RU2630175C2 - Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности - Google Patents

Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности Download PDF

Info

Publication number
RU2630175C2
RU2630175C2 RU2014135463A RU2014135463A RU2630175C2 RU 2630175 C2 RU2630175 C2 RU 2630175C2 RU 2014135463 A RU2014135463 A RU 2014135463A RU 2014135463 A RU2014135463 A RU 2014135463A RU 2630175 C2 RU2630175 C2 RU 2630175C2
Authority
RU
Russia
Prior art keywords
node
client
cryptographic key
security context
sgsn
Prior art date
Application number
RU2014135463A
Other languages
English (en)
Other versions
RU2014135463A (ru
Inventor
Карл НОРРМАН
Моника ВИВЕССОН
Original Assignee
Телефонактиеболагет Л М Эрикссон (Пабл)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Телефонактиеболагет Л М Эрикссон (Пабл) filed Critical Телефонактиеболагет Л М Эрикссон (Пабл)
Publication of RU2014135463A publication Critical patent/RU2014135463A/ru
Application granted granted Critical
Publication of RU2630175C2 publication Critical patent/RU2630175C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0066Transmission or use of information for re-establishing the radio link of control information between different types of networks in order to establish a new radio link in the target network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Изобретение относится к области связи. Технический результат – обеспечение эффективной связи. Способ управления первым узлом для генерирования контекста безопасности для клиента в системе сотовой связи, причем первый узел содержит схему обработки, причем способ включает в себя: первый узел, выполняющий в ходе передачи обслуживания в системе сотовой связи: прием, по меньшей мере, одного криптографического ключа от второго узла; прием идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом, от третьего узла; и использование указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента, причем первый узел является целевым узлом коммутации пакетов, третий узел является узлом-источником коммутации пакетов, а второй узел является узлом-источником коммутации каналов. 4 н. и 16 з.п. ф-лы, 8 ил.

Description

УРОВЕНЬ ТЕХНИКИ
Настоящее изобретение относится к системам сотовой связи и, в частности, к передаче обслуживания вызовов между системами сотовой связи, поддерживающими различные контексты безопасности.
Системы сотовой связи, как правило, включают в себя наземную сеть, обеспечивающую беспроводное покрытие мобильным терминалам, которые продолжают получать услугу при одновременном перемещении в пределах зоны покрытия сети. Термин «сотовая» происходит из того, что вся зона покрытия делится на так называемые «соты», каждая из которых обычно обслуживается конкретной приемопередающей радиостанцией (или ее эквивалентом), связанной с наземной сетью. Такие приемопередающие радиостанции часто обобщенно называют «базовыми станциями», даже в тех случаях, когда органы, устанавливающие стандарты связи, применяют иную терминологию (например, «NodeB» в WCDMA и «eNodeB» в LTE) с целью очень точного указания отличительных возможностей и архитектур своих версий базовой станции. По мере того как мобильное устройство перемещается от одной соты к другой, сеть передает ответственность за обслуживание мобильного устройства от обслуживающей в данный момент соты к «новой» соте. Таким образом, пользователь мобильного устройства ощущает непрерывность обслуживания без необходимости повторного установления соединения с сетью. Управление передачами обслуживания осуществляется с помощью стандартного системного механизма повторного выбора соты. Фиг. 1 иллюстрирует систему сотовой связи, обеспечивающую системную зону 101 покрытия с помощью множества сот 103.
С появлением новых систем связи они вводят новые особенности, возможности и способы передачи обслуживания вызовов. Оборудование для мобильной связи (называемое далее «Пользовательским оборудованием» или «UE») должно работать способом, совместимым с системой, с которой предполагается его связь. Чтобы обеспечивать максимальную гибкость применения, UE часто выполняются совместимыми с более чем одной системой. В одном отношении это позволяет пользователю продолжать использование UE при переносе его из географического района, покрываемого одним типом системы связи, в другой район, обслуживаемый другим типом системы связи.
Наличие многорежимного средства целесообразно также потому, что более новые системы внедряются постепенно, поэтому даже если пользователь остается в географических пределах системы одного оператора, UE иногда может оказаться обслуживаемым более старым оборудованием, а иногда - обслуживаемым более новым оборудованием. Данная ситуация иллюстрируется на фиг. 2, на которой изображена часть системы сотовой связи, в которой UE 201 в настоящий момент обслуживается первой сотой 203, поддерживаемой оборудованием 205, которое соответствует более старым стандартам связи (например, одному из стандартов 2G - например, GERAN, или 3G - например, UTRAN). В данном примере UE 201 находится вблизи второй (соседней) соты 207, которая поддерживается оборудованием 209, соответствующим более новому стандарту связи (например, спецификации 4G, такой как E-UTRAN, которая называется также «Долговременным развитием» или «LTE»). Если пользователь занят вызовом в тот момент, когда должна осуществляться передача обслуживания от более старого оборудования 205 к более новому оборудованию 209, было бы желательно иметь возможность передавать обслуживание вызова постепенно, минимизируя прерывание вызова.
Однако, поскольку более старые системы связи разработаны без знания о том, какая информация потребуется для обеспечения передачи обслуживания на более новое оборудование, разработчики столкнулись с задачей: как лучше всего обеспечивать выполнение такой передачи обслуживания (т.е. как выдавать на новое оборудование информацию, которая обеспечит ему максимальные возможности получения поддержки для текущего вызова, в настоящий момент обслуживаемого более старым оборудованием). Следовательно, необходимы решения этой проблемы, предполагающие способы, устройства и/или программные средства.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Следует подчеркнуть, что термины «содержит» и «содержащий» при использовании в настоящем описании применяются для указания на наличие заявляемых признаков, целочисленных переменных, этапов или компонентов; тем не менее использование этих терминов не исключает наличия или добавления одного или более иных признаков, целочисленных переменных, этапов, компонентов или их групп.
Прочие цели, признаки и преимущества настоящего изобретения будут понятны из нижеследующего неограничительного подробного описания, из прилагаемой формулы изобретения, а также из чертежей. Как правило, все термины, используемые в формуле изобретения, должны толковаться в соответствии с их обычным смыслом в данной области техники, если в настоящем документе прямо не указано иное. Все ссылки на «элемент, устройство, компонент, средство, этап и т.д.» должны явно толковаться как относящиеся, по меньшей мере, к одному примеру упомянутого элемента, устройства, компонента, средства, этапа и т.п., если прямо не указано иное. Этапы любого способа, описанного в настоящем документе, не обязательно должны выполняться точно в описанном порядке, если прямо не указано иное.
В соответствии с одним аспектом настоящего изобретения, вышеупомянутые и прочие цели достигаются, например, в способах и устройствах для управления первым узлом для генерирования контекста безопасности для клиента в системе сотовой связи, причем первый узел содержит схему обработки. Такое управление включает в себя прием первым узлом, по меньшей мере, одного криптографического ключа от второго узла и прием идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом, от третьего узла. Указанный, по меньшей мере, один криптографический ключ и идентификационная информация используются для генерирования контекста безопасности для клиента.
В некоторых вариантах осуществления первый и третий узлы являются узлами коммутации пакетов, а второй узел является узлом коммутации каналов. Например, первый узел может представлять собой Узел управления мобильностью (ММЕ), второй узел может представлять собой Коммутационный центр мобильной связи (MSC), а третий узел может представлять собой Обслуживающий узел поддержки GPRS (SGSN). В некоторых альтернативных вариантах осуществления первый узел является первым SGSN, второй узел является MSC, а третий узел является вторым SGSN.
В некоторых вариантах осуществления управление дополнительно включает в себя прием первым узлом одного или более векторов аутентификации от второго узла. Затем векторы аутентификации, принимаемые от второго узла, отбрасываются.
В некоторых вариантах осуществления, в которых первый узел является SGSN, управление включает в себя использование одного или более из указанного, по меньшей мере, одного криптографического ключа для защиты трафика между четвертым узлом и клиентом.
В некоторых вариантах осуществления, в которых первый узел является ММЕ, управление включает в себя выработку ключа для Объекта управления защитой доступа (K_ASME) из одного или более из указанного, по меньшей мере, одного криптографического ключа.
В некоторых вариантах осуществления управление включает в себя прием от третьего узла ключей шифрования коммутации пакетов для использования в соединении с коммутацией пакетов и отбрасывание ключей шифрования коммутации пакетов.
В некоторых вариантах осуществления управление включает в себя прием, по меньшей мере, одного вектора аутентификации от третьего узла и сохранение принятого, по меньшей мере, одного вектора аутентификации.
В некоторых вариантах осуществления управление включает в себя прием дополнительной информации от третьего узла, а в некоторых из этих вариантов осуществления использование указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента включает в себя использование указанного, по меньшей мере, одного криптографического ключа, идентификационной информации и дополнительной информации для генерирования контекста безопасности для клиента.
В некоторых вариантах осуществления рассматривается такое управление и в первом, и во втором узлах, при котором второй узел генерирует, по меньшей мере, один новый криптографический ключ, по меньшей мере, из одного имеющегося ключа, связанного с клиентом, и nonce-параметра, генерируемого вторым узлом, и передает указанный, по меньшей мере, один новый криптографический ключ в первый узел. Затем первый узел принимает идентификационную информацию алгоритмов обеспечения безопасности, поддерживаемых клиентом, от третьего узла и использует указанный, по меньшей мере, один криптографический ключ и идентификационную информацию для генерирования контекста безопасности для клиента.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг. 1 иллюстрирует систему сотовой связи, обеспечивающую зону покрытия системы с помощью множества сот.
На фиг. 2 изображена часть системы сотовой связи, в которой UE в настоящий момент обслуживается в первой соте, поддерживаемой оборудованием, которое соответствует более старому стандарту связи (например, одному из стандартов 2G или 3G), и должно быть передано второй соте, поддерживаемой оборудованием, которое соответствует более новому стандарту связи.
На фиг. 3 изображены аспекты сигнализации, входящей в передачу обслуживания вызова от UTRAN-источника или GERAN-источника, поддерживающего оборудование, работающее в области коммутации каналов, к целевой UTRAN/GERAN, поддерживающей оборудование, работающее в области коммутации пакетов (PS).
На фиг. 4 изображены аспекты сигнализации, входящей в передачу обслуживания вызова от UTRAN-источника или GERAN-источника, поддерживающего оборудование, работающее в области коммутации каналов (CS), к целевой E-UTRAN (т.е. оборудованию 4G), работающей в области PS.
Фиг. 5 представляет собой в одном отношении функциональную схему этапов/процессов, выполняемых целевым узлом PS в соответствии с некоторыми, но не обязательно всеми примерами осуществления механизма передачи обслуживания, соответствующего настоящему изобретению.
Фиг. 6 представляет собой схему сигнализации аспектов одного варианта осуществления сигнализации и этапов передачи обслуживания, соответствующих настоящему изобретению.
Фиг. 7 представляет собой схему сигнализации альтернативного варианта осуществления сигнализации и этапов передачи обслуживания, соответствующих настоящему изобретению.
Фиг. 8 представляет собой блок-схему целевого узла (например, SGSN/MME), который работает в области PS.
ПОДРОБНОЕ ОПИСАНИЕ
Ниже различные признаки изобретения описываются со ссылкой на чертежи, на которых одинаковые детали обозначены одинаковыми ссылочными позициями.
Далее различные аспекты изобретения описываются подробнее применительно к ряду примеров осуществления. Для обеспечения понимания изобретения многие аспекты изобретения описываются с точки зрения последовательностей действий, выполняемых элементами вычислительной системы или иных аппаратных средств, способных исполнять программно-реализованные команды. Понятно, что в каждом из вариантов осуществления различные действия могут выполняться специализированными схемами (например, аналоговыми и/или дискретными логическими вентилями, взаимосвязанными для выполнения специализированной функции), одним или более процессорами, запрограммированными с помощью подходящего набора команд, или некоторой комбинацией перечисленного. Термин «схема, выполненная с возможностью» выполнения одного или более описанных действий используется в настоящем документе для ссылки на любой такой вариант осуществления (т.е. одну или более специализированных схем и/или один или более программируемых процессоров). Кроме того, можно дополнительно рассматривать осуществление изобретения полностью в любой форме машиночитаемого носителя, такого как твердотельная память, магнитный диск или оптический диск, содержащий соответствующий набор машинных команд, которые заставляют процессор реализовывать описанные в настоящем документе методы. Таким образом, различные аспекты изобретения могут быть осуществлены во множестве различных форм, и все такие формы считаются находящимися в пределах объема изобретения. Для каждого из различных аспектов изобретения любая такая форма вариантов осуществления, описанных выше, может называться в настоящем документе «логической схемой, выполненной с возможностью» выполнения описанного действия или в качестве альтернативы «логической схемой, которая» выполняет описанное действие.
В нижеследующем описании ряд аббревиатур используется для краткости и потому, что в данной области техники аббревиатуры широко применяются. Поэтому нижеследующие аббревиатуры и их значения представлены, исходя из предположения, что каждая из них является стандартным термином, который без труда должен быть понятен специалисту:
- 3GPP (проект партнерства 3-го поколения)
- 3GPP TSG SA WG3 (рабочая группа 3 по системной архитектуре группы технической спецификации проекта партнерства 3-го поколения)
- AKA (соглашение об аутентификации и ключах)
- AMF (поле управления аутентификацией)
- AS (слой доступа)
- BSC (контроллер базовой станции)
- BSS (подсистема базовой станции)
- CK (ключ шифрования)
- CKSN (порядковый номер ключа шифрования)
- CR (запрос на изменение)
- CS (с коммутацией каналов)
- eNB (eNodeB)
- E-UTRAN (расширенная сеть универсального наземного радиодоступа)
- EPS (опорная система с коммутацией пакетов)
- FC (код функции)
- FFS (для дальнейшего изучения)
- GERAN (сеть радиодоступа GSM/EDGE)
- HLR (опорный регистр местоположения)
- HO (передача обслуживания)
- HSPA (высокоскоростная пакетная передача данных)
- HSS (опорный абонентский сервер)
- IE (информационный элемент)
- IK (ключ целостности)
- IMS (мультимедийная подсистема на базе протокола IP)
- IMSI (международный идентификатор мобильного абонента)
- IRAT (между технологиями радиодоступа)
- ISDN (цифровая сеть интегрального обслуживания)
- KASME (объект управления безопасностью)
- KDF (функция выработки ключа)
- KSI (идентификатор набора ключей)
- LA (зона местоположения)
- LTE (долгосрочное развитие)
- ME (оборудование мобильной связи)
- MSC (коммутационный центр мобильной связи)
- MSISDN (номер мобильного абонента ISDN)
- MM (управление мобильностью)
- MME (узел управления мобильностью)
- MS (мобильная станция)
- NAS (слой без доступа)
- NB (узел B)
- NONCE («однократно используемое число» - (псевдо)случайно генерируемая строка битов)
- PLMN (наземная сеть мобильной связи общего пользования)
- PS (с коммутацией пакетов)
- PRNG (генератор псевдослучайных чисел)
- RAT (технология радиодоступа)
- RNC (контроллер радиосети)
- RRC (управление радиоресурсами)
- SA (архитектура системы)
- SGSN (обслуживающий узел поддержки GPRS)
- SGW (шлюз сигнализации)
- SIM (модуль идентификации абонента)
- SRNC (обслуживающий RNC)
- SRVCC (непрерывность одиночного речевого радиовызова)
- SQN (порядковый номер)
- UE (пользовательское оборудование)
- USIM (универсальный модуль идентификации абонента)
- UTRAN (сеть универсального наземного радиодоступа)
- UMTS (универсальная система мобильной связи)
- UP (плоскость пользователя).
Как упоминалось в разделе «Уровень техники» настоящего изобретения, несовместимости между различными типами оборудования сотовой связи создают препятствия к достижению высококачественной передачи обслуживания вызовов от одного типа оборудования к другому типу. Например, рассмотрим проблемы, которые могут возникать в отношении контекста безопасности в тех случаях, когда более новое, так называемое оборудование «4G» должно принимать ответственность за вызов, который в настоящий момент обслуживается более старым оборудованием «2G» или «3G». Двухрежимные/многорежимные UE, которые предназначены для работы в оборудовании 2G/3G, а также в более новом оборудовании 4G, вероятно, будут иметь возможности обеспечения безопасности, характерные для оборудования 4G. Следовательно, узел сети 4G, которому должно передаваться обслуживание вызова, должен принимать информацию, указывающую, каковы параметры безопасности (например, ключи, выбираемые и поддерживаемые алгоритмы шифрования и т.д.). Однако рассмотрим, что произойдет во время обычной передачи обслуживания от оборудования 2G/3G к оборудованию 4G.
Любой вызов 2G/3G (который может работать либо в режиме коммутации каналов - CS, либо в режиме коммутации пакетов - PS), передача обслуживания которого должна осуществляться на оборудование 4G (которое работает исключительно в режиме PS), по меньшей мере, должен быть подключен к SGSN (оборудование PS), даже если передача обслуживания вызова осуществляется посредством соединения с MSC (оборудование CS). В тех случаях, когда UE подключается к сети в области коммутации пакетов, оно выдает в SGSN так называемые «Возможности сети UE», которые включают в себя алгоритмы обеспечения безопасности, поддерживаемые терминалом в E-UTRAN. В статье 6.14 3GPP TS 23.060 V10.6.0 (2011-12) указано, что «метка класса радиодоступа» содержит «Возможности сети UE». «Возможности сети UE» включают в себя алгоритмы обеспечения безопасности E-UTRAN, поддерживаемые UE. В частности, в статье 6.14.1 3GPP TS 23.060 указано, что UE (по историческим причинам называемое в спецификации «MS» - «Мобильной станцией») отправляет возможности радиодоступа в сеть. Для получения дополнительной информации об этом аспекте заинтересованный читатель может обратиться к 3GPP TS 23.060.
Что касается области коммутации каналов, UE не выдает «Возможности сети UE» в сеть (в данном случае, MSC), а вместо этого выдает лишь свои возможности, связанные с 2G/3G (UTRAN/GERAN). Это можно увидеть из определения сообщения с Запросом на обновление информации о местоположении, содержащегося в статье 9.2.15 3GPP TS 24.008 V10.5.0 (2011-12). Сообщение с Запросом на обновление информации о местоположении используется для выполнения подключения.
Передача обслуживания между RAT с коммутацией пакетов от UTRAN (3G) к E-UTRAN (4G) описывается в статье 5.5.2.2 3GPP TS 23.401 V10.6.0 (2011-12). Особый интерес представляет этап 3 (Прямой запрос на перемещение), приведенный в спецификации в виде фиг. 5.5.2.2.2-1. Параметры безопасности (например, ключи, выбираемые и поддерживаемые алгоритмы шифрования и т.д.) вводятся в контекст ММ. В частности, контекст ММ включает в себя связанную с безопасностью информацию, такую как Возможности сети UE и используемый алгоритм (алгоритмы) целостности и шифрования UMTS, а также ключи, как описывается в статье 5.7.2 (Хранение информации для ММЕ). Возможности сети UE включают в себя возможности обеспечения безопасности E-UTRAN, которые включают в себя, например, идентификационную информацию алгоритмов шифрования и целостности LTE, которые поддерживает UE (эта идентификационная информация алгоритмов называется алгоритмами шифрования EPS и алгоритмами защиты целостности EPS в спецификации безопасности LTE TS 33.401).
Передача обслуживания между RAT с коммутацией пакетов от GERAN к E-UTRAN описывается в статье 5.5.2.4 3GPP TS 23.401.
Принцип обеспечения направления узлом-источником (SGSN для области PS) Возможности сети UE в целевой узел точно такие же, как и заданная процедура передачи обслуживания в том случае, когда вызов начинается в области CS. Однако в области CS узел-источник является MSC, который, как указано выше, не имеет возможностей обеспечения безопасности E-UTRAN UE. (В действительности, в области CS у MSC нет необходимости в наличии такой информации, поскольку целевой узел также является MSC.) Следовательно, традиционные передачи обслуживания не обеспечивают какого-либо механизма для подачи этой информации в целевой узел (ММЕ в E-UTRAN).
Данная ситуация иллюстрируется на фиг. 3, на которой изображены аспекты сигнализации, входящей в передачу обслуживания вызова от UTRAN-источника или GERAN-источника, поддерживающего оборудование, работающее в области CS, к целевой UTRAN, поддерживающей оборудование, работающее в области PS. Изображенные компоненты, которые участвуют в этой сигнализации, - UE 301, BSC/RNC-источник 303, целевой RNC 305, сервер 307 MSC, SGSN/MME-источник 309 и целевой SGSN 311.
Сначала UE 301 включается в вызов с CS, поддерживаемый различным оборудованием UTRAN-источника или GERAN-источника. В ответ на принимаемое решение выполнять передачу обслуживания из области CS (UTRAN или GERAN) в область PS (UTRAN) на этапе 1 BSC/RNC-источник 303 отправляет сообщение «Требуется НО» на сервер 307 MSC.
Затем сервер 307 MSC генерирует (этап 313) NONCEMSC и использует его для генерирования криптографического ключа в соответствии со следующим:
Figure 00000001
,
где символ
Figure 00000002
 означает функцию конкатенации.
На этапе 2 сервер 307 MSC передает «Запрос на НО из CS в PS» в целевую SGSN 311 и включает в это сообщение генерируемый криптографический ключ
Figure 00000003
.
В ответ на этапе 3 целевая SGSN 311 отправляет «Запрос контекста» в SGSN/MME-источник 309 с целью запроса информации о контексте для UE 301. (Пунктирные линии, используемые в данном случае и на других изображениях сигнализации, означают факультативный этап). Затем SGSN/MME 309 отправляет «Ответ с контекстом» (содержащий запрашиваемую информацию) назад в целевую SGSN 311 (этап 4).
Если целевая SGSN 311 приняла КС ' и
Figure 00000004
 GPRS от сервера 307 MSC, усовершенствованного для SRVCC, то целевая SGSN 311 вычисляет (этап 315)
Figure 00000005
 по
Figure 00000006
 GPRS. Целевая SGSN 311 связывает
Figure 00000007
 с
Figure 00000008
, который устанавливается равным
Figure 00000009
, принимаемому от сервера-источника 307 MSC, усовершенствованного для SRVCC.
Затем целевой SGSN 311 отправляет
Figure 00000010
 в целевой RNC 305 (этап 5). В ответ целевой RNC 305 отправляет Ответ с выделением ресурсов (этап 6).
На этапе 7 целевой SGSN 311 отправляет сообщение с Ответом на НО из CS в PS на сервер-источник 307 MSC.
На этапе 8 сервер 307 MSC отправляет Ответ на НО из CS в PS в BSC/RNC-источник 303. Этот Ответ на НО из CS в PS содержит, помимо прочего, NONCEMSC.
На этапе 9 BSC/RNC-источник 303 отправляет команду НО из CS в PS на UE 301. Эта команда содержит, помимо прочего, NONCEMSC. UE 301 использует принятое NONCEMSC для выработки
Figure 00000011
 с помощью формул выработки ключа, задаваемых применимым стандартом (этап 317).
На этапе 10 UE 301 возвращает Подтверждение НО из CS в PS в целевой RNC 305.
Figure 00000012
 становятся активным набором ключей и в UE 301, и в целевом RNC 305.
Альтернативная иллюстрация того же типа ситуации приведена на фиг. 4, которая иллюстрирует аспекты сигнализации, входящей в передачу обслуживания вызова от UTRAN-источника или GERAN-источника, поддерживающего оборудование, работающее в области CS, к целевой E-UTRAN (т.е. оборудованию 4G), поддерживающей оборудование, работающей в области PS. Изображенные компоненты, которые участвуют в этой сигнализации, - это UE 401, BSC/RNC-источник 403, целевой eNB 405, сервер 407 MSC, SGSN/MME-источник 409 и ММЕ 411.
Сначала UE 401 включается в вызов с CS, поддерживаемый различным оборудованием UTRAN-источника или GERAN-источника. В ответ на принимаемое решение выполнять передачу обслуживания из области CS (UTRAN или GERAN) в область PS (E-UTRAN) на этапе 1’ BSC/RNC-источник 403 отправляет сообщение «Требуется НО» на сервер 407 MSC.
Затем сервер 407 MSC генерирует (этап 413) NONCEMSC и использует его для генерирования криптографического ключа в соответствии со следующим:
Figure 00000013
,
где символ
Figure 00000014
 означает функцию конкатенации.
На этапе 2’ сервер 407 MSC передает «Запрос на НО из CS в PS» в целевую MME 411 и включает в это сообщение генерируемый криптографический ключ
Figure 00000015
.
В ответ на этапе 3’ целевая MME 411 отправляет «Запрос контекста» в SGSN/MME-источник 409 с целью запроса информации о контексте для UE 401. Затем SGSN/MME 409 отправляет «Ответ с контекстом» (содержащий запрашиваемую информацию) назад в целевую MME 411 (этап 4’).
На этапе 415 целевой MME 411 создает преобразованный контекст безопасности EPS путем установки
Figure 00000016
 контекста безопасности преобразованного EPS равным конкатенации
Figure 00000017
, где
Figure 00000018
 принимались в запросе на передачу обслуживания из CS в PS (см. этап 2’). Затем целевой ММЕ 411 связывает
Figure 00000019
 с
Figure 00000020
. Величина
Figure 00000021
 такая же, как и величина
Figure 00000022
, принимаемая в запросе на передачу обслуживания из CS в PS.
Кроме того, в ходе этапа 415 целевой ММЕ 411 вырабатывает KeNB путем применения KDF, как определено в применимом стандарте, с помощью преобразованного ключа
Figure 00000023
 и величины 232-1 как параметра NAS COUNT восходящей линии связи. Значения NAS COUNT восходящей линии связи и нисходящей линии связи для контекста безопасности преобразованного EPS устанавливаются равными начальному значению (т.е. 0) в целевой ММЕ 411.
Затем целевой ММЕ 411 отправляет параметры KeNB и NAS в целевой eNB 405 (этап 5’). В ответ целевой eNB 405 отправляет Ответ с выделением ресурсов (этап 6’).
На этапе 7’ целевой ММЕ 411 отправляет сообщение с Ответом на НО из CS в PS на сервер-источник 407 MSC.
На этапе 8’ сервер 407 MSC отправляет Ответ на НО из CS в PS в BSC/RNC-источник 403. Этот Ответ на НО из CS в PS содержит, помимо прочего, NONCEMSC.
На этапе 9’ BSC/RNC-источник 403 отправляет команду НО из CS в PS на UE 401. Эта команда содержит, помимо прочего, NONCEMSC. UE 401 использует принятое NONCEMSC для выработки
Figure 00000024
, связывания его с
Figure 00000025
, принимаемым в IE Прозрачного контейнера безопасности NAS, и выработки ключей NAS и KeNB в соответствии с теми же выработками ключа, что и сервер 407 MSC и ММЕ 411, выполняемыми на этапах 2’, 3’ и 4’ (этап 417) - все согласно применимому стандарту.
На этапе 10’ UE 401 возвращает Подтверждение НО из CS в PS в целевой eNB 405. Преобразованный контекст безопасности EPS, установленный, как указано выше, становится текущим контекстом безопасности EPS в AS.
Новый механизм передачи обслуживания решает проблемы, связанные с традиционными методами. Аспекты этого нового механизма передачи обслуживания изображены на фиг. 5, которая в одном отношении представляет собой функциональную схему этапов/процессов, выполняемых целевым узлом PS (например, Целевой SGSN или Целевым ММЕ) в соответствии с некоторыми, но не обязательно всеми примерами осуществления настоящего изобретения. В другом отношении фиг. 5 можно рассматривать как иллюстрирующую пример средств 500, содержащих различные изображенные схемы (например, процессор с жесткой программой и/или соответствующим образом запрограммированный процессор), выполненные с возможностью выполнения описанных функций.
Для упрощения терминологии целевой узел PS применительно к данной обработке можно считать «первым узлом», который генерирует контекст безопасности для клиента в системе сотовой связи. В одном аспекте первый узел принимает, по меньшей мере, один криптографический ключ от второго узла (этап 501). Второй узел может являться узлом-источником CS, таким как MSC.
Первый узел запрашивает третий узел (например, SGSN-источник), а в ответ принимает идентификационную информацию алгоритмов обеспечения безопасности, поддерживаемых клиентом (этап 503). В некоторых, но не обязательно всех вариантах осуществления первый узел может также принимать другую информацию, такую как один или более векторов аутентификации и/или криптографический ключ (ключи).
Затем первый узел использует указанный, по меньшей мере, один криптографический ключ, принимаемый от второго узла, и идентификационную информацию алгоритма обеспечения безопасности для генерирования контекста безопасности для клиента (этап 505). В некоторых, но не обязательно всех вариантах осуществления могут также использоваться векторы аутентификации, принимаемые от второго узла.
В этот момент первый узел генерирует контекст безопасности для клиента. В некоторых, но не обязательно всех вариантах осуществления первый узел может выполнять любую из дополнительных функций, либо их комбинацию, например, помимо прочего:
- отбрасывание дополнительной информации, принимаемой от второго и/или третьего узлов (например, векторов аутентификации, принимаемых от второго и/или третьего узла, криптографического ключа (ключей), принимаемого от третьего узла);
- использование (например, если целевой узел PS является SGCN) и/или сохранение (например, если целевой узел PS является ММЕ) дополнительной информации, принимаемой от второго и/или третьего узла (например, векторов аутентификации, принимаемых от второго и/или третьего узла). Сохранение векторов аутентификации может быть целесообразным, например, если целевой узел PS является ММЕ, при этом более поздняя передача обслуживания будет осуществляться в абсолютно тот же SGCN-источник, из которого они принимались (при этом векторы аутентификации возвращаются в SGCN в момент более поздней передачи обслуживания).
Дополнительные аспекты вариантов осуществления, соответствующих настоящему изобретению, можно понять из фиг. 6, которая представляет собой схему сигнализации одного варианта осуществления, соответствующего настоящему изобретению. В частности, на данной схеме особое внимание уделяется аспектам, которые поддерживают целевой узел PS, способный создавать контекст безопасности для клиента в ходе передачи обслуживания вызова от UTRAN-источника или GERAN-источника, который поддерживает оборудование, работающее в области CS, к целевой UTRAN, которая поддерживает оборудование, работающее в области PS. Один аспект изображенного варианта осуществления состоит в том, что целевой узел PS собирает связанную с безопасностью информацию от узла-источника PS и также от узла-источника CS, при этом отдельные части собранной информации объединяются для генерирования нового набора связанной с безопасностью информации. Подробнее это описывается ниже.
Изображенные компоненты, которые участвуют в этой сигнализации, - UE 601 (клиент), BSC/RNC-источник 603, целевой RNC 605, сервер 607 MSC, SGSN/MME-источник 609 и целевой SGSN 611.
Сначала UE 601 включается в вызов с CS, поддерживаемый различным оборудованием UTRAN-источника или GERAN-источника. В ответ на принимаемое решение выполнять передачу обслуживания из области CS (UTRAN или GERAN) в область PS (UTRAN/GERAN) на этапе 1’’ BSC/RNC-источник 603 отправляет сообщение «Требуется НО» на сервер 607 MSC.
Затем сервер 607 MSC генерирует (этап 613) NONCEMSC и использует его и имеющиеся ключи, используемые совместно с UE 601, для генерирования криптографического ключа в соответствии со следующим:
Figure 00000026
,
где символ
Figure 00000027
 означает функцию конкатенации.
На этапе 2’’ сервер 607 MSC передает «Запрос на НО из CS в PS» в целевой SGSN 611 и включает в это сообщение генерируемый криптографический ключ
Figure 00000028
 и векторы аутентификации.
В ответ на этапе 3’’ целевой SGSN 611 отправляет «Запрос контекста» в SGSN/MME-источник 609 с целью запроса информации о контексте для UE 601. (Пунктирные линии, используемые в данном случае и на других изображениях сигнализации, означают факультативный этап). Затем SGSN/MME 609 отправляет «Ответ с контекстом» (содержащий запрашиваемую информацию, которая включает в себя криптографические ключи PS и прочие параметры безопасности, такие как идентификаторы (ID) алгоритмов обеспечения безопасности, поддерживаемых UE 601) назад в целевую SGSN 611 (этап 4’’).
На этапе 615 целевая SGSN 611 выполняет следующее:
- отправку криптографических ключей, принимаемых от MSC 607, в целевой RNC 605 с целью защиты трафика между целевой SGSN 611 и UE 601 (т.е. клиентом),
- отбрасывание любых ключей PS, принимаемых от SGSN/ММЕ-источника 609,
- отбрасывание AV, которые принимались от сервера 607 MSC,
- в некоторых, но не обязательно всех вариантах осуществления - сохранение AV, принимаемых от SGSN-источника 609,
- в некоторых, но не обязательно всех вариантах осуществления данные в AV могут использоваться для повторной аутентификации UE 601,
- использование другой информации, принимаемой от SGSN/ММЕ-источника 609, необходимой для формирования нового контекста безопасности для клиента (т.е. UE 601).
После этапа 615 сигнализация осуществляется в соответствии с этапами 5, 6, 7, 8, 9 и 10, такими как изображенные на фиг.3 и описанные выше в тексте к фиг. 3.
Прочие аспекты вариантов осуществления, соответствующих настоящему изобретению, можно понять из фиг. 7, которая представляет собой схему сигнализации альтернативного варианта осуществления, соответствующего настоящему изобретению. В частности, на данной схеме особое внимание уделяется аспектам, которые поддерживают целевой узел PS, способный создавать контекст безопасности для клиента в ходе передачи обслуживания вызова от UTRAN-источника или GERAN-источника, который поддерживает оборудование, работающее в области CS, к целевой E-UTRAN (т.е. 4G), которая поддерживает оборудование, работающее в области PS. Изображенные компоненты, которые участвуют в этой сигнализации, - UE 701 (клиент), BSC/RNC-источник 703, целевой eNB 705, сервер 707 MSC, SGSN/MME-источник 709 и целевой ММЕ 711.
Сначала UE 701 включается в вызов с CS, поддерживаемый различным оборудованием UTRAN-источника или GERAN-источника. В ответ на принимаемое решение выполнять передачу обслуживания из области CS (UTRAN или GERAN) в область PS (E-UTRAN) на этапе 1’’’ BSC/RNC-источник 703 отправляет сообщение «Требуется НО» на сервер 707 MSC.
Затем сервер 707 MSC генерирует (этап 713) NONCEMSC и использует его для генерирования новых криптографических ключей из имеющихся ключей, используемых совместно с UE 701. Такая выработка ключа осуществляется в соответствии со следующим:
Figure 00000029
,
где символ
Figure 00000030
 означает функцию конкатенации.
На этапе 2’’’ сервер 707 MSC передает «Запрос на НО из CS в PS» в целевой ММЕ 711 и включает в это сообщение вновь генерируемые криптографические ключи
Figure 00000031
 и AV. Следует отметить, что сервер 707 MSC не имеет параметров безопасности LTE, поэтому при такой передаче ни один из них не передается (или не может передаваться).
В ответ на этапе 3’’’ целевой ММЕ 711 отправляет «Запрос контекста» в SGSN/MME-источник 709 с целью запроса информации о контексте для UE 701. Затем SGSN/MME 709 отправляет «Ответ с контекстом» (содержащий запрашиваемую информацию) назад в целевой ММЕ 711 (этап 4’’’). Указанная запрашиваемая информация включает в себя ключи PS и параметры безопасности LTE (т.е. идентификаторы алгоритмов обеспечения безопасности, поддерживаемых UE 701). Применительно к SGSN-источнику 709 такая информация имеется в том случае, если SGSN-источник 709 соответствует Версии 8 или более новой Версии стандарта LTE.
На этапе 715 целевой ММЕ 711 выполняет следующее:
- создание контекста безопасности преобразованного EPS путем установки
Figure 00000032
 контекста безопасности преобразованного EPS равным конкатенации
Figure 00000033
, где
Figure 00000034
 принимались в запросе на передачу обслуживания из CS в PS (см. этап 2’’’). Затем целевой ММЕ 711 связывает
Figure 00000035
 с
Figure 00000036
. Величина
Figure 00000037
 такая же, как и величина
Figure 00000038
, принимаемая в запросе на передачу обслуживания из CS в PS. Кроме того, в ходе этого этапа целевой ММЕ 711 вырабатывает KeNB путем применения KDF, как определено в применимом стандарте, с помощью преобразованного ключа
Figure 00000039
 и величины 232-1 как параметра NAS COUNT восходящей линии связи. Значения NAS COUNT восходящей линии связи и нисходящей линии связи для контекста безопасности преобразованного EPS устанавливаются равными начальному значению (т.е. 0) в целевом ММЕ 711.
- Отбрасывание ключей PS, принимаемых от SGSN/ММЕ-источника 709.
- Отбрасывание AV, принимаемых от сервера 707 MSC.
- Факультативно, сохранение AV, принимаемых от SGSN-источника 709. (Не будет любых AV, принимаемых от ММЕ-источника 709). Эти сохраненные AV могут использоваться позже в случае, если имеется HO IRAT PS назад в тот же SGSN-источник 709, от которого они принимались (при этом они передаются назад в этот SGSN в момент этой более поздней передачи обслуживания).
- Использование другой информации, принимаемой от SGSN/ММЕ-источника 709, необходимой для формирования контекста безопасности LTE для UE 701 (т.е. клиента). Такая дополнительная информация может, например, представлять собой KSI или CKSN, каждый из которых является строкой длиной 3 бита. Например, ММЕ 711 может использовать KSI/CKSN для идентификации контекста безопасности LTE.
После этапа 715 сигнализация осуществляется в соответствии с этапами 5’, 6’, 7’, 8’, 9’ и 10’, такими как изображенные на фиг.4 и описанные выше в тексте к фиг.4.
Фиг. 8 представляет собой блок-схему целевого узла 800 (например, SGSN/MME), который работает в области PS, причем целевой узел 800 содержит контроллер 801, который представляет собой схему, выполненную с возможностью осуществления, помимо типичных функций узла системы связи, любого из аспектов, описанных применительно к любой из приведенных выше фиг. 5-7 или к их комбинации, либо комбинации этих аспектов. Такая схема может, например, являться схемой с полностью жесткой программой (например, одной или более специализированных микросхем (ASIC)). Однако в примере осуществления на фиг. 8 изображена программируемая схема, содержащая процессор 803, связанный с одним или более запоминающих устройств 805 (например, оперативным запоминающим устройством, накопителями на магнитных дисках, накопителями на оптических дисках, постоянным запоминающим устройством и т.д.). Запоминающее устройство (устройства) 805 хранит программные средства 807 (например, набор команд процессора), выполненные с возможностью инициирования в процессоре 803 управления прочими компонентами 809 схем/аппаратных средств узла, чтобы выполнять любую из описанных выше функций. Память 805 может также хранить данные 811, соответствующие различным постоянным и переменным параметрам, которые могут приниматься, генерироваться процессором 803 и/или в других отношениях являться необходимыми для него при выполнении им своих функций, например, задаваемых программными средствами 807.
В различных аспектах вариантов осуществления, соответствующих настоящему изобретению, описанному выше, предлагаются решения проблем, связанных с передачей обслуживания вызовов между оборудованием CS и PS, включая проблему генерирования контекста безопасности, который является целесообразным в области PS в тех случаях, когда вызов начинается в области CS.
Настоящее изобретение описано применительно к конкретным вариантам осуществления. Однако специалистам очевидно, что изобретение может быть реализовано в конкретных формах, отличных от форм вышеописанного варианта осуществления.
Например, различные аспекты, такие как получение некоторой информации от узла-источника CS и другой информации от узла-источника PS и фильтрация и/или обработка этой информации для выработки контекста безопасности, целесообразного в целевом узле PS, применимы даже в случае, если прочие детали изменились. Например, могут предполагаться варианты осуществления, в которых вместо использования MSC для генерирования NONCE, которая передается в целевой узел PS (например, целевой SGSN или ММЕ), целевой узел (целевой ММЕ) сам может генерировать NONCE, а затем вырабатывать криптографические ключи из этой сгенерированной NONCE.
В связи с этим описанные варианты осуществления носят чисто иллюстративный характер и никоим образом не должны считаться ограничительными. Объем изобретения определяется прилагаемой формулой изобретения, а не предшествующим описанием, при этом в него входят все варианты и эквиваленты, находящиеся в пределах объема формулы изобретения.

Claims (57)

1. Способ управления первым узлом (611, 711, 800) для генерирования контекста безопасности для клиента (601, 701) в системе (101) сотовой связи, причем первый узел (611, 711, 800) содержит схему (801) обработки, причем способ включает в себя:
первый узел (611, 711, 800), выполняющий в ходе передачи обслуживания в системе (101) сотовой связи:
прием (501), по меньшей мере, одного криптографического ключа от второго узла (607, 707);
прием (503) идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом (601, 701), от третьего узла (609, 709); и
использование (505) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701),
причем первый узел (611, 711, 800) является целевым узлом коммутации пакетов, третий узел (609, 709) является узлом-источником коммутации пакетов, а второй узел (607, 707) является узлом-источником коммутации каналов.
2. Способ по п. 1, в котором первый узел (611, 711, 800) является ММЕ, второй узел (607, 707) является MSC, а третий узел (609, 709) является SGSN.
3. Способ по п. 1, в котором первый узел (611, 711, 800) является первым SGSN, второй узел (607, 707) является MSC, а третий узел (609, 709) является вторым SGSN.
4. Способ по п. 1, дополнительно включающий в себя:
инициирование приема (2''') первым узлом (611, 711, 800) одного или более векторов аутентификации от второго узла (607, 707); и
отбрасывание (507) векторов аутентификации, принимаемых от второго узла (607, 707).
5. Способ по п. 1, в котором первый узел (611, 711, 800) является SGSN, причем данный способ дополнительно включает в себя:
использование (507, 615) одного или более из указанного, по меньшей мере, одного криптографического ключа для защиты трафика между четвертым узлом и клиентом (601, 701).
6. Способ по п. 1, в котором первый узел (611, 711, 800) является ММЕ, причем данный способ дополнительно включает в себя:
выработку (507, 715) ключа для Объекта управления защитой доступа (K_ASME) из одного или более из указанного, по меньшей мере, одного криптографического ключа.
7. Способ по п. 1, дополнительно включающий в себя:
прием (4'', 4''') от третьего узла (609, 709) ключей шифрования коммутации пакетов для использования в соединении с коммутацией пакетов; и
отбрасывание (507, 615, 715) ключей шифрования коммутации пакетов.
8. Способ по п. 1, дополнительно включающий в себя:
прием (4'', 4'''), по меньшей мере, одного вектора аутентификации от третьего узла (609, 709); и
сохранение (507, 615, 715) принятого, по меньшей мере, одного вектора аутентификации.
9. Способ по п. 1, дополнительно включающий в себя прием дополнительной информации от третьего узла (609, 709); и
отличающийся тем, что использование (505) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701) включает в себя использование (505) указанного, по меньшей мере, одного криптографического ключа, идентификационной информации и дополнительной информации для генерирования контекста безопасности для клиента (601, 701).
10. Способ управления первым и вторым узлами (611, 711, 800, 607, 707) в системе (101) сотовой связи, причем данный способ обеспечивает генерирование контекста безопасности в ходе процесса передачи поддержки клиента (601, 701) от второго узла (607, 707) к первому узлу (611, 711, 800), отличающийся тем, что и первый, и второй узел (611, 711, 800, 607, 707) содержат схему обработки, причем данный способ включает в себя:
генерирование (613, 713) вторым узлом (607, 707), по меньшей мере, одного нового криптографического ключа, по меньшей мере, из одного имеющегося ключа, связанного с клиентом (601, 701), и однократно используемого числа, генерируемого вторым узлом (607, 707);
передачу (2'', 2''', 501) вторым узлом (607, 707) указанного, по меньшей мере, одного нового криптографического ключа в первый узел (611, 711, 800);
прием (503) первым узлом (611, 711, 800) идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом (601, 701), от третьего узла (609, 709); и
использование (505) первым узлом (611, 711, 800) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701),
причем первый узел (611, 711, 800) является целевым узлом коммутации пакетов, третий узел (609, 709) является узлом-источником коммутации пакетов, а второй узел (607, 707) является узлом-источником коммутации каналов.
11. Устройство (500, 801) для управления первым узлом (611, 711, 800) для генерирования контекста безопасности для клиента (601, 701) в системе (101) сотовой связи, причем устройство содержит:
схему (501), выполненную с возможностью приема, по меньшей мере, одного криптографического ключа от второго узла (607, 707);
схему (503), выполненную с возможностью приема идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом (601, 701), от третьего узла (609, 709); и
схему (505), выполненную с возможностью использования в ходе передачи обслуживания в системе (101) сотовой связи указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701),
причем первый узел (611, 711, 800) является целевым узлом коммутации пакетов, третий узел (609, 709) является узлом-источником коммутации пакетов, а второй узел (607, 707) является узлом-источником коммутации каналов.
12. Устройство по п. 11, в котором первый узел (611, 711, 800) является ММЕ, второй узел (607, 707) является MSC, а третий узел (609, 709) является SGSN.
13. Устройство по п. 11, в котором первый узел (611, 711, 800) является первым SGSN, второй узел (607, 707) является MSC, а третий узел (609, 709) является вторым SGSN.
14. Устройство по п. 11, дополнительно включающее в себя:
схему, выполненную с возможностью приема (2''') одного или более векторов аутентификации от второго узла (607, 707); и
схему, выполненную с возможностью отбрасывания (507) векторов аутентификации, принимаемых от второго узла (607, 707).
15. Устройство по п. 11, в котором первый узел (611, 711, 800) является SGSN, причем устройство дополнительно включает в себя:
схему, выполненную с возможностью использования (507, 615) одного или более из указанного, по меньшей мере, одного криптографического ключа для защиты трафика между четвертым узлом и клиентом (601, 701).
16. Устройство по п. 11, в котором первый узел (611, 711, 800) является ММЕ, причем устройство дополнительно включает в себя:
схему, выполненную с возможностью выработки (507, 715) ключа для Объекта управления защитой доступа (K_ASME) из одного или более из указанного, по меньшей мере, одного криптографического ключа.
17. Устройство по п. 11, дополнительно включающее в себя:
схему, выполненную с возможностью приема (4'', 4''') от третьего узла (609, 709) ключей шифрования коммутации пакетов для использования в соединении с коммутацией пакетов; и
схему, выполненную с возможностью отбрасывания (507, 615, 715) ключей шифрования коммутации пакетов.
18. Устройство по п. 11, дополнительно включающее в себя:
схему, выполненную с возможностью приема (4'', 4'''), по меньшей мере, одного вектора аутентификации от третьего узла (609, 709); и
схему, выполненную с возможностью сохранения (507, 615, 715) принятого, по меньшей мере, одного вектора аутентификации.
19. Устройство по п. 11, дополнительно включающее в себя схему, выполненную с возможностью приема дополнительной информации от третьего узла (609, 709); и
отличающееся тем, что схема, выполненная с возможностью использования (505) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701), включает в себя схему, выполненную с возможностью использования (505) указанного, по меньшей мере, одного криптографического ключа, идентификационной информации и дополнительной информации для генерирования контекста безопасности для клиента (601, 701).
20. Устройство для управления первым и вторым узлами (611, 711, 800, 607, 707) в системе (101) сотовой связи, причем устройство обеспечивает генерирование контекста безопасности в ходе процесса передачи поддержки клиента (601, 701) от второго узла (607, 707) к первому узлу (611, 711, 800), причем устройство включает в себя:
схему второго узла, выполненную с возможностью генерирования (613, 713), по меньшей мере, одного криптографического ключа, по меньшей мере, из одного имеющегося ключа, связанного с клиентом (601, 701), и однократно используемого числа, генерируемого вторым узлом (607, 707);
схему второго узла, выполненную с возможностью передачи (2'', 2''', 501) указанного, по меньшей мере, одного нового криптографического ключа в первый узел (611, 711, 800);
схему первого узла (611, 711, 800), выполненную с возможностью приема (503) идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом (601, 701), от третьего узла (609, 709); и
схему первого узла (611, 711, 800), выполненную с возможностью использования (505) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701),
причем первый узел (611, 711, 800) является целевым узлом коммутации пакетов, третий узел (609, 709) является узлом-источником коммутации пакетов, а второй узел (607, 707) является узлом-источником коммутации каналов.
RU2014135463A 2012-01-30 2013-01-28 Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности RU2630175C2 (ru)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201261592126P 2012-01-30 2012-01-30
US61/592,126 2012-01-30
US13/677,451 2012-11-15
US13/677,451 US10433161B2 (en) 2012-01-30 2012-11-15 Call handover between cellular communication system nodes that support different security contexts
PCT/EP2013/051550 WO2013113647A1 (en) 2012-01-30 2013-01-28 Call handover between cellular communication system nodes that support different security contexts

Publications (2)

Publication Number Publication Date
RU2014135463A RU2014135463A (ru) 2016-03-20
RU2630175C2 true RU2630175C2 (ru) 2017-09-05

Family

ID=48870232

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014135463A RU2630175C2 (ru) 2012-01-30 2013-01-28 Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности

Country Status (8)

Country Link
US (1) US10433161B2 (ru)
EP (1) EP2810463B1 (ru)
JP (1) JP6085615B2 (ru)
CN (1) CN104067648B (ru)
CA (1) CA2861941A1 (ru)
IN (1) IN2014DN06111A (ru)
RU (1) RU2630175C2 (ru)
WO (1) WO2013113647A1 (ru)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2771619C2 (ru) * 2017-10-23 2022-05-11 Хуавей Текнолоджиз Ко., Лтд. Система, устройство и способ генерирования ключа
US11516677B2 (en) 2018-04-09 2022-11-29 Huawei Technologies Co., Ltd. Communication method, apparatus, and system
US11564100B2 (en) 2017-11-17 2023-01-24 Huawei Technologies Co., Ltd. Security protection method and apparatus
US11576038B2 (en) 2017-10-23 2023-02-07 Huawei Technologies Co., Ltd. Key generation method, apparatus, and system
US11818578B2 (en) 2019-05-31 2023-11-14 Honor Device Co., Ltd. Security context obtaining method and apparatus, and communications system

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101309500B (zh) 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
US10433161B2 (en) * 2012-01-30 2019-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Call handover between cellular communication system nodes that support different security contexts
US9414223B2 (en) * 2012-02-17 2016-08-09 Nokia Technologies Oy Security solution for integrating a WiFi radio interface in LTE access network
WO2014085968A1 (zh) * 2012-12-03 2014-06-12 华为技术有限公司 无线接入网信息获取方法和无线接入网控制器
US9655012B2 (en) 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
GB2509937A (en) 2013-01-17 2014-07-23 Nec Corp Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations
US9730074B2 (en) * 2014-01-16 2017-08-08 Telefonaktiebolaget Lm Ericsson (Publ) System, methods and apparatuses for providing network access security control
EP3143785B1 (en) * 2014-05-12 2018-10-24 Nokia Technologies Oy Securing device-to-device communication in a wireless network
GB2537377B (en) * 2015-04-13 2021-10-13 Vodafone Ip Licensing Ltd Security improvements in a cellular network
CN106714254B (zh) * 2015-11-17 2020-02-21 中国移动通信集团公司 一种音视频业务应用网络的切换方法、终端及应用服务器
BR112019013937A2 (pt) * 2017-01-06 2020-02-11 Huawei Technologies Co., Ltd. Método de mudança automática de rede e dispositivo relacionado
US11122427B2 (en) * 2017-09-26 2021-09-14 Telefonaktiebolaget Lm Ericsson (Publ) Managing security contexts and performing key derivation at handover in a wireless communication system
CN113473646B (zh) * 2017-11-21 2022-04-12 华为技术有限公司 一种通信方法及装置
US20230231708A1 (en) * 2018-01-12 2023-07-20 Qualcomm Incorporated Method and apparatus for multiple registrations
CN110691427B (zh) * 2018-07-05 2021-10-19 华为技术有限公司 一种业务传输方法及装置
CN112087297B (zh) * 2019-06-14 2022-05-24 华为技术有限公司 一种获取安全上下文的方法、系统及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080095362A1 (en) * 2006-10-18 2008-04-24 Rolf Blom Cryptographic key management in communication networks
EP1926281A2 (en) * 2006-11-21 2008-05-28 Innovative Sonic Limited Method and related apparatus for ciphering algorithm change in a wireless communications system
US20110041003A1 (en) * 2009-03-05 2011-02-17 Interdigital Patent Holdings, Inc. METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION
US20110098075A1 (en) * 2008-07-11 2011-04-28 Infineon Technologies Ag Mobile radio communication devices having a trusted processing environment and method for processing a computer program therein
WO2011092138A1 (en) * 2010-01-28 2011-08-04 Koninklijke Kpn N.V. Efficient terminal authentication in telecommunication networks

Family Cites Families (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2139260A (en) * 1936-10-16 1938-12-06 United Shoe Machinery Corp Manufacture of shoes and insoles therefor
FI110558B (fi) * 2000-05-24 2003-02-14 Nokia Corp Menetelmä matkaviestinverkon kautta pakettidataverkkoon kytketyn päätelaitteen paikkatiedon käsittelemiseksi
US8606084B2 (en) * 2001-06-27 2013-12-10 Knapp Investment Company Limited Method and system for providing a personal video recorder utilizing network-based digital media content
US20040003081A1 (en) * 2002-06-26 2004-01-01 Microsoft Corporation System and method for providing program credentials
FR2847401A1 (fr) * 2002-11-14 2004-05-21 France Telecom Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session
DE202005021930U1 (de) * 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
EP1911311B1 (en) 2005-08-01 2017-06-28 Ubiquisys Limited Automatic base station configuration
US8781442B1 (en) * 2006-09-08 2014-07-15 Hti Ip, Llc Personal assistance safety systems and methods
US8281378B2 (en) * 2006-10-20 2012-10-02 Citrix Systems, Inc. Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation
US8520850B2 (en) * 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8089339B2 (en) * 2006-12-21 2012-01-03 Cingular Wireless Ii, Llc Wireless device as programmable vehicle key
US8769308B2 (en) * 2007-04-30 2014-07-01 Interdigital Technology Corporation Home (e)Node-B with new functionality
CN101309500B (zh) 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
US8341104B2 (en) * 2007-08-16 2012-12-25 Verizon Patent And Licensing Inc. Method and apparatus for rule-based masking of data
MX2011007672A (es) * 2009-01-23 2011-08-08 Ericsson Telefon Ab L M Metodo y arreglo en una red de comunicaciones.
US8675863B2 (en) * 2009-12-22 2014-03-18 Trueposition, Inc. Passive system for recovering cryptography keys
BR112012018268B1 (pt) * 2010-03-17 2021-02-02 Telefonaktiebolaget Lm Ericsson (Publ) métodos, nó que serve um terminal móvel e terminal móvel
US9084110B2 (en) 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
CN101835152A (zh) 2010-04-16 2010-09-15 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
JP5649248B2 (ja) 2010-04-16 2015-01-07 クアルコム,インコーポレイテッド 改善されたセキュリティコンテキストをサポートするサービングネットワークノードから従来のサービングネットワークノードに移行するための装置および方法
US10075420B2 (en) 2010-05-04 2018-09-11 Qualcomm Incorporated Shared circuit switched security context
EP2569964A4 (en) 2010-05-10 2015-08-12 Nokia Technologies Oy KEY REMOVAL DURING A TRANSFER BETWEEN NETWORKS
CN101860862B (zh) 2010-05-17 2015-05-13 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
US8712056B2 (en) * 2010-06-03 2014-04-29 At&T Intellectual Property I, L.P. Secure mobile ad hoc network
US9595072B2 (en) * 2010-12-08 2017-03-14 At&T Intellectual Property I, L.P. Security social network
CN106131081A (zh) * 2010-12-30 2016-11-16 交互数字专利控股公司 从应用服务器接入服务的方法及移动装置
TW201628371A (zh) * 2011-03-23 2016-08-01 內數位專利控股公司 確寶網路通訊系統及方法
US9820335B2 (en) * 2011-04-01 2017-11-14 Interdigital Patent Holdings, Inc. System and method for sharing a common PDP context
US8978030B2 (en) * 2011-04-07 2015-03-10 Infosys Limited Elastic provisioning of resources via distributed virtualization
US9407616B2 (en) * 2011-04-27 2016-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Authenticating a device in a network
US9295082B2 (en) * 2011-04-27 2016-03-22 At&T Mobility Ii Llc Distributed machine-to-machine connectivity
US8504004B2 (en) * 2011-06-03 2013-08-06 At&T Mobility Ii Llc Automatic control of rate of notifications for UMTS and other simultaneous voice/data networks
US8489075B2 (en) * 2011-11-16 2013-07-16 At&T Intellectual Property I, L.P. System and method for augmenting features of visual voice mail
US8687556B2 (en) * 2011-11-18 2014-04-01 Cisco Technology, Inc. Method for correlating connection information with mobile device identity
US8472983B1 (en) * 2011-12-07 2013-06-25 Cisco Technology, Inc. Selective location-aware paging
US8526932B2 (en) * 2011-12-08 2013-09-03 At&T Intellectual Property I, L.P. Performance zones
EP2792169A1 (en) * 2011-12-14 2014-10-22 Interdigital Patent Holdings, Inc. Method and apparatus for triggering machine type communications applications
US8744419B2 (en) * 2011-12-15 2014-06-03 At&T Intellectual Property, I, L.P. Media distribution via a scalable ad hoc geographic protocol
US10433161B2 (en) * 2012-01-30 2019-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Call handover between cellular communication system nodes that support different security contexts
US9032496B2 (en) * 2012-02-28 2015-05-12 Citrix Systems, Inc. Secure single sign-on
WO2013165605A1 (en) * 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems
US20150244685A1 (en) * 2012-09-18 2015-08-27 Interdigital Patent Holdings Generalized cryptographic framework
US9693366B2 (en) * 2012-09-27 2017-06-27 Interdigital Patent Holdings, Inc. End-to-end architecture, API framework, discovery, and access in a virtualized network
DK3490218T3 (da) * 2013-01-30 2020-08-24 Ericsson Telefon Ab L M Generering af sikkerhedsnøgle til dobbeltkonnektivitet
JP2016518075A (ja) * 2013-04-05 2016-06-20 インターデイジタル パテント ホールディングス インコーポレイテッド ピアツーピア通信およびグループ通信のセキュリティ保護
US10219305B2 (en) * 2013-11-21 2019-02-26 Bao Tran Communication apparatus
KR101833654B1 (ko) * 2013-12-23 2018-02-28 코닌클리즈케 케이피엔 엔.브이. 무선 억세스 네트워크로부터 보안을 제공하기 위한 방법 및 시스템
US10659960B2 (en) * 2013-12-23 2020-05-19 Koninklijke Kpn N.V. Method and system for providing security from a radio access network
JP6441951B2 (ja) * 2014-02-19 2018-12-19 コンヴィーダ ワイヤレス, エルエルシー システム間モビリティのためのサービングゲートウェイ拡張
CN116980998A (zh) * 2014-06-23 2023-10-31 交互数字专利控股公司 在集成无线网络中的系统间移动性
US9258117B1 (en) * 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
JP6393398B2 (ja) * 2014-07-07 2018-09-19 コンヴィーダ ワイヤレス, エルエルシー マシンタイプ通信グループベースサービスのための調整されたグループ化
WO2016011011A1 (en) * 2014-07-14 2016-01-21 Convida Wireless, Llc Network-initiated handover in integrated small cell and wifi networks
EP3657866A1 (en) * 2014-09-29 2020-05-27 Convida Wireless, LLC Service capability server / epc coordination for power savings mode and paging
KR20200009129A (ko) * 2015-06-29 2020-01-29 콘비다 와이어리스, 엘엘씨 위치 기반 컨텍스트 전달을 위한 장치들 및 방법들
US10270595B2 (en) * 2016-01-14 2019-04-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods, nodes and communication device for establishing a key related to at least two network instances
JP2019515581A (ja) * 2016-05-12 2019-06-06 コンヴィーダ ワイヤレス, エルエルシー 仮想化されたモバイルコアネットワークへの接続
CN109315003A (zh) * 2016-05-17 2019-02-05 康维达无线有限责任公司 用于指示连接使能够在pdn网关和本地网关之间路由数据的方法和装置
US10863494B2 (en) * 2018-01-22 2020-12-08 Apple Inc. Control signaling for uplink multiple input multiple output, channel state information reference signal configuration and sounding reference signal configuration
US10986602B2 (en) * 2018-02-09 2021-04-20 Intel Corporation Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function
US10848974B2 (en) * 2018-12-28 2020-11-24 Intel Corporation Multi-domain trust establishment in edge cloud architectures

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080095362A1 (en) * 2006-10-18 2008-04-24 Rolf Blom Cryptographic key management in communication networks
EP1926281A2 (en) * 2006-11-21 2008-05-28 Innovative Sonic Limited Method and related apparatus for ciphering algorithm change in a wireless communications system
US20110098075A1 (en) * 2008-07-11 2011-04-28 Infineon Technologies Ag Mobile radio communication devices having a trusted processing environment and method for processing a computer program therein
US20110041003A1 (en) * 2009-03-05 2011-02-17 Interdigital Patent Holdings, Inc. METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION
WO2011092138A1 (en) * 2010-01-28 2011-08-04 Koninklijke Kpn N.V. Efficient terminal authentication in telecommunication networks

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2771619C2 (ru) * 2017-10-23 2022-05-11 Хуавей Текнолоджиз Ко., Лтд. Система, устройство и способ генерирования ключа
US11576038B2 (en) 2017-10-23 2023-02-07 Huawei Technologies Co., Ltd. Key generation method, apparatus, and system
US11882436B2 (en) 2017-10-23 2024-01-23 Huawei Technologies Co., Ltd. Key generation method, apparatus, and system
RU2774435C2 (ru) * 2017-11-17 2022-06-22 Хуавей Текнолоджиз Ко., Лтд. Способ и устройство обеспечения безопасности
US11564100B2 (en) 2017-11-17 2023-01-24 Huawei Technologies Co., Ltd. Security protection method and apparatus
RU2772780C2 (ru) * 2018-04-09 2022-05-25 Хуавэй Текнолоджиз Ко., Лтд. Способ связи, устройство и система
US11516677B2 (en) 2018-04-09 2022-11-29 Huawei Technologies Co., Ltd. Communication method, apparatus, and system
RU2793801C1 (ru) * 2019-05-31 2023-04-06 Хонор Девайс Ко., Лтд. Способ и устройство получения контекста безопасности и система связи
US11818578B2 (en) 2019-05-31 2023-11-14 Honor Device Co., Ltd. Security context obtaining method and apparatus, and communications system
RU2804739C2 (ru) * 2022-03-21 2023-10-04 Федеральное государственное казенное военное образовательное учреждение высшего образования "Военный учебно-научный центр Военно-воздушных сил "Военно-воздушная академия имени профессора Н.Е. Жуковского и Ю.А. Гагарина" (г. Воронеж) Способ обнаружения ложного средства коммутации и управления

Also Published As

Publication number Publication date
CA2861941A1 (en) 2013-08-08
CN104067648B (zh) 2018-12-11
JP6085615B2 (ja) 2017-02-22
RU2014135463A (ru) 2016-03-20
CN104067648A (zh) 2014-09-24
EP2810463B1 (en) 2019-01-16
EP2810463A1 (en) 2014-12-10
WO2013113647A1 (en) 2013-08-08
US10433161B2 (en) 2019-10-01
JP2015512181A (ja) 2015-04-23
IN2014DN06111A (ru) 2015-08-14
US20130195268A1 (en) 2013-08-01

Similar Documents

Publication Publication Date Title
RU2630175C2 (ru) Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности
US11963000B2 (en) Methods, apparatuses, computer programs and carriers for security management before handover from 5G to 4G system
EP3952375B1 (en) Security context handling in 5g during connected mode
US10848967B2 (en) Security anchor function in 5G systems
US11849389B2 (en) Management of security contexts at idle mode mobility between different wireless communication systems
EP2266334B1 (en) Methods, apparatuses, and computer program products for providing multi-hop cryptographic separation for handovers
JP6791353B2 (ja) 端末、第1のネットワーク装置、及び第2のネットワーク装置
US8995959B2 (en) Prevention of mismatch of authentication parameter in hybrid communication system
JP6473171B2 (ja) Msc間ハンドオーバのためのmapを介したimeisvの指示
EP2396990B1 (en) Method, apparatus and computer program product for source identification for single radio voice call continuity
RU2736420C1 (ru) Способ передачи обслуживания, устройство опорной сети, устройство сети доступа и устройство терминала
WO2021201729A1 (en) Faster release or resume for ue in inactive state

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20200129