CN101867924B - 空中接口密钥的更新、生成方法及无线接入系统 - Google Patents
空中接口密钥的更新、生成方法及无线接入系统 Download PDFInfo
- Publication number
- CN101867924B CN101867924B CN201010202417.8A CN201010202417A CN101867924B CN 101867924 B CN101867924 B CN 101867924B CN 201010202417 A CN201010202417 A CN 201010202417A CN 101867924 B CN101867924 B CN 101867924B
- Authority
- CN
- China
- Prior art keywords
- key
- rnc
- target rnc
- enhancing
- migration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 230000005012 migration Effects 0.000 claims abstract description 111
- 238000013508 migration Methods 0.000 claims abstract description 111
- 230000002708 enhancing effect Effects 0.000 claims abstract description 90
- 230000008569 process Effects 0.000 claims abstract description 52
- 230000003068 static effect Effects 0.000 claims abstract description 36
- 238000005728 strengthening Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 9
- 238000009795 derivation Methods 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 claims 1
- 230000007704 transition Effects 0.000 abstract description 18
- 241000209094 Oryza Species 0.000 description 8
- 235000007164 Oryza sativa Nutrition 0.000 description 8
- 235000021186 dishes Nutrition 0.000 description 8
- 235000009566 rice Nutrition 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/10—Reselecting an access point controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/12—Access point controller devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公布了一种空中接口密钥的更新、生成方法及无线接入系统,其中,所述更新方法包括:源RNC完成向目标RNC的静态迁移;所述目标RNC进行SRNC内部迁移;在所述SRNC内部迁移过程中,所述目标RNC根据从所述源RNC处接收到的密钥更新自身的增强密钥。通过本发明,既能够对SRNC静态迁移时增强的空中接口密钥进行更新,又不增加SRNC迁移过程的时延,提高了系统安全性和效率。
Description
技术领域
本方法涉及通信领域,特别涉及一种空中接口密钥的更新、生成方法及无线接入系统。
背景技术
3GPP(3rdGenerationPartnershipProject,第三代合作伙伴计划)在Release7中采用了正交频分复用(OrthogonalFrequencyDivisionMultiplexing,简称“OFDM”)和多输入多输出(Multiple-InputMultiple-Output,简称“MIMO”)技术完成HSDPA(HighSpeedDownlinkPacketAccess,高速下行链路分组接入)和HSUPA(HighSpeedUplinkPacketAccess,高速上行链路分组接入)的未来演进道路HSPA+。HSPA+是3GPPHSPA(包括HSDPA和HSUPA)的增强技术,为HSPA运营商提供低复杂度、低成本的从HSPA向LTE(LongTermEvolution,长期演进)平滑演进的途径。
相比较于HSPA,HSPA+在系统架构上将无线网络控制器(RadioNetworkController,简称“RNC”)的功能下放到基站节点B(NodeB),形成完全扁平化的无线接入网络架构,如图1所示。此时称集成了完全RNC功能的NodeB为EvolvedHSPANodeB,或者简称为增强节点B(NodeB+)。SGSN+为进行了升级能支持HSPA+功能的SGSN(SERVICEGPRSSUPPORTNODE,服务GPRS(GPRS:GeneralPacketRadioSystem,通用分组无线系统)支持节点)。ME+为能支持HSPA+功能的用户终端设备。演进的HSPA系统能够使用3GPPRel-5和以后的空中接口版本,对空中接口的HSPA业务没有任何修改。采用这种方案后,每个NodeB+都成为一个相当于RNC的节点,具有Iu-PS接口能够直接与PSCN(CoreNetwork,核心网)(如图1中的SGSN+和GGSN+)连接,Iu-PS用户面在SGSN终结,其中如果网络支持直通隧道功能,Iu-PS用户面也可以在GGSN(GatewayGPRSSupportNode,网关GPRS支持节点)终结。演进的HSPANodeB之间的通信通过Iur接口执行。NodeB+具有独立组网的能力,并支持完整的移动性功能,包括系统间和系统内切换。
由于扁平化后,用户面数据可以不经过RNC,直接到达GGSN,这意味着用户平面的加密和完整性保护功能必须前移至NodeB+。目前定义的一种HSPA+增强的安全密钥层次结构如图2所示。其中,K(Key,根密钥)、CK(CipheringKey,加密密钥)和IK(IntegrityKey,完整性密钥)的定义与传统的UMTS(UniversalMobileTelecommunicationsSystem,通用移动通信系统)中完全一致。即K是存储于AuC(AuthenticationCenter,鉴权中心)和USIM(UNIVERSALSUBSCRIBERIDENTITYMODULE,通用订阅者身份模块)中的根密钥,本发明中称CK和IK为传统密钥,传统密钥CK和IK是用户设备与HSS(HomeSubscriberServer,归属用户服务器)进行AKA(AuthenticationandKeyAgreement,认证和密钥协定)时由K计算出的加密密钥和完整性密钥。在UMTS中,RNC使用传统的空中接口密钥CK和IK对数据进行加密和完整性保护。由于HSPA+架构中,将RNC的功能全部下放到基站NodeB+,则加解密都需在NodeB+处进行,而NodeB+位于不安全的环境中,安全性不高。因此HSPA+引入了一个类似于E-UTRAN(EvolvedUniversalTerrestrialRadioAccessNetwork,演进的通用陆地无线接入网络)的密钥层次,即UTRAN密钥层次(UTRANKeyHierarchy)。在UTRAN密钥层次结构中,中间密钥KRNC(也被称为KASMEU)是HSPA+新引入的密钥,由CK和IK在ME+和核心网节点(SGSN+或MSC+)分别推导生成。进一步地,核心网节点将KRNC发送给RNC+。ME+和RNC+分别根据中间密钥KRNC生成空口密钥CKo和IKU,称为增强密钥。其中增强密钥CKU用于加密用户面数据和控制面信令,增强密钥IKU用于对控制面信令进行完整性保护。
目前还有另一种增强的安全密钥层次结构如图3所示。在该种密钥架构中,增强密钥CKU和IKU直接由传统密钥CK、IK在ME+和核心网节点(SGSN+或MSC+)中分别生成。核心网节点将增强密钥CKU和IKU下发给RNC+。
在UMTS系统中,由于Iur接口的引入而产生了SRNC(ServingRNC,服务RNC)/DRNC(DriftRNC,漂移RNC)的概念。SRNC和DRNC都是对于某一个具体的UE(UserEquipment,用户设备)的逻辑概念。简单的说,对于某一个UE,其直接与CN(CoreNetwork,核心网)相连,并对UE的所有资源进行控制的RNC叫该UE的SRNC;UE与CN没有连接,仅为UE提供资源的RNC叫该UE的DRNC。处于连接状态的UE必须而且只能有一个SRNC,可以有0个或者多个DRNC。
UMTS系统中,SRNC迁移(SRNCRelocation)指UE的SRNC从一个RNC变成另一个RNC的过程。根据发生迁移前后UE所处位置的不同,可以分为静态迁移和伴随迁移两种情况。
伴随迁移指UE从SRNC硬切换到目标RNC,同时Iu接口发生变化的过程,如图4所示。由于迁移过程需要UE的参与,所以也称之为UE涉及的(UEInvolved)迁移。
发生静态迁移的条件是UE从一个DRNC,而且只从一个DRNC中接入。由于迁移过程不需要UE的参与,所以也称之为UE不涉及的(UENotInvolved)迁移。发生迁移后,Iur接口的连接被释放,Iu接口发生迁移,原DRNC变成SRNC,如图5所示。静态迁移是软切换时引起的,因为Iur接口,所以迁移在所有的无线链路都链接到DRNC后才开始。
在SRNC迁移过程中,当源RNC决策触发SRNC迁移过程时,源RNC很有可能不能确定目标RNC是否具有增强的安全功能。通常,目标RNC在发送给UE的第一条下行链路消息(可能经由源RNC中转)中,告知UE自己的安全能力。UE在发送给目标RNC的第一条上行链路消息中,告知目标RNC自己的安全能力。若源RNC支持增强的安全,那么在SRNC迁移准备阶段,源RNC即可以将UE支持的增强的安全能力告知目标RNC。这样目标RNC就可以及早获知UE的安全能力,以有利于判断应该使用增强的安全机制还是传统的安全机制。
在伴随迁移过程中,由于UE会参与整个SRNC迁移过程,携带目标RNC安全能力的下行链路消息是通过源RNC中转发给UE的,因此这条消息是采用的源RNC和UE之间的加密密钥进行保护。UE收到该消息后,能够确定使用哪一个加密密钥进行解密。而在静态迁移过程中,由于携带目标RNC安全能力的下行链路消息是直接通过目标RNC发给UE的,因此这条消息应该采用目标RNC与UE之间的加密密钥进行保护。但是当UE收到该消息后,UE还不能获知目标RNC的安全能力,因此UE不能确定应该使用传统的加密密钥还是增强的加密密钥对该消息进行解密。
目前有方案提出,对于静态SRNC迁移,源RNC先进行一次RNC内部(Intra-RNC)的SRNC迁移,即此时目标RNC和源RNC是同一个SRNC。在这个过程中,SRNC进行了增强的密钥的更新。而因为目标RNC即是源RNC,而UE是知道源RNC的安全能力的,因此,UE在收到目标RNC(此处即是源RNC)发送的第一条下行链路消息后,能够明确使用传统的空口密钥还是增强的空口密钥对该消息进行解密。此后,再进行一次RNC之间(Inter-RNC)的迁移,在该迁移过程中,空口密钥按照UMTS的机制不进行更新,即源RNC直接将增强密钥IKU、CKU发送给目标RNC。这样,由于在RNC内部迁移过程中,IKU、CKU已经进行了更新,则达到了对静态SRNC迁移时的空口密钥进行更新的目的。
但是上述解决方案中,若该静态迁移是由小区更新或URA(UMTSRegistrationArea,UMTS注册区)更新过程触发的话,如果UE的移动速度过快,很有可能Intra-RNC迁移还未完成,UE与源RNC的连接已经断开,从而导致SRNC迁移时间的延长,增加了UE掉线的风险。
发明内容
本发明的主要目的在于提供一种空中接口密钥的更新、生成方法及无线接入系统,以解决上述静态迁移由小区更新或URA更新过程触发时,UE的移动速度过快导致的SRNC迁移时间的延长,增加UE掉线风险的问题。
根据本发明的一个方面,提供了一种空中接口密钥的更新方法,包括:源无线网络控制器RNC完成向目标RNC的静态迁移;目标RNC进行服务无线网络控制器SRNC内部迁移;在SRNC内部迁移过程中,目标RNC根据从源RNC处接收到的密钥更新自身的增强密钥。
根据本发明的另一方面,还提供了一种无线接入系统,包括:源RNC,用于向目标RNC进行静态迁移;目标RNC,用于在源RNC完成向目标RNC的静态迁移后,进行SRNC内部迁移,在内部迁移过程中,目标RNC根据从源RNC处接收到的密钥更新自身的增强密钥。
根据本发明的另一方面,还提供了一种空中接口密钥的生成方法,包括:源RNC和用户设备UE分别使用增强完整性密钥IKU和/或增强加密密钥CKU生成下一跳增强密钥IKU和/或CKU。
本发明通过采用先进行源RNC到目标RNC的迁移,再进行目标RNC内部迁移,在目标RNC内部迁移的过程中更新增强的空口密钥的方法,有效避免了因为UE移动过快,在由小区更新或URA更新过程触发的静态迁移时SRNC迁移时间长,UE掉线风险大的问题。该发明既能够对SRNC静态迁移时增强的空中接口密钥进行更新,又不增加SRNC迁移过程的时延,提高了系统安全性和效率。
同时,该发明广泛适用于各种SRNC静态迁移场景,不仅可以解决静态迁移由小区更新或URA更新过程触发时,UE的移动速度过快导致的SRNC迁移时间的延长,增加UE掉线风险的问题,也可以适用于其它任何SRNC静态迁移的场景,在对SRNC静态迁移时增强的空中接口密钥进行更新的同时,提高系统安全性和效率。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的一种采用HSPA+技术的无线接入网络的架构示意图;
图2是根据相关技术的一种HSPA+安全密钥层次结构示意图;
图3是根据相关技术的另一种HSPA+安全密钥层次结构示意图;
图4是根据相关技术的一种SRNC静态迁移示意图;
图5是根据相关技术的一种SRNC伴随迁移示意图;
图6是根据本发明实施例的一种空中接口密钥的更新方法的步骤流程图;
图7是根据本发明实施例的一种无线通信系统中空口密钥更新的流程图;
图8是根据本发明实施例的另一种无线通信系统中空口密钥更新的流程图;
图9是根据本发明实施例的再一种无线通信系统中空口密钥更新的流程图;
图10是根据本发明实施例的一种无线接入系统的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
参照图6,示出了根据本发明实施例的一种空中接口密钥的更新方法的步骤流程图,包括以下步骤:
步骤S602:源RNC完成向目标RNC的静态迁移;
本步骤中,源RNC向目标RNC的静态迁移遵循传统UMTS机制,因此源RNC执行与UMTS相同的SRNC迁移流程,即源RNC直接将增强的空口密钥发送给目标RNC。在此过程中,不进行增强密钥的更新。
步骤S604:目标RNC进行SRNC内部迁移;
在由源RNC迁移到目标RNC后,目标RNC进行内部迁移,即此时源RNC和目标RNC为同一个RNC。
步骤S606:在SRNC内部迁移过程中,目标RNC根据从源RNC处接收到的密钥更新自身的增强密钥。
本步骤中,若目标RNC支持增强的安全,则目标RNC将从源RNC处接收到的密钥作为增强密钥IKU和/或CKU;若目标RNC不支持增强的安全,则目标RNC将从源RNC处接收到的密钥作为传统密钥IK和/或CK。针对支持不同安全模式的目标RNC区分传统密钥和增强密钥,以适应不同的迁移需要。
目标RNC根据从源RNC处接收到的增强密钥更新自身的增强密钥。
相关技术中,在静态迁移是由小区更新或URA更新过程触发时,如果UE的移动速度过快,可能RNC内部迁移还未完成,UE与源RNC的连接已经断开,从而导致SRNC迁移时间过长而增加UE掉线风险。通过本实施例,先进行源RNC到目标RNC的迁移,再进行目标RNC内部迁移,在目标RNC内部迁移的过程中更新增强密钥的方法,从而避免了因为UE移动过快,在由小区更新或URA更新过程触发进行静态迁移时的SRNC迁移时间长,UE掉线风险大的问题,既对SRNC静态迁移时增强的空中接口密钥进行了更新,又不增加SRNC迁移过程的时延,提高了系统安全性和效率。
参照图7,示出了根据本发明实施例的一种无线通信系统中空口密钥更新的流程图。本实施例基于图2所示的增强的密钥架构,在每一次成功的SRNC迁移过程之后,核心网节点根据自己存储的传统密钥IK、CK和当前变形中间密钥KRNC*,推导下一跳的变形中间密钥KRNC*,并将下一跳变形中间密钥KRNC*发送给目标RNC保存,以备下一次SRNC迁移时使用。在下一次SRNC迁移时,源RNC(即上一次SRNC迁移过程中的目标RNC)将保存的变形中间密钥KRNC*发送给目标RNC,目标RNC基于接收到的变形中间密钥KRNC*,和/或其它参数(例如算法标识),推导更新的增强密钥IKU/CKU。
本实施例包括以下步骤:
步骤S702:用户设备UE向UTRAN发送URA更新消息,或小区更新消息,或测量报告消息。
步骤S704:目标RNC通过接收到该UE的URA更新消息,或小区更新消息,或测量报告消息,向该UE的源RNC发送上行信令传输指示消息。
步骤S706:源RNC决策发起SRNC迁移过程。
步骤S708:源RNC确定触发的是静态SRNC迁移,源RNC执行和传统UMTS相同的SRNC迁移流程。即源RNC向核心网节点(SGSN+或MSC+)发送迁移需要消息,上述迁移需要消息携带参数:增强密钥IKU和CKU。
步骤S710:核心网节点向目标RNC发送迁移请求消息,该迁移请求消息携带参数:增强密钥IKU和/或CKU。
在步骤S708-S710中,若源RNC不支持增强的安全,则源RNC发送给目标RNC的密钥为:传统的空口密钥IK和/或CK。
若源RNC支持增强的安全,则源RNC直接将增强的空口密钥IKU和/或CKU发送给目标RNC。可选地,源RNC将增强的空口密钥IKU和/或CKU放置于源到目标的透明容器中的IK和/或CK字段的位置发送。
优选地,上述迁移需要消息和迁移请求消息携带:源RNC指示目标RNC进行传统UMTS定义的安全操作的指示,以指示目标RNC不进行增强密钥的更新。例如,对应到该实施例,上述迁移需要消息和迁移请求消息中NCC字段可以置为空或某特殊值。
如果源RNC和目标RNC位于不同的核心网节点下,则上述迁移需要消息和迁移请求消息需要经过多个核心网节点的中转。
通过迁移需要消息和迁移请求消息,实现了迁移所需密钥及其它参数的有效传递。
步骤S712:目标RNC存储接收到源RNC发送的密钥。
若目标RNC接收到的密钥位于核心网节点发送的迁移请求消息的IK和/或CK字段中,则目标RNC可以将其视为增强密钥IKU和/或CKU(目标RNC支持增强的安全模式),或视为传统密钥IK和/或CK(目标RNC不支持增强的安全模式)。
步骤S714:目标RNC向核心网节点发送迁移请求确认消息。
如果源RNC和目标RNC位于不同的核心网节点下,则该消息需要经过多个核心网节点的中转。
步骤S716:核心网节点向源RNC发送迁移命令消息。
步骤S718:源RNC向目标RNC发送迁移提交消息。
步骤S720:目标RNC向核心网节点发送迁移检测消息。
步骤S722:目标RNC向UE发送小区更新确认消息,或URA更新确认消息,或RAN移动性信息消息。该消息携带目标RNC的安全能力的指示信息。
步骤S724:UE向目标RNC发送UTRAN移动性信息确认消息,或者RAN移动性信息确认消息。该消息携带UE安全能力的指示信息。
通过步骤S722-S724,目标RNC和UE分别获知对方的安全能力。
步骤S726:目标RNC向核心网接点发送迁移完成消息。
步骤S728:源RNC释放与核心网节点之间的Iur接口。
该步骤与步骤S730以不分时间先后顺序。
若目标RNC和/或UE不支持增强的安全,流程到此结束;若目标RNC和UE均支持增强的安全,但源RNC不支持增强的安全,则核心网节点决策发起AKA和安全模式建立过程,或仅安全模式建立过程,来创建增强的密钥;若目标RNC和UE均支持增强的安全,且源RNC也支持增强的安全,继续步骤S630。
步骤S730:核心网节点获知SRNC迁移成功完成后,基于存储的传统密钥IK、CK和当前变形中间密钥KRNC*计算下一跳变形中间密钥KRNC*。
作为优选方案,本实施例中核心网节点维护一个下一跳计数器网络NCC,用以对计算变形中间密钥KRNC*的次数计数。当核心网节点获知SRNC迁移成功完成后,递增网络NCC,并计算与递增后的网络NCC对应的下一跳变形中间密钥KRNC*;或者,核心网节点也可以先基于IK、CK和当前变形中间密钥KRNC*计算下一跳变形中间密钥KRNC*,再递增网络NCC。
步骤S732:核心网节点向目标RNC发送迁移完成响应消息,该消息中携带有以下参数:网络NCC、以及该网络NCC对应的下一跳变形中间密钥KRNC*。
步骤S734:目标RNC存储接收到的网络NCC和下一跳变形中间密钥KRNC*。
步骤S736:目标RNC决策发起RNC内部迁移。
步骤S738:目标RNC向核心网节点发送迁移需要消息,该消息中携带参数:变形中间密钥KRNC*,网络NCC。
步骤S740:核心网节点向目标RNC发送迁移请求消息,该消息中携带参数:变形中间密钥KRNC*,网络NCC。
步骤S742:目标RNC根据变形中间密钥KRNC*推导计算增强的完整性密钥IKU和/或增强的加密密钥CKU。
可选的,目标RNC令中间密钥KRNC等于变形中间密钥KRNC*,基于中间密钥KRNC计算更新的IKU和/或CKU。
步骤S744:目标RNC向核心网节点发送迁移请求确认消息。
步骤S746:核心网节点向目标RNC发送迁移命令消息。
步骤S748:目标RNC向核心网接点发送迁移检测消息。
本实施例中,步骤S738-S748为可选步骤。
步骤S750:目标RNC向UE发送小区更新确认消息,或者URA更新确认消息,或者RAN移动性信息消息,消息中携带参数:网络NCC。
步骤S752:UE基于变形中间密钥KRNC*更新完整性密钥IKU和/或加密密钥CKU。
可选的,UE令中间密钥KRNC等于变形中间密钥KRNC*,基于中间密钥KRNC计算更新的IKU和/或CKU。
本步骤中,UE维护一个下一跳计数器终端NCC,在接收到网络NCC时,UE判断终端NCC是否等于网络NCC,若终端NCC等于网络NCC,则UE根据终端NCC对应的自身存储的变形中间密钥KRNC*更新增强的完整性密钥IKU和/或增强的加密密钥CKU;若终端NCC不等于网络NCC,则UE计算变形中间密钥KRNC*并递增相对应的终端NCC,直到终端NCC等于网络NCC,根据变形中间密钥KRNC*更新增强的完整性密钥IKU和/或加密密钥CKU。UE通过网络NCC和终端NCC,与目标RNC保持密钥一致。
步骤S754:UE向目标RNC发送UTRAN移动性信息确认消息,或者RAN移动性信息确认消息。
步骤S756:目标RNC向核心网接点发送迁移完成消息。
步骤S758:核心网节点获知SRNC迁移成功完成后,递增网络NCC;核心网节点基于IK、CK和当前变形中间密钥KRNC*计算与递增后的网络NCC对应的下一跳变形中间密钥KRNC*。
步骤S760:核心网节点向目标RNC发送迁移完成响应消息,该消息中携带有以下参数:网络NCC、以及该网络NCC对应的下一跳变形中间密钥KRNC*。
步骤S762:目标RNC存储接收到的NCC和下一跳变形中间密钥KRNC*。
参照图8,示出了根据本发明实施例的另一种无线通信系统中空口密钥更新的流程图。本实施例与图7所示实施例的区别在于,本实施例基于图3所示的增强密钥架构,并且密钥更新的方法不同。在本实施例中,源RNC将空口密钥IKU和/或CKU进行更新后,发送给目标RNC,目标RNC收到后直接使用该更新的密钥。
本实施例包括以下步骤:
步骤S802-步骤S828:对应于图7所示实施例中的步骤S702-步骤S728。
若目标RNC和/或UE不支持增强的安全,流程到此结束;若目标RNC和UE均支持增强的安全,但源RNC不支持增强的安全,则核心网节点决策发起AKA和安全模式建立过程,或仅安全模式建立过程,来创建增强的密钥;若目标RNC和UE均支持增强的安全,且源RNC也支持增强的安全,继续步骤S730。
步骤S830:若UE和目标RNC都支持增强的安全,则目标RNC决策发起RNC内部迁移。
步骤S832:目标RNC更新增强的空口密钥IKU/CKU。
目标RNC根据自己保存的IKU/CKU,和/或其它参数,更新IKU/CKU。
其中,IKU/CKU的推导式示例如下:
IKU=F(IKU_old,Parameter),CKU=F(CKU_old,Parameter);
或(IKU,CKU)=F(IKU||CKU,Parameter)。
其中,F是任意的密钥生成函数,例如,可以为3GPP中定义的KDF函数。Parameter是一个或多个参数,例如,可以为SRNC生成的FRESH参数,和/或目标RNC标识。IKU_old和CKU_old是SRNC处当前的增强密钥。SRNC根据IKU_old和CKU_old,计算目标RNC使用的更新的IKU和CKU。符号“||”表示级联。
其中,所述的随机数FRESH是UMTS中已经定义的一个参数。该随机数长度为32位。在连接建立时,由RNC为每一个用户生成一个随机数FRESH,并通过安全模式命令消息下发给用户。在整个连接的持续时间,网络和用户使用该随机数计算消息验证码(MAC-I),用于保护网络免受用户信令消息的重放攻击。
可选地,目标RNC将在上一次SRNC迁移过程中接收到的IK作为IKU_old,接收到的CK作为CKU_old。
步骤S834:目标RNC向核心网节点发送迁移需要消息,该消息携带更新后的增强的空口密钥IKU、CKU。
步骤S836:核心网节点向目标RNC发送迁移请求消息,该消息携带更新后增强的空口密钥IKU、CKU。
可选地,目标RNC将更新后的增强的空口密钥IKU/CKU放置于源到目标的透明容器中的IK/CK字段。
步骤S838:目标RNC向核心网节点发送迁移请求确认消息。
步骤S840:核心网节点向目标RNC发送迁移命令消息。
步骤S842:目标RNC向核心网接点发送迁移检测消息。
其中,步骤S834-S842为可选步骤。
步骤S844:目标RNC向UE发送小区更新确认消息,或者URA更新确认消息,或者RAN移动性信息消息。
步骤S846:UE按照和SRNC同样的算法,更新完整性密钥IKU和/或加密密钥CKU。
可选地,UE将在上一次SRNC迁移过程中使用的IK作为IKU_old,接收到的CK作为CKU_old。
步骤S848:UE向目标RNC发送UTRAN移动性信息确认消息,或者RAN移动性信息确认消息。
步骤S850:目标RNC向核心网接点发送迁移完成消息。
参照图9,示出了根据本发明实施例的再一种无线通信系统中空口密钥更新的流程图。本实施例与图8所示实施例相同的是都采用基于图3所示的增强的密钥架构,区别在于密钥更新的方法不同。在本实施例中,在每一次成功的SRNC迁移过程之后,核心网节点根据自己存储的传统密钥IK、CK和增强密钥IKU、CKU,推导下一跳的增强密钥IKU’、CKU’,并将下一跳增强密钥IKU’、CKU’发送给目标RNC保存,以备下一次SRNC迁移时使用。在下一次SRNC迁移时,源RNC(即上一次SRNC迁移过程中的目标RNC)将保存的增强密钥IKU’、CKU’发送给目标RNC,目标RNC直接使用接收到的密钥。
本实施例包括以下步骤:
步骤S902-步骤S928:对应于图7所示实施例中的步骤S702-步骤S728。
若目标RNC和/或UE不支持增强的安全,流程到此结束;若目标RNC和UE均支持增强的安全,但源RNC不支持增强的安全,则核心网节点决策发起AKA和安全模式建立过程,或仅安全模式建立过程,来创建增强的密钥;若目标RNC和UE均支持增强的安全,且源RNC也支持增强的安全,继续步骤S830。
步骤S930:核心网节点获知SRNC迁移成功完成后,基于自己保存的IK、CK和当前增强密钥IKU、CKU计算下一跳增强密钥IKU’、CKU’。
优选地,核心网节点维护一个下一跳计数器网络NCC,用以对计算下一跳增强密钥IKU’、CKU’的次数计数。当核心网节点获知SRNC迁移成功完成后,递增网络NCC,并计算与递增后的网络NCC对应的下一跳增强密钥IKU’、CKU’。
或者,核心网节点也可以先基于IK、CK和当前增强密钥IKU、CKU计算下一跳增强密钥IKU’、CKU’,再递增网络NCC。
步骤S932:核心网节点向目标RNC发送迁移完成响应消息,该消息中携带有以下参数:下一跳增强密钥IKU’、CKU’,和/或对应的网络NCC。
步骤S934:目标RNC存储接收到的下一跳增强密钥IKU’、CKU’,和/或对应的网络NCC,以备下一次SRNC迁移时使用。
步骤S936:目标RNC决策发起RNC内部迁移。
步骤S938:目标RNC向核心网节点发送迁移需要消息,该消息携带参数:下一跳增强密钥IKU’、CKU’,和/或对应的网络NCC。
可选地,目标RNC将增强的空口密钥IKU/CKU放置于源到目标的透明容器中的IK/CK字段发送。
步骤S940:核心网节点向目标RNC发送迁移请求消息,该消息携带参数:下一跳增强密钥IKU’、CKU’,和/或对应的网络NCC。
步骤S942:目标RNC存储接收到的增强的完整性密钥IKU和/或增强的加密密钥CKU。
步骤S944:目标RNC向核心网节点发送迁移请求确认消息。
步骤S946:核心网节点向目标RNC发送迁移命令消息。
步骤S948:目标RNC向核心网接点发送迁移检测消息。
其中,步骤S938-S948为可选步骤。
步骤S950:目标RNC向UE发送小区更新确认消息,或者URA更新确认消息,或者RAN移动性信息消息。该消息可选携带参数:网络NCC。
步骤S952:UE按照和网络侧同样的算法更新完整性密钥IKU和/或加密密钥CKU。
本实施例中,UE维护一个下一跳计数器终端NCC,在接收到网络NCC时,判断终端NCC是否等于网络NCC,若终端NCC等于网络NCC,则UE直接使用自己保存的增强的完整性密钥IKU和/或增强的加密密钥CKU;若终端NCC不等于网络NCC,则UE计算增强密钥IKU/CKU并递增相对应的终端NCC,直到终端NCC等于网络NCC。UE通过网络NCC和终端NCC,与目标RNC保持密钥一致。
步骤S954:UE向目标RNC发送UTRAN移动性信息确认消息,或者RAN移动性信息确认消息。
步骤S956:目标RNC向核心网接点发送迁移完成消息。
步骤S958:核心网节点获知SRNC迁移成功完成后,基于自己保存的IK、CK和当前增强密钥IKU、CKU计算下一跳增强密钥IKU’、CKU’。
优选地,核心网节点维护一个下一跳计数器网络NCC,用以对计算下一跳增强密钥IKU’、CKU’的次数计数。当核心网节点获知SRNC迁移成功完成后,递增网络NCC,并计算与递增后的网络NCC对应的下一跳增强密钥IKU’、CKU’。
或者,核心网节点也可以先基于IK、CK和当前增强密钥IKU、CKU计算下一跳增强密钥IKU’、CKU’,再递增网络NCC。
步骤S960:核心网节点向目标RNC发送迁移完成响应消息,该消息中携带有以下参数:下一跳增强密钥IKU’、CKU’,和/或对应的网络NCC。
步骤S962:目标RNC存储接收到的下一跳增强密钥IKU’、CKU’,和/或对应的网络NCC,以备下一次SRNC迁移时使用。
在图7至图9所示实施例的SRNC迁移过程中,目标RNC和源RNC之间的消息交互也可以不通过核心网节点(SGSN+或MSC+)的中转,即采用增强的SRNC迁移流程来进行。此时,称源RNC向目标RNC发送的迁移请求消息为增强的迁移请求消息。图7至图9中的迁移需要消息和迁移请求消息替换为源RNC向目标RNC发送的增强的迁移请求消息,迁移请求确认消息和迁移命令消息替换为目标RNC向源RNC发送的增强的迁移响应消息;图7至图9中的迁移完成和迁移完成确认消息分别替换为目标RNC和核心网节点之间的增强的迁移完成请求消息和增强的迁移完成响应消息。
其中,增强的迁移请求消息中携带有下一跳增强的空口完整性密钥IK’U,和/或下一跳增强的空口加密密钥CK’U,源RNC可以将下一跳增强密钥IK’U和CK’U分别放置于迁移需要消息的IK和CK字段发送给目标RNC。除此之外,其它步骤的操作都完全相同。由于密钥更新原理和上述实施例相同,此处不再赘述。
参照图10,示出了根据本发明实施例的一种无线接入系统的结构框图,包括:源RNC1002和目标RNC1004。
其中,源RNC1002,用于向目标RNC进行静态迁移。
其中,目标RNC1004,用于在源RNC1002完成向目标RNC1004的静态迁移后,进行SRNC内部迁移,在SRNC内部迁移过程中,目标RNC1004根据源RNC1002发送的密钥更新自身的增强密钥。
其中,若源RNC1002支持增强的安全,则源RNC1002发送的密钥是增强密钥;但是目标RNC1004即可以将其视为增强密钥,也可以视为是传统密钥。当源RNC1002不支持增强的安全模式时,源RNC1002的密钥只能为传统密钥。
优选的,本实施例的无线接入系统还可以包括:核心网节点1006。该核心网节点1006,用于使用存储的传统密钥和当前变形中间密钥生成下一跳变形中间密钥,并发送给目标RNC1002;或者,用于使用存储的传统密钥和当前增强密钥生成下一跳增强密钥,并发送给目标RNC1002。
优选的,核心网节点1006包括下一跳计数器网络NCC,用于对生成下一跳变形中间密钥或下一跳增强密钥的步骤次数进行计数。
优选的,本实施例的无线接入系统还可以包括:用户设备UE1008,UE1008中设置有下一跳计数器终端NCC。该UE1008包括:接收模块,用于接收目标RNC1004发送的迁移确认消息,所述迁移确认消息包括核心网节点1006的下一跳计数器网络NCC;判断模块,用于判断终端NCC是否等于网络NCC;确定模块,用于若判断模块的判断结果为是,则根据终端NCC对应的预先存储的变形中间密钥更新自身的增强密钥;或者,使用终端NCC对应的预先存储的增强密钥;以及,否定模块,用于若判断模块的判断结果为否,则计算变形中间密钥,并递增相对应的终端NCC,直到终端NCC等于网络NCC,并根据变形中间密钥计算更新自身的增强密钥;或者,计算增强密钥,并递增相对应的终端NCC,直到所述终端NCC等于所述网络NCC。
需要说明的是,本发明所提供的方案并不限于UMTS系统,本领域技术人员可以参照本发明实施例将其用于其它无线通信系统中,本发明对此不作限制。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (28)
1.一种空中接口密钥的更新方法,其特征在于,包括:
源无线网络控制器RNC完成向目标RNC的静态迁移;
所述目标RNC进行服务无线网络控制器SRNC内部迁移;
在所述SRNC内部迁移过程中,所述目标RNC根据从所述源RNC处接收到的密钥更新自身的增强密钥。
2.根据权利要求1所述的方法,其特征在于,在所述源RNC完成向目标RNC的静态迁移步骤之前,还包括:
所述源RNC向所述目标RNC进行静态迁移;
在所述静态迁移过程中,所述源RNC直接将其使用的当前密钥发送给所述目标RNC,所述目标RNC使用所述当前密钥与用户设备UE进行通讯。
3.根据权利要求1所述的方法,其特征在于,所述目标RNC进行SRNC内部迁移的步骤包括:
所述目标RNC向第二目标RNC进行SRNC迁移,其中,所述目标RNC和第二目标RNC为同一个RNC。
4.根据权利要求2或3所述的方法,其特征在于,所述目标RNC根据从所述源RNC处接收到的密钥更新自身的增强密钥的步骤包括:
所述目标RNC使用所述源RNC发送的变形中间密钥推导更新自身的增强密钥,所述变形中间密钥由上一次SRNC迁移成功完成后,核心网节点使用存储的传统密钥和当前变形中间密钥生成并发送给所述源RNC。
5.根据权利要求4所述的方法,其特征在于,在所述源RNC完成向目标RNC的静态迁移步骤之前,还包括:
所述源RNC向所述核心网节点发送迁移需要消息,所述迁移需要消息包括所述源RNC的当前增强密钥;
所述核心网节点向所述目标RNC发送迁移请求消息,所述迁移请求消息包括所述源RNC的当前增强密钥。
6.根据权利要求5所述的方法,其特征在于,所述源RNC向所述核心网节点发送迁移需要消息的步骤包括:
所述源RNC将当前增强完整性密钥IKU置于所述迁移需要消息的IK字段,和/或将当前增强加密密钥CKU置于所述迁移需要消息的CK字段,向所述核心网节点发送;
所述核心网节点向所述目标RNC发送迁移请求消息的步骤包括:
所述核心网节点将所述源RNC发送的所述当前增强完整性密钥IKU置于所述迁移请求消息的IK字段,和/或将所述当前增强加密密钥CKU置于所述迁移请求消息的CK字段,向所述目标RNC发送。
7.根据权利要求6所述的方法,其特征在于,在所述核心网节点向所述目标RNC发送迁移请求消息的步骤之后,还包括:
若所述目标RNC不支持增强的安全模式,则将所述迁移请求消息的IK字段的内容作为传统完整性密钥IK,CK字段的内容作为传统加密密钥CK使用;
若所述目标RNC支持增强的安全模式,则将所述迁移请求消息的IK字段的内容作为IKU,CK字段的内容作为CKU使用。
8.根据权利要求4所述的方法,其特征在于,在所述源RNC完成向目标RNC的静态迁移步骤之前,还包括:
所述源RNC向所述目标RNC发送增强的迁移请求消息,所述增强的迁移请求消息包括所述源RNC的当前增强密钥。
9.根据权利要求8所述的方法,其特征在于,所述源RNC向所述目标RNC发送增强的迁移请求消息的步骤包括:
所述源RNC将当前增强完整性密钥IKU置于所述增强的迁移请求消息的IK字段,和/或将当前增强加密密钥CKU置于所述增强的迁移请求消息的CK字段,向所述目标RNC发送。
10.根据权利要求9所述的方法,其特征在于,在所述源RNC向所述目标RNC发送增强的迁移请求消息的步骤之后,还包括:
若所述目标RNC不支持增强的安全模式,则将所述增强的迁移请求消息的IK字段的内容作为传统完整性密钥IK,CK字段的内容作为传统加密密钥CK使用;
若所述目标RNC支持增强的安全模式,则将所述增强的迁移请求消息的IK字段的内容作为IKU,CK字段的内容作为CKU使用。
11.根据权利要求5所述的方法,其特征在于,在所述核心网节点向所述目标RNC发送迁移请求消息步骤之后,还包括:
所述目标RNC向用户设备UE发送迁移确认消息,所述迁移确认消息包括所述目标RNC的安全能力指示信息;
所述UE向所述目标RNC发送确认响应消息,所述确认响应消息包括所述UE的安全能力指示信息。
12.根据权利要求11所述的方法,其特征在于,还包括:
所述目标RNC向所述UE发送迁移确认消息,所述迁移确认消息包括所述核心网节点的下一跳计数器网络NCC;
所述UE判断下一跳计数器终端NCC是否等于所述网络NCC;
若是,则所述UE根据所述终端NCC对应的预先存储的变形中间密钥更新自身的增强密钥;以及
若否,则所述UE计算变形中间密钥,并递增相对应的所述终端NCC,直到所述终端NCC等于所述网络NCC,并根据所述变形中间密钥计算更新自身的增强密钥。
13.根据权利要求12所述的方法,其特征在于,还包括:
所述目标RNC完成所述SRNC内部迁移;
所述核心网节点根据存储的传统密钥和当前变形中间密钥,计算下一跳变形中间密钥,并向所述目标RNC发送所述下一跳变形中间密钥。
14.根据权利要求13所述的方法,其特征在于,在所述核心网节点根据存储的传统密钥和当前变形中间密钥,计算下一跳变形中间密钥步骤之前或之后,还包括:
所述核心网节点递增所述网络NCC。
15.根据权利要求1所述的方法,其特征在于,所述目标RNC根据从所述源RNC处接收到的密钥更新自身的增强密钥的步骤包括:
所述目标RNC使用存储的当前增强密钥更新自身的增强密钥,所述当前增强密钥为所述源RNC的当前增强密钥。
16.根据权利要求15所述的方法,其特征在于,所述目标RNC使用存储的当前增强密钥更新自身的增强密钥的步骤包括:
所述目标RNC根据以下公式使用存储的从所述源RNC处接收到的增强密钥更新自身的增强密钥:
IKU=F(IKU_old,Parameter);
CKU=F(CKU_old,Parameter);
或者,
(IKU,CKU)=F(IKU_old||CKU_old,Parameter);
其中,F表示任意的密钥生成函数,Parameter表示参数,IKU_old和CKU_old表示所述目标RNC当前的增强密钥,IKU和CKU表示所述目标RNC更新后的增强密钥,“||”表示级联。
17.根据权利要求16所述的方法,其特征在于,还包括:
所述目标RNC向UE发送迁移确认消息;
所述UE接收所述迁移确认消息,根据以下公式使用存储的当前增强密钥更新自身的增强密钥:
IKU=F(IKU_old,Parameter);
CKU=F(CKU_old,Parameter);
或者,
(IKU,CKU)=F(IKU_old||CKU_old,Parameter);
其中,F表示任意的密钥生成函数,Parameter表示参数,IKU_old和CKU_old表示所述UE当前的增强密钥,IKU和CKU表示所述UE更新后的增强密钥,“||”表示级联;
所述UE向所述目标RNC发送确认响应消息。
18.根据权利要求1所述的方法,其特征在于,所述目标RNC根据从所述源RNC处接收到的密钥更新自身的增强密钥的步骤包括:
所述目标RNC使用所述源RNC发送的增强密钥更新自身的增强密钥,所述源RNC的增强密钥由上一次SRNC迁移成功完成后,核心网节点使用存储的传统密钥和当前增强密钥生成并发送给所述源RNC。
19.根据权利要求18所述的方法,其特征在于,还包括:
所述目标RNC向UE发送迁移确认消息,所述迁移确认消息包括所述核心网节点的下一跳计数器网络NCC;
所述UE判断下一跳计数器终端NCC是否等于所述网络NCC;
若是,则所述UE使用所述终端NCC对应的预先存储的增强密钥;以及
若否,则所述UE计算增强密钥,并递增相对应的所述终端NCC,直到所述终端NCC等于所述网络NCC。
20.根据权利要求19所述的方法,其特征在于,还包括:
所述目标RNC完成所述SRNC内部迁移;
所述核心网节点根据存储的传统密钥和当前增强密钥,计算下一跳增强密钥,并向所述目标RNC发送所述下一跳增强密钥。
21.根据权利要求20所述的方法,其特征在于,在所述核心网节点根据存储的传统密钥和当前增强密钥,计算下一跳增强密钥步骤之前或之后,还包括:
所述核心网节点递增所述网络NCC。
22.一种无线接入系统,其特征在于,包括:
源无线网络控制器RNC,用于向目标RNC进行静态迁移;
所述目标RNC,用于在所述源RNC完成向所述目标RNC的静态迁移后,进行SRNC内部迁移,在所述内部迁移过程中,所述目标RNC根据从所述源RNC处接收到的密钥更新自身的增强密钥。
23.根据权利要求22所述的无线接入系统,其特征在于,还包括:
核心网节点,用于使用存储的传统密钥和当前变形中间密钥生成下一跳变形中间密钥,并发送给所述目标RNC;
或者,
所述核心网节点,用于使用存储的传统密钥和当前增强密钥生成下一跳增强密钥,并发送给所述目标RNC。
24.根据权利要求23所述的无线接入系统,其特征在于,所述核心网节点还包括下一跳计数器网络NCC,用于对生成下一跳变形中间密钥或下一跳增强密钥的步骤次数进行计数。
25.根据权利要求22所述的无线接入系统,其特征在于,还包括:
用户设备UE,设置有下一跳计数器终端NCC,所述UE包括:
接收模块,用于接收所述目标RNC发送的迁移确认消息,所述迁移确认消息包括核心网节点的下一跳计数器网络NCC;
判断模块,用于判断所述终端NCC是否等于所述网络NCC;
确定模块,用于若所述判断模块的判断结果为是,则根据所述终端NCC对应的预先存储的变形中间密钥更新自身的增强密钥;或者,使用所述终端NCC对应的预先存储的增强密钥;
以及,
否定模块,用于若所述判断模块的判断结果为否,则计算变形中间密钥,并递增相对应的所述终端NCC,直到所述终端NCC等于所述网络NCC,并根据所述变形中间密钥计算更新自身的增强密钥;或者,计算增强密钥,并递增相对应的所述终端NCC,直到所述终端NCC等于所述网络NCC。
26.一种空中接口密钥的生成方法,其特征在于,包括:
源无线网络控制器RNC和用户设备UE分别使用增强完整性密钥IKU和/或增强加密密钥CKU生成下一跳增强密钥IKU和/或CKU。
27.根据权利要求26所述的方法,其特征在于,所述源RNC和UE分别使用增强完整性密钥IKU和/或增强加密密钥CKU生成下一跳增强密钥IKU和/或CKU的步骤包括:
所述源RNC和UE分别使用增强加密密钥CKU和/或增强完整性密钥IKU,按照以下公式生成下一跳增强密钥CKU和/或IKU:IKU=F(IKU_old,Parameter);
CKU=F(CKU_old,Parameter);
或者,
(IKU,CKU)=F(IKU||CKU,Parameter);
其中,F表示任意的密钥生成函数,Parameter表示参数,IKU_old和CKU_old表示所述源RNC和UE的当前增强密钥,IKU和CKU表示所述源RNC和UE的下一跳增强密钥,“||”表示级联。
28.根据权利要求27所述的方法,其特征在于,所述Parameter参数为源RNC生成的刷新随机数FRESH参数,和/或目标RNC标识。
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010202417.8A CN101867924B (zh) | 2010-06-07 | 2010-06-07 | 空中接口密钥的更新、生成方法及无线接入系统 |
JP2013513529A JP5828892B2 (ja) | 2010-06-07 | 2011-03-11 | エアインターフェースキーの更新、生成方法及び無線アクセスシステム |
EP11791847.4A EP2579633B1 (en) | 2010-06-07 | 2011-03-11 | Method for updating and generating air interface key, and wireless access system |
PCT/CN2011/071719 WO2011153855A1 (zh) | 2010-06-07 | 2011-03-11 | 空中接口密钥的更新、生成方法及无线接入系统 |
CA2849638A CA2849638C (en) | 2010-06-07 | 2011-03-11 | Method for updating and generating air interface key and radio access system |
CA2803653A CA2803653A1 (en) | 2010-06-07 | 2011-03-11 | Method for updating and generating air interface key and radio access system |
US13/702,190 US8934868B2 (en) | 2010-06-07 | 2011-03-11 | Method for updating and generating air interface key and radio access system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010202417.8A CN101867924B (zh) | 2010-06-07 | 2010-06-07 | 空中接口密钥的更新、生成方法及无线接入系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101867924A CN101867924A (zh) | 2010-10-20 |
CN101867924B true CN101867924B (zh) | 2016-07-06 |
Family
ID=42959432
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010202417.8A Active CN101867924B (zh) | 2010-06-07 | 2010-06-07 | 空中接口密钥的更新、生成方法及无线接入系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8934868B2 (zh) |
EP (1) | EP2579633B1 (zh) |
JP (1) | JP5828892B2 (zh) |
CN (1) | CN101867924B (zh) |
CA (2) | CA2803653A1 (zh) |
WO (1) | WO2011153855A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101867924B (zh) * | 2010-06-07 | 2016-07-06 | 中兴通讯股份有限公司 | 空中接口密钥的更新、生成方法及无线接入系统 |
CN101841810B (zh) | 2010-06-07 | 2016-01-20 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
WO2014161151A1 (en) * | 2013-04-02 | 2014-10-09 | Qualcomm Incorporated | Method and apparatus for avoiding call drops during serving radio network subsystem (srns) relocation procedure |
EP2922326B1 (en) | 2014-03-21 | 2018-12-19 | Sun Patent Trust | Security key derivation in dual connectivity |
WO2015171040A1 (en) * | 2014-05-09 | 2015-11-12 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handover procedures in a communication network |
MX2019009648A (es) * | 2017-02-14 | 2019-09-27 | Ericsson Telefon Ab L M | Metodos y nodos de red para administrar la recopilacion de mediciones de qoe durante la reubicacion o transferencia. |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001339386A (ja) * | 2000-05-25 | 2001-12-07 | Nec Corp | 無線通信システム、無線ネットワーク制御装置、ユーザ端末装置 |
CN101094439A (zh) * | 2006-06-23 | 2007-12-26 | 华为技术有限公司 | 无线通信系统中为广播业务动态分配资源的方法及装置 |
CN101232731A (zh) * | 2008-02-04 | 2008-07-30 | 中兴通讯股份有限公司 | 用于ue从utran切换到eutran的密钥生成方法和系统 |
CN101715188A (zh) * | 2010-01-14 | 2010-05-26 | 中兴通讯股份有限公司 | 一种空口密钥的更新方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020018571A1 (en) * | 1999-08-31 | 2002-02-14 | Anderson Walter F. | Key management methods and communication protocol for secure communication systems |
GB0020443D0 (en) * | 2000-08-18 | 2000-10-04 | Nokia Networks Oy | Controlling communication between stations |
DK2223493T3 (da) * | 2007-12-19 | 2018-01-29 | Nokia Technologies Oy | Fremgangsmåder, apparater, system og relaterede computerprogramprodukter til sikkerhed af overlevering |
US8929543B2 (en) * | 2010-03-17 | 2015-01-06 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced key management for SRNS relocation |
CN101867924B (zh) | 2010-06-07 | 2016-07-06 | 中兴通讯股份有限公司 | 空中接口密钥的更新、生成方法及无线接入系统 |
-
2010
- 2010-06-07 CN CN201010202417.8A patent/CN101867924B/zh active Active
-
2011
- 2011-03-11 EP EP11791847.4A patent/EP2579633B1/en active Active
- 2011-03-11 JP JP2013513529A patent/JP5828892B2/ja active Active
- 2011-03-11 CA CA2803653A patent/CA2803653A1/en active Pending
- 2011-03-11 WO PCT/CN2011/071719 patent/WO2011153855A1/zh active Application Filing
- 2011-03-11 CA CA2849638A patent/CA2849638C/en active Active
- 2011-03-11 US US13/702,190 patent/US8934868B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001339386A (ja) * | 2000-05-25 | 2001-12-07 | Nec Corp | 無線通信システム、無線ネットワーク制御装置、ユーザ端末装置 |
CN101094439A (zh) * | 2006-06-23 | 2007-12-26 | 华为技术有限公司 | 无线通信系统中为广播业务动态分配资源的方法及装置 |
CN101232731A (zh) * | 2008-02-04 | 2008-07-30 | 中兴通讯股份有限公司 | 用于ue从utran切换到eutran的密钥生成方法和系统 |
CN101715188A (zh) * | 2010-01-14 | 2010-05-26 | 中兴通讯股份有限公司 | 一种空口密钥的更新方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CA2849638A1 (en) | 2011-12-15 |
WO2011153855A1 (zh) | 2011-12-15 |
CA2849638C (en) | 2017-10-24 |
EP2579633A4 (en) | 2014-01-15 |
CN101867924A (zh) | 2010-10-20 |
JP2013529447A (ja) | 2013-07-18 |
US8934868B2 (en) | 2015-01-13 |
EP2579633A1 (en) | 2013-04-10 |
JP5828892B2 (ja) | 2015-12-09 |
US20130078956A1 (en) | 2013-03-28 |
EP2579633B1 (en) | 2017-04-19 |
CA2803653A1 (en) | 2011-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101715188B (zh) | 一种空口密钥的更新方法及系统 | |
CN101841810B (zh) | 空中接口密钥的更新方法、核心网节点及无线接入系统 | |
EP2569894B1 (en) | Method and system for positioning mobile station in handover procedure | |
US10320754B2 (en) | Data transmission method and apparatus | |
US9848323B2 (en) | Method for resolving security issues using NH and NCC pairs in mobile communication system | |
CN101867924B (zh) | 空中接口密钥的更新、生成方法及无线接入系统 | |
CN101909292B (zh) | 空中接口密钥的更新方法、核心网节点及用户设备 | |
CN104519486A (zh) | 用于异构网中无线侧密钥更新的方法和系统 | |
CA3060420A1 (en) | Radio link recovery for user equipment | |
CN104684031A (zh) | 一种协调基站和终端序列号的方法和装置 | |
JP5458456B2 (ja) | 強化型無線インタフェース・キーの確立方法及び強化型無線インタフェース・キーの確立システム | |
CN101820622B (zh) | 无线通信系统中管理空口映射密钥的方法和系统 | |
CN101902738B (zh) | 空中接口密钥的更新方法、装置及无线接入系统 | |
CN101835151B (zh) | 空中接口密钥的更新方法及无线接入系统 | |
CN101902736B (zh) | 空中接口密钥的更新方法、核心网节点及无线接入系统 | |
CN116686335A (zh) | 集成的接入和回传的通信方法以及装置 | |
CN101938744B (zh) | 一种保证srnc和核心网节点密钥一致性的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |