WO2015113197A1 - 一种加密数据的装置和方法 - Google Patents

Abstract

　本发明公开了一种加密数据的装置和方法，属于无线通信领域。所述方法包括：接收第一移动性管理实体MME发送的切换触发消息，所述切换触发消息携带用户设备UE的标识；接收第二MME发送的切换请求消息；保持演进型基站eNB与所述UE之间共享的密钥KeNB不变，并根据所述KeNB对所述eNB与所述UE之间通信的数据进行加密。所述装置包括第一接收模块、第二接收模块、保持模块和加密模块。本发明中根据切换触发消息或者切换请求消息确定出切换原因是核心网触发的切换，eNB获取当前与UE共享的KeNB，保持eNB与UE之间的KeNB不变，从而保证eNB侧与UE侧的KeNB同步。

Description

说 明 书 一种加密数据的装置和方法 技术领域

本发明涉及无线通信领域， 特别涉及一种加密数据的装置和方法。 背景技术

当 UE ( User Equipment,用户设备 )进行特定业务，如 MTC ( Machine Type Communication, 机器类通信）业务时， 会占用大量的网络资源， eNB ( evolved Node B, 演进型基站）为了防止 UE进行特定业务时对普通网络的影响， 会将 进行特定业务的 UE由普通网络重定向到特定网络中， 并对 eNB与 UE之间通 信的数据进行加密。

目前， 提供了一种加密数据的方法， 可以为： 当 UE 附着到普通网络时， 普通网络的第一 MME ( Mobility Management Entity, 移动性管理实体 )从 UE 的签约信息中获知需要将 UE从普通网络重定向到特定网络时， 第一 MME向 eNB发送切换触发消息，消息中包含切换的原因值（核心网触发的切换）； eNB 向第一 MME发送切换需要消息，第一 MME计算第一 NCC( Next hop Chaining Counter, 下一跳链计数器）和第一 NH ( Next Hop, 下一跳）， 第一 NCC为根 据当前的第二 NCC加一后得到的， 第一 NH为根据当前是第二 NH计算得到 的； 第一 MME发送向前重定位请求消息给特定网络的第二 MME, 该向前重 定位请求消息携带第第一 NCC和第一 NH; 第二 MME接收第一 MME发送的 向前重定位请求消息， 并发送切换请求消息给 eNB, 该切换请求消息携带第一 NCC和第一 NH, eNB接收第二 MME发送的切换请求消息，并根据第一 NCC 和第一 NH计算更新的密钥 KeNB* , 根据 KeNB*对 eNB与 UE之间通信的数 据进行加密。

在实现本发明的过程中， 发明人发现现有技术至少存在以下问题： 现有技术中对切换流程进行了筒化， eNB不向 UE发送切换命令消息，

UE无法根据切换命令消息获得第一 NCC, 更无法计算更新的密钥 KeNB* ,从 而导致 eNB侧的 KeNB与 UE侧的 KeNB不同步。 发明内容

为了解决现有技术的问题， 本发明提供了一种加密数据的装置和方法。 所 述技术方案如下：

第一方面， 本发明提供了一种加密数据的装置， 所述装置包括：

第一接收模块，用于接收第一移动性管理实体 MME发送的切换触发消息， 所述切换触发消息携带用户设备 UE的标识；

第二接收模块， 用于接收第二 MME发送的切换请求消息；

保持模块，用于保持演进型基站 eNB与所述 UE之间共享的密钥 KeNB不 变；

加密模块，用于根据所述 KeNB对所述 eNB与所述 UE之间通信的数据进 行力口密。

结合第一方面，在第一方面的第一种可能的实现方式中，所述装置还包括： 确定模块， 用于根据所述切换触发消息确定出切换原因是核心网触发的切 换；

第一发送模块， 用于发送切换需要消息给所述第一 MME, 所述切换需要 消息携带所述切换原因， 使所述第一 MME发送向前重定位请求消息给所述第 二 MME, 所述向前重定位请求消息携带所述切换原因， 以使所述第二 MME 发送所述切换请求消息给所述 eNB。

结合第一方面， 在第一方面的第二种可能的实现方式中， 所述切换请求消 息携带第一下一跳链计数器 NCC和第一下一跳 NH, 所述第一 NCC为所述第 一 MME根据第二 NCC加一后得到的，所述第一 NH为所述第一 MME根据第 二 NH计算得到的，所述第二 NCC为当前的 NCC,所述第二 NH为当前的 NH; 或者，

所述切换请求消息携带第二下一跳链计数器 NCC和第二下一跳 NH,所述 第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。

结合第一方面的第一种可能， 在第一方面的第三种可能的实现方式中， 所 述向前重定位请求消息携带第一下一跳链计数器 NCC和第一下一跳 NH,所述 第一 NCC为所述第一 MME根据第二 NCC加一后得到的， 所述第一 NH为所 述第一 MME根据第二 NH计算得到的， 所述第二 NCC为当前的 NCC, 所述 第二 NH为当前的 NH; 或者，

所述向前重定位请求携带第二下一跳链计数器 NCC和第二下一跳 NH,所 述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。

结合第一方面， 在第一方面的第四种可能的实现方式中， 所述保持模块， 包括：

确定单元， 用于根据所述切换触发消息或者所述切换请求消息确定切换原 因是核心网触发的切换；

保持单元， 用于保持所述 KeNB不变。 第二方面， 本发明提供了一种加密数据的装置， 所述装置包括：

第二发送模块， 用于发送切换触发消息给演进型基站 eNB, 所述切换触发 消息携带用户设备 UE的标识，使所述 eNB根据所述切换触发消息发送切换需 要消息给第一移动性管理实体 MME;

第三接收模块， 用于接收所述 eNB发送的所述切换需要消息；

获取模块，用于获取第二下一跳链计数器 NCC和第二下一跳 NH,所述第 二 NCC为当前的 NCC, 所述第二 NH为当前的 NH;

第三发送模块， 用于发送向前重定位请求消息给第二移动性管理实体

MME,所述向前重定位请求消息携带切换原因，使所述第二 MME发送切换请 求消息给所述 eNB, 以使所述 eNB保持所述 eNB与所述 UE之间共享的密钥

KeNB不变， 并根据所述 KeNB对所述 eNB与所述 UE之间通信的数据进行加 密。

结合第二方面， 在第二方面的第一种可能的实现方式中， 所述切换请求消 息携带第一 NCC和第一 NH, 所述第一 NCC为第一 MME根据所述第二 NCC 加一后得到的 ,所述第一 NH为所述第一 MME根据所述第二 NH计算得到的； 或者，

所述切换请求消息携带所述第二 NCC和所述第二 NH。

结合第二方面， 在第二方面的第二种可能的实现方式中， 所述向前重定位 请求消息携带第一 NCC和第一 NH, 所述第一 NCC为所述第一 MME根据所 述第二 NCC加一后得到的，所述第一 NH为所述第一 MME根据所述第二 NH 计算得到的； 或者，

所述向前重定位请求消息携带所述第二 NCC和所述第二 NH。

结合第二方面，在第二方面的第三种可能的实现方式中，所述装置还包括： 第一携带模块，用于将所述向前重定位请求消息的下一跳指示 NHI设置为 预设标识， 并携带所述第二 NCC和所述第二 NH, 或者，

第二携带模块， 用于将所述向前重定位请求消息的旧演进分组*** EPS 安全上下文的下一跳指示 NHI_old设置为所述预设标识，并携带所述第二 NCC 和所述第二 HN。 第三方面， 本发明提供了一种加密数据的方法， 所述方法包括：

接收第一移动性管理实体 MME发送的切换触发消息， 所述切换触发消息 携带用户设备 UE的标识；

接收第二 MME发送的切换请求消息；

保持演进型基站 eNB与所述 UE之间共享的密钥 KeNB不变，并根据所述 KeNB对所述 eNB与所述 UE之间通信的数据进行加密。

结合第三方面， 在第三方面的第一种可能的实现方式中， 所述接收第一移 动性管理实体 MME发送的切换触发消息之后， 所述方法还包括：

根据所述切换触发消息确定出切换原因是核心网触发的切换；

发送切换需要消息给所述第一 MME, 所述切换需要消息携带所述切换原 因， 使所述第一 MME发送向前重定位请求消息给所述第二 MME, 所述向前 重定位请求消息携带所述切换原因， 以使所述第二 MME发送所述切换请求消 息给所述 eNB。

结合第三方面的第一种可能， 在第三方面的第二种可能的实现方式中， 所 述切换请求消息携带第一下一跳链计数器 NCC和第一下一跳 NH, 所述第一 NCC为所述第一 MME根据第二 NCC加一后得到的， 所述第一 NH为所述第 一 MME根据第二 NH计算得到的， 所述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH; 或者，

所述切换请求消息携带第二下一跳链计数器 NCC和第二下一跳 NH,所述 第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。

结合第三方面的第一种可能， 在第三方面的第三种可能的实现方式中， 所 述向前重定位请求消息携带第一下一跳链计数器 NCC和第一下一跳 NH,所述 第一 NCC为所述第一 MME根据第二 NCC加一后得到的， 所述第一 NH为所 述第一 MME根据第二 NH计算得到的， 所述第二 NCC为当前的 NCC, 所述 第二 NH为当前的 NH; 或者，

所述向前重定位请求消息携带第二下一跳链计数器 NCC 和第二下一跳 NH, 所述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。 结合第三方面， 在第三方面的第四种可能的实现方式中， 所述保持演进型 基站 eNB与所述 UE之间共享的密钥 KeNB不变， 包括：

根据所述切换触发消息或者所述切换请求消息确定切换原因是核心网触 发的切换， 保持所述 KeNB不变。 第四方面， 本发明提供了一种加密数据的方法， 所述方法包括： 发送切换触发消息给演进型基站 eNB , 所述切换触发消息携带用户设备

UE的标识， 使所述 eNB根据所述切换触发消息发送切换需要消息给第一移动 性管理实体 MME;

接收所述 eNB发送的所述切换需要消息，并获取第二下一跳链计数器 NCC 和第二下一跳 NH,所述第二 NCC为当前的 NCC,所述第二 NH为当前的 NH;

发送向前重定位请求消息给第二 MME, 所述向前重定位请求消息携带切 换原因，使所述第二 MME发送切换请求消息给所述 eNB, 以使所述 eNB保持 所述 eNB与所述 UE之间共享的密钥 KeNB不变， 并 居所述 KeNB对所述 eNB与所述 UE之间通信的数据进行加密。

结合第四方面， 在第四方面的第一种可能的实现方式中，， 所述切换请求 消息携带第一 NCC和第一 NH, 所述第一 NCC为所述第一 MME根据所述第 二 NCC加一后得到的， 所述第一 NH为所述第一 MME根据所述第二 NH计 算得到的； 或者，

所述切换请求消息携带所述第二 NCC和所述第二 NH。

结合第四方面， 在第四方面的第二种可能的实现方式中， 所述向前重定位 请求消息携带第一 NCC和第一 NH, 所述第一 NCC为所述第一 MME根据所 述第二 NCC加一后得到的，所述第一 NH为所述第一 MME根据所述第二 NH 计算得到的； 或者，

所述向前重定位请求消息携带所述第二 NCC和所述第二 NH。

结合第四方面， 在第四方面的第三种可能的实现方式中， 所述发送向前重 定位请求消息给第二移动性管理实体 MME之前， 所述方法还包括：

将所述向前重定位请求消息的下一跳指示 NHI设置为预设标识，并携带所 述第二 NCC和所述第二 NH, 或者，

将所述向前重定位请求消息的旧演进分组*** EPS 安全上下文的下一跳 指示 NHI_old设置为所述预设标识， 并携带所述第二 NCC和所述第二 HN。 第五方面， 本发明提供了一种加密数据的装置， 所述装置包括： 第一存储 器和第一处理器， 用于执行如第三方面任一权利要求所述的加密数据的方法。 第六方面， 本发明提供了一种加密数据的装置， 所述装置包括： 第二存储 器和第二处理器， 用于执行如第四方面任一权利要求所述的加密数据的方法。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 附图说明

为了更清楚地说明本发明实施例中的技术方案， 下面将对实施例描述中所 需要使用的附图作筒单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明 的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1是本发明实施例 1提供的一种加密数据的装置结构示意图；

图 2是本发明实施例 2提供的一种加密数据的装置结构示意图；

图 3是本发明实施例 3提供的一种加密数据的方法流程图；

图 4是本发明实施例 4提供的一种加密数据的方法流程图；

图 5是本发明实施例 5提供的一种加密数据的方法流程图；

图 6是本发明实施例 6提供的一种加密数据的方法流程图；

图 7是本发明实施例 7提供的一种加密数据的装置结构示意图；

图 8是本发明实施例 8提供的一种加密数据的装置结构示意图。 具体实施方式

为使本发明的目的、 技术方案和优点更加清楚， 下面将结合附图对本发明 实施方式作进一步地详细描述。 实施例 1

本发明实施例提供了一种加密数据的装置。参见图 1 ,其中，该装置包括： 第一接收模块 101 , 用于接收第一 MME发送的切换触发消息， 该切换触 发消息携带用户设备 UE的标识；

其中， 第一 MME从 UE的签约信息中获知需要将 UE从普通网络的第一 MME切换到特定网络的第二 MME时， 获取 UE的标识， 并发送切换触发消 息给第一接收模块 101 ,该切换触发消息携带 UE的标识。 eNB接收第一 MME 发送的切换触发消息。

其中， UE的标识为任一可以标识 UE的标识， 在本发明实施例中， 对 UE 的标识不#文具体限定。 例如， UE的标识为 MME UE S1AP ( Access Point, 访 问接入点 ) ID ( Identity, 身份标识号码 ) 即 MME在 S1接口上唯一标识 UE 的标识或 eNB UE S1AP ID即 eNB在 SI接口上唯一标识 UE的标识等。 第一 MME为 UE当前附着的 MME。

其中， 需要说明的是， 在第一 MME从 UE的签约信息中获知需要将 UE 从普通网络的第一 MME切换到特定网络的第二 MME之前， UE向普通网络 发起附着流程， 并和网络侧的 S-GW ( Serving Gateway,服务网关 )或者 P-GW ( PDN Gateway, PDN网关）建立 PDN ( Public Data Network, 公用数据网） 连接。

第二接收模块 102, 用于接收第二 MME发送的切换请求消息。

其中， 为了将 UE由第一 MME重定向到第二 MME时， 第二 MME发送 切换请求消息给第二接收模块 102, 第二接收模块 102接收第二 MME发送的 该切换请求消息。

进一步地， 第二接收模块 102接收到第二 MME发送的切换请求消息时， 发送切换确认消息给第二 MME。 该切换确认消息用于通知第二 MME可以进 行此次切换。

保持模块 103, 用于保持演进型基站 eNB与 UE之间共享的密钥 KeNB不 变；

其中， 保持模块 103, 包括：

确定单元， 用于根据该切换触发消息或者该切换请求消息确定切换原因是 核心网触发的切换；

其中，由于该切换触发消息是第一 MME发送的，确定单元根据第一 MME 发送的切换触发消息可以确定出此次切换原因为核心网触发的切换； 或者， 切 换请求消息中携带切换原因，确定单元可以根据切换原因确定切换原因是核心 网触发的切换。

其中，核心网触发的切换只是将 UE所附着的 MME进行切换， UE所在的 'J、区和基站并不发生变化。

保持单元， 用于保持 KeNB不变。

其中， 保持单元获取当前 eNB与 UE之间共享的 KeNB , 并将该 KeNB作 为切换 MME后的密钥 KeNB*。

加密模块 104,用于根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据 进行加密。

具体地，加密模块 104根据 KeNB*计算第一密钥和第二密钥，并采用第一 密钥和第二密钥对 eNB与 UE之间通信的数据进行加密和完整性保护。

其中， 需要说明的是， 如果该切换请求消息中携带第一 {NCC, NH}对， eNB忽略第一 {NCC, NH}对， 并保持 KeNB不变。

进一步地， 该装置还包括：

确定模块， 用于根据所述切换触发消息确定出切换原因是核心网触发的切 换；

第一发送模块， 用于发送切换需要消息给第一 MME, 该切换需要消息携 带切换原因， 使第一 MME发送向前重定位请求消息给第二 MME, 该向前重 定位请求消息携带切换原因， 以使第二 MME发送该切换请求消息给 eNB。

具体地， 第一接收模块 101接收到第一 MME发送的切换触发消息后， 确 定模块根据切换触发消息确定出切换原因是核心网触发的切换， 第一发送模块 发送切换需要消息给第一 MME, 该切换需要消息携带切换原因； 第一 MME 接收第一发送模块发送的切换需要消息， 并发送向前重定位请求消息给第二 MME , 该向前重定位请求消息携带切换原因； 第二 MME接收第一 MME发送 的向前重定位请求消息， 并发送切换请求消息给第二接收模块 102。

其中， 该向前重定位请求消息携带的切换原因用于通知第二 MME此次切 换为核心网触发的切换。 该向前重定位请求消息中还可以携带 Kasme和 KSI ( Key Set Identifier, 密钥集标识）， 该 Kasme和 KSI用于推演非接入层 NAS 密钥。

进一步地， 该切换请求消息可以不携带任何 {NCC, NH}对信息； 该切换 请求消息也可以携带第一下一跳链计数器 NCC和第一下一跳 NH, 第一 NCC 为第一 MME根据第二 NCC加一后得到的， 第一 NH为第一 MME根据第二 NH计算得到的， 第二 NCC为当前的 NCC, 第二 NH为当前的 NH; 或者， 该 切换请求消息携带第二下一跳链计数器 NCC和第二下一跳 NH, 第二 NCC为 当前的 NCC, 第二 NH为当前的 NH。

其中， 第一 MME接收到切换需要消息时， 获取第二 NCC和第二 NH; 第 一 MME根据第二 NCC和第二 NH计算第一 NCC和第一 NH时， 该切换请求 消息中携带第一 NCC和第一 NH, 如果第一 MME根据第二 NCC和第二 NH 不计算第一 NCC和第一 NH时，该切换请求消息中携带第二 NCC和第二 NH。

进一步地， 该切换请求消息中还可以携带切换原因。

其中， 该向前重定位请求消息携带第一 NCC和第一 NH, 第一 NCC为第 一 MME根据第二 NCC加一后得到的，第一 NH为第一 MME根据第二 NH计 算得到的， 第二 NCC为当前的 NCC, 第二 NH为当前的 NH; 或者， 该向前 重定位请求消息携带第二 NCC和第二 NH, 第二 NCC为当前的 NCC, 第二 NH为当前的 NH。

进一步地， 将 UE所附着的 MME由第一 MME切换到第二 MME之后， 第二 MME发送向前重定位响应消息给第一 MME。

进一步地， 当该切换请求消息中不携带任何 {NCC, NH}对信息时，在 eNB 将 UE所附着的 MME由第一 MME切换到第二 MME之后， 第二 MME根据 第二 NCC加一得到第一 NCC, 根据第二 NH计算得到第一 NH, 并发送路径 改变消息给 eNB ,该路径改变消息携带第一 { NCC , NH }对。 eNB接收第二 MME 发送的路径改变消息， 并获取第一 {NCC, NH}对。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 实施例 2

本发明实施例提供了一种加密数据的装置。参见图 2,其中，该装置包括： 第二发送模块 201 , 用于发送切换触发消息给演进型基站 eNB, 该切换触 发消息携带用户设备 UE的标识，使 eNB根据该切换触发消息发送切换需要消 息；

其中， 第一 MME从 UE的签约信息中获知需要将 UE从普通网络的第一 MME切换到特定网络的第二 MME时， 获取 UE的标识， 第二发送模块 201 发送切换触发消息给第一接收模块 101 ,该切换触发消息携带 UE的标识。 eNB 接收第一 MME发送的切换触发消息。

其中， UE的标识为任一可以标识 UE的标识， 在本发明实施例中， 对 UE 的标识不做具体限定。 例如， UE的标识为 MME UE S1AP ID即 MME在 S1 接口上唯一标识 UE的标识或 eNB UE S1AP ID即 eNB在 SI接口上唯一标识 UE的标识等。 第一 MME为 UE当前附着的 MME。

其中， 需要说明的是， 在第一 MME从 UE的签约信息中获知需要将 UE 从普通网络的第一 MME切换到特定网络的第二 MME之前， UE向普通网络 发起附着流程， 并和网络侧的 S-GW或者 P-GW建立 PDN连接。

第三接收模块 202, 用于接收 eNB发送的该切换需要消息；

其中， eNB根据切换触发消息发送切换需要消息给第三接收模块 202, 第 三接收模块 202接收 eNB发送的该切换需要消息。

获取模块， 用于获取第二下一跳链计数器 NCC和第二下一跳 NH, 第二 NCC为当前的 NCC, 第二 NH为当前的 NH;

第三发送模块 203, 用于发送向前重定位请求消息给第二移动性管理实体 MME,该向前重定位请求消息携带切换原因，使第二 MME发送切换请求消息 给 eNB ,以使 eNB保持 eNB与 UE之间共享的密钥 KeNB不变，并根据该 KeNB 对 eNB与 UE之间通信的数据进行加密。

进一步地， 该切换请求消息携带第一 NCC和第一 NH, 第一 NCC为第一 MME根据第二 NCC加一后得到的， 第一 NH为第一 MME根据第二 NH计算 得到的； 或者， 该切换请求消息携带第二 NCC和第二 NH。

进一步地， 该切换请求消息中还可以携带切换原因。

其中， 第三接收模块 202接收 eNB发送的切换需要消息， 并根据切换需 要消息中的切换原因确认该切换原因是由核心网触发的切换，获取第二 {NCC, NH}对， 根据第二 {NCC, NH}对计算第一 {NCC, NH}对， 即将第二 NCC加 一得到第一 NCC, 以及根据第二 NH计算第一 NH。 其中， 第二 {NCC, NH}对为当前的 {NCC, NH}对， 或者旧的 {NCC, NH} 对， 第二 {NCC, NH}对包括第二 NCC和第二 NH; 第一 {NCC, NH}对为新鲜 的 {NCC, NH}对， 第一 {NCC, NH}对包括第一 NCC和第一 NH。

其中， 第二 NCC为当前的 NCC; 第二 NH为当前的 NH。

进一步地， 第一 MME发送向前重定位请求消息给第二 MME, 该向前重 定位请求消息携带切换原因和第一 {NCC, NH}对， 或者， 该向前重定位请求 消息携带切换原因和第二 {NCC, NH}对。第二 MME接收第一 MME发送的向 前重定位请求消息， 并发送切换请求消息给 eNB。

其中， 该向前重定位请求消息携带的切换原因用于通知第二 MME此次切 换为核心网触发的切换。 该向前重定位请求消息中还可以携带 Kasme和 KSI, 该 Kasme和 KSI用于推演非接入层 NAS密钥。

其中， 第二 MME接收第一 MME发送的向前重定位请求消息， 根据该向 前重定位请求消息中的切换原因确定是核心网触发的切换， 第二 MME发送给 eNB 的切换请求消息中不携带任何 {NCC, NH}对信息； 或者， 如果向前重定 位请求消息中携带第一 {NCC, NH}对时， 第二 MME接收第一 MME发送的向 前重定位请求消息， 第二 MME根据向前重定位请求消息中的切换原因确定是 核心网触发的切换并从该向前重定位请求消息中获取第一 {NCC, NH}对， 第 二 MME发送给 eNB的切换请求消息中携带第一 {NCC, NH}对； 或者， 如果 向前重定位请求消息中携带第二 { NCC , NH }对时， 第二 MME接收第一 MME 发送的向前定位请求消息， 第二 MME根据向前重定位请求消息中的切换原因 确定是核心网触发的切换并从该向前重定位请求消息中获取第二 { NCC , NH } 对， 第二 MME发送给 eNB的切换请求消息中携带第二 {NCC, NH}对。

其中，第二 MME为除第一 MME之外的任一 MME,在本发明实施例中， 对第二 MME不作具体限定， 例如， 第二 MME为某个特定 MME。

进一步地， eNB接收第二 MME发送的切换请求消息， 并发送切换确认消 息给第二 MME; eNB保持 eNB与 UE之间共享的密钥 KeNB不变， 并根据该 KeNB对 eNB与 UE之间通信的数据进行加密。

具体地， eNB根据切换触发消息或者切换请求消息确定出切换原因是核心 网触发的切换， 获取当前 eNB与 UE之间共享的 KeNB, 并将该 KeNB作为切 换 MME后的密钥 KeNB*; eNB根据 KeNB*计算第一密钥和第二密钥， 并采 用第一密钥和第二密钥对 eNB与 UE之间通信的数据进行加密和完整性保护。 其中， 该切换确认消息用于通知第二 ΜΜΕ可以进行此次切换。

其中， 需要说明的是， 如果该切换请求消息中携带第一 {NCC, ΝΗ}对， eNB忽略第一 {NCC, NH}对， 并保持 KeNB不变。

进一步地， 第二 MME发送向前重定位响应消息给第一 MME。

进一步地， 当该切换请求消息中不携带任何 {NCC, NH}对信息时，在 eNB 将 UE所附着的 MME由第一 MME切换到第二 MME之后， 第二 MME根据 第二 NCC加一得到第一 NCC, 根据第二 NH计算得到第一 NH, 并发送路径 改变消息给 eNB ,该路径改变消息携带第一 { NCC , NH }对。 eNB接收第二 MME 发送的路径改变消息， 并获取第一 {NCC, NH}对。

进一步地， 该装置还包括：

第一携带模块，用于将该向前重定位请求消息的下一跳指示 NHI设置为预 设标识， 并携带第二 NCC和第二 NH, 或者，

第二携带模块，用于将向前重定位请求消息的旧演进分组*** EPS安全上 下文的下一跳指示 NHI_old设置为预设标识， 并携带第二 NCC和第二 HN。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 实施例 3

本发明实施例提供了一种加密数据的方法。参见图 3 ,其中，该方法包括： 步骤 301 :接收第一 MME发送的切换触发消息，该切换触发消息携带 UE 的标识；

步骤 302: 接收第二 MME发送的切换请求消息；

步骤 303: 保持 eNB与 UE之间共享的密钥 KeNB不变， 并根据该 KeNB 对 eNB与 UE之间通信的数据进行加密。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 实施例 4

本发明实施例提供了一种加密数据的方法。参见图 4,其中，该方法包括： 步骤 401 : 第一 MME发送切换触发消息给 eNB,该切换触发消息携带 UE 的标识；

具体地， 第一 MME从 UE的签约信息中获知需要将 UE从普通网络的第 一 MME切换到特定网络的第二 MME时， 获取 UE的标识， 并发送切换触发 消息给 eNB , 该切换触发消息携带 UE的标识。

其中， UE的标识为任一可以标识 UE的标识， 在本发明实施例中， 对 UE 的标识不做具体限定。 例如， UE的标识为 MME UE S1AP ID即 MME在 S1 接口上唯一标识 UE的标识或 eNB UE S1AP ID即 eNB在 SI接口上唯一标识 UE的标识等。 第一 MME为 UE当前附着的 MME。

其中， 需要说明的是， 在步骤 401之前， UE向普通网络发起附着流程并 和网络侧的 S-GW或者 P-GW建立 PDN连接。

步骤 402: eNB接收第一 MME发送的切换触发消息， 并根据该切换触发 消息确定出切换原因是核心网触发的切换；

其中， 由于该切换触发消息是第一 MME发送的， eNB根据第一 MME发 送的切换触发消息可以确定出此次切换原因为核心网触发的切换； 核心网触发 的切换只是将 UE所附着的 MME进行切换， UE所在的小区和基站并不发生变 化。

步骤 403: eNB发送切换需要消息给第一 MME, 该切换需要消息携带切 换原因；

步骤 404: 第一 MME接收 eNB发送的切换需要消息， 根据切换需要消息 计算第一 NCC和第一 NH;

具体地， 第一 MME接收 eNB发送的切换需要消息， 并根据切换需要消息 确认该切换原因是由核心网触发的切换， 获取第二 {NCC, NH}对， 根据第二 {NCC, NH}对计算第一 {NCC, NH}对， 即将第二 NCC加一得到第一 NCC, 以及根据第二 NH计算第一 NH。 其中， 第二 {NCC, NH}对为当前的 {NCC, NH}对， 或者旧的 {NCC, NH} 对， 第二 {NCC, NH}对包括第二 NCC和第二 NH; 第一 {NCC, NH}对为新鲜 的 {NCC, NH}对， 第一 {NCC, NH}对包括第一 NCC和第一 NH。

其中， 第二 NCC为当前的 NCC; 第二 NH为当前的 NH。

步骤 405: 第一 MME发送向前重定位请求消息给第二 MME,该向前重定 位请求消息携带切换原因和第一 {NCC, NH}对；

其中， 该向前重定位请求消息携带的切换原因用于通知第二 MME此次切 换为核心网触发的切换。

进一步地， 该向前重定位请求消息中还可以携带 Kasme和 KSI ( Key Set Identifier, 密钥集标识）， 该 Kasme和 KSI用于推演非接入层 NAS密钥。

其中，第二 MME为除第一 MME之外的任一 MME,在本发明实施例中， 对第二 MME不作具体限定， 例如， 第二 MME为某个特定 MME。

步骤 406: 第二 MME接收第一 MME发送的向前重定位请求消息， 并发 送切换请求消息给 eNB;

具体地， 第二 MME接收第一 MME发送的向前重定位请求消息， 根据该 向前重定位请求消息中的切换原因确定是核心网触发的切换， 第二 MME发送 给 eNB的切换请求消息中不携带任何 {NCC, NH}对信息； 或者， 第二 MME 接收第一 MME发送的向前重定位请求消息， 第二 MME根据向前重定位请求 消息中的切换原因是核心网触发的切换并从该向前重定位请求消息中获取第 一 {NCC, NH}对， 第二 MME发送给 eNB的切换请求消息中携带第一 {NCC, NH}对。

进一步地， 该切换请求消息中还可以携带切换原因。

步骤 407: eNB接收第二 MME发送的切换请求消息， 并发送切换确认消 息给第二 MME;

其中， 该切换确认消息用于通知第二 MME可以进行此次切换。

步骤 408: eNB保持 eNB与 UE之间共享的密钥 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密；

具体地， eNB根据切换触发消息或者切换请求消息确定出切换原因是核心 网触发的切换， 获取当前 eNB与 UE之间共享的 KeNB, 并将该 KeNB作为切 换 MME后的密钥 KeNB*; eNB根据 KeNB*计算第一密钥和第二密钥， 并采 用第一密钥和第二密钥对 eNB与 UE之间通信的数据进行加密和完整性保护。 其中， 需要说明的是， 如果该切换请求消息中携带第一 {NCC, NH}对， eNB忽略第一 {NCC, NH}对， 并保持 KeNB不变。

步骤 409: 第二 MME发送向前重定位响应消息给第一 MME。

进一步地， 当该切换请求消息中不携带第一 {NCC, NH}对时， 在 eNB将 UE所附着的 MME由第一 MME切换到第二 MME之后，第二 MME发送路径 改变消息给 eNB ,该路径改变消息携带第一 { NCC , NH }对。 eNB接收第二 MME 发送的路径改变消息， 并获取第一 {NCC, NH}对。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 实施例 5

本发明实施例提供了一种加密数据的方法。参见图 5 ,其中，该方法包括： 步骤 501: 发送切换触发消息给 eNB, 该切换触发消息携带 UE的标识， 使 eNB根据该切换触发消息发送切换需要消息给第一 MME;

步骤 502:接收 eNB发送的该切换需要消息，并获取第二 NCC和第二 NH, 第二 NCC为当前的 NCC, 第二 NH为当前的 NH;

步骤 503: 发送向前重定位请求消息给第二 MME, 该向前重定位请求消 息携带切换原因，使第二 MME发送切换请求消息给 eNB, 以使 eNB保持 eNB 与 UE之间共享的密钥 KeNB不变，并根据 KeNB对 eNB与 UE之间通信的数 据进行加密。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 实施例 6

本发明实施例提供了一种加密数据的方法。参见图 6,其中，该方法包括： 步骤 601： 第一 MME发送切换触发消息给 eNB ,该切换触发消息携带 UE 的标识；

具体地， 第一 MME从 UE的签约信息中获知需要将 UE从普通网络的第 一 MME切换到特定网络的第二 MME时， 获取 UE的标识， 并发送切换触发 消息给 eNB , 该切换触发消息携带 UE的标识。

其中， UE的标识为任一可以标识 UE的标识， 在本发明实施例中， 对 UE 的标识不#文具体限定。 例如， UE的标识为 MME UE S1AP ID即 MME在 S1 接口上唯一标识 UE的标识或 eNB UE S1AP ID即 eNB在 SI接口上唯一标识 UE的标识等。 第一 MME为 UE当前附着的 MME。

其中， 需要说明的是， 在步骤 601之前， UE向普通网络发起附着流程， 并和网络侧的 S-GW或者 P-GW建立 PDN连接。

步骤 602: eNB接收第一 MME发送的切换触发消息， 并根据该切换触发 消息确定出切换原因是核心网触发的切换；

其中， 由于该切换触发消息是第一 MME发送的， eNB根据第一 MME发 送的切换触发消息可以确定出此次切换原因为核心网触发的切换； 核心网触发 的切换只是将 UE所附着的 MME进行切换， UE所在的小区和基站并不发生变 化。

步骤 603: eNB发送切换需要消息给第一 MME, 该切换需要消息携带切 换原因；

其中， 该切换原因用于指示将 UE所附着的 MME进行切换， 并且， 切换 原因可以为任一指示消息，在本发明实施例中对切换原因不作具体限定，例如， 切换原因可以是切换原因 （核心网触发的切换）。

步骤 604: 第一 MME接收 eNB发送的切换需要消息， 根据切换需要消息 发送向前重定位请求消息给第二 MME;

具体地， 第一 MME接收 eNB发送的切换需要消息， 并根据切换需要消息 中的切换原因确定是由核心网触发的切换， 向第二 MME发送向前重定位请求 消息， 该向前重定位请求消息携带切换原因、 第二 {NCC, NH}对；

其中， 第二 {NCC, NH}对为当前的 {NCC, NH}对， 或者旧的 {NCC, NH} 对，第二 {NCC, NH}对包括第二 NCC和第二 NH;第二 NCC为当前的 NCC; 第二 NH为当前的 NH。

其中， 该向前重定位请求消息携带的切换原因用于通知第二 MME此次切 换为核心网触发的切换。

进一步地， 该向前重定位请求消息中还可以携带 Kasme和 KSI, 该 Kasme 和 KSI用于推演非接入层 NAS密钥。

其中，第二 MME为除第一 MME之外的任一 MME,在本发明实施例中， 对第二 MME不作具体限定， 例如， 第二 MME为某个特定 MME。

步骤 605： 第二 MME接收第一 MME发送的向前重定位请求消息， 并发 送切换请求消息给 eNB;

具体地， 第二 MME接收第一 MME发送的向前重定位请求消息， 根据该 向前重定位请求消息中的切换原因确定是核心网触发的切换， 第二 MME发送 给 eNB的切换请求消息中不携带任何 {NCC, NH}对信息； 或者， 第二 MME 接收第一 MME发送的向前重定位请求消息， 第二 MME根据向前重定位请求 消息中的切换原因确定是核心网触发的切换并从该向前重定位请求消息中获 取第二 { NCC , NH }对，第二 MME发送给 eNB的切换请求消息中携带第二 { NCC , NH}对。

进一步地， 该切换请求消息中还可以携带切换原因。

其中，将该向前重定位请求消息的 NHI( Next Hop Indicator,下一跳指示 ) 设置为预设标识， 并携带第二 NCC和第二 NH, 或者， 将该向前重定位请求消 息的 NHI_old ( Next Hop Indicator for old EPS ( Evolved Packet System, 演进分 组***） Security Context, 旧 EPS安全上下文的下一跳指示）设置为预设标 识， 并携带第二 NCC和所述第二 HN。

其中， 该预设标识为任一可以标识 NHI或者 NHI_old的标识， 在本发明 实施例中， 对预设标识不作具体限定， 例如预设标识为 1。

步骤 606: eNB接收第二 MME发送的切换请求消息， 并发送切换确认消 息给第二 MME;

其中， 该切换确认消息用于通知第二 MME可以进行此次切换。

步骤 607: eNB保持 eNB与 UE之间共享的密钥 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密；

具体地， eNB根据切换触发消息或者切换请求消息确定出切换原因是核心 网触发的切换， 获取当前 eNB与 UE之间共享的 KeNB, 并将该 KeNB作为切 换 MME后的密钥 KeNB*; eNB根据 KeNB*计算第一密钥和第二密钥， 并采 用第一密钥和第二密钥对 eNB与 UE之间通信的数据进行加密和完整性保护。

其中， 需要说明的是， 如果该切换请求消息中携带第二 {NCC, NH}对， eNB忽略第二 {NCC, NH}对， 并保持 KeNB不变。

步骤 608: 第二 MME发送向前重定位响应消息给第一 MME。

进一步地， 在 eNB将 UE所附着的 MME由第一 MME切换到第二 MME 之后， 第二 MME根据第二 {NCC, NH}对计算第一 {NCC, NH}对， 第二 MME 发送路径改变消息给 eNB, 该路径改变消息携带第一 {NCC, NH}对。 eNB接 收第二 MME发送的路径改变消息， 并获取第一 {NCC, NH}对。

其中， 第二 MME将第二 NCC加一得到第一 NCC, 以及根据第二 NH计 算第一 NH, 第二 {NCC, NH}对为当前的 {NCC, NH}对， 第二 {NCC, NH} 对包括第二 NCC和第二 NH; 第一 {NCC, NH}对为新鲜的 {NCC, NH}对， 第 一 {NCC, NH}对包括第一 NCC和第一 NH。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 实施例 7

本发明实施例提供了一种加密数据的装置。参见图 7,其中，该装置包括： 第一存储器 701和第一处理器 702, 用于执行以下加密数据的方法：

接收第一移动性管理实体 MME发送的切换触发消息， 该切换触发消息携 带用户设备 UE的标识；

接收第二 MME发送的切换请求消息；

保持演进型基站 eNB与 UE之间共享的密钥 KeNB不变， 并根据该 KeNB 对 eNB与 UE之间通信的数据进行加密。

进一步地， 接收第一移动性管理实体 MME发送的切换触发消息之后， 该 方法还包括：

根据所述切换触发消息确定出切换原因是核心网触发的切换； 发送切换需要消息给所述第一 MME, 所述切换需要消息携带所述切换原 因， 使所述第一 MME发送向前重定位请求消息给所述第二 MME, 所述向前 重定位请求消息携带所述切换原因， 以使所述第二 MME发送所述切换请求消 息给所述 eNB。

进一步地， 该切换请求消息携带第一下一跳链计数器 NCC和第一下一跳 NH, 第一 NCC为第一 MME根据第二 NCC加一后得到的， 第一 NH为第一 MME根据第二 NH计算得到的， 第二 NCC为当前的 NCC, 第二 NH为当前 的 NH; 或者，

该切换请求消息携带第二下一跳链计数器 NCC和第二下一跳 NH, 第二 NCC为当前的 NCC, 第二 NH为当前的 NH。

进一步地， 所述向前重定位请求消息携带第一下一跳链计数器 NCC和第 一下一跳 NH,所述第一 NCC为所述第一 MME根据第二 NCC加一后得到的， 所述第一 NH为所述第一 MME根据第二 NH计算得到的， 所述第二 NCC为 当前的 NCC, 所述第二 NH为当前的 NH; 或者，

所述向前重定位请求携带第二下一跳链计数器 NCC和第二下一跳 NH,所 述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。

进一步地， 保持演进型基站 eNB与 UE之间共享的密钥 KeNB不变， 包 括：

根据该切换触发消息或者该切换请求消息确定切换原因是核心网触发的 切换， 保持该 KeNB不变。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 实施例 8

本发明实施例提供了一种加密数据的装置。参见图 8,其中，该装置包括： 第二存储器 801和第二处理器 802, 用于执行以下加密数据的方法：

发送切换触发消息给演进型基站 eNB , 该切换触发消息携带用户设备 UE 的标识， 使 eNB 根据该切换触发消息发送切换需要消息给第一移动性管理实 体 MME;

接收 eNB发送的该切换需要消息， 并获取第二下一跳链计数器 NCC和第 二下一跳 NH, 第二 NCC为当前的 NCC, 第二 NH为当前的 NH;

发送向前重定位请求消息给第二 MME, 该向前重定位请求消息携带切换 原因， 使第二 MME发送切换请求消息给 eNB , 以使 eNB保持 eNB与 UE之 间共享的密钥 KeNB不变，并根据该 KeNB对 eNB与 UE之间通信的数据进行 加密。

进一步地， 该切换请求消息携带第一 NCC和第一 NH, 第一 NCC为第一 MME根据第二 NCC加一后得到的， 第一 NH为第一 MME根据第二 NH计算 得到的； 或者，

该切换请求消息携带第二 NCC和第二 NH。

进一步地， 向前重定位请求消息携带第一 NCC和第一 NH, 第一 NCC为 第一 MME根据第二 NCC加一后得到的， 第一 NH为第一 MME根据第二 NH 计算得到的； 或者，

向前重定位请求消息携带第二 NCC和第二 NH。

进一步地， 发送向前重定位请求消息给第二移动性管理实体 MME之前， 该方法还包括：

将该向前重定位请求消息的下一跳指示 NHI设置为预设标识，并携带第二 NCC和第二 NH, 或者，

将该向前重定位请求消息的旧演进分组*** EPS 安全上下文的下一跳指 示 NHI_old设置为预设标识， 并携带第二 NCC和第二 HN。

在本发明实施例中， eNB接收第一 MME发送的切换触发消息以及接收第 二 MME发送的切换请求消息， 根据切换触发消息或者切换请求消息确定出切 换原因是核心网触发的切换， eNB获取当前与 UE共享的 KeNB,并将该 KeNB 作为切换 MME后更新的密钥 KeNB* ,即保持 eNB与 UE之间的 KeNB不变， 并根据该 KeNB或 KeNB*对 eNB与 UE之间通信的数据进行加密， 从而保证 eNB侧与 UE侧的 KeNB同步。 领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过 硬件来完成， 也可以通过程序来指令相关的硬件完成， 所述的程序可以存储于 一种计算机可读存储介质中， 上述提到的存储介质可以是只读存储器， 磁盘或 光盘等。

以上所述仅为本发明的较佳实施例， 并不用以限制本发明， 凡在本发明的 精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的 保护范围之内。

Claims

权 利 要 求 书

1、 一种加密数据的装置， 其特征在于， 所述装置包括：

第一接收模块，用于接收第一移动性管理实体 MME发送的切换触发消息， 所述切换触发消息携带用户设备 UE的标识；

第二接收模块， 用于接收第二 MME发送的切换请求消息；

保持模块，用于保持演进型基站 eNB与所述 UE之间共享的密钥 KeNB不 变；

加密模块，用于根据所述 KeNB对所述 eNB与所述 UE之间通信的数据进 行力口密。

2、 如权利要求 1所述的装置， 其特征在于， 所述装置还包括：

确定模块， 用于根据所述切换触发消息确定出切换原因是核心网触发的切 换；

第一发送模块， 用于发送切换需要消息给所述第一 MME, 所述切换需要 消息携带所述切换原因， 使所述第一 MME发送向前重定位请求消息给所述第 二 MME, 所述向前重定位请求消息携带所述切换原因， 以使所述第二 MME 发送所述切换请求消息给所述 eNB。

3、 如权利要求 1所述的装置， 其特征在于， 所述切换请求消息携带第一 下一跳链计数器 NCC和第一下一跳 NH, 所述第一 NCC为所述第一 MME根 据第二 NCC加一后得到的， 所述第一 NH为所述第一 MME根据第二 NH计 算得到的，所述第二 NCC为当前的 NCC,所述第二 NH为当前的 NH; 或者， 所述切换请求消息携带第二下一跳链计数器 NCC和第二下一跳 NH,所述 第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。

4、 如权利要求 2所述的装置， 其特征在于， 所述向前重定位请求消息携 带第一下一跳链计数器 NCC和第一下一跳 NH, 所述第一 NCC为所述第一 MME根据第二 NCC加一后得到的，所述第一 NH为所述第一 MME根据第二 NH计算得到的， 所述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH; 或者， 所述向前重定位请求携带第二下一跳链计数器 NCC和第二下一跳 NH,所 述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。

5、 如权利要求 1所述的装置， 其特征在于， 所述保持模块， 包括： 确定单元， 用于根据所述切换触发消息或者所述切换请求消息确定切换原 因是核心网触发的切换；

保持单元， 用于保持所述 KeNB不变。

6、 一种加密数据的装置， 其特征在于， 所述装置包括：

第二发送模块， 用于发送切换触发消息给演进型基站 eNB, 所述切换触发 消息携带用户设备 UE的标识，使所述 eNB根据所述切换触发消息发送切换需 要消息给第一移动性管理实体 MME;

第三接收模块， 用于接收所述 eNB发送的所述切换需要消息；

获取模块，用于获取第二下一跳链计数器 NCC和第二下一跳 NH,所述第 二 NCC为当前的 NCC, 所述第二 NH为当前的 NH;

第三发送模块， 用于发送向前重定位请求消息给第二移动性管理实体 MME,所述向前重定位请求消息携带切换原因，使所述第二 MME发送切换请 求消息给所述 eNB, 以使所述 eNB保持所述 eNB与所述 UE之间共享的密钥 KeNB不变， 并根据所述 KeNB对所述 eNB与所述 UE之间通信的数据进行加 密。

7、 如权利要求 6所述的装置， 其特征在于， 所述切换请求消息携带第一 NCC和第一 NH, 所述第一 NCC为所述第一 MME根据所述第二 NCC加一后 得到的 ,所述第一 NH为所述第一 MME根据所述第二 NH计算得到的；或者， 所述切换请求消息携带所述第二 NCC和所述第二 NH。

8、 如权利要求 6所述的装置， 其特征在于， 所述向前重定位请求消息携 带第一 NCC和第一 NH, 所述第一 NCC为所述第一 MME根据所述第二 NCC 加一后得到的 ,所述第一 NH为所述第一 MME根据所述第二 NH计算得到的； 或者，

所述向前重定位请求消息携带所述第二 NCC和所述第二 NH。

9、 如权利要求 6所述的装置， 其特征在于， 所述装置还包括： 第一携带模块，用于将所述向前重定位请求消息的下一跳指示 NHI设置为 预设标识， 并携带所述第二 NCC和所述第二 NH, 或者，

第二携带模块， 用于将所述向前重定位请求消息的旧演进分组*** EPS 安全上下文的下一跳指示 NHI_old设置为所述预设标识，并携带所述第二 NCC 和所述第二 HN。

10、 一种加密数据的方法， 其特征在于， 所述方法包括：

接收第一移动性管理实体 MME发送的切换触发消息， 所述切换触发消息 携带用户设备 UE的标识；

接收第二 MME发送的切换请求消息；

保持演进型基站 eNB与所述 UE之间共享的密钥 KeNB不变，并根据所述 KeNB对所述 eNB与所述 UE之间通信的数据进行加密。

11、 如权利要求 10所述的方法， 所述接收第一移动性管理实体 MME发 送的切换触发消息之后， 所述方法还包括：

根据所述切换触发消息确定出切换原因是核心网触发的切换；

发送切换需要消息给所述第一 MME, 所述切换需要消息携带所述切换原 因， 使所述第一 MME发送向前重定位请求消息给所述第二 MME, 所述向前 重定位请求消息携带所述切换原因， 以使所述第二 MME发送所述切换请求消 息给所述 eNB。

12、 如权利要求 10所述的方法， 其特征在于， 所述切换请求消息携带第 一下一跳链计数器 NCC和第一下一跳 NH, 所述第一 NCC为所述第一 MME 根据第二 NCC加一后得到的， 所述第一 NH为所述第一 MME根据第二 NH 计算得到的， 所述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH; 或 者，

所述切换请求消息携带第二下一跳链计数器 NCC和第二下一跳 NH,所述 第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。

13、 如权利要求 11 所述的方法， 其特征在于， 所述向前重定位请求消息 携带第一下一跳链计数器 NCC和第一下一跳 NH, 所述第一 NCC为所述第一 MME根据第二 NCC加一后得到的，所述第一 NH为所述第一 MME根据第二 NH计算得到的， 所述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH; 或者，

所述向前重定位请求携带第二下一跳链计数器 NCC和第二下一跳 NH,所 述第二 NCC为当前的 NCC, 所述第二 NH为当前的 NH。

14、 如权利要求 10所述的方法， 其特征在于， 所述保持演进型基站 eNB 与所述 UE之间共享的密钥 KeNB不变， 包括：

根据所述切换触发消息或者所述切换请求消息确定切换原因是核心网触 发的切换， 保持所述 KeNB不变。

15、 一种加密数据的方法， 其特征在于， 所述方法包括：

发送切换触发消息给演进型基站 eNB , 所述切换触发消息携带用户设备 UE的标识， 使所述 eNB根据所述切换触发消息发送切换需要消息给第一移动 性管理实体 MME;

接收所述 eNB发送的所述切换需要消息，并获取第二下一跳链计数器 NCC 和第二下一跳 NH,所述第二 NCC为当前的 NCC,所述第二 NH为当前的 NH; 发送向前重定位请求消息给第二 MME, 所述向前重定位请求消息携带切 换原因，使所述第二 MME发送切换请求消息给所述 eNB, 以使所述 eNB保持 所述 eNB与所述 UE之间共享的密钥 KeNB不变， 并 居所述 KeNB对所述 eNB与所述 UE之间通信的数据进行加密。

16、 如权利要求 15所述的方法， 其特征在于， 所述切换请求消息携带第 一 NCC和第一 NH,所述第一 NCC为所述第一 MME根据所述第二 NCC加一 后得到的， 所述第一 NH为所述第一 MME根据所述第二 NH计算得到的； 或 者，

所述切换请求消息携带所述第二 NCC和所述第二 NH。

17、 如权利要求 15所述的方法， 其特征在于， 所述向前重定位请求消息 携带第一 NCC和第一 NH,所述第一 NCC为所述第一 MME根据所述第二 NCC 加一后得到的 ,所述第一 NH为所述第一 MME根据所述第二 NH计算得到的； 或者，

所述向前重定位请求消息携带所述第二 NCC和所述第二 NH。

18、 如权利要求 15所述的方法， 其特征在于， 所述发送向前重定位请求 消息给第二移动性管理实体 MME之前， 所述方法还包括：

将所述向前重定位请求消息的下一跳指示 NHI设置为预设标识，并携带所 述第二 NCC和所述第二 NH, 或者，

将所述向前重定位请求消息的旧演进分组*** EPS 安全上下文的下一跳 指示 NHI_old设置为所述预设标识， 并携带所述第二 NCC和所述第二 HN。

19、 一种加密数据的装置， 其特征在于， 所述装置包括： 第一存储器和第 一处理器， 用于执行如权利要求 11-14任一权利要求所述的加密数据的方法。

20、 一种加密数据的装置， 其特征在于， 所述装置包括： 第二存储器和第 二处理器， 用于执行如权利要求 15-18任一权利要求所述的加密数据的方法。