CN101902736A - 空中接口密钥的更新方法、核心网节点及无线接入系统 - Google Patents
空中接口密钥的更新方法、核心网节点及无线接入系统 Download PDFInfo
- Publication number
- CN101902736A CN101902736A CN2010102386412A CN201010238641A CN101902736A CN 101902736 A CN101902736 A CN 101902736A CN 2010102386412 A CN2010102386412 A CN 2010102386412A CN 201010238641 A CN201010238641 A CN 201010238641A CN 101902736 A CN101902736 A CN 101902736A
- Authority
- CN
- China
- Prior art keywords
- key
- core net
- net node
- migration
- enhancing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000013508 migration Methods 0.000 claims abstract description 138
- 230000005012 migration Effects 0.000 claims abstract description 138
- 230000002708 enhancing effect Effects 0.000 claims description 139
- 239000004576 sand Substances 0.000 claims description 44
- 230000009191 jumping Effects 0.000 claims description 43
- 238000004364 calculation method Methods 0.000 claims description 27
- 238000010295 mobile communication Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 abstract description 22
- 238000004891 communication Methods 0.000 abstract description 14
- 238000005728 strengthening Methods 0.000 abstract description 8
- 238000004422 calculation algorithm Methods 0.000 description 15
- 241000209094 Oryza Species 0.000 description 9
- 235000007164 Oryza sativa Nutrition 0.000 description 9
- 235000021186 dishes Nutrition 0.000 description 9
- 235000009566 rice Nutrition 0.000 description 9
- 238000012546 transfer Methods 0.000 description 7
- 230000003068 static effect Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012559 user support system Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种空中接口密钥的更新方法、核心网节点及无线接入系统,其中,所述方法包括:核心网节点接收到目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;使用密钥参数计算下一跳增强密钥,所述密钥参数包括中间密钥和当前增强密钥;将所述下一跳增强密钥发送给所述目标RNC。通过本发明,保障了通信中用户的前向安全,整体提高了无线接入系统的通信安全性。
Description
技术领域
本发明涉及无线通信领域,具体而言,涉及一种无线通信系统的SRNC(Serving Radio Network Controller,服务无线网络控制器)迁移时的空中接口密钥的更新方法、核心网节点及无线接入系统。
背景技术
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)在Release7中采用了正交频分复用(Orthogonal Frequency Division Multiplexing,简称“OFDM”)和多输入多输出(Multiple-Input Multiple-Output,简称“MIMO”)技术完成HSDPA(High Speed Downlink Packet Access,高速下行链路分组接入)和HSUPA(High Speed Uplink Packet Access,高速上行链路分组接入)的未来演进道路HSPA+。HSPA+是3GPP HSPA(包括HSDPA和HSUPA)的增强技术,为HSPA运营商提供低复杂度、低成本的从HSPA向LTE(Long Term Evolution,长期演进)平滑演进的途径。
相比较于HSPA,HSPA+在系统架构上将无线网络控制器(Radio Network Controller,简称“RNC”)的功能下放到基站节点B(Node B),形成完全扁平化的无线接入网络架构,如图1所示。此时称集成了完全RNC功能的Node B为Evolved HSPA Node B,或者简称为增强节点B(Node B+)。SGSN+为进行了升级能支持HSPA+功能的SGSN(SERVICE GPRS SUPPORT NODE,服务GPRS(GPRS:General Packet Radio System,通用分组无线系统)支持节点)。ME+为能支持HSPA+功能的用户终端设备。演进的HSPA系统能够使用3GPP Rel-5和以后的空中接口版本,对空中接口的HSPA业务没有任何修改。采用这种方案后,每个Node B+都成为一个相当于RNC的节点,具有Iu-PS接口能够直接与PS CN(Core Network,核心网)(如图1中的SGSN和GGSN)连接,Iu-PS用户面在SGSN终结,其中如果网络支持直通隧道功能,Iu-PS用户面也可以在GGSN(Gateway GPRS Support Node,网关GPRS支持节点)终结。演进的HSPA Node B之间的通信通过Iur接口执行。Node B+具有独立组网的能力,并支持完整的移动性功能,包括系统间和系统内切换。
由于扁平化后,用户面数据可以不经过RNC,直接到达GGSN,这意味着用户平面的加密和完整性保护功能必须前移至Node B+。目前,爱立信提出了一种HSPA+安全密钥层次结构,如图2所示。其中,K(Key,根密钥)、CK(Ciphering Key,加密密钥)和IK(Integrity Key,完整性密钥)的定义与UMTS(Universal Mobile Telecommunications System,通用移动通信系统)中完全一致,即K是存储于AuC(Authentication Center,鉴权中心)和USIM(UNIVERSAL SUBSCRIBER IDENTITY MODULE,通用订阅者身份模块)中的根密钥,CK和IK是用户设备与HSS(Home Subscriber Server,归属用户服务器)进行AKA(Authentication and Key Agreement,认证和密钥协定)时由K计算出的加密密钥和完整性密钥,称为传统密钥。在UMTS中,RNC使用传统的空中接口密钥CK和IK对数据进行加密和完整性保护。由于HSPA+架构中,将RNC的功能全部下放到基站Node B+,则加解密都需在Node B+处进行,而Node B+位于不安全的环境中,安全性不高。因此HSPA+引入了一个类似于E-UTRAN(Evolved Universal Terrestrial Radio Access Network,演进的通用陆地无线接入网络)的密钥层次,即UTRAN密钥层次(UTRAN Key Hierarchy)。在UTRAN密钥层次结构中,空口密钥KASMEU、CKs/IKs和CKL/IKL是HSPA+新引入的密钥。其中,中间密钥KASMEU由传统密钥CK和IK在核心网节点(SGSN+或MSC+)处推导生成;CKs/IKs(也可称作CKU/IKU)称为增强密钥,由中间密钥KASMEU在核心网节点处生成,增强密钥CKS用于加密用户面数据和控制面信令,增强密钥IKS用于对控制面信令进行完整性保护。CKL/IKL称为映射密钥,由中间密钥KASMEU在核心网节点处生成,用于UE移动到不支持增强安全的传统UMTS网络中时作为空口的加密密钥和完整性保护密钥使用。
在WCDMA系统中,由于Iur接口的引入而产生了SRNC/DRNC(Drift RNC,漂移RNC)的概念。SRNC和DRNC都是对于某一个具体的UE的逻辑概念。简单的说,对于某一个UE,其直接与CN(Core Network,核心网)相连,并对UE(User Equipment,用户设备)的所有资源进行控制的RNC为该UE的SRNC;UE与CN没有连接,仅为UE提供资源的RNC为该UE的DRNC。处于连接状态的UE必须而且只能有一个SRNC,可以有0个或者多个DRNC。
WCDMA系统中,SRNC迁移(SRNC Relocation)指UE的SRNC从一个RNC变成另一个RNC的过程。根据发生迁移前后UE所处位置的不同,可以分为静态迁移和伴随迁移两种情况。
发生静态迁移的条件是UE从一个DRNC,而且只从一个DRNC中接入。由于迁移过程不需要UE的参与,所以也称之为UE不涉及的(UE Not Involved)迁移。发生迁移后,Iur接口的连接被释放,Iu接口发生迁移,原DRNC变成SRNC,如图3所示。静态迁移是软切换时引起的,因为Iur接口,所以迁移在所有的无线链路都链接到DRNC后才开始。
伴随迁移指UE从SRNC硬切换到目标RNC,同时Iu接口发生变化的过程,如图4所示。由于迁移过程需要UE的参与,所以也称之为UE涉及的(UE Involved)迁移。
在HSPA+中,由于Node B+处于物理不安全的环境中,容易受到恶意攻击,安全性受到威胁。而传统UMTS中,SRNC迁移前后,加密密钥CK和完整性密钥IK相同,这会造成:一方面,某个基站被攻击者攻破后,攻击者可能推导出下一跳目标基站的安全密钥;另一方面,若密钥泄漏或者被攻击者非法获取,则攻击者可以一直监听用户的通信,也可以伪造用户与网络之间的数据传输,这样都会导致用户的通信安全不能够被保障。
发明内容
本发明的主要目的在于提供一种空中接口密钥的更新方法、核心网节点及一种无线接入系统,以解决相关技术中因为SRNC迁移时密钥相同而导致用户的通信安全不能够保障问题。
根据本发明的一个方面,提供了一种空中接口密钥的更新方法,包括:核心网节点接收到目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;使用密钥参数计算下一跳增强密钥,所述密钥参数包括中间密钥和当前增强密钥;将所述下一跳增强密钥发送给所述目标RNC。
根据本发明的一个方面,还提供了一种空中接口密钥的更新方法,包括:核心网节点接收到目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功,所述核心网节点使用四层安全密钥层次结构,所述四层安全密钥层次结构包括根密钥层、传统密钥层、中间密钥层和增强密钥层;使用密钥参数计算下一跳增强密钥,所述密钥参数包括所述传统密钥层的传统密钥和所述增强密钥层的当前增强密钥;将所述下一跳增强密钥发送给所述目标RNC。
根据本发明的另一方面,提供了一种核心网节点,包括:接收模块,用于接收目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;计算模块,用于使用密钥参数计算下一跳增强密钥,所述密钥参数包括中间密钥和当前增强密钥;发送模块,用于将所述下一跳增强密钥发送给所述目标RNC。
根据本发明的另一方面,提供了一种无线接入系统,包括:源无线网络控制器RNC、目标RNC、核心网节点和用户设备UE,其中,所述核心网节点包括:接收模块,用于接收所述目标RNC的迁移完成指示消息,所述迁移完成指示消息指示用户设备UE从源RNC迁移到所述目标RNC成功;计算模块,用于使用密钥参数计算下一跳增强密钥,所述密钥参数包括中间密钥和当前增强密钥;发送模块,用于将所述下一跳增强密钥发送给所述目标RNC。
通过本发明,针对核心网节点的四层密钥结构,无线接入系统的核心网节点在终端初始附着时,或SRNC迁移成功完成后,根据核心网节点处的中间密钥计算生成下一跳增强密钥IKS和/或CKS,并将下一跳增强密钥发送给目标RNC,以备下一次SRNC迁移时使用,从而使得源RNC和目标RNC使用不同的增强密钥IKS和CKS。并且由于下一跳目标RNC使用的增强的空中接口密钥是由核心网推导出来的,两次SRNC迁移后,源RNC则无法获知两跳后的目标RNC的空中接口密钥。因此即使某个基站被攻击者攻破或非法控制,两次SRNC迁移后也能保证用户进行安全的通信,保障了用户的前向安全,从而整体提高了无线接入系统的通信安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的一种采用HSPA+技术的无线接入网络的架构示意图;
图2是根据相关技术的一种HSPA+安全密钥层次结构示意图;
图3是根据相关技术的一种SRNC静态迁移示意图;
图4是根据相关技术的一种SRNC伴随迁移示意图;
图5是根据本发明实施例的一种空中接口密钥的更新方法的步骤流程图;
图6是根据本发明实施例的一种空中接口密钥更新的密钥链;
图7是根据本发明实施例的一种初始空中接口密钥建立过程的流程图;
图8是根据本实施例的一种进行SRNC伴随迁移时的空中接口密钥的更新流程图;
图9是根据本发明实施例的一种进行SRNC静态迁移时的空中接口密钥的更新流程图;
图10为根据本发明实施例的一种核心网节点的结构框图;
图11为根据本发明实施例的一种无线接入系统的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在采用UTRAN的无线接入系统中涉及到的SRNC迁移,如图3和图4所示,涉及核心网节点(SGSN+或MSC+)、源RNC(即SRNC)、目标RNC、Node B和UE。在采用HSPA+的无线接入系统中,可以将Node B+看作Node B和RNC的结合,二者是一个物理实体,但仍然是两个不同的逻辑实体。需要说明的是,本发明实施例中支持增强安全密钥层次的Node B+也可以等同为UMTS中进行了升级的RNC(RNC+),本发明实施例中的SRNC和源RNC(源Node B+)等同,DRNC和目标RNC(目标Node B+)等同。
参照图5,示出了根据本发明实施例的一种空中接口密钥的更新方法的步骤流程图,包括以下步骤:
步骤S502:核心网节点接收到目标RNC的迁移完成指示消息;
其中,迁移完成指示消息指示用户设备UE从源RNC迁移到所述目标RNC成功。
步骤S504:核心网节点使用密钥参数计算下一跳增强密钥;
其中,密钥参数包括中间密钥和当前增强密钥,当前增强密钥包括当前增强完整性密钥IKS和/或当前增强加密密钥CKS。
优选的,在核心网节点计算下一跳增强密钥时,除了使用中间密钥和当前增强密钥外,还可以使用存储的传统密钥,传统密钥包括传统完整性密钥IK和/或传统加密密钥CK。
另外,本步骤中,中间密钥可以用传统密钥代替,即核心网节点使用传统密钥和当前增强密钥计算下一跳增强密钥。
核心网节点根据核心网节点处的中间密钥KASMEU和当前使用的增强密钥IKS和/或CKS,或者,核心网节点根据核心网节点处的传统密钥IK和/或CK,和/或中间密钥KASMEU和当前使用的增强密钥IKS和/或CKS,使用密钥生成函数计算下一跳增强密钥IKS和/或CKS。为了和当前使用的当前增强密钥IKS/CKS相区别,本发明的实施例中称下一跳增强密钥为IK’S和CK’S。
步骤S506:核心网节点将下一跳增强密钥发送给目标RNC。
本步骤中,核心网节点将IK’S和CK’S发送给目标RNC保存,以备下次SRNC迁移时目标RNC使用。
相关技术中,传统UTRAN在进行SRNC迁移时,不改变迁移前后的密钥,而通过本实施例,针对核心网节点的四层密钥结构,计算更新下一跳增强密钥,并将更新的下一跳增强密钥发送给目标RNC,以使用户设备在进行下一次SRNC迁移时使用,从而使得源RNC和目标RNC使用不同的密钥。并且当进行了两次SRNC迁移后,源RNC不能获得两跳后的目标基站使用的增强密钥,从而保证了用户通信的前向安全,提高了无线接入系统通信安全性。由此,有效实现了四层密钥结构下的密钥更新和通信安全。
在下一跳增强密钥IK’S和CK’S的计算过程中,除了传统密钥IK和CK、中间密钥KASMEU,当前增强密钥IKS和CKS外,还可以使用以下参数之一或任意组合:序列号SQN异或隐藏密钥AK,用户标识(如国际用户识别码IMSI、临时移动用户识别码TMSI),服务网络标识,核心网节点类型。
本发明实施例提供了以下密钥函数计算各安全密钥,包括初始时和SRNC迁移时计算各安全密钥的密钥函数,以下密钥函数中,括号内的参数不分先后顺序,其中的多个参数可以以级联形式或其它形式组合。
初始时:(IKS,CKS)=F1(KAMSEU,fresh);
(IK’S,CK’S)=F2(KAMSEU,IKS||CKS);
SRNC迁移时:(IK’S,CK’S)=F2(KAMSEU,IK’S_old||CK’S_old);
或者,IKS=IK’S_old,CKS=IK’S_old,
(IK’S,CK’S)=F2(KAMSEU,IKS||CKS);
或者初始时:(IKS,CKS)=F1(KASMEU,fresh);
(IK’S,CK’S)=F2(IK||CK,IKS||CKS);
SRNC迁移时:(IK’S,CK’S)=F2(IK||CK,IK’S_old||CK’S_old);
或者,
IKS=IK’S_old,CKS=IK’S_old,
(IK’S,CK’S)=F2(IK||CK,IKS||CKS);
其中,F1和F2表示不同或相同的密钥函数,例如3GPP定义的KDF函数。IKS表示增强的完整性密钥,CKS表示增强的加密密钥,IK’S表示下一跳增强的完整性密钥,CK’S表示下一跳增强的加密密钥,IK’S_old表示当前增强的完整性密钥,CK’S_old表示当前增强的加密密钥。“||”表示级联。fresh表示参数,可以为随机数或者计数器,也可以为传统密钥。当UE从空闲态进入连接态时,需要保证每次使用的fresh不同。
本发明的实施例均可以采用上述密钥函数。当然,本领域技术人员也可以根据实际情况,采用其它适当的密钥计算方法,本发明不对此作出限制。
在初始附着时,或用户设备从空闲态返回激活态时,或用户设备从E-UTRAN或全球移动通信系统GSM移动到增强的UTRAN时,或用户设备从传统的UTRAN(不支持HSPA+安全)移动到增强的UTRAN时,核心网节点对下一跳增强密钥的处理一般分为两种情况,一种是核心网节点初始时向SRNC下发下一跳增强密钥IK’S/CK’S,首次SRNC迁移时,源RNC把下一跳增强密钥发送给目标RNC,目标RNC和UE分别使用该下一跳增强密钥作为IKS和CKS;另一种是核心网节点初始时不向SRNC下发下一跳增强密钥,首次SRNC迁移时,源RNC将当前增强密钥IKS/CKS发送给目标RNC,目标RNC和UE分别使用该密钥IKS和CKS对通信作安全保护。在第二次SRNC迁移时,目标RNC和UE再分别使用下一跳增强密钥IK’S/CK’S。空中接口密钥更新的密钥链如图6所示,其中,NCC表示下一跳计数器。fresh表示参数。
参照图7,示出了根据本发明实施例的一种初始空中接口密钥建立过程的流程图,包括以下步骤:
步骤S702:核心网节点(如SGSN+或MSC+)根据存储的IK和CK计算中间密钥KASMEU。
该步骤的触发条件为:当UE首次附着到网络运行完AKA后,或者UE从空闲模式转换到连接模式时,或者UE从演进的通用陆地无线接入网络E-UTRAN或GSM移动到增强的通用陆地无线接入网络UTRAN时,或者用户设备从传统的UTRAN(不支持HSPA+安全)移动到增强的UTRAN时。
可选地,在上述触发条件下,若SGSN+或MSC/VLR+处还存储有有效的中间密钥KASMEU,则该步骤可选,可以直接使用存储的中间密钥,而不必重新计算。
步骤S704:核心网节点根据步骤S702中计算出的中间密钥KASMEU计算增强密钥IKS和/或CKS;根据增强密钥IKS和/或CKS计算下一跳增强密钥IK’S/CK’S。
其中,下一跳增强密钥IK’S/CK’S的计算除了增强密钥IKS和/或CKS外,还包括:中间密钥KASMEU,和/或传统完整性密钥IK、加密密钥CK。
步骤S706:核心网节点向SRNC发送安全模式命令消息,该消息携带增强密钥IKS和CKS,和/或下一跳增强密钥IK’S/CK’S。
其中,安全模式命令消息还可以携带以下参数之一或其任意组合:用户设备安全能力、密钥集标识、选择的完整性算法集、加密算法集。
其中,下一跳增强密钥IK’S/CK’S的下发是可选的,即初始连接建立时,可以不发送下一跳增强密钥IK’S/CK’S,而仅发送增强密钥IKS/CKS。
步骤S708:SRNC接收到安全模式命令消息后,存储接收到的增强密钥IKS和CKS,和/或下一跳增强密钥IK’S/CK’S。
步骤S710:SRNC向UE发送安全模式命令消息。
该安全模式命令消息中可以携带用IKS计算的消息验证码,还可以携带以下参数之一或其任意组合:用户设备安全能力、密钥集标识、选择的完整性算法、加密算法。
步骤S712:UE接收到安全模式命令消息后,存储加密算法和完整性算法,根据AKA过程生成的传统加密密钥CK和传统完整性密钥IK计算中间密钥KASMEU(该过程也可发生于收到安全模式命令消息之前)。
本步骤中,若UE处还存储有有效的中间密钥KASMEU,则可以直接使用该中间密钥,而不用重新计算。
步骤S714:UE按照和网络侧同样的密钥推导算法,计算增强密钥IKS和/或CKS,和下一跳增强密钥IK’S/CK’S。
下一跳增强密钥IK’S/CK’S的计算步骤为可选,即UE可以在此时不计算下一跳增强密钥,待需要时再计算。
此时,UE和SRNC共享相同的增强的完整性密钥IKS和/或增强的加密密钥CKS,可以使用上述密钥对双方之间的通信进行保护。
步骤S716:UE使用IKS验证接收到的安全模式命令消息。
步骤S718:如果安全模式命令消息验证成功,则UE向SRNC发送安全模式完成消息,该消息中携带有用IKS计算的消息验证码,或者,UE也可以同时用CKS对该安全模式完成消息进行加密。
步骤S720:SRNC用IKS验证接收到的安全模式完成消息;或者,先用CKS对该消息进行解密,再用IKS对接收到的安全模式完成消息进行验证。
步骤S722:如果安全模式完成消息验证成功,则SRNC向核心网节点发送安全模式完成消息,该消息中可以携带参数:选择的完整性算法和/或加密算法。
此后,UE和SRNC即可以根据上述密钥开始加解密操作。
优选的,在本实施例中,核心网节点维护一个下一跳计数器网络NCC,用于对计算下一跳增强密钥的次数计数,以和用户侧密钥同步。网络NCC初始值为0;当步骤2中首次计算下一跳增强密钥时,对应的网络NCC为1。在核心网节点维护一个网络NCC的情况下,安全模式命令消息中还可以携带参数网络NCC,并发送给SRNC,由SRNC接收和存储。同样,UE也维护一个下一跳计数器终端NCC,用于对UE计算下一跳增强密钥的次数计数,以和网络侧密钥同步,初始值为0;当UE首次计算下一跳增强密钥,此时,对应的终端NCC值为1。在以后的SRNC迁移流程中,当终端NCC与网络NCC不等时,UE计算下一跳增强密钥并递增相对应的终端NCC,直到终端NCC等于网络NCC,以使UE和目标RNC使用的密钥一致。使用NCC同步网络侧和用户侧密钥,有效保证了网络侧和用户侧密钥的一致性。
参照图8,示出了根据本实施例的一种进行SRNC伴随迁移时的空中接口密钥的更新流程图。本实施例中,SRNC和目标RNC之间的消息交互需要通过核心网节点CNN+(SGSN+或MSC+)中转。
本实施例包括以下步骤:
步骤S802:源RNC(即SRNC)决策进行SRNC迁移。
该决策的触发可以是:源RNC收到UE的测量报告,或者收到目标RNC发送的上行信令传输指示要求进行小区更新或URA更新等。
步骤S804:源RNC向核心网节点发送迁移需要消息。
若源RNC同时连接两个CNN+节点,则源RNC同时向该两个CNN+节点发送迁移需要消息;若源RNC和目标RNC位于两个不同的CNN+节点下,则该消息需要经过该两个CNN+节点的中转。
迁移需要消息中携带参数:下一跳增强的空口完整性密钥IK’S,和/或下一跳增强的空口加密密钥CK’S。除此之外,还可以携带以下参数之一或任意组合:用户设备安全能力、用户支持的加密算法、用户支持的完整性算法、选择的加密算法、选择的完整性算法、与该增强的空口密钥关联的下一跳计数器网络NCC。优选地,上述安全材料携带于源RNC到目标RNC的透明容器中。
可选地,源RNC将下一跳增强的空口完整性密钥IK’S当作增强的空口完整性密钥IKS,将下一跳增强的空口加密密钥CK’当作增强的空口加密密钥CKS。源RNC发送的迁移需要消息中携带参数:增强完整性密钥IKS,和/或增强加密密钥CKS。
可选地,由于源RNC可能不能确定目标RNC是否支持增强的安全,因此源RNC将下一跳增强密钥IK’S和CK’S分别放置于迁移需要消息的IK和CK字段。
在实际的网络布局中,支持增强安全功能的网络实体和仅支持传统安全的网络实体并存,当SRNC迁移时,就会存在UE从一个支持增强安全功能的SRNC+迁移到一个不支持增强安全功能的目标RNC的场景。而当SRNC+做出迁移决策时,很可能是不知道目标RNC是否支持增强安全功能的。因此,当SRNC迁移时,密钥的更新也需要考虑对传统网络的安全支持。
步骤S806:核心网节点向目标RNC发送迁移请求消息,消息中携带有下一跳增强密钥IK’S和CK’S,和/或网络NCC。
本实施例中,网络侧核心网节点维护一个下一跳计数器网络NCC,因此,迁移请求消息中还可以携带有网络NCC信息。将网络NCC信息发送给目标RNC,以方便地实现目标RNC与用户之间密钥的一致性。
本步骤中,核心网节点将CK’S置于所述迁移请求消息的CK字段,和/或将IK’S置于所述迁移请求消息的IK字段,向目标RNC发送。
需要说明的是,在增强的SRNC迁移过程中,源RNC可以直接发送迁移请求消息给目标RNC,此时,该迁移请求消息称为增强的迁移请求消息。增强的迁移请求消息中携带下一跳增强的空口完整性密钥IK’S,和/或下一跳增强的空口加密密钥CK’S,源RNC将下一跳增强密钥IK’S和CK’S分别放置于迁移需要消息的IK和CK字段发送给目标RNC。
步骤S808:目标RNC存储接收到的密钥。若目标RNC支持增强的安全,则目标RNC将接收到的消息中的IK字段的值作为增强密钥IKS,CK字段的值作为增强密钥CKS;若目标RNC不支持增强的安全,则目标RNC将接收到的消息中的IK字段的值作为传统密钥IK,CK字段的值作为传统密钥CK。
步骤S810:目标RNC向核心网节点发送迁移请求确认消息。在发送该消息之前,目标RNC和核心网节点可以建立新的Iu承载,为UE分配RRC(Radio Resource Control,无线资源控制协议)连接资源和无线链路等资源。若源RNC和目标RNC位于两个不同的CNN+节点(SGSN+和/或MSC/VLR+)下,则该消息需要经过该两个CNN+节点的中转。
可选地,该迁移确认消息携带有下一跳计数器网络NCC信息。
步骤S812:核心网节点向源RNC发送迁移命令消息。
可选地,该迁移命令消息携带核心网节点的下一跳计数器网络NCC信息。
步骤S814:源RNC向UE发送迁移消息,即物理信道重配置消息或UTRAN移动性信息消息。
可选地,上述物理信道重配置消息或UTRAN移动性信息消息中携带有下一跳计数器网络NCC信息。
步骤S816:若UE支持增强的安全,则UE按照和网络侧同样的算法更新增强的完整性密钥IKS和/或加密密钥CKS。
本步骤中,UE中设置下一跳计数器终端NCC,UE接收网络NCC,判断终端NCC是否等于网络NCC,若二者相等,则UE直接使用自己保存的增强完整性密钥IKS和/或增强加密密钥CKS;若网络NCC大于终端NCC,则UE计算增强密钥IKS/CKS并递增相对应的终端NCC,直到终端NCC等于网络NCC。
步骤S818:UE向目标RNC发送物理信道重配置完成消息或UTRAN移动性信息确认消息。上述消息可以用更新的完整性密钥IKS进行完整性保护,或用更新的完整性密钥IKS和加密密钥CKS对上述消息同时进行完整性和加密保护。
该消息中还可以携带用户设备安全能力参数。
步骤S820:目标RNC用更新的完整性密钥IKS和/或加密密钥CKS对该消息进行安全验证。若目标RNC对UE发送的消息验证成功,则目标RNC向核心网节点(SGSN+或者MSC/VLR+)发送迁移完成消息,该消息携带向核心网节点指示迁移完成的信息,可选地,还可以有网络NCC信息。
步骤S822:核心网节点基于核心网密钥和当前的增强密钥IKS、CKS计算下一跳增强密钥IK’S、CK’S。其中,核心网密钥包括:中间密钥KASMEU,和/或传统密钥IK和/或CK。
可选地,若网络侧维护了一个下一跳计数器网络NCC,则核心网节点在计算下一跳增强密钥IK’S、CK’S之前或之后递增网络NCC。
步骤S824:核心网节点向目标RNC发送迁移完成确认消息,该消息携带下一跳增强密钥IK’S、C’KS,和/或相关联的网络NCC。
步骤S826:目标RNC存储接收到下一跳增强密钥IK’S、CK’S,和/或相关联的网络NCC,以备下一次SRNC迁移时使用。
步骤S828:核心网节点(SGSN+或者MSC/VLR+)释放与源RNC之间的Iu接口。
图8所示的实施例中的安全操作同样适用于采用增强SRNC迁移流程,在增强SRNC迁移流程中,源RNC和目标RNC之间直接进行通信,而不用通过核心网节点的中转。图8中的步骤S804、S806所示的消息替换为源RNC向目标RNC发送增强的迁移请求消息,图8中步骤S810、S812所示的消息替换为目标RNC向源RNC发送增强的迁移响应消息。图8中步骤S820、S824所示的消息分别替换为目标RNC和核心网节点之间的增强的迁移完成请求消息和增强的迁移完成响应消息。除此之外,消息中携带的参数,及其它步骤的操作都完全相同。此处不再赘述。
当初始时核心网节点即将下一跳增强密钥发送给SRNC时,当UE进行第一次SRNC迁移流程时,即可采用上述的密钥更新流程。当初始时核心网节点未将下一跳增强密钥发送给SRNC时,当UE进行第一次SRNC迁移流程时,按照传统UMTS定义的SRNC迁移的安全操作执行,即源RNC将当前使用的增强密钥IKS和/或CKS发送给目标RNC,UE和目标RNC直接使用该当前的增强密钥。当进行第二次SRNC迁移时,再采用上述的密钥更新流程。
在一次SRNC迁移流程成功完成后,目标RNC可以发起一次SRNC内部的迁移,此时,源RNC和目标RNC都是同一个SRNC。以此达到前向安全的目的。
参照图9,示出了根据本发明实施例的一种进行SRNC静态迁移时增强的空中接口密钥的更新流程图。本实施例采用传统的SRNC迁移流程,即SRNC和目标RNC之间的消息交互经过核心网节点的中转的流程。需要说明的是,该实施例的安全操作也同样适用于增强的SRNC伴随迁移流程,即SRNC和目标RNC之间直接进行消息交互,而不用通过核心网节点的中转。
本实施例包括以下步骤:
步骤S902:UE向UTRAN发送URA更新消息,或小区更新消息,或测量报告消息。
步骤S904:目标RNC通过接收到该UE的URA更新消息或小区更新消息,或测量报告消息,向该UE的源RNC发送上行信令传输指示消息。
步骤S906:源RNC(即SRNC)决策进行SRNC迁移。
步骤S908:源RNC向核心网节点发送迁移需要消息。消息中携带有下一跳增强密钥IK’S和CK’S,还可以携带网络NCC。
步骤S910:核心网节点向目标RNC发送迁移请求消息,消息中携带有下一跳增强密钥IK’S和CK’S,和/或网络NCC。
本实施例中,网络侧核心网节点维护一个下一跳计数器网络NCC,因此,迁移请求消息中还可以携带有网络NCC信息。
步骤S912:目标RNC存储接收到的密钥。
步骤S914:目标RNC向核心网节点发送迁移请求确认消息。在发送该消息之前,目标RNC和核心网节点可以建立新的Iu承载,为UE分配RRC(Radio Resource Control,无线资源控制协议)连接资源和无线链路等资源。
可选地,该迁移确认消息携带有下一跳计数器网络NCC信息。
步骤S916:核心网节点向源RNC发送迁移命令消息。
可选地,该迁移命令消息携带核心网节点的下一跳计数器网络NCC信息。
步骤S918:源RNC向目标RNC发送迁移提交消息。
步骤S920:目标RNC向核心网节点发送迁移检测消息。
步骤S922:目标RNC向UE发送小区更新确认消息,或URA更新确认消息,或RAN移动性信息消息。该消息携带目标RNC的安全能力的指示信息。
可选地,上述消息携带有下一跳计数器网络NCC信息。
步骤S924:若UE支持增强的安全,则UE按照和网络侧同样的算法更新增强的完整性密钥IKS和/或加密密钥CKS。
本步骤中,UE中设置下一跳计数器终端NCC,UE接收网络NCC,判断终端NCC是否等于网络NCC,若二者相等,则UE直接使用自己保存的增强完整性密钥IKS和/或增强加密密钥CKS;若网络NCC大于终端NCC,则UE计算增强密钥IKS/CKS并递增相对应的终端NCC,直到终端NCC等于网络NCC。
步骤S926:UE向目标RNC发送UTRAN移动性信息确认消息或RAN移动性信息确认消息。上述消息可以用更新的完整性密钥IKS进行完整性保护,或用更新的完整性密钥IKS和加密密钥CKS对上述消息同时进行完整性和加密保护。
该消息中还可以携带用户设备安全能力参数。
步骤S928:目标RNC用更新的完整性密钥IKS和/或加密密钥CKS对该消息进行安全验证。若目标RNC对UE发送的消息验证成功,则目标RNC向核心网节点(SGSN+或者MSC/VLR+)发送迁移完成消息,该消息携带向核心网节点指示迁移完成的信息,还可以有网络NCC信息。
步骤S930:核心网节点基于核心网密钥和当前的增强密钥IKS、CKS计算下一跳增强密钥IK’S、CK’S。其中,核心网密钥包括:中间密钥KASMEU,和/或传统密钥IK和/或CK。
可选地,若网络侧维护了一个下一跳计数器网络NCC,则核心网节点在计算下一跳增强密钥IK’S、CK’S之前或之后递增网络NCC。
步骤S932:核心网节点向目标RNC发送迁移完成确认消息,该消息携带下一跳增强密钥IK’S、CK’S,和/或相关联的网络NCC。
步骤S934:目标RNC存储接收到的下一跳增强密钥IK’S、CK’S,和/或相关联的网络NCC,以备下一次SRNC迁移时使用。
步骤S936:核心网节点(SGSN+或者MSC+)释放与源RNC之间的Iu接口。
本步骤核心网节点(SGSN+或者MSC/VLR+)释放与源RNC之间的Iu接口也可发生于步骤S930之前。
需要说明的是,上述所有实施例也适用于SRNC内部的迁移,即源RNC和目标RNC是同一个RNC的场景。
参照图10,示出了根据本发明实施例的一种核心网节点的结构框图,包括:
接收模块1002,用于接收目标RNC的迁移完成指示消息,该迁移完成指示消息用于指示UE从源RNC迁移到目标RNC成功;计算模块1004,用于在接收模块1002接收到迁移完成指示消息后,使用中间密钥和/或传统密钥,以及当前增强密钥计算下一跳增强密钥;发送模块1006,用于将下一跳增强密钥发送给目标RNC。
优选的,核心网节点还包括:第一初始模块,用于在用户设备UE首次附着到网络,或者UE从空闲模式转换到连接模式,或者UE从演进的通用陆地无线接入网络E-UTRAN或全球移动通信系统GSM网络移动到增强的通用陆地无线接入网络UTRAN,或者UE从传统的UTRAN移动到增强的UTRAN时,根据中间密钥计算当前增强密钥;并发送当前增强密钥给服务SRNC。优选的,第一初始模块还根据中间密钥和当前增强密钥计算下一跳增强密钥,或者,根据存储的传统密钥和当前增强密钥计算下一跳增强密钥,或者,根据存储的传统密钥和/或中间密钥,以及当前增强密钥计算下一跳增强密钥。
优选的,核心网节点还包括:第二初始模块,用于在UE首次附着到网络,或者UE从空闲模式转换到连接模式,或者UE从演进的通用陆地无线接入网络E-UTRAN或全球移动通信系统GSM网络移动到增强的通用陆地无线接入网络UTRAN,或者UE从传统的UTRAN移动到增强的UTRAN时,核心网节点根据中间密钥计算当前增强密钥;核心网节点根据当前增强密钥计算下一跳增强密钥;核心网节点发送下一跳增强密钥给服务SRNC。优选的,第二初始模块根据中间密钥和当前增强密钥计算下一跳增强密钥,或者,根据存储的传统密钥和当前增强密钥计算下一跳增强密钥,或者,根据存储的传统密钥和/或中间密钥,以及当前增强密钥计算下一跳增强密钥。
优选的,本实施例的核心网节点还可以包括:下一跳计数器网络NCC,用于对核心网节点计算下一跳增强密钥的次数计数。
优选的,接收模块1002还用于在接收目标RNC的迁移完成指示消息之前,接收源RNC发送的迁移需要消息,该迁移需要消息包括源RNC的下一跳CK’S和/或IK’S;发送模块1006还用于向目标RNC发送迁移请求消息,该迁移请求消息包括源RNC发送的下一跳CK’S和/或IK’S。
优选的,迁移需要消息和迁移请求消息均还包括网络NCC指示的信息。
参照图11,示出了根据本发明实施例的一种无线接入系统的结构框图,包括:源RNC1102、目标RNC1104、核心网节点1106和用户设备UE1108。
其中,核心网节点1106包括:接收模块11062,用于接收目标RNC1104的迁移完成指示消息,该迁移完成指示消息指示UE1108从源RNC1102迁移到目标RNC1104成功;计算模块11064,用于在接收模块11062接收到迁移完成指示消息后,使用中间密钥和/或传统密钥,以及当前增强密钥计算下一跳增强密钥;发送模块11066,用于将下一跳增强密钥发送给目标RNC1104。
其中,源RNC1102,用于向核心网节点1106发送迁移需要消息,该迁移需要消息中携带有源RNC1102的下一跳增强密钥;接收核心网节点1106的迁移命令,并向UE1108发送迁移消息。
其中,目标RNC1104,用于接收核心网节点1106发送的迁移请求消息,该迁移请求消息中携带有源RNC1102发送的下一跳增强密钥;以及向核心网节点1106发送迁移完成指示消息,接收核心网节点1106的迁移完成确认消息,该迁移完成确认消息包括目标RNC1104的下一跳增强密钥。
其中,UE1108,用于根据源RNC1102发送的迁移消息同步自身的增强密钥。
优选的,核心网节点1106还包括:下一跳计数器网络NCC,用于对核心网节点1106计算下一跳增强密钥的次数计数。
优选的,UE1108包括:下一跳计数器终端NCC,用于对UE1108计算下一跳增强密钥的次数计数。
优选的,UE1108还包括:判断模块11082,用于判断终端NCC是否等于网络NCC;确定模块11084,用于若判断模块11082的判断结果为是,则使用终端NCC对应的预先存储的CKS和/或IKS;否定模块11086,用于若判断模块11082的判断结果为否,则计算CKS和/或IKS,并递增相对应的终端NCC,直到终端NCC等于网络NCC。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (23)
1.一种空中接口密钥的更新方法,其特征在于,包括:
核心网节点接收到目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;
使用密钥参数计算下一跳增强密钥,所述密钥参数包括中间密钥和当前增强密钥;
将所述下一跳增强密钥发送给所述目标RNC。
2.根据权利要求1所述的方法,其特征在于,所述密钥参数还包括传统密钥。
3.根据权利要求1所述的方法,其特征在于,还包括:
所述核心网节点在用户设备UE首次附着到网络,或者所述UE从空闲模式转换到连接模式,或者所述用户设备从演进的通用陆地无线接入网络E-UTRAN或全球移动通信系统GSM网络移动到增强的通用陆地无线接入网络UTRAN,或者所述用户设备从传统的UTRAN移动到增强的UTRAN时,所述核心网节点根据所述中间密钥计算所述当前增强密钥;
所述核心网节点发送所述当前增强密钥给服务SRNC。
4.根据权利要求3所述的方法,其特征在于,在所述核心网节点根据所述中间密钥计算所述当前增强密钥的步骤之后,还包括:
所述核心网节点根据所述中间密钥和所述当前增强密钥计算所述下一跳增强密钥;
或者,
所述核心网节点根据存储的传统密钥和所述当前增强密钥计算所述下一跳增强密钥;
或者,
所述核心网节点根据所述存储的传统密钥、所述中间密钥和所述当前增强密钥计算所述下一跳增强密钥。
5.根据权利要求1所述的方法,其特征在于,还包括:
所述核心网节点在用户设备UE首次附着到网络,或者所述UE从空闲模式转换到连接模式,或者所述UE从演进的通用陆地无线接入网络E-UTRAN或全球移动通信系统GSM网络移动到增强的通用陆地无线接入网络UTRAN,或者所述UE从传统的UTRAN移动到增强的UTRAN时,所述核心网节点根据所述中间密钥计算所述当前增强密钥;
所述核心网节点根据所述当前增强密钥计算所述下一跳增强密钥;
所述核心网节点发送所述当前增强密钥和/或下一跳增强密钥给服务SRNC。
6.根据权利要求5所述的方法,其特征在于,所述核心网节点根据所述当前增强密钥计算所述下一跳增强密钥的步骤包括:
所述核心网节点根据所述中间密钥和所述当前增强密钥计算所述下一跳增强密钥;
或者,
所述核心网节点根据存储的传统密钥和所述当前增强密钥计算所述下一跳增强密钥;
或者,
所述核心网节点根据所述存储的传统密钥、所述中间密钥和所述当前增强密钥计算所述下一跳增强密钥。
7.根据权利要求1所述的方法,其特征在于,所述核心网节点设置下一跳计数器网络NCC,对所述核心网节点计算下一跳增强密钥的次数计数。
8.根据权利要求7所述的方法,其特征在于,在所述核心网节点接收到目标RNC的迁移完成指示消息步骤之前,还包括:
所述源RNC向所述核心网节点发送迁移需要消息,所述迁移需要消息包括所述源RNC的下一跳增强加密密钥CKS和/或下一跳增强完整性密钥IKS;
所述核心网节点接收所述迁移需要消息,并向所述目标RNC发送迁移请求消息,所述迁移请求消息包括所述源RNC发送的下一跳CKS和/或IKS。
9.根据权利要求8所述的方法,其特征在于,所述迁移需要消息和迁移请求消息均还包括所述网络NCC指示的信息。
10.根据权利要求8所述的方法,其特征在于,在所述核心网节点向所述目标RNC发送迁移请求消息的步骤之后,还包括:
所述核心网节点接收所述目标RNC的迁移请求确认消息,并向所述源RNC发送迁移命令消息,所述迁移命令消息包括所述网络NCC指示的信息;
所述源RNC接收所述迁移命令消息,向所述UE发送迁移消息,所述迁移消息包括所述网络NCC指示的信息。
11.根据权利要求10所述的方法,其特征在于,所述源RNC接收所述迁移命令消息,向所述UE发送迁移消息步骤之后,还包括:
所述UE判断下一跳计数器终端NCC是否等于所述网络NCC;
若是,则所述UE使用所述终端NCC对应的预先存储的所述IKS和/或CKS;
若否,则所述UE计算所述IKS和/或CKS,并递增相对应的所述终端NCC,直到所述终端NCC等于所述网络NCC。
12.根据权利要求1至11任一项所述的方法,其特征在于,所述源RNC和目标RNC为同一个RNC。
13.根据权利要求1至11任一项所述的方法,其特征在于,所述核心网节点使用四层安全密钥层次结构,所述四层安全密钥层次结构包括根密钥层、传统密钥层、中间密钥层和增强密钥层。
14.根据权利要求3或4所述的方法,其特征在于,在所述核心网节点发送所述当前增强密钥给所述SRNC步骤之后,还包括:
所述SRNC接收并存储所述当前增强密钥,并向所述UE发送安全模式命令消息;
所述UE接收所述安全模式命令消息,使用所述中间密钥计算当前增强密钥。
15.根据权利要求14所述的方法,其特征在于,在所述UE接收所述安全模式命令消息,使用所述中间密钥计算当前增强密钥步骤之后,还包括:
所述UE使用所述中间密钥和当前增强密钥计算下一跳增强密钥。
16.根据权利要求5或6所述的方法,其特征在于,在所述核心网节点发送所述当前增强密钥和/或下一跳增强密钥给所述SRNC步骤之后,还包括:
所述SRNC接收并存储所述当前增强密钥和/或下一跳增强密钥,并向所述UE发送安全模式命令消息;
所述UE接收所述安全模式命令消息,使用所述中间密钥计算当前增强密钥。
17.根据权利要求16所述的方法,其特征在于,在所述UE接收所述安全模式命令消息,使用所述中间密钥计算当前增强密钥步骤之后,还包括:
所述UE使用所述中间密钥和当前增强密钥计算下一跳增强密钥。
18.一种空中接口密钥的更新方法,其特征在于,包括:
核心网节点接收到目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功,所述核心网节点使用四层安全密钥层次结构,所述四层安全密钥层次结构包括根密钥层、传统密钥层、中间密钥层和增强密钥层;
使用密钥参数计算下一跳增强密钥,所述密钥参数包括所述传统密钥层的传统密钥和所述增强密钥层的当前增强密钥;
将所述下一跳增强密钥发送给所述目标RNC。
19.根据权利要求18所述的方法,其特征在于,所述密钥参数还包括所述中间密钥层的中间密钥。
20.一种核心网节点,其特征在于,包括:
接收模块,用于接收目标无线网络控制器RNC的迁移完成指示消息,所述迁移完成指示消息用于指示用户设备UE从源RNC迁移到所述目标RNC成功;
计算模块,用于使用密钥参数计算下一跳增强密钥,所述密钥参数包括中间密钥和当前增强密钥;
发送模块,用于将所述下一跳增强密钥发送给所述目标RNC。
21.根据权利要求20所述的核心网节点,其特征在于,所述密钥参数还包括传统密钥。
22.一种无线接入系统,包括源无线网络控制器RNC、目标RNC、核心网节点和用户设备UE,其特征在于,所述核心网节点包括:
接收模块,用于接收所述目标RNC的迁移完成指示消息,所述迁移完成指示消息指示用户设备UE从源RNC迁移到所述目标RNC成功;
计算模块,用于使用密钥参数计算下一跳增强密钥,所述密钥参数包括中间密钥和当前增强密钥;
发送模块,用于将所述下一跳增强密钥发送给所述目标RNC。
23.根据权利要求22所述的无线接入系统,其特征在于,所述密钥参数还包括传统密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010238641.2A CN101902736B (zh) | 2010-07-23 | 2010-07-23 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
| PCT/CN2011/072182 WO2012009981A1 (zh) | 2010-07-23 | 2011-03-25 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010238641.2A CN101902736B (zh) | 2010-07-23 | 2010-07-23 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101902736A true CN101902736A (zh) | 2010-12-01 |
| CN101902736B CN101902736B (zh) | 2018-01-23 |
Family
ID=43227860
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010238641.2A Expired - Fee Related CN101902736B (zh) | 2010-07-23 | 2010-07-23 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101902736B (zh) |
| WO (1) | WO2012009981A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012009981A1 (zh) * | 2010-07-23 | 2012-01-26 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
| WO2012022185A1 (zh) * | 2010-08-18 | 2012-02-23 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及用户设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128033A (zh) * | 2006-08-18 | 2008-02-20 | 中兴通讯股份有限公司 | 重定位中实现加密算法改变的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841810B (zh) * | 2010-06-07 | 2016-01-20 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
| CN101902736B (zh) * | 2010-07-23 | 2018-01-23 | 江苏悦达数梦技术有限公司 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
| CN101909292B (zh) * | 2010-08-18 | 2016-04-13 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及用户设备 |
-
2010
- 2010-07-23 CN CN201010238641.2A patent/CN101902736B/zh not_active Expired - Fee Related
-
2011
- 2011-03-25 WO PCT/CN2011/072182 patent/WO2012009981A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128033A (zh) * | 2006-08-18 | 2008-02-20 | 中兴通讯股份有限公司 | 重定位中实现加密算法改变的方法 |
Non-Patent Citations (4)
| Title |
|---|
| QUALCOMM INCORPORATED: "S3-100559:Re-visiting the desired security properties in UTRAN Key Hierarchy", 《3GPP TSG-SA3 (SECURITY)》 * |
| QUALCOMM INCORPORATED: "S3-100854:Proposal for UTRAN KH solution 2 interworking with GERAN", 《3GPP TSG-SA3 (SECURITY)》 * |
| QUALCOMM INCORPORATED: "S3-100861:Key hierarchy for solution 2", 《3GPP TSG-SA3 (SECURITY)》 * |
| ZTE CORPORATION: "S3-100821: Key Update during SRNS Relocation", 《3GPP TSG-SA3 (SECURITY)》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012009981A1 (zh) * | 2010-07-23 | 2012-01-26 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及无线接入系统 |
| WO2012022185A1 (zh) * | 2010-08-18 | 2012-02-23 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及用户设备 |
| US9386448B2 (en) | 2010-08-18 | 2016-07-05 | Zte Corporation | Method for updating air interface key, core network node and user equipment |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101902736B (zh) | 2018-01-23 |
| WO2012009981A1 (zh) | 2012-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101841810B (zh) | 空中接口密钥的更新方法、核心网节点及无线接入系统 | |
| US8145195B2 (en) | Mobility related control signalling authentication in mobile communications system | |
| US10320754B2 (en) | Data transmission method and apparatus | |
| JP5436694B2 (ja) | 端末が強化型utranに移動する時に強化キーを確立する方法及びシステム | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| CN101715188A (zh) | 一种空口密钥的更新方法及系统 | |
| CN101909292B (zh) | 空中接口密钥的更新方法、核心网节点及用户设备 | |
| CN101867924B (zh) | 空中接口密钥的更新、生成方法及无线接入系统 | |
| WO2013075417A1 (zh) | 切换过程中密钥生成方法及系统 | |
| CN101860862B (zh) | 终端移动到增强utran时建立增强密钥的方法及系统 | |
| Zhang et al. | An enhanced handover authentication solution for 6LoWPAN networks | |
| WO2008152611A1 (en) | Apparatus, method and computer program product providing transparent container | |
| CN101835151B (zh) | 空中接口密钥的更新方法及无线接入系统 | |
| CN101902736A (zh) | 空中接口密钥的更新方法、核心网节点及无线接入系统 | |
| CN108270560B (zh) | 一种密钥传输方法及装置 | |
| CN108271154B (zh) | 一种认证方法及装置 | |
| CN101902738B (zh) | 空中接口密钥的更新方法、装置及无线接入系统 | |
| CN112400335B (zh) | 用于执行数据完整性保护的方法和计算设备 | |
| CN101867925A (zh) | 空口密钥处理方法及系统 | |
| CN102137398B (zh) | 增强密钥的更新方法、装置和用户设备 | |
| CN116782211A (zh) | 切换密钥的确定方法、切换方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20171102 Address after: 518000 Guangdong Province, Shenzhen New District of Longhua City, Dalang street, Longsheng Gold Dragon Road community e-commerce incubator exhibition Tao Commercial Plaza E block 706 Applicant after: Shenzhen step Technology Transfer Center Co., Ltd. Address before: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Applicant before: ZTE Corporation |
|
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Li Zhijun Inventor after: Zhang Xiaoqiang Inventor after: Tian Yong Inventor before: Feng Chengyan |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20171128 Address after: 224000 the 8 floor of the No. 8 building, the big data Industrial Park, Xindu street, Yancheng City City, Jiangsu Applicant after: Jiangsu Yueda dream Technology Co., Ltd. Address before: 518000 Guangdong Province, Shenzhen New District of Longhua City, Dalang street, Longsheng Gold Dragon Road community e-commerce incubator exhibition Tao Commercial Plaza E block 706 Applicant before: Shenzhen step Technology Transfer Center Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180123 Termination date: 20180723 |