密钥身份标识符的生成方法和系统的制作方法

专利名称：密钥身份标识符的生成方法和系统的制作方法
技术领域：
本发明涉及移动通信领域，具体而言，涉及一种用于UE( User Equipment, 用户设备)从演进的陆地无线接入网(Evolved UMTS Terrestrial Radio Access Network,简称EUTRAN )转移到通用陆地无线接入网(Universal Terrestrial Radio Access Network ， 筒称UTRAN )或从EUTRAN 转移到 GERAN(GSM/EDGE Radio Access Network,全球移动通讯系统或增强型数据 速率GSM演进无线接入网)时，密钥身份标识符的生成方法和系统。
背景技术：
3GPP演进的分组系统(EPS, Evolved Packet System)由演进的陆地无线 接入网EUTRAN和EPS核心网(EPC, Evolved Packet Core)組成。
其中，EPC包含移动管理单元(MME， mobility management entity),移 动管理单元负责移动性的管理，非接入层信令的处理，以及用户安全it式的 管理等控制面相关工作。其中，MME保存EUTRAN的根密钥KASME (Key Access Security Management Entity,接入安全管理实体密钥)，并且使用KASME 和上行NAS SQN (非接入层序列号)生成供eNB (evolved Node B,演进的 基站)使用的接入层的根密钥KeNB (Key eNB,演进的基站密钥)。接入安 全管理实体密钥标识符(KASME Key Set identifier for Access Security Management Entity )KSUsME是密钥KASME的身份标识符(或者叫密钥序列号)， 长度为3个比特位，用于网络与UE之间对密钥的识别和检索。当UE和网
络建立连接时，可以通过KSlASME通知对方使用先前已经存储的指定密钥，
从而建立安全上下文，避免每次连接都要进行认证和密钥协商(AKA, Authentication and Key Association)，节省网络资源。当密钥由于生存期结束 或其它原因需要删除时，UE将KSIasme设为"111"。
其中，EUTRAN中，基站设备为演进的基站(eNB, evolvedNode-B )，主要负责无线通信、无线通信管理、和移动性上下文的管理。
3GPP (第三代合作伙伴计划)UMTS (通用移动通信系统)系统中负责 分组域移动性上下文的管理、和/或用户安全模式的管理的设备是SGSN (Serving GPRS Support Node,服务GPRS支持节点)。SGSN还负责UMTS 的无线接入网UTRAN部分的认证和安全管理，并保存包括IK (Integrity Key ， 完整性密钥)，CK (CipheringKey,加密密钥)的密钥集。该密钥集的身份 标识符为KSI (Key Set identifier,密钥集标识符)，其作用和使用方法类似 于EPS中的KSIasme，都是用于UE和网络之间对密钥的识别和检索，长度也 为3个比特位。当KSI等于"111"时，表示没有可以使用的密钥，KSI无效。 当UE和SGSN需要协商建立UMTS安全连接时，如果UE已经储存有可以 使用的密钥时，UE将储存的KSI发给SGSN， SGSN验证存储的KSI是否与 UE存储的KSI相同，如果一致，则采用存储的密钥组协商建立安全上下文， 并将KSI发回UE确认其使用的密钥。如果UE没有存储有用的密钥，则将 KSI置为"111"，然后发给SGSN， SGSN检查到KSI为"lll"后，向HLR/HSS 发送认证请求消息，UE和网络重新作AKA，产生新的密钥组。
GSM/EDGE系统负责分组域移动性上下文的管理、和/或用户安全模式的 管理的设备也是SGSN， SGSN负责GSM/EDGE无线接入网(GERAN， GSM/EDGE Radio Access Network)部分的认证和安全管理，并存有GERAN 加密密钥Kc (Ciphering key) ， Kc的身份标识符为CKSN (Ciphering key sequence Number,加密密钥序列号)，作用和-使用方法同KSI—样。
当UE从EUTRAN转移(mobility)到UTRAN时，MME将用KASME为 目标网络生成密钥CK、 IK,并发给SGSN， UE和SGSN使用CK、 IK，并 协商相应安全算法，建立了 UTRAN安全上下文，其中转移包括RRC (Radio Resource Control,无线资源控制)处于激活(Active)状态的转移，和UE处 于空闲(Idle)状态的转移两种类型，激活状态下的转移包括切换等，空闲状 态下的转移包括路由区更新、附着请求等。
当UE从EUTRAN转移到GERAN时，MME用KAs她产生CK， IK (同 转移到UMTS时，密钥产生方法一样)，然后将IK、 CK发给SGSN。 SGSN 使用工K、 CK生成GERAN密钥Kc。在现有技术中，无论是KSlASME、 KSI还是CKSN，都是在认证过程中由 网络侧生成，然后通过认证请求发给UE。然而在EUTRAN到UTRAN或 GERAN转移过程中，虽然MME为目标网络生成了 UTRAN或GERAN所需 的IK、 CK,但这对密钥没有相应的身份标识符，造成一旦转移结束后，UE 和SGSN将无法检索到转移时生成的密钥，也无法重新使用这对密钥。当UE 和网络要重新建立RRC或其它连接时，由于无法使用这些存储的密钥，不得 不先进行AKA，重新产生新的密钥，然后才建立无线连接。这无疑会增加网 络和UE的信令开销，推迟了 UE与网络的正常通信时间，造成用户使用满意 度变差。

发明内容
本发明要解决的技术问题是提供一种UE在不同接入系统之间转移时， 密钥身份标识符的生成方法和系统，解决现有才支术中在UE从EUTRAN转移 到UTRAN或GERAN后，由于转移过程中产生的由KASME映射过来的密钥 无身份标识符而导致无法被重新使用问题。
为了解决上述技术问题，本发明提供了 一种密钥身份标识符生成方法， 包括用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时，移 动管理实体和用户设备使用接入安全管理实体密钥的身份标识符映射生成所 迷通用陆地无线接入网系统密钥集的身份标识符，移动管理实体将所述系统 密钥集的身份标识符同系统的加密密钥及完整性密钥一起发给服务GPRS支 持节点。
进一步的，上述方法还可具有以下特点，所述映射生成的方式为用户 设备和移动管理实体直接令所述通用陆地无线接入网系统密钥集的身份标识 符等于接入安全管理实体密钥的身份标识符，或令所述通用陆地无线接入网 系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符与用户设 备和网络侧约定的 一 常数之和。
进一步的，上述方法还可具有以下特点，所述用户设备空闲状态下从演 进的陆地无线接入网转移到通用陆地无线接入网时，所述移动管理实体收到 上下文请求或鉴别请求消息后，使用接入安全管理实体密钥生成完整性密钥、加密密钥，使用接入安全管理实体密钥的身份标识符映射生成所述完整性密 钥、加密密钥的身份标识符即密钥集标识符，将所述完整性密钥、加密密钥
和所述密钥集标识符通过上下文响应或鉴别响应消息发送给所述服务GPRS 支持节点，所述服务GPRS支持节点保存所述加密密钥、完整性密钥和密钥 集标识符。
进一步的，上述方法还可具有以下特点，所述用户设备决定空闲转移到 通用陆地无线接入网后，在用户设备相应发送路由区更新完成或附着完成消 息给服务GPRS支持节点之前，所述用户设备使用接入安全管理实体密钥的 身份标识符映射生成密钥集标识符，将密钥集标识符和由接入安全管理实体 密钥生成的完整性密钥、加密密钥一起保存。
进一步的，上述方法还可具有以下特点，所述用户设备在无线资源控制 激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时，所述移 动管理实体在收到切换请求后，使用接入安全管理实体密钥生成完整性密钥、 加密密钥，使用接入安全管理实体密钥的身份标识符映射生成所述完整性密 钥、加密密钥的身^f分标识符即密钥集标识符，通过转发重定向请求消息将所 述加密密钥和完整性密钥及密钥集标识符一起发送给服务GPRS支持节点， 所述GPRS支持节点保存所述加密密钥、完整性密钥和所述密钥集标识符； 所述用户设备收到网络侧发送的切换命令后使用接入安全管理实体密钥的身 份标识符映射生成密钥集标识符，将密钥集标识符和由接入安全管理实体密 钥生成的完整性密钥、加密密钥一起保存。
进一步的，上述方法还可具有以下特点，如果所述用户设备转移前和网 络侧协商好密钥，且转移前协商好的密钥的身份标识符和转移过程中由所述 接入安全管理实体密钥的身份标识符映射生成的所述系统密钥的身份标识符 一样，删除转移前服务GPRS支持节点和用户设备中保存的该密钥。
本发明还提出一种密钥身份标识符生成方法，包括用户设备从演进的 陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线 4姿入网时，
移动管理实体使用接入安全管理实体密钥的身份标识符映射生成加密密 钥和完整性密钥的身份标识符；移动管理实体将所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS支持节点；
服务GPRS支持节点将所述加密密钥和完整性密钥的身份标识符的值赋 给所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密 钥的身^f分标识符，即加密密钥序列号；
用户设备使用接入安全管理实体密钥标识符映射生成所述全球移动通讯 系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符。
进一步的，上述方法还可具有以下特点，所述映射生成的方式为移动 管理实体直接令加密密钥和完整性密钥的身份标识符等于接入安全管理实体 密钥的身份标识符，或令加密密钥和完整性密钥的身份标识符等于接入安全 管理实体密钥的身份标识符与网络侧和用户设备约定的一常数之和；用户设 备直接令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密 密钥身份标识符等于接入安全管理实体密钥的身份标识符，或令全球移动通 讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符等于 接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之 和。
进一步的，上述方法还可具有以下特点，所述用户设备空闲状态下从演 进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率GSM演进 无线接入网时，所述移动管理实体在收到上下文请求或鉴别请求消息后，生 成完整性密钥、加密密钥和及其身份标识符，通过上下文响应或鉴别响应消 息发送给所述服务GPRS支持节点。
进一步的，上述方法还可具有以下特点，所述用户设备决定空闲转移到 全球移动通讯系统或增强型数据速率GSM演进无线接入网后，在用户设备相 应发送路由区更新完成或附着完成消息给服务GPRS支持节点之前，所述用 户设备使用接入安全管理实体密钥的身份标识符映射生成全球移动通讯系统 或增强型数据速率GSM演进无线接入网的加密密钥身份标识符，将全球移动 通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符和 由接入安全管理实体密钥生成的全球移动通讯系统或增强型数据速率GSM 演进无线接入网的加密密钥一起保存。
进一步的，上述方法还可具有以下特点，所述用户设备在无线资源控制动管理实体在收到切换请求后，生成加密密钥、完整性密钥和及其身份标识 符，通过转发重定向请求消息将所述加密密钥、完整性密钥及其身份标识符
发送给服务GPRS支持节点；所述用户设备收到网络侧发送的切换命令后， 生成所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密 密钥及其身份标识符。
进一步的，上述方法还可具有以下特点，如果所述用户设备转移前和网 络侧协商好密钥，且转移前协商好的密钥其身份标识符和转移过程中映射生 成的所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密 密钥的身份标识符一样，删除转移前服务GPRS支持节点和用户设备中保存 的该密钥。
本发明提出一种密钥生成系统，包含用户设备、移动管理实体和服务 GPRS支持节点，其中，
所述用户设备，用于当用户设备从演进的陆地无线接入网转移到通用陆 地无线接入网时，将接入安全管理实体密钥的身份标识符映射为所述通用陆 地无线接入网的系统密钥集的身份识别符；
所述移动管理单元，用于当用户设备从演进的陆地无线接入网转移到通 用陆地无线接入网时，将接入安全管理实体密钥的身份标识符映射为所述通 用陆地无线接入网的系统密钥集的身份识别符，发送给所述服务GPRS支持 节点；
所述映射方式为，用户设备和移动管理实体直接令系统密钥集的身份标 识符等于接入安全管理实体密钥的身份标识符，或令系统密钥集的身份标识 符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常 数之和o
进一步的，上述系统还可具有以下特点，所述用户设备包含
第一密钥身份标识符映射单元，用于映射生成完整性密钥、加密密钥的 身份标识符，将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身 份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身4分标识符；第一密钥及其身份标识符存储单元，用于保存加密密钥、完整性密钥和第一密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符； 所述移动管理实体包含第二密钥身份标识符映射单元，用于生成完整性密钥、加密密钥的身份 标识符，将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标 识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标 识符；安全参数发送单元，用于发送加密密钥、完整性密钥和第二密钥标识符 映射单元生成的加密密钥、完整性密钥的身份标识符至服务GRPS支持节点；所述服务GPRS支持节点包含安全参数接收单元，用于接收移动管理实体发送的加密密钥、完整性密 钥及其身份标识符；第三密钥及其身份标识符存储单元，用于存储接收到的加密密钥、完整 性密钥及其身份标识符。本发明还提出一种密钥生成系统，包含用户设备、移动管理实体和服务 GPRS支持节点，其中所述用户设备，用于当用户设备从演进的陆地无线接入网转移到全球移 动通讯系统或增强型数据速率GSM演进无线接入网时，使用接入安全管理实 体密钥标识符映射生成全球移动通讯系统或增强型数据速率GSM演进无线 接入网的加密密钥的身份标识符；所述移动管理实体，用于当用户设备从演进的陆地无线接入网转移到全 球移动通讯系统或增强型数据速率GSM演进无线接入网时，使用接入安全管 理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符；将 所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS支持节点；所述服务GPRS支持节点，用于接收所述移动管理实体发送的加密密钥、 完整性密钥及其身份标识符，将所述加密密钥、完整性密钥的身份标识符的值赋给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符；所述映射生成的方式为移动管理实体直接令加密密钥和完整性密钥的 身份标识符等于接入安全管理实体密钥的身份标识符，或令力。密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符与网络侧和用户设备约定的一常数之和；用户设备直接令全球移动通讯系统或增强型数据 速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密 钥的身份标识符，或令全球移动通讯系统或增强型数据速率GSM演进无线接 入网的加密密钥身份标识符等于接入安全管理实体密钥的身4分标识符与用户 设备和网络侧约定的一常数之和。进一步的，上述系统还可具有以下特点， 所述用户设备包含第一密钥身份标识符映射单元，用于将演进的陆地无线接入网的根密钥 接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给全球移 动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符；第一密钥及其身份标识符存储单元，用于保存全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥及其身份标识符； 所述移动管理实体还包含第二密钥身份标识符映射单元，用于生成所述加密密钥、完整性密钥的 身份标识符，将接入安全管理实体密钥的身份标识符的值或将其加上一常数 后映射给完整性密钥、加密密钥的身份标识符；安全参数发送单元，用于发送加密密钥、完整性密钥和第二密钥标识符 映射单元生成的加密密钥、完整性密钥的身份标识符至服务GRPS支持节点；所述服务GPRS支持节点还包含安全参数接收单元，用于接收移动管理实体发送的加密密钥、完整性密 钥及其身份标识符；第三密钥身份标识符映射单元，用于将加密密钥、完整性密钥及其身份标识符的值赋给全球移动通讯系统或增强型数据速率GSM演进无线接入网 的加密密钥的身份标识符；第三密钥及其身份标识符存储单元，用于存储全球移动通讯系统或增强 型数据速率GSM演进无线接入网的加密密钥及其身份标识符。上述密钥集标识符生成方法和系统通过将KSIasme映射为KSI或CKSN， 同时保证KSI/CKSN值与原先存储的密钥身份标识符的值不出现重码，解决 了现有技术中在UE从EUTRAN转移到UTRAN/GERAN时，由于映射过来 的密钥无身份标识符而无法重新被使用的问题。


图1为本发明从EUTRAN转移到UTRAN时密钥集标识符生成方法具体 实现示意图。图2为本发明所述方法的第一实施例的实现信令流程图。图3为本发明所述方法的第二实施例的实现信令流程图。图4为本发明所述方法的第三实施例的实现信令流程图。图5为本发明从EUTRAN转移到GERAN时密钥集标识符生成方法具体 实现示意图。图6为本发明所述方法的第四实施例的实现流程图。图7为本发明所述方法的第五实施例的实现信令流程图。图8为本发明所述方法的第六实施例的实现信令流程图。
具体实施方式
为了能够重新使用由kasme转换过来的密钥，减少UE和网络的交互信令，在转移过程中需要为密钥生成身份标识符，本发明提供了一种UE从 EUTRAN转移到UTRAN/GERAN时，密钥集标识符的生成方法和系统。下面将参考附图并结合实施例，来详细说明本发明。图1为本发明UE从EUTRAN转移到UTRAN时密钥集标识符生成方法 具体实现示意图，包括Al、 MME收到请求消息后，将KSlASME映射为KSI,即将KSIasme的但 赋给KSI: KSI=KSIASME,然后通过MME和SGSN之间的交互消息将KSI和 由Kasme生成的IK、 CK 一起发给SGSN;A2、 SGSN收到MME发过来的KSI和IK、 CK后，将KSI和IK、 CK 一起保存；SGSN发送KSI映射完成的消息；A3、UE将KSIasme映射为KSI,即将KSUsme的值赋给KSI: KSI=KSIASME, 并将KSI和由KASME生成的IK、 CK 一起保存。进一步，UE和MME也可以令KSI等于KSIasme与一常数之和；常数由 UE和网络约定，其中，KSUsME与常数之和不能为"111",如果正好为111 时，可按照UE与SGSN的约定进行改变，比如置为下一个值"000"，也可 以是其它值所述服务GPRS支持节点与用户设备约定映射方式及常数。如果转移前UE和网络侧SGSN已经协商好密钥，如果转移前协商好的 密钥的身份标识符KSI的值与转移过程中由KSIasme映射生成的KSI的值一 样，则转移前SGSN和UE中保存的该密钥将纟皮删除。图2为本发明所述方法的第一实施例，该实施例为EUTRAN空闲状态下 转移到UTRAN时，密钥身份标识符的生成方法流程，包括以下步骤步骤S201， UE决定空闲转移到UTRAN,发空闲转移到UTRAN的请求 消息至SGSN，请求消息可以为路由区更新请求，或附着请求；步骤S202， SGSN收到UE发过来的空闲转移到UTRAN请求消息后， 向MME发请求消息，请求消息对应收到转移请求消息类型，为相应的上下 文请求或鉴别请求；步骤S203， MME收到SGSN发过来的请求消息后，将KSIASME的值 赋给KSI,即KSI=KSIasme,并使用kasme产生CK、 IK;步骤S204、 MME发上下文响应或鉴别响应消息，将CK、 IK和KSI —起发给SGSN;步骤S205， SGSN收到MME发过来的KSI和CK、 IK后，将KSI和CK、 IK一起保存；步骤S206， SGSN向UE发空闲转移到UTRAN接受消息(为对应的路 由区更新接受或附着接受消息)，通知UE网络侧密钥身份标识符已经映射 成功；步骤S207, UE将KSlASME的值赋给KSI，即KSIASME=KS1，将KSI和由 Kasme生成的IK、 CK一起保存；步骤S208, UE向SGSN发发空闲转移到UTRAN完成消息(为对应的 路由区更新完成或附着完成消息)。图3为本发明所述方法的第二实施例，该实施例为EUTRAN空闲转移到 UTRAN时，密钥身〗分标识符的生成方法流程，包括以下步骤步骤S301, UE决定空闲转移到UTRAN ，将KS1ASME的值赋给KSI，即 KSIASME=KSI，将KSI和由Kasme生成的IK、 CK一起保存；步骤S302, UE决定空闲转移到UTRAN，发空闲转移到UTRAN的请求 消息至SGSN，请求消息可以为路由区更新请求，或附着请求；步骤S303, SGSN收到UE发过来的空闲转移到UTRAN请求消息后， 向MME发请求消息，请求消息对应收到转移请求消息类型，为相应的上下 文请求或鉴别请求；步骤S304, MME收到SGSN发过来的请求消息后，将KSIasme的但 赋给KSI,即KSI=KSIasme，并使用kasme产生CK、 IK;步骤S305， MME发上下文响应或鉴别响应消息，将CK、 IK和KSI — 起发给SGSN;步骤S306， SGSN收到MME发过来的KSI和CK、 IK后，将KSI和CK、 IK 一起保存；步骤S307, SGSN向UE发空闲转移到UTRAN接受消息(为对应的路由区更新接受或附着接受消息)，通知UE网络侧密钥身份标识符已经映射 成功步骤S308， UE向SGSN发空闲转移到UTRAN完成消息(为对应的路 由区更新完成或附着完成消息)。图4为本发明所述方法的第三实施例，该实施例为在RRC激活状态下的 转移，即从EUTRAN切换到UTRAN时，密钥身份标识符的生成方法流程， 包4套以下步骤步骤S401 ，源eNB决定发起切换；可以是根据UE发给该eNB的测量报告触发，也可以是根据其他的一些 原因由eNB决定发起转移。步骤S402,源eNB向源MME发切换请求；步骤S403，源MME收到切换请求后，将KSIASME的值赋给KSI，即 KSI-KSIasme,并使用Kasme生成IK、 CK;步骤S404,源MME向目标SGSN发转发重定向请求，将KSI和IK、 CK传给目标SGSN;步骤S405， SGSN将KSI和IK、 CK一起保存；步骤S406,目标SGSN向源MME发转发重定向响应消息，通知MME, 目标网络已经做好切换准备；步骤S407 ，源MME向源eNB发切换命令；步骤S408 ，源eNB向UE发EUTRAN切换命令；步骤S409， UE收到该切换命令后，将KSIasme的值赋给KSI，即 KSI-KSIasme,并使用Kasme生成IK、 CK，然后将KSI和CK、 IK一起保存；步骤S410， UE向目标RNC (无线网络控制器)发切换成功消息，通知 网络KSI生成成功。图5为本发明所述的从EUTRAN转移到GERAN时密钥集标识符生成方法具体实现示意图，包括Bl 、 MME收到相关请求消息后，将KSUsme映射为KSI,即将KSIASME 的值赋给KSI: KSI=KSIASME,然后通过MME和SGSN之间的交互消息将 KS1和由KASME生成的IK、 CK 一起发给SGSN;B2、 SGSN收到MME发过来的KSI和IK、 CK后，将KSI的值赋给CKSN， 即CKSN-KSI，将CKSN和由IK、 CK生成的Kc 一起保存；然后SGSN发 送CKSN映射完成的消息。B3、 UE将KSIasme映射为CKSN,即将KSIASME的值赋给CKSN: CKSN-KSIasme ，并将CKSN和由KASME生成的Kc 一起保存；UE也可以令CKSN等于KSIasme与一常数之和，MME也可以令KSI等 于KSIasme与一常数之和，常数由UE和网络约定，其中，KSIasme与常数之 和不能为"111"，如果正好为111时，可按照UE与SGSN的约定进行改变， 比如置为下一个值"000"，也可以是其它值。上述方法中如果转移前UE和网络侧SGSN已经协商好密钥，如果该密 钥的身^f分标识符CKSN的值与转移过程中KSIasme特映射生成的CKSN的值 一样，则UE和SGSN将转移前保存的密钥删除。图6为本发明所述方法的第四实施例，该实施例为EUTRAN空闲转移到 GERAN时，密钥身^f分标识符的生成方法流程，包括以下步骤步骤S601，UE决定空闲转移到GERAN，向SGSN发空闲转移到GERAN 的请求消息，请求消息可以为路由区更新请求，或附着请求；步骤S602, SGSN收到UE发过来的空闲转移到GERAN请求消息后， 向MME发请求消息，请求消息对应收到转移请求消息类型，为相应的上下 文请求或鉴别请求；步骤S603, MME收到SGSN发过来的请求消息后，将KSIasme的僅 赋给KSI,即KSI=KSIasme,并使用kasme产生CK、 IK;步骤S604、 MME发送上下文响应或鉴别响应消息至SGNS,消息中携 带CK、 IK和KSI;步骤S605， SGSN收到MME发过来的KSI和CK、 IK后，将KSI的值 赋给CKSN，并将CKSN和CK、 IK生成的Kc一起保存；
步骤S606, SGSN向UE发空闲转移到UTRAN接受消息(为对应的路 由区更新接受或附着接受消息)，通知UE网络侧密钥身份标识符已经映射 成功；
步骤S607, UE将KSIasme的值赋给CKSN，即CKSN=KSIASME，将CKSN 和由KASME生成的Kc 一起保存；
步骤S608, UE向SGSN发空闲转移到UTRAN完成消息(路由区更新 完成或附着完成消息)。
图7为本发明所述方法的第五实施例，该实施例为EUTRAN空闲转移到 GERAN时，密钥身^f分标识符的生成方法流程，包括以下步骤
步骤S701 ， UE决定空闲转移到GERAN ,将KSIASME的值赋给CKSN， 即CKSN=KSIASME,将CKSN和由Kasme生成的Kc 一起保存；
步骤S702, UE决定空闲转移到GERAN，发空闲转移到GERAN的请 求消息，请求消息可以为路由区更新请求，或附着请求；
步骤S703, SGSN收到UE发过来的空闲转移到GERAN请求消息后， 向MME发请求消息，请求消息对应收到转移请求消息类型，为相应的上下 文请求或鉴别请求；
步骤S704， MME收到SGSN发过来的请求消息后，将KSUsme的但 赋给KSI，即KSI=KSIASME,并使用kasme产生CK、 IK;
步骤S705、 MME发上下文响应或鉴别响应消息，在消息中携带CK、 IK 和KSI —起发给SGSN;
步骤S706， SGSN收到MME发过来的KSI和CK、 IK后，将KSI的值 赋给CKSN,并将CKSN和由CK、 IK生成的Kc一起保存；
步骤S707, SGSN向UE发空闲转移到GERAN接受消息(为对应的路 由区更新接受或附着接受消息)，通知UE网络侧密钥身份标识符已经映射 成功；步骤S708, UE向SGSN发空闲转移到UTRAN完成消息(路由区更新 完成或附着完成消息)。
图8为本发明所述方法的第六实施例，该实施例为在RRC激活状态下的 转移，即从EUTRAN切换到GERAN时，密钥身份标识符的生成方法流程， 包括以下步骤
步骤S801，源eNB决定发起切换。可以是根据UE发给该eNB的测量 报告触发，也可以是根据其他的一些原因由eNB决定发起转移。
步骤S802 ，源eNB向源MME发切换请求；
步骤S803,源MME收到切换请求后，将KSIasme的值赋给KSI，即 KSI=KSIASME ,并使用Kasme生成IK、 CK;
步骤S804，源MME向目标SGSN发转发重定向请求，将KSI和IK、 CK传给目标SGSN;
步骤S805, SGSN将KSI的值赋给CKSN，即CKSN=KSI,并将CKSN 和由1K、 CK生成的Kc一起保存；
步骤S806,目标SGSN向源MME发转发重定向响应消息，通知MME， 目标网络已经做好切换准备；
步骤S807,源MME向源eNB发切换命令；
步骤S808，源eNB向UE发EUTRAN切换命令；
步骤S809, UE收到该切换命令后，将KSIasme的值赋给CKSN，即 CKSN=KSIASME，并使用KASME生成Kc，然后将CKSN和Kc 一起保存；
步骤S810, l正发向目标RNC或BSS切换成功消息，通知网络CKSN 映射成功。
上述六个实施例中，UE和MME也可以令目标系统的密钥身份识别符等 于KSIasme与一常数之和；常数由UE和网络约定，其中，KSIasme与常数之 和不能为"111",如果正好为111时，可按照UE与SGSN的约定进行改变， 比如置为下一个值"000"，也可以是其它值本发明提供一种密钥生成系统，包含用户设备、移动管理实体和服务
GPRS支持节点，其中，
UE用于当UE从EUTRAN转移到UTRAN时，将KSIASME映射为UTRAN 的系统密钥的身《分识别符；
MME,用于当UE从EUTRAN转移到UTRAN时，将KSIASME映射为 UTRAN的系统密钥的身份识别符，发送给SGSN;
所述映射方式为，UE和MME直接令系统密钥的身份标识符等于 KSIasme,或令系统密钥的身份标识符等于KSUsME与一用户设备和网络侧约 定的常数之和。
进一步地，所述用户设备包含
第一密钥身份标识符映射单元，用于生成IK、 CK的身份标识符KSI， 将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符 KSlASME的值或将其加上一约定的常数后映射给KSI;
第一密钥及其身^f分标识符存储单元，用于保存UTRAN的系统密钥即IK、 CK和第一密钥标识符映射单元生成的系统密钥的身份标识符KSI;
消息接收单元，用于接收网络侧发过来的密钥身份标识符映射完成消息；
消息发送单元，用于发送请求消息至网络。
所述移动管理实体还包含
第二密钥身份标识符映射单元，用于生成所述密钥IK、 CK的身份标识 符KSI，将KSIasme的值或将其加上一约定的常数后映射给KSI;
安全参数发送单元，用于发送系统密钥IK、 CK和第二密钥标识符映射 单元生成的系统密钥的身份标识符KSI至服务GRPS支持节点；
请求消息接收单元，用于接收密钥身份标识符映射请求； 所述服务GPRS支持节点还包含安全参数接收单元，用于接收移动管理实体发送的密钥IK、 CK及其身
份标识符KSI;
第三密钥及其身份标识符存储单元，用于存储接收到的密钥IK、 CK及 其身份标识符KSI;
消息发送单元，用于通知UE网络侧身份标识符生成完成消息。
上述密钥集标识符生成方法和系统因为釆用EUTRAN网络中的KSIasme 的值映射为的UTRAN网络的KSI的值，同时保证KSI与原先存储的密钥序 列号不出现重码。解决了现有技术中在UE从EUTRAN转移到UTRAN时， 由于映射过来的IK、 CK无身份标识符而无法重新被使用的问题。
本发明还提供一种密钥生成系统，包含用户设备、移动管理实体和服务 GPRS支持节点，其中
所述用户设备，用于当用户设备从EUTRAN转移到GERAN时，使用接 入安全管理实体密钥标识符映射生成GERAN的加密密钥Kc的身份标识符 CKSN;
所述移动管理实体，用于当用户设备从EUTRAN转移到GERAN时，使 用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身 份标识符；将所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS 支持节点；
所述服务GPRS支持节点，用于接收所述移动管理实体发送的加密密钥、 完整性密钥及其身份标识符，将所述身份标识符的值赋给GERAN的加密密 钥Kc的身〗分标识符CKSN。
进一步地，所述用户设备包含
第一密钥身份标识符映射单元，用于生成Kc的身份标识符CKSN，将演 进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符KSIasme 的值或将其加上一约定的常数后映射给CKSN;
第一密钥及其身^/分标识符存储单元，用于保存第一密钥生成单元生成的密钥Kc和第一密钥标识符映射单元生成的密钥的身^f分标识符CKSN;
消息接收单元，用于接收网络侧发过来的密钥身份标识符映射完成消息； 消息发送单元，用于发送请求消息通知网络作密钥身^f分标识符映射。
所述移动管理实体还包含
第二密钥身份标识符映射单元，用于生成所述密钥IK、 CK的身份标识 符KSI，将KSIasme的值或将其加上一约定的常数后映射给KSI;
安全参数发送单元，用于发送密钥IK、 CK和第二密钥标识符映射单元 生成的IK、 CK的身份标识符KSI至服务GRPS支持节点；
请求消息接收单元，用于接收密钥身份标识符映射请求； 所述服务GPRS支持节点还包含
安全参数接收单元，用于接收移动管理实体发送的密钥IK、 CK及其身 份标识符KSI;
第三密钥身份标识符映射单元，用于将KSI的值赋给CKSN; 第三密钥及其身份标识符存储单元，用于存储密钥Kc及其身份标识符 CKSN。
消息发送单元，用于通知UE网络侧身份标识符生成完成消息。
上述实施例的密钥集标识符生成方法和系统因为采用KSUsme的值映射 为CKSN的值，同时保证CKSN和SGSN原先存储的密钥序列号不出现重码， 所以解决了现有技术中在UE从EUTRAN转移到UTRAN或GERAN时，由 于KASME映射过来的IK、 CK或Kc无身份标识符而无法被重新使用的问题， 从而使IK、 CK或Kc能够在转移结束后，重新被使用，减少UE和网络的交 互信令，提高用户使用网络的满意度。
显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可 以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程 序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或 者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制 作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软 件结合。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本 领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和 原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护 范围之内。
权利要求
1、一种密钥身份标识符生成方法，包括用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时，移动管理实体和用户设备使用接入安全管理实体密钥的身份标识符映射生成所述通用陆地无线接入网系统密钥集的身份标识符，移动管理实体将所述系统密钥集的身份标识符同系统的加密密钥及完整性密钥一起发给服务GPRS支持节点。
2、 如权利要求l所述的方法，其特征在于，所述映射生成的方式为 用户设备和移动管理实体直接令所述通用陆地无线接入网系统密钥集的身份 标识符等于接入安全管理实体密钥的身份标识符，或令所述通用陆地无线接 入网系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符与用 户设备和网络侧约定的 一 常数之和。
3、 如权利要求1或2所述的方法，其特征在于，所述用户设备空闲 状态下从演进的陆地无线接入网转移到通用陆地无线接入网时，所述移动管 理实体收到上下文请求或鉴别请求消息后，使用接入安全管理实体密钥生成完整性密钥、加密密钥，使用接入安全管理实体密钥的身份标识符映射生成 所迷完整性密钥、加密密钥的身份标识符即密钥集标识符，将所迷完整性密 钥、加密密钥和所述密钥集标识符通过上下文响应或鉴别响应消息发送给所 迷月良务GPRS支持节点，所述服务GPRS支持节点保存所述加密密钥、完整 性密钥和密钥集标识符。
4、 如权利要求1或2所述的方法，其特征在于，所述用户设备决定 空闲转移到通用陆地无线接入网后，在用户设备相应发送路由区更新完成或 附着完成消息给服务GPRS支持节点之前，所述用户设备使用接入安全管理 实体密钥的身份标识符映射生成密钥集标识符，将密钥集标识符和由接入安 全管理实体密钥生成的完整性密钥、加密密钥一起保存。
5、 如权利要求1或2所述的方法，其特征在于，所述用户设备在无 线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网 时，所述移动管理实体在收到切换请求后，使用接入安全管理实体密钥生成 完整性密钥、加密密钥，使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身4分标识符即密钥集标识符，通过转发重定向 请求消息将所述加密密钥和完整性密钥及密钥集标识符一起发送给服务GPRS支持节点，所述GPRS支持节点保存所述加密密钥、完整性密钥和所 述密钥集标识符；所述用户设备收到网络侧发送的切换命令后使用接入安全 管理实体密钥的身份标识符映射生成密钥集标识符，将密钥集标识符和由接 入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
6、 如权利要求1或2所述的方法，其特征在于，如果所述用户设备 转移前和网络侧协商好密钥，且转移前协商好的密钥的身份标识符和转移过 程中由所述接入安全管理实体密钥的身份标识符映射生成的所述系统密钥的 身份标识符一样，删除转移前服务GPRS支持节点和用户设备中保存的该密钥。
7、 一种密钥身份标识符生成方法，包括用户设备从演进的陆地无 线接入网转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网 时，移动管理实体使用接入安全管理实体密钥的身份标识符映射生成加密密 钥和完整性密钥的身份标识符；移动管理实体将所述加密密钥和完整性密钥 及其身份标识符一起发给服务GPRS支持节点；服务GPRS支持节点将所述加密密钥和完整性密钥的身份标识符的值赋 给所述全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密 钥的身份标识符，即加密密钥序列号；用户设备使用接入安全管理实体密钥标识符映射生成所述全球移动通讯 系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符。
8、 如权利要求7所述的方法，其特征在于，所述映射生成的方式为 移动管理实体直接令加密密钥和完整性密钥的身份标识符等于接入安全管理 实体密钥的身份标识符，或令加密密钥和完整性密钥的身份标识符等于接入 安全管理实体密钥的身份标识符与网络侧和用户设备约定的一常数之和；用 户设备直接令全球移动通讯系统或增强型数据速率GSM演进无线接入网的 加密密钥身份标识符等于接入安全管理实体密钥的身份标识符，或令全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识符 等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。
9、 如权利要求7或8所述的方法，其特征在于，所述用户设备空闲 状态下从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网时，所述移动管理实体在收到上下文请求或鉴别请求消 息后，生成完整性密钥、加密密钥和及其身份标识符，通过上下文响应或鉴 别响应消息发送给所述服务GPRS支持节点。
10、 如权利要求7或8所述的方法，其特征在于，所述用户设备决定 空闲转移到全球移动通讯系统或增强型数据速率GSM演进无线接入网后， 在用户设备相应发送路由区更新完成或附着完成消息给服务GPRS支持节点 之前，所述用户设备使用接入安全管理实体密钥的身份标识符映射生成全球 移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥身份标识 符，将全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密 钥身份标识符和由接入安全管理实体密钥生成的全球移动通讯系统或增强型 数据速率GSM演进无线接入网的加密密钥一起保存。
11、 如权利要求7或8所述的方法，其特征在于，所述用户设备在无 线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网 时，所述移动管理实体在收到切换请求后，生成加密密钥、完整性密钥和及 其身份标识符，通过转发重定向请求消息将所述加密密钥、完整性密钥及其 身4分标识符发送给服务GPRS支持节点；所述用户设备收到网络侧发送的切 换命令后，生成所述全球移动通讯系统或增强型数据速率GSM演进无线接 入网的加密密钥及其身份标识符。
12、 如权利要求7或8所述的方法，其特征在于，如果所述用户设备 转移前和网络侧协商好密钥，且转移前协商好的密钥其身份标识符和转移过 程中映射生成的所述全球移动通讯系统或增强型数据速率GSM演进无线接 入网的加密密钥的身份标识符一样，删除转移前服务GPRS支持节点和用户 设备中保存的该密钥。
13、 一种密钥生成系统，其特征在于，包含用户设备、移动管理实体和服务GPRS支持节点，其特征在于，所述用户设备，用于当用户设备从演进的陆地无线接入网转移到通用陆 地无线接入网时，将接入安全管理实体密钥的身份标识符映射为所述通用陆 地无线接入网的系统密钥集的身份识别符；所述移动管理单元，用于当用户设备从演进的陆地无线接入网转移到通 用陆地无线接入网时，将接入安全管理实体密钥的身份标识符映射为所述通 用陆地无线接入网的系统密钥集的身份识别符，发送给所述服务GPRS支持 节点；所述映射方式为，用户设备和移动管理实体直接令系统密钥集的身份标 识符等于接入安全管理实体密钥的身份标识符，或令系统密钥集的身份标识 符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常 数之和0
14、 如权利要求13所述的系统，其特征在于， 所述用户设备包含第一密钥身^^标识符映射单元，用于映射生成完整性密钥、加密密钥的 身份标识符，将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身 份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身 份标识符；第一密钥及其身^^标识符存储单元，用于保存加密密钥、完整性密钥和 第一密钥标识符映射单元生成的加密密钥、完整性密钥的身^H示识符；所述移动管理实体包含第二密钥身份标识符映射单元，用于生成完整性密钥、加密密钥的身份 标识符，将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标 识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标 识符；安全参数发送单元，用于发送加密密钥、完整性密钥和第二密钥标识符 映射单元生成的加密密钥、完整性密钥的身份标识符至服务GRPS支持节点；所述服务GPRS支持节点包含安全参数接收单元，用于接收移动管理实体发送的加密密钥、完整性密 钥及其身份标识符；第三密钥及其身份标识符存储单元，用于存储接收到的加密密钥、完整 性密钥及其身份标识符。
15、 一种密钥生成系统，其特征在于，包含用户设备、移动管理实体 和服务GPRS支持节点，其特征在于，所述用户设备，用于当用户设备从演进的陆地无线接入网转移到全球移 动通讯系统或增强型数据速率GSM演进无线接入网时，使用接入安全管理实 体密钥标识符映射生成全球移动通讯系统或增强型数据速率GSM演进无线 接入网的加密密钥的身份标识符；所述移动管理实体，用于当用户设备从演进的陆地无线接入网转移到全 球移动通讯系统或增强型数据速率GSM演进无线接入网时，使用接入安全管 理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符；将 所述加密密钥和完整性密钥及其身份标识符一起发给服务GPRS支持节点；所述服务GPRS支持节点，用于接收所述移动管理实体发送的加密密钥、 完整性密钥及其身份标识符，将所述加密密钥、完整性密钥的身份标识符的 值赋给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密 钥的身^分标识符；所述映射生成的方式为移动管理实体直接令加密密钥和完整性密钥的 身份标识符等于接入安全管理实体密钥的身份标识符，或令加密密钥和完整 性密钥的身份标识符等于接入安全管理实体密钥的身份标识符与网络侧和用 户设备约定的一常数之和；用户设备直接令全球移动通讯系统或增强型数据 速率GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密 钥的身份标识符，或令全球移动通讯系统或增强型数据速率GSM演进无线接 入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符与用户 设备和网络侧约定的 一常数之和。
16、 如权利要求15所述的系统，其特征在于，所述用户设备包含第一密钥身份标识符映射单元，用于将演进的陆地无线接入网的根密钥 接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给全球移动通讯系统或增强型数据速率GSM演进无线接入网的加密密钥的身份标识符；第 一密钥及其身份标识符存储单元，用于保存全球移动通讯系统或增强 型数据速率GSM演进无线接入网的加密密钥及其身份标识符；所述移动管理实体还包含第二密钥身份标识符映射单元，用于生成所述加密密钥、完整性密钥的 身份标识符，将接入安全管理实体密钥的身份标识符的值或将其加上一常数 后映射给完整性密钥、加密密钥的身份标识符；安全参数发送单元，用于发送加密密钥、完整性密钥和第二密钥标识符 映射单元生成的加密密钥、完整性密钥的身份标识符至服务GRPS支持节点；所述服务GPRS支持节点还包含安全参数接收单元，用于接收移动管理实体发送的加密密钥、完整性密 钥及其身份标识符；第三密钥身份标识符映射单元，用于将加密密钥、完整性密钥及其身份 标识符的值赋给全球移动通讯系统或增强型数据速率GSM演进无线接入网 的加密密钥的身份标识符；第三密钥及其身^f分标识符存储单元，用于存储全球移动通讯系统或增强 型数据速率GSM演进无线接入网的加密密钥及其身份标识符。
全文摘要
本发明提供了一种密钥身份标识符生成方法，包括用户设备UE从演进的陆地无线接入网EUTRAN转移到UTRAN通用陆地无线接入网或全球移动通讯系统或增强型数据速率GSM演进无线接入网GERAN时，UE使用接入安全管理实体密钥的身份标识符映射生成转移后的系统密钥的身份标识符，移动管理实体使用接入安全管理实体密钥的身份标识符映射生成加密密钥及完整性密钥的身份标识符，将其发给服务GPRS支持节点SGSN，当用户设备从EUTRAN转移到UTRAN时，SGSN保存该加密密钥、完整性密钥及其身份标识符，当用户设备从EUTRAN转移到GERAN时，SGSN将加密密钥、完整性密钥的身份标识符的值赋给GERAN的加密密钥的身份标识符。
文档编号H04Q7/38GK101299666SQ20081010047
公开日2008年11月5日 申请日期2008年6月16日 优先权日2008年6月16日
发明者张旭武, 庆 黄 申请人:中兴通讯股份有限公司