CN101835152A - 终端移动到增强utran时建立增强密钥的方法及*** - Google Patents

终端移动到增强utran时建立增强密钥的方法及*** Download PDF

Info

Publication number
CN101835152A
CN101835152A CN201010165581A CN201010165581A CN101835152A CN 101835152 A CN101835152 A CN 101835152A CN 201010165581 A CN201010165581 A CN 201010165581A CN 201010165581 A CN201010165581 A CN 201010165581A CN 101835152 A CN101835152 A CN 101835152A
Authority
CN
China
Prior art keywords
key
rnc
sgsn
terminal
utran
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201010165581A
Other languages
English (en)
Inventor
冯成燕
王新台
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201010165581A priority Critical patent/CN101835152A/zh
Publication of CN101835152A publication Critical patent/CN101835152A/zh
Priority to EP11768403.5A priority patent/EP2501164B1/en
Priority to JP2012545075A priority patent/JP5436694B2/ja
Priority to CA2787969A priority patent/CA2787969C/en
Priority to PCT/CN2011/072442 priority patent/WO2011127791A1/zh
Priority to US13/515,186 priority patent/US8712054B2/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种终端从EUTRAN移动到增强UTRAN时建立增强密钥的方法和***,保证终端在增强的UTRAN中能够安全地进行正常的通信。所述方法包括:当终端从EUTRAN移动到增强的UTRAN时,增强UTRAN中的目标增强服务GPRS支持节点(SGSN+)根据从源移动管理实体处获得的映射的传统密钥推导UTRAN中所使用的中间密钥;所述终端推导映射的传统密钥后,再根据所述映射的传统密钥采用与所述目标SGSN+相同的算法推导增强UTRAN中所使用的中间密钥。

Description

终端移动到增强UTRAN时建立增强密钥的方法及***
技术领域
本发明涉及无线通信领域,具体而言,涉及一种无线通信***中终端从EUTRAN移动到增强的UTRAN时增强密钥的建立的方法及***。
背景技术
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)在Release7中采用了正交频分复用(Orthogonal Frequency Division Multiplexing,简称OFDM)和多输入多输出(Multiple-Input Multiple-Output,简称MIMO)技术完成HSDPA(High Speed Downlink Packet Access,高速下行链路分组接入)和HSUPA(High Speed Uplink Packet Access,高速上行链路分组接入)的未来演进道路HSPA+。HSPA+是3GPP HSPA(包括HSDPA和HSUPA)的增强技术,为HSPA运营商提供低复杂度、低成本的从HSPA向LTE平滑演进的途径。
HSPA+通过采用高阶调制(例如下行64QAM(Quadrature AmplitudeModulation,正交幅度调制)和上行16QAM)、MIMO以及高阶段调制与MIMO的结合等技术,提升了峰值数据速率与频谱效率。另一方面,为了更好的支持分组业务,HSPA+还采用了一系列其它增强技术来达到增加用户容量、降低时延、降低终端耗电,更好地支持IP语音通信(VOIP)以及提升***的多播/广播能力等目标。
相比较于HSPA,HSPA+在***架构上将无线网络控制器(Radio NetworkController,简称RNC)的功能下放到基站节点B(Node B),形成完全扁平化的无线接入网络架构,如图1所示。此时称集成了完全RNC功能的Node B为Evolved HSPA Node B,或者简称增强节点B(Node B+)。SGSN+为进行了升级能支持HSPA+功能的SGSN(SERVICE GPRS SUPPORT NODE,服务GPRS支持节点;GPRS:General Packet Radio System,通用分组无线***)。ME+为能支持HSPA+功能的用户终端设备(也可称为UE+)。演进的HSPA***能够使用3GPP Rel-5和以后的空口版本,对空口的HSPA业务没有任何修改。采用这种方案后,每个Node B+都成为一个相当于RNC的节点,具有Iu-PS接口能够直接与PS CN(Core Network,核心网)连接,Iu-PS用户面在SGSN终结,其中如果网络支持直通隧道功能,Iu-PS用户面也可以在GGSN(Gateway GPRS Support Node,网关GPRS支持节点)终结。演进的HSPA Node B之间的通信通过Iur接口执行。Node B+具有独立组网的能力,并支持完整的移动性功能,包括***间和***内切换。
在HSPA+中,可以将Node B+看作Node B和RNC的结合。二者是一个物理实体,但是仍然是2个不同的逻辑实体。因此本文中支持HSPA+增强的密钥层次的Node B+也可以等同为UMTS中进行了升级的RNC。为了区分,我们可以称之为RNC+。
目前提出的HSPA+增强的安全密钥层次结构如图2所示。其中,K(Key,即根密钥)、CK(Ciphering Key,即加密密钥)和IK(Integrity Key,即完整性密钥)的定义与UMTS(Universal Mobile Telecommunications System,通用移动通信***)中完全一致。即K是存储于AuC(Authentication Center,鉴权中心)和USIM(UNIVERSAL SUB SCRIBER IDENTITY MODULE,通用订阅者身份模块)中的根密钥,CK和IK是用户设备与HSS进行AKA(Authentication and Key Agreement,认证和密钥协定)时由K计算出的加密密钥和完整性密钥。在UMTS中,RNC即使用CK和IK对数据进行加密和完整性保护。我们可以将CK和IK称为传统的空口安全密钥,简称传统密钥。
由于HSPA+架构中,将RNC的功能全部下放到基站Node B+,则加解密都需在Node B+处进行,而Node B+位于不安全的环境中,安全性不是特别高。因此HSPA+引入了一个类似于EUTRAN(Evolved Universal TerrestrialRadio Access Network,演进的通用陆地无线接入网络)的密钥层次,即UTRAN密钥层次(UTRAN Key Hierarchy)。在UTRAN密钥层次结构中,中间密钥KRNC(也有称为KASMEU)是HSPA+新引入的密钥,由传统密钥CK和IK推导生成。进一步地,KRNC生成CKU和IKU,其中CKU用于加密用户面数据和控制面信令,IKU用于对控制面信令进行完整性保护。我们将CKU和IKU称为增强的空口安全密钥,简称增强密钥。
LTE/SAE是3GPP对UMTS的演进技术,它支持在20MHz频谱带宽下提供下行100Mbps、上行50Mbps的峰值速率。LTE/SAE的网络由用户设备(UE)、接入网以及核心网组成。整个LTE架构如图3所示。在EUTRAN中,基站设备为演进的基站(evolved Node-B,简称eNB),主要负责无线通信、无线通信管理、和移动性上下文的管理。核心网包含移动管理实体(Mobility Management Entity,简称MME),MME负责移动性的管理、非接入层信令的处理、以及用户安全模式的管理等控制面相关的工作。
当用户从EUTRAN移动到UTRAN时,源MME根据LTE中的密钥KASME生成映射的传统密钥IK’、CK’,映射的传统密钥推导式如下:
IK’||CK’=KDF(KASME,downlink NAS COUNT)
其中,KDF是3GPP定义的安全算法,具体定义可参考3GPP相关规范。KASME是HSS根据CK、IK生成的密钥,并在AKA(Authentication and KeyAgreement,认证和密钥协定)过程中下发给MME,用以推导NAS(非接入层)层密钥以及eNB上的AS(接入层)层密钥。NAS COUNT是NAS计数器,每一个EPS NAS安全上下文与2个NAS COUNT关联:一个uplink NASCOUNT,一个downlink NAS COUNT。NAS COUNT长度为24位,由UE和MME独立维护。当成功运行一次AKA,生成新的KASME时,NAS COUNT初始化为0。
源MME将推导的映射的传统密钥IK’和CK’发送给目标网络的核心网节点SGSN。目标SGSN使用该映射的传统密钥对用户和网络之间的通信进行保护。
随着HSPA+安全的引入,由于增加了密钥层次,用户和网络之间使用增强密钥IKU和CKU对通信进行保护。当用户从EUTRAN移动到支持HSPA+安全功能的UTRAN时,如何通过映射的传统密钥建立起HSPA+的增强的安全密钥,是一个急需解决的问题。
发明内容
本发明要解决的技术问题是提供一种终端从EUTRAN移动到增强UTRAN时建立增强密钥的方法和***,保证终端在增强的UTRAN中能够安全地进行正常的通信。
为解决上述技术问题,本发明提供了一种终端从演进的通用陆地无线接入网络(EUTRAN)移动到增强的通用陆地无线接入网络(UTRAN)时建立增强密钥的方法,包括:
当终端从EUTRAN移动到增强的UTRAN时,增强UTRAN中的目标增强服务GPRS支持节点(SGSN+)根据从源移动管理实体处获得的映射的传统密钥推导UTRAN中所使用的中间密钥;
所述终端推导映射的传统密钥后,再根据所述映射的传统密钥采用与所述目标SGSN+相同的算法推导增强UTRAN中所使用的中间密钥。
进一步地,所述终端为激活态时,所述目标SGSN+在推导所述中间密钥后,将所述中间密钥发送给增强的UTRAN中的目标增强无线网络控制器(RNC+),由所述目标RNC+根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU);所述终端在推导所述中间密钥后,再根据所述中间密钥采用与所述目标RNC+相同的算法推导增强的空口密钥。
进一步地,所述终端为激活态时,所述目标SGSN+在推导所述中间密钥后,再根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU),并将推导的增强空口密钥发送给目标增强无线网络控制器(RNC+);所述终端在推导所述中间密钥后,再根据所述中间密钥采用与所述目标SGSN+相同的算法推导增强的空口密钥。
进一步地,所述目标SGSN+根据所述映射的传统密钥和所述中间密钥推导变形中间密钥,并将所述变形中间密钥发送给所述目标RNC+,所述变形中间密钥用于当所述终端在增强的UTRAN网络内进行服务无线网络控制器(SRNC)迁移时,更新所述增强的空口密钥。
进一步地,所述目标SGSN+在推导所述变形中间密钥的同时,为所述变形中间密钥设置一关联的计数器,所述计数器用于记录生成变形中间密钥的次数。
进一步地,所述目标SGSN+将所述计数器值随同所述变形中间密钥一并发送给所述目标RNC+。
进一步地,所述目标SGSN+向目标RNC+发送密钥的消息为迁移请求消息。
进一步地,推导增强的空口密钥的算法为:增强的空口完整性密钥IKU=映射的传统完整性密钥IK’;增强的空口加密密钥CKU=映射的传统加密密钥CK’。
进一步地,所述目标SGSN+在推导所述中间密钥的过程中,根据所述映射的传统密钥再结合第一参数推导所述增强的UTRAN中所使用的中间密钥;所述终端在推导中间密钥的过程中,同样根据映射的传统密钥再结合所述第一参数采用与所述目标SGSN+相同的算法推导增强的UTRAN中所使用的中间密钥;所述第一参数为目标SGSN+发送给所述终端的,或者是目标SGSN+与所述终端约定好的。
进一步地,根据所述中间密钥推导增强的空口密钥的过程中,进一步根据中间密钥再结合第二参数推导所述增强的空口密钥。
进一步地,所述第一参数包括以下参数的一种或几种:服务网络标识(PLMN identifier),核心网节点类型,序列号(SQN),隐藏密钥(AK),用户身份标识,目标SGSN+生成的随机数。
进一步地,所述第二参数包括以下参数的一种或几种:目标无线网络控制器(RNC)生成的刷新随机数(FRESH),加密算法标识(enc-alg-ID),完整性算法标识(int-alg-ID),增强节点B的物理小区标识(PCI),增强节点B的绝对频点(UARFCN),目标RNC为所述终端分配的扰码(ScramblingCode),用户标识,目标RNC标识,通用移动通信***中定义的开始(START)参数,通用移动通信***中定义的完整性序列号(COUNT-I)参数,通用移动通信***中定义的无线链路控制序列号(RRC SN)参数,目标SGSN+生成的随机数。
进一步地,所述目标SGSN+生成的随机数通过以下路径发送给终端:目标SGSN+向源移动管理实体发送的转发迁移响应消息、所述源移动管理实体向源基站发送的切换命令消息和所述源基站向终端发送的从E-UTRAN切换命令消息。
进一步地,所述终端为空闲态时,所述目标SGSN+在推导所述中间密钥的过程中,根据所述映射的传统密钥再结合第一参数推导所述增强的UTRAN中所使用的中间密钥;所述终端在推导中间密钥的过程中,同样根据映射的传统密钥再结合所述第一参数采用与所述目标SGSN+相同的算法推导增强的UTRAN中所使用的中间密钥。
进一步地,所述第一参数包括以下参数的一种或几种:服务网络标识(PLMN identifier),核心网节点类型,序列号(SQN),隐藏密钥(AK),用户身份标识,目标SGSN+生成的随机数,终端生成的随机数。
进一步地,所述目标SGSN+生成的随机数通过路由区更新接受消息发送给终端。
进一步地,所述终端生成的随机数通过所述路由区更新请求消息发送给所述目标SGSN+。
为解决上述技术问题,本发明还提供了一种终端从演进的通用陆地无线接入网络(EUTRAN)移动到增强的通用陆地无线接入网络(UTRAN)时建立增强密钥的***,包括终端、增强UTRAN中的目标增强服务GPRS支持节点(SGSN+):
所述SGSN+,用于在终端从EUTRAN移动到增强的UTRAN时,根据从源移动管理实体处获得的映射的传统密钥推导UTRAN中所使用的中间密钥;
所述终端,用于推导映射的传统密钥,以及推导获得所述映射的传统密钥后,再根据所述映射的传统密钥采用与所述SGSN+相同的算法推导增强UTRAN中所使用的中间密钥。
进一步地,
所述***还包括增强的UTRAN中的目标增强无线网络控制器(RNC+),所述SGSN+进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收源移动管理实体发送的映射的传统密钥;
所述密钥推导单元,根据所述映射的传统密钥推导所述中间密钥;
所述发送单元,用于将推导出的所述中间密钥发送给所述RNC+;
所述RNC+,用于根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU);
所述终端进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收网络侧发送的命令;
所述密钥推导单元,用于根据所述命令进行映射的传统密钥的推导,以及根据推导获得的映射的传统密钥采用与所述SGSN+相同的算法推导所述中间密钥,以及根据所述中间密钥采用与所述RNC+相同的算法推导增强的空口密钥。
进一步地,
所述***还包括增强的UTRAN中的目标增强无线网络控制器(RNC+),所述SGSN+进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收源移动管理实体发送的映射的传统密钥;
所述密钥推导单元,根据所述映射的传统密钥推导所述中间密钥,以及根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU);
所述发送单元,用于将推导出的增强空口密钥发送给所述RNC+;
所述RNC+,用于保存接收到的增强空口密钥;
所述终端进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收网络侧发送的命令;
所述密钥推导单元,用于根据所述命令进行映射的传统密钥的推导,以及根据推导获得的映射的传统密钥采用与所述SGSN+相同的算法推导所述中间密钥,以及根据所述中间密钥采用与所述SGSN+相同的算法推导增强的空口密钥。
进一步地,
所述SGSN+的密钥推导单元还用于根据所述映射的传统密钥和所述中间密钥推导变形中间密钥,并将所述变形中间密钥发送给所述目标RNC+,所述变形中间密钥用于当所述终端在增强的UTRAN网络内进行服务无线网络控制器(SRNC)迁移时,更新所述增强的空口密钥。
采用本发明所述方法,使得终端从E-UTRAN移动到增强的UTRAN时,网络侧和终端可以分别根据映射的传统密钥建立增强的密钥体系,而不用通过再次进行AKA过程,从而能节省网络开销,提高***效率,保证终端能和增强的UTRAN网络安全地进行通信。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为现有技术中采用HSPA+技术的无线接入网络的架构示意图;
图2为现有技术中HSPA+增强的安全密钥层次结构示意图;
图3为现有技术中LTE/SAE的架构示意图;
图4为本发明实施例一流程图;
图5为本发明实施例二流程图;
图6为本发明实施例三流程图;
图7为本发明实施例四流程图;
图8为本发明实施例五流程图;
图9为本发明实施例六流程图;
图10为本发明实施例七流程图;
图11为本发明实施例八流程图。
具体实施方式
本发明的原理为:当终端从EUTRAN移动到支持HSPA+安全功能的UTRAN(即增强的UTRAN,以下简称增强UTRAN)时,增强UTRAN中的目标SGSN+根据从源移动管理实体处获得的映射的传统密钥推导UTRAN中所使用的中间密钥;所述终端推导映射的传统密钥后,再根据所述映射的传统密钥采用与所述目标SGSN+相同的算法推导增强UTRAN中所使用的中间密钥(KRNC)。
所述终端为激活态时,所述目标SGSN+通过转发迁移请求消息从源移动管理实体处获得映射的传统密钥。目标SGSN+在推导出中间密钥后,将所述中间密钥KRNC通过密钥分发消息(如迁移请求消息)发送给增强的UTRAN中的目标无线网络控制器(RNC+),由所述目标RNC+根据所述中间密钥KRNC推导出增强的空口密钥(IKU和/或CKU)。所述终端在推导出增强的UTRAN中所使用的中间密钥后,再根据所述中间密钥采用与所述目标RNC+相同的算法推导出增强的空口密钥(IKU和/或CKU)。
或者,所述目标SGSN+在推导出中间密钥后,再根据所述中间密钥推导出增强的空口密钥IKU和/或CKU,并将增强的空口密钥IKU和/或CKU通过密钥分发消息(如迁移请求消息)下发给目标RNC+,目标RNC+存储空口完整性密钥IKU和/或加密密钥CKU;所述终端在推导出增强的UTRAN中所使用的中间密钥后,再根据所述中间密钥采用与所述目标SGSN+相同的算法推导出增强的空口密钥IKU和/或CKU
所述目标SGSN+根据映射的传统密钥和中间密钥推导变形中间密钥,并通过密钥分发消息(如迁移请求消息)将所述变形中间密钥发送给增强的UTRAN中的目标无线网络控制器RNC+,所述变形中间密钥用于当所述终端在增强的UTRAN网络内进行服务无线网络控制器(SRNC)迁移时,更新所述增强的空口密钥IKU和CKU。优选地,所述目标SGSN+在推导所述变形中间密钥的同时,为所述变形中间密钥设置一关联的计数器,所述计数器用于记录生成变形中间密钥的次数。目标SGSN+可同时将计数器值也发送给RNC+。
优选地,推导增强的空口密钥的算法为:IKU=IK’,CKU=CK’。
所述目标SGSN+在推导中间密钥的过程中,根据映射的传统密钥再结合第一参数推导出增强的UTRAN中所使用的中间密钥;所述终端在推导中间密钥的过程中,同样根据映射的传统密钥再结合所述第一参数采用与所述目标SGSN+相同的算法推导出增强的UTRAN中所使用的中间密钥;所述第一参数为目标SGSN+发送给所述终端的,或者是目标SGSN+与所述终端约定好的。
根据所述中间密钥推导出增强的空口密钥(IKU和/或CKU)的过程中,根据中间密钥再结合第二参数推导出增强的空口密钥IKU和/或CKU
所述第一参数包括以下参数的一种或几种:服务网络标识(PLMNidentifier),核心网节点类型,序列号(SQN),隐藏密钥(AK),用户身份标识,目标SGSN+生成的随机数。
所述第二参数包括以下参数的一种或几种:目标无线网络控制器(RNC)生成的刷新随机数(FRESH),加密算法标识(enc-alg-ID),完整性算法标识(int-alg-ID),增强节点B的物理小区标识(PCI),增强节点B的绝对频点(UARFCN),目标RNC为所述终端分配的扰码(Scrambling Code),用户标识,目标RNC标识,通用移动通信***中定义的开始(START)参数,通用移动通信***中定义的完整性序列号(COUNT-I)参数,通用移动通信***中定义的无线链路控制序列号(RRC SN)参数,目标SGSN+生成的随机数。
所述终端为空闲态时,所述目标SGSN+通过上下文响应消息从源移动管理实体处获得映射的传统密钥。所述目标SGSN+在推导中间密钥的过程中,根据映射的传统密钥再结合第一参数推导出增强的UTRAN中所使用的中间密钥;所述终端在推导中间密钥的过程中,同样根据映射的传统密钥再结合所述第一参数采用与所述目标SGSN+相同的算法推导出增强的UTRAN中所使用的中间密钥。
所述第一参数包括以下参数的一种或几种:服务网络标识(PLMNidentifier),核心网节点类型,序列号(SQN),隐藏密钥(AK),用户身份标识,目标SGSN+生成的随机数NONCESGSN,终端生成的随机数NONCEUE
上述随机数NONCESGSN由目标SGSN+在接收到源MME发送的转发迁移请求消息后生成,并经由源MME、源基站的中转发送给终端;或者该随机数由目标SGSN+在接收到终端发送的路由区更新请求消息后生成,并经由路由区更新接受消息发送给终端。
上述随机数NONCEUE由终端在向目标SGSN+发送路由区更新请求消息前生成,并经由路由区更新请求消息发送给目标SGSN+。
上述FRESH由目标RNC+在接收到目标SGSN+发送的迁移请求消息后生成。该FRESH参数经由目标SGSN+和源MME、源基站的中转发送给终端。
下面将参考附图并结合实施例,来详细说明本发明,其中,实施例1-4中的终端状态为激活态,实施例5-6中的终端状态为空闲态。
实施例1
本实施例说明了终端在从EUTRAN移动到增强的UTRAN时,空口密钥管理流程的示例,在本实施例中,由目标SGSN+负责推导出KRNC,由目标RNC+负责推导出增强密钥CKU和IKU,如图4所示,包括以下步骤:
步骤101,源基站决定从E-UTRAN网络切换到目标增强UTRAN网络;
步骤102,源基站向源MME发送切换需要消息;
步骤103,源MME确认终端是要切换到UTRAN,根据KASME推导映射的传统密钥IK’和CK’;
终端在LTE网络中时,终端和MME处都保存有KASME。映射的传统密钥IK’和CK’的推导式遵从LTE相关协议定义,此处不再赘述。
步骤104,源MME向目标SGSN发送转发迁移请求消息,请求目标SGSN为终端分配资源;该消息携带安全相关的参数:例如映射的传统密钥IK’和CK’。
此后可能会同时进行服务网关(Serving GW)的迁移过程。
步骤105,若目标SGSN支持HSPA+增强的安全功能,即:若目标SGSN为SGSN+,则该目标SGSN+根据接收到的映射的传统密钥IK’、CK’推导中间密钥KRNC
KRNC的推导式如实施例9所述。
可选地,目标SGSN+在推导中间密钥KRNC后,根据映射的传统密钥IK’、CK’和中间密钥KRNC推导变形中间密钥KRNC *,该变形中间密钥用于当终端在增强的UTRAN网络内进行SRNC迁移时,更新增强的空口密钥IKU和CKU。优选地,变形中间密钥KRNC *与一个计数器NCC相关联,该计数器NCC用于记录生成变形中间密钥的次数,在本实施例中,此时,该变形中间密钥KRNC *关联的NCC值为1。
若目标SGSN不支持HSPA+增强的安全功能,则后面的流程按照LTE规范中规定的流程进行操作,此处不再赘述。
步骤106,目标SGSN+向目标RNC+发送迁移请求消息,请求目标RNC+为终端建立无线网络资源,该消息携带安全相关的信息,至少包括:KRNC和算法信息;
所述算法信息包括完整性算法信息和/或加密算法信息,所述完整性算法可以是终端支持的完整性算法,或者是网络侧选择的完整性算法;所述加密算法可以是终端支持的加密算法,或者是网络侧选择的加密算法。如果要求必须进行完整性保护,则所述算法信息中至少包含完整性算法。
可选地,如果步骤105中,目标SGSN+还推导了变形中间密钥KRNC *,则目标SGSN+还可以在该信息中携带:变形中间密钥KRNC *。如果为KRNC *设置了计数器NCC,则还可携带计数器NCC值。
步骤107,目标RNC+为终端分配无线资源,并根据接收到的KRNC推导增强的空口完整性密钥IKU和/或空口加密密钥CKU,并保存所生成的IKU和/或CKU
IKU和CKU的推导式如实施例10、11所示。如果推导过程中需要用到刷新随机数(FRESH),则目标RNC+还需要生成FRESH参数。
步骤108,目标RNC+向目标SGSN+发送迁移请求确认消息;
如果在步骤106中目标SGSN+携带了算法信息,则在本步骤中,RNC+需在所述迁移请求确认消息中携带RNC+选择的算法(完整性算法和/或加密算法)。
此外,目标RNC+可以在所述迁移请求确认消息增加指示,用以隐式或显式地指示终端进行增强密钥IKU和/或CKU的推导,例如:在迁移请求确认消息中增加包含网络侧安全能力指示(隐式方式),或者增强密钥启用指示(显示方式)。
此后可能目标SGSN+和服务网关进行创建间接数据转发隧道请求消息交互过程。
步骤109,目标SGSN+向源MME发送转发迁移响应消息;
如果目标SGSN+收到目标RNC+选择的算法,则在该转发迁移响应消息中携带RNC+选择的算法。
目标SGSN+也可以在所述转发迁移响应消息增加指示,用以隐式或显式地指示终端进行增强密钥IKU和/或CKU的推导,例如:在转发迁移响应消息中增加包含网络侧安全能力指示(隐式方式),或者增强密钥启用指示(显示方式)。如果步骤108中目标RNC+携带了所述指示,则目标SGSN+可将该指示添加在构造的转发迁移响应消息中。
步骤110,源MME向源基站发送切换命令消息,指示网络完成切换准备过程;
如果目标SGSN+向源MME发送的消息中携带有RNC+选择的算法,则源MME向源基站发送的该切换命令消息中也携带表示算法的参数。
此外,源MME在切换命令消息中携带目标RNC+或者目标SGSN+添加的指示,用以指示终端进行增强密钥IKU和/或CKU的推导。
步骤111,源基站向终端发送从EUTRAN切换命令消息,指示终端切换到目标接入网络;
该切换命令消息携带目标RNC+在准备阶段为终端分配的无线方面的参数,以及算法信息(包括完整性算法和/或加密算法)。
优选地,源基站也在该消息中携带目标RNC+或者目标SGSN+添加的指示,用以指示终端进行增强密钥IKU和CKU的推导。
步骤112,终端根据KASME推导映射的传统密钥IK’和CK’,随后根据映射的传统密钥IK’和CK’推导KRNC,然后再根据KRNC推导增强的空口完整性密钥IKU和/或空口加密密钥CKU
步骤113,终端向目标RNC+发送切换到UTRAN完成消息,该消息使用新生成的增强完整性密钥IKU进行完整性保护,和/或使用增强加密密钥CKU进行加密保护;
步骤114,目标RNC+向目标SGSN+发送迁移完成消息,向目标SGSN+指示终端已从EUTRAN成功切换到目标RNC+;
步骤115,目标SGSN+和源MME进行消息交互,确认迁移完成;
步骤116,源MME和源基站进行消息交互,释放相关资源。
实施例2
本实施例说明了终端在从EUTRAN移动到增强的UTRAN时,增强的空口密钥建立流程的示例。本实施例与例1的区别在于:增强的空口完整性密钥IKU和空口加密密钥CKU在目标SGSN+处生成,并通过目标SGSN+在迁移请求消息中下发给目标RNC+。如图5所示,包括以下步骤:
步骤201-204,同实施例1步骤101-104;
步骤205,若目标SGSN支持增强的安全功能,即:若目标SGSN为SGSN+,则该目标SGSN+根据接收到的映射的传统密钥IK’和CK’推导KRNC,再根据中间密钥KRNC推导增强的空口完整性密钥IKU和/或空口加密密钥CKU
可选地,目标SGSN+根据映射的传统密钥IK’、CK’和中间密钥KRNC推导变形中间密钥KRNC *
步骤206,目标SGSN+向目标RNC+发送迁移请求消息,请求目标RNC+为终端建立无线网络资源,该消息携带安全相关的信息,至少包括:增强空口密钥信息(增强的空口完整性密钥IKU和/或空口加密密钥CKU)以及算法信息;
所述算法信息包括完整性算法信息和/或加密算法信息。
可选地,如果步骤205中,目标SGSN+还推导了变形中间密钥KRNC *,则目标SGSN+在该信息中还携带:变形中间密钥KRNC *。如果为KRNC *设置了计数器NCC,则还可携带计数器NCC值。
步骤207,目标RNC+存储增强空口密钥信息;
步骤208-216,同实施例1步骤108-116。
实施例3
本实施例说明了终端在从EUTRAN移动到增强的UTRAN时,增强的空口密钥建立流程的另一种示例。本实施例与例1的区别在于,由目标SGSN+生成一个随机数NONCESGSN,并使用该随机数NONCESGSN和映射的传统密钥IK’和CK’推导中间密钥KRNC。如图6所示,包括以下步骤:
步骤301-304,同实施例1步骤101-104;
步骤305,若目标SGSN为SGSN+,则目标SGSN+生成随机数NONCESGSN,并根据接收到的映射的传统密钥IK’、CK’和生成的随机数NONCESGSN推导KRNC
KRNC的推导式如实施例9所述。
可选地,目标SGSN+在推导中间密钥KRNC后,根据映射的传统密钥IK’、CK’和中间密钥KRNC推导变形中间密钥KRNC *,该变形中间密钥用于当终端在增强的UTRAN网络内进行SRNC迁移时,更新增强的空口密钥IKU和CKU。优选地,变形中间密钥KRNC *与一个计数器NCC相关联。在本实施例中,此时,该变形中间密钥KASMEU *关联的NCC值为1。
步骤306-308,同实施例1步骤106-108;
步骤309,目标SGSN+向源MME发送转发迁移响应消息,并在该消息中携带参数:随机数NONCESGSN,以及算法信息,算法信息包括:完整性算法信息和/或加密算法信息;
优选地,目标SGSN+可在该消息中携带指示,经由源MME中转指示终端进行增强密钥IKU和CKU的推导,可以通过隐式或显式的方式指示,例如:在转发迁移响应消息中增加包含网络侧安全能力指示(隐式方式),或者增强密钥启用指示(显示方式)。
步骤310,源MME向源基站发送切换命令消息,指示网络完成切换准备过程,并在该消息中携带参数:随机数NONCESGSN,以及算法信息;
步骤311,源基站向终端发送从EUTRAN切换命令消息,指示终端切换到目标接入网络,并在该消息中携带目标RNC+在准备阶段为终端分配的无线方面的参数,包括:随机数NONCESGSN,以及算法信息;
优选地,源基站在该消息中指示终端进行增强密钥IKU和CKU的推导,可以通过隐式或显式的方式指示,例如:在切换命令中增加包含网络侧安全能力指示(隐式指示),或者增强密钥启用指示(显示指示)。
步骤312,终端根据KASME推导映射的传统密钥IK’和CK’,随后根据映射的传统密钥IK’、CK’和随机数NONCESGSN推导KRNC,然后再根据KRNC推导增强的空口完整性密钥IKU和/或空口加密密钥CKU
步骤313-316,同实施例1步骤113-116。
实施例4
本实施例说明了终端在从EUTRAN移动到增强的UTRAN时,增强的空口密钥建立流程的示例。本实施例与例3的区别在于:增强的空口完整性密钥IKU和空口加密密钥CKU在目标SGSN+处生成,并通过目标SGSN+在迁移请求消息中下发给目标RNC+。如图7所示,包括以下步骤:
步骤401-404,同实施例3步骤301-304;
步骤405,若目标SGSN为SGSN+,目标SGSN+生成随机数NONCESGSN,并根据接收到的映射的传统密钥IK’、CK’和生成的随机数NONCESGSN推导KRNC,再根据中间密钥KRNC推导增强的空口完整性密钥IKU和/或空口加密密钥CKU;或者,目标SGSN+根据接收到的映射的传统密钥IK’、CK’推导KRNC,再根据中间密钥KRNC和生成的随机数NONCESGSN推导增强的空口完整性密钥IKU和/或空口加密密钥CKU
可选地,目标SGSN+根据映射的传统密钥IK’、CK’和中间密钥KRNC推导变形中间密钥KRNC *,以及为该变形中间密钥KRNC *设置计数器NCC。
步骤406,目标SGSN+向目标RNC+发送迁移请求消息,请求目标RNC+为终端建立无线网络资源,该消息携带安全相关的信息至少包括:增强空口密钥信息(增强的空口完整性密钥IKU和/或空口加密密钥CKU)以及算法信息;
所述算法信息包括完整性算法信息和/或加密算法信息。
可选地,如果步骤405中,目标SGSN+还推导了变形中间密钥KRNC *,则目标SGSN+在该信息中还携带:变形中间密钥KRNC *。如果为KRNC *设置了计数器NCC,则还可携带计数器NCC值。
步骤407,目标RNC+存储增强空口密钥信息;
步骤408-416,同实施例3步骤309-316。在步骤412中,终端按照和网络侧相同的方法来推导增强的密钥IKU和/或CKU
实施例5
本实施例示出了终端在空闲模式下从EUTRAN移动到增强的UTRAN进行路由区更新时的一种增强的空口密钥建立的示例,如图8所示,包括以下步骤:
步骤501,当满足路由区更新触发条件时,终端向目标SGSN+发送路由区更新请求消息,请求进行路由区更新,该消息携带NAS token(非接入层令牌)用于网络对终端进行验证;
NAS token的推导式遵从LTE相关协议的定义,此处不再赘述。
步骤502,目标SGSN+向该终端的源MME发送上下文请求消息,请求该终端的上下文,该消息携带参数:NAS token;
步骤503,源MME对NAS token进行验证,若验证通过,则源MME根据KASME推导映射的传统密钥IK’和CK’;
映射的传统密钥IK’和CK’的推导式遵从LTE相关协议定义,此处不再赘述。
步骤504,源MME向目标SGSN+发送上下文响应消息,该消息携带参数:映射的传统密钥IK’和CK’;
步骤505,目标SGSN+根据接收到的映射的传统密钥IK’和CK’推导KRNC
KRNC的推导式如实施例9所述。
步骤506,目标SGSN+向终端发送路由区更新接受消息;
优选地,目标SGSN+在所述路由区更新接受消息中增加指示,用以隐式或显式地指示终端进行KRNC的推导,例如:在路由区更新接受消息中增加包含网络侧安全能力指示(隐式方式),或者增强密钥启用指示(显示方式)。
步骤507,终端根据KASME推导映射的传统密钥IK’和CK’,再由映射的传统密钥IK’和CK’推导出KRNC;其中映射的传统密钥IK’和CK’的推导也可发生于该步骤之前;
由于终端处于空闲态,因此只需要推导出中间密钥KRNC保存即可。
步骤508,终端向目标SGSN+发送路由区更新完成消息,确认路由区更新完成。
实施例6
本实施例示出了终端在空闲模式下从EUTRAN移动到增强的UTRAN进行路由区更新时建立增强的空口密钥的示例。本实施例与实施例5的区别在于,由目标SGSN+生成一个随机数NONCESGSN,目标SGSN+和终端使用该随机数NONCESGSN和映射的传统密钥IK’、CK’推导中间密钥KRNC。如图9所示,包括以下步骤:
步骤601-604,同实施例5步骤501-504;
步骤605,目标SGSN+生成随机数NONCESGSN,并根据接收到的映射的传统密钥IK’、CK’和随机数NONCESGSN推导KRNC
KRNC的推导式如实施例9所述。
步骤606,目标SGSN+向终端发送路由区更新接受消息,并在消息中携带参数:随机数NONCESGSN
优选地,目标SGSN+在所述路由区更新接受消息中增加指示,用以隐式或显式地指示终端进行KRNC的推导。
步骤607,终端根据KASME推导映射的传统密钥IK’和CK’,再根据映射的传统密钥IK’、CK’和NONCESGSN推导KRNC;其中映射的传统密钥IK’和CK’的推导也可发生于该步骤之前;
步骤608,同实施例5步骤508。
实施例7
本实施例示出了终端在空闲模式下从EUTRAN移动到增强的UTRAN进行路由区更新时建立增强的空口密钥的示例。本实施例与实施例5的区别在于,由终端生成一个随机数NONCEUE,目标SGSN+和终端使用该随机数NONCEUE和映射的传统密钥IK’、CK’推导中间密钥KRNC。如图10所示,包括以下步骤:
步骤701,当满足路由区更新触发条件时,终端生成随机数NONCEUE
步骤702,终端向目标SGSN+发送路由区更新请求消息,请求进行路由区更新,该消息携带参数:随机数NONCEUE
此外,该消息还携带NAS token用于网络对终端进行验证。NAS token的推导式遵从LTE相关协议的定义,此处不再赘述。
步骤703-705,同实施例5步骤502-504;
步骤706,目标SGSN+根据接收到的映射的传统密钥IK’、CK’和随机数NONCEUE推导KRNC
KRNC的推导式如实施例9所述。
步骤707,同实施例5步骤506;
步骤708,终端根据KASME推导映射的传统密钥IK’和CK’,再根据映射的传统密钥IK’、CK’和NONCEUE推导KRNC,其中映射的传统密钥IK’和CK’的推导也可发生于该步骤之前;
步骤709,同实施例5步骤508。
实施例8
本实施例示出了终端在空闲模式下从EUTRAN移动到增强的UTRAN进行路由区更新时建立增强的空口密钥的示例。本实施例与实施例5的区别在于,在本实施例中,终端生成一个随机数NONCEUE,目标SGSN+生成一个随机数NONCESGSN,终端和目标SGSN+分别使用随机数NONCEUE、随机数NONCESGSN和映射的传统密钥IK’、CK’推导中间密钥KRNC。如图11所示,包括如下步骤:
步骤801,当满足路由区更新触发条件时,终端生成随机数NONCEUE
步骤802,终端向目标SGSN+发送路由区更新请求消息,请求进行路由区更新,该消息携带参数:随机数NONCEUE,同时该消息还携带NAS token用于网络对终端进行验证;
NAS token的推导式遵从LTE相关协议的定义,此处不再赘述。
步骤803-805,同实施例5步骤502-504;
步骤806,目标SGSN+生成随机数NONCESGSN,并根据接收到的映射的传统密钥IK’、CK’,以及随机数NONCEUE、随机数NONCESGSN推导KRNC
KRNC的推导式如实施例9所述。
步骤807,目标SGSN+向终端发送路由区更新接受消息,并在消息中携带参数:随机数NONCESGSN
优选地,目标SGSN+在所述路由区更新接受消息中增加指示,用以隐式或显式地指示终端进行KRNC的推导。
步骤808,终端根据KASME推导映射的传统密钥IK’和CK’,再结合随机数NONCEUE、随机数NONCESGSN推导KRNC,其中映射的传统密钥IK’和CK’的推导也可发生于该步骤之前;
步骤809,同实施例5步骤508。
实施例9
本实施例给出中间密钥KRNC的推导式的示例。
SGSN+派生所述中间密钥KRNC的生成参数除了映射的传统加密密钥CK’和映射的传统完整性密钥IK’外还包括以下参数之一或任意几个的组合:服务网络标识(PLMN identifier),核心网节点类型(TYPE,表示分组交换或者电路交换),序列号(SQN),隐藏密钥(AK),用户身份标识(如IMSI,IMEI或TMSI),随机数NONCE;所述序列号和隐藏密钥均是在认证和密钥协定过程中由用户和归属用户服务器分别生成的参数。
以下给出派生KRNC的几种示例,其中括号内的参数排列不分前后顺序,其中的多个参数可以以“||”(级联)的形式进行连接:
KRNC=F1(CK’,IK’,Type,
Figure GSA00000092874200221
);
或KRNC=F1(CK’,IK’,PLMN identifier,
Figure GSA00000092874200222
);
或KRNC=F1(CK’,IK’,PLMN identifier,Type,
Figure GSA00000092874200223
);
或KRNC=F1(CK’,IK’,IMSI,
Figure GSA00000092874200224
);
或KRNC=F1(CK’,IK’,Type,IMSI,
Figure GSA00000092874200225
);
或KRNC=F1(CK’,IK’,PLMN identifier,Type,IMSI,
Figure GSA00000092874200226
);
或KRNC=F1(CK’,IK’,PLMN identifier,
Figure GSA00000092874200227
);
或KRNC=F1(CK’,IK’,PLMN identifier,SQN);
或KRNC=F1(CK’,IK’,PLMN identifier,AK);
或KRNC=F1(CK’,IK’,
Figure GSA00000092874200228
);
或KRNC=F1(CK’,IK’,TYPE,AK);
或KRNC=F1(CK’,IK’,NONCESGSN);
或KRNC=F1(CK’,IK’,NONCEUE);
或KRNC=F1(CK’,IK’,NONCESGSN,NONCEUE);
其中F1为任意密钥生成算法,例如:可以为3GPP定义的KDF算法。
Figure GSA00000092874200229
参照3GPP定义表示异或算法。
可选地,若目标SGSN+无法获得
Figure GSA000000928742002210
的值,则可以将其初始化为0或者某个特定的值。
实施例10:
本实施例给出增强的空口完整性密钥IKU和空口加密密钥CKU的推导式的示例。
核心网节点SGSN+将中间密钥KRNC发送给RNC+,所述RNC+根据中间密钥KRNC和通用移动通信***网络现有参数计算加密密钥CKU和完整性密钥IKU,目标SGSN+和终端均可结合以下UMTS网络现有参数计算CKU和IKU
UMTS网络现有参数包括以下参数之一或任意几个的组合:RNC+生成的刷新随机数(FRESH),加密算法标识(enc-alg-ID),完整性算法标识(int-alg-ID),增强节点B的物理小区标识(PCI),增强节点B的绝对频点(UMTS Absolute Radio Frequency Channel Number,简称UARFCN),RNC+为用户设备分配的扰码(Scrambling Code),用户标识,RNC+标识,通用移动通信***中定义的开始(START)参数,通用移动通信***中定义的完整性序列号(COUNT-I)参数,通用移动通信***中定义的无线链路控制序列号(RRC SN)参数。
以下给出派生加密密钥CKU和完整性密钥IKU的几种示例,其中括号内的参数排列不分前后顺序,其中的多个参数可以以“||”的形式进行连接:
CKU=F2(KRNC,FRESH,enc-alg-ID),
和IKU=F3(KRNC,FRESH,int-alg-ID);
或(CKU,IKU)=F2(KRNC,FRESH);
或(CKU,IKU)=F2(KRNC,PCI,UARFCN);
或(CKU,IKU)=F2(KRNC,PCI,UARFCN,Scrambling Code);
或CKU=F2(KRNC,PCI,UARFCN,enc-alg-ID),
和IKU=F2(KRNC,PCI,UARFCN,int-alg-ID);
或CKU=F2(KRNC,START,enc-alg-ID),
和IKU=F2(KRNC,START,int-alg-ID);
或CKU=F2(KRNC,COUNT-I,enc-alg-ID),
和IKU=F2(KRNC,COUNT-I,int-alg-ID);
或CKU=F2(KRNC,RRC SN,enc-alg-ID),
和IKU=F2(KRNC,RRC SN,int-alg-ID);
或(CKU,IKU)=F2(KRNC,NONCE);此处的NONCE可以为SGSN+生成的随机数。
其中F为任意密钥生成算法,例如:可以为3GPP定义的KDF算法。
其中,所述的随机数FRESH是UMTS中已经定义的一个参数。该随机数长度为32位。在连接建立时,由RNC(对应到HSPA+中,即为Node B+)为每一个用户生成一个随机数FRESH,并通过安全模式命令消息下发给用户。在整个连接的持续时间,网络和用户使用该随机数计算消息验证码(MAC-I),用于保护网络免受用户信令消息的重放攻击。当终端从EUTRAN切换到UTRAN时,目标RNC+在接收到目标SGSN+发送的迁移请求消息后生成该FRESH参数。该FRESH参数经由目标SGSN+和源MME、源基站的中转(即实施例1中步骤108-111),发送给终端。终端使用该参数计算CKU和IKU
其中,开始参数(START)是UMTS中已经定义的一个参数,存储于用户设备(UE)和全球用户识别卡(Universal SubscriberIdentity Module,简称USIM)中,用于管理加密密钥和完整性密钥的生命周期,在一次成功的认证和密钥协定过程之中,与新生成的密钥关联的START值在ME和USIM中被初始化为0。在建立无线连接时,用户设备通过无线链路控制连接建立完成消息将开始参数的值发送至无线网络控制器(RNC),在无线连接维持过程中,用户设备与无线网络控制器根据网络规则递增开始参数值。当START值达到规定的门限值后,密钥被无效掉。
完整性序列号(COUNT-I)长度为32位,由4位的RRC序列号(RRCSN)和28位的超帧号组成。超帧号在每一个RRC SN周期递增,RRC序列号(RRC SN)在每个完整性保护的无线链路控制消息中递增。
增强节点B的物理小区标识(PCI)和绝对频点在增强节点B的***广播消息中会进行广播。增强节点B为用户设备分配的扰码是用户与网络建立无线连接前从网络侧获得的。
实施例11
本实施例给出增强的空口完整性密钥IKU和空口加密密钥CKU的另一种推导的示例。
当目标SGSN+收到源MME发送的映射的传统密钥IK’和CK’后,令增强的空口密钥IKU=IK’,CKU=CK’;在路由区更新流程中,则目标SGSN+令增强的中间密钥KRNC=(IK’||CK’);
终端推导出映射的传统密钥IK’和CK’后,令IKU=IK’,CKU=CK’。在路由区更新流程中,则终端令增强的中间密钥KRNC=(IK’||CK’)。
实现上述方法的***,包括终端、增强UTRAN中的增强服务GPRS支持节点(SGSN+),其中:
所述SGSN+,用于在终端从EUTRAN移动到增强的UTRAN时,根据从源移动管理实体处(MME)获得的映射的传统密钥推导UTRAN中所使用的中间密钥;
所述终端,用于推导映射的传统密钥,以及推导获得所述映射的传统密钥后,再根据所述映射的传统密钥采用与所述SGSN+相同的算法推导增强UTRAN中所使用的中间密钥。
优选地:
所述***还包括增强的UTRAN中的目标增强无线网络控制器(RNC+),所述SGSN+进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收源移动管理实体发送的映射的传统密钥;
所述密钥推导单元,根据所述映射的传统密钥推导所述中间密钥;
所述发送单元,用于将推导出的所述中间密钥发送给所述RNC+;
所述RNC+,用于根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU);
所述终端进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收网络侧发送的命令;
所述密钥推导单元,用于根据所述命令进行映射的传统密钥的推导,以及根据推导获得的映射的传统密钥采用与所述SGSN+相同的算法推导所述中间密钥,以及根据所述中间密钥采用与所述RNC+相同的算法推导增强的空口密钥。
优选地:
所述***还包括增强的UTRAN中的目标增强无线网络控制器(RNC+),所述SGSN+进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收源移动管理实体发送的映射的传统密钥;
所述密钥推导单元,根据所述映射的传统密钥推导所述中间密钥,以及根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU);
所述发送单元,用于将推导出的增强空口密钥发送给所述RNC+;
所述RNC+,用于保存接收到的增强空口密钥;
所述终端进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收网络侧发送的命令;
所述密钥推导单元,用于根据所述命令进行映射的传统密钥的推导,以及根据推导获得的映射的传统密钥采用与所述SGSN+相同的算法推导所述中间密钥,以及根据所述中间密钥采用与所述SGSN+相同的算法推导增强的空口密钥。
优选地:
所述SGSN+的密钥推导单元还用于根据所述映射的传统密钥和所述中间密钥推导变形中间密钥,并将所述变形中间密钥发送给所述目标RNC+,所述变形中间密钥用于当所述终端在增强的UTRAN网络内进行服务无线网络控制器(SRNC)迁移时,更新所述增强的空口密钥。
上述各单元的功能可参照前述方法获知,例如,所述SGSN的发送单元还可以用于向终端发送推导密钥时所使用的参数,所述终端的发送单元,还可以用于向SGSN+发送所述终端生成的随机数,供所述SGSN+进行密钥的推导,此处不再一一赘述。
以上所述仅为本发明的优选实施例而已。本发明方案并不限于HSPA+***,可以将它的相关模式应用于其它无线通信***中。对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (21)

1.一种终端从演进的通用陆地无线接入网络(EUTRAN)移动到增强的通用陆地无线接入网络(UTRAN)时建立增强密钥的方法,包括:
当终端从EUTRAN移动到增强的UTRAN时,增强UTRAN中的目标增强服务GPRS支持节点(SGSN+)根据从源移动管理实体处获得的映射的传统密钥推导UTRAN中所使用的中间密钥;
所述终端推导映射的传统密钥后,再根据所述映射的传统密钥采用与所述目标SGSN+相同的算法推导增强UTRAN中所使用的中间密钥。
2.如权利要求1所述的方法,其特征在于,
所述终端为激活态时,所述目标SGSN+在推导所述中间密钥后,将所述中间密钥发送给增强的UTRAN中的目标增强无线网络控制器(RNC+),由所述目标RNC+根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU);
所述终端在推导所述中间密钥后,再根据所述中间密钥采用与所述目标RNC+相同的算法推导增强的空口密钥。
3.如权利要求1所述的方法,其特征在于,
所述终端为激活态时,所述目标SGSN+在推导所述中间密钥后,再根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU),并将推导的增强空口密钥发送给目标增强无线网络控制器(RNC+);
所述终端在推导所述中间密钥后,再根据所述中间密钥采用与所述目标SGSN+相同的算法推导增强的空口密钥。
4.如权利要求2或3所述的方法,其特征在于,
所述目标SGSN+根据所述映射的传统密钥和所述中间密钥推导变形中间密钥,并将所述变形中间密钥发送给所述目标RNC+,所述变形中间密钥用于当所述终端在增强的UTRAN网络内进行服务无线网络控制器(SRNC)迁移时,更新所述增强的空口密钥。
5.如权利要求4所述的方法,其特征在于,
所述目标SGSN+在推导所述变形中间密钥的同时,为所述变形中间密钥设置一关联的计数器,所述计数器用于记录生成变形中间密钥的次数。
6.如权利要求5所述的方法,其特征在于,
所述目标SGSN+将所述计数器值随同所述变形中间密钥一并发送给所述目标RNC+。
7.如权利要求2或3或4所述的方法,其特征在于,
所述目标SGSN+向目标RNC+发送密钥的消息为迁移请求消息。
8.如权利要求2或3所述的方法,其特征在于,
推导增强的空口密钥的算法为:
增强的空口完整性密钥IKU=映射的传统完整性密钥IK’;
增强的空口加密密钥CKU=映射的传统加密密钥CK’。
9.如权利要求2或3所述的方法,其特征在于,
所述目标SGSN+在推导所述中间密钥的过程中,根据所述映射的传统密钥再结合第一参数推导所述增强的UTRAN中所使用的中间密钥;
所述终端在推导中间密钥的过程中,同样根据映射的传统密钥再结合所述第一参数采用与所述目标SGSN+相同的算法推导增强的UTRAN中所使用的中间密钥;所述第一参数为目标SGSN+发送给所述终端的,或者是目标SGSN+与所述终端约定好的。
10.如权利要求2或3所述的方法,其特征在于,
根据所述中间密钥推导增强的空口密钥的过程中,进一步根据中间密钥再结合第二参数推导所述增强的空口密钥。
11.如权利要求9所述的方法,其特征在于,
所述第一参数包括以下参数的一种或几种:服务网络标识(PLMNidentifier),核心网节点类型,序列号(SQN),隐藏密钥(AK),用户身份标识,目标SGSN+生成的随机数。
12.如权利要求10所述的方法,其特征在于,
所述第二参数包括以下参数的一种或几种:目标无线网络控制器(RNC)生成的刷新随机数(FRESH),加密算法标识(enc-alg-ID),完整性算法标识(int-alg-ID),增强节点B的物理小区标识(PCI),增强节点B的绝对频点(UARFCN),目标RNC为所述终端分配的扰码(Scrambling Code),用户标识,目标RNC标识,通用移动通信***中定义的开始(START)参数,通用移动通信***中定义的完整性序列号(COUNT-I)参数,通用移动通信***中定义的无线链路控制序列号(RRC SN)参数,目标SGSN+生成的随机数。
13.如权利要求11或12所述的方法,其特征在于,
所述目标SGSN+生成的随机数通过以下路径发送给终端:目标SGSN+向源移动管理实体发送的转发迁移响应消息、所述源移动管理实体向源基站发送的切换命令消息和所述源基站向终端发送的从E-UTRAN切换命令消息。
14.如权利要求1所述的方法,其特征在于,
所述终端为空闲态时,所述目标SGSN+在推导所述中间密钥的过程中,根据所述映射的传统密钥再结合第一参数推导所述增强的UTRAN中所使用的中间密钥;
所述终端在推导中间密钥的过程中,同样根据映射的传统密钥再结合所述第一参数采用与所述目标SGSN+相同的算法推导增强的UTRAN中所使用的中间密钥。
15.如权利要求14所述的方法,其特征在于,
所述第一参数包括以下参数的一种或几种:服务网络标识(PLMNidentifier),核心网节点类型,序列号(SQN),隐藏密钥(AK),用户身份标识,目标SGSN+生成的随机数,终端生成的随机数。
16.如权利要求15所述的方法,其特征在于,
所述目标SGSN+生成的随机数通过路由区更新接受消息发送给终端。
17.如权利要求15所述的方法,其特征在于,
所述终端生成的随机数通过所述路由区更新请求消息发送给所述目标SGSN+。
18.一种终端从演进的通用陆地无线接入网络(EUTRAN)移动到增强的通用陆地无线接入网络(UTRAN)时建立增强密钥的***,包括终端、增强UTRAN中的目标增强服务GPRS支持节点(SGSN+):
所述SGSN+,用于在终端从EUTRAN移动到增强的UTRAN时,根据从源移动管理实体处获得的映射的传统密钥推导UTRAN中所使用的中间密钥;
所述终端,用于推导映射的传统密钥,以及推导获得所述映射的传统密钥后,再根据所述映射的传统密钥采用与所述SGSN+相同的算法推导增强UTRAN中所使用的中间密钥。
19.如权利要求18所述的***,其特征在于,
所述***还包括增强的UTRAN中的目标增强无线网络控制器(RNC+),所述SGSN+进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收源移动管理实体发送的映射的传统密钥;
所述密钥推导单元,根据所述映射的传统密钥推导所述中间密钥;
所述发送单元,用于将推导出的所述中间密钥发送给所述RNC+;
所述RNC+,用于根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU);
所述终端进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收网络侧发送的命令;
所述密钥推导单元,用于根据所述命令进行映射的传统密钥的推导,以及根据推导获得的映射的传统密钥采用与所述SGSN+相同的算法推导所述中间密钥,以及根据所述中间密钥采用与所述RNC+相同的算法推导增强的空口密钥。
20.如权利要求18所述的***,其特征在于,
所述***还包括增强的UTRAN中的目标增强无线网络控制器(RNC+),所述SGSN+进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收源移动管理实体发送的映射的传统密钥;
所述密钥推导单元,根据所述映射的传统密钥推导所述中间密钥,以及根据所述中间密钥推导增强的空口完整性密钥(IKU)和/或增强的空口加密密钥(CKU);
所述发送单元,用于将推导出的增强空口密钥发送给所述RNC+;
所述RNC+,用于保存接收到的增强空口密钥;
所述终端进一步包括:接收单元,密钥推导单元,其中:
所述接收单元,用于接收网络侧发送的命令;
所述密钥推导单元,用于根据所述命令进行映射的传统密钥的推导,以及根据推导获得的映射的传统密钥采用与所述SGSN+相同的算法推导所述中间密钥,以及根据所述中间密钥采用与所述SGSN+相同的算法推导增强的空口密钥。
21.如权利要求19或20所述的***,其特征在于,
所述SGSN+的密钥推导单元还用于根据所述映射的传统密钥和所述中间密钥推导变形中间密钥,并将所述变形中间密钥发送给所述目标RNC+,所述变形中间密钥用于当所述终端在增强的UTRAN网络内进行服务无线网络控制器(SRNC)迁移时,更新所述增强的空口密钥。
CN201010165581A 2010-04-16 2010-04-16 终端移动到增强utran时建立增强密钥的方法及*** Pending CN101835152A (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN201010165581A CN101835152A (zh) 2010-04-16 2010-04-16 终端移动到增强utran时建立增强密钥的方法及***
EP11768403.5A EP2501164B1 (en) 2010-04-16 2011-04-02 Method and system for establishing enhanced key when terminal moves to enhanced universal terrestrial radio access network(utran)
JP2012545075A JP5436694B2 (ja) 2010-04-16 2011-04-02 端末が強化型utranに移動する時に強化キーを確立する方法及びシステム
CA2787969A CA2787969C (en) 2010-04-16 2011-04-02 Method and system for establishing enhanced key when terminal moves to enhanced universal terrestrial radio access network (utran)
PCT/CN2011/072442 WO2011127791A1 (zh) 2010-04-16 2011-04-02 终端移动到增强utran时建立增强密钥的方法及***
US13/515,186 US8712054B2 (en) 2010-04-16 2011-04-02 Method and system for establishing enhanced key when terminal moves to enhanced universal terminal radio access network (UTRAN)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010165581A CN101835152A (zh) 2010-04-16 2010-04-16 终端移动到增强utran时建立增强密钥的方法及***

Publications (1)

Publication Number Publication Date
CN101835152A true CN101835152A (zh) 2010-09-15

Family

ID=42719041

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010165581A Pending CN101835152A (zh) 2010-04-16 2010-04-16 终端移动到增强utran时建立增强密钥的方法及***

Country Status (6)

Country Link
US (1) US8712054B2 (zh)
EP (1) EP2501164B1 (zh)
JP (1) JP5436694B2 (zh)
CN (1) CN101835152A (zh)
CA (1) CA2787969C (zh)
WO (1) WO2011127791A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101860862A (zh) * 2010-05-17 2010-10-13 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及***
CN102137398A (zh) * 2011-03-10 2011-07-27 中兴通讯股份有限公司 增强密钥的更新方法、装置和用户设备
WO2011127791A1 (zh) * 2010-04-16 2011-10-20 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及***
CN102469454A (zh) * 2010-11-08 2012-05-23 华为技术有限公司 Rnc切换中的密钥设置方法及无线网络控制器、终端
WO2014131356A1 (zh) * 2013-02-27 2014-09-04 中兴通讯股份有限公司 一种宽带集群***的组密钥分层管理方法、***和终端
CN108293183A (zh) * 2015-11-18 2018-07-17 上海诺基亚贝尔股份有限公司 E-utran与wlan之间的切换
CN109644339A (zh) * 2017-01-30 2019-04-16 瑞典爱立信有限公司 连接模式期间5g中的安全性上下文处理
WO2020238957A1 (zh) * 2019-05-31 2020-12-03 华为技术有限公司 验证方法及装置
US11019488B1 (en) 2017-11-20 2021-05-25 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2385690T3 (es) 2007-12-11 2012-07-30 Telefonaktiebolaget L M Ericsson (Publ) Métodos y aparatos que generan una clave para estación de base de radio en un sistema celular de radio
US10433161B2 (en) * 2012-01-30 2019-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Call handover between cellular communication system nodes that support different security contexts
US9510376B2 (en) 2013-09-25 2016-11-29 At&T Intellectual Property I, L.P. Tunneling packet exchange in long term evolution protocol based networks
US9538563B2 (en) 2014-10-13 2017-01-03 At&T Intellectual Property I, L.P. System and methods for managing a user data path
CN108966220B (zh) 2017-07-28 2019-07-23 华为技术有限公司 一种密钥推演的方法及网络设备
US10355773B1 (en) * 2018-01-02 2019-07-16 Talal Awad Connectivity system and method for high speed aircraft internet
WO2020035441A1 (en) 2018-08-13 2020-02-20 Telefonaktiebolaget Lm Ericsson (Publ) Protection of non-access stratum communication in a wireless communication network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020071558A1 (en) * 2000-12-11 2002-06-13 Sarvar Patel Key conversion system and method
CN101232731A (zh) * 2008-02-04 2008-07-30 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和***
CN101257723A (zh) * 2008-04-08 2008-09-03 中兴通讯股份有限公司 密钥生成方法、装置及***
CN101304311A (zh) * 2008-06-12 2008-11-12 中兴通讯股份有限公司 密钥生成方法和***
JP2010045692A (ja) * 2008-08-15 2010-02-25 Ntt Docomo Inc 移動通信方法、無線基地局及び移動局

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5059096B2 (ja) * 2006-03-31 2012-10-24 サムスン エレクトロニクス カンパニー リミテッド アクセスシステム間のハンドオーバー時の認証手順を最適化するシステム及び方法
PL2223493T3 (pl) * 2007-12-19 2018-03-30 Nokia Technologies Oy Sposoby, urządzenia, system i powiązane produkty programu komputerowego dla bezpieczeństwa przekazywania połączeń
BRPI0909124B1 (pt) * 2008-04-04 2021-02-09 Nokia Technologies Oy método e aparelhos para prover separação criptográfica multi-salto para transferências
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及***
CN101835152A (zh) 2010-04-16 2010-09-15 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及***

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020071558A1 (en) * 2000-12-11 2002-06-13 Sarvar Patel Key conversion system and method
CN101232731A (zh) * 2008-02-04 2008-07-30 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和***
CN101257723A (zh) * 2008-04-08 2008-09-03 中兴通讯股份有限公司 密钥生成方法、装置及***
CN101304311A (zh) * 2008-06-12 2008-11-12 中兴通讯股份有限公司 密钥生成方法和***
JP2010045692A (ja) * 2008-08-15 2010-02-25 Ntt Docomo Inc 移動通信方法、無線基地局及び移動局

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP: "《3GPP TS 33.401 V9.3.0 (2010-04)》", 12 April 2010 *
ERICSSON: "《3GPP TSG SA WG3 Security — S3#51》", 18 April 2008 *

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011127791A1 (zh) * 2010-04-16 2011-10-20 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及***
US8712054B2 (en) 2010-04-16 2014-04-29 Zte Corporation Method and system for establishing enhanced key when terminal moves to enhanced universal terminal radio access network (UTRAN)
CN101860862A (zh) * 2010-05-17 2010-10-13 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及***
CN101860862B (zh) * 2010-05-17 2015-05-13 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及***
CN102469454A (zh) * 2010-11-08 2012-05-23 华为技术有限公司 Rnc切换中的密钥设置方法及无线网络控制器、终端
CN102137398A (zh) * 2011-03-10 2011-07-27 中兴通讯股份有限公司 增强密钥的更新方法、装置和用户设备
CN102137398B (zh) * 2011-03-10 2017-04-12 中兴通讯股份有限公司 增强密钥的更新方法、装置和用户设备
WO2014131356A1 (zh) * 2013-02-27 2014-09-04 中兴通讯股份有限公司 一种宽带集群***的组密钥分层管理方法、***和终端
CN108293183A (zh) * 2015-11-18 2018-07-17 上海诺基亚贝尔股份有限公司 E-utran与wlan之间的切换
CN108293183B (zh) * 2015-11-18 2021-06-01 上海诺基亚贝尔股份有限公司 E-utran与wlan之间的切换
CN109644339A (zh) * 2017-01-30 2019-04-16 瑞典爱立信有限公司 连接模式期间5g中的安全性上下文处理
CN109644340A (zh) * 2017-01-30 2019-04-16 瑞典爱立信有限公司 空闲模式期间5g中的安全性上下文处理
US11096045B2 (en) 2017-01-30 2021-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during idle mode
US11432141B2 (en) 2017-01-30 2022-08-30 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during connected mode
US11743718B2 (en) 2017-01-30 2023-08-29 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during connected mode
US11924630B2 (en) 2017-01-30 2024-03-05 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during idle mode
US11019488B1 (en) 2017-11-20 2021-05-25 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
US11388592B2 (en) 2017-11-20 2022-07-12 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
WO2020238957A1 (zh) * 2019-05-31 2020-12-03 华为技术有限公司 验证方法及装置

Also Published As

Publication number Publication date
JP5436694B2 (ja) 2014-03-05
CA2787969A1 (en) 2011-10-20
WO2011127791A1 (zh) 2011-10-20
EP2501164A1 (en) 2012-09-19
US8712054B2 (en) 2014-04-29
CA2787969C (en) 2015-12-01
EP2501164A4 (en) 2018-01-10
EP2501164B1 (en) 2019-09-04
US20130028421A1 (en) 2013-01-31
JP2013516092A (ja) 2013-05-09

Similar Documents

Publication Publication Date Title
CN101835152A (zh) 终端移动到增强utran时建立增强密钥的方法及***
CN101715188B (zh) 一种空口密钥的更新方法及***
CN101742500B (zh) 一种派生空口密钥的方法及***
EP2529566B1 (en) Efficient terminal authentication in telecommunication networks
US20170359719A1 (en) Key generation method, device, and system
US8565433B2 (en) Method and system for managing air interface key
CN106105143A (zh) 双连接性中的安全性密钥推导
US20150229620A1 (en) Key management in machine type communication system
CN1937487A (zh) Lte中鉴权和加密的方法
EP2648437B1 (en) Method, apparatus and system for key generation
CN101835154B (zh) 一种建立增强的空口密钥的方法及***
CN101860862B (zh) 终端移动到增强utran时建立增强密钥的方法及***
CN101820622B (zh) 无线通信***中管理空口映射密钥的方法和***
CN105764052A (zh) Td-lte鉴权认证和保护性加密方法
CN101917717A (zh) 一种geran与增强utran间互联互通时建立密钥的方法及***
CN101867925A (zh) 空口密钥处理方法及***
CN102137398B (zh) 增强密钥的更新方法、装置和用户设备
CN101902738A (zh) 空中接口密钥的更新方法、装置及无线接入***
Chen et al. The optimization of security algorithm selection for wireless communications in UMTS
CN102196427A (zh) 空口密钥更新的方法及***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20100915