CN101843126A - 用于认证上下文转移的系统和方法 - Google Patents
用于认证上下文转移的系统和方法 Download PDFInfo
- Publication number
- CN101843126A CN101843126A CN200880113927A CN200880113927A CN101843126A CN 101843126 A CN101843126 A CN 101843126A CN 200880113927 A CN200880113927 A CN 200880113927A CN 200880113927 A CN200880113927 A CN 200880113927A CN 101843126 A CN101843126 A CN 101843126A
- Authority
- CN
- China
- Prior art keywords
- network
- authentication material
- authentication
- entity
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
在演进的3GPP系统中的用户设备(UE)和移动性管理实体(MME)生成认证资料,该认证资料可以在从UE到UMTS或GPRS陆地无线接入网络(UTRAN)中或者GSM/边缘无线接入网络(GERAN)中的UMTS/GPRS服务GPRS支持节点(SGSN)、以及从SGSN到演进的3GPP系统的MME的通用移动电信系统(UMTS)信令消息的分组交换网络临时移动站标识符(P-TMSI)签名字段内携带。MME基于所转移的认证资料以及关于如何创建或校验认证资料的知识,来认证来自UTRAN/GERAN系统的上下文转移请求。此外,MME和UE基于至少一个用户特定密钥导出或校验认证资料,用于嵌入到传统3GPP信令中的P-TMSI签名字段中。
Description
相关申请的交叉引用
本申请要求以下文件的利益:美国临时申请序列号No.60/983,450,其申请日为2007年10月29日,标题为“System and Method forAuthenticating a Context Transfer from MME towards a Legacy 3GPPSystem”,在此通过引用将其并入。
背景技术
此章节意在提供针对下文描述的和/或在权利要求中阐述的资料的背景。此背景章节可以包括可以被实行的概念,但不一定是之前已经进行过构思和实行的概念。除了另外特别指明之外,此章节不是本申请的描述和权利要求的背景技术,并且此章节中任何内容不被认为是现有技术。
在通用移动电信系统(UMTS)陆地无线电接入网络(UTRAN)中,分组交换网络临时移动站标识符(P-TMSI)签名(P-TMSI签名)被用于认证和授权用户设备(UE)上下文信息的转移。如现有技术中普遍理解的,用于UE的分组数据协议(PDP)上下文信息是参数值的记录,其提供了建立连接所需的信息。这些参数可以包括:关于正使用的PDP上下文的类型的信息、服务质量(QoS)信息等。当服务通用分组无线服务(GPRS)支持节点(SGSN)改变时,在UE上下文信息在单个系统的网络实体之间或者在不同系统的网络实体之间转移的时候执行认证和授权。当UE由于移动到不同地点而被手动切断时,可能发生所述改变。以此方式,旧的SGSN(即,UE正在从其转移开的SGSN)可以校验来自新的SGSN(即,UE被转移到的SGSN,也被称为受让SGSN)的上下文转移请求为有效的,并且与上下文转移请求中所识别的UE有关。在网络单元之间的逐跳(hop-by-hop)信令可以受到网络域安全(NDS)的保护,从而外人不可以修改分组。
用于在演进式第三代合作伙伴计划(3GPP)系统中对转移上下文信息的请求进行认证的机制不同于传统UMTS和GPRS系统中的机制。在演进的3GPP系统(也被称为演进式UTRAN(E-UTRAN)或长期演进(LTE)),其例如在3GPP技术规范(TS)23.401中描述,不希望使用P-TMSI签名。取而代之的是,在空闲(IDLE)模式期间,管理非接入层(NAS)级别的安全关联和对应的密钥和计数(COUNT)值。所有NAS级别的信令通过完整性保护利用NAS密钥进行认证。如TS 23.401中所描述的以及如本领域内已知的,演进式3GPP网络中的UE移动性受到被称为移动性管理实体(MME)的单元的控制。MME的功能可以包括:NAS信令、移动性管理(MM)、NAS信令安全、以及认证。在从旧MME到新MME的移动期间,旧MME基于利用完整性保护密钥计算的NAS权标来认证上下文转移请求以及移动性信令。
当UE在UMTS、全球移动通信系统(GSM)或GPRS以及演进的3GPP系统之间移动时,上下文转移和移动性信令仍然必须被认证。不过,存在下述问题,其关于演进的3GPP系统如何授权来自UMTS/GPRS系统的上下文转移请求或移动性信令,其中所述请求没有提供与演进的3GPP系统相同的授权机制。具体而言,受让UMTS/GPRS网络节点(UE被转移到其域中的节点)期望来自UE(即,移动终端或其它设备)的P-TMSI签名。当请求针对该UE的上下文信息时,UMTS/GPRS节点接着将该P-TMSI签名提供给对等网络实体(例如,UE正从其转移开的SGSN)。不过,演进的3GPP系统(EPS)不提供P-TMSI签名处理。事实上,在演进的3GPP系统中,可以出于不同目的使用在UTRAN系统信令消息中保存有P-TMSI签名的信息单元(IE)的若干部分。例如,在演进的3GPP系统中可能需要该IE的某些比特,以用于保存演进的分组系统TMSI(S-TMSI)的若干部分。这样减少了将认证资料用于上下文转移授权的可用比特。
发明内容
此发明内容被提供用于介绍简化形式的概念选择,其在下文具体实施方式中进行进一步描述。此发明内容并非意在识别本发明的关键特征或必要特征。
根据至少某些实施例,在演进的3GPP系统中的用户设备(UE)和MME各自生成认证资料。该认证资料可以被承载在当UE正在转移到UTRAN/GERAN系统时从UE到UMTS/GPRS SGSN的UMTS信令消息的P-TMSI签名字段内。该认证资料还可以从UMTS/GPRS SGSN向UE正从其转移开的(演进的3GPP系统的)MME传送。在此方案中,旧MME于是可以基于所转移的认证资料以及关于如何创建该认证资料的知识,来认证来自传统3GPP系统的上下文转移请求。
在至少某些实施例中,MME和UE基于用户特定密钥导出认证资料。当NAS密钥被创建或需要时可以被导出的认证资料,接着可以被嵌入到用于从UE以及从UMTS/GPRS SGSN到MME的传统3GPP信令的P-TMSI签名字段中。在使用一个或多个NAS密钥(或者使用根据NAS密钥被导出的密钥)的情形中,可以每当NAS密钥改变时改变所生成的认证资料。以此方式,不需要在P-TMSI签名字段中转移序列号,由此在重用的P-TMSI签名字段的给定长度限制下提供了提高的安全性。如果每当UE移动时(例如从UTRAN到E-UTRAN)NAS密钥改变,则当UE移动回到UTRAN时认证资料也将是最新的。
通过此处描述的多种实施例,针对演进的3GPP系统不需要类似于P-TMSI签名的机制,即,不需要在接收到上下文转移认证请求之前在MME中创建P-TMSI签名。也不需要从MME向UE转移权标或签名。UE可以随需生成认证资料(例如权标),由此避免对权标的存储需求。该权标可以在现有的UMTS信令消息中携带。
当结合附图阅读时,通过以下详细描述,这些和其它优点和特征、连同其操作的组织和方式将变得明显,其中,贯穿以下描述的若干附图,相同单元具有相同标号。
附图说明
图1是根据至少某些实施例的、用于在早期和演进的3GPP标准版本之间进行互操作的漫游体系结构的框图。
图2是根据至少某些实施例的、示出在MME到SGSN路由区域更新过程中的信令交换的图。
图3是可以结合至少某些实施例的实现而使用的电子设备的透视图。
图4是可以包括在图3的电子设备中的电路的示意性表示。
图5是图2中示出的MME的框图。
具体实施方式
在至少某些实施例中,在演进的3GPP系统中,用户设备(UE)和移动性管理实体(MME)各自生成认证资料(例如权标)。认证资料可以被携带于传统的UMTS信令消息的P-TMSI签名字段中,其中该消息是从UE到UE正在被转移到其中的UTRAN中或GSM/边缘无线接入网络(GERAN)中的UMTS/GPRS SGSN的消息。例如,UE可能不知道其是正被转移到演进的3GPP MME的域中,还是正被转移到传统UTRAN或GERAN中的SGSN的域中,并因此,UE可能使用针对UE-SGSN信令RAU(路由区域更新)的传统信令。认证资料还可以在从UMTS/GPRSSGSN到UE正在从其转移开的演进的3GPP系统的旧MME的信令消息中使用。在此方案中,UE创建认证资料,并将其提供给SGSN,而SGSN接着在上下文转移请求中将该认证资料提供给旧MME。知道认证资料在UE中如何被创建的旧MME接着可以在接收到识别UE的上下文转移请求时重新创建认证资料,并认证该上下文转移请求。
在某些实施例中,MME和UE基于至少一个用户特定的密钥(例如,K_ASME、K_NASInt、或K_NASenc)来导出认证资料。当非接入层(NAS)密钥被创建或被需要时,认证资料可以被导出。如果使用了一个或多个NAS密钥(或者如果使用了从NAS密钥导出的一个或多个密钥),则所可以每当NAS密钥改变时改变所生成的认证资料。因此,不是一定要在P-TMSI签名中转移序列号,这在重用的P-TMSI签名字段的给定长度限制下提供了提高的安全性。如果NAS密钥每当UE移动(例如从UTRAN到E-UTRAN)时改变,则当UE移动回到UTRAN时认证资料也将是最新的。如果使用了较高级别的用户特定密钥(例如K_ASME),则认证资料可以是基于当前存在的递增的序列号值,诸如下行链路或上行链路非接入层(NAS)信令COUNT(计数)值。COUNT是递增的分组序列号。COUNT被存储在存储器中。可以仅将COUNT值的某些个最高位存储在存储器中,而可以将其余位在消息上用信号传送。每当存在NAS信令时,COUNT值都被更新,并由此认证资料也将是最新的。
通过此处描述的多种实施例,针对演进的3GPP系统不需要类似于P-TMSI签名的机制,并且不需要将P-TMSI签名(任意其它类型的权标或签名)从MME转移到UE,或者在从受让SGSN接收到认证请求之前创建认证资料。用户设备还可以随需生成权标,这意味着针对该权标不存在存储需求。另外,通过多种实施例,现有的UMTS信令消息可以被用于携带认证资料(例如权标)。
图1是根据至少某些实施例的、用于在早期和演进的3GPP标准版本之间进行互操作的漫游体系结构的框图。如图1所示,UE 100与演进的UTRAN网络(E-UTRAN)110交互,演进的UTRAN网络110依次与服务网关(SGW)120和MME 130进行通信。除了与SGW 120直接进行通信之外,MME 130还与SGSN 140进行通信,SGSN 140连接于UTRAN 150和GERAN 160。MME 130和SGSN 140也与归属订户服务器(HSS)170进行交互。SGSN 140和SGW 120都与私有数据网络(PDN)网关(PGW)180进行通信,私有数据网络(PDN)网关180依次与策略计费规则功能(PCRF)190和运营商自身的IP服务195进行通信。
图2是根据至少某些实施例的、示出在MME到SGSN路由区域更新过程中的信令交换的图。在某些实施例中,来自和去往SGSN的消息以及其中包含的信息单元与3GPP技术规范(TS)23.060中针对SGSN路由区域更新过程所规定的相同。来自和去往MME 130或SGW 120的消息以及其中包含的信息单元与该技术规范中针对RAT(无线电接入技术)间路由区域更新过程所规定的相同。
参考图2,MME到SGSN路由区域更新过程开始于200,其中UE 100将“路由区域更新请求”发送到新SGSN 140。路由区域更新请求包括下述信息,诸如,旧路由区域标识(RAI)、NAS权标(非接入层认证密钥,其是由UE计算的、并用作为“旧”P-TMSI签名的认证资料)、更新类型、级别标志(classmark)、间断接收(DRX)参数、以及UE的网络能力信息。基站系统的子系统(BSS)添加了蜂窝(cell)的蜂窝全球身份(cellglobal identity),其包括:真实应用集群(RAC)和这样的蜂窝的位置区域码(LAC),即在将消息传送到新SGSN 140之前在所述蜂窝中接收了消息。级别标志包含UE的GPRS多时隙能力以及所支持的GPRS加密算法,如TS 24.008中所定义的那样。DRX参数指示出UE是否使用间断接收,并且如果是这样则指示出DRX循环长度。UE 100将其注册的跟踪区域身份(TAI)之一指示为旧RAI,并且基于K_NASInt(对于用户特定的NAS完整性密钥)或K_ASME(接入安全管理实体密钥,其是在成功认证之后存储于MME和UE中的根密钥)以及对应的NAS上行链路或下行链路COUNT(以及递增计数器)值,将NAS权标计算为旧P-TMSI签名。
在图2中的205,新SGSN 140将“SGSN上下文请求”发送到旧MME130,以便获得针对该UE的移动性管理(MM)和分组数据协议(PDP)上下文。SGSN上下文请求包括:旧RAI、临时逻辑链路身份(TLLI)和/或P-TMSI、旧P-TMSI签名、以及新SGSN地址。如下文所解释的,在210旧MME 130接着可以将“SGSN上下文响应”发送回新SGSN 140。
SGSN可以以多种方式将SGSN上下文请求指引到MME。如果新SGSN提供用于无线电接入网络(RAN)节点到多个核心网络(CN)节点的域内连接的功能,则新SGSN可以从旧RAI和旧P-TMSI(或TLLI)导出旧MME,并且将SGSN上下文请求消息发送给此旧MME。否则,新SGSN从旧RAI导出旧MME。新SGSN 140导出其认为是旧MME 130的MME。所导出的该MME自身是旧MME 130,或者其关联于与实际旧MME相同的池区域。不是旧MME的所导出MME根据P-TMSI(或TLLI)确定正确的旧MME 130,并且将该消息中继到实际的旧MME 130。
当接收到SGSN上下文请求时,旧MME 130基于K_ASME和对应的NAS下行链路COUNT值(其是MME 130已知的)验证旧P-TMSI签名值,其是由用户设备计算的MAS权标。在例如这是由于刚刚运行的认证和密钥协商(AKA)过程的原因,MME具有以不同密钥集合标识符(KSI)识别的多个K_ASME密钥的情形中,MME可以利用所有可用密钥计算认证权标,以确定可用密钥之一是否匹配。旧MME还可以计算权标并提供权标给新SGSN。不过,出于重放保护的原因,如果COUNT值被用作为认证权标生成中的一个参数,则其被重用,即,其增加。也可以在P-TMSI签名字段内转移KSI,尤其是在可变长度的P-TMSI签名选项的情形中。由于NAS信令消息丢失的原因,在UE和MME之间COUNT值可能不同步,因此,MME可以通过当前COUNT值的范围内的多个COUNT值计算认证权标(例如,[当前NAS下行链路COUNT-L,当前NAS下行链路COUNT])。
如果旧P-TMSI签名是有效的,则旧MME 130通过“SGSN上下文响应”进行响应。SGSN上下文响应消息包括下述信息,诸如MM上下文、PDP上下文、网络路由服务(NRS)、以及安全上下文。
如果由旧MME 130基于所接收的NAS序列号以及所存储的旧K_ASME计算的值不匹配从SGSN接收的NAC权标,MME 130通过适当的错误原因进行响应。这可以发起新SGSN 140中的安全功能。如果SGSN 140中的这些安全功能正确地认证UE 100,则新SGSN 140将另一SGSN上下文请求(旧RAI、TLLI、已验证的用户设备/移动站、新的SGSN地址)消息发送给旧MME 130,从而指示出新SGSN 140已经认证了UE100。如果新SGSN 140指示出其已经认证了UE 100,则旧MME 130通过“SGSN上下文响应”进行响应,如上所述。
一旦发送了SGSN上下文响应消息,旧MME 130存储新SGSN 140的地址,以便允许旧的通用陆地无线接入网络基站(eNB)、服务网关(SGW)120或其它实体将数据分组转发到新SGSN 140。旧MME 130接着启动计时器,其目的在下文讨论。MME将演进分组系统(EPS)载体信息映射到PDP上下文。还要确定是否以及如何执行从eNB 155或SGW120向SGSN的任意数据转发。
一旦接收了SGSN上下文响应,则仅当SGSN 140之前已经在路由区域更新请求中接收到UE网络能力时,新SGSN 140忽略SGSN上下文响应的MM上下文中包含的UE 100网络能力。SGSN上下文响应中的网络路由服务(NRS)指示出UE 100对新SGSN 140的网络请求载体控制的支持。SGSN上下文响应中的安全上下文包括:密钥集合标识符(KSI)以及从K_ASME(接入安全管理实体密钥)导出的UTRAN加密密钥(CK)/完整性密钥(IK)。UMTS认证矢量也可以被包括。E-UTRAN认证矢量不在E-UTRAN之外被转移,并且因此不会被包括在SGSN上下文响应中。
在图2中的215,可以执行多种安全功能。例如,在3GPP TS 23.060的“Security Function”章节中讨论了所述过程。如果支持加密模式,则在此时设置加密模式。如果之前在210传送的SGSN上下文响应消息不包括国际移动站设备身份和软件版本号(IMEISV),并且如果SGSN支持自动设备检测(ADD),则在此时SGSN也可以从UE 100检索IMEISV。如果安全功能失效,例如由于SGSN无法确定归属位置寄存器(HLR)地址来建立“发送认证信息”对话,则将拒绝消息返回到用户设备100,其注明了适当的原因。
在图2的220,新SGSN 140将“SGSN上下文确认”消息发送到旧MME 130。在这点,旧MME 130在其上下文信息中标记出网关和HSS 170中的信息是无效的。如果UE 100在完成进行中的路由区域更新过程之前发起了回到旧MME 130的跟踪区域更新过程,则这会触发SGW 120、PDN网关180和HSS 170被更新。如果安全功能没有正确地认证UE 100,则路由区域更新请求被拒绝,并且新SGSN 140将拒绝指示发送到旧MME 130。旧MME 130接着将继续,就好像未曾接收到SGSN上下文请求205一样。
不过,如果UE 100被正确地认证,则也确定是否向旧MME 130通知了新SGSN 140准备好接收属于已激活PDP上下文的数据分组,以及如何执行从eNB 155或SGW 120到新SGSN 140的任意数据转发。在UE 100处于旧MME 130中的LTE_Acitve状态的情形中,则在225旧MME 130将“数据转发命令”消息发送到eNB 155。数据转发命令包括下述信息,诸如无线电接入载体(RAB_ID)、传输层地址、以及S1传输关联信息。
在图2中的230,旧eNB 155复制已缓冲的网络协议数据单元(N-PDU),并且开始将它们隧传(tunneling)到新SGSN 140。在MME130计时器(之前描述的)到期之前,从SGW 120接收的附加的N-PDU也被复制和隧传到新SGSN 140。在计时器到期之后,没有N-PDU被转发到新SGSN 140。
在235,新SGSN 140将“更新PDP上下文请求”发送到各个PGW 180。该更新PDP上下文请求包括下述信息,诸如新SGSN 140的地址、隧道端点标识符(TEID)、与协商的服务质量(QoS)有关的信息、服务网络身份、公共网关接口(CGI)/服务区域接口(SAI)信息、RAT类型、CGI/SAI/资源可用性指示符(RAI)改变支持指示、以及NRS信息。
新SGSN 140将服务网络身份发送到PGW 180。NRS指示出网络请求的载体控制的SGSN支持。新SGSN 140指示出其支持所述过程,并且如果其支持该过程,则指示出UE 100也在如前所述的SGSN上下文响应消息210中支持该过程。如果NRS未被包括在更新PDP上下文请求消息235中,则PGW 180跟随此过程执行GGSN发起的PDP上下文修改,从而针对当前的BCM为“仅NW(NW_Only)”的所有PDP地址/APN对,将载体控制模式(BCM)改变为“仅MS(MS-Only)”。
在240,(一个或多个)PGW 180更新其PDP上下文字段,并返回“更新PDP上下文响应”。更新PDP上下文响应包括下述信息,诸如TEID、禁止净荷压缩信息、接入点名称(APN)限制信息、以及关于是否需要CGI/SAI/RAI改变支持的信息。禁止净荷压缩信息指示出SGSN 140应该针对该PDP上下文协商不数据压缩。
在图2中的245,新SGSN 140通过发送“更新位置”信息,向位于HSS 170处的归属位置寄存器(HLR)通知SGSN的改变。该信息可以包括SGSN号码、SGSN地址、国际移动订户身份(IMSI)、以及IMEISV。如果支持ADD功能,则IMEISV被发送。
在250,位于HSS 170处的HLR将“取消位置”指令发送到旧MME130。此消息可以包括下述信息,诸如IMSI和取消类型。在此消息中,取消类型被设为“更新过程”。在未运行前述的MME 130计时器的情形中,则旧MME 130移除MM和EPS载体上下文。否则,仅当计时器到期时上下文被移除。旧MME 130还确保MM和PDP上下文被保持在旧MME 130中,以防UE 100在完成进行中的对新SGSN 140的路由区域更新之前发起另一SGSN间路由区域更新。在255,旧MME 130通过包括IMSI的“取消位置Ack”确认取消位置指令250。还确定旧MME 130或eNB 155是否需要完成对N-PDU的任意转发。
在260,位于HSS 170的HLR将“插入订户数据”消息发送到新SGSN140。此消息包括IMSI和GPRS订购数据。新SGSN 140验证在新路由区域(RA)中的UE 100的存在。如果由于区域订购限制或接入限制的原因不允许UE 100附接到RA中,则新SGSN 140通过适当原因拒绝路由区域更新请求。在265新SGSN 140还可以将“插入订户数据Ack”(包括IMSI和“SGSN区域受限”信息)消息返回到HLR。如果所有检查都是成功的,则SGSN为UE 100构建MM上下文,并且将“插入订户数据Ack”消息与包括IMSI的消息一起返回到HLR(同样在265表示)。在图2中的270,位于HSS 170的HLR通过将包括IMSI的“更新位置Ack”消息发送到新SGSN 140,而确认“更新位置”消息。
在以上步骤之后,新SGSN 140验证UE 100在新RA中的存在。如果由于漫游限制或接入限制的原因不允许UE 100附接到新SGSN 140中,或者如果订购检查失效,则新SGSN 140通过适当原因拒绝路由区域更新。如果所有检查是成功的,则新SGSN 140构建用于用户设备的MM和PDP上下文。在新SGSN 140和UE 100之间建立逻辑链路。在275,新SGSN140接着通过“路由区域更新接受”消息响应于UE 100,所述“路由区域更新接受”消息包括新P-TMSI、新P-TMSI签名、以及接收N-PDU号码。还确定是否以及如何使用N-PDU号码。例如,接收N-PDU号码包括针对由UE 100使用的每个已确认模式的网络层服务接入点标识符(NSAPI)的确认,由此证实在开始更新过程之前,所有移动发起的N-PDU成功地被转移。
在图2中的280,UE 100通过将包括接收N-PDU号码的“路由区域更新完成”消息返回到新SGSN 140,而确定新P-TMSI。在此时,在UE 100中的逻辑链路控制(LLC)和子网相关会聚协议(SNDCP)被重置。再一次地,还确定是否以及如何使用N-PDU号码。例如,接收的N-PDU号码包含针对由UE 100使用的每个已确认模式的NSAPI的确认,由此证实所有移动终接的N-PDU在开始更新过程之前被成功地转移。如果接收的N-PDU号码证实接收了从旧MME 130转发的N-PDU,则这些N-PDU可以被新SGSN 140丢弃。当前述的MME 130中的计时器到期时,旧MME130释放任意eNB和SGW资源(未示出)。
在已拒绝路由区域更新操作的情形中,由于区域订购、漫游限制、接入限制的原因,或者由于SGSN无法确定HLR地址以建立定位更新对话,则新SGSN 140不会构建MM上下文。拒绝消息以及对应原因的指示被返回给UE 100。UE 100不会再次尝试对于该RA的路由区域更新。当UE 100被加电时,检测到RAI值。如果新SGSN 140无法更新一个或多个PGW 180中的PDP上下文,则新SGSN 140使对应的PDP上下文无效。不过这应该不会导致SGSN拒绝路由区域更新。
以优先化的顺序从旧MME 130向新SGSN140发送PDP上下文,即,最重要的PDP上下文在SGSN上下文响应消息中被首先发送。应该注意,将使用的确切优先化方法可以是依赖于实现方式的。不过,在某些实施例中,优先化是基于当前活动的。新SGSN 140基于来自PGW 180的每个PDP上下文的已接收APN限制而确定最大APN限制,并接着存储新的最大APN限制值。
如果新SGSN 140无法支持如从旧MME 130接收的那样同样数量的活动PDP上下文,则新SGSN 140当决定哪些PDP上下文将维持为活动的,而哪些应该被删除时,可以使用由旧MME 130发送的优先化作为输入。在任意情形中,新SGSN 140首先更新在一个或多个PGW 180中所有上下文,并接着使其无法维护的(一个或多个)上下文无效。这应该不会导致SGSN拒绝路由区域更新。
如果前述位于MME 130的计时器到期,并且如果未从HLR接收到取消位置消息(包括IMSI),则旧MME 130停止将N-PDU转发到新SGSN140。如果路由区域更新过程失败了最大可允许次数,或者如果SGSN 140返回路由区域更新拒绝(原因)消息,则用户设备进入空闲(IDLE)状态。
同样在图2中示出的是对使用针对移动网络增强逻辑(CAMEL)交互的定制应用的多种实施例的描述。在图2中的C1处,在旧MME 130处调用CAMEL_GPRS_PDP_Context_Disconnection、CAMEL_GPRS_Detach、以及CAMEL_PS_Notification过程。具体而言,CAMEL_GPRS_PDP_Context_Disconnection过程被首先调用,并且被调用若干次——每PDP上下文一次。该过程返回“继续”作为结果。CAMEL_GPRS_Detach过程接着被调用一次。该过程也返回“继续”作为结果。最后,CAMEL_PS_Notification过程被调用一次。该过程也返回“继续”作为结果。
在图2中的C2处,在新SGSN 140处调用CAMEL_GPRS_Routeing_Area_Update_Session和CAMEL_PS_Notification过程。具体而言,CAMEL_GPRS_Routeing_Area_UpdateSession过程被首先调用。该过程返回“继续”作为结果。CAMEL_PS_Notification过程接着被调用,同样返回“继续”作为结果。在图2中的C3处,CAMEL_GPRS_Routeing_Area_Update_Context过程被调用若干次——每PDP上下文一次,并且其返回“继续”作为结果。
存在根据多种实施例的、可以被用于生成可以被嵌入到P-TMSI签名字段中的认证资料的若干方案。在此处讨论的每个实施例中,使用NAS密钥或从其导出的密钥,但是精确用于如何生成密钥的方法可以不同。因此,应该理解,此处所述的用于认证资料生成的这些方法在性质上仅是示例性的。在此处讨论的方案中,旧MME 130不需要预先向用户设备转移认证资料,其在用于SGSN/UMTS(SGSN/GSM)转移的P-TMSI签名分配之后进行。这是因为在此处讨论的实施例中,认证信息是基于用户特定密钥的。这允许增强安全性,因为可以避免认证资料到用户设备的下行链路转移。
在一个具体实施例中,在UTRAN消息的某些或所有部分上计算基于NAS密钥的权标。在此方案中,被发送到SGSN 140的信息单元被从新SGSN 140转发到旧MME 130,从而使得旧MME 130可以基于所接收的消息(即,基于消息中识别的UE的认证码)计算NAS权标。在此方法的变体中,通过其计算NAS权标的内容被预先定义,并且由MME接收的消息指向正确值(通过P-TMSI的用户设备识别)。在此情形中,不会在(P-)TMSI签名中转移NAS序列号(SN),而是可以将NAS序列号(SN)用作为输入参数。这需要NAS级的SN值也被包括在P-TMSI签名字段中,从而使得MME 130可以构成正确的COUNT值,作为用于NAS权标计算的输入参数。与通常的NAS消息保护中一样,出于回复保护的原因使用COUNT值。
以下是P-TMSI签名信息单元的两个变体。第一变体是固定大小的,而第二变体是可变大小的。在固定大小的P-TMSI签名信息单元的情形中,具有NAS序列号的NAS权标被截断为例如24位(固定大小信息单元中P-TMSI的大小)的固定长度。在可变大小的P-TMSI签名信息单元的情形中,可以使用完全32位(或更多)NAS权标以及序列号(例如,4位或更多)。当在P-TMSI签名信息单元之内传统的信令消息中携带上下文转移认证信息时,可以实现对固定大小和可变大小的P-TMSI签名的支持。
在某些实施例中,NAS密钥被用于在用户设备和MME处创建一次性权标。示例性的认证权标或认证密钥导出函数如下:
NAS_Token=KDF(K_NASInt‖K_NASenc‖S-TMSI‖″E-UTRAN到UTRAN的认证权标″)
在以上函数中,KDF是密钥导出函数,而K_NASInt和K_NASenc是NAS完整性和加密密钥。符号“‖”表示并置,并且引号(″″)内的串是常数。在可替换情形中,其中S-TMSI的改变足以刷新认证权标,导出如下:
NAS_Token=KDF(K_ASME‖S-TMSI‖″E-UTRAN到UTRAN的认证权标″)
在以上函数中,S-TMSI是在MME中使用的临时id,而K_ASME是通过其导出NAS密钥的根密钥。NAS密钥按照TS 33.abc中的定义。在再一个可替换方案中,COUNT值也被采用为输入参数,从而使得导出函数如下:
NAS_Token=KDF(K_NASint‖K_NASenc‖S-TMSI‖COUNT‖″E-UTRAN到UTRAN的认证权标″)
或者
NAS-Token=KDF(K_ASME‖S-TMSI‖COUNT‖″E-UTRAN到UTRAN的认证权标″)
在最简单的形式中,不需要S-TMSI和串。其被如下示出:
NAS-Token=KDF(K_ASME‖COUNT)
所有的NAS权标(NAS-Token)导出可以进一步包括常数值,以便区分NAS权标导出和其它导出。
下文是关于上述认证权标的创建的时刻的讨论。在一个特定实施例中,对用于在用户设备和MME处的权标创建的输入参数的同步可以通过定义同步点而完成。在此方案中,每当在MME中的成功注册,则权标通过使用可用输入参数被重新创建,并被存储在两端用于重用。可替换地,对用于在用户设备和MME处的权标创建的输入参数的同步可以通过依赖于最新可用的参数NAS密钥、S-TMSI等,以及在输入参数已经被改变的情形中通过一个重试可能性进行拷贝,来实现。例如,在对UTRAN的切换请求之后立即用EPS中的新密钥进行的NAS密钥更新可以使得MME计算不同的权标。在此方案中,避免了对权标的预先存储。
在上述实施例中,如果上下文转移认证失败,则网络/信令行为应该是相同的。
由UMTS定义的P-TMSI签名信息单元仅具有针对SGSN的本地签名,所述SGSN生成该签名并将其分配给用户设备。在演进的3GPP系统中,用户设备和MME二者都计算认证权标。因此,MME不一定要提供与UTRAN中类似的针对用户设备的签名,即,不存在从MME到用户设备的“P-TMSI签名”转移。
上述方案的安全级别取决于特定实现方式而不同。一般而言,认证资料越长,对拒绝服务(DoS)攻击的保护就越好。
图3和4示出了可以作为用户设备(UE)的一个典型移动设备12,通过其可以实现多种实施例。此处所述的设备可以包括图3和4中描述的任意和/或所有特征。不过,应该理解,本发明并非意在受限于一个特定类型的电子设备。图3和4的移动设备12包括外壳30、液晶显示器形式的显示器32、小键盘34、麦克风36、耳机38、电池40、红外端口42、天线44、根据一实施例为通用集成电路卡(UICC)形式的智能卡46、读卡器48、无线电接口电路52、编解码器电路54、控制器56、以及存储器58。除了执行此处所述的方法和过程所需的编程和/或其它指令之外,独立的电路和单元都是本领域已知的类型。在某些实施例中,设备可以包括并非全部图3和4中示出的组件。例如,可连接于(例如通过通用串行总线插头)膝上型计算机或其它设备的适配器(dongle)或其它外围组件可以包括天线、无线电接口电路、控制器和存储器,但是可能缺少显示器、键盘、麦克风和/或红外端口。
此处所述的某些实施例在方法步骤或过程的通用上下文中进行描述,其可以在一个实施例中由在计算机可读存储介质中包含的计算机程序产品实现,所述计算机程序产品包括计算机可执行指令,诸如由连网环境中的一个或多个计算机执行的程序代码。一般而言,程序模块可以包括:执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。计算机可执行指令、相关联的数据结构、以及程序模块表示用于执行此处公开的方法的步骤的程序代码的示例。所述可执行指令或相关联的数据结构的特定顺序表示用于实现在所述步骤或过程中描述的功能的对应动作的示例。
本发明的实施例可以用软件、硬件、应用逻辑、或软件、硬件和应用逻辑的结合来实现。软件、应用逻辑、和/或硬件可以驻留于芯片组(例如,一个或多个集成电路(IC)或专用集成电路(ASIC))、移动设备、台式计算机、膝上型计算机、服务器、适配器(dongle)或其它外围组件等等之上。应用逻辑、软件或指令集优选地在多种传统计算机可读介质上保存。在本文档的上下文中,“计算机可读介质”可以是任意介质或装置,其可以包含、存储、传送、传播或传输由指令执行系统、装置或设备使用或与指令执行系统、装置或设备相结合使用的指令。
对于多种实施例的软件和web实现可以通过具有基于规则的逻辑和其它逻辑的标准编程技术来实现,所述逻辑用于实现多种数据库搜索步骤或过程、相关步骤或过程、比较步骤或过程、以及决策步骤或过程。应该注意,此处所使用的词语“组件”和“模块”意在包括使用一个或多个软件代码行、和/或硬件实现、和/或用于接收手动输入的设备的实现方式。
图5是示出图2的MME 130的附加细节的框图。MME 130包括一个或多个处理器202和一个或多个存储器204,所述存储器可以是易失性的(例如,随机存取存储器(RAM))、非易失性的(例如,磁盘驱动器),或者包括易失性和非易失性组件。MME 130可以是独立服务器或其它网络单元,或者可以驻留在也执行其它网络功能的网络单元之内。跨过所示的多种接口(即,S1-MME、S10、S11、S6a和Gn接口)以及跨过其它接口到MME 130的输入以及来自MME 130的输出可以是通过单独的物理介质。可替换地,通过多个接口的通信可以合并在单个物理连接上(例如,作为在单个IP网络物理连接上的单独分组)。处理器202通过多种所示接口接收和发送通信,并且与存储器204进行通信,以检索和存储数据,从而执行此处所述的MME操作。
已经出于说明和描述的目的呈现了对实施例的前述描述。前述描述并非意在是穷举性的或者将本发明的实施例限于所公开的精确形式,并且考虑到上述讲授,修改和变体是可能的,或者可以通过试试多种实施例而获得。此处讨论的实施例被选择和描述,以便解释多种实施例的原理和性质及其实际应用,从而使得本领域技术人员能够在多种实施例中以及在具有适于所预期的特定使用的多种修改的情况下利用本发明。此处所述的实施例的特征可以在方法、装置、模块、系统和计算机程序产品的所有可能组合中进行结合。
Claims (48)
1.一种方法,包括:
在第二网络实体处接收来自第一网络实体的上下文转移请求,所述上下文转移请求包括信息字段,所述信息字段包含对应于移动设备的认证资料;
在所述第二网络实体处计算验证资料,其中所述验证资料是根据将被包含在所述移动设备中的第二网络实体已知的信息计算的,并且其中所述验证资料先前没有从所述第二网络实体转移给所述移动设备;以及
确定所述验证资料是否匹配所述认证资料。
2.根据权利要求1所述的方法,进一步包括:
一旦确定所述验证资料匹配所述认证资料,则认证所述上下文转移请求并将上下文信息转移给所述第一网络实体。
3.根据权利要求1所述的方法,进一步包括:
一旦确定所述验证资料不匹配所述认证资料,则发送错误消息给所述第一网络实体;
在发送错误消息之后,从所述第一网络实体接收第二上下文转移请求,所述第二上下文转移请求指示出对所述移动设备的授权;以及
响应于所述第二上下文转移请求,将上下文信息转移给所述第一网络实体。
4.根据权利要求1所述的方法,其中所述第一网络实体包括:传统第三代合作伙伴(3GPP)通用移动电信系统(UMTS)网络、传统3GPP通用分组无线服务(GPRS)网络、或全球移动通信系统(GSM)边缘无线电接入网络(GERAN)内的实体,并且其中所述第二网络实体是演进的3GPP网络中的移动性管理实体。
5.根据权利要求1所述的方法,其中所述信息字段包括:分组交换网络临时移动站标识符(P-TMSI)签名信息字段。
6.根据权利要求1所述的方法,其中所述验证资料根据至少一个用户特定密钥导出。
7.根据权利要求6所述的方法,其中所述至少一个用户特定密钥是接入安全管理实体密钥(K_ASME)。
8.根据权利要求6所述的方法,其中所述至少一个用户特定密钥根据至少一个非接入层(NAS)密钥导出。
9.根据权利要求6所述的方法,其中所述至少一个用户特定密钥根据至少一个接入安全管理实体密钥(K_ASME)导出。
10.根据权利要求1所述的方法,其中所述认证资料包括根据接入安全管理实体密钥(K_ASME)导出的一次性权标。
11.根据权利要求1所述的方法,其中所述认证资料包括通过通用移动电信系统(UMTS)陆地无线电接入网络(UTRAN)消息和全球移动通信系统/边缘无线电接入网络(GERAN)消息中之一的至少一部分计算的权标。
12.一种具有机器可执行指令的机器可读存储介质,所述指令用于执行一种方法,所述方法包括:
在第二网络实体处接收来自第一网络实体的上下文转移请求,所述上下文转移请求包括信息字段,所述信息字段包含对应于移动设备的认证资料;
在所述第二网络实体处计算验证资料,其中所述验证资料是根据将被包含在所述移动设备中的第二网络实体已知的信息计算的,并且其中所述验证资料先前没有从所述第二网络实体转移给所述移动设备;以及
确定所述验证资料是否匹配所述认证资料。
13.根据权利要求12所述的机器可读存储介质,包括附加指令,用于:
一旦确定所述验证资料匹配所述认证资料,则认证所述上下文转移请求并将上下文信息转移给所述第一网络实体。
14.根据权利要求12所述的机器可读存储介质,包括附加指令,用于:
一旦确定所述验证资料不匹配所述认证资料,则发送错误消息给所述第一网络实体;
在发送错误消息之后,从所述第一网络实体接收第二上下文转移请求,所述第二上下文转移请求指示出对所述移动设备的授权;以及
响应于所述第二上下文转移请求,将上下文信息转移给所述第一网络实体。
15.根据权利要求12所述的机器可读存储介质,其中所述第一网络实体包括:传统第三代合作伙伴(3GPP)通用移动电信系统(UMTS)网络、传统3GPP通用分组无线服务(GPRS)网络、或全球移动通信系统(GSM)边缘无线接入网络(GERAN)内的实体,并且其中所述第二网络实体是演进的3GPP网络中的移动性管理实体。
16.根据权利要求12所述的机器可读存储介质,其中所述信息字段包括:分组交换网络临时移动站标识符(P-TMSI)签名信息字段。
17.根据权利要求12所述的机器可读存储介质,其中所述验证资料通过至少一个用户特定密钥导出。
18.根据权利要求17所述的机器可读存储介质,其中所述至少一个用户特定密钥是接入安全管理实体密钥(K_ASME)。
19.根据权利要求17所述的机器可读存储介质,其中所述至少一个用户特定密钥根据至少一个非接入层(NAS)密钥导出。
20.根据权利要求17所述的机器可读存储介质,其中所述至少一个用户特定密钥根据至少一个接入安全管理实体密钥(K_ASME)导出。
21.根据权利要求12所述的机器可读存储介质,其中所述认证资料包括通过接入安全管理实体密钥(K_ASME)导出的一次性权标。
22.根据权利要求12所述的机器可读存储介质,其中所述认证资料包括通过通用移动电信系统(UMTS)陆地无线接入网络(UTRAN)消息和全球移动通信系统/边缘无线接入网络(GERAN)消息中之一的至少一部分计算的权标。
23.一种装置,包括:
至少一个处理器,被配置用于:
从第一网络接收上下文转移请求,所述上下文转移请求包括信息字段,所述信息字段包含对应于移动设备的认证资料;
计算验证资料,其中所述验证资料根据将被包含在所述移动设备中的所述装置已知的信息进行计算,并且其中所述验证资料先前没有从所述装置转移给所述移动设备;以及
确定所述验证资料是否匹配所述认证资料。
24.根据权利要求23所述的装置,其中所述至少一个处理器被进一步配置用于:
一旦确定所述验证资料匹配所述认证资料,则认证所述上下文转移请求并将上下文信息转移给所述第一网络实体。
25.根据权利要求23所述的装置,其中所述至少一个处理器被进一步配置用于:
一旦确定所述验证资料不匹配所述认证资料,则发送错误消息给所述第一网络实体;
在发送错误消息之后,从所述第一网络实体接收第二上下文转移请求,所述第二上下文转移请求指示出对所述移动设备的授权;以及
响应于所述第二上下文转移请求,将上下文信息转移给所述第一网络实体。
26.根据权利要求23所述的装置,其中所述第一网络实体包括:传统第三代合作伙伴(3GPP)通用移动电信系统(UMTS)网络、传统3GPP通用分组无线服务(GPRS)网络、或全球移动通信系统(GSM)边缘无线电接入网络(GERAN)内的实体,并且其中所述装置被配置用于作为演进的3GPP网络中的移动性管理实体进行操作。
27.根据权利要求23所述的装置,其中所述信息字段包括:分组交换网络临时移动站标识符(P-TMSI)签名信息字段。
28.根据权利要求23所述的装置,其中所述验证资料根据至少一个用户特定密钥导出。
29.根据权利要求28所述的装置,其中所述至少一个用户特定密钥是接入安全管理实体密钥(K_ASME)。
30.根据权利要求28所述的装置,其中所述至少一个用户特定密钥根据至少一个非接入层(NAS)密钥导出。
31.根据权利要求23所述的装置,其中所述至少一个用户特定密钥根据至少一个接入安全管理实体密钥(K_ASME)导出。
32.根据权利要求23所述的装置,其中所述认证资料包括根据接入安全管理实体密钥(K_ASME)导出的一次性权标。
33.根据权利要求23所述的装置,其中所述认证资料包括通过通用移动电信系统(UMTS)陆地无线接入网络(UTRAN)消息和全球移动通信系统/边缘无线接入网络(GERAN)消息中之一的至少一部分计算的权标。
34.一种方法,包括:
在第一无线网络内操作移动设备;
基于与所述第一无线网络的单元共享的信息在所述移动设备中计算认证资料;
在第二无线网络中从所述移动设备发送路由区域更新,其中所述第二无线网络不同于所述第一无线网络,并且其中所述路由区域更新请求包括信息字段,所述信息字段包含认证资料;以及
作为发送所述路由区域更新请求的结果,在所述移动设备处从所述第二无线网络接收路由区域更新接受。
35.根据权利要求34所述的方法,其中所述第一无线网络是演进的第三代合作伙伴(3GPP)网络,并且其中所述第二无线网络是以下之一:传统第三代合作伙伴(3GPP)通用移动电信系统(UMTS)网络、传统3GPP通用分组无线服务(GPRS)网络、或全球移动通信系统(GSM)边缘无线电接入网络(GERAN)。
36.根据权利要求34所述的方法,其中所述信息字段包括:分组交换网络临时移动站标识符(P-TMSI)签名信息字段。
37.根据权利要求34所述的方法,其中所述认证资料根据至少一个用户特定密钥导出。
38.根据权利要求34所述的方法,其中所述认证资料包括根据接入安全管理实体密钥(K_ASME)导出的一次性权标。
39.一种具有机器可执行指令的机器可读存储介质,所述指令用于执行一种方法,所述方法包括:
在第一无线网络内操作移动设备;
基于与所述第一无线网络的单元共享的信息在所述移动设备中计算认证资料;
在第二无线网络中从所述移动设备发送路由区域更新,其中所述第二无线网络不同于所述第一无线网络,并且其中路由区域更新请求包括信息字段,所述信息字段包含认证资料;以及
作为发送所述路由区域更新请求的结果,在所述移动设备处从所述第二无线网络接收路由区域更新接受。
40.根据权利要求39所述的机器可读存储介质,其中所述第一无线网络是演进的第三代合作伙伴(3GPP)网络,并且其中所述第二无线网络是以下之一:传统第三代合作伙伴(3GPP)通用移动电信系统(UMTS)网络、传统3GPP通用分组无线服务(GPRS)网络、或全球移动通信系统(GSM)边缘无线电接入网络(GERAN)。
41.根据权利要求39所述的机器可读存储介质,其中所述信息字段包括:分组交换网络临时移动站标识符(P-TMSI)签名信息字段。
42.根据权利要求39所述的机器可读存储介质,其中所述认证资料根据至少一个用户特定密钥导出。
43.根据权利要求39所述的机器可读存储介质,其中所述认证资料包括根据接入安全管理实体密钥(K_ASME)导出的一次性权标。
44.一种装置,包括:
至少一个处理器,被配置用于:
第一无线网络内操作所述装置;
基于与所述第一无线网络的单元共享的信息计算认证资料;
在第二无线网络中发送路由区域更新,其中所述第二无线网络不同于所述第一无线网络,并且其中路由区域更新请求包括信息字段,所述信息字段包含认证资料;以及
作为发送所述路由区域更新请求的结果,从所述第二无线网络接收路由区域更新接受。
45.根据权利要求44所述的装置,其中所述第一无线网络是演进的第三代合作伙伴(3GPP)网络,并且其中所述第二无线网络是以下之一:传统第三代合作伙伴(3GPP)通用移动电信系统(UMTS)网络、传统3GPP通用分组无线服务(GPRS)网络、或全球移动通信系统(GSM)边缘无线电接入网络(GERAN)。
46.根据权利要求44所述的装置,其中所述信息字段包括:分组交换网络临时移动站标识符(P-TMSI)签名信息字段。
47.根据权利要求44所述的装置,其中所述认证资料根据至少一个用户特定密钥导出。
48.根据权利要求44所述的装置,其中所述认证资料包括根据接入安全管理实体密钥(K_ASME)导出的一次性权标。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US98345007P | 2007-10-29 | 2007-10-29 | |
| US60/983,450 | 2007-10-29 | ||
| PCT/IB2008/002856 WO2009056938A2 (en) | 2007-10-29 | 2008-10-27 | System and method for authenticating a context transfer |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101843126A true CN101843126A (zh) | 2010-09-22 |
| CN101843126B CN101843126B (zh) | 2013-12-25 |
Family
ID=40548001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801139279A Active CN101843126B (zh) | 2007-10-29 | 2008-10-27 | 用于认证上下文转移的系统和方法 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US9204295B2 (zh) |
| EP (1) | EP2218270B1 (zh) |
| KR (1) | KR101167781B1 (zh) |
| CN (1) | CN101843126B (zh) |
| AT (1) | ATE535108T1 (zh) |
| ES (1) | ES2375594T3 (zh) |
| PL (1) | PL2218270T3 (zh) |
| PT (1) | PT2218270E (zh) |
| TW (1) | TWI489839B (zh) |
| WO (1) | WO2009056938A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109997379A (zh) * | 2016-11-07 | 2019-07-09 | Lg电子株式会社 | 用于管理会话的方法 |
| CN110476448A (zh) * | 2017-04-17 | 2019-11-19 | 英特尔公司 | 用于大规模物联网设备的基于组的上下文和安全性 |
| CN112335273A (zh) * | 2018-06-26 | 2021-02-05 | 诺基亚技术有限公司 | 用于动态更新路由标识符的方法和装置 |
| CN112823538A (zh) * | 2018-10-08 | 2021-05-18 | 苹果公司 | 5g系统中的移动设备上下文传输 |
| CN113613248A (zh) * | 2020-04-20 | 2021-11-05 | 华为技术有限公司 | 认证事件处理方法及装置、系统 |
| CN114710813A (zh) * | 2017-08-17 | 2022-07-05 | 华为技术有限公司 | 一种通信系统间移动方法及装置 |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101511079B (zh) | 2007-11-01 | 2010-10-27 | 华为技术有限公司 | 一种通过演进网络临时标识接入旧有网络的方法和装置 |
| KR20100103657A (ko) * | 2007-12-13 | 2010-09-27 | 인터디지탈 패튼 홀딩스, 인크 | 새로운 무선 통신 네트워크와 레거시 무선 통신 네트워크간의 등록 시나리오들 |
| CN101472271B (zh) * | 2008-03-13 | 2012-07-04 | 华为技术有限公司 | 对承载的处理方法及移动管理设备 |
| CN101459907B (zh) * | 2008-03-26 | 2010-09-29 | 中兴通讯股份有限公司 | 一种指示服务网关承载管理的方法 |
| CN101304311A (zh) * | 2008-06-12 | 2008-11-12 | 中兴通讯股份有限公司 | 密钥生成方法和系统 |
| CN102821382B (zh) | 2008-06-18 | 2015-09-23 | 上海华为技术有限公司 | 一种用于接入的装置 |
| JP5004899B2 (ja) * | 2008-08-11 | 2012-08-22 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法、交換局及び移動局 |
| US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| KR101472749B1 (ko) | 2008-09-25 | 2014-12-16 | 삼성전자주식회사 | Home eNB에서 단말의 수락제어 방법 및 장치. |
| US9066354B2 (en) * | 2008-09-26 | 2015-06-23 | Haipeng Jin | Synchronizing bearer context |
| KR101556906B1 (ko) * | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
| EP2417729A4 (en) * | 2009-04-10 | 2012-09-05 | Research In Motion Ltd | METHOD AND SYSTEM FOR PRESENTING SIMPLIFIED DATA FACILITIES THROUGH A CONTEXTIC ACCESSIBILITY LAYER |
| CN101883346B (zh) * | 2009-05-04 | 2015-05-20 | 中兴通讯股份有限公司 | 基于紧急呼叫的安全协商方法与装置 |
| CN101888617B (zh) * | 2009-05-14 | 2013-08-07 | 华为技术有限公司 | 接入点名称约束信息的处理方法、系统及网元设备、网关设备 |
| CN101909275B (zh) * | 2009-06-05 | 2012-07-04 | 华为技术有限公司 | 一种信息同步方法及通讯系统以及相关设备 |
| CN101931951B (zh) | 2009-06-26 | 2012-11-07 | 华为技术有限公司 | 密钥推演方法、设备及系统 |
| GB2472580A (en) | 2009-08-10 | 2011-02-16 | Nec Corp | A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers |
| EP2466959A3 (en) * | 2009-09-18 | 2013-01-09 | NEC Corporation | Communication system and communication controlling method |
| CN102948112B (zh) | 2010-05-04 | 2016-03-23 | 高通股份有限公司 | 创建或更新共享电路交换安全性上下文的方法及装置 |
| CN101835156B (zh) * | 2010-05-21 | 2014-08-13 | 中兴通讯股份有限公司南京分公司 | 一种用户接入安全保护的方法及系统 |
| WO2011156264A2 (en) * | 2010-06-07 | 2011-12-15 | Interdigital Patent Holdings, Inc. | Method and apparatus for transmitting service request messages in a congested network |
| TWI451713B (zh) * | 2010-11-08 | 2014-09-01 | Htc Corp | 無線通訊系統之處理詢問超載之方法 |
| TWI533629B (zh) * | 2010-12-28 | 2016-05-11 | 內數位專利控股公司 | 非附於無線網路之觸發裝置 |
| EP2695477A1 (en) | 2011-04-01 | 2014-02-12 | InterDigital Patent Holdings, Inc. | Method and apparatus for controlling connectivity to a network |
| WO2012173623A1 (en) * | 2011-06-16 | 2012-12-20 | Nokia Siemens Networks Oy | Methods, apparatus, a system, and a related computer program product for activation and deacitivation of bearers |
| US9119062B2 (en) * | 2012-10-19 | 2015-08-25 | Qualcomm Incorporated | Methods and apparatus for providing additional security for communication of sensitive information |
| WO2014113921A1 (zh) * | 2013-01-22 | 2014-07-31 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
| CN104937990B (zh) * | 2013-01-22 | 2019-06-21 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
| EP3793167B1 (en) * | 2013-09-11 | 2021-09-01 | Samsung Electronics Co., Ltd. | Method and system to enable secure communication for inter-enb transmission |
| US9338136B2 (en) * | 2013-12-05 | 2016-05-10 | Alcatel Lucent | Security key generation for simultaneous multiple cell connections for mobile device |
| US9313193B1 (en) | 2014-09-29 | 2016-04-12 | Amazon Technologies, Inc. | Management and authentication in hosted directory service |
| JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
| WO2016115997A1 (en) * | 2015-01-19 | 2016-07-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and nodes for providing handover management |
| EP3479614B1 (en) * | 2016-07-01 | 2024-10-16 | Nokia Technologies Oy | Secure communications |
| US10455453B2 (en) * | 2017-08-16 | 2019-10-22 | T-Mobile Usa, Inc. | Service enablement based on access network |
| US10805792B2 (en) * | 2018-09-07 | 2020-10-13 | Nokia Technologies Oy | Method and apparatus for securing multiple NAS connections over 3GPP and non-3GPP access in 5G |
| CN110913438B (zh) * | 2018-09-15 | 2021-09-21 | 华为技术有限公司 | 一种无线通信方法及装置 |
| EP4050916B1 (en) * | 2019-11-08 | 2024-07-03 | Huawei Technologies Co., Ltd. | Method and device for protecting truncated parameter |
| CN115087971A (zh) * | 2020-02-14 | 2022-09-20 | 瑞典爱立信有限公司 | 保护无线通信网络中的能力信息传输 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030211842A1 (en) * | 2002-02-19 | 2003-11-13 | James Kempf | Securing binding update using address based keys |
| US7974234B2 (en) * | 2004-10-22 | 2011-07-05 | Alcatel Lucent | Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes |
| MX2008009802A (es) | 2006-01-31 | 2008-10-14 | Interdigital Tech Corp | Metodo y sistema para realizar procedimientos de actualizacion celular y actualizacion del area de encaminamiento mientras una unidad transmisora/receptora inalambrca esta en un estado inactivo. |
| US20090067386A1 (en) * | 2007-06-19 | 2009-03-12 | Qualcomm Incorporated | Method and apparatus for cell reselection enhancement for e-utran |
| KR20100103657A (ko) * | 2007-12-13 | 2010-09-27 | 인터디지탈 패튼 홀딩스, 인크 | 새로운 무선 통신 네트워크와 레거시 무선 통신 네트워크간의 등록 시나리오들 |
-
2008
- 2008-10-27 PL PL08844578T patent/PL2218270T3/pl unknown
- 2008-10-27 AT AT08844578T patent/ATE535108T1/de active
- 2008-10-27 PT PT08844578T patent/PT2218270E/pt unknown
- 2008-10-27 CN CN2008801139279A patent/CN101843126B/zh active Active
- 2008-10-27 KR KR20107011672A patent/KR101167781B1/ko active IP Right Grant
- 2008-10-27 EP EP20080844578 patent/EP2218270B1/en active Active
- 2008-10-27 TW TW097141170A patent/TWI489839B/zh active
- 2008-10-27 ES ES08844578T patent/ES2375594T3/es active Active
- 2008-10-27 WO PCT/IB2008/002856 patent/WO2009056938A2/en active Application Filing
- 2008-10-28 US US12/259,479 patent/US9204295B2/en active Active
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109997379A (zh) * | 2016-11-07 | 2019-07-09 | Lg电子株式会社 | 用于管理会话的方法 |
| US11096053B2 (en) | 2016-11-07 | 2021-08-17 | Lg Electronics Inc. | Method for managing session |
| CN109997379B (zh) * | 2016-11-07 | 2021-11-30 | Lg电子株式会社 | 用于管理会话的方法 |
| CN110476448A (zh) * | 2017-04-17 | 2019-11-19 | 英特尔公司 | 用于大规模物联网设备的基于组的上下文和安全性 |
| CN110476448B (zh) * | 2017-04-17 | 2023-10-10 | 苹果公司 | 用于大规模物联网设备的基于组的上下文和安全性 |
| CN114710813A (zh) * | 2017-08-17 | 2022-07-05 | 华为技术有限公司 | 一种通信系统间移动方法及装置 |
| CN114710813B (zh) * | 2017-08-17 | 2024-04-09 | 华为技术有限公司 | 一种通信系统间移动方法及装置 |
| CN112335273A (zh) * | 2018-06-26 | 2021-02-05 | 诺基亚技术有限公司 | 用于动态更新路由标识符的方法和装置 |
| CN112823538A (zh) * | 2018-10-08 | 2021-05-18 | 苹果公司 | 5g系统中的移动设备上下文传输 |
| US12010615B2 (en) | 2018-10-08 | 2024-06-11 | Apple Inc. | Mobile device context transfer in a 5G system |
| CN113613248A (zh) * | 2020-04-20 | 2021-11-05 | 华为技术有限公司 | 认证事件处理方法及装置、系统 |
| CN113613248B (zh) * | 2020-04-20 | 2023-06-16 | 华为技术有限公司 | 认证事件处理方法及装置、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2375594T3 (es) | 2012-03-02 |
| CN101843126B (zh) | 2013-12-25 |
| KR101167781B1 (ko) | 2012-07-25 |
| WO2009056938A3 (en) | 2009-07-09 |
| EP2218270A2 (en) | 2010-08-18 |
| KR20100086013A (ko) | 2010-07-29 |
| US9204295B2 (en) | 2015-12-01 |
| TW200934195A (en) | 2009-08-01 |
| ATE535108T1 (de) | 2011-12-15 |
| EP2218270B1 (en) | 2011-11-23 |
| TWI489839B (zh) | 2015-06-21 |
| WO2009056938A2 (en) | 2009-05-07 |
| PL2218270T3 (pl) | 2012-04-30 |
| PT2218270E (pt) | 2012-01-24 |
| US20090111428A1 (en) | 2009-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101843126B (zh) | 用于认证上下文转移的系统和方法 | |
| CN107251522B (zh) | 将网络令牌用于服务控制面办法的高效策略实施 | |
| CA2748736C (en) | Trustworthiness decision making for access authentication | |
| RU2440688C2 (ru) | Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи | |
| US9497624B2 (en) | Connectionless wireless access | |
| BR112020002580A2 (pt) | dipositivo sem fio e entidade ou função de rede núcleo para prover controle de gap de serviço e métodos de operação relacionados | |
| US20090258631A1 (en) | Mobility related control signalling authentication in mobile communications system | |
| EP3284276B1 (en) | Security improvements in a cellular network | |
| WO2016155012A1 (zh) | 一种无线通信网络中的接入方法、相关装置及系统 | |
| KR20200058577A (ko) | 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원 | |
| BR112020019602B1 (pt) | Dispositivo sem fio configurado para operar em uma rede sem fio, um ou mais nós de rede sem fio configurados para prover segurança de mensagens e métodos relacionados | |
| CN108781110B (zh) | 用于通过通信网络中继数据的系统和方法 | |
| CN110741613B (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| CA2690017C (en) | A method for releasing a high rate packet data session | |
| US10492056B2 (en) | Enhanced mobile subscriber privacy in telecommunications networks | |
| KR102282532B1 (ko) | 링크 재설정 방법, 장치, 및 시스템 | |
| US12113783B2 (en) | Wireless-network attack detection | |
| JP7557615B2 (ja) | ネットワーク移行方法、装置及び機器 | |
| JP6732794B2 (ja) | モバイル無線通信ネットワーク及び通信ネットワークデバイスへのモバイル端末の接続を確立するための方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160122 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |