亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

在不同移動(dòng)接入系統(tǒng)中切換時(shí)的密鑰處理方法

文檔序號(hào):7657371閱讀:170來(lái)源:國(guó)知局
專利名稱:在不同移動(dòng)接入系統(tǒng)中切換時(shí)的密鑰處理方法
技術(shù)領(lǐng)域
本發(fā)明涉及移動(dòng)通訊^支術(shù)領(lǐng)域,具體地,涉及在不同移動(dòng)4妾入 系統(tǒng)間切^換時(shí)的密鑰處理方法。
背景技術(shù)
如圖1所示,在3GPP演進(jìn)的分組系統(tǒng)(EPS, Evolved Packet System)中,接入網(wǎng)為3 GPP演進(jìn)的分《且系鄉(xiāng)克由演進(jìn)的UTRAN
(EUTRAN, Evolved UMTS Terrestrial Radio Access Network, UMTS陸i也無(wú)線4妻入網(wǎng)),EPS 4亥心網(wǎng)由移動(dòng)管J里單元(MME, Mobility Management Entity )、月艮務(wù)網(wǎng)關(guān)(S-GW, Serving Gateway )、 分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)(PDNGW, Packet Data Network),歸屬用戶服務(wù) 器(HSS, Home Subscriber Server )、 3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器
(3GPP AAA Server),以及其他支撐節(jié)點(diǎn)組成。
其中,MME負(fù)責(zé)移動(dòng)性管理、非4妄入層信令的處理、用戶的 移動(dòng)管理上下文的管理,管理長(zhǎng)期演進(jìn)(LTE, Long Term Evolved )
密鑰等控制面相關(guān)工作。
HSS主要負(fù)責(zé)存儲(chǔ)用戶的數(shù)據(jù)、網(wǎng)絡(luò)的配置,以及LTE密鑰的管理。
3GPP AAA server處理非3GPP IP接入網(wǎng)用戶的接入請(qǐng)求,提 供認(rèn)證、鑒權(quán)、和計(jì)費(fèi)的功能,以及進(jìn)行非3GPP IP接入網(wǎng)密鑰的管理。
非3GPP IP 4妄入網(wǎng)(Non-3GPP IP access network )包4舌可4言4壬 非3GPPIP接入網(wǎng)、非信任非3GPPIP接入網(wǎng)。
用戶^殳備(UE, User Equipment)通過(guò)EUTRAN 4妄入EPS核 心網(wǎng)的過(guò)程是附著;UE通過(guò)非3GPP IP接入網(wǎng)接入EPS的過(guò)程是 初始化接入。在以上的這兩個(gè)過(guò)程中,網(wǎng)絡(luò)和UE之間需要進(jìn)行認(rèn) i正。對(duì)通過(guò)EUTRAN附著的UE 4吏用認(rèn)i正和密鑰協(xié)定(LTE AKA, authentication and key agreement)協(xié)議認(rèn)證,對(duì)通過(guò)非3GPP IP接入 網(wǎng)初始4匕4妾入的UE 4吏用可擴(kuò)展的i人i£十辦i義(EAP , extensible authentication protocol) AKA十辦i義i人i正。這里的非3 GPP IP 4妻入網(wǎng) 不包括3GPP2的4妄入網(wǎng)絡(luò)。
圖2示出了現(xiàn)有沖支術(shù)中UE通過(guò)EUTRAN附著到EPS核心網(wǎng)
的過(guò)程。
1. 附著的重要步驟
步驟201、 202是UE向MME發(fā)起附著請(qǐng)求,請(qǐng)求消息中包含 UE的能力;步駛《203是4吏用LTE AKA進(jìn)4亍iU正。步驟204是MME 向HSS請(qǐng)求更新UE位置;步驟205是HSS向MME寫(xiě)入用戶簽約 數(shù)據(jù);步驟208、 209是MME向UE發(fā)送附著接受消息。
2. 密鑰的生成
使用LTE AKA進(jìn)行接入認(rèn)證的時(shí)候,UE和HSS使用AKA 生成的完整性密鑰(IK, Integrity Key )和加密密鑰(CK, Encryption Key )以及PLMN ( Public Land Mobile Network, 7>共陸;也移動(dòng)網(wǎng)各)
才示識(shí) (MCC+ MNC )生成密鑰KASME ( Access Security Management Entity,接入安全管理實(shí)體)。HSS將KASME發(fā)送給MME。那么HSS, MME和UE保存密鑰KASME。由KASME生成其它安全性和移動(dòng)性管 理密鑰,例如,KNAS inc 、 KNAS enc 、 KeNB
陽(yáng)RRC-inc 、 KeNB-RRC-enc 、 KeNB-UP-enc 。 其中7 KeNB、 KeNB-RRC-inc、 KeNB-RRC-enc 、 KeNB-UP-enc 供EUTRAN和UE 使用,KNAS—inc、 KNASenc供EPS核心網(wǎng)和UE使用。
圖3示出了 UE在通過(guò)非3GPPIP接入網(wǎng)初始化接入EPS核心 網(wǎng)時(shí),使用EAP AKA進(jìn)行接入認(rèn)證的過(guò)程。
1. 認(rèn)證的 一 些重要流程
如步驟302,認(rèn)證過(guò)程中,UE向3GPP AAA Server發(fā)送用戶標(biāo) 識(shí),3GPP AAA Server才艮據(jù)用戶標(biāo)識(shí)判斷是否發(fā)起EAP AKA過(guò)程。 如步驟304,認(rèn)證過(guò)程中3GPP AAA Server向HSS獲取用戶的簽約 信息。如步驟305、 306,認(rèn)i正成功后,3GPP AAA Server向UE發(fā) 送i人i正成功消息。
2. i人i正過(guò)程中密鑰的生成
如步驟302, ^人i正過(guò)程中,UE和3GPP AAA Server才艮據(jù)完整性 密鑰(IK, Integrity Key )和力口密密鑰(CK, Encryption Key )生成 主密鑰(MK, master key ),再由MK生成鏈^各層安全密鑰MSK和 MIP (Mobile IP,移動(dòng)IP )安全密鑰EMSK。如步驟305,成功i人 證后,AAA Server將EAP AKA運(yùn)行產(chǎn)生的密鑰發(fā)送給非3GPP IP 接入網(wǎng)。如步驟309, HSS保存有AAA Server的IP地址。
UE在EUTRAN和非3GPP IP 4妾入網(wǎng)之間的切換是指,UE在 一種接入網(wǎng)絡(luò)的覆蓋中移動(dòng)到另 一種接入網(wǎng)絡(luò)的覆蓋中,為了繼續(xù) 使用EPS核心網(wǎng)提供的功能和業(yè)務(wù),UE改為通過(guò)另一種接入網(wǎng)重 新附著或者初始化4妄入EPS核心網(wǎng)的過(guò)程。
3GPP SA3#47會(huì)議上提出,在EUTRAN和非3GPP IP接入網(wǎng) 絡(luò)之間切換的時(shí)候,如果重新進(jìn)行認(rèn)證過(guò)程,則會(huì)增加切換的時(shí)延, 對(duì)用戶業(yè)務(wù)的連續(xù)性帶來(lái)影響。同時(shí),在切換后,UE和/或4妄入網(wǎng) 絡(luò)和EPS核心網(wǎng)需要密鑰信息,以1更業(yè)務(wù)的進(jìn)行和移動(dòng)性管理。
目前,對(duì)于在EUTRAN和非3GPP IP 4妄入網(wǎng)全各等不同網(wǎng)全各間 切換時(shí)的密鑰處理問(wèn)題尚未得到解決。

發(fā)明內(nèi)容
為了解決以上問(wèn)題而提出本發(fā)明,為此,本發(fā)明旨在4是供一種 在EUTRAN和非3GPP IP接入網(wǎng)絡(luò)中切換時(shí)密鑰的處理機(jī)制。
根據(jù)本發(fā)明,提供了 一種在不同移動(dòng)接入系統(tǒng)間切換時(shí)的密鑰 處理方法,其中,在進(jìn)行EUTRAN到非3GPP IP接入網(wǎng)切換或非 3GPP IP 4妄入網(wǎng)到EUTRAN切換之前,用戶i殳備和EPS核心網(wǎng)4吏用 當(dāng)前密鑰和相同的密鑰導(dǎo)出函數(shù)分別導(dǎo)出新密鑰,供切換后4吏用, 其中,EPS核心網(wǎng)導(dǎo)出新密鑰的實(shí)體是歸屬用戶寄存器。
在本發(fā)明中,上述的密鑰導(dǎo)出函數(shù)是單向的,只能從當(dāng)前密鑰 導(dǎo)出新密鑰。
基于上述內(nèi)容,在用戶設(shè)備從EUTRAN切換到非3GPP IP接 入網(wǎng)的情況下,該方法具體包括以下處理步艱《一,用戶i殳備在通 過(guò)EUTRAN附著后,上才艮自己的非3GPPIP接入網(wǎng)接入能力信息; 步驟二,如果用戶設(shè)備支持非3GPPIP接入網(wǎng)接入,則認(rèn)證成功后, 歸屬用戶服務(wù)器和用戶設(shè)備使用密鑰導(dǎo)出函數(shù)和認(rèn)證過(guò)程中保存的 接入安全管理實(shí)體密鑰,分別導(dǎo)出非3GPPIP接入網(wǎng)所需的主密鑰; 步驟三,歸屬用戶服務(wù)器將主密鑰發(fā)送到3GPP認(rèn)證4受權(quán)計(jì)費(fèi)服務(wù) 器,用戶設(shè)備和3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器在切換到非3GPP IP接 入網(wǎng)時(shí),〗吏用主密鑰。
其中,在步驟二中,在用戶設(shè)備支持非3GPPIP接入網(wǎng)接入, 且用戶設(shè)備是非3GPP IP接入網(wǎng)簽約用戶的情況下,導(dǎo)出非3GPP IP 接入網(wǎng)所需的主密鑰。
另夕卜,在步驟三中,歸屬用戶服務(wù)器將主密鑰發(fā)送到3GPP認(rèn) 證授權(quán)計(jì)費(fèi)服務(wù)器的過(guò)程具體為用戶設(shè)備向3GPP認(rèn)證授權(quán)計(jì)費(fèi) 服務(wù)器發(fā)送用戶設(shè)備標(biāo)識(shí)信息,其中包含導(dǎo)出了主密鑰的信息; 3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器向歸屬用戶服務(wù)器請(qǐng)求主密鑰;歸屬用 戶服務(wù)器將主密鑰發(fā)送到3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器。
另一方面,在用戶設(shè)備從非3GPP IP接入網(wǎng)切換到EUTRAN 的情況下該方法具體包括以下處理步驟一,用戶i殳備在通過(guò)非 3GPPIP接入網(wǎng)初始化接入后,上才艮自己的EUTRAN接入能力信息; 步驟二,如果用戶設(shè)備支持EUTRAN接入,則認(rèn)證成功后,歸屬 用戶服務(wù)器和用戶設(shè)備使用密鑰導(dǎo)出函數(shù)和認(rèn)證過(guò)程中生成的主密 鑰和7>共陸地移動(dòng)網(wǎng)全各標(biāo)識(shí),分別導(dǎo)出EUTRAN所需的4妄入安全 管理實(shí)體密鑰;步驟三,歸屬用戶服務(wù)器將接入安全管理實(shí)體密鑰 發(fā)送到移動(dòng)管理單元,用戶i殳備和移動(dòng)管理單元在切:換到EUTRAN 時(shí),使用4妄入安全管理實(shí)體密鑰。
其中,在上述步驟二中,在用戶設(shè)備支持EUTRAN接入,且 用戶設(shè)備是EUTRAN簽約用戶的情況下,導(dǎo)出EUTRAN所需的接 入安全管理實(shí)體密鑰。
在步驟三中,歸屬用戶服務(wù)器將接入安全管理實(shí)體密鑰發(fā)送到 移動(dòng)管理單元的過(guò)程具體為用戶i殳備向移動(dòng)管理單元發(fā)起附著i青 求,其中包含導(dǎo)出了接入安全管理實(shí)體密鑰的信息;移動(dòng)管理單元 向歸屬用戶服務(wù)器請(qǐng)求更新用戶設(shè)備的位置,并請(qǐng)求歸屬用戶服務(wù) 器發(fā)送接入安全管理實(shí)體密鑰;歸屬用戶服務(wù)器向移動(dòng)管理單元寫(xiě) 入用戶簽約信息,并在其中攜帶接入安全管理實(shí)體密鑰。
這樣,通過(guò)本發(fā)明,當(dāng)用戶設(shè)備在不同接入網(wǎng)絡(luò)(例如,
EUTRAN和非3GPP IP 4妄入網(wǎng)絡(luò))間進(jìn)4亍切換時(shí),可以有效地對(duì)密 鑰進(jìn)行處理,從而保證了切換操作的順利進(jìn)行,同時(shí),在EUTRAN 和非3GPP IP接入網(wǎng)絡(luò)之間進(jìn)行互相切換時(shí),EPS核心網(wǎng)導(dǎo)出密鑰 的實(shí)體為相同一個(gè)實(shí)體,提高了配置管理效率。


此處所說(shuō)明的附圖用來(lái)^是供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申 請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并 不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中
圖1是根據(jù)現(xiàn)有技術(shù)的非3GPP IP接入網(wǎng)絡(luò)接入到EPS核心網(wǎng) 的結(jié)構(gòu)圖2是根據(jù)現(xiàn)有4支術(shù)的UE通過(guò)EUTRAN附著到EPS核心網(wǎng) 的過(guò)程的示意圖3是根據(jù)現(xiàn)有技術(shù)的UE通過(guò)非3GPP IP接入網(wǎng)初始化接入 EPS核心網(wǎng)的認(rèn)證過(guò)程的示意圖4是根據(jù)本發(fā)明實(shí)施例的在不同移動(dòng)接入系統(tǒng)間切換時(shí)的密 鑰處理方法的實(shí)例1的流^E圖5是圖4所示的實(shí)例1的信令交互示意圖6是根據(jù)本發(fā)明實(shí)施例的在不同移動(dòng)接入系統(tǒng)間切換時(shí)的密 鑰處理方法的實(shí)例2的流禾呈圖;以及
圖7是圖6所示的實(shí)例2的信令交互示意圖。
具體實(shí)施例方式
以下將參照附圖來(lái)詳細(xì)描述本發(fā)明實(shí)施例,其中,給出以下實(shí) 施例以提供對(duì)本發(fā)明的全面和透徹理解,而不是對(duì)本發(fā)明進(jìn)行任何限制。
為了縮短EUTRAN和非3GPP IP 4妄入網(wǎng)全各之間的切換時(shí)延, 在UE附著或初始化4妄入成功后,需要4吏移動(dòng)網(wǎng)絡(luò)和UE才艮據(jù)當(dāng)前 密鑰一致地導(dǎo)出另一種接入網(wǎng)絡(luò)需要的新密鑰。并且,如果在 EUTRAN和非3GPP IP接入網(wǎng)絡(luò)之間進(jìn)4亍互相切換時(shí),EPS核心網(wǎng) 處理密鑰的實(shí)體為相同一個(gè)實(shí)體(如HSS),則可以^是高配置管理 效率,并且節(jié)省了其他實(shí)體(如MSS和3GPP AAA Server)將密鑰 發(fā)送給HSS的過(guò)程。
因此,根據(jù)本發(fā)明實(shí)施例,提供了一種不同移動(dòng)接入系統(tǒng)間切 換時(shí)的密鑰處理方法,其中,在不同移動(dòng)4妄入系統(tǒng)間進(jìn)4亍切換之前, 例如,在進(jìn)行EUTRAN到非3GPP IP 4妄入網(wǎng)切換或非3GPP IP才妾入 網(wǎng)到EUTRAN切換之前,用戶設(shè)備(UE)和EPS核心網(wǎng)使用當(dāng)前 密鑰和相同的密鑰導(dǎo)出函凄t (function,例如,算法)分別導(dǎo)出新密 鑰,供切換后使用,其中,EPS核心網(wǎng)導(dǎo)出新密鑰的實(shí)體是歸屬用 戶寄存器(HSS)。
其中,上述的密鑰導(dǎo)出函數(shù)是單向的,只能從當(dāng)前密鑰導(dǎo)出新 密鑰,而不能用新密鑰導(dǎo)出原來(lái)的密鑰,以免泄露原來(lái)的密鑰信息。
一方面,UE可以/人EUTRAN切換到非3GPP IP 4妄入網(wǎng),另一 方面,UE也可以從非3GPP IP接入網(wǎng)切換到EUTRAN。以下將分 別結(jié)合附圖和實(shí)例對(duì)上述兩種情況進(jìn)行描述。
實(shí)例1: UE從EUTRAN切換到非3GPP IP 4妄入網(wǎng)
如圖4所示,在該情況下,包4舌以下處理
步艱《S402 (步驟一 ),UE在通過(guò)EUTRAN附著后,上才艮自己 的非3GPP IP接入網(wǎng)接入能力信息;
步驟S404 (步驟二 ),如果UE支持非3GPP IP 4妄入網(wǎng)4妄入, 則認(rèn)證成功后,HSS和UE使用密鑰導(dǎo)出函數(shù)和認(rèn)證過(guò)程中保存的 接入安全管理實(shí)體密鑰(KASME),分別導(dǎo)出非3GPPIP接入網(wǎng)所需 的主密鑰(MK);其中,在UE支持非3GPPIP接入網(wǎng)接入,且UE 是非3GPPIP接入網(wǎng)簽約用戶的情況下,導(dǎo)出非3GPPIP接入網(wǎng)所 需的該MK;
步驟S406 (步驟三),HSS將MK發(fā)送到3GPP認(rèn)證授權(quán)計(jì)費(fèi) 服務(wù)器(3GPP AAA Server ), UE和3GPP AAA Server在切換到非 3GPP IP 4妄入網(wǎng)時(shí),4吏用該MK,具體地,UE向3GPP AAA Server 發(fā)送UE標(biāo)識(shí)信息,其中包含導(dǎo)出了 MK的信息;3GPP AAA Server 向HSS請(qǐng)求MK; HSS將MK發(fā)送到3GPP AAA Server。
其中,認(rèn)證過(guò)程中保存的KASME即為上文才是到的當(dāng)前密鑰,而
導(dǎo)出的非3GPPIP接入網(wǎng)所需的MK,即為上文提到的新密鑰。
具體地,圖5示出了上述處理的詳細(xì)流程,以下將結(jié)合圖5來(lái) 估支進(jìn)一步描述。如圖5所示,具體處理流禾呈如下
1.UE通過(guò)EUTRAN附著到EPS的過(guò)程(步驟501-步驟507 )
步驟501,在附著請(qǐng)求中,UE告知HSSUE具有非3GPPIP接 入能力。如果UE具有非3GPP IP接入能力,那么在稍后就可能發(fā) 生到非3GPP IP接入網(wǎng)的切換。
12
步驟502: UE、MME、和HSS參與LTE AKA的運(yùn)行。LTE AKA 運(yùn)行成功后,UE、 MME、和HSS保存有LTE接入安全管理實(shí)體密
步驟503: MME向HSS發(fā)送用戶標(biāo)識(shí),以獲取用戶簽約數(shù)據(jù)。 MME向HSS發(fā)送用戶標(biāo)識(shí)時(shí),應(yīng)該同時(shí)發(fā)送UE支持非3GPP IP 接入網(wǎng)的標(biāo)識(shí)。如果UE具有非3GPPIP接入網(wǎng)能力,同時(shí)又是非 3GPPIP 4妾入網(wǎng)簽約用戶,那么HSS判斷需要導(dǎo)出MK。
步驟504: HSS根據(jù)LTE接入安全管理實(shí)體密鑰KAs,導(dǎo)出非 3GPP IP^妻入網(wǎng)主密鑰MK,此處4吏用的密鑰導(dǎo)出算法(即,上文 所述的密鑰導(dǎo)出函數(shù))是預(yù)先設(shè)定在HSS中的,并且,如上所述, 這個(gè)密鑰導(dǎo)出算法必須是單向的,也就是說(shuō)不能用MK推導(dǎo)出原來(lái) 的KASME ,以免泄漏Kasme ^言息。
步驟505: HSS向MME發(fā)送用戶簽約數(shù)據(jù),并且同時(shí)發(fā)送UE 是否非3GPPIP接入網(wǎng)的簽約用戶的信息。
步驟506:在附著4妄受消息中,MME向UE確i人已經(jīng)簽約非 3GPP IP接入網(wǎng),如果UE具有非3GPP IP接入能力,又是非3GPP IP 4妄入簽約用戶,那么UE判斷需要導(dǎo)出MK。
管理實(shí)體密鑰kasme導(dǎo)出非3GPP IP^妄入網(wǎng)主密鑰MK。這個(gè)密鑰 導(dǎo)出算法是預(yù)先設(shè)定在HSS和UE中的,并且同上文描述的密鑰導(dǎo) 出算法是一樣的。因?yàn)镠SS和UE中保存的kasme在認(rèn)證過(guò)程中已 經(jīng)確認(rèn)是一致的,所以UE和HSS使用同樣的Kasme和同祥的算法 導(dǎo)出的MK也是一致的。
2.切換過(guò)程(步驟508-步驟512 ) 步驟508: UE發(fā)起切換。
步驟509、 510: UE向3GPP AAA Server發(fā)送UE的標(biāo)識(shí)4言息。 這個(gè)消息由非3GPP IP接入網(wǎng)轉(zhuǎn)發(fā)給3GPP AAA Server。如果UE 處于拜-訪網(wǎng)絡(luò),這個(gè)消息可能經(jīng)過(guò)一個(gè)或多個(gè)3GPP AAA Proxy轉(zhuǎn) 發(fā)。其中,在發(fā)送UE的標(biāo)識(shí)信息的同時(shí),發(fā)送UE已經(jīng)成功導(dǎo)出 了 MK的信息,3GPP AAA Server根據(jù)這個(gè)消息中所帶的UE的這 個(gè)信息判斷不用進(jìn)行EAP AKA鑒權(quán)。
步驟511: 3GPP AAA Server向HSS請(qǐng)求MK。
步驟512: HSS響應(yīng)上面的請(qǐng)求,將MK發(fā)送給3GPP AAA server 。
實(shí)例2: UE從非3GPP IP接入網(wǎng)切換到EUTRAN
如圖6所示,在該情況下,包^"以下處理
步驟S602 (步驟一 ),UE在通過(guò)非3GPP IP 4妄入網(wǎng)初始化4妄入 后,上報(bào)自己的EUTRAN接入能力信息;
步驟S604 (步驟二),如果UE支持EUTRAN接入,則認(rèn)證成 功后,HSS和UE ^f吏用密鑰導(dǎo)出函凄t和"i人i正過(guò)禾呈中生成的主密鑰 (MK )和公共陸地移動(dòng)網(wǎng)絡(luò)標(biāo)識(shí)(PLMN ),分別導(dǎo)出EUTRAN所 需的KASME;其中,在UE支持EUTRAN接入,且UE是EUTRAN 簽約用戶的情況下,才導(dǎo)出EUTRAN所需的KASME;
步驟S606 (步驟三),HSS將KASME發(fā)送到MME, UE和MME 在切換到EUTRAN時(shí),使用KASME;具體地,UE向MME發(fā)起附
著請(qǐng)求,其中包含導(dǎo)出了 KASME的信息;MME向HSS請(qǐng)求更新UE 的位置,并請(qǐng)求HSS發(fā)送KASME; HSS向MME寫(xiě)入用戶簽約信息, 并在其中攜帶Kasme。
其中,認(rèn)證過(guò)程中生成的主密鑰(MK)即為上文所述的當(dāng)前 密鑰,而導(dǎo)出的EUTRAN所需的KASME即為上文所述的新密鑰。
具體地,圖7示出了上述處理的詳細(xì)流程,以下將結(jié)合圖7來(lái) 估文進(jìn)一步描述。如圖7所示,具體處理流程如下
1.初始化接入過(guò)程(步驟701-步驟709 )
步驟701: UE在4妻入網(wǎng)絡(luò)的時(shí)候獲耳又PLMN網(wǎng)絡(luò)標(biāo)識(shí)。
步-驟702、 703:在EAP AKA過(guò)程中,UE向3GPP AAA Server 發(fā)送UE標(biāo)識(shí)消息。這個(gè)消息中還包含PLMN標(biāo)識(shí)。這個(gè)消息由非 3GPP IP接入網(wǎng)轉(zhuǎn)發(fā)給3GPP AAA Server。如果UE處于拜訪網(wǎng)絡(luò), 這個(gè)消息可能經(jīng)過(guò)一個(gè)或多個(gè)3GPP AAA Proxy轉(zhuǎn)發(fā)。另外,本發(fā) 明在這個(gè)消息中加入一個(gè)內(nèi)容,即,UE具有EUTRAN接入能力的 標(biāo)識(shí)。
步驟704:在EAP AKA過(guò)程中,3GPP AAA Server需要向HSS 發(fā)送UE標(biāo)識(shí)以獲取用戶簽約#:據(jù),如果UE具有EUTRAN接入能 力,3GPP AAA Server向HSS發(fā)送用戶標(biāo)識(shí)時(shí)應(yīng)該同時(shí)發(fā)送UE支 持非3GPP IP接入網(wǎng)的標(biāo)識(shí),3GPP AAA Server還要向HSS發(fā)送 MK。如果UE具有EUTRAN能力,又是EUTRAN簽約用戶,那 么HSS判斷需要導(dǎo)出KASME。
步-驟705: HSS向3GPP AAA server寫(xiě)入用戶簽約凄史據(jù),該簽 約數(shù)據(jù)應(yīng)包括用戶是否EUTRAN簽約用戶的信息;
步驟706: UE 、 3GPP AAA server生成主密鑰MK。
步驟707: EAP AKA運(yùn)4亍成功后,3GPP AAA server會(huì)向UE 發(fā)送EAP success消息,本發(fā)明在這個(gè)消息中加入U(xiǎn)E是EUTRAN 簽約用戶消息。如果UE具有EUTRAN能力,又是EUTRAN簽約 用戶,那么UE判斷需要導(dǎo)出KASME。(上述步驟702-步驟707屬于 EAPAKA運(yùn)行過(guò)程。)
步驟708: UE根據(jù)EAP AKA運(yùn)行過(guò)程中生成的非3GPP IP接 入網(wǎng)主密鑰MK和PLMN標(biāo)識(shí)導(dǎo)出LTE接入安全管理實(shí)體密鑰 KASME。這個(gè)密鑰導(dǎo)出算法是預(yù)先設(shè)定在UE中的。并且,這個(gè)密鑰
導(dǎo)出算法必須是單向的,也就是說(shuō),不能用KASME推導(dǎo)出原來(lái)的
MK,以免泄漏MK信息。
步驟709: HSS根據(jù)EAP AKA運(yùn)行過(guò)程中生成的非3GPP IP 接入網(wǎng)主密鑰MK和PLMN標(biāo)識(shí)導(dǎo)出LTE接入安全管理實(shí)體密鑰 KASME。這個(gè)密鑰導(dǎo)出算法是預(yù)先"i殳定在HSS和UE中的,并且與 以上描述的算法是一樣的。因?yàn)镠SS和UE中保存的MK在認(rèn)證過(guò) 程中已經(jīng)確認(rèn)是一致的,并且HSS和UE中保存的PLMN標(biāo)識(shí)也是 一致的,所以UE和HSS用同樣的MK,同樣的PLMN標(biāo)識(shí)和同樣 的算法導(dǎo)出的KASME也是一致的。
2.切換過(guò)程(步驟710-步驟713 )
步驟710:稍后如果UE發(fā)現(xiàn)EUTRAN,就發(fā)起切換。
步驟711: UE向MME發(fā)起附著i青求,該消息包含UE標(biāo)識(shí)。 其中,UE的標(biāo)識(shí)信息能夠表示UE已經(jīng)成功導(dǎo)出Kasme的信息。 MME才艮據(jù)這個(gè)消息中所帶的UE的標(biāo)識(shí)信息判斷不用發(fā)起LTE AKA過(guò)程。 步驟712: MME向HSS請(qǐng)求更新UE的位置,并在請(qǐng)求消息 中加入請(qǐng)求發(fā)送LTE接入安全管理實(shí)體密鑰KASME的信息。
步驟713: HSS向MME寫(xiě)入用戶簽約信息,并在其中加入密 銅KASME。
通過(guò)本發(fā)明的上述方案,當(dāng)UE在不同4妄入網(wǎng)主備(例如, EUTRAN和非3GPP IP 4秦入網(wǎng)絡(luò))間進(jìn)行切換時(shí),可以有效地對(duì)密 鑰進(jìn)行處理,從而保證了切換操作的順利進(jìn)行。此外,在EUTRAN 和非3GPP IP接入網(wǎng)絡(luò)之間進(jìn)行互相切換時(shí),EPS核心網(wǎng)導(dǎo)出密鑰 的實(shí)體為相同一個(gè)實(shí)體(HSS),提高了配置管理效率,并且節(jié)省了 其他實(shí)體(如MSS和3GPP AAA Server )將密鑰發(fā)送給HSS的過(guò) 程。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明, 對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō),本發(fā)明可以有各種更改和變化。凡在 本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等, 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種在不同移動(dòng)接入系統(tǒng)間切換時(shí)的密鑰處理方法,其特征在于,在進(jìn)行從EUTRAN到非3GPP IP接入網(wǎng)的切換和/或從非3GPP IP接入網(wǎng)到EUTRAN的切換之前,用戶設(shè)備和EPS核心網(wǎng)使用當(dāng)前密鑰和相同的密鑰導(dǎo)出函數(shù)分別導(dǎo)出新密鑰,供切換后使用,其中,所述EPS核心網(wǎng)導(dǎo)出所述新密鑰的實(shí)體是歸屬用戶寄存器。
2. 才艮據(jù)權(quán)利要求1所述的密鑰處理方法,其特征在于,所述密鑰 導(dǎo)出函凄史是單向的,只能^v所述當(dāng)前密鑰導(dǎo)出所述新密鑰。
3. 才艮據(jù);f又利要求1所述的密鑰處理方法,其特4i在于,在所述用 戶設(shè)備從EUTRAN切換到非3GPP IP接入網(wǎng)的情況下,包括 以下處J里步驟一,所述用戶設(shè)備在通過(guò)EUTRAN附著后,上報(bào)自 己的非3GPP IP接入網(wǎng)接入能力信息;步驟二,如果所述用戶設(shè)備支持非3GPPIP接入網(wǎng)接入, 則認(rèn)證成功后,所述歸屬用戶服務(wù)器和所述用戶i殳備4吏用所述別導(dǎo)出非3GPPIP接入網(wǎng)所需的主密鑰;以及步驟三,所述歸屬用戶月l務(wù)器將所述主密鑰發(fā)送到3GPP 認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器,所述用戶設(shè)備和所述3GPP認(rèn)證授權(quán)計(jì) 費(fèi)服務(wù)器在切換到非3GPPIP接入網(wǎng)時(shí),4吏用所述主密鑰。
4. 根據(jù)權(quán)利要求3所述的密鑰處理方法,其特征在于,在所述步 驟二中,在所述用戶設(shè)備支持非3GPPIP接入網(wǎng)接入,且所述 用戶設(shè)備是非3GPP IP接入網(wǎng)簽約用戶的情況下,導(dǎo)出非3GPP IP接入網(wǎng)所需的所述主密鑰。
5. 才艮據(jù)^K利要求3所述的密鑰處理方法,其特4i在于,在所述步 驟三中,所述歸屬用戶服務(wù)器將所述主密鑰發(fā)送到3GPP認(rèn)證 授權(quán)計(jì)費(fèi)服務(wù)器的過(guò)程具體為所述用戶設(shè)備向所述3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送用戶 設(shè)備標(biāo)識(shí)信息,其中包含導(dǎo)出了所述主密鑰的信息;所述3 GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器向所述歸屬用戶服務(wù)器請(qǐng) 求所述主密鑰;以及所述歸屬用戶服務(wù)器將所述主密鑰發(fā)送到所述3GPP認(rèn)證 授權(quán)計(jì)費(fèi)服務(wù)器。
6. 才艮據(jù)權(quán)利要求1所述的密鑰處理方法,其特征在于,在所述用 戶設(shè)備從非3GPP IP接入網(wǎng)切換到EUTRAN的情況下,包括 以下處理步驟一,所述用戶設(shè)備在通過(guò)所述非3GPPIP接入網(wǎng)初始 化接入后,上報(bào)自己的EUTRAN接入能力信息;步驟二,如果所述用戶設(shè)備支持EUTRAN接入,則認(rèn)證 成功后,所述歸屬用戶服務(wù)器和所述用戶設(shè)備使用所述密鑰導(dǎo) 出函數(shù)和認(rèn)證過(guò)程中生成的主密鑰和7>共陸地移動(dòng)網(wǎng)絡(luò)標(biāo)識(shí), 分別導(dǎo)出EUTRAN所需的接入安全管理實(shí)體密鑰;以及步驟三,所述歸屬用戶服務(wù)器將所述接入安全管理實(shí)體密 鑰發(fā)送到移動(dòng)管理單元,所述用戶設(shè)備和所述移動(dòng)管理單元在 切換到EUTRAN時(shí),使用所述接入安全管理實(shí)體密鑰。
7. 才艮據(jù)^L利要求6所述的密鑰處理方法,其特4正在于,在所述步 驟二中,在所述用戶設(shè)備支持EUTRAN接入,且所述用戶設(shè)備是EUTRAN簽約用戶的情況下,導(dǎo)出EUTRAN所需的所述 接入安全管理實(shí)體密鑰。
8. 才艮據(jù)^L利要求6所述的密鑰處理方法,其特4正在于,在所述步 驟三中,所述歸屬用戶服務(wù)器將所述接入安全管理實(shí)體密鑰發(fā) 送到移動(dòng)管理單元的過(guò)程具體為所述用戶設(shè)備向所述移動(dòng)管理單元發(fā)起附著請(qǐng)求,其中包 含導(dǎo)出了所述接入安全管理實(shí)體密鑰的信息;所述移動(dòng)管理單元向所述歸屬用戶服務(wù)器請(qǐng)求更新所述 用戶設(shè)備的位置,并請(qǐng)求所述歸屬用戶服務(wù)器發(fā)送所述接入安 全管理實(shí)體密鑰;以及所述歸屬用戶服務(wù)器向所述移動(dòng)管理單元寫(xiě)入用戶簽約 信息,并在其中攜帶所述接入安全管理實(shí)體密鑰。
全文摘要
本發(fā)明提供了一種在不同移動(dòng)接入系統(tǒng)間切換時(shí)的密鑰處理方法,其中,在進(jìn)行從EUTRAN到非3GPP IP接入網(wǎng)的切換和/或從非3GPP IP接入網(wǎng)到EUTRAN的切換之前,用戶設(shè)備和EPS核心網(wǎng)使用當(dāng)前密鑰和相同的密鑰導(dǎo)出函數(shù)分別導(dǎo)出新密鑰,供切換后使用,其中,EPS核心網(wǎng)導(dǎo)出新密鑰的實(shí)體是歸屬用戶寄存器。通過(guò)本發(fā)明的上述方案,當(dāng)UE在不同接入網(wǎng)絡(luò)(例如,EUTRAN和非3GPP IP接入網(wǎng)絡(luò))間進(jìn)行切換時(shí),可以有效地對(duì)密鑰進(jìn)行處理,從而保證了切換操作的順利進(jìn)行。
文檔編號(hào)H04W12/08GK101102600SQ200710126040
公開(kāi)日2008年1月9日 申請(qǐng)日期2007年6月29日 優(yōu)先權(quán)日2007年6月29日
發(fā)明者戈 朱, 露 甘 申請(qǐng)人:中興通訊股份有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1