專利名稱:密鑰處理方法、系統(tǒng)、設(shè)備及終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及 一 種網(wǎng)絡(luò)切換時(shí)的密鑰處理 方法、系統(tǒng)、設(shè)備及終端。
背景技術(shù):
現(xiàn)有3GPP (Third Generation Partnership Project,第三代合作伙 伴計(jì)劃)無(wú)線網(wǎng)絡(luò)按照網(wǎng)絡(luò)劃分,分為無(wú)線接入網(wǎng)和核心網(wǎng)兩個(gè)部分; 無(wú)線接入網(wǎng)按照類型劃分,分為2G接入網(wǎng)GERAN、 3G接入網(wǎng)UTRAN 和LTE ( (Long Term Evolution,長(zhǎng)期演進(jìn))接入網(wǎng)EUTRAN。如圖1 所示,為3GPP無(wú)線網(wǎng)絡(luò)的結(jié)構(gòu)示意圖,該圖中示出了上述三種無(wú)線 接入網(wǎng),與GERAN和UTRAN對(duì)應(yīng)的核心網(wǎng)是PS (分組域),與 EUTRAN對(duì)應(yīng)的核心網(wǎng)是SAE (系統(tǒng)架構(gòu)演進(jìn))。
以3G接入網(wǎng)UTRAN和LTE接入網(wǎng)為例,在UTRAN中,RNC (Radio Network Controller,無(wú)線網(wǎng)絡(luò)控制器)與SGSN( Serving GPRS Supporting Node, GPRS服務(wù)支持結(jié)點(diǎn))是與網(wǎng)絡(luò)安全相關(guān)的實(shí)體, 當(dāng)UE (終端)切換到UTRAN中時(shí),UE中保存與RNC中一致的密 鑰IK (Integrality Key,完整性保護(hù)密鑰)和CK ( Cipher Key,加密密 鑰);在EUTRAN中,eNodeB (基站)和MME (移動(dòng)管理實(shí)體)是 與網(wǎng)絡(luò)安全相關(guān)的實(shí)體,其中,eNodeB用于保護(hù)RRC( Radio Resource Control,無(wú)線資源控制)/UP (用戶面)信令的安全,MME用于保護(hù) NAS的信令的安全,為了保證EUTRAN中的通信安全,接入EUTRAN 的UE需要與eNodeB共享相同的RRC加密密鑰、RRC完整性保密密 鑰、UP加密密鑰;同時(shí)UE還需要與MME共享相同的NAS (非接入 網(wǎng)信令)加密密鑰、NAS完整性保護(hù)密鑰。
當(dāng)UE從第一 EUTRAN切換到UTRAN時(shí),UTRAN中的RNC獲 取到根據(jù)第一 EUTRAN中的密鑰推導(dǎo)出的IK和CK,當(dāng)UE又從該 UTRAN切換回第二 EUTRAN時(shí),第二 EUTRAN中的MME和eNodeB
5根據(jù)UTRAN傳輸?shù)腎K和CK推導(dǎo)出切換后的密鑰,由于該密鑰僅根 據(jù)IK和CK推導(dǎo),因此導(dǎo)致第一 EUTRAN和第二 EUTRAN中的密鑰 完全 一 致;同理,當(dāng)UE從第一 UTRAN切換到EUTRAN ,再?gòu)腅UTRAN 切換回第二 UTRAN中時(shí),第一 UTRAN和第二 UTRAN中的密鑰也 將完全一致。發(fā)明人在對(duì)現(xiàn)有技術(shù)的研究過(guò)程中發(fā)現(xiàn),UE在不同接入網(wǎng)之間 來(lái)回切換時(shí),在同種接入網(wǎng)中的密鑰完全一致,即相同的密鑰將在同 種接入網(wǎng)中重復(fù)使用,特別在較短周期內(nèi)進(jìn)行接入網(wǎng)之間的切換時(shí), 這種密鑰的重復(fù)使用將導(dǎo)致當(dāng)某 一接入網(wǎng)被攻破時(shí),與其類型相同的 才妻入網(wǎng)也同時(shí)被攻石皮,乂人而降低了接入網(wǎng)的網(wǎng)絡(luò)安全性。發(fā)明內(nèi)容本發(fā)明實(shí)施例的目的在于提供一種密鑰處理方法、系統(tǒng)、設(shè)備及 終端,以使終端在不同接入網(wǎng)之間切換時(shí),同種接入網(wǎng)的密鑰不同, 從而提高網(wǎng)絡(luò)安全性。為實(shí)現(xiàn)本發(fā)明實(shí)施例的目的,本發(fā)明實(shí)施例提供如下技術(shù)方案一種密鑰處理方法,包括接收切換請(qǐng)求消息;根據(jù)第 一 網(wǎng)絡(luò)的第 一 密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò)的第二 密鑰;向第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的切換請(qǐng)求消息。一種密鑰處理方法,包括接收切換命令;根據(jù)保存的第 一 網(wǎng)絡(luò)的第 一密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò) 的第二密鑰;根據(jù)所述第一網(wǎng)絡(luò)的第二密鑰獲取第二網(wǎng)絡(luò)的密鑰。 一種密鑰處理系統(tǒng),包括第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò),所述第一網(wǎng)絡(luò)為終端當(dāng)前接入的網(wǎng)絡(luò),所述第二網(wǎng)絡(luò)為終端準(zhǔn)備切換到的網(wǎng)絡(luò), 所述第一網(wǎng)絡(luò),用于接收切換請(qǐng)求消息后,根據(jù)第一網(wǎng)絡(luò)的第一密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一網(wǎng)絡(luò)的第二密鑰,并向所述第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的切換請(qǐng)求消,t、;
所述第二網(wǎng)絡(luò),用于根據(jù)所述第二密鑰獲取所述第二網(wǎng)絡(luò)的密 鑰,并向所述第一網(wǎng)絡(luò)發(fā)送切換請(qǐng)求響應(yīng)消息。
一種密鑰處理設(shè)備,包括
消息接收單元,用于接收切換請(qǐng)求消息;
密鑰獲取單元,用于根據(jù)第 一 網(wǎng)絡(luò)的第 一 密鑰和網(wǎng)絡(luò)參數(shù)獲取所 述第一網(wǎng)絡(luò)的第二密鑰;
消息發(fā)送單元,用于向第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的切換請(qǐng) 求消息。
一種終端,包括
命令接收單元,用于接收切換命令;
第 一獲取單元,根據(jù)保存的第 一 網(wǎng)絡(luò)的第 一密鑰和網(wǎng)絡(luò)參數(shù)獲取 所述第 一 網(wǎng)絡(luò)的第二密鑰;
第二獲取單元,用于根據(jù)所述第 一 網(wǎng)絡(luò)的第二密鑰獲取第二網(wǎng)絡(luò)
的密鑰。
由以上本發(fā)明實(shí)施例提供的技術(shù)方案可見,在網(wǎng)絡(luò)側(cè),接收切換 請(qǐng)求消息,根據(jù)第 一網(wǎng)絡(luò)的第 一密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò)的 第二密鑰,向第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的切換請(qǐng)求消息。所述 第二網(wǎng)絡(luò),用于根據(jù)所述第二密鑰獲取所述第二網(wǎng)絡(luò)的密鑰,并向所 述第一網(wǎng)絡(luò)發(fā)送切換請(qǐng)求響應(yīng)消息。在終端側(cè),接收切換請(qǐng)求消息, 根據(jù)第 一 網(wǎng)絡(luò)的第 一 密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò)的第二密鑰, 根據(jù)所述第一網(wǎng)絡(luò)的第二密鑰獲取第二網(wǎng)絡(luò)的密鑰。應(yīng)用本發(fā)明實(shí)施 例進(jìn)行密鑰處理,當(dāng)UE在不同接入網(wǎng)之間切換時(shí),通過(guò)在推導(dǎo)密鑰 的函數(shù)中輸入接入網(wǎng)的網(wǎng)絡(luò)參數(shù),使得同種接入網(wǎng)的密鑰在切換前后 不同,避免了相同的密鑰在同種接入網(wǎng)中的重復(fù)使用,特別在較短周 期中進(jìn)行接入網(wǎng)之間的切換時(shí),避免了由于某一接入網(wǎng)被攻破時(shí),與 其類型的接入網(wǎng)也被攻破的問(wèn)題,提高了接入網(wǎng)的網(wǎng)絡(luò)安全性。
圖1為3GPP無(wú)線網(wǎng)絡(luò)的結(jié)構(gòu)示意7圖2為本發(fā)明密鑰處理方法的一個(gè)實(shí)施例流程圖; 圖3為本發(fā)明密鑰處理方法的另一個(gè)實(shí)施例流程圖; 圖4為本發(fā)明密鑰處理方法的另一個(gè)實(shí)施例流程圖; 圖5為本發(fā)明密鑰處理系統(tǒng)的實(shí)施例框圖; 圖6為本發(fā)明密鑰處理設(shè)備的實(shí)施例框圖; 圖7為本發(fā)明終端的實(shí)施例框圖。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供了密鑰處理方法、系統(tǒng)、設(shè)備及終端,在網(wǎng)絡(luò) 側(cè),接收切換請(qǐng)求消息后根據(jù)第 一 網(wǎng)絡(luò)的第 一密鑰和網(wǎng)絡(luò)參數(shù)獲取第 一網(wǎng)絡(luò)的第二密鑰,并向第二網(wǎng)絡(luò)發(fā)送包含第二密鑰的切換請(qǐng)求消息; 第二網(wǎng)絡(luò)根據(jù)所述第二密鑰獲取所述第二網(wǎng)絡(luò)的密鑰,并向所述第一 網(wǎng)絡(luò)發(fā)送切換請(qǐng)求響應(yīng)消息。
在終端側(cè),接收切換命令后根據(jù)保存的第 一 網(wǎng)絡(luò)的第 一密鑰和網(wǎng) 絡(luò)參數(shù)獲取第 一 網(wǎng)絡(luò)的第二密鑰,根據(jù)第 一 網(wǎng)絡(luò)的第二密鑰獲取第二
的技術(shù)方案,下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明實(shí)施例提供的技 術(shù)方案作進(jìn)一步的詳細(xì)說(shuō)明。
本發(fā)明密鑰處理方法的一個(gè)實(shí)施例流程如圖2所示,該實(shí)施例示 出了終端準(zhǔn)備從第一網(wǎng)絡(luò)切換到第二網(wǎng)絡(luò)時(shí),該第一網(wǎng)絡(luò)的密鑰處理 過(guò)程,其中第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)為類型不同的網(wǎng)絡(luò)
步驟201: ^接收切換請(qǐng)求消息。
步驟202:根據(jù)第一網(wǎng)絡(luò)的第一密鑰和網(wǎng)絡(luò)參數(shù)獲取第一網(wǎng)絡(luò)的 第二密鑰。
其中,第一網(wǎng)絡(luò)可以具體為2G接入網(wǎng)GERAN或3G接入網(wǎng) UTRAN,第二網(wǎng)絡(luò)可以具體為L(zhǎng)TE接入網(wǎng)EUTRAN。
其中,網(wǎng)絡(luò)參數(shù)包括第一網(wǎng)絡(luò)的標(biāo)識(shí)、或第二網(wǎng)絡(luò)的標(biāo)識(shí)或物理 信元標(biāo)識(shí)等,該網(wǎng)絡(luò)參數(shù)為該第 一 網(wǎng)絡(luò)以及在網(wǎng)絡(luò)之間切換的終端所 共有的相同的網(wǎng)絡(luò)參數(shù)。
第一網(wǎng)絡(luò)的第一密鑰包括完整性保護(hù)密鑰IK和加密密鑰CK;第一網(wǎng)絡(luò)的第二密鑰包括根據(jù)第 一 密鑰衍生的完整性保護(hù)密鑰IK ,和加密密鑰CK,。具體的,可以分別根據(jù)第 一推導(dǎo)函數(shù)和第二推導(dǎo)函數(shù)獲取所述衍生的完整性保護(hù)密鑰IK,和加密密鑰CK,,所述第一推導(dǎo)函數(shù)的輸入 參數(shù)為所述網(wǎng)絡(luò)參數(shù)和所述完整性保護(hù)密鑰IK,所述第二推導(dǎo)函數(shù)的 輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和所述加密密鑰CK。也可以根據(jù)第三推導(dǎo) 函數(shù)獲取所述衍生的完整性保護(hù)密鑰IK,和加密密鑰CK,,所述第三 推導(dǎo)函數(shù)的輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和所述完整性保護(hù)密鑰IK和加 密密鑰CK的并集。步驟203:向第二接網(wǎng)絡(luò)發(fā)送包含第二密鑰的切換請(qǐng)求消息。第二網(wǎng)絡(luò)可以根據(jù)所述第二密鑰獲取所述第二網(wǎng)絡(luò)的密鑰;進(jìn)一 步,第 一 網(wǎng)絡(luò)可以接收第二網(wǎng)絡(luò)發(fā)送的切換請(qǐng)求響應(yīng)消息。本發(fā)明密鑰處理方法的另一個(gè)實(shí)施例流程如圖3所示,該實(shí)施例 示出了終端從第一網(wǎng)絡(luò)切換到第二網(wǎng)絡(luò)時(shí),終端的密鑰處理過(guò)程,其 中第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)為類型不同的網(wǎng)絡(luò)步驟301:接收切換命令。步驟302:根據(jù)保存的第一網(wǎng)絡(luò)的第一密鑰和網(wǎng)絡(luò)參數(shù)獲取第一 網(wǎng)絡(luò)的第二密鑰。其中,網(wǎng)絡(luò)參數(shù)包括第一網(wǎng)絡(luò)的標(biāo)識(shí)、或第二網(wǎng)絡(luò)的標(biāo)識(shí)、或物 理信元標(biāo)識(shí)等,該網(wǎng)絡(luò)參數(shù)為該第 一 網(wǎng)絡(luò)以及在網(wǎng)絡(luò)之間切換的終端所共有的相同的網(wǎng)絡(luò)參數(shù)。第一網(wǎng)絡(luò)的第一密鑰包括完整性保護(hù)密鑰IK和加密密鑰CK;第 一網(wǎng)絡(luò)的第二密鑰包括根據(jù)第 一密鑰衍生的完整性保護(hù)密鑰IK,和加 密密鑰CK'。具體的,終端可以分別根據(jù)第一推導(dǎo)函數(shù)和第二推導(dǎo)函數(shù)獲取所 述衍生的完整性保護(hù)密鑰IK,和加密密鑰CK,,所述第一推導(dǎo)函數(shù)的 輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和所述完整性保護(hù)密鑰IK,所述第二推導(dǎo)函 數(shù)的輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和所述加密密鑰CK。終端也可以根據(jù)第三推導(dǎo)函數(shù)獲取所述衍生的完整性保護(hù)密鑰IK,和加密密鑰CK,,所述第三推導(dǎo)函數(shù)的輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和 所述完整性保護(hù)密鑰IK和加密密鑰CK的并集。
步驟303:根據(jù)第一網(wǎng)絡(luò)的第二密鑰獲取第二網(wǎng)絡(luò)的密鑰。 具體的,終端根據(jù)第二密鑰,即將完整性保護(hù)密鑰IK,和加密密 鑰CK,作為輸入?yún)?shù),按照預(yù)先設(shè)置的推導(dǎo)函數(shù)推導(dǎo)出第二網(wǎng)絡(luò)的 NAS密鑰和RRC/UP密鑰,為了保證切換后與第二網(wǎng)絡(luò)中的密鑰 一致, 終端推導(dǎo)該第二網(wǎng)絡(luò)的NAS密鑰和RRC/UP密鑰的推導(dǎo)函數(shù)與第二網(wǎng) 絡(luò)中的推導(dǎo)函數(shù)一致,下面將結(jié)合具體實(shí)施例進(jìn)行詳細(xì)描述,在此也 不再贅述。
結(jié)合上述分別從網(wǎng)絡(luò)側(cè)和終端側(cè)描述的本發(fā)明密鑰處理方法的 實(shí)施例,如圖4所示為本發(fā)明密鑰處理方法的另一個(gè)實(shí)施例流程圖, 該實(shí)施例詳細(xì)描述了終端從3G接入網(wǎng)UTRAN切換到EUTRAN時(shí), UTRAN中的源RNC、源SGSN, EUTRAN中的目標(biāo)eNodeB、目標(biāo) MME,以及終端UE的密鑰處理過(guò)程
步驟401:根據(jù)當(dāng)前UE所在位置,源UTRAN接入網(wǎng)中的源RNC 決定發(fā)起無(wú)線接入網(wǎng)切換。
步驟402:源RNC向源核心網(wǎng)中的源SGSN發(fā)送切換請(qǐng)求消息。
步驟403:源SGSN根據(jù)接入網(wǎng)絡(luò)標(biāo)識(shí)、IK和CK分別推導(dǎo)出IK, 和CK,。這里網(wǎng)絡(luò)參數(shù)以接入網(wǎng)絡(luò)標(biāo)識(shí)為例。
其中,源SGSN在利用接入網(wǎng)絡(luò)標(biāo)識(shí)推導(dǎo)衍生的完整性保護(hù)密鑰 IK,和加密密鑰CK,時(shí),可以采用不同的推導(dǎo)函數(shù)。其中,接入網(wǎng)絡(luò)標(biāo) 識(shí)(PLMN ID)可以采用例如"MCC ( Mobile Country Code,移動(dòng)國(guó)家 碼)+MNC ( Mobile Network Code,移動(dòng)網(wǎng)絡(luò)碼)"的格式。
例如,IK,=fl (接入網(wǎng)絡(luò)標(biāo)識(shí),IK ) , CK,=f2 (接入網(wǎng)絡(luò)標(biāo)識(shí), CK),其中,f表示預(yù)先設(shè)置好的推導(dǎo)函數(shù),IK,可以根據(jù)接入網(wǎng)絡(luò)標(biāo) 識(shí)和IK按照設(shè)置的推導(dǎo)函數(shù)fl進(jìn)行推導(dǎo),CK,可以根據(jù)接入網(wǎng)絡(luò)標(biāo) 識(shí)和CK按照設(shè)置的推導(dǎo)函數(shù)f2進(jìn)行推導(dǎo)。
又例如,(IK,,CK,) f(接入網(wǎng)絡(luò)標(biāo)識(shí),IK||CK),其中,f也表 示預(yù)先設(shè)置好的推導(dǎo)函數(shù),該函數(shù)f的輸入?yún)?shù)為接入網(wǎng)絡(luò)標(biāo)識(shí)以及
10IK和CK按照順序排列的并集,假設(shè)生成的結(jié)果值共256位,則將結(jié) 果值中的高128位作為IK,,低128位作為CK,。需要說(shuō)明的是,為了在接入網(wǎng)切換時(shí)生成不同于IK和CK的IK, 和CK,,該實(shí)施例中通過(guò)將接入網(wǎng)絡(luò)標(biāo)識(shí)作為推導(dǎo)函數(shù)參數(shù)實(shí)現(xiàn)生成 IK,和CK,的目的,由于UE本身保存有接入網(wǎng)絡(luò)標(biāo)識(shí),因此終端只要 按照上述推導(dǎo)函數(shù)就能生成與目標(biāo)接入網(wǎng)一致的密鑰。由此可知,接 入網(wǎng)絡(luò)標(biāo)識(shí)僅是可選擇的輸入?yún)?shù)中的一種,而其它源接入網(wǎng)和UE 均具有的相同參數(shù),如物理信源標(biāo)識(shí)等也可以作為輸入?yún)?shù)推導(dǎo)相應(yīng) 的密鑰,對(duì)此本發(fā)明實(shí)施例不做限制。步驟404:源SGSN向目標(biāo)MME發(fā)送切換請(qǐng)求消息,該切換請(qǐng) 求消息中攜帶有IK'和CK,。步驟405:目標(biāo)MME根據(jù)切換請(qǐng)求消息中攜帶的IK,和CK,推導(dǎo) 目標(biāo)MME需要的密鑰。在推導(dǎo)目標(biāo)MME需要的密鑰時(shí),目標(biāo)MME根據(jù)首先根據(jù)IK' 和CK,推導(dǎo)出才艮密鑰Kasme ,例如,推導(dǎo)函凄t可以為Kasme=kl (IK,,CK,),然后根據(jù)Kasme推導(dǎo)出臨時(shí)密鑰K*eNB,例如,推導(dǎo)函 數(shù)可以為K*eNB=k2 (Kasme),最后根據(jù)Kasme推導(dǎo)出NAS密鑰 (K—NAS—enc和K—NASjnt),例如,推導(dǎo)函凄t可以為K—NAS—enc=hl (Kasme ), K—NAS—int=h2 ( Kasme )。需要說(shuō)明的是,上述列舉的推導(dǎo)函數(shù)kl、 k2、 hl和h2中也可以 添加其它的輸入?yún)?shù),例如,Kasme=kl ( IK,,CK,,其它參數(shù)), K*eNB=k2 ( Kasme ,其它參數(shù)),K—NAS—enc=hl ( Kasme ,其它參數(shù)), K—NAS—int=h2 ( Kasme,其它參數(shù)),當(dāng)上述推導(dǎo)函數(shù)的輸入?yún)?shù)中 包含其它參數(shù)時(shí),目標(biāo)MME還需要將該其它參數(shù)發(fā)送給UE,以使 UE能夠推導(dǎo)出與目標(biāo)接入網(wǎng)一致的密鑰。步驟406:目標(biāo)MME向目標(biāo)eNodeB發(fā)送切換請(qǐng)求消息,該切換 請(qǐng)求消息中攜帶臨時(shí)密鑰K*eNB。步驟407:目標(biāo)eNodeB才艮據(jù)切換請(qǐng)求消息中的K*eNB推導(dǎo)目標(biāo) eNodeB需要的密鑰。在推導(dǎo)目標(biāo)eNodeB需要的密鑰時(shí),首先根據(jù)K*eNB推導(dǎo)出 KeNB,例如,推導(dǎo)函數(shù)可以為KeNB=g 1 ( K*eNB ), 然后根據(jù)KeNB 推導(dǎo)出RRC/UP密鑰,例如,在推導(dǎo)K—RRC—enc時(shí),推導(dǎo)函數(shù)可以 為K—RRC—enc=g2 ( KeNB ),在推導(dǎo)K—RRC—int時(shí),推導(dǎo)函數(shù)可以為 K—RRC—int=g3 ( KeNB ),在推導(dǎo)K—UP—enc時(shí),推導(dǎo)函凄t可以為 K—UP—enc=g4 ( KeNB )。
與步驟405中描述一樣,上述列舉的推導(dǎo)函數(shù)gl、 g2、 g3和g4 中也可以添加其它的輸入?yún)?shù)。
步驟408:目標(biāo)eNodeB給目標(biāo)MME發(fā)送切換請(qǐng)求響應(yīng)消息。 需要說(shuō)明的是,該步驟408也可以在步驟406與步驟407之間執(zhí) 行,本實(shí)施例不做限制。
步驟409:目標(biāo)MME給源SGSN發(fā)送切換請(qǐng)求響應(yīng)消息。 步驟410:源SGSN給源RNC發(fā)送切換請(qǐng)求響應(yīng)消息。 步驟411:源RAN向UE發(fā)送切換命令,該切換命令用于通知 UE從當(dāng)前源NodeB切換到目標(biāo)eNodeB。
步驟412: UE接收到切換命令后才艮據(jù)4妄入網(wǎng)絡(luò)標(biāo)識(shí)、IK和CK推 導(dǎo)與目標(biāo)eNodeB和目標(biāo)MME —致的密鑰。
UE根據(jù)接入網(wǎng)絡(luò)標(biāo)識(shí)、IK和CK推導(dǎo)密鑰的推導(dǎo)函數(shù)及相應(yīng)的 推導(dǎo)過(guò)程與目標(biāo)接入網(wǎng)中的目標(biāo)eNodeB和目標(biāo)MME —致,即根據(jù) 4妄入網(wǎng)絡(luò)標(biāo)識(shí)、IK和CK分別推導(dǎo)出書f生的完整性保護(hù)密鑰IK,和加 密密鑰CK,,然后根據(jù)IK,和CK,推導(dǎo)出Kasme,根據(jù)Kasme推導(dǎo)出 臨時(shí)密鑰K*eNB,并根據(jù)臨時(shí)密鑰K*eNB推導(dǎo)出KeNB ,再根據(jù)KeNB 推導(dǎo)出包含K—RRC—enc、 K—RRC—int和K—UP—enc的RRC/UP密鑰, 最后根據(jù)Kasme推導(dǎo)出包含K—NAS—enc和K—NAS—int的NAS密鑰。
與本發(fā)明密鑰處理方法的實(shí)施例相對(duì)應(yīng),本發(fā)明還提供了密鑰處 理系統(tǒng)的實(shí)施例。
本發(fā)明密鑰處理系統(tǒng)的實(shí)施例框圖如圖5所示,該系統(tǒng)包括第 一網(wǎng)絡(luò)510和第二網(wǎng)絡(luò)520,所述第一網(wǎng)絡(luò)510為終端當(dāng)前接入的網(wǎng) 絡(luò),所述第二網(wǎng)絡(luò)520為終端準(zhǔn)備切換到的網(wǎng)絡(luò)。其中,第 一 網(wǎng)絡(luò)510用于接收切換請(qǐng)求消息后,根據(jù)第 一 網(wǎng)絡(luò)510 的第一密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第一網(wǎng)絡(luò)510的第二密鑰,并向所述 第二網(wǎng)絡(luò)520發(fā)送包含所述第二密鑰的切換請(qǐng)求消息;所述第二網(wǎng)絡(luò)520用于根據(jù)所述第二密鑰獲取所述第二網(wǎng)絡(luò)520 的密鑰,并向所述第一網(wǎng)絡(luò)510發(fā)送切換請(qǐng)求響應(yīng)消息。與本發(fā)明密鑰處理方法和系統(tǒng)的實(shí)施例相對(duì)應(yīng),本發(fā)明還提供了 密鑰處理i殳備的實(shí)施例和終端的實(shí)施例。本發(fā)明密鑰處理設(shè)備的實(shí)施例框圖如圖6所示,該設(shè)備包括消 息接收單元610、密鑰獲取單元620和消息發(fā)送單元630。該密鑰處理 設(shè)備通常位于第一網(wǎng)絡(luò)中,該第一網(wǎng)絡(luò)可以為2G接入網(wǎng)GERAN或 3G接入網(wǎng)UTRAN。其中,消息接收單元610用于接收切換請(qǐng)求消息;密鑰獲取單元 620用于根據(jù)第 一 網(wǎng)絡(luò)的第 一 密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò)的第 二密鑰;消息發(fā)送單元630用于向第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的 切換:清求消息。本發(fā)明終端的實(shí)施例框圖如圖7所示,該終端包括命令接收單 元710、第一獲取單元720和第二獲取單元730。其中,命令接收單元710用于接收切換命令;第一獲取單元720 根據(jù)保存的第 一 網(wǎng)絡(luò)的第 一密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò)的第二 密鑰;第二獲取單元730用于根據(jù)所述第一網(wǎng)絡(luò)的第二密鑰獲取第二 網(wǎng)絡(luò)的密鑰。其中,網(wǎng)絡(luò)參數(shù)包括第一網(wǎng)絡(luò)的標(biāo)識(shí)、或第二網(wǎng)絡(luò)的標(biāo)識(shí)、或物 理信元標(biāo)識(shí)等;所述第一網(wǎng)路的第一密鑰包括完整性保護(hù)密鑰IK和 加密密鑰CK;所述第一網(wǎng)絡(luò)的第二密鑰包括根據(jù)第一密鑰衍生的完 整性保護(hù)密鑰IK,和加密密鑰CK,。第一獲取單元720具體用于分別 根據(jù)第一推導(dǎo)函數(shù)和第二推導(dǎo)函數(shù)獲取所述衍生的完整性保護(hù)密鑰 IK,和加密密鑰CK,,所述第一推導(dǎo)函數(shù)的輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和 所述完整性保護(hù)密鑰IK,所述第二推導(dǎo)函數(shù)的輸入?yún)?shù)為所述網(wǎng)絡(luò)參 數(shù)和所述加密密鑰CK;或根據(jù)第三推導(dǎo)函數(shù)獲取所述衍生的完整性保護(hù)密鑰IK,和加密密鑰CK,,所述第三推導(dǎo)函數(shù)的輸入?yún)?shù)為所述 網(wǎng)絡(luò)參數(shù)和所述完整性保護(hù)密鑰IK和加密密鑰CK的并集。
通過(guò)本發(fā)明實(shí)施例的描述可知,應(yīng)用本發(fā)明實(shí)施例進(jìn)行密鑰處 理,當(dāng)UE在不同接入網(wǎng)之間切換時(shí),通過(guò)在推導(dǎo)密鑰的函數(shù)中輸入 接入網(wǎng)的網(wǎng)絡(luò)參數(shù),使得同種接入網(wǎng)的密鑰在切換前后不同,避免了 相同的密鑰在同種接入網(wǎng)中的重復(fù)使用,特別在較短周期中進(jìn)行接入 網(wǎng)之間的切換時(shí),避免了由于某一接入網(wǎng)被攻破時(shí),與其類型的接入 網(wǎng)也被攻破的問(wèn)題,提高了接入網(wǎng)的網(wǎng)絡(luò)安全性。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或 部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可以 存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在網(wǎng)絡(luò)側(cè)執(zhí)行時(shí),包括如 下步驟接收切換請(qǐng)求消息;根據(jù)第一網(wǎng)絡(luò)的第一密鑰和網(wǎng)絡(luò)參數(shù)獲 取所述第一網(wǎng)絡(luò)的第二密鑰;向第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的切 換請(qǐng)求消息。該程序在終端側(cè)執(zhí)行時(shí),包括如下步驟接收切換命令; 根據(jù)保存的第 一 網(wǎng)絡(luò)的第 一 密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò)的第二 密鑰;根據(jù)所述第一網(wǎng)絡(luò)的第二密鑰獲取第二網(wǎng)絡(luò)的密鑰。所述的存 儲(chǔ)介質(zhì),如ROM/RAM、磁碟、光盤等。雖然通過(guò)實(shí)施例描繪了本 發(fā)明,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離 本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本 發(fā)明的精神。
權(quán)利要求
1、一種密鑰處理方法,其特征在于,包括接收切換請(qǐng)求消息;根據(jù)第一網(wǎng)絡(luò)的第一密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第一網(wǎng)絡(luò)的第二密鑰;向第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的切換請(qǐng)求消息。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于, 所述第一網(wǎng)絡(luò)的第一密鑰包括完整性保護(hù)密鑰IK和加密密鑰CK;所述第 一 網(wǎng)絡(luò)的第二密鑰包括根據(jù)第 一密鑰衍生的完整性保護(hù) 密鑰IK,和加密密鑰CK,。
3、 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述根據(jù)第一網(wǎng) 絡(luò)的第 一密鑰和網(wǎng)絡(luò)參數(shù)獲取第 一 網(wǎng)絡(luò)的第二密鑰包括分別根據(jù)第一推導(dǎo)函數(shù)和第二推導(dǎo)函數(shù)獲取所述衍生的完整性 保護(hù)密鑰IK,和加密密鑰CK,,所述第一推導(dǎo)函數(shù)的輸入?yún)?shù)為所述 網(wǎng)絡(luò)參數(shù)和所述完整性保護(hù)密鑰IK,所述第二推導(dǎo)函數(shù)的輸入?yún)?shù)為 所述網(wǎng)絡(luò)參數(shù)和所述加密密鑰CK;或根據(jù)第三推導(dǎo)函數(shù)獲取所述衍生的完整性保護(hù)密鑰IK ,和加密密 鑰CK,,所述第三推導(dǎo)函數(shù)的輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和所述完整性 保護(hù)密鑰IK和加密密鑰CK的并集。
4、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述網(wǎng)絡(luò)參數(shù)包 括第一網(wǎng)絡(luò)的標(biāo)識(shí)、或第二網(wǎng)絡(luò)的標(biāo)識(shí)、或物理信元標(biāo)識(shí)。
5、 根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括 接收所述第二網(wǎng)絡(luò)發(fā)送的切換請(qǐng)求響應(yīng)消息,所述第二網(wǎng)絡(luò)用于根據(jù)所述第二密鑰獲取所述第二網(wǎng)絡(luò)的密鑰。
6、 一種密鑰處理方法,其特征在于,包括 接收切換命令;根據(jù)保存的第 一 網(wǎng)絡(luò)的第 一 密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò) 的第二密鑰;根據(jù)所述第 一 網(wǎng)絡(luò)的第二密鑰獲取第二網(wǎng)絡(luò)的密鑰。
7、 根據(jù)權(quán)利要求6所述的方法,其特征在于, 所述第一網(wǎng)絡(luò)的第一密鑰包括完整性保護(hù)密鑰IK和加密密鑰CK;所述第 一 網(wǎng)絡(luò)的第二密鑰包括根據(jù)第 一密鑰衍生的完整性保護(hù) 密鑰IK,和加密密鑰CK,。
8、 根據(jù)權(quán)利要求7所述的方法,其特征在于,所述根據(jù)保存的 第一網(wǎng)絡(luò)的第一密鑰和網(wǎng)絡(luò)參數(shù)獲取第一網(wǎng)絡(luò)的第二密鑰包括分別根據(jù)第一推導(dǎo)函數(shù)和第二推導(dǎo)函數(shù)獲取所述衍生的完整性 保護(hù)密鑰IK,和加密密鑰CK,,所述第一推導(dǎo)函數(shù)的輸入?yún)?shù)為所述 網(wǎng)絡(luò)參數(shù)和所述完整性保護(hù)密鑰IK,所述第二推導(dǎo)函數(shù)的輸入?yún)?shù)為 所述網(wǎng)絡(luò)參數(shù)和所述加密密鑰CK;或根據(jù)第三推導(dǎo)函數(shù)獲取所述衍生的完整性保護(hù)密鑰IK,和加密密 鑰CK,,所述第三推導(dǎo)函數(shù)的輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和所述完整性 保護(hù)密鑰IK和加密密鑰CK的并集。
9、 根據(jù)權(quán)利要求8所述的方法,其特征在于,所述網(wǎng)絡(luò)參數(shù)包 括第一網(wǎng)絡(luò)的標(biāo)識(shí)、或第二網(wǎng)絡(luò)的標(biāo)識(shí)、或物理信元標(biāo)識(shí)。
10、 一種密鑰處理系統(tǒng),其特征在于,包括第一網(wǎng)絡(luò)和第二網(wǎng) 絡(luò),所述第一網(wǎng)絡(luò)為終端當(dāng)前接入的網(wǎng)絡(luò),所述第二網(wǎng)絡(luò)為終端準(zhǔn)備 切換到的網(wǎng)絡(luò),所述第一網(wǎng)絡(luò),用于接收切換請(qǐng)求消息后,根據(jù)第一網(wǎng)絡(luò)的第一 密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第 一 網(wǎng)絡(luò)的第二密鑰,并向所述第二網(wǎng)絡(luò)發(fā) 送包含所述第二密鑰的切換請(qǐng)求消息;所述第二網(wǎng)絡(luò),用于根據(jù)所述第二密鑰獲取所述第二網(wǎng)絡(luò)的密 鑰,并向所述第一網(wǎng)絡(luò)發(fā)送切換請(qǐng)求響應(yīng)消息。
11、 一種密鑰處理設(shè)備,其特征在于,包括 消息接收單元,用于接收切換請(qǐng)求消息;密鑰獲取單元,用于根據(jù)第 一 網(wǎng)絡(luò)的第 一 密鑰和網(wǎng)絡(luò)參數(shù)獲取所 述第一網(wǎng)絡(luò)的第二密鑰;消息發(fā)送單元,用于向第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的切換請(qǐng)求消息。
12、 根據(jù)權(quán)利要求11所述的設(shè)備,其特征在于,所述消息接收單 元還用于,接收所述第二網(wǎng)絡(luò)發(fā)送的切換請(qǐng)求響應(yīng)消息,所述第二網(wǎng) 絡(luò)用于根據(jù)所述第二密鑰獲取所述第二網(wǎng)絡(luò)的密鑰。
13、 一種終端,其特征在于,包括 命令接收單元,用于接收切換命令;第 一獲取單元,根據(jù)保存的第 一 網(wǎng)絡(luò)的第 一 密鑰和網(wǎng)絡(luò)參數(shù)獲取 所述第一網(wǎng)絡(luò)的第二密鑰;第二獲取單元,用于根據(jù)所述第一網(wǎng)絡(luò)的第二密鑰獲取第二網(wǎng)絡(luò) 的密鑰。
14、 根據(jù)權(quán)利要求13所述的終端,其特征在于,所述第一網(wǎng)絡(luò) 的網(wǎng)絡(luò)參數(shù)包括第一網(wǎng)絡(luò)的標(biāo)識(shí)、或第二網(wǎng)絡(luò)的標(biāo)識(shí)或物理信元標(biāo) 識(shí);所述第一網(wǎng)絡(luò)的第一密鑰包括完整性保護(hù)密鑰IK和加密密鑰 CK;所述第一網(wǎng)絡(luò)的第二密鑰包括根據(jù)第一密鑰衍生的完整性保護(hù) 密鑰IK,和加密密鑰CK,;所述第一獲取單元具體用于分別根據(jù)第 一推導(dǎo)函數(shù)和第二推導(dǎo)函數(shù)獲取所述衍生的完整性 保護(hù)密鑰IK,和加密密鑰CK,,所述第一推導(dǎo)函數(shù)的輸入?yún)?shù)為所述 網(wǎng)絡(luò)參數(shù)和所述完整性保護(hù)密鑰IK,所述第二推導(dǎo)函數(shù)的輸入?yún)?shù)為 所述網(wǎng)絡(luò)參數(shù)和初始加密密鑰CK;或根據(jù)第三推導(dǎo)函數(shù)獲取所述衍生的完整性保護(hù)密鑰IK ,和加密密 鑰CK,,所述第三推導(dǎo)函數(shù)的輸入?yún)?shù)為所述網(wǎng)絡(luò)參數(shù)和所述完整性 保護(hù)密鑰IK和加密密鑰CK的并集。
全文摘要
本發(fā)明實(shí)施例公開了一種密鑰處理方法、系統(tǒng)、設(shè)備及終端,所述密鑰處理方法包括接收切換請(qǐng)求消息;根據(jù)第一網(wǎng)絡(luò)的第一密鑰和網(wǎng)絡(luò)參數(shù)獲取所述第一網(wǎng)絡(luò)的第二密鑰;向第二網(wǎng)絡(luò)發(fā)送包含所述第二密鑰的切換請(qǐng)求消息。應(yīng)用本發(fā)明實(shí)施例進(jìn)行密鑰處理,當(dāng)UE在不同接入網(wǎng)之間切換時(shí),通過(guò)在推導(dǎo)密鑰的函數(shù)中輸入接入網(wǎng)的網(wǎng)絡(luò)參數(shù),使得同種接入網(wǎng)的密鑰在切換前后不同,避免了相同的密鑰在同種接入網(wǎng)中的重復(fù)使用,特別在較短周期中進(jìn)行接入網(wǎng)之間的切換時(shí),避免了由于某一接入網(wǎng)被攻破時(shí),與其類型的接入網(wǎng)也被攻破的問(wèn)題,提高了接入網(wǎng)的網(wǎng)絡(luò)安全性。
文檔編號(hào)H04L9/08GK101610147SQ20081012523
公開日2009年12月23日 申請(qǐng)日期2008年6月16日 優(yōu)先權(quán)日2008年6月16日
發(fā)明者何承東 申請(qǐng)人:華為技術(shù)有限公司