RU2630175C2 - Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности - Google Patents
Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности Download PDFInfo
- Publication number
- RU2630175C2 RU2630175C2 RU2014135463A RU2014135463A RU2630175C2 RU 2630175 C2 RU2630175 C2 RU 2630175C2 RU 2014135463 A RU2014135463 A RU 2014135463A RU 2014135463 A RU2014135463 A RU 2014135463A RU 2630175 C2 RU2630175 C2 RU 2630175C2
- Authority
- RU
- Russia
- Prior art keywords
- node
- client
- cryptographic key
- security context
- sgsn
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0066—Transmission or use of information for re-establishing the radio link of control information between different types of networks in order to establish a new radio link in the target network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Изобретение относится к области связи. Технический результат – обеспечение эффективной связи. Способ управления первым узлом для генерирования контекста безопасности для клиента в системе сотовой связи, причем первый узел содержит схему обработки, причем способ включает в себя: первый узел, выполняющий в ходе передачи обслуживания в системе сотовой связи: прием, по меньшей мере, одного криптографического ключа от второго узла; прием идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом, от третьего узла; и использование указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента, причем первый узел является целевым узлом коммутации пакетов, третий узел является узлом-источником коммутации пакетов, а второй узел является узлом-источником коммутации каналов. 4 н. и 16 з.п. ф-лы, 8 ил.
Description
УРОВЕНЬ ТЕХНИКИ
Настоящее изобретение относится к системам сотовой связи и, в частности, к передаче обслуживания вызовов между системами сотовой связи, поддерживающими различные контексты безопасности.
Системы сотовой связи, как правило, включают в себя наземную сеть, обеспечивающую беспроводное покрытие мобильным терминалам, которые продолжают получать услугу при одновременном перемещении в пределах зоны покрытия сети. Термин «сотовая» происходит из того, что вся зона покрытия делится на так называемые «соты», каждая из которых обычно обслуживается конкретной приемопередающей радиостанцией (или ее эквивалентом), связанной с наземной сетью. Такие приемопередающие радиостанции часто обобщенно называют «базовыми станциями», даже в тех случаях, когда органы, устанавливающие стандарты связи, применяют иную терминологию (например, «NodeB» в WCDMA и «eNodeB» в LTE) с целью очень точного указания отличительных возможностей и архитектур своих версий базовой станции. По мере того как мобильное устройство перемещается от одной соты к другой, сеть передает ответственность за обслуживание мобильного устройства от обслуживающей в данный момент соты к «новой» соте. Таким образом, пользователь мобильного устройства ощущает непрерывность обслуживания без необходимости повторного установления соединения с сетью. Управление передачами обслуживания осуществляется с помощью стандартного системного механизма повторного выбора соты. Фиг. 1 иллюстрирует систему сотовой связи, обеспечивающую системную зону 101 покрытия с помощью множества сот 103.
С появлением новых систем связи они вводят новые особенности, возможности и способы передачи обслуживания вызовов. Оборудование для мобильной связи (называемое далее «Пользовательским оборудованием» или «UE») должно работать способом, совместимым с системой, с которой предполагается его связь. Чтобы обеспечивать максимальную гибкость применения, UE часто выполняются совместимыми с более чем одной системой. В одном отношении это позволяет пользователю продолжать использование UE при переносе его из географического района, покрываемого одним типом системы связи, в другой район, обслуживаемый другим типом системы связи.
Наличие многорежимного средства целесообразно также потому, что более новые системы внедряются постепенно, поэтому даже если пользователь остается в географических пределах системы одного оператора, UE иногда может оказаться обслуживаемым более старым оборудованием, а иногда - обслуживаемым более новым оборудованием. Данная ситуация иллюстрируется на фиг. 2, на которой изображена часть системы сотовой связи, в которой UE 201 в настоящий момент обслуживается первой сотой 203, поддерживаемой оборудованием 205, которое соответствует более старым стандартам связи (например, одному из стандартов 2G - например, GERAN, или 3G - например, UTRAN). В данном примере UE 201 находится вблизи второй (соседней) соты 207, которая поддерживается оборудованием 209, соответствующим более новому стандарту связи (например, спецификации 4G, такой как E-UTRAN, которая называется также «Долговременным развитием» или «LTE»). Если пользователь занят вызовом в тот момент, когда должна осуществляться передача обслуживания от более старого оборудования 205 к более новому оборудованию 209, было бы желательно иметь возможность передавать обслуживание вызова постепенно, минимизируя прерывание вызова.
Однако, поскольку более старые системы связи разработаны без знания о том, какая информация потребуется для обеспечения передачи обслуживания на более новое оборудование, разработчики столкнулись с задачей: как лучше всего обеспечивать выполнение такой передачи обслуживания (т.е. как выдавать на новое оборудование информацию, которая обеспечит ему максимальные возможности получения поддержки для текущего вызова, в настоящий момент обслуживаемого более старым оборудованием). Следовательно, необходимы решения этой проблемы, предполагающие способы, устройства и/или программные средства.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Следует подчеркнуть, что термины «содержит» и «содержащий» при использовании в настоящем описании применяются для указания на наличие заявляемых признаков, целочисленных переменных, этапов или компонентов; тем не менее использование этих терминов не исключает наличия или добавления одного или более иных признаков, целочисленных переменных, этапов, компонентов или их групп.
Прочие цели, признаки и преимущества настоящего изобретения будут понятны из нижеследующего неограничительного подробного описания, из прилагаемой формулы изобретения, а также из чертежей. Как правило, все термины, используемые в формуле изобретения, должны толковаться в соответствии с их обычным смыслом в данной области техники, если в настоящем документе прямо не указано иное. Все ссылки на «элемент, устройство, компонент, средство, этап и т.д.» должны явно толковаться как относящиеся, по меньшей мере, к одному примеру упомянутого элемента, устройства, компонента, средства, этапа и т.п., если прямо не указано иное. Этапы любого способа, описанного в настоящем документе, не обязательно должны выполняться точно в описанном порядке, если прямо не указано иное.
В соответствии с одним аспектом настоящего изобретения, вышеупомянутые и прочие цели достигаются, например, в способах и устройствах для управления первым узлом для генерирования контекста безопасности для клиента в системе сотовой связи, причем первый узел содержит схему обработки. Такое управление включает в себя прием первым узлом, по меньшей мере, одного криптографического ключа от второго узла и прием идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом, от третьего узла. Указанный, по меньшей мере, один криптографический ключ и идентификационная информация используются для генерирования контекста безопасности для клиента.
В некоторых вариантах осуществления первый и третий узлы являются узлами коммутации пакетов, а второй узел является узлом коммутации каналов. Например, первый узел может представлять собой Узел управления мобильностью (ММЕ), второй узел может представлять собой Коммутационный центр мобильной связи (MSC), а третий узел может представлять собой Обслуживающий узел поддержки GPRS (SGSN). В некоторых альтернативных вариантах осуществления первый узел является первым SGSN, второй узел является MSC, а третий узел является вторым SGSN.
В некоторых вариантах осуществления управление дополнительно включает в себя прием первым узлом одного или более векторов аутентификации от второго узла. Затем векторы аутентификации, принимаемые от второго узла, отбрасываются.
В некоторых вариантах осуществления, в которых первый узел является SGSN, управление включает в себя использование одного или более из указанного, по меньшей мере, одного криптографического ключа для защиты трафика между четвертым узлом и клиентом.
В некоторых вариантах осуществления, в которых первый узел является ММЕ, управление включает в себя выработку ключа для Объекта управления защитой доступа (K_ASME) из одного или более из указанного, по меньшей мере, одного криптографического ключа.
В некоторых вариантах осуществления управление включает в себя прием от третьего узла ключей шифрования коммутации пакетов для использования в соединении с коммутацией пакетов и отбрасывание ключей шифрования коммутации пакетов.
В некоторых вариантах осуществления управление включает в себя прием, по меньшей мере, одного вектора аутентификации от третьего узла и сохранение принятого, по меньшей мере, одного вектора аутентификации.
В некоторых вариантах осуществления управление включает в себя прием дополнительной информации от третьего узла, а в некоторых из этих вариантов осуществления использование указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента включает в себя использование указанного, по меньшей мере, одного криптографического ключа, идентификационной информации и дополнительной информации для генерирования контекста безопасности для клиента.
В некоторых вариантах осуществления рассматривается такое управление и в первом, и во втором узлах, при котором второй узел генерирует, по меньшей мере, один новый криптографический ключ, по меньшей мере, из одного имеющегося ключа, связанного с клиентом, и nonce-параметра, генерируемого вторым узлом, и передает указанный, по меньшей мере, один новый криптографический ключ в первый узел. Затем первый узел принимает идентификационную информацию алгоритмов обеспечения безопасности, поддерживаемых клиентом, от третьего узла и использует указанный, по меньшей мере, один криптографический ключ и идентификационную информацию для генерирования контекста безопасности для клиента.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг. 1 иллюстрирует систему сотовой связи, обеспечивающую зону покрытия системы с помощью множества сот.
На фиг. 2 изображена часть системы сотовой связи, в которой UE в настоящий момент обслуживается в первой соте, поддерживаемой оборудованием, которое соответствует более старому стандарту связи (например, одному из стандартов 2G или 3G), и должно быть передано второй соте, поддерживаемой оборудованием, которое соответствует более новому стандарту связи.
На фиг. 3 изображены аспекты сигнализации, входящей в передачу обслуживания вызова от UTRAN-источника или GERAN-источника, поддерживающего оборудование, работающее в области коммутации каналов, к целевой UTRAN/GERAN, поддерживающей оборудование, работающее в области коммутации пакетов (PS).
На фиг. 4 изображены аспекты сигнализации, входящей в передачу обслуживания вызова от UTRAN-источника или GERAN-источника, поддерживающего оборудование, работающее в области коммутации каналов (CS), к целевой E-UTRAN (т.е. оборудованию 4G), работающей в области PS.
Фиг. 5 представляет собой в одном отношении функциональную схему этапов/процессов, выполняемых целевым узлом PS в соответствии с некоторыми, но не обязательно всеми примерами осуществления механизма передачи обслуживания, соответствующего настоящему изобретению.
Фиг. 6 представляет собой схему сигнализации аспектов одного варианта осуществления сигнализации и этапов передачи обслуживания, соответствующих настоящему изобретению.
Фиг. 7 представляет собой схему сигнализации альтернативного варианта осуществления сигнализации и этапов передачи обслуживания, соответствующих настоящему изобретению.
Фиг. 8 представляет собой блок-схему целевого узла (например, SGSN/MME), который работает в области PS.
ПОДРОБНОЕ ОПИСАНИЕ
Ниже различные признаки изобретения описываются со ссылкой на чертежи, на которых одинаковые детали обозначены одинаковыми ссылочными позициями.
Далее различные аспекты изобретения описываются подробнее применительно к ряду примеров осуществления. Для обеспечения понимания изобретения многие аспекты изобретения описываются с точки зрения последовательностей действий, выполняемых элементами вычислительной системы или иных аппаратных средств, способных исполнять программно-реализованные команды. Понятно, что в каждом из вариантов осуществления различные действия могут выполняться специализированными схемами (например, аналоговыми и/или дискретными логическими вентилями, взаимосвязанными для выполнения специализированной функции), одним или более процессорами, запрограммированными с помощью подходящего набора команд, или некоторой комбинацией перечисленного. Термин «схема, выполненная с возможностью» выполнения одного или более описанных действий используется в настоящем документе для ссылки на любой такой вариант осуществления (т.е. одну или более специализированных схем и/или один или более программируемых процессоров). Кроме того, можно дополнительно рассматривать осуществление изобретения полностью в любой форме машиночитаемого носителя, такого как твердотельная память, магнитный диск или оптический диск, содержащий соответствующий набор машинных команд, которые заставляют процессор реализовывать описанные в настоящем документе методы. Таким образом, различные аспекты изобретения могут быть осуществлены во множестве различных форм, и все такие формы считаются находящимися в пределах объема изобретения. Для каждого из различных аспектов изобретения любая такая форма вариантов осуществления, описанных выше, может называться в настоящем документе «логической схемой, выполненной с возможностью» выполнения описанного действия или в качестве альтернативы «логической схемой, которая» выполняет описанное действие.
В нижеследующем описании ряд аббревиатур используется для краткости и потому, что в данной области техники аббревиатуры широко применяются. Поэтому нижеследующие аббревиатуры и их значения представлены, исходя из предположения, что каждая из них является стандартным термином, который без труда должен быть понятен специалисту:
- 3GPP (проект партнерства 3-го поколения)
- 3GPP TSG SA WG3 (рабочая группа 3 по системной архитектуре группы технической спецификации проекта партнерства 3-го поколения)
- AKA (соглашение об аутентификации и ключах)
- AMF (поле управления аутентификацией)
- AS (слой доступа)
- BSC (контроллер базовой станции)
- BSS (подсистема базовой станции)
- CK (ключ шифрования)
- CKSN (порядковый номер ключа шифрования)
- CR (запрос на изменение)
- CS (с коммутацией каналов)
- eNB (eNodeB)
- E-UTRAN (расширенная сеть универсального наземного радиодоступа)
- EPS (опорная система с коммутацией пакетов)
- FC (код функции)
- FFS (для дальнейшего изучения)
- GERAN (сеть радиодоступа GSM/EDGE)
- HLR (опорный регистр местоположения)
- HO (передача обслуживания)
- HSPA (высокоскоростная пакетная передача данных)
- HSS (опорный абонентский сервер)
- IE (информационный элемент)
- IK (ключ целостности)
- IMS (мультимедийная подсистема на базе протокола IP)
- IMSI (международный идентификатор мобильного абонента)
- IRAT (между технологиями радиодоступа)
- ISDN (цифровая сеть интегрального обслуживания)
- KASME (объект управления безопасностью)
- KDF (функция выработки ключа)
- KSI (идентификатор набора ключей)
- LA (зона местоположения)
- LTE (долгосрочное развитие)
- ME (оборудование мобильной связи)
- MSC (коммутационный центр мобильной связи)
- MSISDN (номер мобильного абонента ISDN)
- MM (управление мобильностью)
- MME (узел управления мобильностью)
- MS (мобильная станция)
- NAS (слой без доступа)
- NB (узел B)
- NONCE («однократно используемое число» - (псевдо)случайно генерируемая строка битов)
- PLMN (наземная сеть мобильной связи общего пользования)
- PS (с коммутацией пакетов)
- PRNG (генератор псевдослучайных чисел)
- RAT (технология радиодоступа)
- RNC (контроллер радиосети)
- RRC (управление радиоресурсами)
- SA (архитектура системы)
- SGSN (обслуживающий узел поддержки GPRS)
- SGW (шлюз сигнализации)
- SIM (модуль идентификации абонента)
- SRNC (обслуживающий RNC)
- SRVCC (непрерывность одиночного речевого радиовызова)
- SQN (порядковый номер)
- UE (пользовательское оборудование)
- USIM (универсальный модуль идентификации абонента)
- UTRAN (сеть универсального наземного радиодоступа)
- UMTS (универсальная система мобильной связи)
- UP (плоскость пользователя).
Как упоминалось в разделе «Уровень техники» настоящего изобретения, несовместимости между различными типами оборудования сотовой связи создают препятствия к достижению высококачественной передачи обслуживания вызовов от одного типа оборудования к другому типу. Например, рассмотрим проблемы, которые могут возникать в отношении контекста безопасности в тех случаях, когда более новое, так называемое оборудование «4G» должно принимать ответственность за вызов, который в настоящий момент обслуживается более старым оборудованием «2G» или «3G». Двухрежимные/многорежимные UE, которые предназначены для работы в оборудовании 2G/3G, а также в более новом оборудовании 4G, вероятно, будут иметь возможности обеспечения безопасности, характерные для оборудования 4G. Следовательно, узел сети 4G, которому должно передаваться обслуживание вызова, должен принимать информацию, указывающую, каковы параметры безопасности (например, ключи, выбираемые и поддерживаемые алгоритмы шифрования и т.д.). Однако рассмотрим, что произойдет во время обычной передачи обслуживания от оборудования 2G/3G к оборудованию 4G.
Любой вызов 2G/3G (который может работать либо в режиме коммутации каналов - CS, либо в режиме коммутации пакетов - PS), передача обслуживания которого должна осуществляться на оборудование 4G (которое работает исключительно в режиме PS), по меньшей мере, должен быть подключен к SGSN (оборудование PS), даже если передача обслуживания вызова осуществляется посредством соединения с MSC (оборудование CS). В тех случаях, когда UE подключается к сети в области коммутации пакетов, оно выдает в SGSN так называемые «Возможности сети UE», которые включают в себя алгоритмы обеспечения безопасности, поддерживаемые терминалом в E-UTRAN. В статье 6.14 3GPP TS 23.060 V10.6.0 (2011-12) указано, что «метка класса радиодоступа» содержит «Возможности сети UE». «Возможности сети UE» включают в себя алгоритмы обеспечения безопасности E-UTRAN, поддерживаемые UE. В частности, в статье 6.14.1 3GPP TS 23.060 указано, что UE (по историческим причинам называемое в спецификации «MS» - «Мобильной станцией») отправляет возможности радиодоступа в сеть. Для получения дополнительной информации об этом аспекте заинтересованный читатель может обратиться к 3GPP TS 23.060.
Что касается области коммутации каналов, UE не выдает «Возможности сети UE» в сеть (в данном случае, MSC), а вместо этого выдает лишь свои возможности, связанные с 2G/3G (UTRAN/GERAN). Это можно увидеть из определения сообщения с Запросом на обновление информации о местоположении, содержащегося в статье 9.2.15 3GPP TS 24.008 V10.5.0 (2011-12). Сообщение с Запросом на обновление информации о местоположении используется для выполнения подключения.
Передача обслуживания между RAT с коммутацией пакетов от UTRAN (3G) к E-UTRAN (4G) описывается в статье 5.5.2.2 3GPP TS 23.401 V10.6.0 (2011-12). Особый интерес представляет этап 3 (Прямой запрос на перемещение), приведенный в спецификации в виде фиг. 5.5.2.2.2-1. Параметры безопасности (например, ключи, выбираемые и поддерживаемые алгоритмы шифрования и т.д.) вводятся в контекст ММ. В частности, контекст ММ включает в себя связанную с безопасностью информацию, такую как Возможности сети UE и используемый алгоритм (алгоритмы) целостности и шифрования UMTS, а также ключи, как описывается в статье 5.7.2 (Хранение информации для ММЕ). Возможности сети UE включают в себя возможности обеспечения безопасности E-UTRAN, которые включают в себя, например, идентификационную информацию алгоритмов шифрования и целостности LTE, которые поддерживает UE (эта идентификационная информация алгоритмов называется алгоритмами шифрования EPS и алгоритмами защиты целостности EPS в спецификации безопасности LTE TS 33.401).
Передача обслуживания между RAT с коммутацией пакетов от GERAN к E-UTRAN описывается в статье 5.5.2.4 3GPP TS 23.401.
Принцип обеспечения направления узлом-источником (SGSN для области PS) Возможности сети UE в целевой узел точно такие же, как и заданная процедура передачи обслуживания в том случае, когда вызов начинается в области CS. Однако в области CS узел-источник является MSC, который, как указано выше, не имеет возможностей обеспечения безопасности E-UTRAN UE. (В действительности, в области CS у MSC нет необходимости в наличии такой информации, поскольку целевой узел также является MSC.) Следовательно, традиционные передачи обслуживания не обеспечивают какого-либо механизма для подачи этой информации в целевой узел (ММЕ в E-UTRAN).
Данная ситуация иллюстрируется на фиг. 3, на которой изображены аспекты сигнализации, входящей в передачу обслуживания вызова от UTRAN-источника или GERAN-источника, поддерживающего оборудование, работающее в области CS, к целевой UTRAN, поддерживающей оборудование, работающее в области PS. Изображенные компоненты, которые участвуют в этой сигнализации, - UE 301, BSC/RNC-источник 303, целевой RNC 305, сервер 307 MSC, SGSN/MME-источник 309 и целевой SGSN 311.
Сначала UE 301 включается в вызов с CS, поддерживаемый различным оборудованием UTRAN-источника или GERAN-источника. В ответ на принимаемое решение выполнять передачу обслуживания из области CS (UTRAN или GERAN) в область PS (UTRAN) на этапе 1 BSC/RNC-источник 303 отправляет сообщение «Требуется НО» на сервер 307 MSC.
Затем сервер 307 MSC генерирует (этап 313) NONCEMSC и использует его для генерирования криптографического ключа в соответствии со следующим:
На этапе 2 сервер 307 MSC передает «Запрос на НО из CS в PS» в целевую SGSN 311 и включает в это сообщение генерируемый криптографический ключ .
В ответ на этапе 3 целевая SGSN 311 отправляет «Запрос контекста» в SGSN/MME-источник 309 с целью запроса информации о контексте для UE 301. (Пунктирные линии, используемые в данном случае и на других изображениях сигнализации, означают факультативный этап). Затем SGSN/MME 309 отправляет «Ответ с контекстом» (содержащий запрашиваемую информацию) назад в целевую SGSN 311 (этап 4).
Если целевая SGSN 311 приняла КС ' и GPRS от сервера 307 MSC, усовершенствованного для SRVCC, то целевая SGSN 311 вычисляет (этап 315) по GPRS. Целевая SGSN 311 связывает с , который устанавливается равным , принимаемому от сервера-источника 307 MSC, усовершенствованного для SRVCC.
Затем целевой SGSN 311 отправляет в целевой RNC 305 (этап 5). В ответ целевой RNC 305 отправляет Ответ с выделением ресурсов (этап 6).
На этапе 7 целевой SGSN 311 отправляет сообщение с Ответом на НО из CS в PS на сервер-источник 307 MSC.
На этапе 8 сервер 307 MSC отправляет Ответ на НО из CS в PS в BSC/RNC-источник 303. Этот Ответ на НО из CS в PS содержит, помимо прочего, NONCEMSC.
На этапе 9 BSC/RNC-источник 303 отправляет команду НО из CS в PS на UE 301. Эта команда содержит, помимо прочего, NONCEMSC. UE 301 использует принятое NONCEMSC для выработки с помощью формул выработки ключа, задаваемых применимым стандартом (этап 317).
На этапе 10 UE 301 возвращает Подтверждение НО из CS в PS в целевой RNC 305. становятся активным набором ключей и в UE 301, и в целевом RNC 305.
Альтернативная иллюстрация того же типа ситуации приведена на фиг. 4, которая иллюстрирует аспекты сигнализации, входящей в передачу обслуживания вызова от UTRAN-источника или GERAN-источника, поддерживающего оборудование, работающее в области CS, к целевой E-UTRAN (т.е. оборудованию 4G), поддерживающей оборудование, работающей в области PS. Изображенные компоненты, которые участвуют в этой сигнализации, - это UE 401, BSC/RNC-источник 403, целевой eNB 405, сервер 407 MSC, SGSN/MME-источник 409 и ММЕ 411.
Сначала UE 401 включается в вызов с CS, поддерживаемый различным оборудованием UTRAN-источника или GERAN-источника. В ответ на принимаемое решение выполнять передачу обслуживания из области CS (UTRAN или GERAN) в область PS (E-UTRAN) на этапе 1’ BSC/RNC-источник 403 отправляет сообщение «Требуется НО» на сервер 407 MSC.
Затем сервер 407 MSC генерирует (этап 413) NONCEMSC и использует его для генерирования криптографического ключа в соответствии со следующим:
На этапе 2’ сервер 407 MSC передает «Запрос на НО из CS в PS» в целевую MME 411 и включает в это сообщение генерируемый криптографический ключ .
В ответ на этапе 3’ целевая MME 411 отправляет «Запрос контекста» в SGSN/MME-источник 409 с целью запроса информации о контексте для UE 401. Затем SGSN/MME 409 отправляет «Ответ с контекстом» (содержащий запрашиваемую информацию) назад в целевую MME 411 (этап 4’).
На этапе 415 целевой MME 411 создает преобразованный контекст безопасности EPS путем установки контекста безопасности преобразованного EPS равным конкатенации , где принимались в запросе на передачу обслуживания из CS в PS (см. этап 2’). Затем целевой ММЕ 411 связывает с . Величина такая же, как и величина , принимаемая в запросе на передачу обслуживания из CS в PS.
Кроме того, в ходе этапа 415 целевой ММЕ 411 вырабатывает KeNB путем применения KDF, как определено в применимом стандарте, с помощью преобразованного ключа и величины 232-1 как параметра NAS COUNT восходящей линии связи. Значения NAS COUNT восходящей линии связи и нисходящей линии связи для контекста безопасности преобразованного EPS устанавливаются равными начальному значению (т.е. 0) в целевой ММЕ 411.
Затем целевой ММЕ 411 отправляет параметры KeNB и NAS в целевой eNB 405 (этап 5’). В ответ целевой eNB 405 отправляет Ответ с выделением ресурсов (этап 6’).
На этапе 7’ целевой ММЕ 411 отправляет сообщение с Ответом на НО из CS в PS на сервер-источник 407 MSC.
На этапе 8’ сервер 407 MSC отправляет Ответ на НО из CS в PS в BSC/RNC-источник 403. Этот Ответ на НО из CS в PS содержит, помимо прочего, NONCEMSC.
На этапе 9’ BSC/RNC-источник 403 отправляет команду НО из CS в PS на UE 401. Эта команда содержит, помимо прочего, NONCEMSC. UE 401 использует принятое NONCEMSC для выработки , связывания его с , принимаемым в IE Прозрачного контейнера безопасности NAS, и выработки ключей NAS и KeNB в соответствии с теми же выработками ключа, что и сервер 407 MSC и ММЕ 411, выполняемыми на этапах 2’, 3’ и 4’ (этап 417) - все согласно применимому стандарту.
На этапе 10’ UE 401 возвращает Подтверждение НО из CS в PS в целевой eNB 405. Преобразованный контекст безопасности EPS, установленный, как указано выше, становится текущим контекстом безопасности EPS в AS.
Новый механизм передачи обслуживания решает проблемы, связанные с традиционными методами. Аспекты этого нового механизма передачи обслуживания изображены на фиг. 5, которая в одном отношении представляет собой функциональную схему этапов/процессов, выполняемых целевым узлом PS (например, Целевой SGSN или Целевым ММЕ) в соответствии с некоторыми, но не обязательно всеми примерами осуществления настоящего изобретения. В другом отношении фиг. 5 можно рассматривать как иллюстрирующую пример средств 500, содержащих различные изображенные схемы (например, процессор с жесткой программой и/или соответствующим образом запрограммированный процессор), выполненные с возможностью выполнения описанных функций.
Для упрощения терминологии целевой узел PS применительно к данной обработке можно считать «первым узлом», который генерирует контекст безопасности для клиента в системе сотовой связи. В одном аспекте первый узел принимает, по меньшей мере, один криптографический ключ от второго узла (этап 501). Второй узел может являться узлом-источником CS, таким как MSC.
Первый узел запрашивает третий узел (например, SGSN-источник), а в ответ принимает идентификационную информацию алгоритмов обеспечения безопасности, поддерживаемых клиентом (этап 503). В некоторых, но не обязательно всех вариантах осуществления первый узел может также принимать другую информацию, такую как один или более векторов аутентификации и/или криптографический ключ (ключи).
Затем первый узел использует указанный, по меньшей мере, один криптографический ключ, принимаемый от второго узла, и идентификационную информацию алгоритма обеспечения безопасности для генерирования контекста безопасности для клиента (этап 505). В некоторых, но не обязательно всех вариантах осуществления могут также использоваться векторы аутентификации, принимаемые от второго узла.
В этот момент первый узел генерирует контекст безопасности для клиента. В некоторых, но не обязательно всех вариантах осуществления первый узел может выполнять любую из дополнительных функций, либо их комбинацию, например, помимо прочего:
- отбрасывание дополнительной информации, принимаемой от второго и/или третьего узлов (например, векторов аутентификации, принимаемых от второго и/или третьего узла, криптографического ключа (ключей), принимаемого от третьего узла);
- использование (например, если целевой узел PS является SGCN) и/или сохранение (например, если целевой узел PS является ММЕ) дополнительной информации, принимаемой от второго и/или третьего узла (например, векторов аутентификации, принимаемых от второго и/или третьего узла). Сохранение векторов аутентификации может быть целесообразным, например, если целевой узел PS является ММЕ, при этом более поздняя передача обслуживания будет осуществляться в абсолютно тот же SGCN-источник, из которого они принимались (при этом векторы аутентификации возвращаются в SGCN в момент более поздней передачи обслуживания).
Дополнительные аспекты вариантов осуществления, соответствующих настоящему изобретению, можно понять из фиг. 6, которая представляет собой схему сигнализации одного варианта осуществления, соответствующего настоящему изобретению. В частности, на данной схеме особое внимание уделяется аспектам, которые поддерживают целевой узел PS, способный создавать контекст безопасности для клиента в ходе передачи обслуживания вызова от UTRAN-источника или GERAN-источника, который поддерживает оборудование, работающее в области CS, к целевой UTRAN, которая поддерживает оборудование, работающее в области PS. Один аспект изображенного варианта осуществления состоит в том, что целевой узел PS собирает связанную с безопасностью информацию от узла-источника PS и также от узла-источника CS, при этом отдельные части собранной информации объединяются для генерирования нового набора связанной с безопасностью информации. Подробнее это описывается ниже.
Изображенные компоненты, которые участвуют в этой сигнализации, - UE 601 (клиент), BSC/RNC-источник 603, целевой RNC 605, сервер 607 MSC, SGSN/MME-источник 609 и целевой SGSN 611.
Сначала UE 601 включается в вызов с CS, поддерживаемый различным оборудованием UTRAN-источника или GERAN-источника. В ответ на принимаемое решение выполнять передачу обслуживания из области CS (UTRAN или GERAN) в область PS (UTRAN/GERAN) на этапе 1’’ BSC/RNC-источник 603 отправляет сообщение «Требуется НО» на сервер 607 MSC.
Затем сервер 607 MSC генерирует (этап 613) NONCEMSC и использует его и имеющиеся ключи, используемые совместно с UE 601, для генерирования криптографического ключа в соответствии со следующим:
На этапе 2’’ сервер 607 MSC передает «Запрос на НО из CS в PS» в целевой SGSN 611 и включает в это сообщение генерируемый криптографический ключ и векторы аутентификации.
В ответ на этапе 3’’ целевой SGSN 611 отправляет «Запрос контекста» в SGSN/MME-источник 609 с целью запроса информации о контексте для UE 601. (Пунктирные линии, используемые в данном случае и на других изображениях сигнализации, означают факультативный этап). Затем SGSN/MME 609 отправляет «Ответ с контекстом» (содержащий запрашиваемую информацию, которая включает в себя криптографические ключи PS и прочие параметры безопасности, такие как идентификаторы (ID) алгоритмов обеспечения безопасности, поддерживаемых UE 601) назад в целевую SGSN 611 (этап 4’’).
На этапе 615 целевая SGSN 611 выполняет следующее:
- отправку криптографических ключей, принимаемых от MSC 607, в целевой RNC 605 с целью защиты трафика между целевой SGSN 611 и UE 601 (т.е. клиентом),
- отбрасывание любых ключей PS, принимаемых от SGSN/ММЕ-источника 609,
- отбрасывание AV, которые принимались от сервера 607 MSC,
- в некоторых, но не обязательно всех вариантах осуществления - сохранение AV, принимаемых от SGSN-источника 609,
- в некоторых, но не обязательно всех вариантах осуществления данные в AV могут использоваться для повторной аутентификации UE 601,
- использование другой информации, принимаемой от SGSN/ММЕ-источника 609, необходимой для формирования нового контекста безопасности для клиента (т.е. UE 601).
После этапа 615 сигнализация осуществляется в соответствии с этапами 5, 6, 7, 8, 9 и 10, такими как изображенные на фиг.3 и описанные выше в тексте к фиг. 3.
Прочие аспекты вариантов осуществления, соответствующих настоящему изобретению, можно понять из фиг. 7, которая представляет собой схему сигнализации альтернативного варианта осуществления, соответствующего настоящему изобретению. В частности, на данной схеме особое внимание уделяется аспектам, которые поддерживают целевой узел PS, способный создавать контекст безопасности для клиента в ходе передачи обслуживания вызова от UTRAN-источника или GERAN-источника, который поддерживает оборудование, работающее в области CS, к целевой E-UTRAN (т.е. 4G), которая поддерживает оборудование, работающее в области PS. Изображенные компоненты, которые участвуют в этой сигнализации, - UE 701 (клиент), BSC/RNC-источник 703, целевой eNB 705, сервер 707 MSC, SGSN/MME-источник 709 и целевой ММЕ 711.
Сначала UE 701 включается в вызов с CS, поддерживаемый различным оборудованием UTRAN-источника или GERAN-источника. В ответ на принимаемое решение выполнять передачу обслуживания из области CS (UTRAN или GERAN) в область PS (E-UTRAN) на этапе 1’’’ BSC/RNC-источник 703 отправляет сообщение «Требуется НО» на сервер 707 MSC.
Затем сервер 707 MSC генерирует (этап 713) NONCEMSC и использует его для генерирования новых криптографических ключей из имеющихся ключей, используемых совместно с UE 701. Такая выработка ключа осуществляется в соответствии со следующим:
На этапе 2’’’ сервер 707 MSC передает «Запрос на НО из CS в PS» в целевой ММЕ 711 и включает в это сообщение вновь генерируемые криптографические ключи и AV. Следует отметить, что сервер 707 MSC не имеет параметров безопасности LTE, поэтому при такой передаче ни один из них не передается (или не может передаваться).
В ответ на этапе 3’’’ целевой ММЕ 711 отправляет «Запрос контекста» в SGSN/MME-источник 709 с целью запроса информации о контексте для UE 701. Затем SGSN/MME 709 отправляет «Ответ с контекстом» (содержащий запрашиваемую информацию) назад в целевой ММЕ 711 (этап 4’’’). Указанная запрашиваемая информация включает в себя ключи PS и параметры безопасности LTE (т.е. идентификаторы алгоритмов обеспечения безопасности, поддерживаемых UE 701). Применительно к SGSN-источнику 709 такая информация имеется в том случае, если SGSN-источник 709 соответствует Версии 8 или более новой Версии стандарта LTE.
На этапе 715 целевой ММЕ 711 выполняет следующее:
- создание контекста безопасности преобразованного EPS путем установки контекста безопасности преобразованного EPS равным конкатенации , где принимались в запросе на передачу обслуживания из CS в PS (см. этап 2’’’). Затем целевой ММЕ 711 связывает с . Величина такая же, как и величина , принимаемая в запросе на передачу обслуживания из CS в PS. Кроме того, в ходе этого этапа целевой ММЕ 711 вырабатывает KeNB путем применения KDF, как определено в применимом стандарте, с помощью преобразованного ключа и величины 232-1 как параметра NAS COUNT восходящей линии связи. Значения NAS COUNT восходящей линии связи и нисходящей линии связи для контекста безопасности преобразованного EPS устанавливаются равными начальному значению (т.е. 0) в целевом ММЕ 711.
- Отбрасывание ключей PS, принимаемых от SGSN/ММЕ-источника 709.
- Отбрасывание AV, принимаемых от сервера 707 MSC.
- Факультативно, сохранение AV, принимаемых от SGSN-источника 709. (Не будет любых AV, принимаемых от ММЕ-источника 709). Эти сохраненные AV могут использоваться позже в случае, если имеется HO IRAT PS назад в тот же SGSN-источник 709, от которого они принимались (при этом они передаются назад в этот SGSN в момент этой более поздней передачи обслуживания).
- Использование другой информации, принимаемой от SGSN/ММЕ-источника 709, необходимой для формирования контекста безопасности LTE для UE 701 (т.е. клиента). Такая дополнительная информация может, например, представлять собой KSI или CKSN, каждый из которых является строкой длиной 3 бита. Например, ММЕ 711 может использовать KSI/CKSN для идентификации контекста безопасности LTE.
После этапа 715 сигнализация осуществляется в соответствии с этапами 5’, 6’, 7’, 8’, 9’ и 10’, такими как изображенные на фиг.4 и описанные выше в тексте к фиг.4.
Фиг. 8 представляет собой блок-схему целевого узла 800 (например, SGSN/MME), который работает в области PS, причем целевой узел 800 содержит контроллер 801, который представляет собой схему, выполненную с возможностью осуществления, помимо типичных функций узла системы связи, любого из аспектов, описанных применительно к любой из приведенных выше фиг. 5-7 или к их комбинации, либо комбинации этих аспектов. Такая схема может, например, являться схемой с полностью жесткой программой (например, одной или более специализированных микросхем (ASIC)). Однако в примере осуществления на фиг. 8 изображена программируемая схема, содержащая процессор 803, связанный с одним или более запоминающих устройств 805 (например, оперативным запоминающим устройством, накопителями на магнитных дисках, накопителями на оптических дисках, постоянным запоминающим устройством и т.д.). Запоминающее устройство (устройства) 805 хранит программные средства 807 (например, набор команд процессора), выполненные с возможностью инициирования в процессоре 803 управления прочими компонентами 809 схем/аппаратных средств узла, чтобы выполнять любую из описанных выше функций. Память 805 может также хранить данные 811, соответствующие различным постоянным и переменным параметрам, которые могут приниматься, генерироваться процессором 803 и/или в других отношениях являться необходимыми для него при выполнении им своих функций, например, задаваемых программными средствами 807.
В различных аспектах вариантов осуществления, соответствующих настоящему изобретению, описанному выше, предлагаются решения проблем, связанных с передачей обслуживания вызовов между оборудованием CS и PS, включая проблему генерирования контекста безопасности, который является целесообразным в области PS в тех случаях, когда вызов начинается в области CS.
Настоящее изобретение описано применительно к конкретным вариантам осуществления. Однако специалистам очевидно, что изобретение может быть реализовано в конкретных формах, отличных от форм вышеописанного варианта осуществления.
Например, различные аспекты, такие как получение некоторой информации от узла-источника CS и другой информации от узла-источника PS и фильтрация и/или обработка этой информации для выработки контекста безопасности, целесообразного в целевом узле PS, применимы даже в случае, если прочие детали изменились. Например, могут предполагаться варианты осуществления, в которых вместо использования MSC для генерирования NONCE, которая передается в целевой узел PS (например, целевой SGSN или ММЕ), целевой узел (целевой ММЕ) сам может генерировать NONCE, а затем вырабатывать криптографические ключи из этой сгенерированной NONCE.
В связи с этим описанные варианты осуществления носят чисто иллюстративный характер и никоим образом не должны считаться ограничительными. Объем изобретения определяется прилагаемой формулой изобретения, а не предшествующим описанием, при этом в него входят все варианты и эквиваленты, находящиеся в пределах объема формулы изобретения.
Claims (57)
1. Способ управления первым узлом (611, 711, 800) для генерирования контекста безопасности для клиента (601, 701) в системе (101) сотовой связи, причем первый узел (611, 711, 800) содержит схему (801) обработки, причем способ включает в себя:
первый узел (611, 711, 800), выполняющий в ходе передачи обслуживания в системе (101) сотовой связи:
прием (501), по меньшей мере, одного криптографического ключа от второго узла (607, 707);
прием (503) идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом (601, 701), от третьего узла (609, 709); и
использование (505) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701),
причем первый узел (611, 711, 800) является целевым узлом коммутации пакетов, третий узел (609, 709) является узлом-источником коммутации пакетов, а второй узел (607, 707) является узлом-источником коммутации каналов.
2. Способ по п. 1, в котором первый узел (611, 711, 800) является ММЕ, второй узел (607, 707) является MSC, а третий узел (609, 709) является SGSN.
3. Способ по п. 1, в котором первый узел (611, 711, 800) является первым SGSN, второй узел (607, 707) является MSC, а третий узел (609, 709) является вторым SGSN.
4. Способ по п. 1, дополнительно включающий в себя:
инициирование приема (2''') первым узлом (611, 711, 800) одного или более векторов аутентификации от второго узла (607, 707); и
отбрасывание (507) векторов аутентификации, принимаемых от второго узла (607, 707).
5. Способ по п. 1, в котором первый узел (611, 711, 800) является SGSN, причем данный способ дополнительно включает в себя:
использование (507, 615) одного или более из указанного, по меньшей мере, одного криптографического ключа для защиты трафика между четвертым узлом и клиентом (601, 701).
6. Способ по п. 1, в котором первый узел (611, 711, 800) является ММЕ, причем данный способ дополнительно включает в себя:
выработку (507, 715) ключа для Объекта управления защитой доступа (K_ASME) из одного или более из указанного, по меньшей мере, одного криптографического ключа.
7. Способ по п. 1, дополнительно включающий в себя:
прием (4'', 4''') от третьего узла (609, 709) ключей шифрования коммутации пакетов для использования в соединении с коммутацией пакетов; и
отбрасывание (507, 615, 715) ключей шифрования коммутации пакетов.
8. Способ по п. 1, дополнительно включающий в себя:
прием (4'', 4'''), по меньшей мере, одного вектора аутентификации от третьего узла (609, 709); и
сохранение (507, 615, 715) принятого, по меньшей мере, одного вектора аутентификации.
9. Способ по п. 1, дополнительно включающий в себя прием дополнительной информации от третьего узла (609, 709); и
отличающийся тем, что использование (505) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701) включает в себя использование (505) указанного, по меньшей мере, одного криптографического ключа, идентификационной информации и дополнительной информации для генерирования контекста безопасности для клиента (601, 701).
10. Способ управления первым и вторым узлами (611, 711, 800, 607, 707) в системе (101) сотовой связи, причем данный способ обеспечивает генерирование контекста безопасности в ходе процесса передачи поддержки клиента (601, 701) от второго узла (607, 707) к первому узлу (611, 711, 800), отличающийся тем, что и первый, и второй узел (611, 711, 800, 607, 707) содержат схему обработки, причем данный способ включает в себя:
генерирование (613, 713) вторым узлом (607, 707), по меньшей мере, одного нового криптографического ключа, по меньшей мере, из одного имеющегося ключа, связанного с клиентом (601, 701), и однократно используемого числа, генерируемого вторым узлом (607, 707);
передачу (2'', 2''', 501) вторым узлом (607, 707) указанного, по меньшей мере, одного нового криптографического ключа в первый узел (611, 711, 800);
прием (503) первым узлом (611, 711, 800) идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом (601, 701), от третьего узла (609, 709); и
использование (505) первым узлом (611, 711, 800) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701),
причем первый узел (611, 711, 800) является целевым узлом коммутации пакетов, третий узел (609, 709) является узлом-источником коммутации пакетов, а второй узел (607, 707) является узлом-источником коммутации каналов.
11. Устройство (500, 801) для управления первым узлом (611, 711, 800) для генерирования контекста безопасности для клиента (601, 701) в системе (101) сотовой связи, причем устройство содержит:
схему (501), выполненную с возможностью приема, по меньшей мере, одного криптографического ключа от второго узла (607, 707);
схему (503), выполненную с возможностью приема идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом (601, 701), от третьего узла (609, 709); и
схему (505), выполненную с возможностью использования в ходе передачи обслуживания в системе (101) сотовой связи указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701),
причем первый узел (611, 711, 800) является целевым узлом коммутации пакетов, третий узел (609, 709) является узлом-источником коммутации пакетов, а второй узел (607, 707) является узлом-источником коммутации каналов.
12. Устройство по п. 11, в котором первый узел (611, 711, 800) является ММЕ, второй узел (607, 707) является MSC, а третий узел (609, 709) является SGSN.
13. Устройство по п. 11, в котором первый узел (611, 711, 800) является первым SGSN, второй узел (607, 707) является MSC, а третий узел (609, 709) является вторым SGSN.
14. Устройство по п. 11, дополнительно включающее в себя:
схему, выполненную с возможностью приема (2''') одного или более векторов аутентификации от второго узла (607, 707); и
схему, выполненную с возможностью отбрасывания (507) векторов аутентификации, принимаемых от второго узла (607, 707).
15. Устройство по п. 11, в котором первый узел (611, 711, 800) является SGSN, причем устройство дополнительно включает в себя:
схему, выполненную с возможностью использования (507, 615) одного или более из указанного, по меньшей мере, одного криптографического ключа для защиты трафика между четвертым узлом и клиентом (601, 701).
16. Устройство по п. 11, в котором первый узел (611, 711, 800) является ММЕ, причем устройство дополнительно включает в себя:
схему, выполненную с возможностью выработки (507, 715) ключа для Объекта управления защитой доступа (K_ASME) из одного или более из указанного, по меньшей мере, одного криптографического ключа.
17. Устройство по п. 11, дополнительно включающее в себя:
схему, выполненную с возможностью приема (4'', 4''') от третьего узла (609, 709) ключей шифрования коммутации пакетов для использования в соединении с коммутацией пакетов; и
схему, выполненную с возможностью отбрасывания (507, 615, 715) ключей шифрования коммутации пакетов.
18. Устройство по п. 11, дополнительно включающее в себя:
схему, выполненную с возможностью приема (4'', 4'''), по меньшей мере, одного вектора аутентификации от третьего узла (609, 709); и
схему, выполненную с возможностью сохранения (507, 615, 715) принятого, по меньшей мере, одного вектора аутентификации.
19. Устройство по п. 11, дополнительно включающее в себя схему, выполненную с возможностью приема дополнительной информации от третьего узла (609, 709); и
отличающееся тем, что схема, выполненная с возможностью использования (505) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701), включает в себя схему, выполненную с возможностью использования (505) указанного, по меньшей мере, одного криптографического ключа, идентификационной информации и дополнительной информации для генерирования контекста безопасности для клиента (601, 701).
20. Устройство для управления первым и вторым узлами (611, 711, 800, 607, 707) в системе (101) сотовой связи, причем устройство обеспечивает генерирование контекста безопасности в ходе процесса передачи поддержки клиента (601, 701) от второго узла (607, 707) к первому узлу (611, 711, 800), причем устройство включает в себя:
схему второго узла, выполненную с возможностью генерирования (613, 713), по меньшей мере, одного криптографического ключа, по меньшей мере, из одного имеющегося ключа, связанного с клиентом (601, 701), и однократно используемого числа, генерируемого вторым узлом (607, 707);
схему второго узла, выполненную с возможностью передачи (2'', 2''', 501) указанного, по меньшей мере, одного нового криптографического ключа в первый узел (611, 711, 800);
схему первого узла (611, 711, 800), выполненную с возможностью приема (503) идентификационной информации алгоритмов обеспечения безопасности, поддерживаемых клиентом (601, 701), от третьего узла (609, 709); и
схему первого узла (611, 711, 800), выполненную с возможностью использования (505) указанного, по меньшей мере, одного криптографического ключа и идентификационной информации для генерирования контекста безопасности для клиента (601, 701),
причем первый узел (611, 711, 800) является целевым узлом коммутации пакетов, третий узел (609, 709) является узлом-источником коммутации пакетов, а второй узел (607, 707) является узлом-источником коммутации каналов.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261592126P | 2012-01-30 | 2012-01-30 | |
US61/592,126 | 2012-01-30 | ||
US13/677,451 | 2012-11-15 | ||
US13/677,451 US10433161B2 (en) | 2012-01-30 | 2012-11-15 | Call handover between cellular communication system nodes that support different security contexts |
PCT/EP2013/051550 WO2013113647A1 (en) | 2012-01-30 | 2013-01-28 | Call handover between cellular communication system nodes that support different security contexts |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2014135463A RU2014135463A (ru) | 2016-03-20 |
RU2630175C2 true RU2630175C2 (ru) | 2017-09-05 |
Family
ID=48870232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2014135463A RU2630175C2 (ru) | 2012-01-30 | 2013-01-28 | Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности |
Country Status (8)
Country | Link |
---|---|
US (1) | US10433161B2 (ru) |
EP (1) | EP2810463B1 (ru) |
JP (1) | JP6085615B2 (ru) |
CN (1) | CN104067648B (ru) |
CA (1) | CA2861941A1 (ru) |
IN (1) | IN2014DN06111A (ru) |
RU (1) | RU2630175C2 (ru) |
WO (1) | WO2013113647A1 (ru) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2771619C2 (ru) * | 2017-10-23 | 2022-05-11 | Хуавей Текнолоджиз Ко., Лтд. | Система, устройство и способ генерирования ключа |
US11516677B2 (en) | 2018-04-09 | 2022-11-29 | Huawei Technologies Co., Ltd. | Communication method, apparatus, and system |
US11564100B2 (en) | 2017-11-17 | 2023-01-24 | Huawei Technologies Co., Ltd. | Security protection method and apparatus |
US11576038B2 (en) | 2017-10-23 | 2023-02-07 | Huawei Technologies Co., Ltd. | Key generation method, apparatus, and system |
US11818578B2 (en) | 2019-05-31 | 2023-11-14 | Honor Device Co., Ltd. | Security context obtaining method and apparatus, and communications system |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101309500B (zh) | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
US10433161B2 (en) * | 2012-01-30 | 2019-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Call handover between cellular communication system nodes that support different security contexts |
US9414223B2 (en) * | 2012-02-17 | 2016-08-09 | Nokia Technologies Oy | Security solution for integrating a WiFi radio interface in LTE access network |
WO2014085968A1 (zh) * | 2012-12-03 | 2014-06-12 | 华为技术有限公司 | 无线接入网信息获取方法和无线接入网控制器 |
US9655012B2 (en) | 2012-12-21 | 2017-05-16 | Qualcomm Incorporated | Deriving a WLAN security context from a WWAN security context |
GB2509937A (en) | 2013-01-17 | 2014-07-23 | Nec Corp | Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations |
US9730074B2 (en) * | 2014-01-16 | 2017-08-08 | Telefonaktiebolaget Lm Ericsson (Publ) | System, methods and apparatuses for providing network access security control |
EP3143785B1 (en) * | 2014-05-12 | 2018-10-24 | Nokia Technologies Oy | Securing device-to-device communication in a wireless network |
GB2537377B (en) * | 2015-04-13 | 2021-10-13 | Vodafone Ip Licensing Ltd | Security improvements in a cellular network |
CN106714254B (zh) * | 2015-11-17 | 2020-02-21 | 中国移动通信集团公司 | 一种音视频业务应用网络的切换方法、终端及应用服务器 |
BR112019013937A2 (pt) * | 2017-01-06 | 2020-02-11 | Huawei Technologies Co., Ltd. | Método de mudança automática de rede e dispositivo relacionado |
US11122427B2 (en) * | 2017-09-26 | 2021-09-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Managing security contexts and performing key derivation at handover in a wireless communication system |
CN113473646B (zh) * | 2017-11-21 | 2022-04-12 | 华为技术有限公司 | 一种通信方法及装置 |
US20230231708A1 (en) * | 2018-01-12 | 2023-07-20 | Qualcomm Incorporated | Method and apparatus for multiple registrations |
CN110691427B (zh) * | 2018-07-05 | 2021-10-19 | 华为技术有限公司 | 一种业务传输方法及装置 |
CN112087297B (zh) * | 2019-06-14 | 2022-05-24 | 华为技术有限公司 | 一种获取安全上下文的方法、系统及设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080095362A1 (en) * | 2006-10-18 | 2008-04-24 | Rolf Blom | Cryptographic key management in communication networks |
EP1926281A2 (en) * | 2006-11-21 | 2008-05-28 | Innovative Sonic Limited | Method and related apparatus for ciphering algorithm change in a wireless communications system |
US20110041003A1 (en) * | 2009-03-05 | 2011-02-17 | Interdigital Patent Holdings, Inc. | METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION |
US20110098075A1 (en) * | 2008-07-11 | 2011-04-28 | Infineon Technologies Ag | Mobile radio communication devices having a trusted processing environment and method for processing a computer program therein |
WO2011092138A1 (en) * | 2010-01-28 | 2011-08-04 | Koninklijke Kpn N.V. | Efficient terminal authentication in telecommunication networks |
Family Cites Families (61)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US2139260A (en) * | 1936-10-16 | 1938-12-06 | United Shoe Machinery Corp | Manufacture of shoes and insoles therefor |
FI110558B (fi) * | 2000-05-24 | 2003-02-14 | Nokia Corp | Menetelmä matkaviestinverkon kautta pakettidataverkkoon kytketyn päätelaitteen paikkatiedon käsittelemiseksi |
US8606084B2 (en) * | 2001-06-27 | 2013-12-10 | Knapp Investment Company Limited | Method and system for providing a personal video recorder utilizing network-based digital media content |
US20040003081A1 (en) * | 2002-06-26 | 2004-01-01 | Microsoft Corporation | System and method for providing program credentials |
FR2847401A1 (fr) * | 2002-11-14 | 2004-05-21 | France Telecom | Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session |
DE202005021930U1 (de) * | 2005-08-01 | 2011-08-08 | Corning Cable Systems Llc | Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen |
EP1911311B1 (en) | 2005-08-01 | 2017-06-28 | Ubiquisys Limited | Automatic base station configuration |
US8781442B1 (en) * | 2006-09-08 | 2014-07-15 | Hti Ip, Llc | Personal assistance safety systems and methods |
US8281378B2 (en) * | 2006-10-20 | 2012-10-02 | Citrix Systems, Inc. | Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation |
US8520850B2 (en) * | 2006-10-20 | 2013-08-27 | Time Warner Cable Enterprises Llc | Downloadable security and protection methods and apparatus |
US8089339B2 (en) * | 2006-12-21 | 2012-01-03 | Cingular Wireless Ii, Llc | Wireless device as programmable vehicle key |
US8769308B2 (en) * | 2007-04-30 | 2014-07-01 | Interdigital Technology Corporation | Home (e)Node-B with new functionality |
CN101309500B (zh) | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
US8341104B2 (en) * | 2007-08-16 | 2012-12-25 | Verizon Patent And Licensing Inc. | Method and apparatus for rule-based masking of data |
MX2011007672A (es) * | 2009-01-23 | 2011-08-08 | Ericsson Telefon Ab L M | Metodo y arreglo en una red de comunicaciones. |
US8675863B2 (en) * | 2009-12-22 | 2014-03-18 | Trueposition, Inc. | Passive system for recovering cryptography keys |
BR112012018268B1 (pt) * | 2010-03-17 | 2021-02-02 | Telefonaktiebolaget Lm Ericsson (Publ) | métodos, nó que serve um terminal móvel e terminal móvel |
US9084110B2 (en) | 2010-04-15 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network |
CN101835152A (zh) | 2010-04-16 | 2010-09-15 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
JP5649248B2 (ja) | 2010-04-16 | 2015-01-07 | クアルコム,インコーポレイテッド | 改善されたセキュリティコンテキストをサポートするサービングネットワークノードから従来のサービングネットワークノードに移行するための装置および方法 |
US10075420B2 (en) | 2010-05-04 | 2018-09-11 | Qualcomm Incorporated | Shared circuit switched security context |
EP2569964A4 (en) | 2010-05-10 | 2015-08-12 | Nokia Technologies Oy | KEY REMOVAL DURING A TRANSFER BETWEEN NETWORKS |
CN101860862B (zh) | 2010-05-17 | 2015-05-13 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
US8712056B2 (en) * | 2010-06-03 | 2014-04-29 | At&T Intellectual Property I, L.P. | Secure mobile ad hoc network |
US9595072B2 (en) * | 2010-12-08 | 2017-03-14 | At&T Intellectual Property I, L.P. | Security social network |
CN106131081A (zh) * | 2010-12-30 | 2016-11-16 | 交互数字专利控股公司 | 从应用服务器接入服务的方法及移动装置 |
TW201628371A (zh) * | 2011-03-23 | 2016-08-01 | 內數位專利控股公司 | 確寶網路通訊系統及方法 |
US9820335B2 (en) * | 2011-04-01 | 2017-11-14 | Interdigital Patent Holdings, Inc. | System and method for sharing a common PDP context |
US8978030B2 (en) * | 2011-04-07 | 2015-03-10 | Infosys Limited | Elastic provisioning of resources via distributed virtualization |
US9407616B2 (en) * | 2011-04-27 | 2016-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Authenticating a device in a network |
US9295082B2 (en) * | 2011-04-27 | 2016-03-22 | At&T Mobility Ii Llc | Distributed machine-to-machine connectivity |
US8504004B2 (en) * | 2011-06-03 | 2013-08-06 | At&T Mobility Ii Llc | Automatic control of rate of notifications for UMTS and other simultaneous voice/data networks |
US8489075B2 (en) * | 2011-11-16 | 2013-07-16 | At&T Intellectual Property I, L.P. | System and method for augmenting features of visual voice mail |
US8687556B2 (en) * | 2011-11-18 | 2014-04-01 | Cisco Technology, Inc. | Method for correlating connection information with mobile device identity |
US8472983B1 (en) * | 2011-12-07 | 2013-06-25 | Cisco Technology, Inc. | Selective location-aware paging |
US8526932B2 (en) * | 2011-12-08 | 2013-09-03 | At&T Intellectual Property I, L.P. | Performance zones |
EP2792169A1 (en) * | 2011-12-14 | 2014-10-22 | Interdigital Patent Holdings, Inc. | Method and apparatus for triggering machine type communications applications |
US8744419B2 (en) * | 2011-12-15 | 2014-06-03 | At&T Intellectual Property, I, L.P. | Media distribution via a scalable ad hoc geographic protocol |
US10433161B2 (en) * | 2012-01-30 | 2019-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Call handover between cellular communication system nodes that support different security contexts |
US9032496B2 (en) * | 2012-02-28 | 2015-05-12 | Citrix Systems, Inc. | Secure single sign-on |
WO2013165605A1 (en) * | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using single sign-on systems |
US20150244685A1 (en) * | 2012-09-18 | 2015-08-27 | Interdigital Patent Holdings | Generalized cryptographic framework |
US9693366B2 (en) * | 2012-09-27 | 2017-06-27 | Interdigital Patent Holdings, Inc. | End-to-end architecture, API framework, discovery, and access in a virtualized network |
DK3490218T3 (da) * | 2013-01-30 | 2020-08-24 | Ericsson Telefon Ab L M | Generering af sikkerhedsnøgle til dobbeltkonnektivitet |
JP2016518075A (ja) * | 2013-04-05 | 2016-06-20 | インターデイジタル パテント ホールディングス インコーポレイテッド | ピアツーピア通信およびグループ通信のセキュリティ保護 |
US10219305B2 (en) * | 2013-11-21 | 2019-02-26 | Bao Tran | Communication apparatus |
KR101833654B1 (ko) * | 2013-12-23 | 2018-02-28 | 코닌클리즈케 케이피엔 엔.브이. | 무선 억세스 네트워크로부터 보안을 제공하기 위한 방법 및 시스템 |
US10659960B2 (en) * | 2013-12-23 | 2020-05-19 | Koninklijke Kpn N.V. | Method and system for providing security from a radio access network |
JP6441951B2 (ja) * | 2014-02-19 | 2018-12-19 | コンヴィーダ ワイヤレス, エルエルシー | システム間モビリティのためのサービングゲートウェイ拡張 |
CN116980998A (zh) * | 2014-06-23 | 2023-10-31 | 交互数字专利控股公司 | 在集成无线网络中的系统间移动性 |
US9258117B1 (en) * | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
JP6393398B2 (ja) * | 2014-07-07 | 2018-09-19 | コンヴィーダ ワイヤレス, エルエルシー | マシンタイプ通信グループベースサービスのための調整されたグループ化 |
WO2016011011A1 (en) * | 2014-07-14 | 2016-01-21 | Convida Wireless, Llc | Network-initiated handover in integrated small cell and wifi networks |
EP3657866A1 (en) * | 2014-09-29 | 2020-05-27 | Convida Wireless, LLC | Service capability server / epc coordination for power savings mode and paging |
KR20200009129A (ko) * | 2015-06-29 | 2020-01-29 | 콘비다 와이어리스, 엘엘씨 | 위치 기반 컨텍스트 전달을 위한 장치들 및 방법들 |
US10270595B2 (en) * | 2016-01-14 | 2019-04-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, nodes and communication device for establishing a key related to at least two network instances |
JP2019515581A (ja) * | 2016-05-12 | 2019-06-06 | コンヴィーダ ワイヤレス, エルエルシー | 仮想化されたモバイルコアネットワークへの接続 |
CN109315003A (zh) * | 2016-05-17 | 2019-02-05 | 康维达无线有限责任公司 | 用于指示连接使能够在pdn网关和本地网关之间路由数据的方法和装置 |
US10863494B2 (en) * | 2018-01-22 | 2020-12-08 | Apple Inc. | Control signaling for uplink multiple input multiple output, channel state information reference signal configuration and sounding reference signal configuration |
US10986602B2 (en) * | 2018-02-09 | 2021-04-20 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
US10848974B2 (en) * | 2018-12-28 | 2020-11-24 | Intel Corporation | Multi-domain trust establishment in edge cloud architectures |
-
2012
- 2012-11-15 US US13/677,451 patent/US10433161B2/en active Active
-
2013
- 2013-01-28 WO PCT/EP2013/051550 patent/WO2013113647A1/en active Application Filing
- 2013-01-28 RU RU2014135463A patent/RU2630175C2/ru not_active IP Right Cessation
- 2013-01-28 EP EP13702958.3A patent/EP2810463B1/en active Active
- 2013-01-28 CA CA2861941A patent/CA2861941A1/en not_active Abandoned
- 2013-01-28 CN CN201380007316.7A patent/CN104067648B/zh active Active
- 2013-01-28 IN IN6111DEN2014 patent/IN2014DN06111A/en unknown
- 2013-01-28 JP JP2014553747A patent/JP6085615B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080095362A1 (en) * | 2006-10-18 | 2008-04-24 | Rolf Blom | Cryptographic key management in communication networks |
EP1926281A2 (en) * | 2006-11-21 | 2008-05-28 | Innovative Sonic Limited | Method and related apparatus for ciphering algorithm change in a wireless communications system |
US20110098075A1 (en) * | 2008-07-11 | 2011-04-28 | Infineon Technologies Ag | Mobile radio communication devices having a trusted processing environment and method for processing a computer program therein |
US20110041003A1 (en) * | 2009-03-05 | 2011-02-17 | Interdigital Patent Holdings, Inc. | METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION |
WO2011092138A1 (en) * | 2010-01-28 | 2011-08-04 | Koninklijke Kpn N.V. | Efficient terminal authentication in telecommunication networks |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2771619C2 (ru) * | 2017-10-23 | 2022-05-11 | Хуавей Текнолоджиз Ко., Лтд. | Система, устройство и способ генерирования ключа |
US11576038B2 (en) | 2017-10-23 | 2023-02-07 | Huawei Technologies Co., Ltd. | Key generation method, apparatus, and system |
US11882436B2 (en) | 2017-10-23 | 2024-01-23 | Huawei Technologies Co., Ltd. | Key generation method, apparatus, and system |
RU2774435C2 (ru) * | 2017-11-17 | 2022-06-22 | Хуавей Текнолоджиз Ко., Лтд. | Способ и устройство обеспечения безопасности |
US11564100B2 (en) | 2017-11-17 | 2023-01-24 | Huawei Technologies Co., Ltd. | Security protection method and apparatus |
RU2772780C2 (ru) * | 2018-04-09 | 2022-05-25 | Хуавэй Текнолоджиз Ко., Лтд. | Способ связи, устройство и система |
US11516677B2 (en) | 2018-04-09 | 2022-11-29 | Huawei Technologies Co., Ltd. | Communication method, apparatus, and system |
RU2793801C1 (ru) * | 2019-05-31 | 2023-04-06 | Хонор Девайс Ко., Лтд. | Способ и устройство получения контекста безопасности и система связи |
US11818578B2 (en) | 2019-05-31 | 2023-11-14 | Honor Device Co., Ltd. | Security context obtaining method and apparatus, and communications system |
RU2804739C2 (ru) * | 2022-03-21 | 2023-10-04 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Военный учебно-научный центр Военно-воздушных сил "Военно-воздушная академия имени профессора Н.Е. Жуковского и Ю.А. Гагарина" (г. Воронеж) | Способ обнаружения ложного средства коммутации и управления |
Also Published As
Publication number | Publication date |
---|---|
CA2861941A1 (en) | 2013-08-08 |
CN104067648B (zh) | 2018-12-11 |
JP6085615B2 (ja) | 2017-02-22 |
RU2014135463A (ru) | 2016-03-20 |
CN104067648A (zh) | 2014-09-24 |
EP2810463B1 (en) | 2019-01-16 |
EP2810463A1 (en) | 2014-12-10 |
WO2013113647A1 (en) | 2013-08-08 |
US10433161B2 (en) | 2019-10-01 |
JP2015512181A (ja) | 2015-04-23 |
IN2014DN06111A (ru) | 2015-08-14 |
US20130195268A1 (en) | 2013-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2630175C2 (ru) | Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности | |
US11963000B2 (en) | Methods, apparatuses, computer programs and carriers for security management before handover from 5G to 4G system | |
EP3952375B1 (en) | Security context handling in 5g during connected mode | |
US10848967B2 (en) | Security anchor function in 5G systems | |
US11849389B2 (en) | Management of security contexts at idle mode mobility between different wireless communication systems | |
EP2266334B1 (en) | Methods, apparatuses, and computer program products for providing multi-hop cryptographic separation for handovers | |
JP6791353B2 (ja) | 端末、第1のネットワーク装置、及び第2のネットワーク装置 | |
US8995959B2 (en) | Prevention of mismatch of authentication parameter in hybrid communication system | |
JP6473171B2 (ja) | Msc間ハンドオーバのためのmapを介したimeisvの指示 | |
EP2396990B1 (en) | Method, apparatus and computer program product for source identification for single radio voice call continuity | |
RU2736420C1 (ru) | Способ передачи обслуживания, устройство опорной сети, устройство сети доступа и устройство терминала | |
WO2021201729A1 (en) | Faster release or resume for ue in inactive state |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20200129 |