Método, dispositivo y sistema de derivación de clave.

Un método de derivación de clave, que comprende:

obtener (203) por una Entidad de Gestión de Movilidad,

MME, un valor COUNT de enlace descendente de Estrato SinAcceso, NAS;

derivar (204), por la MME, una clave de un Equipamiento de Usuario, UE, en una Red de Acceso por Radio TerrestreUniversal, UTRAN, de acuerdo con una Función de Derivación de Clave, KDF, una clave raíz, y el nuevo valor COUNTde enlace descendente de NAS;

guardar, mediante la MME, la clave después de la derivación de clave, y

enviar (207), por la MME, el nuevo valor COUNT de enlace descendente de NAS al UE.

en el que antes de obtener, por la MME, el nuevo valor COUNT de enlace descendente de NAS, el método comprendeademás:

determinar, por la MME, si la clave del UE en la UTRAN objetivo está actualmente guardada; en caso afirmativo,determinar además si un valor COUNT de enlace descendente de NAS correspondiente a la clave guardada actualmentedel UE en la UTRAN objetivo es consistente con el valor COUNT de enlace descendente de NAS actual; ysi es consistente, realizar la operación de obtener el nuevo valor COUNT de enlace descendente de NAS.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2010/074559.

Solicitante: HUAWEI TECHNOLOGIES CO., LTD..

Nacionalidad solicitante: China.

Dirección: HUAWEI ADMINISTRATION BUILDING BANTIAN LONGGANG DISTRICT SHENZHEN, GUANGDONG 518129 CHINA.

Inventor/es: ZHANG,AIQIN, CHEN,JING, BI,XIAOYU.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • H04W12/04 ELECTRICIDAD.H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS.H04W REDES DE COMUNICACION INALAMBRICAS (difusión H04H; sistemas de comunicación que utilizan enlaces inalámbricos para comunicación no selectiva, p. ej. extensiones inalámbricas H04M 1/72). › H04W 12/00 Disposiciones de seguridad; Autenticación; Protección de la privacidad o el anonimato. › Gestión de claves, p. ej. utilizando la arquitectura genérica de bootstrapping [GBA].

PDF original: ES-2436552_T3.pdf

 

Método, dispositivo y sistema de derivación de clave.

Fragmento de la descripción:

Método, dispositivo y sistema de derivación de clave CAMPO DEL INVENTO

El presente invento se refiere al campo de las tecnologías de comunicaciones, y en particular, a un método, dispositivo y sistema de derivación de clave.

ANTECEDENTES DEL INVENTO

En un sistema de comunicación móvil, una red de acceso por radio incluye un sistema de comunicación móvil de segunda generación, un sistema de comunicación móvil de tercera generación, y un sistema de Evolución a Largo Plazo (LTE) .

En una transferencia o traspaso de un Equipamiento de Usuario (UE) desde una red donde se sitúa originalmente el UE, en particular una red fuente o de origen, a una red objetivo, una clave de la red objetivo puede ser derivada a partir de una clave de la red fuente, evitando por ello el proceso de autenticación y negociación de clave, de manera que el UE y un lado de la red generan, a través del mismo parámetro y algoritmo de clave, la clave eventualmente utilizada en la red objetivo.

En una Red de Acceso por Radio Terrestre Universal (UTRAN) , el proceso de autenticación y negociación de clave genera una Clave de Cifrado (CK) y una Clave de Integridad (IK) ; y en un UTRAN evolucionado (EUTRAN) , el proceso de autentificación y generación de clave genera una clave raíz (Kasme) .

Tomando la transferencia de un UE desde una EUTRAN a una UTRAN como un ejemplo, una estación base (BS) que sirve originalmente al UE en la EUTRAN (denominada como una BS fuente para abreviar en lo que sigue) inicia un proceso de transferencia de red; una Entidad de Gestión de Movilidad (MME) asociada con la BS fuente, en particular una MME fuente, deriva una clave CK’ || IK’ del UE en una red objetivo de acuerdo con una Función de Derivación de Clave (KDF) , un parámetro de entrada, en particular una clave de raíz Kasme, y un valor COUNT de enlace descendente de Estrato Sin Acceso (NAS) en el contexto de seguridad actual, y envía la clave derivada a la UTRAN objetivo; la red objetivo decide un algoritmo de seguridad para el UE y devuelve el algoritmo de seguridad al UE; y el UE sincroniza la clave con un lado de la red objetivo de acuerdo con el algoritmo de seguridad.

3GPP TS 33. 401 v8.4.0 describe un procedimiento de transferencia desde la E-UTRAN a la UTRAN, el UE y la MME derivarán una clave CK’ confidencialmente, y una clave de integridad IK’ desde la KASME y el valor COUNT de enlace descendente de NAS del contexto de seguridad actual con la ayuda de una función de derivación de clave KDF de una sola dirección como se ha especificado en el Anexo A. Una MME proporcionará también al menos los 4 lsb del valor COUNT de enlace descendente de NAS a la eNB fuente, que entonces incluirá los bits al Comando de MobilityFromE-UTRAN al UE.

El documento EP2293609 describe un método para derivar claves cuando la Transferencia o Actualización del Área de Enrutamiento del Equipamiento de Usuario (UE) desde una Red de Acceso por Radio Terrestre Universal Evolucionada (E-UTRAN) a una Red de Acceso por Radio Terrestre Universal (UTRAN) o Sistema Global para Tasa de Comunicación Móvil/Datos Mejorados para Red de Acceso por Radio de Evolución de GSM (GERAN) ocurre, las claves para la UTRAN

o la GERAN son derivadas por una Entidad de Gestión de Movilidad (MME) y/o el UE utilizando parámetros predefinidos. Los parámetros predefinidos incluyen una clave de raíz de la E-UTEAN y un valor de un Cómputo de Estrato Sin Acceso (NAS) . Un sistema de derivación de claves para derivar las claves está descrito también.

En el proceso de transferencia anterior del UE desde la EUTRAN a la UTRAN, la transferencia del UE a la UTRAN puede fallar debido al fallo de la conexión de un enlace por radio de interfaz de aire, de manera que el UE vuelve a la EUTRAN e inicia un proceso de restablecimiento de enlace a la BS que sirve actualmente al UE, es decir, la BS donde se sitúa el UE actualmente, denominada como una BS actual para abreviar en lo que sigue, y decidir después realizar un transferencia, la BS inicia otro proceso de transferencia. En este caso, la derivación de clave en la MME en el segundo proceso de transferencia y la derivación de clave en la MME en el primer proceso de transferencia son ambas realizadas de acuerdo con la clave de raíz Kasme y el valor COUNT de enlace descendente de NAS actual, y por tanto la clave CK’ || IK’ calculada es la misma, lo que da como resultado que la clave obtenida durante la transferencia por múltiples Controladores de Red de Radio (RNC) en una red UMTS a través de un nodo de soporte GPRS de servicio objetivo (SGSN) es la misma. De esta manera, una vez que la clave utilizada en un RNC es obtenida, las claves en otros RNC puede ser derivadas consiguientemente, y la seguridad de red se encuentra en peligro.

RESUMEN DEL INVENTO

El presente invento está dirigido a un método, dispositivo y sistema de derivación de clave, para mejorar la seguridad de red.

Una realización del presente invento proporciona un método de derivación de clave, donde el método incluye en su

primera forma de implementación o puesta en práctica: generar un valor aleatorio; utilizar el valor aleatorio y una clave raíz como parámetros de entrada de una KDF para derivar una clave de un UE en una UTRAN objetivo; o utilizar el valor aleatorio, un valor COUNT de enlace descendente de NAS actual, y la clave raíz como

parámetros de entrada de la KDF para derivar la clave del UE en la UTRAN objetivo. Una realización del presente invento proporciona un método de derivación de clave, donde el método incluye: recibir, por un UE, un mensaje de Comando de Transferencia; utilizar un valor aleatorio y una clave raíz como parámetros de entrada de una KDF para derivar una clave del

UE en una UTRAN objetivo si el mensaje de Comando de Transferencia incluye el valor aleatorio; y utilizar el valor aleatorio, un valor COUNT de enlace descendente de NAS actual, y la clave raíz como parámetros de entrada de la KDF para derivar la clave del UE en la UTRAN objetivo si el mensaje de Comando de Transferencia incluye el valor aleatorio y el valor COUNT de enlace descendente de NAS actual.

Una realización del presente invento proporciona un método de derivación de clave, donde el método incluye: obtener un nuevo valor COUNT de enlace descendente de NAS; derivar una clave de un UE en una UTRAN objetivo de acuerdo con una KDF, una clave raíz, y el nuevo valor

COUNT de enlace descendente de NAS; guardar, por la MME, la clave después de la derivación de clave, y enviar el nuevo valor COUNT de enlace descendente de NAS al UE, de manera que el UE derive la clave en la UTRAN objetivo,

en el que antes de obtener, por la MME, el nuevo valor COUNT de enlace descendente de NAS, el método comprende además: determinar, por la MME, si la clave del UE en la UTRAN objetivo está guardada actualmente; en caso afirmativo, determinar además si un valor COUNT de enlace descendente de NAS correspondiente con la clave guardada actualmente del UE en la UTRAN objetivo es consistente con el valor COUNT de enlace descendente de NAS actual; y

si es consistente, realizar la operación de obtener el nuevo valor COUNT de enlace descendente de NAS. Una realización del presente invento proporciona un método de derivación de clave donde el método incluye:

recibir, por un UE, un mensaje de Comando de Transferencia, en que el mensaje de Comando de Transferencia incluye un nuevo valor COUNT de enlace descendente de NAS; y derivar una clave del UE en una UTRAN objetivo de acuerdo con una KDF, una clave raíz, y el nuevo valor

COUNT de enlace descendente de NAS, recibir, por el UE, un cierto valor que se añade al valor COUNT de enlace descendente de NAS actual en un segundo proceso de transferencia. Una realización del presente invento proporciona un método de derivación de clave, donde el método incluye:

recibir un mensaje de Transferencia Requerida, en que el mensaje de Transferencia Requerida incluye un valor reciente de un UE; utilizar el valor reciente del UE y una clave raíz como parámetros de entrada de una KDF para derivar una clave del UE en una UTRAN objetivo; o utilizar el valor reciente del UE, un valor COUNT de enlace descendente NAS actual, y la clave raíz como parámetros de entrada de la KDF para derivar la clave del UE en la UTRAN objetivo. Una realización del presente invento proporciona un método de derivación de clave, en el que el método incluye: enviar, por un UE, un mensaje de Solicitud de Restablecimiento de Conexión de Control de Recurso de Radio (RRC) , en que el mensaje de Solicitud de Restablecimiento de Conexión de RRC incluye un valor reciente del UE; 3

utilizar el valor reciente... [Seguir leyendo]

 

Reivindicaciones:

1. Un método de derivación de clave, que comprende:

obtener (203) por una Entidad de Gestión de Movilidad, MME, un valor COUNT de enlace descendente de Estrato Sin Acceso, NAS; derivar (204) , por la MME, una clave de un Equipamiento de Usuario, UE, en una Red de Acceso por Radio Terrestre

Universal, UTRAN, de acuerdo con una Función de Derivación de Clave, KDF, una clave raíz, y el nuevo valor COUNT de enlace descendente de NAS; guardar, mediante la MME, la clave después de la derivación de clave, y

enviar (207) , por la MME, el nuevo valor COUNT de enlace descendente de NAS al UE. en el que antes de obtener, por la MME, el nuevo valor COUNT de enlace descendente de NAS, el método comprende además:

determinar, por la MME, si la clave del UE en la UTRAN objetivo está actualmente guardada; en caso afirmativo, determinar además si un valor COUNT de enlace descendente de NAS correspondiente a la clave guardada actualmente del UE en la UTRAN objetivo es consistente con el valor COUNT de enlace descendente de NAS actual; y

si es consistente, realizar la operación de obtener el nuevo valor COUNT de enlace descendente de NAS.

2. El método según la reivindicación 1, en el que la obtención, por la MME, del valor COUNT de enlace descendente de NAS comprende: añadir, por la MME, un cierto valor a un valor COUNT de enlace descendente de NAS actual. 3. El método según la reivindicación 2, en el que el cierto valor es 1. 4. El método según la reivindicación 1, en el que la obtención por la MME del nuevo valor COUNT de enlace

descendente de NAS comprende:

enviar, mediante la MME, un mensaje de NAS al UE, y utilizar un valor COUNT de enlace descendente de NAS después de que el mensaje NAS sea enviado como el nuevo valor COUNT de enlace descendente de NAS. 5. El método según la reivindicación 1, en el que el envío, por la MME, del nuevo valor COUNT de enlace descendente

de NAS al UE comprende: enviar, mediante la MME, cuatro bits menos significativos del nuevo valor COUNT de enlace descendente de NAS al UE. 6. Una Entidad de Gestión de Movilidad, MME, que comprende: una unidad de valor de cómputo (31) , configurada para obtener un nuevo valor COUNT de enlace descendente, de

Estrato si Acceso, NAS; una segunda unidad de derivación (32) , configurada para derivar una clave de un Equipamiento de Usuario, UE, en una Red de Acceso por Radio Terrestre Universal, UTRAN, de acuerdo con una Función de Derivación de Clave, KDF, una

clave de raíz, y el nuevo valor COUNT de enlace descendente de NAS que es obtenido por la unidad de obtención de valor de cómputo; una unidad para guardar, configurada para guardar la clave derivada por la segunda unidad de derivación (32) ; una unidad de envío de transferencia (33) , configurada para enviar el nuevo valor COUNT de enlace descendente de

NAS obtenido por la unidad de obtención de valor de cómputo a la UE; y una unidad de determinación (34) , configurada para determinar si la clave del UE en la UTRAN objetivo está guardada actualmente; en caso afirmativo, determinar además si un valor COUNT de enlace descendente de NAS correspondiente

con la clave actualmente guardada del UE en la UTRAN objetivo es consistente con el valor COUNT de enlace descendente de NAS actual, en el que cuando un resultado de determinación de la unidad de determinación es que el valor COUNT de enlace descendente de

NAS correspondiente a la clave guardada actualmente del UE en la UTRAN objetivo es consistente con el valor de COUNT de enlace descendente de NAS actual, la unidad de obtención del valor de cómputo obtiene el nuevo valor COUNT de enlace descendente de NAS.

7. La MME según la reivindicación 6, en la que

la unidad de obtención de valor de cómputo (31) está configurada para obtener el nuevo valor COUNT de enlace descendente de NAS añadiendo un cierto valor al valor COUNT de enlace descendente de NAS actual. 8. La MME según la reivindicación 7, en la que el cierto valor es 1.

9. Un método de derivación de clave, que comprende: recibir (501) , por una Entidad de Gestión de Movilidad, MME, un mensaje de Transferencia Requerida desde una Estación Base BS;

derivar (502) , por la MME, una clave de un Equipamiento de Usuario, UE, en una Red de Acceso por Radio Terrestre Universal, UTRAN, de acuerdo con una Función de Derivación de Clave, KDF, una clave raíz, y un valor COUNT de enlace descendente de Estrato Sin Acceso, NAS;

enviar (505) , mediante la MME, el valor COUNT de enlace descendente de NAS actual al UE; añadir (506) , mediante la MME, un cierto valor al valor COUNT de enlace descendente de NAS actual. 10. El método según la reivindicación 9, en la que la derivación (502) , por la MME, de una clave de un Equipamiento de

Usuario, UE, en una Red de Acceso por Radio Terrestre Universal, UTRAN, de acuerdo con una Función de Derivación de Clave, KDF, una clave raíz, y un valor COUNT de enlace descendente de Estrato Sin Acceso, NAS, actual comprende:

derivar (502) , mediante la MME, la clave del UE en la UTRAN de acuerdo con la KDF, la clave raíz, y el valor COUNT de enlace descendente de NAS actual en un contexto de seguridad actual.

11. El método según la reivindicación 9, o la reivindicación 10, en el que el cierto valor es 1. 12. El método según la reivindicación 9, en el que el envío, mediante la MME, del valor COUNT de enlace descendente de NAS al UE comprende:

enviar, mediante la MME, un mensaje de Comando de Transferencia que lleva el valor COUNT de enlace descendente

de NAS al UE. 13. El método según la reivindicación 9, en el que el envío, mediante la MME, del valor COUNT de enlace descendente de NAS actual al UE comprende:

enviar, mediante la MME, los cuatro bits menos significativos del valor COUNT de enlace descendente de NAS actual al UE.

14. Un método de derivación de clave, que comprende: recibir (507) por un Equipamiento de Usuario, UE, un valor COUNT de enlace descendente de Estrato Sin Acceso, NAS, desde una Entidad de Gestión de Movilidad, MME, en un primer proceso de transferencia; y

derivar (507) , por el UE, una clave del UE en una Red de Acceso por Radio Terrestre Universal, UTRAN, de acuerdo con una Función de Derivación de Clave, KDF, una clave raíz, y un valor COUNT de enlace descendente de NAS actual en el primer proceso de transferencia;

recibir por el UE, un nuevo valor COUNT de enlace descendente de NAS obtenido por la MME añadiendo un cierto valor al valor COUNT de enlace descendente de NAS actual en un segundo proceso de transferencia.

15. El método según la reivindicación 14, en el que el cierto valor es 1. 16. El método según la reivindicación 14, en el que la recepción, por el UE de un valor COUNT de enlace descendente de Estrato Sin Acceso, NAS, actual comprende: recibir, por el UE un mensaje de Comando de Transferencia enviado por la MME, en el que el mensaje de Comando de Transferencia comprende el valor COUNT de enlace descendente de Estrato Sin Acceso, NAS.

17. Una Entidad de Gestión de Movilidad, MME, que comprende:

una unidad receptora de transferencia, configurada para recibir un mensaje de Transferencia Requerida desde una Estación Base, BS; una segunda unidad de derivación (32) , configurada para derivar una clave de un Equipamiento de Usuario, UE, en una

Red de Acceso por Radio Terrestre Universal, UTRAN, de acuerdo con una Función de Derivación de Clave (KDF) , una clave raíz, y un valor COUNT de enlace descendente de NAS; una unidad de envío de transferencia (33) , configurada para enviar el valor COUNT de enlace descendente de NAS

actual al UE; y

una unidad de obtención de valor de cómputo (31) , configurada para añadir un cierto valor al valor COUNT de enlace descendente de NAS actual.

18. La MME según la reivindicación 17, en la que el cierto valor es 1.

19. La MME según la reivindicación 17, en la que la unidad de envío de transferencia (33) está configurada para enviar un mensaje de Comando de Transferencia que lleva el valor COUNT de enlace descendente de NAS al UE.

20. Un Equipamiento De Usuario, UE, que comprende:

una segunda unidad receptora de mensaje (40) configurada para recibir un valor COUNT de enlace descendente de Estrato Sin Acceso, NAS, desde una Entidad de Gestión de Movilidad, MME, en un primer proceso de transferencia; y

una segunda unidad de derivación de clave (41) configurada para derivar una clave del UE en una Red de Acceso por Radio Terrestre Universal, UTRAN, de acuerdo con una Función de Derivación de Clave, KDF, una clave raíz, y el valor COUNT de enlace descendente de NAS actual en el mensaje de Comando de Transferencia recibido por la segunda unidad receptora de mensaje en el primer proceso de transferencia;

la segunda unidad receptora de mensaje (40) , configurada para recibir un nuevo valor COUNT de enlace descendente de NAS obtenido por la MME añadiendo un cierto valor al valor COUNT de enlace descendente de NAS actual en un segundo proceso de transferencia.

21. El UE según la reivindicación 20, en el que el cierto valor es 1.


 

Patentes similares o relacionadas:

Transferencia automática segura de datos con un vehículo de motor, del 22 de Julio de 2020, de AIRBIQUITY INC: Un dispositivo electrónico en un vehículo para operar en un vehículo de motor en un estado de energía desatendido, comprendiendo el dispositivo […]

Evitar discordancia de claves en tratamiento de seguridad para banda de multifrecuencia, del 17 de Junio de 2020, de Nokia Solutions and Networks Oy: Un procedimiento, que comprende: recibir, por un nodo B evolucionado de origen configurado para comunicarse con un equipo de usuario desde […]

Método y sistema de aprovisionamiento de datos de acceso a dispositivos móviles, del 3 de Junio de 2020, de VISA INTERNATIONAL SERVICE ASSOCIATION: Un método para el aprovisionamiento de datos de acceso a una segunda aplicación no confiable (20B) en un dispositivo móvil mediante el uso […]

Método y aparato de establecimiento de clave y de envío de datos, del 27 de Mayo de 2020, de Advanced New Technologies Co., Ltd: Un método para enviar primeros datos desde un primer terminal directamente a un segundo terminal, que comprende: escribir y almacenar en una cadena […]

Aparato de autenticación con interfaz Bluetooth, del 27 de Mayo de 2020, de OneSpan International GmbH: Un dispositivo de autenticación de mano portátil para generación de una credencial dinámica que comprende: un componente de almacenamiento adaptado […]

Uso compartido de información en un espacio inteligente, del 27 de Mayo de 2020, de Nokia Technologies OY: Un aparato, que comprende: una unidad de comunicación de campo cercano configurada para leer información de conectividad a partir de un objeto que almacena información […]

Aparato de comunicación, procedimiento de control del aparato de comunicación, y programa, del 6 de Mayo de 2020, de CANON KABUSHIKI KAISHA: Aparato de comunicación que comprende: una primera unidad de ejecución configurada para realizar (F417) un primer proceso de configuración de un parámetro inalámbrico […]

Configuración de plazo de espera de comprobación de operatividad usando mensajes IKE, del 6 de Mayo de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método para la configuración y la realización de una comprobación de operatividad utilizando mensajes de intercambio de claves de Internet, siendo el método realizado […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .