知財求人 - 知財ポータルサイト「IP Force」
特許5774096エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5774096
(24)【登録日】2015年7月10日
(45)【発行日】2015年9月2日
(54)【発明の名称】エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム
(51)【国際特許分類】
H04W 12/04 20090101AFI20150813BHJP
H04W 36/10 20090101ALI20150813BHJP
【FI】
H04W12/04
H04W36/10
【請求項の数】24
【全頁数】26
(21)【出願番号】特願2013-513528(P2013-513528)
(86)(22)【出願日】2011年3月9日
(65)【公表番号】特表2013-531939(P2013-531939A)
(43)【公表日】2013年8月8日
(86)【国際出願番号】CN2011071628
(87)【国際公開番号】WO2011153852
(87)【国際公開日】20111215
【審査請求日】2014年2月12日
(31)【優先権主張番号】201010200885.1
(32)【優先日】2010年6月7日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】509024525
【氏名又は名称】ゼットティーイー コーポレーション
【氏名又は名称原語表記】ZTE CORPORATION
(74)【代理人】
【識別番号】110000925
【氏名又は名称】特許業務法人信友国際特許事務所
(72)【発明者】
【氏名】フェン チェンイエン
(72)【発明者】
【氏名】ガン ルー
【審査官】
倉本 敦史
(56)【参考文献】
【文献】
ZTE Corporation, Huawei, HiSilicon,IWK with GERAN/E-UTRAN for simplified forward security based solution,3GPP TSG-SA3 SA3#62, S3-110069,2011年 1月28日
【文献】
3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on the Introduction of Key Hierarchy in UTRAN(Release 10),3GPP TR 33.859 V1.0.0,2010年12月,pp.18-49
【文献】
ZTE Corporation,Key Change during SRNS Relocation,3GPP TSG-SA3 SA3#59, S3-100515,2010年 4月30日
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00−99/00
3GPP TSG RAN WG1−4
SA WG1−3
CT WG1
(57)【特許請求の範囲】
【請求項1】
コアネットワークノードがターゲット無線ネットワークコントローラRNCの移転完了指示メッセージを受信し、前記移転完了指示メッセージがユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いられるステップと、
コアネットワークノードが保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出するステップと、
コアネットワークノードが前記ネクストホップ拡張キーを前記ターゲットRNCに送信するステップと、
を含むエアインターフェースキーの更新方法。
コアネットワークノードが保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出するステップと、
コアネットワークノードが前記ネクストホップ拡張キーを前記ターゲットRNCに送信するステップと、
を含むエアインターフェースキーの更新方法。
【請求項2】
前記伝統的なキーは伝統的な完全性キーIK及び/又は伝統的な暗号化キーCKを含み、前記拡張キーは拡張完全性キーIKU及び/又は拡張暗号化キーCKUを含む請求項1に記載の方法。
【請求項3】
前記コアネットワークノードにネクストホップカウンターネットワークNCCを設置し、前記コアネットワークノードがネクストホップ拡張キーを算出する回数を数える、請求項2に記載の方法。
【請求項4】
前記コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信するステップの前に、更に、
前記ソースRNCが前記コアネットワークノードに移転需要メッセージを送信し、前記移転需要メッセージがソースRNCのネクストホップCKU及び/又はIKUを含むことと、
前記コアネットワークノードが前記移転需要メッセージを受信し、前記ターゲットRNCに移転要請メッセージを送信し、前記移転要請メッセージが前記ソースRNCが送信したネクストホップCKU及び/又はIKUを含む請求項3に記載の方法。
前記ソースRNCが前記コアネットワークノードに移転需要メッセージを送信し、前記移転需要メッセージがソースRNCのネクストホップCKU及び/又はIKUを含むことと、
前記コアネットワークノードが前記移転需要メッセージを受信し、前記ターゲットRNCに移転要請メッセージを送信し、前記移転要請メッセージが前記ソースRNCが送信したネクストホップCKU及び/又はIKUを含む請求項3に記載の方法。
【請求項5】
前記移転需要メッセージと移転要請メッセージは、いずれも前記ネットワークNCCの指示した情報をさらに含む請求項4に記載の方法。
【請求項6】
前記ソースRNCが前記コアネットワークノードに移転需要メッセージを送信するステップは、
前記ソースRNCが前記ネクストホップIKUを前記移転需要メッセージのIKフィールドに置き、及び/又は前記ネクストホップCKUを前記移転需要メッセージのCKフィールドに置き、前記コアネットワークノードに送信することを含み、
前記コアネットワークノードが前記ターゲットRNCに移転要請メッセージを送信するステップは、
前記コアネットワークノードが前記ソースRNCが送信したネクストホップIKUを前記移転要請メッセージのIKフィールドに置き、及び/又は前記ソースRNCが送信したネクストホップCKUを前記移転要請メッセージのCKフィールドに置き、前記ターゲットRNCに送信することを含む請求項4に記載の方法。
前記ソースRNCが前記ネクストホップIKUを前記移転需要メッセージのIKフィールドに置き、及び/又は前記ネクストホップCKUを前記移転需要メッセージのCKフィールドに置き、前記コアネットワークノードに送信することを含み、
前記コアネットワークノードが前記ターゲットRNCに移転要請メッセージを送信するステップは、
前記コアネットワークノードが前記ソースRNCが送信したネクストホップIKUを前記移転要請メッセージのIKフィールドに置き、及び/又は前記ソースRNCが送信したネクストホップCKUを前記移転要請メッセージのCKフィールドに置き、前記ターゲットRNCに送信することを含む請求項4に記載の方法。
【請求項7】
前記コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信するステップの前に、更に、
前記ソースRNCが前記ターゲットRNCに拡張した移転要請メッセージを送信し、前記拡張した移転要請メッセージが前記ソースRNCのネクストホップCKU及び/又はIKUを含む請求項3に記載の方法。
前記ソースRNCが前記ターゲットRNCに拡張した移転要請メッセージを送信し、前記拡張した移転要請メッセージが前記ソースRNCのネクストホップCKU及び/又はIKUを含む請求項3に記載の方法。
【請求項8】
前記ソースRNCが前記ターゲットRNCに拡張した移転要請メッセージを送信するステップは、
前記ソースRNCが前記ネクストホップIKUを前記拡張した移転要請メッセージのIKフィールドに置き、及び/又は前記ネクストホップCKUを前記拡張した移転要請メッセージのCKフィールドに置き、前記ターゲットRNCに送信すること、を含む請求項7に記載の方法。
前記ソースRNCが前記ネクストホップIKUを前記拡張した移転要請メッセージのIKフィールドに置き、及び/又は前記ネクストホップCKUを前記拡張した移転要請メッセージのCKフィールドに置き、前記ターゲットRNCに送信すること、を含む請求項7に記載の方法。
【請求項9】
前記コアネットワークノードが前記ターゲットRNCに移転要請メッセージを送信するステップの後に、更に、
前記ターゲットRNCが拡張した安全モードを支援しないと、前記移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることと、
前記ターゲットRNCが拡張した安全モードを支援すると、前記移転要請メッセージのCKフィールドの内容をCKUとし、IKフィールドの内容をIKUとして用いることと、を含む請求項6に記載の方法。
前記ターゲットRNCが拡張した安全モードを支援しないと、前記移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることと、
前記ターゲットRNCが拡張した安全モードを支援すると、前記移転要請メッセージのCKフィールドの内容をCKUとし、IKフィールドの内容をIKUとして用いることと、を含む請求項6に記載の方法。
【請求項10】
前記コアネットワークノードが前記ターゲットRNCに移転要請メッセージを送信するステップの後に、更に、
前記コアネットワークノードが前記ターゲットRNCの移転要請確認メッセージを受信し、そして前記ソースRNCに移転コマンドメッセージを送信し、前記移転コマンドメッセージが前記ネットワークNCCが指示した情報を含むことと、
前記ソースRNCが前記移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信し、前記移転メッセージが前記ネットワークNCCが指示した情報を含む請求項4に記載の方法。
前記コアネットワークノードが前記ターゲットRNCの移転要請確認メッセージを受信し、そして前記ソースRNCに移転コマンドメッセージを送信し、前記移転コマンドメッセージが前記ネットワークNCCが指示した情報を含むことと、
前記ソースRNCが前記移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信し、前記移転メッセージが前記ネットワークNCCが指示した情報を含む請求項4に記載の方法。
【請求項11】
前記ソースRNCが前記移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信するステップの後に、更に、
前記UEが前記移転メッセージを受信し、現在アクティブにした拡張キーに対応するネクストホップカウンター端末NCCが前記ネットワークNCCに等しいかを判断することと、
はいであると、前記UEが前記端末NCCに対応する予め保存した前記IKU及び/又はCKUを用いることと、
いいえであると、前記UEが前記IKU及び/又はCKUを算出し、そして前記端末NCCが前記ネットワークNCCに等しくなるまで、対応する前記端末NCCを逓増することと、を含む請求項10に記載の方法。
前記UEが前記移転メッセージを受信し、現在アクティブにした拡張キーに対応するネクストホップカウンター端末NCCが前記ネットワークNCCに等しいかを判断することと、
はいであると、前記UEが前記端末NCCに対応する予め保存した前記IKU及び/又はCKUを用いることと、
いいえであると、前記UEが前記IKU及び/又はCKUを算出し、そして前記端末NCCが前記ネットワークNCCに等しくなるまで、対応する前記端末NCCを逓増することと、を含む請求項10に記載の方法。
【請求項12】
前記方法は更に、
ユーザ設備UEがネットワークに初回付着し、又は前記UEがアイドルモードから接続モードに転換し、又は前記UEが発展型汎用陸地無線アクセスネットワークE−UTRAN又はグローバル移動通信システムGSMネットワークから汎用陸地無線アクセスネットワークUTRANまでに移動し、又は前記UEが伝統的なUTRANから拡張したUTRANに移動する場合に、前記コアネットワークノードが保存した伝統的なキーに応じて現在の拡張キーを算出することと、
前記コアネットワークノードが前記現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーをサービスRNCに送信することと、を含む請求項1に記載の方法。
ユーザ設備UEがネットワークに初回付着し、又は前記UEがアイドルモードから接続モードに転換し、又は前記UEが発展型汎用陸地無線アクセスネットワークE−UTRAN又はグローバル移動通信システムGSMネットワークから汎用陸地無線アクセスネットワークUTRANまでに移動し、又は前記UEが伝統的なUTRANから拡張したUTRANに移動する場合に、前記コアネットワークノードが保存した伝統的なキーに応じて現在の拡張キーを算出することと、
前記コアネットワークノードが前記現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーをサービスRNCに送信することと、を含む請求項1に記載の方法。
【請求項13】
前記初期ネクストホップ拡張キーが前記コアネットワークノードにより以下の公式で、前記保存した伝統的なキーと前記算出した現在の拡張キーに基づいて算出される方法であって、
(IKU、CKU)=F1(IK||CK、Parameter);
(IK’U、CK’U)=F2(IK||CK、IKU||CKU);
ここで、F1とF2はキー関数、IKは伝統的な完全性キー、CKは伝統的な暗号化キー、IKUは現在拡張完全性キー、CKUは現在拡張暗号化キー、IK’Uは初期ネクストホップ拡張完全性キー、CK’Uは初期ネクストホップ拡張暗号化キー、“||”はカスケード、Parameterはパラメーターである、請求項12に記載の方法。
(IKU、CKU)=F1(IK||CK、Parameter);
(IK’U、CK’U)=F2(IK||CK、IKU||CKU);
ここで、F1とF2はキー関数、IKは伝統的な完全性キー、CKは伝統的な暗号化キー、IKUは現在拡張完全性キー、CKUは現在拡張暗号化キー、IK’Uは初期ネクストホップ拡張完全性キー、CK’Uは初期ネクストホップ拡張暗号化キー、“||”はカスケード、Parameterはパラメーターである、請求項12に記載の方法。
【請求項14】
前記コアネットワークノードが前記現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーを前記サービスRNCに送信するステップの後に、更に、
前記サービスRNCが前記現在拡張キー及び/又は算出した初期ネクストホップ拡張キーを受信して保存し、そして前記UEに安全モードコマンドメッセージを送信することと、
前記UEが前記安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出することと、を含む請求項12に記載の方法。
前記サービスRNCが前記現在拡張キー及び/又は算出した初期ネクストホップ拡張キーを受信して保存し、そして前記UEに安全モードコマンドメッセージを送信することと、
前記UEが前記安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出することと、を含む請求項12に記載の方法。
【請求項15】
前記UEが前記安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出するステップの後に、更に、
前記UEが前記伝統的なキーと拡張キーを用いてネクストホップ拡張キーを算出すること、を含む請求項14に記載の方法。
前記UEが前記伝統的なキーと拡張キーを用いてネクストホップ拡張キーを算出すること、を含む請求項14に記載の方法。
【請求項16】
ターゲット無線ネットワークコントローラRNCの移転完了指示メッセージを受信し、前記移転完了指示メッセージがユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いられるように設置される受信モジュールと、
前記受信モジュールが前記移転完了指示メッセージを受信した後に、保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、
前記ネクストホップ拡張キーを前記ターゲットRNCに送信するように設置される送信モジュールと、を含むコアネットワークノード。
前記受信モジュールが前記移転完了指示メッセージを受信した後に、保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、
前記ネクストホップ拡張キーを前記ターゲットRNCに送信するように設置される送信モジュールと、を含むコアネットワークノード。
【請求項17】
前記コアネットワークノードは更に、前記コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含む請求項16に記載のコアネットワークノード。
【請求項18】
前記受信モジュールは、前記ターゲットRNCの移転完了指示メッセージを受信する前に、前記ソースRNCが送信した移転需要メッセージを受信するように設置され、前記移転需要メッセージが前記ソースRNCのネクストホップCKU及び/又はIKUを含み、
前記送信モジュールは、前記ターゲットRNCに移転要請メッセージを送信するように設置され、前記移転要請メッセージが前記ソースRNCが送信したネクストホップCKU及び/又はIKUを含む請求項17に記載のコアネットワークノード。
前記送信モジュールは、前記ターゲットRNCに移転要請メッセージを送信するように設置され、前記移転要請メッセージが前記ソースRNCが送信したネクストホップCKU及び/又はIKUを含む請求項17に記載のコアネットワークノード。
【請求項19】
ソース無線ネットワークコントローラRNC、ターゲットRNC、コアネットワークノード及びユーザ設備UEを含む無線アクセスシステムであって、
前記ソースRNCが、前記コアネットワークノードに移転需要メッセージを送信し、前記移転需要メッセージに前記ソースRNCのネクストホップ拡張キーを含み、前記コアネットワークノードの移転コマンドを受信し、そして前記UEに移転メッセージを送信するように設置され、
前記ターゲットRNCが、前記コアネットワークノードが送信した移転要請メッセージを受信し、前記移転要請メッセージに前記ソースRNCが送信したネクストホップ拡張キーを持ち、そして前記コアネットワークノードに移転完了指示メッセージを送信し、前記コアネットワークノードの移転完了確認メッセージを受信し、前記移転完了確認メッセージが前記ターゲットRNCのネクストホップ拡張キーを含むように設置され、
前記コアネットワークノードが、前記ターゲットRNCの移転完了指示メッセージを受信し、ネクストホップ拡張キーを算出し、そして前記移転完了確認メッセージを前記ターゲットRNCに送信するように設置され、
前記UEが、前記ソースRNCが送信した移転メッセージに応じて自身の拡張キーを同期するように設置される無線アクセスシステム。
前記ソースRNCが、前記コアネットワークノードに移転需要メッセージを送信し、前記移転需要メッセージに前記ソースRNCのネクストホップ拡張キーを含み、前記コアネットワークノードの移転コマンドを受信し、そして前記UEに移転メッセージを送信するように設置され、
前記ターゲットRNCが、前記コアネットワークノードが送信した移転要請メッセージを受信し、前記移転要請メッセージに前記ソースRNCが送信したネクストホップ拡張キーを持ち、そして前記コアネットワークノードに移転完了指示メッセージを送信し、前記コアネットワークノードの移転完了確認メッセージを受信し、前記移転完了確認メッセージが前記ターゲットRNCのネクストホップ拡張キーを含むように設置され、
前記コアネットワークノードが、前記ターゲットRNCの移転完了指示メッセージを受信し、ネクストホップ拡張キーを算出し、そして前記移転完了確認メッセージを前記ターゲットRNCに送信するように設置され、
前記UEが、前記ソースRNCが送信した移転メッセージに応じて自身の拡張キーを同期するように設置される無線アクセスシステム。
【請求項20】
前記コアネットワークノードは、
前記ターゲットRNCの移転完了指示メッセージを受信し、前記移転完了指示メッセージがユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いるように設置される受信モジュールと、
前記受信モジュールが前記移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、
前記ネクストホップ拡張キーを前記ターゲットRNCに送信するように設置される送信モジュールとを含む請求項19に記載の無線アクセスシステム。
前記ターゲットRNCの移転完了指示メッセージを受信し、前記移転完了指示メッセージがユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いるように設置される受信モジュールと、
前記受信モジュールが前記移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、
前記ネクストホップ拡張キーを前記ターゲットRNCに送信するように設置される送信モジュールとを含む請求項19に記載の無線アクセスシステム。
【請求項21】
前記コアネットワークノードは更に、
前記コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含む請求項20に記載の無線アクセスシステム。
前記コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含む請求項20に記載の無線アクセスシステム。
【請求項22】
前記UEは、
前記UEに対してネクストホップ拡張キーの算出回数を数えるように設置されるネクストホップカウンター端末NCCを含む請求項21に記載の無線アクセスシステム。
前記UEに対してネクストホップ拡張キーの算出回数を数えるように設置されるネクストホップカウンター端末NCCを含む請求項21に記載の無線アクセスシステム。
【請求項23】
前記UEは更に、
前記端末NCCが前記ネットワークNCCに等しいかを判断するように設置される判断モジュールと、
前記モジュールの判断結果が「はい」であると、前記端末NCCに対応する予め保存したCKU及び/又はIKUを用いるように設置される確定モジュールと、
前記判断モジュールの判断結果が「いいえ」であると、前記CKU及び/又はIKUを算出し、そして前記端末NCCが前記ネットワークNCCに等しくなるまでに、対応する前記端末NCCを逓増するように設置される否定モジュールとを含む請求項22に記載の無線アクセスシステム。
前記端末NCCが前記ネットワークNCCに等しいかを判断するように設置される判断モジュールと、
前記モジュールの判断結果が「はい」であると、前記端末NCCに対応する予め保存したCKU及び/又はIKUを用いるように設置される確定モジュールと、
前記判断モジュールの判断結果が「いいえ」であると、前記CKU及び/又はIKUを算出し、そして前記端末NCCが前記ネットワークNCCに等しくなるまでに、対応する前記端末NCCを逓増するように設置される否定モジュールとを含む請求項22に記載の無線アクセスシステム。
【請求項24】
前記ソースRNCが前記ターゲットRNCに拡張した移転要請メッセージを送信するステップの後、更に、
前記ターゲットRNCが拡張した安全モードを支援しないと、前記拡張した移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることと、
前記ターゲットRNCが拡張した安全モードを支援すると、前記拡張した移転要請メッセージのCKフィールドの内容をCKUとし、IKフィールドの内容をIKUとして用いることとを含む請求項8に記載の方法。
前記ターゲットRNCが拡張した安全モードを支援しないと、前記拡張した移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることと、
前記ターゲットRNCが拡張した安全モードを支援すると、前記拡張した移転要請メッセージのCKフィールドの内容をCKUとし、IKフィールドの内容をIKUとして用いることとを含む請求項8に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は無線通信分野に関し、具体的には、無線通信システムのSRNC(Serving Radio Network Controller、サービス無線ネットワークコントローラ)移転時のエアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステムに関する。
【背景技術】
【0002】
3GPP(3rd Generation Partnership Project,第3世代移動体通信システムの標準化プロジェクト)がRelease7では直交周波数分割多重(Orthogonal Frequency Division Multiplexing,「OFDM」と略称)及び多入力多出力(Multiple-Input Multiple-Output,「MIMO」と略称)技術を用いてHSDPA(High Speed Downlink Packet Access,高速ダウンリンクパケットアクセス)及びHSUPA(High Speed Uplink Packet Access,高速アップリンクパケットアクセス)の未来発展道路HSPA+を完了する。HSPA+は3GPP HSPA(HSDPAとHSUPAを含む)の拡張技術であり、HSPA事業者に複雑度の低い、低コストの、HSPAからLTE(Long Term Evolution,長期的発展)への円滑な発展の道を提供する。
【0003】
HSPAに比べて、HSPA+がシステム枠組では無線ネットワークコントローラ(Radio Network Controller,「RNC」と略称)の機能を基地局ノードB(Node B)に移動させ、図1に示すとおり、完全にフラット化の無線アクセスネットワーク枠組を形成する。この時、完全RNC機能を統合したNode BをEvolved HSPA Node Bと称し、又は拡張ノードB(Node B+)と略称する。SGSN+はグレードアップした、HSPA+機能を支援できるSGSN(SERVICE GPRS SUPPORT NODE、サービスGPRS(GPRS:General Packet Radio System,通用パケット無線システム)支援ノード)である。ME+はHSPA+機能を支援できるユーザ端末設備である。発展型HSPAシステムは3GPP Rel−5及びその後のエアインターフェースバージョンを使用でき、エアインターフェースのHSPAサービスに対して如何なる修正も施していない。このようなスキームを用いた後、各Node B+はいずれもRNCに相当するノードになり、Iu−PSインターフェースを有してPS CN(Core Network、コアネットワーク)(図1のSGSN+とGGSN+)と直接接続でき、Iu−PSユーザインターフェースがSGSNで終結し、ここで、ネットワークが直接接続トンネル機能を支援すれば、Iu−PSユーザインターフェースもGGSN(Gateway GPRS Support Node、ゲートウェイGPRS支援ノード)で終結してもよい。発展型HSPA Node Bの間の通信はIurインターフェースを介して実行される。Node B+は独立ネットワーク構築の能力を有し、且つ、システム間とシステム内ハンドオーバーを含む完全な移動性機能を支援する。
【0004】
フラット化した後、ユーザインターフェースデータがRNCを通さなくても、GGSNまで直接到着でき、つまり、ユーザ平面の暗号化と完全性保護機能がNode B+までに移動しなければならない。図2に示すとおり、現在、エリクソンはHSPA+安全キー階層構成を提出している。ここで、K(Key,ルートキー)、CK(Ciphering Key、暗号化キー)及びIK(Integrity Key、完全性キー)の定義はUMTS(Universal Mobile Telecommunications System、汎用移動通信システム)において定義とは完全に一致し、即ちKはAuC(Authentication Center、認証センター)及びUSIM(UNIVERSAL SUBSCRIBER IDENTITY MODULE、万国加入者同定モジュール)に保存されるルートキーであり、CKとIKはユーザ設備とHSS(Home Subscriber Server,帰属ユーザサーバー)AKA(Authentication and Key Agreement,認証とキー協定)を行う場合にKにより算出した暗号化キーと完全性キーであり、伝統的なキーと称する。
【0005】
UMTSでは、RNCは伝統的なエアインターフェースキーCKとIKを用いてデータに対して暗号化と完全性保護を行う。HSPA+枠組では、RNCの全部機能を基地局Node B+に移動させるため、暗号化・復号ともNode B+で行われるが、Node B+が不安全の環境に位置し、安全性が高くない。このため、HSPA+がE−UTRAN(Evolved Universal Terrestrial Radio Access Network,発展型通用陸地無線アクセスネットワーク)に類似するキー階層を導入し、即ち、UTRANキー階層(UTRAN Key Hierarchy)。UTRANキー階層構成では、エアインターフェースキーCKUとIKUはHSPA+が新たに導入したキーであり、伝統的なキーCKとIKにより推定生成され、拡張キーと称し、ここで、拡張キーCKUがユーザインターフェースデータと制御面シグナルの暗号化に用いられ、拡張キーIKUが制御インターフェースシグナルに対して完全性保護を行うことに用いる。
【0006】
WCDMAシステムでは、Iurインターフェースの導入のため、SRNC/DRNC(Drift RNC,ドリフトRNC)の概念が生じる。SRNCとDRNCともある具体的なUEに対するロジック概念である。簡単に言うと、あるUEにとって、それがCN(Core Network,コアネットワーク)に直接接続され、且つ、UE(User Equipment、ユーザ設備)のすべてのリソースに対して制御を行うRNCがUEのSRNCと言い、UEがCNに接続されず、UEにリソースを提供するだけのRNCをこのUEのDRNCと言う。接続状態にあるUEがSRNCを1つのみ有しなければならず、ゼロ又は複数のDRNCを有してもよい。
【0007】
WCDMAシステムでは、SRNC移転(SRNC Relocation)とはUEのSRNCが1つのRNCからもう1つのRNCに変わるプロセスである。移転の発生する前後のUEが位置する位置の異なるにつれ、静的移転と随伴移転という2種類の情況に分けられる。静的移転を発生する条件はUEが1つのDRNC、且つ1つのみのDRNCからアクセスする。移転プロセスではUEの参与が必要とならないため、UEにかかわらず(UE Not Involved)移転とも称する。移転が発生した後、Iurインターフェースの接続が解除されるため、図3に示すとおり、Iuインターフェースの移転が発生し、元DRNCがSRNCに変わる。
【0008】
静的移転はソフトハンドオーバーの時に発生するものであり、Iurインターフェースのため、すべての無線リンクがDRNCに接続された後に移転が開始する。図4に示すとおり、随伴移転とはUEがSRNCからターゲットRNCにハードハンドオーバーするとともにIuインターフェースが変化するプロセスである。移転プロセスではUEの参与が必要となるため、UEに係わる(UE Involved)移転とも称する。
【0009】
HSPA+では、Node B+が物理的不安全な環境に置かれるため、悪意攻撃を受けやすく、安全性が脅かされる。伝統的なUMTSでは、SRNC移転の前後、暗号化キーCKと完全性キーIKは同一であり、これで、一方、ある基地局が攻撃者に破壊された後、攻撃者がネクストホップターゲット基地局の安全キーを推定できる可能性があり、他方、キーが漏らされ又は攻撃者が違法取得すると、攻撃者がユーザの通信をモニタリングでき、ユーザとネットワークとの間のデータ伝送をも偽造でき、これでユーザの通信の安全が保障できないことになる。
【発明の概要】
【0010】
本発明の主な目的はエアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステムを提供し、関連技術においてSRNC移転時キーの同一によるユーザの通信の安全が保障できない問題を解決することにある。
【0011】
本発明の一態様によれば、エアインターフェースキーの更新方法を提供し、コアネットワークノードがターゲット無線ネットワークコントローラRNCの移転完了指示メッセージを受信し、この移転完了指示メッセージが、ユーザ設備UEがソースRNCから前記ターゲットRNCまでに成功に移転することを指示することに用いるステップと、コアネットワークノードが保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するステップと、コアネットワークノードがネクストホップ拡張キーをターゲットRNCに送信するステップとを含む。
【0012】
伝統的なキーが伝統的な完全性キーIK及び/又は伝統的な暗号化キーCKを含み、拡張キーは拡張完全性キーIKU及び/又は拡張暗号化キーCKUを含むことが好ましい。コアネットワークノードにネクストホップカウンターネットワークNCCを設置し、コアネットワークノードがネクストホップ拡張キーを算出する回数をカウンターすることが好ましい。
【0013】
コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信するステップの前、更に、ソースRNCがコアネットワークノードに移転需要メッセージを送信し、移転需要メッセージがソースRNCのネクストホップCKU及び/又はIKUを含むことと、コアネットワークノードが移転需要メッセージを受信し、そしてターゲットRNCに移転要請メッセージを送信し、移転要請メッセージがソースRNCが送信したネクストホップCKU及び/又はIKUを含むことを含むことが好ましい。移転需要メッセージと移転要請メッセージともネットワークNCCが指示した情報を更に含むことが好ましい。
【0014】
ソースRNCがコアネットワークノードに移転需要メッセージを送信するステップは、ソースRNCがネクストホップIKUを移転需要メッセージのIKフィールドに置き、及び/又はネクストホップCKUを移転需要メッセージのCKフィールドに置き、コアネットワークノードに送信することを含み、コアネットワークノードがターゲットRNCに移転要請メッセージを送信するステップは、コアネットワークノードがソースRNCが送信したネクストホップIKUを移転要請メッセージのIKフィールドに置き、及び/又はソースRNCが送信したネクストホップCKUを移転要請メッセージのCKフィールドに置き、ターゲットRNCに送信することを含むことが好ましい。
【0015】
コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信するステップの前、更に、ソースRNCがターゲットRNCに拡張した移転要請メッセージを送信し、拡張した移転要請メッセージがソースRNCのネクストホップCKU及び/又はIKUを含むことを含むことが好ましい。
【0016】
ソースRNCがターゲットRNCに拡張した移転要請メッセージを送信するステップは、ソースRNCがネクストホップIKUを拡張した移転要請メッセージのIKフィールドに置き、及び/又はネクストホップCKUを拡張した移転要請メッセージのCKフィールドに置き、ターゲットRNCに送信することを含むことが好ましい。
【0017】
コアネットワークノードがターゲットRNCに移転要請メッセージを送信するステップの後、更に、ターゲットRNCが拡張した安全モードを支援しないと、移転要請メッセージのCKフィールドの内容をCKとし、IKフィールドの内容をIKとして用いることと、ターゲットRNCが拡張した安全モードを支援すると、移転要請メッセージのCKフィールドの内容をCKUとし、IKフィールドの内容をIKUとして用いることとを含むことが好ましい。
【0018】
コアネットワークノードがターゲットRNCに移転要請メッセージを送信するステップの後、更に、コアネットワークノードがターゲットRNCの移転要請確認メッセージを受信し、ソースRNCに移転コマンドメッセージを送信し、移転コマンドメッセージがネットワークNCCが指示した情報を含むことと、ソースRNCが移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信し、移転メッセージがネットワークNCCが指示した情報を含むことを含むことが好ましい。
【0019】
ソースRNCが移転コマンドメッセージを受信し、ユーザ設備UEに移転メッセージを送信するステップの後、更に、UEが移転メッセージを受信し、ネクストホップカウンター端末NCCがネットワークNCCに等しいかを判断することと、YESであると、UEが端末NCCに対応する予め保存したIKU及び/又はCKUを用いることと、NOであると、UEがIKU及び/又はCKUを算出し、端末NCCがネットワークNCCに等しくなるまでに、対応する端末NCCを逓増することとを含むことが好ましい。
【0020】
エアインターフェースキーの更新方法は更に、ユーザ設備UEがネットワークに初回付着し、又はUEがアイドルモードから接続モードに転換し、又はUEが発展型通用陸地無線アクセスネットワークE−UTRAN又はグローバル移動通信システムGSMネットワークから汎用陸地無線アクセスネットワークUTRANまでに移動し、又はUEが伝統的なUTRANから拡張したUTRANに移動する場合に、コアネットワークノードが保存した伝統的なキーに応じて現在の拡張キーを算出することと、コアネットワークノードが現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーをサービスRNCに送信することを含むことが好ましい。
【0021】
初期ネクストホップ拡張キーがコアネットワークノードにより以下の公式で、保存した伝統的なキーと算出した現在の拡張キーに基づいて算出される:(IKU、CKU)=F1(IK||CK、Parameter);(IK’U、CK’U)=F2(IK||CK、IKU||CKU)。ここで、F1とF2はキー関数、IKは伝統的な完全性キー、CKは伝統的な暗号化キー、IKUは現在の拡張完全性キー、CKUは現在の拡張暗号化キー、IK’Uは初期ネクストホップ拡張完全性キー、CK’Uは初期ネクストホップ拡張暗号化キー、“||”はカスケード、Parameterはパラメーターであることが好ましい。
【0022】
コアネットワークノードが現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーをサービスRNCに送信するステップの後、更に、サービスRNCが現在の拡張キー及び/又は算出した初期ネクストホップ拡張キーを受信して保存し、そしてUEに安全モードコマンドメッセージを送信することと、UEが安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出することを含むことが好ましい。
【0023】
UEが安全モードコマンドメッセージを受信し、保存した伝統的なキーを用いて拡張キーを算出するテップの後、更に、UEが伝統的なキーと拡張キーを用いてネクストホップ拡張キーを算出することを含むことが好ましい。
【0024】
本発明のもう一つの態様によれば、コアネットワークノードを更に提供し、ターゲットRNCの移転完了指示メッセージを受信し、この移転完了指示メッセージがユーザ設備UEがソースRNCからターゲットRNCまでに成功に移転することを指示することに用いるように設置される受信モジュールと、受信モジュールが移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、ネクストホップ拡張キーをターゲットRNCに送信するように設置される送信モジュールとを含む。
【0025】
このコアネットワークノードは更に、コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含むことが好ましい。
【0026】
このコアネットワークノードの受信モジュールは更に、ターゲットRNCの移転完了指示メッセージを受信する前、ソースRNCが送信した移転需要メッセージを受信するように設置され、移転需要メッセージがソースRNCのネクストホップCKU及び/又はIKUを含み、送信モジュールは更に、ターゲットRNCに移転要請メッセージを送信するように設置され、移転要請メッセージがソースRNCが送信したネクストホップCKU及び/又はIKUを含むことが好ましい。
【0027】
本発明のもう一つの態様によれば、無線アクセスシステムを更に提供し、ソースRNC、ターゲットRNC、コアネットワークノード及びユーザ設備UEを含み、ここで、ソースRNCが、コアネットワークノードに移転需要メッセージを送信し、この移転需要メッセージはソースRNCのネクストホップ拡張キーを含み、コアネットワークノードの移転コマンドを受信し、UEに移転メッセージを送信するように設置される。ターゲットRNCが、コアネットワークノードが送信した移転要請メッセージを受信し、この移転要請メッセージはソースRNCが送信したネクストホップ拡張キーを含み、コアネットワークノードに移転完了指示メッセージを送信し、コアネットワークノードの移転完了確認メッセージを受信し、この移転完了確認メッセージがターゲットRNCのネクストホップ拡張キーを含むように設置される。
【0028】
コアネットワークノードが、ターゲットRNCの移転完了指示メッセージを受信し、ネクストホップ拡張キーを算出し、そして移転完了確認メッセージをターゲットRNCに送信するように設置される。ユーザ設備UEは、ソースRNCが送信した移転メッセージに応じて自身の拡張キーを同期するように設置される。
【0029】
この無線アクセスシステムのコアネットワークノードは、ターゲットRNCの移転完了指示メッセージを受信し、移転完了指示メッセージがユーザ設備UEがソースRNCからターゲットRNCまでの移転が完了したことを指示するように設置される受信モジュールと、受信モジュールが移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュールと、ネクストホップ拡張キーを前記ターゲットRNCに送信するように設置される送信モジュールを含むことが好ましい。
【0030】
この無線アクセスシステムのコアネットワークノードは更に、コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含むことが好ましい。この無線アクセスシステムのUEは、UEに対してネクストホップ拡張キーの算出回数を数えるように設置されるネクストホップカウンター端末NCCを含むことが好ましい。
【0031】
この無線アクセスシステムのUEは更に、端末NCCがネットワークNCCに等しいかを判断するように設置される判断モジュールと、モジュールの判断結果がはいであると、端末NCCに対応する予め保存したCKU及び/又はIKUを用いるように設置される確定モジュールと、判断モジュールの判断結果がいいえであると、CKU及び/又はIKUを算出し、そして端末NCCがネットワークNCCに等しくなるまでに、対応する端末NCCを逓増するように設置される否定モジュールとを含む。
【0032】
本発明によれば、無線アクセスシステムのコアネットワークノードが端末初期付着の時、又はSRNC移転成功完了後、コアネットワークノードの伝統的なキーIK、CKに応じてネクストホップ拡張キーIKUとCKUを算出し生成し、そしてネクストホップ拡張キーをターゲットRNCに送信し、次回SRNC移転に用意しておき、これでソースRNCとターゲットRNCが異なる拡張キーIKUとCKUを用いるようになる。且つネクストホップターゲットRNCが用いた拡張したエアインターフェースキーはコアネットワークにより推定したものであるため、2回SRNC移転後、ソースRNCが2ホップ後のターゲットRNCのエアインターフェースキーを知らないようになる。
【0033】
このため、ある基地局が攻撃者により破壊され又は違法制御されても、2回SRNC移転後にもユーザが安全な通信を行うことを保証でき、ユーザのフォワードセキュリティを保障し、これで無線アクセスシステムの全体の通信安全性を向上させた。
【図面の簡単な説明】
【0034】
ここで説明する図面は本発明を理解するためのもので、本発明の一部を構成し、本発明における模式的な実施例とその説明共に本発明を解釈し、本発明を不当に限定するものではない。図面において、【図1】関連技術におけるHSPA+技術を用いる無線アクセスネットワークの枠組模式図である。
【図2】関連技術におけるHSPA+安全キー階層構成模式図である。
【図3】関連技術におけるSRNC静的移転模式図である。
【図4】関連技術におけるSRNC随伴移転模式図である。
【図5】本発明の実施例によるエアインターフェースキーの更新方法のステップフローチャートである。
【図6】本発明の実施例によるエアインターフェースキー更新のキーチェーンの模式図である。
【図7】本発明の実施例による初期エアインターフェースキー設立プロセスのフローチャートである。
【図8】本実施例によるSRNC随伴移転を行う時のエアインターフェースキーの更新フローチャートである。
【図9】本発明の実施例によるSRNC静的移転を行う時のエアインターフェースキーの更新フローチャートである。
【図10】本発明の実施例によるコアネットワークノードの構成ブロック図である。
【図11】本発明の実施例による無線アクセスシステムの構成ブロック図である。
【図12】本発明の実施例によるもう1種のSRNC随伴移転を行う時のエアインターフェースキーの更新フローチャートである。
【発明を実施するための形態】
【0035】
以下、図面と実施例を参照しながら、本発明を詳しく説明する。特に説明するのは、矛盾しない場合、本案における実施例及び実施例における特徴を相互に組み合わせてもよい。UTRANを用いる無線アクセスシステムにおけるSRNC移転は、図3と図4に示すように、コアネットワークノード(SGSN+又はMSC+)、ソースRNC(即ちSRNC)、ターゲットRNC、Node B及びUEに係わる。HSPA+を用いる無線アクセスシステムでは、Node B+をNode BとRNCの結合と見なしてもよく、両者が1つの物理エンティティであるが、2つの異なるロジックエンティティでもある。本発明の実施例において拡張安全キー階層を支援するNode B+はUMTSでグレードアップを行ったRNC(RNC+)に相当し、本発明の実施例におけるSRNCがソースRNC(ソースNode B+)に相当し、DRNCがターゲットRNC(ターゲットNode B+)に相当する。
【0036】
図5を参照し、本発明の実施例によるエアインターフェースキーの更新方法のステップフローチャートを示し、以下のステップを含む。ステップS502において、コアネットワークノードがターゲットRNCの移転完了指示メッセージを受信する。
ここで、移転完了指示メッセージはユーザ設備UEがソースRNCからターゲットRNCまでに成功に移転することを指示する。
【0037】
ステップS504において、コアネットワークノードが保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出する。ここで、伝統的なキーが伝統的な完全性キーIK及び/又は伝統的な暗号化キーCKを含み、拡張キーが拡張完全性キーIKU及び/又は拡張暗号化キーCKUを含む。
コアネットワークノードはコアネットワークノードが保存した伝統的なキーIK及び/又はCK、及び現在使用する拡張キーIKU及び/又はCKUを用いて、キー生成関数でネクストホップ拡張キーIKU及び/又はCKUを算出する。現在用いている現在の拡張キーIKU/CKUと区別するために、本発明の実施例ではネクストホップ拡張キーをIK’UとCK’Uと称する。
【0038】
ステップS506において、コアネットワークノードがネクストホップ拡張キーをターゲットRNCに送信する。本ステップでは、コアネットワークノードがIK’UとCK’UをターゲットRNCに送信して保存し、次回SRNC移転時にターゲットRNCの使用に用意しておく。
【0039】
伝統的なUTRAN関連技術では、SRNC移転を行う場合に、移転前後のキーを変えないが、本実施例によれば、コアネットワークノードが更新したネクストホップ拡張キーをターゲットRNCに送信し、ユーザ設備が次回SRNC移転時の使用に用意しておき、これでソースRNCとターゲットRNCが異なるキーを使用するようになる。且つ、2回SRNC移転を行った後、ソースRNCが2ホップ後のターゲット基地局が用いた拡張キーを取得できず、これでユーザ通信のフォワードセキュリティを保証し、無線アクセスシステムの通信安全性を向上させた。
【0040】
ネクストホップ拡張キーIK’UとCK’Uの算出プロセスでは、伝統的なキーIKとCK、拡張キーIKUとCKUのほか、以下のパラメーター:シリアルナンバーSQN異又は隠蔽キーAK、ユーザ識別子(例えば国際ユーザ識別コードIMSI、臨時移動ユーザ識別コードTMSI)、サービスネットワーク識別子、コアネットワークノードタイプの1つ又は任意の組合せを用いてもよい。
【0041】
本発明の実施例は以下キー関数を提供して各安全キーを算出し、初期とSRNC移転時に各安全キーを算出するキー関数を含み、以下キー関数において、カッコ内のパラメーターが先後順を問わず、その中の複数のパラメーターをカスケード形式又は他の形式で組み合せてもよい。初期:(IKU、CKU)=F1(IK||CK、Parameter);
(IK’U、CK’U)=F2(IK||CK、IKU||CKU);
SRNC移転時:(IK’U、CK’U)=F2(IK||CK、IK’U_old||CK’U_old);
又は、
IKU=IK’U_old、CKU=IK’U_old、
(IK’U、CK’U)=F2(IK||CK、IKU||CKU);
ここで、F1とF2は異なる又は同一なキー関数であり、例えば3GPPが定義したKDF関数である。IKUは拡張した完全性キー、CKUは拡張した暗号化キー、IK’Uはネクストホップ拡張した完全性キー、CK’Uはネクストホップ拡張した暗号化キー、IK’U_oldは現在の拡張した完全性キー、CK’U_oldは現在の拡張した暗号化キー、“||”はカスケード、Parameterはパラメーターである。UEがアイドル状態から接続状態に入る場合に、毎回用いるParameterが異なることを保証しなければならない。
【0042】
本発明の実施例はいずれも前記キー関数を用いてもよい。当業者が実際情況に応じて、他の適当なキーの算出方法を用いてもよく、本発明はこれを制限しない。初期付着時、又はユーザ設備がアイドル状態からアクティブ状態に戻る時、又はユーザ設備がE−UTRAN又はグローバル移動通信システムGSMからUTRANに移動する時、又はユーザ設備が伝統的なUTRAN(HSPA+安全を支援しない)から拡張したUTRANに移動する時、コアネットワークノードがネクストホップ拡張キーに対する処理は一般的に2種類に分けられ、1種類はコアネットワークノード初期時にSRNCにネクストホップ拡張キーIK’U/CK’Uを送信し、初回SRNC移転時、ソースRNCがネクストホップ拡張キーをターゲットRNCに送信し、ターゲットRNCとUEがそれぞれこのネクストホップ拡張キーをIKUとCKUとして用いる。
【0043】
もう1種類はコアネットワークノード初期時、SRNCにネクストホップ拡張キーを送信せず、初回SRNC移転時、ソースRNCが現在の拡張キーIKU/CKUをターゲットRNCに送信し、ターゲットRNCとUEがそれぞれこのキーIKUとCKUを用いて通信に対してセキュリティ保護をする。第2回SRNC移転時、ターゲットRNCとUEが更にそれぞれネクストホップ拡張キーIK’U/CK’Uを用いる。エアインターフェースキーの更新のキーチェーンが図6に示すとおり、ここで、NCCはネクストホップカウンターである。Parameterはパラメーターである。
【0044】
図7を参照し、本発明の実施例による初期エアインターフェースキー設立プロセスのフローチャートを示し、以下のステップを含む。ステップS702において、コアネットワークノードが(例えばSGSN+又はMSC +)保存したIKとCKに基づいて拡張キーIKU/CKUを算出する。
【0045】
このステップのトリガー条件は、UEがネットワークに初回付着する時、又はUEがアイドルモードから接続モードに転換する時、又はUEが発展型汎用陸地無線アクセスネットワークE−UTRAN又はGSMから汎用陸地無線アクセスネットワークUTRANに移動する時、又はユーザ設備が伝統的なUTRAN(HSPA+安全を支援する)から拡張したUTRANに移動する時である。
【0046】
UEがアイドルモードから接続モードに転換する時にトリガーした安全モードコマンドフローにとって、SGSN+又はMSC/VLR+が効果的な拡張キーIKU/CKUを保存すると、このステップが選択可能であり、保存した拡張キーを直接使用でき、新たに算出しなくてもよい。
【0047】
ステップS704において、コアネットワークノードが伝統的な完全性キーIK、暗号化キーCK及びステップS702で算出した拡張キーIKUとCKUに基づいてネクストホップ拡張キーIK’U/CK’Uを算出する。ステップS706において、コアネットワークノードがSRNCに安全モードコマンドメッセージを送信し、このメッセージは拡張キーIKUとCKU、及び/又はネクストホップ拡張キーIK’U/CK’Uを含む。
【0048】
ここで、安全モードコマンドメッセージは以下のパラメーター:ユーザ設備安全能力、キー集識別子、選択した完全性アルゴリズム集、暗号化アルゴリズム集の1つ又は任意の組合せを含んでもよい。ここで、ネクストホップ拡張キーIK’U/CK’Uの送信が選択可能であり、即ち初期接続の構築時、ネクストホップ拡張キーIK’U/CK’Uを送信せず、拡張キーIKU/CKUのみを送信する。
【0049】
ステップS708において、SRNCが安全モードコマンドメッセージを受信した後、受信した拡張キーIKUとCKU、及び/又はネクストホップ拡張キーIK’U/CK’Uを保存する。ステップS710において、SRNCがUEに安全モードコマンドメッセージを送信する。
【0050】
この安全モードコマンドメッセージにIKUで算出したメッセージ識別コードを持ってもよく、以下のパラメーター:ユーザ設備安全能力、キー集識別子、選択した完全性アルゴリズム、暗号化アルゴリズムの1つ又は任意の組合せを含んでもよい。
【0051】
ステップS712において、UEが安全モードコマンドメッセージを受信した後、暗号化アルゴリズムと完全性アルゴリズムを保存し、AKAプロセスが生成した伝統的な暗号化キーCKと伝統的な完全性キーIKに基づいて拡張キーIKUとCKUを算出する(このプロセスが安全モードコマンドメッセージを受信する前に発生してもよい)。この時、UEとSRNCが同一の拡張した完全性キーIKU及び/又は拡張した暗号化キーCKUを共有し、前記キーを用いて双方間の通信を保護する。
【0052】
本ステップでは、UEがアイドルモードから接続モードに転換する時、トリガーした安全モードコマンドフローにとって、UEが効果的な拡張キーIKUとCKUを保存すると、この拡張キーIKUとCKUを直接使用してもよく、新たに算出しなくてもよい。
【0053】
ステップS714において、UEが伝統的な暗号化キーCK、完全性キーIK及びステップS712で算出した拡張キーIKUとCKUに基づいてネクストホップ拡張キーIK’U/CK’Uを算出する。このステップは選択可能なステップであり、即ちUEが初期時にネクストホップ拡張キーを算出せず、需要時に算出してもよい。
【0054】
ステップS716において、UEがIKUを用いて受信した安全モードコマンドメッセージを検証する。ステップS718において、安全モードコマンドメッセージ検証が成功すると、UEがSRNCに安全モード完了メッセージを送信し、このメッセージにIKUで算出したメッセージ識別コードを持ち、又は、UEが同時にCKUでこの安全モード完了メッセージに対して暗号化を行う。
【0055】
ステップS720において、SRNCがIKUで受信した安全モード完了メッセージを検証し、又は、まずCKUでこのメッセージを解読し、そしてIKUで受信した安全モード完了メッセージを検証する。ステップS722において、安全モード完了メッセージ検証に成功すると、SRNCがコアネットワークノードに安全モード完了メッセージを送信し、このメッセージは以下のパラメーター:選択した完全性アルゴリズム及び/又は暗号化アルゴリズムを持ってもよい。
【0056】
その後、UEとNodeB+が前記キーに基づいて暗号化・復号化操作を開始する。本実施例では、コアネットワークノードが1つのネクストホップカウンターネットワークNCCを維持し、ネクストホップ拡張キーの算出回数を数え、ユーザ側のキーに同期する。ネットワークNCC初期値は0である。
【0057】
ステップS704でネクストホップ拡張キーを初回算出する時、対応するネットワークNCCは1である。コアネットワークノードが1つのネットワークNCCを維持する場合に、安全モードコマンドメッセージにパラメーターネットワークNCCを持ってもよく、そしてSRNCに送信し、SRNCで受信・保存する。同様に、UEも1つのネクストホップカウンター端末NCCを維持し、UEがネクストホップ拡張キーを算出する回数を数え、ネットワーク側のキーと同期し、初期値は0である。
【0058】
UEがネクストホップ拡張キーを初回算出する時、対応する端末NCC値は1である。後のSRNC移転フローでは、端末NCCがネットワークNCCに等しくない場合に、UEがネクストホップ拡張キーを算出し、端末NCCがネットワークNCCに等しくなるまでに、対応する端末NCCを増やし、これでUEとターゲットRNCが用いたキーに一致する。NCCを用いてネットワーク側とユーザ側のキーを同期し、ネットワーク側とユーザ側のキーの一致性を効果的に保証する。
【0059】
図8を参照し、本実施例によるSRNC随伴移転を行う時のエアインターフェースキーの更新フローチャートを示す。本実施例では、SRNCとターゲットRNCとの間のメッセージインタラクションがコアネットワークノードCNN+(SGSN+又はMSC+)を介して移転する必要がなる。
【0060】
本実施例が以下のステップを含む。ステップS802において、ソースRNC(即ちSRNC)SRNC移転を行なうと決定する。
この決定のトリガーは、ソースRNCがUEの測定報告を受信すること、又はターゲットRNCが送信したアップリンクシグナル伝送指示を受信し、セル更新又はURA更新を行なうと要求すること等である。
【0061】
ステップS804において、ソースRNCがコアネットワークノードに移転需要メッセージを送信する。ソースRNCが同時に2つのCNN+ノードを接続すると、ソースRNCが同時にこの2つのCNN+ノードに移転需要メッセージを送信する。ソースRNCとターゲットRNCは2つの異なるCNN+ノード下に位置すると、このメッセージがこの2つのCNN+ノードの移転が必要となる。
【0062】
移転需要メッセージは以下のパラメーターを含む。ネクストホップ拡張した完全性キーIK’U、及び/又はネクストホップ拡張した暗号化キーCK’Uである。このほか、以下のパラメーターの1つ又は任意の組合を持ってもよい。ユーザ設備の安全能力、ユーザが支援する暗号化アルゴリズム、ユーザが支援する完全性アルゴリズム、選択した暗号化アルゴリズム、選択した完全性アルゴリズム、拡張したエアインターフェースキーに関連するネクストホップカウンターネットワークNCCである。前記安全材料はソースRNCからターゲットRNCまでの透明容器中に含まれることが好ましい。
【0063】
ソースRNCがネクストホップ拡張した完全性キーIK’Uを拡張した完全性キーIKUとし、ネクストホップ拡張した暗号化キーCK’Uを拡張した暗号化キーCKUとしてもよい。ソースRNCが送信した移転需要メッセージに以下のパラメーター:拡張完全性キーIKU、及び/又は拡張暗号化キーCKUを含む。
【0064】
ソースRNCはターゲットRNCが拡張した安全を支援するかを確定できない可能性があるため、ソースRNCがネクストホップ拡張キーIK’UとCK’Uをそれぞれ移転需要メッセージのIKとCKフィールドに置いてよい。
【0065】
実際のネットワーク配置では、拡張安全機能を支援するネットワークエンティティと伝統的な安全のみを支援するネットワークエンティティが共存し、SRNCが移転する場合に、UEが拡張安全機能を支援するSRNC+から拡張安全機能を支援しないターゲットRNCまでに移転するシーンが存在する。SRNC+が移転を決定する場合に、ターゲットRNCが拡張安全機能を支援するかを知らない恐れがある。その故、SRNCが移転する場合に、キーの更新も伝統的なネットワークの安全支援を考える必要がある。
【0066】
ステップS806において、コアネットワークノードがターゲットRNCに移転要請メッセージを送信し、メッセージはネクストホップ拡張キーIK’UとCK’U、及び/又はネットワークNCCを含む。
【0067】
本実施例では、ネットワーク側のコアネットワークノードが1つのネクストホップカウンターネットワークNCCを維持するため、移転要請メッセージにネットワークNCC情報を含んでもよい。ネットワークNCC情報をターゲットRNCに送信し、これでターゲットRNCとユーザとの間のキーの一致性を便利に実現する。
【0068】
本ステップでは、コアネットワークノードがCK’Uを前記移転要請メッセージのCKフィールドに置き、及び/又はIK’Uを前記移転要請メッセージのIKフィールドに置き、ターゲットRNCに送信する。拡張したSRNC移転プロセスでは、ソースRNCが移転要請メッセージをターゲットRNCに直接送信でき、この時、この移転要請メッセージが拡張した移転要請メッセージと称する。拡張した移転要請メッセージにネクストホップ拡張した完全性キーIK’U、及び/又はネクストホップ拡張した暗号化キーCK’Uを持ち、ソースRNCがネクストホップ拡張キーIK’UとCK’Uをそれぞれ移転需要メッセージのIKとCKフィールドに置いてターゲットRNCに送信する。
【0069】
ステップS808において、ターゲットRNCが受信したキーを保存する。ターゲットRNCが拡張した安全を支援すると、ターゲットRNCが受信したメッセージにおけるIKフィールドの値を拡張キーIKUとし、CKフィールドの値を拡張キーCKUとする。ターゲットRNCが拡張した安全を支援しないと、ターゲットRNCが受信したメッセージにおけるIKフィールドの値を伝統的なキーIKとし、CKフィールドの値を伝統的なキーCKとする。
【0070】
ステップS810において、ターゲットRNCがコアネットワークノードに移転要請確認メッセージを送信する。このメッセージを送信する前、ターゲットRNCとコアネットワークノードが新たなIuベアリングを構築でき、UEにRRC(Radio Resource Control,無線リソース制御プロトコル)接続リソース及び無線リンク等のリソースを配布する。ソースRNCとターゲットRNCが2つの異なるCNN+ノード(SGSN+及び/又はMSC/VLR+)下に位置すると、このメッセージはこの2つのCNN+ノードの移転が必要となる。この移転確認メッセージがネクストホップカウンターネットワークNCC情報を含んでもよい。
【0071】
ステップS812において、コアネットワークノードがソースRNCに移転コマンドメッセージを送信する。この移転コマンドメッセージがコアネットワークノードのネクストホップカウンターネットワークNCC情報を含んでもよい。
【0072】
ステップS814において、ソースRNCがUEに移転メッセージを送信してもよい。ここで、移転メッセージとは物理チャネル再配置メッセージ又はUTRAN移動性情報メッセージである。前記物理チャネル再配置メッセージ又はUTRAN移動性情報メッセージはネクストホップカウンターネットワークNCC情報を含んでもよい。
【0073】
ステップS816において、UEが拡張した安全を支援すると、UEがネットワーク側に同一なアルゴリズムで拡張した完全性キーIKU及び/又は暗号化キーCKUを更新する。本ステップでは、UEにネクストホップカウンター端末NCCが設置され、UEがネットワークNCCを受信し、現在アクティブにした拡張キーに対応する端末NCCがネットワークNCCに等しいかを判断し、両者が等しい場合、UEが自ら保存した拡張完全性キーIKU及び/又は拡張暗号化キーCKUを直接使用する。ネットワークNCCが端末NCCより大きい場合、UEが拡張キーIKU/CKUを算出し、端末NCCがネットワークNCCに等しくなるまで、対応する端末NCCを逓増する。
【0074】
ステップS818において、UEがターゲットRNCに物理チャネル再配置完了メッセージ又はUTRAN移動性情報確認メッセージを送信する。前記メッセージが更新した完全性キーIKUで完全性保護を行なってもよく、又は更新した完全性キーIKUと暗号化キーCKUで前記メッセージに対して同時に完全性と暗号化保護を行なってもよい。このメッセージにはユーザ設備安全能力パラメーターを含んでもよい。
【0075】
ステップS820において、ターゲットRNCが更新した完全性キーIKU及び/又は暗号化キーCKUを用いてこのメッセージに対して安全検証を行う。ターゲットRNCがUEに送信したメッセージを成功に検証すると、ターゲットRNCがコアネットワークノード(SGSN+又はMSC/VLR+)に移転完了メッセージを送信し、このメッセージがコアネットワークノードに移転完了を指示する情報を含み、ネットワークNCC情報を含んでもよい。
【0076】
ステップS822において、コアネットワークノードがIK、CKと現在の拡張キーIKU、CKUに基づいてネクストホップ拡張キーIK’U、CK’Uを算出する。ネットワーク側が1つのネクストホップカウンターネットワークNCCを維持すると、コアネットワークノードがネクストホップ拡張キーIK’U、CK’Uを算出する前又は後、ネットワークNCCを逓増してもよい。
【0077】
ステップS824において、コアネットワークノードがターゲットRNCに移転完了確認メッセージを送信し、このメッセージがネクストホップ拡張キーIK’U、C’KU、及び/又は関連するネットワークNCCを含む。ステップS826において、ターゲットRNCが受信したネクストホップ拡張キーIK’U、CK’U、及び/又は関連するネットワークNCCを保存し、次回SRNC移転に使うために用意しておく。
【0078】
ステップS828において、コアネットワークノード(SGSN+又はMSC/VLR+)がソースRNCとの間のIuインターフェースを解除する。
【0079】
図8に示す実施例における安全操作が拡張SRNC移転フローにも適応し、拡張SRNC移転フローでは、ソースRNCとターゲットRNCとの間が直接に通信を行い、コアネットワークノードの移転が必要とならない。図8におけるステップS804、S806に示すメッセージが、ソースRNCがターゲットRNCに送信する拡張した移転要請メッセージに代わり、図8においてステップS810、S812に示すメッセージがターゲットRNCからソースRNCに送信する拡張した移転応答メッセージに代わる。図8においてステップS820、S824に示すメッセージがそれぞれターゲットRNCとコアネットワークノードの間の拡張した移転完了要請メッセージと拡張した移転完了応答メッセージに代わる。そのほか、メッセージに含まれるパラメーター、及び他のステップの操作が完全に同一であり、ここで詳細な記載は省略する。
【0080】
初期において、コアネットワークノード、即ちネクストホップ拡張キーをSRNCに送信する時、UEが第一回SRNC移転フローを行う時、前記キー更新フローを用いてもよい。初期、コアネットワークノードがネクストホップ拡張キーをSRNCに送信しない場合、UEが第一回SRNC移転フローを行う場合、伝統的なUMTSが定義したSRNC移転の安全操作で実行し、即ちソースRNCが現在使用する拡張キーIKU及び/又はCKUをターゲットRNCに送信し、UEとターゲットRNCがこの現在の拡張キーを直接使用する。第2回SRNC移転を行う時、また前記キー更新フローを用いる。
【0081】
一回のSRNC移転フローが無事に完了した後、ターゲットRNCが一回SRNC内部の移転を開始してもよく、この時、ソースRNCとターゲットRNCとも同一なSRNCである。これで、フォワードセキュリティの目的を達成する。
【0082】
図9を参照し、本発明実施例によるSRNC静的移転を行う場合の拡張したエアインターフェースキーの更新フローチャートを示す。本実施例が伝統的なSRNC移転フローを用い、即ちSRNCとターゲットRNCとの間のメッセージインタラクションがコアネットワークノードの移転によるフローである。この実施例の安全操作が拡張したSRNC随伴移転フローにも適応し、即ちSRNCとターゲットRNCとの間がメッセージインタラクションを直接行い、コアネットワークノードの移転と必要としない。
【0083】
本実施例は以下のステップを含む。ステップS902において、UEがUTRANにURA更新メッセージ、又はセル更新メッセージ、又は測定報告メッセージを送信する。
ステップS904において、ターゲットRNCがこのUEのURA更新メッセージ又はセル更新メッセージ、又は測定報告メッセージを受信したことによって、このUEのソースRNCにアップリンクシグナル伝送指示メッセージを送信する。
【0084】
ステップS906において、ソースRNC(即ちSRNC)がSRNC移転を行なうと決定する。ステップS908において、ソースRNCがコアネットワークノードに移転需要メッセージを送信する。メッセージにネクストホップ拡張キーIK’UとCK’Uが含まれ、ネットワークNCCを含んでもよい。
【0085】
ステップS910において、コアネットワークノードがターゲットRNCに移転要請メッセージを送信し、メッセージはネクストホップ拡張キーIK’UとCK’U、及び/又はネットワークNCCを含む。
【0086】
本実施例では、ネットワーク側コアネットワークノードが1つのネクストホップカウンターネットワークNCCを維持するため、移転要請メッセージはネットワークNCC情報を含んでもよい。
【0087】
ステップS912において、ターゲットRNCが受信したキーを保存する。ステップS914において、ターゲットRNCがコアネットワークノードに移転要請確認メッセージを送信する。このメッセージを送信する前、ターゲットRNCとコアネットワークノードが新たなIuベアリングを確立してもよく、UEにRRC(Radio Resource Control、無線リソース制御プロトコル)接続リソースと無線リンク等のリソースを配布する。
この移転確認メッセージにネクストホップカウンターネットワークNCC情報を含んでもよい。
【0088】
ステップS916において、コアネットワークノードがソースRNCに移転コマンドメッセージを送信する。この移転コマンドメッセージがコアネットワークノードのネクストホップカウンターネットワークNCC情報を含んでもよい。
【0089】
ステップS918において、ソースRNCがターゲットRNCに移転提出メッセージを送信する。ステップS920において、ターゲットRNCがコアネットワークノードに移転検出メッセージを送信する。
ステップS922において、ターゲットRNCがUEにセル更新確認メッセージ、又はURA更新確認メッセージ、又はRAN移動性情報メッセージを送信する。このメッセージがターゲットRNCの安全能力の指示情報を含む。
前記メッセージは、ネクストホップカウンターネットワークNCC情報を含んでもよい。
【0090】
ステップS924において、UEが拡張した安全を支援すると、UEがネットワーク側に同一なアルゴリズムで拡張した完全性キーIKU及び/又は暗号化キーCKUを更新する。本ステップでは、UEにネクストホップカウンター端末NCCが設置され、UEがネットワークNCCを受信し、現在アクティブにした拡張キーに対応する端末NCCがネットワークNCCに等しいかを判断し、両者が等しいと、UEが自ら保存した拡張完全性キーIKU及び/又は拡張暗号化キーCKUをそのまま使用する。ネットワークNCCが端末NCCより大きいと、UEが拡張キーIKU/CKUを算出し、端末NCCがネットワークNCCに等しくなるまでに、対応する端末NCCを増やす。
【0091】
ステップS926において、UEがターゲットRNCにUTRAN移動性情報確認メッセージ又はRAN移動性情報確認メッセージを送信する。前記メッセージが更新した完全性キーIKUで完全性保護を行なってもよく、又は更新した完全性キーIKUと暗号化キーCKUで前記メッセージに対して同時に完全性と暗号化保護を行なってもよい。このメッセージにはユーザ設備安全能力パラメーターを含んでもよい。
【0092】
ステップS928において、ターゲットRNCが更新した完全性キーIKU及び/又は暗号化キーCKUを用いてこのメッセージに対して安全検証を行う。ターゲットRNCがUEに送信したメッセージを成功に検証すると、ターゲットRNCがコアネットワークノード(SGSN+又はMSC/VLR+)に移転完了メッセージを送信し、このメッセージがコアネットワークノードに移転完了を指示する情報を含み、ネットワークNCC情報を含んでもよい。
【0093】
ステップS930において、コアネットワークノードがIK、CKと現在の拡張キーIKU、CKUに基づいてネクストホップ拡張キーIK’U、CK’Uを算出する。選択可能には、ネットワーク側が1つのネクストホップカウンターネットワークNCCを保守すると、コアネットワークノードがネクストホップ拡張キーIK’U、CK’Uを算出する前又は後、ネットワークNCCを逓増する。
【0094】
ステップS932において、コアネットワークノードがターゲットRNCに移転完了確認メッセージを送信し、このメッセージがネクストホップ拡張キーIK’U、CK’U、及び/又は関連するネットワークNCCを含む。ステップS934において、ターゲットRNCが受信したネクストホップ拡張キーIK’U、CK’U、及び/又は関連するネットワークNCCを保存し、次回SRNC移転のために用意しておく。
【0095】
ステップS936において、コアネットワークノード(SGSN+又はMSC+)がソースRNCとの間のIuインターフェースを解除する。本ステップのコアネットワークノード(SGSN+又はMSC/VLR+)がソースRNCとの間のIuインターフェースを解除することはステップS930の前に発生してもよい。
前記すべての実施例がSRNC内部の移転にも適応し、即ちソースRNCとターゲットRNCは同一のRNCのシーンである。
【0096】
図10は、本発明の実施例によるコアネットワークノードの構成ブロック図を示し、以下を含む。受信モジュール1002において、ターゲットRNCの移転完了指示メッセージを受信するように設置され、この移転完了指示メッセージがUEがソースRNCからターゲットRNCまでに成功に移転することを指示することに用いられる。算出モジュール1004において、受信モジュール1002が移転完了指示メッセージを受信した後、保存された伝統的なキー及び現在の拡張キーを用いてネクストホップ拡張キーを算出するように設置される。送信モジュール1006において、ネクストホップ拡張キーをターゲットRNCに送信するように設置される。
【0097】
本実施例のコアネットワークノードは更に、コアネットワークノードがネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含んでもよい。
【0098】
好ましくは、受信モジュール1002は更にターゲットRNCの移転完了指示メッセージを受信する前、ソースRNCが送信した移転需要メッセージを受信するように設置され、この移転需要メッセージがソースRNCのネクストホップCK’U及び/又はIK’Uを含む。送信モジュール1006は更にターゲットRNCに移転要請メッセージを送信するように設置され、この移転要請メッセージがソースRNCが送信したネクストホップCK’U及び/又はIK’Uを含む。
【0099】
図11は、本発明の実施例による無線アクセスシステムの構成ブロック図を示し、ソースRNC1102、ターゲットRNC1104、コアネットワークノード1106及びユーザ設備UE1108を含む。
【0100】
ここで、ソースRNC1102が、コアネットワークノード1106に移転需要メッセージを送信し、この移転需要メッセージにソースRNC1102のネクストホップ拡張キーを持ち、コアネットワークノード1106の移転コマンドを受信し、そしてUE1108に移転メッセージを送信するように設置される。
【0101】
ここで、ターゲットRNC1104が、コアネットワークノード1106が送信した移転要請メッセージを受信し、この移転要請メッセージにソースRNC1102が送信したネクストホップ拡張キーを持ち、且つ、コアネットワークノード1106に移転完了指示メッセージを送信し、コアネットワークノード1106の移転完了確認メッセージを受信し、この移転完了確認メッセージがターゲットRNC1104のネクストホップ拡張キーを含むように設置される。
【0102】
ここで、コアネットワークノード1106が、ターゲットRNC1104の移転完了指示メッセージを受信し、ネクストホップ拡張キーを算出し、そして移転完了確認メッセージを介してターゲットRNC1104に送信するように設置される。ここで、ユーザ設備UE1108が、ソースRNC1102が送信した移転メッセージに基づいて自身の拡張キーを同期するように設置される。
【0103】
好ましくは、コアネットワークノード1106は、ターゲットRNC1104の移転完了指示メッセージを受信するように設置され、この移転完了指示メッセージがUE1108がソースRNC1102からターゲットRNC1104までに成功に移転することを指示する受信モジュール11062と、受信モジュール11062が移転完了指示メッセージを受信した後、保存した伝統的なキー及び現在拡張キーを用いてネクストホップ拡張キーを算出するように設置される算出モジュール11064と、ネクストホップ拡張キーをターゲットRNC1104に送信するように設置される送信モジュール11066とを含む。
【0104】
コアネットワークノード1106は更に、コアネットワークノード1106がネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンターネットワークNCCを含むことが好ましい。UE1108は、UE1108がネクストホップ拡張キーを算出する回数を数えるように設置されるネクストホップカウンター端末NCCを含むことが好ましい。
【0105】
好ましくは、UE1108は更に、端末NCCがネットワークNCCに等しいかを判断するように設置される判断モジュール11082と、判断モジュール11082の判断がはいであると、使用端末NCCに対応する予め保存したCKU及び/又はIKUを用いるように設置される確定モジュール11084と、判断モジュール11082の判断結果がいいえであると、CKU及び/又はIKUを算出し、そして端末NCCがネットワークNCCに等しくなるまで、対応する端末NCCを増やすように設置される否定モジュール11086とを含む。
【0106】
図12を参照し、本実施例によるSRNC随伴移転を行う時のエアインターフェースキーの更新フローチャートを示す。本実施例では、SRNCとターゲットRNCとの間のメッセージインタラクションにはコアネットワークノードCNN+(SGSN+又はMSC+)移転を必要とせず、拡張したSRNS移転フローを用いる。本実施例は以下のステップを含む。
【0107】
ステップS1202において、ソースRNC(即ち、SRNC)SRNC移転を行なうと決定する。この決定のトリガーは、ソースRNCがUEの測定報告を受信すること、又はターゲットRNCが送信したアップリンクシグナル伝送指示を受信し、セル更新又はURA更新を行なうことを要請すること等がある。
【0108】
ステップS1204において、ソースRNCがターゲットRNCに拡張した移転要請メッセージを送信し、メッセージにネクストホップ拡張キーIK’UとCK’U、及び/又はネットワークNCCを含む。
【0109】
拡張した移転要請メッセージは以下のパラメーター、即ち、ネクストホップ拡張した完全性キーIK’U、及び/又はネクストホップ拡張した暗号化キーCK’Uを含む。そのほか、以下のパラメーターの1つ又は任意組合を持ってもよい:ユーザ設備安全能力、ユーザが支援する暗号化アルゴリズム、ユーザが支援する完全性アルゴリズム、選択した暗号化アルゴリズム、選択した完全性アルゴリズム、拡張したエアインターフェースキーに関連するネクストホップカウンターネットワークNCCの中の1つ又は任意の組み合わせを含んでもよい。前記安全材料がソースRNCからターゲットRNCまでの透明容器中に含まれることが好ましい。
【0110】
ソースRNCがネクストホップ拡張した完全性キーIK’Uを拡張した完全性キーIKUとし、ネクストホップ拡張した暗号化キーCK’Uを拡張した暗号化キーCKUとしてもよい。ソースRNCが送信した移転需要メッセージに、拡張完全性キーIKU、及び/又は拡張暗号化キーCKUを含む。
【0111】
ソースRNCはターゲットRNCが拡張した安全を支援するかを確定できない可能性があるため、ソースRNCがネクストホップ拡張キーIK’UとCK’Uをそれぞれ移転需要メッセージのIKとCKフィールドに置いてもよい。
【0112】
実際のネットワーク配置では、拡張安全機能を支援するネットワークエンティティと伝統的な安全のみを支援するネットワークエンティティが共存し、SRNCが移転する場合に、UEが拡張安全機能を支援するSRNC+から拡張安全機能を支援しないターゲットRNCまでに移転するシーンが存在する。SRNC+が移転を決定する場合に、ターゲットRNCが拡張安全機能を支援するか否かを知らない可能性がある。そのため、SRNCが移転する場合に、キーの更新も伝統的なネットワークの安全支援を考える必要がある。
【0113】
ステップS1206において、ターゲットRNCが受信したキーを保存する。ターゲットRNCが拡張した安全を支援すると、ターゲットRNCが受信したメッセージにおけるIKフィールドの値を拡張キーIKUとし、CKフィールドの値を拡張キーCKUとする。ターゲットRNCが拡張した安全を支援しないと、ターゲットRNCが受信したメッセージにおけるIKフィールドの値を伝統的なキーIKとし、CKフィールドの値を伝統的なキーCKとする。
【0114】
ステップS1208において、ターゲットRNCがソースRNCに拡張した移転応答メッセージを送信する。このメッセージを送信する前、ターゲットRNCがUEにRRC(Radio Resource Control、無線リソース制御プロトコル)接続リソースと無線リンク等のリソースを配布する。この拡張した移転応答メッセージがネクストホップカウンターネットワークNCC情報を含んでもよい。
【0115】
ステップS1210において、ソースRNCが、物理チャネル再配置メッセージ又はUTRAN移動性情報メッセージである移転メッセージをUEに送信する。前記物理チャネル再配置メッセージ又はUTRAN移動性情報メッセージにネクストホップカウンターネットワークNCC情報を含んでもよい。
【0116】
ステップS1212において、UEが拡張した安全を支援すると、UEがネットワーク側に同一なアルゴリズムで拡張した完全性キーIKU及び/又は暗号化キーCKUを更新する。
【0117】
本ステップでは、UEにネクストホップカウンター端末NCCが設置され、UEがネットワークNCCを受信し、現在アクティブにした拡張キーに対応する端末NCCがネットワークNCCに等しいかを判断し、両者が等しいと、UEが自ら保存した拡張完全性キーIKU及び/又は拡張暗号化キーCKUをそのまま使用する。ネットワークNCCが端末NCCより大きいと、UEが拡張キーIKU/CKUを算出し、端末NCCがネットワークNCCに等しくなるまで、対応する端末NCCを逓増する。
【0118】
ステップS1214において、UEがターゲットRNCに物理チャネル再配置完了メッセージ又はUTRAN移動性情報確認メッセージを送信する。前記メッセージが更新した完全性キーIKUで完全性保護を行なってもよく、又は更新した完全性キーIKUと暗号化キーCKUで前記メッセージに対して同時に完全性と暗号化保護を行なってもよい。このメッセージにはユーザ設備安全能力パラメーターを含んでもよい。
【0119】
ステップS1216において、ターゲットRNCが更新した完全性キーIKU及び/又は暗号化キーCKUを用いてこのメッセージに対して安全検証を行う。ターゲットRNCがUEに送信したメッセージを成功に検証すると、ターゲットRNCがコアネットワークノード(SGSN+又はMSC/VLR+)に拡張した移転完了要請メッセージを送信し、このメッセージがコアネットワークノードに移転完了を指示する情報を含み、ネットワークNCC情報を含んでもよい。
【0120】
ステップS1218において、コアネットワークノードがIK、CKと現在の拡張キーIKU、CKUに基づいてネクストホップ拡張キーIK’U、CK’Uを算出する。選択可能には、ネットワーク側が1つのネクストホップカウンターネットワークNCCを保守すると、コアネットワークノードがネクストホップ拡張キーIK’U、CK’Uを算出する前又は後、ネットワークNCCを逓増する。
【0121】
ステップS1220において、コアネットワークノードがターゲットRNCに移転完了確認メッセージを送信し、このメッセージがネクストホップ拡張キーIK’U、C’KU、及び/又は関連するネットワークNCCを含む。ステップS1222において、ターゲットRNCが受信したネクストホップ拡張キーIK’U、CK’U、及び/又は関連するネットワークNCCを保存し、次回SRNC移転のために用意しておく。
【0122】
ステップS1224において、コアネットワークノード(SGSN+又はMSC/VLR+)がソースRNCとの間のIuインターフェースをリリースする。
【0123】
当業者にとっては、上記本発明の各モジュール又は各ステップは汎用の計算装置によって実現することができ、単独の計算装置に集中させてもよく、複数の計算装置から構成されるネットワークに分布させてもよく、または計算装置が実行可能なプログラムのコードによって実現することもできるので、それらを記憶装置に記憶させて計算装置によって実行することができ、また、ある場合には、示された或は述べられたステップが上記と異なる順で実行されてもよく、又はそれらの夫々をそれぞれ集積回路ブロックに製作し、又はそれらにおける複数のモジュール又はステップを単独の集積回路モジュールに製作して実現することができることは明らかなことである。このように、本発明は如何なる指定のハードウェアとソフトウェアの結合にも限定されない。
【0124】
以上は、本発明の好適な実施例に過ぎず、本発明を限定するものではない。当業者であれば本発明に様々な修正や変形が可能である。本発明の主旨や原則内で行う如何なる修正、置換、改良などは本発明の保護範囲内に含まれる。