Un método de crear una clave de estación de base de radio derivada en una estación de base de radio de origende un sistema celular de radio en una conexión con un Equipo de Usuario,

UE, que es susceptible de ser conectadoal sistema celular de radio, caracterizado por las operaciones de:

- crear (203) la clave de la estación de base de radio en respuesta a un conjunto determinado de datos y unaclave criptográfica existente utilizada para la comunicación entre el Equipo de Usuario, UE, y la estación debase de radio de origen, en el que el conjunto determinado de datos son bits de identidad de célula físicaderivada de la identidad de células de la célula asociada con una estación de b

Métodos y aparatos que generan una clave para estación de base de radio en un sistema celular de radio

Campo técnico

La presente invención se refiere a un método y a un dispositivo para proporcionar una comunicación segura en un sistema celular de radio.

Antecedentes

El sistema evolucionado de paquetes (EPS, en sus siglas en inglés) es un estándar normalizado de telecomunicaciones celulares, normalizado en el Proyecto de Asociación de Tercera Generación (3GPP, en sus siglas en inglés) . EPS es parte de la evolución a largo plazo (LTE, en sus siglas en inglés) de sistemas celulares de tercera generación diseñados para satisfacer los requisitos de mayores velocidades de transmisión de bits de usuarios más elevadas. Dentro del EPS, el tráfico del Estrato de Acceso (AS, en sus siglas en inglés) está protegido por medios criptográficos. En particular, el plano de usuario está protegido confidencialmente y la señalización del Control de Recursos de Radio (RRC, en sus siglas en inglés) está protegida tanto en la confidencialidad como en su integridad. Las claves utilizadas para proporcionar encriptado se derivan de una clave criptográfica llamada K_eNB.

En traspasos de estación móvil, también denominadas Equipos de Usuario (UE) , desde una estación de base la K_eNB de una estación de base de origen se transforma en el Nodo B evolucionado (eNB, en sus siglas en inglés) de origen, es decir, la estación de base en una clave transformada llamada K_eNB* antes de que sea entregada al eNB objetivo. En la actualidad, el ENB objetivo transforma el K_eNB* junto con un Identificador Temporal de Red Celular de Radio (C-RNTI, en sus siglas en inglés) de eNB objetivo de usuario. Por este motivo, es posible proporcionar encriptación continuada entre el UE y la estación de base objetivo que usa la clave criptográfica transformada.

Además, se ha decidido que no solamente la célula objetivo destinada debe estar preparada para aceptar una estación móvil particular, sino también otras estaciones de base podrán hacer eso mismo. La razón subyacente es ayudar a recuperarse de un fallo del enlace de radio, y en particular de traspasos fallidos. Para facilitar la aceptación por parte de otras estaciones de base, además de la estación de base objetivo, la estación de base de origen eNB envía información clave y un Testigo de Identidad de Terminal (TeIT, en sus siglas en inglés) para el conjunto de estaciones de base que van a "estar-preparadas". Por lo general, la estación de base de origen eNB envía información clave y un Testigo de Identidad de Terminal (TeIT) a estaciones de base situadas cerca de la estación de base objetivo y/o cerca de la estación de base de origen. Sin embargo, si el mismo testigo de seguridad es compartido por todos los eNB en el conjunto que van a estar-preparados, cualquiera de aquellos podría hacerse pasar por la estación móvil, por lo menos hasta que la protección de AS está activada.

Un problema dentro del estándar propuesto existente es que la misma clave K_eNB* transformada no debería ser utilizada por todas las estaciones de base ya que esto permitiría a todas las estaciones de base en el conjunto que va a estar-preparados para generar la K_eNB finalmente utilizada por la estación de base después del traspaso, véase la contribución a SA3, Td S3a070975. Una solución propuesta es que el sistema genera datos iniciales que se utiliza en la transformación de K_eNB para una estación de base eNB dada en el conjunto para estar preparadas de estaciones de base. Estos datos iniciales se remitirá entonces junto con la clave K_eNB* de la estación de base correspondiente a la estación de base eNB.

También el documento “Key refresh in SAE/LTE, S3-070234”, XP-002445697 describe un método en el que los datos son enviados sobre la interfaz aérea para generar la entrada cuando se genera una nueva clave de estación de base.

Sin embargo, existe una demanda constante para reducir la complejidad y mejorar la seguridad en los sistemas de telecomunicaciones existentes. Por tanto, existe una necesidad de un método mejorado para proporcionar una comunicación segura en un sistema celular de radio.

Compendio Es un objeto de la presente invención proporcionar un método mejorado para proporcionar una comunicación segura en un sistema celular de radio.

Este objeto y otros se obtienen mediante el método, nodo de sistema de radio y Equipo de Usuario y como se establece en las reivindicaciones adjuntas. Así, mediante la creación de una clave de estación de base de radio y/o un Testigo de Identidad de Terminal que utiliza datos conocidos tanto a la estación móvil como a la estación de base de radio, una comunicación segura se puede establecer y mejorar sin tener que proporcionar componentes adicionales de red de seguridad o de señalización adicional.

Según una realización, se genera clave de una estación de base de radio derivada. La clave de la estación de base de radio derivada se crea en respuesta a un conjunto determinado de bits de datos públicos y una clave criptográfica existente utilizada para comunicación segura entre una estación de base de radio y un Equipo de Usuario. Los datos públicos pueden ser, por ejemplo, bits de datos asociados con la Tecnología de Acceso a la Radio, tales como los bits de datos que identifican la identidad de la célula física. Por este medio, una clave criptográfica de una estación de base, específica para cada estación de base de radio se deriva para cada estación de base de radio aumentando, de esa manera, la seguridad del sistema. Además, la clave (o claves) criptográfica específica se puede derivar sin señalización adicional ni/o sin necesidad de generar datos de entrada específicos cuando se deriva una clave criptográfica que es específica para cada estación de base de radio, lo que reduce la complejidad y proporciona un nivel elevado de seguridad.

De acuerdo con una realización, se crea un Testigo de Identidad de Terminales para la identificación de un Equipo de Usuario, UE, conectado a una estación de base de radio en un sistema de radio. El UE está destinado a comunicarse con el sistema de radio a través de una comunicación segura asociada con una clave de encriptación existente. Cuando se crea el Testigo de Identidad de Terminales, se determina un conjunto de bits de datos conocido tanto por el UE como por la estación de base de radio de origen. Luego, es generado el Testigo de Identidad de Terminales en respuesta al conjunto determinado de bits de datos, la identidad del terminal y la clave existente. Por esto, se deriva un Testigo de Identidad de Terminales que es específico para cada estación de base de radio, aumentando de ese modo la seguridad del sistema.

Según una realización, se proporciona un método de identificación de un Equipo de Usuario, UE, en un sistema de radio. El UE comunica con el sistema de radio a través de una comunicación segura asociada con una clave de encriptación existente. Un primer Testigo de Identidad de Terminales se genera en una estación de base de radio a la que está actualmente conectado el Equipo de Usuario.

El primer Testigo de Identidad de Terminales se distribuye luego a un número de otras estaciones de base de radio del sistema de radio. Un segundo Testigo de Identidad de Terminales también se genera en el Equipo de Usuario. El segundo testigo es transmitido a una de las otras estaciones de base de radio. Cuando el segundo testigo es recibido por una estación de radio, el UE es identificado mediante la comparación del primer y segundo Testigos de Identidad de Terminales. Ambos Testigos de Identidad de Terminales primero y segundo son creados en respuesta a la identidad del terminal y a la clave existente. Por lo tanto, un terminal que deja caer una conexión puede volver a conectarse al sistema a través de un procedimiento de identificación seguro.

La presente invención se extiende también a nodos y Equipos de Usuario destinados a ejecutar en la práctica los métodos que se han descrito más arriba.

Utilizar los métodos, los nodos y Equipos de Usuario según la invención proporcionará un procedimiento más eficiente y seguro para proporcionar comunicación segura en un sistema de radio. Esto se logra usando datos disponibles para la estación de base de radio y el Equipo de Usuario cuando se deriva una clave criptográfica o un Testigo de Identidad de Terminales.

Breve descripción de los dibujos La presente invención se describirá ahora con más detalle por medio de ejemplos... [Seguir leyendo]

1. Un método de crear una clave de estación de base de radio derivada en una estación de base de radio de origen de un sistema celular de radio en una conexión con un Equipo de Usuario, UE, que es susceptible de ser conectado al sistema celular de radio, caracterizado por las operaciones de:

- crear (203) la clave de la estación de base de radio en respuesta a un conjunto determinado de datos y una clave criptográfica existente utilizada para la comunicación entre el Equipo de Usuario, UE, y la estación de base de radio de origen, en el que el conjunto determinado de datos son bits de identidad de célula física derivada de la identidad de células de la célula asociada con una estación de base de radio objetivo, conocida tanto por el Equipo de Usuario como por la estación de base de radio de origen.

2. El método según la reivindicación 1, caracterizado por la operación de usar parámetros de entrada adicionales como datos de entrada cuando se crea la clave de la estación de base de radio derivada.

3. El método según cualquiera de las reivindicaciones 1-2, caracterizado por la operación de crear la clave de la estación de base de radio derivada utilizando una Función Pseudo Aleatoria.

4. Un nodo (103) para su uso en un sistema celular de radio, estando el nodo destinado a crear una clave de estación de base de radio derivada, estando el nodo caracterizado, adicionalmente, por:

- Medios (601) para determinar un conjunto de datos que son bits de identidad de células físicas derivados de la identidad de la célula de la célula asociada con una estación de base de radio objetivo, conocida tanto por un Equipo de Usuario, UE, que se comunica con el sistema de radio celular vía una comunicación segura asociada con una clave criptográfica existente, como por una estación de base de radio del sistema celular de radio, y

- Medios (603) para la creación de la clave de la estación de base de radio en respuesta al conjunto determinado de datos y la clave criptográfica existente.

5. El nodo según la reivindicación 4, caracterizado por medios para usar parámetros de entrada adicionales como datos de entrada cuando se crea la clave de la estación de base de radio derivada.

6. El nodo según cualquiera de las reivindicaciones 4-5, caracterizado por medios para la creación de la clave de la estación de base de radio derivada usando una Función Pseudo Aleatoria.