專利名稱:用戶設(shè)備轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符的生成方法和生成系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信領(lǐng)域�,具體而言,涉及一種用戶設(shè)備轉(zhuǎn)移時(shí)密鑰身 ^^標(biāo)識(shí)符的生成方法和生成系統(tǒng)�����。
背景技術(shù):
在移動(dòng)通信系統(tǒng)中���,當(dāng)UE (用戶設(shè)備)在不同接入系統(tǒng)相互轉(zhuǎn)移時(shí)�,源 服務(wù)網(wǎng)絡(luò)(Source Service Network)的安全參數(shù)需要映射為目標(biāo)網(wǎng)絡(luò)(Target Service network )所能識(shí)別并能使用的安全參數(shù)����,才能使轉(zhuǎn)移成功并開展業(yè)務(wù)。 這些安全參數(shù)包括密鑰�����、密鑰標(biāo)識(shí)符��、計(jì)數(shù)器�����、安全算法等��。
3GPP演進(jìn)的分組系統(tǒng)(EPS ��, Evolved Packet System)由演進(jìn)的陸地?zé)o 線接入網(wǎng)(EUTRAN, Evolved UMTS Terrestrial Radio Access Network)和EPS 核心網(wǎng)(EPC��, Evolved Packet Core)組成����。
其中,EPC包含移動(dòng)管理單元(MME�����, mobility management entity)�����,移 動(dòng)管理單元負(fù)責(zé)移動(dòng)性的管理�、非接入層信令的處理、以及用戶安全模式的 管理等控制面相關(guān)工作���。其中�,MME保存EUTRAN的根密鑰KASME (Key Access Security Management Entity,接入安全管理實(shí)體密鑰),并且使用KASME 和上行NAS SQN (非接入層序列號(hào))生成供eNB (evolved Node B,演進(jìn)的 基站)使用的接入層的根密鑰KeNB (Key eNB,演進(jìn)的基站密鑰)�����。接入安 全管理實(shí)體密鑰集識(shí)別符(KASME Key Set identifier for Access Security Management Entity) KSIASMe是密鑰KASME的身份識(shí)別符(或者叫密鑰序列號(hào)��、 身份標(biāo)識(shí)符)���,長度為3個(gè)比特位��,用于網(wǎng)絡(luò)與用戶設(shè)備(UE����, User Equipment)
之間對(duì)密鑰的識(shí)別和檢索�����。當(dāng)UE和網(wǎng)絡(luò)建立連接時(shí)����,可以通過KSlASME通知
對(duì)方使用先前已經(jīng)存儲(chǔ)指定密鑰,從而建立安全上下文,避免每次連接都要
進(jìn)行認(rèn)證和密鑰協(xié)商(AKA�����, Authentication and Key Association)�,節(jié)省網(wǎng)絡(luò) 資源����,當(dāng)密鑰由于生存期結(jié)束或其它原因需要?jiǎng)h除時(shí),UE將KSIasme設(shè)為"111"��。
其中��,在演進(jìn)的UTRAN中��,基站設(shè)備為演進(jìn)的基站(eNB��, evolved Node-B),主要負(fù)責(zé)無線通信����、無線通信管理、和移動(dòng)性上下文的管理����。
3GPP UMTS系統(tǒng)中負(fù)責(zé)分組域移動(dòng)性上下文的管理、和/或用戶安全模 式的管理的設(shè)備是SGSN( Serving GPRS Support Node,服務(wù)GPRS支持節(jié)點(diǎn))。
通信系統(tǒng))無線4妻入網(wǎng)(UTRAN ����, Universal Terrestrial Radio Access Network) 部分的認(rèn)證和安全管理,并保存密鑰IK (Integrity Key,完整性密鑰)�,CK (Ciphering Key,加密密鑰)。CK/IK的密鑰身份識(shí)別符(或者叫密鑰身份 標(biāo)識(shí)符)為KSI (Key Set identifier,密鑰集識(shí)別符)���,其作用和使用方法類 似于EPS中的KSIasme����,都是用于UE和網(wǎng)絡(luò)之間對(duì)密鑰的識(shí)別和檢索���,長度 也為3個(gè)比特位����。當(dāng)KSI等于"lll"時(shí)����,表示沒有可以使用的密鑰,KSI無效�。 當(dāng)UE和SGSN需要協(xié)商建立UMTS安全連接時(shí),如果UE已經(jīng)儲(chǔ)存有可以 使用的密鑰時(shí)�,UE將儲(chǔ)存的KSI發(fā)給SGSN��, SGSN驗(yàn)證存儲(chǔ)的KSI是否與 UE存儲(chǔ)的KSI相同����,如果一致�,則采用存儲(chǔ)的密鑰組協(xié)商建立安全上下文���, 并將KSI發(fā)回UE確認(rèn)其使用的密鑰�����。如果UE沒有存儲(chǔ)有用的密鑰����,則將 KSI置為"lll",然后發(fā)給SGSN�����, SGSN檢查到KSI為"lll"后�,向HLR (歸 屬位置寄存器)/HSS (歸屬用戶服務(wù)器)發(fā)送認(rèn)證請(qǐng)求消息,UE和網(wǎng)絡(luò)重 新作AKA�����,產(chǎn)生新的密鑰組。
GPRS (通用分組無線業(yè)務(wù))/EDGE (改進(jìn)數(shù)據(jù)率GSM服務(wù))系統(tǒng)負(fù)責(zé) 分組域移動(dòng)性上下文的管理����、和/或用戶安全^f莫式的管理的設(shè)備也是SGSN, SGSN負(fù)責(zé)GPRS/EDGE無線接入網(wǎng)(GERAN, GPRS/EDGE Radio Access Network)部分的認(rèn)證和安全管理,并存有GERAN加密密鑰Kc (Ciphering key) �, Kc的身份識(shí)別符(或者叫密鑰身份標(biāo)識(shí)符)為CKSN (Ciphering key sequence Number ,加密密鑰序列號(hào))���,作用和使用方法同KSI —樣�����。
當(dāng)UE從EUTRAN轉(zhuǎn)移(mobility )到UTRAN時(shí)��,MME將用KASME為 目標(biāo)網(wǎng)絡(luò)生成密鑰CK��、 IK�����,并發(fā)給SGSN��, UE和SGSN使用CK�、 IK����,并 協(xié)商相應(yīng)安全算法��,建立了 UTRAN安全上下文���,其中轉(zhuǎn)移包括RRC處于激 活(Active)狀態(tài)的轉(zhuǎn)移,和UE處于空閑(Idle)狀態(tài)的轉(zhuǎn)移兩種類型��,激活狀態(tài)下的轉(zhuǎn)移包括切換等�����,空閑狀態(tài)下的轉(zhuǎn)移包括路由區(qū)更新����、附著請(qǐng)求等���。
當(dāng)UE從EUTRAN轉(zhuǎn)移到GERAN時(shí)�����,MME用KASME產(chǎn)生CK, IK (同 轉(zhuǎn)移到UMTS時(shí)�����,密鑰產(chǎn)生方法一樣)�,然后將IK、 CK發(fā)給SGSN����。 SGSN 4吏用IK、 CK生成GERAN密鑰Kc����。
在現(xiàn)有技術(shù)中,無論是KSlASME��、 KSI還是CKSN��,都是在認(rèn)證過程中由 網(wǎng)絡(luò)側(cè)生成���,然后通過認(rèn)證請(qǐng)求發(fā)給UE�����。然而在EUTRAN到UTRAN或 GERAN轉(zhuǎn)移過程中���,雖然MME為目標(biāo)網(wǎng)絡(luò)生成了 UTRAN或GERAN所需 的IK、 CK,但是沒有為這對(duì)密鑰生成相應(yīng)的身份識(shí)別符�����,造成一旦轉(zhuǎn)移結(jié)束 后,UE和SGSN將無法檢索到轉(zhuǎn)移時(shí)生成的密鑰���,也無法重新使用這對(duì)密鑰����。 當(dāng)UE和網(wǎng)絡(luò)要重新建立RRC (Radio Resource Control,無線資源控制)或 其它連接時(shí)����,由于無法使用這些存儲(chǔ)的密鑰,不得不先進(jìn)行AKA��,重新產(chǎn)生 新的密鑰����,然后才建立無線連接����。這無疑會(huì)增加了網(wǎng)絡(luò)和UE的信令開銷, 推遲了 UE與網(wǎng)絡(luò)的正常通信時(shí)間����,造成用戶使用滿意度變差�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供用戶設(shè)備轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符的生成 方法和生成系統(tǒng)�����,能夠解決現(xiàn)有技術(shù)中用戶設(shè)備從EUTRAN轉(zhuǎn)移到UTRAN 或GERAN后��,轉(zhuǎn)移過程中產(chǎn)生的由KASME映射過來的密鑰無身份標(biāo)識(shí)符的 問題���。
為了解決上述問題�����,本發(fā)明提供了一種用戶設(shè)備轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符 的生成方法��,包i舌
當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到目標(biāo)系統(tǒng)時(shí)���,移動(dòng)管理單元 將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符發(fā)給服務(wù)GPRS支持節(jié)點(diǎn),服務(wù)GPRS 支持節(jié)點(diǎn)和用戶設(shè)備均將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系 統(tǒng)的密鑰身份識(shí)別符���。
進(jìn)一步的�����,所述映射的方式包括
直接令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符�,或令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于接入安全管理實(shí)體密鑰的身份標(biāo) 識(shí)符與一用戶設(shè)備與網(wǎng)絡(luò)約定好的常數(shù)之和。
進(jìn)一步的��,所述的生成方法還包括
如果轉(zhuǎn)移前用戶設(shè)備和服務(wù)GPRS支持節(jié)點(diǎn)已經(jīng)協(xié)商好密鑰�����,并且目標(biāo) 系統(tǒng)的密鑰身份識(shí)別符與轉(zhuǎn)移過程中由接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符 映射得到的目標(biāo)系統(tǒng)的密鑰身份識(shí)別符一樣��,則刪除轉(zhuǎn)移前的密鑰����。
進(jìn)一步的,當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)空閑轉(zhuǎn)移到陸地?zé)o線4妄 入網(wǎng)時(shí)����,方法具體包括
Al、移動(dòng)管理單元收到上下文請(qǐng)求或鑒別請(qǐng)求消息后�,使用接入安全管 理實(shí)體密鑰生成完整性密鑰、加密密鑰���,通過上下文響應(yīng)或鑒別響應(yīng)消息將 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整 性密鑰、加密密鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)���;
A2�����、服務(wù)GPRS支持節(jié)點(diǎn)收到移動(dòng)管理單元發(fā)過來的接入安全管理實(shí)體 密鑰的身份標(biāo)識(shí)符和完整性密鑰����、加密密鑰后,將接入安全管理實(shí)體密鑰的 身^f分標(biāo)識(shí)符映射為密鑰集識(shí)別符���,將該密鑰集識(shí)別符和完整性密鑰����、加密密 鑰一起保存�;服務(wù)GPRS支持節(jié)點(diǎn)發(fā)送指示密鑰集識(shí)別符映射完成的消息給 用戶設(shè)備;
A3��、用戶設(shè)備將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為密鑰集識(shí)別 符���,將密鑰集識(shí)別符和由接入安全管理實(shí)體密鑰生成的完整性密鑰���、加密密 鑰一起保存。
進(jìn)一步的�����,步驟A1前還包括
A0、用戶設(shè)備決定空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)�,發(fā)送空閑轉(zhuǎn)移到陸地?zé)o 線接入網(wǎng)的請(qǐng)求消息給服務(wù)GPRS支持節(jié)點(diǎn),請(qǐng)求消息為路由區(qū)更新請(qǐng)求或 附著請(qǐng)求��;服務(wù)GPRS支持節(jié)點(diǎn)收到用戶設(shè)備發(fā)過來的空閑轉(zhuǎn)移到陸地?zé)o線 接入網(wǎng)的請(qǐng)求消息后�,向移動(dòng)管理單元發(fā)相應(yīng)的請(qǐng)求消息;
相應(yīng)的�����,步驟A2中��,服務(wù)GPRS支持節(jié)點(diǎn)所發(fā)送的指示密鑰集識(shí)別符映 射完成的消息為路由區(qū)更新接受或附著接受消息�����。
進(jìn)一步的��,步驟A3以發(fā)生在用戶設(shè)備決定空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)后����、用戶設(shè)備相應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給服務(wù)GPRS支持節(jié)
點(diǎn)之前的任一步中。
進(jìn)一步的��,當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)切換到陸地?zé)o線接入網(wǎng)
時(shí)���,方法具體包括
al、移動(dòng)管理單元收到切換請(qǐng)求消息后,使用接入安全管理實(shí)體密鑰生 成完整性密鑰��、加密密鑰����,通過轉(zhuǎn)發(fā)重定向請(qǐng)求消息將接入安全管理實(shí)體密 鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整性密鑰、加密密鑰一 起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)�����;a2�、服務(wù)GPRS支持節(jié)點(diǎn)收到移動(dòng)管理單元發(fā)來的密鑰集識(shí)別符和完整 性密鑰、加密密鑰后�,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為密鑰集 識(shí)別符,將該密鑰集識(shí)別符和完整性密鑰��、加密密鑰一起保存�;服務(wù)GPRS 支持節(jié)點(diǎn)發(fā)送指示密鑰集識(shí)別符映射完成的轉(zhuǎn)發(fā)重定向響應(yīng)消息給移動(dòng)管理 單元;移動(dòng)管理單元發(fā)送切換命令指示用戶設(shè)備切換��;
a3�、用戶設(shè)備收到網(wǎng)絡(luò)發(fā)過來切換命令后將接入安全管理實(shí)體密鑰的身 份標(biāo)識(shí)符映射為密鑰集識(shí)別符�����,將密鑰集識(shí)別符和由接入安全管理實(shí)體密鑰 生成的完整性密鑰����、加密密鑰一起保存��。
進(jìn)一步的�����,當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)空閑轉(zhuǎn)移到通用分組無 線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)時(shí)�,方法具體包括
Bl、移動(dòng)管理單元收到上下文請(qǐng)求或者或鑒別請(qǐng)求消息后�����,使用接入安 全管理實(shí)體密鑰生成完整性密鑰�����、加密密鑰�,通過上下文響應(yīng)或鑒別響應(yīng)將 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整 性密鑰、加密密鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)����;
B2���、服務(wù)GPRS支持節(jié)點(diǎn)收到移動(dòng)管理單元發(fā)來的接入安全管理實(shí)體密 鑰的身份標(biāo)識(shí)符和完整性密鑰��、加密密鑰后�,使用完整性密鑰、加密密鑰生 成通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰����,將接入安 全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服 務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符,將通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM 服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符和所述通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰一起保存�;服務(wù)GPRS支持節(jié)點(diǎn)發(fā)送指示通 用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符映 射完成的消息給用戶設(shè)備;
B3���、用戶設(shè)備將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為通用分組無 線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符����,將通用分 組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符和由接 入安全管理實(shí)體密鑰生成的通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接 入網(wǎng)加密密鑰一起保存�。
進(jìn)一步的,步驟B1前還包括
B0��、用戶設(shè)備決定空閑轉(zhuǎn)移到通用分組無線業(yè)務(wù)/改進(jìn)數(shù)椐率GSM服務(wù) 無線接入網(wǎng)����,發(fā)送空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)的請(qǐng)求消息給服務(wù)GPRS支持 節(jié)點(diǎn)���,請(qǐng)求消息為路由區(qū)更新請(qǐng)求或附著請(qǐng)求;服務(wù)GPRS支持節(jié)點(diǎn)收到用 戶設(shè)備發(fā)過來的空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)的請(qǐng)求消息后���,向移動(dòng)管理單元 發(fā)相應(yīng)的請(qǐng)求消息���;
相應(yīng)的,步驟B2中��,服務(wù)GPRS支持節(jié)點(diǎn)所發(fā)送的指示通用分組無線業(yè) 務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符映射完成的消息 為路由區(qū)更新接受或附著接受消息���。
進(jìn)一步的���,步驟B3發(fā)生在用戶設(shè)備決定空閑轉(zhuǎn)移到通用分組無線業(yè)務(wù)/ 改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)后、用戶設(shè)備發(fā)送切換消息給網(wǎng)絡(luò)側(cè)之前的 任一步中��。
進(jìn)一步的�����,當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)切換到CERAN時(shí)���,方 法具體包括
bl����、移動(dòng)管理單元收到切換請(qǐng)求消息后,使用接入安全管理實(shí)體密鑰生 成完整性密鑰���、加密密鑰,通過轉(zhuǎn)發(fā)重定向請(qǐng)求消息將接入安全管理實(shí)體密 鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整性密鑰��、加密密鑰一 起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)����;
b2、服務(wù)GPRS支持節(jié)點(diǎn)收到移動(dòng)管理單元發(fā)過來的密鑰集識(shí)別符和完 整性密鑰����、加密密鑰后,使用完整性密鑰����、加密密鑰生成通用分組無線業(yè)務(wù)/200810100472.9
說明書第7/21頁
改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰,將接入安全管理實(shí)體密鑰的身份
標(biāo)識(shí)符的值賦給通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密 鑰的身份識(shí)別符�,即加密密鑰序列號(hào),將通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM 服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符和所述通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù) 率GSM服務(wù)無線接入網(wǎng)加密密鑰一起保存����;服務(wù)GPRS支持節(jié)點(diǎn)發(fā)送指示通 用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符映 射完成的消息給移動(dòng)管理單元�;移動(dòng)管理單元發(fā)送切換命令指示用戶設(shè)備切 換����;
b3、用戶設(shè)備收到網(wǎng)絡(luò)發(fā)過來切換命令后將接入安全管理實(shí)體密鑰的身 份標(biāo)識(shí)符映射為通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密 鑰的身份識(shí)別符�,將通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加 密密鑰的身〗分識(shí)別符,和由接入安全管理實(shí)體密鑰生成的通用分組無線業(yè)務(wù)/ 改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰一起保存��。
本發(fā)明還提供了 一種用戶設(shè)備轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符的生成系統(tǒng)���,包括 用戶設(shè)備���、移動(dòng)管理單元和服務(wù)GPRS支持節(jié)點(diǎn);
移動(dòng)管理單元用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到目標(biāo)系統(tǒng) 時(shí)�,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符發(fā)給服務(wù)GPRS支持節(jié)點(diǎn);
服務(wù)GPRS支持節(jié)點(diǎn)和用戶設(shè)備均用于將接入安全管理實(shí)體密鑰的身份 標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符�。
進(jìn)一步的,所述服務(wù)GPRS支持節(jié)點(diǎn)/用戶設(shè)備進(jìn)行映射的方式包括
直接令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于接入安全管理實(shí)體密鑰的身份標(biāo) 識(shí)符�����,或令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于接入安全管理實(shí)體密鑰的身份標(biāo) 識(shí)符與一用戶設(shè)備與網(wǎng)絡(luò)約定好的常數(shù)之和。
進(jìn)一步的���,用戶設(shè)備和服務(wù)GPRS支持節(jié)點(diǎn)還用于當(dāng)用戶設(shè)備轉(zhuǎn)移前和 服務(wù)GPRS支持節(jié)點(diǎn)已經(jīng)協(xié)商好密鑰����,并且目標(biāo)系統(tǒng)的密鑰身份識(shí)別符與轉(zhuǎn) 移過程中接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符轉(zhuǎn)化過來對(duì)應(yīng)的目標(biāo)系統(tǒng)的密 鑰身份識(shí)別符的值一樣時(shí)���,刪除轉(zhuǎn)移前的密鑰��。進(jìn)一步的�����,所述用戶設(shè)備包括消息交互單元、密鑰標(biāo)識(shí)符映射單元和密
鑰及其標(biāo)識(shí)符存儲(chǔ)單元��;
消息交互單元用于接收網(wǎng)絡(luò)側(cè)發(fā)來的消息���;
密鑰標(biāo)識(shí)符映射單元用于當(dāng)消息交互單元收到切換命令��、路由區(qū)更新接 受或附著接受消息時(shí)��,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系 統(tǒng)的密鑰身份識(shí)別符��;
密鑰及其標(biāo)識(shí)符存儲(chǔ)單元���,用于將目標(biāo)系統(tǒng)的密鑰和所述目標(biāo)系統(tǒng)的密 鑰身份標(biāo)識(shí)符一起保存���;
所述移動(dòng)管理單元包括請(qǐng)求消息接收單元和安全參數(shù)處理單元;
所述請(qǐng)求消息接收單元用于接收其他網(wǎng)絡(luò)實(shí)體發(fā)送的轉(zhuǎn)移請(qǐng)求消息�����,并 指示安全參數(shù)處理單元處理����;
所述安全參數(shù)處理單元用于當(dāng)接收到所述請(qǐng)求消息接收單元的指示后, 使用接入安全管理實(shí)體密鑰產(chǎn)生加密密鑰���、完整性密鑰����,將接入安全管理實(shí) 體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整性密鑰����、加密密 鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn);
所述服務(wù)GPRS支持節(jié)點(diǎn)包括安全參數(shù)處理單元���,消息交互單元�����、密鑰 標(biāo)識(shí)符映射單元��、密鑰生成單元�;
所述安全參數(shù)接收單元用于接收移動(dòng)管理單元發(fā)來的密鑰及接入安全管 理實(shí)體密鑰的身份標(biāo)識(shí)符,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符發(fā)送給密 鑰標(biāo)識(shí)符映射單元�����;根據(jù)移動(dòng)管理單元發(fā)來的密鑰得到目標(biāo)系統(tǒng)的密鑰并發(fā) 送給密鑰及其標(biāo)識(shí)符存儲(chǔ)單元���;
所迷密鑰標(biāo)識(shí)符映射單元用于當(dāng)收到接入安全管理實(shí)體密鑰的身份標(biāo)識(shí) 符時(shí)���,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份標(biāo) 識(shí)符�����;
所述密鑰及其標(biāo)識(shí)符存儲(chǔ)單元����,用于將安全參數(shù)接收單元發(fā)送的目標(biāo)系 統(tǒng)的密鑰和密鑰標(biāo)識(shí)符映射單元發(fā)送的目標(biāo)系統(tǒng)的密鑰身份標(biāo)識(shí)符一起保 存,保存后通知消息交互單元映射完成;
所述消息交互單元用于在收到映射完成的消息后發(fā)送網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功的通知�����。
進(jìn)一步的�,所述用戶設(shè)備和服務(wù)GPRS支持節(jié)點(diǎn)中的密鑰標(biāo)識(shí)符映射單 元將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份標(biāo)識(shí)符 是指,當(dāng)轉(zhuǎn)移的目標(biāo)系統(tǒng)為陸地?zé)o線接入網(wǎng)時(shí)�,將接入安全管理實(shí)體密鑰的
身份標(biāo)識(shí)符映射為密鑰集識(shí)別符;當(dāng)轉(zhuǎn)移的目標(biāo)系統(tǒng)為通用分組無線業(yè)務(wù)/改 進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)時(shí)���,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映 射為通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí) 別符����;
所述服務(wù)GPRS支持節(jié)點(diǎn)中的安全參數(shù)接收單元根據(jù)移動(dòng)管理單元發(fā)來 的密鑰得到目標(biāo)系統(tǒng)的密鑰并發(fā)送^^密鑰及其標(biāo)識(shí)符存儲(chǔ)單元是指�����,轉(zhuǎn)移到 的目標(biāo)系統(tǒng)如果為陸地?zé)o線接入網(wǎng)����,則將移動(dòng)管理單元發(fā)送來的密鑰發(fā)送給 密鑰及其標(biāo)識(shí)符存儲(chǔ)單元;如果目標(biāo)系統(tǒng)為通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率 GSM服務(wù)無線接入網(wǎng)��,則使用移動(dòng)管理單元發(fā)送來的密鑰生成通用分組無線 業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰后發(fā)送給密鑰及其標(biāo)識(shí)符存 儲(chǔ)單元���。
進(jìn)一步的��,用戶設(shè)備中的密鑰標(biāo)識(shí)符映射單元還用于當(dāng)用戶設(shè)備決定空 閑轉(zhuǎn)移時(shí)將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份 識(shí)別符�����。
進(jìn)一步的�����,所述用戶設(shè)備中的消息交互單元還用于在決定空閑轉(zhuǎn)移時(shí)發(fā) 送路由區(qū)更新請(qǐng)求或附著請(qǐng)求消息給服務(wù)GPRS支持節(jié)點(diǎn)�;
所述服務(wù)GPRS支持節(jié)點(diǎn)中的消息交互單元還用于當(dāng)收到路由區(qū)更新請(qǐng) 求或附著請(qǐng)求消息時(shí)發(fā)送相應(yīng)的上下文請(qǐng)求或鑒別請(qǐng)求消息給移動(dòng)管理單 元;
所述移動(dòng)管理單元中的請(qǐng)求消息接收單元當(dāng)轉(zhuǎn)移請(qǐng)求消息為上下文請(qǐng)求 或鑒別請(qǐng)求消息時(shí)����,發(fā)送第一處理指示給安全參數(shù)處理單元;當(dāng)轉(zhuǎn)移請(qǐng)求消 息為切換請(qǐng)求消息�����,發(fā)送第二處理指示給安全參數(shù)處理單元�����;
所述移動(dòng)管理單元中的安全參數(shù)處理單元當(dāng)所收到的指示為第 一處理指 示時(shí)����,通過上下文響應(yīng)或鑒別響應(yīng)消息將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整性密鑰、加密密鑰一起發(fā)給服務(wù)
GPRS支持節(jié)點(diǎn)�����;當(dāng)所收到的指示為第二處理指示時(shí)����,通過轉(zhuǎn)發(fā)重定向請(qǐng)求 消息將所述接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰 生成的完整性密鑰、加密密鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)�。
進(jìn)一步的,服務(wù)GPRS支持節(jié)點(diǎn)中的消息交互單元發(fā)送網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí) 符已經(jīng)映射成功的通知是指
如果所收到的移動(dòng)管理單元發(fā)送密鑰及其標(biāo)識(shí)符的消息為上下文響應(yīng)或 鑒別響應(yīng)消息����,則相應(yīng)發(fā)送路由區(qū)更新接受或附著接受消息給用戶設(shè)備來指 示網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功;如果所收到的移動(dòng)管理單元發(fā)送密鑰及 其標(biāo)識(shí)符的消息為轉(zhuǎn)發(fā)重定向請(qǐng)求消息�,則發(fā)送轉(zhuǎn)發(fā)重定向響應(yīng)消息給移動(dòng) 管理單元來指示網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功。
本發(fā)明的技術(shù)方案能夠在轉(zhuǎn)移過程中為密鑰提供身份標(biāo)識(shí)符��,重新使用 由KASME轉(zhuǎn)換過來的密鑰����,解決了 UE從EUTRAN轉(zhuǎn)移到其他系統(tǒng)時(shí),由KASME 生成的密鑰無身份標(biāo)識(shí)符而導(dǎo)致無法被重新使用的問題��,減少了用戶設(shè)備和 網(wǎng)絡(luò)的交互信令。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解���,構(gòu)成本申請(qǐng)的一部 分�,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的 不當(dāng)限定。在附圖中
圖1為本發(fā)明所述的UE從EUTRAN轉(zhuǎn)移到UTRAN時(shí)密鑰集標(biāo)識(shí)符生 成方法具體實(shí)現(xiàn)示意圖���。
圖2為本發(fā)明所述的UE從EUTRAN轉(zhuǎn)移到GERAN時(shí)密鑰集標(biāo)識(shí)符生 成方法具體實(shí)現(xiàn)示意圖����。
圖3為本發(fā)明所述方法的應(yīng)用實(shí)例一的實(shí)現(xiàn)信令流程圖��。
圖4為本發(fā)明所述方法的應(yīng)用實(shí)例二的實(shí)現(xiàn)信令流程圖��。
圖5為本發(fā)明所述方法的應(yīng)用實(shí)例三的實(shí)現(xiàn)信令流程圖�。圖6為本發(fā)明所述方法的應(yīng)用實(shí)例四的實(shí)現(xiàn)流程圖。
圖7為本發(fā)明所述方法的應(yīng)用實(shí)例五的實(shí)現(xiàn)信令流程圖�����。
圖8為本發(fā)明所述方法的應(yīng)用實(shí)例六的實(shí)現(xiàn)信令流程圖����。
具體實(shí)施例方式
下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說明。
本發(fā)明提供的UE轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符的生成方法包括
當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到目標(biāo)系統(tǒng)時(shí)�,移動(dòng)管理單元 將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符發(fā)給服務(wù)GPRS支持節(jié)點(diǎn),服務(wù)GPRS 支持節(jié)點(diǎn)和用戶設(shè)備均將KSUsME映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符�����。
其中�,所述映射的方式可以包括直接令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等 于KSIasme,或令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于KSIasme與一常數(shù)之和����;
所述服務(wù)GPRS支持節(jié)點(diǎn)與用戶設(shè)備約定映射方式及常數(shù)。
其中���,還包括UE和SGSN將映射得到的目標(biāo)系統(tǒng)的密鑰身份識(shí)別符和 由接入安全管理實(shí)體密鑰產(chǎn)生的目標(biāo)系統(tǒng)的密鑰一起保存�����。
其中���,KSUsME與常數(shù)之和不能為"111",如果正好為111時(shí),可按照 UE與SGSN的約定進(jìn)行改變��,比如置為下一個(gè)值"000",也可以是其它值。
其中�,如果轉(zhuǎn)移前UE和SGSN已經(jīng)協(xié)商好密鑰,并且所保存的目標(biāo)系 統(tǒng)的密鑰身份識(shí)別符與轉(zhuǎn)移過程中由KSIasme映射得到的目標(biāo)系統(tǒng)的密鑰身 份識(shí)別符一樣��,則刪除轉(zhuǎn)移前保存的密鑰��。
其中�,UE從EUTRAN轉(zhuǎn)移到其他無線接入系統(tǒng)是指UE轉(zhuǎn)移到UTRAN 系統(tǒng)或GERAN系統(tǒng);轉(zhuǎn)移包括空閑轉(zhuǎn)移和切換兩種����。
當(dāng)UE從EUTRAN空閑轉(zhuǎn)移到UTRAN時(shí),所述生成方法如圖1所示���, 具體包括
Al�、 MME收到上下文請(qǐng)求或鑒別請(qǐng)求消息后�,使用Kasme生成IK、 CK, 通過上下文響應(yīng)或鑒別響應(yīng)消息將KSIasme和由Kasme生成的DC�、 CK 一起發(fā) 給SGSN;A2、 SGSN收到MME發(fā)過來的KSlASME和IK��、 CK后�,將KSIasme映射 為KSI,并將該KSI和IK、 CK 一起保存����;SGSN發(fā)送指示KSI映射完成的消 息給UE;
A3、UE將KSTASME映射為KSI,即將KSlASME的值賦給KST:KSI-KSlASME���, 并將KSI和由KASME生成的IK 、 CK 一起保存��。
進(jìn)一步��,步驟A1前還包括
A0 ����、 UE決定空閑轉(zhuǎn)移到UTRAN,發(fā)送空閑轉(zhuǎn)移到UTRAN的請(qǐng)求消息 給SGSN��,請(qǐng)求消息為路由區(qū)更新請(qǐng)求或附著請(qǐng)求��;SGSN收到UE發(fā)過來的 空閑轉(zhuǎn)移到UTRAN的請(qǐng)求消息后����,向MME發(fā)相應(yīng)的請(qǐng)求消息;
進(jìn)一步�,相應(yīng)的,步驟A2中,SGSN所發(fā)送的指示KSI映射完成的消息 為路由區(qū)更新接受或附著接受消息���。
進(jìn)一步的����,步驟A3可以發(fā)生在UE決定空閑轉(zhuǎn)移到UTRAN后����、UE相 應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給SGSN之前的任一步中。
當(dāng)UE從EUTRAN切換到UTRAN時(shí)��,所述生成方法具體包括 al�、 MME收到切換請(qǐng)求消息后,使用Kasme生成IK����、 CK,通過轉(zhuǎn)發(fā)重 定向請(qǐng)求消息將KSlASME和由Kasme生成的IK、 CK一起發(fā)給SGSN;
a2��、 SGSN收到MME發(fā)過來的KSIasme和IK����、 CK后,將KSIasme映射 為KSI,將該KSI和IK�����、 CK一起保存;SGSN發(fā)送指示KSI映射完成的轉(zhuǎn)發(fā) 重定向響應(yīng)消息給MME; MME發(fā)送切換命令指示UE切換����;
a3 、 UE收到網(wǎng)絡(luò)發(fā)過來切換命令后將KSIasme映射為KST�����,將KSI和由 Kasme生成的IK���、 CK一起保存。
上述密鑰集識(shí)別符生成方法因?yàn)椴捎肊UTRAN網(wǎng)絡(luò)中的KSIasme的值映 射為的UTRAN網(wǎng)絡(luò)的KSI的值��,同時(shí)保證映射的KSI與原先存儲(chǔ)的密鑰序 列號(hào)不出現(xiàn)重碼����。解決了現(xiàn)有技術(shù)中在UE從EUTRAN轉(zhuǎn)移到UTRAN時(shí), 由于映射過來的IK��、 CK無身份標(biāo)識(shí)符而無法重新被使用的問題��。
當(dāng)UE從EUTRAN空閑轉(zhuǎn)移到GERAN時(shí)���,所述生成方法如圖2所示��, 具體包括Bl���、 MME收到上下文請(qǐng)求或者或鑒別請(qǐng)求消息后�����,使用Kasme生成IK�、 CK���,通過上下文響應(yīng)或鑒別響應(yīng)將KSUsME和由Kasme生成的IK�、 CK 一起 發(fā)給SGSN;
B2��、 SGSN收到MME發(fā)過來的KSTasme和TK��、 CK后����,使用IK、 CK生 成Kc,將KSIasme映射為CKSN,將CKSN和由IK��、 CK生成的Kc 一起保 存����;SGSN發(fā)送指示CKSN映射完成的消息給UE;
B3���、 UE將KSIasme映射為CKSN,將CKSN和由KASME生成的Kc 一起 保存�����。
進(jìn)一步�����,步驟B1前還可以包括
B0���、 l正決定空閑轉(zhuǎn)移到GERAN,發(fā)送空閑轉(zhuǎn)移到UTRAN的請(qǐng)求消息 給SGSN,請(qǐng)求消息為路由區(qū)更新請(qǐng)求或附著請(qǐng)求�;SGSN收到UE發(fā)過來的 空閑轉(zhuǎn)移到UTRAN的請(qǐng)求消息后,向MME發(fā)相應(yīng)的請(qǐng)求消息��;
相應(yīng)的��,步驟B2中�����,SGSN所發(fā)送的指示CKSN映射完成的消息為路由 區(qū)更新接受或附著接受消息。
進(jìn)一步的��,步驟B3可以發(fā)生在UE決定空閑轉(zhuǎn)移到GERAN后����、UE發(fā) 送切換消息給網(wǎng)絡(luò)側(cè)之前的任一步中。
當(dāng)UE從EUTRAN切換到CERAN時(shí)�,所述生成方法具體包括
bl、 MME收到切換請(qǐng)求消息后����,使用Kasme生成IK、 CK�����,通過轉(zhuǎn)發(fā)重 定向請(qǐng)求消息將KSIasme和由Kasme生成的IK�、 CK 一起發(fā)給SGSN;
b2、 SGSN收到MME發(fā)過來的KSI和IK�����、 CK后�����,使用IK、 CK生成 Kc,將KSIasme映射為CKSN,將CKSN和由IK����、 CK生成的Kc 一起保存; SGSN發(fā)送指示CKSN映射完成的消息給MME; MME發(fā)送切換命令指示UE 切換����;
b3 、 UE收到網(wǎng)絡(luò)發(fā)過來切換命令后將KSIasme映射為CKSN,將CKSN 和由Kasme生成的Kc 一起保存����。
上述密鑰集識(shí)別符生成方法和系統(tǒng)因?yàn)椴捎肒SIasme的值映射為CKSN 的值,同時(shí)保證CKSN與原先存儲(chǔ)的密鑰序列號(hào)不出現(xiàn)重碼�����。解決了現(xiàn)有技 術(shù)中在UE從EUTRAN轉(zhuǎn)移到GERAN,由于映射過來的Kc無身份標(biāo)識(shí)符而無法重新^皮-使用的問題���。
本發(fā)明提供的UE轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符的生成系統(tǒng)包括UE、 MME 和SGSN;
所述MME用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到目標(biāo)系統(tǒng)時(shí)�, 將KSlASME發(fā)給SGSN;
SGSN和UE均用于將KSIasme映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符; 其中�����,所述SGSN/UE進(jìn)行映射的方式包括直接令目標(biāo)系統(tǒng)的密鑰身份
識(shí)別符等于KSIasme,或令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于KSIasme與一常數(shù)
之和;
所述服務(wù)GPRS支持節(jié)點(diǎn)與用戶設(shè)備約定映射方式及常數(shù)��。
其中����,SGSN和UE還用于將映射得到的目標(biāo)系統(tǒng)的密鑰身份識(shí)別符和由 kasme產(chǎn)生的目標(biāo)系統(tǒng)的密鑰一起保存。
其中���,KSUsME與常數(shù)之和不能為"111"����,如果正好為111時(shí)�����,可按照 UE與SGSN的約定進(jìn)行改變�����,比如置為下一個(gè)值"000",也可以是其它值��。
UE和SGSN還用于當(dāng)UE轉(zhuǎn)移前和SGSN已經(jīng)協(xié)商好密鑰�,并且所保存 的目標(biāo)系統(tǒng)的密鑰身份識(shí)別符與轉(zhuǎn)移過程中KSIasme轉(zhuǎn)化過來對(duì)應(yīng)的目標(biāo)系 統(tǒng)的密鑰身份識(shí)別符的值一樣時(shí),刪除轉(zhuǎn)移前保存的密鑰��。
其中,UE從EUTRAN轉(zhuǎn)移到其他無線接入系統(tǒng)是指UE轉(zhuǎn)移到UTRAN 系統(tǒng)或GERAN系統(tǒng)�����;轉(zhuǎn)移包括空閑轉(zhuǎn)移和切換兩種�����。
其中���,所述UE包括消息交互單元���、密鑰標(biāo)識(shí)符映射單元和密鑰及其標(biāo) 識(shí)符存儲(chǔ)單元;
消息交互單元用于接收網(wǎng)絡(luò)側(cè)發(fā)來的消息�����;
密鑰標(biāo)識(shí)符映射單元用于當(dāng)消息交互單元收到切換命令��、路由區(qū)更新接 受或附著接受消息時(shí)���,將KSIasme映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符;當(dāng)轉(zhuǎn) 移的目標(biāo)系統(tǒng)為UTRAN時(shí)���,將KSIasme映射為KSI;當(dāng)轉(zhuǎn)移的目標(biāo)系統(tǒng)為 GERAN時(shí)����,將KSIasme映射為CKSN;密鑰及其標(biāo)識(shí)符存儲(chǔ)單元,用于將目標(biāo)系統(tǒng)的密鑰和所述目標(biāo)系統(tǒng)的密 鑰身份標(biāo)識(shí)符一起保存�����。
所述MME包括請(qǐng)求消息接收單元和安全參數(shù)處理單元�;
所述請(qǐng)求消息接收單元用于接收其他網(wǎng)絡(luò)實(shí)體發(fā)送的轉(zhuǎn)移請(qǐng)求消息,并 指示安全參數(shù)處理單元處理���;如果該轉(zhuǎn)移請(qǐng)求消息為上下文請(qǐng)求或鑒別請(qǐng)求 消息�����,則發(fā)送第一處理指示給安全參數(shù)處理單元��;如果該轉(zhuǎn)移請(qǐng)求消息為切 換請(qǐng)求消息���,則發(fā)送第二處理指示給安全參數(shù)處理單元;
所述安全參數(shù)處理單元用于當(dāng)接收到所述請(qǐng)求消息接收單元的指示后���, 使用kasme產(chǎn)生CK�、IK,將KSIasme和由Kas織生成的ik、CK一起發(fā)給SGSN; 當(dāng)所收到的指示為第一處理指示時(shí)��,通過上下文響應(yīng)或鑒別響應(yīng)消息將 KSIasme和由Kasme生成的IK��、 CK 一起發(fā)給SGSN;當(dāng)所收到的指示為第二
處理指示時(shí)����,通過轉(zhuǎn)發(fā)重定向請(qǐng)求消息將所述KSlASME和由Kasme生成的IK、
CK 一起發(fā)給SGSN����。
所述SGSN包括安全參數(shù)處理單元,消息交互單元���、密鑰標(biāo)識(shí)符映射單 元����、密鑰生成單元����;
所述安全參數(shù)接收單元用于接收MME發(fā)來的密鑰及KSlASME,將KSIasme 發(fā)送給密鑰標(biāo)識(shí)符映射單元����;根據(jù)MME發(fā)來的密鑰得到目標(biāo)系統(tǒng)的密鑰并 發(fā)送給密鑰及其標(biāo)識(shí)符存儲(chǔ)單元判斷轉(zhuǎn)移到的目標(biāo)系統(tǒng)如果為UTRAN����,則 將MME發(fā)送來的密鑰發(fā)送給密鑰及其標(biāo)識(shí)符存儲(chǔ)單元�;如果目標(biāo)系統(tǒng)為 GERAN�����,則使用MME發(fā)送來的密鑰生成Kc后發(fā)送給密鑰及其標(biāo)識(shí)符存儲(chǔ) 單元����;
所述密鑰標(biāo)識(shí)符映射單元用于當(dāng)收到KSIasme時(shí),將KSIasme映射為目標(biāo) 系統(tǒng)的密鑰身份標(biāo)識(shí)符判斷轉(zhuǎn)移到的目標(biāo)系統(tǒng)如果為UTRAN,則將KSIasme 映射為KSI;如果目標(biāo)系統(tǒng)為GERAN�����,則將KSIASME映射為CKSN;將映射 得到的密鑰身份標(biāo)識(shí)符發(fā)給所述密鑰及其標(biāo)識(shí)符存儲(chǔ)單元�;
所述密鑰及其標(biāo)識(shí)符存儲(chǔ)單元,用于將安全參數(shù)接收單元發(fā)送的目標(biāo)系 統(tǒng)的密鑰和密鑰標(biāo)識(shí)符映射單元發(fā)送的目標(biāo)系統(tǒng)的密鑰身份標(biāo)識(shí)符一起保 存���,保存后通知消息交互單元映射完成�����;所述消息交互單元用于在收到映射完成的消息后發(fā)送網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符 已經(jīng)映射成功的通知���。
其中���,UE中的消息交互單元還可以用于在決定空閑轉(zhuǎn)移時(shí)發(fā)送路由區(qū)更
新請(qǐng)求或附著請(qǐng)求消息給SGSN;
所述SGSN中的消息交互單元還用于當(dāng)收到路由區(qū)更新請(qǐng)求或附著請(qǐng)求 消息時(shí)發(fā)送相應(yīng)的上下文請(qǐng)求或鑒別請(qǐng)求消息給MME。
其中����,UE中的密鑰標(biāo)識(shí)符映射單元還可以用于當(dāng)UE決定空閑轉(zhuǎn)移時(shí)將 KSIasme映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符。
其中��,SGSN中的消息交互單元發(fā)送網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功的 通知是指如果所收到的MME發(fā)送密鑰及其標(biāo)識(shí)符的消息為上下文響應(yīng)或 鑒別響應(yīng)消息�����,則相應(yīng)發(fā)送路由區(qū)更新接受或附著接受消息給UE來指示網(wǎng) 絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功�;如果所收到的MME發(fā)送密鑰及其標(biāo)識(shí)符的 消息為轉(zhuǎn)發(fā)重定向請(qǐng)求消息,則發(fā)送轉(zhuǎn)發(fā)重定向響應(yīng)消息給MME來指示網(wǎng) 絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功���。
上述密鑰身份標(biāo)識(shí)符生成系統(tǒng)因?yàn)椴捎肒SIasme的值映射為KSI或 CKSN的值��,同時(shí)保證KSI或CKSN和SGSN原先存儲(chǔ)的密鑰序列號(hào)不出現(xiàn) 重碼���。所以解決了現(xiàn)有技術(shù)中在UE從EUTRAN轉(zhuǎn)移到UTRAN或GERAN 時(shí)�����,由于kasme映射過來的IK����、 CK或Kc無身份標(biāo)識(shí)符的問題��,從而使IK���、 CK或Kc能夠在轉(zhuǎn)移結(jié)束后,重新被使用��,減少UE和網(wǎng)絡(luò)的交互信令����,提 高用戶使用網(wǎng)絡(luò)的滿意度。
下面用本發(fā)明的六個(gè)應(yīng)用實(shí)例進(jìn)一步加以i兌明��。
圖3為本發(fā)明所述方法的應(yīng)用實(shí)例一����,為UE從EUTRAN空閑轉(zhuǎn)移到 UTRAN時(shí),密鑰標(biāo)識(shí)符的生成方法流程���,包括以下步驟
步驟S301��, UE決定空閑轉(zhuǎn)移到UTRAN,發(fā)送空閑轉(zhuǎn)移到UTRAN的請(qǐng) 求消息給目標(biāo)SGSN���,請(qǐng)求消息可以為路由區(qū)更新請(qǐng)求���,或附著請(qǐng)求;
步驟S302�����,目標(biāo)SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到UTRAN的請(qǐng)求消 息后��,向源MME發(fā)請(qǐng)求消息����,請(qǐng)求消息對(duì)應(yīng)于所收到的轉(zhuǎn)移請(qǐng)求消息的類型,為相應(yīng)的上下文請(qǐng)求或鑒別請(qǐng)求���;
步驟S303,源MME收到目標(biāo)SGSN發(fā)過來的請(qǐng)求消息后�,使用KASME 產(chǎn)生CK�、 IK;
步驟S304,源MME相應(yīng)反饋上下文響應(yīng)或鑒別響應(yīng)消息����,將CK����、 IK 和KSIasme —起發(fā)給目標(biāo)SGSN;
步驟S305,目標(biāo)SGSN收到源MME發(fā)過來的CK�����、 IK和KSIASME后�����, 將KSIasme的值賦給KSI�����,即令KSI=KSIASME�����,將KSI和CK�、 IK 一起保存��;
步驟S306��,目標(biāo)SGSN向UE發(fā)空閑轉(zhuǎn)移到UTRAN接受消息(相應(yīng)為 對(duì)應(yīng)的路由區(qū)更新接受或附著接受消息),通知UE網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng) 映射成功�;
步驟S307, UE將KSIasme的值賦給KSI,即令KSI=KSIASME,將KSI和 由Kasme生成的TK、 CK 一起保存�;
步驟S308, UE相應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給目標(biāo)SGSN���。
圖4為本發(fā)明所述方法的應(yīng)用實(shí)例二�����,為UE從EUTRAN空閑轉(zhuǎn)移到 UTRAN時(shí)���,密鑰標(biāo)識(shí)符的生成方法流程,包括以下步驟
步驟S401����, l正決定空閑轉(zhuǎn)移到UTRAN ,將KSIasme的值賦給KSI,即 KSI=KSIASME,將KSI和由Kasme生成的IK���、 CK一起保存�;
步驟S402, UE發(fā)送空閑轉(zhuǎn)移到UTRAN的請(qǐng)求消息給目標(biāo)SGSN,請(qǐng)求 消息可以為路由區(qū)更新請(qǐng)求�,或附著請(qǐng)求;
步驟S403,目標(biāo)SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到UTRAN的請(qǐng)求消 息后���,向源MME發(fā)請(qǐng)求消息����,請(qǐng)求消息對(duì)應(yīng)于所收到的轉(zhuǎn)移請(qǐng)求消息的類 型,為相應(yīng)的上下文請(qǐng)求或鑒別請(qǐng)求����;
步驟S404,源MME收到SGSN發(fā)過來的請(qǐng)求消息后����,使用kasme產(chǎn) 生CK、 IK;
步驟S405�, MME相應(yīng)反饋上下文響應(yīng)或鑒別響應(yīng)消息,將CK����、 IK和 KSIasme —起發(fā)給SGSN;
步驟S406,目標(biāo)SGSN收到源MME發(fā)過來的KSIASME和CK�、 IK后,將KSIasme的值賦給KSI�����,即KSI=KSIASME�,并將KSI和CK����、 IK 一起保存��;
步驟S407,目標(biāo)SGSN向UE發(fā)空閑轉(zhuǎn)移到UTRAN接受消息(為對(duì)應(yīng) 的路由區(qū)更新接受或附著接受消息)��,通知UE網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射 成功��;
步驟S408��, UE相應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給目標(biāo)SGSN����。
圖5為本發(fā)明所述方法的應(yīng)用實(shí)例三,為UE從EUTRAN切換到UTRAN 時(shí)���,密鑰標(biāo)識(shí)符的生成方法流程�����,包括以下步驟
步驟S501,源eNB決定發(fā)起切換����。可以是根據(jù)l正發(fā)給該eNB的測量 報(bào)告觸發(fā)���,也可以是根據(jù)其他的一些原因由eNB決定發(fā)起轉(zhuǎn)移��。
步驟S502 ����,源eNB向源MME發(fā)切換請(qǐng)求消息�;
步驟S503 ,源MME使用KASME生成IK和CK;
步驟S504�,源MME向目標(biāo)SGSN發(fā)轉(zhuǎn)發(fā)重定向請(qǐng)求,將KSIasme和IK���、 CK傳給目標(biāo)SGSN;
步驟S505,目標(biāo)SGSN將Ks!asme值賦給KSI,即KSI=KSIASME,并將 KSI和IK�����、 CK一起保存��;
步驟S506,目標(biāo)SGSN向源MME發(fā)轉(zhuǎn)發(fā)重定向響應(yīng)消息,通知源MME, 目標(biāo)網(wǎng)絡(luò)已經(jīng)做好切換準(zhǔn)備���;
步驟S507 ��,源MME向源eNB發(fā)切換命令�����;
步驟S508,源eNB向UE發(fā)EUTRAN切換命令�;
步驟S509, UE將KSIasme的值賦給KSI,即KSI=KSIASME�,并使用KASME 生成IK、 CK����,然后將KSI和CK、 IK一起保存�����;
步驟S510���, UE發(fā)送切換成功消息給目標(biāo)RNC���,通知網(wǎng)絡(luò)KSI映射成功。
圖6為本發(fā)明所述方法的應(yīng)用實(shí)例四��,為UE從EUTRAN空閑轉(zhuǎn)移到 GERAN時(shí)��,密鑰標(biāo)識(shí)符的生成方法流程,包括以下步驟
步驟S601�����, UE決定空閑轉(zhuǎn)移到GERAN,發(fā)送空閑轉(zhuǎn)移到GERAN的請(qǐng) 求消息給目標(biāo)SGSN���,請(qǐng)求消息可以為路由區(qū)更新請(qǐng)求�,或附著請(qǐng)求�;
步驟S602,目標(biāo)SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到GERAN的請(qǐng)求消息后,向源MME發(fā)請(qǐng)求消息�����,請(qǐng)求消息對(duì)應(yīng)于所收到的轉(zhuǎn)移請(qǐng)求消息的類
型����,為相應(yīng)的上下文請(qǐng)求或鑒別請(qǐng)求;
步驟S603,源MME收到目標(biāo)SGSN發(fā)過來的請(qǐng)求消息后��,使用KASME 產(chǎn)生CK��、 IK;
步驟S604�,源MME相應(yīng)反饋上下文響應(yīng)或鑒別響應(yīng)消息,將CK��、 IK 和KSIasme —起發(fā)給目標(biāo)SGSN;
步驟S605,目標(biāo)SGSN收到源MME發(fā)過來的KSIASME和CK�、 IK后, 將KSIasme的值賦給CKSN�����,即CKSN=KSIASME�,并將CKSN和CK、 IK生成 的Kc 一起保存���;
步驟S606�,目標(biāo)SGSN向UE相應(yīng)發(fā)送空閑轉(zhuǎn)移到UTRAN的接受消息 (為對(duì)應(yīng)的路由區(qū)更新接受或附著接受消息)��,通知UE網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符 已經(jīng)映射成功�;
步驟S607, UE將KSUsme的值賦給CKSN,即CKSN=KSIASMr����,將CKSN 和由Kasme生成的Kc 一起保存;
步驟S608, UE相應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給目標(biāo)SGSN����。
圖7為本發(fā)明所述方法的應(yīng)用實(shí)例五,為UE從EUTRAN空閑轉(zhuǎn)移到 GERAN時(shí)����,密鑰標(biāo)識(shí)符的生成方法流程�����,包括以下步驟
步驟S701 �����, UE決定空閑轉(zhuǎn)移到GERAN,將KSIASME的值賦給CKSN���, 即CKSN=KSIASME,將CKSN和由Kasme生成的Kc 一起保存;
步驟S702�����, UE發(fā)送空閑轉(zhuǎn)移到GERAN的請(qǐng)求消息給目標(biāo)SGSN,請(qǐng) 求消息可以為路由區(qū)更新請(qǐng)求�,或附著請(qǐng)求;
步驟S703 ��,目標(biāo)SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到GERAN請(qǐng)求消息 后��,向源MME發(fā)請(qǐng)求消息��,請(qǐng)求消息對(duì)應(yīng)于所收到的轉(zhuǎn)移請(qǐng)求消息類型�, 為相應(yīng)的上下文請(qǐng)求或鑒別請(qǐng)求�����;
步驟S704,源MME收到目標(biāo)SGSN發(fā)過來的請(qǐng)求消息后,使用KASME 產(chǎn)生CK��、 IK;
步驟S705,源MME相應(yīng)反饋上下文響應(yīng)或鑒別響應(yīng)消息��,將CK��、 IK 和KSlASME—起發(fā)給目標(biāo)SGSN;步驟S706,目標(biāo)SGSN收到源MME發(fā)過來的KSIASME和CK����、 IK后, 將KSUsME的值賦給CKSN�,即CKSN=KSIASME,并將CKSN和由CK、 IK生 成的Kc 一起保存�;
步驟S707,目標(biāo)SGSN向UE發(fā)送空閑轉(zhuǎn)移到GERAN的接受消息(為 對(duì)應(yīng)的路由區(qū)更新接受或附著接受消息),通知UE網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng) 映射成功�����;
步驟S708�, UE相應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給目標(biāo)SGSN。
圖8為本發(fā)明所述方法的應(yīng)用實(shí)例六�����,為UE從EUTRAN切換到GERAN 時(shí),密鑰標(biāo)識(shí)符的生成方法流程�,包括以下步驟
步驟S801,源eNB決定發(fā)起切換����。可以是根據(jù)UE發(fā)給該eNB的測量 報(bào)告觸發(fā)���,也可以是根據(jù)其他的一些原因由eNB決定發(fā)起轉(zhuǎn)移����。
步驟S802,源eNB向源MME發(fā)切換請(qǐng)求消息���;
步驟S803,源MME使用Kasme生成IK��、 CK;
步驟S804���,源MME向目標(biāo)SGSN發(fā)轉(zhuǎn)發(fā)重定向請(qǐng)求,將KSUsme和IK�����、 CK傳給目標(biāo)SGSN;
步驟S805,目標(biāo)SGSN將KSIasme的值賦給CKSN��,即CKSN=KSIASME, 并將CKSN和由IK�����、 CK生成的Kc 一起保存���;
步驟S806,目標(biāo)SGSN向源MME發(fā)轉(zhuǎn)發(fā)重定向響應(yīng)消息,通知源MME����, 目標(biāo)網(wǎng)絡(luò)已經(jīng)做好切換準(zhǔn)備;
步驟S807,源MME向源eNB發(fā)切換命令���;
步驟S808��,源eNB向UE發(fā)EUTRAN切換命令�;
步驟S809, UE將KSIasme的值賦給CKSN��,即CKSN=KSIASME,,并使用 KASME生成Kc �,然后將CKSN和Kc 一起保存;
步驟S810, UE發(fā)送切換成功消息給目標(biāo)RNC,通知網(wǎng)絡(luò)CKSN映射成功。
上述六個(gè)應(yīng)用實(shí)例中����,UE和SGSN也可以令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符 等于KSIasme與一常數(shù)之和;常數(shù)由UE和網(wǎng)絡(luò)約定��,其中�����,KSIasme與常數(shù)之和不能為"111",如果正好為lll時(shí)�����,可按照UE與SGSN的約定進(jìn)行改 變��,比如置為下一個(gè)值"000",也可以是其它值����。
顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白��,上述的本發(fā)明的各^l塊或各步驟可 以用通用的計(jì)算裝置來實(shí)現(xiàn)���,它們可以集中在單個(gè)的計(jì)算裝置上����,或者分布 在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地�,它們可以用計(jì)算裝置可執(zhí)行的程
序代碼來實(shí)現(xiàn),從而����,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行,或 者將它們分別制作成各個(gè)集成電鴻4莫塊�����,或者將它們中的多個(gè)才莫塊或步驟制 作成單個(gè)集成電路模塊來實(shí)現(xiàn)�����。這樣�����,本發(fā)明不限制于任何特定的硬件和軟 件結(jié)合����。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已��,并不用于限制本發(fā)明,對(duì)于本 領(lǐng)域的技術(shù)人員來說��,本發(fā)明可以有各種更改和變化�����。凡在本發(fā)明的精神和 原則之內(nèi)�����,所作的任何修改�����、等同替換���、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù) 范圍之內(nèi)��。
權(quán)利要求
1�����、一種用戶設(shè)備轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符的生成方法,包括當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到目標(biāo)系統(tǒng)時(shí)���,移動(dòng)管理單元將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)��,服務(wù)GPRS支持節(jié)點(diǎn)和用戶設(shè)備均將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符����。
2���、 如權(quán)利要求1所述的生成方法�,其特征在于�,所述映射的方式包括直接令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于接入安全管理實(shí)體密鑰的身份標(biāo) 識(shí)符,或令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于接入安全管理實(shí)體密鑰的身份標(biāo) 識(shí)符與 一用戶設(shè)備與網(wǎng)絡(luò)約定好的常數(shù)之和����。
3���、 如權(quán)利要求1所述的生成方法�,其特征在于����,還包括如果轉(zhuǎn)移前用戶設(shè)備和服務(wù)GPRS支持節(jié)點(diǎn)已經(jīng)協(xié)商好密鑰�,并且目標(biāo) 系統(tǒng)的密鑰身份識(shí)別符與轉(zhuǎn)移過程中由接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符 映射得到的目標(biāo)系統(tǒng)的密鑰身份識(shí)別符一樣����,則刪除轉(zhuǎn)移前的密鑰。
4���、 如權(quán)利要求1到3中任一項(xiàng)所述的生成方法���,其特征在于,當(dāng)用戶設(shè) 備從演進(jìn)的陸地?zé)o線接入網(wǎng)空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)時(shí)����,具體包括Al、移動(dòng)管理單元收到上下文請(qǐng)求或鑒別請(qǐng)求消息后���,使用接入安全管 理實(shí)體密鑰生成完整性密鑰��、加密密鑰����,通過上下文響應(yīng)或鑒別響應(yīng)消息將 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整 性密鑰�、加密密鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn);A2�、服務(wù)GPRS支持節(jié)點(diǎn)收到移動(dòng)管理單元發(fā)過來的接入安全管理實(shí)體 密鑰的身份標(biāo)識(shí)符和完整性密鑰��、加密密鑰后���,將接入安全管理實(shí)體密鑰的 身份標(biāo)識(shí)符映射為密鑰集識(shí)別符,將該密鑰集識(shí)別符和完整性密鑰��、加密密 鑰一起保存����;服務(wù)GPRS支持節(jié)點(diǎn)發(fā)送指示密鑰集識(shí)別符映射完成的消息給 用戶設(shè)備;A3�、用戶設(shè)備將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為密鑰集識(shí)別 符,將密鑰集識(shí)別符和由接入安全管理實(shí)體密鑰生成的完整性密鑰���、加密密鑰一起保存����。
5����、 如權(quán)利要求4所述的生成方法����,其特征在于�,步驟A1前還包括A0�����、用戶設(shè)備決定空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)�,發(fā)送空閑轉(zhuǎn)移到陸地?zé)o 線接入網(wǎng)的請(qǐng)求消息給服務(wù)GPRS支持節(jié)點(diǎn),請(qǐng)求消息為路由區(qū)更新請(qǐng)求或 附著請(qǐng)求�����;服務(wù)GPRS支持節(jié)點(diǎn)收到用戶設(shè)備發(fā)過來的空閑轉(zhuǎn)移到陸地?zé)o線 接入網(wǎng)的請(qǐng)求消息后�����,向移動(dòng)管理單元發(fā)相應(yīng)的請(qǐng)求消息��;相應(yīng)的���,步驟A2中��,服務(wù)GPRS支持節(jié)點(diǎn)所發(fā)送的指示密鑰集識(shí)別符映 射完成的消息為路由區(qū)更新接受或附著接受消息��。
6���、 如權(quán)利要求4所述的生成方法��,其特征在于步驟A3以發(fā)生在用戶設(shè)備決定空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)后����、用戶設(shè) 備相應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給服務(wù)GPRS支持節(jié)點(diǎn)之前的任 一步中�。
7、 如權(quán)利要求1到3中任一項(xiàng)所述的生成方法���,其特征在于�,當(dāng)用戶設(shè) 備從演進(jìn)的陸地?zé)o線接入網(wǎng)切換到陸地?zé)o線接入網(wǎng)時(shí)��,具體包括al����、移動(dòng)管理單元收到切換請(qǐng)求消息后,使用接入安全管理實(shí)體密鑰生 成完整性密鑰��、加密密鑰����,通過轉(zhuǎn)發(fā)重定向請(qǐng)求消息將接入安全管理實(shí)體密 鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整性密鑰、加密密鑰一 起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)����;a2、服務(wù)GPRS支持節(jié)點(diǎn)收到移動(dòng)管理單元發(fā)來的密鑰集識(shí)別符和完整 性密鑰�����、加密密鑰后����,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為密鑰集 識(shí)別符,將該密鑰集識(shí)別符和完整性密鑰�、加密密鑰一起保存;服務(wù)GPRS 支持節(jié)點(diǎn)發(fā)送指示密鑰集識(shí)別符映射完成的轉(zhuǎn)發(fā)重定向響應(yīng)消息給移動(dòng)管理 單元�����;移動(dòng)管理單元發(fā)送切換命令指示用戶設(shè)備切換����;a3 、用戶設(shè)備收到網(wǎng)絡(luò)發(fā)過來切換命令后將接入安全管理實(shí)體密鑰的身 份標(biāo)識(shí)符映射為密鑰集識(shí)別符��,將密鑰集識(shí)別符和由接入安全管理實(shí)體密鑰 生成的完整性密鑰��、加密密鑰一起保存�����。
8、 如權(quán)利要求1到3中任一項(xiàng)所述的生成方法��,其特征在于���,當(dāng)用戶設(shè) 備從演進(jìn)的陸地?zé)o線接入網(wǎng)空閑轉(zhuǎn)移到通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)時(shí)�����,具體包括Bl��、移動(dòng)管理單元收到上下文請(qǐng)求或者或鑒別請(qǐng)求消息后����,使用接入安 全管理實(shí)體密鑰生成完整性密鑰�����、加密密鑰���,通過上下文響應(yīng)或鑒別響應(yīng)將 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整性密鑰���、加密密鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)�;B2�、服務(wù)GPRS支持節(jié)點(diǎn)收到移動(dòng)管理單元發(fā)來的接入安全管理實(shí)體密 鑰的身份標(biāo)識(shí)符和完整性密鑰、加密密鑰后��,使用完整性密鑰�����、加密密鑰生 成通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰����,將接入安 全管理實(shí)體密鑰的身^f分標(biāo)識(shí)符映射為通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服 務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符���,將通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM 服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符和所述通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù) 率GSM服務(wù)無線接入網(wǎng)加密密鑰一起保存���;服務(wù)GPRS支持節(jié)點(diǎn)發(fā)送指示通 用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符映 射完成的消息給用戶設(shè)備;B3����、用戶設(shè)備將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為通用分組無 線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符,將通用分 組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符和由接 入安全管理實(shí)體密鑰生成的通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接 入網(wǎng)加密密鑰一起保存����。
9、如權(quán)利要求8所述的生成方法,其特征在于����,步驟B1前還包括B0、用戶設(shè)備決定空閑轉(zhuǎn)移到通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù) 無線接入網(wǎng)�����,發(fā)送空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)的請(qǐng)求消息給服務(wù)GPRS支持 節(jié)點(diǎn)��,請(qǐng)求消息為路由區(qū)更新請(qǐng)求或附著請(qǐng)求�;服務(wù)GPRS支持節(jié)點(diǎn)收到用 戶設(shè)備發(fā)過來的空閑轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)的請(qǐng)求消息后,向移動(dòng)管理單元 發(fā)相應(yīng)的請(qǐng)求消息���;相應(yīng)的���,步驟B2中,服務(wù)GPRS支持節(jié)點(diǎn)所發(fā)送的指示通用分組無線業(yè) 務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符映射完成的消息 為路由區(qū)更新接受或附著接受消息�����。
10��、 如權(quán)利要求8所述的生成方法����,其特征在于步驟B3發(fā)生在用戶 設(shè)備決定空閑轉(zhuǎn)移到通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)后��、 用戶設(shè)備發(fā)送切換消息給網(wǎng)絡(luò)側(cè)之前的任一步中����。
11���、 如權(quán)利要求1到3中任一項(xiàng)所述的生成方法,其特征在于��,當(dāng)用戶 設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)切換到CERAN時(shí)���,具體包括bl����、移動(dòng)管理單元收到切換請(qǐng)求消息后�,使用接入安全管理實(shí)體密鑰生 成完整性密鑰、加密密鑰�,通過轉(zhuǎn)發(fā)重定向請(qǐng)求消息將接入安全管理實(shí)體密 鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整性密鑰、加密密鑰一 起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)��;b2����、服務(wù)GPRS支持節(jié)點(diǎn)收到移動(dòng)管理單元發(fā)過來的密鑰集識(shí)別符和完 整性密鑰��、加密密鑰后����,使用完整性密鑰����、加密密鑰生成通用分組無線業(yè)務(wù)/ 改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰,將接入安全管理實(shí)體密鑰的身份 標(biāo)識(shí)符的值賦給通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密 鑰的身份識(shí)別符����,即加密密鑰序列號(hào),將通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM 服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符和所述通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù) 率GSM服務(wù)無線接入網(wǎng)加密密鑰一起保存�����;服務(wù)GPRS支持節(jié)點(diǎn)發(fā)送指示通 用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符映 射完成的消息給移動(dòng)管理單元�;移動(dòng)管理單元發(fā)送切換命令指示用戶設(shè)備切 換;b3 ����、用戶設(shè)備收到網(wǎng)絡(luò)發(fā)過來切換命令后將接入安全管理實(shí)體密鑰的身 份標(biāo)識(shí)符映射為通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密 鑰的身份識(shí)別符,將通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加 密密鑰的身^f分識(shí)別符���,和由接入安全管理實(shí)體密鑰生成的通用分組無線業(yè)務(wù)/ 改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰一起保存����。
12、 一種用戶設(shè)備轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符的生成系統(tǒng)�,包括用戶設(shè)備、 移動(dòng)管理單元和服務(wù)GPRS支持節(jié)點(diǎn)���;其特征在于移動(dòng)管理單元用于當(dāng)用戶"i殳備^人演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到目標(biāo)系統(tǒng) 時(shí)���,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符發(fā)給服務(wù)GPRS支持節(jié)點(diǎn);服務(wù)GPRS支持節(jié)點(diǎn)和用戶設(shè)備均用于將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符�。
13��、 如權(quán)利要求12所述的生成系統(tǒng)�,其特征在于,所述服務(wù)GPRS支持 節(jié)點(diǎn)/用戶設(shè)備進(jìn)行映射的方式包括直接令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符�����,或令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等于接入安全管理實(shí)體密鑰的身份標(biāo) 識(shí)符與一用戶設(shè)備與網(wǎng)絡(luò)約定好的常數(shù)之和�。
14、 如權(quán)利要求12所述的生成系統(tǒng)�,其特征在于用戶設(shè)備和服務(wù)GPRS支持節(jié)點(diǎn)還用于當(dāng)用戶設(shè)備轉(zhuǎn)移前和服務(wù)GPRS 支持節(jié)點(diǎn)已經(jīng)協(xié)商好密鑰��,并且目標(biāo)系統(tǒng)的密鑰身份識(shí)別符與轉(zhuǎn)移過程中接 入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符轉(zhuǎn)化過來對(duì)應(yīng)的目標(biāo)系統(tǒng)的密鑰身份識(shí)別 符的值一樣時(shí)�����,刪除轉(zhuǎn)移前的密鑰��。
15 ����、如權(quán)利要求12到14任一項(xiàng)所述的生成系統(tǒng)����,其特征在于所述用戶設(shè)備包括消息交互單元、密鑰標(biāo)識(shí)符映射單元和密鑰及其標(biāo)識(shí) 符存儲(chǔ)單元�;消息交互單元用于接收網(wǎng)絡(luò)側(cè)發(fā)來的消息;密鑰標(biāo)識(shí)符映射單元用于當(dāng)消息交互單元收到切換命令�、路由區(qū)更新接 受或附著接受消息時(shí),將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系 統(tǒng)的密鑰身份識(shí)別符�;密鑰及其標(biāo)識(shí)符存儲(chǔ)單元,用于將目標(biāo)系統(tǒng)的密鑰和所述目標(biāo)系統(tǒng)的密 鑰身份標(biāo)識(shí)符一起保存����;所述移動(dòng)管理單元包括請(qǐng)求消息接收單元和安全參數(shù)處理單元;所述請(qǐng)求消息接收單元用于接收其他網(wǎng)絡(luò)實(shí)體發(fā)送的轉(zhuǎn)移請(qǐng)求消息�����,并 指示安全參數(shù)處理單元處理;所述安全參數(shù)處理單元用于當(dāng)接收到所述請(qǐng)求消息接收單元的指示后�, 使用接入安全管理實(shí)體密鑰產(chǎn)生加密密鑰、完整性密鑰��,將接入安全管理實(shí) 體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的完整性密鑰�、加密密鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn);所述服務(wù)GPRS支持節(jié)點(diǎn)包括安全參數(shù)處理單元�����,消息交互單元���、密鑰 標(biāo)識(shí)符映射單元����、密鑰生成單元���;所述安全參數(shù)接收單元用于接收移動(dòng)管理單元發(fā)來的密鑰及接入安全管 理實(shí)體密鑰的身份標(biāo)識(shí)符,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符發(fā)送給密 鑰標(biāo)識(shí)符映射單元�;根據(jù)移動(dòng)管理單元發(fā)來的密鑰得到目標(biāo)系統(tǒng)的密鑰并發(fā) 送給密鑰及其標(biāo)識(shí)符存儲(chǔ)單元;所述密鑰標(biāo)識(shí)符映射單元用于當(dāng)收到接入安全管理實(shí)體密鑰的身份標(biāo)識(shí) 符時(shí)���,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份標(biāo) 識(shí)符��;所述密鑰及其標(biāo)識(shí)符存儲(chǔ)單元�,用于將安全參#丈^接收單元發(fā)送的目標(biāo)系 統(tǒng)的密鑰和密鑰標(biāo)識(shí)符映射單元發(fā)送的目標(biāo)系統(tǒng)的密鑰身份標(biāo)識(shí)符一起保 存,保存后通知消息交互單元映射完成����;所述消息交互單元用于在收到映射完成的消息后發(fā)送網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符 已經(jīng)映射成功的通知。
16���、如權(quán)利要求15所述的生成系統(tǒng)�,其特征在于所述用戶設(shè)備和服務(wù)GPRS支持節(jié)點(diǎn)中的密鑰標(biāo)識(shí)符映射單元將接入安 全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份標(biāo)識(shí)符是指���,當(dāng)轉(zhuǎn) 移的目標(biāo)系統(tǒng)為陸地?zé)o線接入網(wǎng)時(shí)����,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符 映射為密鑰集識(shí)別符�����;當(dāng)轉(zhuǎn)移的目標(biāo)系統(tǒng)為通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率 GSM服務(wù)無線接入網(wǎng)時(shí)����,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為通用 分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰的身份識(shí)別符����;所述服務(wù)GPRS支持節(jié)點(diǎn)中的安全參數(shù)接收單元根據(jù)移動(dòng)管理單元發(fā)來 的密鑰得到目標(biāo)系統(tǒng)的密鑰并發(fā)送給密鑰及其標(biāo)識(shí)符存儲(chǔ)單元是指���,轉(zhuǎn)移到 的目標(biāo)系統(tǒng)如果為陸地?zé)o線接入網(wǎng)���,則將移動(dòng)管理單元發(fā)送來的密鑰發(fā)送給 密鑰及其標(biāo)識(shí)符存儲(chǔ)單元;如果目標(biāo)系統(tǒng)為通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率 GSM服務(wù)無線接入網(wǎng)�,則使用移動(dòng)管理單元發(fā)送來的密鑰生成通用分組無線 業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)加密密鑰后發(fā)送給密鑰及其標(biāo)識(shí)符存儲(chǔ)單元。
17�、 如權(quán)利要求15所述的生成系統(tǒng),其特征在于用戶設(shè)備中的密鑰標(biāo)識(shí)符映射單元還用于當(dāng)用戶設(shè)備決定空閑轉(zhuǎn)移時(shí)將 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符�����。
18���、 如權(quán)利要求15所述的生成系統(tǒng)�����,其特征在于所述用戶設(shè)備中的消息交互單元還用于在決定空閑轉(zhuǎn)移時(shí)發(fā)送路由區(qū)更 新請(qǐng)求或附著請(qǐng)求消息給服務(wù)GPRS支持節(jié)點(diǎn);所述服務(wù)GPRS支持節(jié)點(diǎn)中的消息交互單元還用于當(dāng)收到路由區(qū)更新請(qǐng) 求或附著請(qǐng)求消息時(shí)發(fā)送相應(yīng)的上下文請(qǐng)求或鑒別請(qǐng)求消息給移動(dòng)管理單元;所述移動(dòng)管理單元中的請(qǐng)求消息接收單元當(dāng)轉(zhuǎn)移請(qǐng)求消息為上下文請(qǐng)求 或鑒別請(qǐng)求消息時(shí)���,發(fā)送第一處理指示給安全參數(shù)處理單元��;當(dāng)轉(zhuǎn)移請(qǐng)求消 息為切換請(qǐng)求消息�,發(fā)送第二處理指示給安全參數(shù)處理單元�;所述移動(dòng)管理單元中的安全參數(shù)處理單元當(dāng)所收到的指示為第一處理指 示時(shí),通過上下文響應(yīng)或鑒別響應(yīng)消息將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí) 符和由接入安全管理實(shí)體密鑰生成的完整性密鑰�����、加密密鑰一起發(fā)給服務(wù) GPRS支持節(jié)點(diǎn)�;當(dāng)所收到的指示為第二處理指示時(shí),通過轉(zhuǎn)發(fā)重定向請(qǐng)求 消息將所述接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰 生成的完整性密鑰�、加密密鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)。
19����、 如權(quán)利要求18所述的生成系統(tǒng),其特征在于�����,服務(wù)GPRS支持節(jié)點(diǎn) 中的消息交互單元發(fā)送網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功的通知是指如果所收到的移動(dòng)管理單元發(fā)送密鑰及其標(biāo)識(shí)符的消息為上下文響應(yīng)或 鑒別響應(yīng)消息�,則相應(yīng)發(fā)送路由區(qū)更新接受或附著接受消息給用戶設(shè)備來指 示網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功���;如果所收到的移動(dòng)管理單元發(fā)送密鑰及 其標(biāo)識(shí)符的消息為轉(zhuǎn)發(fā)重定向請(qǐng)求消息,則發(fā)送轉(zhuǎn)發(fā)重定向響應(yīng)消息給移動(dòng) 管理單元來指示網(wǎng)絡(luò)側(cè)密鑰標(biāo)識(shí)符已經(jīng)映射成功�。
全文摘要
本發(fā)明公開了一種用戶設(shè)備轉(zhuǎn)移時(shí)密鑰身份標(biāo)識(shí)符的生成方法和生成系統(tǒng);方法包括當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到目標(biāo)系統(tǒng)時(shí)�,移動(dòng)管理單元將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符發(fā)給服務(wù)GPRS支持節(jié)點(diǎn),服務(wù)GPRS支持節(jié)點(diǎn)和用戶設(shè)備均將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為目標(biāo)系統(tǒng)的密鑰身份識(shí)別符���。能夠解決現(xiàn)有技術(shù)中用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到陸地?zé)o線接入網(wǎng)或通用分組無線業(yè)務(wù)/改進(jìn)數(shù)據(jù)率GSM服務(wù)無線接入網(wǎng)后����,轉(zhuǎn)移過程中產(chǎn)生的由接入安全管理實(shí)體密鑰映射過來的密鑰無身份標(biāo)識(shí)符的問題�����。
文檔編號(hào)H04L12/28GK101299884SQ20081010047
公開日2008年11月5日 申請(qǐng)日期2008年6月16日 優(yōu)先權(quán)日2008年6月16日
發(fā)明者張旭武, 露 甘, 慶 黃 申請(qǐng)人:中興通訊股份有限公司