CN107113608A - 由用户设备和基站使用密钥扩展乘数来生成多个共享密钥 - Google Patents
由用户设备和基站使用密钥扩展乘数来生成多个共享密钥 Download PDFInfo
- Publication number
- CN107113608A CN107113608A CN201580058919.9A CN201580058919A CN107113608A CN 107113608 A CN107113608 A CN 107113608A CN 201580058919 A CN201580058919 A CN 201580058919A CN 107113608 A CN107113608 A CN 107113608A
- Authority
- CN
- China
- Prior art keywords
- key
- base station
- user equipment
- enb
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/20—Control channels or signalling for resource management
- H04W72/23—Control channels or signalling for resource management in the downlink direction of a wireless link, i.e. towards a terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在一种实施方式中,至少部分基于指定的密钥扩展乘数在通信***的用户设备中生成多个密钥。在用户设备中从通信***的基站接收密钥标识符。用户设备根据接收的密钥标识符选择所述密钥中的一个特定密钥,并利用所述密钥中的所选择的一个密钥保护从所述用户设备发送到所述基站的数据。例如,所述密钥可以包括由所述用户设备响应于从所述基站接收的消息生成的密钥流的相应部分,其中所述密钥通过在所述基站中独立生成所述密钥流而由所述用户设备和基站共享。所述基站可以说明性地包括演进通用无线接入网络(E‑UTRAN)的演进节点B(eNB)。
Description
技术领域
本发明大体上涉及通信***,更具体地,但非排他地涉及这些***内的安全性。
背景技术
本部分介绍可能有助于更好地理解本发明的几个方面。因此,要在这个基础上阅读本部分的陈述,并且不应理解为承认什么是现有技术,或者什么不是现有技术。
无线蜂窝背景下的通信***标准包括例如被称为第三代伙伴合作计划(3GPP)的组织发布的长期演进(LTE)标准。由3GPP开发的LTE标准定义了LTE***,该***包括被称为演进分组核心(EPC)的基于互联网协议(IP)的分组核心。
在示例LTE***中,用户设备(例如,移动设备)通过空中接口与被称为演进型节点B(eNB)的基站进行通信。示例性地,eNB是LTE***接入网络,诸如演进通用无线接入网络(E-UTRAN)的一部分。
在当前实践中,用户设备和eNB之间的空中接口的安全性是使用例如3GPP TS33.401V12.12.0(2014-09),技术规范组服务和***方面,3GPP***架构演进(SAE),安全架构(Release 12)中描述的技术实现的,所述文件通过引用并入本文。
发明内容
在一种实施方式中,至少部分基于指定的密钥扩展乘数在通信***的用户设备中生成多个密钥。在用户设备中从通信***的基站接收密钥标识符。用户设备根据接收的密钥标识符选择所述密钥中的一个特定密钥,并利用所述密钥中的所选择的一个密钥保护从所述用户设备发送到所述基站的数据。
在另一种实施方式中,至少部分基于指定的密钥扩展乘数在通信***的基站中生成多个密钥。基站选择所述密钥中的一个特定密钥,向用户设备发送选择的密钥的标识符,并利用所述密钥中所选择的一个密钥保护从所述基站发送到所述用户设备的数据。
所述多个密钥示意性地包括由所述用户设备和基站二者独立生成的多个共享密钥,利用从所述共享密钥中选择的共享密钥保护通过所述用户设备和基站之间的空中接口发送的数据。
作为示例,在一些实施方式中,所述密钥示例性地包括由所述用户设备响应于从所述基站接收的消息生成的密钥流的相应部分,所述密钥通过在所述用户设备和基站中独立生成所述密钥流而由所述用户设备和基站共享。
在一些实施方式中,所述基站包括E-UTRAN的eNB,但是在其他实施方式中也可以使用其他类型的基站。
在所述基站包括eNB的实施方式中,所述密钥可以说明性地包括KeNB密钥的索引序列,所述KeNB密钥的索引序列通过在所述基站中独立生成所述KeNB密钥的索引序列而由所述用户设备和基站共享,其中所述KeNB密钥的索引序列中的KeNB密钥的总数由密钥扩展乘数指定。
在一些实施方式中,结合将与所述用户设备正在进行的通信的控制从所述基站转移至另一个基站,所述多个密钥中未使用的密钥被发送至所述其他基站。所述其他基站选择发送的所述密钥中的一个特定密钥,并将发送的密钥中的选择的一个密钥的标识符发送给所述用户设备。举例来说,发送的密钥中的选择的一个密钥被用于保护通过所述另一个基站和所述用户设备之间的空中接口发送的数据。
在一些实施方式中,所述基站被配置为检测所述多个密钥中未使用的密钥的剩余数量达到指定最小值的条件,并响应于检测到的条件重复密钥生成。
有利地,一种或多种说明性实施方式可以显著提高通信***(例如,LTE***)中密钥生成和选择的效率,而不会过度增加***成本或复杂性。
此外,所公开的技术可以直接适应于许多其他通信***环境。
借助附图和下面的详细描述,本文描述的实施方式的这些和其它特征和优点将变得更加明显。
附图说明
图1是说明性实施方式中的通信***的框图。
图2是说明性实施方式中的示例性用户设备和基站元件的更详细的视图。
图3是说明性实施方式中的示例性密钥生成和选择过程的流程图。
图4显示了用于在说明性实施方式中由用户设备和基站使用密钥扩展乘数生成多个共享密钥的一种可能的技术。
图5显示了在说明性实施方式中由用户设备和基站执行的密钥生成和选择过程。
具体实施方式
这里将结合示例性通信***和用于基于密钥扩展乘数在用户设备和基站元件中生成多个共享密钥的相关技术来阐明实施方式。然而,应当理解,权利要求的范围不限于所公开的特定类型的通信***和/或密钥生成和选择过程。实施方式可以在多种其他类型的通信***中实现,使用替代的过程和操作。例如,尽管在使用诸如LTE EPC之类的3GPP***元件的无线蜂窝***的背景下进行了说明,但是所公开的实施方式可以直接适应于各种其他类型的通信***,包括WiMAX***,Wi-Fi***等。
图1示出了包括经由空中接口103与演进节点B(eNB)104进行通信的用户设备(UE)102的通信***100。在该说明性实施方式中,通信***100包括无线蜂窝***,更具体地,LTE***。
用户设备102可以是移动台,并且这样的移动台可以包括例如移动电话,计算机或任何其他类型的通信设备。因此,本文使用的术语“用户设备”旨在被广义地解释,以便包括各种不同类型的移动台,用户台或更一般地,通信设备,包括例如***笔记本的电脑数据卡的组合。这样的通信设备还旨在包括通常被称为“接入终端”的设备。
eNB 104示例性地是通信***100的接入网络的一部分。这样的接入网络可以包括例如具有多个基站和一个或多个相关无线电网络控制器(RNC)的E-UTRAN。基站和RNC是逻辑上分离的实体,但是在给定的实施方式中,可以在相同的物理网元中实现,例如基站路由器或毫微微蜂窝接入点。
本实施方式中的eNB 104通过移动性管理实体(MME)106连接至归属用户服务器(HSS)108。eNB 104还经由服务网关(SGW)110和分组数据网络(PDN)网关(PGW)112与互联网114连接。
应当理解,***元件的这种特定布置仅仅是示例,并且在其他实施方式中可以使用其他类型和布置的附加或替代元件来实现LTE***。例如,在其他实施方式中,***100可以包括认证服务器,例如3GPP认证,授权和计费(AAA)服务器。
因此,图1的布置仅是无线蜂窝***的一个示例性配置,可以使用***元件的许多替代配置。例如,尽管在图1实施方式中仅示出了单个用户设备,eNB,MME,HSS,SGW和PGW元件,但是这仅仅是为了简单和清楚。给定的替代实施方式当然可以包括更多数量的这些***元件,以及通常与常规***实现相关联类型的附加或替代元件。
上述3GPP标准TS33.401描述了在UE和eNB元件之间建立安全关联以保护通过空中接口发送的LTE控制和用户平面通信的技术。该安全关联被定义为由UE和MME元素使用成功的认证和密钥协商(AKA)过程的结果相互计算的共享密钥KeNB。更具体地,由成功的AKA过程产生的中间共享密钥KASME由UE和MME元件用于独立地生成共享密钥KeNB。由MME生成的共享密钥KeNB由MME发送至eNB,并保留在eNB中,直到被刷新或更新为止。
应当注意,3GPP标准的最近添加提供了小小区扩展能力。该能力允许UE元件同时连接到宏小区eNB(MeNB)和小型小区eNB(SeNB)。SeNB的安全密钥被表示为S-KeNB,由MeNB生成并由MeNB提供给SeNB,其也由UE单独计算。在一些操作情况下,S-KeNB也被刷新或更新。
作为示例,如果UE通过给定基站(其可以包括eNB,MeNB或SeNB)发送的数据量接近分组数据计数器(说明性地表示为分组数据汇聚协议(PDCP)COUNT)的指定极限,则可以触发密钥刷新。
作为另一个示例,可以在基站对所分配的承载身份的潜在重用时触发密钥刷新。
根据上述3GPP标准TS33.401中描述的技术,通过执行导致计算新的KeNB的自切换过程来刷新给定的KeNB。该自切换过程通常涉及通过空中接口发送大量信令消息,同时在UE和eNB之间的上行链路和下行链路方向上停止分组流。
公开了用于在eNB之间的切换期间获得新KeNB的附加技术,包括由MME根据当前KASME生成新KeNB,以及由服务eNB根据服务eNB的当前KeNB生成目标eNB的新KeNB。但是,这些技术通常使用大量的切换信令,并且在某些情况下可能容易发生故障。
对于上述双重连接能力,可以使用许多不同的技术来刷新S-KeNB。例如,在一种这样的技术中,MME根据当前KASME生成新KeNB,然后MeNB根据该新KeNB生成新S-KeNB。在另一种技术中,通过增加一个辅助小区组(SCG)计数器,然后使用增加的SCG计数器作为新鲜输入来计算S-KeNB,MeNB产生新的S-KeNB。在这两种技术中,密钥刷新使用冗长的过程和算法计算。
此外,小区部署场景通常是切换密集型的,正在进行的通信在相对较短的时间段内从一个小区切换到另一个小区,导致更多的密钥刷新过程及其相关计算的实例。
通过在UE和eNB中使用指定的密钥扩展乘数生成相应的共享密钥流或多个共享密钥的其他共享集合,各种实施方式克服传统实践缺点中的一个或多个。如将在下面结合图3至图5更详细地描述的那样,在一些实施方式中eNB向UE提供密钥扩展乘数,并且还提供特定密钥的密钥索引或其他标识符,所述特定密钥来自用于保护通过UE和eNB之间的空中接口发送的数据的多个共享密钥的集合。这有利地避免了上述自切换过程的过度使用,同时还促进了在其他环境下的密钥刷新,诸如从服务eNB切换到目标eNB,或者在双重连接的情况下刷新S-KeNB。
图2显示了说明性实施方式中UE 102和eNB 104的更详细视图。UE 102包括耦合到存储器202和接口电路204的处理器200。UE 102的处理器200包括密钥处理模块210,其可以至少部分地以由处理器执行的软件的形式来实现。密钥处理模块210执行结合图3、4和5描述的过程中的用户设备操作。UE 102的存储器202包括存储使用密钥扩展乘数生成、并与eNB 104共享的多个密钥的密钥存储模块212。
eNB 104包括耦合到存储器222和接口电路224的处理器220。eNB 104的处理器220包括密钥处理模块230,其可以至少部分地以由处理器执行的软件的形式来实现。密钥处理模块230执行结合图3、4和5描述的过程中的eNB操作。eNB 104的存储器222包括存储使用密钥扩展乘数生成、并与UE 102共享的多个密钥的密钥存储模块232。
相应UE 102和eNB 104的处理器200和220可以包括例如微处理器,专用集成电路(ASIC),数字信号处理器(DSP)或其他类型的处理设备,以及这些元件的部分或组合。
相应UE 102和eNB 104的存储器202和222可以用于存储一个或多个软件程序,所述软件程序由相应处理器200和220执行,以实现本文所描述的功能的至少一部分。例如,可以使用由处理器200和220执行的软件代码直接实现多个共享密钥生成和选择操作以及结合图3,图4和图5所描述的其他功能。
因此,存储器202或222中的给定一者可以被视为在本文中更一般地称为计算机程序产品的示例,或者更一般地,视为其中包含可执行程序代码的处理器可读存储介质。处理器可读存储介质的其他示例可以包括任何组合的磁盘或其他类型的磁介质或光介质。说明性实施方式可以包括包括这种计算机程序产品或其他处理器可读存储介质的制品。
存储器202或222可以更具体地包括电子随机存取存储器(RAM),例如静态RAM(SRAM)、动态RAM(DRAM)或其他类型的易失性或非易失性电子存储器的。后者可以包括例如闪存,磁RAM(MRAM),相变RAM(PC-RAM)或铁电RAM(FRAM)等非易失性存储器。本文所用的术语“存储器”旨在被广泛地解释,并且可以附加地或替代地包括例如只读存储器(ROM)、基于盘的存储器或其他类型的存储设备,以及这些设备的部分或组合。
相应UE 102和eNB 104的接口电路204和224示例性地包括允许相关联的***元件以本文所述方式彼此通信的收发机或其他通信硬件或固件。
从图2显而易见的是,UE 102被被配置为与eNB 104经由它们各自的接口电路204和224通过空中接口103进行通信,反之亦然。该通信涉及UE 102通过空中接口103向eNB104发送数据,eNB 104通过空中接口103向UE 102发送数据。通过使用密钥扩展乘数生成的上述多个共享密钥中的选定的一个来保护在UE 102和eNB 104之间通过空中接口103发送的数据。这里使用的术语“数据”旨在被广义地解释,以包含可以通过用户设备和基站元件之间的空中接口发送的任何类型的信息,包括音频,视频,多媒体等。
应当理解,图2所示用户设备和基站组件的特定布置仅是示例,并且在其他实施方式中可以使用许多替代配置。例如,用户设备和基站可以被被配置为包括附加或替代组件并且支持其他通信协议。
诸如MME 106,HSS 108,SGW 110和PGW 112这样的其他***元件也可以被被配置为包括诸如处理器,存储器和网络接口这样的组件。这些元件不需要在单独的独立处理平台上实现,而是可以例如代表单个公共处理平台的不同功能部分。这样的处理平台还可以包括eNB和相关RNC的至少部分。
现在参考图3,显示了示例性密钥生成和选择过程。在示例性实施方式中,该过程由用户设备(例如,UE 102)和基站(例如,eNB 104)执行。所示过程包括步骤300至306,步骤300和306由用户设备和基站二者执行,步骤302和304由用户设备执行。例如,这些步骤可以至少部分地由相应UE 102和eNB 104的密钥处理模块210和230利用相应UE 102和eNB 104的密钥存储模块212和232来执行。在其他实施方式中,也可以使用其他类型的用户设备和基站实现该过程。
在步骤300中,用户设备和基站至少部分地基于指定的密钥扩展乘数独立地生成包括共享密钥序列的各个密钥流。所述密钥流是这里更一般地被称为至少部分地基于指定的密钥扩展乘数生成的“多个密钥”的示例。作为说明,响应于从基站接收到的消息,在用户设备中触发密钥流的生成。基站可以在向用户设备发送所述消息之前,之后,或同时生成其自己的密钥流。
应当注意,如本文结合独立构建用户设备和基站的多个共享密钥所用的术语,例如“生成”和“已生成”应被广泛地解释为涵盖这样的设置:多组密钥中的至少一组密钥中的初始密钥由另一个***元件生成并提供给用户设备或基站。例如,在一些实施方式中,如前所述,当前KeNB密钥由MME生成并由MME提供给eNB。在这种情况下,在eNB中生成包括所提供的当前KeNB的密钥流或其他多个密钥应被包含于在eNB中生成多个密钥的描述中。
在步骤300中示出了用于在步骤300中生成密钥流的一种可能的技术。在该实施方式中,如前所述,可视为对应于UE 102和eNB 104的UE 402和eNB 404使用表示为N的密钥扩展乘数各自独立地执行密钥计算过程405。在各种实施方式中,密钥扩展乘数可以被理解为在密钥计算协议中使用的值,以生成作为密钥扩展乘数的函数的伪随机串,其长度等于乘数乘以标准密钥长度。因此,密钥计算协议可以提供等长度和相同安全性的多个会话密钥。
如将结合图5所描述的那样,在一些实施方式中,密钥扩展乘数N由基站通过无线电资源控制(RRC)安全模式命令,RRC重配置请求或其他类型的消息提供给用户设备。
用户设备可以附加地或替代地被被配置为利用密钥扩展乘数的默认值。例如,响应于检测到来自基站的消息中没有密钥扩展乘数的显式值,以其他方式(otherwise)期望包含显式值,用户设备可以将密钥扩展乘数设置为预定的默认值。
所述默认值可以是值1或一个零值(NULL),二者都向用户设备指示不应该执行密钥扩展,而是仅应该使用单个KeNB密钥。在这种情况下,默认配置有效地导致省略密钥扩展乘数作为密钥流的计算输入,导致仅生成单个密钥而不是多个密钥。在该默认情况下,生成的单个密钥可能,但是不一定与在不使用任何密钥扩展乘数的情况下生成的密钥相同。例如,默认的单个密钥可以包括当前的KeNB密钥,而无需对其进一步修改。
也可以利用大于1的默认值,由此用户设备自动应用预定的默认密钥扩展乘数,从而在来自基站的消息中不存在密钥扩展的显式值、以其他方式预期包含显式值的情况下生成包括预定数量的多个密钥的密钥流。
这些和其他默认密钥扩展乘数值被认为是指定的密钥扩展乘数,因为该术语在本文中广泛使用。
在图4所示实施方式中,UE 402和eNB 404各自执行过程405以生成如图所示的相应共享密钥流。在UE 402和eNB 404中的每一个中,当前KeNB密钥乘以指定的密钥扩展乘数N,并且通过密钥导出函数(KDF)处理结果,以产生密钥流,该密钥流包括表示为KeNB1,KeNB2,KeNB3,…KeNBN的KeNB密钥索引序列。KDF示例性地包括本领域技术人员已知类型的一个或多个伪随机函数。适用于本实施例的KDF的一个例子在3GPP TS 33.220V12.3.0(2014-06)的附件3中提供:技术规范组服务和***方面,通用认证结构(GAA),通用引导架构(GBA)(版本12),其通过引用并入本文。产生的KeNB密钥索引序列通过在UE 402和eNB 404中独立生成索引序列而由UE 402和eNB 404共享。
在本实施方式中,密钥索引序列中的每个密钥具有与当前KeNB密钥相同的长度,并且被被配置为提供与当前KeNB密钥基本上相同的安全级别。在本实施方式中,共享密钥流中的初始密钥与由UE 402和eNB 404共享的当前KeNB密钥示意性地不同,但是在其他实施方式中可以包括由UE 402和eNB 404共享的当前KeNB密钥。KeNB密钥索引序列中的KeNB密钥的总数由密钥扩展乘数N指定。
因此,在图4所示实施方式中,共享密钥流的密钥包括由从1到N的整数值索引的N个密钥。因此,本实施方式中的密钥索引取从1到N的整数值,其中该范围内的给定整数值标识共享密钥流的特定密钥。在其他实施方式中,可以使用不同类型的密钥标识符。
尽管图4所示实施方式中的密钥扩展乘数是表示密钥流中密钥总数的正整数,但也可以使用其他类型的密钥扩展乘数。例如,给定的密钥扩展乘数可以指示要生成的不包括初始共享KeNB密钥的附加密钥的数量。这种类型的乘数在图4所示实施方式的背景下将具有N-1的值。密钥材料的指定扩展的其他替代指示被认为包括在本文中使用的通用术语“密钥扩展乘数”中。
返回图3,在步骤302中,用户设备从基站接收密钥标识符。该密钥标识符指定先前在步骤302中生成的共享密钥流中的一个特定密钥。密钥标识符可以由用户设备通过传送密钥扩展乘数的相同消息,或单独的消息从基站接收。如上所述,所述消息可以说明性地包括RRC安全模式命令,RRC重配置请求或其他类型的消息。
在步骤304中,用户设备根据所接收的密钥标识符来选择密钥中的一个特定密钥。更具体地,在本实施方式中,用户设备选择由密钥标识符确定的特定密钥,例如由图4中的密钥索引标识的所述密钥中的一个特定密钥。
在步骤306中,用户设备和基站利用所述密钥中所选择的一个密钥来保护通过用户设备和基站之间的空中接口发送的数据。更具体地,相同的所选择的密钥被用户设备用来保护发送到基站的数据,并被基站用来保护发送到用户设备的数据。
因此,在图3所示实施方式中,基站被被配置为向用户设备指示密钥流的多个共享密钥中的一个特定密钥,该特定密钥被用于在特定时段或其他通信间隔中保护通过空中接口发送的数据。
在用户设备以结合上述步骤300描述的方式生成共享密钥流之后,可以对密钥流中的不同密钥重复一次或多次步骤302,304和306。例如,这些步骤可以重复N次,直到密钥流中的N个不同密钥被耗尽。这有利地允许基站和用户设备建立多个新的KeNB密钥,用于随时间保护其空中接口通信,而不需要重复执行上述自切换过程。
作为示例,响应于触发条件,例如密钥刷新或密钥更新条件,用户设备从基站接收另一个密钥标识符,根据所接收的另一个密钥标识符选择密钥流中的另一个密钥,并且利用所述密钥中所选择的其他一个密钥来保护从用户设备发送到基站的数据。可以另外或替代地使用其他类型的触发条件,例如基站切换条件。
应当注意,本文所用的诸如“密钥刷新”和“密钥更新”这样的术语旨在被广泛地解释,并且不应被视为限于与某些3GPP标准(例如,上面提到的3GPP标准TS33.401)相关联的特定类型的操作。
步骤300的独立密钥流生成也可以周期性地或根据需要重复。步骤300的这种重复也可以响应于一个或多个指定的触发条件来执行,例如到达当前密钥流中的最后一个密钥或接近最后一个的密钥。
上面结合图3所示流程图描述的特定方法步骤仅是示例,并且在其他实施例中可以使用附加的或替代的方法步骤。例如,如图所示方法步骤的顺序可以变化,并且在一些情况下,连续示出的某些步骤可以至少部分互相平行地执行。
现在将参照图5描述由用户设备和基站执行的密钥生成和选择过程的另一说明性实施例。该图描述了在生成由UE 520和eNB 504共享的密钥流的过程中,UE 502,eNB 504和MME 506之间的交互。UE 502,eNB 504和MME 506可以被视为对应于图1所示实施方式中的UE 102,eNB 104和MME 106。
在图5所示过程中,UE 502最初执行与MME 506的认证过程。该认证过程示例性地包括本文别处提到的AKA过程。在成功完成认证过程之后,UE 502和MME 506都独立生成当前KeNB密钥。KeNB密钥随后由MME 506传输至eNB 504,尽管图中没有明确示出KeNB密钥的传输。
eNB 504向包括密钥扩展乘数N的UE 502发送RRC安全模式命令,以及指示UE 502选择共享密钥流中第i个密钥的索引i。所述命令是本文中更一般地被称为从基站发送到用户设备的“消息”的示例。在本实施方式中,密钥扩展乘数N和索引i都通过相同的消息发送,但是在其他实施发送中,可以使用各种各样的其他类型和设置的消息来传送所述信息。
包含密钥扩展乘数N和初始密钥标识符i的RRC安全模式命令的发送示例性地由eNB 504从MME 506接收KeNB密钥而被触发。应当注意,在其他实施方式中,所述命令的发送可以由eNB 504从***中的另一个eNB接收KeNB密钥,或其他条件而被触发。
响应于RRC安全模式命令,UE 502通过将KDF应用于一个或多个密钥参数来生成密钥流,所述密钥参数至少包括由密钥扩展乘数N扩展的当前KeNB密钥。在其他实施方式中,可以利用其他类型的密钥参数生成密钥流。此外,KDF的应用可以在其他实施方式中不同。例如,一个或多个密钥参数可以乘以密钥扩展乘数N,然后结果被应用KDF,或者被应用KDF,然后结果乘以密钥扩展乘数N。
在生成密钥流之后,UE 502将其当前KeNB密钥设置为由RRC 504在RRC安全模式命令中指示的所选密钥KeNB[i]。最初选择的密钥KeNB[i]示例性地包括密钥流中的初始密钥,但是可替换地,可以选择非初始密钥。
eNB 504独立生成密钥流并将其当前KeNB密钥设置为密钥流中的所选密钥KeNB[i]。
UE 502和eNB 504都根据KeNB[i]生成各种从属密钥,包括标记KRRCenc,KRRCint,KUPenc和KUPint的密钥,所有这些密钥在上述3GPP标准TS33.401中有更详细的描述。在其他实施方式中,可以根据密钥流中的所选密钥KeNB[i]生成附加的或替代的从属密钥。
应当注意,此处提到的利用选择的密钥保护通过例如用户设备和基站之间的空中接口发送的数据旨在包括将从所选密钥导出的一个或多个密钥用于确保所述通信的实施方式。此外,可以使用所选密钥和一个或多个从属密钥的各种组合来保护给定的通信。
在UE 502完成其密钥流生成、密钥选择和从属密钥生成操作之后,如图所示,其向eNB 504发送RRC安全模式命令响应。
响应于针对密钥刷新或密钥更新的一个或多个触发条件,KeNB密钥以下列方式刷新或更新。
eNB 504在另一个RRC安全模式命令中向UE 502发送密钥流中另一个密钥的标识符。密钥流中的所述另一个密钥被表示为KeNB[x],其中x≤N。UE 502在RRC安全模式命令中将其当前KeNB密钥设置为由eNB 504指示的所选密钥KeNB[x]。eNB 504也将其当前KeNB密钥设置为所选择的密钥KeNB[x]。UE502和eNB 504都根据新选择的密钥KeNB[x]再次生成各种从属密钥,包括标记为KRRCenc,KRRCint,KUPenc和KUPint的密钥的新版本。
图5实施方式中使用的用于将密钥扩展乘数或密钥标识符从基站传送至用户设备的RRC安全模式命令中的一个或多个可以在其他实施方式中利用RRC重配置请求或其他类型的消息实现。
图5所示过程中与密钥选择和从属密钥生成相关的部分可以重复一次或多次,直到初始密钥流中的密钥耗尽或几乎耗尽。此时,UE502和eNB504可以通过重复图5过程中的密钥流生成部分而独立生成新的密钥流。接下来,如前所述,所产生的新密钥流中的密钥被迭代选择,以用于在eNB 504的控制下保护通过空中接口发送的数据。对于使用给定密钥流执行的每个密钥刷新操作,eNB 504识别UE 502的特定密钥,并且该密钥由UE 502和eNB504用于保护通过空中接口在这两个***元件之间发送的数据。
eNB 504可以被被配置为检测应当生成新密钥流的条件。例如,eNB 504可以被被配置为检测密钥流中的未使用密钥流的剩余数量达到指定最小值(例如0或1)的条件,其中进程中的密钥流生成部分响应于检测到的条件而重复。
图5所示实施方式中的密钥标识符的形式是各自的密钥索引值,例如i或x式。密钥标识符的格式可以根据特定实施方式的需要而变化。例如,可以使用包括总共n=log2N比特的多比特标识符来唯一地标识密钥流中的N个不同密钥中的每一个。在其他实施方式中可以使用其他类型的密钥标识符。例如,基站可以通过指示用户设备增加当前的密钥计数器来向用户设备识别密钥流中的特定密钥。在这种设置中,密钥计数器被示意性地被配置为对包括使用密钥扩展乘数N生成的N个密钥的给定密钥流来计算从1到N的整数值。
还可以实现用于将密钥扩展乘数从基站传输至用户设备的其他技术。例如,基站和用户设备可以各自被被配置为支持预定数量的可能的密钥扩展乘数,其中基站向用户设备发送密钥扩展乘数中的特定密钥扩展乘数的标识符,而不是发送特定的密钥关键扩展乘数本身。
如上所述,在某些条件下,可以对密钥扩展乘数使用一个或多个默认值。例如,在图5所示实施方式的背景下,如果UE 502从eNB 504接收到初始RRC安全模式命令,而没有预期的密钥扩展乘数,则UE 502可以自动使用密钥扩展乘数的默认值。例如,所述默认值可以是大于1的值,该值向UE 502指示要应用指定的默认密钥扩展量。再例如,默认值可以是值1或NULL值。在值1或NULL值的情况下,初始RRC安全模式命令中没有预期的密钥扩展乘数可以向UE 502指示不执行密钥扩展,使得UE 502和eNB 504恢复使用单个密钥而不是从密钥流中选择的密钥。
尽管在图5中未示出,但是给定密钥流中的未使用部分可以从一个基站发送到另一个基站。例如,结合将与UE 502正在进行的通信从服务eNB 504发送至被称为***中称为目标eNB的另一个eNB,密钥流中任何剩余未使用的密钥可以从服务eNB发送到目标eNB。目标eNB接下来可以选择发送的密钥中的特定密钥,向UE 502发送所选密钥的标识符,并利用所选密钥保护正在进行的通信中发送给UE 502的数据。
说明性实施方式提供了在LTE***和其他通信***中生成和选择密钥的技术。这些实施方式可以实质性地改善***的安全性和性能,而不会过度增加***成本或复杂性。例如,这些实施方式可以避免与用于每个KeNB密钥刷新操作的自切换过程的单独实例的性能相关联的信令开销和延迟。
另外,提供简化和合理化的密钥刷新,以在上述双连接配置中处理由小区管理的数据会话。因此,在这些切换密集型小区部署场景中,密钥刷新的计算负担大大降低。在其他不安全位置中通过小区发送的数据的脆弱性也降低了。
此外,可以仅对现有3GPP标准(例如上述TS33.401标准)进行最小的改变来实现说明性实施方式中的一个或多个。
如前所述,实施方式不限于LTE环境,并且所公开的技术可以直接适应于各种各样的其他通信***环境。
本文公开的通信***中的用户设备或基站元件的处理器,存储器,控制器和其他组件可以包括适当修改以实现上述密钥生成和选择功能的至少一部分的众所周知的电路。
如上所述,实施方式可以制品的形式实现,每个制品包括由用户设备,基站或通信***的其他元件的处理电路执行的一个或多个软件程序。所述电路的常规方面是本领域技术人员公知的,此处不再赘述。
此外,实施方式可以以任何组合实现在一个或多个ASICS,FPGA或其他类型的集成电路设备中。所述集成电路器件以及其部分或组合是本文使用的术语“电路”的示例。
硬件和相关软件或固件的各种其他设置可以用于实现说明性实施方式。
因此,应该再次强调的是,这里所描述的各种实施方式仅仅是以说明性示例的方式给出的,并且不应被解释为限制权利要求的范围。例如,替代实施方式可以利用与上文在说明性实施方式背景下描述的不同通信***配置,用户设备配置,基站配置,共享密钥生成和选择过程,消息传递协议和消息格式。在所附权利要求范围内的这些和许多其它替代实施方式对于本领域技术人员将是显而易见的。
Claims (12)
1.一种方法,该方法包括:
至少部分基于指定的密钥扩展乘数在通信***的用户设备中生成多个密钥;
在所述用户设备中从所述通信***的基站接收密钥标识符;
在所述用户设备中根据所接收到的密钥标识符来选择所述密钥中的一个特定密钥;以及
使用所述密钥中的所选择的一个密钥来保护从所述用户设备发送到所述基站的数据。
2.如权利要求1所述的方法,其中所述密钥包括由所述用户设备响应于从所述基站接收到的消息而生成的密钥流的相应部分,并且其中所述密钥通过在所述基站中独立生成所述密钥流而由所述用户设备和基站共享。
3.如权利要求1所述的方法,其中所述密钥包括KeNB密钥的索引序列,所述KeNB密钥的索引序列通过在所述基站中独立生成所述KeNB密钥的索引序列而由所述用户设备和基站共享,并且其中所述KeNB密钥的索引序列中的KeNB密钥的总数由所述密钥扩展乘数指定。
4.如权利要求1所述的方法,该方法还包括响应于确定来自所述基站的消息中没有所述密钥扩展乘数的显式值,以其他方式期望包含所述显式值,而将所述密钥扩展乘数设置为预定的默认值。
5.如权利要求1所述的方法,其中所述密钥扩展乘数和所述密钥标识符中的至少一个是从所述基站在至少一个无线电资源控制(RRC)安全模式命令中接收的。
6.如权利要求1所述的方法,该方法还包括:
在所述用户设备中响应于触发条件而从所述基站接收另一个密钥标识符;
在所述用户设备中根据所接收到的其他密钥标识符来选择所述多个密钥中的另一个密钥;以及
使用所述多个密钥中的所选择的其他一个密钥来保护从所述用户设备发送到所述基站的数据;
其中所述触发条件包括密钥刷新条件、密钥更新条件以及基站切换条件中的至少一个。
7.一种制品,该制品包括具有可执行程序代码的非瞬时计算机可读存储介质,当由所述用户设备的处理器执行时,所述程序代码引起所述用户设备执行如权利要求1所述的方法。
8.一种装置,该装置包括:
用户设备,该用户设备被配置为与通信***中的基站通信;
所述用户设备还被配置为:
至少部分基于指定的密钥扩展乘数生成多个密钥;
从所述基站接收密钥标识符;
根据所接收的密钥标识符选择所述密钥中的一个特定密钥;以及
使用所述密钥中所选择的一个密钥来保护从所述用户设备发送到所述基站的数据。
9.一种方法,该方法包括:
至少部分基于指定的密钥扩展乘数在通信***的基站中生成多个密钥;
在所述基站中选择所述密钥中的一个特定密钥;
从所述基站向所述用户设备发送所选择的一个密钥的标识符;
使用所述密钥中的所选择的一个密钥来保护从所述基站发送到所述用户设备的数据。
10.如权利要求9所述的方法,该方法还包括:
结合将与所述用户设备正在进行的通信的控制从所述基站转移至另一个基站,将所述多个密钥中未使用的密钥发送至所述其他基站;
在所述其他基站中选择所发送的密钥中的一个特定密钥;
从所述其他基站向所述用户设备发送从所发送的密钥中选择的一个密钥的标识符;以及
使用从所发送的密钥中选择的一个密钥来保护从所述其他基站发送到所述用户设备的数据。
11.如权利要求9所述的方法,该方法还包括:
在所述基站中检测所述多个密钥中未使用的密钥的剩余数量达到指定最小值的条件;以及
响应于所检测到的条件而重复密钥生成。
12.一种装置,该装置包括:
基站,该基站被配置为与通信***中的用户设备通信;
所述基站还被配置为:
至少部分基于指定的密钥扩展乘数生成多个密钥;
选择所述密钥中的一个特定密钥;
将所选择的一个密钥的标识符发送给所述用户设备;以及
使用所选择的密钥来保护从所述基站发送到所述用户设备的数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/527,231 | 2014-10-29 | ||
| US14/527,231 US9585013B2 (en) | 2014-10-29 | 2014-10-29 | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
| PCT/US2015/057766 WO2016069719A1 (en) | 2014-10-29 | 2015-10-28 | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107113608A true CN107113608A (zh) | 2017-08-29 |
| CN107113608B CN107113608B (zh) | 2020-05-12 |
Family
ID=54541214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580058919.9A Active CN107113608B (zh) | 2014-10-29 | 2015-10-28 | 使用密钥扩展乘数来生成多个共享密钥的方法和装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9585013B2 (zh) |
| EP (1) | EP3213482B1 (zh) |
| JP (1) | JP6487550B2 (zh) |
| KR (1) | KR101881712B1 (zh) |
| CN (1) | CN107113608B (zh) |
| TW (1) | TWI580284B (zh) |
| WO (1) | WO2016069719A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019242645A1 (zh) * | 2018-06-21 | 2019-12-26 | 蔡利锋 | 密钥生成装置、加密解密装置、密钥生成和分发***以及信息安全传递*** |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9585013B2 (en) | 2014-10-29 | 2017-02-28 | Alcatel Lucent | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
| US10075447B2 (en) * | 2015-03-04 | 2018-09-11 | Neone, Inc. | Secure distributed device-to-device network |
| EP3361763B1 (en) * | 2015-10-31 | 2020-08-12 | Huawei Technologies Co., Ltd. | Senb key update method and device |
| EP3340147A1 (en) | 2016-12-22 | 2018-06-27 | Mastercard International Incorporated | Method for providing key identifier in transaction data |
| US10574457B2 (en) * | 2017-05-12 | 2020-02-25 | Nokia Technologies Oy | Indicator for determination of key for processing message in communication system |
| US10979902B2 (en) | 2018-10-15 | 2021-04-13 | Wipro Limited | Method and system for securing user plane communication between user equipments and evolved NodeBs |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819698A (zh) * | 2005-08-24 | 2006-08-16 | 华为技术有限公司 | 一种目标基站获取鉴权密钥上下文信息的方法 |
| CN102144370A (zh) * | 2008-09-04 | 2011-08-03 | 富士通株式会社 | 发送装置、接收装置、发送方法及接收方法 |
| US20110261961A1 (en) * | 2010-04-22 | 2011-10-27 | Qualcomm Incorporated | Reduction in bearer setup time |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030021417A1 (en) | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| JP4688426B2 (ja) * | 2004-03-09 | 2011-05-25 | 富士通株式会社 | 無線通信システム |
| US20080039096A1 (en) | 2006-03-28 | 2008-02-14 | Nokia Corporation | Apparatus, method and computer program product providing secure distributed HO signaling for 3.9G with secure U-plane location update from source eNB |
| US8948395B2 (en) | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
| JP4864797B2 (ja) | 2006-09-11 | 2012-02-01 | Kddi株式会社 | P−cscf高速ハンドオフシステム及びp−cscf高速ハンドオフ方法 |
| EP1973265A1 (en) | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
| US10091648B2 (en) | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
| WO2009102247A1 (en) | 2008-02-15 | 2009-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Application specific master key selection in evolved networks |
| KR20090126166A (ko) | 2008-06-03 | 2009-12-08 | 엘지전자 주식회사 | 트래픽 암호화 키 생성 방법 및 갱신 방법 |
| WO2010019020A2 (ko) * | 2008-08-15 | 2010-02-18 | 삼성전자주식회사 | 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 |
| US20100098247A1 (en) * | 2008-10-20 | 2010-04-22 | Nokia Corporation | Method, Apparatus And Computer Program Product For Generating An Encryption Key And An Authentication Code Key Utilizing A Generic Key Counter |
| KR101761532B1 (ko) | 2008-12-17 | 2017-07-25 | 인터디지탈 패튼 홀딩스, 인크 | 직접 링크 통신의 향상된 보안 |
| US8707045B2 (en) * | 2009-02-12 | 2014-04-22 | Lg Electronics Inc. | Method and apparatus for traffic count key management and key count management |
| US8826376B2 (en) | 2009-03-10 | 2014-09-02 | Alcatel Lucent | Communication of session-specific information to user equipment from an access network |
| JPWO2010116621A1 (ja) * | 2009-03-30 | 2012-10-18 | パナソニック株式会社 | 無線通信装置 |
| US8774411B2 (en) | 2009-05-29 | 2014-07-08 | Alcatel Lucent | Session key generation and distribution with multiple security associations per protocol instance |
| CN103096309B (zh) * | 2011-11-01 | 2016-08-10 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
| US8953784B2 (en) | 2011-11-02 | 2015-02-10 | Guang Gong | Lightweight stream cipher cryptosystems |
| US9585013B2 (en) | 2014-10-29 | 2017-02-28 | Alcatel Lucent | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
-
2014
- 2014-10-29 US US14/527,231 patent/US9585013B2/en active Active
-
2015
- 2015-09-30 TW TW104132161A patent/TWI580284B/zh active
- 2015-10-28 WO PCT/US2015/057766 patent/WO2016069719A1/en active Application Filing
- 2015-10-28 CN CN201580058919.9A patent/CN107113608B/zh active Active
- 2015-10-28 EP EP15794407.5A patent/EP3213482B1/en active Active
- 2015-10-28 JP JP2017523341A patent/JP6487550B2/ja active Active
- 2015-10-28 KR KR1020177011573A patent/KR101881712B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819698A (zh) * | 2005-08-24 | 2006-08-16 | 华为技术有限公司 | 一种目标基站获取鉴权密钥上下文信息的方法 |
| CN102144370A (zh) * | 2008-09-04 | 2011-08-03 | 富士通株式会社 | 发送装置、接收装置、发送方法及接收方法 |
| US20110261961A1 (en) * | 2010-04-22 | 2011-10-27 | Qualcomm Incorporated | Reduction in bearer setup time |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019242645A1 (zh) * | 2018-06-21 | 2019-12-26 | 蔡利锋 | 密钥生成装置、加密解密装置、密钥生成和分发***以及信息安全传递*** |
| CN110636028A (zh) * | 2018-06-21 | 2019-12-31 | 蔡利锋 | 密钥生成装置、加密装置、密钥生成和分发*** |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6487550B2 (ja) | 2019-03-20 |
| TWI580284B (zh) | 2017-04-21 |
| TW201633812A (zh) | 2016-09-16 |
| EP3213482A1 (en) | 2017-09-06 |
| US9585013B2 (en) | 2017-02-28 |
| US20160127893A1 (en) | 2016-05-05 |
| KR20170064544A (ko) | 2017-06-09 |
| EP3213482B1 (en) | 2019-03-27 |
| WO2016069719A1 (en) | 2016-05-06 |
| KR101881712B1 (ko) | 2018-07-24 |
| CN107113608B (zh) | 2020-05-12 |
| JP2017534207A (ja) | 2017-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107113608A (zh) | 由用户设备和基站使用密钥扩展乘数来生成多个共享密钥 | |
| CN108432206B (zh) | 用于蜂窝物联网的无状态接入阶层安全性 | |
| KR102024331B1 (ko) | 메시지 보호 방법, 관련 장치 및 시스템 | |
| EP3258718B1 (en) | Gprs system key enhancement method, sgsn device, ue, hlr/hss and gprs system | |
| CN110072233A (zh) | 一种安全密钥更改方法和基站及用户设备 | |
| CN108347420A (zh) | 一种网络密钥处理的方法、相关设备及*** | |
| CN108293223A (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| US11451961B2 (en) | Security enhancements for early data transmissions | |
| CN103765847A (zh) | 用于媒体访问控制头部压缩的装置和方法 | |
| JP2009141958A (ja) | セキュリティーキー変更を処理する方法及び通信装置 | |
| JP6396589B2 (ja) | セキュアな自動ブルーツースペアリングのためのワンタイムクレデンシャル | |
| WO2020050138A1 (ja) | コアネットワーク装置、アクセスネットワーク装置、通信端末、通信システム、及び通信方法 | |
| CN110383868A (zh) | 无线通信***中的非活动状态安全支持 | |
| WO2018011619A1 (en) | Enhanced aggregated re-authentication for wireless devices | |
| CN107801187A (zh) | 加解密方法、装置及*** | |
| CN106105131A (zh) | 设备配对 | |
| CN109803262A (zh) | 一种网络参数的传输方法及装置 | |
| CN104301106B (zh) | 无线通信***及其认证方法 | |
| WO2022142933A1 (zh) | 无线接入点的入网方法、***、ap及存储介质 | |
| CN109819439A (zh) | 密钥更新的方法及相关实体 | |
| CN114514726A (zh) | 无线网络中的安全密钥生成 | |
| WO2017036107A1 (zh) | 用户设备差异化接入网络的方法、基站及计算机存储介质 | |
| CN104125563A (zh) | 认知无线电***中的安全管理方法和设备 | |
| CN111182548B (zh) | 伪网络设备识别方法及通信装置 | |
| JP5519566B2 (ja) | 移動通信方法、無線基地局、移動管理ノード及び移動局 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |