專利名稱:密鑰生成方法�����、裝置及系統(tǒng)的制作方法
技術(shù)領域:
本發(fā)明涉及通信領域中密鑰生成技術(shù)���,具體地,涉及在不同系 統(tǒng)間切^換時的密鑰生成方法��、裝置及系統(tǒng)��。
背景技術(shù):
第三4戈合fN;M半i十劃(3rd Generation Partnership Project,簡-爾 3GPP)演進的分組系統(tǒng)(Evolved Packet System ��,簡稱EPS)由演 進的陸i也無線4lr入網(wǎng)(Evolved UMTS Terrestrial Radio Access Network,簡稱EUTRAN )和EPS演進的分纟且核心網(wǎng)(Evolved Packet Core,簡稱EPC)組成�。EPC能夠支持用戶乂人全^Uf多動通訊系統(tǒng)增 強型凝j居速率GSM演進實體無線4妄入網(wǎng)(Global System for Mobile Communication Enhanced Data Rate for GSM Evolution radio access network,簡稱GERAN )禾口通用陸;也無線4妄入網(wǎng)(Universal Terrestrial Radio Access Network,簡f爾UTRAN)的4妻入。
EPC分組核心網(wǎng)包含移動管理實體(Mobility Management Entity,簡稱MME), MME負責移動性的管理�、非接入層信令的處 理、以及用戶安全才莫式的管理等控制面相關的工作���。其中�,MME
保存EUTRAN的根密鑰-接入安全管理實體密鑰(Key Access
Security Management Entity,簡寫為KASME )�����。在EUTRAN中����,基站 i殳備為演進的基站(evolvedNode-B,簡稱eNB),主要負責無線通 信���、無線通信管理、和移動性上下文的管理�。供eNB使用的接入層 的才艮密鑰是演進的基站密鑰(KeyeNB,簡寫為KeNB)。3 GPP通用移動通信系統(tǒng)(Universal Mobile Telecommunication System,筒稱UMTS)系統(tǒng)中負責移動性上下文的管理���、和/或用戶安 全模式的管理的設備是服務通用分組無線業(yè)務支持節(jié)點(Serving General Packet Radio Service Support Node,簡稱SGSN )����。 SGSN還 負責i人i正用戶i殳備(User Equipment,簡稱UE )�。
3GPP UMTS系統(tǒng)中,負責無線通信管理的設備是UTRAN中 的無線網(wǎng)絡控制器(Radio NetworkController����,簡稱RNC)。如圖1 所示���,UE 乂人UTRAN切才奐到EUTRAN時�����,如果UE和MME中沒 有保存EPS安全相關參數(shù)�����,如KASME,貝'J RNC需要通過發(fā)送重定 向請求�,使MME生成EUTRAN中的密鑰KASME; MME在eNB確 i人切換請求之后,向RNC轉(zhuǎn)發(fā)重定向回復��,RNC執(zhí)行UTRAN切 換命令��,UE側(cè)生成EUTRAN中的密鑰KASME�,完成切換到 EUTRAN���。
在實現(xiàn)本發(fā)明過程中�,發(fā)明人發(fā)現(xiàn)目前在不同接入系統(tǒng)之間切 才奐時��,如UE 乂人UTRAN切:換到EUTRAN時����,至少存在如下缺陷
現(xiàn)有4支術(shù)中乂人其他網(wǎng)絡切換到EUTRAN時,雖然可以生成 EUTRAN的根密鑰KASME����,但無法生成由接入層使用的密鑰,如供 eNB使用的接入層的根密鑰K^nb,因此�����,接入層的信令和/或數(shù)據(jù)不 能得到有效保護,存在安全隱患�。
發(fā)明內(nèi)容
本發(fā)明的目的是針對現(xiàn)有技術(shù)中不同接入系統(tǒng)間切換時無法生 成由接入層使用的中間密鑰、接入層安全性不高的缺陷����,提出一種 密鑰生成方法及系統(tǒng),以生成接入層使用的中間密鑰�,提高接入層 的安全'l"生。為實現(xiàn)上述目的���,才艮據(jù)本發(fā)明的一個方面�,4是供了一種密鑰生 成方法�。才艮據(jù)本發(fā)明實施例的密鑰生成方法,用于在用戶i殳備/人其他網(wǎng)絡切換到EUTRAN網(wǎng)絡的過程中生成密鑰����,包括MME根據(jù) EUTRAN網(wǎng)絡的根密鑰KASME、特定值和/或其他參數(shù)�,生成密鑰, 并發(fā)送攜帶密鑰的切換請求消息給目標演進的基站即目標eNB;用 戶設備根據(jù)EUTRAN網(wǎng)絡的根密鑰KASME���、特定值和/或其他參數(shù)���, 生成目標eNB使用的密鑰���。特定值不需要轉(zhuǎn)發(fā)給移動管理實體,從而不需要額外的信令負擔����。特定值為移動管理實體和用戶設備共同擁有的值O。根據(jù)EUTRAN網(wǎng)鄉(xiāng)各的4艮密鑰KASME����、 4爭定^f直和/或其4也參凄史, 生成密鑰的4喿作具體可以包4舌將特定^直和/或其他參lt和一艮密鑰 KASME輸入預設的單向密鑰生成函數(shù)��;將單向密鑰生成函數(shù)的輸出 作為密鑰����。MME可以才艮據(jù)接收到的重定向i青求消息生成EUTRAN網(wǎng)絡的 根密鑰KASME��。目標eNB收到密鑰之后����,還可以包括MME接收與切換請求 消息對應的切換請求確認消息,并向當前網(wǎng)絡的SGSN發(fā)送與重定 向i青求消息對應的重定向回復消息���;當前網(wǎng)全各的SGSN接收重定向 回復消息����,并發(fā)送重定向命令消息;當前網(wǎng)絡的無線網(wǎng)絡控制器向 用戶設備發(fā)送切換命令消息�;用戶設備根據(jù)接收到的切換命令消息 生成EUTRAN網(wǎng)全各的才艮密鑰KASME。為實現(xiàn)上述目的�,根據(jù)本發(fā)明的另一個方面,4是供了一種密鑰 生成裝置�����。根據(jù)本發(fā)明實施例的密鑰生成裝置����,包括第一單元,用于根 據(jù)EUTRAN網(wǎng)絡的根密鑰KASME�、特定值0和/或其他參數(shù),生成 密鑰�����。第一單元可以�����,沒置于MME,第一單元包4舌第一密鑰產(chǎn)生才莫 塊�����,用于根據(jù)接收到的重定向請求消息生成根密鑰KASME,并根據(jù) 根密鑰kasme����、特定值和/或其他參數(shù),生成密鑰��;第一發(fā)送模塊���, 用于發(fā)送攜帶密鑰的切換請求消息給目標eNB����。第 一單元還可以均�,沒置于用戶i殳備上�。為實現(xiàn)上述目的,才艮據(jù)本發(fā)明的另一個方面�����,4是供了一種密鑰 生成系鄉(xiāng)克�。根據(jù)本發(fā)明實施例的密鑰生成系統(tǒng),包括移動管理實體�����,用于根據(jù)EUTRAN網(wǎng)絡的根密鑰KASME、特定 值0和/或其他參數(shù)�����,��,生成密鑰�����,并發(fā)送攜帶密鑰的切換請求消息���; 用戶設備��,用于接收切換命令消息���,并根據(jù)EUTRAN網(wǎng)絡的根密 鑰kasme、特定值和/或其他參數(shù)����,生成密鑰。本發(fā)明各實施例的鑰生成方法、裝置和系統(tǒng)�����,因為釆用特定值����、 Kasme和/或其他參數(shù),來輸出密鑰�,因此,接入層的信令和/或數(shù)據(jù) 能得到有效保護�,加強接入層的安全性。進一步的����,本發(fā)明各實施例的密鑰生成方法、裝置和系統(tǒng)����,因 為使用特定值O生成密鑰,從而不需要轉(zhuǎn)發(fā)給移動管理實體��,因此 不需要額外的信令負擔�����。本發(fā)明的其它特征和優(yōu)點將在隨后的il明書中闡述����,并且,部 分地從說明書中變得顯而易見����,或者通過實施本發(fā)明而了解。本發(fā) 明的目的和其他優(yōu)點可通過在所寫的說明書��、權(quán)利要求書�、以及附 圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。
附圖用來提供對本發(fā)明的進一步理解����,并且構(gòu)成說明書的 一部 分,與本發(fā)明的實施例一起用于解釋本發(fā)明�,并不構(gòu)成對本發(fā)明的 限制。在附圖中圖1為才艮據(jù)現(xiàn)有技術(shù)的UE從UTRAN切換到EUTRAN的密鑰 生成方法-充禾呈圖�;圖2為才艮據(jù)本發(fā)明方法實施例的密鑰生成方法的流程圖; 圖3為沖艮據(jù)本發(fā)明方法實施例一的密鑰生成方法的流禾呈圖��; 圖4為根據(jù)本發(fā)明方法實施例二的密鑰生成方法的信令流程圖���;圖5為根據(jù)本發(fā)明裝置實施例的密鑰生成裝置示意圖����;圖6為才艮據(jù)本發(fā)明裝置實施例的密鑰生成裝置的詳細結(jié)構(gòu)的示 意圖;圖7為才艮據(jù)本發(fā)明系統(tǒng)實施例的密鑰生成系統(tǒng)示意圖�。
具體實施方式
以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進行說明,應當理解�����,此 處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明�,并不用于限定本 發(fā)明。方法實施例圖2為根據(jù)本發(fā)明實施例的密鑰生成方法的流程圖���。如圖2所 示��,本實施例包^舌步驟202:MME根據(jù)EUTRAN網(wǎng)絡的才艮密鑰Kasme�、特定但0����, 和/或其他參數(shù),生成密鑰���,并發(fā)送攜帶密鑰的切換請求消息給目標 eNB;所述特定^f直為移動管理實體和用戶i殳備共同擁有的特定4直���, 例如���,移動管理實體和用戶設備默認該特定值為0�。步驟204:用戶設備根據(jù)EUTRAN網(wǎng)絡的根密鑰KASME、特定 值0��,和/或其他參數(shù)��,生成目標eNB使用的所述密鑰���。本發(fā)明實施例的密鑰生成方法��,可以生成EUTRAN網(wǎng)結(jié)4妄入 層使用的密鑰���,使得接入層的信令和/或數(shù)據(jù)能得到有效保護,加強 接入層的安全性���。同時����,由于本實施例使用EUTRAN網(wǎng)絡的特定值0生成密鑰�, 從而不需要轉(zhuǎn)發(fā)給移動管理實體,因此不需要額外的信令負擔��。實施例一圖3為根據(jù)本發(fā)明實施例一的密鑰生成方法的流程圖,如圖3 所示�,本實施例示出了 UE從UTRAN切換到EUTRAN的密鑰生成 方法的:^考呈圖,包4舌以下步驟步驟S310�, MME收到由SGSN轉(zhuǎn)發(fā)的來自RNC的重定向請 求消息后,才艮據(jù)重定向i青求消息生成KASME;步驟S320��, MME使用特定值0和KASME生成密鑰���;步驟S330�, MME生成密鑰后��,在+刀才灸-清求消息攜帶該密鑰并 發(fā)送纟會目標eNB;步驟S340 ��, UE收到切換命令后生成KASME;步驟S350�����, UE使用特定值0和KASME生成該目標eNB的密鑰��。本實施例的密鑰生成方法因為采用特定值0和KASME來輸出����, 所以克服了現(xiàn)有技術(shù)中在UE從UTRAN切換到EUTRAN時無法生 成KeNB的問題,從而能加強安全保護���。優(yōu)選的����,MME可以-使用重定向請求消息中的參數(shù)生成KASME��, 參凄t包4舌完整寸生密鑰(Integrity Key,簡寫為IK)�����,力口密密鑰 (Ciphering Key,簡寫為CK )���。優(yōu)選的�����,還可以進一步^f吏用重定向i青求消息中的7>共陸地移動 通^f言網(wǎng)標識(Public Land Mobile Network Identity,簡稱PLMN國ID )息生成Kasme����。優(yōu)選的�����,生成eNB使用的接入層的密鑰之后�����,還包括以下步驟 eNB和UE還可以進一步才艮才居生成的密鑰,生成EUTRAN網(wǎng)絡的力口 密密鑰�����、完整性保護密鑰�����、和/或用戶面加密密鑰以啟動相應的安全 保護����。實施例二圖4為根據(jù)本發(fā)明實施例二的密鑰生成方法的信令流程圖,本圖���,其中���,圖4中源RNC以及源SGSN表示UE當前連接到的UMTS 中的i殳備;目標eNB以及目標MME標識UE將要切換到的EPS中 的i殳備����。如圖4所示,本實施例包4舌步驟S401, UTRAN中的源RNC決定發(fā)起切換��,具體可以是 根據(jù)UE發(fā)給該RNC的測量報告觸發(fā)���,也可以是根據(jù)其他原因由 RNC發(fā)起切換決定����;步驟S402,源RNC向源SGSN發(fā)送重定向請求消息���;步驟S403,源SGSN向目標MME轉(zhuǎn)發(fā)該重定向請求消息,并 且同時發(fā)送IK, CK纟合目標MME;步驟S404,目標MME收到重定向請求消息后�����,使用完整性密 鑰IK����、加密密鑰CK及其他的參數(shù),如PLMN-ID��,生成Kasme;步驟S405����,目標MME 4吏用特定值0和KASME,生成密鑰K;步驟S406,目標MME在切換請求消息中將密鑰K發(fā)送給目標eNB;步驟S407,目標eNB還可以進一步4吏用密鑰K生成EUTRAN 網(wǎng)癥備的其他密鑰����,如無線資源控制加密密鑰�、完整性^呆護密鑰, 以及用戶面加密密鑰。目標eNB成功啟動安全保護�;步驟S408,目標eNB向目標MME回復切換請求確i人消息�����, 表示接受切換請求�;步驟S409,目標MME收到目標eNB的切換請求確認消息后 向源SGSN發(fā)送轉(zhuǎn)發(fā)重定向回復消息�����;步驟S410,源SGSN向源RNC發(fā)送重定向命令��;步艱《S411,源RNC向UE發(fā)送UTRAN切4灸命令�;步驟S412, UE根據(jù)當前UTRAN的切換命令,生成KASME;步驟S413���, UE使用特定但O和Kasme生成UE側(cè)的密鑰K;步驟S414, UE進一步4吏用密鑰K生成EUTRAN網(wǎng)絡的其他 密鑰無線資源控制加密密鑰、完整性^呆護密鑰�����,以及用戶面加密 密鑰���。UE成功啟動安全保護;步驟S415, UE向目標eNB發(fā)送切換完成命令消息,該切換完 成命令消息可以4吏用EUTRAN網(wǎng)絡的無線資源控制加密密鑰進行 加密以及使用完整性密鑰進行完整性保護��,由于目標eNB生成的無 線資源控制加密密鑰及完整性密鑰與UE側(cè)一致��,因此,可以成功 解密用戶側(cè)UE發(fā)送的切」換完成命令消息�����。在上述實施例的密鑰生成過程中��,可以使用0和Kasme和/或其 他參數(shù)�,作為輸入?yún)?shù)��,釆用單向密鑰生成函數(shù)生成,其他參數(shù)可 以根據(jù)實際情況選取��,本實施例為簡單起見�,不選用其他參數(shù)��,本領域技術(shù)人員應當了解,其他參數(shù)�,不限定為無�����,這不影響本發(fā)明 實施例的實質(zhì)�。裝置實施例圖5為4艮據(jù)本發(fā)明實施例的密鑰生成裝置示意圖。如圖5所示��, 本實施例包4舌第一單元62,用于才艮據(jù)EUTRAN網(wǎng)絡的才艮密鑰KASME�、特定 值0和/或其他參數(shù),生成密鑰K�����。本實施例密鑰生成裝置與方法實施例的密鑰生成過程類似���,需 要根據(jù)Kasme和特定植0,生成EUTRAN網(wǎng)絡接入層密鑰���。圖6為根據(jù)本發(fā)明實施例的密鑰生成裝置的詳細結(jié)構(gòu)示意圖。 如圖6所示�,本實施例中第一單元72i殳置于MME,其中����,第一單 元72包括第一密鑰產(chǎn)生才莫塊722,用于根據(jù)接收到的重定向請求 消息生成根密鑰KASME,并根據(jù)根密鑰Kasme及特定植O,生成密鑰 K;第一發(fā)送模塊724,用于發(fā)送攜帶密鑰K的切換請求消息給目 標eNB�。本實施例為圖5實施例的具體化,第一單元i殳置于MME上�����, 第一單元的相關功能具體可參見方法實施例的相關說明,不再進行 重復i兌明����。上述圖5裝置實施例中,第一單元也可以均設置于用戶設備上�, 以實現(xiàn)用戶設備側(cè)EUTRAN網(wǎng)絡接入層密鑰的生成,不再進行舉 例-說明�����。系纟克實施例圖7為才艮據(jù)本發(fā)明實施例的密鑰生成系統(tǒng)示意圖����。如圖7所示, 本實施例包4舌移動管理實體82,用于才艮據(jù)EUTRAN網(wǎng)鄉(xiāng)各的才艮密鑰KASME����、 特定值信息和/或其他參數(shù),生成密鑰K,并發(fā)送攜帶密鑰K的切換 :清求消息���;用戶設備84,用于接收切換命令消息����,并才艮據(jù)EUTRAN網(wǎng)絡 的才艮密鑰KASME、特定值信息和/或其他參數(shù)����,生成密鑰K���。本實施例具體可參見圖2-圖4方法實施例的具體處理流程i兌 明��,圖2-圖4也可以理解為才艮據(jù)本發(fā)明實施例的密鑰生成系統(tǒng)的實 施例解析示意圖��,實現(xiàn)目標eNB及用戶i殳備生成EUTRAN網(wǎng)絡接 入層使用的密鑰��。綜上所述��,本發(fā)明各實施例的密鑰生成方法�����、裝置和系統(tǒng)�����,采 用特定值和KASME來輸出密鑰�,使得接入層的信令和/或數(shù)據(jù)能得到 有效保護�����,加強接入層的安全性。同時��,使用的參數(shù)某特定值不需 要轉(zhuǎn)發(fā)給移動管理實體��,因此不需要額外的信令負擔���。顯然�����,本領域的技術(shù)人員應該明白���,在上述多個實施例中特定 值耳又〗直為0,也可以耳又其他/f直。顯然����,本領域的技術(shù)人員應該明白,上述的本發(fā)明的各模塊或 各步&f可以用通用的計算裝置來實現(xiàn)�����,它們可以集中在單個的計算 裝置上����,或者分布在多個計算裝置所組成的網(wǎng)絡上���,可選地,它們 可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)��,從而����,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行�����,或者將它們分別制作成各個集成 電路模塊�,或者將它們中的多個模塊或步驟制作成單個集成電路模 塊來實現(xiàn)。這樣���,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合���。以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明���, 對于本領域的技術(shù)人員來i兌�,本發(fā)明可以有各種更改和變化。凡在 本發(fā)明的精神和原則之內(nèi)����,所作的任何修改、等同替換�、改進等, 均應包含在本發(fā)明的保護范圍之內(nèi)�����。
權(quán)利要求
1. 一種密鑰生成方法�����,用于在用戶設備從其他網(wǎng)絡切換到EUTRAN網(wǎng)絡的過程中生成密鑰�����,其特征在于��,包括移動管理實體根據(jù)EUTRAN網(wǎng)絡的根密鑰KASME�、及特定值和/或其他參數(shù),生成密鑰�,并發(fā)送攜帶所述密鑰的切換請求消息給目標eNB;用戶設備根據(jù)EUTRAN網(wǎng)絡的根密鑰KASME�����、及特定值和/或其他參數(shù),生成所述目標eNB使用的所述密鑰����。
2. 根據(jù)權(quán)利要求1所述的密鑰生成方法,其特征在于�,特定值為 移動管理實體和用戶i殳備共同擁有。
3. 根據(jù)權(quán)利要求1所述的密鑰生成方法�,其特征在于,所述特定 值為0�����。
4. 根據(jù)權(quán)利要求1所述的密鑰生成方法��,其特征在于�����,所述根據(jù) 所述EUTRAN網(wǎng)絡的才艮密鑰KASME��、及特定值和/或其他參數(shù)�, 生成密鑰的梯:作具體包括將特定值和/或其他參數(shù)和所述根密鑰KASME輸入預設的 單向密鑰生成函凄t;將所述單向密鑰生成函數(shù)的輸出作為所述密鑰����。
5. 根據(jù)權(quán)利要求1所述的密鑰生成方法���,其特征在于,所述移動 管理實體根據(jù)接收到的重定向請求消息生成所述EUTRAN網(wǎng) 絡的根密鑰KASME���。
6. 根據(jù)權(quán)利要求5所述的密鑰生成方法�����,其特征在于���,所述目標 eNB收到所述的密鑰之后,還包括所述移動管理實體接收與所述切換請求消息對應的切換 請求確認消息�����,并向當前網(wǎng)絡的SGSN發(fā)送與所述重定向請求 消息對應的重定向回復消息��;所述當前網(wǎng)絡的SGSN接收所述重定向回復消息�,并發(fā)送 重定向命令消息;當前網(wǎng)絡的無線網(wǎng)絡控制器向所述用戶i殳備發(fā)送切換命 令消息��;所述用戶設備根據(jù)接收到的切換命令消息生成所述 EUTRAN網(wǎng)絡的才艮密鑰KASME��。
7. —種密鑰生成裝置,其特征在于��,包括第一單元�,用于才艮據(jù)EUTRAN網(wǎng)絡的才艮密鑰KASME、特 定值0和/或其他參數(shù)���,生成密鑰���。
8. 根據(jù)權(quán)利要求7所述的密鑰生成裝置,其特征在于�,所述第 一單元i殳置于移動管理實體,所述第一單元包凌舌第一密鑰產(chǎn)生模塊�,用于根據(jù)接收到的重定向請求消息生 成根密鑰KASME,并根據(jù)所述根密鑰Kasme及某特定但和/或其 他參數(shù),生成密鑰����;第一發(fā)送模塊�����,用于發(fā)送攜帶所述密鑰的切換請求消息給 目標eNB�。
9. 根據(jù)權(quán)利要求7所述的密鑰生成裝置,其特征在于�����,所述第一 單元設置于用戶i殳備上。
10. —種密鑰生成系統(tǒng)����,其特;f正在于,包4舌移動管理實體����,用于根據(jù)EUTRAN網(wǎng)絡的4艮密鑰KASME、 及特定值0和/或其他參數(shù)�,生成密鑰,并發(fā)送攜帶所述密鑰 的切換請求消息����;用戶i殳備,用于接收切換命令消息��,并才艮據(jù)EUTRAN網(wǎng) 絡的根密鑰KASME�����、某特定值和/或其他參數(shù)�����,生成密鑰。
全文摘要
本發(fā)明公開了一種密鑰生成方法����、裝置及系統(tǒng),其中�����,該方法包括MME根據(jù)根密鑰K<sub>ASME</sub>及特定值0和/或其他參數(shù)�����,生成密鑰�,并發(fā)送攜帶密鑰的切換請求消息給目標eNB;用戶設備根據(jù)根密鑰K<sub>ASME</sub>及特定值0和/或其他參數(shù)���,生成目標eNB使用的密鑰����。本發(fā)明各實施例可在用戶設備從其他網(wǎng)絡切換到EUTRAN網(wǎng)絡的過程中生成密鑰����,提高接入層的安全性�。
文檔編號H04L12/56GK101267668SQ20081006659
公開日2008年9月17日 申請日期2008年4月16日 優(yōu)先權(quán)日2008年4月16日
發(fā)明者杜忠達, 柯雅珠, 露 甘, 翔 程 申請人:中興通訊股份有限公司