CN102017706B - 在不同无线电访问网络之间的系统间移动性安全上下文处理 - Google Patents
在不同无线电访问网络之间的系统间移动性安全上下文处理 Download PDFInfo
- Publication number
- CN102017706B CN102017706B CN200980114770.6A CN200980114770A CN102017706B CN 102017706 B CN102017706 B CN 102017706B CN 200980114770 A CN200980114770 A CN 200980114770A CN 102017706 B CN102017706 B CN 102017706B
- Authority
- CN
- China
- Prior art keywords
- message
- key
- key identifier
- safe context
- security context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于在不同无线电访问网络之间的系统间移动性安全上下文处理的方法和装置,其中无线电访问网络可包括被配置为从用户终端接收跟踪区域更新消息的接收机。该消息可包括被配置为识别所映射的安全上下文的第一密钥标识符和被配置为识别所缓存的安全上下文的第二密钥标识符。验证器被配置为利用由所述第一或第二密钥标识符所识别的密钥来验证跟踪区域更新消息。
Description
背景技术
概括地说,本发明涉及移动通信网络。具体地说,本发明涉及在不同的无线电访问网络之间的系统间移动性安全上下文处理。
存在多种不同的数据通信系统或网络。每个网络有其自己的特点和规范。当存在几个不同的网络时,通常存在如何互联这些网络的问题,也就是,如何执行从一个网络到另一个网络的连接的转换或切换。
GSM EDGE无线电访问网络(GERAN)是GSM/EDGE以及连接基站的网络的无线电部分。该网络代表GSM网络的核心,其中通过该网络电话呼叫和分组数据被从PSTN和国际互联网路由到用户手机,和从用户手机路由到PSTN和国际互联网。
UMTS陆地无线电访问网络(UTRAN)是用于组成UMTS无线电访问网络的节点B和无线电网络控制器的集合术语。UTRAN能够将许多业务类型从实时电路交换运送到基于IP的分组交换。UTRAN包括被称为节点B的基站,和无线电网络控制器(RNC)。RNC为一个或多个节点B提供控制功能。
演进的UTRAN(E-UTRAN)是3G UMTS无线访问网络朝着高数据速率,低等待时间和分组优化的无线电访问网络的演进。
在E-UTRAN中,在从GERAN/UTRAN到E-UTRAN的移动过程中,用户设备(UE)可具有所映射的安全上下文和所缓存的安全上下文。在所映射的安全上下文中将从UTRAN/GERAN所接收的上下文的EPS(演进的分组系统)密钥和其它安全参数进行转换。在所缓存安全上下文中EPS密钥和其它安全参数缓存在EPS中,并当UE例如从UTRAN/GERAN或者WiMAX/WLAN/DSL移动到EPS系统时重新使用。
在空闲模式的移动性或者在与E-UTRAN之间切换中的一个问题是,当用户设备具有或者不具有所缓存的安全上下文时或者当E-UTRAN具有或者不具有所缓存的安全上下文时,如何使用户设备和E-UTRAN在不同情况下协商密钥的使用。
发明内容
根据本发明的第一方面,提供一种方法,包括:从用户终端接收跟踪区域更新消息,该消息包括用于识别所映射的安全上下文的第一密钥标识符和用于识别所缓存的安全上下文的第二密钥标识符;和利用由第一或者第二密钥标识符所识别的密钥来验证跟踪区域更新消息。
在本发明的一个实施方式中,跟踪区域更新消息包括识别用于保护跟踪区域更新消息的密钥的指示,并且跟踪区域更新消息是通过所识别的密钥被验证。
在本发明的一个实施方式中,在验证步骤中,利用由第一密钥标识符所识别的密钥来验证跟踪区域更新消息;和利用安全模式命令过程来激活缓存安全上下文。
根据本发明的第二方面,提供一种方法,包括:将包括用于识别所映射的安全上下文的第一密钥标识符和用于识别所缓存的安全上下文的第二密钥标识符的消息发送给用户终端;和将所映射的安全上下文和所缓存的安全上下文发送给演进的UMTS陆地无线电访问网络。
根据本发明的第三方面,提供一种方法,包括:从演进的分组核心实体接收所映射的安全上下文和所缓存的安全上下文;从用户终端接收切换完成消息,该消息包括识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符,并且该消息被第一密钥标识符或者第二密钥标识符所识别的安全上下文所保护;和利用由第一或者第二密钥标识符所识别的密钥来验证切换完成消息。
在本发明的一个实施方式中,切换完成消息进一步包括识别用于保护切换完成消息的密钥的指示,其中该消息是通过所识别的密钥被验证的。
根据本发明的第四实施方式,提供一种方法,包括:将用于识别所映射的安全上下文的第一密钥标识符和用于识别所缓存的安全上下文的第二密钥标识符包括在跟踪区域更新消息中;通过使用与第一密钥标识符或者第二密钥标识符相关联的密钥来保护跟踪区域更新消息;和将跟踪区域更新消息发送给演进的分组核心实体。
在本发明的一个实施方式中,该方法进一步包括:将识别用于保护跟踪区域更新消息的密钥的指示包括在跟踪区域更新消息中。
在本发明的一个实施方式中,该方法进一步包括:利用安全模式命令过程来激活所缓存的安全上下文。
根据本发明的第五方面,提供一种方法,包括:接收包括识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符的切换命令消息;响应于接收切换命令消息选择密钥的密钥标识符;将所选择的密钥标识符包括在切换完成消息中;利用所选择的密钥保护切换完成消息;和将切换完成消息发送给演进的UMTS陆地无线电访问网络。
在本发明的一个实施方式中,当选择密钥标识符时,选择识别所映射的安全上下文的密钥标识符;和将第二密钥标识符也包括在切换命令消息中。
在本发明的一个实施方式中,切换完成消息进一步包括识别用于保护切换完成消息的密钥的指示。
在本发明的一个实施方式中,当选择密钥标识符时,选择识别所缓存的安全上下文的密钥标识符。
根据本发明的第六方面,提供一种装置,包括:接收机,其被配置为从用户终端接收跟踪区域更新消息,该消息包括识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符;和验证器,其被配置为利用由第一或者第二密钥标识符所识别的密钥来验证跟踪区域更新消息。
在本发明的一个实施方式中,跟踪区域更新消息包括识别用于保护跟踪区域更新消息的密钥的指示,并且跟踪区域更新消息是通过识别的密钥被验证的。
在本发明的一个实施方式中,验证器被配置为利用由第一密钥标识符所识别的密钥验证跟踪区域更新消息;和激活器被配置为利用安全模式命令过程激活缓存安全上下文。
根据本发明的第七方面,提供一种装置,包括:第一发送器,其被配置为将包括识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符的消息发送给用户终端;和第二发送器,其被配置为将所映射的安全上下文和所缓存的安全上下文发送给演进的UMTS陆地无线电访问网络。
根据本发明的第八方面,提供一种装置,包括:第一接收机,配置为从演进的分组核心实体接收所映射的安全上下文和所缓存的安全上下文;第二接收机,配置为从用户终端接收切换完成消息,该消息包括识别映射安全上下文的第一密钥标识符和识别缓存安全上下文的第二密钥标识符,并且该消息被第一密钥标识符或者第二密钥标识符所识别的安全上下文所保护;和验证器,配置为利用由第一或者第二密钥标识符所识别的密钥验证切换完成消息。
在本发明的一个实施方式中,切换完成消息进一步包括识别用于保护切换完成消息的密钥的指示,其中该消息由所识别的密钥进行验证。
根据本发明的第九方面,提供一种装置,包括:设置单元,配置为将识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符包括在跟踪区域更新消息中;保护器,配置为通过使用与第一或者第二密钥标识符相关联的密钥来保护跟踪区域更新消息;和发送器,配置为将跟踪区域更新消息发送给演进的分组核心实体。
在本发明的一个实施方式中,设置单元被配置为将识别用于保护跟踪区域更新消息的密钥的指示包括在跟踪区域更新消息中。
根据本发明的第十方面,提供一种装置,包括:接收机,配置为接收包括识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符的切换命令消息;选择单元,配置为响应于接收切换命令消息选择密钥的密钥标识符;设置单元,配置为将所选择的密钥标识符包括在切换完成消息中;保护单元,配置为利用所选择的密钥保护切换完成消息;和发送器,配置为将切换完成消息发送给演进的UMTS陆地无线电访问网络。
在本发明的一个实施方式中,选择单元被配置为选择识别所映射的安全上下文的密钥标识符,并配置为将第二密钥标识符也包括在切换命令消息中。
在本发明的一个实施方式中,设置单元配置为在切换完成消息中包括识别用于保护切换完成消息的密钥的指示。
在本发明的一个实施方式中,选择单元配置为选择识别所缓存的安全上下文的密钥标识符。
附图说明
所包括的用于对本发明提供进一步理解并作为该说明书一部分的附图,描述了本发明的实施方式,并结合说明书有助于揭示本发明的原理。在附图中:
图1a是描述本发明的一个实施方式的时序图,
图1b是描述本发明的另一个实施方式的时序图,
图2a是描述本发明的另一个实施方式的时序图,和
图2b是描述本发明的另一个实施方式的时序图。
具体实施方式
下面对本发明的实施方式作详细说明,其中在附图中描述实施方式的示例。
图1a公开了本发明的一个实施方式,其中用户设备(UE)10从UTRAN移动到E-UTRAN。E-UTRAN包括一个或者多个与移动性管理实体14连接的演进节点B(eNB)12。E-UTRAN和移动性管理实体例如在规范3GPPTS 36.300V8.3.0(2007-12)中有详细说明。UTRAN和SGSN例如在规范3GPP TS 25.401 V8.0.0(2007-12)中有详细讨论。
用户设备10包括在跟踪区域更新(TAU)消息中识别所缓存安全上下文的密钥标识符(在E-UTRAN中的KASME密钥集合标识符,KSIASME)(104)。在从UTRAN到E-UTRAN的空闲模式移动过程中,用户设备10使用所缓存的安全上下文用于导出非访问层(NAS)密钥和用于对跟踪区域更新(TAU)请求消息进行完全性保护。在一个实施方式中,用户设备可具有在预定时间期间可使用的所缓存的安全上下文,并因此能够直接使用它而非所映射的安全上下文。
在该实施方式中,移动性管理实体14也具有所缓存的安全上下文。在TAU消息中所包括的KASME为移动性管理实体14识别用作验证TAU消息的密钥。这样,移动性管理节点14能够利用正确的密钥来验证消息(106)。
如果由于一些原因,移动性管理实体14不再具有可使用的缓存安全上下文,可运行认证和密钥协商(AKA)过程以建立新的安全上下文。
图1b公开了本发明的一个实施方式,其中用户设备(UE)10从UTRAN移动到E-UTRAN。E-UTRAN包括与移动性管理实体14连接的一个或者多个演进节点B(eNB)12。E-UTRAN和移动性管理实体例如在规范3GPPTS 36.300V8.3.0(2007-12)中有详细说明。UTRAN和SGSN例如在规范3GPP TS 25.401V8.0.0(2007-12)中有详细讨论。
用户设备具有两个安全上下文(所映射的和所缓存的)。在该实施方式中,用户设备10在跟踪区域更新(TAU)消息中包括两个密钥标识符(KSI和KSIASME)。KSI识别所映射的安全上下文,KSIASME识别所缓存的安全上下文。在从UTRAN到E-UTRAN的空闲模式移动过程中,用户设备于是使用所映射的安全上下文用于导出非访问层(NAS)密钥和用于对跟踪区域更新(TAU)请求消息进行完全性保护。
在一个实施方式中,跟踪区域更新消息包括TMSI(临时移动用户身份),RAI(路由区域身份)和所映射的安全上下文的KSI(密钥集合标识符)。由于在该实施方式中,用户设备10也具有所缓存的安全上下文,因此跟踪区域更新消息还包括GUTI/S-TMSI/M-TMSI(GUTI,全球唯一的临时身份),TAI(跟踪区域身份)和所缓存的安全上下文的KSIASME。
用户设备10将跟踪区域更新消息发送给eNB 12(114),eNB 12进一步将其传送给移动性管理实体14。移动性管理实体14根据密钥标识符(KSI)选择正确的密钥并验证消息(116)。尽管用户设备通过使用所映射的安全上下文来保护TAU消息,但是识别所缓存的安全上下文的标识符(KSIASME)仍被包括在TAU消息中。这给移动性管理实体14指示用户设备也具有可使用的所缓存的安全上下文并且用户设备也能够使用它。如果需要,移动性管理实体14可利用安全模式命令(SMC)程序激活所缓存的安全上下文(118)。
在一个实施方式中,跟踪区域更新消息包括识别用于保护跟踪区域更新消息的密钥的指示。根据该指示,移动性管理实体14能够使用正确的密钥以验证消息。
图2a公开了本发明的一个实施方式,其中用户设备(UE)20在活动模式(切换)中从UTRAN或GERAN移动到E-UTRAN。E-UTRAN包括与移动性管理实体28连接的一个或者多个演进节点B(eNB)26。E-UTRAN和移动性管理实体例如在规范3GPP TS 36.300V8.3.0(2007-12)中有详细说明。UTRAN和SGSN例如在规范3GPP TS 25.401V8.0.0(2007-12)中有详细讨论。GERAN和SGSN例如在规范3GPP TS 43.051V7.0.0(2007-12)中有详细讨论。
SGSN将UE(GERAN/UTRAN,还可能是EPC/E-URTAN)安全能力在重新定位请求消息(200)中传送给移动性管理实体28。移动性管理实体28于是选择NAS安全算法,并且将所允许的UP/RRC算法以及RRC和UP密钥,基于所映射的安全上下文和所缓存的安全上下文而包括在去往目标eNB 26的重新定位请求消息(202)中。eNB 26选择RRC和UP算法,并在发送给移动性管理实体28的重新定位请求应答消息(204)中指示它们。移动性管理实体28将所选择的NAS、UP和RRC算法以及KSI/CKSN和KSIASME包括在去往SGSN 24的重新定位响应消息(206)中。KSI/CKSN识别用于映射安全上下文的密钥,同时KSIASME识别用于缓存安全上下文的密钥。KSI用于UTRAN中,并且CKSN用在GERAN网络中。
由于切换是系统间的切换,因此包括在由移动性管理实体28发送的重新定位响应消息中的透明容器也包括其它无线电资源配置数据,从而用户设备20能够选择正确的参数(例如链路级收费,正确的频率等)并能发现正确的eNB。
SGSN 24包括在重新定位命令消息(208)中的参数,UTRAN中的无线网络控制器(RNC)22在从UTARN切换的命令(210)中将它们指示给用户设备20。
响应于切换命令消息(210),用户设备选择用于保护要发送给eNB的切换完成消息的密钥(212)。用户设备20将所选择密钥的密钥标识符(KSI/CKSN或者KSIASME)包括(214)在切换完成消息(218)中。除了密钥标识符,切换完成消息可包括对密钥标识符识别的是所映射的安全上下文还是所缓存的安全上下文的指示。例如,该指示是1比特数值,对于该1比特数值的“0”和“1”的含义已经预先被确定。密钥标识符将向eNB识别:用户设备使用所映射的安全上下文还是所缓存的安全上下文来保护切换完成消息。根据密钥标识符eNB使用正确的安全上下文以验证切换完成消息(220)。
在另一实施方式中,用户设备可在切换完成消息中包括用于识别所映射的安全上下文和所缓存的安全上下文的密钥标识符。同时用户设备也可向eNB指示使用哪一个密钥(KSI/CKSN或者KASME)来保护切换完成消息。如果使用的是所映射的安全上下文,演进的分组系统可利用安全模式命令(SMC)过程激活所缓存的安全上下文,并避免运行认证和密钥协商(AKA)。
图2b公开了本发明的一个实施方式,其中用户设备(UE)20从UTRAN或GERAN移动到E-UTRAN。E-UTRAN包括与移动性管理实体28连接的一个或者多个演进节点B(eNB)26。E-UTRAN和移动性管理实体例如在规范3GPP TS 36.300V8.3.0(2007-12)中有详细说明。GERAN和SGSN例如在规范3GPP TS 43.051V7.0.0(2007-12)中有详细讨论。UTRAN和SGSN例如在规范3GPP TS 25.401V8.0.0(2007-12)中有详细讨论。
图2b公开了本发明的一个实施方式,其中用户设备(UE)20在活动模式(切换)中从GERAN/UTRAN移动到E-UTRAN。E-UTRAN包括与移动性管理实体28连接的一个或者多个演进节点B(eNB)26。E-UTRAN和移动性管理实体例如在规范3GPP TS 36.300V8.3.0(2007-12)中有详细说明。GERAN和SGSN例如在规范3GPP TS 43.051V7.0.0(2007-12)中有详细讨论。UTRAN和SGSN例如在规范3GPP TS 25.401V8.0.0(2007-12)中有详细讨论。
SGSN将UE(GERAN/UTRAN,还可能是EPC/E-URTAN)安全能力在重新定位请求消息中传送给移动性管理实体28(230)。移动性管理实体28于是选择NAS安全算法,并且将所允许的UP/RRC算法以及RRC和UP密钥,基于所映射的安全上下文或所缓存的安全上下文包括在去往目标eNB 26的重新定位请求消息(232)中。eNB 26选择RRC和UP算法,并在发送给移动性管理实体28的重新定位请求应答消息(234)中指示它们。移动性管理实体28将所选择的NAS、UP和RRC算法以及KSI/CKSN和KSIASME添加到重新定位响应消息(236)中给SGSN 24。KSI/CKSN识别用于所映射的安全上下文的密钥,同时KSIASME识别用于所缓存的安全上下文的密钥。KSI用于UTRAN中,并且CKSN用在GERAN网络中。SGSN 24将它们添加到重新定位命令(238)中,并且无线电网络控制器(RNC)22在从UTRAN切换的命令(240)中将它们指示给用户设备20。
由于切换是系统间的切换,因此包括在由移动性管理实体28发送的重新定位响应消息中的透明容器也包括其它无线电资源配置数据,从而用户设备20能够选择正确的参数(例如链路级标识符,正确的频率等)并能发现正确的eNB。
在另一实施方式中,尽管移动性管理实体28可以仅将所缓存的安全上下文包括在重新定位消息(236)中给用户设备20,移动性管理实体28可将所映射的安全上下文和所缓存的安全上下文发送给eNB 26。这在用户设备20根本不具有所缓存的安全上下文的情况下十分有用(尽管移动性管理实体28仅将所缓存的安全上下文指示给用户设备28)。于是,用户设备28被强制使用所映射的安全上下文,并且eNB 26也会拥有它。
响应于切换命令消息,用户设备选择将用于保护要发送给eNB的切换完成消息的密钥(242)。如上所述,在一个实施方式中移动性管理实体28可发送仅识别所缓存的安全上下文的密钥标识符。由于一些原因(所缓存的安全上下文定时器过期等),用户设备可能不再具有任何所缓存的安全上下文。因此,唯一的选项是选择所映射的安全上下文。在另一实施方式中,用户设备具有可使用的所缓存的安全上下文并选择进行使用。
在进一步的实施方式中,切换命令消息(240)仅包括用于识别所映射的安全上下文的密钥标识符。用户设备20具有两个选项。第一个选项是选择由移动性管理实体28所指示的所映射的安全上下文。第二个选项是尽管移动性管理实体28指示使用所映射的安全上下文,但是如果在用户设备处可使用所缓存的安全上下文,则选择所缓存的安全上下文。
用户设备20将所选择密钥的密钥标识符(KSI,CKSN或者KASME)包括到(244)切换完成消息(248)中。在一个实施方式中,当用户设备20选择所映射的安全性(UTRAN中的KSI或者GERAN中的CKSN)时,用户设备还可将所缓存的安全上下文的密钥标识符添加到切换完成消息中。于是,演进的分组系统能够利用安全模式命令(SMC)过程激活所缓存的安全上下文,并避免运行认证和密钥协商(AKA)。然而,用户设备20通过使用所映射的安全性(KSI/CKSN)来保护切换完成消息。
在一个实施方式中,除了密钥标识符,切换完成消息可包括关于密钥标识符识别的是映射安全上下文还是缓存安全上下文的指示。例如,该指示是1比特数值,对于该1比特数值的“0”和“1”的含义已经预先被确定。
将密钥标识符和该指示向eNB识别:用户设备使用所映射的安全上下文还是所缓存的安全上下文来保护切换完成消息。根据密钥标识符eNB使用正确的安全上下文以验证切换完成消息(250)。
示例性的实施方式可包括,例如任何合适的移动设备、移动电话、智能电话、个人数字助理、膝上型电脑、服务器,和移动通信设备,能够执行示例性实施方式的处理的音频/视频播放器。此外,示例性实施方式可包括无线网络,移动通信网络和相应网络的各种网络元件。示例性实施方式的设备和子系统能够利用任意合适的协议相互通信,并能使用一个或者多个已编程计算机系统或设备来实现。
可以理解的是,示例性实施方式是用于示例性的目的,对于硬件和/或软件领域的技术人员来说,将各种专用硬件用于实现示例性实施方式是显而易见的。例如,可通过一个或多个硬件和/或软件设备来实现示例性实施方式的一个或者多个组成部分的功能。此外,所要求的权利要求可由计算机程序实现。装置的单元和其它元件可通过包括各种硬件和/或软件方案的任何合适的手段来实现。
示例性实施方式能够存储与这里描述的各种处理相关的信息。该信息能够被存储在一个或者多个存储器中,例如硬盘,光盘,磁光盘,RAM或者类似物。一个或者多个数据库能够存储用于实现本发明的示例性实施方式的信息。数据库能够利用包括在这里给出的一个或者多个存储器或者存储设备中的数据结构(例如,记录,表,阵列,字段,图,树,列或者类似物)来进行组织。与示例性实施方式描述相关的处理能够包括合适的数据结构,用于用于在一个或者多个数据库中存储由示例性实施方式的设备和子系统的处理所收集和/或产生的数据。
示例性实施方式的全部或者部分能够通过使用根据本发明的示例性实施方式的教导而进行编程的一个或多个通用处理器、微处理器、数字信号处理器、微控制器等来方便地实现,这对于计算机和/或软件领域的技术人员来说是显而易见的。具有普通技能的程序员基于示例性实施方式的教导能够容易地准备好合适的软件,这对于软件领域的技术人员来说是显而易见的。此外,可通过准备专用集成电路或者连接传统元件电路的合适的网络来实现示例性实施方式,这对于电学领域的技术人员来说是显而易见的。因此,示例性实施方式不局限于硬件和/或软件的任何特定的组合。
通过存储在任意一个计算机可读介质或者其组合上,本发明的示例性实施方式可包括用于控制示例性实施方式的组件、用于驱动示例性实施方式的组件、用于激活示例性实施方式的组件以和使用者交互等的软件。这样的软件可包括,但不局限于,设备驱动器,固件,操作系统,开发工具,应用软件等。这种计算机可读介质进一步包括本发明实施方式的计算机程序产品,用于在实现本发明中所执行的处理的全部或者部分(如果处理是分布式的)。本发明示例性实施方式的计算机代码设备可包括任何可解释或者可执行的代码机制,包括但不局限于,脚本,可解释程序,动态链接库(DLL),Java类或者Applet,全部可执行程序,公共对象请求代理体系结构(CORBA)对象和类似物。此外,本发明示例性实施方式的部分处理可进行分配以得到更好的性能,可靠性,成本或者类似物。
如上所述,示例性实施方式的组件可包括计算机可读介质或者存储器,用于根据本发明教导的保持编程指令和用于保持这里所描述的数据结构,表,记录和/或者其它数据。计算机可读介质可包括参与给处理器提供执行用指令的任何合适的介质。这种介质可采用任何形式,包括但不局限于,非易失性介质,易失性介质,传输介质等等。例如,非易失性介质可包括光盘或者磁盘,磁光盘等等。易失性介质可包括动态存储器等。传输介质可包括同轴电缆,铜线,光纤等等。传输介质还可以包括声、光、电磁波等,例如在射频(RF)通信、红外(IR)数据通信等中生成的。例如,计算机可读介质的通常形式可以包括塑料磁盘,软性磁盘,硬盘,磁带,任何其它合适的磁介质,CD-ROM,CDR,CD-RW,DVD,DVD-ROM,DVD±RW,DVD±R,任何其它合适的光介质,穿孔卡片,纸带,光学标记片,具有孔的图案或者其它光学识别标记的任何其它合适的物理介质,RAM,PROM,EPROM,FLASH-EPROM,任何其它合适的存储芯片或者磁带,载波或者计算机能够读取的任何其它合适的介质。
尽管用多个示例性实施方式和实现描述了本发明,但是本发明不局限于此,并且覆盖各种修改和等同变换,其都落在将要生效的权利要求中。
Claims (9)
1.一种用于在不同的无线电访问网络之间的系统间移动性安全上下文处理的方法,包括:
从用户终端接收消息,该消息包括识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符,其中所述消息是跟踪区域更新消息或切换完成消息,并且所述消息被由所述用户终端选择的所述第一密钥标识符识别的安全上下文和所述第二密钥标识符识别的安全上下文中的一个保护,其中所述消息包括识别由所述用户终端选择的用于保护所述消息的密钥的指示;和
利用由所述第一密钥标识符或者第二密钥标识符所识别的密钥来验证所述消息。
2.根据权利要求1所述的方法,其中所述消息是利用所识别的密钥验证的。
3.根据权利要求1至2中任意一项所述的方法,其中所述验证步骤包括利用由所述第一密钥标识符所识别的密钥来验证所述消息;并且所述方法进一步包括:
利用安全模式命令过程来激活所述所缓存的安全上下文并避免运行认证和密钥协商。
4.一种用于在不同的无线电访问网络之间的系统间移动性安全上下文处理的装置,包括:
接收机,其被配置为从用户终端接收消息,该消息包括识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符,其中所述消息是跟踪区域更新消息或切换完成消息,并且所述消息被由所述用户终端选择的由所述第一密钥标识符识别的安全上下文和所述第二密钥标识符识别的安全上下文中的一个保护,其中所述消息包括识别由所述用户终端选择的用于保护所述消息的密钥的指示;和
处理器,其被配置为利用由第一密钥标识符或者第二密钥标识符所识别的密钥来验证所述消息。
5.根据权利要求4所述的装置,其中所述消息是通过所识别的密钥被验证的。
6.根据权利要求4至5中任意一项所述的装置,其中所述处理器被配置为利用由所述第一密钥标识符识别的密钥来验证所述消息;和
所述处理器被进一步配置为利用安全模式命令过程来激活所述所缓存的安全上下文并避免运行认证和密钥协商。
7.一种用于在不同的无线电访问网络之间的系统间移动性安全上下文处理的装置,包括:
用于从用户终端接收消息的模块,该消息包括识别所映射的安全上下文的第一密钥标识符和识别所缓存的安全上下文的第二密钥标识符,其中所述消息是跟踪区域更新消息或切换完成消息,并且所述消息被由所述用户终端选择的所述第一密钥标识符识别的安全上下文和所述第二密钥标识符识别的安全上下文中的一个保护,其中所述消息包括识别由所述用户终端选择的用于保护所述消息的密钥的指示;和
用于利用由所述第一密钥标识符或者第二密钥标识符所识别的密钥来验证所述消息的模块。
8.根据权利要求7所述的装置,其中所述消息是利用所识别的密钥验证的。
9.根据权利要求7至8中任意一项所述的装置,其中用于验证的模块包括用于利用由所述第一密钥标识符所识别的密钥来验证所述消息的模块;并且
所述装置进一步包括用于利用安全模式命令过程来激活所述所缓存的安全上下文并避免运行认证和密钥协商的模块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/149,142 | 2008-04-28 | ||
| US12/149,142 US9706395B2 (en) | 2008-04-28 | 2008-04-28 | Intersystem mobility security context handling between different radio access networks |
| PCT/IB2009/005379 WO2009133441A1 (en) | 2008-04-28 | 2009-04-24 | Intersystem mobility security context handling between different radio access networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102017706A CN102017706A (zh) | 2011-04-13 |
| CN102017706B true CN102017706B (zh) | 2015-03-25 |
Family
ID=41216150
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980114770.6A Active CN102017706B (zh) | 2008-04-28 | 2009-04-24 | 在不同无线电访问网络之间的系统间移动性安全上下文处理 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9706395B2 (zh) |
| EP (1) | EP2272277B1 (zh) |
| KR (1) | KR20100133504A (zh) |
| CN (1) | CN102017706B (zh) |
| TW (1) | TWI463854B (zh) |
| WO (1) | WO2009133441A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11849389B2 (en) | 2017-01-30 | 2023-12-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Management of security contexts at idle mode mobility between different wireless communication systems |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8289920B2 (en) | 2007-03-16 | 2012-10-16 | Qualcomm Incorporated | Method and apparatus for handoff between access systems |
| US8576795B2 (en) | 2007-03-16 | 2013-11-05 | Qualcomm Incorporated | Method and apparatus for handoff between source and target access systems |
| CN101309500B (zh) | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
| US9049629B2 (en) * | 2007-06-18 | 2015-06-02 | Qualcomm Incorporated | Method and apparatus for fast inter-system handover |
| US8638749B2 (en) * | 2008-06-06 | 2014-01-28 | Qualcomm Incorporated | Method and apparatus for inter-network handoff |
| CN101299884B (zh) * | 2008-06-16 | 2012-10-10 | 中兴通讯股份有限公司 | 用户设备转移时密钥身份标识符的生成方法和生成系统 |
| CN101299666A (zh) | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
| JP4394730B1 (ja) * | 2008-06-27 | 2010-01-06 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
| US8526617B2 (en) * | 2008-12-29 | 2013-09-03 | Htc Corporation | Method of handling security configuration in wireless communications system and related communication device |
| US8957938B2 (en) * | 2009-10-28 | 2015-02-17 | Alcatel Lucent | Method and apparatus for handing over a video conversation from packet switch domain to circuit switch domain |
| CN102714838B (zh) * | 2010-01-08 | 2014-06-25 | 上海贝尔股份有限公司 | 机器型通信中基于组的移动性优化方法和设备 |
| EP2567499B1 (en) | 2010-05-04 | 2016-10-26 | Qualcomm Incorporated | Shared circuit switched security context |
| CN102244862A (zh) * | 2010-05-10 | 2011-11-16 | 北京三星通信技术研究有限公司 | 一种获取安全密钥的方法 |
| CN102893645B (zh) * | 2010-05-10 | 2016-04-13 | 诺基亚技术有限公司 | 网络间切换期间的密钥导出 |
| CN102387492B (zh) | 2010-08-27 | 2014-01-22 | 上海贝尔股份有限公司 | 机器型通信的特性激活及机器设备 |
| US8839357B2 (en) * | 2010-12-22 | 2014-09-16 | Canon U.S.A., Inc. | Method, system, and computer-readable storage medium for authenticating a computing device |
| GB2491047B (en) * | 2012-06-07 | 2013-12-11 | Renesas Mobile Corp | Apparatus and methods for security context selection |
| KR102122674B1 (ko) * | 2013-07-03 | 2020-06-15 | 인터디지탈 패튼 홀딩스, 인크 | 근접 서비스들을 위한 epc 증강들 |
| CN104427584B (zh) * | 2013-08-19 | 2019-08-16 | 南京中兴软件有限责任公司 | 安全上下文处理方法及装置 |
| US9338136B2 (en) * | 2013-12-05 | 2016-05-10 | Alcatel Lucent | Security key generation for simultaneous multiple cell connections for mobile device |
| US10637834B2 (en) * | 2015-07-12 | 2020-04-28 | Qualcomm Incorporated | Network architecture and security with simplified mobility procedure |
| EP3324677B1 (en) * | 2015-08-07 | 2021-07-28 | Huawei Technologies Co., Ltd. | Network access change for a terminal from an access through a relay terminal to a direct access |
| CN107666667B (zh) * | 2016-07-29 | 2019-09-17 | 电信科学技术研究院 | 一种数据传输方法、第一设备及第二设备 |
| CN117377011A (zh) * | 2017-03-17 | 2024-01-09 | 日本电气株式会社 | 第一网络装置及其方法和第二网络装置及其方法 |
| EP3902302B1 (en) * | 2018-02-19 | 2022-06-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Supporting interworking and/or mobility between different wireless communication systems |
| US20200322795A1 (en) * | 2019-04-03 | 2020-10-08 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for alignment of common non access stratum (nas) security context |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1841267A2 (en) * | 2006-03-31 | 2007-10-03 | Samsung Electronics Co., Ltd. | System and method for optimizing authentication procedure during inter access system handovers |
| WO2008048179A2 (en) * | 2006-10-18 | 2008-04-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AUPQ439299A0 (en) * | 1999-12-01 | 1999-12-23 | Silverbrook Research Pty Ltd | Interface system |
| US6766453B1 (en) * | 2000-04-28 | 2004-07-20 | 3Com Corporation | Authenticated diffie-hellman key agreement protocol where the communicating parties share a secret key with a third party |
| GB0202370D0 (en) | 2002-02-01 | 2002-03-20 | Symbian Ltd | Pinging |
| CN1268093C (zh) * | 2002-03-08 | 2006-08-02 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
| US6757722B2 (en) | 2002-07-16 | 2004-06-29 | Nokia Corporation | System and method for providing partial presence notifications |
| US20050176431A1 (en) * | 2004-02-11 | 2005-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method for handling key sets during handover |
| EP1735990B1 (en) * | 2004-04-14 | 2018-05-30 | Microsoft Technology Licensing, LLC | Mobile ipv6 authentication and authorization |
| US8127136B2 (en) * | 2004-08-25 | 2012-02-28 | Samsung Electronics Co., Ltd | Method for security association negotiation with extensible authentication protocol in wireless portable internet system |
| WO2007062004A2 (en) * | 2005-11-22 | 2007-05-31 | The Trustees Of Columbia University In The City Of New York | Methods, media, and devices for moving a connection from one point of access to another point of access |
| US7613436B2 (en) * | 2006-05-15 | 2009-11-03 | Intel Corporation | Methods and apparatus for a protected paging indication mechanism within wireless networks including multiple access points |
-
2008
- 2008-04-28 US US12/149,142 patent/US9706395B2/en active Active
-
2009
- 2009-04-23 TW TW098113481A patent/TWI463854B/zh active
- 2009-04-24 CN CN200980114770.6A patent/CN102017706B/zh active Active
- 2009-04-24 WO PCT/IB2009/005379 patent/WO2009133441A1/en active Application Filing
- 2009-04-24 KR KR1020107026252A patent/KR20100133504A/ko not_active Ceased
- 2009-04-24 EP EP09738454.9A patent/EP2272277B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1841267A2 (en) * | 2006-03-31 | 2007-10-03 | Samsung Electronics Co., Ltd. | System and method for optimizing authentication procedure during inter access system handovers |
| WO2008048179A2 (en) * | 2006-10-18 | 2008-04-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
Non-Patent Citations (1)
| Title |
|---|
| 3rd Generation Partnership Project Technical Specification Group Services and System Aspects 3GPP System Architecture Evolution: Security Architecture (Release 8);3GPP;《3GPP TS 33.401 V1.1.0,S3-080486》;20080419;第5.14、6、7.2.4、9.1.2、9.2.2.1、10.1.2、10.2.2.1章节 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11849389B2 (en) | 2017-01-30 | 2023-12-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Management of security contexts at idle mode mobility between different wireless communication systems |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2272277A1 (en) | 2011-01-12 |
| US9706395B2 (en) | 2017-07-11 |
| TW200952421A (en) | 2009-12-16 |
| EP2272277B1 (en) | 2019-11-20 |
| EP2272277A4 (en) | 2014-01-22 |
| KR20100133504A (ko) | 2010-12-21 |
| WO2009133441A1 (en) | 2009-11-05 |
| CN102017706A (zh) | 2011-04-13 |
| TWI463854B (zh) | 2014-12-01 |
| US20090271623A1 (en) | 2009-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102017706B (zh) | 在不同无线电访问网络之间的系统间移动性安全上下文处理 | |
| US20240396934A1 (en) | Mobile communication method, apparatus, and device | |
| US11974132B2 (en) | Routing method, apparatus, and system | |
| US11582602B2 (en) | Key obtaining method and device, and communications system | |
| JP6185017B2 (ja) | セキュアユーザプレーンロケーション(supl)システムにおける認証 | |
| CN113784343B (zh) | 保护通信的方法和装置 | |
| US10798082B2 (en) | Network authentication triggering method and related device | |
| US8284941B2 (en) | Changing radio access network security algorithm during handover | |
| JP7472331B2 (ja) | セキュリティコンテキスト取得方法および装置、ならびに通信システム | |
| US20230086032A1 (en) | Key management method, device, and system | |
| EP3146741B1 (en) | Cellular network authentication control | |
| US12439248B2 (en) | Authentication result update method and communications apparatus | |
| EP3952378A1 (en) | Registration method and apparatus | |
| CN108293259B (zh) | 一种nas消息处理、小区列表更新方法及设备 | |
| CN113709729B (zh) | 数据处理方法、装置、网络设备及终端 | |
| CN111328112B (zh) | 一种安全上下文隔离的方法、装置及系统 | |
| WO2013185709A1 (zh) | 一种呼叫认证方法、设备和系统 | |
| JP6651613B2 (ja) | ワイヤレス通信 | |
| CN109842881B (zh) | 通信方法、相关设备以及系统 | |
| US10154369B2 (en) | Deterrence of user equipment device location tracking | |
| CN106465110B (zh) | 蜂窝认证中的异常处理 | |
| CN114173336A (zh) | 鉴权失败的处理方法、装置、终端及网络侧设备 | |
| CN116419204A (zh) | Supi和imei绑定关系校验方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160205 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |