ES2586824T3 - Método y dispositivo asociado para generar una clave de estrato de acceso en un sistema de comunicaciones - Google Patents

Método y dispositivo asociado para generar una clave de estrato de acceso en un sistema de comunicaciones Download PDF

Info

Publication number
ES2586824T3
ES2586824T3 ES12858204.6T ES12858204T ES2586824T3 ES 2586824 T3 ES2586824 T3 ES 2586824T3 ES 12858204 T ES12858204 T ES 12858204T ES 2586824 T3 ES2586824 T3 ES 2586824T3
Authority
ES
Spain
Prior art keywords
network side
random number
air interface
key
user equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES12858204.6T
Other languages
English (en)
Inventor
Dongmei Zhang
Jing Chen
Yang CUI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2586824T3 publication Critical patent/ES2586824T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/10Access point devices adapted for operation in multiple networks, e.g. multi-mode access points
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/15Setup of multiple wireless link connections

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método para generar una clave de estrato de acceso en un sistema de comunicaciones, en donde un primer dispositivo del lado de la red se conecta a un equipo de usuario, UE, por intermedio de una primera interfaz de aire y que accede a una red base, CN, y el primer dispositivo del lado de la red se conecta a un segundo dispositivo del lado de la red, en donde el segundo dispositivo del lado de la red es un dispositivo que se conecta al equipo de usuario UE por intermedio de una segunda interfaz de aire y el método comprende: adquirir (S110), por el primer dispositivo del lado de la red, un parámetro de entrada, en donde el parámetro de entrada comprende un parámetro variable en el tiempo; calcular (S120), por el primer dispositivo del lado de la red, una clave raíz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parámetro de entrada y una clave raíz de estrato de acceso KeNB en la primera interfaz de aire, en donde la segunda interfaz de aire está situada entre el segundo dispositivo del lado de la red y el equipo de usuario UE; y enviar (S130), por el primer dispositivo del lado de la red, la clave KeNB* al segundo dispositivo del lado de la red.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo y dispositivo asociado para generar una clave de estrato de acceso en un sistema de comunicaciones CAMPO DE LA INVENCION
La presente invencion se refiere al campo de las radiocomunicaciones y mas en particular, a un metodo y a un dispositivo asociado para generar una clave de estrato de acceso en un sistema de comunicaciones en el campo de las radiocomunicaciones.
ANTECEDENTES DE LA INVENCION
En una arquitectura de LTE-Hi (Long Term Evolution-Hi, Evolucion a largo plazo-Hi) propuesta, un equipo de usuario (User Equipment, UE) puede acceder a una red base por intermedio de un nodo NodeB evolucionado (evolved NodeB, eNB), o puede conectarse al nodo eNB por intermedio de un punto de acceso de LTE-Hi (LTE-Hi Access Point, LTE-Hi Ap) y luego, acceder a la red base por intermedio del nodo eNB. El equipo de usuario UE puede conectarse tambien directamente a un dispositivo de pasarela en otra red por intermedio del LTE-Hi AP. En la arquitectura de LTE-Hi, el equipo de usuario UE tiene dos interfaces de aire de radio, es decir, una interfaz Uu entre el equipo de usuario UE y el nodo eNB y una interfaz Uu' entre el equipo UE y el punto de acceso LTE-Hi AP.
La arquitectura de LTE-Hi no solamente puede soportar el escenario operativo en el que el equipo UE realiza el acceso inicialmente desde el punto LTE-Hi AP y luego, algunos servicios se transfieren el nodo eNB, sino que tambien puede soportar el escenario operativo en el que el equipo UE realiza el acceso inicialmente desde el nodo eNB, y luego, algunos servicios se transfieren al punto de acceso LTE-Hi AP. Por lo tanto, un mecanismo de seguridad de interfaz de aire para la interfaz de aire Uu' necesita ser compatible con los dos escenarios operativos anteriores. El equipo UE puede recibir datos por intermedio de dos enlaces correspondientes a la interfaz de aire Uu' y la interfaz de aire Uu al mismo tiempo para comunicarse con el punto de acceso LTE-Hi AP y el nodo eNB al mismo tiempo. En dicho escenario operativo, dos bifurcaciones tienen sus propias interfaces de aire. La generacion, el mantenimiento, la modificacion y la supresion de un contexto de seguridad de estrato de acceso (Access Stratum, AS) en las dos interfaces de aire necesitan considerarse para garantizar la seguridad de los datos transmitidos por intermedio de cada interfaz de aire.
Sin embargo, en la tecnica anterior, solamente se da a conocer una manera de generacion de una clave AS en la interfaz de aire Uu, mientras que no incluye la forma de generacion de la clave de AS en la interfaz de aire Uu'. En consecuencia, no puede garantizarse la seguridad de la transmision de datos por intermedio de la interfaz de aire Uu'.
La solicitud de patente de los US US 2011/235802 da a conocer la generacion de claves de autenticacion para la comunicacion de red de area local, que incluye: participacion en la comunicacion de un mensaje que contiene un tipo de seleccion del metodo de cifrado que indica el dispositivo de cifrado compatible con la red celular y la creacion de claves de autenticacion compatibles con la red celular en conformidad con dicho tipo de seleccion de dispositivo de cifrado.
La solicitud de patente EP 2 487 947 A1 da a conocer un metodo y dispositivo para obtener una clave de seguridad en un sistema de retransmision. Un nodo en el sistema de retransmision obtiene una clave inicial, en conformidad con la clave inicial, obteniendo el nodo una clave rafz de una clave de proteccion de interfaz de aire entre el nodo y otro nodo que es directamente adyacente al nodo y en conformidad con la clave rafz, el nodo obtiene la clave de proteccion de la interfaz de aire entre el nodo y otro nodo que esta directamente adyacente a dicho nodo.
SUMARIO DE LA INVENCION
La presente invencion da a conocer un metodo y un dispositivo asociado para generar una clave de estrato de acceso en un sistema de comunicaciones, lo que resuelve un problema en la tecnica anterior en donde no se puede garantizar la seguridad de la transmision de datos por intermedio de dos interfaces de aire de un equipo de usuario UE al mismo tiempo y permite al equipo UE realizar una transmision de datos segura por intermedio de las dos interfaces de aire, con lo que se mejora la seguridad del sistema.
La presente invencion se define por las reivindicaciones adjuntas.
Sobre la base de las soluciones tecnicas anteriores, el segundo dispositivo del lado de la red puede adquirir la clave KeNB* que se adquiere sobre la base de la clave KeNB en la primera interfaz de aire, y el equipo de usuario puede calcular la clave KeNB* en conformidad con la clave KeNB conocida por sf misma. De este modo, el segundo dispositivo del lado de la red y el equipo de usuario pueden tener la misma clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire. El segundo dispositivo del lado de la red y el equipo de usuario pueden generar la misma clave de estrato de acceso en conformidad con la misma clave KeNB*, lo que puede mejorar la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y garantizar la seguridad de los datos transmitidos
5
10
15
20
25
30
35
40
45
50
55
60
65
entre el segundo dispositivo del lado de la red y el equipo de usuario cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire.
BREVE DESCRIPCION DE LOS DIBUJOS
Para describir las soluciones tecnicas en las formas de realizacion de la presente invencion con mayor claridad, a continuacion se introduce, de forma concisa, los dibujos adjuntos requeridos para describir las formas de realizacion. Evidentemente, los dibujos adjuntos en la descripcion siguiente muestran simplemente algunas formas de realizacion de la presente invencion y un experto en esta tecnica puede derivar todavfa otros dibujos a partir de estos dibujos adjuntos sin necesidad de esfuerzos creativos.
La Figura 1 es un diagrama de flujo de un metodo para generar una clave de estrato de acceso realizada por una estacion base en conformidad con una forma de realizacion de la presente invencion;
La Figura 2 es un diagrama de flujo de un metodo para generar una clave de estrato de acceso realizada por un dispositivo de acceso en conformidad con una forma de realizacion de la presente invencion;
La Figura 3 es un diagrama de flujo de un metodo para generar una clave de estrato de acceso realizada por un equipo de usuario en conformidad con una forma de realizacion de la presente invencion;
La Figura 4 es un diagrama esquematico de una arquitectura de LTE-Hi a modo de ejemplo;
La Figura 5 es una realizacion, a modo de ejemplo, de una pila de protocolos del plano de control en la arquitectura LTE-Hi ilustrada en la Figura 4;
La Figura 6 es una realizacion, a modo de ejemplo, de una pila de protocolo de enlace de datos en la arquitectura LTE-Hi que se ilustra en la Figura 4;
La Figura 7 es una segunda realizacion, a modo de ejemplo, de la generacion de una clave de estrato de acceso entre un equipo de usuario UE y el punto de acceso LTE-Hi AP en una arquitectura de LTE-Hi;
La Figura 8 es un diagrama de flujo de otro metodo para generar una clave de estrato de acceso realizada por una estacion base en conformidad con una forma de realizacion de la presente invencion;
La Figura 9 es un diagrama de flujo de otro metodo para generar una clave de estrato de acceso realizada por un dispositivo de acceso en conformidad con una forma de realizacion de la presente invencion;
La Figura 10 es un diagrama de flujo de otro metodo para generar una clave de estrato de acceso realizada por un equipo de usuario en conformidad con una forma de realizacion de la presente invencion;
La Figura 11 es una tercera realizacion, a modo de ejemplo, de la generacion de una clave de estrato de acceso entre un equipo de usuario UE y un punto de acceso LTE-Hi AP en una arquitectura LTE-Hi;
La Figura 12 es un diagrama de flujo de otro metodo para generar una clave de estrato de acceso realizada por una estacion base en conformidad con una forma de realizacion de la presente invencion;
La Figura 13 es un diagrama de flujo de otro metodo para generar una clave de estrato de acceso realizada por un dispositivo de acceso en conformidad con una forma de realizacion de la presente invencion;
La Figura 14 es un diagrama de flujo otro metodo para generar una clave de estrato de acceso realizada por un equipo de usuario en conformidad con una forma de realizacion de la presente invencion;
La Figura 15 es un diagrama de bloques estructural de un dispositivo del lado de la red en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion;
La Figura 15a es otro diagrama de bloques estructural de un dispositivo del lado de la red en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion;
La Figura 16 es otro diagrama de bloques estructural de un dispositivo del lado de la red en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion;
La Figura 16a es otro diagrama de bloques estructural de un dispositivo del lado de la red en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion;
La Figura 17 es un diagrama de bloques estructural de un equipo de usuario en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion; y
5
10
15
20
25
30
35
40
45
50
55
60
65
La Figura 18 es otro diagrama de bloques estructural de un equipo de usuario en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion.
DESCRIPCION DETALLADA DE LAS FORMAS DE REALIZACION
A continuacion se describe de forma clara y completa, las soluciones tecnicas en las formas de realizacion de la presente invencion haciendo referencia a los dibujos adjuntos en las formas de realizacion de la presente invencion. Evidentemente, las formas de realizacion descritas son una parte y no la totalidad de las formas de realizacion de la presente invencion. Todas las demas formas de realizacion obtenidas por un experto en esta tecnica sobre la base de las formas de realizacion de la presente invencion sin necesidad de esfuerzos creativos caeran dentro del alcance de proteccion de la presente invencion.
En primer lugar, un metodo 100 para generar una clave de estrato de acceso en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion se describe haciendo referencia a la Figura 1. En el sistema de comunicaciones, un equipo de usuario UE accede a una red base por intermedio de una estacion base utilizando una primera interfaz de aire y se conecta a la estacion base por intermedio de un dispositivo de acceso utilizando una segunda interfaz de aire para acceder a la red base. Por lo tanto, el sistema de comunicaciones que aplica el metodo 100 es un sistema que soporta una transmision de descarga de datos, y el equipo de usuario UE puede conectarse a la estacion base utilizando las dos interfaces de aire al mismo tiempo. Dicho sistema de comunicaciones puede incluir, sin limitacion, a: una arquitectura de LTE-Hi, una arquitectura de LTE-WiFi, una arquitectura WCDMA-WiFi y similares.
Segun se ilustra en la Figura 1, el metodo 100 incluye:
en la etapa S110, la adquisicion de un parametro de entrada, en donde el parametro de entrada incluye un parametro variable en el tiempo y/o un parametro relacionado con una celula de servicio del dispositivo de acceso;
en la etapa S120, el calculo de una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, en donde la clave KeNB* se calcula tambien por el equipo de usuario UE en conformidad con el parametro de entrada y la clave de estrato de acceso KeNB; y
en la etapa S130, el envfo de la clave KeNB* al dispositivo de acceso de modo que el dispositivo de acceso genere una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB*, en donde la clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el equipo UE en conformidad con la clave KeNB*.
El metodo 100 se realiza por la estacion base. En conformidad con la tecnica anterior, la estacion base y el equipo UE pueden memorizar la clave KeNB en la primera interfaz de aire. En esta forma de realizacion de la presente invencion, el dispositivo de acceso conectado a la segunda interfaz de aire y el equipo UE necesitan tener la misma clave KeNB*, en donde la clave KeNB* se utiliza como una clave rafz para deducir la clave AS en la segunda interfaz de aire de modo que el dispositivo de acceso y el equipo UE puedan generar la misma clave AS en la segunda interfaz de aire. Conviene senalar que, en esta especificacion tecnica, la estacion base puede denominarse tambien como un primer dispositivo del lado de la red y el dispositivo de acceso puede denominarse tambien un segundo dispositivo del lado de la red.
La estacion base puede adquirir la clave KeNB* utilizando el parametro de entrada y la clave KeNB. El equipo de usuario UE puede adquirir tambien la clave KeNB* utilizando el parametro de entrada y la clave KeNB. Cuando la estacion base envfa la clave KeNB* al dispositivo de acceso conectado a la segunda interfaz de aire, el equipo UE y el dispositivo de acceso conectado a la segunda interfaz de aire tienen la misma clave KeNB* con el fin de generar, sobre la base de la misma clave rafz, la clave AS en la segunda interfaz de aire.
El parametro de entrada requerido para generar la clave KeNB* puede incluir el parametro variable en el tiempo y/o el parametro relacionado con la celula de servicio del dispositivo de acceso. De este modo, diferentes formas de realizacion pueden tener diferentes maneras para calcular, de forma flexible, la clave KeNB*. El parametro variable en el tiempo es un parametro que vana con el tiempo, que puede ser un valor de un contador espedfico, puede ser un numero aleatorio generado de forma aleatoria o puede ser otro parametro que un experto en esta tecnica puede crear y que utiliza el tiempo como un argumento funcional. El parametro relacionado con la celula de servicio del dispositivo de acceso puede incluir, sin limitacion, a un identificador de celula de la celula de servicio del dispositivo de acceso y/o una frecuencia central de la celula de servicio del dispositivo de acceso. El parametro relacionado con la celula de servicio del dispositivo de acceso puede ser tambien otro parametro ffsico que un experto en esta tecnica puede considerar y tiene la celula de servicio del dispositivo de acceso.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un valor de conteo COUNT (count)
5
10
15
20
25
30
35
40
45
50
55
60
65
del PDCP (Packet Data Convergence Protocol, Protocolo de Convergencia de Datos por Paquetes) de un soporte del equipo de usuario UE en la primera interfaz de aire. El valor de PDCP COUNT es un valor de conteo que existe ya en la tecnica anterior. El valor de conteo aumenta progresivamente con el envfo y la recepcion de un paquete de datos sobre un soporte correspondiente. De este modo, la estacion base y el equipo de usuario UE pueden adquirir adecuadamente el parametro variable en el tiempo especificando el valor de PDCP COUNT de un soporte en la estacion base y el equipo UE en lugar de intercambiar un mensaje, lo que puede economizar los recursos de la red.
A modo de ejemplo, el valor de PDCP COUNT puede ser un valor de PDCP COUNT de un soporte correspondiente a un mensaje de configuracion. En conformidad con una forma de realizacion de la presente invencion, el mensaje de configuracion puede ser un mensaje de configuracion utilizado por la estacion base para configurar la segunda interfaz de aire. Solamente unos pocos mensajes de configuracion utilizados por la estacion base para configurar la segunda interfaz de aire se envfan a este respecto. Por lo tanto, diffcilmente ocurre un caso en el que el valor de PDCP COUNT del soporte correspondiente al mensaje de configuracion es objeto de nuevo conteo puesto que el valor de conteo alcanza el valor maximo, de modo que el valor de PDCP COUNT utilizado para calcular la clave KeNB* es diferente cada vez, por lo que sirve de ayuda para garantizar que la clave KeNB* calculada para el equipo UE sea diferente. En otras formas de realizacion, el mensaje de configuracion puede ser tambien un mensaje de configuracion utilizado para la estacion base para configurar otra interfaz de aire o canal. Ademas, el valor de PDCP COUNT puede ser tambien un valor de PDCP COUNT de un soporte correspondiente a un servicio del equipo de usuario Ue en la primera interfaz de aire, a modo de ejemplo, un servicio de descarga de ficheros y similar.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un numero aleatorio generado por la estacion base. En este caso, la estacion base adquiere el parametro de entrada en conformidad con el numero aleatorio generado por sf misma. Para permitir al equipo de usuario UE adquirir tambien el parametro de entrada, la estacion base necesita enviar el numero aleatorio generado por sf misma al equipo UE. A modo de ejemplo, la estacion base puede enviar el mensaje de configuracion utilizado para configurar la segunda interfaz de aire para el equipo UE, en donde el mensaje de configuracion contiene el numero aleatorio generado por la estacion base. De este modo, el hecho de que contener el numero aleatorio en el mensaje de configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afecte a una secuencia de envfo de mensajes existente. El equipo UE y la estacion base pueden generar la misma clave KeNB* utilizando el mismo parametro.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un numero aleatorio generado por el equipo UE. En este caso, el equipo UE adquiere el parametro de entrada en conformidad con el numero aleatorio generado por sf mismo. Para permitir a la estacion base adquirir tambien el parametro de entrada, el equipo UE necesita enviar el numero aleatorio generado por sf mismo a la estacion base. A modo de ejemplo, la estacion base puede recibir, desde el equipo UE, un mensaje de terminacion de configuracion en respuesta al mensaje de configuracion utilizado para configurar la segunda interfaz de aire, en donde el mensaje de terminacion de la configuracion contiene el numero aleatorio generado por el equipo UE. De este modo, el hecho de contener el numero aleatorio en el mensaje de terminacion de la configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afecte a la secuencia de envfo de mensajes existente.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un primer numero aleatorio generado por la estacion base y un segundo numero aleatorio generado por el equipo UE. Para permitir a la estacion base y al equipo UE tener el mismo parametro de entrada para generar la misma clave KeNB*, la estacion base necesita enviar el primer numero aleatorio al equipo UE, a modo de ejemplo, utilizando el mensaje de configuracion usado para configurar la segunda interfaz de aire, y el equipo UE necesita enviar el segundo numero aleatorio a la estacion base, a modo de ejemplo, utilizando el mensaje de terminacion de configuracion en respuesta al mensaje de configuracion. La generacion de la clave KeNB* utilizando los numeros aleatorios separadamente generados por la estacion base y el equipo UE tiene una mas alta seguridad que la generacion de la clave KeNB* utilizando solamente el numero aleatorio generado por la estacion base o el equipo de usuario UE.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro relacionado con la celula de servicio del dispositivo de acceso, el parametro relacionado con la celula de servicio del dispositivo de acceso puede incluir al menos uno de los elementos siguientes: el identificador de celula de la celula de servicio del dispositivo de acceso y la frecuencia central de la celula de servicio del dispositivo de acceso. El uso de parametros pertinentes de celulas diferentes ayuda a garantizar que la clave KeNB* deducida es diferente para distintas celulas.
Despues de calcular la clave KeNB*, la estacion base la envfa al dispositivo de acceso. De este modo, el dispositivo de acceso y el equipo UE pueden deducir, ademas, la clave de estrato de acceso en la segunda interfaz de aire en conformidad con la misma clave rafz KeNB*, con lo que se introduce la clave de estrato de acceso en la segunda interfaz de aire para ayudar a realizar una transmision segura. Por lo tanto, cuando la clave de estrato de acceso se
5
10
15
20
25
30
35
40
45
50
55
60
65
utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, puede mejorarse la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario.
La Figura 1 ilustra el metodo 100 para generar una clave de estrato de acceso en un lado de estacion base. A continuacion se describe un metodo 200 para generar una clave de estrato de acceso en un lado del dispositivo de acceso en conformidad con una forma de realizacion de la presente invencion haciendo referencia a la Figura 2 y un metodo 300 para generar una clave de estrato de acceso en un lado del equipo UE en conformidad con una forma de realizacion de la presente invencion haciendo referencia a la Figura 3. Tanto el metodo 200 como el metodo 300 corresponden al metodo 100. Por lo tanto, para descripciones espedficas del metodo 200 y del metodo 300, puede hacerse referencia a las partes correspondientes del metodo 100 y sus detalles no se describen aqu de nuevo para evitar su repeticion. Tanto el metodo 200 como el metodo 300 se aplican al sistema de comunicaciones siguiente: un equipo UE accede a una red base por intermedio de una estacion base utilizando una primera interfaz de aire y se conecta a la estacion base por intermedio de un dispositivo de acceso utilizando una segunda interfaz de aire para acceder a la red base.
Segun se ilustra en la Figura 2, el metodo 200 incluye:
en la etapa S210, la recepcion de una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire desde la estacion base, en donde la clave KeNB* se calcula por la estacion base en conformidad con un parametro de entrada adquirido y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, la clave KeNB* se calcula tambien por el equipo UE en el conformidad con el parametro de entrada y la clave KeNB, y el parametro de entrada incluye un parametro variable en el tiempo y/o un parametro relacionado con una celula de servicio del dispositivo de acceso; y
en la etapa S220, se genera una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB*, en donde la clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el equipo UE en conformidad con la clave KeNB*.
El metodo 200 se realiza por el dispositivo de acceso conectado a la segunda interfaz de aire. El dispositivo de acceso puede tener la misma clave rafz de estrato de acceso en la segunda interfaz de aire puesto que el equipo UE adquiere la clave KeNB* desde la estacion base, de modo que la clave de estrato de acceso en la segunda interfaz de aire puede deducirse en conformidad con la misma clave rafz, con lo que se introduce la misma clave que ayuda a realizar una transmision segura para la segunda interfaz de aire. Por lo tanto, cuando se utiliza la clave de estrato de acceso para la transmision de datos por intermedio de la segunda interfaz de aire, puede mejorarse la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y garantizarse la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario.
Segun se ilustra en la Figura 3, el metodo 300 incluye:
en la etapa S310, la adquisicion de un parametro de entrada, en donde el parametro de entrada incluye un parametro variable en el tiempo y/o un parametro relacionado con una celula de servicio del dispositivo de acceso;
en la etapa S320, se calcula una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, en donde la clave KeNB* se calcula tambien por la estacion base en conformidad con el parametro de entrada y la clave KeNB y se envfa al dispositivo de acceso; y
en la etapa S330, se genera una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB*, en donde la clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el dispositivo de acceso en conformidad con la clave KeNB*.
El metodo 300 se realiza por el equipo de usuario. El equipo de usuario puede adquirir la clave KeNB* utilizando el parametro de entrada y la clave KeNB, y el dispositivo de acceso puede adquirir la misma clave KeNB* desde la estacion base. De este modo, el equipo de usuario y el dispositivo de acceso pueden deducir la misma clave de estrato de acceso en la segunda interfaz de aire en conformidad con la misma clave KeNB*, con lo que se introduce la misma clave para la segunda interfaz de aire para ayudar a realizar una transmision de datos segura.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un valor de PDCP COUNT de un soporte del equipo UE en la primera interfaz de aire. De este modo, la estacion base y el equipo de usuario UE pueden adquirir adecuadamente el parametro variable en el tiempo especificando el valor de PDCp COUNT de un soporte para calcular la clave KeNB* en lugar de intercambiar un mensaje, lo que puede economizar recursos de red. A modo de ejemplo, el valor de PDCP COUNT puede ser un valor de PDCP COUNT de un soporte correspondiente a un mensaje de configuracion utilizado para la estacion base para configurar la segunda interfaz de aire.
5
10
15
20
25
30
35
40
45
50
55
60
65
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un numero aleatorio generado por la estacion base. De este modo, el equipo UE necesita recibir el numero aleatorio procedente de la estacion base para generar la misma clave KeNB* que la estacion base. A modo de ejemplo, el equipo UE puede recibir el mensaje de configuracion utilizado para configurar la segunda interfaz de aire desde la estacion base, en donde el mensaje de configuracion contiene el numero aleatorio generado por la estacion base. De este modo, la inclusion del numero aleatorio en el mensaje de configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y para garantizar que la transmision del numero aleatorio no afecte a una secuencia de envfo de mensajes existente.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un numero aleatorio generado por el equipo UE. En este caso, el equipo UE necesita enviar el numero aleatorio generado por sf mismo a la estacion base, de modo que la estacion base utilice el mismo parametro de entrada para generar la misma clave KeNB* que el equipo UE. A modo de ejemplo, el equipo UE puede enviar un mensaje de terminacion de configuracion en respuesta al mensaje de configuracion utilizado para configurar la segunda interfaz de aire a la estacion base, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo UE. De este modo, la inclusion del numero aleatorio en el mensaje de terminacion de configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la combustion del numero aleatorio no afecta a una secuencia de envfo de mensajes existente.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un primer numero aleatorio generado por la estacion base y un segundo numero aleatorio generado por el equipo UE. Para permitir a la estacion base y al equipo UE tener el mismo parametro de entrada para generar la misma clave KeNB*, la estacion base necesita enviar el primer numero aleatorio al equipo UE, a modo de ejemplo, utilizando el mensaje de configuracion utilizado para configurar la segunda interfaz de aire, y el equipo UE necesita enviar el segundo numero aleatorio a la estacion base, a modo de ejemplo, utilizando el mensaje de terminacion de configuracion en respuesta al mensaje de configuracion. La generacion de la clave KeNB* utilizando los numeros aleatorios separadamente generados por la estacion base y el equipo UE tiene mas alta seguridad que la generacion de la clave KeNB* utilizando solamente el numero aleatorio generado por la estacion base o el equipo UE.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro relacionado con la celula de servicio del dispositivo de acceso, el parametro relacionado con la celula de servicio del dispositivo de acceso puede incluir al menos uno de los elementos siguientes: un identificador de celula de la celula de servicio del dispositivo de acceso y una frecuencia central de la celula de servicio del dispositivo de acceso. La utilizacion de parametros pertinentes de diferentes celulas ayuda a garantizar que la clave KeNB* deducida es diferente para distintas celulas.
En conformidad con el metodo para generar una clave de estrato de acceso en esta forma de realizacion de la presente invencion, el equipo de usuario y el dispositivo de acceso pueden utilizar la misma clave rafz KeNB* para generar la misma clave de estrato de acceso en la segunda interfaz de aire. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, puede mejorarse la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario.
A continuacion se describe la puesta en practica espedfica del metodo 100 al metodo 300 con referencia a casos practicos espedficos a modo de ejemplo. Un primer ejemplo y un segundo ejemplo se utilizan simplemente para ayudar a entender las soluciones tecnicas proporcionadas por la presente invencion y no plantear ninguna limitacion sobre el alcance de proteccion de la presente invencion. Antes de que se describa el primer ejemplo y el segundo ejemplo, se describe, haciendo referencia a la Figura 4 una realizacion, a modo de ejemplo, de un sistema de comunicacion en el que se aplica un metodo para generar una clave de estrato de acceso. La Figura 4 ilustra una arquitectura de LTE-Hi. En esta arquitectura, una interfaz de aire Uu es la primera interfaz de aire, una interfaz de aire Uu' es la segunda interfaz de aire y un punto de acceso LTE-Hi AP es un dispositivo de acceso de la interfaz de aire Uu' se conecta a un nodo eNB para permitir a un equipo de usuario UE acceder a una red base. Esta arquitectura tiene tambien como objetivo ayudar a entender mejor las soluciones tecnicas dadas a conocer por la presente invencion y no plantea ninguna limitacion sobre el alcance de proteccion de la presente invencion.
En la arquitectura de LTE-Hi ilustrada en la Figura 4, el equipo de usuario UE puede acceder al nodo eNB utilizado la interfaz de aire Uu y luego, conectarse a una entidad MME (Mobility Management Entity, entidad de gestion de movilidad). Si el equipo UE esta situado dentro de una zona de cobertura de una celula de servicio de un punto de acceso LTE-Hi AP 1, el equipo UE puede acceder tambien el punto de acceso LTE-Hi AP 1 utilizando la interfaz de aire Uu', el punto de acceso LTE-Hi AP 1 es objeto de convergencia a una pasarela LTE-Hi GW (gateway, pasarela) y la pasarela LTE-Hi GW se conecta al nodo eNB, con el fin de conectar el equipo UE a la entidad MME. La pasarela LTE-Hi GW en la Figura 4 puede converger senales del punto de acceso LTE-Hi AP 1 y un punto de acceso LTE-Hi
5
10
15
20
25
30
35
40
45
50
55
60
65
AP 2. Las conexiones de S1 con varios puntos de acceso LTE-Hi APs puede ser objeto de convergencia por la pasarela LTE-Hi GW, con lo que se reduce el numero de conexiones S1 y la puesta en practica del control y gestion de recursos de Hi.
Ademas de la conexion a una red base LTE utilizando el nodo eNB y el punto de acceso LTE-Hi AP (incluyendo el punto de acceso LTE-Hi AP 1 o el punto de acceso LTE-Hi AP 2 en la Figura 4), el equipo UE puede conectarse tambien a una red de servicio IP del operador y una red Internet por intermedio de la pasarela S/P GW utilizando el nodo eNB y el punto de acceso LTE-Hi AP o conectarse a Internet y una red Intranet por intermedio de una pasarela L-GW utilizando el punto de acceso LTE-Hi AP.
En la arquitectura de LTE-Hi ilustrada en la Figura 4, el equipo de usuario UE conectado al nodo eNB y al punto de acceso LTE-Hi AP 1, el punto de acceso LTE-Hi AP 1 y el nodo eNB pueden tener una pila de protocolos del plano de control que se ilustra en la Figura 5. El punto de acceso LTE-Hi AP 1 accede al nodo eNB utilizando una interfaz S1 mejorada, es decir, una interfaz S1'. Ademas, el equipo de usuario UE, el punto de acceso LTE-Hi AP 1 y el nodo eNB puede tener una pila de protocolos del plano de datos que se ilustra en la Figura 6. Los protocolos ilustrados en la pila de protocolos son los mismos que los de la tecnica anterior y por ello no se describen aqu de nuevo. En conformidad con una pila de protocolos que se ilustra a modo de ejemplo, el equipo UE puede acceder a la red base por intermedio del nodo eNB utilizando la primera interfaz de aire Uu y conectarse al nodo eNB por intermedio del punto de acceso LTE-Hi AP 1 utilizando la segunda interfaz de aire Uu' para acceder a la red base.
En la arquitectura LTE-Hi ilustrada en la Figura 4, una clave de estrato de acceso puede generarse entre el equipo UE y el punto de acceso LTE-Hi AP 1 utilizando el metodo anterior, de modo que pueda realizarse una transmision de datos segura entre el equipo de usuario UE y el punto de acceso LTE-Hi AP 1. Para brevedad de las descripciones, el punto de acceso LTE-Hi AP 1 al que se conecta el equipo UE se denomina un nodo LTE-Hi, de forma abreviada, en los ejemplos primero y segundo descritos a continuacion. Ademas, un tercer ejemplo y un cuarto ejemplo siguientes se describen tambien sobre la base de la arquitectura de LTE-Hi en la Figura 4 y el punto de acceso LTE-Hi AP 1 al que se conecta el equipo UE se denomina tambien el nodo LTE-Hi en forma abreviada.
Primera realizacion a modo de ejemplo
Un equipo UE accede a una red utilizando un nodo eNB, para una necesidad de descarga, el nodo eNB establece una bifurcacion de Hi para una interfaz de aire Uu'. La bifurcacion de Hi se refiere a un radioenlace entre el equipo UE y el nodo LTE-Hi.
El nodo eNB configura la interfaz de aire Uu' para el equipo UE utilizando un metodo de reconfiguracion de conexion. El equipo UE configura una RRC (Radio Resource Connection, conexion de recursos de radio) con el nodo LTE-Hi en conformidad con un mensaje de configuracion y luego, se deduce, a nivel local, una clave KeNB* utilizada en una clave rafz de estrato de acceso en la interfaz de aire Uu'. El nodo eNB puede deducir la clave KeNB* en conformidad con la misma logica y enviar la clave KeNB* deducida al nodo LTE-Hi.
Puesto que cambia el volumen de servicio, el nodo eNB puede liberar la bifurcacion de Hi utilizada para la descarga. Cuando la bifurcacion de Hi es posteriormente reanadida para la descarga, necesitan ser diferentes las multiples claves rafces de estratos de acceso deducidas por el nodo eNB durante el establecimiento de la bifurcacion de Hi. Por lo tanto, una entrada de deduccion de clave de la bifurcacion de Hi puede incluir un parametro variable en el tiempo. El parametro variable en el tiempo puede ser un valor de PDCP COUNT de un soporte, que se sincroniza por el nodo eNB y el equipo UE, a modo de ejemplo, el valor de PDCP COUNT de un soporte para enviar una senalizacion de RRC, o puede ser otro parametro variable en el tiempo calculado sobre la base del valor de PDCP COUNT.
En el equipo UE y en el nodo eNB, la siguiente expresion puede utilizarse para calcular la clave KeNB*:
KeNB*=KDF (KeNB, PCI, DL EARFCN, PDCP COUNT)
en donde, KDF es una funcion de generacion de claves; la clave KeNB es una clave rafz de estrato de acceso en una interfaz de aire Uu o una clave adquirida en conformidad con esta clave rafz, el valor de PDCP COUNT puede ser un valor de PDCP COUNT correspondiente al soporte contenido en el mensaje de configuracion para configurar la bifurcacion de Hi; el PCI (Physical Cell Identity, identidad de celula ffsica) es un identificador de celula para una celula LTE-Hi cubierta por el nodo LTE-Hi; el valor DL EARFCN (DownLink E-UTRA Absolute Radio Frequency Channel Number, numero de canal de radiofrecuencias absoluto de E-UTRA de enlace descendente) indica una frecuencia central de la celula LTE-Hi. Esta expresion es simplemente a modo de ejemplo y no plantea ninguna limitacion sobre la forma de adquisicion de la clave KeNB*.
Despues de adquirir la clave KeNB*, el nodo LTE-Hi puede activar la proteccion de seguridad del estrato de acceso en la interfaz de aire Uu' por medio de un proceso de AS SMC (Access Stratum Security Mode Command, orden del modo de seguridad del estrato de acceso). El proceso de activacion puede ser el mismo que un proceso de activacion de la proteccion de seguridad de estrato de acceso en la interfaz de aire Uu en la tecnica anterior con la
5
10
15
20
25
30
35
40
45
50
55
60
65
excepcion de que un parametro interviniente en el proceso es un parametro en la interfaz de aire Uu' en lugar de un parametro en la interfaz de aire Uu. Ademas, una manera de deducir la clave de estrato de acceso incluyendo una clave de proteccion de integridad de senalizacion de RRC, una clave de cifrado y una clave de cifrado de datos del plano de usuario en la interfaz de aire Uu' puede ser la misma que una manera de deducir una clave de estrato de acceso de LTE y por ello no se describe aqu de nuevo.
Segunda realizacion a modo de ejemplo
Una diferencia entre la segunda realizacion, a modo de ejemplo, ilustrada en la Figura 7 y la primera realizacion, a modo de ejemplo, radica principalmente en una manera de adquisicion de la clave KeNB* Una clave KeNB* se calcula en conformidad con un numero aleatorio en la segunda realizacion a modo de ejemplo, pero se calcula en conformidad con el valor de PDCP COUNT en el primer ejemplo.
En el segundo ejemplo, el numero aleatorio se introduce para distinguir diferentes claves deducidas por un nodo eNB en un tiempo diferente:
KeNB*=KDF (KeNB, PCI, DL EARFCN, noncel, nonce2)
en donde KeNB* es una clave rafz de estrato de acceso en una interfaz de aire Uu'; KDF es una funcion de generacion de claves; KeNB es una clave rafz de estrato de acceso en una interfaz de aire Uu; PCI es un identificador de velocidad de una celula LTE-Hi cubierta por un nodo LTE-Hi; DL EARFCN indica una frecuencia central de la celula LTE-Hi; noncel es un numero aleatorio generado por el nodo eNB; nonce2 es un numero aleatorio generado por un equipo UE. Conviene senalar que, aunque los parametros noncel y nonce2 se utilizan en la manera de deduccion de la clave KeNB* anterior, noncel o nonce2 pueden utilizarse de forma independiente en tanto que el numero aleatorio se utiliza cuando se deduce la clave KeNB*. Cuando noncel y nonce2 se utilizan para deducir la clave KeNB*, puede proporcionarse una mejor seguridad. Ademas, esta expresion es simplemente a modo de ejemplo y no plantea ninguna limitacion sobre como adquirir la clave KeNB*. A modo de ejemplo, cuando se deduce la clave KeNB*, solamente puede utilizarse el identificador PCI o DL EARFCN o ninguno de ellos.
En la etapa S705, el equipo UE realiza una transmision de datos con el nodo eNB utilizando la interfaz de aire Uu. Los datos comunicados entre el equipo UE y una red base, una red de paquetes o similar se reenvfan entre el nodo eNB y una pasarela MME/SGW (Serving Gateway, pasarela de servicio)/PGW (Packet Data Network Gateway, pasarela de red de datos por paquetes).
Segun se ilustra en la Figura 7, tres canales de datos estan configurados entre el equipo UE y la pasarela MME/SGW/PGW, esto es, el soporte de E-RAB (E-UTRAN Radio Access Bearer, soporte de acceso a radio de E- UTRAN)=0, E-RAB=1, y E-RAB=2. E-RAB=0 incluye el soporte de radio (Radio Bearer, RB)=0 entre el equipo UE y el nodo eNB y un soporte S1 entre el nodo eNB y la pasarela MME/SGW/PGW; E-RAB= 1 incluye RB=1 entre el equipo UE y el nodo eNB y el soporte S1 entre el nodo eNB y la pasarela MME/SGW/PGW; E-RaB=2 incluye RB=2 entre el equipo UE y el nodo eNB y el soporte S1 entre el nodo eNB y la pasarela MME/SGW/PGW.
En la etapa S710, el equipo UE realiza la medicion del punto de acceso LTE-Hi AP.
En la etapa S715, el equipo UE envfa un informe de medicion al nodo eNB, en donde el informe de medicion contiene una lista de CGI (Cell Global Identity, identidad global de celula) encontrada por el equipo UE para los puntos de acceso LTE-Hi APs.
En la etapa S720, el nodo eNB selecciona, en conformidad con el informe de medicion, un punto de acceso LTE-Hi AP a partir de los puntos de acceso LTE-Hi APs informados por el equipo UE para servir al nodo eNB. En esta realizacion, se supone que el nodo eNB selecciona el punto de acceso LTE-Hi AP 1 en la arquitectura ilustrada en la Figura 4, que se denomina, en forma abreviada, el nodo LTE-Hi.
En la etapa S725, el nodo eNB envfa un mensaje de reconfiguracion de conexion de RRC (RRCConnectionReconfiguration) al equipo UE, en donde el mensaje incluye el CGI del punto de acceso LTE-Hi AP seleccionado por el nodo eNB. Si el numero aleatorio noncel generado por el nodo eNB necesita utilizarse para deducir la clave KeNB*, el parametro noncel esta contenido tambien en el mensaje de reconfiguracion de conexion de RRC.
En la etapa S730, el equipo UE calcula la clave KeNB* y deduce una clave de estrato de acceso en la interfaz de aire Uu' en conformidad con la clave KeNB*. Segun se describe en la expresion en el segundo ejemplo, la clave KeNB* puede calcularse utilizando noncel, utilizando nonce2 o utilizando ambos noncel y nonce2. Cuando nonce2 necesita utilizarse para el calculo de la clave KeNB*, el equipo UE genera el numero aleatorio nonce2 de forma aleatoria.
En la etapa S735, el equipo UE envfa un mensaje de demanda de conexion de RRC (RRCConnectionRequest) al nodo LTE-Hi en conformidad con el nodo LTE-Hi seleccionado por el nodo eNB.
5
10
15
20
25
30
35
40
45
50
55
60
65
En la etapa S740, el nodo LTE-Hi envfa un mensaje de configuracion de conexion de RRC (RRCConnectionSetup) al equipo UE.
En la etapa S745, el equipo UE envfa un mensaje de terminacion de configuracion de conexion de RRC (RRCConnectionSetupComplete) al nodo LTE-Hi.
En la etapa S750, el equipo UE accede a la celula LTE-Hi servida por el nodo LTE-Hi y envfa un mensaje de terminacion de reconfiguracion de conexion de RRC (RRCConnectionReconfigurationComplete) al nodo eNB. Cuando necesita utilizarse nonce2 para deducir la clave KeNB*, ademas de un identificador C-RNTI (Cell-Radio Network Temporary Identifier, identificador temporal de red de radio-celular) asignado por el nodo LTE-Hi que necesita transmitirse por este mensaje en la tecnica anterior, este mensaje necesita tambien contener nonce2.
En la etapa S755, el nodo eNB calcula la clave KeNB*. Cuando el numero nonce2 aleatoriamente generado por el equipo UE necesita utilizarse para el calculo de la clave KeNB*, el nodo eNB necesita calcular la clave KeNB* despues de recibir el nonce2 en la etapa S750. Cuando solamente se requiere noncel en lugar de nonce2 para el calculo de la clave KeNB*, el nodo eNB puede calcular tambien la clave KeNB* despues de que se genere noncel.
En la etapa S760, el nodo eNB envfa un contexto del equipo UE al nodo LTE-Hi, en donde el contexto del equipo UE necesita incluir la clave KeNB* y una capacidad de seguridad del equipo UE. La clave KeNB* se utiliza por el nodo LTE-Hi para deducir la clave de estrato de acceso y la capacidad de seguridad del equipo UE se utiliza por el nodo LTE-Hi para realizar una negociacion operativa de AS SMC con el equipo UE.
En la etapa S765, el nodo LTE-Hi inicia operativamente un proceso de AS SMC para negociar un algoritmo de seguridad de la interfaz Uu' con el equipo UE y activa la proteccion de seguridad de AS. El proceso de AS SMC realizado por el nodo LTE-Hi y el equipo UE puede ser el mismo que un proceso de AS SMC realizado en la interfaz de aire Uu en la tecnica anterior y por ello no se describe aqrn de nuevo. Despues de lo que antecede, puede realizarse una proteccion de cifrado e integridad en todos los mensajes en la interfaz de aire Uu' en conformidad con Krreint y Krrcenc deducidos de la clave KeNB* y puede realizarse una proteccion de cifrado para datos del plano del usuario en conformidad con Kupenc. Un metodo para deducir una clave de proteccion de la integridad y una clave de cifrado de la senalizacion de RRC y una clave de cifrado para los datos del plano del usuario es el mismo que un metodo para deducir una clave de LTE AS.
En la etapa S770, el nodo eNB envfa un mensaje de demanda de configuracion de E-RAB al nodo LTE-Hi, en donde el mensaje contiene una lista de E-RAB a establecerse y C-RNTI del equipo de usuario UE. Se supone que ha de establecerse E-RAB=2
En la etapa S775, el nodo LTE-Hi envfa el mensaje de reconfiguracion de conexion de RRC al equipo UE, en donde el mensaje contiene E-RAB=2 y RB=3.
En la etapa S780, el equipo UE reenvfa el mensaje de terminacion de reconfiguracion de conexion de RRC al nodo LTE-Hi.
En la etapa S785, el nodo LTE-Hi reenvfa un mensaje de respuesta de configuracion de E-RAB al nodo eNB, en donde el mensaje contiene una lista de configuracion de E-RAB que incluye a RB=3.
En la etapa S790, el nodo eNB envfa el mensaje de reconfiguracion de conexion de RRC al equipo UE, demandado al UE la liberacion de RB=2.
En la etapa S795, el equipo UE reenvfa el mensaje de terminacion de reconfiguracion de conexion de RRC al nodo eNB.
De este modo, los tres canales de datos E-RAB=0, E-RAB=1 y E-RAB=2 se configuran entre el equipo UE y la pasarela MME/SGW/PGW en la configuracion de la bifurcacion de Hi por el nodo eNB. E-RAB=0 y E-rAb= 1 son los mismos valores que E-RAB=0 y E-RAB=1 iniciales. E-RAB=2 despues de la reconfiguracion incluye RB=3 entre el equipo UE y el nodo LTE-Hi, un soporte S1' entre el nodo LTE-Hi y el nodo eNB y el soporte de S1 entre el nodo eNB y la pasarela MME/SGW/PGW.
A continuacion se describe otro metodo 800 para generar una clave de estrato de acceso en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion haciendo referencia a la Figura 8. En el sistema de comunicaciones, un equipo de usuario UE accede a una red base por intermedio de una estacion base utilizando una primera interfaz de aire y se conecta a la estacion base por intermedio de un dispositivo de acceso utilizando una segunda interfaz de aire para acceder a la red base. Por lo tanto, el sistema de comunicaciones al que se aplica el metodo 800 es un sistema que soporta la transmision de descarga de datos y el equipo de usuario Ue puede conectarse a la estacion base utilizando las dos interfaces al mismo tiempo. Dicho sistema de comunicaciones puede incluir, sin limitacion, a: una arquitectura de LTE-Hi, una arquitectura de LTE-
5
10
15
20
25
30
35
40
45
50
55
60
65
WiFi, una arquitectura WCDMA-WiFi y similares.
Segun se ilustra en la Figura 8, el metodo 800 incluye:
en la etapa S810, la adquisicion de una clave rafz de estrato de acceso KeNB en la primera interfaz de aire; y
en la etapa S820, el envfo de la clave KeNB al dispositivo de acceso de modo que el dispositivo de acceso calcule una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con un parametro de entrada adquirido y la clave KeNB y genera una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB*, en donde la clave KeNB* se calcula tambien por el equipo UE en conformidad con el parametro de entrada y la clave KeNB, la clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el equipo UE en conformidad con la clave KeNB*, y el parametro de entrada incluye un parametro variable en el tiempo y/o un parametro relacionado con una celula de servicio del dispositivo de acceso.
El metodo 800 se realiza por la estacion base. En conformidad con la tecnica anterior, la estacion base y el equipo UE memorizan la clave KeNB en la primera interfaz de aire. En esta forma de realizacion de la presente invencion, la estacion base envfa la clave KeNB memorizada al dispositivo de acceso. De este modo, el dispositivo de acceso puede generar la clave KeNB* en conformidad con el parametro de entrada y la clave KeNB. El equipo UE tiene tambien el mismo parametro de entrada y por lo tanto, el equipo UE puede generar tambien la clave KeNB* en conformidad con la clave KeNB memorizada en el equipo UE. De este modo, el dispositivo de acceso y el equipo UE pueden deducir la misma clave de estrato de acceso en la segunda interfaz de aire en conformidad con la misma clave rafz KeNB*.
En consecuencia, la clave de estrato de acceso puede introducirse en la segunda interfaz de aire para ayudar a realizar una transmision segura. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, puede mejorarse la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario.
La Figura 8 describe el metodo 800 para generar una clave de estrato de acceso en un lado de la estacion base. A continuacion se describe un metodo 900 para generar una clave de estrato de acceso en un lado del dispositivo de acceso en conformidad con una forma de realizacion de la presente invencion haciendo referencia a la Figura 9 y un metodo 1000 para generar una clave de estrato de acceso en un lado del equipo de usuario UE en conformidad con una forma de realizacion de la presente invencion haciendo referencia a la Figura 10. Tanto el metodo 900 como el metodo 1000 corresponden al metodo 800. Por lo tanto, para descripciones espedficas del metodo 900 y del metodo 1000, puede hacerse referencia a las partes correspondientes del metodo 800 y por ello no se describen aqu los detalles para evitar una repeticion. Tanto el metodo 900 como el metodo 1000 se aplican al sistema de comunicaciones siguiente: un equipo de usuario UE accede a una red base por intermedio de una estacion base utilizando una primera interfaz de aire y se conecta a la estacion base por intermedio de un dispositivo de acceso utilizando una segunda interfaz de aire para acceder a la red base.
Segun se ilustra en la Figura 9, el metodo 900 incluye:
en la etapa S910, la adquisicion de un parametro de entrada, en donde el parametro de entrada incluye un parametro variable en el tiempo y/o u parametro relacionado con una celula de servicio del dispositivo de acceso;
en la etapa S920, la recepcion de una clave rafz de estrato de acceso KeNB en la primera interfaz de aire procedente de la estacion base;
en la etapa S930, el calculo de una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada y la clave KeNB, en donde la clave KeNB* se calcula tambien por el equipo UE en conformidad con el parametro de entrada y la clave KeNB; y
en la etapa S940, la generacion de una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB*, en donde el clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el equipo UE en conformidad con la clave KeNB*.
El metodo 900 se realiza por el dispositivo de acceso. El dispositivo de acceso puede generar la clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire utilizando el parametro de entrada adquirido y la clave KeNB recibida procedente de la estacion base. El equipo de usuario Ue puede generar tambien la misma clave KeNB* utilizando el parametro de entrada adquirido y la clave KeNB memorizada en el equipo UE. De este modo, tanto el dispositivo de acceso como el equipo Ue pueden tener la misma clave rafz KeNB* y pueden deducir la misma clave de estrato de acceso en la segunda interfaz de aire utilizando la clave KeNB*, con lo que se mejora la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire.
Aunque la etapa S910 se realiza antes que la etapa S920 en el metodo 900, S910 puede realizarse tambien
5
10
15
20
25
30
35
40
45
50
55
60
65
despues de S920 o puede realizarse de manera simultanea con S920 en tanto que se realicen antes de S930.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un numero aleatorio generado por el dispositivo de acceso. En este caso, el dispositivo de acceso adquiere el parametro de entrada en conformidad con el numero aleatorio generado por sf mismo. Para permitir al equipo UE adquirir tambien el parametro de entrada, el dispositivo de acceso necesita enviar el numero por sf mismo al equipo UE. A modo de ejemplo, el dispositivo de acceso puede enviar un mensaje de orden del modo de seguridad al equipo UE, en donde el mensaje de orden del modo de seguridad contiene el numero aleatorio generado por el dispositivo de acceso. De este modo, la circunstancia de que el numero aleatorio se contenga en el mensaje de orden del modo de seguridad puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afecte a una secuencia de envfo de mensajes existente. El equipo de usuario UE y el dispositivo de acceso pueden generar la misma clave KeNB* utilizando el mismo parametro de entrada y la clave KeNB.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un numero aleatorio generado por el equipo UE. En este caso, el equipo UE adquiere el parametro de entrada en conformidad con el numero aleatorio generado por sf mismo. Para permitir al dispositivo de acceso adquirir tambien el parametro de entrada, el equipo UE necesita enviar el numero aleatorio generado por sf mismo al dispositivo de acceso. A modo de ejemplo, el dispositivo de acceso puede recibir un mensaje de terminacion de configuracion utilizado para indicar que un enlace de radio esta correctamente configurado en la segunda interfaz de aire desde el equipo UE, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo Ue. De este modo, la inclusion del numero aleatorio en el mensaje de terminacion de configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y asegurar que la transmision del numero aleatorio no afectara a la secuencia de envfo de mensajes existente.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un primer numero aleatorio generado por el dispositivo de acceso y un segundo numero aleatorio generado por el equipo UE. Para permitir al dispositivo de acceso y al equipo UE tener el mismo parametro de entrada para generar la misma clave KeNB*, el dispositivo de acceso necesita enviar el primer numero aleatorio al equipo UE, a modo de ejemplo, utilizando el mensaje de orden del modo de seguridad, y el equipo UE necesita enviar el segundo numero aleatorio a la estacion base, a modo de ejemplo, utilizando el mensaje de terminacion de configuracion usado para indicar que el enlace de radio esta correctamente configurado en la segunda interfaz de aire. La generacion de la clave KeNB* utilizando los numeros aleatorios generados por el dispositivo de acceso y el equipo UE tienen una mas alta seguridad que la generacion de la clave KeNB* utilizando solamente el numero aleatorio generado por el dispositivo de acceso o el equipo UE.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro relacionado con una celula de servicio del dispositivo de acceso, el parametro relacionado con la servicio de servicio del dispositivo de acceso puede incluir al menos uno de los elementos siguientes: un identificador de celula de la celula de servicio del dispositivo de acceso y una frecuencia central de la celula de servicio del dispositivo de acceso. El uso de parametros pertinentes de diferentes celulas ayuda a garantizar que la clave KeNB* deducida sea distinta para celulas diferentes.
En conformidad con el metodo para la generacion de una clave de estrato de acceso en esta forma de realizacion de la presente invencion, el equipo de usuario y el dispositivo de acceso pueden utilizar el mismo parametro de entrada y la clave KeNB para generar la misma clave rafz KeNB*, de modo que la misma clave de estrato de acceso en la segunda interfaz de aire pueda deducirse sobre la base de la clave KeNB*. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, se puede mejorar la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y esta garantizada la seguridad de la transmision de datos entre el dispositivo de acceso y el equipo de usuario.
Segun se ilustra en la Figura 10, el metodo 1000 incluye:
en la etapa S1010, la adquisicion de un parametro de entrada, en donde el parametro de entrada incluye un parametro variable en el tiempo y/o un parametro relacionado con una celula de servicio del dispositivo de acceso;
en la etapa S1020, el calculo de una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, en donde la clave KeNB* se calcula tambien por el dispositivo de acceso en conformidad con el parametro de entrada y la clave KeNB recibida desde la estacion base; y
en la etapa S1030, la energfa de una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB*, en donde la clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el
5
10
15
20
25
30
35
40
45
50
55
60
65
dispositivo de acceso en conformidad con la clave KeNB*
El metodo 1000 se realiza por el equipo de usuario. El equipo de usuario puede generar la clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire utilizando el parametro de entrada adquirido y la clave de estrato de acceso KeNB conocida por sf mismo. El dispositivo de acceso puede generar tambien la misma clave KeNB* utilizando el parametro de entrada adquirido y la clave KeNB recibida desde la estacion base. De este modo, el equipo de usuario y el dispositivo de acceso pueden tener la misma clave rafz KeNB* y pueden deducir la misma clave de estrato de acceso en la segunda interfaz de aire utilizando la clave KeNB*, con lo que se mejora la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un numero aleatorio generado por el dispositivo de acceso. En este caso, el equipo UE necesita recibir el numero aleatorio generado por el dispositivo de acceso procedente del dispositivo de acceso. A modo de ejemplo, el equipo UE puede recibir un mensaje de orden del modo de seguridad procedente del dispositivo de acceso, en donde el mensaje de orden del modo de seguridad contiene el numero aleatorio generado por el dispositivo de acceso. De este modo, la inclusion del numero aleatorio en el mensaje de orden del modo de seguridad puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afecte a una secuencia de envfo de mensajes existente. El equipo UE y el dispositivo de acceso pueden generar la misma clave KeNB* utilizando el mismo parametro de entrada y la clave KeNB, con lo que se deduce la misma clave de estrato de acceso.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un numero aleatorio generado por el equipo de UE. En este caso, el equipo UE necesita enviar el numero aleatorio generado al dispositivo de acceso de modo que el dispositivo de acceso pueda generar la misma clave KeNB* que el equipo UE. A modo de ejemplo, el equipo Ue puede enviar un mensaje de terminacion de configuracion utilizado para indicar que un enlace de radio esta correctamente configurado en la segunda interfaz de aire para el dispositivo de acceso, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo UE. De este modo, la inclusion del numero aleatorio en el mensaje de terminacion de configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afectara a la secuencia de envfo de mensajes existente.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro variable en el tiempo, el parametro variable en el tiempo puede incluir un primer numero aleatorio generado por el dispositivo de acceso y un segundo numero aleatorio generado por el equipo UE. Para permitir al dispositivo de acceso y al equipo UE tener el mismo parametro de entrada para generar la misma clave KeNB*, el dispositivo de acceso necesita enviar el primer numero al equipo UE, a modo de ejemplo, utilizando el mensaje de orden del modo de seguridad, y el equipo UE necesita enviar el segundo numero aleatorio al dispositivo de acceso, a modo de ejemplo, utilizando el mensaje de terminacion de configuracion usado para indicar que el enlace de radio esta correctamente configurado en la segunda interfaz de aire. La generacion de la clave KeNB* utilizando los numeros aleatorios generados por separado por el dispositivo de acceso y el equipo UE tienen mas alta seguridad que la generacion de la clave KeNB* utilizando solamente el numero aleatorio generado por el dispositivo de acceso o el equipo UE.
En conformidad con una forma de realizacion de la presente invencion, cuando el parametro de entrada incluye el parametro relacionado con la celula de servicio del dispositivo de acceso, el parametro relacionado de la celula de servicio del dispositivo de acceso puede incluir al menos uno de los elementos siguientes: un identificador de celula de la celula de servicio del dispositivo de acceso y una frecuencia central de la celula de servicio del dispositivo de acceso. El uso de parametros pertinentes de distintas celulas ayuda a garantizar que la clave KeNB* deducida es distinta para diferentes celulas.
En conformidad con el metodo para generar una clave de estrato de acceso en esta forma de realizacion de la presente invencion, el equipo de usuario y el dispositivo de acceso pueden utilizar el mismo parametro de entrada y la clave KeNB para generar la misma clave rafz KeNB*, de modo que la misma clave de estrato de acceso en la segunda interfaz de aire pueda deducirse sobre la base de la clave KeNB*. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, se puede mejorar la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario.
A continuacion se describe una puesta en practica espedfica del metodo 800 al metodo 1000 con referencia a una realizacion espedfica, a modo de ejemplo. Un tercer ejemplo se utiliza simplemente para ayudar a entender las soluciones tecnicas dadas a conocer por la presente invencion y no plantea ninguna limitacion sobre el alcance de proteccion de la presente invencion. El tercer ejemplo se pone en practica tambien en la arquitectura de LTE-Hi ilustrada en la Figura 4 y el punto de acceso LTE-Hi Ap 1 se denomina tambien un nodo LTE-Hi.
5
10
15
20
25
30
35
40
45
50
55
60
65
Tercera realizacion a modo de ejemplo
Una diferencia entre el tercer ejemplo ilustrado en la Figura 11 y el segundo ejemplo radica principalmente en una entidad de calculo de la clave KeNB* Una clave KeNB* se calcula por el nodo LTE-Hi y un equipo UE en el tercer ejemplo pero se calcula mediante un nodo eNB y el equipo UE en el segundo ejemplo.
En el tercer ejemplo, el nodo LTE-Hi y el equipo UE pueden deducir una clave rafz de estrato de acceso KeNB* en una interfaz de aire Uu' en conformidad con la expresion siguiente:
KeNB*=KDF (KeNB, PCI, DL EARFCN, nonce3, nonce4)
en donde KDF es una funcion de generacion de claves; la clave KeNB es una clave rafz de estrato de acceso en una interfaz de aire Uu; PCI es un identificador de celula de una celula LTE-Hi cubierta por el nodo LTE-Hi; DL EARFCN indica una frecuencia central de la celula LTE-Hi; el nonce3 es un numero aleatorio generado aleatoriamente por el nodo LTE-Hi; nonce4 es un numero aleatorio generado de forma aleatoria por el equipo UE. Conviene senalar que, aunque nonce3 y nonce4 se utilizan en la manera de deduccion de la clave KeNB* anterior, nonce3 o nonce4 pueden utilizarse independientemente en tanto que el numero aleatorio se utilice cuando se proceda a la deduccion de la clave KeNB*. Cuando nonce3 y nonce4 se utilizan para deducir la clave KeNB*, puede proporcionarse una mejor seguridad y los valores de las claves deducidas en un distinto momento son diferentes. Ademas, nonce3 y nonce4 tienen una funcion anti-retransmision. Ademas, esta expresion es solamente a modo de ejemplo y no plantea ninguna limitacion sobre la forma de adquirir la clave KeNB*. A modo de ejemplo, el nodo LTE-Hi puede utilizar solamente PCI o DL EARFCN o puede no utilizar ninguno de ellos cuando se deduce la clave KeNB*. Cuando solamente una celula Hi esta nivel bajo el nodo LTE-Hi, no se puede utilizar PCI y DL EARFCN.
En la etapa S1105, el equipo UE realiza la transmision de datos con el nodo eNB utilizando la interfaz de aire Uu, y los datos comunicados entre el equipo UE y una red base, una red de paquetes o similar que se reenvfa entre el nodo eNB y la pasarela MME/SGW/PGW.
Segun se ilustra en la Figura 11, tres canales de datos se configuran entre el equipo UE y la pasarela MME/SGW/PGW, es decir, E-RAB=0, E-RAB= 1 y E-RAB=2. E-RAB=0 incluye RB=0 entre el equipo UE y el nodo eNB y un soporte S1 entre el nodo eNB y la pasarela MME/SGW/PGW; E-RAB=1 incluye RB=1 entre el equipo UE y el nodo eNB y el soporte S1 entre el nodo eNB y la pasarela MME/SGW/PGW; E-RaB=2 incluye RB=2 entre el equipo UE y el nodo eNB y el soporte S1 entre el nodo eNB y la pasarela MME/SGW/PGW
En la etapa S1110, el equipo UE realiza el contexto del punto de acceso LTE-Hi AP.
En la etapa S1115, el equipo UE envfa un informe de medicion al nodo eNB, en donde el informe de medicion incluye una lista de CGI encontrada por el equipo UE para los puntos de acceso LTE-Hi APs.
En la etapa S1120, el nodo eNB selecciona, en conformidad con el informe de medicion, un punto de acceso LTE-Hi AP desde entre los puntos de acceso LTE-Hi APs informados por el equipo UE para servir al nodo eNB. En este ejemplo, se supone que el nodo eNB selecciona el punto de acceso LTE-Hi AP 1 en la arquitectura ilustrada en la Figura 4, que se denomina el nodo LTE-Hi de forma abreviada.
En la etapa S1125, el nodo eNB envfa un reconfiguracion de reconfiguracion de RRC al equipo UE, en donde el mensaje contiene un CGI del LTE-Hi AP seleccionado por el nodo eNB.
En la etapa S1130, el equipo UE envfa un mensaje de demanda de conexion de RRC al nodo LTE-Hi.
En la etapa S1135, el nodo LTE-Hi envfa un mensaje de configuracion de conexion de RRC al equipo UE.
En la etapa S1140, el nodo LTE-Hi envfa un mensaje de terminacion de configuracion de conexion de RRC al equipo UE, en donde el mensaje contiene el numero aleatorio nonce4 generado por el equipo UE.
En la etapa S1145, el equipo UE envfa un mensaje de terminacion de reconfiguracion de conexion de RRC al nodo eNB, en donde el mensaje contiene un C-RNTI asignado por el nodo LTE-Hi.
En la etapa S1150, el nodo eNB envfa un contexto de UE al nodo LTE-Hi, en donde el contexto del UE incluye la clave KeNB y una capacidad de seguridad del UE.
En la etapa S1155, el nodo LTE-Hi genera el numero aleatorio nonce3, calcula la clave KeNB* en conformidad con el nonce4 recibido y el nonce3 aleatoriamente generado, y calcula una calculo en conformidad con la clave KeNB*.
En la etapa S1160, el nodo LTE-Hi envfa una orden del modo de seguridad al equipo UE, en donde la orden contiene el numero aleatorio nonce3.
5
10
15
20
25
30
35
40
45
50
55
60
65
En la etapa S1165, el equipo UE calcula la clave KeNB* en conformidad con los numeros aleatorios nonce4 y nonce3 y calcula la clave rafz de estrato de acceso en conformidad con la clave KeNB*.
En la etapa S1170, el equipo UE reenvfa un mensaje de terminacion de modo de seguridad al nodo LTE-Hi. Despues de esa operacion, se realizan las protecciones de integridad y cifrado en todos los mensajes de RRC transmitidos entre el equipo UE y el nodo LTE-Hi, utilizando los parametros Krreint y Krrcenc deducidos a partir de la clave KeNB* y se realiza la proteccion de cifrado para todos los datos del plano del usuario utilizando Kupenc deducido de la clave KeNB*.
En la etapa S1175, el nodo eNB envfa un mensaje de demanda de configuracion de E-RAB al nodo LTE-Hi, en donde el mensaje contiene una lista de E-RAB a establecerse y el C-RNTI del equipo UE. Se supone que ha de establecerse E-RaB=2.
En la etapa S1180, el nodo LTE-Hi envfa el mensaje de reconfiguracion de conexion de RRC al equipo UE, en donde el mensaje contiene E-RAB=2 y RB=3.
En la etapa S1185, el equipo UE reenvfa el mensaje de terminacion de reconfiguracion de conexion de RRC al nodo LTE-Hi.
En la etapa S1190, el nodo LTE-Hi reenvfa un mensaje de respuesta de configuracion de E-RAB al nodo eNB, en donde el mensaje contiene una lista de configuracion de E-RAB que incluye RB=3.
En la etapa S1195, el nodo eNB envfa el mensaje de reconfiguracion de conexion de RRC al equipo UE, demandando al UE que libere RB=2.
En la etapa S1198, el equipo UE reenvfa el mensaje de terminacion de reconfiguracion de conexion de RRC al nodo eNB.
De este modo, los tres canales de datos E-RAB=0, E-RAB=1 y E-RAB=2 se configuran entre el equipo UE y la pasarela MME/SGW/PGW a la configuracion de una bifurcacion de Hi por el nodo eNB. E-RAB=0 y E-RaB=1 son los mismos que los E-RAB=0 y E-RAB=1 iniciales. E-RAB=2 despues de la reconfiguracion incluye RB=3 entre el equipo UE y el nodo LTE-Hi, un soporte S1' entre el nodo LTE-Hi y el nodo eNB y el soporte S1 entre el nodo eNB y la pasarela MME/SGW/PGW.
Aunque los numeros aleatorios nonce3 y nonce4 se envfan utilizando el mensaje de orden del modo de seguridad y el mensaje de terminacion de configuracion de conexion de RRC, respectivamente en el tercer ejemplo, los numeros aleatorios nonce3 y nonce4 pueden enviarse tambien a un extremo del mismo nivel utilizando otros mensajes. Ademas, un metodo para deducir una clave de proteccion de integridad y una clave de cifrado de la senalizacion de RRC y una clave de cifrado de datos del plano del usuario es el mismo que un metodo para deducir una clave de LTE AS
A continuacion se describe otro metodo 1200 para generar una clave de estrato de acceso en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion haciendo referencia a la Figura 12. En el sistema de comunicaciones, un equipo UE accede a una red base por intermedio de una estacion base utilizando una primera interfaz de aire y se conecta a la estacion base por intermedio de un dispositivo de acceso utilizando una segunda interfaz de aire para acceder a la red base. Por lo tanto, el sistema de comunicaciones al que se aplica el metodo 1200 es un sistema que soporta la transmision de descarga de datos y el equipo UE se puede conectar a la estacion base usando las dos interfaces de aire al mismo tiempo. Dicho sistema de comunicaciones puede incluir, sin limitacion, a: una arquitectura LTE-Hi, una arquitectura LTE-WiFi, una arquitectura WCDMA-WiFi y arquitecturas similares.
Segun se ilustra en la Figura 12, el metodo 1200 incluye:
en la etapa S1210, la adquisicion de una clave de estrato de acceso KeNB en la primera interfaz de aire; y
en la etapa S1220, el envfo de la clave KeNB al dispositivo de acceso de modo que el dispositivo de acceso genere una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB, en donde la clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el equipo UE en conformidad con la clave KeNB.
El metodo 1200 se realiza por la estacion base. En conformidad con la tecnica anterior, la estacion base y el equipo UE memorizan la clave KeNB en la primera interfaz de aire. En esta forma de realizacion de la presente invencion, la clave KeNB se utiliza directamente como la clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire. De este modo, despues de recibir la clave KeNB desde la estacion base, el dispositivo de acceso, junto con el equipo UE, pueden utilizar la clave KeNB como clave rafz de estrato de acceso en la segunda interfaz de aire y deducir la clave de estrato de acceso en la segunda interfaz de aire utilizando la clave KeNB, con lo que se introduce la clave
5
10
15
20
25
30
35
40
45
50
55
60
65
de estrato de acceso utilizada para una transmision segura por intermedio de la segunda interfaz de aire.
Durante la deduccion de la clave de estrato de acceso, el dispositivo de acceso y el equipo UE pueden utilizar un algoritmo de deduccion preestablecido, el dispositivo de acceso selecciona un algoritmo de deduccion y luego, lo envfa al equipo UE, o el dispositivo de acceso y el equipo UE negocian operativamente el algoritmo de deduccion. El dispositivo de acceso y el equipo UE pueden generar la misma clave de estrato de acceso cuando tienen el mismo algoritmo de deduccion y la misma clave rafz, con lo que se ayuda a poner una transmision de datos segura.
En conformidad con el metodo para generar una clave de estrato de acceso en esta forma de realizacion de la presente invencion, el dispositivo de acceso y el equipo UE utilizan la clave KeNB como la clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire y pueden deducir la misma clave de estrato de acceso en la segunda interfaz de aire conjuntamente. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, se puede mejorar la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario. Ademas, utilizando directamente las caractensticas de las claves KeNB y KeNB* se consigue una puesta en practica simple y una baja complejidad.
La Figura 12 describe el metodo 1200 para generar una clave de estrato de acceso en un lado de la estacion base. A continuacion se describe un metodo 1300 para generar una clave de estrato de acceso en un lado del dispositivo de acceso en conformidad con una forma de realizacion de la presente invencion haciendo referencia a la Figura 13 y un metodo 1400 para generar una clave de estrato de acceso en un lado del equipo UE en conformidad con una forma de realizacion de la presente invencion haciendo referencia a la Figura 14. Tanto el metodo 1300 como el metodo 1400 corresponden al metodo 1200. Por lo tanto, para las descripciones espedficas del metodo 1300 y del metodo 1400 puede hacerse referencia a las partes correspondientes del metodo 1200 y por ello sus detalles no se describen aqu de nuevo para evitar una repeticion. Tanto el metodo 1300 como el metodo 1400 se aplican al sistema de comunicaciones siguiente: un equipo UE accede a una red base por intermedio de una estacion base utilizando una primera interfaz de aire y se conecta a la estacion base por intermedio de un dispositivo de acceso utilizando una segunda interfaz de aire para acceder a la red base.
Segun se ilustra en la Figura 13, el metodo 1300 incluye:
en la etapa S1310, la recepcion de una clave rafz de estrato de acceso KeNB en la primera interfaz de aire procedente de la estacion base; y
en la etapa S1320, la generacion de una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB, en donde la clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el equipo UE en conformidad con la clave KeNB.
El metodo 1300 se realiza por el dispositivo de acceso. Adquiriendo la clave KeNB desde la estacion base, el dispositivo de acceso, junto con el equipo UE, pueden utilizar la clave KeNB como una clave rafz de estrato de acceso en la segunda interfaz de aire y deducir, en conformidad con la clave KeNB, la misma clave de estrato de acceso utilizada en la segunda interfaz de aire. De este modo se introduce una clave utilizada para una transmision segura por intermedio de la segunda interfaz de aire y se resuelve un problema en la tecnica anterior en donde no podna garantizarse la seguridad de la transmision por intermedio de la segunda interfaz de aire.
En conformidad con el metodo para generar una clave de estrato de acceso en esta forma de realizacion de la presente invencion, el dispositivo de acceso y el equipo UE utilizan la clave KeNB como la clave rafz de estrato de acceso en la segunda interfaz de aire y pueden deducir la misma clave de estrato de acceso en la segunda interfaz de aire de forma conjunta. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, se puede mejorar la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario. Ademas, utilizando directamente la clave KeNB como la clave KeNB* se puede realizar una puesta en practica simple y con baja complejidad.
Segun se ilustra en la Figura 14, el metodo 1400 incluye:
en la etapa S1410, la adquisicion de una clave rafz de estrato de acceso KeNB en la primera interfaz de aire; y
en la etapa S1420, la generacion de una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB, en donde la clave de estrato de acceso en la segunda interfaz de aire se genera tambien por el dispositivo de acceso en conformidad con la clave KeNB recibida desde la estacion base.
El metodo 1400 se realiza por el equipo de usuario. El equipo de usuario y el dispositivo de acceso utilizan la clave KeNB como una clave rafz de estrato de acceso en la segunda interfaz de aire y pueden deducir la misma clave de estrato de acceso en la segunda interfaz de aire de forma conjunta. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, se puede mejorar la
5
10
15
20
25
30
35
40
45
50
55
60
65
seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario. Ademas, utilizando directamente la clave KeNB como la clave KeNB* se puede realizar una puesta en practica simple y con baja complejidad.
A continuacion se describe una puesta en practica espedfica del metodo 1200 al metodo 1400 con referencia a una realizacion espedfica a modo de ejemplo. Un cuarto ejemplo se utiliza simplemente para ayudar a entender las soluciones tecnicas dadas a conocer por la presente invencion y no plantea ninguna limitacion sobre el alcance de proteccion de la presente invencion. El cuarto ejemplo se pone en practica tambien en la arquitectura de LTE-Hi ilustrada en la Figura 4 y el punto de acceso LTE-Hi AP 1 tambien se denomina como un nodo LTE-Hi.
Cuarta realizacion a modo de ejemplo
En este ejemplo, una clave rafz de estrato de acceso KeNB* en una interfaz de aire Uu' es la misma que una clave rafz de estrato de acceso KeNB en una interfaz de aire Uu. De este modo, un nodo eNB envfa un contexto de UE que incluye la clave KeNB al nodo LTE-Hi, de modo que el nodo LTE-Hi adquiera la clave KeNB y determine ademas, la clave KeNB*.
El nodo LTE-Hi y el equipo UE negocian operativamente un algoritmo en conformidad con la clave KeNB y generar una clave de estrato de acceso utilizada en la interfaz de aire Uu'. El algoritmo negociado por el nodo LTE-Hi y el equipo UE puede ser un algoritmo preestablecido en el nodo LTE-Hi y el equipo UE, un algoritmo utilizado en la interfaz de aire Uu, o un algoritmo que el nodo LTE-Hi selecciona y luego, envfa al equipo UE. Utilizando directamente la clave KeNB como la KeNB*, el nodo LTE-Hi y el equipo UE pueden deducir una clave de cifrado y una clave de proteccion de integridad utilizadas en la interfaz de aire Uu', con lo que se realiza una transmision de datos segura.
Lo que antecede describe los metodos para generar una clave de estrato de acceso en un sistema de comunicaciones en conformidad con las formas de realizacion de la presente invencion. A continuacion se describen diagramas de bloques estructuras de dispositivos correspondientes en conformidad con las formas de realizacion de la presente invencion haciendo referencia a la Figura l5 a la Figura 18. Puesto que los dispositivos ilustrados en la Figura 15 a la Figura 18 estan configurados para poner en practica los metodos para generar una clave de estrato de acceso en conformidad con las formas de realizacion de la presente invencion, para operaciones espedficas y detalles de los dispositivos puede hacerse referencia a las descripciones contenidas en los metodos anteriores.
Las Figuras 15 y 15a son diagramas estructurales de un dispositivo del lado de la red en un sistema de comunicaciones en conformidad con formas de realizacion de la presente invencion. En el sistema de comunicaciones un equipo de usuario UE accede a una red base por intermedio de un primer dispositivo del lado de la red utilizando una primera interfaz de aire y se conecta al primer dispositivo del lado de la red por intermedio de un segundo dispositivo del lado de la red utilizando una segunda interfaz de aire para acceder a la red base. El dispositivo del lado de la red puede ser el primer dispositivo del lado de la red, a modo de ejemplo, una estacion base. El dispositivo del lado de la red puede ser tambien el segundo dispositivo del lado de la red, a modo de ejemplo, un dispositivo de acceso.
Cuando el dispositivo del lado de la red es el segundo dispositivo del lado de la red, el dispositivo del lado de la red incluye un modulo de adquisicion 1510, un modulo de calculo 1520 y un modulo de generacion 1530. El modulo de adquisicion 1510 puede ponerse en practica utilizando una interfaz de entrada y/o un procesador. El modulo de calculo 1520 y el modulo de generacion 1530 pueden ponerse en practica utilizando el procesador. El modulo de adquisicion 1510 esta configurado para adquirir un parametro de entrada, en donde el parametro de entrada incluye un parametro variable en el tiempo y/o un parametro relacionado con una celula de servicio del segundo dispositivo del lado de la red. El modulo de calculo 1520 esta configurado para calcular una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada adquirido por el modulo de adquisicion 1510 y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, o utilizar la clave KeNB como la clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire. El modulo de generacion 1530 esta configurado para generar una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB* calculada por el modulo de calculo 1520.
Para las operaciones anteriores y otras operaciones y/o funciones del modulo de adquisicion 1510, el modulo de calculo 1520 y el modulo de generacion 1530, puede hacerse referencia a las descripciones correspondientes en los metodos 200, 900 y 1300 y en los primero a cuarto ejemplos, y por ello los detalles no se describen aqrn de nuevo para evitar una repeticion.
Segun se ilustra en la Figura 15a, cuando el dispositivo del lado de la red es el primer dispositivo del lado de la red, el dispositivo del lado de la red incluye el modulo de adquisicion 1510, el modulo de calculo 1520 y un modulo de envfo 1530'. El modulo de adquisicion 1510 puede ponerse en practica utilizando la interfaz de entrada y/o el procesador. El modulo de calculo 1520 puede ponerse en practica utilizando el procesador. El modulo de envfo 1530' puede ponerse en practica utilizando una interfaz de salida.
5
10
15
20
25
30
35
40
45
50
55
60
65
Cuando el dispositivo del lado de la red es el primer dispositivo del lado de la red, el modulo de adquisicion 1510 esta configurado para adquirir el parametro de entrada, en donde el parametro de entrada incluye el parametro variable en el tiempo y/o el parametro relacionado con la celula de servicio del segundo dispositivo del lado de la red. El modulo de calculo 1520 esta configurado para calcular la clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada y la clave rafz de estrato de acceso KeNB en la primera interfaz de aire, o utilizar la clave KeNB como la clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire. El modulo de envfo 1530' esta configurado para enviar el KeNB* calculada por el modulo de calculo 1520 al segundo dispositivo del lado de la red, de modo que el segundo dispositivo del lado de la red genere la clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB*.
Para las operaciones anteriores y otras operaciones y/o funciones del modulo de adquisicion 1510, el modulo de calculo 1520 y el modulo de envfo 1530', puede hacerse referencia a las descripciones correspondientes en los metodos 100, 800 y 1200 y en los primero a cuarto ejemplos, y por ello los detalles no se describen aqu de nuevo para evitar una repeticion.
En conformidad con el dispositivo del lado de la red en el sistema de comunicaciones en las formas de realizacion de la presente invencion, el dispositivo de acceso y el equipo UE pueden deducir, ademas, la clave de estrato de acceso en la segunda interfaz de aire adquiriendo la misma clave rafz KeNB* con lo que se introduce la clave de estrato de acceso en la segunda interfaz de aire para ayudar a realizar una transmision segura. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, puede mejorarse la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario.
La Figura 16 y la Figura 16a son diagramas de bloques estructurales de un dispositivo del lado de la red en un sistema de comunicaciones en conformidad con las formas de realizacion de la presente invencion. En el sistema de comunicaciones, un equipo de usuario UE accede a una red base por intermedio de un primer dispositivo del lado de la red utilizando una primera interfaz de aire y se conecta al primer dispositivo del lado de la red por intermedio de un segundo dispositivo del lado de la red utilizando una segunda interfaz de aire para acceder a la red base. Un modulo de adquisicion 1610, un modulo de calculo 1620 y un modulo de generacion 1630 o un modulo de envfo 1630' del dispositivo del lado de la red son basicamente los mismos que un modulo de adquisicion 1510, un modulo de calculo 1520 y un modulo de generacion 1530 o un modulo de envfo 1530' de un dispositivo del lado de la red. Segun se indico con anterioridad, el dispositivo del lado de la red incluye el modulo de generacion 1630 o el modulo de envfo 1630'. Cuando el dispositivo del lado de la red es el segundo dispositivo del lado de la red, el dispositivo del lado de la red incluye el modulo de generacion 1630. Cuando el dispositivo del lado de la red es el primer dispositivo del lado de la red, el dispositivo del lado de la red incluye el modulo de envfo 1630'.
En conformidad con una forma de realizacion de la presente invencion, si el dispositivo del lado de la red es el segundo dispositivo del lado de la red, el dispositivo del lado de la red incluye, ademas, un modulo de recepcion 1640 que esta configurado para recibir una clave KeNB procedente del primer dispositivo del lado de la red.
En conformidad con una forma de realizacion de la presente invencion, un parametro variable en el tiempo adquirido por el modulo de adquisicion 1610 puede incluir un valor de PDCP COUNT de un soporte del equipo UE en la primera interfaz de aire. A modo de ejemplo, el valor de PDCP COUNT adquirido por el modulo de adquisicion 1610 puede corresponder a un mensaje de configuracion, en donde el mensaje de configuracion es un mensaje de configuracion utilizado para configurar la segunda interfaz de aire para el dispositivo del lado de la red. De este modo, cuando el dispositivo del lado de la red es una estacion base, la estacion base y el equipo UE pueden adquirir adecuadamente el parametro variable en el tiempo especificando el valor de PDCP COUNT de un soporte en la estacion base y el equipo UE en lugar de intercambian un mensaje, lo que puede economizar recursos de la red.
En conformidad con una forma de realizacion de la presente invencion, el parametro variable en el tiempo adquirido por el modulo de adquisicion 1610 puede incluir un numero aleatorio generado por el dispositivo del lado de la red y/o un numero aleatorio generado por el equipo UE. En este caso, el modulo de adquisicion 1610 esta concretamente configurado para adquirir el numero aleatorio generado por el dispositivo del lado de la red y/o el numero aleatorio generado por el equipo UE. El dispositivo del lado de la red necesita incluir, ademas, un modulo de transmision 1650 que esta configurado para enviar el numero aleatorio generado por el dispositivo del lado de la red al equipo UE o para recibir el numero aleatorio generado por el equipo UE procedente de dicho equipo UE.
En conformidad con una forma de realizacion de la presente invencion, el modulo de transmision 1650 puede espedficamente configurarse para enviar el mensaje de configuracion utilizado para configurar la segunda interfaz de aire al equipo UE, en donde el mensaje de configuracion contiene el numero aleatorio generado por el dispositivo del lado de la red. De este modo, la inclusion del numero aleatorio en el mensaje de configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afecte a una secuencia de envfo de mensajes existente.
En conformidad con una forma de realizacion de la presente invencion, el modulo de adquisicion 1610 puede configurarse concretamente para recibir un mensaje de terminacion de configuracion utilizado para indicar que un
5
10
15
20
25
30
35
40
45
50
55
60
65
enlace de radio esta correctamente configurado en la segunda interfaz de aire desde el equipo UE, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo Ue. En otra forma de realizacion, el modulo de adquisicion 1610 puede configurarse para recibir un mensaje de terminacion de configuracion en respuesta al mensaje de configuracion utilizado para configurar la segunda interfaz de aire desde el equipo UE, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo UE. De este modo, la inclusion del numero aleatorio en el mensaje de terminacion del establecimiento o en el mensaje de terminacion de configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afecte a la secuencia de envfo de mensajes existente.
En un caso en que el parametro variable en el tiempo incluye, a la vez, un primer numero aleatorio generado por el dispositivo del lado de la red y un segundo numero aleatorio generado por el equipo UE, cuando el dispositivo del lado de la red es la estacion base, para permitir que la estacion base y el equipo UE tengan el mismo parametro de entrada para generar la misma clave KeNB*, la estacion base necesita enviar el primer numero aleatorio al equipo UE, a modo de ejemplo, utilizando el mensaje de configuracion utilizado para configurar la segunda interfaz de aire, y el equipo UE necesita enviar el segundo numero aleatorio a la estacion base, a modo de ejemplo, utilizando el mensaje de terminacion de configuracion en respuesta al mensaje de configuracion. La generacion de la clave KeNB* utilizando los numeros aleatorios generados, por separado, por la estacion base y el equipo UE tiene mas alta seguridad que la generacion de la clave KeNB* utilizando solamente el numero aleatorio generado por la estacion base o el equipo UE. Cuando el dispositivo del lado de la red es un dispositivo de acceso, para permitir al dispositivo de acceso y al equipo UE tener el mismo parametro de entrada para generar la misma clave KeNB*, el dispositivo de acceso necesita enviar el primer numero aleatorio al equipo UE, a modo de ejemplo, utilizando un mensaje de orden del modo de seguridad y el equipo UE necesita enviar el segundo numero aleatorio al dispositivo de acceso, a modo de ejemplo, utilizando el mensaje de terminacion de establecimiento para indicar que el enlace de radio esta correctamente establecido en la segunda interfaz de aire. La generacion de la clave KeNB* utilizando los numeros aleatorios generados, por separado, por el dispositivo de acceso y el equipo UE tiene mas alta seguridad que la generacion de la clave KeNB* utilizando solamente el numero aleatorio generado por el dispositivo de acceso o el equipo UE.
En conformidad con una forma de realizacion de la presente invencion, el parametro relacionado con la celula de servicio del segundo dispositivo del lado de la red puede incluir al menos uno de los elementos siguientes: un identificador de celula de la celula de servicio del segundo dispositivo del lado de la red y una frecuencia central de la celula de servicio del segundo dispositivo del lado de la red. El uso de parametros pertinentes de diferentes celulas ayuda a garantizar que la clave KeNB* deducida es distinta para diferentes celulas.
Para las operaciones anteriores y otras operaciones y/o funciones del modulo de recepcion 1640 y el modulo de transmision 1650, puede hacerse referencia a las descripciones correspondientes en los metodos 100, 200, 800, 900, 1200 y 1300 y en los primero a cuarto ejemplos, y por ello los detalles no se describen aqrn de nuevo para evitar una repeticion.
En conformidad con el dispositivo del lado de la red en el sistema de comunicaciones en las formas de realizacion de la presente invencion, una clave utilizada para la transmision segura puede introducirse para la segunda interfaz de aire utilizando la misma clave KeNB* para deducir una clave rafz de estrato de acceso en la segunda interfaz de aire. Por lo tanto, cuando se utiliza la clave de estrato de acceso para la transmision de datos por intermedio de la segunda interfaz de aire, se puede mejorar la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario.
La Figura 17 es un diagrama de bloques estructural de un equipo de usuario en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion. En el sistema de comunicaciones, el equipo de usuario accede a una red base por intermedio de un primer dispositivo del lado de la red utilizando una primera interfaz de aire y se conecta al primer dispositivo del lado de la red por intermedio de un segundo dispositivo del lado de la red utilizando una segunda interfaz de aire para acceder a la red base.
El equipo de usuario incluye un modulo de adquisicion 1710, un modulo de calculo 1720 y un modulo de generacion 1730. El modulo de adquisicion 1710 puede ponerse en practica utilizando un procesador y/o una interfaz de entrada. El modulo de calculo 1720 y el modulo de generacion 1730 pueden ponerse en practica utilizando el procesador. El modulo de adquisicion 1710 esta configurado para adquirir un parametro de entrada, en donde el parametro de entrada incluye un parametro variable en el tiempo y/o un parametro relacionado con una celula de servicio del segundo dispositivo del lado de la red. El modulo de calculo 1720 esta configurado para calcular una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada adquirido por el modulo de adquisicion 1710 y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, o utilizar la clave KeNB como la clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire. El modulo de generacion 1730 esta configurado para generar una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB* calculada por el modulo de calculo 1720.
5
10
15
20
25
30
35
40
45
50
55
60
65
Para las operaciones anteriores y otras operaciones y/o funciones del modulo de adquisicion 1710, el modulo de calculo 1720 y el modulo de generacion 1730, puede hacerse referencia a las descripciones correspondientes en los metodos 300, 1000 y 1400 y en los primero a cuarto ejemplos, y por ello los detalles no se describen aqu de nuevo para evitar una repeticion.
En conformidad con el equipo de usuario en el sistema de comunicaciones en esta forma de realizacion de la presente invencion, el equipo de usuario y un dispositivo de acceso pueden adquirir la clave rafz KeNB* basada en la clave KeNB, con lo que se deduce la misma clave de estrato de acceso en la segunda interfaz de aire sobre la base de la clave KeNB*. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, puede mejorarse la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario.
La Figura 18 es un diagrama de bloques estructural de un equipo de usuario en un sistema de comunicaciones en conformidad con una forma de realizacion de la presente invencion. En el sistema de comunicaciones, el equipo de usuario accede a una red base por intermedio de un primer dispositivo del lado de la red utilizando una primera interfaz de aire y se conecta al primer dispositivo del lado de la red por intermedio de un segundo dispositivo del lado de la red utilizando una segunda interfaz de aire para acceder a la red base. Un modulo de adquisicion 1810, un modulo de calculo 1820 y un modulo de generacion 1830 del equipo de usuario son basicamente los mismos que el modulo de adquisicion 1710, un modulo de calculo 1720 y un modulo de generacion 1730 de un equipo de usuario.
En conformidad con una forma de realizacion de la presente invencion, un parametro variable en el tiempo adquirido por el modulo de adquisicion 1810 puede incluir un numero aleatorio generado por un dispositivo del lado de la red y/o un numero aleatorio generado por el equipo UE. En este caso, el modulo de adquisicion 1810 esta concretamente configurado para adquirir el numero aleatorio generado por el dispositivo del lado de la red y/o el numero aleatorio generado por el equipo UE. El equipo de usuario incluye, ademas, un modulo de transmision 1840. El modulo de transmision 1840 esta configurado para enviar el numero aleatorio que se genera por el equipo UE y se adquiere por el modulo de adquisicion 1810 al dispositivo del lado de la red o para recibir el numero aleatorio generado por el dispositivo del lado de la red. A modo de ejemplo, el modulo de adquisicion 1810 puede estar espedficamente configurado para recibir un mensaje de orden del modo de seguridad desde el dispositivo de acceso, en donde el mensaje de orden del modo de seguridad contiene el numero aleatorio generado por el dispositivo de acceso. De este modo, la inclusion del numero aleatorio en el mensaje de orden del modo de seguridad puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afecte a una secuencia de envfo de mensajes existente. A modo de otro ejemplo, el modulo de transmision 1840 puede estar espedficamente configurado para enviar un mensaje de terminacion de configuracion utilizado para indicar que un enlace de radio esta correctamente configurado en la segunda interfaz de aire al dispositivo de acceso, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo UE. De este modo, la inclusion del numero aleatorio en el mensaje de terminacion de configuracion puede impedir un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y garantizar que la transmision del numero aleatorio no afecte a la secuencia de envfo de mensajes existente. A modo de ejemplo, el modulo de transmision 1840 puede estar espedficamente configurado para recibir un mensaje de configuracion que se envfa por el dispositivo del lado de la red al equipo UE y utilizado para configurar la segunda interfaz de aire, en donde el mensaje de configuracion contiene el numero aleatorio generado por el dispositivo del lado de la red. Lo que antecede puede impedir tambien un aumento en la carga de la red debido al uso de un nuevo mensaje para transmitir el numero aleatorio y que no afecte a la secuencia de envfo de mensajes existente.
En un caso en que el parametro variable en el tiempo incluye, a la vez un primer numero aleatorio generado por el dispositivo del lado de la red y un segundo numero aleatorio generado por el equipo de usuario, cuando el dispositivo del lado de la red es el dispositivo de acceso, para permitir al dispositivo de acceso y al equipo de usuario tener el mismo parametro de entrada para generar la misma clave KeNB*, el dispositivo de acceso necesita enviar el primer numero aleatorio al equipo UE, a modo de ejemplo, utilizando el mensaje de orden del modo de seguridad y el equipo de usuario necesita enviar el segundo numero aleatorio al dispositivo de acceso, a modo de ejemplo, utilizando el mensaje de terminacion de configuracion utilizado para indicar que el enlace de radio esta correctamente configurado en la segunda interfaz de aire. La generacion de la clave KeNB* utilizando los numeros aleatorios generados, por separado, por el dispositivo de acceso y el equipo de usuario tiene mas alta seguridad que la generacion de la clave KeNB* utilizando solamente el numero aleatorio generado por el dispositivo de acceso o el equipo de usuario. Cuando el dispositivo del lado de la red es una estacion base, para permitir que la estacion base el equipo de usuario tengan el mismo parametro de entrada para generar la misma clave KeNB*, la estacion base necesita enviar el primer numero aleatorio al equipo de usuario, a modo de ejemplo, utilizando el mensaje de configuracion usado para configurar la segunda interfaz de aire, y el equipo de usuario necesita enviar el segundo numero aleatorio a la estacion base, a modo de ejemplo, utilizando un mensaje de terminacion de configuracion en respuesta al mensaje de configuracion. La generacion de la clave KeNB* utilizando los numeros aleatorios generados por separado, por la estacion base y el equipo de usuario tiene mas alta seguridad que la generacion de la clave KeNB* utilizando solamente el numero aleatorio generado por la estacion base o el equipo de usuario.
5
10
15
20
25
30
35
40
45
En conformidad con una forma de realizacion de la presente invencion, un parametro relacionado con una celula de servicio del segundo dispositivo del lado de la red puede incluir al menos uno de los elementos siguientes: un identificador de celula de la celula de servicio del segundo dispositivo del lado de la red y una frecuencia central de la celula de servicio del segundo dispositivo del lado de la red. El uso de parametros pertinentes de diferentes celulas ayuda a garantizar que la clave KeNB* deducida es distinta para celulas diferentes.
Para las operaciones anteriores y otras operaciones y/o funciones del modulo de adquisicion 1810 y el modulo de transmision 1840, puede hacerse referencia a las descripciones correspondientes en los metodos 300, 1000 y 1400 y en los primero a cuarto ejemplos, y por ello los detalles no se describen aqu de nuevo para evitar una repeticion.
En conformidad con el equipo de usuario en el sistema de comunicaciones en las formas de realizacion de la presente invencion, el equipo de usuario y el dispositivo de acceso pueden utilizar la misma clave rafz de estrato de acceso KeNB* para deducir la misma clave de estrato de acceso en la segunda interfaz de aire. Por lo tanto, cuando la clave de estrato de acceso se utiliza para la transmision de datos por intermedio de la segunda interfaz de aire, se puede mejorar la seguridad de la transmision de datos por intermedio de la segunda interfaz de aire y se garantiza la seguridad de los datos transmitidos entre el dispositivo de acceso y el equipo de usuario. Ademas, utilizando solamente una clave KeNB como la clave KeNB* se consigue una puesta en practica simple y de baja complejidad.
Un experto en esta tecnica puede entender que las etapas y unidades del metodo descrito en las formas de realizacion dadas a conocer en esta descripcion pueden ponerse en practica mediante equipos ffsicos electronicos, programas informaticos o una de sus combinaciones. Para describir con claridad la intercambiabilidad de hardware y software, lo que antecede fue generalmente descrito en etapas y composiciones de cada forma de realizacion en conformidad con las funciones respectivas. Si las funciones se realizan por hardware o software dependera de las aplicaciones particulares y de las condiciones de limitaciones del diseno de las soluciones tecnicas. Un experto en esta tecnica puede utilizar distintos metodos para poner en practica las funciones descritas para cada aplicacion particular, pero no debe considerarse que la puesta en practica se desvfa del alcance de proteccion de la presente invencion.
Las etapas descritas del metodo en las formas de realizacion dadas a conocer en esta descripcion pueden ponerse en practica mediante hardware, un programa de aplicacion ejecutado por un procesador o una de sus combinaciones. El programa informatico puede memorizarse en una memoria de acceso aleatorio (RAM), una memoria de solamente lectura (ROM), una memoria ROM electricamente programable, una memoria ROM electricamente programable y borrable, un registro, un disco duro, un disco extrafble, una memoria CD-ROM o un soporte de memorizacion de cualquier otra forma conocida en el campo tecnico.
Aunque algunas formas de realizacion de la presente invencion han sido descritas con anterioridad, un experto en esta tecnica debe entender que todas las modificaciones realizadas sin desviarse del alcance de la presente invencion caeran dentro del alcance de proteccion de la presente invencion.

Claims (22)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo para generar una clave de estrato de acceso en un sistema de comunicaciones, en donde un primer dispositivo del lado de la red se conecta a un equipo de usuario, UE, por intermedio de una primera interfaz de aire y que accede a una red base, CN, y el primer dispositivo del lado de la red se conecta a un segundo dispositivo del lado de la red, en donde el segundo dispositivo del lado de la red es un dispositivo que se conecta al equipo de usuario UE por intermedio de una segunda interfaz de aire y el metodo comprende:
    adquirir (S110), por el primer dispositivo del lado de la red, un parametro de entrada, en donde el parametro de entrada comprende un parametro variable en el tiempo;
    calcular (S120), por el primer dispositivo del lado de la red, una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, en donde la segunda interfaz de aire esta situada entre el segundo dispositivo del lado de la red y el equipo de usuario UE; y
    enviar (S130), por el primer dispositivo del lado de la red, la clave KeNB* al segundo dispositivo del lado de la red.
  2. 2. El metodo segun la reivindicacion 1, en donde el parametro variable en el tiempo comprende un valor de contador.
  3. 3. El metodo segun la reivindicacion 1, en donde el parametro variable en el tiempo comprende un valor de conteo de Protocolo de Convergencia de Datos por Paquetes, PDCP COUNT, de un soporte del equipo UE en la primera interfaz de aire.
  4. 4. El metodo segun la reivindicacion 3, en donde el valor de PDCP COUNT corresponde a un mensaje de configuracion y el mensaje de configuracion es un mensaje de configuracion utilizado por el primer dispositivo del lado de la red para configurar la segunda interfaz de aire.
  5. 5. El metodo segun la reivindicacion 1,
    en donde el parametro variable en el tiempo comprende un numero aleatorio generado por el primer dispositivo del lado de la red y un numero aleatorio generado por el equipo de usuario UE;
    la adquisicion, por el primer dispositivo del lado de la red, de un parametro de entrada comprende:
    adquirir, por el primer dispositivo del lado de la red, el numero aleatorio generado por el primer dispositivo del lado de la red y la recepcion desde el equipo UE del numero aleatorio generado por el UE; y
    despues de la adquisicion, por el primer dispositivo del lado de la red, de un parametro de entrada, el metodo comprende, ademas:
    enviar, por el primer dispositivo del lado de la red, el numero aleatorio generado por el primer dispositivo del lado de la red al equipo de usuario UE;
    o,
    en donde el parametro variable en el tiempo comprende un numero aleatorio generado por el primer dispositivo del lado de la red;
    la adquisicion, por el primer dispositivo del lado de la red, de un parametro de entrada comprende:
    adquirir, por el primer dispositivo del lado de la red, el numero aleatorio generado por el primer dispositivo del lado de la red; y
    despues de la adquisicion, por el primer dispositivo del lado de la red, de un parametro de entrada, el metodo comprende, ademas:
    enviar, por el primer dispositivo del lado de la red, el numero aleatorio generado por el primer dispositivo del lado de la red hacia equipo de usuario UE;
    o,
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    recibir, por el primer dispositivo del lado de la red, desde el equipo UE, el numero aleatorio generado por el UE.
  6. 6. El metodo segun la reivindicacion 5, en donde el envfo, por el primer dispositivo del lado de la red, del numero aleatorio generado por el primer dispositivo del lado de la red hacia el equipo de usuario UE comprende:
    enviar, por el primer dispositivo del lado de la red, un mensaje de configuracion utilizado para configurar la segunda interfaz de aire hacia el equipo de usuario UE, en donde el mensaje de configuracion incluye el numero aleatorio generado por el primer dispositivo del lado de la red.
  7. 7. El metodo segun la reivindicacion 5, en donde la recepcion del numero aleatorio generado por el equipo de usuario UE desde el equipo UE comprende:
    recibir un mensaje de terminacion de configuracion utilizado para indicar que un enlace de radio esta configurado de forma operativamente satisfactoria en la segunda interfaz de aire a partir del equipo UE, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo de usuario UE.
  8. 8. Un metodo para generar una clave de estrato de acceso en un sistema de comunicaciones, en donde un equipo de usuario, UE, en el sistema de comunicaciones accede a una red base por intermedio de un primer dispositivo del lado de la red utilizando una primera interfaz de aire, y se conecta al primer dispositivo del lado de la red por intermedio de un segundo dispositivo del lado de la red utilizando una segunda interfaz de aire para acceder a la red base y el metodo comprende:
    adquirir (S310), por el equipo de usuario UE, un parametro de entrada en donde el parametro de entrada comprende un parametro variable en el tiempo;
    calcular (S320), por el equipo de usuario UE, una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, en donde la segunda interfaz de aire esta situada entre el segundo dispositivo del lado de la red y el equipo de usuario UE; y
    generar (S330), por el equipo de usuario UE, una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB*.
  9. 9. El metodo segun la reivindicacion 8, en donde el parametro variable en el tiempo comprende un valor de contador.
  10. 10. El metodo segun la reivindicacion 8,
    en donde el parametro variable en el tiempo incluye un numero aleatorio generado por el primer dispositivo del lado de la red y un numero aleatorio generado por el equipo de usuario UE;
    la adquisicion, por el equipo UE, de un parametro de entrada comprende:
    recibir, por el equipo de usuario UE, desde el primer dispositivo del lado de la red, el numero aleatorio generado por el primer dispositivo del lado de la red y adquirir el numero aleatorio generado por el equipo de usuario UE; y
    despues de la adquisicion, por el equipo UE, de un parametro de entrada, el metodo comprende, ademas:
    enviar, por el equipo UE, el numero aleatorio generado por el equipo UE al primer dispositivo del lado de la red;
    o,
    en donde el parametro variable en el tiempo comprende un numero aleatorio generado por el equipo UE; la adquisicion, por el equipo UE, de un parametro de entrada comprende: adquirir, por el equipo UE, el numero aleatorio generado por el equipo UE; y
    despues de la adquisicion, por el equipo UE, de un parametro de entrada, el metodo comprende, ademas: enviar, por el equipo UE, el numero aleatorio generado por el equipo UE al primer dispositivo del lado de la red; o,
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    lado de la red;
    la adquisicion, por el equipo UE, de un parametro de entrada comprende:
    recibir, por el equipo UE, desde el primer dispositivo del lado de la red, el numero aleatorio generado por el primer dispositivo del lado de la red.
  11. 11. El metodo segun la reivindicacion 10, en donde el envfo, por el equipo UE, del numero aleatorio generado por el equipo UE al primer dispositivo del lado de la red comprende:
    enviar, por el equipo UE, un mensaje de terminacion de configuracion utilizado para indicar que un enlace de radio esta configurado de forma satisfactoria en la segunda interfaz de aire para el segundo dispositivo del lado de la red, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo de usuario UE.
  12. 12. El metodo segun la reivindicacion 10, en donde la recepcion del numero aleatorio generado por el primer dispositivo del lado de la red comprende:
    recibir un mensaje de configuracion que se envfa por el primer dispositivo del lado de la red al equipo de usuario UE y se utiliza para configurar la segunda interfaz de aire, en donde el mensaje de configuracion contiene el numero aleatorio generado por el primer dispositivo del lado de la red.
  13. 13. Un dispositivo del lado de la red para un sistema de comunicaciones, en donde el dispositivo del lado de la red se conecta a un equipo de usuario, UE, por intermedio de una primera interfaz de aire y accede a una red base, CN, y el dispositivo del lado de la red se conecta a un segundo dispositivo del lado de la red, en donde el segundo dispositivo del lado de la red es un dispositivo que se conecta al equipo de usuario UE por intermedio de una segunda interfaz de aire, y el metodo comprende:
    un modulo de adquisicion (1510), configurado para adquirir un parametro de entrada, en donde el parametro de entrada incluye un parametro variable en el tiempo;
    un modulo de calculo (1520), configurado para calcular una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada adquirido por el el modulo de adquisicion (1510) y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, en donde la segunda interfaz de aire esta situada entre el segundo dispositivo del lado de la red y el equipo de usuario UE; y
    un modulo de envfo (1530'), configurado para enviar la clave KeNB* calculada por el modulo de calculo al segun dispositivo del lado de la red.
  14. 14. El dispositivo del lado de la red segun la reivindicacion 13, en donde el parametro variable en el tiempo adquirido por el modulo de adquisicion (1510) comprende un valor de contador.
  15. 15. El dispositivo del lado de la red segun la reivindicacion 13, en donde el parametro variable en el tiempo adquirido por el modulo de adquisicion (1510), comprende un valor de conteo de Protocolo de Convergencia de Datos por Paquetes, PDCP COUNT, de un soporte del equipo de usuario UE en la primera interfaz de aire.
  16. 16. El dispositivo del lado de la red segun la reivindicacion 15, en donde el valor de PDCP COUNT adquirido por el modulo de adquisicion (1510) corresponde a un mensaje de configuracion y el mensaje de configuracion es un mensaje de configuracion utilizado para el dispositivo del lado de la red para configurar la segunda interfaz de aire.
  17. 17. El dispositivo del lado de la red segun la reivindicacion 13,
    en donde el parametro variable en el tiempo adquirido por el modulo de adquisicion (1510) comprende un numero aleatorio generado por el dispositivo del lado de la red y un numero aleatorio generado por el equipo de usuario UE;
    el modulo de adquisicion (1510) esta concretamente configurado para adquirir el numero aleatorio generado por el dispositivo del lado de la red y para recibir desde el equipo UE el numero aleatorio generado por el equipo UE; y
    el dispositivo del lado de la red comprende, ademas:
    un modulo de transmision (1650), configurado para enviar el numero aleatorio que se genera por el dispositivo del lado de la red y se adquiere por el modulo de adquisicion (1510) hacia el equipo UE; o
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    el modulo de adquisicion (1510) esta concretamente configurado para adquirir el numero aleatorio generado por el primer dispositivo del lado de la red; y
    el dispositivo del lado de la red comprende, ademas:
    un modulo de transmision (1650), configurado para enviar el numero aleatorio que se genera por el dispositivo del lado de la red y se adquiere por el modulo de adquisicion (1510) hacia el equipo de usuario UE;
    o,
    en donde el parametro variable en el tiempo comprende un numero aleatorio generado por el equipo de usuario UE;
    el modulo de adquisicion (1510) esta concretamente configurado para recibir desde el equipo UE el numero aleatorio generado por el equipo UE.
  18. 18. El dispositivo del lado de la red segun la reivindicacion 17, en donde el modulo de transmision (1650) esta concretamente configurado para enviar un mensaje de configuracion utilizado para configurar la segunda interfaz de aire hacia el equipo de usuario UE y el mensaje de configuracion contiene el numero aleatorio generado por el dispositivo del lado de la red; o
    el modulo de transmision (1650) esta concretamente configurado para recibir un mensaje de terminacion de configuracion utilizado para indicar que un enlace de radio esta configurado satisfactoriamente en la segunda interfaz de aire procedente del equipo UE, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo de usuario UE.
  19. 19. Un equipo de usuario para un sistema de comunicaciones, en donde el equipo de usuario, UE, en el sistema de comunicaciones accede a una red base por intermedio de un primer dispositivo del lado de la red utilizando una primera interfaz de aire, y se conecta al primer dispositivo del lado de la red por intermedio de un segundo dispositivo del lado de la red utilizando una segunda interfaz de aire para acceder a la red base y el equipo de usuario UE comprende:
    un modulo de adquisicion (1710), configurado para adquirir un parametro de entrada, en donde el parametro de entrada incluye un parametro variable en el tiempo;
    un modulo de calculo (1720), configurado para calcular una clave rafz de estrato de acceso KeNB* en la segunda interfaz de aire en conformidad con el parametro de entrada adquirido por el modulo de adquisicion y una clave rafz de estrato de acceso KeNB en la primera interfaz de aire, en donde la segunda interfaz de aire esta situada entre el segundo dispositivo del lado de la red y el equipo de usuario UE; y
    un modulo de generacion (1730), configurado para generar una clave de estrato de acceso en la segunda interfaz de aire en conformidad con la clave KeNB* calculada por el modulo de calculo (1720).
  20. 20. El equipo de usuario segun la reivindicacion 19, en donde el parametro variable en el tiempo adquirido por el modulo de adquisicion (1710) comprende un valor de contador.
  21. 21. El equipo de usuario segun la reivindicacion 19,
    en donde el parametro variable en el tiempo adquirido por el modulo de adquisicion (1710) comprende un numero aleatorio generado por el primer dispositivo del lado de la red y un numero aleatorio generado por el equipo de usuario UE;
    el modulo de adquisicion (1710) esta concretamente configurado para:
    recibir desde el primer dispositivo del lado de la red el numero aleatorio generado por el primer dispositivo del lado de la red y para adquirir el numero aleatorio generado por el equipo de usuario UE; y
    el equipo de usuario comprende, ademas:
    un modulo de transmision (1840), configurado para enviar el numero aleatorio que se genera por el equipo UE y se adquiere por el modulo de adquisicion (1710) hacia el primer dispositivo del lado de la red;
    o,
    5
    10
    15
    20
    25
    el modulo de adquisicion (1710) esta concretamente configurado para: adquirir el numero aleatorio generado por el equipo UE; y
    el equipo de usuario comprende, ademas:
    un modulo de transmision (1840), configurado para enviar el numero aleatorio que se genera por el equipo UE y se adquiere por el modulo de adquisicion (1710) hacia el primer dispositivo del lado de la red; o
    en donde el parametro variable en el tiempo comprende un numero aleatorio generado por el primer dispositivo del lado de la red;
    el modulo de adquisicion (1710) esta concretamente configurado para: recibir desde el primer dispositivo del lado de la red el numero aleatorio generado por el primer dispositivo del lado de la red.
  22. 22. El equipo de usuario segun la reivindicacion 21, en donde:
    el modulo de transmision (1840) esta concretamente configurado para enviar un mensaje de terminacion de configuracion utilizado para indicar que un enlace de radio esta configurado satisfactoriamente en la segunda interfaz de aire hacia el segundo dispositivo del lado de la red, en donde el mensaje de terminacion de configuracion contiene el numero aleatorio generado por el equipo de usuario UE; o
    el modulo de transmision (1840) esta concretamente configurado para recibir un mensaje de configuracion que se envfa por el primer dispositivo del lado de la red al equipo de usuario UE y utilizado para configurar la segunda interfaz de aire, en donde el mensaje de configuracion contiene el numero aleatorio generado por el primer dispositivo del lado de la red.
ES12858204.6T 2011-12-15 2012-12-13 Método y dispositivo asociado para generar una clave de estrato de acceso en un sistema de comunicaciones Active ES2586824T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201110421275 2011-12-15
CN201110421275.9A CN103167492B (zh) 2011-12-15 2011-12-15 在通信系统中生成接入层密钥的方法及其设备
PCT/CN2012/086580 WO2013087010A1 (zh) 2011-12-15 2012-12-13 在通信系统中生成接入层密钥的方法及其设备

Publications (1)

Publication Number Publication Date
ES2586824T3 true ES2586824T3 (es) 2016-10-19

Family

ID=48590150

Family Applications (1)

Application Number Title Priority Date Filing Date
ES12858204.6T Active ES2586824T3 (es) 2011-12-15 2012-12-13 Método y dispositivo asociado para generar una clave de estrato de acceso en un sistema de comunicaciones

Country Status (6)

Country Link
US (5) US9736125B2 (es)
EP (4) EP3996402B1 (es)
CN (1) CN103167492B (es)
ES (1) ES2586824T3 (es)
PL (1) PL2785088T3 (es)
WO (1) WO2013087010A1 (es)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2946582B1 (en) * 2013-01-17 2021-05-05 Apple Inc. Communication of security key information
GB2509937A (en) 2013-01-17 2014-07-23 Nec Corp Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations
CN109922080A (zh) * 2013-10-23 2019-06-21 华为技术有限公司 用户设备之间进行安全通信的方法及装置
CN104918242B (zh) * 2014-03-14 2020-04-03 中兴通讯股份有限公司 从基站密钥更新方法、从基站、终端及通信系统
TWI610593B (zh) 2015-12-08 2018-01-01 財團法人工業技術研究院 無線通訊裝置及其操作方法
CN106954210B (zh) * 2016-01-06 2020-02-14 华为技术有限公司 一种空口标识的保护方法及装置
CN115767525A (zh) * 2017-09-26 2023-03-07 瑞典爱立信有限公司 在无线通信系统中切换时管理安全上下文并执行密钥导出
CN114071459A (zh) * 2017-10-31 2022-02-18 华为技术有限公司 一种rrc连接恢复方法及装置
CN110351722B (zh) * 2018-04-08 2024-04-16 华为技术有限公司 一种信息发送方法、密钥生成方法以及装置
CN113098688B (zh) * 2020-01-09 2022-05-06 大唐移动通信设备有限公司 一种aka方法及装置
CN114301596A (zh) * 2021-11-18 2022-04-08 成都市卡蛙科技有限公司 车内网ota安全通讯方法、装置、车载系统及存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2007269999A1 (en) * 2006-06-19 2008-01-10 Interdigital Technology Corporation Method and apparatus for security protection of an original user identity in an initial signaling message
CN101772100B (zh) * 2008-12-29 2012-03-28 中国移动通信集团公司 LTE系统中基站eNB切换时的密钥更新方法、设备及系统
CN101925059B (zh) * 2009-06-12 2014-06-11 中兴通讯股份有限公司 一种切换的过程中密钥的生成方法及系统
CN101945384B (zh) 2009-07-09 2013-06-12 中兴通讯股份有限公司 Rrc连接重建立时的安全密钥处理方法、装置及系统
US8605904B2 (en) * 2009-08-14 2013-12-10 Industrial Technology Research Institute Security method in wireless communication system having relay node
CN102056159B (zh) * 2009-11-03 2014-04-02 华为技术有限公司 一种中继系统的安全密钥获取方法、装置
CN102056157B (zh) * 2009-11-04 2013-09-11 电信科学技术研究院 一种确定密钥和密文的方法、系统及装置
CN102158860B (zh) * 2010-02-12 2014-05-21 华为技术有限公司 无线节点入网方法、系统及中继节点
US8804957B2 (en) * 2010-03-29 2014-08-12 Nokia Corporation Authentication key generation arrangement
CN101945387B (zh) * 2010-09-17 2015-10-21 中兴通讯股份有限公司 一种接入层密钥与设备的绑定方法和系统

Also Published As

Publication number Publication date
US20170310649A1 (en) 2017-10-26
US11483705B2 (en) 2022-10-25
EP2785088A1 (en) 2014-10-01
EP3136763A1 (en) 2017-03-01
US20210076207A1 (en) 2021-03-11
EP3136763B1 (en) 2018-03-07
EP3364679A1 (en) 2018-08-22
EP3364679B1 (en) 2021-09-22
US20190281029A1 (en) 2019-09-12
US9736125B2 (en) 2017-08-15
EP2785088A4 (en) 2014-12-17
EP2785088B1 (en) 2016-05-18
US20180278592A1 (en) 2018-09-27
US10880738B2 (en) 2020-12-29
US10009326B2 (en) 2018-06-26
PL2785088T3 (pl) 2017-04-28
US10348703B2 (en) 2019-07-09
CN103167492B (zh) 2016-03-30
US20140317688A1 (en) 2014-10-23
WO2013087010A1 (zh) 2013-06-20
CN103167492A (zh) 2013-06-19
EP3996402B1 (en) 2026-03-04
EP3996402A1 (en) 2022-05-11

Similar Documents

Publication Publication Date Title
ES2586824T3 (es) Método y dispositivo asociado para generar una clave de estrato de acceso en un sistema de comunicaciones
CN104854892B (zh) 用于从wwan安全性上下文推导wlan安全性上下文的方法和设备
ES3041032T3 (en) Anchor key generation method, device, and system
ES3058170T3 (en) Security key derivation in dual connectivity
ES2755803T3 (es) Nodos de acceso radioeléctrico y dispositivos terminales en una red de comunicación
CN120499662B (zh) 一种安全保护的方法及装置
ES2774921T3 (es) Procedimiento y aparato para vincular la autenticación de abonados y la autenticación de dispositivos en sistemas de comunicación
US10320754B2 (en) Data transmission method and apparatus
TW200833137A (en) Method and apparatus for base station self-configuration
WO2019096075A1 (zh) 一种消息保护的方法及装置
WO2016134536A1 (zh) 密钥生成方法、设备及系统
CN112087751B (zh) 安全校验方法及装置
CN102572819B (zh) 一种密钥生成方法、装置及系统
ES2625133T3 (es) Un método y aparato para manejar claves utilizadas para cifrado e integridad
CN105027495A (zh) 一种校验密钥的方法、基站、用户设备和核心网网元
HK40126424A (zh) 一种安全保护的方法及装置
WO2016114424A1 (ko) 복수의 통신시스템이 연동하는 네트워크에서 상기 복수의 통신 시스템 간의 무선 레벨의 베어러 스플리트에 기초하여 통신을 수행하는 방법 및 이를 위한 장치