TW200841679A - Security key generation for wireless communications - Google Patents
Security key generation for wireless communications Download PDFInfo
- Publication number
- TW200841679A TW200841679A TW097104054A TW97104054A TW200841679A TW 200841679 A TW200841679 A TW 200841679A TW 097104054 A TW097104054 A TW 097104054A TW 97104054 A TW97104054 A TW 97104054A TW 200841679 A TW200841679 A TW 200841679A
- Authority
- TW
- Taiwan
- Prior art keywords
- mobile station
- identification code
- security key
- key
- security
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Description
200841679 九、發明說明: 【發明所屬之技術領域】 本發明是概有關於電信產業。本發明 於無線通訊的安全金鑰產生作業。 【先前技術】 今日可利用一對安全金输-即如一 體性保護金输-以保護在一「無線電存取 線電信訊務。例如,目前的「第三代合作等 行動電信網路之實作通常會為此一目的而 組對。 一般說來,在這些實作中所使用的加 密類型者(相對於區塊加密處理)。即如業 加密器可按一次一個的方式對普通文字塞 位元或位元組)進行加密。因此,連續數位 密過程中會有所變化。 一串流加密器可根據一加密金鑰以產 而此者可合併於該等普通文字數位。串流 於其中出現有大量而具未知長度之普通文 即如像是無線通訊。 然而,有必要維護一連續金鑰串流, 狀態移轉的過程中亦然(例如當一行動台 式進入到作用中狀態或模式時)。為達此目 線電資源控制」協定(運用在即如3GPP行i 特別地是有關用
(J 加密金錄及一整 .網路」之上的無 多伴計晝(3GPP) _ 實作一安全金鑰 密處理為串流加 界已知’ 一串流 5:位(經常是單一 的轉換作業在加 生一金鑰串流, 加密器經常是用 字的應用項目, 即使是在交遞與 自閒置狀態或模 的,一種與「無 封電信方面)相關 5 200841679 聯之先前技藝所教示的方式為包含在交遞過程中對封包 號進行同步化,藉此維護連續金鑰串流。然而,此一同 化作業會引入與資料安全相關聯的重大缺點。例如,該 步化作業或將導致該等序號按一可預期方式而變化,因 提供一種潛在的濫用機會。 另一種先前技藝所敎示之方式為,利用一稱為「臨 值(Nonce)」的隨機產生參數,而當送返至一先前基地台 利用另為相同的鑰設基料時,作為導出該安全金鑰的 入,如此供以刷新安全金鑰。這種方式是運用在即如「 線區域存取網路」或WLAN。然而,此一方式具有顯著 缺點,原因在於傳訊該等臨生值會引入大量的額外開支 複雜度。 【發明内容】 本發明之一第一態樣為一種方法,其中,回應於一 定事件,藉由運用一隨機配置而與一行動台相關聯之臨 識別碼以產生至少一用於該行動台與一存取網路構件間 無線通訊的安全金鑰。 本發明之一第二態樣為一種設備,其中含有一安全 鑰產生器,此者係經組態設定為回應於一預定事件,以 由運用一隨機配置而與一行動台相關聯之臨時識別碼, 生至少一用於一行動台與一存取網路構件間之無線通訊 安全金输。 本發明之一第三態樣為一種設備,其中含有一安全 序 步 同 此 生 並 輸 無 的 及 預 時 之 金 藉 產 的 金 6 200841679 鑰產生裝置,此者係為,回應於一預定事件,以藉 一隨機配置而與一行動台相關聯之臨時識別碼,產 一用於一行動台與一存取網路構件間之無線通訊的 输。 本發明之第四態樣係一電腦程式,此者係經具 於一電腦可讀取媒體上,該電腦可讀取媒體控制一 理裝置以執行: 回應於一預定事件,以藉由運用一隨機配置 行動台相關聯的臨時識別碼,產生至少一用於一行 一存取網路構件間之無線通訊的安全金鑰。 在本發明之一具體實施例裡,於產生該至少一 鑰中運用該經隨機配置之臨時識別碼包含將該經隨 的臨時識別碼接合於預定安全上下文資料。 在本發明之一具體實施例裡,該待予產生之至 全金鑰包含一加密金鑰及一整體性保護金鑰的至少 在本發明之一具體實施例裡,該存取網路構件 目前存取點。 在本發明之一具體實施例裡,該預定事件包含 動台自一先前存取點交遞至該目前存取點。 在本發明之一具體實施例裡,該與該行動台相 隨機配置臨時識別碼包含一無線電鏈結識別碼,此 隨機配置予一在該行動台與該目前存取點之間的無 結。 在本發明之一具體實施例裡,在產生該至少一 由運用 生至少 安全金 體實作 資料處 而與一 動台與 安全金 機配置 少一安 一者。 包含一 將該行 關聯的 者係經 線電鏈 安全金 7 200841679 鑰中,運用一經配置予該目前存取點的存取點識別碼 在本發明之一具體實施例裡,該與該行動台相關 經隨機配置臨時識別碼包含一經隨機配置予該行動台 時識別碼。 在本發明之一具體實施例裡,該待予產生之至少 全金鑰包含一由無線電資源控制訊令加以運用的安 鑰。 在本發明之一具體實施例裡,該存取網路構件包 行動管理構件及一使用者資料閘道器的至少一者。 在本發明之一具體實施例裡,該預定事件包含一 行動台處自一第一狀態至一第二狀態的狀態變化。 在本發明之一具體實施例裡,該與該行動台相關 經隨機配置臨時識別碼包含一經隨機配置予該行動台 時識別碼。 在本發明之一具體實施例裡,在產生該至少一安 鑰中,運用一經配置予一目前路由區域的路由區域識ί 在本發明之一具體實施例裡,該待予產生的至少 全金鑰包含一由非存取層訊令及使用者資料保護之一 以運用的安全金鑰。 在本發明之一具體實施例裡,該第二或第三態樣 備係經排置於該行動台處。 在本發明之一具體實施例裡,該第二或第三態樣 備係經排置於該存取網路構件處。 前述之本發明具體實施例可彼此按任何組合而運 聯之 的臨 一安 全金 含一 在該 聯之 的臨 全金 丨J碼。 一安 者加 的設 的設 用0 8 200841679 可將許多具體實施例合併為一,藉以構成本發明之一進一 步具體實施例。屬本發明之一態樣的一方法、一設備或一 電腦程式可包含前述多項本發明具體實施例的至少一者。 本發明可供產生及重新產生用於一「無線電存取網路」 上之無線通訊的安全金鑰,而無須將序號同步化。此外, 本發明可供按一有效率方式產生及重新產生該等安全金 錄。 【實施方式】 現將詳細參照於各項本發明具體實施例,其範例可如 各隨附圖式中所示。 第1圖係一訊令圖,其中說明一根據本發明之一具體 實施例的方法。 在步驟1 0 0處,一第一存取點3 1 0將一交遞表示訊息 發送至一第二存取點330。該第一存取點310在與一行動 台320的通訊中既已利用一先前安全金鑰組對。該交遞表 示訊息表示該行動台 3 20將要被從該第一或先前存取點 3 1 0交遞至該第二或目前存取點3 3 0。在一具體實施例裡, 該交遞表示訊息含有表示該先前安全金鑰組對的資訊。此 外,在一具體實施例裡,步驟1 〇〇的交遞表示訊息可含有 表示該行動台3 20之安全功能性的行動台安全功能性資 訊。此外,在一具體實施例裡,該步驟1 0 0的交遞表示訊 息可含有表示該行動台3 2 0所支援者為何安全演算法的資 訊。 9
Ο 200841679 在一具體實施例裡,該等安全金鑰是用於保護 電存取網路」訊務,即如藉由對該「無線電存取網 務加密及保護該「無線電存取網路」訊務之整體性 一者。尤其,在第1圖的範例裡,該待予產生之安 可為即如RRC金鑰,而用以保護在該行動台3 20與 存取點3 30之間的「無線電資源控制(RRC)」訊令。 回應於此,於步驟101處,該第二存取點330 線電鏈結識別碼(RLID)隨機地配置予一在該行動台 該目前或第二存取點3 3 0之間的無線電鏈結。在步 處,該第二存取點3 3 0將一安全要求訊息發送至該 取點 3 1 0,而此安全要求訊息含有所配置的無線電 別碼。 回應於此,在步驟1 0 3處,將一交遞訊息自該 取點3 1 0發送至該行動台3 2 0,此訊息指示將該行動 交遞至該第二存取點 330,並且含有該經配置的無 結識別碼。 在步驟1 04處,該行動台320藉由運用經配置 電鏈結識別碼,產生至少一用於該行動台3 2 0與該 取點3 3 0間之無線通訊的安全金鑰(在第1圖所述之 為一含有一加密金鑰及一整體性保護金鑰的金鑰組 外,當產生該至少一安全金鑰時,除該經配置之無 結識別碼以外,亦可使用一經配置予該目前或第二 3 3 0的存取點識別碼。同樣地,當產生該至少一安 時,除該經配置之無線電鏈結識別碼以外,亦可使 「無線 路」訊 的至少 全金输 該第二 將一無 3 20與 驟102 第一存 鍵結識 第一存 台320 線電鏈 之無線 第二存 範例裡 對)。此 線電鏈 存取點 全金錄 用一隨 10 200841679 機地配置予該行動台3 2 〇的臨時性識別碼(即如像是一細 胞無線電網路臨時識別碼,或C-RNTI,等等)。 在本發明之一具體實施例裡’該第二存取點3 3 0可藉 由將該經配置之無線電鏈結識別碼接合於預定的安全上ητ 文資料以產生該至少一安全金鑰。例如,可利用一即如下 _ 式的金鑰導算函式:
security keys (CK’ || IK’)= KDF(CK 丨丨 ΐκ 丨丨 RLID |丨 CJ AP Identity 11 "constant string 丨’); 其中「II」表註接合,ck表註加密金餘,ικ表註整體 性保護金输,AP identity表註一經配置予該目前存取點 3 30的存取點識別碼,並且kdf表註金鑰導算函式。 在步驟105處,該第二存取點3 3 0開始利用其所產生 之安全金鑰組對以保護其「無線電存取網路」訊務,即如 藉由開始對該「無線電存取網路」訊務加密以及開始保護 〇 該「無線電存取網路」訊務之整體性的至少一者。 相應地,在步驟106處,該行動台320藉由運用該者 在/驟1 03處所收到之經配置無線電鍵結識別石馬,產生至 少::於該行動台32〇與該第二存取點33〇間之無線通訊 的文王金鑰(在第1圖所述之範例裡為一含有一加密金鑰 及一整體仅上盆 ’、遵金输的金鑰組對)。同時,在步驟1 〇 7處, 該行動ώ u 「 〇利用其所產生之安全金鑰組對而開始保護其 、、線電存取網路」m務,即如藉由開始冑「無線電存取 200841679 網路」訊務進行加密以及開始保護該「無線電存取網路」 訊務之整體性的至少一者。 在步驟108處,將一交遞回應訊息自該行動台320發 送至該第二存取點 330。該交遞回應訊息現受該新近產生 之安全金鑰所保護。在步驟109處,該第二存取點330將 該所收交遞回應訊息加以解密,並且在步驟1 1 0處藉由發 送一交遞確認訊息而回應。 在一具體實施例,步驟1 0 0的交遞表示訊息可為即如 一 3 G行動電信網路的「上下文傳送」訊息等等。此外, 步驟1 0 2的安全要求訊息可為即如一 3 G行動電信網路的 「上下文傳送」確認訊息等等。此外,步驟1 〇 3的交遞訊 息可為即如一 3 G行動電信網路的「交遞命令」訊息等等。 此外,步驟1 0 8的交遞回應訊息可為即如一 3 G行動電信 網路的「交遞命令回應」訊息等等。 第2圖係一訊令圖,其中說明一根據本發明之另一具 體實施例的方法。在步驟201處,該行動台3 20從閒置狀 態進入到作用中狀態。回應於此,在步驟 202,將一臨時 識別碼隨機地配置予該行動台3 2 0。在一具體實施例裡, 該臨時識別碼可為即如一臨時行動用戶識別碼(T M SI ),像 是用於即如LTE (「長期演進」)強化之3 GPP行動電信網 路技術的S-TMSI,藉以識別一在一路由區域内的行動台。 在又另一具體實施例裡,該臨時識別碼可為即如一與該行 動台320相關聯的「路由區域識別碼(RAI)」。 在一具體實施例裡,一給定S-TMSI並不以相同的鑰 12 200841679
設基料(keying material)而重用於一相同行動台。換言 之,該 S-TMSI係隨機地配置。一種達此目的之方式為每 次重新配置該S-TMSI時,令一給定S-TMSI的一些位元增 加,藉以令所獲S-TMSI不同於先前者。在耗用所有的位 元組合之後,需要刷新該鑰設基料(即如以AK A (「驗證及 金鑰協定」)重新驗證作業)。另一達此目的之方式為隨機 地選擇該S - TM SI,並且確保對於相同行動台按相同鑰設基 料而具有相同S-TMSI的機率極低。 在步驟2 0 3處,將該經配置臨時識別碼S · T M SI訊令 傳至一行動管理構件 3 4 0。在一具體實施例裡,該行動管 理構件340可為即如一 LTE強化之3GPP行動電信網路的 「行動管理個體(ΜΜΕ)」。在一選擇性步驟 204,將該 S-TMSI進一步訊令傳至一使用者資料閘道器3 50。在一具 體實施例裡,該使用者資料閘道器3 5 0可為即如一 LTE強 化之3GPP行動電信網路的「使用者面向個體(UPE)」。 在步驟205,該行動台320藉由運用經配置之臨時識 別碼S-TMSI,產生至少一用於該行動台3 20與該行動管理 構件3 4 0間之無線通訊的第一安全金鑰(在第2圖所述之範 例裡為一含有一第一加密金餘及一第一整體性保護金输的 金鑰組對)。在一具體實施例裡,該等待予產生之第一安全 金鑰可為即如「非存取層(NAS)」金鑰,此等可用於保護 在該行動台320與該行動管理構件340之間的NAS訊令。 再者,在一具體實施例裡,於步驟2 0 5處,該行動台 3 20藉由運用經配置之臨時識別碼S-TMSI,產生至少一用 13 200841679 於該行動台3 2 0與該使用者資料閘道器3 5 0間之無線通訊 的第二安全金鑰(在第 2圖所述之範例裡為一第二加密金 鑰)。在一具體實施例裡,該待予產生之第二安全金鑰可為 即如一 UP金鑰,此者係用以在該行動台320與該使用者 資料閘道器3 5 0之間保護該「使用者面向(UP)」資料。再 度地,可即如藉由將該經配置之臨時識別碼 S-TMSI接合 於預定的安全上下文資料,以產生該等第一及第二安全金 输。 在步驟2 0 6,該行動台3 2 0開始利用其所產生之安全 金鑰以保護該者與該行動管理構件3 40及該使用者資料閘 道器3 5 0的「無線電存取網路」訊務,即如藉由開始對該 「無線電存取網路」訊務加密以及開始保護該「無線電存 取網路」訊務之整體性的至少一者。 相應地,在步驟205處,該行動管理構件340藉由運 用該者在步驟 203 處所收到之經配置臨時識別碼 S-TMSI,產生至少一用於該行動台320與該行動管理構件 3 40間之無線通訊的第一安全金鑰(在第2圖所述之範例裡 為一含有一第一加密金餘及一第一整體性保護金錄的第一 金鑰組對)。在一具體實施例裡,該等待予產生之第一安全 金鑰可為即如「非存取層(NAS)」金鑰,此等係用以保護 該行動台320與該行動管理構件340之間的NAS訊令。再 度地,可即如藉由將該經配置之臨時識別碼S-TMSI接合 於預定的安全上下文資料,以產生該等NAS金鑰。 在步驟208處,該行動管理構件340開始利用其所產 14
Ο 200841679 生之安全金鑰以保護該者與該行動台320的「無 網路」訊務,即如藉由開始對該「無線電存取網 加密以及開始保護該「無線電存取網路」訊務之 至少一者。 相應地,於步驟2 0 9處,該使用者資料閘道 由運用在步驟205之經配置臨時識別碼S-TMSI, 一用於該行動台3 2 0與該使用者資料閘道器3 5 0 通訊的第二安全金鑰(在第 2圖所述之範例裡為 密金鑰)。在一具體實施例裡,該待予產生之第二 可為即如一 「使用者面向(UP)」金鑰,此者係用 動台3 2 0與該使用者資料閘道器3 5 0之間保護該 再度地,可即如藉由將該經配置之臨時識別碼S 合於預定的安全上下文資料,以產生該UP金鑰。 在步驟206處,該使用者資料閘道器3 5 0開 所產生之安全金鑰以保護該等與該行動台3 2 0的 存取網路」訊務,即如藉由開始對該「無線電存 訊務進行加密。步驟2 1 1 -2 1 2表示藉如前所產生 鑰所保護的通訊。 第3圖係一區塊圖,其中說明根據本發明之 施例的設備。第3圖包含該第一或先前存取點3 二或目前存取點3 3 0、該行動台3 2 0、該行動管理 以及該使用者資料閘道器3 5 0。 在第3圖所述之具體實施例裡,該第二或目 330 包含一設備 331,此者含有一第二安全金: 線電存取 路」訊務 整體性的 器3 50藉 產生至少 間之無線 一第二加 安全金鑰 以在該行 UP資料。 -TMSI 接 始利用其 「無線電 取網路」 之安全金 一具體實 1 0、該第 構件340 前存取點 緣產生器 15 200841679 3 3 2,該產生器係經組態設定以回應於一預定事件,藉由運 用一經隨機地配置而與該行動台 3 2 0相關聯的臨時識別 碼,產生至少一用於該行動台3 20與該第二存取點3 3 0間 之無線通訊的安全金鑰。 再者,在第3圖所述之具體實施例裡,該行動管理構 件3 40包含一設備341,此者含有一第三安全金鑰產生器 3 42,該產生器係經組態設定以回應於一預定事件,藉由運 用一經隨機地配置而與該行動台 3 2 0相關聯的臨時識別 碼,產生至少一用於該行動台3 20與該行動管理構件340 間之無線通訊的安全金鑰。 再者,在第3圖所述之具體實施例裡,該使用者資料 閘道器350包含一設備351,此者含有一第四安全金鑰產 生器 3 5 2,該產生器係經組態設定以回應於一預定事件, 藉由運用一經隨機地配置而與該行動台3 2 0相關聯的臨時 識別碼,產生至少一用於該行動台3 20與該使用者資料閘 道器3 5 0間之無線通訊的安全金鑰。 再者,在第3圖所述之具體實施例裡,該行動台320 包含一設備321,此者含有一第一安全金鑰產生器322,該 產生器係經組態設定以回應於一預定事件,藉由運用一經 隨機地配置而與該行動台3 2 0相關聯的臨時識別碼,產生 至少一用於該行動台3 20與該行動管理構件340間之無線 通訊的安全金鑰,及/或至少一用於該行動台320與該使用 者資料閘道器3 5 0間之無線通訊的安全金鑰。 在一具體實施例裡,該第一存取點3 1 0可含有一基地 16
Ο 200841679 台、一存取路由器、一 IP-sec閘道器(「IP-sec」是指 際網路協定安全性」,此為一用於保護「網際網路協定 訊的協定套裝)、一無線專設網路之中繼台,一 3 G行 信網路的Node-B網路構件等等。 在一具體實施例裡,該第二存取點3 3 0可含有一 台、一存取路由器、一 IP-sec閘道器(「IP-sec」是指 際網路協定安全性」,此為一用於保護「網際網路協定 訊的協定套裝)、一無線專設網路之中繼台,一 3G行 信網路的Node-B網路構件等等。 在一具體實施例裡,該行動台3 2 0可包含一 3 G 電信網路的「使用者設備」等等。在一具體實施例裡 行動管理構件340可包含一 LTE強化之3GPP行動電 路的「行動管理個體」。在一具體實施例裡,該使用者 閘道器3 50可包含一 LTE強化之3GPP行動電信網路έ 用者面向個體」。 該等示範性具體實施例可例如包含任何能夠執行 示範性具體實施例之處理程序的適當伺服器、工作 等。該等示範性具體實施例的裝置及子系統可利用任 當協定以彼此通訊,並且可為利用一或更多的經程式 電腦系統或裝置所實作。 可將一或更多的介面機制運用於該等示範性具體 例,例如包含網際網路存取、按任何適當形式之電信 (即如語音、數據機等等)、無線通訊媒體等等。例如 運用之通訊網路或鏈結可包含一或更多的無線通訊網 「網 」通 動電 基地 「網 」通 動電 行動 ,該 信網 資料 Γ使 該等 站等 何適 設計 實施 作業 ,所 路、 17 200841679 細胞式通訊網路、3 G通訊網路、藉LTE (「長期演進」 技術所強化之3G通訊網路、藉SAE (「系統架構演進」 技術所強化之3G通訊網路、「公共交換電話網路 「封包資料網路(Pdn)」、網際網路、企業内網路、一彼^ 之組合等等。 應瞭解該等示範性具體實施例係為示範之目的,因用 以實作該等示範性具體實施例之特定硬體的眾多變化項目 Ο 確為可能 能知曉者 即如熟諳該(等)硬體及/或軟體技藝之人士所將 例如,可經由一或更多的硬體及/或軟體裝置以 實作該等示範性具體實施例之一或更多元件的功能性。 該等示範性具體實施例可儲存關於本揭所述之各式處 理程序的資訊。可將該項資訊儲存在一或更多的記2 $ 内,像是一硬碟、光碟、磁性光碟、ram等等。 的資料庫可儲存用以實作本發明之示範性具體實 訊。可利用經存入在一或更多本揭所列之記憶體 一或更多 &例的資 或儲存裝 置内的資料結構(即如記錄、表單、陣列、欄位、圖形、樹 Ο 狀表、列表等等)以組織該等資料庫。對於該等示範性具體 實施例所敘述之處理程序可包含用以將由該等示範性具體 實施例之裝置及子系統的處理程序所收集及/或產生之資 料儲存在該等資料庫内的適當資料結構。 可利用一或更多一般目的處理器、微處理器、數位作 號處理器、微控制器等等,根據本發明之示範性具體實施 例敎示所程式設計以便利地實作所有或部分的示範性具體 實施例,即如熟諳該(等)硬體及/或軟體技藝之人士所將能 18 200841679 知曉者。可由程式設計人員根據示範性具體實施例敎示 隨即備製適當軟體,即如熟諳軟體技藝之人士所將能知 者。此外,可藉由備製應用特定積體電路,或是藉由互 適當的傳統元件電路網路,以實作該等示範性具體實 例,即如熟諳電子技藝之人士所將能知曉者。如此,該 示範性具體實施例並不受限於任何特定的硬體及/或軟 組合。 本發明之示範性具體實施例可包含用以控制該等示 性具體實施例之元件、用以驅動該等示範性具體實施例 元件、用以啟動該等示範性具體實施例之元件以與一人 使用者等等的軟體,而經儲存在任一電腦可讀取媒體或 其一組合上。該等軟體可包含裝置驅動程式、韌體、作 系統、開發工具、應用程式軟體等等,然不限於此。此 電腦可讀取媒體可進一步包含一本發明具體實施例的電 程式產品,以供執行在實作本發明中所執行之所有或部 (若為分散式處理)的處理。本發明示範性具體實施例的 腦程式碼裝置可包含任何適當的可解譯或可執行程式碼 制,包含文稿、可解譯程式、動態鏈結館(DLL)、Java 別及小程式、完整可執行程式、「通用物件請求仲介架 (CORB A)」物件等等,然不限於此。此外,可分散本發 示範性具體實施例的部分處理,藉以提供更佳的效能, 靠性、成本等等。 即如前述,該等示範性具體實施例的元件可包含根 本發明敎示所程式設計而用以握存指令,以及用以握存 而 曉 連 施 等 體 範 之 類 是 業 等 腦 分 電 機 類 構 明 可 據 資 19 200841679 料結構、表單、記錄及/或本揭所述之其他資料,
讀取媒體或記憶體。電腦可讀取媒體可包含任何參自 令提供至一處理器以供執行的適當媒體”匕一媒體可採: 種形式,這些包含,但不限於此,非揮發性媒體、揮發: 媒體、傳輸媒體等#。非揮發性媒體可例如包含光學或磁 性碟[磁性光碟等等。揮發性媒體可包含動態記憶體等 等。傳輸媒體可包含同軸電纜、鋼質接線、光纖等等。傳 輸媒體亦可採行音響、光學光學、電磁波等等的形式,像 是在射頻(RF)通訊、紅外線(IR)資料通訊等等之過程中所 產生者。常見的電腦可讀取媒體形式可包含例如軟碟片、 彈性碟片、硬碟片、磁帶、任何其他適當磁性媒體、 CD-ROM、CDR、CD-RW、DVD、DVD-ROM、DVD土RW、 DVD土R、任何其他適當光學媒體、打孔卡、紙帶、光學記 號紙、任何其他具有孔洞樣式或其他光學可辨識索引的適 當實體媒體、RAM、PR〇M、EPROM、FLASH-EPROM、任 何其他適當記憶體晶片,或者卡匣、載波或任何其他一電 腦可自此而讀取的適當媒體。 雖既已關聯於許多示範性具體實施例及實作以描述本 發明,然本發明並不受限於此’而是涵蓋各種歸屬後載申 請專利範圍之領域内的修改及等同排置。 【圖式簡單說明】 各隨附圖式係經納入以供進一步暸解本發明並組成本 申請案之一部分,該等圖式說明本發明之各項具體實施 20 200841679 例,且連同於該詳細說明以協助解釋本發明原理。在各圖 式中: 第1圖係一訊令圖,其中說明一根據本發明之一具體 實施例的方法; 第2圖係一訊令圖,其中說明一根據本發明之另一具 體實施例的方法;以及 第3圖係一區塊圖,其中說明根據本發明之一具體實 〇 施例的設備。 【主要元件符號說明】 3 10 第一存取點 320 行動台 321 設備 322 第一安全金鑰產生器 330 第二存取點 〇 331 設備 3 32 第二安全金鑰產生器 340 行動管理構件 • 341 設備 342 第三安全金鑰產生器 350 使用者資料閘道器 21 200841679 351 設備 3 52 第四安全金鑰產生器
〇 22
Claims (1)
- 200841679 十、申請專利範圍: 1. 一種方法,其中包含: 回應於一預定事件,以藉由運用一 動台相關聯的臨時識別碼,產生至少一 存取網路構件間之無線通訊的安全金鑰 2. 如申請專利範圍第1項所述之方法 少一安全金鑰中運用該經隨機配置之臨 含將該經隨機配置的臨時識別碼接合於 料。 3. 如申請專利範圍第1項所述之方法 一安全金输包含產生一加密金输及一整 少一者。 4. 如申請專利範圍第1項所述之方法 構件包含一目前存取點。 5. 如申請專利範圍第4項所述之方法 包含將該行動台自一先前存取點交遞( 前存取點。 6. 如申請專利範圍第4項所述之方法 隨機配置而與一行 用於該行動台與一 〇 ,其中在產生該至 時識別碼進一步包 預定安全上下文資 ,其中產生該至少 體性保護金鑰的至 ,其中該存取網路 ,其中該預定事件 handover)至該目 ,其中運用與該行 23 200841679 動台相關聯的隨機配置臨時識別碼包含配置一無線電鏈結 識別碼,此者係經隨機配置予一在該行動台與該目前存取 點之間的無線電鏈結。 7. 如申請專利範圍第6項所述之方法,進一步包含: 在產生該至少一安全金鑰中,運用一經配置予該目前 存取點的存取點識別碼。 〇 8. 如申請專利範圍第4項所述之方法,其中運用與該行 動台相關聯的隨機配置臨時識別碼包含將一臨時識別碼隨 機地配置予該行動台。 9. 如申請專利範圍第4項所述之方法,其中產生該至少 一安全金鑰包含一藉由無線電資源控制訊令的安全金鑰。 1 0.如申請專利範圍第1項所述之方法,其中該存取網路 構件包含一行動管理構件及一使用者資料閘道器的至少一 者。 11.如申請專利範圍第1 0項所述之方法,其中該預定事件 包含一在該行動台處自一第一狀態至一第二狀態的狀態變 化0 24 200841679 12.如申請專利範圍第10項所述之方法,其中運用與該 動台相關聯的隨機配置臨時識別碼包含將一臨時識別碼 機地配置予該行動台。 13·如申請專利範圍第12項所述之方法,進一步包含: 在產生該至少一安全金鑰中,運用一經配置予一目 路由區域的路由區域識別碼。 〇 14. 如申請專利範圍第1 0項所述之方法,其中產生該至 一安全金鑰包含一藉由非存取層訊令及使用者資料保護 一者的安全金鑰。 15. —種設備,其中包含: 一安全金鑰產生器,此者係經組態設定以,回應於 預定事件,藉由運用一隨機配置而與一行動台相關聯的 q 時識別碼,產生至少一用於該行動台與一存取網路構件 之無線通訊的安全金錄。 1 6.如申請專利範圍第1 5項所述之設備,其中該安全金 產生器係經進一步組態設定以藉由將該經隨機配置的臨 識別碼接合於預定安全上下文資料,在產生該至少一安 金鑰中運用該經隨機配置之臨時識別碼。 行 隨 前 少 之 臨 間 餘 時 全 25 200841679 1 7 ·如申請專利範圍第1 5項所述之設備,其中該待予產生 之至少一安全金鑰包含一加密金鑰及一整體性保護金鑰的 至少一者。 1 8.如申請專利範圍第1 5項所述之設備,其中該設備係經 排置於該行動台處。 ζ) 1 9.如申請專利範圍第1 5項所述之設備,其中該設備係經 排置於該存取網路構件處。 2 〇.如申請專利範圍第1 5項所述之設備,其中該存取網路 構件包含一目前存取點。 2 1.如申請專利範圍第20項所述之設備,其中該預定事件 包含將該行動台自一先前存取點交遞至該目前存取點。 〇 22.如申請專利範圍第20項所述之設備,其中該與該行動 台相關聯的隨機配置臨時識別碼包含一無線電鏈結識別 '碼,此者係經隨機配置予一在該行動台與該目前存取點之 '間的無線電鏈結。 2 3.如申請專利範圍第22項所述之設備,其中該安全金鑰 產生器係經進一步組態設定以運用一經配置予該目前存取 26 200841679 點之存取點識別碼來產生該至少一安全金鑰。 24. 如申請專利範圍第20項所述之設備,其中該與該行動 台相關聯之經隨機配置臨時識別碼包含一經隨機配置予該 行動台的臨時識別碼。 25. 如申請專利範圍第20項所述之設備,其中該待予產生 之至少一安全金鑰包含一由無線電資源控制訊令所運用的 安全金鑰。 2 6.如申請專利範圍第1 5項所述之設備,其中該存取網路 構件包含一行動管理構件及一使用者資料閘道器的至少一 者。 2 7.如申請專利範圍第26項所述之設備,其中該預定事件 包含一在該行動台處自一第一狀態至一第二狀態的狀態變 化。 2 8.如申請專利範圍第2 6項所述之設備,其中該與該行動 台相關聯之經隨機配置臨時識別碼包含一經隨機配置予該 行動台的臨時識別碼。 29 ·如申請專利範圍第2 8項所述之設備,其中該安全金鑰 27 200841679 產生器係經進一步組態設定以運用一經配置予一目前路由 區域之路由區域識別碼來產生該至少一安全金鑰。 3 0.如申請專利範圍第26項所述之設備,其中該待予產生 的至少一安全金錄包含一由非存取層訊令及使用者資料保 護之一者加以運用的安全金鑰。 31. —種設備,其中包含: 一接收構件,此者係用以接收一預定事件;以及 一安全金鑰產生構件,此者係用以,回應於該所收預 定事件,產生至少一用於一行動台與一存取網路構件間之 無線通訊的安全金鑰。 其中該安全金鑰產生構件包含運用構件,此者係用以 運用一隨機配置而與一行動台相關聯之臨時識別碼的裝 置。 〇 32. 一種經具體實作於一電腦可讀取媒體上之電腦程式, 該電腦程式控制一資料處理裝置以執行: •回應於一預定事件,以藉由運用一隨機配置而與一行 • 動台相關聯的臨時識別碼,產生至少一用於該行動台與一 存取網路構件間之無線通訊的安全金鑰。 28
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI20070095A FI20070095A0 (fi) | 2007-02-02 | 2007-02-02 | Turva-avainten luominen langatonta viestintää varten |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW200841679A true TW200841679A (en) | 2008-10-16 |
Family
ID=37832140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW097104054A TW200841679A (en) | 2007-02-02 | 2008-02-01 | Security key generation for wireless communications |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20080188200A1 (zh) |
| EP (1) | EP2127194A1 (zh) |
| CN (1) | CN101622896A (zh) |
| FI (1) | FI20070095A0 (zh) |
| TW (1) | TW200841679A (zh) |
| WO (1) | WO2008092998A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI489899B (zh) * | 2011-10-28 | 2015-06-21 | 智邦科技股份有限公司 | 應用於無線網路之連線方法以及應用其之無線網路裝置以及無線網路存取點 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| PT2087634T (pt) * | 2006-11-01 | 2016-10-26 | ERICSSON TELEFON AB L M (publ) | Sistemas de telecomunicações e cifragem de mensagens de controlo em sistemas deste tipo |
| US20080268842A1 (en) * | 2007-04-30 | 2008-10-30 | Christian Herrero-Veron | System and method for utilizing a temporary user identity in a telecommunications system |
| CN101304600B (zh) * | 2007-05-08 | 2011-12-07 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| CN101399767B (zh) | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| US8532614B2 (en) | 2007-10-25 | 2013-09-10 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
| CN102595399B (zh) * | 2008-06-23 | 2017-02-01 | 华为技术有限公司 | 密钥衍生方法、设备及系统 |
| WO2010040259A1 (zh) * | 2008-10-10 | 2010-04-15 | 上海贝尔阿尔卡特股份有限公司 | 一种为通信终端用户提供身份机密性保护的方法和装置 |
| US20100173610A1 (en) * | 2009-01-05 | 2010-07-08 | Qualcomm Incorporated | Access stratum security configuration for inter-cell handover |
| CN101521873B (zh) * | 2009-03-16 | 2014-12-10 | 中兴通讯股份有限公司 | 启用本地安全上下文的方法 |
| WO2010124474A1 (zh) * | 2009-04-30 | 2010-11-04 | 华为技术有限公司 | 空口链路安全机制建立的方法、设备 |
| EP2259545A1 (fr) * | 2009-06-05 | 2010-12-08 | Gemalto SA | Procédé de calcul d'un premier identifiant d'un élément sécurisé d'un terminal mobile à partir d'un second identifiant de cet élément sécurisé |
| US9002357B2 (en) * | 2009-06-26 | 2015-04-07 | Qualcomm Incorporated | Systems, apparatus and methods to facilitate handover security |
| US20120127951A1 (en) * | 2010-11-11 | 2012-05-24 | Qualcomm Incorporated | Method and apparatus for assigning wireless network packet resources to wireless terminals |
| CA2832067C (en) * | 2011-04-01 | 2019-10-01 | Interdigital Patent Holdings, Inc. | Method and apparatus for controlling connectivity to a network |
| KR102062688B1 (ko) * | 2012-06-13 | 2020-02-11 | 삼성전자주식회사 | 모바일 광대역 네트워크 환경에서 제어 패킷 및 데이터 패킷을 보호하기 위한 방법 및 시스템 |
| US9119062B2 (en) | 2012-10-19 | 2015-08-25 | Qualcomm Incorporated | Methods and apparatus for providing additional security for communication of sensitive information |
| US9386619B2 (en) | 2013-02-22 | 2016-07-05 | Htc Corporation | Method of handling a cell addition for dual connectivity and related communication device |
| EP2770796B1 (en) * | 2013-02-22 | 2016-04-27 | HTC Corporation | Method for simultaneous communications with multiple base stations and related communication device |
| EP2836050B1 (en) | 2013-08-09 | 2017-07-19 | HTC Corporation | Method, device and network for radio network temporary identifier allocation in dual connectivity |
| US9401874B2 (en) * | 2013-08-14 | 2016-07-26 | Qualcomm Incorporated | Minimizing coverage holes in a communication network |
| US9338136B2 (en) * | 2013-12-05 | 2016-05-10 | Alcatel Lucent | Security key generation for simultaneous multiple cell connections for mobile device |
| US10057218B2 (en) * | 2014-07-28 | 2018-08-21 | The Boeing Company | Network address-based encryption |
| US10271270B2 (en) | 2016-07-21 | 2019-04-23 | Global Business Software Development Technologies, Inc. | Reducing fraudulent activity associated with mobile networks |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI107367B (fi) * | 1996-12-10 | 2001-07-13 | Nokia Networks Oy | Tiedonsiirron osapuolien oikeellisuuden tarkistaminen tietoliikenneverkossa |
| GB2377589B (en) * | 2001-07-14 | 2005-06-01 | Motorola Inc | Ciphering keys for different cellular communication networks |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US20040228491A1 (en) * | 2003-05-13 | 2004-11-18 | Chih-Hsiang Wu | Ciphering activation during an inter-rat handover procedure |
| ATE552709T1 (de) * | 2003-09-26 | 2012-04-15 | Ericsson Telefon Ab L M | Verbesserter sicherheitsentwurf für die kryptographie in mobilkommunikationssystemen |
| WO2005125261A1 (en) * | 2004-06-17 | 2005-12-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Security in a mobile communications system |
| JP4543842B2 (ja) * | 2004-09-09 | 2010-09-15 | 日本電気株式会社 | 無線基地局装置およびリソース管理方法 |
| US7602918B2 (en) * | 2005-06-30 | 2009-10-13 | Alcatel-Lucent Usa Inc. | Method for distributing security keys during hand-off in a wireless communication system |
| KR101376700B1 (ko) * | 2006-06-19 | 2014-03-24 | 인터디지탈 테크날러지 코포레이션 | 초기 시그널링 메시지 내의 원 사용자 신원의 보안 보호를 위한 방법 및 장치 |
| US20080096530A1 (en) * | 2006-10-20 | 2008-04-24 | Innovative Sonic Limited | Method for calculating start value for security for user equipment in a wireless communications system and related apparatus |
-
2007
- 2007-02-02 FI FI20070095A patent/FI20070095A0/fi not_active Application Discontinuation
- 2007-04-02 US US11/730,536 patent/US20080188200A1/en not_active Abandoned
-
2008
- 2008-01-31 EP EP08709302A patent/EP2127194A1/en not_active Withdrawn
- 2008-01-31 WO PCT/FI2008/050034 patent/WO2008092998A1/en active Application Filing
- 2008-01-31 CN CN200880006899A patent/CN101622896A/zh active Pending
- 2008-02-01 TW TW097104054A patent/TW200841679A/zh unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI489899B (zh) * | 2011-10-28 | 2015-06-21 | 智邦科技股份有限公司 | 應用於無線網路之連線方法以及應用其之無線網路裝置以及無線網路存取點 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080188200A1 (en) | 2008-08-07 |
| EP2127194A1 (en) | 2009-12-02 |
| CN101622896A (zh) | 2010-01-06 |
| WO2008092998A1 (en) | 2008-08-07 |
| FI20070095A0 (fi) | 2007-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW200841679A (en) | Security key generation for wireless communications | |
| CN103781066B (zh) | 无线发射/接收单元以及由其实施的方法 | |
| US9485096B2 (en) | Encryption / decryption of data with non-persistent, non-shared passkey | |
| WO2019041802A1 (zh) | 基于服务化架构的发现方法及装置 | |
| DE60217962D1 (de) | Benutzerauthentisierung quer durch die Kommunikationssitzungen | |
| JP5276593B2 (ja) | ネットワーク信用証明書を獲得するためのシステムおよび方法 | |
| RU2005101217A (ru) | Генерирование ключей в системе связи | |
| JP2003005641A (ja) | 無線lanシステムにおける認証方法と認証装置 | |
| JP6404481B2 (ja) | クラウドコンピューティングにおける異種混合データ記憶管理方法および装置 | |
| JP2008042882A (ja) | Wpa−psk環境の無線ネットワークでステーションを管理する方法及びその装置 | |
| CN1906886A (zh) | 在计算机系统之间建立用于传递消息的安全上下文 | |
| WO2017181518A1 (zh) | 一种加密通讯的方法及装置、系统 | |
| TW200828944A (en) | Simplified management of authentication credientials for unattended applications | |
| CN106464496A (zh) | 用于创建对用户身份鉴权的证书的方法和系统 | |
| WO2019127265A1 (zh) | 基于区块链智能合约的数据写入方法、装置及存储介质 | |
| WO2018076564A1 (zh) | 车辆通信中的隐私保护方法及隐私保护装置 | |
| CN101296086A (zh) | 接入认证的方法、系统和设备 | |
| KR20200044117A (ko) | 디지털 인증서 관리 방법 및 장치 | |
| CN101895877A (zh) | 密钥协商方法、设备及系统 | |
| KR100668446B1 (ko) | 안전한 인증정보 이동방법 | |
| CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
| CN108881240B (zh) | 基于区块链的会员隐私数据保护方法 | |
| TW200949604A (en) | Method for securely storing a programmable identifier in a communication station | |
| JP2009515393A (ja) | デジタル・データの安全な寄託方法、関連するデジタル・データの復元方法、これらの方法を実施する関連装置、ならびに前記装置を備えるシステム | |
| JP2008124649A (ja) | 権利付きコンテンツの移動方法 |