专利名称:一种获取安全密钥的方法
技术领域:
本发明涉及移动通信技术,特别涉及一种获取安全密钥的方法。
背景技术:
在当前的移动通信系统中,为了向用户群提供更好的业务服务,经常需要针对该特定用户群将多个无线资源管理实体(即无线接入网络中管理无线资源、负责用户设备接入的网络实体,比如各种移动通信系统中的基站或者小区)组成一个闭合用户组 (CSG)——比如,一个公司或学校内部的所有用户即是一个特定的用户群,针对该用户群将多个无线资源管理实体组成一个闭合用户组,来提供专门的接入服务。针对一个特定的用户群将多个无线资源管理实体组成闭合用户组的情况在移动通信系统中是普遍存在的。为了更加清楚地说明该情况,下面以系统结构演进(SAE)的长期演进(LTE)系统为例进行说明。
图1是LTE系统的结构示意图,如图中所示,LTE系统的无线接入网络中,无线资源管理实体包括宏基站(eNB)和家用基站(HeNB),并可选地包括家用基站网关(HeNB GW)。 eNB可以与核心网络中的移动管理实体(MME)直接相连,当无线资源管理实体中包括了 HeNB GW时,HeNB需要通过HeNB GW与MME相连;而当无线资源管理实体中不包括HeNB Gff 时,HeNB则可以与MME直接相连。对于LTE系统中的无线资源管理实体,为了提供更加丰富的接入服务,以HeNB为例,现有技术中提供了多种类型的HeNB:包括开放型、混合型和闭合用户组型。其中,开放型HeNB没有特定接入的用户群,任意用户设备(UE)都可以接入;闭合用户组型HeNB就是以上介绍一个公司或学校内部的所有用户组成的用户组所使用的HeNB,闭合用户组型 HeNB只允许其服务的特定用户群中的用户设备(为便于描述,以下将特定用户群中的用户设备简称为CSG用户设备)接入;混合型HeNB则既与其他HeNB组成了闭合用户组,允许其服务的CSG用户设备接入,以便于针对该CSG用户设备提供更加优质的接入服务,同时也可以允许其他非CSG用户设备(不属于该CSG的用户设备)接入。由以上描述可以看出,在现有的移动通信系统中,对于无线资源管理实体,不仅可以由多个无线资源管理实体组成闭合用户组,提供闭合用户组型的无线资源管理实体,如闭合用户组型HeNB,而且为了提供更加丰富的接入服务,还可以提供混合型的无线资源管理实体,如混合型的HeNB。同时,宏基站也可以支持CSG的功能,或者在支持CSG功能时当作混合型eNB来使用。在现有技术下,UE在HeNB之间(或者eNB之间)移动时,都是通过Sl切换过程来实现的,如图2所示,容易理解,以下省略了一些本领域技术人员熟知的可选的过程描述, 所述Sl切换过程主要包括步骤201 源HeNB发送切换需求消息给HeNB Gff ;步骤202 =HeNB Gff发送切换需求消息给MME ;步骤203 =MME发送切换请求消息给HeNB Gff, HeNB Gff发送切换请求消息给目的HeNB ;步骤204 目的HeNB分配资源,发送切换请求确认消息给HeNB Gff ;HeNB Gff发送切换请求确认消息给MME;步骤205 :MME发送切换命令消息给HeNB Gff ;HeNB GW发送切换命令消息给源 HeNB ;步骤206 源HeNB发送切换命令给UE ;步骤207 =UE同步到目的小区,发送切换确认消息给目的HeNB ;步骤208 目的HeNB发送切换通知消息给HeNB Gff, HeNB Gff发送切换通知消息给 MME ;步骤209 =MME发送修改承载请求消息给服务网关(S-GW)/分组数据网网关(PDN GW),此处省略了 S-GW和PDN GW之间的信令流程;其中,S-GW主要提供用户平面的功能。 PDN Gff负责计费、合法监听等功能。根据UE上下文信息,如果PDN Gff请求了 UE汇报位置和或者用户CSG信息,MME在所述消息中包含UE位置和用户CSG信息元素。步骤210: S-GW/PDN Gff发送修改承载响应消息给MME ;步骤211 =UE发起TAU过程;步骤212 :MME发送UE上下文释放命令消息给HeNB Gff5HeNB GW发送UE上下文释放命令消息给源HeNB ;步骤213 源HeNB发送UE上下文释放完成消息给HeNB Gff5HeNB Gff发送UE上下文释放完成消息给MME。需要说明的是,所述源HeNB即为图2中的S_ (H) eNB,目的HeNB即为图2中的 T-(H) eNB,使用所述符号的原因在于上述流程同样可以应用于UE在eNB之间移动时的Sl 切换,因此S-eNB表示源eNB,T-eNB表示目的eNB ;而S-HeNB表示源HeNB,T-HeNB则表示目的eNB。可以发现,当HeNB (或eNB)数目较多时,如果采用上述切换方法,每一次UE在 HeNB或eNB之间的切换都需要通过Sl切换的话,无疑会给核心网带来非常重的负担,特别是会降低UE在同一个HeNB GW下切换时的效率。在这种情况下,如果UE的切换过程终止于网关,则能够大大降低所述切换给核心网造成的负担,但是当前标准下的通信协议并未提出支持切换过程终止于网关的具体方案,另一方面,现有标准的安全机制也无法支持切换过程终止于网关。E-UTRAN中的加密安全级别结构如图3所示,其中K是存在于通用用户识别模块(USIM)上的通用继承电路卡上的和认证中心(AuC) 上的永久密钥(key)。加密密钥CK和完整性保护密钥IK是在AKA (认证和密钥达成协议)过程中在AuC 和USIM上产生的一对密钥。CK和IK的处理在进化的分组业务(EPS)和遗留(legacy)的安全上下文中不同。接入安全实体密钥Kasme是AKA结束后在UE和MME产生的中间的密钥。UE和MME再进一步根据Kassie产生NAS层加密(KNASen。)和完整性保护(KNASint)的密钥。演进基站密钥KeNB是ME和MME或者ME和eNB导出的密钥。
NH是ME和MME产生的用于前向安全的密钥。根据Kdffi进一步导出空口接入层用户平面加密的密钥Kup■,控制平面加密的密钥 KEECenc和控制平面完整性保护的密钥KKKant。切换时key产生的原理如图4所示。初始的KeNB是根据Kasme以及NAS上行数 (uplink COUNT)计算的。当UE和eNB需要建立初始的接入层(AS)安全上下文的时候,MME 和UE导出KeNB和下一跳NH。KeNB和NH是根据Kasme推导出来的。下一跳的链数NCC是和每一个KeNB和NH关联的。每一个KeNB是和导出该KeNB的NH对应的NCC关联的。初始的时候, KeNB直接从Kasme推导出来,所以Kdffi和一个虚拟的NH关联,对于的NCC是0。在初始建立的时候,导出的NH和NCC 1关联。eNB收到初始上下文建立请求的时候初始化NCC为0。切换的时候,UE和目的eNB之间使用的演进基站密钥是根据当前演进基站密钥或者NH导出的(为了便于区分UE和源基站间使用的演进基站密钥、以及UE和目的基站间使用的演进基站密钥,下文中将前者记为ΚεΝΒ,而将后者记为ΚεΝΒ*),其中,根据当前ΚεΝΒ导出的方法称为横向key产生机制,而根据NH导出的方法则称为纵向key产生机制。根据Kdffi或 NH产生KeNB*时需要绑定目的小区的物理小区标识(PCI)和频率(EARFCN-DL)。可见,现有技术中对于当前NH的计算只有在UE和MME才能够进行,而网关并不具备计算当前NH的能力,从而如果切换过程终止于网关时,网关就无法获得当前NH,从而使通信面临巨大的安全隐患,因此,在切换过程终止于网关时保证安全密钥链的工作是现有技术所没有解决的问题。
发明内容
本发明提供了一种获取安全密钥的方法,能够在切换过程终止于网关时保证安全密钥链的工作。为达到上述目的,本发明的技术方案具体是这样实现的一种获取安全密钥的方法,包括核心网络中的移动管理实体认证和安全过程结束后发送接入安全实体密钥Kasme 给网关;网关根据Kasme计算下一跳NH。该方法进一步包括网关收到基站发来的切换消息,所述切换消息为切换需求消息或路径切换请求消息;网关计算得到新的NH,并发送新的NH和对应的下一跳的链数NCC给基站。该方法进一步包括移动管理实体发送更新的Kasme和演进基站密钥K·给网关;网关保存所述更新的Kasme和KeNB,并将所述更新的KeNB发送给HeNB。移动性管理实体将Kasme和Kdffi通过初始上下文建立请求消息或用户设备上下文修改请求消息发送给网关。当用户设备在源基站和目的基站间切换时,该方法进一步包括网关发送当前最新的NH和NCC给核心网络中的移动管理实体;核心网络中的移动管理实体根据收到的NH计算新的NH,并将所述新的NH和对应的NCC发给目的基站。所述网关通过切换需求消息将当前最新的NH和NCC发送给核心网络中的移动管理实体。当用户设备由源网关移动到目的网关或目的基站时,该方法进一步包括源网关发送KASME、当前最新的NH和NCC给目的网关或者目的基站;目的网关或者目的基站发送当前最新的NH和NCC给核心网络中的移动管理实体;核心网络中的移动管理实体根据收到的所述当前最新的NH计算新的NH。所述源网关通过X2接口的切换请求消息把KASME、当前最新的NH和NCC发送给目的网关或者目的基站。所述目的网关通过Sl接口的路径切换请求消息把当前最新的NH和NCC发送给核心网络中的移动管理实体。一种获取安全密钥的方法,该方法包括源基站发送切换需求消息给网关,所述消息包含源基站计算的演进基站密钥ΚεΝΒ* 和下一跳的链数NCC;网关发送切换请求消息给目的基站,所述消息包含K·*和对应的NCC ;目的基站把ΚεΝΒ*用于和用户设备之间新的加密。由上述的技术方案可见,本发明实施例提供的获取安全密钥的方法给出了切换过程终止于HeNB Gff时保证安全密钥链工作的方法,使得切换过程终止于HeNB Gff时密钥信息不会丢失,从而减少了切换过程对核心网的影响,提高了 UE切换的效率。
图1为现有技术中LTE系统的结构示意图;图2为现有技术中UE在HeNB和HeNB之间移动的切换过程示意图;图3为现有技术中E-UTRAN中加密安全级别结构的示意图;图4为现有技术中切换时key产生的原理示意图;图5为本发明实施例中网关有推导密钥的功能并从MME得到相应安全信息的实施例的流程示意图;图6为本发明实施例中网关有推导密钥的功能并从MME得到更新的相应安全信息的实施例的流程示意图;图7为本发明实施例中网关有推导密钥的功能并支持切换过程的实施例一的流程示意图;图8为本发明实施例中网关有推导密钥的功能并支持切换过程的实施例二的流程示意图;图9为本发明实施例中UE移出所述HeNB GW移动到其他HeNB GW或者宏基站时如何保证密钥链工作的实施例一的流程示意图;图10为本发明实施例中UE移出所述HeNB GW移动到其他HeNB GW或者宏基站时如何保证密钥链工作的实施例二的流程示意图;图11为本发明实施例中支持切换过程终止于网关解决安全问题的方法二的实施例一的流程示意图;图12为本发明实施例中支持切换过程终止于网关解决安全问题的方法二的实施例二的流程示意图;图13为本发明实施例中支持切换过程终止于网关解决安全问题的方法三的流程示意图;图14为本发明实施例中基站指示基站类型给核心网的方法的流程示意图。
具体实施例方式为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例, 对本发明进一步详细说明。本发明的实施例中以现有的HeNB架构为例来描述如果支持UE在HeNB之间移动时切换信令终止于HeNB GW时解决安全问题的方法。当宏基站通过网关(GW)接入MME,或者其它无线资源管理实体通过GW接入核心网时,本发明中的方法同样适用。在本发明中,如果没有特殊说明,HeNB和HeNB Gff之间用的是Sl接口即SlAP协议,HeNB之间用的是X2接口即X2AP协议。本发明的方法一在图5到图10的实施例中说明。图5是网关有推导密钥的功能并从MME得到相应安全信息的实施例。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。步骤501,UE发送非接入层(NAS)消息例如连接(Attach)或者业务请求给HeNB。步骤502,HeNB通过SlAP (Si接入协议)消息初始UE消息发送NAS消息给HeNB GW,如果UE接入的小区是闭合用户组型或者混合型,所述消息中包含CSG标识(ID)。HeNB Gff发送SlAP消息初始UE消息给MME,如果UE接入的小区是闭合用户组型或者混合型,所述消息中包含CSG ID。步骤503,可选的,执行认证/安全过程。何时执行安全过程与现有技术相同(请参考TS23. 401),这里忽略详细的技术说明。步骤504,MME判断下行节点是HeNB GW。MME判断下行节点是HeNBGW的方法包括方法一,MME根据下行节点的实体的标识,例如eNB标识,HeNB标识或者HeNB Gff 标识的编码可以区分出实体类型,例如eNB标识以00开始,HeNB标识以01开始,HeNB Gff 标识从10开始。方法二,在Sl建立过程中,MME从所述下行节点收到Sl建立请求消息中包含支持的TA列表,HeNB Gff支持特定的TA列表,根据该特定的TA列表,MME知道下行节点是HeNB GW。方法三,在Sl建立过程中,HeNB Gff发送给MME的Sl建立消息中包含基站类型指示,指示下行节点是HeNB GW。详细描述见图14。方法四,在步骤302HeNB Gff发送给MME的初始UE消息中包含基站类型指示,指示下行节点是HeNB GW。该指示还可以用于指示下行节点是HeNB,或者宏基站。MME判断下行节点是HeNB Gff的方法可以是上述任意方法但是不限于这些方法。 可是其他实现的方法而不影响该发明的主要内容。
该步骤是可选步骤。步骤505,MME发送初始上下文建立请求消息给HeNB Gff,所述消息中包含信息元
素 Kasme ‘ KeNBo步骤506,HeNB Gff按照现有的方法计算NH并保存到UE上下文中。HeNB Gff保存
Kasme,^emo步骤507,HeNB GW发送初始上下文建立请求消息给HeNB。所述消息中包含信息
兀素KeNBo步骤508,HeNB建立和UE之间的无线承载。步骤509,HeNB发送初始上下文建立响应消息给HeNB GW。步骤510,HeNB Gff发送初始上下文建立响应消息给MME。图6是网关有推导密钥的功能并从MME得到更新的相应安全信息的实施例。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。步骤601,网络和UE之间执行了重新认证过程。步骤602,MME发送UE上下文修改请求消息给HeNB Gff,所述消息中包含KASME,KeNB。 HeNB Gff 保存更新的 Kasme,KeNB。步骤603,HeNB Gff发送UE上下文修改请求消息给HeNB。所述消息中包含更新的
KeNB0步骤604,HeNB发送UE上下文修改响应消息给HeNB GW。步骤605,HeNB Gff发送UE上下文修改响应消息给MME。步骤606,HeNB Gff根据新的Kasme和KeNB计算NH。NCC的相应更新和现有技术一样。其中,步骤606和步骤603没有绝对的先后顺序。图7是网关有推导密钥的功能并支持切换过程的实施例一。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。如果目的小区是闭合用户组型的,UE切换到目的小区的过程中需要对UE进行接入控制,来判断UE是否可以接入目的小区,如果不可以接入目的小区,切换过程失败。如果目的小区是混合行的,需要判断UE是否是目的小区的成员还是非成员,目的小区可能会根据是成员还是和非成员提供不同的服务质量保证(QoS)。执行接入控制的实体,根据目的小区的CSG标识是否在UE的可以接入的CSG列表中来进行。接入控制可以在源HeNB,HeNB GW或者目的HeNB来做。或者如果源小区和目的小区在同一 CSG,可以省略接入控制,因为接入控制不是本发明的重点,下面忽略了对接入控制方法的详细描述。步骤701,源HeNB发送切换需求消息给HeNB GW。所述切换需求消息中包含UE是否目的小区的成员的指示信息,即UE是目的小区的签约成员还是非签约成员。当该指示信息存在时,HeNB Gff在步骤702中把UE是否成员的信息通知目的HeNB。目的HeNB可能会根据UE是否是成员的信息提供不同的QoS。所述指示信息是可选的信息元素。例如,如果切换过程终止于HeNB GW只适用于UE在同一个HeNB GW,同一个CSG标识内部(相同CSG 标识的闭合用户组,或者相同CSG标识的混合型小区的HeNB)移动的场景,这种情况下HeNB GW不需要有接入控制功能,HeNB GW把从源端收到的成员指示发给目的即可。
步骤702,HeNB Gff决定切换过程终止于HeNB GW。如何决定切换过程终止于HeNB GW不是本发明的重点,这里忽略详细的技术说明。HeNBGW内部增加它保存的NCC的值,并根据保存的数据计算出一个新的NH。NH的计算方法与现有技术相同(请参照TS33.401)。步骤703,HeNB Gff发送切换请求消息给目的HeNB,所述消息包含新计算的NH和当前的NCC值(上述内部增加1后的值)。步骤704,目的HeNB用切换请求消息中的NH和NCC对,目的小区的PCI和目的小区的频率EARFCN-D来计算和UE间使用的KeNB,如何计算KeNB是现有技术,这里忽略详细的计算说明。目的HeNB关联收到的NCC和KeNB。目的HeNB把收到的NH和NCC对中的NCC放到给UE的切换命令消息中,并删除旧的无用的NH和NCC对。目的HeNB发送切换请求确认消息给HeNB GW。步骤705,HeNB Gff发送切换命令(也可以叫RRC连接重新配置,以下相同)消息给源HeNB。步骤706,源HeNB发送切换命令消息给UE。步骤707,UE发送切换确认(也可以叫RRC连接重新配置完成,以下相同)消息给目的HeNB。步骤708,目的HeNB发送切换通知消息给HeNB GW。步骤709,HeNB Gff发送UE上下文释放命令消息给源HeNB。步骤710,源HeNB发送UE上下文释放完成消息给HeNB GW。图8是网关有推导密钥的功能并支持切换过程的实施例二。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。同图8中描述的一样,接入控制可以在源HeNB,HeNB GW或者目的HeNB来做。或者如果源小区和目的小区在同一 CSG, 可以省略接入控制,因为接入控制不是本发明的重点,下面忽略了对接入控制方法的详细描述。步骤801,源HeNB发送切换请求消息给目的HeNB。可选的,所述消息包含目的小区的CSG标识。可选的,所述消息包含UE可以接入的CSG标识列表。步骤802,目的HeNB分配资源,发送切换请求确认消息给源HeNB。步骤803,源HeNB发送切换命令消息给UE。步骤804,UE发送切换确认消息给目的HeNB。 步骤805,目的HeNB发送路径切换请求消息给HeNB GW。步骤806,HeNB Gff内部增加它保存的NCC的值,并用Kasme和内部保存的NH作为输入来计算出一个新的NH。NH的计算方法与现有技术相同(请参照TS33.401)。步骤807,HeNB GW发送路径切换请求确认给目的HeNB。在所述消息中包含新计算的NH,NCC0目的HeNB保存收到的NH和NCC对为了下一次的切换,并删除其他存在的NH 禾口 NCC对。步骤808,目的HeNB发送资源释放消息给源HeNB。图9是UE移出所述HeNB GW移动到其他HeNB GW或者宏基站时如何保证密钥链工作的实施例一。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。因为接入控制不是本发明的重点,下面忽略了对接入控制方法的详细描述。步骤901,源HeNB发送切换需求消息给HeNB GW。
步骤902,HeNB GW发送切换需求消息给MME,所述消息中包含当前的NH,NCC0 HeNB Gff把key的推导功能交回MME。步骤903,MME增加收到的NCC的值,MME根据Kasme和新收到的NH计算新的NH。具体算法与现有技术相同。步骤904,MME发送切换请求消息给目的HeNB GW/eNB。所述消息中包含新计算的 NH, NCC0步骤905,如果是移动到其它HeNB GW下的HeNB。目的HeNB GW发送切换请求消息给 目的HeNB,所述消息包含从MME收到的NH,NCC。目的eNB/HeNB用切换请求消息中的NH和NCC对,目的小区的PCI和目的小区的频率EARFCN-D来计算和UE间使用的KeNB,如何计算KeNB是现有技术,这里忽略详细的计算说明。目的HeNB关联收到的NCC和KeNB。目的HeNB把收到的NH和NCC对中的NCC放到给 UE的切换命令消息中,并删除旧的无用的NH和NCC对。目的HeNB发送切换请求确认消息给HeNB GW。步骤906,目的HeNB GW/eNB发送切换请求确认消息给MME。步骤907,MME发送切换命令消息给源HeNB GW。源HeNB Gff发送切换命令消息给源 HeNB。步骤908,源HeNB发送切换命令消息给UE。步骤909,UE发送切换确认消息给目的eNB。如果UE切换到其他HeNBGW下的HeNB。 UE发送切换确认消息给目的HeNB。目的HeNB发送切换确认消息给目的HeNB GW。步骤910,目的eNB/HeNB Gff发送切换通知消息给MME。步骤911,MME发送UE上下文释放命令消息给源HeNB Gff步骤912,源HeNB Gff发送UE上下文释放命令消息给源HeNB。步骤913,源HeNB发送UE上下文释放完成消息给源HeNB GW。步骤914,源HeNB GW发送UE上下文释放完成给MME。图10是UE移出所述HeNB Gff移动到其他HeNB Gff或者宏基站时如何保证密钥链工作的实施例二。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。与图10类似,因为接入控制不是本发明的重点,下面忽略了对接入控制方法的详细描述。步骤1001,源HeNB发送切换需求消息给HeNB GW。步骤1002,源HeNB Gff发送X2AP切换请求消息给目的eNB/HeNBGW。所述消息包含HeNB Gff当前保存的NH,NCC。所述消息包含Kasme。所述消息包含KeNB*。目的eNB用KeNB* 作为和UE之间新的加密密钥。步骤1003,如果UE移动到其他HeNB Gff下的HeNB。目的HeNB Gff增加收到的NCC 的值,目的HeNB GW根据Kasme和新收到的NH计算新的NH。具体算法与现有技术相同。目的 HeNB Gff发送SlAP切换请求消息给目的HeNB。所述消息包含新计算的NH,NCC0目的HeNB 如何利用NH和NCC对与现有技术相同。目的HeNB分配资源,发送切换请求确认消息给目的 HeNB Gff0步骤1004,目的eNB/HeNB Gff发送X2AP切换请求确认消息给源HeNBGW。步骤1005,源HeNB Gff发送切换命令消息给源HeNB。
步骤1006,源HeNB发送切换命令消息给UE。步骤1007,UE发送切换确认消息给目的eNB。如果UE切换到其他HeNBGW下的 HeNB。UE发送切换确认消息给目的HeNB。目的HeNB发送切换确认消息给目的HeNB GW。步骤1008,目的eNB/HeNB Gff发送路径切换请求消息给MME。所述消息包含当前 NH, NCC0 HeNB GW把key的推导功能交回MME。步骤1009,MME增加收到的NCC的值,MME根据Kasme和新收到的NH计算新的NH。 具体算法与现有技术相同。步骤1010,MME发送路径切换请求确认消息给目的eNB/HeNB GW。所述消息包含新计算的NH,NCC。步骤1011,目的eNB/HeNB Gff发送X2AP资源释放消息给源HeNBGW。步骤1012,源HeNB Gff发送UE上下文释放命令消息给源HeNB。步骤1013,源HeNB发送UE上下文释放完成消息给源HeNB GW。本发明的方法二在图11到图12的实施例中说明。图11是支持切换过程终止于网关解决安全问题的方法二的实施例一。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。步骤1101,源HeNB做出切换决定。源HeNB发送切换需求消息给HeNBGW。所述消息包含KeNB*,NCC。源HeNB根据当前的KeNB或者新的NH,目的小区的物理小区标识,频率等计算出来KeNB*。KeNB*的计算方法与现有相同(请参考TS33.401)。所述信息元素KeNB*和 NCC是可选的信息元素,例如源HeNB可以在目的HeNB和源HeNB连接到同一个HeNB Gff时才包含。所述切换需求消息中包含UE是否目的小区的成员的指示信息,即UE是目的小区的签约成员还是非签约成员。当该指示信息存在时,HeNB GW在步骤1102中把UE是否成员的信息通过目的HeNB。目的HeNB可能会根据UE是否是成员的信息提供不同的服务质量保证(Qos)。所述指示信息是可选的信息元素。例如,如果切换过程终止于HeNB GW只适用于UE在同一个HeNB Gff,同一个CSG标识内部(相同CSG标识的闭合用户组,或者相同CSG 标识的混合型小区的HeNB)移动的场景,这种情况下HeNB Gff不需要有接入控制功能,HeNB Gff把从源端收到的成员指示发给目的即可。步骤1102,HeNB Gff发送切换请求消息给目的HeNB。所述消息包含从源HeNB收到的KeNB*,NCC。HeNB GW设置所述切换请求消息中NH的为一无效的值或者任意值。步骤1103,目的HeNB分配资源,目的HeNB把KeNB*作为和UE之间新的加密KeNB。 目的HeNB关联收到的NCC和KeNB。目的HeNB把收到的NCC放到给UE的切换命令消息中。 目的HeNB忽略所述切换请求消息中的NH的值。目的HeNB发送切换请求确认消息给HeNB GW。步骤1104,HeNB Gff发送切换命令消息给源HeNB。步骤1105,源HeNB发送切换命令消息给UE。步骤1106,UE发送切换确认消息给目的HeNB。步骤1107,目的HeNB发送切换通知给HeNB GW。步骤1108,HeNB Gff发送UE上下文释放命令消息给源HeNB。步骤1109,源HeNB发送UE上下文释放完成给HeNB GW。
11
图12是支持切换过程终止于网关解决安全问题的方法二的实施例二。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。步骤1201,源HeNB做出切换决定。源HeNB发送X2AP切换请求消息给HeNB Gff0 所述消息包含KeNB*,NCC。源HeNB根据当前的KeNB或者新的NH,目的小区的物理小区标识, 频率等计算出来KeNB*。KeNB*的计算方法与现有相同(请参考TS33.401)。步骤1202,HeNB Gff发送X2AP切换请求消息给目的HeNB。所述消息包含从源HeNB 收到的 KeNB*,NCC。 步骤1203,目的HeNB分配资源,发送X2AP切换请求确认消息给HeNBGW。步骤1204,HeNB Gff发送X2AP切换请求确认消息给源HeNB。步骤1205,源HeNB发送切换命令消息给UE。步骤1206,UE发送切换确认消息给目的HeNB。步骤1207,目的HeNB发送SlAP切换通知给HeNB GW。步骤1208,HeNB Gff发送SlAP UE上下文释放命令消息给源HeNB。步骤1209,源HeNB发送SlAP UE上下文释放完成给HeNB GW。其中步骤1207至步骤1209的功能也可以用以下步骤来实现目的HeNB收到从UE来的切换确认消息。目的HeNB发送路径切换请求消息给HeNB GW。HeNB Gff发送路径切换请求确认消息给目的HeNB,在所述消息中包含无效的安全上下文,即一组无效的NH,NCC对或者无效的安全信息指示。目的HeNB根据无效的安全上下文信息,即一组无效的NH,NCC对,或者无效的安全上下文指示信息,不保存收到的无效的NH和NCC。在下一次X2切换时用水平的(horizontal)密钥产生机制产生KeNB*,即用目的小区的PCI,目的小区的频率EARFCN-DL和当前活跃的(active) KeNB来计算KeNB*。具体如何计算与现有技术相同。或者在在下一次X2切换时用垂直的(vertical)密钥产生机制产生KeNB*,即使用目的小区的PCI,目的小区的频率EARFCN-DL和现有的NH来计算KeNB*。具体如何计算与现有技术相同。目的HeNB发送X2AP资源释放消息给HeNB GW。HeNB Gff发送X2AP资源释放消息给源HeNB。图13是支持切换过程终止于网关解决安全问题的方法三。下面是对该实施例的详细说明。这里省略了一些可选过程及与本发明无关的步骤。同图12中描述的一样,接入控制可以在源HeNB,HeNB GW或者目的HeNB来做。或者如果源小区和目的小区在同一 CSG, 可以省略接入控制,因为接入控制不是本发明的重点,下面忽略了对接入控制方法的详细描述。步骤1301,源HeNB发送切换请求消息给目的HeNB。可选的,所述消息包含目的小区的CSG标识。可选的,所述消息包含UE可以接入的CSG标识列表。所述消息包含ΚεΝΒ*和 NCC对,KeNB*和NCC的取得和计算与现有技术相同。步骤1302,目的HeNB把KeNB*直接当成和UE之间新的加密密钥KeNB,目的HeNB关联KeNB和收到的NCC,目的HeNB把从源HeNB收到的NCC值包含在目的HeNB到源HeNB的透明传输器中的切换命令消息中,由源HeNB发给UE。目的HeNB发送切换请求确认消息给源 HeNB0
步骤1303,源HeNB发送切换命令消息给UE。步骤1304,UE发送切换确认消息给目的HeNB。步骤1305,目的HeNB发送路径切换请求消息给HeNB GW。步骤1306,HeNB Gff发送路径切换请求确认给目的HeNB。在所述消息中包含无效的安全上下文,即一组无效的NH,NCC对或者无效的安全信息指示。目的HeNB根据无效的安全上下文信息,即一组无效的NH,NCC对,或者无效的安全上下文指示信息,不保存收到的无效的NH和NCC。在下一次X2切换时用水平的(horizontal)密钥产生机制产生KeNB*——即,用目的小区的PCI,目的小区的频率EARFCN-DL和当前活跃的(active) KeNB来计算KeNB*。具体如何计算与现有技术相同。或者在在下一次X2切换时用垂直的(vertical)密钥产生机制产生KeNB*——即,使用目的小区的PCI,目的小区的频率EARFCN-DL和现有的NH来计算KeNB*。 具体如何计算与现有技术相同。步骤1307,目的HeNB发送资源释放消息给源HeNB。基站指示基站类型给核心网的一种方法如图14所示。下面是对该方法的详细说明。步骤1401,HeNB/HeNB Gff/eNB发送Sl建立请求消息给MME。所述消息包含基站类型指示,指示下行节点是HeNB GW的信息。该信息元素还可以指示下行节点是HeNB或者
宏基站。步骤1402,MME发送Sl建立响应消息给HeNB/HeNB GW/eNB。由以上描述可以看出,本发明提供的方法给出了切换过程终止于HeNBGW时保证安全密钥链工作的方法,使得切换过程终止于HeNB GW时密钥信息不会丢失,从而减少了切换过程对核心网的影响,提高了 UE切换的效率。最后,尽管本发明按照所述的实施例进行了描述,需要指出的是,这些实施例都是用来解释,而不是用来对本发明进行限定。本领域的普通技术人员能够很容易对这些实施例进行更改、增加、删除任何步骤而不脱离本发明的精神和范围;同时,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种获取安全密钥的方法,其特征在于,包括核心网络中的移动管理实体认证和安全过程结束后发送接入安全实体密钥Kasme给网关;网关根据Kasme计算下一跳NH。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括网关收到基站发来的切换消息,所述切换消息为切换需求消息或路径切换请求消息; 网关计算得到新的NH,并发送新的NH和对应的下一跳的链数NCC给基站。
3.根据权利要求1所述的方法,其特征在于,该方法进一步包括 移动管理实体发送更新的Kasme和演进基站密钥ΚεΝΒ给网关; 网关保存所述更新的Kasme和KeNB,并将所述更新的KeNB发送给HeNB。
4.根据权利要求3所述的方法,其特征在于,移动性管理实体将Kasme和K.通过初始上下文建立请求消息或用户设备上下文修改请求消息发送给网关。
5.根据权利要求1所述的方法,其特征在于,当用户设备在源基站和目的基站间切换时,该方法进一步包括网关发送当前最新的NH和NCC给核心网络中的移动管理实体; 核心网络中的移动管理实体根据收到的NH计算新的NH,并将所述新的NH和对应的 NCC发给目的基站。
6.按照权利要求5所述的方法,其特征在于,所述网关通过切换需求消息将当前最新的NH和NCC发送给核心网络中的移动管理实体。
7.按照权利要求1所述的方法,其特征在于,当用户设备由源网关移动到目的网关或目的基站时,该方法进一步包括源网关发送KASME、当前最新的NH和NCC给目的网关或者目的基站; 目的网关或者目的基站发送当前最新的NH和NCC给核心网络中的移动管理实体; 核心网络中的移动管理实体根据收到的所述当前最新的NH计算新的NH。
8.按照权利要求7所述的方法,其特征在于,所述源网关通过X2接口的切换请求消息把KASME、当前最新的NH和NCC发送给目的网关或者目的基站。
9.按照权利要求7所述的方法,其特征在于,所述目的网关通过S1接口的路径切换请求消息把当前最新的NH和NCC发送给核心网络中的移动管理实体。
10.一种获取安全密钥的方法,其特征在于,该方法包括源基站发送切换需求消息给网关,所述消息包含源基站计算的演进基站密钥U和下一跳的链数NCC;网关发送切换请求消息给目的基站,所述消息包含U和对应的NCC ; 目的基站把ΚεΝ/用于和用户设备之间新的加密。
全文摘要
本发明提供一种获取安全密钥的方法,该方法包括核心网络中的移动管理实体认证和安全过程结束后发送接入安全实体密钥KASME给网关;网关根据KASME计算下一跳NH。本发明实施例提供的获取安全密钥的方法给出了切换过程终止于HeNB GW时保证安全密钥链工作的方法,使得切换过程终止于HeNB GW时密钥信息不会丢失,从而减少了切换过程对核心网的影响,提高了UE切换的效率。
文档编号H04W36/08GK102244862SQ20101017929
公开日2011年11月16日 申请日期2010年5月10日 优先权日2010年5月10日
发明者许丽香 申请人:三星电子株式会社, 北京三星通信技术研究有限公司