CN101355507B - 更新跟踪区时的密钥生成方法及系统 - Google Patents

更新跟踪区时的密钥生成方法及系统 Download PDF

Info

Publication number
CN101355507B
CN101355507B CN200810160866A CN200810160866A CN101355507B CN 101355507 B CN101355507 B CN 101355507B CN 200810160866 A CN200810160866 A CN 200810160866A CN 200810160866 A CN200810160866 A CN 200810160866A CN 101355507 B CN101355507 B CN 101355507B
Authority
CN
China
Prior art keywords
key
access
management entity
mobile management
subscriber equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200810160866A
Other languages
English (en)
Other versions
CN101355507A (zh
Inventor
甘露
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Haining Yanguan Industrial Investment Co., Ltd
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200810160866A priority Critical patent/CN101355507B/zh
Publication of CN101355507A publication Critical patent/CN101355507A/zh
Priority to PCT/CN2009/073860 priority patent/WO2010028603A1/zh
Application granted granted Critical
Publication of CN101355507B publication Critical patent/CN101355507B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种更新跟踪区时的密钥生成方法,在更新跟踪区过程中,如果激活标识为有效状态且没有缓存的演进分组系统安全上下文时,用户设备和移动管理实体根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥、或者根据接入安全管理实体密钥和移动管理实体产生的随机数生成演进的基站密钥,或者根据接入安全管理实体密钥和常数生成演进的基站密钥。本发明提供的密钥生成方法和系统,能在激活标识是有效状态时,生成KeNB,而且能够保证MME和UE生成的KeNB一致。

Description

更新跟踪区时的密钥生成方法及系统
技术领域
本发明涉及通信领域中密钥生成技术,具体地,涉及在不同系统间更新跟踪区时的密钥生成方法及系统。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP)演进的分组系统(Evolved Packet System,简称EPS)由演进的陆地无线接入网(Evolved UMTS Terrestrial Radio Access Network,简称EUTRAN)和EPS演进的分组核心网(Evolved Packet Core,简称EPC)组成。EPC能够支持用户从全球移动通讯系统增强型数据速率GSM演进实体无线接入网(GlobalSystem for Mobile Communication Enhanced Data Rate for GSM Evolution radioaccess network,简称GERAN)和通用陆地无线接入网(Universal TerrestrialRadio Access Network,简称UTRAN)的接入。
EPC分组核心网包含移动管理实体(Mobility Management Entity,简称MME),MME负责移动性的管理、非接入层信令的处理、以及用户安全模式的管理等控制面相关的工作。其中,MME保存EUTRAN的根密钥——接入安全管理实体密钥(Key Access Security Management Entity,简写为KASME)。在EUTRAN中,基站设备为演进的基站(evolved Node-B,简称eNB),主要负责无线通信、无线通信管理、和移动性上下文的管理。供eNB使用的接入层的根密钥是演进的基站密钥(Key eNB,简写为KeNB)。
3GPP通用移动通信系统(Universal Mobile Telecommunication System,简称UMTS)系统中负责移动性上下文的管理、和/或用户安全模式的管理的设备是服务通用分组无线业务支持节点(Serving General Packet Radio ServiceSupport Node,简称SGSN)。SGSN还负责认证用户设备(User Equipment,简称UE)。SGSN将密钥IK(Integrity Key,完整性保护密钥),CK(CipheringKey,加密密钥)分发给3GPP UMTS系统中负责无线通信管理的设备的无线网络控制器(Radio Network Controller,简称RNC)。
UE从UTRAN到EUTRAN的更新跟踪区过程中,如果UE或者MME没有缓存的EPS安全上下文(security context),UE和MME使用UE生成的随机数NONCEUE和MME生成的随机数NONCEMME以及IK,CK生成KASME。如图1所示。
101,UE生成NONCEUE
102,UE判断没有缓存的EPS安全上下文;
103,UE向新跟踪区内的MME发送更新跟踪区请求消息,同时发送NONCEUE
104,新跟踪区内的MME从SGSN获取IK、CK;
105,MME生成NONCEMME
106,MME使用NONCEUE,NONCEMME以及IK,CK生成KASME
107,MME向UE发送更新跟踪区接受消息,同时发送NONCEMME和NONCEUE,以让UE验证NONCEUE是否被篡改;
108,UE使用NONCEUE,NONCEMME以及IK,CK生成KASME
109,UE向新跟踪区内的MME发送更新跟踪区完成消息。
此时,如果激活标识(Active Flag)是有效状态,UE和MME在生成KASME时还需进一步生成KeNB
如果生成KeNB的参数被篡改,将带来较大的通信延时、系统处理负荷,甚至导致通信失败。所以生成KeNB的参数必须是被完整性保护的。
发明内容
本发明要解决的技术问题是提供一种更新跟踪区时的密钥生成方法及系统。
为了解决上述技术问题,本发明提供了一种更新跟踪区时的密钥生成方法,在更新跟踪区过程中,如果激活标识为有效状态时,用户设备和移动管理实体根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥。
进一步的,上述方法还可具有以下特点,所述用户设备和移动管理实体根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥具体包含:
所述移动管理实体根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥,发送受保护的下行非接入层消息给用户设备,消息中携带所述下行非接入层计数器;
所述用户设备接收所述下行非接入层消息,根据接入安全管理实体密钥和从所述移动管理实体接收到的所述下行非接入层计数器生成演进的基站密钥。
进一步的,上述方法还可具有以下特点,所述下行非接入层消息为更新跟踪区接受消息。
进一步的,上述方法还可具有以下特点,所述移动管理实体和用户设备生成所述演进的基站密钥时使用的接入安全管理实体密钥是在本次更新跟踪区过程中根据原有密钥生成的。
本发明还提出一种更新跟踪区时的密钥生成方法,在更新跟踪区过程中,如果激活标识为有效状态时,用户设备和移动管理实体根据接入安全管理实体密钥和移动管理实体产生的随机数生成演进的基站密钥。
进一步的,上述方法还可具有以下特点,所述用户设备和移动管理实体根据接入安全管理实体密钥和移动管理实体产生的随机数生成演进的基站密钥具体包含:
所述移动管理实体根据接入安全管理实体密钥和移动管理实体生成的随机数生成演进的基站密钥,发送受保护的下行非接入层消息给用户设备,消息中携带所述随机数;
所述用户设备接收所述下行非接入层消息,根据接入安全管理实体密钥和从所述移动管理实体接收到的所述随机数生成演进的基站密钥。
进一步的,上述方法还可具有以下特点,所述下行非接入层消息为更新跟踪区接受消息。
进一步的,上述方法还可具有以下特点,所述移动管理实体和用户设备生成所述演进的基站密钥时使用的接入安全管理实体密钥是在本次更新跟踪区过程中根据原有密钥生成的。
本发明还提出一种更新跟踪区时的密钥生成方法,在更新跟踪区过程中,如果激活标识为有效状态时,用户设备和移动管理实体根据接入安全管理实体密钥和一常数生成演进的基站密钥。
进一步的,上述方法还可具有以下特点,所述用户设备和所述移动管理实体事先约定该常数,或者,所述移动管理实体将所述常数发送给所述用户设备。
进一步的,上述方法还可具有以下特点,所述用户设备和移动管理实体根据接入安全管理实体密钥和一常数生成演进的基站密钥具体包含:
所述移动管理实体根据接入安全管理实体密钥和所述常数生成演进的基站密钥,发送受保护的下行非接入层消息给用户设备,消息中携带所述常数;
所述用户设备接收所述下行非接入层消息,根据接入安全管理实体密钥和从所述移动管理实体接收到的常数生成演进的基站密钥。
进一步的,上述方法还可具有以下特点,所述下行非接入层消息为更新跟踪区接受消息。
进一步的,上述方法还可具有以下特点,所述移动管理实体和用户设备生成所述演进的基站密钥时使用的接入安全管理实体密钥是在本次更新跟踪区过程中根据原有密钥生成的。
本发明提供一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其中:
所述移动管理实体包含:
第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥;
发送单元,用于通过受保护的下行非接入层消息发送下行非接入层计数器给用户设备;
所述用户设备包含:
接收单元,用于从移动管理实体接收下行接入层消息,获取下行非接入层计数器;
第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述下行非接入层计数器生成演进的基站密钥。
本发明还提供一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其中:
所述移动管理实体包含:
随机数产生单元,用于生成随机数;
第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和随机数生成演进的基站密钥;
随机数发送单元,用于将所述随机数发送给用户设备;
所述用户设备包含:
随机数接收单元,用于接收移动管理实体产生的随机数;
第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述随机数生成演进的基站密钥。
本发明还提供一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其中:
所述移动管理实体包含第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和一常数生成演进的基站密钥;
所述用户设备包含第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述常数生成演进的基站密钥。
本发明提供的密钥生成方法和系统,能在激活标识是有效状态时,生成KeNB,而且能够保证MME和UE生成的KeNB一致。
附图说明
图1为如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE从UTRAN到EUTRAN的更新跟踪区过程的信令流程图。
图2为如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的流程图1。
图3为如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的实施例信令流程图1。
图4为如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的流程图2。
图5为如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的实施例信令流程图2。
图6为如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的流程图3。
图7为如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的实施例信令流程图3。
具体实施方式
本发明中,更新跟踪区时,MME使用KASME和下行非接入层计数器(Downlink NAS COUNT)生成KeNB。MME发送下行非接入层消息(例如更新跟踪区接受消息)和下行非接入层计数器给UE,UE在收到该下行非接入层消息(如更新跟踪区接受消息)后,使用KASME和在该消息中发送的下行非接入层计数器生成KeNB
由于下行非接入层消息是被完整性保护的,所以下行非接入层计数器不会被攻击者篡改,从而能够保证MME和UE生成的KeNB是一致的。
或者,MME使用KASME和NONCEMME生成KeNB。MME发送下行非接入层消息(例如更新跟踪区接受消息)和随机数NONCEMME给UE,UE在收到该下行非接入层消息(如更新跟踪区接受消息)后,使用KASME和在该消息中发送的NONCEMME生成KeNB
由于下行非接入层消息是被完整性保护的,所以NONCEMME不会被攻击者篡改,从而能够保证MME和UE生成的KeNB是一致的。
或者,MME使用KASME和一常数C生成KeNB。UE使用KASME和所述常数C生成KeNB。所述常数C由MME通过受保护的下行非接入层消息(例如更新跟踪区接受消息)发送给UE,或者由UE和MME预先约定。
由于常数C由UE和MME预先约定,且下行非接入层消息是被完整性保护的,从而能够保证MME和UE生成的KeNB是一致的。
上述各实施方式种,所述MME和UE生成所述KeNB时使用的KASME是在本次更新跟踪区过程中根据原有密钥生成的。
图2为本发明实施例一,如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的流程图。
步骤202,MME和/或UE判断激活标识是否为有效状态,如果是,转到步骤204,如果否,转到步骤208。
步骤204,MME使用KASME和下行非接入层计数器生成KeNB
步骤206,MME发送受保护的下行非接入层消息给UE,该消息包含下行非接入层计数器的值。
步骤207,UE使用KASME和该下行非接入层计数器生成KeNB
步骤208,结束。
图3为,如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的实施例信令流程图1。
步骤302,UE生成随机数NONCEUE
步骤304,UE判断没有缓存的EPS安全上下文。
步骤306,UE向MME发送更新跟踪区请求消息,消息中携带NONCEUE,和需要生成新的KASME的信息。
步骤308,MME向SGSN获取生成KASME所需的IK,CK。
步骤310,MME生成NONCEMME
步骤312,MME使用NONCEMME,NONCEUE,IK,CK生成KASME
步骤314,MME使用KASME和下行非接入层计数器生成KeNB
步骤316,MME向UE发送更新跟踪区接受消息,消息中携带NONCEMME,NONCEUE和下行非接入层计数器。以上信息是被完整性保护的,即,UE可以验证以上信息是否在传递过程中被篡改。其中,所述更新跟踪区接受消息也可以是其他下行非接入层消息。
步骤318,UE使用NONCEMME,NONCEUE,IK,CK生成KASME
步骤320,UE使用KASME和下行非接入层计数器生成KeNB
步骤322,UE发送更新跟踪区完成消息,
步骤324,MME将KeNB发给eNB。
图4为,如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的流程图2。
步骤402,判断激活标识是否为有效状态,如果是,转到步骤404,如果否,转到步骤408;
步骤404,MME使用KASME和NONCEMME生成KeNB
步骤406,MME发送受保护的下行非接入层消息给UE,该消息中包含NONCEMME
步骤407,UE使用KASME和NONCEMME生成KeNB
步骤408,结束。
图5为,如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的实施例信令流程图2。
步骤502,UE生成随机数NONCEUE
步骤504,UE判断没有缓存的EPS安全上下文。
步骤506,UE向MME发送更新跟踪区请求消息,包括NONCEUE,和需要生成新的KASME的信息。
步骤508,MME从SGSN获取生成KASME所需的IK,CK。
步骤510,MME生成NONCEMME
步骤512,MME使用NONCEMME,NONCEUE和IK,CK生成KASME
步骤514,MME使用KASME和NONCEMME生成KeNB
步骤516,MME向UE发送更新跟踪区接受消息,消息中携带NONCEMME,NONCEUE。以上信息是被完整性保护的,即,UE可以验证以上信息是否在传递过程中被篡改。其中,所述更新跟踪区接受消息也可以是其他下行非接入层消息。
步骤518,UE使用NONCEMME,NONCEUE和IK,CK生成KASME
步骤520,UE使用KASME和NONCEMME生成KeNB
步骤522,UE发送更新跟踪区完成消息。
步骤524,MME将KeNB发给eNB。
图6为,如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的流程图3。
步骤602,判断激活标识是否为有效状态,如果是,转到步骤604,如果否,转到步骤608;
步骤604,MME使用KASME和一常数C生成KeNB。该常数C由MME和UE事先约定,或者由MME通过受保护的下行非接入层消息发送给UE。
步骤606,UE使用KASME和所述常数C生成KeNB
步骤608,结束。
所述常数C可以为0。
图7为,如果UE或者MME没有缓存的EPS安全上下文,并且在激活标识是有效状态的时候,UE和MME生成KeNB的实施例信令流程图2。
步骤702,UE生成随机数NONCEUE
步骤704,UE判断没有缓存的EPS安全上下文。
步骤706,UE向MME发送更新跟踪区请求消息,包括NONCEUE,和需要生成新的KASME的信息。
步骤708,MME从SGSN获取生成KASME所需的IK,CK。
步骤710,MME生成NONCEMME
步骤712,MME使用NONCEMME,NONCEUE和IK,CK生成KASME
步骤714,MME使用KASME和0生成KeNB
步骤716,MME向UE发送更新跟踪区接受消息,消息中携带NONCEMME,NONCEUE。以上信息是被完整性保护的,即,UE可以验证以上信息是否在传递过程中被篡改。其中,该更新跟踪区接受消息也可以是其他下行非接入层消息。
步骤718,UE使用NONCEMME,NONCEUE和IK,CK生成KASME
步骤720,UE使用KASME和0生成KeNB
步骤722,UE发送更新跟踪区完成消息。
步骤724,MME将KeNB发给eNB。
在本发明另一实施例中,步骤714中,MME使用KASME和常数C生成KeNB。步骤720中,UE使用KASME和常数C生成KeNB。其中,常数C可以由MME发送给UE,例如在步骤716中,MME向UE发送更新跟踪区接受消息,消息中还携带常数C,或者,常数C可以由MME和UE事先约定。
本发明还提供一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其中,
所述移动管理实体包含:
第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥;
发送单元,用于通过受保护的下行非接入层消息发送下行非接入层计数器给用户设备;
所述用户设备包含:
接收单元,用于从移动管理实体接收下行接入层消息,获取下行非接入层计数器;
第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥。
本发明提供另一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其中:
所述移动管理实体包含:
随机数产生单元,用于生成随机数NONCEMME
第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和随机数NONCEMME生成演进的基站密钥;
随机数发送单元,用于通过受保护的下行非接入层消息将所述随机数NONCEMME发送给用户设备;
所述用户设备包含:
随机数接收单元,用于接收移动管理实体发送的下行非接入层消息,获取所述的随机数NONCEMME
第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述随机数NONCEMME生成演进的基站密钥。
本发明还提供一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其中:
所述移动管理实体包含第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和一常数生成演进的基站密钥。
所述用户设备包含第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述常数生成演进的基站密钥。

Claims (12)

1.一种更新跟踪区时的密钥生成方法,其特征在于,在更新跟踪区过程中,如果激活标识为有效状态时,
移动管理实体根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥,发送受保护的下行非接入层消息给用户设备,消息中携带所述下行非接入层计数器;
所述用户设备接收所述下行非接入层消息,根据接入安全管理实体密钥和从所述移动管理实体接收到的所述下行非接入层计数器生成演进的基站密钥。
2.如权利要求1所述的方法,其特征在于,所述下行非接入层消息为更新跟踪区接受消息。
3.如权利要求1所述的方法,其特征在于,所述移动管理实体和用户设备生成所述演进的基站密钥时使用的接入安全管理实体密钥是在本次更新跟踪区过程中根据原有密钥生成的。
4.一种更新跟踪区时的密钥生成方法,其特征在于,在更新跟踪区过程中,如果激活标识为有效状态时,
移动管理实体根据接入安全管理实体密钥和所述移动管理实体产生的随机数生成演进的基站密钥,发送受保护的下行非接入层消息给用户设备,消息中携带所述随机数;
所述用户设备接收所述下行非接入层消息,根据接入安全管理实体密钥和从所述移动管理实体接收到的所述随机数生成演进的基站密钥。
5.如权利要求4所述的方法,其特征在于,所述下行非接入层消息为更新跟踪区接受消息。
6.如权利要求4所述的方法,其特征在于,所述移动管理实体和用户设备生成所述演进的基站密钥时使用的接入安全管理实体密钥是在本次更新跟踪区过程中根据原有密钥生成的。
7.一种更新跟踪区时的密钥生成方法,其特征在于,在更新跟踪区过程中,如果激活标识为有效状态时,
移动管理实体根据接入安全管理实体密钥和一常数生成演进的基站密钥,发送受保护的下行非接入层消息给用户设备,消息中携带所述常数;
所述用户设备接收所述下行非接入层消息,根据接入安全管理实体密钥和从所述移动管理实体接收到的常数生成演进的基站密钥。
8.如权利要求7所述的方法,其特征在于,所述下行非接入层消息为更新跟踪区接受消息。
9.如权利要求7所述的方法,其特征在于,所述移动管理实体和用户设备生成所述演进的基站密钥时使用的接入安全管理实体密钥是在本次更新跟踪区过程中根据原有密钥生成的。
10.一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其特征在于,
所述移动管理实体包含:
第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和下行非接入层计数器生成演进的基站密钥;
发送单元,用于通过受保护的下行非接入层消息发送下行非接入层计数器给用户设备;
所述用户设备包含:
接收单元,用于从移动管理实体接收下行接入层消息,获取下行非接入层计数器;
第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述下行非接入层计数器生成演进的基站密钥。
11.一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其特征在于,
所述移动管理实体包含:
随机数产生单元,用于生成随机数;
第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述随机数生成演进的基站密钥;
随机数发送单元,用于通过受保护的下行非接入层消息将所述随机数发送给用户设备;
所述用户设备包含:
随机数接收单元,用于接收移动管理实体发送的下行非接入层消息,获取所述的随机数;
第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述随机数生成演进的基站密钥。
12.一种更新跟踪区时的密钥生成系统,包含移动管理实体,用户设备,其特征在于,
所述移动管理实体包含第一密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和一常数生成演进的基站密钥;所述常数通过受保护的下行非接入层消息发送给用户设备;
所述用户设备包含第二密钥生成单元,用于在更新跟踪区过程中,如果激活标识为有效状态,根据接入安全管理实体密钥和所述常数生成演进的基站密钥。
CN200810160866A 2008-09-12 2008-09-12 更新跟踪区时的密钥生成方法及系统 Expired - Fee Related CN101355507B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN200810160866A CN101355507B (zh) 2008-09-12 2008-09-12 更新跟踪区时的密钥生成方法及系统
PCT/CN2009/073860 WO2010028603A1 (zh) 2008-09-12 2009-09-10 更新跟踪区时的密钥生成方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810160866A CN101355507B (zh) 2008-09-12 2008-09-12 更新跟踪区时的密钥生成方法及系统

Publications (2)

Publication Number Publication Date
CN101355507A CN101355507A (zh) 2009-01-28
CN101355507B true CN101355507B (zh) 2012-09-05

Family

ID=40308107

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810160866A Expired - Fee Related CN101355507B (zh) 2008-09-12 2008-09-12 更新跟踪区时的密钥生成方法及系统

Country Status (2)

Country Link
CN (1) CN101355507B (zh)
WO (1) WO2010028603A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355507B (zh) * 2008-09-12 2012-09-05 中兴通讯股份有限公司 更新跟踪区时的密钥生成方法及系统
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
EP2922326B1 (en) * 2014-03-21 2018-12-19 Sun Patent Trust Security key derivation in dual connectivity
EP3952375B1 (en) * 2017-01-30 2022-11-23 Telefonaktiebolaget LM Ericsson (publ) Security context handling in 5g during connected mode
CN109842881B (zh) * 2017-09-15 2021-08-31 华为技术有限公司 通信方法、相关设备以及系统
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
CN112533198A (zh) * 2019-09-02 2021-03-19 中兴通讯股份有限公司 一种密钥生成方法及装置和mme

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232731A (zh) * 2008-02-04 2008-07-30 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和系统
CN101257723A (zh) * 2008-04-08 2008-09-03 中兴通讯股份有限公司 密钥生成方法、装置及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267668B (zh) * 2008-04-16 2015-11-25 中兴通讯股份有限公司 密钥生成方法、装置及系统
CN101355507B (zh) * 2008-09-12 2012-09-05 中兴通讯股份有限公司 更新跟踪区时的密钥生成方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232731A (zh) * 2008-02-04 2008-07-30 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和系统
CN101257723A (zh) * 2008-04-08 2008-09-03 中兴通讯股份有限公司 密钥生成方法、装置及系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
3rd Generation Partnership Project.3GPP System Architecture Evolution (SAE)
3rd Generation Partnership Project.3GPP System Architecture Evolution (SAE) Security architecture.《3GPP TS 33.401 v8.0.0》.2008,正文第6.2节,第7.2.7节,第9.1.2节,第9.2.2节、图6.2-1至6.2-3、附录A.3. *
Nokia Corporation等.IRAT key freshness from UTRAN to E-UTRAN.《IRAT key freshness from UTRAN to E-UTRAN,3GPP CR S3-080840》.2008,正文第9.1.2节. *
Security architecture.《3GPP TS 33.401 v8.0.0》.2008,正文第6.2节,第7.2.7节,第9.1.2节,第9.2.2节、图6.2-1至6.2-3、附录A.3.

Also Published As

Publication number Publication date
WO2010028603A1 (zh) 2010-03-18
CN101355507A (zh) 2009-01-28

Similar Documents

Publication Publication Date Title
CN101232731B (zh) 用于ue从utran切换到eutran的密钥生成方法和系统
CN101715188B (zh) 一种空口密钥的更新方法及系统
CN101355507B (zh) 更新跟踪区时的密钥生成方法及系统
EP2293515B1 (en) Method, network element, and mobile station for negotiating encryption algorithms
CN101267668B (zh) 密钥生成方法、装置及系统
TWI383639B (zh) 處理金鑰變更之方法及通訊裝置
US9713001B2 (en) Method and system for generating an identifier of a key
CN108632815A (zh) 通信方法与设备
CN101257723A (zh) 密钥生成方法、装置及系统
CN101304311A (zh) 密钥生成方法和系统
US8565433B2 (en) Method and system for managing air interface key
JP2007184938A (ja) 無線通信システムにおけるユーザー端の完全性保護設定方法及び装置
EP3255914A1 (en) Key generation method, device and system
CN102833741B (zh) 一种安全参数修改方法及基站
US20110135095A1 (en) Method and system for generating key identity identifier when user equipment transfers
CN102835136A (zh) 用于为会话加密和完整性密钥信令通知增强型安全性上下文的装置和方法
CN102026174A (zh) 一种寻呼过程中用户标识的保密方法及装置
US20220345296A1 (en) Managing Security Keys in a Communication System
WO2019233444A1 (zh) 一种提高ue标识安全性的方法及装置、计算机存储介质
CN101835154B (zh) 一种建立增强的空口密钥的方法及系统
CN101568113B (zh) 一种实现承载状态同步的方法、装置和系统
TWI452887B (zh) 無線通訊系統之加密保護方法及其相關裝置
JP2015535153A (ja) Ca公開鍵を更新するための方法および装置、ueおよびca
CN101160784B (zh) 一种密钥更新协商方法及装置
CN101383702B (zh) 在更新跟踪区过程中保护密钥生成参数的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20191226

Address after: 314411 Jianshe East Road, Guodian, Yanguan Town, Haining City, Jiaxing City, Zhejiang Province

Patentee after: Haining Yanguan Industrial Investment Co., Ltd

Address before: 518057 Department of law, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen

Patentee before: ZTE Communications Co., Ltd.

TR01 Transfer of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120905

Termination date: 20200912

CF01 Termination of patent right due to non-payment of annual fee