トークン(AUTN)の一部としてUEに送られる。AKが使用されない場合、AKは、TS 33.102(すなわち、000 ... 0)に従って扱われてよい。入力鍵KCK/IKは、暗号鍵(CK)と完全性鍵(IK)との連結であり、すなわち、KCK/IK=CK||IKである。
KASME導出
KASME=KDF(KSKMF, S)。入力Sは、[FC||P0||L0||P1||L1]に等しくてよく、ここでは、FC=0x51、P0=GUMMEI、L0=48ビットGUMMEIの長さ(すなわち、L0=0x00 0x06)、P1=Key Countであり、L1は、P1の長さ(たとえば、L1=0x00 0x08)に等しくてよい。これは、KASMEが導出される場合がある方法の一例にすぎない。別の態様では、GUMMEIは省略されてよく、Key Countカウンタ値の代わりに1回使用される乱数(たとえば、ナンス)が使用されてよい。
NH導出
NH=KDF(KASME, S)。入力Sは、[FC||P0||L0]に等しくてよく、ここでは、FC=0x52、P0=Sync-Input、L0=Sync-Inputの長さ(すなわち、L0=0x00 0x20)である。Sync-Inputパラメータは、最初のNH導出のために新しく導出されたKeNB、および後続のすべての導出についての以前のNHであってよい。これによってNHチェーンが得られ、次のNHは常に新しく、以前のNHから導出される。
KeNB導出
K'eNB=KDF(KX, S)。ハンドオーバのために7.2.8節において指定されるように、現在のKeNBから、または新しいNHおよびUEおよびeNB内のターゲット物理セル識別子からK'eNBを導出するとき、入力Sは、[FC||P0||L0||P1||L1]に等しくてよく、ここでは、FC=0x53、P0=ターゲット物理セル識別子(PCI)、L0=PCIの長さ(たとえば、L0=0x00 0x02)、P1=EARFCN-DL(ターゲット物理セルダウンリンク周波数)、およびL1=P1の長さ(たとえば、L1=0x00 0x02)である。入力鍵KXは、ハンドオーバにおけるインデックスが大きくなったときには256ビットのネクストホップ(NH)鍵であってよく、他の場合、現在の256ビットのKeNBが使用される。
上記で示し、説明した図7〜図9では、MMEがソースMMEからターゲットMMEに変わると仮定する。しかしながら、単一のMMEが2つのMME(ソースMMEおよびターゲットMME)の役割を担い、2つのMME間に実際のインターフェースがない場合、同じプロセスフロー図が使用されてよい。
図7〜図9および鍵導出に関する上記の説明では、ネットワーク構成要素および関連する用語の特定の非排他的で非限定的な例を使用して本出願の開示の態様を示した。たとえば、「ユーザ機器」は、デバイスの単なる一例であってよい。MMEは、制御プレーンデバイスの単なる一例であってよい。SKMFは、鍵管理デバイスの単なる一例であってよい。MME識別子(たとえば、GUMMEI)は、制御プレーンデバイス識別子の単なる一例であってよい。トラッキングエリアは、サービスエリアの単なる一例であってよく、同様に、トラッキングエリア更新は、サービスエリア更新の単なる一例であってよい。SMCおよびNAS SMCは、制御プレーンメッセージの単なる一例であってよい。eNBは、無線アクセスノードの単なる一例であってよい。
図10は、本開示の一態様によるデバイス1000(たとえば、「ユーザデバイス」、「ユーザ機器」、「ワイヤレスデバイス」など)の概略ブロック図を示す。ユーザデバイス1000は、限定はしないが、モバイルフォン、スマートフォン、ラップトップ、パーソナルデジタルアシスタント(PDA)、タブレット、コンピュータ、スマートウォッチ、および頭部装着型ウェアラブルコンピュータ(たとえばGoogle Glass(登録商標))など、任意のワイヤレス通信デバイスであってよい。ユーザデバイス1000は、1つまたは複数のワイヤレス通信インターフェース1002、1つまたは複数のメモリ回路1004、1つまたは複数の入力および/もしくは出力(I/O)デバイス/回路1006、ならびに/あるいは、1つまたは複数の処理回路1008を少なくとも含んでよく、これらは相互に通信可能に結合されてよい。たとえば、インターフェース1002、メモリ回路1004、I/Oデバイス1006、および処理回路1008は、バス1010を介して相互に通信可能に結合されてよい。ワイヤレス通信インターフェース1002は、ユーザデバイス1000がワイヤレス通信ネットワーク104とワイヤレス通信するのを可能にする。したがって、インターフェース1002は、ユーザデバイス1000が、モバイル遠隔通信セルラーネットワークなどのワイヤレスワイドエリアネットワーク(WWAN)、ならびに短距離ワイヤレスローカルエリアネットワーク(たとえば、WiFi(登録商標)、Zigbee(登録商標)、Bluetooth(登録商標)など)とワイヤレス通信するのを可能にする。
メモリ回路1004は、1つまたは複数の揮発性メモリ回路および/または不揮発性メモリ回路を含んでよい。したがって、メモリ回路1004は、ダイナミックランダムアクセスメモリ(DRAM)、スタティックランダムアクセスメモリ(SRAM)、磁気抵抗ランダムアクセスメモリ(MRAM)、電気的消去可能プログラマブル読取り専用メモリ(EEPROM)、フラッシュメモリなどを含んでよい。メモリ回路1004は、1つまたは複数の暗号鍵を記憶してよい。メモリ回路1004は、処理回路1008によって実行される場合がある命令を記憶してよい。I/Oデバイス/回路1006は、1つまたは複数のキーボード、マウス、ディスプレイ、タッチスクリーンディスプレイ、プリンタ、指紋スキャナ、および任意の他の入力および/または出力デバイスを含んでよい。
処理回路1008(たとえば、プロセッサ、中央処理ユニット(CPU)、アプリケーション処理ユニット(APU)など)は、メモリ回路1006に記憶された命令、および/または、ユーザデバイス1000に通信可能に結合される別のコンピュータ可読記憶媒体(たとえば、ハードディスクドライブ、光ディスクドライブ、ソリッドステートドライブなど)に記憶された命令を実行してよい。処理回路1008は、図2、図3、図4、図5、図6、図7、図8、図9、図11、および図12に関して論じられるものを含めて、本明細書に記載のユーザデバイス1000のステップおよび/またはプロセスのうちの任意の1つを実行してよい。
図11は、デバイスにおいて実行される方法1100を示す図である。このデバイスは、集積回路、複数の集積回路、または1つもしくは複数の集積回路を組み込む電子デバイスであってよい。この方法は、制御プレーンデバイス再配置またはサービスエリアの変更を伴うサービスエリア更新を実行するための方法であってよい。まず、1102において、新しいサービスエリア(たとえば、新しいトラッキングエリア、新しいルーティングエリアなど)への進入が上記デバイスにおいて特定される。次に、1104において、サービスエリア更新要求が、ネットワークに関連付けられたネットワークデバイスに送信される。次いで、1106において、サービスエリア更新要求を送信したことに応じてサービスエリアの変更に起因する制御プレーンデバイス再配置または鍵リフレッシュを示す制御プレーンメッセージ(1つの非限定的で非排他的な例はセキュリティモードコマンドを含む)が、ネットワークから受信される。次に、1108において、受信された制御プレーンメッセージに含まれるデータおよび上記デバイスと鍵管理デバイス(たとえば、SKMF)との間で共有される第2の鍵(たとえば、KSKMF)に部分的に基づいて第1の鍵(たとえば、KASME)が導出され、この場合、鍵管理デバイスはネットワークに関連付けられる。一態様によれば、制御プレーンメッセージは、サービスエリアの変更に起因してターゲット制御プレーンデバイス(たとえば、ターゲットMME)から受信され、ターゲット制御プレーンデバイスは、現在上記デバイスにサービスしている制御プレーンデバイスとは異なる制御プレーンデバイス(たとえば、ソースMME)である。別の態様によれば、制御プレーンメッセージに含まれるデータは、現在上記デバイスにサービスしており、ならびに/あるいは将来上記デバイスにサービスする制御プレーンデバイスを特定する制御プレーンデバイス識別子(たとえば、限定はしないが、GUMMEIなどのMME識別子)を含む。
一態様によれば、第1の鍵を導出することは、鍵管理デバイスにおいて維持され、制御プレーンメッセージ内に含まれるカウンタ値Key Countにさらに部分的に基づく。別の態様によれば、処理回路は、上記デバイスとネットワークとの間の通信を安全にするために第1の鍵に基づいて発展型ノードB(eNB)鍵KeNB、非アクセス層鍵KNAS、および/またはネクストホップ(NH)鍵のうちの少なくとも1つが導出される。また別の態様によれば、新しいサービスエリアは、新しいトラッキングエリアおよび/または新しいルーティングエリアの少なくとも一方であり、サービスエリア更新要求は、トラッキングエリア更新および/またはルーティングエリア更新の少なくとも一方に関連付けられる。
一態様によれば、制御プレーンメッセージは、セキュリティモードコマンドであり、ターゲット制御プレーンデバイスは、ターゲットMMEであり、鍵管理デバイスは、SKMFデバイスであり、第2の鍵は、認証セッションに関するセッションルート鍵である。別の態様によれば、制御プレーンデバイスは、上記デバイスに関するモビリティ管理コンテキストおよびセッション管理コンテキストを維持し、鍵管理デバイスは第2の鍵を維持する。
図12は、制御プレーンデバイス再配置またはサービスエリアの変更を伴うハンドオーバを実行するためにデバイスにおいて実施される方法1200を示す。まず、1202において、ネットワークに関連付けられたネットワークデバイス(たとえば、ソースeNB)からハンドオーバコマンドが受信され、この場合、ハンドオーバコマンドは新しいサービスエリア(たとえば、新しいトラッキングエリア、新しいルーティングエリアなど)を示す。次に、1204において、ハンドオーバコマンドに含まれるデータおよび上記デバイスと鍵管理デバイス(たとえば、SKMF)との間で共有される第2の鍵(たとえば、KSKMF)に基づいて第1の鍵(たとえば、KASME)が導出され、この場合、鍵管理デバイスはネットワークに関連付けられる。次いで、1206において、第1の鍵に基づいて安全にされたハンドオーバ確認メッセージがネットワークデバイスに送られる。
一態様によれば、ハンドオーバコマンドは、現在上記デバイスにサービスしておりならびに/あるいは将来上記デバイスにサービスするターゲット無線アクセスノード(たとえば、ターゲットeNB)にサービスするターゲット制御プレーンデバイス(たとえば、ターゲットMME)に関連するターゲット制御プレーンデバイス識別子(たとえば、GUMMEIを含む場合があるターゲットMME識別子)を含む。別の態様によれば、第1の鍵を導出することは、ターゲット制御プレーンデバイス識別子に部分的に基づく。また別の態様によれば、ターゲット制御プレーンデバイスは、ターゲットモビリティ管理エンティティ(MME)であり、鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、ターゲット制御プレーンデバイス識別子は、ターゲットMMEに関連するMME識別子である。
図13は、本開示の一態様によるネットワークデバイス1300の概略ブロック図を示す。ネットワークデバイス1300は、MME、RAN、S-GW、および/またはP-GWであってよい。ネットワークデバイス1300は、1つもしくは複数のワイヤレス通信インターフェース1302、1つもしくは複数のメモリ回路1304、1つもしくは複数の入力および/もしくは出力(I/O)デバイス/回路1306、ならびに/または1つもしくは複数の処理回路1308を少なくとも含んでよく、これらは相互に通信可能に結合されてよい。たとえば、インターフェース1302、メモリ回路1304、I/Oデバイス1306、および処理回路1308は、バス1310を介して相互に通信可能に接続されてよい。ワイヤレス通信インターフェース1302は、ネットワークデバイス1300がユーザデバイス102とワイヤレス通信することを可能にする。したがって、インターフェース1302は、ネットワークデバイス1300が、モバイル遠隔通信セルラーネットワークのようなワイヤレスワイドエリアネットワーク(WWAN)、および/または短距離ワイヤレスローカルエリアネットワーク(たとえば、WiFi(登録商標)、Zigbee(登録商標)、Bluetooth(登録商標)など)を介してワイヤレス通信することを可能にする。
メモリ回路1304は、1つまたは複数の揮発性メモリ回路および/または不揮発性メモリ回路を含んでよい。したがって、メモリ回路1304は、DRAM、SRAM、MRAM、EEPROM、フラッシュメモリなどを含んでよい。メモリ回路1304は、1つまたは複数の暗号鍵を記憶してよい。メモリ回路1304は、処理回路1308によって実行される場合がある命令を記憶してもよい。I/Oデバイス/回路1306は、1つまたは複数のキーボード、マウス、ディスプレイ、タッチスクリーンディスプレイ、プリンタ、指紋スキャナ、および任意の他の入力および/または出力デバイスを含んでよい。
処理回路1308(たとえば、プロセッサ、中央処理ユニット(CPU)、アプリケーション処理ユニット(APU)など)は、メモリ回路1306に記憶された命令、および/または、ネットワークデバイス1300に通信可能に結合される別のコンピュータ可読記憶媒体(たとえば、ハードディスクドライブ、光ディスクドライブ、ソリッドステートドライブなど)に記憶された命令を実行してよい。処理回路1308は、図2、図3、図4、図5、図6、図7、図8、図9、図14、および図15に関して論じられるものを含めて、本明細書に記載のネットワークデバイスのステップおよび/またはプロセスのうちの任意の1つを実行してよい。
図14は、制御プレーンデバイス再配置または制御プレーンデバイスにおけるサービスエリアの変更を伴うトラッキングエリア更新を実行するためにネットワークデバイスにおいて実施される方法1400を示す。まず、1402において、ネットワークデバイスがデバイスコンテキスト(たとえば、UEコンテキスト)を有しないデバイスまたはサービスエリア(たとえば、トラッキングエリアまたはルーティングエリア)を変更したデバイス(たとえば、ユーザ機器)からサービスエリア更新要求が受信される。次に、1404において、第1の鍵(たとえば、KASME)を求める要求が鍵管理デバイス(たとえば、SKMF)に送信される。次いで、1406において、鍵管理デバイスから第1の鍵が受信され、この場合、第1の鍵は、鍵管理デバイスと上記デバイスとの間で共有される第2の鍵(たとえば、KSKMF)に部分的に基づく。次に、1408において、上記デバイスが第1の鍵を導出することを可能にするデータを含む制御プレーンメッセージが上記デバイスに送信される。一態様によれば、ネットワークデバイスは、モビリティ管理エンティティ(MME)であり、第1の鍵はさらに、MMEを特定するMME識別子に基づく。別の態様によれば、ネットワークデバイスがデバイスコンテキストを有しない場合、以前に上記デバイスにサービスした以前の制御プレーンデバイスに、デバイスコンテキスト要求が送信される。
一態様によれば、デバイスコンテキストは、デバイスコンテキスト要求を送信したことに応じて以前の制御プレーンデバイスから受信される。別の態様によれば、データは、ネットワークデバイスを特定する制御プレーンデバイス識別子を含む。また別の態様によれば、鍵管理デバイスからカウンタ値Key Countが第1の鍵とともに受信される。
一態様によれば、カウンタ値Key Countは、上記デバイスに送信されるデータに含まれる。別の態様によれば、制御プレーンメッセージが成功裏に受信された旨の通知を上記デバイスから受信した後で上記デバイスにサービスエリア更新が送信される。また別の態様によれば、サービスエリア更新要求は、トラッキングエリア更新および/またはルーティングエリア更新の少なくとも一方に関連付けられ、サービスエリアを変更することは、トラッキングエリアを変更することおよび/またはルーティングエリアを変更することの少なくとも一方を含む。別の態様によれば、制御プレーンメッセージは、非アクセス層セキュリティモードコマンドであり、鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、上記デバイスは、ユーザ機器であり、デバイスコンテキストは、ユーザ機器に関連するユーザ機器コンテキストであり、第2の鍵は、認証セッションに関するセッションルート鍵である。
図15は、制御プレーンデバイス再配置または制御プレーンデバイスにおけるサービスエリアの変更を伴うハンドオーバを実行するためにネットワークデバイスにおいて実施される方法1500を示す。まず、1502において、転送再配置要求がネットワークデバイスにおいてソース制御プレーンデバイスから受信される。次に、1504において、第1の鍵を求める要求がセッション鍵管理機能(SKMF)デバイスに送信される。次いで、1506において、鍵管理デバイスから第1の鍵が受信され、この場合、第1の鍵は、鍵管理デバイスとデバイスとの間で共有される第2の鍵に部分的に基づく。次に、ハンドオーバ要求が、第1の鍵から導出されたRANセッション鍵とともにターゲット無線アクセスノード(RAN)に送信される。一態様によれば、ターゲットRANがデバイスにサービスすることを示すハンドオーバ要求肯定応答メッセージが、ターゲットRANから受信される。別の態様によれば、処理回路は、ターゲットRANからハンドオーバ要求肯定応答メッセージを受信した後にのみ、第1の鍵を受信したことを示す肯定応答メッセージが鍵管理デバイスに送信される。
一態様によれば、第1の鍵を導出するために上記デバイスによって利用されるデータを含む転送再配置応答が、ソース制御プレーンデバイスに送信される。別の態様によれば、ネットワークデバイスは、上記デバイスにサービスするターゲット制御プレーンデバイスであり、データは、ターゲット制御プレーンデバイスを特定するターゲット制御プレーンデバイス識別子を含む。また別の態様によれば、ターゲット制御プレーンデバイスは、ターゲットモビリティ管理エンティティ(MME)であり、ソース制御プレーンデバイスはソースMMEであり、ターゲット制御プレーンデバイス識別子は、グローバル一意MME識別子(GUMMEI)であり、鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、上記デバイスはユーザ機器である。また別の態様によれば、カウンタ値Key Countが第1の鍵とともに受信される。
図16は、本開示の一態様によるデバイス1600(たとえば、ユーザデバイス/機器)のブロック図を示す。デバイス1600は、サービスエリア識別回路1602、サービスエリア更新要求送信回路1604、制御プレーンメッセージ受信回路1606、および/または第1の鍵導出回路1608を含み、これらの回路はすべて、通信バス1610を介して通信可能に結合されてよい。デバイス1600の回路1602、1604、1606、1608の各々は、それぞれの特定の機能を実行するように特定的に配線された専用回路(たとえば、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)など)であってよい。
サービスエリア識別回路1602は、新しいサービスエリアへの進入を特定するための手段の一例であってよい。サービスエリア更新要求送信回路1604は、ネットワークに関連付けられたネットワークデバイスにサービスエリア更新要求を送信するための手段の一例であってよい。制御プレーンメッセージ受信回路1606は、サービスエリア更新要求を送信したことに応じてサービスエリアの変更に起因する制御プレーンデバイス再配置または鍵リフレッシュを示す制御プレーンメッセージをネットワークから受信するための手段の一例であってよい。第1の鍵導出回路1608は、受信された制御プレーンメッセージに含まれるデータおよび上記デバイスと鍵管理デバイスとの間で共有される第2の鍵に部分的に基づいて第1の鍵を導出するための手段の一例であってよい。
図17は、本開示の一態様によるデバイス1700(たとえば、ユーザデバイス/機器)のブロック図を示す。デバイス1700は、ハンドオーバコマンド受信回路1702、第1の鍵導出回路1704、および/またはハンドオーバ確認送信回路1706を含み、これらの回路はすべて、通信バス1708を介して通信可能に結合されてよい。デバイス1700の回路1702、1704、1706の各々は、それぞれの特定の機能を実行するように特定的に配線された専用回路(たとえば、ASIC、FPGAなど)であってよい。
ハンドオーバコマンド受信回路1702は、ネットワークに関連付けられたネットワークデバイスからハンドオーバコマンドを受信するための手段の一例であってよく、ハンドオーバコマンドは新しいサービスエリアを示す。第1の鍵導出回路1704は、ハンドオーバコマンドに含まれるデータおよび上記デバイスと鍵管理デバイスとの間で共有される第2の鍵に基づいて第1の鍵を導出するための手段の一例であってよい。ハンドオーバ確認送信回路1706は、第1の鍵に基づいて安全にされたハンドオーバ確認メッセージを送るための手段の一例であってよい。
図18は、本開示の一態様によるネットワークデバイス1800(たとえば、MME)のブロック図を示す。デバイス1800は、第1の鍵要求送信回路1802、サービスエリア更新要求受信回路1804、第1の鍵受信回路1806、および/または制御プレーンメッセージ送信回路1808を含んでよく、これらの回路はすべて、通信バス1810を介して通信可能に結合されてよい。ネットワークデバイス1800の回路1802、1804、1806、1808の各々は、それぞれの特定の機能を実行するように特定的に配線された専用回路(たとえば、ASIC、FPGAなど)であってよい。
第1の鍵要求送信回路1802は、第1の鍵を求める要求を鍵管理デバイスに送信するための手段の一例であってよい。サービスエリア更新要求受信回路1804は、ネットワークデバイスがデバイスコンテキストを有しないデバイスまたはサービスエリアを変更したデバイスからサービスエリア更新要求を受信するための手段の一例であってよい。第1の鍵受信回路1806は、鍵管理デバイスから第1の鍵を受信するための手段の一例であってよく、第1の鍵は、鍵管理デバイスと上記デバイスとの間で共有される第2の鍵に部分的に基づく。制御プレーンメッセージ送信回路1808は、上記デバイスが第1の鍵を導出するのを可能にするデータを含む制御プレーンメッセージを上記デバイスに送信するための手段の一例であってよい。
図19は、本開示の一態様によるネットワークデバイス1900(たとえば、MME)のブロック図を示す。デバイス1900は、転送再配置要求受信回路1902、第1の鍵要求送信回路1904、第1の鍵受信回路1906、および/またはハンドオーバ要求送信回路1908を含んでよく、これらの回路はすべて、通信バス1910を介して通信可能に結合されてよい。ネットワークデバイス1900の回路1902、1904、1906、1908の各々は、それぞれの特定の機能を実行するように特定的に配線された専用回路(たとえば、ASIC、FPGAなど)であってよい。
転送再配置要求受信回路1902は、ネットワークデバイスにおいてソース制御プレーンデバイスから転送再配置要求を受信するための手段の一例であってよい。第1の鍵要求送信回路1904は、第1の鍵を求める要求を鍵管理デバイスに送信するための手段の一例であってよい。第1の鍵受信回路1906は、鍵管理デバイスから第1の鍵を受信するための手段の一例であってよく、第1の鍵は、鍵管理デバイスとデバイスとの間で共有される第2の鍵に部分的に基づく。ハンドオーバ要求送信回路1908は、ハンドオーバ要求を、第1の鍵から導出されたRANセッション鍵とともにターゲット無線アクセスノード(RAN)に送信するための手段の一例であってよい。
図2、図3、図4、図5、図6、図7、図8、図9、図10、図11、図12、図13、図14、図15、図16、図17、図18、および/または図19に示される構成要素、ステップ、特徴および/または機能のうちの1つまたは複数は、単一の構成要素、ステップ、特徴または機能に再構成され、かつ/もしくは組み合わされ、または、いくつかの構成要素、ステップ、もしくは機能で具現化されてよい。本発明から逸脱することなしに、さらなる要素、構成要素、ステップ、および/または機能が追加されてもよい。図1、図3、図4、図5、図7、図8、図9、図10、図13、図16、図17、図18および/または図19に示した装置、デバイス、および/または構成要素は、図2、図6、図7、図8、図9、図11、図12、図14および/または図15で説明した方法、特徴、またはステップのうちの1つまたは複数を実行するように構成されてよい。本明細書で説明するアルゴリズムはまた、ソフトウェアにおいて効率的に実装されてよく、かつ/またはハードウェアに組み込まれてよい。
また、本開示の態様は、フローチャート、フロー図、構造図またはブロック図として示されるプロセスとして記載される場合があることに留意されたい。フローチャートでは動作を逐次プロセスとして説明する場合があるが、動作の多くは並行して実行することができあるいは同時に実行することができる。加えて、動作の順序は並べ替えられてよい。プロセスは、その動作が完了するときに終了する。プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに対応してよい。プロセスが関数に対応するとき、その終了は呼出し関数またはメイン関数への関数のリターンに対応する。
その上、記憶媒体は、データを記憶するための1つまたは複数のデバイスを表してよく、これらのデバイスは、読取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光記憶媒体、フラッシュメモリデバイス、および/または他の機械可読媒体、ならびに、情報を記憶するためのプロセッサ可読媒体および/またはコンピュータ可読媒体を含む。「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」という用語は、限定はしないが、ポータブルまたは固定記憶デバイス、光記憶デバイス、ならびに、命令および/またはデータを記憶または格納することが可能な様々な他の媒体のような非一時的媒体を含んでよい。したがって、本明細書で説明する様々な方法は、「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」内に記憶され、1つまたは複数のプロセッサ、機械および/またはデバイスによって実行され得る命令および/またはデータによって、完全にまたは部分的に実装され得る。
さらに、本開示の態様は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはそれらの任意の組合せによって実装されてよい。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードで実装されるとき、必要なタスクを実行するためのプログラムコードまたはコードセグメントは、記憶媒体または他のストレージなどの機械可読媒体の中に記憶されてよい。プロセッサは、必要なタスクを実行する場合がある。コードセグメントは、プロシージャ、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、または命令、データ構造、もしくはプログラムステートメントの任意の組合せを表してよい。コードセグメントは、情報、データ、引数、パラメータ、もしくはメモリ内容を渡すことおよび/または受信することによって、別のコードセグメントまたはハードウェア回路に結合されてよい。情報、引数、パラメータ、データなどは、メモリ共有、メッセージパッシング、トークンパッシング、ネットワーク送信などを含む任意の好適な手段を介して渡され、転送され、または送信されてよい。
本明細書において開示される例に関して説明する様々な例示的な論理ブロック、モジュール、回路、要素、および/または構成要素は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブル論理構成要素、個別ゲートもしくはトランジスタ論理、個別ハードウェア構成要素、または本明細書において説明する機能を実行するように設計されたそれらの任意の組合せによって実装または実行されてよい。汎用プロセッサはマイクロプロセッサであってよいが、代替として、プロセッサは任意の従来のプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってよい。プロセッサはまた、コンピューティング構成要素の組合せ、たとえば、DSPとマイクロプロセッサとの組合せ、いくつかのマイクロプロセッサ、DSPコアと連係した1つまたは複数のマイクロプロセッサ、あるいは他の任意のそのような構成として実装されてもよい。
本明細書で開示する例に関して説明した方法またはアルゴリズムは、処理ユニット、プログラミング命令、または他の指示の形態で、直接ハードウェアで、プロセッサによって実行可能なソフトウェアモジュールで、または両方の組合せで具現化されてよく、単一のデバイスに含まれるかまたは複数のデバイスにわたって分散されることがある。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD-ROM、または当技術分野で既知の任意の他の形態の記憶媒体に存在してよい。記憶媒体は、プロセッサが記憶媒体から情報を読み取ることができ、記憶媒体に情報を書き込むことができるように、プロセッサに結合されてよい。代替形態において、記憶媒体はプロセッサと一体である場合がある。
当業者には、本明細書で開示する態様に関して説明する様々な例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップが、電子ハードウェア、コンピュータソフトウェア、またはその両方の組合せとして実装されてよいことが、さらに諒解されよう。ハードウェアおよびソフトウェアのこの互換性を明確に示すために、様々な例示的な構成要素、ブロック、モジュール、回路、およびステップについて、上では全般的にそれらの機能に関して説明した。そのような機能がハードウェアとして実装されるか、ソフトウェアとして実装されるかは、特定の用途およびシステム全体に課される設計制約に依存する。
本明細書で説明した本発明の様々な特徴は、本発明から逸脱することなく、異なるシステムに実装することができる。本開示の前述の態様は、単なる例であり、本発明を限定するものとして解釈されるべきではないことに留意すべきである。本開示の態様の説明は、例示的であることが意図されており、特許請求の範囲を限定することを意図されていない。したがって、本教示は、他のタイプの装置にも容易に適用することができ、多くの代替、修正、および変形が当業者には明らかであろう。
102 ユーザデバイス
104 ワイヤレス通信ネットワーク
300 セッション鍵管理機能デバイス(SKMF)
310 モビリティ管理エンティティ(MME)
320 ユーザ機器(UE)
330 ホーム加入者サーバ(HSS)
360 eNB
406 ホームネットワーク
702 接続要求
704 初期UEメッセージ
706 認証情報要求
708 認証ベクトル
712 非アクセス層(NAS)セキュリティモードコマンド(SMC)
802 ハンドオーバ(HO)必要メッセージ
804 再配置要求
806 セッション要求
808 セッション応答
810 鍵要求
814 ハンドオーバ要求
816 ハンドオーバ応答
818 鍵肯定応答メッセージ
820 再配置応答
822 ハンドオーバコマンド
826 ハンドオーバ確認メッセージ
902 更新要求
904 トラッキングエリア更新要求
906 UEコンテキスト要求メッセージ
908 UEコンテキスト応答メッセージ
910 肯定応答
914 ロケーション取消しメッセージ
916 ロケーション取消し肯定応答メッセージ
920 鍵肯定応答メッセージ
922、924 非アクセス層セキュリティモードコマンド手順
926、928 トラッキングエリア更新交換
1000 デバイス
1002 ワイヤレス通信インターフェース
1004 メモリ回路
1006 入力および/または出力(I/O)デバイス/回路
1008 処理回路
1010 バス
1300 ネットワークデバイス
1302 ワイヤレス通信デバイス
1304 メモリ回路
1306 入力および/または出力(I/O)デバイス/回路
1308 処理回路
1310 バス
1600 デバイス
1602 サービスエリア識別回路
1604 サービスエリア更新要求送信回路
1606 制御プレーンメッセージ受信回路
1608 第1の鍵導出回路
1610 通信バス
1700 デバイス
1702 ハンドオーバコマンド受信回路
1704 第1の鍵導出回路
1706 ハンドオーバ確認送信回路
1708 通信バス
1800 ネットワークデバイス
1802 第1の鍵要求送信回路
1804 サービスエリア更新要求受信回路
1806 第1の鍵受信回路
1808 制御プレーンメッセージ送信回路
1810 通信バス
1900 ネットワークデバイス
1902 転送再配置要求受信回路
1904 第1の鍵要求送信回路
1906 第1の鍵受信回路
1908 ハンドオーバ要求送信回路
1910 通信バス

Claims (16)

  1. デバイスであって、
    データをワイヤレスにネットワークに送信しかつ前記ネットワークから受信するように適合されたワイヤレス通信インターフェースであって、前記ネットワークは、セッション鍵管理デバイスと、ソースモビリティ管理エンティティ(MME)と、ターゲットMMEとを含む、ワイヤレス通信インターフェースと、
    前記ワイヤレス通信インターフェースに通信可能に結合された処理回路と
    を備え、前記処理回路が、
    新しいサービスエリアへの進入を特定することと、
    前記ターゲットMMEにサービスエリア更新要求を送信することと、
    前記サービスエリア更新要求を送信したことに応じてサービスエリアの変更に起因する制御プレーンデバイス再配置または鍵リフレッシュを示す制御プレーンメッセージを前記ネットワークから受信することと、
    前記デバイスと前記ターゲットMMEとの間のセキュリティモードコマンド(SMC)手順の遂行に関する第1の鍵を導出することであって、前記第1の鍵は、(i)受信された前記制御プレーンメッセージに含まれるデータ、および(ii)前記デバイスと鍵管理デバイスとの間で共有される第2の鍵に基づいている、導出することと
    を行うように適合される、デバイス。
  2. 前記制御プレーンメッセージに含まれる前記データは、前記デバイスにサービスしている、および/または、前記デバイスにサービスすることになる制御プレーンデバイスを特定する制御プレーンデバイス識別子を含む、請求項1に記載のデバイス。
  3. 前記第1の鍵を導出することは、前記鍵管理デバイスにおいて維持され、前記制御プレーンメッセージ内に含まれるカウンタ値Key Countにさらに基づく、請求項1に記載のデバイス。
  4. 前記処理回路は、
    前記デバイスと前記ネットワークとの間の通信を安全にするために前記第1の鍵に基づいて発展型ノードB(eNB)鍵KeNB、非アクセス層鍵KNAS、および/またはネクストホップ(NH)鍵のうちの少なくとも1つを導出するようにさらに適合される、請求項1に記載のデバイス。
  5. 前記新しいサービスエリアは、新しいトラッキングエリアおよび/または新しいルーティングエリアの少なくとも一方であり、
    前記サービスエリア更新要求は、トラッキングエリア更新および/またはルーティングエリア更新の少なくとも一方に関連付けられる、請求項1に記載のデバイス。
  6. 前記第2の鍵は、認証セッションに関するセッションルート鍵である、請求項1に記載のデバイス。
  7. 制御プレーンデバイスは、前記デバイスに関するモビリティ管理コンテキストおよびセッション管理コンテキストを維持し、
    前記鍵管理デバイスは、前記第2の鍵を維持する、請求項1に記載のデバイス。
  8. デバイスであって、
    データをワイヤレスにネットワークに送信しかつ前記ネットワークから受信するように適合されたワイヤレス通信インターフェースであって、前記ネットワークは、セッション鍵管理デバイスと、ソースモビリティ管理エンティティ(MME)と、ターゲットMMEとを含む、ワイヤレス通信インターフェースと、
    前記ワイヤレス通信インターフェースに通信可能に結合された処理回路と
    を備え、前記処理回路が、
    前記ソースMMEからハンドオーバコマンドを受信することであって、前記ハンドオーバコマンドが新しいサービスエリアを示す、受信することと、
    前記ハンドオーバコマンドに含まれるデータおよび前記デバイスと鍵管理デバイスとの間で共有される第2の鍵に基づいて第1の鍵を導出することと、
    前記第1の鍵に基づいて安全にされたハンドオーバ確認メッセージを送ることであって、前記ハンドオーバコマンドは、前記デバイスにサービスしている、および/または、前記デバイスにサービスすることになるターゲット無線アクセスノードにサービスする前記ターゲットMMEに関連するターゲットMME識別子を含む、送ることと
    を行うように適合され、
    前記鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、前記ターゲットMME識別子は、前記ターゲットMMEに関連するMME識別子である、デバイス。
  9. 前記第1の鍵を導出することは、前記ターゲットMME識別子に基づく、請求項8に記載のデバイス。
  10. 前記第1の鍵を導出することは、前記鍵管理デバイスにおいて維持されるカウンタ値Key Countにさらに基づく、請求項8に記載のデバイス。
  11. 前記第2の鍵は認証セッション用のセッションルート鍵である、請求項8に記載のデバイス。
  12. ネットワークに関連付けられたネットワークデバイスであって、前記ネットワークは、セッション鍵管理デバイスと、ソースモビリティ管理エンティティ(MME)と、ターゲットMMEとを含み、前記ネットワークデバイスは、
    情報を送受信するように適合された通信インターフェースと、
    前記通信インターフェースに通信可能に結合された処理回路と
    を備え、前記処理回路が、
    前記ネットワークデバイスがデバイスコンテキストを有しないユーザデバイスまたはサービスエリアを変更した前記ユーザデバイスからサービスエリア更新要求を受信することと、
    第1の鍵を求める要求を鍵管理デバイスに送信することと、
    前記鍵管理デバイスから前記第1の鍵を受信することであって、前記第1の鍵は、(i)前記鍵管理デバイスと前記ユーザデバイスとの間で共有される第2の鍵、および(ii)前記ネットワークデバイスを特定するMME識別子に基づいている、受信することと、
    前記ユーザデバイスが前記第1の鍵を導出することを可能にするデータを含む制御プレーンメッセージを前記ユーザデバイスに送信することと
    を行うように適合され、
    前記制御プレーンメッセージは、非アクセス層セキュリティモードコマンドであり、前記鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスであり、前記第2の鍵は、認証セッションに関するセッションルート鍵である、ネットワークデバイス。
  13. 前記処理回路は、
    前記制御プレーンメッセージが成功裏に受信された旨の通知を前記ユーザデバイスから受信した後で前記ユーザデバイスにサービスエリア更新を送信するようにさらに適合される、請求項12に記載のネットワークデバイス。
  14. ネットワークに関連付けられたネットワークデバイスであって、前記ネットワークは、セッション鍵管理デバイスと、ソースモビリティ管理エンティティ(MME)と、ターゲットMMEとを含み、前記ネットワークデバイスは、
    情報を送受信するように適合された通信インターフェースと、
    前記通信インターフェースに通信可能に結合された処理回路と
    を備え、前記処理回路が、
    前記ネットワークデバイスにおいてソースMMEから転送再配置要求を受信することと、
    第1の鍵を求める要求を鍵管理デバイスに送信することと、
    前記鍵管理デバイスから前記第1の鍵を受信することであって、前記第1の鍵は、前記鍵管理デバイスとデバイスとの間で共有される第2の鍵に基づいている、受信することと、
    ハンドオーバ要求を、前記第1の鍵から導出されたRANセッション鍵とともにターゲット無線アクセスノード(RAN)に送信することと
    を行うように適合され、
    前記鍵管理デバイスは、セッション鍵管理機能(SKMF)デバイスである、ネットワークデバイス。
  15. 前記処理回路は、
    前記ターゲットRANからハンドオーバ要求肯定応答メッセージを受信した後にのみ、前記第1の鍵を受信したことを示す肯定応答メッセージを前記鍵管理デバイスに送信するようにさらに適合される、請求項14に記載のネットワークデバイス。
  16. 前記処理回路は、
    前記第1の鍵を導出するために前記デバイスによって利用されるデータを含む転送再配置応答を前記ソースMMEに送信するようにさらに適合され、
    前記ネットワークデバイスは、前記デバイスにサービスすることになるターゲット制御プレーンデバイスであり、前記データは、前記ターゲット制御プレーンデバイスを特定するターゲット制御プレーンデバイス識別子を含む、請求項14に記載のネットワークデバイス。
JP2018513346A 2015-09-15 2016-08-15 モビリティ管理エンティティ再配置を伴うモビリティ手順のための装置および方法 Active JP6812421B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562218863P 2015-09-15 2015-09-15
US62/218,863 2015-09-15
US15/089,396 2016-04-01
US15/089,396 US9883385B2 (en) 2015-09-15 2016-04-01 Apparatus and method for mobility procedure involving mobility management entity relocation
PCT/US2016/047101 WO2017048434A1 (en) 2015-09-15 2016-08-15 Apparatus and method for mobility procedure involving mobility management entity relocation

Publications (3)

Publication Number Publication Date
JP2018527837A JP2018527837A (ja) 2018-09-20
JP2018527837A5 JP2018527837A5 (ja) 2019-09-12
JP6812421B2 true JP6812421B2 (ja) 2021-01-13

Family

ID=58237244

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018513346A Active JP6812421B2 (ja) 2015-09-15 2016-08-15 モビリティ管理エンティティ再配置を伴うモビリティ手順のための装置および方法

Country Status (8)

Country Link
US (3) US9883385B2 (ja)
EP (1) EP3351030B1 (ja)
JP (1) JP6812421B2 (ja)
KR (1) KR102355340B1 (ja)
CN (1) CN108141754B (ja)
BR (1) BR112018005017B1 (ja)
TW (2) TWI750130B (ja)
WO (1) WO2017048434A1 (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9883385B2 (en) 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
EP3449679B1 (en) * 2016-04-28 2020-06-03 Telefonaktiebolaget LM Ericsson (PUBL) Handling tracking area information in a wireless communication network
US10362511B2 (en) * 2016-05-17 2019-07-23 Lg Electronics Inc. Method and apparatus for determining PDU session identity in wireless communication system
EP3468253B1 (en) * 2016-07-01 2021-04-14 Huawei Technologies Co., Ltd. Switching method and device
WO2018000590A1 (zh) * 2016-07-01 2018-01-04 华为技术有限公司 安全协商方法、安全功能实体、核心网网元及用户设备
US10219193B2 (en) * 2016-08-22 2019-02-26 Samsung Electronics Co., Ltd. Method and apparatus for providing services of network to terminal by using slice
US10455459B2 (en) * 2016-08-23 2019-10-22 Lg Electronics Inc. Method and apparatus for establishing session for data transmission and reception in wireless communication system
KR102449475B1 (ko) * 2016-10-21 2022-09-30 삼성전자 주식회사 무선 통신 시스템에서 단말이 지원 가능한 네트워크 정보에 기반한 단말의 네트워크 접속 방법 및 장치
US20190274072A1 (en) * 2016-10-26 2019-09-05 Nec Corporation Communication system, security device, communication terminal, and communication method
US10609556B2 (en) * 2016-10-31 2020-03-31 Telefonaktiebolaget Lm Ericsson (Publ) Authentication for next generation systems
CN108235317B (zh) * 2016-12-21 2019-06-21 电信科学技术研究院有限公司 一种接入控制的方法及设备
WO2018137866A1 (en) * 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Security anchor function in 5g systems
CN110249646B (zh) * 2017-01-30 2023-01-03 瑞典爱立信有限公司 在从5g切换到4g系统之前进行安全性管理的方法、装置、计算机程序以及载体
ES2935527T3 (es) * 2017-01-30 2023-03-07 Ericsson Telefon Ab L M Manejo del contexto de seguridad en 5G durante el modo conectado
WO2018146090A1 (en) * 2017-02-07 2018-08-16 Telefonaktiebolaget Lm Ericsson (Publ) Reset of dynamic allowed area list for a ue
CN109691150B (zh) * 2017-03-07 2021-09-14 华为技术有限公司 一种会话迁移方法及设备
EP3565291B1 (en) * 2017-05-04 2021-07-07 Huawei Technologies Co., Ltd. Method and device for acquiring key and communication system
WO2018223311A1 (en) * 2017-06-07 2018-12-13 Zte Corporation Methods and computing device for facilitating handover from a first network to a second network
WO2019019121A1 (zh) * 2017-07-27 2019-01-31 华为技术有限公司 小区切换方法和装置
CN108966220B (zh) * 2017-07-28 2019-07-23 华为技术有限公司 一种密钥推演的方法及网络设备
US11071021B2 (en) * 2017-07-28 2021-07-20 Qualcomm Incorporated Security key derivation for handover
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
CN109936444B (zh) * 2017-12-18 2021-07-09 华为技术有限公司 一种密钥生成方法及装置
CN110167081B (zh) * 2018-02-13 2022-07-26 中兴通讯股份有限公司 认证方法及装置、消息处理方法及装置、存储介质
US10813161B2 (en) * 2018-03-06 2020-10-20 Mediatek Singapore Pte. Ltd. Apparatuses and methods for protection of an initial non-access stratum (NAS) message
US11061920B2 (en) 2018-03-28 2021-07-13 Opus Global, Inc. Application programming interfaces (“APIs”) for accessing and amalgamating data from incongruent sources
CN110730485B (zh) * 2018-07-17 2021-01-29 华为技术有限公司 切换方法、设备及系统
CN111031486B (zh) * 2018-10-10 2021-05-11 电信科学技术研究院有限公司 一种定位服务密钥分发方法及其装置
WO2020078416A1 (en) * 2018-10-17 2020-04-23 Mediatek Singapore Pte. Ltd. User equipment key derivation at mobility update in mobile communications
CN114375069B (zh) * 2018-12-26 2024-04-12 腾讯科技(深圳)有限公司 一种通信方法和网络设备
CN111404666A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
CN111641947B (zh) * 2019-03-01 2021-12-03 华为技术有限公司 密钥配置的方法、装置和终端
US11671824B2 (en) * 2019-08-26 2023-06-06 Qualcomm Incorporated 5G broadcast/multicast security key refresh
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
US11706619B2 (en) * 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
US11778463B2 (en) 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8027304B2 (en) * 2005-07-06 2011-09-27 Nokia Corporation Secure session keys context
KR101196100B1 (ko) * 2006-05-13 2012-11-02 삼성전자주식회사 통신 시스템에서 인증 방법 및 그 장치
US8094817B2 (en) 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
EP2127459A4 (en) * 2006-12-21 2013-06-12 Ericsson Telefon Ab L M DEVICE AND METHOD FOR DIRECT TUNNELIZATION ASSOCIATED WITH TRANSFER IN A COMMUNICATION NETWORK
US20080181411A1 (en) * 2007-01-26 2008-07-31 Karl Norrman Method and system for protecting signaling information
CN101431797B (zh) * 2007-05-11 2012-02-01 华为技术有限公司 一种注册处理方法、系统及装置
CN101378591B (zh) * 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101400059B (zh) 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
CN101516089B (zh) * 2008-02-18 2012-09-05 中国移动通信集团公司 一种切换方法及系统
CN101610147A (zh) * 2008-06-16 2009-12-23 华为技术有限公司 密钥处理方法、系统、设备及终端
CN102187599B (zh) * 2008-08-15 2015-04-01 三星电子株式会社 在移动通信系统中安全保护的非接入层面协议操作支持方法
US8131296B2 (en) * 2008-08-21 2012-03-06 Industrial Technology Research Institute Method and system for handover authentication
US9668139B2 (en) * 2008-09-05 2017-05-30 Telefonaktiebolaget Lm Ericsson (Publ) Secure negotiation of authentication capabilities
US8707045B2 (en) * 2009-02-12 2014-04-22 Lg Electronics Inc. Method and apparatus for traffic count key management and key count management
GB0912944D0 (en) * 2009-07-24 2009-09-02 Vodafone Plc SMS over lte sgs interface optimisations
KR20110020161A (ko) * 2009-08-21 2011-03-02 엘지전자 주식회사 이동통신 네트워크 내에서 제어 평면(Control Plane)을 담당하는 서버 및 SIPTO 기반의 세션을 제어하는 방법
US8570995B2 (en) * 2009-09-30 2013-10-29 Nokia Corporation Apparatus and method for providing access to a local area network
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
JP5544428B2 (ja) 2009-11-23 2014-07-09 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セルラー・モデムを含む関連電子デバイス・グループに対して定義されたポリシーに従ったアクセス制御
WO2011082150A1 (en) * 2009-12-28 2011-07-07 Interdigital Patent Holdings, Inc. Machine-to-machine gateway architecture
US9084110B2 (en) * 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
CN101860862B (zh) * 2010-05-17 2015-05-13 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
KR101712865B1 (ko) * 2010-09-09 2017-03-08 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치
US20120159151A1 (en) 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
CN103460738B (zh) * 2011-03-23 2018-06-01 交互数字专利控股公司 用于使网络通信安全的方法和用户设备
US8838971B2 (en) * 2012-01-16 2014-09-16 Alcatel Lucent Management of public keys for verification of public warning messages
US20130196631A1 (en) * 2012-01-31 2013-08-01 Qualcomm Incorporated Methods and apparatus for providing network-assisted end-to-end paging between lte devices tracked by different mobility management entities
CN103686708B (zh) * 2012-09-13 2018-01-19 电信科学技术研究院 一种密钥隔离方法及设备
WO2014072252A1 (en) * 2012-11-06 2014-05-15 Telefonaktiebolaget L M Ericsson (Publ) Source based selection of serving operator
WO2014100929A1 (en) * 2012-12-24 2014-07-03 Nokia Corporation Methods and apparatus for differencitating security configurations in a radio local area network
KR20160013151A (ko) * 2013-06-28 2016-02-03 닛본 덴끼 가부시끼가이샤 보안 시스템 및 보안 통신을 행하는 방법
WO2016035230A1 (ja) * 2014-09-05 2016-03-10 日本電気株式会社 モビリティ管理及びベアラ管理を移転するための方法及び装置
CN104661217A (zh) * 2015-02-09 2015-05-27 哈尔滨工业大学深圳研究生院 基于td-lte网络的鉴权和密钥衍生方法及系统
US9883385B2 (en) 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation

Also Published As

Publication number Publication date
US9883385B2 (en) 2018-01-30
CN108141754A (zh) 2018-06-08
US20170078874A1 (en) 2017-03-16
EP3351030A1 (en) 2018-07-25
US20200037155A1 (en) 2020-01-30
TWI750130B (zh) 2021-12-21
US20180063707A1 (en) 2018-03-01
TW201713149A (zh) 2017-04-01
EP3351030B1 (en) 2021-03-31
US11178543B2 (en) 2021-11-16
TWI705728B (zh) 2020-09-21
BR112018005017B1 (pt) 2024-02-27
KR20180053373A (ko) 2018-05-21
JP2018527837A (ja) 2018-09-20
WO2017048434A1 (en) 2017-03-23
TW202037217A (zh) 2020-10-01
KR102355340B1 (ko) 2022-01-24
CN108141754B (zh) 2021-12-28
US10462656B2 (en) 2019-10-29
BR112018005017A2 (ja) 2018-10-02

Similar Documents

Publication Publication Date Title
JP6812421B2 (ja) モビリティ管理エンティティ再配置を伴うモビリティ手順のための装置および方法
JP6877524B2 (ja) ワイヤレス通信のための装置および方法
US11974132B2 (en) Routing method, apparatus, and system
EP3272099B1 (en) Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180316

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190731

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190731

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200929

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201216

R150 Certificate of patent or registration of utility model

Ref document number: 6812421

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250