TWI450557B - 用於為通信期加密和完整性密鑰訊號傳遞增強型安全性上下文的裝置和方法 - Google Patents
用於為通信期加密和完整性密鑰訊號傳遞增強型安全性上下文的裝置和方法 Download PDFInfo
- Publication number
- TWI450557B TWI450557B TW100113219A TW100113219A TWI450557B TW I450557 B TWI450557 B TW I450557B TW 100113219 A TW100113219 A TW 100113219A TW 100113219 A TW100113219 A TW 100113219A TW I450557 B TWI450557 B TW I450557B
- Authority
- TW
- Taiwan
- Prior art keywords
- security context
- service network
- remote station
- message
- information element
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 34
- 230000011664 signaling Effects 0.000 title description 5
- 238000004891 communication Methods 0.000 claims description 88
- 230000004044 response Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 3
- 230000001568 sexual effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000001010 compromised effect Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000006249 magnetic particle Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 229920002939 poly(N,N-dimethylacrylamides) Polymers 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000004846 x-ray emission Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
相關申請的交叉引用
本專利申請案主張2010年4月15日提出申請的美國臨時申請案第61/324,646號的權益,該申請案以引用方式併入本文。
本案係關於2010年4月16日提出申請的美國臨時申請案第61/324,991號和2010年4月16日提出申請的美國臨時申請案第61/325,001號。
本發明大體而言係關於在通用行動電信服務(UMTS)及/或GSM EDGE無線電存取網路(GERAN)中工作的使用者裝備的增強型安全性上下文訊號傳遞。
UMTS第三代(3G)無線電存取網路中或使用3G AKA(認證和密鑰協定)認證的GERAN網路中成功的AKA認證導致用於保證使用者裝備(UE)與網路之間的通訊的一對共享密鑰,亦即密碼密鑰(CK)和完整性密鑰(IK)。該等共享密鑰可以如在UTRAN(UMTS地面無線電存取網路)情形中直接被用來保證UE與網路之間的訊務,或者可被用來靜態地推導密鑰,例如GERAN(GSM EDGE無線電存取網路)情形中的KC
或KC128
。
洩密的密鑰可能導致嚴重的安全性問題,直至該等密鑰在下一次AKA認證時被改變。通常,由於所需要的大量管理負擔,因而AKA認證並不經常執行。另外,若兩個密鑰(CK和IK)皆被洩密,則GERAN密鑰被洩密。
在UMTS/HSPA(高速封包存取)部署中,無線電網路控制器(RNC)和B節點的功能性中的一些或全部可被一起壓縮成網路邊緣處的一個節點。RNC需要用於諸如使用者平面加密和訊號傳遞平面加密以及完整性保護之類的功能性的密鑰。然而,RNC功能性可能被部署在暴露的位置中,諸如在UMTS毫微微細胞服務區內的家庭B節點中。因此,部署在可能不安全的位置中的提供存取(包括實體存取)的RNC功能性可能允許該等密鑰(亦即CK和IK)被洩密。
通信期密鑰(CK和IK的修改版本)可被用來降低與暴露的RNC功能性相關聯的安全性風險。在美國專利申請公開案第US 2007/0230707 A1號中揭示用於提供此類通信期密鑰的技術。
遺憾的是,此類通信期密鑰的使用需要對服務網路進行升級修改。然而,網路服務供應商有可能以分階段的方式來升級服務網路。
因此,需要用於訊號傳遞與舊式服務網路相容的增強型安全性上下文支援的技術。
本發明的一態樣可在於一種用於建立遠端站與服務網路之間的第一安全性上下文的方法。第一安全性上下文具有不受第二安全性上下文支援的安全性特性。在該方法中,遠端站向服務網路轉發第一訊息,其中該第一訊息包括訊號傳遞該遠端站支援第一安全性上下文的資訊元素。遠端站根據第一安全性上下文使用該資訊元素來產生至少一個通信期密鑰。遠端站回應於第一訊息而接收具有服務網路支援第一安全性上下文的指示的第二訊息。遠端站回應於第二訊息而使無線通訊由該至少一個通信期密鑰來保護。
在本發明的更詳細態樣中,資訊元素可包括為通信期更新的計數值。另外,服務網路支援第一安全性上下文的指示可包括認證碼,該認證碼是基於由服務網路使用接收自遠端站的資訊元素產生的相應的至少一個通信期密鑰產生的。另外,遠端站可包括行動使用者裝備。
在本發明的其他更詳細態樣中,服務網路可以是UMTS服務網路。第一安全性上下文可以是增強型UMTS安全性上下文,而第二安全性上下文可以是舊式UTRAN安全性上下文。或者,服務網路可以是GERAN服務網路。
本發明的另一態樣可在於一種遠端站,該遠端站可包括用於向服務網路轉發第一訊息的構件,其中該第一訊息包括訊號傳遞該遠端站支援第一安全性上下文的資訊元素,並且其中第一安全性上下文具有不受第二安全性上下文支援的安全性特性;用於根據第一安全性上下文使用該資訊元素來產生至少一個通信期密鑰的構件;用於回應於第一訊息而接收具有服務網路支援第一安全性上下文的指示的第二訊息的構件;及用於回應於第二訊息而使無線通訊由該至少一個通信期密鑰來保護的構件。
本發明的另一態樣可在於一種可包括處理器的遠端站,該處理器被配置成:向服務網路轉發第一訊息,其中該第一訊息包括訊號傳遞該遠端站支援第一安全性上下文的資訊元素,並且其中第一安全性上下文具有不受第二安全性上下文支援的安全性特性;根據第一安全性上下文使用該資訊元素來產生至少一個通信期密鑰;回應於第一訊息而接收具有服務網路支援第一安全性上下文的指示的第二訊息;及回應於第二訊息而使無線通訊由該至少一個通信期密鑰來保護。
本發明的另一態樣可在於一種包括電腦可讀取儲存媒體的電腦程式產品,該電腦可讀取儲存媒體包括用於使電腦向服務網路轉發第一訊息的代碼,其中該第一訊息包括訊號傳遞該電腦支援第一安全性上下文的資訊元素,並且其中第一安全性上下文具有不受第二安全性上下文支援的安全性特性;用於使電腦根據第一安全性上下文使用該資訊元素來產生至少一個通信期密鑰的代碼;用於使電腦回應於第一訊息而接收具有服務網路支援第一安全性上下文的指示的第二訊息的代碼;及用於使電腦回應於第二訊息而使無線通訊由該至少一個通信期密鑰來保護的代碼。
用語「示例性」在本文中用於意謂「用作示例、實例或說明」。本文中描述為「示例性」的任何實施例未必被解釋為優於或勝過其他實施例。
參閱圖2到圖4,本發明的一態樣可在於用於建立遠端站210與服務網路230之間的增強型安全性上下文的方法400。在該方法中,遠端站向服務網路轉發第一訊息(步驟410),其中該第一訊息包括訊號傳遞該遠端站支援增強型安全性上下文的資訊元素。遠端站根據增強型安全性上下文使用該資訊元素來產生至少一個通信期密鑰(CKS
和IKS
)(步驟420)。遠端站回應於第一訊息而接收具有服務網路支援增強型安全性上下文的指示的第二訊息(步驟430)。遠端站回應於第二訊息而使無線通訊由該至少一個通信期密鑰來保護(步驟440)。
該資訊元素可包括計數。另外,服務網路支援增強型安全性上下文的指示可包括認證碼(MAC),該認證碼是基於由服務網路230使用接收自遠端站210的資訊元素產生的相應的至少一個通信期密鑰產生的。另外,遠端站可包括諸如無線設備之類的行動使用者裝備(UE)。
進一步參閱圖8,本發明的另一態樣可在於一種遠端站210,該遠端站210可包括用於向服務網路230轉發第一訊息的構件(處理器810),其中該第一訊息包括訊號傳遞該遠端站支援增強型安全性上下文的資訊元素;用於根據增強型安全性上下文使用該資訊元素來產生至少一個通信期密鑰的構件;用於回應於第一訊息而接收具有服務網路支援增強型安全性上下文的指示的第二訊息的構件;及用於回應於第二訊息而使無線通訊由該至少一個通信期密鑰來保護的構件。
本發明的另一態樣可在於一種可包括處理器810的遠端站210,該處理器810被配置成:向服務網路230轉發第一訊息,其中該第一訊息包括訊號傳遞該遠端站支援增強型安全性上下文的資訊元素;根據增強型安全性上下文使用該資訊元素來產生至少一個通信期密鑰;回應於第一訊息而接收具有服務網路支援增強型安全性上下文的指示的第二訊息;及回應於第二訊息而使無線通訊由該至少一個通信期密鑰來保護。
本發明的另一態樣可在於一種包括電腦可讀取儲存媒體820的電腦程式產品,該電腦可讀取儲存媒體820包括用於使電腦800向服務網路230轉發第一訊息的代碼,其中該第一訊息包括訊號傳遞該電腦支援增強型安全性上下文的資訊元素;用於使電腦根據增強型安全性上下文使用該資訊元素來產生至少一個通信期密鑰的代碼;用於使電腦回應於第一訊息而接收具有服務網路支援增強型安全性上下文的指示的第二訊息的代碼;及用於使電腦回應於第二訊息而使無線通訊由該至少一個通信期密鑰來保護的代碼。
服務核心網路230連接至向遠端站210提供無線通訊的服務RAN(無線電存取網路)220。在UMTS/UTRAN架構中,服務RAN包括B節點和RNC(無線電網路控制器)。在GERAN架構中,服務RAN包括BTS(基地收發站)和BSC(基地台控制器)。服務核心網路包括用於提供電路交換(CS)服務的MSC/VLR(行動交換中心/訪客位置暫存器)和用於提供封包交換(PS)服務的SGSN(服務GPRS支援節點)。家庭網路包括HLR(本地暫存器)和AuC(認證中心)。
可以用新的安全性特性來增強UE 210和服務核心網路230以使用COUNT(計數器值)來建立增強型UMTS安全性上下文(ESC)。當AKA認證被執行時,可以從CK和IK推導用於ESC的256位元根密鑰(KASMEU
)。根密鑰可被設為等於CK∥IK,或者可使用導致額外的有用安全性特性(例如,CK和IK不需要被保持)的更複雜的推導來推導根密鑰。COUNT可以是在UE與服務核心網路之間維護的16位元計數器值。注意:舊式UTRAN安全性上下文由KSI(3位元密鑰集識別符)、CK(128位元加密密鑰)和IK(128位元完整性密鑰)構成。
參閱圖5,在與UMTS附接程序有關的方法500中,UE 210可在UMTS附接請求訊息中訊號傳遞該UE 210支援ESC(步驟510)。ESC是第一安全性上下文的實例。支援訊號傳遞可以是該訊息中新資訊元素(IE)的存在。該IE可包括計數值。不支援ESC的服務網路SN 230將忽略該新IE。不支援ESC是第二安全性上下文的實例。從HLR/AuC 240獲得認證資料(RAND、XRES、CK、IK、AUTN)(步驟515)。SN可在對UE的AKA質問(認證請求)中指示ESC支援(步驟520)。UE執行認證程序(步驟525)並向SN返回回應RES(步驟530)。在成功認證(步驟530)之後,UE和SN推導根密鑰KASMEU
和通信期密鑰CKS
和IKS
(步驟535)。SN在SMC(安全性模式命令)訊息中向RAN 220轉發該等通信期密鑰(步驟540)。RAN使用通信期密鑰IKS
來產生訊息認證碼(MAC),該MAC在SMC訊息中被轉發給UE(步驟545)。UE使用該UE推導出的通信期密鑰IKS
來檢查該MAC(步驟550),並向RAN返回完成指示(步驟555),該RAN向SN轉發該完成指示(步驟560)。UE隨後能夠使用該等通信期密鑰來保護通訊(步驟565)。
參閱圖6,在與閒置至有效模式程序600有關的方法600中,UE 210向SN 230轉發包括計數值的服務請求訊息(步驟610)。UE和SN從根密鑰KASMEU
推導新的通信期密鑰CKS
和IKS
(步驟620)。SN在SMC訊息中向RAN 220轉發該等通信期密鑰(步驟630)。RAN產生MAC,該MAC在SMC訊息中被轉發給UE(步驟640)。UE檢查該MAC(步驟650)並向RAN返回完成指示(步驟660),該RAN向SN轉發該完成指示(步驟670)。UE隨後能夠使用該等通信期密鑰來保護通訊(步驟680)。
參閱圖7,在與行動性管理程序700(諸如路由區域更新(RAU)或位置區域更新(LAU))有關的方法700中,UE 210向SN 230轉發包括計數值的RAU(或LAU)請求訊息(步驟710)。視情況,UE和SN可從根密鑰KASMEU
推導新的通信期密鑰CKS
和IKS
(步驟720)。SN可在SMC訊息中向RAN 220轉發該等通信期密鑰(步驟730)。RAN可產生MAC,該MAC可在SMC訊息中被轉發給UE(步驟740)。UE可檢查該MAC(步驟750),並可向RAN返回完成指示(步驟760),該RAN向SN轉發該完成指示(步驟770)。SN隨後向UE發送RAU接受訊息(步驟780)。UE隨後能夠使用該等通信期密鑰來保護通訊。
可以為從閒置向有效狀態的每個轉移產生新的存取階層(AS)密鑰。類似地,可以在其他事件發生時產生密鑰。可以在閒置行動性訊息中和在初始的層3訊息(例如,用於閒置、行動性或服務請求的附接、RAU、LAU)中發送計數值。SN可檢查所發送的計數值在之前尚未被使用過,並在該過程中更新儲存著的計數值。若計數值是新的(例如,接收到的計數值>儲存著的計數值),則UE和SN使用諸如HMAC-SHA256之類的密鑰推導函數(KDF)從根密鑰KASMEU
和所發送的計數值來著手演算新的密鑰CKS
和IKS
。KDF可包括關於新密鑰演算的諸如RAN節點身份之類的額外資訊。若檢查失敗(計數值不是新的),則SN拒絕該訊息。對於GERAN使用,在從CKS
和IKS
演算KC
和KC128
時,該演算可以按與在從CK和IK演算KC
和KC128
時相同的方式進行。
通信期密鑰(CKS
和IKS
)可具有壽命,以使得UE和服務網路保持並使用該等通信期密鑰,直至儲存該等密鑰以在UE與網路之間安全地發送訊務不再是必需的(UE移至閒置模式)或者在後續事件(例如,AKA認證或行動性事件)發生時建立了新的上下文。
遠端站210可包括電腦800,該電腦包括諸如記憶體之類的儲存媒體820、顯示器830以及諸如鍵盤之類的輸入設備840。該裝置可包括無線連接850。
參閱圖1,無線遠端站(RS)102(或UE)可以與無線通訊系統100的一或多個基地台(BS)104通訊。無線通訊系統100可進一步包括一或多個基地台控制器(BSC)106以及核心網路108。核心網路可經由合適的回載連接至網際網路110和公用交換電話網(PSTN)112。典型的無線行動站可包括手持電話或膝上型電腦。無線通訊系統100可以採用數種多工存取技術中的任何一種,諸如分碼多工存取(CDMA)、分時多工存取(TDMA)、分頻多工存取(FDMA)、分空間多工存取(SDMA)、分極多工存取(PDMA),或其他本領域中所知的調制技術。
無線設備102可包括基於由無線設備傳送或在無線設備處接收到的信號來執行諸功能的各種元件。例如,無線頭戴式送受話器可包括調適成基於經由接收機接收到的信號提供音訊輸出的轉換器。無線手錶可包括調適成基於經由接收機接收到的信號提供指示的使用者介面。無線感測設備可包括調適成提供要傳送給另一設備的資料的感測器。
無線設備可經由一或多個無線通訊鏈路通訊,該等無線通訊鏈路基於或以其他方式支援任何合適的無線通訊技術。例如,在一些態樣中,無線設備可與網路相關聯。在一些態樣中,網路可包括人體區域網路或個人區域網路(例如,超寬頻網路)。在一些態樣中,網路可包括區域網路或廣域網路。無線設備可支援或以其他方式使用各種無線通訊技術、協定或標準(諸如CDMA、TDMA、OFDM、OFDMA、WiMAX和Wi-Fi)中的一或多個。類似地,無線設備可支援或以其他方式使用各種相應調制或多工方案中的一或多個。無線設備由此可包括用於使用以上或其他無線通訊技術建立一或多個無線通訊鏈路並經由該一或多個無線通訊鏈路來通訊的合適元件(例如,空中介面)。例如,設備可包括具有相關聯的發射機和接收機元件(例如,發射機和接收機)的無線收發機,該等發射機和接收機元件可包括促進無線媒體上的通訊的各種元件(例如,信號產生器和信號處理器)。
本文中的教示可被併入各種裝置(例如,設備)中(例如,實施在其內或由其執行)。例如,本文教示的一或多個態樣可被併入電話(例如,蜂巢式電話)、個人資料助理(「PDA」)、娛樂設備(例如,音樂或視訊設備)、頭戴式送受話器(例如,聽筒、耳機等)、麥克風、醫療設備(例如,生物測定感測器、心率監視器、計步器、EKG設備等)、使用者I/O設備(例如,手錶、遙控器、照明開關、鍵盤、滑鼠等)、輪胎氣壓監視器、電腦、銷售點(POS)設備、娛樂設備、助聽器、機上盒或任何其他合適設備中。
該等設備可具有不同功率和資料需求。在一些態樣中,本文中的教示可調適成用在低功率應用中(例如,經由使用基於脈衝的訊號傳遞方案和低工作週期模式),並且可支援各種資料率,包括相對高的資料率(例如,經由使用高頻寬脈衝)。
在一些態樣中,無線設備可包括通訊系統的存取設備(例如,Wi-Fi存取點)。此類存取設備可提供例如經由有線或無線通訊鏈路至另一網路(例如,諸如網際網路或蜂巢網路等廣域網路)的連接性。因此,存取設備可使得另一設備(例如,Wi-Fi站)能夠存取該另一網路或某個其他功能性。此外應瞭解,該等設備中的一者或兩者可以是攜帶型的,或者在一些情形中為相對非攜帶型的。
本領域技藝人士將可理解,資訊和信號可使用各種不同技術和技藝中的任何技術和技藝來表示。例如,以上描述通篇引述的資料、指令、命令、資訊、信號、位元、符號和碼片可由電壓、電流、電磁波、磁場或磁粒子、光場或光粒子或其任何組合來表示。
本領域技藝人士將進一步瞭解,結合本文中所揭示的實施例來描述的各種說明性邏輯區塊、模組、電路和演算法步驟可實施為電子硬體、電腦軟體或該兩者的組合。為清楚地說明硬體與軟體的該可互換性,各種說明性元件、方塊、模組、電路和步驟在上文是以其功能性的形式作一般化描述的。此類功能性是被實施為硬體還是軟體取決於特定應用和施加於整體系統的設計約束。技藝人士對於每種特定應用可用不同的方式來實施所描述的功能性,但此類實施決策不應被解釋成導致脫離了本發明的範疇。
結合本文所揭示的實施例描述的各種說明性邏輯區塊、模組和電路可用通用處理器、數位信號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式閘陣列(FPGA)或其他可程式邏輯設備、個別閘門或電晶體邏輯、個別硬體元件,或其設計成執行本文所描述功能的任何組合來實施或執行。通用處理器可以是微處理器,但在替代方案中,處理器可以是任何一般處理器、控制器、微控制器或狀態機。處理器亦可以被實施為計算設備的組合,例如DSP與微處理器的組合、複數個微處理器、與DSP核心結合的一或多個微處理器或任何其他此類配置。
結合本文中揭示的實施例描述的方法或演算法的步驟可直接在硬體中、在由處理器執行的軟體模組中或在該兩者的組合中實施。軟體模組可常駐在RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、CD-ROM或本領域中已知的任何其他形式的儲存媒體中。示例性儲存媒體耦合到處理器以使得該處理器能從/向該儲存媒體讀取和寫入資訊。在替代方案中,儲存媒體可以被整合到處理器。處理器和儲存媒體可常駐在ASIC中。ASIC可常駐在使用者終端中。在替代方案中,處理器和儲存媒體可作為個別元件常駐在使用者終端中。
在一或多個示例性實施例中,所描述的功能可在硬體、軟體、韌體或其任何組合中實施。若在軟體中實施為電腦程式產品,則各功能可以作為一或多個指令或代碼儲存在電腦可讀取媒體上或經由其進行傳送。電腦可讀取媒體包括電腦儲存媒體和通訊媒體兩者,通訊媒體包括促進電腦程式從一地向另一地轉移的任何媒體。儲存媒體可以是能被電腦存取的任何可用媒體。舉例而言(但並非限制),此種電腦可讀取媒體可包括RAM、ROM、EEPROM、CD-ROM或其他光碟儲存、磁碟儲存或其他磁性儲存設備,或能被用來攜帶或儲存指令或資料結構形式的所要程式碼且能被電腦存取的任何其他媒體。任何連接亦被適當地稱為電腦可讀取媒體。例如,若軟體是使用同軸電纜、光纖電纜、雙絞線、數位用戶線(DSL),或諸如紅外、無線電以及微波之類的無線技術從網站、伺服器或其他遠端源傳送而來,則該同軸電纜、光纖電纜、雙絞線、DSL,或諸如紅外、無線電以及微波之類的無線技術就被包括在媒體的定義之中。如本文中所使用的磁碟(disk)和光碟(disc)包括壓縮光碟(CD)、鐳射光碟、光碟、數位多功能光碟(DVD)、軟碟和藍光光碟,其中磁碟(disk)往往以磁性的方式再現資料,而光碟(disc)用鐳射以光學方式再現資料。上述的組合亦應被包括在電腦可讀取媒體的範疇內。
提供對所揭示的實施例的先前描述是為了使本領域任何技藝人士皆能夠製作或使用本發明。對該等實施例的各種修改對於本領域技藝人士將是顯而易見的,並且本文中定義的一般性原理可被應用於其他實施例而不會脫離本發明的精神或範疇。由此,本發明並非意欲被限於本文中所示的實施例,而是應被授予與本文中揭示的原理和新穎性特徵一致的最廣義的範疇。
100...無線通訊系統
102...無線遠端站/無線設備
104...基地台(BS)
106...基地台控制器(BSC)
108...核心網路
110...網際網路
112...公用交換電話網(PSTN)
210...遠端站/UE
220...RAN
230...服務網路/服務核心網路
240...HLR/AuC
400...方法
410...步驟
420...步驟
430...步驟
440...步驟
500...方法
510...步驟
515...步驟
520...步驟
525...步驟
530...步驟
535...步驟
540...步驟
545...步驟
550...步驟
555...步驟
560...步驟
565...步驟
600...閒置至有效模式程序/方法
610...步驟
620...步驟
630...步驟
640...步驟
650...步驟
660...步驟
670...步驟
680...步驟
700...行動性管理程序
710...步驟
720...步驟
730...步驟
740...步驟
750...步驟
760...步驟
770...步驟
780...步驟
800...電腦
810...處理器
820...電腦可讀取儲存媒體
830...顯示器
840...輸入設備
850...無線連接
圖1是無線通訊系統的實例的方塊圖。
圖2是根據UMTS/UTRAN架構的無線通訊系統的實例的方塊圖。
圖3是根據GERAN架構的無線通訊系統的實例的方塊圖。
圖4是用於建立遠端站與服務網路之間的增強型安全性上下文的方法的流程圖。
圖5是用於基於附接請求訊息來建立遠端站與服務網路之間的增強型安全性上下文的方法的流程圖。
圖6是用於基於服務請求訊息從遠端站與服務網路之間的增強型安全性上下文建立至少一個通信期密鑰的方法的流程圖。
圖7是用於基於路由區域更新請求訊息從遠端站與服務網路之間的增強型安全性上下文建立至少一個通信期密鑰的方法的流程圖。
圖8是包括處理器和記憶體的電腦的方塊圖。
400...方法
410...步驟
420...步驟
430...步驟
440...步驟
Claims (27)
- 一種用於建立一遠端站與一服務網路之間的一第一安全性上下文的方法,該第一安全性上下文具有不受一第二安全性上下文支援的一安全性特性,該方法包括以下步驟:該遠端站向該服務網路轉發一第一訊息,其中該第一訊息包括訊號傳遞該遠端站支援該第一安全性上下文的一資訊元素;該遠端站根據該第一安全性上下文使用該資訊元素來產生至少一個通信期密鑰;該遠端站回應於該第一訊息而接收具有該服務網路支援該第一安全性上下文的一指示的一第二訊息;及該遠端站回應於該第二訊息而使無線通訊由該至少一個通信期密鑰來保護。
- 如請求項1之方法,其中該資訊元素包括為一通信期更新的一計數值。
- 如請求項1之方法,其中該服務網路是一UMTS服務網路。
- 如請求項3之方法,其中該第一安全性上下文是一增強型UMTS安全性上下文,並且該第二安全性上下文是一 舊式UTRAN安全性上下文。
- 如請求項1之方法,其中該服務網路是一GERAN服務網路。
- 如請求項1之方法,其中該服務網路支援該第一安全性上下文的該指示包括一認證碼,該認證碼是基於由該服務網路使用接收自該遠端站的該資訊元素產生的一相應的至少一個通信期密鑰來產生的。
- 如請求項1之方法,其中該遠端站包括一行動使用者裝備。
- 一種遠端站,該遠端站包括:用於向一服務網路轉發一第一訊息的構件,其中該第一訊息包括訊號傳遞該遠端站支援一第一安全性上下文的一資訊元素,並且其中該第一安全性上下文具有不受一第二安全性上下文支援的一安全性特性;用於根據該第一安全性上下文使用該資訊元素來產生至少一個通信期密鑰的構件;用於回應於該第一訊息而接收具有該服務網路支援該第一安全性上下文的一指示的一第二訊息的構件;及用於回應於該第二訊息而使無線通訊由該至少一個通信期密鑰來保護的構件。
- 如請求項8之遠端站,其中該資訊元素包括為一通信期更新的一計數值。
- 如請求項8之遠端站,其中該服務網路是一UMTS服務網路。
- 如請求項10之遠端站,其中該第一安全性上下文是一增強型UMTS安全性上下文,並且該第二安全性上下文是一舊式UTRAN安全性上下文。
- 如請求項8之遠端站,其中該服務網路是一GERAN服務網路。
- 如請求項8之遠端站,其中該服務網路支援該第一安全性上下文的該指示包括一認證碼,該認證碼是基於由該服務網路使用接收自該遠端站的該資訊元素產生的一相應的至少一個通信期密鑰來產生的。
- 如請求項8之遠端站,其中該遠端站包括一行動使用者裝備。
- 一種遠端站,該遠端站包括:一處理器,該處理器被配置為: 向一服務網路轉發一第一訊息,其中該第一訊息包括訊號傳遞該遠端站支援一第一安全性上下文的一資訊元素,並且其中該第一安全性上下文具有不受一第二安全性上下文支援的一安全性特性;根據該第一安全性上下文使用該資訊元素來產生至少一個通信期密鑰;回應於該第一訊息而接收具有該服務網路支援該第一安全性上下文的一指示的一第二訊息;及回應於該第二訊息而使無線通訊由該至少一個通信期密鑰來保護。
- 如請求項15之遠端站,其中該資訊元素包括為一通信期更新的一計數值。
- 如請求項15之遠端站,其中該服務網路是一UMTS服務網路。
- 如請求項17之遠端站,其中該第一安全性上下文是一增強型UMTS安全性上下文,並且該第二安全性上下文是一舊式UTRAN安全性上下文。
- 如請求項15之遠端站,其中該服務網路是一GERAN服務網路。
- 如請求項15之遠端站,其中該服務網路支援該第一安全性上下文的該指示包括一認證碼,該認證碼是基於由該服務網路使用接收自該遠端站的該資訊元素產生的一相應的至少一個通信期密鑰來產生的。
- 如請求項15之遠端站,其中該遠端站包括一行動使用者裝備。
- 一種電腦程式產品,該電腦程式產品包括:電腦可讀取儲存媒體,該電腦可讀取儲存媒體包括:用於使一電腦向一服務網路轉發一第一訊息的代碼,其中該第一訊息包括訊號傳遞該電腦支援一第一安全性上下文的一資訊元素,並且其中該第一安全性上下文具有不受一第二安全性上下文支援的一安全性特性;用於使一電腦根據該第一安全性上下文使用該資訊元素來產生至少一個通信期密鑰的代碼;用於使一電腦回應於該第一訊息而接收具有該服務網路支援該第一安全性上下文的一指示的一第二訊息的代碼;及用於使一電腦回應於該第二訊息而使無線通訊由該至少一個通信期密鑰來保護的代碼。
- 如請求項22之電腦程式產品,其中該資訊元素包括為一通信期更新的一計數值。
- 如請求項22之電腦程式產品,其中該服務網路是一UMTS服務網路。
- 如請求項24之電腦程式產品,其中該第一安全性上下文是一增強型UMTS安全性上下文,並且該第二安全性上下文是一舊式UTRAN安全性上下文。
- 如請求項22之電腦程式產品,其中該服務網路是一GERAN服務網路。
- 如請求項22之電腦程式產品,其中該服務網路支援該第一安全性上下文的該指示包括一認證碼,該認證碼是基於由該服務網路使用該所接收到的資訊元素產生的一相應的至少一個通信期密鑰來產生的。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US32464610P | 2010-04-15 | 2010-04-15 | |
US13/084,378 US9197669B2 (en) | 2010-04-15 | 2011-04-11 | Apparatus and method for signaling enhanced security context for session encryption and integrity keys |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201206139A TW201206139A (en) | 2012-02-01 |
TWI450557B true TWI450557B (zh) | 2014-08-21 |
Family
ID=44584594
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW100113219A TWI450557B (zh) | 2010-04-15 | 2011-04-15 | 用於為通信期加密和完整性密鑰訊號傳遞增強型安全性上下文的裝置和方法 |
Country Status (16)
Country | Link |
---|---|
EP (1) | EP2559276A2 (zh) |
JP (2) | JP5795055B2 (zh) |
KR (1) | KR101474093B1 (zh) |
CN (1) | CN102835136B (zh) |
AU (1) | AU2011239422B2 (zh) |
BR (1) | BR112012026136B1 (zh) |
CA (1) | CA2795358C (zh) |
HK (1) | HK1177861A1 (zh) |
IL (1) | IL222384A (zh) |
MX (1) | MX2012011985A (zh) |
MY (1) | MY171059A (zh) |
RU (1) | RU2555227C2 (zh) |
SG (1) | SG184442A1 (zh) |
TW (1) | TWI450557B (zh) |
UA (1) | UA108099C2 (zh) |
WO (1) | WO2011130682A2 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3800828A1 (en) | 2015-07-02 | 2021-04-07 | GN Hearing A/S | Client device with certificate and related method |
PL3360303T3 (pl) | 2015-10-05 | 2020-06-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Komunikacja bezprzewodowa |
US10887310B2 (en) * | 2015-12-21 | 2021-01-05 | Koninklijke Philips N.V. | Network system for secure communication |
SG10201605752PA (en) | 2016-07-13 | 2018-02-27 | Huawei Int Pte Ltd | A unified authentication work for heterogeneous network |
CN109479194B (zh) * | 2016-07-18 | 2023-04-07 | 瑞典爱立信有限公司 | 加密安全性以及完整性保护 |
DK3334185T3 (da) | 2016-12-08 | 2021-09-13 | Gn Hearing As | Hearing system, devices and method of securing communication for a user application |
RU2734873C1 (ru) * | 2017-01-30 | 2020-10-23 | Телефонактиеболагет Лм Эрикссон (Пабл) | Функция привязки безопасности в 5g-системах |
US10893568B2 (en) * | 2017-08-18 | 2021-01-12 | Huawei Technologies Co., Ltd. | Location and context management in a RAN INACTIVE mode |
US10939288B2 (en) * | 2018-01-14 | 2021-03-02 | Qualcomm Incorporated | Cellular unicast link establishment for vehicle-to-vehicle (V2V) communication |
FI3777279T3 (fi) | 2018-04-04 | 2024-08-21 | Zte Corp | Eheyden suojauksen hallintamenetelmät |
CN110831007B (zh) * | 2018-08-10 | 2021-09-17 | 华为技术有限公司 | 用户面完整性保护方法、装置及设备 |
TW202038675A (zh) * | 2019-04-08 | 2020-10-16 | 新加坡商 聯發科技(新加坡)私人有限公司 | 從非接入層透明容器失敗恢復5g非接入層 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1606892A (zh) * | 2001-11-05 | 2005-04-13 | 高通股份有限公司 | 用于cdma通信系统中消息整体性的方法和装置 |
CN101385273A (zh) * | 2006-02-13 | 2009-03-11 | 卢森特技术有限公司 | 密码同步的方法 |
CN101606407A (zh) * | 2007-02-02 | 2009-12-16 | 诺基亚公司 | 在切换期间改变无线电接入网安全算法 |
EP2139260A1 (en) * | 2007-05-15 | 2009-12-30 | Huawei Technologies Co., Ltd. | Method for performing security negotiation during handoff between different wireless access technology and device thereof |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6986040B1 (en) * | 2000-11-03 | 2006-01-10 | Citrix Systems, Inc. | System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel |
EP1854263B1 (en) * | 2005-02-04 | 2011-05-25 | Qualcomm Incorporated | Secure bootstrapping for wireless communications |
CA2567416C (en) * | 2005-11-07 | 2018-10-09 | Harsch Khandelwal | Verification of a testimonial |
CN101406024A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | Umts的lte的安全考量 |
US9106409B2 (en) | 2006-03-28 | 2015-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling keys used for encryption and integrity |
AU2007232622B2 (en) * | 2006-03-31 | 2010-04-29 | Samsung Electronics Co., Ltd. | System and method for optimizing authentication procedure during inter access system handovers |
US20090164788A1 (en) * | 2006-04-19 | 2009-06-25 | Seok-Heon Cho | Efficient generation method of authorization key for mobile communication |
PL2099584T3 (pl) * | 2006-07-18 | 2018-01-31 | Kistler Holding Ag | Łączący zespół |
US8094817B2 (en) * | 2006-10-18 | 2012-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
EP1973265A1 (en) * | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
CN101304600B (zh) * | 2007-05-08 | 2011-12-07 | 华为技术有限公司 | 安全能力协商的方法及系统 |
KR100924168B1 (ko) * | 2007-08-07 | 2009-10-28 | 한국전자통신연구원 | 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법 |
CN103220674B (zh) * | 2007-09-03 | 2015-09-09 | 华为技术有限公司 | 一种终端移动时防止降质攻击的方法、系统及装置 |
CN101232736B (zh) * | 2008-02-22 | 2012-02-29 | 中兴通讯股份有限公司 | 用于不同接入系统之间密钥生存计数器的初始化设置方法 |
-
2011
- 2011-04-15 MX MX2012011985A patent/MX2012011985A/es active IP Right Grant
- 2011-04-15 WO PCT/US2011/032755 patent/WO2011130682A2/en active Application Filing
- 2011-04-15 JP JP2013505195A patent/JP5795055B2/ja active Active
- 2011-04-15 EP EP11738847A patent/EP2559276A2/en not_active Withdrawn
- 2011-04-15 CN CN201180018855.1A patent/CN102835136B/zh not_active Expired - Fee Related
- 2011-04-15 KR KR1020127029828A patent/KR101474093B1/ko not_active IP Right Cessation
- 2011-04-15 BR BR112012026136-3A patent/BR112012026136B1/pt active IP Right Grant
- 2011-04-15 RU RU2012148506/08A patent/RU2555227C2/ru active
- 2011-04-15 MY MYPI2012004417A patent/MY171059A/en unknown
- 2011-04-15 SG SG2012073748A patent/SG184442A1/en unknown
- 2011-04-15 CA CA2795358A patent/CA2795358C/en active Active
- 2011-04-15 TW TW100113219A patent/TWI450557B/zh active
- 2011-04-15 AU AU2011239422A patent/AU2011239422B2/en active Active
- 2011-04-15 UA UAA201212984A patent/UA108099C2/ru unknown
-
2012
- 2012-10-11 IL IL222384A patent/IL222384A/en active IP Right Grant
-
2013
- 2013-04-22 HK HK13104841.8A patent/HK1177861A1/zh unknown
-
2015
- 2015-05-13 JP JP2015098276A patent/JP6069407B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1606892A (zh) * | 2001-11-05 | 2005-04-13 | 高通股份有限公司 | 用于cdma通信系统中消息整体性的方法和装置 |
CN101385273A (zh) * | 2006-02-13 | 2009-03-11 | 卢森特技术有限公司 | 密码同步的方法 |
CN101606407A (zh) * | 2007-02-02 | 2009-12-16 | 诺基亚公司 | 在切换期间改变无线电接入网安全算法 |
EP2139260A1 (en) * | 2007-05-15 | 2009-12-30 | Huawei Technologies Co., Ltd. | Method for performing security negotiation during handoff between different wireless access technology and device thereof |
Also Published As
Publication number | Publication date |
---|---|
AU2011239422B2 (en) | 2014-05-08 |
MY171059A (en) | 2019-09-23 |
BR112012026136B1 (pt) | 2021-09-21 |
CA2795358A1 (en) | 2011-10-20 |
AU2011239422A1 (en) | 2012-11-08 |
HK1177861A1 (zh) | 2013-08-30 |
CA2795358C (en) | 2017-12-19 |
JP2015180095A (ja) | 2015-10-08 |
IL222384A (en) | 2017-02-28 |
EP2559276A2 (en) | 2013-02-20 |
WO2011130682A2 (en) | 2011-10-20 |
MX2012011985A (es) | 2012-12-17 |
SG184442A1 (en) | 2012-11-29 |
RU2012148506A (ru) | 2014-05-20 |
UA108099C2 (uk) | 2015-03-25 |
JP5795055B2 (ja) | 2015-10-14 |
CN102835136A (zh) | 2012-12-19 |
JP2013524741A (ja) | 2013-06-17 |
JP6069407B2 (ja) | 2017-02-01 |
IL222384A0 (en) | 2012-12-31 |
KR20130018299A (ko) | 2013-02-20 |
BR112012026136A2 (pt) | 2016-06-28 |
RU2555227C2 (ru) | 2015-07-10 |
CN102835136B (zh) | 2016-04-06 |
WO2011130682A3 (en) | 2012-03-01 |
KR101474093B1 (ko) | 2014-12-17 |
TW201206139A (en) | 2012-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI441529B (zh) | 用於將增強型安全性語境從基於utran/geran的服務網路轉移到基於e-utran的服務網路的裝置及方法 | |
TWI450557B (zh) | 用於為通信期加密和完整性密鑰訊號傳遞增強型安全性上下文的裝置和方法 | |
TWI477132B (zh) | 用於從支援增強型安全性上下文的服務網路節點向傳統服務網路節點轉移的裝置和方法 | |
US9197669B2 (en) | Apparatus and method for signaling enhanced security context for session encryption and integrity keys | |
JP5398934B2 (ja) | 拡張セキュリティコンテキストをutranベースのサービングネットワークからgeranベースのサービングネットワークへ移行するための装置および方法 |