[go: up one dir, main page]

JP2012500511A - 移動通信システムの保安化された非接続階層プロトコル処理方法 - Google Patents

移動通信システムの保安化された非接続階層プロトコル処理方法 Download PDF

Info

Publication number
JP2012500511A
JP2012500511A JP2011522916A JP2011522916A JP2012500511A JP 2012500511 A JP2012500511 A JP 2012500511A JP 2011522916 A JP2011522916 A JP 2011522916A JP 2011522916 A JP2011522916 A JP 2011522916A JP 2012500511 A JP2012500511 A JP 2012500511A
Authority
JP
Japan
Prior art keywords
key
new
terminal
mme
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011522916A
Other languages
English (en)
Other versions
JP5390611B2 (ja
Inventor
キュン・ジュ・スー
スン・ホ・チェ
ジュン・ヒョン・キム
ジェ・チョン・ユ
ユン・フイ・ペ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2012500511A publication Critical patent/JP2012500511A/ja
Application granted granted Critical
Publication of JP5390611B2 publication Critical patent/JP5390611B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、移動通信ネットワークで非接続階層(NAS)プロトコルを利用して端末の移動性、遊休モード管理、登録管理、位置管理を行う方法及びシステムに関する。NASプロトコルを利用して端末の移動性、遊休モード管理、登録管理、位置管理を行うための方法は、端末(UE)と移動管理者(MME)を含み、端末が動作モードからハンドオーバーする場合と、遊休モードで位置管理を行う場合、端末がネットワークに登録する場合において、3GPPのEPSのようなネットワークで移動性管理メッセージであるEMMのうち上記のような役目を行うメッセージを送受信する場合、受信メッセージが保安化されたNASメッセージである場合、保安化されたNASメッセージを効率的に処理するための方法を提示することによって、端末の移動性と位置管理及び登録管理を効率的に行うことができるという利点がある。

Description

本発明は、移動通信システムの端末の管理方法に関し、特にNASプロトコルを利用した端末の移動性管理、位置管理、登録管理を効率的に支援するための方法に関する。
一般的な移動通信システムのうち代表的な3GPP(3rd Generation Partnership Project)において、次世代通信のためにEPS(Evolved Packet System)を定義し、MMEをネットワークの移動性管理エンティティに導入した。上記のような移動通信システムにおいては、従来の移動通信システム、特に3GPPの3Gで使用したNASプロトコルを改善し、次世代移動通信での高速通信サービスを提供するために改善方案を提示した。これにより、移動性管理、位置管理、登録管理の方法を改善し、且つ、NAS階層で保安化されたNASプロトコル概念を導入し、保安管理方案を強化した。
しかし、現在、NASプロトコル定義及び移動性管理、位置管理、登録管理方法に関する定義は、初期段階であって、上記のような機能を支援するための正確な手続及び属性が定義されていない。また、現在定義された手続及び定義されたメッセージでは、実際動作において移動性管理、位置管理、あるいは登録管理におけるNASプロトコル動作において動作不可能あるいは動作の不明確の問題点が発生した。したがって、NASプロトコルが移動性管理、位置管理、登録管理及び保安性支援を効率的に支援するための手続及び端末とMMEの役目を明示しなければならないことが求められる。
本発明は、3GPP EPSを含めた進化した移動通信システムにおいて端末の移動性管理、位置管理、登録管理及びこのような管理手続において保安化されたNASメッセージを使用し、これにより、移動性管理、位置管理、登録管理を安全で且つ効率的に支援する方法を提供する。また、本発明は、端末と移動性管理者(MME)間のプロトコルであるNASメッセージを活用し、NASプロトコルがどのように動作するかを定義する。したがって、3GPP EPS内においてだけでなく、3GPP EPSでない他の無線接続技術、すなわち他のアクセスネットワークに移動する場合にも、NASを利用する端末に移動性管理、位置管理及び登録管理を支援する方法などを提供する。
本発明は、移動通信ネットワークで非接続階層(non−Access−Stratum、すなわちネットワーク階層:以下、NASという)プロトコルを利用して端末の移動性、遊休モード(idle mode)管理、登録管理(registration management:Attach、detach管理)、位置管理(location management:tracking area管理)を行う方法に関する。すなわち、本発明は、移動通信システムにおいてNASプロトコル、すなわちNASメッセージを利用して端末の移動性、遊休モード管理、登録管理、位置管理を行うための方法を提供する。本発明の移動通信システムは、端末(以下、UEという)と移動管理者(MME、mobility management entity:以下、MMEという)を含み、端末が動作モード(active mode)からハンドオーバー(handover)する場合、遊休モードで位置管理(location management)を行う場合及び端末がネットワークに登録する場合、3GPPの EPS(Evolved Packet System)のようなネットワークで保安化されたNASメッセージを効率的に使用するための方法を提案する。
本発明の実施態様による移動通信システムにおいて端末の状態情報を処理する方法は、端末が以前キーによって保安化された状態変更要請メッセージを新規MMEに伝送する過程と、上記新規MMEが以前MMEから上記端末の以前キー情報を受信する過程と、上記新規MMEが上記以前キー情報を利用して上記要請メッセージを解釈した後、上記端末に応答メッセージを伝送する過程とを備えることを特徴とする。ここで、上記新規MMEが以前MMEから受信する以前キー情報は、KSIasme及びKasmeなどを含む。
また、上記新規MMEが以前キーを用いた上記要請メッセージの解釈に失敗したとき、新規キーを生成し、上記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、上記端末が上記新規MMEの新規キー情報によって端末の新規キーを生成し、上記新規MMEにNAS保安モード命令に応答する過程とをさらに備えることを特徴とする。
また、上記新規MMEが生成する新規キー情報は、NAS暗号化キーKNASenc及び無欠性キーKNASintなどを含み、上記NAS保安モード命令メッセージは、保安キー識別子(KSI)、端末保安能力(UE security capability)、使用される暗号化アルゴリズム(ciphering algorithm)、使用される無欠性アルゴリズム(integrity algorithm)などを含み、上記端末が生成する新規キー情報は、上記NAS保安モード命令メッセージの保安キー識別子(KSI)によってインデックスされる基本保安キー(KASME)に基づいて生成される暗号化キー(KNASenc)と無欠性キー(KNASint)などを含むことを特徴とする。
また、上記新規MMEが以前キーを用いた上記要請メッセージの解釈に失敗したとき、端末にユーザ認証要請メッセージを伝送し、上記端末が上記ユーザ認証要請に応答する過程をさらに備えることを特徴とする。ここで、上記ユーザ認証要請メッセージは、認証ベクトル(AUTN)と保安キー識別子(KSIASME)を含むことができる。
ここで、上記状態変更要請メッセージは、ハンドオーバー要請メッセージ、TAU要請メッセージまたは登録(解除)要請メッセージのうち1つになることができる。
また、本発明の実施態様による移動通信システムにおいて端末の状態情報を処理する方法は、端末が新規キーによって保安化された状態変更要請メッセージを新規MMEに伝送する過程と、上記新規MMEが端末にユーザ認証要請メッセージを伝送し、上記端末が上記ユーザ認証要請に応答する過程と、上記新規MMEがニューキーを生成し、上記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、上記端末が上記新規MMEの新規キー情報によって端末の新規キーを生成し、上記新規MMEにNAS保安モード命令に応答する過程とを備えることを特徴とする。
また、本発明の実施態様による移動通信システムのハンドオーバー処理方法は、以前MMEが新規MMEに端末の以前キー情報を含むメッセージ(forward relocation request message)を伝送する過程と、端末が上記新規MMEに以前キーによって保安化されたTAU要請メッセージを伝送する過程と、上記新規MMEが上記TAU要請メッセージを以前キーを用いて解釈して処理する過程とを備えることを特徴とする。また、上記新規MMEが上記TAU要請メッセージを以前キーを用いて解釈することに失敗すれば、上記新規MMEが端末にユーザ認証要請メッセージを伝送し、上記端末が上記ユーザ認証要請に応答する過程と、上記新規MMEが新規キーを生成し、上記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、上記端末が上記新規MMEの新規キー情報によって端末の新規キーを生成し、上記新規MMEにNAS保安モード命令に応答する過程と、上記端末が新規キーによって保安化されたTAU要請メッセージを上記新規MMEに伝送し、上記新規MMEが新規キーによって上記メッセージを処理する過程とをさらに備えることを特徴とする。
また、本発明の実施態様による移動通信システムにおいて端末の位置更新を処理する方法は、端末が新規MMEに以前キーによって保安化されたTAU要請メッセージを伝送する過程と、上記新規MMEが上記以前MMEに端末の以前キーに関連した情報を要請し、以前キー情報を受信する過程と、上記新規MMEが上記TAU要請メッセージを上記以前キーを用いて解釈した後、上記端末に上記以前キーによって保安化されたTAU承認メッセージを伝送する過程とを備えることを特徴とする。また、上記新規MMEが上記TAU要請メッセージを以前キーを用いて解釈することに失敗すれば、上記新規MMEが端末にユーザ認証要請メッセージを伝送し、上記端末が上記ユーザ認証要請に応答する過程と、上記新規MMEが新規キーを生成し、上記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、上記端末が上記新規MMEの新規キー情報によって端末の新規キーを生成し、上記新規MMEにNAS保安モード命令に応答する過程と、上記端末が新規キーによって保安化されたTAU要請メッセージを上記新規MMEに伝送し、上記新規MMEが新規キーによって上記メッセージを処理する過程とをさらに備えることを特徴とする。
また、本発明の実施態様による移動通信システムにおいて端末の登録処理を行う方法は、端末が新規MMEに以前キーによって保安化された登録要請メッセージを伝送する過程と、上記新規MMEが上記以前MMEに端末の以前キーに関連した情報を要請し、以前キー情報を受信する過程と、上記新規MMEが上記登録要請メッセージを上記以前キーを用いて解釈した後、上記端末に上記以前キーによって保安化された登録承認メッセージを伝送する過程とを備えることを特徴とする。また、上記新規MMEが上記登録要請メッセージを以前キーを用いて解釈することに失敗すれば、上記新規MMEが端末にユーザ認証要請メッセージを伝送し、上記端末が上記ユーザ認証要請に応答する過程と、上記新規MMEが新規キーを生成し、上記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、上記端末が上記新規MMEの新規キー情報によって端末の新規キーを生成し、上記新規MMEにNAS保安モード命令に応答する過程と、上記端末が新規キーによって保安化された登録要求メッセージを上記新規MMEに伝送し、上記新規MMEが新規キーによって上記メッセージを処理する過程とをさらに備えることを特徴とする。
以上説明したように、本発明は、移動通信ネットワークで非接続階層(non−Access Stratum、すなわちネットワーク階層:以下、NASという)プロトコルを利用して端末の移動性、遊休モード(idle mode)管理、登録管理(registration management:Attach、detach管理)、位置管理(location management:tracking area管理)を行う方法及びシステムに関する。NASプロトコルを利用して端末の移動性、遊休モード管理、登録管理、位置管理を行うための方法は、端末(UE)と移動管理者(MME、mobility management entity:以下、MMEという)を含み、端末が動作モード(active mode)からハンドオーバー(handover)する場合と、遊休モードで位置管理(location management)を行う場合、端末がネットワークに登録する場合において、3GPPのEPS(Evolved Packet System)のようなネットワークで移動性管理メッセージであるEMM(EPS Mobility Management)のうち上記のような役目を行うメッセージを送受信する場合、受信メッセージが保安化されたNASメッセージである場合、保安化されたNASメッセージを効率的に処理するための方法を提示することによって、端末の移動性と位置管理及び登録管理を効率的に行うことができるという利点がある。
本発明の実施例によって移動通信システムにおいてのハンドオーバーを行う構成及び動作を説明するための図である。 本発明の実施例によって移動通信システムにおいてのハンドオーバーを行う構成及び動作を説明するための図である。 本発明の実施例によって移動通信システムにおいての位置管理を行う構成及び動作を説明するための図である。 本発明の実施例によって移動通信システムにおいての位置管理を行う構成及び動作を説明するための図である。 本発明の実施例によって移動通信システムにおいての端末の登録手続を行う構成及び動作を説明するための図である。 本発明の実施例によって移動通信システムにおいての端末の登録手続を行う構成及び動作を説明するための図である。 本発明の実施例によってMMEが移動性管理、位置管理、登録管理などの手続を行う過程を示す流れ図である。 本発明の実施例によってMMEが移動性管理、位置管理、登録管理などの手続を行う過程を示す流れ図である。 本発明の実施例によってMMEが移動性管理、位置管理、登録管理などの手続を行う過程を示す流れ図である。 本発明の実施例によって端末機が移動性管理、位置管理、登録管理などの手続を行う過程を示す流れ図である。
以下、添付の図面を参照して本発明の好ましい実施例に関する動作原理を詳しく説明する。下記で、本発明を説明するにあたって、公知の機能または構成に関する具体的な説明が本発明の要旨を不明瞭にするおそれがあると判断される場合には、その詳細な説明を省略する。なお、後述する用語は、本発明での機能を考慮して定義されたものであって、これは、ユーザ及び運用者の意図または慣例などによって変わることができる。したがって、その定義は、本明細書全般にわたった内容に基づいて行われなければならない。
下記の説明で、“状態変更要求メッセージ”という用語は、handover、TAU(Tracking area update)、attach(detach) request messageなどになることができる。また、“old key”という用語は、端末が連結された以前MME(old MME、serving MME)で使用された保安キー関連情報を意味し、“new key”という用語は、端末が状態変更によって連結される新しいMME(new MME、target MME)で使用する保安キー関連情報を意味する。
また、old MMEで受信される“old key情報”という用語は、端末の保安情報である基本保安キー識別子(KSIASME)と基本保安キー(KASME)を含み、上記基本保安キー(KASME:Key access security management entity)は、NASメッセージの暗号化に使用される暗号化キー(KNASenc)、無欠性保護に使用されるNAS無欠性キー(KNASint)、そして、無線区間AS(Access Stratum)メッセージの保護に使用されるeNodeBキー(KeNB)を生成するのに使用される保安キーなどを含むことができる。
また、“ユーザ認証要請(user authentication request)メッセージ”は、new keyの生成時、new MMEとUE間の認証メッセージであって、認証ベクトルであるAUTN(authenticationtoken)と保安キー識別子(KSIASME)を含むことができる。
また、“NAS保安モード命令(NAS Security mode command)メッセージ”は、new MMEがnew keyを生成した後、UEに伝送するメッセージであって、保安キー識別子(key set index)、端末によって支援される保安アルゴリズムに対する情報である端末保安能力(UE security capability)、使用される暗号化アルゴリズム(ciphering algorithm)と使用される無欠性アルゴリズム(integrity algorithm)などを含むことができる。
本発明は、移動通信システムの端末とMME間のプロトコルであるNASプロトコルを利用して移動システムに移動性管理、位置管理、登録管理を支援する方法を提供する。以下、本発明を具体的に説明するにあたって、3GPPを基盤とするEPSシステムを利用し、本発明は、NASを使用する他の移動通信システムにおいても利用可能である。
本発明の図1に示されるように、図1の実施例は、2つの3GPP EPSネットワークを例に取って説明したが、3GPP EPSからEPSへのハンドオーバーだけでなく、3GPP EPSから3GPP UMTS、3GPP GPRSネットワーク、WiMAX、3GPP2のような他の無線接続技術を使用するネットワーク網に端末が移動する場合にも、NASを利用すれば、変形して利用可能である。したがって、本発明の基本目的であるNASプロトコルを利用して移動性管理、位置管理、登録管理を支援する方法は、同様の技術的背景及びチャネル形態を有する様々な移動通信システムにおいても本発明の範囲を大きく脱しない範囲で適用可能であることが分かる。
図1は、本発明の実施例による移動通信システム環境でのハンドオーバー環境を示すブロック図である。ここでは、一例として、3GPP EPSシステム構造を図示した。
図1を参照すれば、基地局(Evolved Node Base Station:E Node B:以下、eNBという)112は、各々のサービス領域であるセル内に位置する端末(User Equipment:以下、端末あるいはUEという)110と無線接続を設定し、通信を行う。UE110は、サービングゲートウェイ(Serving Gateway:以下、Serving GW、またはSGWという)116を通じてインターネットのようなパケットデータネットワークに接続する端末を称する。本明細書では、パケットデータネットワークの主なネットワーク個体としてパケットデータネットワークゲートウェイ(Packet Data Network Gate Way:以下、PDN GWという)118がホームエージェント(Home Agent:以下、HAという)の役目を行う。
eNB112、132とServing GW116、136との間、MME114、134とServing GW116、136との間には、端末の移動性を管理するためのインターフェースとデータ経路(data path)が存在する。本発明においてUE110とMME114、134は、NASプロトコルスタックをもって互いに通信することによって、移動性管理、位置管理、登録管理、セッション管理を行う。
本発明では、UE110は、NW1 141からNW2 143あるいはその反対方向にハンドオーバーすることができる。一方、本発明において、UE110の移動性管理、位置管理、登録管理のために、MME114とMME134との間にはインターフェースが存在することができるし、eNB112とNB132との間にもインターフェースが存在することができる。
本発明では、UE110の移動性管理、位置管理、セッション管理のために導入した個体であるMME114と端末110間のプロトコルであるNASプロトコルに焦点を置く。すなわち移動性管理と、位置及びセッション管理のために、端末110とMME114との間に導入したNASプロトコルは、EPSシステムになるにつれて、保安性が強化され、位置管理関連機能が変更され、セッション管理機能も変更された。
図2は、図1のような構造を有する移動通信システムにおいて本発明の実施例による移動通信システム環境でMMEとUEの間にNASプロトコルを利用してハンドオーバー機能を行う手続を示す図である。
図1及び図2を参照すれば、ハンドオーバー状況で新しいMME134は、3種の動作が可能であり、3種の場合を見れば、次の通りである。すなわち一実施例は、図2の151段階〜157段階のように動作する場合、すなわちケース2(case 2)の場合であって、新しいMME(new MME)134が以前のMME(old MME)114から受けた保安関連情報を活用する場合である。他の実施例は、ケース1(case 1)であって、図2の151段階〜153段階、171段階〜179段階、181段階、191段階〜193段階の手続を含む例であって、171段階〜173段階の認証手続(authentication procedure)と175段階〜181段階までの保安モード命令(security mode command)手続を含み、新しい保安関連情報を活用してメッセージを解釈する手続を含む。また、さらに他の実施例の場合は、ケース3(case 3)であって、151段階〜153段階、161段階〜163段階、171段階〜181段階を実行する例であって、これは、151段階〜153段階、161段階〜163段階を行った後、163段階で、トラッキングエリア更新(tracking area update:TAU request)メッセージを以前の保安キーを用いて解釈した結果、保安検証に失敗した場合、171段階〜181段階を実行する場合である。
まず、図2を参照してケース2の動作を説明すれば、サービングMME(serving MME;old MME)114は、151段階で伝送再位置要請メッセージ(forward relocation request message)をターゲットMME(target MME;new MME)134に伝送する。この時、上記伝送再位置要請メッセージは、端末の保安関連情報(UE security context)を含む。すると、上記ターゲットMME134は、上記サービングMME114に応答メッセージ(forward relocation response message)を伝送する。その後、上記端末110は、161段階で上記ターゲットMME134にTAU要求メッセージ(TAU(tracking area update)request message)を伝送し、上記TAU要求メッセージは、以前の保安キーによって保護される。この時、上記端末からTAU要求メッセージを受信すれば、上記ターゲットMMEは、163段階で以前の保安キーを使用して受信されたTAU要求メッセージを分析する。
前述したように、図2で、ケース2の場合、サービングMME(すなわちハンドオーバー以前にold MME)114がターゲットMME(すなわちnew MME)134に保安関連情報を含む伝送再位置要請(forward relocation request)メッセージを伝送する。また、端末の保安関連情報を含むことができる。すると、上記new MME134は、old MME114に伝送再位置応答(forward relocation response)メッセージを伝達する。その後、上記UE110で以前の保安キーによって保安化された位置登録メッセージであるトラッキングエリア更新(Tracking Area Update Request:以下、TAU requestという)メッセージがnew MME134に伝送されれば、上記ターゲットMME(target MME)134は、TAU requestメッセージを以前の保安キー(old key)を利用して解釈する。
二番目に、図2を参照してケース1の動作を説明すれば、まず、サービングMME114及びターゲットMME134は、151段階及び153段階を行いながら伝送再位置要求メッセージ伝送及びこれに対する応答メッセージを伝送する。その後、上記ターゲットMME134は、171段階で、上記端末110にユーザ認証要請メッセージ(user authentication request message)を伝送する。上記ユーザ認証要請メッセージは、認証ベクトルであるAUTN(authentication token)と保安キー識別子(KSIASME)を含む。すると、上記端末110は、これに応答して、173段階で、応答メッセージ(user authentication response message)を上記ターゲットMME134に伝送する。また、上記ターゲットMME134は、上記端末の応答によって暗号化キー(KNASenc)と無欠性キー(KNASint)を生成する。
その後、上記ターゲットMME134は、177段階で、保安キー識別子(key set index KSI)、端末によって支援される保安アルゴリズムに対する情報である端末保安能力(UE security capability)、使用される暗号化アルゴリズム(ciphering algorithm)、使用される無欠性アルゴリズム(integrity algorithm)などを含むNAS保安モード命令語(NAS security mode command)を端末110に伝送する。すると、上記端末110は、179段階で、上記保安キー識別子KSIによってインデックスされるキー(KASME)に基づいて暗号化キー(KNASenc)及び無欠性キー(KNASint)を生成する。上記179段階を実行することによって、上記ターゲットMME134と端末110は、同じキー値を共有するようになる。また、上記端末110は、181段階で、ターゲットMMEに保安モード完成(Security mode complete)メッセージを伝送することによって、NAS保安モード命令(security mode command)過程を終了する。
その後、上記端末110は、191段階でターゲットMME134に新しい保安キー、すなわち新しい暗号化キー(KNASenc)または無欠性キー(KNASint)によって保護されるTAU requestメッセージを伝送し、ターゲットMME134は、受信されるTAU要請メッセージを新しいキーによって分析する。
前述したように、図2で、ケース1の場合、old MME114とnew MME134は、各々伝送再位置要請メッセージ及びこれによる応答メッセージを伝送する。その後、new MME134は、ユーザ認証要請(user authentication request)メッセージを端末に伝送し、上記ユーザ認証要請メッセージは、認証ベクトルであるAUTN(authentication token)と保安キー識別子(KSIASME)を含む。また、上記端末110は、上記ユーザ認証要請メッセージの応答メッセージ(user authentication response)を伝送する。すると、新しいMME134は、暗号化キー(KNASenc)と無欠性キー(KNASint)を生成し、NAS保安モード命令(NAS Security mode command)メッセージをUEに伝送する。この時、上記NAS保安モード命令に含まれる情報として、保安キー識別子(key set index)、端末によって支援される保安アルゴリズムに対する情報である端末保安能力(UE security capability)、使用される暗号化アルゴリズム(ciphering algorithm)と使用される無欠性アルゴリズム(integrityal gorithm)などが挙げられる。すると、上記UE110は、上記保安キー識別子(KSI)によってインデックスされるキーKASMEに基づいて暗号化キー(KNASenc)と無欠性キー(KNASint)を生成し、これにより、MME134と端末110は、同じキー値を有するようになる。その後、UE110は、MME134に保安モード完成(Security mode complete)メッセージを伝送することによって、NAS保安モード命令(security mode command)過程を終了し、その後、UE110は、MME134に新しい保安キー、すなわち新しい暗号化キー(KNASenc)または無欠性キー(KNASint)によって保護されるTAU requestメッセージを伝送する。
三番目に、図2を参照すれば、ケース3は、上記ケース1でTAU要請メッセージの保安検証に失敗した場合になることができる。すなわち、上記151段階〜153段階及び161段階を行った後、上記ターゲットMME134が163段階で、以前の保安キーを使用してTAU要請メッセージを分析する過程で保安検証に失敗した場合、上記ターゲットMME134と端末110は、上記ケース2で行われる方法と同様に、上記171段階〜181段階を行いながら新しい保安キーを生成した後、これを共有するNAS保安モード過程(NAS security mode)を行う。その後、上記端末110は、191段階で、ターゲットMME134に新しい保安キー、すなわち新しい暗号化キー(KNASenc)または無欠性キー(KNASint)によって保護されるTAU requestメッセージを伝送し、ターゲットMME134は、受信されるTAU要請メッセージを新しいキーによって分析する。
前述したように、図2で、ケース3の場合、トラッキングエリア更新(tracking area update:TAU request)メッセージを以前の保安キーを用いて解釈した結果、保安検証に失敗した場合、上記new MME134と端末110は、新しい保安キーを生成し、これを共有し、その後、TAU要請メッセージを新しい保安キーによって処理する。
図3は、本発明の好ましい実施例による移動通信システム環境での位置管理環境を示す図である。本発明の実施例では、上記移動通信システムが3GPP EPSの場合を仮定して説明する。
図3を参照すれば、移動通信システムの構成エンティティー及び構成環境は、図1と同様の構造を有する。但し、図3では、位置管理機能に主眼点を置いて説明する。すなわち、図3のような状況は、図1のように、UE110がアクティブモード(active mode)で活性化されている状態ではなく、UE110がパワー消耗のために遊休モード(idle mode)で動作する場合であるか、あるいはアクティブモードからハンドオーバーした後、UEの位置(location)がトラッキングエリア(tracking area:以下、TAという)TA1 241からTA2 243に変更された場合である。このような場合、端末の位置管理が必要である。トラッキングエリアTAは、端末の位置をセル単位のように精緻ではないが、概略的な位置を管理するために使用する概念である。
図4は、図3のような本発明の実施例による移動通信システム環境でMMEの動作を位置管理状況で動作する方法を示す図(procedure)である。位置管理状況で新しいMME234は、3種の動作が可能であり、その3種の場合は、次の通りである。
まず、位置管理状況のケース2(case 2)は、図4の251段階〜259段階を行いながら新しいMME234(new MME)が以前のMME(old MME)から受けた保安関連情報を活用する場合である。二番目に、位置管理状況のケース1(case 1)は、251段階〜257段階、261段階〜269段階、271及び281段階を含む。すなわち、上記ケース1は、261段階〜263段階の認証手続(authentication procedure)と265段階〜271段階の保安モード命令(securitymodecommand)手続を含み、新しい保安関連情報を活用してメッセージを解釈する手続を含む。すなわち、ケース1の場合は、以前MME214から受けた保安以前の保安関連情報(old security context)をもってメッセージを解釈しようとしたが、保安検証などに失敗した場合であって、上記のように、保安検証に失敗すれば、new MME234及びUE210は、261段階〜271段階の認証及び保安手続を行い、新しい保安情報を生成及び共有し、その後、新しい保安情報を利用してメッセージを伝送及び受信したメッセージを解釈する手続を含む。一方、ケース3(case 3)は、251段階〜257段階を行い、メッセージの保安検証に失敗した場合であって、ケース1とは異なって、新しい保安認証手続の必要によって261段階〜271段階の実行中に認証手続あるいは保安手続が失敗すれば、251段階の位置登録要請に対して291段階の位置登録拒絶(reject)メッセージをMME234から端末(UE)210に伝送する場合である。
上記端末の位置管理のための端末とMME動作による3種の場合(case 1、case2、case 3)について具体的な手続を説明すれば、下記の通りである。まず、上記ケース2の動作を説明すれば、端末UE210は、251段階で、TAU requestメッセージを以前の保安キー値によって保安化し、新しいMME(以下、new MMEという)234に伝送する。すると、上記new MME234は、以前MME(以下、old MMEという)214に端末の情報を把握するために情報要請(context reqeust)メッセージを伝達する。すると、old MME214は、257段階で、上記情報要請メッセージに対する情報応答メッセージを生成し、new MME234に伝送する。この時、上記情報応答(context response)メッセージは、端末の保安情報である基本保安キー識別子(KSIASME)と基本保安キー(KASME)を含む。ここで、上記基本保安キー(KASME:Key access security management entity)は、NASメッセージの暗号化に使用される暗号化キー(KNASenc)と無欠性保護に使用されるNAS無欠性キー(KNASint)、そして、無線区間AS(Access Stratum)メッセージの保護に使用されるeNodeBキー(KeNB)を生成するのに使用される。
その後、上記new MME234は、257段階で、old keyを利用して上記251段階でUE210から受信したTAU要請メッセージ(TAU request message)を解釈する。すなわち、上記UE210からnew MME234に伝送された位置登録メッセージであるトラッキングエリア更新(Tracking Area Update Request:TAU request)メッセージが以前の保安キー(すなわち、old key)によって保安化されて伝送されたら、上記new MME234は、257段階で、TAU requestメッセージを以前の保安キーをもって解釈するようになる。ここで、以前の保安キーというのは、UE210と以前MME214との通信に使用したNASメッセージ保安時に使用されるNAS暗号化キー(KNASenc)とNAS無欠性キー(KNASint)を含む。その後、new MME234は、259段階で、位置登録応答メッセージであるトラッキングエリア更新応答(tracking area update accept:TAU accept)メッセージを以前キーによって保安化し、上記UE210に伝送する。
前述したように、端末の位置管理のためのケース2の動作を説明すれば、UE210がold keyによって保安化されたTAU request messageを生成すれば、new MME234は、old MME214にUE110の情報を把握するために、context requestメッセージを伝送する。すると、上記old MME214は、端末の保安情報であるKSIasme及びKasmeを含むcontext responseメッセージを生成し、new MME234に伝送する。すると、上記new MME234は、上記old MME214の情報応答によるold keyを使用して上記UE110のTAU requestメッセージを解釈し、その結果のTAU acceptメッセージをold keyを使用して保安化し、UE110に伝送する。すなわち、new MME234は、old keyによって保安化されたTAU requestメッセージを受信すれば、old MME214にUE210のold key情報を要請し、上記old MME214の情報応答によって上記受信されたTAU requestメッセージを解釈して位置を登録し、その結果のTAU acceptメッセージをold keyによって保安化し、UE210に伝送する。
二番目に、UE110の位置管理のケース1の動作を説明すれば、上記ケース1の動作で251段階〜257段階までの動作は、上記ケース2の動作と同一の方法で進行される。この時、上記257段階で、old keyを使用してTAU requestメッセージの解釈を失敗すれば、上記new MME234は、261段階で、ユーザ認証要請(user authentication request)メッセージをUE210に伝送する。この時、上記ユーザ認証要請メッセージには、認証ベクトルであるAUTN(authentication token)と保安キー識別子(KSIASME)が含まれる。すると、上記UE210は、263段階で、上記ユーザ認証要請メッセージによるユーザ認証応答(user authentication response)メッセージを生成し、new MME234に伝送する。
すると、上記new MME234は、265段階で、新しい保安情報である暗号化キー(KNASenc)と無欠性キー(KNASint)を生成する。その後、上記new MME234は、267段階で、NAS保安モード命令(NAS Security mode command)メッセージをUE210に伝送する。この時、NAS Security mode command messageに含まれる情報としては、保安キー識別子(key set index)、端末によって支援される保安アルゴリズムに対する情報である端末保安能力(UE security capability)、使用される暗号化アルゴリズム(ciphering algorithm)と使用される無欠性アルゴリズム(integrity algorithm)などが挙げられる。すると、上記UE210は、269段階で、保安キー識別子(KSI)によってインデックスされる基本保安キーKASMEに基づいて暗号化キー(KNASenc)と無欠性キー(KNASint)を生成する。したがって、上記269段階を実行することによって、上記new MME234とUE210は、同じ保安キー値を所有するようになる。その後、上記UE210は、271段階で、MMEに保安モード完成(Security mode complete)メッセージを伝送し、NAS保安モード命令(security mode command)過程を終了する。すると、new MME234は、281段階で、UE210に新しい保安キー、すなわち新しい暗号化キー(KNASenc)または無欠性キー(KNASint)によって保護される位置登録応答メッセージであるTAU acceptメッセージを伝送する。
前述したように、上記new MME234がold keyによって保安化されたTAU request messageの解釈に失敗するか、またはold keyを獲得することができない場合、上記new MME234は、新しい保安キー(KNASenc and KNASint)を生成し、UE210にNAS Security mode command messageを伝送し、UE210も新しい保安キー(KNASenc and KNASint)を生成するようにする。したがって、上記NAS Security modeを実行すれば、上記new MME234及びUE210は、同じ保安キーを共有するようになる。
三番目に、UE210の位置管理のケース3の動作を説明すれば、上記ケース3は、251段階〜257段階、261段階〜271段階の過程を実行し、これは、251段階〜257段階を実行した後、257段階でトラッキングエリア更新(tracking area update:TAU request)メッセージを以前の保安キーを用いて解釈した結果、保安検証に失敗した場合、261段階〜217段階を実行する場合である。ここで、上記ケース3は、上記ケース2の場合とは異なって、261段階〜263段階で認証手続に失敗するか、あるいは上記261段階〜263段階の認証過程は成功したが、267段階〜271段階で271段階を実行するSMC(security mode command)過程中に失敗がある場合、UE210とnew MME234が異なる保安キーを所有するようになる。この場合、new MME234は、291段階で、UE210に位置登録更新拒絶(Tracking area update reject)メッセージを伝送する。
前述したように、位置管理動作で、ケース3は、old keyによってTAU要請メッセージを解釈することができない状態で、new MMEとUE間のユーザ認証に失敗するか、NAS保安モードの失敗が発生する場合、new MMEとUEは、異なる保安キーを有する状態になり、この場合、new MMEは、UEにTAU reject messageを伝送する。
図5は、本発明の実施例による移動通信システム環境で端末の登録環境を示す図である。
図5を参照すれば、UE310は、最初にネットワークに接続する場合に登録過程(attach)を実行することができる。一方、UE310は、これ以上EPSネットワークに接続しない場合、登録解除(detach)を行うことができ、あるいはUE310がMME314と長時間通信しないか、あるいはネットワーク運営者(operator)によって登録解除(detach)された場合にも、UE110は、登録過程を実行ことができる。
図6は、図5のような構成を有する移動通信システムにおいて端末の登録及び解除手続を示す流れ図である。
図5及び図6を参照すれば、端末登録状況で新しいMME(new MME)334は、3種の動作が可能であり、その3種の場合(case 1〜case 3)を説明すれば、次の通りである。
まず、ケース2(case 2)は、351段階、361段階〜365段階、371段階を実行することができ、新しいMME(new MME)334が以前のMME(old MME)314から受けた保安関連情報を活用する場合である。二番目に、ケース1(case 1)は、351段階、361段階〜365段階、381段階〜391段階、395段階を実行することができ、381段階〜383段階の認証手続(authentication procedure)と385段階〜391段階までの保安モード命令(security mode command)手続を含み、新しい保安関連情報を活用してメッセージを解釈する手続を含む。上記ケース1は、以前MME314から受けた保安以前の保安関連情報(old security context)をもってメッセージを解釈しようとしたが、保安検証などに失敗した場合であって、381段階〜391段階までの認証及び保安手続を実行して得た新しい保安情報をもってメッセージを伝送し、その後、受信したメッセージを解釈する手続を含む。三番目に、ケース3(case 3)は、351段階、361段階〜365段階の実行後にメッセージの保安検証に失敗した場合であって、上記ケース1とは異なって、新しい保安認証手続の必要によって381段階〜391段階を実行する中に認証手続あるいは保安手続に失敗が発生し、MMEがUEの登録(attach、または解除detach))要請に対して登録拒絶(attach reject)メッセージを端末(UE)310に伝送する場合である。
上記3種の場合に対するその具体的な手続を説明すれば、下記の通りである。
まず、ケース2の動作手続を説明すれば、端末UE310が351段階で以前の保安キー(old key)によって保安化された登録要請(Attach request)メッセージをnew MME334に伝送する。すると、上記new MME334は、361段階で端末の情報を把握するために、old MME314に識別要請(identification reqeust)メッセージを伝達する。old MME314は、713段階で、new MME334に識別応答(identification response)メッセージを伝送する。この時、上記識別応答メッセージには、端末の保安情報である基本保安キー識別子(KSIASME)と基本保安キー(KASME)が含まれることができる。ここで、基本保安キー(KASME:Key access security management entity)は、NASメッセージの暗号化に使用される暗号化キー(KNASenc)と無欠性保護に使用されるNAS無欠性キー(KNASint)、そして無線区間AS(Access Stratum)メッセージの保護に使用されるeNodeBキー(KeNB)を生成するのに使用される。すると、上記new MME334は、365段階で、上記UE310が351段階で伝送したattach requestメッセージをold keyをもって解釈するようになる。ここで、以前の保安キーというのは、UE310と以前MME314との通信に使用したNASメッセージ保安時に使用されるNAS暗号化キー(KNASenc)とNAS無欠性キー(KNASint)を含む。old keyを利用して上記attach request messageを解釈した後、上記new MME334は、371段階で、UE310に接続登録応答メッセージである登録応答(attach accept)メッセージを伝送し、この時、上記登録応答メッセージは、old keyによって保安化される。
二番目に、ケース1の動作を説明すれば、上記ケース1の上記351段階、361段階〜365段階の動作は、上記ケース2の動作と同様に行われる。しかし、上記365段階で、old keyによって保安化されたattach request messageの解釈に失敗した場合、上記new MME334は、381段階で、ユーザ認証要請(user authentication request)メッセージをUE310に伝送する。この時、上記ユーザ認証要請メッセージは、認証ベクトルであるAUTN(authentication token)と保安キー識別子(KSIASME)を含む。すると、UE310は、383段階で、上記ユーザ認証要請メッセージによるユーザ認証応答(user authentication response)メッセージを生成し、new MME334に伝送する。
上記のように、ユーザ認証要請及びこれによる応答によってユーザ認証が行われれば、上記new MME334は、385段階で、暗号化キー(KNASenc)と無欠性キー(KNASint)を生成する。また、上記new MME334は、387段階で、NAS保安モード命令(NAS Security mode command)メッセージをUE310に伝送する。この時、NAS Security mode command messageに含まれる情報としては、保安キー識別子(key set index)、端末によって支援される保安アルゴリズムに対する情報である端末保安能力(UE security capability)、使用される暗号化アルゴリズム(ciphering algorithm)と使用される無欠性アルゴリズム(integrity algorithm)などが挙げられる。すると、上記UE310は、389段階で、保安キー識別子(KSI)によってインデックスされる基本保安キーKASMEに基づいて暗号化キー(KNASenc)と無欠性キー(KNASint)を生成し、上記389段階を実行することによって、上記UE310とnew MME334は、同じキー値を所有するようになる。その後、UE310は、391段階で、new MME334に保安モード完成(Security mode complete)メッセージを伝送し、NAS保安モード命令(security mode command)過程を終了する。また、new MME334は、395段階で、新しい保安キー、すなわち新しい暗号化キー(KNASenc)または無欠性キー(KNASint)によって保護される接続登録応答メッセージであるAttach acceptメッセージをUE310に伝送する。
三番目に、ケース3の動作を説明すれば、上記ケース3は、351段階、361段階〜365段階、381段階〜391段階を実行する場合であって、351段階、361段階〜365段階を実行する中に365段階でnew MME334が接続登録要請(attach request)メッセージを以前の保安キーを用いて解釈した結果、保安検証に失敗した場合、371段階〜391段階を実行する場合である。すなわち、上記case3は、上記ケース2の場合とは異なって、381段階〜383段階を実行する中に認証手続が失敗するか、あるいは上記381段階〜383段階の認証過程は成功したが、367段階〜391段階で実行するSMC(security mode command)過程中に失敗がある場合、UE310とnew MME334は、異なる保安キーを所有するようになる。すると、上記new MME334は、399段階で接続登録拒絶(attach reject)メッセージを上記UE310に伝送する。
上記のように、状態変更メッセージ(ここでは、handover、TAU、attach(detach) request message)の受信時、上記new MMEは、まずoldMMEからold keyを受信し、当該request messageを解釈する方法として説明されている。しかし、上記new MMEは、上記old keyを用いて解釈する手続を省略し、すぐnew keyを生成して処理することもできる。すなわち、上記状態変更メッセージ(ここでは、handover、TAU、attach(detach)request message)の受信時、上記new MMEは、上記old keyによる端末のrequest message解釈手続(図2の場合、151、153、163段階、図4の場合、253、255、257、259段階、図6の場合、361、363、365、371段階)を省略し、new keyを生成し、当該requestメッセージを処理することもできる。
図7〜図9は、本発明の実施例による移動通信システムにおいてMMEの移動性管理、位置管理、登録管理を行う手続を示す流れ図である。また、図10は、本発明の実施例による移動通信システムにおいて端末の移動性管理、位置管理、登録管理を行う手続を示す流れ図である。図7〜図9及び図10は、UEがメッセージを伝送し、MMEがUEから伝送されたメッセージを解釈して動作する過程を主として説明しているが、その動作特性が大きく異ならない限り、反対方向の場合にも適用することが可能である。また、図7〜図9及び図10のようなMME及びUEの動作のために伝送されるべきコンテキスト(context)以外のメッセージの形態は省略する。
図7〜図9を参照すれば、端末とMMEとの間には、上記のような管理を支援するためにNASプロトコルを使用している。このようなNASプロトコルとして、保安化されたNASプロトコル、保安化されないNASプロトコルがあり、EPSNASプロトコルを支援するためにEPS移動性管理Evolved Mobility Management(以下、EMMという)NASメッセージ、EPSセッション管理Evolved Session Management(以下、ESMという)NASメッセージがある。UEから要請メッセージ(handover request、TAU requestまたはattach(detach)request)が発生すれば、MMEは、401段階で要請の種類を分析し、ハンドオーバー、位置管理、登録要請によって異なるように動作する。
まず、上記401段階で、ハンドオーバー要請として判断されれば、ハンドオーバーの場合、上記MMEは、411段階に進行し、ハンドオーバー関連過程を行う。本発明による実施例は、図1のような状況で、UE110が、MME114が管理するNW1 141からMME134が管理するNW2 143に移動した場合を仮定する。この時、上記ハンドオーバーのServing Gatewayまで変更される場合もあり得るが、Serving Gatewayは、変更されず、MMEだけが変更される場合もあり得る。
ハンドオーバーの場合、serving MME(old MME:ここでは、114)は、411段階で、FORWARD RELOCATION REQUEST/RESPONSEなどのメッセージを通じてServing MMEが有しているUEに関する情報をtarget MMEに伝送する。この時、伝送される重要な情報として、保安関連パラメータ、すなわちKSI(key set identifier)、認証パラメータ(authentication parameterあるいは認証ベクトルauthentication vector)、NAS KSI(key set identifier)、NAS暗号化キーKNASencまたは無欠性キーKNASintなどを含む保安Keyなどが使用されることができる。すると、上記ターゲットMMEは、413段階で、UEと新しいユーザ認証及び/または保安モード命令過程を行うべきか否かを検査する。この時、上記ターゲットMMEがUEに新たに認証(authentication)過程や保安モード命令(security mode command:SMC)を実行するようにした場合、認証(authentication)過程や保安モード命令(security mode command)を通じて新しい保安関連パラメータ、すなわちKSI(key set identifier)、認証パラメータ(authentication parameterあるいは認証ベクトルauthentication vector)、NAS KSI(key set identifier)、NAS暗号化キーKNASencまたは無欠性キーKNASintなどを含む保安Keyを有するようになる。
したがって、上記413段階で、認証やSMC過程、NASSMC過程を行う場合、上記ターゲットMMEは、415段階で、UEから新しいNAS KSI(key set identifier)、NAS暗号化キーKNASencまたは無欠性キーKNASintなどを含む保安Keyをもって保安化されたTRACKING AREA UPDATE REQUEST(以下、TAU REQUESTという)NASメッセージを受信する。また、上記TAU request NAS messageを受信すれば、417段階で、MMEは、新しい保安関連パラメータ、すなわちKSI(key set identifier)、認証パラメータ(authentication parameterあるいは認証ベクトルauthentication vector)、NAS KSI(key set identifier)、NAS暗号化キーKNASencまたは無欠性キーKNASintなどを含む保安KeyでTAU REQUESTを解釈するようになる。
413段階で、認証過程やSMC過程、NASSMC過程を経ない場合、上記MMEは、419段階で、UEから以前にMMEとUEが利用した保安パラメータ、すなわち以前の保安関連パラメータ、すなわちOLDKSI(key set identifier)、OLD認証パラメータ(authentication parameterあるいは認証ベクトルauthentication vector)、OLD NAS KSI(key set identifier)、OLD NAS暗号化キーKNASencまたはOLD無欠性キーKNASintなどを含むOLD保安KeyなどをもってUEが生成したTAU REQUESTメッセージを受信する。その後、MMEは、421段階で、MME自分が以前にMMEとUEが利用した以前の保安パラメータ、すなわちOLDKSI(key set identifier)、OLD認証パラメータ(authentication parameterあるいは認証ベクトル(authentication vector)、OLD NAS KSI(key set identifier)、OLD NAS暗号化キーKNASencまたはOLD無欠性キーKNASintなどを含むOLD保安KeyなどをもってTAU REQUESTメッセージを解釈する。
また、上記401段階で、位置管理、すなわちTRACKING AREA UPDATE(以下、TAUという)要請の場合、ターゲットMMEは、431段階で、UEから保安化されたTRACKING AREA UPDATE REQUEST(以下、TAU REQUESTという)を受信する。この時、上記受信されるTAU REQUESTは、以前のServing MMEとUE110が使用した以前の保安関連パラメータ、すなわちOLDKSI(key set identifier)、OLD認証パラメータ(authentication parameterあるいは認証ベクトルauthentication vector)、OLD NAS KSI(key set identifier)、OLD NAS暗号化キーKNASencまたはOLD無欠性キーKNASintなどを含むOLD保安Keyなどをもって生成された。したがって、このような場合、new MMEは、保安関連パラメータをold MMEからCONTEXT RESPONSEメッセージを通じて受けるようになる。この時、new MMEがold MMEから保安パラメータを受信するためには、old MMEと該当する端末を把握しなければならない。すなわち、431段階でnew MMEがTAU REQUESTを受けた時、old MMEと該当する端末を把握するために、最終訪問登録(Last visited registered)トラッキングエリア識別子(tracking area identity:TAI)と端末の識別子である以前の臨時端末識別子(GUTI::globally unique temporary identifier)、すなわちOLD GUTIを把握しなければならないし、最小限このような情報は、無欠性保護されるが、暗号化されないことが要求され、これにより、new MMEがold MMEに保安パラメータ情報を要請することが可能になる。したがって、ターゲットMME(new MME)は、433段階で、old MMEから応答メッセージ(context response message)を通じて保安パラメータ(NAS KSI、認証パラメータ、KSIなど)を受信すれば、435段階で、以前の保安パラメータを利用してTAU REQUESTメッセージを解釈する。
その後、new MMEは、437段階で、認証過程を行うべきか否かを決定する。特に上記435段階で、保安検証に失敗した場合は、new MMEは、439段階の認証過程を実行しなければならない。439段階の認証過程や、NASSMC、SMC過程を実行する場合、上記new MMEは、441段階で、新しい保安パラメータを利用してTAU ACCEPTメッセージをUEに伝送する。しかし、439段階で、認証過程や、NASSMC、あるいはSMC過程を実行しない場合、上記new MMEは、443段階で、以前の保安パラメータを利用して保安化されたTAU ACCEPTメッセージをUEに伝送する。
上記401段階で、登録(attach)要請の場合、new MMEは、461段階で、上記UEから保安化されたATTACH REQUEST NASメッセージを受信する。この時、上記受信されるATTACH REQUESTは、old MMEとUEが使用した以前の保安関連パラメータ、すなわちOLD KSI(key set identifier)、OLD認証パラメータ(authentication parameterあるいは認証ベクトルauthentication vector)、OLD NAS KSI(key set identifier)、OLD NAS暗号化キーKNASencまたはOLD無欠性キーKNASintなどを含むOLD保安Keyなどを利用して生成された。したがって、このような場合、new MMEは、463段階で、自分が当該UE110のための保安パラメータを有しているか否かを判断し、有している場合、new MMEは、469段階で、有している保安パラメータをもってATTAC HREQUESTを解釈する。このように463段階から469段階に進行する場合は、UEが既存にnew MMEに登録したが、何らかの理由で解除(detach)され、上記UE及びMMEが保安関連パラメータを有している場合である。463段階で、new MMEがUE関連保安情報を有していなければ、上記new MMEは、465段階で、old MMEから保安関連パラメータを受信することができるか否かを判断する。この時、上記old MMEから保安パラメータを受信することができなければ、new MMEは、479段階で、メッセージ解釈に失敗し、エラーメッセージをUEに伝送する。これは、UEが後続段階で保安化されないメッセージを伝送するか、保安化されたメッセージを再伝送するようにするためである。
467段階で、new MMEが保安関連パラメータをold MMEからIDENTIFICATION REQPONSEメッセージを通じて受信すれば、new MMEは、469段階で、old MMEから伝送される保安パラメータ情報を利用してATTACH REQUESTメッセージを読み取る。この時、上記new MMEが469段階でold MMEから保安パラメータを受信するためには、上記461段階でnew MMEがATTACH REQUESTを受けた時、old MMEと該当する端末を把握しなければならない。このような情報は、最終訪問登録(Last visited registered)トラッキングエリア識別子(TAI)と端末の識別子である以前の臨時端末識別子(GUTI)、すなわちOLD GUTIを把握しなければならないし、最小限このような情報は、無欠性保護されるが、暗号化されないことが要求され、これにより、new MMEがold MMEに保安パラメータ情報を要請することが可能になる。
その後、new MMEは、471段階から473段階のような認証過程を実行すべきか否かを決定し、特に469段階で保安検証に失敗した場合は、new MMEは、473段階の認証過程を実行しなければならない。上記479段階の認証過程やNASSMC過程、あるいはSMC過程を実行する場合、上記new MMEは、475段階で、新しい保安パラメータを利用してNASメッセージを送受信するようになる。また、473段階で、認証過程や、NAS SMC、あるいはSMC過程を実行しない場合、new MMEは、477段階で、以前の保安パラメータ(OLD)を利用して保安化されたNASメッセージ送受信が可能である。
図10は、本発明の実施例による端末の移動性管理、位置管理、登録管理を支援するための手続を示す流れ図である。このような支援手続は、NAメッセージを生成し、送受信、検証する過程に主眼点を置いて説明する。
図10を参照すれば、端末は、501段階で、端末が使用可能なKSI(key set identifier)、認証パラメータ(authentication parameterあるいは認証ベクトルauthentication vector)、NAS KSI(key set identifier)、NAS暗号化キーKNASencまたは無欠性キーKNASintなどを含む保安Keyを有しているか否かを判断する。ここで、KSIは、端末とMMEとの間に認証過程で使用するキーに対する識別子としての役目を行うものであり、認証パラメータあるいは認証ベクトルは、認証するのに必要な認証パラメータあるいはベクトル値を意味する。また、NAS KSIは、NASメッセージを保安化するために使用されるキーを区別するための識別子であり、Keyは、保安関連キーであって、UE、MMEが有するキーのみならず、UE、MMEがNASメッセージを用いて通信するのに必要なNAS保安関連キー、すなわちNAS暗号化キーKNASencまたは無欠性キーKNASintを使用することができる。ここで、KSIは、NAS KSIと同一である。このようなKSIは、KSIASMEやハンドオーバー状況で使用されるKSISGSN値を示すことができる。すなわち、KSIASME基本保安キー識別子の場合、基本保安キーインKASMEを識別するのに使用され、基本保安キーインKASMEからNAS暗号化キーKNASencまたは無欠性キーKNASintが生成されるので、KSIとNAS KSIは同じである。一方、KSIがKSIASMEではないGERAN/UTRANから3GPP LTE網であるE−UTRANへのハンドオーバー状況で使用されるKSISGSNの場合、暗号化キー(CK:cipher key)、認証キー(IK:integrity key)から生成されたK’ASMEと関連した値であって、すなわち、新しい認証手続の実行あるいはEPS保安コンテキスト(EPS SECURITY CONTEXT)からマッピング(mapping)によって生成されたキーであるK’ASMEと関連した値である。したがって、上記501段階で、このような保安関連値が存在しなければ、特にNAS KSIやNAS関連保安key、すなわちNAS暗号化キーKNASencまたは無欠性キーKNASintが存在しなければ、上記端末は、513段階で、保安化されらないNASメッセージを作成して伝送する。一方、NAS KSIやNAS関連保安keyが存在すれば、上記端末は、503段階で、保安化されたメッセージの伝送可否を決定し、保安化メッセージの伝送を希望しない場合、上記端末は、上記513段階に進行する。
しかし、上記503段階で、保安化されたメッセージを伝送することを希望する場合、上記UEは、505段階で、端末自分が有するKSI(key set identifier)、認証パラメータ(authentication parameterあるいは認証ベクトルauthentication vector)、NAS KSI(key set identifier)、保安Keyなどを利用してNASメッセージを生成し、生成されたメッセージを伝送する。その後、上記UEは、507段階で、MMEから新しい保安関連パラメータを受信する。ここで、上記保安関連パラメータは、KSI、認証パラメータ、NAS KSI、NAS暗号化キーKNASencまたは無欠性キーKNASintなどを含む保安Keyなどを使用することができる。また、上記のような保安関連パラメータは、上記MMEから認証過程や保安モード命令(security mode command)などを通じて受けることができる。上記507段階の実行後、上記端末は、509段階で、受信される新しい保安関連パラメータ、すなわちKSI、認証パラメータ、NAS KSI、NAS暗号化キーKNASencまたは無欠性キーKNASintなどを含む保安Keyなどを検証する過程を行う。また、上記検証過程の実行後、上記端末は、511段階で、新しい保安関連パラメータをもってメッセージを生成して伝送するようになる。
なお、本発明の詳細な説明では、具体的な実施例について説明したが、本発明の範囲から脱しない限度内でさまざまな変形が可能であることは勿論である。したがって、本発明の範囲は、説明された実施例に限定されず、後述する特許請求範囲だけでなく、この特許請求範囲と均等なものなどによって定められるべきである。
110,210 ユーザ端末
112,132,212,232 基地局
114,134,214,234 移動管理局
116,136,216,236 サービングゲートウェイ
118,218 パケットデータネットワークゲートウェイ
141,143 ネットワーク
214,243 トラッキングエリア

Claims (16)

  1. 移動通信システムにおいて端末の状態情報を処理する方法であって、
    端末が以前キーによって保安化された状態変更要請メッセージを新規MMEに伝送する過程と、
    前記新規MMEが以前MMEから前記端末の以前キー情報を受信する過程と、
    前記新規MMEが前記以前キー情報を利用して前記要請メッセージを解釈した後、前記端末に応答メッセージを伝送する過程と
    を備えることを特徴とする方法。
  2. 前記新規MMEが以前MMEから受信する以前キー情報は、KSIasme及びKasmeを含むことを特徴とする請求項1に記載の方法。
  3. 前記新規MMEが以前キーを用いた前記要請メッセージの解釈に失敗したとき、
    新規キーを生成し、前記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、
    前記端末が前記新規MMEの新規キー情報によって端末の新規キーを生成し、前記新規MMEにNAS保安モード命令に応答する過程と
    を備えることを特徴とする請求項1に記載の方法。
  4. 前記新規MMEが生成する新規キー情報は、NAS暗号化キーKNASenc及び無欠性キーKNASintを含み、
    前記NAS保安モード命令メッセージは、保安キー識別子(KSI)、端末保安能力(UE security capability)、使用される暗号化アルゴリズム(ciphering algorithm)、使用される無欠性アルゴリズム(integrity algorithm)を含み、
    前記端末が生成する新規キー情報は、前記NAS保安モード命令メッセージの保安キー識別子(KSI)によってインデックスされる基本保安キー(KASME)に基づいて生成される暗号化キー(KNASenc)と無欠性キー(KNASint)を含むことを特徴とする請求項3に記載の方法。
  5. 前記新規MMEが以前キーを用いた前記要請メッセージの解釈に失敗したとき、端末にユーザ認証要請メッセージを伝送し、前記端末が前記ユーザ認証要請に応答する過程をさらに備えることを特徴とする請求項3に記載の方法。
  6. 前記ユーザ認証要請メッセージは、認証ベクトル(AUTN)と保安キー識別子(KSIASME)を含むことを特徴とする請求項5に記載の方法。
  7. 前記状態変更要請メッセージは、ハンドオーバー要請メッセージ、TAU要請メッセージまたは登録(解除)要請メッセージのうち1つであることを特徴とする請求項1、3、5のいずれか1項に記載の方法。
  8. 移動通信システムにおいて端末の状態情報を処理する方法であって、
    端末が新規キーによって保安化された状態変更要請メッセージを新規MMEに伝送する過程と、
    前記新規MMEが端末にユーザ認証要請メッセージを伝送し、前記端末が前記ユーザ認証要請に応答する過程と、
    前記新規MMEが新規キーを生成し、前記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、
    前記端末が前記新規MMEの新規キー情報によって端末の新規キーを生成し、前記新規MMEにNAS保安モード命令に応答する過程と、
    を備えることを特徴とする方法。
  9. 前記新規MMEが生成する新規キー情報は、NAS暗号化キーKNASenc及び無欠性キーKNASintを含み、
    前記NAS保安モード命令メッセージは、保安キー識別子(KSI)、端末保安能力(UE security capability)、使用される暗号化アルゴリズム(ciphering algorithm)、使用される無欠性アルゴリズム(integrity algorithm)を含み、
    前記端末が生成する新規キー情報は、前記NAS保安モード命令メッセージの保安キー識別子(KSI)によってインデックスされる基本保安キー(KASME)に基づいて生成される暗号化キー(KNASenc)と無欠性キー(KNASint)を含むことを特徴とする請求項8に記載の方法。
  10. 前記ユーザ認証要請メッセージは、認証ベクトル(AUTN)と保安キー識別子(KSIASME)を含むことを特徴とする請求項9に記載の方法。
  11. 移動通信システムのハンドオーバー処理方法において、
    以前MMEが新規MMEに端末の以前キー情報を含むメッセージ(forward relocation request message)を伝送する過程と、
    端末が前記新規MMEに以前キーによって保安化されたTAU要請メッセージを伝送する過程と、
    前記新規MMEが前記TAU要請メッセージを以前キーを用いて解釈して処理する過程と、
    を備えることを特徴とする方法。
  12. 前記新規MMEが前記TAU要請メッセージを以前キーを用いて解釈することに失敗したとき、
    前記新規MMEが端末にユーザ認証要請メッセージを伝送し、前記端末が前記ユーザ認証要請に応答する過程と、
    前記新規MMEが新規キーを生成し、前記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、
    前記端末が前記新規MMEの新規キー情報によって端末の新規キーを生成し、前記新規MMEにNAS保安モード命令に応答する過程と、
    前記端末が新規キーによって保安化されたTAU要請メッセージを前記新規MMEに伝送し、前記新規MMEが新規キーによって前記メッセージを処理する過程と、
    をさらに備えることを特徴とする請求項11に記載の方法。
  13. 移動通信システムにおいて端末の位置更新を処理する方法であって、
    端末が新規MMEに以前キーによって保安化されたTAU要請メッセージを伝送する過程と、
    前記新規MMEが前記以前MMEに端末の以前キーに関連した情報を要請し、以前キー情報を受信する過程と、
    前記新規MMEが前記TAU要請メッセージを前記以前キーを用いて解釈した後、前記端末に前記以前キーによって保安化されたTAU承認メッセージを伝送する過程と、
    を備えることを特徴とする方法。
  14. 前記新規MMEが前記TAU要請メッセージを以前キーを用いて解釈することに失敗したとき、
    前記新規MMEが端末にユーザ認証要請メッセージを伝送し、前記端末が前記ユーザ認証要請に応答する過程と、
    前記新規MMEが新規キーを生成し、前記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、
    前記端末が前記新規MMEの新規キー情報によって端末の新規キーを生成し、前記新規MMEにNAS保安モード命令に応答する過程と、
    前記端末が新規キーによって保安化されたTAU要請メッセージを前記新規MMEに伝送し、前記新規MMEが新規キーによって前記メッセージを処理する過程と、
    をさらに備えることを特徴とする請求項13に記載の方法。
  15. 移動通信システムにおいて端末の登録処理を行う方法であって、
    端末が新規MMEに以前キーによって保安化された登録要請メッセージを伝送する過程と、
    前記新規MMEが前記以前MMEに端末の以前キーに関連した情報を要請し、以前キー情報を受信する過程と、
    前記新規MMEが前記登録要請メッセージを前記以前キーを用いて解釈した後、前記端末に前記以前キーによって保安化された登録承認メッセージを伝送する過程と、
    を備えることを特徴とする方法。
  16. 前記新規MMEが前記登録要請メッセージを以前キーを用いて解釈することに失敗したとき、
    前記新規MMEが端末にユーザ認証要請メッセージを伝送し、前記端末が前記ユーザ認証要請に応答する過程と、
    前記新規MMEが新規キーを生成し、前記生成された新規キー情報を含むNAS保安モード命令メッセージを端末に伝送する過程と、
    前記端末が前記新規MMEの新規キー情報によって端末の新規キーを生成し、前記新規MMEにNAS保安モード命令に応答する過程と、
    前記端末が新規キーによって保安化された登録要求メッセージを前記新規MMEに伝送し、前記新規MMEが新規キーによって前記メッセージを処理する過程と、
    をさらに備えることを特徴とする請求項15に記載の方法。
JP2011522916A 2008-08-15 2009-08-14 移動通信システムの保安化された非接続階層プロトコル処理方法 Active JP5390611B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR10-2008-0080205 2008-08-15
KR20080080205 2008-08-15
PCT/KR2009/004570 WO2010019020A2 (ko) 2008-08-15 2009-08-14 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법

Publications (2)

Publication Number Publication Date
JP2012500511A true JP2012500511A (ja) 2012-01-05
JP5390611B2 JP5390611B2 (ja) 2014-01-15

Family

ID=41669507

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011522916A Active JP5390611B2 (ja) 2008-08-15 2009-08-14 移動通信システムの保安化された非接続階層プロトコル処理方法

Country Status (6)

Country Link
US (1) US8638936B2 (ja)
EP (2) EP2315371A4 (ja)
JP (1) JP5390611B2 (ja)
KR (1) KR101579757B1 (ja)
CN (1) CN102187599B (ja)
WO (1) WO2010019020A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018505620A (ja) * 2015-02-13 2018-02-22 日本電気株式会社 ネットワークシステム、mme、方法
JP2020036346A (ja) * 2014-05-30 2020-03-05 日本電気株式会社 Ue及び方法
JP2020519171A (ja) * 2017-05-04 2020-06-25 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 鍵取得方法およびデバイス、ならびに通信システム
JP2021503747A (ja) * 2017-11-17 2021-02-12 中興通訊股▲ふん▼有限公司Zte Corporation カップリングリダイレクト方法および装置

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2443869B1 (en) 2009-06-16 2014-08-27 BlackBerry Limited Method for accessing a service unavailable through a network cell
CA2765535C (en) 2009-06-16 2015-10-13 Research In Motion Limited Method for accessing a service unavailable through a network cell
EP3687220B1 (en) 2009-06-16 2021-10-27 BlackBerry Limited Method and apparatus for circuit switched fallback
DE102009029828B4 (de) * 2009-06-18 2011-09-01 Gigaset Communications Gmbh DEFAULT Verschlüsselung
CN102948112B (zh) 2010-05-04 2016-03-23 高通股份有限公司 创建或更新共享电路交换安全性上下文的方法及装置
WO2011152665A2 (en) * 2010-06-01 2011-12-08 Samsung Electronics Co., Ltd. Method and system of securing group communication in a machine-to-machine communication environment
JP4892084B2 (ja) * 2010-06-16 2012-03-07 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法
KR101737425B1 (ko) * 2010-06-21 2017-05-18 삼성전자주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
KR101712865B1 (ko) * 2010-09-09 2017-03-08 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치
US8929334B2 (en) 2010-11-16 2015-01-06 Qualcomm Incorporated Systems and methods for non-optimized handoff
US8743828B2 (en) 2010-11-16 2014-06-03 Qualcomm Incorporated Systems and methods for non-optimized handoff
CN102340754B (zh) * 2011-09-23 2014-07-23 电信科学技术研究院 数据发送和接收方法及设备
CN102572816B (zh) * 2011-12-27 2014-08-06 电信科学技术研究院 一种移动切换的方法及装置
KR102123210B1 (ko) * 2013-01-10 2020-06-15 닛본 덴끼 가부시끼가이샤 Ue 및 네트워크 양자에서의 키 도출을 위한 mtc 키 관리
US11570161B2 (en) * 2013-07-31 2023-01-31 Nec Corporation Devices and method for MTC group key management
CN104581652B (zh) 2013-10-15 2018-12-07 华为技术有限公司 消息处理方法、选择mme的方法和装置
JP6302138B2 (ja) * 2014-05-08 2018-03-28 インターデイジタル パテント ホールディングス インコーポレイテッド Ueを専用コアネットワークノードにリダイレクトするための方法、およびモビリティ管理エンティティ、mme
KR102102858B1 (ko) * 2014-05-13 2020-04-23 주식회사 케이티 Lte망으로 천이시 인증 과정을 간소화한 시스템
CN105578456B (zh) * 2014-10-14 2019-01-25 成都鼎桥通信技术有限公司 Td-lte集群通信系统的端到端加密方法、设备及系统
US9693219B2 (en) 2014-10-24 2017-06-27 Ibasis, Inc. User profile conversion to support roaming
US9585013B2 (en) * 2014-10-29 2017-02-28 Alcatel Lucent Generation of multiple shared keys by user equipment and base station using key expansion multiplier
US10554408B2 (en) * 2015-02-16 2020-02-04 Nec Corporation Communication system, node device, communication terminal, key management method, and non-transitory computer-readable medium in which program is stored
US9686675B2 (en) * 2015-03-30 2017-06-20 Netscout Systems Texas, Llc Systems, methods and devices for deriving subscriber and device identifiers in a communication network
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
EP3479614B1 (en) * 2016-07-01 2024-10-16 Nokia Technologies Oy Secure communications
US20170013651A1 (en) * 2016-09-22 2017-01-12 Mediatek Singapore Pte. Ltd. NAS Security And Handling Of Multiple Initial NAS Messages
JP6763435B2 (ja) * 2016-10-26 2020-09-30 日本電気株式会社 ソースコアネットワークのノード、端末、及び方法
EP3571807B1 (en) 2017-01-27 2021-09-22 Samsung Electronics Co., Ltd. Method for providing end-to-end security over signaling plane in mission critical data communication system
CN109644340B (zh) 2017-01-30 2022-09-13 瑞典爱立信有限公司 空闲模式期间5g中的安全性上下文处理的方法和装置
CN108924841B (zh) * 2017-03-20 2021-11-19 中国移动通信有限公司研究院 安全保护方法、装置、移动终端、基站和mme设备
US11937079B2 (en) * 2017-09-27 2024-03-19 Nec Corporation Communication terminal, core network device, core network node, network node, and key deriving method
CN109586913B (zh) * 2017-09-28 2022-04-01 中国移动通信有限公司研究院 安全认证方法、安全认证装置、通信设备及存储介质
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
CN110099382B (zh) * 2018-01-30 2020-12-18 华为技术有限公司 一种消息保护方法及装置
KR102405412B1 (ko) * 2018-04-06 2022-06-07 삼성전자주식회사 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법
KR102425582B1 (ko) * 2018-05-11 2022-07-26 삼성전자주식회사 무선통신 시스템에서 정보 보호 방법 및 장치
KR102449988B1 (ko) * 2018-06-29 2022-10-05 삼성전자주식회사 무선 통신 시스템에서 통신 방법 및 장치
KR20250029983A (ko) * 2018-09-24 2025-03-05 노키아 테크놀로지스 오와이 Nas 메시지의 보안 보호를 위한 시스템 및 방법
ES3035266T3 (en) 2018-10-04 2025-09-01 Nokia Technologies Oy Method and apparatus for security context handling during inter-system change
EP4021074A4 (en) * 2019-09-25 2022-10-05 Samsung Electronics Co., Ltd. METHOD AND DEVICE FOR PERFORMING COMMUNICATION IN A WIRELESS COMMUNICATION SYSTEM
CN110933669A (zh) * 2019-11-21 2020-03-27 北京长焜科技有限公司 一种跨rat用户的快速注册的方法
CN114762372B (zh) * 2019-12-13 2024-08-27 华为技术有限公司 通信方法、装置及系统
US11882443B2 (en) * 2020-04-07 2024-01-23 Apple Inc. Tracking area identifier (TAI) change during authentication request processing
KR102279293B1 (ko) 2020-08-07 2021-07-20 한국인터넷진흥원 비암호화 채널 탐지 방법 및 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007114623A1 (en) * 2006-03-31 2007-10-11 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers
JP2008061276A (ja) * 2000-11-28 2008-03-13 Nokia Corp ハンドオーバー後の暗号化通信を確実にするシステム
WO2008055169A2 (en) * 2006-10-31 2008-05-08 Qualcomm Incorporated Inter-enode b handover procedure

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990004237A (ko) 1997-06-27 1999-01-15 김영환 비동기 전송 모드망에서의 데이터 암호화/복호화 장치 및 방법
WO2006022469A1 (en) * 2004-08-25 2006-03-02 Electronics And Telecommunications Research Institute Method for security association negociation with extensible authentication protocol in wireless portable internet system
KR20080096562A (ko) * 2006-01-31 2008-10-30 인터디지탈 테크날러지 코포레이션 무선 송수신 유닛이 유휴 상태인 동안에 셀 갱신 절차 및 라우팅 영역 갱신 절차를 수행하는 방법 및 시스템
KR101076415B1 (ko) * 2006-06-16 2011-10-25 노키아 코포레이션 인터시스템 핸드오버의 경우에 단말에 대해 pdp 콘텍스트 정보를 전달하기 위한 장치 및 방법
GB0619409D0 (en) * 2006-10-02 2006-11-08 Vodafone Plc Telecommunications networks
EP1914930A1 (en) * 2006-10-17 2008-04-23 Matsushita Electric Industrial Co., Ltd. User plane entity selection in a mobile communication system having overlapping pool areas
FI20075297A0 (fi) * 2007-04-27 2007-04-27 Nokia Siemens Networks Oy Menetelmä, radiojärjestelmä ja tukiasema

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008061276A (ja) * 2000-11-28 2008-03-13 Nokia Corp ハンドオーバー後の暗号化通信を確実にするシステム
WO2007114623A1 (en) * 2006-03-31 2007-10-11 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers
WO2008055169A2 (en) * 2006-10-31 2008-05-08 Qualcomm Incorporated Inter-enode b handover procedure

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020036346A (ja) * 2014-05-30 2020-03-05 日本電気株式会社 Ue及び方法
JP7014212B2 (ja) 2014-05-30 2022-02-01 日本電気株式会社 Ue及び方法
US11477726B2 (en) 2014-05-30 2022-10-18 Nec Corporation Apparatus, system and method for dedicated core network
JP2018505620A (ja) * 2015-02-13 2018-02-22 日本電気株式会社 ネットワークシステム、mme、方法
JP2020519171A (ja) * 2017-05-04 2020-06-25 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 鍵取得方法およびデバイス、ならびに通信システム
JP6996824B2 (ja) 2017-05-04 2022-01-17 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 鍵取得方法およびデバイス、ならびに通信システム
US11582602B2 (en) 2017-05-04 2023-02-14 Huawei Technologies Co., Ltd. Key obtaining method and device, and communications system
JP2021503747A (ja) * 2017-11-17 2021-02-12 中興通訊股▲ふん▼有限公司Zte Corporation カップリングリダイレクト方法および装置
JP7149328B2 (ja) 2017-11-17 2022-10-06 中興通訊股▲ふん▼有限公司 カップリングリダイレクト方法および装置
US11758456B2 (en) 2017-11-17 2023-09-12 Zte Corporation Association redirection method and device

Also Published As

Publication number Publication date
JP5390611B2 (ja) 2014-01-15
US20110142239A1 (en) 2011-06-16
WO2010019020A3 (ko) 2010-07-22
EP2315371A2 (en) 2011-04-27
KR20100021385A (ko) 2010-02-24
CN102187599A (zh) 2011-09-14
WO2010019020A9 (ko) 2010-09-10
EP3554113A1 (en) 2019-10-16
KR101579757B1 (ko) 2015-12-24
CN102187599B (zh) 2015-04-01
EP2315371A4 (en) 2015-10-14
WO2010019020A2 (ko) 2010-02-18
US8638936B2 (en) 2014-01-28

Similar Documents

Publication Publication Date Title
JP5390611B2 (ja) 移動通信システムの保安化された非接続階層プロトコル処理方法
US10321309B2 (en) Apparatuses and methods for wireless communication
CN110945892B (zh) 安全实现方法、相关装置以及系统
CN102724664B (zh) 网络监视方法、系统以及用于控制监视系统的设备
EP2584802B1 (en) Methods and apparatuses for security control in a mobile communication system supporting emergency calls
EP2293515B1 (en) Method, network element, and mobile station for negotiating encryption algorithms
US9071962B2 (en) Evolved packet system non access stratum deciphering using real-time LTE monitoring
CN101828343B (zh) 用于异构无线接入网间切换的方法
TWI717383B (zh) 用於網路切分的金鑰層級
KR101395416B1 (ko) 다중기술 인터워킹에서의 사전등록 보안 지원
JP2025515724A (ja) 通信ネットワークに参加する方法
WO2010130132A1 (zh) 一种会聚式wlan中由无线终端点完成wpi时的站点切换方法及系统
CN103037369B (zh) 本地网协接入网络元件与终端设备的认证方法与装置
WO2024145946A1 (en) Apparatus, method, and computer program
Zheng et al. Handover keying and its uses
CN102970678A (zh) 加密算法协商方法、网元及移动台
Haddar et al. Securing fast pmipv6 protocol in case of vertical handover in 5g network
Liu et al. The untrusted handover security of the S-PMIPv6 on LTE-A
Vintilă et al. An analysis of secure interoperation of EPC and mobile equipments

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120601

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130521

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130821

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131010

R150 Certificate of patent or registration of utility model

Ref document number: 5390611

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250