密钥隔离方法和装置的制作方法

专利名称：密钥隔离方法和装置的制作方法
技术领域：
本发明涉及通信领域，尤其涉及一种密钥隔离方法和装置。
背景技术：
UMTS R9 (Universal Mobile Telecommunications System，通用移动通信系统) 中定义了宏小区和HNB(Home NodeB，家庭基站)之间的切换方案以及HNB之间的切换方案，R9中，宏小区和HNB之间的切换以及HNB之间的切换会采用一般硬切换流程，核心网的 SGSN(Servicing GPRS Support Node，服务GPRS支持节点)会参与整个切换过程。由于HNB覆盖范围相对较小(一般覆盖范围为几十米)，在同一个应用场景内部， 就会出现多个HNB布网的情况，由于移动用户的移动，就会发生HNB小区之间的切换，当这种切换频繁发生时，会给网络侧带来相应的负担。为了减少对CN(Core Network，核心网) 的冲击，对于同一个HNB GW下的HNB来说，可能存在HNB之间不存在Iur接口，HNB之间的切换信令终结在HNB GW上的切换优化方案，如图IA所示；也可能存在HNB之间存在Iur接口，但HNB之间切换信令通过HNB GW进行转发，切换信令终结于HNB GW上的切换优化方案， 如图IB所示；或者HNB之间存在Iur接口，但HNB之间切换信令通过Iur 口直接传递的切换优化方案，如图IC所示。目前，UMTS系统中，切换信令终结于SGSN的硬切换过程中，如果源节点是HNB，则当UE从源HNB切换到目标节点(包括RNC或HNB)后，CK(加密密钥)和IK(完整性保护密钥)没有发生变化，即源HNB知道目标节点使用的密钥，而HNB由于其所处位置的特殊性 (不像RNC —样位于运营商机房内)，如果攻击者获取了源HNB上的密钥，那么也会获取目标节点的密钥。同样的，对于UMTS系统中同一个HNB GW下的HNB之间的切换，对于HNB之间存在Iur接口的切换场景，当UE从源HNB切换到目标HNB后，也会存在密钥隔离的安全问题。另外，UMTS系统中，如果UE在空闲模式下从HNB移动到RNC或HNB，与切换场景类似， 也会存在密钥隔离的安全问题。

发明内容
本发明实施例提供一种密钥隔离方法和装置，以便源HNB与目标HNB/RNC使用不同的密钥进行加密和完整性保护。本发明实施例的上述目的是通过如下技术方案实现的—种密钥隔离方法，所述方法应用于服务通用分组无线业务支持节点SGSN，所述方法包括在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；如果所述源节点为家庭基站，则根据运营商策略触发运行认证与密钥协商过程，以更新加密和完整性保护密钥。一种SGSN，所述SGSN包括确定单元，用于在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站 HNB;触发单元，用于在所述确定单元确定出所述源节点为家庭基站时，根据运营商策略触发运行认证与密钥协商消息，以更新加密和完整性保护密钥。一种密钥隔离方法，所述方法应用于家庭基站网关或者用户设备或者目标家庭基站，所述方法包括在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；如果所述源节点为家庭基站，则向 SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程，以便更新加密和完整性保护密钥。一种家庭基站网关，所述家庭基站网关包括确定单元，用于在用户设备从源节点切换到目标节点时，确定所述源节点是否为家庭基站；发送单元，用于在所述确定单元确定出所述源节点为家庭基站时，向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程。一种用户设备，所述用户设备包括确定单元，用于在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；发送单元，用于在所述确定单元确定出所述源节点为家庭基站时，向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程。一种目标家庭基站，所述目标家庭基站包括确定单元，用于在用户设备从源节点切换到目标节点时，确定所述源节点是否为家庭基站；发送单元，用于在所述确定单元确定出所述源节点为家庭基站时，向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程。一种密钥隔离方法，所述方法应用于SGSN，所述方法包括在用户设备从源节点切换到目标节点的过程中，确定所述源节点是否是家庭基站；如果所述源节点是家庭基站， 则从本地保存的多个认证向量中选择一个，并将选择出的认证向量对应的加密和完整性保护密钥作为所述用户设备在所述目标节点使用的密钥；将所述选择出的认证向量对应的随机数发送到所述用户设备，以便所述用户设备根据所述随机数生成所述加密和完整性保护密钥。一种SGSN，所述SGSN包括第一确定单元，用于在用户设备从源节点切换到目标节点的过程中，确定所述源节点是否是家庭基站；选择单元，用于在所述第一确定单元确定出所述源节点是家庭基站时，从本地保存的多个认证向量中选择一个，并将选择出的认证向量对应的加密和完整性保护密钥作为所述用户设备在所述目标节点使用的密钥；发送单元，用于将所述选择单元选择出的认证向量对应的随机数到所述用户设备，以便所述用户设备根据所述随机数生成所述加密和完整性保护密钥。一种密钥隔离方法，所述方法应用于用户设备，所述方法包括在用户设备从源节点切换到目标节点的过程中，接收所述源节点发送的无线资源控制协议连接重配置消息， 所述无线资源控制协议连接重配置消息中包括SGSN选择出的认证向量对应的随机数；根据所述随机数生成加密和完整性保护密钥，将所述加密和完整性保护密钥作为在目标节点中使用的密钥。一种用户设备，所述用户设备包括接收单元，用于在所述用户设备从源节点切换到目标节点的过程中，接收所述源节点发送的无线资源控制协议连接重配置消息，所述无线资源控制协议连接重配置消息中包括SGSN选择出的认证向量对应的随机数；生成单元， 用于根据所述接收单元接收到的无线资源控制协议连接重配置消息的随机数生成加密和完整性保护密钥，将所述加密和完整性保护密钥作为在目标节点中使用的密钥。本实施例的方法和装置可以重新选择新的目标节点使用的加密和完整性保护密钥或者运行认证和密钥协商流程等方式实现源节点和目标节点的密钥隔离。


此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。在附图中图IA-图IC为目前优化的切换架构示意图；图2为本发明第三实施例的第一-实施方式的方法流程图(SGSN)；图3为本发明第三实施例的第一-实施方式的SGSN的组成框图；图4为本发明第三实施例的第三实施方式的方法流程图；图5为本发明第三实施例的第三实施方式的HNB Gff的组成框6为本发明第三实施例的第三实施方式的目标HNB的组成框图
图7为本发明第三实施例的第三实施方式的UE的组成框图；图8为本发明第三实施例的流程图1 ；图9为本发明第三实施例的流程图2 ；图10为本发明第:三实施例的流程图3 ；
图11为本发明第:三实施例的流程图4 ；图12为本发明第-一实施例的安全相关信息提供方法的流程图；图13为图12所示实施例的第一-实施方式的流程图；图14为图12所示实施例的第二.实施方式的流程图；图15为图14所示实施例的第三实施方式的流程图；图16为本发明第-一实施例的SGSN的组成框图；图17为本发明第—二实施例的方法流程图(SGSN)；
图18为本发明第—二实施例的SGSN的组成框图；图19为本发明第—二实施例的方法流程图(UE)；图20为本发明第—二实施例的UE的组成框图；图21为本发明第—二实施例的切换流程图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。实施例一图2为本实施例提供的一种密钥隔离方法的流程图，本实施例是通过SGSN自己触发运行认证与密钥协商(AKA)来更新加密和完整性保护密钥CK、IK，以便源节点和目标节点的密钥隔离，请参照图2，该方法应用于SGSN，该方法包括步骤201 在用户设备从源节点切换到目标节点时，或者用户设备在空闲态 (idle)从源节点移动到目标节点时，SGSN确定所述源节点是否为家庭基站；
其中，本实施例的方法是用于进行密钥隔离，因此本实施例的方法可以发生在需要进行密钥隔离的时候，故在步骤201中，用户设备从源节点切换到目标节点时既可以表示用户设备从源节点切换到目标节点的过程中，也可以表示用户设备从源节点切换到目标节点后；另外，用户设备在空闲态从源节点移动到目标节点时既可以表示用户设备在空闲态从源节点移动目标节点的过程中，也可以表示用户设备在空闲态从源节点移动到目标节点后。以下相同的表述表达相同的含义，不再赘述。在一个实施例中，SGSN判断源节点是否是HNB的方法可以是如果源节点是HNB， 那么源HNB在发给SGSN的重定向请求消息中携带的是HNB Gff的RNC ID, SGSN能够判断重定向请求消息是从HNB GW转发的(HNB GW接入网络时会向SGSN注册)，从而SGSN能够知道源节点是HNB。在另一个实施例中，SGSN判断源节点是否是HNB的方法可以是如果该SGSN接收到的重定向请求消息是HNB Gff转发的，则确定源节点是HNB。以上两种SGSN判断源节点是否是HNB的方法只是举例说明，本实施例并不以此作为限制。步骤202 如果所述源节点为家庭基站，则SGSN根据运营商策略触发运行认证与密钥协商过程，以更新CK、IK。根据本实施例的方法，SGSN可以通过SMC (SE⑶RITY MODE COMMAND，安全模式命令)过程将所述CK、IK发送到所述目标节点，以便所述源节点和所述目标节点使用不同的 CK、IK，以实现密钥隔离。在一个实施例中，SGSN还用于进一步确认所述目标节点是否是无线网络控制器 RNC,此时，SGSN则用于在源节点是HNB且目标节点是RNC时，根据运营商的策略触发运行 AKA进行密钥隔离，即根据运营商策略触发运行认证与密钥协商过程，以更新CK、IK。在另一个实施例中，如果UE是在空闲态(idle)发生从源节点(例如HNB)到目标节点(例如RNC)的移动，则当SGSN发现UE从HNB移动到RNC后，也会触发运行AKA，以更新 CK、IK。其中，当UE在空闲态下从HNB移动到RNC并且没有发生RAU(路由更新)时，由于 SGSN不能够知道UE已经从HNB移动到了 RNC，因此，在这种情况下SGSN不触发运行AKA，而是由UE触发SGSN运行AKA，这将在以下的实施例中加以说明。在本实施例中，根据运营商策略触发运行AKA可以包括在UE从源节点切换到目标节点的切换完成后，或者UE在空闲态从源节点移动到目标节点的移动完成后，或者源节点的家庭基站网关接收到IU接口释放消息后，触发运行AKA。其中，在SGSN通过SMC过程向目标节点(例如目标HNB或者RNC，以下简称目标 HNB/RNC)发送更新的CK、IK的信令流程中，为了保证目标节点能选择合适的加密和完整性保护算法，该目标节点还可以在转发给UE的安全模式命令消息中增加UE安全能力，以便UE 根据目标节点发送的UE能力进行验证，以确保安全。该UE安全能力验证方法包括目标节点将SGSN发送的安全模式命令转发给UE，其中，所述安全模式命令中包括所述UE的UE安全能力，以便所述UE对所述UE安全能力进行验证。其中，UE对UE安全能力进行验证后，将验证结果通过安全模式完成消息返回给该目标节点，因此，目标节点还可以接收所述UE返回的包括对所述UE安全能力的验证结果的安全模式完成消息。此外，目标节点还可以通过在切换完成后，以独立的UE能力请求消息向UE请求UE 能力，并在UE返回其UE能力后，对该UE能力进行验证，同样可以达到确保安全的目的。该 UE安全能力验证方法包括目标节点在切换完成后向UE发送UE能力请求消息，以请求所述UE将其UE安全能力返回到该目标节点；目标节点根据所述UE返回的UE安全能力对所述UE安全能力进行验证。本实施例的方法通过由SGSN自己触发运行AKA，通过SMC来更新目标节点使用的加密和完整性密钥(CK、IK)，实现了源节点和目标节点的密钥隔离。图3为本实施例的SGSN的组成框图，请参照图3，该SGSN包括确定单元31，用于在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；触发单元32，用于在确定单元31确定出所述源节点为家庭基站时，根据运营商策略触发运行认证与密钥协商过程，以更新CK、IK。在一个实施例中，确定单元31还用于进一步确认所述目标节点是否是无线网络控制器RNC，触发单元32具体用于在源节点是HNB且目标节点是RNC时，根据运营商策略触发运行认证与密钥协商过程，以更新CK、IK。在一个实施例中，触发单元32用于在所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备在空闲态从源节点移动到目标节点的移动完成，或者所述源节点的家庭基站网关接收到IU接口释放消息后，触发运行认证与密钥协商过程。本实施例的SGSN与图2所示实施例的方法相对应，由于在图2所示的实施例中， 已经对各步骤进行了详细说明，在此不再赘述。本实施例的SGSN通过自己触发运行AKA，通过SMC过程来更新目标节点使用的加密和完整性密钥(CK、IK)，实现了源节点和目标节点的密钥隔离。图4为本实施例提供的一种密钥隔离方法的流程图，该方法可以应用于HNB GW或者目标HNB或者UE，是通过上述HNB GW、目标HNB或者UE发送通知消息给SGSN，来触发该 SGSN运行AKA，以更新CK、IK,从而达到密钥隔离的目的。请参照图4，该方法包括步骤401 在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；在一个实施例中，当该方法应用于HNB Gff或者目标HNB时，可以在用户设备从源节点切换到目标节点时，由该HNB Gff或者目标HNB确定该源节点是否为家庭基站。其中，由于HNB是从HNB GW注册的，那么HNB在发给HNB GW的重定向请求消息中携带的是HNB Gff的RNC ID,因此，HNB Gff能够据此判断源基站是否HNB，从而通知SGSN在合适的时候触发AKA。另外，由于只有源节点是HNB时才会在切换时向HNB Gff发送重定向请求消息，因此，HNB GW也可以根据接收到重定向请求消息来确定源节点是HNB。上述两种 HNB GW确定源节点是否是HNB的方法只是举例说明，本实施例并不以此作为限制。其中，当目标HNB发现增强的重定向请求消息中携带的RNC ID与自己的RNC ID相同，则目标HNB能够据此判断源基站是否HNB，从而通知SGSN在合适的时候触发AKA。另外， 目标HNB也可以根据SGSN同步获得的源节点的范围来确定源节点是否是HNB，例如SGSN可以为HNB和RNC设置不同的地址范围，并同步给HNB Gff和HNB，则当目标HNB需要确认源节点是否是HNB时，可以根据该地址范围加以确定。上述两种目标HNB确定源节点是否是 HNB的方法只是举例说明，本实施例并不以此作为限制。在另外一个实施例中，当该方法应用于UE时，可以在用户设备从源节点切换到目标节点时，或者在UE在空闲态从源节点移动到目标节点时，由该用户设备UE确定该源节点是否为家庭基站。其中，对于UE来说，其本身就知道自己所驻留的基站是否是HNB，因此，用户设备可以据此确定该源节点是否为家庭基站。另外，UE也可以通过读取广播消息来确定哪些基站是HNB，进而得知自己注册的源基站是否是HNB。上述两种UE确定源节点是否是HNB的方法只是举例说明，本实施例并不以此作为限制。步骤402 如果所述源节点为家庭基站，则向SGSN发送通知消息，以通知所述SGSN 删除SGSN上的安全上下文，触发SGSN运行认证与密钥协商流程，以便更新CK、IK。在一个实施例中，当该方法应用于HNB Gff或者UE时，HNB Gff或者UE还可以进一步确认所述目标节点是否是无线网络控制器(RNC)，并且在源节点是HNB且目标节点是RNC 时，触发SGSN运行AKA进行密钥隔离，即向SGSN发送通知消息，以通知所述SGSN删除SGSN 上的安全上下文，以触发SGSN运行认证与密钥协商流程，以便更新CK、IK。其中，当所述方法应用于HNB Gff时，如果HNB GW接收到Iu接口释放(Release) 消息，或者UE离开活动态(active)进入空闲态(idle)，或者用户设备从源节点切换到目标节点的切换完成，则HNB Gff向SGSN发送上述通知消息，以触发SGSN运行AKA。其中，当所述方法应用于目标HNB时，如果用户设备从源节点切换到目标节点的切换完成，或者UE离开活动态(active)进入空闲态(idle)，则目标HNB向SGSN发送上述通知消息，以触发SGSN运行AKA。其中，当所述方法应用于UE时，如果用户设备从源节点切换到目标节点的切换完成，或者用户设备在空闲态从源节点移动到目标节点的移动完成，或者用户设备离开了活动态进入空闲态，或者用户设备将本地保存的KSI设为全1，或者用户设备将本地保存的状态值设为门限值，则用户设备向SGSN发送上述通知消息，以触发SGSN运行AKA。通过本实施例的方法，HNB Gff或者目标HNB或者UE可以在合适的时机通过通知消息触发SGSN运行AKA，以更新CK、IK,并使得SGSN通过SMC过程将该CK、IK发送到目标节点，从而使UE在目标节点使用新的CK、IK,实现源节点与目标节点的密钥隔离。其中，在SGSN通过SMC向目标节点(例如目标HNB或者RNC，以下简称目标HNB/ RNC)发送更新的CK、IK的信令流程中，为了保证目标节点能选择合适的加密和完整性保护算法，该目标节点还可以在转发给UE的安全模式命令消息中增加UE安全能力，以便UE根据目标节点发送的UE能力进行验证，以确保安全。除此之外，目标节点还可以在切换完成后，通过独立的UE能力请求消息向UE请求UE能力，并在UE返回其UE能力后，对该UE能力进行验证，同样可以达到确保安全的目的。上述方法的具体执行步骤已经在图2所示实施例的方法中作了说明，在此不再赘述。图5为本实施例的家庭基站网关的组成框图，请参照图5，该家庭基站网关包括确定单元51，用于在用户设备从源节点切换到目标节点时，确定所述源节点是否为家庭基站；
发送单元52，用于在确定单元51确定出所述源节点为家庭基站时，向SGSN发送通知消息，触发所述SGSN运行认证与密钥协商流程。在一个实施例中，确定单元51还用于进一步确认所述目标节点是否是无线网络控制器RNC，发送单元52具体用于在源节点是HNB且目标节点是RNC时，向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商流程。本实施例的HNB GW可以在合适的时机触发SGSN运行AKA，例如在接收到Iu接口释放消息后，或者在用户设备从源节点切换到目标节点的切换完成后，或者在UE从active 态进入idle态后，以更新CK、IK,以便SGSN通过SMC过程该SGSN将该CK、IK发送到目标节点，从而使UE在目标节点使用新的CK、IK,从而做到源节点与目标节点的密钥隔离。本实施例的HNB Gff的各组成部分分别用于实现前述图4所示方法应用于HNB Gff 的实施例的各步骤，由于在图4所示方法应用于HNB Gff的实施例中，已经对各步骤进行了详细说明，在此不再赘述。图6为本实施例的用户设备的组成框图，请参照图6，该用户设备包括确定单元61，用于在用户设备从源节点切换到目标节点时，或者在用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；发送单元62，用于在确定单元61确定出所述源节点为家庭基站时，向SGSN发送通知消息，通知所述SGSN触发认证与密钥协商流程。在一个实施例中，确定单元61还用于进一步确认所述目标节点是否是无线网络控制器RNC，发送单元62具体用于在源节点是HNB且目标节点是RNC时，向SGSN发送通知消息，以通知所述SGSN触发认证与密钥协商流程。 本实施例的UE可以在合适的时机触发SGSN运行AKA，例如在用户设备从源节点切换到目标节点的切换完成后，或者在用户设备在空闲态从源节点移动到目标节点的移动完成后，或者UE从active态进入idle态，或者UE将本地保存的KSI设为全1，或者UE将本地保存的状态值设为门限值，以更新CK、IK，以便SGSN通过SMC将该CK、IK发送到目标节点，从而使UE在目标节点使用新的CK、IK,从而做到源节点与目标节点的密钥隔离。本实施例的UE的各组成部分分别用于实现前述图4所示方法应用于UE的实施例的各步骤，由于在图4所示方法应用于UE的实施例中，已经对各步骤进行了详细说明，在此不再赘述。图7为本实施例的目标家庭基站的组成框图，请参照图7，该目标家庭基站包括确定单元71，用于在用户设备从源节点切换到目标节点时，确定所述源节点是否为家庭基站；发送单元72，用于在确定单元71确定出所述源节点为家庭基站时，向SGSN发送通知消息，通知所述SGSN触发认证与密钥协商流程。本实施例的目标HNB可以在合适的时机触发SGSN运行AKA，例如在用户设备从源节点切换到目标节点的切换完成后，或者在UE从active态进入idle态后，以更新CK、IK， 以便该SGSN将该CK、IK发送到目标节点，从而使UE在目标节点使用新的CK、IK，从而做到源节点与目标节点的密钥隔离。本实施例的目标HNB的各组成部分分别用于实现前述图4所示方法应用于目标 HNB的实施例的各步骤，由于在图4所示方法应用于目标HNB的实施例中，已经对各步骤进行了详细说明，在此不再赘述。为使本实施例的密钥隔离方法更加清楚易懂，以下结合图8-图11所示的流程对本实施例的方法进行详细说明。图8为应用本实施例的密钥隔离方法，当切换信令终结于CN时的流程图，请参照图8，则该流程包括步骤801 步骤809 同现有的切换流程；步骤810. a SGSN自己判断触发AKA 如果源节点是HNB，或者源节点是HNB且目标节点是RNC，则SGSN会根据运营商的策略尽快运行一次UMTS AKA,确保能够删除SGSN上的 UMTS安全上下文。其中，SGSN判断源节点是否是HNB的方法已经在步骤201作了说明，在此不再赘述。其中，本实施例是以UE从源节点切换到目标节点为例，但本实施例并不以此作为限制，例如UE在idle态从源节点移动到目标节点时，SGSN也可以通过步骤801. a触发运行AKA，以进行源节点和目标节点的密钥隔离。其中，运营商策略包括UE从active态进入idle态，或者用户设备从源节点切换到目标节点的切换完成，或者用户设备在空闲态从源节点移动到目标节点的移动完成，或者HNB GW接收到IU接口释放消息等，本实施例并不以此作为限制，只要确保能够删除SGSN 上的UMTS安全上下文即可。步骤810.bl:HNB GW通知SGSN触发AKA 如果源节点是HNB，或者源节点是HNB且目标节点是RNC，则执行步骤810. b2 ；其中，HNB GW确定源节点是否时HNB的方法已经在步骤401作了详细说明，在此不再赘述。步骤810. b2 =HNB Gff在合适的时机触发SGSN尽快运行AKA，例如在用户设备从源节点切换到目标节点的切换完成后，或者在UE离开active态进入idle态后，或者在HNB GW接收到Iu Release (IU接口释放)消息后等等，HNB GW通知SGSN删除SGSN上的安全上下文，从而SGSN会尽快运行一次AKA。其中，HNB GW可以通过通知消息触发SGSN尽快运行AKA，但本实施例并不以此作为限制。步骤811 :UE 和 SGSN 运行 AKA。通过上述方法，SGSN可以再通过SMC过程将CK、IK通知到目标RNC，从而使UE在目标RNC使用新的CK、IK,从而做到源HNB与目标RNC的密钥隔离。其中，在SGSN通过SMC向目标节点(例如目标HNB或者RNC，以下简称目标HNB/ RNC)发送更新的CK、IK的信令流程中，为了保证目标节点能选择合适的加密和完整性保护算法，该目标节点还可以在转发给UE的安全模式命令消息中增加UE安全能力，以便UE根据目标节点发送的UE能力进行验证，以确保安全。除此之外，目标节点还可以在切换完成后，通过独立的UE能力请求消息向UE请求UE能力，并在UE返回其UE能力后，对该UE能力进行验证，同样可以达到确保安全的目的。上述方法的具体执行步骤已经在图2所示实施例的方法中作了说明，在此不再赘述。图9为应用本实施例的密钥隔离方法，当切换信令终结于HNB Gff,且所述源节点和所述目标节点之间没有Iur接口时的流程图，请参照图9，该流程包括步骤901 步骤907 同现有的切换流程；步骤908. 1 =HNB GW通知SGSN触发AKA，方法与图8中相同。如果源节点是HNB， 或者源节点是HNB且目标节点是RNC，则HNB Gff在合适的时机通知SGSN尽快触发AKA，例如在用户设备从源节点切换到目标节点的切换完成后，或者UE离开active态进入idle态后，或者在HNG GW接收到Iu Release消息后，HNB GW通知SGSN删除SGSN上的安全上下文，从而触发SGSN尽快运行一次AKA。其中，HNB GW确定源节点是否是HNB的方法已经在步骤401作了详细说明，在此不再赘述。步骤908. 2 =UE通知SGSN触发AKA，如果源节点是HNB，或者源节点是HNB且目标节点是RNC，则UE在合适时机通知SGSN触发AKA，例如可以是1)切换完成，也即用户设备从源节点切换到目标节点的切换过程已经完成；或者2)移动完成，也即用户设备在空闲态从源节点移动到目标节点的移动过程已经完成；或者其中，本实施例是以UE从源节点切换到目标节点为例，当UE在空闲态从源节点移动到目标节点时，也适用本实施例的方法，此时，UE可以在移动完成后，触发SGSN运行AKA。3) UE离开active态进入idle态；或者4) UE将其保存的KSI (Key Set Identifier，密钥集标识)设为全1 ；或者5) UE 将其保存的 “ START，，值设为 “ START_THRESHOLD，，的门限值。在以上几种情况下，UE都可以触发SGSN运行AKA。其中，UE确定源节点是否是HNB的方法已经在步骤401作了详细说明，在此不再赘述。909. 1/909. 2 :HNB Gff 或者 UE 触发 SGSN 运行 AKA ；
其中，可以通过通知消息来触发SGSN运行AKA，本实施例并不以此作为限制。910:AKA 流程。通过上述方法，SGSN可以再通过SMC过程将CK、IK通知到目标HNB，从而使UE在目标HNB使用新的CK、IK,从而做到源HNB与目标HNB的密钥隔离。其中，在SGSN通过SMC向目标节点(例如目标HNB或者RNC，以下简称目标HNB/ RNC)发送更新的CK、IK的信令流程中，为了保证目标节点能选择合适的加密和完整性保护算法，该目标节点还可以在转发给UE的安全模式命令消息中增加UE安全能力，以便UE根据目标节点发送的UE能力进行验证，以确保安全。除此之外，目标节点还可以在切换完成后，通过独立的UE能力请求消息向UE请求UE能力，并在UE返回其UE能力后，对该UE能力进行验证，同样可以达到确保安全的目的。上述方法的具体执行步骤已经在图2所示实施例的方法中作了说明，在此不再赘述。图10为应用本实施例的密钥隔离方法，当切换信令终结节点为源节点的家庭基站网关，且所述源节点和所述目标节点之间有Iur接口时的流程图，请参照图10，该流程包括步骤1001 步骤1006 同现有的切换流程；步骤1007. 1 目标HNB通知SGSN触发AKA，如果源节点是HNB，则目标HNB在合适的时机通知SGSN尽快触发AKA，例如在UE离开active态进入idle态后，或者用户设备从源节点切换到目标节点的切换完成后，目标HNB通知SGSN删除SGSN上的安全上下文，从而触发SGSN运行一次AKA。其中，目标HNB确定源节点是否是HNB的方法已经在步骤401作了详细说明，在此不再赘述。步骤1007. 2 =UE通知SGSN触发AKA，如果源节点是HNB，或者源节点是HNB且目标节点是RNC，则UE在合适时机触发SGSN运行AKA，例如可以是1)切换完成，也即用户设备从源节点切换到目标节点的切换过程已经完成；或者2)移动完成，也即用户设备在空闲态从源节点移动到目标节点的移动过程已经完成；或者其中，本实施例是以UE从源节点切换到目标节点为例，当UE在空闲态从源节点移动到目标节点时，也适用本实施例的方法，此时，UE可以在移动完成后，触发SGSN运行AKA。3) UE 离开 active 态进入 idle 态；4) UE将其保存的KSI设为全1 ；5) UE 将其保存的 “ START，，值设为 “ START_THRESHOLD，，的门限值。在以上几种情况下，UE都会触发SGSN运行AKA。其中，UE确定目标节点是否是RNC的方法已经在步骤401作了详细说明，在此不再赘述。1008. 1/1008. 2 目标 HNB 或者 UE 触发 SGSN 运行 AKA ；其中，可以通过通知消息来触发SGSN运行AKA，本实施例并不以此作为限制。1009 :AKA 流程。通过上述方法，SGSN可以再通过SMC过程将CK、IK通知到目标HNB，从而使UE在目标HNB使用新的CK、IK,从而做到源HNB与目标HNB的密钥隔离。其中，在SGSN通过SMC向目标节点(例如目标HNB或者RNC，以下简称目标HNB/ RNC)发送更新的CK、IK的信令流程中，为了保证目标节点能选择合适的加密和完整性保护算法，该目标节点还可以在转发给UE的安全模式命令消息中增加UE安全能力，以便UE根据目标节点发送的UE能力进行验证，以确保安全。除此之外，目标节点还可以在切换完成后，通过独立的UE能力请求消息向UE请求UE能力，并在UE返回其UE能力后，对该UE能力进行验证，同样可以达到确保安全的目的。上述方法的具体执行步骤已经在图2所示实施例的方法中作了说明，在此不再赘述。图11为应用本实施例的密钥隔离方法，当切换信令通过源节点的家庭基站网关转发，且所述源节点和所述目标节点之间有逻辑Iur接口时，也即切换信令通过HNB GW转发时的流程图，请参照图11，该流程包括步骤1101 步骤1109 同现有的切换流程；步骤1110. 1 =HNB GW通知SGSN触发AKA，方法与图8中相同。如果源节点是HNB， 或者源节点是HNB且目标节点是RNC，则HNB Gff在合适的时机通知SGSN尽快触发AKA，例如在UE离开active态进入idle态后，或者在HNB GW接收到Iu Release消息后，或者在用户设备从源节点切换到目标节点的切换完成后，HNB GW通知SGSN删除SGSN上的安全上下文，从而触发SGSN尽快运西一次AKA。
其中，HNB GW确定源节点是否HNB的方法已经在步骤401作了详细说明，在此不再赘述。步骤1110. 2 目标HNB通知SGSN触发AKA，如果源节点是HNB，则目标HNB在合适的时机通知SGSN尽快触发AKA，例如在UE离开active态进入idle态后，或者在用户设备从源节点切换到目标节点的切换完成后，目标HNB通知SGSN删除SGSN上的安全上下文，从而触发SGSN尽快运行一次AKA。其中，目标HNB确定源节点是否是HNB的方法已经在步骤401作了详细说明，在此不再赘述。步骤1110. 3 :UE通知SGSN触发AKA，如果源节点是HNB，或者源节点是HNB且目标节点是RNC，则UE在合适时机触发SGSN运行AKA，例如可以是1)切换完成，也即用户设备从源节点切换到目标节点的切换过程已经完成；或者2)移动完成，也即用户设备在空闲态从源节点移动到目标节点的移动过程已经完成；或者其中，本实施例是以UE从源节点切换到目标节点为例，当UE在空闲态从源节点移动到目标节点时，也适用本实施例的方法，此时，UE可以在移动完成后，触发SGSN运行AKA。3) UE 离开 active 态进入 idle 态；4) UE将其保存的KSI设为全1 ；5) UE 将其保存的 “ START，，值设为 “ START_THRESHOLD，，的门限值。
在上述几种情况下，UE都会触发SGSN运行AKA。其中，UE确定目标节点是否是RNC的方法已经在步骤401作了详细说明，在此不再赘述。前述是通过目标HNB或者UE触发SGSN运行AKA的流程，在本实施例中，如果希望通过HNB Gff触发AKA，那么HNB Gff需要对切换相关的消息进行解析，在此不再赘述。步骤1111. 1/1111. 2/1111. 3 :HNB GW 或者目标 HNB 或者 UE 触发 SGSN 运行 AKA ；其中，可以通过通知消息来触发SGSN运行AKA，本实施例并不以此作为限制。步骤1112 :AKA 流程。通过上述方法，SGSN可以再通过SMC过程将CK、IK通知到目标HNB，从而使UE在目标HNB使用新的CK、IK,从而做到源HNB与目标HNB的密钥隔离。其中，在SGSN通过SMC向目标节点(例如目标HNB或者RNC，以下简称目标HNB/ RNC)发送更新的CK、IK的信令流程中，为了保证目标节点能选择合适的加密和完整性保护算法，该目标节点还可以在转发给UE的安全模式命令消息中增加UE安全能力，以便UE根据目标节点发送的UE能力进行验证，以确保安全。除此之外，目标节点还可以在切换完成后，通过独立的UE能力请求消息向UE请求UE能力，并在UE返回其UE能力后，对该UE能力进行验证，同样可以达到确保安全的目的。上述方法的具体执行步骤已经在图2所示实施例的方法中作了说明，在此不再赘述。本实施例的方法通过各种方法触发SGSN运行AKA更新目标节点使用的CK、IK (加密和完整性密钥)，实现了源节点和目标节点的密钥隔离。实施例二图12为本实施例提供的一种密钥隔离方法的流程图，该方法应用于切换信令经过核心网的切换场景中的SGSN，用于进行源节点(例如源HNB)和目标节点(例如目标HNB 或目标RNC(简称目标HNB/RNC))的密钥隔离，请参照图12，该方法包括步骤1201 在用户设备从源节点切换到目标节点的过程中，SGSN确定所述源节点是否是家庭基站；其中，SGSN确定源节点是否是家庭基站的方法与步骤201的方法相同，在此不再赘述。步骤1202 如果所述源节点是家庭基站，则从本地保存的多个认证向量中选择一个，并将选择出的认证向量对应的加密和完整性保护密钥(CK、IK)作为所述用户设备在所述目标节点使用的密钥；其中，如果本地仅保存有一个认证向量，则可以先向归属地用户服务器HSS请求一组认证向量，然后从该一组认证向量中选择一个。在一个实施例中，SGSN还可以进一步确认所述目标节点是否是无线网络控制器 RNC, SGSN用于在源节点是HNB且目标节点是RNC时，触发利用认证向量AV进行密钥隔离的过程，即从本地保存的多个认证向量中选择一个，并将选择出的认证向量对应的加密和完整性保护密钥作为所述用户设备在所述目标节点使用的密钥。步骤1203 将所述选择出的认证向量对应的随机数RAND发送到所述用户设备，以便所述用户设备根据所述RAND生成所述CK、IK。在本实施例中，还可以将选择出的认证向量对应的认证标记AUTN—同发送到所述用户设备，以便用户设备验证之用。在本实施例中，如果用户设备根据所述RAND生成了 CK、IK后又对AUTN进行了验证或者计算了 RES，并返回了认证响应消息，则本实施例的方法还包括步骤1204 接收所述用户设备返回的认证响应消息，所述认证响应消息中包括所述用户设备对所述AUTN的验证结果和/或所述用户设备计算的RES ；步骤1205 如果所述验证结果为验证失败，或者所述用户设备计算的RES与所述选择出的认证向量对应的XRES不一致，则不将所述认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥。其中，本实施例并不限定于利用认证响应消息返回上述信息，也可以通过其他消息，例如其他切换消息的一部分，例如重定向完成消息等。通过本实施例的方法，在UE从源HNB切换到目标HNB/RNC的过程中，SGSN从自己保存的多个认证向量AV中重新选择一个新的AV，并将这个AV对应的CK、IK作为UE在目标HNB/RNC使用的密钥，SGSN将AV对应的RAND发给UE，UE根据RAND推衍新的CK，IK,如此保证了源HNB与目标HNB/RNC的密钥隔离。图13为本实施例的一种SGSN的组成框图，请参照图13，该SGSN包括第一确定单元131，用于在用户设备从源节点切换到目标节点的过程中，确定所述源节点是否是家庭基站；选择单元132，用于在第一确定单元131确定出所述源节点是家庭基站时，从本地保存的多个认证向量中选择一个，并将选择出的认证向量对应的CK、IK作为所述用户设备在所述目标节点使用的密钥；发送单元133，用于将选择单元132选择出的认证向量对应的RAND发送到所述用户设备，以便所述用户设备根据所述RAND生成所述CK、IK。在一个实施例中，第一确定单元131还用于进一步确认所述目标节点是否是无线网络控制器RNC，选择单元132具体用于在源节点是HNB且目标节点是RNC时，从本地保存的多个认证向量中选择一个，并将选择出的认证向量对应的加密和完整性保护密钥作为所述用户设备在所述目标节点使用的密钥。在一个实施例中，选择单元132可以包括请求模块1321，用于在本地只有一个认证向量时，向HSS请求一组认证向量；选择模块1322，用于从请求模块1321请求获得的一组认证向量中选择一个。在另外一个实施例中，发送单元133还可以将选择出的认证向量对应的AUTN—同发送到所述用户设备，以便验证之用，所述用户设备还可以据此计算RES，则该SGSN还可以包括接收单元134，用于接收所述用户设备返回的认证响应消息，所述认证响应消息中包括所述用户设备对所述AUTN的验证结果和/或所述用户设备计算的RES ；第二确定单元135，用于在接收单元134接收到的认证响应消息中的验证结果为验证失败，或者所述用户设备计算的RES与所述选择出的认证向量对应的XRES不一致时， 确定不将所述认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥。本实施例的SGSN的各组成部分分别用于实现图12所示方法的实施例的各步骤， 由于在图12所示的方法实施例中，已经对各步骤进行了详细说明，在此不再赘述。通过本实施例的SGSN重新选择新的目标节点使用的加密和完整性密钥，实现了源节点和目标节点的密钥隔离。图14为本发明实施例的密钥隔离方法的流程图，该方法应用于切换信令经过核心网的切换场景中的用户设备，请参照图14，该方法包括步骤1401 在用户设备从源节点切换到目标节点的过程中，接收源节点发送的无线资源控制协议RRC连接重配置消息，所述RRC连接重配置消息中包括SGSN选择出的认证向量对应的RAND ；在一个实施例中，该RRC连接重配置消息中还可以包括SGSN选择出的认证向量对应的AUTN，以便验证之用。步骤1402 根据所述RAND生成CK、IK，将所述CK、IK作为在目标节点中使用的密钥。在一个实施例中，用户设备根据RAND生成新的CK、IK之后，还可以根据所述RAND 和所述AUTN中的参数对所述AUTN进行验证，并向SGSN返回认证结果。以便SGSN根据该验证结果确定是否将选择出的认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥。其中，该认证结果可以通过认证响应消息发送到所述SGSN，也可以通过其他消息发送到所述SGSN，例如重定向完成消息，本实施例并不以此作为限制。如果认证失败，则所述SGSN不将所述认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥。在另外一个实施例中，用户设备还可以进一步根据所述RAND计算RES，并向SGSN 返回计算出的RES。以便SGSN根据该RES确定是否将选择出的认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥。
其中，同样的，该RES可以通过认证响应消息发送到所述SGSN，或者通过其他消息发送到所述SGSN，本实施例并不以此作为限制。如果所述RES与所述SGSN选择出的认证向量对应的XRES不相同，则所述SGSN不将所述认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥。通过本实施例的方法，UE可以根据RAND推衍新的CK、IK，由于SGSN重新选择了新的目标节点使用的加密和完整性密钥，实现了源节点和目标节点的密钥隔离。图15为本发明实施例的用户设备的组成框图，请参照图15，该用户设备包括接收单元151，用于在所述用户设备从源节点切换到目标节点的过程中，接收源节点发送的RRC连接重配置消息，所述RRC连接重配置消息中包括SGSN选择出的认证向量对应的RAND ；生成单元152，用于根据接收单元151接收到的RRC连接重配置消息中的RAND生成CK、IK，将所述CK、IK作为在目标节点中使用的密钥。在一个实施例中，接收单元151接收到的RRC连接重配置消息中还包括所述SGSN 选择出的认证向量对应的AUTN，则该用户设备还包括验证单元153，用于根据接收单元151接收到的RRC连接重配置消息中的RAND和 AUTN中的参数对所述AUTN进行验证；发送单元154，用于在验证单元153验证之后，向所述SGSN发送认证响应消息，所述认证响应消息中包含所述验证结果，以便SGSN根据所述验证结果确定是否将选择出的认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥，如果所述验证结果为验证失败，则所述SGSN不将所述认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥。在另外一个实施例中，该用户设备还包括计算单元155，用于根据接收单元151接收到的RRC连接重配置消息中的RAND计算 RES ；所述发送单元巧4还用于将计算单元155计算出的RES通过所述认证响应消息发送到所述SGSN，以便所述SGSN根据所述RES确定是否将选择出的认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥，如果所述RES与所述SGSN选择出的认证向量对应的XRES不相同，则所述SGSN不将所述认证向量对应的CK、IK作为所述用户设备在目标节点中使用的密钥。本实施例的用户设备的各组成部分分别用于实现图14所示实施例的方法的各步骤，由于在图14所示的方法实施例中，已经对各步骤进行了详细说明，在此不再赘述。通过本实施例的用户设备，可以根据RAND推衍新的CK、IK，由于SGSN重新选择了新的目标节点使用的加密和完整性密钥，实现了源节点和目标节点的密钥隔离。为使本实施例的密钥隔离方法更加清楚易懂，以下结合图16所示的切换流程对本实施例的方法进行详细说明，请参照图16，该流程包括步骤1601 源HNB作出切换到目标RNC的判决；步骤1602 源HNB向HNB Gff发送重定向请求消息；步骤1603 =HNB Gff将重定向请求消息进一步发给核心网SGSN ；步骤1604 如果切换的源基站是HNB，或者切换的源基站是HNB且切换的目标节点是RNC，则SGSN从自己保存的多个认证向量AV中重新选择一个新的AV，并将这个AV对应的CK、IK作为UE在目标HNB/RNC使用的密钥。其中，如果SGSN上只有一个认证向量AVJU SGSN会向HSS请求一组认证向量AV， 并从其中选择一个AV将其对应的CK、IK作为UE在目标HNB/RNC使用的密钥。其中，SGSN判断源基站是否是HNB的方法可以是如果源节点是HNB，那么HNB在发给SGSN的重定向请求消息中携带的是HNB Gff的RNC ID, SGSN能够判断重定向请求消息是从HNB Gff转发的(HNB Gff接入网络时会向SGSN注册)，从而SGSN能够知道源基站是 HNB。当然SGSN也可以通过其它方法判断源节点是否HNB，例如可以通过对HNB Gff和RNC 分配不同的RNC ID范围来确定源基站是否是HNB。本实施例并不以此作为限制。步骤1605 =SGSN向目标RNC发送重定向请求消息；步骤1606 目标RNC向SGSN回复重定向请求响应消息；步骤1607 =SGSN向HNB Gff发送重定向命令消息，消息中携带AV对应的RAND ；可选的，该消息中还可以携带AV对应的AUTN0步骤1608 =HNB Gff向源HNB转发携带RAND的重定向命令消息；步骤1609 源HNB向UE发送RRC连接重配置消息，消息中携带SGSN选择的AV对应的RAND ；步骤1610 =UE接收到RAND后，根据RAND生成新的CK、IK ；其中，如果上述消息中携带AUTN，则UE还可以根据RAND和AUTN中的参数对AUTN 进行验证，如果验证失败向SGSN返回验证失败信息，则SGSN不会将AV对应的CK、IK作为 UE在目标HNB/RNC使用的密钥。其中，UE还可以根据RAND计算RES ；步骤1611 如果UE对AUTN进行了验证或者计算了 RES，则UE向SGSN返回认证响应消息，在该认证响应消息中告知SGSN验证的结果以及UE计算的RES ；其中，该认证响应消息也可以作为其他切换消息的一部分发送给SGSN，例如重定向完成消息，本实施例并不以此作为限制。步骤1612 =SGSN对RES与AV对应的XRES进行比较，如果不相同，则SGSN不会将 AV对应的CK、IK作为UE在目标HNB/RNC使用的密钥对；步骤1613 其它切换消息即切换流程的剩余部分。通过本实施例的方法，SGSN可以再通过SMC过程将CK、IK通知到目标RNC，从而使 UE在目标RNC使用新的CK，IK,从而做到源HNB与目标RNC的密钥隔离。实施例三图17为本实施例提供的一种安全相关信息提供方法的流程图，本实施例适用于 HNB之间的切换信令终结于HNB GW并且HNB之间不存在直接接口的切换场景。请参照图 17，该方法应用于家庭基站网关(HNB GW)，该方法包括步骤1701 获取和保存安全相关信息，所述安全相关信息包括核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥；其中，根据UE是从HNB接入网络还是从RNC接入网络，HNB GW有不同的获取安全相关信息的方法，以下将通过不同的实施例加以说明。步骤1702 将所述安全相关信息发送到目标节点，以便所述目标节点根据所述安全相关信息选择算法和使用密钥。在传统的硬切换流程中，SGSN会将核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥发给目标RNC，由目标RNC进行选择和使用，而如果核心网SGSN不参与到HNB下UE的切换中去，则按照现有技术，目标HNB将无法获取核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥。本实施例通过HNB Gff去获取和保存安全相关信息，并根据需要发送到目标节点， 以便目标节点据此完成算法的选择和用户面密钥的获取，如此即很好的解决了上述问题。图18为本实施例的一个实施方式的流程图，请参照图18，如果UE是从HNB接入到网络的，那么UE可以在SMC(SECURITY MODE COMMAND，安全模式命令)过程中获取该安全相关信息。在每次SMC时，HNB GW解析SGSN发送的SECURITY MODE COMMAND消息，获取消息中携带的安全相关信息，也即加密和完整性保护信息并保存，该安全相关信息中包括核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥。请参照图 18，该流程包括步骤1801 =SGSN向HNB GW发送安全模式命令消息，消息中携带加密和完整性保护信息，包括核心网允许的加密和完整性保护算法列表以及当前的加密和完整性保护密钥；步骤1802 =HNB GW解析SGSN发送的安全模式命令消息，获取消息中携带的加密和完整性保护信息并保存；步骤1803 =HNB Gff转发安全模式命令消息给HNB ；步骤1804 =HNB向HNB Gff发送安全模式完成消息；步骤1805 =HNB Gff向SGSN转发安全模式完成消息。藉此，HNB GW在SMC过程中获取了该安全相关信息，可以提供给目标HNB进行算法的选择和用户面密钥的使用，解决了 SGSN不参与到HNB下UE的切换中，导致的目标HNB 无法获取核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥的目的。图19为本实施例的另外一个实施方式的流程图，请参照图19，如果UE是从RNC附着到网络的，那么UE可以从RNC切换到HNB的流程中获取该安全相关信息。UE要先从RNC 切换到HNB后，才可能发生HNB之间的切换信令终结于HNB Gff的场景，在这种情况下，在UE 从RNC切换到HNB的过程中，SGSN会在发送给目标HNB的切换请求消息中携带加密和完整性保护信息，HNB GW可以获取这些信息并保存。请参照图19，该流程包括步骤1901 源RNC作出切换到目标HNB的判决；步骤1902 源RNC向SGSN发送重定向请求消息；步骤1903 =SGSN向HNB Gff发送重定向请求消息；其中，该重定向请求消息中包含加密和完整性保护信息，包括核心网允许的加密和完整性保护算法列表以及当前的加密和完整性保护密钥。步骤1904 =HNB GW解析SGSN发送的重定向请求消息，获取消息中携带的加密和完整性保护信息并保存；步骤1905 =HNB GW向目标HNB发送的重定向请求消息；步骤1906 步骤1910 其它切换消息即切换流程的剩余部分。藉此，HNB GW从RNC切换到HNB的流程中获取了该安全相关信息，可以提供给目标HNB进行算法的选择和用户面密钥的使用，解决了 SGSN不参与到HNB下UE的切换中，导致的目标HNB无法获取核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥的目的。图20为本实施例的另外一个实施方式的流程图，请参照图20，UE从HNB接入后， HNB GW可以通过专用消息从SGSN获取安全相关信息。请参照图20，该流程包括步骤2001 =HNB Gff向SGSN发送安全上下文请求消息，请求SGSN将安全相关信息发给HNB Gff ；步骤2002 =SGSN向HNB Gff回复安全上下文响应消息，该安全上下文响应消息中包含加密和完整性保护信息，包括核心网允许的加密和完整性保护算法列表以及当前的加密和完整性保护密钥。藉此，HNB Gff通过专用消息从SGSN获取了该安全相关信息，可以提供给目标HNB 进行算法的选择和用户面密钥的使用，解决了 SGSN不参与到HNB下UE的切换中，导致的目标HNB无法获取核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥的目的。图21为本实施例的提供的一种家庭基站网关的组成框图，请参照图21，该家庭基站网关包括获取单元211，用于获取和保存安全相关信息，所述安全相关信息包括核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥；发送单元212，用于将获取单元211获取到的安全相关信息发送到目标节点，以便所述目标节点根据所述安全相关信息选择算法和使用密钥。在一个实施方式中，获取单元211可以包括第一接收模块2111，用于接收SGSN发送的安全模式命令消息，所述安全模式命令消息中包括安全相关信息；第一解析模块2112，用于解析第一接收模块2111接收到的安全模式命令消息，从所述安全模式命令消息中获取并保存所述安全相关信息。 在另外一个实施例中，获取单元211可以包括第二接收模块2113，用于接收SGSN发送的重定向请求消息，所述重定向请求消息中包括安全相关信息；第二解析模块2114，用于解析第二接收模块2113接收到的重定向请求消息，从所述重定向请求消息中获取并保存所述安全相关信息。在另外一个实施例中，获取单元211可以包括发送模块2115，用于向SGSN发送安全上下文请求消息，请求所述SGSN将安全相关信息发送到所述家庭基站网关；第三接收模块2116，用于接收所述SGSN返回的安全上下文响应消息，所述安全上下文响应消息中包括所述安全相关信息；第三解析模块2117，用于解析第三接收模块2116接收到的安全上下文响应消息， 从所述安全上下文响应消息中获取并保存所述安全相关信息。本实施例的家庭基站网关的各组成部分分别用于实现前述方法的各步骤，由于在前述方法实施例中，已经对各步骤进行了详细说明，在此不再赘述。
通过本实施例的家庭基站网关，可以在HNB之间的切换信令终结于该HNB GW，且 HNB之间不存在直接接口的情况下，利用各种手段去获取安全相关信息，并提供给目标节点，以便目标节点据此进行算法的选择和用户面密钥的使用，解决了 SGSN不参与到HNB下 UE的切换中，导致的目标HNB无法获取核心网允许的加密和完整性保护算法列表以及当前用户面的加密和完整性保护密钥的目的。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种密钥隔离方法，所述方法应用于服务通用分组无线业务支持节点SGSN，其特征在于，所述方法包括在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；如果所述源节点为家庭基站，则根据运营商策略触发运行认证与密钥协商过程，以更新加密和完整性保护密钥。
2.根据权利要求1所述的方法，其特征在于所述确定所述源节点是否为家庭基站之后，所述方法还包括确定所述目标节点是否为无线网络控制器；所述如果所述源节点为家庭基站，则根据运营商策略触发运行认证与密钥协商过程， 具体包括如果所述源节点为家庭基站且所述目标节点为无线网络控制器，则根据运营商策略触发运行认证与密钥协商过程。
3.根据权利要求1或2所述的方法，其特征在于，所述根据运营商策略触发运行认证与密钥协商过程，包括在所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备在空闲态从源节点移动到目标节点的移动完成，或者所述源节点的家庭基站网关接收到IU接口释放消息后，触发运行所述认证与密钥协商过程。
4.根据权利要求1所述的方法，其特征在于，所述方法还包括将所述加密和完整性保护密钥通过安全模式命令发送到所述目标节点，以便所述源节点和所述目标节点使用不同的加密和完整性保护密钥。
5.一种SGSN，其特征在于，所述SGSN包括确定单元，用于在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；触发单元，用于当所述确定单元确定出所述源节点为家庭基站时，根据运营商策略触发运行认证与密钥协商消息，以更新加密和完整性保护密钥。
6.根据权利要求5所述的SGSN，其特征在于，所述确定单元还用于确定所述目标节点是否为无线网络控制器，所述触发单元具体用于在所述源节点为家庭基站且所述目标节点为无线网络控制器时，根据运营商策略触发运行认证与密钥协商过程。
7.根据权利要求5或6所述的SGSN，其特征在于，所述触发单元具体用于在所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备在空闲态从源节点移动到目标节点的移动完成，或者所述源节点的家庭基站网关接收到IU接口释放消息后，触发运行认证与密钥协商过程。
8.根据权利要求5所述的SGSN，其特征在于，所述SGSN还包括发送单元，用于将所述触发单元更新的加密和完整性保护密钥通过安全模式命令发送到所述目标节点，以便所述源节点和所述目标节点使用不同的加密和完整性保护密钥。
9.一种密钥隔离方法，所述方法应用于家庭基站网关或者用户设备或者目标家庭基站，其特征在于，所述方法包括当用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；如果所述源节点为家庭基站，则向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程，以便更新加密和完整性保护密钥。
10.根据权利要求9所述的方法，其特征在于，向所述SGSN发送通知消息，包括当所述方法应用于所述源节点的家庭基站网关时，如果所述家庭基站网关接收到IU接口释放消息，或者所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备从活动态进入空闲态，则所述家庭基站网关向所述SGSN发送所述通知消息；当所述方法应用于用户设备时，如果所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备在空闲态从源节点移动到目标节点的移动完成，或者所述用户设备离开了活动态进入空闲态，或者所述用户设备将本地保存的密钥集标识KSI设为全1，或者所述用户设备将本地保存的状态值设为门限值，则所述用户设备向所述SGSN发送所述通知消息；当所述方法应用于目标家庭基站时，如果所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备从活动态进入空闲态，则所述目标家庭基站向所述SGSN发送所述通知消息。
11.根据权利要求9所述的方法，其特征在于，当所述方法应用于家庭基站网关或者用户设备时，确定所述源节点是否为家庭基站之后，所述方法还包括确定所述目标节点是否为无线网络控制器；所述如果所述源节点为家庭基站，则向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程，具体包括如果所述源节点为家庭基站且所述目标节点为无线网络控制器，则向SGSN发送所述通知消息，以触发所述SGSN运行认证与密钥协商过程。
12.根据权利要求9或11所述的方法，其特征在于，确定所述源节点是否为家庭基站， 包括当所述方法应用于用户设备时，在用户设备从源节点切换到目标节点时，或者在用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；当所述方法应用于家庭基站网关或者目标家庭基站时，在用户设备从源节点切换到目标节点时，确定所述源节点是否为家庭基站。
13.一种家庭基站网关，其特征在于，所述家庭基站网关包括 确定单元，用于在用户设备从源节点切换到目标节点时，确定所述源节点是否为家庭基站；发送单元，用于在所述确定单元确定出所述源节点为家庭基站时，向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程。
14.根据权利要求13所述的家庭基站网关，其特征在于，所述确定单元还用于在所述用户设备从源节点切换到目标节点时，确定所述目标节点是否为无线网络控制器，所述发送单元具体用于在所述源节点为家庭基站且所述目标节点为无线网络控制器时，向SGSN 发送所述通知消息。
15.根据权利要求13或14所述的家庭基站网关，其特征在于，所述发送单元具体用于在所述家庭基站网关接收到IU接口释放消息，或者所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备从活动态进入空闲态时，向所述SGSN发送所述通知消肩、ο
16.一种用户设备，其特征在于，所述用户设备包括确定单元，用于在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；发送单元，用于在所述确定单元确定出所述源节点为家庭基站时，向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程。
17.根据权利要求16所述的用户设备，其特征在于，所述确定单元还用于在所述用户设备从源节点切换到目标节点时，或者所述用户设备在空闲态从源节点移动到目标节点时，确定所述目标节点是否为无线网络控制器，所述发送单元具体用于在所述源节点为家庭基站且所述目标节点为无线网络控制器时，向SGSN发送所述通知消息。
18.根据权利要求16或17所述的用户设备，其特征在于，所述发送单元具体用于在所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备在空闲态从源节点移动到目标节点的移动完成，或者所述用户设备离开了活动态进入了空闲态，或者所述用户设备将本地保存的KSI设为全1，或者所述用户设备将本地保存的状态值设为门限值时， 向所述SGSN发送所述通知消息。
19.一种目标家庭基站，其特征在于，所述目标家庭基站包括确定单元，用于在用户设备从源节点切换到目标节点时，确定所述源节点是否为家庭基站；发送单元，用于在所述确定单元确定出所述源节点为家庭基站时，向SGSN发送通知消息，以触发所述SGSN运行认证与密钥协商过程。
20.根据权利要求19所述的目标家庭基站，其特征在于，所述发送单元具体用于在所述用户设备从源节点切换到目标节点的切换完成，或者所述用户设备从活动态进入空闲态时，向SGSN发送所述通知消息。
21.一种密钥隔离方法，所述方法应用于SGSN，其特征在于，所述方法包括在用户设备从源节点切换到目标节点的过程中，确定所述源节点是否是家庭基站；如果所述源节点是家庭基站，则从本地保存的多个认证向量中选择一个，并将选择出的认证向量对应的加密和完整性保护密钥作为所述用户设备在所述目标节点使用的密钥；将所述选择出的认证向量对应的随机数发送到所述用户设备，以便所述用户设备根据所述随机数生成所述加密和完整性保护密钥。
22.根据权利要求21所述的方法，其特征在于，如果本地仅保存有一个认证向量，则所述从本地保存的多个认证向量中选择一个，包括向归属地用户服务器请求一组认证向量；从所述一组认证向量中选择一个。
23.根据权利要求21所述的方法，其特征在于所述确定所述源节点是否是家庭基站之后，所述方法还包括确定所述目标节点是否为无线网络控制器；所述如果所述源节点是家庭基站，则从本地保存的多个认证向量中选择一个，具体包括如果所述源节点是家庭基站且所述目标节点是无线网络控制器，则从本地保存的多个认证向量中选择一个。
24.—种SGSN，其特征在于，所述SGSN包括第一确定单元，用于在用户设备从源节点切换到目标节点的过程中，确定所述源节点是否是家庭基站；选择单元，用于在所述第一确定单元确定出所述源节点是家庭基站时，从本地保存的多个认证向量中选择一个，并将选择出的认证向量对应的加密和完整性保护密钥作为所述用户设备在所述目标节点使用的密钥；发送单元，用于将所述选择单元选择出的认证向量对应的随机数到所述用户设备，以便所述用户设备根据所述随机数生成所述加密和完整性保护密钥。
25.根据权利要求M所述的SGSN，其特征在于，所述选择单元包括请求模块，用于在本地只有一个认证向量时，向归属地用户服务器请求一组认证向量；选择模块，用于从所述请求模块请求获得的一组认证向量中选择一个。
26.根据权利要求M所述的SGSN，其特征在于，所述确定单元还用于确定所述目标节点是否是无线网络控制器，所述选择单元具体用于在所述源节点为家庭基站且所述目标节点为无线网络控制器时，从本地保存的多个认证向量中选择一个。
27.—种密钥隔离方法，所述方法应用于用户设备，其特征在于，所述方法包括在所述用户设备从源节点切换到目标节点的过程中，接收源节点发送的无线资源控制协议连接重配置消息，所述无线资源控制协议连接重配置消息中包括SGSN选择出的认证向量对应的随机数；根据所述随机数生成加密和完整性保护密钥，将所述加密和完整性保护密钥作为在目标节点中使用的密钥。
28.一种用户设备，其特征在于，所述用户设备包括接收单元，用于在所述用户设备从源节点切换到目标节点的过程中，接收源节点发送的无线资源控制协议连接重配置消息，所述无线资源控制协议连接重配置消息中包括SGSN 选择出的认证向量对应的随机数；生成单元，用于根据所述接收单元接收到的无线资源控制协议连接重配置消息中的随机数生成加密和完整性保护密钥，将所述加密和完整性保护密钥作为在目标节点中使用的密钥。
全文摘要
本发明实施例提供一种密钥隔离方法和装置，所述密钥隔离方法包括在用户设备从源节点切换到目标节点时，或者用户设备在空闲态从源节点移动到目标节点时，确定所述源节点是否为家庭基站；如果所述源节点为家庭基站，则根据运营商策略触发运行认证与密钥协商过程，以更新加密和完整性保护密钥。本实施例的方法和装置可以通过运行AKA等方式实现源节点和目标节点的密钥隔离。
文档编号H04W28/16GK102348206SQ201010246928
公开日2012年2月8日 申请日期2010年8月2日 优先权日2010年8月2日
发明者刘晓寒 申请人:华为技术有限公司