[go: up one dir, main page]

CN101378591B - 终端移动时安全能力协商的方法、系统及装置 - Google Patents

终端移动时安全能力协商的方法、系统及装置 Download PDF

Info

Publication number
CN101378591B
CN101378591B CN2007101517000A CN200710151700A CN101378591B CN 101378591 B CN101378591 B CN 101378591B CN 2007101517000 A CN2007101517000 A CN 2007101517000A CN 200710151700 A CN200710151700 A CN 200710151700A CN 101378591 B CN101378591 B CN 101378591B
Authority
CN
China
Prior art keywords
key
nas
mme
security algorithm
authentication vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2007101517000A
Other languages
English (en)
Other versions
CN101378591A (zh
Inventor
何承东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=40421872&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CN101378591(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Priority to CN2007101517000A priority Critical patent/CN101378591B/zh
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to EP08784154.0A priority patent/EP2139175B3/en
Priority to RU2009146555A priority patent/RU2435319C2/ru
Priority to PL08784154T priority patent/PL2139175T6/pl
Priority to PCT/CN2008/072165 priority patent/WO2009030155A1/zh
Priority to EP20120188170 priority patent/EP2549701B1/en
Priority to JP2010513633A priority patent/JP4976548B2/ja
Priority to ES08784154.0T priority patent/ES2401039T7/es
Publication of CN101378591A publication Critical patent/CN101378591A/zh
Priority to US12/633,948 priority patent/US8656169B2/en
Publication of CN101378591B publication Critical patent/CN101378591B/zh
Application granted granted Critical
Priority to US14/147,179 priority patent/US8812848B2/en
Priority to US14/303,146 priority patent/US9241261B2/en
Priority to US14/873,504 priority patent/US9538373B2/en
Priority to US14/957,338 priority patent/US9497625B2/en
Priority to US15/372,093 priority patent/US10015669B2/en
Priority to US16/023,324 priority patent/US10595198B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种终端移动时安全能力协商的方法,当用户设备(UE)从2G/3G网络移动到长期演进(LTE)网络时,包括:移动管理实体(MME)获取UE支持的非接入信令(NAS)安全算法,及鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥;选择NAS安全算法;根据鉴权矢量相关密钥或所述根密钥推导出NAS保护密钥;向UE发送携带所选择的NAS安全算法的消息;UE根据自身的鉴权矢量相关密钥,推导出NAS保护密钥。本发明还公开了一种终端移动时安全能力协商的系统、UE及MME。本发明中UE从2G/3G网络移动到LTE网络时,实现了UE和MME之间的安全能力协商。

Description

终端移动时安全能力协商的方法、系统及装置
技术领域
本发明涉及无线通信技术,具体涉及一种终端移动时安全能力协商的方法、系统及装置。
背景技术
无线网络包括无线接入网和核心网两部分。未来演进的无线网络核心网包括移动管理实体(MME,Mobile Management Entity),其功能与2G/3G网络的服务通用分组无线业务(GPRS,General Packet Radio Service)支持节点(SGSN,Service GPRS Support Node)类似,主要完成移动性管理、用户鉴权等。当用户设备(UE,User Equipment)在2G/3G或未来演进的无线网络中处于空闲态时,需要分别与SGSN或MME之间进行非接入信令(NAS,Non-Access Signaling)安全能力的协商,包括NAS信令加密算法、对应的NAS完整性保护密钥Knas-int、NAS完整性保护算法及对应的NAS机密性保护密钥Knas-enc,供UE与系统传输信令时使用,以保证UE信令的正常接收及通信系统的安全。
当通过2G的全球移动通信边缘无线接入网(GERAN,GSM Edge RadioAccess Network)或3G的通用陆地无线接入网(UTRAN,UMTS TerrestrialRadio Access Network)接入网络的UE在空闲态移动时,可能会移动到未来演进无线接入网(LTE,Long Term Evolution)的跟踪区域中,从而可能重新通过LTE接入网络,此时会发生跟踪区域更新(TAU,Tracking AreaUpdate)过程,即发生了异种网络之间的TAU过程。由于此过程中,为该UE执行安全能力协商的实体了发生了变化,例如由SGSN变为MME,而且这些实体的安全能力不一定是一致的,因此需要重新执行安全能力协商过程,以保证后续过程中UE和网络交互时的安全。注意这里的安全能力协商对LTE网络来说包括:NAS机密性保护算法和NAS完整性保护算法、无线资源控制(RRC,Radio Resource Control)机密性保护算法和RRC完整性保护算法、用户面(UP,User Plane)机密性保护算法。
对于空闲态的UE发起的TAU过程而言,需要解决NAS机密性保护算法、NAS完整性保护算法协商,以及相应的NAS保护密钥的协商。
现有技术不存在这样的异种网络之间TAU过程中安全能力协商的方法,因此在UE从2G/3G网络移动到LTE网络时,无法进行安全能力协商,从而无法保证后续UE与网络交互时的安全。
发明内容
本发明实施例提供一种终端移动时安全能力协商的方法,使得处于空闲态的UE从2G/3G网络移动到LTE网络时,能够进行安全能力协商。
本发明实施例还提供一种终端移动时安全能力协商的系统,使得处于空闲态的UE从2G/3G网络移动到LTE网络时,能够进行安全能力协商。
本发明实施例还提供一种MME装置,使得处于空闲态的UE从2G/3G网络移动到LTE网络时,能够进行安全能力协商。
本发明实施例还提供一种UE装置,使得处于空闲态的UE从2G/3G网络移动到LTE网络时,能够进行安全能力协商。
为达到上述目的,本发明实施例的技术方案是这样实现的:
一种终端移动时安全能力协商的方法,包括:
移动管理实体MME接收用户设备UE发送的跟踪区域更新请求消息,获取UE支持的非接入信令NAS安全算法,及鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥;
MME根据所述UE支持的NAS安全算法,选择NAS安全算法;根据所述鉴权矢量相关密钥或所述根密钥,及所选择的NAS安全算法,推导得到NAS保护密钥;向所述UE发送携带所选择的NAS安全算法的消息;
UE根据自身的鉴权矢量相关密钥及接收到的所选择的NAS安全算法,推导得到NAS保护密钥。
一种终端移动时安全能力协商的系统,包括用户设备UE和移动管理实体MME,所述UE,用于向MME发送跟踪区域更新请求消息;接收MME发送的携带所选择非接入信令NAS安全算法的消息;根据鉴权矢量相关密钥及接收到的所选择的NAS安全算法,推导得到NAS保护密钥;
所述MME,用于接收UE发送的跟踪区域更新请求消息;获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,以及UE支持的NAS安全算法,根据所述UE支持的NAS安全算法,选择NAS安全算法,生成并向UE发送携带所选择的NAS安全算法的消息;根据获取的鉴权矢量相关密钥或所述根密钥,及所选择的NAS安全算法,推导得到NAS保护密钥。
一种移动管理实体MME,包括获取模块、选择模块和密钥推导模块,
所述获取模块,用于接收用户设备UE发送的跟踪区域更新请求消息,获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,以及UE支持的非接入信令NAS安全算法;
所述选择模块,用于根据所述获取模块获取的UE支持的NAS安全算法,选择NAS安全算法,生成携带所述选择的NAS安全算法的消息,发送到UE;
所述密钥推导模块,用于根据所述获取模块获取的鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,及所述选择模块选择的NAS安全算法,推导得到NAS保护密钥。
一种用户设备UE,包括更新模块、密钥推导模块、存储模块和检查模块,
所述更新模块,用于向移动管理实体MME发送跟踪区域更新请求消息,其中携带存储模块保存的UE支持的安全能力;接收MME发送的携带所选择非接入信令NAS安全算法的消息;
所述密钥推导模块,用于根据鉴权矢量相关密钥,及所述更新模块接收到的NAS安全算法,推导NAS保护密钥;
所述存储模块,用于保存UE支持的安全能力;
所述检查模块,用于根据从MME接收到的UE支持的安全能力,检查与存储模块保存的自身支持的安全能力不一致时,判断存在降质攻击。
本发明实施例所提供的技术方案,MME接收UE发送的跟踪区域更新请求消息,获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,及UE支持的NAS安全算法;然后根据UE支持的NAS安全算法,选择NAS安全算法;并生成携带所选择的NAS安全算法的消息,发送到UE,从而实现UE与MME共享NAS安全算法的目的。并且,MME根据鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥推导得到NAS保护密钥,UE根据鉴权矢量相关密钥推导得到NAS保护密钥,实现共享NAS保护密钥的目的。最终使得UE从2G/3G网络移动到LTE网络时,可以与MME协商NAS安全算法及NAS保护密钥,从而实现异种网络之间TAU过程中的安全能力协商过程,保证后续UE与网络交互时的安全。
同时,本发明实施例也可以应用于UE在LTE网络内部移动时的安全能力协商过程。
附图说明
图1为本发明实施例一终端移动时安全能力协商的方法流程图;
图2为本发明实施例二终端移动时安全能力协商的方法流程图;
图3为本发明实施例三终端移动时安全能力协商的方法流程图;
图4为本发明实施例中终端移动时安全能力协商的系统结构图。。
具体实施方式
本发明实施例提供的终端移动时安全能力协商的方法,当UE从2G/3G网络移动到LTE网络时,MME接收UE发送的跟踪区域更新请求消息,获取UE支持的NAS安全算法,及鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥;然后根据UE支持的NAS安全算法,选择NAS安全算法;MME根据所述鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,推导得到NAS保护密钥;向UE发送携带所选择的NAS安全算法的消息;UE根据鉴权矢量相关密钥,推导得到NAS保护密钥。
下面结合附图及具体实施例对本发明进行详细说明。
假设UE在空闲态时已经通过UTRAN/GERAN接入网络,当移动到LTE的跟踪区域时,UE发起TAU过程。
图1为本发明实施例一终端移动时安全能力协商的方法流程图。如图1所示,该方法包括以下步骤:
步骤100:UE向MME发送TAU请求。
本步骤中,UE通过未来演进的无线接入网的演进基站(eNB,evolutionNode B)向新MME发送跟踪区域更新请求。为了描述方便,以下描述都将UE与MME之间通过eNB进行通信简化为UE与MME之间进行通信。
本步骤UE向MME发送的TAU请求中,除携带本领域技术人员均知的一些参数,例如临时移动用户识别号码(TMSI,Temporary MobileSubscriber Identity)之外,还可以携带UE支持的安全能力,包括NAS安全算法(NAS完整性保护算法和/或NAS机密性保护算法),还可以包括RRC安全算法(RRC完整性保护算法和/或RRC机密性保护算法)/UP安全算法(UP机密性保护算法)。
步骤101~步骤102:MME获取UE支持的NAS安全算法,并向SGSN发送移动性管理上下文请求(context request)消息;SGSN收到后,向MME发送携带鉴权矢量相关密钥的移动性管理上下文响应(context response)消息。
如果步骤100中UE在向MME发送的TAU请求中没有携带UE支持的NAS安全算法,则SGSN在接收到移动性管理上下文请求消息后,查询UE支持的NAS安全算法,并在发送给MME的移动性管理上下文响应消息中携带该查询到的UE支持的NAS安全算法。其中,NAS安全算法为NAS完整性保护算法和/或NAS机密性保护算法。
当UE从2G网络移动到LTE网络的跟踪区域时,本流程中SGSN为2G网络的SGSN,其中的鉴权矢量相关密钥至少包括加密密钥Kc,或者Kc经单向变换后得到的值Kc’;当UE从3G网络移动到LTE网络的跟踪区域时,本流程中SGSN为3G网络的SGSN,其中的鉴权矢量相关密钥至少包括完整性密钥IK和加密密钥CK,或IK和CK经单向变换后得到的值IK’和CK’。
单向变换是指通过某种算法将原参数变换后得到目的参数,但是无法从目的参数返推得到原参数的变换过程。以Kc为例,如果通过算法f(Kc)可以得到Kc’,但是无法从Kc’通过任何逆算法反向推导出Kc,这种变换就是单向变换。
步骤103:MME根据UE支持的NAS安全算法、自身支持的NAS安全算法及系统允许的NAS安全算法,选择新的NAS安全算法;根据鉴权矢量相关密钥推导出根密钥Kasme;然后根据Kasme推导出NAS保护密钥,包括NAS完整性保护密钥Knas-int和/或NAS机密性保护密钥Knas-enc。
步骤104:MME生成携带所选择的NAS安全算法的跟踪区域更新接受(TAU accept)消息。
本步骤中MME还可以对该TAU accept消息进行NAS完整性保护,例如,利用步骤103中推导得到的NAS完整性保护密钥Knas-int、TAU accept中的信息及所选择NAS安全算法中的NAS完整性保护算法,推导得到NAS完整性保护的消息认证码(NAS-MAC)值,然后将该值附在TAU accept消息中,发送至UE。
本步骤的TAU accept消息中还可以携带UE支持的安全能力。
步骤105:UE接收携带MME选择的NAS安全算法的TAU accept消息,获得协商好的NAS安全算法;然后根据自身当前的鉴权矢量相关密钥(例如,源网络是3G时的IK和CK或根据IK和CK推导出的IK’和CK’,或者源网络是2G时的Kc或根据Kc推导出的Kc’)推导得到根密钥Kasme,再从根密钥推导得到NAS保护密钥,包括NAS完整性保护密钥Knas-int和/或NAS机密性保护密钥Knas-enc。
本步骤还可以包括UE检查TAU accept消息的完整性保护是否正确,如果发现不正确,则确定本次安全能力协商失败,可能重新发起安全能力协商过程。例如,UE根据推导得到的NAS机密性保护密钥Knas-enc、TAUaccept中的信息及TAU accept消息中携带的NAS完整性保护算法推导得到NAS-MAC,然后UE比较推导得到的NAS-MAC与TAU accept消息中携带的NAS-MAC是否相同,是则表明该消息在传输过程没有被更改,否则认为该消息在传输过程中被更改,从而确定本次安全能力协商失败。
如果步骤104在TAU accept消息中还携带UE支持的安全能力,则本步骤还可以进一步包括UE根据TAU accept消息中携带的UE支持的安全能力与自身支持的安全能力相比较,如果一致,则确定不存在降质攻击,如果不一致则确定存在降质攻击,确定本次安全能力协商失败,可能重新发起安全能力协商过程,从而可以达到防止降质攻击的目的。
其中,降质攻击是指:假设UE同时支持两种安全性算法:高强度算法A1和低强度算法A2,MME也同时支持这两种算法。这样,UE和MME之间协商的应该是高强度算法A1,但是如果UE在发送自身支持的安全能力到MME的路径中,攻击者修改了UE的安全能力,例如只保留低强度算法A2,或者在MME选择NAS安全算法时,UE支持的安全能力被攻击者修改过,只保留低强度算法A2,那么MME将只能选择低强度算法A2,并发给UE。即UE和MME之间协商得到的是低强度算法A2,而不是高强度算法A1,从而使得攻击者更容易攻破,即达到所谓的降质攻击。而本发明实施例通过MME将UE支持的安全能力发送到UE,供UE检查是否与自身支持的安全能力一致,从而达到检测进而防止降质攻击的目的。
步骤103中MME根据鉴权矢量相关密钥最终推导得到NAS保护密钥的过程与步骤104及步骤105的执行不限定时间顺序,该过程可以步骤104之前执行,也可以在步骤104与步骤105之间执行,也可以在步骤105之后执行。
以上所述的流程中,MME和UE也可以根据鉴权矢量相关密钥直接推导得到NAS保护密钥,而不必首先推导根密钥,再根据根密钥推导NAS保护密钥。
本领域技术人员应该清楚:以上所述的流程中,UE根据鉴权矢量相关密钥推导得到NAS保护密钥的推导方法须与网络侧根据鉴权矢量相关密钥推导得到NAS保护密钥的推导方法相同。该推导方法可以采用任意一种单向变换,例如,Kasme=f(IK,CK,其他参数),Knas-enc=f(Kasme,NAS机密性保护算法,其他参数),Knas-int=f(Kasme,NAS完整性保护算法,其他参数)。
另外,为突出说明本发明,上述流程中步骤102和104之间忽略了与安全无关的流程。
通过以上所述的流程UE可以与MME共享NAS安全算法及NAS保护密钥,从而实现NAS安全能力的协商。
图2为本发明实施例二终端移动时安全能力协商的方法流程图。如图2所示,该方法包括以下步骤:
步骤200与步骤100相同,在此不再赘述。
步骤201~步骤203:MME获取UE支持的NAS安全算法,并向SGSN发送context request消息;SGSN收到后,根据自身的鉴权矢量相关密钥推导得到根密钥,然后向MME发送携带根密钥的context response消息。
在本发明其它实施例中,如果步骤200中UE在向MME发送的TAU请求中没有携带UE支持的NAS安全算法,则SGSN在接收到移动性管理上下文请求消息后,查询UE支持的NAS安全算法,并在发送给MME的移动性管理上下文响应消息中携带该查询到的UE支持的NAS安全算法。其中,NAS安全算法为NAS完整性保护算法和/或NAS机密性保护算法。
当UE从2G网络移动到LTE网络的跟踪区域时,本流程中SGSN为2G网络的SGSN,根密钥是由SGSN根据Kc或者Kc经单向变换后得到的Kc’,推导出的根密钥Kasme;当UE从3G网络移动到LTE网络的跟踪区域时,本流程中SGSN为3G网络的SGSN,根密钥是由SGSN根据IK和CK,或者IK和CK经单向变换后得到的IK’和CK’,推导出的Kasme。
步骤204:MME根据UE支持的NAS安全算法、自身支持的NAS安全算法及系统允许的NAS安全算法,选择新的NAS安全算法;根据根密钥推导出NAS保护密钥,包括NAS完整性保护密钥Knas-int和/或NAS机密性保护密钥Knas-enc。
步骤205:MME生成携带所选择的NAS安全算法的TAU accept消息。
本步骤中MME还可以对该TAU accept消息进行NAS完整性保护。本步骤的TAU accept消息中还可以携带UE支持的安全能力。
步骤206:UE接收携带MME选择的NAS安全算法的TAU accept消息,获得协商好的NAS安全算法;然后根据自身当前的鉴权矢量相关密钥(例如,源网络是3G时的IK和CK或根据IK和CK推导出的IK’和CK’,或者源网络是2G时的Kc或根据Kc推导出的Kc’)推导得到根密钥Kasme,再从根密钥推导得到NAS保护密钥,包括NAS完整性保护密钥Knas-int和/或NAS机密性保护密钥Knas-enc。
本步骤还可以包括UE检查TAU accept消息的完整性保护是否正确,如果发现不正确,则确定本次安全能力协商失败,可能重新发起安全能力协商过程。
在本发明其它实施例中,如果步骤205在TAU accept消息中还携带UE支持的安全能力,则本步骤还可以进一步包括UE根据TAU accept消息中携带的UE支持的安全能力与自身支持的安全能力相比较,如果一致,则确定不存在降质攻击,如果不一致则确定存在降质攻击,确定本次安全能力协商失败,可能重新发起安全能力协商过程,从而可以达到防止降质攻击的目的。
在本发明其它实施例中,步骤204中MME根据根密钥推导得到NAS保护密钥的过程与步骤205及步骤206的执行不限定时间顺序,该过程可以步骤205之前执行,也可以在步骤205与步骤206之间执行,也可以在步骤206之后执行。
本领域技术人员应该清楚:以上所述的流程中,UE根据鉴权矢量相关密钥推导得到NAS保护密钥的推导方法须与网络侧根据鉴权矢量相关密钥推导得到NAS保护密钥的推导方法相同。
通过以上所述的流程UE可以与MME共享NAS安全算法及NAS保护密钥,从而实现NAS安全能力的协商。
图3为本发明实施例三终端移动时安全能力协商的方法流程图。如图3所示,该方法包括以下步骤:
步骤300与步骤100相同,在此不再详述。
步骤301~步骤302:MME通过移动性管理上下文请求和响应消息从SGSN获取UE支持的NAS安全算法。
在本发明其它实施例中,如果步骤300中UE在向MME发送的TAU请求中没有携带UE支持的NAS安全算法,则SGSN在接收到移动性管理上下文请求消息后,查询UE支持的NAS安全算法,并在发送给MME的移动性管理上下文响应消息中携带该查询到的UE支持的NAS安全算法。其中,NAS安全算法为NAS完整性保护算法和/或NAS机密性保护算法。
步骤303:MME通过认证与密钥协商(AKA,Authentication and KeyAgreement)过程,从HSS获取根据鉴权矢量相关密钥推导出的根密钥Kasme。
步骤304:MME根据UE支持的NAS安全算法、自身支持的NAS安全算法及系统允许的NAS安全算法,选择新的NAS安全算法;根据Kasme推导出其他NAS保护密钥,包括NAS完整性保护密钥Knas-int和NAS机密性保护密钥Knas-enc。
步骤305:MME生成携带所选择的NAS安全算法的NAS安全模式命令(SMC,Security Mode Command)请求消息,发送到UE。该SMC请求消息可能包含在TAU accept消息中。
本步骤中MME还可以对该SMC请求消息进行NAS完整性保护,例如,利用步骤304中推导得到的NAS完整性保护密钥Knas-int、SMC请求消息中的信息及所选择NAS安全算法中的NAS完整性保护算法,推导得到NAS完整性保护的消息认证码(NAS-MAC)值,然后将该值附在SMC请求消息中,发送至UE。
本步骤的SMC请求消息中还可以携带UE支持的安全能力。
步骤306:UE接收携带MME选择的NAS安全算法的SMC请求消息,获得其自身支持的由MME选择的NAS安全算法;然后根据自身AKA过程中获取的当前的鉴权矢量相关密钥推导得到根密钥,再从根密钥推导得到NAS保护密钥,包括NAS完整性保护密钥Knas-int和NAS机密性保护密钥Knas-enc。
在本实施例中,本步骤还可以包括UE检查TAU accept消息的完整性保护是否正确,如果发现不正确,则确定本次安全能力协商失败,可能重新发起安全能力协商过程。例如,UE根据推导得到的NAS机密性保护密钥Knas-enc、TAU accept中的信息及TAU accept消息中携带的NAS完整性保护算法推导得到NAS-MAC,然后UE比较推导得到的NAS-MAC与TAUaccept消息中携带的NAS-MAC是否相同,是则表明该消息在传输过程没有被更改,否则认为该消息在传输过程中被更改,从而确定本次安全能力协商失败。
在本发明其它实施例中,如果步骤305在SMC请求消息中还携带UE支持的安全能力,则本步骤还可以进一步包括UE根据SMC请求消息中携带的UE支持的安全能力与自身支持的安全能力相比较,如果相同,则确定不存在降质攻击,如果不相同则确定存在降质攻击,确定本次安全能力协商失败,可能重新发起安全能力协商过程,从而可以达到防止降质攻击的目的。
步骤307:UE向MME发送SMC完成响应消息。该SMC完成响应消息可能包含在TAU完成(complete)消息中。
步骤308:MME回复TAU accept消息。
在本发明其它实施例中,当在步骤305中将SMC请求消息包含在TAUaccept中发送给UE时,本步骤和步骤305合并。
步骤309:UE回复TAU complete消息。
在本发明其它实施例中,当在步骤307中将SMC完成响应消息包含在TAU complete消息中时,本步骤和步骤307合并。
通过上述流程实现NAS安全能力的协商。
图4为本发明实施例中终端移动时安全能力协商的系统结构图。如图4所示,该系统包括UE和MME。
其中,UE用于向MME发送跟踪区域更新请求消息;接收MME发送的携带所选择NAS安全算法的消息;根据鉴权矢量相关密钥及接收到的所选择的NAS安全算法,推导得到NAS保护密钥。
MME用于接收UE发送的跟踪区域更新请求消息;获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,以及UE支持的NAS安全算法,根据UE支持的NAS安全算法,选择NAS安全算法,生成并向UE发送携带所选择的NAS安全算法的消息;根据获取的鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,及所选择的NAS安全算法,推导得到NAS保护密钥。
该系统中MME进一步获取UE支持的安全能力,在向UE发送的携带所选择的NAS安全算法的消息中进一步携带UE支持的安全能力;UE进一步根据MME发送的UE支持的安全能力,检查与自身支持的安全能力是否一致,判断是否存在降质攻击。
具体来说,该MME包括获取模块、选择模块和密钥推导模块。
其中,获取模块,用于接收UE发送的跟踪区域更新请求消息,获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,以及UE支持的NAS安全算法。选择模块,用于根据获取模块获取的UE支持的NAS安全算法,选择NAS安全算法,生成携带所选择的NAS安全算法的消息,发送到UE。密钥推导模块,用于根据获取模块获取的鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,及所选择的NAS安全算法,推导得到NAS保护密钥。
获取模块进一步获取UE支持的安全能力,选择模块在携带所选择的NAS安全算法的消息中进一步携带获取模块获取的UE支持的安全能力。
该UE包括更新模块、密钥推导模块、存储模块和检查模块。
其中,更新模块,用于向移动管理实体MME发送跟踪区域更新请求消息;其中携带存储模块保存的UE支持的安全能力;接收MME发送的携带所选择NAS安全算法的消息;密钥推导模块,用于根据鉴权矢量相关密钥,及更新模块接收到的所选择的NAS安全算法,推导NAS保护密钥;存储模块用于保存UE支持的安全能力;检查模块,用于检查从MME接收到的UE支持的安全能力与存储模块保存的自身支持的安全能力不一致时,确定存在降质攻击。
由以上所述可以看出,本发明实施例所提供的技术方案,MME接收UE发送的跟踪区域更新请求消息,获取UE支持的NAS安全算法,以及鉴权矢量相关密钥或者根据鉴权矢量相关密钥推导出的根密钥;然后根据UE支持的NAS安全算法,选择NAS安全算法;并生成携带所选择的NAS安全算法的消息,发送到UE,从而实现UE与MME共享NAS安全算法的目的。然后,UE和MME根据鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥推导得到NAS保护密钥,实现NAS保护密钥共享的目的。最终使得UE从2G/3G网络移动到LTE网络时,可以与MME协商NAS安全算法及NAS保护密钥,从而实现异种网络之间TAU过程中的安全能力协商过程,保证后续UE与网络交互时的安全。
本发明还可以进一步防止降质攻击:MME通过TAU accept消息的同时也返回UE支持的安全能力,供UE检查是否与当前自身支持的安全能力一致,一致时本次安全能力协商成功,协商得到的NAS安全算法和NAS保护密钥可以使用;如果不一致则确定发生了降质攻击,本次安全能力协商失败,可能需要重新进行安全能力协商。通过上述方案可以检测MME在获取到UE支持的安全能力之前,UE支持的安全能力是否已经受到了攻击,从而防止降质攻击,保证后续UE与网络交互时的安全。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (15)

1.一种终端移动时安全能力协商的方法,其特征在于,当用户设备UE从2G/3G网络移动到长期演进LTE网络时,该方法包括:
移动管理实体MME接收UE发送的跟踪区域更新请求消息,获取UE支持的非接入信令NAS安全算法,及鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥;
MME根据所述UE支持的NAS安全算法,选择NAS安全算法;根据所述鉴权矢量相关密钥或所述根密钥,及所选择的NAS安全算法,推导得到NAS保护密钥;向所述UE发送携带所选择的NAS安全算法的消息;
UE根据自身的鉴权矢量相关密钥及接收到的所选择的NAS安全算法,推导得到NAS保护密钥。
2.如权利要求1所述的方法,其特征在于,所述MME获取UE支持的NAS安全算法的步骤为:
MME从UE发送的跟踪区域更新请求消息中,获取UE支持的安全能力,其中包括UE支持的NAS安全算法。
3.如权利要求1所述的方法,其特征在于,所述MME获取UE支持的NAS安全算法的步骤为:
MME从来自服务通用分组无线业务支持节点SGSN的移动管理上下文响应消息中获取UE支持的安全能力,其中包括UE支持的NAS安全算法。
4.如权利要求1所述的方法,其特征在于,所述MME获取鉴权矢量相关密钥的步骤为:MME从来自SGSN的移动管理上下文响应消息中获取鉴权矢量相关密钥;
所述MME获取根据鉴权矢量相关密钥推导出的根密钥的步骤为:
MME从来自SGSN的移动管理上下文响应消息中获取根据鉴权矢量相关密钥推导出的根密钥。
5.如权利要求4所述的方法,其特征在于,当所述SGSN为2G网络的SGSN时,所述鉴权矢量相关密钥至少包括加密密钥Kc或Kc经单向变换后得到的值;
或者当所述SGSN为3G网络的SGSN时,所述鉴权矢量相关密钥至少包括完整性密钥IK和加密密钥CK,或者IK和CK分别经单向变换后得到的值。
6.如权利要求4所述的方法,其特征在于,当所述SGSN为2G网络的SGSN时,所述根据鉴权矢量相关密钥推导出的根密钥由SGSN根据Kc或Kc经单向变换后得到的值推导得到,然后发送给MME;
或者当所述SGSN为第三代移动通信网络的SGSN时,所述根据鉴权矢量相关密钥推导出的根密钥由SGSN根据IK和CK,或者IK和CK分别经单向变换后得到的值推导得到,然后发送给MME。
7.如权利要求1所述的方法,其特征在于,所述MME获取根据鉴权矢量相关密钥推导出的根密钥为:MME通过认证与密钥协商AKA过程直接获取根据鉴权矢量相关密钥推导出的根密钥。
8.如权利要求1所述的方法,其特征在于,MME和UE根据所述鉴权矢量相关密钥及所选择的NAS安全算法推导得到NAS保护密钥包括:
MME根据所述鉴权矢量相关密钥推导得到根密钥,然后再根据所述推导的根密钥及所选择的NAS安全算法推导得到NAS保护密钥;
UE根据所述鉴权矢量相关密钥推导得到根密钥,然后再根据所述推导的根密钥及接收到的MME所选择的NAS安全算法推导得到NAS保护密钥。
9.如权利要求1所述的方法,其特征在于,所述MME向所述UE发送携带所选择的NAS安全算法的消息之前,该方法进一步包括:
MME对所述携带所选择的NAS安全算法的消息进行完整性保护;
UE接收到所述携带所选择的NAS安全算法的消息后,根据推导得到的NAS保护密钥,检查所述携带所选择的NAS安全算法的消息的完整性保护。
10.如权利要求2或3所述的方法,其特征在于,所述携带所选择的NAS安全算法的消息中进一步携带所述UE支持的安全能力,
该方法进一步包括:UE根据接收到的所述UE支持的安全能力与自身支持的安全能力是否一致,判断是否存在降质攻击。
11.一种终端移动时安全能力协商的系统,其特征在于,该系统包括用户设备UE和移动管理实体MME,
所述UE,用于向MME发送跟踪区域更新请求消息;接收MME发送的携带所选择非接入信令NAS安全算法的消息;根据鉴权矢量相关密钥及接收到的所选择的NAS安全算法,推导得到NAS保护密钥;
所述MME,用于接收UE发送的跟踪区域更新请求消息;获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,以及UE支持的NAS安全算法;根据所述UE支持的NAS安全算法,选择NAS安全算法,生成并向UE发送携带所选择的NAS安全算法的消息;根据获取的鉴权矢量相关密钥或所述根密钥,及所选择的NAS安全算法,推导得到NAS保护密钥。
12.如权利要求11所述的系统,其特征在于,所述MME进一步获取UE支持的安全能力,在所述向UE发送的携带所选择的NAS安全算法的消息中进一步携带所述UE支持的安全能力;
所述UE进一步根据所述MME发送的UE支持的安全能力与自身支持的安全能力是否一致,判断是否存在降质攻击。
13.一种移动管理实体MME,其特征在于,该MME包括获取模块、选择模块和密钥推导模块,
所述获取模块,用于接收用户设备UE发送的跟踪区域更新请求消息,获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,以及UE支持的非接入信令NAS安全算法;
所述选择模块,用于根据所述获取模块获取的UE支持的NAS安全算法,选择NAS安全算法,生成携带所述选择的NAS安全算法的消息,发送到UE;
所述密钥推导模块,用于根据所述获取模块获取的鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥,及所述选择模块选择的NAS安全算法,推导得到NAS保护密钥。
14.如权利要求13所述的MME,其特征在于,所述获取模块进一步获取UE支持的安全能力,所述选择模块在所述携带所选择的NAS安全算法的消息中进一步携带所述获取模块获取的UE支持的安全能力。
15.一种用户设备UE,其特征在于,该UE包括更新模块、密钥推导模块、存储模块和检查模块,
所述更新模块,用于向移动管理实体MME发送跟踪区域更新请求消息,其中携带存储模块保存的UE支持的安全能力;接收MME发送的携带所选择非接入信令NAS安全算法的消息;
所述密钥推导模块,用于根据鉴权矢量相关密钥,及所述更新模块接收到的NAS安全算法,推导NAS保护密钥;
所述存储模块,用于保存UE支持的安全能力;
所述检查模块,用于根据从MME接收到的UE支持的安全能力,检查与存储模块保存的自身支持的安全能力不一致时,判断存在降质攻击。
CN2007101517000A 2007-08-31 2007-09-26 终端移动时安全能力协商的方法、系统及装置 Active CN101378591B (zh)

Priority Applications (15)

Application Number Priority Date Filing Date Title
CN2007101517000A CN101378591B (zh) 2007-08-31 2007-09-26 终端移动时安全能力协商的方法、系统及装置
EP08784154.0A EP2139175B3 (en) 2007-08-31 2008-08-27 Method, system and apparatus for negotiating the security ability when a terminal is moving
RU2009146555A RU2435319C2 (ru) 2007-08-31 2008-08-27 Способ, система и устройство для согласования возможностей безопасности при перемещении терминала
PL08784154T PL2139175T6 (pl) 2007-08-31 2008-08-27 Sposób, system i urządzenie do negocjacji zdolności bezpieczeństwa podczas przemieszczania się terminala
PCT/CN2008/072165 WO2009030155A1 (en) 2007-08-31 2008-08-27 Method, system and apparatus for negotiating the security ability when a terminal is moving
EP20120188170 EP2549701B1 (en) 2007-08-31 2008-08-27 Method for negotiating security capability when terminal moves
JP2010513633A JP4976548B2 (ja) 2007-08-31 2008-08-27 端末が移動するときにセキュリティ機能を折衝するための方法、システム、および装置
ES08784154.0T ES2401039T7 (es) 2007-08-31 2008-08-27 Método, sistema y dispositivo para negociar la capacidad de la seguridad cuando se desplaza un terminal
US12/633,948 US8656169B2 (en) 2007-08-31 2009-12-09 Method, system and device for negotiating security capability when terminal moves
US14/147,179 US8812848B2 (en) 2007-08-31 2014-01-03 Method, system and device for negotiating security capability when terminal moves
US14/303,146 US9241261B2 (en) 2007-08-31 2014-06-12 Method, system and device for negotiating security capability when terminal moves
US14/873,504 US9538373B2 (en) 2007-08-31 2015-10-02 Method and device for negotiating security capability when terminal moves
US14/957,338 US9497625B2 (en) 2007-08-31 2015-12-02 Method for negotiating security capability when terminal moves
US15/372,093 US10015669B2 (en) 2007-08-31 2016-12-07 Communication method and device
US16/023,324 US10595198B2 (en) 2007-08-31 2018-06-29 Communication method and device

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200710145703.3 2007-08-31
CN200710145703 2007-08-31
CN2007101517000A CN101378591B (zh) 2007-08-31 2007-09-26 终端移动时安全能力协商的方法、系统及装置

Publications (2)

Publication Number Publication Date
CN101378591A CN101378591A (zh) 2009-03-04
CN101378591B true CN101378591B (zh) 2010-10-27

Family

ID=40421872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007101517000A Active CN101378591B (zh) 2007-08-31 2007-09-26 终端移动时安全能力协商的方法、系统及装置

Country Status (8)

Country Link
US (7) US8656169B2 (zh)
EP (2) EP2139175B3 (zh)
JP (1) JP4976548B2 (zh)
CN (1) CN101378591B (zh)
ES (1) ES2401039T7 (zh)
PL (1) PL2139175T6 (zh)
RU (1) RU2435319C2 (zh)
WO (1) WO2009030155A1 (zh)

Families Citing this family (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378591B (zh) 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
WO2009093938A1 (en) * 2008-01-22 2009-07-30 Telefonaktiebolaget Lm Ericsson (Publ) Security policy distribution to communication terminals
JP5156581B2 (ja) * 2008-10-31 2013-03-06 株式会社エヌ・ティ・ティ・ドコモ 移動局
CN102396275B (zh) * 2009-02-17 2015-04-15 瑞典爱立信有限公司 用于控制通信网络的方法、服务器、包括服务器的系统
CN101505479B (zh) * 2009-03-16 2014-04-30 中兴通讯股份有限公司 一种认证过程中安全上下文协商方法和系统
CN101854625B (zh) 2009-04-03 2014-12-03 华为技术有限公司 安全算法选择处理方法与装置、网络实体及通信系统
CN101557589A (zh) * 2009-05-04 2009-10-14 中兴通讯股份有限公司 防止空完整性保护算法用于正常通信的方法和系统
ES2488132T3 (es) * 2009-10-05 2014-08-26 Telefonaktiebolaget L M Ericsson (Publ) Método y disposición en un sistema de telecomunicación
CN101720118B (zh) * 2009-12-15 2013-04-24 华为技术有限公司 接入网络的方法、设备和系统
DE102010011022A1 (de) * 2010-03-11 2012-02-16 Siemens Aktiengesellschaft Verfahren zur sicheren unidirektionalen Übertragung von Signalen
US20110255691A1 (en) 2010-04-15 2011-10-20 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a utran-based serving network to a geran-based serving network
US9084110B2 (en) * 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
PH12012502077A1 (en) 2010-04-16 2013-02-04 Qualcomm Inc Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node
CN101835151B (zh) * 2010-04-16 2016-03-30 中兴通讯股份有限公司 空中接口密钥的更新方法及无线接入系统
CN102244874B (zh) * 2010-05-10 2015-08-12 中兴通讯股份有限公司 一种系统间重选频次统计方法及装置
CN102244862A (zh) * 2010-05-10 2011-11-16 北京三星通信技术研究有限公司 一种获取安全密钥的方法
GB2481395A (en) 2010-06-21 2011-12-28 Nec Casio Mobile Comm Ltd Call set-up management in a mobile radio communications network
CN102625300B (zh) 2011-01-28 2015-07-08 华为技术有限公司 密钥生成方法和设备
US8897751B2 (en) 2011-03-14 2014-11-25 Alcatel Lucent Prevention of eavesdropping type of attack in hybrid communication system
SG10201602551RA (en) * 2011-04-01 2016-04-28 Interdigital Patent Holdings Method And Apparatus For Controlling Connectivity To A Network
EP2530881B1 (en) * 2011-06-27 2014-02-12 Huawei Technologies Co., Ltd. Media access control address protection method and switch
CN103179559B (zh) * 2011-12-22 2016-08-10 华为技术有限公司 一种低成本终端的安全通信方法、装置及系统
CN103297958B (zh) * 2012-02-22 2017-04-12 华为技术有限公司 建立安全上下文的方法、装置及系统
AU2013260295B2 (en) 2012-05-10 2017-05-04 Samsung Electronics Co., Ltd. Method and system for connectionless transmission during uplink and downlink of data packets
KR101444434B1 (ko) 2012-07-10 2014-09-24 주식회사 케이티 트래킹 영역 업데이트 방법, 페이징 방법 및 이를 지원하는 디지털 신호 처리 장치
US9591679B2 (en) 2012-09-17 2017-03-07 Blackberry Limited Initiation of inter-device communication in wireless communication systems
US9826381B2 (en) 2012-09-18 2017-11-21 Blackberry Limited Device handshake/discovery for inter-device communication in wireless communication systems
US9014113B2 (en) 2012-09-21 2015-04-21 Blackberry Limited User equipment architecture for inter-device communication in wireless communication systems
US8982895B2 (en) 2012-09-21 2015-03-17 Blackberry Limited Inter-device communication in wireless communication systems
US10154467B2 (en) 2012-09-26 2018-12-11 Blackberry Limited Transmit power adjustment for inter-device communication in wireless communication systems
US9137836B2 (en) * 2012-10-15 2015-09-15 Blackberry Limited Inter-device communication authorization and data sniffing in wireless communication systems
US8930700B2 (en) * 2012-12-12 2015-01-06 Richard J. Wielopolski Remote device secure data file storage system and method
JP2016500977A (ja) * 2013-01-10 2016-01-14 日本電気株式会社 Ue及びネットワーク両者でのキー導出のためのmtcキー管理
WO2014120078A1 (en) * 2013-01-30 2014-08-07 Telefonaktiebolaget L M Ericsson (Publ) Security activation for dual connectivity
FR3010273B1 (fr) * 2013-09-04 2015-08-14 Thales Sa Procede de traitement de cles d'authentification dans un systeme de telecommunications sans fil et systeme de telecommunication associe
CN104683981B (zh) * 2013-12-02 2019-01-25 华为技术有限公司 一种验证安全能力的方法、设备及系统
US10652733B2 (en) 2013-12-24 2020-05-12 Nec Corporation Apparatus, system and method for SCE
CN104754577B (zh) * 2013-12-31 2019-05-03 华为技术有限公司 一种选择认证算法的方法、装置及系统
EP3146741B1 (en) 2014-05-20 2021-10-06 Nokia Technologies Oy Cellular network authentication control
US9693219B2 (en) 2014-10-24 2017-06-27 Ibasis, Inc. User profile conversion to support roaming
KR102697337B1 (ko) * 2015-08-21 2024-08-23 삼성전자 주식회사 셀룰러 디바이스에서의 유휴 모드의 오프로드 동작 방법 및 장치
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
WO2017060245A1 (en) 2015-10-05 2017-04-13 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
CN117354802A (zh) * 2015-11-02 2024-01-05 瑞典爱立信有限公司 无线通信
US10674416B2 (en) * 2015-11-18 2020-06-02 Alcatel Lucent Handover between E-UTRAN and WLAN
WO2017104980A1 (ko) * 2015-12-14 2017-06-22 엘지전자 주식회사 무선 통신 시스템에서 단말의 잠재적인 오동작을 방지하기 위한 동작 방법 및 이를 위한 장치
CN113271594A (zh) 2016-01-05 2021-08-17 华为技术有限公司 移动通信方法、装置及设备
WO2018006215A1 (zh) * 2016-07-04 2018-01-11 华为技术有限公司 管理终端设备的imsi状态的方法、装置及系统
KR102358918B1 (ko) * 2016-07-04 2022-02-07 삼성전자 주식회사 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
EP3471365A4 (en) * 2016-07-15 2019-06-19 Huawei Technologies Co., Ltd. METHOD AND DEVICE FOR KEY RECORDING
CN109791590A (zh) * 2016-08-22 2019-05-21 诺基亚技术有限公司 安全性过程
WO2018132952A1 (zh) * 2017-01-17 2018-07-26 华为技术有限公司 无线通信的方法和装置
CN108616881A (zh) * 2017-01-24 2018-10-02 中兴通讯股份有限公司 连接重建的认证方法、基站、用户设备、核心网及系统
BR112019015387B1 (pt) 2017-01-30 2020-11-03 Telefonaktiebolaget Lm Ericsson (Publ) manuseio de contexto de segurança em 5g durante modo conectado
US11172359B2 (en) * 2017-08-09 2021-11-09 Lenovo (Singapore) Pte. Ltd. Method and apparatus for attach procedure with security key exchange for restricted services for unauthenticated user equipment
US11297502B2 (en) 2017-09-08 2022-04-05 Futurewei Technologies, Inc. Method and device for negotiating security and integrity algorithms
US10512005B2 (en) 2017-09-29 2019-12-17 Nokia Technologies Oy Security in intersystem mobility
ES2973317T3 (es) 2017-10-30 2024-06-19 Huawei Tech Co Ltd Método y dispositivo para obtener capacidades de seguridad del equipo de usuario
WO2019174015A1 (zh) 2018-03-15 2019-09-19 Oppo广东移动通信有限公司 处理数据的方法、接入网设备和核心网设备
CN112738804B (zh) 2017-11-17 2021-12-21 华为技术有限公司 一种安全保护的方法及装置
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
CN110099382B (zh) * 2018-01-30 2020-12-18 华为技术有限公司 一种消息保护方法及装置
CN111971988B (zh) 2018-02-19 2024-05-07 瑞典爱立信有限公司 支持不同无线通信系统之间的互通和/或移动性
TWI714968B (zh) * 2018-02-22 2021-01-01 新加坡商 聯發科技(新加坡)私人有限公司 追蹤區域更新程序改良之方法及其裝置
CN111385090B (zh) * 2018-12-29 2023-03-10 山东量子科学技术研究院有限公司 基于多密钥组合量子密钥中继的密钥分发方法及其系统
ES2989593T3 (es) * 2019-01-15 2024-11-27 Ericsson Telefon Ab L M Capacidades de acceso por radiocomunicaciones de un dispositivo inalámbrico
US11470473B2 (en) * 2019-01-18 2022-10-11 Qualcomm Incorporated Medium access control security
CN110336771A (zh) * 2019-04-09 2019-10-15 生迪智慧科技有限公司 组网方法、装置及计算机可读存储介质
CN111866974B (zh) * 2019-04-29 2022-12-06 华为技术有限公司 用于移动注册的方法和装置
CN113098688B (zh) * 2020-01-09 2022-05-06 大唐移动通信设备有限公司 一种aka方法及装置
CN113381966B (zh) * 2020-03-09 2023-09-26 维沃移动通信有限公司 信息上报方法、信息接收方法、终端及网络侧设备
US12143870B2 (en) 2021-05-12 2024-11-12 Qualcomm Incorporated Security handling of 5GS to EPC reselection
US11895159B2 (en) * 2021-06-30 2024-02-06 International Business Machines Corporation Security capability determination
CN114222303B (zh) * 2021-12-09 2024-09-20 北京航空航天大学 实现ue定制机密性和完整性保护算法的方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1455556A (zh) * 2003-05-14 2003-11-12 东南大学 无线局域网安全接入控制方法
CN1710985A (zh) * 2005-06-30 2005-12-21 中国科学院计算技术研究所 一种分组网络中语音通信的加密协商方法
WO2007078159A1 (en) * 2006-01-04 2007-07-12 Samsung Electronics Co., Ltd. Method and apparatus for transmitting sip data of idle mode ue in a mobile communication system

Family Cites Families (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6028933A (en) * 1997-04-17 2000-02-22 Lucent Technologies Inc. Encrypting method and apparatus enabling multiple access for multiple services and multiple transmission modes over a broadband communication network
US6671507B1 (en) 2000-06-16 2003-12-30 Siemens Aktiengesellschaft Authentication method for inter-system handover between at least two radio communications systems
US7181012B2 (en) * 2000-09-11 2007-02-20 Telefonaktiebolaget Lm Ericsson (Publ) Secured map messages for telecommunications networks
FI111423B (fi) 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
US6857075B2 (en) * 2000-12-11 2005-02-15 Lucent Technologies Inc. Key conversion system and method
RU2174924C1 (ru) * 2001-03-01 2001-10-20 Архипов Кирилл Леонидович Система безопасности мобильных объектов
US20030028644A1 (en) 2001-08-02 2003-02-06 Patrick Maguire System and method for load sharing within a core network
US20030139180A1 (en) * 2002-01-24 2003-07-24 Mcintosh Chris P. Private cellular network with a public network interface and a wireless local area network extension
US8130953B2 (en) 2002-03-08 2012-03-06 Sony Ericsson Mobile Communications Ab Security protection for data communication
US20030235305A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Key generation in a communication system
US7310307B1 (en) 2002-12-17 2007-12-18 Cisco Technology, Inc. System and method for authenticating an element in a network environment
GB0311921D0 (en) 2003-05-23 2003-06-25 Ericsson Telefon Ab L M Mobile security
US8140054B2 (en) 2003-10-31 2012-03-20 Electronics And Telecommunications Research Institute Method for authenticating subscriber station, method for configuring protocol thereof, and apparatus thereof in wireless portable internet system
CN100415034C (zh) 2004-09-30 2008-08-27 西安西电捷通无线网络通信有限公司 一种使移动节点实现自代理功能的方法
CN100574185C (zh) * 2005-01-07 2009-12-23 华为技术有限公司 在ip多媒体业务子系统网络中保障媒体流安全性的方法
WO2006085207A1 (en) * 2005-02-11 2006-08-17 Nokia Corporation Method and apparatus for providing bootstrapping procedures in a communication network
JP3829862B1 (ja) 2005-04-04 2006-10-04 トヨタ自動車株式会社 3次元モデル変形システム及びプログラム
US8213903B2 (en) * 2005-04-26 2012-07-03 Vodafone Group Plc Telecommunications networks
WO2007004051A1 (en) * 2005-07-06 2007-01-11 Nokia Corporation Secure session keys context
US7843900B2 (en) * 2005-08-10 2010-11-30 Kineto Wireless, Inc. Mechanisms to extend UMA or GAN to inter-work with UMTS core network
EP1764970A1 (en) * 2005-09-19 2007-03-21 Matsushita Electric Industrial Co., Ltd. Multiple interface mobile node with simultaneous home- and foreign network connection
CN1937487A (zh) 2005-09-22 2007-03-28 北京三星通信技术研究有限公司 Lte中鉴权和加密的方法
US8122240B2 (en) * 2005-10-13 2012-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for establishing a security association
US20070117563A1 (en) 2005-10-28 2007-05-24 Interdigital Technology Corporation Call setup procedure in an evolved third generation radio access network
EP1784035A1 (en) * 2005-11-07 2007-05-09 Alcatel Lucent A method for connection re-establishment in a mobile communication system
WO2007063420A2 (en) 2005-12-01 2007-06-07 Nokia Corporation Authentication in communications networks
CN1983921B (zh) * 2005-12-16 2010-05-05 华为技术有限公司 一种端到端媒体流安全的实现方法及系统
US7929703B2 (en) * 2005-12-28 2011-04-19 Alcatel-Lucent Usa Inc. Methods and system for managing security keys within a wireless network
US7483409B2 (en) 2005-12-30 2009-01-27 Motorola, Inc. Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US7911943B2 (en) 2006-01-13 2011-03-22 Nokia Corporation Optimization of PDP context usage
DE102006006485A1 (de) 2006-02-10 2007-08-23 T-Mobile International Ag & Co. Kg Verfahren zur Durchführung eines Pagings in einem zellularen Mobilkommunikationssystem
EP1989906B1 (en) * 2006-02-28 2017-03-22 Nokia Technologies Oy Handover in communication networks
WO2007108660A1 (en) * 2006-03-22 2007-09-27 Lg Electronics Inc. Asymmetric cryptography for wireless systems
EP1997294A4 (en) * 2006-03-22 2014-08-27 Lg Electronics Inc SECURITY CONSIDERATIONS FOR UMTS LTE
WO2007110748A2 (en) * 2006-03-27 2007-10-04 Nokia Corporation Apparatus, method and computer program product providing unified reactive and proactive handovers
CN101411115B (zh) 2006-03-31 2012-06-06 三星电子株式会社 用于在接入系统间切换期间优化验证过程的系统和方法
KR20070099849A (ko) * 2006-04-05 2007-10-10 삼성전자주식회사 이동통신 시스템의 공통 라우팅 영역에 위치한 아이들사용자 단말기에게 회선교환 호를 전달하기 위한 방법 및장치
TW200746760A (en) 2006-04-19 2007-12-16 Interdigital Tech Corp Method and apparatus for supporting routing area update procedures in a long term evolution general packet radio service tunneling protocol-based system
GB0608612D0 (en) * 2006-05-02 2006-06-14 Vodafone Plc Telecommunications networks
US8682357B2 (en) 2006-05-02 2014-03-25 Intellectual Ventures Holding 81 Llc Paging in a wireless network
US20070271458A1 (en) * 2006-05-22 2007-11-22 Peter Bosch Authenticating a tamper-resistant module in a base station router
JP5221526B2 (ja) * 2006-06-16 2013-06-26 ノキア コーポレイション システム間ハンドオーバの場合に端末のpdpコンテキストを転送する装置及び方法
CN101473678B (zh) * 2006-06-16 2012-08-22 诺基亚公司 利用简单的隧道切换来改变lte特定锚点
MX2008016258A (es) * 2006-06-19 2009-02-03 Interdigital Tech Corp Metodo y aparato para proteccion de seguridad de la identidad de un usuario original en un mensaje de señalizacion inicial.
US20080045262A1 (en) 2006-08-16 2008-02-21 Vanvinh Phan Method and Apparatus for Providing Service-Based Cell Reselection
US8295243B2 (en) 2006-08-21 2012-10-23 Qualcomm Incorporated Method and apparatus for random access in an orthogonal multiple-access communication system
CN1953374A (zh) 2006-09-21 2007-04-25 中国船舶重工集团公司第七○九研究所 移动自组织网络中用于分布式身份认证的安全引导模型
EP1914930A1 (en) * 2006-10-17 2008-04-23 Matsushita Electric Industrial Co., Ltd. User plane entity selection in a mobile communication system having overlapping pool areas
KR101048560B1 (ko) 2006-10-20 2011-07-11 노키아 코포레이션 차세대 이동 네트워크에서의 보호용 키를 생성하는 방법, 네트워크 디바이스, 사용자 장비 및 컴퓨터 판독가능 매체
EP2090129A2 (en) 2006-10-30 2009-08-19 Interdigital Technology Corporation Method and apparatus for implementing tracking area update and cell reselection in a long term evolution system
FI20070095A0 (fi) * 2007-02-02 2007-02-02 Nokia Corp Turva-avainten luominen langatonta viestintää varten
CN101242630B (zh) 2007-02-05 2012-10-17 华为技术有限公司 安全算法协商的方法、装置及网络系统
FI20070157A0 (fi) * 2007-02-23 2007-02-23 Nokia Corp Nopea päivityssanomien autentikointi avainderivaatiolla mobiileissa IP-järjestelmissä
CN101304600B (zh) 2007-05-08 2011-12-07 华为技术有限公司 安全能力协商的方法及系统
CN101309500B (zh) 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
US8533455B2 (en) * 2007-05-30 2013-09-10 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for combining internet protocol authentication and mobility signaling
US20090016334A1 (en) 2007-07-09 2009-01-15 Nokia Corporation Secured transmission with low overhead
US8699711B2 (en) 2007-07-18 2014-04-15 Interdigital Technology Corporation Method and apparatus to implement security in a long term evolution wireless device
US20090046674A1 (en) 2007-08-17 2009-02-19 Chun Yan Gao Method and apparatus for providing channel feedback information
GB2452698B (en) 2007-08-20 2010-02-24 Ipwireless Inc Apparatus and method for signaling in a wireless communication system
CN101378591B (zh) 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
EP2214444A1 (en) * 2009-01-30 2010-08-04 Nec Corporation Method for optimizing the reduction of mobility signalling at inter-rat change

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1455556A (zh) * 2003-05-14 2003-11-12 东南大学 无线局域网安全接入控制方法
CN1710985A (zh) * 2005-06-30 2005-12-21 中国科学院计算技术研究所 一种分组网络中语音通信的加密协商方法
WO2007078159A1 (en) * 2006-01-04 2007-07-12 Samsung Electronics Co., Ltd. Method and apparatus for transmitting sip data of idle mode ue in a mobile communication system

Also Published As

Publication number Publication date
US20180310170A1 (en) 2018-10-25
JP4976548B2 (ja) 2012-07-18
US10595198B2 (en) 2020-03-17
CN101378591A (zh) 2009-03-04
US20160088472A1 (en) 2016-03-24
EP2139175B1 (en) 2012-12-26
EP2139175B3 (en) 2017-10-04
EP2139175A1 (en) 2009-12-30
US8656169B2 (en) 2014-02-18
EP2549701B1 (en) 2014-03-26
PL2139175T3 (pl) 2013-05-31
WO2009030155A1 (en) 2009-03-12
US20140120879A1 (en) 2014-05-01
US20100095123A1 (en) 2010-04-15
EP2549701A1 (en) 2013-01-23
US9241261B2 (en) 2016-01-19
RU2009146555A (ru) 2011-06-20
US9538373B2 (en) 2017-01-03
RU2435319C2 (ru) 2011-11-27
EP2139175A4 (en) 2010-05-19
JP2010533390A (ja) 2010-10-21
ES2401039T3 (es) 2013-04-16
US8812848B2 (en) 2014-08-19
US20160028703A1 (en) 2016-01-28
US20170094506A1 (en) 2017-03-30
ES2401039T7 (es) 2018-01-30
US20140295800A1 (en) 2014-10-02
US9497625B2 (en) 2016-11-15
US10015669B2 (en) 2018-07-03
PL2139175T6 (pl) 2018-04-30

Similar Documents

Publication Publication Date Title
CN101378591B (zh) 终端移动时安全能力协商的方法、系统及装置
CN101399767B (zh) 终端移动时安全能力协商的方法、系统及装置
US10798082B2 (en) Network authentication triggering method and related device
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
CN101600205B (zh) Sim卡用户设备接入演进网络的方法和相关设备
AU2007232622B2 (en) System and method for optimizing authentication procedure during inter access system handovers
WO2020092542A1 (en) Protection of initial non-access stratum protocol message in 5g systems
EP2315371A2 (en) Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system
CN101384079A (zh) 一种终端移动时防止降质攻击的方法、系统及装置
US20240089728A1 (en) Communication method and apparatus

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20090304

Assignee: Apple Computer, Inc.

Assignor: Huawei Technologies Co., Ltd.

Contract record no.: 2015990000755

Denomination of invention: Method, system and apparatus for security capability negotiation during terminal moving

Granted publication date: 20101027

License type: Common License

Record date: 20150827

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model