ES3012708T3 - Multi-rat security setup - Google Patents
Multi-rat security setup Download PDFInfo
- Publication number
- ES3012708T3 ES3012708T3 ES22189016T ES22189016T ES3012708T3 ES 3012708 T3 ES3012708 T3 ES 3012708T3 ES 22189016 T ES22189016 T ES 22189016T ES 22189016 T ES22189016 T ES 22189016T ES 3012708 T3 ES3012708 T3 ES 3012708T3
- Authority
- ES
- Spain
- Prior art keywords
- rat
- wireless communication
- ran
- security
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 205
- 238000000034 method Methods 0.000 claims abstract description 162
- 230000011664 signaling Effects 0.000 claims abstract description 68
- 238000005516 engineering process Methods 0.000 claims abstract description 25
- 230000000977 initiatory effect Effects 0.000 claims abstract description 23
- 241000700159 Rattus Species 0.000 claims description 99
- 239000000463 material Substances 0.000 claims description 98
- 230000004044 response Effects 0.000 claims description 18
- 238000010586 diagram Methods 0.000 description 10
- 230000009977 dual effect Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 9
- 230000010354 integration Effects 0.000 description 9
- 230000004913 activation Effects 0.000 description 7
- 238000009795 derivation Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 5
- 230000007704 transition Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000004846 x-ray emission Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 101001055444 Homo sapiens Mediator of RNA polymerase II transcription subunit 20 Proteins 0.000 description 2
- 102100026165 Mediator of RNA polymerase II transcription subunit 20 Human genes 0.000 description 2
- 108091005487 SCARB1 Proteins 0.000 description 2
- 102100037118 Scavenger receptor class B member 1 Human genes 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241001481798 Stochomys longicaudatus Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/005—Multiple registrations, e.g. multihoming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/08—Non-scheduled access, e.g. ALOHA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
La presente divulgación se refiere en general al campo de la configuración del contexto de seguridad. Más específicamente, se refiere a técnicas para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. Una realización del método se refiere a la configuración del contexto de seguridad en una red de comunicación inalámbrica. El método comprende la iniciación (S304), por un elemento de red de acceso radioeléctrico (RAN) (200) de la red de comunicación inalámbrica, de la configuración del contexto de seguridad del Estrato de Acceso (AS) para una primera Tecnología de Acceso Radioeléctrico (RAT) y una segunda RAT mediante un procedimiento de señalización común. (Traducción automática con Google Translate, sin valor legal)
Description
DESCRIPCIÓN
Configuración de seguridad multi-RAT
Campo técnico
La presente divulgación se refiere en general al campo de la configuración del contexto de seguridad. Más específicamente, la presente divulgación se refiere a técnicas para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica.
Antecedentes
La seguridad es un aspecto crucial en los sistemas de comunicación móvil actuales. Por ejemplo, el diseño de seguridad de evolución a largo plazo (LTE) proporciona compartimentación. La compartimentación consiste principalmente en garantizar que si un atacante viola la seguridad de una función, solo esa función se ve comprometida. Por ejemplo, hay una clave utilizada para el cifrado del protocolo de control de recursos de radio (RRC) y otra clave utilizada para la protección de la integridad del protocolo RRC. RRC es un protocolo de señalización que utiliza capas inferiores para la segmentación y la entrega en orden confiable de los mensajes de señalización. RRC es adecuado para mensajes de cualquier tamaño que requieran una entrega confiable, tal como la configuración de equipo de usuario (UE). En LTE y LTE-advanced (LTE-a), r Rc está involucrado en el intercambio de mensajes de estrato de no acceso (NAS) entre un UE y una entidad de gestión de la movilidad (MME), así como para proporcionar varias funciones del plano de control tanto en el UE como en el Nodo B evolucionado (eNodoB o, de manera abreviada, eNB).
La seguridad de estrato de acceso (AS) se compone de protección de la integridad del plano de control (es decir, señalización RRC) y el cifrado de los planos tanto de control como de usuario. Si un atacante viola la clave de cifrado RRC, el atacante puede descifrar y leer todos los mensajes RRC. Sin embargo, dado que la clave de integridad es diferente de la clave de cifrado, el atacante no puede modificar ni inyectar mensajes RRC. Un atacante que haya violado la clave de cifrado RRC tampoco puede utilizarla para interceptar las portadoras de radio de datos (DRB), dado que utilizan claves de cifrado separadas (y viceversa). Otra parte del diseño de compartimentación es que cada eNB utiliza un conjunto de claves separado. La razón es que esto garantiza que un atacante que irrumpa en un eNB no obtenga ninguna información sobre los datos transmitidos entre un UE y otro eNB físicamente diferente. Para mantener la propiedad de que irrumpir en un nodo físico de la red de acceso por radio (RAN), es decir, un eNB, no ayuda a atacar otro nodo de RAN, el eNB auxiliar debe usar su propio conjunto de claves separado del conjunto de claves utilizado en el eNB de anclaje, sin embargo, puede derivarse del eNB de anclaje como en la conectividad dual de LTE.
Típicamente, cuando se estandariza una nueva tecnología de acceso por radio (RAT), esto se hace introduciendo también una red central separada que atienda a esa RAT y 3GPP introduce mecanismos para pasar de una RAT a otra RAT con una interrupción mínima del servicio a través de la red central. Por lo tanto, en cualquier caso, pasar de una RAT a otra RAT significa establecer una conexión RRC hacia la RAT objetivo y eliminar la conexión RRC de la RAT de origen, y debido a que esas conexiones RRC terminan en diferentes nodos lógicos anclados en diferentes redes centrales (es decir, son conexiones de UE completamente separadas), no hay posibilidad de sinergia entre ellas.
El establecimiento de una portadora de señalización y/o portadora de datos y/o la recuperación de una portadora de señalización y/o portadora de datos requieren una serie de pasos de señalización, lo que da como resultado, por ejemplo, una sobrecarga de señalización y/o una larga duración de la señalización. Los procedimientos de señalización actuales para la configuración del contexto de seguridad no han sido diseñados o al menos optimizados para soportar una arquitectura RAN que esté compuesta por múltiples interfaces aéreas como en las redes multi-RAT. Este es el caso incluso cuando las conexiones de la primera y la segunda RAT del UE serían hacia el mismo, o en otras palabras, un nodo de radio compartido y/o nodo de red central.
Además, el contexto de seguridad puede ser diferente para diferentes RAT (a pesar de la integración estrecha) o versiones estándar o capacidades de UE o categorías de dispositivos. Por ejemplo, puede haber diferentes requisitos de longitud para las claves de seguridad de diferentes RAT o la terminación de la red puede estar en nodos separados, lo que requiere conjuntos de claves separados.
La técnica anterior relevante está representada por la literatura de patentes EP 2648437 A1 y US 2013/044709 A1.
Compendio
Por consiguiente, existe la necesidad de una técnica mejorada para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica multi-RAT. La invención está definida por las reivindicaciones independientes adjuntas.
Según un primer aspecto, se proporciona un método para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El método comprende iniciar, por un elemento de red de acceso por radio (RAN) de la red de comunicación inalámbrica, la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común.
De esta manera, se reduce la señalización para la configuración del contexto de seguridad de AS para la primera y la segunda RAT, es decir, un entorno multi-RAT. Como consecuencia, puede simplificarse la configuración del contexto de seguridad multi-RAT.
El término tecnología de acceso por radio (RAT) puede entenderse como la técnica de conexión física subyacente para una red de comunicación basada en radio. El elemento de red de acceso por radio puede comprender o configurarse como una estación base de una red de acceso por radio.
El procedimiento de señalización común puede comprender el intercambio de uno o más mensajes relacionados tanto con la primera RAT como con la segunda RAT.
El método puede comprender recibir, por el elemento de RAN, un primer material de clave de RAN desde un elemento de red central (CN) de la red de comunicación inalámbrica. El primer material de clave de RAN permite al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la primera RAT. El método comprende además recibir, por el elemento de RAN, un segundo material de clave de RAN desde el elemento de CN de la red de comunicación inalámbrica. El segundo material de clave de RAN permite al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la segunda RAT.
En este caso, pueden señalizarse dos materiales de clave separados a la RAN, uno para la primera RAT y otro para la segunda RAT. El material de clave puede utilizarse para configurar el contexto de seguridad. El material de clave recibido desde la CN puede, pero no tiene por qué, utilizarse directamente en la configuración del contexto de seguridad; por ejemplo, puede utilizarse más adelante.
El método puede comprender recibir, por el elemento de RAN, un primer material de clave de RAN de un elemento de CN de la red de comunicación inalámbrica. El primer material de clave de RAN permite al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la primera RAT. El método puede comprender además derivar, por el elemento de RAN, un segundo material de clave de RAN a partir del primer material de clave de RAN recibido. El segundo material de clave de RAN permite al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la segunda RAT.
En este caso, el primer material de clave de RAN para la primera RAT puede utilizarse para derivar el material de clave para la segunda RAT. El material de clave puede utilizarse entonces para configurar el contexto de seguridad.
El paso de iniciar la configuración del contexto de seguridad de AS puede incluir utilizar directamente el primer material de clave de RAN recibido para iniciar la configuración del contexto de seguridad de AS para la primera RAT. Alternativamente, el paso de iniciar la configuración del contexto de seguridad de AS puede incluir derivar un tercer material de clave de RAN a partir del primer material de clave de RAN recibido y utilizar el tercer material de clave de RAN derivado para iniciar la configuración del contexto de seguridad de AS para la primera RAT. Por ejemplo, el primer material de clave de RAN recibido desde la CN puede, pero no tiene por qué, utilizarse directamente en la configuración del contexto de seguridad, por ejemplo, puede utilizarse más adelante. Por ejemplo, un tercer material de clave de RAN puede derivarse a partir del primer material de clave de RAN y el tercer material de clave de RAN puede utilizarse para configurar el contexto de seguridad para la primera RAT. Como el segundo material de clave de RAN se deriva a partir del primer material de clave de RAN recibido, la señalización para la configuración de seguridad de AS para la primera y la segunda RAT, es decir, un entorno multi-RAT, se reduce aún más. Como consecuencia, la configuración del contexto de seguridad multi-RAT puede simplificarse aún más.
En una o más realizaciones, el paso de iniciar la configuración del contexto de seguridad de AS puede comprender transmitir, por el elemento de RAN, un mensaje de comando de modo de seguridad de AS común para la primera RAT y la segunda RAT a un dispositivo de comunicación inalámbrica de la red de comunicación inalámbrica.
El método puede comprender recibir, por el elemento de RAN, un mensaje de modo de seguridad de AS completo que informa al elemento de RAN de la finalización de la configuración del contexto de seguridad de AS para la primera RAT y la segunda RAT.
El elemento de RAN puede corresponder al elemento de RAN que implementa la primera RAT. Además, el elemento de RAN puede corresponder al elemento de RAN que implementa la segunda RAT o puede ser diferente del mismo.
Según un segundo aspecto, se proporciona un método para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El método comprende informar, por un elemento de red central (CN) de la red de comunicación inalámbrica, a un elemento de red de acceso por radio (RAN) de la red de comunicación inalámbrica, que inicie la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común.
El método puede comprender recibir, por el elemento de CN desde un dispositivo de comunicación inalámbrica, información sobre las capacidades de seguridad del dispositivo de comunicación inalámbrica con respecto a la primera RAT y la segunda RAT.
El método puede comprender iniciar, por el elemento de CN, la configuración del contexto de seguridad de estrato de no acceso (NAS) para la primera RAT y la segunda RAT en un procedimiento de señalización común.
De esta manera, se reduce la señalización para la configuración del contexto de seguridad de NAS para la primera y la segunda RAT, es decir, un entorno multi-RAT. Como consecuencia, la configuración del contexto de seguridad multi-RAT puede simplificarse aún más.
El procedimiento de señalización común puede comprender el intercambio de uno o más mensajes relacionados tanto con la primera RAT como con la segunda RAT.
El paso de iniciar la configuración del contexto de seguridad de NAS puede comprender solicitar, por el elemento de CN, a un dispositivo de comunicación inalámbrica que realice la autenticación hacia el elemento de CN.
El método puede comprender derivar, por el elemento de CN, material de clave de CN que permita a un dispositivo de comunicación inalámbrica realizar la autenticación para la primera RAT y que permita al dispositivo de comunicación inalámbrica realizar la autenticación para la segunda RAT.
El método puede comprender transmitir, por el elemento de CN, el material de clave de CN al dispositivo de comunicación inalámbrica.
El método puede comprender recibir, por el elemento de CN, un mensaje de respuesta de autenticación desde el dispositivo de comunicación inalámbrica.
El método puede comprender derivar, por el elemento de CN, material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS.
El método puede comprender transmitir, por el elemento de CN, de un mensaje de comando de modo de seguridad de NAS para la primera RAT y la segunda RAT al dispositivo de comunicación inalámbrica. El mensaje de comando de modo de seguridad de NAS permite al dispositivo de comunicación inalámbrica derivar el material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS.
El método puede comprender recibir, por el elemento de CN, un mensaje de modo de seguridad de NAS completo para la primera RAT y la segunda RAT desde el dispositivo de comunicación inalámbrica.
Según un tercer aspecto, se proporciona un método para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El método comprende recibir, por un dispositivo de comunicación inalámbrica de la red de comunicación inalámbrica desde un elemento de red de acceso por radio (RAN) de la red de comunicación inalámbrica en un procedimiento de señalización común, información que permite a la comunicación inalámbrica configurar un contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT. El método comprende además configurar, por el dispositivo de comunicación inalámbrica, el contexto de seguridad de AS para la primera RAT y la segunda RAT.
El método puede comprender recibir, por el dispositivo de comunicación inalámbrica desde el elemento de RAN de la red de comunicación inalámbrica, un mensaje de comando de modo de seguridad de AS común para la primera RAT y la segunda RAT.
El método puede comprender transmitir, por el dispositivo de comunicación inalámbrica, un mensaje de modo de seguridad de AS completo al elemento de RAN. El mensaje de finalización del modo de seguridad de AS puede informar al elemento de RAN de la finalización de la configuración del contexto de seguridad de AS para la primera RAT y la segunda RAT.
El método puede comprender transmitir, por el dispositivo de comunicación inalámbrica a un elemento de red central (CN) de la red de comunicación inalámbrica, información sobre las capacidades de seguridad del dispositivo de comunicación inalámbrica con respecto a la primera RAT y la segunda RAT.
El método puede comprender recibir, por el dispositivo de comunicación inalámbrica desde un elemento de CN, una solicitud para realizar una autenticación hacia el elemento de CN.
El método puede comprender transmitir, por el dispositivo de comunicación inalámbrica, un mensaje de respuesta de autenticación al elemento de CN.
El método puede comprender recibir, por el dispositivo de comunicación inalámbrica, un mensaje de comando de modo de seguridad de NAS para la primera RAT y la segunda RAT desde el elemento de CN. El método puede comprender además derivar, por el dispositivo de comunicación inalámbrica, material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS para la primera RAT y la segunda RAT a partir del mensaje de comando de modo de seguridad de NAS recibido.
El método puede comprender transmitir, por el dispositivo de comunicación inalámbrica, un mensaje de modo de seguridad de NAS completo para la primera RAT y la segunda RAT al elemento de CN.
Según un cuarto aspecto, se proporciona un programa informático. El programa informático comprende partes de código de programa para hacer que se realicen los pasos de cualquiera de los aspectos del método descritos en la presente memoria, cuando el programa informático se ejecuta en un sistema informático o en uno o más dispositivos informáticos. El programa informático puede almacenarse en un medio de registro legible por ordenador o puede ser descargable como una señal.
Según un quinto aspecto, se proporciona un elemento de red de acceso por radio (RAN) para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El elemento de RAN comprende un componente de iniciación configurado para iniciar la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común.
El elemento de RAN puede ser o comprender al menos uno del elemento de red de acceso por radio que implementa la primera RAT y el elemento de red de acceso por radio que implementa la segunda RAT.
El elemento de RAN puede configurarse para realizar el método de cualquiera de los pasos del método descritos en la presente memoria con respecto al primer aspecto. El elemento de RAN puede comprender o configurarse como o ser parte de una estación base de radio, un controlador de red de radio (RNC), un nodoB, un eNodoB, un controlador de unidad de radio de 5G o una estación base de 5G.
Según un sexto aspecto, se proporciona un elemento de red central (CN) para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El elemento de CN comprende un componente de información configurado para informar a un elemento de red de acceso por radio (RAN) de la red de comunicación inalámbrica que inicie la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común.
El elemento de CN puede configurarse para realizar el método de cualquiera de los pasos del método descritos en la presente memoria con respecto al segundo aspecto.
Según un séptimo aspecto, se proporciona un dispositivo de comunicación inalámbrica para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El dispositivo de comunicación inalámbrica comprende un componente de recepción y un componente de configuración. El componente de recepción está configurado para recibir, desde un elemento de red de acceso por radio (RAN) en un procedimiento de señalización común, información que permite al dispositivo de comunicación inalámbrica configurar un contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT. El componente de configuración se configura para configurar el contexto de seguridad de AS para la primera RAT y la segunda RAT.
El dispositivo de comunicación inalámbrica puede configurarse para realizar el método de cualquiera de los pasos del método descritos en la presente memoria con respecto al tercer aspecto. El dispositivo de comunicación inalámbrica puede comprender o configurarse como o ser parte de un equipo de usuario (UE).
Según un octavo aspecto, se proporciona un sistema de comunicación inalámbrica. El sistema de comunicación inalámbrica comprende el elemento de RAN como se describe en la presente memoria, el elemento de CN como se describe en la presente memoria y uno o más dispositivos de comunicación inalámbrica, tales como equipos de usuario (UE). El sistema de comunicación inalámbrica puede configurarse para realizar los pasos de cualquiera de los aspectos del método como se describe en la presente memoria.
En general, los pasos de cualquiera de los aspectos del método descritos en la presente memoria pueden realizarse igualmente en uno o más componentes, dispositivos o unidades adecuados, por ejemplo, en componentes adecuados del elemento de RAN, el elemento de CN, el dispositivo de comunicación inalámbrica y/o el sistema de comunicación inalámbrica.
Breve descripción de los dibujos
A continuación, se describirá con más detalle la presente divulgación con referencia a las realizaciones ejemplares ilustradas en las Figuras, en las que:
la Figura 1 es un diagrama de flujo que ilustra los pasos de señalización relacionados con la configuración de seguridad de LTE;
la Figura 2 es una ilustración esquemática de una realización de un sistema que comprende una realización de dispositivo de un dispositivo de comunicación inalámbrica, una realización de dispositivo de un elemento de red de acceso por radio y una realización de dispositivo de un elemento de red central;
la Figura 3 es un diagrama de flujo que ilustra una realización de un método realizada en el sistema de la Figura 2;
la Figura 4 es una ilustración esquemática de las interfaces entre nodos para la RAN de 5G;
la Figura 5 es una ilustración esquemática de una arquitectura de protocolo para la interfaz aérea en la RAN de 5G; la Figura 6 un diagrama de flujo que ilustra un procedimiento de conexión combinado a través de una única RAT que puede realizarse en el sistema de la Figura 2;
la Figura 7 es un diagrama de bloques que ilustra esquemáticamente una realización de un elemento de red de acceso por radio o un dispositivo de comunicación inalámbrica o un elemento de red central;
la Figura 8 es un diagrama de bloques que ilustra esquemáticamente una realización adicional de un elemento de red de acceso por radio;
la Figura 9 es un diagrama de bloques que ilustra esquemáticamente una realización adicional de un elemento de red central; y
la Figura 10 es un diagrama de bloques que ilustra esquemáticamente una realización adicional de un dispositivo de comunicación inalámbrica.
Descripción detallada
En la siguiente descripción, con fines explicativos y no limitativos, se exponen detalles específicos, tales como topologías de red específicas que incluyen nodos de red particulares, con el fin de proporcionar una comprensión completa de la presente divulgación. Será evidente para los expertos en la técnica que la presente divulgación puede ponerse en práctica en otras realizaciones que se apartan de estos detalles específicos. Por ejemplo, aunque la presente divulgación se describe principalmente con referencia a la evolución a largo plazo (LTE) como un ejemplo específico para una tecnología utilizada en una red de comunicación inalámbrica, la presente divulgación puede ponerse en práctica en cualquier red a la que puedan conectarse usuarios móviles o estacionarios que utilicen un equipo de usuario (UE) correspondiente. Por ejemplo, la presente divulgación es aplicable a otras redes celulares tales como redes del sistema global para las comunicaciones móviles (GSM), redes del sistema universal de telecomunicaciones móviles (UMTS), redes de LTE-Advanced (LTE-A), redes de 5G, redes WiFi o a la red de área local inalámbrica (WLAN) o redes inalámbricas similares y una combinación de las mismas.
Los expertos en la materia apreciarán además que las funciones explicadas a continuación en la presente memoria pueden implementarse utilizando circuitos de hardware individuales, utilizando software que funcione en conjunto con un microprocesador programado o un ordenador de propósito general, utilizando un circuito integrado de aplicación específica (ASIC) y/o utilizando uno o más procesadores de señales digitales (DSP). También se apreciará que cuando la presente divulgación se describe como un método, también puede realizarse en un procesador informático y una memoria acoplada a un procesador, en donde la memoria está codificada con uno o más programas para hacer que el procesador realice los métodos divulgados en la presente memoria cuando son ejecutados por el procesador.
Antes de explicar las realizaciones en detalle a continuación, se proporciona información general con respecto al contexto de UE y la configuración de seguridad.
El contexto de UE es un término general para referirse a un conjunto de parámetros y/o información de una asociación de UE y/o conexión de UE dada hacia un nodo de red dado. En el caso de LTE, por ejemplo, existen varios tipos de asociaciones de UE necesarias en el eNB, como se especifica en TS 36.401 V12.2.0 (2015-03). En ese caso, el "contexto de UE de eNB " puede utilizarse para almacenar toda la información necesaria para un UE en estado conectado y las asociaciones entre el UE y las conexiones lógicas S1 y X2 utilizadas para los mensajes asociados al UE de S1/X2-AP.
Más específicamente, el contexto de UE de eNB puede entenderse en el sentido de 3GPP TS 36.401 V12.2.0 (2015 03) como un bloque de información en un eNB asociado a un UE activo, por ejemplo en estado RRC_CONECTADO. El bloque de información puede contener la información necesaria requerida para mantener los servicios de E-UTRAN hacia el UE activo. Por ejemplo, una o más de la información de estado del UE, información de seguridad (por ejemplo, algoritmos, claves de seguridad y parámetros), información de capacidad del UE (por ejemplo, soporte de portadora, MIMO, formato de transmisión, etc.), identidades del UE (por ejemplo, C-RNTI, S-TMSI) y las identidades de la conexión S1 lógica asociada al UE pueden incluirse en el contexto de UE de eNB. El establecimiento del contexto de UE de eNB puede considerarse completado cuando se completa la transición al estado activo para un UE o en el eNB objetivo después de la finalización de la asignación de recursos de traspaso durante la preparación del traspaso, por ejemplo, la finalización del traspaso a E-UTRAN. En LTE, cuando no existe una conexión dedicada entre la E-UTRAN y el UE, no se almacena información de contexto de UE en E-UTRAN. Eso básicamente significa que el contexto de UE de eNB se descarta cuando el UE pasa del estado RRC_CONECTADO al estado RRC_INACTIVO.
Se crea un contexto de UE de MME cuando un UE se enciende y se conecta a la red. La MME asigna al UE una identidad temporal corta única denominada identidad temporal de abonado móvil SAE (S-TMSI) que identifica el contexto de UE en la MME. Este contexto de UE contiene información de suscripción del usuario descargada desde el servidor de abonado doméstico (HSS). El almacenamiento local de datos de suscripción en la MME permite una ejecución más rápida de procedimientos como el establecimiento de portadora, dado que elimina la necesidad de consultar el HSS cada vez. Además, el contexto de UE también contiene información dinámica tal como la lista de portadoras que están establecidas y las capacidades del terminal.
Para reducir la sobrecarga en la E-UTRAN y el procesamiento en el UE, toda la información relacionada con el UE en la red de acceso puede liberarse durante largos períodos de inactividad de datos. El UE se encuentra entonces en el estado ECM-INACTIVO. La MME conserva el contexto de UE y la información sobre las portadoras establecidas durante estos períodos de inactividad. Para permitir que la red contacte con un UE de ECM-INACTIVO, el UE actualiza la red en cuanto a su nueva ubicación cada vez que se mueve fuera de su área de seguimiento (TA) actual; este procedimiento se denomina "actualización de área de seguimiento". La MME es responsable de realizar el seguimiento de la ubicación del usuario mientras el UE está en ECM-INACTIVO. En ese sentido, se podría decir que la ubicación del UE en un nivel de TA es parte del contexto de UE en la MME.
Cuando existe la necesidad de entregar datos de enlace descendente a un UE de ECM-INACTIVO, la MME envía un mensaje de radiolocalización a todos los eNB en su TA actual, y los eNB localizan al UE a través de la interfaz de radio. Al recibir un mensaje de radiolocalización, el UE realiza un procedimiento de solicitud de servicio que da como resultado que el UE pase al estado ECM-CONECTADO. De este modo, se crea información relacionada con el UE en la E-UTRAN y se restablecen las portadoras.
La MME es responsable del restablecimiento de las portadoras de radio y de la actualización del contexto de UE en el eNodoB. Esta transición entre los estados del UE se denomina "transición de inactivo a activo".
La MME es responsable de establecer la seguridad para la señalización de control entre el UE y la red central. Cuando un UE se conecta a la red, se realiza una autenticación mutua del UE y la red entre el UE y la MME/HSS. Esta función de autenticación también establece la clave de seguridad Kasme, que es la base para todas las claves posteriores derivadas para su uso en la RAN.
El diseño de seguridad de LTE proporciona compartimentación. La compartimentación consiste principalmente en garantizar que si un atacante viola la seguridad de una función, solo esa función se ve comprometida. Por ejemplo, como se explica en el análisis de amenazas, hay una clave utilizada para el cifrado del protocolo RRC y otra clave utilizada para la protección de la integridad del protocolo RRC.
La seguridad de estrato de acceso (As) está compuesta por la protección de la integridad del plano de control (es decir, la señalización RRC) y el cifrado tanto del plano de control como de usuario. El algoritmo de protección de la integridad se aplica a las portadoras de radio de señalización (SRB) (por ejemplo, dos portadoras de radio de señalización SRB1 y SRB2). El algoritmo de cifrado se aplica a las portadoras de radio (por ejemplo, dos portadoras de radio de señalización SRB1 y SRB2, así como a las portadoras de radio de datos DRB). Por otro lado, no se aplica ni la protección de la integridad ni el cifrado a otra portadora de radio de señalización (por ejemplo, portadora de radio de señalización SRB0).
Si un atacante viola la clave de cifrado de control de recursos de radio (RRC), el atacante puede descifrar y leer todos los mensajes RRC. Sin embargo, dado que la clave de integridad es diferente de la clave de cifrado, el atacante no puede modificar o inyectar mensajes RRC. Un atacante que haya violado la clave de cifrado RRC tampoco puede utilizarla para interceptar los DRB, dado que utilizan claves de cifrado separadas (y viceversa).
Otra parte del diseño de compartimentación es que cada eNB utiliza un conjunto de claves separado. La razón es que esto garantiza que un atacante que irrumpa en un eNB no obtenga ninguna información sobre los datos transmitidos entre un UE y otro eNB físicamente diferente. Para mantener la propiedad de que irrumpir en un nodo de RAN físico, es decir, un eNB, no ayuda a atacar a otro nodo de RAN, el eNB auxiliar debe utilizar su propio conjunto de claves separado del conjunto de claves utilizado en el eNB de anclaje, sin embargo, puede derivarse a partir del eNB de anclaje como en la conectividad dual de LTE.
Para explicarlo con más detalle, las claves de seguridad en LTE pueden ordenarse en una jerarquía donde las claves en niveles inferiores en la jerarquía se derivan de claves en el mismo nivel o en niveles superiores. La clave de nivel superior es K, y tiene un valor permanente almacenado en el módulo de identidad de abonado universal (USIM) y HSS (centro de autenticación, AuC). A partir de esta K, se derivan la clave de cifrado (CK) y la clave de integridad (IK) durante el procedimiento de autenticación que se ejecuta entre el UE y el HSS/MME. A partir de la CK/IK, el UE y el HSS derivan una clave denominada K<asme>. El HSS reenvía K<asme>a MME. Las claves de NAS (entre MME y UE) (KNASint, KNASenc) y KeNB se derivan a partir de Kasme en MME. Las claves de seguridad de AS (entre eNB y UE) (KRRCint, KRRCenc, KUPenc) se derivan a partir de KeNB, que es reenviada por la MME a eNB, en eNB.
A continuación se describen con respecto a la Figura 1 detalles adicionales de los principios de diseño de seguridad. Es decir, a continuación, se describen y se muestran en la Figura 1 los diferentes pasos para la configuración de seguridad en EPC.
En el paso 1, el UE se conecta a la MME para los servicios de LTE. Para este propósito, la MME recibe una solicitud de conexión (capacidad de red del UE que indica los algoritmos de seguridad de LTE soportados, IMSI) desde el UE para obtener el acceso inicial a la red.
En el paso 2, la MME autentica el UE y deriva K<asme>. Para este propósito, al MME solicita el vector de autenticación (AV) relacionado con la identidad de abonado móvil internacional (IMSI) enviando la solicitud de datos de autenticación a AuC/HSS. Después de la derivación de un valor aleatorio (RAND), la respuesta esperada (XRES), K<asme>(derivada a partir de CK, IK y PLMN ID) y el token de autenticación (AUTN), el AuC los combina como un vector de autenticación (AV = RAND || XRES || KA<s>M<e>|| AUTN) y lo envía a la MME adjunto dentro de la respuesta de datos de autenticación.
Luego, MME recupera K<asme>, el valor aleatorio (RAND), la respuesta esperada (XRES), y el AUTN del AV. La MME envía AUTN y RAND con la solicitud de autenticación al UE. El UE autentica la red comprobando el AUTN recibido. Luego deriva IK, CK (y Kasme a partir de CK/IK), RES, AUTN y RAND. Envía la respuesta (RES) junto con la respuesta de autenticación. Después de recibir la RES, la MME la compara con XRES y si coincide, entonces la autenticación se considera exitosa (de lo contrario, la MME envía un fallo de autenticación al UE). A continuación, la MME deriva KNASint, KNASenc. La entrada a las derivaciones de clave son los algoritmos de cifrado e integridad de NAS particulares que son seleccionados por la MME en base a la información de capacidad de red del UE incluida en el mensaje de solicitud de conexión recibido. Finalmente, la MME establece en cero el contador NAS de enlace descendente utilizado para los mensajes NAS protegidos con las claves derivadas a partir de este K<asme>particular y envía el comando de modo de seguridad de NAS (que incluye el identificador de Kasme (KSIasme), el algoritmo de integridad, el algoritmo de cifrado, la capacidad de seguridad de UE, MAC de NAS) en un mensaje no cifrado. Aquí, se genera el MAC de NAS (código de autenticación de mensajes para NAS) para la protección de la integridad de todo el mensaje utilizando KNASint y el algoritmo de integridad seleccionado. Después de recibir el comando de modo de seguridad de NAS, el UE establece el identificador de K<asme>(KSI<asme>) en el mensaje como su KSI<asme>y lo utiliza como un identificador de la K<asme>actual; calcula K<asme>, KeNB, KNASint KNASenc; y verifica la integridad del mensaje de comando de modo de seguridad con MAC de XNAS. A continuación, el UE envía a la MME el modo de seguridad de NAS completo dentro de un mensaje de integridad protegida, de manera similar a un MAC de NAS.
La MME deriva KeNB a partir de Kasme y envía KeNB al eNB. El UE deriva KeNB a partir de Kasme para calcular otras claves de seguridad y activar la seguridad.
En el paso 3, después de recibir el modo de seguridad de NAS completo del UE, la MME calcula la KeNB y lo envía al eNB con la solicitud de configuración del contexto inicial de S1AP adjuntando la capacidad de seguridad de UE y KeNB. Después de recibir KeNB, eNB calcula KRRCint, KRRCenc, KUPenc a partir de ello. Luego envía el comando de modo de seguridad de AS que incluye algoritmos de cifrado e integridad de AS, así como MAC-I (código de autenticación de mensaje para la integridad) que se genera utilizando KRRCint. Aquí, el mensaje está protegido en cuanto a integridad, pero no cifrado. Después de recibir el comando de modo de seguridad de AS, el UE identifica los algoritmos de seguridad; calcula KRRCint, KRRCenc, KUPenc; y verifica la integridad del mensaje de comando de modo de seguridad con XMAC-I. Finalmente, el UE enviará el modo de seguridad de AS completo al eNB con protección de la integridad con MAC-I.
Cabe señalar que después de los pasos dados anteriormente, la mayoría de los mensajes NAS y AS estarán protegidos en cuanto a integridad y cifrados, excepto los datos de usuario, que solo estarán cifrados.
Ahora se describirá la configuración RRC para las claves de seguridad de AS. RRC configura todas las entidades PDCP con las que está asociado. En particular, RRC configura las entidades PDCP con claves criptográficas y datos de configuración, tales como qué algoritmos de seguridad aplicar. El conjunto de claves en un eNB consta de la KeNB y KUPenc, KRRCenc y KRRCint como se discutió anteriormente. RRC configura cada entidad PDCP para el tráfico del plano de usuario (DRB) con una clave de cifrado KUPenc y cada entidad PDCP para el tráfico del plano de control (SRB) con una clave de cifrado KRRCenc y una clave de protección de la integridad KRRCint. Para los DRB utilizados para proteger los datos entre un eNB donante y un nodo de retransmisión, RRC también configura el DRB con una clave de protección de la integridad KUPint.
La activación de la seguridad de AS puede describirse de la siguiente manera. El procedimiento de comando de modo de seguridad de AS inicia la seguridad para las portadoras de radio (RB) entre el eNB y el UE. Después de este procedimiento, la seguridad está activa hasta que el UE o el eNB terminen la conexión RRC. Esto implica que cuando el eNB establece un nuevo DRB a través de un procedimiento de reconfiguración RRC, la seguridad ya está activa y el eNB y el UE cifrarán los paquetes PDCP en las DRB desde el inicio.
Como se describió anteriormente con respecto a la Figura 1, los procedimientos de señalización actuales no se han diseñado o al menos optimizado para soportar una arquitectura RAN que esté compuesta por múltiples interfaces aéreas donde estas interfaces aéreas pueden tener algunos aspectos diferentes en su contexto de UE.
Un ejemplo puede comprender un contexto de seguridad que sea diferente para diferentes RAT (a pesar de la integración estrecha) o versiones estándar o capacidades de UE o categorías de dispositivos. Por ejemplo, puede haber diferentes requisitos de longitud para las claves de seguridad de diferentes RAT o la terminación de la red puede estar en nodos separados, lo que requiere conjuntos de claves separados.
El establecimiento de portadora de señalización y/o el establecimiento de portadora de datos y/o la recuperación de portadora de señalización y/o portadora de datos requiere una serie de pasos de señalización como se explicó anteriormente con respecto a la Figura 1, lo que da como resultado, por ejemplo, una sobrecarga de señalización y/o una larga duración de la señalización, especialmente cuando se supone la integración estrecha de múltiples interfaces aéreas. Esto es así incluso en el caso donde las conexiones de la primera RAT y la segunda RAT del UE serían hacia al mismo, o en otras palabras, un nodo de radio compartido y/o nodo de red central.
La Figura 2 muestra una realización de un sistema de comunicación inalámbrica 20 que comprende una realización de un dispositivo de comunicación inalámbrica 100, una realización de un elemento de red de acceso por radio (RAN) 200 y una realización de un elemento de red central (CN) 300.
El dispositivo de comunicación inalámbrica 100 está adaptado para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El dispositivo de comunicación inalámbrica 100 puede ser, comprender o ser parte de un equipo de usuario (UE) operable de acuerdo con LTE o LTE-A.
El dispositivo de comunicación inalámbrica 100 comprende un componente de recepción 120 y un componente de configuración 140. El dispositivo de comunicación inalámbrica 100 puede comprender además un componente de transmisión 160. El componente de recepción 120 está configurado para recibir, desde un elemento de RAN, por ejemplo, el elemento de RAN 200, en un procedimiento de señalización común, información que permite al dispositivo de comunicación inalámbrica 100 configurar un contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT. El componente de configuración 140 está configurado para configurar el contexto de seguridad de AS para la primera RAT y la segunda RAT. El componente de recepción 120 puede configurarse para recibir información adicional desde un elemento de RAN, por ejemplo, el elemento de RAN 200, y/o un elemento de CN, por ejemplo, el elemento de CN 300. El componente de transmisión 160 puede configurarse para transmitir información a un elemento de RAN, por ejemplo, el elemento de RAN 200 y/o un elemento de CN, por ejemplo, el elemento de CN 300.
El elemento de RAN 200 está adaptado para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El elemento de RAN 200 puede ser, comprender o ser parte de un eNodoB en el caso de LTE o LTE-A.
El elemento de RAN 200 comprende un componente de iniciación 220. El elemento de RAN 200 puede comprender además un componente de recepción 240 y/o un componente de derivación 260. El componente de iniciación 220 está configurado para iniciar la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común. El componente de recepción 240 puede configurarse para recibir información desde un dispositivo de comunicación inalámbrica, por ejemplo, desde el dispositivo de comunicación inalámbrica 100, o de un elemento de CN, por ejemplo, el elemento de CN 300. El componente de derivación 260 puede configurarse para derivar cierta información a partir de la información recibida, por ejemplo.
El elemento de CN 300 está adaptado para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El elemento de CN 300 puede ser, comprender o ser parte de una entidad de gestión de la movilidad (MME) en el caso de LTE o LTE-A.
El elemento de CN 300 comprende un componente de información 320. El elemento de CN 300 puede comprender además un componente de recepción 340 y un componente de derivación 360. El componente de información 320 está configurado para informar a un elemento de RAN, por ejemplo, el elemento de RAN 200, de la red de comunicación inalámbrica que inicie la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común. El componente de recepción 240 puede configurarse para recibir información desde un dispositivo de comunicación inalámbrica, por ejemplo, del dispositivo de comunicación inalámbrica 100, o de un elemento de RAN, por ejemplo, el elemento de RAN 200. El componente de derivación 360 puede configurarse para derivar cierta información a partir de la información recibida, por ejemplo.
El dispositivo de comunicación inalámbrica 100, el elemento de RAN 200 y el elemento de CN 300 se describirán con más detalle a continuación con respecto a la Figura 3.
La Figura 3 muestra una realización de un método que puede implementarse en el sistema de comunicación inalámbrica 20 de la Figura 2. En más detalle, el primer paso S302 de la Figura 3 muestra una realización de un método que puede implementarse en el elemento de CN 300 de la Figura 2, el segundo paso S304 de la Figura 3 muestra una realización de un método que puede implementarse en el elemento de RAN 200 de la Figura 2 y el tercer paso S306 y el cuarto paso S308 de la Figura 3 muestran una realización de un método que puede implementarse en el dispositivo de comunicación inalámbrica 100 de la Figura 2.
El método de la Figura 3 soporta la configuración del contexto de seguridad en una red de comunicación inalámbrica, comprendiendo el método informar.
En el paso S302, el elemento de CN, por ejemplo, el elemento de CN 300, de la red de comunicación inalámbrica informa a un elemento de RAN, por ejemplo, el elemento de RAN 200, de la red de comunicación inalámbrica, que inicie la configuración del contexto de seguridad de AS para una primera RAT y una segunda RAT en un procedimiento de señalización común. Por ejemplo, el componente de información 320 del elemento de CN 300 informa en el paso S302 a un elemento de RAN, por ejemplo, el elemento de RAN 200, de la red de comunicación inalámbrica, que inicie la configuración del contexto de seguridad de AS para una primera RAT y una segunda RAT en un procedimiento de señalización común.
En el paso S304, el elemento de RAN, por ejemplo, el elemento de RAN 200, de la red de comunicación inalámbrica inicia la configuración del contexto de seguridad de AS para una primera RAT y una segunda RAT en un procedimiento de señalización común. Por ejemplo, el componente de iniciación 220 del elemento de RAN 200 inicia, en el paso S304, la configuración del contexto de seguridad de AS para una primera RAT y una segunda RAT en un procedimiento de señalización común.
En el paso S306, un dispositivo de comunicación inalámbrica, por ejemplo, el dispositivo de comunicación inalámbrica 100, de la red de comunicación inalámbrica recibe, desde un elemento de RAN, por ejemplo, el elemento de RAN 200, de la red de comunicación inalámbrica en un procedimiento de señalización común, información que permite a la comunicación inalámbrica, por ejemplo, el dispositivo de comunicación inalámbrica 100, configurar un contexto de seguridad de AS para una primera RAT y una segunda RAT. Por ejemplo, el componente de recepción 120 del dispositivo de comunicación inalámbrica 100 recibe, desde un elemento de RAN, por ejemplo, el elemento de RAN 200, de la red de comunicación inalámbrica en un procedimiento de señalización común, información que permite a la comunicación inalámbrica, por ejemplo, el UE 100, configurar un contexto de seguridad de AS para una primera RAT y una segunda RAT en el paso S306. En el paso S308, el dispositivo de comunicación inalámbrica, por ejemplo, el dispositivo de comunicación inalámbrica 100, configura el contexto de seguridad de AS para la primera RAT y la segunda RAT. Por ejemplo, el componente de configuración 140 del dispositivo de comunicación inalámbrica 100 configura el contexto de seguridad de AS para la primera RAT y la segunda RAT en el paso S308.
La presente divulgación se describe a continuación principalmente dentro el contexto de LTE. Debe entenderse que los problemas y soluciones descritos en la presente memoria son igualmente aplicables a redes de acceso inalámbrico y equipos de usuario (UE) que implementan otras tecnologías y estándares de acceso. Por lo tanto, LTE se utiliza como una tecnología de ejemplo donde la técnica propuesta es adecuada y, por lo tanto, el uso de LTE en lo sucesivo es útil para entender la técnica descrita en la presente memoria. Por lo tanto, en lo sucesivo, a modo de explicación y no de limitación, el elemento de red de acceso por radio 200 se denominará eNB 200 para ilustrar, a modo de ejemplo, que el elemento de red de acceso por radio 200 puede configurarse como una estación base y que la técnica propuesta en la presente memoria puede utilizarse e implementarse en LTE. De manera similar, el dispositivo de comunicación inalámbrica 100 se denominará UE 100 para ilustrar, a modo de ejemplo, que la técnica propuesta en la presente memoria puede utilizarse e implementarse en LTE. De manera similar, el elemento de CN 300 se denominará MME 300 para ilustrar, a modo de ejemplo, que el elemento de CN 300 puede configurarse como una entidad de gestión de la movilidad y que la técnica propuesta en la presente memoria puede utilizarse e implementarse en LTE.
De manera similar, la información de contexto se denominará contexto de UE de eNB. El contexto de UE de eNB puede entenderse en el sentido de 3GPP TS 36.401 como un bloque de información en un eNB asociado a un UE activo. El bloque de información puede contener la información necesaria requerida para mantener los servicios de E-UTRAN hacia el UE activo. Por ejemplo, una o más de la información de estado del UE, información de seguridad, información de capacidad del UE y las identidades de la conexión S1 lógica asociada al UE pueden incluirse en el contexto de UE de eNB. El establecimiento del contexto de UE de eNB puede considerarse completado cuando se completa la transición al estado activo para un UE o en el eNB objetivo después de la finalización del traspaso a E-UTRAN.
A continuación se describen detalles ejemplares adicionales relativos al UE 100, el eNB 200, la MME 300 y el sistema 20 que comprende el UE 100, el eNB 200 y la MME 300, y los métodos realizados en los mismos con respecto a las Figuras 6 a 10. Antes de explicar estos detalles, se explica brevemente información general sobre el concepto de arquitectura RAN de 5G con referencia a las Figuras 4 y 5.
Con el fin de cumplir con los requisitos de 5G en términos de tasas de datos y latencia, se necesita una nueva interfaz aérea diseñada para operar en frecuencias superiores (por ejemplo, por encima de 6 GHz). En comparación con las bandas de frecuencia actuales asignadas a LTE, existen condiciones de propagación mucho más desafiantes, de modo que la cobertura de la nueva interfaz aérea puede ser más irregular. El uso extensivo de la formación de haces, en particular en el lado de la red, es una parte esencial del acceso inalámbrico de alta frecuencia para superar los desafíos de propagación destacados anteriormente. A pesar de las posibles ganancias en el presupuesto del enlace, la fiabilidad de un sistema que dependa exclusivamente de la formación de haces y que opere en frecuencias superiores puede ser un desafío (la cobertura puede ser más sensible a las variaciones de tiempo y/o espacio).
Con el fin de soportar aplicaciones que requieren latencias muy bajas (del orden de 1 ms), tal como algunos casos de uso de comunicación de tipo máquina ultra confiable, es probable que se defina para la nueva interfaz aérea de 5G una nueva estructura de dominio del tiempo en base a intervalos de tiempo de transmisión (TTI) más cortos y un ancho de banda más amplio para bloques de recursos de radio en comparación con el especificado para LTE.
En paralelo con las actividades de investigación de 5G, el 3GPP está añadiendo continuamente nuevas características a LTE y es probable que, en el momento en que 5G llegue al mercado, LTE sea capaz de abordar muchos de los requisitos de 5G. Además de esto, también se espera que LTE se despliegue de manera masiva y, el hecho de que opere en bandas de frecuencia con mejores propiedades de propagación hace que la integración estrecha de LTE y la nueva interfaz aérea que opera en bandas de frecuencia superiores resulte muy atractiva.
Con respecto a la arquitectura RAN de 5G, actualmente hay un debate en curso entre las diferentes partes involucradas sobre alternativas de arquitectura para lograr una integración tan estrecha. En algunas de las discusiones, tal como en el proyecto METIS-II de UE, se supone que habrá funcionalidades comunes en la pila de protocolos RAN en contraste con el interfuncionamiento actual entre los diferentes accesos de red. En el sistema actual, a diferencia de esa suposición, el interfuncionamiento depende de interfaces entre nodos, tanto para el plano de usuario (UP) como para el plano de control (CP). Por ejemplo, en el caso del interfuncionamiento de E-UTRAN y UTRAN, la MME y la S-GW están interconectadas a través de la interfaz S11. Dicha arquitectura básicamente permite la continuidad de la cobertura y el balanceo de carga solo a través de traspasos duros (que siempre involucran señalización de la red central) y una gestión de recursos semiindependiente para las múltiples interfaces aéreas. Los detalles sobre el interfuncionamiento entre E-UTRAN y UTRAN pueden encontrarse en TS 36.300 V13.1.0 (2015-09), por ejemplo, u otras versiones del mismo.
Con el fin de lograr la integración estrecha de LTE y la nueva interfaz aérea de 5G, se propone en (véase "Tigh integration of new 5G air interface and LTE to fulfill 5G requirements”, VTC Primavera de 2015 - primer taller internacional sobre Arquitectura de 5G, Glasgow, Escocia) una arquitectura lógica que depende de capas de protocolo RRC/PDCP comunes, como se muestra en la Figura 5. "AI" denota interfaz aérea, que en lo sucesivo a veces se denomina NX, NX de 5G o, de manera abreviada, 5G.
En la Figura 4 se muestra una posible realización para interfaces entre nodos comunes.
En la Figura 6 se explican ahora detalles adicionales de las realizaciones de las Figuras 2 y 3. Con más detalle, como se ilustra en la Figura 6, lo siguiente puede ser realizado por el UE 100 y/o el eNB 200 y/o la MME 300. A modo de ilustración y no de limitación, una primera RAT (RAT1) y una segunda RAT (RAT2) son soportadas por el mismo eNB, es decir, el eNB 200, en la Figura 6. Sin embargo, esto no debe entenderse como limitativo. En su lugar, la RAT1 y la RAT2 pueden ser soportadas por diferentes eNB, por ejemplo, la RAT 1 por el eNB 200 y la RAT2 por un eNB diferente. Por lo tanto, la presente divulgación es igualmente aplicable independientemente de si una BS implementa ambas RAT o si las dos RATS se implementan por separado en diferentes BS. Se supone que solo hay una conexión RAN-CN por UE para ambas RAT. La primera RAT y la segunda RAT pueden combinarse en una BS o pueden distribuirse en dos BS separadas. En el caso de BS separadas para la primera y la segunda RAT, la BS de la primera RAT es informada por la BS de la segunda RAT sobre las capacidades de seguridad de la BS para la segunda RAT antes del método a continuación. Además, como se mencionó anteriormente, en el caso de BS separadas para la primera y la segunda RAT, la BS de la segunda RAT no necesita una conexión a la CN.
A continuación, se explica cómo manejar el contexto de UE para la seguridad a través de un procedimiento común (suponiendo un escenario con una integración estrecha de múltiples interfaces aéreas tales como LTE y otra RAT) para permitir el establecimiento de una conexión rápida, eficiente y segura para multi-RAT (por ejemplo, 4G y 5G) independientemente de qué tecnología de acceso se utilice inicialmente (por ejemplo, para el procedimiento de conexión). Aquí, 5G puede referirse a la evolución de LTE u otra RAT que pueda suponerse como 5G.
El contexto de seguridad puede incluir capacidades de seguridad, claves, algoritmos y parámetros disponibles. Para algunos procedimientos, un subconjunto del contexto de seguridad multi-RAT (por ejemplo, claves de seguridad, parámetros o algoritmos) puede ser idéntico (para diferentes RAT), lo que minimiza la sobrecarga del contexto y la cantidad de procesamiento. Sin embargo, este puede no ser siempre el caso, incluso si los procedimientos relacionados son los mismos o similares para diferentes RAT. Por ejemplo, si las RAT no están coubicadas en un nodo físico seguro, puede ser necesaria la transformación del contexto con el fin de no violar el principio de compartimentación mencionado en la sección de antecedentes, incluso si puede reutilizarse el mismo tipo de material de clave y los procedimientos relacionados.
De acuerdo con esto, el UE 100 podría conectarse para "solo LTE" o "solo 5G" o para "LTE y 5G combinados". En el caso de una conexión combinada de 5G y LTE (por ejemplo, a través de RAT de 5G), el método comprendido en la presente memoria incluye uno o más de los pasos que se explican a continuación con respecto a la Figura 6.
Con respecto a la Figura 6, en un primer paso paso1, el UE 100 se conecta a la CN para servicios tanto 5G como LTE. Para este propósito, el UE 100 envía a la CN 300 (que hace referencia a una función lógica de CN y/o un elemento de red de CN que maneja solicitudes de conexión, por ejemplo, la MME 300) su información de contexto sobre las capacidades de seguridad tanto para RAT1 como para RAT2 (por ejemplo, algoritmos de seguridad soportados a través de la información de capacidad de red de UE disponible en la solicitud de conexión) cuando se conecta a través de RAT1 (por ejemplo, en el mensaje de conexión) (paso S602). Por consiguiente, el UE 100 se indica como un UE de LTE+5G dentro de la solicitud de conexión. En otras palabras, el UE 100 informa a la CN 300 (en lo sucesivo, a veces se la denominará MME 300 generalmente como elemento de la CN o, de manera abreviada, simplemente CN 300) sobre sus capacidades de seguridad con respecto a la primera RAT y la segunda RAT cuando envía un mensaje L3 inicial a la c N 300 (por ejemplo, SOLICITUD DE UNIÓN para el propósito de conexión de CN; solicitud de actualización de área de seguimiento (TAU) para informar a la CN sobre un evento de movilidad en modo INACTIVO a través de la primera RAT).
Como se indicó anteriormente, el UE 100 puede incluir un indicador para LTE así como para para servicios de 5G. Por lo tanto, la CN 300 puede activar el elemento de RAN 200 para la activación combinada como se describe en la presente memoria. Para completar la descripción de la configuración de seguridad, el UE 100 puede incluir sus capacidades de seguridad de LTE. Estos son los algoritmos de cifrado e integridad soportados para diferentes tipos de acceso. La indicación del tipo de conexión podría estar implícita a partir de qué capacidades incluye el UE en el mensaje de conexión. En general, puede ser beneficioso mantener las capacidades de seguridad del UE para todas las RAT que el UE soporta en la CN para futuros traspasos entre RAT.
Después de informar a la CN 300 sobre las capacidades de seguridad del UE 100, se realiza la configuración de seguridad para NAS (CN de UE para señalización) en el paso 2 paso2. Para este propósito, la CN 300 solicita la autenticación del UE 100 en un mensaje de solicitud de autenticación NAS (paso S606) y deriva el material de clave de CN (común para ambas RAT o separado para cada RAT). El UE verifica la autenticidad de la solicitud de autenticación y responde con un mensaje de respuesta de autenticación (paso S608) y deriva el material de clave de CN correspondiente. En otras palabras, la CN 300 autentica al UE 100 tanto para los servicios de 5G como de LTE y deriva una clave de nivel de CN (por ejemplo, Kasme). En más detalle, la CN 300, por ejemplo, la MME 300, solicita el vector de autenticación (AV) relacionado con la identidad de abonado móvil internacional (IMSI) enviando la solicitud de datos de autenticación a AuC /HSS 400 (paso S604). Aquí, el AV podría ser un vector dual relacionado tanto con 5G como con LTE. Además, AuC 400 reconoce que UE 100 es un UE 100 de RAT dual. La CN recupera claves de seguridad y parámetros del AV dual relacionado tanto con 5G como con LTE. La CN 300 envía la solicitud de autenticación, que es válida tanto para 5G como para LTE, al UE 100 en el paso S606. El UE 100 autentica la CN 300 comprobando los parámetros de seguridad recibidos, derivando las claves de seguridad y otros parámetros. La derivación se realiza tanto para NX como para LTE. De esta manera, el UE 100 ejecutará un(os) algoritmo(s) de autenticación común(es) o separado(s) al mismo tiempo y preparará un único mensaje (por ejemplo, respuesta de autenticación) en el paso S608.
Cuando el UE 100 envía el mensaje de respuesta de autenticación y cuando la CN 300 recibe el mensaje de respuesta de autenticación, el UE 100 y la CN 300 consideran la autenticación completada para ambas RAT. La CN 300 deriva material de clave de CN adicional para la protección de la integridad y el cifrado de la comunicación de NAS y envía información que permite al UE 100 derivar el material de clave de CN adicional al UE 100 en un mensaje de comando de modo de seguridad de NAS (paso S610). Esta información puede corresponder a información a partir de la que puede derivarse el material de clave de CN, un material de clave de RAN o ambos. El mensaje puede comprender una indicación de que el material de clave de CN y/o RAN es para la primera RAT, la segunda RAT o para ambas. El UE 100 deriva el material de clave de CN y RAN adicional y responde a la CN 300 en un mensaje de comando de modo de seguridad de NAS completo (paso S612) para confirmar a la CN 300 que el procedimiento se ha completado exitosamente en el UE 100. En este sentido, la derivación de un material de clave no necesariamente debe realizarse inmediatamente, sino que normalmente se deriva cuando debe utilizarse por primera vez (el remitente no necesita calcular una clave de cifrado hasta que se cifra el primer mensaje).
Para explicarlo con más detalle, la CN 300 verifica la autenticación tanto para 5G como para LTE y deriva claves y parámetros adicionales en base a los algoritmos de seguridad seleccionados, que podrían ser comunes o separados para ambas RAT. A continuación, la CN 300 envía el comando de seguridad de NAS en el paso S610, con los parámetros de seguridad, las capacidades y la protección de la integridad pertinentes, tanto para LTE como para 5G. Después de recibir el comando de modo de seguridad de NAS, que es válido para ambas RAT, el UE 100 puede derivar claves y parámetros de seguridad adicionales; y verificar la integridad del mensaje de comando de modo de seguridad. A continuación, el UE 100 envía a la CN 300 el modo de seguridad de NAS completo con los parámetros de seguridad, las capacidades y la protección de la integridad pertinentes, tanto para LTE como para 5G en el paso S612.
Después de que se haya derivado el material de clave de CN, se realiza la configuración de seguridad para AS (RAN de UE para señalización y plano de usuario) en el paso 3 paso3. Para este propósito, la CN 300 deriva a partir del material de clave de CN el material de clave de RAN (común para ambas RAT o separado para cada RAT) y envía, en el paso S614, el material de clave de RAN al elemento de RAN 200 (también denominado a veces eNB 200 en lo sucesivo), por ejemplo, en un mensaje de configuración del contexto inicial de UE de S1AP (en el nivel de NAS). Si eNB 200 no ha recibido el material de clave de RAN para la segunda RAT, eNB 200 deriva este material de clave de RAN a partir del material de clave de RAN para la primera RAT. Luego, eNB 200 envía al UE 100 información que permite al UE 100 derivar el material de clave de RAN y activar la seguridad de AS para ambas RAT, por ejemplo, en un mensaje de comando de modo de seguridad de AS (paso S616). El UE 100 deriva este material de clave de RAN e informa al eNB 200 de la primera RAT o al eNB 200 de la segunda RAT (por ejemplo, incluido en un mensaje RRC) en un mensaje de modo de seguridad de AS completo del mismo. En caso de que el mensaje se envíe a una estación base de la segunda RAT, la estación base de la segunda RAT envía una indicación de X2AP a la estación base de la primera RAT. Esta indicación indica a la estación base de la primera RAT que la seguridad está establecida para ambas RAT.
Para explicarlo con más detalle, la CN 300 deriva un material de clave de nivel de RAN común (por ejemplo, KeNB) o separado para las seguridades tanto de 5G como de LTE a partir de un material de clave de nivel de CN común (por ejemplo, K<asme>) o separado, y envía el material de clave de nivel de RAN derivado al elemento de RAN 200 (paso S614). El UE 100 también deriva el mismo material de clave de nivel de RAN (por ejemplo, KeNB de K<asme>) para calcular otras claves de seguridad y activar la seguridad de extremo a extremo tanto para los servicios de 5G como de LTE. Después de recibir el modo de seguridad de NAS completo desde el UE 100 en el paso S612, la CN envía material de clave de nivel de RAN (por ejemplo, un KeNB común) tanto para LTE como para 5G al elemento de RAN 200 en el paso S614 con la solicitud de configuración del contexto inicial de S1AP adjuntando la capacidad de seguridad de UE y las claves de LTE y 5G o un material de clave de nivel de RAN común tanto para LTE como para 5G. De esta manera, la CN 300 proporciona un contexto de seguridad dual al elemento de RAN 200. Después de recibir el material de clave de nivel de RAN, el elemento de RAN realiza la comprobación de integridad y calcula las claves y parámetros de AS requeridos tanto para LTE como para 5G a partir de ello. Luego, envía un comando de modo de seguridad de AS común en el paso S616 con los parámetros de seguridad necesarios tanto para LTE como para 5G con protección de la integridad. De esta manera, se habilita una activación combinada. Después de recibir el comando de modo de seguridad de AS, el UE 100 identifica los algoritmos de seguridad y calcula las claves de seguridad de AS tanto para LTE como para 5G; y verifica la integridad del mensaje de comando de modo de seguridad. Finalmente, el UE 100 envía un comando de modo de seguridad de AS completo común al elemento de RAN con protección de la integridad en el paso S618.
El elemento de RAN 200 deriva una clave NX a partir de KeNB y utiliza la clave de 5G como base para cualquier clave de cifrado e integridad que deba utilizarse en 5G. Puede ser posible que se produzcan algunas variaciones en los pasos dados anteriormente. Por ejemplo, en lugar del caso donde la MME 300 deriva las claves de 5G y LTE o una KeNB común (por ejemplo, a partir de la Kasme común) directamente y las proporciona al elemento de RAN 200, el elemento de RAN 200 también puede derivar una clave de 5G a partir de KeNB y puede utilizar la clave de 5G como base para cualquier clave de cifrado e integridad que deba utilizarse en 5G. Esto puede ser obligatorio especialmente cuando las RAT de 5G y LTE no están coubicadas (debido al principio de compartimentación).
Cabe señalar que una opción es enviar información a partir de la cual puede derivarse la clave RAN del elemento de CN 300 al UE 100. Otra opción es enviar dicha información desde el elemento de RAN 200 al UE 100. También es posible que se envíen ambas piezas de información y que la clave RAN se derive a partir de ambas.
Como se indicó anteriormente, la CN puede necesitar indicar explícitamente a la RAN qué hacer si algunos pasos se consideran transparentes para la RAN, por ejemplo, especialmente cuando se utilizan algoritmos y material de clave común para configurar múltiples seguridades de RAT. De manera similar, el UE 100 puede que necesite que se le reconozca explícitamente sobre qué seguridades de RAT han de activarse, por ejemplo, a través del comando de modo de seguridad. La decisión de crear y activar el contexto de seguridad de AS puede tomarse en el nivel de RAN o de CN. A pesar de la indicación de capacidades de seguridad de RAT duales del UE 100, el elemento de RAN 200 o la CN 300 pueden rechazar la configuración de seguridad para una RAT específica. En este caso, la MME 300 o el eNB 200 pueden reconocer implícitamente el rechazo de una configuración de seguridad (por ejemplo, seguridad de RAT2) respondiendo solo para una RAT (por ejemplo, seguridad de RAT1) como se muestra en la Figura 6. Alternativamente, cualquier mensaje de rechazo o fallo puede señalizarse dentro de un procedimiento de señalización dedicado.
En una variación de la Figura 6, aunque MME 300 puede autenticar con éxito el UE 100 para ambas RAT y crear el contexto requerido, la activación de seguridad para una determinada RAT y seguridad (por ejemplo, seguridad de AS para la RAT2) puede posponerse. Esto podría ser, por ejemplo, debido a la movilidad, carga de tráfico, política de seguridad o cualquier otro motivo.
Como se explica en la presente memoria, el contexto multi-RAT para la seguridad se maneja a través de un procedimiento común para permitir el establecimiento de una conexión rápida, eficiente y segura para multi-RAT. De acuerdo con esto, el UE puede solicitar una configuración de seguridad multi-RAT y la red (NW) puede ejecutar un único procedimiento (por ejemplo, comando de modo de seguridad) para activar la seguridad tanto para LTE como para 5G. Para poder hacer eso, la NW puede necesitar obtener la información requerida de otro elemento de red relacionado tanto con LTE como con 5G para este UE.
En la presente memoria, se describe un mecanismo para la señalización simultánea relacionada con la configuración de la seguridad entre un UE y una red para dos o más RAT, por ejemplo, LTE, 5G. La activación de la seguridad puede o no realizarse simultáneamente para ambas RAN. La seguridad se activa para dos estratos. El primero es entre el UE y un nodo de CN, y el segundo es entre el UE y un nodo de RAN. El mecanismo comprende la autenticación mutua entre el UE y la CN por medio de un primer procedimiento de NAS único. Además, un segundo nodo de CN informa al UE de si debe activarse la seguridad para dos o más RAT simultáneamente en un único procedimiento para el primer estrato de NAS. El primer y el segundo nodo de CN pueden ser el mismo. La información también puede indicar si se activará la seguridad para el segundo estrato (el AS para dos o más RAT). Si la información no se aplicó al AS, un nodo de RAN activa la seguridad para el AS utilizando un procedimiento de AS.
Sin el procedimiento descrito en la presente memoria, puede haber una configuración de seguridad entre el UE y la CN para cada conexión de UE a CN, y para LTE puede haber además una configuración de seguridad de AS separada. Por ejemplo, para LTE y 3G tendrían que ejecutarse dos procedimientos separados correspondientes a la señalización de los pasos paso2 y paso3 de la Figura 6.
En un escenario donde el UE está conectado a una RAT de 3GPP y luego es traspasado a una segunda RAT, el UE y los nodos de CN primero deben ejecutar una señalización para establecer la seguridad para la primera RAT y luego, durante el traspaso, necesitan realizar una señalización adicional para establecer la seguridad para la segunda RAT. En un escenario donde un UE realiza un traspaso de LTE a 3G, el UE no realiza un establecimiento de seguridad para 3G, sino que confía en los mismos parámetros de seguridad utilizados en LTE. En otras palabras, no hay ninguna configuración de seguridad para 3G.
Mediante el procedimiento descrito en la presente memoria, puede manejarse una configuración del contexto de seguridad para un UE capaz de emplear dos RAT para las dos RAT al mismo tiempo en un único procedimiento por estrato para reducir la sobrecarga de señalización. Además, la configuración del contexto de seguridad puede incluir un procedimiento de autenticación, un procedimiento de activación (de UE de CN) de NAS y un procedimiento de activación de AS (UE de RAN), en donde cada procedimiento puede utilizar un procedimiento común para ambas RAT. Además, puede activarse una única solicitud de comando de modo de seguridad de AS desde la BS al UE para ambas RAT en la seguridad del UE para dos RAT. Además, puede activarse una única solicitud de comando de modo de seguridad de NAS desde la CN al UE para ambas RAT en la seguridad del UE para la clave de CN para las dos RAT, y posiblemente informa al UE de si el comando de modo de seguridad de AS debe aplicarse a una o ambas RAT.
En la presente memoria, se describen métodos para manejar el contexto de seguridad del UE a través de un procedimiento común que supone un escenario con una integración estrecha de múltiples interfaces aéreas (tales como LTE y 5G). El método puede resumirse de la siguiente manera:
1. El UE se conecta a la CN tanto para los servicios de 5G como de LTE.
2. La CN autentica el UE tanto para los servicios de 5G como de LTE y deriva una clave de nivel de CN (por ejemplo, Kasme).
3. a. La CN deriva un material de clave de nivel de RAN común (por ejemplo, KeNB) o separado tanto para 5G como para LTE a partir de un material de clave de nivel de CN común (por ejemplo, Kasme) o separado; y envía el material de clave de nivel de RAN derivado al elemento de RAN. El UE también deriva de manera similar el mismo material de clave (por ejemplo, KeNB de Kasme) para calcular otras claves de seguridad y activar la seguridad de extremo a extremo tanto para servicios de NX/5G como de LTE.
b. El elemento de RAN deriva una clave de NX/5G a partir de KeNB y utiliza la clave de 5G como base para cualquier clave de cifrado e integridad que deba utilizarse en 5G.
Aquí, CN se refiere a una función de CN lógica y/o un elemento de red de CN, por ejemplo, que maneja solicitudes de conexión, y el elemento de RAN denota un nodo de RAN o una función lógica donde la conexión multi-RAT (como una entidad r Rc común) termina en el lado de la red.
Como consecuencia, se reduce la señalización para la seguridad de la segunda RAT, por ejemplo, al mínimo. Puede garantizarse la compartimentación del material de clave de RAN en el mismo nivel de seguridad que la conectividad dual de LTE. Es decir, un atacante que obtenga el material de clave para la segunda RAT no tendrá acceso al material de clave para la primera RAT, pero un atacante que obtenga el material de clave para la primera RAT podrá derivar el material de clave para la segunda RAT.
Por medio de la técnica descrita en la presente memoria, se proporciona una forma más eficiente de manejar el contexto de seguridad para múltiples RAT y los procedimientos de seguridad relacionados. En consecuencia, puede reducirse la sobrecarga de señalización y el consumo de energía de la misma. La reducción de la señalización se produce cuando el UE configura una conectividad dual o múltiple entre las RAT duales o múltiples, respectivamente, de modo que el contexto de seguridad de la segunda RAT ya esté preparado. Los parámetros de seguridad para la segunda RAT pueden proporcionarse incorporados en los procedimientos de seguridad aplicados para la primera RAT.
Crear el contexto de seguridad por adelantado para RAT duales/múltiples también significa que el plano de usuario puede habilitarse más rápido al cambiar de una RAT a otra.
Los detalles explicados anteriormente con respecto a las Figuras 2 a 6 pueden resumirse con respecto a la Figura 7. La Figura 7 es un diagrama de bloques que ilustra esquemáticamente una realización de dispositivo de un elemento de red 2 que soporta la configuración del contexto de seguridad en una red de comunicación inalámbrica.
A modo de ejemplo, se describe el elemento de red 2 para implementar las funcionalidades del elemento de red de acceso por radio 200 según la realización de la Figura 2. El elemento de red de acceso por radio 2 comprende una memoria 4 y un procesador 6 acoplados entre sí. El elemento de red de acceso por radio puede comprender además una interfaz opcional acoplada al procesador 6. La memoria 4 contiene instrucciones de control ejecutables por el procesador 6.
El procesador 6 está configurado para iniciar la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común. La interfaz puede configurarse para llevar a cabo cualquier comunicación con otros componentes de la red de comunicación. Por ejemplo, la interfaz puede transmitir información a otros componentes de la red de comunicación y/o puede recibir información de otros componentes de la red de comunicación.
Alternativamente, el elemento de red 2 se describe para implementar las funcionalidades del elemento de red central 300 según la realización de la Figura 2. El elemento de red de acceso por radio 2 comprende una memoria 4 y un procesador 6 acoplados entre sí. El elemento de red de acceso por radio puede comprender además una interfaz opcional acoplada al procesador 6. La memoria 4 contiene instrucciones de control ejecutables por el procesador 6. El procesador 6 está configurado para informar a un elemento de red de acceso por radio (RAN) de la red de comunicación inalámbrica, que inicie la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común. La interfaz puede configurarse para llevar a cabo cualquier comunicación con otros componentes de la red de comunicación. Por ejemplo, la interfaz puede transmitir información a otros componentes de la red de comunicación y/o puede recibir información de otros componentes de la red de comunicación.
Alternativamente, se describe el elemento de red 2 para implementar las funcionalidades del dispositivo de comunicación inalámbrica 100 según la realización de la Figura 1. El elemento de red de acceso por radio 2 comprende una memoria 4 y un procesador 6 acoplados entre sí. El elemento de red de acceso por radio puede comprender además una interfaz opcional acoplada al procesador 6. La memoria 4 contiene instrucciones de control ejecutables por el procesador 6. El procesador 6 está configurado para recibir, desde un elemento de red de acceso por radio (RAN) de la red de comunicación inalámbrica en un procedimiento de señalización común, información que permite al dispositivo de comunicación inalámbrica configurar un contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT. El procesador está configurado además para configurar el contexto de seguridad de AS para la primera RAT y la segunda RAT.
La Figura 8 muestra un diagrama de bloques funcional de un elemento de red de acceso por radio 20 configurado según los principios de la divulgación como se describió anteriormente. Los bloques funcionales del elemento de red 20 pueden implementarse mediante hardware, software o una combinación de hardware y software para llevar a cabo los principios de la divulgación. Un experto en la técnica entenderá que los bloques funcionales descritos en la Figura 8 pueden combinarse en uno o más bloques o separarse en subbloques para implementar los principios de la divulgación como se describió anteriormente. Por lo tanto, la descripción de la presente memoria puede admitir cualquier posible combinación o separación o definición adicional de los bloques funcionales descritos en la presente memoria.
El elemento de red de acceso por radio 20 de la Figura 8 es para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica. El elemento de red 20 comprende un módulo de iniciación 22 para iniciar la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común.
El elemento de red 20 puede comprender un módulo de recepción 24. El módulo de recepción es para recibir, por el elemento de RAN, un primer material de clave de RAN desde de un elemento de red central (CN) de la red de comunicación inalámbrica. El primer material de clave de RAN permite al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la primera RAT. El módulo de recepción es además para recibir, por el elemento de RAN, un segundo material de clave de RAN desde el elemento de CN de la red de comunicación inalámbrica. El segundo material de clave de RAN permite al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la segunda RAT.
El módulo de recepción puede ser para recibir, por el elemento de RAN, un primer material de clave de RAN desde un elemento de CN de la red de comunicación inalámbrica. El primer material de clave de RAN permite al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la primera RAT. El elemento de red 20 puede comprender además un módulo de derivación para derivar, por el elemento de RAN, un segundo material de clave de RAN a partir del primer material de clave de RAN recibido. El segundo material de clave de RAN permite al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la segunda RAT.
El elemento de red 20 puede comprender además un módulo de transmisión 26 para transmitir, por el elemento de RAN, un mensaje de comando de modo de seguridad de AS común para la primera RAT y la segunda RAT a un dispositivo de comunicación inalámbrica de la red de comunicación inalámbrica.
El módulo de recepción puede además ser para recibir, por el elemento de RAN, un mensaje de modo de seguridad de AS completo que informa al elemento de RAN de la finalización de la configuración del contexto de seguridad de AS para la primera RAT y la segunda RAT.
El elemento de red 20 puede corresponder al elemento de RAN que implementa la primera RAT y puede corresponder o ser diferente del elemento de RAN que implementa la segunda RAT.
La Figura 9 muestra un diagrama de bloques funcional de un elemento de red central 40 configurado de acuerdo con los principios de la divulgación como se describió anteriormente. Los bloques funcionales del elemento de red 40 pueden implementarse mediante hardware, software o una combinación de hardware y software para llevar a cabo los principios de la divulgación. Un experto en la técnica entenderá que los bloques funcionales descritos en la Figura 9 pueden combinarse en uno o más bloques o separarse en subbloques para implementar los principios de la divulgación como se describió anteriormente. Por lo tanto, la descripción de la presente memoria puede admitir cualquier posible combinación o separación o definición adicional de los bloques funcionales descritos en la presente memoria.
El elemento de red central 40 de la Figura 9 soporta la configuración del contexto de seguridad en una red de comunicación inalámbrica. El elemento de red central 40 comprende un módulo de información 42 para informar a un elemento de red de acceso por radio (RAN) de la red de comunicación inalámbrica, que inicie la configuración del contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT en un procedimiento de señalización común.
El elemento de red central 40 puede comprender un módulo de recepción 44 para recibir, por el elemento de CN desde un dispositivo de comunicación inalámbrica, información sobre las capacidades de seguridad del dispositivo de comunicación inalámbrica con respecto a la primera RAT y la segunda RAT.
El elemento de red central 40 puede comprender un módulo de iniciación 46 para iniciar, por el elemento de CN, la configuración del contexto de seguridad de estrato de no acceso (NAS) para la primera RAT y la segunda RAT en un procedimiento de señalización común.
El módulo de iniciación puede ser además para iniciar la configuración del contexto de seguridad de NAS, lo que comprende solicitar, por el elemento de CN, a un dispositivo de comunicación inalámbrica que realice la autenticación hacia el elemento de CN.
El elemento de red central 40 puede comprender un módulo de derivación 48 para derivar, por el elemento de CN, material de clave de CN que permite a un dispositivo de comunicación inalámbrica realizar la autenticación para la primera RAT y permite al dispositivo de comunicación inalámbrica realizar la autenticación para la segunda RAT.
El elemento de red central 40 puede comprender un módulo de transmisión 50 para transmitir, por el elemento de CN, el material de clave de CN al dispositivo de comunicación inalámbrica.
El módulo de recepción puede ser además para recibir, por el elemento de CN, un mensaje de respuesta de autenticación desde el dispositivo de comunicación inalámbrica.
El módulo de derivación puede ser además para derivar, por el elemento de CN, material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS.
El módulo de transmisión puede ser además para transmitir, por el elemento de CN, un mensaje de comando de modo de seguridad de NAS para la primera RAT y la segunda RAT al dispositivo de comunicación inalámbrica, permitiendo el mensaje de comando de modo de seguridad de NAS al dispositivo de comunicación inalámbrica derivar el material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS.
El módulo de recepción puede ser además para recibir, por el elemento de CN, un mensaje de modo de seguridad de NAS completo para la primera RAT y la segunda RAT desde el dispositivo de comunicación inalámbrica.
La Figura 10 muestra un diagrama de bloques funcional de un dispositivo de comunicación inalámbrica 60 configurado de acuerdo con los principios de la divulgación como se describió anteriormente. Los bloques funcionales del dispositivo de comunicación inalámbrica 6 pueden implementarse mediante hardware, software o una combinación de hardware y software para llevar a cabo los principios de la divulgación. Un experto en la técnica entenderá que los bloques funcionales descritos en la Figura 10 pueden combinarse en uno o más bloques o separarse en subbloques para implementar los principios de la divulgación como se describió anteriormente. Por lo tanto, la descripción de la presente memoria puede admitir cualquier posible combinación o separación o definición adicional de los bloques funcionales descritos en la presente memoria.
El dispositivo de comunicación inalámbrica 60 de la Figura 10 soporta la configuración del contexto de seguridad en una red de comunicación inalámbrica. El dispositivo de comunicación inalámbrica 60 comprende un módulo de recepción 62 para recibir, desde un elemento de red de acceso por radio (RAN) de la red de comunicación inalámbrica en un procedimiento de señalización común, información que permite a la comunicación inalámbrica configurar un contexto de seguridad de estrato de acceso (AS) para una primera tecnología de acceso por radio (RAT) y una segunda RAT. El dispositivo de comunicación inalámbrica 60 comprende además un módulo de configuración 64 para configurar el contexto de seguridad de AS para la primera RAT y la segunda RAT.
El módulo de recepción puede ser además para recibir, por el dispositivo de comunicación inalámbrica desde el elemento de RAN de la red de comunicación inalámbrica, un mensaje de comando de modo de seguridad de AS común para la primera RAT y la segunda RAT.
El dispositivo de comunicación inalámbrica 60 puede comprender además un módulo de transmisión 66 para transmitir, por el dispositivo de comunicación inalámbrica, un mensaje de modo de seguridad de AS completo al elemento de RAN, informando el mensaje de modo de seguridad de AS completo al elemento de RAN de la finalización de la configuración del contexto de seguridad de AS para la primera RAT y la segunda RAT.
El módulo de transmisión puede ser además para transmitir, por el dispositivo de comunicación inalámbrica a un elemento de red central, CN, de la red de comunicación inalámbrica, información sobre las capacidades de seguridad del dispositivo de comunicación inalámbrica con respecto a la primera RAT y la segunda RAT.
El módulo de recepción puede ser además para recibir, por el dispositivo de comunicación inalámbrica desde un elemento de CN, una solicitud para realizar una autenticación hacia el elemento de CN.
El módulo de transmisión puede ser además para transmitir, por el dispositivo de comunicación inalámbrica, un mensaje de respuesta de autenticación al elemento de CN.
El módulo de recepción puede ser además para recibir, por el dispositivo de comunicación inalámbrica, un mensaje de comando de modo de seguridad de NAS para la primera RAT y la segunda RAT desde el elemento de CN y derivar, por el dispositivo de comunicación inalámbrica, material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS para la primera RAT y la segunda RAT a partir del mensaje de comando de modo de seguridad de NAS recibido.
El módulo de transmisión puede ser además para transmitir, por el dispositivo de comunicación inalámbrica, un mensaje de modo de seguridad de NAS completo para la primera RAT y la segunda RAT al elemento de CN.
Muchas ventajas de la presente divulgación se entenderán plenamente a partir de la descripción anterior, y será evidente que pueden realizarse varios cambios en la forma, construcción y disposición de las unidades y dispositivos sin apartarse del alcance de la presente divulgación y/o sin sacrificar todas sus ventajas.
Claims (18)
1. Un método para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica, comprendiendo el método iniciar (S304), por un elemento (200) de red de acceso por radio, RAN, de la red de comunicación inalámbrica, la configuración del contexto de seguridad de estrato de acceso, AS, para una primera tecnología de acceso por radio, RAT, y una segunda RAT en un procedimiento de señalización común, en donde el elemento de RAN (200) corresponde al elemento de RAN que implementa la primera RAT y es diferente de un elemento de RAN que implementa la segunda RAT, en donde el paso de iniciar (S304) la configuración del contexto de seguridad de AS comprende transmitir, por un elemento de red central, CN, (300) a través del elemento de RAN (200), un único mensaje de comando de modo de seguridad de estrato de no acceso, NAS, común para la primera RAT y la segunda RAT a un dispositivo de comunicación inalámbrica (100) de la red de comunicación inalámbrica.
2. El método según la reivindicación 1, comprendiendo el método recibir, por el elemento de RAN (200), un primer material de clave de RAN desde el elemento de red central, CN, (300) de la red de comunicación inalámbrica, permitiendo el primer material de clave de RAN al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la primera RAT y recibir, por el elemento de RAN, un segundo material de clave de RAN desde el elemento de CN de la red de comunicación inalámbrica, permitiendo el segundo material de clave de RAN al elemento de RAN iniciar la configuración del contexto de seguridad de AS para la segunda RAT; o comprendiendo el método recibir, por el elemento de RAN (200), un primer material de clave de RAN desde un elemento de CN de la red de comunicación inalámbrica, permitiendo el primer material de clave de RAN al elemento de RAN (200) iniciar la configuración del contexto de seguridad de AS para la primera RAT y derivar, por el elemento de RAN (200), un segundo material de clave de RAN a partir del primer material de clave de RAN recibido, permitiendo el segundo material de clave de RAN al elemento de RAN (200) iniciar la configuración del contexto de seguridad de AS para la segunda RAT.
3. El método de la reivindicación 1 ó 2, en donde sólo hay una conexión de CN de RAN por dispositivo de comunicación inalámbrica (100) para ambas RAT.
4. El método de cualquiera de las reivindicaciones 1 a 3, en donde el paso de iniciar la configuración del contexto de seguridad de AS incluye:
- utilizar directamente el primer material de clave de RAN recibido para iniciar la configuración del contexto de seguridad de AS para la primera RAT; o
- derivar el tercer material de clave de RAN a partir del primer material de clave de RAN recibido y utilizar el tercer material de clave de RAN derivado para iniciar la configuración del contexto de seguridad de AS para la primera RAT.
5. El método de cualquiera de las reivindicaciones 1 a 4, comprendiendo el método recibir, por el elemento de RAN (200), un mensaje de modo de seguridad de NAS completo que informa al elemento de RAN de la finalización de la configuración del contexto de seguridad de AS para la primera RAT y la segunda RAT.
6. Método para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica, comprendiendo el método informar, por un elemento de red central, CN, (300) de la red de comunicación inalámbrica, a un elemento de red de acceso por radio, RAN, (200) de la red de comunicación inalámbrica, que inicie la configuración del contexto de seguridad de estrato de acceso, AS, para una primera tecnología de acceso por radio, RAT, y una segunda RAT en un procedimiento de señalización común, en donde el elemento de RAN (200) corresponde al elemento de RAN que implementa la primera RAT y es diferente de un elemento de RAN que implementa la segunda RAT, en donde el inicio de la configuración del contexto de seguridad de AS comprende transmitir, por el elemento de CN (300) a través del elemento de RAN (200), un único mensaje de comando de modo de seguridad de NAS común para la primera RAT y la segunda RAT a un dispositivo de comunicación inalámbrica (100) de la red de comunicación inalámbrica.
7. El método de la reivindicación 6, comprendiendo el método recibir, por el elemento de CN (300) desde un dispositivo de comunicación inalámbrica (100), información sobre las capacidades de seguridad del dispositivo de comunicación inalámbrica con respecto a la primera RAT y la segunda RAT.
8. El método de la reivindicación 6 ó 7, comprendiendo el método iniciar, por el elemento de CN (300), la configuración del contexto de seguridad de estrato de no acceso, NAS, para la primera RAT y la segunda RAT en un procedimiento de señalización común, en donde, opcionalmente, el paso de iniciar la configuración del contexto de seguridad de NAS comprende solicitar, por el elemento de CN (300), a un dispositivo de comunicación inalámbrica (100) que realice la autenticación hacia el elemento de CN (300); y/o comprendiendo el método derivar, por el elemento de CN (300), material de clave de CN que permite a un dispositivo de comunicación inalámbrica realizar la autenticación para la primera RAT y que permite al dispositivo de comunicación inalámbrica (100) realizar la autenticación para la segunda RAT, comprendiendo el método, por ejemplo, transmitir, por el elemento de CN (300), el material de clave de CN al dispositivo de comunicación inalámbrica (100).
9. El método de la reivindicación 8, comprendiendo el método recibir, por el elemento de CN (300), un mensaje de respuesta de autenticación desde el dispositivo de comunicación inalámbrica (100).
10. El método de cualquiera de las reivindicaciones 6 a 9, comprendiendo el método derivar, por el elemento de CN (300), material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS, en donde el mensaje de comando de modo de seguridad de NAS permite al dispositivo de comunicación inalámbrica derivar el material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS, comprendiendo además el método, por ejemplo, recibir, por el elemento de CN (300), de un mensaje de modo de seguridad de NAS completo para la primera RAT y la segunda RAT desde el dispositivo de comunicación inalámbrica (100).
11. Un método para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica, comprendiendo el método:
- recibir, por un dispositivo de comunicación inalámbrica (100) de la red de comunicación inalámbrica desde un elemento de red central, CN, (300) a través de un elemento de red de acceso por radio, RAN, (200) de la red de comunicación inalámbrica en un procedimiento de señalización común, información que permite a la comunicación inalámbrica configurar un contexto de seguridad de estrato de acceso, AS, para una primera tecnología de acceso por radio, RAT, y una segunda RAT,
- y configurar, por el dispositivo de comunicación inalámbrica (100), el contexto de seguridad de AS para la primera RAT y la segunda RAT,
en donde el elemento de RAN (200) corresponde al elemento de RAN que implementa la primera RAT y es diferente de un elemento de RAN que implementa la segunda RAT, comprendiendo el método recibir, por el dispositivo de comunicación inalámbrica (100) desde el elemento de red central, CN, (300) a través del elemento de RAN (200) de la red de comunicación inalámbrica, un único mensaje de comando de modo de seguridad de estrato de no acceso, NAS, común para la primera RAT y la segunda RAT.
12. El método según la reivindicación 11, comprendiendo el método transmitir, por el dispositivo de comunicación inalámbrica (100), un mensaje de modo de seguridad de NAS completo al elemento de RAN (200), informando el mensaje de modo de seguridad de NAS completo al elemento de RAN de la finalización de la configuración del contexto de seguridad de AS para la primera RAT y la segunda RAT; y/o comprendiendo el método transmitir, por el dispositivo de comunicación inalámbrica (100) a un elemento de red central, CN, (300) de la red de comunicación inalámbrica, información sobre las capacidades de seguridad del dispositivo de comunicación inalámbrica con respecto a la primera RAT y la segunda RAT; y/o comprendiendo el método recibir, por el dispositivo de comunicación inalámbrica (100) desde un elemento de CN (300), una solicitud para realizar la autenticación hacia el elemento de CN (300), en donde el método opcionalmente comprende además transmitir, por el dispositivo de comunicación inalámbrica (100), un mensaje de respuesta de autenticación al elemento de CN (300).
13. El método según la reivindicación 11 ó 12, comprendiendo el método derivar, por el dispositivo de comunicación inalámbrica (100), material de clave de CN para la protección de la integridad y el cifrado de la comunicación de NAS para la primera RAT y la segunda RAT a partir del mensaje de comando de modo de seguridad de NAS recibido; y/o comprendiendo el método transmitir, por el dispositivo de comunicación inalámbrica (100), un mensaje de modo de seguridad de NAS completo para la primera RAT y la segunda RAT al elemento de CN (300).
14. Un elemento de red de acceso por radio, RAN, (200) para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica, estando configurado el elemento de RAN para realizar el método de cualquiera de las reivindicaciones 1 a 5.
15. Elemento de RAN (200) según la reivindicación 14, comprendiendo el elemento de RAN (200) o estando configurado como o siendo parte de una estación base de radio, un controlador de red de radio, un NodoB, un eNodoB, un controlador de unidad de radio de 5G o una estación base de 5G.
16. Un elemento de red central, CN, (300) para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica, estando configurado el elemento de CN (300) para realizar el método de cualquiera de las reivindicaciones 6 a 10.
17. Un dispositivo de comunicación inalámbrica (100) para soportar la configuración del contexto de seguridad en una red de comunicación inalámbrica, estando el dispositivo de comunicación inalámbrica (100) configurado para realizar el método de cualquiera de las reivindicaciones 11 a 13.
18. Un sistema de comunicación inalámbrica (20) que comprende el elemento de RAN (200) de la reivindicación 14 ó 15, el elemento de CN (300) de la reivindicación 16 y uno o más dispositivos de comunicación inalámbrica (100) de la reivindicación 17.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2015/078520 WO2017092813A1 (en) | 2015-12-03 | 2015-12-03 | Multi-rat access stratum security |
| EP22189016.3A EP4102871B1 (en) | 2015-12-03 | 2015-12-03 | Multi-rat security setup |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES3012708T3 true ES3012708T3 (en) | 2025-04-09 |
Family
ID=54884000
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES22189016T Active ES3012708T3 (en) | 2015-12-03 | 2015-12-03 | Multi-rat security setup |
Country Status (5)
| Country | Link |
|---|---|
| US (4) | US10506438B2 (es) |
| EP (2) | EP3384698B1 (es) |
| CN (2) | CN108605224B (es) |
| ES (1) | ES3012708T3 (es) |
| WO (1) | WO2017092813A1 (es) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3384698B1 (en) | 2015-12-03 | 2022-09-14 | Telefonaktiebolaget LM Ericsson (publ) | Multi-rat access stratum security |
| WO2017092814A1 (en) | 2015-12-03 | 2017-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Light-weight rrc connection setup in multi-rat network |
| CN109729096B (zh) * | 2016-01-05 | 2020-06-16 | 华为技术有限公司 | 移动通信方法、装置及设备 |
| KR102232093B1 (ko) * | 2016-01-08 | 2021-03-24 | 닛본 덴끼 가부시끼가이샤 | 무선국 시스템, 무선 단말, 및 이들의 방법 |
| KR20170112945A (ko) * | 2016-04-01 | 2017-10-12 | 삼성전자주식회사 | 이동통신 시스템에서 기기 간 통신과 셀룰라 통신의 공존 방법 및 장치 |
| US10334435B2 (en) * | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
| EP3481135B1 (en) * | 2016-07-01 | 2024-08-14 | KT Corporation | Method and device for configuring dual connectivity |
| US11356838B2 (en) * | 2017-01-16 | 2022-06-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Tracking area update in RRC_INACTIVE |
| US10470042B2 (en) * | 2017-07-27 | 2019-11-05 | Nokia Technologies Oy | Secure short message service over non-access stratum |
| US11297502B2 (en) | 2017-09-08 | 2022-04-05 | Futurewei Technologies, Inc. | Method and device for negotiating security and integrity algorithms |
| ES2973317T3 (es) * | 2017-10-30 | 2024-06-19 | Huawei Tech Co Ltd | Método y dispositivo para obtener capacidades de seguridad del equipo de usuario |
| CN109803261B (zh) * | 2017-11-17 | 2021-06-22 | 华为技术有限公司 | 鉴权方法、设备及系统 |
| PL3756373T3 (pl) * | 2018-02-19 | 2022-01-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Obsługa współpracy i/lub mobilności pomiędzy różnymi systemami komunikacji bezprzewodowej |
| KR102425581B1 (ko) | 2018-02-23 | 2022-07-27 | 삼성전자주식회사 | 이동통신 시스템에서 통신을 수행하는 방법 및 장치 |
| CN110351722B (zh) * | 2018-04-08 | 2024-04-16 | 华为技术有限公司 | 一种信息发送方法、密钥生成方法以及装置 |
| JP6741882B1 (ja) * | 2018-04-16 | 2020-08-19 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 非アクティブ状態からのrrc再開のためのセキュリティ処理 |
| US11611879B2 (en) | 2018-10-31 | 2023-03-21 | Apple Inc. | 5G new radio—avoiding redundant as security checks |
| CN112913282B (zh) | 2018-11-01 | 2024-09-03 | 瑞典爱立信有限公司 | 用于阻止由来自网络节点的不安全消息引起的切换的系统和方法 |
| IL283570B2 (en) * | 2019-01-15 | 2025-04-01 | Ericsson Telefon Ab L M | Wireless device radio access capabilities |
| US20200322795A1 (en) * | 2019-04-03 | 2020-10-08 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for alignment of common non access stratum (nas) security context |
| EP4489516A3 (en) * | 2019-08-19 | 2025-02-26 | QUALCOMM Incorporated | Schedule gap for multi-sim user equipment |
| CN112469043B (zh) * | 2019-09-09 | 2022-10-28 | 华为技术有限公司 | 一种鉴权的方法及装置 |
| US11363501B2 (en) * | 2019-12-26 | 2022-06-14 | Qualcomm Incorporated | Intelligent connectivity switching mechanisms |
| WO2023105488A1 (en) * | 2021-12-09 | 2023-06-15 | Airties Kablosuz Iletisim Sanayi Ve Dis Ticaret A.S. | Security mode aware client connection management |
| US20240040650A1 (en) * | 2022-07-29 | 2024-02-01 | Skylo Technologies, Inc. | Managing a User Equipment Connection to a Wireless Network |
| WO2025123706A1 (en) * | 2024-08-02 | 2025-06-19 | Lenovo (Beijing) Limited | Methods and apparatuses for supporting multiple accesses of ue to core network |
Family Cites Families (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US965334A (en) * | 1907-06-13 | 1910-07-26 | Malleable Iron Range Company | Stove-top. |
| US4394254A (en) * | 1982-04-26 | 1983-07-19 | Texaco Inc. | Method for separating straight chain hydrocarbons using zeolites having large crystals |
| US4562537A (en) * | 1984-04-13 | 1985-12-31 | Texas Instruments Incorporated | High speed processor |
| US8037188B2 (en) | 2003-02-12 | 2011-10-11 | Qualcomm Incorporated | Soft handoff across different networks assisted by an end-to-end application protocol |
| GB2427324B (en) | 2005-06-14 | 2007-09-19 | Siemens Ag | A method of dual transfer mode handover |
| ES2526199T3 (es) | 2006-08-18 | 2015-01-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Correlación que implica cambio inter sistema entre diferentes tipos de portadores radio |
| US20080076392A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for securing a wireless air interface |
| US8483174B2 (en) | 2007-04-20 | 2013-07-09 | Qualcomm Incorporated | Method and apparatus for providing gateway relocation |
| WO2009018164A2 (en) * | 2007-07-27 | 2009-02-05 | Interdigital Patent Holdings, Inc. | Method and apparatus for handling mobility between non-3gpp to 3gpp networks |
| CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| US20090262684A1 (en) * | 2008-04-18 | 2009-10-22 | Amit Khetawat | Method and Apparatus for Home Node B Registration using HNBAP |
| US8798632B2 (en) * | 2008-06-13 | 2014-08-05 | Nokia Corporation | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
| US8391239B2 (en) | 2008-09-22 | 2013-03-05 | Qualcomm Incorporated | Bearer count alignment during inter-rat handover |
| US8538419B2 (en) | 2008-11-10 | 2013-09-17 | Qualcomm Incorporated | Method and apparatus to enable patching of user equipment context through retrieval of partial contexts from various network servers |
| EP2214444A1 (en) * | 2009-01-30 | 2010-08-04 | Nec Corporation | Method for optimizing the reduction of mobility signalling at inter-rat change |
| US20100272263A1 (en) * | 2009-04-27 | 2010-10-28 | Motorola, Inc. | Decrypting a nas message traced to an e-utran |
| US8842633B2 (en) | 2009-05-04 | 2014-09-23 | Blackberry Limited | Systems and methods for mobile stations to identify radio access technologies |
| US8374604B2 (en) * | 2009-05-26 | 2013-02-12 | Qualcomm Incorporated | System and methods for performing multiple registrations across different radio access technologies |
| US8682343B2 (en) * | 2009-06-18 | 2014-03-25 | Intel Mobile Communications GmbH | Mobile radio communication devices and methods for controlling mobile radio communication devices |
| US9002357B2 (en) * | 2009-06-26 | 2015-04-07 | Qualcomm Incorporated | Systems, apparatus and methods to facilitate handover security |
| GB2472580A (en) * | 2009-08-10 | 2011-02-16 | Nec Corp | A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers |
| ES2362524B1 (es) | 2009-08-27 | 2012-05-18 | Vodafone España S.A.U. | Procedimiento, sistema y dispositivo para transmitir paquetes de datos de redes multi-rat. |
| EP2529566B1 (en) * | 2010-01-28 | 2015-09-16 | Koninklijke KPN N.V. | Efficient terminal authentication in telecommunication networks |
| JP4772910B1 (ja) | 2010-04-05 | 2011-09-14 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信システムにおける基地局及び方法 |
| US9131412B2 (en) * | 2010-05-07 | 2015-09-08 | Nokia Technologies Oy | Signaling radio bearer security handling for single radio voice call continuity operation |
| JP5226036B2 (ja) | 2010-06-04 | 2013-07-03 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法、移動管理装置及び無線基地局 |
| EP2583527B1 (en) | 2010-06-15 | 2019-02-27 | Telefonaktiebolaget LM Ericsson (publ) | Methods and devices for radio access management of carrier aggregation between heterogeneous wireless networks |
| US20120163336A1 (en) * | 2010-06-18 | 2012-06-28 | Interdigital Patent Holdings, Inc. | Distributed architecture for security keys derivation in support of non-involved core network handover |
| EP2641422B1 (en) | 2010-11-18 | 2019-05-01 | Nokia Solutions and Networks Oy | Enhanced connection recovery method for multi-rat deployments |
| FI3319395T3 (fi) * | 2010-12-03 | 2023-08-01 | Interdigital Patent Holdings Inc | Menetelmä ja laite moniradioliityntätekniikan kantoaaltojen yhdistämisen suorittamiseksi |
| CN102572819B (zh) * | 2010-12-22 | 2015-05-13 | 华为技术有限公司 | 一种密钥生成方法、装置及系统 |
| US8837405B2 (en) * | 2011-02-24 | 2014-09-16 | Qualcomm Incorporated | Methods and apparatus to reduce a time to transfer multiple PDN contexts during inter-radio access technology handoff |
| US20120238208A1 (en) * | 2011-03-17 | 2012-09-20 | Maik Bienas | Mobile radio communication devices and servers |
| US9661510B2 (en) | 2012-03-30 | 2017-05-23 | Mediatek Inc. | Failure event report extension for inter-RAT radio link failure |
| GB2492799B (en) | 2011-07-12 | 2014-06-25 | Samsung Electronics Co Ltd | Improved signalling in a wireless network |
| EP2745607A1 (en) * | 2011-08-19 | 2014-06-25 | Interdigital Patent Holdings, Inc. | Method and apparatus for using non-access stratum procedures in a mobile station to access resources of component carriers belonging to different radio access technologies |
| CN105897385A (zh) | 2011-11-24 | 2016-08-24 | 华为技术有限公司 | Rlc数据包传输的确认方法及rlc am实体发送方 |
| WO2013137872A1 (en) * | 2012-03-14 | 2013-09-19 | Intel Corporation | Mobile terminal architecture for dual personality wireless devices |
| WO2013163815A1 (zh) * | 2012-05-04 | 2013-11-07 | 华为技术有限公司 | 一种网络切换过程中的安全处理方法及系统 |
| KR20140013870A (ko) | 2012-07-23 | 2014-02-05 | 주식회사 팬택 | 이종 네트워크 시스템에서 제어정보 전송방법 및 장치 |
| TWI488538B (zh) | 2012-09-24 | 2015-06-11 | 廣達電腦股份有限公司 | 建立資料傳輸通道的Wi-Fi無線網路存取點及系統 |
| EP2901766A2 (en) | 2012-09-27 | 2015-08-05 | Interdigital Patent Holdings, Inc. | End-to-end architecture, api framework, discovery, and access in a virtualized network |
| US9817720B2 (en) * | 2012-10-29 | 2017-11-14 | Nokia Solutions And Networks Oy | Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks |
| US9686786B2 (en) * | 2013-01-10 | 2017-06-20 | Lg Electronics Inc. | Method for updating base station information in converged network supporting multiple communication systems, and device therefor |
| CN103929740B (zh) * | 2013-01-15 | 2017-05-10 | 中兴通讯股份有限公司 | 数据安全传输方法及lte接入网系统 |
| WO2014136434A1 (ja) | 2013-03-08 | 2014-09-12 | 日本電気株式会社 | 無線基地局、無線基地局通信制御プログラム記憶媒体および通信制御方法 |
| US20140269613A1 (en) * | 2013-03-18 | 2014-09-18 | Nokia Siemens Networks Oy | Integrity protection towards one CN after handovers involving multiple services to be handled by different CNs |
| GB201306351D0 (en) * | 2013-04-09 | 2013-05-22 | Gen Dynamics Broadband Inc | Apparatus and methods for device to device communications |
| US9699823B2 (en) * | 2013-07-19 | 2017-07-04 | Lg Electronics Inc. | Method and apparatus for performing random access procedure in wireless communication system |
| US9414430B2 (en) | 2013-08-16 | 2016-08-09 | Qualcomm, Incorporated | Techniques for managing radio link failure recovery for a user equipment connected to a WWAN and a WLAN |
| US9319901B2 (en) | 2013-09-04 | 2016-04-19 | Qualcomm Incorporated | Methods and apparatus for parameter selection and conflict resolution for multiple radio access technologies |
| WO2015037926A1 (en) * | 2013-09-11 | 2015-03-19 | Samsung Electronics Co., Ltd. | Method and system to enable secure communication for inter-enb transmission |
| US9294982B2 (en) | 2014-01-27 | 2016-03-22 | Cisco Technology, Inc. | System and method for robust multiple access network mobility in a network environment |
| US9609566B2 (en) * | 2014-06-03 | 2017-03-28 | Intel Corporation | Radio resource control (RRC) protocol for integrated WLAN/3GPP radio access technologies |
| DK3072351T3 (en) | 2015-02-13 | 2017-10-02 | ERICSSON TELEFON AB L M (publ) | Establishing dual connectivity |
| WO2017092814A1 (en) | 2015-12-03 | 2017-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Light-weight rrc connection setup in multi-rat network |
| EP3384698B1 (en) | 2015-12-03 | 2022-09-14 | Telefonaktiebolaget LM Ericsson (publ) | Multi-rat access stratum security |
-
2015
- 2015-12-03 EP EP15812985.8A patent/EP3384698B1/en active Active
- 2015-12-03 WO PCT/EP2015/078520 patent/WO2017092813A1/en not_active Ceased
- 2015-12-03 EP EP22189016.3A patent/EP4102871B1/en active Active
- 2015-12-03 CN CN201580085791.5A patent/CN108605224B/zh active Active
- 2015-12-03 ES ES22189016T patent/ES3012708T3/es active Active
- 2015-12-03 CN CN202210238487.1A patent/CN114827995B/zh active Active
- 2015-12-03 US US15/500,285 patent/US10506438B2/en active Active
-
2019
- 2019-11-05 US US16/674,681 patent/US11032701B2/en active Active
-
2021
- 2021-04-20 US US17/235,409 patent/US11653199B2/en active Active
-
2023
- 2023-04-19 US US18/136,564 patent/US12185101B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20180041901A1 (en) | 2018-02-08 |
| CN114827995A (zh) | 2022-07-29 |
| US20230269578A1 (en) | 2023-08-24 |
| EP3384698A1 (en) | 2018-10-10 |
| CN108605224A (zh) | 2018-09-28 |
| EP4102871C0 (en) | 2025-02-05 |
| CN108605224B (zh) | 2022-02-22 |
| US20200077266A1 (en) | 2020-03-05 |
| CN114827995B (zh) | 2025-01-21 |
| US10506438B2 (en) | 2019-12-10 |
| US20210243597A1 (en) | 2021-08-05 |
| WO2017092813A1 (en) | 2017-06-08 |
| US11032701B2 (en) | 2021-06-08 |
| EP4102871A1 (en) | 2022-12-14 |
| EP3384698B1 (en) | 2022-09-14 |
| US11653199B2 (en) | 2023-05-16 |
| US12185101B2 (en) | 2024-12-31 |
| EP4102871B1 (en) | 2025-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES3012708T3 (en) | Multi-rat security setup | |
| ES2900006T3 (es) | Manejo del contexto de seguridad en 5G durante el modo conectado | |
| ES2860687T3 (es) | Modo de operación de conectividad dual de un equipo de usuario en una red de comunicación inalámbrica | |
| ES2743214T3 (es) | Procedimiento y sistema para posibilitar una comunicación segura para una transmisión inter-eNB | |
| ES2882071T3 (es) | Nodo de red para uso en una red de comunicación, dispositivo de comunicación y métodos de operación del mismo | |
| ES2863310T3 (es) | Seguridad mejorada de estrato de no acceso | |
| ES2824527T3 (es) | Autenticación y acuerdo de claves con secreto perfecto hacia adelante | |
| ES2755803T3 (es) | Nodos de acceso radioeléctrico y dispositivos terminales en una red de comunicación | |
| CA2799467C (en) | Methods and apparatuses facilitating synchronization of security configurations | |
| CN101600205B (zh) | Sim卡用户设备接入演进网络的方法和相关设备 | |
| ES2963419T3 (es) | Verificación de la seguridad cuando se reanuda una conexión de RRC | |
| CN110913393B (zh) | 切换方法和终端设备 | |
| CN111182539A (zh) | 通信方法与设备 | |
| US11039346B2 (en) | Handover of a device which uses another device as relay | |
| CN102378168B (zh) | 多系统核心网通知密钥的方法和多系统网络 | |
| CN102378167A (zh) | 安全信息获取方法及多系统网络 | |
| WO2016114424A1 (ko) | 복수의 통신시스템이 연동하는 네트워크에서 상기 복수의 통신 시스템 간의 무선 레벨의 베어러 스플리트에 기초하여 통신을 수행하는 방법 및 이를 위한 장치 |