亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

在不同移動接入系統(tǒng)中切換時的密鑰處理方法

文檔序號:7657373閱讀:214來源:國知局
專利名稱:在不同移動接入系統(tǒng)中切換時的密鑰處理方法
技術(shù)領(lǐng)域
本發(fā)明涉及移動通訊技術(shù)領(lǐng)域,具體地,涉及在不同移動接入系統(tǒng)間切換時的密鑰處理方法。
背景技術(shù)
如圖1所示,在3GPP演進的分組系統(tǒng)(EPS,Evolved PacketSystem)中,接入網(wǎng)為3GPP演進的分組系統(tǒng)由演進的UTRAN(EUTRAN,Evolved UMTS Terrestrial Radio Access Network,UMTS陸地無線接入網(wǎng)),EPS核心網(wǎng)由移動管理單元(MME,Mobility Management Entity)、服務網(wǎng)關(guān)(S-GW,Serving Gateway)、分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)(PDN GW,Packet Data Network)、歸屬用戶服務器(HSS,Home Subscriber Server)、3GPP認證授權(quán)計費服務器(3GPP AAA Server),以及其他支撐節(jié)點組成。
其中,MME負責移動性管理、非接入層信令的處理、用戶的移動管理上下文的管理,管理長期演進(LTE,Long Term Evolved)密鑰等控制面相關(guān)工作。
HSS主要負責存儲用戶的數(shù)據(jù)、網(wǎng)絡的配置,以及LTE密鑰的管理。
3GPP AAA server處理非3GPP IP接入網(wǎng)用戶的接入請求,提供認證、鑒權(quán)、和計費的功能,以及進行非3GPP IP接入網(wǎng)密鑰的管理。
非3GPP IP接入網(wǎng)(Non-3GPP IP access network)包括可信任非3GPP IP接入網(wǎng)、非信任非3GPP IP接入網(wǎng)。
用戶設(shè)備(UE,User Equipment)通過EUTRAN接入EPS核心網(wǎng)的過程是附著;UE通過非3GPP IP接入網(wǎng)接入EPS的過程是初始化接入。在以上的這兩個過程中,網(wǎng)絡和UE之間需要進行認證。對通過EUTRAN附著的UE使用認證和密鑰協(xié)定(LTE AKA,authentication and key agreement)協(xié)議認證,對通過非3GPP IP接入網(wǎng)初始化接入的UE使用可擴展的認證協(xié)議(EAP,extensibleauthentication protocol)AKA協(xié)議認證。這里的非3 GPP IP接入網(wǎng)不包括3GPP2的接入網(wǎng)絡。
圖2示出了現(xiàn)有技術(shù)中UE通過EUTRAN附著到EPS核心網(wǎng)的過程。
1.附著的重要步驟步驟201、202是UE向MME發(fā)起附著請求,請求消息中包含UE的能力;步驟203是使用LTE AKA進行認證。步驟204是MME向HSS請求更新UE位置;步驟205是HSS向MME寫入用戶簽約數(shù)據(jù);步驟208、209是MME向UE發(fā)送附著接受消息。
2.密鑰的生成使用LTE AKA進行接入認證的時候,UE和HSS使用AKA生成的完整性密鑰(IK,Integrity Key)和加密密鑰(CK,EncryptionKey)以及PLMN(Public Land Mobile Network,公共陸地移動網(wǎng)絡)標識(MCC+MNC)生成密鑰KASME(Access Security ManagementEntity,接入安全管理實體)。HSS將KASME發(fā)送給MME。那么HSS,MME和UE保存密鑰KASME。由KASME生成其它安全性和移動性管理密鑰,例如,KNAS_inc、KNAS_enc、KeNB-RRC-inc、KeNB-RRC-enc、KeNB-UP-enc,其中,KeNB、KeNB-RRC-inc、KeNB-RRC-enc、KeNB-UP-enc供EUTRAN和UE使用,KNAS_inc、KNAS_enc供EPS核心網(wǎng)和UE使用。
圖3示出了UE在通過非3GPP IP接入網(wǎng)初始化接入EPS核心網(wǎng)時,使用EAP AKA進行接入認證的過程。
1.認證的一些重要流程如步驟302,認證過程中,UE向3GPP AAA Server發(fā)送用戶標識,3GPP AAA Server根據(jù)用戶標識判斷是否發(fā)起EAP AKA過程。如步驟304,認證過程中3GPP AAA Server向HSS獲取用戶的簽約信息。如步驟305、306,認證成功后,3GPP AAA Server向UE發(fā)送認證成功消息。
2.認證過程中密鑰的生成如步驟302,認證過程中,UE和3GPP AAA Server根據(jù)完整性密鑰(IK,Integrity Key)和加密密鑰(CK,Encryption Key)生成主密鑰(MK,master key),再由MK生成鏈路層安全密鑰MSK和MIP(Mobile IP,移動IP)安全密鑰EMSK。如步驟305,成功認證后,AAA Server將EAP AKA運行產(chǎn)生的密鑰發(fā)送給非3GPP IP接入網(wǎng)。如步驟309,HSS保存有AAA Server的IP地址。
UE在EUTRAN和非3GPP IP接入網(wǎng)之間的切換是指,UE在一種接入網(wǎng)絡的覆蓋中移動到另一種接入網(wǎng)絡的覆蓋中,為了繼續(xù)使用EPS核心網(wǎng)提供的功能和業(yè)務,UE改為通過另一種接入網(wǎng)重新附著或者初始化接入EPS核心網(wǎng)的過程。
3GPP SA3#47會議上提出,在EUTRAN和非3GPP IP接入網(wǎng)絡之間切換的時候,如果重新進行認證過程,則會增加切換的時延,對用戶業(yè)務的連續(xù)性帶來影響。同時,在切換后,UE和/或接入網(wǎng)絡和EPS核心網(wǎng)需要密鑰信息,以便業(yè)務的進行和移動性管理。
目前,對于在EUTRAN和非3GPP IP接入網(wǎng)絡等不同接入網(wǎng)絡間切換時的密鑰處理問題尚未得到解決。

發(fā)明內(nèi)容
為了解決以上問題而提出本發(fā)明,為此,本發(fā)明旨在提供一種在EUTRAN和非3GPP IP接入網(wǎng)絡中切換時密鑰的處理機制。
根據(jù)本發(fā)明,提供了一種在不同移動接入系統(tǒng)間切換時的密鑰處理方法,其中,在進行從EUTRAN到非3GPP IP接入網(wǎng)的切換和/或從非3GPP IP接入網(wǎng)到EUTRAN的切換之前,用戶設(shè)備和EPS核心網(wǎng)使用當前密鑰和相同的密鑰導出函數(shù)分別導出新密鑰,供切換后使用。
上述的密鑰導出函數(shù)是單向的,只能從當前密鑰導出新密鑰。
在用戶設(shè)備從EUTRAN切換到非3GPP IP接入網(wǎng)的情況下,EPS核心網(wǎng)導出新密鑰的實體是移動管理單元。
在上述情況下,該方法具體包括以下處理步驟一,用戶設(shè)備在通過EUTRAN附著后,上報自己的非3GPP IP接入網(wǎng)接入能力信息;步驟二,如果用戶設(shè)備支持非3GPP IP接入網(wǎng)接入,則認證成功后,移動管理單元和用戶設(shè)備使用密鑰導出函數(shù)和認證過程中保存的接入安全管理實體密鑰,分別導出非3GPP IP接入網(wǎng)所需的主密鑰,并且移動管理單元將主密鑰發(fā)送到歸屬用戶服務器;步驟三,歸屬用戶服務器將主密鑰發(fā)送到3GPP認證授權(quán)計費服務器,用戶設(shè)備和3GPP認證授權(quán)計費服務器在切換到非3GPP IP接入網(wǎng)時,使用主密鑰。
其中,在步驟二中,在用戶設(shè)備支持非3GPP IP接入網(wǎng)接入,且用戶設(shè)備是非3GPP IP接入網(wǎng)簽約用戶的情況下,導出非3GPP IP接入網(wǎng)所需的主密鑰。
另外,在步驟三中,歸屬用戶服務器將主密鑰發(fā)送到3GPP認證授權(quán)計費服務器的過程具體為用戶設(shè)備向3GPP認證授權(quán)計費服務器發(fā)送用戶設(shè)備標識信息,其中包含導出了主密鑰的信息;3GPP認證授權(quán)計費服務器向歸屬用戶服務器請求主密鑰;歸屬用戶服務器將主密鑰發(fā)送到3GPP認證授權(quán)計費服務器。
另一方面,在用戶設(shè)備從非3GPP IP接入網(wǎng)切換到EUTRAN的情況下,則EPS核心網(wǎng)導出新密鑰的實體是3GPP認證授權(quán)計費服務器。
在上述情況下,該方法具體包括以下處理步驟一,用戶設(shè)備在通過非3GPP IP接入網(wǎng)初始化接入后,上報自己的EUTRAN接入能力信息;步驟二,如果用戶設(shè)備支持EUTRAN接入,則認證成功后,3GPP認證授權(quán)計費服務器和用戶設(shè)備使用密鑰導出函數(shù)和認證過程中生成的主密鑰和公共陸地移動網(wǎng)絡標識,分別導出EUTRAN所需的接入安全管理實體密鑰,并且3GPP認證授權(quán)計費服務器將接入安全管理實體密鑰發(fā)送到歸屬用戶服務器;步驟三,歸屬用戶服務器將接入安全管理實體密鑰發(fā)送到移動管理單元,用戶設(shè)備和移動管理單元在切換到EUTRAN時,使用接入安全管理實體密鑰。
其中,在上述步驟二中,在用戶設(shè)備支持EUTRAN接入,且用戶設(shè)備是EUTRAN簽約用戶的情況下,導出EUTRAN所需的接入安全管理實體密鑰。
在步驟三中,歸屬用戶服務器將接入安全管理實體密鑰發(fā)送到移動管理單元的過程具體為用戶設(shè)備向移動管理單元發(fā)起附著請求,其中包含導出了接入安全管理實體密鑰的信息;移動管理單元向歸屬用戶服務器請求更新用戶設(shè)備的位置,并請求歸屬用戶服務器發(fā)送接入安全管理實體密鑰;歸屬用戶服務器向移動管理單元寫入用戶簽約信息,并在其中攜帶接入安全管理實體密鑰。
這樣,通過本發(fā)明,當用戶設(shè)備在不同接入網(wǎng)絡(例如,EUTRAN和非3GPP IP接入網(wǎng)絡)間進行切換時,可以有效地對密鑰進行處理,從而保證了切換操作的順利進行。


此處所說明的附圖用來提供對本發(fā)明的進一步理解,構(gòu)成本申請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當限定。在附圖中圖1是根據(jù)現(xiàn)有技術(shù)的非3GPP IP接入網(wǎng)絡接入到EPS核心網(wǎng)的結(jié)構(gòu)圖;圖2是根據(jù)現(xiàn)有技術(shù)的UE通過EUTRAN附著到EPS核心網(wǎng)的過程的示意圖;圖3是根據(jù)現(xiàn)有技術(shù)的UE通過非3GPP IP接入網(wǎng)初始化接入EPS核心網(wǎng)的認證過程的示意圖;
圖4是根據(jù)本發(fā)明實施例的在不同移動接入系統(tǒng)間切換時的密鑰處理方法的實例1的流程圖;圖5是圖4所示的實例1的信令交互示意圖;圖6是根據(jù)本發(fā)明實施例的在不同移動接入系統(tǒng)間切換時的密鑰處理方法的實例2的流程圖;以及圖7是圖6所示的實例2的信令交互示意圖。
具體實施例方式
以下將參照附圖來詳細描述本發(fā)明實施例,其中,給出以下實施例以提供對本發(fā)明的全面和透徹理解,而不是對本發(fā)明進行任何限制。
為了縮短EUTRAN和非3GPP IP接入網(wǎng)絡之間的切換時延,在UE附著或初始化接入成功后,需要使移動網(wǎng)絡和UE根據(jù)當前密鑰一致地導出另一種接入網(wǎng)絡需要的新密鑰。
因此,根據(jù)本發(fā)明實施例,提供了一種不同移動接入系統(tǒng)間切換時的密鑰處理方法,其中,在不同移動接入系統(tǒng)間進行切換之前,例如,在進行從EUTRAN到非3GPP IP接入網(wǎng)的切換和/或從非3GPP IP接入網(wǎng)到EUTRAN的切換之前,用戶設(shè)備(UE)和EPS核心網(wǎng)使用當前密鑰和相同的密鑰導出函數(shù)(function,例如,算法)分別導出新密鑰,供切換后使用。
其中,上述的密鑰導出函數(shù)是單向的,只能從當前密鑰導出新密鑰,而不能用新密鑰導出原來的密鑰,以免泄露原來的密鑰信息。
一方面,在UE從EUTRAN切換到非3GPP IP接入網(wǎng)的情況下,EPS核心網(wǎng)導出新密鑰的實體是移動管理單元(MME),另一方面,在UE從非3GPP IP接入網(wǎng)切換到EUTRAN的情況下,則EPS核心網(wǎng)導出新密鑰的實體是3GPP AAA Server。以下將分別結(jié)合附圖和實例對上述兩種情況進行描述。
實例1UE從EUTRAN切換到非3GPP IP接入網(wǎng)如圖4所示,在該情況下,包括以下處理步驟S402(步驟一),UE在通過EUTRAN附著后,上報自己的非3GPP IP接入網(wǎng)接入能力信息;步驟S404(步驟二),如果UE支持非3GPP IP接入網(wǎng)接入,則認證成功后,MME和UE使用密鑰導出函數(shù)和認證過程中保存的接入安全管理實體密鑰(KASME),分別導出非3GPP IP接入網(wǎng)所需的主密鑰(MK),并且MME將MK發(fā)送到歸屬用戶服務器(HSS);其中,在UE支持非3GPP IP接入網(wǎng)接入,且UE是非3GPP IP接入網(wǎng)簽約用戶的情況下,導出非3GPP IP接入網(wǎng)所需的該MK;步驟S406(步驟三),HSS將MK發(fā)送到3GPP認證授權(quán)計費服務器(3GPP AAA Server),UE和3GPP AAA Server在切換到非3GPP IP接入網(wǎng)時,使用該MK,具體地,UE向3GPP AAA Server發(fā)送UE標識信息,其中包含導出了MK的信息;3GPP AAA Server向HSS請求MK;HSS將MK發(fā)送到3GPP AAA Server。
其中,認證過程中保存的KASME即為上文提到的當前密鑰,而導出的非3GPP IP接入網(wǎng)所需的MK,即為上文提到的新密鑰。
具體地,圖5示出了上述處理的詳細流程,以下將結(jié)合圖5來做進一步描述。如圖5所示,具體處理流程如下1.UE通過EUTRAN附著到EPS的過程(步驟501-步驟507)步驟501,在附著請求中,UE告知HSS UE具有非3GPP IP接入能力。如果UE具有非3GPP IP接入能力,那么在稍后就可能發(fā)生到非3GPP IP接入網(wǎng)的切換。
步驟502UE、MME、和HSS參與LTE AKA的運行。LTE AKA運行成功后,UE、MME、和HSS保存有LTE接入安全管理實體密鑰KASME。
步驟503HSS向MME寫入用戶簽約數(shù)據(jù),該數(shù)據(jù)應當包含UE是否為非3GPP IP接入網(wǎng)的簽約用戶的信息;如果UE具有非3GPP IP接入網(wǎng)能力,同時又是非3GPP IP接入網(wǎng)簽約用戶,那么MME判斷需要導出MK。
步驟504MME根據(jù)LTE接入安全管理實體密鑰KASME導出非3GPP IP接入網(wǎng)主密鑰MK,此處使用的密鑰導出算法(即,上文所述的密鑰導出函數(shù))是預先設(shè)定在MME中的,并且,如上所述,這個密鑰導出算法必須是單向的,也就是說不能用MK推導出原來的KASME,以免泄漏KASME信息。
步驟505MME將導出的MK發(fā)送給HSS保存,這樣,在稍后的切換過程中省略了這一步驟的時間。
步驟506在附著接受消息中,MME向UE確認已經(jīng)簽約非3GPP IP接入網(wǎng),如果UE具有非3GPP IP接入能力,又是非3GPPIP接入簽約用戶,那么UE判斷需要導出MK。
步驟507UE根據(jù)LTE AKA認證過程中生成的LTE接入安全管理實體密鑰KASME導出非3GPP IP接入網(wǎng)主密鑰MK。這個密鑰導出算法是預先設(shè)定在MME和UE中的,并且同上文描述的密鑰導出算法是一樣的。因為MME和UE中保存的KASME在認證過程中已經(jīng)確認是一致的,所以UE和MME使用同樣的KASME和同樣的算法導出的MK也是一致的。
2.切換過程(步驟508-步驟512)步驟508UE發(fā)起切換。
步驟509、510UE向3GPP AAA Server發(fā)送UE的標識信息。這個消息由非3GPP IP接入網(wǎng)轉(zhuǎn)發(fā)給3GPP AAA Server。如果UE處于拜訪網(wǎng)絡,這個消息可能經(jīng)過一個或多個3GPP AAA Proxy轉(zhuǎn)發(fā)。其中,在發(fā)送UE的標識信息的同時,發(fā)送UE已經(jīng)成功導出MK的信息,3GPP AAA Server根據(jù)這個消息中所帶的UE的這個信息判斷不用進行EAP AKA鑒權(quán)。
步驟5113GPP AAA Server向HSS請求MK。
步驟512HSS響應上面的請求,將MK發(fā)送給3GPP AAAserver。
實例2UE從非3GPP IP接入網(wǎng)切換到EUTRAN如圖6所示,在該情況下,包括以下處理步驟S602(步驟一),UE在通過非3GPP IP接入網(wǎng)初始化接入后,上報自己的EUTRAN接入能力信息;
步驟S604(步驟二),如果UE支持EUTRAN接入,則認證成功后,3GPP AAA Server和UE使用密鑰導出函數(shù)和認證過程中生成的主密鑰(MK)和公共陸地移動網(wǎng)絡標識(PLMN),分別導出EUTRAN所需的KASME,并且3GPP AAA Server將KASME發(fā)送到HSS;其中,在UE支持EUTRAN接入,且UE是EUTRAN簽約用戶的情況下,才導出EUTRAN所需的KASME;步驟S606(步驟三),HSS將KASME發(fā)送到MME,UE和MME在切換到EUTRAN時,使用KASME;具體地,UE向MME發(fā)起附著請求,其中包含導出了KASME的信息;MME向HSS請求更新UE的位置,并請求HSS發(fā)送KASME;HSS向MME寫入用戶簽約信息,并在其中攜帶KASME。
其中,認證過程中生成的主密鑰(MK)即為上文所述的當前密鑰,而導出的EUTRAN所需的KASME即為上文所述的新密鑰。
具體地,圖7示出了上述處理的詳細流程,以下將結(jié)合圖7來做進一步描述。如圖7所示,具體處理流程如下1.初始化接入過程(步驟701-步驟709)步驟701UE在接入網(wǎng)絡的時候獲取PLMN網(wǎng)絡標識。
步驟702、703在EAP AKA過程中,UE向3GPP AAA Server發(fā)送UE標識消息。這個消息中還包含PLMN標識。這個消息由非3GPP IP接入網(wǎng)轉(zhuǎn)發(fā)給3GPP AAA Server。如果UE處于拜訪網(wǎng)絡,這個消息可能經(jīng)過一個或多個3GPP AAA Proxy轉(zhuǎn)發(fā)。另外,本發(fā)明在這個消息中加入一個內(nèi)容,即,UE具有EUTRAN接入能力的標識。
步驟704在EAP AKA過程中,3GPP AAA Server需要從HSS獲取用戶簽約數(shù)據(jù),該簽約數(shù)據(jù)應包括用戶是否EUTRAN簽約用戶的信息。如果UE具有EUTRAN能力,又是EUTRAN簽約用戶,那么3GPP AAA server判斷需要導出KASME。
步驟705UE、3GPP AAA server生成主密鑰MK。
步驟706EAP AKA運行成功后,3GPP AAA server會向UE發(fā)送EAP success消息,本發(fā)明在這個消息中加入UE是EUTRAN簽約用戶消息。如果UE具有EUTRAN能力,又是EUTRAN簽約用戶,那么UE判斷需要導出KASME。(上述步驟702-步驟706屬于EAP AKA運行過程。)步驟707UE根據(jù)EAP AKA運行過程中生成的非3GPP IP接入網(wǎng)主密鑰MK和PLMN標識導出LTE接入安全管理實體密鑰KASME。這個密鑰導出算法是預先設(shè)定在UE中的。并且,這個密鑰導出算法必須是單向的,也就是說,不能用KASME推導出原來的MK,以免泄漏MK信息。
步驟7083GPP AAA server使用EAP AKA運行過程中生成的非3GPP IP接入網(wǎng)主密鑰MK和PLMN標識導出LTE接入安全管理實體密鑰KASME。這個密鑰導出算法是預先設(shè)定在3GPP AAAserver和UE中的,并且與以上描述的算法是一樣的。因為3GPP AAAserver和UE中保存的MK在認證過程中已經(jīng)確認是一致的,并且3GPP AAA server和UE中保存的PLMN標識也是一致的,所以UE和3GPP AAA server用同樣的MK,同樣的PLMN標識和同樣的算法導出的KASME也是一致的。
步驟7093GPP AAA server將KASME發(fā)送給HSS保存。
2.切換過程(步驟710-步驟713)步驟710稍后如果UE發(fā)現(xiàn)EUTRAN,就發(fā)起切換。
步驟711UE向MME發(fā)起附著請求,該消息包含UE標識。其中,UE的標識信息能夠表示UE已經(jīng)成功導出KASME的信息。MME根據(jù)這個消息中所帶的UE的標識信息判斷不用發(fā)起LTEAKA過程。
步驟712MME向HSS請求更新UE的位置,并在請求消息中加入請求發(fā)送LTE接入安全管理實體密鑰KASME的信息。
步驟713HSS向MME寫入用戶簽約信息,并在其中加入密鑰KASME。
通過本發(fā)明的上述方案,當UE在不同接入網(wǎng)絡(例如,EUTRAN和非3GPP IP接入網(wǎng)絡)間進行切換時,可以有效地對密鑰進行處理,從而保證了切換操作的順利進行。
以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明,對于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種在不同移動接入系統(tǒng)間切換時的密鑰處理方法,其特征在于,在進行從EUTRAN到非3GPP IP接入網(wǎng)的切換和/或從非3GPP IP接入網(wǎng)到EUTRAN的切換之前,用戶設(shè)備和EPS核心網(wǎng)使用當前密鑰和相同的密鑰導出函數(shù)分別導出新密鑰,供切換后使用。
2.根據(jù)權(quán)利要求1所述的密鑰處理方法,其特征在于,所述密鑰導出函數(shù)是單向的,只能從所述當前密鑰導出所述新密鑰。
3.根據(jù)權(quán)利要求1所述的密鑰處理方法,其特征在于,在所述用戶設(shè)備從EUTRAN切換到非3GPP IP接入網(wǎng)的情況下,所述EPS核心網(wǎng)導出所述新密鑰的實體是移動管理單元。
4.根據(jù)權(quán)利要求3所述的密鑰處理方法,其特征在于,包括以下處理步驟一,所述用戶設(shè)備在通過EUTRAN附著后,上報自己的非3GPP IP接入網(wǎng)接入能力信息;步驟二,如果所述用戶設(shè)備支持非3GPP IP接入網(wǎng)接入,則認證成功后,所述移動管理單元和所述用戶設(shè)備使用所述密鑰導出函數(shù)和認證過程中保存的接入安全管理實體密鑰,分別導出非3GPP IP接入網(wǎng)所需的主密鑰,并且所述移動管理單元將所述主密鑰發(fā)送到歸屬用戶服務器;以及步驟三,所述歸屬用戶服務器將所述主密鑰發(fā)送到3GPP認證授權(quán)計費服務器,所述用戶設(shè)備和所述3GPP認證授權(quán)計費服務器在切換到非3GPP IP接入網(wǎng)時,使用所述主密鑰。
5.根據(jù)權(quán)利要求4所述的密鑰處理方法,其特征在于,在所述步驟二中,在所述用戶設(shè)備支持非3GPP IP接入網(wǎng)接入,且所述用戶設(shè)備是非3GPP IP接入網(wǎng)簽約用戶的情況下,導出非3GPPIP接入網(wǎng)所需的所述主密鑰。
6.根據(jù)權(quán)利要求4所述的密鑰處理方法,其特征在于,在所述步驟三中,所述歸屬用戶服務器將所述主密鑰發(fā)送到3GPP認證授權(quán)計費服務器的過程具體為所述用戶設(shè)備向所述3GPP認證授權(quán)計費服務器發(fā)送用戶設(shè)備標識信息,其中包含導出了所述主密鑰的信息;所述3GPP認證授權(quán)計費服務器向所述歸屬用戶服務器請求所述主密鑰;以及所述歸屬用戶服務器將所述主密鑰發(fā)送到所述3GPP認證授權(quán)計費服務器。
7.根據(jù)權(quán)利要求1所述的密鑰處理方法,其特征在于,在所述用戶設(shè)備從非3GPP IP接入網(wǎng)切換到EUTRAN的情況下,則所述EPS核心網(wǎng)導出所述新密鑰的實體是3GPP認證授權(quán)計費服務器。
8.根據(jù)權(quán)利要求7所述的密鑰處理方法,其特征在于,包括以下處理步驟一,所述用戶設(shè)備在通過所述非3GPP IP接入網(wǎng)初始化接入后,上報自己的EUTRAN接入能力信息;步驟二,如果所述用戶設(shè)備支持EUTRAN接入,則認證成功后,所述3GPP認證授權(quán)計費服務器和所述用戶設(shè)備使用所述密鑰導出函數(shù)和認證過程中生成的主密鑰和公共陸地移動網(wǎng)絡標識,分別導出EUTRAN所需的接入安全管理實體密鑰,并且所述3GPP認證授權(quán)計費服務器將所述接入安全管理實體密鑰發(fā)送到歸屬用戶服務器;以及步驟三,所述歸屬用戶服務器將所述接入安全管理實體密鑰發(fā)送到移動管理單元,所述用戶設(shè)備和所述移動管理單元在切換到EUTRAN時,使用所述接入安全管理實體密鑰。
9.根據(jù)權(quán)利要求8所述的密鑰處理方法,其特征在于,在所述步驟二中,在所述用戶設(shè)備支持EUTRAN接入,且所述用戶設(shè)備是EUTRAN簽約用戶的情況下,導出EUTRAN所需的所述接入安全管理實體密鑰。
10.根據(jù)權(quán)利要求8所述的密鑰處理方法,其特征在于,在所述步驟三中,所述歸屬用戶服務器將所述接入安全管理實體密鑰發(fā)送到移動管理單元的過程具體為所述用戶設(shè)備向所述移動管理單元發(fā)起附著請求,其中包含導出了所述接入安全管理實體密鑰的信息;所述移動管理單元向所述歸屬用戶服務器請求更新所述用戶設(shè)備的位置,并請求所述歸屬用戶服務器發(fā)送所述接入安全管理實體密鑰;以及所述歸屬用戶服務器向所述移動管理單元寫入用戶簽約信息,并在其中攜帶所述接入安全管理實體密鑰。
全文摘要
本發(fā)明提供了一種在不同移動接入系統(tǒng)間切換時的密鑰處理方法,其中,在進行從EUTRAN到非3GPP IP接入網(wǎng)的切換和/或從非3GPP IP接入網(wǎng)到EUTRAN的切換之前,用戶設(shè)備和EPS核心網(wǎng)使用當前密鑰和相同的密鑰導出函數(shù)分別導出新密鑰,供切換后使用。上述的密鑰導出函數(shù)是單向的,只能從當前密鑰導出新密鑰。通過本發(fā)明的上述方案,當UE在不同接入網(wǎng)絡(例如,EUTRAN和非3GPP IP接入網(wǎng)絡)間進行切換時,可以有效地對密鑰進行處理,從而保證了切換操作的順利進行。
文檔編號H04W36/14GK101083839SQ20071012604
公開日2007年12月5日 申請日期2007年6月29日 優(yōu)先權(quán)日2007年6月29日
發(fā)明者甘露 申請人:中興通訊股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1