CN101841810A - 空中接口密钥的更新方法、核心网节点及无线接入系统 - Google Patents

空中接口密钥的更新方法、核心网节点及无线接入系统 Download PDF

Info

Publication number
CN101841810A
CN101841810A CN201010200885A CN201010200885A CN101841810A CN 101841810 A CN101841810 A CN 101841810A CN 201010200885 A CN201010200885 A CN 201010200885A CN 201010200885 A CN201010200885 A CN 201010200885A CN 101841810 A CN101841810 A CN 101841810A
Authority
CN
China
Prior art keywords
key
migration
message
core net
rnc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201010200885A
Other languages
English (en)
Other versions
CN101841810B (zh
Inventor
冯成燕
甘露
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201010200885.1A priority Critical patent/CN101841810B/zh
Publication of CN101841810A publication Critical patent/CN101841810A/zh
Priority to EP11791844.1A priority patent/EP2571305A4/en
Priority to US13/702,842 priority patent/US8938071B2/en
Priority to JP2013513528A priority patent/JP5774096B2/ja
Priority to PCT/CN2011/071628 priority patent/WO2011153852A1/zh
Priority to CA2801615A priority patent/CA2801615A1/en
Application granted granted Critical
Publication of CN101841810B publication Critical patent/CN101841810B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种空中接口密钥的更新方法、核心网节点及无线接入系统,其中,所述更新方法包括:核心网节点接收到目标RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;使用所述存储的传统密钥和当前增强密钥计算下一跳增强密钥;将所述下一跳增强密钥发送给所述目标RNC。通过本发明,有效保障了用户的前向安全,从而整体提高了无线接入系统的通信安全性。

Description

空中接口密钥的更新方法、核心网节点及无线接入系统
技术领域
本发明涉及无线通信领域,具体而言,涉及一种无线通信系统的SRNC(Serving Radio Network Controller,服务无线网络控制器)迁移时的空中接口密钥的更新方法、核心网节点及无线接入系统。
背景技术
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)在Release7中采用了正交频分复用(Orthogonal Frequency DivisionMultiplexing,简称“OFDM”)和多输入多输出(Multiple-InputMultiple-Output,简称“MIMO”)技术完成HSDPA(High SpeedDownlink Packet Access,高速下行链路分组接入)和HSUPA(HighSpeed Uplink Packet Access,高速上行链路分组接入)的未来演进道路HSPA+。HSPA+是3GPP HSPA(包括HSDPA和HSUPA)的增强技术,为HSPA运营商提供低复杂度、低成本的从HSPA向LTE(Long Term Evolution,长期演进)平滑演进的途径。
相比较于HSPA,HSPA+在系统架构上将无线网络控制器(Radio Network Controller,简称“RNC”)的功能下放到基站节点B(Node B),形成完全扁平化的无线接入网络架构,如图1所示。此时称集成了完全RNC功能的Node B为Evolved HSPA Node B,或者简称为增强节点B(Node B+)。SGSN+为进行了升级能支持HSPA+功能的SGSN(SERVICE GPRS SUPPORT NODE,服务GPRS(GPRS:General Packet Radio System,通用分组无线系统)支持节点)。ME+为能支持HSPA+功能的用户终端设备。演进的HSPA系统能够使用3GPP Rel-5和以后的空中接口版本,对空中接口的HSPA业务没有任何修改。采用这种方案后,每个Node B+都成为一个相当于RNC的节点,具有Iu-PS接口能够直接与PS CN(CoreNetwork,核心网)(如图1中的SGSN和GGSN)连接,Iu-PS用户面在SGSN终结,其中如果网络支持直通隧道功能,Iu-PS用户面也可以在GGSN(Gateway GPRS Support Node,网关GPRS支持节点)终结。演进的HSPA Node B之间的通信通过Iur接口执行。Node B+具有独立组网的能力,并支持完整的移动性功能,包括系统间和系统内切换。
由于扁平化后,用户面数据可以不经过RNC,直接到达GGSN,这意味着用户平面的加密和完整性保护功能必须前移至Node B+。目前,爱立信提出了一种HSPA+安全密钥层次结构,如图2所示。其中,K(Key,根密钥)、CK(Ciphering Key,加密密钥)和IK(Integrity Key,完整性密钥)的定义与UMTS(Universal MobileTelecommunications System,通用移动通信系统)中完全一致,即K是存储于AuC(Authentication Center,鉴权中心)和USIM(UNIVERSAL SUBSCRIBER IDENTITY MODULE,通用订阅者身份模块)中的根密钥,CK和IK是用户设备与HSS(Home SubscriberServer,归属用户服务器)进行AKA(Authentication and KeyAgreement,认证和密钥协定)时由K计算出的加密密钥和完整性密钥,称为传统密钥。在UMTS中,RNC使用传统的空中接口密钥CK和IK对数据进行加密和完整性保护。由于HSPA+架构中,将RNC的功能全部下放到基站Node B+,则加解密都需在Node B+处进行,而Node B+位于不安全的环境中,安全性不高。因此HSPA+引入了一个类似于E-UTRAN(Evolved Universal Terrestrial RadioAccess Network,演进的通用陆地无线接入网络)的密钥层次,即UTRAN密钥层次(UTRAN Key Hierarchy)。在UTRAN密钥层次结构中,空口密钥CKU和IKU是HSPA+新引入的密钥,由传统密钥CK和IK推导生成,称为增强密钥,其中增强密钥CKU用于加密用户面数据和控制面信令,增强密钥IKU用于对控制面信令进行完整性保护。
在WCDMA系统中,由于Iur接口的引入而产生了SRNC/DRNC(Drift RNC,漂移RNC)的概念。SRNC和DRNC都是对于某一个具体的UE的逻辑概念。简单的说,对于某一个UE,其直接与CN(Core Network,核心网)相连,并对UE(User Equipment,用户设备)的所有资源进行控制的RNC为该UE的SRNC;UE与CN没有连接,仅为UE提供资源的RNC为该UE的DRNC。处于连接状态的UE必须而且只能有一个SRNC,可以有0个或者多个DRNC。
WCDMA系统中,SRNC迁移(SRNC Relocation)指UE的SRNC从一个RNC变成另一个RNC的过程。根据发生迁移前后UE所处位置的不同,可以分为静态迁移和伴随迁移两种情况。
发生静态迁移的条件是UE从一个DRNC,而且只从一个DRNC中接入。由于迁移过程不需要UE的参与,所以也称之为UE不涉及的(UE Not Involved)迁移。发生迁移后,Iur接口的连接被释放,Iu接口发生迁移,原DRNC变成SRNC,如图3所示。静态迁移是软切换时引起的,因为Iur接口,所以迁移在所有的无线链路都链接到DRNC后才开始。
伴随迁移指UE从SRNC硬切换到目标RNC,同时Iu接口发生变化的过程,如图4所示。由于迁移过程需要UE的参与,所以也称之为UE涉及的(UE Involved)迁移。
在HSPA+中,由于Node B+处于物理不安全的环境中,容易受到恶意攻击,安全性受到威胁。而传统UMTS中,SRNC迁移前后,加密密钥CK和完整性密钥IK相同,这会造成:一方面,某个基站被攻击者攻破后,攻击者可能推导出下一跳目标基站的安全密钥;另一方面,若密钥泄漏或者被攻击者非法获取,则攻击者可以一直监听用户的通信,也可以伪造用户与网络之间的数据传输,这样都会导致用户的通信安全不能够被保障。
发明内容
本发明的主要目的在于提供一种空中接口密钥的更新方法、核心网节点及一种无线接入系统,以解决相关技术中因为SRNC迁移时密钥相同而导致用户的通信安全不能够保障问题。
根据本发明的一个方面,提供了一种空中接口密钥的更新方法,包括:核心网节点接收到目标无线网络控制器RNC的迁移完成指示消息,该迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;核心网节点使用存储的传统密钥和当前增强密钥计算下一跳增强密钥;核心网节点将下一跳增强密钥发送给目标RNC。
根据本发明的另一方面,还提供了一种核心网节点,包括:接收模块,用于接收目标RNC的迁移完成指示消息,该迁移完成指示消息用于指示用户设备UE从源RNC迁移到目标RNC成功;计算模块,用于在接收模块接收到迁移完成指示消息后,使用存储的传统密钥和当前增强密钥计算下一跳增强密钥;发送模块,用于将下一跳增强密钥发送给目标RNC。
根据本发明的另一方面,还提供了一种无线接入系统,包括源RNC、目标RNC、核心网节点和用户设备UE,其中,源RNC,用于向核心网节点发送迁移需要消息,该迁移需要消息中携带有源RNC发送的下一跳增强密钥;接收核心网节点的迁移命令,并向UE发送迁移消息;目标RNC,用于接收核心网节点发送的迁移请求消息,该迁移请求消息中携带有源RNC发送的下一跳增强密钥;以及向核心网节点发送迁移完成指示消息,接收核心网节点的迁移完成确认消息,该迁移完成确认消息包括目标RNC的下一跳增强密钥;核心网节点,用于接收目标RNC的迁移完成指示消息,计算下一跳增强密钥,并通过迁移完成确认消息发送给目标RNC;UE,用于根据源RNC发送的迁移消息同步自身的增强密钥。
通过本发明,无线接入系统的核心网节点在终端初始附着时,或SRNC迁移成功完成后,根据核心网节点处的传统密钥IK、CK计算生成下一跳增强密钥IKU和CKU,并将下一跳增强密钥发送给目标RNC,以备下一次SRNC迁移时使用,从而使得源RNC和目标RNC使用不同的增强密钥IKU和CKU。并且由于下一跳目标RNC使用的增强的空中接口密钥是由核心网推导出来的,两次SRNC迁移后,源RNC则无法获知两跳后的目标RNC的空中接口密钥。因此即使某个基站被攻击者攻破或非法控制,两次SRNC迁移后也能保证用户进行安全的通信,保障了用户的前向安全,从而整体提高了无线接入系统的通信安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为相关技术中的一种采用HSPA+技术的无线接入网络的架构示意图;
图2为相关技术中的一种HSPA+安全密钥层次结构示意图;
图3为相关技术中的一种SRNC静态迁移示意图;
图4为相关技术中的一种SRNC伴随迁移示意图;
图5为根据本发明实施例的一种空中接口密钥的更新方法的步骤流程图;
图6为根据本发明实施例的一种空中接口密钥更新的密钥链;
图7为根据本发明实施例的一种初始空中接口密钥建立过程的流程图;
图8为根据本实施例的一种进行SRNC伴随迁移时的空中接口密钥的更新流程图;
图9为根据本发明实施例的一种进行SRNC静态迁移时的空中接口密钥的更新流程图;
图10为根据本发明实施例的一种核心网节点的结构框图;
图11为根据本发明实施例的一种无线接入系统的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在采用UTRAN的无线接入系统中涉及到的SRNC迁移,如图3和图4所示,涉及核心网节点(SGSN+或MSC+)、源RNC(即SRNC)、目标RNC、Node B和UE。在采用HSPA+的无线接入系统中,可以将Node B+看做Node B和RNC的结合,二者是一个物理实体,但仍然是两个不同的逻辑实体。需要说明的是,本发明实施例中支持增强安全密钥层次的Node B+也可以等同为UMTS中进行了升级的RNC(RNC+),本发明实施例中的SRNC和源RNC(源Node B+)等同,DRNC和目标RNC(目标Node B+)等同。
参照图5,示出了根据本发明实施例的一种空中接口密钥的更新方法的步骤流程图,包括以下步骤:
步骤S502:核心网节点接收到目标RNC的迁移完成指示消息;
其中,迁移完成指示消息指示用户设备UE从源RNC迁移到所述目标RNC成功。
步骤S504:核心网节点使用存储的传统密钥和当前增强密钥计算下一跳增强密钥;
其中,传统密钥包括传统完整性密钥IK和/或传统加密密钥CK,增强密钥包括增强完整性密钥IKU和/或增强加密密钥CKU
核心网节点使用核心网节点处存储的传统密钥IK和/或CK,以及当前使用的增强密钥IKU和/或CKU使用密钥生成函数计算下一跳增强密钥IKU和/或CKU。为了和当前使用的当前增强密钥IKU/CKU相区别,本发明的实施例中称下一跳增强密钥为IK’U和CK’U
步骤S506:核心网节点将下一跳增强密钥发送给目标RNC。
本步骤中,核心网节点将IK’U和CK’U发送给目标RNC保存,以备下次SRNC迁移时目标RNC使用。
传统UTRAN相关技术中在进行SRNC迁移时,不改变迁移前后的密钥,而通过本实施例,核心网节点将更新的下一跳增强密钥发送给目标RNC,以使用户设备在进行下一次SRNC迁移时使用,从而使得源RNC和目标RNC使用不同的密钥。并且当进行了两次SRNC迁移后,源RNC不能获得两跳后的目标基站使用的增强密钥,从而保证了用户通信的前向安全,提高了无线接入系统通信安全性。
在下一跳增强密钥IK’U和CK’U的计算过程中,除了传统密钥IK和CK、增强密钥IKU和CKU外,还可以使用以下参数之一或任意组合:序列号SQN异或隐藏密钥AK,用户标识(如国际用户识别码IMSI、临时移动用户识别码TMSI),服务网络标识,核心网节点类型。
本发明实施例提供了以下密钥函数计算各安全密钥,包括初始时和SRNC迁移时计算各安全密钥的密钥函数,以下密钥函数中,括号内的参数不分先后顺序,其中的多个参数可以以级联形式或其它形式组合。
初始时:(IKU,CKU)=F1(IK‖CK,Parameter);
(IK’U,CK’U)=F2(IK‖CK,IKU‖CKU);
SRNC迁移时:(IK’U,CK’U)=F2(IK‖CK,IK’U_ old‖CK’U_ old);
或者,
IKU=IK’U_ old,CKU=IK’U_ old,
(IK’U,CK’U)=F2(IK‖CK,IKU‖CKU);
其中,F1和F2表示不同或相同的密钥函数,例如3GPP定义的KDF函数。IKU表示增强的完整性密钥,CKU表示增强的加密密钥,IK’U表示下一跳增强的完整性密钥,CK’U表示下一跳增强的加密密钥,IK’U_ old表示当前增强的完整性密钥,CK’U_ old表示当前增强的加密密钥。“‖”表示级联。Parameter表示参数。当UE从空闲态进入连接态时,需要保证每次使用的Parameter不同。
本发明的实施例均可以采用上述密钥函数。当然,本领域技术人员也可以根据实际情况,采用其它适当的密钥计算方法,本发明不对此作出限制。
在初始附着时,或用户设备从空闲态返回激活态时,或用户设备从E-UTRAN或全球移动通信系统GSM移动到UTRAN时,或用户设备从传统的UTRAN(不支持HSPA+安全)移动到增强的UTRAN时,核心网节点对下一跳增强密钥的处理一般分为两种情况,一种是核心网节点初始时向SRNC下发下一跳增强密钥IK’U/CK’U,首次SRNC迁移时,源RNC把下一跳增强密钥发送给目标RNC,目标RNC和UE分别使用该下一跳增强密钥作为IKU和CKU;另一种是核心网节点初始时不向SRNC下发下一跳增强密钥,首次SRNC迁移时,源RNC将当前增强密钥IKU/CKU发送给目标RNC,目标RNC和UE分别使用该密钥IKU和CKU对通信作安全保护。在第二次SRNC迁移时,目标RNC和UE再分别使用下一跳增强密钥IK’U/CK’U。空中接口密钥更新的密钥链如图6所示,其中,NCC表示下一跳计数器。Parameter表示参数。
参照图7,示出了根据本发明实施例的一种初始空中接口密钥建立过程的流程图,包括以下步骤:
步骤S702:核心网节点(如SGSN+或MSC+)根据存储的IK和CK计算增强密钥IKU/CKU
该步骤的触发条件为:当UE首次附着到网络,或者UE从空闲模式转换到连接模式时,或者UE从演进的通用陆地无线接入网络E-UTRAN或GSM移动到通用陆地无线接入网络UTRAN时,或者用户设备从传统的UTRAN(不支持HSPA+安全)移动到增强的UTRAN时。
对于UE由空闲模式转换到连接模式时触发的安全模式命令流程,若SGSN+或MSC/VLR+处还存储有有效的增强密钥IKU/CKU,则该步骤可选,可以直接使用存储的增强密钥,而不必重新计算。
步骤S704:核心网节点根据传统完整性密钥IK、加密密钥CK和步骤S702中计算出的增强密钥IKU和CKU计算下一跳增强密钥IK’U/CK’U
步骤S706:核心网节点向SRNC发送安全模式命令消息,该消息携带增强密钥IKU和CKU,和/或下一跳增强密钥IK’U/CK’U
其中,安全模式命令消息还可以携带以下参数之一或其任意组合:用户设备安全能力、密钥集标识、选择的完整性算法集、加密算法集。
其中,下一跳增强密钥IK’U/CK’U的下发是可选的,即初始连接建立时,可以不发送下一跳增强密钥IK’U/CK’U,而仅发送增强密钥IKU/CKU
步骤S708:SRNC接收到安全模式命令消息后,存储接收到的增强密钥IKU和CKU,和/或下一跳增强密钥IK’U/CK’U
步骤S710:SRNC向UE发送安全模式命令消息。
该安全模式命令消息中可以携带用IKU计算的消息验证码,还可以携带以下参数之一或其任意组合:用户设备安全能力、密钥集标识、选择的完整性算法、加密算法。
步骤S712:UE接收到安全模式命令消息后,存储加密算法和完整性算法,根据AKA过程生成的传统加密密钥CK和传统完整性密钥IK计算增强密钥IKU和CKU(该过程也可发生于收到安全模式命令消息之前)。此时,UE和SRNC共享相同的增强的完整性密钥IKU和/或增强的加密密钥CKU,可以使用上述密钥对双方之间的通信进行保护。
本步骤中,对于由UE空闲模式转换到连接模式时触发的安全模式命令流程,若UE处还存储有有效的增强密钥IKU和CKU,则可以直接使用该增强密钥IKU和CKU,而不用重新计算。
步骤S714:UE根据传统加密密钥CK、完整性密钥IK和步骤S712中计算出的增强密钥IKU和CKU计算下一跳增强密钥IK’U/CK’U
该步骤为可选步骤,即UE可以在初始时不计算下一跳增强密钥,待需要时再计算。
步骤S716:UE使用IKU验证接收到的安全模式命令消息。
步骤S718:如果安全模式命令消息验证成功,则UE向SRNC发送安全模式完成消息,该消息中携带有用IKU计算的消息验证码,或者,UE也可以同时用CKU对该安全模式完成消息进行加密。
步骤S720:SRNC用IKU验证接收到的安全模式完成消息;或者,先用CKU对该消息进行解密,再用IKU对接收到的安全模式完成消息进行验证。
步骤S722:如果安全模式完成消息验证成功,则SRNC向核心网节点发送安全模式完成消息,该消息中可以携带参数:选择的完整性算法和/或加密算法。
此后,UE和NodeB+即可以根据上述密钥开始加解密操作。
优选的,在本实施例中,核心网节点维护一个下一跳计数器网络NCC,用于对计算下一跳增强密钥的次数计数,以和用户侧密钥同步。网络NCC初始值为0;当步骤2中首次计算下一跳增强密钥时,对应的网络NCC为1。在核心网节点维护一个网络NCC的情况下,安全模式命令消息中还可以携带参数网络NCC,并发送给SRNC,由SRNC接收和存储。同样,UE也维护一个下一跳计数器终端NCC,用于对UE计算下一跳增强密钥的次数计数,以和网络侧密钥同步,初始值为0;当UE首次计算下一跳增强密钥,此时,对应的终端NCC值为1。在以后的SRNC迁移流程中,当终端NCC与网络NCC不等时,UE计算下一跳增强密钥并递增相对应的终端NCC,直到终端NCC等于网络NCC,以使UE和目标RNC使用的密钥一致。使用NCC同步网络侧和用户侧密钥,有效保证了网络侧和用户侧密钥的一致性。
参照图8,示出了根据本实施例的一种进行SRNC伴随迁移时的空中接口密钥的更新流程图。本实施例中,SRNC和目标RNC之间的消息交互需要通过核心网节点CNN+(SGSN+或MSC+)中转。
本实施例包括以下步骤:
步骤S802:源RNC(即SRNC)决策进行SRNC迁移。
该决策的触发可以是:源RNC收到UE的测量报告,或者收到目标RNC发送的上行信令传输指示要求进行小区更新或URA更新等。
步骤S804:源RNC向核心网节点发送迁移需要消息。
若源RNC同时连接两个CNN+节点,则源RNC同时向该两个CNN+节点发送迁移需要消息;若源RNC和目标RNC位于两个不同的CNN+节点下,则该消息需要经过该两个CNN+节点的中转。
迁移需要消息中携带参数:下一跳增强的空口完整性密钥IK’U,和/或下一跳增强的空口加密密钥CK’U。除此之外,还可以携带以下参数之一或任意组合:用户设备安全能力、用户支持的加密算法、用户支持的完整性算法、选择的加密算法、选择的完整性算法、与该增强的空口密钥关联的下一跳计数器网络NCC。优选地,上述安全材料携带于源RNC到目标RNC的透明容器中。
可选地,源RNC将下一跳增强的空口完整性密钥IK’U当作增强的空口完整性密钥IKU,将下一跳增强的空口加密密钥CK’U当作增强的空口加密密钥CKU。源RNC发送的迁移需要消息中携带参数:增强完整性密钥IKU,和/或增强加密密钥CKU
可选地,由于源RNC可能不能确定目标RNC是否支持增强的安全,因此源RNC将下一跳增强密钥IK’U和CK’U分别放置于迁移需要消息的IK和CK字段。
在实际的网络布局中,支持增强安全功能的网络实体和仅支持传统安全的网络实体并存,当SRNC迁移时,就会存在UE从一个支持增强安全功能的SRNC+迁移到一个不支持增强安全功能的目标RNC的场景。而当SRNC+做出迁移决策时,很可能是不知道目标RNC是否支持增强安全功能的。因此,当SRNC迁移时,密钥的更新也需要考虑对传统网络的安全支持。
步骤S806:核心网节点向目标RNC发送迁移请求消息,消息中携带有下一跳增强密钥IK’U和CK’U,和/或网络NCC。
本实施例中,网络侧核心网节点维护一个下一跳计数器网络NCC,因此,迁移请求消息中还可以携带有网络NCC信息。将网络NCC信息发送给目标RNC,以方便地实现目标RNC与用户之间密钥的一致性。
本步骤中,核心网节点将CK’U置于所述迁移请求消息的CK字段,和/或将IK’U置于所述迁移请求消息的IK字段,向目标RNC发送。
需要说明的是,在增强的SRNC迁移过程中,源RNC可以直接发送迁移请求消息给目标RNC,此时,该迁移请求消息称为增强的迁移请求消息。增强的迁移请求消息中携带下一跳增强的空口完整性密钥IK’U,和/或下一跳增强的空口加密密钥CK’U,源RNC将下一跳增强密钥IK’U和CK’U分别放置于迁移需要消息的IK和CK字段发送给目标RNC。
步骤S808:目标RNC存储接收到的密钥。若目标RNC支持增强的安全,则目标RNC将接收到的消息中的IK字段的值作为增强密钥IKU,CK字段的值作为增强密钥CKU;若目标RNC不支持增强的安全,则目标RNC将接收到的消息中的IK字段的值作为传统密钥IK,CK字段的值作为传统密钥CK。
步骤S810:目标RNC向核心网节点发送迁移请求确认消息。在发送该消息之前,目标RNC和核心网节点可以建立新的Iu承载,为UE分配RRC(Radio Resource Control,无线资源控制协议)连接资源和无线链路等资源。若源RNC和目标RNC位于两个不同的CNN+节点(SGSN+和/或MSC/VLR+)下,则该消息需要经过该两个CNN+节点的中转。
可选地,该迁移确认消息携带有下一跳计数器网络NCC信息。
步骤S812:核心网节点向源RNC发送迁移命令消息。
可选地,该迁移命令消息携带核心网节点的下一跳计数器网络NCC信息。
步骤S814:源RNC向UE发送迁移消息,即物理信道重配置消息或UTRAN移动性信息消息。
可选地,上述物理信道重配置消息或UTRAN移动性信息消息中携带有下一跳计数器网络NCC信息。
步骤S816:若UE支持增强的安全,则UE按照和网络侧同样的算法更新增强的完整性密钥IKU和/或加密密钥CKU
本步骤中,UE中设置下一跳计数器终端NCC,UE接收网络NCC,判断终端NCC是否等于网络NCC,若二者相等,则UE直接使用自己保存的增强完整性密钥IKU和/或增强加密密钥CKU;若网络NCC大于终端NCC,则UE计算增强密钥IKU/CKU并递增相对应的终端NCC,直到终端NCC等于网络NCC。
步骤S818:UE向目标RNC发送物理信道重配置完成消息或UTRAN移动性信息确认消息。上述消息可以用更新的完整性密钥IKU进行完整性保护,或用更新的完整性密钥IKU和加密密钥CKU对上述消息同时进行完整性和加密保护。
该消息中还可以携带用户设备安全能力参数。
步骤S820:目标RNC用更新的完整性密钥IKU和/或加密密钥CKU对该消息进行安全验证。若目标RNC对UE发送的消息验证成功,则目标RNC向核心网节点(SGSN+或者MSC/VLR+)发送迁移完成消息,该消息携带向核心网节点指示迁移完成的信息,可选地,还可以有网络NCC信息。
步骤S822:核心网节点基于IK、CK和当前的增强密钥IKU、CKU计算下一跳增强密钥IK’U、CK’U
可选地,若网络侧维护了一个下一跳计数器网络NCC,则核心网节点在计算下一跳增强密钥IK’U、CK’U之前或之后递增网络NCC。
步骤S824:核心网节点向目标RNC发送迁移完成确认消息,该消息携带下一跳增强密钥IK’U、C’KU,和/或相关联的网络NCC。
步骤S826:目标RNC存储接收到下一跳增强密钥IK’U、CK’U,和/或相关联的网络NCC,以备下一次SRNC迁移时使用。
步骤S828:核心网节点(SGSN+或者MSC/VLR+)释放与源RNC之间的Iu接口。
图8所示的实施例中的安全操作同样适用于采用增强SRNC迁移流程,在增强SRNC迁移流程中,源RNC和目标RNC之间直接进行通信,而不用通过核心网节点的中转。图8中的步骤S804、S806所示的消息替换为源RNC向目标RNC发送增强的迁移请求消息,图8中步骤S810、S812所示的消息替换为目标RNC向源RNC发送增强的迁移响应消息。图8中步骤S820、S824所示的消息分别替换为目标RNC和核心网节点之间的增强的迁移完成请求消息和增强的迁移完成响应消息。除此之外,消息中携带的参数,及其它步骤的操作都完全相同。此处不再赘述。
当初始时核心网节点即将下一跳增强密钥发送给SRNC时,当UE进行第一次SRNC迁移流程时,即可采用上述的密钥更新流程。当初始时核心网节点未将下一跳增强密钥发送给SRNC时,当UE进行第一次SRNC迁移流程时,按照传统UMTS定义的SRNC迁移的安全操作执行,即源RNC将当前使用的增强密钥IKU和/或CKU发送给目标RNC,UE和目标RNC直接使用该当前的增强密钥。当进行第二次SRNC迁移时,再采用上述的密钥更新流程。
在一次SRNC迁移流程成功完成后,目标RNC可以发起一次SRNC内部的迁移,此时,源RNC和目标RNC都是同一个SRNC。以此达到前向安全的目的。
参照图9,示出了根据本发明实施例的一种进行SRNC静态迁移时增强的空中接口密钥的更新流程图。本实施例采用传统的SRNC迁移流程,即SRNC和目标RNC之间的消息交互经过核心网节点的中转的流程。需要说明的是,该实施例的安全操作也同样适用于增强的SRNC伴随迁移流程,即SRNC和目标RNC之间直接进行消息交互,而不用通过核心网节点的中转。
本实施例包括以下步骤:
步骤S902:UE向UTRAN发送URA更新消息,或小区更新消息,或测量报告消息。
步骤S904:目标RNC通过接收到该UE的URA更新消息或小区更新消息,或测量报告消息,向该UE的源RNC发送上行信令传输指示消息。
步骤S906:源RNC(即SRNC)决策进行SRNC迁移。
步骤S908:源RNC向核心网节点发送迁移需要消息。消息中携带有下一跳增强密钥IK’U和CK’U,还可以携带网络NCC。
步骤S910:核心网节点向目标RNC发送迁移请求消息,消息中携带有下一跳增强密钥IK’U和CK’U,和/或网络NCC。
本实施例中,网络侧核心网节点维护一个下一跳计数器网络NCC,因此,迁移请求消息中还可以携带有网络NCC信息。
步骤S912:目标RNC存储接收到的密钥。
步骤S914:目标RNC向核心网节点发送迁移请求确认消息。在发送该消息之前,目标RNC和核心网节点可以建立新的Iu承载,为UE分配RRC(Radio Resource Control,无线资源控制协议)连接资源和无线链路等资源。
可选地,该迁移确认消息携带有下一跳计数器网络NCC信息。
步骤S916:核心网节点向源RNC发送迁移命令消息。
可选地,该迁移命令消息携带核心网节点的下一跳计数器网络NCC信息。
步骤S918:源RNC向目标RNC发送迁移提交消息。
步骤S920:目标RNC向核心网节点发送迁移检测消息。
步骤S922:目标RNC向UE发送小区更新确认消息,或URA更新确认消息,或RAN移动性信息消息。该消息携带目标RNC的安全能力的指示信息。
可选地,上述消息携带有下一跳计数器网络NCC信息。
步骤S924:若UE支持增强的安全,则UE按照和网络侧同样的算法更新增强的完整性密钥IKU和/或加密密钥CKU
本步骤中,UE中设置下一跳计数器终端NCC,UE接收网络NCC,判断终端NCC是否等于网络NCC,若二者相等,则UE直接使用自己保存的增强完整性密钥IKU和/或增强加密密钥CKU;若网络NCC大于终端NCC,则UE计算增强密钥IKU/CKU并递增相对应的终端NCC,直到终端NCC等于网络NCC。
步骤S926:UE向目标RNC发送UTRAN移动性信息确认消息或RAN移动性信息确认消息。上述消息可以用更新的完整性密钥IKU进行完整性保护,或用更新的完整性密钥IKU和加密密钥CKU对上述消息同时进行完整性和加密保护。
该消息中还可以携带用户设备安全能力参数。
步骤S928:目标RNC用更新的完整性密钥IKU和/或加密密钥CKU对该消息进行安全验证。若目标RNC对UE发送的消息验证成功,则目标RNC向核心网节点(SGSN+或者MSC/VLR+)发送迁移完成消息,该消息携带向核心网节点指示迁移完成的信息,还可以有网络NCC信息。
步骤S930:核心网节点基于IK、CK和当前的增强密钥IKU、CKU计算下一跳增强密钥IK’U、CK’U
可选地,若网络侧维护了一个下一跳计数器网络NCC,则核心网节点在计算下一跳增强密钥IK’U、CK’U之前或之后递增网络NCC。
步骤S932:核心网节点向目标RNC发送迁移完成确认消息,该消息携带下一跳增强密钥IK’U、CK’U,和/或相关联的网络NCC。
步骤S934:目标RNC存储接收到的下一跳增强密钥IK’U、CK’U,和/或相关联的网络NCC,以备下一次SRNC迁移时使用。
步骤S936:核心网节点(SGSN+或者MSC+)释放与源RNC之间的Iu接口。
本步骤核心网节点(SGSN+或者MSC/VLR+)释放与源RNC之间的Iu接口也可发生于步骤S930之前。
需要说明的是,上述所有实施例也适用于SRNC内部的迁移,即源RNC和目标RNC是同一个RNC的场景。
参照图10,示出了根据本发明实施例的一种核心网节点的结构框图,包括:
接收模块1002,用于接收目标RNC的迁移完成指示消息,该迁移完成指示消息用于指示UE从源RNC迁移到目标RNC成功;计算模块1004,用于在接收模块1002接收到迁移完成指示消息后,使用存储的传统密钥和当前增强密钥计算下一跳增强密钥;发送模块1006,用于将下一跳增强密钥发送给目标RNC。
优选的,本实施例的核心网节点还可以包括:下一跳计数器网络NCC,用于对核心网节点计算下一跳增强密钥的次数计数。
优选的,接收模块1002还用于在接收目标RNC的迁移完成指示消息之前,接收源RNC发送的迁移需要消息,该迁移需要消息包括源RNC的下一跳CK’U和/或IK’U;发送模块1006还用于向目标RNC发送迁移请求消息,该迁移请求消息包括源RNC发送的下一跳CK’U和/或IK’U
参照图11,示出了根据本发明实施例的一种无线接入系统的结构框图,包括:源RNC1102、目标RNC1104、核心网节点1106和用户设备UE1108。
其中,源RNC1102,用于向核心网节点1106发送迁移需要消息,该迁移需要消息中携带有源RNC1102的下一跳增强密钥;接收核心网节点1106的迁移命令,并向UE1108发送迁移消息。
其中,目标RNC1104,用于接收核心网节点1106发送的迁移请求消息,该迁移请求消息中携带有源RNC1102发送的下一跳增强密钥;以及向核心网节点1106发送迁移完成指示消息,接收核心网节点1106的迁移完成确认消息,该迁移完成确认消息包括目标RNC1104的下一跳增强密钥。
其中,核心网节点1106,用于接收目标RNC1104的迁移完成指示消息,计算下一跳增强密钥,并通过迁移完成确认消息发送给目标RNC1104。
其中,UE1108,用于根据源RNC1102发送的迁移消息同步自身的增强密钥。
优选的,核心网节点1106包括:接收模块11062,用于接收目标RNC1104的迁移完成指示消息,该迁移完成指示消息指示UE1108从源RNC1102迁移到目标RNC1104成功;计算模块11064,用于在接收模块11062接收到迁移完成指示消息后,使用存储的传统密钥和当前增强密钥计算下一跳增强密钥;发送模块11066,用于将下一跳增强密钥发送给目标RNC1104。
优选的,核心网节点1106还包括:下一跳计数器网络NCC,用于对核心网节点1106计算下一跳增强密钥的次数计数。
优选的,UE1108包括:下一跳计数器终端NCC,用于对UE1108计算下一跳增强密钥的次数计数。
优选的,UE1108还包括:判断模块11082,用于判断终端NCC是否等于网络NCC;确定模块11084,用于若判断模块11082的判断结果为是,则使用终端NCC对应的预先存储的CKU和/或IKU;否定模块11086,用于若判断模块11082的判断结果为否,则计算CKU和/或IKU,并递增相对应的终端NCC,直到终端NCC等于网络NCC。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (23)

1.一种空中接口密钥的更新方法,其特征在于,包括:
核心网节点接收到目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;
使用所述存储的传统密钥和当前增强密钥计算下一跳增强密钥;
将所述下一跳增强密钥发送给所述目标RNC。
2.根据权利要求1所述的方法,其特征在于,所述传统密钥包括传统完整性密钥IK和/或传统加密密钥CK,所述增强密钥包括增强完整性密钥IKU和/或增强加密密钥CKU
3.根据权利要求2所述的方法,其特征在于,所述核心网节点设置下一跳计数器网络NCC,对所述核心网节点计算下一跳增强密钥的次数计数。
4.根据权利要求3所述的方法,其特征在于,在所述核心网节点接收到目标RNC的迁移完成指示消息步骤之前,还包括:
所述源RNC向所述核心网节点发送迁移需要消息,所述迁移需要消息包括所述源RNC的下一跳CKU和/或IKU
所述核心网节点接收所述迁移需要消息,并向所述目标RNC发送迁移请求消息,所述迁移请求消息包括所述源RNC发送的下一跳CKU和/或IKU
5.根据权利要求4所述的方法,其特征在于,所述迁移需要和迁移请求消息均还包括所述网络NCC指示的信息。
6.根据权利要求4所述的方法,其特征在于,所述源RNC向所述核心网节点发送迁移需要消息的步骤包括:
所述源RNC将所述下一跳IKU置于所述迁移需要消息的IK字段,和/或将所述下一跳CKU置于所述迁移需要消息的CK字段,向所述核心网节点发送;
所述核心网节点向所述目标RNC发送迁移请求消息的步骤包括:
所述核心网节点将所述源RNC发送的下一跳IKU置于所述迁移请求消息的IK字段,和/或将所述源RNC发送的下一跳CKU置于所述迁移请求消息的CK字段,向所述目标RNC发送。
7.根据权利要求3所述的方法,其特征在于,在所述核心网节点接收到目标RNC的迁移完成指示消息步骤之前,还包括:
所述源RNC向所述目标RNC发送增强的迁移请求消息,所述增强的迁移请求消息包括所述源RNC的下一跳CKU和/或IKU
8.根据权利要求7所述的方法,其特征在于,所述源RNC向所述目标RNC发送增强的迁移请求消息的步骤包括:
所述源RNC将所述下一跳IKU置于所述增强的迁移请求消息的IK字段,和/或将所述下一跳CKU置于所述增强的迁移请求消息的CK字段,向所述目标RNC发送。
9.根据权利要求6或8所述的方法,其特征在于,在所述核心网节点向所述目标RNC发送迁移请求消息的步骤之后,还包括:
若所述目标RNC不支持增强的安全模式,则将所述迁移请求消息/增强的迁移请求消息的CK字段的内容作为CK,IK字段的内容作为IK使用;
若所述目标RNC支持增强的安全模式,则将所述迁移请求消息/增强的迁移请求消息的CK字段的内容作为CKU,IK字段的内容作为IKU使用。
10.根据权利要求4所述的方法,其特征在于,在所述核心网节点向所述目标RNC发送迁移请求消息的步骤之后,还包括:
所述核心网节点接收所述目标RNC的迁移请求确认消息,并向所述源RNC发送迁移命令消息,所述迁移命令消息包括所述网络NCC指示的信息;
所述源RNC接收所述迁移命令消息,向所述UE发送迁移消息,所述迁移消息包括所述网络NCC指示的信息。
11.根据权利要求10所述的方法,其特征在于,所述源RNC接收所述迁移命令消息,向所述UE发送迁移消息步骤之后,还包括:
所述UE判断下一跳计数器终端NCC是否等于所述网络NCC;
若是,则所述UE使用所述终端NCC对应的预先存储的所述IKU和/或CKU;以及
若否,则所述UE计算所述IKU和/或CKU,并递增相对应的所述终端NCC,直到所述终端NCC等于所述网络NCC。
12.根据权利要求1所述的方法,其特征在于,还包括:
所述核心网节点在用户设备UE首次附着到网络,或者所述UE从空闲模式转换到连接模式,或者所述用户设备从演进的通用陆地无线接入网络E-UTRAN或全球移动通信系统GSM网络移动到通用陆地无线接入网络UTRAN,或者所述用户设备从传统的UTRAN移动到增强的UTRAN时,所述核心网节点根据所述存储的传统密钥计算所述当前增强密钥;
所述核心网节点发送所述当前增强密钥给服务RNC。
13.根据权利要求1所述的方法,其特征在于,还包括:
所述核心网节点在用户设备UE首次附着到网络,或者所述UE从空闲模式转换到连接模式,或者所述用户设备从演进的通用陆地无线接入网络E-UTRAN或全球移动通信系统GSM网络移动到通用陆地无线接入网络UTRAN,或者所述用户设备从传统的UTRAN移动到增强的UTRAN时,所述核心网节点根据所述存储的传统密钥计算所述当前增强密钥;
所述核心网节点发送所述下一跳增强密钥给服务RNC。
14.根据权利要求12或13所述的方法,其特征在于,在所述核心网节点发送所述当前增强密钥给所述源RNC步骤之后,还包括:
所述服务RNC接收并存储所述当前增强密钥,并向所述UE发送安全模式命令消息;
所述UE接收所述安全模式命令消息,使用存储的传统密钥计算增强密钥。
15.根据权利要求14所述的方法,其特征在于,在所述UE接收所述安全模式命令消息,使用存储的传统密钥计算增强密钥步骤之后,还包括:
所述UE使用所述传统密钥和增强密钥计算下一跳增强密钥。
16.一种核心网节点,其特征在于,包括:
接收模块,用于接收目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;
计算模块,用于在所述接收模块接收到所述迁移完成指示消息后,使用所述存储的传统密钥和当前增强密钥计算下一跳增强密钥;
发送模块,用于将所述下一跳增强密钥发送给所述目标RNC。
17.根据权利要求16所述的核心网节点,其特征在于,还包括:
下一跳计数器网络NCC,用于对所述核心网节点计算下一跳增强密钥的次数计数。
18.根据权利要求17所述的核心网节点,其特征在于,
所述接收模块,还用于在接收所述目标RNC的迁移完成指示消息之前,接收所述源RNC发送的迁移需要消息,所述迁移需要消息包括所述源RNC的下一跳CKU和/或IKU
所述发送模块,还用于向所述目标RNC发送迁移请求消息,所述迁移请求消息包括所述源RNC发送的下一跳CKU和/或IKU
19.一种无线接入系统,包括源无线网络控制器RNC、目标RNC、核心网节点和用户设备UE,其特征在于,
所述源RNC,用于向所述核心网节点发送迁移需要消息,所述迁移需要消息中携带有所述源RNC发送的下一跳增强密钥;接收所述核心网节点的迁移命令,并向所述UE发送迁移消息;
所述目标RNC,用于接收所述核心网节点发送的迁移请求消息,所述迁移请求消息中携带有所述源RNC发送的下一跳增强密钥;以及向所述核心网节点发送迁移完成指示消息,接收所述核心网节点的迁移完成确认消息,所述迁移完成确认消息包括所述目标RNC的下一跳增强密钥;
所述核心网节点,用于接收所述目标RNC的迁移完成指示消息,计算下一跳增强密钥,并通过所述迁移完成确认消息发送给所述目标RNC;
所述UE,用于根据所述源RNC发送的迁移消息同步自身的增强密钥。
20.根据权利要求19所述的无线接入系统,其特征在于,所述核心网节点包括:
接收模块,用于接收所述目标RNC的迁移完成指示消息,所述迁移完成指示消息指示用户设备UE从源RNC迁移到所述目标RNC成功;
计算模块,用于在所述接收模块接收到所述迁移完成指示消息后,使用所述存储的传统密钥和当前增强密钥计算下一跳增强密钥;
发送模块,用于将所述下一跳增强密钥发送给所述目标RNC。
21.根据权利要求20所述的无线接入系统,其特征在于,所述核心网节点还包括:
下一跳计数器网络NCC,用于对所述核心网节点计算下一跳增强密钥的次数计数。
22.根据权利要求21所述的无线接入系统,其特征在于,所述UE包括:
下一跳计数器终端NCC,用于对所述UE计算下一跳增强密钥的次数计数。
23.根据权利要求22所述的无线接入系统,其特征在于,所述UE还包括:
判断模块,用于判断所述终端NCC是否等于所述网络NCC;
确定模块,用于若所述判断模块的判断结果为是,则使用所述终端NCC对应的预先存储的所述CKU和/或IKU
否定模块,用于若所述判断模块的判断结果为否,则计算所述CKU和/或IKU,并递增相对应的所述终端NCC,直到所述终端NCC等于所述网络NCC。
CN201010200885.1A 2010-06-07 2010-06-07 空中接口密钥的更新方法、核心网节点及无线接入系统 Expired - Fee Related CN101841810B (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN201010200885.1A CN101841810B (zh) 2010-06-07 2010-06-07 空中接口密钥的更新方法、核心网节点及无线接入系统
EP11791844.1A EP2571305A4 (en) 2010-06-07 2011-03-09 METHOD FOR UPDATING AN AIR INTERFACE KEY, NUCLEAR NETWORK NODES AND WIRELESS ACCESS SYSTEM THEREFOR
US13/702,842 US8938071B2 (en) 2010-06-07 2011-03-09 Method for updating air interface key, core network node and radio access system
JP2013513528A JP5774096B2 (ja) 2010-06-07 2011-03-09 エアインターフェースキーの更新方法、コアネットワークノード及び無線アクセスシステム
PCT/CN2011/071628 WO2011153852A1 (zh) 2010-06-07 2011-03-09 空中接口密钥的更新方法、核心网节点及无线接入系统
CA2801615A CA2801615A1 (en) 2010-06-07 2011-03-09 Method for updating air interface key, core network node and radio access system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010200885.1A CN101841810B (zh) 2010-06-07 2010-06-07 空中接口密钥的更新方法、核心网节点及无线接入系统

Publications (2)

Publication Number Publication Date
CN101841810A true CN101841810A (zh) 2010-09-22
CN101841810B CN101841810B (zh) 2016-01-20

Family

ID=42744854

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010200885.1A Expired - Fee Related CN101841810B (zh) 2010-06-07 2010-06-07 空中接口密钥的更新方法、核心网节点及无线接入系统

Country Status (6)

Country Link
US (1) US8938071B2 (zh)
EP (1) EP2571305A4 (zh)
JP (1) JP5774096B2 (zh)
CN (1) CN101841810B (zh)
CA (1) CA2801615A1 (zh)
WO (1) WO2011153852A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011153852A1 (zh) * 2010-06-07 2011-12-15 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统
WO2012009981A1 (zh) * 2010-07-23 2012-01-26 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统
WO2012022185A1 (zh) * 2010-08-18 2012-02-23 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及用户设备
US20140242994A1 (en) * 2011-11-08 2014-08-28 Huawei Technologies Co., Ltd. Network Handover Method and Apparatus
CN109155775A (zh) * 2016-05-09 2019-01-04 华为技术有限公司 一种移动设备、网络节点及其方法
WO2020001429A1 (en) * 2018-06-25 2020-01-02 Mediatek Singapore Pte Ltd. Indication of additional security capabilities using nas signaling in 5g mobile communications
CN113795024A (zh) * 2020-05-26 2021-12-14 华为技术有限公司 一种获取密钥的方法及装置

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018237374A1 (en) * 2017-06-23 2018-12-27 Motorola Mobility Llc METHOD AND APPARATUS FOR IMPLEMENTING MEDIA-SPECIFIC MODIFICATIONS AS PART OF CONNECTION RECONFIGURATION WHICH HAS CONSEQUENCES OF SAFETY KEYS DURING USE
CN110710238B (zh) * 2018-01-19 2021-01-08 Oppo广东移动通信有限公司 指示用户设备获取密钥的方法、用户设备及网络设备
US11057766B2 (en) * 2018-11-01 2021-07-06 Nokia Technologies Oy Security management in disaggregated base station in communication system
CN109495916B (zh) * 2018-11-20 2022-05-10 华为技术服务有限公司 一种通信方法及设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232731A (zh) * 2008-02-04 2008-07-30 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和系统
CN101715188A (zh) * 2010-01-14 2010-05-26 中兴通讯股份有限公司 一种空口密钥的更新方法及系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0020443D0 (en) * 2000-08-18 2000-10-04 Nokia Networks Oy Controlling communication between stations
EP1770917A1 (en) 2005-09-29 2007-04-04 Nortel Networks Limited Method for managing communications and related core network node
WO2008115447A2 (en) * 2007-03-15 2008-09-25 Interdigital Technology Corporation Methods and apparatus to facilitate security context transfer, rohc and pdcp sn context reinitialization during handover
CN105657703B (zh) * 2008-11-03 2019-10-08 诺基亚技术有限公司 在分组交换网络和电路交换网络之间切换的方法和装置
US9344924B2 (en) * 2008-11-27 2016-05-17 Htc Corporation Method of handling handover security configuration and related communication device
CN101583130B (zh) 2009-06-18 2015-09-16 中兴通讯股份有限公司 空口密钥的生成方法与装置
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
CN101835151B (zh) 2010-04-16 2016-03-30 中兴通讯股份有限公司 空中接口密钥的更新方法及无线接入系统
CN101867924B (zh) 2010-06-07 2016-07-06 中兴通讯股份有限公司 空中接口密钥的更新、生成方法及无线接入系统
CN101841810B (zh) 2010-06-07 2016-01-20 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232731A (zh) * 2008-02-04 2008-07-30 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和系统
CN101715188A (zh) * 2010-01-14 2010-05-26 中兴通讯股份有限公司 一种空口密钥的更新方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ZTE CORPORATION: "《3GPP TSG-SA3 (Security) S3-100515》", 30 April 2010, article ""Key Change during SRNS Relocation"" *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011153852A1 (zh) * 2010-06-07 2011-12-15 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统
US8938071B2 (en) 2010-06-07 2015-01-20 Zte Corporation Method for updating air interface key, core network node and radio access system
WO2012009981A1 (zh) * 2010-07-23 2012-01-26 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及无线接入系统
US9386448B2 (en) 2010-08-18 2016-07-05 Zte Corporation Method for updating air interface key, core network node and user equipment
WO2012022185A1 (zh) * 2010-08-18 2012-02-23 中兴通讯股份有限公司 空中接口密钥的更新方法、核心网节点及用户设备
US9510255B2 (en) * 2011-11-08 2016-11-29 Huawei Technologies Co., Ltd. Network handover method and apparatus
US20140242994A1 (en) * 2011-11-08 2014-08-28 Huawei Technologies Co., Ltd. Network Handover Method and Apparatus
CN109155775A (zh) * 2016-05-09 2019-01-04 华为技术有限公司 一种移动设备、网络节点及其方法
CN109155775B (zh) * 2016-05-09 2020-11-17 华为技术有限公司 一种移动设备、网络节点及其方法
WO2020001429A1 (en) * 2018-06-25 2020-01-02 Mediatek Singapore Pte Ltd. Indication of additional security capabilities using nas signaling in 5g mobile communications
CN110859058A (zh) * 2018-06-25 2020-03-03 联发科技(新加坡)私人有限公司 5g移动通信中使用非存取层信令的附加安全能力指示
US11457353B2 (en) 2018-06-25 2022-09-27 Mediatek Singapore Pte. Ltd. Indication of additional security capabilities using NAS signaling in 5G mobile communications
CN110859058B (zh) * 2018-06-25 2023-10-10 联发科技(新加坡)私人有限公司 5g移动通信中附加安全能力指示方法及其装置
CN113795024A (zh) * 2020-05-26 2021-12-14 华为技术有限公司 一种获取密钥的方法及装置

Also Published As

Publication number Publication date
US8938071B2 (en) 2015-01-20
JP2013531939A (ja) 2013-08-08
WO2011153852A1 (zh) 2011-12-15
JP5774096B2 (ja) 2015-09-02
CA2801615A1 (en) 2011-12-15
EP2571305A4 (en) 2014-01-15
EP2571305A1 (en) 2013-03-20
CN101841810B (zh) 2016-01-20
US20130077785A1 (en) 2013-03-28

Similar Documents

Publication Publication Date Title
CN101841810B (zh) 空中接口密钥的更新方法、核心网节点及无线接入系统
US8145195B2 (en) Mobility related control signalling authentication in mobile communications system
US10320754B2 (en) Data transmission method and apparatus
US20170359719A1 (en) Key generation method, device, and system
CN101715188A (zh) 一种空口密钥的更新方法及系统
CN101909292B (zh) 空中接口密钥的更新方法、核心网节点及用户设备
CN107113608B (zh) 使用密钥扩展乘数来生成多个共享密钥的方法和装置
US20190239071A1 (en) Enhanced aggregated re-authentication for wireless devices
CN101742500A (zh) 一种派生空口密钥的方法及系统
CN101867924B (zh) 空中接口密钥的更新、生成方法及无线接入系统
WO2013075417A1 (zh) 切换过程中密钥生成方法及系统
CN101860862B (zh) 终端移动到增强utran时建立增强密钥的方法及系统
WO2008152611A1 (en) Apparatus, method and computer program product providing transparent container
CN101835151B (zh) 空中接口密钥的更新方法及无线接入系统
CN101902736B (zh) 空中接口密钥的更新方法、核心网节点及无线接入系统
CN108270560B (zh) 一种密钥传输方法及装置
CN108271154B (zh) 一种认证方法及装置
CN101902738B (zh) 空中接口密钥的更新方法、装置及无线接入系统
CN101867925A (zh) 空口密钥处理方法及系统
CN112400335B (zh) 用于执行数据完整性保护的方法和计算设备
CN102137398B (zh) 增强密钥的更新方法、装置和用户设备
CN116782211A (zh) 切换密钥的确定方法、切换方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160120

Termination date: 20170607