CN101299666A - 密钥身份标识符的生成方法和系统 - Google Patents
密钥身份标识符的生成方法和系统 Download PDFInfo
- Publication number
- CN101299666A CN101299666A CNA2008101004733A CN200810100473A CN101299666A CN 101299666 A CN101299666 A CN 101299666A CN A2008101004733 A CNA2008101004733 A CN A2008101004733A CN 200810100473 A CN200810100473 A CN 200810100473A CN 101299666 A CN101299666 A CN 101299666A
- Authority
- CN
- China
- Prior art keywords
- key
- identification identifier
- identifier
- encryption key
- subscriber equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/041—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 using an encryption or decryption engine integrated in transmitted data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种密钥身份标识符生成方法,包括:用户设备UE从演进的陆地无线接入网EUTRAN转移到UTRAN通用陆地无线接入网或全球移动通讯系统或增强型数据速率GSM演进无线接入网GERAN时,UE使用接入安全管理实体密钥的身份标识符映射生成转移后的系统密钥的身份标识符,移动管理实体使用接入安全管理实体密钥的身份标识符映射生成加密密钥及完整性密钥的身份标识符,将其发给服务GPRS支持节点SGSN,当用户设备从EUTRAN转移到UTRAN时,SGSN保存该加密密钥、完整性密钥及其身份标识符,当用户设备从EUTRAN转移到GERAN时,SGSN将加密密钥、完整性密钥的身份标识符的值赋给GERAN的加密密钥的身份标识符。
Description
技术领域
本发明涉及移动通信领域,具体而言,涉及一种用于UE(User Equipment,用户设备)从演进的陆地无线接入网(Evolved UMTS Terrestrial Radio AccessNetwork,简称EUTRAN)转移到通用陆地无线接入网(Universal TerrestrialRadio Access Network,简称UTRAN)或从EUTRAN转移到GERAN(GSM/EDGE Radio Access Network,全球移动通讯系统或增强型数据速率GSM演进无线接入网)时,密钥身份标识符的生成方法和系统。
背景技术
3GPP演进的分组系统(EPS,Evolved Packet System)由演进的陆地无线接入网EUTRAN和EPS核心网(EPC,Evolved Packet Core)组成。
其中,EPC包含移动管理单元(MME,mobility management entity),移动管理单元负责移动性的管理,非接入层信令的处理,以及用户安全模式的管理等控制面相关工作。其中,MME保存EUTRAN的根密钥KASME(KeyAccess Security Management Entity,接入安全管理实体密钥),并且使用KASME和上行NAS SQN(非接入层序列号)生成供eNB(evolved Node B,演进的基站)使用的接入层的根密钥KeNB(Key eNB,演进的基站密钥)。接入安全管理实体密钥标识符(KASME Key Set identifier for Access SecurityManagement Entity)KSIASME是密钥KASME的身份标识符(或者叫密钥序列号),长度为3个比特位,用于网络与UE之间对密钥的识别和检索。当UE和网络建立连接时,可以通过KSIASME通知对方使用先前已经存储的指定密钥,从而建立安全上下文,避免每次连接都要进行认证和密钥协商(AKA,Authentication and Key Association),节省网络资源。当密钥由于生存期结束或其它原因需要删除时,UE将KSIASME设为“111”。
其中,EUTRAN中,基站设备为演进的基站(eNB,evolved Node-B),主要负责无线通信、无线通信管理、和移动性上下文的管理。
3GPP(第三代合作伙伴计划)UMTS(通用移动通信系统)系统中负责分组域移动性上下文的管理、和/或用户安全模式的管理的设备是SGSN(Serving GPRS Support Node,服务GPRS支持节点)。SGSN还负责UMTS的无线接入网UTRAN部分的认证和安全管理,并保存包括IK(Integrity Key,完整性密钥),CK(Ciphering Key,加密密钥)的密钥集。该密钥集的身份标识符为KSI(Key Set identifier,密钥集标识符),其作用和使用方法类似于EPS中的KSIASME,都是用于UE和网络之间对密钥的识别和检索,长度也为3个比特位。当KSI等于“111”时,表示没有可以使用的密钥,KSI无效。当UE和SGSN需要协商建立UMTS安全连接时,如果UE已经储存有可以使用的密钥时,UE将储存的KSI发给SGSN,SGSN验证存储的KSI是否与UE存储的KSI相同,如果一致,则采用存储的密钥组协商建立安全上下文,并将KSI发回UE确认其使用的密钥。如果UE没有存储有用的密钥,则将KSI置为“111”,然后发给SGSN,SGSN检查到KSI为“111”后,向HUR/HSS发送认证请求消息,UE和网络重新作AKA,产生新的密钥组。
GSM/EDGE系统负责分组域移动性上下文的管理、和/或用户安全模式的管理的设备也是SGSN,SGSN负责GSM/EDGE无线接入网(GERAN,GSM/EDGE Radio Access Network)部分的认证和安全管理,并存有GERAN加密密钥Kc(Ciphering key),Kc的身份标识符为CKSN(Ciphering keysequence Number,加密密钥序列号),作用和使用方法同KSI一样。
当UE从EUTRAN转移(mobility)到UTRAN时,MME将用KASME为目标网络生成密钥CK、IK,并发给SGSN,UE和SGSN使用CK、IK,并协商相应安全算法,建立了UTRAN安全上下文,其中转移包括RRC(RadioResource Control,无线资源控制)处于激活(Active)状态的转移,和UE处于空闲(Idle)状态的转移两种类型,激活状态下的转移包括切换等,空闲状态下的转移包括路由区更新、附着请求等。
当UE从EUTRAN转移到GERAN时,MME用KASME产生CK,IK(同转移到UMTS时,密钥产生方法一样),然后将IK、CK发给SGSN。SGSN使用IK、CK生成GERAN密钥Kc。
在现有技术中,无论是KSIASME、KSI还是CKSN,都是在认证过程中由网络侧生成,然后通过认证请求发给UE。然而在EUTRAN到UTRAN或GERAN转移过程中,虽然MME为目标网络生成了UTRAN或GERAN所需的IK、CK,但这对密钥没有相应的身份标识符,造成一旦转移结束后,UE和SGSN将无法检索到转移时生成的密钥,也无法重新使用这对密钥。当UE和网络要重新建立RRC或其它连接时,由于无法使用这些存储的密钥,不得不先进行AKA,重新产生新的密钥,然后才建立无线连接。这无疑会增加网络和UE的信令开销,推迟了UE与网络的正常通信时间,造成用户使用满意度变差。
发明内容
本发明要解决的技术问题是提供一种UE在不同接入系统之间转移时,密钥身份标识符的生成方法和系统,解决现有技术中在UE从EUTRAN转移到UTRAN或GERAN后,由于转移过程中产生的由KASME映射过来的密钥无身份标识符而导致无法被重新使用问题。
为了解决上述技术问题,本发明提供了一种密钥身份标识符生成方法,包括:用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时,移动管理实体和用户设备使用接入安全管理实体密钥的身份标识符映射生成所述通用陆地无线接入网系统密钥集的身份标识符,移动管理实体将所述系统密钥集的身份标识符同系统的加密密钥及完整性密钥一起发给服务GPRS支持节点。
进一步的,上述方法还可具有以下特点,所述映射生成的方式为:用户设备和移动管理实体直接令所述通用陆地无线接入网系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符,或令所述通用陆地无线接入网系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
进一步的,上述方法还可具有以下特点,所述用户设备空闲状态下从演进的陆地无线接入网转移到通用陆地无线接入网时,所述移动管理实体收到上下文请求或鉴别请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身份标识符即密钥集标识符,将所述完整性密钥、加密密钥和所述密钥集标识符通过上下文响应或鉴别响应消息发送给所述服务GPRS支持节点,所述服务GPRS支持节点保存所述加密密钥、完整性密钥和密钥集标识符。
进一步的,上述方法还可具有以下特点,所述用户设备决定空闲转移到通用陆地无线接入网后,在用户设备相应发送路由区更新完成或附着完成消息给服务GPRS支持节点之前,所述用户设备使用接入安全管理实体密钥的身份标识符映射生成密钥集标识符,将密钥集标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
进一步的,上述方法还可具有以下特点,所述用户设备在无线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时,所述移动管理实体在收到切换请求后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身份标识符即密钥集标识符,通过转发重定向请求消息将所述加密密钥和完整性密钥及密钥集标识符一起发送给服务GPRS支持节点,所述GPRS支持节点保存所述加密密钥、完整性密钥和所述密钥集标识符;所述用户设备收到网络侧发送的切换命令后使用接入安全管理实体密钥的身份标识符映射生成密钥集标识符,将密钥集标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
进一步的,上述方法还可具有以下特点,如果所述用户设备转移前和网络侧协商好密钥,且转移前协商好的密钥的身份标识符和转移过程中由所述接入安全管理实体密钥的身份标识符映射生成的所述系统密钥的身份标识符一样,删除转移前服务GPRS支持节点和用户设备中保存的该密钥。
本发明还提出一种密钥身份标识符生成方法,包括:用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网时,
移动管理实体使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符;移动管理实体将所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS支持节点;
服务GPRS支持节点将所述加密密钥和完整性密钥的身份标识符的值赋给所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符,即加密密钥序列号;
用户设备使用接入安全管理实体密钥标识符映射生成所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符。
进一步的,上述方法还可具有以下特点,所述映射生成的方式为:移动管理实体直接令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符,或令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符与网络侧和用户设备约定的一常数之和;用户设备直接令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符,或令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
进一步的,上述方法还可具有以下特点,所述用户设备空闲状态下从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网时,所述移动管理实体在收到上下文请求或鉴别请求消息后,生成完整性密钥、加密密钥和及其身份标识符,通过上下文响应或鉴别响应消息发送给所述服务GPRS支持节点。
进一步的,上述方法还可具有以下特点,所述用户设备决定空闲转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网后,在用户设备相应发送路由区更新完成或附着完成消息给服务GPRS支持节点之前,所述用户设备使用接入安全管理实体密钥的身份标识符映射生成全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符,将全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符和由接入安全管理实体密钥生成的全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥一起保存。
进一步的,上述方法还可具有以下特点,所述用户设备在无线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时,所述移动管理实体在收到切换请求后,生成加密密钥、完整性密钥和及其身份标识符,通过转发重定向请求消息将所述加密密钥、完整性密钥及其身份标识符发送给服务GPRS支持节点;所述用户设备收到网络侧发送的切换命令后,生成所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥及其身份标识符。
进一步的,上述方法还可具有以下特点,如果所述用户设备转移前和网络侧协商好密钥,且转移前协商好的密钥其身份标识符和转移过程中映射生成的所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符一样,删除转移前服务GPRS支持节点和用户设备中保存的该密钥。
本发明提出一种密钥生成系统,包含用户设备、移动管理实体和服务GPRS支持节点,其中,
所述用户设备,用于当用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时,将接入安全管理实体密钥的身份标识符映射为所述通用陆地无线接入网的系统密钥集的身份识别符;
所述移动管理单元,用于当用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时,将接入安全管理实体密钥的身份标识符映射为所述通用陆地无线接入网的系统密钥集的身份识别符,发送给所述服务GPRS支持节点;
所述映射方式为,用户设备和移动管理实体直接令系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符,或令系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
进一步的,上述系统还可具有以下特点,所述用户设备包含:
第一密钥身份标识符映射单元,用于映射生成完整性密钥、加密密钥的身份标识符,将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标识符;
第一密钥及其身份标识符存储单元,用于保存加密密钥、完整性密钥和第一密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符;
所述移动管理实体包含:
第二密钥身份标识符映射单元,用于生成完整性密钥、加密密钥的身份标识符,将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标识符;
安全参数发送单元,用于发送加密密钥、完整性密钥和第二密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符至服务GRPS支持节点;
所述服务GPRS支持节点包含:
安全参数接收单元,用于接收移动管理实体发送的加密密钥、完整性密钥及其身份标识符;
第三密钥及其身份标识符存储单元,用于存储接收到的加密密钥、完整性密钥及其身份标识符。
本发明还提出一种密钥生成系统,包含用户设备、移动管理实体和服务GPRS支持节点,其中:
所述用户设备,用于当用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网时,使用接入安全管理实体密钥标识符映射生成全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符;
所述移动管理实体,用于当用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网时,使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符;将所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS支持节点;
所述服务GPRS支持节点,用于接收所述移动管理实体发送的加密密钥、完整性密钥及其身份标识符,将所述加密密钥、完整性密钥的身份标识符的值赋给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符;
所述映射生成的方式为:移动管理实体直接令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符,或令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符与网络侧和用户设备约定的一常数之和;用户设备直接令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符,或令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
进一步的,上述系统还可具有以下特点,
所述用户设备包含:
第一密钥身份标识符映射单元,用于将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符;
第一密钥及其身份标识符存储单元,用于保存全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥及其身份标识符;
所述移动管理实体还包含:
第二密钥身份标识符映射单元,用于生成所述加密密钥、完整性密钥的身份标识符,将接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给完整性密钥、加密密钥的身份标识符;
安全参数发送单元,用于发送加密密钥、完整性密钥和第二密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符至服务GRPS支持节点;
所述服务GPRS支持节点还包含:
安全参数接收单元,用于接收移动管理实体发送的加密密钥、完整性密钥及其身份标识符;
第三密钥身份标识符映射单元,用于将加密密钥、完整性密钥及其身份标识符的值赋给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符;
第三密钥及其身份标识符存储单元,用于存储全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥及其身份标识符。
上述密钥集标识符生成方法和系统通过将KSIASME映射为KSI或CKSN,同时保证KSI/CKSN值与原先存储的密钥身份标识符的值不出现重码,解决了现有技术中在UE从EUTRAN转移到UTRAN/GERAN时,由于映射过来的密钥无身份标识符而无法重新被使用的问题。
附图说明
图1为本发明从EUTRAN转移到UTRAN时密钥集标识符生成方法具体实现示意图。
图2为本发明所述方法的第一实施例的实现信令流程图。
图3为本发明所述方法的第二实施例的实现信令流程图。
图4为本发明所述方法的第三实施例的实现信令流程图。
图5为本发明从EUTRAN转移到GERAN时密钥集标识符生成方法具体实现示意图。
图6为本发明所述方法的第四实施例的实现流程图。
图7为本发明所述方法的第五实施例的实现信令流程图。
图8为本发明所述方法的第六实施例的实现信令流程图。
具体实施方式
为了能够重新使用由KASME转换过来的密钥,减少UE和网络的交互信令,在转移过程中需要为密钥生成身份标识符,本发明提供了一种UE从EUTRAN转移到UTRAN/GERAN时,密钥集标识符的生成方法和系统。
下面将参考附图并结合实施例,来详细说明本发明。
图1为本发明UE从EUTRAN转移到UTRAN时密钥集标识符生成方法具体实现示意图,包括:
A1、MME收到请求消息后,将KSIASME映射为KSI,即将KSIASME的值赋给KSI:KSI=KSIASME,然后通过MME和SGSN之间的交互消息将KSI和由KASME生成的IK、CK一起发给SGSN;
A2、SGSN收到MME发过来的KSI和IK、CK后,将KSI和IK、CK一起保存;SGSN发送KSI映射完成的消息;
A3、UE将KSIASME映射为KSI,即将KSIASME的值赋给KSI:KSI=KSIASME,并将KSI和由KASME生成的IK、CK一起保存。
进一步,UE和MME也可以令KSI等于KSIASME与一常数之和;常数由UE和网络约定,其中,KSIASME与常数之和不能为“111”,如果正好为111时,可按照UE与SGSN的约定进行改变,比如置为下一个值“000”,也可以是其它值所述服务GPRS支持节点与用户设备约定映射方式及常数。
如果转移前UE和网络侧SGSN已经协商好密钥,如果转移前协商好的密钥的身份标识符KSI的值与转移过程中由KSIASME映射生成的KSI的值一样,则转移前SGSN和UE中保存的该密钥将被删除。
图2为本发明所述方法的第一实施例,该实施例为EUTRAN空闲状态下转移到UTRAN时,密钥身份标识符的生成方法流程,包括以下步骤:
步骤S201,UE决定空闲转移到UTRAN,发空闲转移到UTRAN的请求消息至SGSN,请求消息可以为路由区更新请求,或附着请求;
步骤S202,SGSN收到UE发过来的空闲转移到UTRAN请求消息后,向MME发请求消息,请求消息对应收到转移请求消息类型,为相应的上下文请求或鉴别请求;
步骤S203,MME收到SGSN发过来的请求消息后,将KSIASME的值赋给KSI,即KSI=KSIASME,并使用KASME产生CK、IK;
步骤S204、MME发上下文响应或鉴别响应消息,将CK、IK和KSI一起发给SGSN;
步骤S205,SGSN收到MME发过来的KSI和CK、IK后,将KSI和CK、IK一起保存;
步骤S206,SGSN向UE发空闲转移到UTRAN接受消息(为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥身份标识符已经映射成功;
步骤S207,UE将KSIASME的值赋给KSI,即KSIASME=KSI,将KSI和由KASME生成的IK、CK一起保存;
步骤S208,UE向SGSN发发空闲转移到UTRAN完成消息(为对应的路由区更新完成或附着完成消息)。
图3为本发明所述方法的第二实施例,该实施例为EUTRAN空闲转移到UTRAN时,密钥身份标识符的生成方法流程,包括以下步骤:
步骤S301,UE决定空闲转移到UTRAN,将KSIASME的值赋给KSI,即KSIASME=KSI,将KSI和由KASME生成的IK、CK一起保存;
步骤S302,UE决定空闲转移到UTRAN,发空闲转移到UTRAN的请求消息至SGSN,请求消息可以为路由区更新请求,或附着请求;
步骤S303,SGSN收到UE发过来的空闲转移到UTRAN请求消息后,向MME发请求消息,请求消息对应收到转移请求消息类型,为相应的上下文请求或鉴别请求;
步骤S304,MME收到SGSN发过来的请求消息后,将KSIASME的值赋给KSI,即KSI=KSIASME,并使用KASME产生CK、IK;
步骤S305,MME发上下文响应或鉴别响应消息,将CK、IK和KSI一起发给SGSN;
步骤S306,SGSN收到MME发过来的KSI和CK、IK后,将KSI和CK、IK一起保存;
步骤S307,SGSN向UE发空闲转移到UTRAN接受消息(为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥身份标识符已经映射成功
步骤S308,UE向SGSN发空闲转移到UTRAN完成消息(为对应的路由区更新完成或附着完成消息)。
图4为本发明所述方法的第三实施例,该实施例为在RRC激活状态下的转移,即从EUTRAN切换到UTRAN时,密钥身份标识符的生成方法流程,包括以下步骤:
步骤S401,源eNB决定发起切换;
可以是根据UE发给该eNB的测量报告触发,也可以是根据其他的一些原因由eNB决定发起转移。
步骤S402,源eNB向源MME发切换请求;
步骤S403,源MME收到切换请求后,将KSIASME的值赋给KSI,即KSI=KSIASME,并使用KASME生成IK、CK;
步骤S404,源MME向目标SGSN发转发重定向请求,将KSI和IK、CK传给目标SGSN;
步骤S405,SGSN将KSI和IK、CK一起保存;
步骤S406,目标SGSN向源MME发转发重定向响应消息,通知MME,目标网络已经做好切换准备;
步骤S407,源MME向源eNB发切换命令;
步骤S408,源eNB向UE发EUTRAN切换命令;
步骤S409,UE收到该切换命令后,将KSIASME的值赋给KSI,即KSI=KSIASME,并使用KASME生成IK、CK,然后将KSI和CK、IK一起保存;
步骤S410,UE向目标RNC(无线网络控制器)发切换成功消息,通知网络KSI生成成功。
图5为本发明所述的从EUTRAN转移到GERAN时密钥集标识符生成方法具体实现示意图,包括:
B1、MME收到相关请求消息后,将KSIASME映射为KSI,即将KSIASME的值赋给KSI:KSI=KSIASME,然后通过MME和SGSN之间的交互消息将KSI和由KASME生成的IK、CK一起发给SGSN;
B2、SGSN收到MME发过来的KSI和IK、CK后,将KSI的值赋给CKSN,即CKSN=KSI,将CKSN和由IK、CK生成的Kc一起保存;然后SGSN发送CKSN映射完成的消息。
B3、UE将KSIASME映射为CKSN,即将KSIASME的值赋给CKSN:CKSN=KSIASME,并将CKSN和由KASME生成的Kc一起保存;
UE也可以令CKSN等于KSIASME与一常数之和,MME也可以令KSI等于KSIASME与一常数之和,常数由UE和网络约定,其中,KSIASME与常数之和不能为“111”,如果正好为111时,可按照UE与SGSN的约定进行改变,比如置为下一个值“000”,也可以是其它值。
上述方法中如果转移前UE和网络侧SGSN已经协商好密钥,如果该密钥的身份标识符CKSN的值与转移过程中KSIASME转映射生成的CKSN的值一样,则UE和SGSN将转移前保存的密钥删除。
图6为本发明所述方法的第四实施例,该实施例为EUTRAN空闲转移到GERAN时,密钥身份标识符的生成方法流程,包括以下步骤:
步骤S601,UE决定空闲转移到GERAN,向SGSN发空闲转移到GERAN的请求消息,请求消息可以为路由区更新请求,或附着请求;
步骤S602,SGSN收到UE发过来的空闲转移到GERAN请求消息后,向MME发请求消息,请求消息对应收到转移请求消息类型,为相应的上下文请求或鉴别请求;
步骤S603,MME收到SGSN发过来的请求消息后,将KSIASME的值赋给KSI,即KSI=KSIASME,并使用KASME产生CK、IK;
步骤S604、MME发送上下文响应或鉴别响应消息至SGNS,消息中携带CK、IK和KSI;
步骤S605,SGSN收到MME发过来的KSI和CK、IK后,将KSI的值赋给CKSN,并将CKSN和CK、IK生成的Kc一起保存;
步骤S606,SGSN向UE发空闲转移到UTRAN接受消息(为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥身份标识符已经映射成功;
步骤S607,UE将KSIASME的值赋给CKSN,即CKSN=KSIASME,将CKSN和由KASME生成的Kc一起保存;
步骤S608,UE向SGSN发空闲转移到UTRAN完成消息(路由区更新完成或附着完成消息)。
图7为本发明所述方法的第五实施例,该实施例为EUTRAN空闲转移到GERAN时,密钥身份标识符的生成方法流程,包括以下步骤:
步骤S701,UE决定空闲转移到GERAN,将KSIASME的值赋给CKSN,即CKSN=KSIASME,将CKSN和由KASME生成的Kc一起保存;
步骤S702,UE决定空闲转移到GERAN,发空闲转移到GERAN的请求消息,请求消息可以为路由区更新请求,或附着请求;
步骤S703,SGSN收到UE发过来的空闲转移到GERAN请求消息后,向MME发请求消息,请求消息对应收到转移请求消息类型,为相应的上下文请求或鉴别请求;
步骤S704,MME收到SGSN发过来的请求消息后,将KSIASME的值赋给KSI,即KSI=KSIASME,并使用KASME产生CK、IK;
步骤S705、MME发上下文响应或鉴别响应消息,在消息中携带CK、IK和KSI一起发给SGSN;
步骤S706,SGSN收到MME发过来的KSI和CK、IK后,将KSI的值赋给CKSN,并将CKSN和由CK、IK生成的Kc一起保存;
步骤S707,SGSN向UE发空闲转移到GERAN接受消息(为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥身份标识符已经映射成功;
步骤S708,UE向SGSN发空闲转移到UTRAN完成消息(路由区更新完成或附着完成消息)。
图8为本发明所述方法的第六实施例,该实施例为在RRC激活状态下的转移,即从EUTRAN切换到GERAN时,密钥身份标识符的生成方法流程,包括以下步骤:
步骤S801,源eNB决定发起切换。可以是根据UE发给该eNB的测量报告触发,也可以是根据其他的一些原因由eNB决定发起转移。
步骤S802,源eNB向源MME发切换请求;
步骤S803,源MME收到切换请求后,将KSIASME的值赋给KSI,即KSI=KSIASME,并使用KASME生成IK、CK;
步骤S804,源MME向目标SGSN发转发重定向请求,将KSI和IK、CK传给目标SGSN;
步骤S805,SGSN将KSI的值赋给CKSN,即CKSN=KSI,并将CKSN和由IK、CK生成的Kc一起保存;
步骤S806,目标SGSN向源MME发转发重定向响应消息,通知MME,目标网络已经做好切换准备;
步骤S807,源MME向源eNB发切换命令;
步骤S808,源eNB向UE发EUTRAN切换命令;
步骤S809,UE收到该切换命令后,将KSIASME的值赋给CKSN,即CKSN=KSIASME,并使用KASME生成Kc,然后将CKSN和Kc一起保存;
步骤S810,UE发向目标RNC或BSS切换成功消息,通知网络CKSN映射成功。
上述六个实施例中,UE和MME也可以令目标系统的密钥身份识别符等于KSIASME与一常数之和;常数由UE和网络约定,其中,KSIASME与常数之和不能为“111”,如果正好为111时,可按照UE与SGSN的约定进行改变,比如置为下一个值“000”,也可以是其它值
本发明提供一种密钥生成系统,包含用户设备、移动管理实体和服务GPRS支持节点,其中,
UE用于当UE从EUTRAN转移到UTRAN时,将KSIASME映射为UTRAN的系统密钥的身份识别符;
MME,用于当UE从EUTRAN转移到UTRAN时,将KSIASME映射为UTRAN的系统密钥的身份识别符,发送给SGSN;
所述映射方式为,UE和MME直接令系统密钥的身份标识符等于KSIASME,或令系统密钥的身份标识符等于KSIASME与一用户设备和网络侧约定的常数之和。
进一步地,所述用户设备包含:
第一密钥身份标识符映射单元,用于生成IK、CK的身份标识符KSI,将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符KSIASME的值或将其加上一约定的常数后映射给KSI;
第一密钥及其身份标识符存储单元,用于保存UTRAN的系统密钥即IK、CK和第一密钥标识符映射单元生成的系统密钥的身份标识符KSI;
消息接收单元,用于接收网络侧发过来的密钥身份标识符映射完成消息;
消息发送单元,用于发送请求消息至网络。
所述移动管理实体还包含:
第二密钥身份标识符映射单元,用于生成所述密钥IK、CK的身份标识符KSI,将KSIASME的值或将其加上一约定的常数后映射给KSI;
安全参数发送单元,用于发送系统密钥IK、CK和第二密钥标识符映射单元生成的系统密钥的身份标识符KSI至服务GRPS支持节点;
请求消息接收单元,用于接收密钥身份标识符映射请求;
所述服务GPRS支持节点还包含:
安全参数接收单元,用于接收移动管理实体发送的密钥IK、CK及其身份标识符KSI;
第三密钥及其身份标识符存储单元,用于存储接收到的密钥IK、CK及其身份标识符KSI;
消息发送单元,用于通知UE网络侧身份标识符生成完成消息。
上述密钥集标识符生成方法和系统因为采用EUTRAN网络中的KSIASME的值映射为的UTRAN网络的KSI的值,同时保证KSI与原先存储的密钥序列号不出现重码。解决了现有技术中在UE从EUTRAN转移到UTRAN时,由于映射过来的IK、CK无身份标识符而无法重新被使用的问题。
本发明还提供一种密钥生成系统,包含用户设备、移动管理实体和服务GPRS支持节点,其中:
所述用户设备,用于当用户设备从EUTRAN转移到GERAN时,使用接入安全管理实体密钥标识符映射生成GERAN的加密密钥Kc的身份标识符CKSN;
所述移动管理实体,用于当用户设备从EUTRAN转移到GERAN时,使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符;将所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS支持节点;
所述服务GPRS支持节点,用于接收所述移动管理实体发送的加密密钥、完整性密钥及其身份标识符,将所述身份标识符的值赋给GERAN的加密密钥Kc的身份标识符CKSN。
进一步地,所述用户设备包含:
第一密钥身份标识符映射单元,用于生成Kc的身份标识符CKSN,将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符KSIASME的值或将其加上一约定的常数后映射给CKSN;
第一密钥及其身份标识符存储单元,用于保存第一密钥生成单元生成的密钥Kc和第一密钥标识符映射单元生成的密钥的身份标识符CKSN;
消息接收单元,用于接收网络侧发过来的密钥身份标识符映射完成消息;
消息发送单元,用于发送请求消息通知网络作密钥身份标识符映射。
所述移动管理实体还包含:
第二密钥身份标识符映射单元,用于生成所述密钥IK、CK的身份标识符KSI,将KSIASME的值或将其加上一约定的常数后映射给KSI;
安全参数发送单元,用于发送密钥IK、CK和第二密钥标识符映射单元生成的IK、CK的身份标识符KSI至服务GRPS支持节点;
请求消息接收单元,用于接收密钥身份标识符映射请求;
所述服务GPRS支持节点还包含:
安全参数接收单元,用于接收移动管理实体发送的密钥IK、CK及其身份标识符KSI;
第三密钥身份标识符映射单元,用于将KSI的值赋给CKSN;
第三密钥及其身份标识符存储单元,用于存储密钥Kc及其身份标识符CKSN。
消息发送单元,用于通知UE网络侧身份标识符生成完成消息。
上述实施例的密钥集标识符生成方法和系统因为采用KSIASME的值映射为CKSN的值,同时保证CKSN和SGSN原先存储的密钥序列号不出现重码,所以解决了现有技术中在UE从EUTRAN转移到UTRAN或GERAN时,由于KASME映射过来的IK、CK或Kc无身份标识符而无法被重新使用的问题,从而使IK、CK或Kc能够在转移结束后,重新被使用,减少UE和网络的交互信令,提高用户使用网络的满意度。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1、一种密钥身份标识符生成方法,包括:用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时,移动管理实体和用户设备使用接入安全管理实体密钥的身份标识符映射生成所述通用陆地无线接入网系统密钥集的身份标识符,移动管理实体将所述系统密钥集的身份标识符同系统的加密密钥及完整性密钥一起发给服务GPRS支持节点。
2、如权利要求1所述的方法,其特征在于,所述映射生成的方式为:用户设备和移动管理实体直接令所述通用陆地无线接入网系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符,或令所述通用陆地无线接入网系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
3、如权利要求1或2所述的方法,其特征在于,所述用户设备空闲状态下从演进的陆地无线接入网转移到通用陆地无线接入网时,所述移动管理实体收到上下文请求或鉴别请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身份标识符即密钥集标识符,将所述完整性密钥、加密密钥和所述密钥集标识符通过上下文响应或鉴别响应消息发送给所述服务GPRS支持节点,所述服务GPRS支持节点保存所述加密密钥、完整性密钥和密钥集标识符。
4、如权利要求1或2所述的方法,其特征在于,所述用户设备决定空闲转移到通用陆地无线接入网后,在用户设备相应发送路由区更新完成或附着完成消息给服务GPRS支持节点之前,所述用户设备使用接入安全管理实体密钥的身份标识符映射生成密钥集标识符,将密钥集标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
5、如权利要求1或2所述的方法,其特征在于,所述用户设备在无线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时,所述移动管理实体在收到切换请求后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身份标识符即密钥集标识符,通过转发重定向请求消息将所述加密密钥和完整性密钥及密钥集标识符一起发送给服务GPRS支持节点,所述GPRS支持节点保存所述加密密钥、完整性密钥和所述密钥集标识符;所述用户设备收到网络侧发送的切换命令后使用接入安全管理实体密钥的身份标识符映射生成密钥集标识符,将密钥集标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
6、如权利要求1或2所述的方法,其特征在于,如果所述用户设备转移前和网络侧协商好密钥,且转移前协商好的密钥的身份标识符和转移过程中由所述接入安全管理实体密钥的身份标识符映射生成的所述系统密钥的身份标识符一样,删除转移前服务GPRS支持节点和用户设备中保存的该密钥。
7、一种密钥身份标识符生成方法,包括:用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网时,
移动管理实体使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符;移动管理实体将所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS支持节点;
服务GPRS支持节点将所述加密密钥和完整性密钥的身份标识符的值赋给所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符,即加密密钥序列号;
用户设备使用接入安全管理实体密钥标识符映射生成所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符。
8、如权利要求7所述的方法,其特征在于,所述映射生成的方式为:移动管理实体直接令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符,或令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符与网络侧和用户设备约定的一常数之和;用户设备直接令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符,或令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
9、如权利要求7或8所述的方法,其特征在于,所述用户设备空闲状态下从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网时,所述移动管理实体在收到上下文请求或鉴别请求消息后,生成完整性密钥、加密密钥和及其身份标识符,通过上下文响应或鉴别响应消息发送给所述服务GPRS支持节点。
10、如权利要求7或8所述的方法,其特征在于,所述用户设备决定空闲转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网后,在用户设备相应发送路由区更新完成或附着完成消息给服务GPRS支持节点之前,所述用户设备使用接入安全管理实体密钥的身份标识符映射生成全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符,将全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符和由接入安全管理实体密钥生成的全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥一起保存。
11、如权利要求7或8所述的方法,其特征在于,所述用户设备在无线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时,所述移动管理实体在收到切换请求后,生成加密密钥、完整性密钥和及其身份标识符,通过转发重定向请求消息将所述加密密钥、完整性密钥及其身份标识符发送给服务GPRS支持节点;所述用户设备收到网络侧发送的切换命令后,生成所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥及其身份标识符。
12、如权利要求7或8所述的方法,其特征在于,如果所述用户设备转移前和网络侧协商好密钥,且转移前协商好的密钥其身份标识符和转移过程中映射生成的所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符一样,删除转移前服务GPRS支持节点和用户设备中保存的该密钥。
13、一种密钥生成系统,其特征在于,包含用户设备、移动管理实体和服务GPRS支持节点,其特征在于,
所述用户设备,用于当用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时,将接入安全管理实体密钥的身份标识符映射为所述通用陆地无线接入网的系统密钥集的身份识别符;
所述移动管理单元,用于当用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时,将接入安全管理实体密钥的身份标识符映射为所述通用陆地无线接入网的系统密钥集的身份识别符,发送给所述服务GPRS支持节点;
所述映射方式为,用户设备和移动管理实体直接令系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符,或令系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
14、如权利要求13所述的系统,其特征在于,
所述用户设备包含:
第一密钥身份标识符映射单元,用于映射生成完整性密钥、加密密钥的身份标识符,将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标识符;
第一密钥及其身份标识符存储单元,用于保存加密密钥、完整性密钥和第一密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符;
所述移动管理实体包含:
第二密钥身份标识符映射单元,用于生成完整性密钥、加密密钥的身份标识符,将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标识符;
安全参数发送单元,用于发送加密密钥、完整性密钥和第二密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符至服务GRPS支持节点;
所述服务GPRS支持节点包含:
安全参数接收单元,用于接收移动管理实体发送的加密密钥、完整性密钥及其身份标识符;
第三密钥及其身份标识符存储单元,用于存储接收到的加密密钥、完整性密钥及其身份标识符。
15、一种密钥生成系统,其特征在于,包含用户设备、移动管理实体和服务GPRS支持节点,其特征在于,
所述用户设备,用于当用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网时,使用接入安全管理实体密钥标识符映射生成全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符;
所述移动管理实体,用于当用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网时,使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符;将所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS支持节点;
所述服务GPRS支持节点,用于接收所述移动管理实体发送的加密密钥、完整性密钥及其身份标识符,将所述加密密钥、完整性密钥的身份标识符的值赋给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符;
所述映射生成的方式为:移动管理实体直接令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符,或令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符与网络侧和用户设备约定的一常数之和;用户设备直接令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符,或令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
16、如权利要求15所述的系统,其特征在于,
所述用户设备包含:
第一密钥身份标识符映射单元,用于将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符;
第一密钥及其身份标识符存储单元,用于保存全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥及其身份标识符;
所述移动管理实体还包含:
第二密钥身份标识符映射单元,用于生成所述加密密钥、完整性密钥的身份标识符,将接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给完整性密钥、加密密钥的身份标识符;
安全参数发送单元,用于发送加密密钥、完整性密钥和第二密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符至服务GRPS支持节点;
所述服务GPRS支持节点还包含:
安全参数接收单元,用于接收移动管理实体发送的加密密钥、完整性密钥及其身份标识符;
第三密钥身份标识符映射单元,用于将加密密钥、完整性密钥及其身份标识符的值赋给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符;
第三密钥及其身份标识符存储单元,用于存储全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥及其身份标识符。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101004733A CN101299666A (zh) | 2008-06-16 | 2008-06-16 | 密钥身份标识符的生成方法和系统 |
PCT/CN2009/072279 WO2009152755A1 (zh) | 2008-06-16 | 2009-06-15 | 密钥身份标识符的生成方法和系统 |
US12/997,253 US8750515B2 (en) | 2008-06-16 | 2009-06-15 | Method and system for generating an identifier of a key |
EP09765394.3A EP2296389B1 (en) | 2008-06-16 | 2009-06-15 | Method and system for generating an identity identifier of a key |
US14/261,039 US9713001B2 (en) | 2008-06-16 | 2014-04-24 | Method and system for generating an identifier of a key |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101004733A CN101299666A (zh) | 2008-06-16 | 2008-06-16 | 密钥身份标识符的生成方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101299666A true CN101299666A (zh) | 2008-11-05 |
Family
ID=40079363
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008101004733A Pending CN101299666A (zh) | 2008-06-16 | 2008-06-16 | 密钥身份标识符的生成方法和系统 |
Country Status (4)
Country | Link |
---|---|
US (2) | US8750515B2 (zh) |
EP (1) | EP2296389B1 (zh) |
CN (1) | CN101299666A (zh) |
WO (1) | WO2009152755A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009152755A1 (zh) * | 2008-06-16 | 2009-12-23 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
WO2009152656A1 (zh) * | 2008-06-16 | 2009-12-23 | 中兴通讯股份有限公司 | 用户设备转移时密钥身份标识符的生成方法和生成系统 |
CN101771990B (zh) * | 2008-12-31 | 2013-03-20 | 华为技术有限公司 | 一种密钥获取方法、设备和系统 |
CN103597774A (zh) * | 2011-04-15 | 2014-02-19 | 三星电子株式会社 | 提供机器到机器服务的方法和装置 |
US20140059662A1 (en) * | 2010-05-04 | 2014-02-27 | Qualcomm Incorporated | Shared circuit switched security context |
CN104838412A (zh) * | 2012-12-06 | 2015-08-12 | 脸谱公司 | 发送用于在移动客户端设备上检索应用的通知 |
CN108293183A (zh) * | 2015-11-18 | 2018-07-17 | 上海诺基亚贝尔股份有限公司 | E-utran与wlan之间的切换 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ZA200903044B (en) | 2006-11-01 | 2010-07-28 | Ericsson Telefon Ab L M | Telecommunication systems and encryption of control messages in such systems |
ES2488132T3 (es) * | 2009-10-05 | 2014-08-26 | Telefonaktiebolaget L M Ericsson (Publ) | Método y disposición en un sistema de telecomunicación |
CN102833743B (zh) * | 2011-06-17 | 2016-12-07 | 中兴通讯股份有限公司 | 公共警报系统密钥更新信息的发送、更新方法和相应设备 |
CN104322089A (zh) * | 2012-05-23 | 2015-01-28 | 诺基亚公司 | 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 |
CN105122672B (zh) * | 2013-05-09 | 2018-11-27 | 英特尔Ip公司 | 小数据通信 |
US9992670B2 (en) | 2014-08-12 | 2018-06-05 | Vodafone Ip Licensing Limited | Machine-to-machine cellular communication security |
US20160050568A1 (en) * | 2014-08-12 | 2016-02-18 | Vodafone Ip Licensing Limited | Machine-to-machine cellular communication security |
CN111182539B (zh) | 2017-03-24 | 2023-04-07 | 华为技术有限公司 | 通信方法与设备 |
EP3565291B1 (en) * | 2017-05-04 | 2021-07-07 | Huawei Technologies Co., Ltd. | Method and device for acquiring key and communication system |
WO2019196800A1 (en) * | 2018-04-10 | 2019-10-17 | Mediatek Singapore Pte. Ltd. | Improvement for incorrect ksi handling in mobile communications |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7079499B1 (en) | 1999-09-08 | 2006-07-18 | Nortel Networks Limited | Internet protocol mobility architecture framework |
KR100640479B1 (ko) | 2004-06-07 | 2006-10-30 | 삼성전자주식회사 | 이동 광대역 무선접속 시스템에서 핸드오버 절차 최적화 시스템 및 방법 |
CN100394827C (zh) * | 2004-09-10 | 2008-06-11 | 上海贝尔阿尔卡特股份有限公司 | 多媒体广播多播业务的去激活方法及有关设备 |
CN1294785C (zh) | 2004-09-30 | 2007-01-10 | 华为技术有限公司 | 一种系统间切换的方法 |
CN1889426B (zh) * | 2005-06-30 | 2010-08-25 | 联想(北京)有限公司 | 一种实现网络安全存储与访问的方法及系统 |
CN101243719B (zh) | 2005-07-06 | 2012-10-17 | 诺基亚公司 | 安全的会话密钥上下文 |
CN100551148C (zh) | 2005-09-01 | 2009-10-14 | 华为技术有限公司 | 一种加密模式下系统切换的实现方法 |
CN1941695B (zh) | 2005-09-29 | 2011-12-21 | 华为技术有限公司 | 初始接入网络过程的密钥生成和分发的方法及系统 |
US7864731B2 (en) | 2006-01-04 | 2011-01-04 | Nokia Corporation | Secure distributed handover signaling |
KR101514845B1 (ko) * | 2006-03-31 | 2015-04-23 | 삼성전자주식회사 | 액세스 시스템 간의 핸드오버 시의 인증 절차를 최적화하기위한 시스템 및 방법 |
CN101277513B (zh) | 2007-03-27 | 2011-07-20 | 厦门致晟科技有限公司 | 无线移动终端通讯加密的方法 |
CN101309500B (zh) * | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
US9049629B2 (en) * | 2007-06-18 | 2015-06-02 | Qualcomm Incorporated | Method and apparatus for fast inter-system handover |
CN101102600B (zh) | 2007-06-29 | 2012-07-04 | 中兴通讯股份有限公司 | 在不同移动接入系统中切换时的密钥处理方法 |
CN101083839B (zh) * | 2007-06-29 | 2013-06-12 | 中兴通讯股份有限公司 | 在不同移动接入系统中切换时的密钥处理方法 |
CN101145932B (zh) | 2007-10-15 | 2011-08-24 | 中兴通讯股份有限公司 | 一种移动多媒体广播业务中节目流密钥的实现方法及系统 |
US8145195B2 (en) * | 2008-04-14 | 2012-03-27 | Nokia Corporation | Mobility related control signalling authentication in mobile communications system |
US9706395B2 (en) * | 2008-04-28 | 2017-07-11 | Nokia Technologies Oy | Intersystem mobility security context handling between different radio access networks |
US20090268635A1 (en) * | 2008-04-29 | 2009-10-29 | Gallagher Michael D | Method and Apparatus for Mapping E-UTRAN Cells at Call Establishment |
KR101224230B1 (ko) * | 2008-06-13 | 2013-01-21 | 노키아 코포레이션 | 시스템간 모빌리티 동안에 프레시 보안 콘텍스트를 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 |
CN101299666A (zh) | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
CN101299884B (zh) * | 2008-06-16 | 2012-10-10 | 中兴通讯股份有限公司 | 用户设备转移时密钥身份标识符的生成方法和生成系统 |
-
2008
- 2008-06-16 CN CNA2008101004733A patent/CN101299666A/zh active Pending
-
2009
- 2009-06-15 EP EP09765394.3A patent/EP2296389B1/en active Active
- 2009-06-15 WO PCT/CN2009/072279 patent/WO2009152755A1/zh active Application Filing
- 2009-06-15 US US12/997,253 patent/US8750515B2/en active Active
-
2014
- 2014-04-24 US US14/261,039 patent/US9713001B2/en active Active
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009152656A1 (zh) * | 2008-06-16 | 2009-12-23 | 中兴通讯股份有限公司 | 用户设备转移时密钥身份标识符的生成方法和生成系统 |
US8750515B2 (en) | 2008-06-16 | 2014-06-10 | Zte Corporation | Method and system for generating an identifier of a key |
WO2009152755A1 (zh) * | 2008-06-16 | 2009-12-23 | 中兴通讯股份有限公司 | 密钥身份标识符的生成方法和系统 |
US9713001B2 (en) | 2008-06-16 | 2017-07-18 | Zte Corporation | Method and system for generating an identifier of a key |
CN101771990B (zh) * | 2008-12-31 | 2013-03-20 | 华为技术有限公司 | 一种密钥获取方法、设备和系统 |
US10075420B2 (en) * | 2010-05-04 | 2018-09-11 | Qualcomm Incorporated | Shared circuit switched security context |
US20140059662A1 (en) * | 2010-05-04 | 2014-02-27 | Qualcomm Incorporated | Shared circuit switched security context |
US10389691B2 (en) | 2010-05-04 | 2019-08-20 | Qualcomm Incorporated | Shared security context |
CN103597774A (zh) * | 2011-04-15 | 2014-02-19 | 三星电子株式会社 | 提供机器到机器服务的方法和装置 |
CN103597774B (zh) * | 2011-04-15 | 2017-11-07 | 三星电子株式会社 | 提供机器到机器服务的方法和装置 |
CN104838412A (zh) * | 2012-12-06 | 2015-08-12 | 脸谱公司 | 发送用于在移动客户端设备上检索应用的通知 |
CN104838412B (zh) * | 2012-12-06 | 2019-09-03 | 脸谱公司 | 发送用于在移动客户端设备上检索应用的通知 |
CN108293183A (zh) * | 2015-11-18 | 2018-07-17 | 上海诺基亚贝尔股份有限公司 | E-utran与wlan之间的切换 |
CN108293183B (zh) * | 2015-11-18 | 2021-06-01 | 上海诺基亚贝尔股份有限公司 | E-utran与wlan之间的切换 |
Also Published As
Publication number | Publication date |
---|---|
EP2296389A4 (en) | 2015-03-25 |
US9713001B2 (en) | 2017-07-18 |
WO2009152755A1 (zh) | 2009-12-23 |
US20110123029A1 (en) | 2011-05-26 |
EP2296389A1 (en) | 2011-03-16 |
US20140233737A1 (en) | 2014-08-21 |
EP2296389B1 (en) | 2019-05-22 |
US8750515B2 (en) | 2014-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101299666A (zh) | 密钥身份标识符的生成方法和系统 | |
CN101299884B (zh) | 用户设备转移时密钥身份标识符的生成方法和生成系统 | |
CN101232731B (zh) | 用于ue从utran切换到eutran的密钥生成方法和系统 | |
CN101355809B (zh) | 一种协商启用安全上下文的方法和系统 | |
WO2019153994A1 (zh) | 安全协商方法及装置 | |
CN101242630B (zh) | 安全算法协商的方法、装置及网络系统 | |
CN101772021B (zh) | 无线通讯系统处理保密设定的方法及其相关通讯装置 | |
CN101083839B (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
US9681339B2 (en) | Security processing method and system in network handover process | |
CN101102600B (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
CN106105143A (zh) | 双连接性中的安全性密钥推导 | |
WO2019096075A1 (zh) | 一种消息保护的方法及装置 | |
US9590962B2 (en) | Using cookies to identify security contexts for connectionless service | |
CN101257723A (zh) | 密钥生成方法、装置及系统 | |
CN103167492B (zh) | 在通信系统中生成接入层密钥的方法及其设备 | |
CN101841810B (zh) | 空中接口密钥的更新方法、核心网节点及无线接入系统 | |
CN101267668A (zh) | 密钥生成方法、装置及系统 | |
WO2019085908A1 (zh) | 一种rrc连接恢复方法及装置 | |
CN101610506A (zh) | 防止网络安全失步的方法和装置 | |
CN102685730B (zh) | 一种ue上下文信息发送方法及mme | |
CN108307389A (zh) | 数据安全保护方法、网络接入设备及终端 | |
CN103781069A (zh) | 一种双向认证的方法、设备及系统 | |
CN109964500A (zh) | 导出用于中继通信的安全密钥 | |
US11039346B2 (en) | Handover of a device which uses another device as relay | |
CN110167019A (zh) | 通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20081105 |