專利名稱:用戶設備轉(zhuǎn)移時密鑰身份標識符的生成方法和生成系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信領(lǐng)域��,具體而言�����,涉及一種用戶設備轉(zhuǎn)移時密鑰身 ^^標識符的生成方法和生成系統(tǒng)。
背景技術(shù):
在移動通信系統(tǒng)中��,當UE (用戶設備)在不同接入系統(tǒng)相互轉(zhuǎn)移時���,源 服務網(wǎng)絡(Source Service Network)的安全參數(shù)需要映射為目標網(wǎng)絡(Target Service network )所能識別并能使用的安全參數(shù)��,才能使轉(zhuǎn)移成功并開展業(yè)務����。 這些安全參數(shù)包括密鑰�����、密鑰標識符、計數(shù)器�、安全算法等�。
3GPP演進的分組系統(tǒng)(EPS ����, Evolved Packet System)由演進的陸地無 線接入網(wǎng)(EUTRAN, Evolved UMTS Terrestrial Radio Access Network)和EPS 核心網(wǎng)(EPC���, Evolved Packet Core)組成����。
其中,EPC包含移動管理單元(MME����, mobility management entity)���,移 動管理單元負責移動性的管理、非接入層信令的處理、以及用戶安全模式的 管理等控制面相關(guān)工作。其中,MME保存EUTRAN的根密鑰KASME (Key Access Security Management Entity,接入安全管理實體密鑰),并且使用KASME 和上行NAS SQN (非接入層序列號)生成供eNB (evolved Node B,演進的 基站)使用的接入層的根密鑰KeNB (Key eNB,演進的基站密鑰)�����。接入安 全管理實體密鑰集識別符(KASME Key Set identifier for Access Security Management Entity) KSIASMe是密鑰KASME的身份識別符(或者叫密鑰序列號����、 身份標識符),長度為3個比特位����,用于網(wǎng)絡與用戶設備(UE, User Equipment)
之間對密鑰的識別和檢索����。當UE和網(wǎng)絡建立連接時,可以通過KSlASME通知
對方使用先前已經(jīng)存儲指定密鑰,從而建立安全上下文��,避免每次連接都要
進行認證和密鑰協(xié)商(AKA��, Authentication and Key Association)���,節(jié)省網(wǎng)絡 資源,當密鑰由于生存期結(jié)束或其它原因需要刪除時�,UE將KSIasme設為"111"����。
其中,在演進的UTRAN中���,基站設備為演進的基站(eNB���, evolved Node-B),主要負責無線通信、無線通信管理��、和移動性上下文的管理�����。
3GPP UMTS系統(tǒng)中負責分組域移動性上下文的管理���、和/或用戶安全模 式的管理的設備是SGSN( Serving GPRS Support Node,服務GPRS支持節(jié)點)�。
通信系統(tǒng))無線4妻入網(wǎng)(UTRAN , Universal Terrestrial Radio Access Network) 部分的認證和安全管理,并保存密鑰IK (Integrity Key,完整性密鑰)����,CK (Ciphering Key,加密密鑰)�����。CK/IK的密鑰身份識別符(或者叫密鑰身份 標識符)為KSI (Key Set identifier,密鑰集識別符),其作用和使用方法類 似于EPS中的KSIasme�����,都是用于UE和網(wǎng)絡之間對密鑰的識別和檢索,長度 也為3個比特位。當KSI等于"lll"時,表示沒有可以使用的密鑰,KSI無效���。 當UE和SGSN需要協(xié)商建立UMTS安全連接時�����,如果UE已經(jīng)儲存有可以 使用的密鑰時����,UE將儲存的KSI發(fā)給SGSN�����, SGSN驗證存儲的KSI是否與 UE存儲的KSI相同�����,如果一致�,則采用存儲的密鑰組協(xié)商建立安全上下文����, 并將KSI發(fā)回UE確認其使用的密鑰。如果UE沒有存儲有用的密鑰���,則將 KSI置為"lll",然后發(fā)給SGSN���, SGSN檢查到KSI為"lll"后����,向HLR (歸 屬位置寄存器)/HSS (歸屬用戶服務器)發(fā)送認證請求消息����,UE和網(wǎng)絡重 新作AKA�,產(chǎn)生新的密鑰組。
GPRS (通用分組無線業(yè)務)/EDGE (改進數(shù)據(jù)率GSM服務)系統(tǒng)負責 分組域移動性上下文的管理���、和/或用戶安全^f莫式的管理的設備也是SGSN, SGSN負責GPRS/EDGE無線接入網(wǎng)(GERAN, GPRS/EDGE Radio Access Network)部分的認證和安全管理�����,并存有GERAN加密密鑰Kc (Ciphering key) ��, Kc的身份識別符(或者叫密鑰身份標識符)為CKSN (Ciphering key sequence Number ���,加密密鑰序列號)��,作用和使用方法同KSI —樣�。
當UE從EUTRAN轉(zhuǎn)移(mobility )到UTRAN時�����,MME將用KASME為 目標網(wǎng)絡生成密鑰CK�����、 IK���,并發(fā)給SGSN, UE和SGSN使用CK�����、 IK,并 協(xié)商相應安全算法�,建立了 UTRAN安全上下文,其中轉(zhuǎn)移包括RRC處于激 活(Active)狀態(tài)的轉(zhuǎn)移�,和UE處于空閑(Idle)狀態(tài)的轉(zhuǎn)移兩種類型,激活狀態(tài)下的轉(zhuǎn)移包括切換等�����,空閑狀態(tài)下的轉(zhuǎn)移包括路由區(qū)更新�����、附著請求等���。
當UE從EUTRAN轉(zhuǎn)移到GERAN時��,MME用KASME產(chǎn)生CK, IK (同 轉(zhuǎn)移到UMTS時���,密鑰產(chǎn)生方法一樣),然后將IK����、 CK發(fā)給SGSN。 SGSN 4吏用IK���、 CK生成GERAN密鑰Kc��。
在現(xiàn)有技術(shù)中���,無論是KSlASME�、 KSI還是CKSN���,都是在認證過程中由 網(wǎng)絡側(cè)生成�����,然后通過認證請求發(fā)給UE��。然而在EUTRAN到UTRAN或 GERAN轉(zhuǎn)移過程中�����,雖然MME為目標網(wǎng)絡生成了 UTRAN或GERAN所需 的IK����、 CK,但是沒有為這對密鑰生成相應的身份識別符�,造成一旦轉(zhuǎn)移結(jié)束 后����,UE和SGSN將無法檢索到轉(zhuǎn)移時生成的密鑰�,也無法重新使用這對密鑰����。 當UE和網(wǎng)絡要重新建立RRC (Radio Resource Control,無線資源控制)或 其它連接時,由于無法使用這些存儲的密鑰���,不得不先進行AKA��,重新產(chǎn)生 新的密鑰�����,然后才建立無線連接�。這無疑會增加了網(wǎng)絡和UE的信令開銷����, 推遲了 UE與網(wǎng)絡的正常通信時間,造成用戶使用滿意度變差����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供用戶設備轉(zhuǎn)移時密鑰身份標識符的生成 方法和生成系統(tǒng),能夠解決現(xiàn)有技術(shù)中用戶設備從EUTRAN轉(zhuǎn)移到UTRAN 或GERAN后���,轉(zhuǎn)移過程中產(chǎn)生的由KASME映射過來的密鑰無身份標識符的 問題����。
為了解決上述問題,本發(fā)明提供了一種用戶設備轉(zhuǎn)移時密鑰身份標識符 的生成方法�����,包i舌
當用戶設備從演進的陸地無線接入網(wǎng)轉(zhuǎn)移到目標系統(tǒng)時���,移動管理單元 將接入安全管理實體密鑰的身份標識符發(fā)給服務GPRS支持節(jié)點�����,服務GPRS 支持節(jié)點和用戶設備均將接入安全管理實體密鑰的身份標識符映射為目標系 統(tǒng)的密鑰身份識別符�。
進一步的��,所述映射的方式包括
直接令目標系統(tǒng)的密鑰身份識別符等于接入安全管理實體密鑰的身份標識符�,或令目標系統(tǒng)的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符與一用戶設備與網(wǎng)絡約定好的常數(shù)之和。
進一步的�,所述的生成方法還包括
如果轉(zhuǎn)移前用戶設備和服務GPRS支持節(jié)點已經(jīng)協(xié)商好密鑰,并且目標 系統(tǒng)的密鑰身份識別符與轉(zhuǎn)移過程中由接入安全管理實體密鑰的身份標識符 映射得到的目標系統(tǒng)的密鑰身份識別符一樣���,則刪除轉(zhuǎn)移前的密鑰����。
進一步的����,當用戶設備從演進的陸地無線接入網(wǎng)空閑轉(zhuǎn)移到陸地無線4妄 入網(wǎng)時,方法具體包括
Al�����、移動管理單元收到上下文請求或鑒別請求消息后�����,使用接入安全管 理實體密鑰生成完整性密鑰����、加密密鑰,通過上下文響應或鑒別響應消息將 接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整 性密鑰��、加密密鑰一起發(fā)給服務GPRS支持節(jié)點�����;
A2、服務GPRS支持節(jié)點收到移動管理單元發(fā)過來的接入安全管理實體 密鑰的身份標識符和完整性密鑰�、加密密鑰后�,將接入安全管理實體密鑰的 身^f分標識符映射為密鑰集識別符����,將該密鑰集識別符和完整性密鑰����、加密密 鑰一起保存��;服務GPRS支持節(jié)點發(fā)送指示密鑰集識別符映射完成的消息給 用戶設備;
A3����、用戶設備將接入安全管理實體密鑰的身份標識符映射為密鑰集識別 符����,將密鑰集識別符和由接入安全管理實體密鑰生成的完整性密鑰�����、加密密 鑰一起保存�����。
進一步的��,步驟A1前還包括
A0�����、用戶設備決定空閑轉(zhuǎn)移到陸地無線接入網(wǎng)�,發(fā)送空閑轉(zhuǎn)移到陸地無 線接入網(wǎng)的請求消息給服務GPRS支持節(jié)點�����,請求消息為路由區(qū)更新請求或 附著請求;服務GPRS支持節(jié)點收到用戶設備發(fā)過來的空閑轉(zhuǎn)移到陸地無線 接入網(wǎng)的請求消息后���,向移動管理單元發(fā)相應的請求消息�;
相應的��,步驟A2中,服務GPRS支持節(jié)點所發(fā)送的指示密鑰集識別符映 射完成的消息為路由區(qū)更新接受或附著接受消息。
進一步的�,步驟A3以發(fā)生在用戶設備決定空閑轉(zhuǎn)移到陸地無線接入網(wǎng)后��、用戶設備相應發(fā)送路由區(qū)更新完成或附著完成消息給服務GPRS支持節(jié)
點之前的任一步中。
進一步的��,當用戶設備從演進的陸地無線接入網(wǎng)切換到陸地無線接入網(wǎng)
時���,方法具體包括
al��、移動管理單元收到切換請求消息后����,使用接入安全管理實體密鑰生 成完整性密鑰��、加密密鑰�,通過轉(zhuǎn)發(fā)重定向請求消息將接入安全管理實體密 鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一 起發(fā)給服務GPRS支持節(jié)點��;a2����、服務GPRS支持節(jié)點收到移動管理單元發(fā)來的密鑰集識別符和完整 性密鑰、加密密鑰后�����,將接入安全管理實體密鑰的身份標識符映射為密鑰集 識別符�����,將該密鑰集識別符和完整性密鑰�����、加密密鑰一起保存�;服務GPRS 支持節(jié)點發(fā)送指示密鑰集識別符映射完成的轉(zhuǎn)發(fā)重定向響應消息給移動管理 單元;移動管理單元發(fā)送切換命令指示用戶設備切換�����;
a3、用戶設備收到網(wǎng)絡發(fā)過來切換命令后將接入安全管理實體密鑰的身 份標識符映射為密鑰集識別符���,將密鑰集識別符和由接入安全管理實體密鑰 生成的完整性密鑰����、加密密鑰一起保存���。
進一步的����,當用戶設備從演進的陸地無線接入網(wǎng)空閑轉(zhuǎn)移到通用分組無 線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)時��,方法具體包括
Bl��、移動管理單元收到上下文請求或者或鑒別請求消息后����,使用接入安 全管理實體密鑰生成完整性密鑰、加密密鑰��,通過上下文響應或鑒別響應將 接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整 性密鑰���、加密密鑰一起發(fā)給服務GPRS支持節(jié)點�����;
B2���、服務GPRS支持節(jié)點收到移動管理單元發(fā)來的接入安全管理實體密 鑰的身份標識符和完整性密鑰、加密密鑰后�����,使用完整性密鑰����、加密密鑰生 成通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰,將接入安 全管理實體密鑰的身份標識符映射為通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服 務無線接入網(wǎng)加密密鑰的身份識別符���,將通用分組無線業(yè)務/改進數(shù)據(jù)率GSM 服務無線接入網(wǎng)加密密鑰的身份識別符和所述通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰一起保存�;服務GPRS支持節(jié)點發(fā)送指示通 用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符映 射完成的消息給用戶設備����;
B3、用戶設備將接入安全管理實體密鑰的身份標識符映射為通用分組無 線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符��,將通用分 組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符和由接 入安全管理實體密鑰生成的通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接 入網(wǎng)加密密鑰一起保存�����。
進一步的,步驟B1前還包括
B0���、用戶設備決定空閑轉(zhuǎn)移到通用分組無線業(yè)務/改進數(shù)椐率GSM服務 無線接入網(wǎng)���,發(fā)送空閑轉(zhuǎn)移到陸地無線接入網(wǎng)的請求消息給服務GPRS支持 節(jié)點,請求消息為路由區(qū)更新請求或附著請求�;服務GPRS支持節(jié)點收到用 戶設備發(fā)過來的空閑轉(zhuǎn)移到陸地無線接入網(wǎng)的請求消息后,向移動管理單元 發(fā)相應的請求消息����;
相應的,步驟B2中�����,服務GPRS支持節(jié)點所發(fā)送的指示通用分組無線業(yè) 務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符映射完成的消息 為路由區(qū)更新接受或附著接受消息�����。
進一步的����,步驟B3發(fā)生在用戶設備決定空閑轉(zhuǎn)移到通用分組無線業(yè)務/ 改進數(shù)據(jù)率GSM服務無線接入網(wǎng)后���、用戶設備發(fā)送切換消息給網(wǎng)絡側(cè)之前的 任一步中。
進一步的����,當用戶設備從演進的陸地無線接入網(wǎng)切換到CERAN時,方 法具體包括
bl�、移動管理單元收到切換請求消息后���,使用接入安全管理實體密鑰生 成完整性密鑰�����、加密密鑰����,通過轉(zhuǎn)發(fā)重定向請求消息將接入安全管理實體密 鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰�����、加密密鑰一 起發(fā)給服務GPRS支持節(jié)點�����;
b2、服務GPRS支持節(jié)點收到移動管理單元發(fā)過來的密鑰集識別符和完 整性密鑰����、加密密鑰后,使用完整性密鑰����、加密密鑰生成通用分組無線業(yè)務/200810100472.9
說明書第7/21頁
改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰,將接入安全管理實體密鑰的身份
標識符的值賦給通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密 鑰的身份識別符�,即加密密鑰序列號,將通用分組無線業(yè)務/改進數(shù)據(jù)率GSM 服務無線接入網(wǎng)加密密鑰的身份識別符和所述通用分組無線業(yè)務/改進數(shù)據(jù) 率GSM服務無線接入網(wǎng)加密密鑰一起保存��;服務GPRS支持節(jié)點發(fā)送指示通 用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符映 射完成的消息給移動管理單元��;移動管理單元發(fā)送切換命令指示用戶設備切 換����;
b3、用戶設備收到網(wǎng)絡發(fā)過來切換命令后將接入安全管理實體密鑰的身 份標識符映射為通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密 鑰的身份識別符��,將通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加 密密鑰的身〗分識別符��,和由接入安全管理實體密鑰生成的通用分組無線業(yè)務/ 改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰一起保存�����。
本發(fā)明還提供了 一種用戶設備轉(zhuǎn)移時密鑰身份標識符的生成系統(tǒng),包括 用戶設備����、移動管理單元和服務GPRS支持節(jié)點;
移動管理單元用于當用戶設備從演進的陸地無線接入網(wǎng)轉(zhuǎn)移到目標系統(tǒng) 時����,將接入安全管理實體密鑰的身份標識符發(fā)給服務GPRS支持節(jié)點;
服務GPRS支持節(jié)點和用戶設備均用于將接入安全管理實體密鑰的身份 標識符映射為目標系統(tǒng)的密鑰身份識別符���。
進一步的,所述服務GPRS支持節(jié)點/用戶設備進行映射的方式包括
直接令目標系統(tǒng)的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符���,或令目標系統(tǒng)的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符與一用戶設備與網(wǎng)絡約定好的常數(shù)之和�。
進一步的�����,用戶設備和服務GPRS支持節(jié)點還用于當用戶設備轉(zhuǎn)移前和 服務GPRS支持節(jié)點已經(jīng)協(xié)商好密鑰�,并且目標系統(tǒng)的密鑰身份識別符與轉(zhuǎn) 移過程中接入安全管理實體密鑰的身份標識符轉(zhuǎn)化過來對應的目標系統(tǒng)的密 鑰身份識別符的值一樣時,刪除轉(zhuǎn)移前的密鑰�。進一步的,所述用戶設備包括消息交互單元��、密鑰標識符映射單元和密
鑰及其標識符存儲單元;
消息交互單元用于接收網(wǎng)絡側(cè)發(fā)來的消息�;
密鑰標識符映射單元用于當消息交互單元收到切換命令、路由區(qū)更新接 受或附著接受消息時�����,將接入安全管理實體密鑰的身份標識符映射為目標系 統(tǒng)的密鑰身份識別符���;
密鑰及其標識符存儲單元����,用于將目標系統(tǒng)的密鑰和所述目標系統(tǒng)的密 鑰身份標識符一起保存����;
所述移動管理單元包括請求消息接收單元和安全參數(shù)處理單元;
所述請求消息接收單元用于接收其他網(wǎng)絡實體發(fā)送的轉(zhuǎn)移請求消息���,并 指示安全參數(shù)處理單元處理����;
所述安全參數(shù)處理單元用于當接收到所述請求消息接收單元的指示后�, 使用接入安全管理實體密鑰產(chǎn)生加密密鑰、完整性密鑰,將接入安全管理實 體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰��、加密密 鑰一起發(fā)給服務GPRS支持節(jié)點�;
所述服務GPRS支持節(jié)點包括安全參數(shù)處理單元,消息交互單元�、密鑰 標識符映射單元、密鑰生成單元�;
所述安全參數(shù)接收單元用于接收移動管理單元發(fā)來的密鑰及接入安全管 理實體密鑰的身份標識符,將接入安全管理實體密鑰的身份標識符發(fā)送給密 鑰標識符映射單元��;根據(jù)移動管理單元發(fā)來的密鑰得到目標系統(tǒng)的密鑰并發(fā) 送給密鑰及其標識符存儲單元�;
所迷密鑰標識符映射單元用于當收到接入安全管理實體密鑰的身份標識 符時,將接入安全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份標 識符���;
所述密鑰及其標識符存儲單元���,用于將安全參數(shù)接收單元發(fā)送的目標系 統(tǒng)的密鑰和密鑰標識符映射單元發(fā)送的目標系統(tǒng)的密鑰身份標識符一起保 存���,保存后通知消息交互單元映射完成����;
所述消息交互單元用于在收到映射完成的消息后發(fā)送網(wǎng)絡側(cè)密鑰標識符已經(jīng)映射成功的通知���。
進一步的���,所述用戶設備和服務GPRS支持節(jié)點中的密鑰標識符映射單 元將接入安全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份標識符 是指�,當轉(zhuǎn)移的目標系統(tǒng)為陸地無線接入網(wǎng)時�����,將接入安全管理實體密鑰的
身份標識符映射為密鑰集識別符����;當轉(zhuǎn)移的目標系統(tǒng)為通用分組無線業(yè)務/改 進數(shù)據(jù)率GSM服務無線接入網(wǎng)時,將接入安全管理實體密鑰的身份標識符映 射為通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識 別符�;
所述服務GPRS支持節(jié)點中的安全參數(shù)接收單元根據(jù)移動管理單元發(fā)來 的密鑰得到目標系統(tǒng)的密鑰并發(fā)送^^密鑰及其標識符存儲單元是指,轉(zhuǎn)移到 的目標系統(tǒng)如果為陸地無線接入網(wǎng)����,則將移動管理單元發(fā)送來的密鑰發(fā)送給 密鑰及其標識符存儲單元;如果目標系統(tǒng)為通用分組無線業(yè)務/改進數(shù)據(jù)率 GSM服務無線接入網(wǎng)����,則使用移動管理單元發(fā)送來的密鑰生成通用分組無線 業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰后發(fā)送給密鑰及其標識符存 儲單元。
進一步的����,用戶設備中的密鑰標識符映射單元還用于當用戶設備決定空 閑轉(zhuǎn)移時將接入安全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份 識別符。
進一步的,所述用戶設備中的消息交互單元還用于在決定空閑轉(zhuǎn)移時發(fā) 送路由區(qū)更新請求或附著請求消息給服務GPRS支持節(jié)點��;
所述服務GPRS支持節(jié)點中的消息交互單元還用于當收到路由區(qū)更新請 求或附著請求消息時發(fā)送相應的上下文請求或鑒別請求消息給移動管理單 元�;
所述移動管理單元中的請求消息接收單元當轉(zhuǎn)移請求消息為上下文請求 或鑒別請求消息時,發(fā)送第一處理指示給安全參數(shù)處理單元���;當轉(zhuǎn)移請求消 息為切換請求消息�����,發(fā)送第二處理指示給安全參數(shù)處理單元�����;
所述移動管理單元中的安全參數(shù)處理單元當所收到的指示為第 一處理指 示時���,通過上下文響應或鑒別響應消息將接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一起發(fā)給服務
GPRS支持節(jié)點��;當所收到的指示為第二處理指示時���,通過轉(zhuǎn)發(fā)重定向請求 消息將所述接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰 生成的完整性密鑰、加密密鑰一起發(fā)給服務GPRS支持節(jié)點�����。
進一步的,服務GPRS支持節(jié)點中的消息交互單元發(fā)送網(wǎng)絡側(cè)密鑰標識 符已經(jīng)映射成功的通知是指
如果所收到的移動管理單元發(fā)送密鑰及其標識符的消息為上下文響應或 鑒別響應消息�,則相應發(fā)送路由區(qū)更新接受或附著接受消息給用戶設備來指 示網(wǎng)絡側(cè)密鑰標識符已經(jīng)映射成功;如果所收到的移動管理單元發(fā)送密鑰及 其標識符的消息為轉(zhuǎn)發(fā)重定向請求消息�,則發(fā)送轉(zhuǎn)發(fā)重定向響應消息給移動 管理單元來指示網(wǎng)絡側(cè)密鑰標識符已經(jīng)映射成功。
本發(fā)明的技術(shù)方案能夠在轉(zhuǎn)移過程中為密鑰提供身份標識符����,重新使用 由KASME轉(zhuǎn)換過來的密鑰,解決了 UE從EUTRAN轉(zhuǎn)移到其他系統(tǒng)時����,由KASME 生成的密鑰無身份標識符而導致無法被重新使用的問題,減少了用戶設備和 網(wǎng)絡的交互信令�����。
此處所說明的附圖用來提供對本發(fā)明的進一步理解����,構(gòu)成本申請的一部 分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明��,并不構(gòu)成對本發(fā)明的 不當限定�。在附圖中
圖1為本發(fā)明所述的UE從EUTRAN轉(zhuǎn)移到UTRAN時密鑰集標識符生 成方法具體實現(xiàn)示意圖�。
圖2為本發(fā)明所述的UE從EUTRAN轉(zhuǎn)移到GERAN時密鑰集標識符生 成方法具體實現(xiàn)示意圖���。
圖3為本發(fā)明所述方法的應用實例一的實現(xiàn)信令流程圖�����。
圖4為本發(fā)明所述方法的應用實例二的實現(xiàn)信令流程圖���。
圖5為本發(fā)明所述方法的應用實例三的實現(xiàn)信令流程圖。圖6為本發(fā)明所述方法的應用實例四的實現(xiàn)流程圖�����。
圖7為本發(fā)明所述方法的應用實例五的實現(xiàn)信令流程圖����。
圖8為本發(fā)明所述方法的應用實例六的實現(xiàn)信令流程圖。
具體實施例方式
下面將結(jié)合附圖及實施例對本發(fā)明的技術(shù)方案進行更詳細的說明�。
本發(fā)明提供的UE轉(zhuǎn)移時密鑰身份標識符的生成方法包括
當用戶設備從演進的陸地無線接入網(wǎng)轉(zhuǎn)移到目標系統(tǒng)時,移動管理單元 將接入安全管理實體密鑰的身份標識符發(fā)給服務GPRS支持節(jié)點��,服務GPRS 支持節(jié)點和用戶設備均將KSUsME映射為目標系統(tǒng)的密鑰身份識別符��。
其中��,所述映射的方式可以包括直接令目標系統(tǒng)的密鑰身份識別符等 于KSIasme����,或令目標系統(tǒng)的密鑰身份識別符等于KSIasme與一常數(shù)之和;
所述服務GPRS支持節(jié)點與用戶設備約定映射方式及常數(shù)���。
其中��,還包括UE和SGSN將映射得到的目標系統(tǒng)的密鑰身份識別符和 由接入安全管理實體密鑰產(chǎn)生的目標系統(tǒng)的密鑰一起保存���。
其中,KSUsME與常數(shù)之和不能為"111",如果正好為111時�,可按照 UE與SGSN的約定進行改變,比如置為下一個值"000",也可以是其它值�。
其中,如果轉(zhuǎn)移前UE和SGSN已經(jīng)協(xié)商好密鑰����,并且所保存的目標系 統(tǒng)的密鑰身份識別符與轉(zhuǎn)移過程中由KSIasme映射得到的目標系統(tǒng)的密鑰身 份識別符一樣,則刪除轉(zhuǎn)移前保存的密鑰��。
其中���,UE從EUTRAN轉(zhuǎn)移到其他無線接入系統(tǒng)是指UE轉(zhuǎn)移到UTRAN 系統(tǒng)或GERAN系統(tǒng)���;轉(zhuǎn)移包括空閑轉(zhuǎn)移和切換兩種���。
當UE從EUTRAN空閑轉(zhuǎn)移到UTRAN時,所述生成方法如圖1所示��, 具體包括
Al�����、 MME收到上下文請求或鑒別請求消息后�,使用Kasme生成IK、 CK, 通過上下文響應或鑒別響應消息將KSIasme和由Kasme生成的DC���、 CK 一起發(fā) 給SGSN;A2���、 SGSN收到MME發(fā)過來的KSlASME和IK、 CK后���,將KSIasme映射 為KSI�����,并將該KSI和IK�����、 CK 一起保存�;SGSN發(fā)送指示KSI映射完成的消 息給UE;
A3���、UE將KSTASME映射為KSI,即將KSlASME的值賦給KST:KSI-KSlASME�����, 并將KSI和由KASME生成的IK ����、 CK 一起保存��。
進一步��,步驟A1前還包括
A0 �、 UE決定空閑轉(zhuǎn)移到UTRAN,發(fā)送空閑轉(zhuǎn)移到UTRAN的請求消息 給SGSN�����,請求消息為路由區(qū)更新請求或附著請求�;SGSN收到UE發(fā)過來的 空閑轉(zhuǎn)移到UTRAN的請求消息后����,向MME發(fā)相應的請求消息�;
進一步,相應的�,步驟A2中,SGSN所發(fā)送的指示KSI映射完成的消息 為路由區(qū)更新接受或附著接受消息���。
進一步的����,步驟A3可以發(fā)生在UE決定空閑轉(zhuǎn)移到UTRAN后�、UE相 應發(fā)送路由區(qū)更新完成或附著完成消息給SGSN之前的任一步中。
當UE從EUTRAN切換到UTRAN時����,所述生成方法具體包括 al、 MME收到切換請求消息后�,使用Kasme生成IK、 CK,通過轉(zhuǎn)發(fā)重 定向請求消息將KSlASME和由Kasme生成的IK�����、 CK一起發(fā)給SGSN;
a2、 SGSN收到MME發(fā)過來的KSIasme和IK��、 CK后����,將KSIasme映射 為KSI,將該KSI和IK、 CK一起保存����;SGSN發(fā)送指示KSI映射完成的轉(zhuǎn)發(fā) 重定向響應消息給MME; MME發(fā)送切換命令指示UE切換�����;
a3 �����、 UE收到網(wǎng)絡發(fā)過來切換命令后將KSIasme映射為KST����,將KSI和由 Kasme生成的IK、 CK一起保存�。
上述密鑰集識別符生成方法因為采用EUTRAN網(wǎng)絡中的KSIasme的值映 射為的UTRAN網(wǎng)絡的KSI的值,同時保證映射的KSI與原先存儲的密鑰序 列號不出現(xiàn)重碼�。解決了現(xiàn)有技術(shù)中在UE從EUTRAN轉(zhuǎn)移到UTRAN時, 由于映射過來的IK、 CK無身份標識符而無法重新被使用的問題�。
當UE從EUTRAN空閑轉(zhuǎn)移到GERAN時,所述生成方法如圖2所示����, 具體包括Bl、 MME收到上下文請求或者或鑒別請求消息后���,使用Kasme生成IK����、 CK�����,通過上下文響應或鑒別響應將KSUsME和由Kasme生成的IK����、 CK 一起 發(fā)給SGSN;
B2、 SGSN收到MME發(fā)過來的KSTasme和TK����、 CK后,使用IK����、 CK生 成Kc,將KSIasme映射為CKSN,將CKSN和由IK�����、 CK生成的Kc 一起保 存�����;SGSN發(fā)送指示CKSN映射完成的消息給UE;
B3�����、 UE將KSIasme映射為CKSN����,將CKSN和由KASME生成的Kc 一起 保存����。
進一步��,步驟B1前還可以包括
B0���、 l正決定空閑轉(zhuǎn)移到GERAN���,發(fā)送空閑轉(zhuǎn)移到UTRAN的請求消息 給SGSN,請求消息為路由區(qū)更新請求或附著請求�;SGSN收到UE發(fā)過來的 空閑轉(zhuǎn)移到UTRAN的請求消息后��,向MME發(fā)相應的請求消息�����;
相應的��,步驟B2中�,SGSN所發(fā)送的指示CKSN映射完成的消息為路由 區(qū)更新接受或附著接受消息。
進一步的����,步驟B3可以發(fā)生在UE決定空閑轉(zhuǎn)移到GERAN后、UE發(fā) 送切換消息給網(wǎng)絡側(cè)之前的任一步中����。
當UE從EUTRAN切換到CERAN時,所述生成方法具體包括
bl��、 MME收到切換請求消息后�,使用Kasme生成IK、 CK��,通過轉(zhuǎn)發(fā)重 定向請求消息將KSIasme和由Kasme生成的IK、 CK 一起發(fā)給SGSN;
b2���、 SGSN收到MME發(fā)過來的KSI和IK��、 CK后��,使用IK����、 CK生成 Kc,將KSIasme映射為CKSN,將CKSN和由IK�����、 CK生成的Kc 一起保存��; SGSN發(fā)送指示CKSN映射完成的消息給MME; MME發(fā)送切換命令指示UE 切換�;
b3 、 UE收到網(wǎng)絡發(fā)過來切換命令后將KSIasme映射為CKSN,將CKSN 和由Kasme生成的Kc 一起保存����。
上述密鑰集識別符生成方法和系統(tǒng)因為采用KSIasme的值映射為CKSN 的值���,同時保證CKSN與原先存儲的密鑰序列號不出現(xiàn)重碼����。解決了現(xiàn)有技 術(shù)中在UE從EUTRAN轉(zhuǎn)移到GERAN,由于映射過來的Kc無身份標識符而無法重新^皮-使用的問題。
本發(fā)明提供的UE轉(zhuǎn)移時密鑰身份標識符的生成系統(tǒng)包括UE��、 MME 和SGSN;
所述MME用于當用戶設備從演進的陸地無線接入網(wǎng)轉(zhuǎn)移到目標系統(tǒng)時�, 將KSlASME發(fā)給SGSN;
SGSN和UE均用于將KSIasme映射為目標系統(tǒng)的密鑰身份識別符; 其中���,所述SGSN/UE進行映射的方式包括直接令目標系統(tǒng)的密鑰身份
識別符等于KSIasme,或令目標系統(tǒng)的密鑰身份識別符等于KSIasme與一常數(shù)
之和�����;
所述服務GPRS支持節(jié)點與用戶設備約定映射方式及常數(shù)��。
其中�����,SGSN和UE還用于將映射得到的目標系統(tǒng)的密鑰身份識別符和由 kasme產(chǎn)生的目標系統(tǒng)的密鑰一起保存���。
其中,KSUsME與常數(shù)之和不能為"111"��,如果正好為111時��,可按照 UE與SGSN的約定進行改變,比如置為下一個值"000",也可以是其它值�。
UE和SGSN還用于當UE轉(zhuǎn)移前和SGSN已經(jīng)協(xié)商好密鑰,并且所保存 的目標系統(tǒng)的密鑰身份識別符與轉(zhuǎn)移過程中KSIasme轉(zhuǎn)化過來對應的目標系 統(tǒng)的密鑰身份識別符的值一樣時�,刪除轉(zhuǎn)移前保存的密鑰。
其中�����,UE從EUTRAN轉(zhuǎn)移到其他無線接入系統(tǒng)是指UE轉(zhuǎn)移到UTRAN 系統(tǒng)或GERAN系統(tǒng)���;轉(zhuǎn)移包括空閑轉(zhuǎn)移和切換兩種����。
其中�����,所述UE包括消息交互單元�����、密鑰標識符映射單元和密鑰及其標 識符存儲單元�����;
消息交互單元用于接收網(wǎng)絡側(cè)發(fā)來的消息�;
密鑰標識符映射單元用于當消息交互單元收到切換命令、路由區(qū)更新接 受或附著接受消息時��,將KSIasme映射為目標系統(tǒng)的密鑰身份識別符�����;當轉(zhuǎn) 移的目標系統(tǒng)為UTRAN時�,將KSIasme映射為KSI;當轉(zhuǎn)移的目標系統(tǒng)為 GERAN時,將KSIasme映射為CKSN;密鑰及其標識符存儲單元�,用于將目標系統(tǒng)的密鑰和所述目標系統(tǒng)的密 鑰身份標識符一起保存。
所述MME包括請求消息接收單元和安全參數(shù)處理單元�;
所述請求消息接收單元用于接收其他網(wǎng)絡實體發(fā)送的轉(zhuǎn)移請求消息,并 指示安全參數(shù)處理單元處理�;如果該轉(zhuǎn)移請求消息為上下文請求或鑒別請求 消息,則發(fā)送第一處理指示給安全參數(shù)處理單元�����;如果該轉(zhuǎn)移請求消息為切 換請求消息���,則發(fā)送第二處理指示給安全參數(shù)處理單元�;
所述安全參數(shù)處理單元用于當接收到所述請求消息接收單元的指示后��, 使用kasme產(chǎn)生CK、IK,將KSIasme和由Kas織生成的ik�、CK一起發(fā)給SGSN; 當所收到的指示為第一處理指示時,通過上下文響應或鑒別響應消息將 KSIasme和由Kasme生成的IK�、 CK 一起發(fā)給SGSN;當所收到的指示為第二
處理指示時,通過轉(zhuǎn)發(fā)重定向請求消息將所述KSlASME和由Kasme生成的IK��、
CK 一起發(fā)給SGSN����。
所述SGSN包括安全參數(shù)處理單元,消息交互單元�、密鑰標識符映射單 元、密鑰生成單元����;
所述安全參數(shù)接收單元用于接收MME發(fā)來的密鑰及KSlASME,將KSIasme 發(fā)送給密鑰標識符映射單元����;根據(jù)MME發(fā)來的密鑰得到目標系統(tǒng)的密鑰并 發(fā)送給密鑰及其標識符存儲單元判斷轉(zhuǎn)移到的目標系統(tǒng)如果為UTRAN,則 將MME發(fā)送來的密鑰發(fā)送給密鑰及其標識符存儲單元��;如果目標系統(tǒng)為 GERAN����,則使用MME發(fā)送來的密鑰生成Kc后發(fā)送給密鑰及其標識符存儲 單元���;
所述密鑰標識符映射單元用于當收到KSIasme時���,將KSIasme映射為目標 系統(tǒng)的密鑰身份標識符判斷轉(zhuǎn)移到的目標系統(tǒng)如果為UTRAN,則將KSIasme 映射為KSI;如果目標系統(tǒng)為GERAN���,則將KSIASME映射為CKSN;將映射 得到的密鑰身份標識符發(fā)給所述密鑰及其標識符存儲單元;
所述密鑰及其標識符存儲單元����,用于將安全參數(shù)接收單元發(fā)送的目標系 統(tǒng)的密鑰和密鑰標識符映射單元發(fā)送的目標系統(tǒng)的密鑰身份標識符一起保 存,保存后通知消息交互單元映射完成����;所述消息交互單元用于在收到映射完成的消息后發(fā)送網(wǎng)絡側(cè)密鑰標識符 已經(jīng)映射成功的通知。
其中���,UE中的消息交互單元還可以用于在決定空閑轉(zhuǎn)移時發(fā)送路由區(qū)更
新請求或附著請求消息給SGSN;
所述SGSN中的消息交互單元還用于當收到路由區(qū)更新請求或附著請求 消息時發(fā)送相應的上下文請求或鑒別請求消息給MME���。
其中,UE中的密鑰標識符映射單元還可以用于當UE決定空閑轉(zhuǎn)移時將 KSIasme映射為目標系統(tǒng)的密鑰身份識別符��。
其中,SGSN中的消息交互單元發(fā)送網(wǎng)絡側(cè)密鑰標識符已經(jīng)映射成功的 通知是指如果所收到的MME發(fā)送密鑰及其標識符的消息為上下文響應或 鑒別響應消息����,則相應發(fā)送路由區(qū)更新接受或附著接受消息給UE來指示網(wǎng) 絡側(cè)密鑰標識符已經(jīng)映射成功;如果所收到的MME發(fā)送密鑰及其標識符的 消息為轉(zhuǎn)發(fā)重定向請求消息��,則發(fā)送轉(zhuǎn)發(fā)重定向響應消息給MME來指示網(wǎng) 絡側(cè)密鑰標識符已經(jīng)映射成功�����。
上述密鑰身份標識符生成系統(tǒng)因為采用KSIasme的值映射為KSI或 CKSN的值����,同時保證KSI或CKSN和SGSN原先存儲的密鑰序列號不出現(xiàn) 重碼。所以解決了現(xiàn)有技術(shù)中在UE從EUTRAN轉(zhuǎn)移到UTRAN或GERAN 時��,由于kasme映射過來的IK�、 CK或Kc無身份標識符的問題,從而使IK�、 CK或Kc能夠在轉(zhuǎn)移結(jié)束后,重新被使用��,減少UE和網(wǎng)絡的交互信令����,提 高用戶使用網(wǎng)絡的滿意度��。
下面用本發(fā)明的六個應用實例進一步加以i兌明��。
圖3為本發(fā)明所述方法的應用實例一���,為UE從EUTRAN空閑轉(zhuǎn)移到 UTRAN時,密鑰標識符的生成方法流程��,包括以下步驟
步驟S301�����, UE決定空閑轉(zhuǎn)移到UTRAN,發(fā)送空閑轉(zhuǎn)移到UTRAN的請 求消息給目標SGSN�����,請求消息可以為路由區(qū)更新請求�,或附著請求�;
步驟S302,目標SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到UTRAN的請求消 息后����,向源MME發(fā)請求消息,請求消息對應于所收到的轉(zhuǎn)移請求消息的類型��,為相應的上下文請求或鑒別請求;
步驟S303,源MME收到目標SGSN發(fā)過來的請求消息后����,使用KASME 產(chǎn)生CK、 IK;
步驟S304��,源MME相應反饋上下文響應或鑒別響應消息�����,將CK�、 IK 和KSIasme —起發(fā)給目標SGSN;
步驟S305,目標SGSN收到源MME發(fā)過來的CK、 IK和KSIASME后�����, 將KSIasme的值賦給KSI����,即令KSI=KSIASME,將KSI和CK����、 IK 一起保存;
步驟S306��,目標SGSN向UE發(fā)空閑轉(zhuǎn)移到UTRAN接受消息(相應為 對應的路由區(qū)更新接受或附著接受消息),通知UE網(wǎng)絡側(cè)密鑰標識符已經(jīng) 映射成功��;
步驟S307, UE將KSIasme的值賦給KSI,即令KSI=KSIASME,將KSI和 由Kasme生成的TK�、 CK 一起保存;
步驟S308��, UE相應發(fā)送路由區(qū)更新完成或附著完成消息給目標SGSN��。
圖4為本發(fā)明所述方法的應用實例二���,為UE從EUTRAN空閑轉(zhuǎn)移到 UTRAN時,密鑰標識符的生成方法流程��,包括以下步驟
步驟S401���, l正決定空閑轉(zhuǎn)移到UTRAN ����,將KSIasme的值賦給KSI,即 KSI=KSIASME,將KSI和由Kasme生成的IK��、 CK一起保存���;
步驟S402, UE發(fā)送空閑轉(zhuǎn)移到UTRAN的請求消息給目標SGSN,請求 消息可以為路由區(qū)更新請求��,或附著請求�����;
步驟S403,目標SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到UTRAN的請求消 息后�����,向源MME發(fā)請求消息����,請求消息對應于所收到的轉(zhuǎn)移請求消息的類 型,為相應的上下文請求或鑒別請求��;
步驟S404�����,源MME收到SGSN發(fā)過來的請求消息后����,使用kasme產(chǎn) 生CK、 IK;
步驟S405���, MME相應反饋上下文響應或鑒別響應消息�����,將CK����、 IK和 KSIasme —起發(fā)給SGSN;
步驟S406,目標SGSN收到源MME發(fā)過來的KSIASME和CK、 IK后����,將KSIasme的值賦給KSI,即KSI=KSIASME�,并將KSI和CK、 IK 一起保存����;
步驟S407,目標SGSN向UE發(fā)空閑轉(zhuǎn)移到UTRAN接受消息(為對應 的路由區(qū)更新接受或附著接受消息)���,通知UE網(wǎng)絡側(cè)密鑰標識符已經(jīng)映射 成功���;
步驟S408, UE相應發(fā)送路由區(qū)更新完成或附著完成消息給目標SGSN���。
圖5為本發(fā)明所述方法的應用實例三�,為UE從EUTRAN切換到UTRAN 時,密鑰標識符的生成方法流程�,包括以下步驟
步驟S501,源eNB決定發(fā)起切換?����?梢允歉鶕?jù)l正發(fā)給該eNB的測量 報告觸發(fā)�����,也可以是根據(jù)其他的一些原因由eNB決定發(fā)起轉(zhuǎn)移�。
步驟S502 ,源eNB向源MME發(fā)切換請求消息���;
步驟S503 ��,源MME使用KASME生成IK和CK;
步驟S504����,源MME向目標SGSN發(fā)轉(zhuǎn)發(fā)重定向請求�,將KSIasme和IK、 CK傳給目標SGSN;
步驟S505,目標SGSN將Ks!asme值賦給KSI,即KSI=KSIASME,并將 KSI和IK���、 CK一起保存����;
步驟S506,目標SGSN向源MME發(fā)轉(zhuǎn)發(fā)重定向響應消息,通知源MME, 目標網(wǎng)絡已經(jīng)做好切換準備����;
步驟S507 ,源MME向源eNB發(fā)切換命令�����;
步驟S508,源eNB向UE發(fā)EUTRAN切換命令���;
步驟S509�, UE將KSIasme的值賦給KSI,即KSI=KSIASME�,并使用KASME 生成IK、 CK����,然后將KSI和CK�、 IK一起保存;
步驟S510����, UE發(fā)送切換成功消息給目標RNC���,通知網(wǎng)絡KSI映射成功。
圖6為本發(fā)明所述方法的應用實例四��,為UE從EUTRAN空閑轉(zhuǎn)移到 GERAN時�����,密鑰標識符的生成方法流程��,包括以下步驟
步驟S601����, UE決定空閑轉(zhuǎn)移到GERAN,發(fā)送空閑轉(zhuǎn)移到GERAN的請 求消息給目標SGSN,請求消息可以為路由區(qū)更新請求�����,或附著請求�;
步驟S602,目標SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到GERAN的請求消息后,向源MME發(fā)請求消息����,請求消息對應于所收到的轉(zhuǎn)移請求消息的類
型,為相應的上下文請求或鑒別請求;
步驟S603,源MME收到目標SGSN發(fā)過來的請求消息后����,使用KASME 產(chǎn)生CK、 IK;
步驟S604�,源MME相應反饋上下文響應或鑒別響應消息,將CK����、 IK 和KSIasme —起發(fā)給目標SGSN;
步驟S605,目標SGSN收到源MME發(fā)過來的KSIASME和CK、 IK后���, 將KSIasme的值賦給CKSN�,即CKSN=KSIASME��,并將CKSN和CK��、 IK生成 的Kc 一起保存�����;
步驟S606��,目標SGSN向UE相應發(fā)送空閑轉(zhuǎn)移到UTRAN的接受消息 (為對應的路由區(qū)更新接受或附著接受消息)�����,通知UE網(wǎng)絡側(cè)密鑰標識符 已經(jīng)映射成功���;
步驟S607, UE將KSUsme的值賦給CKSN�,即CKSN=KSIASMr����,將CKSN 和由Kasme生成的Kc 一起保存;
步驟S608, UE相應發(fā)送路由區(qū)更新完成或附著完成消息給目標SGSN���。
圖7為本發(fā)明所述方法的應用實例五���,為UE從EUTRAN空閑轉(zhuǎn)移到 GERAN時,密鑰標識符的生成方法流程��,包括以下步驟
步驟S701 �, UE決定空閑轉(zhuǎn)移到GERAN,將KSIASME的值賦給CKSN, 即CKSN=KSIASME,將CKSN和由Kasme生成的Kc 一起保存����;
步驟S702, UE發(fā)送空閑轉(zhuǎn)移到GERAN的請求消息給目標SGSN,請 求消息可以為路由區(qū)更新請求����,或附著請求�;
步驟S703 ����,目標SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到GERAN請求消息 后,向源MME發(fā)請求消息���,請求消息對應于所收到的轉(zhuǎn)移請求消息類型�����, 為相應的上下文請求或鑒別請求�����;
步驟S704,源MME收到目標SGSN發(fā)過來的請求消息后�����,使用KASME 產(chǎn)生CK�、 IK;
步驟S705,源MME相應反饋上下文響應或鑒別響應消息���,將CK���、 IK 和KSlASME—起發(fā)給目標SGSN;步驟S706,目標SGSN收到源MME發(fā)過來的KSIASME和CK���、 IK后��, 將KSUsME的值賦給CKSN���,即CKSN=KSIASME,并將CKSN和由CK�、 IK生 成的Kc 一起保存�����;
步驟S707,目標SGSN向UE發(fā)送空閑轉(zhuǎn)移到GERAN的接受消息(為 對應的路由區(qū)更新接受或附著接受消息)�����,通知UE網(wǎng)絡側(cè)密鑰標識符已經(jīng) 映射成功��;
步驟S708�����, UE相應發(fā)送路由區(qū)更新完成或附著完成消息給目標SGSN���。
圖8為本發(fā)明所述方法的應用實例六����,為UE從EUTRAN切換到GERAN 時,密鑰標識符的生成方法流程���,包括以下步驟
步驟S801�,源eNB決定發(fā)起切換�。可以是根據(jù)UE發(fā)給該eNB的測量 報告觸發(fā)�,也可以是根據(jù)其他的一些原因由eNB決定發(fā)起轉(zhuǎn)移。
步驟S802,源eNB向源MME發(fā)切換請求消息�����;
步驟S803,源MME使用Kasme生成IK�����、 CK;
步驟S804����,源MME向目標SGSN發(fā)轉(zhuǎn)發(fā)重定向請求,將KSUsme和IK����、 CK傳給目標SGSN;
步驟S805���,目標SGSN將KSIasme的值賦給CKSN,即CKSN=KSIASME, 并將CKSN和由IK����、 CK生成的Kc 一起保存�;
步驟S806,目標SGSN向源MME發(fā)轉(zhuǎn)發(fā)重定向響應消息,通知源MME��, 目標網(wǎng)絡已經(jīng)做好切換準備���;
步驟S807,源MME向源eNB發(fā)切換命令����;
步驟S808���,源eNB向UE發(fā)EUTRAN切換命令�;
步驟S809, UE將KSIasme的值賦給CKSN����,即CKSN=KSIASME,,并使用 KASME生成Kc �,然后將CKSN和Kc 一起保存��;
步驟S810, UE發(fā)送切換成功消息給目標RNC,通知網(wǎng)絡CKSN映射成功�。
上述六個應用實例中,UE和SGSN也可以令目標系統(tǒng)的密鑰身份識別符 等于KSIasme與一常數(shù)之和��;常數(shù)由UE和網(wǎng)絡約定�,其中,KSIasme與常數(shù)之和不能為"111",如果正好為lll時���,可按照UE與SGSN的約定進行改 變�,比如置為下一個值"000",也可以是其它值�����。
顯然�,本領(lǐng)域的技術(shù)人員應該明白,上述的本發(fā)明的各^l塊或各步驟可 以用通用的計算裝置來實現(xiàn)�,它們可以集中在單個的計算裝置上,或者分布 在多個計算裝置所組成的網(wǎng)絡上�,可選地,它們可以用計算裝置可執(zhí)行的程
序代碼來實現(xiàn)��,從而,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行����,或 者將它們分別制作成各個集成電鴻4莫塊,或者將它們中的多個才莫塊或步驟制 作成單個集成電路模塊來實現(xiàn)����。這樣,本發(fā)明不限制于任何特定的硬件和軟 件結(jié)合��。
以上所述僅為本發(fā)明的優(yōu)選實施例而已�����,并不用于限制本發(fā)明����,對于本 領(lǐng)域的技術(shù)人員來說�����,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和 原則之內(nèi),所作的任何修改、等同替換����、改進等,均應包含在本發(fā)明的保護 范圍之內(nèi)����。
權(quán)利要求
1、一種用戶設備轉(zhuǎn)移時密鑰身份標識符的生成方法��,包括當用戶設備從演進的陸地無線接入網(wǎng)轉(zhuǎn)移到目標系統(tǒng)時�����,移動管理單元將接入安全管理實體密鑰的身份標識符發(fā)給服務GPRS支持節(jié)點��,服務GPRS支持節(jié)點和用戶設備均將接入安全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份識別符����。
2、 如權(quán)利要求1所述的生成方法����,其特征在于,所述映射的方式包括直接令目標系統(tǒng)的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符��,或令目標系統(tǒng)的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符與 一用戶設備與網(wǎng)絡約定好的常數(shù)之和。
3�����、 如權(quán)利要求1所述的生成方法���,其特征在于����,還包括如果轉(zhuǎn)移前用戶設備和服務GPRS支持節(jié)點已經(jīng)協(xié)商好密鑰�����,并且目標 系統(tǒng)的密鑰身份識別符與轉(zhuǎn)移過程中由接入安全管理實體密鑰的身份標識符 映射得到的目標系統(tǒng)的密鑰身份識別符一樣���,則刪除轉(zhuǎn)移前的密鑰。
4��、 如權(quán)利要求1到3中任一項所述的生成方法�,其特征在于,當用戶設 備從演進的陸地無線接入網(wǎng)空閑轉(zhuǎn)移到陸地無線接入網(wǎng)時��,具體包括Al��、移動管理單元收到上下文請求或鑒別請求消息后,使用接入安全管 理實體密鑰生成完整性密鑰����、加密密鑰,通過上下文響應或鑒別響應消息將 接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整 性密鑰���、加密密鑰一起發(fā)給服務GPRS支持節(jié)點�����;A2�����、服務GPRS支持節(jié)點收到移動管理單元發(fā)過來的接入安全管理實體 密鑰的身份標識符和完整性密鑰�、加密密鑰后����,將接入安全管理實體密鑰的 身份標識符映射為密鑰集識別符,將該密鑰集識別符和完整性密鑰�、加密密 鑰一起保存;服務GPRS支持節(jié)點發(fā)送指示密鑰集識別符映射完成的消息給 用戶設備�����;A3、用戶設備將接入安全管理實體密鑰的身份標識符映射為密鑰集識別 符����,將密鑰集識別符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一起保存���。
5�����、 如權(quán)利要求4所述的生成方法���,其特征在于,步驟A1前還包括A0�、用戶設備決定空閑轉(zhuǎn)移到陸地無線接入網(wǎng),發(fā)送空閑轉(zhuǎn)移到陸地無 線接入網(wǎng)的請求消息給服務GPRS支持節(jié)點����,請求消息為路由區(qū)更新請求或 附著請求;服務GPRS支持節(jié)點收到用戶設備發(fā)過來的空閑轉(zhuǎn)移到陸地無線 接入網(wǎng)的請求消息后���,向移動管理單元發(fā)相應的請求消息;相應的����,步驟A2中�����,服務GPRS支持節(jié)點所發(fā)送的指示密鑰集識別符映 射完成的消息為路由區(qū)更新接受或附著接受消息����。
6���、 如權(quán)利要求4所述的生成方法��,其特征在于步驟A3以發(fā)生在用戶設備決定空閑轉(zhuǎn)移到陸地無線接入網(wǎng)后��、用戶設 備相應發(fā)送路由區(qū)更新完成或附著完成消息給服務GPRS支持節(jié)點之前的任 一步中�。
7�、 如權(quán)利要求1到3中任一項所述的生成方法,其特征在于�,當用戶設 備從演進的陸地無線接入網(wǎng)切換到陸地無線接入網(wǎng)時,具體包括al��、移動管理單元收到切換請求消息后����,使用接入安全管理實體密鑰生 成完整性密鑰��、加密密鑰�����,通過轉(zhuǎn)發(fā)重定向請求消息將接入安全管理實體密 鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰�、加密密鑰一 起發(fā)給服務GPRS支持節(jié)點�����;a2����、服務GPRS支持節(jié)點收到移動管理單元發(fā)來的密鑰集識別符和完整 性密鑰、加密密鑰后��,將接入安全管理實體密鑰的身份標識符映射為密鑰集 識別符����,將該密鑰集識別符和完整性密鑰、加密密鑰一起保存�;服務GPRS 支持節(jié)點發(fā)送指示密鑰集識別符映射完成的轉(zhuǎn)發(fā)重定向響應消息給移動管理 單元;移動管理單元發(fā)送切換命令指示用戶設備切換�����;a3 ���、用戶設備收到網(wǎng)絡發(fā)過來切換命令后將接入安全管理實體密鑰的身 份標識符映射為密鑰集識別符�����,將密鑰集識別符和由接入安全管理實體密鑰 生成的完整性密鑰�����、加密密鑰一起保存�����。
8����、 如權(quán)利要求1到3中任一項所述的生成方法�����,其特征在于����,當用戶設 備從演進的陸地無線接入網(wǎng)空閑轉(zhuǎn)移到通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)時�,具體包括Bl���、移動管理單元收到上下文請求或者或鑒別請求消息后���,使用接入安 全管理實體密鑰生成完整性密鑰、加密密鑰�,通過上下文響應或鑒別響應將 接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一起發(fā)給服務GPRS支持節(jié)點�;B2、服務GPRS支持節(jié)點收到移動管理單元發(fā)來的接入安全管理實體密 鑰的身份標識符和完整性密鑰��、加密密鑰后�����,使用完整性密鑰���、加密密鑰生 成通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰�����,將接入安 全管理實體密鑰的身^f分標識符映射為通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服 務無線接入網(wǎng)加密密鑰的身份識別符��,將通用分組無線業(yè)務/改進數(shù)據(jù)率GSM 服務無線接入網(wǎng)加密密鑰的身份識別符和所述通用分組無線業(yè)務/改進數(shù)據(jù) 率GSM服務無線接入網(wǎng)加密密鑰一起保存��;服務GPRS支持節(jié)點發(fā)送指示通 用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符映 射完成的消息給用戶設備��;B3�、用戶設備將接入安全管理實體密鑰的身份標識符映射為通用分組無 線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符��,將通用分 組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符和由接 入安全管理實體密鑰生成的通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接 入網(wǎng)加密密鑰一起保存�。
9、如權(quán)利要求8所述的生成方法��,其特征在于���,步驟B1前還包括B0�����、用戶設備決定空閑轉(zhuǎn)移到通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務 無線接入網(wǎng)�����,發(fā)送空閑轉(zhuǎn)移到陸地無線接入網(wǎng)的請求消息給服務GPRS支持 節(jié)點���,請求消息為路由區(qū)更新請求或附著請求;服務GPRS支持節(jié)點收到用 戶設備發(fā)過來的空閑轉(zhuǎn)移到陸地無線接入網(wǎng)的請求消息后,向移動管理單元 發(fā)相應的請求消息�����;相應的�,步驟B2中,服務GPRS支持節(jié)點所發(fā)送的指示通用分組無線業(yè) 務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符映射完成的消息 為路由區(qū)更新接受或附著接受消息�。
10、 如權(quán)利要求8所述的生成方法���,其特征在于步驟B3發(fā)生在用戶 設備決定空閑轉(zhuǎn)移到通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)后�����、 用戶設備發(fā)送切換消息給網(wǎng)絡側(cè)之前的任一步中�����。
11�、 如權(quán)利要求1到3中任一項所述的生成方法���,其特征在于�����,當用戶 設備從演進的陸地無線接入網(wǎng)切換到CERAN時��,具體包括bl����、移動管理單元收到切換請求消息后,使用接入安全管理實體密鑰生 成完整性密鑰����、加密密鑰���,通過轉(zhuǎn)發(fā)重定向請求消息將接入安全管理實體密 鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰����、加密密鑰一 起發(fā)給服務GPRS支持節(jié)點�����;b2���、服務GPRS支持節(jié)點收到移動管理單元發(fā)過來的密鑰集識別符和完 整性密鑰��、加密密鑰后�,使用完整性密鑰、加密密鑰生成通用分組無線業(yè)務/ 改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰���,將接入安全管理實體密鑰的身份 標識符的值賦給通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密 鑰的身份識別符��,即加密密鑰序列號���,將通用分組無線業(yè)務/改進數(shù)據(jù)率GSM 服務無線接入網(wǎng)加密密鑰的身份識別符和所述通用分組無線業(yè)務/改進數(shù)據(jù) 率GSM服務無線接入網(wǎng)加密密鑰一起保存;服務GPRS支持節(jié)點發(fā)送指示通 用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符映 射完成的消息給移動管理單元���;移動管理單元發(fā)送切換命令指示用戶設備切 換�����;b3 ��、用戶設備收到網(wǎng)絡發(fā)過來切換命令后將接入安全管理實體密鑰的身 份標識符映射為通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密 鑰的身份識別符��,將通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加 密密鑰的身^f分識別符����,和由接入安全管理實體密鑰生成的通用分組無線業(yè)務/ 改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰一起保存�。
12、 一種用戶設備轉(zhuǎn)移時密鑰身份標識符的生成系統(tǒng)�����,包括用戶設備、 移動管理單元和服務GPRS支持節(jié)點��;其特征在于移動管理單元用于當用戶"i殳備^人演進的陸地無線接入網(wǎng)轉(zhuǎn)移到目標系統(tǒng) 時����,將接入安全管理實體密鑰的身份標識符發(fā)給服務GPRS支持節(jié)點;服務GPRS支持節(jié)點和用戶設備均用于將接入安全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份識別符���。
13�����、 如權(quán)利要求12所述的生成系統(tǒng),其特征在于��,所述服務GPRS支持 節(jié)點/用戶設備進行映射的方式包括直接令目標系統(tǒng)的密鑰身份識別符等于接入安全管理實體密鑰的身份標識符����,或令目標系統(tǒng)的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符與一用戶設備與網(wǎng)絡約定好的常數(shù)之和。
14����、 如權(quán)利要求12所述的生成系統(tǒng)�,其特征在于用戶設備和服務GPRS支持節(jié)點還用于當用戶設備轉(zhuǎn)移前和服務GPRS 支持節(jié)點已經(jīng)協(xié)商好密鑰����,并且目標系統(tǒng)的密鑰身份識別符與轉(zhuǎn)移過程中接 入安全管理實體密鑰的身份標識符轉(zhuǎn)化過來對應的目標系統(tǒng)的密鑰身份識別 符的值一樣時,刪除轉(zhuǎn)移前的密鑰�����。
15 �、如權(quán)利要求12到14任一項所述的生成系統(tǒng),其特征在于所述用戶設備包括消息交互單元�、密鑰標識符映射單元和密鑰及其標識 符存儲單元;消息交互單元用于接收網(wǎng)絡側(cè)發(fā)來的消息�;密鑰標識符映射單元用于當消息交互單元收到切換命令、路由區(qū)更新接 受或附著接受消息時���,將接入安全管理實體密鑰的身份標識符映射為目標系 統(tǒng)的密鑰身份識別符�;密鑰及其標識符存儲單元��,用于將目標系統(tǒng)的密鑰和所述目標系統(tǒng)的密 鑰身份標識符一起保存�����;所述移動管理單元包括請求消息接收單元和安全參數(shù)處理單元����;所述請求消息接收單元用于接收其他網(wǎng)絡實體發(fā)送的轉(zhuǎn)移請求消息�����,并 指示安全參數(shù)處理單元處理�;所述安全參數(shù)處理單元用于當接收到所述請求消息接收單元的指示后�, 使用接入安全管理實體密鑰產(chǎn)生加密密鑰、完整性密鑰��,將接入安全管理實 體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰��、加密密鑰一起發(fā)給服務GPRS支持節(jié)點��;所述服務GPRS支持節(jié)點包括安全參數(shù)處理單元����,消息交互單元��、密鑰 標識符映射單元��、密鑰生成單元��;所述安全參數(shù)接收單元用于接收移動管理單元發(fā)來的密鑰及接入安全管 理實體密鑰的身份標識符���,將接入安全管理實體密鑰的身份標識符發(fā)送給密 鑰標識符映射單元��;根據(jù)移動管理單元發(fā)來的密鑰得到目標系統(tǒng)的密鑰并發(fā) 送給密鑰及其標識符存儲單元�����;所述密鑰標識符映射單元用于當收到接入安全管理實體密鑰的身份標識 符時��,將接入安全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份標 識符�����;所述密鑰及其標識符存儲單元���,用于將安全參#丈^接收單元發(fā)送的目標系 統(tǒng)的密鑰和密鑰標識符映射單元發(fā)送的目標系統(tǒng)的密鑰身份標識符一起保 存�����,保存后通知消息交互單元映射完成�����;所述消息交互單元用于在收到映射完成的消息后發(fā)送網(wǎng)絡側(cè)密鑰標識符 已經(jīng)映射成功的通知�����。
16�����、如權(quán)利要求15所述的生成系統(tǒng)�,其特征在于所述用戶設備和服務GPRS支持節(jié)點中的密鑰標識符映射單元將接入安 全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份標識符是指,當轉(zhuǎn) 移的目標系統(tǒng)為陸地無線接入網(wǎng)時���,將接入安全管理實體密鑰的身份標識符 映射為密鑰集識別符�;當轉(zhuǎn)移的目標系統(tǒng)為通用分組無線業(yè)務/改進數(shù)據(jù)率 GSM服務無線接入網(wǎng)時�����,將接入安全管理實體密鑰的身份標識符映射為通用 分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰的身份識別符�����;所述服務GPRS支持節(jié)點中的安全參數(shù)接收單元根據(jù)移動管理單元發(fā)來 的密鑰得到目標系統(tǒng)的密鑰并發(fā)送給密鑰及其標識符存儲單元是指���,轉(zhuǎn)移到 的目標系統(tǒng)如果為陸地無線接入網(wǎng)�����,則將移動管理單元發(fā)送來的密鑰發(fā)送給 密鑰及其標識符存儲單元���;如果目標系統(tǒng)為通用分組無線業(yè)務/改進數(shù)據(jù)率 GSM服務無線接入網(wǎng),則使用移動管理單元發(fā)送來的密鑰生成通用分組無線 業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)加密密鑰后發(fā)送給密鑰及其標識符存儲單元���。
17����、 如權(quán)利要求15所述的生成系統(tǒng)�����,其特征在于用戶設備中的密鑰標識符映射單元還用于當用戶設備決定空閑轉(zhuǎn)移時將 接入安全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份識別符���。
18����、 如權(quán)利要求15所述的生成系統(tǒng)���,其特征在于所述用戶設備中的消息交互單元還用于在決定空閑轉(zhuǎn)移時發(fā)送路由區(qū)更 新請求或附著請求消息給服務GPRS支持節(jié)點�����;所述服務GPRS支持節(jié)點中的消息交互單元還用于當收到路由區(qū)更新請 求或附著請求消息時發(fā)送相應的上下文請求或鑒別請求消息給移動管理單元�;所述移動管理單元中的請求消息接收單元當轉(zhuǎn)移請求消息為上下文請求 或鑒別請求消息時,發(fā)送第一處理指示給安全參數(shù)處理單元�����;當轉(zhuǎn)移請求消 息為切換請求消息�,發(fā)送第二處理指示給安全參數(shù)處理單元;所述移動管理單元中的安全參數(shù)處理單元當所收到的指示為第一處理指 示時��,通過上下文響應或鑒別響應消息將接入安全管理實體密鑰的身份標識 符和由接入安全管理實體密鑰生成的完整性密鑰����、加密密鑰一起發(fā)給服務 GPRS支持節(jié)點;當所收到的指示為第二處理指示時�,通過轉(zhuǎn)發(fā)重定向請求 消息將所述接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰 生成的完整性密鑰、加密密鑰一起發(fā)給服務GPRS支持節(jié)點�����。
19�、 如權(quán)利要求18所述的生成系統(tǒng),其特征在于��,服務GPRS支持節(jié)點 中的消息交互單元發(fā)送網(wǎng)絡側(cè)密鑰標識符已經(jīng)映射成功的通知是指如果所收到的移動管理單元發(fā)送密鑰及其標識符的消息為上下文響應或 鑒別響應消息�,則相應發(fā)送路由區(qū)更新接受或附著接受消息給用戶設備來指 示網(wǎng)絡側(cè)密鑰標識符已經(jīng)映射成功�����;如果所收到的移動管理單元發(fā)送密鑰及 其標識符的消息為轉(zhuǎn)發(fā)重定向請求消息,則發(fā)送轉(zhuǎn)發(fā)重定向響應消息給移動 管理單元來指示網(wǎng)絡側(cè)密鑰標識符已經(jīng)映射成功�。
全文摘要
本發(fā)明公開了一種用戶設備轉(zhuǎn)移時密鑰身份標識符的生成方法和生成系統(tǒng);方法包括當用戶設備從演進的陸地無線接入網(wǎng)轉(zhuǎn)移到目標系統(tǒng)時��,移動管理單元將接入安全管理實體密鑰的身份標識符發(fā)給服務GPRS支持節(jié)點���,服務GPRS支持節(jié)點和用戶設備均將接入安全管理實體密鑰的身份標識符映射為目標系統(tǒng)的密鑰身份識別符����。能夠解決現(xiàn)有技術(shù)中用戶設備從演進的陸地無線接入網(wǎng)轉(zhuǎn)移到陸地無線接入網(wǎng)或通用分組無線業(yè)務/改進數(shù)據(jù)率GSM服務無線接入網(wǎng)后�,轉(zhuǎn)移過程中產(chǎn)生的由接入安全管理實體密鑰映射過來的密鑰無身份標識符的問題。
文檔編號H04L12/28GK101299884SQ20081010047
公開日2008年11月5日 申請日期2008年6月16日 優(yōu)先權(quán)日2008年6月16日
發(fā)明者張旭武, 露 甘, 慶 黃 申請人:中興通訊股份有限公司