TW202037217A - 用於涉及行動性管理實體重定位的行動性程序的裝置和方法 - Google Patents
用於涉及行動性管理實體重定位的行動性程序的裝置和方法 Download PDFInfo
- Publication number
- TW202037217A TW202037217A TW109115810A TW109115810A TW202037217A TW 202037217 A TW202037217 A TW 202037217A TW 109115810 A TW109115810 A TW 109115810A TW 109115810 A TW109115810 A TW 109115810A TW 202037217 A TW202037217 A TW 202037217A
- Authority
- TW
- Taiwan
- Prior art keywords
- key
- network
- network device
- request
- mme
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 88
- 230000004044 response Effects 0.000 claims abstract description 40
- 238000004891 communication Methods 0.000 claims description 130
- 238000012545 processing Methods 0.000 claims description 50
- 230000008859 change Effects 0.000 abstract description 14
- 238000012790 confirmation Methods 0.000 abstract description 14
- 238000007726 management method Methods 0.000 description 97
- 230000006870 function Effects 0.000 description 49
- 238000009795 derivation Methods 0.000 description 33
- 238000010586 diagram Methods 0.000 description 20
- 230000001413 cellular effect Effects 0.000 description 14
- 230000003287 optical effect Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 238000004846 x-ray emission Methods 0.000 description 3
- 241000699670 Mus sp. Species 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0064—Transmission or use of information for re-establishing the radio link of control information between different access points
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一種設備,其辨識進入新服務區域,向與網路相關聯的網路設備發送服務區域更新請求,從該網路接收控制平面訊息,該控制平面訊息指示由於回應於發送該服務區域更新請求的服務區域變化而引起的控制平面設備重定位或金鑰刷新,以及部分地基於在該控制平面訊息中包括的資料以及在該設備與金鑰管理設備之間共享的第二金鑰來推導第一金鑰。另一種設備,其從與網路相關聯的網路設備接收交遞命令,該交遞命令指示新服務區域,基於在該交遞命令中包括的資料以及在該設備與金鑰管理設備之間共享的第二金鑰來推導第一金鑰,以及發送基於該第一金鑰來保護的交遞確認訊息。
Description
本專利申請案主張於2015年9月15日在美國專利商標局提出申請的臨時申請案第62/218,863號以及於2016年4月1日在美國專利商標局提出申請的非臨時申請案第15/089,396號的優先權和權益。
本案內容大體而言係關於用於改良改良的涉及行動性管理實體(MME)重定位的行動性程序的裝置和方法。
圖1中圖示的當前的蜂巢網路架構使用行動性管理實體(MME)110來實現用於控制使用者設備(UE)120對蜂巢網路的存取的程序。通常,MME由網路服務提供商(系統操作者)所擁有並由網路服務提供商操作作為核心網路元素,並且位元於由網路服務提供商控制的安全位置。核心網路100具有控制平面和使用者平面,控制平面包括歸屬用戶伺服器(HSS)130和MME,使用者平面包括封包資料網路(PDN)閘道(PGW)140和服務閘道(SGW)150。MME連接到進化型節點B(eNodeB)160。eNodeB向UE提供無線電介面、RRC 180和PDCP/RLC 190。
在未來的蜂巢網路架構中,可以預見的是,MME 110或執行MME 110的功能中的許多功能的網路元件將被朝著網路邊緣推出,其中在網路邊緣,該等MME 110或網路元件不那麼安全,是因為該等MME 110或網路元件在實體上更可存取及/或沒有與其他網路操作者隔離。隨著將網路功能移動至例如雲端(例如,網際網路),可能不假定該等MME 110或網路元件是安全的,是因為該等MME 110或網路元件可以具有較低等級的實體隔離,或者沒有實體隔離。此外,網路設備可以不是由單個網路服務提供商所擁有。舉例而言,可以利用單個實體硬體設備來託管多個MME實例。結果,發送至MME的金鑰可能需要更頻繁地刷新,並且因此向MME轉發認證向量(AV)可能是不可取的。
存在針對改良的裝置和方法的需求,該等改良的裝置和方法為其中靠近網路邊緣來執行MME功能的未來的蜂巢網路架構提供額外的安全性。
一個特徵提供了一種設備(例如,使用者設備),該設備包括:無線通訊介面,其適於向網路無線地發送資料以及從網路無線地接收資料;及處理電路,其通訊地耦合到該無線通訊介面。該處理電路可以適於:辨識進入新服務區域;向與該網路相關聯的網路設備發送服務區域更新請求;從該網路接收控制平面訊息,該控制平面訊息指示由於回應於發送該服務區域更新請求的服務區域變化而引起的控制平面設備重定位或金鑰刷新;及部分地基於在接收到的該控制平面訊息中包括的資料以及在該設備與金鑰管理設備之間共享的第二金鑰來推導第一金鑰,該金鑰管理設備與該網路相關聯。根據一個態樣,該控制平面訊息是由於該服務區域變化而從目標控制平面設備接收的,該目標控制平面設備是與當前對該設備進行服務的控制平面設備不同的控制平面設備。根據另一個態樣,在該控制平面訊息中包括的該資料包括控制平面設備辨識符,該控制平面設備辨識符標識正在及/或將對該設備進行服務的控制平面設備。
根據一個態樣,推導該第一金鑰亦部分地基於被保持在該金鑰管理設備處並被包括在該控制平面訊息中的計數器值金鑰計數。根據另一個態樣,該處理電路亦適於:基於該第一金鑰來推導進化型節點B(eNB)金鑰KeNB
、非存取層金鑰KNAS
,及/或下一中繼段(NH)金鑰中的至少一者以保護該設備與該網路之間的通訊。根據另一個態樣,該新服務區域是新追蹤區域及/或新路由區域中的至少一者,並且該服務區域更新請求與追蹤區域更新及/或路由區域更新中的至少一者相關聯。
根據一個態樣,該控制平面訊息是安全模式命令,該目標控制平面設備是目標行動性管理實體(MME),該金鑰管理設備是通信期金鑰管理功能(SKMF)設備,並且該第二金鑰是用於認證通信期的通信期根金鑰。根據另一個態樣,控制平面設備保持針對該設備的行動性管理上下文和通信期管理上下文,並且該金鑰管理設備保持該第二金鑰。
另一個特徵提供了一種設備,該設備包括:無線通訊介面,其適於向網路無線地發送資料以及從網路無線地接收資料;及處理電路,其通訊地耦合到該無線通訊介面。該處理電路適於:從與該網路相關聯的網路設備接收交遞命令,該交遞命令指示新服務區域;基於在該交遞命令中包括的資料以及在該設備與金鑰管理設備之間共享的第二金鑰來推導第一金鑰,該金鑰管理設備與該網路相關聯;及發送基於該第一金鑰來保護的交遞確認訊息。根據一個態樣,該交遞命令包括與對目標無線電存取節點進行服務的目標控制平面設備相關聯的目標控制平面設備辨識符,該目標無線電存取節點正在及/或將對該設備進行服務。根據另一個態樣,推導該第一金鑰部分地基於該目標控制平面設備辨識符。
根據一個態樣,該目標控制平面設備是目標行動性管理實體(MME),該金鑰管理設備是通信期金鑰管理功能(SKMF)設備,並且該目標控制平面設備辨識符是與該目標MME相關聯的MME辨識符。根據另一個態樣,推導該第一金鑰亦部分地基於被保持在該金鑰管理設備處的計數器值金鑰計數。根據再一個態樣,該第二金鑰是用於認證通信期的通信期根金鑰。
另一個特徵提供了一種與網路相關聯的網路設備,該網路設備包括:通訊介面,其適於發送和接收資訊;及處理電路,其通訊地耦合到該通訊介面。該處理電路適於:從設備接收服務區域更新請求,其中針對該設備,該網路設備不具有設備上下文或者該設備已改變服務區域;向金鑰管理設備發送針對第一金鑰的請求;從該金鑰管理設備接收該第一金鑰,該第一金鑰部分地基於在該金鑰管理設備與該設備之間共享的第二金鑰;及向該設備發送控制平面訊息,該控制平面訊息包括允許該設備推導該第一金鑰的資料。根據一個態樣,該網路設備是行動性管理實體(MME),並且該第一金鑰亦基於標識該MME的MME辨識符。根據另一個態樣,該處理電路亦適於:若該網路設備不具有該設備上下文,則向先前對該設備進行服務的在先控制平面設備發送設備上下文請求;及回應於發送該設備上下文請求,從該在先控制平面設備接收該設備上下文。
根據一個態樣,該資料包括標識該網路設備的控制平面設備辨識符。根據另一個態樣,該處理電路亦適於:從該金鑰管理設備接收計數器值金鑰計數連同該第一金鑰;及將該計數器值金鑰計數包括在發送給該設備的該資料中。根據再一個態樣,該處理電路亦適於:在從該設備接收關於該控制平面訊息被成功地接收的通知之後,向該設備發送服務區域更新。
根據一個態樣,該服務區域更新請求與追蹤區域更新及/或路由區域更新中的至少一者相關聯,並且改變服務區域包括改變追蹤區域及/或改變路由區域中的至少一者。根據另一個態樣,該控制平面訊息是非存取層安全模式命令,該金鑰管理設備是通信期金鑰管理功能(SKMF)設備,該設備是使用者設備,該設備上下文是與該使用者設備相關聯的使用者設備上下文,並且該第二金鑰是用於認證通信期的通信期根金鑰。
另一個特徵提供了一種與網路相關聯的網路設備,該網路設備包括:通訊介面,其適於發送和接收資訊;及處理電路,其通訊地耦合到該通訊介面。該處理電路適於:在該網路設備處從源控制平面設備接收前向重定位請求;向金鑰管理設備發送針對第一金鑰的請求;從該金鑰管理設備接收該第一金鑰,該第一金鑰部分地基於在該金鑰管理設備與設備之間共享的第二金鑰;及利用根據該第一金鑰推導出的無線電存取節點(RAN)通信期金鑰向目標RAN發送交遞請求。根據一個態樣,該處理電路亦適於:從該目標RAN接收交遞請求認可訊息,該交遞請求認可訊息指示該目標RAN將對該設備進行服務。根據另一個態樣,該處理電路亦適於:僅在從該目標RAN接收該交遞請求認可訊息之後,向該金鑰管理設備發送指示接收到該第一金鑰的認可訊息。
根據一個態樣,該處理電路亦適於:向該源控制平面設備發送前向重定位回應,該前向重定位回應包括被該設備用於推導該第一金鑰的資料。根據另一個態樣,該網路設備是將對該設備進行服務的目標控制平面設備,並且該資料包括標識該目標控制平面設備的目標控制平面設備辨識符。根據再一個態樣,該目標控制平面設備是目標行動性管理實體(MME),該源控制平面設備是源MME,該目標控制平面設備辨識符是全球唯一MME辨識符(GUMMEI),該金鑰管理設備是通信期金鑰管理功能(SKMF)設備,並且該設備是使用者設備。
根據一個態樣,該資料包括被保持在該金鑰管理設備處的計數器值金鑰計數。根據另一個態樣,適於從該金鑰管理設備接收該第一金鑰的該處理電路亦適於:接收計數器值金鑰計數連同該第一金鑰。
另一個特徵提供了一種在設備處操作的、用於執行涉及行動性管理實體(MME)重定位或改變追蹤區域的追蹤區域更新的方法,該方法包括以下步驟:辨識進入新追蹤區域;向與無線通訊網路相關聯的網路設備發送追蹤區域更新(TAU)請求;從該網路設備接收安全模式命令,該安全模式命令指示由於回應於發送該TAU請求而改變追蹤區域所引起的MME重定位或金鑰刷新;及部分地基於在接收到的該安全模式命令中包括的資料來推導第一金鑰KASME
。根據一個態樣,由MME發送該安全模式命令以刷新該第一金鑰KASME
。根據另一個態樣,由於追蹤區域變化,由目標MME發送該安全模式命令。
根據一個態樣,在該安全模式命令中包括的該資料包括MME辨識符。根據另一個態樣,該MME辨識符是全球唯一MME辨識符(GUMMEI)。根據再一個態樣,推導該第一金鑰KASME
部分地基於該GUMMEI。
根據一個態樣,推導該第一金鑰KASME
亦部分地基於在該設備與通信期金鑰管理功能(SKMF)設備之間共享的第二金鑰KSKMF
。根據另一個態樣,推導該第一KASME
亦部分地基於被保持在該SKMF設備處的計數器值金鑰計數。根據再一個態樣,在該安全模式命令中包括的該資料亦包括該計數器值金鑰計數。
根據一個態樣,該方法亦包括以下步驟:從該網路設備接收追蹤區域更新訊息。根據另一個態樣,該方法亦包括以下步驟:使用根據該第一金鑰KASME
推導出的一或多個金鑰來解密追蹤區域更新訊息。根據再一個態樣,該追蹤區域更新訊息包括新的全球唯一臨時辨識符(GUTI)。
另一個特徵提供了一種設備,該設備包括:無線通訊介面,其適於與關聯於無線通訊網路的網路設備無線地發送和接收資料;及處理電路,其通訊地耦合到該無線通訊介面,該處理電路適於:辨識進入新追蹤區域;向與該無線通訊網路相關聯的該網路設備發送追蹤區域更新(TAU)請求;從該網路設備接收安全模式命令,該安全模式命令指示由於回應於發送該TAU請求而改變追蹤區域所引起的行動性管理實體(MME)重定位或金鑰刷新;及部分地基於在接收到的該安全模式命令中包括的資料來推導第一金鑰KASME
。
另一個特徵提供了一種設備,該設備包括:用於辨識進入新追蹤區域的構件;用於向與無線通訊網路相關聯的網路設備發送追蹤區域更新(TAU)請求的構件;用於從該網路設備接收安全模式命令的構件,該安全模式命令指示由於回應於發送該TAU請求而改變追蹤區域所引起的行動性管理實體(MME)重定位或金鑰刷新;及用於部分地基於在接收到的該安全模式命令中包括的資料來推導第一金鑰KASME
的構件。
另一個特徵提供了一種具有儲存在其上的指令的非暫時性電腦可讀取儲存媒體,該等指令用於執行涉及行動性管理實體(MME)重定位或改變追蹤區域的追蹤區域更新,當該等指令被至少一個處理器執行時,使得該處理器執行以下操作:辨識進入新追蹤區域;向與無線通訊網路相關聯的網路設備發送追蹤區域更新(TAU)請求;從該網路設備接收安全模式命令,該安全模式命令指示由於回應於發送該TAU請求而改變追蹤區域所引起的MME重定位或金鑰刷新;及部分地基於在接收到的該安全模式命令中包括的資料來推導第一金鑰KASME
。
另一個特徵提供了一種在設備處操作的、用於執行涉及行動性管理實體(MME)重定位或改變追蹤區域的交遞的方法,該方法包括以下步驟:從網路設備接收交遞命令,該交遞命令指示新追蹤區域;基於在該交遞命令中包括的資料來推導第一金鑰KASME
;及發送基於該第一金鑰KASME
來保護的交遞確認訊息。根據一個態樣,該方法亦包括以下步驟:在推導該第一金鑰KASME
之前,驗證該交遞命令。根據另一個態樣,該交遞命令包括:與對該網路設備進行服務的目標MME相關聯的目標MME辨識符。
根據一個態樣,推導該第一金鑰KASME
部分地基於該目標MME辨識符。根據另一個態樣,該目標MME辨識符是與對該網路設備進行服務的該目標MME相關聯的全球唯一MME辨識符(GUMMEI)。根據再一個態樣,推導該第一金鑰KASME
亦部分地基於在該設備與對該目標MME進行服務的通信期金鑰管理功能(SKMF)設備之間共享的第二金鑰KSKMF
。
根據一個態樣,推導該第一金鑰KASME
亦部分地基於被保持在該SKMF設備處的計數器值金鑰計數。根據另一個態樣,在該交遞命令中包括的該資料亦包括該計數器值金鑰計數。
另一個特徵提供了一種設備,該設備包括:無線通訊介面,其適於與關聯於無線通訊網路的網路設備無線地發送和接收資料;及處理電路,其通訊地耦合到該無線通訊介面,該處理電路適於:從該網路設備接收交遞命令,該交遞命令指示新追蹤區域;基於在該交遞命令中包括的資料來推導第一金鑰KASME
;及發送基於該第一金鑰KASME
來保護的交遞確認訊息。
另一個特徵提供了一種設備,該設備包括:用於從網路設備接收交遞命令的構件,該交遞命令指示新追蹤區域;用於基於在該交遞命令中包括的資料來推導第一金鑰KASME
的構件;及用於發送基於該第一金鑰KASME
來保護的交遞確認訊息的構件。
另一個特徵提供了一種具有儲存在其上的指令的非暫時性電腦可讀取儲存媒體,該等指令用於執行涉及行動性管理實體(MME)重定位或改變追蹤區域的交遞,當該等指令被至少一個處理器執行時,使得該處理器執行以下操作:從網路設備接收交遞命令,該交遞命令指示新追蹤區域;基於在該交遞命令中包括的資料來推導第一金鑰KASME
;及發送基於該第一金鑰KASME
來保護的交遞確認訊息。
另一個特徵提供了一種用於在行動性管理實體(MME)處執行涉及MME重定位或改變追蹤區域的追蹤區域更新的方法,該方法包括以下步驟:從使用者設備(UE)接收追蹤區域更新(TAU)請求,其中針對該UE,該MME不具有與該UE相關聯的UE上下文或者該UE已改變追蹤區域;向通信期金鑰管理功能(SKMF)設備發送針對第一金鑰KASME
的請求;從該SKMF設備接收該第一金鑰KASME
;及向該UE發送非存取層(NAS)安全模式命令(SMC),該NAS SMC包括允許該UE推導該第一金鑰KASME
的資料。根據一個態樣,該方法亦包括以下步驟:若該MME不具有該UE上下文,則向先前對該UE進行服務的源MME發送UE上下文請求。根據另一個態樣,該方法亦包括以下步驟:回應於發送該UE上下文請求,從該源MME接收該UE上下文。根據再一個態樣,該方法亦包括以下步驟:在接收該第一金鑰KASME
之後,向該SKMF設備發送金鑰認可。
根據一個態樣,該資料包括標識該MME的MME辨識符。根據另一個態樣,該MME辨識符是全球唯一MME辨識符(GUMMEI)。根據再一個態樣,該資料包括被保持在該SKMF設備處的計數器值金鑰計數。
根據一個態樣,從該SKMF設備接收該第一金鑰KASME
之步驟亦包括以下步驟:從該SKMF設備接收計數器值金鑰計數。根據另一個態樣,該方法亦包括以下步驟:在從該UE接收關於NAS SMC被成功地完成的通知之後,向該UE發送追蹤區域更新。根據另一個態樣,該方法亦包括以下步驟:向該UE同時發送經加密的追蹤區域更新和該NAS SMC。根據另一個態樣,發送針對該第一金鑰KASME
的該請求之步驟包括以下步驟:發送UE位置更新。
另一個特徵提供了一種與無線通訊網路相關聯的網路設備,該網路設備包括:通訊介面,其適於發送和接收資訊;及處理電路,其通訊地耦合到該通訊介面,該處理電路適於:從使用者設備(UE)接收追蹤區域更新(TAU)請求,其中針對該UE,該網路設備不具有與該UE相關聯的UE上下文或者該UE已改變追蹤區域;向通信期金鑰管理功能(SKMF)設備發送針對第一金鑰KASME
的請求;從該SKMF設備接收該第一金鑰KASME
;及向該UE發送非存取層(NAS)安全模式命令(SMC),該NAS MSC包括允許該UE推導該第一金鑰KASME
的資料。
另一個特徵提供了一種與無線通訊網路相關聯的網路設備,該網路設備包括:用於從使用者設備(UE)接收追蹤區域更新(TAU)請求的構件,其中針對該UE,該網路設備不具有與該UE相關聯的UE上下文或者該UE已改變追蹤區域;用於向通信期金鑰管理功能(SKMF)設備發送針對第一金鑰KASME
的請求的構件;用於從該SKMF設備接收該第一金鑰KASME
的構件;及用於向該UE發送非存取層(NAS)安全模式命令(SMC)的構件,該NAS SMC包括允許該UE推導該第一金鑰KASME
的資料。
另一個特徵提供了一種具有儲存在其上的指令的非暫時性電腦可讀取儲存媒體,該等指令用於在行動性管理實體(MME)處執行涉及該MME重定位或改變追蹤區域的追蹤區域更新,當該等指令被至少一個處理器執行時,使得該處理器執行以下操作:從使用者設備(UE)接收追蹤區域更新(TAU)請求,其中針對該UE,該網路設備不具有與該UE相關聯的UE上下文或者該UE已改變追蹤區域;向通信期金鑰管理功能(SKMF)設備發送針對第一金鑰KASME
的請求;從該SKMF設備接收該第一金鑰KASME
;及向該UE發送非存取層(NAS)安全模式命令(SMC),該NAS SMC包括允許該UE推導該第一金鑰KASME
的資料。
另一個特徵提供了一種用於在行動性管理實體(MME)處執行涉及該MME重定位或改變追蹤區域的交遞的方法,該方法包括以下步驟:在目標MME處從源MME接收前向重定位請求;向通信期金鑰管理功能(SKMF)設備發送針對第一金鑰KASME
的請求;從該SKMF設備接收該第一金鑰KASME
;及利用根據該第一金鑰KASME
推導出的金鑰KeNB
向目標無線電存取節點(RAN)發送交遞請求。根據一個態樣,該方法亦包括以下步驟:從該目標RAN接收交遞請求認可訊息,該交遞請求認可訊息指示該目標RAN將對該使用者設備(UE)進行服務。根據另一個態樣,該方法亦包括以下步驟:僅在從該目標RAN接收該交遞請求認可訊息之後,向該SKMF發送指示接收到該第一金鑰KASME
的認可訊息。
根據一個態樣,該方法亦包括以下步驟:向該源MME發送前向重定位回應,該前向重定位回應包括被UE用於推導該第一金鑰KASME
的資料。根據另一個態樣,該資料包括標識該目標MME的MME辨識符。根據再一個態樣,該MME辨識符是全球唯一MME辨識符(GUMMEI)。
根據一個態樣,該資料包括被保持在該SKMF設備處的計數器值金鑰計數。根據另一個態樣,從該SKMF設備接收該第一金鑰KASME
之步驟亦包括以下步驟:從該SKMF設備接收計數器值金鑰計數。
另一個特徵提供了一種網路設備,該網路設備包括:通訊介面,其適於發送和接收資訊;及處理電路,其通訊地耦合到該通訊介面,該處理電路適於:在該網路設備處從源行動性管理實體(MME)接收前向重定位請求;向通信期金鑰管理功能(SKMF)設備發送針對第一金鑰KASME
的請求;從該SKMF設備接收該第一金鑰KASME
;及利用根據該第一金鑰KASME
推導出的金鑰KeNB
向目標無線電存取節點(RAN)發送交遞請求。
另一個特徵提供了一種與無線通訊網路相關聯的網路設備,該網路設備包括:用於在該網路設備處從源行動性管理實體(MME)接收前向重定位請求的構件;用於向通信期金鑰管理功能(SKMF)設備發送針對第一金鑰KASME
的請求的構件;用於從該SKMF設備接收該第一金鑰KASME
的構件;及用於利用根據該第一金鑰KASME
推導出的金鑰KeNB
向目標無線電存取節點(RAN)發送交遞請求的構件。
另一個特徵提供了一種具有儲存在其上的指令的非暫時性電腦可讀取儲存媒體,該等指令用於在行動性管理實體(MME)處執行涉及該MME重定位或改變追蹤區域的交遞,當該等指令被至少一個處理器執行時,使得該處理器執行以下操作:在該網路設備處從源MME接收前向重定位請求;向通信期金鑰管理功能(SKMF)設備發送針對第一金鑰KASME
的請求;從該SKMF設備接收該第一金鑰KASME
;及利用根據該第一金鑰KASME
推導出的金鑰KeNB
向目標無線電存取節點(RAN)發送交遞請求。
本文使用詞語「示例性」來意指「作為示例、實例或說明」。本文描述為「示例性」的任何實施例並不必然地被解釋為比其他實施例較佳或有利。
參照圖2和圖3,本案內容的態樣可以位於用於推導用於蜂巢網路安全的數位金鑰的方法200中。在該方法中,使用者設備(UE)320與通信期金鑰管理功能設備300(以下稱為「SKMF」)相互認證。使用者設備使用與歸屬用戶伺服器(HSS)330共享的秘密金鑰(SK)來推導與SKMF 300共享的第一通信期金鑰(例如,KSKMF
)。使用者設備隨後使用第一通信期金鑰來推導與行動性管理實體(MME)310共享的第二通信期金鑰(例如,KASME
)。
在本案內容的更詳細的態樣中,SKMF(認證器)可以是位於電信網內部深處的信任錨(或金鑰錨),該信任錨推導用於每個MME的金鑰(例如,KASME
)。因此,當執行其功能的MME及/或網路設備被推到網路的邊緣時,SKMF留在網路內部深處並且非常安全。可以使用具有秘密金鑰和服務網路標識(SN_id)作為輸入的第一金鑰推導函數來推導第一通信期金鑰。第一金鑰推導函數可以基於例如HMAC-256。可以使用可擴展的認證協定(EAP)或特定的NAS訊號傳遞來執行相互認證。可以在認證和金鑰協定(AKA)程序(針對與UE當前附著的MME)期間或在涉及MME重定位的交遞期間推導第二通信期金鑰。可以由AAA伺服器針對當前附著的MME來定義通信期。可以在共享MME群組標識(MMEGI)的MME群組內執行MME重定位。替代地,可以與具有不同MMEGI的另一個MME執行MME重定位。
在本案內容的其他更詳細的態樣中,可以使用具有第一通信期金鑰和唯一的全球唯一MME辨識符(GUMMEI)作為輸入的第二金鑰推導函數來推導第二通信期金鑰。GUMMEI可以基於MMEGI和MME碼的組合。第二金鑰推導函數可以基於HMAC-256。替代地,可以使用具有第一通信期金鑰和MMEGI作為輸入的第二金鑰推導函數來推導第二通信期金鑰。
本案內容的另一個態樣可以位於用於推導用於使用者設備320的金鑰的方法中。在該方法中,網路實體從SKMF 300接收用於使用者設備的通信期金鑰(例如,KASME
)。用於接收通信期金鑰的通訊通道可以是安全性受保護的。網路實體可以是eNB 360、MME、GW等。替代地,本案內容的一個態樣可以位於其中網路實體可以從相同群組中的另一個網路實體接收用於使用者設備的通信期金鑰的方法中。在本案內容的更詳細的態樣中,當源MME在不傳輸通信期金鑰的情況下請求交遞時,網路實體可以從SKMF請求通信期金鑰(例如,KASME
)。
本案內容的另一個態樣,SKMF 300可以與使用者設備320相互認證。SKMF 300可以推導通信期金鑰(例如,KASME
),以供在與連接到MME 310的UE 320進行通訊時使用。SKMF 300可以向MME 10發送用於UE 320的通信期金鑰。與UE 320相互認證可以包括:SKMF 300向HSS 330轉發針對UE 320的認證資訊的請求。認證資訊可以包括用於UE 320的認證向量(AV)。與UE 320相互認證亦可以包括:SKMF 300從UE 320接收認證回應。認證向量可以包括期望回應(XRES)、認證值(AUTN)、亂數(RAND)和第一通信期金鑰(例如,KSKMF
)。AUTN可以基於UE 320與HSS 330共享的序號和秘密金鑰(SK)。
本案內容允許將網路功能(例如,MME 310)移動到遠離網路核心的網路邊緣。SKMF 300可以被放置在MME 310與HSS 330之間。SKMF 300可以充當本端金鑰錨。因此,可以減少MME 310所要求的信任。結果,在MME重定位期間將不會傳輸用於UE 320的MME 310。
UE可以執行與SKMF的認證金鑰協定(AKA)。HHS可以向SKMF發送AV。AV可以包括XRES、AUTN、RAND和KSKMF
。可以根據在UE與HSS之間共享的秘密金鑰SK來推導KSKMF
。因此,可以在UE與SKMF之間執行相互認證。該架構可以用於第五代(5G)蜂巢網路中。
若AKA是成功的,則SKMF向MME發送MME金鑰(例如,KASME
)。可以根據下文進一步提供的細節來推導MME金鑰(以及根據該MME金鑰推導出的其他金鑰)。
在漫遊場景中(亦即,UE處於拜訪網路中),拜訪網路中的SKMF可以變成本端金鑰錨。類似地,可以經由SKMF來執行AKA。如圖4和圖5中所圖示,SKMF 300(該SKMF 300處於拜訪網路中並且不處於歸屬網路406中)是本端金鑰錨。在本端網路內的MME重定位(例如,交遞或追蹤區域更新)期間,SKMF推導新的KASME
並將該新的KASME
提供給目標/新MME。可以根據新KASME
來推導無線電存取節點(RAN)通信期金鑰(例如,KeNB
)。
圖6圖示用於蜂巢網路的改良的金鑰層次的示意圖。UE的通用用戶身份模組(USIM)和網路的認證中心(AuC)儲存共享的秘密金鑰(SK)。根據SK推導出完整性金鑰(IK)和加密金鑰(CK)並且將該IK和該CK提供給HSS。HSS可以繼而產生第一通信期金鑰(KSKMF
)並將該第一通信期金鑰(KSKMF
)提供給SKMF。第一通信期金鑰KSKMF
在整個認證通信期是有效的。SKMF可以使用KSKMF
來產生第二通信期金鑰(KASME
)並將該金鑰提供給MME。KASME
可以對於僅特定的MME是有效的。MME可以繼而基於KASME
來產生其他金鑰(KNASenc
、KNASint
、KeNB
/NH等)。示例性附著、交遞和追蹤區域更新( TAU )程序
下文參照4G長期進化系統元件在一些部分中描述了本案內容的態樣。該描述僅是示例性的。本案內容不受諸如4G LTE之類的任何一個特定網路系統限制,而是可以應用於其他類型的通訊系統,包括但不限於5G系統。
在至網路的初始附著期間,UE執行與通信期金鑰管理功能(SKMF)設備的認證和金鑰協定(AKA)程序。一旦認證是成功的,SKMF就推導用於UE所附著到的MME的金鑰(例如,KASME
)並且將金鑰提供給MME。
當UE請求涉及MME重定位的追蹤區域更新(TAU)時,接收TAU請求的新MME(例如,目標MME)從SKMF接收新金鑰KASME
並且經由執行非存取層(NAS)安全模式命令(SMC)程序來與UE建立安全關聯。類似地,當發生涉及MME重定位的交遞時,目標MME亦從SKMF得到新金鑰KASME
並與UE建立安全關聯。
當UE在追蹤區域之間移動時,支援兩個追蹤區域的MME可以發起對KASME
的改變。此舉隱藏了網路配置不讓UE看到。例如,UE僅看到追蹤區域而不是MME。此種情況可以回應於TAU和改變追蹤區域的交遞兩者發生。
圖7根據本案內容的一個態樣,圖示用於連接到無線通訊網路(例如,無線蜂巢網路)的UE的附著程序和初始資料傳輸的流程圖。首先,UE向eNB發送附著請求702,eNB繼而向MME發送初始UE訊息704。接著,UE和SKMF執行認證和金鑰協定(AKA)706。為了執行AKA,SKMF向HSS發送認證資訊請求707,並且作為回應,該SKMF可以從HSS接收認證向量708,認證向量708可以包括期望回應(XRES)、認證值(AUTN)、亂數(RAND)和特定於MME的金鑰KSKMF
。AUTN可以基於UE與HSS共享的序號和秘密金鑰(SK)。
一旦AKA是成功的,SKMF就可以基於KSKMF
(例如,「第二金鑰」)、MME辨識符(例如,GUMMEI)及/或計數器值(例如,金鑰計數)來推導通信期金鑰KASME
(例如,「第一金鑰」)。因此,KASME
可以等於KDF(KSKMF
, GUMMEI |金鑰計數),其中KDF是金鑰推導函數。計數器值金鑰計數是可以由SKMF遞增的計數器值,以使得SKMF能夠在每當發生交遞回MME時推導用於相同MME的新的KASME
金鑰。根據一個態樣,可以使用僅用一次的數(nonce)而不是計數器值。根據另一個態樣,若GUMMEI不用於授權特定的MME身份,則可以省略GUMMEI。例如,若SKMF總是與為其提供KASME
的MME在相同的網路中,則在金鑰推導中包括GUMMEI可能是不必要的。因此,根據另一個實例,KASME
可以等於KDF(KSKMF
, nonce)。隨後向MME 710發送特定於MME的金鑰KASME
。MME可以隨後使用金鑰KASME
來執行與UE的非存取層(NAS)安全模式命令(SMC)程序712。在NAS SMC程序712期間,MME可以將該MME的GUMMEI及/或金鑰計數提供給UE,因此UE亦可以推導KASME
。圖7中剩餘的714 – 728類似於在4G LTE蜂巢通訊協定中找到的彼等程序。
圖8根據本案內容的一個態樣,圖示S1-交遞程序的流程圖。首先,源eNB(亦即,當前eNB)向源MME(亦即,當前MME)發送需要交遞(HO)訊息802。接著,源MME向目標MME(例如,新MME)發送/轉發重定位請求804。目標MME可以建立通信期請求806並將該通信期請求806發送給目標服務閘道(S-GW),以及從目標S-GW接收通信期回應808。目標MME亦可以向SKMF發送針對特定於MME的金鑰KASME
的金鑰請求810。經由此舉,目標MME可以向SKMF提供該目標MME的GUMMEI。SKMF可以繼而使用MME的GUMMEI、該SKMF先前從HSS接收的KSKMF
金鑰(上文所描述的)以及金鑰計數來產生KASME
。根據一個態樣,可以使用僅用一次的數(nonce)而不是金鑰計數。根據另一個態樣,若不期望授權特定的MME身份,則可以省略GUMMEI。SKMF向目標MME發送KASME
812。根據一個態樣,目標MME可以向目標S-GW發送通信期請求806並且在大約同時發送金鑰請求810。因此,步驟806和810可以與步驟808和812同時地執行。
目標MME可以隨後向目標eNB(亦即,潛在的新eNB)發送交遞請求814,並且作為回應,目標eNB發送回交遞回應816。交遞請求814可以包括由目標MME使用KASME
推導的金鑰KeNB
。交遞回應816指示目標eNB是否同意接受交遞。若目標eNB的確同意接受交遞,則目標MME向SKMF發送金鑰(亦即,KASME
)認可訊息818。在接收到金鑰認可訊息時,SKMF可以隨後遞增金鑰計數計數器值。對發送金鑰認可訊息818的步驟進行延遲,直到接收到交遞請求認可816為止,此舉是因為交遞請求可能被目標eNB拒絕。在此種情況下,不需要由UE推導新KASME
,並且SKMF可以不需要增加金鑰計數。在目標MME向源MME發送重定位回應820之後,源MME向源eNB發送交遞命令822,其中交遞命令822被轉發824給UE。交遞命令822、824可以包括目標MME的GUMMEI和金鑰計數,使得UE可以推導新KASME
和用於目標eNB的KeNB
。UE利用交遞確認訊息826來對目標eNB進行回應。交遞確認訊息826是完整性受保護和加密的。
圖9根據本案內容的一個態樣,圖示在UE移動到需要MME重定位的新位置之後的追蹤區域更新程序的流程圖。首先,UE產生追蹤區域更新請求902並將該追蹤區域更新請求902發送給eNB。eNB繼而將追蹤區域更新請求904轉發給將與UE相關聯的目標MME。eNB基於包括UE的位置的各種標準來決定向新/目標MME中之何者發送追蹤區域更新請求。追蹤區域更新請求可以包括全球唯一臨時辨識符(GUTI),GUTI繼而包括源MME(亦即,當前與UE相關聯的MME)的GUMMEI。目標MME可以隨後使用在該目標MME接收的追蹤區域更新請求中的GUMMEI來向源MME發送UE上下文請求訊息906。源MME隨後利用UE上下文回應訊息908中的UE上下文資訊來進行回應。一旦接收到該回應,就可以從目標MME向源MME發送認可910。
目標MME可以隨後向SKMF 912發送位置更新和金鑰請求(亦即,KASME
金鑰請求)。位置更新被轉發給HSS,HSS隨後向舊MME發送位置取消訊息914(舊MME可以將位置取消認可訊息916發送回給HSS)。SKMF 912可以基於如先前所描述的目標MME的GUMMEI及/或金鑰計數計數器值來產生用於目標MME的新KASME
。根據一個態樣,可以使用僅用一次的數(nonce)而不是金鑰計數。根據另一個態樣,若不期望授權特定的MME身份,則可以省略GUMMEI。向目標MME發送新KASME
918連同位置更新認可。在從SKMF接收到KASME
時,目標MME可以利用金鑰認可訊息920來向SKMF進行回應。根據一個態樣,目標MME可以大約在該目標MME向SKMF發送位置更新和金鑰請求912的同時向源MME發送UE上下文請求訊息906。因此,步驟906、908和910可以與步驟914、916、918、920同時地執行。
一旦目標MME已經從SKMF接收了KASME
,目標MME就可以隨後執行與UE的非存取層安全模式命令程序922、924。在安全模式命令程序期間,由於目標MME向UE提供該目標MME的GUMMEI,因此UE推導目標MME所使用的金鑰KASME
。一旦UE亦具有與目標MME相同的KASME
,UE和目標MME就可以基於KASME
金鑰來參與安全通訊。例如,目標MME可以參與與UE的追蹤區域更新交換926、928,UE的通訊經由KASME
或根據KASME
推導出的其他金鑰(例如,NAS加密和完整性保護金鑰)來加密。該交換可以包括從目標MME向UE發送的訊息,其中該訊息包括基於目標MME的GUMMEI的新GUTI。此種訊息再次經由KASME
或根據KASME
推導出的另一個金鑰來加密。
如圖9所示和上文所描述的,NAS SMC 922、924後面跟有追蹤區域更新程序926、928。在本案內容的一些態樣中,可以對NAS SMC 922、924 和追蹤區域更新程序926、928進行組合。例如,從目標MME向UE發送的NAS SMC訊息922可以與追蹤區域更新訊息926進行組合。經由此舉,可以對組合的訊息的僅部分(例如,與追蹤區域更新相關聯的部分)進行加密,而訊息中的説明UE推導KASME
的部分保持未加密。可以對MME所分配的新臨時行動用戶身份(TMSI)(TMSI是GUTI的部分)進行加密。金鑰推導
如前述,在UE與SKMF之間執行AKA。金鑰KSKMF
由HSS推導並且被發送給SKMF。從HSS的角度看,認證向量以與4G LTE相同的方式來構造並且被發送給SKMF而不是MME。因此,HSS可以連接到SKMF而無需任何修改。
SKMF推導用於給定MME的特定於MME的金鑰KASME
,並且因此MME的GUMMEI可以用於KASME
金鑰推導程序中。對於新KASME
,可以將NAS計數值初始化為零(0)。在一個實例中,若追蹤區域更新沒有完成,則不丟棄舊NAS計數值。為了金鑰KASME
的新鮮度,UE和SKMF可以保持金鑰計數計數器值並且將該金鑰計數計數器值用於KASME
推導。此操作可以被完成以避免在UE移動回到舊MME(例如,源MME)的情況中推導相同的KASME
。當成功地執行初始AKA時,可以將金鑰計數計數器值初始化為零(0)或某個其他預先決定的值。在一些態樣中,可以使用nonce而不是金鑰計數計數器值。在另一個態樣中,可以從金鑰推導中省略GUMMEI。
用於產生金鑰KSKMF
、KASME
、KeNB
、下一中繼段(NH)等的金鑰推導函數(KDF)可以使用HMAC-SHA-256、HMAC-SHA-3等。輸入字串S可以是構造自n
+1個輸入參數。例如,S = [FC || P0
|| L0
|| P1
|| L1
|| P2
|| L2
|| … || P N
|| L N
]。欄位碼FC可以是用於在演算法的不同實例之間進行區分的單個八位元組並且可以使用在範圍0x50 – 0x5F中的值。輸入參數P0
至P N
是n
+1個輸入參數編碼。P0
可以是靜態的ASCII編碼字串。值L0
至L N
是對應的輸入參數P0
至P N
的長度的兩個八位元組表示。
KSKMF
推導。
KSKMF
= KDF(KCK/IK
, S)。輸入S可以等於[FC || P0
|| L0
|| P1
|| L1
],其中FC = 0x50,P0 = SN id,L0
=SN id的長度(亦即,L0
= 0x00 0x03), P1
= SQN XOR AK,並且L1
=P1
的長度(亦即,L1
= 0x00 0x06)。SQN是序號並且AK是匿名金鑰,並且XOR是異或運算。將值SQN XOR AK發送給UE作為認證符記(AUTN)的部分。若不使用AK,則可以根據TS 33.102來處理AK(亦即,000…0)。輸入金鑰KCK/IK
是加密金鑰(CK)和完整性金鑰(IK)的級聯,亦即KCK/IK
= CK || IK。
KASME
推導。
KASME
= KDF(KSKMF
, S)。輸入S可以等於[FC || P0
|| L0
|| P1
|| L1
],其中FC = 0x51,P0
= GUMMEI,L0
=48位元GUMMEI的長度(亦即,L0
= 0x00 0x06),P1
=金鑰計數,並且L1
可以等於P1
的長度(例如,L1
= 0x00 0x08)。此推導僅是可以如何推導KASME
的一個實例。在另一些態樣中,可以省略GUMMEI,並且可以使用僅用一次的亂數(例如,nonce)而不是金鑰計數計數器值。
NH推導。
NH = KDF(KASME
, S)。輸入S可以等於[FC || P0
|| L0
],其中FC = 0x52,P0
= Sync-Input,L0
=Sync-Input的長度(亦即,L0
= 0x00 0x20)。對於初始的NH推導,Sync-Input參數可以是新推導的KeNB
,而對於所有後續的推導,Sync-Input參數可以是先前的NH。此舉產生了NH鏈,其中下一個NH總是新的並且是根據先前的NH推導的。
KeNB
推導。
K’eNB
= KDF(KX
, S)。當出於交遞目的在UE和eNB中根據當前KeNB
或根據新的NH和目標實體細胞辨識符推導K’eNB
(如條款7.2.8所規定的)時,輸入S可以等於[FC || P0
|| L0
|| P1
|| L1
],其中FC = 0x53,P0
=目標實體細胞辨識符(PCI),L0
=PCI的長度(例如,L0
= 0x00 0x02),P1
= EARFCN-DL(目標實體細胞下行鏈路頻率),並且L1
=P1
的長度(例如,L1
= 0x00 0x02)。當交遞中的索引增加時,輸入金鑰KX
可以是256位元下一中繼段(NH)金鑰,否則使用當前的256位元KeNB
。
上文所圖示和描述的圖7-圖9假定MME從源改變到目標MME。然而,當單個MME承擔兩個MME(源MME和目標MME)的角色並且在該兩個MME之間不存在實際介面時,可以使用相同的程序流程圖。
在上文關於圖7-圖9和金鑰推導的描述中,使用網路元件和相關術語的特定非排他性、非限制性實例來展示本案的揭示內容的態樣。例如,「使用者設備」可以僅是設備的一個實例。MME可以僅是控制平面設備的一個實例。SMKF可以僅是金鑰管理設備的一個實例。MME辨識符(例如,GUMMEI)可以僅是控制平面設備辨識符的一個實例。追蹤區域可以僅是服務區域的一個實例,並且類似地,追蹤區域更新可以僅是服務區域更新的一個實例。SMC和NAS SMC可以僅是控制平面訊息的一些實例。eNB可以僅是無線電存取節點的一個實例。
圖10根據本案內容的一個態樣,圖示設備1000(例如,「使用者設備」、「使用者裝置」、「無線設備」等)的示意方塊圖。使用者設備1000可以是任何無線通訊設備,諸如但不限於行動電話、智慧型電話、膝上型電腦、個人數位助理(PDA)、平板電腦、電腦、智慧手錶和頭戴式可穿戴電腦(例如,谷歌眼鏡®)。使用者設備1000可以包括可以彼此通訊地耦合的至少一或多個無線通訊介面1002、一或多個記憶體電路1004、一或多個輸入及/或輸出(I/O)設備/電路1006及/或一或多個處理電路1008。例如,介面1002、記憶體電路1004、I/O設備1006和處理電路1008可以經由匯流排1010來彼此通訊地耦合。無線通訊介面1002允許使用者設備1000與無線通訊網路104無線地通訊。因此,介面1002允許使用者設備1000與諸如行動電信蜂巢網路之類的無線廣域網(WWAN)以及短距離無線區域網路(例如,WiFi®、紫蜂(Zigbee)®、藍芽®等)無線地通訊。
記憶體電路1004可以包括一或多個揮發性記憶體電路及/或非揮發性記憶體電路。因此,記憶體電路1004可以包括動態隨機存取記憶體(DRAM)、靜態隨機存取記憶體(SRAM)、磁阻式隨機存取記憶體(MRAM)、電子可抹除可程式設計唯讀記憶體(EEPROM)、快閃記憶體等。記憶體電路1004可以儲存一或多個密碼金鑰。記憶體電路1004亦可以儲存可由處理器電路1008執行的指令。I/O設備/電路1006可以包括一或多個鍵盤、滑鼠、顯示器、觸控式螢幕顯示器、印表機、指紋掃瞄器以及任何其他輸入及/或輸出設備。
處理電路1008(例如,處理器、中央處理單元(CPU)、應用處理單元(APU)等)可以執行在記憶體電路1006處儲存的指令及/或在通訊地耦合到使用者設備1000的另一個電腦可讀取儲存媒體(例如,硬碟機、光碟機、固態驅動器等)處儲存的指令。處理電路1008可以執行本文所描述的使用者設備1000的步驟及/或程序中的任何一個步驟及/或程序,包括參照圖2、圖3、圖4、圖5、圖6、圖7、圖8、圖9、圖11和圖12論述的彼等步驟及/或程序。
圖11圖示在設備處操作的方法1100。設備可以是積體電路、複數個積體電路,或併入一或多個積體電路的電子設備。該方法可以用於執行涉及控制平面設備重定位或改變服務區域的服務區域更新。首先,在設備處辨識1102進入新服務區域(例如,新追蹤區域、新路由區域等)。接著,向與網路相關聯的網路設備發送1104服務區域更新請求。隨後,從網路接收1106控制平面訊息(一個非限制性的、非排他性的實例包括安全模式命令),該控制平面訊息指示由於回應於發送服務區域更新請求的服務區域變化而引起的控制平面設備重定位或金鑰刷新。接著,部分地基於在接收到的控制平面訊息中包括的資料以及在設備與金鑰管理設備(例如,SKMF)之間共享的第二金鑰(例如,KSKMF
)來推導1108第一金鑰(例如,KASME
),其中金鑰管理設備與網路相關聯。根據一個態樣,控制平面訊息是由於服務區域變化而從目標控制平面設備(例如,目標MME)接收的,目標控制平面設備是與當前對設備進行服務的控制平面設備不同的控制平面設備(例如,源MME)。根據另一個態樣,在控制平面訊息中包括的資料包括控制平面設備辨識符(例如,MME辨識符,諸如但不限於GUMMEI),該控制平面設備辨識符標識正在及/或將對設備進行服務的控制平面設備。
根據一個態樣,推導第一金鑰亦部分地基於被保持在金鑰管理設備處並被包括在控制平面訊息中的計數器值金鑰計數。根據另一個態樣,基於第一金鑰來推導進化型節點B(eNB)金鑰KeNB
、非存取層金鑰KNAS
及/或下一中繼段(NH)金鑰中的至少一者以保護設備與網路之間的通訊。根據再一個態樣,新服務區域是新追蹤區域及/或新路由區域中的至少一者,並且服務區域更新請求與追蹤區域更新及/或路由區域更新中的至少一者相關聯。
根據一個態樣,控制平面訊息是安全模式命令,目標控制平面設備是目標MME,金鑰管理設備是SKMF設備,並且第二金鑰是用於認證通信期的通信期根金鑰。根據另一個態樣,控制平面設備保持針對設備的行動性管理上下文和通信期管理上下文,並且金鑰管理設備保持第二金鑰。
圖12圖示在設備處操作的、用於執行涉及控制平面設備重定位或改變服務區域的交遞的方法1200。首先,從與網路相關聯的網路設備(例如,源eNB)接收1202交遞命令,其中交遞命令指示新服務區域(例如,新追蹤區域、新路由區域等)。接著,基於在交遞命令中包括的資料以及基於在設備與金鑰管理設備(例如,SKMF)之間共享的第二金鑰(例如,KSKMF
)來推導1204第一金鑰(例如,KASME
),其中金鑰管理設備與網路相關聯。隨後,向網路設備發送1206基於第一金鑰來保護的交遞確認訊息。
根據一個態樣,交遞命令包括與對目標無線電存取節點(例如,目標eNB)進行服務的目標控制平面設備(例如,目標MME)相關聯的目標控制平面設備辨識符(例如,可以包括GUMMEI的目標MME辨識符),該目標無線電存取節點正在及/或將對設備進行服務。根據另一個態樣,推導第一金鑰部分地基於目標控制平面設備辨識符。根據再一個態樣,目標控制平面設備是目標行動性管理實體(MME),金鑰管理設備是通信期金鑰管理功能(SKMF)設備,並且目標控制平面設備辨識符是與目標MME相關聯的MME辨識符。
圖13根據本案內容的一個態樣,圖示網路設備1300的示意方塊圖。網路設備1300可以是MME、RAN、S-GW及/或P-GW。網路設備1300可以包括可以彼此通訊地耦合的至少一或多個無線通訊介面1302、一或多個記憶體電路1304、一或多個輸入及/或輸出(I/O)設備/電路1306及/或一或多個處理電路1308。例如,介面1302、記憶體電路1304、I/O設備1306和處理電路1308可以經由匯流排1310來彼此通訊地耦合。無線通訊介面1302允許網路設備1300與使用者設備102無線地通訊。因此,介面1302允許網路設備1300與諸如行動電信蜂巢網路之類的無線廣域網路(WWAN)及/或短距離無線區域網路(例如,WiFi®、紫蜂(Zigbee)®、藍芽®等)無線地通訊。
記憶體電路1304可以包括一或多個揮發性記憶體電路及/或非揮發性記憶體電路。因此,記憶體電路1304可以包括DRAM、SRAM、MRAM、EEPROM、快閃記憶體等。記憶體電路1304可以儲存一或多個密碼金鑰。記憶體電路1304亦可以儲存可由處理器電路1308執行的指令。I/O設備/電路1306可以包括一或多個鍵盤、滑鼠、顯示器、觸控式螢幕顯示器、印表機、指紋掃瞄器以及任何其他輸入及/或輸出設備。
處理電路1308(例如,處理器、中央處理單元(CPU)、應用處理單元(APU)等)可以執行在記憶體電路1306處儲存的指令及/或在通訊地耦合到網路設備1300的另一個電腦可讀取儲存媒體(例如,硬碟機、光碟機、固態驅動器等)處儲存的指令。處理電路1308可以執行本文所描述的網路設備的步驟及/或程序中的任何一個步驟及/或程序,包括參照圖2、圖3、圖4、圖5、圖6、圖7、圖8、圖9、圖14和圖15論述的彼等步驟及/或程序。
圖14圖示在網路設備處操作的、用於在控制平面設備處執行涉及控制平面設備重定位或改變服務區域的追蹤區域更新的方法1400。首先,從設備(例如,使用者設備)接收1402服務區域更新請求,針對該設備,網路設備不具有設備上下文(例如,UE上下文)或者該設備已改變服務區域(例如,追蹤區域或路由區域)。接著,向金鑰管理設備(例如,SKMF)發送1404針對第一金鑰(例如,KASME
)的請求。隨後,從金鑰管理設備接收1406第一金鑰,其中第一金鑰部分地基於在金鑰管理設備與設備之間共享的第二金鑰(例如,KSKMF
)。接著,向設備發送1408控制平面訊息,該控制平面訊息包括允許該設備推導第一金鑰的資料。根據一個態樣,網路設備是行動性管理實體(MME),並且第一金鑰亦基於標識MME的MME辨識符。根據另一個態樣,若網路設備不具有設備上下文,則向先前對設備進行服務的在先控制平面設備發送設備上下文請求。
根據一個態樣,回應於發送設備上下文請求,從在先控制平面設備接收設備上下文。根據另一個態樣,資料包括標識網路設備的控制平面設備辨識符。根據再一個態樣,從金鑰管理設備接收計數器值金鑰計數連同第一金鑰。
根據一個態樣,計數器值金鑰計數被包括在發送給設備的資料中。根據另一個態樣,在從設備接收關於控制平面訊息被成功地接收的通知之後,向該備發送服務區域更新。根據再一個態樣,服務區域更新請求與追蹤區域更新及/或路由區域更新中的至少一者相關聯,並且改變服務區域包括改變追蹤區域及/或改變路由區域中的至少一者。根據另一個態樣,控制平面訊息是非存取層安全模式命令,金鑰管理設備是通信期金鑰管理功能(SKMF)設備,設備是使用者設備,設備上下文是與使用者設備相關聯的使用者設備上下文,並且第二金鑰是用於認證通信期的通信期根金鑰。
圖15圖示在網路設備處操作的、用於在控制平面設備處執行涉及控制平面設備重定位或改變服務區域的交遞的方法1500。首先,在網路設備處從源控制平面設備接收1502前向重定位請求。接著,向會金鑰管理(SKMF)設備發送1504針對第一金鑰的請求。隨後,從金鑰管理設備接收1506第一金鑰,其中第一金鑰部分地基於在金鑰管理設備與設備之間共享的第二金鑰。接著,利用根據第一金鑰推導出的無線電存取節點(RAN)通信期金鑰向目標RAN發送交遞請求。根據一個態樣,從目標RAN接收交遞請求認可訊息,該交遞請求認可訊息指示目標RAN將對設備進行服務。根據另一個態樣,僅在從目標RAN接收交遞請求認可訊息之後,向金鑰管理設備發送指示接收到第一金鑰的認可訊息。
根據一個態樣,向源控制平面設備發送前向重定位回應,該前向重定位回應包括被設備用於推導第一金鑰的資料。根據另一個態樣,網路設備是將對設備進行服務的目標控制平面設備,並且資料包括標識目標控制平面設備的目標控制平面設備辨識符。根據再一個態樣,目標控制平面設備是目標行動性管理實體(MME),源控制平面設備是源MME,目標控制平面設備辨識符是全球唯一MME辨識符(GUMMEI),金鑰管理設備是通信期金鑰管理功能(SKMF)設備,並且設備是使用者設備。根據再一個態樣,接收計數器值金鑰計數連同第一金鑰。
圖16根據本案內容的一個態樣,圖示設備1600(例如,使用者設備/裝置)的方塊圖。設備1600可以包括服務區域辨識電路1602、服務區域更新請求發送電路1604、控制平面訊息接收電路1606及/或第一金鑰推導電路1608,該等電路皆可以經由通訊匯流排1610來通訊地耦合。設備1600的電路1602、1604、1606、1608中的每一個電路可以是特定電路(例如,特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)等),該等特定電路被專門地連線以執行該等特定電路相應的特定功能。
服務區域辨識電路1602可以是用於辨識進入新服務區域的構件的一個實例。服務區域更新請求發送電路1604可以是用於向與網路相關聯的網路設備發送服務區域更新請求的構件的一個實例。控制平面訊息接收電路1606可以是用於從網路接收控制平面訊息的構件的一個實例,該控制平面訊息指示由於回應於發送服務區域更新請求的服務區域變化而引起的控制平面設備重定位或金鑰刷新。第一金鑰推導電路1608可以是用於部分地基於在接收到的控制平面訊息中包括的資料以及在設備與金鑰管理設備之間共享的第二金鑰來推導第一金鑰的構件的一個實例。
圖17根據本案內容的一個態樣,圖示設備1700(例如,使用者設備/裝置)的方塊圖。設備1700可以包括交遞命令接收電路1702、第一金鑰推導電路1704及/或交遞確認發送電路1706,該等電路皆可以經由通訊匯流排1708來通訊地耦合。設備1700的電路1702、1704、1706中的每一個電路可以是特定電路(例如,ASIC、FPGA等),該等特定電路被專門地連線以執行該等特定電路相應的特定功能。
交遞命令接收電路1702可以是用於從與網路相關聯的網路設備接收交遞命令的構件的一個實例,該交遞命令指示新服務區域。第一金鑰推導電路1704可以是用於基於在交遞命令中包括的資料以及在設備與金鑰管理設備之間共享的第二金鑰來推導第一金鑰的構件的一個實例。交遞確認發送電路1706可以是用於發送基於第一金鑰來保護的交遞確認訊息的構件的一個實例。
圖18根據本案內容的一個態樣,圖示網路設備1800(例如,MME)的方塊圖。設備1800可以包括第一金鑰請求發送電路1802、服務區域更新請求接收電路1804、第一金鑰接收電路1806及/或控制平面訊息發送電路1808,該等電路皆可以經由通訊匯流排1810來通訊地耦合。網路設備1800的電路1802、1804、1806、1808中的每一個電路可以是特定電路(例如,ASIC、FPGA等),該等特定電路被專門地連線以執行該等特定電路相應的特定功能。
第一金鑰請求發送電路1802可以是用於向金鑰管理設備發送針對第一金鑰的請求的構件的一個實例。服務區域更新請求接收電路1804可以是用於從設備接收服務區域更新請求的構件的一個實例,針對該設備,網路設備不具有設備上下文或該設備已改變服務區域。第一金鑰接收電路1806可以是用於從金鑰管理設備接收第一金鑰的構件的一個實例,第一金鑰部分地基於在金鑰管理設備與設備之間共享的第二金鑰。控制平面訊息發送電路1808可以是用於向設備發送控制平面訊息的構件的一個實例,該控制平面訊息包括允許設備推導第一金鑰的資料。
圖19根據本案內容的一個態樣,圖示網路設備1900(例如,MME)的方塊圖。設備1900可以包括前向重定位請求接收電路1902、第一金鑰請求發送電路1904、第一金鑰接收電路1906及/或交遞請求發送電路1908,該等電路皆可以經由通訊匯流排1910來通訊地耦合。網路設備1900的電路1902、1904、1906、1908中的每一個可以是特定電路(例如,ASIC、FPGA等),該等特定電路被專門地連線以執行該等特定電路相應的特定功能。
前向重定位請求接收電路1902可以是用於在網路設備處從源控制平面設備接收前向重定位請求的構件的一個實例。第一金鑰請求發送電路1904可以是用於向金鑰管理設備發送針對第一金鑰的請求的構件的一個實例。第一金鑰接收電路1906可以是用於從金鑰管理設備接收第一金鑰的構件的一個實例,第一金鑰部分地基於在金鑰管理設備與設備之間共享的第二金鑰。交遞請求發送電路1908可以是用於利用根據第一金鑰推導出的無線電存取節點(RAN)通信期金鑰向目標RAN發送交遞請求的構件的一個實例。
圖2、圖3、圖4、圖5、圖6、圖7、圖8、圖9、圖10、圖11、圖12、圖13、圖14、圖15、圖16、圖17、圖18及/或圖19中所圖示的元件、步驟、特徵及/或功能中的一或多個可以被重新排列及/或組合成單個元件、步驟、特徵或功能,或可以體現在若干元件、步驟或功能中。在不脫離本發明的情況下亦可以添加額外的元件、組件、步驟及/或功能。圖1、圖3、圖4、圖5、圖7、圖8、圖9、圖10、圖13、圖16、圖17、圖18及/或圖19中所圖示的裝置、設備及/或元件可以被配置為執行在圖2、圖6、圖7、圖8、圖9、圖11、圖12、圖14及/或圖15中所描述的方法、特徵或步驟中的一或多個。本文所描述的演算法亦可以高效地實現在軟體中及/或嵌入在硬體中。
此外,應當注意,本案內容的態樣可能是作為被圖示為流程圖、結構圖或方塊圖的程序來描述的。儘管流程圖可能會把操作描述為順序程序,但是該等操作中的許多操作能夠並行或併發地執行。此外,該等操作的次序可以被重新排列。程序在程序操作完成時終止。程序可以對應於方法、函數、規程、子常式、副程式等。當程序對應於函數時,程序終止對應於該函數返回至調用函數或主函數。
此外,儲存媒體可以表示用於儲存資料的一或多個設備,包括唯讀記憶體(ROM)、隨機存取記憶體(RAM)、磁碟儲存媒體、光學儲存媒體、快閃記憶體設備及/或用於儲存資訊的其他機器可讀取媒體和處理器可讀取媒體,及/或電腦可讀取媒體。術語「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒體」可以包括但不限於諸如可攜式或固定的存放裝置、光學存放裝置之類的非暫時性媒體以及能夠儲存或包含指令及/或資料的各種其他媒體。因此,本文所描述的各種方法可以完全或部分地由可儲存在「機器可讀取媒體」、「電腦可讀取媒體」及/或「處理器可讀取媒體」中並由一或多個處理器、機器及/或設備執行的指令及/或資料來實現。
此外,本案內容的態樣可以由硬體、軟體、韌體、仲介軟體、微代碼,或其任意組合來實現。當用軟體、韌體、仲介軟體或微代碼來實現時,用於執行必要任務的程式碼或程式碼片段可以儲存在諸如儲存媒體或其他儲存裝置之類的機器可讀取媒體中。處理器可以執行必要任務。程式碼片段可以表示程序、函數、副程式、程式、常式、子常式、模組、套裝軟體、軟體組件,或者指令、資料結構或程式語句的任意組合。程式碼片段可以經由傳遞及/或接收資訊、資料、引數、參數或記憶體內容而耦合到另一程式碼片段或硬體電路。資訊、引數、參數、資料等可以經由包括記憶體共享、訊息傳遞、符記傳遞、網路傳輸等任何合適的方式來傳遞、轉發或發送。
結合本文揭示的實例所描述的各種說明性的邏輯區塊、模組、電路、元件及/或組件可以利用被設計為執行本文所描述的功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯元件、個別閘門或電晶體邏輯、個別硬體元件,或者其任意組合來實現或執行。通用處理器可以是微處理器,但在替代方案中,處理器可以是任何習知的處理器、控制器、微控制器或狀態機。處理器亦可以實現為計算元件的組合,例如,DSP與微處理器的組合、多個微處理器、一或多個微處理器結合DSP核心,或者任何其他此種配置。
結合本文揭示的實例所描述的方法或演算法可以以處理單元、程式設計指令或其他指示的形式直接體現在硬體中、可由處理器執行的軟體模組中,或兩者的組合中,並且可以包含在單個設備中或跨越多個設備分佈。軟體模組可以常駐在RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、CD-ROM,或者本領域已知的任何其他形式的儲存媒體中。儲存媒體可以耦合到處理器,以使得處理器能夠從儲存媒體讀取資訊以及向儲存媒體寫入資訊。在替代方案中,儲存媒體可以整合到處理器。
熟習此項技術者亦將明白,結合本文揭示的態樣所描述的各個說明性的邏輯區塊、模組、電路和演算法步驟可以實現為電子硬體、電腦軟體或兩者的組合。為了清楚地說明硬體和軟體的此種可互換性,上文已經圍繞說明性的元件、方塊、模組、電路和步驟的功能性對其進行了通常描述。至於此種功能是實現為硬體還是軟體,取決於特定應用和施加在整體系統上的設計約束。
在不脫離本發明的情況下,可以在不同系統中實現本文所描述的本發明的各種特徵。應當注意,本案內容的前述態樣僅是實例,並不應解釋為限制本發明。本案內容的態樣的描述意欲是說明性的,並不意欲限制申請專利範圍的範疇。因此,本教導可以容易應用於其他類型的裝置,並且許多替代方案、修改及變型對於熟習此項技術者來說將是顯而易見的。
100:核心網路
110:行動性管理實體(MME)
120:使用者設備(UE)
130:歸屬用戶伺服器(HSS)
140:封包資料網路(PDN)閘道(PGW)
150:服務閘道(SGW)
160:進化型節點B(eNodeB)
180:RRC
190:PDCP/RLC
200:方法
300:通信期金鑰管理功能設備/SKMF
310:行動性管理實體(MME)
320:使用者設備(UE)
330:歸屬用戶伺服器(HSS)
360:eNB
406:歸屬網路
702:附著請求
704:初始UE訊息
706:認證和金鑰協定(AKA)
707:認證資訊請求
708:認證向量
710:MME
712:非存取層(NAS)安全模式命令(SMC)程序
714:程序
728:程序
802:需要交遞(HO)訊息
804:重定位請求
806:通信期請求
808:通信期回應
810:金鑰請求
812:KASME
814:交遞請求
816:交遞回應
818:金鑰認可訊息
820:重定位回應
822,824:交遞命令
826:交遞確認訊息
902:追蹤區域更新請求
904:追蹤區域更新請求
906:UE上下文請求訊息
908:UE上下文回應訊息
910:認可
912:SKMF
914:位置取消訊息
916:位置取消認可訊息
918:新KASME
920:金鑰認可訊息
922:非存取層安全模式命令程序
924:非存取層安全模式命令程序
926:追蹤區域更新程序
928:追蹤區域更新程序
1000:使用者設備
1002:無線通訊介面
1004:記憶體電路
1006:輸入及/或輸出(I/O)設備/電路
1008:處理電路
1010:匯流排
1100:方法
1102:步驟
1104:步驟
1106:步驟
1108:步驟
1200:方法
1202:步驟
1204:步驟
1206:步驟
1300:網路設備
1302:無線通訊介面
1304:記憶體電路
1306:輸入及/或輸出(I/O)設備/電路
1308:處理電路
1310:匯流排
1400:方法
1402,1404,1406,1408:步驟
1500:方法
1502,1504,1506,1508:步驟
1600:設備
1602:服務區域辨識電路
1604:服務區域更新請求發送電路
1606:控制平面訊息接收電路
1608:第一金鑰推導電路
1610:通訊匯流排
1700:設備
1702:交遞命令接收電路
1704:第一金鑰推導電路
1706:交遞確認發送電路
1708:通訊匯流排
1800:網路設備
1802:第一金鑰請求發送電路
1804:服務區域更新請求接收電路
1806:第一金鑰接收電路
1808:控制平面訊息發送電路
1810:通訊匯流排
1900:網路設備
1902:前向重定位請求接收電路
1904:第一金鑰請求發送電路
1906:第一金鑰接收電路
1908:交遞請求發送電路
1910:通訊匯流排
KASME
:第一金鑰
KSKMF
:第二金鑰
KNAS
:非存取層金鑰
KeNB
:進化型節點B(eNB)金鑰
KNASenc
:其他金鑰
KNASint
:其他金鑰
圖1是在現有技術中找到的無線通訊系統的實例的方塊圖。
圖2是用於推導用於蜂巢網路安全的數位金鑰的方法的流程圖。
圖3是具有改良的網路金鑰層次的無線通訊系統的第一實施例的方塊圖。
圖4是具有改良的網路金鑰層次的無線通訊系統的第二實施例的方塊圖。
圖5是具有改良的網路金鑰層次的無線通訊系統的第三實施例的方塊圖。
圖6是用於蜂巢網路的改良的金鑰層次的示意圖。
圖7圖示用於連接到無線通訊網路(例如,無線蜂巢網路)的UE的附著程序和初始資料傳輸的流程圖。
圖8圖示S1-交遞程序的流程圖。
圖9圖示在UE移動到需要MME重定位的新位置之後的追蹤區域更新程序的流程圖。
圖10圖示諸如使用者設備/裝置之類的設備的第一示例性示意方塊圖。
圖11圖示在設備處操作的、用於執行涉及控制平面設備重定位或改變服務區域的服務區域更新的第一示例性方法。
圖12圖示在設備處操作的、用於執行涉及控制平面設備重定位或改變服務區域的交遞的第二示例性方法。
圖13圖示諸如MME之類的網路設備的第一示例性示意方塊圖。
圖14圖示在網路設備處操作的、用於在控制平面設備處執行涉及控制平面設備重定位或改變服務區域的服務區域更新的第一示例性方法。
圖15圖示在網路設備處操作的、用於在控制平面設備處執行涉及控制平面設備重定位或改變服務區域的交遞的第二示例性方法。
圖16圖示諸如使用者設備/裝置之類的設備的第二示例性示意方塊圖。
圖17圖示諸如使用者設備/裝置之類的設備的第三示例性示意方塊圖。
圖18圖示諸如MME之類的網路設備的第二示例性示意方塊圖。
圖19圖示諸如MME之類的網路設備的第三示例性示意方塊圖。
140:封包資料網路(PDN)閘道(PGW)
150:服務閘道(SGW)
300:通信期金鑰管理功能設備/SKMF
310:行動性管理實體(MME)
320:使用者設備(UE)
330:歸屬用戶伺服器(HSS)
360:eNB
Claims (27)
- 一種與一網路相關聯的網路設備,該網路設備包括: 一無線通訊介面,其經配置以發送和接收資訊;及 一處理電路,其通訊地耦合到該無線通訊介面,其中該網路設備是一第一網路設備及其中該處理電路經配置以: 接收下列之至少一者:(a)來自一使用者裝置的一服務區域更新請求,其中針對該使用者裝置的一設備上下文是該第一網路設備未知的,(b)來自該使用者裝置的一服務區域更新請求,其中該使用者裝置已改變服務區域,及(c)於該第一網路設備處來自一第二網路設備的一前向重定位請求,該第二網路設備與該第一網路設備分離且其中該第二網路設備先前對該使用者裝置進行服務; 向一金鑰管理設備發送針對一第一金鑰的一請求,該金鑰管理設備與該第一網路設備及該第二網路設備分離; 從該金鑰管理設備接收該第一金鑰,該第一金鑰部分地基於在該金鑰管理設備與該使用者裝置之間共享的一第二金鑰,該第二金鑰由該金鑰管理設備保持,該第一金鑰進一步基於該第一網路設備的一目標控制平面設備辨識符;及 向該使用者裝置發送一訊息,該訊息包括資料以供該使用者裝置推導該第一金鑰,該資料包含該第一網路設備的該目標控制平面設備辨識符; 其中該第一網路設備是一第一行動性管理功能設備,該第二網路設備是一第二行動性管理功能設備,及其中該第一金鑰是基於標識該第一行動性管理功能設備的一行動性管理功能設備辨識符。
- 根據請求項1之網路設備,其中該處理電路進一步經配置以: 從該金鑰管理設備接收一計數器值金鑰計數連同該第一金鑰。
- 根據請求項1之網路設備,其中該處理電路進一步經配置以: 從該使用者裝置接收該服務區域更新請求;及 回應於經接收的該服務區域請求,發送該訊息至該使用者裝置。
- 根據請求項3之網路設備,其中該處理電路進一步經配置以: 向該第二網路設備發送一設備上下文請求;及 回應於發送該設備上下文請求,從該第二網路設備接收該設備上下文。
- 根據請求項3之網路設備,其中該第二金鑰推導自一完整性金鑰及一加密金鑰,而其中該完整性金鑰及該加密金鑰是推導自一秘密金鑰,及其中該秘密金鑰是該使用者裝置及與該網路相關聯的一認證中心所已知。
- 根據請求項3之網路設備,其中該處理電路進一步經配置以: 在從該使用者裝置接收關於該訊息被成功地接收的通知之後,向該使用者裝置發送一服務區域更新。
- 根據請求項3之網路設備,其中該服務區域更新請求與一追蹤區域更新及/或一路由區域更新中的至少一者相關聯,並且改變服務區域包括改變追蹤區域及/或改變路由區域中的至少一者。
- 根據請求項3之網路設備,其中該訊息是一非存取層安全模式命令,該金鑰管理設備是一通信期金鑰管理功能(SKMF)設備,該使用者裝置是一使用者設備,該設備上下文是與該使用者設備相關聯的一使用者設備上下文,並且該第二金鑰是用於一認證通信期的一通信期根金鑰。
- 根據請求項1之網路設備,其中該處理電路進一步經配置以: 於該第一網路設備處從該第二網路設備接收該前向重定位請求;及 作為回應,藉由從該第一金鑰推導出的一無線電存取節點(RAN)通信期金鑰來向一目標RAN發送一交遞請求。
- 根據請求項9之網路設備,其中該處理電路進一步經配置以: 從該目標RAN接收一交遞請求認可訊息,該交遞請求認可訊息指示該目標RAN將對該使用者裝置進行服務。
- 根據請求項10之網路設備,其中該處理電路進一步經配置以: 僅在從該目標RAN接收到該交遞請求認可訊息之後,向該金鑰管理設備發送指示接收到該第一金鑰的一認可訊息。
- 根據請求項9之網路設備,其中該處理電路進一步經配置以: 向該第二網路設備發送一前向重定位回應,該前向重定位回應包括供該使用者裝置用以推導該第一金鑰的資料,該資料包括保持於該金鑰管理設備處的一計數器值金鑰計數。
- 根據請求項1之網路設備,其中該第二金鑰是在該金鑰管理設備與該使用者裝置之間共享的,及其中該第一網路設備比該金鑰管理設備較不安全。
- 根據請求項1之網路設備,其中該處理電路進一步經配置以基於該第一金鑰來接收或推導下列至少一者:一進化型節點B(eNB)金鑰、一非存取層金鑰、及/或一下一中繼段(NH)金鑰。
- 一種操作於與一網路相關聯的一無線網路設備處的方法,該方法包括下列步驟: 接收下列之至少一者:(a)來自一使用者裝置的一服務區域更新請求,其中該網路設備是一第一網路設備及針對該使用者裝置的一設備上下文是該第一網路設備未知的,(b)來自該使用者裝置的一服務區域更新請求,其中該使用者裝置已改變服務區域,及(c)於該第一網路設備處來自一第二網路設備的一前向重定位請求,該第二網路設備與該第一網路設備分離且其中該第二網路設備先前對該使用者裝置進行服務; 向一金鑰管理設備發送針對一第一金鑰的一請求,該金鑰管理設備與該第一網路設備及該第二網路設備分離; 從該金鑰管理設備接收該第一金鑰,該第一金鑰部分地基於在該金鑰管理設備與該使用者裝置之間共享的一第二金鑰,該第二金鑰由該金鑰管理設備保持,該第一金鑰進一步基於該第一網路設備的一目標控制平面設備辨識符;及 向該使用者裝置發送一訊息,該訊息包括資料以供該使用者裝置推導該第一金鑰,該資料包含該第一網路設備的該目標控制平面設備辨識符;進一步包含 從該使用者裝置接收該服務區域更新請求;及回應於經接收的該服務區域請求,發送該訊息至該使用者裝置。
- 根據請求項15之方法,進一步包括下列步驟: 於該第一網路設備處接收該前向重定位請求;及 作為回應,藉由從該第一金鑰推導出的一無線電存取節點(RAN)通信期金鑰來向一目標RAN發送一交遞請求。
- 根據請求項15之方法,其中該第一網路設備是一第一行動性管理功能設備,該第二網路設備是一第二行動性管理功能設備,及其中該第一金鑰是基於標識該第一行動性管理功能設備的一行動性管理功能設備辨識符。
- 根據請求項15之方法,進一步包括從該金鑰管理設備接收一計數器值金鑰計數連同該第一金鑰。
- 根據請求項15之方法,進一步包括下列步驟: 向該第二網路設備發送一設備上下文請求;及 回應於發送該設備上下文請求,從該第二網路設備接收該設備上下文。
- 根據請求項15之方法,其中該第二金鑰推導自一完整性金鑰及一加密金鑰,而其中該完整性金鑰及該加密金鑰是推導自一秘密金鑰,及其中該秘密金鑰是該使用者裝置及與該網路相關聯的一認證中心所已知。
- 根據請求項15之方法,進一步包括:在從該使用者裝置接收關於該訊息被成功地接收的通知之後,向該使用者裝置發送一服務區域更新。
- 根據請求項15之方法,其中該服務區域更新請求與一追蹤區域更新及/或一路由區域更新中的至少一者相關聯,並且改變服務區域包括改變追蹤區域及/或改變路由區域中的至少一者。
- 根據請求項15之方法,其中該訊息是一非存取層安全模式命令,該金鑰管理設備是一通信期金鑰管理功能(SKMF)設備,該使用者裝置是一使用者設備,該設備上下文是與該使用者設備相關聯的一使用者設備上下文,並且該第二金鑰是用於一認證通信期的一通信期根金鑰。
- 根據請求項15之方法,其中該第二金鑰是在該金鑰管理設備與該使用者裝置之間共享的,及其中該第一網路設備比該金鑰管理設備較不安全。
- 根據請求項15之方法,進一步包括基於該第一金鑰來接收或推導下列至少一者:一進化型節點B(eNB)金鑰、一非存取層金鑰、及/或一下一中繼段(NH)金鑰。
- 一種用於藉與一網路相關聯的一無線網路設備使用的裝置,該裝置包括: 用於接收下列之至少一者的構件:(a)來自一使用者裝置的一服務區域更新請求,其中該網路設備是一第一網路設備及針對該使用者裝置的一設備上下文是該第一網路設備未知的,(b)來自該使用者裝置的一服務區域更新請求,其中該使用者裝置已改變服務區域,及(c)於該第一網路設備處來自一第二網路設備的一前向重定位請求,該第二網路設備與該第一網路設備分離且其中該第二網路設備先前對該使用者裝置進行服務; 用於向一金鑰管理設備發送針對一第一金鑰的一請求的構件,該金鑰管理設備與該第一網路設備及該第二網路設備分離; 用於從該金鑰管理設備接收該第一金鑰的構件,該第一金鑰部分地基於在該金鑰管理設備與該使用者裝置之間共享的一第二金鑰,該第二金鑰由該金鑰管理設備保持,該第一金鑰進一步基於該第一網路設備的一目標控制平面設備辨識符;及 用於向該使用者裝置發送一訊息的構件,該訊息包括資料以供該使用者裝置推導該第一金鑰,該資料包含該第一網路設備的該目標控制平面設備辨識符; 其中該第二金鑰是在該金鑰管理設備與該使用者裝置之間共享的,及其中該第一網路設備比該金鑰管理設備較不安全。
- 根據請求項26之裝置,進一步包括用於基於該第一金鑰來接收或推導下列至少一者的構件:一進化型節點B(eNB)金鑰、一非存取層金鑰、及/或一下一中繼段(NH)金鑰。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562218863P | 2015-09-15 | 2015-09-15 | |
| US62/218,863 | 2015-09-15 | ||
| US15/089,396 | 2016-04-01 | ||
| US15/089,396 US9883385B2 (en) | 2015-09-15 | 2016-04-01 | Apparatus and method for mobility procedure involving mobility management entity relocation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI705728B TWI705728B (zh) | 2020-09-21 |
| TW202037217A true TW202037217A (zh) | 2020-10-01 |
Family
ID=58237244
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109115810A TWI705728B (zh) | 2015-09-15 | 2016-08-15 | 用於涉及行動性管理實體重定位的行動性程序的裝置和方法 |
| TW105125950A TWI750130B (zh) | 2015-09-15 | 2016-08-15 | 用於涉及行動性管理實體重定位的行動性程序的裝置和方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105125950A TWI750130B (zh) | 2015-09-15 | 2016-08-15 | 用於涉及行動性管理實體重定位的行動性程序的裝置和方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (3) | US9883385B2 (zh) |
| EP (1) | EP3351030B1 (zh) |
| JP (1) | JP6812421B2 (zh) |
| KR (1) | KR102355340B1 (zh) |
| CN (1) | CN108141754B (zh) |
| BR (1) | BR112018005017B1 (zh) |
| TW (2) | TWI705728B (zh) |
| WO (1) | WO2017048434A1 (zh) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9883385B2 (en) | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
| CN109076480B (zh) * | 2016-04-28 | 2022-02-08 | 瑞典爱立信有限公司 | 在无线通信网络中处理跟踪区信息 |
| US10362511B2 (en) * | 2016-05-17 | 2019-07-23 | Lg Electronics Inc. | Method and apparatus for determining PDU session identity in wireless communication system |
| WO2018000457A1 (zh) * | 2016-07-01 | 2018-01-04 | 华为技术有限公司 | 一种切换方法及装置 |
| EP3468241B1 (en) * | 2016-07-01 | 2021-08-25 | Huawei Technologies Co., Ltd. | Security negotiation method, security functional entity, core network element, and user equipment |
| US10219193B2 (en) * | 2016-08-22 | 2019-02-26 | Samsung Electronics Co., Ltd. | Method and apparatus for providing services of network to terminal by using slice |
| US10455459B2 (en) * | 2016-08-23 | 2019-10-22 | Lg Electronics Inc. | Method and apparatus for establishing session for data transmission and reception in wireless communication system |
| KR102449475B1 (ko) * | 2016-10-21 | 2022-09-30 | 삼성전자 주식회사 | 무선 통신 시스템에서 단말이 지원 가능한 네트워크 정보에 기반한 단말의 네트워크 접속 방법 및 장치 |
| WO2018079691A1 (ja) * | 2016-10-26 | 2018-05-03 | 日本電気株式会社 | 通信システム、セキュリティ装置、通信端末、及び通信方法 |
| US10609556B2 (en) | 2016-10-31 | 2020-03-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication for next generation systems |
| CN108235317B (zh) * | 2016-12-21 | 2019-06-21 | 电信科学技术研究院有限公司 | 一种接入控制的方法及设备 |
| PT3574669T (pt) | 2017-01-30 | 2021-10-26 | Ericsson Telefon Ab L M | Gestão de contexto de segurança em 5g durante o modo conectado |
| KR102208868B1 (ko) * | 2017-01-30 | 2021-01-29 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 5g 시스템들에서의 보안 앵커 펑션 |
| KR102177519B1 (ko) * | 2017-01-30 | 2020-11-12 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 5g에서 4g 시스템으로의 핸드오버 전의 보안 관리를 위한 방법, 장치, 컴퓨터 프로그램 및 캐리어 |
| WO2018146090A1 (en) * | 2017-02-07 | 2018-08-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Reset of dynamic allowed area list for a ue |
| EP3579589B1 (en) * | 2017-03-07 | 2021-05-12 | Huawei Technologies Co., Ltd. | Session migration method and device |
| JP6996824B2 (ja) * | 2017-05-04 | 2022-01-17 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 鍵取得方法およびデバイス、ならびに通信システム |
| WO2018223311A1 (en) * | 2017-06-07 | 2018-12-13 | Zte Corporation | Methods and computing device for facilitating handover from a first network to a second network |
| EP3648492B1 (en) * | 2017-07-27 | 2021-10-06 | Huawei Technologies Co., Ltd. | Cell switching method and device |
| CN109462847B (zh) * | 2017-07-28 | 2019-08-02 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
| US11071021B2 (en) | 2017-07-28 | 2021-07-20 | Qualcomm Incorporated | Security key derivation for handover |
| US10542428B2 (en) | 2017-11-20 | 2020-01-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context handling in 5G during handover |
| CN109936444B (zh) * | 2017-12-18 | 2021-07-09 | 华为技术有限公司 | 一种密钥生成方法及装置 |
| CN110167081B (zh) * | 2018-02-13 | 2022-07-26 | 中兴通讯股份有限公司 | 认证方法及装置、消息处理方法及装置、存储介质 |
| WO2019170104A1 (en) * | 2018-03-06 | 2019-09-12 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for protection of an intial non-access stratum (nas) message |
| US11061920B2 (en) * | 2018-03-28 | 2021-07-13 | Opus Global, Inc. | Application programming interfaces (“APIs”) for accessing and amalgamating data from incongruent sources |
| CN110730485B (zh) * | 2018-07-17 | 2021-01-29 | 华为技术有限公司 | 切换方法、设备及系统 |
| CN111031486B (zh) * | 2018-10-10 | 2021-05-11 | 电信科学技术研究院有限公司 | 一种定位服务密钥分发方法及其装置 |
| WO2020078416A1 (en) * | 2018-10-17 | 2020-04-23 | Mediatek Singapore Pte. Ltd. | User equipment key derivation at mobility update in mobile communications |
| CN109548178B (zh) * | 2018-12-26 | 2022-02-08 | 腾讯科技(深圳)有限公司 | 一种通信方法和网络设备 |
| CN111404666B (zh) * | 2019-01-02 | 2024-07-05 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
| CN111641947B (zh) * | 2019-03-01 | 2021-12-03 | 华为技术有限公司 | 密钥配置的方法、装置和终端 |
| US11671824B2 (en) * | 2019-08-26 | 2023-06-06 | Qualcomm Incorporated | 5G broadcast/multicast security key refresh |
| US11777935B2 (en) | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
| US11765581B2 (en) | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
| US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
| US11706619B2 (en) | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI393414B (zh) * | 2005-07-06 | 2013-04-11 | Nokia Corp | 安全交談金鑰上下文 |
| KR101196100B1 (ko) * | 2006-05-13 | 2012-11-02 | 삼성전자주식회사 | 통신 시스템에서 인증 방법 및 그 장치 |
| US8094817B2 (en) | 2006-10-18 | 2012-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
| EP2127459A4 (en) * | 2006-12-21 | 2013-06-12 | Ericsson Telefon Ab L M | DEVICE AND METHOD FOR DIRECT TUNNELIZATION ASSOCIATED WITH TRANSFER IN A COMMUNICATION NETWORK |
| US20080181411A1 (en) * | 2007-01-26 | 2008-07-31 | Karl Norrman | Method and system for protecting signaling information |
| CN101431797B (zh) * | 2007-05-11 | 2012-02-01 | 华为技术有限公司 | 一种注册处理方法、系统及装置 |
| CN101378591B (zh) * | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101400059B (zh) | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| CN101516089B (zh) * | 2008-02-18 | 2012-09-05 | 中国移动通信集团公司 | 一种切换方法及系统 |
| CN101610147A (zh) * | 2008-06-16 | 2009-12-23 | 华为技术有限公司 | 密钥处理方法、系统、设备及终端 |
| EP3554113A1 (en) | 2008-08-15 | 2019-10-16 | Samsung Electronics Co., Ltd. | Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system |
| US8131296B2 (en) * | 2008-08-21 | 2012-03-06 | Industrial Technology Research Institute | Method and system for handover authentication |
| US9668139B2 (en) * | 2008-09-05 | 2017-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure negotiation of authentication capabilities |
| WO2010093200A2 (en) * | 2009-02-12 | 2010-08-19 | Lg Electronics Inc. | Method and apparatus for traffic count key management and key count management |
| GB0912944D0 (en) * | 2009-07-24 | 2009-09-02 | Vodafone Plc | SMS over lte sgs interface optimisations |
| KR20110020161A (ko) * | 2009-08-21 | 2011-03-02 | 엘지전자 주식회사 | 이동통신 네트워크 내에서 제어 평면(Control Plane)을 담당하는 서버 및 SIPTO 기반의 세션을 제어하는 방법 |
| US8570995B2 (en) * | 2009-09-30 | 2013-10-29 | Nokia Corporation | Apparatus and method for providing access to a local area network |
| KR101700448B1 (ko) * | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
| US8688115B2 (en) | 2009-11-23 | 2014-04-01 | Telefonaktiebolaget L M Ericsson (Publ) | Access control according to a policy defined for a group of associated electronic devices comprising a cellular modem |
| JP5678094B2 (ja) * | 2009-12-28 | 2015-02-25 | インターデイジタル パテント ホールディングス インコーポレイテッド | Machine−to−machineゲートウェイアーキテクチャ |
| US9084110B2 (en) * | 2010-04-15 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network |
| CN101860862B (zh) * | 2010-05-17 | 2015-05-13 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
| KR101712865B1 (ko) * | 2010-09-09 | 2017-03-08 | 삼성전자주식회사 | 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치 |
| US20120159151A1 (en) | 2010-12-21 | 2012-06-21 | Tektronix, Inc. | Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring |
| US8850545B2 (en) * | 2011-03-23 | 2014-09-30 | Interdigital Patent Holdings, Inc. | Systems and methods for securing network communications |
| US8838971B2 (en) * | 2012-01-16 | 2014-09-16 | Alcatel Lucent | Management of public keys for verification of public warning messages |
| US20130196631A1 (en) * | 2012-01-31 | 2013-08-01 | Qualcomm Incorporated | Methods and apparatus for providing network-assisted end-to-end paging between lte devices tracked by different mobility management entities |
| CN103686708B (zh) * | 2012-09-13 | 2018-01-19 | 电信科学技术研究院 | 一种密钥隔离方法及设备 |
| US9596630B2 (en) * | 2012-11-06 | 2017-03-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Source based selection of serving operator |
| US9794836B2 (en) * | 2012-12-24 | 2017-10-17 | Nokia Technologies Oy | Methods and apparatus for differencitating security configurations in a radio local area network |
| US20160164875A1 (en) * | 2013-06-28 | 2016-06-09 | Nec Corporation | Secure system and method of making secure communication |
| US20170251357A1 (en) * | 2014-09-05 | 2017-08-31 | Nec Corporation | Method and device for transferring mobility management and bearer management |
| CN104661217A (zh) * | 2015-02-09 | 2015-05-27 | 哈尔滨工业大学深圳研究生院 | 基于td-lte网络的鉴权和密钥衍生方法及系统 |
| US9883385B2 (en) | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
-
2016
- 2016-04-01 US US15/089,396 patent/US9883385B2/en active Active
- 2016-08-15 BR BR112018005017-2A patent/BR112018005017B1/pt active IP Right Grant
- 2016-08-15 TW TW109115810A patent/TWI705728B/zh active
- 2016-08-15 WO PCT/US2016/047101 patent/WO2017048434A1/en active Application Filing
- 2016-08-15 JP JP2018513346A patent/JP6812421B2/ja active Active
- 2016-08-15 TW TW105125950A patent/TWI750130B/zh active
- 2016-08-15 CN CN201680052920.5A patent/CN108141754B/zh active Active
- 2016-08-15 EP EP16757786.5A patent/EP3351030B1/en active Active
- 2016-08-15 KR KR1020187010590A patent/KR102355340B1/ko active IP Right Grant
-
2017
- 2017-10-18 US US15/787,575 patent/US10462656B2/en active Active
-
2019
- 2019-10-02 US US16/591,419 patent/US11178543B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018527837A (ja) | 2018-09-20 |
| US20170078874A1 (en) | 2017-03-16 |
| TWI750130B (zh) | 2021-12-21 |
| WO2017048434A1 (en) | 2017-03-23 |
| TW201713149A (zh) | 2017-04-01 |
| EP3351030A1 (en) | 2018-07-25 |
| CN108141754A (zh) | 2018-06-08 |
| BR112018005017B1 (pt) | 2024-02-27 |
| KR20180053373A (ko) | 2018-05-21 |
| CN108141754B (zh) | 2021-12-28 |
| US20180063707A1 (en) | 2018-03-01 |
| BR112018005017A2 (zh) | 2018-10-02 |
| EP3351030B1 (en) | 2021-03-31 |
| US9883385B2 (en) | 2018-01-30 |
| US10462656B2 (en) | 2019-10-29 |
| US20200037155A1 (en) | 2020-01-30 |
| KR102355340B1 (ko) | 2022-01-24 |
| TWI705728B (zh) | 2020-09-21 |
| JP6812421B2 (ja) | 2021-01-13 |
| US11178543B2 (en) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI705728B (zh) | 用於涉及行動性管理實體重定位的行動性程序的裝置和方法 | |
| JP6877524B2 (ja) | ワイヤレス通信のための装置および方法 | |
| US11178584B2 (en) | Access method, device and system for user equipment (UE) |