Управление ключами
Изобретение относится к области сотовой связи. Технический результат заключается в повышении безопасности использования ключей в сети сотовой связи. Технический результат достигается за счет объекта управления мобильностью (MME) в сети сотовой связи, принятия посредством МME от базовой станции сообщения, относящегося к приостановке или возобновлению соединения пользовательского оборудования (UE), в ответ на прием данного сообщения определяют посредством МME, выполняется ли условие обновления ключа, если условие обновления ключа выполняется, перенаправляют посредством МME на базовую станцию новую пару 'следующий транзитный участок (NH), счетчик цепочки следующих транзитных участков (NCC)', причем NH является параметром, который используется при получении основного ключа уровня, связанного с предоставлением доступа (AS), а NCC является параметром, ассоциированным с ключом, который нужно использовать при последующем возобновлении. 6 н. и 16 з.п. ф-лы, 13 ил.
ОБЛАСТЬ ТЕХНИКИ
Данное изобретение относится к способу работы оконечного устройства и сетевого узла в сети сотовой связи.
УРОВЕНЬ ТЕХНИКИ
Интернет вещей в сотовых сетях (CIoT) является новой радиотехнологией, которая способна обеспечить расширенное покрытие для неблагоприятных условий, например, подвальных помещений, и рассчитана на обслуживание большого количества UE (свыше 50000 на каждую базовую станцию) с использованием сильно ограниченной полосы пропускания (например, 160 бит/с).
Целью является поддержка высокоэффективной обработки частых и нечастых небольших передач данных с минимизированной служебной нагрузкой для системной сигнализации без нарушения безопасности. Причинами служебной нагрузки сигнализации могут быть процедуры, необходимые для смены состояний UE, например, при переходах между свободным состоянием и подключенным состоянием. Хотя эти процедуры могут использоваться, когда UE является UE IoT, которое может требовать нечастого подключения к сети, процедуры могут использоваться для любого типа UE.
Чтобы уменьшить служебную нагрузку сигнализации и ассоциированную нагрузку по обработке в сети, предложено решение, которое основывается на повторном использовании информации из предыдущего соединения RRC для последующей настройки соединения RRC.
Сокращение служебной нагрузки сигнализации осуществляется путем внедрения двух новых процедур "Приостановка RRC" (RRC Suspend) и "Возобновление RRC" (RRC Resume) и представления измененного поведения UE в новом свободном состоянии CIoT, где релевантная информация сохраняется, когда UE переходит в свободное состояние, инициируемое процедурой приостановки RRC, и повторно используется для последующей настройки соединения посредством UE. Хотя здесь приводятся примеры, относящиеся к случаям, где UE является UE CIoT, процедуры "Приостановка RRC" и "Возобновление RRC" либо аналогичные могут использоваться с любым UE.
Предлагается хранить на eNB контекст безопасности уровня, связанного с предоставлением доступа. При приостановке соединения RRC eNB указывает UE, как получать ключ безопасности для последующего возобновления, то есть предоставляет UE конфигурацию алгоритма безопасности и счетчик цепочки следующих транзитных участков (NCC), ассоциированный с KeNB, который нужно использовать при последующем возобновлении.
Это может потребовать, чтобы KeNB хранился на eNB продолжительные периоды времени, когда приостанавливается соединение RRC. Это увеличивает опасность того, что KeNB уйдет из eNB, который может быть развернут в уязвимом местоположении. Если бы атакующий завладел таким "утекшим" KeNB, то он смог бы умышленно воспользоваться таким KeNB, пока KeNB (или производные такого KeNB) используются для защиты связи между UE и eNB.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
В соответствии с настоящим изобретением предоставляется способ в объекте управления мобильностью в сети сотовой связи. Способ содержит прием сообщения от базовой станции, относящегося к приостановке или возобновлению соединения UE; определение, выполняется ли условие обновления ключа; и перенаправление базовой станции новой пары NH, NCC, если выполняется условие обновления ключа.
В соответствии с настоящим изобретением предоставляется объект управления мобильностью для использования в сети связи. Объект управления мобильностью выполнен с возможностью принимать от базовой станции сообщение, относящееся к приостановке или возобновлению соединения UE; определять, выполняется ли условие обновления ключа; и, если условие обновления ключа выполняется, перенаправлять в базовую станцию новую пару NH, NCC.
В соответствии с настоящим изобретением предоставляется объект управления мобильностью для использования в сети связи. Объект управления мобильностью содержит процессор и запоминающее устройство, при этом запоминающее устройство содержит команды, исполняемые процессором, так что объект управления мобильностью функционирует для того, чтобы: принимать от базовой станции сообщение, относящееся к приостановке или возобновлению соединения UE; определять, выполняется ли условие обновления ключа; и, если условие обновления ключа выполняется, перенаправлять в базовую станцию новую пару NH, NCC.
В соответствии с настоящим изобретением предоставляется объект управления мобильностью для использования в сети связи. Объект управления мобильностью содержит: модуль приема для приема от базовой станции сообщения, относящегося к приостановке или возобновлению соединения UE; модуль определения для определения того, выполняется ли условие обновления ключа; и модуль перенаправления для перенаправления в базовую станцию новой пары NH, NCC, если выполняется условие обновления ключа.
В соответствии с настоящим изобретением предоставляется способ работы базовой станции в сети сотовой связи. Способ содержит этапы, на которых: отправляют в объект управления мобильностью в сети сотовой связи сообщение, относящееся к приостановке соединения UE, где сообщение содержит информацию обновления ключа; и, если принятое от объекта управления мобильностью сообщение включает в себя пару NH, NCC, получают ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей.
В соответствии с настоящим изобретением предоставляется базовая станция для использования в сети связи. Базовая станция выполнена с возможностью отправлять в объект управления мобильностью в сети сотовой связи сообщение, относящееся к приостановке соединения UE, где сообщение содержит информацию обновления ключа; и, если принятое от объекта управления мобильностью сообщение включает в себя пару NH, NCC, получать ключевую информации с использованием пары NH, NCC для будущего использования при получении ключей.
В соответствии с настоящим изобретением предоставляется базовая станция для использования в сети связи, при этом базовая станция содержит процессор и запоминающее устройство, причем запоминающее устройство содержит команды, исполняемые процессором, так что базовая станция функционирует для того, чтобы: отправлять в объект управления мобильностью в сети сотовой связи сообщение, относящееся к приостановке соединения UE, где сообщение содержит информацию обновления ключа; и, если принятое от объекта управления мобильностью сообщение включает в себя пару NH, NCC, получать ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей.
В соответствии с настоящим изобретением предоставляется базовая станция для использования в сети связи. Базовая станция содержит: модуль отправки для отправки в объект управления мобильностью в сети сотовой связи сообщения, относящегося к приостановке соединения UE, где сообщение содержит информацию обновления ключа; и модуль получения для того чтобы, если принятое от объекта управления мобильностью сообщение включает в себя пару NH, NCC, получать ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей.
В соответствии с настоящим изобретением предоставляется компьютерная программа, сконфигурированная для осуществления любого из предыдущих способов при прогоне на компьютере. В соответствии с настоящим изобретением предоставляется компьютерный программный продукт, содержащий машиночитаемый носитель и такую компьютерную программу.
Поэтому некоторые варианты осуществления изобретения позволяют эффективно поддерживать безопасность.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг. 1 иллюстрирует часть сети сотовой связи.
Фиг. 2 иллюстрирует узел базовой сети в сети из фиг. 1.
Фиг. 3 иллюстрирует узел радиодоступа в сети из фиг. 1.
Фиг. 4 иллюстрирует задействуемую первую процедуру в сети из фиг. 1.
Фиг. 5 иллюстрирует задействуемую вторую процедуру в сети из фиг. 1.
Фиг. 6 иллюстрирует объект управления мобильностью в сети из фиг. 1.
Фиг. 7 иллюстрирует объект управления мобильностью в сети из фиг. 1.
Фиг. 8 иллюстрирует объект управления мобильностью в сети из фиг. 1.
Фиг. 9 иллюстрирует базовую станцию в сети из фиг. 1.
Фиг. 10 иллюстрирует базовую станцию в сети из фиг. 1.
Фиг. 11 иллюстрирует базовую станцию в сети из фиг. 1.
Фиг. 12 иллюстрирует процесс, выполняемый в объекте управления мобильностью.
Фиг. 13 иллюстрирует процесс, выполняемый на базовой станции.
ПОДРОБНОЕ ОПИСАНИЕ
Нижеследующее с целью объяснения, а не ограничения излагает характерные подробности, например конкретные варианты осуществления. Однако специалист в данной области техники примет во внимание, что могут применяться другие варианты осуществления кроме этих характерных подробностей. В некоторых случаях подробные описания известных способов, узлов, интерфейсов, схем и устройств пропускаются с тем, чтобы не затруднять описание ненужной подробностью. Специалисты в данной области техники примут во внимание, что описанные функции можно реализовать в одном или нескольких узлах с использованием аппаратных схем (например, аналоговые и/или дискретные логические вентили, взаимосвязанные для выполнения специализированной функции, ASIC, PLA и т. п.) и/или с использованием компьютерных программ и данных в сочетании с одним или несколькими цифровыми микропроцессорами или универсальными компьютерами, которые приспособлены специально для осуществления раскрытой в этом документе обработки на основе исполнения таких программ. Узлы, которые взаимодействуют с использованием радиоинтерфейса, также содержат подходящие схемы радиосвязи. Кроме того, технология дополнительно может считаться полностью реализуемой в любом виде машиночитаемого запоминающего устройства, например твердотельного запоминающего устройства, магнитного диска или оптического диска, содержащего подходящий набор машинных команд, которые заставили бы процессор осуществлять описанные в этом документе методики.
Аппаратная реализация может включать в себя, без ограничения, цифровой процессор сигналов (DSP), процессор с сокращенным набором команд, аппаратные (например, цифровые или аналоговые) схемы, включающие в себя специализированную интегральную схему (схемы) [ASIC] и/или программируемую пользователем вентильную матрицу (матрицы) [FPGA], но не только, и (при необходимости) конечные автоматы, допускающие выполнение таких функций.
В плане компьютерной реализации компьютер обычно понимается содержащим один или несколько процессоров, один или несколько модулей обработки либо один или несколько контроллеров, и термины "компьютер", "процессор", "модуль обработки" и "контроллер" могут применяться взаимозаменяемо. При обеспечении с помощью компьютера, процессора или контроллера функции могут предоставляться одиночным специализированным компьютером или процессором либо контроллером, одиночным совместно используемым компьютером или процессором либо контроллером, или множеством отдельных компьютеров или процессоров либо контроллеров, некоторые из которых могут быть совместно используемыми или распределенными. Кроме того, термин "процессор" или "контроллер" также относится к другим аппаратным средствам, допускающим выполнение таких функций и/или исполнение программного обеспечения, например, к примерным аппаратным средствам, перечисленным выше.
Хотя описание приводится для пользовательского оборудования (UE), специалисту в данной области техники следует понимать, что "UE" является неограничивающим термином, содержащим любое мобильное или беспроводное устройство либо узел, оборудованный радиоинтерфейсом, допускающим по меньшей мере одно из: передачи сигналов по восходящей линии связи (UL) и прием и/или измерение сигналов по нисходящей линии связи (DL). UE в этом документе может быть выполнено в виде UE (в общем смысле), допускающего работу или по меньшей мере выполнение измерений на одной или нескольких частотах, несущих частотах, составляющих несущих или полосах частот. Это может быть "UE", работающее по одной или нескольким технологиям радиодоступа (RAT) либо в многостандартном режиме. В нижеследующем описании термины "мобильная станция" ("MS"), "мобильное устройство" и "оконечное устройство" так же, как и "UE", могут использоваться взаимозаменяемо, и нужно будет принять во внимание, что такое устройство не обязательно должно быть "мобильным" в том смысле, что его носит пользователь. Вместо этого термин "мобильное устройство" включает в себя любое устройство, которое допускает осуществление связи с сетями связи, которые работают в соответствии с одним или несколькими стандартами мобильной связи, например глобальная система мобильной связи, GSM, UMTS, система долгосрочного развития, LTE, IEEE 802.11 или 802.16, и т. п.
Сота ассоциируется с базовой станцией, где базовая станция в широком смысле выполнена в виде любого сетевого узла, передающего радиосигналы по нисходящей линии связи (DL) и/или принимающего радиосигналы по восходящей линии связи (UL), также называемого узлом радиодоступа. Некоторыми примерными базовыми станциями или терминами, используемыми для описания базовых станций, являются eNodeB, eNB, Узел Б, базовая макро/микро/пико/фемто-радиостанция, домашний eNodeB (также известный как базовая фемто-станция), ретранслятор, повторитель, датчик, только передающие радиоузлы или только принимающие радиоузлы, или точка доступа (AP) WLAN. Базовая станция может работать или по меньшей мере выполнять измерения на одной или нескольких частотах, несущих частотах или полосах частот и может допускать агрегирование несущих. Она также может быть узлом на одной технологии радиодоступа (RAT), нескольких RAT или многостандартным узлом, например, использующим одинаковые или разные модули прямой передачи для разных RAT.
Фиг. 1 иллюстрирует часть сети 10 сотовой связи. Сеть 10 содержит узел радиодоступа или базовую станцию 12, образующую часть сети 14 радиодоступа (RAN) в сети 10 сотовой связи. RAN 14 подключается к базовой сети 16 (CN) в сети 10 сотовой связи. Базовая сеть 16 включает в себя такие узлы, как объект 18 управления мобильностью (MME) и Обслуживающий шлюз 19 (SGW). Фиг. 1 также в качестве примера показывает оконечное устройство 20 (UE) Интернета вещей в сотовых сетях (CIoT) с подключением к базовой станции 12. Конечно, сеть обычно будет включать в себя многие базовые станции и очень большое количество оконечных устройств, но данной фиг. 1 достаточно для понимания настоящего изобретения. Оконечное устройство может быть любым пользовательским оборудованием или может быть устройством, которое автоматически подключается к сети при необходимости, и может быть стационарным или портативным. Термины "пользовательское оборудование" (UE) и "мобильная станция" (MS) используются в этом документе для ссылки на оконечное устройство. В этом документе описываются способы, привлекающие базовую станцию в виде eNodeB (eNB), но нужно будет принять во внимание, что любой узел радиодоступа может участвовать в раскрытых способах.
Фиг. 2 показывает вид объекта 18 управления мобильностью (MME), который можно приспособить или сконфигурировать для работы в соответствии с одним или несколькими описанными неограничивающими примерными вариантами осуществления. MME 18 содержит процессор или блок 22 обработки, который управляет работой MME 18. Блок 22 обработки подключается к блоку 24 приемопередатчика, который используется для передачи сигналов и приема сигналов от других узлов в сети 10. MME 18 также содержит память или запоминающее устройство 28, которое подключается к блоку 22 обработки и содержит команды или машинный код, исполняемые блоком 22 обработки, и другую информацию либо данные, необходимые для работы MME 18 в соответствии с описанными в этом документе способами.
Фиг. 3 показывает узел радиодоступа или базовую станцию 12 (BS), которую можно приспособить или сконфигурировать для работы в соответствии с одним или несколькими описанными неограничивающими примерными вариантами осуществления. Базовая станция 12 содержит процессор или блок 32 обработки, который управляет работой базовой станции 12. Блок 32 обработки подключается к блоку 34 приемопередатчика (который содержит приемник и передатчик) с ассоциированной антенной (антеннами) 36, которые используются для передачи сигналов и приема сигналов от оконечного устройства (устройств) 20. Базовая станция 12 также содержит память или запоминающее устройство 38, которое подключается к блоку 32 обработки и содержит команды или машинный код, исполняемые блоком 32 обработки, и другую информацию либо данные, необходимые для работы базовой станции 12 в соответствии с описанными в этом документе способами.
В этом документе описываются варианты осуществления, в которых узел радиодоступа или базовая станция 12 (BS) имеют вид eNodeB (eNB).
Чтобы уменьшить служебную нагрузку сигнализации, существуют процедуры, при помощи которых релевантная информация сохраняется, когда UE переходит в свободное состояние, инициируемое процедурой приостановки RRC, и повторно используется для последующей настройки соединения посредством UE.
В подробнее описываемых ниже вариантах осуществления информация, относящаяся к каждому получению параметров безопасности (например, получению KeNB), проводимому на eNB, добавляется в сигнализацию, используемую на S1AP, чтобы информировать MME о каждом таком получении. В других вариантах осуществления MME мог бы обладать другими политиками, например, контролируемой по времени политикой в отношении того, когда получать новый NH.
Локальная политика в MME может определять, что нужен новый KeNB, например, если количество попыток получения достигает некоего предела, и в соответствии с той политикой не осуществимо никакое дальнейшее получение. В этом случае MME может снабдить eNB новой парой "следующий транзитный участок (NH), счетчик цепочки следующих транзитных участков (NCC)" (при этом значение NH является параметром "промежуточного ключа", который используется при получении основного ключа AS, KeNB*, а NCC является параметром, который указывает количество вертикальных получений ключа, которое выполнено, начиная с исходного KeNB), которую eNB использует для получения нового KeNB.
Не существует теоретического предела того, сколько получений можно произвести, вместо этого оно могло бы быть просто пороговой величиной или набором политик в MME.
В качестве альтернативы eNB может обладать локальной политикой, и когда выполняются условия той локальной политики, eNB может запросить MME (в сигнализации, используемой на S1AP) предоставить новую пару NH, NCC. Тогда MME может решить, предоставлять ли новую пару NH, NCC, по возможности после проверки своей политики.
Это решение гарантирует, что поддерживается безопасность уровня, связанного с предоставлением доступа, когда контекст уровня, связанного с предоставлением доступа, кэшируется в RAN и UE.
Фиг. 4 иллюстрирует пример процедуры приостановки, выполняемой в сети сотовой связи между оконечным устройством (UE), базовой станцией в виде eNodeB (eNB) в сети радиодоступа, и объектом управления мобильностью (MME) и обслуживающим шлюзом (S-GW) в сети с расширенным пакетным ядром.
В начале процедуры UE передает данные восходящей линии связи (UL), которые проходят через eNB к S-GW и далее по сети, а S-GW перенаправляет данные нисходящей линии связи (DL) через eNB к UE.
На этапе 401 сеть, в частности eNB, решает приостановить соединение RRC.
На этапе 402 eNB указывает MME с помощью сообщения неактивного контекста UE S1AP, что приостанавливается соединение RRC у UE. MME и eNB сохраняют ассоциацию S1AP и связанные контексты UE.
MME сохраняет TEID DL, ассоциированные с UE и eNodeB. Кроме того, MME сохраняет значения NH и NCC, используемые позже.
В некоторых вариантах осуществления eNB может указывать в сообщении S1AP количество получений ключа, выполненное с текущим KeNB. В некоторых других вариантах осуществления eNB может указывать в сообщении S1AP, что нужно другое получение параметров безопасности. Отправленное от eNB к MME сообщение может включать в себя эти или другие виды информации обновления ключа.
На этапе 403 MME отправляет к SGW сообщение с запросом освобождения однонаправленных каналов доступа (указание аварийного освобождения линии радиосвязи), запрашивающее освобождение всех однонаправленных каналов S1-U для UE. SGW считает UE находящимся в свободном состоянии.
На этапе 404 SGW предоставляет MME сообщение с ответом освобождения однонаправленного канала доступа, подтверждающее освобождение всех однонаправленных каналов S1-U для UE.
На этапе 405 MME отправляет к eNB сообщение, квитирующее деактивацию контекста.
К тому же MME на основе своей политики определяет, выполняется ли условие обновления ключа, в ответ на принятое от eNB сообщение неактивного контекста UE S1AP. Там, где принятое от eNB сообщение содержало информацию обновления ключа, MME может определить, выполняется ли условие обновления ключа, на основе информации обновления ключа. Например, MME на основе информации обновления ключа может определить, достигло ли предела количество получений.
В качестве альтернативы MME может определить, прошло ли некоторое время с последнего получения NH.
В других вариантах осуществления политика может быть характерной для UE или для типа UE. Например, политика может основываться на информации о подписке UE. В качестве другого примера политика основывается на типе UE, например, если оно является UE CIoT, которому нужно экономить батарею.
Политика в качестве альтернативы или дополнительно может учитывать и другие факторы. Например, политика в MME может устанавливать, что получение NH выполняется всегда.
Какие бы критерии не рассматривались, если выполняется условие обновления ключа, то MME увеличивает счетчик NCC и получает новое значение NH, сохраняет значения и предоставляет eNB новую пару NH, NCC.
На этапе 406 MME входит в состояние "ECM-SUSPENDED".
На этапе 407 eNB отправляет UE сообщение, приостанавливающее соединение RRC у UE. Если от MME была предоставлена новая пара NH, NCC, то eNB получает новый KeNB.
Отправленное к UE сообщение включает в себя идентификатор (ID возобновления), который используется при последующем возобновлении того приостановленного соединения RRC. В конкретных случаях UE и eNB сохраняют связанную информацию о контексте, то есть конфигурацию RRC, конфигурацию однонаправленного канала (включая информацию о состоянии RoHC), контекст безопасности уровня, связанного с предоставлением доступа, и параметры L2/1. Это сообщение также содержит конфигурацию алгоритма безопасности и счетчик цепочки следующих транзитных участков (NCC), ассоциированный с K_eNB, который нужно использовать при последующем возобновлении.
В другом варианте осуществления, если от MME предоставлены новые NH и NCC, то eNodeB может исполнить процедуру SMC RRC, чтобы выяснить использование нового KeNB на UE. Это дает UE и eNodeB возможность выполнить быстрое возобновление RRC, когда UE иногда возвращается позже.
На этапе 408 уровень RRC UE входит в состояние RRC-SUSPENDED, а уровень EMM UE входит в состояние ECM-SUSPENDED.
Фиг. 5 иллюстрирует пример первой процедуры возобновления, выполняемой в сети сотовой связи между оконечным устройством (UE), базовой станцией в виде eNodeB (eNB) в сети радиодоступа, и объектом управления мобильностью (MME) и обслуживающим шлюзом (S-GW) в сети с расширенным пакетным ядром.
На этапе 501 UE оценивает информацию контроля доступа для запрещения классов доступа и запрещения расширенного доступа (EAB) и на этапе 502 отправляет msg1 RA (Преамбула). На этапе 503 eNB отвечает с помощью msg2 RA (Ответ) в соответствии с унаследованной процедурой, когда UE обращается к сети из свободного состояния RRC.
На этапе 504 UE отправляет в msg3 сообщение с запросом возобновления соединения RRC, в которое UE включает свой ID возобновления, маркер аутентификации, указатель однонаправленного канала и причину установления. eNB использует ID возобновления, чтобы ассоциировать UE с ранее сохраненным контекстом UE. Более того, msg3 также может содержать плоскость пользователя, мультиплексированную посредством MAC согласно существующим спецификациям, где возобновленный сохраненный контекст безопасности используется для шифрования плоскости пользователя. Маркер аутентификации может основываться на существующем средстве для аутентификации UE при восстановлении RRC, как задано в 3GPP TS 36.331.
На этапе 505 в сообщении 4, обозначенном здесь как сообщение завершения возобновления соединения RRC, сеть указывает, какие DRB возобновляются, и кроме того, оно включает в себя ID возобновления и обновленные параметры L2/1, если применимо.
На этапе 506 UE и eNB возобновляют соединение с использованием сохраненного контекста безопасности для шифрования. Здесь используются ключи, указанные в сообщении приостановления соединения RRC.
На этапе 507 eNB уведомляет MME об изменении состояния UE в сообщении S1AP, обозначенном здесь как активный контекст UE S1-AP. ECM в MME входит в состояние ECM-CONNECTED. MME идентифицирует, что UE возвращается к eNodeB, для которого MME сохранил информацию о назначенных TEID DL для UE.
В некоторых вариантах осуществления eNB может указывать количество получений ключа, выполненное с текущим KeNB. В некоторых других вариантах осуществления eNB может указывать в сообщении S1AP, что нужно другое получение параметров безопасности. Отправленное от eNB к MME сообщение может включать в себя эти или другие виды информации обновления ключа.
На этапе 508 MME отправляет обслуживающему GW сообщение с запросом изменения однонаправленного канала (адрес eNodeB, TEID S1 (DL) для одобренных однонаправленных каналов EPS, запрос задержки при уведомлении о пакете нисходящей линии связи, тип RAT) на каждое соединение PDN.
Если обслуживающий GW поддерживает процедуру запроса изменения однонаправленных каналов доступа и если обслуживающему GW не нужно отправлять сигнализацию к PGW, то MME может отправить обслуживающему GW запрос изменения однонаправленных каналов доступа (адрес (адреса) eNodeB и TEID для плоскости пользователя нисходящей линии связи для одобренных однонаправленных каналов EPS, запрос задержки при уведомлении о пакете нисходящей линии связи) на каждый UE, чтобы оптимизировать сигнализацию.
Обслуживающий GW теперь может передать данные нисходящей линии связи к UE, и SGW считает UE находящимся в подключенном состоянии.
На этапе 509 SGW отправляет к MME сообщение с ответом изменения однонаправленного канала.
На этапе 510 MME отправляет eNB сообщение в качестве квитирования, в частности сообщение квитирования активного контекста UE S1-AP.
К тому же MME на основе своей политики определяет, выполняется ли условие обновления ключа, в ответ на принятое от eNB сообщение активного контекста UE S1AP. Там, где принятое от eNB сообщение содержало информацию обновления ключа, MME может определить, выполняется ли условие обновления ключа, на основе информации обновления ключа. Например, MME на основе информации обновления ключа может определить, достигло ли предела количество получений.
В качестве альтернативы MME может определить, прошло ли некоторое время с последнего получения NH. Политика в качестве альтернативы или дополнительно может учитывать и другие факторы. Например, политика в MME может устанавливать, что получение NH выполняется всегда.
Какие бы критерии не рассматривались, если выполняется условие обновления ключа, то MME увеличивает счетчик NCC и получает новое значение NH, и предоставляет eNB новую пару NH, NCC.
После этапа 510 плоскость пользователя можно отправить в SGW.
В качестве альтернативы передаче сообщения завершения возобновления соединения RRC на этапе 505, если msg3 на этапе 504 включало в себя плоскость пользователя и указание, что передается вся плоскость пользователя, то eNB может приостановить соединение RRC и неявно указать, что была успешно принята плоскость пользователя.
Таким образом, в некоторых вариантах осуществления eNB разрешают получить "свежий" KeNB без необходимости запускать AKA или без необходимости осуществлять переход из свободного в активное, поскольку обе те альтернативы достигли бы цели сокращения служебной нагрузки сигнализации. В этой связи "свежий" KeNB означает KeNB, который поступает от базовой сети и который получается не только из существующего KeNB, сохраненного в eNB. Это достигается путем отправки посредством MME новой пары NH, NCC к eNB во время обработки приостановки RRC (например, в квитировании неактивного контекста UE S1-AP) или при обработке возобновления RRC (например, в квитировании активного контекста UE S1-AP), из которой можно получить "свежий" KeNB.
Во всех описанных в этом документе вариантах осуществления сообщение приостановления соединения RRC, сообщение с запросом возобновления соединения RRC и сообщение завершения возобновления соединения RRC могли бы быть либо новыми сообщениями RRC, либо унаследованными сообщениями RRC, уже заданными в TS 36.331, которые повторно используются и расширяются для поддержки процедур приостановления и возобновления, описанных в этом документе.
Фиг. 6 иллюстрирует объект 600 управления мобильностью (MME), который можно приспособить или сконфигурировать для работы в соответствии с одним или несколькими описанными неограничивающими примерными вариантами осуществления. MME 600 содержит процессор или блок 602 обработки, который управляет работой MME 600. MME 600 также содержит память или запоминающее устройство 604, которое подключается к блоку 602 обработки и содержит команды или машинный код, исполняемые блоком 602 обработки, и другую информацию либо данные, необходимые для работы MME 600 в соответствии с описанными в этом документе способами.
Фиг. 7 и 8 иллюстрируют функциональные блоки в вариантах осуществления объекта 700 и 800 управления мобильностью, которые могут исполнять любые способы, описанные в этом документе, например в соответствии с машиночитаемыми командами, принятыми из компьютерной программы. Станет понятно, что проиллюстрированные на фиг. 7 модули являются программно реализованными функциональными блоками, и их можно реализовать в любом подходящем сочетании программных модулей. Станет понятно, что проиллюстрированные на фиг. 8 блоки являются аппаратно реализованными функциональными блоками, и их можно реализовать в любом подходящем сочетании аппаратных блоков.
Фиг. 7 иллюстрирует объект 700 управления мобильностью (MME) в соответствии с вариантами осуществления. MME 700 содержит модуль 702 приема для приема от базовой станции сообщения, относящегося к приостановке или возобновлению соединения UE; модуль 704 определения для определения, выполняется ли условие обновления ключа; и модуль 706 перенаправления для перенаправления на базовую станцию новой пары NH, NCC, если выполняется условие обновления ключа.
Фиг. 8 иллюстрирует объект 800 управления мобильностью (MME) в соответствии с вариантами осуществления. MME 800 содержит блок 802 приема для приема от базовой станции сообщения, относящегося к приостановке или возобновлению соединения UE; блок 804 определения для определения, выполняется ли условие обновления ключа; и блок 806 перенаправления для перенаправления на базовую станцию новой пары NH, NCC, если выполняется условие обновления ключа.
Фиг. 9 иллюстрирует базовую станцию 900 (BS), которую можно приспособить или сконфигурировать для работы в соответствии с одним или несколькими описанными неограничивающими примерными вариантами осуществления. BS 900 содержит процессор или блок 902 обработки, который управляет работой BS 900. BS 900 также содержит память или запоминающее устройство 904, которое подключается к блоку 902 обработки и содержит команды или машинный код, исполняемые блоком 902 обработки, и другую информацию либо данные, необходимые для работы BS 900 в соответствии с описанными в этом документе способами.
Фиг. 10 и 11 иллюстрируют функциональные блоки в вариантах осуществления базовой станции 1000 и 1100, которые могут выполнять любые способы, описанные в этом документе, например в соответствии с машиночитаемыми командами, принятыми из компьютерной программы. Станет понятно, что проиллюстрированные на фиг. 10 модули являются программно реализованными функциональными блоками, и их можно реализовать в любом подходящем сочетании программных модулей. Станет понятно, что проиллюстрированные на фиг. 11 блоки являются аппаратно реализованными функциональными блоками, и их можно реализовать в любом подходящем сочетании аппаратных блоков.
Фиг. 10 иллюстрирует базовую станцию 1000 в соответствии с вариантами осуществления. Базовая станция 1000 содержит модуль 1002 отправки для отправки в объект управления мобильностью в сети сотовой связи сообщения, относящегося к приостановке соединения UE, где сообщение содержит информацию обновления ключа; и модуль 1004 получения для того чтобы, если принятое от объекта управления мобильностью сообщение включает в себя пару NH, NCC, получать ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей.
Фиг. 11 иллюстрирует базовую станцию 1100 в соответствии с вариантами осуществления. Базовая станция 1100 содержит блок 1102 отправки для отправки в объект управления мобильностью в сети сотовой связи сообщения, относящегося к приостановке соединения UE, где сообщение содержит информацию обновления ключа; и блок 1104 получения для того чтобы, если принятое от объекта управления мобильностью сообщение включает в себя пару NH, NCC, получать ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей.
Фиг. 12 иллюстрирует процесс, выполняемый в объекте управления мобильностью в сети сотовой связи.
На этапе 1202 MME принимает от базовой станции сообщение, относящееся к приостановке или возобновлению соединения UE. В качестве примера, сообщение может быть сообщением, указывающим, что соединение с UE приостанавливается. В качестве другого примера, сообщение может быть сообщением, указывающим, что соединение с UE возобновляется после приостановки.
На этапе 1204 MME определяет, выполняется ли условие обновления ключа.
Принятое от базовой станции сообщение может указывать количество получений ключа, выполненное с существующим ключевым материалом, и в этом случае определение того, выполняется ли условие обновления ключа, может содержать определение того, достигло ли порогового количества упомянутое количество получений ключа, выполненное с существующим ключевым материалом.
Определение того, выполняется ли условие обновления ключа, может содержать определение того, достигло ли порогового времени время, прошедшее с перенаправления существующей пары NH, NCC на базовую станцию.
Принятое от базовой станции сообщение может включать в себя запрос новой пары NH, NCC, и в этом случае MME может определить, что условие обновления ключа выполняется, если принятое от базовой станции сообщение действительно включает в себя запрос новой пары NH, NCC. В качестве альтернативы, MME может определить, что условие обновления ключа выполняется, если принятое от базовой станции сообщение включает в себя запрос новой пары NH, NCC, и если соблюдается дополнительный критерий.
Если на этапе 1204 MME определяет, что выполняется условие обновления ключа, то на этапе 1206 MME перенаправляет на базовую станцию новую пару NH, NCC.
Если выполняется условие обновления ключа, то MME может получить значение NH перед перенаправлением на базовую станцию новой пары NH, NCC. MME также может сохранить значения в паре NH, NCC.
Фиг. 13 иллюстрирует процесс, выполняемый в базовой станции в сети сотовой связи.
На этапе 1302 базовая станция отправляет в объект управления мобильностью в сети сотовой связи сообщение, относящееся к приостановке соединения UE, где сообщение содержит информацию обновления ключа.
Сообщение может быть сообщением, указывающим, что соединение UE приостанавливается. Сообщение может быть сообщением, указывающим, что соединение UE возобновляется после приостановки.
Информация обновления ключа может содержать количество получений ключа, выполненное с существующим ключевым материалом. Информация обновления ключа может содержать запрос новой пары NH, NCC.
На этапе 1304 базовая станция получает ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей, если принятое от объекта управления мобильностью сообщение включает в себя пару NH, NCC. Затем базовая станция может использовать по меньшей мере один из упомянутых полученных ключей при будущей связи с упомянутым UE.
Следует отметить, что вышеупомянутые варианты осуществления скорее иллюстрируют, а не ограничивают изобретение, и специалисты в данной области техники смогут спроектировать многие альтернативные варианты осуществления без отклонения от объема прилагаемой формулы изобретения. Слово "содержащий" не исключает наличия элементов или этапов помимо перечисленных в формуле изобретения, форма единственного числа не исключает множества, и один признак или другой блок может выполнять функции нескольких блоков, перечисленных в формуле изобретения. Никакие знаки ссылок в формуле изобретения не следует толковать как ограничивающие определяемый ею объем.
1. Способ работы объекта управления мобильностью (MME) в сети сотовой связи, содержащий этапы, на которых:
принимают посредством МME от базовой станции сообщение, относящееся к приостановке или возобновлению соединения пользовательского оборудования (UE);
в ответ на прием данного сообщения определяют посредством МME, выполняется ли условие обновления ключа; и
если условие обновления ключа выполняется, перенаправляют посредством МME на базовую станцию новую пару 'следующий транзитный участок (NH), счетчик цепочки следующих транзитных участков (NCC)', причем NH является параметром, который используется при получении основного ключа уровня, связанного с предоставлением доступа (AS), а NCC является параметром, ассоциированным с ключом, который нужно использовать при последующем возобновлении.
2. Способ по п.1, в котором принятое от базовой станции сообщение указывает количество получений ключа, выполненное с существующим ключевым материалом, при этом этап, на котором определяют, выполняется ли условие обновления ключа, содержит этап, на котором определяют, достигло ли количество получений ключа, выполненное с существующим ключевым материалом, порогового количества.
3. Способ по п.1, в котором этап, на котором определяют, выполняется ли условие обновления ключа, содержит этап, на котором определяют, достигло ли порогового времени время, прошедшее с перенаправления существующей пары NH, NCC на базовую станцию.
4. Способ по п.1, в котором принятое от базовой станции сообщение включает в себя запрос новой пары NH, NCC.
5. Способ по п.4, дополнительно содержащий этап, на котором определяют, что условие обновления ключа выполняется, если принятое от базовой станции сообщение включает в себя запрос новой пары NH, NCC и если соблюдается дополнительный критерий.
6. Способ по п.1, в котором принятое от базовой станции сообщение, относящееся к приостановке или возобновлению соединения UE, указывает, что соединение с UE приостанавливается.
7. Способ по п.1, в котором принятое от базовой станции сообщение, относящееся к приостановке или возобновлению соединения UE, указывает, что соединение с UE возобновляется после приостановки.
8. Способ по п.1, дополнительно содержащий, если выполняется условие обновления ключа, этапы, на которых:
получают значение NH перед перенаправлением на базовую станцию новой пары NH, NCC и
сохраняют значения пары NH, NCC.
9. Объект управления мобильностью (MME) для использования в сети связи, при этом MME содержит процессор и запоминающее устройство, подключенное к процессору, причем запоминающее устройство содержит исполняемые процессором команды, так что MME выполнен с возможностью:
принимать от базовой станции сообщение, относящееся к приостановке или возобновлению соединения пользовательского оборудования (UE);
в ответ на прием данного сообщения определять, выполняется ли условие обновления ключа; и
если условие обновления ключа выполняется, перенаправлять на базовую станцию новую пару 'следующий транзитный участок (NH), счетчик цепочки следующих транзитных участков (NCC)', причем NH является параметром, который используется при получении основного ключа уровня, связанного с предоставлением доступа (AS), а NCC является параметром, ассоциированным с ключом, который нужно использовать при последующем возобновлении.
10. MME по п.9, при этом принятое от базовой станции сообщение указывает количество получений ключа, выполненное с существующим ключевым материалом, причем запоминающее устройство дополнительно содержит команды, исполняемые процессором, так что MME выполнен с возможностью определять, выполняется ли условие обновления ключа, путем определения того, достигло ли количество получений ключа, выполненное с существующим ключевым материалом, порогового количества.
11. MME по п.9, в котором запоминающее устройство дополнительно содержит команды, исполняемые процессором, так что MME выполнен с возможностью определять, выполняется ли условие обновления ключа, путем определения того, достигло ли порогового времени время, прошедшее с перенаправления существующей пары NH, NCC на базовую станцию.
12. MME по п.9, в котором запоминающее устройство дополнительно содержит команды, исполняемые процессором, так что MME выполнен с возможностью определять, что условие обновления ключа выполняется, если принятое от базовой станции сообщение включает в себя запрос новой пары NH, NCC и если соблюдается дополнительный критерий.
13. MME по п.9, в котором запоминающее устройство дополнительно содержит команды, исполняемые процессором, так что MME выполнен с возможностью:
если выполняется условие обновления ключа:
получать значение NH перед перенаправлением на базовую станцию новой пары NH, NCC и
сохранять значения пары NH, NCC.
14. Машиночитаемый носитель, на котором сохранены машиноисполняемые команды, которые при их исполнении процессором объекта управления мобильностью (MME) предписывают MME:
принимать от базовой станции сообщение, относящееся к приостановке или возобновлению соединения пользовательского оборудования (UE);
в ответ на прием данного сообщения определять, выполняется ли условие обновления ключа; и
если условие обновления ключа выполняется, перенаправлять на базовую станцию новую пару 'следующий транзитный участок (NH), счетчик цепочки следующих транзитных участков (NCC)', причем NH является параметром, который используется при получении основного ключа уровня, связанного с предоставлением доступа (AS), а NCC является параметром, ассоциированным с ключом, который нужно использовать при последующем возобновлении.
15. Способ работы базовой станции в сети сотовой связи, содержащий этапы, на которых:
отправляют посредством базовой станции в объект управления мобильностью (MME) в сети сотовой связи первое сообщение, относящееся к приостановке соединения пользовательского оборудования (UE), причем первое сообщение содержит информацию обновления ключа;
в ответ на отправку первого сообщения принимают посредством базовой станции от MME второе сообщение, включающее в себя пару 'следующий транзитный участок (NH), счетчик цепочки следующих транзитных участков (NCC)', причем NH является параметром, который используется при получении основного ключа уровня, связанного с предоставлением доступа (AS), а NCC является параметром, ассоциированным с ключом, который нужно использовать при последующем возобновлении; и
получают посредством базовой станции ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей.
16. Способ по п.15, дополнительно содержащий этап, на котором используют пару NH, NCC для получения ключей и используют по меньшей мере один из этих ключей при будущей связи с UE.
17. Способ по п.15, в котором информация обновления ключа содержит количество получений ключа, выполненное с существующим ключевым материалом.
18. Способ по п.15, в котором информация обновления ключа содержит запрос новой пары NH, NCC.
19. Способ по п.15, в котором первое сообщение, относящееся к приостановке соединения UE, указывает, что соединение UE приостанавливается.
20. Способ по п.15, в котором первое сообщение, относящееся к приостановке соединения UE, указывает, что соединение UE возобновляется после приостановки.
21. Базовая станция для использования в сети связи, при этом базовая станция содержит процессор и запоминающее устройство, подключенное к процессору, причем запоминающее устройство содержит исполняемые процессором команды, так что базовая станция выполнена с возможностью:
отправлять в объект управления мобильностью (MME) в сети сотовой связи первое сообщение, относящееся к приостановке соединения пользовательского оборудования (UE), причем первое сообщение содержит информацию обновления ключа;
в ответ на отправку первого сообщения принимать от MME второе сообщение, включающее в себя пару 'следующий транзитный участок (NH), счетчик цепочки следующих транзитных участков (NCC)', причем NH является параметром, который используется при получении основного ключа уровня, связанного с предоставлением доступа (AS), а NCC является параметром, ассоциированным с ключом, который нужно использовать при последующем возобновлении; и
получать ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей.
22. Базовая станция по п.21, при этом информация обновления ключа содержит количество получений ключа, выполненное с существующим ключевым материалом.
23. Машиночитаемый носитель, на котором сохранены машиноисполняемые команды, которые при их исполнении процессором базовой станции предписывают базовой станции:
отправлять в объект управления мобильностью (MME) в сети сотовой связи первое сообщение, относящееся к приостановке соединения пользовательского оборудования (UE), причем первое сообщение содержит информацию обновления ключа;
в ответ на отправку первого сообщения принимать от MME второе сообщение, включающее в себя пару 'следующий транзитный участок (NH), счетчик цепочки следующих транзитных участков (NCC)', причем NH является параметром, который используется при получении основного ключа уровня, связанного с предоставлением доступа (AS), а NCC является параметром, ассоциированным с ключом, который нужно использовать при последующем возобновлении; и
получать ключевую информацию с использованием пары NH, NCC для будущего использования при получении ключей.
