專利名稱:密鑰生成方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域中密鑰生成技術(shù)�����,具體地����,涉及在不同系統(tǒng)間移動(dòng) 時(shí)的密鑰生成方法和系統(tǒng)。
背景技術(shù):
第三代合作伙伴計(jì)劃(3rd Generation Partnership Project,簡(jiǎn)稱3GPP)演 進(jìn)的分組系統(tǒng)(Evolved Packet System ����,簡(jiǎn)稱EPS)由演進(jìn)的陸地?zé)o線4妻入 網(wǎng)(Evolved UMTS Terrestrial Radio Access Network,筒稱E-UTRAN)和EPS 演進(jìn)的分組核心網(wǎng)(Evolved Packet Core,簡(jiǎn)稱EPC )組成。E-UTRAN中的 基站設(shè)備是eNB(evolved Node B����,演進(jìn)的節(jié)點(diǎn)B ) 。 EPC能夠支持用戶從全球 移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)(GSM/EDGE Radio Access Network, g卩Global System for Mobile Communication /Enhanced Data Rate for GSM Evolution radio access network,簡(jiǎn)稱GERAN)和通用陸地?zé)o線 接入網(wǎng)(Universal Terrestrial Radio Access Network,簡(jiǎn)稱UTRAN)的接入����。
3 GPP通用移動(dòng)通信系統(tǒng)(Universal Mobile Telecommunication System,簡(jiǎn) 稱UMTS )和通用無(wú)線分組業(yè)務(wù)(General Packet Radio Service,簡(jiǎn)稱GPRS ) 系統(tǒng)中負(fù)責(zé)移動(dòng)性上下文的管理、和/或用戶安全模式的管理的設(shè)備是服務(wù)通 用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)(Serving General Packet Radio Service Support Node, 簡(jiǎn)稱SGSN) ���。 SGSN還負(fù)責(zé)認(rèn)證用戶設(shè)備(User Equipment,簡(jiǎn)稱UE )�。 UMTS的無(wú)線4妄入網(wǎng)為UTRAN �, GPRS的無(wú)線4秦入網(wǎng)為GERAN。 UTRAN 中的基站設(shè)備是Node B, GERAN中的基站設(shè)備是BSS(基站系統(tǒng)��,Base Station System)���。
EPC分組核心網(wǎng)包含移動(dòng)管理實(shí)體(Mobility Management Entity,簡(jiǎn)稱 MME) , MME負(fù)責(zé)移動(dòng)性的管理����、非接入層信令的處理�、以及用戶安全才莫 式的管理等控制面相關(guān)的工作��。其中�,MME保存E-UTRAN的根密鑰——#入安全管理實(shí)體密鑰(Key Access Security Management Entity,簡(jiǎn)寫為KASME )。 UTRAN使用的密鑰為IK(完整性保護(hù)密鑰���,Integrity Key) ��, CK(加密密鑰����, Ciphering Key) �。 GERAN使用的密鑰為IK和CK生成的Kc (加密密鑰, ciphering Key) ����。 UTRAN或GERAN使用CK或Kc生成密鑰流key stream, 對(duì)消息進(jìn)4于加密。
UE從E-UTRAN移動(dòng)(移動(dòng)指的是切換(Handover)或者跟蹤區(qū)更新 (Tracking Area Update))到UTRAN或GERAN時(shí)���,MME需要使用KASME 生成IK��、 CK����,供UTRAN或GERAN使用。稍后如果UE又從UTRAN或GERAN 移動(dòng)到E-UTRAN�, UE和MME可能會(huì)使用跟第 一次移動(dòng)之前同樣的KASME。 圖1描述了 UE從E-UTRAN移動(dòng)到UTRAN或GERAN后����,再?gòu)腢TRAN或 GERAN回到E-UTRAN時(shí),重新啟用E-UTRAN安全上下文的流程圖����。不過(guò), 由于上行NAS (Non Access Stratum,非接入層)計(jì)數(shù)器會(huì)發(fā)生變化��,而且 KeNB (Key evolved Node B����,演進(jìn)的節(jié)點(diǎn)B密鑰)會(huì)發(fā)生變化,對(duì)于NAS保 護(hù)和AS (Access Stratum,接入層)保護(hù)都不會(huì)存在問(wèn)題��。
目前在不同接入系統(tǒng)之間移動(dòng)時(shí)���,如果在上述過(guò)程后發(fā)生第三次移動(dòng)��, 即UE再次從E-UTRAN移動(dòng)到UTRAN或GERAN,至少存在如下缺陷
從E-UTRAN移動(dòng)到UTRAN或GERAN時(shí)���,雖然可以為UTRAN或 GERAN生成密鑰IK、 CK�,由于在UTRAN和GERAN中, 一樣的IK�、 CK 很容易會(huì)造成一樣的keystream(密鑰流),使得一系列重放攻擊成為可能����。所 以,這時(shí)存在嚴(yán)重的安全隱患����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是針對(duì)現(xiàn)有技術(shù)中不同接入系統(tǒng)間移動(dòng)時(shí)生成 相同IK, CK的缺陷��,提出一種密鑰生成方法及系統(tǒng)�,提高安全性。
為了解決上述技術(shù)問(wèn)題�����,本發(fā)明提供了一種密鑰生成方法��,用戶設(shè)備從 演進(jìn)的陸地?zé)o線接入網(wǎng)切換或跟蹤區(qū)更新到通用陸地?zé)o線接入網(wǎng)或者全球移 動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)����,移動(dòng)管理實(shí)體和用戶設(shè) 備使用預(yù)先指定參數(shù)生成所述通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)的密鑰�,所述預(yù)先指定參數(shù)包含演進(jìn)的
陸地?zé)o線接入網(wǎng)的根密鑰和非接入層計(jì)數(shù)器的值�。
進(jìn)一步地,上述方法還可具有以下特點(diǎn)����,所述非接入層計(jì)數(shù)器為上行非 接入層計(jì)數(shù)器或下行非接入層計(jì)數(shù)器。
進(jìn)一步地�����,上述方法還可具有以下特點(diǎn)��,所述用戶^:備;人演進(jìn)的陸地?zé)o 線接入網(wǎng)切換或跟蹤區(qū)更新到通用陸地?zé)o線接入網(wǎng)時(shí)����,生成的所述密鑰包括 完整性保護(hù)密鑰IK和加密密鑰CK;所述用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng) 切換或跟蹤區(qū)更新到全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接 入網(wǎng)時(shí),生成的所述密鑰包含完整性保護(hù)密鑰IK和加密密鑰CK�,進(jìn)一步根 據(jù)所生成的保護(hù)密鑰IK和加密密鑰CK生成加密密鑰Kc,所述根密鑰為4妄 入安全管理實(shí)體密鑰。
進(jìn)一步地���,上述方法還可具有以下特點(diǎn)�����,生成密鑰時(shí)���,將預(yù)先指定參數(shù) 輸入預(yù)設(shè)的單向密鑰生成函數(shù),將單向密鑰生成函數(shù)的輸出作為密鑰��。
進(jìn)一步地��,上述方法還可具有以下特點(diǎn)�����,所述用戶設(shè)備從演進(jìn)的陸地?zé)o 線接入網(wǎng)切換到通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速 率GSM演進(jìn)無(wú)線接入網(wǎng)時(shí)�,所述移動(dòng)管理實(shí)體在收到切換請(qǐng)求后,使用預(yù)先 指定參數(shù)生成密鑰�,所迷用戶設(shè)備收到從所述演進(jìn)的陸地?zé)o線接入網(wǎng)切換的 切換命令后,使用預(yù)先指定參數(shù)生成密鑰���。
進(jìn)一步地��,上述方法還可具有以下特點(diǎn)���,所述用戶設(shè)備從演進(jìn)的陸地?zé)o 線接入網(wǎng)跟蹤區(qū)更新到通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型 數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)時(shí),執(zhí)行下述步驟
所迷用戶設(shè)備使用預(yù)先指定參數(shù)生成密鑰����;
所述移動(dòng)管理實(shí)體收到所述用戶設(shè)備發(fā)送的跟蹤區(qū)更新請(qǐng)求后���,使用預(yù) 先指定參數(shù)生成密鑰。
本發(fā)明還提出一種密鑰生成系統(tǒng)�����,所述密鑰生成系統(tǒng)包含密鑰生成模塊���, 用于使用預(yù)先指定參數(shù)生成密鑰�,所述預(yù)先指定參數(shù)包含演進(jìn)的陸地?zé)o線接 入網(wǎng)的根密鑰和非接入層計(jì)數(shù)器的值���。
進(jìn)一步地�,上述系統(tǒng)還可具有以下特點(diǎn)�,所述密鑰生成^t莫塊位于用戶i殳 備和/或移動(dòng)管理實(shí)體上,所述密鑰生成模塊在用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)切換或跟蹤區(qū)更新到通用陸地?zé)o線4妻入網(wǎng)或者全王求移動(dòng)通訊系統(tǒng)或增強(qiáng)
型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)時(shí)��,使用所述預(yù)先指定參數(shù)生成所述通用陸 地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入 網(wǎng)的密鑰��。
進(jìn)一步地����,上述系統(tǒng)還可具有以下特點(diǎn)����,所述密鑰生成模塊在用戶設(shè)備 從演進(jìn)的陸地?zé)o線接入網(wǎng)移動(dòng)到通用陸地?zé)o線接入網(wǎng)或切換或跟蹤區(qū)更新到 全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)時(shí)���,生成的密鑰包 括完整性保護(hù)密鑰IK和加密密鑰CK;所述根密鑰為接入安全管理實(shí)體密鑰��。
進(jìn)一步地,上述系統(tǒng)還可具有以下特點(diǎn)���,所述非接入層計(jì)數(shù)器為上行非 接入層計(jì)數(shù)器或下行非接入層計(jì)數(shù)器����。
進(jìn)一步地��,上述系統(tǒng)還可具有以下特點(diǎn)�����,所述密鑰生成^t塊生成密鑰時(shí)���, 將預(yù)先指定參數(shù)輸入預(yù)設(shè)的單向密鑰生成函數(shù)����,將單向密鑰生成函數(shù)的輸出 作為密鑰。
本發(fā)明所述的密鑰生成方法及系統(tǒng)��,可以生成不重復(fù)的密鑰�,使得信令 和/或數(shù)據(jù)能得到有效保護(hù),加強(qiáng)網(wǎng)絡(luò)的安全性���。
圖1為現(xiàn)有技術(shù)中UE從UTRAN或GERAN再次移動(dòng)到E-UTRAN啟用 保存的E-UTRAN安全密鑰的流程圖2為才艮據(jù)本發(fā)明方法實(shí)施例的密鑰生成方法的流程圖3為根據(jù)本發(fā)明方法實(shí)施例一的密鑰生成方法的信令流程圖4為根據(jù)本發(fā)明方法實(shí)施例二的密鑰生成方法的信令流程圖5為根據(jù)本發(fā)明方法實(shí)施例三的密鑰生成方法的信令流程圖�����。
具體實(shí)施例方式
以下結(jié)合附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)4亍說(shuō)明����,應(yīng)當(dāng)理解�,此處所描述 的優(yōu)選實(shí)施例僅用于說(shuō)明和解釋本發(fā)明,并不用于限定本發(fā)明����。本發(fā)明的主要思想是,當(dāng)UE從E-UTRAN移動(dòng)到UTRAN或GERAN時(shí)�����, MME和UE使用預(yù)先指定參數(shù)生成UTRAN或GERAN的密鑰,預(yù)先指定參 數(shù)包含E-UTRAN的根密鑰kasme和NAS計(jì)數(shù)器的值��。具體的說(shuō)�����,當(dāng)UE從 E-UTRAN移動(dòng)到UTRAN或GERAN時(shí)�����,使用Kasme和NAS計(jì)數(shù)器的值生 成IK�、 CK,達(dá)到生成不同IK�����、 CK的目的�����。上述NAS計(jì)數(shù)器����,具體為上行 NAS計(jì)數(shù)器或下行NAS計(jì)數(shù)器��。對(duì)UTRAN,使用KASME和NAS計(jì)數(shù)器的 值生成IK�、 CK就可以;對(duì)GERAN��,還需要根據(jù)生成的IK����、 CK進(jìn)一步生成 Kc。
圖2為根據(jù)本發(fā)明實(shí)施例的密鑰生成方法的流程圖����,具體包含如下步驟
步驟202, UE從E-UTRAN移動(dòng)到UTRAN或者GERAN�����。
所述移動(dòng)指UE從E-UTRAN切換(Handover)或跟蹤區(qū)更新(Tracking Area Update)到UTRAN或GERAN�����。
步驟204��, MME和UE使用E-UTRAN網(wǎng)絡(luò)的根密鑰KASME和NAS計(jì)數(shù) 器的值生成DC��, CK�����。
其中,步驟204中���,也可以使用根密鑰KASME���、 NAS計(jì)數(shù)器的值和其他 參數(shù)的值生成IK、 CK,該其他參數(shù)可以根據(jù)實(shí)際情況選取�����。
當(dāng)UE從E-UTRAN移動(dòng)到GERAN時(shí)��,生成DC����、 CK后�,還進(jìn)一步根椐 IK、 CK生成Kc��。
其中�����,使用KASME、 NAS計(jì)數(shù)器的值����,或使用KASME、 NAS計(jì)數(shù)器的值 和其他參數(shù)生成密鑰的操作具體可以包括將根密鑰kasme, NAS計(jì)數(shù)器的 值��,或根密鑰kasme�����, NAS計(jì)數(shù)器的值和其他參數(shù)輸入預(yù)設(shè)的單向密鑰生成 函數(shù)�;將單向密鑰生成函數(shù)的輸出作為密鑰IK、 CK����。
本發(fā)明實(shí)施例的密鑰生成方法,可以生成不重復(fù)的密鑰�,使得信令和/或 數(shù)據(jù)能得到有效保護(hù),加強(qiáng)網(wǎng)絡(luò)的安全性���。
同時(shí)�����,由于本實(shí)施例使用E-UTRAN網(wǎng)絡(luò)的NAS計(jì)數(shù)器的值生成密鑰��, 不需要將NAS計(jì)數(shù)器的值轉(zhuǎn)發(fā)給移動(dòng)管理實(shí)體��,因此不需要額外的信令負(fù) 擔(dān)�。
實(shí)施例一
圖3為根據(jù)本發(fā)明實(shí)施例一的密鑰生成方法的信令流程圖,本實(shí)施例示出了 UE從E-UTRAN切換到UTRAN的密鑰生成方法的流程圖����,包括以下步 驟
步驟302,源eNB做出切換決定�����。
步驟304,源eNB向源MME發(fā)出切換請(qǐng)求��。
步驟306,源MME在收到切換請(qǐng)求后�,使用Kasme和NAS計(jì)數(shù)器,生
成nc�、 ck。
步驟308�,源MME向目標(biāo)SGSN轉(zhuǎn)發(fā)重定位請(qǐng)求,同時(shí)發(fā)送IK��、 CK�。
步驟310,目標(biāo)SGSN向目標(biāo)RNC (無(wú)線網(wǎng)絡(luò)控制器)發(fā)送重定位請(qǐng)求��, 同時(shí)發(fā)送IK、 CK�。
步驟312,目標(biāo)RNC開始使用IK���、 CK�。
步驟314,目標(biāo)RNC向目標(biāo)SGSN發(fā)送重定位請(qǐng)求確認(rèn)����。
步驟316,目標(biāo)SGSN向源MME轉(zhuǎn)發(fā)重定位回復(fù)����。
步驟318 ,源MME向源eNB發(fā)送切換命令��。
步驟320�����,源eNB向UE發(fā)送從E-UTRAN切換的切換命令�����。
步驟322, UE收到上述消息后���,使用Kasme和NAS奸數(shù)器的但生成IK�、
步驟324, UE向目標(biāo)RNC發(fā)送切換結(jié)束消息。
步驟326,目標(biāo)RNC向目標(biāo)SGSN發(fā)送重定位結(jié)束消息���。
步驟328,目標(biāo)SGSN向源MME轉(zhuǎn)發(fā)重定位結(jié)束消息�����。
步驟330���,源MME向目標(biāo)SGSN轉(zhuǎn)發(fā)重定位結(jié)束確認(rèn)消息。
本實(shí)施例的密鑰生成方法因?yàn)椴捎肗AS計(jì)數(shù)器的值和Kasme來(lái)生成密 鑰����,所以克服了現(xiàn)有技術(shù)中在UE從E-UTRAN切換到UTRAN時(shí)會(huì)生成重復(fù) 的ik、 ck的問(wèn)題�,從而能加強(qiáng)安全保護(hù)。
實(shí)施例二
圖4為根據(jù)本發(fā)明實(shí)施例二的密鑰生成方法的信令流程圖�,本實(shí)施例示 出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的密鑰生成方法的信令流程圖。如圖4所示����,本實(shí)施例示出了 UE從E-UTRAN切換到GERAN的密鑰生成方法的流程圖,本 實(shí)施例包括
步驟402,源eNB發(fā)起切換決定。
步驟404 ���,源eNB向源MME發(fā)出切換請(qǐng)求。
步驟406����,源MME使用KASME和NAS計(jì)數(shù)器的值生成IK、 CK�����。
步驟408�,源MME向目標(biāo)SGSN轉(zhuǎn)發(fā)重定位請(qǐng)求,同時(shí)發(fā)送IK�、 CK至 目標(biāo)SGSN。
步驟409����,目標(biāo)SGSN使用IK, CK生成Kc��。
步驟410,目標(biāo)SGSN向目標(biāo)BSS發(fā)送分組域切換請(qǐng)求�����,同時(shí)發(fā)送Kc 。
步驟412����,目標(biāo)BSS可以開始使用Kc進(jìn)行安全保護(hù)。
步驟414�,目標(biāo)BSS向目標(biāo)SGSN發(fā)送分組域切換請(qǐng)求確認(rèn)。
步驟416����,目標(biāo)SGSN向源MME轉(zhuǎn)發(fā)重定位回復(fù)。
步驟418,源MME向源eNB發(fā)送切換命令���。
步驟420�����,源eNB向UE發(fā)送從E-UTRAN切換的切換命令�����。
步驟422��, UE使用KASME和NAS計(jì)數(shù)器的值生成IK����、 CK,再使用IK��, CK生成Kc���,供UE進(jìn)行安全保護(hù)��。
步驟424, UE向目標(biāo)BSS發(fā)送交換標(biāo)識(shí)回復(fù)�。
步驟426,目標(biāo)BSS向目標(biāo)SGSN發(fā)送分組域切換完成消息��。
步驟428 ��,目標(biāo)BSS向目標(biāo)SGSN發(fā)送交換標(biāo)識(shí)回復(fù)消息�����。
步驟430�,目標(biāo)SGSN向源MME轉(zhuǎn)發(fā)重定位結(jié)束。
步驟432���,源MME向目標(biāo)SGSN轉(zhuǎn)發(fā)重定位結(jié)束確認(rèn)�。
在上述實(shí)施例的密鑰生成過(guò)程中�����,可以使用NAS計(jì)數(shù)器的值和KASME作 為輸入?yún)?shù),還可以使用NAS計(jì)數(shù)器的值��、KASME和其他參數(shù)作為輸入?yún)?shù)�����,
采用單向密鑰生成函數(shù)生成���,其他參數(shù)可以根據(jù)實(shí)際情況選取���,本實(shí)施例為 簡(jiǎn)單起見,不選用其他參數(shù)�����,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)了解���,其他參數(shù)�,不限定 為無(wú)����,這不影響本發(fā)明實(shí)施例的實(shí)質(zhì)�。圖5為根據(jù)本發(fā)明實(shí)施例三的密鑰生成方法的信令流程圖�����,本實(shí)施例示 出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的密鑰生成方法的信令流程圖�。如圖5所示,本 實(shí)施例示出了 UE從E-UTRAN跟蹤區(qū)更新到UTRAN的密鑰生成方法的流程 圖�,本實(shí)施例包括
步驟502, UE使用Kasme和NAS計(jì)數(shù)器的值生成IK��、 CK���。
步驟504, UE向目標(biāo)SGSN發(fā)送跟蹤區(qū)更新請(qǐng)求����。
步驟506,目標(biāo)SGSN向源MME發(fā)送SGSN上下文請(qǐng)求����。
步驟508,源MME使用Kasme和NAS計(jì)數(shù)器生成IK�、 CK。
步驟510���,源MME向目標(biāo)SGSN發(fā)送SGSN上下文回復(fù)���,同時(shí)發(fā)送IK�����、CK�����。
步驟512,目標(biāo)SGSN向源MME發(fā)送SGSN上下文確認(rèn)消息��。
步驟514�,目標(biāo)SGSN向UE發(fā)送跟蹤區(qū)更新接受消息����。
步驟516, UE向目標(biāo)SGSN發(fā)送跟蹤區(qū)更新結(jié)束消息���。
在上述實(shí)施例的密鑰生成過(guò)程中�,UE可以在發(fā)送跟蹤區(qū)更新請(qǐng)求之前生 成IK���、 CK���,也可以在收到跟蹤區(qū)更新接受消息后�����,或在其他時(shí)候生成IK�、 CK����。本實(shí)施例為簡(jiǎn)單起見,在發(fā)送跟蹤區(qū)更新請(qǐng)求之前生成IK����、 CK,本領(lǐng) 域技術(shù)人員應(yīng)當(dāng)了解���,也可以在其他步驟生成IK、 CK�����,這不影響本發(fā)明實(shí)施 例的實(shí)質(zhì)��。
UE從E-UTRAN跟蹤區(qū)更新到GERAN的密鑰生成方法和上述實(shí)施例類 似���,但MME收到跟蹤區(qū)更新請(qǐng)求生成IK�����、 CK后�,發(fā)送給目標(biāo)SGSN,目標(biāo) SGSN還需要根據(jù)IK、 CK生成Kc, UE在生成IK�、 CK后,還需要進(jìn)一步根 據(jù)IK�����、 CK生成Kc����。
本發(fā)明還提出一種密鑰生成系統(tǒng),所述密鑰生成系統(tǒng)包含密鑰生成模塊����, 其中,密鑰生成^t塊使用預(yù)先指定參數(shù)生成密鑰�����,該預(yù)先指定參數(shù)包含演進(jìn) 的陸地?zé)o線接入網(wǎng)的根密鑰和NAS計(jì)數(shù)器的值���,還可根據(jù)需要使用根密鑰���、 NAS計(jì)數(shù)器的值和其他參數(shù)生成密鑰��。所述密鑰生成模塊在用戶設(shè)備和/或移 動(dòng)管理實(shí)體上����。
其中���,密鑰生成模塊在用戶設(shè)備從E-UTRAN移動(dòng)到GERAN或UTRAN時(shí)��,使用根密鑰和NAS計(jì)數(shù)器的值�����,或者使用根密鑰���、NAS計(jì)數(shù)器的值和其 他參數(shù)生成GERAN或者UTRAN的密鑰IK��、 CK�,其中UE移動(dòng)到GERAN 時(shí),密鑰生成模塊生成IK��、 CK后,發(fā)送給GERAN網(wǎng)絡(luò)中的目標(biāo)SGSN�, SGSN 根據(jù)IK、 CK生成Kc���。上述用戶設(shè)備從E-UTRAN移動(dòng)到GERAN或UTRAN 指用戶設(shè)備從E-UTRAN切換或跟蹤區(qū)更新到UTRAN/GERAN����。
其中���,密鑰生成模塊生成密鑰時(shí)����,將預(yù)先指定參數(shù)輸入預(yù)設(shè)的單向密鑰 生成函數(shù)��,將單向密鑰生成函數(shù)的輸出作為密鑰�。
本發(fā)明還提出一種包含上述密鑰生成系統(tǒng)的用戶設(shè)備和移動(dòng)管理實(shí)體。
綜上所述���,本發(fā)明各實(shí)施例的密鑰生成方法和系統(tǒng)���,采用NAS計(jì)數(shù)器的 值和KASME來(lái)輸出密鑰,使得接入層的信令和/或數(shù)據(jù)能得到有效保護(hù),加強(qiáng) 了接入層的安全性���。同時(shí)����,使用的參數(shù)NAS計(jì)數(shù)器的值不需要轉(zhuǎn)發(fā)給移動(dòng)管 理實(shí)體����,因此不需要額外的信令負(fù)擔(dān)。
顯然����,本領(lǐng)域的技術(shù)人員應(yīng)該明白,在上述多個(gè)實(shí)施例中NAS計(jì)數(shù)器的 值��,在NAS計(jì)數(shù)器初始化時(shí)�����,取其初始值0����,在之后,取NAS計(jì)數(shù)器當(dāng)前值�。
顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白�����,在上述多個(gè)實(shí)施例中���,NAS計(jì)數(shù)器 可以是上行NAS計(jì)數(shù)器����,也可以是下行NAS計(jì)數(shù)器�����。
顯然�,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可 以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)��,它們可以集中在單個(gè)的計(jì)算裝置上���,或者分布 在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上����,可選地�����,它們可以用計(jì)算裝置可執(zhí)行的程
序代碼來(lái)實(shí)現(xiàn),從而��,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行����,或 者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)模塊或步驟制 作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)��。這樣�����,本發(fā)明不限制于任何特定的硬件和軟 件結(jié)合�����。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已�����,并不用于限制本發(fā)明��,對(duì)于本 領(lǐng)域的技術(shù)人員來(lái)說(shuō)����,本發(fā)明可以有各種更改和變化��。凡在本發(fā)明的精神和 原則之內(nèi),所作的任何修改����、等同替換、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù) 范圍之內(nèi)。
權(quán)利要求
1���、一種密鑰生成方法����,用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)切換或跟蹤區(qū)更新到通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)���,其特征在于�,移動(dòng)管理實(shí)體和用戶設(shè)備使用預(yù)先指定參數(shù)生成所述通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)的密鑰���,所述預(yù)先指定參數(shù)包含演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰和非接入層計(jì)數(shù)器的值��。
2�、 如權(quán)利要求l所述的方法,其特征在于��,所述非接入層計(jì)數(shù)器為上行 非接入層計(jì)數(shù)器或下行非接入層計(jì)數(shù)器���。
3���、 如權(quán)利要求l所述的方法,其特征在于���,所述用戶設(shè)備從演進(jìn)的陸地 無(wú)線接入網(wǎng)切換或跟蹤區(qū)更新到通用陸地?zé)o線接入網(wǎng)時(shí)��,生成的所述密鑰包 括完整性保護(hù)密鑰IK和加密密鑰CK;所述用戶設(shè)備從演進(jìn)的陸地?zé)o線接入 網(wǎng)切換或跟蹤區(qū)更新到全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線 接入網(wǎng)時(shí)����,生成的所述密鑰包含完整性保護(hù)密鑰IK和加密密鑰CK��,進(jìn)一步 根據(jù)所生成的保護(hù)密鑰IK和加密密鑰CK生成加密密鑰Kc,所述根密鑰為 接入安全管理實(shí)體密鑰�。
4、 如權(quán)利要求1或2或3所述的方法�,其特征在于,生成密鑰時(shí)�,將預(yù) 先指定參數(shù)輸入預(yù)設(shè)的單向密鑰生成函數(shù)���,將單向密鑰生成函數(shù)的輸出作為 密鑰。
5���、 如權(quán)利要求1或2或3所述的方法�,其特征在于�����,所述用戶設(shè)備從演 進(jìn)的陸地?zé)o線接入網(wǎng)切換到通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增 強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)時(shí)���,所述移動(dòng)管理實(shí)體在收到切換請(qǐng)求 后,使用預(yù)先指定參數(shù)生成密鑰���,所述用戶設(shè)備收到從所述演進(jìn)的陸地?zé)o線 接入網(wǎng)切換的切換命令后����,使用預(yù)先指定參數(shù)生成密鑰����。
6、 如權(quán)利要求1或2或3所述的方法����,其特征在于���,所述用戶設(shè)備從演 進(jìn)的陸地?zé)o線接入網(wǎng)跟蹤區(qū)更新到通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系 統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)時(shí),執(zhí)行下述步驟所述用戶設(shè)備使用預(yù)先指定參數(shù)生成密鑰����;所述移動(dòng)管理實(shí)體收到所述用戶設(shè)備發(fā)送的跟蹤區(qū)更新請(qǐng)求后,使用預(yù) 先指定參數(shù)生成密鑰��。
7���、 一種密鑰生成系統(tǒng)��,其特征在于�,所述密鑰生成系統(tǒng)包含密鑰生成模 塊���,用于使用預(yù)先指定參數(shù)生成密鑰�,所述預(yù)先指定參數(shù)包含演進(jìn)的陸地?zé)o 線接入網(wǎng)的根密鑰和非接入層計(jì)數(shù)器的值�����。
8、 如權(quán)利要求7所述的系統(tǒng)�����,其特征在于�,所述密鑰生成模塊位于用戶 設(shè)備和/或移動(dòng)管理實(shí)體上,所述密鑰生成模塊在用戶設(shè)備從演進(jìn)的陸地?zé)o線 接入網(wǎng)切換或跟蹤區(qū)更新到通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增 強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)時(shí)��,使用所述預(yù)先指定參數(shù)生成所述通用 陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線才妄 入網(wǎng)的密鑰�����。
9�����、 如權(quán)利要求8所述的系統(tǒng)�,其特征在于����,所述密鑰生成才莫塊在用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)移動(dòng)到通用陸地 無(wú)線接入網(wǎng)或切換或跟蹤區(qū)更新到全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率 GSM演進(jìn)無(wú)線接入網(wǎng)時(shí),生成的密鑰包括完整性保護(hù)密鑰IK和加密密鑰CK; 所述根密鑰為接入安全管理實(shí)體密鑰�。
10、 如權(quán)利要求7或8或9所述的系統(tǒng)��,其特征在于����,所述非接入層計(jì) 數(shù)器為上行非接入層計(jì)數(shù)器或下行非接入層計(jì)數(shù)器���。
11、 如權(quán)利要求7所述的系統(tǒng)�����,其特征在于�,所述密鑰生成模塊生成密 鑰時(shí),將預(yù)先指定參數(shù)輸入預(yù)設(shè)的單向密鑰生成函數(shù)�����,將單向密鑰生成函數(shù) 的輸出作為密鑰����。
全文摘要
本發(fā)明提供了一種密鑰生成方法,用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)切換或跟蹤區(qū)更新到通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)�,其中,移動(dòng)管理實(shí)體和用戶設(shè)備使用預(yù)先指定參數(shù)生成通用陸地?zé)o線接入網(wǎng)或者全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無(wú)線接入網(wǎng)所需的密鑰�����,該預(yù)先指定參數(shù)包含演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰和非接入層計(jì)數(shù)器的值。本發(fā)明還提供一種生成上述密鑰的密鑰生成系統(tǒng)����。
文檔編號(hào)H04L12/56GK101304311SQ20081011066
公開日2008年11月12日 申請(qǐng)日期2008年6月12日 優(yōu)先權(quán)日2008年6月12日
發(fā)明者露 甘 申請(qǐng)人:中興通訊股份有限公司