專利名稱:用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設置方法
技術領域:
本發(fā)明涉及移動通信領域���,尤其涉及一種用于不同接入系統(tǒng)之間密鑰生 存計數(shù)器初始化設置的方法。
背景技術:
3GPP ( 3rd Generation Partnership Project,第三代合作伙伴計劃)演進的 分組系統(tǒng)(Evolved Packet System,簡稱EPS)由演進的陸地無線接入網(wǎng) (Evolved UMTS Terrestrial Radio Access Network,簡稱EUTRAN)和EPS 核心網(wǎng)(Evolved Packet Core �,簡稱EPC )組成。其中��,EPC包含移動管理單元(MME, Mobility Management Entity)����, 移動管理單元負責移動性的管理、非接入層信令的處理、以及用戶安全模式 的管理等控制面相關工作��。其中��,MME保存EUTRAN的根密鑰KASME( Key Access Security Management Entity,接入安全管理實體秘鑰)��,以及由KASME 生成的非4妄入層完整性4呆護密鑰KNAS-int (Key Non Access Stratum integrity) 和機密性保護密鑰KNAS-enc (Key Non Access Stratum encryption)�。同時UE (User Equipment,用戶設備)也保存著這三個密鑰。UE和MME中還存在一個計數(shù)器COUNT-NAS,負責記錄已經(jīng)受到密鑰KNAS—int和KNAS.咖保護的NAS (Network Access Server,網(wǎng)絡接入服務器)信令數(shù)量���。COUNT—NAS 的值有兩個作用�, 一個是用來做NAS層完整性保護和機密性保護的輸入?yún)?shù)��,另外一個是用來嚴格限制密鑰KASME的生存時間���,當COUNT-亂s的值到達運營商設定的門岡值��,UE和網(wǎng)絡側將觸發(fā)新的認證和密鑰協(xié)商機制 (AKA���, Authentication and key agreement)來產(chǎn)生新的KASME,同時所有EPS 計數(shù)器置為0�。在建立連接時,UE和MME4吏用START-NAs的值來記錄計 數(shù)器COUNT-nas的高位有效值�。UE使用START-NAS來初始化計數(shù)器 COUNT-nas����,即將START-NAS的值作為COUNT-NAS的高位有效比特位(MSB:Most Significance Bit,其具體位數(shù)由標準定義)的值即高位有效值�,在斷開連 接時,UE使用COUNT-NAs的高位有效比特位的值更新START-nas的植���。3GPP UMTS (Universal Mobile Telecommunications System,通用移動通 信系統(tǒng))系統(tǒng)中負責移動性上下文的管理�、和/或用戶安全模式的管理的設 備是SGSN (Serving GPRS Support Node,服務GPRS支持節(jié)點)�。SGSN 還負責認證UE,并且生成密鑰IK( Integrity Key,完整性密鑰),CK( Ciphering Key,加密密鑰)�����。3GPPUMTS系統(tǒng)的接入系統(tǒng)為UTRAN(UMTS Terrestrial Radio Access Network,無線4妄入網(wǎng))�。同時UE也生成IK�����, CK���。在PS域����,UE使用計數(shù)器START記錄受到 密鑰IK和CK保護的信令數(shù)量,當START的值到達設定的門閥值時���,將觸 發(fā)UE和SGSN作新的AKA,產(chǎn)生新的IK, CK���,同時START值置0,因 此在UMTS,計數(shù)器START是密鑰IK和CK的生存計數(shù)器��,它嚴格限制了 密鑰的生存時間�����。在建立連接時��,UE和RNC (無線網(wǎng)絡控制器��,Radio Network Controller)或SGSN使用START的值用來初始化計數(shù)器COUNT-I 和COUNT-C的高位有效比特位的值����,在斷開連接時,UE使用COUNT-I 和COUNT-C的高位有效比特位的值更新START的值�。其中計數(shù)器 COUNT-I是記錄已受到演進的陸地無線接入網(wǎng)的完整性密鑰IK保護的網(wǎng)絡 接入服務器信令數(shù)量的計數(shù)器,COUNT-C是記錄已受到演進的陸地無線接 入網(wǎng)的加密密鑰IK保護的網(wǎng)絡接入服務器信令數(shù)量的計數(shù)器�。UE從UTRAN移動到EUTRAN時,UE和MME使用IK和CK來產(chǎn) 生ICasme,同時使用COUNT.NAs來做ICASME的生存計數(shù)器�����,IK和CK稱為 K^sME的父密鑰,ICASME則稱為CK��, IK的子密鑰�。當UE從EUTRAN轉 移到UTRAN時,UE和SGSN/RNC使用K^sME來產(chǎn)生密鑰IK和CK��,同 時使用START來限制CK, IK的生存時間��,K^sME稱為IK和CK的父密鑰�, IK和CK為K_ASME的子密鑰。由于UE在UTRAN和EUTRAN之間進行小區(qū)重選(TAU, Tracking Area Update)時�����,沒有強制要求重新使用AKA來進行密鑰更新�,由父密鑰產(chǎn)生 的子密鑰可能會繼續(xù)使用 一段時間���。在現(xiàn)有技術中����,在UTRAN和EUTRAN之間小區(qū)重選時����,沒有對UE計數(shù)器進行相互延續(xù)累加����,而是直接將計數(shù)器初始值設置為0,以致TAU 后�����,密鑰的生存周期沒有包含其父密鑰的已生存時間�����,造成密鑰生存期被延 長的安全漏洞�����。發(fā)明內容本發(fā)明提供一種用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設置 方法����,以避免UE在UTRAN和EUTRAN間移動發(fā)起小區(qū)重選時,密鑰生 存期纟皮延長的安全漏洞�����。為了解決上述技術問題�,本發(fā)明提供了 一種用于不同接入系統(tǒng)之間密鑰 生存計數(shù)器的初始化設置方法�,其特征在于����,用戶設備從陸地無線接入網(wǎng)向 演進的陸地無線接入網(wǎng)移動,需進行小區(qū)重選時���,執(zhí)行以下步驟所述用戶設備將計數(shù)器START-NAS的值初始化為計數(shù)器START的值��, 并使用計數(shù)器START—NAs對計數(shù)器COUNT.NAS進行初始化設置��,在向目標 移動管理單元發(fā)送的小區(qū)重選請求中攜帶所述計數(shù)器START—NAS的值���;所述目標移動管理單元收到小區(qū)重選請求后,使用計數(shù)器START.NAS 對計數(shù)器COUNT.做s進行初始化設置��;其中����,計數(shù)器START是陸地無線接入網(wǎng)的完整性密鑰IK和加密密鑰 CK的生存計數(shù)器���,計數(shù)器COUNT—NAs是記錄已受到演進的陸地無線接入網(wǎng)的非接入層完整性保護密鑰KNAS.int和機密性保護密鑰KMS.ene保護的網(wǎng)絡接入服務器信令數(shù)量的計數(shù)器�;計數(shù)器START_NAS是記錄計數(shù)器COUNT.NAS 的高位有效值的計數(shù)器�。進一步地�����,上述方法還可具有以下特點所述用戶設備和目標移動管理單元使用計數(shù)器START.NAS對計數(shù)器 COUNT-NAs進行初始化設置時�,是將計數(shù)器COUNT-NAS的高位有效值置為 計數(shù)器START-NAs的值����,其余比特位置為0 。進一步地��,上述方法還可具有以下特點所述用戶設備對計數(shù)器COUNT-NAs進行初始化設置后��,還利用陸地無線接入網(wǎng)的完整性密鑰IK和加密密鑰CK生成演進的陸地無線接入網(wǎng)的根密鑰kasme即接入安全管理實體密鑰�、非接入層完整性保護密鑰Knas—^和機密性保護密鑰KNAS-ene,用于后續(xù)信令的加密。 進一步地�,上述方法還可具有以下特點所述目標移動管理單元收到小區(qū)重選請求后,向源服務GPRS支持節(jié)點 發(fā)上下文請求��,所述源服務GPRS支持節(jié)點在向所述目標移動管理單元發(fā)送 的上下文響應中攜帶陸地無線接入網(wǎng)的完整性密鑰和加密密鑰��,所述目標移 動管理單元再利用計數(shù)器START-nas對計數(shù)器COUNT-NAS進行初始化設置�����, 并利用所述完整性密鑰IK和加密密鑰CK生成演進的陸地無線接入網(wǎng)的根密鑰kasme即接入安全管理實體密鑰、非接入層完整性保護密鑰Knas^和 機密性保護密鑰KNAS《ne,用于后續(xù)信令的加密�����。進一步地�����,上述方法還可具有以下特點所述目標移動管理單元對計數(shù)器COUNT-NAs進行初始化設置后���,通知 所述用戶設備小區(qū)重選已被接受��;所述用戶設備收到后��,向所述目標移動管 理單元發(fā)送小區(qū)重選完成消息�,確認小區(qū)重選已完成�����。為了解決上述技術問題�,本發(fā)明還提供了 一種用于不同接入系統(tǒng)之間密 鑰生存計數(shù)器的初始化設置方法,其特征在于����,用戶設備從演進的陸地無線 接入網(wǎng)向陸地無線接入網(wǎng)移動,需進行小區(qū)重選時�����,執(zhí)行以下步驟所述用戶設備發(fā)送小區(qū)重選請求給目標服務GPRS支持節(jié)點����,在收到所 述目標服務GPRS支持節(jié)點發(fā)來的小區(qū)重選確認后,將計數(shù)器COUNT.NAS 的高位有效值至少加1后���,作為計數(shù)器START的初始值���;其中,計數(shù)器START是陸地無線接入網(wǎng)的完整性密鑰IK和加密密鑰 CK的生存計數(shù)器�,計數(shù)器COUNT-NAs是記錄已受到演進的陸地無線接入網(wǎng)的非接入層完整性保護密鑰KNAS-i加和機密性保護密鑰K漁s-咖保護的網(wǎng)絡接入服務器信令數(shù)量的計數(shù)器。進一步地�����,上述方法還可具有以下特點所述用戶設備是先將計數(shù)器COUNT_NAS的高位有效值至少加1后�����,賦給計數(shù)器START.NAS����,然后將計數(shù)器START的值初始化為計數(shù)器START_NAS 的值����;其中計數(shù)器START.NAs是用于記錄計數(shù)器COUNT_NAS的高位有效值 的計數(shù)器��。進一步地�,上述方法還可具有以下特點所述用戶設備是先將計數(shù)器COUNT.NAs的高位有效值加2后,作為計 數(shù)器START的初始值�����。進一步地���,上述方法還可具有以下特點所述目標服務GPRS支持節(jié)點收到所述用戶設備發(fā)送小區(qū)重選請求后����, 發(fā)送上下文請求至源移動管理單元��;所述源移動管理單元收到后�,發(fā)送上下 文響應到所述目標服務GPRS支持節(jié)點;所述目標服務GPRS支持節(jié)點再向 所述用戶設備發(fā)送小區(qū)重選確認�����,通知其網(wǎng)絡已接受小區(qū)重選請求;所述用 戶設備在完成計數(shù)器START的初始化設置后�,向所述目標移動管理單元發(fā) 送小區(qū)重選完成消息,確-〖人小區(qū)重選已完成��。進一步地��,上述方法還可具有以下特點所述用戶設備在小區(qū)重選完成后發(fā)起的RRC連接的過程中����,所述用戶 設備和所述目標服務GPRS支持節(jié)點再用所述START值來初始化計數(shù)器 COUNT-I���、 COUNT-C,其中COUNT-I是記錄已受到演進的陸地無線接入網(wǎng) 的完整性密鑰IK保護的網(wǎng)絡接入服務器信令數(shù)量的計數(shù)器����,COUNT-C是 記錄已受到演進的陸地無線接入網(wǎng)的加密密鑰IK保護的網(wǎng)絡接入服務器信 令數(shù)量的計數(shù)器����。本發(fā)明所述方法,由于采用START和START.NAs進行延續(xù)�,并用其來 初始化相關計數(shù)器,克服了現(xiàn)有技術中UE在UTRAN和EUTRAN之間TAU 時��,密鑰使用周期被延長的安全缺陷�����。
圖1為本發(fā)明實施例UE從UTRAN移動到EUTRAN進行TAU時,UE 計數(shù)器初始化設置方法的信令流程圖���;圖2為本發(fā)明另 一實施例UE從EUTRAN移動到UTRAN進行TAU時�, 計數(shù)器初始化設置方法的信令流程圖����。
具體實施方式
本發(fā)明的構思是UE在不同接入系統(tǒng)之間移動,需進行小區(qū)重選時�, 利用原接入系統(tǒng)中的START值,初始化目標系統(tǒng)中的START值��,并且在 建立連接時�,使用目標系統(tǒng)中的START值初始化目標系統(tǒng)中的計數(shù)器。旨在提供一種在UE進行UTRAN和EUTRAN之間的TAU后�,計數(shù)器 的初始化方法,使得子密鑰生命周期延續(xù)TAU前其父密鑰的生存時間�����,并 且在TAU成功后��,繼續(xù)累加子密鑰的生存時間����,從而避免子密鑰的生存時 間^皮延長�。以下結合附圖和具體實施方式
對本發(fā)明所述技術方案進行詳細描述�。 第一實施例本實施例是UE在空閑狀態(tài)下,從UTRAN向EUTRAN移動�����,需進行 小區(qū)重選時�,對計數(shù)器進行初始化設置的方法�。其信令流程如圖l所示,包 括以下步驟步驟101: UE對START.NAs進行初始化設置�����,令START.NAS= START, 然后使用START—NAs對COUNT-Ms進行初始化設置��;對COUNT-NAs進行初始化設置時�,即將START_NAS的值作為COUNT.NAS 的高位有效比特位的值,用公式可以表示為MSB(COUNT-NAS)=START.NAS�, COUNT-NAS的其余比特位置為0。該步中UE還需使用IK和CK來生成ICasme�����, KNAS^t和KN膝enc,因為需要在后續(xù)的TAU請求中使用該密鑰進行完整性保護。步驟102: UE向目標MME發(fā)TAU請求��,同時將START.做s發(fā)給目標 MME;步驟103:目標MME向源SGSN發(fā)上下文請求�,請求源SGSN傳送IK, CK等用戶信息; '步驟104:源SGSN向目標MME發(fā)上下文響應�����,將CK, IK等用戶相 關信息傳給目標MME;步驟105:目標MME使用START-NAs對COUNT_NAS進行初始化設置�;這里目標MME也使用IK和CK來生成K_ASME, Knas-^和Knas-^,用 于后續(xù)消息的加密保護。步驟106:目標MME通知UE, TAU已被接受���;步驟107: UE發(fā)TAU完成消息�,確認TAU已完成����。第二實施例本實施例是UE在空閑狀態(tài)下,從EUTRAN和UTRAN移動����,需要進 行TAU時,對計數(shù)器進行初始化設置的方法�����。如圖2所示,包括以下步驟步驟201: UE發(fā)TAU請求到目標SGSN;步驟202:目標SGSN發(fā)上下文請求至源MME;步驟203 :源MME發(fā)上下文響應到目標SGSN;步驟204:目標SGSN向UE發(fā)送小區(qū)重選確認���,通知UE網(wǎng)絡已接受 TAU;步驟205: UE對START-NAS進行設置�,即將COUNT.NAS的高位有效比 特位的值(也稱為高位有效值)加上2(這里也可以加1 )后賦給START_NAS�����, 可表示為START.NAS= MSB ( COUNT-NAS) +2,然后對START進行初始化���, START= START—NAS;步驟206: UE發(fā)TAU完成確認消息。在小區(qū)重選時�,SGSN不對START進行初始化設置,在UE發(fā)起RRC 連接后��,UE和SGSN再用START值初始化COUNT-I�����、 COUNT-C��。從上述描述中��,由于采用START和START.NAs進行延續(xù)�����,并用其來初 始化相關計數(shù)器,克服了現(xiàn)有技術中UE在UTRAN和EUTRAN之間TAU 時��,密鑰使用周期被延長的安全缺陷�。__以上所述僅為本發(fā)明的實施例而已,并不用于限制本發(fā)明�,對于本領域 的技術人員來說,本發(fā)明可以有各種更改和變化�����。凡在本發(fā)明的精神和原則 之內���,所作的任何修改�����、等同替換�����、改進等�����,均應包含在本發(fā)明的權利要求 范圍之內�����。
權利要求
1��、一種用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設置方法���,其特征在于���,用戶設備從陸地無線接入網(wǎng)向演進的陸地無線接入網(wǎng)移動,需進行小區(qū)重選時�����,執(zhí)行以下步驟所述用戶設備將計數(shù)器START-NAS的值初始化為計數(shù)器START的值�����,并使用計數(shù)器START-NAS對計數(shù)器COUNT-NAS進行初始化設置�����,在向目標移動管理單元發(fā)送的小區(qū)重選請求中攜帶所述計數(shù)器START-NAS的值�;所述目標移動管理單元收到小區(qū)重選請求后,使用計數(shù)器START-NAS對計數(shù)器COUNT-NAS進行初始化設置�;其中,計數(shù)器START是陸地無線接入網(wǎng)的完整性密鑰IK和加密密鑰CK的生存計數(shù)器����,計數(shù)器COUNT-NAS是記錄已受到演進的陸地無線接入網(wǎng)的非接入層完整性保護密鑰KNAS-int和機密性保護密鑰KNAS-enc保護的網(wǎng)絡接入服務器信令數(shù)量的計數(shù)器;計數(shù)器START-NAS是記錄計數(shù)器COUNT-NAS的高位有效值的計數(shù)器���。
2�����、 如權利要求1所述的初始化設置方法����,其特征在于所述用戶設備和目標移動管理單元使用計數(shù)器START.nas對計數(shù)器 COUNT-NAs進行初始化設置時����,是將計數(shù)器COUNT.NAs的高位有效值置為 計數(shù)器START.NAS的值,其余比特位置為0 ��。
3�����、 如權利要求1或2所述的初始化設置方法,其特征在于所述用戶設備對計數(shù)器COUNT.NAs進行初始化設置后�,還利用陸地無 線接入網(wǎng)的完整性密鑰IK和加密密鑰CK生成演進的陸地無線接入網(wǎng)的根密鑰KASME即接入安全管理實體密鑰、非接入層完整性保護密鑰K風s.iw和 機密性保護密鑰KNAS-ene,用于后續(xù)信令的加密����。
4、 如權利要求3所述的初始化設置方法�����,其特征在于所述目標移動管理單元收到小區(qū)重選請求后�,向源服務GPRS支持節(jié)點 發(fā)上下文請求,所述源服務GPRS支持節(jié)點在向所述目標移動管理單元發(fā)送 的上下文響應中攜帶陸地無線接入網(wǎng)的完整性密鑰和加密密鑰�,所述目標移動管理單元再利用計數(shù)器START.NAs對計數(shù)器COUNT,NAs進行初始化設置�����, 并利用所述完整性密鑰IK和加密密鑰CK生成演進的陸地無線接入網(wǎng)的根密鑰KASME即接入安全管理實體密鑰�、非接入層完整性保護密鑰Knas-jm和機密性保護密鑰KNAS_ene,用于后續(xù)信令的加密���。
5��、 如權利要求1所述的初始化設置方法�,其特征在于所述目標移動管理單元對計數(shù)器COUNT,NAs進行初始化設置后����,通知 所述用戶設備小區(qū)重選已被接受;所述用戶設備收到后��,向所述目標移動管 理單元發(fā)送小區(qū)重選完成消息�����,確認小區(qū)重選已完成���。
6����、 一種用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設置方法�����,其 特征在于�,用戶設備從演進的陸地無線接入網(wǎng)向陸地無線接入網(wǎng)移動,需進 行小區(qū)重選時��,4丸行以下步驟所述用戶設備發(fā)送小區(qū)重選請求給目標服務GPRS支持節(jié)點,在收到所 述目標服務GPRS支持節(jié)點發(fā)來的小區(qū)重選確認后�,將計數(shù)器COUNT—NAS 的高位有效值至少加1后,作為計數(shù)器START的初始值�����;其中���,計數(shù)器START是陸地無線接入網(wǎng)的完整性密鑰IK和加密密鑰 CK的生存計數(shù)器�����,計數(shù)器COUNT.NAs是記錄已受到演進的陸地無線接入網(wǎng)的非接入層完整性保護密鑰KNAS.int和機密性保護密鑰KNAs.ene保護的網(wǎng)絡接 入服務器信令數(shù)量的計數(shù)器����。
7���、 如權利要求6所述的初始化設置方法����,其特征在于所述用戶設備是先將計數(shù)器COUNT-NAs的高位有效值至少加1后���,賦 給計數(shù)器START-NAS��,然后將計數(shù)器START的值初始化為計數(shù)器START—NAS 的值����;其中計數(shù)器START-NAs是用于記錄計數(shù)器COUNT—NAS的高位有效值 的計數(shù)器���。
8��、 如權利要求6或7所述的初始化設置方法���,其特征在于所述用戶設備是先將計數(shù)器COUNT-NAS的高位有效值加2后,作為計 數(shù)器START的初始值�。
9、 如權利要求6��、 7或8所述的初始化設置方法�����,其特征在于所述目標服務GPRS支持節(jié)點收到所述用戶設備發(fā)送小區(qū)重選請求后��, 發(fā)送上下文請求至源移動管理單元�;所述源移動管理單元收到后,發(fā)送上下 文響應到所述目標服務GPRS支持節(jié)點�����;所述目標服務GPRS支持節(jié)點再向 所述用戶設備發(fā)送小區(qū)重選確認,通知其網(wǎng)絡已接受小區(qū)重選請求�;所述用 戶設備在完成計數(shù)器START的初始化設置后,向所述目標移動管理單元發(fā) 送小區(qū)重選完成消息����,確認小區(qū)重選已完成。
10�����、 如權利要求6��、 7或8所述的初始化設置方法��,其特征在于所述用戶設備在小區(qū)重選完成后發(fā)起的RRC連接的過程中�����,所述用戶 設備和所述目標服務GPRS支持節(jié)點再用所迷START值來初始化計數(shù)器 COUNT-I���、 COUNT-C���,其中COUNT-I是記錄已受到演進的陸地無線接入網(wǎng) 的完整性密鑰IK保護的網(wǎng)絡接入服務器信令數(shù)量的計數(shù)器��,COUNT-C是 記錄已受到演進的陸地無線接入網(wǎng)的加密密鑰IK保護的網(wǎng)絡接入服務器信 令數(shù)量的計數(shù)器�。
全文摘要
一種用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設置方法��,UE從UTRAN向EUTRAN移動需進行小區(qū)重選時��,將START<sub>-NAS</sub>的值初始化為START的值��,并使用START<sub>-NAS</sub>對COUNT<sub>-NAS</sub>進行初始化設置�����,在向目標MME發(fā)送的小區(qū)重選請求中攜帶START<sub>-NAS</sub>的值�����;目標MME也使用START<sub>-NAS</sub>對COUNT<sub>-NAS</sub>進行初始化設置����。UE從EUTRAN向UTRAN移動進行小區(qū)重選時��,在收到目標SGSN發(fā)來的小區(qū)重選確認后���,將COUNT<sub>-NAS</sub>的高位有效值至少加1后����,作為START的初始值。本發(fā)明可以避免UE在UTRAN和EUTRAN間移動發(fā)起小區(qū)重選時�,密鑰生存期被延長的安全漏洞。
文檔編號H04Q7/38GK101232736SQ200810081929
公開日2008年7月30日 申請日期2008年2月22日 優(yōu)先權日2008年2月22日
發(fā)明者張旭武, 露 甘 申請人:中興通訊股份有限公司