CN103931219A - 一种网络切换过程中的安全处理方法及*** - Google Patents

一种网络切换过程中的安全处理方法及*** Download PDF

Info

Publication number
CN103931219A
CN103931219A CN201280001026.7A CN201280001026A CN103931219A CN 103931219 A CN103931219 A CN 103931219A CN 201280001026 A CN201280001026 A CN 201280001026A CN 103931219 A CN103931219 A CN 103931219A
Authority
CN
China
Prior art keywords
sent
target side
node
random value
network node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280001026.7A
Other languages
English (en)
Other versions
CN103931219B (zh
Inventor
陈璟
张冬梅
徐小英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN103931219A publication Critical patent/CN103931219A/zh
Application granted granted Critical
Publication of CN103931219B publication Critical patent/CN103931219B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/144Reselecting a network or an air interface over a different radio air interface technology
    • H04W36/1443Reselecting a network or an air interface over a different radio air interface technology between licensed networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了一种网络切换过程中的安全处理方法及***,其中,所述方法包括:网络交换节点接收到切换请求后,生成目标密钥(S11);所述网络交换节点向目标侧网络节点发送包括所述目标密钥的安全信息,并接收目标侧网络节点发送的切换响应消息(S12);所述网络交换节点向移动终端发送切换命令,以使所述移动终端接入目标侧网络(S13)。采用本发明,可在不改变目前网络中使用的网络交换节点的情况下,完成移动终端从3G网络切换到HSPA网络或者LTE网络中的安全处理。

Description

一种网络切换过程中的安全处理方法及*** 技术领域
本发明涉及通信网络技术领域, 尤其涉及一种网络切换过程中的安全处理 方法及***。 背景技术
HSPA ( High Speed Packet Access, 高速分组接入 ) 网络是一种能够提供高 速上下行通信速率的网络。 LTE ( Long Term evolution, 长期演进 ) 网络是对目 前 3G网络的演进, 其能够改善了小区边缘用户的性能, 提高小区容量和降低系 统延迟。 在未来的通信网络中, 3G网络、 HSPA网络以及 LTE网络会在较长的 一段时期内并存。
正在 3G网络中进行语音呼叫的用户,可能移动到 HSPA或者 LTE小区中去, 为了保持语音业务的连续性, 需要将语音业务切换到新的***中去。 目前实现 3G网络与 HSPA、 LTE网络的语音及数据服务无缝连接的方案中, 需要源侧核 心网节点 MSC server ( mobile switching center server, 移动交换中心服务器 ) 区 分切换的目标***是 LTE网络***还是 HSPA网络***, 不同的目标***进行 不同的安全处理, 而目前 MSC server没有这个辨别能力。 发明内容
本发明实施例所要解决的技术问题在于, 提供一种网络切换过程中的安全 处理方法及***, 可在网络交换节点不知道目标***类型的情况下, 完成移动 终端网络切换过程中的安全处理。
为了解决上述技术问题, 本发明实施例提供了一种网络切换过程中的安全 处理方法, 包括:
网络交换节点接收到切换请求后, 生成目标密钥;
所述网络交换节点向目标侧网络节点发送包括所述目标密钥的安全信息, 并接收所述目标侧网络节点发送的切换响应消息;
所述网络交换节点向移动终端发送切换命令, 以使所述移动终端接入目标 侧网络。 相应地, 本发明实施例还提供了另一种网络切换过程中的安全处理方法, 包括:
目标侧网络节点接收网络交换节点发送的包括目标密钥的安全信息, 所述 目标密钥为所述网络交换节点接收到切换请求后生成的;
所述目标侧网络节点向所述网络交换节点发送切换响应消息, 以使得所述 网络交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
相应地, 本发明实施例还提供了另一种网络切换过程中的安全处理方法, 包括:
网络交换节点在接收到切换请求后, 向目标侧网络节点发送包括网络交换 节点的本地密钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性 保护密钥;
所述网络交换节点接收目标侧网络节点发送的切换响应消息;
所述网络交换节点向移动终端发送切换命令, 以使所述移动终端接入目标 侧网络。
相应地, 本发明实施例还提供了另一种网络切换过程中的安全处理方法, 包括:
目标侧网络节点接收网络交换节点发送的包括所述网络交换节点的本地密 钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥; 所述目标侧网络节点向所述网络交换节点发送切换响应消息, 以使得所述 网络交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
相应地, 本发明实施例还提供了另一种网络切换过程中的安全处理方法, 包括:
移动终端接收网络交换节点发送的切换命令, 所述切换命令为所述网络交 换节点根据目标侧网络节点发送的切换响应消息生成的;
所述移动终端根据所述切换命令中携带的随机值和所述移动终端的本地密 钥, 生成安全密钥;
所述移动终端根据所述切换命令和所述安全密钥, 接入目标侧网络。
相应地, 本发明实施例还提供了一种网络交换节点, 包括:
处理模块, 用于在接收到切换请求后, 生成目标密钥;
发送模块, 用于在所述处理模块生成目标密钥后向目标侧网络节点发送包 括所述目标密钥的安全信息;
接收模块, 用于接收切换请求, 并用于接收目标侧网络节点发送的切换响 应消息;
所述发送模块还用于向移动终端发送切换命令, 以使所述移动终端接入目 标侧网络。
相应地, 本发明实施例还提供了一种通用分组无线服务业务支撑点, 包括: 接收模块, 用于接收网络交换节点发送的包括目标密钥的安全信息, 所述 目标密钥为所述网络交换节点接收到切换请求后生成的;
发送模块, 用于向所述网络交换节点发送切换响应消息, 以使得所述网络 交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
相应地, 本发明实施例还提供了一种移动管理实体, 包括:
接收模块, 用于接收网络交换节点发送的包括目标密钥的安全信息, 所述 目标密钥为所述网络交换节点接收到切换请求后生成的;
发送模块, 用于向所述网络交换节点发送切换响应消息, 以使得所述网络 交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
相应地, 本发明实施例还提供了一种网络交换节点, 包括:
发送模块, 用于在接收到切换请求后, 向目标侧网络节点发送包括网络交 换节点的本地密钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整 性保护密钥;
接收模块, 用于接收目标侧网络节点发送的切换响应消息;
所述发送模块还用于向移动终端发送切换命令, 以使所述移动终端接入目 标侧网络。
相应地, 本发明实施例还提供了一种通用分组无线服务业务支撑点, 包括: 接收模块, 用于接收网络交换节点发送的包括所述网络交换节点的本地密 钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥; 发送模块, 用于向所述网络交换节点发送切换响应消息, 以使得所述网络 交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
相应地, 本发明实施例还提供了一种移动管理实体, 包括:
接收模块, 用于接收网络交换节点发送的包括所述网络交换节点的本地密 钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥; 发送模块, 用于向所述网络交换节点发送切换响应消息, 以使得所述网络 交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
相应地, 本发明实施例还提供了一种移动终端, 包括:
接收模块, 用于接收网络交换节点发送的切换命令, 所述切换命令为所述 网络交换节点根据目标侧网络节点发送的切换响应消息生成的;
处理模块, 用于根据所述切换命令中携带的随机值和所述移动终端的本地 密钥, 生成安全密钥;
接入模块, 用于根据所述切换命令和所述安全密钥, 接入目标侧网络。 相应地, 本发明实施例还提供了一种网络切换过程中的安全处理***, 包 括: 上述的网络交换节点、 通用分组无线服务业务支撑点、 移动管理实体, 以 及移动终端。
实施本发明实施例, 具有如下有益效果:
本发明实施例可在网络交换节点不知道目标***类型, 即不改变目前网络 中使用的网络交换节点的情况下, 较好地完成移动终端从 3G网络切换到 HSPA 网络或者 LTE网络中的安全处理, 节约了成本。 附图说明 例或现有技术描述中所需要使用的附图作筒单地介绍, 显而易见地, 下面描述 中的附图仅仅是本发明的一些实施例, 对于本领域普通技术人员来讲, 在不付 出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是本发明一种网络切换过程中的安全处理方法的实施例流程示意图; 图 2是本发明另一种网络切换过程中的安全处理方法的实施例流程示意图; 图 3是本发明另一种网络切换过程中的安全处理方法的实施例流程示意图; 图 4是本发明的另一种网络切换过程中的安全处理方法的实施例流程示意 图;
图 5是本发明的另一种网络切换过程中的安全处理方法的实施例流程示意 图;
图 6是本发明实施例的一种网络切换过程中的安全处理***的结构组成示 意图; 图 7是图 6中的网络交换节点的结构组成示意图;
图 8是图 6中的目标侧网络节点 SGSN的结构组成示意图;
图 9是图 6中的目标侧网络节点 MME的结构组成示意图;
图 10是图 6中的移动终端的结构组成示意图;
图 11是本发明实施例的另一种网络切换过程中的安全处理***的实施例结 构组成示意图;
图 12是图 11中的网络交换节点的结构组成示意图;
图 13是图 11中的目标侧网络节点 SGSN的结构组成示意图;
图 14是图 11中的目标侧网络节点 MME的结构组成示意图;
图 15是图 11中的移动终端的结构组成示意图。 具体实施方式 下面将结合本发明实施例中的附图, 对本发明实施例中的技术方案进行清 楚、 完整地描述, 显然, 所描述的实施例仅仅是本发明一部分实施例, 而不是 全部的实施例。 基于本发明中的实施例, 本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
请参见图 1 ,是本发明一种网络切换过程中的安全处理方法的实施例流程示 意图, 在本实施例中, 用户在通过移动终端通信的过程中, 从 3G 网络进入了 HSPA网络或者 LTE网络, 所述方法包括:
S11 : 网络交换节点接收到切换请求时, 生成目标密钥。
具体的, 所述网络交换节点可以为 MSC server, 下面以 MSC server为网络 交换节点对本实施的所述方法进行说明, 其他类型的网络交换节点作相同处理, 所述 MSC server从与其连接的源侧接入网节点 RNC ( Radio Network Controller, 无线网络控制器)接收切换请求。
所述 S11 具体可以包括: 所述网络交换节点在接收到源侧网络控制节点的 切换请求后, 获取随机值 NONCEMSC; 所述网络交换节点根据所述随机值 NONCEMSC和所述网络交换节点的本地密钥, 生成目标密钥, 其中, 所述本地 密钥包括本地加密密钥和 /或本地完整性保护密钥, 所述目标密钥包括目标加密 密钥和 /或目标完整性保护密钥。 所述 MSC server接收到关于发生网络切换的移动终端的切换请求后, 生成 一个随机值 NONCEMSC, 当然, 该随机值 NONCEMSc也可以是由所述源侧 RNC 生成并发送给所述 MSC server。
所述 MSC server根据所述随机值 NONCEMSC, 并根据存储的所述移动终端 对应的本地密钥, 包括本地加密密钥( ^8和本地完整性保护密钥 IK^, 推演生 成目标密钥, 包括目标加密密钥 CKp 目标完整性保护密钥 IKps。 需要说明的 是, MSC server并不需要知道目标侧网络的类型, 仅仅根据自身生成或者从源 侧 RNC获取的随机值 NONCEMSc和本地存储的密钥标识即可生成目标密钥。
S12: 网络交换节点向目标侧网络节点发送包括所述目标密钥的安全信息, 并接收目标侧网络节点发送的切换响应消息。
所述 MSC server根据切换请求, 将包括所述目标密钥的安全信息发送给指 定的目标侧网络节点, 若目标侧网络为 HSPA 时, 目标侧网络节点为 SGSN ( serving GPRS support node, GPRS业务支撑节点;), 目标侧网络为 LTE时, 目 标侧网络节点为 MME ( Mobility Management Entity, 移动性管理实体)。 所述目 标侧网络节点在接收到所述包括目标密钥的安全信息后, 进行资源侧分配以及 安全处理后, 向所述网络交换节点返回切换响应消息。
S13: 网络交换节点向移动终端发送切换命令, 以使所述移动终端接入目标 侧网络。 切换命令将通过所述源侧 RNC下发给移动终端, 如网络交换节点将用 于切换的信令发给所述源侧 RNC,所述源侧 RNC生成切换命令发给所述移动终 端。 在本发明其他实施例中, 网络交换节点向移动终端发送切换命令也可参考 这种通过所述源侧 RNC下发给移动终端的方式进行。
网络交换节点在接收到所述切换响应消息后, 可以通过所述源侧 RNC向所 述移动终端发送切换命令, 所述移动终端根据切换命令正确地接入到目标侧网 络, 并安全可靠地进行通信。
进一步的, 在本实施例的所述 S11 中, 所述网络交换节点生成目标密钥发 送给目标侧网络节点后, 不同目标侧网络中相应的目标侧网络节点会会根据所 述目标密钥执行不同的操作, 因此, 所述 S12 中所述网络交换节点接收目标侧 网络节点发送的切换响应消息包括不同类型的切换信息。
具体的, 当所述目标侧网络节点为 SGSN时, 所述接收目标侧网络节点发 送的切换响应消息包括: 接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为 SGSN 将所述目标密钥发送给目标侧接入网节点后, 所述目标侧接入网节点生成的; 当所述目标侧网络节点为移动管理实体 MME时,所述接收目标侧网络节点 发送的切换响应消息包括:
接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME的;或者接收 MME发送的携带透明容器的切 换响应消息,所述透明容器为目标侧接入网节点生成并发送给所述 MME的,所 述透明容器中包括随机值 NONCEMME, 所述 NONCEMME由所述 MME在接收到 安全信息时生成。
在上述情况下, 即网络交换节点仅发送了目标密钥, 并没有发送其获取的 随机值 NONCEMSC的情况下, 所述 S13中所述网络交换节点向所述移动终端发 送切换命令包括:
所述网络交换节点将所述随机值 NONCEMSc携带在切换命令中发送给所述 移动终端; 或所述网络交换节点将所述随机值 NONCEMSC和所述透明容器发送 给源侧接入网节点, 以使得所述源侧接入网节点将所述随机值 NONCEMSC和所 述透明容器携带在切换命令中发送给所述移动终端; 或所述网络交换节点将所 述 NONCEMSC和所述透明容器发送给源侧接入网节点, 所述源侧接入网节点忽 略 NONCEMSC, 仅将所述透明容器携带在切换命令中发送给所述移动终端。 其 中, 所述网络交换节点可以将所述随机值 NONCEMSc写入到由目标侧网络节点 在切换响应消息中包括的透明容器中, 并将写入了随机值 NONCEMSC的透明容 器携带在切换命令中通过源侧 RNC 发送给所述移动终端, 或直接将所述 NONCEMSc直接携带在切换命令中通过源侧 RNC发送给所述移动终端。
进一步的, 在本实施例的所述 S11 中, 所述网络交换节点生成目标密钥发 送给目标侧网络节点, 还可以将随机值 NONCEMSC也发送给所述目标侧网络节 点后, 不同目标侧网络中相应的目标侧网络节点会会根据所述目标密钥执行不 同的操作, 因此, 所述 S12 中所述网络交换节点接收目标侧网络节点发送的切 换响应消息包括不同类型的切换信息。
具体的, 当所述目标侧网络节点为 SGSN时, 所述接收目标侧网络节点发 送的切换响应消息包括:
接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器由目标侧 接入网节点生成并发送给所述 SGSN , 所述透明容器中包括所述随机值 NONCEMSC, 所述目标侧接入网节点将所述随机值 NONCEMSC封装在所述透明 容器中, 所述 NONCEMSC为所述 SGSN发送给目标侧接入网节点的。
当所述目标侧网络节点为移动管理实体 MME时,所述接收目标侧网络节点 发送的切换响应消息包括:
接收 MME发送的携带透明容器的切换响应消息,所述透明容器由目标侧接 入网节点生成并发送给所述 MME 的, 所述透明容器中包括所述随机值 NONCEMSC, 所述目标侧接入网节点将所述随机值 NONCEMSC封装在透明容器 中, 所述 NONCEMSC由 MME发送给所述目标侧接入网节点的; 或者接收 MME 发送的携带透明容器的切换响应消息, 所述透明容器由目标侧接入网节点生成 并发送给所述 MME , 所述透明容器中包括所述随机值 NONCEMSC和随机值 NONCEMME , 所述目标侧接入网节点将所述随机值 NONCEMSC和随机值 NONCEMME封装在透明容器中, 所述 NONCEMSC由 MME发送给所述目标侧接 入网节点的, 所述 NONCEMME由 MME在接收到安全信息后生成并发送给所述 目标侧接入网节点的;或者接收 MME发送的携带透明容器的切换响应消息,所 述透明容器由目标侧接入网节点生成并发送给所述 MME的,所述透明容器中包 括随机值 NONCEMME,所述目标侧接入网节点将所述随机值 NONCEMME封装在 透明容器中, 所述 NONCEMME由 MME在接收到安全信息后生成并发送给所述 目标侧接入网节点。
进一步的, 在本实施例的所述 S11 中, 所述网络交换节点生成目标密钥发 送给目标侧网络节点, 还可以将随机值 NONCEMSC和所述网络交换节点的本地 密钥也发送给所述目标侧网络节点后, 不同目标侧网络中相应的目标侧网络节 点会会根据所述目标密钥执行不同的操作, 因此, 所述 S12 中所述网络交换节 点接收目标侧网络节点发送的切换响应消息包括不同类型的切换信息。
具体的, 当所述目标侧网络节点为 SGSN时, 所述接收目标侧网络节点发 送的切换响应消息包括:
接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器中包括所 述目标侧网络节点封装的所述随机值 NONCEMSC, 所述随机值 NONCEMSC是所 述 SGSN发送给所述目标侧网络节点的;
当所述目标侧网络节点为 MME时,所述接收目标侧网络节点发送的切换响 应消息包括:
接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME 的, 所述透明容器中包括所述随机值 NONCEMSC, 所述目标侧接入网节点将所述随机值 NONCEMSC封装在透明容器 中, 所述 NONCEMSC为所述 MME发送给所述目标侧接入网节点的。
或者为另外一种情况, 即:
当所述目标侧网络节点为 SGSN时, 所述接收目标侧网络节点发送的切换 响应消息包括:
接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为目标侧 接入网节点生成并发送给所述 SGSN ,所述透明容器中包括随机值 NONCESGSN , 所述目标侧接入网节点将所述随机值 NONCESCiSN封装在所述透明容器中, 所述 随机值 NONCESQSN是由所述 SGSN在接收到安全信息后生成并发送给所述目标 侧网络节点的;
当所述目标侧网络节点为 MME时,所述接收目标侧网络节点发送的切换响 应消息包括:
接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME,所述透明容器中包括随机值 NONCEMME,所 述目标侧接入网节点将所述随机值 NONCEMME封装在透明容器中, 所述随机值 NONCEMME是由所述 MME在接收到安全信息后生成并发送给所述目标侧网络 节点的。
在上述情况下, 即网络交换节点不仅发送了目标密钥, 还发送其获取的随 机值 NONCEMSC的情况下, 所述 S13中所述网络交换节点向所述移动终端发送 切换命令包括:
所述网络交换节点将透明容器携带在切换命令中发送给所述移动终端; 或 所述网络交换节点通过源侧接入网节点将透明容器发送给所述移动终端。 即相 应的随机值 NONCEMSC或 NONCESGSN或 NONCEMME已经封装透明容器中返回 给本网络交换节点, 网络交换节点直接向移动终端转发相应的透明容器即可。
本实施例中, 网络交换节点并不需要知道移动终端切换的目标侧网络的类 型, 仅根据本端生成或者获取的随机值以及本端存储的密钥标识计算目标密钥, 并发送包括目标密钥的安全信息给目标侧网络节点, 目标侧网络根据所述安全 信息完成相应的安全处理和资源侧分配等操作。 本发明实施例并不需要对现有 的 MSC server等网络交换节点进行改进, 便可完成移动终端从 3G网络切换至 未来的 HSPA网络或者 LTE网络中的安全处理。
请参见图 2,是本发明的另一种网络切换过程中的安全处理方法的实施例流 程示意图, 本实施例的所述方法包括:
S21 : 目标侧网络节点接收网络交换节点发送的包括目标密钥的安全信息, 所述目标密钥为所述网络交换节点接收到切换请求后生成的;
具体的, 所述网络交换节点生成目标密钥的步骤可以包括: 所述网络交换 节点在接收到源侧网络控制节点的切换请求后, 获取随机值 NONCEMSC; 所述 网络交换节点根据所述随机值 NONCEMSC和所述网络交换节点的本地密钥, 生 成目标密钥, 其中, 所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥, 所述目标密钥包括目标加密密钥和 /或目标完整性保护密钥。
S22: 所述目标侧网络节点向所述网络交换节点发送切换响应消息, 以使得 所述网络交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
具体的, 在本实施例的所述 S22 中, 不同目标侧网络的目标侧网络节点会 执行不同的操作, 若所述目标侧网络节点接收到的安全信息中仅包括目标密钥, 当所述目标侧网络节点为 SGSN时, 所述所述目标侧网络节点向所述网络交换 节点发送切换响应消息包括:
所述 SGSN将所述目标密钥发送给目标侧接入网节点, 以使得所述目标侧 接入网节点在接收到目标密钥后, 生成透明容器, 并使得所述目标侧接入网节 点后续根据所述目标密钥对切换至本目标侧网络的移动终端进行安全通信处 理;
所述 SGSN接收所述目标侧接入网节点发送的所述透明容器;
所述 SGSN将所述透明容器携带在切换响应消息中发送给网络交换节点。 当所述目标侧网络节点为移动管理实体 MME时,所述所述目标侧网络节点 向所述网络交换节点发送切换响应消息包括:
所述 MME 根据所述安全信息中的目标密钥生成中间密钥, 以便于所述
MME后续根据所述中间密钥对切换至本目标侧网络的移动终端进行安全通信 处理;
所述 MME接收透明容器,所述透明容器为目标侧接入网节点生成并发送给 所述 MME的;
所述 MME将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。
或者包括:
所述 MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME和所述 目标密钥生成中间密钥,以便于所述 MME后续根据所述中间密钥对切换至本目 标侧网络的移动终端进行安全通信处理;
所述 MME将所述随机值 NONCEMME发送给目标侧接入网节点, 以使得所 述目标侧接入网节点将所述随机值 NONCEMME封装在所述透明容器中;
所述 MME接收所述目标侧接入网节点发送的所述透明容器,所述透明容器 中封装了所述随机值 NONCEMME;
所述 MME将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。
进一步的, 在本实施例的所述 S22 中, 不同目标侧网络的目标侧网络节点 会执行不同的操作, 若所述目标侧网络节点接收到的安全信息中不仅包括目标 密钥, 还包括所述网络交换节点获取的随机值 NONCEMSC时, 所述所述目标侧 网络节点向所述网络交换节点发送切换响应消息包括:
SGSN将所述目标密钥和所述随机值 NONCEMSc发送给目标侧接入网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCEMSc的透明容器, 并使得所述目标侧接入网节点后续根据所述目标密钥对切换至本目标侧网络的 移动终端进行安全通信处理;
所述 SGSN接收所述目标侧接入网节点发送的所述透明容器;
所述 SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。
当所述目标侧网络节点为 MME时 ,所述目标侧网络节点向所述网络交换节 点发送切换响应消息包括:
所述 MME 根据所述安全信息中的目标密钥生成中间密钥, 以便于所述 MME后续根据所述中间密钥对切换至本目标侧网络的移动终端进行安全通信 处理, 或者根据所述安全信息中的目标密钥和随机值 NONCEMSC, 生成中间密 钥,以便于所述 MME后续根据所述中间密钥对切换至本目标侧网络的移动终端 进行安全通信处理;
所述 MME将所述随机值 NONCEMSc发送给目标侧接入网节点, 以使得所 述目标侧接入网节点生成封装了所述随机值 NONCEMSc的透明容器;
所述 MME接收所述目标侧接入网节点发送的所述透明容器;
所述 MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点。
或者包括:
所述 MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME和所述 安全信息中的目标密钥生成中间密钥,以便于所述 MME后续根据所述中间密钥 对切换至本目标侧网络的移动终端进行安全通信处理;
所述 MME将所述随机值 NONCEMME和 /或随机值 NONCEMSC发送给目标侧 接入网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCEMME 和 /或随机值 NONCEMSc的透明容器发送给所述 MME;
接收所述目标侧接入网节点发送的所述透明容器;
所述 MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点。
进一步的, 在本实施例的所述 S22 中, 不同目标侧网络的目标侧网络节点 会执行不同的操作, 若所述目标侧网络节点接收到的安全信息中不仅包括目标 密钥, 还包括所述网络交换节点获取的随机值 NONCEMSC和所述网络交换节点 的本地密钥时, 当所述目标侧网络节点为 SGSN时, 所述目标侧网络节点向所 述网络交换节点发送切换响应消息包括:
所述 SGSN将所述目标密钥以及所述随机值 NONCEMSC发送给目标侧接入 网节点, 以使得所述目标侧接入网节点将所述随机值 NONCEMSC封装在透明容 器中, 并使得所述目标侧接入网节点后续根据所述目标密钥对切换至本目标侧 网络的移动终端进行安全通信处理;
所述 SGSN接收所述目标侧接入网节点发送的透明容器;
所述 SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换节 点;
或者包括:
SGSN生成随机值 NONCESGSN,并根据所述随机值 NONCESGSN和本地密钥 生成新目标密钥, 并将所述新目标密钥和随机值 NONCESCiSN发送给目标侧接入 网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCESCiSN的透 明容器, 并使得所述目标侧接入网节点后续根据所述目标密钥对切换至本目标 侧网络的移动终端进行安全通信处理;
所述 SGSN接收所述目标侧接入网节点发送的封装所述随机值 NONCESGSN 的透明容器的给所述 SGSN;
所述 SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。
当所述目标侧网络节点为 MME时,所述目标侧网络节点发送切换响应消息 包括:
MME根据所述目标密钥生成中间密钥, 以便于所述 MME后续根据所述中 间密钥对切换至本目标侧网络的移动终端进行安全通信处理, 或者根据所述目 标密钥和随机值 NONCEMSc生成中间密钥, 以便于所述 MME后续根据所述中 间密钥对切换至本目标侧网络的移动终端进行安全通信处理;
所述 MME将所述随机值 NONCEMSc发送给目标侧接入网节点, 以使得所 述目标侧接入网节点生成封装了所述随机值 NONCEMSc的透明容器;
所述 MME接收所述目标侧接入网节点发送的封装 NONCEMSC的透明容器; 所述 MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点;
或者包括:
MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME和所述本地 密钥生成中间密钥,以便于所述 MME后续根据所述中间密钥对切换至本目标侧 网络的移动终端进行安全通信处理;
所述 MME将所述随机值 NONCEMME发送给目标侧接入网节点, 以使得所 述目标侧接入网节点生成封装了所述随机值 NONCEMME的透明容器;
所述 MME接收所述目标侧接入网节点发送的封装 NONCEMSC的透明容器; 所述 MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点。
本实施例中, 网络交换节点并不需要知道移动终端切换的目标侧网络的类 型, 仅根据本端生成或者获取的随机值以及本端存储的密钥标识计算目标密钥, 并发送包括目标密钥的安全信息给目标侧网络节点, 目标侧网络根据所述安全 信息完成相应的安全处理和资源侧分配等操作。 本发明实施例并不需要对现有 的 MSC server等网络交换节点进行改进, 便可完成移动终端从 3G网络切换至 未来的 HSPA网络或者 LTE网络中的安全处理。
再请参见图 3 ,是本发明的另一种网络切换过程中的安全处理方法的实施例 流程示意图, 本实施例的所述方法包括:
S31: 网络交换节点在接收到切换请求后, 向目标侧网络节点发送包括网络 交换节点的本地密钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完 整性保护密钥;
具体的, 所述网络交换节点可以为 MSC server, 下面以 MSC server为网络 交换节点对本实施的所述方法进行说明, 其他类型的网络交换节点作相同处理, 所述发生网络切换的移动终端可以通过与其连接的源侧接入网节点 RNC ( Radio Network Controller, 无线网络控制器) 向所述 MSC server发送切换请求。
所述 MSC server接收到切换请求后, 向指定的目标侧网络节点发送包括本 地密钥的安全信息, 所述本地密钥包括本地加密密钥 C W或本地完整性保护 密钥 IKCS。所述目标侧网络节点包括 HSPA网络中的 SGSN,或者包括 LTE网络 中的 MME。
S32: 所述网络交换节点接收目标侧网络节点发送的切换响应消息; 所述目标侧网络节点在接收到所述包括目标密钥的安全信息后, 进行资源 侧分配以及通知后, 向所述网络交换节点返回切换响应消息。
S33: 所述网络交换节点向移动终端发送切换命令, 以使所述移动终端接入 目标侧网络。
网络交换节点在接收到所述切换响应消息后, 可以通过所述源侧 RNC向所 述移动终端发送切换命令, 所述移动终端根据切换命令正确接入到目标侧网络, 并安全可靠地进行通信。
同样, 在本实施例中, 所述网络交换节点在接收到关于移动终端发生网络 切换的切换请求后, 直接将所述网络交换节点的本地密钥发送给目标侧网络的 网络节点, 不同目标网络的网络节点在接收到所述本地密钥后, 执行不同的操 作, 所述 S32 的步骤中接收的切换响应消息也不相同, 具体的, 当所述目标侧 网络节点为 SGSN时, 所述接收目标侧网络节点发送的切换响应消息包括: 接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为目标侧 接入网节点在接收到所述 SGSN发送的目标密钥后生成并发送给所述 SGSN的, 所述透明容器中包括随机值 NONCESGSN, 所述目标侧接入网节点将所述随机值 NONCESGSN封装在透明容器中,所述随机值 NONCESGSN由所述 SGSN在接收到 安全信息时生成并发送给所述目标侧接入网节点, 所述目标密钥为所述 SGSN 根据所述随机值 NONCESGSN和所述安全信息中的本地密钥生成的, 用于使得所 述目标侧接入网节点后续根据所述目标密钥对切换至本目标侧网络的移动终端 进行安全通信处理。
当所述目标侧网络节点为 MME时,所述接收目标侧网络节点发送的切换响 应消息包括:
接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME的, 所述透明容器中包括随机值 NONCEMME, 所述目标侧接入网节点将所述随机值 NONCEMM封装在透明容器中, 所述随机 值 NONCEMME由所述 MME在接收到安全信息时生成并发送给所述目标侧接入 网节点的, 所述 MME还根据所述随机值 NONCEMME和所述安全信息中的本地 密钥生成中间密钥,以便于所述 MME后续根据所述中间密钥对切换至本目标侧 网络的移动终端进行安全通信处理。
所述 S33 中向所述需要发生切换的移动终端发送切换命令的步骤则具体可 以包括: 网络交换节点将相应的目标侧网络节点返回的透明容器携带在切换命 令中发送给所述移动终端; 或通过源侧接入网节点将相应的目标侧网络节点返 回的透明容器发送给所述移动终端。
本实施例中, 网络交换节点并不需要知道移动终端切换的目标侧网络的类 型, 仅根据本端生成或者获取的随机值以及本端存储的密钥标识计算目标密钥, 并发送包括目标密钥的安全信息给目标侧网络节点, 目标侧网络根据所述安全 信息完成相应的安全处理和资源侧分配等操作。 本发明实施例并不需要对现有 的 MSC server等网络交换节点进行改进, 便可完成移动终端从 3G网络切换至 未来的 HSPA网络或者 LTE网络中的安全处理。
再请参见图 4,是本发明的另一种网络切换过程中的安全处理方法的实施例 流程示意图, 在本发明实施例中, 所述方法包括:
S41 : 目标侧网络节点接收网络交换节点发送的包括所述网络交换节点的本 地密钥的安全信息,所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥; 其中, 网络交换节点生成目标密钥的步骤具体可以包括: 所述网络交换节 点在接收到源侧网络控制节点的切换请求后, 获取随机值 NONCEMSC; 所述网 络交换节点根据所述随机值 NONCEMSC和所述网络交换节点的本地密钥, 生成 目标密钥, 其中, 所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥, 所述目标密钥包括目标加密密钥和 /或目标完整性保护密钥。
S42: 所述目标侧网络节点向所述网络交换节点发送切换响应消息, 以使得 所述网络交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
同样, 所述 S42 中, 在不同目标网络中的目标侧网络节点, 具体执行不同 的操作, 具体的, 当所述目标侧网络节点为 SGSN时, 所述目标侧网络节点发 送切换响应消息包括:
所述 SGSN生成随机值 NONCESGSN,根据所述随机值 NONCESGSN和所述安 全信息中得本地密钥生成目标密钥, 并将所述目标密钥发送给目标侧接入网节 点, 使得所述目标侧接入网节点后续根据所述目标密钥对切换至本目标侧网络 的移动终端进行安全通信处理;
所述 SGSN接收所述目标侧接入网节点生成的封装了随机值 NONCESCiSi^ 透明容器;
所述 SGSN将所述封装了随机值 NONCESGSN的透明容器携带在切换响应消 息中发送给所述网络交换节点。
当所述目标侧网络节点为 MME时,所述目标侧网络节点发送切换响应消息 包括:
所述 MME生成随机值 NONCEMME, 根据所述随机值 NONCEMME和所述安 全信息中的本地密钥生成中间密钥, 并将所述随机值 NONCEMME发送给目标侧 接入网节点;
所述 MME接收所述目标侧接入网节点生成封装了所述随机值 NONCEMME 的透明容器;
所述 MME将所述封装了所述随机值 NONCEMME的透明容器携带在切换响 应命令中发送给所述网络交换节点。
本实施例中, 网络交换节点并不需要知道移动终端切换的目标侧网络的类 型, 仅根据本端生成或者获取的随机值以及本端存储的密钥标识计算目标密钥, 并发送包括目标密钥的安全信息给目标侧网络节点, 目标侧网络根据所述安全 信息完成相应的安全处理和资源侧分配等操作。 本发明实施例并不需要对现有 的 MSC server等网络交换节点进行改进, 便可完成移动终端从 3G网络切换至 未来的 HSPA网络或者 LTE网络中的安全处理。
再请参见图 5,是本发明的另一种网络切换过程中的安全处理方法的实施例 流程示意图, 本实施例详细介绍在发生切换的移动终端侧进行的网络切换过程 中的安全处理方法, 在本发明实施例中, 所述方法包括:
S51 : 移动终端接收网络交换节点发送的切换命令, 所述切换命令为所述网 络交换节点根据目标侧网络节点发送的切换响应消息生成的;
所述 S51 中, 网络交换节点生成并发送切换命令可以包括: 网络交换节点 接收到切换请求后, 生成目标密钥;
所述网络交换节点向目标侧网络节点发送包括所述目标密钥的安全信息, 并接收目标侧网络节点发送的切换响应消息, 所述切换响应消息是所述目标侧 网络节点是根据所述安全信息生成并发送的;
所述网络交换节点向移动终端发送切换命令, 以使所述移动终端接入目标 侧网络。
其中具体的, 所述 S51 中网络交换节点向所述移动终端发送切换命令的具 体步骤可以根据上述图 1和图 3对应的实施例中相应的步骤。
S52: 所述移动终端根据所述切换命令中携带的随机值和所述移动终端的本 地密钥, 生成安全密钥;
其中, 所述安全密钥具体可以包括用于所述移动终端接入到目标侧网络后 进行安全通信处理的包括目标密钥目标加密密钥和 /或目标完整性保护密钥, 或 中间密钥, 所述移动终端根据所述切换命令中携带的随机值和所述移动终端的 本地密钥生成安全密钥所采用的推演计算公式与所述网络交换节点、 或者目标 侧网络节点中推演相应的目标密钥或中间密钥相同。
S53: 所述移动终端根据所述切换命令和所述安全密钥, 接入目标侧网络。 另外, 所述 S52具体可以以下二种方式实现: 所述本地密钥包括: 本地加 密密钥 CKe 或本地完整性保护密钥 IKCS
方式一: 根据切换命令中携带的随机值, 以及所述本地加密密钥和 /或本地 完整性保护密钥, 生成目标密钥作为接入 HSPA 网络的安全密钥; 所述目标密 钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
或者方式二:
根据切换命令中携带的随机值, 所述本地加密密钥和 /或本地完整性保护密 钥, 以及预置的推演算法, 生成中间密钥作为接入 LTE网络的安全密钥。
或者方式三:
根据切换命令中携带的随机值, 所述本地加密密钥和 /或本地完整性保护密 钥, 以及预置的推演算法, 生成目标密钥; 根据目标密钥和切换命令中携带的 随机值生成中间密钥作为接入 LTE网络的安全密钥。
在方式二中,移动终端计算相应中间密钥 K'asme推演过程与上述各实施例中 提到的 MME的推演过程相同, 以便于在移动终端需要接入 LTE网络时能够正 常进行安全通信。
移动终端具体可以根据切换命令中表示的目标侧网络的类型来进行安全密 钥计算方式的选择, 在切换命令表示需要切换到 HSPA 网络时, 则使用方式一 生成安全密钥; 在切换命令表示需要切换到 LTE网络时, 则使用方式二和三。
本发明实施例可在不改变目前网络中使用的网络交换节点的情况下, 较好 地完成移动终端从 3G网络切换到 HSPA网络或者 LTE网络中的安全处理, 节 约了成本。
下面对上述图 1和图 2对应的实施例中, 移动终端切换到 HSPA网络或者 LTE网络时的网络切换过程中的安全处理方法的处理过程进行详细描述。
当移动终端 UE由 3G网络切换到 HSPA网络时, 所述安全处理方法具体可 以包括:
S101 : MSC server在接收到源侧网络控制节点的切换请求时, 获取随机值 NONCEMSC; 所述随机值 NONCEMSC可由所述 MSC server随机生成。
S102: MSC server根据所述随机值 NONCEMSC, 并根据本地密钥, 生成目 标密钥,其中,本地密钥包括本地加密密钥 C^^ 或本地完整性保护密钥 IKCS, 目标密钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
S103: MSC server向目标侧网络节点发送包括所述目标密钥的安全信息。 HSPA网络中目标侧网络节点包括 SGSN。
S104: SGSN将所述目标密钥发送给目标侧接入网节点, 在 HSPA网络中, 所述目标侧接入网节点包括目标 RNC。 S105: 目标 RNC将所述目标密钥中包括的目标加密密钥 CKps和目标完整 性保护密钥 IKps作为本地的对所述移动终端的加密密钥和安全性保护密钥。 并 生成透明容器发送给所述 SGSN。
S106: SGSN将所述透明容器携带在切换响应消息中发送给网络交换节点。
S107: MSC server将所述随机值 NONCEMSC写入所述透明容器中, 并将写 入了随机值 NONCEMSc的透明容器携带在切换命令中通过源侧 RNC发送给所述 移动终端,或将所述 NONCEMSC直接携带在切换命令中通过源侧 RNC发送给所 述移动终端, 并不写入到所述透明容器中。
当然, 所述 S107也可以为: 将所述随机值 NONCEMSC、 所述透明容器发送 给源侧接入网节点, 所述源侧接入网节点将所述随机值 NONCEMSc写入所述透 明容器中, 并携带在切换命令中发送给所述移动终端, 或将所述 NONCEMSC携 带在切换命令中发送给所述移动终端。
所述 S101和 S102为上述的 S11 , 所述 S104到 S106为目标侧网络节点根 据所述安全信息发送切换响应消息其中一种具体步骤,所述 S107为上述的 S13。 移动终端 UE的操作包括以下步骤:
S108: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后, 根据透明容器中的 NONCEMSC和最新的 (latest )本地密钥 (本地加密密钥 ( ^8和本地完整性保护密钥 IK^ ),按照与 MSC server同样的算法生成目标密钥 (目标加密密钥 CKps和目标完整性保护密钥 IKps ) , 并采用所述目标加密密钥 CKps和目标完整性保护密钥 IK ps进行安全通信操作。
当移动终端 UE由 3G网络切换到 HSPA网络时, 安全处理方法具体还可以 包括:
Sill : MSC server在接收到源侧网络控制节点的切换请求时, 获取随机值 NONCEMSC; 所述随机值 NONCEMSC可由所述 MSC server随机生成。
S112: MSC server根据所述随机值 NONCEMSC, 并根据本地密钥, 生成目 标密钥,其中,本地密钥包括本地加密密钥 C^^ 或本地完整性保护密钥 IKCS, 目标密钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
S113 : MSC server 向目标侧网络节点发送包括所述目标密钥、 随机值 NONCEMSC的安全信息。 HSPA网络中目标侧网络节点包括 SGSN。
S114: SGSN将所述目标密钥和所述随机值 NONCEMSC发送给目标侧接入 网节点; 在 HSPA网络中, 所述目标侧接入网节点包括目标 RNC。
S 115:目标 RNC将随机值 NONCEMSc封装在透明容器中发送给所述 SGSN;
S116: SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。 SGSN将封装了随机值 NONCEMSc的透明容器发送给所述 MSC server。
S117: MSC server将所述透明容器携带在切换命令中发送给所述移动终端。 即 MSC server将了封装随机值 NONCEMSC的透明容器通过源侧 RNC发送给 UE。
所述 S111和 S112为上述的 S11 ,所述 S114到 S116为目标侧网络节点才艮据 所述安全信息发送切换响应消息其中一种具体步骤, 所述 S117为上述的 S13。 移动终端 UE的操作包括以下步骤:
S118: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后, 根据透明容器中的 NONCEMSC和最新的本地密钥(本地加密密钥 CK^和本 地完整性保护密钥 IK^ ), 按照与 MSC server同样的算法生成目标密钥(目标加 密密钥 CKp 目标完整性保护密钥 IKps ),并采用所述目标加密密钥 CKps和目 标完整性保护密钥 IKps进行安全通信操作。
当移动终端 UE由 3G网络切换到 HSPA网络时, 安全处理方法具体还可以 包括:
S121 : MSC server在接收到源侧网络控制节点的切换请求时, 获取随机值 NONCEMSC; 所述随机值 NONCEMSC可由所述 MSC server随机生成。
S122: MSC server根据所述随机值 NONCEMSC, 并根据本地密钥, 生成目 标密钥,其中,本地密钥包括本地加密密钥 C^^ 或本地完整性保护密钥 IKCS, 目标密钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
S123: MSC server向目标侧网络节点发送包括所述本地密钥、 目标密钥、 随机值 NONCEMSC的安全信息。 HSPA网络中目标侧网络节点包括 SGSN。
S124 : SGSN 保存所述目标密钥, 并将所述目标密钥以及所述随机值 NONCEMSc发送给目标侧接入网节点; 在 HSPA 网络中, 所述目标侧接入网节 点包括目标 RNC。 SGSN可直接删除所述本地密钥。
S125: 目标 RNC将所述随机值 NONCEMSC封装在透明容器中发送给所述 SGSN;
S126: SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换节 点; 即向 MSC server发送封装了所述随机值 NONCEMSC的透明容器。 在其他实施例中, 可采用如下的 S124'到 S126'依次代替 S124到 S126。 S124' : SGSN生成随机值 NONCESGSN, 并根据所述随机值 NONCESGSN和 本地密钥生成目标密钥, 并将所述目标密钥以及随机值 NONCESC}SN发送给目标 侧接入网节点; SGSN可直接删除目标密钥和所述随机值 NONCEMSC
S125': 所述目标侧 RNC将所述随机值 NONCESGSN封装在透明容器中发送 给所述 SGSN;
S126' : SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换 节点。 即向 MSC server发送封装了所述随机值 NONCESCiSN的透明容器。
S127: MSC server将所述透明容器携带在切换命令中发送给所述移动终端。 即 MSC server将封装了随机值 NONCEMSC的透明容器, 或者封装了随机值 NONCESGSN的透明容器发送给 UE, 同样可通过源侧 RNC发送给 UE。
所述 S121和 S122为上述的 S11 , 所述 S124到 S126为目标侧网络节点根 据所述安全信息发送切换响应消息其中一种具体步骤,所述 S127为上述的 S13。 移动终端 UE的操作包括以下步骤:
S128: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后, 根据透明容器中的 NONCEMSC和最新的本地密钥(本地加密密钥 CK^和本 地完整性保护密钥 IK^ ), 按照与 MSC server同样的算法生成目标密钥(目标加 密密钥 CKp p目标完整性保护密钥 IKps ), 根据透明容器发起会话转移流程以 接入到 HSPA网络,并采用所述目标加密密钥 CKp p目标完整性保护密钥 IKps 进行安全通信操作。
或者对应于上述的 S124'到 S126' , 具体包括: 根据透明容器中的随机值 NONCESCiSN和最新的本地密钥 (本地加密密钥 CKes和本地完整性保护密钥 按照与 MSC server同样的算法生成目标密钥 (目标加密密钥 CKps和目 标完整性保护密钥 IKps ),根据透明容器发起会话转移流程以接入到 HSPA网络, 并采用所述目标加密密钥 CKp p目标完整性保护密钥 IKps进行安全通信操作。
当移动终端 UE由 3G网络切换到 LTE网络时,所述安全处理方法具体包括:
S201 : MSC server在接收到源侧网络控制节点的切换请求时, 获取随机值 NONCEMSC; 所述随机值 NONCEMSC可由所述 MSC server随机生成。
S202: MSC server根据所述随机值 NONCEMSC, 并根据本地密钥, 生成目 标密钥,其中,本地密钥包括本地加密密钥 C^^ 或本地完整性保护密钥 IKCS, 目标密钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
S203: MSC server向目标侧网络节点发送包括所述目标密钥的安全信息。 LTE网络中目标侧网络节点包括 MME。
S204: MME根据所述安全信息中的目标密钥生成中间密钥; 具体生成中间 密钥的推演算法可以为: K'asme=CKps II IK ps
S205: MME发送命令通知目标侧接入网节点所述移动终端需要切换到本网 络; 在 LTE网络中, 目标侧接入网节点包括宏基站 eNB。 MME会将一个 NAS ( Non-Access-Stratum, 非接入层 )透明容器发送给 eNB。
S206: eNB生成透明容器发送给所述 MME。 具体的, eNB可以生成包括所 述 NAS透明容器的透明容器发送给 MME。
S207: MME将所述透明容器携带在切换响应消息中发送给所述网络交换节 点 MSC server。
S208: MSC server将所述随机值 NONCEMSC写入所述透明容器中, 并将写 入了随机值 NONCEMSC的透明容器携带在切换命令中发送给所述移动终端。 可 以将写入了随机值 NONCEMSc的透明容器通过源侧 RNC发送给所述移动终端。 或将所述 NONCEMSC携带在切换命令中发送给所述移动终端。
当然, 所述 S208也可以为: 将所述随机值 NONCEMSC、 所述透明容器发送 给源侧接入网节点, 所述源侧接入网节点将所述随机值 NONCEMSc写入所述透 明容器中, 并携带在切换命令中发送给所述移动终端, 或将所述 NONCEMSC携 带在切换命令中发送给所述移动终端。
所述 S201和 S202为上述的 S11 , 所述 S204到 S207为目标侧网络节点根 据所述安全信息发送切换响应消息的其中一种具体步骤, 所述 S208 为上述的 S13。 移动终端 UE的操作包括以下步骤:
S209: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后, 根据透明容器中的 NONCEMSC和最新的的本地密钥(本地加密密钥 0^和 本地完整性保护密钥 IK^ ), 按照与 MSC server同样的算法生成目标密钥(目标 加密密钥 CKp p目标完整性保护密钥 IKps ), 进而生成中间密钥 K'asme=CKps II IKps, 并采用所述中间密钥进行安全通信操作。
当移动终端 UE由 3G网络切换到 LTE网络时,所述的安全处理方法具体还 可以包括: S211 : MSC server在接收到源侧网络控制节点的切换请求时, 获取随机值 NONCEMSC; 所述随机值 NONCEMSC可由所述 MSC server随机生成。
S212: MSC server根据所述随机值 NONCEMSC, 并根据本地密钥, 生成目 标密钥,其中,本地密钥包括本地加密密钥 C^^ 或本地完整性保护密钥 IKCS, 目标密钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
S213: MSC server向目标侧网络节点发送包括所述目标密钥的安全信息。 LTE网络中目标侧网络节点包括 MME。
S214: MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME、 所 述目标密钥生成中间密钥; 其中, MME生成中间密钥的推演算法具体可以为: K asme=KDF ( CKps , IKps , NONCE匪 E )。
S215: MME将所述随机值 NONCEMME发送给目标侧接入网节点 eNB; 具 体的,所述 MME可以将所述随机值 NONCEMME封装在 NAS透明容器中发送给 eNB。
S216: eNB将所述随机值 NONCEMME封装在透明容器中发送给所述 MME; 具体的, eNB可以生成包括所述 NAS透明容器的透明容器发送给 MME。
S217: MME将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。 即将所述封装了随机值 NONCEMME的透明容器发送给 MSC server。
S218: MSC server将所述随机值 NONCEMSC写入所述透明容器中, 并将写 入了随机值 NONCEMSc的透明容器携带在切换命令中发送给所述移动终端。 即 该透明容器中封装了随机值 NONCEMME和随机值 NONCEMSC。 或直接将所述 NONCEMSc携带在切换命令中发送给所述移动终端。
当然, 所述 S218也可以为将所述随机值 NONCEMSC、 所述透明容器发送给 源侧接入网节点, 由所述源侧接入网节点将所述随机值 NONCEMSc写入所述透 明容器中, 并携带在切换命令中发送给所述移动终端, 或将所述 NONCEMSC携 带在切换命令中发送给所述移动终端。
所述 S211和 S212为上述的 S11 , 所述 S214到 S217为目标侧网络节点根 据所述安全信息发送切换响应消息的其中一种具体步骤, 所述 S218 为上述的 S13。 移动终端 UE的操作包括以下步骤:
S219: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后, 根据透明容器中的 NONCEMSC和最新的本地密钥即本地加密密钥 CK^和本 地完整性保护密钥 IKes, 按照与 MSC server同样的算法生成目标密钥安全密钥 标识包括目标加密密钥 CKp 目标完整性保护密钥 IKps。然后根据透明容器中 的随机值 NONCEMME按照与 MME同样的推演算法推演得到中间密钥 K'ASME
当移动终端 UE由 3G网络切换到 LTE网络时,所述的安全处理方法具体还 可以包括:
S221 : MSC server在接收到源侧网络控制节点的切换请求时, 获取随机值 NONCEMSC; 所述随机值 NONCEMSC可由所述 MSC server随机生成。
S222: MSC server根据所述随机值 NONCEMSC, 并根据本地密钥, 生成目 标密钥,其中,本地密钥包括本地加密密钥 C^^ 或本地完整性保护密钥 IKCS, 目标密钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
S223 : MSC server 向目标侧网络节点发送包括所述目标密钥、 随机值 NONCEMSc的安全信息。 LTE网络中目标侧网络节点包括 MME。
S224: MME根据所述安全信息中的目标密钥生成中间密钥, 具体包括: K'asme=CKps (I IK ps。 或者根据所述安全信息中的目标密钥和随机值 NONCEMSc, 生成中间密钥; 具体包括: K'asme=KDF ( CKps , IKps , NONCEMSC )。
S225: MME将随机值 NONCEMSc发送给目标侧接入网节点; LTE网络中, 目标侧接入网节点包括目标 eNB。 具体的, 所述 MME 可以将所述随机值 NONCEMSC封装在 NAS透明容器中发送给 eNB。
S226: 目标 eNB将随机值 NONCEMSC封装在透明容器发送给所述 MME; 具体的, eNB可以生成包括所述 NAS透明容器的透明容器发送给 MME。
S227: MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点。 即 MME向所述 MSC server发送封装了随机值 NONCEMSC的透明容器。
S228: MSC server将封装了随机值 NONCEMSC的透明容器携带在切换命令 中发送给所述移动终端。
即发送给 UE的透明容器封装了随机值 NONCEMSC。 同样,可以将所述封装 了随机值 NONCEMSC透明容器通过源侧 RNC发送给所述 UE。
所述 S221和 S222为上述的 S11 , 所述 S224到 S227为目标侧网络节点根 据所述安全信息发送切换响应消息的其中一种具体步骤, 所述 S228 为上述的 S13。 移动终端 UE的操作包括以下步骤:
S229: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后, 根据透明容器中的 NONCEMSC和最新的本地密钥(本地加密密钥 CK^和本 地完整性保护密钥 IK^ ), 按照与 MSC server同样的算法生成目标密钥(目标加 密密钥 0^8和目标完整性保护密钥 IKps ), 并根据与 MME 同样的推演公式 K'asme=CKps || IKps或者 K'asme=KDF ( CKps , IK ps , NONCEMSC )得到中间密钥
K asme。
当移动终端 UE由 3G网络切换到 LTE网络时,所述的安全处理方法具体还 可以包括:
S231 : MSC server在接收到源侧网络控制节点的切换请求时, 获取随机值 NONCEMSC; 所述随机值 NONCEMSc可由所述 MSC server随机生成。
S232: MSC server根据所述随机值 NONCEMSC, 并根据本地密钥, 生成目 标密钥,其中,本地密钥包括本地加密密钥 C^^ 或本地完整性保护密钥 IKCS, 目标密钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
S233 : MSC server 向目标侧网络节点发送包括所述目标密钥、 随机值 NONCEMSc的安全信息。 LTE网络中目标侧网络节点包括 MME。
S234: MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME、 所 述安全信息中的目标密钥生成中间密钥; MME生成中间密钥的具体公式包括: K asme=KDF ( CK pS , IK pS ' NONCE E
S235: MME将所述随机值 NONCEMSC、 随机值 NONCEMME发送给目标侧 接入网节点; LTE网络中, 目标侧接入网节点包括目标 eNB。具体的,所述 MME 可以将所述随机值 NONCEMSC、 随机值 NONCEMME封装在 NAS透明容器中发 送给 eNB。
S236: 目标 eNB将随机值 NONCEMSC和随机值 NONCEMME封装在所述透 明容器中发送给所述 MME; 具体的, eNB可以生成包括所述 NAS透明容器的 透明容器发送给 MME。
S237: MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点。 即 MME 向所述 MSC server 发送封装了随机值 NONCEMSC和随机值 NONCEMME的透明容器。
S238: MSC server将封装了随机值 NONCEMSC和随机值 NONCEMME的透明 容器携带在切换命令中发送给所述移动终端。即发送给 UE的透明容器封装了随 机值 NONCEMSC和随机值 NONCEMME。 同样, 可以将所述封装了随机值 NONCEMSc和随机值 NONCEMME的透明容器通过源侧 RNC发送给所述 UE。 所述 S231和 S232为上述的 S11 , 所述 S234到 S237为目标侧网络节点根 据所述安全信息发送切换响应消息的其中一种具体步骤, 所述 S238 为上述的 S13。 移动终端 UE的操作包括以下步骤:
S239: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后, 根据透明容器中的 NONCEMSC和最新的本地密钥即本地加密密钥 CK^和本 地完整性保护密钥 IKes, 按照与 MSC server同样的算法生成目标密钥安全密钥 标识包括目标加密密钥 CKps和目标完整性保护密钥 IKps。 并根据推演公式 K'asme=KDF ( CKps , IKps , NONCE匪 E )得到中间密钥 K'asme
当移动终端 UE由 3G网络切换到 LTE网络时,所述的安全处理方法具体还 可以包括:
S241 : MSC server在接收到源侧网络控制节点的切换请求时, 获取随机值 NONCEMSC; 所述随机值 NONCEMSC可由所述 MSC server随机生成。
S242: MSC server根据所述随机值 NONCEMSC, 并根据本地密钥, 生成目 标密钥,其中,本地密钥包括本地加密密钥 C^^ 或本地完整性保护密钥 IKCS, 目标密钥包括目标加密密钥 CKp^ 或目标完整性保护密钥 IKps
S243: MSC server向目标侧网络节点发送包括所述本地密钥、 目标密钥、 随机值 NONCEMSc的安全信息。 LTE网络中目标侧网络节点包括 MME。
S244: MME根据所述目标密钥生成中间密钥, 推演公式具体可以为中间密 钥 K'asme=CKps II IKps。 或者根据所述目标密钥和随机值 NONCEMSC生成中间密 钥, 推演公式为中间密钥 K'asme=KDF ( CKps , IK ps , NONCEMSc ); 所述 MME 可以直接删除所述本地密钥。
S245: MME将所述随机值 NONCEMSc发送给目标侧接入网节点; LTE网络 中, 目标侧接入网节点包括目标 eNB。 具体的, 所述 MME可以将所述随机值 NONCEMSC封装在 NAS透明容器中发送给 eNB。
S246: 目标 eNB 将所述随机值 NONCEMSC封装在透明容器发送给所述 MME;具体的, eNB可以生成包括所述 NAS透明容器的透明容器发送给 MME。
S247: MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点; 即将封装了随机值 NONCEMSc的透明容器发送给 MSC server。
在其他实施例中, S244至 S247可依次由以下的 S244'至 S247'替代。 S244': MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME和所 述本地密钥生成中间密钥;推演公式具体可以包括:中间密钥 K'^^KD^ CK^ , IK^ , NONCEMME MME可直接删除所述目标密钥和随机值 NONCEMSC
S245' : MME将所述随机值 NONCEMME发送给目标侧接入网节点即目标 eNB;
S246' : 所述目标 eNB将所述随机值 NONCEMME封装在透明容器发送给所 述 MME。
S247' : 所述 MME将所述透明容器包含在切换响应消息中发送给所述网络 交换节点。
S248: MSC server将封装了随机值 NONCEMME的透明容器携带在切换命令 中发送给所述移动终端。 即发送给 UE的透明容器封装了随机值 NONCEMME。 同样,可以将所述封装了随机值 NONCEMSC透明容器通过源侧 RNC发送给 UE。
所述 S241和 S242为上述的 S11 , 所述 S244到 S247为目标侧网络节点根 据所述安全信息发送切换响应消息的其中一种具体步骤, 所述 S248 为上述的 S13。 移动终端 UE的操作包括以下步骤:
S249: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后, 根据所述目标密钥和随机值 NONCEMSc生成中间密钥, 推演公式为中间密 钥 K e=KDF ( CKps , IKps , NONCEMSc
对应上述的 S244'至 S247' , 根据透明容器中的 NONCEMME和最新的本地 密钥即本地加密密钥 0^和本地完整性保护密钥 IK^,根据推演公式 K'asme=KDF ( CKps , IKps , NONCE匪 E )得到中间密钥 K'asme
需要说明的是, 上述相应节点生成透明容器以及移动终端根据透明容器介 入到相应目标网络中的技术为现有技术, 在此不赘述。
需要说明的是, 上述在 MME得到中间密钥 K'asme后, 所述 MME会进一步 根据 K'ASME推演密钥 K^B发送给 eNB, 移动终端也会根据所述 K'ASME推演密钥
K.NB, 其过程均为现有技术, 本发明实施例并不关注, 在此不赘述。
本发明实施例可在不改变目前网络中使用的网络交换节点的情况下, 较好 地完成移动终端从 3G网络切换到 HSPA网络或者 LTE网络中的安全处理, 节 约了成本。
下面对上述图 3和图 4对应的实施例中, 移动终端切换到 HSPA网络或者 LTE网络时的网络切换过程中的安全处理方法的处理过程进行详细描述。
当移动终端 UE由 3G网络切换到 HSPA网络时, 所述安全处理方法具体可 以包括:
S201 : MSC server在接收到切换请求时, 向目标侧网络节点发送包括所述 本地密钥的安全信息。 HSPA网络中目标侧网络节点包括 SGSN。
S202: SGSN生成随机值 NONCESGSN, 并根据所述随机值 NONCESGSN和本 地密钥生成目标密钥;
S203: SGSN将所述目标密钥发送给目标侧接入网节点, 在 HSPA网络中, 所述目标侧接入网节点包括目标 RNC。
S204: 目标 RNC将所述随机值 NONCESGSN封装在透明容器中发送给所述 SGSN。
S205: SGSN将所述透明容器携带在切换响应消息中发送给网络交换节点。 S206: MSC server将所述透明容器携带在切换命令中发送给所述移动终端。 即 MSC server将封装了随机值 NONCESCiSN的透明容器发送给移动终端,具体可 以通过源侧 RNC发送给移动终端。
所述 S202到 S205为目标侧网络节点根据所述安全信息发送切换响应消息 其中一种具体步骤, 所述 S206为上述的 S23。 移动终端 UE的操作包括以下步 骤:
S207: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后,根据透明容器中的 NONCESCiSN和最新的本地密钥即本地加密密钥 CK^和本 地完整性保护密钥 IK^, 按照与 SGSN同样的算法生成目标密钥安全密钥标识, 即生成目标加密密钥 CKp 目标完整性保护密钥 IKps,并采用所述目标加密密 钥 CKp p目标完整性保护密钥 IKps进行安全通信操作。
当移动终端 UE由 3G网络切换到 LTE网络时,所述安全处理方法具体可以 包括:
S211 : MSC server在接收到切换请求时, 向目标侧网络节点发送包括所述 本地密钥的安全信息。 LTE网络中目标侧网络节点包括 MME。 所述本地密钥包 括: 本地加密密钥标识 CKes, 本地完整性保护密钥标识 ΙΚ^。
S212: ΜΜΕ生成随机值 NONCEMME, 并根据所述随机值 NONCEMME、 所 述本地密钥生成中间密钥; 具体的中间密钥推演算法包括: K'asme=KDF ( CK^ , ΙΚ^ , NONCEMME )0 S213: ΜΜΕ将所述随机值 NONCEMME发送给目标侧接入网节点; 具体的, 所述 MME可以将所述随机值 NONCEMME封装在 NAS透明容器中发送给目标侧 接入网节点 eNB。
S214: 目标侧接入网节点生成透明容器, 并将所述随机值 NONCEMME封装 在透明容器发送给所述 MME; 具体的, 目标侧接入网节点 eNB可以生成包括 所述 NAS透明容器的透明容器发送给 MME。
S215: MME将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。 即将封装了随机值 NONCEMME的透明容器发送给 MSC server。
S216: MSC server将所述透明容器携带在切换命令中发送给所述移动终端。 即 MSC server将封装了随机值 NONCEMME的透明容器发送给移动终端,具体可 以通过源侧 RNC发送给移动终端。
所述 S212到 S215为目标侧网络节点根据所述安全信息发送切换响应消息 其中一种具体步骤, 所述 S216为上述的 S23。 移动终端 UE的操作包括以下步 骤:
S217: 移动终端接入目标侧网络, 具体包括: 移动终端 UE接收到透明容器 后,根据透明容器中的 NONCEMME和最新的本地密钥即本地加密密钥 CK^和本 地完整性保护密钥 IK^, 按照与 ΜΜΕ同样的算法生成中间密钥 K'asme
本发明实施例可在不改变目前网络中使用的网络交换节点的情况下, 较好 地完成移动终端从 3G网络切换到 HSPA网络或者 LTE网络中的安全处理, 节 约了成本。
下面对本发明的网络切换过程中的安全处理***进行详细描述, 请参见图 6 , 是本发明的一种网络切换过程中的安全处理***的实施例结构组成示意图。 在本实施例中, 用户在通过移动终端通信的过程中, 从 3G网络进入了 HSPA网 络或者 LTE网络, 所述***包括: 移动终端 11 , 网络交换节点 12, 目标侧网络 节点 SGSN 13以及目标侧接入网节点 RNC 14, 目标侧网络节点 MME 15以及目 标侧接入网节点 eNB16, 具体的, 所述网络交换节点 12可以为 MSC server, 所 述目标侧网络节点包括 HSPA网络中的 SGSN, 或者 LTE网络中的 MME。
其中, 请参见图 7, 所述网络交换节点 12具体可以包括:
处理模块 121 , 用于在接收到切换请求后, 生成目标密钥; 发送模块 122,用于在所述处理模块 121生成目标密钥后向目标侧网络节点 发送包括所述目标密钥的安全信息;
接收模块 123 , 用于接收切换请求, 并用于接收目标侧网络节点发送的切换 响应消息;
所述发送模块 122还用于向移动终端 11发送切换命令, 以使所述移动终端 11接入目标侧网络。
所述移动终端 11根据所述切换命令接入到目标侧网络中。
进一步的, 所述处理模块 121包括:
获取单元 1211 , 用于在接收到源侧网络控制节点的切换请求后, 获取随机 值 NONCEMSC; 即移动终端 11发生网络切换时, 可由与所述移动终端相连的源 侧网络控制节点向本网络交换节点 12发送切换请求。 所述获取单元 1211获取 的随机值 NONCEMSC可以由其自身随机生成, 也可以由所述源侧网络控制节点 生成并发送给本网络交换节点 12, 由所述获取单元获取 1211得到。
处理单元 1212, 用于根据所述随机值 NONCEMSC和所述网络交换节点 12 的本地密钥, 生成目标密钥, 其中, 所述本地密钥包括本地加密密钥和 /或本地 完整性保护密钥, 所述目标密钥包括目标加密密钥和 /或目标完整性保护密钥。
进一步具体的, 当所述目标侧网络节点为 SGSN13 时; 所述接收模块 123 具体用于接收所述 SGSN13发送的携带透明容器的切换响应消息, 所述透明容 器为 SGSN13将所述目标密钥发送给目标侧接入网节点 RNC14后,所述 RNC14 生成的;
当所述目标侧网络节点为移动管理实体 MME15时;
所述接收模块 123具体用于接收 MME15发送的携带透明容器的切换响应消 息, 所述透明容器为所述 eNB16生成并发送给所述 MME15的; 或者, 用于接 收 MME15发送的携带透明容器的切换响应消息, 所述透明容器为所述 eNB16 生成并发送给所述 MME15的, 所述透明容器中包括随机值 NONCEMME, 所述 eNB16将所述随机值 NONCEMME封装在透明容器中, 所述 NONCEMME由所述 MME15接收到安全信息后生成并发送给所述 eNB16。
在所述网络交换节点 12没有向目标侧网络节点 SGSN13或 MME15发送了 其获取的随机值 NONCEMSC的情况下, 所述发送模块 122具体用于将所述随机 值 NONCEMSC携带在切换命令中发送给所述移动终端 11 ; 或所述发送模块 122 具体用于将所述随机值 NONCEMSC和所述透明容器发送给源侧接入网节点, 以 使得所述源侧接入网节点将所述随机值 NONCEMSc和所述透明容器携带在切换 命令中发送给所述移动终端 11 ; 或所述发送模块 122具体用于所述网络交换节 点 12将所述 NONCEMSC和所述透明容器发送给源侧接入网节点,所述源侧接入 网节点忽略 NONCEMSC, 仅将所述透明容器携带在切换命令中发送给所述移动 终端 11。
进一步具体的, 所述发送模块 122 向目标侧网络节点发送的安全信息中还 包括所述随机值 NONCEMSC;
当所述目标侧网络节点为 SGSN13时, 所述接收模块 123具体用于接收所 述 SGSN13发送的携带透明容器的切换响应消息, 所述透明容器是目标侧接入 网节点 RNC14生成并发送给所述 SGSN13的,所述透明容器中包括所述随机值 NONCEMSC, 所述目标侧接入网节点 RNC14将所述随机值 NONCEMSC封装在透 明容器中, 所述 NONCEMSC为所述 SGSN13发送给所述 RNC14的。
当所述目标侧网络节点为移动管理实体 MME15时,所述接收模块 123具体 用于接收所述 MME15发送的携带透明容器的切换响应消息,所述透明容器中包 括所述随机值 NONCEMSC, 所述 NONCEMSC由 MME15发送给所述 eNB16的; 或者,所述接收模块 123具体用于接收 MME15发送的携带透明容器的切换响应 消息, 所述透明容器中包括所述随机值 NONCEMSC和随机值 NONCEMME, 所述 NONCEMSc由 MME15发送给所述 eNB16的, 所述 NONCEMME由 MME15在接 收到安全信息后生成并发送给所述目标侧接入网节点; 或者所述接收模块 123 具体用于接收 MME发送的携带透明容器的切换响应消息,所述透明容器由目标 侧接入网节点生成并发送给所述 MME 的, 所述透明容器中包括随机值 NONCEMME, 所述 NONCEMME由 MME在接收到安全信息后生成并发送给所述 目标侧接入网节点。
进一步具体的, 所述发送模块 122 向目标侧网络节点发送的安全信息中还 包括所述随机值 NONCEMSc和本地密钥;
当所述目标侧网络节点为 SGSN13 时, 所述接收模块 123 具体用于接收 SGSN13发送的携带透明容器的切换响应消息, 所述透明容器由 RNC14生成并 发送给所述 SGSN13的, 所述透明容器中包括所述所述随机值 NONCEMSC, 所 述目标侧网络节点 RNC14将所述随机值 NONCEMSC封装在透明容器中,所述随 机值 NONCEMSC是所述 SGSN13发送给所述 RNC14的;
当所述目标侧网络节点为 MME15时,所述接收模块 123具体用于接收所述 MME15发送的携带透明容器的切换响应消息, 所述透明容器由所述 eNB16生 成并发送给所述 MME15 的, 所述透明容器中包括所述随机值 NONCEMSC, 所 述目标侧接入网节点 eNB16将所述随机值 NONCEMSC封装在透明容器中, 所述 NONCEMSC为所述 MME15发送给所述 eNB16的。
或者:
当所述目标侧网络节点为 SGSN13时, 所述接收模块 123具体用于接收所 述 SGSN13发送的携带透明容器的切换响应消息, 所述透明容器由 RNC14生成 并发送给所述 SGSN13 , 所述透明容器中包括随机值 NONCESGSN, 所述目标侧 接入网节点 RNC14将所述随机值 NONCESCiSN封装在透明容器中, 所述随机值 NONCESC}SN是由所述 SGSN13 在接收到安全信息后生成并发送给所述 RNC14 的;
当所述目标侧网络节点为 MME15时,所述接收模块 123具体用于接收所述 MME15发送的携带透明容器的切换响应消息, 所述透明容器由 eNB生成并发 送给所述 MME15的, 所述透明容器中包括随机值 NONCEMME, 所述目标侧接 入网节点 eNB16 将所述随机值 NONCEMME封装在透明容器中, 所述随机值 NONCEMME是由所述 MME 15在接收到安全信息后生成并发送给所述 eNB 16的。
在所述网络交换节点 12向目标侧网络节点 SGSN13或 MME15发送了其获 取的随机值 NONCEMSc的情况下, 所述发送模块 122具体用于将透明容器携带 在切换命令中发送给所述移动终端 11 ; 或所述发送模块 122具体用于通过源侧 接入网节点将透明容器发送给所述移动终端 11。
再请参见图 8, 所述 SGSN13具体可以包括:
接收模块 131 ,用于接收网络交换节点 12发送的包括目标密钥的安全信息, 所述目标密钥为所述网络交换节点接收到切换请求后生成的;
发送模块 132, 用于向所述网络交换节点 12发送切换响应消息, 以使得所 述网络交换节点 12向移动终端发送切换命令, 使所述移动终端 11接入目标侧 网络即 HSPA网络。
当然, 为了与上述网络交换模块中的发送模块 122和接收模块 123相区别, 这里的所述接收模块 131可以命名为目标侧接收模块, 发送模块 122可以命名 为目标侧发送模块。
进一步具体的, 所述发送模块 132可包括:
第一发送单元 1321 , 用于将所述目标密钥发送给目标侧接入网节点, 以使 得所述目标侧接入网节点在接收到目标密钥后, 生成透明容器, 并使得所述目 标侧接入网节点后续根据所述目标密钥对切换至本目标侧网络的移动终端进行 安全通信处理;
第二发送单元 1322, 用于在所述接收模块 131接收到所述目标侧接入网节 点即 RNC14发送的所述透明容器时, 将所述透明容器携带在切换响应消息中发 送给网络交换节点。
进一步具体的, 当所述接收模块 131接收到网络交换节点 12发送的安全信 息中还包括随机值 NONCEMSC时, 所述发送模块 132还可包括:
第三发送单元 1323 , 用于将所述目标密钥和所述随机值 NONCEMSC发送给 目标侧接入网节点即 RNC14,以使所述目标侧接入网节点即 RNC14生成封装了 所述随机值 NONCEMSC的透明容器,并使得所述目标侧接入网节点即 RNC14后 续根据所述目标密钥对切换至本目标侧网络的移动终端进行安全通信处理; 第四发送单元 1324, 用于在所述接收模块 131接收到所述目标侧接入网节 点即 RNC14发送的所述透明容器时, 将所述透明容器携带在切换响应消息中发 送给所述网络交换节点 12。
进一步具体的, 当所述接收模块 131接收到网络交换节点 12发送的安全信 息中还包括随机值 NONCEMSC和本地密钥时, 所述发送模块 132还可包括: 第五发送单元 1325, 用于将所述目标密钥以及所述随机值 NONCEMSC发送 给目标侧接入网节点即 RNC 14, 以使得所述 RNC14 将 所 述 随 机 值 NONCEMSC封装在透明容器中, 并使得所述 RNC14后续根据所述目标密钥对切 换至本目标侧网络的移动终端进行安全通信处理;
第六发送单元 1326,用于在所述接收模块 131接收所述 RNC14发送的透明 容器时, 将所述透明容器携带在切换响应消息中发送给所述网络交换节点 12; 或者包括:
第七发送单元 1327 , 用于生成随机值 NONCESGSN, 并根据所述随机值 NONCESGSN和本地密钥生成新目标密钥, 并将所述新目标密钥和随机值 NONCESGSN发送给目标侧接入网节点 RNC14 , 以使得所述 RNC14生成封装 了所述随机值 NONCESGSN的透明容器, 并使得所述 RNC14后续根据所述目标 密钥对切换至本目标侧网络的移动终端进行安全通信处理;
第八发送单元 1328,用于在所述接收模块 131接收到所述 RNC14发送的封 装所述随机值 NONCESGSN的透明容器的给所述 SGSN时, 将所述透明容器携带 在切换响应消息中发送给所述网络交换节点 12。
再请参见图 9, 所述的移动管理实体 MME15具体可以包括:
接收模块 151 ,用于接收网络交换节点 12发送的包括目标密钥的安全信息, 所述目标密钥为所述网络交换节点接收到切换请求后生成的;
发送模块 152, 用于向所述网络交换节点 12发送切换响应消息, 以使得所 述网络交换节点 12向移动终端 11发送切换命令, 使所述移动终端 11接入目标 侧网络即 LTE网络。
当然, 为了与上述网络交换模块 12中的发送模块 122和接收模块 123 , 以 及 SGSN13中的接收模块 131和发送模块 122相区别, 这里的接收模块 151可 以命名为第一目标侧接收模块, 发送模块 152命名为第一目标侧发送模块。
进一步具体的, 所述 MME15还可包括: 第一生成模块 153 , 用于根据所述 安全信息中的目标密钥生成中间密钥,以便于所述 MME后续根据所述中间密钥 对切换至本目标侧网络的移动终端进行安全通信处理;
所述接收模块 151 还用于接收透明容器, 所述透明容器为目标侧接入网节 点 eNB16生成并发送的;
所述发送模块 152具体用于将所述透明容器携带在切换响应消息中发送给 所述网络交换节点 12。
进一步具体的, 所述 MME15还可包括: 第二生成模块 154, 用于生成随机 值 NONCEMME, 并根据所述随机值 NONCEMME和所述目标密钥生成中间密钥, 以便于所述 MME后续根据所述中间密钥对切换至本目标侧网络的移动终端进 行安全通信处理;
所述发送模块 152可包括:
第一发送单元 1521 ,用于将所述随机值 NONCEMME发送给目标侧接入网节 点 eNB 16 ,以使得所述 eNB 16将所述随机值 NONCEMME封装在所述透明容器中; 第二发送单元 1522, 用于所述接收模块 151接收到所述 eNB16发送的所述 透明容器时, 将所述透明容器携带在切换响应消息中发送给所述网络交换节点 12, 所述透明容器中封装了所述随机值 NONCEMME
进一步具体的, 当所述接收模块 151 接收到的网络交换节点发送的安全信 息中还包括所述随机值 NONCEMSC时, 所述 MME15还可包括: 第三生成模块
155, 用于根据所述安全信息中的目标密钥生成中间密钥, 以便于所述 MME15 后续根据所述中间密钥对切换至本目标侧网络的移动终端进行安全通信处理, 或者根据所述安全信息中的目标密钥和随机值 NONCEMSC, 生成中间密钥, 以 便于所述 MME15后续根据所述中间密钥对切换至本目标侧网络的移动终端 11 进行安全通信处理;
所述发送模块 152可包括:
第三发送单元 1523 , 用于将所述随机值 NONCEMSc发送给目标侧接入网节 点 eNB16, 以使得所述 eNB16生成封装了所述随机值 NONCEMSC的透明容器; 第四发送单元 1524, 用于在所述接收模块 151接收到所述目标侧接入网节 点发送的所述透明容器时, 将所述透明容器包含在切换响应消息中发送给所述 网络交换节点 12。
进一步具体的, 当所述接收模块 151接收到的网络交换节点 12发送的安全 信息中还包括所述随机值 NONCEMSC时, 所述 MME15还包括: 第四生成模块
156, 用于生成随机值 NONCEMME, 并根据所述随机值 NONCEMME和所述安全 信息中的目标密钥生成中间密钥,以便于所述 MME后续根据所述中间密钥对切 换至本目标侧网络的移动终端进行安全通信处理;
所述发送模块 152可包括:
第五发送单元 1525 ,用于将所述随机值 NONCEMM e和 /或随机值 NONCEMSC 发送给目标侧接入网节点 eNB16, 以使得所述 eNB16 生成封装了所述随机值 NONCEMME和 /或随机值 NONCEMSc的透明容器发送给所述 MME15;
第六发送单元 1526, 用于在所述接收模块 151接收到所述 eNB16发送的所 述透明容器时, 将所述透明容器包含在切换响应消息中发送给所述网络交换节 点 12。
进一步具体的, 当所述接收模块 151接收到的网络交换节点 12发送的安全 信息中还包括所述随机值 NONCEMSc和本地密钥时, 所述 MME15还包括: 第五生成模块 157,用于根据所述目标密钥生成中间密钥,以便于所述 MME 后续根据所述中间密钥对切换至本目标侧网络的移动终端进行安全通信处理, 或者根据所述目标密钥和随机值 NONCEMSc生成中间密钥, 以便于所述 MME 后续根据所述中间密钥对切换至本目标侧网络的移动终端进行安全通信处理; 所述发送模块 152可包括:
第七发送单元 1527, 用于将所述随机值 NONCEMSC发送给目标侧接入网节 点 eNB16, 以使得所述 eNB16生成封装了所述随机值 NONCEMSC的透明容器; 第八发送单元 1528, 用于在所述接收模块 151接收到所述 eNB16发送的封 装 NONCEMSC的透明容器时, 将所述透明容器包含在切换响应消息中发送给所 述网络交换节点 12;
或者包括:
第六生成模块 158 , 用于生成随机值 NONCEMME , 并根据所述随机值 NONCEMME和所述本地密钥生成中间密钥, 以便于所述 MME后续根据所述中 间密钥对切换至本目标侧网络的移动终端进行安全通信处理;
所述发送模块 152可包括:
第九发送单元 1529,用于将所述随机值 NONCEMME发送给目标侧接入网节 点 eNB16, 以使得所述 eNB16生成封装了所述随机值 NONCEMME的透明容器; 第十发送单元 1520, 用于在所述接收模块 151接收到所述 eNB16发送的封 装 NONCEMSC的透明容器时, 将所述透明容器包含在切换响应消息中发送给所 述网络交换节点 12。
再请参见图 10, 所述移动终端 11具体可以包括:
接收模块 111 , 用于接收网络交换节点 12发送的切换命令, 所述切换命令 为所述网络交换节点 12根据目标侧网络节点发送的切换响应消息生成的;
处理模块 112, 用于根据所述切换命令中携带的随机值和所述移动终端 11 的本地密钥, 生成安全密钥;
同样,上述的接收模块 111和处理模块 112为了与上述提到的接收模块和处 理模块相区别, 所述接收模块 111 可命名为终端接收模块, 所述处理模块 112 可命名为终端处理模块。
接入模块 113 , 用于根据所述切换命令和所述安全密钥, 接入目标侧网络。 具体的, 所述移动终端 11的本地密钥包括: 本地加密密钥和 /或本地完整性 保护密钥;
所述处理模块 112具体可以包括: 第一处理单元 1121 , 用于根据切换命令中携带的随机值, 以及所述本地加 密密钥和 /或本地完整性保护密钥, 生成目标密钥作为接入 HSPA网络的安全密 钥, 所述目标密钥包括目标加密密钥和 /或目标完整性保护密钥;
第二处理单元 1122, 用于根据切换命令中携带的随机值, 所述本地加密密 钥和 /或本地完整性保护密钥,以及预置的推演算法,生成中间密钥作为接入 LTE 网络的安全密钥。
第三处理单元 1123 , 用于根据切换命令中携带的随机值, 所述本地加密密 钥和 /或本地完整性保护密钥, 以及预置的推演算法, 生成目标密钥; 根据目标 密钥和切换命令中携带的随机值生成中间密钥作为接入 LTE网络的安全密钥。
再请参见图 11 , 是本发明的另一种网络切换过程中的安全处理***的实施 例结构组成示意图, 所述***包括: 移动终端 21、 网络交换节点 22, 通用分组 无线良务业务支撑点 SGSN23 和目标侧接入网节点 RNC24 , 移动管理实体 MME25和目标侧接入网节点 eNB26, 在本实施例中, 所述网络交换节点 22并 不进行随机值 NONCEMSc的获取以及目标密钥的计算, 直接将所述网络交换节 点 22保存的本地密钥发送给目标侧网络节点 SGSN23或者 MME25, 在此情况 下, 请参见图 12, 所述网络交换节点 22具体可包括:
发送模块 221 , 用于在接收到切换请求后, 向目标侧网络节点发送包括网络 交换节点的本地密钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完 整性保护密钥;
接收模块 222,用于接收目标侧网络节点即所述 SGSN23或者 MME25发送 的切换响应消息;
所述发送模块 221还用于向移动终端 21发送切换命令, 以使所述移动终端 21接入目标侧网络即接入到所述 SGSN23所在的 HSPA网络或者 MME25所在 的 LTE网络。
其中, 不同目标侧网络中的目标侧网络节点会执行不同的操作, 所述接收 模块具体接收到的切换响应消息有所不同, 具体的:
当所述目标侧网络节点为 SGSN23 时; 所述接收模块 222 具体用于接收 SGSN23发送的携带透明容器的切换响应消息,所述透明容器为目标侧接入网节 点 RNC24在接收到所述 SGSN23发送的目标密钥后生成并发送给所述 SGSN23 的, 所述透明容器中包括所述 RNC24封装的随机值 NONCESCiSN, 所述随机值 NONCESGSN由所述 SGSN23生成, 所述目标密钥为所述 SGSN23根据所述随机 值 NONCESCiSN和所述安全信息中的本地密钥生成的, 用于使得所述目标侧接入 网节点 RNC24后续根据所述目标密钥对切换至本目标侧网络的移动终端 21进 行安全通信处理。
当所述目标侧网络节点为 MME25 时; 所述接收模块 222 具体用于接收 MME25发送的携带透明容器的切换响应消息,所述透明容器为目标侧接入网节 点 eNB26生成并发送给所述 MME25的, 所述透明容器中包括所述 eNB26封装 的随机值 NONCEMME, 所述随机值 NONCEMME由所述 MME 生成的, 所述 MME23还根据所述随机值 NONCEMME和所述安全信息中的本地密钥生成中间 密钥,以便于所述 MME23后续根据所述中间密钥对切换至本目标侧网络的移动 终端 21进行安全通信处理。
所述发送模块 221 具体用于将透明容器携带在切换命令中发送给所述移动 终端 21 ; 或通过源侧接入网节点将透明容器发送给所述移动终端 21。
而上述的 SGSN23具体则可以包括如图 13所示的各模块单元:
生成模块 231 , 用于生成随机值 NONCESGSN, 根据所述随机值 NONCESGSN 和所述安全信息中得本地密钥生成目标密钥;
接收模块 232, 用于接收网络交换节点 22发送的包括所述网络交换节点 22 的本地密钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性保护 密钥;
发送模块 233 , 用于向所述网络交换节点 22发送切换响应消息, 以使得所 述网络交换节点 22向移动终端 21发送切换命令, 使所述移动终端 21接入目标 侧网络。
其中, 所述发送模块 233具体可以包括:
第一发送单元 2331 ,用于将所述目标密钥发送给目标侧接入网节点 RNC24, 使得所述目标侧接入网节点 RNC24后续根据所述目标密钥对切换至本目标侧网 络的移动终端 21进行安全通信处理;
第二发送单元 2332, 用于在所述接收模块 232接收到所述目标侧接入网节 点 RNC24生成的封装了随机值侧 NONCESQS 透明容器时, 将所述封装了随 机值 NONCESGSN的透明容器携带在切换响应消息中发送给所述网络交换节点 22。 而所述 MME25具体可以包括如图 14所示的各模块单元:
生成模块 251 , 用于生成随机值 NONCEMME, 根据所述随机值 NONCEMME 和所述安全信息中的本地密钥生成中间密钥;
接收模块 252, 用于接收网络交换节点 22发送的包括所述网络交换节点 22 的本地密钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性保护 密钥;
发送模块 253 , 用于向所述网络交换节点 22发送切换响应消息, 以使得所 述网络交换节点 22向移动终端 21发送切换命令, 使所述移动终端 21接入目标 侧网络。
所述发送模块 253包括:
第一发送单元 2531 ,用于将所述随机值 NONCEMME发送给目标侧接入网节 点 eNB26;
第二发送单元 2532, 用于在所述接收模块 252接收到所述目标侧接入网节 点 eNB26生成封装了所述随机值 NONCEMME的透明容器时,将所述封装了所述 随机值 NONCEMME的透明容器携带在切换响应命令中发送给所述网络交换节点 22。
所述移动终端 21则同样可以包括如图 15所示的各模块单元:
接收模块 211 , 用于接收网络交换节点发送的切换命令, 所述切换命令为所 述网络交换节点根据目标侧网络节点发送的切换响应消息生成的;
处理模块 212,用于根据所述切换命令中携带的随机值和所述移动终端的本 地密钥, 生成安全密钥;
接入模块 213 , 用于根据所述切换命令和所述安全密钥, 接入目标侧网络。 并且具体的, 所述移动终端 21的本地密钥包括: 本地加密密钥和 /或本地完 整性保护密钥; 所述处理模块 212包括:
第一处理单元 2121 , 用于根据切换命令中携带的随机值, 以及所述本地加 密密钥和 /或本地完整性保护密钥, 生成目标密钥作为接入 HSPA网络的安全密 钥, 所述目标密钥包括目标加密密钥和 /或目标完整性保护密钥;
第二处理单元 2122, 用于根据切换命令中携带的随机值, 所述本地加密密 钥和 /或本地完整性保护密钥,以及预置的推演算法,生成中间密钥作为接入 LTE 网络的安全密钥。 第三处理单元 2123 , 用于根据切换命令中携带的随机值, 所述本地加密密 钥和 /或本地完整性保护密钥, 以及预置的推演算法, 生成目标密钥; 根据目标 密钥和切换命令中携带的随机值生成中间密钥作为接入 LTE网络的安全密钥。
本发明实施例可在不改变目前网络中使用的网络交换节点的情况下, 较好 地完成移动终端从 3G网络切换到 HSPA网络或者 LTE网络中的安全处理, 节 约了成本。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程, 是可以通过计算机程序来指令相关的硬件来完成, 所述的程序可存储于一计算 机可读取存储介质中, 该程序在执行时, 可包括如上述各方法的实施例的流程。 其中, 所述的存储介质可为磁碟、 光盘、 只读存储记忆体(Read-Only Memory, ROM )或随机存储记忆体(Random Access Memory, RAM )等。
以上所揭露的仅为本发明较佳实施例而已, 当然不能以此来限定本发明之 权利范围, 因此依本发明权利要求所作的等同变化, 仍属本发明所涵盖的范围。

Claims (55)

  1. 权 利 要 求
    1、 一种网络切换过程中的安全处理方法, 其特征在于, 包括:
    网络交换节点接收到切换请求后, 生成目标密钥;
    所述网络交换节点向目标侧网络节点发送包括所述目标密钥的安全信息, 并接收所述目标侧网络节点发送的切换响应消息;
    所述网络交换节点向移动终端发送切换命令, 以使所述移动终端接入目标 侧网络。
  2. 2、 如权利要求 1所述的方法, 其特征在于, 所述网络交换节点接收到切换 请求后, 生成目标密钥, 包括:
    所述网络交换节点在接收到源侧网络控制节点的切换请求后, 获取随机值 NONCEMSC;
    所述网络交换节点根据所述随机值 NONCEMSc和所述网络交换节点的本地 密钥, 生成目标密钥, 其中, 所述本地密钥包括本地加密密钥和 /或本地完整性 保护密钥, 所述目标密钥包括目标加密密钥和 /或目标完整性保护密钥。
  3. 3、 如权利要求 1或 1所述的方法, 其特征在于,
    当所述目标侧网络节点为通用分组无线服务 GPRS业务支撑点 SGSN时, 所述接收目标侧网络节点发送的切换响应消息包括:
    接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为 SGSN 将所述目标密钥发送给目标侧接入网节点后, 所述目标侧接入网节点生成的; 或者
    当所述目标侧网络节点为移动管理实体 MME时,所述接收目标侧网络节点 发送的切换响应消息包括:
    接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME的;
    或者
    接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接
    1 入网节点生成并发送给所述 MME的, 所述透明容器中包括随机值 NONCEMME, 所述 NONCEMME由所述 MME在接收到安全信息后生成并发送给所述目标侧接 入网节点。
  4. 4、 如权利要求 2所述的方法, 其特征在于, 所述方法还包括:
    所述网络交换节点向目标侧网络节点发送的安全信息中还包括所述随机值 NONCEMSC;
    当所述目标侧网络节点为 SGSN时, 所述接收目标侧网络节点发送的切换 响应消息包括:
    接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为目标侧 接入网节点生成并发送给所述 SGSN 的, 所述透明容器中包括所述随机值 NONCEMSc , 所述 NONCEMSC为所述 SGSN发送给目标侧接入网节点的。
  5. 5、 如权利要求 2所述的方法, 其特征在于, 所述方法还包括:
    所述网络交换节点向目标侧网络节点发送的安全信息中还包括所述随机值 NONCEMSC;
    当所述目标侧网络节点为移动管理实体 MME时,所述接收目标侧网络节点 发送的切换响应消息包括:
    接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME 的, 所述透明容器中包括所述随机值 NONCEMSc , 所述 NONCEMSC由 MME发送给所述目标侧接入网节点的;
    或者
    接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME 的, 所述透明容器中包括所述随机值 NONCEMSc和随机值 NONCEMME, 所述 NONCEMSC由 MME发送给所述目标侧 接入网节点的, 所述 NONCEMME由 MME在接收到安全信息后生成并发送给所 述目标侧接入网节点;
    或者
    接收 MME发送的携带透明容器的切换响应消息,所述透明容器由目标侧接
    2 入网节点生成并发送给所述 MME的, 所述透明容器中包括随机值 NONCEMME, 所述 NONCEMME由 MME在接收到安全信息后生成并发送给所述目标侧接入网 节点。
  6. 6、 如权利要求 2所述的方法, 其特征在于, 所述方法还包括:
    所述网络交换节点向目标侧网络节点发送的安全信息中还包括所述随机值 NONCEMSc和本地密钥;
    当所述目标侧网络节点为 SGSN时, 所述接收目标侧网络节点发送的切换 响应消息包括:
    接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器中包括目 标侧网络节点封装的所述随机值 NONCEMSc , 所述随机值 NONCEMSC是所述 SGSN发送给所述目标侧网络节点的; 或者
    当所述目标侧网络节点为 MME时,所述接收目标侧网络节点发送的切换响 应消息包括:
    接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME 的, 所述透明容器中包括所述随机值 NONCEMSc , 所述 NONCEMSC为所述 MME发送给所述目标侧接入网节点的。
  7. 7、 如权利要求 2所述的的方法, 其特征在于, 所述方法还包括:
    所述网络交换节点向目标侧网络节点发送的安全信息中还包括所述随机值 NONCEMSc和本地密钥;
    当所述目标侧网络节点为 SGSN时, 所述接收目标侧网络节点发送的切换 响应消息包括:
    接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为目标侧 接入网节点生成并发送给所述 SGSN,所述透明容器中包括随机值 NONCESCISN, 所述随机值 NONCESGSN是由所述 SGSN在接收到安全信息后生成并发送给所述 目标侧网络节点的; 或者
    当所述目标侧网络节点为 MME时,所述接收目标侧网络节点发送的切换响 应消息包括: 接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME的, 所述透明容器中包括随机值 NONCEMME, 所述随机值 NONCEMME是由所述 MME在接收到安全信息后生成并发送给所述 目标侧网络节点的。
  8. 8、 根据权利要求 3、 4或 5所述的方法, 其特征在于, 所述网络交换节点 向所述移动终端发送切换命令包括:
    所述网络交换节点将所述随机值 NONCEMSc携带在切换命令中发送给所述 移动终端; 或
    所述网络交换节点将所述随机值 NONCEMSc和所述透明容器发送给源侧接 入网节点, 以使得所述源侧接入网节点将所述随机值 NONCEMSC和所述透明容 器携带在切换命令中发送给所述移动终端; 或
    所述网络交换节点将所述 NONCEMSC和所述透明容器发送给源侧接入网节 点, 所述源侧接入网节点忽略 NONCEMSC, 仅将所述透明容器携带在切换命令 中发送给所述移动终端。
  9. 9、 如权利要求 4-7任一项所述的方法, 其特征在于, 所述网络交换节点向 所述移动终端发送切换命令包括:
    所述网络交换节点将透明容器携带在切换命令中发送给所述移动终端; 或所述网络交换节点通过源侧接入网节点将透明容器发送给所述移动终
  10. 10、 一种网络切换过程中的安全处理方法, 其特征在于, 包括:
    目标侧网络节点接收网络交换节点发送的包括目标密钥的安全信息, 所述 目标密钥为所述网络交换节点接收到切换请求后生成的;
    所述目标侧网络节点向所述网络交换节点发送切换响应消息, 以使得所述 网络交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
  11. 11、 如权利要求 10所述的方法, 其特征在于,
    4 当所述目标侧网络节点为 SGSN时, 所述所述目标侧网络节点向所述网络 交换节点发送切换响应消息包括:
    所述 SGSN将所述目标密钥发送给目标侧接入网节点, 以使得所述目标侧 接入网节点在接收到目标密钥后, 生成透明容器;
    所述 SGSN接收所述目标侧接入网节点发送的所述透明容器;
    所述 SGSN将所述透明容器携带在切换响应消息中发送给网络交换节点。
  12. 12、 如权利要求 10所述的方法, 其特征在于,
    当所述目标侧网络节点为移动管理实体 MME时,所述所述目标侧网络节点 向所述网络交换节点发送切换响应消息包括:
    MME根据所述安全信息中的目标密钥生成中间密钥;
    所述 MME接收透明容器,所述透明容器为目标侧接入网节点生成并发送给 所述 MME的;
    所述 MME将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。
  13. 13、 如权利要求 10所述的方法, 其特征在于,
    当所述目标侧网络节点为移动管理实体 MME时 ,所述目标侧网络节点向所 述网络交换节点发送切换响应消息包括:
    MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME和所述目标 密钥生成中间密钥;
    所述 MME将所述随机值 NONCEMME发送给目标侧接入网节点, 以使得所 述目标侧接入网节点将所述随机值 NONCEMME封装在所述透明容器中;
    所述 MME接收所述目标侧接入网节点发送的所述透明容器,所述透明容器 中封装了所述随机值 NONCEMME;
    所述 MME将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。
  14. 14、 如权利要求 10所述的方法, 其特征在于, 当所述网络交换节点向目标 侧网络节点发送的安全信息中还包括随机值 NONCE<sub>MS</sub>c时, 且当所述目标侧网 络节点为 SGSN时, 所述目标侧网络节点向所述网络交换节点发送切换响应消 息包括:
    SGSN将所述目标密钥和所述随机值 NONCEMSc发送给目标侧接入网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCEMSc的透明容器; 所述 SGSN接收所述目标侧接入网节点发送的所述透明容器;
    所述 SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。
  15. 15、 如权利要求 10所述的方法, 其特征在于, 当所述网络交换节点向目标 侧网络节点发送的安全信息中还包括所述随机值 NONCE<sub>MS</sub>c时, 且当所述目标 侧网络节点为 MME时,所述目标侧网络节点向所述网络交换节点发送切换响应 消息包括:
    MME根据所述安全信息中的目标密钥生成中间密钥,或者根据所述安全信 息中的目标密钥和随机值 NONCEMSC, 生成中间密钥;
    所述 MME将所述随机值 NONCEMSc发送给目标侧接入网节点, 以使得所 述目标侧接入网节点生成封装了所述随机值 NONCEMSc的透明容器;
    所述 MME接收所述目标侧接入网节点发送的所述透明容器;
    所述 MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点。
  16. 16、 如权利要求 10所述的方法, 其特征在于, 当所述网络交换节点向目标 侧网络节点发送的安全信息中还包括所述随机值 NONCE<sub>MSC</sub>后, 且当所述目标 侧网络节点为 MME时,所述目标侧网络节点向所述网络交换节点发送切换响应 消息包括:
    MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME和所述安全 信息中的目标密钥生成中间密钥;
    所述 MME将所述随机值 NONCEMME和 /或随机值 NONCEMSC发送给目标侧 接入网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCEMME
    6 和 /或随机值 NONCEMSc的透明容器发送给所述 MME;
    接收所述目标侧接入网节点发送的所述透明容器;
    所述 MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点。
  17. 17、 如权利要求 10所述的方法, 其特征在于, 当所述网络交换节点向目标 侧网络节点发送的安全信息中还包括所述随机值 NONCE<sub>MSC</sub>和本地密钥时, 且 当所述目标侧网络节点为 SGSN时, 所述目标侧网络节点向所述网络交换节点 发送切换响应消息包括:
    SGSN将所述目标密钥以及所述随机值 NONCEMSC发送给目标侧接入网节 点, 以使得所述目标侧接入网节点将所述随机值 NONCEMSC封装在透明容器 中,;
    所述 SGSN接收所述目标侧接入网节点发送的透明容器;
    所述 SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换节 点;
    或者包括:
    SGSN生成随机值 NONCESGSN,并根据所述随机值 NONCESGSN和本地密钥 生成新目标密钥, 并将所述新目标密钥和随机值 NONCESQSN发送给目标侧接入 网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCESCiSN的透 明容器;
    所述 SGSN接收所述目标侧接入网节点发送的封装所述随机值 NONCESGSN 的透明容器的给所述 SGSN;
    所述 SGSN将所述透明容器携带在切换响应消息中发送给所述网络交换节 点。
  18. 18、 如权利要求 10所述的方法, 其特征在于, 若所述网络交换节点向目标 侧网络节点发送的安全信息中还包括所述随机值 NONCE<sub>MS</sub>c和本地密钥;
    当所述目标侧网络节点为 MME时,所述目标侧网络节点发送切换响应消息 包括:
    7 MME根据所述目标密钥生成中间密钥, 或者根据所述目标密钥和随机值 NONCEMSc生成中间密钥;
    所述 MME将所述随机值 NONCEMSc发送给目标侧接入网节点, 以使得所 述目标侧接入网节点生成封装了所述随机值 NONCEMSc的透明容器;
    所述 MME接收所述目标侧接入网节点发送的封装 NONCEMSC的透明容器; 所述 MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点;
    或者包括:
    MME生成随机值 NONCEMME, 并根据所述随机值 NONCEMME和所述本地 密钥生成中间密钥;
    所述 MME将所述随机值 NONCEMME发送给目标侧接入网节点, 以使得所 述目标侧接入网节点生成封装了所述随机值 NONCEMME的透明容器;
    所述 MME接收所述目标侧接入网节点发送的封装 NONCEMSC的透明容器; 所述 MME将所述透明容器包含在切换响应消息中发送给所述网络交换节 点。
  19. 19、 一种网络切换过程中的安全处理方法, 其特征在于, 包括:
    网络交换节点在接收到切换请求后, 向目标侧网络节点发送包括网络交换 节点的本地密钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性 保护密钥;
    所述网络交换节点接收目标侧网络节点发送的切换响应消息;
    所述网络交换节点向移动终端发送切换命令, 以使所述移动终端接入目标 侧网络。
  20. 20、 如权利要求 19所述的方法, 其特征在于,
    当所述目标侧网络节点为 SGSN时, 所述接收目标侧网络节点发送的切换 响应消息包括:
    接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为目标侧 接入网节点在接收到所述 SGSN发送的目标密钥后生成并发送给所述 SGSN的,
    8 所述透明容器中包括随机值 NONCESGSN,所述随机值 NONCESGSN由所述 SGSN 在接收到安全信息后生成并发送所述目标侧接入网节点的, 所述目标密钥为所 述 SGSN根据所述随机值 NONCESGSN和所述安全信息中的本地密钥生成的。
  21. 21、 如权利要求 19所述的方法, 其特征在于,
    当所述目标侧网络节点为 MME时,所述接收目标侧网络节点发送的切换响 应消息包括:
    接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接 入网节点生成并发送给所述 MME的, 所述透明容器中包括随机值 NONCEMME, 所述随机值 NONCEMME由所述 MME在接收到安全信息后生成的。
  22. 22、 如权利要求 20或 21所述的方法, 其特征在于, 所述网络交换节点向 所述移动终端发送切换命令包括:
    网络交换节点将透明容器携带在切换命令中发送给所述移动终端; 或通过源侧接入网节点将透明容器发送给所述移动终端。
  23. 23、 一种网络切换过程中的安全处理方法, 其特征在于, 包括:
    目标侧网络节点接收网络交换节点发送的包括所述网络交换节点的本地密 钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥; 所述目标侧网络节点向所述网络交换节点发送切换响应消息, 以使得所述 网络交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
  24. 24、 如权利要求 23所述的方法, 其特征在于,
    当所述目标侧网络节点为 SGSN时, 所述目标侧网络节点发送切换响应消 息包括:
    所述 SGSN生成随机值 NONCESGSN,根据所述随机值 NONCESGSN和所述安 全信息中得本地密钥生成目标密钥, 并将所述目标密钥发送给目标侧接入网节 点;
    所述 SGSN接收所述目标侧接入网节点生成的封装了随机值 NONCESCISI^
    9 透明容器;
    所述 SGSN将所述封装了随机值 NONCESGSN的透明容器携带在切换响应消 息中发送给所述网络交换节点。
  25. 25、 如权利要求 23所述的方法, 其特征在于,
    当所述目标侧网络节点为 MME时,所述目标侧网络节点发送切换响应消息 包括:
    所述 MME生成随机值 NONCEMME, 根据所述随机值 NONCEMME和所述安 全信息中的本地密钥生成中间密钥, 并将所述随机值 NONCEMME发送给目标侧 接入网节点;
    所述 MME接收所述目标侧接入网节点生成封装了所述随机值 NONCEMME 的透明容器;
    所述 MME将所述封装了所述随机值 NONCEMME的透明容器携带在切换响 应命令中发送给所述网络交换节点。
  26. 26、 一种网络切换过程中的安全处理方法, 其特征在于, 包括:
    移动终端接收网络交换节点发送的切换命令, 所述切换命令为所述网络交 换节点根据目标侧网络节点发送的切换响应消息生成的;
    所述移动终端根据所述切换命令中携带的随机值和所述移动终端的本地密 钥, 生成安全密钥;
    所述移动终端根据所述切换命令和所述安全密钥, 接入目标侧网络。
  27. 27、 如权利要求 26所述的方法, 其特征在于, 所述移动终端的本地密钥包 括: 本地加密密钥和 /或本地完整性保护密钥;
    所述移动终端根据所述切换命令中携带的随机值和所述移动终端的本地密 钥, 生成安全密钥包括:
    根据切换命令中携带的随机值, 以及所述本地加密密钥和 /或本地完整性保 护密钥, 生成目标密钥作为接入 HSPA 网络的安全密钥, 所述目标密钥包括目 标加密密钥和 /或目标完整性保护密钥;
    10 或者包括:
    根据切换命令中携带的随机值, 所述本地加密密钥和 /或本地完整性保护密 钥, 以及预置的推演算法, 生成中间密钥作为接入 LTE网络的安全密钥;
    或者包括:
    根据切换命令中携带的随机值, 所述本地加密密钥和 /或本地完整性保护密 钥, 以及预置的推演算法, 生成目标密钥; 根据目标密钥和切换命令中携带的 随机值生成中间密钥作为接入 LTE网络的安全密钥。
  28. 28、 一种网络交换节点, 其特征在于, 包括:
    处理模块, 用于在接收到切换请求后, 生成目标密钥;
    发送模块, 用于在所述处理模块生成目标密钥后向目标侧网络节点发送包 括所述目标密钥的安全信息;
    接收模块, 用于接收切换请求, 并用于接收目标侧网络节点发送的切换响 应消息;
    所述发送模块还用于向移动终端发送切换命令, 以使所述移动终端接入目 标侧网络。
  29. 29、如权利要求 28所述的网络交换节点, 其特征在于, 所述处理模块包括: 获取单元, 用于在接收到源侧网络控制节点的切换请求后, 获取随机值 NONCE<sub>MSC</sub>;
    处理单元, 用于根据所述随机值 NONCEMSC和所述网络交换节点的本地密 钥, 生成目标密钥, 其中, 所述本地密钥包括本地加密密钥和 /或本地完整性保 护密钥, 所述目标密钥包括目标加密密钥和 /或目标完整性保护密钥。
  30. 30、 如权利要求 28所述的网络交换节点, 其特征在于,
    当所述目标侧网络节点为通用分组无线服务 GPRS业务支撑点 SGSN时; 所述接收模块具体用于接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为 SGSN将所述目标密钥发送给目标侧接入网节点后, 所述目标 侧接入网节点生成的; 或者
    11 当所述目标侧网络节点为移动管理实体 MME时;
    所述接收模块具体用于接收 MME发送的携带透明容器的切换响应消息,所 述透明容器为目标侧接入网节点生成并发送给所述 MME 的; 或者, 用于接收 MME发送的携带透明容器的切换响应消息,所述透明容器为目标侧接入网节点 生成并发送给所述 MME 的, 所述透明容器中包括随机值 NONCEMME, 所述 NONCEMME由所述 MME在接收到安全信息时生成并发送给所述目标侧接入网 节点。
  31. 31、 如权利要求 29所述的网络交换节点, 其特征在于,
    所述发送模块向目标侧网络节点发送的安全信息中还包括所述随机值 NONCEMSC;
    当所述目标侧网络节点为 SGSN时, 所述接收模块具体用于接收 SGSN发 送的携带透明容器的切换响应消息, 所述透明容器由目标侧接入网节点生成并 发送给所述 SGSN 的, 所述透明容器中包括所述随机值 NONCEMSC , 所述 NONCEMSc为所述 SGSN发送给目标侧接入网节点的。
  32. 32、 如权利要求 29所述的网络交换节点, 其特征在于,
    所述发送模块向目标侧网络节点发送的安全信息中还包括所述随机值 NONCEMSC;
    当所述目标侧网络节点为移动管理实体 MME时,所述接收模块具体用于接 收 MME发送的携带透明容器的切换响应消息,所述透明容器由目标侧接入网节 点生成并发送给所述 MME的, 所述透明容器中包括所述随机值 NONCEMSc, 所述 NONCEMSC由 MME发送给所述目标侧接入网节点的; 或者
    所述接收模块具体用于接收 MME发送的携带透明容器的切换响应消息,所 述透明容器由目标侧接入网节点生成并发送给所述 MME的,所述透明容器中包 括所述随机值 NONCEMSc和随机值 NONCEMME, 所述 NONCEMSC由 MME发送 给所述目标侧接入网节点的, 所述 NONCEMME由 MME在接收到安全信息后生 成并发送给所述目标侧接入网节点的, 或者
    所述接收模块具体用于接收 MME发送的携带透明容器的切换响应消息,所
    12 述透明容器由目标侧接入网节点生成并发送给所述 MME的,所述透明容器中包 括随机值 NONCEMME, 所述 NONCEMME由 MME在接收到安全信息后生成并发 送给所述目标侧接入网节点。
  33. 33、 如权利要求 29所述的网络交换节点, 其特征在于,
    所述发送模块向目标侧网络节点发送的安全信息中还包括所述随机值 NONCEMSc和本地密钥;
    当所述目标侧网络节点为 SGSN时, 所述接收模块具体用于接收 SGSN发 送的携带透明容器的切换响应消息, 所述透明容器中包括所述目标侧网络节点 封装的所述随机值 NONCEMSc , 所述随机值 NONCEMSC是所述 SGSN发送给所 述目标侧网络节点的; 或者
    当所述目标侧网络节点为 MME时,所述接收模块具体用于接收 MME发送 的携带透明容器的切换响应消息, 所述透明容器由目标侧接入网节点生成, 所 述透明容器中包括所述随机值 NONCEMSC, 所述 NONCEMSC为所述 MME发送 给所述目标侧接入网节点的。
  34. 34、 如权利要求 29所述的网络交换节点, 其特征在于,
    所述发送模块向目标侧网络节点发送的安全信息中还包括所述随机值 NONCEMSc和本地密钥;
    当所述目标侧网络节点为 SGSN时, 所述接收模块具体用于接收 SGSN发 送的携带透明容器的切换响应消息, 所述透明容器由目标侧接入网节点生成并 发送给所述 SGSN 的, 所述透明容器中包括随机值 NONCESGSN, 所述随机值 NONCESC}SN是由所述 SGSN在接收到安全信息后生成并发送给所述目标侧网络 节点的; 或者
    当所述目标侧网络节点为 MME时,所述接收模块具体用于接收 MME发送 的携带透明容器的切换响应消息, 所述透明容器由目标侧接入网节点生成并发 送给所述 MME 的, 所述透明容器中包括随机值 NONCEMME , 所述随机值 NONCEMME是由所述 MME在接收到安全信息后生成并发送给所述目标侧网络 节点的。
    13 35、 如权利要求 30或 32所述的网络交换节点, 其特征在于,
    所述发送模块具体用于将所述随机值 NONCEMSC携带在切换命令中发送给 所述移动终端; 或
    所述发送模块具体用于将所述随机值 NONCEMSc和所述透明容器发送给源 侧接入网节点, 以使得所述源侧接入网节点将所述随机值 NONCEMSC和所述透 明容器携带在切换命令中发送给所述移动终端; 或
    所述发送模块具体用于所述网络交换节点将所述 NONCEMSC和所述透明容 器发送给源侧接入网节点, 所述源侧接入网节点忽略 NONCEMSC, 仅将所述透 明容器携带在切换命令中发送给所述移动终端。
  35. 36、 如权利要求 31-34所述的网络交换节点, 其特征在于,
    所述发送模块具体用于将透明容器携带在切换命令中发送给所述移动终 端;
    或所述发送模块具体用于通过源侧接入网节点将透明容器发送给所述移动 终端。
  36. 37、 一种通用分组无线服务业务支撑点, 其特征在于, 包括:
    接收模块, 用于接收网络交换节点发送的包括目标密钥的安全信息, 所述 目标密钥为所述网络交换节点接收到切换请求后生成的;
    发送模块, 用于向所述网络交换节点发送切换响应消息, 以使得所述网络 交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
  37. 38、 如权利要求 37所述的通用分组无线服务业务支撑点, 其特征在于, 所 述发送模块包括:
    第一发送单元, 用于将所述目标密钥发送给目标侧接入网节点, 以使得所 述目标侧接入网节点在接收到目标密钥后, 生成透明容器;
    第二发送单元, 用于在所述接收模块接收到所述目标侧接入网节点发送的 所述透明容器时, 将所述透明容器携带在切换响应消息中发送给网络交换节点。
    14 39、 如权利要求 37所述的通用分组无线服务业务支撑点, 其特征在于, 当 所述接收模块接收到网络交换节点发送的安全信息中还包括随机值 NONCEMSc 时, 所述发送模块包括:
    第三发送单元, 用于将所述目标密钥和所述随机值 NONCEMSC发送给目标 侧接入网节点, 以使所述目标侧接入网节点生成封装了所述随机值 NONCEMSc 的透明容器;
    第四发送单元, 用于在所述接收模块接收到所述目标侧接入网节点发送的 所述透明容器时, 将所述透明容器携带在切换响应消息中发送给所述网络交换 节点
  38. 40、 如权利要求 37所述的通用分组无线服务业务支撑点, 其特征在于, 当 所述接收模块接收到网络交换节点发送的安全信息中还包括随机值 NONCE<sub>MS</sub>c 和本地密钥时, 所述发送模块包括:
    第五发送单元, 用于将所述目标密钥以及所述随机值 NONCEMSC发送给目 标侧接入网节点, 以使得所述目标侧接入网节点将所述随机值 NONCEMSc封装 在透明容器中;
    第六发送单元, 用于在所述接收模块接收所述目标侧接入网节点发送的透 明容器时, 将所述透明容器携带在切换响应消息中发送给所述网络交换节点; 或者包括:
    第七发送单元, 用于生成随机值 NONCESGSN , 并根据所述随机值 NONCESGSN和本地密钥生成新目标密钥, 并将所述新目标密钥和随机值 NONCESGSN发送给目标侧接入网节点, 以使得所述目标侧接入网节点生成封装 了所述随机值 NONCESGSN的透明容器;
    第八发送单元, 用于在所述接收模块接收到所述目标侧接入网节点发送的 封装所述随机值 NONCESGSN的透明容器的给所述 SGSN时, 将所述透明容器携 带在切换响应消息中发送给所述网络交换节点。
  39. 41、 一种移动管理实体, 其特征在于, 包括:
    15 接收模块, 用于接收网络交换节点发送的包括目标密钥的安全信息, 所述 目标密钥为所述网络交换节点接收到切换请求后生成的;
    发送模块, 用于向所述网络交换节点发送切换响应消息, 以使得所述网络 交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
  40. 42、 如权利要求 41所述的移动管理实体, 其特征在于, 还包括:
    第一生成模块, 用于根据所述安全信息中的目标密钥生成中间密钥; 所述接收模块还用于接收透明容器, 所述透明容器为目标侧接入网节点生 成并发送的;
    所述发送模块具体用于将所述透明容器携带在切换响应消息中发送给所述 网络交换节点。
  41. 43、 如权利要求 41所述的移动管理实体, 其特征在于, 还包括:
    第二生成模块,用于生成随机值 NONCEMME,并根据所述随机值 NONCEMME 和所述目标密钥生成中间密钥;
    所述发送模块包括:
    第一发送单元, 用于将所述随机值 NONCEMME发送给目标侧接入网节点, 以使得所述目标侧接入网节点将所述随机值 NONCEMME封装在所述透明容器 中;
    第二发送单元, 用于所述接收模块接收到所述目标侧接入网节点发送的所 述透明容器时, 将所述透明容器携带在切换响应消息中发送给所述网络交换节 点, 所述透明容器中封装了所述随机值 NONCEMME
  42. 44、 如权利要求 41所述的移动管理实体, 其特征在于, 当所述接收模块接 收到的网络交换节点发送的安全信息中还包括所述随机值 NONCE<sub>MSC</sub>时, 所述 移动管理实体还包括:
    第三生成模块, 用于根据所述安全信息中的目标密钥生成中间密钥, 或者 根据所述安全信息中的目标密钥和随机值 NONCEMSC, 生成中间密钥;
    所述发送模块包括:
    16 第三发送单元, 用于将所述随机值 NONCEMSC发送给目标侧接入网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCEMSc的透明容器; 第四发送单元, 用于在所述接收模块接收到所述目标侧接入网节点发送的 所述透明容器时, 将所述透明容器包含在切换响应消息中发送给所述网络交换 节点
  43. 45、 如权利要求 41所述的移动管理实体, 其特征在于, 当所述接收模块接 收到的网络交换节点发送的安全信息中还包括所述随机值 NONCE<sub>MSC</sub>时, 所述 移动管理实体还包括:
    第四生成模块,用于生成随机值 NONCEMME,并根据所述随机值 NONCEMME 和所述安全信息中的目标密钥生成中间密钥;
    所述发送模块包括:
    第五发送单元,用于将所述随机值 NONCEMME和 /或随机值 NONCEMSc发送 给目标侧接入网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCEMME和 /或随机值 NONCEMSc的透明容器发送给所述 MME;
    第六发送单元, 用于在所述接收模块接收到所述目标侧接入网节点发送的 所述透明容器时, 将所述透明容器包含在切换响应消息中发送给所述网络交换 节点
  44. 46、 如权利要求 41所述的移动管理实体, 其特征在于, 当所述接收模块接 收到的网络交换节点发送的安全信息中还包括所述随机值 NONCE<sub>MSC</sub>和本地密 钥时, 所述移动管理实体还包括:
    第五生成模块, 用于根据所述目标密钥生成中间密钥, 或者根据所述目标 密钥和随机值 NONCEMSc生成中间密钥;
    所述发送模块包括:
    第七发送单元, 用于将所述随机值 NONCEMSC发送给目标侧接入网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCEMSc的透明容器; 第八发送单元, 用于在所述接收模块接收到所述目标侧接入网节点发送的 封装 NONCEMSC的透明容器时, 将所述透明容器包含在切换响应消息中发送给
    17 所述网络交换节点;
    或者包括:
    第六生成模块,用于生成随机值 NONCEMME,并根据所述随机值 NONCEMME 和所述本地密钥生成中间密钥;
    所述发送模块包括:
    第九发送单元, 用于将所述随机值 NONCEMME发送给目标侧接入网节点, 以使得所述目标侧接入网节点生成封装了所述随机值 NONCEMME的透明容器; 第十发送单元, 用于在所述接收模块接收到所述目标侧接入网节点发送的 封装 NONCEMSC的透明容器时, 将所述透明容器包含在切换响应消息中发送给 所述网络交换节点。
  45. 47、 一种网络交换节点, 其特征在于, 包括:
    发送模块, 用于在接收到切换请求后, 向目标侧网络节点发送包括网络交 换节点的本地密钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整 性保护密钥;
    接收模块, 用于接收目标侧网络节点发送的切换响应消息;
    所述发送模块还用于向移动终端发送切换命令, 以使所述移动终端接入目 标侧网络。
  46. 48、 如权利要求 47所述的网络交换节点, 其特征在于, 当所述目标侧网络 节点为 SGSN时;
    所述接收模块具体用于接收 SGSN发送的携带透明容器的切换响应消息, 所述透明容器为目标侧接入网节点在接收到所述 SGSN发送的目标密钥后生成 并发送给所述 SGSN的, 所述透明容器中包括随机值 NONCESGSN, 所述随机值 NONCESGSN由所述 SGSN在接收到安全信息时生成,所述目标密钥为所述 SGSN 根据所述随机值 NONCESGSN和所述安全信息中的本地密钥生成的。
  47. 49、 如权利要求 47所述的网络交换节点, 其特征在于, 当所述目标侧网络 节点为 MME时;
    18 所述接收模块具体用于接收 MME发送的携带透明容器的切换响应消息,所 述透明容器为目标侧接入网节点生成并发送给所述 MME的,所述透明容器中包 括随机值 NONCEMME, 所述随机值 NONCEMME由所述 MME在接收到安全信息 时生成的, 所述 MME还根据所述随机值 NONCEMME和所述安全信息中的本地 密钥生成中间密钥。
  48. 50、 如权利要求 47所述的网络交换节点, 其特征在于,
    所述发送模块具体用于将透明容器携带在切换命令中发送给所述移动终 端; 或通过源侧接入网节点将透明容器发送给所述移动终端。
  49. 51、 一种通用分组无线服务业务支撑点, 其特征在于, 包括:
    接收模块, 用于接收网络交换节点发送的包括所述网络交换节点的本地密 钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥; 发送模块, 用于向所述网络交换节点发送切换响应消息, 以使得所述网络 交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
  50. 52、 如权利要求 51所述的通用分组无线服务业务支撑点, 其特征在于, 还 包括:
    生成模块, 用于生成随机值 NONCESQSN,根据所述随机值 NONCESQSN和所 述安全信息中得本地密钥生成目标密钥;
    所述发送模块包括:
    第一发送单元, 用于将所述目标密钥发送给目标侧接入网节点;
    第二发送单元, 用于在所述接收模块接收到所述目标侧接入网节点生成的 封装了随机值 NONCESGSN的透明容器时, 将所述封装了随机值 NONCESGSN的 透明容器携带在切换响应消息中发送给所述网络交换节点。
  51. 53、 一种移动管理实体, 其特征在于, 包括:
    接收模块, 用于接收网络交换节点发送的包括所述网络交换节点的本地密 钥的安全信息, 所述本地密钥包括本地加密密钥和 /或本地完整性保护密钥;
    19 发送模块, 用于向所述网络交换节点发送切换响应消息, 以使得所述网络 交换节点向移动终端发送切换命令, 使所述移动终端接入目标侧网络。
  52. 54、 如权利要求 53所述的移动管理实体, 其特征在于, 还包括:
    生成模块, 用于生成随机值 NONCEMME, 根据所述随机值 NONCEMME和所 述安全信息中的本地密钥生成中间密钥;
    所述发送模块包括:
    第一发送单元, 用于将所述随机值 NONCEMME发送给目标侧接入网节点; 第二发送单元, 用于在所述接收模块接收到所述目标侧接入网节点生成封 装了所述随机值 NONCEMME 的透明容器时, 将所述封装了所述随机值 NONCEMME的透明容器携带在切换响应命令中发送给所述网络交换节点。
  53. 55、 一种移动终端, 其特征在于, 包括:
    接收模块, 用于接收网络交换节点发送的切换命令, 所述切换命令为所述 网络交换节点根据目标侧网络节点发送的切换响应消息生成的;
    处理模块, 用于根据所述切换命令中携带的随机值和所述移动终端的本地 密钥, 生成安全密钥;
    接入模块, 用于根据所述切换命令和所述安全密钥, 接入目标侧网络。
  54. 56、 如权利要求 55所述的移动终端, 其特征在于, 所述移动终端的本地密 钥包括: 本地加密密钥和 /或本地完整性保护密钥;
    所述处理模块包括:
    第一处理单元, 用于根据切换命令中携带的随机值, 以及所述本地加密密 钥和 /或本地完整性保护密钥, 生成目标密钥作为接入 HSPA网络的安全密钥, 所述目标密钥包括目标加密密钥和 /或目标完整性保护密钥;
    第二处理单元, 用于根据切换命令中携带的随机值, 所述本地加密密钥和 / 或本地完整性保护密钥, 以及预置的推演算法, 生成中间密钥作为接入 LTE网 络的安全密钥;
    第三处理单元, 用于根据切换命令中携带的随机值, 所述本地加密密钥和 /
    20 或本地完整性保护密钥, 以及预置的推演算法, 生成目标密钥; 根据目标密钥 和切换命令中携带的随机值生成中间密钥作为接入 LTE网络的安全密钥。
  55. 57、 一种网络切换过程中的安全处理***, 其特征在于, 包括: 网络交换 节点, 通用分组无线服务业务支撑点, 移动管理实体, 以及移动终端, 其中, 所述网络交换节点包括如权利要求 28-36任一项所述的网络交换节点和 /或 如权利要求 47-50任一项所述的网络交换节点;
    所述通用分组无线服务业务支撑点包括如权利要求 37-40任一项所述的通 用分组无线服务业务支撑点和 /或权利要求 51-52任一项所述的通用分组无线服 务业务支撑点;
    所述移动管理实体包括如权利要求 41-46任一项所述的移动管理实体和 /或 如权利要求 53-54任一项所述的移动管理实体;
    所述移动终端包括如权利要求 55-56任一项所述的移动终端。
    21
CN201280001026.7A 2012-05-04 2012-05-04 一种网络切换过程中的安全处理方法及*** Active CN103931219B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/075094 WO2013163815A1 (zh) 2012-05-04 2012-05-04 一种网络切换过程中的安全处理方法及***

Publications (2)

Publication Number Publication Date
CN103931219A true CN103931219A (zh) 2014-07-16
CN103931219B CN103931219B (zh) 2018-04-10

Family

ID=49514193

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280001026.7A Active CN103931219B (zh) 2012-05-04 2012-05-04 一种网络切换过程中的安全处理方法及***

Country Status (5)

Country Link
US (2) US9681339B2 (zh)
EP (1) EP2835998B1 (zh)
JP (1) JP6135878B2 (zh)
CN (1) CN103931219B (zh)
WO (1) WO2013163815A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108668281A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 一种通信方法、相关设备及***
WO2019095748A1 (zh) * 2017-11-16 2019-05-23 中兴通讯股份有限公司 通信管理方法、装置、***、终端、管理实体及存储介质
CN110913438A (zh) * 2018-09-15 2020-03-24 华为技术有限公司 一种无线通信方法及装置
CN112995977A (zh) * 2017-01-26 2021-06-18 华为技术有限公司 一种接入目标小区的方法以及设备

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9497673B2 (en) * 2013-11-01 2016-11-15 Blackberry Limited Method and apparatus to enable multiple wireless connections
WO2017092814A1 (en) 2015-12-03 2017-06-08 Telefonaktiebolaget Lm Ericsson (Publ) Light-weight rrc connection setup in multi-rat network
EP3384698B1 (en) * 2015-12-03 2022-09-14 Telefonaktiebolaget LM Ericsson (publ) Multi-rat access stratum security
US10223066B2 (en) 2015-12-23 2019-03-05 Apple Inc. Proactive assistance based on dialog communication between devices
WO2018079691A1 (ja) * 2016-10-26 2018-05-03 日本電気株式会社 通信システム、セキュリティ装置、通信端末、及び通信方法
JP6943965B2 (ja) 2017-01-30 2021-10-06 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 5gにおける接続モード中のセキュリティコンテキストハンドリング
CN108430080A (zh) * 2017-02-14 2018-08-21 华为技术有限公司 一种信息传输方法,无线接入设备和终端
US11071021B2 (en) * 2017-07-28 2021-07-20 Qualcomm Incorporated Security key derivation for handover
CN108966220B (zh) * 2017-07-28 2019-07-23 华为技术有限公司 一种密钥推演的方法及网络设备
US10542428B2 (en) * 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
KR102343687B1 (ko) * 2017-11-20 2021-12-28 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 핸드오버 동안 5g에서의 보안 컨텍스트 핸들링
US11553381B2 (en) * 2018-01-12 2023-01-10 Qualcomm Incorporated Method and apparatus for multiple registrations

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101232731A (zh) * 2008-02-04 2008-07-30 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和***
CN101299888A (zh) * 2008-06-16 2008-11-05 中兴通讯股份有限公司 密钥生成方法、切换方法、移动管理实体和用户设备
CN101309500A (zh) * 2007-05-15 2008-11-19 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
EP2117248A1 (en) * 2007-05-08 2009-11-11 Huawei Technologies Co., Ltd. A method, system and device for security function negotiation
CN102204301A (zh) * 2008-11-03 2011-09-28 诺基亚公司 用于在分组交换网络和电路交换网络之间切换期间提供安全性的方法、装置和计算机程序产品
CN102238676A (zh) * 2010-04-30 2011-11-09 华为技术有限公司 电路交换域到分组交换域的切换方法和设备及通信***

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI107486B (fi) * 1999-06-04 2001-08-15 Nokia Networks Oy Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
KR101048560B1 (ko) * 2006-10-20 2011-07-11 노키아 코포레이션 차세대 이동 네트워크에서의 보호용 키를 생성하는 방법, 네트워크 디바이스, 사용자 장비 및 컴퓨터 판독가능 매체
US8112065B2 (en) * 2007-07-26 2012-02-07 Sungkyunkwan University Foundation For Corporate Collaboration Mobile authentication through strengthened mutual authentication and handover security
WO2009082172A2 (en) * 2007-12-24 2009-07-02 Samsung Electronics Co., Ltd. A system and method of handover decision for inter rat handover
CN101552983A (zh) * 2008-04-01 2009-10-07 华为技术有限公司 密钥生成方法、密钥生成装置、移动管理实体与用户设备
MX2010010184A (es) * 2008-04-04 2010-11-05 Nokia Corp Procedimientos, aparatos y productos de programas de ordenador para proporcionar separacion criptografica multi-saltos para traspasos.
CN101304311A (zh) * 2008-06-12 2008-11-12 中兴通讯股份有限公司 密钥生成方法和***
CN102067642B (zh) * 2008-06-13 2014-12-24 诺基亚公司 用于在***间移动性期间提供新的安全性上下文的方法、设备
JP4505528B2 (ja) * 2008-09-22 2010-07-21 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法
US9344924B2 (en) * 2008-11-27 2016-05-17 Htc Corporation Method of handling handover security configuration and related communication device
CN102415150B (zh) * 2009-04-23 2014-09-24 瑞典爱立信有限公司 一种连接用户设备ue的电信网络中的方法、节点及***
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及***
EP2273820A1 (en) * 2009-06-30 2011-01-12 Panasonic Corporation Inter-VPLMN handover via a handover proxy node
CN102696187B (zh) * 2009-11-09 2017-12-05 三星电子株式会社 支持在切换期间的单一无线视频呼叫连续性的方法及***
US20130019526A1 (en) * 2011-07-22 2013-01-24 Liu-Tsun Lai Plant pot

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2117248A1 (en) * 2007-05-08 2009-11-11 Huawei Technologies Co., Ltd. A method, system and device for security function negotiation
CN101309500A (zh) * 2007-05-15 2008-11-19 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
CN101232731A (zh) * 2008-02-04 2008-07-30 中兴通讯股份有限公司 用于ue从utran切换到eutran的密钥生成方法和***
CN101299888A (zh) * 2008-06-16 2008-11-05 中兴通讯股份有限公司 密钥生成方法、切换方法、移动管理实体和用户设备
CN102204301A (zh) * 2008-11-03 2011-09-28 诺基亚公司 用于在分组交换网络和电路交换网络之间切换期间提供安全性的方法、装置和计算机程序产品
CN102238676A (zh) * 2010-04-30 2011-11-09 华为技术有限公司 电路交换域到分组交换域的切换方法和设备及通信***

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995977A (zh) * 2017-01-26 2021-06-18 华为技术有限公司 一种接入目标小区的方法以及设备
US11849385B2 (en) 2017-01-26 2023-12-19 Huawei Technologies Co., Ltd. Target cell access method and device
CN108668281A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 一种通信方法、相关设备及***
US11051171B2 (en) 2017-03-31 2021-06-29 Huawei Technologies Co., Ltd. Communication method, related device, and system
WO2019095748A1 (zh) * 2017-11-16 2019-05-23 中兴通讯股份有限公司 通信管理方法、装置、***、终端、管理实体及存储介质
CN110913438A (zh) * 2018-09-15 2020-03-24 华为技术有限公司 一种无线通信方法及装置
US11800416B2 (en) 2018-09-15 2023-10-24 Huawei Technologies Co., Ltd. Wireless communication method and apparatus

Also Published As

Publication number Publication date
WO2013163815A1 (zh) 2013-11-07
EP2835998A4 (en) 2015-04-08
US9681339B2 (en) 2017-06-13
JP6135878B2 (ja) 2017-05-31
EP2835998B1 (en) 2019-04-17
EP2835998A1 (en) 2015-02-11
US20150043537A1 (en) 2015-02-12
JP2015519817A (ja) 2015-07-09
CN103931219B (zh) 2018-04-10
US20170265108A1 (en) 2017-09-14

Similar Documents

Publication Publication Date Title
CN103931219A (zh) 一种网络切换过程中的安全处理方法及***
US20200322784A1 (en) Method and apparatus for managing user equipment history information in wireless communication network
US10873889B2 (en) Handover apparatus and method
US10091698B2 (en) Inter-radio access technology handover method, corresponding device, and communications system
CN102625302B (zh) 密钥衍生方法、设备及***
CN101682415B (zh) 移动台从第一到第二类型的无线网络的切换
EP3177075B1 (en) Communication system, local mobile node and base station
CN102421166A (zh) 一种发现无线接入点的方法、装置与***
KR102290691B1 (ko) 통신 방법 및 장치
CN104427566B (zh) 一种切换方法及载波聚合***
US20230209450A1 (en) Mobility management method and apparatus
CN105025465A (zh) 用户终端位置上报方法、基站、移动管理实体及***
EP2800448B1 (en) Method and device for achieving multi-cell service on base station equipment
CN102790965B (zh) 切换方法、基站、用户设备和移动管理实体
WO2018052343A1 (en) Identification of neighboring network nodes in a wireless communication network
CN101695163A (zh) 一种全局小区标识处理的方法、装置和***
CN101917717B (zh) 一种geran与增强utran间互联互通时建立密钥的方法及***
CN101741551B (zh) 确保前向安全的方法、网络设备、用户设备和通信***
JP2017536728A (ja) ベアラ処理方法、装置、プログラム、及び記録媒体
CN116916399A (zh) 无线接入网***和通信方法、装置、存储介质及电子设备
He et al. A Quick Distributed Soft Handoff Method in CDMA System Based on Mobile Agent

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant