TW200931916A - Integration of pre rel-8 home location registers in evolved packet system - Google Patents
Integration of pre rel-8 home location registers in evolved packet system Download PDFInfo
- Publication number
- TW200931916A TW200931916A TW097143859A TW97143859A TW200931916A TW 200931916 A TW200931916 A TW 200931916A TW 097143859 A TW097143859 A TW 097143859A TW 97143859 A TW97143859 A TW 97143859A TW 200931916 A TW200931916 A TW 200931916A
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- key
- user
- separation
- storage medium
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
200931916 九、發明說明: I:發明所屬·^技術領域1 發明之拮術領域 5 Ο 10 15 ❹ 20 本發明係有關 3GPP (Th丨「d Generation Partnership Project、第三代行動通訊夥伴合作計晝)EPS (Evolved Packet System、進化封包系統),亦稱為系統架構進化 (System Architecture Evolution、SAE)。更確切來說,本 發明係有關把第8版前期標準本籍位置登錄器整合於進化 封包系統内的技術,其中"第8版前期〃係表示在所謂的3GPP 第8版發表前於3GPP規格中界定的功能。可容易地從3GPP 規袼的特定版本看出所屬版本為何。已於於3G TS 23.401 vl.2_l中解說了 EPS架構。 I[先前 發明之拮術背景 EPS使用者配備有具有用於安全目的之(JSIM (使用者 服務身份模組)應用程式的UICC (UMTS (通用行動電信系 統)積體電路卡)。使用者記錄係保存在一本籍用戶系統 (Home Subscriber System (HSS))或一本籍位置登錄器 (Home Location Register (HLR))中。 為了達成EPS的完整安全優勢’需要針對eps目的升 級HSS與HLR (以下將把經升級的HSS或hLR稱為Eps_ 致能HSS)。假定針對EPS-致能HSS的HSS升級動作是直 接的’其對舊的"HLR並非如此。然而,因著儲存在現有 第8版前期HLR中的多數使用者,在EPS中繼續使用該等 5 200931916 ”舊的〃HLR是所欲的,至少在一初始階段中是如此,即便 在此初始EPS階段中並無法完整地實現常駐在該等舊HLR 上的使用者安全優勢,而同時允許平滑過渡到EPS-致能 HSS的動作。 5 以EPS安全規格來說,從舊HLR平滑過渡到EPS-致能 HSS的動作並不可能,因為它目前至少並無法針對一項重 要的安全特徵(即驗證向量的加密網路分隔)而存在。 加密網路分隔功能表示受該HSS分散的安全參數,例 如所謂的驗證向量(Authentication Vector、AV),僅能用於 10 經營者網路(PLMN (公共陸地行動網路))中且僅可結合其 所建立的網路技術(UMTS或EPS)使用。此面向的優點在於 一網路中的安全性侵害並不會擴散到整個系統,或甚至更 準確地來說,危及一網路中的使用者的安全資料(即AV), 例如一受訪網路,並不會在該使用者處於一不同網路時(例 15 如其本籍網路)影響該使用者。UMTS網路並不提供上述使 用者安全資料的加密網路分隔功能。 針對EPS所述之使用者安全資料的加密網路分隔功能 依靠該HSS以及一行動設備(ME)中之一驗證管理域 (AMF)(其為一 AV的部分)的特定掌管動作。該ME為沒有 2〇 UICC的一使用者設備(UE)。 如 3G TS 33.abc v0_2_0 (S3-070895)第 6 章所述,包含 ASME (存取安全管理實體、Access Security Management Ent丨ty)之 UE 與 EPC (進化封包核心、Evolved Packet Core) 網路元件以及包括驗證中心之HSS之間的安全程序包含一 200931916 驗證與金鑰協議程序(ΑΚΑ)。該Eps ΑΚΑ產生形成使用者 平面與控制平面保護(加密、完整)之一項基準的金鑰。Eps aka係根據在UE以及HSS之間共享的長期金鑰,如下所 述: 5 Ο 10 15 ❹ 20 _ K為儲存在USIM (使用者服務身份模組)上以及儲存 在驗證中心AuC中的永久金鑰; -CK與IK為在該AuC中衍生的一對金錄,且在_ aka 運轉中係位於該USIM上。 因著遠驗證與金錄協議程序,將產生在UE與ASM£之 間受到共享的一中間金鑰K_ASME。 此程序的目的在於提供一種具有一或多個MME安全權 限(security context)(例如 K一ASME)的 MME (行動管理實 體),包括來自該使用者之HSS而用以進行數個使用者驗證 的一新進驗證向量。 一 MME安全權限係取自於該驗證向量。為了在該Hss 中取得金鑰K一ASME ’將使用一金餘衍生函數,其含容輸 入參數CK、IK與SN (服務網路、serving network)身份。 將把一 AMF欄位中的一”分隔位元"設定為1,以對該 UE指出該驗證向量僅可在EPS權限中用於aka ;如果把該 ”分隔位元〃設定為〇,該向量僅可用於非EPS權限中(例如 GSM (全球行動通訊系統)、UMTS)。針對具有設定為1之、X分 隔位元〃的驗證向量’在AKA中產生的該等私密金鑰ck與 IK從未離開該HSS。在3G TR 33_82l (S3-070898)中可找 到更多的細節。 7 200931916 可藉著實現以下三個要件來達成加密網路分隔功能: 1.該HSS決不會對一非EPS網路實體發佈在該AMF中 具有設定為1之分隔位元的一 AV。 2_在對一 EPS-MME (行動管理實體)(或任何其他Eps 5實體)傳送具有設定為1之分隔位元的一 AV之前,該HSS 從會談金鑰CK(加密金鎗)與IK(完整金鑰)進行進一步的金 鑰衍生動作。如果把該分隔位元設定為i,那麼CK與IK 便不會離開該HSS。 3·附貼到一 EPS存取網路的一 ME在驗證過程中將檢 10查为隔位元是否被設定為1,且若否,便中止驗證。 _使用一舊HLR時,並無法滿足要件1與3。如果該使 用者現在常駐在一舊HLR上,且該ME根據要件3來運轉, 便會產生一項衝突,且如果該舊的HLR意外地把該分隔位 元設定為0,網路存取動作便會失敗。 15 另一方面,如果該ME並未根據要件3進行該檢查動 作,便無法達成加密網路分隔功能,即使該HSS為Eps_ 致月b且根據上面的要件i與要件2運轉。問題在於該ME 並未與一使用者結合,僅有一 UICC與使用者結合,且該 ME因此並不知曉該使用者是否常駐在-舊HLR上或-新 20 HSS上。可在任何時間從一 me移除一 UICC,且把該UICC 插到另一個Μ E中。 使採用加密網路分隔的動作延遲到EPS的較新3GPP版 本並無法解決此問題,因為來自Eps之第丄版(即來自3Gpp 第8版)的ME尚未支援此特徵且仍必須得到允許才能存取 200931916 EPS。該等”第1版’’ΜΕ將不施行加密網路分隔,因此網路 經營者無法確保此安全特徵是處於使用中狀況。再者,經 營者可繼續使用舊的HLR達一段長時間,因而導致上述的 衝突以及失敗的網路存取。 5 Ο 10 15 ❹ 20 還有另一個有關在EPS中使用舊HLR的問題。根據上述 的要件2 ’ EPS-致能HSS在把會談金錄CK以及會談金錄ικ傳 送到行動管理實體(MME)之前,先對它們進行進一步的金
鑰衍生動作,而一舊HLR並無法進行此動作且把CK以及IK 傳送到該MME。在後者的狀況中,該|^!^^需要進行該進一 步的金鑰何生動作。此進一步金鑰衍生動作的結果是金鑰 K_ASME (存取安全管理實體)。 【發明内容】 發明之概要說日q 本發明提供-種方法、一種使用者裝置、-種網路系 統、以及-種儲存媒體,其可致能使用者安全資料的加密 網路分隔功能以及—系統的平滑過渡動作,而不會產生上 述問題。 本發明亦可由-種電腦程式產品來實行。 根據本發明的_實_,揭露—種包含下列步驟的方 法· 一 者裝置上提供加密網路分隔功能; 資二^:的:示器中提供_存有關-種 用者. ⑽―選項’而在《料庫中常駐有-使 9 200931916 在該使用者裝置以及該儲存媒體之間提供一介面以供 存取該指示器;以及 如果無法從該儲存媒體取得有關該資料庫類型的該資 訊,便判定不要在該使用者裝置上施行該加密網路分隔功 5 能0 10 如果可取得該資| Λ且已3又疋了該指示器,便評估驗證資 訊,該驗«訊包括找額錢置Μ該祕之間的驗 證動作中從,路接收_—分隔指Μ,且如果已設定 了該分隔指示^ ’便_進行該驗證動作且如果尚未設 定該分隔指示器,便中止該驗證動作。 如果該使用者係常駐在支援一進化封包系統的一本籍 用戶系統中,便設定該儲存媒體上的該指示器。
置,其包含: 根據本發明的一實施例,揭露—種使用者裝 15 -界接單元’其條配成可藉由—儲存媒體與該使用者 裝置界接,
-處理單元,其伽配成可彻該界接單元檢查指出有 關當中常駐有一使用者之一種資料庫類型之資料的—指示 器是否出現在該健存媒體上,如果該指示器出現在該4存 媒體上,便檢查是否已設定了該指示器,且如果已設定了 20該指示器,便評估驗證資訊,該驗證資訊包括在該使用者 裝置以及該網路之間的驗證動作中從一網路接收到的—分 隔指示器。 如果已設定了該分隔指示器’該處理單元便可繼續對該 使用者裝置進行該驗證動作,且如果尚未設定該分隔指示 10 200931916 器,便中止該驗證動作。 如果已設定了該分隔指示器,該處理單元便可從一加密 金錄以及-①整金鑰進行金鑰射動作以取得一衍生金 錄0 5 ❹ 10 15 ❹ 20 該使用者裝置可包含—發送單元,其係組配成可在一初 始網路附件訊息巾_鱗發送分祕行資訊。 該使用者裝置可包含該儲存媒體。 根據本發Μ的—實施例揭露—種網路系統其包含: 網路褒置’其管理該網路系統之-使用者的移動性; 以及 次支援-加密網路分隔功能的—第—資料庫,其中該第一 貝料庫係組配成可從該網路裝置接收該使用者的 一身份, 、、根據該身伤從—加密金鍮以及一完整金瑜進行金錄衍 生動作,以取得一衍生金鑰, 有從一加密金鑰以及一完整金 —金鑰衍生動作是否係由該網 其中該網路裝置係備置 鑰進行以取得一衍生金鑰的 路裝置進行的資訊。 ㈣庫可儲存i存媒體上之-指示器有關當 駐有該使用者之_種資料庫類型的出現與狀狀況, 來自該網路裝置之該制者的-身份,且僅在該指 已又時’才根據該身份從該加密金瑜以及 ^ 錢進行該金軸生動作以取得該衍生金鑰。 者裝如晋果:網路裝置從具有—加密網路分隔功能的一使用 接收到指出並未進行分隔施行動作的分隔施行資 11 200931916 訊’該網路裝置便可從該加密金鑰以及該完整金鑰進行該 金餘衍生動作以取得該衍生金錄。 該網路系統可包含不支援該加密網路分隔功能的—第 二資料庫,其令係把該第二資料庫組配成可藉著分隔資訊 5 10 15 20 來指出此不支援狀況,且如果該網路裝置從該第二資料庫 接收到指出該加密網路分隔功能並未受到該第二資料庫支 援的該分隔資tfL,便把朗路裝置組喊可從該加密金餘 以及該完整金鑰進行騎絲作轉㈣射金錄。
該第-資料庫可對該網路裝置發送表示它支援該加密 網路分隔功能的-指示,且如果該網路裝置並未接收到該 指示,便把朗路裝置組配射從該加密金軌及該完整 金錄進行該金鑰衍生動作以取得贿生金鑰。 貝弛例,揭露一 φ ' -时裡电脳^賈儲存媒體 其儲存有使一電腦執行下列動作的一程式: 檢查指出有關當中常駐有—使用 之資料的一指示考县π , ΜΤ叶厚·類· ^否出現在-儲存媒體上;
如果“才曰益出現在該儲存媒體上,便檢杳 了該指示器;以及 一疋Φ匕6又> 如果已設疋了該指示器,便評估驗證… 包括在該使用錢置以及 -“㈣1 i从及該網路之間的驗證動 路接收到的一分隔指示器。 根據本發明的-實施例,揭露—種儲存有— 存媒體,該指示器指出有關當中常駐有—使 料庫類型的資料,㈣存媒體可由—使魏 12 200931916 根據本發明的一實施例, a) 所有用於加密網路分隔所需的功能都備置在邮上; b) 用以儲存有關··種HSS&HLR類型(其中常駐有一 使用者)之資訊的一選項係備置在一儲存媒體(例如一 UIcc 5或ME内部記憶體)上的一、、分隔施行位元〃中; 〇將指定一 ME-UICC介面的一延伸部分,因此該毗 可存取該UICC上的”分隔施行位元"; d)如果該ME無法從該儲存媒體(例如一 UICC或 内部記憶體)取得該資訊,該ME的預設行為是不對使用者 ίο 安全資料施行加密網路分隔功能。 根據本發明,可能可以利用下列方式漸漸地把較強的安 全性引入到該EPS中:一經營者可利用舊的HLR開啟Eps。 該經營者可發佈不支援該分隔施行位元的UICC,或支援該 刀隔施行位元而數值设定為〇的UIcc。在後續時點中,該 15經營者可遷移到EPS_致能HSS,並且移動其使用者中的某 些或全部。針對移動到一 EPS-致能HSS的使用者來說,該 經營者可同時間或稍後發佈支援該、、分隔施行位元〃而數值 设定為1的新UICC ;或者如果該、'分隔施行位元〃已經存在 的話,藉著空中下載(over-the-air)構件把該、、分隔施行位 20元改變為1 ;或者如果該”分隔施行位元〃無法在該UICC 上丈到組配的話,便把該、、分隔施行位元〃組配到該M E上的 儲存媒體中。於此,該經營者可確保能平滑過渡到一種當 中所有使用者漸漸地享受使用者安全資料之加密網路分隔 功能的附加安全優勢情況。 13 200931916
根據習知技藝,該MME並未先驗地(a prj〇ri)知曉它是 否向EPS-致能HSS或一舊HLR請求並且接收驗證資料。 然而,該MME需要知曉,因此它能決定是否要進行進一步 的金鑰衍生動作。因此,需要額外的預備動作以允許該MME 5能區分EPS•致能HSS以及舊HLR。該等預備動作亦為本發 明的部分。 根據本發明的一實施例,將令一 MME能知曉是否要向 一 EPS-致能HSS或一舊HLR請求且接收驗證資料。該ΜΜΕ 備置有表示它是否要向一 EPS-致能HSS或一舊HLR請求 10且接收驗證資訊的資訊,即AV。此項認知令該能決 定是否已經從該會談金鑰CK與化進行進一步金鑰衍生動 作,或者是否需要在該MME中進行該金鑰衍生動作。 Μ式的簡要說明 15 第1圖以流程圖展示出根據本發明的一實施例之一種 用以決定在一 ME中進行加密網路分隔的方法。 第2圖以信號傳達圖展示出根據本發明的實施例而在 ME 10、MME 20、HSS 30、以及HLR40之間進行信號傳 達的動作。 20 第3圖以概要方塊圖展示出根據本發明的一實施例之一 種使用者裝置310與儲存媒體32〇的配置方式。 【實施方式3 數佳實施例的說明 根據本發明的-實施例,將備置用以儲存有關__種資料 200931916 庫類型(例如HSS或HLR)之資訊的選項,其中一使用者係 常駐在一儲存媒體(例如一 UICC)上的一指示器中(例如— w分隔施行位元。 根據本發明,將假定可使用二種類型的UICC來存取 5 EPS ’即具有一分隔施行位元的UICC以及並未具有該分隔 施行位元的UICC。 根據本發明的一實施例,me能夠判定該分隔施行位元 是否存在,且若存在,便從該儲存媒體(例如UICC或me 内部記憶體)讀取其數值。 10 根據本發明,EPS-致能HSS以及舊HLR二者可出現在 EPS中。EPS-致能HSS並不對一個非EPS網路實體發佈在 AMF中具有設定為1之分隔位元的一 AV,且在對— EPS-MME(行動管理實體)(或任何其他Eps實體)傳送具有 設定為1之分隔位元的一 AV之前,從會談金鑰CK(加密金 15鑰)以及ικ(完整金鑰)進行進一步的金鑰衍生動作。如果把 該分隔位元設定為1,那麼CK以及IK便不會離開該HSS。 舊的HLR並不遵循該等要件。 根據本發明的一實施例,只有在該使用者常駐在一 E P S -致能HSS上時,才把該儲存媒體(例如該UICC或ME内部 2〇 記憶體)上的該w分隔施行位元"設定為1。 以下將參照第1圖說明本發明的一實施例。 如第1圖所示,附接到一 EPS存取網路的一 ME在驗證 過程中係如以下方式運轉(S100)。在步驟S101中,該ME 檢查SE(分隔施行)位元是否出現在一儲存媒體(例如該 15 200931916 UICC或ME内部記憶體)上。如果有數個該種儲存媒體,該 ME便開始從該UICC檢查它們。該UICCi的資訊可優先 於其它儲存媒體(例如ME内部記憶體)中的資訊。如果該儲 存媒體(例如該UICC或ME内部記憶體)上的該分隔施行位 5元並未出現(步驟S102的結果為否),便不評估在驗證過程 中從該網路接收到的-分隔指示器,例如驗證資訊之難 中的-分隔位元,且該ME繼續進行該驗證動作而不進行 加密網路分隔(步驟S1Q3)。如果該储存媒體(例如該Ulcc 或me内部記憶體)上的該分隔施行位元存在(步驟si〇2的 ❹ 10結果為是)’該ME便從該儲存媒體(例如該UICC或MEr 部記憶體)讀取此位元的數值(步驟S104);且如果該數值為 1(即,把該SE位元設定(為1))(步驟S105的結果為是), 該me便檢查是否從該網路接收到之該驗證資訊之AMF中 的該分隔位元已受設定,即設定為i(步驟S106)。如果並 15未設定該分隔位元,即其數值並不為1(步驟S107的結果 為否)’該ME便中止該驗證動作(步驟si〇8)。如果已把該 AMF中的分隔位元設定為ι(步驟si〇7的結果為是),該 © ME便繼續進行執行加密網路分隔的該驗證動作(步驟 S109)。 20 如果該SE位元的數值不為1,即未設定該SE位元(步 驟S105的結果為否)’便不評估該分隔指示器,且此程序 前進到步驟S103。 根據本發明的一實施例,因著該HSS在把具有設定為1 之分隔位元的該AV傳送到一 EPS實體之前先從該等會談 16 200931916 金鑰進行進一步金鑰衍生動作的要件,當附接至一 Eps網 路時’該ME將永遠從CK與IK進行進—步的金鍮衍生動 作,以取得K_ASME。 5 ❹ 10 15 20 以下將參照第2圖來說明本發明的其它實施例,其展示 出ME 10、MME 20、HSS 30以及HLR 4〇之間的信號傳達 狀況。該HSS 30為EPS-致能的,該HLR 40並不為EPS- 致能的。 根據一實施例,HSS 30在該UICC或ME内部記憶體中 記錄該分隔施行位元的出現與設定狀況(2〇1),並且僅在把 該分隔施行位元設定為!時,才從CK以及ικ進行進一步 金鑰衍生動作以取得K_ASME。 在把一初始網路附件訊息202傳送到該網路之前,ME 10檢查二UICC或ME内部記憶體上的該分隔施行位元, 且匕括匕是否將在傳送到該網路之初始網路附件訊息2〇2 中對其UE能力進行分隔施行動作的資訊。 根據此資訊,僅在該ME 10不進行分隔施行時,即僅 有在把該刀隔知行位元設定為〇的狀況下,MM 才從 ck以及ικ進行進—步金鑰射動作韓得〖—A斑。為了 致能從CK以及 κ對该HSS 30上的K_ASME進行進一步 金鑰衍生動作,Ηςς :>Λ & nbS 30需要接收來自MME 20的請求 PLMN-ID (203) 〇 A ^ 此參數已在先前3GPP第6版的MAP(行 動應用部分)協定中 τ界疋。為了使該請求PLMN-ID成為HSS 30可得的,HS$ m k /nA/cv ^ „ 如、MME 20以及所有相互影響功能 (IWF)(未展示)± 錢針對、、sendAuthenticationInfo"訊息的 17 200931916 先前娜第6 _ MAP蚊,或it援圓ETER協定的 相似功能。 根據此實施例,支援一項加密網路分隔功能的一第 料庫例如HSS 30 ’儲存位於一儲存媒體(例如該收 5 ME_記㈣U之—指示器的出現與妓狀況,例如該 SE位元’其有關當中該使用常駐的一種資料庫類型 (S201)。如果該指示11出現且被設定為1,該第-資料庫 從管理該制者之移動性的—網路裝置接收該使用者的一 身份,例如匿2〇(203),並且根據該身份從-加密金鑰 義 10 (CK)以及-完整金鑰⑽進行金錄衍生動作以取得—街生 金鑰(K一ASME)。 如果該網路裝置純來自具有__加密網路分隔倾《 - -使用者裝置的分隔施行資訊,例如ME 1(),該分隔施彳 資訊指出未進行分隔施行動作,即把SE位元設定為 !5 0(201),該網路裝置(例如_E 2〇)可從肺密金餘以及完 整金鑰進行金鑰衍生動作以取得該衍生金鑰。 根據一替代實施例,係由HLR 4〇針對該HLR產生的所 ❹ 有AV(獨立於請求網路實體)把該AMF中的分隔位元初始化 為0 (204)。可藉著重新組配HLR 4〇以供用於Eps,例如 20依據HLR的類型而藉著管理或藉著軟體嵌補來達成此動 作。隨後,該AMF中的分隔位元可由該MME用來區分所 接收到的該AV是由- HLR或是由- HSS產生,因為當該 等AV預定用於一 EPS中的一 MME時,一 HSS總是產生把 AMF之分隔位元設定為丄的AV。只有在把該AMF中的分 18 200931916 隔位元設定為0時,ΜΜΕ 20才決定要從CK以及IK對 K_ASME進行進一步金鑰衍生動作。如果該分隔位元被設 定為1,MME 20便假定它從HSS 3〇接收到AV,且已經在 HSS 30中完成該金鑰衍生動作。 5 Ο 10 15 _ 20 根據此實施例,不支援該加密網路分隔功能的一第二資 料庫(例如HLR 40)藉著分隔資訊來指出此種狀況(2〇4),且 如果該網路裝置接收來自該第二資料庫而表示該加密網路 分隔功能並未受到該第二資料庫支援的分隔資訊,該網路 裴置(例如MME 20)便從該加密金輪以及該完整金錄進行 該金鑰衍生動作以取得該衍生金鑰。 根據另一個替代實施例,EPS-致能HSS 30以信號對 MME 20傳達該特性為EPS-致能的訊息(2〇5)。在沒有該種 仏號傳達資訊的狀況下,MME 20便假定它接收來自HLR 40的AV,且從CK以及IK進行進一步金錄衍生動作。為 了致能此種對MME進行信號傳達的特性,將提升二種信號 傳達協定(即MAP以及DIAMETER),以包括此信號傳達資 訊,且所有的IWF(交互影響功能)均支援此修改方式。 根據此實施例,該第一資料庫(例如HSS 3〇)對該網路 裝置發送它支援該加密網路分隔功能的一項指示(2〇5)。隨 後,僅在該網路裝置並未接收到該指示的狀況下,該網路 裝置(例如MME 20)該加密金錄以及該完整金錄進行該金 鑰衍生動作以取得該衍生金錄。 展示於第2圖中的所有三個替代方案提供MME有關它 疋否向一 EPS-致能HSS或一舊HLR請求且接收驗證資訊 19 200931916 (即AV)的資訊。此認知令該MME能決定是否已經從該等 會談金鑰CK以及IK進行了進一步的金鑰衍生動作,或者 是否需要在該MME中進行。替代方案1 (201至203)優於 其他二個替代方案的優點在於它不對驗證中心或該HSS以 5 及MME之間的介面進行任何進一步的假定。 替代方案2 (204)以及替代方案3 (205)的優點在於一 EPS致肖b HSS可永遠從CK以及IK進行進一步的金錄衍生 動作,且因此不需要在該HSS外部傳送CK以及ΙΚ,即使 並未在該UICC中把該分隔施行位元設定為i。此為一項安 φ 10 全性優點。 第3圖以概要方塊圖展示出根據本發明一實施例之使 用者裝置310與儲存媒體320的一種配置。使用者裝置31〇 可包含一使用者設備,且儲存媒體32〇可包含—uICC。 使用者裝置310包含界接單元301以及處理單元302, 15且可另包含發送/接收單元303。 界接單元301以儲存媒體320界接使用者裝置31〇,而 可在該儲存媒體上儲存一指示器,例如一分隔施行位元, ^ 該指示器指出有關當中常駐有一使用者之一種資料庫類型 的資訊。 20 處理單元3〇2利用界接單元301檢查該指示器是否出 現在儲存媒體320上。如果該指示器出現在儲存媒體32〇 上,處理單元302便檢查是否已經設定了該指示器,即把 該指示器設定為1’且如果已把該指示器設定為i,便評估 在該使用者裝置以及該網路之間的驗證過程中從一網路接 20 200931916 收到的該分隔指示器(例如驗證向量中之AMF中的該分隔 位元)’如下一段落所述。 如果已設定了該AMF中的分隔位元,即把該分隔位元 設定為1,處理單元302便在使用者農置31〇上繼續進行 5該驗證動作’且如果尚未設定該AMF十的該分隔位元即 把該分隔位元設定為0 ’便中止該驗證動作。 如果係從一 EPS網路接收到該驗證向量,處理單元3〇2 便從一加密金鑰以及一完整金鑰進行金鑰衍生動作以取得 φ 一衍生金鑰。 1〇 發送單元303可在一初始網路附件訊息中對該網路發 送分隔施行資訊。 要注意的疋’展不於第3圖的使用者裝置可具有直它運 作的功能,例如如使用者設備般運作。在本文中,係利用 展示於第3圖的功能性方塊來說明相關的使用者裝置功能 15以供了解本發明的原則。該使用者裝置之功能性方塊的配 置並不意圖限制本發明,且該等功能可由一方塊進行或者 © 玎另把該等功能劃分為多個子方塊。 為了本發明的上述目的,應該要注意的是: 可能實行為軟體碼部分且利用一處理在該等行動/ 20網路實體中之一實體上運作的方法步驟為軟體碼獨立式 的’且可利用任何已知或未來發展的程式語言來指定; -可能在該等行動/網路實體中之一實體上實行為硬體 部件的方法步驟及/或裝置為硬體獨立式的,且可利用任何 已知或未來發展的硬體技術或該等的任何混合來實行,例 21 200931916 如 MOS、CMOS、BiCMOS、ECL、TTL 等,例如利用 ASl(: 部件或DSP部件,舉例來說; -大致上,在不改變本發明概念的狀況下,任何方法蚩 驟均適於實行為軟體或者適於受硬體實行; 5 -可把裝置實行為個別裝置,但此動作並不會排除它們 係以分散方式在該系統中實行的可能性,只要保留了該裴 置的功能即可。 要了解的是,上述說明係用以展示本發明,且不應被解 釋為限制本發明。對熟知技藝者來說,在不偏離由以下申 10請專利範圍所界定之本發明真實精神與範圍的條件下,可 ^ 進行多種不同的修改方案與應用方案。 【BQ式簡單规明】 第1圖以流程圖展示出根據本發明的一實施例之一種 - 用以決定在一 ME中進行加密網路分隔的方法。 15 第2圖以信號傳達圖展示出根據本發明的實施例而在 ME 10、MME 20、HSS 30、以及HLR 40之間進行信號傳 達的動作。 © 第3圖以概要方塊圖展示出根據本發明的一實施例之一 種使用者袈置310與儲存媒體32〇的配置方式。 20【主要元件符號說明】 S100〜S109步驟 40 本籍位置登錄器(HLR) 10 行動設備(ME) 201 記錄分隔施行位元的出 20 行動管理實體(MME) 現與設定狀況 30 本籍用戶系統(HSS) 202 具有分隔施行能力的初 22 200931916 始網路附件訊息 301 203 公共陸地行動網路識別 302 資料(PLMN-ID) 303 204 分隔位元=0 310 205 進化封包系統(EPS)-致 320 界接單元 處理單元 發送/接收單元 使用者裝置 儲存媒體 能
23
Claims (1)
- 200931916 十、申請專利範圍: 一種方法,其包含下列步驟: 在一使用者裝置上提供加密網路分隔功能; 在一儲存媒體上的-指示器中提供用以儲存有關一種 5 資料庫類型之f訊的—選項,而在該資料庫中常駐有一 使用者; 在該使用者裝置以及該儲存媒體之間提供一介面以供 存取該指示器;以及如果無法從該儲存媒體取得有關該資料庫類型的該資 1〇 訊’便狀不要在該使用者裝置上施行該加密網路分隔 功能。 申青專利範圍第1項之方法其中如果可取得該資訊 且已叹疋该指不器,便評估驗證資訊,該驗證資訊包括 在乂使用者裝置以及該網路之間的驗證動作中從一網 15路接收到的—分隔指示器,且如果㈣定了該分隔指示器,便繼續進行紐證動作,且如果尚未設定該分隔指 示器,便中止該驗證動作。 3.如申4專利範圍第!項之方法,其巾如果該使用者係常 駐在支援it化封包系統的—本籍用戶系統中便設定 20 該儲存媒體上的該指示器。 4_ 一種使用者裝置,其包含: 界接單7C ’其係組配成可藉由—儲存媒體與該使用者 裝置界接; 处理單元’其係組配成可利用該界接單元檢查指出有 24 200931916 L中*駐有使用者之—種資料庫類型之資料的一 器疋否出現在1¾儲存媒體上,如果該指示器出現在 媒體上’便檢查是否已設定了該指示器,且如果 疋了該扎示器,便評估驗證資訊,該驗證資訊包括 在°亥使用者裝置以及該網路之間的驗證動作中從-網 路接收到的一分隔指示器。 如申π專利fc圍第4項之使用者裝置,其中如果已設定10 了該刀隔彳a7F器,便把該處理單元組配成可繼續對該使 用者裝置進行該驗證動作,且如果尚未設定該分隔指示 器’便中止該驗證動作。 6.如申明專利範圍帛5項之使用者裝置其中如果已設定 了該分隔指示器,便把該處理單元組配成可從-加密金 錄乂及7〇整金鑰進行金錄衍生動作,以取得一衍生金 瑜0 15 ❹ 7·如申請專利範圍第4項之使用者裝置,其包含: 發送單元’其係組配成可在一初始網路附件訊息中對 該網路發送分隔施行資訊。 8·如申請專利範圍第4項之使用者t置,其包含該儲存媒 體。 ' 20 9_ 一種網路系統,其包含: ’周路裝置,其管理該網路系統之一使用者的移動性; 以及 支援一加密網路分隔功能的一第—資料庫,其中該第— 資料庫係、组配成可從該網路裝置接收該使用者的一身 25 200931916 伤並且根據3亥身份從一加密金輸以及一完整金输進行 金鍮衍生動作,以取得一衍生金鑰, ”中該網路裝置係備置有從—加密金输以及一完整金 鑰進仃以取传一何生金錄的一金输衍生動作是否係由 該網路裝置進行的資訊。 10.如申請專利範圍第9項之網路系統, 其中係把該第-資料庫組配成可儲存一儲存媒體上之 才曰不器有關备中常駐有該使用者之一種資料庫類型 的出現與設定狀況,並接收來自該網路裝置之該使用者 〇 的-身份,且僅在該指示器出現且已受設定時才根據 s身伤彳U加⑧金錄以及該完整金鑰進行該金鑰衍纟 動作以取得該衍生金鑰。 .如申睛專利範圍第9項之網路系統, 其中如果該網路裝置從具有—加密網路分隔功能的一 使用者裝置接收到指出並未進行分隔施行動作的分隔 施行資訊,便把該網路裝置組配成可從該加密金鑰以及 1該完整金鑰進行該金鑰衍生動作以取得該衍生金鑰。 〇 2_如申請專利範圍第9項之網路系統,其包含: 不支板該加雄、網路分隔功能的一第二資料庫,其中係把 該第二資料庫組配成可藉著分隔資訊來指出此不支援 肤況; 其中如果該網路裝置從該第二資料庫接收到指出該加 密網路分隔功能並未受到該第二資料庫支援的該分隔 資訊’便把該網路裝置組配成可從該加密金鑰以及該完 26 200931916 二:金鍮衍生動作以取得該衍生金鑰。 甲吻專利範圍第9項之網路系統, 5 Ο 10 15 Γ它支㈣加_路相魏的mi 果_路裝μ並未純_指 配成可作姑上〜 %口及,碑路裝置組 ^⑽加讀鑰以及該完整金鑰 動作以取得該衍生金鑰。 /金錄何生 14:種電膘可讀儲存媒體,其儲 作的一程式: 电恥執仃下列動 檢查指出有關當令常駐有 =:=r該儲存媒體上,便檢— 如果已设定了該指示器,便評估 包括在該使用者裝置以及⑽ 讯,該驗證資訊 -網路接收到的-分隔指示器。的驗也動作中從 砍—種儲存有一指示器的儲存媒體 中赍群古V* ffi 土 > ^ 丨裔^曰有關當 有 料庫類型的資料,該儲存媒 體可由一使用者裝置讀取。 伃炼 27
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US99640007P | 2007-11-15 | 2007-11-15 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW200931916A true TW200931916A (en) | 2009-07-16 |
Family
ID=40547326
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW097143859A TW200931916A (en) | 2007-11-15 | 2008-11-13 | Integration of pre rel-8 home location registers in evolved packet system |
Country Status (3)
Country | Link |
---|---|
US (1) | US20110191576A1 (zh) |
TW (1) | TW200931916A (zh) |
WO (1) | WO2009062779A2 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101552987B (zh) * | 2008-03-31 | 2011-11-16 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
US8897751B2 (en) | 2011-03-14 | 2014-11-25 | Alcatel Lucent | Prevention of eavesdropping type of attack in hybrid communication system |
US9060263B1 (en) * | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
CN103379490A (zh) * | 2012-04-12 | 2013-10-30 | 华为技术有限公司 | 用户设备的认证方法、装置及系统 |
US11792172B2 (en) | 2017-05-05 | 2023-10-17 | Nokia Technologies Oy | Privacy indicators for controlling authentication requests |
CN116684092B (zh) * | 2023-07-28 | 2023-10-13 | 新乡学院 | 一种基于网络的密码存储、找回方法及密码找回装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10019164A1 (de) * | 2000-04-12 | 2001-10-18 | Mannesmann Ag | SIM-Lock auf bestimmte IMSI-Bereiche einer SIM-Karte für Prepaid- und Postpaid-Karten |
-
2008
- 2008-09-24 WO PCT/EP2008/062730 patent/WO2009062779A2/en active Application Filing
- 2008-09-24 US US12/810,983 patent/US20110191576A1/en not_active Abandoned
- 2008-11-13 TW TW097143859A patent/TW200931916A/zh unknown
Also Published As
Publication number | Publication date |
---|---|
US20110191576A1 (en) | 2011-08-04 |
WO2009062779A3 (en) | 2009-07-09 |
WO2009062779A2 (en) | 2009-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021027916A1 (zh) | 访问闭合访问组的方法、装置和系统 | |
KR102284954B1 (ko) | 무선 통신 시스템에서 단말에 프로파일을 다운로드 하는 방법 및 장치 | |
CN109803251B (zh) | 用于通信系统中的隐私管理实体选择的方法和装置 | |
US9065641B2 (en) | Method and device for updating a key | |
CN110519753B (zh) | 访问方法、装置、终端和可读存储介质 | |
US9380038B2 (en) | Bootstrap authentication framework | |
TW200931916A (en) | Integration of pre rel-8 home location registers in evolved packet system | |
US9608966B2 (en) | Information handling device, information output device, and recording medium | |
JP7301852B2 (ja) | ユーザ装置とアプリケーションサーバとの間の通信を安全にするためのキーを判断する方法 | |
TW201004394A (en) | Method of authenticating home operator for over-the-air provisioning of a wireless device | |
GB2556906A (en) | Handset identifier verification | |
CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
US20200412539A1 (en) | Systems and methods for user-based authentication | |
TW201729562A (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
US10291613B1 (en) | Mobile device authentication | |
KR101937487B1 (ko) | 내장 uicc를 갖는 단말, 단말의 개통 방법, 단말의 해지 방법, 단말 관리 서버, 단말 관리 서버의 단말 발주 방법, 및 단말 관리 서버의 단말 개통 방법 | |
WO2020147854A1 (zh) | 认证方法、装置、系统以及存储介质 | |
KR20120102764A (ko) | 홈 가입자 서버에서의 스마트 카드 보안 피처 프로파일 | |
CN111770488B (zh) | Ehplmn更新方法、相关设备及存储介质 | |
JP2023509806A (ja) | モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器 | |
KR102287554B1 (ko) | Nssai 정보를 전송하는 통신 단말기 및 그 제어방법 | |
JP7218798B2 (ja) | 制御装置、無線通信システム、制御方法及びプログラム | |
WO2015149891A1 (en) | Mobile device authentication | |
CN117135625A (zh) | 数据传输方法和系统及信令安全管理网关 | |
CN117395654A (zh) | 电子卡片号码的获取方法、装置、电子设备及存储介质 |