WO2009152759A1 - 防止网络安全失步的方法和装置 - Google Patents

Description

防止网络安全失步的方法和装置

本申请要求于 2008 年 8 月 25 日提交中国专利局、 申请号为 200810146831.4, 发明名称为 "防止网络安全失步的方法和装置"的中国专利申 请， 以及于 2008年 6月 16日提交中国专利局、 申请号为 200810039233.7、 发 明名称为"防止网络安全失步的方法和装置"的中国专利申请的优先权，其全部 内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域， 尤其涉及网络安全技术。

背景技术

当前， 移动通信已经发展的十分普及， 在移动通信过程中， 涉及到终端在 不同的接入系统间切换的问题。

基站的无线接入网络包括第二代移动通信（2G, Second Generation ), 第 二代移动通信（ 3G , Third Generation )以及未来的长期演进 ( LTE, Long Term Evolve )系统等， 终端与各种无线接入网络间的安全保护等级和保护措施是不 一样的。 这些异构接入网络有不同的接入技术， 安全参数结构也不完全相同。 终端在这些不同的接入网络之间切换的时候，某些情况下也考虑重用原系统中 的安全上下文参数。

图 1是通用地面无线接入网络（ UTRAN , Universal Terrestrial Radio Access Network ) 的网络结构。 UTRAN包含一个或几个无线网络子系统（RNS )。 一 个 RNS由一个无线网络控制器 （RNC )和一个或多个基站（Node B )组成。 RNC与 CN (核心网 Core network ) 之间的接口是 I_u接口， Node B和 RNC 通过 Iub接口连接。 在 UTRAN内部， 无线网络控制器 （ RNC )之间通过 Iur 互联， Iur可以通过 RNC之间的直接物理连接或通过传输网连接。 RNC用来 分配和控制与之相连或相关的 Node B的无线资源。 Node B则完成 Iub接口 和 Uu接口之间的数据流的转换， 同时也参与一部分无线资源管理。 无线网络 子系统（ RNS )通过 RNC和服务支撑节点（ SGSN, GPRS Serving GPRS Support Node ) 的 Iu接口和核心网相连。

用户设备 ( UE , User Equipment )接入 UTRAN网络， 经过鉴权和密钥协 商 （AKA, Authentication and Key Agreement ) 以后， UE和网络侧共同产生 加密密钥 （CK, Ciphering Key )和完整性保护的密钥 （IK, Integrity Key )„ 密钥标识 KSI( Key Set Identifier) 是一个 3 比特位的值， 用来标识密钥

CK, IK。 KSI的值范围为 [0, 111] , 但是， 当 KSI的值为 111的时候， 即指 示 CK, IK密钥不可用， 当 UE下一次附着（Attach ) 的时候， 网络侧， 例如 SGSN 会检测到 KSI 为 111 的情况， 从而触发新的认证过程 （AKA ,

Authentication and Key Agreement )。

CK, IK 密钥针对不同域的类型 （分组域或者电路域）又分为两套： 分组 域的密钥， CK_ps、 IK_ps和电路域的密钥， CK_CS、 IK_CS。

CK, IK 密钥是有生命期的， 是由 START值来标识的， START范围为 [0, 门限值] , 当 CK, IK在原 AKA中新生成的时候， START值为 0.随着 CK, IK 密钥的使用， START值不断增加， 直到门限。 当 START值到达门限的时候， 会触发新的 AKA。

当移动终端 （ ME, Mobile Equipment )掉电的时 4昊， ME上所存储的才艮 密钥 Kasme以及 START值和 KSIasme全部被清除。当 ME再次上电的时候， 通用用户识别模块（ USIM , Universal Subscriber Identity Module )里面保存的 安全参数（例如 CK_ps, IK_ps, KSI, START值）会发送到 ME, 这样， CK_ps, IK_ps 密钥也可以正常重复使用， 而不需要新的 AKA。

图 2为演进的 UTRAN ( EUTRAN, Evolved UTRAN ) 的网络结构， 包括 eNB( EUTRAN NodeB ), eNB 之间有 X2接口实现数据和信令的交互。 eNB 通 过 S1接口连接到演变分组核心 （EPC Evolved Packet Core) 网络的移动性管 理实体（ MME , Mobility Management Entity) , eNB 通过 S 1接口连到服务网 关 （S-GW, the Serving Gateway )„ EUTRAN网络中只有分组域， 所以只有 CK_ps、 IK_ps, 在后文中， 如无特别说明， 所述的 CK、 IK均表示分组域密钥。

场景一， UE接入 EUTRAN网络， 经过认证以后， UE和网络侧共同产生 CK_ps、 IK_ps, 保存在 UE中的 USIM中。 由 CK_ps、 IK_ps进一步推演得到接入安 全管理实体 ( ASME, Access Security Management Entity )根密钥 Kasme, 保 存在 UE中的移动设备（ME, Mobile Equipment )部分。 在 EUTRAN中接入 安全管理实体就是 MME。

当 UE从 EUTRAN移动（包括 active 状态下的切换 handover和 idle 状 态下的移动 mobility ) 到 UTRAN中， 可以由根密钥 K_asme推演得到新的密钥 CK_ps '和 IK_ps' (这里的 CK_ps'、 IK_ps '和前述的 CK_ps、 11^是不等值的）。 同样， 当 UE从 UTRAN移动到 EUTRAN,也可以由 CK, IK推演得到根密钥 K_asme。

场景二， UE接入 UTRAN 网络， 经过认证以后， UE和网络侧共同产生 CK_ps、 IK_ps,保存在 UE中的 USIM中。保存在 UE中的移动设备 ( ME, Mobile Equipment )部分。

当 UE从 UTRAN移动到 EUTRAN, 也可以由 CK, IK推演得到根密钥

Kasme °

当 UE从 EUTRAN移动（包括 active 状态下的切换 handover和 idle 状 态下的移动 mobility ) 到 UTRAN中， 可以由根密钥 K_asme推演得到新的密钥 CK_ps，和 IK_ps， （这里的 CK_ps，、 IK_ps，和前述的 CK_ps、 11^是不等值的）。

以上两个场景中， 相同的密钥标识值 KSI 标识着不同的密钥对 {CK_ps, IK_psWo { CK_ps，，IK _ps，}，当终端中的安全参数即安全上下文重用的时候，就可能 导致上面所述的安全上下文失步的问题， 导致终端接入网络失败。

发明内容

有鉴于此， 本发明实施例的目的是提供防止网络安全失步的方法和装置， 从而避免因网络安全参数失步导致用户接入网络失败的情况。

为实现本发明实施例的目的， 本发明实施例提供了如下技术方案： 一种防止网络安全失步的方法， 包括：

用户终端进行网络切换， 在新的网络通过密钥推演生成新的推演密钥； 之后， 修改所述用户终端中通用用户识别模块 USIM保存的安全参数。 一种防止网络安全失步的装置， 该装置位于用户终端侧， 包括：

切换单元， 用于用户终端进行网络切换，在新的网络通过密钥推演生成新 的推演密钥；

更改单元， 用于在当前用户终端完成网络切换之后，修改所述用户终端中

USIM保存的安全参数。

一种用于防止网络安全失步的终端，所述终端包括上述防止网络安全失步 的装置。

一种防止网络安全失步的方法， 包括： 在进行网络切换时， 根据原网络的密钥标识获得新密钥标识； 将所述新密钥标识作为目标网络的密钥标识。

所述获得新密钥标识包括：

接收原网络传递的密钥标识；

改变所述密钥标识获得新密钥标识。

所述获得新密钥标识包括：

接收原网络发送的通过改变原网络的密钥标识获得的新密钥标识。

所述网络切换包括：

用户终端在激活状态 active下在不同网络间的切换； 或者

用户终端在空闲状态 idle下在不同网络间的移动。

所述方法还包括：

通知用户终端新密钥标识； 或者

通知用户终端基于预设的规则生成和网络侧相同的新密钥标识。

通过以下方法改变原网络的密钥标识：

基于原网络的密钥标识值计算得到新密钥标识值； 和 /或给密钥标识值赋 予一个新密钥标识的名称；

或者从网络实体请求得到新密钥标识；

或者根据预设算法计算得到新密钥标识；

或者为原密钥标识增加字段标识网络类型。

一种防止网络安全失步的装置， 所述装置位于网络侧， 包括：

接收单元， 用于在网络切换时， 接收密钥标识；

修改单元， 用于修改密钥标识；

通知单元， 用于发送通知信息通知新的网络标识。

所述修改单元还包括： 算法模块， 其中所述算法模块用于基于原网络密钥 标识值计算得到新密钥标识值；和 /或用于给密钥标识值赋予一个新密钥标识的 名称； 或者

用于从网络实体请求得到新密钥标识； 或者

用于根据预设算法计算得到新密钥标识。

一种防止网络安全失步的网络侧设备，包括上述任意一种防止网络安全失 步的网络侧的装置。

一种解决网络安全失步的方法， 包括：

网络进行安全参数匹配；

网络向终端发送启动安全模式命令信息；

网络在预定时限内没有收到终端的回复消息；

网络侧发起重认证过程。

一种解决网络安全失步的装置， 所述装置包括：

接收单元， 用于接收用户终端发送的安全参数；

匹配单元， 用于将接收到的安全参数与自身的安全参数进行匹配； 发送单元， 用于向用户终端发送安全信息；

发起单元，用于在预定时限内没有收到终端的回复消息时重新发起 AKA。 可见， 通过在适当的时机单独对用户终端（USIM部分）的安全参数的处 理， 或者在用户终端发生网络切换的时候， 对用户终端（ ME部分）和网络 侧进行安全参数的处理。 根据本发明实施例， 通过适时地改变安全参数， 有效 地避免了因安全参数失步而使终端接入网络失败的情况，提高了切换相关场景 的网络可用性和安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下面描 述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲， 在不 付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为现有 UTRAN网络结构示意图；

图 2为现有 EUTRAN网络结构示意图；

图 3为现有网络切换中间过程示意图；

图 4为现有网络切换中间过程示意图；

图 5为现有网络切换中间过程示意图；

图 6为现有网络切换中间过程示意图；

图 7为本发明实施例一所提供的方法的流程图；

图 8为本发明实施例二所提供的方法的流程图； 图 9为本发明实施例三所提供的方法的流程图；

图 10为本发明实施例三所提供的方法的信令图；

图 11为本发明实施例四所提供的方法的流程图；

图 12为本发明实施例四所提供的方法的信令图；

图 13为本发明实施例五所提供的方法的流程图；

图 14为本发明实施例六所提供的方法的流程图；

图 15为本发明实施例六所提供的方法的信令图；

图 16为本发明实施例七所提供的方法的流程图；

图 17为本发明实施例七所提供的方法的信令图；

图 18为本发明实施例八所提供的方法的流程图；

图 19为本发明实施例八所提供的方法的信令图；

图 20为本发明一实施例所提供的装置的结构示意图；

图 21为本发明另一实施例所提供的装置的结构示意图；

图 22为本发明另一实施例所提供的装置的结构示意图；

图 23为发明实施例九所提供的方法的信令图；

图 24为发明实施例十所提供的方法的信令图；

图 25为发明实施例十一所提供的方法的信令图。

具体实施方式

为使本发明实施例的目的、技术方案及优点更加清楚明白， 以下对本发明 实施例作进一步详细说明。

本发明实施例中所提到的切换包括终端在空闲状态下的移动 （ idle mobility )和终端在激活 态下的切换 ( active handover )。

下面以两个典型的实例来说明终端和网络侧安全参数失步的场景。

第一个场景， UE 最初在 EUTRAN 网络完成初始认证 AKA, 当 UE从 EUTRAN移动到 UTRAN时 ,由 EUTRAN中使用的 Kasme来推演 UTEAN中 使用的 CK、 IK。

最初 UE在 EUTRAN网络， 经过原 AKA, 产生了包括 CK_ps、 IK_ps以及 Kasme的密钥标识 KSIasme, ME中也保存 KSIasme和 Kasme, 如图 3所示。

按照现有技术， 包括 UE在 UTRAN网络， 经过 AKA, 也会造成类似如图 3所示的 USIM中保存 CK_ps、 IK_ps的状况， 或者其他例如网络间切换推演得到 的密钥 CK_ps、 IK_ps也可能保存到 USIM中。

当 UE从一个 EUTRAN的分组网络移动到 UTEAN的分组网络时， 需要 利用 ME中保存的 Kasme来产生新的 CK_ps '和 IK_ps' , ME中还保存了密钥标志 KSI, 其中， KSI=KSIasme, 如图 4所示。

当 UE从 EUTRAN网络移动到 UTRAN网络后， 如果 ME突然掉电 （类 似于手机拔掉电池）， 这个时候， 网络侧 GPRS支持节点（ SGSN )还会暂时保 存原来 ME的安全密钥参数， 即 KSI, CK _ps'、 IK _ps'。 ME中的存储安全密钥 已经完全因为掉电删除。 USIM 中还存有原来的 KSIasme, 以及 CK_ps, IK_ps, 如图 5所示。

当用户再次开机时， UE上电， 此时， ME读取 USIM中保存的安全参数 , 包括 CK_ps, IK_ps, 以及 KSI。 这个时候， 网络侧 SGSN还保存有原来 ME中的 安全参数， 即 CK_ps，、 IK_ps，、 KSI, 如图 6所示。

在现有技术中， 当 UE重新开机附着 UTRAN网络的时候， 在安全上下文 建立的过程中， ME将安全密钥标识发送给 SGSN, SGSN比较接收到的 KSI 与自身保存的 KSI相同， 即认为 ME和 SGSN存有相同的加密密钥和完整性 保护密钥。 不需要新的 AKA过程。 本发明人在研究中发现， 实际上如图 6所 示的情况下， ME上保存的是终端在 EUTRAN系统中使用的是 CK_ps, IK_ps, SGSN上保存的是在 EUTRAN切换至 UTRAN时， MME上由 Kasme推演得 到的 CK _ps'、 IK _ps% 这样就导致同一个密钥标识 KSI 实际上在 ME和网络侧 标识的是不同的密钥对 { CKp_S, IKp_S }和 { CK_ps'、 IK_ps'}。 ME和 SGSN上保 存的完整性保护密钥和加密密钥并不相同， 所以网络安全参数失步会导致终 UE接入网络失败。

第二个场景， UE从初始网络移动到 EUTRAN网络， 再从 EUTRAN网络 移动到 UTRAN网络， 其中所述的初始网络可以是 GMS网络或者 UTRAN网 络， 当 UE最初在 UTRAN网络进行了初始认证 AKA, USIM存储了 UE在 UTRAN网路中的安全上下文 CKp_S, IK_ps, 以及密钥标识 KSI。

当 UE从 UTRAN网路移动到 EUTRAN网络时， 需要根据 USIM存储的 Ck_ps, 11^推演得到 UE在 EUTRAN中的安全上下文 Kasme。 此时 USIM中 保存着 CK_ps、 IK_ps以及密钥标识 KSI, ME中保存 KSI和 Kasme, 其情形类似 与上述场景一的 UE 直接在 EUTRAN中 AKA的结果， 如图 3所示。

当 UE从 EUTRAN网络移动到 UTRAN网络后，进一步从 Kasme进行密 钥推演 CK _ps，、 IK _ps，， KSI 未变化。 如果 ME突然掉电 （类似于拔掉电池）， 这时，网络侧的 SGSN还会暂时保存原来 ME的安全密钥参数，即 KSI, CK_ps'、 IK_ps'。 ME中的存储安全密钥已经完全因为掉电删除。 USIM 中还存有原来的 KSIasme, 以及 CK_ps, IK_ps, 这一过程与场景一类似， 结果如图 5所示。

当用户再次开机时， UE上电， 此时， ME读取 USIM中保存的安全参数 , 包括 CK_ps, IK_ps, 以及 KSI。 这个时候， 网络侧 SGSN还保存有原来 ME中的 安全参数， 即 CK_ps'、 IK_ps'、 KSI, 如图 6所示。

和上述场景一同样的情形， 当 UE重新开机附着 UTRAN网络的时候， 在 安全上下文建立的过程中， ME将安全密钥标识发送给 SGSN, SGSN比较接 收到的 KSI与自身保存的 KSI相同， 即认为 ME和 SGSN存有相同的加密密 钥和完整性保护密钥。 不需要新的 AKA过程。 实际上如图 6所示的情况下， ME上保存的是 CK_ps, IK_ps, SGSN上保存的是在 EUTRAN切换至 UTRAN 时， MME上由 Kasme推演得到的 CK _ps'、 IK _ps' , ME和 SGSN上保存的完整 性保护密钥和加密密钥并不相同，所以网络安全参数失步会导致终 UE接入网 络失败。

类似的， 当 UE最初在 GSM网络进行了初始 AKA后， USIM中保存了 GSM初始 AKA的 安全参数， 然后 UE移动至 EUTRAN 网络， 进行密钥的 推演， 当 UE再次从 EUTRAN 网络移动到 UTRAN 网络或者 GSM 网络， ME掉电， 然后开机。 其网络安全参数失步导致终 UE接入网络失败的原理等 同于场景二。

上面例举的场景， 旨在说明当终端在网络中， 相同的密钥标识值 KSI 标 识着不同的密钥对 {CK_ps, IK_ps}和 { CK_ps'， IK _ps'}，当终端中的安全参数即安全 上下文重用的时候， 就可能导致上面所述的安全上下文失步的问题， 导致终端 接入网络失败。 除了上述场景之外的潜在导致相同的密钥标识值 KSI 标识着 不同的密钥对 {CK_ps, IK_ps}和 { CK_ps'， IK _ps'}的场景都可能同样导致安全上下 文失步的发生， 这里就不一一赘述。 图 7为本发明的实施例一，在该实施例中， 实现本发明实施例所提供的防 止网络安全失步的方法包括以下步骤：

步骤 701 : 用户终端在原网络（例如 EUTRAN 网络）进行鉴权和密钥协 商 （AKA )。

其中所述原网络为 EUTRAN网络， 经过 AKA过程， 产生了包括 CK_ps、

IKp_S以及 Kasme和 Kasme的密钥标识 KSIasme, CK_ps、 IK_ps 、 KSIasme保存在 USIM中， ME中保存了和 USIM中同样的 KSIasme。

步骤 702: 修改安全参数。

优选地， 在步骤 702之后， 还包括：

重新触发 AKA, 生成新的安全参数信息。

在不同的实施例中，修改安全参数可以釆用不同的方式来实现， 下面结合 不同的方式， 对本发明实施例进行详细描述。

实施例二， 在该实施例中， 通过将 USIM的安全参数设置为不可用状态来 实现修改安全参数。 所述不可用状态是指： 通过修改 USIM中的安全参数， 使 得它们不可用。 参见图 8, 该实施例具体包括以下步骤：

步骤 801： 用户终端在原网络进行 AKA。

其中所述原网络为 EUTRAN网络、 UTRAN网络 或者 GSM 网络。

当 UE处于 EUTRAN网络，经过初始网络的 AKA过程，产生了包括 CK_ps、

IK_ps以及 Kasme或者 KSI和 Kasme的密钥标识 KSIasme, CK_ps、 IK_ps以及 Kasme 和 KSIasme保存在 USIM 中， ME 中也保存了 USIM 中同样的 KSIasme和

K3sms。

当 UE处于 UTRAN网络， 经过 UTRANAKA过程， 产生了包括 CK_ps、 IK_ps以及密钥标识 KSI, 存储在 ME中。 当 ME向 USIM发送指令要求 USIM 保存安全参数， USIM中也会保存 CK_ps, IKp_S以及 KSI。

步骤 802: 将 USIM的安全参数设置为不可用状态。

其中，将 USIM的安全参数设置为不可用状态又有多种实现方式， 包括将 USIM中的 START值置为门限， 将密钥标识 KSI置为 111 , 将密钥 CK, IK删 除等方法。 下面分别通过实施例详细说明。

实施例三， 在该实施例中， 通过改变 USIM中 START的值来使得 USIM 为不可用状态， 参见图 9, 该实施例具体包括以下步骤：

步骤 901： 用户终端在原网络进行 AKA。

步骤 902： 将 USIM的 START值置为门限值；

或者删除 CK, IK;

或者将 KSI置成 111。

图 10为本实施例所提供的一个例子的对应的信令流程图， 在该图中， UE 在 EUTRAN网络中， 具体步骤为：

步骤 1〜步骤 2: UE在 E-UTRAN网络中， UE通过 eNB向 MME发送业 务请求消息。

步骤 3: MME中没有 UE的安全参数， 触发 AKA过程， UE和 MME产 生根密钥 K_asme。

步骤 4: 在 UE侧， ME将 USIM中的 START值置为门限。

当 USIM的 START值被置为门限值时， CK, IK就不能再被使用 （或者 CK, IK被删除）， 当用户终端 （ ME部分）掉电又再次上电， ME将从 USIM 中读取安全参数。 当网络侧接收到终端的附着请求（携带密钥标识 KSI )而发 现 KSI所对应的原 CK, IK不可用 （或者 因为 CK, IK已经被删除， 终端在 附着请求中无法携带 密钥标识 KSI ), 网络侧则判断触发新的认证过程， 不会 出现前述的网络安全失步的状况。

实施例四， 在该实施例中， 在用户终端在网络中发生切换， 用户终端发生 密钥推演（例如终端从 EUTRAN切换到 UTRAN, 终端的 ME部分以及网络 侧的密钥由 Kasme推演得到 Ck_ps',IK_ps '之后，通过将 USIM中的密钥置成无效 (包括将 KSI置成 111 ,和 /或 将 USIM中的 START值置为门限，和或将 USIM 中的原密钥 CK_ps, IK_ps密钥删除） 来使 USIM 中的安全参数不可用， 参见图 11 , 该实施例具体包括以下步骤：

步骤 1101 : 用户终端在原网络进行 AKA。

过程与前述实施例中基本相同， 不再赘述。

步骤 1102: 用户终端进行网络切换， 生成推演密钥， 同步到网络侧。 当用户网络切换成功后， 网络侧的 SGSN与 ME上的信息同步， SGSN保 存有 ME的安全参数， 即 CK_ps，、 IK_ps，、 KSI。 步骤 1103: 将 USIM中的 KSI置成 111。

KSI可以是一个数字， 占 3bit, 即用 7个值来标识密钥集。 值 111被终端 用来表示 ^丽或者 CK, IK不可用， 如果将^¾7₄丽或 81被置为 111。

通过将将 USIM中的 KSI置成 111 , 表明当前没有可用的 CK_ps, IK_ps, 从 而触发在后续的流程中 （例如重新开机或者终端进行网络切换）， 触发新的 AKA过程， 建立新的安全参数。

图 12为该实施例所提供的一个例子的信令流程图，在该图中， UE从一个 EUTRAN的分组网络切换到 UTRAN的分组网络， 参照图 12 , 包括：

步骤 1 : UE向目标 SGSN发送 RAU请求，携带 UE保存的密钥标识 KSI, 临时身份标识等。

步骤 2: 目标 SGSN向原 MME请求安全参数，携带从 UE处得到的 TMSI 标识。

步骤 2a: 原 MME进行密钥推演， 从 Kasme推演得到 CK_ps，， IK_ps，。 步骤 3. SGSN获得 MME发送过来的安全参数， 包括推演得到的 CK _ps'， IK _ps， , 以及新的 KSI密钥标识。

步骤 4: 可选地， 如果步骤 1中， 从 UE发送过来的 KSI为 111或者其他 需要， 触发新的 AKA过程。 也会生成新的 KSI。

步骤 5: SGSN发出安全模式命令 ( Security Mode Command )，包括从原 MME处得到的推演密钥 CK _ps，， IK _ps，和 SGSN允许的加密算法 UEAs和完整 性保护算法 UIAs。

步骤 6: RNC选择最终的加密算法 UEA和完整性保护算法 UIA, 将安全 模式命令 ( Security Mode Command )发送给 UE。

步骤 7: UE从 Kasme推演 CK_ps，， IK_ps';

步骤 8: UE发出安全模式命令完成（ Security Mode Comelepte ) 消息。 步骤 9: RNC将安全模式命令完成（ Security Mode Comelepte ) 消息传给

SGSN。

步骤 10: SGSN向 UE发出 RAU Accept消息 （完整性保护 ), 携带上述 步骤 2b中得到的 new KSI。

步骤 11 : UE收到 RAU Accept消息， 回给 SGSN RAU Compelete消息。 步骤 12: 网络切换完成后， 将 USIM中的 KSI置为 111。

当用户再次开机时， 网络检测到 UE上报的 KSI值为 111 , 和 /或 UE无法 上报 KSI值时就会触发 AKA过程， 生成新的密钥， 避免了网络安全失步现象 的出现。

实施例五， 参见图 13 , 在该实施例中， 使 USIM中的 KSI发生变化， 该 实施例具体包括：

步骤 1301 : 用户终端在原网络进行 AKA。

过程与前述实施例中都相同， 不再赘述。

步骤 1302: 用户终端进行网络切换， 生成推演密钥， 并同步到网络侧。 当用户网络切换成功后， 网络侧的 SGSN与 ME上的信息同步， SGSN保 存有 UE的安全参数， 即 CK_ps，、 IK_ps，、 KSI。

步骤 1303: 改变 USIM中的 KSI值。

其中改变 USIM中的 KSI值可以釆用多种方法， 例如， 令 KSI=KSI+1。 当用户从 EUTRAN切换到 UTRAN后， 如果断电， 当用户再开机 , ME 向网络侧发送用户标识包括 KSI标识， 网络侧检查对比 KSI。

网络侧的 SGSN上保存的是网络转换完成时 ME上的 KSI。在网络转换完 成后， 改变 UTRAN中 KSI的值， 例如可以将 KSI置为 KSI，=KSI+1 , 用户在 断电时， ME中存储的安全密钥因断电而丟失， 开机时， ME读取 USIM中的 信息， 所读取的就是改变之后的 KSI'值。 这样用户发送 KSI'与网络侧的 KSI 不同， 则认为没有可用的密钥 CK, IK, USIM处于不可用状态。 那么就重新 触发 AKA过程。 避免了因安全参数失步而导致终端接入网络失败的情况。

实际应用中， 还可以通过改变网络的密钥标识 KSI 的来实现修改安全参 数， 包括：

用户终端在原网络 AKA;

在进行网络切换时， 根据原网络的密钥标识获得新密钥标识；

将所述新密钥标识作为目标网络的密钥标识。

其中，根据原网络的密钥标识获得新密钥标识又包括接收原网络传递的密 钥标识， 将其进行改变或者接受由原网络密钥标识改变后的新密钥标识， 实施例六， 参见图 14, 在该实施例中， 通过改变原网络的密钥标识来防 止网络安全失步， 该实施例具体包括以下步骤：

步骤 1401 : 用户终端在原网络 AKA;

步骤 1402: 在进行网络切换时， 改变原网络的密钥标识。

步骤 1403: 将新产生的密钥标识发送给目标网络。

通过以下方法改变所述网络侧的密钥标识：

基于原有的密钥标识值计算得到新密钥标识值； 和 /或

给密钥标识值赋予一个新密钥标识的名称； 或者

从网络实体请求得到新密钥标识； 或者

根据预设算法计算得到新密钥标识。

图 15为本实施例所提供的一个例子的信令流图，原网络为 EUTRAN网络， 目标网络为 UTRAN网络， 具体步骤包括：

步骤 1 : UE向目标 SGSN发送 RAU请求，携带 UE保存的密钥标识 KSI, 临时身份标识等。

步骤 2: 目标 SGSN向原 MME请求安全参数，携带从 UE处得到的 TMSI 标识。

步骤 2a: 原 MME进行密钥推演， 从 Kasme推演得到 CK_ps，， IK_ps，。 步骤 2b: 原 MME得到一个新的 KSI 密钥标识。

其中， 所述新的 KSI由所述原 MME产生， 例如消息 1中原有的 KSI的 基础上演变更新， 例如 new KSI=old KSI+l ; 或者基于一定的默认算法计算获 得； 或者是基于正常 AKA过程的步骤产生的。

在其他实施例中， 所述性的 KSI由所述原 MME向网络实体（例如 HSS ) 请求得到。

所述原 MME 也可以将这一新密钥标识赋予新的名称， 例如 KSI_new或 KSI_UTRAN,有别于在 EUTRAN中使用的 KSI,在目标网络中使用的是 KSI_UTRA, 而这个新的密钥标识的值 KSI_new可以等于原系统密钥标识的值 KSI。_ld, 或者

KSI _new 不等于 KSI。_ld。

在其他实施例中，还可以为 KSI增加字段表明是属于何种网络类型安全参 数的密钥标识。例如增加两比特来标识 KSI所对应的网络类型， 01 :标识 GSM 网络； 10: 标识 UTRAN 网络； 11 : 标识 EUTRAN 网络。 这样， 对于原值 相同的密钥标识 KSI ( 3比特）， 例如 110, 当增加网络类型后， 在 GSM网络， UTRAN, EPS网络中的实际 KSI标识就是： 01110、 10110, 11110。 在实际的 不同类型网络的切换过程中，UE和网络侧根据网络类型信息对长度为 3 bit 的 KSI原值不作改动， 而是在原值上增加不同的网络类型的标识。

当 UE发起层 3消息 （例如 attach消息， Service request业务请求消息） 携带具有网络类型标识的 KSI 时（对应背景技术中已经讲述的场景， 图 19 ), 网络侧就能够判断两端 KSI (添加了网络类型值， 5 比特） 不一致， 而触发 新的 AKA过程， 防止网络安全上下文失步。

步骤 3. SGSN获得 MME发送过来的安全参数， 包括推演得到的 CK _ps'， IK _ps， , 以及新的 KSI密钥标识。

步骤 4: 可选地， 如果步骤 1中， 从 UE发送过来的 KSI为 111或者其他 需要， 触发新的 AKA过程。 也会生成新的 KSI。

步骤 5: SGSN发出安全模式命令 ( Security Mode Command )，包括从原 MME处得到的推演密钥 CK _ps，， IK _ps，和 SGSN允许的加密算法 UEAs和完整 性保护算法 UIAs。

步骤 6: RNC选择最终的加密算法 UEA和完整性保护算法 UIA, 将安全 模式命令 ( Security Mode Command )发送给 UE。

步骤 7: UE从 Kasme推演 CK_ps，， IK_ps';

步骤 8: UE发出安全模式命令完成（ Security Mode Comelepte ) 消息。 步骤 9: RNC将安全模式命令完成（ Security Mode Comelepte ) 消息传给

SGSN。

步骤 10: SGSN向 UE发出 RAU Accept消息 （完整性保护 ), 携带上述 步骤 2b中得到的 new KSI。

步骤 11 : UE收到 RAU Accept消息， 回给 SGSN RAU Compelete消息。 基于以上的解决方法，对于切换后 UTRAN系统中使用的密钥， 无论是由 原系统密钥 K_asme推演得到的，还是由新的 AKA过程得到的， 都会生成一个新 密钥标识 new KSI。

这样， 切换之后， new KSI和 UE的 USIM中保存的 K_asme就不相等了。 如果， 此时 UE在 UTRAN中掉电， ME中的密钥被清除。 再次开机时， ME从 USIM中读取 CK, IK, 以及 K_asme。 SGSN中还存有 推演后生成的 CK_ps，、 IK_ps，， KSI。 而 KSI和 K_asme不等， 就不会出现安全失步 的问题。 而是触发新的 AKA过程。

实施例七，在该实施例中，通过改变网络的密钥标识 KSI的来实现^ ί'爹改安 全参数。 参见图 16, 该实施例具体包括以下步骤：

步骤 1601 : 用户终端在原网络 ΑΚΑ;

步骤 1602: 在进行网络切换时， 改变目标网络的密钥标识。

执行产生新密钥标识的实体可以是原网络的网元（例如 ΜΜΕ ), 或者目 标网络的网元（例如 SGSN )。

通过以下方法改变所述网络侧的密钥标识：

基于原有的密钥标识值计算得到新密钥标识值； 和 /或

给密钥标识值赋予一个新密钥标识的名称； 或者

从网络实体请求得到新密钥标识； 或者

根据预设算法计算得到新密钥标识。

步骤 1603: 用户终端得到相同的新密钥标识。

包括网络侧将新产生的密钥标识通知用户终端，或者用户终端基于和网络 侧同样的计算策略（例如同样的算法）基于旧的密钥标识在用户终端本地计算 得到新密钥标识。

图 17为本发明实施例所提供的一个例子的信令流图， 包括：

步骤 1 : UE向目标 SGSN发送 RAU请求， 携带 UE保存的 KSI, 临时身 份标识等。

步骤 2: 目标 SGSN向原 MME请求安全参数，携带从 UE处得到的 TMSI 标识。

步骤 2a: 原 MME进行密钥推演， 从 Kasme推演得到 CK_ps，， IK_ps，。 步骤 3. SGSN获得 MME发送过来的安全参数， 包括推演得到的 CK' ,

ΙΚ' , 以及 KSI密钥标识。

步骤 3a: 基于 old KSI和默认算法来生成一个新的 KSI。 目标 SGSN也可 以将这一新密钥标识赋予新的名称，例如 KSI_new, KSI_UTRAN (有别于原 KSI是 在 EUTRAN中使用的， KSI_UTRAN是在目标网络中使用）等。 步骤 4: 可选地， 如果步骤 1中， 从 UE发送过来的 KSI为 111或者其他 需要， 触发新的 AKA过程。 也会生成新的 KSI。

步骤 5: SGSN发出安全模式命令 ( Security Mode Command )，包括从原 MME处得到的推演密钥 CK _ps，， IK _ps，和 SGSN允许的加密算法 UEAs和完整 性保护算法 UIAs。

步骤 6: RNC选择最终的加密算法 UEA和完整性保护算法 UIA, 将安全 模式命令 ( Security Mode Command )发送给 UE。

步骤 7: UE从 Kasme推演 CK_ps，， IK_ps，。

步骤 7a: 基于 old KSI和默认算法来生成新的 KSI。

步骤 8: UE发出安全模式命令完成（ Security Mode Comelepte ) 消息。 步骤 9: RNC将安全模式命令完成（ Security Mode Comelepte ) 消息传给 SGSN。

步骤 10: SGSN向 UE发出 RAU Accept消息 （完整性保护 ), 携带上述 步骤 2b中得到的 new KSI。

步骤 11 : UE收到 RAU Accept消息， 回给 SGSN RAU Compelete消息。 本方法实施例的效果与图 15的效果相同， 此处不再赘述。

实施例六和实施例七介绍的是用户终端在空闲状态的"切换" （ idle mobility )场景， 对于用户终端在激活状态下的切换 ( active handover ) 场景， 其实现方法可以类比， 这里不再赘述。

实施例八， 在本实施例中， 针对已经发生网络安全失步的情况， 提供一种 补丈方法， 如图 18所示， 该方法包括：

1801 : 终端上的安全参数与网络的安全参数不匹配， 网络安全失步。

1802: 终端丟弃收到信息。

1803: 网络在预定时限内没有收到终端的回复消息。

1804: 网络侧发起重认证过程。

图 19为本发明实施例所提供的信令流图， 包括：

步骤 1 : 用户的移动终端 MS(Mobile station)发起附着请求， MS和 SRNC (服务无线网络控制器 Serving Radio Network Controller )之间建立 RRC (无 线资源控制 Radio Resource Control )连接。 步骤 2: MS向 SGSN发送附着请求消息， 在请求消息里面携带 MS里面 已经有的密钥标识 KSI。

步骤 3: 网络侧将本地存储的 CK, IK对应的密钥标识 KSI'和收到的 KSI 进行对比，发现两者值相等，则认为网络侧和终端侧存有相同的密钥 CK, IK。 可以使用原来的安全参数， 不需要新的 ΑΚΑ认证过程。

步骤 4: SGSN下发安全模式命令， 通知终端启用哪种安全算法， 并且指 示加密和完整性保护的启动时间， 并且加上了完整性保护的 MAC计算值。 该 消息是以 IK (网络侧存储的， 在这里， 网络侧则认为终端也有同样的 IK )进 行完整性保护的。

步骤 5~6： 当 UE收到安全模式命令， 首先用终端上的 IK'值对此消息进 行完整性校验， 但是因为事实上， IK和 IK' 并不相等， 所以， 终端用 IK，计 算的 MAC'和消息中携带的 MAC值并不相等， 终端认为接收到的消息有误， 从而丟弃。

步骤 7~8： 网络侧因为没有收到回复， 会在一定时间内重复发送安全模式 命令， 直到超时。

步骤 9: 发起重认证 AKA的过程。

通过本实施例所提供的方法， 解决了前述的网络安全失步的状况。

本发明实施例还提供一种解决网络安全失步的方法， 包括：

网络进行安全参数匹配。

网络向终端发送启动安全模式命令信息。

网络在预定时限内没有收到终端的回复消息。

网络侧发起重认证过程。

通过本发明实施例所提供的方法， 就能解决网络安全失步的问题。

实施例九， 在空闲状态， UE首先在 UTRAN网络中驻留， 完成 AKA过 程。 UTRAN网络进行 AKA之后 , USIM存储了 UTRAN网络安全上下文相关 的密钥 CK_ps , IK_ps , 以及密钥标识 KSI。 当 UE 从 UTRAN 网络移动到

EUTRAN网络， 实现的方法如下：

步骤 1： UE向目标 MME发送 TAU请求， 携带 UE保存的 KSI, 临时身 份标识等。 步骤 2: 目标 MME向原 SGSN请求安全参数，携带从 UE处得到的 临时 身份标识。

步骤 2a. MME获得 SGSN发送过来的安全参数， 包括 CK, IK, 以及 KSI 密钥标识。

步骤 3: 目标 MME进行密钥推演， 从 CK_ps, IK_ps推演得到 Kasme, 以 及子层密钥 K_NASene, K_NAsmt, enb„

步骤 4: 触发可能的 AKA过程。

步骤 5： MME发出安全模式命令 ( Security Mode Command ) ,包括从 MME 处得到的推演密钥 Kenb和 MME选择的 NAS层加密算法和完整性保护算法。

步骤 6: eNB选择 AS层的加密算法和完整性保护算法， 将安全模式命令

( Security Mode Command )发送给 UE。

步骤 7: UE从 CKp_S, IKp_S推演 Kasme, 及其子层密钥。

步骤 8: UE发出安全模式命令完成（ Security Mode Comelepte ) 消息。 步骤 9: eNB将安全模式命令完成（ Security Mode Comelepte ) 消息传递 给 MME。

步骤 10: MME向 UE发出 TAU Accept消息 （完整性保护 )。

步骤 11 : UE收到 TAU Accept消息 , 回给 MME TAU Compelete消息。 步骤 12: UE将 USIM中的 KSI置为无效值 "111"。

本实施例中通过将 USIM中的 KSI置成 111 , 表明当前没有可用的 CK_ps, IK_ps, 从而触发在后续的流程中 （例如重新开机或者终端进行网络间切换）触 发新的 AKA过程， 建立新的安全参数。 例如当 UE从 EUTRAN网络移动到 UTRAN之后，ΜΕ中推演产生新的密钥 CKp_S，， IK_ps，. 当 UE在 UTRAN网络中 , ME掉电。 当 ME再次上电以后， 由于 USIM中没有安全参数， UE上报的层 3消息（如图 19所示 ) 中就不会携带密钥标识 KSI, 当网络侧检测到 UE没有 携带安全上下文标识， 会触发产生新的 AKA过程。 从而避免了背景技术中所 述的安全上下文失步的状况。

实施例十， 参见图 24的信令流程图。 在实施例 9的基础上， 增加了步骤 7b: 当 UE收到安全模式命令，进行了密钥推演之后， ME 向 USIM发出指令， 删除 USIM中的安全参数 ( CK, IK, KSI等）。 优选地， 将 USIM中安全参数删除的步骤也可以在步骤 7之前进行。

这样， 当 UE移动到 UTRAN网络， UE掉电， 重新开机时， 因为 USIM 中的安全参数已经被删除， 所以 UE上报的 KSI值为 "111", 当网络侧读取后， 会触发一个新的 AKA的过程。 避免了安全上下文失步的状况。

实施例十和实施例九介绍的是用户终端在空闲状态的"切换" （ idle mobility )场景， 对于用户终端在激活状态下的切换 ( active handover ) 场景， 其实现方法可以类比， 参见图 25 , 实施例十一是 UE 在激活状态下的切换 ( active handover )过程, 包括：

步骤 1 : 原 RNC发出发出 （例如通过分析测量才艮告）切换决定； 步骤 2: RNC向 SGSN发出切换请求；

步骤 3: SGSN向目标 MME转发切换请求， 同时携原系统的安全参数。 步骤 4: 目标 MME根据原系统的安全参数 Ck, IK推演得到 Kasme, 并 进一步计算子层密钥；

步骤 5: 目标 MME向目标 eNB下发切换请求；

步骤 6: eNB回复 MME;

步骤 7： 目标 MME将切换请求回复转发给原 SGSN;

步骤 8: 原 SGSN向 RNC发出切换命令；

步骤 9: RNC向 UE发出切换命令；

步骤 10 ： UE收到切换命令， 由 CK, IK推演 Kasme;

步骤 1 Ob ：修改 USIM参数，包括 ME向 USIM发出指令，要求删除 USIM 里面的安全参数 CK, IK。 或者将 USIM中的密钥标识 KSI置为无效值 "111"; 步骤 11 : UE向 eNB发出切换完成消息；

步骤 12： eNB向 MME发送切换请求完成消息；

步骤 13 ： MME向 SGSN转发切换请求完成消息；

步骤 14 ： SGSN向 MME回复切换请求完成消息。

上述步骤中， 步骤 10b增加了 USIM中安全参数的处理过程。 所述步骤 10b也可以发生在步骤 9和步骤 10之间， 这里不再赘述。 其有益效果和实施 例九， 实施例十中所述类似， 也不再重复。 置， 参见图 20, 所述装置位于用户终端侧， 包括：

接入单元 201 , 用于接入原网络， 在原网络进行 AKA。

更改单元 202 , 用于将通用用户识别模块 USIM的安全参数设置为不可用 状态。

优选地， 更改单元包括第一更改单元、 第二更改单元、 第三更改单元或者 第四更改单元， 其中：

第一更改单元， 用于将 USIM的 START值置为门限值。

第二更改单元， 用于将 USIM中的密钥标识 KSI置成 111。

第三更改单元， 用于改变 USIM中的密钥标识 KSI。

第四更改单元， 用于删除 USIM中的密钥 CK, IK。

通过该变终端中 USIM的安全参数，使得 USIM的安全参数都不再被使用 (例如 CK, IK被删除）， 当用户终端 （ ME部分 )掉电又再次上电， ME将从 USIM中读取安全参数，这时已经没有安全参数可用，重新触发新的认证过程， 不会出现前述的网络安全失步的状况。

优选地，本装置还包括发送单元，用于将更改单元更改后的 KSI发送给网 络侧进行安全参数对比。

用户登录网络时 ,就会将更改之后的密钥标识发送给网络侧进行安全参数 对比， 如果对比发现不一致， 就触发新的认证过程， 同样不会出现安全失步的 情况。

本发明实施例还提供一种防止网络安全失步的终端，该终端包括上述任意 一种防止网络安全失步的终端侧装置。

参见图 21 , 本发明实施例提供一种防止网络安全失步的装置， 所述装置 位于网络侧， 包括：

接收单元 211 , 用于在网络切换时， 接收密钥标识。

修改单元 212, 用于修改密钥标识。

通知单元 213 , 用于发送通知信息通知新的网络标识。

通过本实施例所提供的装置， 网络在接受到密钥标识时，对收到的密钥标 识 #丈 '爹改。

当所述网络为原网络时， 在进行网络切换时，将修改后的密钥标识通过通 知单元发送给目标网络， 目标网络将收到的密钥标识作为新密钥标识。

当所述网络为目标网络时， 可以对接收到的原网络的密钥标识进行^ ί'爹改， 将爹改后的密钥标识作为新密钥标识， 并通过通知单元通知用户终端。

优选地， 所述修改单元还包括：

算法模块， 用于基于原有的密钥标识值计算得到新密钥标识值； 和 /或 用于给密钥标识值赋予一个新密钥标识的名称； 或者

用于从网络实体请求得到新密钥标识； 或者

用于根据预设算法计算得到新密钥标识。

通过不同的算法模块， 釆用不同的算法对原网络的密钥标识进行修改。 所 述的修改可以在目标网络进行， 也可以在原网络进行。

本发明实施例还提供一种防止网络安全失步的网络侧设备，该设备包括上 述防止网络安全失步的网络侧装置。

本发明实施例提供一种补救网络安全失步的装置， 参见图 22 , 该装置位 于网络侧， 该装置包括：

接收单元 221 , 用于接收用户终端发送的安全参数。

匹配单元 222 , 用于将接收到的安全参数与自身的安全参数进行匹配。 发送单元 223 , 用于向用户终端发送安全信息。

发起单元 224 , 用于在预定时限内没有收到终端的回复消息时重新发起 ΑΚΑ。

通过本发明实施例所提供的装置，可以在发生网络安全失步时做出相应的 补救， 当网络在预设的时限内没有收到用户发出的响应信息时， 就主动发起 ΑΚΑ,从而避免了因网络安全失步而造成用户接入网络失败，提高了切换相关 场景的网络可用性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通 技术人员来说， 在不脱离本发明原理的前提下， 还可以做出若干改进和润饰， 这些改进和润饰也应视为本发明的保护范围。

Claims

权 利 要 求

1、 一种防止网络安全失步的方法， 其特征在于， 包括：

用户终端进行网络切换， 在新的网络通过密钥推演生成新的推演密钥； 之后， 修改所述用户终端中通用用户识别模块 USIM保存的安全参数。

2、 根据权利要求 1所述的方法， 其特征在于， 所述修改 USIM保存的安 全参数包括：

将 USIM的 START值置为门限值； 和 /或，

将 USIM中的密钥标识 KSI置成 111 ; 或者，

改变 USIM中的密钥标识 KSI; 或者，

删除 USIM中的密钥 CK, IK。

3、 根据权利要求 1所述的方法， 其特征在于， 所述通过如下方式将安全 参数保存在 USIM中：

用户终端与初始网络进行鉴权和密钥协商 AKA, 用户终端得到安全参数 并保存在 USIM中。

4、 根据权利要求 1-3任意一项所述的方法， 其特征在于， 所述网络切换 包括：

用户终端在激活状态 active下在不同网络间的切换； 或者

用户终端在空闲状态 idle下在不同网络间的移动。

5、 一种防止网络安全失步的装置， 该装置位于用户终端侧， 其特征在于， 包括：

切换单元， 用于用户终端进行网络切换，在新的网络通过密钥推演生成新 的推演密钥；

更改单元， 用于在当前用户终端完成网络切换之后，修改所述用户终端中 USIM保存的安全参数。

6、 根据权利要求 5所述的装置， 其特征在于， 所述更改单元包括第一更 改单元、 第二更改单元、 第三更改单元或者第四更改单元， 其中：

第一更改单元， 用于将 USIM的 START值置为门限值；

第二更改单元， 用于将 USIM中的密钥标识 KSI置成 111 ;

第三更改单元， 用于改变 USIM中的密钥标识 KSI; 第四更改单元， 用于删除 USIM中的密钥 CK, IK。

7、 一种用户终端， 其特征在于， 所述终端包括权利要求 5或 6的任何一 种装置。