專利名稱:無線通信網(wǎng)絡(luò)中的密鑰分發(fā)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信領(lǐng)域,尤其涉及一種無線通信網(wǎng)絡(luò)中的密鑰分發(fā)方法和系統(tǒng)�。
背景技術(shù):
隨著基于IP業(yè)務(wù)和流量的急劇增長,3GPP這種接入技術(shù)漸漸地不能適應(yīng)這種變化�。與之對應(yīng)地,無線局域網(wǎng)(Wireless Local Area Network�,WLAN)、微波存取全球互通(Worldwide Interoperability for Microwave Access�����,WiMAX)等接入技術(shù)開始興起�,對3GPP網(wǎng)絡(luò)造成了直接的威脅。為了保證在未來十年以至更久的時間內(nèi)3GPP系統(tǒng)的競爭力�����,一個接入技術(shù)演進的工作正在3GPP組織內(nèi)部進行�����。3GPP開始考慮對3GPP網(wǎng)絡(luò)接入技術(shù)的長期演進問題����,尤其是對3GPP系統(tǒng)內(nèi)實現(xiàn)的分組交換技術(shù)進行增強�����,以使得3GPP接入系統(tǒng)在性能和成本方面都處于領(lǐng)先地位���。
當前無線演進網(wǎng)絡(luò)架構(gòu)如圖1所示,其核心網(wǎng)主要包含移動管理實體(Mobility Management Entity��,MME)�、用戶面實體(User Plane Entity,UPE)����、系統(tǒng)間錨點(Inter AS Anchor,IASA)三個邏輯功能體����。其中�����,MME負責控制面的移動性管理���,包括用戶上下文和移動狀態(tài)管理����,分配用戶臨時身份標識、安全功能等�����;UPE負責空閑狀態(tài)下為下行數(shù)據(jù)發(fā)起尋呼����,管理保存IP承載參數(shù)和網(wǎng)絡(luò)內(nèi)路由信息等;IASA則充當不同接入系統(tǒng)間的用戶面錨點��。UPE可能單獨存在���,也可能和MME合為一個實體�����。UPE也有可能與IASA合為一個實體�����。圖中的各個接口的功能和是否存在目前還沒有最終確定�����。用戶信息存儲于家鄉(xiāng)用戶服務(wù)器(Home Subscriber Server����,HSS)。
3GPP的網(wǎng)絡(luò)的技術(shù)演進主要包括減少時延和反應(yīng)時間�����、提高用戶數(shù)據(jù)速率���、增強系統(tǒng)容量和覆蓋范圍����、降低運營商成本等方面����。此外,演進的網(wǎng)絡(luò)結(jié)構(gòu)對于現(xiàn)有網(wǎng)絡(luò)的后向兼容性也是一個重要的指標���。其中在安全方面,要求演進網(wǎng)絡(luò)中的用戶安全機制必須保證提供至少和目前2G和3G系統(tǒng)相同級別的安全要求�。
目前,在UMTS系統(tǒng)中�����,安全的終結(jié)點位于無線網(wǎng)絡(luò)控制器(Radio NetworkController,RNC)�����。用戶設(shè)備和RNC執(zhí)行加密/解密和完整性保護操作�,為用戶數(shù)據(jù)提供機密性保護,為用戶設(shè)備和RNC之間交互的信令提供機密性保護和完整性保護��。這種情況下�,用戶設(shè)備和RNC僅僅需要使用一個加密密鑰CK和一個完整性保護密鑰IK即可,其加密密鑰和完整性密鑰的分發(fā)方式如下1�、用戶設(shè)備和網(wǎng)絡(luò)執(zhí)行認證過程,認證結(jié)束后用戶設(shè)備和核心網(wǎng)中的移動業(yè)務(wù)交換中心/訪問位置寄存器(MSC/VLR)得到密鑰CK和IK��。
2��、核心網(wǎng)中的設(shè)備MSC/VLR或者服務(wù)GPRS支持節(jié)點(Serving GPRSSupport Node�����,SGSN)將密鑰CK和IK發(fā)送給RNC�����。
然而,在無線演進網(wǎng)絡(luò)中����,可能有三個不同的安全關(guān)聯(lián)分別來保護接入層信令、非接入層信令和用戶數(shù)據(jù)的安全���,即用戶面的安全�����、接入層信令面的安全和非接入層信令面的安全���。用戶面的安全被終結(jié)在核心網(wǎng),信令面的接入層信令和非接入層信令兩個部分�,分別終結(jié)在接入網(wǎng)和核心網(wǎng)。具體而言�����,用戶面的安全終結(jié)在核心網(wǎng)的UPE上��,接入層信令的安全終結(jié)在無線演進網(wǎng)絡(luò)接入網(wǎng)的基站上�,非接入層信令的安全尚未決定終結(jié)在核心網(wǎng)的哪個設(shè)備上�,可能終結(jié)在MME上����,也可能終結(jié)在IASA上���。因此�,在無線演進網(wǎng)絡(luò)中���,需要將上述三套涉及用戶面安全和信令面安全的密鑰分發(fā)到網(wǎng)絡(luò)中執(zhí)行相應(yīng)安全操作的實體和用戶��。
現(xiàn)有UMTS系統(tǒng)中的密鑰分發(fā)方法只能推演和分發(fā)一組密鑰給一個網(wǎng)絡(luò)中執(zhí)行安全操作的實體和用戶����。因此�,針對演進網(wǎng)絡(luò),需要制定一種無線演進網(wǎng)絡(luò)中的密鑰推演和分發(fā)方法�����,以保證網(wǎng)絡(luò)的安全�。
發(fā)明內(nèi)容
本發(fā)明提供一種演進網(wǎng)絡(luò)中的密鑰分發(fā)方法,實現(xiàn)在演進網(wǎng)絡(luò)中推演和分發(fā)保護接入層信令���、非接入層信令和用戶數(shù)據(jù)安全的密鑰�。
本發(fā)明另提供演進網(wǎng)絡(luò)中的密鑰分發(fā)系統(tǒng)。
本發(fā)明方法包括分別推演出保護接入層信令����、非接入層信令和用戶數(shù)據(jù)安全的密鑰;將推演出的密鑰分發(fā)到網(wǎng)絡(luò)中執(zhí)行相應(yīng)安全操作的實體上���。
根據(jù)本發(fā)明的上述方法���,用戶信息存儲服務(wù)器和用戶設(shè)備分別推演出相同的所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰���;用戶信息存儲服務(wù)器將推演出的密鑰發(fā)送到移動管理實體���,由移動管理實體分發(fā)到執(zhí)行相應(yīng)安全操作的實體上。
上述方法中����,在用戶信息存儲服務(wù)器和用戶設(shè)備上預(yù)先設(shè)置相同的所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰的推演算法��,并在兩者間共享一個或多個密鑰��;用戶信息存儲服務(wù)器和用戶設(shè)備分別根據(jù)預(yù)設(shè)的密鑰推演算法和相同的共享密鑰推演出相應(yīng)的密鑰。
用戶信息存儲服務(wù)器和用戶設(shè)備推演所述密鑰時還根據(jù)相同的參數(shù)��。
當用戶設(shè)備不具備所述參數(shù)時�����,用戶信息存儲服務(wù)器將該參數(shù)發(fā)送到移動管理實體���,由移動管理實體發(fā)送到用戶設(shè)備。
所述參數(shù)為用戶信息存儲服務(wù)器生成的隨機數(shù)����。
根據(jù)本發(fā)明的上述方法,移動管理實體和用戶設(shè)備分別推演出相同的所述保護接入層信令���、非接入層信令和用戶數(shù)據(jù)安全的密鑰���,并由移動管理實體將推演出的密鑰分發(fā)到執(zhí)行相應(yīng)安全操作的實體上。
上述方法中�,用戶信息存儲服務(wù)器和用戶設(shè)備分別推演出相同的根密鑰;移動管理實體根據(jù)用戶信息存儲服務(wù)器推演出的根密鑰推演所述保護接入層信令�����、非接入層信令和用戶數(shù)據(jù)安全的密鑰;
用戶設(shè)備根據(jù)其推演推演出的根密鑰推演出所述保護接入層信令�����、非接入層信令和用戶數(shù)據(jù)安全的密鑰���。
上述方法中���,在移動管理實體和用戶設(shè)備上預(yù)先設(shè)置相同的所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰的推演算法�����;移動管理實體和用戶設(shè)備分別根據(jù)預(yù)設(shè)的推演算法推演出相應(yīng)的密鑰����。
移動管理實體和用戶設(shè)備推演所述密鑰時還根據(jù)相同的參數(shù)。
當用戶設(shè)備不具備所述參數(shù)時����,移動管理實體將該參數(shù)發(fā)送到用戶設(shè)備。
所述參數(shù)為移動管理實體生成的隨機數(shù)����。
上述方法中����,移動管理實體和用戶設(shè)備將所述根密鑰作為保護非接入層信令或/和用戶數(shù)據(jù)安全的密鑰����。
根據(jù)本發(fā)明的上述方法,移動管理實體推演出所述保護接入層信令�、非接入層信令和用戶數(shù)據(jù)安全的密鑰�����,并由移動管理實體將推演出的密鑰分別分發(fā)到用戶設(shè)備和執(zhí)行相應(yīng)安全操作的實體上���。
上述方法中�����,用戶信息存儲服務(wù)器和用戶設(shè)備分別推演出相同的根密鑰��;用戶信息存儲服務(wù)器將其推演出的根密鑰發(fā)送到移動管理實體�;移動管理實體利用所述根密鑰加密其推演出的所述所述保護接入層信令�����、非接入層信令和用戶數(shù)據(jù)安全的密鑰;用戶設(shè)備利用所述根密鑰解密收到的密鑰���。
根據(jù)本發(fā)明的上述方法��,在用戶信息存儲服務(wù)器和用戶設(shè)備上預(yù)先設(shè)置相同的所述根密鑰的推演算法�,并在兩者間共享一個或多個密鑰��;用戶信息存儲服務(wù)器和用戶設(shè)備分別根據(jù)預(yù)設(shè)的根密鑰推演算法和相同的共享密鑰推演出所述根密鑰����。
用戶信息存儲服務(wù)器和用戶設(shè)備推演所述根密鑰時還根據(jù)相同的參數(shù)。
當用戶設(shè)備不具備所述參數(shù)時�����,用戶信息存儲服務(wù)器將該參數(shù)發(fā)送到移動管理實體�����,由移動管理實體發(fā)送到用戶設(shè)備�。
根據(jù)本發(fā)明的上述方法,用戶設(shè)備在其終端部分或智能卡部分進行密鑰推演����。
根據(jù)本發(fā)明的上述方法����,當執(zhí)行非接入層信令安全的操作實體和執(zhí)行用戶數(shù)據(jù)安全的操作實體為同一實體時�,所述保護非接入層信令和保護用戶數(shù)據(jù)安全的密鑰相同或不同。
根據(jù)本發(fā)明的上述方法���,所述執(zhí)行安全操作的實體收到所述密鑰后���,利用所述密鑰保護其與用戶設(shè)備之間的通信;或所述執(zhí)行安全操作的實體根據(jù)所述密鑰推演出衍生密鑰��,并利用該衍生密鑰保護其與用戶設(shè)備之間的通信����。
根據(jù)本發(fā)明的上述方法�����,所述保護接入層信令的密鑰包括提供機密性保護的密鑰或/和提供完整性保護的密鑰�����;所述保護非接入層信令的密鑰包括提供機密性保護的密鑰或/和提供完整性保護的密鑰��;所述保護用戶數(shù)據(jù)安全的密鑰包括提供機密性保護的密鑰或/和提供完整性保護的密鑰。
本發(fā)明提供的密鑰分發(fā)系統(tǒng)��,包括網(wǎng)絡(luò)側(cè)和用戶設(shè)備�,所述網(wǎng)絡(luò)側(cè)包括執(zhí)行安全操作的網(wǎng)絡(luò)實體;網(wǎng)絡(luò)側(cè)還包括保護接入層信令����、非接入層信令和用戶數(shù)據(jù)安全的密鑰的密鑰推演模塊、密鑰分發(fā)模塊����;所述密鑰推演模塊與所述密鑰分發(fā)模塊連接,將推演出所述保護接入層信令���、非接入層信令和用戶數(shù)據(jù)安全的密鑰發(fā)送到密鑰分發(fā)模塊�����;所述密鑰分發(fā)模塊分別與用戶設(shè)備和所述執(zhí)行安全操作的網(wǎng)絡(luò)實體連接�����,將其接收到的密鑰分發(fā)到所述用戶設(shè)備和執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體��。
本發(fā)明的上述系統(tǒng)����,包括兩個相同的密鑰推演模塊,分別位于網(wǎng)絡(luò)側(cè)的用戶信息存儲服務(wù)器和用戶設(shè)備�����,位于用戶信息存儲服務(wù)器上的密鑰推演模塊與所述密鑰分發(fā)模塊連接�����;所述用戶信息存儲服務(wù)器上的密鑰推演模塊和所述用戶設(shè)備上的密鑰推演模塊分別推演出相同的所述密鑰����;所述用戶信息存儲服務(wù)器上的密鑰推演模塊將其推演出的所述密鑰發(fā)送到所述密鑰分發(fā)模塊,并通過該模塊將密鑰分別分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體����。
本發(fā)明的上述系統(tǒng)����,包括兩個相同的密鑰推演模塊,分別位于網(wǎng)絡(luò)側(cè)的移動管理實體和用戶設(shè)備����,移動管理實體上的密鑰推演模塊與所述密鑰分發(fā)模塊連接���;還包括兩個相同的根密鑰推演模塊,分別位于網(wǎng)絡(luò)側(cè)的用戶信息存儲服務(wù)器和用戶設(shè)備�,用戶信息存儲服務(wù)器上的根密鑰推演模塊與移動管理實體上的密鑰推演模塊連接;所述用戶信息存儲服務(wù)器上的根密鑰推演模塊和所述用戶設(shè)備上的根密鑰推演模塊分別推演出相同的根密鑰;用戶信息存儲服務(wù)器上的根密鑰推演模塊將推演出的根密鑰發(fā)送到移動管理實體上的密鑰推演模塊���;所述移動管理實體上的密鑰推演模塊和所述用戶設(shè)備上的密鑰推演模塊根據(jù)推演出的相同的所述根密鑰推演所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰�;所述移動管理實體上的密鑰推演模塊將推演出的密鑰發(fā)送到所述密鑰分發(fā)模塊,由其分別分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體���。
本發(fā)明的上述系統(tǒng)�,還包括兩個相同的根密鑰推演模塊���,分別位于用戶信息存儲服務(wù)器和用戶設(shè)備��,用戶信息存儲服務(wù)器上的根密鑰推演模塊與移動管理實體上的密鑰推演模塊連接����;所述密鑰推演模塊位于移動管理實體��;所述用戶設(shè)備還包括一密鑰解密模塊;所述用戶信息存儲服務(wù)器上的根密鑰推演模塊和所述用戶設(shè)備上的密鑰推演模塊分別推演出相同的根密鑰�;所述用戶信息存儲服務(wù)器上的根密鑰推演模塊將推演出的根密鑰發(fā)送到移動管理實體上的密鑰推演模塊;所述移動管理實體上的密鑰推演模塊推演出所述保護接入層信令�、非接入層信令和用戶數(shù)據(jù)安全的密鑰,發(fā)送到所述密鑰分發(fā)模塊��,并利用接收到的根密鑰對其推演出的密鑰進行加密����,發(fā)送到所述密鑰分發(fā)模塊;所述密鑰分發(fā)模塊將未加密的密鑰發(fā)送到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體�����,將加密后的密鑰發(fā)送到用戶設(shè)備上的密鑰解密模塊���;所述用戶設(shè)備上的密鑰解密模塊收到移動管理實體發(fā)送的加密后的密鑰后���,從該用戶設(shè)備的根密鑰推演模塊獲取根密鑰,并利用該根密鑰解密接收到的密鑰�����。
本發(fā)明的上述系統(tǒng)����,所述密鑰分發(fā)模塊位于網(wǎng)絡(luò)側(cè)的移動管理實體。
本發(fā)明的有益效果如下(1)本發(fā)明提供的無線演進網(wǎng)絡(luò)中密鑰的分發(fā)方法�����,解決了無線演進網(wǎng)絡(luò)中執(zhí)行相應(yīng)安全操作的實體獲得安全密鑰�。
(2)本發(fā)明提供了多種密鑰的分發(fā)方式,包括由網(wǎng)絡(luò)側(cè)的用戶信息存儲服務(wù)器推演出密鑰��,由移動管理實體分發(fā)到用戶設(shè)備和執(zhí)行安全操作的實體��;由網(wǎng)絡(luò)側(cè)的用戶信息存儲服務(wù)器和移動管理實體協(xié)同推演出密鑰���,由移動管理實體分發(fā)到用戶設(shè)備和執(zhí)行安全操作的實體�����,使無線演進網(wǎng)絡(luò)系統(tǒng)可根據(jù)需要靈活選擇密鑰分發(fā)方式�����。
圖1為現(xiàn)有技術(shù)中的無線演進網(wǎng)絡(luò)架構(gòu)示意圖���;圖2為本發(fā)明實施例一的密鑰分發(fā)流程示意圖;圖3為本發(fā)明實施例一中HSS或用戶設(shè)備推演密鑰的示意圖;圖4為本發(fā)明實施例二的密鑰分發(fā)流程示意圖����;圖5為本發(fā)明實施例二中HSS或用戶設(shè)備推演根密鑰的示意圖;圖6為本發(fā)明實施例二中MME或用戶設(shè)備推演密鑰的示意圖之一���;圖7為本發(fā)明實施例二中MME或用戶設(shè)備推演密鑰的示意圖之二��;圖8為本發(fā)明實施例三的密鑰分發(fā)流程示意圖��;圖9為本發(fā)明的演進移動通信網(wǎng)絡(luò)中的密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)示意圖�����;
圖10為本發(fā)明的第一種密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)示意圖�;圖11為本發(fā)明的第二種密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)示意圖����;圖12為本發(fā)明的第三種密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)示意圖。
具體實施例方式
本發(fā)明提供一種移動通信網(wǎng)絡(luò)中的密鑰分發(fā)方法���,網(wǎng)絡(luò)側(cè)分別推演出保護接入層信令���、非接入層信令和用戶數(shù)據(jù)安全的密鑰,然后由網(wǎng)絡(luò)側(cè)將其推演出的密鑰分發(fā)到用戶設(shè)備和網(wǎng)絡(luò)中執(zhí)行相應(yīng)安全操作的實體上��。
保護接入層信令��、非接入層信令和用戶數(shù)據(jù)安全的密鑰的推演及分發(fā)方式有兩種第一種方式中�,網(wǎng)絡(luò)側(cè)推演出保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰�����,然后����,網(wǎng)絡(luò)側(cè)通知用戶設(shè)備推演出相同的密鑰,并由網(wǎng)絡(luò)側(cè)分發(fā)到執(zhí)行相應(yīng)安全操作的實體上�;在第二種方式中,網(wǎng)絡(luò)側(cè)推演出保護接入層信令���、非接入層信令和用戶數(shù)據(jù)安全的密鑰��,然后�����,網(wǎng)絡(luò)側(cè)將密鑰分別分發(fā)到用戶設(shè)備和執(zhí)行相應(yīng)安全操作的實體上�����。
其中�,網(wǎng)絡(luò)側(cè)推演用于保護接入層信令,非接入層信令和用戶數(shù)據(jù)安全的密鑰有兩種方法�����,一種方法是網(wǎng)絡(luò)側(cè)的保存用戶信息的服務(wù)器直接推演得到保護接入層信令�����,非接入層信令和用戶數(shù)據(jù)安全的密鑰�����;另一種方法是網(wǎng)絡(luò)側(cè)的保存用戶信息的服務(wù)器和移動管理實體協(xié)同工作�����,推演得到保護接入層信令�,非接入層信令和用戶數(shù)據(jù)安全的密鑰。
下面以在演進網(wǎng)絡(luò)中進行密鑰分發(fā)的三個實施例為例�,對本發(fā)明進行詳細描述。
實施例一本實施例描述由HSS和用戶設(shè)備根據(jù)共享密鑰分別推演得到保護接入層信令�����、非接入層信令和用戶數(shù)據(jù)安全的密鑰,并由MME分發(fā)給執(zhí)行安全操作的網(wǎng)絡(luò)實體���。
參見圖2,為本發(fā)明實施例一的密鑰分發(fā)流程示意圖����。HSS和用戶設(shè)備上預(yù)先已設(shè)置有根據(jù)共享密鑰推演保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰的推演函數(shù)KGA����,其密鑰生成和分發(fā)的具體步驟包括1、用戶設(shè)備和HSS預(yù)先共享一個或多個密鑰���。
在用戶設(shè)備和HSS上共享密鑰的方式可以通過在用戶設(shè)備和HSS上設(shè)置相同的密鑰實現(xiàn)����。用戶設(shè)備和HSS可預(yù)先共享一個或多個密鑰���、公私鑰對或證書等�,本實施例中以用戶設(shè)備和HSS預(yù)先共享一個密鑰K為例進行描述���。
2�����、HSS推演保護接入層信令�、非接入層信令和用戶數(shù)據(jù)安全的密鑰。
HSS根據(jù)預(yù)先共享的密鑰K��,利用推演函數(shù)KGA推演得到保護接入層信令的密鑰CKas和IKas�����、保護非接入層信令的密鑰CKnas和IKnas�����、保護用戶數(shù)據(jù)安全的密鑰CKu和Iku(其中CK為提供機密性保護的密鑰���,IK為提供完整性保護的密鑰��,以下同)���。密鑰推導(dǎo)過程還可能需要一些參數(shù)的參與,如HSS生成的鑒權(quán)挑戰(zhàn)隨機數(shù)RAND�����。
圖3給出了本實施例的密鑰推演方式,即由推演函數(shù)KGA以及共享密鑰K和隨機數(shù)RAND推演密鑰�。其中,KGA1-6分別是上述密鑰CKas�����、Ikas��、Cknas����、Iknas��、Cku和Iku的推演函數(shù)���,每個密鑰的推演過程都使用相同的隨機數(shù)�����。推演方式可以多種多樣���,不限于圖3所示的方式����。例如���,HSS可以根據(jù)同一個隨機數(shù)來生成三組密鑰���,也可以根據(jù)不同的隨機數(shù)來生成三組密鑰。HSS還可以根據(jù)隨機數(shù)來生成保護非接入層信令的密鑰�,利用簡單的拆分,合并等方法來生成保護接入層和用戶數(shù)據(jù)安全的密鑰���。
HSS推演這些密鑰的時機可以由MME的請求觸發(fā)�����。例如�����,MME發(fā)送認證向量請求消息后���,HSS進行密鑰推演。
3、HSS將推演得到的密鑰和HSS生成的RAND參數(shù)發(fā)送給MME�����。
這些信息可以攜帶在認證向量響應(yīng)消息中發(fā)送給MME��。
4��、MME將RAND參數(shù)發(fā)送給用戶設(shè)備��。
此信息可以攜帶在鑒權(quán)挑戰(zhàn)消息中發(fā)給用戶設(shè)備���。
5、用戶設(shè)備推演保護接入層信令����、非接入層信令和用戶數(shù)據(jù)安全的密鑰。
用戶設(shè)備根據(jù)預(yù)先共享的密鑰K和HSS生成的RAND參數(shù)��,利用推演函數(shù)KGA推演得到保護接入層信令的密鑰CKas和IKas��,保護非接入層信令的密鑰CKnas和IKnas���,保護用戶數(shù)據(jù)安全的密鑰CKu和IKu�。由于密鑰推演過程所采用的推演函數(shù)、共享密鑰和參數(shù)都相同���,因此��,用戶設(shè)備推演出的密鑰與HSS推演出的密鑰相同��。如圖3給出了一種推演方式��。
用戶設(shè)備可以分為智能卡和終端兩部分����,推演密鑰的過程可以在卡內(nèi)進行���,也可以在終端內(nèi)進行����。
6��、用戶設(shè)備發(fā)送確認消息給MME���。
此確認消息可以是鑒權(quán)響應(yīng)消息���。
7��、MME將其從HSS接收到的密鑰分發(fā)給對應(yīng)的執(zhí)行安全操作的實體��。
例如將保護接入層信令的密鑰CKas��、IKas分發(fā)給演進接入網(wǎng)��,將保護用戶數(shù)據(jù)安全的密鑰CKu�����、IKu分發(fā)給用戶面實體UPE�。
上述流程中���,MME可以在發(fā)送RAND給用戶設(shè)備之前�,或同時��,將其從HSS接收到的密鑰分發(fā)給對應(yīng)的執(zhí)行安全操作的實體�����。
實施例二本實施例描述由HSS和用戶設(shè)備協(xié)同推演得到根密鑰����,由MME和用戶設(shè)備根據(jù)根密鑰分別推演得到保護接入層信令、非接入層信令和用戶數(shù)據(jù)的密鑰�,由MME分發(fā)給執(zhí)行安全操作的網(wǎng)絡(luò)實體。
參見圖4����,為本發(fā)明實施例二的密鑰分發(fā)流程示意圖。HSS和用戶設(shè)備上預(yù)先已設(shè)置有相同的根密鑰的推演函數(shù)HA�,在MME和用戶設(shè)備上預(yù)先已設(shè)置有相同的保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰的推演函數(shù)MA��,其密鑰生成和分發(fā)的具體步驟包括1�����、用戶設(shè)備和HSS預(yù)先共享一個或多個密鑰��。
在用戶設(shè)備和HSS上共享密鑰的方式可以通過在用戶設(shè)備和HSS上設(shè)置相同的密鑰實現(xiàn)�。用戶設(shè)備和HSS可預(yù)先共享一個或多個密鑰、公私鑰對或證書等��,本實施例中以用戶設(shè)備和HSS預(yù)先共享一個密鑰K為例進行描述��。
2��、HSS推演根密鑰�����。
HSS根據(jù)與用戶預(yù)先共享的密鑰K,利用根密鑰推演函數(shù)HA推演得到一個或多個根密鑰����。根密鑰推演函數(shù)可以為一個或多個,推演出的根密鑰可以為一個或多個��。根密鑰推導(dǎo)過程還可能需要一些參數(shù)的參與�,如HSS生成的RAND。本實施例中���,根密鑰推演函數(shù)HA1用于推演機密性根密鑰CKm�,HA2用于推演完整性根密鑰Ikm����,推演方式如圖5所示。根密鑰的推演方式可以有多種方式�����,不限于圖5所示的方式�����。
HSS推演根密鑰的時機可以由MME的請求觸發(fā)�����。例如����,MME發(fā)送認證向量請求消息后,HSS進行密鑰推演�。
3、HSS將推演得到的根密鑰CKm和IKm�,以及生成的RAND發(fā)送給MME。
這些信息可以攜帶在認證向量響應(yīng)消息中發(fā)送給MME��。
4�����、MME推演保護接入層信令�、非接入層信令和用戶數(shù)據(jù)安全的密鑰。
MME根據(jù)接收到的根密鑰CKm和IKm����,利用推演函數(shù)HA1-6,推演得到保護接入層信令的密鑰CKas和IKas����,保護非接入層信令的密鑰CKnas和IKnas�,保護用戶數(shù)據(jù)安全的密鑰CKu和Iku�����。在推演過程中可能需要一些參數(shù)的參與�,如MME生成的隨機數(shù)RANDmme。
圖6和圖7分別給出了密鑰的推演方式���,區(qū)別在于��,圖6所示的方式中��,每個密鑰的推演過程都需要根密鑰CKm和Ikm的參與�����;圖7所示的方式中�����,機密性密鑰的推演過程根據(jù)根密鑰CKm推演得到�����,完整性密鑰的推演過程根據(jù)根密鑰Ikm推演得到�。
推演方式可以有多種�,不限于圖6和圖7所示的方式。MME推演保護接入層信令���、非接入層信令���、用戶數(shù)據(jù)安全的密鑰的過程可以獨立,也可以相關(guān)���。例如����,MME可以根據(jù)同一個隨機數(shù)來生成三組密鑰����,也可以根據(jù)不同的隨機數(shù)來生成三組密鑰。MME還可以根據(jù)隨機數(shù)來生成保護非接入層信令的密鑰���,利用簡單的拆分�����,合并等方法來生成保護接入層和用戶數(shù)據(jù)安全的密鑰�����。MME也可以直接利用根密鑰作為保護非接入層信令或用戶數(shù)據(jù)安全的密鑰����。
5、MME將參數(shù)RANDmme�、從HSS接收到的參數(shù)RAND發(fā)送給用戶設(shè)備。
這些信息可以攜帶在鑒權(quán)挑戰(zhàn)消息中發(fā)送給用戶設(shè)備�����。
6����、用戶設(shè)備推演保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰�。
用戶設(shè)備首先根據(jù)用戶與HSS預(yù)先共享的密鑰K和RAND參數(shù),利用根密鑰推演函數(shù)HA推演得到根密鑰�。由于用戶設(shè)備根密鑰推演過程所采用的推演函數(shù)、共享密鑰和參數(shù)都與HSS推演根密鑰所采用的相同���,因此����,用戶設(shè)備推演出的根密鑰與HSS推演出的根密鑰相同,推演方式可以為如圖5所示的方式��。
推演出根密鑰后����,用戶設(shè)備根據(jù)MME生成的RANDmme參數(shù)��、根密鑰CKm和Ikm���,利用推演函數(shù)MA1-6推演得到保護接入層信令的密鑰CKas和IKas����,保護非接入層信令的密鑰CKnas和IKnas�����,保護用戶數(shù)據(jù)安全的密鑰CKu和IKu��。由于密鑰推演過程所采用的推演函數(shù)�����、共享密鑰和參數(shù)都與MME推演密鑰所采用的相同,因此�����,用戶設(shè)備推演出的密鑰與MME推演出的密鑰相同�,推演方式可以為如圖6和圖7所示的方式。
用戶設(shè)備可以分為智能卡和終端兩部分�,推演根密鑰CKm和Ikm的過程,可以在卡內(nèi)進行�,也可以在終端內(nèi)進行。推演CKas�����、Ikas����、Cknas、Iknas���、Cku�、IKu的過程可以在卡內(nèi)進行��,也可以在終端內(nèi)進行。
7�����、用戶設(shè)備發(fā)送確認消息給MME�����。
此確認信息可以是鑒權(quán)響應(yīng)消息�。
8���、MME將其生成的密鑰分發(fā)給對應(yīng)的執(zhí)行安全操作的實體��,例如將保護接入層信令的密鑰CKas���、IKas分發(fā)給演進接入網(wǎng),將保護用戶數(shù)據(jù)安全的密鑰CKu����、IKu分發(fā)給用戶面實體UPE。
上述流程中�,MME可以在下發(fā)RAND和RANDmme給用戶設(shè)備之前,或同時�����,發(fā)送其生成的密鑰給對應(yīng)的執(zhí)行安全操作的實體。
實施例三本實施例描述由HSS和UPE協(xié)同推演得到根密鑰�����,由MME推演出保護接入層信令��、非接入層信令和用戶數(shù)據(jù)的密鑰���,并用根密鑰進行加密后分發(fā)給用戶設(shè)備和執(zhí)行安全操作的網(wǎng)絡(luò)實體����。
參見圖8����,為本發(fā)明實施例三的密鑰分發(fā)流程示意圖。HSS和用戶設(shè)備上預(yù)先已設(shè)置有推演根密鑰推演函數(shù)HA����,其密鑰生成和分發(fā)的具體步驟包括1-4、同實施例二流程中的步驟1-4���。
5���、MME利用根密鑰對其推演出的保護接入層信令�����、非接入層信令和用戶數(shù)據(jù)安全的密鑰進行加密����,并將加密后的密鑰發(fā)送給用戶設(shè)備�。MME推演上述密鑰的過程同實施例二,也可以通過其他任何密鑰推演方式得到��。
這些信息可以攜帶在鑒權(quán)挑戰(zhàn)消息中發(fā)送給用戶設(shè)備�����。
6��、用戶設(shè)備推演出根密鑰�,并用根密鑰解析接收到的密鑰����。
7、用戶設(shè)備發(fā)送確認消息給MME���。
此確認信息可以是鑒權(quán)響應(yīng)消息��。
8�、MME將密鑰分發(fā)給對應(yīng)的執(zhí)行安全操作的實體。
例如將保護接入層信令的密鑰CKas�、IKas分發(fā)給演進接入網(wǎng),將保護用戶數(shù)據(jù)安全的密鑰CKu�、IKu分發(fā)給用戶面實體UPE。MME分發(fā)的密鑰是沒有經(jīng)過根密鑰加密的密鑰�����。
上述流程中�����,MME可以在發(fā)送加密后的密鑰給用戶設(shè)備之前����,或同時,發(fā)送密鑰給對應(yīng)的執(zhí)行安全操作的實體����。
上述實施例一至三中,當推演密鑰的過程中需要參數(shù)的參與�,并且用戶設(shè)備上具備了所需的參數(shù)�,則上述流程中不需要向用戶設(shè)備發(fā)送這些參數(shù)�����。
上述實施例一至三中����,執(zhí)行安全操作的實體得到密鑰后,可能直接利用接收到的密鑰保護用戶設(shè)備和它之間的通信����。也可能和用戶設(shè)備交互后,根據(jù)密鑰進一步推演出衍生密鑰���,利用衍生密鑰保護用戶設(shè)備和它之間的通信���。
如果執(zhí)行非接入層信令的安全保護的實體和執(zhí)行用戶數(shù)據(jù)安全保護的實體是同一個實體,那么保護非接入層信令和用戶數(shù)據(jù)安全的密鑰可能相同����。例如����,實施例一中��,CKnas和CKu可能相同����。即HSS和用戶設(shè)備上推演CKnas和CKu的推演函數(shù)相同�,用戶設(shè)備和HSS上需要實現(xiàn)的推演函數(shù)數(shù)量可以減少。
由于并不是所有類型的信息都需要提供機密性保護和完整性保護��,因此實施例中描述的有些密鑰可能并不需要����。例如,如果接入層信令不需要提供機密性保護的話���,那么保護接入層信令安全的密鑰就僅僅包含完整性密鑰IKas����。又例如�����,如果用戶數(shù)據(jù)不需要提供完整性保護的話�����,那么保護用戶數(shù)據(jù)的密鑰就僅僅包含加密密鑰CKu。
基于上述演進網(wǎng)絡(luò)中密鑰的推演和分發(fā)方法�����,本發(fā)明提供了一種演進網(wǎng)絡(luò)中密鑰的分發(fā)系統(tǒng)�����,下面進行詳細描述���。
參見圖9���,為本發(fā)明的演進移動通信網(wǎng)絡(luò)中的密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)示意圖。系統(tǒng)包括網(wǎng)絡(luò)側(cè)和用戶設(shè)備���,其中��,網(wǎng)絡(luò)側(cè)包括保護接入層信令�����、非接入層信令和用戶數(shù)據(jù)安全的密鑰的密鑰推演模塊、密鑰分發(fā)模塊����,還包括執(zhí)行安全操作的網(wǎng)絡(luò)實體�����。密鑰推演模塊與密鑰分發(fā)模塊連接���,將推演出保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰發(fā)送到密鑰分發(fā)模塊����。密鑰分發(fā)模塊分別與用戶設(shè)備和執(zhí)行安全操作的網(wǎng)絡(luò)實體連接,將其接收到的密鑰分發(fā)到用戶設(shè)備和相應(yīng)的執(zhí)行安全操作的網(wǎng)絡(luò)實體����。
根據(jù)上述三個實施例所描述的密鑰分發(fā)流程,密鑰分發(fā)系統(tǒng)也對應(yīng)有三種結(jié)構(gòu)���。
第一種密鑰分發(fā)系統(tǒng)的機構(gòu)對應(yīng)于實施例一所描述的密鑰推演及分發(fā)流程�。
參見圖10����,為本發(fā)明的第一種密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)示意圖。
本系統(tǒng)中,密鑰分發(fā)模塊位于MME上�。系統(tǒng)中包括兩個相同的密鑰推演模塊,分別位于網(wǎng)絡(luò)側(cè)的HSS和用戶設(shè)備�����,位于HSS上的密鑰推演模塊與位于MME上的密鑰分發(fā)模塊連接��。
HSS和用戶設(shè)備上的密鑰推演模塊中預(yù)先設(shè)置相同的密鑰推演算法和相同的用于推演密鑰的一個或多個公私鑰對或證書����。HSS上的密鑰推演模塊和用戶設(shè)備上的密鑰推演模塊分別推演出相同的保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰���。
HSS上的密鑰推演模塊將其推演出密鑰發(fā)送到MME上的密鑰分發(fā)模塊����,并通過該模塊將密鑰分別分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體上�。
參見圖11,為本發(fā)明的第二種密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)示意圖����。
本系統(tǒng)中,密鑰分發(fā)模塊位于MME上�����。系統(tǒng)中兩個相同的密鑰推演模塊����,分別位于網(wǎng)絡(luò)側(cè)的MME和用戶設(shè)備,MME上的密鑰推演模塊與該MME上的密鑰分發(fā)模塊連接��。系統(tǒng)還包括兩個相同的根密鑰推演模塊��,分別位于網(wǎng)絡(luò)側(cè)的HSS和用戶設(shè)備����,HSS上的根密鑰推演模塊與MME上的密鑰推演模塊連接。
MME和用戶設(shè)備上的密鑰推演模塊中設(shè)置相同的密鑰推演算法和相同的用于推演密鑰的一個或多個公私鑰對或證書����;HSS和用戶設(shè)備上的根密鑰推演模塊中預(yù)先設(shè)置相同的密鑰推演算法和相同的用于推演根密鑰的一個或多個公私鑰對或證書。
HSS上的根密鑰推演模塊和用戶設(shè)備上的根密鑰推演模塊推演出相同的根密鑰��。HSS上的根密鑰推演模塊將推演出的根密鑰發(fā)送到MME上的密鑰推演模塊����。MME上的密鑰推演模塊和用戶設(shè)備上的密鑰推演模塊根據(jù)相同的根密鑰推演出保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰�����。MME上的密鑰推演模塊將推演出的密鑰發(fā)送到該MME上的密鑰分發(fā)模塊,由其分別分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體��。
參見圖12���,為本發(fā)明的第三種密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)示意圖���。
本系統(tǒng)中,密鑰分發(fā)模塊位于MME上�����,密鑰推演模塊也位于MME上�����。系統(tǒng)還包括兩個根密鑰推演模塊���,分別位于HSS和用戶設(shè)備���,HSS上的根密鑰推演模塊與MME上的密鑰推演模塊連接。系統(tǒng)中的用戶設(shè)備還包括一密鑰解密模塊�����,分別與用戶設(shè)備上的根密鑰推演模塊和MME的密鑰推演模塊連接。
HSS和用戶設(shè)備上的根密鑰推演模塊中預(yù)先設(shè)置相同的密鑰推演算法和相同的用于推演根密鑰的一個或多個公私鑰對或證書����。HSS上的根密鑰推演模塊和用戶設(shè)備上的根密鑰推演模塊推演出相同的根密鑰。HSS上的根密鑰推演模塊將推演出的根密鑰發(fā)送到MME上的密鑰推演模塊���。MME上的密鑰推演模塊推演出保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰�����,發(fā)送到該MME上的密鑰分發(fā)模塊�����;MME利用接收到的根密鑰對其推演出的密鑰進行加密�,也發(fā)送到該MME上的密鑰分發(fā)模塊,由分發(fā)模塊分別將加密的密鑰分發(fā)到用戶設(shè)備�,將未加密的密鑰分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體。用戶設(shè)備上的密鑰解密模塊接收到MME發(fā)送加密后的密鑰后�,從該用戶設(shè)備的根密鑰推演模塊獲取其推演出的根密鑰,并利用該根密鑰解密出保護接入層信令��、非接入層信令和用戶數(shù)據(jù)安全的密鑰。
通過以上流程描述可知�,本發(fā)明提供的密鑰分發(fā)方法,實現(xiàn)了在無線演進網(wǎng)絡(luò)中推演保護接入層信令�、非接入層信令和用戶數(shù)據(jù)安全的密鑰,并分發(fā)到用戶設(shè)備和執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體上��。本發(fā)明提供了多種密鑰推演及分發(fā)方式���,包括網(wǎng)絡(luò)側(cè)的HSS和用戶設(shè)備分別推演出密鑰���,由MME分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體;或網(wǎng)絡(luò)側(cè)的HSS與MME協(xié)同推演出密鑰�,由MME分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體,用戶設(shè)備獨立推演出密鑰��;或網(wǎng)絡(luò)側(cè)的HSS與MME協(xié)同推演出密鑰���,由MME分發(fā)到用戶設(shè)備和執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體�。本發(fā)明提供了多種選擇��,提高了系統(tǒng)的靈活性�。
顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍�����。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)�,則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
權(quán)利要求
1.一種無線通信網(wǎng)絡(luò)中的密鑰分發(fā)方法����,包括分別推演出保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰�;將推演出的密鑰分發(fā)到網(wǎng)絡(luò)中執(zhí)行相應(yīng)安全操作的實體上。
2.如權(quán)利要求1所述的方法��,其特征在于��,用戶信息存儲服務(wù)器和用戶設(shè)備分別推演出相同的所述保護接入層信令�、非接入層信令和用戶數(shù)據(jù)安全的密鑰�����;用戶信息存儲服務(wù)器將推演出的密鑰發(fā)送到移動管理實體��,由移動管理實體分發(fā)到執(zhí)行相應(yīng)安全操作的實體上���。
3.如權(quán)利要求2所述的方法�,其特征在于,在用戶信息存儲服務(wù)器和用戶設(shè)備上預(yù)先設(shè)置相同的所述保護接入層信令��、非接入層信令和用戶數(shù)據(jù)安全的密鑰的推演算法�,并在兩者間共享一個或多個密鑰;用戶信息存儲服務(wù)器和用戶設(shè)備分別根據(jù)預(yù)設(shè)的密鑰推演算法和相同的共享密鑰推演出相應(yīng)的密鑰��。
4.如權(quán)利要求3所述的方法����,其特征在于,用戶信息存儲服務(wù)器和用戶設(shè)備推演所述密鑰時還根據(jù)相同的參數(shù)�����。
5.如權(quán)利要求4所述的方法�����,其特征在于��,當用戶設(shè)備不具備所述參數(shù)時����,用戶信息存儲服務(wù)器將該參數(shù)發(fā)送到移動管理實體,由移動管理實體發(fā)送到用戶設(shè)備。
6.如權(quán)利要求5所述的方法�,其特征在于,所述參數(shù)為用戶信息存儲服務(wù)器生成的隨機數(shù)����。
7.如權(quán)利要求1所述的方法,其特征在于���,移動管理實體和用戶設(shè)備分別推演出相同的所述保護接入層信令�、非接入層信令和用戶數(shù)據(jù)安全的密鑰�,并由移動管理實體將推演出的密鑰分發(fā)到執(zhí)行相應(yīng)安全操作的實體上。
8.如權(quán)利要求7所述的方法�,其特征在于,用戶信息存儲服務(wù)器和用戶設(shè)備分別推演出相同的根密鑰�;移動管理實體根據(jù)用戶信息存儲服務(wù)器推演出的根密鑰推演所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰���;用戶設(shè)備根據(jù)其推演推演出的根密鑰推演出所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰��。
9.如權(quán)利要求8所述的方法���,其特征在于�,在移動管理實體和用戶設(shè)備上預(yù)先設(shè)置相同的所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰的推演算法���;移動管理實體和用戶設(shè)備分別根據(jù)預(yù)設(shè)的推演算法推演出相應(yīng)的密鑰����。
10.如權(quán)利要求9所述的方法��,其特征在于��,移動管理實體和用戶設(shè)備推演所述密鑰時還根據(jù)相同的參數(shù)����。
11.如權(quán)利要求10所述的方法,其特征在于���,當用戶設(shè)備不具備所述參數(shù)時����,移動管理實體將該參數(shù)發(fā)送到用戶設(shè)備���。
12.如權(quán)利要求11所述的方法�����,其特征在于����,所述參數(shù)為移動管理實體生成的隨機數(shù)。
13.如權(quán)利要求8所述的方法�����,其特征在于��,移動管理實體和用戶設(shè)備將所述根密鑰作為保護非接入層信令或/和用戶數(shù)據(jù)安全的密鑰����。
14.如權(quán)利要求1所述的方法,其特征在于��,移動管理實體推演出所述保護接入層信令����、非接入層信令和用戶數(shù)據(jù)安全的密鑰,并由移動管理實體將推演出的密鑰分別分發(fā)到用戶設(shè)備和執(zhí)行相應(yīng)安全操作的實體上�����。
15.如權(quán)利要求14所述的方法���,其特征在于�,用戶信息存儲服務(wù)器和用戶設(shè)備分別推演出相同的根密鑰��;用戶信息存儲服務(wù)器將其推演出的根密鑰發(fā)送到移動管理實體����;移動管理實體利用所述根密鑰加密其推演出的所述所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰�����;用戶設(shè)備利用所述根密鑰解密收到的密鑰�。
16.如權(quán)利要求8或15所述的方法,其特征在于�����,在用戶信息存儲服務(wù)器和用戶設(shè)備上預(yù)先設(shè)置相同的所述根密鑰的推演算法����,并在兩者間共享一個或多個密鑰;用戶信息存儲服務(wù)器和用戶設(shè)備分別根據(jù)預(yù)設(shè)的根密鑰推演算法和相同的共享密鑰推演出所述根密鑰����。
17.如權(quán)利要求16所述的方法���,其特征在于,用戶信息存儲服務(wù)器和用戶設(shè)備推演所述根密鑰時還根據(jù)相同的參數(shù)���。
18.如權(quán)利要求17所述的方法�,其特征在于���,當用戶設(shè)備不具備所述參數(shù)時���,用戶信息存儲服務(wù)器將該參數(shù)發(fā)送到移動管理實體,由移動管理實體發(fā)送到用戶設(shè)備��。
19.如權(quán)利要求2或7或14所述的方法���,其特征在于��,用戶設(shè)備在其終端部分或智能卡部分進行密鑰推演����。
20.如權(quán)利要求1所述的方法�����,其特征在于�,當執(zhí)行非接入層信令安全的操作實體和執(zhí)行用戶數(shù)據(jù)安全的操作實體為同一實體時,所述保護非接入層信令和保護用戶數(shù)據(jù)安全的密鑰相同或不同�。
21.如權(quán)利要求1所述的方法,其特征在于���,所述執(zhí)行安全操作的實體收到所述密鑰后��,利用所述密鑰保護其與用戶設(shè)備之間的通信���;或所述執(zhí)行安全操作的實體根據(jù)所述密鑰推演出衍生密鑰,并利用該衍生密鑰保護其與用戶設(shè)備之間的通信����。
22.如權(quán)利要求1所述的方法,其特征在于�����,所述保護接入層信令的密鑰包括提供機密性保護的密鑰或/和提供完整性保護的密鑰��;所述保護非接入層信令的密鑰包括提供機密性保護的密鑰或/和提供完整性保護的密鑰����;所述保護用戶數(shù)據(jù)安全的密鑰包括提供機密性保護的密鑰或/和提供完整性保護的密鑰���。
23.一種無線通信網(wǎng)絡(luò)中的密鑰分發(fā)系統(tǒng),包括網(wǎng)絡(luò)側(cè)和用戶設(shè)備��,所述網(wǎng)絡(luò)側(cè)包括執(zhí)行安全操作的網(wǎng)絡(luò)實體�,其特征在于,網(wǎng)絡(luò)側(cè)還包括保護接入層信令��、非接入層信令和用戶數(shù)據(jù)安全的密鑰的密鑰推演模塊�����、密鑰分發(fā)模塊��;所述密鑰推演模塊與所述密鑰分發(fā)模塊連接�����,將推演出所述保護接入層信令��、非接入層信令和用戶數(shù)據(jù)安全的密鑰發(fā)送到密鑰分發(fā)模塊��;所述密鑰分發(fā)模塊分別與用戶設(shè)備和所述執(zhí)行安全操作的網(wǎng)絡(luò)實體連接��,將其接收到的密鑰分發(fā)到所述用戶設(shè)備和執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體���。
24.如權(quán)利要求23所述的系統(tǒng)���,其特征在于,包括兩個相同的密鑰推演模塊���,分別位于網(wǎng)絡(luò)側(cè)的用戶信息存儲服務(wù)器和用戶設(shè)備��,位于用戶信息存儲服務(wù)器上的密鑰推演模塊與所述密鑰分發(fā)模塊連接���;所述用戶信息存儲服務(wù)器上的密鑰推演模塊和所述用戶設(shè)備上的密鑰推演模塊分別推演出相同的所述密鑰;所述用戶信息存儲服務(wù)器上的密鑰推演模塊將其推演出的所述密鑰發(fā)送到所述密鑰分發(fā)模塊�����,并通過該模塊將密鑰分別分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體��。
25.如權(quán)利要求23所述的系統(tǒng)�����,其特征在于����,包括兩個相同的密鑰推演模塊����,分別位于網(wǎng)絡(luò)側(cè)的移動管理實體和用戶設(shè)備���,移動管理實體上的密鑰推演模塊與所述密鑰分發(fā)模塊連接����;還包括兩個相同的根密鑰推演模塊�����,分別位于網(wǎng)絡(luò)側(cè)的用戶信息存儲服務(wù)器和用戶設(shè)備���,用戶信息存儲服務(wù)器上的根密鑰推演模塊與移動管理實體上的密鑰推演模塊連接����;所述用戶信息存儲服務(wù)器上的根密鑰推演模塊和所述用戶設(shè)備上的根密鑰推演模塊分別推演出相同的根密鑰����;用戶信息存儲服務(wù)器上的根密鑰推演模塊將推演出的根密鑰發(fā)送到移動管理實體上的密鑰推演模塊;所述移動管理實體上的密鑰推演模塊和所述用戶設(shè)備上的密鑰推演模塊根據(jù)推演出的相同的所述根密鑰推演所述保護接入層信令���、非接入層信令和用戶數(shù)據(jù)安全的密鑰��;所述移動管理實體上的密鑰推演模塊將推演出的密鑰發(fā)送到所述密鑰分發(fā)模塊����,由其分別分發(fā)到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體。
26.如權(quán)利要求23所述的系統(tǒng)�����,其特征在于��,還包括兩個相同的根密鑰推演模塊��,分別位于用戶信息存儲服務(wù)器和用戶設(shè)備�,用戶信息存儲服務(wù)器上的根密鑰推演模塊與移動管理實體上的密鑰推演模塊連接��;所述密鑰推演模塊位于移動管理實體���;所述用戶設(shè)備還包括一密鑰解密模塊����;所述用戶信息存儲服務(wù)器上的根密鑰推演模塊和所述用戶設(shè)備上的密鑰推演模塊分別推演出相同的根密鑰�;所述用戶信息存儲服務(wù)器上的根密鑰推演模塊將推演出的根密鑰發(fā)送到移動管理實體上的密鑰推演模塊;所述移動管理實體上的密鑰推演模塊推演出所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰���,發(fā)送到所述密鑰分發(fā)模塊����,并利用接收到的根密鑰對其推演出的密鑰進行加密���,發(fā)送到所述密鑰分發(fā)模塊�;所述密鑰分發(fā)模塊將未加密的密鑰發(fā)送到執(zhí)行相應(yīng)安全操作的網(wǎng)絡(luò)實體���,將加密后的密鑰發(fā)送到用戶設(shè)備上的密鑰解密模塊�����;所述用戶設(shè)備上的密鑰解密模塊收到移動管理實體發(fā)送的加密后的密鑰后���,從該用戶設(shè)備的根密鑰推演模塊獲取根密鑰,并利用該根密鑰解密接收到的密鑰�。
27.如權(quán)利要求23所述的系統(tǒng),其特征在于���,所述密鑰分發(fā)模塊位于網(wǎng)絡(luò)側(cè)的移動管理實體�����。
全文摘要
本發(fā)明公開了一種無線通信網(wǎng)絡(luò)中的密鑰分發(fā)方法����,包括分別推演出保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰���;將推演出的密鑰分發(fā)到用戶設(shè)備和網(wǎng)絡(luò)中執(zhí)行相應(yīng)安全操作的實體上��。采用本發(fā)明方法���,可實現(xiàn)在無線演進網(wǎng)絡(luò)中推演和分發(fā)保護接入層信令����、非接入層信令和用戶數(shù)據(jù)安全的密鑰。
文檔編號H04L9/28GK101094065SQ20061009010
公開日2007年12月26日 申請日期2006年6月23日 優(yōu)先權(quán)日2006年6月23日
發(fā)明者胡偉華, 陳璟 申請人:華為技術(shù)有限公司