CN110086764B - 用于使能用于enb间的传输的安全通信的方法和*** - Google Patents
用于使能用于enb间的传输的安全通信的方法和*** Download PDFInfo
- Publication number
- CN110086764B CN110086764B CN201910117634.8A CN201910117634A CN110086764B CN 110086764 B CN110086764 B CN 110086764B CN 201910117634 A CN201910117634 A CN 201910117634A CN 110086764 B CN110086764 B CN 110086764B
- Authority
- CN
- China
- Prior art keywords
- base station
- senb
- security
- key
- menb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
- H04W76/16—Involving different core network technologies, e.g. a packet-switched [PS] bearer in combination with a circuit-switched [CS] bearer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/28—Discontinuous transmission [DTX]; Discontinuous reception [DRX]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
- H04L5/0001—Arrangements for dividing the transmission path
- H04L5/0003—Two-dimensional division
- H04L5/0005—Time-frequency
- H04L5/0007—Time-frequency the frequencies being orthogonal, e.g. OFDM(A), DMT
- H04L5/001—Time-frequency the frequencies being orthogonal, e.g. OFDM(A), DMT the frequencies being arranged in component carriers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/16—Automatic or semi-automatic exchanges with lock-out or secrecy provision in party-line systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
- H04W28/18—Negotiating wireless communication parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/20—Interfaces between hierarchically similar devices between access points
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Quality & Reliability (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文实施例提供了一种由移动通信***中第一基站执行的方法,该方法包括:向第二基站发送对辅小区组(SCG)添加的请求消息,该请求消息包括与第二基站相关联的第一安全密钥;从第二基站接收响应于该请求消息的响应消息,该响应消息包括与算法相关联的信息;以及向第二基站发送对SCG添加的完成消息,其中该第一安全密钥用于生成第二基站中的第二安全密钥,该第二安全密钥用于加密终端和第二基站之间的数据,并且其中该第一安全密钥是基于基本安全密钥和SCG计数器值生成的。
Description
本申请是申请日为2014年9月11日、申请号为:201480049965.8、发明名称为“用于使能用于ENB间的传输的安全通信的方法和***”的发明专利申请的分案申请。
技术领域
本发明涉及无线电网络***,并且更具体地涉及一种机制,该机制用于利用在无线电网络***中的eNB间的载波聚合来提供从用户设备(UE)跨多个eNB的安全的同时发送和接收,本申请基于并且要求在2013年9月11日提交的印度申请No.4059/CHE/2013的优先权,其公开由此通过引用被并入在此。
背景技术
随着在长期演进(LTE)和高级LTE(LTE-A)的部署上的增长,诸如微微小区和毫微微小区的使用低功率节点的小小区被认为有希望处理移动流量***。使用具有比宏节点和基站(BS)类更低的发射功率(Tx)的低功率节点的小小区优选地用于在室内和室外情况下的热点部署。用于演进通用移动电信***(UMTS)陆地无线电接入网(E-UTRAN)和E-UTRA的小小区增强,聚焦在使用低功率节点的、用于室内和室外的热点区域中的增强性能的附加功能。可以预期该小小区增强利用在给定的合理***复杂度的情况下的通常的用户通过量的主要关注,支持用于下行链路和上行链路两者的显著增大的用户通过量。预期该小小区增强,对于给定用户和小小区分布、典型的流量类型并且考虑到合理的***复杂度,以每个单位面积的容量(例如,bps/km2)尽可能高为目标。在LTE版本11规范中,UE可以通过来自不同频带的载波被载波聚合。UE与由主eNB服务的至少一个第一服务频率和由辅助eNB服务的至少一个第二服务频率载波聚合。该UE的载波聚合被称为与UE的eNB间的载波聚合。在对于在MME和E-UTRAN之间的UE存在单个S1-MME终点的同时,双连接在向给定的UE(具有活动的无线电承载)提供无线电资源中涉及两个eNB。在TS 36.300中进一步描述了E-UTRAN架构和支持用于E-UTRAN的双连接的相关功能。
在支持在UE处的载波间的聚合的现有的安全机制中,使用对于在LTE网络中的演进通用陆地无线电接入(E-UTRAN)定义的认证和密钥协商过程(AKA)来执行认证和授权。通过在核心网络中的移动管理实体(MME)推导初始安全密钥,并且该初始安全密钥被发送到主eNB。在eNB间(S1或X2启动的)的切换期间,主eNB使用基础安全密钥来推导用于辅助eNB的安全密钥。同一安全密钥用于推导另外的密钥,其中密钥之一用于用户平面数据保护。
在切换(HO)期间,未使用的下一跳(NH)参数或与主eNB相关联的现有安全密钥可以用于推导基础安全密钥。为了正向安全,可以使用利用未使用的下一跳(NH)参数的在锚eNB处的垂直密钥推导来推导用于辅助eNB的新的安全密钥。不能总是使用该未使用的NH参数,并且该现有的安全密钥可以被用于推导用于漂移eNB的安全密钥。用于在漂移eNB和UE之间的通信的现有安全密钥的使用不能提供足够的密钥分离,导致安全损害。
而且,如果主eNB使用现有的安全密钥推导用于辅助eNB的安全密钥,则密钥重复将出现。而且,每次辅助eNB被去除并且再一次被增加用以支持双连接时,可以重复所产生的安全密钥。而且,当在TS 33.401中定义的现有安全机制用于双连接时密钥流重复是高度可能的,并且导致将用户平面暴露于安全攻击,需要避免这一点。
除了密钥重复之外,辅助eNB的安全能力和/或本地配置可能与主eNB不同。因此,UE可能需要使用不同的加密算法来用于与辅助eNB进行通信。在辅助eNB和UE之间的安全环境的建立要求了解被辅助eNB支持和选择的安装算法。
上面的信息仅被呈现为背景信息,以帮助读者了解本发明。申请人关于上面的任何一个是否可以关于本申请适用为现有技术未作出确定并且未作出断言。
发明内容
技术问题
现有的安全机制具有几个缺点。现有的安全机制可能未在辅助eNB和UE之间提供安全通信解决方案,因为当增加辅助eNB并且更新现有的辅助密钥时可以重复所产生的密钥,这是高度安全威胁。而且,当服务UE的主eNB和辅助eNB属于不同的运营商并且未保持前向秘密时,现有的安全机制不能提供足够的保护。
对于问题的解决方案
因此,在此的实施例提供了一种由通信***中第一基站执行的方法,所述方法包括:基于第一基站的基本安全密钥和用于第二基站的计数器值,生成用于第二基站的第一安全密钥;向第二基站发送用于增加第二基站的请求消息,所述请求消息包括所述第一安全密钥;从第二基站接收作为对所述请求消息的响应的响应消息,所述响应消息包括与用于第二基站的算法相关联的信息;以及向终端发送无线电资源控制RRC消息,所述RRC消息包括用于第二基站的计数器值和与用于第二基站的算法相关联的信息。
因此,在此的实施例提供了一种由通信***中的第二基站执行的方法,所述方法包括:从第一基站接收用于增加第二基站的请求信息,所述请求消息包括用于第二基站的第一安全密钥;以及向第一基站发送作为对所述请求消息的响应的响应消息,所述响应消息包括与用于第二基站的算法相关联的信息,其中,所述第一安全密钥是基于第一基站的基本安全密钥和第一基站中的用于第二基站的计数器值来生成的,以及其中,包括用于第二基站的计数器值和与用于第二基站的算法相关联的信息的无线电资源控制RRC消息通过第一基站被发送。
因此,在此的实施例提供了一种通信***中的第一基站,所述第一基站包括:收发器;和至少一个处理器,其被配置为控制所述收发器执行以下步骤:基于第一基站的基本安全密钥和用于第二基站的计数器值,生成用于第二基站的第一安全密钥,向第二基站发送用于增加第二基站的请求消息,所述请求消息包括所述第一安全密钥,从第二基站接收作为对所述请求消息的响应的响应消息,所述响应消息包括与用于第二基站的算法相关联的信息,以及向终端发送无线电资源控制RRC消息,所述RRC消息包括用于第二基站的计数器值和与用于第二基站的算法相关联的信息。
因此,在此的实施例提供了一种在移动通信***中的第二基站,所述第二基站包括:收发器,和至少一个处理器,其被配置为控制所述收发器:从第一基站接收对用于增加第二基站的请求信息,所述请求消息包括用于第二基站的第一安全密钥,以及向第一基站发送作为对所述请求消息的响应的响应消息,所述响应消息包括与用于第二基站的算法相关联的信息,其中,所述第一安全密钥是基于第一基站的基本安全密钥和第一基站中的用于第二基站的计数器值来生成的,以及其中,包括用于第二基站的计数器值和与用于第二基站的算法相关联的信息的无线电资源控制RRC消息通过第一基站被发送。
因此,在此的实施例提供了一种用于在包括连接到第二演进节点B(eNB)的第一eNB的无线网络中建立用于用户设备(UE)的安全连接的方法。UE与由第一eNB服务的至少一个第一服务频率和由第二eNB服务的至少一个第二服务频率载波聚合。所述方法包括:在所述第二eNB的增加、所述第二eNB的改变、独特非重复安全基础密钥的更新和所述独特非重复安全基础密钥的刷新之一期间,通过所述第一eNB产生与所述第二eNB相关联的所述独特非重复安全基础密钥。基于新鲜参数和与所述第一eNB相关联的安全基础密钥来产生所述独特非重复安全基础密钥。所述方法包括:从所述第一eNB接收到所述独特非重复安全基础密钥后,通过所述第二eNB基于与所述第二eNB相关联的所述产生的独特非重复安全基础密钥来推导用户平面加密密钥,以用于加密通过至少一个数据无线电承载的数据传送。而且,所述方法包括:向所述UE通知所述新鲜参数以推导与所述第二eNB相关联的所述独特非重复安全基础密钥和用于通过所述安全连接的数据传送的所述用户平面加密密钥。在与所述第二eNB和所述UE相关联的至少一个服务小区上建立至少一个数据无线电承载。而且,所述方法包括:使用与所述第二eNB相关联的所述用户平面加密密钥,来使能用于通过所述至少一个数据无线电承载在所述UE和所述第二eNB之间的用户平面数据传送的安全连接。
在实施例中,与所述第二eNB相关联的所述独特非重复安全基础密钥从与所述第一eNB相关联的所述安全基础密钥加密地分离。在实施例中,用于推导与所述第二eNB相关联的所述独特非重复安全基础密钥的所述新鲜参数是随机值和计数器值之一。所述新鲜参数被用作用于与所述第二eNB相关联的每个所述独特非重复安全基础密钥的输入参数,其中,所使用的所述新鲜参数不同于与先前用于与所述第一eNB相关联的给定安全基础密钥的新鲜参数,以避免密钥流重复。
因此,在此的实施例提供了一种用于在包括连接到第二演进节点B(eNB)的第一eNB的无线网络中建立用于用户设备(UE)的安全连接的***。所述UE与由所述第一eNB服务的至少一个第一服务频率和由所述第二eNB服务的至少一个第二服务频率载波聚合。所述***被配置为在所述第二eNB的增加、所述第二eNB的改变、独特非重复安全基础密钥的更新和所述独特非重复安全基础密钥的刷新之一期间,通过所述第一eNB来产生与所述第二eNB相关联的独特非重复安全基础密钥。基于新鲜参数和与所述第一eNB相关联的安全基础密钥来产生所述独特非重复安全基础密钥。所述***被配置为在从所述第一eNB接收到与所述第二eNB相关联的所述独特非重复安全基础密钥后,基于与所述第二eNB相关联的所述产生的独特非重复安全基础密钥来推导用户平面加密密钥,以用于加密通过至少一个数据无线电承载的数据传送。而且,所述***配置为向用以推导与所述第二eNB相关联的所述独特非重复安全基础密钥的所述UE通知所述新鲜参数和用于通过所述安全连接的数据传送的所述用户平面加密密钥。在与所述第二eNB相关联的至少一个服务小区上建立至少一个数据无线电承载。而且,所述***配置为使用与所述第二eNB相关联的所述用户平面加密密钥,来使能用于通过所述至少一个数据无线电承载在所述UE和所述第二eNB之间的用户平面数据传送的安全连接。
因此,在此的实施例提供了一种计算机程序产品,包括在计算机可读永久存储介质上记录的计算机可执行程序代码,所述计算机可执行程序代码当被执行时引起动作,所述动作包括:在所述第二eNB的增加、所述第二eNB的改变、独特非重复安全基础密钥的更新和所述独特非重复安全基础密钥的刷新之一期间,通过所述第一eNB产生与所述第二eNB相关联的所述独特非重复安全基础密钥。基于新鲜参数和与所述第一eNB相关联的安全基础密钥来产生所述独特非重复安全基础密钥。所述计算机可执行程序代码当被执行时进一步引起动作,所述动作包括:在从所述第一eNB接收到所述独特非重复安全基础密钥后,基于与所述第二eNB相关联的所述产生的独特非重复安全基础密钥来推导用户平面加密密钥,以用于加密通过至少一个数据无线电承载的数据传送。在与所述第二eNB相关联的至少一个服务小区上建立至少一个数据无线电承载。所述计算机可执行程序代码当被执行时进一步引起动作:向用以推导与所述第二eNB相关联的所述独特非重复安全基础密钥的所述UE通知所述新鲜参数和用于通过所述安全连接的数据传送的所述用户平面加密密钥。
所述计算机可执行程序代码当被执行时进一步引起动作:使用与所述第二eNB相关联的所述用户平面加密密钥,来使能用于通过所述至少一个数据无线电承载在所述UE和所述第二eNB之间的用户平面数据传送的安全连接。
当结合下面的描述和附图考虑时,将更好地认识和理解本文中的实施例的这些和其他方面。然而,应当明白,下面的描述在指示优选实施例及其多个具体细节的同时通过例示而不是限制被给出。在不偏离实施例的精神的情况下,可以在实施例的范围内作出许多改变和修改,并且,在此的实施例包括所有这样的修改。
本发明的有益效果
本文的实施例的主要目的是提供一种***和方法,用于当UE与由主eNB服务的第一服务频率和由辅助eNB服务的至少一个第二服务频率载波聚合时,使用与所述主eNB相关联的安全基础密钥和新鲜参数来产生与辅助eNB相关联的独特非重复安全基础密钥。
本发明的另一个目的是更新与辅助eNB相关联的独特非重复安全基础密钥以避免密钥流重复。
本文的实施例的另一个目的是提供一种用于基于由在无线网络***中的辅助eNB支持的安全能力和配置来建立安全环境的机制。
本文的实施例的另一个目的是提供一种机制,用于利用在无线网络***中的eNB间的载波聚合使用在辅助eNB和UE之间的独特非重复安全基础密钥,来建立用于用户平面数据传送的安全连接。
附图说明
在附图中图示了本发明,贯穿附图,相似的参考标号指示在各个图中的对应的部分。参考附图从下面的描述,将更好的理解在此的实施例,在附图中:
图1a是图示根据在此公开的实施例的,在无线网络***中与用户设备(UE)的演进节点B(eNB)间的载波聚合的方框图;
图1b是图示根据在此公开的实施例的安全基础的方框图;
图2a和图2b图示根据在此公开的实施例的,用于在3GPP规范中的与所考虑的分布式PDCP的双连接的协议架构;
图3是图示根据在此公开的实施例的,MeNB和SeNB的各种模块的方框图;
图4是图示根据在此公开的实施例的,用于使用在UE和SeNB之间的独特非重复安全基础密钥来建立用于用户平面数据传送的安全连接的方法的流程图;
图5a是图示根据在此公开的实施例的,用于使用新鲜参数的由SeNB和MeNB启动的安全密钥更新以避免密钥流重复的方法的流程图;
图5b是图示根据在此公开的实施例的,用于当更新与MeNB相关联的安全密钥时更新与SeNB相关联的独特非重复安全密钥的方法500b的流程图;
图6a是图示根据在此公开的实施例的,在UE、MeNB和SeNB之间执行的、用于使用独特非重复安全基础密钥来建立用于用户平面数据传送的安全连接的各种操作的示例序列图;
图6b是图示根据在此公开的实施例的,在UE、MeNB和SeNB之间执行的、用于更新与SeNB相关联的独特非重复安全基础密钥的各种操作的示例序列图;
图6c是图示根据在此公开的实施例的,在UE、MeNB和SeNB之间执行的、用于当与MeNB相关联的安全基础密钥被更新时更新与SeNB相关联的独特非重复安全基础密钥的各种操作的示例序列图;
图7a和7b是图示根据在此公开的实施例的,用于在支持UE的载波聚合的网络中的安全密钥处理的机制的示例序列;
图8是图示根据在此公开的实施例的,用于使用下行链路(DL)PDCP计数来实现前向安全的方法的流程图,该DL PDCP计数用于推导用于数据平面数据传输的安全密钥;
图9是根据在此公开的实施例的,在UE、第一eNB和第二eNB之间执行的、用于使用DL PDCP计数器实现前向安全的各种操作的示例序列图,该DL PDCP计数器用于推导用于用户平面数据传输的安全密钥;
图10是图示根据在此公开的实施例的,用于使用DL PDCP计数和上行链路(UL)PDCP计数实现前向安全的方法的流程图,该DL PDCP计数和该UL PDCP计数用于推导用于用户平面数据传输的安全密钥;
图11是图示根据在此公开的实施例的,在UE、第一eNB、第二eNB之间执行的、用以使用DL PDCP计数和UL PDCP计数实现前向安全的各种操作的示例序列图,该DL PDCP计数和该UL PDCP计数用于推导用于用户平面数据传输的安全密钥。
图12是图示根据在此公开的实施例的,用于使用用于推导用于用户平面数据传输的安全密钥的一次性随机数来实现前向安全的方法的流程图;
图13是图示根据在此公开的实施例的,在UE、第一eNB和第二eNB之间执行的、用于使用一次性随机数来实现前向安全的各种操作的示例序列图,该一次性随机数用于推导用于用户平面数据传输的安全密钥;
图14是图示根据在此公开的实施例的,用于基于由在无线网络中的第二eNB支持的安全能力来建立安全环境的方法的流程图;
图15是图示根据在此公开的实施例的,在UE和第一eNB之间执行的、用于基于第二eNB安全能力来建立安全环境的各种操作的示例序列图;
图16是图示根据在此公开的实施例的,在UE和第一eNB之间执行的、用于基于由第二eNB支持的安全能力来建立安全环境的各种操作的另一个示例序列图;
图17图示根据在此公开的实施例的,使用在PDCP协议数据单元(PDU)中存在的新安全密钥产生的完整性验证的示例密钥更新指示符和消息认证代码(MAC);
图18图示根据在此公开的实施例的,在PDCP PDU中承载的示例密钥更新指示符和一次性随机数;以及
图19描述根据在此公开的实施例的,实现用于在包括连接到第二eNB的第一eNB的无线网络中建立用于UE的安全连接的方法和***的计算环境。
具体实施方式
参考在附图中图示并且在下面的说明中详细描述的非限定性实施例,来更全面地说明在此的实施例和其各种特征和有益细节。省略公知组件和处理技术的说明,以便不会不必要地混淆在此的实施例。而且,在此描述的各个实施例不必是相互排他的,因为可以将一些实施例与一个或多个其他实施例组合以形成新的实施例。在此使用的词语“或”指的是非排他行的或,除非另外说明。在此使用的示例仅意欲便利其中可以实施在此的实施例的方式的理解,并且进一步使得本领域内的技术人员能够实施在此的实施例。因此,不应当将示例解释为限制在此的实施例的范围。
贯穿本文,术语“第一演进节点B”(第一eNB)、“主要eNB(MeNB)”、“主eNB”和“锚eNB”可相互交换地被使用,并且可以指单个eNB,其将用户设备(UE)连接到核心网络(其终接至少S1-MME接口)。
贯穿本文,术语“第二eNB”、“辅助eNB(SeNB)”和“漂移eNB”可相互交换地被使用,并且可以指服务UE以增强在UE(而不是MeNB)处的数据通过量的eNB。
贯穿本文,术语“第二eNB改变计数器(SCC)”、“S计数计数器(SCC)”、“辅助小区计数器”、“辅助小区组(SCG)计数器”和SCG计数器可相互交换地被使用,并且指在第一eNB处保持的计数器参数。
贯穿本文,术语“刷新”、“密钥重定(rekey)”和“更新”已经可相互交换地被使用,并且可以指示与SeNB相关联的新鲜的安全基础密钥的推导。
贯穿本文,术语“KeNB_m”指在3GPP技术规范(TS)33.401中规定的密钥KeNB,其被MeNB和UE使用来推导另外的密钥,用于保护在它们之间的通信。
在此的实施例实现了公开一种方法和***,用于在包括连接到第二eNB的第一eNB的无线网络中建立用于UE的安全连接。UE与由第一eNB服务的至少一个第一服务频率和由第二eNB服务的至少一个第二服务频率载波聚合。在第一eNB处,在至少下面的之一期间使用新鲜参数来推导与第二eNB相关联的独特非重复安全基础密钥:第二eNB的增加、独特非重复安全基础密钥的更新(因为PDCP计数的环绕或基于第一eNB的密钥KeNB_m的刷新/密钥更新)和独特非重复安全基础密钥的刷新。基于与第一eNB相关联的安全基础密钥和与第一eNB的安全环境相关联的新鲜参数来产生独特非重复安全基础密钥。在第二eNB处,基于从第一eNB接收到的与第二eNB相关联的独特非重复安全基础密钥来推导用户平面加密密钥,以用于加密通过至少一个数据数据无线电承载的数据传送。在与第二eNB相关联的至少一个服务小区上建立至少一个数据无线电承载。向UE通知新鲜参数用以推导与第二eNB相关联的独特非重复安全基础密钥,并且进一步推导用于通过安全连接的数据传送的用户平面加密密钥。而且,使用与第二eNB相关联的用户平面加密密钥,来对于通过数据无线电承载在UE和第二eNB之间的用户平面数据传送建立安全连接。
在实施例中,相对于与第一eNB相关联的安全基础密钥加密地分离与第二eNB相关联的独特非重复安全基础密钥。用于推导与第二eNB相关联的独特非重复安全基础密钥的新鲜参数是随机值和计数值之一。在实施例中,将新鲜参数用作用于与第二eNB相关联的每个所述独特非重复安全基础密钥推导的输入参数,其中,所使用的新鲜参数与先前用于与第一eNB相关联的给定安全基础密钥的新鲜参数不同,以避免密钥流重复。而且,SeNB可以请求MeNB通过X2接口更新与其相关联的安全基础密钥(当PDCP计数即将对于在SeNB和UE之间的DRB的任何一个环绕时)。当MeNB从SeNB接收到对于密钥更新的请求时或每当MeNB决定执行与SeNB相关联的安全基础密钥的更新时,MeNB推导与SeNB相关联的新鲜的安全基础密钥。然后,MeNB向SeNB传递与SeNB相关联的新鲜的安全基础密钥,并且MeNB在RRC过程中向UE提供在与SeNB相关联的安全基础密钥的推导中使用的新鲜参数的值。UE然后推导与SeNB相关联的安全基础密钥和用户平面保护密钥。
而且,在此的实施例实现了一种方法和***,用于利用演进节点B(eNB)间的载波聚合来保护无线电接入以保护与用户设备(UE)的数据传输。来自包括UE能力和配置的第一eNB的X2消息被发送到SeNB。基于所接收的参数,SeNB可以选择要用于在SeNB和UE之间的通信的安全参数。
所提出的***和方法在下述方面是强壮和有效的:当在操作的双连接模式中操作的UE为了在用户流量通过量上的可能增强,可能将其本身与两个或更多的eNB相关联时,为该UE提供安全通信。具体地,本发明的一个或多个实施例用于使用eNB间的聚合来改善无线电网络的安全。所提出的***和方法通过在第一eNB、UE和第二eNB之间提供密钥分离和安全处理来减轻当使用现有方法时面对的安全威胁。不像传统***,所提出的***和方法在包括第一eNB和第二eNB的使用中在eNB的分组数据汇聚协议(PDCP)层处使用分离的加密(ciphering)。该***和方法还提供在第二eNB处的另外的分离的安全密钥和在第二eNB处的安全环境的管理。
现在参见附图,并且更具体地参见图1至19,其中,类似的附图标记贯穿附图一致地表示对应的特征,示出了优选实施例。
图1a是图示根据在此公开的实施例的,在诸如3GPP的长期演进(LTE)的无线网络的无线网络***100中的演进节点B(eNB)间的载波聚合的方框图。无线网络***100包括移动管理实体(MME)102、第一eNB(MeNB)104、第二eNB(SeNB)106和使用eNB间的载波聚合的UE108。MME 102管理会话状态,认证,寻呼,利用3GPP、2G和3G节点的移动性,漫游和其他承载管理功能。
在实施例中,在核心网络中的载波聚合管理器可以向UE 108分配MeNB 104。当MeNB 104被分配到UE 108时,MeNB 104可以被配置为使用无线电资源控制(RRC)连接来向UE 108传送信令信息。在eNB间的载波聚合中,UE 108与由MeNB 104服务的第一服务频率(F1)和由SeNB 106服务的第二服务频率(F2)载波聚合。
类似于eNB内的聚合,如果UE 108在小区两者的覆盖区域中,并且支持各自的的载波频率F1和F2的聚合,则可以聚合载波,并且UE 108可以分别由小区102和106两者服务。有益的是,在频率F1和F2两者上的同时传输是可能的,而不引入干扰,因为该两个频率不同。如此一来,与高级LTE的eNB内的载波聚合类似地,本实施例的eNB间的载波聚合提供了另外的传输资源。
MeNB 104和SeNB 106通过诸如X2接口的非理想回程而连接,并且使用X2应用协议(X2-AP)进行通信。
在实施例中,MeNB 104使用由非理想回程链路和理想回程链路之一表征的接口连接到SeNB 106。UE 108与由MeNB 104服务的至少一个第一服务频率和由SeNB服务的至少一个第二服务频率载波聚合,该UE被配置为与MeNB 104和SeNB 106在下行链路方向和上行链路方向的至少一个上以操作的双连接操作模式操作。
在实施例中,无线网络***100使用通过MeNB 104传输的UE 108的一组承载,同时使用通过SeNB 106传输UE 108的另一组承载。根据3GPP规范,可以通过经由eNB间的载波聚合来从可获得的SeNB 106之一增加一个辅助小区而增大UE 108的数据率。
在实施例中,在UE的eNB间的载波聚合中涉及的所有的eNB之间共享基础密钥。用于特定eNB的基础密钥然后通过X2接口被分发到其他服务eNB。接收基础密钥的每个eNB然后独立地推导密钥。另外,在SeNB 106处使用单独的安全密钥以在SeNB 106处管理安全环境。
虽然图1仅描述了一个MeNB和SeNB,但是要理解,无线网络***100可以包括与UE进行通信的多个MeNB和SeNB。无线网络***100仅是适当环境的一个示例,并且不意欲提出关于本发明的使用范围或功能的任何限制。而且,无线网络***100可以连同其他硬件或软件组件包括在彼此之间进行通信的不同模块。例如,该组件可以是但是不限于在电子装置中运行的处理、可执行处理、执行的线程、程序或计算机。通过说明,在电子装置上运行的应用和该电子装置两者可以是该组件。
图1b是图示根据在此公开的实施例的安全基础的方框图。UE 108和MeNB 104可以被配置为推导目标SeNB 106的安全密钥KeNB_s。在MeNB 104和UE 108处,密钥推导函数(KDF)使用与MeNB 104相关联的安全基础密钥和新鲜参数(第二eNB改变计数器(SCC))作为用于产生与SeNB 106相关联的独特非重复安全基础密钥(KeNB_s)的输入参数。结合图4提供了SCC和密钥推导处理的细节。使用X2消息将所产生者(KeNB_s)发送到SeNB 106,并且,使用无线电资源控制(RRC)消息来向UE 108发送用于推导KeNB_s的SCC。
在实施例中,RRC消息是RRC连接重新配置消息。
在实施例中,RRC消息是安全模式命令消息。
在SeNB 106和UE 108处,KDF使用与SeNB 106相关联的独特非重复安全基础密钥(KeNB_s)和用于推导KUPenc密钥(用户平面加密密钥)的其他参数,来保护在UE 108和SeNB106之间的用户平面流量。
图2图示了根据在此公开的实施例的、在3GPP规范中的用于与所考虑的分布式PDCP的双连接的协议架构。在图2中描述了在3GPP规范TR 36.842中的用于与所考虑的分布式分组数据汇聚协议(PDCP)的双连接的协议架构。当通过MeNB 104和SeNB 106来服务UE108时,UE 108的控制平面和用户平面在MeNB 104和SeNB 106之间分离。
图2a图示了根据在此公开的实施例的核心网络(CN)分离架构。如图2a中所示,S1-U在MeNB 104和SeNB 106处终接。该架构被称为核心网络(CN)分离,其中,在服务网关(S-GW)处在核心网中分离UE 108的一组演进分组***(EPS)承载,并且,在各自的S1-U接口上将EPS承载映射到MeNB 104和SeNB 106。
图2b图示了根据在此公开的实施例的无线电接入网(RAN)分离架构。如图2b中所示,S1-U仅在MeNB 104处终接。该架构被称为无线电接入网(RAN)分离,其中,在MeNB 104中分离UE 108的EPS承载,并且,在X2接口上将卸载的承载映射到SeNB 106。用于与MeNB 104(EPS承载#1)和SeNB 106(EPS承载#2)相关联的数据无线电承载的协议栈包括PDCP实体、无线电链路控制(RLC)实体和通用介质访问控制(MAC)实体。而且,可以通过被称为通用PDCP实体的、也与SeNB 106相关联的PDCP实体来处理用于与MeNB 104(EPS承载#1)相关联的分离的数据无线电承载的协议栈。用于处理与SeNB 106(EPS承载#2)相关联的分离的数据无线电承载的与SeNB 106相关联的协议栈包括RLC实体、MAC实体和通用PDCP实体。而且,MeNB104包括用于控制信令的RRC协议。
图3是图示根据在此公开的实施例的、MeNB和SeNB的各个模块的方框图。呈现来用于在UE的双连接中的通信的主要方框包括通信模块302、承载路径管理模块304、处理器模块306、存储器模块308和密钥管理模块310。在实施例中,通信模块302被配置为与UE 108和其他eNB传送安全信息,以用于建立安全环境。例如,在MeNB 104中的无线通信模块302可以被配置为与一个或多个UE 108传送安全基础密钥。
承载路径管理模块304确定要在eNB中的各自的小区内传输的承载。在此所述的承载可以或者是数据无线电承载(DRB)或者是信令无线电承载(SRB)。承载的选择基于几个变量,包括例如但是不限于服务质量要求(QoS)、承载的流量特性和所选择的辅助小区的负载和覆盖区域。
密钥管理模块310负责从各个实体接收密钥。密钥管理模块310可以被配置为基于所接收的密钥来产生另外的安全密钥。MeNB 104从MME 102接收基础安全密钥,并且推导用于SeNB 106的独特非重复安全密钥。类似地,SeNB 106可以使用从MeNB 104接收到的安全密钥来推导要用于与UE 108的安全通信的新的安全密钥。可以使用X2消息从MeNB 104通过X2接口发送用于SeNB 106的推导的独特非重复安全密钥。
而且,存储器模块308被配置为存储与eNB(MeNB和SeNB)和UE 108的操作相关的数据。存储器模块308可以被配置为存储被产生来用于与不同实体的通信的各种安全密钥。
图4是图示根据在此公开的实施例的、用于使用独特非重复安全基础密钥来建立用于用户平面数据传送的安全连接的方法400的流程图。在实施例中,在步骤402处,方法400包括:使用与MeNB 104相关联的安全基础密钥和新鲜参数来产生与SeNB 106相关联的独特非重复安全基础密钥。
MeNB 104被配置为确定在由MeNB 104管理的eNB中的用于向UE 108的数据传输的SeNB 106。单个MeNB 104可以管理多个SeNB 106。SeNB 106的选择可以取决于几个因素,诸如信道测量、UE 108的位置和负载信息等。MeNB 104可以被配置为在增加SeNB 106的同时产生与SeNB 106相关联的独特非重复安全基础密钥和新鲜参数。
新鲜参数是随机值和计数器值之一,其与MeNB 104安全环境相关联,并且被产生和/或对于为SeNB 106推导的每个独特非重复安全基础密钥递增。新鲜参数与用于对于SeNB 106的独特非重复安全基础密钥推导的MeNB 104的安全基础密钥一起使用,与先前使用的新鲜参数不同,以便避免密钥流重复。在实施例中,当计数值(SCC)即将对于MeNB的给定安全基础密钥(KeNB_m)环绕(wrap around)时,则MeNB刷新与SCC相关联的AS安全环境的安全基础密钥(KeNB_m),并且将SCC的值复位为“0”。
在实施例中,当增加另外的SeNB 106以服务UE 108时,除了现有的独特非重复安全基础密钥之外,MeNB 104还需要产生独特非重复安全基础密钥。
在实施例中,MeNB 104可以被配置为当正在使用的SeNB 106中有改变时,产生独特非重复安全密钥。例如,当SeNB 106决定向候选SeNB 106卸载DRB时,需要产生新鲜的安全基础密钥。
在实施例中,MeNB 104可以被配置为当在与SeNB 106相关联的安全密钥中有更新时,产生独特非重复安全密钥。例如,当相同SeNB 106在某个持续时间后重新连接到MeNB104时,与SeNB 106相关联的安全密钥的更新变得必要。在实施例中,MeNB 104可以被配置为当在与MeNB 104相关联的安全密钥中存在更新时,产生独特非重复安全密钥。例如,如果在与UE 108相关联的MeNB 104基础密钥(KeNB_m)中有改变,则需要与SeNB 106相关联的安全密钥的更新,以保证推导的用户平面加密密钥的安全。
在步骤404处,方法400包括递增与新鲜参数相关联的计数器值,用以更新与第二eNB相关联的安全密钥。
结合图7描述了用于在如SeNB 106中的改变、SeNB 106的增加、DRB的卸载、SeNB的释放和与MeNB 104相关联的安全基础密钥的更新的不同条件下处理的安全密钥的在MeNB104、SeNB 106和UE 108之间的各种操作。
在实施例中,计数器值与所选择的SeNB 106安全环境相关联。在另一实施例中,该计数器值与在MeNB 104和UE 108之间建立的接入层(AS)安全环境(具有KeNB_m)相关联,并且被保持当前AS安全环境的持续时间。通过MeNB对每个产生的与SeNB 106相关联的独特非重复安全基础密钥递增该计数器值。该计数器值被称为SCC或SCG计数器,并且被MeNB 104保存。如果随机值被用作新鲜参数,则可以对于每个产生的独特非重复安全基础密钥使用伪随机函数(PRF)来产生随机值。由于所使用的新鲜参数与基于安全的KeNB_m一起与先前使用的不同,以便避免密钥流重复。
在实施例中,当建立在相关联的AS安全环境中的KeNB_m时,将SCC初始化为‘0’。MeNB(使用SCC=0)来推导KeNB_s,并且然后递增SCC(在密钥推导后),并且对于另外的新鲜的密钥推导遵循相同的机制。在实施例中,在密钥推导之前将SCG计数器递增,并且对于另外的新鲜和密钥推导遵循同一机制。在实施例中,当计数值(SCC)即将对于MeNB 104的给定安全基础密钥(KeNB_m)环绕时,则MeNB 104刷新与SCC相关联的AS安全环境的安全基础密钥(KeNB_m),并且将SCC的值复位为“0”。
除了新鲜参数之外,几个其他参数可以用于产生与SeNB 106相关联的独特非重复安全基础密钥。用于产生独特非重复安全基础密钥的参数的示例可以包括但是不限于与MeNB 104相关联的独特非重复安全基础密钥(KeNB_m)、在SeNB 106中使用的独特非重复安全基础密钥、诸如物理小区身份(PCI)的物理层参数和DL频率,其中,所述PCI和所述DL频率与SeNB 106相关联。
在步骤406处,方法400包括通过MeNB 104向UE 108通知新鲜参数,以使得UE 108能够推导与SeNB 106相关联的独特非重复安全基础密钥(KeNB_s)。例如,SCC的值作为用于产生独特非重复安全基础密钥的新鲜参数被发送到UE。MeNB 104向SeNB 106传递所产生的独特非重复安全基础密钥(KeNB_s)。
在步骤408处,方法400包括基于从MeNB 104接收到的新鲜参数来在UE 108处推导独特非重复安全基础密钥。
在步骤410处,方法400包括基于与第二eNB相关联的独特非重复安全基础密钥(KeNB_s)来推导用户平面加密密钥,以用于加密通过在与SeNB 106相关联的至少一个服务小区上建立的至少一个数据数据无线电承载(DRB)的数据传送。基于对于SeNB 106推导的独特非重复安全基础密钥,SeNB 106可以被配置为产生要用于在SeNB 106和UE 108之间的数据通信的用户平面加密密钥。类似地,UE 108可以被配置为产生要用于在SeNB 106和UE108之间的数据通信的用户平面加密密钥。
在步骤412处,方法400包括使用与所述SeNB 106相关联的用户平面加密密钥,来使能通过所述至少一个数据无线电承载在UE 108和SeNB 106之间的用户平面数据传送的安全连接。
可以以所呈现的顺序、以不同的顺序或同时地执行在方法400中的各个行为、动作、方框和步骤等。而且,在一些实施例中,在不偏离本发明的范围的情况下,可以将一些行为、动作、方框和步骤等省略、增加、修改和跳过等。
图5a是图示根据在此公开的实施例的、用于使用新鲜参数的安全密钥更新和避免密钥流重复的方法500a的流程图。
安全更新对于避免密钥流重复是必要的。如果MeNB 104使用与MeNB 104相关联的现有安全密钥来推导用于SeNB 106的独特非重复安全基础密钥,则当多次地SeNB 106被释放并且重新连接到MeNB 104时,使用现有的安全机制可以出现密钥重复。
在SeNB 106处的安全密钥更新
在步骤502a处,方法500a以SeNB 106使用所接收的独特非重复安全基础密钥来用于产生用户平面加密密钥开始。
在步骤504a处,方法500a包括在SeNB 106处检测用于在SeNB 106上建立的数据无线电承载的PDCP计数是否即将环绕,或检测SeNB 106是否决定将当前配置用于所述UE的SeNB 106改变为另一个候选的SeNB。如果SeNB 106决定将DRB引导到候选SeNB,则MeNB 104需要产生用于候选SeNB的新鲜的安全基础密钥。替代地,SeNB 106检测与DRB相关联的PDCP计数即将环绕,SeNB 106可以被配置为请求MeNB 104更新所使用的安全密钥。
在步骤508a处,方法500a包括从SeNB 106通过在MeNB 104和SeNB 106之间的X2接口向MeNB 104发送对于新鲜的安全基础密钥的密钥更新请求消息。
在检测到在SeNB 106上建立的至少一个DRB即将到达环绕点时,SeNB 106可以被配置为通过X2接口向MeNB 104发送密钥更新请求消息。
在实施例中,当SeNB 106决定选择候选SeNB用于服务于UE 108时,SeNB 106向与UE 108相关联的MeNB 104发送对于更新安全密钥的请求。
在步骤506a处,方法500a包括SeNB 106使用从MeNB 104接收到的当前安全基础密钥。当在SeNB 106中不存在改变或未达到与DRB的任何一个相关联的环绕点时,SeNB 106可以继续使用从MeNB 104接收到当前安全基础密钥。
在步骤508a处,方法500a包括在MeNB 104处接收对于更新与在使用中的SeNB 106相关联的当前安全基础密钥的请求。SeNB 106被配置为请求MeNB 104更新由SeNB 106使用的与SeNB相关联的当前安全基础密钥。
在步骤510a处,方法500a包括响应于从SeNB 106接收到的请求在MeNB 104处推导新鲜的安全基础密钥。基于来自SeNB 106的密钥更新请求,MeNB 104可以被配置为产生与SeNB 106相关联的新鲜的独特非重复安全基础密钥。
在步骤512a处,方法500a包括通过在MeNB 104和SeNB 106之间的X2接口从MeNB向SeNB 106传递推导的与SeNB 106相关联的新鲜的安全基础密钥。
在步骤514a处,方法500a包括向UE 108传递计数器,以使得UE能够推导新鲜的安全基础密钥。UE 108可以推导作为要由SeNB 106使用的安全密钥的安全密钥。
MeNB 104启动的安全密钥重定/安全密钥更新
图5b是图示根据在此公开的实施例的、用于当更新与MeNB 104相关联的安全密钥时更新与SeNB 106相关联的独特非重复安全密钥的方法500b的流程图。
在步骤502b处,方法500b以SeNB 106使用所接收的独特非重复安全基础密钥来产生用户平面加密密钥开始。
在步骤504b处,方法500b包括在MeNB 104处检测是否在与MeNB 104相关联的安全中存在更新或在MeNB处决定将当前配置用于所述UE的SeNB 106改变为另一个候选SeNB。如果SeNB 106决定将DRB引导到候选SeNB,则MeNB 104需要推导用于候选SeNB的新鲜的安全基础密钥。
在步骤506b处,方法500b包括SeNB 106使用从MeNB 104接收的当前安全基础密钥。因为在SeNB 106或与MeNB 104相关联的安全基础密钥中没有改变,所以SeNB 106可以继续使用从MeNB 104接收到的当前安全基础密钥。
在步骤508b处,方法500b包括当将KeNB_m刷新或重定密钥时将SCC复位为0,并且在MeNB 104处推导与SeNB 106相关联的新鲜的安全基础密钥。
基于与MeNB 104相关联的更新的安全密钥,MeNB 104可以被配置为产生与SeNB106相关联的新鲜的独特非重复安全基础密钥。
在实施例中,在推导与SeNB 106相关联的新鲜的安全基础密钥后,可以将SCC计数器递增。
在实施例中,在推导与SeNB 106相关联的新鲜的安全基础密钥之前,可以将SCC计数器递增。
对于与MeNB 104相关联的安全基础密钥的每次刷新,MeNB 104可以被配置为将计数值复位为“0”。
在步骤510b处,方法500b包括通过MeNB通过在MeNB 104和SeNB 106之间的X2接口向SeNB 106传递与推导的SeNB 106相关联的新鲜的安全基础密钥。
在步骤512b处,方法500b包括传递用于推导与SeNB 106相关联的新鲜的安全基础密钥的计数器,以使得UE 108能够推导新鲜的安全基础密钥。UE 108可以推导作为要被SeNB 106使用的安全密钥的安全密钥。
通常,当UE连接到新的MME 102或与同一MME 102重新连接时,需要更新安全基础密钥。
可以以所呈现的顺序、以不同的顺序或同时地执行在方法500a和方法500b中的各个行为、动作、方框和步骤等。而且,在一些实施例中,在不偏离本发明的范围的情况下,可以将一些行为、动作、方框和步骤等省略、增加、修改和跳过等。
图6a是图示根据在此公开的实施例的,在UE 108、MeNB 104和SeNB 106之间执行的、用于使用独特非重复安全基础密钥来建立用于用户平面数据传送的安全连接的各种操作示例序列图。
在实施例中,不必重复与用于较早的密钥产生的PDCP计数和承载ID相结合的同一密钥流的使用。
在602a处,使用新鲜参数作为用于密钥推导的输入参数之一来产生与SeNB 106相关联的安全基础密钥。其他输入参数可以包括但是不限于在MeNB 104中使用的安全基础密钥、在所述SeNB 106中使用的独特非重复安全基础密钥、诸如物理小区身份(PCI)的物理层参数和与SeNB 106相关联的DL频率。该PCI和所述DL频率属于与在第二服务频率之一上服务的SeNB 106相关联的至多一个辅助小区。
MeNB 104可以被配置为在下述时候产生独特非重复安全密钥:当在使用的SeNB106中有改变时,当在与SeNB 106相关联的安全密钥中有更新时,当在与MeNB 104相关联的安全密钥中有更新时内和当在DRB中的PDCP计数即将到达环绕时。
新鲜参数是被产生和/或对于与SeNB 106相关联的每个独特非重复安全基础密钥推导递增的随机值和计数器值之一,使得输入参数与先前使用的输入参数不同以避免密钥流重复。
在604a处,向SeNB 106发送与所产生的SeNB 106相关联的安全密钥(KeNB_s)和UE108的能力。
在606a处,SeNB 106确定要用于与UE进行通信的安全参数,并且使用所接收的KeNB_s来推导用户平面加密密钥。在SeNB 106处基于所接收的与第二eNB相关联的独特非重复安全基础密钥来推导用户平面加密密钥,以用于加密通过在与SeNB 106相关联的至少一个服务小区上建立的至少一个数据无线电承载(DRB)的数据传送。
在608a处,从SeNB 106向MeNB 104发送X2消息。该X2消息包括诸如加密算法的所选择的安全参数。
在610a处,MeNB 104使用RRC消息来向UE 108通知新鲜参数和所选择的安全参数,用以使得UE 108能够推导与SeNB 106相关联的独特非重复安全基础密钥。
在612a处,UE 108使用从MeNB 104接收到的新鲜参数来推导与SeNB 106相关联的安全密钥(KeNB_s)。UE 108不保持新鲜参数,并且使用从MeNB 104接收的参数。UE 108被配置为基于在RRC连接重新配置消息中存在的信息来推导用户平面加密密钥。
在614a处,当UE 108推导与SeNB 106相关联的安全密钥(KeNB_s)和用户平面加密密钥时,从UE 108向MeNB 104发送RRC连接重新配置完成消息。然后,UE 108开始与SeNB106连接。
安全基础密钥(KeNB_s)的更新
图6b是图示根据在此公开的实施例的,在UE 108、MeNB和SeNB 106之间执行的、用于更新与SeNB相关联的独特非重复安全基础密钥的各种操作的示例序列图600b。
在602b处,SeNB 106被配置为确定用于在SeNB 106上建立的至少一个数据无线电承载的PDCP计数是否即将环绕。对于用于与UE 108相关联的任何DRB的每个PDCP环绕,SeNB106可以被配置为请求所使用的安全密钥的更新。
在604b处,为了新鲜的安全基础密钥通过在MeNB 104和SeNB 106之间的X2接口从SeNB 106向MeNB 104发送密钥更新请求消息。
在606b处,MeNB 104被配置为响应于从SeNB接收到的请求而产生与SeNB相关联的新鲜的安全基础密钥。
在608b处,向SeNB 106发送所产生的新鲜的安全基础密钥。
在610b处,向UE 108发送指示SCC的RRC连接重新配置消息,以使得UE 108能够推导与SeNB 106相关联的新鲜的安全基础密钥。
在612b处,UE 108推导新鲜的安全基础密钥(KeNB_s),并且然后使用推导的KeNB_s推导用户平面密钥。在614b处,SeNB 106和UE 108恢复安全连接。
在实施例中,NCC和密钥改变指示符的组合可以不同地被使用以解释要用于在UE108处推导密钥KeNB_s的密钥/NH值。如果MeNB 104保持未使用的NH参数,则使用来自MeNB104的未使用的NH参数来推导KeNB_s。
垂直推导(如果存在未使用的NH)
KeNB_s=KDF{NH(MeNB中),SeNB-PCI,SeNB-EARFCN-DL}
如果MeNB 104不具有未使用的NH参数,则使用在MeNB 104处推导的当前活动的KeNB_m来推导KeNB_s。
水平推导(如果不存在未使用的NH)
KeNB_s=KDF{KeNB_m,SeNB-PCI,SeNB-EARFCN-DL}
密钥更新:
KeNB_s=KDF{KeNB_s(使用中,SeNB中),SeNB-PCI,SeNB-EARFCN-DL}
在614b处,当在UE 108和SeNB 106处更新安全基础密钥时,恢复在UE 108和SeNB106之间的安全连接。
由于在MeNB 104处的安全基础密钥(KeNB_m)的更新的安全基础密钥(KeNB_s)的密钥重定/更新
图6c是图示根据在此公开的实施例的,在UE 108、MeNB和SeNB 106之间执行的、用于当更新与MeNB 104相关联的安全基础密钥时更新与SeNB 106相关联的独特非重复安全基础密钥的各种操作的示例序列图600c。
在602c处,MeNB 104决定更新与SeNB 106相关联的安全密钥。
当存在与MeNB 104相关联的安全基础密钥(KeNB_m)的更新(也被称为密钥刷新或密钥重定)时,推导新的KeNB_s。通常,当UE连接到新的MME 102或MeNB 104重新连接到同一MME 102时,密钥重定出现。而且,当MME 102提供新的密钥时或当在MeNB 104和UE 108之间的任何DRB的PDCP计数即将环绕时,如果MeNB 104重新连接到同一MME 102并且密钥刷新出现时也自动执行密钥更新。
在604c处,当在与MeNB 104相关联的安全密钥(KeNB_m)中有更新时,MeNB 104被配置为产生与SeNB 106相关联的新鲜的安全基础密钥(KeNB_s)。当更新与MeNB 104相关联的安全基础密钥(KeNB_m)时,SCC值被复位为零。
在606c处,向SeNB 106发送所产生的新鲜的安全基础密钥。
在608c处,基于所接收到的安全基础密钥(KeNB_s),产生用于在UE 108和SeNB106之间的安全通信的用户平面加密密钥。
在610c处,通过X2接口向MeNB 104发送确定与SeNB 106相关联的安全密钥的接收的X2消息。
在612c处,向UE 108发送指示SCC的RRC连接重新配置消息,以使得UE 108能够推到新鲜的安全基础密钥(KeNB_s)。UE 108可以使用推导的安全基础密钥(KeNB_s)来推导用户平面加密密钥。
在614c处,UE 108推导新鲜的安全基础密钥(KeNB_s)。在616c处,UE 108向MeNB104发送RRC连接重新配置完成。在618c处,当在UE 108和SeNB 106处更新了安全基础密钥时,恢复在UE 108和SeNB 106之间的安全连接。
在实施例中,连同与MeNB 104相关联的安全密钥(KeNB_m)的SCC值用于推导用于SeNB 106的安全密钥(KeNB_s)。当更新KeNB_m时在MeNB 104处复位SCC值,并且初始化的值用于推导与SeNB 106相关联的安全基础密钥,以避免安全基础密钥的重新使用和同一密钥流的推导。
MeNB 104可以被配置为递增计数器值以用于产生与SeNB 106相关联的每个独特非重复基础密钥(KeNB_s)。该计数器值使用RRC信令通过MeNB传递到UE 108。MeNB 104向SeNB 106发送新推导的KeNB_s,使得SeNB 106和UE 108两者使用同一KeNB_s,并且建立AS小小区安全环境。MeNB 104连同与MeNB 104相关联的安全密钥(KeNB_m)保持该计数器值,并且每当与MeNB 104相关联的安全密钥(KeNB_m)改变时复位。
在实施例中,计数器值连同NCC值和Scell密钥改变指示符标识要用于推导与SeNB106相关联的独特非重复安全基础密钥(KeNB_s)的密钥。在另一实施例中,UE 108和MeNB104保持计数器值,并且对于每个KeNB_s推导增大。在实施例中,用于推导密钥的PCI和DL频率属于与在第二服务频率之一上服务的与SeNB相关联的至多一个辅助小区,并且使用计数器值和物理层参数的密钥推导如下:
KeNB_s=KDF{KeNB_m,计数器值,SeNB-PCI,SeNB-EARFCN-DL}
在实施例中,使用计数器之后的密钥推导如下:
KeNB_s=KDF{KeNB_m,计数器值}
在实施例中,连同KeNB_m的NONCEMeNB用于推导KeNB_s。通过MeNB 104产生NONCEMeNB,以便避免KeNB_s密钥重新使用或避免重复的同一密钥流的推导(可以仅在仍然使用同一KeNB_m的同时出现)。通过MeNB 104使用RRC信令向UE 108提供NONCEMeNB。而且,MeNB 104向SeNB 106发送新推导的KeNB_s,使得SeNB 106和UE 108两者可以使用同一KeNB_s。在实施例中,RRC连接重新配置消息可以从MeNB 104向UE 108承载NONCEMeNB值。
图7a和图7b是图示据在此公开的实施例的、用于在支持UE 108的载波聚合的网络中的安全密钥处理的机制的示例序列700。
初始卸载
在步骤702处,MeNB 104决定向SeNB 106卸载DRB。MeNB 104确定UE 108可以与SeNB 106双连接。
在704处,当决定SeNB时,MeNB 104通过将SCC计数器值初始化为零值来推导S-KeNB1。对于每个KeNB_s推导递增新鲜参数(也被称为密钥新鲜计数器)。
在706处,MeNB 104连同正被卸载的DRB的承载ID发送与SeNB 106相关联的推导的安全密钥。MeNB 104可以被配置为向SeNB 106提供X2-AP的高级细节。增加与SeNB 106相关联的辅助小区以在第二频率下服务UE 108的处理保证在SeNB 106处存在所需的安全措施。通过MeNB 104处理DRB ID指派,并且MeNB 104被配置为对于由MeNB 104分配的每个DRB分配不同的DRB ID。SeNB-1 106推导KUPenc密钥(用户平面加密密钥)以保护在它们之间的用户平面流量。
在710处,UE 108推导KUPenc密钥(用户平面加密密钥)以保护在UE 108和SeNB1之间的用户平面流量。用于每个承载的不同承载ID(即,DRB ID)的使用和新鲜的S-KeNB的推导保证避免了密钥流重新使用。
DRB增加/删除
步骤712至722图示当MeNB决定卸载DRB时由UE 108、MeNB 104和SeNB 106执行的操作。在712处,MeNB 104启动辅助小区组(SCG)修改过程,以除了DRB#1向所选择的SeNB106增加第二DRB#2。在714处,指示通过向卸载的DRB分配新的DRB ID来避免DRB-ID复制。对于SCG修改过程,不发出新的密钥,并且旧的密钥(从S-KeNB1推导的KUPenc)用于保护DRB#1和DRB#2两者。与SeNB 106相关联的独特非重复安全基础密钥(S-KeNB)通过MeNB 104推导,并且仅对于SCG增加过程被转发到SeNB 106(第一DRB卸载,X2-AP:SCG增加指示)。对于向同一SeNB 106的另外的DRB增加(X2-AP:SCG修改指示),不向SeNB 106提供新的密钥。在任何时间点处,仅从S-KeNB推导的一个密钥(KUPenc)用于保护在SeNB 106和UE 108之间的UE108的所有DRB。
在步骤716处,向SeNB 106发送SCG修改指示(DRB#2增加)。在718处,向UE 108发送指示DRB#2的增加的RRC连接重新配置消息。
在720处,当与DRB相关联的数据传送完成时,MeNB 104被配置为删除与SeNB 106相关联的DRB#2。MeNB 104向SeNB 106发送SCG修改指示(DRB#2删除)。在722处,向UE 108发送指示DRB#2的删除的RRC连接重新配置消息。
考虑示例,当UE 108的用户除了在进行中的文件下载之外还观看视频(高数据率应用)时。在这样的情形下,MeNB 104可以向SeNB 106指派DRB#2,以处理视频的下载。当视频的下载完成时,删除DRB#2。
SCG释放
步骤724至732:步骤724至732图示当MeNB 104决定从UE 108释放SeNB 106时,由UE 108、MeNB 104和SeNB 106执行的操作。在724处,MeNB 104启动释放过程,以释放对于UE108在SeNB 106中分配的所有资源。在726处,MeNB 104向SeNB 106发送用于释放SeNB 106的资源的X2消息。
在728处,在接收到SCG释放消息时,SeNB 106删除由MeNB 104发送的安全密钥S-KeNB1。
在730处,向UE 108发送指示SeNB 106的释放的RRC连接重新配置消息。
在732处,在接收到SCG释放消息时,UE 108删除由MeNB 104发送的安全密钥(S-KeNB1)。
因为删除了SCG环境,所以DRB的任何新鲜的卸载将建立具有新的S-KeNB的新的SCG环境,并且所有的DRB-ID(包括在步骤0至步骤8中使用的那些)再一次变得可再用。在SeNB 106和UE 108处的这些安全密钥的删除保证对于SeNB在MeNB 104处推导的安全密钥的重新使用,而没有重复。
使用新的密钥的卸载
步骤734至752:步骤724至732图示了当MeNB 104决定卸载DRB时由UE 108、MeNB104和SeNB 106执行的操作。在734处,MeNB 104决定向同一SeNB-1卸载与UE 108相关联的DRB。在736处,在没有可获得的SCG环境的情况下(在步骤710后),MeNB 104需要通过递增在SCC中的计数值(SCC从SCC=0改变为SCC=1)来推导新的S-KeNB2,并且将密钥转发到SeNB106,并且将SCC值转发到UE 108。在实施例中,如果MeNB 104决定向不同的SeNB(例如SeNB-2)卸载与UE 108相关联的DRB,则执行从步骤734至步骤742的相同过程。
与SeNB 106相关联的计数器的增大保证不重复对于SeNB 106产生的安全基础密钥。例如,如果SeNB 106被从UE 108释放,并且在短的持续时间后被再一次指派到UE 108,则产生新的安全密钥以建立安全环境。类似地,也对于与SeNB 106相关联的安全基础密钥(S-KeNB)的每个更新更新用户平面加密密钥。
在738处,MeNB 104启动辅助小区组(SCG)修改过程,以向所选择的SeNB 106增加第二DRB#1。
在740处,向UE 108发送指示DRB#1的增加和递增的SCC计数器值的RRC连接重新配置消息。
在742处,UE 108使用从MeNB 104接收到的SCC参数来推导安全基础密钥(S-KeNB2)。类似地,UE 108和SeNB-1从S-KeNB2推导KUPenc密钥,以保护在它们之间的用户平面流量。
在一些时间后,如果MeNB 104决定对于UE 108释放SeNB-1 106,则MeNB 104启动用于对于UE 108释放在SeNB 106中的所有资源的释放过程。当UE 108和SeNB 106接收到SCG释放消息时,删除密钥。
在744处,MeNB 104启动释放过程,用于对于UE 108释放在SeNB 106中的所有资源。在726处,MeNB 104向SeNB发送X2消息,用于释放SeNB 106的资源。
在746和748处,在接收到SCG释放消息时,SeNB 106删除由MeNB 104发送的安全密钥S-KeNB1。
在750处,向UE 108发送指示SeNB 106的释放的RRC连接重新配置消息。
在752处,在接收到SCG释放消息时,UE 108删除由MeNB 104发送的安全密钥(S-KeNB1)。
密钥更新过程
步骤754至790:步骤724至732图示当MeNB 104因为DRB ID的用尽而不能指派不同的DRB ID并且执行密钥更新过程时,由UE 108、MeNB 104和SeNB 106执行的操作。
在754处,MeNB 104决定向同一S-KeNB-1卸载与UE 108相关联的DRB。在756处,在没有可获得SCG环境的情况下(在步骤710后),MeNB 104通过递增在SCC中的计数值(SCC从SCC=1改变为SCC=2)来推导新的S-KeNB3,并且向SeNB 106转发密钥以及向UE 108转发SCC值。
与SeNB 106相关联的计数器的增大保证不重复对于SeNB 106产生的安全基础密钥。
在758处,MeNB 104启动辅助小区组(SCG)修改过程,以向SeNB 106内增加第二DRB#1。MeNB 104被配置为向SeNB 106发送新鲜产生的S-KeNB3。
在760处,向UE 108发送指示DRB#1的增加和递增的SCC计数器值(SCC=3)的RRC连接重新配置消息。
在762处,UE 108使用从MeNB 104接收到的SCG参数来推导安全基础密钥(S-KeNB2)。类似地,UE 108和SeNB-1从S-KeNB2推导KUPenc以保护在他们之间的用户平面流量。
在764处,MeNB 104决定以不同的时间间隔依序卸载另外35个DRB,并且释放与SeNB 106相关联的一些承载。
步骤774至790:步骤774至790图示当UE 108因为DRB ID的用尽而不能指派不同的DRB ID并且执行密钥更新过程时,由UE 108、MeNB 104和SeNB 106执行的操作。
在步骤768处,向SeNB 106发送SCG修改指示(DRB#2增加)。在718处,向UE 108发送指示DRB#2的增加的RRC连接重新配置消息。
在770处,向UE 108发送指示DRB#2的增加的RRC连接重新配置消息。
当与DRB相关联的数据传送完成时,MeNB 104被配置为删除与SeNB相关联的DRB#2。MeNB 104向SeNB 106发送SCG修改指示(DRB#2删除)。在722处,向UE 108发送指示DRB#2的删除的RRC连接重新配置消息。
对于所有被指派的DRB重复在步骤768、770和以上段落中描述的处理。
在772处,DRB#27和DRB#32在UE 108和SeNB 106之间当前活动。
在774处,当要增加DRB时(例如,第33个新的DRB),DRB-ID用尽(例如,在第32个DRBID后)。因此,在第32个DRB ID使用后(或大约附近),触发密钥更新过程。在766处,在密钥更新后,DRB ID的重新使用变得可能。在更新与SeNB 1相关联的安全基础后使用DRB-ID。
当通过MeNB、SeNB对于DRB的每个连续的卸载指派不同的DRB ID时,重新使用DRBID的可能行是可能的。很不寻常的情形是,对于相同S-KeNB(其中不改变KeNB),对于UE卸载DRB超过32次。对于该情形,总是可能执行密钥更新过程以便避免DRB-ID重新使用;然而,预期很少地执行它。
在776处,向SeNB 106发送SCG释放消息。
在778处,SeNB 106被配置为删除由MeNB 104发送的安全密钥(S-KeNB3)。
在780处,向UE 108发送指示SeNB 106的释放的RRC连接重新配置消息。
在782处,UE 108删除用于安全通信的安全密钥(S-KeNB3)。
在784处,MeNB 104需要通过递增在SCC中的计数值(SCC从SCC=2改变为SCC=3)来产生用于避免承载ID的重新使用的新的S-KeNB4,并且向SeNB 106转发密钥并且向UE108转发SCC值。
与SeNB 106相关联的计数器的增大保证不重复对于SeNB 106产生的安全基础密钥,并且不重新使用DRB ID。
在786处,MeNB 104被配置为向SeNB 106发送新鲜产生的S-KeNB4。MeNB 104启动辅助小区组(SCG)修改过程,以使用新鲜推导的安全密钥(S-KeNB4)向所选择的SeNB 106增加多个DRB的DRB#1、DRB#2、DRB#3。
在788处,向UE 108发送指示DRB#1、DRB#2、DRB#3的增加和递增的SCC计数器值(SCC=3)的RRC连接重新配置消息。
在790处,UE 108使用从MeNB 104接收到的SCC参数来推导安全基础密钥(S-KeNB4)。类似地,UE 108和SeNB-1从S-KeNB2推导KUPenc,以保护在它们之间的用户平面流量。
图8是图示根据在此公开的实施例的,用于使用下行链路(DL)PDCP计数推导用于用户平面数据传输的安全密钥来实现前向安全的方法800的流程图。在实施例中,前向安全对以下是必需的:减轻密钥链接攻击,并且保证在MeNB 104处产生的安全密钥的危害不导致在SeNB 106和UE 108处推导的安全密钥的危害。上面描述的方法400保证SeNB 106使用不同的安全密钥来用于加密在SeNB 106和UE 108之间的DRB,因为用户平面加密密钥与由MeNB 104产生的安全基础密钥不同。如果MeNB 104和SeNB 106属于不同的运营商,则由SeNB 106使用来用于推导用户平面加密密钥的安全不能是由MeNB 104产生的安全基础密钥,因为这将导致安全的危害和向攻击者开放数据通信。为了克服因为安全危害导致的安全攻击的威胁,使用与在PDCP PDU中传输的DRB相关联的PDCP计数来推导用户平面加密密钥,以用于在SeNB 106和UE 108之间的密钥更新,以实现前向安全。与正在被传输的DRB相关联的PDCP计数是新鲜参数,用于允许在UE 108和SeNB 106之间的安全通信。
在步骤802处,方法800包括在SeNB 106处任意选择DL PDCP COUNT(计数)。DLPDCP COUNT通过SeNB 106从正在进行的用户平面(UP)流量任意选择,并且用于在SeNB 106和UE 108处的安全密钥推导。每个DL PDCP COUNT可以与特定的DRB相关联。基于从UE 108和MeNB 104传输的分组和接收到的序号(SN)状态报告,SeNB 106可以选择随机的DL PDCP计数。
在步骤804处,方法800包括在具有用于更新安全密钥的指示的DL PDCP首标中从SeNB 106发送所选择的DL PDCP计数。在PDCP PDU中向UE 108指示所选择的DL PDCPCOUNT,使得UE 108使用由PDCP COUNT指示的安全密钥来用于安全密钥推导。
在步骤806处,方法800包括使用DL PDCP计数来在UE 108处推导安全密钥,以用于在SeNB 106和UE 108之间安全地传输数据。在接收到密钥更新请求时,UE 108可以被配置为推导用于在UE 108和SeNB 106之间的通信的安全密钥。在实施例中,使用所选择的DLPDCP COUNT在UE处的安全密钥推导如下:
KeNB_s’=KDF{KeNB_s(在使用中),所选择的PDCP COUNT,SeNB-PCI,SeNB-EARFCN-DL}
在实施例中,密钥推导如下:
KeNB_s’=KDF{KeNB_s(在使用中),PDCP COUNT(所选择的)}
在推导KeNB_s’后,SeNB 106和UE 108开始使用KeNB_s’来作为KeNB_s。
在实施例中,将KeNB_s原样用于用户平面保护(加密)。替代地,KeNB_s用于推导另外的密钥(类似于在TS 33.401中规定的KeNB),以用于用户平面加密、完整性保护和RRC信令保护(在SeNB 106和UE 108在其间具有RRC信令的情况下)。
在实施例中,UE 108从所指示的PDCP PDU和所存储的超帧号(HFN)获取PDCP SN。
PDCP COUNT是HFN+PDCP SN。
在步骤808处,方法800包括验证推导的安全密钥。UE 108可以被配置为验证推导的安全密钥是否与在从SeNB 106接收到的MAC-I中接收到的安全密钥相同。在计数器检查响应消息内包括不同的UE PDCP COUNT值。UE将在计数器检查消息中接收到的PDCP COUNT与其无线电承载的值相比较。
基于在步骤810中的推导的安全密钥的验证,保证在UE 108和SeNB 106之间的数据通信。在步骤810处,方法800包括确定在UE 108处的推导的安全密钥的验证是否成功。UE108将在计数器检查消息中接收到的PDCP COUNT值与其无线电承载的值相比较。
在步骤812处,方法800包括使用推导的安全密钥来用于从下一个PDCP计数起在UE108和SeNB 106之间安全地传输数据。当PDCP计数环绕时,UE 108开始使用新鲜/新推导的安全密钥。
在步骤814处,方法800包括报告差异。如果SeNB 106接收到包含一个或几个PDCPCOUNT值的计数器检查响应消息,则SeNB 106可以释放连接或对服务的MME或O&M服务器报告PDCP COUNT值的差,以用于进一步的流量分析,例如检测攻击者。当SeNB 106接收到不包含任何PDCP COUNT值的计数器检查响应消息时,方法800完成。
结合图8详细描述了由UE 108、MeNB 104和SeNB 106执行来实现前向安全的各种行为和交互。
可以以所呈现的顺序、以不同的顺序或同时地执行在方法800中的各种行为、动作、块和步骤等。而且,在一些实施例中,在不背离本发明的范围的情况下,可以将一些行为、动作、块和步骤等省略、增加、修改和跳过等。
不像在3GPP的较早版本中使用的安全机制,其中SeNB 106使用同一安全密钥来用于与MeNB 104和UE 108的通信,在所提出的***和方法中描述的前向安全的方法在SeNB106处提供了用于UE 108的单独的安全密钥。
在MeNB 104和SeNB 106的PDCP层处的单独加密的使用,即,在MeNB 104和SeNB106处的不同安全密钥提供了另外的安全。而且,因为密钥分离,可以实现前向安全,并且可以安全地传输在SeNB 106和UE 108之间的DRB。而且,即使将与MeNB 104相关联的安全密钥泄露,由UE 108和SeNB 106使用的安全密钥也是安全的。
考虑示例情形,当MeNB 104确定SeNB 106时。为了保证在SeNB 106和UE 108之间的数据通信,SeNB 106可以选择DL PDCP COUNT来用于推导用于在SeNB 106和UE 108之间的通信的安全密钥。如果SeNB 106(从被传输的一组分组)选择分组7,则向UE 108指示分组7,使得UE 108可以从分组7开始使用新的安全。在UE 108端处,基于PDCP环绕和所推导的安全密钥的验证,UE 108开始使用推导的安全密钥来用于与SeNB 106的通信。如果在分组10处出现PDCP环绕,则UE 108可以开始使用推导的安全密钥来用于从分组10起向前的与SeNB106的通信。
当使用现有的PDCP层来进行数据路径保护时,在运营商端处没有另外的实现成本。
图9是图示根据在此公开的实施例的,在UE、第一eNB、第二eNB之间执行以使用DLPDCP计数推导用于用户平面数据传输的安全密钥来实现前向安全的各种操作的示例序列图。在用于实现前向安全的实施例中,正在传输的DRB的DL PDCP计数可以用于推导用于用户平面数据传输的用户平面加密密钥。在902处,MeNB 104可以被配置为确定SeNB 106是否需要服务UE 108。因为通过单个MeNB 104来管理多个SeNB 106,所以SeNB 106的选择可能取决于几个因素,诸如信道测量、UE 108的位置和负载信息等。
在904处,从MeNB 104向SeNB 106发送Scell增加请求。当选择了SeNB 106的Scell时,MeNB 104可以被配置为发送增加用于服务UE 108的辅助小区的请求。在906处,在MeNB104处从SeNB 106接收到Scell增加响应。SeNB 106向MeNB 104发送所增加的辅助小区(Scell)的承认和确认。
在908处,MeNB 104停止在MeNB 104和UE 108之间的下行链路数据传输。因为MeNB104已经增加了SeNB 106的辅助小区并且停止了向UE 108的数据传输,所以MeNB 104需要启动在UE 108和MeNB 104之间的RRC连接的重新配置。
因为在UE 108和SeNB 106之间没有SRB,所以MeNB 104需要向UE 108通知的eNB的改变。在步骤910处,将RRC连接重新配置消息作为安全消息向UE 108发送。而且,安全消息包括在MeNB 104处保持的NCC的计数。
在912处,MeNB 104可以被配置为发送与数据传输相关联的序号计数。
在914处,MeNB 104可以被进一步配置为向SeNB 106发送消息以指示可以向SeNB106转发(卸载)DRB。在916处,基于从MeNB 104接收到的信息,UE 108可以被配置为停止在MeNB 104和UE 108之间的上行链路数据传输。在918处,UE 108可以被配置为产生用于SeNB106的安全基础密钥。使用垂直密钥推导来产生安全基础密钥,这利用从MeNB 104接收到的NH参数。
在920处,完成在UE 108和MeNB 104之间的RRC连接重新配置。在922处,建立在UE108和SeNB 106之间的通信路径。在924处,在SeNB 106和UE 108处开始计数器LCH_S。在926处,使用与MeNB 104相关联的安全基础密钥来在UE 108处推导新的密钥KeNB_M=K1,并且,对于LCH_M应用该密钥(k1)。
在928处,在MeNB 104处推导新的密钥KeNB_S=K2,并且对于LCH_S应用该密钥(k2)。在930处,MeNB 104与UE 108和SeNB 106共享PDCP状态报告。PDCP状态报告向SeNB106通知分组传输状态。而且,当不正确地或不完整地或有错误地接收到一些分组时,UE108可以通知SeNB 106。
可以以PDCP状态PDU的形式来发送该PDCP状态报告消息。
在步骤932处,SeNB 106随机地选择DL PDCP COUNT。DL PDCP COUNT通过SeNB 106从正在进行的用户平面流量随机选择,并且用于在SeNB 106和UE 108处的安全密钥推导。每个DL PDCP COUNT可以与特定DRB相关联。基于从UE 108和MeNB 104传输的分组和接收到的序号状态报告,SeNB 106可以选择随机DL PDCP计数。SeNB 106推导要被UE 108使用的安全密钥。所推导的安全密钥用于建立MAC-I,其被发送到UE 108以在UE 108处验证推导的密钥。
在934处,SeNB 106可以被配置为在具有用于使用分组PDCP计数来更新安全密钥的指示的PDCP首标中从SeNB 106发送所选择的DL PDCP计数。该PDCP首标也包含在SeNB106处使用推导的安全密钥推导的MAC-I。
在936处,UE 108可以被配置为使用所述DL PDCP计数来推导安全密钥,以用于在SeNB 106和UE 108之间安全地传输数据。使用所选择的PDCP COUNT的密钥推导如下:KeNB_s’=KDF{KeNB_s(在使用中),所选择的PDCP COUNT,SeNB-PCI,SeNB-EARFCN-DL}。
在实施例中,密钥推导如下。
KeNB_s’=KDF{KeNB_s(在使用中),PDCP COUNT(所选择的)}
在推导KeNB_s’后,SeNB和UE开始使用KeNB_s’来作为KeNB_s。
在实施例中,将KeNB_s原样用于用户平面保护(加密)。替代地,KeNB_s用于推导另外的密钥(类似于在TS 33.401中规定的KeNB),以用于用户平面加密、完整性保护和RRC信令保护(在SeNB 106和UE 108在其间具有RRC信令的情况下)。
UE 108从所指示的PDCP PDU和所存储的超帧号(HFN)获取PDCP序号(SN)。
PDCP COUNT是HFN+PDCP SN。
UE 108可以进一步被配置为验证推导的安全密钥是否与在从SeNB 106接收到的MAC-I中接收到的密钥相同。基于在步骤410中的推导的安全密钥的验证,保证在UE 108和SeNB 106之间的数据通信。在938处,当PDCP计数环绕时,UE 108开始使用新的推导的安全密钥。
图10是图示根据在此公开的实施例的,用于使用推导用于用户平面数据传输的安全密钥的DL PDCP计数和上行链路(UL)PDCP计数来实现前向安全的方法的流程图。
在步骤1002处,方法1000包括在SeNB 106处随机地选择DL PDCP COUNT。DL PDCPCOUNT被SeNB 106从正在进行的用户平面流量随机选择,并且用于在SeNB 106和UE 108处的安全密钥推导。每个DL PDCP COUNT可以与特定DRB相关联。基于从UE 108和MeNB 104传输的分组和接收到的序号状态报告,SeNB 106可以选择随机的DL PDCP计数。
在步骤1004处,方法1000包括在具有用于更新安全密钥的指示的DL PDCP首标中从SeNB 106发送所选择的DL PDCP计数。在PDCP PDU中向UE 108指示所选择的DL PDCPCOUNT,使得UE 108使用在PDCP COUNT中指示的安全密钥来用于安全密钥推导。
在步骤1006处,方法1000包括在UE 108处选择UL PDCP COUNT。该UL PDCP COUNT通过SeNB 106从正在进行的用户平面流量随机地选择,并且用于在SeNB 106处的安全密钥推导。
在步骤1008处,方法1000包括在UE 108处使用所选择的UL PDCP COUNT和所选择的DL PDCP COUNT来推导安全密钥用于在SeNB 106和UE 108之间安全地传输数据。在接收到密钥更新请求时,UE 108可以被配置为推导用于在UE 108和SeNB 106之间的通信的安全密钥。
使用所选择的DL和UL PDCP COUNT的在UE 108处的安全密钥推导如下:
KeNB_s’=KDF{KeNB_s(在使用中),所选择的UL/DL PDCP COUNT,SeNB-PCI,SeNB-EARFCN-DL}
在实施例中,密钥推导如下。
KeNB_s’=KDF{KeNB_s(在使用中),UL/DL PDCP COUNT(所选择的)}
在推导KeNB_s’后,SeNB 106和UE 108开始使用作为KeNB_s’来作为KeNB_s。
在步骤1012处,方法1000包括向SeNB 106发送具有用于更新安全密钥的指示的所选择的UL PDCP。
在步骤1014处,方法1000包括在SeNB 106处使用所选择的UL PDCP COUNT和所选择的DL PDCP COUNT来推导安全密钥用于在SeNB 106和UE 108之间安全地传输数据。
在步骤1016处,方法1000包括使用从SeNB 106接收到的MAC-I来验证所推导的安全密钥。基于在步骤1016中的推导的安全密钥的验证,保证在UE 108和SeNB 106之间的数据通信。结合图10详细描述由UE 108、MeNB 104和SeNB 106执行来实现前向安全的各种操作。
在步骤1018处,方法1000包括验证推导的安全密钥被验证。UE 108可以被配置为验证推导的安全密钥是否与在从SeNB 106接收到的MAC-I中接收到的安全密钥相同。在计数器检查响应消息内包括不同的UE PDCP COUNT值。UE 108将在计数器检查消息中接收到的PDCP COUNT值与其无线电承载的值相比较。
在步骤1018处,方法1000包括确定在UE 108处的推导的安全密钥的验证是否成功。UE 108将在计数器检查消息中接收到的PDCP COUNT值与其无线电承载的值相比较。
在步骤1020处,方法1000包括使用推导的安全密钥来用于从下一个PDCP计数起在UE 108和SeNB 106之间安全地传输数据。当与DRB相关联的PDCP计数即将环绕时,UE 108可以被配置为使用推导的安全密钥。
在步骤1022处,方法1000包括报告差异。如果SeNB 106接收到包含一个或几个PDCP COUNT值的计数器检查响应消息,则SeNB 106可以释放连接或对服务的MME或O&M服务器报告PDCP COUNT值的差,以用于进一步的流量分析,例如检测攻击者。
SeNB 106接收到不包含任何PDCP COUNT值的计数器检查响应消息,该方法完成。
考虑示例情况,当MeNB 104确定SeNB 106时。为了保证在SeNB 106和UE 108之间的数据通信,SeNB 106可以选择DL PDCP COUNT来用于推导用于在SeNB 106和UE 108之间的通信的安全密钥。如果SeNB 106(从正被传输的一组分组)选择分组9,则向UE 108指示分组9,使得UE 108可以从分组9开始使用新的安全。在UE 108处,基于所接收的DL PDCPCOUNT和所随机选择的UL PDCP COUNT,UE 108推导安全密钥。向SeNB 106发送所选择的ULPDCP计数,使得UE 108开始使用推导的安全密钥来用于与SeNB 106的通信。在SeNB 106处,使用所选择的DL PDCP计数和所接收的UL PDCP计数来推导安全。如果在SeNB 106处在分组10处出现PDCP环绕,则UE 108和SeNB 106可以开始使用推导的安全密钥来用于从分组10起正向的通信。
当使用现有的PDCP层来进行数据路径保护时,在运营商端处没有另外的实现成本。
可以以所呈现的顺序、以不同的顺序或同时地执行在方法1000中的各种行为、动作、块和步骤等。而且,在一些实施例中,在不背离本发明的范围的情况下,可以将一些行为、动作、块和步骤等省略、增加、修改和跳过等。
图11是图示根据在此公开的实施例的,在UE、第一eNB、SeNB 106之间执行来使用用于推导用于用户平面数据传输的安全密钥的DL PDCP计数和UL PDCP计数实现前向安全的各种操作的实力序列图。
在实施例中,为了实现前向安全,在用户平面流量中的DL PDCP计数和UL PDCP计数可以用于推导用于用户平面数据传输的用户平面加密密钥。
在1102处,MeNB 104可以被配置为确定SeNB 106是否需要服务UE 108。因为可以通过单个MeNB 104来管理多个SeNB 106,所以SeNB 106的选择可能取决于几个因素,诸如信道测量、UE 108的位置和负载信息等。
在1104处,从MeNB 104向SeNB 106发送Scell增加请求。当选择SeNB 106的Scell时,MeNB 104可以被配置为发送增加用于服务UE 108的辅助小区的请求。
在1106处,在MeNB 104处从SeNB 106接收Scell增加响应。SeNB 106向MeNB 104发送所增加的辅助小区(Scell)的承认和确认。
在1108处,MeNB 104停止在MeNB 104和UE 108之间的下行链路数据传输。因为MeNB 104已经增加了SeNB 106的辅助小区并且停止了向UE 108的数据传输,所以MeNB 104需要通过启动在UE 108和MeNB 104之间的RRC连接的重新配置来通知UE 108。
由于不存在UE 108和SeNB 106之间的SRB,所以MeNB 104需要向UE 108通知SeNB的改变。
在1110处,将RRC连接重新配置消息作为安全消息向UE 108发送。而且,安全消息包括在MeNB 104处保持的下一跳链接计数器(NCC)的计数。
在1112处,MeNB 104可以被配置为发送与数据传输相关联的序号(SN)计数。
在1114处,MeNB 104可以被配置为向SeNB 106发送消息,以指示数据无线电承载(DRB)将转发(卸载)到SeNB 106。
在1116处,基于从MeNB 104接收到的信息,UE 108可以被配置为停止在MeNB 104和UE 108之间的上行链路数据传输。
在1118处,UE 108可以被配置为产生用于SeNB 106的安全基础密钥。使用垂直密钥推导来产生安全基础密钥,这利用从MeNB 104接收到的下一跳(NH)参数。
在1120处,完成在UE 108和MeNB 104之间的RRC连接重新配置。
在1122处,建立在UE 108和SeNB 106之间的通信路径。
在1124处,在SeNB 106和UE 108处开始计数器LCH_S。
在1126处,使用与MeNB 104相关联的安全基础密钥来在UE 108处推导新的密钥KeNB_M=K1,并且,对于LCH_M应用该密钥(k1)。
在1128处,在MeNB 104处推导新的密钥KeNB_S=K2,并且对于LCH_S应用该密钥(k2)。
在1130处,MeNB 104与SeNB 106和UE 108共享PDCP状态报告。PDCP状态报告向SeNB 106通知分组传输状态。而且,如果不正确地或不完整地或有错误地接收到一些分组,UE 108可以通知SeNB 106。可以以PDCP状态PDU的形式来发送该PDCP状态报告消息。
在步骤1132处,SeNB 106随机地选择下行链路PDCP(DL PDCP)COUNT。PDCP COUNT通过SeNB 106从正在进行的用户平面(UP)流量随机选择,并且用于在SeNB 106和UE 108处的安全密钥推导。每个DL PDCP COUNT可以与特定数据无线电承载(DRB)相关联。基于从UE108和MeNB 104传输的分组和接收到的序号(SN)状态报告,SeNB 106可以选择随机的DLPDCP计数。SeNB 106推导要被UE 108使用的安全密钥。所推导的安全密钥用于建立MAC-I,其被发送到UE 108以在UE 108处验证推导的密钥。
在1134处,SeNB 106可以被配置为在具有使用分组PDCP计数来更新安全密钥的指示的PDCP首标中从SeNB 106发送所选择的DL PDCP计数。该PDCP首标也包含在SeNB 106处使用推导的安全密钥推导的MAC-I。
在1136处,UE 108选择上行链路PDCP(UL PDCP)。该UL PDCP COUNT通过SeNB 106从正在进行的用户平面流量随机地选择,并且用于在SeNB 106和UE 108处的安全密钥推导。UE使用UL PDCP计数和DL PDCP计数来推导安全密钥,以用于在SeNB 106和UE 108之间安全地传输数据
在1138处,UE 108可以被配置为向SeNB 106发送具有用于更新安全密钥的指示的所选择的UL PDCP。在接收到密钥更新请求时,SeNB 106可以被配置为推导用于在UE 108和SeNB 106之间的通信的安全密钥。
在1140处,SeNB 106可以被配置为使用UL PDCP计数和DL PDCP计数来推导安全密钥,以用于在SeNB 106和UE 108之间安全地传输数据。SeNB 106可以被进一步配置为验证推导的密钥是否与在从UE 108接收到的MAC-I中接收到的密钥相同。
在1142处,当PDCP计数在SeNB 106处环绕时,SeNB 106和UE 108开始使用推导的安全密钥。
图12是图示根据在此公开的实施例的,用于使用用于推导用于用户平面数据传输的安全密钥的一次性随机数来实现前向安全的方法的流程图。
在步骤1202处,方法1200包括在具有用于更新安全密钥的指示的PDCP首标中从SeNB 106发送所选择的一次性随机数。
在步骤1206处,方法1200包括在UE 108处使用该一次性随机数(NONCE)推导安全密钥以用于在SeNB 106和UE 108之间安全地传输数据。在接收到密钥更新请求时,UE 108可以被配置为推导用于在UE 108和SeNB 106之间的通信的安全密钥。
在UE处使用所选择的一次性随机数的安全密钥推导如下:
KeNB_s’=KDF{KeNB_s(在使用中),NONCE,SeNB-PCI,SeNB-EARFCN-DL}
在实施例中,密钥推导如下:
KeNB_s’=KDF{KeNB_s(在使用中),NONCE}
在推导KeNB_s’后,SeNB 106和UE 108开始使用KeNB_s’。
在步骤1208处,方法1200包括在PDCP首标中从UE 108向SeNB 106发送密钥更新承认。
在步骤1210处,方法1200包括:使用推导的安全密钥从下一个PDCP计数起来在UE108和SeNB 106之间安全地传输数据。当与DRB相关联的PDCP计数即将环绕时,UE 108可以被配置为使用推导的安全密钥。虽然通过在SeNB 106处选择用于下行链路情况的一次性随机数来描述方法1200,但是必须明白,一次性随机数可以在UE 108处被选择并且在UL PDCP首标中被发送到SeNB 106。可以以所呈现的顺序、以不同的顺序或同时地执行在方法1200中的各种行为、动作、块和步骤等。而且,在一些实施例中,在不背离本发明的范围的情况下,可以将一些行为、动作、块和步骤等省略、增加、修改和跳过等。
图13是图示根据在此公开的实施例的,在UE、第一eNB、SeNB 106之间执行来使用一次性随机数推导用于用户平面数据传输的安全密钥来实现前向安全的各种操作的示例序列图。
在用于实现前向安全的实施例中,在SeNB 106或UE 108处的一次性随机数可以用于推导用于用户平面数据传输的用户平面加密密钥。
在1302处,MeNB 104可以被配置为确定SeNB 106是否需要服务UE 108。因为可以通过单个MeNB 104来管理多个SeNB 106,所以SeNB 106的选择可能取决于几个因素,诸如信道测量、UE 108的位置和负载信息等。
在1304处,从MeNB 104向SeNB 106发送Scell增加请求。在决定SeNB 106之后,MeNB 104可以被配置为请求增加用于服务于UE 108的辅助小区。
在1306处,在MeNB 104处从SeNB 106接收Scell增加响应。SeNB 106向MeNB 104发送所增加的辅助小区(Scell)的承认和确认。
在1308处,MeNB 104停止在MeNB 104和UE 108之间的下行链路数据传输。因为MeNB 104已经增加了SeNB 106的辅助小区并且停止了向UE 108的数据传输,所以MeNB 104需要通过启动在UE 108和MeNB 104之间的无线电资源控制(RRC)连接的重新配置来通知UE108。
因为在UE 108和SeNB 106之间没有SRB,所以MeNB 104需要向UE 108通知eNB的改变。
在步骤1310处,将RRC连接重新配置消息作为安全消息向UE 108发送。而且,安全消息包括在MeNB 104处保持的下一跳链接计数器(NCC)的计数。
在1312处,MeNB 104可以被配置为发送与数据传输相关联的序号(SN)计数。
在1314处,MeNB 104可以被进一步配置为向SeNB 106发送消息,以指示将转发(卸载)到SeNB 106的数据无线电承载(DRB)。
在1316处,基于从MeNB 104接收到的信息,UE 108可以被配置为停止在MeNB 104和UE 108之间的上行链路数据传输。
在1318处,UE 108可以被配置为产生用于SeNB 106的安全基础密钥。使用垂直密钥推导来产生安全基础密钥,其利用从MeNB 104接收到的下一跳(NH)参数。
在1320处,完成在UE 108和MeNB 104之间的RRC连接重新配置。
在1322处,建立在UE 108和SeNB 106之间的通信路径。
在1324处,在SeNB 106和UE 108处开始计数器LCH_S。
在1326处,使用与MeNB 104相关联的安全基础密钥来在UE 108处推导新的密钥KeNB_M=K1,并且,对于LCH_M应用该密钥(k1)。
在1328处,在MeNB 104处推导新的密钥KeNB_S=K2,并且对于LCH_S应用该密钥(k2)。
在1330处,MeNB 104与UE 108和SeNB 106共享PDCP状态报告。PDCP状态报告向SeNB 106通知分组传输状态。而且,如果不正确地或不完整地或有错误地接收到一些分组时,UE 108可以通知SeNB 106。可以以PDCP状态PDU的形式来发送该PDCP状态报告消息。
在步骤1332处,SeNB 106随机地选择和产生一次性随机数。
在1334处,SeNB 106可以被配置为从SeNB 106在具有用于更新安全密钥的指示的PDCP首标中发送所选择的一次性随机数。
在1336处,UE 108可以被配置为使用一次性随机数来推导安全密钥以用于在SeNB106和UE 108之间安全地传输数据。
使用所选择的一次性随机数的密钥推导如下:KeNB_s’=KDF{KeNB_s(在使用中),一次性随机数,SeNB-PCI,SeNB-EARFCN-DL}
在实施例中,密钥推导如下:
KeNB_s’=KDF{KeNB_s(在使用中),一次性随机数}
在推导KeNB_s’后,SeNB和UE开始使用作为KeNB_s’来作为KeNB_s。
在1338处,当PDCP计数环绕时,UE 108开始使用新的推导的安全密钥。
在1338处,将来自UE 108的密钥更新承认在PDCP首标中发送到SeNB 106。
在1340处,当PDCP计数环绕时,UE 108开始使用新的推导的安全密钥。
图14是描述根据在此公开的实施例的,用于保证与演进节点B(eNB)间的载波聚合的无线电接入的方法的流程图。
因为UE 108和SeNB 106的安全能力可能不同,并且在UE 108和SeNB 106之间没有RRC信令,所以MeNB 104需要建立用于在SeNB 106和UE 108之间的通信的安全环境。MeNB104是用于UE 108的锚eNB(RRC信令仅能够在MeNB 104和UE 108之间可用)。MeNB 104需要使用RRC连接重新配置来在UE 108处建立用于SeNB 106的安全环境。
在步骤1402处,方法1400包括所述第一eNB在X2消息中向SeNB 106发送UE 108的能力。UE 108能力与所述UE 108支持的安全参数相关联。
在实施例中,主要eNB(MeNB)104可以存储与辅助eNB(SeNB)106相关联的至少一个安全参数。
在步骤1404处,方法1400包括基于SeNB 106本地配置和从MeNB 104接收到的UE108能力来在SeNB 106处选择安全参数。
在步骤1406处,方法1400包括在MeNB 104和SeNB 106之间的X2接口上向MeNB 104发送响应,用于指示由SeNB 106选择的安全参数。
在步骤1408处,该方法包括在RRC消息中向UE 108通知所选择的安全参数。因为在UE 108和SeNB 106之间没有RRC连接,所以MeNB 104发送从SeNB 106接收到的所选择的安全参数。
图15是图示根据在此公开的实施例的,在UE 108、MeNB 104、SeNB 106之间的交互的示例序列图,该交互用于在演进节点B(eNB)间的载波聚合中向UE 108传送由SeNB 106使用的安全算法。
在1502处,MeNB 104可以被配置为确定要增加的SeNB 106。可以通过MeNB 104来管理多个SeNB 106。SeNB 106的选择可以取决于几个因素,诸如信道测量、UE 108的位置和负载信息等。
在1504处,从MeNB 104向SeNB 106发送Scell增加请求。在决定SeNB 106后,MeNB104可以被配置为请求增加用于服务UE 108的辅助小区。而且,MeNB 104可以被配置为向SeNB 106指示UE 108的安全能力。
在1506处,在MeNB 104处从SeNB 106接收Scell增加响应。SeNB 106可以被配置为向MeNB 104发送与SeNB 106相关联的所增加的辅助小区(Scell)的承认和确认。而且,SeNB106向MeNB 104发送要用于的通信的所选择的安全算法。
在1508处,MeNB 104停止在MeNB 104和UE 108之间的下行链路数据传输。因为MeNB 104已经增加了SeNB 106的辅助小区并且停止了向UE 108的数据传输,所以MeNB 104需要启动在UE 108和MeNB 104之间的无线电资源控制(RRC)连接的重新配置。RRC连接重新配置消息包括SeNB 106的所选择的加密算法。
图16是图示根据在此公开的实施例的、在UE 108和MeNB 104之间用于安全环境建立的交互的示例序列图1600。序列图1600描述了MeNB 104在与UE 108进行通信的同时,使用安全命令模式过程来建立用于SeNB 106的安全环境。
在1602处,MeNB 104可以被预先配置有SeNB 106的安全能力。在一些情况下,如果SeNB 106的预先配置的安全能力不可用,则MeNB 104可以选择默认的安全算法。
在实施例中,安装能力可以包括但是不限于完整性算法和加密算法。
在1604处,MeNB 104可以被配置为向UE 108发送SeNB 106的安全能力。
在实施例中,使用在UE 108和MeNB 104之间的RRC信令来建立在SeNB 106和UE108之间的安全环境。
在实施例中,MeNB 104通过选择用于在UE 108和SeNB 106之间的数据无线电承载(DRB)的空算法,来(基于运营商/网络的政策)选择无安全保护。在另一实施例中,如果存在在UE 108和SeNB 106之间可能的RRC信令,则SeNB 106通过选择用于在UE 108和SeNB 106之间的数据无线电承载(DRB)的空算法,来(基于运营商/网络的政策)选择无安全保护。
图17图示了根据在此公开的实施例的、用于使用在PDCP PDU中存在的新的安全密钥产生的完整性值的密钥更新指示符和消息认证代码。安全首标包括正被传输的数据分组的密钥更新指示符(KU)和PDCP序号(SN)。在每个PDCP PDU中包括的首标包含用PDCP PCU的安全信息。在PDCP PDU中的密钥更新(KU)指示符向UE 108指示使用PDCP SN来用于更新安全密钥。而且,PDCP PDU也包括MAC-I,用于在接收器处验证消息的数据完整性。对于DRB的PDU,使用首标后的压缩来执行在PDCP处的加密,并且使用首标前的解压缩来执行解密。
图18图示了根据在此公开的实施例的、在PDCP PDU中承载的密钥更新指示符和一次性随机数。在每个PDCP PDU中包括的首标包含用于PDCP PDU的安全信息。安全首标包括被正传输的密钥更新指示符(KU)和PDCP序号(SN)。在每个PDCP PDU中包括的首标包含用于PDCP PDU的安全信息。在PDCP PDU中的密钥更新(KU)指示符向UE 108指示使用PDCP SN来用于更新安全密钥。而且,PDCP PDU也包括一次性随机数,用于在接收器处验证消息的数据完整性。对于DRB的PDU,使用首标后的压缩来执行在PDCP处的加密,并且使用首标前的解压缩来执行解密。
图19描述了根据在此公开的实施例的、实现用于在包括连接到SeNB的第一eNB的无线网络中建立用于UE的安全连接的方法和***的计算环境。如所述,计算环境1902包括至少一个处理单元1904(其配备了控制单元1906和算术逻辑单元(ALU)1908)、存储器1910、存储1912、时钟芯片1914、多个联网装置1916和多个输入输出(I/O)装置1918。处理单元1904负责处理算法的指令。该处理单元1904从控制单元1906接收命令,以便执行其处理。而且,借助于ALU 1908来计算在指令的执行中包含的任何逻辑和算法运算。
整个计算环境1902可以由下述部分构成:多个同类或异类内核、不同种类的多个CPU、特殊媒体和其他加速器。处理单元1904负责处理该算法的指令。处理单元1904从控制单元1906接收命令,以便执行其处理。而且,借助于ALU 1908来计算在指令的执行中包含的任何逻辑和算法运算。而且,该多个处理单元可以位于单个芯片上或跨多个芯片。
在存储器1910或存储1912或两者中存储包括该实现方式所需的指令和代码的算法。在执行时,该指令可以从对应的存储器1910或存储1912被取回,并且通过处理单元1904执行。处理单元1904同步操作,并且基于由时钟芯片1914产生的定时信号来执行指令。可以通过在至少一个硬件装置上运行并且执行网络管理功能以控制元件的至少一个软件程序来实现在此公开的实施例。
在图1、2和3中示出的元件包括与本发明的方法、处理、算法或***相关地描述的各种单元、块、模块或步骤,可以使用任何通用处理器和编程语言、应用和嵌入处理器的任何组合来实现。
Claims (16)
1.一种由通信***中第一基站执行的方法,所述方法包括:
基于第一基站的基本安全密钥和用于第二基站的计数器值,生成用于第二基站的第一安全密钥;
向第二基站发送用于增加第二基站的请求消息,所述请求消息包括所述第一安全密钥;
从第二基站接收作为对所述请求消息的响应的响应消息,所述响应消息包括与用于第二基站的算法相关联的信息;以及
向终端发送无线电资源控制RRC消息,
其中,所述RRC消息包括:
用于第二基站的计数器值,所述计数器值用于终端生成第一安全密钥,和
与用于第二基站的算法相关联的信息,所述信息用于终端基于第一安全密钥生成第二安全密钥。
2.如权利要求1所述的方法,还包括:
接收在用于第二基站的分组数据汇聚协议PDCP计数即将环绕的情况下生成的、用于更新第一安全密钥的请求消息;以及
基于基本安全密钥和用于第二基站的更新的计数器值,更新第一安全密钥。
3.如权利要求1所述的方法,其中,在用于第二基站的计数器值环绕之前刷新第一基站的基本安全密钥,并且
其中,对于终端,与第一基站相关联的至少一个小区和与第二基站相关联的至少一个小区被聚合。
4.如权利要求1所述的方法,其中,用于第二基站的计数器值被维持当前接入层AS安全上下文的持续时间。
5.一种由通信***中的第二基站执行的方法,所述方法包括:
从第一基站接收用于增加第二基站的请求信息,所述请求消息包括用于第二基站的第一安全密钥;以及
向第一基站发送作为对所述请求消息的响应的响应消息,所述响应消息包括与用于第二基站的算法相关联的信息,
其中,所述第一安全密钥是基于第一基站的基本安全密钥和第一基站中的用于第二基站的计数器值来生成的,以及
其中,无线电资源控制RRC消息通过第一基站被发送到终端,
其中,所述RRC消息包括:
用于第二基站的计数器值,所述计数器值用于终端生成第一安全密钥,和
与用于第二基站的算法相关联的信息,所述信息用于终端基于第一安全密钥生成第二安全密钥。
6.如权利要求5所述的方法,还包括:
发送在用于第二基站的分组数据汇聚协议PDCP计数即将环绕的情况下生成的、用于更新第一安全密钥的请求消息。
7.如权利要求5所述的方法,其中,在用于第二基站的计数器值环绕之前刷新第一基站的基本安全密钥,以及
其中,对于终端,与第一基站相关联的至少一个小区和与第二基站相关联的至少一个小区被聚合。
8.如权利要求5所述的方法,其中,用于第二基站的计数器值被维持当前接入层AS安全上下文的持续时间。
9.一种通信***中的第一基站,所述第一基站包括:
收发器;和
至少一个处理器,其被配置为控制所述收发器执行以下步骤:
基于第一基站的基本安全密钥和用于第二基站的计数器值,生成用于第二基站的第一安全密钥,
向第二基站发送用于增加第二基站的请求消息,所述请求消息包括所述第一安全密钥,
从第二基站接收作为对所述请求消息的响应的响应消息,所述响应消息包括与用于第二基站的算法相关联的信息,以及
向终端发送无线电资源控制RRC消息,
其中,所述RRC消息包括:
用于第二基站的计数器值,所述计数器值用于终端生成第一安全密钥,和
与用于第二基站的算法相关联的信息,所述信息用于终端基于第一安全密钥生成第二安全密钥。
10.如权利要求9所述的第一基站,其中,所述至少一个处理器还被配置为:
接收在用于第二基站的分组数据汇聚协议PDCP计数即将环绕的情况下生成的、用于更新第一安全密钥的请求消息,以及
基于基本安全密钥和用于第二基站的更新的计数器值,更新第一安全密钥。
11.如权利要求9所述的第一基站,其中,在用于第二基站的计数器值环绕之前刷新所述第一基站的基本安全密钥,并且
其中,对于终端,与第一基站相关联的至少一个小区和与第二基站相关联的至少一个小区被聚合。
12.如权利要求9所述的第一基站,其中,用于第二基站的计数器值被维持当前接入层AS安全上下文的持续时间。
13.一种通信***中的第二基站,所述第二基站包括:
收发器,和
至少一个处理器,其被配置为控制所述收发器:
从第一基站接收对用于增加第二基站的请求信息,所述请求消息包括用于第二基站的第一安全密钥,以及
向第一基站发送作为对所述请求消息的响应的响应消息,所述响应消息包括与用于第二基站的算法相关联的信息,
其中,所述第一安全密钥是基于第一基站的基本安全密钥和第一基站中的用于第二基站的计数器值来生成的,以及
其中,无线电资源控制RRC消息通过第一基站被发送到终端,
其中,所述RRC消息包括:
用于第二基站的计数器值,所述计数器值用于终端生成第一安全密钥,和
与用于第二基站的算法相关联的信息,所述信息用于终端基于第一安全密钥生成第二安全密钥。
14.如权利要求13所述的第二基站,其中,所述至少一个处理器还被配置为:发送在用于第二基站的分组数据汇聚协议PDCP计数即将环绕的情况下生成的、用于更新第一安全密钥的请求消息。
15.如权利要求13所述的第二基站,其中,在用于第二基站的计数器值环绕之前刷新第一基站的基本安全密钥,
其中,对于终端,与第一基站相关联的至少一个小区和与第二基站相关联的至少一个小区被聚合。
16.如权利要求13所述的第二基站,其中,用于第二基站的计数器值被维持当前接入层AS安全上下文的持续时间。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN4059CH2013 | 2013-09-11 | ||
| IN4059/CHE/2013 | 2013-09-11 | ||
| CN201480049965.8A CN105557007B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
| PCT/KR2014/008492 WO2015037926A1 (en) | 2013-09-11 | 2014-09-11 | Method and system to enable secure communication for inter-enb transmission |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480049965.8A Division CN105557007B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110086764A CN110086764A (zh) | 2019-08-02 |
| CN110086764B true CN110086764B (zh) | 2022-04-05 |
Family
ID=52665952
Family Applications (4)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910117634.8A Active CN110086764B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
| CN201910118026.9A Active CN110035054B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
| CN201910117623.XA Active CN109922051B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
| CN201480049965.8A Active CN105557007B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
Family Applications After (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910118026.9A Active CN110035054B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
| CN201910117623.XA Active CN109922051B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
| CN201480049965.8A Active CN105557007B (zh) | 2013-09-11 | 2014-09-11 | 用于使能用于enb间的传输的安全通信的方法和*** |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US9967740B2 (zh) |
| EP (4) | EP3554047B1 (zh) |
| KR (1) | KR102196213B1 (zh) |
| CN (4) | CN110086764B (zh) |
| ES (2) | ES2743214T3 (zh) |
| WO (1) | WO2015037926A1 (zh) |
Families Citing this family (66)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833802B (zh) * | 2012-08-15 | 2015-09-23 | 电信科学技术研究院 | 一种数据转发方法及设备 |
| WO2014109968A1 (en) * | 2013-01-09 | 2014-07-17 | Ntt Docomo, Inc. | Secure radio access with inter-enb carrier aggregation |
| DK2951975T3 (en) | 2013-01-30 | 2016-10-24 | ERICSSON TELEFON AB L M (publ) | GENERATION OF SECURITY KEY TO BICONNECTIVITY |
| EP2995019B1 (en) * | 2013-05-09 | 2019-01-30 | Intel IP Corporation | Small data communications |
| EP3057349A1 (en) | 2013-11-01 | 2016-08-17 | Huawei Technologies Co., Ltd. | Dual connection mode key processing method and device |
| JP6337965B2 (ja) | 2013-12-24 | 2018-06-06 | 日本電気株式会社 | Sceのための装置、システム、及び方法 |
| KR101819409B1 (ko) | 2014-03-06 | 2018-01-16 | 닛본 덴끼 가부시끼가이샤 | 이중 연결성을 위한 장치, 시스템 및 방법 |
| CN104936174B (zh) * | 2014-03-21 | 2019-04-19 | 上海诺基亚贝尔股份有限公司 | 在基于用户平面1a架构的双连接情形下更新密钥的方法 |
| EP2922326B1 (en) | 2014-03-21 | 2018-12-19 | Sun Patent Trust | Security key derivation in dual connectivity |
| GB2528913B (en) | 2014-08-04 | 2017-03-01 | Samsung Electronics Co Ltd | Signalling in dual connectivity mobile communication networks |
| WO2016036296A1 (en) * | 2014-09-05 | 2016-03-10 | Telefonaktiebolaget L M Ericsson (Publ) | Interworking and integration of different radio access networks |
| US9645948B2 (en) * | 2015-01-16 | 2017-05-09 | Hamilton Sundstrand Corporation | Access key generation for computer-readable memory |
| CN106134272B (zh) * | 2015-01-30 | 2020-01-31 | 华为技术有限公司 | 通信方法、网络设备、用户设备和通信*** |
| JP6654198B2 (ja) * | 2015-03-25 | 2020-02-26 | エルジー エレクトロニクス インコーポレイティド | 無線通信システムにおけるwlan−lte統合及びインターワーキングのためのオフローディング手続を遂行するための方法及び装置 |
| CN106162732A (zh) * | 2015-04-01 | 2016-11-23 | 中兴通讯股份有限公司 | 用户数据的传输处理方法、装置及*** |
| WO2016172932A1 (en) * | 2015-04-30 | 2016-11-03 | Mediatek Singapore Pte. Ltd. | Idle mode operation in the heterogeneous network with conventional macro cell and mmw small cell |
| EP3360357B1 (en) * | 2015-10-08 | 2021-01-06 | Telefonaktiebolaget LM Ericsson (PUBL) | A radio access node and a method of operating the same |
| CN106572472B (zh) * | 2015-10-13 | 2019-09-13 | 南京中兴软件有限责任公司 | 使用非授权载波的方法和装置 |
| WO2017173561A1 (en) * | 2016-04-05 | 2017-10-12 | Nokia Solutions And Networks Oy | Optimized security key refresh procedure for 5g mc |
| US10716002B2 (en) * | 2016-07-05 | 2020-07-14 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
| WO2018049689A1 (zh) * | 2016-09-19 | 2018-03-22 | 华为技术有限公司 | 密钥协商方法及装置 |
| EP3520452B1 (en) * | 2016-09-30 | 2022-12-21 | Nokia Technologies Oy | Updating security key |
| WO2018072059A1 (en) * | 2016-10-17 | 2018-04-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for providing multiple radio access network connectivity to terminal device |
| US10630481B2 (en) * | 2016-11-07 | 2020-04-21 | Ford Global Technologies, Llc | Controller area network message authentication |
| GB201621072D0 (en) * | 2016-12-12 | 2017-01-25 | Samsung Electronics Co Ltd | NR QOS handling |
| CN108366365B (zh) * | 2017-01-26 | 2021-03-23 | 华为技术有限公司 | 一种接入目标小区的方法以及设备 |
| EP3574668B1 (en) * | 2017-01-27 | 2022-08-03 | Telefonaktiebolaget LM Ericsson (PUBL) | Key change procedure |
| CN111182539B (zh) * | 2017-03-24 | 2023-04-07 | 华为技术有限公司 | 通信方法与设备 |
| EP3616466B1 (en) | 2017-05-05 | 2021-06-30 | Samsung Electronics Co., Ltd. | Method and apparatus for manegement of rrc configurations between interworking nodes in dual connectivity |
| US11265967B2 (en) * | 2017-06-14 | 2022-03-01 | Ntt Docomo, Inc. | User device for setting packet data convergence protocol entity in dual connectivity |
| CN109246776B (zh) * | 2017-06-16 | 2020-07-17 | 维沃移动通信有限公司 | 数据状态转移方法、基站、设备及介质 |
| WO2018231031A2 (ko) * | 2017-06-17 | 2018-12-20 | 엘지전자 주식회사 | 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치 |
| EP3570577B1 (en) * | 2017-06-17 | 2021-04-07 | LG Electronics Inc. -1- | Method and apparatus for supporting security for separation of cu-cp and cu-up in wireless communication system |
| WO2018237371A1 (en) * | 2017-06-23 | 2018-12-27 | Motorola Mobility Llc | METHOD AND APPARATUS FOR MANAGING SECURITY KEYS FOR INDIVIDUAL MEDIA |
| EP4221290A1 (en) * | 2017-06-23 | 2023-08-02 | Motorola Mobility LLC | Method and apparatus for implementing bearer specific changes as part of a connection reconfiguration that impacts the security keys being used |
| CN109391603B (zh) * | 2017-08-11 | 2021-07-09 | 华为技术有限公司 | 数据完整性保护方法和装置 |
| CN109756894B (zh) * | 2017-08-22 | 2020-09-25 | 大唐移动通信设备有限公司 | 一种高清语音通话的方法、基站和终端 |
| CN111133732B (zh) * | 2017-09-26 | 2022-10-04 | 瑞典爱立信有限公司 | 在无线通信***中切换时管理安全上下文并执行密钥导出 |
| US11129017B2 (en) * | 2017-09-28 | 2021-09-21 | Futurewei Technologies, Inc. | System and method for security activation with session granularity |
| CN109586900B (zh) | 2017-09-29 | 2020-08-07 | 华为技术有限公司 | 数据安全处理方法及装置 |
| US10848975B2 (en) * | 2017-11-14 | 2020-11-24 | Futurewei Technologies, Inc. | System and method of providing UE capability for support of security protection on bearers |
| WO2019095227A1 (zh) | 2017-11-15 | 2019-05-23 | Oppo广东移动通信有限公司 | 数据复制传输的控制方法、用户设备、主节点及辅助节点 |
| CN111357340B (zh) * | 2017-11-16 | 2022-09-23 | 索尼公司 | 终端设备的位置的估计 |
| US10470044B2 (en) * | 2018-01-12 | 2019-11-05 | Intel Corporation | Resolving bidding down attacks for multi-connectivity |
| CN111837451B (zh) * | 2018-01-12 | 2023-10-27 | 诺基亚技术有限公司 | 向主节点通知即将发生分组计数器值回绕的装置和方法 |
| EP3741186A1 (en) * | 2018-01-19 | 2020-11-25 | Sony Corporation | Method and apparatus for handoff of multiple bearers with differing quality of service levels in a wireless communication system |
| FR3077175A1 (fr) * | 2018-01-19 | 2019-07-26 | Orange | Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif |
| CN110167018B (zh) * | 2018-02-11 | 2021-12-10 | 华为技术有限公司 | 一种安全保护的方法、装置及接入网设备 |
| US10687263B2 (en) * | 2018-02-15 | 2020-06-16 | Qualcomm Incorporated | Enhanced make-before-break handover |
| US11038923B2 (en) * | 2018-02-16 | 2021-06-15 | Nokia Technologies Oy | Security management in communication systems with security-based architecture using application layer security |
| CN110198553B (zh) * | 2018-02-24 | 2020-09-11 | 维沃移动通信有限公司 | 一种辅小区组删除方法、终端设备及网络节点 |
| MX2020010809A (es) | 2018-04-16 | 2020-10-28 | Ericsson Telefon Ab L M | Manejo de seguridad para reanudacion de rrc desde estado inactivo. |
| US10972950B2 (en) * | 2018-07-20 | 2021-04-06 | Qualcomm Incorporated | Methods and apparatus for handover enhancements |
| JP7390359B2 (ja) * | 2018-08-09 | 2023-12-01 | 中興通訊股▲ふん▼有限公司 | セキュリティキー生成技術 |
| CN113068180A (zh) | 2018-08-10 | 2021-07-02 | 华为技术有限公司 | 双连接通信方法及其装置、*** |
| US11057766B2 (en) * | 2018-11-01 | 2021-07-06 | Nokia Technologies Oy | Security management in disaggregated base station in communication system |
| WO2020154929A1 (zh) * | 2019-01-29 | 2020-08-06 | Oppo广东移动通信有限公司 | 一种秘钥信息处理方法和接入网络节点、终端设备 |
| WO2021030576A1 (en) * | 2019-08-15 | 2021-02-18 | Google Llc | Security key updates in dual connectivity |
| US11363461B2 (en) * | 2019-08-23 | 2022-06-14 | Electronics And Telecommunications Research Institute | Method for managing security key of mobile communication system, and apparatus therefor |
| US11405220B2 (en) * | 2020-06-25 | 2022-08-02 | Seagate Technology Llc | Moving target authentication protocols |
| US11785456B2 (en) * | 2020-08-18 | 2023-10-10 | Cisco Technology, Inc. | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) |
| US20220109996A1 (en) * | 2020-10-01 | 2022-04-07 | Qualcomm Incorporated | Secure communication link establishment for a ue-to-ue relay |
| CN114845293B (zh) * | 2021-02-02 | 2024-04-05 | 荣耀终端有限公司 | 一种ue能力上报的方法以及装置 |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
| US20230046788A1 (en) * | 2021-08-16 | 2023-02-16 | Capital One Services, Llc | Systems and methods for resetting an authentication counter |
| US20230056352A1 (en) * | 2021-08-23 | 2023-02-23 | Qualcomm Incorporated | Physical channel encryption using secret keys |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238541A (zh) * | 2010-04-29 | 2011-11-09 | 电信科学技术研究院 | 密钥更新方法和基站 |
| WO2012138155A2 (en) * | 2011-04-05 | 2012-10-11 | Samsung Electronics Co., Ltd. | Battery consumption control method of user equipment in mobile communication system |
| CN102823186A (zh) * | 2009-09-25 | 2012-12-12 | 捷讯研究有限公司 | 用于多载波网络操作的***和方法 |
| CN102948214A (zh) * | 2010-05-11 | 2013-02-27 | 三星电子株式会社 | 利用载波聚合的切换 |
| CN103004278A (zh) * | 2010-06-15 | 2013-03-27 | 瑞典爱立信有限公司 | 用于rat间载波聚合的信令机制 |
| CN103188663A (zh) * | 2011-12-27 | 2013-07-03 | 华为技术有限公司 | 基站间载波聚合的安全通讯方法及设备 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| ATE535108T1 (de) * | 2007-10-29 | 2011-12-15 | Nokia Corp | System und verfahren zum authentifizieren eines kontexttransfers |
| CN101232736B (zh) * | 2008-02-22 | 2012-02-29 | 中兴通讯股份有限公司 | 用于不同接入***之间密钥生存计数器的初始化设置方法 |
| KR101224230B1 (ko) * | 2008-06-13 | 2013-01-21 | 노키아 코포레이션 | 시스템간 모빌리티 동안에 프레시 보안 콘텍스트를 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 |
| JP4505528B2 (ja) * | 2008-09-22 | 2010-07-21 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
| CN101772100B (zh) * | 2008-12-29 | 2012-03-28 | ***通信集团公司 | LTE***中基站eNB切换时的密钥更新方法、设备及*** |
| KR20100097577A (ko) * | 2009-02-26 | 2010-09-03 | 엘지전자 주식회사 | 보안성능협상방법 및 tek 관리방법 |
| JPWO2010116621A1 (ja) | 2009-03-30 | 2012-10-18 | パナソニック株式会社 | 無線通信装置 |
| KR101674947B1 (ko) * | 2009-04-21 | 2016-11-10 | 엘지전자 주식회사 | 효율적인 보안 관련 처리 |
| CN101552984B (zh) * | 2009-05-05 | 2011-05-18 | 广州杰赛科技股份有限公司 | 一种移动通信***的基站的安全接入方法 |
| BRPI1013144B1 (pt) | 2009-06-15 | 2021-03-02 | Guangdong Oppo Mobile Telecommunications Corp., Ltd | método e sistema para a operação de recepção descontínua para agregação de portadora avançada de evolução de longo prazo |
| US8385549B2 (en) * | 2009-08-21 | 2013-02-26 | Industrial Technology Research Institute | Fast authentication between heterogeneous wireless networks |
| US8478258B2 (en) * | 2010-03-05 | 2013-07-02 | Intel Corporation | Techniques to reduce false detection of control channel messages in a wireless network |
| CN102244862A (zh) * | 2010-05-10 | 2011-11-16 | 北京三星通信技术研究有限公司 | 一种获取安全密钥的方法 |
| CN102281535A (zh) * | 2010-06-10 | 2011-12-14 | 华为技术有限公司 | 一种密钥更新方法与装置 |
| US20120163336A1 (en) * | 2010-06-18 | 2012-06-28 | Interdigital Patent Holdings, Inc. | Distributed architecture for security keys derivation in support of non-involved core network handover |
| EP2636272B1 (en) * | 2010-11-04 | 2018-08-29 | LG Electronics Inc. | Method and apparatus for reconfiguring connection to base station at relay node in a wireless communication system |
| CN103210627A (zh) * | 2010-11-15 | 2013-07-17 | 交互数字专利控股公司 | 证书认证和信道绑定 |
| JP2013005430A (ja) | 2011-06-15 | 2013-01-07 | Lg Electronics Inc | 無線通信システムにおけるデータ送信方法及び装置 |
| KR20120138619A (ko) * | 2011-06-15 | 2012-12-26 | 엘지전자 주식회사 | 무선 통신 시스템에서 데이터 전송 방법 및 장치 |
| US9258839B2 (en) * | 2011-08-12 | 2016-02-09 | Blackberry Limited | Other network component receiving RRC configuration information from eNB |
| WO2013116976A1 (en) * | 2012-02-06 | 2013-08-15 | Nokia Corporation | A fast-accessing method and apparatus |
| CN102740289B (zh) * | 2012-06-15 | 2015-12-02 | 电信科学技术研究院 | 一种密钥更新方法、装置及*** |
| CN107248906B (zh) * | 2012-06-28 | 2023-03-10 | 华为技术有限公司 | 辅助主小区的调整方法以及基站 |
| KR101925764B1 (ko) * | 2012-08-23 | 2018-12-05 | 인터디지탈 패튼 홀딩스, 인크 | 무선 시스템에서의 다중 스케줄러들을 이용한 동작 |
| WO2014109968A1 (en) * | 2013-01-09 | 2014-07-17 | Ntt Docomo, Inc. | Secure radio access with inter-enb carrier aggregation |
| KR101672663B1 (ko) * | 2013-01-11 | 2016-11-03 | 엘지전자 주식회사 | 무선 통신 시스템에서 보안 정보를 적용하기 위한 방법 및 장치 |
| US9313802B2 (en) * | 2013-01-17 | 2016-04-12 | Intel IP Corporation | Communication of security key information |
| GB2509937A (en) * | 2013-01-17 | 2014-07-23 | Nec Corp | Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations |
| DK2951975T3 (en) * | 2013-01-30 | 2016-10-24 | ERICSSON TELEFON AB L M (publ) | GENERATION OF SECURITY KEY TO BICONNECTIVITY |
| US9357438B2 (en) * | 2013-02-22 | 2016-05-31 | Htc Corporation | Method for simultaneous communications with multiple base stations and related communication device |
| WO2014163309A1 (en) * | 2013-04-02 | 2014-10-09 | Lg Electronics Inc. | Method for performing a cell change procedure in a wireless communication system and a device therefor |
| EP2995019B1 (en) * | 2013-05-09 | 2019-01-30 | Intel IP Corporation | Small data communications |
| US9479230B2 (en) * | 2013-05-31 | 2016-10-25 | Blackberry Limited | Systems and methods for data offload in wireless networks |
| US9497673B2 (en) * | 2013-11-01 | 2016-11-15 | Blackberry Limited | Method and apparatus to enable multiple wireless connections |
-
2014
- 2014-09-11 CN CN201910117634.8A patent/CN110086764B/zh active Active
- 2014-09-11 EP EP19178632.6A patent/EP3554047B1/en active Active
- 2014-09-11 CN CN201910118026.9A patent/CN110035054B/zh active Active
- 2014-09-11 ES ES14843551T patent/ES2743214T3/es active Active
- 2014-09-11 EP EP20205457.3A patent/EP3793167B1/en active Active
- 2014-09-11 US US14/781,450 patent/US9967740B2/en active Active
- 2014-09-11 EP EP21194065.5A patent/EP3968679A1/en active Pending
- 2014-09-11 EP EP14843551.4A patent/EP2965554B1/en active Active
- 2014-09-11 KR KR1020167006438A patent/KR102196213B1/ko active IP Right Grant
- 2014-09-11 CN CN201910117623.XA patent/CN109922051B/zh active Active
- 2014-09-11 CN CN201480049965.8A patent/CN105557007B/zh active Active
- 2014-09-11 ES ES20205457T patent/ES2890499T3/es active Active
- 2014-09-11 WO PCT/KR2014/008492 patent/WO2015037926A1/en active Application Filing
-
2015
- 2015-10-01 US US14/872,784 patent/US9961542B2/en active Active
- 2015-10-01 US US14/872,772 patent/US10009762B2/en active Active
-
2018
- 2018-05-14 US US15/978,812 patent/US10524120B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102823186A (zh) * | 2009-09-25 | 2012-12-12 | 捷讯研究有限公司 | 用于多载波网络操作的***和方法 |
| CN102238541A (zh) * | 2010-04-29 | 2011-11-09 | 电信科学技术研究院 | 密钥更新方法和基站 |
| CN102948214A (zh) * | 2010-05-11 | 2013-02-27 | 三星电子株式会社 | 利用载波聚合的切换 |
| CN103004278A (zh) * | 2010-06-15 | 2013-03-27 | 瑞典爱立信有限公司 | 用于rat间载波聚合的信令机制 |
| WO2012138155A2 (en) * | 2011-04-05 | 2012-10-11 | Samsung Electronics Co., Ltd. | Battery consumption control method of user equipment in mobile communication system |
| CN103188663A (zh) * | 2011-12-27 | 2013-07-03 | 华为技术有限公司 | 基站间载波聚合的安全通讯方法及设备 |
Non-Patent Citations (2)
| Title |
|---|
| Security aspects for independent PDCP;NEC Corporation;《3GPP TSG RAN2 Meeting#83, R2-132675》;20130809;全文 * |
| User Plane Architecture for Dual-Connectivity;InterDigital Communications;《3GPP TSG-RAN WG2 #82,R2-131939》;20130510;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US10524120B2 (en) | 2019-12-31 |
| US10009762B2 (en) | 2018-06-26 |
| EP2965554B1 (en) | 2019-07-24 |
| EP3554047A1 (en) | 2019-10-16 |
| WO2015037926A1 (en) | 2015-03-19 |
| US20160205547A1 (en) | 2016-07-14 |
| US9967740B2 (en) | 2018-05-08 |
| EP3793167A1 (en) | 2021-03-17 |
| EP2965554A1 (en) | 2016-01-13 |
| US20160029213A1 (en) | 2016-01-28 |
| ES2890499T3 (es) | 2022-01-20 |
| ES2743214T3 (es) | 2020-02-18 |
| CN105557007A (zh) | 2016-05-04 |
| KR102196213B1 (ko) | 2020-12-31 |
| EP3793167B1 (en) | 2021-09-01 |
| US9961542B2 (en) | 2018-05-01 |
| CN110035054A (zh) | 2019-07-19 |
| EP3968679A1 (en) | 2022-03-16 |
| CN105557007B (zh) | 2019-03-12 |
| US20180270654A1 (en) | 2018-09-20 |
| CN109922051B (zh) | 2022-08-09 |
| EP3554047B1 (en) | 2020-11-04 |
| US20160044506A1 (en) | 2016-02-11 |
| CN110035054B (zh) | 2021-07-30 |
| EP2965554A4 (en) | 2016-06-01 |
| KR20160054483A (ko) | 2016-05-16 |
| CN109922051A (zh) | 2019-06-21 |
| CN110086764A (zh) | 2019-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110086764B (zh) | 用于使能用于enb间的传输的安全通信的方法和*** | |
| US10567957B1 (en) | Dual connectivity mode of operation of a user equipment in a wireless communication network | |
| US11457387B2 (en) | Communication system | |
| US20190174311A1 (en) | Apparatus, method, system, program, and recording medium relating to beam and security enhancement | |
| KR102142875B1 (ko) | Scell 및 ue 사이의 암호화 정보 동기 방법 | |
| KR102092739B1 (ko) | 이동 통신 시스템에서 스몰 셀 기지국과 단말 사이의 보안을 효과적으로 설정하는 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |