WO2013075417A1

WO2013075417A1 - 切换过程中密钥生成方法及***

Info

Publication number: WO2013075417A1
Application number: PCT/CN2012/071474
Authority: WO
Inventors: 曹岚健; 余万涛
Original assignee: 中兴通讯股份有限公司
Priority date: 2011-11-25
Filing date: 2012-02-22
Publication date: 2013-05-30
Also published as: CN103139771A; CN103139771B

Abstract

本发明公开了一种切换过程中密钥生成方法及***，所述方法包括：在UE切换过程中，网络侧使用下一跳变参数NH生成下一跳变的密钥KeNB；其中，网络侧生成的NH不通知基站；所述网络侧和所述UE侧各自使用目标基站所通知的下一跳变计数器NCC值同步下一跳变的密钥KeNB；所述网络侧将所生成的下一跳变的密钥KeNB通知目标基站。由于基站不能获取NH，因此不能生成下一跳变的密钥KeNB，避免了非法获取下一跳变的密钥KeNB的可能性，保证了前向安全性。本发明大大提升了通信***的安全性。

Description

切换过程中密钥生成方法及*** 技术领域

本发明涉及密钥生成技术，尤其涉及一种切换过程中密钥生成方法及 ***。背景技术

第三代合作伙伴计划（3GPP, 3rd Generation Partnership Project )演进的分组***（EPS, Evolved Packet System )是由演进的通用地面无线接入网络 ( E-UTRAN, Evolved Universal Terrestrial Radio Access Network )和 EPS核心网（Evolved Packet Core )组成。 E-UTRAN由基站设备一演进节点 B( eNB, Evolved Node B )组成， EPS核心网包括移动性管理实体（ MME, Mobility Management Entity )₀ 用户设备（UE, User Equipment )通过无线空中接口与 eNB进行通信，并且通过 eNB与 MME进行通信。

长期演进（ LTE, Long Term Evolution ) ***的通信协议架构中，协议层被分成了接入层（AS, Access Stratum )和非接入层（NAS, Non Access Stratum )。 EPS***设计了双层安全保护机制，即 EPS***要求 AS和 NAS 分别使用不同的安全密钥。

UE和 MME之间通过鉴权与密钥协商（ AKA, Authentication and Key Agreement )过程后，协商出根密钥 Kasme。 UE和 MME分别保存根密钥 Kasme , 并且通过 Kasme分别演进出 AS安全密钥和 NAS安全密钥。

E-UTRAN 的切换过程支持 eNB 之间（ Inter-eNB ) 和无线接入之间 ( Inter-RAT )的切换。 Inter-RAT切换由 S1接口切换信令过程支持； Inter-eNB 切换由 S1或 X2接口切换信令过程支持。通常***使用 X2接口执行 eNB 之间的切换。现有的最新切换过程中密钥生成和分发过程具体如下：

初始过程时， UE向 MME发送一个初始 NAS消息，发起 ECM-IDLE 态到 ECM-CON ECTED 态的转换， MME初始 NAS 消息中包含更新的 NAS COUNT和根据自身的 Kasme所生成的密钥 KeNB。

MME初始化下一跳变计数器（ NCC, Next hop Chaining Counter )值为

0。

MME利用初始产生的 KeNB和自身保存的 Kasme产生出下一跳变参 It ( NH, Next Hop Parameter ), 并且更新 NCC值为 1。 MME将产生的 NH 和更新的 NCC值绑定在一起，为 {NH, NCC=1 }对，并保存 { NH, NCC=1}。

MME将 KeNB发送给 eNB, eNB使用从 MME处接收到的 KeNB为初始密钥。 eNB发送 AS安全模式命令给 UE, UE使用 NAS uplink COUNT 值和自身保存的 Kasme来推导 KeNB。

第一次 X2切换时 , 源 eNB根据 KeNB计算出 KeNB* , 并将 {KeNB* , NCC=0}发送给目标 eNB。目标 eNB将 NCC=0发送给 UE, UE用自身的 NCC值和目标 eNB的 NCC值比较，保证自身更新的 KeNB与目标 eNB保持一致。 MME更新 NCC值，并利用旧的 NH和 Kasme计算新的 NH, 将 {NH, NCC=1 }对更新为 {NH, NCC=2}对。 MME将 { NH, NCC=2}对发送给目标 eNB, 目标 eNB保存接收到的 { NH, NCC}对。

第二次 X2切换时，源 eNB根据自身保存的 NH计算出 KeNB* , 并将 {KeNB*, NCC=2}发送给目标 eNB。目标 eNB将 NCC=2发送给 UE, UE 将自身的 NCC值与目标 eNB的 NCC值进行比较，保证自身更新的 KeNB 与目标 eNB保持一致。 MME更新 NCC值，并利用旧的 NH和 Kasme计算新的 NH,将 {NH, NCC=2}对更新为 {NH, NCC=3}对。 MME将{ NH, NCC=3} 对发送给目标 eNB , 目标 eNB保存接收到的 { NH , NCC}对。

上述方案中第一次 X2切换时的密钥生成和分发过程与非第一次 X2切换时的密钥生成和分发过程不一致，造成了额外的资源损耗。

上述方案中源 eNB推导出目标 eNB的密钥 KeNB , 并将其发送给目标 eNB。源 eNB可以推导出 UE下一跳变时的密钥 KeNB, 这可能会被利用，从而造成通信***的安全隐患。发明内容

有鉴于此，本发明的主要目的在于提供一种切换过程中密钥生成方法及***，能避免由基站确定 UE切换过程中的下一跳变的密钥 KeNB, 保证了通信***的安全性。

为达到上述目的，本发明的技术方案是这样实现的：

一种切换过程中密钥生成方法，包括：

在 UE切换过程中 ,网络侧使用 NH生成下一跳变的密钥 KeNB;其中，所述网络侧生成的 NH不通知基站。

优选地，所述方法还包括：

所述网络侧和所述 UE侧各自使用目标基站所通知的下一跳变计数器 NCC值同步下一跳变的密钥 KeNB; 所述网络侧将所生成的下一跳变的密钥 KeNB通知目标基站。

优选地 , 所述使用 NH生成下一跳变的密钥 KeNB , 为：

使用 NH、目标基站的小区标识和目标通用地面无线接入 UTRA下行载频号生成下一跳变的密钥 KeNB。

优选地，所述方法还包括：

初始下一跳变的密钥 KeNB由所述网络侧根据根密钥 Kasme和非接入层上行链路计数器 NAS UL COUNT值生成；所述网络侧根据根密钥 Kasme 和 KeNB初始化 NH。

优选地，所述方法还包括：

目标基站将接收自源基站的下一跳变计数器 NCC值以及所述目标基站选择的加密和完整性保护算法通过源基站通知所述 UE;

所述 UE确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH 生成新的下一跳变的密钥 KeNB, 再根据所述新的下一跳变的密钥 KeNB 分别生成用户面和信令面的加解密密钥和完整性密钥。

优选地，所述方法还包括：

接收到所述 UE的切换确认后，目标基站将接收自源基站的 NCC值通知所述网络侧；

所述网络侧确定与当前接收的 NCC值对应的 NH,并根据所确定的 NH 生成新的下一跳变的密钥 KeNB,并将所述新的下一跳变的密钥 KeNB通知目标基站；

目标基站根据所接收到的下一跳变的密钥 KeNB分别生成用户面和信令面的加解密密钥和完整性密钥。

优选地，所述网络侧为移动性管理单元 MME。

优选地，所述方法还包括：

源 MME确定接收自源基站的 NCC值对应的 NH, 并向目标 MME发送所接收的 NCC值及其对应的 NH;

目标 MME根据所接收的 NH生成下一跳变的密钥 KeNB , 并使 NCC 值加一，将所述下一跳变的密钥 KeNB和加一后的 NCC值通知目标基站；目标基站选择加密和完整性算法，并将加密和完整性算法以及所接收的 NCC值通过目标 MME、源 MME以及源基站通知所述 UE;

所述 UE确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH 生成新的下一跳变的密钥 KeNB。

一种切换过程中密钥生成***，包括 MME、基站和 UE, 其中：在 UE切换过程中 , MME使用 NH生成下一跳变的密钥 KeNB; 其中 , MME生成的 NH不通知基站。优选地，所述 MME和所述 UE侧各自使用目标基站所通知的 NCC值同步下一跳变的密钥 KeNB; 以及，所述 MME将所生成的下一跳变的密钥 KeNB通知目标基站。

优选地，所述 UE以及 MME, 使用 NH、目标基站的小区标识和目标 UTRA下行载频号生成下一跳变的密钥 KeNB。

优选地 ,所述 MME进一步用于 ,根据根密钥 Kasme和 NAS UL COUNT 值生成初始下一跳变的密钥 KeNB; 并根密钥 Kasme和 KeNB初始化 NH。

优选地，目标基站用于，将接收自源基站的 NCC值以及所述目标基站选择的加密和完整性保护算法通过源基站通知所述 UE;

所述 UE用于，确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH生成新的 KeNB,再根据所述新的 KeNB生成加解密密钥和完整性密钥。

优选地，目标基站用于，接收到所述 UE的切换确认后，将接收自源基站的 NCC值通知所述 MME; 以及，根据接收自所述 MME的 KeNB生成加解密密钥和完整性密钥；

所述 MME用于，确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH生成新的 KeNB, 并将所述新的 KeNB通知目标基站。

优选地，源 MME用于，确定接收自源基站的 NCC值对应的 NH, 并向目标 MME发送所接收的 NCC值及其对应的 NH;

目标 MME用于，根据所接收的 NH生成 KeNB , 并使 NCC值加一，将所述 KeNB和加一后的 NCC值通知目标基站；

目标基站用于，选择加密和完整性算法，并将加密和完整性算法以及所接收的 NCC值通过目标 MME、源 MME以及源基站通知所述 UE;

所述 UE用于，确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH生成新的 KeNB。本发明中， UE切换过程中， UE及 MME使用 NH生成下一跳变的密钥 KeNB; 并且， MME所生成的 NH不再通知给基站。这样，由于基站不能获取 NH, 因此不能生成下一跳变的密钥 KeNB, 避免了非法获取下一跳变的密钥 KeNB的可能性，保证了前向安全性。本发明大大提升了通信系统的安全性。附图说明

图 1为本发明实施例的长期演进***中 eNB之间的 X2切换过程中密钥生成流程图；

图 2为本发明实施例的第一次切换为 X2切换过程的密钥生成流程图；图 3为本发明实施例的 UE、 eNB和 MME已存在安全上下文情况下的 X2切换过程中密钥生成流程图；

图 4为本发明实施例的 S1切换中密钥生成流程图。具体实施方式

本发明的基本思想为：在 X2切换过程中，源 eNB不再为目标 eNB推导出下一跳变的密钥，源 eNB只为目标 eNB提供下一跳变计数器 NCC值。目标 eNB使用 NCC值令 UE和 MME两实体内的 NH保持同步，从而使 UE和 MME内保存相同的 KeNB。目标 eNB使用 NCC值向 MME申请与 UE相同的 KeNB, 从而保持自身的 KeNB和 UE的 KeNB保持一致。切换过程中， NH不再离开 MME, eNB无法获得 NH, eNB也没有能力推导出 NH(计算 NH必须拥有 Kasme ),所以源 eNB无法获得下一跳变中目标 eNB 的 KeNB, 解决了前向安全问题。

为使本发明的目的，技术方案和优点更加清楚明白，以下举实施例并参照附图，对本发明进一步详细说明。

图 1为本发明实施例的长期演进***中 eNB之间的 X2切换过程中密钥生成流程图，如图 1所示，本发明实施例中， LTE基站 eNB之间的 X2 切换过程中密钥生成与分发流程具体包括以下步驟：

步驟 101 ,初始过程中 , MME不发送 NH给源 eNB, MME仅发送 NCC 值给源 e鳳

这里，初始过程是指在 X2切换发生之前，在源 eNB内建立 AS安全上下文的过程。在源 eNB发生 X2切换之前，源 eNB内已经存在了 AS安全上下文，建立此安全上下文的过程可以是初始的连接请求（如附着请求、跟踪区更新（TAU, Tracking Area Update )请求等）、 Intra-eNB切换、 X2 切换、 S1切换或 Inter-RAT切换等。在这些过程中， MME发送给 eNB的 AS安全上下文中不包括 {NH, NCC}对， MME仅发送 NCC值给源 eNB。

步驟 102 ,源 eNB向目标 eNB发起 X2切换请求，即源 eNB向目标 eNB 发送 X2切换请求消息，其中，该 X2切换请求消息中包含 NCC值。此处， NCC值是在步驟 101中 MME发送给源 eNB的 NCC值。

步驟 103 , 目标 eNB将 NCC值发送给 UE和 MME, UE和 MME通过此 NCC值同步 NH , 并使用该 NH生成同样的 KeNB。

目标 eNB通过源 eNB在切换命令中将 NCC值通知给 UE , UE将从目标 eNB处得到的 NCC值和自身保存的 NCC值进行比较，利用从目标 eNB 处得到的 NCC值和自身保存的 NCC值之间的差值进行 NH的同步。这里，所谓的同步是指，一般 UE中存储的 NCC值要小于网络侧通知的 NCC值，需要使用网络侧通知的 NCC值生成 KeNB。

目标 eNB在路径转换请求中将 NCC值通知给 MME, MME将从目标 eNB处得到的 NCC值和自身保存的 NCC值进行比较，利用从目标 eNB处得到的 NCC值和自身保存的 NCC值之间的差值进行 NH的同步。一般来说，本发明中在 MME中保存的 NCC值和从目标 eNB处得到的 NCC值应该是相等的。本步驟能够保证 UE处和 MME处有相同的 {NH, NCC}对。 UE在生成 KeNB之后，利用该 KeNB分别生成数据及信令用的 RRC/UP加解密密钥和完整性密钥。

步驟 104, MME将利用同步的 NH生成 KeNB, 该 KeNB与 UE中保存的 KeNB保持一致。

MME将该 KeNB承载于路径转换请求应答消息中，发送给目标 eNB。目标 eNB利用该 KeNB分别生成数据及信令用的 RRC/UP加解密密钥和完整性密钥。 RRC/UP加解密密钥和完整性密钥和 UE中推导的 RRC/UP加解密密钥和完整性密钥保持一致。

图 2为本发明实施例的第一次切换为 X2切换过程的密钥生成流程图，图 2是在建立起初始连接后，与 UE建立起连接的 eNB决定发起的第一次切换，这里，第一次切换过程就是 X2切换过程。如图 2所示，本实施例是该 X2切换过程中密钥生成与密钥分发的完整流程，具体包括以下步驟：步驟 200, 在 UE和 MME内建立起初始化 AS安全上下文，其目的是初始化 NH。 MME通过 SI AP初始化上下文建立请求消息将 NCC值发送给源 eNB; UE初始化 {NH, NCC}对，并初始化 KeNB。

步驟 200中，在 MME内建立起初始 AS安全，具体为 , MME根据 Kasme 和 NAS 上行链路计数器推导出 KeNB , KeNB=KDF ( Kasme, NAS UL COUNT )。 NAS UL COUNT为初始连接请求中的 NAS上行链路计数器；如果在 AS SMC 过程之前有认证密钥协商（AKA )过程，那么 NAS UL COUNT为 AKA过程中的 NAS上行链路计数器。 KDF表示密钥算法，具体的，是将 Kasme及 NAS UL COUNT所对应的信息顺序排列，作为密钥。

步驟 200中 ,初始化 NH,具体为 , MME在获得 KeNB之后 ,根据 Kasme 和 KeNB计算出 NH, 并令 NCC值加 1 , 此时 NCC=1。 MME保存最新的 {丽， NCC}对。步驟 200中 , ΜΜΕ将 NCC值发送给 eNB, 具体为 , ΜΜΕ向 eNB发送 SI AP初始上下文建立请求消息，其中， NCC值承载于 SI AP初始上下文建立请求消息中，由 MME发送给 eNB。 eNB为 X2切换过程中的源 eNB。

MME不发送 NH给 eNB。

步驟 200中， MME将 NCC值发送给 eNB , 具体为， eNB在接收到由 MME发送的 NCC值后，将 NCC值保存。

步驟 200中， UE初始化 {NH, NCC}对，并初始化 KeNB,具体为， eNB 和 UE之间建立起无线载， UE初始化 NCC=0; 初始化下一跳变密钥为 NH=void; 并且根据 Kasme 和 NAS 上行链路计数器推导出 KeNB , KeNB=KDF ( Kasme, NAS UL COUNT )。

步驟 201 , UE向源 eNB发送测量报告。源 eNB通过测量报告决定向目标 eNB发起一次 X2切换。

步驟 202, 源 eNB向目标 eNB发送切换请求，源 eNB在切换请求中将自身保存的下一跳变计数器 NCC值发送给目标 eNB。此实施例中源 eNB 所保存的 NCC=1。此步驟中源 eNB还将源 eNB的当前 AS安全上下文、 UE的安全能力转发给目标 eNB。

步驟 203 , 目标 eNB在接收到源 eNB的切换请求消息后，保存接收到的 NCC值。 NCC=1。目标 eNB还根据接收到的 UE安全能力选择 RRC/UP 加密和完整性保护算法。

步驟 204 , 目标 eNB向源 eNB方式切换请求应答消息，切换请求应答消息中包括一个传输容器，传输容器中包括目标 eNB所保存的 NCC值、目标 eNB所选择的加密和完整性保护算法标识（EIA、 EEA )等。

步驟 205, 源 eNB向 UE发送切换命令，切换命令中包括了步驟 204 的从目标 eNB中接收到的传输容器。源 eNB使用当前的 AS安全上下文对消息进行加密和完整性保护。步驟 206, UE在接收到源 eNB发送的切换命令后，使用当前的 AS安全上下文对消息进行解密和完整性验证。

UE提取出其中的 NCC值。 UE将从源 eNB接收到的 NCC值和自身所保存的 NCC值进行比较。 UE根据从源 eNB接收到的 NCC值和自身所保存的 NCC值之间的差值，将自身的 {NH, NCC}对同步到接收到的 NCC值所对应的 {NH, NCC}对。 UE保存此次同步产生的 {NH, NCC}对。

步驟 207, UE在同步了 NH后，利用该 NH计算得到 KeNB。计算方法为 KeNB*=KDF ( NH, PCI, EARFCN DL ), PCI为目标 eNB的小区标识， EARFCN— DL 目标 E-UTRA下行载频号， UE可以测量得到目标 PCI 和目标 EARFCN DL; 然后利用 KeNB*更新 KeNB, KeNB=KeNB*。

UE根据接收到的 EEA、 EIA以及自身更新的 KeNB计算出数据及信令用的 RRC/UP加解密密钥和完整性密钥，并替换当前的 AS安全上下文。

步驟 208, UE发送切换确认消息给目标 eNB。此消息被 UE的当前 AS 安全上下文所保护， UE当前的 AS安全上下文已经在步驟 207中被更新。

步驟 209, 目标 eNB发送路径转换请求消息给 MME。其中目标 eNB 将自身所保存的 NCC值通知给 MME。 NCC值与 UE在步驟 206中接收到的 NCC值相同；目标 eNB还将其 PCI和 EARFCN— DL发送给 MME,用于推导 KeNB*。

步驟 210, MME在接收到来自于目标 eNB的路径转换消息后，提取出其中的 NCC值。 MME将接收到的 NCC值与自身所保存的 NCC值进行比较，若相同， MME将取出与此 NCC值关联的 {NH, NCC}对中的 NH; 若不同， MME将计算出与接收到的 NCC值相关联的 NH。

本发明中，能保证 MME中保存的 NCC值大于等于从目标 eNB处接收到的 NCC值， MME保存有与该 NCC值所关联的 NH。

步驟 211 , MME在同步了 NH后，利用该 NH计算得到 KeNB。计算方法为 KeNB*=KDF ( NH, PCI, EARFCN DL ),这里， PCI和 EARFCN— DL 是目标 eNB 的 PCI 和 EARFCN— DL; 然后利用 KeNB*更新 KeNB , KeNB=KeNB*。

步驟 212, MME在计算出 KeNB后，将计算下一跳变的 {NH, NCC} 对。首先将 NCC值加 1 ; 其次计算 NH, NH=KDF ( NH old, Kasme ), 其中， NH— old为 MME中保存的前次 NH。此新计算出的 {NH, NCC}对将用于下一次跳变的密钥更新。

步驟 213 , MME向目标 eNB发送路径转换请求应答消息，该路径转换请求应答消息中携带有新的 NCC值和步驟 211所计算的 KeNB。 NCC值将用于下一跳变的 UE和 MME之间的 NH同步； KeNB与 UE中保存的 KeNB 保持一致。 KeNB将被目标 eNB用于产生数据及信令用的 RRC/UP加解密密钥和完整性密钥。

步驟 214, 目标 eNB将保存新的 NCC值，并使用 KeNB和自身所选择的 EEA、 EIA计算出 RRC/UP加解密密钥和完整性密钥。目标 eNB将使用新生成的 AS安全上下文对步驟 208中所接收到的切换确认消息进行解密和完整性验证。

步驟 215 , 目标 eNB发送释放资源消息给源 eNB。源 eNB在接收到来自于目标 eNB的释放资源消息后，将删除所有的与 UE有关的 AS安全上下文。

图 3为本发明实施例的 UE、 eNB和 MME已存在安全上下文情况下的 X2切换过程中密钥生成流程图，图 3是在进行 X2切换之前， UE和源 eNB 已有了 AS安全上下文， MME也有了部分 AS安全上下文。这些安全上下文是由之前的 UE、 eNB、 MME之间信令交互产生的，这些信令交互可能是之前的初始连接过程、切换过程等。本实施例是在 UE、 eNB和 MME均已存在安全上下文情况下的 X2 切换过程中密钥生成与密钥分发的完整流程，具体包括以下步驟：

在 UE发起测量报告以前， UE保存有 {NH, NCC}对，记为 NCCJJE; 源 eNB处存在 NCC值，记为 NCC_eNB; MME保存的 {NH, NCC}对，记为 NCC— MME。之前的信令交互过程能够保证 NCC— UE 小于等于 NCC— eNB；并且 NCC— eNB小于等于 NCC— MME。

步驟 301 , UE向源 eNB发送测量报告。源 eNB通过测量报告决定向目标 eNB发起一次 X2切换。

步驟 302 , 源 eNB向目标 eNB发送切换请求消息，该切换请求消息中携带有源 _eNB保存的 NCC— eNB。此步驟中源 eNB还将源 eNB的当前 AS 安全上下文、 UE的安全能力转发给目标 eNB。

步驟 303 , 目标 eNB在接收到源 eNB的切换请求消息后，保存接收到的 NCC— eNB。目标 eNB还根据接收到的 UE安全能力选择 RRC/UP加密和完整性保护算法。

步驟 304 , 目标 eNB向源 eNB发送切换请求应答消息，切换请求应答消息中包括一个传输容器，传输容器中包括目标 NCC— eNB、目标 eNB所选择的加密和完整性保护算法标识（EIA、 EEA )等。

步驟 305 , 源 eNB向 UE发送切换命令，切换命令中包括了步驟 304 中的从目标 eNB中接收到的传输容器。

步驟 306, UE在接收到源 eNB发送的切换命令后，使用当前的 AS安全上下文对消息进行解密和完整性验证。

步驟 307, UE在同步了 NH后，利用该 NH计算得到 KeNB。计算方法为 KeNB*=KDF( NH, PCI, EARFCN— DL );然后利用 KeNB*更新 KeNB, KeNB=KeNB*。

步驟 308 , UE发送切换确认消息给目标 eNB。

步驟 309, 目标 eNB发送路径转换请求消息给 MME。其中目标 eNB 将自身所保存的 NCC— eNB 通知给 MME ; 目标 eNB 将其 PCI 和 EARFCN— DL通知给 MME。

步驟 310, MME在接收到来自于目标 eNB的路径转换消息后，提取该路径转换消息中携带的 NCC— eNB。 MME将 NCC— eNB 与自身所保存的 NCC_MME进行比较，若相同 , MME取出与此 NCC_MME关联的 {NH, NCC}对中的 NH; 若不同， MME将计算出与接收到的 NCC— eNB相关联的丽。

步驟 311 , MME在同步了 NH后，利用该 NH计算得到 KeNB。计算方法为 KeNB*=KDF ( NH, PCI, EARFCN— DL；),其中， PCI和 EARFCN— DL 为目标 eNB 的 PCI 和 EARFCN— DL; 然后利用 KeNB*更新 KeNB , KeNB=KeNB*。

步驟 312, MME在计算出 KeNB后，将计算下一跳变的 {NH, NCC} 对。首先将 NCC值加 1 ; 其次计算 NH, NH= KDF ( NH old, Kasme )。此新计算出的 {NH, NCC}对将用于下一次跳变的密钥更新。

步驟 313 , MME向目标 eNB发送路径转换请求应答消息，其中附带新的 NCC值和步驟 311所计算出的 KeNB。 NCC值将用于下一跳变的 UE和 MME之间的 NH同步； KeNB和 UE中保存的 KeNB保持一致。 KeNB将被目标 eNB用于产生数据及信令用的 RRC/UP加解密密钥和完整性密钥。

步驟 314, 目标 eNB将保存新的 NCC值，并使用 KeNB和自身所选择的 EEA、 EIA计算出数据及信令用的 RRC/UP加解密密钥和完整性密钥。目标 eNB将使用新生成的 AS安全上下文对步驟 308中所接收到的切换确认消息进行解密和完整性验证。

步驟 315, 目标 eNB发送释放资源消息给源 eNB。源 eNB在接收到来自于目标 eNB的释放资源消息后，将删除所有的与 UE有关的 AS安全上下文。

从以上描述可以看出，图 2所示密钥生成过程只是附图 3所示过程的一个特例，无论是第一次进行的切换就是 X2切换的过程，还是 X2切换发生在 UE和 eNB中已存在 AS安全上下文的情况下，本发明都能够使 X2切换过程的流程保持一致，并且保证了前向安全。

图 4为本发明实施例的 S1切换中密钥生成流程图，图 4是一次 S1切换中密钥生成和密钥分发流程，其中，为了保证 X2切换过程中的前向安全，在 S1切换过程中也有必要使得 eNB无法获得 NH, 使源 eNB不具备推导目标 eNB的 KeNB的能力，具体包括以下步驟：

步驟 401 , UE向源 eNB发测量报告。此时 UE、源 eNB、源 MME中保持有 UE的 AS安全上下文。

步驟 402, 源 eNB向源 MME发起切换需求，切换需求相关消息中包括源 eNB所保存的 NCC值。

步驟 403 , 源 MME根据从源 eNB接收到的 NCC值同步 {NH, NCC} 对。源 MME向目标 MME发送转发重定位请求消息 , 以将同步后的 {NH , NCC}对和 Kasme、 eKSI发送给目标 MME。

步驟 404 , 目标 MME首先根据接收到的 {NH, NCC}对计算出 KeNB , 然后将 NCC值加 1 , 计算出新的 {NH, NCC}对。新的 {NH, NCC}对用于下一跳变密钥的生成。

步驟 405, 目标 MME向目标 eNB发送切换请求消息。该切换请求消息中包括步驟 404中所计算出的 KeNB和新的 NCC值。目标 MME不发送丽给目标 e鳳步驟 406, 目标 eNB将选择加密和完整性保护算法，将选择好的加密和完整性保护算法标识和 NCC值承载于切换请求应答消息中，并发送给目标 MME。

步驟 407, 目标 MME转发重定位响应消息给源 MME, 该重定位响应消息中包括目标 eNB中所保存的 NCC值、加密和完整性保护算法标识。

步驟 408, 源 MME向源 eNB发切换命令，其中包括目标 eNB中所保存的 NCC值、加密和完整性保护算法标识。

步驟 409, 源 eNB向 UE发切换命令，其中包括目标 eNB中所保存的 NCC值、加密和完整性保护算法标识。

步驟 410, UE根据从源 eNB处接收到的 NCC值同步 {NH, NCC}对，并利用同步好的 NH计算出 KeNB。 UE根据接收到的加密和完整性保护算法标识以及 KeNB计算出数据及信令用的加解密密钥和完整性密钥。

步驟 411 , UE向目标 eNB发送切换确认消息。 UE和目标 eNB之间建立起 AS安全。

本发明还记载了一种切换过程中密钥生成***，包括 MME、基站和 UE, 其中：

在 UE切换过程中 , MME使用 NH生成下一跳变的密钥 KeNB; 其中， MME生成的 NH不通知基站。

其中，上述 MME和上述 UE侧各自使用目标基站所通知的 NCC值同步下一跳变的密钥 KeNB; 以及，所述 MME将所生成的下一跳变的密钥 KeNB通知目标基站。

上述 UE以及 MME, 使用 NH、目标基站的小区标识和目标通用地面无线接入 UTRA下行载频号生成下一跳变的密钥 KeNB。

上述 MME进一步用于，根据根密钥 Kasme和 NAS UL COUNT值生成初始下一跳变的密钥 KeNB; 并根密钥 Kasme和 KeNB初始化 NH。优选地，目标基站用于，将接收自源基站的 NCC值以及所述目标基站选择的加密和完整性保护算法通过源基站通知所述 UE;

或者，优选地，源 MME 用于，确定接收自源基站的 NCC值对应的 NH, 并向目标 MME发送所接收的 NCC值及其对应的 NH;

所述 UE用于，确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH生成新的 KeNB。

本领域技术人员应当理解，本示例切换过程中密钥生成***中的各网元的功能可参见前述图 1至图 4的相关描述而理解。本发明切换过程中密钥生成***是在现有的网络结构基础上，只是对相应的网元功能进行了改进而已，网络结构仍可参见现有网络结构而理解。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

工业实用性本发明在 X2切换过程中，使源 eNB不再为目标 eNB推导出下一跳变的密钥，源 eNB只为目标 eNB提供下一跳变计数器 NCC值。目标 eNB使用 NCC值令 UE和 MME两实体内的 NH保持同步，从而使 UE和 MME 内保存相同的 KeNB。目标 eNB使用 NCC值向 MME申请与 UE相同的 KeNB,从而保持自身的 KeNB和 UE的 KeNB保持一致。切换过程中， NH 不再离开 MME, eNB无法获得 NH, eNB也没有能力推导出 NH (计算 NH 必须拥有 Kasme ), 所以源 eNB无法获得下一跳变中目标 eNB的 KeNB, 解决了前向安全问题。

Claims

权利要求书

1、一种切换过程中密钥生成方法，其特征在于，所述方法包括：在用户设备 UE切换过程中，网络侧使用下一跳变参数 NH生成下一跳变的密钥 KeNB; 其中，所述网络侧生成的 NH不通知基站。

2、根据权利要求 1所述的方法，其特征在于，所述方法还包括：所述网络侧和所述 UE 侧各自使用目标基站所通知的下一跳变计数器

NCC值同步下一跳变的密钥 KeNB; 所述网络侧将所生成的下一跳变的密钥 KeNB通知目标基站。

3、根据权利要求 1所述的方法，其特征在于，所述使用 NH生成下一跳变的密钥 KeNB, 为：

4、根据权利要求 1至 3中任一项所述的方法，其特征在于，所述方法还包括：

初始下一跳变的密钥 KeNB由所述网络侧根据根密钥 Kasme和非接入层上行链路计数器 NAS UL COUNT值生成；所述网络侧根据根密钥 Kasme 和 KeNB初始化丽。

5、根据权利要求 1至 3中任一项所述的方法，其特征在于，所述方法还包括：

6、根据权利要求 5所述的方法，其特征在于，所述方法还包括：接收到所述 UE的切换确认后，目标基站将接收自源基站的 NCC值通知所述网络侧；

7、根据权利要求 1至 6任一项所述的方法，其特征在于，所述网络侧为移动性管理单元 MME。

8、根据权利要求 1至 3中任一项所述的方法，其特征在于，所述方法还包括：

9、一种切换过程中密钥生成***，包括 MME、基站和 UE, 其特征在于：

10、根据权利要求 9所述的***，其特征在于：

所述 MME和所述 UE侧各自使用目标基站所通知的 NCC值同步下一跳变的密钥 KeNB; 以及，所述 MME将所生成的下一跳变的密钥 KeNB通知目标基站。

11、根据权利要求 10所述的***，其特征在于，所述 UE以及 MME, 使用 NH、目标基站的小区标识和目标 UTRA下行载频号生成下一跳变的密钥 KeNB₀

12、根据权利要求 9至 11中任一项所述的***，其特征在于：所述 MME进一步用于 , 根据根密钥 Kasme和 NAS UL COUNT值生成初始下一跳变的密钥 KeNB; 并根密钥 Kasme和 KeNB初始化 NH。

13、根据权利要求 9至 11中任一项所述的***，其特征在于：目标基站用于，将接收自源基站的 NCC值以及所述目标基站选择的加密和完整性保护算法通过源基站通知所述 UE;

14、根据权利要求 13所述的***，其特征在于：

目标基站用于，接收到所述 UE的切换确认后，将接收自源基站的 NCC 值通知所述 MME; 以及，根据接收自所述 MME的 KeNB生成加解密密钥和完整性密钥；

15、根据权利要求 9至 11中任一项所述的***，其特征在于：源 MME用于，确定接收自源基站的 NCC值对应的 NH,并向目标 MME 发送所接收的 NCC值及其对应的 NH;

目标 MME用于，根据所接收的 NH生成 KeNB , 并使 NCC值加一，将所述 KeNB和加一后的 NCC值通知目标基站；目标基站用于，选择加密和完整性算法，并将加密和完整性算法以及所接收的 NCC值通过目标 MME、源 MME以及源基站通知所述 UE; 所述 UE用于，确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH生成新的 KeNB。