CN101411115B - 用于在接入系统间切换期间优化验证过程的系统和方法 - Google Patents
用于在接入系统间切换期间优化验证过程的系统和方法 Download PDFInfo
- Publication number
- CN101411115B CN101411115B CN200780011385XA CN200780011385A CN101411115B CN 101411115 B CN101411115 B CN 101411115B CN 200780011385X A CN200780011385X A CN 200780011385XA CN 200780011385 A CN200780011385 A CN 200780011385A CN 101411115 B CN101411115 B CN 101411115B
- Authority
- CN
- China
- Prior art keywords
- message
- wlan
- mme
- aaa server
- sae
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 161
- 238000002360 preparation method Methods 0.000 claims abstract description 12
- 230000003993 interaction Effects 0.000 claims description 86
- 238000005259 measurement Methods 0.000 claims description 61
- 230000004044 response Effects 0.000 claims description 39
- 230000008569 process Effects 0.000 claims description 34
- 238000009795 derivation Methods 0.000 claims description 32
- 239000000463 material Substances 0.000 claims description 24
- 238000012546 transfer Methods 0.000 claims description 16
- 241000760358 Enodes Species 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 claims description 12
- 238000007689 inspection Methods 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 11
- 238000012360 testing method Methods 0.000 claims description 7
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims 2
- 101100346656 Drosophila melanogaster strat gene Proteins 0.000 claims 1
- 230000006870 function Effects 0.000 description 16
- 230000007246 mechanism Effects 0.000 description 10
- 238000005457 optimization Methods 0.000 description 6
- 230000009467 reduction Effects 0.000 description 3
- POXUQBFHDHCZAD-MHTLYPKNSA-N (2r)-2-[(4s)-2,2-dimethyl-1,3-dioxolan-4-yl]-3,4-dihydroxy-2h-furan-5-one Chemical compound O1C(C)(C)OC[C@H]1[C@@H]1C(O)=C(O)C(=O)O1 POXUQBFHDHCZAD-MHTLYPKNSA-N 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0016—Hand-off preparation specially adapted for end-to-end data sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1443—Reselecting a network or an air interface over a different radio air interface technology between licensed networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1446—Reselecting a network or an air interface over a different radio air interface technology wherein at least one of the networks is unlicensed
Abstract
公开了一种推导用于接入新系统的新密钥的方法和系统。该方法使得能够使用现有系统接入密钥在从现有系统到新系统的切换期间执行优化验证过程。正在接入新系统的用户设备在切换准备期间接收临时ID,使得用户设备能够执行快速重新验证。该方法使用现有系统接入密钥,来推导用于新网络的系统接入密钥。
Description
技术领域
本发明一般涉及异构(heterogeneous)系统领域、接入系统间(inter)切换期间的验证过程的优化、和演进系统的密钥推导(key derivation)方法。更具体地,本发明提供了一种使用先前的接入系统密钥推导用于保证在切换之后与新接入系统的通信的新密钥的方法。
背景技术
第三代合作伙伴项目(3GPP)的无线电接入网络(RAN)、系统架构(SA)和核心终端(CT)工作组致力于开发下一代无线系统的增强型UTRAN(E-UTRAN)架构。该E-UTRAN系统需要与第二代(2G)和第三代(3G)无线系统共存,并且尤其需要支持在3GPP TR23.882、3GPP TS23.401和3GPPTS23.402规范中规定的新演进E-UTRAN系统和现有系统之间的切换。
E-UTRAN系统是3GPP UTRAN系统的演进,其中主要实体是如图1所示的用户设备(UE)、增强型节点B(ENB)、移动性管理实体(MME)、用户平面实体(User Plane Entity,UPE)和接入系统间锚(Inter Access SystemAnchor,IASA)。EUTRAN系统的ENB应当具有遗留(legacy)UTRAN系统的节点B和无线电网络控制器(RNC)的特征。系统架构演进(SAE)的MME管理和存储UE上下文(对于空闲状态:UE/用户身份、UE移动性状态、用户安全性参数)。MME也生成分配给UE的临时身份,检查UE是否可以预占(camp on)TA或者PLMN(公共地面移动网络)的授权,并且验证该用户。SAE的UPE对于空闲状态UE终止下行链路数据路径,并且当下行链路数据到达UE时触发/启动寻呼。UPE也管理和存储UE上下文(例如网际协议(IP)载体服务的参数或者网络内部路由信息),并且在侦听的情况下执行用户业务的复制。IASA是用于不同接入系统之间的移动性的用户平面锚。它执行或者支持不同接入系统之间的切换。
全球移动通信系统(GSM)/全球演进增强数据速率(EDGE)无线电接入网络(GERAN)由基站收发信台(BTS)和基站控制器(BSC)组成。UTRAN由节点B和无线电网络控制器(RNC)组成。通用分组无线电服务(GPRS)核心网络由服务GPRS支持节点(SGSN)和网关GPRS支持节点(GGSN)组成,如图1所示。
3GPP TS23.234规范中规定的集成无线局域网(I-WLAN)系统提供了一种将遗留UTRAN系统和WLAN系统进行集成的系统和方法,如图2所示。该I-WLAN系统允许WLAN用户接入3GPP分组交换服务。
然而,目前,没有规定有效的机制来提供异构接入系统之间的切换期间的验证过程。而且,没有被描述来生成用于演进系统的密钥的方法。
发明内容
本发明的一方面是解决至少上述问题和/或缺点,以便提供至少下述的优点。因此,本发明的一方面是提供一种用于在异构网络中在接入系统间切换期间优化验证过程的方法。该方法包括:推导用于接入新系统的新密钥;使得通过使用现有系统接入密钥在从现有系统到新系统的切换期间能够优化验证过程;和正在接入新系统的UE在切换准备期间接收临时标识(ID),这使得UE能够快速地执行重新验证。
本发明的另一方面是提供一种用于在异构网络中在接入系统间切换期间优化验证过程的系统。所述系统包括:用于推导用于接入新系统的新密钥的部件;用于使得能够通过使用现有系统接入密钥在从现有系统到新系统的切换期间优化验证过程的部件;和用于在切换准备期间由正在接入新系统的UE接收临时ID的部件,这使得UE能够快速地执行重新验证。
本发明包括通过利用将要在第二接入系统中使用的第一接入系统中的有效验证密钥、来在切换期间提供优化的验证过程的机制。本发明还包括用于在切换过程期间快速地执行重新验证的机制。
本发明还包括用于推导演进系统的密钥以便保证UE与网络实体之间的通信的机制。
而且,本发明的各方面如下:
在异构网络环境中在切换期间优化网络接入验证过程;
提供用于推导新接入系统的新密钥的机制,而不执行取决于接入系统的验证过程,而是改为使用在先前接入系统中推导的最新的有效密钥;
提供用于推导用于正向切换和反向切换两者的新密钥的机制;
通过逻辑相互作用单元,提供MME/UPE与验证授权和计费(AAA)服务器之间的信令接口,用于交换密钥、安全上下文以及其他消息,所述逻辑相互作用单元共同位于SAE系统或者I-WLAN相互作用系统中的网络实体内或者作为SAE系统或者I-WLAN相互作用系统中的独立的实体;
UE以及AAA服务器使用有效的EUTRAN网络接入密钥而推导密钥,用于I-WLAN接入和安全通信;
在从SAE系统或者从UMTS系统到I-WLAN系统的切换准备阶段期间,使用最新的加密密钥(Cypher Key,CK)和完整性密钥(Integrity Key,IK)推导密钥(EAP相关密钥,即TEK、MSK和EMSK)。UE将在测量报告中向SAE系统发送I-WLAN身份和NAI。SAE系统中的网络实体在发送到I-WLAN相互作用系统的切换(HO)准备请求内包括具有其他参数的最新的CK和IK。UE和网络可以在切换准备阶段期间推导密钥;
在I-WLAN附着过程期间,当UE从SAE系统移动到I-WLAN系统时,I-WLAN网络实体(AAA服务器)将MSK发送到WLAN-AN,而不进行EAP验证过程,当WLAN-AN请求UE对AAA服务器进行验证时,如果UE和AAA服务器在切换准备阶段期间推导密钥。以这种方式,UE和I-WLAN AS可以直接地执行电气和电子工程师协会(I.E.E.E.)802.11特定握手机制并且开始层2保护;和
在切换准备阶段期间,通过AAA服务器将I-WLAN特定临时ID假名和/或快速重新验证ID(在HO接受消息/HO命令消息内)发送到UE。当从SAEAS切换到I-WLAN AS时(如果网络发送快速重新验证ID并且请求UE来验证和刷新密钥),UE可以初始执行快速重新验证过程。根据本发明,UE可以将最后成功接收到的分组的序列号发送到I-WLAN AS。I-WLAN AS可以将最后成功接收到的分组的序列号转发到核心网络,该核心网络可以在最后成功接收到序列号之后依次开始将分组转发到UE。
根据本发明,在从SAE系统或者从UMTS系统切换到I-WLAN系统时,网络可以指示UE来执行场景2和场景3验证过程,并且还可以在HO命令期间向UE指示所支持的优化过程的列表。以这种方式,UE可以选择并且开始由网络直接支持的优化过程之一,而不需要任何反复试验(trail and error)方法。
根据本发明,MME在HO准备阶段期间在HSS中执行软注册,因此在切换之后,UE附着有相同的MME。SGSN在HO准备阶段期间在HSS中执行软注册,因此在切换之后,UE附着有相同的SGSN。
根据本发明,AAA服务器在HO准备阶段期间在HSS中执行软注册,因此在切换之后,UE附着有相同的AAA服务器。在切换到SAE系统或者切换到UMTS系统的同时,在HO准备阶段期间进行安全模式命令过程。
根据本发明,UE在测量报告中将从由网络所广播的网络支持算法的列表中选择的算法发送到SAE系统。在HO命令中,SAE系统可以同意/协商UE选择的算法,从而UE可以在切换期间开始保护初始消息。
根据本发明,在切换之前或者在切换期间,SGSN将最新的CK和IK传递到MME或者SAE系统的验证和密钥管理实体,推导SAE特定密钥,并且将该密钥分发到SAE系统实体。
根据本发明,在来自其他AS的HO请求期间,MME将LTE(长期演进)相关的参数转换为UMTS特定参数,反之亦然。在来自SAE系统的切换准备请求期间,MME将最新的CK和IK传送到SGSN,该SGSN将该密钥分发到无线电网络控制器(RNC)。
根据本发明,在用于UMTS AS的正向切换验证过程期间,UE在RAU过程或者初始NAS消息内发送先前接入系统的细节,并且核心网络可以从先前接入系统中检索安全上下文(即CK和IK)和所缓存的分组。在到I-WLANAS的正向切换验证过程期间,UE发送先前接入系统的细节,从而核心网络可以从先前接入系统中检索安全上下文和所缓存的分组。先前接入系统的细节是在EAPOL ID响应消息内发送的。
根据本发明,UE将最后成功接收的分组的序列号发送到接入系统,该接入系统将其转发到先前核心网络,从而核心网络可以在UE最后成功接收到序列号之后开始转发分组。
根据本发明,在I-WLAN AS中的场景2验证过程期间,如果UE和网络使用UMTS CK和IK推导密钥,则核心网络生成临时ID并且将其传送到UE。UE开始场景3接入的快速重新验证过程。
在用于SAE AS的正向切换验证过程期间,UE在TAU过程或者初始NAS消息内发送先前接入系统的细节,从而核心网络可以从先前接入系统检索安全上下文(即CK和IK)和所缓存的分组。
另外,本发明提供了推导SAE系统特定密钥的机制。
附图说明
根据结合附图随之产生的本发明的详细描述,本发明的上面和其他目的、特征和优点将变得更加明显,其中:
图1图解说明了演进系统的传统逻辑高级架构;
图2图解说明了传统IWLAN系统架构和网络元素;
图3图解说明了根据本发明的用于从SAE到I-WLAN接入系统(场景2接入)的反向切换的消息流的顺序;
图4图解说明了根据本发明的用于从SAE到I-WLAN接入系统(场景2和场景3接入)的反向切换的消息流的顺序;
图5图解说明了根据本发明的用于从SAE到I-WLAN接入系统(场景3接入)的反向切换的消息流的顺序;
图6图解说明了根据本发明的用于从I-WLAN到LTE(替换方案-1)的反向切换的消息流的顺序;
图7图解说明了根据本发明的用于从I-WLAN到LTE(替换方案-2)的反向切换的消息流的顺序;
图8图解说明了根据本发明的用于从UMTS系统到LTE系统的反向切换的消息流的顺序;
图9图解说明了根据本发明的用于从LTE系统到UMTS系统的反向切换的消息流的顺序;
图10图解说明了根据本发明的用于从UMTS到I-WLAN接入系统(场景2接入)的反向切换的消息流的顺序;
图11图解说明了根据本发明的用于从UMTS到I-WLAN接入系统(场景2和场景3接入)的反向切换的消息流的顺序;
图12图解说明了根据本发明的用于从UMTS到I-WLAN接入系统(场景3接入)的反向切换的消息流的顺序;
图13图解说明了根据本发明的对演进系统(替换方案-1)的密钥推导;和
图14图解说明了根据本发明的对演进系统(替换方案-1)的密钥推导。
具体实施方式
现在将参考附图来解释本发明的优选实施例。然而,应当理解,所公开的实施例仅仅是优选的,它们能够以各种形式体现。下面的描述和附图不应当被解释为限制本发明,并且描述许多特定的细节来提供对本发明的透彻理解,作为权利要求的基础以及作为教导本领域的普通技术人员如何进行和/或使用本发明的基础。然而,在某些实例中,为了清晰和简洁,此处不描述公知或者传统的细节。
本发明提供了一种用于在异构网络之间的切换期间提供优化的验证过程的系统和方法,并且还提供了一种用于提供推导SAE系统特定密钥的机制。
此处的方法包括用于通过使用先前的接入系统密钥来推导新接入系统特定密钥的机制,而不执行接入系统特定验证过程。
图3图解说明了根据本发明的从SAE到I-WLAN接入系统(场景2接入)的反向切换。
参考图3,在步骤1,UE将周期的测量或者基于事件的测量发送到EUTRAN网络。如果演进节点B(ENB)/移动性管理实体(MME)发现UE测量在阈值以下或者MME以任何方式判断不能继续EUTRAN,则在步骤2a,ENB/MME可以请求UE来开始扫描其他无线电接入技术(RAT),或者替换地,ENB/MME可以请求UE来扫描特定的RAT,该特定的RAT将是相邻的RAT或者在它覆盖范围中是可用的。而且,通过层2(L2)或者通过一些其他手段,UE可以判断不能继续EUTRAN并且开始扫描其他RAT。[请在这里规定在哪儿描述了2b中的“触发”步骤]
在步骤3,UE将包含I-WLAN ID和NAI以及其他参数的I-WLAN测量报告发送到SAE系统。然后,ENB/MME自己判断或者可选地借助于逻辑相互作用单元来判断将UE切换到I-WLAN网络。
在步骤4,使用网络地址标识符(NAI),MME还原(resolves)I-WLANAAA服务器IP地址,并且通过逻辑相互作用单元来联系(contacts)AAA服务器。该逻辑相互作用单元可位于MME内或者AAA服务器内,或者替换地,共同位于SAE和I-WLAN系统的任何网络实体内。相互作用单元的功能是将第一接入系统的RAN和CN容器/协议/参数变换到第二接入系统。
在步骤5,MME通过相互作用单元将HO请求发送到AAA服务器。HO请求包含NAI、I-WLAN ID、未使用的验证矢量(AV)、最新的CK和IK以及其他参数。
在步骤6,AAA用本地预订服务(HSS)检查是否向HSS(本地订户服务器)注册任何AAA,如果没有,则AAA执行软注册。AAA使用NAI、CK和IK来生成/推导密钥(MSK、TEK和EMSK)。AAA服务器也生成临时ID(假名ID和快速重新验证ID),并且使用推导的TEK来保护(加密)该临时ID,然后将其发送到UE。
在步骤7,AAA服务器通过相互作用单元将HO接受发送到MME。HO接受消息包含受保护的临时ID和是否需要场景2和场景3验证的指示。
在步骤8,MME将HO接受消息中的接收到的参数作为HO命令消息转发到UE。
在接收到来自SAE系统的用于切换到I-WLAN系统的HO命令之后,在步骤9,UE使用最新的CK和IK来生成密钥(MSK、TEK和EMSK),并且解密受保护的临时ID。在步骤10,UE开始与I-WLAN AS的L2附着(attachment)。
如果I-WLAN系统需要验证,则WLAN-AN在步骤11a.1启动验证过程。
然后,在步骤11a.2,如果在HO命令中接收到临时ID,则UE发送临时ID(快速重新验证ID)。UE通过I-WLAN AN将具有临时ID(假名ID或者快速重新验证ID)的EAP响应身份、以及可选地具有EAP响应身份消息的完整性保护的EAP响应身份发送到AAA服务器。
如果AAA服务器接收到具有临时ID的EAP响应身份消息,则AAA得知UE已经进行了HO准备。AAA服务器在步骤11a.3核查完整性保护和临时ID。因此,AAA验证UE。可选地,如果AAA服务器先前请求使用受保护的成功的结果指示,则AAA服务器可以在EAP成功消息之前发送EAP请求/AKA通知消息,该EAP请求/AKA通知消息是受保护的媒体访问控制(MAC)。AAA服务器生成新临时ID并且将其连同EAP请求/AKA通知消息一起发送到UE。WLAN AN将EAP请求/AKA通知消息转发到UE,该UE发送EAP响应/AKA通知。WLAN AN将EAP响应/AKA通知消息转发到AAA服务器,该AAA服务器忽略该消息的内容。
在步骤11a.4,AAA服务器将EAP成功消息发送到WLAN-AN。如果对于WLAN技术特定保密性和/或完整性保护而生成了一些额外键控素材(keying material),则AAA服务器将该键控素材包含在下层的AAA协议消息中(即不在EAP层处)。I-WLAN AN存储将要在与经验证的WLAN-UE的通信中使用的键控素材。如果AAA服务器没有使用受保护的成功的结果指示,则AAA服务器生成新临时ID,并且将该新临时ID连同EAP成功消息一起发送到UE。
在步骤11a.5,I-WLAN AN使用EAP成功消息向WLAN-UE通知该成功验证。这时,EAP AKA交换已经成功地完成,并且WLAN-UE和I-WLAN AN共享在EAP AKA交换期间推导的键控素材。
可替换地,在步骤11b,UE启动与I-WLAN网络的快速重新验证过程。如果UE没有接收到快速重新验证ID,则UE发送假名ID以便启动全部验证过程。
图4图解说明了根据本发明的从SAE到I-WLAN接入系统(场景2和场景3接入)的反向切换。
参考图4,在步骤1,UE将周期的测量或者基于事件的测量发送到EUTRAN网络。
如果ENB/MME发现UE测量在阈值以下,或者MME以任何方式判断不能继续EUTRAN,则在步骤2a,ENB/MME请求UE来开始扫描其他RAT或者来扫描将是相邻RAT的特定RAT或者在UE的覆盖范围中可用的特定RAT。而且,通过L2或者通过一些其他手段,UE可以判断不能继续EUTRAN并且开始扫描其他RAT。
在步骤3,UE将包括I-WLAN ID和NAI以及其他参数的I-WLAN测量报告发送到SAE系统。然后ENB/MME判断将UE切换到I-WLAN网络。
在步骤4,使用网络接入标识符(NAI),MME还原I-WLAN AAA服务器IP地址,并且通过逻辑相互作用单元来联系AAA服务器。该逻辑相互作用单元可以位于MME内或者在AAA服务器内,或者可替换地共同位于SAE或者I-WLAN系统中的任何网络实体内。相互作用单元的功能是将第一接入系统的RAN和CN容器/协议/参数转换到第二接入系统。
在步骤5,MME通过相互作用单元将HO请求发送到AAA服务器。该HO请求包括NAI、I-WLAN ID、未使用的AV、最新的CK和IK以及其他参数。
在步骤6,AAA服务器检查HSS,以便确定是否向HSS注册了任何AAA。如果没有,则AAA服务器执行软注册。AAA使用NAI、CK和IK而生成/推导密钥(MSK、TEK和EMSK)。AAA服务器还生成临时ID(假名ID和快速重新验证ID),使用推导的TEK来保护(加密)该临时ID,并然后将该临时ID发送到UE。
在步骤7,AAA服务器通过相互作用单元将HO接受消息发送到MME。HO接受消息包括受保护的临时ID和是否需要场景2和场景3验证的指示。AAA服务器还在HO接受消息内包括对于连续执行场景2和场景3的UE的支持的优化过程。
在步骤8,MME将HO接受消息中的接收到的参数作为HO命令消息转发到UE。
在接收到来自SAE系统的用于切换到I-WLAN网络的HO命令之后,在步骤9,UE使用最新的CK和IK来生成密钥(MSK、TEK和EMSK),并且解密受保护的临时ID(假名ID和快速重新验证ID)。在步骤10,UE开始与I-WLAN的L2附着。
如果I-WLAN系统需要验证,则在步骤11a.1,I-WLAN启动验证过程。如果UE接收到HO命令,则在步骤11a.2,UE发送临时ID(快速重新验证ID)。UE通过I-WLAN AN将具有临时ID(假名ID或者快速重新验证ID)和可选地具有EAP响应身份消息的完整性保护的EAP响应身份发送到AAA服务器。
如果AAA服务器接收到具有临时ID的EAP响应身份消息,则AAA得知UE已经进行了HO准备。在步骤11a.3,AAA服务器核查完整性保护和临时ID。因此,AAA验证UE。可选地,如果AAA服务器先前请求使用受保护的成功的结果指示,则在发送EAP成功消息之前,AAA服务器可以发送作为受保护的MAC的EAP请求/AKA通知消息。AAA服务器生成新临时ID,并且将新临时ID和EAP请求/AKA通知消息一起发送到UE。WLAN AN将EAP请求/AKA通知消息转发到UE,UE发送EAP响应/AKA通知。WLANAN将EAP响应/AKA通知消息转发到AAA服务器,该AAA服务器忽略该消息的内容。
在步骤11a.4,AAA服务器将EAP成功消息发送到WLAN-AN。如果对于WLAN技术特定保密性和/或完整性保护而生成一些额外键控素材,则AAA服务器将该键控素材包含在下层AAA协议消息中(即不在EAP层处)。I-WLAN AN存储将要在与经验证的WLAN-UE的通信中使用的键控素材。如果AAA服务器没有使用受保护的成功的结果指示,则AAA服务器生成新临时ID,并且将该新临时ID连同EAP成功消息一起发送到UE。
在步骤11a.5,I-WLAN AN使用EAP成功消息向WLAN-UE通知该成功验证。这时,EAP AKA交换已经成功地完成,并且WLAN-UE和I-WLAN AN共享在EAP AKA交换期间推导的键控素材。
可替换地,在步骤11b,UE使用I-WLAN网络启动快速重新验证过程。如果UE没有接收到该快速重新验证ID,则UE发送假名ID以便启动完整的验证过程。
在成功的场景2验证过程之后,在步骤12a,UE启动HO命令中由AAA服务器列出的场景3的优化的验证过程。UE可以使用基于EMSK的优化过程来启动场景3验证过程。
可替换地,在步骤12b,UE可以启动场景3验证过程的快速重新验证过程。
图5图解说明了根据本发明的从SAE到I-WLAN接入系统(直接场景3接入)的反向转换。
参考图5,在步骤1,UE将周期的测量或者基于事件的测量发送到EUTRAN网络。
如果ENB/MME发现UE测量在阈值以下,或者MME以任何方式判断不能继续EUTRAN,则在步骤2,ENB/MME可以请求UE来开始扫描其他RAT,或者请求UE来扫描将是相邻RAT的特定RAT或者在UE的覆盖范围中可用的特定RAT。可替换地,通过L2或者通过一些其他手段,UE判断不能继续EUTRAN并且开始扫描其他RAT。
在步骤3,UE将包括I-WLAN ID和NAI以及其他参数的I-WLAN测量报告发送到SAE系统。然后ENB/MME判断将UE切换到I-WLAN网络。
在步骤4,使用NAI,MME还原I-WLAN AAA服务器IP地址,并且通过逻辑相互作用单元来联系AAA服务器。该逻辑相互作用单元可以位于MME内或者AAA服务器内,或者可替换地共同位于SAE或者I-WLAN系统中的任何网络实体内。相互作用单元的功能是将第一接入系统的CN容器/协议/参数和RAN转换到第二接入系统。
在步骤5,MME通过相互作用单元将HO请求发送到AAA服务器。该HO请求包括NAI、I-WLAN ID、未使用的AV、最新的CK和IK以及其他参数。
AAA检查HSS,以便确定是否向HSS注册了任何AAA,并且如果没有,则AAA执行软注册。AAA使用NAI、CK和IK而生成/推导密钥(MSK、TEK和EMSK)。AAA服务器也生成临时ID(假名ID和快速重新验证ID)并且使用推导的TEK来保护(加密)该临时ID。然后,AAA将该临时ID发送到UE。
在步骤7,AAA服务器通过相互作用单元将HO接受消息发送到MME。HO接受消息包括受保护的临时ID和是否需要场景2和场景3验证的指示。AAA服务器还在HO接受消息内包括对于连续执行场景2和场景3的UE的支持的优化过程。
在步骤8,MME在HO命令消息中向UE转发HO接受消息中的接收到的参数。
在接收到来自SAE系统的用于切换到I-WLAN网络的HO命令之后,在步骤9,UE使用最新的CK和IK来生成密钥(MSK、TEK和EMSK),并且解密受保护的临时ID。
在步骤10,UE开始与I-WLANAS的L2附着。
在与I-WLAN AN的成功附着之后,在步骤11a,UE启动在HO命令中由AAA服务器列出的场景3的优化的验证过程。UE可以使用基于EMSK优化过程来启动场景3验证过程。
可替换地,在步骤11b,UE可以对场景3验证过程启动快速重新验证过程。
从SAE系统到I-WLANAS的正向切换:
在验证过程期间,UE可以发送先前接入系统的细节,从而核心网络可从旧接入系统中检索安全上下文和所缓存的分组。最后接入系统的细节可以在EAPOL ID响应消息中被发送。
在场景2验证过程期间,如果UE和网络使用CK和IK而推导密钥,则核心网络可生成临时ID,并且将该临时ID传递到UE。UE可以开始场景3接入的快速重新验证过程。
UE可以将最近成功接收到的分组的序列号发送到I-WLAN网络,该I-WLAN网络将该分组转发到核心网络。然后,该核心网络在通过UE最后成功接收到序列号之后,开始转发分组。
图6图解说明了根据本发明的从I-WLAN到SAE系统(替换方案-1)的反向切换。
参考图6,在步骤1,UE将周期的测量或者基于事件的测量发送到逻辑判断和相互作用单元,该逻辑判断和相互作用单元可以位于MME内或者AAA服务器内,或者作为独立的实体,或者可替换地共同位于SAE系统或者I-WLAN系统中的任何网络实体内。该判断和相互作用单元的功能是将第一接入系统的CN容器/协议/参数和RAN转换到第二接入系统,并且还基于测量判断是否进行HO。
如果该逻辑判断和相互作用单元发现UE测量在阈值以下或者通过任何其他手段判断不能继续I-WLAN,则在步骤2,该逻辑判断和相互作用单元可以请求UE来扫描其他RAT,或者ENB/MME可以请求UE来扫描将是相邻RAT的特定RAT或者在UE的覆盖范围中可用的特定RAT。可替换地,通过L2或者一些其他手段,UE判断不能继续I-WLAN,并且开始扫描其他RAT。
在步骤3,UE通过AAA服务器将SAE测量报告发送到逻辑判断和相互作用单元,该SAE测量报告包括TAI、选择的UIA和UEA、ENB-ID、以及可选的START值。
然后,在步骤4,逻辑判断和相互作用单元判断将UE切换到SAE网络,并且通知AAA服务器。
使用TAI,AAA服务器通过联系HSS而获知MME地址。
然后,在步骤6,AAA服务器将HO请求消息发送到MME/UPE。该HO请求消息包括先前的RAT类型、未使用的AV、最新的CK和IK、可选的ENB-ID和其他参数。
在步骤7,MME检查HSS来确定是否向HSS注册了任何AAA,如果没有,则MME执行软注册。AAA服务器也生成/推导密钥。
在步骤8,MME通过相互作用单元将HO接受消息发送到AAA服务器。该HO接受消息包括选择的UEA和UIA、可选的FRESH(刷新)、和是否开始RAN保护的指示以及其他参数。
在步骤9,AAA服务器在HO命令消息中向UE转发HO接受消息中的接收到的参数。
在步骤10,在接收到来自AAA服务器的用于将UE切换到SAE网络的HO命令之后,UE使用最新的CK和IK来推导SAE系统特定的密钥。
在步骤11,UE开始与ENB的L2附着,没有任何保护。
在步骤12,UE将初始层3(L3)消息发送到MME/UPE。该初始L3消息包括用户身份、START(开始)值和MAC-INAS。MAC-INAS是使用推导的SAE特定密钥、和可选的FRESH[请定义]和START值来计算的。
在步骤13,MME/UPE使用推导的密钥、接收到的START值和可选的FRESH值,来核查MAC-I。
MME/UPE发送初始L3消息答复,该初始L3消息答复包括ENB的密钥、START、可选的FRESH以及同意的UEA和UIA。MME通过排除了ENBSTRAT、可选的FRESH以及同意的UEA和UIA的密钥的初始L3消息答复,来计算MAC-INAS。
ENB接收初始L3消息答复,并且存储密钥START、可选的FRESH以及同意的UEA和UIA。
然后,ENB将初始L3消息答复转发到UE。可选地,ENB可以开始RAN安全(MAC-IRAN)。
UE核查MAC-INAS和MAC-IRAN。
图7图解说明了根据本发明的从I-WLAN到SAE系统(替换方案-2)的反向切换。
参考图7,在步骤1,UE将周期的测量或者基于事件的测量发送到逻辑判断和相互作用单元。该逻辑判断和相互作用单元可以位于MME内或者AAA服务器内,或者作为独立的实体,或者可替换地共同位于SAE或者I-WLAN系统中的任何网络实体内。该判断和相互作用单元的功能是将第一接入系统的CN容器/协议/参数和RAN转换到第二接入系统,并且还基于测量判断是否进行HO。
如果逻辑判断和相互作用单元发现UE测量在阈值以下或者通过任何其他手段判断不能继续I-WLAN,则该逻辑判断和相互作用单元可以请求UE开始扫描其他RAT,或者ENB/MME请求UE来扫描将是相邻RAT的特定RAT或者在UE的覆盖范围中可用的特定RAT。可替换地,通过L2或者通过一些其他手段,UE判断不能继续I-WLAN,并且开始扫描其他RAT。
在步骤3,UE通过AAA服务器将SAE测量报告发送到逻辑判断和相互作用单元,该SAE测量报告包括TAI、选择的UIA和UEA、ENB-ID和可选的START值。
然后,逻辑判断和相互作用单元判断将UE切换到SAE网络,并且向AAA服务器通知该判断。
在步骤5,使用TAI,AAA服务器通过联系HSS而获知MME地址。
然后,在步骤6,AAA服务器将HO请求消息发送到MME/UPE。该HO请求消息包括先前的RAT类型、未使用的AV、最新的CK和IK、和可选的ENB-ID以及其他参数。
在步骤7,MME检查HSS来确定是否向HSS注册了任何MME,如果没有,则MME执行软注册。MME使用AAA服务器发送的CK和IK来生成/推导密钥。
在步骤8,MME生成FRESH,并且使用ENB-ID将安全上下文分发到ENB。
在步骤9,MME经由相互作用单元将HO接受消息发送到AAA服务器。该HO接受消息包括选择的UEA和UIA、可选的FRESH和其他参数,并且开始RAN保护。
在步骤10,AAA服务器在HO命令消息中向UE转发HO接受消息中的接收到的参数。
在步骤11,在接收到来自AAA服务器的用于切换到SAE网络的HO命令之后,UE使用最新的CK和IK来推导SAE系统特定的密钥,并且开始RAN保护。
在步骤12,UE开始与ENB的L2附着。UE开始保护RRC消息。在初始消息期间,UE向ENB传递START值,并且使用推导的SAE特定密钥、可选的FRESH和START值来计算MAC-IRAN。然后,ENB使用在步骤8接收到的安全上下文连同START值来核查MAC-IRAN。
在步骤13,UE将初始L3消息发送到MME/UP3。该初始L3消息包含用户身份、START值和MAC-INAS。MAC-INAS是使用推导的SAE特定密钥、可选的FRESH和START值来计算的。
在步骤14,MME/UPE使用推导的密钥、接收到的START和可选的FRESH值来核查MAC-I。
MME/UPE发送初始L3消息答复。MME通过初始L3消息答复计算MAC-INAS。
从I-WLAN到SAE系统的正向切换:
在TAU过程或者初始NAS消息期间,UE可以在TAU过程内发送先前接入系统的细节,从而核心网络可从旧接入系统中检索安全上下文(CK和IK)和所缓存的分组。
图8图解说明了根据本发明的从UMTS到SAE系统的反向切换。
参考图8,在步骤1,UE将周期的测量或者基于事件的测量发送到SGSN。
在步骤2,基于测量报告,SGSN可以请求UE来开始扫描其他RAT,或者ENB/MME可以请求UE来扫描将是相邻RAT的特定RAT或者在UE的覆盖范围中可用的特定RAT。可替换地,通过L2或者通过一些其他方式,UE判断UMTS不能继续并且开始扫描其他RAT。
在步骤3,UE将包括TAI、选择的UIA和UEA以及可选的START值和/或ENB ID的SAE测量报告发送到SGSN。
然后,在步骤4,服务GPRS判断将UE切换到SAE网络。使用TAI,SGSN得知MME地址,并且使用S3或S4接口或者通过联系HSS或者通过其他方式来联系MME。
然后,在步骤5,SGSN将HO请求消息发送到MME/UPE。该HO请求消息包括安全上下文、先前的RAT类型、未使用的AV、最新的CK和IK、以及可选的ENB-ID、START值、KSI和其他参数。
在步骤6,MME检查HSS,以便确定是否向HSS注册任何MME,并且如果没有,则MME执行软注册。MME使用由SGSN发送的CK和IK来生成/推导密钥。MME使用逻辑相互作用单元将UMTS参数转换为SAE特定参数,该逻辑相互作用单元可以位于MME内或者AAA服务器内或者可替换地共同位于SAE系统或I-WLAN系统中的任何网络实体内。相互作用单元的功能是将一个接入系统的CN容器/协议/参数和RAN转换为另一个接入系统的CN容器/协议/参数和RAN。
在步骤7,MME生成FRESH,并且使用ENB-ID将安全上下文分发到ENB,该安全上下文包括用于RAN保护的ENB密钥、选择的UIA和UEA、FRESH、START、KSI和其他参数。
在步骤8,MME将HO接受消息发送到SGSN。HO接受消息包括选择的UEA和UIA、以及可选的FRESH。
在步骤9,SGSN在HO命令消息中向UE转发HO接受消息中的接收到的参数。
在接收到来自SGSN的用于切换到SAE网络的HO命令之后,在步骤10,UE使用最新的CK和IK来推导SAE系统特定的密钥,并且可选地开始RAN保护。
在步骤11,UE开始与ENB的L2附着。UE可选地开始保护RRC消息。在初始消息期间,UE向ENB传送START值,并且使用推导的SAE特定密钥、可选的FRESH和START值来计算MAC-IRAN。然后,ENB使用在步骤8接收到的安全上下文连同START值一起,来核查MAC-IRAN。
在步骤12,UE将初始L3消息发送到MME/UPE。初始L3消息包括用户身份、START值、KSI和MAC-INAS。MAC-INAS是使用推导的SAE特定密钥、可选的FRESH和START值来计算的。
在步骤13,MME/UPE使用推导的密钥、接收到的START和可选的FRESH值来核查MAC-INAS。
在步骤14,MME/UPE发送初始L3消息答复。MME通过初始L3消息答复来计算MAC-INAS。
从UMTS到SAE系统的正向切换:
在TAU过程或者初始NAS消息期间,UE可以发送先前接入系统的细节,从而核心网络能够从旧接入系统中检索安全上下文(CK和IK)和所缓存的分组。
图9图解说明了根据本发明的从SAE到UMTS系统的反向切换。
参考图9,在步骤1,UE将周期的测量或者基于事件的测量发送到ENB/MME。
在步骤2,基于测量报告,ENB/MME可以请求UE来开始扫描其他RAT,或者ENB/MME请求UE来扫描将是相邻RAT的特定RAT或者在UE的覆盖区中可用的特定RAT。可替换地,通过L2或者通过一些其他方式,UE判断EUTRAN不能继续并且开始扫描其他RAT。
在步骤3,UE将包括RAI、支持的UIA和UEA、KSI和START值以及小区ID的UMTS测量报告发送到ENB/MME。
然后,在步骤4,SGSN判断将UE切换到UMTS网络。使用RAI,MME得知SGSN地址,并且使用S3或S4接口或者通过联系HSS或者通过其他公知方式来联系SGSN。
然后,在步骤5,MME将HO请求消息发送到SGSN。该HO请求消息包括安全上下文、先前的RAT类型、未使用的AV、最新的CK和IK、以及可选的小区-ID、START值、KSI和其他参数。MME通过使用逻辑相互作用单元将SAE参数转换为UMTS特定参数,该逻辑相互作用单元可以在MME内或者在SGSN内,或者作为独立的网络实体,或者可替换地共同存在于SAE系统或者UMTS系统中的任何网络实体内。相互作用单元的功能是将第一接入系统的CN容器/协议/参数和RAN转换为第二接入系统的CN容器/协议/参数和RAN。
在步骤6,SGSN检查HSS,以便确定是否向HSS注册任何SGSN,并且如果没有,则SGSN执行软注册。
在步骤7,SGSN生成FRESH,并且使用小区ID将安全上下文分发到RNC,该安全上下文包括用于保护的密钥、选择的UIA和UEA、FRESH、START、KSI和其他参数。RNC存储接收到的参数。
在步骤8,SGSN将HO接受消息发送到MME。该HO接受消息包括选择的UEA、UIA和可选的FRESH。
在步骤9,MME在HO命令消息中向UE转发HO接受消息中的接收到的参数。
在步骤10,在接收到来自MME的用于切换到UMTS网络的HO命令之后,UE使用UMTS网络的最新的CK和IK,并且可选地开始RAN保护。
在步骤11,UE开始与RNC的L2附着。UE可选地开始保护RRC消息。在初始消息期间,UE向RNC传递START值。
在步骤12,UE向SGSN发送初始L3消息。该初始L3消息包括用户身份、START值、KSI和MAC-I。
在步骤13,RNC核查MAC-I,并且在步骤14,将MAC-I转发到SGSN。
从SAE到UMTS系统的正向切换:
在RAU过程或者第一NAS消息期间,UE可以发送最后/旧接入系统的细节,从而核心网络能够从旧接入系统中检索安全上下文(CK和IK)和所缓存的分组。
图10图解说明了根据本发明的从UMTS到I-WLAN接入系统(场景2接入)的反向切换。
参考图10,在步骤1,UE将周期的测量或者基于事件的测量发送到UTRAN网络。
在步骤2,如果RNC/SGSN发现UE测量在阈值以下,或者SGSN以任何方式判断EUTRAN不能继续,则RNC/SGSN可以请求UE来开始扫描其他RAT,或者ENB/MME可以请求UE来扫描可以是相邻RAT的特定RAT或者在UE的覆盖区中可用的特定RAT。可替换地,通过L2或者通过一些其他方式,UE判断UTRAN不能继续并且开始扫描其他RAT。
在步骤3,UE将包括I-WLAN ID和NAI以及其他参数的I-WLAN测量报告发送到SGSN。然后,SGSN判断将UE切换到I-WLAN网络。
在步骤4,SGSN使用NAI来还原I-WLAN的AAA服务器IP地址,并且经由逻辑相互作用单元来联系AAA服务器,其中该逻辑相互作用单元可以位于SGSN或者AAA服务器内,或者可以作为独立的网络实体。可替换地,该逻辑相互作用单元可同时位于UMTS系统或者I-WLAN系统中的任何网络实体内。该相互作用单元的功能是将第一接入系统的CN容器/协议/参数和RAN转换为第二接入系统的CN容器/协议/参数和RAN。
在步骤5,SGSN通过相互作用单元将HO请求发送到AAA服务器。该HO请求包括NAI、I-WLAN ID、未使用的AV、最新的CK和IK以及其他参数。
在步骤6,AAA检查HSS,以便确定是否向HSS注册任何AAA,如果没有,则AAA执行软注册。AAA使用NAI、CK和IK而生成/推导密钥(MSK、TEK和EMSK),并且生成临时ID(假名ID和快速重新验证ID)。AAA服务器使用推导的TEK来保护(加密)该临时ID,并然后将该临时ID发送到UE。
在步骤7,AAA服务器通过相互作用单元将HO接受消息发送到SGSN。HO接受消息包括受保护的临时ID和是否需要场景2和场景3验证的指示。
在步骤8,SGSN在HO命令消息中向UE转发HO接受消息中的接收到的参数。
在步骤9,在接收到来自UMTS系统的用于切换到I-WLAN网络的HO命令之后,UE使用最新的CK和IK来生成密钥(MSK、TEK和EMSK),并且解密受保护的临时ID(假名ID和快速重新验证ID)。
在步骤10,UE开始与I-WLAN AS的L2附着。
在步骤11a.1,如果I-WLAN系统需要验证,则WLAN-AN启动验证过程。
然后,在步骤11a.2,如果UE接收到HO命令,则UE发送临时ID(快速重新验证ID)。UE通过I-WLAN AN将EAP响应身份发送到AAA服务器,该EAP响应身份具有临时ID(假名ID或者快速重新验证ID)和EAP响应身份消息的完整性保护。
如果AAA服务器接收到具有临时ID的EAP响应身份消息,则AAA得知UE已经执行了HO准备。在步骤11a.3,AAA服务器核查完整性保护和临时ID。因此,AAA验证UE。可选地,如果AAA服务器先前请求使用受保护的成功的结果指示,则在发送EAP成功消息之前,AAA服务器可以发送MAC保护的消息EAP请求/AKA通知。AAA服务器生成新临时ID,并且将新临时ID连同EAP请求/AKA通知消息一起发送到UE。WLANAN将EAP请求/AKA通知消息转发到UE。UE发送EAP响应/AKA通知。WLAN AN将EAP响应/AKA通知消息转发到AAA服务器,该AAA服务器忽略该消息的内容。
在步骤11a.4,AAA服务器将EAP成功消息发送到WLAN-AN。如果对于WLAN技术特定机密性和/或完整性保护而生成一些额外键控素材,则AAA服务器将该键控素材包含在下层AAA协议消息中(即,不在EAP层处)。I-WLAN AN存储将要在与经验证的WLAN-UE的通信中使用的键控素材。如果AAA服务器没有使用受保护的成功的结果指示,则AAA服务器生成新临时ID,并且将该新临时ID连同EAP成功消息一起发送到UE。
在步骤11a.5,I-WLAN AN使用EAP成功消息向WLAN-UE通知该成功验证。这时,EAP AKA交换已经成功地完成,并且WLAN-UE和I-WLAN AN共享在该交换期间推导的键控素材。
可替换地,在步骤11b,UE使用I-WLAN网络启动快速重新验证过程。如果UE没有接收到该快速重新验证ID,则UE发送假名ID以便启动完整的验证过程。
图11图解说明了根据本发明的从UMTS到I-WLAN接入系统(场景2和场景3接入)的反向切换。
参考图11,在步骤1,UE将周期的测量或者基于事件的测量发送到UTRAN网络。
如果RNC/SGSN发现UE测量在阈值以下,或者SGSN以任何方式判断EUTRAN不能继续,则RNC/SGSN可以请求UE来开始扫描其他RAT或者ENB/MME可以请求UE来扫描将是相邻RAT的特定RAT或者在UE的覆盖区中可用的特定RAT。可替换地,通过L2或者通过一些其他方式,UE判断UTRAN不能继续并且开始扫描其他RAT。
在步骤3,UE将包括I-WLAN ID和NAI以及其他参数的I-WLAN测量报告发送到SGSN。然后,SGSN判断将UE切换到I-WLAN网络。
在步骤4,SGSN使用NAI来还原I-WLAN AAA服务器IP地址,并且通过逻辑相互作用单元来联系AAA服务器,其中该逻辑相互作用单元位于SGSN或者AAA服务器内、或者独立的网络实体内,或者可替换地共同位于UMTS系统或者I-WLAN系统中的任何网络实体内。相互作用单元的功能是将一个接入系统的CN容器/协议/参数和RAN转换为另一个接入系统的CN容器/协议/参数和RAN。
在步骤5,SGSN经由相互作用单元将HO请求发送到AAA服务器。该HO请求包括NAI、I-WLAN ID、未使用的AV、最新的CK和IK以及其他参数。
在步骤6,AAA服务器检查HSS以便确定是否向HSS注册任何AAA,并且如果没有,则AAA服务器执行软注册。AAA使用NAI、CK和IK而生成/推导密钥(MSK、TEK和EMSK)。AAA服务器还生成临时ID(假名ID和快速重新验证ID)。AAA服务器使用推导的TEK来保护(加密)该临时ID,并且将该临时ID发送到UE。
在步骤7,AAA服务器通过相互作用单元将HO接受消息发送到SGSN。该HO接受消息包括受保护的临时ID和是否需要场景2和场景3验证的指示。AAA服务器还在HO接受消息内包括对于连续执行场景2和场景3的UE的支持的优化过程。
在步骤8,SGSN在HO命令消息中向UE转发HO接受消息中的接收到的参数。
在步骤9,在接收来自UMTS系统的用于切换到I-WLAN网络的HO命令之后,UE使用最新的CK和IK来生成密钥(MSK、TEK和EMSK),并且解密受保护的临时ID。
在步骤10,UE开始与I-WLAN AS的L2附着。
如果I-WLAN系统需要验证,则在步骤11a.1,WLAN-AN启动验证过程。
然后,如果在HO命令中接收到临时ID,则UE发送临时ID(快速重新验证ID)。UE通过I-WLAN AN将EAP响应身份发送到AAA服务器,该EAP响应身份具有临时ID(假名ID或者快速重新验证ID)和EAP响应身份消息的完整性保护。
如果AAA服务器接收到具有临时ID的EAP响应身份消息,则AAA服务器得知UE已经执行了HO准备。在步骤11a.3,AAA服务器核查完整性保护和临时ID。因此,AAA验证UE。可选地,如果AAA服务器先前请求使用受保护的成功的结果指示,则在发送EAP成功消息之前,AAA服务器可以发送MAC保护的消息EAP请求/AKA通知。AAA服务器生成新临时ID,并且将新临时ID连同EAP请求/AKA通知消息一起发送到UE。WLAN AN将EAP请求/AKA通知消息转发到UE。UE发送EAP响应/AKA通知。WLANAN将EAP响应/AKA通知消息转发到AAA服务器,该AAA服务器忽略消息的内容。
在步骤11a.4,AAA服务器将EAP成功消息发送到WLAN-AN。如果对于WLAN技术特定机密性和/或完整性保护而生成一些额外键控素材,则AAA服务器将该键控素材包含在下层AAA协议消息中(即,不在EAP层处)。I-WLAN AN存储将要在与经验证的WLAN-UE的通信中使用的键控素材。如果AAA服务器没有使用受保护的成功的结果指示,则AAA服务器生成新临时ID,并且将该新临时ID连同EAP成功消息一起发送到UE。
在步骤11a.5,I-WLAN AN使用EAP成功消息向WLAN-UE通知该成功验证。这时,EAP AKA交换已经成功地完成,并且WLAN-UE和I-WLAN AN共享在该交换期间推导的键控素材。
可替换地,在步骤11b,UE使用I-WLAN网络启动快速重新验证过程。如果UE没有接收到该快速重新验证ID,则UE发送假名ID以便启动完整的验证过程。
在步骤12a,在成功的场景2验证过程之后,UE启动HO命令中由AAA服务器列出的场景3的优化的验证过程。UE可以使用基于EMSK的优化过程来启动场景3验证过程。
可替换地,在步骤12b,对于场景3验证过程,UE可以启动快速重新验证过程。
图12图解说明了根据本发明的从UMTS到I-WLAN接入系统(场景3接入)的反向切换。
参考图12,在步骤1,UE将周期的测量或者基于事件的测量发送到UTRAN网络。
如果RNC/SGSN发现UE测量在阈值以下或者SGSN通过任何其他方式判断EUTRAN不能继续,则在步骤2,RNC/SGSN可以请求UE来开始扫描其他RAT或者ENB/MME可以请求UE来扫描将会是相邻RAT的特定RAT或者在UE的覆盖区中可用的特定RAT。可替换地,通过L2或者通过其他方式,UE判断UTRAN不能继续并且开始扫描其他RAT;
在步骤3,UE将包括I-WLAN ID和NAI以及其他参数的I-WLAN测量报告发送到SGSN。然后,SGSN判断将UE切换到I-WLAN网络。
在步骤4,SGSN使用NAI来还原I-WLAN AAA服务器IP地址,并且通过逻辑相互作用单元来联系AAA服务器,该逻辑相互作用单元可以位于SGSN内或者AAA服务器内,或者作为一个独立的网络实体,或者替换地共同位于UMTS系统或者I-WLAN系统中的任何网络实体内。相互作用单元的功能是将一个接入系统的CN容器/协议/参数和RAN转换为另一个接入系统的CN容器/协议/参数和RAN。
在步骤5,SGSN通过相互作用单元将HO请求发送到AAA服务器。该HO请求包括NAI、I-WLAN ID、未使用的AV、最新的CK和IK以及其他参数。
在步骤6,AAA检查HSS以确定是否向HSS注册任何AAA,如果没有,则AAA服务器执行软注册。AAA使用NAI、CK和IK而生成/推导密钥(MSK、TEK和EMSK)。AAA服务器还生成临时ID(假名ID和快速重新验证ID),并且使用推导的TEK来保护(加密)该临时ID,并将该临时ID发送到UE。
在步骤7,AAA服务器通过相互作用单元将HO接受发送到SGSN。HO接受消息包括受保护的临时ID(假名ID和快速重新验证ID)和是否需要场景2和场景3验证的指示。AAA服务器还在HO接受消息内包括对于连续执行场景2和场景3的UE的支持的优化过程。
在步骤8,SGSN在HO命令消息中向UE转发HO接受消息中的接收到的参数。
在步骤9,在接收到来自UMTS系统的用于切换到I-WLAN网络的HO命令之后,UE使用最新的CK和IK来生成密钥(MSK、TEK和EMSK),并且解密受保护的临时ID(假名ID和快速重新验证ID)。
在步骤10,UE开始与I-WLAN AS的L2附着。
在步骤11a,在与I-WLAN AN的成功附着之后,对于在HO命令中由AAA服务器列出的场景3,UE启动优化的验证过程。UE可以使用基于EMSK的优化过程,来启动场景3验证过程。
可替换地,在步骤11b,对于场景3验证过程,UE可以启动快速重新验证过程。
从SAE系统到I-WLAN AS的正向切换:
在验证过程期间,UE可以发送先前接入系统的细节,从而核心网络可以从旧接入系统中检索安全上下文和所缓存的分组。该最后接入系统的细节可以在EAPOL ID响应消息中被发送。
在场景2验证过程期间,如果UE和网络使用CK和IK而推导密钥,则核心网络可以生成临时ID并且将其传送到UE。对于场景3接入,UE可以开始快速重新验证过程。
UE可以将最后成功接收到的分组的序列号发送到I-WLAN网络。I-WLAN网络可以将其转发到核心网络,并且随后核心网络可以在UE最后成功接收到序列号之后开始转发分组。
从I-WLAN到UMTS接入系统的反向切换:
UE和网络可以随意地使用最新的CK和IK。UE开始RRC连接过程和SMC过程,而不进行AKA验证。
可替换地,SMC过程可以在HO准备阶段期间被执行。
在HO命令中,网络可以发送所支持的算法,并且UE选择该算法并开始保护初始消息。
从I-WLAN到UMTS接入系统的正向切换:
在RAU过程期间,UE可以在RAU消息内发送先前接入系统的细节,从而核心网络可以从旧接入系统中检索安全上下文(CK和IK)和所缓存的分组。
用于SAE系统的密钥推导-替换方案-1,如图13所示:
如图13所示,在UE中和在HSS中推导9个AV。函数f6、f7、f8和f9是对于LTE/SAE系统的新密钥推导函数。当MME请求AV时,HSS将9个AV的n个数目传递到MME,以便验证和确保LTE/SAE有能力的UE的通信。
在下列等式1或2中表达从LTE/SAE到其他RAT的安全上下文传送:
CK=CKNASxor CKUP和IK=IKNASxor IKUP ............1
或者
CK=CKNAS和IK=IKNAS ...........2
其中CK指示加密密钥,IK指示完整性密钥或者来自HSS的AV中的密钥,
在等式3中表达从其他RAT到LTE/SAE的安全上下文传送:
CKNAS‖IKNAS‖CKUP‖IKUP‖CKRAN‖IKRAN=prf+(UE‖IK‖CK的身份) .......................3
其中CK指示加密密钥,IK指示完整性密钥,
在UE和MME处推导上面的密钥。
如果MME和UPE被组合,则函数F8和F9不存在,并且CKNAS和IKNAS用于NAS信号保护和用户平面保护两者。
在下列等式4中表达从LTE/SAE到其他RAT的安全上下文传送:
CK=CKNAS和IK=IKNAS ............4
其中CK和IK先前被标识。
在等式5中表达从其他RAT到LTE/SAE的安全上下文传送:
CKNAS‖IKNAS‖CKRAN‖IKRAN=prf+(UE‖IK‖CK的身份)...5
其中prf指示伪随机函数,并且CK、IK和UE先前被标识。
用于SAE系统的密钥推导-替换方案-2:
在该替换方案中,LTE/SAE系统使用如图14所示的UMTS AV,并且得到其他密钥如下列等式6:
CKNAS‖IKNAS‖CKUP‖IKUP‖CKRAN‖IKRAN=prf+(UE‖IK‖CK的身份)
..............6
对于所有MME,存在公共的CKNAS和IKNAS,对于所有用户平面实体(UPE)存在公共的CKUP和IKUP,而对于所有演进节点B(ENB)存在公共的CKRAN和IKRAN。
当MME和UPE被组合时,函数F8和F9不存在,并且CKNAS和IKNAS用于NAS信号保护和用户平面保护两者。
CKNAS‖IKNAS‖CKRAN‖IKRAN=prf+(UE‖IK‖CK的身份).......7
其中每个参数先前被标识。
其中,如果EAP-AKA被使用,则UE的身份将是NAI格式,或者如果执行基于UMTS-AKA的验证,则UE的身份将是IMSI或者TMSI。
UE的身份也可以与服务节点身份连接。
在相同的算子域内,对于所有MME存在公共的CKNAS和IKNAS,对于所有ENB存在公共的CKRAN和IKRAN。
用于SAE系统的密钥推导-替换方案-3:
在该替换方案中,LTE/SAE系统使用如图14所示的UMTS AV,并且推导其他密钥如以下等式8-13中所示:
CKNAS=prf(CK,UE_ID‖MME_ID) .....8
CKUP=prf(CK,UE_ID‖UPE_ID) .....9
CKRAN=prf(CK,UE_ID‖ENB_ID) .....10
IKNAS=prf(IK,UE_ID‖MME_ID) .....11
IKUP=prf(IK,UE_ID‖UPE_ID) .....12
IKRAN=prf(IK,UE_ID‖ENB_ID) .....13
在上面等式中,prf表示伪随机函数,UE表示用户设备,ID表示标识符,MME表示移动性管理实体。
对于网络实体推导出唯一密钥。
对于本领域的普通技术人员来说同样明显的是,其他控制方法和装置可以从如描述和附图示教的本发明的各种方法和装置的组合中推导出,它们应当也被认为在本发明的范畴之内。还应当注意,用于存储应用程序的主机包括但是不限于微芯片、微处理器、手持通信设备、计算机、渲染设备或者多功能设备。
尽管已经参考附图结合本发明的优选实施例全面地描述了本发明,但是应当注意,各种变化和修改是可能的并且对本领域的普通技术人员来说是明显的。除非与其背离,这样的变化和修改应当被理解为包含在由所附权利要求限定的本发明的范畴之内。
Claims (22)
1.一种用于在异构网络中的接入系统间切换期间优化验证过程的方法,包括步骤:
推导用于接入新系统的新密钥;
使得能够使用现有系统接入密钥在从现有系统到新系统的用户设备(UE)切换期间进行验证过程;和
在切换准备期间由UE接收用于接入新系统的临时标识(ID),并且使得UE能够通过使用临时ID在新系统中执行快速重新验证。
2.如权利要求1所述的方法,其中所述UE切换包括下列至少一个:
在集成无线局域网接入系统(I-WLAN)和系统架构演进接入系统(SAE)之间的正向切换和反向切换;
在通用移动电信系统(UMTS)和SAE之间的正向切换和反向切换;和
在I-WLAN和UMTS之间的正向切换和反向切换。
3.如权利要求2所述的方法,其中从SAE接入系统到I-WLAN的反向切换包括:
UE将周期的测量或者基于事件的测量发送到增强型UMTS地面无线电接入网络(EUTRAN);
演进节点B/移动性管理实体(ENB/MME)确定发送的UE测量在阈值以下,或者通过移动性管理实体(MME)确定不能继续EUTRAN,
ENB/MME请求UE来扫描其他无线电接入技术(RAT)或者在UE的覆盖区中可用的RAT,或者UE判断不能继续EUTRAN并且然后扫描其他RAT;
UE将包括I-WLAN ID和网络接入标识符(NAI)以及其他参数的I-WLAN测量报告发送到SAE,并且通过ENB/MME或者通过ENB/MME和逻辑相互作用单元判断将UE切换到I-WLAN;
MME使用NAI来还原I-WLAN的验证、授权和计费(AAA)服务器IP地址,并且通过逻辑相互作用单元来联系AAA服务器,其中该逻辑相互作用单元位于MME、AAA服务器、或者在SAE或者I-WLAN中的网络实体之一内;
MME通过逻辑相互作用单元将切换请求发送到AAA服务器,其中该切换请求包括NAI、I-WLAN ID、未使用的验证矢量(AV)、最新的加密密钥(CK)和完整性密钥(IK)和其他参数;
AAA服务器检查本地订户服务器(HSS),以便确定任何AAA是否被注册,如果没有,则通过AAA服务器执行软注册,其中AAA服务器使用NAI、CK和IK而生成主会话密钥(MSK)、瞬时加密密钥(TEK)和扩展MSK(EMSK),生成包括假名ID和快速重新验证ID的临时ID,使用TEK来保护该临时ID,并且将该临时ID发送到UE;
AAA服务器通过逻辑相互作用单元将切换接受消息发送到MME,其中该切换接受消息包括受保护的临时ID和是否需要验证的指示;
MME向UE转发包括切换接受消息中接收到的参数的切换命令消息;
在接收到来自SAE系统的用于切换到I-WLAN的切换命令之后,UE使用CK和IK来生成MSK、TEK和EMSK密钥,并且解密受保护的临时ID;和
UE开始与I-WLAN的层2(L2)附着。
4.如权利要求3所述的方法,还包括:
如果I-WLAN系统需要验证,则通过I-WLAN启动验证过程;
如果UE接收到切换命令,则通过UE发送快速重新验证ID;
UE通过I-WLAN将可扩展验证协议(EAP)响应身份消息发送到AAA服务器,该EAP响应身份消息具有假名ID、快速重新验证ID和EAP响应身份消息的完整性保护之一;
AAA服务器接收具有临时ID的EAP响应身份消息,并且通过AAA服务器核查完整性保护和临时ID,从而AAA验证UE;
如果AAA服务器先前请求使用受保护的成功的结果指示,则在发送EAP成功消息之前,通过AAA服务器发送EAP请求/AKA通知消息,其中EAP请求/AKA通知消息是受保护的媒体访问控制(MAC),并且AAA服务器生成新临时ID和EAP请求/AKA通知消息,并且将新临时ID和EAP请求/AKA通知消息发送到UE;
I-WLAN将EAP请求/AKA通知消息转发到UE,其中UE发送EAP响应/AKA通知消息,以及I-WLAN将EAP响应/AKA通知消息转发到AAA服务器,该AAA服务器不考虑消息的内容;
AAA服务器将EAP成功消息发送到I-WLAN,并且如果对于I-WLAN而生成了附加的键控素材,则通过I-WLAN存储将要在与经验证的WLAN-UE的通信中使用的键控素材;
如果AAA服务器没有使用受保护的成功的结果指示,则AAA服务器生成新临时ID,并且AAA服务器将该新临时ID连同EAP成功消息一起发送到UE;
I-WLAN使用EAP成功消息向WLAN-UE通知该成功验证,其中EAPAKA交换已经成功地完成,并且WLAN-UE和I-WLAN共享在EAP AKA交换期间推导的键控素材;和
UE使用I-WLAN启动快速重新验证过程,并且如果UE没有接收到该快速重新验证ID,则UE发送假名ID以便启动完整的验证过程。
5.如权利要求4所述的方法,还包括:
在成功的验证过程之后,通过UE启动在切换命令中由AAA服务器列出的验证过程,其中UE使用基于EMSK的优化过程而启动验证过程;
其中对于验证过程,UE可替换地启动快速重新验证过程。
6.如权利要求4所述的方法,还包括:
在与I-WLAN的成功附着之后,UE启动在切换命令中由AAA服务器列出的验证过程,其中UE使用基于EMSK的优化过程而启动验证过程;
其中对于验证过程,UE可替换地启动快速重新验证过程。
7.如权利要求2所述的方法,其中从SAE系统到I-WLAN AS的正向切换包括:
在验证过程期间,UE发送现在是先前接入系统的现有接入系统的细节,并且核心网络从先前接入系统中检索安全上下文和所缓存的分组,在该先前接入系统中,先前接入系统的细节是在基于局域网的扩展认证协议(EAPOL)ID响应消息中发送的;
在验证过程期间,UE和网络使用加密密钥(CK)和完整性密钥(IK)推导多个密钥,网络生成临时ID,并且将该临时ID转发到UE,其中UE开始快速重新验证过程;和
UE将最近成功接收到的分组的序列号发送到I-WLAN网络,该I-WLAN网络将该分组转发到网络,并且其中该网络在UE最后成功接收到序列号之后开始转发分组。
8.如权利要求2所述的方法,其中从I-WLAN到SAE的反向切换包括:
UE将周期的测量或者基于事件的测量发送到逻辑判断和相互作用单元,该逻辑判断和相互作用单元与移动性管理实体(MME)、验证、授权和计费(AAA)服务器和SAE或者I-WLAN中的任何网络实体之一分离或者位于其中;
如果该逻辑判断和相互作用单元发现UE测量在阈值以下或者I-WLAN不能继续,则该逻辑判断和相互作用单元请求UE开始扫描其他无线电接入技术(RAT),或者演进节点B/移动性管理实体(ENB/MME)请求UE来扫描在UE的覆盖区中可用的特定RAT,或者UE确定I-WLAN不能继续并开始扫描其他RAT;
UE通过AAA服务器将SAE测量报告发送到逻辑判断和相互作用单元,该SAE测量报告包括TAI、选择的UIA(UMTS完整算法)和UEA(UMTS加密算法)、演进节点B标识(ENB-ID)和开始参数(START)值;
逻辑判断和相互作用单元确定将UE切换到SAE,并且向AAA服务器通知该确定;
AAA服务器使用TAI联系HSS,以便获知MME地址;
AAA服务器将切换请求消息发送到MME/用户平面实体(UPE),其中该切换请求消息包括至少先前的RAT类型、未使用的分配矢量(AV)、最新的加密密钥(CK)和完整性密钥(IK)、和演进节点B标识(ENB-ID);
MME检查HSS来确定是否向HSS注册了任何AAA,如果没有,则通过MME执行软注册,并且生成密钥;
MME通过逻辑判断和相互作用单元将切换接受消息发送到AAA服务器,其中该切换接受消息包括选择的UEA和UIA、以及刷新参数(FRESH),并且确定是否开始至少无线电接入网络(RAN)保护;
AAA服务器在切换命令消息中向UE转发切换接受消息中的接收到的参数;
在接收到来自AAA服务器的用于切换到SAE的切换命令之后,UE使用最新的CK和IK推导SAE特定的密钥;
UE开始与ENB的层2(L2)附着,而没有任何保护;
UE将初始层3(L3)消息发送到MME/UPE,其中该初始L3消息包括用户身份、START值和MAC-INAS,其中MAC-INAS是使用推导的SAE特定密钥以及FRESH和START值来计算的;
MME/UPE使用推导的密钥、接收到的START和FRESH值来核查MAC-INAS;
MME/UPE发送初始L3消息答复,该L3消息答复包括用于ENB、START、FRESH以及UEA和UIA的密钥,并且MME通过排除了ENB STRAT、可选的FRESH以及UEA和UIA的密钥的初始L3消息答复,来计算MAC-INAS;
MME接收初始L3消息答复,并且存储用于START、FRESH以及UEA和UIA的密钥;
ENB将初始L3消息答复转发到UE,并且ENB开始RAN安全(MAC-IRAN);和
UE核查MAC-INAS和MAC-IRAN。
9.如权利要求2所述的方法,其中从I-WLAN到SAE的反向切换包括:
UE将周期的测量或者基于事件的测量发送到逻辑判断和相互作用单元,该逻辑判断和相互作用单元与移动性管理实体(MME)、验证、授权和计费(AAA)服务器、和在SAE或者I-WLAN中的任何网络实体之一分离或者位于其中;
如果逻辑判断和相互作用单元发现UE测量在阈值以下或者I-WLAN不能继续,则逻辑判断和相互作用单元请求UE开始扫描其他无线电接入技术(RAT),或者演进节点B/移动性管理实体(ENB/MME)请求UE来扫描在UE的覆盖区中可用的特定RAT,或者UE确定I-WLAN不能继续并且开始扫描其他RAT;
UE通过AAA服务器将SAE测量报告发送到逻辑判断和相互作用单元,该SAE测量报告包括TAI、选择的UIA和UEA、演进节点B标识(ENB-ID)和开始参数(START)值;
该逻辑判断和相互作用单元确定将UE切换到SAE,并且向AAA服务器通知该确定;
AAA服务器使用TAI联系HSS,以便获知MME地址;
AAA服务器将切换请求消息发送到MME/用户平面实体(UPE),其中该切换请求消息包括至少先前的RAT类型、未使用的分配矢量(AV)、最新的加密密钥(CK)和完整性密钥(IK)、和演进节点B标识(ENB-ID);
MME检查HSS来确定是否向HSS注册了任何AAA,如果没有,则通过MME执行软注册,并且使用AAA服务器发送的CK和IK来生成密钥;
MME生成刷新参数(FRESH),并且使用ENB-ID将安全上下文分发到ENB;
MME通过逻辑判断和相互作用单元将切换接受消息发送到AAA服务器,其中该切换接受消息包括选择的UEA和UIA、FRESH和开始RAN保护的指示;
AAA服务器在切换命令消息中向UE转发切换接受消息中的接收到的参数;
在接收到来自AAA服务器的用于将UE切换到SAE的切换命令之后,UE使用最新的CK和IK来确定SAE系统特定的密钥,并且开始RAN保护;
UE开始与ENB的L2附着,并且保护无线电资源控制(RRC)消息,其中在初始消息期间,UE传送START值到ENB,并且使用推导的SAE特定密钥、FRESH和START值来计算MAC-IRAN,并且ENB核查MAC-IRAN;
UE将初始L3消息发送到MME/UPE,其中该初始L3消息包括用户身份、START值和MAC-INAS,其中MAC-INAS是使用推导的SAE特定密钥、以及FRESH和START值来计算的;
MME/UPE使用推导的密钥、接收到的START值和FRESH值来核查MAC-INAS;和
MME/UPE发送初始L3消息答复,其中MME通过初始L3消息答复计算MAC-INAS。
10.如权利要求2所述的方法,其中在从I-WLAN到SAE系统的正向切换中,在TAU(跟踪区域更新)过程中,先前接入系统的细节被发送,并且在TAU过程或者初始NAS消息期间,从先前接入系统中检索CK,IK和所缓存的分组。
11.如权利要求2所述的方法,其中从UMTS到SAE的反向切换包括:
UE在报告中将周期的测量或者基于事件的测量发送到服务GPRS支持节点(SGSN);
SGSN基于测量报告,请求UE来开始扫描其他无线电接入技术(RAT),或者替换地ENB/MME请求UE来扫描其他RAT或者在UE的覆盖区中可用的RAT,或者UE判断EUTRAN不能继续并且然后扫描其他RAT;
UE将包括TAI、选择的UIA和UEA、开始参数(START)值以及演进节点B标识(ENB ID)的SAE测量报告发送到SGSN;
SGSN确定将UE切换到SAE,其中SGSN使用TAI来确定MME地址,并且使用至少S3或S4接口之一或者通过联系HSS来联系MME;
SGSN将切换请求消息发送到移动性管理实体/用户平面实体(MME/UPE),其中该切换请求消息包括至少安全上下文、先前的RAT类型、未使用的分配矢量(AV)、最新的加密密钥(CK)和完整性密钥(IK)、演进节点B标识(ENB-ID)、START值和KSI;
MME检查HSS以便确定是否向HSS注册了任何MME,如果没有,则MME执行软注册,并且使用由SGSN发送的CK和IK来生成密钥,并且MME使用逻辑相互作用单元将UMTS参数转换为SAE特定参数,该逻辑相互作用单元位于MME、AAA服务器、或者在SAE或者I-WLAN中的任何网络实体之一内;
MME生成刷新参数(FRESH),并且使用ENB-ID将安全上下文分发到ENB,该安全上下文包括用于至少无线电接入网络(RAN)保护的ENB密钥、选择的UIA和UEA、FRESH、START和KSI;
MME将切换接受消息发送到SGSN,其中切换接受消息包括UEA、UIA和FRESH;
SGSN在切换命令消息中向UE转发切换接受消息中的接收到的参数;
在接收到来自SGSN的用于将UE切换到SAE网络的切换命令消息之后,UE使用最新的CK和IK来确定SAE系统特定的密钥,并且开始RAN保护;
UE开始与ENB的层2(L2)附着,并且保护无线电资源控制(RRC)消息,其中在初始消息期间,UE向ENB传递START值,并且使用推导的SAE特定密钥、FRESH和START值来计算MAC-IRAN,并且ENB使用连同START值一起接收到的安全上下文来核查MAC-IRAN;
UE将初始层3(L3)消息发送到MME/UPE,其中初始L3消息包括用户身份、START值、KSI和MAC-INAS,其中MAC-INAS是使用推导的SAE特定密钥、FRESH和START值来计算的;
MME/UPE使用推导的密钥、接收到的START和FRESH值来核查MAC-INAS;和
MME/UPE发送初始L3消息答复,并且MME通过初始L3消息答复来计算MAC-INAS。
12.如权利要求2所述的方法,其中从UMTS到SAE系统的正向切换还包括:UE发送现在是先前接入系统的现有接入系统的细节,使得在TAU过程或者初始NAS消息期间,核心网络能够从先前接入系统中检索CK,IK和所缓存的分组。
13.如权利要求2所述的方法,其中从SAE到UMTS的反向切换包括:
UE在报告中将周期的测量或者基于事件的测量发送到演进节点B/移动性管理实体(ENB/MME);
ENB/MME使用该报告请求UE来开始扫描其他无线电接入技术(RAT)或者在UE的覆盖区中可用的RAT,通过UE判断EUTRAN不能继续并且随后扫描其他RAT;
UE将包括RAI、支持的UIA和UEA、KSI和开始参数(START)值以及小区ID的UMTS测量报告发送到ENB/MME;
服务GPRS支持节点(SGSN)确定将UE切换到UMTS,从而MME使用RAI得知SGSN的地址,并且使用S3或S4接口之一或者通过联系HSS来联系SGSN;
MME将切换请求消息发送到SGSN,其中该切换请求消息包括安全上下文、先前的RAT类型、未使用的分配矢量(AV)、最新的加密密钥(CK)和完整性密钥(IK)、小区-ID、START值、KSI和其他参数,并且MME通过使用逻辑相互作用单元将SAE参数转换为UMTS特定参数,该逻辑相互作用单元与MME、SGSN、和在SAE系统或者UMTS系统中的任何网络实体之一分离或者位于其中;
SGSN检查HSS,以便确定是否在HSS中注册任何SGSN,并且如果没有,则SGSN执行软注册;
SGSN生成刷新参数(FRESH),并且使用小区ID将安全上下文分发到无线电网络控制器(RNC),该安全上下文包括至少用于保护的密钥、选择的UIA和UEA、FRESH、START和KSI,其中RNC存储接收到的参数;
SGSN将切换接受消息发送到MME,其中该切换接受消息包括UEA、UIA和FRESH;
MME在切换命令消息中向UE转发切换接受消息中的接收到的参数;
在接收到来自MME的用于切换到UMTS网络的切换命令之后,UE使用UMTS网络的最新的CK和IK,并且开始RAN保护;
UE开始与RNC的层2(L2)附着,其中UE开始保护无线电资源控制(RRC)消息并且将初始消息期间的START值传递到RNC;
UE向SGSN发送包括用户身份、START值、KSI和MAC-INAS的初始层3(L3)消息;和
RNC核查MAC-INAS,并且将MAC-INAS转发到SGSN。
14.如权利要求2所述的方法,其中从SAE到UMTS系统的正向切换还包括:在RAU(路由区域更新)过程或者第一NAS消息期间,UE发送现在是先前接入系统的现有接入系统的细节,以便使得核心网络能够从先前接入系统中检索CK,IK和所缓存的分组。
15.如权利要求2所述的方法,其中从UMTS到I-WLAN的反向切换包括:
UE将周期的测量或者基于事件的测量发送到增强型UMTS地面无线电接入网络(EUTRAN);
无线电网络控制器/服务GPRS支持节点(RNC/SGSN)确定发送的UE测量在阈值以下,或者SGSN确定EUTRAN不能继续,
ENB/MME请求UE来扫描其他无线电接入技术(RAT)或者在UE的覆盖区中可用的RAT,或者UE判断EUTRAN不能继续并且随后扫描其他RAT;
UE将包括I-WLAN ID和网络接入标识符(NAI)以及其它参数的I-WLAN测量报告发送到SGSN,并且SGSN判断将UE切换到I-WLAN;
SGSN使用NAI来还原I-WLAN的验证、授权和计费(AAA)服务器IP地址,并且通过逻辑相互作用单元来联系AAA服务器,其中该逻辑相互作用单元位于SGSN、AAA服务器、或者在UMTS或者I-WLAN中的网络实体之一内;
SGSN通过逻辑相互作用单元将切换请求发送到AAA服务器,其中该切换请求包括NAI、I-WLAN ID、未使用的验证矢量(AV)、最新的加密密钥(CK)和完整性密钥(IK)和其他参数;
AAA服务器检查HSS,以便确定任何AAA是否被注册,如果没有,则AAA服务器执行软注册,其中AAA服务器使用NAI、CK和IK而生成MSK、TEK和EMSK密钥,生成包括假名ID和快速重新验证ID的临时ID,使用TEK来保护该临时ID,并且将该临时ID发送到UE;
AAA服务器通过逻辑相互作用单元将切换接受消息发送到SGSN,其中该切换接受消息包括受保护的临时ID和是否需要验证的指示,
SGSN向UE转发包括切换接受消息中的接收到的参数的切换命令消息;
在接收到来自UMTS的用于切换到I-WLAN的切换命令之后,UE使用CK和IK来生成MSK、TEK和EMSK密钥,并且解密受保护的临时ID;和
UE开始与I-WLAN的层2(L2)附着。
16.如权利要求15所述的方法,还包括:
如果I-WLAN系统需要验证,则I-WLAN启动验证过程;
如果UE接收到切换命令,则UE发送快速重新验证ID;
UE通过I-WLAN将EAP响应身份消息发送到AAA服务器,该EAP响应身份消息具有假名ID、快速重新验证ID和EAP响应身份消息的完整性保护之一;
如果AAA服务器接收到具有临时ID的EAP响应身份消息,则AAA服务器核查完整性保护和临时ID;
AAA服务器验证UE;
如果AAA服务器先前请求使用受保护的成功的结果指示,则在发送EAP成功消息之前,AAA服务器发送EAP请求/AKA通知消息,其中EAP请求/AKA通知消息是受保护的媒体访问控制(MAC);
AAA服务器生成新临时ID和EAP请求/AKA通知消息,并且将新临时ID和EAP请求/AKA通知消息发送到UE;
I-WLAN将EAP请求/AKA通知消息转发到UE,其中UE发送EAP响应/AKA通知消息,以及I-WLAN将EAP响应/AKA通知消息转发到AAA服务器,该AAA服务器不考虑消息的内容;
AAA服务器将EAP成功消息发送到I-WLAN,并且如果对于I-WLAN特定机密性和完整性保护而生成附加的键控素材,则通过AAA服务器将该键控素材包含在下层AAA协议消息中,并且I-WLAN存储将要在与经验证的WLAN-UE的通信中使用的键控素材;
如果AAA服务器没有使用受保护的成功的结果指示,则AAA服务器生成新临时ID,并且将该新临时ID连同EAP成功消息一起发送到UE;
I-WLAN使用EAP成功消息通知WLAN-UE成功验证,其中EAP AKA交换已经成功地完成,并且WLAN-UE和I-WLAN共享在EAP AKA交换期间推导的键控素材;和
UE使用I-WLAN启动快速重新验证过程,并且如果UE没有接收到该快速重新验证ID,则UE发送假名ID以便启动完整的验证过程。
17.如权利要求15所述的方法,其中AAA服务器在切换接受消息内包括用于连续地执行切换过程的UE的支持优化过程。
18.如权利要求16所述的方法,还包括:
在成功的验证过程之后,UE启动切换命令中由AAA服务器列出的验证过程,其中UE使用基于EMSK的优化过程来启动验证过程;和
对于验证过程,UE替换地启动快速重新验证过程。
19.如权利要求15所述的方法,还包括:
在与I-WLAN AN的成功附着之后,对于切换命令中由AAA服务器列出的场景,通过UE启动验证过程,并且UE使用基于EMSK的优化过程来启动验证过程;和
对于验证过程,UE替换地启动快速重新验证过程。
20.如权利要求2所述的方法,其中,从I-WLAN到UMTS接入系统的反向切换还包括:
UE和网络使用最新的加密密钥(CK)和完整性密钥(IK),其中UE开始无线电资源控制器(RRC)连接过程和SMC(安全模式命令)过程,而不进行AKA验证;
在切换准备阶段期间,替换地执行SMC过程;和
网络发送支持的算法,UE选择所支持的算法,并且开始初始消息的保护。
21.如权利要求2所述的方法,其中,从I-WLAN到UMTS接入系统的正向切换还包括:在RAU(路由区域更新)过程期间,UE发送RAU消息内的先前接入系统的细节,以使得核心网络能够从先前接入系统中检索安全上下文和所缓存的分组。
22.一种用于在异构网络中的接入系统间切换期间优化验证过程的系统,包括:
用于推导接入新系统的新密钥的部件;
用于使得能够使用现有系统使用的现有系统接入密钥、在从现有系统到新系统的用户设备(UE)切换期间进行验证过程的部件;和
用于在切换准备期间由正在接入新系统的用户设备接收临时标识(ID)的部件,使得用户设备能够使用临时ID在新系统中执行快速重新验证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN597/CHE/2006 | 2006-03-31 | ||
| IN597CH2006 | 2006-03-31 | ||
| PCT/KR2007/001601 WO2007114623A1 (en) | 2006-03-31 | 2007-04-02 | System and method for optimizing authentication procedure during inter access system handovers |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101411115A CN101411115A (zh) | 2009-04-15 |
| CN101411115B true CN101411115B (zh) | 2012-06-06 |
Family
ID=38212655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780011385XA Expired - Fee Related CN101411115B (zh) | 2006-03-31 | 2007-04-02 | 用于在接入系统间切换期间优化验证过程的系统和方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8462742B2 (zh) |
| EP (1) | EP1841267B1 (zh) |
| JP (1) | JP5059096B2 (zh) |
| KR (1) | KR101514845B1 (zh) |
| CN (1) | CN101411115B (zh) |
| AU (1) | AU2007232622B2 (zh) |
| CA (1) | CA2642822C (zh) |
| WO (1) | WO2007114623A1 (zh) |
Families Citing this family (126)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8576795B2 (en) | 2007-03-16 | 2013-11-05 | Qualcomm Incorporated | Method and apparatus for handoff between source and target access systems |
| US8331314B2 (en) * | 2007-04-20 | 2012-12-11 | Telefonaktiebolaget L M Ericsson (Publ) | Dormant session management associated with handover |
| US7899939B2 (en) * | 2007-04-20 | 2011-03-01 | Research In Motion Limited | Apparatus, and associated method, for facilitating network selection using access technology indicator |
| CN101304600B (zh) * | 2007-05-08 | 2011-12-07 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| US9049629B2 (en) * | 2007-06-18 | 2015-06-02 | Qualcomm Incorporated | Method and apparatus for fast inter-system handover |
| KR101454021B1 (ko) * | 2007-08-07 | 2014-10-27 | 삼성전자주식회사 | 이동통신시스템에서 홈셀/개인네트워크셀의 메저먼트 장치및 방법 |
| CN101370283B (zh) | 2007-08-13 | 2011-03-30 | 华为技术有限公司 | 演进网络中切换过程中非接入层消息的处理方法及装置 |
| EP2028886B1 (en) * | 2007-08-20 | 2010-08-04 | Mitsubishi Electric R&D Centre Europe B.V. | Methods and devices which enable to determine if a handover of a communication in which a mobile terminal is involved has to be executed from a first base station to a second base station |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN102916808B (zh) * | 2007-09-17 | 2015-11-18 | 爱立信电话股份有限公司 | 电信系统中的方法和设备 |
| JP5102836B2 (ja) | 2007-09-19 | 2012-12-19 | パナソニック株式会社 | ネットワークノード及び移動端末 |
| CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| CN101399767B (zh) | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| US9775096B2 (en) | 2007-10-08 | 2017-09-26 | Qualcomm Incorporated | Access terminal configuration and access control |
| US9167505B2 (en) | 2007-10-08 | 2015-10-20 | Qualcomm Incorporated | Access management for wireless communication |
| US9055511B2 (en) | 2007-10-08 | 2015-06-09 | Qualcomm Incorporated | Provisioning communication nodes |
| EP2053886A3 (en) * | 2007-10-26 | 2015-03-25 | Hitachi, Ltd. | Communication system and gateway apparatus |
| CN101511079B (zh) | 2007-11-01 | 2010-10-27 | 华为技术有限公司 | 一种通过演进网络临时标识接入旧有网络的方法和装置 |
| CN101431780B (zh) * | 2007-11-09 | 2010-12-22 | 华为技术有限公司 | 一种实现网络优化切换的方法、设备及系统 |
| US20090136043A1 (en) * | 2007-11-26 | 2009-05-28 | Motorola, Inc. | Method and apparatus for performing key management and key distribution in wireless networks |
| KR101467794B1 (ko) * | 2007-11-27 | 2014-12-03 | 엘지전자 주식회사 | 핸드오버 수행방법 |
| KR101397038B1 (ko) * | 2007-11-27 | 2014-05-20 | 엘지전자 주식회사 | 패스트 핸드오버를 위한 핸드오버 연결식별자 할당방법 |
| ES2659368T3 (es) * | 2007-12-19 | 2018-03-15 | Nokia Technologies Oy | Métodos, aparatos, sistema y productos de programa informático relacionados para la seguridad del traspaso |
| US8755793B2 (en) * | 2008-01-04 | 2014-06-17 | Qualcomm Incorporated | Apparatus and methods to facilitate seamless handoffs between wireless communication networks |
| CN101521869A (zh) * | 2008-02-25 | 2009-09-02 | 三星电子株式会社 | 更新用户设备位置信息的方法 |
| GB2458886A (en) * | 2008-03-25 | 2009-10-07 | Nec Corp | Inter-network handover request message incorporating identifier of target gateway component |
| EP2263371A4 (en) * | 2008-04-08 | 2014-07-23 | Nokia Corp | METHOD, DEVICE AND COMPUTER PROGRAM PRODUCT FOR ACTIVATING USER CONTROL OF FALLBACK CAPACITY TO SUPPORT LINE-INTERFERENCE DOMAINS |
| CN101267668B (zh) * | 2008-04-16 | 2015-11-25 | 中兴通讯股份有限公司 | 密钥生成方法、装置及系统 |
| CN101572925B (zh) | 2008-04-28 | 2012-03-07 | 华为技术有限公司 | 一种保持用户业务连续性的方法、系统及装置 |
| US9706395B2 (en) * | 2008-04-28 | 2017-07-11 | Nokia Technologies Oy | Intersystem mobility security context handling between different radio access networks |
| US20090274302A1 (en) * | 2008-04-30 | 2009-11-05 | Mediatek Inc. | Method for deriving traffic encryption key |
| US8948030B2 (en) * | 2008-04-30 | 2015-02-03 | Nokia Siemens Networks Oy | Transmitting node B load status information in a self organising network |
| CN101572862B (zh) * | 2008-05-02 | 2013-11-06 | 三星电子株式会社 | 支持3g系统和lte系统间互通的方法和设备 |
| WO2009146864A1 (en) * | 2008-06-05 | 2009-12-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Techniques for optimizing efficiency in a situation for a possible handover of a mobile terminal |
| US8638749B2 (en) | 2008-06-06 | 2014-01-28 | Qualcomm Incorporated | Method and apparatus for inter-network handoff |
| CN101299884B (zh) * | 2008-06-16 | 2012-10-10 | 中兴通讯股份有限公司 | 用户设备转移时密钥身份标识符的生成方法和生成系统 |
| CN101299666A (zh) * | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
| CN102821382B (zh) | 2008-06-18 | 2015-09-23 | 上海华为技术有限公司 | 一种用于接入的装置 |
| CN101616408B (zh) * | 2008-06-23 | 2012-04-18 | 华为技术有限公司 | 密钥衍生方法、设备及系统 |
| US20090316660A1 (en) * | 2008-06-24 | 2009-12-24 | Charles Perkins | Method, system, and apparatus for handover amongst plurality of communication networks |
| JP4394730B1 (ja) * | 2008-06-27 | 2010-01-06 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
| US8245039B2 (en) * | 2008-07-18 | 2012-08-14 | Bridgewater Systems Corp. | Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization |
| KR101579757B1 (ko) * | 2008-08-15 | 2015-12-24 | 삼성전자주식회사 | 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 |
| KR101246021B1 (ko) | 2008-08-25 | 2013-03-25 | 에스케이텔레콤 주식회사 | 이동통신 단말기의 인증서비스 제공시스템 및 그 방법 |
| US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| CN102246489B (zh) * | 2008-10-08 | 2014-05-28 | 思杰系统有限公司 | 对通过http的异步消息通信进行连接管理的系统和方法 |
| JP4435254B1 (ja) | 2008-10-22 | 2010-03-17 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び交換局 |
| US8538419B2 (en) * | 2008-11-10 | 2013-09-17 | Qualcomm Incorporated | Method and apparatus to enable patching of user equipment context through retrieval of partial contexts from various network servers |
| KR101651386B1 (ko) * | 2008-11-10 | 2016-08-25 | 인터디지탈 패튼 홀딩스, 인크 | 타이머의 동작 강화 |
| CN101765094B (zh) * | 2008-12-22 | 2012-07-04 | 华为技术有限公司 | 实现用户设备切换的方法、装置及系统 |
| CN101883321B (zh) * | 2009-05-05 | 2014-03-19 | 中兴通讯股份有限公司 | 多媒体广播组播业务中获取接入信息、计费的方法和系统 |
| CN101583130B (zh) * | 2009-06-18 | 2015-09-16 | 中兴通讯股份有限公司 | 空口密钥的生成方法与装置 |
| US8605904B2 (en) * | 2009-08-14 | 2013-12-10 | Industrial Technology Research Institute | Security method in wireless communication system having relay node |
| TWI430674B (zh) * | 2009-08-14 | 2014-03-11 | Ind Tech Res Inst | 用於具有中繼節點之無線通訊系統的安全性方法 |
| US8429728B2 (en) * | 2009-08-24 | 2013-04-23 | Alcatel Lucent | Pre-registration security support in multi-technology interworking |
| US8958404B2 (en) | 2009-09-30 | 2015-02-17 | Nokia Corporation | Apparatus and method for providing access to a local area network |
| ES2675326T3 (es) | 2009-10-05 | 2018-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Método y aparato en un sistema de telecomunicación |
| KR101718096B1 (ko) * | 2009-12-01 | 2017-03-20 | 삼성전자주식회사 | 무선통신 시스템에서 인증방법 및 시스템 |
| US9775027B2 (en) * | 2009-12-31 | 2017-09-26 | Alcatel Lucent | Method for interworking among wireless technologies |
| US9270587B2 (en) * | 2010-01-08 | 2016-02-23 | Qualcomm Incorporated | Method and apparatus for routing messages of a positioning protocol in a wireless network |
| EP2517501A4 (en) | 2010-02-03 | 2013-03-06 | Huawei Tech Co Ltd | SYSTEM AND METHOD FOR HANDLING A RE-SELECTION OF AN ACCESS NETWORK |
| US9084110B2 (en) | 2010-04-15 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network |
| US8848916B2 (en) | 2010-04-15 | 2014-09-30 | Qualcomm Incorporated | Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node |
| SG184442A1 (en) * | 2010-04-15 | 2012-11-29 | Qualcomm Inc | Apparatus and method for signaling enhanced security context for session encryption and integrity keys |
| CN101835152A (zh) * | 2010-04-16 | 2010-09-15 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
| MY154249A (en) | 2010-04-16 | 2015-05-29 | Qualcomm Inc | Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node |
| CN101835154B (zh) | 2010-04-20 | 2016-03-30 | 中兴通讯股份有限公司 | 一种建立增强的空口密钥的方法及系统 |
| US9294972B2 (en) * | 2010-04-28 | 2016-03-22 | Qualcomm Incorporated | Neighbor relation information management |
| US9264954B2 (en) | 2010-04-28 | 2016-02-16 | Qualcomm Incorporated | Neighbor relation information management |
| CN101867925A (zh) * | 2010-06-10 | 2010-10-20 | 中兴通讯股份有限公司 | 空口密钥处理方法及系统 |
| CN101925050B (zh) * | 2010-08-19 | 2014-12-03 | 华为技术有限公司 | 一种安全上下文的生成方法及装置 |
| CN102457848B (zh) * | 2010-10-18 | 2015-12-16 | 中兴通讯股份有限公司 | 一种重鉴权和切换的并发处理方法及系统 |
| CN103262614A (zh) * | 2010-10-22 | 2013-08-21 | 诺基亚西门子通信公司 | 优化通信网络中数据交换的方法 |
| US9049748B2 (en) | 2010-12-02 | 2015-06-02 | Lg Electronics Inc. | Method and device for transmitting and receiving data in radio access system that supports multi-radio access technology |
| EP2512184B1 (en) | 2011-04-13 | 2017-07-19 | OCT Circuit Technologies International Limited | Process and apparatus for handling downlink transmission during network switching |
| US9392535B2 (en) | 2011-07-12 | 2016-07-12 | Lg Electronics Inc. | Method for performing a cooperative operation between heterogeneous networks and device for same |
| US9246673B2 (en) | 2011-12-28 | 2016-01-26 | Empire Technology Development Llc | Taste-based authentication to securely share data |
| CA2865692C (en) * | 2012-01-31 | 2017-05-16 | Telefonaktiebolaget L M Ericsson (Publ) | Connection setup with an access selection of a terminal |
| US9088976B2 (en) * | 2012-04-29 | 2015-07-21 | Blackberry Limited | Provisioning radio resources in a radio access network |
| KR101456697B1 (ko) * | 2012-05-09 | 2014-10-31 | 주식회사 케이티 | 이동통신 시스템 및 패킷 교환 지원 노드 |
| KR102095405B1 (ko) | 2012-05-10 | 2020-03-31 | 삼성전자주식회사 | 데이터 패킷들의 업링크 및 다운링크 동안 비연결형 전송을 위한 방법 및 시스템 |
| WO2013176588A1 (en) * | 2012-05-21 | 2013-11-28 | Telefonaktiebolaget L M Ericsson (Publ) | A mobile station and a wireless access point and methods therein in a wireless communications network |
| JP5896023B2 (ja) | 2012-06-25 | 2016-03-30 | ソニー株式会社 | 情報処理装置、無線通信装置、通信システム、情報処理方法およびプログラム |
| CN103517379B (zh) * | 2012-06-30 | 2017-08-18 | 华为技术有限公司 | 一种重关联的方法和设备 |
| US8885752B2 (en) | 2012-07-27 | 2014-11-11 | Intel Corporation | Method and apparatus for feedback in 3D MIMO wireless systems |
| WO2014087643A1 (en) * | 2012-12-06 | 2014-06-12 | Nec Corporation | Mtc key management for sending key from network to ue |
| CN104012130B (zh) * | 2012-12-19 | 2019-08-13 | 华为技术有限公司 | 通信安全处理方法及装置 |
| US9655012B2 (en) * | 2012-12-21 | 2017-05-16 | Qualcomm Incorporated | Deriving a WLAN security context from a WWAN security context |
| WO2014109968A1 (en) * | 2013-01-09 | 2014-07-17 | Ntt Docomo, Inc. | Secure radio access with inter-enb carrier aggregation |
| WO2014113072A1 (en) * | 2013-01-17 | 2014-07-24 | Intel IP Corporation | Centralized partitioning of user devices in a heterogeneous wireless network |
| WO2014161140A1 (zh) * | 2013-04-01 | 2014-10-09 | 华为技术有限公司 | 在拜访地选择网络的方法及设备 |
| EP2997767A4 (en) * | 2013-05-13 | 2016-05-04 | Ericsson Telefon Ab L M | MOBILITY IN A MOBILE COMMUNICATION NETWORK |
| CN104427584B (zh) * | 2013-08-19 | 2019-08-16 | 南京中兴软件有限责任公司 | 安全上下文处理方法及装置 |
| US9420503B2 (en) * | 2014-01-21 | 2016-08-16 | Cisco Technology, Inc. | System and method for seamless mobility in a network environment |
| US9894589B2 (en) * | 2014-03-28 | 2018-02-13 | Qualcomm Incorporated | Methods and apparatus for coordinating system selection among a set of nodes |
| WO2015163801A1 (en) * | 2014-04-25 | 2015-10-29 | Telefonaktiebolaget L M Ericsson (Publ) | Network nodes and methods for handling traffic tracing of a user equipment |
| EP3146742B1 (en) | 2014-05-20 | 2019-07-31 | Nokia Technologies Oy | Exception handling in cellular authentication |
| CN106465109A (zh) | 2014-05-20 | 2017-02-22 | 诺基亚技术有限公司 | 蜂窝网络认证 |
| US9872233B2 (en) * | 2014-06-02 | 2018-01-16 | Intel IP Corporation | Devices and method for retrieving and utilizing neighboring WLAN information for LTE LAA operation |
| CN106664286B (zh) * | 2014-08-13 | 2020-09-11 | 宇龙计算机通信科技(深圳)有限公司 | 异构网络之间的切换方法及切换系统 |
| US9949314B2 (en) * | 2014-09-23 | 2018-04-17 | Qualcomm Incorporated | Support blacklisting devices on WLAN access |
| US9825937B2 (en) * | 2014-09-23 | 2017-11-21 | Qualcomm Incorporated | Certificate-based authentication |
| US9918225B2 (en) | 2014-11-03 | 2018-03-13 | Qualcomm Incorporated | Apparatuses and methods for wireless communication |
| EP3547739A1 (en) | 2015-02-13 | 2019-10-02 | NEC Corporation | Apparatus, system and method for security management |
| JP2016208112A (ja) * | 2015-04-16 | 2016-12-08 | 富士通株式会社 | 通信システム及び基地局 |
| KR102237511B1 (ko) * | 2015-04-29 | 2021-04-07 | 삼성전자주식회사 | 무선 통신 시스템에서 단말의 통신 제어 방법 및 장치 |
| JP6715867B2 (ja) * | 2015-06-05 | 2020-07-01 | コンヴィーダ ワイヤレス, エルエルシー | 統合スモールセルネットワークおよびwifiネットワークのための統一認証 |
| WO2017194076A1 (en) * | 2016-05-09 | 2017-11-16 | Huawei Technologies Co., Ltd. | Mobile equipment identity privacy, network node and methods thereof |
| SG10201605752PA (en) * | 2016-07-13 | 2018-02-27 | Huawei Int Pte Ltd | A unified authentication work for heterogeneous network |
| US10560879B2 (en) * | 2016-08-05 | 2020-02-11 | Qualcomm Incorporated | Techniques for establishing a secure connection between a wireless device and a local area network via an access node |
| US10068066B2 (en) * | 2016-10-04 | 2018-09-04 | International Business Machines Corporation | Providing temporary contact information |
| US11095738B2 (en) * | 2016-11-03 | 2021-08-17 | Apple Inc. | Push notifications for multiple user devices |
| BR112019009061A2 (pt) * | 2016-11-07 | 2019-07-16 | Ericsson Telefon Ab L M | pressionar para falar de missão crítica |
| CN110024331B (zh) * | 2017-01-26 | 2021-11-19 | 华为技术有限公司 | 数据的保护方法、装置和系统 |
| US10542463B2 (en) * | 2017-02-05 | 2020-01-21 | Nokia Of America Corporation | System and method for secure cell redirection in wireless networks |
| JP6984827B2 (ja) | 2017-04-11 | 2021-12-22 | アイピーコム ゲーエムベーハー ウント コー. カーゲー | ユーザ機器のネットワークアクセス制御 |
| US10136318B1 (en) | 2017-06-21 | 2018-11-20 | At&T Intellectual Property I, L.P. | Authentication device selection to facilitate authentication via an updateable subscriber identifier |
| US20190014095A1 (en) | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| EP3711442B1 (en) * | 2017-11-16 | 2023-05-10 | Telefonaktiebolaget LM Ericsson (Publ) | Replay protection for resume procedure |
| WO2019155477A1 (en) * | 2018-02-08 | 2019-08-15 | Telefonaktiebolaget Lm Ericsson (Publ) | A method for seamless migration of session authentication to a different stateful diameter authenticating peer |
| WO2020198234A1 (en) * | 2019-03-26 | 2020-10-01 | Apple Inc. | Methods, systems and computer readable storage devices for integrity protection of uplink data in early data transmission (edt) |
| CN110166982B (zh) * | 2019-05-29 | 2022-04-05 | 深圳成谷科技有限公司 | 一种车路协同网络的切换方法及相关产品 |
| KR102381038B1 (ko) | 2020-05-28 | 2022-03-30 | 고려대학교 산학협력단 | 피제어 장치의 보안 인증 기법 |
| US11696137B2 (en) | 2020-07-31 | 2023-07-04 | T-Mobile Usa, Inc. | Detecting malicious small cells based on a connectivity schedule |
| US11202255B1 (en) | 2020-07-31 | 2021-12-14 | T-Mobile Usa, Inc. | Cached entity profiles at network access nodes to re-authenticate network entities |
| US11595865B2 (en) * | 2021-04-08 | 2023-02-28 | Cisco Technology, Inc. | Enforcing unique handover trigger thresholds for user equipment |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6744753B2 (en) * | 2001-11-01 | 2004-06-01 | Nokia Corporation | Local service handover |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI109503B (fi) * | 1997-04-15 | 2002-08-15 | Nokia Corp | Pakettien menetyksen estäminen pakettipohjaisen tietoliikenneverkon handoverissa sekä handovermenetelmä |
| SE517729C2 (sv) * | 2000-11-24 | 2002-07-09 | Columbitech Ab | Metod för att upprätthålla kommunikation mellan enheter tillhöriga skilda kommunikationsnät |
| US7096022B2 (en) | 2002-10-08 | 2006-08-22 | Ntt Docomo, Inc. | System and method for supporting quality of service in vertical handovers between heterogeneous networks |
| US7280505B2 (en) * | 2002-11-13 | 2007-10-09 | Nokia Corporation | Method and apparatus for performing inter-technology handoff from WLAN to cellular network |
| US20040236939A1 (en) * | 2003-02-20 | 2004-11-25 | Docomo Communications Laboratories Usa, Inc. | Wireless network handoff key |
| US7512783B2 (en) * | 2003-03-14 | 2009-03-31 | Naghian Siamaek | Provision of security services for an ad-hoc network |
| EP1665855B1 (en) | 2003-09-12 | 2007-11-07 | NTT DoCoMo INC. | Seamless handover in heterogeneous network |
| US8027679B2 (en) | 2003-09-12 | 2011-09-27 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
| US20070230453A1 (en) * | 2004-02-06 | 2007-10-04 | Telecom Italia S.P.A. | Method and System for the Secure and Transparent Provision of Mobile Ip Services in an Aaa Environment |
| WO2005076649A1 (en) * | 2004-02-10 | 2005-08-18 | Forward Information Technologies Sa | Method and system for seamless handover of mobile devices in heterogenous networks |
| KR20060023359A (ko) * | 2004-09-09 | 2006-03-14 | (주)아이엠넷피아 | 서로 다른 이기종 무선망간 로밍을 수행할 수 있는 이동단말기 |
-
2007
- 2007-04-02 JP JP2009502694A patent/JP5059096B2/ja not_active Expired - Fee Related
- 2007-04-02 WO PCT/KR2007/001601 patent/WO2007114623A1/en active Application Filing
- 2007-04-02 EP EP07006878.8A patent/EP1841267B1/en not_active Expired - Fee Related
- 2007-04-02 CA CA2642822A patent/CA2642822C/en not_active Expired - Fee Related
- 2007-04-02 AU AU2007232622A patent/AU2007232622B2/en not_active Ceased
- 2007-04-02 KR KR1020087023881A patent/KR101514845B1/ko not_active IP Right Cessation
- 2007-04-02 US US11/732,202 patent/US8462742B2/en active Active
- 2007-04-02 CN CN200780011385XA patent/CN101411115B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6744753B2 (en) * | 2001-11-01 | 2004-06-01 | Nokia Corporation | Local service handover |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1841267A3 (en) | 2016-04-13 |
| AU2007232622B2 (en) | 2010-04-29 |
| CN101411115A (zh) | 2009-04-15 |
| KR101514845B1 (ko) | 2015-04-23 |
| JP2009531952A (ja) | 2009-09-03 |
| AU2007232622A1 (en) | 2007-10-11 |
| EP1841267A2 (en) | 2007-10-03 |
| CA2642822A1 (en) | 2007-10-11 |
| US8462742B2 (en) | 2013-06-11 |
| KR20090004896A (ko) | 2009-01-12 |
| WO2007114623A1 (en) | 2007-10-11 |
| EP1841267B1 (en) | 2019-06-12 |
| CA2642822C (en) | 2013-01-15 |
| JP5059096B2 (ja) | 2012-10-24 |
| US20070249352A1 (en) | 2007-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101411115B (zh) | 用于在接入系统间切换期间优化验证过程的系统和方法 | |
| CN109309920B (zh) | 安全实现方法、相关装置以及系统 | |
| EP2074720B1 (en) | A system and method of providing user equipment initiated and assisted backward handover in heterogeneous wireless networks | |
| KR101490243B1 (ko) | 이종망간 핸드오버시 빠른 보안연계 설정방법 | |
| KR101813602B1 (ko) | 핸드오버 절차에서 단말을 배치하기 위한 방법 및 시스템 | |
| CN103096311B (zh) | 家庭基站安全接入的方法及系统 | |
| US9848323B2 (en) | Method for resolving security issues using NH and NCC pairs in mobile communication system | |
| US20060128362A1 (en) | UMTS-WLAN interworking system and authentication method therefor | |
| Forsberg | LTE key management analysis with session keys context | |
| KR20110045796A (ko) | 이동 통신 시스템에서 보안 관리 시스템 및 방법 | |
| KR20110138548A (ko) | 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템 | |
| US9148307B2 (en) | System and method of handover decision for inter RAT handover | |
| CN101102600A (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
| WO2011137823A1 (zh) | 密钥隔离方法和装置 | |
| KR100668660B1 (ko) | 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터 | |
| Haddar et al. | Securing fast pmipv6 protocol in case of vertical handover in 5g network | |
| Rajavelsamy et al. | A novel method for authentication optimization during handover in heterogeneous wireless networks | |
| Ouyang et al. | A secure context transfer scheme for integration of UMTS and 802.11 WLANs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120606 Termination date: 20200402 |