Métodos y aparatos para generar una clave de estación base de radio y un autentificador de identidad de terminal en un sistema de radio celular.
Un método para uso en una estación base de radio en un sistema de radio,
que actúa como estación base de radio de origen, para crear un primer autentificador de identidad de terminal para identificar un equipo de usuario, UE, conectado a dicha estación base de radio, en el que el UE se comunica con dicha estación base de radio a través de una comunicación segura asociada con una clave criptográfica existente caracterizado por las etapas de:
- crear (303) dicho primer autentificador de identidad de terminal en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y la clave criptográfica existente,
- distribuir (205) dicho primer autentificador de identidad de terminal a un cierto número de estaciones base de radio de destino del sistema de radio para posibilitar la identificación del UE en una estación base de radio de destino, de tal manera que el UE se identifica en la estación base de destino comparando dicho primer autentificador de identidad de terminal con un correspondiente autentificador de identidad de terminal creado en dicho UE en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y dicha clave criptográfica existente, por lo que tanto el primer autentificador de identidad de terminal como el correspondiente autentificador de identidad de terminal se crean en respuesta a la identidad del terminal y la clave criptográfica existente.
Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E10164156.
Solicitante: TELEFONAKTIEBOLAGET L M ERICSSON (PUBL).
Nacionalidad solicitante: Suecia.
Dirección: 164 83 STOCKHOLM SUECIA.
Inventor/es: BLOM,Rolf, LINDSTROM,Magnus, NORRMAN,Karl.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- H04L29/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
- H04W12/04 H04 […] › H04W REDES DE COMUNICACION INALAMBRICAS (difusión H04H; sistemas de comunicación que utilizan enlaces inalámbricos para comunicación no selectiva, p. ej. extensiones inalámbricas H04M 1/72). › H04W 12/00 Disposiciones de seguridad; Autenticación; Protección de la privacidad o el anonimato. › Gestión de claves, p. ej. utilizando la arquitectura genérica de bootstrapping [GBA].
PDF original: ES-2548868_T3.pdf
Fragmento de la descripción:
Métodos y aparatos para generar una clave de estación base de radio y un autentificador de identidad de terminal en un sistema de radio celular 5
Campo técnico
La presente invención se refiere a un método y un dispositivo para proporcionar una comunicación segura en un sistema de radio celular.
Antecedentes
El Sistema de Paquetes Evolucionado (EPS) es una norma de telecomunicaciones celulares estandarizada, estandarizada dentro del Proyecto Asociación de Tercera Generación (3GPP) . El EPS es una parte de la Evolución a Largo Plazo (LTE) de los sistemas celulares de tercera generación diseñados para satisfacer las demandas de mayores tasas de bits de usuario. Dentro de los EPS, el tráfico de Estrato de Acceso (AS) está protegido por medios criptográficos. En particular, el plano de usuario está protegido para la confidencialidad y la señalización de Control de Recursos de Radio (RRC) está protegida tanto para la confidencialidad como para la integridad. Las claves usadas para proporcionar el cifrado se derivan de una clave llamada K_eNB.
En los traspasos de estación móvil, también denominada Equipo de Usuario (UE) , desde una estación base la K_eNB de una estación base de origen se transforma en el Nodo B evolucionado de origen (eNB) , es decir, la estación base en una clave transformada llamada K_eNB* antes de que sea entregada al eNB de destino. En la actualidad, el eNB de destino transforma el K_eNB* junto con un identificador temporal de red de radio de célula (C
RNTI) de eNB de destino de usuario. De ese modo es posible proporcionar el cifrado continuo entre el UE y la estación base de destino usando la clave criptográfica transformada.
Además, se ha decidido que no sólo la célula de destino prevista debe estar preparada para aceptar una estación móvil particular, sino que también otras estaciones base deberán ser capaces de hacerlo. La razón subyacente es ayudar a recuperarse de fallo de enlace de radio, y en particular traspasos fallidos. Para facilitar la aceptación por parte de otras estaciones base, además de la estación base de destino, la estación base de origen eNB envía información de clave y un Autentificador de Identidad de Terminal (TeIT) para el conjunto de estaciones base " que se ha de preparar ". Típicamente, la estación base de origen eNB envía la información de clave y un Autentificador de Identidad de Terminal (TeIT) a las estaciones base situadas cerca de la estación base de destino y/o cerca de la estación base de origen. Sin embargo, si el mismo autentificador de seguridad es compartido por todas las eNB en el conjunto que se ha de preparar, cualquiera de ellas podría hacerse pasar por la estación móvil, al menos hasta que la protección AS se active.
Un problema dentro de la norma propuesta existente es que la misma clave transformada K_eNB* no debe ser utilizada por todas las estaciones base ya que esto permitiría que todas las estaciones base en el conjunto que se ha de preparar generasen el K_eNB finalmente usado por la estación base después del traspaso, véase la contribución a SA3, Td S3a070975. Una solución propuesta es que el sistema genere datos iniciales que se usan en la transformación de K_eNB para una estación base eNB dada en el conjunto que se ha de preparar de estaciones base. Estos datos iniciales se reenvían a continuación, junto con la clave correspondiente de estación base K_eNB*
a la estación base eNB.
Sin embargo, existe una demanda constante para reducir la complejidad y mejorar la seguridad en los sistemas de telecomunicaciones existentes. Por lo tanto existe la necesidad de un método mejorado para proporcionar una comunicación segura en un sistema de radio celular.
Sumario
Es un objeto de la presente invención proporcionar un método mejorado para proporcionar una comunicación segura en un sistema de radio celular.
Este objeto y otros se obtienen por el método, el nodo del sistema de radio y el equipo de usuario y como se establece en las reivindicaciones adjuntas. Por lo tanto, mediante la creación de una clave de estación base de radio y/o un autentificador de identidad de terminal que usa datos conocidos tanto para la estación móvil como para la estación base de radio se puede establecer y mejorar una comunicación segura sin tener que proporcionar componentes de red de seguridad adicionales o señalización adicional.
De acuerdo con una realización se genera una clave de estación base de radio derivada en un sistema de radio celular. Se crea la clave de estación base de radio derivada en respuesta a un conjunto determinado de bits de datos públicos y una clave criptográfica existente utilizada para la comunicación segura entre una estación base de 65 radio y un equipo de usuario. Los datos públicos pueden ser, por ejemplo, bits de datos asociados con la tecnología de acceso de radio, tales como bits de datos que identifican la identidad de célula física. Por este medio una clave
de estación base criptográfica específica para cada estación base de radio se deriva para cada estación base de radio incrementando así la seguridad en el sistema. Además, la clave o claves criptográficas específicas se pueden derivar sin señalización adicional y/o necesidad de generar datos de entrada específicos al derivar una clave criptográfica que es específica para cada estación base de radio, lo que reduce la complejidad y proporciona un alto nivel de seguridad.
De acuerdo con una realización, se crea un autentificador de identidad de terminal para identificar un equipo de usuario, UE, conectado a una estación base de radio en un sistema de radio. El UE se adapta para comunicarse con el sistema de radio a través de una comunicación segura asociada con una clave de cifrado existente. Al crear el autentificador de identidad de terminal se determina un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio de origen. El autentificador de identidad de terminal se genera entonces en respuesta al conjunto de bits de datos determinado, la identidad del terminal y la clave existente. Por este medio se deriva un autentificador de identidad de terminal que es específico para cada estación base de radio incrementando así la seguridad en el sistema.
De acuerdo con una realización, se proporciona un método de identificación de un equipo de usuario, UE, en un sistema de radio. El UE se comunica con el sistema de radio a través de una comunicación segura asociada con una clave de cifrado existente. Un primer autentificador de identidad de terminal se genera en una estación base de radio a la que el equipo de usuario está actualmente conectado. El primer autentificador de identidad de terminal se distribuye entonces a un cierto número de otras estaciones base de radio del sistema de radio. Un segundo autentificador de identidad de terminal también se genera en el equipo de usuario. El segundo autentificador se transmite a una de las otras estaciones base de radio. Cuando el segundo autentificador es recibido por una estación de radio, el UE es identificado mediante la comparación de los autentificadores de identidad de terminal primero y segundo. Tanto el primer autentificador de identidad de terminal como el segundo son creados en respuesta a la identidad del terminal y la clave existente. Por este medio un terminal que abandona una conexión puede volver a conectarse al sistema a través de un procedimiento de identificación segura.
La presente invención se extiende también a los nodos y equipos de usuario adaptados para implementar los métodos como se establece anteriormente.
Usar los métodos, los nodos y los equipos de usuario de acuerdo con la invención proporcionará un procedimiento más eficiente y seguro para proporcionar comunicación segura en un sistema de radio. Esto se obtiene mediante el uso de datos disponibles para la estación base de radio y el equipo de usuario al derivar una clave criptográfica o un autentificador de identidad de terminal.
Breve descripción de los dibujos
La presente invención se describirá ahora en más detalle por medio de ejemplos no limitativos y en referencia a los dibujos que se acompañan, en los que:
- la figura 1 es una vista que ilustra un sistema de radio celular, -la figura 2 es un diagrama de flujo que ilustra las etapas realizadas en un procedimiento para crear una clave de estación base de radio, 45 -la figura 3 es un diagrama de flujo que ilustra las etapas realizadas en una estación base de radio de origen cuando se prepara para verificar la autenticidad de una estación móvil en movimiento, -la figura 4 es un diagrama de flujo que ilustra las etapas realizadas en una estación base de radio... [Seguir leyendo]
Reivindicaciones:
1. Un método para uso en una estación base de radio en un sistema de radio, que actúa como estación base de radio de origen, para crear un primer autentificador de identidad de terminal para identificar un equipo de usuario, 5 UE, conectado a dicha estación base de radio, en el que el UE se comunica con dicha estación base de radio a través de una comunicación segura asociada con una clave criptográfica existente caracterizado por las etapas de:
- crear (303) dicho primer autentificador de identidad de terminal en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y la clave criptográfica 10 existente, -distribuir (205) dicho primer autentificador de identidad de terminal a un cierto número de estaciones base de radio de destino del sistema de radio para posibilitar la identificación del UE en una estación base de radio de destino, de tal manera que el UE se identifica en la estación base de destino comparando dicho primer autentificador de identidad de terminal con un correspondiente autentificador de identidad de terminal creado en dicho UE en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y dicha clave criptográfica existente, por lo que tanto el primer autentificador de identidad de terminal como el correspondiente autentificador de identidad de terminal se crean en respuesta a la identidad del terminal y la clave criptográfica existente.
2.
2. El método de acuerdo con la reivindicación 1, caracterizado porque parámetros de entrada adicionales se usan como datos de entrada cuando se crea el autentificador de identidad de terminal.
3. El método de acuerdo con cualquiera de las reivindicaciones 1-2, caracterizado porque el autentificador de 25 identidad de terminal se crea usando una función pseudoaleatoria.
4. Un método realizado por una estación base de radio que actúa como estación base de destino para identificar un equipo de usuario, UE, en el que el UE se comunica con una estación base de radio de origen a través de una comunicación segura asociada con una clave criptográfica existente caracterizado por las etapas de:
- recibir (401) un primer autentificador de identidad de terminal desde la estación base de origen, siendo generado el autentificador de identidad de terminal por la estación base de origen en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y la clave criptográfica existente, -recibir (403) un correspondiente autentificador de identidad de terminal de un UE, siendo generado el correspondiente autentificador de identidad de terminal por el UE en respuesta a un conjunto de bits de datos conocidos tanto para el UE como para la estación base de radio, la identidad del terminal y dicha clave criptográfica existente, -identificar el equipo de usuario en la estación base de radio de destino mediante la comparación (405) del primer autentificador de identidad de terminal y el correspondiente, en el que tanto el primer autentificador de identidad de terminal como el correspondiente son creados en respuesta a la identidad del terminal y la clave criptográfica existente.
4.
5. El método de acuerdo con la reivindicación 4, caracterizado porque el segundo autentificador de identidad de terminal se genera como una función pseudoaleatoria que usa la identidad del terminal y la clave existente y también otros parámetros como entrada.
6. El método de acuerdo con la reivindicación 4 ó 5, caracterizado porque el primer autentificador de identidad de terminal se genera como una función pseudoaleatoria que usa el segundo autentificador de identidad de terminal y otros parámetros como entrada.
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]