RU2400942C1 - Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении - Google Patents

Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении Download PDF

Info

Publication number
RU2400942C1
RU2400942C1 RU2009101304/09A RU2009101304A RU2400942C1 RU 2400942 C1 RU2400942 C1 RU 2400942C1 RU 2009101304/09 A RU2009101304/09 A RU 2009101304/09A RU 2009101304 A RU2009101304 A RU 2009101304A RU 2400942 C1 RU2400942 C1 RU 2400942C1
Authority
RU
Russia
Prior art keywords
wtru
value
network
key
initial
Prior art date
Application number
RU2009101304/09A
Other languages
English (en)
Other versions
RU2009101304A (ru
Inventor
Питер С. ВАН (US)
Питер С. ВАН
Луис Дж. ГУЧЧИОНЕ (US)
Луис Дж. ГУЧЧИОНЕ
Стефен Э. ТЕРРИ (US)
Стефен Э. ТЕРРИ
Original Assignee
Интердиджитал Текнолоджи Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Интердиджитал Текнолоджи Корпорейшн filed Critical Интердиджитал Текнолоджи Корпорейшн
Publication of RU2009101304A publication Critical patent/RU2009101304A/ru
Application granted granted Critical
Publication of RU2400942C1 publication Critical patent/RU2400942C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Изобретение относится к системам беспроводной связи и предназначено для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении доступа в системе беспроводной связи. Технический результат - повышение помехозащищенности. Беспроводной приемо-передающий модуль (WTRU) включает в себя уровень протокола сходимости пакетных данных (C-PDCP) плоскости управления (C-plane), который выполняет шифрование сигнального сообщения. Уровень C-PDCP активизируется после включения питания модуля WTRU, и исходные параметры безопасности загружаются на уровень C-PDCP. Исходное сигнальное сообщение подключения для подсоединения сети и идентификационная информация пользователя шифруются с использованием исходных параметров безопасности, даже прежде подтверждения подлинности модуля WTRU. Исходные параметры безопасности, включающие в себя ключ шифрования (СК), могут генерироваться из широковещательной передачи системной информации из сети. Ключ СК может быть открытым ключом для асимметричного шифрования или может выбираться из широковещательной передачи набора открытых ключей или выводиться из системной информации сети. Индекс выбранного открытого ключа может кодироваться отдельно. Альтернативно индекс может передаваться с использованием способа обмена ключей Diffie-Hellman. 2 н. и 18 з.п. ф-лы, 7 ил.

Description

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
Настоящее изобретение относится к системам беспроводной связи. Более конкретно, настоящее изобретение относится к способу и устройству для обеспечения секретности подлинной идентификационной информации (ID) пользователя в исходном сигнальном сообщении доступа в системе беспроводной связи, включая долгосрочное развитие (LTE) третьего поколения (3G).
УРОВЕНЬ ТЕХНИКИ
В универсальной системе мобильной связи (UMTS) третьего поколения (3G) во время исходного подключения для подсоединения и процедуры подтверждения подлинности идентификационная информация беспроводного приемо-передающего модуля (WTRU) (то есть международная идентификационная информация подвижного абонента (IMSI)) передается через радио-интерфейс в базовую сеть для целей подтверждения подлинности. Однако идентификационная информация IMSI и некоторые сообщения, пересылаемые во время исходного подключения для подсоединения и процедуры подтверждения подлинности, не защищены, но передаются в открытой незащищенной операционной среде.
Фиг.1 показывает исходное подсоединение и процедуру подтверждения подлинности в 3G UMTS сети 10. После включения питания модуля WTRU 12 уровень 14 слоя без доступа (NAS) модуля WTRU 12 посылает сигнал (ATTACH) на уровень 16 управления радиоресурсами (RRC) модуля WTRU 12, чтобы запустить RRC подключение (этап 102). Уровень RRC 16 посылает запрос RRC подключения в универсальную наземную сеть радиосвязи с абонентами (UTRAN) 18 с исходной идентификационной информацией WTRU модуля (то есть IMSI), чтобы установить RRC подключение (этап 104). Сеть UTRAN 18 отвечает сообщением запроса установления RRC (этап 106). Уровень 16 посылает сообщение полного установления RRC в сеть UTRAN 18 (этап 108). Затем уровень RRC 16 посылает сообщение уровня 3 (исходный прямой перенос) в сеть UTRAN 18 (этап 110). Затем сеть UTRAN 18 посылает исходное сообщение пользователя с IMSI идентификационной информацией в регистр местоположения посетителя (VLR) 20 (или узел поддержки (SGSN) пакетной радиосвязи общего назначения (GPRS)) (этап 112). Пользователь идентифицируется с помощью идентификационной информации IMSI. При некоторых условиях (например, если подлинность пользователя не была подтверждена) VLR/SGSN 20 запрашивает подтверждение подлинности и согласование ключа (AKA) и посылает запрос данных подтверждения подлинности в регистр местоположения в собственной сети (HLR) 22 (или центр подтверждения подлинности (AuC)) (этап 114). После приема запроса данных подтверждения подлинности HLR/AuC 22 посылает набор векторов подтверждения подлинности (AV) в VLR/SGSN узел 20 (этап 116).
Каждый вектор AV содержит квинтет чисел, которые включают в себя некоторое случайное число (RAND), некоторый ожидаемый отклик (XRES), который используется для подтверждения подлинности пользователя, некоторый ключ к шифру (CK) для установления конфиденциальности, некоторый ключ целостности (IK) и пароль подтверждения подлинности (AUTN). Пароль AUTN содержит порядковый номер (SQN), скрытый под ключом анонимности (AK), поле организации подтверждения подлинности (AMF), которое задает некоторые компоненты подтверждения подлинности (такие, как используемые алгоритмы, срок службы ключа и т.п.), и код подтверждения подлинности сообщения (MAC), который функционально зависит от номера SQN, поля AMF и числа RAND.
Узел VLR/SGSN 20 посылает число RAND и пароль AUTN из вектора AV, который он выбрал, в уровень NAS 14 через сеть UTRAN 18 (этапы 118, 120). Затем уровень NAS 14 подтверждает подлинность сети путем вычисления ожидаемого MAC кода (XMAC) и путем определения того, согласуется ли код XMAC с кодом MAC (этап 122). Уровень NAS 14 также вычисляет ключи безопасности сеанса для модуля WTRU 12 (то есть ключ CK и ключ IK в векторе AV) на этапе 122. Генерация ключа выполняется с использованием предварительно заданных алгоритмов UMTS, которые берут число RAND в качестве входа и применяют совместно используемый секретный ключ K.
Уровень NAS 14 вычисляет отклик (RES) и посылает отклик в узел VLR/SGSN 20 через сеть UTRAN 18 (этапы 124, 126). Узел VLR/SGSN 20 определяет, согласуется ли отклик RES с ожидаемым откликом (XRES) для подтверждения подлинности модуля WTRU 12 (этап 128). Если любая из этих попыток подтверждения подлинности не удается на этапах 122 и 128, то происходит отказ подтверждения подлинности. Как только взаимное подтверждение подлинности успешно прошло, узел VLR/SGSN 20 посылает сообщение завершенного подтверждения подлинности в HLR/AuC 22 (этап 130) и начинается процедура активизации локальной безопасности.
Узел VLR/SGSN 20 посылает команду режима безопасности в сеть UTRAN 18, включающую в себя договорные алгоритмы кодирования UMTS (UEA) и алгоритмы целостности UMTS (UIA), и ключи текущего сеанса, ключи CK и IK (этап 132). Поскольку теперь может начаться защищенная связь, сеть UTRAN 18 посылает команду режима безопасности на уровень RRC 16 с кодом подтверждения подлинности сообщения для целостности (MAC-I) (этап 134). Значение кода MAC-I защищает целостность сообщения команды режима безопасности. Код MAC-I относится к типу случайных данных, вычисляемых посредством алгоритма UIA на информационном наполнении сообщения с использованием ключа IK сеанса.
Уровень RRC 16 посылает индикатор режима безопасности на уровень NAS 14 (этап 136) и уровень NAS 14 загружает ключи сеанса безопасности IK и CK на уровень RRC 16 (этап 138). Объект защиты целостности RRC проверяет целостность принятого сообщения посредством вычисления кода MAC-I подобным способом, используя алгоритм UIA с ключом IK на информационном наполнении сообщения команды режима безопасности и сравнивая его с принятым кодом MAC-I. Уровень RRC 16 также загружает ключ CK в объект шифрования RLC, чтобы начать шифрование (этап 140). Если коды подтверждения подлинности согласуются, то уровень RRC 16 посылает сообщение завершения режима безопасности в сеть UTRAN 18 (этап 142). Узел VLR/SGSN 20 посылает принятое сообщение подсоединения на уровень NAS 12 (этап 144).
Для процесса, иллюстрированного на фиг.1, сообщение запроса подключения с идентификационной информацией IMSI, сообщение запроса установки управления RRC, сообщение завершения установки управления RRC, сообщение исходного прямого переноса с вспомогательной идентификационной информацией IMSI, сообщение запроса подтверждения подлинности и сообщение отклика подтверждения подлинности являются незащищенными и передаются в открытой незащищенной операционной среде. Тот факт, что важная идентификационная информация модуля WTRU (то есть идентификационная информация IMSI) посылается по воздуху незащищено, провоцирует "угрозу захвата идентификационной информации IMSI ". Захваченная идентификационная информация IMSI может использоваться посредством зловредной атаки отказа в доступе к службе (DoS) или других возможных атак на сети и пользователей.
Следовательно, желательно обеспечить способ и систему для выполнения защиты исходных сигнальных сообщений управления и особенно идентификационной информации модуля WTRU (то есть идентификационной информации IMSI) во время исходного подключения для подсоединения и процедуры подтверждения подлинности.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
Настоящее изобретение относится к способу и устройству для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении доступа в системе беспроводной связи, включая долгосрочное развитие (LTE) третьего поколения (3G). Модуль WTRU включает в себя уровень протокола сходимости пакетных данных (C-PDCP) плоскости управления (C-plane), который выполняет шифрование и защиту целостности сигнального сообщения. Уровень C-PDCP активизируется после включения питания модуля WTRU, и исходные параметры безопасности загружаются на уровень C-PDCP. Исходное сигнальное сообщение подключения для подсоединения сети и ID пользователя (например, идентификационная информация IMSI) шифруются с использованием исходных параметров безопасности, даже прежде подтверждения подлинности модуля WTRU. Исходные параметры безопасности загружаются из универсального модуля идентификации абонента (USIM) и генерируются из широковещательной передачи системной информации из сети. Системная информация включает в себя набор открытых ключей, по меньшей мере, с одним открытым ключом для асимметричного шифрования идентификационной информации IMSI или информации, из которой можно вывести открытые ключи. Исходные параметры безопасности для шифрования включают в себя ключ к шифру CK. Ключ CK может быть открытым ключом или может выбираться из широковещательной передачи набора открытых ключей или выводиться из системной информации сети. Индекс выбранного открытого ключа может кодироваться отдельно. Альтернативно, индекс может передаваться с использованием способа обмена ключей Diffie-Hellman.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
В дальнейшем изобретение поясняется описанием конкретных вариантов его осуществления со ссылками на сопровождающие чертежи, на которых:
Фиг.1 изображает исходное подсоединение и процедуру подтверждения подлинности в сети 3G UMTS,
Фиг.2 изображает систему беспроводной связи согласно настоящему изобретению,
Фиг.3 изображает диаграмму передачи сигналов процесса подсоединения и подтверждения подлинности согласно настоящему изобретению,
Фиг.4 изображает процесс шифрования, включая известное шифрование f8 и параметры шифрования,
Фиг.5 изображает известный процесс f9 защиты целостности и параметры,
Фиг.6 изображает генерацию ключа IK с использованием алгоритма f4 с некоторым случайным числом (RAND) и совместно используемым секретным ключом (K) согласно настоящему изобретению, и
Фиг.7 изображает пример генерации значения FRESH с числом RAND и совместно используемым секретным ключом K.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
Упоминаемый здесь далее термин "WTRU" включает в себя пользовательское оборудование (UE), мобильную станцию, стационарный или мобильный абонентский модуль, пейджер, сотовый телефон, персональный цифровой секретарь (PDA), компьютер или любой другой тип пользовательского устройства, способный функционировать в беспроводной операционной среде, но не ограничивается ими. Упоминаемый здесь далее термин "eNode-B" включает в себя базовую станцию, контроллер узла, узел доступа (AP) или любой другой тип устройства сопряжения, способный функционировать в беспроводной операционной среде, но не ограничивается ими.
Фиг.2 изображает систему 200 беспроводной связи согласно настоящему изобретению. Система 200 включает в себя модуль WTRU 210 и сеть LTE 230. Модуль WTRU 210 включает в себя уровень 211 слоя без доступа (NAS), уровень 212 управления радиоресурсами (RRC), уровень 213 C-PDCP, уровень 214 PDCP U-плоскости (U-PDCP) и более низкие уровни, включающие в себя уровень RLC 215, уровень 216 управления доступом к среде и физический уровень 217. Уровень RRC 212 включает в себя объект 218 защиты целостности. Уровень 213 C-PDCP включает в себя объект 219 шифра C-плоскости и уровень 214 U-PDCP включает в себя объект 220 шифра U-плоскости. Сеть LTE 230 включает в себя уровень 231 NAS слоя, уровень 232 управления радиоресурсами (RRC), уровень 233 C-PDCP и уровень 234 U-PDCP. Уровень RRC 232 включает в себя объект 235 защиты целостности. Уровень 233 C-PDCP включает в себя объект 236 шифра C-плоскости и уровень 234 U-PDCP включает в себя объект 237 шифра U-плоскости. В C-плоскости уровни RRC 212 и 232 отвечают за защиту целостности, и уровни C-PDCP 213 и 233 отвечают за шифрование сигнальных сообщений NAS/RRC управления, тогда как уровни 214 и 234 U-PDCP U-плоскости отвечают за сжатие и шифрование заголовка Интернет-протокола (IP).
Согласно настоящему изобретению уровни 213 и 233 C-PDCP выполняют шифрование ранее незащищенных исходных сигнальных сообщений NAS и передачу WTRU IMSI. В противном случае они прозрачны для сигнальных сообщений управления. Настоящее изобретение обеспечивает способы исходной загрузки и генерации параметров безопасности, согласование ключей шифрования между модулем WTRU 210 и сетью, шифрование идентификационной информации IMSI и регулировку передачи сигналов модуля WTRU для шифрования идентификационной информации IMSI для исходных сигнальных сообщений NAS, что будет подробно объясняться здесь далее.
Фиг.3 изображает диаграмму передачи сигналов процесса подсоединения и подтверждения подлинности согласно настоящему изобретению. После включения питания модуля WTRU активизируется уровень 213 C-PDCP модуля WTRU 210 (этап 302). Уровень RRC 212 принимает широковещательную передачу системной информации посредством узла eNode-B 250 и переправляет ее на уровень C-PDCP 213 (этап 304). Системная информация включает в себя информацию для исходных параметров безопасности, включающих в себя открытые ключи или информацию выведения ключа, случайные числа (RAND) и/или начальное число ключа gKI.
Исходные параметры безопасности загружаются на уровень C-PDCP 213 на этапе 306, что будет подробно объясняться здесь далее. Исходный параметр безопасности C-PDCP загружается в основном из универсального модуля идентификации абонента (USIM) модуля WTRU 210, где согласующиеся параметры безопасности и значения рабочего цикла для модуля WTRU 210 обновляются и сохраняются. Исходный параметр безопасности C-PDCP может дополнительно быть получен из широковещательной передачи системной информации из узла eNode-B 250, которая может включать в себя информацию открытых ключей. Исходные параметры безопасности для шифрования включают в себя ключ к шифру CK и ключ целостности IK. Ключ CK может быть открытым ключом или может выбираться из широковещательной передачи набора открытых ключей или выводиться из системной информации сети. Уровень 213 C-PDCP готов функционировать (то есть готов выполнять шифрование/дешифрование, когда первое сигнальное сообщение NAS/RRC (например, подсоединение или те сообщения, которые им запускаются) должно передаваться даже прежде подтверждения подлинности модуля WTRU 210.
Уровень 211 слоя без доступа (NAS) запускает подключение RRC посредством отправления сообщения подсоединения наряду с идентификационной информацией IMSI на уровень RRC 212 (этап 308). Уровень RRC 212 посылает на уровень C-PDCP 213 запрос подключения LTE RRC, включающий в себя сообщение подсоединения и код MAC-I и предпочтительно идентификационную информацию (ID) сети наземной мобильной связи общего пользования (PLMN) (этап 310). Затем уровень C-PDCP 213 выполняет шифрование на сообщении подсоединения и идентификационной информации IMSI с исходным ключом CK (из модуля USIM или широковещательной передачи системной информации) и посылает сообщение запроса подключения LTE RRC, включающее в себя шифрованное сообщение подсоединения и идентификационную информацию IMSI наряду с кодом MAC-I из уровня RRC 212 (этап 312, 314). В отличие от известной процедуры подсоединения сообщение подсоединения и идентификационная информация IMSI защищены исходными ключами CK и IK.
Сообщение запроса подключения LTE RRC также может включать в себя второе начальное число gFRESH для обмена ключей Diffie-Hellman, что будет подробно объясняться здесь далее. Узел eNode-B 250 выбирает подходящий узел aGW 260, основываясь на идентификационной информации PLMN ID, содержащейся в сообщении запроса подключения (этап 316). Узел eNode-B 250 переправляет сообщение подсоединения с идентификационной информацией IMSI в выбранный узел aGW 260 (этап 318).
Если подлинность пользователя не была подтверждена, то узел aGW 260 посылает запрос данных подтверждения подлинности в HLR 270 (или AuC) (этап 320). После приема данных подтверждения подлинности HLR/AuC 270 посылает отклик данных подтверждения подлинности, включающий в себя набор векторов подтверждения подлинности (AV) в узел aGW 260 (этап 322).
Узел aGW 260 посылает на уровень NAS 211 модуля WTRU 210 сообщение запроса подтверждения подлинности, включающее в себя число RAND и пароль AUTN из первого вектора AV (этап 324). Сообщение отклика подключения не должно шифроваться или целостность не должна защищаться. Альтернативно, сообщение отклика подключения может шифроваться в узле eNode-B 250 с открытым ключом с индексом из HLR/AuC 270 с известным алгоритмом симметричного шифрования. Затем уровень NAS 211 подтверждает подлинность сети путем вычисления ожидаемого кода MAC (XMAC) и определения того, согласуется ли код XMAC с кодом MAC (этап 326). Уровень NAS 211 также вычисляет новые ключи сеанса (то есть CK и IK в векторе) на этапе 326. Генерация ключей выполняется с использованием предварительно заданных алгоритмов, которые берут число RAND в качестве входа и применяют совместно используемый секретный ключ K.
Уровень NAS 211 вычисляет отклик (RES) и посылает сообщение отклика подтверждения подлинности, включающее в себя RES, в узел aGW 260 (этап 328). Сообщение отклика подтверждения подлинности может быть дополнительно защищено исходным ключом CK и/или ключом IK. Узел aGW 260 определяет, согласуется ли отклик RES с ожидаемым откликом (XRES) для подтверждения подлинности модуля WTRU 210 (этап 330). Если любая из этих попыток подтверждения подлинности не удается на этапах 326 и 330, то происходит отказ подтверждения подлинности. Как только взаимное подтверждение подлинности успешно прошло, узел aGW 260 посылает сообщение завершенного подтверждения подлинности в HLR/AuC 270 (этап 332).
Узел aGW 260 посылает сообщение команды режима безопасности на уровень RRC 212 модуля WTRU 210 (этап 334). Уровень RRC 212 посылает индикатор режима безопасности на уровень NAS 211 (этап 336). Уровень NAS 211 загружает ключи сеанса на уровень RRC 212 (этап 338) и на уровень 213 C-PDCP (этап 340). Затем уровень RRC 212 конфигурирует уровень U-PDCP (не показан на фиг.3) с новым ключом CK для шифрования U-плоскости (этап 342). Уровень RRC 212 проверяет целостность принятого сообщения команды режима безопасности путем вычисления кода MAC-I с использованием ключа IK на информационном наполнении сообщения команды режима безопасности и путем сравнения вычисленного кода MAC-I с принятым кодом MAC-I. Если они согласуются, то уровень RRC 212 посылает сообщение завершения режима безопасности в узел eNode-B 250 (этап 344). Узел aGW 260 посылает сообщение принятия подсоединения на уровень NAS 211 (этап 346) и начинается защищенная связь (шифрование, дешифрование и защита целостности).
Далее объясняется исходная загрузка параметров шифрования на этапе 306. Используемый алгоритм шифрования представляет собой один из параметров, который должен выбираться. Алгоритм исходного шифрования может представлять собой алгоритм асимметричного шифрования и позже алгоритм шифрования по умолчанию может представлять собой симметричный алгоритм, такой как алгоритм f8. Однако может использоваться любой другой алгоритм шифрования. Далее будет объясняться настоящее изобретение со ссылкой на параметры алгоритма f8 для целей иллюстрации.
Фиг.4 изображает процесс шифрования, включая известное шифрование f8 и параметры шифрования. Алгоритм шифрования может представлять собой известный алгоритм симметричного шифрования, такой как алгоритм f8, или алгоритм асимметричного шифрования, используемый для шифрования с открытыми и секретными ключами. Параметры шифрования, необходимые для алгоритма f8, включают в себя ключ CK 402, значение COUNT-C 404, идентификационную информацию ID носителя 406, значение 408 направления и значение 410 длины. Модуль WTRU 210 генерирует блок 412 ключевого потока с использованием алгоритма f8 и добавляет блок 412 ключевого потока к блоку 414 входных данных незашифрованного открытого текста, чтобы генерировать блок 416 зашифрованных данных, который передается в сеть 230. Сеть 230 также генерирует блок 418 ключевого потока с использованием такого же алгоритма f8 и таких же параметров и добавляет генерированный блок 412 ключевого потока к блоку 416 принятых зашифрованных данных, чтобы восстановить блок 420 данных открытого текста. Параметры шифрования для алгоритма асимметричного шифрования могут иметь, по меньшей мере, ключ CK 402 для пары ключей открытый/секретный и могут иметь другие параметры.
Ключ к шифру CK 402 может представлять собой пару ключей открытый/секретный в системе асимметричного шифрования. Модуль WTRU 210 использует открытый ключ для шифрования всего или части сообщения восходящей линии связи NAS и/или всего или части исходного сообщения доступа RRC, включающего в себя идентификационную информацию IMSI, и сеть 230 дешифрует и шифрует сообщение NAS с соответствующим секретным ключом. Ключ CK 402 может представлять собой пару ключей открытый/секретный между модулем WTRU 210 и сетью 230. Альтернативно, открытый ключ может представлять собой широковещательную передачу через системную информацию. Сеть 230 может передавать только один открытый ключ или набор n открытых ключей (k 1 ,..., k n ) или информацию для выведения ключа.
Если передается набор открытых ключей, то модуль WTRU 210 выбирает один из набора открытых ключей. В выборе открытых ключей модуль WTRU 210 может использовать значение FRESH для вычисления индекса в набор открытых ключей, (например, индекс α=FRESH% n), чтобы выбрать исходный ключ CK 402. Альтернативно, модуль WTRU 210 может использовать свое значение IMSI для индекса ключа (то есть индекс α=IMSI% n), чтобы выбрать исходный ключ CK 402. С такой схемой случайность использования ключей увеличивается и становится более затруднительной для взломщиков.
Поскольку сеть 230 не знает значения FRESH до того, как правильно будет декодирована идентификационная информация, и в результате не может независимо вычислять индекс выбранного открытого ключа, информация о выбранном открытом ключе не может передаваться между модулем WTRU 210 и сетью 230. Модуль WTRU 210 может включать в себя индекс выбранного открытого ключа в сообщении NAS. Например, модуль WTRU 210 кодирует индекс α выбранного открытого ключа с предварительно согласованным открытым ключом (скажем k 1) и остальные сообщения NAS или RRC, включающие в себя идентификационную информацию IMSI с выбранным открытым ключом k α. Сеть 230 сначала декодирует индекс α и затем декодирует оставшуюся часть сообщения с выбранным открытым ключом k α, включающим в себя идентификационную информацию IMSI.
Альтернативно, открытый ключ может выбираться с использованием способа обмена ключей Diffie-Hellman. Сеть LTE 230 и модуль WTRU 210 соглашаются о двух значениях (очень большое простое число p и генератор g для мультипликативной группы Fp* поля F p), которые общеизвестны. Сеть LTE 230 передает через системную информацию набор открытых ключей с первым начальным числом gKI (где случайно выбранный ключ KI является таким, что 1 ≤KI≤p-2 и gKIg KI mod p). Набор открытых ключей может быть из большей группы ключей шифрования со случайной периодичностью и порядком. Модуль WTRU 210 произвольно выбирает значение KIn2 (1≤KI≤p-2), чтобы вычислить второе начальное число gKIn2g KIn2 mod p. Затем модуль WTRU 210 вычисляет k'≡(gKI)KIn2 mod p. Индекс открытого ключа α=k'mod n, где n представляет собой текущее число открытых ключей, передаваемых из системной информации с первым начальным числом, gKI. Вычисленный индекс α представляет собой индекс для набора открытых ключей для выбранного открытого ключа k α. Модуль WTRU 210 шифрует NAS или RRC сообщение, включающее в себя идентификационную информацию IMSI с выбранным открытым ключом k α, и включает второе начальное число gKIn2 в NAS или RRC в сообщение, передаваемое в сеть LTE 230. Второе начальное число не шифруется. Сеть LTE 230 сначала берет незашифрованное второе начальное число gKIn2 и вычисляет k≡(gKIn2)KI mod p. Затем получается индекс α посредством α=k mod n для индекса α открытого ключа. Затем сеть LTE 230 декодирует все сообщение с открытым ключом, соответствующим открытому ключу k α.
Значение COUNT-C 404 может быть предварительно установленным значением, известным только для модуля WTRU 210 и сети LTE 230 на исходной стадии. Альтернативно, значение COUNT-C 404 может быть значением START (или эквивалентным), хранимым в модуле USIM и его ответной части в сети, в объединении с другими значениями, известными только между модулем WTRU 210 и сетью LTE 230, (например, порядковый номер сообщения NAS). Альтернативно, значение COUNT-C 404 может быть значением, вычисленным модулем WTRU 210 и сетью LTE 230, как в случае выведения значения FRESH.
Идентификационная информация ID 406 носителя может быть значением идентификационной информации ID конфигурированного радиоканала передачи данных, такого как '3' для радиоканала 3 передачи данных (SRB-3). Альтернативно, идентификационная информация ID 406 носителя может быть некоторым предварительно установленным значением. Значение 408 направления для восходящей линии связи устанавливается равным '0'. Значение 410 длины представляет собой длину сообщения NAS и RRC (включая IMSI) в единицах бит.
Далее здесь будет подробно объясняться исходная загрузка параметров защиты целостности на этапе 306. Исходная защита целостности может помочь бороться с атакой отказа в обслуживании. Используемый алгоритм защиты целостности может представлять собой один из выбираемых параметров. Алгоритм защиты целостности по умолчанию может представлять собой алгоритм f9. Однако может использоваться любой другой алгоритм защиты целостности. Далее здесь будет объясняться настоящее изобретение со ссылкой на алгоритм f9 для целей иллюстрации.
Фиг.5 изображает известный процесс f9 и параметры защиты целостности. Параметры, необходимые для алгоритма f9, включают в себя ключ IK 502, значение COUNT-I 504, сообщение 506, значение 508 направления и значение FRESH 410. Модуль WTRU 210 использует исходный ключ IK 502 для генерации кода MAC-I 512 для первого сообщения NAS/RRC и посылает генерированный код MAC-I 512 в сеть 230 наряду с сообщением NAS/RRC. Сеть LTE 230 генерирует ожидаемый код MAC-I (XMAC-I) 514 с такими же параметрами 502-510 и сравнивает принятый код MAC-I 512 с кодом XMAC-I 514, чтобы проверить целостность сообщения после декодирования идентификационной информации IMSI для модуля WTRU 210.
Ключ IK 502 может генерироваться модулем WTRU 210 (и сетью 230) на исходной активизации и конфигурации C-PDCP с использованием значения RAND, принятого из системной информации. Например, ключ IK 502 может генерироваться с использованием алгоритма f4 со случайным числом (RAND) 602 и совместно используемым секретным ключом (K) 604, как показано на фиг.6. При заданном секретном ключе (K) 604, который совместно используется между модулем WTRU 210 и сетью 230 через идентификационную информацию IMSI, генерированный ключ IK 502 несет родственность к ассоциативному признаку между модулем WTRU 210 и сетью 230. Это, в свою очередь, позволяет генерировать код MAC-I посредством алгоритма f9 защиты целостности, несущего сигнатуру конкретного модуля WTRU.
Значение COUNT-I 504 может быть предварительно установленным значением, известным только для модуля WTRU 210 и сети LTE 230 на исходной стадии. Альтернативно, значение COUNT-I 504 может быть значением START (или эквивалентным), хранимым в модуле USIM и его ответной части в сети, в объединении с другими значениями, известными только между модулем WTRU 210 и сетью 230, (например, порядковый номер сообщения NAS). Альтернативно, значение COUNT-I 504 может быть значением, вычисленным модулем WTRU 210 и сетью 230, как в случае выведения значения FRESH.
Параметр 506 сообщения может быть самим сообщением NAS/RRC с идентификационной информацией радионосителя, присоединенной спереди сообщения. Значение 508 направления может устанавливаться равным некоторому значению (например, '0') для восходящей линии связи. Значение FRESH 510 может выбираться из набора предварительно установленных значений (FRESH0, FRESH1,…, FRESHn-1) между модулем WTRU 210 и сетью 230 с использованием ключа IK для вычисления индекса m, (например, m=IK% n). Альтернативно, значение FRESH 510 может генерироваться с использованием алгоритма с числом RAND 602 и совместно используемым секретным ключом K 604 в качестве входа, как показано на фиг.7.
Исходная загрузка этих параметров безопасности позволяет уровню C-PDCP 212 входить в рабочее состояние, когда первое сигнальное сообщение NAS должно передаваться из модуля WTRU 210. Это также позволяет уровню C-PDCP 212 при необходимости дешифровать последующие входящие и выходящие сообщения NAS. Уровень C-PDCP 212 может переключаться на параметры безопасности, генерированные из нормальной процедуры AKA, когда она успешно выполняется.
Настоящее изобретение также применимо к шифрованию сообщений NAS нисходящей линии связи на исходной стадии перед завершением процедуры AKA. Чтобы иметь работу шифрования нисходящей линии связи перед процедурой AKA, сети LTE 230 необходимо шифровать сообщение NAS/RRC с использованием такого же "открытого ключа" (при условии, что сеть имеет все открытые/секретные ключи и также знает индексы ключей), который модуль WTRU 210 использовал для первого сообщения/идентификационной информации IMSI восходящей линии связи, и алгоритма шифрования, который должен быть симметричным алгоритмом, таким как f8.
Варианты осуществления
1. Способ обеспечения секретности идентификационной информации ID пользователя в исходном сигнальном сообщении подключения в системе беспроводной связи, включающей в себя модуль WTRU, причем модуль WTRU включает в себя уровень C-PDCP для выполнения шифрования и защиты целостности исходного сигнального сообщения подключения.
2. Способ по варианту осуществления 1, содержащий активизацию уровня C-PDCP после включения питания модуля WTRU.
3. Способ по варианту осуществления 2, содержащий загрузку исходных параметров безопасности на уровень C-PDCP.
4. Способ по варианту осуществления 3, содержащий шифрование исходного сигнального сообщения подключения, включающего в себя ID пользователя с использованием исходных параметров безопасности.
5. Способ по варианту осуществления 4, содержащий отправление зашифрованного исходного сигнального сообщения подключения и ID пользователя в сеть.
6. Способ по любому из вариантов осуществления 3-5, в котором исходные параметры безопасности загружаются из модуля USIM.
7. Способ по любому из вариантов осуществления 3-6, в котором исходные параметры безопасности генерируются из широковещательной передачи системной информации из сети.
8. Способ по варианту осуществления 7, в котором системная информация включает в себя, по меньшей мере, один открытый ключ или информацию для выведения открытого ключа.
9. Способ по любому из вариантов осуществления 1-8, в котором исходное сигнальное сообщение подключения включает в себя идентификационную информацию PLMN.
10. Способ по любому из вариантов осуществления 5-9, дополнительно содержащий отправление по сети в модуль WTRU сообщения запроса подтверждения подлинности, включающего в себя случайное число и пароль подтверждения подлинности.
11. Способ по варианту осуществления 10, содержащий подтверждение подлинности модуля WTRU сетью, основываясь на случайном числе и пароле подтверждения подлинности.
12. Способ по варианту осуществления 11, содержащий вычисление модулем WTRU ключей сеанса и отклика RES.
13. Способ по варианту осуществления 12, содержащий отправление в сеть модулем WTRU сообщения отклика подтверждения подлинности, включающего в себя отклик RES.
14. Способ по варианту осуществления 13, содержащий подтверждение подлинности отклика WTRU сетью с использованием отклика RES.
15. Способ по варианту осуществления 14, содержащий отправление сетью в модуль WTRU сообщения команды режима безопасности.
16. Способ по любому из вариантов осуществления 13-15, в котором сообщение отклика подтверждения подлинности защищается посредством использования исходных параметров безопасности.
17. Способ по любому из вариантов осуществления 15-16, в котором сеть шифрует сообщение управления нисходящей линии связи, включающее в себя сообщение команды режима безопасности, с ключом, используемым для шифрования исходного сигнального сообщения подключения с использованием алгоритма симметричного шифрования.
18. Способ по любому из вариантов осуществления 15-17, дополнительно содержащий конфигурирование уровня PDCP U-плоскости с новым ключом сеанса для шифрования данных U-плоскости.
19. Способ по любому из вариантов осуществления 3-18, в котором используемый алгоритм шифрования представляет собой один из исходных параметров безопасности.
20. Способ по варианту осуществления 19, в котором алгоритм шифрования представляет собой алгоритм f8, и исходные параметры шифрования включают в себя ключ CK, значение COUNT-C, идентификационную информацию ID носителя, значение направления и значение длины.
21. Способ по варианту осуществления 20, в котором значение COUNT-C представляет собой предварительно установленное значение, известное только для модуля WTRU и сети.
22. Способ по варианту осуществления 20, в котором значение COUNT-C представляет собой значение START, хранимое в модуле USIM, в объединении с предварительно согласованным значением, известным только между модулем WTRU и сетью.
23. Способ по варианту осуществления 22, в котором предварительно согласованное значение представляет собой порядковый номер уровня NAS.
24. Способ по варианту осуществления 20, в котором значение COUNT-C вычисляется модулем WTRU и сетью.
25. Способ по любому из вариантов осуществления 20-24, в котором идентификационная информация ID носителя представляет собой номер ID радиоканала передачи данных.
26. Способ по любому из вариантов осуществления 20-24, в котором идентификационная информация ID носителя представляет собой предварительно установленное значение между модулем WTRU и сетью.
27. Способ по любому из вариантов осуществления 20-26, в котором значение направления для восходящей линии связи устанавливается равным '0'.
28. Способ по любому из вариантов осуществления 4-19, в котором алгоритм шифрования представляет собой алгоритм асимметричного шифрования.
29. Способ по варианту осуществления 28, в котором алгоритм шифрования использует ключ CK, который представляет собой предварительно установленную пару ключей открытый/секретный между WTRU модулем и сетью.
30. Способ по варианту осуществления 29, в котором открытый ключ передается через системную информацию сетью.
31. Способ по варианту осуществления 30, в котором модуль WTRU выбирает открытый ключ из набора открытых ключей, содержащего множество открытых ключей.
32. Способ по варианту осуществления 31, в котором модуль WTRU использует свое значение идентификационной информации IMSI для выбора индекса в набор открытых ключей для выбора открытого ключа.
33. Способ по варианту осуществления 31, в котором модуль WTRU использует свое значение FRESH для выбора индекса в набор открытых ключей для выбора открытого ключа.
34. Способ по варианту осуществления 33, в котором модуль WTRU шифрует индекс с предварительно согласованным открытым ключом и включает зашифрованный индекс в состав сообщения запроса подключения.
35. Способ по любому из вариантов осуществления 30-34, в котором системная информация включает в себя первое начальное число индекса ключа, и сообщение запроса подключения включает в себя второе начальное число индекса ключа, и открытый ключ выбирается с использованием способа обмена ключей Diffie-Hellman.
36. Способ по любому из вариантов осуществления 1-35, в котором используемый алгоритм защиты целостности представляет собой один из исходных параметров безопасности.
37. Способ по варианту осуществления 36, в котором алгоритм защиты целостности представляет собой алгоритм f9, и исходные параметры защиты целостности включают в себя ключ IK, значение COUNT-I, сообщение, значение направления и значение FRESH.
38. Способ по варианту осуществления 37, в котором ключ IK генерируется модулем WTRU с использованием случайного числа, принятого из сети через системную информацию и совместно используемого секретного ключа K.
39. Способ по варианту осуществления 37, в котором ключ IK генерируется с использованием алгоритма f4.
40. Способ по любому из вариантов осуществления 37-39, в котором значение COUNT-I представляет собой предварительно установленное значение, известное модулю WTRU и сети.
41. Способ по любому из вариантов осуществления 37-40, в котором значение COUNT-I устанавливается равным значению START, хранимому в модуле USIM, в объединении с предварительно согласованным значением, известным между модулем WTRU и сетью.
42. Способ по варианту осуществления 41, в котором предварительно согласованное значение представляет собой порядковый номер уровня NAS.
43. Способ по любому из вариантов осуществления 37-42, в котором значение COUNT-I представляет собой значение, вычисленное модулем WTRU и сетью.
44. Способ по любому из вариантов осуществления 37-43, в котором значение направления для восходящей линии связи устанавливается равным '0'.
45. Способ по любому из вариантов осуществления 37-44, в котором сообщение представляет собой идентификационную информацию ID радионосителя плюс первое NAS сообщение.
46. Способ по любому из вариантов осуществления 37-45, в котором значение FRESH выбирается из набора предварительно установленных значений FRESH между модулем WTRU и сетью.
47. Способ по варианту осуществления 46, в котором для вычисления индекса для значения FRESH используется ключ IK.
48. Способ по любому из вариантов осуществления 37-45, в котором значение FRESH генерируется с использованием алгоритма генерации значения FRESH со случайным числом, передаваемым через системную информацию, и совместно используемого секретного ключа K.
49. Способ по любому из вариантов осуществления 1-48, в котором система беспроводной связи представляет собой систему 3G LTE.
50. Модуль WTRU для обеспечения секретности идентификационной информации ID пользователя в исходном сигнальном сообщении подключения в системе беспроводной связи.
51. Модуль WTRU по варианту осуществления 50, содержащий уровень NAS, конфигурированный для генерации первого сигнального сообщения управления и для запуска подключения к сети.
52. Модуль WTRU по любому из вариантов осуществления 50-51, содержащий уровень RRC, конфигурированный для генерации второго сигнального сообщения управления и для выполнения защиты целостности первого и второго сигнальных сообщений управления.
53. Модуль WTRU по любому из вариантов осуществления 51-52, содержащий уровень C-PDCP, конфигурированный для выполнения шифрования, по меньшей мере, одного из первого и второго сигнальных сообщений управления, включающего в себя исходное сигнальное сообщение подключения и идентификационную информацию ID пользователя, с использованием исходных параметров безопасности, которые загружаются на уровень C-PDCP после включения питания модуля WTRU и отправления в сеть зашифрованного исходного сигнального сообщения подключения и идентификационной информации ID пользователя.
54. Модуль WTRU по варианту осуществления 53, в котором исходные параметры безопасности загружаются из модуля USIM.
55. Модуль WTRU по варианту осуществления 53, в котором исходные параметры безопасности генерируются из широковещательной передачи системной информации из сети.
56. Модуль WTRU по варианту осуществления 55, в котором системная информация включает в себя, по меньшей мере, один открытый ключ или информацию для выведения открытого ключа.
57. Модуль WTRU по любому из вариантов осуществления 53-56, в котором исходное сигнальное сообщение подключения включает в себя идентификационную информацию PLMN.
58. Модуль WTRU по любому из вариантов осуществления 51-57, в котором уровень NAS конфигурируется для подтверждения подлинности сети, основываясь на случайном числе и пароле подтверждения подлинности, входящих в состав сообщения запроса подтверждения подлинности из сети, и для вычисления ключей сеанса и отправления в сеть сообщения отклика подтверждения подлинности, включающего в себя отклик RES, так что сеть подтверждает подлинность модуля WTRU сетью с использованием отклика RES.
59. Модуль WTRU по варианту осуществления 58, в котором сообщение отклика подтверждения подлинности защищается с использованием исходных параметров безопасности.
60. Модуль WTRU по любому из вариантов осуществления 52-59, дополнительно содержащий уровень PDCP U-плоскости для обработки данных U-плоскости, уровень RRC загружает новые ключи сеанса на уровень PDCP U-плоскости для шифрования данных U-плоскости.
61. Модуль WTRU по любому из вариантов осуществления 53-60, в котором используемый алгоритм шифрования представляет собой один из исходных параметров безопасности.
62. Модуль WTRU по варианту осуществления 61, в котором алгоритм шифрования представляет собой алгоритм f8, в котором исходные параметры шифрования включают в себя, по меньшей мере, один из следующих параметров: ключ CK, значение COUNT-C, идентификационную информацию ID носителя, значение направления и значение длины.
63. Модуль WTRU по варианту осуществления 62, в котором значение COUNT-C представляет собой предварительно установленное значение, известное только для модуля WTRU и сети.
64. Модуль WTRU по варианту осуществления 62, в котором модуль COUNT-C представляет собой значение START, хранимое в модуле USIM, в объединении с предварительно согласованным значением, известным между модулем WTRU и сетью.
65. Модуль WTRU по варианту осуществления 64, в котором предварительно согласованное значение представляет собой порядковый номер уровня NAS.
66. Модуль WTRU по варианту осуществления 62, в котором значение COUNT-C вычисляется модулем WTRU и сетью.
67. Модуль WTRU по любому из вариантов осуществления 62-66, в котором идентификационная информация ID носителя представляет собой номер ID радиоканала передачи данных.
68. Модуль WTRU по любому из вариантов осуществления 62-66, в котором идентификационная информация ID носителя представляет собой предварительно установленное значение между модулем WTRU и сетью.
69. Модуль WTRU по любому из вариантов осуществления 62-68, в котором значение направления для восходящей линии связи устанавливается равным '0'.
70. Модуль WTRU по любому из вариантов осуществления 53-69, в котором алгоритм шифрования представляет собой алгоритм асимметричного шифрования.
71. Модуль WTRU по варианту осуществления 70, в котором алгоритм шифрования использует ключ CK, который представляет собой предварительно установленную пару ключей открытый/секретный между модулем WTRU и сетью.
72. Модуль WTRU по варианту осуществления 71, в котором открытый ключ передается через системную информацию.
73. Модуль WTRU по варианту осуществления 72, в котором уровень C-PDCP выбирает открытый ключ из набора открытых ключей, содержащего множество открытых ключей.
74. Модуль WTRU по варианту осуществления 73, в котором уровень C-PDCP использует идентификационную информацию ID пользователя для выбора индекса в набор открытых ключей.
75. Модуль WTRU по варианту осуществления 73, в котором уровень C-PDCP использует значение FRESH для выбора индекса в набор открытых ключей.
76. Модуль WTRU по любому из вариантов осуществления 74-75, в котором уровень C-PDCP шифрует индекс с предварительно согласованным открытым ключом и включает зашифрованный индекс в состав сообщения запроса подключения.
77. Модуль WTRU по любому из вариантов осуществления 74-76, в котором системная информация включает в себя первое начальное число индекса ключа и сообщение запроса подключения включает в себя второе начальное число индекса ключа и в котором открытый ключ выбирается с использованием способа обмена ключей Diffie-Hellman.
78. Модуль WTRU по любому из вариантов осуществления 53-77, в котором используемый алгоритм защиты целостности представляет собой один из исходных параметров безопасности.
79. Модуль WTRU по варианту осуществления 78, в котором алгоритм защиты целостности представляет собой алгоритм f9, и параметры включают в себя ключ IK, значение COUNT-I, сообщение, значение направления и значение FRESH.
80. Модуль WTRU по варианту осуществления 79, в котором ключ IK генерируется модулем WTRU с использованием случайного числа, принятого через системную информацию, и совместно используемого секретного ключа K.
81. Модуль WTRU по варианту осуществления 79, в котором ключ IK генерируется с использованием алгоритма f4.
82. Модуль WTRU по любому из вариантов осуществления 79-81, в котором значение COUNT-I представляет собой предварительно установленное значение, известное модулю WTRU и сети.
83. Модуль WTRU по любому из вариантов осуществления 79-81, в котором значение COUNT-I устанавливается равным значению START, хранимому в модуле USIM, в объединении с предварительно согласованным значением, известным между WTRU модулем и сетью.
84. Модуль WTRU по варианту осуществления 83, в котором предварительно согласованное значение представляет собой порядковый номер уровня NAS.
85. Модуль WTRU по любому из вариантов осуществления 79-81, в котором значение COUNT-I представляет собой значение, вычисленное модулем WTRU и сетью.
86. Модуль WTRU по любому из вариантов осуществления 79-85, в котором значение направления для восходящей линии связи устанавливается равным '0'.
87. Модуль WTRU по любому из вариантов осуществления 79-86, в котором сообщение представляет собой идентификационную информацию ID радионосителя плюс первое сообщение NAS.
88. Модуль WTRU по любому из вариантов осуществления 79-87, в котором значение FRESH выбирается из набора предварительно установленных значений FRESH между модулем WTRU и сетью.
89. Модуль WTRU по варианту осуществления 88, в котором для вычисления индекса для значения FRESH используется ключ IK.
90. Модуль WTRU по варианту осуществления 88, в котором значение FRESH генерируется с использованием алгоритма генерации значения FRESH со случайным числом, передаваемым через системную информацию, и совместно используемого секретного ключа K.
91. Модуль WTRU по любому из вариантов осуществления 50-90, в котором система беспроводной связи представляет собой систему 3G LTE.
92. Модуль WTRU по любому из вариантов осуществления 50-91, в котором сеть шифрует сообщение управления нисходящей линии связи с ключом, используемым для шифрования исходного сигнального сообщения подключения с использованием алгоритма симметричного шифрования.
Хотя признаки новизны и элементы настоящего изобретения описаны в предпочтительных вариантах осуществления в конкретных комбинациях, каждый признак новизны или элемент может быть использован отдельно без других признаков новизны и элементов предпочтительных вариантов осуществления или в различных комбинациях с другими признаками новизны и элементами настоящего изобретения или без них. Способы или процедурные блок-схемы, обеспеченные в настоящем изобретении, могут быть воплощены в виде компьютерной программы, программного обеспечения или электронных аппаратных средств, материально воплощенных в считываемом компьютером носителе для выполнения компьютером общего назначения или процессором. Примеры считываемых компьютером носителей включают в себя постоянное запоминающее устройство (ROM, ПЗУ), запоминающее устройство с произвольной выборкой (RAM, ЗУПВ), регистры, кэш-память, полупроводниковые запоминающие устройства, магнитные носители, такие как внутренние жесткие диски и сменные диски, магнитооптические носители и оптические носители, такие как постоянное запоминающее устройство на компакт-диске (CD-ROM) и цифровые многофункциональные диски (DVD).
Подходящие процессоры могут включать в себя, например, процессор общего назначения, процессор специального назначения, обычный процессор, процессор цифровой обработки сигналов (DSP), множество микропроцессоров, один или несколько микропроцессоров, связанных с ядром DSP процессора, контроллер, микроконтроллер, специализированные интегральные схемы (ASIC), программируемые вентильные матрицы (FPGA) или другой тип интегральной схемы (IC) и/или конечный автомат.
Процессор в связи с программным обеспечением может использоваться для осуществления радиочастотного приемопередатчика для использования в беспроводном приемо-передающем модуле (WTRU), пользовательском оборудовании (UE), терминале, базовой станции, контроллере радиосети (RNC) или любом главном компьютере. Модуль может использоваться в сочетании с модулями, воплощаемыми в электронных аппаратных средствах и/или программном обеспечении, таких как камера, видеокамера, видеотелефон, устройство "громкой" связи, виброприбор, громкоговоритель, микрофон, телевизионный приемопередатчик, головной телефон, клавиатура, модуль Bluetooth®, частотно-модулированный (FM) радиомодуль, устройство отображения жидкокристаллического дисплея (LCD), устройство отображения органического светодиода (OLED), цифровой аудиоплеер, медиаплеер, плеер видеоигр, браузер Интернет и/или любой модуль беспроводной локальной сети (WLAN)

Claims (20)

1. Способ обеспечения секретности идентификационной информации (ID) пользователя в исходном сигнальном сообщении подключения, при этом способ содержит:
активизацию уровня протокола сходимости пакетных данных (С-PDCP) плоскости управления (C-plane) после включения питания беспроводного приемопередающего модуля (WTRU);
загрузку исходных параметров безопасности на уровень C-PDCP;
шифрование исходного сигнального сообщения подключения, включающего в себя ID-пользователя с использованием исходных параметров безопасности; и
отправление зашифрованного исходного сигнального сообщения подключения и ID-пользователя.
2. Способ по п.1, в котором исходные параметры безопасности загружаются из универсального модуля идентификации абонента (USIM).
3. Способ по п.1, в котором исходные параметры безопасности генерируются из системной информации.
4. Способ по п.1, дополнительно содержащий:
прием сообщения запроса подтверждения подлинности, включающего в себя случайное число и пароль подтверждения подлинности;
выполнение подтверждения подлинности, основываясь на случайном числе и пароле подтверждения подлинности;
вычисление ключей сеанса и отклика (RES);
отправление сообщения отклика подтверждения подлинности, включающего в себя отклик RES; и
прием сообщения команды режима безопасности.
5. Способ по п.1, в котором для шифрования используется алгоритм f8 и исходные параметры безопасности включают в себя ключ шифрования (СК), значение COUNT-C, идентификационную информацию ID-носителя, значение направления и значение длины.
6. Способ по п.5, в котором значение COUNT-C представляет собой значение START, хранимое в универсальном модуле идентификации абонента (USIM), в объединении с предварительно согласованным значением.
7. Способ по п.6, в котором предварительно согласованное значение представляет собой порядковый номер уровня слоя без доступа (NAS).
8. Способ по п.1, в котором ключ шифрования выбирается с использованием способа обмена ключей Diffie-Hellman.
9. Способ по п.1, в котором используется алгоритм f9 и исходные параметры безопасности включают в себя ключ целостности (IK), значение COUNT-1, сообщение, значение направления и значение FRESH.
10. Способ по п.9, в котором значение COUNT-1 устанавливается равным значению START, хранимому в универсальном модуле идентификации абонента (USIM), в объединении с предварительно согласованным значением.
11. Беспроводной приемопередающий модуль (WTRU) для обеспечения секретности идентификационной информации (ID) пользователя в исходном сигнальном сообщении подключения, при этом модуль WTRU содержит:
уровень слоя без доступа (NAS), конфигурированный для генерации первого сигнального сообщения управления и для запуска подключения к сети;
уровень управления радиоресурсами (RRC), конфигурированный для генерации второго сигнального сообщения управления и для выполнения защиты целостности первого и второго сигнальных сообщений управления;
уровень протокола сходимости пакетных данных (C-PDCP) плоскости управления (C-plane), конфигурированный для выполнения шифрования, по меньшей мере, одного из первого и второго сигнальных сообщений управления, включающего в себя исходное сигнальное сообщение подключения и идентификационную информацию ID-пользователя, с использованием исходных параметров безопасности, которые загружаются на уровень C-PDCP после включения питания уровня C-PDCP, и отправления в сеть зашифрованного исходного сигнального сообщения подключения и идентификационной информации ID-пользователя.
12. Модуль WTRU по п.11, в котором исходные параметры безопасности загружаются из универсального модуля идентификации абонента (USIM).
13. Модуль WTRU по п.11, в котором исходные параметры безопасности генерируются из широковещательной передачи системной информации из сети.
14. Модуль WTRU по п.11, в котором уровень NAS конфигурируется для подтверждения подлинности сети, основываясь на случайном числе и пароле подтверждения подлинности, входящих в состав сообщения запроса подтверждения подлинности из сети, и для вычисления ключей сеанса и отправления в сеть сообщения отклика подтверждения подлинности, включающего в себя отклик (RES), так, что сеть подтверждает подлинность модуля WTRU сетью с использованием отклика RES.
15. Модуль WTRU по п.11, в котором используется алгоритм f8, в котором исходные параметры безопасности включают в себя, по меньшей мере, один параметр из следующих: ключ шифрования (СК), значение COUNT-C, идентификационную информацию ID-носителя, значение направления и значение длины.
16. Модуль WTRU по п.15, в котором значение COUNT-C представляет собой значение START, хранимое в универсальном модуле идентификации абонента (USIM), в объединении с предварительно согласованным значением, известным между модулем WTRU и сетью.
17. Модуль WTRU по п.16, в котором предварительно согласованное значение представляет собой порядковый номер уровня слоя без доступа (NAS).
18. Модуль WTRU по п.11, в котором системная информация включает в себя первое начальное число индекса ключа и сообщение запроса подключения включает в себя второе начальное число индекса ключа и в котором открытый ключ выбирается с использованием способа обмена ключей Diffie-Hellman.
19. Модуль WTRU по п.11, в котором используется алгоритм f9 и исходные параметры безопасности включают в себя ключ целостности (IK), значение COUNT-1, сообщение, значение направления и значение FRESH.
20. Модуль WTRU по п.19, в котором значение COUNT-1 устанавливается равным значению START, хранимому в универсальном модуле идентификации абонента (USIM), в объединении с предварительно согласованным значением, известным между модулем WTRU и сетью.
RU2009101304/09A 2006-06-19 2007-06-14 Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении RU2400942C1 (ru)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US81524506P 2006-06-19 2006-06-19
US60/815,245 2006-06-19
US83263206P 2006-07-21 2006-07-21
US60/832,632 2006-07-21

Related Child Applications (1)

Application Number Title Priority Date Filing Date
RU2010124845/07A Substitution RU2010124845A (ru) 2006-06-19 2010-06-16 Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении

Publications (2)

Publication Number Publication Date
RU2009101304A RU2009101304A (ru) 2010-07-27
RU2400942C1 true RU2400942C1 (ru) 2010-09-27

Family

ID=38805789

Family Applications (2)

Application Number Title Priority Date Filing Date
RU2009101304/09A RU2400942C1 (ru) 2006-06-19 2007-06-14 Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении
RU2010124845/07A RU2010124845A (ru) 2006-06-19 2010-06-16 Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении

Family Applications After (1)

Application Number Title Priority Date Filing Date
RU2010124845/07A RU2010124845A (ru) 2006-06-19 2010-06-16 Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении

Country Status (17)

Country Link
US (1) US8412157B2 (ru)
EP (2) EP2451134A1 (ru)
JP (1) JP4960446B2 (ru)
KR (2) KR101376700B1 (ru)
CN (1) CN101473668B (ru)
AR (1) AR061508A1 (ru)
AT (1) ATE546967T1 (ru)
AU (2) AU2007269999A1 (ru)
BR (1) BRPI0712283A2 (ru)
CA (1) CA2655721C (ru)
HK (1) HK1129983A1 (ru)
IL (1) IL196020A (ru)
MX (1) MX2008016258A (ru)
MY (1) MY140529A (ru)
RU (2) RU2400942C1 (ru)
TW (2) TWI425802B (ru)
WO (1) WO2008005162A2 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2789356C2 (ru) * 2018-06-22 2023-02-02 Идак Холдингз, Инк. Процедуры, обеспечивающие защиту конфиденциальности для блоков wtru при осуществлении связи через pc5
US11638132B2 (en) 2018-06-22 2023-04-25 Interdigital Patent Holdings, Inc. Procedures enabling privacy for WTRUs using PC5 communication

Families Citing this family (105)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7869590B2 (en) * 2005-04-12 2011-01-11 Broadcom Corporation Method and system for hardware accelerator for implementing f9 integrity algorithm in WCDMA compliant handsets
WO2008051458A2 (en) 2006-10-20 2008-05-02 Interdigital Technology Corporation Method and apparatus for self configuration of lte e-node bs
US20080119164A1 (en) * 2006-11-21 2008-05-22 Innovative Sonic Limited Method and apparatus for performing security error recovery in a wireless communications system
TWI599259B (zh) 2006-12-27 2017-09-11 無線創新信號信託公司 基地台自行配置方法及裝置
KR20080071500A (ko) * 2007-01-30 2008-08-04 이노베이티브 소닉 리미티드 무선통신시스템에서 패킷을 처리하는 방법 및 장치
FI20070095A0 (fi) * 2007-02-02 2007-02-02 Nokia Corp Turva-avainten luominen langatonta viestintää varten
CN101309500B (zh) 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
KR101341515B1 (ko) 2007-06-18 2013-12-16 엘지전자 주식회사 무선 통신 시스템에서의 반복 전송 정보 갱신 방법
WO2008156392A1 (en) * 2007-06-18 2008-12-24 Telefonaktiebolaget Lm Ericsson (Publ) Security for software defined radio terminals
KR101486352B1 (ko) 2007-06-18 2015-01-26 엘지전자 주식회사 무선 통신 시스템의 단말에서의 상향링크 동기 상태 제어방법
WO2008156314A2 (en) * 2007-06-20 2008-12-24 Lg Electronics Inc. Effective system information reception method
US8594030B2 (en) 2007-08-10 2013-11-26 Lg Electronics Inc. Method for controlling HARQ operation in dynamic radio resource allocation
KR101392697B1 (ko) * 2007-08-10 2014-05-19 엘지전자 주식회사 이동통신 시스템에서의 보안 오류 검출방법 및 장치
KR101479341B1 (ko) * 2007-08-10 2015-01-05 엘지전자 주식회사 Mbms 서비스를 제공하는 무선 통신 시스템에서효율적인 수신 방법
US8422385B2 (en) 2007-08-10 2013-04-16 Lg Electronics Inc. Control method for uplink connecting of idle terminal
KR101514841B1 (ko) * 2007-08-10 2015-04-23 엘지전자 주식회사 효율적인 랜덤 액세스 재시도를 수행하는 방법
KR101490253B1 (ko) 2007-08-10 2015-02-05 엘지전자 주식회사 무선 통신 시스템에서의 제어정보 전송 및 수신 방법
KR101422031B1 (ko) * 2007-08-10 2014-07-23 엘지전자 주식회사 방송 및 멀티캐스트 서비스를 위한 랜덤 억세스 방법
KR101495913B1 (ko) * 2007-08-10 2015-02-25 엘지전자 주식회사 이동통신 시스템에서 pdcp 계층의 제어 데이터 전송방법, 수신 방법, 그 송신장치 및 수신장치
US8488523B2 (en) 2007-08-14 2013-07-16 Lg Electronics Inc. Method of transmitting and processing data block of specific protocol layer in wireless communication system
CN101378591B (zh) 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
KR100937432B1 (ko) 2007-09-13 2010-01-18 엘지전자 주식회사 무선 통신 시스템에서의 무선자원 할당 방법
KR101461970B1 (ko) 2007-09-13 2014-11-14 엘지전자 주식회사 무선 통신 시스템에서의 폴링 과정 수행 방법
JP2010539786A (ja) * 2007-09-17 2010-12-16 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 電気通信システムにおける方法および構成
KR101591824B1 (ko) 2007-09-18 2016-02-04 엘지전자 주식회사 무선 통신 시스템에서의 폴링 과정 수행 방법
KR101435844B1 (ko) 2007-09-18 2014-08-29 엘지전자 주식회사 무선 통신 시스템에서의 데이터 블록 전송 방법
KR101396062B1 (ko) 2007-09-18 2014-05-26 엘지전자 주식회사 헤더 지시자를 이용한 효율적인 데이터 블록 전송방법
KR101513033B1 (ko) 2007-09-18 2015-04-17 엘지전자 주식회사 다중 계층 구조에서 QoS를 보장하기 위한 방법
WO2009038377A2 (en) 2007-09-20 2009-03-26 Lg Electronics Inc. Method of effectively transmitting radio resource allocation request in mobile communication system
CN101399767B (zh) 2007-09-29 2011-04-20 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
KR20090041323A (ko) 2007-10-23 2009-04-28 엘지전자 주식회사 데이터 블록 구성함에 있어서 단말의 식별 정보를 효과적으로 전송하는 방법
KR101487557B1 (ko) 2007-10-23 2015-01-29 엘지전자 주식회사 공통제어채널의 데이터를 전송하는 방법
US8416678B2 (en) 2007-10-29 2013-04-09 Lg Electronics Inc. Method for repairing an error depending on a radio bearer type
TR200800488A1 (tr) * 2008-01-24 2009-08-21 Vodafone Teknoloj� H�Zmetler� Anon�M ��Rket� MLP protokolünde istemci-kodu ve parolanın şifrelenerek gönderilmesi yöntemi.
US8199719B2 (en) 2008-03-13 2012-06-12 Apple Inc. Methods and apparatus for performing handover between a long term evolution (LTE) network and another type of radio access network
WO2009116788A1 (en) * 2008-03-17 2009-09-24 Lg Electronics Inc. Method of transmitting rlc data
KR101163275B1 (ko) 2008-03-17 2012-07-05 엘지전자 주식회사 Pdcp 상태 보고 전송 방법
KR20140144314A (ko) * 2008-03-21 2014-12-18 인터디지탈 패튼 홀딩스, 인크 패킷 교환 도메인으로부터 회선 교환 도메인으로의 폴백 방법 및 장치
US8515436B2 (en) * 2008-03-27 2013-08-20 Qualcomm Incorporated Management of wireless connections
CN101978758B (zh) * 2008-03-28 2014-11-12 爱立信电话股份有限公司 网络驱动l3控制信令优先化
US20090259851A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment
ATE503362T1 (de) 2008-04-11 2011-04-15 Innovative Sonic Ltd Verfahren und vorrichtung zur handhabung des weiterleitungsverfahrens
US8224290B2 (en) * 2008-07-25 2012-07-17 Research In Motion Limited Apparatus and method of ciphering in wireless communications user equipment operative with a plurality of radio access networks
US9276909B2 (en) 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
WO2010078724A1 (zh) * 2009-01-08 2010-07-15 中兴通讯股份有限公司 一种在移动通信系统中本地认证的方法
CN101662465B (zh) 2009-08-26 2013-03-27 深圳市腾讯计算机系统有限公司 一种动态口令验证的方法及装置
CN102026174B (zh) * 2009-09-17 2014-03-12 中兴通讯股份有限公司 一种寻呼过程中用户标识的保密方法及装置
CN102036256B (zh) 2009-09-28 2013-03-20 华为技术有限公司 数据传输方法、装置及系统
ES2675326T3 (es) * 2009-10-05 2018-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Método y aparato en un sistema de telecomunicación
JP5341258B2 (ja) 2009-10-30 2013-11-13 インターデイジタル パテント ホールディングス インコーポレイテッド 回線交換およびパケット交換セッションをサポートするワイヤレス通信のためのリソースの効率的な信号伝送および使用のための方法および装置
KR101690025B1 (ko) * 2009-11-09 2016-12-27 삼성전자주식회사 무선통신 단말기에서 애드혹 연결을 위한 페어링 방법 및 장치
US20110134831A1 (en) * 2009-12-03 2011-06-09 Nokia Corporation Architecture Providing Multi-System Carrier Aggregation
KR101683883B1 (ko) 2009-12-31 2016-12-08 삼성전자주식회사 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
JP2013516929A (ja) * 2010-01-08 2013-05-13 インターデイジタル パテント ホールディングス インコーポレイテッド 選択されたインターネットプロトコルトラフィックオフロードのサポートをブロードキャストするための方法および装置
US9197676B2 (en) * 2010-01-14 2015-11-24 Blackberry Limited System and method for reducing message signaling
CN101835151B (zh) * 2010-04-16 2016-03-30 中兴通讯股份有限公司 空中接口密钥的更新方法及无线接入系统
JP2012044327A (ja) * 2010-08-16 2012-03-01 Ntt Docomo Inc 移動通信方法、リレーノード及び無線基地局
US8730912B2 (en) * 2010-12-01 2014-05-20 Qualcomm Incorporated Determining a non-access stratum message count in handover
CN102075910B (zh) * 2010-12-20 2014-06-11 华为终端有限公司 对终端进行锁网的方法和装置
US8806042B2 (en) * 2011-02-18 2014-08-12 Telefonaktiebolaget L M Ericsson (Publ) Mobile router in EPS
WO2012149982A1 (en) * 2011-05-05 2012-11-08 Telefonaktiebolaget L M Ericsson (Publ) Security mechanism for mobile users
CN102857920A (zh) * 2011-06-30 2013-01-02 重庆重邮信科通信技术有限公司 长期演进系统终端侧对下行信令消息的处理方法及装置
EP2563071B1 (en) * 2011-08-22 2023-02-15 BlackBerry Limited Methods, apparatuses and computer program products for use in communicating supplemental non access stratum (NAS) information
CN103096302B (zh) * 2011-10-27 2016-03-02 华为技术有限公司 一种加密方法、解密方法和相关装置
CN103167492B (zh) 2011-12-15 2016-03-30 华为技术有限公司 在通信系统中生成接入层密钥的方法及其设备
WO2013112015A1 (ko) * 2012-01-27 2013-08-01 삼성전자 주식회사 이동 통신 시스템 환경 에서 재난 메시지를 보안상 효율적으로 관리하는 방법 및 장치
GB2500720A (en) * 2012-03-30 2013-10-02 Nec Corp Providing security information to establish secure communications over a device-to-device (D2D) communication link
CN102833739B (zh) * 2012-08-24 2015-07-01 大唐移动通信设备有限公司 一种初始非接入层消息的传输方法、装置及系统
CN104937965B (zh) * 2013-01-22 2019-09-03 华为技术有限公司 移动通信系统的安全认证的方法和网络设备
TWI516151B (zh) * 2013-04-26 2016-01-01 緯創資通股份有限公司 通訊方法與通訊系統
US9820279B2 (en) * 2013-08-16 2017-11-14 Sony Corporation Telecommunications apparatus and methods
US9363736B2 (en) * 2013-12-16 2016-06-07 Qualcomm Incorporated Methods and apparatus for provisioning of credentials in network deployments
EP2908593B1 (en) * 2014-02-12 2018-08-01 Alcatel Lucent Apparatuses, methods and computer programs for a base station transceiver and a mobile transceiver
WO2015174917A1 (en) 2014-05-13 2015-11-19 Telefonaktiebolaget L M Ericsson (Publ) Methods and network nodes for managing wireless device associated information in a wireless communication network
US9825937B2 (en) 2014-09-23 2017-11-21 Qualcomm Incorporated Certificate-based authentication
US10039112B2 (en) 2014-10-10 2018-07-31 Huawei Technologies Co., Ltd Methods and systems for provisioning a virtual network in software defined networks
JP6665406B2 (ja) * 2015-02-04 2020-03-13 日本電気株式会社 通信装置、通信システム、通信方法及びプログラム
AU2015384233B2 (en) * 2015-02-27 2019-03-07 Telefonaktiebolaget Lm Ericsson (Publ) Security arrangements in communication between a communication device and a network device
US10237729B2 (en) * 2015-03-05 2019-03-19 Qualcomm Incorporated Identity privacy in wireless networks
US20160292447A1 (en) * 2015-04-06 2016-10-06 Lawlitt Life Solutions, LLC Multi-layered encryption
CN106302934A (zh) * 2015-05-13 2017-01-04 阿里巴巴集团控股有限公司 一种来电识别的方法及装置
WO2016192636A1 (en) 2015-06-01 2016-12-08 Huawei Technologies Co., Ltd. System and method for virtualized functions in control and data planes
US10313887B2 (en) 2015-06-01 2019-06-04 Huawei Technologies Co., Ltd. System and method for provision and distribution of spectrum resources
US10212589B2 (en) 2015-06-02 2019-02-19 Huawei Technologies Co., Ltd. Method and apparatus to use infra-structure or network connectivity services provided by 3rd parties
US10700936B2 (en) 2015-06-02 2020-06-30 Huawei Technologies Co., Ltd. System and methods for virtual infrastructure management between operator networks
WO2017026464A1 (ja) * 2015-08-07 2017-02-16 シャープ株式会社 端末装置、mme、端末装置の通信制御方法及びmmeの通信制御方法
US10862818B2 (en) 2015-09-23 2020-12-08 Huawei Technologies Co., Ltd. Systems and methods for distributing network resources to network service providers
US10212097B2 (en) 2015-10-09 2019-02-19 Huawei Technologies Co., Ltd. Method and apparatus for admission control of virtual networks in a backhaul-limited communication network
JP6499315B2 (ja) * 2015-12-04 2019-04-10 株式会社Nttドコモ 移動通信システム及び通信網
US10028307B2 (en) * 2016-01-13 2018-07-17 Qualcomm Incorporated Configurable access stratum security
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
EP3285512A1 (en) * 2016-08-17 2018-02-21 Gemalto Sa Authentication server of a cellular telecommunication network and corresponding uicc
US11206538B2 (en) * 2016-09-30 2021-12-21 Huawei Technologies Co., Ltd. Control signaling processing method, device, and system
MY181840A (en) * 2016-11-04 2021-01-08 Thomson Licensing Devices and methods for client device authentication
CN109587680B (zh) * 2017-09-29 2021-11-30 华为技术有限公司 参数的保护方法、设备和系统
CN109788474A (zh) * 2017-11-14 2019-05-21 华为技术有限公司 一种消息保护的方法及装置
CN108200007B (zh) * 2017-11-24 2021-02-02 中国科学院信息工程研究所 一种移动网络动态身份管理方法及系统
EP3753276B1 (en) * 2018-02-15 2023-04-05 Telefonaktiebolaget Lm Ericsson (Publ) Method for improving data transmission security
CN113016202A (zh) * 2018-11-02 2021-06-22 苹果公司 5g系统中的初始非接入层协议消息的保护
CN110536291A (zh) * 2019-01-18 2019-12-03 中兴通讯股份有限公司 一种认证方法、装置和系统
US10764029B1 (en) 2019-04-02 2020-09-01 Carey Patrick Atkins Asymmetric Encryption Algorithm
CN111866884B (zh) * 2019-04-26 2022-05-24 华为技术有限公司 一种安全保护方法及装置
CN111866872B (zh) * 2019-04-29 2023-06-02 华为技术有限公司 一种通信方法及装置
CN112769530A (zh) * 2019-11-05 2021-05-07 普天信息技术有限公司 Lte230系统中单子带场景下配置授权方法
US11647392B1 (en) 2021-12-16 2023-05-09 Bank Of America Corporation Systems and methods for context-aware mobile application session protection

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5680131A (en) * 1993-10-29 1997-10-21 National Semiconductor Corporation Security system having randomized synchronization code after power up
JP3271460B2 (ja) * 1995-01-12 2002-04-02 ケイディーディーアイ株式会社 無線通信における識別子秘匿方法
US5999629A (en) * 1995-10-31 1999-12-07 Lucent Technologies Inc. Data encryption security module
US6169802B1 (en) * 1996-12-17 2001-01-02 Motorola, Inc. Dynamic private key security system for personal messaging devices
FI102499B1 (fi) * 1997-03-10 1998-12-15 Nokia Telecommunications Oy Kopioitujen SIM-korttien etsintä
US6081600A (en) * 1997-10-03 2000-06-27 Motorola, Inc. Method and apparatus for signaling privacy in personal communications systems
BR9911814A (pt) * 1998-07-03 2001-10-16 Nokia Mobile Phones Ltd Sessão de configuração segura baseado no protocolo de aplicação sem fio
FI107486B (fi) * 1999-06-04 2001-08-15 Nokia Networks Oy Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
US6741868B1 (en) * 1999-07-30 2004-05-25 Curitell Communications Inc. Method and apparatus for interfacing among mobile terminal, base station and core network in mobile telecommunications system
US6920560B2 (en) * 1999-12-30 2005-07-19 Clyde Riley Wallace, Jr. Secure network user states
FI110974B (fi) * 2000-03-01 2003-04-30 Nokia Corp Laskurin alustaminen, erityisesti radiokehyksiä varten
TW564619B (en) * 2000-11-28 2003-12-01 Nokia Corp A system for ensuring encrypted communication after handover
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
KR20030085094A (ko) * 2001-04-03 2003-11-01 미쓰비시덴키 가부시키가이샤 암호화 장치
FI114180B (fi) * 2001-06-12 2004-08-31 Nokia Corp Parannettu menetelmä ja laitejärjestely tietojen siirron salaamiseksi radioverkon päätelaitteen sisältämässä rajapinnassa sekä radioverkon päätelaite
DE10138718A1 (de) * 2001-08-07 2003-02-20 Siemens Ag Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe
EP1421509A4 (en) * 2001-08-07 2009-12-02 Tatara Systems Inc METHOD AND DEVICE FOR INTEGRATING CHARGING CALCULATION AND AUTHENTICATION FUNCTIONS IN LOCAL AND LARGE AREA WIRELESS DATA NETWORKS
JP2003172868A (ja) 2001-09-28 2003-06-20 Pentax Corp 自動合焦機構を備えた撮影機能付観察光学装置
US6983376B2 (en) * 2001-10-16 2006-01-03 Qualcomm Incorporated Method and apparatus for providing privacy of user identity and characteristics in a communication system
US7127477B2 (en) * 2001-11-06 2006-10-24 Everyware Solutions Inc. Method and system for access to automatically synchronized remote files
CN1204724C (zh) * 2002-02-08 2005-06-01 华硕电脑股份有限公司 用于无线通信系统的数据传输的确认方法
GB2398974B (en) * 2002-02-16 2005-03-23 Lg Electronics Inc Method for relocating srns in a mobile communication system
US20030236085A1 (en) * 2002-06-21 2003-12-25 Chi-Fong Ho Method for synchronizing a security start value in a wireless communications network
CA2491515A1 (en) * 2002-07-02 2004-01-15 Interdigital Technology Corporation Method for exchanging higher layer system information on a wireless system and automatic system selection of a wireless lans
FR2845222B1 (fr) * 2002-09-26 2004-11-19 Gemplus Card Int Identification d'un terminal aupres d'un serveur
US20040088539A1 (en) * 2002-11-01 2004-05-06 Infante Steven D. System and method for securing digital messages
KR100956823B1 (ko) * 2003-02-11 2010-05-11 엘지전자 주식회사 이동 통신 시스템에서 보안 설정 메시지를 처리하는 방법
FR2858905B1 (fr) * 2003-08-12 2006-03-31 Roger Tiburce Louis Durand Dispositif d'alimentation de sources lumineuses par la decharge de condensateurs
CA2546700C (en) * 2003-11-07 2013-03-05 Telecom Italia S.P.A. Method and system for the authentication of a user of a data processing system
US9300641B2 (en) * 2005-02-11 2016-03-29 Nokia Corporation Method and apparatus for providing bootstrapping procedures in a communication network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2789356C2 (ru) * 2018-06-22 2023-02-02 Идак Холдингз, Инк. Процедуры, обеспечивающие защиту конфиденциальности для блоков wtru при осуществлении связи через pc5
US11638132B2 (en) 2018-06-22 2023-04-25 Interdigital Patent Holdings, Inc. Procedures enabling privacy for WTRUs using PC5 communication
US11930433B2 (en) 2018-06-22 2024-03-12 InterDigial Patent Holdings, Inc. Procedures enabling privacy for WTRUs using PC5 communication

Also Published As

Publication number Publication date
AU2010201991B2 (en) 2014-07-31
EP2451134A1 (en) 2012-05-09
AU2010201991A1 (en) 2010-06-10
CA2655721C (en) 2013-10-22
TW201036394A (en) 2010-10-01
JP4960446B2 (ja) 2012-06-27
RU2009101304A (ru) 2010-07-27
RU2010124845A (ru) 2011-12-27
KR20090031736A (ko) 2009-03-27
WO2008005162A2 (en) 2008-01-10
TWI425801B (zh) 2014-02-01
HK1129983A1 (en) 2009-12-11
EP2033479A2 (en) 2009-03-11
CN101473668B (zh) 2011-10-05
TW200808000A (en) 2008-02-01
US8412157B2 (en) 2013-04-02
CN101473668A (zh) 2009-07-01
EP2033479B1 (en) 2012-02-22
AU2007269999A1 (en) 2008-01-10
BRPI0712283A2 (pt) 2012-01-10
KR101088618B1 (ko) 2011-11-30
IL196020A (en) 2014-05-28
TWI425802B (zh) 2014-02-01
KR101376700B1 (ko) 2014-03-24
WO2008005162A3 (en) 2008-04-17
JP2009542091A (ja) 2009-11-26
KR20090061662A (ko) 2009-06-16
US20070297367A1 (en) 2007-12-27
CA2655721A1 (en) 2008-01-10
AR061508A1 (es) 2008-09-03
MY140529A (en) 2009-12-31
ATE546967T1 (de) 2012-03-15
IL196020A0 (en) 2009-09-01
MX2008016258A (es) 2009-02-03

Similar Documents

Publication Publication Date Title
RU2400942C1 (ru) Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении
KR101608956B1 (ko) 기지국 자가 구성을 위한 방법 및 장치
US8503376B2 (en) Techniques for secure channelization between UICC and a terminal
WO2019086444A1 (en) Methods, computer programs, computer program product, communication devices, network device and server
Leu et al. Improving security level of LTE authentication and key agreement procedure
Haddad et al. SEPS-AKA: A secure evolved packet system authentication and key agreement scheme for LTE-A networks
Chen et al. RDAP: Rapid deployment authentication protocol between mobile devices and femtocells

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20170615