专利名称:密钥生成方法、装置及系统的利记博彩app
技术领域:
本发明涉及通信领域中密钥生成技术,具体地,涉及在不同系 统间切^换时的密钥生成方法、装置及系统。
背景技术:
第三4戈合fN;M半i十划(3rd Generation Partnership Project,简-尔 3GPP)演进的分组系统(Evolved Packet System ,简称EPS)由演 进的陆i也无线4lr入网(Evolved UMTS Terrestrial Radio Access Network,简称EUTRAN )和EPS演进的分纟且核心网(Evolved Packet Core,简称EPC)组成。EPC能够支持用户乂人全^Uf多动通讯系统增 强型凝j居速率GSM演进实体无线4妄入网(Global System for Mobile Communication Enhanced Data Rate for GSM Evolution radio access network,简称GERAN )禾口通用陆;也无线4妄入网(Universal Terrestrial Radio Access Network,简f尔UTRAN)的4妻入。
EPC分组核心网包含移动管理实体(Mobility Management Entity,简称MME), MME负责移动性的管理、非接入层信令的处 理、以及用户安全才莫式的管理等控制面相关的工作。其中,MME
保存EUTRAN的根密钥-接入安全管理实体密钥(Key Access
Security Management Entity,简写为KASME )。在EUTRAN中,基站 i殳备为演进的基站(evolvedNode-B,简称eNB),主要负责无线通 信、无线通信管理、和移动性上下文的管理。供eNB使用的接入层 的才艮密钥是演进的基站密钥(KeyeNB,简写为KeNB)。3 GPP通用移动通信系统(Universal Mobile Telecommunication System,筒称UMTS)系统中负责移动性上下文的管理、和/或用户安 全模式的管理的设备是服务通用分组无线业务支持节点(Serving General Packet Radio Service Support Node,简称SGSN )。 SGSN还 负责i人i正用户i殳备(User Equipment,简称UE )。
3GPP UMTS系统中,负责无线通信管理的设备是UTRAN中 的无线网络控制器(Radio NetworkController,简称RNC)。如图1 所示,UE 乂人UTRAN切才奐到EUTRAN时,如果UE和MME中没 有保存EPS安全相关参数,如KASME,贝'J RNC需要通过发送重定 向请求,使MME生成EUTRAN中的密钥KASME; MME在eNB确 i人切换请求之后,向RNC转发重定向回复,RNC执行UTRAN切 换命令,UE侧生成EUTRAN中的密钥KASME,完成切换到 EUTRAN。
在实现本发明过程中,发明人发现目前在不同接入系统之间切 才奐时,如UE 乂人UTRAN切:换到EUTRAN时,至少存在如下缺陷
现有4支术中乂人其他网络切换到EUTRAN时,虽然可以生成 EUTRAN的根密钥KASME,但无法生成由接入层使用的密钥,如供 eNB使用的接入层的根密钥K^nb,因此,接入层的信令和/或数据不 能得到有效保护,存在安全隐患。
发明内容
本发明的目的是针对现有技术中不同接入系统间切换时无法生 成由接入层使用的中间密钥、接入层安全性不高的缺陷,提出一种 密钥生成方法及系统,以生成接入层使用的中间密钥,提高接入层 的安全'l"生。为实现上述目的,才艮据本发明的一个方面,4是供了一种密钥生 成方法。才艮据本发明实施例的密钥生成方法,用于在用户i殳备/人其他网络切换到EUTRAN网络的过程中生成密钥,包括MME根据 EUTRAN网络的根密钥KASME、特定值和/或其他参数,生成密钥, 并发送携带密钥的切换请求消息给目标演进的基站即目标eNB;用 户设备根据EUTRAN网络的根密钥KASME、特定值和/或其他参数, 生成目标eNB使用的密钥。特定值不需要转发给移动管理实体,从而不需要额外的信令负担。特定值为移动管理实体和用户设备共同拥有的值O。根据EUTRAN网乡各的4艮密钥KASME、 4争定^f直和/或其4也参凄史, 生成密钥的4喿作具体可以包4舌将特定^直和/或其他参lt和一艮密钥 KASME输入预设的单向密钥生成函数;将单向密钥生成函数的输出 作为密钥。MME可以才艮据接收到的重定向i青求消息生成EUTRAN网络的 根密钥KASME。目标eNB收到密钥之后,还可以包括MME接收与切换请求 消息对应的切换请求确认消息,并向当前网络的SGSN发送与重定 向i青求消息对应的重定向回复消息;当前网全各的SGSN接收重定向 回复消息,并发送重定向命令消息;当前网络的无线网络控制器向 用户设备发送切换命令消息;用户设备根据接收到的切换命令消息 生成EUTRAN网全各的才艮密钥KASME。为实现上述目的,根据本发明的另一个方面,4是供了一种密钥 生成装置。根据本发明实施例的密钥生成装置,包括第一单元,用于根 据EUTRAN网络的根密钥KASME、特定值0和/或其他参数,生成 密钥。第一单元可以,没置于MME,第一单元包4舌第一密钥产生才莫 块,用于根据接收到的重定向请求消息生成根密钥KASME,并根据 根密钥kasme、特定值和/或其他参数,生成密钥;第一发送模块, 用于发送携带密钥的切换请求消息给目标eNB。第 一单元还可以均,没置于用户i殳备上。为实现上述目的,才艮据本发明的另一个方面,4是供了一种密钥 生成系乡克。根据本发明实施例的密钥生成系统,包括移动管理实体,用于根据EUTRAN网络的根密钥KASME、特定 值0和/或其他参数,,生成密钥,并发送携带密钥的切换请求消息; 用户设备,用于接收切换命令消息,并根据EUTRAN网络的根密 钥kasme、特定值和/或其他参数,生成密钥。本发明各实施例的钥生成方法、装置和系统,因为釆用特定值、 Kasme和/或其他参数,来输出密钥,因此,接入层的信令和/或数据 能得到有效保护,加强接入层的安全性。进一步的,本发明各实施例的密钥生成方法、装置和系统,因 为使用特定值O生成密钥,从而不需要转发给移动管理实体,因此 不需要额外的信令负担。本发明的其它特征和优点将在随后的il明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的 一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的 限制。在附图中图1为才艮据现有技术的UE从UTRAN切换到EUTRAN的密钥 生成方法-充禾呈图;图2为才艮据本发明方法实施例的密钥生成方法的流程图; 图3为冲艮据本发明方法实施例一的密钥生成方法的流禾呈图; 图4为根据本发明方法实施例二的密钥生成方法的信令流程图;图5为根据本发明装置实施例的密钥生成装置示意图;图6为才艮据本发明装置实施例的密钥生成装置的详细结构的示 意图;图7为才艮据本发明系统实施例的密钥生成系统示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。方法实施例图2为根据本发明实施例的密钥生成方法的流程图。如图2所 示,本实施例包^舌步骤202:MME根据EUTRAN网络的才艮密钥Kasme、特定但0, 和/或其他参数,生成密钥,并发送携带密钥的切换请求消息给目标 eNB;所述特定^f直为移动管理实体和用户i殳备共同拥有的特定4直, 例如,移动管理实体和用户设备默认该特定值为0。步骤204:用户设备根据EUTRAN网络的根密钥KASME、特定 值0,和/或其他参数,生成目标eNB使用的所述密钥。本发明实施例的密钥生成方法,可以生成EUTRAN网结4妄入 层使用的密钥,使得接入层的信令和/或数据能得到有效保护,加强 接入层的安全性。同时,由于本实施例使用EUTRAN网络的特定值0生成密钥, 从而不需要转发给移动管理实体,因此不需要额外的信令负担。实施例一图3为根据本发明实施例一的密钥生成方法的流程图,如图3 所示,本实施例示出了 UE从UTRAN切换到EUTRAN的密钥生成 方法的:^考呈图,包4舌以下步骤步骤S310, MME收到由SGSN转发的来自RNC的重定向请 求消息后,才艮据重定向i青求消息生成KASME;步骤S320, MME使用特定值0和KASME生成密钥;步骤S330, MME生成密钥后,在+刀才灸-清求消息携带该密钥并 发送纟会目标eNB;步骤S340 , UE收到切换命令后生成KASME;步骤S350, UE使用特定值0和KASME生成该目标eNB的密钥。本实施例的密钥生成方法因为采用特定值0和KASME来输出, 所以克服了现有技术中在UE从UTRAN切换到EUTRAN时无法生 成KeNB的问题,从而能加强安全保护。优选的,MME可以-使用重定向请求消息中的参数生成KASME, 参凄t包4舌完整寸生密钥(Integrity Key,简写为IK),力口密密钥 (Ciphering Key,简写为CK )。优选的,还可以进一步^f吏用重定向i青求消息中的7>共陆地移动 通^f言网标识(Public Land Mobile Network Identity,简称PLMN國ID )息生成Kasme。优选的,生成eNB使用的接入层的密钥之后,还包括以下步骤 eNB和UE还可以进一步才艮才居生成的密钥,生成EUTRAN网络的力口 密密钥、完整性保护密钥、和/或用户面加密密钥以启动相应的安全 保护。实施例二图4为根据本发明实施例二的密钥生成方法的信令流程图,本图,其中,图4中源RNC以及源SGSN表示UE当前连接到的UMTS 中的i殳备;目标eNB以及目标MME标识UE将要切换到的EPS中 的i殳备。如图4所示,本实施例包4舌步骤S401, UTRAN中的源RNC决定发起切换,具体可以是 根据UE发给该RNC的测量报告触发,也可以是根据其他原因由 RNC发起切换决定;步骤S402,源RNC向源SGSN发送重定向请求消息;步骤S403,源SGSN向目标MME转发该重定向请求消息,并 且同时发送IK, CK纟合目标MME;步骤S404,目标MME收到重定向请求消息后,使用完整性密 钥IK、加密密钥CK及其他的参数,如PLMN-ID,生成Kasme;步骤S405,目标MME 4吏用特定值0和KASME,生成密钥K;步骤S406,目标MME在切换请求消息中将密钥K发送给目标eNB;步骤S407,目标eNB还可以进一步4吏用密钥K生成EUTRAN 网症备的其他密钥,如无线资源控制加密密钥、完整性^呆护密钥, 以及用户面加密密钥。目标eNB成功启动安全保护;步骤S408,目标eNB向目标MME回复切换请求确i人消息, 表示接受切换请求;步骤S409,目标MME收到目标eNB的切换请求确认消息后 向源SGSN发送转发重定向回复消息;步骤S410,源SGSN向源RNC发送重定向命令;步艰《S411,源RNC向UE发送UTRAN切4灸命令;步骤S412, UE根据当前UTRAN的切换命令,生成KASME;步骤S413, UE使用特定但O和Kasme生成UE侧的密钥K;步骤S414, UE进一步4吏用密钥K生成EUTRAN网络的其他 密钥无线资源控制加密密钥、完整性^呆护密钥,以及用户面加密 密钥。UE成功启动安全保护;步骤S415, UE向目标eNB发送切换完成命令消息,该切换完 成命令消息可以4吏用EUTRAN网络的无线资源控制加密密钥进行 加密以及使用完整性密钥进行完整性保护,由于目标eNB生成的无 线资源控制加密密钥及完整性密钥与UE侧一致,因此,可以成功 解密用户侧UE发送的切」换完成命令消息。在上述实施例的密钥生成过程中,可以使用0和Kasme和/或其 他参数,作为输入参数,釆用单向密钥生成函数生成,其他参数可 以根据实际情况选取,本实施例为简单起见,不选用其他参数,本领域技术人员应当了解,其他参数,不限定为无,这不影响本发明 实施例的实质。装置实施例图5为4艮据本发明实施例的密钥生成装置示意图。如图5所示, 本实施例包4舌第一单元62,用于才艮据EUTRAN网络的才艮密钥KASME、特定 值0和/或其他参数,生成密钥K。本实施例密钥生成装置与方法实施例的密钥生成过程类似,需 要根据Kasme和特定植0,生成EUTRAN网络接入层密钥。图6为根据本发明实施例的密钥生成装置的详细结构示意图。 如图6所示,本实施例中第一单元72i殳置于MME,其中,第一单 元72包括第一密钥产生才莫块722,用于根据接收到的重定向请求 消息生成根密钥KASME,并根据根密钥Kasme及特定植O,生成密钥 K;第一发送模块724,用于发送携带密钥K的切换请求消息给目 标eNB。本实施例为图5实施例的具体化,第一单元i殳置于MME上, 第一单元的相关功能具体可参见方法实施例的相关说明,不再进行 重复i兌明。上述图5装置实施例中,第一单元也可以均设置于用户设备上, 以实现用户设备侧EUTRAN网络接入层密钥的生成,不再进行举 例-说明。系纟克实施例图7为才艮据本发明实施例的密钥生成系统示意图。如图7所示, 本实施例包4舌移动管理实体82,用于才艮据EUTRAN网乡各的才艮密钥KASME、 特定值信息和/或其他参数,生成密钥K,并发送携带密钥K的切换 :清求消息;用户设备84,用于接收切换命令消息,并才艮据EUTRAN网络 的才艮密钥KASME、特定值信息和/或其他参数,生成密钥K。本实施例具体可参见图2-图4方法实施例的具体处理流程i兌 明,图2-图4也可以理解为才艮据本发明实施例的密钥生成系统的实 施例解析示意图,实现目标eNB及用户i殳备生成EUTRAN网络接 入层使用的密钥。综上所述,本发明各实施例的密钥生成方法、装置和系统,采 用特定值和KASME来输出密钥,使得接入层的信令和/或数据能得到 有效保护,加强接入层的安全性。同时,使用的参数某特定值不需 要转发给移动管理实体,因此不需要额外的信令负担。显然,本领域的技术人员应该明白,在上述多个实施例中特定 值耳又〗直为0,也可以耳又其他/f直。显然,本领域的技术人员应该明白,上述的本发明的各模块或 各步&f可以用通用的计算装置来实现,它们可以集中在单个的计算 装置上,或者分布在多个计算装置所组成的网络上,可选地,它们 可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成 电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模 块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来i兌,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1. 一种密钥生成方法,用于在用户设备从其他网络切换到EUTRAN网络的过程中生成密钥,其特征在于,包括移动管理实体根据EUTRAN网络的根密钥KASME、及特定值和/或其他参数,生成密钥,并发送携带所述密钥的切换请求消息给目标eNB;用户设备根据EUTRAN网络的根密钥KASME、及特定值和/或其他参数,生成所述目标eNB使用的所述密钥。
2. 根据权利要求1所述的密钥生成方法,其特征在于,特定值为 移动管理实体和用户i殳备共同拥有。
3. 根据权利要求1所述的密钥生成方法,其特征在于,所述特定 值为0。
4. 根据权利要求1所述的密钥生成方法,其特征在于,所述根据 所述EUTRAN网络的才艮密钥KASME、及特定值和/或其他参数, 生成密钥的梯:作具体包括将特定值和/或其他参数和所述根密钥KASME输入预设的 单向密钥生成函凄t;将所述单向密钥生成函数的输出作为所述密钥。
5. 根据权利要求1所述的密钥生成方法,其特征在于,所述移动 管理实体根据接收到的重定向请求消息生成所述EUTRAN网 络的根密钥KASME。
6. 根据权利要求5所述的密钥生成方法,其特征在于,所述目标 eNB收到所述的密钥之后,还包括所述移动管理实体接收与所述切换请求消息对应的切换 请求确认消息,并向当前网络的SGSN发送与所述重定向请求 消息对应的重定向回复消息;所述当前网络的SGSN接收所述重定向回复消息,并发送 重定向命令消息;当前网络的无线网络控制器向所述用户i殳备发送切换命 令消息;所述用户设备根据接收到的切换命令消息生成所述 EUTRAN网络的才艮密钥KASME。
7. —种密钥生成装置,其特征在于,包括第一单元,用于才艮据EUTRAN网络的才艮密钥KASME、特 定值0和/或其他参数,生成密钥。
8. 根据权利要求7所述的密钥生成装置,其特征在于,所述第 一单元i殳置于移动管理实体,所述第一单元包凌舌第一密钥产生模块,用于根据接收到的重定向请求消息生 成根密钥KASME,并根据所述根密钥Kasme及某特定但和/或其 他参数,生成密钥;第一发送模块,用于发送携带所述密钥的切换请求消息给 目标eNB。
9. 根据权利要求7所述的密钥生成装置,其特征在于,所述第一 单元设置于用户i殳备上。
10. —种密钥生成系统,其特;f正在于,包4舌移动管理实体,用于根据EUTRAN网络的4艮密钥KASME、 及特定值0和/或其他参数,生成密钥,并发送携带所述密钥 的切换请求消息;用户i殳备,用于接收切换命令消息,并才艮据EUTRAN网 络的根密钥KASME、某特定值和/或其他参数,生成密钥。
全文摘要
本发明公开了一种密钥生成方法、装置及系统,其中,该方法包括MME根据根密钥K<sub>ASME</sub>及特定值0和/或其他参数,生成密钥,并发送携带密钥的切换请求消息给目标eNB;用户设备根据根密钥K<sub>ASME</sub>及特定值0和/或其他参数,生成目标eNB使用的密钥。本发明各实施例可在用户设备从其他网络切换到EUTRAN网络的过程中生成密钥,提高接入层的安全性。
文档编号H04L12/56GK101267668SQ20081006659
公开日2008年9月17日 申请日期2008年4月16日 优先权日2008年4月16日
发明者杜忠达, 柯雅珠, 露 甘, 翔 程 申请人:中兴通讯股份有限公司