一種確定as密鑰的方法、系統(tǒng)和設備的制作方法

文檔序號：7720456閱讀：225來源：國知局

專利名稱：一種確定as密鑰的方法、系統(tǒng)和設備的制作方法
技術領域：
本發(fā)明涉及無線通信技術，特別涉及一種確定AS (Access Stratum，接入層)密鑰的方法、系統(tǒng)和設備。
背景技術：
在LTE(Long Term Evolution，長期演進)系統(tǒng)中，當UE(用戶終端)在eNB(基站)之間進行切換時，包括X2切換和Sl切換，由源eNB向目標eNB發(fā)起切換請求，然后目標eNB生成切換命令并通過源eNB發(fā)給UE。其中切換命令中包含目標eNB選擇的AS算法標識，UE根據(jù)AS算法標識能夠確定在目標小區(qū)所使用的AS密鑰。UE成功切換到目標小區(qū) 后，根據(jù)確定的AS密鑰保護空口信令和數(shù)據(jù)。如果UE切換失敗，則UE需要進行RRC連接重建立過程。如圖1所示，當UE選擇一個合適的小區(qū)后，UE發(fā)起RRC(Radic) Resource Control，無線資源控制)連接重建立請求消息，目標eNB允許UE接入時向UE發(fā)送RRC連接重建立消息。UE和eNB之間重新建立 RRC連接，包括恢復SRBl (Signalling Radio Bearer 1，信令無線承載1)和重新激活AS安全。UE發(fā)起RRC連接重建立過程的原因可能包括無線鏈路失敗、切換失敗、完整性校驗失敗、RRC連接重配置過程失敗等。該過程由UE發(fā)起，當UE選擇的小區(qū)已經準備了 UE的有效上下文的時候，重建才可能成功。如果允許UE接入，則目標eNB向UE發(fā)送RRC連接重建立消息。UE收到該條消息后，確定AS密鑰，對隨后的RRC消息進行保護，即從RRC連接重建立完成消息開始。目前，源eNB將自己使用的AS算法放在切換請求消息中發(fā)給目標eNB。如果切換失敗，UE重新選擇一個小區(qū)并發(fā)起RRC連接重建立請求，會造成UE還使用源小區(qū)所用的AS 密鑰，如果UE重新選擇的小區(qū)不是源基站下的小區(qū)，可能會出現(xiàn)由于UE使用的AS算法和目標基站選擇的AS算法不一致，使得目標基站拒絕UE接入，或重建成功后目標基站因需要改變AS算法而要求UE進行小區(qū)內切換，從而影響了 UE和目標基站之間的安全性，也增加了 UE和目標基站之間的掉話率。

發(fā)明內容
本發(fā)明實施例提供一種確定AS密鑰的方法、系統(tǒng)和設備，用以解決現(xiàn)有技術中存在的如果UE重新選擇的小區(qū)不是源基站下的小區(qū)，可能會出現(xiàn)由于UE使用的AS算法和目標基站選擇的AS算法不一致，使得目標基站拒絕UE接入，或重建成功后目標基站因需要改變AS算法而要求UE進行小區(qū)內切換，從而影響了 UE和目標基站之間的安全性，也增加了 UE和目標基站之間的掉話率的問題。本發(fā)明實施例提供的一種確定接入層AS密鑰的方法，該方法包括網絡側設備接收來自用戶終端的消息完整性校驗碼；所述網絡側設備在允許所述用戶終端接入所述消息完整性校驗碼對應的小區(qū)時，向所述用戶終端發(fā)送AS算法信息，用于指示所述用戶終端根據(jù)所述AS算法信息確定AS密鑰。本發(fā)明實施例提供的一種確定接入層AS密鑰的系統(tǒng)，該系統(tǒng)包括網絡側設備，用于接收來自用戶終端的消息完整性校驗碼，以及在允許所述用戶終端接入所述消息完整性校驗碼對應的小區(qū)時，向所述用戶終端發(fā)送AS算法信息；用戶終端，用于根據(jù)所述AS算法信息確定AS密鑰。本發(fā)明實施例提供的一種網絡側設備，該網絡測設備包括接收模塊，用于接收來自用戶終端的消息完整性校驗碼；處理模塊，用于在允許所述用戶終端接入所述消息完整性校驗碼對應的小區(qū)時，向所述用戶終端發(fā)送接入層AS算法信息，用于指示所述用戶終端根據(jù)所述AS算法信息確定AS密鑰。本發(fā)明實施例提供的一種用戶終端，該用戶終端包括發(fā)送模塊，用于向網絡側設備發(fā)送消息完整性校驗碼；確定模塊，用于在接收到來自所述網絡側設備的接入層AS算法信息后，根據(jù)所述 AS算法信息確定AS密鑰。本發(fā)明實施例網絡側設備在允許用戶終端接入消息完整性校驗碼對應的小區(qū)時，向用戶終端發(fā)送AS算法信息，用戶終端根據(jù)AS算法信息確定AS密鑰。由于能夠保證用戶終端使用的AS密鑰和目標網絡側設備使用的AS密鑰一樣，在用戶終端UE重新選擇的小區(qū) 不是源基站下的小區(qū)時也能重建成功，并且不需要用戶終端進行小區(qū)內切換，從而保證了用戶終端和目標基站之間的安全性，也降低了用戶終端和目標基站之間的掉話率；進一步還提高了用戶體驗。

圖1為背景技術中RRC連接重建立過程示意圖；圖2為本發(fā)明實施例確定AS密鑰的系統(tǒng)結構示意圖；圖3為本發(fā)明實施例網絡側設備的結構示意圖；圖4為本發(fā)明實施例用戶終端的結構示意圖；圖5為本發(fā)明實施例確定AS密鑰的方法流程示意圖。
具體實施例方式本發(fā)明實施例網絡側設備在允許用戶終端接入消息完整性校驗碼對應的小區(qū)時，向用戶終端發(fā)送AS算法信息，用戶終端根據(jù)AS算法信息確定AS密鑰。由于能夠保證用戶終端使用的AS密鑰和目標網絡側設備使用的AS密鑰一樣，在用戶終端UE重新選擇的小區(qū) 不是源基站下的小區(qū)時也能重建成功，并且不需要用戶終端進行小區(qū)內切換，從而保證了用戶終端和目標基站之間的安全性，也降低了用戶終端和目標基站之間的掉話率。其中，本發(fā)明實施例的方法、系統(tǒng)和設備可以應用在LTE系統(tǒng)、LTE-A(Long Term Evolution-Advanced，長期演進升級)系統(tǒng)或3G系統(tǒng)中。當然，其他需要AS密鑰進行消息保護的系統(tǒng)同樣適用本發(fā)明實施例。如果本發(fā)明實施例的網絡側設備應用在LTE-A系統(tǒng)中，則本發(fā)明實施例的網絡側設備可以是基站，也可以是Relay(中繼)節(jié)點設備。
在具體實施過程中，消息完整性校驗碼可以通過RRC連接重建立請求消息承載， AS算法信息可以通過RRC連接重建立消息承載。需要說明的是，本發(fā)明實施例并不局限于RRC連接重建立請求消息承載消息完整性校驗碼，以及RRC連接重建立消息承載AS算法信息，其他能夠承載消息完整性校驗碼和 AS算法信息的消息同樣適用本發(fā)明實施例。下面以RRC連接重建立請求消息承載消息完整性校驗碼，以及RRC連接重建立消息承載AS算法信息為例對本發(fā)明實施例作進一步詳細描述。其他消息承載消息完整性校驗碼和AS算法信息的方式與RRC連接重建立請求消息承載消息完整性校驗碼，以及RRC連接重建立消息承載AS算法信息的方式類似，在此不再贅述。。如圖2所示，本發(fā)明實施例確定AS密鑰的系統(tǒng)包括網絡側設備10和用戶終端 20。網絡側設備10，用于接收來自用戶終端20的包含消息完整性校驗碼的RRC連接重建立請求消息，以及在允許用戶終端接入消息完整性校驗碼對應的小區(qū)時，向用戶終端發(fā) 送包含AS算法信息的RRC連接重建立消息。用戶終端20，用于在收到來自網絡側設備10的RRC連接重建立消息后，根據(jù)RRC 連接重建立消息中包含的AS算法信息確定AS密鑰。其中，用戶終端20在切換失敗后需要發(fā)起RRC連接重建立過程，即先重新選擇一個需要接入的小區(qū)，然后將選擇的小區(qū)對應的消息完整性校驗碼(shortMAC-I)置于RRC連接重建立請求消息中，發(fā)送給該小區(qū)所屬的網絡側設備。如果該小區(qū)所屬的網絡側設備不是用戶終端20在切換時的源網絡側設備或目標網絡側設備，則該小區(qū)所屬的網絡側設備不允許該用戶終端20接入。網絡側設備10在接收來自用戶終端20的包含消息完整性校驗碼的RRC連接重建立請求消息后，根據(jù)下列標準判斷是否允許用戶終端20接入如果用戶終端20上報的消息中的完整性校驗碼是有效的，即與某個目標小區(qū)對應的消息完整性校驗碼一致，則允許用戶終端20接入該消息完整性校驗碼對應的目標小區(qū)；否則不允許用戶終端20接入。在具體實施過程中，消息完整性校驗碼對應的小區(qū)是網絡側設備10為RRC連接重建立時準備的候選小區(qū)中的一個小區(qū)；如果網絡側設備10不是用戶終端20切換失敗之前最后連接的源網絡側設備(即網絡側設備10是用戶終端20切換時的目標網絡側設備)，目標網絡側設備將源網絡側設備為自身準備的所有小區(qū)作為候選小區(qū)。具體的，本發(fā)明實施例由于能夠保證網絡側和終端側之間AS算法同步，所以不管源網絡側設備在切換請求中攜帶的AS算法標識對應的AS算法是不是目標網絡側設備支持的，本發(fā)明實施例的目標網絡側設備都將切換請求中源網絡側設備多準備的小區(qū)作為RRC 連接重建時的候選小區(qū)，用戶終端20可以在RRC連接重建時接入這些小區(qū)。這樣做可以降低安全失敗引起的掉話率。其中，網絡側設備10在允許用戶終端接入消息完整性校驗碼對應的小區(qū)后，向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息之前還需要確定AS算法信息，具體確定AS算法信息的方式有很多種，下面列舉幾種。方式一、直接將AS算法標識作為AS算法信息。網絡側設備10從自身支持的所有AS算法中選擇優(yōu)先級最高，且用戶終端20支持的AS算法，將選擇的AS算法對應的AS算法標識作為AS算法信息。其中，根據(jù)需要具體AS算法可能包括多個算法，比如AS算法包括AS完整性保護算法和AS加密算法，則網絡側設備10從自身支持的所有AS完整性保護算法中選擇優(yōu)先級最高，且用戶終端20支持的AS完整性保護算法，以及從自身支持的所有AS加密算法中選擇優(yōu)先級最高，且用戶終端20支持的AS加密算法，將選擇的AS完整性算法對應的算法標識和AS加密算法對應的算法標識作為AS算法信息。相應的，用戶終端20根據(jù)AS算法標識，確定AS密鑰。其中，根據(jù)需要AS密鑰可能包括多個密鑰。比如AS算法包括AS完整性保護算法和AS加密算法，AS密鑰包括RRC消息完整性保護密鑰、RRC消息加密保護密鑰和用戶數(shù)據(jù)加密保護密鑰RRC消息完整性保護密鑰KKKint = KDF(KeNB，AS完整性算法標識，算法類型區(qū)別符)；RRC消息加密保護密鑰KKK。en。= KDF(KeNB, AS加密算法標識，算法類型區(qū)別符)；用戶數(shù)據(jù)加密保護密鑰KUPen。= KDF(KeNB, AS加密算法標識，算法類型區(qū)別符)；KDF是指密鑰生成函數(shù)(Key Derivation Function)，具體使用方法在3GPPTS 33. 401中規(guī)定。由于網絡側設備10允許用戶終端20接入，所以網絡側設備10是用戶終端20在切換時的源網絡側設備或目標網絡側設備。如果是用戶終端20在切換時的源網絡側設備，則在附著或位置更新的時候，用戶終端20將自己支持的算法放在NAS (Non-Access Stratum, 非接入層)消息中告訴MME (Mobility Management Entity，移動性管理實體)，MME再將收到的用戶終端20支持的算法通過Sl接口告訴源網絡側設備；如果是用戶終端20在切換時的目標網絡側設備，在X2切換的時候，源網絡側設備在切換請求中將用戶終端20支持的算法告訴目標網絡側設備，在Sl切換的時候，源MME將用戶終端20支持的算法告訴目標MME，目標MME再將這些算法告訴目標網絡側設備。在具體實施過程中，網絡側設備10可以在RRC連接重建立消息中增加一個 IE (Information Element，信息元素)用于攜帶AS算法信息。方式一由于能夠及時同步網絡側和終端側之間的AS算法，從而減少了重建成功之后，因需要修改算法而進行的小區(qū)內切換，降低了掉話率。方式二、判斷是否將AS算法標識作為AS算法信息。網絡側設備10判斷用戶終端20切換失敗之前最后連接的源小區(qū)是否是自身覆蓋的小區(qū)，如果是，則將RRC連接重建立消息中包含的AS算法信息的內容設置為空；如果不是，則進一步判斷源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法是否相同，如果相同，則將RRC連接重建立消息中包含的AS算法信息的內容設置為空，如果不相同，則從自身支持的所有AS算法中選擇優(yōu)先級最高，且用戶終端20支持的AS算法，將選擇的AS算法對應的AS算法標識作為AS算法信息。相應的，如果用戶終端20在收到的AS算法信息是AS算法標識時，根據(jù)AS算法標識確定AS密鑰；如果用戶終端20在收到的AS算法信息內容為空時，將源小區(qū)中所使用的AS算法作為接入消息完整性校驗碼對應的小區(qū)后使用的AS算法。在具體實施過程中，AS算法信息的內容設置為空可以采用不將AS算法信息置于 RRC連接重建立消息中實現(xiàn)。其中，網絡側設備10將接收的來自源網絡側設備的切換請求消息中AS算法標識對應的AS算法作為源網絡側設備確定的AS算法。在具體實施過程中，如果網絡側設備10判斷用戶終端20切換失敗之前最后連接的源小區(qū)是否是自身覆蓋的小區(qū)可以通過下列標識中的一種或多種進行判斷PCI (Physical Cell Identity,物理層小區(qū)標識)禾Π C-RNTI (Cell Radio NetworkTemporary Identity,小區(qū)級無線網絡臨時標識)。具體的，用戶終端20在發(fā)送RRC連接重建立請求消息時，會將源小區(qū)的PCI和源小區(qū)為用戶終端20分配的C-RNTI置于RRC連接重建立請求消息中，網絡側設備10在收到 RRC連接重建立請求消息后，查看PCI和/或C-RNTI是否是自身分配的，如果是則確定用戶終端20切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；否則，確定用戶終端20切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)。需要說明的是，本發(fā)明實施例并不局限于通過PCI和/或C-RNTI進行判斷的方式，其他能夠判斷用戶終端20切換失敗之前最后連接的源小區(qū)是否是自身覆蓋的小區(qū)的方式都適用本發(fā)明實施例。由于網絡側設備10允許用戶終端20接入，所以網絡側設備10是用戶終端20在切換時的源網絡側設備或目標網絡側設備，如果網絡側設備10確定用戶終端20切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，則網絡側設備10是目標網絡側設備，目標網絡側設備會進一步判斷源網絡側設備在切換請求消息中傳過來的AS算法和自己選擇是否相同。其中方式二與方式一的區(qū)別在于方式一中網絡側設備10不需要對用戶終端20 做判斷，只需要將AS算法標識作為AS算法信息即可，這樣可以簡化網絡側設備10的處理行為；方式二中，網絡側設備10先對用戶終端20做一個判斷，再根據(jù)判斷結果選擇是否將 AS算法標識作為AS算法信息，這樣可以節(jié)省空口開銷。方式三、將指示信息作為AS算法信息。網絡側設備10判斷用戶終端20切換失敗之前最后連接的源小區(qū)是否是自身覆蓋的小區(qū)，如果是，則將第一指示信息作為AS算法信息；如果不是，則進一步判斷源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法是否相同，如果相同，則將第一指示信息作為AS算法信息，如果不相同，則將第二指示信息作為AS算法信息；相應的，用戶終端20在收到的AS算法信息是第一指示信息時，將在源小區(qū)中所使用的AS算法作為接入消息完整性校驗碼對應的小區(qū)后使用的AS算法；用戶終端20在收到的AS算法信息是第二指示信息時，將收到的RRC連接重配置消息中包含的AS算法標識對應的AS算法作為接入消息完整性校驗碼對應的小區(qū)后使用的 AS算法。其中，方式三的判斷過程與方式二的判斷過程相同，不同的是方式三中網絡側設備10需要根據(jù)判斷結果確定是將第一指示信息還是第二指示信息作為AS算法信息。在具體實施過程中，第一指示信息和第二指示信息可以用Ibit表示，比如第一指示信息是0，則第二指示信息是1。由于網絡側設備10允許用戶終端20接入，所以網絡側設備10是用戶終端20在切換時的源網絡側設備或目標網絡側設備，如果網絡側設備10確定用戶終端20切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，則網絡側設備10是目標網絡側設備。也就是說，網絡側設備10是目標網絡側設備的情況下，才會發(fā)送第二指示信息。用戶終端20在切換時，目標網絡側設備會通過源網絡側設備發(fā)送包含AS算法標識的RRC連接重配置消息，所以目標網絡側設備和用戶終端20都知道RRC連接重配置消息中包含的AS算法標識，從而可以保證網絡側和終端側之間AS算法同步。需要說明的是，本發(fā)明實施例并不局限于上述三種方式，其他能夠指示用戶終端 20根據(jù)AS算法信息確定AS密鑰的方式同樣適用本發(fā)明實施例。如圖3所示，本發(fā)明實施例網絡側設備包括接收模塊100和處理模塊110。接收模塊100，用于接收來自用戶終端的包含消息完整性校驗碼的RRC連接重建立請求消息。處理模塊110，用于在允許用戶終端接入消息完整性校驗碼對應的小區(qū)時，向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息，用于指示用戶終端根據(jù)AS算法信息確定AS密鑰。其中，處理模塊110向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息之前，從自身支持的所有AS算法中選擇優(yōu)先級最高，且用戶終端支持的AS算法，將選擇的AS 算法對應的AS算法標識作為AS算法信息。進一步的，處理模塊110將選擇的AS算法對應的AS算法標識作為AS算法信息之前，確定用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法不同；其中網絡側設備將接收的來自源網絡側設備的切換請求消息中AS算法標識對應的AS算法作為源網絡側設備確定的AS算法。其中，處理模塊110向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息之前，在確定用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；或確定用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法相同時，將RRC連接重建立消息中包含的AS算法信息的內容設置為空。處理模塊110向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息之前，在確定用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；或確定用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法相同時，將第一指示信息作為AS算法信息。處理模塊110向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息之前，在確定用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法不同時，將第二指示信息作為AS算法信息。如圖4所示，本發(fā)明實施例用戶終端包括發(fā)送模塊200和確定模塊210。
發(fā)送模塊200，用于向網絡側設備發(fā)送包含消息完整性校驗碼的RRC連接重建立請求消息。確定模塊210，用于在接收到來自網絡側設備的包含AS算法信息的RRC連接重建立消息后，根據(jù)AS算法信息確定AS密鑰。其中，確定模塊210在收到的AS算法信息是AS算法標識時，根據(jù)AS算法標識對應的AS算法，確定AS密鑰。確定模塊210在收到的AS算法信息內容為空時，將源小區(qū)中所使用的AS算法作為接入消息完整性校驗碼對應的小區(qū)后使用的AS算法。確定模塊210在收到的AS算法信息是第一指示信息時，將在源小區(qū)中所使用的AS 算法作為接入消息完整性校驗碼對應的小區(qū)后使用的AS算法。確定模塊210在收到的AS算法信息是第二指示信息時，將收到的RRC連接重配置消息中包含的AS算法標識對應的AS算法作為接入消息完整性校驗碼對應的小區(qū)后使用的 AS算法。如圖5所示，本發(fā)明實施例確定AS密鑰的方法包括下列步驟步驟501、網絡側設備接收來自用戶終端的包含消息完整性校驗碼的RRC連接重建立請求消息。步驟502、網絡側設備在允許用戶終端接入消息完整性校驗碼對應的小區(qū)時，向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息，用于指示用戶終端根據(jù)AS算法信息確定AS密鑰。其中，步驟502之后還可以進一步包括步驟503、用戶終端根據(jù)收到的RRC連接重建立消中的AS算法信息確定AS密鑰。步驟501之前，用戶終端在切換失敗后需要發(fā)起RRC連接重建立過程，即先重新選擇一個需要接入的小區(qū)，然后將選擇的小區(qū)對應的消息完整性校驗碼置于RRC連接重建立請求消息中，發(fā)送給該小區(qū)所屬的網絡側設備。步驟502中，如果該小區(qū)所屬的網絡側設備不是用戶終端在切換時的源網絡側設備或目標網絡側設備，則該小區(qū)所屬的網絡側設備不允許該用戶終端接入。網絡側設備在接收來自用戶終端的包含消息完整性校驗碼的RRC連接重建立請求消息后，根據(jù)下列標準判斷是否允許用戶終端接入如果用戶終端上報的消息中的完整性校驗碼是有效的，即與某個目標小區(qū)對應的消息完整性校驗碼一致，則允許用戶終端接入該消息完整性校驗碼對應的目標小區(qū)；否則不允許用戶終端接入。在具體實施過程中，消息完整性校驗碼對應的小區(qū)是網絡側設備為RRC連接重建立時準備的候選小區(qū)中的一個小區(qū)；如果網絡側設備不是用戶終端切換失敗之前最后連接的源網絡側設備(即網絡側設備是用戶終端切換時的目標網絡側設備)，目標網絡側設備將源網絡側設備為自身準備的所有小區(qū)作為候選小區(qū)。具體的，本發(fā)明實施例由于能夠保證網絡側和終端側之間AS算法同步，所以不管源網絡側設備在切換請求中攜帶的AS算法標識對應的AS算法是不是目標網絡側設備支持的，本發(fā)明實施例的目標網絡側設備都將切換請求中源網絡側設備為自身多準備的小區(qū)作為RRC連接重建時的候選小區(qū)，用戶終端可以在RRC連接重建時接入這些小區(qū)。這樣做可以降低安全失敗引起的掉話率。步驟502中，網絡側設備在允許用戶終端接入消息完整性校驗碼對應的小區(qū)后，向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息之前還需要確定AS算法信息，具體確定AS算法信息的方式有很多種，下面列舉幾種。方式一、直接將AS算法標識作為AS算法信息。網絡側設備從自身支持的所有AS算法中選擇優(yōu)先級最高，且用戶終端支持的AS 算法，將選擇的AS算法對應的AS算法標識作為AS算法信息。其中，根據(jù)需要具體AS算法可能包括多個算法，比如AS算法包括AS完整性保護算法和AS加密算法，則網絡側設備從自身支持的所有AS完整性保護算法中選擇優(yōu)先級最高，且用戶終端支持的AS完整性保護算法，以及從自身支持的所有AS加密算法中選擇優(yōu)先級最高，且用戶終端支持的AS加密算法，將選擇的AS完整性算法對應的算法標識和AS加密算法對應的算法標識作為AS算法信息。相應的，步驟503中，用戶終端根據(jù)AS算法標識對應的AS算法，確定AS密鑰。其中，根據(jù)需要AS密鑰可能包括多個密鑰。比如AS算法包括AS完整性保護算法和AS加密算法，AS密鑰包括RRC消息完整性保護密鑰、RRC消息加密保護密鑰和用戶數(shù)據(jù)加密保護密鑰RRC消息完整性保護密鑰KKKint = KDF(KeNB，AS完整性算法標識，算法類型區(qū)別符)；RRC消息加密保護密鑰KKK。en。= KDF(KeNB, AS加密算法標識，算法類型區(qū)別符)；用戶數(shù)據(jù)加密保護密鑰KUPen。= KDF(KeNB, AS加密算法標識，算法類型區(qū)別符)。由于網絡側設備允許用戶終端接入，所以網絡側設備是用戶終端在第一次切換時的源網絡側設備或目標網絡側設備。如果是用戶終端在第一次切換時的源網絡側設備，則在附著或位置更新的時候，用戶終端將自己支持的算法放在NAS消息中告訴MME，MME再將收到的用戶終端支持的算法通過Sl接口告訴源網絡側設備；如果是用戶終端在第一次切換時的目標網絡側設備，在X2切換的時候，源網絡側設備在切換請求中將用戶終端支持的算法告訴目標網絡側設備，在Sl切換的時候，源MME將用戶終端支持的算法告訴目標MME，目標MME再將這些算法告訴目標網絡側設備。在具體實施過程中，網絡側設備可以在RRC連接重建立消息中增加一個IE用于攜帶AS算法信息。方式一由于能夠及時同步網絡側和終端側之間的AS算法，從而減少了重建成功之后，因需要修改算法而進行的小區(qū)內切換，降低了掉話率。方式二、判斷是否將AS算法標識作為AS算法信息。網絡側設備判斷用戶終端切換失敗之前最后連接的源小區(qū)是否是自身覆蓋的小區(qū)，如果是，則將RRC連接重建立消息中包含的AS算法信息的內容設置為空；如果不是，則進一步判斷源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法是否相同，如果相同，則將RRC連接重建立消息中包含的AS算法信息的內容設置為空，如果不相同，則從自身支持的所有AS算法中選擇優(yōu)先級最高，且用戶終端支持的AS算法，將選擇的AS算法對應的AS算法標識作為AS算法信息。
相應的，步驟503中，如果用戶終端在收到的AS算法信息是AS算法標識時，根據(jù) AS算法標識確定AS密鑰；如果用戶終端在收到的AS算法信息內容為空時，將源小區(qū)中所使用的AS算法作為接入消息完整性校驗碼對應的小區(qū)后使用的AS算法。在具體實施過程中，AS算法信息的內容設置為空可以采用不將AS算法信息置于 RRC連接重建立消息中實現(xiàn)。其中，網絡側設備將接收的來自源網絡側設備的切換請求消息中AS算法標識對應的AS算法作為源網絡側設備確定的AS算法。在具體實施過程中，如果網絡側設備判斷用戶終端切換失敗之前最后連接的源小區(qū)是否是自身覆蓋的小區(qū)可以通過下列標識中的一種或多種進行判斷PCI 禾口 C-RNTI。具體的，用戶終端在發(fā)送RRC連接重建立請求消息時，會將源小區(qū)的PCI和源小區(qū) 為用戶終端分配的C-RNTI置于RRC連接重建立請求消息中，網絡側設備在收到RRC連接重建立請求消息后，查看PCI和/或C-RNTI是否是自身分配的，如果是則確定用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；否則，確定用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)。需要說明的是，本發(fā)明實施例并不局限于通過PCI和/或C-RNTI進行判斷的方式，其他能夠判斷用戶終端切換失敗之前最后連接的源小區(qū)是否是自身覆蓋的小區(qū)的方式都適用本發(fā)明實施例。由于網絡側設備允許用戶終端接入，所以網絡側設備是用戶終端在切換時的源網絡側設備或目標網絡側設備，如果網絡側設備確定用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，則網絡側設備是目標網絡側設備，目標網絡側設備會進一步判斷源網絡側設備在切換請求消息中傳過來的AS算法和自己選擇是否相同。其中方式二與方式一的區(qū)別在于方式一中網絡側設備不需要對用戶終端做判斷，只需要將AS算法標識作為AS算法信息即可，這樣可以簡化網絡側設備的處理行為；方式二中，網絡側設備先對用戶終端做一個判斷，再根據(jù)判斷結果選擇是否將AS算法標識作為AS算法信息，這樣可以節(jié)省空口開銷。方式三、將指示信息作為AS算法信息。網絡側設備判斷用戶終端切換失敗之前最后連接的源小區(qū)是否是自身覆蓋的小區(qū)，如果是，則將第一指示信息作為AS算法信息；如果不是，則進一步判斷源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法是否相同，如果相同，則將第一指示信息作為AS算法信息，如果不相同，則將第二指示信息作為AS算法信息；相應的，步驟503中，用戶終端在收到的AS算法信息是第一指示信息時，將在源小區(qū)中所使用的AS算法作為接入消息完整性校驗碼對應的小區(qū)后使用的AS算法；用戶終端在收到的AS算法信息是第二指示信息時，將收到的RRC連接重配置消息中包含的AS算法標識對應的AS算法作為接入消息完整性校驗碼對應的小區(qū)后使用的AS 算法。其中，方式三的判斷過程與方式二的判斷過程相同，不同的是方式三中網絡側設備需要根據(jù)判斷結果確定是將第一指示信息還是第二指示信息作為AS算法信息。
在具體實施過程中，第一指示信息和第二指示信息可以用Ibit表示，比如第一指示信息是0，則第二指示信息是1。由于網絡側設備允許用戶終端接入，所以網絡側設備是用戶終端在切換時的源網絡側設備或目標網絡側設備，如果網絡側設備確定用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，則網絡側設備是目標網絡側設備。也就是說，網絡側設備是目標網絡側設備的情況下，才會發(fā)送第二指示信息。用戶終端在切換時，目標網絡側設備會通過源網絡側設備發(fā)送包含AS算法標識的RRC連接重配置消息，所以目標網絡側設備和用戶終端都知道RRC連接重配置消息中包含的AS算法標識，從而可以保證網絡側和終端側之間AS算法同步。需要說明的是，本發(fā)明實施例并不局限于上述三種方式，其他能夠指示用戶終端根據(jù)AS算法信息確定AS密鑰的方式同樣適用本發(fā)明實施例。本領域內的技術人員應明白，本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機程序產品。因此，本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產品的形式。本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上，使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產生計算機實現(xiàn)的處理，從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。盡管已描述了本發(fā)明的優(yōu)選實施例，但本領域內的技術人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權利要求意欲解釋為包括優(yōu) 選實施例以及落入本發(fā)明范圍的所有變更和修改。從上述實施例中可以看出本發(fā)明實施例網絡側設備接收來自用戶終端的包含消息完整性校驗碼的RRC連接重建立請求消息；網絡側設備在允許用戶終端接入消息完整性校驗碼對應的小區(qū)時，向用戶終端發(fā)送包含AS算法信息的RRC連接重建立消息，用于指示用戶終端根據(jù)AS算法信息確定AS密鑰。由于能夠保證用戶終端使用的AS密鑰和目標網絡側設備使用的AS密鑰一樣，在用戶終端UE重新選擇的小區(qū)不是源基站下的小區(qū)時也能重建成功，并且不需要用戶終端進行小區(qū)內切換，從而保證了用戶終端和目標基站之間的安全性，也降低了用戶終端和目標基站之間的掉話率；進一步還提高了用戶體驗。顯然，本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內，則本發(fā)明也意圖包含這些改動和變型在內。
權利要求
1.一種確定接入層AS密鑰的方法，其特征在于，該方法包括網絡側設備接收來自用戶終端的消息完整性校驗碼；所述網絡側設備在允許所述用戶終端接入所述消息完整性校驗碼對應的小區(qū)時，向所述用戶終端發(fā)送AS算法信息，用于指示所述用戶終端根據(jù)所述AS算法信息確定AS密鑰。
2.如權利要求1所述的方法，其特征在于，所述網絡側設備向所述用戶終端發(fā)送AS算法信息之前還包括所述網絡側設備從自身支持的所有AS算法中選擇優(yōu)先級最高，且所述用戶終端支持的AS算法；所述網絡側設備將選擇的AS算法對應的AS算法標識作為AS算法信息；所述網絡側設備發(fā)送AS算法信息之后還包括所述用戶終端根據(jù)所述AS算法標識確定AS密鑰。
3.如權利要求2所述的方法，其特征在于，所述網絡側設備選擇AS算法之后，將選擇的 AS算法對應的AS算法標識作為AS算法信息之前還包括所述網絡側設備確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法不同；其中，所述網絡側設備將接收的來自源網絡側設備的切換請求消息中AS算法標識對應的AS算法作為源網絡側設備確定的AS算法。
4.如權利要求3所述的方法，其特征在于，該方法還包括所述網絡側設備在確定所述用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；或確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法相同時，將AS算法信息的內容設置為空；所述網絡側設備發(fā)送AS算法信息之后還包括所述用戶終端在收到的AS算法信息內容為空時，將源小區(qū)中所使用的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法。
5.如權利要求1所述的方法，其特征在于，所述網絡側設備向所述用戶終端發(fā)送AS算法信息之前還包括所述網絡側設備在確定所述用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；或確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法相同時，將第一指示信息作為AS算法信息；所述網絡側設備發(fā)送AS算法信息之后還包括所述用戶終端在收到第一指示信息后，將在源小區(qū)中所使用的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法。
6.如權利要求1或5所述的方法，其特征在于，所述網絡側設備向所述用戶終端發(fā)送 AS算法信息之前還包括所述網絡側設備在確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法不同時，將第二指示信息作為AS算法信息；所述網絡側設備發(fā)送AS算法信息之后還包括所述用戶終端在收到第二指示信息后，將AS算法標識對應的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法。
7.如權利要求1 5任一權利要求所述的方法，其特征在于，所述消息完整性校驗碼對應的小區(qū)是所述網絡側設備為無線資源控制RRC連接重建立時準備的候選小區(qū)中的一個小區(qū)；如果所述網絡側設備不是所述用戶終端切換失敗之前最后連接的源網絡側設備，所述網絡側設備將所述源網絡側設備為自身準備的所有小區(qū)作為所述候選小區(qū)。
8.如權利要求1 5任一權利要求所述的方法，其特征在于，所述消息完整性校驗碼是通過RRC連接重建立請求消息承載的；所述AS算法信息是通過RRC連接重建立消息承載的。
9.一種確定接入層AS密鑰的系統(tǒng)，其特征在于，該系統(tǒng)包括網絡側設備，用于接收來自用戶終端的消息完整性校驗碼，以及在允許所述用戶終端接入所述消息完整性校驗碼對應的小區(qū)時，向所述用戶終端發(fā)送AS算法信息；用戶終端，用于根據(jù)所述AS算法信息確定AS密鑰。
10.如權利要求9所述的系統(tǒng)，其特征在于，所述網絡側設備還用于從自身支持的所有AS算法中選擇優(yōu)先級最高，且所述用戶終端支持的AS算法，將選擇的AS算法對應的AS算法標識作為AS算法信息；所述用戶終端用于根據(jù)所述AS算法標識確定AS密鑰。
11.如權利要求10所述的系統(tǒng)，其特征在于，所述網絡側設備還用于將選擇的AS算法對應的AS算法標識作為AS算法信息之前，確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的 AS算法和自身選擇的AS算法不同；其中，所述網絡側設備將接收的來自源網絡側設備的切換請求消息中AS算法標識對應的AS算法作為源網絡側設備確定的AS算法。
12.如權利要求11所述的系統(tǒng)，其特征在于，所述網絡側設備還用于在確定所述用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；或確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法相同時，將AS算法信息的內容設置為空；所述用戶終端用于在收到的AS算法信息內容為空時，將源小區(qū)中所使用的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法。
13.如權利要求9所述的系統(tǒng)，其特征在于，所述網絡側設備還用于在確定所述用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；或確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法相同時，將第一指示信息作為AS算法信息；所述用戶終端用于在收到第一指示信息后，將在源小區(qū)中所使用的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法。
14.如權利要求9或13所述的系統(tǒng)，其特征在于，所述網絡側設備還用于在確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法不同時，將第二指示信息作為AS算法信息；所述用戶終端用于在收到第二指示信息后，將AS算法標識對應的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法。
15.一種網絡側設備，其特征在于，該網絡測設備包括接收模塊，用于接收來自用戶終端的消息完整性校驗碼；處理模塊，用于在允許所述用戶終端接入所述消息完整性校驗碼對應的小區(qū)時，向所述用戶終端發(fā)送接入層AS算法信息，用于指示所述用戶終端根據(jù)所述AS算法信息確定AS 密鑰。
16.如權利要求15所述的網絡側設備，其特征在于，所述處理模塊還用于從自身支持的所有AS算法中選擇優(yōu)先級最高，且所述用戶終端支持的AS算法，將選擇的AS算法對應的AS算法標識作為AS算法信息。
17.如權利要求16所述的網絡側設備，其特征在于，所述處理模塊還用于將選擇的AS算法對應的AS算法標識作為AS算法信息之前，確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的 AS算法和自身選擇的AS算法不同；其中，所述網絡側設備將接收的來自源網絡側設備的切換請求消息中AS算法標識對應的AS算法作為源網絡側設備確定的AS算法。
18.如權利要求17所述的網絡側設備，其特征在于，所述處理模塊還用于在確定所述用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；或確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法相同時，將RRC連接重建立消息中包含的AS 算法信息的內容設置為空。
19.如權利要求15所述的網絡側設備，其特征在于，所述處理模塊還用于在確定所述用戶終端切換失敗之前最后連接的源小區(qū)是自身覆蓋的小區(qū)；或確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法相同時，將第一指示信息作為AS算法信息；在確定所述用戶終端切換失敗之前最后連接的源小區(qū)不是自身覆蓋的小區(qū)，且所述源小區(qū)所屬的源網絡側設備確定的AS算法和自身選擇的AS算法不同時，將第二指示信息作為AS算法信息。
20.一種用戶終端，其特征在于，該用戶終端包括發(fā)送模塊，用于向網絡側設備發(fā)送消息完整性校驗碼；確定模塊，用于在接收到來自所述網絡側設備的接入層AS算法信息后，根據(jù)所述AS算法信息確定AS密鑰。
21.如權利要求20所述的用戶終端，其特征在于，所述確定模塊用于在收到的所述AS算法信息是AS算法標識時，根據(jù)所述AS算法標識確定AS密鑰。
22.如權利要求20或21所述的用戶終端，其特征在于，所述確定模塊用于在收到的AS算法信息內容為空時，將源小區(qū)中所使用的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法。
23.如權利要求20所述的用戶終端，其特征在于，所述確定模塊用于在收到的AS算法信息是第一指示信息時，將在源小區(qū)中所使用的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法；在收到的AS算法信息是第二指示信息時，將收到AS算法標識對應的AS算法作為接入所述消息完整性校驗碼對應的小區(qū)后使用的AS算法。
全文摘要
本發(fā)明實施例涉及無線通信技術，特別涉及一種確定AS密鑰的方法、系統(tǒng)和設備，用以解決現(xiàn)有技術中存在的UE使用的AS算法和目標基站選擇的AS算法不一致，影響UE和目標基站之間的安全性，增加UE和目標基站之間的掉話率的問題。本發(fā)明實施例的方法包括網絡側設備接收來自用戶終端的消息完整性校驗碼；所述網絡側設備在允許所述用戶終端接入消息完整性校驗碼對應的小區(qū)時，向所述用戶終端發(fā)送AS算法信息，用于指示所述用戶終端根據(jù)所述AS算法信息確定AS密鑰。采用本發(fā)明實施例能夠保證用戶終端和目標基站之間的安全性，降低用戶終端和目標基站之間的掉話率。
文檔編號H04W12/04GK102083063SQ200910238670
公開日2011年6月1日申請日期2009年11月30日優(yōu)先權日2009年11月30日
發(fā)明者楊義, 梁靖申請人:大唐移動通信設備有限公司

完整全部詳細技術資料下載