CN102378168B - 多***核心网通知密钥的方法和多***网络 - Google Patents
多***核心网通知密钥的方法和多***网络 Download PDFInfo
- Publication number
- CN102378168B CN102378168B CN201010258914.XA CN201010258914A CN102378168B CN 102378168 B CN102378168 B CN 102378168B CN 201010258914 A CN201010258914 A CN 201010258914A CN 102378168 B CN102378168 B CN 102378168B
- Authority
- CN
- China
- Prior art keywords
- key
- multisystem
- indication information
- core net
- wireless access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000006243 chemical reaction Methods 0.000 claims abstract description 36
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000010295 mobile communication Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 description 6
- 238000004846 x-ray emission Methods 0.000 description 6
- 230000008447 perception Effects 0.000 description 5
- 238000011156 evaluation Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000009897 systematic effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1443—Reselecting a network or an air interface over a different radio air interface technology between licensed networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0066—Transmission or use of information for re-establishing the radio link of control information between different types of networks in order to establish a new radio link in the target network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种多***核心网向多***无线接入网通知密钥的方法以及多***网络,该方法包括:多***核心网向多***无线接入网发送密钥及密钥指示信息;所述多***无线接入网接收所述密钥及密钥指示信息;用户设备执行多***切换时,若密钥指示信息指示所述密钥为初始值,则所述多***无线接入网对所述密钥进行密钥转换获得目的***的密钥。本发明方法和多***网络可以在多***切换时减少用户面数据中断时间。
Description
技术领域
本发明涉及移动通信技术,尤指一种多***核心网通知密钥的方法和多***网络。
背景技术
目前3GPP协议定义的UMTS(UniversalMobileTelecommunicationsSystem,通用移动通信***)和GSM(GlobalSystemforMobileCommunications,全球移动通信)***的鉴权和加密都是分别独立进行的。其中,UMTS***的鉴权在USIM(UniversalSubscriberIdentityModule,通用用户识别卡)与VLR(VisitingLocationRegister,访问位置存储器)/SGSN(ServingGPRSSupportNode,服务GPRS支持节点),HLR(HomeLocationRegister,归属位置存储器)/AuC(AuthenticationCenter,鉴权中心)之间完成。使用的是鉴权五元组:RAND(Randomchallenge,随机数)/XRES(ExpectedResponse,符号响应)/CK(CipheringKey,加密密钥)/IK(IntegrityKey,一致性密钥)/AUTN(AuthenticationToken鉴权标记)。鉴权通过后,对于CS(CircuitSwitch,分组交换)域,VLR把CK(CipheringKey,加密密钥)/IK(IntegrityKey,一致性密钥)发送给RNC,RNC和USIM完成加密;对于PS(PacketSwitch,分组交换)域,SGSN和USIM完成加密。GSM***的鉴权在SIM(SubscriberIdentityModule,用户识别卡)与VLR/SGSN,HLR/AuC之间完成。使用的是鉴权三元组:RAND(Randomchallenge随机数)/SRES(SignedResponse,符号响应)/Kc(CipherKey,密码密钥)。SIM与VLR/SGSN完成鉴权后,对于CS域,VLR把加密密钥Kc(CipherKey,密码密钥)发送给BSC,BSC和SIM完成加密;对于PS域,SGSN和SIM完成加密。
R99+HLR/AuC和R99+VLR/SGSN还具有根据不同的无线接入***UTRAN(UMTSTerrestrialRadioAccessNetwork,移动设备和陆地无线接入网)或BSS(BaseStationSystem,基站***)转换密钥CK/IK和Kc的功能。
从上述过程可以看出,VLR/SGSN会根据无线接入***UTRAN或BSS下发由HLR/AuC直接产生的密钥或自己根据无线接入***转换后的密钥。比如当USIM从UTRAN***接入时,VLR会给UTRAN下发由HLR/AuC直接产生的密钥CK/IK;而当USIM从GSMBSS***接入时,VLR会把HLR/AuC产生的密钥CK/IK转换成Kc下发给BSS。反之,当SIM从UTRAN***接入时,VLR会把HLR/AuC产生的Kc转换成CK/IK下发给UTRAN;这样移动用户在跨***切换时,比如从UMTS切换到GSM时(反之亦然),如果两个***都采用加密,而加密密钥不同,对于CS域语音业务要等到无线侧RNC或BSC从VLR获得密钥后,业务才能继续。
发明内容
本发明要解决的技术问题是提供一种多***核心网向多***无线接入网通知密钥的方法以及多***网络,从而以在不需要核心网参与的情况下,获取目的***密钥。
为解决以上技术问题,本发明提供了一种多***核心网向多***无线接入网通知密钥的方法,该方法包括:
多***核心网向多***无线接入网发送源***密钥及密钥指示信息;
所述多***无线接入网接收所述源***密钥及密钥指示信息;
用户设备执行多***切换时,若密钥指示信息指示所述源***密钥为初始值,则所述多***无线接入网对所述源***密钥进行密钥转换获得目的***的密钥。
进一步地,所述多***核心网发送的源***密钥为加密密钥(CK)和一致性密钥(IK),所述密钥指示信息指示所述CK和IK为初始值;所述用户设备从通用移动通信***(UMTS)或时分同步码分多址(TD-SCDMA)***切换到全球移动通信(GSM)***时,所述多***无线接入网将所述CK、IK转换为密码密钥(Kc);或,
所述多***核心网发送的源***密钥为Kc,所述密钥指示信息指示所述Kc为初始值;所述用户设备从GSM***切换到USIM或TD-SCDMA***时,所述多***无线接入网将所述Kc转换为CK、IK。
进一步地,所述多***无线接入网包括无线网络控制器(RNC)和基站控制器(BSC),切换至GSM***时,所述RNC完成从CK、IK到Kc的转换并发送给所述BSC;切换至UMTS或TD-SCDMA***时,所述BSC完成从Kc到CK、IK的转换并发送给所述RNC。
进一步地,所述源***密钥为计算值时,所述***核心网向多***无线接入网同时发送的目的***的初始值密钥。
进一步地,所述多***核心网发送UMTS或TD-SCDMA***的密钥时,所述密钥指示信息在一致性保护信息(IntegrityProtectionInformation)和/或加密信息(EncryptionInformation)中以信元的方式体现;所述多***核心网发送GSM***的密钥时,所述密钥指示信息在密码信息(EncryptionInformation)和Kc128中以信元的方式体现。
为解决以上技术问题,本发明还提供了一种多***网络,所述多***网络包括:
多***核心网,用于向多***无线网络侧发送源***密钥及密钥指示信息;
所述多***无线接入网,用于接收所述源***密钥及密钥指示信息;用户设备执行多***切换时,若密钥指示信息指示所述源***密钥为多***核心网产生的初始值,还用于对所述源***密钥进行密钥转换获得目的***的密钥。
进一步地,所述多***核心网发送的源***密钥为加密密钥(CK)和一致性密钥(IK),所述密钥指示信息指示所述CK和IK为初始值;所述用户设备从通用移动通信***(UMTS)或时分同步码分多址(TD-SCDMA)***切换到全球移动通信(GSM)***时,所述多***无线接入网将所述CK、IK转换为密码密钥(Kc);
所述多***核心网发送的源***密钥为Kc,所述密钥指示信息指示所述Kc为初始值,所述用户设备从GSM***切换到USIM或TD-SCDMA***时,所述多***无线接入网将Kc转换为CK、IK。
进一步地,所述多***无线接入网包括无线网络控制器(RNC)和基站控制器(BSC),所述RNC和所述BSC都包括接收模块、换算模块及转发模块;其中:
所述RNC中,所述接收模块,用于接收多***核心网或BSC发送的CK、IK及所述密钥指示信息;所述换算模块,在密钥指示信息指示所述CK、IK为初始值且多***切换时,用于将CK、IK转换为Kc;所述转发模块,用于将换算模块转换后的Kc给所述BSC;
所述BSC中,所述接收模块,用于接收多***核心网或RNC发送的Kc及所述密钥指示信息;所述换算模块,在密钥指示信息指示所述Kc为初始值且多***切换时,用于将Kc转换为CK、IK;所述转发模块,用于将换算模块转换后的CK、IK转发给所述RNC。
进一步地,所述源***密钥为计算值时,所述***核心网还用于向所述多***无线接入网同时发送的目的***的初始值密钥。
进一步地,所述多***核心网发送UMTS或TD-SCDMA***的密钥时,所述密钥指示信息在一致性保护信息(IntegrityProtectionInformation)和/或加密信息(EncryptionInformation)中以信元的方式体现;所述多***核心网发送GSM***的密钥时,所述密钥指示信息在密码信息(EncryptionInformation)和Kc128中以信元的方式体现。
本发明中,由多***核心网向多***无线接入网发送密钥时同时发送该密钥的密钥指示信息,使得多***无线接入网在用户设备进行多***切换时,根据密钥的状态进行密钥转换从而在核心网不感知的情况下获得目的***的密钥,加快切换速度,缩短用户设备用户面数据的中断时间。
附图说明
图1是本发明多***核心网向多***无线接入网通知密钥的方法示意图;
图2是多***网络各网元的连接图;
图3是实施例一UTRAN用户CS域鉴权加密流程图;
图4是实施例二GSM用户CS域鉴权加密流程图。
具体实施方式
由于UMTS***和GSM***加密密钥不同,现有技术中,用户设备在多***切换时,无线接入网UTRAN/BSS需要与VLR之间交互获得自己***的加密密钥,为了缩短用户面数据中断时间,本发明中无线接入网UTRAN/BSS自行换算和交互密钥信息,尽量做到核心网不感知。由于CK/IK和Kc之间换算算法c3,c4,c5的非自完备性,所以无线接入网的RNC/BSC需要知道VLR发给自己的密钥是由HLR/AuC直接产生的,还是由VLR转换而来的,对直接产生的密钥值无线侧才能自行换算。
进一步地,本发明针对无线接入网RNC或BSC从VLR得到密钥时无法得知是由HLR/AuC直接产生,还是由VLR转换而来这一问题的解决方法是,由多***核心网在发送密钥时同时通知无线接入网该密钥的状态。
本发明多***核心网向多***无线接入网通知密钥的方法及多***网络的主要思想是,由多***核心网向多***无线接入网发送密钥时同时发送该密钥的密钥指示信息,使得多***无线接入网在用户设备进行多***切换时,根据密钥的状态进行密钥转换从而在核心网不感知的情况下获得目的***的密钥,加快切换速度,缩短用户设备用户面数据的中断时间。
如图1所示,多***核心网向多***无线接入网通知密钥的方法包括:
步骤101:多***核心网向多***无线接入网发送源***密钥及密钥指示信息;
本发明所说的多***切换指2G***和3G***之间的切换,3G***如通用移动通信***(UMTS)、时分同步码分多址(TD-SCDMA)***等;2G***如全球移动通信(GSM)等。
多***核心网发送UMTS或TD-SCDMA***的密钥时,所述密钥指示信息在一致性保护信息(IntegrityProtectionInformation)和加密信息(EncryptionInformation)中以信元的方式体现;所述多***核心网发送GSM***的密钥时,所述密钥指示信息在密码信息(EncryptionInformation)和Kc128中以信元的方式体现。
具体技术方案如下:
当USIM/SIM与HLR/AuC、MSC/VLR完成鉴权后,MSC/VLR会把加密密钥发送给RNC或BSC,发送密钥时携带指示密钥状态的信元,对现有3GPP协议加密消息结构改进如下:
(1)UMTS***加密消息结构改进(参考3GPPTS25.413)
在一致性保护信息IntegrityProtectionInformation和加密信息EncryptionInformation增加密钥指示信元Keyindicator来表示该密钥是初始值,还是经过MSC/VLR计算的值。具体如下(参考图3):
安全模式命令(SECURITYMODECOMMAND)
一致性保护信息(IntegrityProtectionInformation)
加密信息(EncryptionInformation)
(2)GSM***加密消息结构改进(参考3GPPTS48.008)
在密码信息EncryptionInformation和Kc128中携带指示密钥状态的信元Keyindicator来表示该密钥是初始值,还是经过MSC/VLR计算而来。具体如下(参考图4):
密码模式命令(CIPHERMODECOMMAND)
加密信息(EncryptionInformation)
现有协议定义结构:
说明:key长度是8字节(octets).
修改后的结构为:
Kc128
现有协议定义结构:
修改后的结构为:
步骤102:所述多***无线接入网接收所述源***密钥及密钥指示信息;
多***无线接入网可以使用单模形式(相互独立),也可以是多模形式(比如,UMTS***的RNC和GSM***的BSC共模,相当于一个网元)如图2示。
RNC(RadioNetworkController,无线网络控制器)和BSC(BaseStationController,基站控制器)可以连接到同一个R99+VLR/SGSN(R98-VLR/SGSN不支持RNC)或两个不同的R99+VLR/SGSN;使用同一个R98-orR99+HLR/AuC,如图2示。
其中,R99和R98为不同的协议版本发布号。
本发明只涉及CS域MSC/VLR与RNC/BSC之间的安全加密消息改进,不涉及PS域;
步骤103:用户设备执行多***切换时,若密钥指示信息指示所述源***密钥为多***核心网产生的初始值,则所述多***无线接入网对所述源***密钥进行密钥转换获得目的***的密钥。
在以下两种场景中,多***核心网向多***无线接入网下发的源***密钥是直接产生的初始值:
场景一:用户设备使用通用用户识别卡(USIM),初始接入UMTS或TD-SCDMA***,多***核心网发送的密钥为加密密钥(CK)和一致性密钥(IK);
发生场景一后,当用户设备从UMTS或TD-SCDMA***切换到GSM***时,所述多***无线接入网将加密密钥(CK)、一致性密钥(IK)转换为密码密钥(Kc);
场景二:用户设备使用用户识别卡(SIM),初始接入GSM***,多***核心网发送的密钥为Kc;
发生场景二后,当用户设备从GSM***切换到USIM或TD-SCDMA***时,所述多***无线接入网将Kc转换为CK、IK。
相反的,用户设备使用通用用户识别卡(USIM)初始接入GSM***;或用户设备使用用户识别卡(SIM)初始接入通用移动通信***(UMTS)或时分同步码分多址(TD-SCDMA)***时,多***核心网向多***无线接入网下发的密钥是核心网转换后的非初始值,即计算值,这种情况下多***无线接入网不能通过直接转换获得目的***的密钥,需要与核心网交互获得。
所述多***无线接入网包括无线网络控制器(RNC)和基站控制器(BSC)两个逻辑功能;切换至GSM***时,所述RNC完成从CK、IK到Kc的转换并发送给所述BSC;切换至UMTS或TD-SCDMA***时,所述BSC完成从Kc到CK、IK的转换并发送给所述RNC。具体地:
RNC新增模块完成CK/IK到Kc的转换:
c3:Kc[GSM]=CK1xorCK2xorIK1xorIK2,
其中,CKi和IKi都是64bits,CK=CK1‖CK2andIK=IK1‖IK2
BSC新增模块完成Kc到CK/IK的转换:
c4:CK[UMTS]=Kc‖Kc;
c5:IK[UMTS]=Kc1xorKc2‖Kc‖Kc1xorKc2;
在c5中,Kci是32bits并且Kc=Kc1‖Kc2
可以证明,c3,c4,c5算法具有非自完备性,即:
CK1/IK1通过c3算法得到Kc1;把Kc1代入c4,c5算法得到CK2/IK2,得到:CK1≠CK2;IK1≠IK2,因此无线接入网对直接产生的密钥值才能自行换算。
本发明方法通过在安全加密消息中增加指示来表示密钥是直接产生还是换算而来。如果密钥是直接产生的,则多***中USIM用户(即使用USIM的用户设备)从UMTS或TD-SCDMA***切换到GSM***时,RNC可以自行直接把CK/IK换算成Kc发给BSC,而不需再通过与核心网的信令交互VLR把Kc发给BSC。这样用户面数据在切换时可以加快速度缩短数据中断时间,同时可以做到核心网不感知。该方法同样适用于多***中SIM卡用户从GSM***切换到UMTS或TD-SCDMA***。
实施例一
如图3所示,USIM用户鉴权加密流程包括:
步骤301:USIM把IMSI(IntemationalMobileSubscriberIdentity,国际移动用户识别码)通过MSC/VLR发送给HLR/AuC;
步骤302:HLR/AuC产生鉴权五元组并发送给MSC/VLR;
鉴权五元组为:RAND(Randomchallenge随机数),XRES(ExpectedResponse符号响应),CK,IK,AUTN(AuthenticationToken,鉴权标记)。
步骤303:MSC/VLR向USIM发送鉴权请求(Authenticationrequest),携带RAND和AUTN,AUTN中包括SQN(Sequencenumber序列编号)、AK(AnonymityKey匿名密钥)、AMF(Authenticationmanagementfield鉴权管理域)、MAC(messageauthenticationcode消息鉴权编码);
步骤304:USIM根据K(鉴权密钥;一个IMSI唯一对应一个K)和RAND计算出五元组RAND,XRES,CK,IK,AUTN;
步骤305:USIM把自己计算出的MAC和MSC/VLR发送来的MAC进行比较;
步骤306:如果两者相等,则USIM向MSC/VLR发送鉴权响应(AuthenticationResponse),携带自己计算的XRES;
步骤307:MSC/VLR把HLR/AuC传过来的XRES与USIM发过来的XRES进行比较;
步骤308:如果两者相等,MSC/VLR向RNC发送安全模式命令(Securitymodecommand),在一致性保护信息(IntegrityProtectionInformation)中携带一致性保护密钥(IntegrityProtectionKey)的密钥指示信元(Keyindicator,密钥标识);并在加密信息(EncryptionInformation)中携带加密密钥(EncryptionKey)的密钥指示信元(Keyindicator,密钥标识);
若一致性保护密钥和加密密钥为初始值(original),则密钥标识置为“0”;若为计算值(calculated),则置为“1”;
步骤309:RNC向UE发送安全模式命令(Securitymodecommand),指示用CK/IK进行加密;
如果Keyindicator为“0”,则后续如果UE切换到GSM***,RNC使用c3算法得到Kc,然后通过Iur-g接口直接将Kc传递给BSC,以略去与VLR的交互;如果Keyindicator为“1”,则RNC不可以使用c3算法,必须通过VLR来转换Kc。
步骤310:UE向RNC返回安全模式完成(Securitymodecomplete),表示无线侧加密完成;
步骤311:RNC向MSC/VLR返回Securitymodecomplete消息指示加密完成。
为进一步完善以上实施例一,步骤308中,当VLR向RNC发送的Keyindicator为“1”时,可以在安全模式命令(Securitymodecommand)中,把初始Kc也发送给RNC,这样用户从RNC切换到BSC时,虽然RNC不可以使用c3算法得到Kc,但是可以把VLR发过来的Kc通过Iur-g接口直接传递给BSC,以略去后续与VLR的再次交互。
以上步骤308中,一致性保护信息(IntegrityProtectionInformation)和加密信息(EncryptionInformation)中均携带密钥指示信元,因核心网下发时,一致性保护密钥和加密密钥的状态是一致的,可替换地,在一致性保护信息或加密信息中携带密钥指示信息,RNC亦可识别出一致性保护密钥和加密密钥是否为初始值。
实施例二
如图4所示,SIM用户鉴权加密流程包括以下步骤:
步骤401:SIM把IMSI通过MSC/VLR发送给HLR/AuC;
步骤402:HLR/AuC产生鉴权三元组并发送给MSC/VLR;
鉴权三元组为RAND,SRES,Kc。
步骤403:MSC/VLR向SIM发送鉴权请求(Authenticationrequest),其中携带RAND;
步骤404:SIM根据K(鉴权密钥;一个IMSI唯一对应一个K)和RAND计算出SRES和Kc;
步骤405:SIM向MSC/VLR发送鉴权响应Authenticationresponse,携带自己计算的SRES;
步骤406:MSC/VLR把HLR/AuC传过来的SRES与SIM发过来的SRES进行比较;
步骤407:如果两者相等,MSC/VLR向BSC发送密码模式命令(Ciphermodecommand),在EncryptionInformation中携带Key状态的指示信元Keyindicator;在Kc128中携带Key状态的指示信元Keyindicator。Keyindicator为“0”表示初始值(original),Keyindicator为“1”表示计算值(calculated);
步骤408:BSC向UE发送密码模式设置命令(Ciphermodesetting),指示用Kc进行加密;
如果Keyindicator为“0”,则后续如果UE切换到UTRAN,BSC可以使用c4,c5算法得到CK/IK,然后通过Iur-g接口直接将CK/IK传递给RNC,以略去与VLR的交互;如果Keyindicator为“1”,则BSC不可以使用c4,c5算法,必须通过VLR来转换CK/IK。
步骤409:UE向BSC返回密码响应(Cipherresponse),表示无线侧加密完成;
步骤410:BSC向MSC/VLR返回密码模式完成(Ciphermodecomplete)消息指示加密完成。
为完善实施例二,步骤407,当VLR向BSC发送的Keyindicator为“1”,时,可以在密码模式命令(Ciphermodecommand)中,把初始CK,IK也发送给BSC,这样用户从BSC切换到RNC时,虽然BSC不可以使用c4,c5算法得到CK,IK,但是可以把VLR发过来的CK,IK通过Iur-g接口直接传递给RNC,以略去后续与VLR的再次交互。
为了实现以上方法,本发明还提供了一种多***网络,所述多***网络包括:
多***核心网,用于向多***无线网络侧发送源***密钥及密钥指示信息;
所述多***无线接入网,用于接收所述源***密钥及密钥指示信息;用户设备执行多***切换时,若密钥指示信息指示所述源***密钥为多***核心网产生的初始值,多***无线接入网对所述源***密钥进行密钥转换获得目的***的密钥。
所述多***核心网发送的源***密钥为加密密钥(CK)和一致性密钥(IK),所述密钥指示信息指示所述CK和IK为初始值;所述用户设备从通用移动通信***(UMTS)或时分同步码分多址(TD-SCDMA)***切换到全球移动通信(GSM)***时,所述多***无线接入网将所述CK、IK转换为密码密钥(Kc);
所述多***核心网发送的源***密钥为Kc,所述密钥指示信息指示所述Kc为初始值,所述用户设备从GSM***切换到USIM或TD-SCDMA***时,所述多***无线接入网将Kc转换为CK、IK。
所述多***无线接入网包括无线网络控制器(RNC)和基站控制器(BSC),所述RNC和所述BSC都包括接收模块、换算模块及转发模块;其中:
所述RNC中,所述接收模块,用于接收多***核心网或BSC发送的CK、IK及所述密钥指示信息;所述换算模块,在密钥指示信息指示所述CK、IK为初始值且多***切换时,用于将CK、IK转换为Kc;所述转发模块,用于将换算模块转换后的Kc给所述BSC;
所述BSC中,所述接收模块,用于接收多***核心网或RNC发送的Kc及所述密钥指示信息;所述换算模块,在密钥指示信息指示所述Kc为初始值且多***切换时,用于将Kc转换为CK、IK;所述转发模块,用于将换算模块转换后的CK、IK转发给所述RNC。
进一步地,所述源***密钥为计算值时,所述***核心网还用于向所述多***无线接入网同时发送的目的***的初始值密钥,
所述***核心网向所述BSC发送的Kc为计算值时,还用于向所述BSC同时发送CK、IK初始值;所述BSC的接收模块还用于接收所述核心网发送的CK、IK初始值;所述BSC的转发模块,还用于在密钥指示信息指示所述Kc为计算值且多***切换时,将所述CK、IK初始值转发给所述RNC。
所述多***核心网发送UMTS或TD-SCDMA***的密钥时,所述密钥指示信息在一致性保护信息(IntegrityProtectionInformation)和/或加密信息(EncryptionInformation)中以信元的方式体现;所述多***核心网发送GSM***的密钥时,所述密钥指示信息在密码信息(EncryptionInformation)和Kc128中以信元的方式体现。
所述多***无线接入网为单模或多模形式。
本发明适用于CS域业务初始接入后的切换,如果是切换后再切换回的原来的***,亦仍无需核心网参与,由无线接入网根据缓存的密钥执行加密即可。
本发明解决技术问题的思路在于,在无需核心网参与的情况下,由无线接入网自行获得目的***密钥,因此,可变换地,在密钥为初始值的情况下,源***无线接入网可以将密钥初始值发送给目的***无线接入网,由目的***无线接入网完成密钥转换。
本领域的普通技术人员应当理解,可以对本发明进行修改、变形或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
采用本发明技术方案的优点是:在无需核心网参与的情况下,由无线接入网自行获得目的***密钥,缩短了用户面数据流的中断的时间,提高用户对语音业务的感受,一些场景中可以做到核心网不感知;减少了无线接入网(RNC/BSC)与核心网(VLR)之间信令交互获得加密密钥的过程和时间,尤其当RNC和BSC连接到两个不同的VLR时,改进尤其显著。
Claims (12)
1.一种多***核心网向多***无线接入网通知密钥的方法,其特征在于,该方法包括:
多***核心网向多***无线接入网发送源***密钥及密钥指示信息;
所述多***无线接入网接收所述源***密钥及密钥指示信息;
用户设备执行多***切换时,若密钥指示信息指示所述源***密钥为初始值,则所述多***无线接入网对所述源***密钥进行密钥转换获得目的***的密钥。
2.如权利要求1所述的方法,其特征在于:
所述多***核心网发送的源***密钥为加密密钥CK和一致性密钥IK,所述密钥指示信息指示所述CK和IK为初始值;所述用户设备从通用移动通信***UMTS或时分同步码分多址TD-SCDMA***切换到全球移动通信GSM***时,所述多***无线接入网将所述CK、IK转换为密码密钥Kc;或,
所述多***核心网发送的源***密钥为Kc,所述密钥指示信息指示所述Kc为初始值;所述用户设备从GSM***切换到UMTS或TD-SCDMA***时,所述多***无线接入网将所述Kc转换为CK、IK。
3.如权利要求2所述的方法,其特征在于:所述多***无线接入网包括无线网络控制器RNC和基站控制器BSC,切换至GSM***时,所述RNC完成从CK、IK到Kc的转换并发送给所述BSC;切换至UMTS或TD-SCDMA***时,所述BSC完成从Kc到CK、IK的转换并发送给所述RNC。
4.如权利要求1所述的方法,其特征在于:
所述源***密钥为计算值时,所述***核心网向多***无线接入网同时发送的目的***的初始值密钥。
5.如权利要求1所述的方法,其特征在于:所述多***核心网发送UMTS或TD-SCDMA***的密钥时,所述密钥指示信息在一致性保护信息IntegrityProtectionInformation和/或加密信息EncryptionInformation中以信元的方式体现;所述多***核心网发送GSM***的密钥时,所述密钥指示信息在密码信息EncryptionInformation和Kc128中以信元的方式体现。
6.如权利要求1所述的方法,其特征在于:所述多***无线接入网为单模或多模形式。
7.一种多***网络,其特征在于:所述多***网络包括:
多***核心网,用于向多***无线网络侧发送源***密钥及密钥指示信息;
所述多***无线接入网,用于接收所述源***密钥及密钥指示信息;用户设备执行多***切换时,若密钥指示信息指示所述源***密钥为多***核心网产生的初始值,还用于对所述源***密钥进行密钥转换获得目的***的密钥。
8.如权利要求7所述的多***网络,其特征在于:
所述多***核心网发送的源***密钥为加密密钥CK和一致性密钥IK,所述密钥指示信息指示所述CK和IK为初始值;所述用户设备从通用移动通信***UMTS或时分同步码分多址TD-SCDMA***切换到全球移动通信GSM***时,所述多***无线接入网将所述CK、IK转换为密码密钥Kc;
所述多***核心网发送的源***密钥为Kc,所述密钥指示信息指示所述Kc为初始值,所述用户设备从GSM***切换到UMTS或TD-SCDMA***时,所述多***无线接入网将Kc转换为CK、IK。
9.如权利要求7所述的多***网络,其特征在于:所述多***无线接入网包括无线网络控制器RNC和基站控制器BSC,所述RNC和所述BSC都包括接收模块、换算模块及转发模块;其中:
所述RNC中,所述接收模块,用于接收多***核心网或BSC发送的CK、IK及所述密钥指示信息;所述换算模块,在密钥指示信息指示所述CK、IK为初始值且多***切换时,用于将CK、IK转换为Kc;所述转发模块,用于将换算模块转换后的Kc给所述BSC;
所述BSC中,所述接收模块,用于接收多***核心网或RNC发送的Kc及所述密钥指示信息;所述换算模块,在密钥指示信息指示所述Kc为初始值且多***切换时,用于将Kc转换为CK、IK;所述转发模块,用于将换算模块转换后的CK、IK转发给所述RNC。
10.如权利要求7所述的多***网络,其特征在于:
所述源***密钥为计算值时,所述***核心网还用于向所述多***无线接入网同时发送的目的***的初始值密钥。
11.如权利要求7所述的多***网络,其特征在于:所述多***核心网发送UMTS或TD-SCDMA***的密钥时,所述密钥指示信息在一致性保护信息IntegrityProtectionInformation和/或加密信息EncryptionInformation中以信元的方式体现;所述多***核心网发送GSM***的密钥时,所述密钥指示信息在密码信息EncryptionInformation和Kc128中以信元的方式体现。
12.如权利要求7所述的多***网络,其特征在于:所述多***无线接入网为单模或多模形式。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010258914.XA CN102378168B (zh) | 2010-08-17 | 2010-08-17 | 多***核心网通知密钥的方法和多***网络 |
EP11817717.9A EP2566205B1 (en) | 2010-08-17 | 2011-06-13 | Notifying key method for multi-system core network and multi-system network |
PCT/CN2011/075636 WO2012022190A1 (zh) | 2010-08-17 | 2011-06-13 | 多***核心网通知密钥的方法和多***网络 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010258914.XA CN102378168B (zh) | 2010-08-17 | 2010-08-17 | 多***核心网通知密钥的方法和多***网络 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102378168A CN102378168A (zh) | 2012-03-14 |
CN102378168B true CN102378168B (zh) | 2016-02-10 |
Family
ID=45604747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010258914.XA Expired - Fee Related CN102378168B (zh) | 2010-08-17 | 2010-08-17 | 多***核心网通知密钥的方法和多***网络 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP2566205B1 (zh) |
CN (1) | CN102378168B (zh) |
WO (1) | WO2012022190A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2882117B1 (en) | 2012-07-31 | 2017-07-05 | Kuang-Chi Intelligent Photonic Technology Ltd. | Visible light encryption method, decryption method, communication device and communication system |
CN108966220B (zh) | 2017-07-28 | 2019-07-23 | 华为技术有限公司 | 一种密钥推演的方法及网络设备 |
CN111954208B (zh) * | 2017-11-17 | 2024-04-12 | 华为技术有限公司 | 一种安全通信方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101304311A (zh) * | 2008-06-12 | 2008-11-12 | 中兴通讯股份有限公司 | 密钥生成方法和*** |
CN101399767A (zh) * | 2007-09-29 | 2009-04-01 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
CN101523797A (zh) * | 2006-10-18 | 2009-09-02 | 艾利森电话股份有限公司 | 通信网络中的密码密钥管理 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1705261A (zh) * | 2004-05-28 | 2005-12-07 | 华为技术有限公司 | 一种端对端加密通讯***及方法 |
US7333442B2 (en) * | 2004-07-30 | 2008-02-19 | M-Stack Limited | Apparatus and method for applying ciphering in universal mobile telecommunications system |
CN101364865B (zh) * | 2008-09-19 | 2012-02-01 | 西安西电捷通无线网络通信股份有限公司 | 一种无线城域网组播密钥管理方法 |
-
2010
- 2010-08-17 CN CN201010258914.XA patent/CN102378168B/zh not_active Expired - Fee Related
-
2011
- 2011-06-13 WO PCT/CN2011/075636 patent/WO2012022190A1/zh active Application Filing
- 2011-06-13 EP EP11817717.9A patent/EP2566205B1/en not_active Not-in-force
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101523797A (zh) * | 2006-10-18 | 2009-09-02 | 艾利森电话股份有限公司 | 通信网络中的密码密钥管理 |
CN101399767A (zh) * | 2007-09-29 | 2009-04-01 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
CN101304311A (zh) * | 2008-06-12 | 2008-11-12 | 中兴通讯股份有限公司 | 密钥生成方法和*** |
Also Published As
Publication number | Publication date |
---|---|
EP2566205A1 (en) | 2013-03-06 |
EP2566205B1 (en) | 2019-03-13 |
CN102378168A (zh) | 2012-03-14 |
WO2012022190A1 (zh) | 2012-02-23 |
EP2566205A4 (en) | 2014-01-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2293515B1 (en) | Method, network element, and mobile station for negotiating encryption algorithms | |
KR101614044B1 (ko) | Utran/geran-기반 서빙 네트워크로부터 e-utran-기반 서빙 네트워크로 향상된 보안 콘텍스트를 전이시키기 위한 장치 및 방법 | |
US10306432B2 (en) | Method for setting terminal in mobile communication system | |
JP4818345B2 (ja) | セキュリティーキー変更を処理する方法及び通信装置 | |
US10320754B2 (en) | Data transmission method and apparatus | |
US20170359719A1 (en) | Key generation method, device, and system | |
US10687213B2 (en) | Secure establishment method, system and device of wireless local area network | |
CN102158855B (zh) | 处理单一无线语音通话连续***递安全的方法及通讯装置 | |
WO2019096075A1 (zh) | 一种消息保护的方法及装置 | |
CN102315932B (zh) | 电信***以及这种***中控制消息的加密 | |
JP2013081252A (ja) | 無線電気通信における暗号化 | |
EP3675544A1 (en) | Key derivation algorithm negotiation method and apparatus | |
CN101299888B (zh) | 密钥生成方法、切换方法、移动管理实体和用户设备 | |
CN103781069A (zh) | 一种双向认证的方法、设备及*** | |
CN101552983A (zh) | 密钥生成方法、密钥生成装置、移动管理实体与用户设备 | |
CN102378168B (zh) | 多***核心网通知密钥的方法和多***网络 | |
CN102970678B (zh) | 加密算法协商方法、网元及移动台 | |
CN102378169B (zh) | 多***无线接入网获知密钥的方法和多***无线接入网 | |
EP4284047A1 (en) | System and method for intermediating cellular voice communication | |
CN102378167B (zh) | 安全信息获取方法及多***网络 | |
US20120198227A1 (en) | Cipher key generation in communication system | |
CN112995993A (zh) | 无线网络切换方法及设备 | |
Zheng et al. | A Method based on Hash Table to Implement the NAS Layer Decryption in LTE Big Data Platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160210 Termination date: 20200817 |