用户设备转移时密钥身份标识符的生成方法和生成系统的制作方法

文档序号:7692781阅读:375来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:用户设备转移时密钥身份标识符的生成方法和生成系统的制作方法
技术领域
本发明涉及移动通信领域,具体而言,涉及一种用户设备转移时密钥身 ^^标识符的生成方法和生成系统。
背景技术
在移动通信系统中,当UE (用户设备)在不同接入系统相互转移时,源 服务网络(Source Service Network)的安全参数需要映射为目标网络(Target Service network )所能识别并能使用的安全参数,才能使转移成功并开展业务。 这些安全参数包括密钥、密钥标识符、计数器、安全算法等。
3GPP演进的分组系统(EPS , Evolved Packet System)由演进的陆地无 线接入网(EUTRAN, Evolved UMTS Terrestrial Radio Access Network)和EPS 核心网(EPC, Evolved Packet Core)组成。
其中,EPC包含移动管理单元(MME, mobility management entity),移 动管理单元负责移动性的管理、非接入层信令的处理、以及用户安全模式的 管理等控制面相关工作。其中,MME保存EUTRAN的根密钥KASME (Key Access Security Management Entity,接入安全管理实体密钥),并且使用KASME 和上行NAS SQN (非接入层序列号)生成供eNB (evolved Node B,演进的 基站)使用的接入层的根密钥KeNB (Key eNB,演进的基站密钥)。接入安 全管理实体密钥集识别符(KASME Key Set identifier for Access Security Management Entity) KSIASMe是密钥KASME的身份识别符(或者叫密钥序列号、 身份标识符),长度为3个比特位,用于网络与用户设备(UE, User Equipment)
之间对密钥的识别和检索。当UE和网络建立连接时,可以通过KSlASME通知
对方使用先前已经存储指定密钥,从而建立安全上下文,避免每次连接都要
进行认证和密钥协商(AKA, Authentication and Key Association),节省网络 资源,当密钥由于生存期结束或其它原因需要删除时,UE将KSIasme设为"111"。
其中,在演进的UTRAN中,基站设备为演进的基站(eNB, evolved Node-B),主要负责无线通信、无线通信管理、和移动性上下文的管理。
3GPP UMTS系统中负责分组域移动性上下文的管理、和/或用户安全模 式的管理的设备是SGSN( Serving GPRS Support Node,服务GPRS支持节点)。
通信系统)无线4妻入网(UTRAN , Universal Terrestrial Radio Access Network) 部分的认证和安全管理,并保存密钥IK (Integrity Key,完整性密钥),CK (Ciphering Key,加密密钥)。CK/IK的密钥身份识别符(或者叫密钥身份 标识符)为KSI (Key Set identifier,密钥集识别符),其作用和使用方法类 似于EPS中的KSIasme,都是用于UE和网络之间对密钥的识别和检索,长度 也为3个比特位。当KSI等于"lll"时,表示没有可以使用的密钥,KSI无效。 当UE和SGSN需要协商建立UMTS安全连接时,如果UE已经储存有可以 使用的密钥时,UE将储存的KSI发给SGSN, SGSN验证存储的KSI是否与 UE存储的KSI相同,如果一致,则采用存储的密钥组协商建立安全上下文, 并将KSI发回UE确认其使用的密钥。如果UE没有存储有用的密钥,则将 KSI置为"lll",然后发给SGSN, SGSN检查到KSI为"lll"后,向HLR (归 属位置寄存器)/HSS (归属用户服务器)发送认证请求消息,UE和网络重 新作AKA,产生新的密钥组。
GPRS (通用分组无线业务)/EDGE (改进数据率GSM服务)系统负责 分组域移动性上下文的管理、和/或用户安全^f莫式的管理的设备也是SGSN, SGSN负责GPRS/EDGE无线接入网(GERAN, GPRS/EDGE Radio Access Network)部分的认证和安全管理,并存有GERAN加密密钥Kc (Ciphering key) , Kc的身份识别符(或者叫密钥身份标识符)为CKSN (Ciphering key sequence Number ,加密密钥序列号),作用和使用方法同KSI —样。
当UE从EUTRAN转移(mobility )到UTRAN时,MME将用KASME为 目标网络生成密钥CK、 IK,并发给SGSN, UE和SGSN使用CK、 IK,并 协商相应安全算法,建立了 UTRAN安全上下文,其中转移包括RRC处于激 活(Active)状态的转移,和UE处于空闲(Idle)状态的转移两种类型,激活状态下的转移包括切换等,空闲状态下的转移包括路由区更新、附着请求等。
当UE从EUTRAN转移到GERAN时,MME用KASME产生CK, IK (同 转移到UMTS时,密钥产生方法一样),然后将IK、 CK发给SGSN。 SGSN 4吏用IK、 CK生成GERAN密钥Kc。
在现有技术中,无论是KSlASME、 KSI还是CKSN,都是在认证过程中由 网络侧生成,然后通过认证请求发给UE。然而在EUTRAN到UTRAN或 GERAN转移过程中,虽然MME为目标网络生成了 UTRAN或GERAN所需 的IK、 CK,但是没有为这对密钥生成相应的身份识别符,造成一旦转移结束 后,UE和SGSN将无法检索到转移时生成的密钥,也无法重新使用这对密钥。 当UE和网络要重新建立RRC (Radio Resource Control,无线资源控制)或 其它连接时,由于无法使用这些存储的密钥,不得不先进行AKA,重新产生 新的密钥,然后才建立无线连接。这无疑会增加了网络和UE的信令开销, 推迟了 UE与网络的正常通信时间,造成用户使用满意度变差。

发明内容
本发明要解决的技术问题是提供用户设备转移时密钥身份标识符的生成 方法和生成系统,能够解决现有技术中用户设备从EUTRAN转移到UTRAN 或GERAN后,转移过程中产生的由KASME映射过来的密钥无身份标识符的 问题。
为了解决上述问题,本发明提供了一种用户设备转移时密钥身份标识符 的生成方法,包i舌
当用户设备从演进的陆地无线接入网转移到目标系统时,移动管理单元 将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点,服务GPRS 支持节点和用户设备均将接入安全管理实体密钥的身份标识符映射为目标系 统的密钥身份识别符。
进一步的,所述映射的方式包括
直接令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符,或令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标 识符与一用户设备与网络约定好的常数之和。
进一步的,所述的生成方法还包括
如果转移前用户设备和服务GPRS支持节点已经协商好密钥,并且目标 系统的密钥身份识別符与转移过程中由接入安全管理实体密钥的身份标识符 映射得到的目标系统的密钥身份识别符一样,则删除转移前的密钥。
进一步的,当用户设备从演进的陆地无线接入网空闲转移到陆地无线4妄 入网时,方法具体包括
Al、移动管理单元收到上下文请求或鉴别请求消息后,使用接入安全管 理实体密钥生成完整性密钥、加密密钥,通过上下文响应或鉴别响应消息将 接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整 性密钥、加密密钥一起发给服务GPRS支持节点;
A2、服务GPRS支持节点收到移动管理单元发过来的接入安全管理实体 密钥的身份标识符和完整性密钥、加密密钥后,将接入安全管理实体密钥的 身^f分标识符映射为密钥集识别符,将该密钥集识别符和完整性密钥、加密密 钥一起保存;服务GPRS支持节点发送指示密钥集识别符映射完成的消息给 用户设备;
A3、用户设备将接入安全管理实体密钥的身份标识符映射为密钥集识别 符,将密钥集识别符和由接入安全管理实体密钥生成的完整性密钥、加密密 钥一起保存。
进一步的,步骤A1前还包括
A0、用户设备决定空闲转移到陆地无线接入网,发送空闲转移到陆地无 线接入网的请求消息给服务GPRS支持节点,请求消息为路由区更新请求或 附着请求;服务GPRS支持节点收到用户设备发过来的空闲转移到陆地无线 接入网的请求消息后,向移动管理单元发相应的请求消息;
相应的,步骤A2中,服务GPRS支持节点所发送的指示密钥集识别符映 射完成的消息为路由区更新接受或附着接受消息。
进一步的,步骤A3以发生在用户设备决定空闲转移到陆地无线接入网后、用户设备相应发送路由区更新完成或附着完成消息给服务GPRS支持节
点之前的任一步中。
进一步的,当用户设备从演进的陆地无线接入网切换到陆地无线接入网
时,方法具体包括
al、移动管理单元收到切换请求消息后,使用接入安全管理实体密钥生 成完整性密钥、加密密钥,通过转发重定向请求消息将接入安全管理实体密 钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一 起发给服务GPRS支持节点;a2、服务GPRS支持节点收到移动管理单元发来的密钥集识别符和完整 性密钥、加密密钥后,将接入安全管理实体密钥的身份标识符映射为密钥集 识别符,将该密钥集识别符和完整性密钥、加密密钥一起保存;服务GPRS 支持节点发送指示密钥集识别符映射完成的转发重定向响应消息给移动管理 单元;移动管理单元发送切换命令指示用户设备切换;
a3、用户设备收到网络发过来切换命令后将接入安全管理实体密钥的身 份标识符映射为密钥集识别符,将密钥集识别符和由接入安全管理实体密钥 生成的完整性密钥、加密密钥一起保存。
进一步的,当用户设备从演进的陆地无线接入网空闲转移到通用分组无 线业务/改进数据率GSM服务无线接入网时,方法具体包括
Bl、移动管理单元收到上下文请求或者或鉴别请求消息后,使用接入安 全管理实体密钥生成完整性密钥、加密密钥,通过上下文响应或鉴别响应将 接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整 性密钥、加密密钥一起发给服务GPRS支持节点;
B2、服务GPRS支持节点收到移动管理单元发来的接入安全管理实体密 钥的身份标识符和完整性密钥、加密密钥后,使用完整性密钥、加密密钥生 成通用分组无线业务/改进数据率GSM服务无线接入网加密密钥,将接入安 全管理实体密钥的身份标识符映射为通用分组无线业务/改进数据率GSM服 务无线接入网加密密钥的身份识别符,将通用分组无线业务/改进数据率GSM 服务无线接入网加密密钥的身份识别符和所述通用分组无线业务/改进数据率GSM服务无线接入网加密密钥一起保存;服务GPRS支持节点发送指示通 用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映 射完成的消息给用户设备;
B3、用户设备将接入安全管理实体密钥的身份标识符映射为通用分组无 线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,将通用分 组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符和由接 入安全管理实体密钥生成的通用分组无线业务/改进数据率GSM服务无线接 入网加密密钥一起保存。
进一步的,步骤B1前还包括
B0、用户设备决定空闲转移到通用分组无线业务/改进数椐率GSM服务 无线接入网,发送空闲转移到陆地无线接入网的请求消息给服务GPRS支持 节点,请求消息为路由区更新请求或附着请求;服务GPRS支持节点收到用 户设备发过来的空闲转移到陆地无线接入网的请求消息后,向移动管理单元 发相应的请求消息;
相应的,步骤B2中,服务GPRS支持节点所发送的指示通用分组无线业 务/改进数据率GSM服务无线接入网加密密钥的身份识别符映射完成的消息 为路由区更新接受或附着接受消息。
进一步的,步骤B3发生在用户设备决定空闲转移到通用分组无线业务/ 改进数据率GSM服务无线接入网后、用户设备发送切换消息给网络侧之前的 任一步中。
进一步的,当用户设备从演进的陆地无线接入网切换到CERAN时,方 法具体包括
bl、移动管理单元收到切换请求消息后,使用接入安全管理实体密钥生 成完整性密钥、加密密钥,通过转发重定向请求消息将接入安全管理实体密 钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一 起发给服务GPRS支持节点;
b2、服务GPRS支持节点收到移动管理单元发过来的密钥集识别符和完 整性密钥、加密密钥后,使用完整性密钥、加密密钥生成通用分组无线业务/200810100472.9
说明书第7/21页
改进数据率GSM服务无线接入网加密密钥,将接入安全管理实体密钥的身份
标识符的值赋给通用分组无线业务/改进数据率GSM服务无线接入网加密密 钥的身份识别符,即加密密钥序列号,将通用分组无线业务/改进数据率GSM 服务无线接入网加密密钥的身份识别符和所述通用分组无线业务/改进数据 率GSM服务无线接入网加密密钥一起保存;服务GPRS支持节点发送指示通 用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映 射完成的消息给移动管理单元;移动管理单元发送切换命令指示用户设备切 换;
b3、用户设备收到网络发过来切换命令后将接入安全管理实体密钥的身 份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密 钥的身份识别符,将通用分组无线业务/改进数据率GSM服务无线接入网加 密密钥的身〗分识别符,和由接入安全管理实体密钥生成的通用分组无线业务/ 改进数据率GSM服务无线接入网加密密钥一起保存。
本发明还提供了 一种用户设备转移时密钥身份标识符的生成系统,包括 用户设备、移动管理单元和服务GPRS支持节点;
移动管理单元用于当用户设备从演进的陆地无线接入网转移到目标系统 时,将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点;
服务GPRS支持节点和用户设备均用于将接入安全管理实体密钥的身份 标识符映射为目标系统的密钥身份识别符。
进一步的,所述服务GPRS支持节点/用户设备进行映射的方式包括
直接令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标 识符,或令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标 识符与一用户设备与网络约定好的常数之和。
进一步的,用户设备和服务GPRS支持节点还用于当用户设备转移前和 服务GPRS支持节点已经协商好密钥,并且目标系统的密钥身份识别符与转 移过程中接入安全管理实体密钥的身份标识符转化过来对应的目标系统的密 钥身份识别符的值一样时,删除转移前的密钥。进一步的,所述用户设备包括消息交互单元、密钥标识符映射单元和密
钥及其标识符存储单元;
消息交互单元用于接收网络侧发来的消息;
密钥标识符映射单元用于当消息交互单元收到切换命令、路由区更新接 受或附着接受消息时,将接入安全管理实体密钥的身份标识符映射为目标系 统的密钥身份识别符;
密钥及其标识符存储单元,用于将目标系统的密钥和所述目标系统的密 钥身份标识符一起保存;
所述移动管理单元包括请求消息接收单元和安全参数处理单元;
所述请求消息接收单元用于接收其他网络实体发送的转移请求消息,并 指示安全参数处理单元处理;
所述安全参数处理单元用于当接收到所述请求消息接收单元的指示后, 使用接入安全管理实体密钥产生加密密钥、完整性密钥,将接入安全管理实 体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密 钥一起发给服务GPRS支持节点;
所述服务GPRS支持节点包括安全参数处理单元,消息交互单元、密钥 标识符映射单元、密钥生成单元;
所述安全参数接收单元用于接收移动管理单元发来的密钥及接入安全管 理实体密钥的身份标识符,将接入安全管理实体密钥的身份标识符发送给密 钥标识符映射单元;根据移动管理单元发来的密钥得到目标系统的密钥并发 送给密钥及其标识符存储单元;
所迷密钥标识符映射单元用于当收到接入安全管理实体密钥的身份标识 符时,将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份标 识符;
所述密钥及其标识符存储单元,用于将安全参数接收单元发送的目标系 统的密钥和密钥标识符映射单元发送的目标系统的密钥身份标识符一起保 存,保存后通知消息交互单元映射完成;
所述消息交互单元用于在收到映射完成的消息后发送网络侧密钥标识符已经映射成功的通知。
进一步的,所述用户设备和服务GPRS支持节点中的密钥标识符映射单 元将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份标识符 是指,当转移的目标系统为陆地无线接入网时,将接入安全管理实体密钥的
身份标识符映射为密钥集识别符;当转移的目标系统为通用分组无线业务/改 进数据率GSM服务无线接入网时,将接入安全管理实体密钥的身份标识符映 射为通用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识 别符;
所述服务GPRS支持节点中的安全参数接收单元根据移动管理单元发来 的密钥得到目标系统的密钥并发送^^密钥及其标识符存储单元是指,转移到 的目标系统如果为陆地无线接入网,则将移动管理单元发送来的密钥发送给 密钥及其标识符存储单元;如果目标系统为通用分组无线业务/改进数据率 GSM服务无线接入网,则使用移动管理单元发送来的密钥生成通用分组无线 业务/改进数据率GSM服务无线接入网加密密钥后发送给密钥及其标识符存 储单元。
进一步的,用户设备中的密钥标识符映射单元还用于当用户设备决定空 闲转移时将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份 识别符。
进一步的,所述用户设备中的消息交互单元还用于在决定空闲转移时发 送路由区更新请求或附着请求消息给服务GPRS支持节点;
所述服务GPRS支持节点中的消息交互单元还用于当收到路由区更新请 求或附着请求消息时发送相应的上下文请求或鉴别请求消息给移动管理单 元;
所述移动管理单元中的请求消息接收单元当转移请求消息为上下文请求 或鉴别请求消息时,发送第一处理指示给安全参数处理单元;当转移请求消 息为切换请求消息,发送第二处理指示给安全参数处理单元;
所述移动管理单元中的安全参数处理单元当所收到的指示为第 一处理指 示时,通过上下文响应或鉴别响应消息将接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务
GPRS支持节点;当所收到的指示为第二处理指示时,通过转发重定向请求 消息将所述接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥 生成的完整性密钥、加密密钥一起发给服务GPRS支持节点。
进一步的,服务GPRS支持节点中的消息交互单元发送网络侧密钥标识 符已经映射成功的通知是指
如果所收到的移动管理单元发送密钥及其标识符的消息为上下文响应或 鉴别响应消息,则相应发送路由区更新接受或附着接受消息给用户设备来指 示网络侧密钥标识符已经映射成功;如果所收到的移动管理单元发送密钥及 其标识符的消息为转发重定向请求消息,则发送转发重定向响应消息给移动 管理单元来指示网络侧密钥标识符已经映射成功。
本发明的技术方案能够在转移过程中为密钥提供身份标识符,重新使用 由KASME转换过来的密钥,解决了 UE从EUTRAN转移到其他系统时,由KASME 生成的密钥无身份标识符而导致无法被重新使用的问题,减少了用户设备和 网络的交互信令。


此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部 分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的 不当限定。在附图中
图1为本发明所述的UE从EUTRAN转移到UTRAN时密钥集标识符生 成方法具体实现示意图。
图2为本发明所述的UE从EUTRAN转移到GERAN时密钥集标识符生 成方法具体实现示意图。
图3为本发明所述方法的应用实例一的实现信令流程图。
图4为本发明所述方法的应用实例二的实现信令流程图。
图5为本发明所述方法的应用实例三的实现信令流程图。图6为本发明所述方法的应用实例四的实现流程图。
图7为本发明所述方法的应用实例五的实现信令流程图。
图8为本发明所述方法的应用实例六的实现信令流程图。
具体实施例方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
本发明提供的UE转移时密钥身份标识符的生成方法包括
当用户设备从演进的陆地无线接入网转移到目标系统时,移动管理单元 将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点,服务GPRS 支持节点和用户设备均将KSUsME映射为目标系统的密钥身份识别符。
其中,所述映射的方式可以包括直接令目标系统的密钥身份识别符等 于KSIasme,或令目标系统的密钥身份识别符等于KSIasme与一常数之和;
所述服务GPRS支持节点与用户设备约定映射方式及常数。
其中,还包括UE和SGSN将映射得到的目标系统的密钥身份识别符和 由接入安全管理实体密钥产生的目标系统的密钥一起保存。
其中,KSUsME与常数之和不能为"111",如果正好为111时,可按照 UE与SGSN的约定进行改变,比如置为下一个值"000",也可以是其它值。
其中,如果转移前UE和SGSN已经协商好密钥,并且所保存的目标系 统的密钥身份识别符与转移过程中由KSIasme映射得到的目标系统的密钥身 份识别符一样,则删除转移前保存的密钥。
其中,UE从EUTRAN转移到其他无线接入系统是指UE转移到UTRAN 系统或GERAN系统;转移包括空闲转移和切换两种。
当UE从EUTRAN空闲转移到UTRAN时,所述生成方法如图1所示, 具体包括
Al、 MME收到上下文请求或鉴别请求消息后,使用Kasme生成IK、 CK, 通过上下文响应或鉴别响应消息将KSIasme和由Kasme生成的DC、 CK 一起发 给SGSN;A2、 SGSN收到MME发过来的KSlASME和IK、 CK后,将KSIasme映射 为KSI,并将该KSI和IK、 CK 一起保存;SGSN发送指示KSI映射完成的消 息给UE;
A3、UE将KSTASME映射为KSI,即将KSlASME的值赋给KST:KSI-KSlASME, 并将KSI和由KASME生成的IK 、 CK 一起保存。
进一步,步骤A1前还包括
A0 、 UE决定空闲转移到UTRAN,发送空闲转移到UTRAN的请求消息 给SGSN,请求消息为路由区更新请求或附着请求;SGSN收到UE发过来的 空闲转移到UTRAN的请求消息后,向MME发相应的请求消息;
进一步,相应的,步骤A2中,SGSN所发送的指示KSI映射完成的消息 为路由区更新接受或附着接受消息。
进一步的,步骤A3可以发生在UE决定空闲转移到UTRAN后、UE相 应发送路由区更新完成或附着完成消息给SGSN之前的任一步中。
当UE从EUTRAN切换到UTRAN时,所述生成方法具体包括 al、 MME收到切换请求消息后,使用Kasme生成IK、 CK,通过转发重 定向请求消息将KSlASME和由Kasme生成的IK、 CK一起发给SGSN;
a2、 SGSN收到MME发过来的KSIasme和IK、 CK后,将KSIasme映射 为KSI,将该KSI和IK、 CK一起保存;SGSN发送指示KSI映射完成的转发 重定向响应消息给MME; MME发送切换命令指示UE切换;
a3 、 UE收到网络发过来切换命令后将KSIasme映射为KST,将KSI和由 Kasme生成的IK、 CK一起保存。
上述密钥集识别符生成方法因为采用EUTRAN网络中的KSIasme的值映 射为的UTRAN网络的KSI的值,同时保证映射的KSI与原先存储的密钥序 列号不出现重码。解决了现有技术中在UE从EUTRAN转移到UTRAN时, 由于映射过来的IK、 CK无身份标识符而无法重新被使用的问题。
当UE从EUTRAN空闲转移到GERAN时,所述生成方法如图2所示, 具体包括Bl、 MME收到上下文请求或者或鉴别请求消息后,使用Kasme生成IK、 CK,通过上下文响应或鉴别响应将KSUsME和由Kasme生成的IK、 CK 一起 发给SGSN;
B2、 SGSN收到MME发过来的KSTasme和TK、 CK后,使用IK、 CK生 成Kc,将KSIasme映射为CKSN,将CKSN和由IK、 CK生成的Kc 一起保 存;SGSN发送指示CKSN映射完成的消息给UE;
B3、 UE将KSIasme映射为CKSN,将CKSN和由KASME生成的Kc 一起 保存。
进一步,步骤B1前还可以包括
B0、 l正决定空闲转移到GERAN,发送空闲转移到UTRAN的请求消息 给SGSN,请求消息为路由区更新请求或附着请求;SGSN收到UE发过来的 空闲转移到UTRAN的请求消息后,向MME发相应的请求消息;
相应的,步骤B2中,SGSN所发送的指示CKSN映射完成的消息为路由 区更新接受或附着接受消息。
进一步的,步骤B3可以发生在UE决定空闲转移到GERAN后、UE发 送切换消息给网络侧之前的任一步中。
当UE从EUTRAN切换到CERAN时,所述生成方法具体包括
bl、 MME收到切换请求消息后,使用Kasme生成IK、 CK,通过转发重 定向请求消息将KSIasme和由Kasme生成的IK、 CK 一起发给SGSN;
b2、 SGSN收到MME发过来的KSI和IK、 CK后,使用IK、 CK生成 Kc,将KSIasme映射为CKSN,将CKSN和由IK、 CK生成的Kc 一起保存; SGSN发送指示CKSN映射完成的消息给MME; MME发送切换命令指示UE 切换;
b3 、 UE收到网络发过来切换命令后将KSIasme映射为CKSN,将CKSN 和由Kasme生成的Kc 一起保存。
上述密钥集识别符生成方法和系统因为采用KSIasme的值映射为CKSN 的值,同时保证CKSN与原先存储的密钥序列号不出现重码。解决了现有技 术中在UE从EUTRAN转移到GERAN,由于映射过来的Kc无身份标识符而无法重新^皮-使用的问题。
本发明提供的UE转移时密钥身份标识符的生成系统包括UE、 MME 和SGSN;
所述MME用于当用户设备从演进的陆地无线接入网转移到目标系统时, 将KSlASME发给SGSN;
SGSN和UE均用于将KSIasme映射为目标系统的密钥身份识别符; 其中,所述SGSN/UE进行映射的方式包括直接令目标系统的密钥身份
识别符等于KSIasme,或令目标系统的密钥身份识别符等于KSIasme与一常数
之和;
所述服务GPRS支持节点与用户设备约定映射方式及常数。
其中,SGSN和UE还用于将映射得到的目标系统的密钥身份识别符和由 kasme产生的目标系统的密钥一起保存。
其中,KSUsME与常数之和不能为"111",如果正好为111时,可按照 UE与SGSN的约定进行改变,比如置为下一个值"000",也可以是其它值。
UE和SGSN还用于当UE转移前和SGSN已经协商好密钥,并且所保存 的目标系统的密钥身份识别符与转移过程中KSIasme转化过来对应的目标系 统的密钥身份识别符的值一样时,删除转移前保存的密钥。
其中,UE从EUTRAN转移到其他无线接入系统是指UE转移到UTRAN 系统或GERAN系统;转移包括空闲转移和切换两种。
其中,所述UE包括消息交互单元、密钥标识符映射单元和密钥及其标 识符存储单元;
消息交互单元用于接收网络側发来的消息;
密钥标识符映射单元用于当消息交互单元收到切换命令、路由区更新接 受或附着接受消息时,将KSIasme映射为目标系统的密钥身份识别符;当转 移的目标系统为UTRAN时,将KSIasme映射为KSI;当转移的目标系统为 GERAN时,将KSIasme映射为CKSN;密钥及其标识符存储单元,用于将目标系统的密钥和所述目标系统的密 钥身份标识符一起保存。
所述MME包括请求消息接收单元和安全参数处理单元;
所述请求消息接收单元用于接收其他网络实体发送的转移请求消息,并 指示安全参数处理单元处理;如果该转移请求消息为上下文请求或鉴别请求 消息,则发送第一处理指示给安全参数处理单元;如果该转移请求消息为切 换请求消息,则发送第二处理指示给安全参数处理单元;
所述安全参数处理单元用于当接收到所述请求消息接收单元的指示后, 使用kasme产生CK、IK,将KSIasme和由Kas織生成的ik、CK一起发给SGSN; 当所收到的指示为第一处理指示时,通过上下文响应或鉴别响应消息将 KSIasme和由Kasme生成的IK、 CK 一起发给SGSN;当所收到的指示为第二
处理指示时,通过转发重定向请求消息将所述KSlASME和由Kasme生成的IK、
CK 一起发给SGSN。
所述SGSN包括安全参数处理单元,消息交互单元、密钥标识符映射单 元、密钥生成单元;
所述安全参数接收单元用于接收MME发来的密钥及KSlASME,将KSIasme 发送给密钥标识符映射单元;根据MME发来的密钥得到目标系统的密钥并 发送给密钥及其标识符存储单元判断转移到的目标系统如果为UTRAN,则 将MME发送来的密钥发送给密钥及其标识符存储单元;如果目标系统为 GERAN,则使用MME发送来的密钥生成Kc后发送给密钥及其标识符存储 单元;
所述密钥标识符映射单元用于当收到KSIasme时,将KSIasme映射为目标 系统的密钥身份标识符判断转移到的目标系统如果为UTRAN,則将KSIasme 映射为KSI;如果目标系统为GERAN,则将KSIASME映射为CKSN;将映射 得到的密钥身份标识符发给所述密钥及其标识符存储单元;
所述密钥及其标识符存储单元,用于将安全参数接收单元发送的目标系 统的密钥和密钥标识符映射单元发送的目标系统的密钥身份标识符一起保 存,保存后通知消息交互单元映射完成;所述消息交互单元用于在收到映射完成的消息后发送网络侧密钥标识符 已经映射成功的通知。
其中,UE中的消息交互单元还可以用于在决定空闲转移时发送路由区更
新请求或附着请求消息给SGSN;
所述SGSN中的消息交互单元还用于当收到路由区更新请求或附着请求 消息时发送相应的上下文请求或鉴别请求消息给MME。
其中,UE中的密钥标识符映射单元还可以用于当UE决定空闲转移时将 KSIasme映射为目标系统的密钥身份识别符。
其中,SGSN中的消息交互单元发送网络侧密钥标识符已经映射成功的 通知是指如果所收到的MME发送密钥及其标识符的消息为上下文响应或 鉴别响应消息,则相应发送路由区更新接受或附着接受消息给UE来指示网 络侧密钥标识符已经映射成功;如果所收到的MME发送密钥及其标识符的 消息为转发重定向请求消息,则发送转发重定向响应消息给MME来指示网 络侧密钥标识符已经映射成功。
上述密钥身份标识符生成系统因为采用KSIasme的值映射为KSI或 CKSN的值,同时保证KSI或CKSN和SGSN原先存储的密钥序列号不出现 重码。所以解决了现有技术中在UE从EUTRAN转移到UTRAN或GERAN 时,由于kasme映射过来的IK、 CK或Kc无身份标识符的问题,从而使IK、 CK或Kc能够在转移结束后,重新被使用,減少UE和网络的交互信令,提 高用户使用网络的满意度。
下面用本发明的六个应用实例进一步加以i兑明。
图3为本发明所述方法的应用实例一,为UE从EUTRAN空闲转移到 UTRAN时,密钥标识符的生成方法流程,包括以下步骤
步骤S301, UE决定空闲转移到UTRAN,发送空闲转移到UTRAN的请 求消息给目标SGSN,请求消息可以为路由区更新请求,或附着请求;
步骤S302,目标SGSN收到UE发过来的空闲转移到UTRAN的请求消 息后,向源MME发请求消息,请求消息对应于所收到的转移请求消息的类型,为相应的上下文请求或鉴别请求;
步骤S303,源MME收到目标SGSN发过来的请求消息后,使用KASME 产生CK、 IK;
步骤S304,源MME相应反馈上下文响应或鉴别响应消息,将CK、 IK 和KSIasme —起发给目标SGSN;
步骤S305,目标SGSN收到源MME发过来的CK、 IK和KSIASME后, 将KSIasme的值赋给KSI,即令KSI=KSIASME,将KSI和CK、 IK 一起保存;
步骤S306,目标SGSN向UE发空闲转移到UTRAN接受消息(相应为 对应的路由区更新接受或附着接受消息),通知UE网络侧密钥标识符已经 映射成功;
步骤S307, UE将KSIasme的值赋给KSI,即令KSI=KSIASME,将KSI和 由Kasme生成的TK、 CK 一起保存;
步骤S308, UE相应发送路由区更新完成或附着完成消息给目标SGSN。
图4为本发明所述方法的应用实例二,为UE从EUTRAN空闲转移到 UTRAN时,密钥标识符的生成方法流程,包括以下步骤
步骤S401, l正决定空闲转移到UTRAN ,将KSIasme的值赋给KSI,即 KSI=KSIASME,将KSI和由Kasme生成的IK、 CK一起保存;
步骤S402, UE发送空闲转移到UTRAN的请求消息给目标SGSN,请求 消息可以为路由区更新请求,或附着请求;
步骤S403,目标SGSN收到UE发过来的空闲转移到UTRAN的请求消 息后,向源MME发请求消息,请求消息对应于所收到的转移请求消息的类 型,为相应的上下文请求或鉴别请求;
步骤S404,源MME收到SGSN发过来的请求消息后,使用kasme产 生CK、 IK;
步骤S405, MME相应反馈上下文响应或鉴别响应消息,将CK、 IK和 KSIasme —起发给SGSN;
步骤S406,目标SGSN收到源MME发过来的KSIASME和CK、 IK后,将KSIasme的值赋给KSI,即KSI=KSIASME,并将KSI和CK、 IK 一起保存;
步骤S407,目标SGSN向UE发空闲转移到UTRAN接受消息(为对应 的路由区更新接受或附着接受消息),通知UE网络侧密钥标识符已经映射 成功;
步骤S408, UE相应发送路由区更新完成或附着完成消息给目标SGSN。
图5为本发明所述方法的应用实例三,为UE从EUTRAN切换到UTRAN 时,密钥标识符的生成方法流程,包括以下步骤
步骤S501,源eNB决定发起切换。可以是根据l正发给该eNB的测量 报告触发,也可以是根据其他的一些原因由eNB决定发起转移。
步骤S502 ,源eNB向源MME发切换请求消息;
步骤S503 ,源MME使用KASME生成IK和CK;
步骤S504,源MME向目标SGSN发转发重定向请求,将KSIasme和IK、 CK传给目标SGSN;
步骤S505,目标SGSN将Ks!asme值赋给KSI,即KSI=KSIASME,并将 KSI和IK、 CK一起保存;
步骤S506,目标SGSN向源MME发转发重定向响应消息,通知源MME, 目标网络已经做好切换准备;
步骤S507 ,源MME向源eNB发切换命令;
步骤S508,源eNB向UE发EUTRAN切换命令;
步骤S509, UE将KSIasme的值赋给KSI,即KSI=KSIASME,并使用KASME 生成IK、 CK,然后将KSI和CK、 IK一起保存;
步骤S510, UE发送切换成功消息给目标RNC,通知网络KSI映射成功。
图6为本发明所述方法的应用实例四,为UE从EUTRAN空闲转移到 GERAN时,密钥标识符的生成方法流程,包括以下步骤
步骤S601, UE决定空闲转移到GERAN,发送空闲转移到GERAN的请 求消息给目标SGSN,请求消息可以为路由区更新请求,或附着请求;
步骤S602,目标SGSN收到UE发过来的空闲转移到GERAN的请求消息后,向源MME发请求消息,请求消息对应于所收到的转移请求消息的类
型,为相应的上下文请求或鉴别请求;
步骤S603,源MME收到目标SGSN发过来的请求消息后,使用KASME 产生CK、 IK;
步骤S604,源MME相应反馈上下文响应或鉴別响应消息,将CK、 IK 和KSIasme —起发给目标SGSN;
步骤S605,目标SGSN收到源MME发过来的KSIASME和CK、 IK后, 将KSIasme的值赋给CKSN,即CKSN=KSIASME,并将CKSN和CK、 IK生成 的Kc 一起保存;
步骤S606,目标SGSN向UE相应发送空闲转移到UTRAN的接受消息 (为对应的路由区更新接受或附着接受消息),通知UE网络侧密钥标识符 已经映射成功;
步骤S607, UE将KSUsme的值赋给CKSN,即CKSN=KSIASMr,将CKSN 和由Kasme生成的Kc 一起保存;
步骤S608, UE相应发送路由区更新完成或附着完成消息给目标SGSN。
图7为本发明所述方法的应用实例五,为UE从EUTRAN空闲转移到 GERAN时,密钥标识符的生成方法流程,包括以下步骤
步骤S701 , UE决定空闲转移到GERAN,将KSIASME的值赋给CKSN, 即CKSN=KSIASME,将CKSN和由Kasme生成的Kc 一起保存;
步骤S702, UE发送空闲转移到GERAN的请求消息给目标SGSN,请 求消息可以为路由区更新请求,或附着请求;
步骤S703 ,目标SGSN收到UE发过来的空闲转移到GERAN请求消息 后,向源MME发请求消息,请求消息对应于所收到的转移请求消息类型, 为相应的上下文请求或鉴别请求;
步骤S704,源MME收到目标SGSN发过来的请求消息后,使用KASME 产生CK、 IK;
步骤S705,源MME相应反馈上下文响应或鉴别响应消息,将CK、 IK 和KSlASME—起发给目标SGSN;步骤S706,目标SGSN收到源MME发过来的KSIASME和CK、 IK后, 将KSUsME的值赋给CKSN,即CKSN=KSIASME,并将CKSN和由CK、 IK生 成的Kc 一起保存;
步骤S707,目标SGSN向UE发送空闲转移到GERAN的接受消息(为 对应的路由区更新接受或附着接受消息),通知UE网络侧密钥标识符已经 映射成功;
步骤S708, UE相应发送路由区更新完成或附着完成消息给目标SGSN。
图8为本发明所述方法的应用实例六,为UE从EUTRAN切换到GERAN 时,密钥标识符的生成方法流程,包括以下步骤
步骤S801,源eNB决定发起切换。可以是根据UE发给该eNB的测量 报告触发,也可以是根据其他的一些原因由eNB决定发起转移。
步骤S802,源eNB向源MME发切换请求消息;
步骤S803,源MME使用Kasme生成IK、 CK;
步骤S804,源MME向目标SGSN发转发重定向请求,将KSUsme和IK、 CK传给目标SGSN;
步骤S805,目标SGSN将KSIasme的值赋给CKSN,即CKSN=KSIASME, 并将CKSN和由IK、 CK生成的Kc 一起保存;
步骤S806,目标SGSN向源MME发转发重定向响应消息,通知源MME, 目标网络已经做好切换准备;
步骤S807,源MME向源eNB发切换命令;
步骤S808,源eNB向UE发EUTRAN切换命令;
步骤S809, UE将KSIasme的值赋给CKSN,即CKSN=KSIASME,,并使用 KASME生成Kc ,然后将CKSN和Kc 一起保存;
步骤S810, UE发送切换成功消息给目标RNC,通知网络CKSN映射成功。
上述六个应用实例中,UE和SGSN也可以令目标系统的密钥身份识别符 等于KSIasme与一常数之和;常数由UE和网络约定,其中,KSIasme与常数之和不能为"111",如果正好为lll时,可按照UE与SGSN的约定进行改 变,比如置为下一个值"000",也可以是其它值。
显然,本领域的技术人员应该明白,上述的本发明的各^l块或各步骤可 以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布 在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程
序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或 者将它们分别制作成各个集成电鴻4莫块,或者将它们中的多个才莫块或步骤制 作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软 件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本 领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护 范围之内。
权利要求
1、一种用户设备转移时密钥身份标识符的生成方法,包括当用户设备从演进的陆地无线接入网转移到目标系统时,移动管理单元将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点,服务GPRS支持节点和用户设备均将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。
2、 如权利要求1所述的生成方法,其特征在于,所述映射的方式包括直接令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标 识符,或令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标 识符与 一用户设备与网络约定好的常数之和。
3、 如权利要求1所述的生成方法,其特征在于,还包括如果转移前用户设备和服务GPRS支持节点已经协商好密钥,并且目标 系统的密钥身份识别符与转移过程中由接入安全管理实体密钥的身份标识符 映射得到的目标系统的密钥身份识别符一样,则删除转移前的密钥。
4、 如权利要求1到3中任一项所述的生成方法,其特征在于,当用户设 备从演进的陆地无线接入网空闲转移到陆地无线接入网时,具体包括Al、移动管理单元收到上下文请求或鉴别请求消息后,使用接入安全管 理实体密钥生成完整性密钥、加密密钥,通过上下文响应或鉴别响应消息将 接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整 性密钥、加密密钥一起发给服务GPRS支持节点;A2、服务GPRS支持节点收到移动管理单元发过来的接入安全管理实体 密钥的身份标识符和完整性密钥、加密密钥后,将接入安全管理实体密钥的 身份标识符映射为密钥集识别符,将该密钥集识别符和完整性密钥、加密密 钥一起保存;服务GPRS支持节点发送指示密钥集识别符映射完成的消息给 用户设备;A3、用户设备将接入安全管理实体密钥的身份标识符映射为密钥集识别 符,将密钥集识别符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。
5、 如权利要求4所述的生成方法,其特征在于,步骤A1前还包括A0、用户设备决定空闲转移到陆地无线接入网,发送空闲转移到陆地无 线接入网的请求消息给服务GPRS支持节点,请求消息为路由区更新请求或 附着请求;服务GPRS支持节点收到用户设备发过来的空闲转移到陆地无线 接入网的请求消息后,向移动管理单元发相应的请求消息;相应的,步骤A2中,服务GPRS支持节点所发送的指示密钥集识别符映 射完成的消息为路由区更新接受或附着接受消息。
6、 如权利要求4所述的生成方法,其特征在于步骤A3以发生在用户设备决定空闲转移到陆地无线接入网后、用户设 备相应发送路由区更新完成或附着完成消息给服务GPRS支持节点之前的任 一步中。
7、 如权利要求1到3中任一项所述的生成方法,其特征在于,当用户设 备从演进的陆地无线接入网切换到陆地无线接入网时,具体包括al、移动管理单元收到切换请求消息后,使用接入安全管理实体密钥生 成完整性密钥、加密密钥,通过转发重定向请求消息将接入安全管理实体密 钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一 起发给服务GPRS支持节点;a2、服务GPRS支持节点收到移动管理单元发来的密钥集识别符和完整 性密钥、加密密钥后,将接入安全管理实体密钥的身份标识符映射为密钥集 识别符,将该密钥集识别符和完整性密钥、加密密钥一起保存;服务GPRS 支持节点发送指示密钥集识别符映射完成的转发重定向响应消息给移动管理 单元;移动管理单元发送切换命令指示用户设备切换;a3 、用户设备收到网络发过来切换命令后将接入安全管理实体密钥的身 份标识符映射为密钥集识别符,将密钥集识别符和由接入安全管理实体密钥 生成的完整性密钥、加密密钥一起保存。
8、 如权利要求1到3中任一项所述的生成方法,其特征在于,当用户设 备从演进的陆地无线接入网空闲转移到通用分组无线业务/改进数据率GSM服务无线接入网时,具体包括Bl、移动管理单元收到上下文请求或者或鉴别请求消息后,使用接入安 全管理实体密钥生成完整性密钥、加密密钥,通过上下文响应或鉴别响应将 接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;B2、服务GPRS支持节点收到移动管理单元发来的接入安全管理实体密 钥的身份标识符和完整性密钥、加密密钥后,使用完整性密钥、加密密钥生 成通用分组无线业务/改进数据率GSM服务无线接入网加密密钥,将接入安 全管理实体密钥的身^f分标识符映射为通用分组无线业务/改进数据率GSM服 务无线接入网加密密钥的身份识别符,将通用分组无线业务/改进数据率GSM 服务无线接入网加密密钥的身份识别符和所述通用分組无线业务/改进数据 率GSM服务无线接入网加密密钥一起保存;服务GPRS支持节点发送指示通 用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映 射完成的消息给用户设备;B3、用户设备将接入安全管理实体密钥的身份标识符映射为通用分组无 线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符,将通用分 組无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符和由接 入安全管理实体密钥生成的通用分组无线业务/改进数据率GSM服务无线接 入网加密密钥一起保存。
9、如权利要求8所述的生成方法,其特征在于,步骤B1前还包括B0、用户设备决定空闲转移到通用分组无线业务/改进数据率GSM服务 无线接入网,发送空闲转移到陆地无线接入网的请求消息给服务GPRS支持 节点,请求消息为路由区更新请求或附着请求;服务GPRS支持节点收到用 户设备发过来的空闲转移到陆地无线接入网的请求消息后,向移动管理单元 发相应的请求消息;相应的,步骤B2中,服务GPRS支持节点所发送的指示通用分组无线业 务/改进数据率GSM服务无线接入网加密密钥的身份识别符映射完成的消息 为路由区更新接受或附着接受消息。
10、 如权利要求8所述的生成方法,其特征在于步骤B3发生在用户 设备决定空闲转移到通用分组无线业务/改进数据率GSM服务无线接入网后、 用户设备发送切换消息给网络侧之前的任一步中。
11、 如权利要求1到3中任一项所述的生成方法,其特征在于,当用户 设备从演进的陆地无线接入网切换到CERAN时,具体包括bl、移动管理单元收到切换请求消息后,使用接入安全管理实体密钥生 成完整性密钥、加密密钥,通过转发重定向请求消息将接入安全管理实体密 钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一 起发给服务GPRS支持节点;b2、服务GPRS支持节点收到移动管理单元发过来的密钥集识别符和完 整性密钥、加密密钥后,使用完整性密钥、加密密钥生成通用分组无线业务/ 改进数据率GSM服务无线接入网加密密钥,将接入安全管理实体密钥的身份 标识符的值赋给通用分组无线业务/改进数据率GSM服务无线接入网加密密 钥的身份识别符,即加密密钥序列号,将通用分组无线业务/改进数据率GSM 服务无线接入网加密密钥的身份识别符和所述通用分组无线业务/改进数据 率GSM服务无线接入网加密密钥一起保存;服务GPRS支持节点发送指示通 用分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符映 射完成的消息给移动管理单元;移动管理单元发送切换命令指示用户设备切 换;b3 、用户设备收到网络发过来切换命令后将接入安全管理实体密钥的身 份标识符映射为通用分组无线业务/改进数据率GSM服务无线接入网加密密 钥的身份识别符,将通用分组无线业务/改进数据率GSM服务无线接入网加 密密钥的身^f分识别符,和由接入安全管理实体密钥生成的通用分组无线业务/ 改进数据率GSM服务无线接入网加密密钥一起保存。
12、 一种用户设备转移时密钥身份标识符的生成系统,包括用户设备、 移动管理单元和服务GPRS支持节点;其特征在于移动管理单元用于当用户"i殳备^人演进的陆地无线接入网转移到目标系统 时,将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点;服务GPRS支持节点和用户设备均用于将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。
13、 如权利要求12所述的生成系统,其特征在于,所述服务GPRS支持 节点/用户设备进行映射的方式包括直接令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标识符,或令目标系统的密钥身份识别符等于接入安全管理实体密钥的身份标 识符与一用户设备与网络约定好的常数之和。
14、 如权利要求12所述的生成系统,其特征在于用户设备和服务GPRS支持节点还用于当用户设备转移前和服务GPRS 支持节点已经协商好密钥,并且目标系统的密钥身份识别符与转移过程中接 入安全管理实体密钥的身份标识符转化过来对应的目标系统的密钥身份识別 符的值一样时,删除转移前的密钥。
15 、如权利要求12到14任一项所述的生成系统,其特征在于所述用户设备包括消息交互单元、密钥标识符映射单元和密钥及其标识 符存储单元;消息交互单元用于接收网络侧发来的消息;密钥标识符映射单元用于当消息交互单元收到切换命令、路由区更新接 受或附着接受消息时,将接入安全管理实体密钥的身份标识符映射为目标系 统的密钥身份识别符;密钥及其标识符存储单元,用于将目标系统的密钥和所述目标系统的密 钥身份标识符一起保存;所述移动管理单元包括请求消息接收单元和安全参数处理单元;所述请求消息接收单元用于接收其他网络实体发送的转移请求消息,并 指示安全参数处理单元处理;所述安全参数处理单元用于当接收到所述请求消息接收单元的指示后, 使用接入安全管理实体密钥产生加密密钥、完整性密钥,将接入安全管理实 体密钥的身份标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务GPRS支持节点;所述服务GPRS支持节点包括安全参数处理单元,消息交互单元、密钥 标识符映射单元、密钥生成单元;所述安全参数接收单元用于接收移动管理单元发来的密钥及接入安全管 理实体密钥的身份标识符,将接入安全管理实体密钥的身份标识符发送给密 钥标识符映射单元;根据移动管理单元发来的密钥得到目标系统的密钥并发 送给密钥及其标识符存储单元;所述密钥标识符映射单元用于当收到接入安全管理实体密钥的身份标识 符时,将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份标 识符;所述密钥及其标识符存储单元,用于将安全参#丈^接收单元发送的目标系 统的密钥和密钥标识符映射单元发送的目标系统的密钥身份标识符一起保 存,保存后通知消息交互单元映射完成;所述消息交互单元用于在收到映射完成的消息后发送网络侧密钥标识符 已经映射成功的通知。
16、如权利要求15所述的生成系统,其特征在于所述用户设备和服务GPRS支持节点中的密钥标识符映射单元将接入安 全管理实体密钥的身份标识符映射为目标系统的密钥身份标识符是指,当转 移的目标系统为陆地无线接入网时,将接入安全管理实体密钥的身份标识符 映射为密钥集识别符;当转移的目标系统为通用分组无线业务/改进数据率 GSM服务无线接入网时,将接入安全管理实体密钥的身份标识符映射为通用 分组无线业务/改进数据率GSM服务无线接入网加密密钥的身份识别符;所述服务GPRS支持节点中的安全参数接收单元根据移动管理单元发来 的密钥得到目标系统的密钥并发送给密钥及其标识符存储单元是指,转移到 的目标系统如果为陆地无线接入网,则将移动管理单元发送来的密钥发送给 密钥及其标识符存储单元;如果目标系统为通用分组无线业务/改进数据率 GSM服务无线接入网,则使用移动管理单元发送来的密钥生成通用分组无线 业务/改进数据率GSM服务无线接入网加密密钥后发送给密钥及其标识符存储单元。
17、 如权利要求15所述的生成系统,其特征在于用户设备中的密钥标识符映射单元还用于当用户设备决定空闲转移时将 接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。
18、 如权利要求15所述的生成系统,其特征在于所述用户设备中的消息交互单元还用于在决定空闲转移时发送路由区更 新请求或附着请求消息给服务GPRS支持节点;所述服务GPRS支持节点中的消息交互单元还用于当收到路由区更新请 求或附着请求消息时发送相应的上下文请求或鉴别请求消息给移动管理单元;所述移动管理单元中的请求消息接收单元当转移请求消息为上下文请求 或鉴别请求消息时,发送第一处理指示给安全参数处理单元;当转移请求消 息为切换请求消息,发送第二处理指示给安全参数处理单元;所述移动管理单元中的安全参数处理单元当所收到的指示为第一处理指 示时,通过上下文响应或鉴别响应消息将接入安全管理实体密钥的身份标识 符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起发给服务 GPRS支持节点;当所收到的指示为第二处理指示时,通过转发重定向请求 消息将所述接入安全管理实体密钥的身份标识符和由接入安全管理实体密钥 生成的完整性密钥、加密密钥一起发给服务GPRS支持节点。
19、 如权利要求18所述的生成系统,其特征在于,服务GPRS支持节点 中的消息交互单元发送网络侧密钥标识符已经映射成功的通知是指如果所收到的移动管理单元发送密钥及其标识符的消息为上下文响应或 鉴别响应消息,则相应发送路由区更新接受或附着接受消息给用户设备来指 示网络侧密钥标识符已经映射成功;如果所收到的移动管理单元发送密钥及 其标识符的消息为转发重定向请求消息,则发送转发重定向响应消息给移动 管理单元来指示网络侧密钥标识符已经映射成功。
全文摘要
本发明公开了一种用户设备转移时密钥身份标识符的生成方法和生成系统;方法包括当用户设备从演进的陆地无线接入网转移到目标系统时,移动管理单元将接入安全管理实体密钥的身份标识符发给服务GPRS支持节点,服务GPRS支持节点和用户设备均将接入安全管理实体密钥的身份标识符映射为目标系统的密钥身份识别符。能够解决现有技术中用户设备从演进的陆地无线接入网转移到陆地无线接入网或通用分组无线业务/改进数据率GSM服务无线接入网后,转移过程中产生的由接入安全管理实体密钥映射过来的密钥无身份标识符的问题。
文档编号H04L12/28GK101299884SQ20081010047
公开日2008年11月5日 申请日期2008年6月16日 优先权日2008年6月16日
发明者张旭武, 露 甘, 庆 黄 申请人:中兴通讯股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张旭武;甘露;黄庆
  • 技术所有人:中兴通讯股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
使用者密钥标识符相关技术
谷歌身份验证器密钥相关技术
google身份验证器密钥相关技术
身份认证密钥与盐相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2