CN101299884B - 用户设备转移时密钥身份标识符的生成方法和生成系统 - Google Patents

用户设备转移时密钥身份标识符的生成方法和生成系统 Download PDF

Info

Publication number
CN101299884B
CN101299884B CN200810100472A CN200810100472A CN101299884B CN 101299884 B CN101299884 B CN 101299884B CN 200810100472 A CN200810100472 A CN 200810100472A CN 200810100472 A CN200810100472 A CN 200810100472A CN 101299884 B CN101299884 B CN 101299884B
Authority
CN
China
Prior art keywords
key
identifier
managing entity
subscriber equipment
support node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200810100472A
Other languages
English (en)
Other versions
CN101299884A (zh
Inventor
张旭武
甘露
黄庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Global Innovation Polymerization LLC
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200810100472A priority Critical patent/CN101299884B/zh
Publication of CN101299884A publication Critical patent/CN101299884A/zh
Priority to PCT/CN2008/002116 priority patent/WO2009152656A1/zh
Priority to ES08874669.8T priority patent/ES2626666T3/es
Priority to EP08874669.8A priority patent/EP2290875B1/en
Priority to US12/996,630 priority patent/US20110135095A1/en
Application granted granted Critical
Publication of CN101299884B publication Critical patent/CN101299884B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/12Reselecting a serving backbone network switching or routing node

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种用户设备转移时密钥身份标识符的生成方法和生成系统;方法包括:当用户设备从演进的陆地无线接入网转移到目标系统时,移动管理单元将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点,服务GPRS支持节点和用户设备均将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。能够解决现有技术中用户设备从演进的陆地无线接入网转移到陆地无线接入网或通用分组无线业务/改进数据率GSM服务无线接入网后,转移过程中产生的由接入安全管理实体密钥映射过来的密钥无身份标识符的问题。

Description

用户设备转移时密钥身份标识符的生成方法和生成系统
技术领域
本发明涉及移动通信领域,具体而言,涉及一种用户设备转移时密钥身份标识符的生成方法和生成系统。
背景技术
在移动通信系统中,当UE(用户设备)在不同接入系统相互转移时,源服务网络(Source Service Network)的安全参数需要映射为目标网络(TargetService network)所能识别并能使用的安全参数,才能使转移成功并开展业务。这些安全参数包括密钥、密钥标识符、计数器、安全算法等。
3GPP演进的分组系统(EPS,Evolved Packet System)由演进的陆地无线接入网(EUTRAN,Evo1ved UMTS Terrestrial Radio Access Network)和EPS核心网(EPC,Evolved Packet Core)组成。
其中,EPC包含移动管理单元(MME,mobility management entity),移动管理单元负责移动性的管理、非接入层信令的处理、以及用户安全模式的管理等控制面相关工作。其中,MME保存EUTRAN的根密钥KASME(KeyAccess Security Management Entity,接入安全管理实体密钥),并且使用KASME和上行NAS SQN(非接入层序列号)生成供eNB(evolved Node B,演进的基站)使用的接入层的根密钥KeNB(Key eNB,演进的基站密钥)。接入安全管理实体密钥集识别符(KASME Key Set identifier for Access SecurityManagement Entity)KSIASME是密钥KASME的身份识别符(或者叫密钥序列号、身份标识符),长度为3个比特位,用于网络与用户设备(UE,User Equipment)之间对密钥的识别和检索。当UE和网络建立连接时,可以通过KSIASME通知对方使用先前已经存储指定密钥,从而建立安全上下文,避免每次连接都要进行认证和密钥协商(AKA,Authentication and Key Association),节省网络资源,当密钥由于生存期结束或其它原因需要删除时,UE将KSIASME设为“111”。
其中,在演进的UTRAN中,基站设备为演进的基站(eNB,evolvedNode-B),主要负责无线通信、无线通信管理、和移动性上下文的管理。
3GPP UMTS系统中负责分组域移动性上下文的管理、和/或用户安全模式的管理的设备是SGSN(Serving GPRS Support Node,服务GPRS支持节点)。SGSN还负责UMTS(Universal Mobile Telecommunications System,通用移动通信系统)无线接入网(UTRAN,Universal Terrestrial Radio Access Network)部分的认证和安全管理,并保存密钥IK(Integrity Key,完整性密钥),CK(Ciphering Key,加密密钥)。CK/IK的密钥身份识别符(或者叫密钥身份标识符)为KSI(Key Set identifier,密钥集识别符),其作用和使用方法类似于EPS中的KSIASME,都是用于UE和网络之间对密钥的识别和检索,长度也为3个比特位。当KSI等于“111”时,表示没有可以使用的密钥,KSI无效。当UE和SGSN需要协商建立UMTS安全连接时,如果UE已经储存有可以使用的密钥时,UE将储存的KSI发给SGSN,SGSN验证存储的KSI是否与UE存储的KSI相同,如果一致,则采用存储的密钥组协商建立安全上下文,并将KSI发回UE确认其使用的密钥。如果UE没有存储有用的密钥,则将KSI置为“111”,然后发给SGSN,SGSN检查到KSI为“111”后,向HLR(归属位置寄存器)/HSS(归属用户服务器)发送认证请求消息,UE和网络重新作AKA,产生新的密钥组。
GPRS(通用分组无线业务)/EDGE(改进数据率GSM服务)系统负责分组域移动性上下文的管理、和/或用户安全模式的管理的设备也是SGSN,SGSN负责GPRS/EDGE无线接入网(GERAN,GPRS/EDGE Radio AccessNetwork)部分的认证和安全管理,并存有GERAN加密密钥Kc(Cipheringkey),Kc的身份识别符(或者叫密钥身份标识符)为CKSN(Ciphering keysequence Number,加密密钥序列号),作用和使用方法同KSI一样。
当UE从EUTRAN转移(mobility)到UTRAN时,MME将用KASME为目标网络生成密钥CK、IK,并发给SGSN,UE和SGSN使用CK、IK,并协商相应安全算法,建立了UTRAN安全上下文,其中转移包括RRC处于激活(Active)状态的转移,和UE处于空闲(Idle)状态的转移两种类型,激活状态下的转移包括切换等,空闲状态下的转移包括路由区更新、附着请求等。
当UE从EUTRAN转移到GERAN时,MME用KASME产生CK,IK(同转移到UMTS时,密钥产生方法一样),然后将IK、CK发给SGSN。SGSN使用IK、CK生成GERAN密钥Kc。
在现有技术中,无论是KSIASME、KSI还是CKSN,都是在认证过程中由网络侧生成,然后通过认证请求发给UE。然而在EUTRAN到UTRAN或GERAN转移过程中,虽然MME为目标网络生成了UTRAN或GERAN所需的IK、CK,但是没有为这对密钥生成相应的身份识别符,造成一旦转移结束后,UE和SGSN将无法检索到转移时生成的密钥,也无法重新使用这对密钥。当UE和网络要重新建立RRC(Radio Resource Control,无线资源控制)或其它连接时,由于无法使用这些存储的密钥,不得不先进行AKA,重新产生新的密钥,然后才建立无线连接。这无疑会增加了网络和UE的信令开销,推迟了UE与网络的正常通信时间,造成用户使用满意度变差。
发明内容
本发明要解决的技术问题是提供用户设备转移时密钥身份标识符的生成方法和生成系统,能够解决现有技术中用户设备从EUTRAN转移到UTRAN或GERAN后,转移过程中产生的由KASME映射过来的密钥无身份标识符的问题。
为了解决上述问题,本发明提供了一种用户设备转移时密钥身份标识符的生成方法,包括:
当用户设备从演进的陆地无线接入网转移到目标系统时,移动管理单元将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点,服务GPRS支持节点和用户设备均将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。
进一步的,所述映射的方式包括:
直接令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符,或令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符与一用户设备与网络约定好的常数之和。
进一步的,所述的生成方法还包括:
如果转移前用户设备和服务GPRS支持节点已经协商好密钥,并且目标系统的密钥身份识别符与转移过程中由接入安全管理实体密钥的身份标识符映射得到的目标系统的密钥身份识别符一样,则删除转移前的密钥。
进一步的,当用户设备从演进的陆地无线接入网空闲转移到陆地无线接入网时,方法具体包括:
A1、移动管理单元收到上下文请求或鉴别请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,通过上下文响应或鉴别响应消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
A2、服务GPRS支持节点收到移动管理单元发过来的接入安全管理实体密钥的身份标识符和完整性密钥、加密密钥后,将接入安全管理实体密钥的身份标识符映射为密钥集识别符,将该密钥集识别符和完整性密钥、加密密钥一起保存;服务GPRS支持节点发送指示密钥集识别符映射完成的消息给用户设备;
A3、用户设备将接入安全管理实体密钥的身份标识符映射为密钥集识别符,将密钥集识别符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
进一步的,步骤A1前还包括:
A0、用户设备决定空闲转移到陆地无线接入网,发送空闲转移到陆地无线接入网的请求消息给服务GPRS支持节点,请求消息为路由区更新请求或附着请求;服务GPRS支持节点收到用户设备发过来的空闲转移到陆地无线接入网的请求消息后,向移动管理单元发相应的请求消息;
相应的,步骤A2中,服务GPRS支持节点所发送的指示密钥集识别符映射完成的消息为路由区更新接受或附着接受消息。
进一步的,步骤A3以发生在用户设备决定空闲转移到陆地无线接入网后、用户设备相应发送路由区更新完成或附着完成消息给服务GPRS支持节点之前的任一步中。
进一步的,当用户设备从演进的陆地无线接入网切换到陆地无线接入网时,方法具体包括:
a1、移动管理单元收到切换请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,通过转发重定向请求消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
a2、服务GPRS支持节点收到移动管理单元发来的密钥集识别符和完整性密钥、加密密钥后,将接入安全管理实体密钥的身份标识符映射为密钥集识别符,将该密钥集识别符和完整性密钥、加密密钥一起保存;服务GPRS支持节点发送指示密钥集识别符映射完成的转发重定向响应消息给移动管理单元;移动管理单元发送切换命令指示用户设备切换;
a3、用户设备收到网络发过来切换命令后将接入安全管理实体密钥的身份标识符映射为密钥集识别符,将密钥集识别符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
进一步的,当用户设备从演进的陆地无线接入网空闲转移到通用分组无线业务/改进数据率GSM服务无线接入网时,方法具体包括:
B1、移动管理单元收到上下文请求或者或鉴别请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,通过上下文响应或鉴别响应将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
B2、服务GPRS支持节点收到移动管理单元发来的接入安全管理实体密钥的身份标识符和完整性密钥、加密密钥后,使用完整性密钥、加密密钥生成通用分组无线业务/改进数据率GSM服务无线接入网加密密钥,将接入安全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,将通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符和所述通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存;服务GPRS支持节点发送指示通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映射完成的消息给用户设备;
B3、用户设备将接入安全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,将通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符和由接入安全管理实体密钥生成的通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存。
进一步的,步骤B1前还包括:
B0、用户设备决定空闲转移到通用分组无线业务/改进数据率GSM服务无线接入网,发送空闲转移到陆地无线接入网的请求消息给服务GPRS支持节点,请求消息为路由区更新请求或附着请求;服务GPRS支持节点收到用户设备发过来的空闲转移到陆地无线接入网的请求消息后,向移动管理单元发相应的请求消息;
相应的,步骤B2中,服务GPRS支持节点所发送的指示通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映射完成的消息为路由区更新接受或附着接受消息。
进一步的,步骤B3发生在用户设备决定空闲转移到通用分组无线业务/改进数据率GSM服务无线接入网后、用户设备发送切换消息给网络侧之前的任一步中。
进一步的,当用户设备从演进的陆地无线接入网切换到CERAN时,方法具体包括:
b1、移动管理单元收到切换请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,通过转发重定向请求消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
b2、服务GPRS支持节点收到移动管理单元发过来的密钥集识别符和完整性密钥、加密密钥后,使用完整性密钥、加密密钥生成通用分组无线业务/改进数据率GSM服务无线接入网加密密钥,将接入安全管理实体密钥的身份标识符的值赋给通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,即加密密钥序列号,将通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符和所述通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存;服务GPRS支持节点发送指示通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映射完成的消息给移动管理单元;移动管理单元发送切换命令指示用户设备切换;
b3、用户设备收到网络发过来切换命令后将接入安全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,将通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,和由接入安全管理实体密钥生成的通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存。
本发明还提供了一种用户设备转移时密钥身份标识符的生成系统,包括:用户设备、移动管理单元和服务GPRS支持节点;
移动管理单元用于当用户设备从演进的陆地无线接入网转移到目标系统时,将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点;
服务GPRS支持节点和用户设备均用于将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。
进一步的,所述服务GPRS支持节点/用户设备进行映射的方式包括:
直接令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符,或令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符与一用户设备与网络约定好的常数之和。
进一步的,用户设备和服务GPRS支持节点还用于当用户设备转移前和服务GPRS支持节点已经协商好密钥,并且目标系统的密钥身份识别符与转移过程中接入安全管理实体密钥的身份标识符转化过来对应的目标系统的密钥身份识别符的值一样时,删除转移前的密钥。
进一步的,所述用户设备包括消息交互单元、密钥标识符映射单元和密钥及其标识符存储单元;
消息交互单元用于接收网络侧发来的消息;
密钥标识符映射单元用于当消息交互单元收到切换命令、路由区更新接受或附着接受消息时,将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符;
密钥及其标识符存储单元,用于将目标系统的密钥和所述目标系统的密钥身份标识符一起保存;
所述移动管理单元包括请求消息接收单元和安全参数处理单元;
所述请求消息接收单元用于接收其他网络实体发送的转移请求消息,并指示安全参数处理单元处理;
所述安全参数处理单元用于当接收到所述请求消息接收单元的指示后,使用接入安全管理实体密钥产生加密密钥、完整性密钥,将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
所述服务GPRS支持节点包括安全参数处理单元,消息交互单元、密钥标识符映射单元、密钥生成单元;
所述安全参数接收单元用于接收移动管理单元发来的密钥及接入安全管理实体密钥的身份标识符,将接入安全管理实体密钥的身份标识符发送给密钥标识符映射单元;根据移动管理单元发来的密钥得到目标系统的密钥并发送给密钥及其标识符存储单元;
所述密钥标识符映射单元用于当收到接入安全管理实体密钥的身份标识符时,将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份标识符;
所述密钥及其标识符存储单元,用于将安全参数接收单元发送的目标系统的密钥和密钥标识符映射单元发送的目标系统的密钥身份标识符一起保存,保存后通知消息交互单元映射完成;
所述消息交互单元用于在收到映射完成的消息后发送网络侧密钥标识符已经映射成功的通知。
进一步的,所述用户设备和服务GPRS支持节点中的密钥标识符映射单元将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份标识符是指,当转移的目标系统为陆地无线接入网时,将接入安全管理实体密钥的身份标识符映射为密钥集识别符;当转移的目标系统为通用分组无线业务/改进数据率GSM服务无线接入网时,将接入安全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符;
所述服务GPRS支持节点中的安全参数接收单元根据移动管理单元发来的密钥得到目标系统的密钥并发送给密钥及其标识符存储单元是指,转移到的目标系统如果为陆地无线接入网,则将移动管理单元发送来的密钥发送给密钥及其标识符存储单元;如果目标系统为通用分组无线业务/改进数据率GSM服务无线接入网,则使用移动管理单元发送来的密钥生成通用分组无线业务/改进数据率GSM服务无线接入网加密密钥后发送给密钥及其标识符存储单元。
进一步的,用户设备中的密钥标识符映射单元还用于当用户设备决定空闲转移时将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。
进一步的,所述用户设备中的消息交互单元还用于在决定空闲转移时发送路由区更新请求或附着请求消息给服务GPRS支持节点;
所述服务GPRS支持节点中的消息交互单元还用于当收到路由区更新请求或附着请求消息时发送相应的上下文请求或鉴别请求消息给移动管理单元;
所述移动管理单元中的请求消息接收单元当转移请求消息为上下文请求或鉴别请求消息时,发送第一处理指示给安全参数处理单元;当转移请求消息为切换请求消息,发送第二处理指示给安全参数处理单元;
所述移动管理单元中的安全参数处理单元当所收到的指示为第一处理指示时,通过上下文响应或鉴别响应消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;当所收到的指示为第二处理指示时,通过转发重定向请求消息将所述接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点。
进一步的,服务GPRS支持节点中的消息交互单元发送网络侧密钥标识符已经映射成功的通知是指:
如果所收到的移动管理单元发送密钥及其标识符的消息为上下文响应或鉴别响应消息,则相应发送路由区更新接受或附着接受消息给用户设备来指示网络侧密钥标识符已经映射成功;如果所收到的移动管理单元发送密钥及其标识符的消息为转发重定向请求消息,则发送转发重定向响应消息给移动管理单元来指示网络侧密钥标识符已经映射成功。
本发明的技术方案能够在转移过程中为密钥提供身份标识符,重新使用由KASME转换过来的密钥,解决了UE从EUTRAN转移到其他系统时,由KASME生成的密钥无身份标识符而导致无法被重新使用的问题,减少了用户设备和网络的交互信令。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明所述的UE从EUTRAN转移到UTRAN时密钥集标识符生成方法具体实现示意图。
图2为本发明所述的UE从EUTRAN转移到GERAN时密钥集标识符生成方法具体实现示意图。
图3为本发明所述方法的应用实例一的实现信令流程图。
图4为本发明所述方法的应用实例二的实现信令流程图。
图5为本发明所述方法的应用实例三的实现信令流程图。
图6为本发明所述方法的应用实例四的实现流程图。
图7为本发明所述方法的应用实例五的实现信令流程图。
图8为本发明所述方法的应用实例六的实现信令流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
本发明提供的UE转移时密钥身份标识符的生成方法包括:
当用户设备从演进的陆地无线接入网转移到目标系统时,移动管理单元将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点,服务GPRS支持节点和用户设备均将KSIASME映射为目标系统的密钥身份识别符。
其中,所述映射的方式可以包括:直接令目标系统的密钥身份识别符等于KSIASME,或令目标系统的密钥身份识别符等于KSIASME与一常数之和;
所述服务GPRS支持节点与用户设备约定映射方式及常数。
其中,还包括:UE和SGSN将映射得到的目标系统的密钥身份识别符和由接入安全管理实体密钥产生的目标系统的密钥一起保存。
其中,KSIASME与常数之和不能为“111”,如果正好为111时,可按照UE与SGSN的约定进行改变,比如置为下一个值“000”,也可以是其它值。
其中,如果转移前UE和SGSN已经协商好密钥,并且所保存的目标系统的密钥身份识别符与转移过程中由KSIASME映射得到的目标系统的密钥身份识别符一样,则删除转移前保存的密钥。
其中,UE从EUTRAN转移到其他无线接入系统是指UE转移到UTRAN系统或GERAN系统;转移包括空闲转移和切换两种。
当UE从EUTRAN空闲转移到UTRAN时,所述生成方法如图1所示,具体包括:
A1、MME收到上下文请求或鉴别请求消息后,使用KASME生成IK、CK,通过上下文响应或鉴别响应消息将KSIASME和由KASME生成的IK、CK一起发给SGSN;
A2、SGSN收到MME发过来的KSIASME和IK、CK后,将KSIASME映射为KSI,并将该KSI和IK、CK一起保存;SGSN发送指示KSI映射完成的消息给UE;
A3、UE将KSIASME映射为KSI,即将KSIASME的值赋给KSI:KSI=KSIASME,并将KSI和由KASME生成的IK、CK一起保存。
进一步,步骤A1前还包括:
A0、UE决定空闲转移到UTRAN,发送空闲转移到UTRAN的请求消息给SGSN,请求消息为路由区更新请求或附着请求;SGSN收到UE发过来的空闲转移到UTRAN的请求消息后,向MME发相应的请求消息;
进一步,相应的,步骤A2中,SGSN所发送的指示KSI映射完成的消息为路由区更新接受或附着接受消息。
进一步的,步骤A3可以发生在UE决定空闲转移到UTRAN后、UE相应发送路由区更新完成或附着完成消息给SGSN之前的任一步中。
当UE从EUTRAN切换到UTRAN时,所述生成方法具体包括:
a1、MME收到切换请求消息后,使用KASME生成IK、CK,通过转发重定向请求消息将KSIASME和由KASME生成的IK、CK一起发给SGSN;
a2、SGSN收到MME发过来的KSIASME和IK、CK后,将KSIASME映射为KSI,将该KSI和IK、CK一起保存;SGSN发送指示KSI映射完成的转发重定向响应消息给MME;MME发送切换命令指示UE切换;
a3、UE收到网络发过来切换命令后将KSIASME映射为KSI,将KSI和由KASME生成的IK、CK一起保存。
上述密钥集识别符生成方法因为采用EUTRAN网络中的KSIASME的值映射为的UTRAN网络的KSI的值,同时保证映射的KSI与原先存储的密钥序列号不出现重码。解决了现有技术中在UE从EUTRAN转移到UTRAN时,由于映射过来的IK、CK无身份标识符而无法重新被使用的问题。
当UE从EUTRAN空闲转移到GERAN时,所述生成方法如图2所示,具体包括:
B1、MME收到上下文请求或者或鉴别请求消息后,使用KASME生成IK、CK,通过上下文响应或鉴别响应将KSIASME和由KASME生成的IK、CK一起发给SGSN;
B2、SGSN收到MME发过来的KSIASME和IK、CK后,使用IK、CK生成Kc,将KSIASME映射为CKSN,将CKSN和由IK、CK生成的Kc一起保存;SGSN发送指示CKSN映射完成的消息给UE;
B3、UE将KSIASME映射为CKSN,将CKSN和由KASME生成的Kc一起保存。
进一步,步骤B1前还可以包括:
B0、UE决定空闲转移到GERAN,发送空闲转移到UTRAN的请求消息给SGSN,请求消息为路由区更新请求或附着请求;SGSN收到UE发过来的空闲转移到UTRAN的请求消息后,向MME发相应的请求消息;
相应的,步骤B2中,SGSN所发送的指示CKSN映射完成的消息为路由区更新接受或附着接受消息。
进一步的,步骤B3可以发生在UE决定空闲转移到GERAN后、UE发送切换消息给网络侧之前的任一步中。
当UE从EUTRAN切换到CERAN时,所述生成方法具体包括:
b1、MME收到切换请求消息后,使用KASME生成IK、CK,通过转发重定向请求消息将KSIASME和由KASME生成的IK、CK一起发给SGSN;
b2、SGSN收到MME发过来的KSI和IK、CK后,使用IK、CK生成Kc,将KSIASME映射为CKSN,将CKSN和由IK、CK生成的Kc一起保存;SGSN发送指示CKSN映射完成的消息给MME;MME发送切换命令指示UE切换;
b3、UE收到网络发过来切换命令后将KSIASME映射为CKSN,将CKSN和由KASME生成的Kc一起保存。
上述密钥集识别符生成方法和系统因为采用KSIASME的值映射为CKSN的值,同时保证CKSN与原先存储的密钥序列号不出现重码。解决了现有技术中在UE从EUTRAN转移到GERAN,由于映射过来的Kc无身份标识符而无法重新被使用的问题。
本发明提供的UE转移时密钥身份标识符的生成系统包括:UE、MME和SGSN;
所述MME用于当用户设备从演进的陆地无线接入网转移到目标系统时,将KSIASME发给SGSN;
SGSN和UE均用于将KSIASME映射为目标系统的密钥身份识别符;
其中,所述SGSN/UE进行映射的方式包括:直接令目标系统的密钥身份识别符等于KSIASME,或令目标系统的密钥身份识别符等于KSIASME与一常数之和;
所述服务GPRS支持节点与用户设备约定映射方式及常数。
其中,SGSN和UE还用于将映射得到的目标系统的密钥身份识别符和由KASME产生的目标系统的密钥一起保存。
其中,KSIASME与常数之和不能为“111”,如果正好为111时,可按照UE与SGSN的约定进行改变,比如置为下一个值“000”,也可以是其它值。
UE和SGSN还用于当UE转移前和SGSN已经协商好密钥,并且所保存的目标系统的密钥身份识别符与转移过程中KSIASME转化过来对应的目标系统的密钥身份识别符的值一样时,删除转移前保存的密钥。
其中,UE从EUTRAN转移到其他无线接入系统是指UE转移到UTRAN系统或GERAN系统;转移包括空闲转移和切换两种。
其中,所述UE包括消息交互单元、密钥标识符映射单元和密钥及其标识符存储单元;
消息交互单元用于接收网络侧发来的消息;
密钥标识符映射单元用于当消息交互单元收到切换命令、路由区更新接受或附着接受消息时,将KSIASME映射为目标系统的密钥身份识别符;当转移的目标系统为UTRAN时,将KSIASME映射为KSI;当转移的目标系统为GERAN时,将KSIASME映射为CKSN;
密钥及其标识符存储单元,用于将目标系统的密钥和所述目标系统的密钥身份标识符一起保存。
所述MME包括请求消息接收单元和安全参数处理单元;
所述请求消息接收单元用于接收其他网络实体发送的转移请求消息,并指示安全参数处理单元处理;如果该转移请求消息为上下文请求或鉴别请求消息,则发送第一处理指示给安全参数处理单元;如果该转移请求消息为切换请求消息,则发送第二处理指示给安全参数处理单元;
所述安全参数处理单元用于当接收到所述请求消息接收单元的指示后,使用KASME产生CK、IK,将KSIASME和由KASME生成的IK、CK一起发给SGSN;当所收到的指示为第一处理指示时,通过上下文响应或鉴别响应消息将KSIASME和由KASME生成的IK、CK一起发给SGSN;当所收到的指示为第二处理指示时,通过转发重定向请求消息将所述KSIASME和由KASME生成的IK、CK一起发给SGSN。
所述SGSN包括安全参数处理单元,消息交互单元、密钥标识符映射单元、密钥生成单元;
所述安全参数接收单元用于接收MME发来的密钥及KSIASME,将KSIASME发送给密钥标识符映射单元;根据MME发来的密钥得到目标系统的密钥并发送给密钥及其标识符存储单元:判断转移到的目标系统如果为UTRAN,则将MME发送来的密钥发送给密钥及其标识符存储单元;如果目标系统为GERAN,则使用MME发送来的密钥生成Kc后发送给密钥及其标识符存储单元;
所述密钥标识符映射单元用于当收到KSIASME时,将KSIASME映射为目标系统的密钥身份标识符:判断转移到的目标系统如果为UTRAN,则将KSIASME映射为KSI;如果目标系统为GERAN,则将KSIASME映射为CKSN;将映射得到的密钥身份标识符发给所述密钥及其标识符存储单元;
所述密钥及其标识符存储单元,用于将安全参数接收单元发送的目标系统的密钥和密钥标识符映射单元发送的目标系统的密钥身份标识符一起保存,保存后通知消息交互单元映射完成;
所述消息交互单元用于在收到映射完成的消息后发送网络侧密钥标识符已经映射成功的通知。
其中,UE中的消息交互单元还可以用于在决定空闲转移时发送路由区更新请求或附着请求消息给SGSN;
所述SGSN中的消息交互单元还用于当收到路由区更新请求或附着请求消息时发送相应的上下文请求或鉴别请求消息给MME。
其中,UE中的密钥标识符映射单元还可以用于当UE决定空闲转移时将KSIASME映射为目标系统的密钥身份识别符。
其中,SGSN中的消息交互单元发送网络侧密钥标识符已经映射成功的通知是指:如果所收到的MME发送密钥及其标识符的消息为上下文响应或鉴别响应消息,则相应发送路由区更新接受或附着接受消息给UE来指示网络侧密钥标识符已经映射成功;如果所收到的MME发送密钥及其标识符的消息为转发重定向请求消息,则发送转发重定向响应消息给MME来指示网络侧密钥标识符已经映射成功。
上述密钥身份标识符生成系统因为采用KSIASME的值映射为KSI或CKSN的值,同时保证KSI或CKSN和SGSN原先存储的密钥序列号不出现重码。所以解决了现有技术中在UE从EUTRAN转移到UTRAN或GERAN时,由于KASME映射过来的IK、CK或Kc无身份标识符的问题,从而使IK、CK或Kc能够在转移结束后,重新被使用,减少UE和网络的交互信令,提高用户使用网络的满意度。
下面用本发明的六个应用实例进一步加以说明。
图3为本发明所述方法的应用实例一,为UE从EUTRAN空闲转移到UTRAN时,密钥标识符的生成方法流程,包括以下步骤:
步骤S301,UE决定空闲转移到UTRAN,发送空闲转移到UTRAN的请求消息给目标SGSN,请求消息可以为路由区更新请求,或附着请求;
步骤S302,目标SGSN收到UE发过来的空闲转移到UTRAN的请求消息后,向源MME发请求消息,请求消息对应于所收到的转移请求消息的类型,为相应的上下文请求或鉴别请求;
步骤S303,源MME收到目标SGSN发过来的请求消息后,使用KASME产生CK、IK;
步骤S304,源MME相应反馈上下文响应或鉴别响应消息,将CK、IK和KSIASME一起发给目标SGSN;
步骤S305,目标SGSN收到源MME发过来的CK、IK和KSIASME后,将KSIASME的值赋给KSI,即令KSI=KSIASME,将KSI和CK、IK一起保存;
步骤S306,目标SGSN向UE发空闲转移到UTRAN接受消息(相应为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥标识符已经映射成功;
步骤S307,UE将KSIASME的值赋给KSI,即令KSI=KSIASME,将KSI和由KASME生成的IK、CK一起保存;
步骤S308,UE相应发送路由区更新完成或附着完成消息给目标SGSN。
图4为本发明所述方法的应用实例二,为UE从EUTRAN空闲转移到UTRAN时,密钥标识符的生成方法流程,包括以下步骤:
步骤S401,UE决定空闲转移到UTRAN,将KSIASME的值赋给KSI,即KSI=KSIASME,将KSI和由KASME生成的IK、CK一起保存;
步骤S402,UE发送空闲转移到UTRAN的请求消息给目标SGSN,请求消息可以为路由区更新请求,或附着请求;
步骤S403,目标SGSN收到UE发过来的空闲转移到UTRAN的请求消息后,向源MME发请求消息,请求消息对应于所收到的转移请求消息的类型,为相应的上下文请求或鉴别请求;
步骤S404,源MME收到SGSN发过来的请求消息后,使用KASME产生CK、IK;
步骤S405,MME相应反馈上下文响应或鉴别响应消息,将CK、IK和KSIASME一起发给SGSN;
步骤S406,目标SGSN收到源MME发过来的KSIASME和CK、IK后,将KSIASME的值赋给KSI,即KSI=KSIASME,并将KSI和CK、IK一起保存;
步骤S407,目标SGSN向UE发空闲转移到UTRAN接受消息(为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥标识符已经映射成功;
步骤S408,UE相应发送路由区更新完成或附着完成消息给目标SGSN。
图5为本发明所述方法的应用实例三,为UE从EUTRAN切换到UTRAN时,密钥标识符的生成方法流程,包括以下步骤:
步骤S501,源eNB决定发起切换。可以是根据UE发给该eNB的测量报告触发,也可以是根据其他的一些原因由eNB决定发起转移。
步骤S502,源eNB向源MME发切换请求消息;
步骤S503,源MME使用KASME生成IK和CK;
步骤S504,源MME向目标SGSN发转发重定向请求,将KSIASME和IK、CK传给目标SGSN;
步骤S505,目标SGSN将KSIASME值赋给KSI,即KSI=KSIASME,并将KSI和IK、CK一起保存;
步骤S506,目标SGSN向源MME发转发重定向响应消息,通知源MME,目标网络已经做好切换准备;
步骤S507,源MME向源eNB发切换命令;
步骤S508,源eNB向UE发EUTRAN切换命令;
步骤S509,UE将KSIASME的值赋给KSI,即KSI=KSIASME,并使用KASME生成IK、CK,然后将KSI和CK、IK一起保存;
步骤S510,UE发送切换成功消息给目标RNC,通知网络KSI映射成功。
图6为本发明所述方法的应用实例四,为UE从EUTRAN空闲转移到GERAN时,密钥标识符的生成方法流程,包括以下步骤:
步骤S601,UE决定空闲转移到GERAN,发送空闲转移到GERAN的请求消息给目标SGSN,请求消息可以为路由区更新请求,或附着请求;
步骤S602,目标SGSN收到UE发过来的空闲转移到GERAN的请求消息后,向源MME发请求消息,请求消息对应于所收到的转移请求消息的类型,为相应的上下文请求或鉴别请求;
步骤S603,源MME收到目标SGSN发过来的请求消息后,使用KASME产生CK、IK;
步骤S604,源MME相应反馈上下文响应或鉴别响应消息,将CK、IK和KSIASME一起发给目标SGSN;
步骤S605,目标SGSN收到源MME发过来的KSIASME和CK、IK后,将KSIASME的值赋给CKSN,即CKSN=KSIASME,并将CKSN和CK、IK生成的Kc一起保存;
步骤S606,目标SGSN向UE相应发送空闲转移到UTRAN的接受消息(为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥标识符已经映射成功;
步骤S607,UE将KSIASME的值赋给CKSN,即CKSN=KSIASME,将CKSN和由KASME生成的Kc一起保存;
步骤S608,UE相应发送路由区更新完成或附着完成消息给目标SGSN。
图7为本发明所述方法的应用实例五,为UE从EUTRAN空闲转移到GERAN时,密钥标识符的生成方法流程,包括以下步骤:
步骤S701,UE决定空闲转移到GERAN,将KSIASME的值赋给CKSN,即CKSN=KSIASME,将CKSN和由KASME生成的Kc一起保存;
步骤S702,UE发送空闲转移到GERAN的请求消息给目标SGSN,请求消息可以为路由区更新请求,或附着请求;
步骤S703,目标SGSN收到UE发过来的空闲转移到GERAN请求消息后,向源MME发请求消息,请求消息对应于所收到的转移请求消息类型,为相应的上下文请求或鉴别请求;
步骤S704,源MME收到目标SGSN发过来的请求消息后,使用KASME产生CK、IK;
步骤S705,源MME相应反馈上下文响应或鉴别响应消息,将CK、IK和KSIASME一起发给目标SGSN;
步骤S706,目标SGSN收到源MME发过来的KSIASME和CK、IK后,将KSIASME的值赋给CKSN,即CKSN=KSIASME,并将CKSN和由CK、IK生成的Kc一起保存;
步骤S707,目标SGSN向UE发送空闲转移到GERAN的接受消息(为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥标识符已经映射成功;
步骤S708,UE相应发送路由区更新完成或附着完成消息给目标SGSN。
图8为本发明所述方法的应用实例六,为UE从EUTRAN切换到GERAN时,密钥标识符的生成方法流程,包括以下步骤:
步骤S801,源eNB决定发起切换。可以是根据UE发给该eNB的测量报告触发,也可以是根据其他的一些原因由eNB决定发起转移。
步骤S802,源eNB向源MME发切换请求消息;
步骤S803,源MME使用KASME生成IK、CK;
步骤S804,源MME向目标SGSN发转发重定向请求,将KSIASME和IK、CK传给目标SGSN;
步骤S805,目标SGSN将KSIASME的值赋给CKSN,即CKSN=KSIASME,并将CKSN和由IK、CK生成的Kc一起保存;
步骤S806,目标SGSN向源MME发转发重定向响应消息,通知源MME,目标网络已经做好切换准备;
步骤S807,源MME向源eNB发切换命令;
步骤S808,源eNB向UE发EUTRAN切换命令;
步骤S809,UE将KSIASME的值赋给CKSN,即CKSN=KSIASME,,并使用KASME生成Kc,然后将CKSN和Kc一起保存;
步骤S810,UE发送切换成功消息给目标RNC,通知网络CKSN映射成功。
上述六个应用实例中,UE和SGSN也可以令目标系统的密钥身份识别符等于KSIASME与一常数之和;常数由UE和网络约定,其中,KSIASME与常数之和不能为“111”,如果正好为111时,可按照UE与SGSN的约定进行改变,比如置为下一个值“000”,也可以是其它值。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (19)

1.一种用户设备转移时密钥身份标识符的生成方法,包括:
当用户设备从演进的陆地无线接入网转移到目标系统时,移动管理单元将接入安全管理实体密钥的身份标识符和完整性密钥、加密密钥一起发给服务GPRS支持节点,服务GPRS支持节点和用户设备均将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符,并分别将所述密钥身份标识符和所述完整性密钥、加密密钥一起保存;所述转移包括空闲转移和切换;所述目标系统包括陆地无线接入网和通用分组无线业务/改进数据率GSM服务无线接入网GERAN。
2.如权利要求1所述的生成方法,其特征在于,所述映射的方式包括:
直接令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符,或令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符与一用户设备与网络约定好的常数之和。
3.如权利要求1所述的生成方法,其特征在于,还包括:
如果转移前用户设备和服务GPRS支持节点已经协商好密钥,并且目标系统的密钥身份识别符与转移过程中由接入安全管理实体密钥的身份标识符映射得到的目标系统的密钥身份识别符一样,则删除转移前的密钥。
4.如权利要求1到3中任一项所述的生成方法,其特征在于,当用户设备从演进的陆地无线接入网空闲转移到陆地无线接入网时,具体包括:
A1、移动管理单元收到上下文请求或鉴别请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,通过上下文响应或鉴别响应消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
A2、服务GPRS支持节点收到移动管理单元发过来的接入安全管理实体密钥的身份标识符和完整性密钥、加密密钥后,将接入安全管理实体密钥的身份标识符映射为密钥集识别符,将该密钥集识别符和完整性密钥、加密密钥一起保存;服务GPRS支持节点发送指示密钥集识别符映射完成的消息给用户设备;
A3、用户设备将接入安全管理实体密钥的身份标识符映射为密钥集识别符,将密钥集识别符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
5.如权利要求4所述的生成方法,其特征在于,步骤A1前还包括:
A0、用户设备决定空闲转移到陆地无线接入网,发送空闲转移到陆地无线接入网的请求消息给服务GPRS支持节点,请求消息为路由区更新请求或附着请求;服务GPRS支持节点收到用户设备发过来的空闲转移到陆地无线接入网的请求消息后,向移动管理单元发相应的请求消息;
相应的,步骤A2中,服务GPRS支持节点所发送的指示密钥集识别符映射完成的消息为路由区更新接受或附着接受消息。
6.如权利要求4所述的生成方法,其特征在于:
步骤A3发生在用户设备决定空闲转移到陆地无线接入网后、用户设备相应发送路由区更新完成或附着完成消息给服务GPRS支持节点之前的任一步中。
7.如权利要求1到3中任一项所述的生成方法,其特征在于,当用户设备从演进的陆地无线接入网切换到陆地无线接入网时,具体包括:
a1、移动管理单元收到切换请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,通过转发重定向请求消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
a2、服务GPRS支持节点收到移动管理单元发来的密钥集识别符和完整性密钥、加密密钥后,将接入安全管理实体密钥的身份标识符映射为密钥集识别符,将该密钥集识别符和完整性密钥、加密密钥一起保存;服务GPRS支持节点发送指示密钥集识别符映射完成的转发重定向响应消息给移动管理单元;移动管理单元发送切换命令指示用户设备切换;
a3、用户设备收到网络发过来切换命令后将接入安全管理实体密钥的身份标识符映射为密钥集识别符,将密钥集识别符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
8.如权利要求1到3中任一项所述的生成方法,其特征在于,当用户设备从演进的陆地无线接入网空闲转移到通用分组无线业务/改进数据率GSM服务无线接入网时,具体包括:
B1、移动管理单元收到上下文请求或者或鉴别请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,通过上下文响应或鉴别响应将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
B2、服务GPRS支持节点收到移动管理单元发来的接入安全管理实体密钥的身份标识符和完整性密钥、加密密钥后,使用完整性密钥、加密密钥生成通用分组无线业务/改进数据率GSM服务无线接入网加密密钥,将接入安全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,将通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符和所述通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存;服务GPRS支持节点发送指示通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映射完成的消息给用户设备;
B3、用户设备将接入安全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,将通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符和由接入安全管理实体密钥生成的通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存。
9.如权利要求8所述的生成方法,其特征在于,步骤B1前还包括:
B0、用户设备决定空闲转移到通用分组无线业务/改进数据率GSM服务无线接入网,发送空闲转移到陆地无线接入网的请求消息给服务GPRS支持节点,请求消息为路由区更新请求或附着请求;服务GPRS支持节点收到用户设备发过来的空闲转移到陆地无线接入网的请求消息后,向移动管理单元发相应的请求消息;
相应的,步骤B2中,服务GPRS支持节点所发送的指示通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映射完成的消息为路由区更新接受或附着接受消息。
10.如权利要求8所述的生成方法,其特征在于:步骤B3发生在用户设备决定空闲转移到通用分组无线业务/改进数据率GSM服务无线接入网后、用户设备发送切换消息给网络侧之前的任一步中。
11.如权利要求1到3中任一项所述的生成方法,其特征在于,当用户设备从演进的陆地无线接入网切换到通用分组无线业务/改进数据率GSM服务无线接入网GERAN时,具体包括:
b1、移动管理单元收到切换请求消息后,使用接入安全管理实体密钥生成完整性密钥、加密密钥,通过转发重定向请求消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
b2、服务GPRS支持节点收到移动管理单元发过来的密钥集识别符和完整性密钥、加密密钥后,使用完整性密钥、加密密钥生成通用分组无线业务/改进数据率GSM服务无线接入网加密密钥,将接入安全管理实体密钥的身份标识符的值赋给通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,即加密密钥序列号,将通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符和所述通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存;服务GPRS支持节点发送指示通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映射完成的消息给移动管理单元;移动管理单元发送切换命令指示用户设备切换;
b3、用户设备收到网络发过来切换命令后将接入安全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,将通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,和由接入安全管理实体密钥生成的通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存。
12.一种用户设备转移时密钥身份标识符的生成系统,包括:用户设备、移动管理单元和服务GPRS支持节点;其特征在于:
移动管理单元包括安全参数处理单元,用于当用户设备从演进的陆地无线接入网转移到目标系统时,将接入安全管理实体密钥的身份标识符和完整性密钥、加密密钥一起发给服务GPRS支持节点;
服务GPRS支持节点和用户设备均包括密钥标识符映射单元,用于将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符;
服务GPRS支持节点和用户设备均包括密钥及其标识符存储单元,分别用于将所述目标系统的身份识别符和所述完整性密钥、加密密钥一起保存。
13.如权利要求12所述的生成系统,其特征在于,所述服务GPRS支持节点和用户设备的密钥标识符映射单元的映射方式包括:
直接令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符,或令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符与一用户设备与网络约定好的常数之和。
14.如权利要求12所述的生成系统,其特征在于:
用户设备和服务GPRS支持节点的密钥标识符映射单元还用于当用户设备转移前和服务GPRS支持节点已经协商好密钥,并且目标系统的密钥身份识别符与转移过程中接入安全管理实体密钥的身份标识符转化过来对应的目标系统的密钥身份识别符的值一样时,删除转移前的密钥。
15.如权利要求12到14任一项所述的生成系统,其特征在于:
所述用户设备包括消息交互单元、密钥标识符映射单元和密钥及其标识符存储单元;
消息交互单元用于接收网络侧发来的消息;
密钥标识符映射单元用于当消息交互单元收到切换命令、路由区更新接受或附着接受消息时,将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符;
密钥及其标识符存储单元,用于将目标系统的密钥和所述目标系统的密钥身份标识符一起保存;
所述移动管理单元包括请求消息接收单元和安全参数处理单元;
所述请求消息接收单元用于接收其他网络实体发送的转移请求消息,并指示安全参数处理单元处理;
所述安全参数处理单元用于当接收到所述请求消息接收单元的指示后,使用接入安全管理实体密钥产生加密密钥、完整性密钥,将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;
所述服务GPRS支持节点包括安全参数处理单元,消息交互单元、密钥标识符映射单元、密钥生成单元;
所述安全参数接收单元用于接收移动管理单元发来的密钥及接入安全管理实体密钥的身份标识符,将接入安全管理实体密钥的身份标识符发送给密钥标识符映射单元;根据移动管理单元发来的密钥得到目标系统的密钥并发送给密钥及其标识符存储单元;
所述密钥标识符映射单元用于当收到接入安全管理实体密钥的身份标识符时,将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份标识符;
所述密钥及其标识符存储单元,用于将安全参数接收单元发送的目标系统的密钥和密钥标识符映射单元发送的目标系统的密钥身份标识符一起保存,保存后通知消息交互单元映射完成;
所述消息交互单元用于在收到映射完成的消息后发送网络侧密钥标识符已经映射成功的通知。
16.如权利要求15所述的生成系统,其特征在于:
所述用户设备和服务GPRS支持节点中的密钥标识符映射单元将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份标识符是指,当转移的目标系统为陆地无线接入网时,将接入安全管理实体密钥的身份标识符映射为密钥集识别符;当转移的目标系统为通用分组无线业务/改进数据率GSM服务无线接入网时,将接入安全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符;
所述服务GPRS支持节点中的安全参数接收单元根据移动管理单元发来的密钥得到目标系统的密钥并发送给密钥及其标识符存储单元是指,转移到的目标系统如果为陆地无线接入网,则将移动管理单元发送来的密钥发送给密钥及其标识符存储单元;如果目标系统为通用分组无线业务/改进数据率GSM服务无线接入网,则使用移动管理单元发送来的密钥生成通用分组无线业务/改进数据率GSM服务无线接入网加密密钥后发送给密钥及其标识符存储单元。
17.如权利要求15所述的生成系统,其特征在于:
用户设备中的密钥标识符映射单元还用于当用户设备决定空闲转移时将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。
18.如权利要求15所述的生成系统,其特征在于:
所述用户设备中的消息交互单元还用于在决定空闲转移时发送路由区更新请求或附着请求消息给服务GPRS支持节点;
所述服务GPRS支持节点中的消息交互单元还用于当收到路由区更新请求或附着请求消息时发送相应的上下文请求或鉴别请求消息给移动管理单元;
所述移动管理单元中的请求消息接收单元当转移请求消息为上下文请求或鉴别请求消息时,发送第一处理指示给安全参数处理单元;当转移请求消息为切换请求消息,发送第二处理指示给安全参数处理单元;
所述移动管理单元中的安全参数处理单元当所收到的指示为第一处理指示时,通过上下文响应或鉴别响应消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;当所收到的指示为第二处理指示时,通过转发重定向请求消息将所述接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点。
19.如权利要求18所述的生成系统,其特征在于,服务GPRS支持节点中的消息交互单元发送网络侧密钥标识符已经映射成功的通知是指:
如果所收到的移动管理单元发送密钥及其标识符的消息为上下文响应或鉴别响应消息,则相应发送路由区更新接受或附着接受消息给用户设备来指示网络侧密钥标识符已经映射成功;如果所收到的移动管理单元发送密钥及其标识符的消息为转发重定向请求消息,则发送转发重定向响应消息给移动管理单元来指示网络侧密钥标识符已经映射成功。
CN200810100472A 2008-06-16 2008-06-16 用户设备转移时密钥身份标识符的生成方法和生成系统 Expired - Fee Related CN101299884B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN200810100472A CN101299884B (zh) 2008-06-16 2008-06-16 用户设备转移时密钥身份标识符的生成方法和生成系统
PCT/CN2008/002116 WO2009152656A1 (zh) 2008-06-16 2008-12-29 用户设备转移时密钥身份标识符的生成方法和生成系统
ES08874669.8T ES2626666T3 (es) 2008-06-16 2008-12-29 Método y sistema de generación para identificador de identidad de claves durante la transferencia del dispositivo de usuario
EP08874669.8A EP2290875B1 (en) 2008-06-16 2008-12-29 Generating method and system for key identity identifier at the time when user device transfers
US12/996,630 US20110135095A1 (en) 2008-06-16 2008-12-29 Method and system for generating key identity identifier when user equipment transfers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810100472A CN101299884B (zh) 2008-06-16 2008-06-16 用户设备转移时密钥身份标识符的生成方法和生成系统

Publications (2)

Publication Number Publication Date
CN101299884A CN101299884A (zh) 2008-11-05
CN101299884B true CN101299884B (zh) 2012-10-10

Family

ID=40079535

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810100472A Expired - Fee Related CN101299884B (zh) 2008-06-16 2008-06-16 用户设备转移时密钥身份标识符的生成方法和生成系统

Country Status (5)

Country Link
US (1) US20110135095A1 (zh)
EP (1) EP2290875B1 (zh)
CN (1) CN101299884B (zh)
ES (1) ES2626666T3 (zh)
WO (1) WO2009152656A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101299884B (zh) * 2008-06-16 2012-10-10 中兴通讯股份有限公司 用户设备转移时密钥身份标识符的生成方法和生成系统
CN101299666A (zh) 2008-06-16 2008-11-05 中兴通讯股份有限公司 密钥身份标识符的生成方法和系统
CN102668609B (zh) * 2009-08-17 2015-08-19 瑞典爱立信有限公司 用于处理移动台中加密密钥的方法
CN101860862B (zh) * 2010-05-17 2015-05-13 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
WO2012084484A1 (en) * 2010-12-21 2012-06-28 Koninklijke Kpn N.V. Operator-assisted key establishment
CN102685730B (zh) * 2012-05-29 2015-02-04 大唐移动通信设备有限公司 一种ue上下文信息发送方法及mme
CN104937965B (zh) * 2013-01-22 2019-09-03 华为技术有限公司 移动通信系统的安全认证的方法和网络设备
US9706396B2 (en) * 2014-08-08 2017-07-11 Samsung Electronics Co., Ltd. System and method of counter management and security key update for device-to-device group communication
CN109819439B (zh) * 2017-11-19 2020-11-17 华为技术有限公司 密钥更新的方法及相关实体
WO2020078416A1 (en) * 2018-10-17 2020-04-23 Mediatek Singapore Pte. Ltd. User equipment key derivation at mobility update in mobile communications
CN111417117B (zh) * 2019-04-29 2021-03-02 华为技术有限公司 切换的处理方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1964259A (zh) * 2005-11-07 2007-05-16 华为技术有限公司 一种切换过程中的密钥管理方法
CN101083839A (zh) * 2007-06-29 2007-12-05 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
CN101145932A (zh) * 2007-10-15 2008-03-19 中兴通讯股份有限公司 一种移动多媒体广播业务中节目流密钥的实现方法及系统

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
KR100640479B1 (ko) * 2004-06-07 2006-10-30 삼성전자주식회사 이동 광대역 무선접속 시스템에서 핸드오버 절차 최적화 시스템 및 방법
CN1294785C (zh) * 2004-09-30 2007-01-10 华为技术有限公司 一种系统间切换的方法
CN101243719B (zh) * 2005-07-06 2012-10-17 诺基亚公司 安全的会话密钥上下文
CN100551148C (zh) * 2005-09-01 2009-10-14 华为技术有限公司 一种加密模式下系统切换的实现方法
US7864731B2 (en) * 2006-01-04 2011-01-04 Nokia Corporation Secure distributed handover signaling
EP1841267B1 (en) * 2006-03-31 2019-06-12 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers
CN101102600B (zh) * 2007-06-29 2012-07-04 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
US9706395B2 (en) * 2008-04-28 2017-07-11 Nokia Technologies Oy Intersystem mobility security context handling between different radio access networks
CN101299884B (zh) * 2008-06-16 2012-10-10 中兴通讯股份有限公司 用户设备转移时密钥身份标识符的生成方法和生成系统
CN101299666A (zh) * 2008-06-16 2008-11-05 中兴通讯股份有限公司 密钥身份标识符的生成方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1964259A (zh) * 2005-11-07 2007-05-16 华为技术有限公司 一种切换过程中的密钥管理方法
CN101083839A (zh) * 2007-06-29 2007-12-05 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
CN101145932A (zh) * 2007-10-15 2008-03-19 中兴通讯股份有限公司 一种移动多媒体广播业务中节目流密钥的实现方法及系统

Also Published As

Publication number Publication date
WO2009152656A1 (zh) 2009-12-23
EP2290875A4 (en) 2015-05-27
US20110135095A1 (en) 2011-06-09
EP2290875B1 (en) 2017-03-01
EP2290875A1 (en) 2011-03-02
ES2626666T3 (es) 2017-07-25
CN101299884A (zh) 2008-11-05

Similar Documents

Publication Publication Date Title
CN101299884B (zh) 用户设备转移时密钥身份标识符的生成方法和生成系统
CN101299666A (zh) 密钥身份标识符的生成方法和系统
CN101232731B (zh) 用于ue从utran切换到eutran的密钥生成方法和系统
CN101267668B (zh) 密钥生成方法、装置及系统
CN101843126B (zh) 用于认证上下文转移的系统和方法
WO2020048512A1 (zh) 通信方法和装置
CN101083839B (zh) 在不同移动接入系统中切换时的密钥处理方法
CN101478753B (zh) Wapi终端接入ims网络的安全管理方法及系统
CN101242630B (zh) 安全算法协商的方法、装置及网络系统
CN101355809B (zh) 一种协商启用安全上下文的方法和系统
CN101102600B (zh) 在不同移动接入系统中切换时的密钥处理方法
CN101257723A (zh) 密钥生成方法、装置及系统
TW200922166A (en) Non-access stratum architecture and protocol enhancements for long term evolution mobile units
WO2019096075A1 (zh) 一种消息保护的方法及装置
CN101304311A (zh) 密钥生成方法和系统
CN102685730B (zh) 一种ue上下文信息发送方法及mme
CN109964500A (zh) 导出用于中继通信的安全密钥
CN101909292B (zh) 空中接口密钥的更新方法、核心网节点及用户设备
CN101299888A (zh) 密钥生成方法、切换方法、移动管理实体和用户设备
CN109819439A (zh) 密钥更新的方法及相关实体
CN101026866A (zh) 一种无线通信系统中ak上下文缓存的方法
CN110167019A (zh) 通信方法及装置
WO2021030708A1 (en) Managing security keys in a communication system
CN102318259B (zh) 用于业务计数密钥管理和密钥计数管理的方法和装置
CN102378168B (zh) 多系统核心网通知密钥的方法和多系统网络

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20180426

Address after: California, USA

Patentee after: Global innovation polymerization LLC

Address before: 518057 Department of law, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen

Patentee before: ZTE Corp.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20121010