專利名稱:密鑰身份標(biāo)識(shí)符的生成方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信領(lǐng)域,具體而言�,涉及一種用于UE( User Equipment, 用戶設(shè)備)從演進(jìn)的陸地?zé)o線接入網(wǎng)(Evolved UMTS Terrestrial Radio Access Network,簡稱EUTRAN )轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng)(Universal Terrestrial Radio Access Network ��, 筒稱UTRAN )或從EUTRAN 轉(zhuǎn)移到 GERAN(GSM/EDGE Radio Access Network,全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù) 速率GSM演進(jìn)無線接入網(wǎng))時(shí)���,密鑰身份標(biāo)識(shí)符的生成方法和系統(tǒng)���。
背景技術(shù):
3GPP演進(jìn)的分組系統(tǒng)(EPS, Evolved Packet System)由演進(jìn)的陸地?zé)o線 接入網(wǎng)EUTRAN和EPS核心網(wǎng)(EPC, Evolved Packet Core)組成。
其中�����,EPC包含移動(dòng)管理單元(MME���, mobility management entity),移 動(dòng)管理單元負(fù)責(zé)移動(dòng)性的管理����,非接入層信令的處理��,以及用戶安全it式的 管理等控制面相關(guān)工作�����。其中�����,MME保存EUTRAN的根密鑰KASME (Key Access Security Management Entity,接入安全管理實(shí)體密鑰)�����,并且使用KASME 和上行NAS SQN (非接入層序列號)生成供eNB (evolved Node B,演進(jìn)的 基站)使用的接入層的根密鑰KeNB (Key eNB,演進(jìn)的基站密鑰)。接入安 全管理實(shí)體密鑰標(biāo)識(shí)符(KASME Key Set identifier for Access Security Management Entity )KSUsME是密鑰KASME的身份標(biāo)識(shí)符(或者叫密鑰序列號)�����, 長度為3個(gè)比特位�,用于網(wǎng)絡(luò)與UE之間對密鑰的識(shí)別和檢索。當(dāng)UE和網(wǎng)
絡(luò)建立連接時(shí)�����,可以通過KSlASME通知對方使用先前已經(jīng)存儲(chǔ)的指定密鑰�,
從而建立安全上下文,避免每次連接都要進(jìn)行認(rèn)證和密鑰協(xié)商(AKA, Authentication and Key Association)����,節(jié)省網(wǎng)絡(luò)資源。當(dāng)密鑰由于生存期結(jié)束 或其它原因需要?jiǎng)h除時(shí)����,UE將KSIasme設(shè)為"111"。
其中�,EUTRAN中,基站設(shè)備為演進(jìn)的基站(eNB, evolvedNode-B )����,主要負(fù)責(zé)無線通信���、無線通信管理、和移動(dòng)性上下文的管理���。
3GPP (第三代合作伙伴計(jì)劃)UMTS (通用移動(dòng)通信系統(tǒng))系統(tǒng)中負(fù)責(zé) 分組域移動(dòng)性上下文的管理、和/或用戶安全模式的管理的設(shè)備是SGSN (Serving GPRS Support Node,服務(wù)GPRS支持節(jié)點(diǎn))���。SGSN還負(fù)責(zé)UMTS 的無線接入網(wǎng)UTRAN部分的認(rèn)證和安全管理���,并保存包括IK (Integrity Key , 完整性密鑰)��,CK (CipheringKey,加密密鑰)的密鑰集����。該密鑰集的身份 標(biāo)識(shí)符為KSI (Key Set identifier,密鑰集標(biāo)識(shí)符),其作用和使用方法類似 于EPS中的KSIasme���,都是用于UE和網(wǎng)絡(luò)之間對密鑰的識(shí)別和檢索�����,長度也 為3個(gè)比特位��。當(dāng)KSI等于"111"時(shí)�,表示沒有可以使用的密鑰,KSI無效����。 當(dāng)UE和SGSN需要協(xié)商建立UMTS安全連接時(shí),如果UE已經(jīng)儲(chǔ)存有可以 使用的密鑰時(shí)����,UE將儲(chǔ)存的KSI發(fā)給SGSN, SGSN驗(yàn)證存儲(chǔ)的KSI是否與 UE存儲(chǔ)的KSI相同����,如果一致,則采用存儲(chǔ)的密鑰組協(xié)商建立安全上下文��, 并將KSI發(fā)回UE確認(rèn)其使用的密鑰�。如果UE沒有存儲(chǔ)有用的密鑰,則將 KSI置為"111"�,然后發(fā)給SGSN, SGSN檢查到KSI為"lll"后����,向HLR/HSS 發(fā)送認(rèn)證請求消息���,UE和網(wǎng)絡(luò)重新作AKA,產(chǎn)生新的密鑰組�����。
GSM/EDGE系統(tǒng)負(fù)責(zé)分組域移動(dòng)性上下文的管理���、和/或用戶安全模式的 管理的設(shè)備也是SGSN, SGSN負(fù)責(zé)GSM/EDGE無線接入網(wǎng)(GERAN�����, GSM/EDGE Radio Access Network)部分的認(rèn)證和安全管理�����,并存有GERAN 加密密鑰Kc (Ciphering key) ���, Kc的身份標(biāo)識(shí)符為CKSN (Ciphering key sequence Number,加密密鑰序列號)���,作用和-使用方法同KSI—樣。
當(dāng)UE從EUTRAN轉(zhuǎn)移(mobility)到UTRAN時(shí),MME將用KASME為 目標(biāo)網(wǎng)絡(luò)生成密鑰CK��、 IK,并發(fā)給SGSN�����, UE和SGSN使用CK����、 IK,并 協(xié)商相應(yīng)安全算法�,建立了 UTRAN安全上下文,其中轉(zhuǎn)移包括RRC (Radio Resource Control,無線資源控制)處于激活(Active)狀態(tài)的轉(zhuǎn)移��,和UE處 于空閑(Idle)狀態(tài)的轉(zhuǎn)移兩種類型�����,激活狀態(tài)下的轉(zhuǎn)移包括切換等�����,空閑狀 態(tài)下的轉(zhuǎn)移包括路由區(qū)更新�����、附著請求等。
當(dāng)UE從EUTRAN轉(zhuǎn)移到GERAN時(shí)����,MME用KAs她產(chǎn)生CK, IK (同 轉(zhuǎn)移到UMTS時(shí)����,密鑰產(chǎn)生方法一樣),然后將IK���、 CK發(fā)給SGSN�。 SGSN 使用工K�����、 CK生成GERAN密鑰Kc�。在現(xiàn)有技術(shù)中���,無論是KSlASME����、 KSI還是CKSN����,都是在認(rèn)證過程中由 網(wǎng)絡(luò)側(cè)生成�,然后通過認(rèn)證請求發(fā)給UE�����。然而在EUTRAN到UTRAN或 GERAN轉(zhuǎn)移過程中�,雖然MME為目標(biāo)網(wǎng)絡(luò)生成了 UTRAN或GERAN所需 的IK、 CK,但這對密鑰沒有相應(yīng)的身份標(biāo)識(shí)符�����,造成一旦轉(zhuǎn)移結(jié)束后����,UE 和SGSN將無法檢索到轉(zhuǎn)移時(shí)生成的密鑰,也無法重新使用這對密鑰��。當(dāng)UE 和網(wǎng)絡(luò)要重新建立RRC或其它連接時(shí)���,由于無法使用這些存儲(chǔ)的密鑰�����,不得 不先進(jìn)行AKA����,重新產(chǎn)生新的密鑰,然后才建立無線連接��。這無疑會(huì)增加網(wǎng) 絡(luò)和UE的信令開銷�,推遲了 UE與網(wǎng)絡(luò)的正常通信時(shí)間,造成用戶使用滿意 度變差�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種UE在不同接入系統(tǒng)之間轉(zhuǎn)移時(shí), 密鑰身份標(biāo)識(shí)符的生成方法和系統(tǒng)��,解決現(xiàn)有才支術(shù)中在UE從EUTRAN轉(zhuǎn)移 到UTRAN或GERAN后�,由于轉(zhuǎn)移過程中產(chǎn)生的由KASME映射過來的密鑰 無身份標(biāo)識(shí)符而導(dǎo)致無法被重新使用問題。
為了解決上述技術(shù)問題�,本發(fā)明提供了 一種密鑰身份標(biāo)識(shí)符生成方法, 包括用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng)時(shí)���,移 動(dòng)管理實(shí)體和用戶設(shè)備使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成所 迷通用陸地?zé)o線接入網(wǎng)系統(tǒng)密鑰集的身份標(biāo)識(shí)符��,移動(dòng)管理實(shí)體將所述系統(tǒng) 密鑰集的身份標(biāo)識(shí)符同系統(tǒng)的加密密鑰及完整性密鑰一起發(fā)給服務(wù)GPRS支 持節(jié)點(diǎn)。
進(jìn)一步的����,上述方法還可具有以下特點(diǎn),所述映射生成的方式為用戶 設(shè)備和移動(dòng)管理實(shí)體直接令所述通用陸地?zé)o線接入網(wǎng)系統(tǒng)密鑰集的身份標(biāo)識(shí) 符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符����,或令所述通用陸地?zé)o線接入網(wǎng) 系統(tǒng)密鑰集的身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與用戶設(shè) 備和網(wǎng)絡(luò)側(cè)約定的 一 常數(shù)之和�����。
進(jìn)一步的����,上述方法還可具有以下特點(diǎn)���,所述用戶設(shè)備空閑狀態(tài)下從演 進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng)時(shí)����,所述移動(dòng)管理實(shí)體收到 上下文請求或鑒別請求消息后��,使用接入安全管理實(shí)體密鑰生成完整性密鑰��、加密密鑰��,使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成所述完整性密 鑰�����、加密密鑰的身份標(biāo)識(shí)符即密鑰集標(biāo)識(shí)符�,將所述完整性密鑰���、加密密鑰
和所述密鑰集標(biāo)識(shí)符通過上下文響應(yīng)或鑒別響應(yīng)消息發(fā)送給所述服務(wù)GPRS 支持節(jié)點(diǎn),所述服務(wù)GPRS支持節(jié)點(diǎn)保存所述加密密鑰�����、完整性密鑰和密鑰 集標(biāo)識(shí)符�。
進(jìn)一步的,上述方法還可具有以下特點(diǎn)����,所述用戶設(shè)備決定空閑轉(zhuǎn)移到 通用陸地?zé)o線接入網(wǎng)后,在用戶設(shè)備相應(yīng)發(fā)送路由區(qū)更新完成或附著完成消 息給服務(wù)GPRS支持節(jié)點(diǎn)之前��,所述用戶設(shè)備使用接入安全管理實(shí)體密鑰的 身份標(biāo)識(shí)符映射生成密鑰集標(biāo)識(shí)符��,將密鑰集標(biāo)識(shí)符和由接入安全管理實(shí)體 密鑰生成的完整性密鑰���、加密密鑰一起保存�。
進(jìn)一步的����,上述方法還可具有以下特點(diǎn)����,所述用戶設(shè)備在無線資源控制 激活狀態(tài)下從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng)時(shí)��,所述移 動(dòng)管理實(shí)體在收到切換請求后���,使用接入安全管理實(shí)體密鑰生成完整性密鑰、 加密密鑰��,使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成所述完整性密 鑰�、加密密鑰的身^f分標(biāo)識(shí)符即密鑰集標(biāo)識(shí)符,通過轉(zhuǎn)發(fā)重定向請求消息將所 述加密密鑰和完整性密鑰及密鑰集標(biāo)識(shí)符一起發(fā)送給服務(wù)GPRS支持節(jié)點(diǎn)���, 所述GPRS支持節(jié)點(diǎn)保存所述加密密鑰�、完整性密鑰和所述密鑰集標(biāo)識(shí)符���; 所述用戶設(shè)備收到網(wǎng)絡(luò)側(cè)發(fā)送的切換命令后使用接入安全管理實(shí)體密鑰的身 份標(biāo)識(shí)符映射生成密鑰集標(biāo)識(shí)符�,將密鑰集標(biāo)識(shí)符和由接入安全管理實(shí)體密 鑰生成的完整性密鑰��、加密密鑰一起保存��。
進(jìn)一步的���,上述方法還可具有以下特點(diǎn)��,如果所述用戶設(shè)備轉(zhuǎn)移前和網(wǎng) 絡(luò)側(cè)協(xié)商好密鑰�,且轉(zhuǎn)移前協(xié)商好的密鑰的身份標(biāo)識(shí)符和轉(zhuǎn)移過程中由所述 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成的所述系統(tǒng)密鑰的身份標(biāo)識(shí)符 一樣�����,刪除轉(zhuǎn)移前服務(wù)GPRS支持節(jié)點(diǎn)和用戶設(shè)備中保存的該密鑰。
本發(fā)明還提出一種密鑰身份標(biāo)識(shí)符生成方法�,包括用戶設(shè)備從演進(jìn)的 陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線 4姿入網(wǎng)時(shí)��,
移動(dòng)管理實(shí)體使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成加密密 鑰和完整性密鑰的身份標(biāo)識(shí)符;移動(dòng)管理實(shí)體將所述加密密鑰和完整性密鑰及其身份標(biāo)識(shí)符一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn);
服務(wù)GPRS支持節(jié)點(diǎn)將所述加密密鑰和完整性密鑰的身份標(biāo)識(shí)符的值賦 給所述全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密 鑰的身^f分標(biāo)識(shí)符�,即加密密鑰序列號;
用戶設(shè)備使用接入安全管理實(shí)體密鑰標(biāo)識(shí)符映射生成所述全球移動(dòng)通訊 系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰的身份標(biāo)識(shí)符���。
進(jìn)一步的�,上述方法還可具有以下特點(diǎn),所述映射生成的方式為移動(dòng) 管理實(shí)體直接令加密密鑰和完整性密鑰的身份標(biāo)識(shí)符等于接入安全管理實(shí)體 密鑰的身份標(biāo)識(shí)符�,或令加密密鑰和完整性密鑰的身份標(biāo)識(shí)符等于接入安全 管理實(shí)體密鑰的身份標(biāo)識(shí)符與網(wǎng)絡(luò)側(cè)和用戶設(shè)備約定的一常數(shù)之和;用戶設(shè) 備直接令全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密 密鑰身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符���,或令全球移動(dòng)通 訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰身份標(biāo)識(shí)符等于 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與用戶設(shè)備和網(wǎng)絡(luò)側(cè)約定的一常數(shù)之 和����。
進(jìn)一步的����,上述方法還可具有以下特點(diǎn)���,所述用戶設(shè)備空閑狀態(tài)下從演 進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn) 無線接入網(wǎng)時(shí),所述移動(dòng)管理實(shí)體在收到上下文請求或鑒別請求消息后���,生 成完整性密鑰、加密密鑰和及其身份標(biāo)識(shí)符���,通過上下文響應(yīng)或鑒別響應(yīng)消 息發(fā)送給所述服務(wù)GPRS支持節(jié)點(diǎn)�。
進(jìn)一步的,上述方法還可具有以下特點(diǎn),所述用戶設(shè)備決定空閑轉(zhuǎn)移到 全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)后�����,在用戶設(shè)備相 應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給服務(wù)GPRS支持節(jié)點(diǎn)之前�,所述用 戶設(shè)備使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成全球移動(dòng)通訊系統(tǒng) 或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰身份標(biāo)識(shí)符����,將全球移動(dòng) 通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰身份標(biāo)識(shí)符和 由接入安全管理實(shí)體密鑰生成的全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM 演進(jìn)無線接入網(wǎng)的加密密鑰一起保存。
進(jìn)一步的�,上述方法還可具有以下特點(diǎn),所述用戶設(shè)備在無線資源控制動(dòng)管理實(shí)體在收到切換請求后�,生成加密密鑰、完整性密鑰和及其身份標(biāo)識(shí) 符����,通過轉(zhuǎn)發(fā)重定向請求消息將所述加密密鑰����、完整性密鑰及其身份標(biāo)識(shí)符
發(fā)送給服務(wù)GPRS支持節(jié)點(diǎn);所述用戶設(shè)備收到網(wǎng)絡(luò)側(cè)發(fā)送的切換命令后���, 生成所述全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密 密鑰及其身份標(biāo)識(shí)符��。
進(jìn)一步的���,上述方法還可具有以下特點(diǎn)�����,如果所述用戶設(shè)備轉(zhuǎn)移前和網(wǎng) 絡(luò)側(cè)協(xié)商好密鑰���,且轉(zhuǎn)移前協(xié)商好的密鑰其身份標(biāo)識(shí)符和轉(zhuǎn)移過程中映射生 成的所述全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密 密鑰的身份標(biāo)識(shí)符一樣,刪除轉(zhuǎn)移前服務(wù)GPRS支持節(jié)點(diǎn)和用戶設(shè)備中保存 的該密鑰�����。
本發(fā)明提出一種密鑰生成系統(tǒng)����,包含用戶設(shè)備���、移動(dòng)管理實(shí)體和服務(wù) GPRS支持節(jié)點(diǎn),其中���,
所述用戶設(shè)備���,用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸 地?zé)o線接入網(wǎng)時(shí),將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為所述通用陸 地?zé)o線接入網(wǎng)的系統(tǒng)密鑰集的身份識(shí)別符��;
所述移動(dòng)管理單元���,用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通 用陸地?zé)o線接入網(wǎng)時(shí),將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為所述通 用陸地?zé)o線接入網(wǎng)的系統(tǒng)密鑰集的身份識(shí)別符�����,發(fā)送給所述服務(wù)GPRS支持 節(jié)點(diǎn)�����;
所述映射方式為�����,用戶設(shè)備和移動(dòng)管理實(shí)體直接令系統(tǒng)密鑰集的身份標(biāo) 識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符,或令系統(tǒng)密鑰集的身份標(biāo)識(shí) 符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與用戶設(shè)備和網(wǎng)絡(luò)側(cè)約定的一常 數(shù)之和o
進(jìn)一步的���,上述系統(tǒng)還可具有以下特點(diǎn),所述用戶設(shè)備包含
第一密鑰身份標(biāo)識(shí)符映射單元,用于映射生成完整性密鑰��、加密密鑰的 身份標(biāo)識(shí)符���,將演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰接入安全管理實(shí)體密鑰的身 份標(biāo)識(shí)符的值或?qū)⑵浼由弦患s定的常數(shù)后映射給完整性密鑰、加密密鑰的身4分標(biāo)識(shí)符���;第一密鑰及其身份標(biāo)識(shí)符存儲(chǔ)單元�����,用于保存加密密鑰���、完整性密鑰和第一密鑰標(biāo)識(shí)符映射單元生成的加密密鑰�、完整性密鑰的身份標(biāo)識(shí)符�����; 所述移動(dòng)管理實(shí)體包含第二密鑰身份標(biāo)識(shí)符映射單元,用于生成完整性密鑰�、加密密鑰的身份 標(biāo)識(shí)符,將演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰接入安全管理實(shí)體密鑰的身份標(biāo) 識(shí)符的值或?qū)⑵浼由弦患s定的常數(shù)后映射給完整性密鑰、加密密鑰的身份標(biāo) 識(shí)符�����;安全參數(shù)發(fā)送單元,用于發(fā)送加密密鑰、完整性密鑰和第二密鑰標(biāo)識(shí)符 映射單元生成的加密密鑰����、完整性密鑰的身份標(biāo)識(shí)符至服務(wù)GRPS支持節(jié)點(diǎn)�;所述服務(wù)GPRS支持節(jié)點(diǎn)包含安全參數(shù)接收單元�����,用于接收移動(dòng)管理實(shí)體發(fā)送的加密密鑰、完整性密 鑰及其身份標(biāo)識(shí)符��;第三密鑰及其身份標(biāo)識(shí)符存儲(chǔ)單元�����,用于存儲(chǔ)接收到的加密密鑰�、完整 性密鑰及其身份標(biāo)識(shí)符。本發(fā)明還提出一種密鑰生成系統(tǒng)�,包含用戶設(shè)備、移動(dòng)管理實(shí)體和服務(wù) GPRS支持節(jié)點(diǎn)��,其中所述用戶設(shè)備,用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到全球移 動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)時(shí)�,使用接入安全管理實(shí) 體密鑰標(biāo)識(shí)符映射生成全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線 接入網(wǎng)的加密密鑰的身份標(biāo)識(shí)符;所述移動(dòng)管理實(shí)體���,用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到全 球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)時(shí),使用接入安全管 理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成加密密鑰和完整性密鑰的身份標(biāo)識(shí)符�����;將 所述加密密鑰和完整性密鑰及其身份標(biāo)識(shí)符一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)����;所述服務(wù)GPRS支持節(jié)點(diǎn),用于接收所述移動(dòng)管理實(shí)體發(fā)送的加密密鑰�、 完整性密鑰及其身份標(biāo)識(shí)符,將所述加密密鑰�、完整性密鑰的身份標(biāo)識(shí)符的值賦給全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰的身份標(biāo)識(shí)符;所述映射生成的方式為移動(dòng)管理實(shí)體直接令加密密鑰和完整性密鑰的 身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符����,或令力。密密鑰和完整性密鑰的身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與網(wǎng)絡(luò)側(cè)和用戶設(shè)備約定的一常數(shù)之和���;用戶設(shè)備直接令全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù) 速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰身份標(biāo)識(shí)符等于接入安全管理實(shí)體密 鑰的身份標(biāo)識(shí)符����,或令全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接 入網(wǎng)的加密密鑰身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身4分標(biāo)識(shí)符與用戶 設(shè)備和網(wǎng)絡(luò)側(cè)約定的一常數(shù)之和。進(jìn)一步的���,上述系統(tǒng)還可具有以下特點(diǎn)����, 所述用戶設(shè)備包含第一密鑰身份標(biāo)識(shí)符映射單元����,用于將演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符的值或?qū)⑵浼由弦怀?shù)后映射給全球移 動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰的身份標(biāo)識(shí)符;第一密鑰及其身份標(biāo)識(shí)符存儲(chǔ)單元��,用于保存全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰及其身份標(biāo)識(shí)符��; 所述移動(dòng)管理實(shí)體還包含第二密鑰身份標(biāo)識(shí)符映射單元����,用于生成所述加密密鑰、完整性密鑰的 身份標(biāo)識(shí)符�����,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符的值或?qū)⑵浼由弦怀?shù) 后映射給完整性密鑰����、加密密鑰的身份標(biāo)識(shí)符���;安全參數(shù)發(fā)送單元,用于發(fā)送加密密鑰��、完整性密鑰和第二密鑰標(biāo)識(shí)符 映射單元生成的加密密鑰��、完整性密鑰的身份標(biāo)識(shí)符至服務(wù)GRPS支持節(jié)點(diǎn)��;所述服務(wù)GPRS支持節(jié)點(diǎn)還包含安全參數(shù)接收單元����,用于接收移動(dòng)管理實(shí)體發(fā)送的加密密鑰�、完整性密 鑰及其身份標(biāo)識(shí)符;第三密鑰身份標(biāo)識(shí)符映射單元��,用于將加密密鑰�����、完整性密鑰及其身份標(biāo)識(shí)符的值賦給全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng) 的加密密鑰的身份標(biāo)識(shí)符��;第三密鑰及其身份標(biāo)識(shí)符存儲(chǔ)單元����,用于存儲(chǔ)全球移動(dòng)通訊系統(tǒng)或增強(qiáng) 型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰及其身份標(biāo)識(shí)符�����。上述密鑰集標(biāo)識(shí)符生成方法和系統(tǒng)通過將KSIasme映射為KSI或CKSN�����, 同時(shí)保證KSI/CKSN值與原先存儲(chǔ)的密鑰身份標(biāo)識(shí)符的值不出現(xiàn)重碼�,解決 了現(xiàn)有技術(shù)中在UE從EUTRAN轉(zhuǎn)移到UTRAN/GERAN時(shí)�����,由于映射過來 的密鑰無身份標(biāo)識(shí)符而無法重新被使用的問題�。
圖1為本發(fā)明從EUTRAN轉(zhuǎn)移到UTRAN時(shí)密鑰集標(biāo)識(shí)符生成方法具體 實(shí)現(xiàn)示意圖。圖2為本發(fā)明所述方法的第一實(shí)施例的實(shí)現(xiàn)信令流程圖�����。圖3為本發(fā)明所述方法的第二實(shí)施例的實(shí)現(xiàn)信令流程圖����。圖4為本發(fā)明所述方法的第三實(shí)施例的實(shí)現(xiàn)信令流程圖。圖5為本發(fā)明從EUTRAN轉(zhuǎn)移到GERAN時(shí)密鑰集標(biāo)識(shí)符生成方法具體 實(shí)現(xiàn)示意圖。圖6為本發(fā)明所述方法的第四實(shí)施例的實(shí)現(xiàn)流程圖��。圖7為本發(fā)明所述方法的第五實(shí)施例的實(shí)現(xiàn)信令流程圖�。圖8為本發(fā)明所述方法的第六實(shí)施例的實(shí)現(xiàn)信令流程圖。
具體實(shí)施方式
為了能夠重新使用由kasme轉(zhuǎn)換過來的密鑰����,減少UE和網(wǎng)絡(luò)的交互信令,在轉(zhuǎn)移過程中需要為密鑰生成身份標(biāo)識(shí)符���,本發(fā)明提供了一種UE從 EUTRAN轉(zhuǎn)移到UTRAN/GERAN時(shí)����,密鑰集標(biāo)識(shí)符的生成方法和系統(tǒng)���。下面將參考附圖并結(jié)合實(shí)施例,來詳細(xì)說明本發(fā)明����。圖1為本發(fā)明UE從EUTRAN轉(zhuǎn)移到UTRAN時(shí)密鑰集標(biāo)識(shí)符生成方法 具體實(shí)現(xiàn)示意圖,包括Al����、 MME收到請求消息后,將KSlASME映射為KSI,即將KSIasme的但 賦給KSI: KSI=KSIASME,然后通過MME和SGSN之間的交互消息將KSI和 由Kasme生成的IK、 CK 一起發(fā)給SGSN;A2����、 SGSN收到MME發(fā)過來的KSI和IK、 CK后����,將KSI和IK、 CK 一起保存�����;SGSN發(fā)送KSI映射完成的消息�;A3、UE將KSIasme映射為KSI,即將KSUsme的值賦給KSI: KSI=KSIASME, 并將KSI和由KASME生成的IK�、 CK 一起保存。進(jìn)一步�����,UE和MME也可以令KSI等于KSIasme與一常數(shù)之和�����;常數(shù)由 UE和網(wǎng)絡(luò)約定���,其中��,KSUsME與常數(shù)之和不能為"111",如果正好為111 時(shí)���,可按照UE與SGSN的約定進(jìn)行改變����,比如置為下一個(gè)值"000"���,也可 以是其它值所述服務(wù)GPRS支持節(jié)點(diǎn)與用戶設(shè)備約定映射方式及常數(shù)�。如果轉(zhuǎn)移前UE和網(wǎng)絡(luò)側(cè)SGSN已經(jīng)協(xié)商好密鑰�����,如果轉(zhuǎn)移前協(xié)商好的 密鑰的身份標(biāo)識(shí)符KSI的值與轉(zhuǎn)移過程中由KSIasme映射生成的KSI的值一 樣���,則轉(zhuǎn)移前SGSN和UE中保存的該密鑰將纟皮刪除。圖2為本發(fā)明所述方法的第一實(shí)施例���,該實(shí)施例為EUTRAN空閑狀態(tài)下 轉(zhuǎn)移到UTRAN時(shí)�,密鑰身份標(biāo)識(shí)符的生成方法流程����,包括以下步驟步驟S201���, UE決定空閑轉(zhuǎn)移到UTRAN,發(fā)空閑轉(zhuǎn)移到UTRAN的請求 消息至SGSN,請求消息可以為路由區(qū)更新請求�,或附著請求;步驟S202�, SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到UTRAN請求消息后, 向MME發(fā)請求消息����,請求消息對應(yīng)收到轉(zhuǎn)移請求消息類型,為相應(yīng)的上下 文請求或鑒別請求���;步驟S203�, MME收到SGSN發(fā)過來的請求消息后���,將KSIASME的值 賦給KSI,即KSI=KSIasme,并使用kasme產(chǎn)生CK��、 IK;步驟S204����、 MME發(fā)上下文響應(yīng)或鑒別響應(yīng)消息��,將CK、 IK和KSI —起發(fā)給SGSN;步驟S205��, SGSN收到MME發(fā)過來的KSI和CK���、 IK后�����,將KSI和CK���、 IK一起保存;步驟S206��, SGSN向UE發(fā)空閑轉(zhuǎn)移到UTRAN接受消息(為對應(yīng)的路 由區(qū)更新接受或附著接受消息)�,通知UE網(wǎng)絡(luò)側(cè)密鑰身份標(biāo)識(shí)符已經(jīng)映射 成功;步驟S207, UE將KSlASME的值賦給KSI����,即KSIASME=KS1,將KSI和由 Kasme生成的IK�����、 CK一起保存��;步驟S208, UE向SGSN發(fā)發(fā)空閑轉(zhuǎn)移到UTRAN完成消息(為對應(yīng)的 路由區(qū)更新完成或附著完成消息)���。圖3為本發(fā)明所述方法的第二實(shí)施例��,該實(shí)施例為EUTRAN空閑轉(zhuǎn)移到 UTRAN時(shí)�,密鑰身〗分標(biāo)識(shí)符的生成方法流程�����,包括以下步驟步驟S301, UE決定空閑轉(zhuǎn)移到UTRAN �����,將KS1ASME的值賦給KSI��,即 KSIASME=KSI���,將KSI和由Kasme生成的IK�����、 CK一起保存���;步驟S302, UE決定空閑轉(zhuǎn)移到UTRAN����,發(fā)空閑轉(zhuǎn)移到UTRAN的請求 消息至SGSN���,請求消息可以為路由區(qū)更新請求���,或附著請求;步驟S303, SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到UTRAN請求消息后�, 向MME發(fā)請求消息,請求消息對應(yīng)收到轉(zhuǎn)移請求消息類型��,為相應(yīng)的上下 文請求或鑒別請求����;步驟S304, MME收到SGSN發(fā)過來的請求消息后,將KSIasme的但 賦給KSI,即KSI=KSIasme��,并使用kasme產(chǎn)生CK��、 IK;步驟S305���, MME發(fā)上下文響應(yīng)或鑒別響應(yīng)消息���,將CK����、 IK和KSI — 起發(fā)給SGSN;步驟S306�, SGSN收到MME發(fā)過來的KSI和CK��、 IK后�,將KSI和CK、 IK 一起保存����;步驟S307, SGSN向UE發(fā)空閑轉(zhuǎn)移到UTRAN接受消息(為對應(yīng)的路由區(qū)更新接受或附著接受消息),通知UE網(wǎng)絡(luò)側(cè)密鑰身份標(biāo)識(shí)符已經(jīng)映射 成功步驟S308��, UE向SGSN發(fā)空閑轉(zhuǎn)移到UTRAN完成消息(為對應(yīng)的路 由區(qū)更新完成或附著完成消息)���。圖4為本發(fā)明所述方法的第三實(shí)施例�����,該實(shí)施例為在RRC激活狀態(tài)下的 轉(zhuǎn)移���,即從EUTRAN切換到UTRAN時(shí),密鑰身份標(biāo)識(shí)符的生成方法流程�, 包4套以下步驟步驟S401 �,源eNB決定發(fā)起切換�����;可以是根據(jù)UE發(fā)給該eNB的測量報(bào)告觸發(fā)�,也可以是根據(jù)其他的一些 原因由eNB決定發(fā)起轉(zhuǎn)移。步驟S402,源eNB向源MME發(fā)切換請求�;步驟S403,源MME收到切換請求后�����,將KSIASME的值賦給KSI��,即 KSI-KSIasme,并使用Kasme生成IK����、 CK;步驟S404,源MME向目標(biāo)SGSN發(fā)轉(zhuǎn)發(fā)重定向請求,將KSI和IK���、 CK傳給目標(biāo)SGSN;步驟S405�, SGSN將KSI和IK���、 CK一起保存�;步驟S406,目標(biāo)SGSN向源MME發(fā)轉(zhuǎn)發(fā)重定向響應(yīng)消息,通知MME, 目標(biāo)網(wǎng)絡(luò)已經(jīng)做好切換準(zhǔn)備����;步驟S407 �����,源MME向源eNB發(fā)切換命令���;步驟S408 �,源eNB向UE發(fā)EUTRAN切換命令��;步驟S409�����, UE收到該切換命令后���,將KSIasme的值賦給KSI���,即 KSI-KSIasme,并使用Kasme生成IK、 CK,然后將KSI和CK����、 IK一起保存;步驟S410���, UE向目標(biāo)RNC (無線網(wǎng)絡(luò)控制器)發(fā)切換成功消息�,通知 網(wǎng)絡(luò)KSI生成成功�����。圖5為本發(fā)明所述的從EUTRAN轉(zhuǎn)移到GERAN時(shí)密鑰集標(biāo)識(shí)符生成方法具體實(shí)現(xiàn)示意圖���,包括Bl ��、 MME收到相關(guān)請求消息后����,將KSUsme映射為KSI,即將KSIASME 的值賦給KSI: KSI=KSIASME,然后通過MME和SGSN之間的交互消息將 KS1和由KASME生成的IK�����、 CK 一起發(fā)給SGSN;B2��、 SGSN收到MME發(fā)過來的KSI和IK、 CK后��,將KSI的值賦給CKSN�, 即CKSN-KSI,將CKSN和由IK����、 CK生成的Kc 一起保存;然后SGSN發(fā) 送CKSN映射完成的消息���。B3、 UE將KSIasme映射為CKSN,即將KSIASME的值賦給CKSN: CKSN-KSIasme ����,并將CKSN和由KASME生成的Kc 一起保存;UE也可以令CKSN等于KSIasme與一常數(shù)之和���,MME也可以令KSI等 于KSIasme與一常數(shù)之和���,常數(shù)由UE和網(wǎng)絡(luò)約定,其中����,KSIasme與常數(shù)之 和不能為"111"���,如果正好為111時(shí),可按照UE與SGSN的約定進(jìn)行改變���, 比如置為下一個(gè)值"000"��,也可以是其它值��。上述方法中如果轉(zhuǎn)移前UE和網(wǎng)絡(luò)側(cè)SGSN已經(jīng)協(xié)商好密鑰����,如果該密 鑰的身^f分標(biāo)識(shí)符CKSN的值與轉(zhuǎn)移過程中KSIasme特映射生成的CKSN的值 一樣��,則UE和SGSN將轉(zhuǎn)移前保存的密鑰刪除�。圖6為本發(fā)明所述方法的第四實(shí)施例,該實(shí)施例為EUTRAN空閑轉(zhuǎn)移到 GERAN時(shí)�,密鑰身^f分標(biāo)識(shí)符的生成方法流程,包括以下步驟步驟S601����,UE決定空閑轉(zhuǎn)移到GERAN,向SGSN發(fā)空閑轉(zhuǎn)移到GERAN 的請求消息��,請求消息可以為路由區(qū)更新請求�,或附著請求����;步驟S602, SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到GERAN請求消息后�����, 向MME發(fā)請求消息���,請求消息對應(yīng)收到轉(zhuǎn)移請求消息類型�����,為相應(yīng)的上下 文請求或鑒別請求��;步驟S603, MME收到SGSN發(fā)過來的請求消息后,將KSIasme的僅 賦給KSI,即KSI=KSIasme,并使用kasme產(chǎn)生CK��、 IK;步驟S604��、 MME發(fā)送上下文響應(yīng)或鑒別響應(yīng)消息至SGNS,消息中攜 帶CK��、 IK和KSI;步驟S605����, SGSN收到MME發(fā)過來的KSI和CK���、 IK后,將KSI的值 賦給CKSN�,并將CKSN和CK、 IK生成的Kc一起保存�����;
步驟S606, SGSN向UE發(fā)空閑轉(zhuǎn)移到UTRAN接受消息(為對應(yīng)的路 由區(qū)更新接受或附著接受消息)���,通知UE網(wǎng)絡(luò)側(cè)密鑰身份標(biāo)識(shí)符已經(jīng)映射 成功�;
步驟S607, UE將KSIasme的值賦給CKSN��,即CKSN=KSIASME���,將CKSN 和由KASME生成的Kc 一起保存�����;
步驟S608, UE向SGSN發(fā)空閑轉(zhuǎn)移到UTRAN完成消息(路由區(qū)更新 完成或附著完成消息)��。
圖7為本發(fā)明所述方法的第五實(shí)施例�,該實(shí)施例為EUTRAN空閑轉(zhuǎn)移到 GERAN時(shí)�,密鑰身^f分標(biāo)識(shí)符的生成方法流程��,包括以下步驟
步驟S701 ��, UE決定空閑轉(zhuǎn)移到GERAN ,將KSIASME的值賦給CKSN�, 即CKSN=KSIASME,將CKSN和由Kasme生成的Kc 一起保存���;
步驟S702, UE決定空閑轉(zhuǎn)移到GERAN�����,發(fā)空閑轉(zhuǎn)移到GERAN的請 求消息����,請求消息可以為路由區(qū)更新請求�����,或附著請求��;
步驟S703, SGSN收到UE發(fā)過來的空閑轉(zhuǎn)移到GERAN請求消息后�����, 向MME發(fā)請求消息����,請求消息對應(yīng)收到轉(zhuǎn)移請求消息類型,為相應(yīng)的上下 文請求或鑒別請求��;
步驟S704�, MME收到SGSN發(fā)過來的請求消息后,將KSUsme的但 賦給KSI�����,即KSI=KSIASME,并使用kasme產(chǎn)生CK����、 IK;
步驟S705、 MME發(fā)上下文響應(yīng)或鑒別響應(yīng)消息���,在消息中攜帶CK�����、 IK 和KSI —起發(fā)給SGSN;
步驟S706����, SGSN收到MME發(fā)過來的KSI和CK、 IK后�,將KSI的值 賦給CKSN,并將CKSN和由CK、 IK生成的Kc一起保存�;
步驟S707, SGSN向UE發(fā)空閑轉(zhuǎn)移到GERAN接受消息(為對應(yīng)的路 由區(qū)更新接受或附著接受消息),通知UE網(wǎng)絡(luò)側(cè)密鑰身份標(biāo)識(shí)符已經(jīng)映射 成功����;步驟S708, UE向SGSN發(fā)空閑轉(zhuǎn)移到UTRAN完成消息(路由區(qū)更新 完成或附著完成消息)。
圖8為本發(fā)明所述方法的第六實(shí)施例����,該實(shí)施例為在RRC激活狀態(tài)下的 轉(zhuǎn)移,即從EUTRAN切換到GERAN時(shí)���,密鑰身份標(biāo)識(shí)符的生成方法流程�, 包括以下步驟
步驟S801�����,源eNB決定發(fā)起切換�����?���?梢允歉鶕?jù)UE發(fā)給該eNB的測量 報(bào)告觸發(fā),也可以是根據(jù)其他的一些原因由eNB決定發(fā)起轉(zhuǎn)移���。
步驟S802 �����,源eNB向源MME發(fā)切換請求����;
步驟S803,源MME收到切換請求后��,將KSIasme的值賦給KSI����,即 KSI=KSIASME ,并使用Kasme生成IK、 CK;
步驟S804���,源MME向目標(biāo)SGSN發(fā)轉(zhuǎn)發(fā)重定向請求�����,將KSI和IK����、 CK傳給目標(biāo)SGSN;
步驟S805, SGSN將KSI的值賦給CKSN,即CKSN=KSI,并將CKSN 和由1K�、 CK生成的Kc一起保存;
步驟S806,目標(biāo)SGSN向源MME發(fā)轉(zhuǎn)發(fā)重定向響應(yīng)消息��,通知MME���, 目標(biāo)網(wǎng)絡(luò)已經(jīng)做好切換準(zhǔn)備���;
步驟S807,源MME向源eNB發(fā)切換命令;
步驟S808�����,源eNB向UE發(fā)EUTRAN切換命令����;
步驟S809, UE收到該切換命令后,將KSIasme的值賦給CKSN��,即 CKSN=KSIASME���,并使用KASME生成Kc�,然后將CKSN和Kc 一起保存;
步驟S810, l正發(fā)向目標(biāo)RNC或BSS切換成功消息���,通知網(wǎng)絡(luò)CKSN 映射成功。
上述六個(gè)實(shí)施例中��,UE和MME也可以令目標(biāo)系統(tǒng)的密鑰身份識(shí)別符等 于KSIasme與一常數(shù)之和�����;常數(shù)由UE和網(wǎng)絡(luò)約定��,其中��,KSIasme與常數(shù)之 和不能為"111",如果正好為111時(shí)�,可按照UE與SGSN的約定進(jìn)行改變, 比如置為下一個(gè)值"000"�,也可以是其它值本發(fā)明提供一種密鑰生成系統(tǒng),包含用戶設(shè)備����、移動(dòng)管理實(shí)體和服務(wù)
GPRS支持節(jié)點(diǎn),其中�,
UE用于當(dāng)UE從EUTRAN轉(zhuǎn)移到UTRAN時(shí),將KSIASME映射為UTRAN 的系統(tǒng)密鑰的身《分識(shí)別符��;
MME,用于當(dāng)UE從EUTRAN轉(zhuǎn)移到UTRAN時(shí),將KSIASME映射為 UTRAN的系統(tǒng)密鑰的身份識(shí)別符����,發(fā)送給SGSN;
所述映射方式為,UE和MME直接令系統(tǒng)密鑰的身份標(biāo)識(shí)符等于 KSIasme,或令系統(tǒng)密鑰的身份標(biāo)識(shí)符等于KSUsME與一用戶設(shè)備和網(wǎng)絡(luò)側(cè)約 定的常數(shù)之和���。
進(jìn)一步地��,所述用戶設(shè)備包含
第一密鑰身份標(biāo)識(shí)符映射單元�����,用于生成IK����、 CK的身份標(biāo)識(shí)符KSI��, 將演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符 KSlASME的值或?qū)⑵浼由弦患s定的常數(shù)后映射給KSI;
第一密鑰及其身^f分標(biāo)識(shí)符存儲(chǔ)單元�,用于保存UTRAN的系統(tǒng)密鑰即IK、 CK和第一密鑰標(biāo)識(shí)符映射單元生成的系統(tǒng)密鑰的身份標(biāo)識(shí)符KSI;
消息接收單元�����,用于接收網(wǎng)絡(luò)側(cè)發(fā)過來的密鑰身份標(biāo)識(shí)符映射完成消息�;
消息發(fā)送單元�����,用于發(fā)送請求消息至網(wǎng)絡(luò)����。
所述移動(dòng)管理實(shí)體還包含
第二密鑰身份標(biāo)識(shí)符映射單元��,用于生成所述密鑰IK����、 CK的身份標(biāo)識(shí) 符KSI�����,將KSIasme的值或?qū)⑵浼由弦患s定的常數(shù)后映射給KSI;
安全參數(shù)發(fā)送單元����,用于發(fā)送系統(tǒng)密鑰IK、 CK和第二密鑰標(biāo)識(shí)符映射 單元生成的系統(tǒng)密鑰的身份標(biāo)識(shí)符KSI至服務(wù)GRPS支持節(jié)點(diǎn)��;
請求消息接收單元�����,用于接收密鑰身份標(biāo)識(shí)符映射請求; 所述服務(wù)GPRS支持節(jié)點(diǎn)還包含安全參數(shù)接收單元����,用于接收移動(dòng)管理實(shí)體發(fā)送的密鑰IK、 CK及其身
份標(biāo)識(shí)符KSI;
第三密鑰及其身份標(biāo)識(shí)符存儲(chǔ)單元���,用于存儲(chǔ)接收到的密鑰IK��、 CK及 其身份標(biāo)識(shí)符KSI;
消息發(fā)送單元�����,用于通知UE網(wǎng)絡(luò)側(cè)身份標(biāo)識(shí)符生成完成消息��。
上述密鑰集標(biāo)識(shí)符生成方法和系統(tǒng)因?yàn)獒娪肊UTRAN網(wǎng)絡(luò)中的KSIasme 的值映射為的UTRAN網(wǎng)絡(luò)的KSI的值���,同時(shí)保證KSI與原先存儲(chǔ)的密鑰序 列號不出現(xiàn)重碼。解決了現(xiàn)有技術(shù)中在UE從EUTRAN轉(zhuǎn)移到UTRAN時(shí)�����, 由于映射過來的IK�、 CK無身份標(biāo)識(shí)符而無法重新被使用的問題。
本發(fā)明還提供一種密鑰生成系統(tǒng)�����,包含用戶設(shè)備、移動(dòng)管理實(shí)體和服務(wù) GPRS支持節(jié)點(diǎn)���,其中
所述用戶設(shè)備���,用于當(dāng)用戶設(shè)備從EUTRAN轉(zhuǎn)移到GERAN時(shí),使用接 入安全管理實(shí)體密鑰標(biāo)識(shí)符映射生成GERAN的加密密鑰Kc的身份標(biāo)識(shí)符 CKSN;
所述移動(dòng)管理實(shí)體�,用于當(dāng)用戶設(shè)備從EUTRAN轉(zhuǎn)移到GERAN時(shí),使 用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成加密密鑰和完整性密鑰的身 份標(biāo)識(shí)符��;將所述加密密鑰和完整性密鑰及其身份標(biāo)識(shí)符一起發(fā)給服務(wù)GPRS 支持節(jié)點(diǎn)�;
所述服務(wù)GPRS支持節(jié)點(diǎn)��,用于接收所述移動(dòng)管理實(shí)體發(fā)送的加密密鑰�、 完整性密鑰及其身份標(biāo)識(shí)符,將所述身份標(biāo)識(shí)符的值賦給GERAN的加密密 鑰Kc的身〗分標(biāo)識(shí)符CKSN����。
進(jìn)一步地,所述用戶設(shè)備包含
第一密鑰身份標(biāo)識(shí)符映射單元����,用于生成Kc的身份標(biāo)識(shí)符CKSN�,將演 進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符KSIasme 的值或?qū)⑵浼由弦患s定的常數(shù)后映射給CKSN;
第一密鑰及其身^/分標(biāo)識(shí)符存儲(chǔ)單元��,用于保存第一密鑰生成單元生成的密鑰Kc和第一密鑰標(biāo)識(shí)符映射單元生成的密鑰的身^f分標(biāo)識(shí)符CKSN;
消息接收單元����,用于接收網(wǎng)絡(luò)側(cè)發(fā)過來的密鑰身份標(biāo)識(shí)符映射完成消息; 消息發(fā)送單元�,用于發(fā)送請求消息通知網(wǎng)絡(luò)作密鑰身^f分標(biāo)識(shí)符映射。
所述移動(dòng)管理實(shí)體還包含
第二密鑰身份標(biāo)識(shí)符映射單元����,用于生成所述密鑰IK、 CK的身份標(biāo)識(shí) 符KSI����,將KSIasme的值或?qū)⑵浼由弦患s定的常數(shù)后映射給KSI;
安全參數(shù)發(fā)送單元,用于發(fā)送密鑰IK�����、 CK和第二密鑰標(biāo)識(shí)符映射單元 生成的IK�����、 CK的身份標(biāo)識(shí)符KSI至服務(wù)GRPS支持節(jié)點(diǎn);
請求消息接收單元�����,用于接收密鑰身份標(biāo)識(shí)符映射請求��; 所述服務(wù)GPRS支持節(jié)點(diǎn)還包含
安全參數(shù)接收單元�����,用于接收移動(dòng)管理實(shí)體發(fā)送的密鑰IK����、 CK及其身 份標(biāo)識(shí)符KSI;
第三密鑰身份標(biāo)識(shí)符映射單元,用于將KSI的值賦給CKSN; 第三密鑰及其身份標(biāo)識(shí)符存儲(chǔ)單元�����,用于存儲(chǔ)密鑰Kc及其身份標(biāo)識(shí)符 CKSN�。
消息發(fā)送單元����,用于通知UE網(wǎng)絡(luò)側(cè)身份標(biāo)識(shí)符生成完成消息。
上述實(shí)施例的密鑰集標(biāo)識(shí)符生成方法和系統(tǒng)因?yàn)椴捎肒SUsme的值映射 為CKSN的值���,同時(shí)保證CKSN和SGSN原先存儲(chǔ)的密鑰序列號不出現(xiàn)重碼�����, 所以解決了現(xiàn)有技術(shù)中在UE從EUTRAN轉(zhuǎn)移到UTRAN或GERAN時(shí)�����,由 于KASME映射過來的IK�、 CK或Kc無身份標(biāo)識(shí)符而無法被重新使用的問題, 從而使IK����、 CK或Kc能夠在轉(zhuǎn)移結(jié)束后,重新被使用�,減少UE和網(wǎng)絡(luò)的交 互信令,提高用戶使用網(wǎng)絡(luò)的滿意度�。
顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白��,上述的本發(fā)明的各模塊或各步驟可 以用通用的計(jì)算裝置來實(shí)現(xiàn)�,它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上�����,可選地,它們可以用計(jì)算裝置可執(zhí)行的程 序代碼來實(shí)現(xiàn)�,從而,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行�����,或 者將它們分別制作成各個(gè)集成電路模塊���,或者將它們中的多個(gè)模塊或步驟制 作成單個(gè)集成電路模塊來實(shí)現(xiàn)����。這樣����,本發(fā)明不限制于任何特定的硬件和軟 件結(jié)合。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已�����,并不用于限制本發(fā)明����,對于本 領(lǐng)域的技術(shù)人員來說��,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和 原則之內(nèi)��,所作的任何修改���、等同替換�、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù) 范圍之內(nèi)。
權(quán)利要求
1����、一種密鑰身份標(biāo)識(shí)符生成方法,包括用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng)時(shí)��,移動(dòng)管理實(shí)體和用戶設(shè)備使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成所述通用陸地?zé)o線接入網(wǎng)系統(tǒng)密鑰集的身份標(biāo)識(shí)符�����,移動(dòng)管理實(shí)體將所述系統(tǒng)密鑰集的身份標(biāo)識(shí)符同系統(tǒng)的加密密鑰及完整性密鑰一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)���。
2����、 如權(quán)利要求l所述的方法�����,其特征在于,所述映射生成的方式為 用戶設(shè)備和移動(dòng)管理實(shí)體直接令所述通用陸地?zé)o線接入網(wǎng)系統(tǒng)密鑰集的身份 標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符����,或令所述通用陸地?zé)o線接 入網(wǎng)系統(tǒng)密鑰集的身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與用 戶設(shè)備和網(wǎng)絡(luò)側(cè)約定的 一 常數(shù)之和。
3���、 如權(quán)利要求1或2所述的方法�,其特征在于�����,所述用戶設(shè)備空閑 狀態(tài)下從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng)時(shí)���,所述移動(dòng)管 理實(shí)體收到上下文請求或鑒別請求消息后�����,使用接入安全管理實(shí)體密鑰生成完整性密鑰�����、加密密鑰��,使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成 所迷完整性密鑰�、加密密鑰的身份標(biāo)識(shí)符即密鑰集標(biāo)識(shí)符����,將所迷完整性密 鑰、加密密鑰和所述密鑰集標(biāo)識(shí)符通過上下文響應(yīng)或鑒別響應(yīng)消息發(fā)送給所 迷月良務(wù)GPRS支持節(jié)點(diǎn)����,所述服務(wù)GPRS支持節(jié)點(diǎn)保存所述加密密鑰、完整 性密鑰和密鑰集標(biāo)識(shí)符�����。
4�、 如權(quán)利要求1或2所述的方法,其特征在于�����,所述用戶設(shè)備決定 空閑轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng)后�����,在用戶設(shè)備相應(yīng)發(fā)送路由區(qū)更新完成或 附著完成消息給服務(wù)GPRS支持節(jié)點(diǎn)之前����,所述用戶設(shè)備使用接入安全管理 實(shí)體密鑰的身份標(biāo)識(shí)符映射生成密鑰集標(biāo)識(shí)符����,將密鑰集標(biāo)識(shí)符和由接入安 全管理實(shí)體密鑰生成的完整性密鑰��、加密密鑰一起保存����。
5、 如權(quán)利要求1或2所述的方法�,其特征在于,所述用戶設(shè)備在無 線資源控制激活狀態(tài)下從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng) 時(shí)����,所述移動(dòng)管理實(shí)體在收到切換請求后,使用接入安全管理實(shí)體密鑰生成 完整性密鑰����、加密密鑰,使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成所述完整性密鑰��、加密密鑰的身4分標(biāo)識(shí)符即密鑰集標(biāo)識(shí)符�����,通過轉(zhuǎn)發(fā)重定向 請求消息將所述加密密鑰和完整性密鑰及密鑰集標(biāo)識(shí)符一起發(fā)送給服務(wù)GPRS支持節(jié)點(diǎn),所述GPRS支持節(jié)點(diǎn)保存所述加密密鑰����、完整性密鑰和所 述密鑰集標(biāo)識(shí)符���;所述用戶設(shè)備收到網(wǎng)絡(luò)側(cè)發(fā)送的切換命令后使用接入安全 管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成密鑰集標(biāo)識(shí)符�,將密鑰集標(biāo)識(shí)符和由接 入安全管理實(shí)體密鑰生成的完整性密鑰���、加密密鑰一起保存�����。
6�����、 如權(quán)利要求1或2所述的方法��,其特征在于�,如果所述用戶設(shè)備 轉(zhuǎn)移前和網(wǎng)絡(luò)側(cè)協(xié)商好密鑰�,且轉(zhuǎn)移前協(xié)商好的密鑰的身份標(biāo)識(shí)符和轉(zhuǎn)移過 程中由所述接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成的所述系統(tǒng)密鑰的 身份標(biāo)識(shí)符一樣,刪除轉(zhuǎn)移前服務(wù)GPRS支持節(jié)點(diǎn)和用戶設(shè)備中保存的該密鑰����。
7����、 一種密鑰身份標(biāo)識(shí)符生成方法��,包括用戶設(shè)備從演進(jìn)的陸地?zé)o 線接入網(wǎng)轉(zhuǎn)移到全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng) 時(shí)���,移動(dòng)管理實(shí)體使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成加密密 鑰和完整性密鑰的身份標(biāo)識(shí)符��;移動(dòng)管理實(shí)體將所述加密密鑰和完整性密鑰 及其身份標(biāo)識(shí)符一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)���;服務(wù)GPRS支持節(jié)點(diǎn)將所述加密密鑰和完整性密鑰的身份標(biāo)識(shí)符的值賦 給所述全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密 鑰的身份標(biāo)識(shí)符,即加密密鑰序列號�����;用戶設(shè)備使用接入安全管理實(shí)體密鑰標(biāo)識(shí)符映射生成所述全球移動(dòng)通訊 系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰的身份標(biāo)識(shí)符���。
8�、 如權(quán)利要求7所述的方法���,其特征在于���,所述映射生成的方式為 移動(dòng)管理實(shí)體直接令加密密鑰和完整性密鑰的身份標(biāo)識(shí)符等于接入安全管理 實(shí)體密鑰的身份標(biāo)識(shí)符����,或令加密密鑰和完整性密鑰的身份標(biāo)識(shí)符等于接入 安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與網(wǎng)絡(luò)側(cè)和用戶設(shè)備約定的一常數(shù)之和��;用 戶設(shè)備直接令全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的 加密密鑰身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符��,或令全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰身份標(biāo)識(shí)符 等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與用戶設(shè)備和網(wǎng)絡(luò)側(cè)約定的一常數(shù)之和����。
9��、 如權(quán)利要求7或8所述的方法���,其特征在于�����,所述用戶設(shè)備空閑 狀態(tài)下從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率 GSM演進(jìn)無線接入網(wǎng)時(shí)�����,所述移動(dòng)管理實(shí)體在收到上下文請求或鑒別請求消 息后��,生成完整性密鑰��、加密密鑰和及其身份標(biāo)識(shí)符�����,通過上下文響應(yīng)或鑒 別響應(yīng)消息發(fā)送給所述服務(wù)GPRS支持節(jié)點(diǎn)���。
10���、 如權(quán)利要求7或8所述的方法,其特征在于���,所述用戶設(shè)備決定 空閑轉(zhuǎn)移到全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)后�����, 在用戶設(shè)備相應(yīng)發(fā)送路由區(qū)更新完成或附著完成消息給服務(wù)GPRS支持節(jié)點(diǎn) 之前�����,所述用戶設(shè)備使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成全球 移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰身份標(biāo)識(shí) 符�����,將全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密 鑰身份標(biāo)識(shí)符和由接入安全管理實(shí)體密鑰生成的全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型 數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰一起保存����。
11、 如權(quán)利要求7或8所述的方法�����,其特征在于�����,所述用戶設(shè)備在無 線資源控制激活狀態(tài)下從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸地?zé)o線接入網(wǎng) 時(shí)����,所述移動(dòng)管理實(shí)體在收到切換請求后���,生成加密密鑰��、完整性密鑰和及 其身份標(biāo)識(shí)符��,通過轉(zhuǎn)發(fā)重定向請求消息將所述加密密鑰�、完整性密鑰及其 身4分標(biāo)識(shí)符發(fā)送給服務(wù)GPRS支持節(jié)點(diǎn);所述用戶設(shè)備收到網(wǎng)絡(luò)側(cè)發(fā)送的切 換命令后��,生成所述全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接 入網(wǎng)的加密密鑰及其身份標(biāo)識(shí)符�。
12、 如權(quán)利要求7或8所述的方法����,其特征在于,如果所述用戶設(shè)備 轉(zhuǎn)移前和網(wǎng)絡(luò)側(cè)協(xié)商好密鑰���,且轉(zhuǎn)移前協(xié)商好的密鑰其身份標(biāo)識(shí)符和轉(zhuǎn)移過 程中映射生成的所述全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接 入網(wǎng)的加密密鑰的身份標(biāo)識(shí)符一樣�����,刪除轉(zhuǎn)移前服務(wù)GPRS支持節(jié)點(diǎn)和用戶 設(shè)備中保存的該密鑰����。
13���、 一種密鑰生成系統(tǒng)�,其特征在于�����,包含用戶設(shè)備、移動(dòng)管理實(shí)體和服務(wù)GPRS支持節(jié)點(diǎn)���,其特征在于���,所述用戶設(shè)備,用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通用陸 地?zé)o線接入網(wǎng)時(shí)�,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為所述通用陸 地?zé)o線接入網(wǎng)的系統(tǒng)密鑰集的身份識(shí)別符;所述移動(dòng)管理單元�����,用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到通 用陸地?zé)o線接入網(wǎng)時(shí)��,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射為所述通 用陸地?zé)o線接入網(wǎng)的系統(tǒng)密鑰集的身份識(shí)別符���,發(fā)送給所述服務(wù)GPRS支持 節(jié)點(diǎn)��;所述映射方式為,用戶設(shè)備和移動(dòng)管理實(shí)體直接令系統(tǒng)密鑰集的身份標(biāo) 識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符�����,或令系統(tǒng)密鑰集的身份標(biāo)識(shí) 符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與用戶設(shè)備和網(wǎng)絡(luò)側(cè)約定的一常 數(shù)之和0
14���、 如權(quán)利要求13所述的系統(tǒng)�,其特征在于, 所述用戶設(shè)備包含第一密鑰身^^標(biāo)識(shí)符映射單元��,用于映射生成完整性密鑰����、加密密鑰的 身份標(biāo)識(shí)符,將演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰接入安全管理實(shí)體密鑰的身 份標(biāo)識(shí)符的值或?qū)⑵浼由弦患s定的常數(shù)后映射給完整性密鑰����、加密密鑰的身 份標(biāo)識(shí)符;第一密鑰及其身^^標(biāo)識(shí)符存儲(chǔ)單元���,用于保存加密密鑰�、完整性密鑰和 第一密鑰標(biāo)識(shí)符映射單元生成的加密密鑰���、完整性密鑰的身^H示識(shí)符���;所述移動(dòng)管理實(shí)體包含第二密鑰身份標(biāo)識(shí)符映射單元,用于生成完整性密鑰���、加密密鑰的身份 標(biāo)識(shí)符���,將演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰接入安全管理實(shí)體密鑰的身份標(biāo) 識(shí)符的值或?qū)⑵浼由弦患s定的常數(shù)后映射給完整性密鑰����、加密密鑰的身份標(biāo) 識(shí)符��;安全參數(shù)發(fā)送單元��,用于發(fā)送加密密鑰�、完整性密鑰和第二密鑰標(biāo)識(shí)符 映射單元生成的加密密鑰、完整性密鑰的身份標(biāo)識(shí)符至服務(wù)GRPS支持節(jié)點(diǎn)�;所述服務(wù)GPRS支持節(jié)點(diǎn)包含安全參數(shù)接收單元,用于接收移動(dòng)管理實(shí)體發(fā)送的加密密鑰��、完整性密 鑰及其身份標(biāo)識(shí)符�;第三密鑰及其身份標(biāo)識(shí)符存儲(chǔ)單元,用于存儲(chǔ)接收到的加密密鑰�����、完整 性密鑰及其身份標(biāo)識(shí)符�����。
15����、 一種密鑰生成系統(tǒng),其特征在于��,包含用戶設(shè)備��、移動(dòng)管理實(shí)體 和服務(wù)GPRS支持節(jié)點(diǎn)��,其特征在于��,所述用戶設(shè)備�����,用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到全球移 動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)時(shí)��,使用接入安全管理實(shí) 體密鑰標(biāo)識(shí)符映射生成全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線 接入網(wǎng)的加密密鑰的身份標(biāo)識(shí)符��;所述移動(dòng)管理實(shí)體��,用于當(dāng)用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)轉(zhuǎn)移到全 球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)時(shí)��,使用接入安全管 理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成加密密鑰和完整性密鑰的身份標(biāo)識(shí)符����;將 所述加密密鑰和完整性密鑰及其身份標(biāo)識(shí)符一起發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)���;所述服務(wù)GPRS支持節(jié)點(diǎn),用于接收所述移動(dòng)管理實(shí)體發(fā)送的加密密鑰�����、 完整性密鑰及其身份標(biāo)識(shí)符���,將所述加密密鑰�、完整性密鑰的身份標(biāo)識(shí)符的 值賦給全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密 鑰的身^分標(biāo)識(shí)符����;所述映射生成的方式為移動(dòng)管理實(shí)體直接令加密密鑰和完整性密鑰的 身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符,或令加密密鑰和完整 性密鑰的身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與網(wǎng)絡(luò)側(cè)和用 戶設(shè)備約定的一常數(shù)之和�����;用戶設(shè)備直接令全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù) 速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰身份標(biāo)識(shí)符等于接入安全管理實(shí)體密 鑰的身份標(biāo)識(shí)符���,或令全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接 入網(wǎng)的加密密鑰身份標(biāo)識(shí)符等于接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符與用戶 設(shè)備和網(wǎng)絡(luò)側(cè)約定的 一常數(shù)之和�����。
16����、 如權(quán)利要求15所述的系統(tǒng)���,其特征在于���,所述用戶設(shè)備包含第一密鑰身份標(biāo)識(shí)符映射單元,用于將演進(jìn)的陸地?zé)o線接入網(wǎng)的根密鑰 接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符的值或?qū)⑵浼由弦怀?shù)后映射給全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰的身份標(biāo)識(shí)符��;第 一密鑰及其身份標(biāo)識(shí)符存儲(chǔ)單元��,用于保存全球移動(dòng)通訊系統(tǒng)或增強(qiáng) 型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰及其身份標(biāo)識(shí)符��;所述移動(dòng)管理實(shí)體還包含第二密鑰身份標(biāo)識(shí)符映射單元�,用于生成所述加密密鑰、完整性密鑰的 身份標(biāo)識(shí)符�����,將接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符的值或?qū)⑵浼由弦怀?shù) 后映射給完整性密鑰�、加密密鑰的身份標(biāo)識(shí)符;安全參數(shù)發(fā)送單元��,用于發(fā)送加密密鑰、完整性密鑰和第二密鑰標(biāo)識(shí)符 映射單元生成的加密密鑰��、完整性密鑰的身份標(biāo)識(shí)符至服務(wù)GRPS支持節(jié)點(diǎn)�;所述服務(wù)GPRS支持節(jié)點(diǎn)還包含安全參數(shù)接收單元,用于接收移動(dòng)管理實(shí)體發(fā)送的加密密鑰��、完整性密 鑰及其身份標(biāo)識(shí)符���;第三密鑰身份標(biāo)識(shí)符映射單元�,用于將加密密鑰��、完整性密鑰及其身份 標(biāo)識(shí)符的值賦給全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng) 的加密密鑰的身份標(biāo)識(shí)符��;第三密鑰及其身^f分標(biāo)識(shí)符存儲(chǔ)單元��,用于存儲(chǔ)全球移動(dòng)通訊系統(tǒng)或增強(qiáng) 型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)的加密密鑰及其身份標(biāo)識(shí)符��。
全文摘要
本發(fā)明提供了一種密鑰身份標(biāo)識(shí)符生成方法����,包括用戶設(shè)備UE從演進(jìn)的陸地?zé)o線接入網(wǎng)EUTRAN轉(zhuǎn)移到UTRAN通用陸地?zé)o線接入網(wǎng)或全球移動(dòng)通訊系統(tǒng)或增強(qiáng)型數(shù)據(jù)速率GSM演進(jìn)無線接入網(wǎng)GERAN時(shí),UE使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成轉(zhuǎn)移后的系統(tǒng)密鑰的身份標(biāo)識(shí)符���,移動(dòng)管理實(shí)體使用接入安全管理實(shí)體密鑰的身份標(biāo)識(shí)符映射生成加密密鑰及完整性密鑰的身份標(biāo)識(shí)符����,將其發(fā)給服務(wù)GPRS支持節(jié)點(diǎn)SGSN,當(dāng)用戶設(shè)備從EUTRAN轉(zhuǎn)移到UTRAN時(shí)�,SGSN保存該加密密鑰、完整性密鑰及其身份標(biāo)識(shí)符�,當(dāng)用戶設(shè)備從EUTRAN轉(zhuǎn)移到GERAN時(shí)�����,SGSN將加密密鑰�����、完整性密鑰的身份標(biāo)識(shí)符的值賦給GERAN的加密密鑰的身份標(biāo)識(shí)符��。
文檔編號H04Q7/38GK101299666SQ20081010047
公開日2008年11月5日 申請日期2008年6月16日 優(yōu)先權(quán)日2008年6月16日
發(fā)明者張旭武, 慶 黃 申請人:中興通訊股份有限公司