密钥生成方法、装置及系统 |
|||||||
| 申请号 | CN200810066591.7 | 申请日 | 2008-04-16 | 公开(公告)号 | CN101267668B | 公开(公告)日 | 2015-11-25 |
| 申请人 | 中兴通讯股份有限公司; | 发明人 | 甘露; 柯雅珠; 杜忠达; 程翔; | ||||
| 摘要 | 本 发明 公开了一种密钥生成方法、装置及系统,其中,该方法包括:MME根据根密钥KASME及特定值0和/或其他参数,生成密钥,并发送携带密钥的切换 请求 消息给目标eNB;用户设备根据根密钥KASME及特定值0和/或其他参数,生成目标eNB使用的密钥。本发明各 实施例 可在用户设备从其他网络切换到EUTRAN网络的过程中生成密钥,提高接入层的安全性。 | ||||||
| 权利要求 | 1.一种密钥生成方法,用于在用户设备从其他网络切换到EUTRAN网络的过程中生成密钥,其特征在于,包括: |
||||||
| 说明书全文 | 密钥生成方法、装置及系统技术领域[0001] 本发明涉及通信领域中密钥生成技术,具体地,涉及在不同系统间切换时的密钥生成方法、装置及系统。 背景技术[0002] 第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP)演进的分组系统(Evolved Packet System,简称EPS)由演进的陆地无线接入网(Evolved UMTS Terrestrial Radio AccessNetwork,简称EUTRAN)和EPS演进的分组核心网(Evolved PacketCore,简称EPC)组成。EPC能够支持用户从全球移动通讯系统增强型数据速率GSM演进实体无线接入网(Global System for MobileCommunication Enhanced Data Rate for GSM Evolution radio accessnetwork,简称GERAN)和通用陆地无线接入网(Universal TerrestrialRadio Access Network,简称UTRAN)的接入。 [0003] EPC分组核心网包含移动管理实体(Mobility ManagementEntity,简称MME),MME负责移动性的管理、非接入层信令的处理、以及用户安全模式的管理等控制面相关的工作。其中,MME保存EUTRAN的根密钥——接入安全管理实体密钥(Key AccessSecurity Management Entity,简写为KASME)。在EUTRAN中,基站设备为演进的基站(evolved Node-B,简称eNB),主要负责无线通信、无线通信管理、和移动性上下文的管理。供eNB使用的接入层的根密钥是演进的基站密钥(Key eNB,简写为KeNB)。 [0004] 3GPP通用移动通信系统(Universal Mobile TelecommunicationSystem,简称UMTS)系统中负责移动性上下文的管理、和/或用户安全模式的管理的设备是服务通用分组无线业务支持节点(ServingGeneral Packet Radio Service Support Node,简称SGSN)。SGSN还负责认证用户设备(User Equipment,简称UE)。 [0005] 3GPP UMTS系统中,负责无线通信管理的设备是UTRAN中的无线网络控制器(Radio Network Controller,简称RNC)。如图1所示,UE从UTRAN切换到EUTRAN时,如果UE和MME中没有保存EPS安全相关参数,如KASME,则RNC需要通过发送重定向请求,使MME生成EUTRAN中的密钥KASME;MME在eNB确认切换请求之后,向RNC转发重定向回复,RNC执行UTRAN切换命令,UE侧生成EUTRAN中的密钥KASME,完成切换到EUTRAN。 [0007] 现有技术中从其他网络切换到EUTRAN时,虽然可以生成EUTRAN的根密钥KASME,但无法生成由接入层使用的密钥,如供eNB使用的接入层的根密钥KeNB,因此,接入层的信令和/或数据不能得到有效保护,存在安全隐患。 发明内容[0008] 本发明的目的是针对现有技术中不同接入系统间切换时无法生成由接入层使用的中间密钥、接入层安全性不高的缺陷,提出一种密钥生成方法及系统,以生成接入层使用的中间密钥,提高接入层的安全性。 [0009] 为实现上述目的,根据本发明的一个方面,提供了一种密钥生成方法。 [0010] 根据本发明实施例的密钥生成方法,用于在用户设备从其他网络切换到EUTRAN网络的过程中生成密钥,包括:MME根据EUTRAN网络的根密钥KASME、特定值和/或其他参数,生成密钥,并发送携带密钥的切换请求消息给目标演进的基站即目标eNB;用户设备根据EUTRAN网络的根密钥KASME、特定值和/或其他参数,生成目标eNB使用的密钥。 [0011] 特定值不需要转发给移动管理实体,从而不需要额外的信令负担。 [0012] 特定值为移动管理实体和用户设备共同拥有的值0。 [0013] 根据EUTRAN网络的根密钥KASME、特定值和/或其他参数,生成密钥的操作具体可以包括:将特定值和/或其他参数和根密钥KASME输入预设的单向密钥生成函数;将单向密钥生成函数的输出作为密钥。 [0014] MME可以根据接收到的重定向请求消息生成EUTRAN网络的根密钥KASME。 [0015] 目标eNB收到密钥之后,还可以包括:MME接收与切换请求消息对应的切换请求确认消息,并向当前网络的SGSN发送与重定向请求消息对应的重定向回复消息;当前网络的SGSN接收重定向回复消息,并发送重定向命令消息;当前网络的无线网络控制器向用户设备发送切换命令消息;用户设备根据接收到的切换命令消息生成EUTRAN网络的根密钥KASME。 [0016] 为实现上述目的,根据本发明的另一个方面,提供了一种密钥生成装置。 [0017] 根据本发明实施例的密钥生成装置,包括:第一单元,用于根据EUTRAN网络的根密钥KASME、特定值0和/或其他参数,生成密钥。 [0018] 第一单元可以设置于MME,第一单元包括:第一密钥产生模块,用于根据接收到的重定向请求消息生成根密钥KASME,并根据根密钥KASME、特定值和/或其他参数,生成密钥;第一发送模块,用于发送携带密钥的切换请求消息给目标eNB。 [0019] 第一单元还可以均设置于用户设备上。 [0020] 为实现上述目的,根据本发明的另一个方面,提供了一种密钥生成系统。 [0021] 根据本发明实施例的密钥生成系统,包括: [0022] 移动管理实体,用于根据EUTRAN网络的根密钥KASME、特定值0和/或其他参数,,生成密钥,并发送携带密钥的切换请求消息;用户设备,用于接收切换命令消息,并根据EUTRAN网络的根密钥KASME、特定值和/或其他参数,生成密钥。 [0023] 本发明各实施例的钥生成方法、装置和系统,因为采用特定值、KASME和/或其他参数,来输出密钥,因此,接入层的信令和/或数据能得到有效保护,加强接入层的安全性。 [0024] 进一步的,本发明各实施例的密钥生成方法、装置和系统,因为使用特定值0生成密钥,从而不需要转发给移动管理实体,因此不需要额外的信令负担。 [0025] 本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。 附图说明[0026] 附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中: [0027] 图1为根据现有技术的UE从UTRAN切换到EUTRAN的密钥生成方法流程图; [0028] 图2为根据本发明方法实施例的密钥生成方法的流程图; [0029] 图3为根据本发明方法实施例一的密钥生成方法的流程图; [0030] 图4为根据本发明方法实施例二的密钥生成方法的信令流程图; [0031] 图5为根据本发明装置实施例的密钥生成装置示意图; [0032] 图6为根据本发明装置实施例的密钥生成装置的详细结构的示意图; [0033] 图7为根据本发明系统实施例的密钥生成系统示意图。 具体实施方式[0034] 以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。 [0035] 方法实施例 [0036] 图2为根据本发明实施例的密钥生成方法的流程图。如图2所示,本实施例包括: [0037] 步骤202:MME根据EUTRAN网络的根密钥KASME、特定值0,和/或其他参数,生成密钥,并发送携带密钥的切换请求消息给目标eNB;所述特定值为移动管理实体和用户设备共同拥有的特定值,例如,移动管理实体和用户设备默认该特定值为0。 [0038] 步骤204:用户设备根据EUTRAN网络的根密钥KASME、特定值0,和/或其他参数,生成目标eNB使用的所述密钥。 [0039] 本发明实施例的密钥生成方法,可以生成EUTRAN网络接入层使用的密钥,使得接入层的信令和/或数据能得到有效保护,加强接入层的安全性。 [0040] 同时,由于本实施例使用EUTRAN网络的特定值0生成密钥,从而不需要转发给移动管理实体,因此不需要额外的信令负担。 [0041] 实施例一 [0042] 图3为根据本发明实施例一的密钥生成方法的流程图,如图3所示,本实施例示出了UE从UTRAN切换到EUTRAN的密钥生成方法的流程图,包括以下步骤: [0043] 步骤S310,MME收到由SGSN转发的来自RNC的重定向请求消息后,根据重定向请求消息生成KASME; [0044] 步骤S320,MME使用特定值0和KASME生成密钥; [0045] 步骤S330,MME生成密钥后,在切换请求消息携带该密钥并发送给目标eNB; [0046] 步骤S340,UE收到切换命令后生成KASME; [0047] 步骤S350,UE使用特定值0和KASME生成该目标eNB的密钥。 [0048] 本实施例的密钥生成方法因为采用特定值0和KASME来输出,所以克服了现有技术中在UE从UTRAN切换到EUTRAN时无法生成KeNB的问题,从而能加强安全保护。 [0049] 优选的,MME可以使用重定向请求消息中的参数生成KASME,参数包括完整性密钥(Integrity Key,简写为IK),加密密钥(Ciphering Key,简写为CK)。 [0050] 优选的,还可以进一步使用重定向请求消息中的公共陆地移动通信网标识(Public Land Mobile Network Identity,简称PLMN-ID)信息生成KASME。 [0051] 优选的,生成eNB使用的接入层的密钥之后,还包括以下步骤:eNB和UE还可以进一步根据生成的密钥,生成EUTRAN网络的加密密钥、完整性保护密钥、和/或用户面加密密钥以启动相应的安全保护。 [0052] 实施例二 [0053] 图4为根据本发明实施例二的密钥生成方法的信令流程图,本实施例示出了根据本发明优选实施例的密钥生成方法的信令流程图,其中,图4中源RNC以及源SGSN表示UE当前连接到的UMTS中的设备;目标eNB以及目标MME标识UE将要切换到的EPS中的设备。如图4所示,本实施例包括: [0054] 步骤S401,UTRAN中的源RNC决定发起切换,具体可以是根据UE发给该RNC的测量报告触发,也可以是根据其他原因由RNC发起切换决定; [0055] 步骤S402,源RNC向源SGSN发送重定向请求消息; [0056] 步骤S403,源SGSN向目标MME转发该重定向请求消息,并且同时发送IK,CK给目标MME; [0057] 步骤S404,目标MME收到重定向请求消息后,使用完整性密钥IK、加密密钥CK及其他的参数,如PLMN-ID,生成KASME; [0058] 步骤S405,目标MME使用特定值0和KASME,生成密钥K; [0059] 步骤S406,目标MME在切换请求消息中将密钥K发送给目标eNB; [0060] 步骤S407,目标eNB还可以进一步使用密钥K生成EUTRAN网络的其他密钥,如:无线资源控制加密密钥、完整性保护密钥,以及用户面加密密钥。目标eNB成功启动安全保护; [0061] 步骤S408,目标eNB向目标MME回复切换请求确认消息,表示接受切换请求; [0062] 步骤S409,目标MME收到目标eNB的切换请求确认消息后向源SGSN发送转发重定向回复消息; [0063] 步骤S410,源SGSN向源RNC发送重定向命令; [0064] 步骤S411,源RNC向UE发送UTRAN切换命令; [0065] 步骤S412,UE根据当前UTRAN的切换命令,生成KASME; [0066] 步骤S413,UE使用特定值0和KASME生成UE侧的密钥K; [0067] 步骤S414,UE进一步使用密钥K生成EUTRAN网络的其他密钥:无线资源控制加密密钥、完整性保护密钥,以及用户面加密密钥。UE成功启动安全保护; [0068] 步骤S415,UE向目标eNB发送切换完成命令消息,该切换完成命令消息可以使用EUTRAN网络的无线资源控制加密密钥进行加密以及使用完整性密钥进行完整性保护,由于目标eNB生成的无线资源控制加密密钥及完整性密钥与UE侧一致,因此,可以成功解密用户侧UE发送的切换完成命令消息。 [0069] 在上述实施例的密钥生成过程中,可以使用0和KASME和/或其他参数,作为输入参数,采用单向密钥生成函数生成,其他参数可以根据实际情况选取,本实施例为简单起见,不选用其他参数,本领域技术人员应当了解,其他参数,不限定为无,这不影响本发明实施例的实质。 [0070] 装置实施例 [0071] 图5为根据本发明实施例的密钥生成装置示意图。如图5所示,本实施例包括: [0072] 第一单元62,用于根据EUTRAN网络的根密钥KASME、特定值0和/或其他参数,生成密钥K。 [0073] 本实施例密钥生成装置与方法实施例的密钥生成过程类似,需要根据KASME和特定值0,生成EUTRAN网络接入层密钥。 [0074] 图6为根据本发明实施例的密钥生成装置的详细结构示意图。如图6所示,本实施例中第一单元72设置于MME,其中,第一单元72包括:第一密钥产生模块722,用于根据接收到的重定向请求消息生成根密钥KASME,并根据根密钥KASME及特定值0,生成密钥K;第一发送模块724,用于发送携带密钥K的切换请求消息给目标eNB。 [0075] 本实施例为图5实施例的具体化,第一单元设置于MME上,第一单元的相关功能具体可参见方法实施例的相关说明,不再进行重复说明。 [0076] 上述图5装置实施例中,第一单元也可以均设置于用户设备上,以实现用户设备侧EUTRAN网络接入层密钥的生成,不再进行举例说明。 [0077] 系统实施例 [0078] 图7为根据本发明实施例的密钥生成系统示意图。如图7所示,本实施例包括: [0079] 移动管理实体82,用于根据EUTRAN网络的根密钥KASME、特定值信息和/或其他参数,生成密钥K,并发送携带密钥K的切换请求消息; [0080] 用户设备84,用于接收切换命令消息,并根据EUTRAN网络的根密钥KASME、特定值信息和/或其他参数,生成密钥K。 [0081] 本实施例具体可参见图2-图4方法实施例的具体处理流程说明,图2-图4也可以理解为根据本发明实施例的密钥生成系统的实施例解析示意图,实现目标eNB及用户设备生成EUTRAN网络接入层使用的密钥。 [0082] 综上所述,本发明各实施例的密钥生成方法、装置和系统,采用特定值和KASME来输出密钥,使得接入层的信令和/或数据能得到有效保护,加强接入层的安全性。同时,使用的参数某特定值不需要转发给移动管理实体,因此不需要额外的信令负担。 [0083] 显然,本领域的技术人员应该明白,在上述多个实施例中特定值取值为0,也可以取其他值。 [0084] 显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。 [0085] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。 |
||||||
QQ群二维码
意见反馈
意见反馈