MÉTODO Y DISPOSICIÓN EN UN SISTEMA DE TELECOMUNICACIONES.

Método y disposición en un sistema de telecomunicaciones Campo técnico La presente invención se refiere a métodos y disposiciones en un sistema de telecomunicaciones, y en particular a una solución de seguridad en el EPS (Sistema de Paquetes Evolucionado), es decir, la E-UTRAN (la Red de Acceso de Radiocomunicaciones Terrestre UMTS Evolucionada) y la EPC (red Central de Paquetes Evolucionada), para solicitudes de servicio activadas por un UE. Más específicamente, la presente invención se refiere a un método y una disposición en una MME (Entidad de Gestión de Movilidad) y en un UE (Equipo de Usuario) para un EPS (Sistema de Paquetes Evolucionado) para establecer una clave de seguridad con el fin de proteger el tráfico de RRC/UP. Antecedentes En la arquitectura del EPS, la autenticación del abonado se realiza entre un UE y una MME (Entidad de Gestión de Movilidad), y la MME gestiona, por ejemplo, la movilidad, las identidades de UE y los parámetros de seguridad. El fundamento para definir el procedimiento de seguridad en el EPS es una clave de seguridad, K_ASME, que es compartida entre la MME y el UE, y se establece en la autenticación del UE. Una entidad funcional de la arquitectura del EPS denominada ASME (Entidad de Gestión de Seguridad de Acceso) puede, por ejemplo, estar ubicada conjuntamente con la MME, y la ASME recibe y almacena la clave de seguridad K_ASME derivada de las claves CK/IK confinadas en la red doméstica. A partir de la clave de seguridad, K_ASME, la ASME obtiene un contexto de seguridad NAS usado para proteger la señalización NAS, es decir, la señalización de Estrato Sin Acceso entre la MME de la red Central de Paquetes Evolucionada (EPC) y un UE. El contexto de seguridad NAS contiene parámetros para el cifrado y la protección de integridad de la señalización NAS, tales como K_NAS_enc, K_NAS_int, así como números de secuencias de enlace ascendente y enlace descendente, NAS_U_SEQ y NAS_D_SEQ, y los números de secuencia se usan para evitar la repetición de mensajes antiguos, y también como entradas en los procedimientos de cifrado y de protección de integridad. La ASME proporciona a la MME el contexto de seguridad NAS, y en la MME se mantiene un contexto de seguridad NAS, y en el UE se mantiene un contexto de seguridad NAS correspondiente, y la protección de repetición, la protección de integridad y el cifrado se basan en que los números de secuencia de los contextos de seguridad NAS de la MME y el UE no se reutilizan. Preferentemente, el contexto de seguridad para la protección del tráfico de UP/RRC entre un UE y el NodoBe (es decir, una estación de radiocomunicaciones en una arquitectura de EPS) de servicio se basa también en dicha clave de seguridad, K_ASME. El procedimiento para establecer el contexto de seguridad UP/RRC conlleva la obtención de una clave denominada K_eNB, a partir de la cual se obtiene la clave de cifrado K_eNB_UP_enc para proteger el UP (Plano de Usuario), es decir, los datos de usuario final transferidos a través de la EPC y la E-UTRAN, así como la clave de cifrado, K_eNB_RRC_enc, y la clave de protección de integridad, K_eNB_RRC_int, para proteger el RRC (Control de Recursos de Radiocomunicaciones). La figura 1 ilustra un flujo de señalización ejemplificativo convencional para una transición del estado INACTIVO al ACTIVO iniciada por un UE, en una arquitectura de EPS. Un UE INACTIVO es solamente conocido por la EPC (Red Central de Paquetes Evolucionada) del EPS, y no existe ningún contexto de seguridad UP/RRC entre el Nodo Be y el UE. Un UE en el estado ACTIVO es conocido tanto en la EPC como en la EUTRAN, y se ha establecido un contexto de seguridad UP/RRC para la protección del tráfico de UP/RRC entre el UE y su NodoBe. La figura 1 ilustra un UE 11, un NodoBe 12, una MME 13, una GW (Pasarela) 14 de servicio, una Pasarela 15 de PDN, y el HSS (Servidor de Abonados Domésticos) 16. La Pasarela 14 de Servicio es el nodo de la EPC con el que acaba la interfaz hacia la EUTRAN, y la Pasarela de PDN es el nodo de la EPC con el que acaba la interfaz hacia una PDN (Red de Datos por Paquetes). Si un UE accede a múltiples PDNs, puede haber múltiples Pasarelas de PDN para ese UE. En la señal S1 y la señal S2, se reenvía de manera transparente la Solicitud de Servicio NAS desde el UE a la MME, y la Solicitud de Servicio NAS está protegida en cuanto a integridad basándose en el NAS_U_SEQ. En la señal opcional S3, el UE es autenticado por la MME y se establece la K_ASME, usando datos de abonado almacenados en el HSS (Servidor de Abonados Domésticos), y la MME envía la Solicitud de Establecimiento de Contexto Inicial al NodoBe, en S4. En las señales S5 y S6, el NodoBe establece el portador de radiocomunicaciones con el UE y reenvía datos de enlaces ascendente, y devuelve un mensaje de Establecimiento de Contexto Inicial Completo a la MME en la señal S7. En la señal S8, la MME envía una solicitud de actualización de portador a la GW de Servicio, y la GW de Servicio responde en la señal S9. En soluciones anteriores, la obtención de la K_eNB por parte del UE y la MME para el contexto de seguridad RRC/UP se basa, por ejemplo, en un mensaje ACEPTACIÓN DE SERVICIO NAS u otra información explícita enviada desde la MME al UE. No obstante, tal como se ilustra en el flujo de señalización EPS convencional ejemplificativo de la figura 1, la MME normalmente no enviará ninguna ACEPTACIÓN DE SERVICIO NAS tras recibir una SOLICITUD DE SERVICIO NAS desde un UE en un EPS. Por lo tanto, no será posible obtener la K_eNB a partir de la información de un mensaje ACEPTACIÓN DE SERVICIO NAS. Según una solución conocida ejemplificativa, la K_eNB es obtenida por la MME a partir de la K_ASME y el 2   NAS_D_SEQ usados por la MME en el mensaje ACEPTACIÓN DE SERVICIO NAS, y el UE obtiene la misma K_eNB recuperando el número de secuencia, NAS_D_SEQ, a partir del mensaje ACEPTACIÓN DE SERVICIO NAS y realizando el mismo procedimiento de obtención de K_eNB que la MME. La MME transfiere la K_eNB al NodoBe cuando establece la conexión de S1 con el NodoBe. No obstante, un inconveniente con esta solución conocida es que si no se define ningún mensaje explícito de ACEPTACIÓN DE SERVICIO NAS desde la MME al UE, tal como en el flujo de señalización EPS convencional ejemplificativo de la figura 1, no es posible para el UE obtener la misma K_eNB que la MME. Aun cuando es técnicamente posible para el UE realizar una estimación de un número de secuencia de enlace descendente NAS actual, NAS_D_SEQ, esta estimación podría ser errónea, puesto que la MME puede haber enviado mensajes NAS que se perdieron y no fueron recibidos nunca por el UE. En tal caso, la MME haría que se actualizase su NAS_D_SEQ, sin que el UE tuviera conocimiento de la actualización, lo cual conduce a un NAS_D_SEQ erróneo en el UE. Según otra solución conocida ejemplificativa, la obtención de la K_eNB se basa en un número de secuencia independiente mantenido específicamente para la obtención de la K_eNB, y este número de secuencia se sincroniza explícitamente durante el procedimiento de Solicitud de Servicio NAS o bien mediante el envío del mismo a la MME por parte del UE, o bien mediante el envío del mismo hacia el UE por parte de la MME. No obstante, un inconveniente de esta solución es la complejidad adicional del número de secuencia independiente, puesto que el mismo se debe mantener tanto en el UE como en la MME para evitar ataques de repetición. Resumen El objetivo de la presente invención es afrontar el problema expuesto anteriormente en líneas generales, y este objetivo y otros se logran mediante el método y la disposición según las reivindicaciones independientes, y por medio de las realizaciones según las reivindicaciones dependientes. La idea básica de la presente invención es que la K_eNB se obtiene a partir de la K_ASME y a partir del NAS_U_SEQ del mensaje SOLICITUD DE SERVICIO NAS del UE a la MME, activándose de este modo el establecimiento de un contexto de seguridad UP/RRC en el NodoBe. Una de las ventajas de la presente invención es que no se requiere ningún mensaje ACEPTACIÓN DE SERVICIO NAS o número de secuencia de enlace descendente, explícito, desde la MME al UE, y que la funcionalidad de protección contra repeticiones del contexto de seguridad NAS se reutiliza en los contextos de seguridad de RRC y UP. Según un aspecto, la invención proporciona un método en una Entidad de Gestión de Movilidad, MME, de un Sistema de Paquetes Evolucionado, EPS, para establecer una clave de seguridad, K_eNB, con el fin de proteger tráfico de RRC/UP entre un Equipo de Usuario, UE, y un NodoBe que presta servicio al UE. El método comprende las etapas de recibir una Solicitud de Servicio NAS desde el UE, indicando la solicitud un número de secuencia de enlace ascendente NAS, NAS_U_SEQ; obtener la clave de seguridad, K_eNB, a partir de por lo... [Seguir leyendo]

1. Método en una Entidad (13) de Gestión de Movilidad, MME, de un Sistema de Paquetes Evolucionado, EPS, para establecer una clave de seguridad, K_eNB, con el fin de proteger tráfico de RRC/UP entre un Equipo (11) de Usuario, UE, y un NodoBe (12) que presta servicio al UE, comprendiendo el método las siguientes etapas: - Recibir (32, 52) una Solicitud de Servicio NAS desde el UE, indicando la solicitud un número de secuencia de enlace ascendente NAS, NAS_U_SEQ; - Obtener (33, 53) la clave de seguridad, K_eNB, a partir de por lo menos dicho NAS_U_SEQ recibido y a partir de una clave de Entidad de Gestión de Seguridad de Acceso, K_ASME, almacenada, compartida con dicho UE; - Reenviar (34) dicha K_eNB obtenida hacia el NodoBe (12) que presta servicio a dicho UE. 2. Método en una MME según la reivindicación 1, en el que la K_eNB se obtiene a partir del NAS_U_SEQ y la K_ASME usando una Función Seudo-Aleatoria, PRF. 3. Método en una MME según la reivindicación 1 ó 2, que comprende la etapa adicional de reconstruir el número de secuencia de enlace ascendente NAS NAS_U_SEQ completo a partir de bits de orden inferior recibidos. 4. Método en una MME según cualquiera de las reivindicaciones anteriores, que comprende la etapa adicional de comprobar en cuanto a integridad la Solicitud de Servicio NAS recibida desde el UE (11). 5. Método en una MME según cualquiera de las reivindicaciones anteriores, que comprende la etapa adicional de devolver (54, 55) una indicación del NAS_U_SEQ recibido al UE (11). 6. Método en una MME según la reivindicación 5, en el que el NAS_U_SEQ se incluye en el mensaje de establecimiento que reenvía la K_eNB al NodoBe (12). 7. Método en un Equipo (11) de Usuario, UE, de un Sistema de Paquetes Evolucionado, EPS, para establecer una clave de seguridad, K_eNB, con el fin de proteger tráfico de RRC/UP intercambiado con un NodoBe (12) de servicio, comprendiendo el método las siguientes etapas: - Enviar (31, 51) una Solicitud de Servicio NAS a una Entidad de Gestión de Movilidad, MME, indicando la solicitud un número de secuencia de enlace ascendente NAS, NAS_U_SEQ; - Obtener (35, 56) la K_eNB a partir de por lo menos dicho NAS_U_SEQ y a partir de una clave de Entidad de Gestión de Seguridad de Acceso, K_ASME, almacenada, compartida con dicha MME. 8. Método en un UE según la reivindicación 7, en el que la K_eNB se obtiene a partir del NAS_U_SEQ y la K_ASME usando una Función Seudo-Aleatoria, PRF. 9. Método en un UE según cualquiera de las reivindicaciones 7 a 8, que comprende la etapa adicional de proteger en cuanto a integridad la Solicitud de Servicio NAS enviada a la MME. 10. Método en un UE según cualquiera de las reivindicaciones 7 a 9, que comprende la etapa de almacenar el NAS_U_SEQ de la Solicitud de Servicio NAS enviada a la MME. 11. Método en un UE según cualquiera de las reivindicaciones 7 a 9, que comprende la etapa de recibir (55) una indicación del NAS_U_SEQ de la Solicitud de Servicio NAS enviada a la MME, de vuelta desde la MME (13) a través del NodoBe (12). 12. Método en un UE según cualquiera de las reivindicaciones 10 u 11, en el que la K_eNB se obtiene a partir del NAS_U_SEQ y la K_ASME después de la recepción de un mensaje de configuración de seguridad desde el NodoBe. 13. Entidad (13) de Gestión de Movilidad, MME, adaptada para un Sistema de Paquetes Evolucionado, EPS, estando dispuesta la MME para establecer una clave de seguridad, K_eNB, para la protección de tráfico de RRC/UP entre un UE (11) y un NodoBe (12) que presta servicio al UE, caracterizada la MME por: - Medios (62) para recibir una Solicitud de Servicio NAS desde el UE, indicando la solicitud un número de secuencia de enlace ascendente NAS, NAS_U_SEQ; - Medios (63) para obtener una K_eNB a partir de por lo menos dicho NAS_U_SEQ recibido y a partir de una clave de Entidad de Gestión de Seguridad de Acceso, K_ASME, almacenada, compartida con dicho UE, - Medios (64) para enviar dicha K_eNB obtenida hacia el NodoBe que presta servicio a dicho UE. 14. MME según la reivindicación 13, dispuesta para obtener la K_eNB a partir del NAS_U_SEQ y la K_ASME 8   usando una Función Seudo-Aleatoria, PRF. 15. MME según la reivindicación 13 ó 14, dispuesta para reconstruir el número de secuencia de enlace ascendente NAS NAS_U_SEQ completo a partir de bits de orden inferior recibidos. 16. MME según cualquiera de las reivindicaciones 13 a 15, dispuesta para comprobar en cuanto a integridad la Solicitud de Servicio NAS recibida desde el UE (11). 17. MME según cualquiera de las reivindicaciones 13 a 16, dispuesta para reenviar (54) una indicación del NAS_U_SEQ al NodoBe (12), para ser devuelta (55) al UE (11) desde el NodoBe. 18. Equipo (11) de usuario, UE, adaptado para un Sistema de Paquetes Evolucionado, EPS, estando dispuesto el UE para establecer una clave de seguridad, K_eNB, con el fin de proteger tráfico de RRC/UP intercambiado con un NodoBe (12) de servicio, estando caracterizado el UE por: - Medios (66) para enviar una Solicitud de Servicio NAS a una MME (13), indicando la solicitud un número de secuencia de enlace ascendente NAS, NAS_U_SEQ; - Medios (67) para obtener una K_eNB a partir de por lo menos dicho NAS_U_SEQ, y a partir de una clave de Entidad de Gestión de Seguridad de Acceso, K_ASME, almacenada, compartida con dicha MME (13). 19. UE (11) según la reivindicación 18, dispuesto para obtener la K_eNB a partir del NAS_U_SEQ y la K_ASME usando una Función Seudo-Aleatoria, PRF. 20. UE según cualquiera de las reivindicaciones 18 a 19, dispuesto para proteger en cuanto a integridad la Solicitud de Servicio NAS enviada a la MME (13). 21. UE según cualquiera de las reivindicaciones 18 a 20, dispuesto para almacenar el NAS_U_SEQ de la Solicitud de Servicio NAS enviada a la MME (13). 22. UE según cualquiera de las reivindicaciones 18 a 20, dispuesto para recibir una indicación del NAS_U_SEQ de la Solicitud de Servicio NAS enviada a la MME (13), de vuelta desde la MME a través del NodoBe (12). 23. UE según cualquiera de las reivindicaciones 21 ó 22, dispuesto para obtener la K_eNB después de la recepción de un mensaje de configuración de seguridad desde el NodoBe (12). 9     11   12   13   14