CN101925059B - 一种切换的过程中密钥的生成方法及*** - Google Patents
一种切换的过程中密钥的生成方法及*** Download PDFInfo
- Publication number
- CN101925059B CN101925059B CN200910203765.4A CN200910203765A CN101925059B CN 101925059 B CN101925059 B CN 101925059B CN 200910203765 A CN200910203765 A CN 200910203765A CN 101925059 B CN101925059 B CN 101925059B
- Authority
- CN
- China
- Prior art keywords
- enb
- key
- target
- ciphertext
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0061—Transmission or use of information for re-establishing the radio link of neighbour cell information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种切换的过程中密钥的生成方法及***,所述方法包括:移动管理单元MME根据用户设备UE当前所在的演进的基站eNB,即源eNB,获知所述源eNB所有的相邻eNB,为所述源eNB和每个相邻eNB分别生成密钥,并用相应的eNB公钥分别加密得到密文,将所有的密文、密钥和基站标识发送给所述UE;在所述UE切换的过程中,目标eNB从所述UE获得所述目标eNB对应的密文,用自身的私钥解密得到密钥。本发明克服了现有方法中源eNB能够知道下一跳UE的密钥的问题,利用UE在非切换态,完成切换数据准备,简化了切换过程中密钥生成方法,且无须MME参与切换流程,提高了切换过程中的无线性能。
Description
技术领域
本发明涉及通信领域,尤其涉及一种切换的过程中密钥的生成方法及***。
背景技术
3GPP演进的分组***(Evolved Packet System,简称EPS)由演进的陆地无线接入网(Evolved UMTS Terrestrial Radio Access Network,简称EUTRAN)和EPS核心网(Evolved Packet Core,简称EPC)组成。
其中,EPC包含移动管理单元(MME,mobility management entity),移动管理单元负责移动性的管理、非接入层信令的处理、以及用户安全模式的管理等控制面相关工作。其中,MME保存EUTRAN的根密钥KASME(KeyAccess Security Management Entity,接入安全管理实体密钥),并且使用KASME和上行NAS SQN(非接入层序列号)生成供eNB使用的接入层的根密钥KeNB(Key eNB,演进的基站密钥)。
其中,在演进的UTRAN中,基站设备为演进的基站(evolved Node-B,简称eNB),主要负责无线通信、无线通信管理、和移动性上下文的管理。
其中,eNB与EPC之间的通讯采用网络域安全机制加密,即EPC用eNB的公钥对消息加密,目标eNB用自己的私钥进行解密。
在3GPP中一个eNB包含多个小区,UE(User Equipment,用户设备)的切换是在小区之间,因此UE的切换可能是在同一个eNB内进行,也可能是在两个不同的eNB间进行。
现有最新的切换状态密钥生成方法是:
在初始连接时,MME生成NH(Next Hop parameter),NCC(NH ChainingCounter),Kenb。其中NH为下一跳参数,NCC为NH的改变计数器。
Kenb=KDF(Kasme,NasCount);
(注:KDF为密码生成函数,NasCount为非接入层上行消息计数)
NH=NULL;NCC=0;
经过上面的初始化,MME将Kenb发送给eNB,产生初始密钥Kenb。UE也使用MME同样的方法得到Kenb。
在切换中,源eNB根据Kenb计算出Kenb*,并将NH和Kenb*传给目标eNB,源eNB在切换重配消息中,携带NCC给UE。UE根据自己保存的NH计算出Kenb,计算公式为:
Kenb=KDF(Kenb*,NH);
目标eNB也使用同样的方法计算出Kenb。
MME对NH值进行更新,更新方式为:
NH=KDF(Kasme,NH);
且每更新一次,则NCC加1。
MME更新NH后将更新的NH值和NCC传给目标eNB,UE根据收到的NCC值,与自己保存的NCC进行比较,根据NCC的相差次数,计算新的NH值。
整个切换过程中UE,eNB,MME需要协商NCC,NH值,并通过多次更新NH值的方式来得到密钥Kenb。
该方案缺点是源eNB可以推导出UE下一跳时的密钥Kenb,造成安全上的隐患,且整个过程计算复杂,且需要同步的参数多。
发明内容
本发明要解决的技术问题就是提出一种切换的过程中密钥的生成方法及***,克服现有技术中源eNB可以推导出UE下一跳时的密钥Kenb,造成安全上的隐患的问题。
为了解决上述技术问题,本发明提供一种切换的过程中密钥的生成方法,包括:
移动管理单元MME根据用户设备UE当前所在的演进的基站eNB,即源eNB,获知所述源eNB所有的相邻eNB,为所述源eNB和每个相邻eNB分别生成密钥,并用相应的eNB公钥分别加密得到密文,将所有的密文、密钥和基站标识发送给所述UE;
在所述UE切换的过程中,目标eNB从所述UE获得所述目标eNB对应的密文,用自身的私钥解密得到密钥。
进一步地,上述方法还可具有以下特点:
所述目标eNB从所述UE获得所述目标eNB对应的密文具体是指:
所述UE将所述目标eNB对应密文发送给目标eNB。
进一步地,上述方法还可具有以下特点:
所述在所述UE切换的过程中,目标eNB从所述UE获得所述目标eNB对应的密文,用自身的私钥解密得到密钥的步骤具体包括:
源eNB根据UE上报的测量报告,对所述UE进行切换判决,确定下一跳的目标小区;
所述源eNB发送切换消息给所述UE,所述切换消息中携带目标小区所在的基站标识,即目标基站标识;
所述UE根据所述目标基站标识,以及按照对应关系保存的密文、密钥和基站标识,得到目标eNB对应的密文和密钥;
所述UE在切换完成消息中携带目标eNB对应的密文,发送给目标eNB;
所述目标eNB收到所述密文后,用自身的私钥进行解密,得到密钥;
所述UE使用目标eNB对应的密钥作为与目标eNB的交互根密钥。
进一步地,上述方法还可具有以下特点:
所述目标eNB从所述UE获得所述目标eNB对应的密文具体是指:
所述UE将所有的密文和对应的基站标识发送给源eNB,所述源eNB将目标eNB对应密文发送给目标eNB。
进一步地,上述方法还可具有以下特点:
所述在所述UE切换的过程中,目标eNB从所述UE获得所述目标eNB对应的密文,用自身的私钥解密得到密钥的步骤具体包括:
UE在上报的测量报告中携带所有的密文和对应的基站标识,发送给源eNB;
源eNB根据UE的测量信息进行切换判决,确定目标小区;
源eNB根据目标小区所在的eNB,即目标eNB,获得对应的密文,将所述目标eNB对应的密文发送给目标eNB,
目标eNB收到所述密文后,用自身的私钥进行解密,得到密钥;
目标eNB给源eNB回复切换确认消息;
源eNB向UE发送切换命令,携带目标基站标识;
UE根据所述目标基站标识获知该目标基站对应的密钥。
进一步地,上述方法还可具有以下特点:
所述MME为所述源eNB和每个相邻eNB分别生成密钥之后,MME先为所述密钥进行签名,再用相应的eNB公钥分别加密得到密文,将所有的密文、密钥和基站标识发送给所述UE;以及
目标eNB从所述UE获得所述目标eNB对应的密文之后,先用自身的私钥解密,再用所述MME的公钥进行认证,最后得到密钥。
为了解决上述技术问题,本发明还提供一种切换的过程中密钥的生成***,包括UE、源eNB、目标eNB、和MME,
所述MME用于根据所述UE当前所在的eNB,即源eNB,获知所述源eNB所有的相邻eNB,为所述源eNB和每个相邻eNB分别生成密钥,并用相应的eNB公钥分别加密得到密文,将所有的密文、密钥和基站标识发送给所述UE;
所述目标eNB用于在所述UE切换的过程中,获得所述目标eNB对应的密文,用自身的私钥解密得到密钥。
进一步地,上述***还可具有以下特点:
所述UE用于在切换的过程中,将所述目标eNB对应密文发送给目标eNB。
进一步地,上述***还可具有以下特点:
所述UE用于将所有的密文和对应的基站标识发送给源eNB;
所述源eNB用于在所述UE切换的过程中,将目标eNB对应密文发送给目标eNB。
进一步地,上述***还可具有以下特点:
所述MME进一步用于为所述源eNB和每个相邻eNB分别生成密钥之后,先为所述密钥进行签名,然后再用对应的eNB的公钥分别对密钥进行加密得到密文;
所述目标eNB进一步用于对接收到的密文用自身的私钥解密之后,用所述MME的公钥进行认证,得到密钥。
本发明克服了现有方法中源eNB能够知道下一跳UE的Kenb的问题,利用UE在非切换态,完成切换数据准备,简化了切换过程中密钥生成方法,且无须MME参与切换流程,提高了切换过程中的无线性能。
附图说明
图1是本发明实施例的UE在连接建立后,MME为UE设置切换参数的过程;
图2是本发明实施例的UE在切换时,使用切换参数完成切换状态的密钥生成过程;
图3是本发明应用示例一的流程图;
图4是本发明应用示例三的流程图。
具体实施方式
在本发明中,利用MME生成切换密钥,并对密钥加密,再将密文发送给UE。在UE切换时,目标eNB获得所述密文,解密得到密钥。
具体地,包括:
1,MME根据UE所在的eNB(即源eNB),获知该eNB所有的相邻eNB,即该UE可能切换到的所有eNB;
2,MME为所述源eNB和每个相邻eNB随机生成密钥Kenb,并用对应的eNB公钥加密得到密文S*,将所有的密文S*,Kenb,基站标识enbID发送给UE;
3,在所述UE切换的过程中,目标eNB从所述UE获得所述目标eNB对应的密文S*,用自身的私钥解密得到密钥Kenb。
其中,目标eNB从所述UE获得所述目标eNB对应的密文S*的方式可以是:
UE在切换的过程中,所述UE直接将所述目标eNB对应密文S*发送给目标eNB;或者,所述UE将所有的密文S*和对应的基站标识enbID发送给源eNB,在所述UE切换的过程中,所述源eNB将目标eNB对应密文S*发送给目标eNB。
下面结合附图及具体实施例对本发明进行详细说明。
本发明的实施例中,提供了一种切换时的密钥生成方法,需要以下几步:
第一步:配置MME,在MME端配置一张数据表,该表记录了任意一个eNB对应的一组可能与其发生切换关系的eNB,这组eNB在本文中称作相邻eNB。即UE在一个eNB(即源eNB)中建立连接,如果发生切换,那么目标eNB一定包含在相邻eNB中。
所述相邻eNB与源eNB可以是相交关系,也可以是包含关系,只要它们之间可能发生直接的切换关系,那么就认为它们是相邻关系。
第二步:在第一步数据支持的基础上,当UE建立正常连接后,进行切换数据设置,该步骤又可分为以下几个步骤(如图1所示):
S110,UE连接建立成功或切换成功,且接入层和非接入层安全被激活;
S120,UE向MME请求更新切换数据配置;
S130,MME根据UE所在的eNB,利用第一步的数据,获取该eNB所有的相邻eNB;
S140,MME为每一个相邻eNB和UE所在的eNB随机生成一组密钥Kenb,Kenb与上述的每一个eNB一一对应;
S150,根据S140中的对应关系,MME用eNB的公钥对Kenb进行加密,得到一组密文S*,S*与eNB也是一一对应的;
S160,MME将上面生成的Kenb,S*和eNBID按照对应的关系,通过非接入层消息通知UE;
S170,UE按照对应关系保存Kenb,S*,eNBID。
第三步:在UE完成第二步数据准备的基础上,UE执行切换过程,该步骤又可分为以下几个步骤(如图2所示):
S210,源小区归属的eNB(即源eNB)根据UE上报的测量报告,对UE进行切换判决,确定下一跳的目标小区;
S220,源eNB发送切换消息给UE,消息中携带目标小区所在的基站标识eNBID;
S230,UE根据eNBID,使用第二步的数据,得到对应的Kenb和S*;
S240,UE在切换完成消息中,携带S*发送给目标小区归属的eNB(即目标eNB),这条消息只做完整性保护,而不加密;
S250,目标eNB收到S*后,用eNB的私钥进行解密,得到Kenb。
S260,UE使用第3步的到的Kenb作为与当前eNB的交互根密钥。
第四步:UE切换完成,更新切换数据。
切换完成,UE按照第二步,更新自己的切换数据。
在本实施例中,UE直接将所述目标eNB对应密文S*发送给目标eNB。在实际应用中,还可以采用UE将所有的密文S*和对应的eNBID发送给源eNB,在所述UE切换的过程中,所述源eNB将目标eNB对应密文S*发送给目标eNB。
另外,可采用MME为Kenb进行签名的方式,增强S*的安全性。
本发明实施例的切换的过程中密钥的生成***,包括UE、源eNB、目标eNB、和MME,
所述MME用于根据所述UE当前所在的eNB,即源eNB,获知所述源eNB所有的相邻eNB,为所述源eNB和每个相邻eNB分别生成密钥,并用相应的eNB公钥分别加密得到密文,将所有的密文、密钥和基站标识发送给所述UE;
目标eNB用于在所述UE切换的过程中,获得所述目标eNB对应的密文,用自身的私钥解密得到密钥。
所述UE用于在切换的过程中,将所述目标eNB对应密文发送给目标eNB。
或者,所述UE用于将所有的密文和对应的基站标识发送给源eNB;所述源eNB用于在所述UE切换的过程中,将目标eNB对应密文发送给目标eNB。
所述MME进一步用于为所述源eNB和每个相邻eNB分别生成密钥之后,先为所述密钥进行签名,然后再用对应的eNB的公钥分别对密钥进行加密得到密文;所述目标eNB进一步用于对接收到的密文用自身的私钥解密之后,用所述MME的公钥进行认证,得到密钥。
下面以具体应用示例进一步阐述本发明。
应用示例一:
图3示出了根据本发明应用示例一的用于UE切换过程中的密钥生成方法的流程图。
图中的三条虚线L1,L2,L3将整个流程分为三个阶段。
L1以上,为MME配置阶段,该阶段在实际组网后,根据eNB的覆盖情况生成eNB的相邻关系表,属于静态配置数据。
L1与L2之间,为UE建立连接后,MME为UE进行切换数据配置。
L2与L3之间,为UE在切换过程中,密钥Kenb的生成过程。
下面对实现步骤进行说明:
S305:本步骤是在实际组网后,根据所有eNB的覆盖情况,完成所有eNB与相邻eNB的关系配置。相邻eNB满足的条件是,在源eNB下连接的UE,如果发生切换,其目标eNB就与源eNB为相邻关系。根据上述条件,每个eNB必定与一组eNB相邻。
S310:当UE在源小区,连接建立成功,或切换完成,并激活安全。此时,UE处于正常连接态。
S315:进入正常连接态后,UE通过非接入层消息,向MME申请更新切换数据。由于非接入层消息,使用的是与接入层不同的密钥进行消息加密,因此该消息,对eNB不可见。
S320:MME根据UE此时所在的eNB,确定其相邻eNB。
S325:MME为每一个相邻eNB都随机生成一个密钥Kenb。由于UE切换时,是在小区间进行,小区和eNB的关系为,一个eNB下会包含多个小区,因此切换时可能是在同一个eNB下进行(即源eNB可能与目标eNB相同),为了使UE不必考虑切换是否更改了eNB,这里也需要为UE所在的eNB随机生成一个Kenb。
S330:将S325步骤生成的所有Kenb,MME使用eNB对应得公钥进行加密,得到一组密文S*。
S335:MME将上述所有的Kenb,S*,eNBID组成非接入层消息,发送给UE。该消息对eNB为不可见的。
S340:UE将收到的Kenb,S*,eNBID保存。
S345:UE上报测量报告。
S350:源eNB根据UE上报的测量报告,对UE进行切换判决,并选择目标小区。
S355:源eNB向目标eNB发送切换请求。
S360:目标eNB回复切换请求确认消息。
S365:源eNB向UE发送切换配置命令,消息中携带目标小区所在的eNBID。
S370:UE根据上面得到的eNBID,在S340步骤保存的数据中,得到Kenb和S*。
S375:UE将S370中得到的S*,通过切换完成消息,发送给目标eNB。此消息只做完整性保护,而不加密。
S380:UE使用S370中得到的Kenb作为当前密钥Kenb。
S385:目标eNB收到S*后,使用该eNB的私钥,对S*进行解密,得到Kenb。
UE切换完成,重复上述的S310至S340步骤,更新UE下一跳的切换数据。
应用示例二:
为了增加S*的安全性,将应用示例一中的部分步骤做如下修改亦可实现,被修改的步骤如下方法实现:
步骤S330中,MME可以先为Kenb进行签名,然后再用eNB的公钥加密,得到密文S*。
步骤S385中:目标eNB收到S*后,首先对密文S*进行解密,然后用对应MME的公钥进行认证,最后得到Kenb。
这么做可以让目标eNB验证S*的正确性,以提高安全信息安全性。
应用示例三:
在应用示例一中,S*的上报时机是在切换完成消息中,也可以改为在测量上报消息中携带S*。图4描述了使用测量消息上报S*时,L2与L3之间的消息变化。具体实施步骤如下:
S410:UE在上报测量报告时,携带所有的S*和eNBID到源eNB。由于测量报告是比较频繁的消息,不可以在每条消息中都携带S*。所以需要UE设置一定的条件,满足条件后,UE上报的测量报告中携带S*。也可以采用源eNB主动要求UE上报测量信息时带S*的方式。
S415:源eNB根据UE的测量信息进行切换判决,确定目标小区。
S420:源eNB确定目标小区后,根据目标小区所在的eNB(即目标eNB),获得对应的S*,将S*发送给目标eNB。
S425:目标eNB对S*进行解密,得到Kenb。
S430:目标eNB给源eNB回复切换确认消息。
S435:源eNB发送切换命令到UE,携带目标eNBID。
S440:UE根据eNBID得到Kenb。
S445:UE向目标eNB发送切换完成消息,该消息做完整性保护并加密。
UE切换完成,重复的S310至S340步骤,更新UE下一跳的切换数据。
综上所述,本发明与现有的方法相比,源eNB无法知道下一跳UE的密钥Kenb,提高了安全性,且密钥生成时需要的参数少,计算简单,不需要同步参数,无须MME参与切换过程,能够提高实际组网时UE的无线性能。
需要说明的是,本发明以LTE(Long-Term Evolution,长期演进)架构为例进行了阐述和说明,但本发明的密钥的生成方法及***不仅仅局限于LTE架构,也同样适用于其它架构中密钥的生成。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (4)
1.一种切换的过程中密钥的生成方法,包括:
移动管理单元MME根据用户设备UE当前所在的演进的基站eNB,即源eNB,获知所述源eNB所有的相邻eNB,为所述源eNB和每个相邻eNB分别生成密钥,并用相应的eNB公钥分别加密得到密文,将所有的密文、密钥和基站标识发送给所述UE;
在所述UE切换的过程中,目标eNB从所述UE获得所述目标eNB对应的密文,用自身的私钥解密得到密钥,包括:
源eNB根据UE上报的测量报告,对所述UE进行切换判决,确定下一跳的目标小区;
所述源eNB发送切换消息给所述UE,所述切换消息中携带目标小区所在的基站标识,即目标基站标识;
所述UE根据所述目标基站标识,以及按照对应关系保存的密文、密钥和基站标识,得到目标eNB对应的密文和密钥;
所述UE在切换完成消息中携带目标eNB对应的密文,发送给目标eNB;
所述目标eNB收到所述密文后,用自身的私钥进行解密,得到密钥;
所述UE使用目标eNB对应的密钥作为与目标eNB的交互根密钥;
或,
UE在上报的测量报告中携带所有的密文和对应的基站标识,发送给源eNB;
源eNB根据UE的测量信息进行切换判决,确定目标小区;
源eNB根据目标小区所在的eNB,即目标eNB,获得对应的密文,将所述目标eNB对应的密文发送给目标eNB,
目标eNB收到所述密文后,用自身的私钥进行解密,得到密钥;
目标eNB给源eNB回复切换确认消息;
源eNB向UE发送切换命令,携带目标基站标识;
UE根据所述目标基站标识获知该目标基站对应的密钥。
2.如权利要求1所述的方法,其特征在于,
所述MME为所述源eNB和每个相邻eNB分别生成密钥之后,MME先为所述密钥进行签名,再用相应的eNB公钥分别加密得到密文,将所有的密文、密钥和基站标识发送给所述UE;以及
目标eNB从所述UE获得所述目标eNB对应的密文之后,先用自身的私钥解密,再用所述MME的公钥进行认证,最后得到密钥。
3.一种切换的过程中密钥的生成***,包括UE、源eNB、目标eNB、和MME,其特征在于,
所述MME用于根据所述UE当前所在的eNB,即源eNB,获知所述源eNB所有的相邻eNB,为所述源eNB和每个相邻eNB分别生成密钥,并用相应的eNB公钥分别加密得到密文,将所有的密文、密钥和基站标识发送给所述UE;
所述目标eNB用于在所述UE切换的过程中,获得所述目标eNB对应的密文,用自身的私钥解密得到密钥,包括:收到UE发送的在切换完成消息中携带的目标eNB对应的密文后,用自身的私钥进行解密,得到密钥;或,收到源eNB在接收到UE上报的携带所有的密文和对应的基站标识的测量报告后发送的目标eNB对应的密文后,用自身的私钥进行解密,得到密钥。
4.如权利要求3所述的***,其特征在于,
所述MME进一步用于为所述源eNB和每个相邻eNB分别生成密钥之后,先为所述密钥进行签名,然后再用对应的eNB的公钥分别对密钥进行加密得到密文;
所述目标eNB进一步用于对接收到的密文用自身的私钥解密之后,用所述MME的公钥进行认证,得到密钥。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910203765.4A CN101925059B (zh) | 2009-06-12 | 2009-06-12 | 一种切换的过程中密钥的生成方法及*** |
US13/258,981 US8666078B2 (en) | 2009-06-12 | 2010-05-13 | Method and system for generating cipher key during switching |
EP10785698.1A EP2418884B1 (en) | 2009-06-12 | 2010-05-13 | Method and system for generating cipher key during switching |
PCT/CN2010/072727 WO2010142185A1 (zh) | 2009-06-12 | 2010-05-13 | 一种切换的过程中密钥的生成方法及*** |
JP2012511132A JP5859956B2 (ja) | 2009-06-12 | 2010-05-13 | 切替過程におけるキーの生成方法及システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910203765.4A CN101925059B (zh) | 2009-06-12 | 2009-06-12 | 一种切换的过程中密钥的生成方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101925059A CN101925059A (zh) | 2010-12-22 |
CN101925059B true CN101925059B (zh) | 2014-06-11 |
Family
ID=43308409
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910203765.4A Expired - Fee Related CN101925059B (zh) | 2009-06-12 | 2009-06-12 | 一种切换的过程中密钥的生成方法及*** |
Country Status (5)
Country | Link |
---|---|
US (1) | US8666078B2 (zh) |
EP (1) | EP2418884B1 (zh) |
JP (1) | JP5859956B2 (zh) |
CN (1) | CN101925059B (zh) |
WO (1) | WO2010142185A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8681740B2 (en) * | 2010-12-21 | 2014-03-25 | Tektronix, Inc. | LTE network call correlation during User Equipment mobility |
CN102833743B (zh) * | 2011-06-17 | 2016-12-07 | 中兴通讯股份有限公司 | 公共警报***密钥更新信息的发送、更新方法和相应设备 |
CN103167492B (zh) | 2011-12-15 | 2016-03-30 | 华为技术有限公司 | 在通信***中生成接入层密钥的方法及其设备 |
CN103188663B (zh) * | 2011-12-27 | 2016-08-03 | 华为技术有限公司 | 基站间载波聚合的安全通讯方法及设备 |
CN102711100B (zh) * | 2012-04-24 | 2015-04-15 | 中国联合网络通信集团有限公司 | 语音加解密处理方法、基站及网络*** |
US9578514B2 (en) * | 2012-05-10 | 2017-02-21 | Nokia Technologies Oy | Method, apparatus, and computer program product for enablement |
CN104010276B (zh) * | 2013-02-27 | 2019-02-15 | 中兴通讯股份有限公司 | 一种宽带集群***的组密钥分层管理方法、***和终端 |
WO2015013964A1 (en) | 2013-08-01 | 2015-02-05 | Nokia Corporation | Methods, apparatuses and computer program products for fast handover |
WO2017084043A1 (en) * | 2015-11-18 | 2017-05-26 | Alcatel-Lucent Shanghai Bell Co., Ltd. | Handover between e-utran and wlan |
CN110169128B (zh) * | 2017-03-29 | 2021-01-29 | 华为技术有限公司 | 一种通信方法、装置和*** |
CN109462875B (zh) * | 2019-01-16 | 2020-10-27 | 展讯通信(上海)有限公司 | 无线漫游方法、接入点装置以及移动台 |
KR20220084601A (ko) * | 2020-12-14 | 2022-06-21 | 삼성전자주식회사 | 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101232731A (zh) * | 2008-02-04 | 2008-07-30 | 中兴通讯股份有限公司 | 用于ue从utran切换到eutran的密钥生成方法和*** |
CN101257723A (zh) * | 2008-04-08 | 2008-09-03 | 中兴通讯股份有限公司 | 密钥生成方法、装置及*** |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0591555A (ja) * | 1991-09-25 | 1993-04-09 | Nippon Telegr & Teleph Corp <Ntt> | 移動通信のチヤネル切替制御方式 |
JP3730480B2 (ja) * | 2000-05-23 | 2006-01-05 | 株式会社東芝 | ゲートウェイ装置 |
CN100561914C (zh) * | 2005-08-25 | 2009-11-18 | 华为技术有限公司 | 获取密钥的方法 |
US7752441B2 (en) | 2006-02-13 | 2010-07-06 | Alcatel-Lucent Usa Inc. | Method of cryptographic synchronization |
EP2005780A2 (en) * | 2006-03-27 | 2008-12-24 | Nokia Corporation | Apparatus, method and computer program product providing unified reactive and proactive handovers |
JP2008146632A (ja) * | 2006-10-21 | 2008-06-26 | Toshiba Corp | キーキャッシング、QoSおよびメディア独立事前認証のマルチキャスト拡張 |
US8332923B2 (en) | 2007-01-19 | 2012-12-11 | Toshiba America Research, Inc. | Kerberized handover keying |
CN101309503A (zh) | 2007-05-17 | 2008-11-19 | 华为技术有限公司 | 无线切换方法、基站及终端 |
US8660270B2 (en) | 2007-09-17 | 2014-02-25 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement in a telecommunication system |
JP2009094612A (ja) * | 2007-10-04 | 2009-04-30 | Hitachi Communication Technologies Ltd | 無線通信システムにおけるハンドオフ制御方法 |
US8179860B2 (en) * | 2008-02-15 | 2012-05-15 | Alcatel Lucent | Systems and method for performing handovers, or key management while performing handovers in a wireless communication system |
CN101267668B (zh) * | 2008-04-16 | 2015-11-25 | 中兴通讯股份有限公司 | 密钥生成方法、装置及*** |
US8666077B2 (en) * | 2008-05-07 | 2014-03-04 | Alcatel Lucent | Traffic encryption key generation in a wireless communication network |
CN101594606B (zh) * | 2008-05-27 | 2012-07-25 | 电信科学技术研究院 | 用户位置信息上报方法、***及装置 |
-
2009
- 2009-06-12 CN CN200910203765.4A patent/CN101925059B/zh not_active Expired - Fee Related
-
2010
- 2010-05-13 JP JP2012511132A patent/JP5859956B2/ja not_active Expired - Fee Related
- 2010-05-13 WO PCT/CN2010/072727 patent/WO2010142185A1/zh active Application Filing
- 2010-05-13 EP EP10785698.1A patent/EP2418884B1/en not_active Not-in-force
- 2010-05-13 US US13/258,981 patent/US8666078B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101232731A (zh) * | 2008-02-04 | 2008-07-30 | 中兴通讯股份有限公司 | 用于ue从utran切换到eutran的密钥生成方法和*** |
CN101257723A (zh) * | 2008-04-08 | 2008-09-03 | 中兴通讯股份有限公司 | 密钥生成方法、装置及*** |
Non-Patent Citations (2)
Title |
---|
《Key refresh at Intra-MME handovers》;Alcatel-Lucent;《3GPP TSG SA WG3 Security-SA3#50》;20080229;全文 * |
Alcatel-Lucent.《Key refresh at Intra-MME handovers》.《3GPP TSG SA WG3 Security-SA3#50》.2008, |
Also Published As
Publication number | Publication date |
---|---|
JP2012527203A (ja) | 2012-11-01 |
EP2418884B1 (en) | 2019-01-02 |
US20120082315A1 (en) | 2012-04-05 |
US8666078B2 (en) | 2014-03-04 |
WO2010142185A1 (zh) | 2010-12-16 |
EP2418884A1 (en) | 2012-02-15 |
EP2418884A4 (en) | 2016-07-20 |
JP5859956B2 (ja) | 2016-02-16 |
CN101925059A (zh) | 2010-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101925059B (zh) | 一种切换的过程中密钥的生成方法及*** | |
EP3761598B1 (en) | Generating keys for protection in next generation mobile networks | |
CN103781066B (zh) | 无线发射/接收单元以及由其实施的方法 | |
CN101578893B (zh) | 用于基站自配置的方法和设备 | |
CN101931953B (zh) | 生成与设备绑定的安全密钥的方法及*** | |
CN102106111A (zh) | 导出和更新业务加密密钥的方法 | |
CN101945387B (zh) | 一种接入层密钥与设备的绑定方法和*** | |
CN100488281C (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
CN101304311A (zh) | 密钥生成方法和*** | |
CN102823282A (zh) | 用于二进制cdma的密钥认证方法 | |
CN101945386A (zh) | 一种实现安全密钥同步绑定的方法及*** | |
CN103781069A (zh) | 一种双向认证的方法、设备及*** | |
CN101695165A (zh) | 切换方法、装置和*** | |
Cao et al. | UGHA: Uniform group-based handover authentication for MTC within E-UTRAN in LTE-A networks | |
CN101552983A (zh) | 密钥生成方法、密钥生成装置、移动管理实体与用户设备 | |
CN107211273A (zh) | 涉及用于网络信令的快速初始链路建立fils发现帧的无线通信 | |
CN101299888A (zh) | 密钥生成方法、切换方法、移动管理实体和用户设备 | |
CN104010305A (zh) | 基于物理层密钥的终端和接入网的双向认证增强方法 | |
CN103167492A (zh) | 在通信***中生成接入层密钥的方法及其设备 | |
EP2648437B1 (en) | Method, apparatus and system for key generation | |
CN101895388B (zh) | 分布式动态密钥管理方法及装置 | |
CN103139771B (zh) | 切换过程中密钥生成方法及*** | |
CN104602229A (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
CN101867930B (zh) | 无线Mesh网络骨干节点切换快速认证方法 | |
Sharma et al. | Exposing the security weaknesses of fifth generation handover communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140611 Termination date: 20200612 |
|
CF01 | Termination of patent right due to non-payment of annual fee |