Métodos y aparatos para generar una clave de estación base de radio y un autentificador de identidad de terminal en un sistema de radio celular.

Un método para uso en una estación base de radio en un sistema de radio, que actúa como estación base de radio de origen, para crear un primer autentificador de identidad de terminal para identificar un equipo de usuario, UE, conectado a dicha estación base de radio, en el que el UE se comunica con dicha estación base de radio a través de una comunicación segura asociada con una clave criptográfica existente caracterizado por las etapas de:

- crear

(303) dicho primer autentificador de identidad de terminal en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y la clave criptográfica existente,

- distribuir (205) dicho primer autentificador de identidad de terminal a un cierto número de estaciones base de radio de destino del sistema de radio para posibilitar la identificación del UE en una estación base de radio de destino, de tal manera que el UE se identifica en la estación base de destino comparando dicho primer autentificador de identidad de terminal con un correspondiente autentificador de identidad de terminal creado en dicho UE en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y dicha clave criptográfica existente, por lo que tanto el primer autentificador de identidad de terminal como el correspondiente autentificador de identidad de terminal se crean en respuesta a la identidad del terminal y la clave criptográfica existente.

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E10164156.

Solicitante: TELEFONAKTIEBOLAGET L M ERICSSON (PUBL).

Nacionalidad solicitante: Suecia.

Dirección: 164 83 STOCKHOLM SUECIA.

Inventor/es: BLOM,Rolf, LINDSTROM,Magnus, NORRMAN,Karl.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > REDES DE COMUNICACION INALAMBRICAS > Disposiciones de seguridad, p. ej. seguridad de acceso... > H04W12/04 (Gestión de claves)

PDF original: ES-2548868_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Métodos y aparatos para generar una clave de estación base de radio y un autentificador de identidad de terminal en un sistema de radio celular 5

Campo técnico

La presente invención se refiere a un método y un dispositivo para proporcionar una comunicación segura en un sistema de radio celular.

Antecedentes

El Sistema de Paquetes Evolucionado (EPS) es una norma de telecomunicaciones celulares estandarizada, estandarizada dentro del Proyecto Asociación de Tercera Generación (3GPP) . El EPS es una parte de la Evolución a Largo Plazo (LTE) de los sistemas celulares de tercera generación diseñados para satisfacer las demandas de mayores tasas de bits de usuario. Dentro de los EPS, el tráfico de Estrato de Acceso (AS) está protegido por medios criptográficos. En particular, el plano de usuario está protegido para la confidencialidad y la señalización de Control de Recursos de Radio (RRC) está protegida tanto para la confidencialidad como para la integridad. Las claves usadas para proporcionar el cifrado se derivan de una clave llamada K_eNB.

En los traspasos de estación móvil, también denominada Equipo de Usuario (UE) , desde una estación base la K_eNB de una estación base de origen se transforma en el Nodo B evolucionado de origen (eNB) , es decir, la estación base en una clave transformada llamada K_eNB* antes de que sea entregada al eNB de destino. En la actualidad, el eNB de destino transforma el K_eNB* junto con un identificador temporal de red de radio de célula (C

RNTI) de eNB de destino de usuario. De ese modo es posible proporcionar el cifrado continuo entre el UE y la estación base de destino usando la clave criptográfica transformada.

Además, se ha decidido que no sólo la célula de destino prevista debe estar preparada para aceptar una estación móvil particular, sino que también otras estaciones base deberán ser capaces de hacerlo. La razón subyacente es ayudar a recuperarse de fallo de enlace de radio, y en particular traspasos fallidos. Para facilitar la aceptación por parte de otras estaciones base, además de la estación base de destino, la estación base de origen eNB envía información de clave y un Autentificador de Identidad de Terminal (TeIT) para el conjunto de estaciones base " que se ha de preparar ". Típicamente, la estación base de origen eNB envía la información de clave y un Autentificador de Identidad de Terminal (TeIT) a las estaciones base situadas cerca de la estación base de destino y/o cerca de la estación base de origen. Sin embargo, si el mismo autentificador de seguridad es compartido por todas las eNB en el conjunto que se ha de preparar, cualquiera de ellas podría hacerse pasar por la estación móvil, al menos hasta que la protección AS se active.

Un problema dentro de la norma propuesta existente es que la misma clave transformada K_eNB* no debe ser utilizada por todas las estaciones base ya que esto permitiría que todas las estaciones base en el conjunto que se ha de preparar generasen el K_eNB finalmente usado por la estación base después del traspaso, véase la contribución a SA3, Td S3a070975. Una solución propuesta es que el sistema genere datos iniciales que se usan en la transformación de K_eNB para una estación base eNB dada en el conjunto que se ha de preparar de estaciones base. Estos datos iniciales se reenvían a continuación, junto con la clave correspondiente de estación base K_eNB*

a la estación base eNB.

Sin embargo, existe una demanda constante para reducir la complejidad y mejorar la seguridad en los sistemas de telecomunicaciones existentes. Por lo tanto existe la necesidad de un método mejorado para proporcionar una comunicación segura en un sistema de radio celular.

Sumario

Es un objeto de la presente invención proporcionar un método mejorado para proporcionar una comunicación segura en un sistema de radio celular.

Este objeto y otros se obtienen por el método, el nodo del sistema de radio y el equipo de usuario y como se establece en las reivindicaciones adjuntas. Por lo tanto, mediante la creación de una clave de estación base de radio y/o un autentificador de identidad de terminal que usa datos conocidos tanto para la estación móvil como para la estación base de radio se puede establecer y mejorar una comunicación segura sin tener que proporcionar componentes de red de seguridad adicionales o señalización adicional.

De acuerdo con una realización se genera una clave de estación base de radio derivada en un sistema de radio celular. Se crea la clave de estación base de radio derivada en respuesta a un conjunto determinado de bits de datos públicos y una clave criptográfica existente utilizada para la comunicación segura entre una estación base de 65 radio y un equipo de usuario. Los datos públicos pueden ser, por ejemplo, bits de datos asociados con la tecnología de acceso de radio, tales como bits de datos que identifican la identidad de célula física. Por este medio una clave

de estación base criptográfica específica para cada estación base de radio se deriva para cada estación base de radio incrementando así la seguridad en el sistema. Además, la clave o claves criptográficas específicas se pueden derivar sin señalización adicional y/o necesidad de generar datos de entrada específicos al derivar una clave criptográfica que es específica para cada estación base de radio, lo que reduce la complejidad y proporciona un alto nivel de seguridad.

De acuerdo con una realización, se crea un autentificador de identidad de terminal para identificar un equipo de usuario, UE, conectado a una estación base de radio en un sistema de radio. El UE se adapta para comunicarse con el sistema de radio a través de una comunicación segura asociada con una clave de cifrado existente. Al crear el autentificador de identidad de terminal se determina un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio de origen. El autentificador de identidad de terminal se genera entonces en respuesta al conjunto de bits de datos determinado, la identidad del terminal y la clave existente. Por este medio se deriva un autentificador de identidad de terminal que es específico para cada estación base de radio incrementando así la seguridad en el sistema.

De acuerdo con una realización, se proporciona un método de identificación de un equipo de usuario, UE, en un sistema de radio. El UE se comunica con el sistema de radio a través de una comunicación segura asociada con una clave de cifrado existente. Un primer autentificador de identidad de terminal se genera en una estación base de radio a la que el equipo de usuario está actualmente conectado. El primer autentificador de identidad de terminal se distribuye entonces a un cierto número de otras estaciones base de radio del sistema de radio. Un segundo autentificador de identidad de terminal también se genera en el equipo de usuario. El segundo autentificador se transmite a una de las otras estaciones base de radio. Cuando el segundo autentificador es recibido por una estación de radio, el UE es identificado mediante la comparación de los autentificadores de identidad de terminal primero y segundo. Tanto el primer autentificador de identidad de terminal como el segundo son creados en respuesta a la identidad del terminal y la clave existente. Por este medio un terminal que abandona una conexión puede volver a conectarse al sistema a través de un procedimiento de identificación segura.

La presente invención se extiende también a los nodos y equipos de usuario adaptados para implementar los métodos como se establece anteriormente.

Usar los métodos, los nodos y los equipos de usuario de acuerdo con la invención proporcionará un procedimiento más eficiente... [Seguir leyendo]

 


Reivindicaciones:

1. Un método para uso en una estación base de radio en un sistema de radio, que actúa como estación base de radio de origen, para crear un primer autentificador de identidad de terminal para identificar un equipo de usuario, 5 UE, conectado a dicha estación base de radio, en el que el UE se comunica con dicha estación base de radio a través de una comunicación segura asociada con una clave criptográfica existente caracterizado por las etapas de:

- crear (303) dicho primer autentificador de identidad de terminal en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y la clave criptográfica 10 existente, -distribuir (205) dicho primer autentificador de identidad de terminal a un cierto número de estaciones base de radio de destino del sistema de radio para posibilitar la identificación del UE en una estación base de radio de destino, de tal manera que el UE se identifica en la estación base de destino comparando dicho primer autentificador de identidad de terminal con un correspondiente autentificador de identidad de terminal creado en dicho UE en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y dicha clave criptográfica existente, por lo que tanto el primer autentificador de identidad de terminal como el correspondiente autentificador de identidad de terminal se crean en respuesta a la identidad del terminal y la clave criptográfica existente.

2.

2. El método de acuerdo con la reivindicación 1, caracterizado porque parámetros de entrada adicionales se usan como datos de entrada cuando se crea el autentificador de identidad de terminal.

3. El método de acuerdo con cualquiera de las reivindicaciones 1-2, caracterizado porque el autentificador de 25 identidad de terminal se crea usando una función pseudoaleatoria.

4. Un método realizado por una estación base de radio que actúa como estación base de destino para identificar un equipo de usuario, UE, en el que el UE se comunica con una estación base de radio de origen a través de una comunicación segura asociada con una clave criptográfica existente caracterizado por las etapas de:

- recibir (401) un primer autentificador de identidad de terminal desde la estación base de origen, siendo generado el autentificador de identidad de terminal por la estación base de origen en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y la clave criptográfica existente, -recibir (403) un correspondiente autentificador de identidad de terminal de un UE, siendo generado el correspondiente autentificador de identidad de terminal por el UE en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y dicha clave criptográfica existente, -identificar el equipo de usuario en la estación base de radio de destino mediante la comparación (405) del primer autentificador de identidad de terminal y el correspondiente, en el que tanto el primer autentificador de identidad de terminal como el correspondiente son creados en respuesta a la identidad del terminal y la clave criptográfica existente.

4.

5. El método de acuerdo con la reivindicación 4, caracterizado porque el segundo autentificador de identidad de terminal se genera como una función pseudoaleatoria que usa la identidad del terminal y la clave existente y también otros parámetros como entrada.

6. El método de acuerdo con la reivindicación 4 ó 5, caracterizado porque el primer autentificador de identidad de terminal se genera como una función pseudoaleatoria que usa el segundo autentificador de identidad de terminal y otros parámetros como entrada.