CN102378169B - 多系统无线接入网获知密钥的方法和多系统无线接入网 - Google Patents

多系统无线接入网获知密钥的方法和多系统无线接入网 Download PDF

Info

Publication number
CN102378169B
CN102378169B CN201010258921.XA CN201010258921A CN102378169B CN 102378169 B CN102378169 B CN 102378169B CN 201010258921 A CN201010258921 A CN 201010258921A CN 102378169 B CN102378169 B CN 102378169B
Authority
CN
China
Prior art keywords
key
multisystem
authentication
wireless access
access network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201010258921.XA
Other languages
English (en)
Other versions
CN102378169A (zh
Inventor
刘芙蕾
窦建武
董小虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201010258921.XA priority Critical patent/CN102378169B/zh
Priority to EP11817715.3A priority patent/EP2600646B1/en
Priority to PCT/CN2011/075560 priority patent/WO2012022188A1/zh
Publication of CN102378169A publication Critical patent/CN102378169A/zh
Application granted granted Critical
Publication of CN102378169B publication Critical patent/CN102378169B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种多系统无线接入网获知密钥的方法以及多系统网络,该方法包括:用户设备初始接入时,多系统无线接入网接收并解析多系统核心网发送的鉴权消息,并根据解析结果判断后续所述多系统核心网发送的密钥是否为初始值;若判断所述多系统核心网发送密钥为初始值,则所述用户设备执行多系统切换时,所述多系统无线接入网对所述密钥进行密钥转换获得目的系统的密钥。本发明方法和多系统无线接入网可以不需要多系统核心网参与的情况下,获得目的系统密钥。

Description

多系统无线接入网获知密钥的方法和多系统无线接入网
技术领域
本发明涉及移动通信技术,尤指一种多系统无线接入网获知密钥的方法和多系统无线接入网。
背景技术
目前3GPP协议定义的UMTS(Universal Mobile TelecommunicationsSystem,通用移动通信系统)和GSM(Global System for Mobile Communications,全球移动通信)系统的鉴权和加密都是分别独立进行的。其中,UMTS系统的鉴权在USIM(Universal Subscriber Identity Module,通用用户识别卡)与VLR(Visiting Location Register,访问位置存储器)/SGSN(Serving GPRS SupportNode,服务GPRS支持节点),HLR(Home Location Register,归属位置存储器)/AuC(Authentication Center,鉴权中心)之间完成。使用的是鉴权五元组:RAND(Random challenge,随机数)/XRES(Expected Response,符号响应)/CK(Ciphering Key,加密密钥)/IK(Integrity Key,一致性密钥)/AUTN(AuthenticationToken,鉴权标记)。鉴权通过后,对于CS(Circuit Switch,分组交换)域,VLR把加密密钥CK/IK发送给RNC,RNC和USIM完成加密;对于PS(Packet Switch,分组交换)域,SGSN和USIM完成加密。GSM系统的鉴权在SIM(Subscriber Identity Module,用户识别卡)与VLR/SGSN,HLR/AuC之间完成。使用的是鉴权三元组:RAND(Random challenge随机数)/SRES(Signed Response,符号响应)/Kc(Cipher Key,密码密钥)。SIM与VLR/SGSN完成鉴权后,对于CS域,VLR把加密密钥Kc发送给BSC,BSC和SIM完成加密;对于PS域,SGSN和SIM完成加密。另外,R99+HLR/AuC和R99+VLR/SGSN具有根据不同的无线接入网UTRAN(UMTS Terrestrial RadioAccess Network),移动设备和陆地无线接入网)或BSS(Base Station System,基站系统)转换密钥CK/IK和Kc的功能。
因此,VLR/SGSN会根据无线接入网UTRAN或BSS下发由HLR/AuC直接产生的密钥或自己根据无线接入网转换后的密钥。比如当USIM从UTRAN接入时,VLR会给UTRAN下发由HLR/AuC直接产生的密钥CK/IK;而当USIM从GSM BSS接入时,VLR会把HLR/AuC产生的密钥CK/IK转换成Kc下发给BSS。反之,当SIM从UTRAN接入时,VLR会把HLR/AuC产生的Kc转换成CK/IK下发给UTRAN;而当SIM从GSM BSS接入时,VLR会把HLR/AuC产生的Kc直接下发给BSS。这样移动用户在跨系统切换时,比如从UMTS切换到GSM时(反之亦然),如果两个系统都采用加密,而加密密钥不同,对于CS域语音业务要等到无线侧RNC或BSC从VLR获得密钥后,业务才能继续。
发明内容
本发明要解决的技术问题是提供一种多系统无线接入网获知密钥的方法以及多系统网络,以在不需要多系统核心网参与的情况下,获得目的系统密钥。
为解决以上技术问题,本发明提供了一种多系统无线接入网获知密钥的方法,该方法包括:
用户设备初始接入时,多系统无线接入网接收并解析多系统核心网发送的鉴权消息,并根据解析结果判断后续所述多系统核心网发送的密钥是否为初始值;
若判断所述多系统核心网发送密钥为初始值,则所述用户设备执行多系统切换时,所述多系统无线接入网对所述密钥进行密钥转换获得目的系统的密钥。
进一步地,
所述多系统无线接入网包括无线网络控制器(RNC)和基站控制器(BSC),所述用户设备通过RNC初始接入,且接收的鉴权消息为五元组鉴权消息,或,所述用户设备通过BSC初始接入,且接收的鉴权消息不是五元组鉴权消息,则判断多系统核心网发送密钥为初始值。
进一步地,所述鉴权消息包括鉴权请求及鉴权响应,若鉴权请求携带鉴权标记(AUTN)或鉴权响应携带鉴权响应参数扩展(Authentication Responseparameter(extension)),则该鉴权消息为五元组鉴权消息,否则不是五元组鉴权消息。
进一步地,所述多系统核心网发送的密钥为加密密钥(CK)和一致性密钥(IK)且判断为初始值,所述用户设备从通用移动通信系统(UMTS)或时分同步码分多址(TD-SCDMA)系统切换到全球移动通信(GSM)系统时,所述多系统无线接入网将所述CK、IK转换为密码密钥(Kc);或,
所述多系统核心网发送的密钥为Kc且判断为初始值,所述用户设备从GSM系统切换到USIM或TD-SCDMA系统时,所述多系统无线接入网将所述Kc转换为CK、IK。
进一步地,所述多系统无线接入网包括无线网络控制器(RNC)和基站控制器(BSC),切换至GSM系统时,所述RNC完成从CK、IK到Kc的转换并发送给所述BSC;切换至UMTS或TD-SCDMA系统时,所述BSC完成从Kc到CK、IK的转换并发送给所述RNC。
进一步地,所述多系统无线接入网为单模或多模形式。
为解决以上技术问题,本发明还提供了一种多系统无线接入网,其所述多系统无线接入网包括:
鉴权消息解析判断模块,用户设备初始接入时,用于接收并解析多系统核心网发送的鉴权消息;
密钥判断模块,用于根据解析结果判断后续所述多系统核心网发送的密钥是否为初始值;
密钥转换模块,当所述密钥判断模块判断所述多系统核心网发送密钥为初始值,且所述用户设备执行多系统切换时,用于对多系统核心网发送的密钥进行密钥转换获得目的系统的密钥。
进一步地,所述多系统无线接入网包括无线网络控制器(RNC)和基站控制器(BSC)两个逻辑单元,且所述RNC和BSC都包括鉴权消息解析判断模块、密钥判断模块、密钥转换模块,其中:
所述用户设备通过所述RNC初始接入时,所述RNC的鉴权消息解析判断模块判断接收的鉴权消息为五元组鉴权消息时,所述RNC的密钥判断模块判断所述多系统核心网发送密钥为初始值;
或,所述用户设备通过所述BSC初始接入时,所述BSC的鉴权消息解析判断模块判断接收的鉴权消息不是五元组鉴权消息时,所述BSC的密钥判断模块判断所述多系统核心网发送密钥为初始值。
本发明通过多系统无线接入网对鉴权消息的解析,获知密钥是否为初始值,并在初始值情况下,无需核心网参与,直接进行密钥转换,获得目的系统密钥,缩短了用户面数据流的中断的时间,提高用户对语音业务的感受。
附图说明
图1是本发明多系统无线接入网获知密钥方法的示意图;
图2是多系统网络各网元的连接图;
图3是本发明实施例一的流程图;
图4是本发明实施例二的流程图;
图5是本发明实施例三的流程图;
图6是本发明多系统无线接入网的模块结构示意图。
具体实施方式
由于UTRAN和GSM加密密钥不同,现有技术中,用户在多系统切换时,无线接入网UTRAN/BSS需要与VLR交互获得自己系统的加密密钥,为了缩短用户面数据中断时间,减少切换时延,本发明中无线接入网UTRAN/BSS自行换算和交互密钥信息,尽量做到核心网不感知。同时,由于CK/IK和Kc之间换算算法c3,c4,c5的非自完备性,所以无线接入网RNC/BSC只有得到HLR/AuC初始产生的加密密钥,才能自行进行密钥CK/IK与Kc之间的转换。
进一步地,本发明针对无线接入网RNC或BSC从VLR得到密钥时无法得知是由HLR/AuC直接产生的,还是由VLR转换而来这一问题的解决方法是,由无线接入网通过解析NAS(Non-Access-Stratum,非接入层)消息从而得知接入本系统的是USIM卡还是SIM卡,从而得知VLR发给无线接入网的密钥是否是HLR/AuC产生的初始值,进而判断无线接入网是否可以在多模系统切换中自行执行密钥转换。
另外,本发明内容不仅限定于UMTS,GSM系统,对于TD-SCDMA系统也同样适用。
如图1所示,本发明多系统无线接入网获知密钥的方法,该方法包括:
步骤101:用户设备初始接入时,多系统无线接入网接收并解析多系统核心网发送的鉴权消息,并根据解析结果判断后续所述多系统核心网发送的密钥是否为初始值;
本发明所说的多系统切换指2G系统和3G系统之间的切换,3G系统指通用移动通信系统(UMTS)、时分同步码分多址(TD-SCDMA)系统;2G系统指全球移动通信(GSM)。
多系统无线接入网包括RNC(Radio Network Controller,无线网络控制器)和BSC(Base Station Controller,基站控制器)。
应用的场景为RNC和BSC连接到同一个R99+VLR/SGSN(R98-VLR/SGSN不支持RNC)或两个不同的R99+VLR/SGSN,多系统使用同一个R98-or R99+HLR/AuC,如图2所示。
无论UMTS系统、TD-SCDMA系统、还是GSM系统,鉴权过程都是在USIM或SIM与VLR/SGSN之间完成,消息交互也是在两者之间直接进行。USIM卡与VLR/SGSN鉴权时使用的是鉴权五元组,而SIM卡与VLR/SGSN鉴权时使用的是鉴权三元组。
如图3和图5所示,USIM或SIM与VLR之间交互的NAS鉴权消息是:鉴权请求(AUTHENTICATIONREQUEST)和鉴权响应(AUTHENTICATIONRESPONSE),多系统中的RNC或BSC只要解析出这两个消息中的一个IE(InformationElement,信元),也即鉴权消息是鉴权五元组消息还是鉴权三元组消息,即可知将要接入当前系统的是USIM卡还是SIM卡。在UMTS系统中,AUTHENTICATION REQUEST在无线接口上通过直传(Direct transfer)和下行直传(Downlink direct transfer)消息实现;AUTHENTICATIONRESPONSE在无线接口上通过上行直传(Uplink direct transfer)和Directtransfer实现。
获得鉴权组的方法如下:
根据3GPP协议定义的消息结构,用于五元组鉴权的鉴权请求(AUTHENTICATION REQUEST)中包含鉴权参数AUTN(AuthenticationToken,鉴权标记);而用于三元组鉴权的鉴权请求中不包括该AUTN信元。
RNC或BSC只要解析出AUTHENTICATION REQUEST,如果发现其中有鉴权参数AUTN(Authentication parameter AUTN),则说明是USIM卡正在进行鉴权,也即该鉴权请求为五元组鉴权消息,如果没有说明是SIM卡正在进行鉴权,也即鉴权请求为三元组鉴权消息。
根据3GPP协议定义的消息结构,用于五元组鉴权的鉴权响应(AUTHENTICATION RESPONSE)中包含鉴权响应参数扩展(AuthenticationResponse parameter(extension))这一信元;而用于三元组鉴权的鉴权请求中不包括该信元。
RNC或BSC解析AUTHENTICATION RESPONSE时,如果存在鉴权响应参数扩展(Authentication Response parameter(extension))则说明是USIM卡,也即该鉴权响应为五元组鉴权消息,如果没有则是SIM卡,也即该鉴权响应为三元组鉴权消息。
RNC或BSC通过解析鉴权请求或鉴权响应后,进而判断后续核心网发送的密钥是否为初始值,在以下两种情形下判断为初始值:
情形一:用户设备通过RNC初始接入,且接收的鉴权消息为五元组鉴权消息,即,RNC解析出接入系统的是USIM卡;
情形二:用户设备通过BSC初始接入,且接收的鉴权消息不是五元组鉴权消息,即,BSC解析出接入系统的是SIM卡。
相反地,在以下两种情形下判断为计算值而非初始值:
情形一:用户设备通过RNC初始接入,且接收的鉴权消息不是五元组鉴权消息,即,RNC解析出接入系统的是SIM卡;
情形二:用户设备通过BSC初始接入,且接收的鉴权消息是五元组鉴权消息,即,BSC解析出接入系统的是USIM卡。
步骤102:若判断所述多系统核心网发送密钥为初始值,则所述用户设备执行多系统切换时,所述多系统无线接入网对所述密钥进行密钥转换获得目的系统的密钥。
本发明中,只有判断为初始值时,才可以由无线接入网进行密钥转换。
所述多系统核心网发送的密钥为加密密钥(CK)和一致性密钥(IK)且判断为初始值,所述用户设备从通用移动通信系统(UMTS)或时分同步码分多址(TD-SCDMA)系统切换到全球移动通信(GSM)系统时,所述多系统无线接入网将所述CK、IK转换为密码密钥(Kc),具体的,
RNC使用c3算法把MSC/VLR通过安全模式命令(Security modecommand)发送过来的CK,IK换算成Kc,然后发送给BSC。
c3算法为:Kc[GSM]=CK1 xor CK2 xor IK1 xor IK2;
其中,CKi和IKi都是64bits,CK=CK1‖CK2 and IK=IK1‖IK2。
所述多系统核心网发送的密钥为Kc且判断为初始值,所述用户设备从GSM系统切换到USIM或TD-SCDMA系统时,所述多系统无线接入网将所述Kc转换为CK、IK,具体的,
BSC使用c4,c5算法把MSC/VLR发送过来的Kc换算成CK,IK,然后发送给RNC。
c4算法为:CK[UMTS]=Kc‖Kc;
c5算法为:IK[UMTS]=Kc1 xor Kc2‖Kc‖Kc1 xor Kc2;
在c5中,Kci是32bits并且Kc=Kc1‖Kc2。
实施例一
如图3所示,当无线接入网是UTRAN时,USIM用户语音业务鉴权加密流程具体包括:
步骤301:USIM把IMSI通过MSC/VLR发送给HLR/AuC;
步骤302:HLR/AuC产生鉴权五元组:RAND,XRES,CK,IK,AUTN,其中AUTN包括SQN(Sequence number序列编号)、AK(Anonymity Key匿名密钥)、AMF(Authentication management field鉴权管理域)、MAC(messageauthentication code消息鉴权编码)并发送给MSC/VLR;
步骤303:MSC/VLR通过鉴权请求(AUTHENTICATION REQUEST)把RAND和AUTN发送给USIM;
在无线接口上通过以下消息实现:
MSC/VLR给RNC发送直传(Direct transfer),需要透传的NAS消息(如RAND和AUTN)在IE NAS-PDU(Protocol Data Unit,分组数据单元)中携带;
RNC向UE发送下行直传(Downlink direct transfer),需要透传的NAS消息在IE NAS message中携带;
无线侧RNC解析这条消息,如果发现其中有AUTN,则说明正在鉴权的是USIM卡,RNC可以保存该信息;
步骤304:USIM根据K(鉴权密钥;)和RAND计算出五元组:RAND,XRES,CK,IK,AUTN;
步骤305:USIM把自己计算出的MAC和MSC/VLR发送来的MAC进行比较;
步骤306:如果两者相等,USIM通过鉴权响应(AUTHENTICATIONRESPONSE)向MSC/VLR发送自己计算的XRES;
在无线接口上通过以下消息来实现:
UE向RNC发送上行直传(Uplink direct transfer),需要透传的NAS消息(如XRES)在IE NAS message中携带;
RNC向MSC/VLR发送直传(Direct transfer),需要透传的NAS消息在IE NAS-PDU中携带;
无线侧RNC解析出这条信息,如果发现有信元Authentication Responseparameter(extension)则说明是USIM卡,RNC可以保存该信息。RNC只需要解析出步骤303或步骤306的任何一个消息即可;
步骤307:MSC/VLR把HLR/AuC传过来的XRES与USIM发过来的XRES进行比较,如果两者相等,则MSC/VLR向RNC发送加密消息;
步骤308:MSC/VLR向RNC发送安全模式命令(Security modecommand),携带密钥CK/IK;
在步骤303或步骤306中RNC解析出鉴权的是USIM卡,则在后续过程中如果UE切换到GSM系统,RNC直接使用c3算法得到Kc,传递给BSC,而不需要通过与VLR的交互;
步骤309:RNC向UE发送安全模式命令(Security mode command)进行加密;
步骤310:UE向RNC回复安全模式完成(Security mode complete)表示无线侧加密完成;
步骤311:RNC向MSC/VLR回复安全模式完成(Security mode complete)表示加密完成。
实施例二
如图4所示,当无线接入网是BSS时,USIM用户语音业务鉴权加密流程包括以下步骤:
步骤401:USIM把IMSI通过MSC/VLR发送给HLR/AuC;
步骤402:HLR/AuC产生鉴权五元组:RAND,XRES,CK,IK,AUTN并发送给MSC/VLR;
步骤403:MSC/VLR通过AUTHENTICATION REQUEST把RAND和AUTN发送给USIM;
与实施例一相同,无线侧BSC透传并解析这条消息,如果发现其中有AUTN,则说明正在鉴权的是USIM卡,BSC可以保存该信息;
步骤404:USIM根据K(鉴权密钥;)和RAND计算出五元组:RAND,XRES,CK,IK,AUTN;
步骤405:USIM把自己计算出的MAC和MSC/VLR发送来的MAC进行比较;
步骤406:如果两者相等,USIM通过AUTHENTICATION RESPONSE向MSC/VLR发送自己计算的XRES;
无线侧BSC透传并解析出这条信息,如果发现有信元AuthenticationResponse parameter(extension)则说明是USIM卡,BSC可以保存该信息。BSC只需要解析出步骤403或步骤406的任何一个消息即可;
步骤407:MSC/VLR把HLR/AuC传过来的XRES与USIM发过来的XRES进行比较,如果两者相等,则MSC/VLR向BSC准备发送加密消息;
步骤408:因无线接入网是BSS,MSC/VLR需要将密钥CK/IK转换成Kc才能发送给BSC;
步骤409:MSC/VLR通过加密模式命令(cipher mode command)将Kc发送给BSC。
在步骤403或步骤406中BSC解析出鉴权的是USIM卡,则判断后续核心网发送的密钥为计算值,而非初始值,则在后续过程中如果UE切换到UTRAN系统,BSC不可以直接使用c4,c5算法得到CK/IK传递给RNC,必须通过VLR把初始CK/IK发送给RNC;
步骤410:BSC向UE发送加密模式设置(Cipher mode setting)进行加密,携带密钥Kc;
步骤411:UE自行将初始生成的CK,IK转换成Kc;
步骤412:UE与BSC完成加密,回复加密响应(cipher response);
步骤413:BSC向MSC/VLR回复加密模式完成(Cipher mode complete)表示加密完成。
实施例三
如图5所示,当无线接入网是BSS时,SIM用户鉴权加密流程包括以下步骤:
步骤501:SIM把IMSI通过MSC/VLR发送给HLR/AuC;
步骤502:HLR/AuC产生鉴权三元组并发送给MSC/VLR;
鉴权三元组为RAND,SRES,Kc。
步骤503:MSC/VLR向SIM发送鉴权请求(Authentication request),其中携带RAND;
无线侧BSC透传并解析这条消息,如果发现其中没有AUTN,则说明正在鉴权的是SIM卡,BSC可以保存该信息。
步骤504:SIM根据K(鉴权密钥)和RAND计算出SRES和Kc;
步骤505:SIM向MSC/VLR发送鉴权响应(Authentication response),携带自己计算的SRES;
无线侧BSC透传并解析出这条信息,如果发现没有信元AuthenticationResponse parameter(extension)则说明是SIM卡,BSC可以保存该信息。BSC只需要解析出步骤503或步骤505的任何一个消息即可。
步骤506:MSC/VLR把HLR/AuC传过来的SRES与SIM发过来的SRES进行比较;
步骤507:如果两者相等,MSC/VLR向BSC发送密码模式命令(Ciphermode command);
在步骤503或步骤505中BSC解析出鉴权的是SIM卡,则判断后续核心网发送的密钥为初始值,在后续过程中如果UE切换到UTRAN系统,BSC直接使用c4,c5算法得到CK/IK传递给RNC,然后通过Iur-g接口直接将CK/IK传递给RNC,以略去与VLR的交互;
步骤508:BSC向UE发送密码模式设置命令(Cipher mode setting),指示用Kc进行加密;
步骤509:UE向BSC返回密码响应(Cipher response),表示无线侧加密完成;
步骤510:BSC向MSC/VLR返回密码模式完成(Ciphermode complete)消息指示加密完成。
为实现以上方法,本发明还提供了一种多系统无线接入网,如图6所示,所述多系统无线接入网包括:
鉴权消息解析判断模块,用户设备初始接入时,用于接收并解析多系统核心网发送的鉴权消息;
密钥判断模块,用于根据解析结果判断后续所述多系统核心网发送的密钥是否为初始值;
密钥转换模块,当所述密钥判断模块判断所述多系统核心网发送密钥为初始值,且所述用户设备执行多系统切换时,用于对多系统核心网发送的密钥进行密钥转换获得目的系统的密钥。
具体地,所述多系统无线接入网包括无线网络控制器(RNC)和基站控制器(BSC)两个逻辑单元,且所述RNC和BSC都包括鉴权消息解析判断模块、密钥判断模块、密钥转换模块,其中:
所述用户设备通过所述RNC初始接入时,所述RNC的鉴权消息解析判断模块判断接收的鉴权消息为五元组鉴权消息时,所述RNC的密钥判断模块判断所述多系统核心网发送密钥为初始值;
或,所述用户设备通过所述BSC初始接入时,所述BSC的鉴权消息解析判断模块判断接收的鉴权消息不是五元组鉴权消息时,所述BSC的密钥判断模块判断所述多系统核心网发送密钥为初始值。
鉴权消息包括鉴权请求及鉴权响应,若鉴权请求携带鉴权标记(AUTN)或鉴权响应携带鉴权响应参数扩展(Authentication Response parameter(extension)),则所述RNC和BSC的鉴权消息解析判断模块判断该鉴权消息为五元组鉴权消息,否则不是五元组鉴权消息。
所述RNC的密钥判断模块判断所述多系统核心网发送的密钥为初始值,且所述密钥包括加密密钥(CK)和一致性密钥(IK);所述用户设备从通用移动通信系统(UMTS)或时分同步码分多址(TD-SCDMA)系统切换到全球移动通信(GSM)系统时,所述RNC的密钥状态转换模块将所述CK、IK转换为密码密钥(Kc)并发送给所述BSC;
所述BSC的密钥判断模块判断所述多系统核心网发送的密钥为初始值,且所述密钥为Kc,所述用户设备从GSM系统切换到USIM或TD-SCDMA系统时,所述BSC的密钥状态转换模块将Kc转换为CK、IK并发送给所述RNC。
所述多系统无线接入网为单模或多模形式。
本发明适用于CS域业务初始接入后的切换,如果是切换后再切换回的原来的系统,亦仍无需核心网参与,由无线接入网根据缓存的密钥执行加密即可。
本发明解决技术问题的思路在于,在无需核心网参与的情况下,由无线接入网自行获得目的系统密钥,因此,可变换地,在密钥为初始值的情况下,源系统无线接入网可以将密钥初始值发送给目的系统无线接入网,由目的系统无线接入网完成密钥转换。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
本领域的普通技术人员应当理解,可以对本发明进行修改、变形或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
本发明方法和无线接入网,通过无线接入网对鉴权消息的解析,获知密钥是否为初始值,并在初始值情况下,无需核心网参与,直接进行密钥转换,获得目的系统密钥,缩短了用户面数据流的中断的时间,提高用户对语音业务的感受,一些场景中可以做到核心网不感知;减少了无线接入网(RNC/BSC)与核心网(VLR)之间信令交互获得加密密钥的过程和时间,尤其当RNC和BSC连接到两个不同的VLR时,改进尤其显著。

Claims (11)

1.一种多系统无线接入网获知密钥的方法,其特征在于,该方法包括:
用户设备初始接入时,多系统无线接入网接收并解析多系统核心网发送的鉴权消息,并根据解析结果判断后续所述多系统核心网发送的密钥是否为初始值;
若判断所述多系统核心网发送密钥为初始值,则所述用户设备执行多系统切换时,所述多系统无线接入网对所述密钥进行密钥转换获得目的系统的密钥。
2.如权利要求1所述的方法,其特征在于:
所述多系统无线接入网包括无线网络控制器RNC和基站控制器(BSC),所述用户设备通过RNC初始接入,且接收的鉴权消息为五元组鉴权消息,或,所述用户设备通过BSC初始接入,且接收的鉴权消息不是五元组鉴权消息,则判断多系统核心网发送密钥为初始值。
3.如权利要求1或2所述的方法,其特征在于:所述鉴权消息包括鉴权请求及鉴权响应,若鉴权请求携带鉴权标记AUTN或鉴权响应携带鉴权响应参数扩展(Authentication Response parameter(extension)),则该鉴权消息为五元组鉴权消息,否则不是五元组鉴权消息。
4.如权利要求1所述的方法,其特征在于:所述多系统核心网发送的密钥为加密密钥CK和一致性密钥IK且判断为初始值,所述用户设备从通用移动通信系统UMTS或时分同步码分多址TD-SCDMA系统切换到全球移动通信GSM系统时,所述多系统无线接入网将所述CK、IK转换为密码密钥Kc;或,
所述多系统核心网发送的密钥为Kc且判断为初始值,所述用户设备从GSM系统切换到USIM或TD-SCDMA系统时,所述多系统无线接入网将所述Kc转换为CK、IK。
5.如权利要求4所述的方法,其特征在于:所述多系统无线接入网包括无线网络控制器RNC和基站控制器BSC,切换至GSM系统时,所述RNC完成从CK、IK到Kc的转换并发送给所述BSC;切换至UMTS或TD-SCDMA系统时,所述BSC完成从Kc到CK、IK的转换并发送给所述RNC。
6.如权利要求1所述的方法,其特征在于:所述多系统无线接入网为单模或多模形式。
7.一种多系统无线接入网,其特征在于,所述多系统无线接入网包括:
鉴权消息解析判断模块,用户设备初始接入时,用于接收并解析多系统核心网发送的鉴权消息;
密钥判断模块,用于根据解析结果判断后续所述多系统核心网发送的密钥是否为初始值;
密钥转换模块,当所述密钥判断模块判断所述多系统核心网发送密钥为初始值,且所述用户设备执行多系统切换时,用于对多系统核心网发送的密钥进行密钥转换获得目的系统的密钥。
8.如权利要求7所述的多系统无线接入网,其特征在于:所述多系统无线接入网包括无线网络控制器RNC和基站控制器BSC两个逻辑单元,且所述RNC和BSC都包括鉴权消息解析判断模块、密钥判断模块、密钥转换模块,其中:
所述用户设备通过所述RNC初始接入时,所述RNC的鉴权消息解析判断模块判断接收的鉴权消息为五元组鉴权消息时,所述RNC的密钥判断模块判断所述多系统核心网发送密钥为初始值;
或,所述用户设备通过所述BSC初始接入时,所述BSC的鉴权消息解析判断模块判断接收的鉴权消息不是五元组鉴权消息时,所述BSC的密钥判断模块判断所述多系统核心网发送密钥为初始值。
9.如权利要求8所述的多系统无线接入网,其特征在于:鉴权消息包括鉴权请求及鉴权响应,若鉴权请求携带鉴权标记AUTN或鉴权响应携带鉴权响应参数扩展(Authentication Response parameter(extension)),则所述RNC和BSC的鉴权消息解析判断模块判断该鉴权消息为五元组鉴权消息,否则不是五元组鉴权消息。
10.如权利要求8所述的多系统无线接入网,其特征在于:
所述RNC的密钥判断模块判断所述多系统核心网发送的密钥为初始值,且所述密钥包括加密密钥CK和一致性密钥IK;所述用户设备从通用移动通信系统UMTS或时分同步码分多址TD-SCDMA系统切换到全球移动通信GSM系统时,所述RNC的密钥状态转换模块将所述CK、IK转换为密码密钥Kc并发送给所述BSC;
所述BSC的密钥判断模块判断所述多系统核心网发送的密钥为初始值,且所述密钥为Kc,所述用户设备从GSM系统切换到USIM或TD-SCDMA系统时,所述BSC的密钥状态转换模块将Kc转换为CK、IK并发送给所述RNC。
11.如权利要求7所述的多系统无线接入网,其特征在于:所述多系统无线接入网为单模或多模形式。
CN201010258921.XA 2010-08-17 2010-08-17 多系统无线接入网获知密钥的方法和多系统无线接入网 Expired - Fee Related CN102378169B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201010258921.XA CN102378169B (zh) 2010-08-17 2010-08-17 多系统无线接入网获知密钥的方法和多系统无线接入网
EP11817715.3A EP2600646B1 (en) 2010-08-17 2011-06-10 Method for deriving key by multisystem radio access network and multisystem radio access network
PCT/CN2011/075560 WO2012022188A1 (zh) 2010-08-17 2011-06-10 多系统无线接入网获知密钥的方法和多系统无线接入网

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010258921.XA CN102378169B (zh) 2010-08-17 2010-08-17 多系统无线接入网获知密钥的方法和多系统无线接入网

Publications (2)

Publication Number Publication Date
CN102378169A CN102378169A (zh) 2012-03-14
CN102378169B true CN102378169B (zh) 2015-08-12

Family

ID=45604745

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010258921.XA Expired - Fee Related CN102378169B (zh) 2010-08-17 2010-08-17 多系统无线接入网获知密钥的方法和多系统无线接入网

Country Status (3)

Country Link
EP (1) EP2600646B1 (zh)
CN (1) CN102378169B (zh)
WO (1) WO2012022188A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428689B (zh) * 2012-05-16 2017-03-15 中兴通讯股份有限公司 密钥处理方法及装置
CN104349317A (zh) * 2013-07-31 2015-02-11 中兴通讯股份有限公司 一种移动网络的接入方法、ue、安全服务网关和系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6671507B1 (en) * 2000-06-16 2003-12-30 Siemens Aktiengesellschaft Authentication method for inter-system handover between at least two radio communications systems
US7233671B2 (en) * 2003-02-13 2007-06-19 Innovative Sonic Limited Method for storing a security start value in a wireless communications system
CN1705261A (zh) * 2004-05-28 2005-12-07 华为技术有限公司 一种端对端加密通讯系统及方法
WO2009082172A2 (en) * 2007-12-24 2009-07-02 Samsung Electronics Co., Ltd. A system and method of handover decision for inter rat handover
CN102572833B (zh) * 2008-04-28 2016-08-10 华为技术有限公司 一种保持用户业务连续性的方法、系统及装置
CN101364865B (zh) * 2008-09-19 2012-02-01 西安西电捷通无线网络通信股份有限公司 一种无线城域网组播密钥管理方法
TW201027961A (en) * 2009-01-05 2010-07-16 Htc Corp Method of handling inter-system handover security and related communication device

Also Published As

Publication number Publication date
EP2600646B1 (en) 2019-05-15
EP2600646A4 (en) 2014-05-21
WO2012022188A8 (zh) 2012-07-12
WO2012022188A1 (zh) 2012-02-23
CN102378169A (zh) 2012-03-14
EP2600646A1 (en) 2013-06-05

Similar Documents

Publication Publication Date Title
EP2293515B1 (en) Method, network element, and mobile station for negotiating encryption algorithms
EP2813098B1 (en) A fast-accessing method and apparatus
JP6016643B2 (ja) 無線電気通信における暗号化
FI107486B (fi) Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
US10624020B2 (en) Non-access stratum transport for non-mobility management messages
US20170359719A1 (en) Key generation method, device, and system
CN102158855B (zh) 处理单一无线语音通话连续性交递安全的方法及通讯装置
CN101299888B (zh) 密钥生成方法、切换方法、移动管理实体和用户设备
CN102315932A (zh) 电信系统以及这种系统中控制消息的加密
CN101610147A (zh) 密钥处理方法、系统、设备及终端
CN102378168B (zh) 多系统核心网通知密钥的方法和多系统网络
CN102378169B (zh) 多系统无线接入网获知密钥的方法和多系统无线接入网
US10045391B2 (en) Methods, apparatuses and computer program products for prose communication
WO2022087964A1 (en) Nas counts for multiple wireless connections
KR101780401B1 (ko) 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치
Magalakshmi et al. Privacy Protection and Authentication Handover in 4G Network: A Survey of Literature
US20120198227A1 (en) Cipher key generation in communication system
CN102378167B (zh) 安全信息获取方法及多系统网络
Purnadi et al. DS-41 and UMTS intersystem roaming

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150812

Termination date: 20200817

CF01 Termination of patent right due to non-payment of annual fee