密钥刷新SAE/LTE系统 |
|||||||
申请号 | CN200880016329.X | 申请日 | 2008-03-18 | 公开(公告)号 | CN101720539B | 公开(公告)日 | 2015-06-03 |
申请人 | 诺基亚通信有限责任两合公司; | 发明人 | U·迈耶; G·霍恩; D·福斯伯格; | ||||
摘要 | 本 申请 描述移动通信系统中的密钥处理,其中在移动通信系统的实体之间交换第一和第二数。该第一和第二数分别相关于通信系统的相应系统参数仅使用一次。 | ||||||
权利要求 | 1.一种用于允许通信系统中的安全通信的安全性方法,所述通信系统包括作为用户设备实体的第一实体、作为移动性管理实体的第二实体和作为基站实体的第三实体,其中所述第一实体和所述第二实体共享第一密码密钥和第二密码密钥,所述第一密码密钥是永久性或半永久性密钥,所述第二密码密钥用于加密和完整性保护中的至少一个,以及所述第一实体和所述第三实体共享作为中间密钥的第三密码密钥以及可能地共享另外的密码密钥,所述第三密码密钥用于导出至少一个作为导出密钥的其它密钥,所述方法包括以下步骤: |
||||||
说明书全文 | 密钥刷新SAE/LTE系统技术领域[0001] 本发明涉及通信系统(具体为移动通信系统)中的安全性问题。更具体来说,本发明涉及新类型的移动通信系统中的密钥处理。本申请还涉及用于允许通信系统中的安全通信的安全性方法、考虑到安全通信的通信系统、SAE/LTE中的用户设备、移动性管理实体和演进的NodeB。 背景技术[0003] 协议的安全性通常使用例如加密和完整性保护的密码机制来实现。这些机制又依赖于密码密钥,并且在一些情况中,依赖于计数器或序列号,其与密码密钥和明文消息一起被置于计算通过通信链路发送的受保护消息的函数中。 [0004] 在此类公知的系统中,可能产生如下问题: [0005] 一旦与不同的消息一起使用相同的密码密钥和相同的计数器,则攻击者可能利用此情况来以如下两种方式之一破解安全性。 [0006] 1.对于完整性保护,通常根据计数器、密码密钥和明文消息来计算消息认证码(MAC)。然后将MAC追加到明文消息并通过通信链路与其一起发送。计数器可以用于检测攻击者重放先前消息的尝试,这些尝试可能导致非期望或危险的影响。当计数器和密码密钥对于两个不同的消息是相同的时,攻击者可以将这两个消息彼此替换,接收器将无法注意到这一点。 [0007] 2.对于机密性保护,常常使用所谓的密码。对于无线电链路,流密码可能是有利的,因为它们能够容易地进行错误恢复。流密码产生伪随机位流(密钥流),伪随机位流与明文消息执行异或(XOR),从而对窃听者隐匿消息。接收器能够产生相同的密钥流,从接收的消息减去,并恢复明文消息。密钥流的生成取决于计数器和密码密钥。当计数器和密码密钥相同时,仅密钥流将是相同的。但是当两个不同明文消息与相同密钥流执行异或时,攻击者在找出明文消息中拥有强大优势。 发明内容[0008] 本发明的一个目的在于为上述问题提供解决方案。优选地,应该有效率地将这种解决方案嵌入在移动通信系统的或相应的新通信系统的其他过程中。 [0009] 本发明适用于范围广泛的通信系统(例如移动通信系统),但是尤其适用于如3G TR 23.882、3G TR 25.813和3G TS 23.402中描述的SAE/LTE系统。SAE/LTE是扩展和增强UMTS的移动通信系统。在3G TR 33.821中描述了SAE/LTE的安全性方面。在3G TS33.102中描述了UMTS的安全性架构。 [0010] 特别是,上面的问题利用一种用于允许通信系统中的安全通信的安全性方法来解决,其中该通信系统包括第一实体、第二实体和第三实体。第一实体和第二实体共享第一密码密钥和第二密码密钥。以及第一实体和第三实体共享第三密码密钥,以及可能的另外的密码密钥。该方法包括将第一数从第一实体发送到第二实体的步骤。然后,将第二数从第二实体发送到第一实体。然后,至少从第一、第二或第三密码密钥之一以及第一实体和第二实体中的至少一个中的第一和第二数中的至少一个来导出第四密码密钥和可能的另外的密码密钥。 [0011] 上面的方法可以允许确保各个密码密钥和与它们结合使用的计数器(序列号)的新鲜度。上面的解决方案特别有效率并且易于嵌入在SAE/LTE中已经定义的过程中。 [0012] 而且,可以在一种适合于执行上面的方法的通信系统内解决上面的问题,其中该通信系统包括第一实体、第二实体和第三实体。第一实体和第二实体共享第一密码密钥和第二密码密钥,以及第一实体和第三实体共享第三密码密钥。第一实体适合于将第一数从第一实体发送到第二实体。第二实体适合于将第二数发送到第一实体。第一和第二实体中的至少一个适合用于从第一、第二或第三密码密钥中的至少一个以及第一和第二数中的至少一个来导出第四临时密码密钥。 [0013] 由于可以确保各个密码密钥和与这些密钥结合使用计数器的新鲜度,所以可以有利地保障上面的通信系统(可以是例如SAE/LTE系统的移动通信系统)的安全。 [0014] 上面的目的还可以通过适合于执行上面的方法的用户设备、移动性管理实体和/或演进的NodeB来解决。 [0015] 使用nonce(当前量)可以视为本发明的要点。nonce是与相关系统参数有关的仅使用一次的数。在以上的上下文中,nonce仅相关于(半)永久性密码密钥使用一次。换言之,nonce在实体之间交换。此nonce仅相关于这些实体中的至少一个中提供的永久性或(半)永久性密码密钥使用一次。 [0016] 关于SAE/LTE,本发明描述一种有关在用户设备(UE)、移动性管理实体(MME)和演进的NodeB(eNB)之间进行数据交换以便UE和MME共享一个(半)永久性(密码)密钥的方法; [0017] UE和MME共享一个或多个临时(密码)密钥; [0018] UE和eNB共享一个或多个临时(密码)密钥; [0019] 在状态转变中,UE向MME发送nonceUE。 [0020] 在状态转变中,MME向UE发送nonce MME(仅使用一次的数)。 [0022] 现在将参考附图描述并阐明本发明的进一步的示范实施例。 [0023] 图1示出根据本发明的第一示范实施例的UE、eNB和MME之间的消息交换的简化示意图。本实施例将应用于在没有AKA(认证和密钥协商协议)的情况下从空闲到活动或分离到活动的状态转变中。 [0024] 图2示出根据本发明的第二示范实施例的UE、eNB和MME之间的简化消息交换。本实施例将应用于在具有AKA(认证和密钥协商协议)的情况下从空闲到活动或分离到活动的状态转变中。 [0025] 图3示出根据本发明的第三示范实施例的UE、eNB、新MME以及老MME之间的简化消息交换。本实施例将应用于在没有AKA(认证和密钥协商协议)的情况下从空闲到空闲的状态转变中。 [0026] 图4示出根据本发明的第四示范实施例的UE、eNB、新MME以及老MME之间的消息交换。本实施例将应用于在具有AKA(认证和密钥协商协议)的情况下从空闲到空闲的状态转变中。 具体实施方式[0027] 下文中,将结合本发明的示范实施例来更详细地描述本发明。 [0028] 在SAE/LTE中,UE经由网络接入层(Network Access Stratum)(NAS)协议来与移动性管理实体(MME)通信,以及经由用户平面(UP)协议和无线电资源控制(RRC)协议来与基站(称为演进的NodeB(eNB))通信。 [0029] NAS协议和RRC协议需要机密性保护和完整性保护,而UP协议只需机密性保护,参考3G TR 33.821 v1.8.0。对于每种协议和每种保护模式,都需要单独的密码密钥和(可能的)关联的计数器。存在五种密钥KNASenc、KNASint、KRRCenc、KRRCint和KUPenc。结果是在这个上下文中第六种密钥KeNB是有用的,参考3G TR 33.821。所有这些密钥均根据UE和MME之间共享的半永久性密钥K来导出。(K在TR33.821中被称为KASME。)K由认证协议AKA的运行产生。下文将更详细地解释这些密钥的定义。 [0030] 对于上面这六个密钥的每一个,需要确保密钥或关联的计数器对应于每个新消息(或链路层帧)均发生改变。当UE处于活动状态且持续发送消息时,这不是多大的问题,因为持续地增加计数器可满足需要。但是,当UE进入空闲状态或分离且密钥被存储并重复使用时,则必须存储所有计数器值,并将它们重发到另一方。这是UE在UMTS中执行的操作,且在UMTS中是可行的,因为仅涉及两个密钥以及仅涉及一个网络实体。但是对于大量密钥和网络实体,则变得非常麻烦。而且,通过哪些协议消息将计数器值传送到网络实体以及当UE再次进入活动状态时连接到哪些网络实体并不总是明确的。因此,可能期望针对此问题的另一个解决方案。 [0031] 此解决方案必须是有效率的,以便无需六个不同的过程来确保六个(计数器,密钥)对的新鲜度。 [0032] 其基本理念是在状态转变中始终刷新密钥,则计数器可初始化为任何值(例如初始化为零),因为(计数器,密钥)对由此总是新鲜的。这意味着解决对于所有相关状态转变如何刷新密钥的问题就足够了。 [0033] GSM:在GSM中,使用链路层帧编号作为计数器。存在这些计数器的回卷(wrap-around)的风险,这些计数器相对较短。因此,在UMTS中增强了相关GSM过程,在本发明的上下文中只需考虑UMTS。 [0034] UMTS:UE端维护一个计数器,称为START。START对利用特定的密码密钥对CK、IK来保护的分组进行计数。即使当UE未处于活动状态或甚至掉电时,也必须将START存储在非易失性存储器中。当UE再次变成活动状态时,可以重复使用相同的密码密钥,所以重要的是当前计数器值START仍然可用。实际上,在UMTS中将START存储在USIM上。需要定义值THRESHOLD(阈值)来设置START的最大值。当达到THRESHOLD时,需要协商一对新的密码密钥。 [0035] UE安全地与之通信的只有一个网络实体,RNC。有一对密码密钥(CK,IK),以及有几个计数器用于几个协议(RRC、RLC、MAC-d),根据它们,以复杂的方式计算START。 [0036] 摘自3G TS 33.102: [0037] “ME和RNC将MAC-d HFN(用于加密)、RLC HFN(用于加密)和RRC HFN(用于完整性保护)的20个最高有效位初始化为对应服务域的START值;其余的位则被初始化为0。还将RRC SN(用于完整性保护)和RLC SN(用于加密)初始化为0。 [0038] 在正在进行的无线电连接期间,将ME中和SRNC中的STARTCS值定义为使用CKCS和/或IKCS保护的所有信令无线电承载和CS用户数据无线电承载的所有当前COUNT-C和COUNT-I值的最大值的20个最高有效位,按2递增,即:STARTCS′=MSB20(MAX{COUNT-C,COUNT-I|利用CKCS和IKCS保护的所有无线电承载(包括信令)})+2。 [0039] -如果当前STARTCS<STARTCS′,则STARTCS=STARTCS′,否则STARTCS不变。 [0040] 同样地,在正在进行的无线电连接期间,将ME中和SRNC中的STARTPS值定义为使用CKPS和/或IKPS保护的所有信令无线电承载和PS用户数据无线电承载的所有当前COUNT-C和COUNT-I值的最大值的20个最高有效位,按2递增,即: [0041] STARTPS′=MSB20(MAX{COUNT-C,COUNT-I|利用CKPS和IKPS保护的所有无线电承载(包括信令)})+2。 [0042] -如果当前STARTPS<STARTPS′,则STARTPS=STARTPS′,否则STARTPS不变。”[0043] 避免这些复杂的计算规则将会是有用的。 [0044] WLAN IEEE 802.11i:在握手过程中,双方制作nonce以生成会话密钥。只有一个这种密钥。对于所谓的CCMP模式,此会话密钥称为成对瞬时密钥(PTK)。只有一个协议需要保护。 [0045] 对于SAE/LTE,迄今为止没有解决方案,并且由于UMTS和WLAN中有关涉及的密钥的数量、网络实体和协议有不同的设置,所以如何延续来自UMTS或WLAN的解决方案并不简单。 [0046] 根据本发明的一个示范实施例,提供一种方法,其具有如下23个方面中的至少一个方面: [0047] 1.第一个方面有关通信系统中涉及三个实体的过程:称为UE的第一实体、称为MME的第二实体和称为eNB的第三实体,由此 [0048] -UE和MME共享一个(半)永久性(密码)密钥; [0049] -UE和MME共享一个或多个临时(密码)密钥; [0050] -UE和eNB共享一个或多个临时(密码)密钥; [0051] -在状态转变中,UE向MME发送NonceUE。 [0052] -在状态转变中,MME向UE发送NonceMME(仅使用一次的数)。 [0053] -此外,UE、MME和eNB还可以在状态转变中交换另外的nonce; [0054] -在状态转变中,UE、MME和eNB能够从(半)永久性密钥或从另一个临时密钥通过适合的密钥导出函数、交换的nonce和可能适合的附加输入来导出新的临时密钥。 [0055] 2.1.中的通信系统是如3G TR 23.882和TS 23.402中描述的SAE/LTE。 [0056] 3.1.中的三个实体UE、MME和eNB是SAE/LTE中的用户设备、移动性管理实体和演进的NodeB。 [0057] 4.1.中的状态转变是空闲到空闲、或空闲到活动、或分离到活动、或(可能的)分离到空闲状态转变,如3G TR 25.813中所述的。 [0058] 5.1.中的(半)永久性密钥是3G TR 33.821中的密钥KASME。 [0059] 6.1.中的临时密钥包括如3G TR 33.821中定义的密钥KNASenc、KNASint、KRRCenc、KRRCint、KUPenc、KeNB的集合或可以是该集合的部分。 [0060] 7.1.中的nonce可以是随机值、或不重复的计数器、或时间戳、或临时身份、或这些项的组合。 [0061] 8.在如1.中的系统中,nonce NonceUE和NonceMME可以是状态转变中在实体UE、MME和eNB之间交换的仅有的nonce。 [0062] 9.在如1.中的系统中,在如4.中的状态转变的情况下,UE和MME可以使用nonce NonceUE和NonceMME而可能无需另外的时变输入来直接从(半)永久性密钥导出新密钥KNASenc、KNASint。 [0063] 10.在如1.中的系统中,在如4.中的状态转变的情况下,UE和MME可以使用nonce NonceUE和NonceMME而可能无需另外的时变输入来直接从(半)永久性密钥导出新密钥KeNB。 [0064] 11.在如1.中的系统中,在如4.中的状态转变以及如10.中的密钥导出的情况下,UE和MME可以无需另外的时变输入而从密钥KeNB为KRRCenc、KRRCint、KUPenc中的一些或全部来导出新密钥。 [0065] 12.在如1.中的系统中,在如4.中的状态转变的情况下,UE和MME可以无需另外的时变输入而直接从(半)永久性密钥来导出新密钥KeNB。 [0066] 13.在如1.中的系统中,在如4.中的状态转变以及如12.中的密钥导出的情况下,UE和MME可以使用nonce NonceUE和NonceMME作为输入而从密钥KeNB为KRRCenc、KRRCint、KUPenc中的一些或全部来导出新密钥。 [0067] 14.在如1.中的系统中,在如4.中的状态转变以及如10.或12.中的密钥导出的情况下,UE和MME可以使用nonce NonceUE和NonceMME和/或UE与eNB之间交换的附加nonce作为输入从密钥KeNB为KRRCenc、KRRCint、KUPenc中的一些或全部来导出新密钥。 [0068] 15.在如4.中的状态转变中,UE可以在初始第3层消息中向MME发送NonceUE,如3G TR 23.882中定义的。 [0069] 16.在如4.中的状态转变中,MME可以在如3G TR 33.821中定义的安全性模式命令中向UE发送NonceMME,或在如3G TR 23.882中定义的用于空闲模式移动性的TA注册确认中向UE发送NonceMME。 [0071] 18.在如1.中的系统中,可以在导出新临时密钥之后将与临时密钥关联的所有计数器重新初始化为任意值。 [0072] 19.如18.中的计数器包括但不限于用于重放保护的序列号和确保密钥流同步的计数器。 [0073] 20.MME生成的Nonce可以完全或部分地由MME指派的临时用户身份(例如S-TMSI)组成,参考3G TR 23.882。 [0074] 21.eNB生成的Nonce可以完全或部分地由eNB指派的临时用户身份(例如C-RNTI)组成,参考3G TR 25.813。 [0076] 23.除了22.外,可以由UE在防篡改的硬件模块上,例如在UICC上的USIM应用中,执行从共享的交换的nonce和(半)永久性密钥导出临时密钥。在此情况中,对于其中导出临时密钥的每个状态转变,将该USIM存在的证明提供到网络。这样针对被操纵的终端(例如租用的终端)在移除USIM之后可能保留临时密钥或(半)永久性密钥的情况中的攻击提供保护。 [0077] 详细地来说,正如可从上面的多个方面获取的,可以实现如下的优点。当回顾其他方面时,应切记SAE/LTE是在UMTS之外演进的。因此,与UMTS比较可以显示诸多优点。有利地,利用上面的方法,无需繁琐地处理计数器START。而且,不存在为LTE将START和THRESHOLD存储在USIM上所要求的可能性,LTE的USIM没有更改,所以没有有关USIM的附加参数。而且,如果将来在LTE上实现了UMTS解决方案,则需要不同的START值,NAS、RRC、UP各对应一个。利用上面的方法和系统,通过在任何时间仅刷新密钥并将计数器复位到零或任意值来避免计数器处理的这些复杂性。 [0078] 有利地,在SAE/LTE中操作nonce是有利的,因为可以在来自任一方的仅一个nonce的交换中更新多达六个密码密钥,避免了来自UMTS已知的计数器初始化存储问题。 [0079] 而且,利用上面的方法和系统,可以针对受操纵的终端提供保护。 [0080] 此问题导致受操纵的终端(例如租用的终端)在从该终端移除USIM(通用订户身份模块)之后,例如移除租用该终端的人的USIM之后保留密钥CK和IK的情况。如果下次呼叫未由网络认证,则控制该终端的假冒者可以使用该终端上保留的CK和IK。 [0081] 在3GPP中,足够频繁地运行认证协议AKA(如TS 33.102/TR31.900中定义的)即视为足够了。在LTE中,现在提供有中间密钥,即密钥K。存在不必为LTE接入更改USIM的要求可能是成立的。但是,如果在USIM的在将来发行版中,将K存储在UICC上且不离开UICC,则可以使用如上所述的密钥刷新机制来对抗受操纵的终端线程(thread),因为此密钥刷新仅在USIM的参与下才工作。 [0082] 下文将参考如下四个示范实施例进一步详细地描述这一点: [0083] 使用如下符号表示SAE/LTE中的不同密钥: [0084] K:在AKA期间借助HSS建立的、在UE与MME之间共享的密钥。AKA是公知来自3G TS 33.102的认证和密钥协商协议。此密钥在TR 33.821中被称为KASME。它在每次AKA时改变。 [0085] KNASenc,KNASint:在MME与UE之间共享的用于NAS信令的加密和完整性保护的密钥。在每次分离到活动以及空闲到活动的转变时、在空闲模式移动性时以及在K改变的情况下被刷新。 [0086] KeNB:在UE与eNB之间共享的用于导出KRRCenc、KRRCint、KUPenc的中间密钥。在空闲到活动的转变时以及在K改变的情况下被刷新。 [0087] KRRCenc、KRRCint、KUPenc:在UE与eNB之间共享的用于RRC信令的加密和完整性保护以及用于UP业务的加密的密钥。在KeNB改变的情况下被刷新。 [0088] 下文详细描述的示例中,借助UE与网络之间交换的两个nonce(NonceUE和NonceSN)来刷新密钥。如下是在密钥导出函数(KDF)中的nonce的提议用途的一个示例: [0089] 1)KNASint=KDF(K||NonceUE||NonceSN||″NAS完整性″) [0090] 2)KNASenc=KDF(K||NonceUE||NonceSN||″NAS加密″) [0091] 3)KeNB=KDF(K||eNB Id||NonceUE||NonceSN) [0092] 4)KUPenc=KDF(KeNB||″UP加密″) [0093] 5)KRRCenc=KDF(KeNB||″RRC加密″) [0094] 6)KRRCint=KDF(KeNB||″RRC完整性″) [0096] 在下文中,有一些示例,这些示例说明可以在不同类型的状态转变期间和空闲模式移动性时,如何在UE与网络之间交换nonce对NonceUE、NonceSN: [0097] 示例1:在无AKA的情况下空闲到活动的转变以及分离到活动的转变 [0098] 在这两个类型的状态转变中,通过将NonceUE包含在从UE发送到MME的初始第3层消息中并且将NonceSN包含在从MME发送到UE的安全性模式命令消息中来刷新六个密钥KNASenc、KNASint、KeNB、KRRCenc、KRRCint、KUPenc。 [0099] 如图1所示,首先,相应的UE将nonceUE包含在发送到MME的初始第3层消息中。此前,UE向eNB发送无线电资源连接请求。然后,MME选择nonceSN,并将其包含在安全性模式中。MME从上次AKA运行期间生成的KASME和这些nonce来导出KeNB、KNASenc和KNASint。 [0100] 然后,MME将KeNB传递到eNB,并将该nonceSN包含在发送到eNB的安全性命令中。该安全性命令是利用新的NAS密钥(NAS-MAC)来进行完整性保护的。然后,eNB从接收的新鲜KeNB导出RRC和UB密钥,正如方面1.、2.和3.中所描述的。 [0101] 然后,eNB将安全性模式命令消息包含在无线电资源建立消息中。此消息是利用新的RRC完整性密钥(RRC-MAC)来进行保护。 [0102] 然后,UE从KASME和nonceUE和nonceSN导出KNASenc和KNASint、KeNB,正如上文方面1.、2.和3.中所描述的。然后,UE从新鲜KeNB导出KRRCenc、KRRCint、KUPenc,正如方面4.、5.和6.中分别描述的。 [0103] 最后,UE使用新NAS、UP和RRC完整性密钥来开始。据此,可以确保相应密钥的新鲜度。 [0104] 可以认识到,安全性模式和过程的具体形式对于上面的方法是无关紧要的。但是,应该注意MME可以将nonceSN包含在完整性模式命令消息中。在UE需要保护初始第3层消息并因此还对于网络认证自己的情况中,它可使用当前KNASint并使用下一个序列号来对该消息实现完整性保护。然后,UE需要存储用于NAS信令的SN。备选地,UE还可以取用K和nonceUE并导出新密钥KNASint,它可以使用该新密钥来对初始第3层消息实现完整性保护。除了nonce和密钥外,还可以将附加的输入参数用于密钥生成。例如,可以使用KSI。然后,此nonceUE将必须是增加的计数器,例如时间戳。 [0105] 第二个示例有关在AKA的情况下空闲或分离到活动的转变时的密钥刷新,如图2所示。 [0106] 在这两个状态转变中,通过在认证期间刷新K来刷新所有七个密钥(K、KNASenc、KNASint、KeNB、KRRCenc、KRRCint、KUPenc)。但是,因为密钥刷新过程独立于是否发生AKA的运行是有利的,所以提出以与空闲到活动的转变中相同的方式来生成和交换nonce。 [0107] 正如图2中可以见到的,在将无线电资源连接请求从UE发送到eNB之后,UE向MME发送第3层消息,与图1的示例一样,该消息包含TMSI、UE、KSI和nonceUE。 [0108] 然后,利用AKA建立新鲜的K。MME选择nonceSN并导出KeNB、KNASenc和KNASint。 [0109] MME和UE在AKA期间同意新KASME。 [0110] 然后,可以如图1所示地继续该方法,其中MME向eNB发信号通知允许的RRC algo(算法)、允许的UP algo和KeNB。eNB则选择相应的RRC algo以及选择相应的UP algo。在eNB中进行这些选择之后,eNB向MME发信号通知选定的RRC algo、UP algo。在安全性模式命令中,MME向eNB发送通知选定的UP、RRC、NAS algo、KSI、nonceSN的信号,这些受到MAC-NAS的保护。 [0111] 基于此,eNB根据KeNB导出RRC/UP密钥并开始RRC完整性过程。然后,由MAC-RRC保护的无线电资源建立以包含nonceSN的安全性模式命令来执行。 [0112] 响应于此,UE从onceUE和NC、RRC和UP密钥导出新鲜的KeNB、KNASenc、KNASint。UE验证MAC-NAS和MAC-RRC并开始RRC完整性。 [0113] 在完成那个操作之后,UE发送无线电资源建立确认(MAC-RRC),其完成安全性模式(MAC-NAS)。在接收到此确认之后,eNB向MME发送安全性模式完成消息(MAC-NAS)。 [0114] 图3示出在无AKA的情况下空闲模式移动性(即空闲到空闲的转变)时的密钥刷新。该示范实施例是基于如下假设构建的:由于空闲模式移动性,所以无需为跟踪区域(TA)注册请求建立安全RRC连接。在此情况中仅刷新NAS密钥。根据此示范实施例,UE将nonceUE包含在发送到新MME的TA注册请求中,而该新MME选择nonceSN并将其包含在注册确认消息中。此消息则已经利用刷新的NAS密钥来保护。 [0115] 如图3所示,最初,UE将包含TMSI和nonceUE的TA注册消息发送到新MME。新MME则将包含TMSI的UE上下文请求发送到老MME。老MME以包含IMSI和KASME的UE上下文消息予以响应。响应从老MME接收的此消息,新MME选择nonceSN并从来自UE的TA注册消息中接收的nonceUE以及新MME中选择的nonceSN来导出新鲜的KNASenc和KNASint密钥。然后,从新MME,确认注册。此消息包含nonceSN和具有新密钥的MAC-NAS。在接收到此消息之后,UE根据从新MME接收的nonceSN和nonceUE导出新鲜的KNASenc和KNASint密钥。 [0116] 简言之,UE将nonceUE包含在发送到新MME的TA注册请求中。然后,新MME从老MME请求包含TMSI的UE上下文。然后,老MME将包含TMSI和KASME的UE上下文发送到新MME。可选地,UE和新MME可以借助AKA同意新鲜的KASME,例如下文参照图4描述的。新MME可选择新nonceSN并可在KNASenc、KNASint密钥导出,如上文方面1.和2.中描述的。 [0117] 新MME然后可以向UE发送确认注册消息,其中包含nonceSN。此消息已经得到新NAS完整性的保护。现在,UE可以如上文方面1.和2.中描述的导出新鲜的KNASenc和KNASint密钥。 [0118] 在UE需要保护初始第3层消息并因此还对于网络认证自己的情况中,它可以使用当前KNASint并使用下一个序列号来对该消息进行完整性保护。然后,UE需要为NAS信令存储SN。另一个选择可以是使UE取用K和nonceUE并导出新密钥KNASint,它可以使用该新密钥来对初始第3层消息进行完整性保护。对于此密钥生成,还可以使用另外的输入参数,例如TMSI。 [0119] 下文中,将参照图4描述具有AKA的情况下的空闲模式移动的密钥刷新。在此第四个示范实施例中,如果在空闲模式移动时,新MME请求新的AKA,则刷新K和NAS密钥。在AKA期间密钥K被刷新,并且使用无AKA情况下的空闲模式移动中交换的nonce以及新的K来刷新KNASenc和KNASint,如上文方面1.和2.中描述的。 [0120] 正如可从图4中见到的,UE开始于将包含TMSI和nonceUE的TA注册发送到新MME。然后,新MME将包含TMSI的该UE上下文请求发送到老MME,老MME则通过将包含IMSI和KASME的UE上下文消息发送到新MME来予以响应,然后新MME开始AKA,其中UE和新MME同意新的K密钥。然后,该方法如参照图3所描述的继续进行。 [0121] 根据一个示范实施例,在空闲到活动的转变时,可以为KRRCenc和KRRCint、KUPenc密钥直接使用nonceSN和nonceUE作为密钥生成函数的输入,而不间接使用KeNB。在此情况中,MME将必须将两个nonce都传递到eNB,例如,在包含KeNB的消息中。 [0122] 而且,根据另一个示范实施例,在空闲到活动的转变时,可以在eNB与UE之间交换附加的nonce对。UE可以将nonce包含在RRC连接请求中,以及eNB可以将nonce包含在RRC建立消息中。 [0123] 根据另外的示范实施例,可以将C-RNTI作为nonceSN或nonceSN的部分来实现。还可以使用S-TMSI作为nonceSN或nonceSN的部分。 [0124] 根据又一个示范实施例,nonce不需要是随机数,只需确保在具有相同KASME之前未使用过该nonce。因此,nonce可以始终是相应站点(site)中维护的计数器。该计数器可以对消息或链路层帧或分组或状态转变的次数或任何其他单元的数量进行计数。在此方面中,甚至可以使用例如UMTS中定义的START(参考3G TS 33.102)的计数器的使用作为nonceUE。 [0125] 在本发明的另一个示范实施例中,如果在空闲模式移动之前基于TA注册建立了RRC连接,则可以将nonceUE包含在RRC请求中,而非TA注册消息中。eNB将因而必须将nonceUE传递到MME。 [0126] 上文引用的3GPP技术规范和技术报告可以在ftp://ftp.3GPP/org/specs/html_info/下找到。 [0127] 在http://standards.ieee.org/getieee802/download/802.11i 2004.pdf可找到所引用的IEEE 802.11规范。 [0128] 应该注意,上文中具体参考SAE/LTE系统和方法来描述本发明。但是,应该注意,本发明还可以扩展到其他移动通信系统,甚至扩展到一般的通信系统。 |