亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種密鑰生成方法、裝置及系統(tǒng)的制作方法

文檔序號:7898229閱讀:479來源:國知局
專利名稱:一種密鑰生成方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種以無線網(wǎng)絡(luò)控制器為錨點的密鑰生成方法、裝置及系統(tǒng)。
背景技術(shù)
目前,為了能夠向用戶提供高速率業(yè)務(wù),可以將LTE(Long Term Evolution,長期演進網(wǎng)絡(luò))-UMTS(Universal Mobile Telecommunications System,通用移動通信系統(tǒng))資源聚合起來,如圖1所示,該架構(gòu)下,存在UMTS和LTE兩個系統(tǒng)的接入網(wǎng),但只存在UMTS支路核心網(wǎng),該架構(gòu)下的應(yīng)用場景就叫做以RNC(Radic) Network Controller,無線網(wǎng)絡(luò)控制器)為錨點的U&L Boosting場景。LTE的接入網(wǎng)節(jié)點eNB (evolved Node B,演進型基站) 通過RNC錨點接入到UMTS網(wǎng)絡(luò)的核心網(wǎng)。UE可以同時通過UMTS和LTE系統(tǒng)的兩個接入網(wǎng)將數(shù)據(jù)發(fā)送到UMTS的核心網(wǎng),從而提高業(yè)務(wù)速率。將上述LTE-UMTS聚合技術(shù)應(yīng)用在Single Qos場景下時,即LTE支路(UE與LTE 連接的支路)和UMTS支路(UE與UMTS連接的支路)的數(shù)據(jù)聚合到PDCP(Packet Data Convergence Protocol,分組數(shù)據(jù)匯聚協(xié)議)層之上,這時UMTS支路數(shù)據(jù)和LTE支路數(shù)據(jù)通過各自的PDCP層處理后匯聚,因此該方案中RNC和eNB較完整地保留了現(xiàn)有的協(xié)議層, UMTS支路和LTE支路可以分別采用各自的安全協(xié)議層對數(shù)據(jù)進行安全保護。當(dāng)應(yīng)用在single PDCP場景下時,即LTE支路和UMTS支路的數(shù)據(jù)聚合到PDCP層之下,LTE支路沒有PDCP層,由UMTS支路的PDCP層統(tǒng)一對聚合的數(shù)據(jù)進行處理。由于LTE 支路上數(shù)據(jù)的安全保護是在eNB的PDCP層執(zhí)行,此方案中eNB沒有PDCP層,UMTS支路和 LTE支路的數(shù)據(jù)都匯聚在RNC的PDCP層。當(dāng)應(yīng)用在single RLC場景下時,即LTE支路和UMTS支路的數(shù)據(jù)聚合到RLC (radio link control,無線鏈路控制協(xié)議)層。如果UMTS支路采用TM(Transparent Mode,透明)模式,即UMTS支路數(shù)據(jù)在MAC (Media Access Control,媒體訪問控制)層進行加密,此方案中 LTE支路中eNB沒有PDCP層,UMTS支路和LTE支路數(shù)據(jù)聚合在RNC的RLC層,則UMTS支路的RLC層需要增加對LTE支路數(shù)據(jù)安全保護的功能;如果UMTS支路采用AM (Acknowledged Mode,應(yīng)答)或UM(Unacknowledged Mode,非應(yīng)答)模式,即UMTS支路數(shù)據(jù)在RLC層進行加

Γ t [ O在實現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題在U&L Boosting這種網(wǎng)絡(luò)架構(gòu)下,UE通過UMTS支路核心網(wǎng)進行相互認證并生成UMTS支路系統(tǒng)密鑰,由于網(wǎng)絡(luò)架構(gòu)中只存在LTE支路接入網(wǎng),沒有LTE支路核心網(wǎng),因此UE不能通過和LTE 支路核心網(wǎng)的認證生成LTE支路的系統(tǒng)密鑰,LTE支路將沒有密鑰對LTE支路上UE的數(shù)據(jù)進行安全保護,因此LTE支路的安全性能有待提高。

發(fā)明內(nèi)容
本發(fā)明實施例提供了一種密鑰生成方法、裝置及系統(tǒng),能夠提高U&L Boosting場
7景下LTE支路數(shù)據(jù)通信的安全性。本發(fā)明實施例提供了一種LTE支路密鑰生成的方法,應(yīng)用在LTE-UMTS資源聚合的場景中,包括LTE支路中的基站獲取LTE支路接入層根密鑰以及用戶安全能力;根據(jù)所述接入層根密鑰以及由所述用戶安全能力確定的接入層算法,生成LTE支路接入層密鑰。本發(fā)明實施例提供了一種基站,應(yīng)用在LTE-UMTS資源聚合的場景中,包括信息獲取模塊,用于獲取LTE支路接入層根密鑰以及用戶安全能力;密鑰生成模塊,用于根據(jù)所述信息獲取模塊獲取的所述接入層根密鑰以及由所述用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。本發(fā)明實施例提供了一種LTE支路密鑰生成的方法,應(yīng)用在LTE-UMTS資源聚合的場景中,包括UMTS支路中RNC獲取LTE支路接入層根密鑰;向LTE支路中的基站發(fā)送用戶安全能力及所述LTE支路接入層根密鑰,或者,向所述基站發(fā)送所述用戶安全能力和用于生成所述LTE支路接入層根密鑰的密鑰生成參數(shù),使得所述基站根據(jù)所述LTE支路接入層根密鑰以及由所述用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。本發(fā)明實施例提供了一種RNC,能夠應(yīng)用在LTE-UMTS資源聚合的場景中,包括密鑰采集模塊,用于獲取LTE支路接入層根密鑰;信息發(fā)送模塊,用于向LTE支路中的基站發(fā)送用戶安全能力及通過所述密鑰采集模塊獲取到的所述LTE支路接入層根密鑰,或者,用于向所述基站發(fā)送所述用戶安全能力和用于生成所述LTE支路接入層根密鑰的密鑰生成參數(shù),使得所述基站根據(jù)所述LTE支路接入層根密鑰以及由所述用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。本發(fā)明實施例提供了一種LTE支路密鑰生成系統(tǒng),包括如上所述的一種基站以及如上所述的一種RNC。由上述本發(fā)明的實施例提供的技術(shù)方案可以看出,本發(fā)明提出應(yīng)用在LTE-UMTS 資源聚合的場景中的一種LTE支路密鑰生成的方法,LTE支路中的基站通過UMTS支路獲取 LTE支路接入層根密鑰以及用戶安全能力;能夠根據(jù)所述接入層根密鑰以及由所述用戶安全能力確定的接入層算法,生成LTE支路接入層密鑰。通過本發(fā)明提出技術(shù)方案使得UE在 LTE-UMTS資源聚合的場景中通過LTE支路進行通信時,能夠采用生成的LTE支路接入層密鑰對LTE支路中UE的數(shù)據(jù)進行安全保護,避免了由于LTE支路沒有密鑰引起的UE數(shù)據(jù)被攻擊者竊聽的問題,在保證UE可以通過LTE支路進行正常通信的情況下,提高UE通信的安全性。


圖1為現(xiàn)有技術(shù)中以RNC為錨點的U&L Boosting網(wǎng)絡(luò)架構(gòu)示意圖;圖2為本發(fā)明實施例一種LTE支路密鑰生成的方法流程圖;圖3為本發(fā)明實施例一種LTE支路中的基站結(jié)構(gòu)示意圖;圖4為本發(fā)明實施例一種LTE支路密鑰生成的方法流程圖5為本發(fā)明實施例一種UMST支路中的RNC結(jié)構(gòu)示意圖;圖6為本發(fā)明實施例一種LTE支路密鑰生成系統(tǒng)結(jié)構(gòu)示意圖;圖7為本發(fā)明具體實施例一的應(yīng)用場景圖;圖8為本發(fā)明具體實施例二的應(yīng)用場景圖;圖9為本發(fā)明具體實施例三的應(yīng)用場景圖;圖10為本發(fā)明具體實施例四的應(yīng)用場景圖;圖11為本發(fā)明具體實施例五的應(yīng)用場景圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。本發(fā)明實施例提出了一種密鑰生成方法、裝置及系統(tǒng),能夠應(yīng)用在LTE-UMTS資源聚合的場景中,也可應(yīng)用于其相應(yīng)的演進場景中,例如,HSPA是UMTS網(wǎng)絡(luò)的演進版本,本發(fā)明實施例提供的方法、裝置及系統(tǒng)也能夠應(yīng)用于LTE-HSPA資源聚合的場景中。LTE支路中的基站通過獲取LTE支路接入層根密鑰以及用戶安全能力,能夠根據(jù)所述接入層根密鑰以及由用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。本發(fā)明技術(shù)方案的實現(xiàn)能夠避免現(xiàn)有技術(shù)中由于LTE支路沒有密鑰而引起的UE數(shù)據(jù)被攻擊者竊聽的問題,在保證UE 可以通過LTE支路進行正常通信的同時,提高通信的可靠性。本發(fā)明實施例提出的一種密鑰生成方法、裝置及系統(tǒng),適用于以RNC為錨點的 U&LBoosting 網(wǎng)絡(luò)架構(gòu)下的三種應(yīng)用場景Single Qos, Single PDCP 及 Single RLC0需要說明的是,在本發(fā)明技術(shù)方案在具體實現(xiàn)中涉及的UMTS支路的密鑰推衍和更新機制與現(xiàn)有機制相同,因此,本發(fā)明實施例中并未對現(xiàn)有技術(shù)進行詳細闡述。為了進一步理解本發(fā)明實施例的技術(shù)方案,下面具體描述。如圖2所示,本發(fā)明實施例以LTE支路中基站的角度,提出一種LTE支路密鑰生成的方法,應(yīng)用在LTE-UMTS資源聚合的場景中,技術(shù)方案包括步驟201 =LTE支路中的基站獲取LTE支路接入層根密鑰以及用戶安全能力;步驟202 :LTE支路中的基站根據(jù)所述接入層根密鑰以及由用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。本實施例中涉及的LTE支路接入層密鑰用于對RRC(Radio Resource Control,無線資源控制)信令和用戶面數(shù)據(jù)進行安全保護,包括對RRC信令的完整性密鑰,RRC信令的加密密鑰以及用戶面數(shù)據(jù)加密密鑰。步驟201中獲取所述LTE支路接入層根密鑰的過程,可以包括從UMTS支路的RNC 獲取該LTE支路接入層根密鑰,該LTE支路接入層根密鑰是由所述RNC根據(jù)所述UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成的。針對上述方案具體的說,上述方案具體可以采用下述四種方式中的任意一種來實現(xiàn)方式一在密鑰生成參數(shù)是UMTS支路計數(shù)器值(UMTS支路的COUNT值)時,LTE支路接入層根密鑰(KeNB)是由RNC根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)及UMTS支路的COUNT 值生成的;具體生成方法可以是通過KDF函數(shù)計算以CK、IK和UMTS支路的COUNT值作為該函數(shù)的輸入?yún)?shù),用函數(shù)表示為KeNB = KDF (CK, IK, UMTS支路計數(shù)器值);上述UMTS支路計數(shù)器值可以是但不限于UE在UMTS支路各無線承載上最大的 RLC(Radio Link Control,無線鏈路控制)COUNT 值、或者最大的 RRC(Radio Resource Control,無線資源控制)COUNT值,或者最大的MAC (Media Access Contrο 1,媒體訪問控制)COUNT 值;方式二 在密鑰生成參數(shù)是UMTS支路非接入層計數(shù)器值(UMTS支路的NAS COUNT 值)時,KeNB是通過RNC轉(zhuǎn)發(fā)的,由服務(wù)器(VLR/SGSN)根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK) 及UMTS支路非接入層計數(shù)器值生成的;具體生成方法可以是通過KDF函數(shù)計算以CK、IK 和UMTS支路的NAS COUNT值作為輸入?yún)?shù),用函數(shù)表示為KeNB = KDF (CK、IK, UMTS支路的 NAS COUNT 值);或者,方式二是通過RNC轉(zhuǎn)發(fā)的,由服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)生成 LTE支路根密鑰(Kasme),再根據(jù)Kasme及UMTS支路的NAS COUNT值生成的;其中,Kasme 的具體生成方法可以是通過KDF函數(shù)計算以CK、IK和PLMN ID (Public Land Mobile Network Identity,公共陸地移動網(wǎng)絡(luò)標識)作為輸入?yún)?shù),用函數(shù)表示為Kasme = KDF (CK、IK、PLMN ID);此外,KeNB的具體生成方法也是通過KDF函數(shù)計算出來的,以Kasme 和UMTS支路非接入層計數(shù)器值作為輸入?yún)?shù),用函數(shù)表示為KeNB = KDF (Kasme,UMTS支路非接入層計數(shù)器值);方式三在所述密鑰生成參數(shù)是所述RNC生成的隨機數(shù)值(Nonce值)時,KeNB是由RNC根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)及Nonce值生成的;其中,具體生成方法是通過KDF 函數(shù)計算出來的,以CK、IK和隨機數(shù)Nonce值作為輸入?yún)?shù),用函數(shù)表示為KeNB = KDF(CK、 IK, Nonce);方式四在所述密鑰生成參數(shù)是UMTS支路計數(shù)器值的最高20位比特值(UMTS支路Mart值)構(gòu)造的用戶側(cè)隨機數(shù)(NONCEue),及由所述RNC生成的新鮮數(shù)值(Fresh值) 構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù)(NONCEmme)時,所述RNC根據(jù)UMTS支路的Mart值構(gòu)造的N0NCEue、由 Fresh值作為NONCEmme以及UMTS支路系統(tǒng)密鑰(CK、IK)生成KeNB。具體生成方法可以是通過KDF函數(shù)計算以CK、IK和用戶側(cè)隨機數(shù)N0NCEue、網(wǎng)絡(luò)側(cè)隨機數(shù)NONCEmme作為輸入?yún)?shù),用函數(shù)表示為 KeNB = KDF (CK, IK, NONCEue, NONCEmme)。上述方式四中,利用UMTS支路的Mart值構(gòu)造NONCEue可以通過但不限于如下三種方式中的任意一種方式實現(xiàn)(1) RNC 將 UMTS 支路的 Start 值補充 12bits0 生成 N0N(Eue。(2) RNC和UE處維護一個12bits的狀態(tài)轉(zhuǎn)換計數(shù)器(Count-Mate),每當(dāng)UE發(fā)生從Active向Idle狀態(tài)轉(zhuǎn)換時,該計數(shù)器加1,將20bits Mart值和12bits Count-State 值串聯(lián)在一起作為NONCEiie。C3)RNC生成12bits隨機數(shù),將20bits Mart值和12bits隨機數(shù)值串聯(lián)在一起作為 NONCEiie。需要說明的是,步驟201中獲取所述LTE支路接入層根密鑰的過程,還可以通過如下技術(shù)方案來實現(xiàn)LTE支路中的基站獲取來自UMTS中RNC的密鑰生成參數(shù);所述密鑰生成參數(shù)為 RNC生成的隨機數(shù)值(Nonce值);根據(jù)所述隨機數(shù)值以及與RNC在認證中生成的IP層安全隧道根密鑰(KIPsec)生成LTE支路接入層根密鑰。針對上述技術(shù)方案具體的說,KeNB的具體生成方法可以是通過KDF函數(shù)計算以 KIPsec和Nonce值作為輸入?yún)?shù),用函數(shù)表示為KeNB = KDF (KIPsec, Nonce)。針對圖2實施例所述方法,所述方法還可以包括在生成所述LTE支路接入層密鑰后,向用戶端發(fā)送經(jīng)過所述接入層密鑰保護的接入層安全模式命令,以使得用戶端生成所述LTE支路接入層密鑰;所述接入層安全模式命令中至少包括所述用戶安全能力以及所述確定的接入層算法。需要說明是是,上述接入層算法包括LTE支路中的基站根據(jù)UE安全能力確定的完整性算法和加密算法。針對圖2實施例所述方法,所述方法還可以包括LTE支路接入層根密鑰更新的處理步驟當(dāng)LTE支路分組數(shù)據(jù)匯聚協(xié)議層(PDCP)的計數(shù)器值(Count值)溢出時,LTE 支路中的基站根據(jù)當(dāng)前使用的LTE支路接入層根密鑰(KeNB)、物理小區(qū)標識(Wrysical cellID)以及下行頻點號(EARFCN-DL)來生成新的LTE支路接入層根密鑰(KeNB*)。KeNB* 的具體生成方法也是通過KDF函數(shù)計算出來的,以KeNB、Physical cell ID和EARFCN-DL 作為輸入?yún)?shù),用函數(shù)表示為 KeNB* = KDF(KeNB,Physical cell ID,EARFCN-DL)。需要說明的是,LTE支路中的基站在生成新的LTE支路接入層根密鑰后,所述基站可以根據(jù)所述新的LTE接入層根密鑰以及在步驟202中確定的所述接入層算法,生成新的 LTE支路接入層密鑰。通過密鑰更新處理步驟,保證了相同的密鑰不會在同一個承載上重復(fù)使用,提高了安全性。如圖3所示,基于上述圖2的方法實施例,本發(fā)明實施例提出一種LTE支路中的基站,可以應(yīng)用在LTE-UMTS資源聚合的場景中,可以包括如下功能模塊信息獲取模塊31,用于獲取LTE支路接入層根密鑰以及用戶安全能力;密鑰生成模塊32,用于根據(jù)信息獲取模塊31獲取到的所述接入層根密鑰以及由用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。可選的,所述信息獲取模塊31可以具體用于從UMTS支路的RNC獲取LTE支路接入層根密鑰;其中,LTE支路接入層根密鑰為RNC根據(jù)UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成的,其中,密鑰生成參數(shù)為UMTS支路計數(shù)器值,或者所述RNC生成的隨機數(shù)值,或者UMTS 支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù)及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù);(需要說明的是,RNC根據(jù)UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成的LTE 支路接入層根密鑰的方法可以采用同圖2實施例中記載的方法實現(xiàn))或者,LTE支路接入層根密鑰為RNC從服務(wù)器獲取的,其中,LTE支路接入層根密鑰由服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰和非接入層計數(shù)器值生成,或者由服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰生成LTE支路根密鑰后,再根據(jù)LTE支路根密鑰及非接入層計數(shù)器值生成。(需要說明的是,RNC從服務(wù)器獲取LTE支路接入層根密鑰的方法可以采用同圖2實施例中記載的方法實現(xiàn)??蛇x的,信息獲取模塊31可以具體用于獲取來自UMTS支路中RNC的密鑰生成參數(shù),密鑰生成參數(shù)為RNC生成的隨機數(shù)值;根據(jù)隨機數(shù)值以及與RNC在認證中生成的IP層安全隧道根密鑰生成LTE支路接入層根密鑰??蛇x的,所述基站還可以包括命令發(fā)送模塊33,用于在密鑰生成模塊32生成LTE支路接入層密鑰后,向用戶端發(fā)送經(jīng)過所述接入層密鑰保護的接入層安全模式命令,以使得用戶端生成所述LTE支路接入層密鑰;所述接入層安全模式命令中至少包括所述用戶安全能力以及LTE支路中的基站根據(jù)所述UE安全能力確定的接入層算法??蛇x的,,所述基站還可以包括密鑰更新模塊34,用于當(dāng)LTE支路PDCP層的計數(shù)器值溢出時,根據(jù)當(dāng)前使用的所述LTE支路接入層根密鑰、物理小區(qū)標識以及下行頻點號來生成新的LTE支路接入層根密鑰,以便密鑰生成模塊32根據(jù)新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE 支路接入層密鑰。需要說明的是,本發(fā)明實施例是基于圖2所示的方法獲得的裝置實施例,其中,包含了與圖2方法實施例相同或相應(yīng)的技術(shù)特征,因此,在本實施例中共同的技術(shù)特征并沒有做出具體闡述,可以參見上述如圖2方法實施例中的相關(guān)描述。如圖4所述,本發(fā)明實施例以RNC的角度提出一種LTE支路密鑰生成的方法,可以應(yīng)用在LTE-UMTS資源聚合的場景中,技術(shù)方案包括步驟401 =UMTS支路中的RNC獲取LTE支路接入層根密鑰;步驟402 =UMTS支路中的RNC向LTE支路中的基站發(fā)送LTE支路接入層根密鑰及用戶安全能力,或者,向基站發(fā)送所述用戶安全能力和用于生成LTE支路接入層根密鑰的密鑰生成參數(shù),使得基站根據(jù)LTE支路接入層根密鑰以及由用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。具體的,步驟401中獲取LTE支路接入層根密鑰,可以通過下述技術(shù)方案實現(xiàn)RNC 根據(jù)UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成LTE支路接入層根密鑰(KeNB);密鑰生成參數(shù)為UMTS支路計數(shù)器值,或者所述RNC生成的隨機數(shù)值,或者UMTS支路計數(shù)器值的最高 20位比特值構(gòu)造的用戶側(cè)隨機數(shù)及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù);該方案可以具體通過下述三種方式中的任意一種來實現(xiàn)第一種方式密鑰生成參數(shù)是UMTS支路計數(shù)器值(UMTS支路的COUNT值)時,RNC 根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)及UMTS支路的COUNT值生成KeNB ;需要說明的是,本實施例中KeNB的生成方法與圖2實施例中密鑰生成參數(shù)是UMTS支路計數(shù)器值時的方法相同, 用KDF函數(shù)表示為KeNB = KDF (CK, IK, UMTS支路計數(shù)器值)。其中,UMTS支路計數(shù)器值可以是但不限于UE在UMTS支路各無線承載上最大的 RLC(Radio Link Control,無線鏈路控制)COUNT 值、或者最大的 RRC(Radio ResourceControl,無線資源控制)COUNT值,或者最大的MAC (Media Access Contrο 1,媒體訪問控制)COUNT 值;第二種方式密鑰生成參數(shù)是所述RNC生成的隨機數(shù)值(Nonce值)時,所述RNC根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)及隨機數(shù)值生成KeNB,用KDF函數(shù)表示為KeNB = KDF (CK, IK, Nonce);第三種方式密鑰生成參數(shù)是UMTS支路計數(shù)器值的最高20位比特值(UMTS支路 Start值)構(gòu)造的用戶側(cè)隨機數(shù)(NONCEue),及由所述RNC生成的新鮮數(shù)值(Fresh值)構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù)(NONCEmme)時,RNC將UMTS支路Mart值構(gòu)造成N0NCEue、由Fresh值作為 NONCEmme,根據(jù)N0NCEue、NONCEmme以及UMTS支路系統(tǒng)密鑰(CK、IK)生成KeNB,用K函數(shù)表示為 KeNB = KDF (CK, IK, NONCEue, NONCEmme)。針對上述方式具體的說,利用UMTS支路的Mart值構(gòu)造NONCEiie可以通過但不限于如下三種方式中的任意一種方式實現(xiàn)(1) RNC 將 UMTS 支路的 Start 值補充 12bits0 生成 N0N(Eue。(2) RNC和UE處維護一個12bits的狀態(tài)轉(zhuǎn)換計數(shù)器(Count-Mate),每當(dāng)UE發(fā)生從Active向Idle狀態(tài)轉(zhuǎn)換時,該計數(shù)器加1,將20bits Mart值和12bits Count-State 值串聯(lián)在一起作為NONCEiie。C3)RNC生成12bits隨機數(shù),將20bits Mart值和12bits隨機數(shù)值串聯(lián)在一起作為 NONCEiie。具體的說,當(dāng)采用上述獲取LTE支路接入層根密鑰的技術(shù)方案的情況下,當(dāng)用戶端從空閑態(tài)(IDEL態(tài))轉(zhuǎn)換為激活態(tài)(Active態(tài))的過程中,所述方法還可以包括密鑰生成參數(shù)是UMTS支路的COUNT值時,RNC存儲所述計數(shù)器值,并根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)及所述計數(shù)器值生成新的LTE支路接入層根密鑰;或者,RNC將用戶端發(fā)送的UMTS支路計數(shù)器值的最高20位比特值(Mart值)補0后生成32bits的計數(shù)器值,根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)及所述計數(shù)器值生成新的LTE支路接入層根密鑰;或者,RNC將用戶端發(fā)送的UMTS支路計數(shù)器值的最高20位比特值(Mart值)和存儲的狀態(tài)轉(zhuǎn)換計數(shù)器值串聯(lián)生成計數(shù)器值,生成新的LTE支路接入層根密鑰;具體的說,存儲的UMTS支路的計數(shù)器值是當(dāng)用戶端從激活態(tài)轉(zhuǎn)換為空閑態(tài)時的 UMTS支路計數(shù)器值;狀態(tài)轉(zhuǎn)換計數(shù)器值是用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)的次數(shù),每當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換位激活態(tài),狀態(tài)轉(zhuǎn)換計數(shù)器都加一?;蛘撸荑€生成參數(shù)是RNC生成的隨機數(shù)值時,RNC生成新的隨機數(shù)值,利用新的隨機數(shù)值以及UMTS支路系統(tǒng)密鑰,生成新的接入層根密鑰;或者,密鑰生成參數(shù)是UMTS支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù),及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù)時,RNC利用用戶端發(fā)送的UMTS支路計數(shù)器值的最高20位比特值構(gòu)造新的用戶側(cè)隨機數(shù),利用所述新鮮數(shù)作為新的網(wǎng)絡(luò)側(cè)隨機數(shù), 結(jié)合UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰。需要說明的是,在RNC生成新的LTE支路接入層根密鑰后,使得LTE支路中的基站能根據(jù)新的LTE接入層根密鑰以及之前獲取到的所述接入層算法,生成新的LTE支路接入層密鑰。在上述方式中利用UMTS支路的Mart值構(gòu)造NONCEue的具體方法可以采用圖2實施例中利用UMTS支路的Mart值構(gòu)造NONCEue的方法實現(xiàn)??蛇x的,步驟401中獲取LTE支路接入層根密鑰,還可以通過如下方式實現(xiàn)RNC 從服務(wù)器獲取的所述LTE支路接入層根密鑰,其中,所述LTE支路接入層根密鑰由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)和非接入層計數(shù)器值(UMTS支路的NAS COUNT值)生成,或者由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰(CK、IK)生成LTE支路根密鑰(Kasme)后, 再根據(jù)所述Kasme及UMTS支路的NAS COUNT值生成KeNB。需要說明的是,本實施例中Kasme的生成方法與圖2實施例中Kasme的生成方法相同;根據(jù)Kasme及UMTS支路的NAS COUNT值生成的KeNB的方法與圖2實施例中的方法相同,具體可以參見圖2中的相關(guān)描述。具體的,當(dāng)采用上述獲取LTE支路接入層根密鑰的技術(shù)方案的情況下,當(dāng)用戶端從IDEL態(tài)轉(zhuǎn)換為Active態(tài)時,所述方法還可以包括所述RNC指示所述服務(wù)器利用所述UMTS支路非接入層計數(shù)器值及所述UMTS支路系統(tǒng)密鑰,生成新的接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。具體的,步驟401中獲取LTE支路接入層根密鑰,還可以通過如下方式實現(xiàn)RNC生成所述密鑰生成參數(shù),密鑰生成參數(shù)為隨機數(shù)值(Nonce值);RNC根據(jù)所述隨機數(shù)值以及與LTE支路中的基站在認證中生成的IP層安全隧道根密鑰(KII3sec),生成LTE支路接入層根密鑰。其中,根據(jù)KII^sec和Nonce值生成LTE支路接入層根密鑰的方法與圖2中相同, 具體請參見圖2實施例中的相關(guān)描述。具體的,在采用上述方式獲取LTE支路接入層根密鑰時,所述方法還可以包括將所述LTE支路接入層根密鑰通過UMTS支路加密密鑰和完整性保護密鑰保護后, 發(fā)送給用戶端,以便用戶端根據(jù)所述接入層根密鑰計算所述接入層密鑰??蛇x的,在采用上述方式獲取LTE支路接入層根密鑰時,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)時,所述方法還包括轉(zhuǎn)換處理步驟,具體包括所述RNC生成新的隨機數(shù);利用所述新的隨機數(shù)以及所述IP層安全隧道根密鑰生成新的接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE 支路接入層密鑰。如圖5所示,基于上述圖4的方法實施例,本發(fā)明實施例提出一種UMTS支路中的 RNC,可以包括如下功能模塊密鑰采集模塊51,用于獲取LTE支路接入層根密鑰(KeNB);信息發(fā)送模塊52,用于向LTE支路中的基站發(fā)送通過所述密鑰采集模塊獲取到的所述LTE支路接入層根密鑰及用戶安全能力,或者,向所述基站發(fā)送所述用戶安全能力和用于生成所述LTE支路接入層根密鑰的密鑰生成參數(shù),使得所述基站根據(jù)所述接入層根密鑰以及由用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。
針對上述方案具體的說,上述密鑰采集模塊51可以具體用于根據(jù)UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成所述LTE支路接入層根密鑰;其中, 所述密鑰生成參數(shù)為UMTS支路計數(shù)器值,或者所述RNC生成的隨機數(shù)值,或者密鑰生成參數(shù)是UMTS支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù),及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù);(需要說明的是,本發(fā)明實施例RNC根據(jù)UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成KeNB可以采用同圖2實施例中記載的技術(shù)方案實現(xiàn))或者,從服務(wù)器獲取的所述LTE支路接入層根密鑰,其中,所述LTE支路接入層根密鑰由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰和非接入層計數(shù)器值生成,或者由所述服務(wù)器根據(jù) UMTS支路系統(tǒng)密鑰生成LTE支路根密鑰后,再根據(jù)所述LTE支路根密鑰及非接入層計數(shù)器值生成。(需要說明的是,本發(fā)明實施例RNC根據(jù)UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成 KeNB可以采用同圖2實施例中記載的技術(shù)方案實現(xiàn))。針對上述方案具體的說,在采用上述方案生成KeNB時,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)的過程中,所述密鑰采集模塊51還可以用于在密鑰生成參數(shù)是UMTS支路計數(shù)器值時,存儲UMTS支路計數(shù)器值,并根據(jù)UMTS 支路系統(tǒng)密鑰及所述計數(shù)器值生成新的LTE支路接入層根密鑰;或者,將用戶端發(fā)送的所述UMTS支路計數(shù)器值的最高20位比特值補0后生成32bits的計數(shù)器值,根據(jù)UMTS支路系統(tǒng)密鑰及所述計數(shù)器值生成新的LTE支路接入層根密鑰;或者,將用戶端發(fā)送的所述UMTS 支路計數(shù)器值的最高20位比特值和存儲的狀態(tài)轉(zhuǎn)換計數(shù)器值串聯(lián)生成計數(shù)器值,生成新的LTE支路接入層根密鑰;或者,用于在密鑰生成參數(shù)是RNC生成的隨機數(shù)值時,生成新的隨機數(shù)值,利用所述新的隨機數(shù)值以及所述UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰;或者,用于在密鑰生成參數(shù)是UMTS支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù),及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù)時,利用用戶端發(fā)送的所述UMTS支路計數(shù)器值最高20位比特值構(gòu)造新的用戶側(cè)隨機數(shù),利用所述新鮮數(shù)作為新的網(wǎng)絡(luò)側(cè)隨機數(shù),結(jié)合UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰。需要說明的是,RNC生成新的LTE支路接入層根密鑰后,所述基站能夠根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。針對上述方案具體的說,在采用上述方案生成KeNB時,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)時,密鑰采集模塊51還可以用于在從服務(wù)器獲取所述LTE支路接入層根密鑰的情況下,指示所述服務(wù)器利用所述 UMTS支路非接入層計數(shù)器值及所述UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰, 以便基站根據(jù)新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。針對上述方案具體的說,密鑰采集模塊51具體還可以用于生成所述密鑰生成參數(shù),所述密鑰生成參數(shù)為隨機數(shù)值;根據(jù)所述隨機數(shù)值以及與所述LTE支路中的基站在認證中生成的IP層安全隧道根密鑰,生成所述LTE支路接入層根密鑰。
進一步的,所述信息發(fā)送模塊52還可以用于將所述密鑰采集模塊采集到的所述LTE支路接入層根密鑰,通過UMTS支路加密密鑰和完整性保護密鑰保護后,發(fā)送給用戶端,以便用戶端根據(jù)所述接入層根密鑰計算所述接入層密鑰。進一步的,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)時,密鑰采集模塊51還可以用于根據(jù)生成新的隨機數(shù)以及所述IP層安全隧道根密鑰生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。需要說明的是,本發(fā)明實施例是基于圖4所示的方法獲得的裝置實施例,其中,包含了與圖4方法實施例相同或相應(yīng)的技術(shù)特征,因此,在本實施例中共同的技術(shù)特征并沒有做出具體闡述,可以參見上述如圖4方法實施例中的相關(guān)描述。如圖6所示,本發(fā)明實施例提出一種LTE支路密鑰生成系統(tǒng),包括圖3實施例LTE支路中的基站61,用于獲取LTE支路接入層根密鑰以及用戶安全能力;根據(jù)所述接入層根密鑰以及由用戶安全能力確定的接入層算法生成LTE支路接入層密鑰;圖5實施例UMTS支路中RNC 62,用于獲取LTE支路接入層根密鑰;向LTE支路中的基站發(fā)送所述LTE支路接入層根密鑰及用戶安全能力,或者,向所述基站發(fā)送用戶安全能力和用于生成所述LTE支路接入層根密鑰的密鑰生成參數(shù),使得所述基站根據(jù)所述LTE 支路接入層根密鑰以及由用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。需要說明的是,上述圖3實施例提出的基站與圖5實施例提出的方法,在實現(xiàn)本發(fā)明技術(shù)方案的過程中可以配合使用。下面為了對上述實施例提出的技術(shù)方案進一步理解,針對生成LTE支路接入層根密鑰的具體流程進行詳細說明。以RNC為錨點的U&L Boosting網(wǎng)絡(luò)架構(gòu)下的Single Qos 場景為例,通過五個具體實施例進行說明,在Single Qos場景下,LTE支路和UMTS支路的數(shù)據(jù)聚合到PDCP層之上。在下述實施例中所述eNB為圖3實施例中所述的LTE系統(tǒng)中的基站,RNC為圖5實施例中的RNC。實施例一 UMTS支路的密鑰推衍和更新機制與現(xiàn)有機制相同,本實施例中利用 UMTS支路系統(tǒng)密鑰(CK、IK)和UMTS支路的COUNT值,為LTE支路衍生密鑰,如圖7所示, 具體流程如下701、UE向UMTS支路VLR/SGSN發(fā)起附著請求,請求接入UMTS網(wǎng)絡(luò);702,UE和VLR/SGSN之間執(zhí)行UMTS AKA (認證密鑰協(xié)商),完成UE和UMTS網(wǎng)絡(luò)的雙向認證,為UMTS支路生成密鑰(加密密鑰CK和完整性密鑰IK);703、認證成功后,VLR/SGSN 向 RNC 分配 RAB(I adio Access Bear,無線接入承載);704、RNC選擇是否需要LTE支路和UMTS支路兩個RAT(Radio Access Technology, 無線接入技術(shù));705、如果步驟704中RNC的選擇結(jié)果為需要兩個RATJU RNC向UE發(fā)送測量控制消息;706、UE對周圍eNB的狀態(tài)進行測量,并將測量結(jié)果發(fā)送給RNC ;707、UE與RNC之間建立無線承載;
708、RNC根據(jù)UE的測量結(jié)果選擇合適的eNB (LTE接入網(wǎng)中的基站);709、UE和eNB之間建立無線承載;710、本實施例一中,RNC根據(jù)在UMTS AKA中生成的密鑰CK、IK和UMTS支路的 COUNT值推衍生成KeNB (LTE支路接入層根密鑰),本實施例中KeNB是根據(jù)KDF函數(shù)計算出來的,以CK、IK和UMTS支路的COUNT值作為輸入?yún)?shù),用函數(shù)表示為KeNB = KDF (CK, IK、 COUNT);需要說明的是,UMTS支路COUNT值的具體取值可以參見圖2實施例中的相關(guān)描述;711、RNC將生成的KeNB和UE安全能力發(fā)送給eNB ;712、eNB根據(jù)UE的安全能力選擇相應(yīng)的完整性算法和加密算法,結(jié)合KeNB,利用現(xiàn)有的推衍方法推衍出AS (Access Stratum,接入層)密鑰;713,eNB向UE發(fā)送經(jīng)過AS密鑰完整性保護的AS安全模式命令,該命令中包括選擇的加密算法和完整性算法,UE的安全能力;714、UE采用與RNC相同的方式,根據(jù)KeNB = KDF(CK、IK、COUNT)計算KeNB,利用 AS安全模式命令中的加密算法和完整性算法推衍出AS密鑰,然后,檢查AS安全模式命令的完整性,并檢查UE的安全能力是否一致;715、檢查成功后,UE向eNB發(fā)送安全模式完成消息。需要說明的是,在實施例一中,LTE支路與UMTS支路均設(shè)置有獨立的 SRB (Signaling radio bearer,無線信令承載),當(dāng)只存在UMTS支路的 SRB 時,SMC^ecurity Mode Command,安全模式命令)要通過RNC來轉(zhuǎn)發(fā)。在實施例一中,當(dāng)UE從IDEL態(tài)轉(zhuǎn)變?yōu)锳ctive態(tài)時,eNB對LTE支路的密鑰的處理,以及,當(dāng)LTE支路的PDCP Count值溢出時,eNB對LTE支路密鑰的更新處理方法,可以分別采用如圖2實施例中描述的技術(shù)方案來實現(xiàn),具體可以參見圖2實施例中的相關(guān)描述。實施例二 UMTS支路的密鑰推衍和更新機制與現(xiàn)有機制相同,利用UMTS支路系統(tǒng)密鑰(CK、IK)和UMTS支路的NAS COUNT值,為LTE支路衍生密鑰,如圖8所示,具體流程如下其中,本實施例二中步驟801至809與實施例一中的步驟701至709相同,因此在本實施例中只描述與實施例一中不同的步驟;810、RNC向VLR/SGSN發(fā)送LTE支路密鑰推衍指示,指示消息中攜帶UE的IMSI (I nternationalMobileSubscriberldentificationNumber,國家移動用戶識別碼)和 RNC 選擇的eNB ;811、SGSN/MME根據(jù)在UMTS AKA中生成的UMTS支路系統(tǒng)密鑰CK、IK等參數(shù)生成 LTE支路的根密鑰Kasme,再根據(jù)Kasme和UMTS支路的NAS COUNT值推衍生成KeNB,用函數(shù) KDF 表示為 KeNB = KDF (Kamse、NAS COUNT);或者,SGSN/MME直接由CK、IK和UMTS支路的NAS COUNT值推衍生成KeNB,用函數(shù)KDF 表示為 KeNB = KDF (CK、IK, NAS COUNT);812、VLR/SGSN 將生成的 KeNB 發(fā)送給 RNC ;813、RNC將KeNB和UE安全能力轉(zhuǎn)發(fā)給eNB ;814、eNB根據(jù)UE的安全能力選擇相應(yīng)的完整性算法和加密算法,并結(jié)合KeNBjlJ用現(xiàn)有的推衍方法推衍出AS密鑰;815、eNB向UE發(fā)送經(jīng)過AS密鑰完整性保護的AS安全模式命令,該命令中包括選擇的加密算法和完整性算法,UE的安全能力;816、UE 采用與 RNC 相同的方式,通過 Kasme = KDF (CK、IK、PLMN ID)和 KeNB = KDF(Kamse、NAS COUNT),獲得 KeNB ;或者,通過 KeNB = KDF (CK、IK、NAS COUNT)直接值推衍生成KeNB ;并利用AS安全模式命令中的加密算法和完整性算法推衍出AS密鑰,然后檢查 AS安全模式命令的完整性,并檢查UE的安全能力是否一致;817、檢查成功后,UE向eNB發(fā)送安全模式完成消息。在本實施例二中,當(dāng)UE從IDEL到Active狀態(tài)轉(zhuǎn)化時,eNB對LTE支路的密鑰的處理,以及,當(dāng)LTE支路的PDCP Count值溢出時,eNB對LTE支路密鑰的更新處理方法,可以分別采用如圖2實施例中描述的技術(shù)方案來實現(xiàn),具體可以參見圖2實施例中的相關(guān)描述。實施例三UMTS支路的密鑰推衍和更新機制與現(xiàn)有機制相同,利用UMTS支路系統(tǒng)密鑰(CK、IK)和RNC生成的Nonce值,為LTE支路衍生密鑰,如圖9所示,具體流程如下其中,本實施例三中步驟901至909與實施例一中的步驟701至709相同,因此在本實施例中只描述與實施例一中不同的步驟;910、RNC生成隨機數(shù)Nonce,根據(jù)在UMTS AKA中生成的密鑰CK、IK和Nonce值推衍生成KeNB,用函數(shù)表示為KeNB = KDF (CK, IK、Nonce);911、RNC將生成的KeNB、Nonce和UE安全能力發(fā)送給eNB ;912、eNB根據(jù)UE的安全能力選擇相應(yīng)的完整性算法和加密算法,并結(jié)合KeNB,利用現(xiàn)有的推衍方法推衍出AS密鑰;913,eNB向UE發(fā)送經(jīng)過AS密鑰完整性保護的AS安全模式命令,該命令中包括選擇的加密算法和完整性算法,Nonce及UE的安全能力;914、UE采用與RNC相同的方式,通過KeNB = KDF(CK、IK、Nonce)計算獲得KeNB, 利用AS安全模式命令中的加密算法和完整性算法推衍出AS密鑰,然后檢查AS安全模式命令的完整性,并檢查UE的安全能力是否一致;915、檢查成功后,UE向eNB發(fā)送安全模式完成消息。在本實施例三中當(dāng)UE從IDEL到Active狀態(tài)轉(zhuǎn)化時,利用圖2實施例中描述的轉(zhuǎn)換處理步驟對當(dāng)前使用的KeNB進行處理。實施例四,UMTS支路的密鑰推衍和更新機制與現(xiàn)有機制相同,利用UMTS支路系統(tǒng)密鑰(CK、IK)和UMTS支路Mart值構(gòu)造的NONCEue,及由所述RNC生成的Fresh值構(gòu)造的 NONCEmme,為LTE支路衍生密鑰,如圖10所示,具體流程如下本實施例四中步驟111至119與實施例一中的步驟701至709相同,因此在本實施例中只描述與實施例一中不同的步驟;120、RNC將UMTS支路的Mart值構(gòu)造NONCEue,將RNC生成的Fresh值作為 NONCEmme,根據(jù)在UMTS AKA中生成的密鑰CK、IK和NONCEue、NONCEmme推衍生成KeNB ;用函數(shù)表示為 KeNB = KDF (CK, IK, NONCEue, NONCEmme);121、RNC將生成的KeNB和UE安全能力發(fā)送給eNB ;122、eNB根據(jù)UE的安全能力選擇相應(yīng)的完整性算法和加密算法,并結(jié)合KeNB,利
18用現(xiàn)有的推衍方法推衍出AS密鑰;123、eNB向UE發(fā)送經(jīng)過AS密鑰完整性保護的AS安全模式命令,該命令中包括選擇的加密算法和完整性算法,UE的安全能力;124、UE 采用與 RNC 相同的方法,通過 KeNB = KDF (CK, IK, NONCEue, NONCEmme)計算生成KeNB,利用AS安全模式命令中的加密算法和完整性算法推衍出AS密鑰,然后檢查AS 安全模式命令的完整性,并檢查UE的安全能力是否一致;125、檢查成功后,UE向eNB發(fā)送安全模式完成消息。針對上述步驟120具體的說,利用UMTS支路的START值構(gòu)造NONCEue可以通過圖 2實施例所描述的構(gòu)造方法來實現(xiàn),具體請參見圖2實施例。在本實施例四中當(dāng)UE從IDEL到Active狀態(tài)轉(zhuǎn)化時,eNB對LTE支路的密鑰的處理,以及,當(dāng)LTE支路的PDCP Count值溢出時,eNB對LTE支路密鑰的更新處理方法,可以分別采用如圖2實施例中描述的技術(shù)方案來實現(xiàn),具體可以參見圖2實施例中的相關(guān)描述。實施例五UMTS支路的密鑰推衍和更新機制與現(xiàn)有機制相同,利用RNC和eNB在基于證書的認證過程中生成的密鑰KIPse。和隨機數(shù)Nonce生成KeNB,如圖11所示,具體流程如下本實施例五中步驟221至228與實施例一中的步驟701至708相同,因此在本實施例中只描述與實施例一中不同的步驟;229、RNC和eNB之間基于證書進行相互認證;230、RNC和eNB基于證書認證建立IPsec隧道,生成密鑰Kipsec ;231、UE和eNB之間建立無線承載;232、RNC生成隨機數(shù)Nonce,根據(jù)在證書認證中生成的KIPse。和NONCE推衍生成 KeNB,用函數(shù)表示為 KeNB = KDF (KIPse。、Nonce);233、RNC利用UMTS支路安全參數(shù)對KeNB進行加密和完整性保護后發(fā)送給UE,同時將生成的Nonce值和UE安全能力發(fā)送給eNB ;234、UE利用UMTS支路密鑰檢查MAC值,解密并存儲KeNB ;eNB采用與RNC相同方法,根據(jù)證書認證中生成的KIPse。和收到的Nonce推衍生成 KeNB,用函數(shù)表示為KeNB = KDF (KIPsec,Nonce),并根據(jù)UE的安全能力選擇加密和完整性算法,并利用現(xiàn)有推衍方法推衍生成AS密鑰;235、eNB向UE發(fā)送經(jīng)過AS密鑰完整性保護的安全模式命令,該命令中包括選擇的加密算法和完整性算法,UE的安全能力;236、UE利用預(yù)先存儲的KeNB和AS安全模式命令中的加密算法和完整性算法推衍出AS密鑰,然后檢查AS安全模式命令的完整性,并檢查UE的安全能力是否一致;237、檢查成功后,UE向eNB發(fā)送安全模式完成消息。在本實施例五中當(dāng)UE從IDEL到Active狀態(tài)轉(zhuǎn)化時,可以利用圖2實施例中描述的轉(zhuǎn)換處理步驟對當(dāng)前使用的KeNB進行處理,RNC根據(jù)新的NONCE推衍出新的KeNB。具體的說,針對上述實施例五,當(dāng)UE從IDEL態(tài)轉(zhuǎn)變?yōu)锳ctive態(tài)時,eNB對LTE支路的密鑰的處理,以及,當(dāng)LTE支路的PDCP Count值溢出時,eNB對LTE支路密鑰的更新處理方法,可以分別采用如圖2實施例中描述的技術(shù)方案來實現(xiàn),具體可以參見圖2實施例中的相關(guān)描述。
綜上所述,實施例一至五以RNC為錨點的U&L Boosting網(wǎng)絡(luò)架構(gòu)下的Single Qos場景為例對本發(fā)明實施例的技術(shù)方案進行了詳細說明,適用于以RNC為錨點的U&L Boosting網(wǎng)絡(luò)架構(gòu)下的三種應(yīng)用場景Single Qos,Single PDCP及Single RLC。當(dāng)本發(fā)明實施例的技術(shù)方案應(yīng)用在Single PDCP場景下時,LTE支路和UMTS支路的數(shù)據(jù)聚合到RNC 的PDCP層,UMTS支路RNC的PDCP層需要增加對LTE支路數(shù)據(jù)加密的功能。需要說明的, 此時仍然可以利用場景一 Single Qos中根據(jù)UMTS支路密鑰生成LTE支路密鑰的方法,只不過生成的LTE支路密鑰不需要發(fā)送到eNB上,而是由RNC的PDCP層使用。在本發(fā)明實施例的技術(shù)方案應(yīng)用在Single RLC場景下時,LTE支路和UMTS支路的數(shù)據(jù)聚合到RNC的RLC層。如果UMTS支路采用TM模式,即數(shù)據(jù)在MAC層進行加密,則UMTS 支路的RLC層需要增加對LTE支路數(shù)據(jù)加密的功能,利用UMTS支路推衍LTE支路密鑰的方法可以和場景一 Single Qos相同,只不過生成的LTE支路密鑰不需要發(fā)送到eNB上,而是由RNC的RLC層使用。綜上所述,本發(fā)明實施例提出的應(yīng)用在LTE-UMTS資源聚合的場景中的一種LTE支路密鑰生成的方法、裝置及系統(tǒng),在UE通過LTE支路進行通信時,能夠采用生成的LTE支路接入層密鑰對LTE支路中UE的數(shù)據(jù)進行安全保護,避免了由于LTE支路沒有密鑰引起的UE 數(shù)據(jù)被攻擊者竊聽的問題,在保證UE可以通過LTE支路進行正常通信的情況下,提高UE通信的安全性。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。以上所述,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換, 都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準。
20
權(quán)利要求
1.一種長期演進網(wǎng)絡(luò)LTE支路密鑰生成的方法,應(yīng)用在LTE-通用移動通信系統(tǒng)UMTS 資源聚合的場景中,其特征在于,包括LTE支路中的基站獲取LTE支路接入層根密鑰以及用戶安全能力; 根據(jù)所述接入層根密鑰以及由所述用戶安全能力確定的接入層算法,生成LTE支路接入層密鑰。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述獲取LTE支路接入層根密鑰,包括 從通用移動通信系統(tǒng)UMTS支路的無線網(wǎng)絡(luò)控制器RNC獲取所述LTE支路接入層根密鑰,其中,所述LTE支路接入層根密鑰為所述RNC根據(jù)所述UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成的,所述密鑰生成參數(shù)為=UMTS支路計數(shù)器值,或者所述RNC生成的隨機數(shù)值,或者為 UMTS支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù)及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù); 或者,所述LTE支路接入層根密鑰為所述RNC從服務(wù)器獲取的,其中,所述LTE支路接入層根密鑰由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰和非接入層計數(shù)器值生成,或者由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰生成LTE支路根密鑰后,再根據(jù)所述LTE支路根密鑰及非接入層計數(shù)器值生成。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述獲取LTE支路接入層根密鑰,包括 所述LTE支路中的基站獲取來自UMTS支路中RNC的密鑰生成參數(shù),所述密鑰生成參數(shù)為所述RNC生成的隨機數(shù)值;根據(jù)所述隨機數(shù)值以及與所述RNC在認證中生成的IP層安全隧道根密鑰,生成所述 LTE支路接入層根密鑰。
4.根據(jù)權(quán)利要求1至3中任一所述的方法,其特征在于,所述方法還包括在生成所述LTE支路接入層密鑰后,向用戶端發(fā)送經(jīng)過所述接入層密鑰保護的接入層安全模式命令,以使得用戶端生成所述LTE支路接入層密鑰;所述接入層安全模式命令中至少包括所述用戶安全能力以及所述確定的接入層算法。
5.根據(jù)權(quán)利要求1至3中任一所述的方法,其特征在于,所述方法還包括所述LTE支路接入層根密鑰更新處理步驟,包括當(dāng)LTE支路分組數(shù)據(jù)匯聚協(xié)議層的計數(shù)器值溢出時,所述基站根據(jù)當(dāng)前使用的所述 LTE支路接入層根密鑰、物理小區(qū)標識以及下行頻點號生成新的LTE支路接入層根密鑰,以便根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。。
6.一種基站,能夠應(yīng)用在LTE-UMTS資源聚合的場景中,其特征在于,包括 信息獲取模塊,用于獲取LTE支路接入層根密鑰以及用戶安全能力;密鑰生成模塊,用于根據(jù)所述信息獲取模塊獲取的所述接入層根密鑰以及由所述用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。
7.根據(jù)權(quán)利要求6所述的基站,其特征在于,所述信息獲取模塊具體用于 從所述UMTS支路的RNC獲取所述LTE支路接入層根密鑰;其中,所述LTE支路接入層根密鑰為所述RNC根據(jù)所述UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成的,所述密鑰生成參數(shù)為UMTS支路計數(shù)器值,或者所述RNC生成的隨機數(shù)值,或者UMTS支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù)及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù);或者,所述LTE支路接入層根密鑰為所述RNC從服務(wù)器獲取的,其中,所述LTE支路接入層根密鑰由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰和非接入層計數(shù)器值生成,或者由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰生成LTE支路根密鑰后,再根據(jù)所述LTE支路根密鑰及非接入層計數(shù)器值生成。
8.根據(jù)權(quán)利要求6所述的基站,其特征在于,所述信息獲取模塊具體用于獲取來自所述UMTS中RNC的密鑰生成參數(shù),所述密鑰生成參數(shù)為所述RNC生成的隨機數(shù)值;根據(jù)所述隨機數(shù)值以及與所述RNC在認證中生成的IP層安全隧道根密鑰生成所述LTE 支路接入層根密鑰。
9.根據(jù)權(quán)利要求6至9中任一所述的基站,其特征在于,所述基站還包括命令發(fā)送模塊,用于在所述密鑰生成模塊生成所述LTE支路接入層密鑰后,向用戶端發(fā)送經(jīng)過所述接入層密鑰保護的接入層安全模式命令,以使得用戶端生成所述LTE支路接入層密鑰;所述接入層安全模式命令中至少包括所述用戶安全能力以及所述確定的接入層算法。
10.根據(jù)權(quán)利要求7至10中任一所述的基站,其特征在于,所述基站還包括密鑰更新模塊,用于當(dāng)LTE支路分組數(shù)據(jù)匯聚協(xié)議層的計數(shù)器值溢出時,根據(jù)當(dāng)前使用的所述LTE支路接入層根密鑰、物理小區(qū)標識以及下行頻點號來生成新的LTE支路接入層根密鑰,以便所述密鑰生成模塊根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法, 生成新的LTE支路接入層密鑰。。
11.一種LTE支路密鑰生成的方法,能夠應(yīng)用在LTE-UMTS資源聚合的場景中,其特征在于,包括UMTS支路中RNC獲取LTE支路接入層根密鑰;向LTE支路中的基站發(fā)送用戶安全能力及所述LTE支路接入層根密鑰,或者,向所述基站發(fā)送所述用戶安全能力和用于生成所述LTE支路接入層根密鑰的密鑰生成參數(shù),使得所述基站根據(jù)所述LTE支路接入層根密鑰以及由所述用戶安全能力確定的接入層算法生成 LTE支路接入層密鑰。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于,所述RNC獲取LTE支路接入層根密鑰, 包括所述RNC根據(jù)UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成所述LTE支路接入層根密鑰;其中,所述密鑰生成參數(shù)為UMTS支路計數(shù)器值,或者所述RNC生成的隨機數(shù)值,或者UMTS支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù)及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù);或者,所述RNC從服務(wù)器獲取的所述LTE支路接入層根密鑰,其中,所述LTE支路接入層根密鑰由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰和非接入層計數(shù)器值生成,或者由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰生成LTE支路根密鑰后,再根據(jù)所述LTE支路根密鑰及非接入層計數(shù)器值生成。
13.根據(jù)權(quán)利要求12所述的方法,其特征在于,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)的過程中,所述方法還包括所述密鑰生成參數(shù)是UMTS支路計數(shù)器值時,所述RNC存儲所述UMTS支路計數(shù)器值,并根據(jù)所述UMTS支路系統(tǒng)密鑰及所述計數(shù)器值生成新的LTE支路接入層根密鑰;或者,所述 RNC將用戶端發(fā)送的所述UMTS支路計數(shù)器值的最高20位比特值補0后生成32bits的計數(shù)器值,根據(jù)所述UMTS支路系統(tǒng)密鑰及所述計數(shù)器值生成新的LTE支路接入層根密鑰;或者,所述RNC將用戶端發(fā)送的所述UMTS支路計數(shù)器值的最高20位比特值和存儲的狀態(tài)轉(zhuǎn)換計數(shù)器值串聯(lián)生成計數(shù)器值,生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰;或者,所述密鑰生成參數(shù)是所述RNC生成的隨機數(shù)值時,所述RNC生成新的隨機數(shù)值,利用所述新的隨機數(shù)值以及所述UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰;或者,所述密鑰生成參數(shù)是UMTS支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù)及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù)時,所述RNC利用用戶端發(fā)送的所述UMTS支路計數(shù)器值最高20位比特值構(gòu)造新的用戶側(cè)隨機數(shù),利用所述新鮮數(shù)作為新的網(wǎng)絡(luò)側(cè)隨機數(shù),結(jié)合UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。
14.根據(jù)權(quán)利要求12所述的方法,其特征在于,在所述RNC從服務(wù)器獲取所述LTE支路接入層根密鑰的情況下,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)時,所述方法進一步包括所述RNC指示所述服務(wù)器利用所述UMTS支路非接入層計數(shù)器值及所述UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。
15.根據(jù)權(quán)利要求11所述的方法,其特征在于,所述獲取LTE支路接入層根密鑰,包括所述RNC生成所述密鑰生成參數(shù),所述密鑰生成參數(shù)為隨機數(shù)值;所述RNC根據(jù)所述隨機數(shù)值以及與所述LTE支路中的基站在認證中生成的IP層安全隧道根密鑰,生成所述LTE支路接入層根密鑰。
16.根據(jù)權(quán)利要求15所述的方法,其特征在于,所述方法還包括將所述LTE支路接入層根密鑰通過UMTS支路加密密鑰和完整性保護密鑰保護后,發(fā)送給用戶端,以便用戶端根據(jù)所述接入層根密鑰計算所述接入層密鑰。
17.根據(jù)權(quán)利要求14或15所述的方法,其特征在于,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)時,所述方法還包括所述RNC生成新的隨機數(shù);利用所述新的隨機數(shù)以及所述IP層安全隧道根密鑰生成新的LTE支路接入層根密鑰, 以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。
18.一種RNC,能夠應(yīng)用在LTE-UMTS資源聚合的場景中,其特征在于,包括密鑰采集模塊,用于獲取LTE支路接入層根密鑰;信息發(fā)送模塊,用于向LTE支路中的基站發(fā)送用戶安全能力及通過所述密鑰采集模塊獲取到的所述LTE支路接入層根密鑰,或者,用于向所述基站發(fā)送所述用戶安全能力和用于生成所述LTE支路接入層根密鑰的密鑰生成參數(shù),使得所述基站根據(jù)所述LTE支路接入層根密鑰以及由所述用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。
19.根據(jù)權(quán)利要求18所述的RNC,其特征在于,所述密鑰采集模塊具體用于根據(jù)UMTS支路系統(tǒng)密鑰及密鑰生成參數(shù)生成所述LTE支路接入層根密鑰;其中,所述密鑰生成參數(shù)為UMTS支路計數(shù)器值,或者所述RNC生成的隨機數(shù)值,或者UMTS支路計數(shù)器值的最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù)及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù);或者,從服務(wù)器獲取的所述LTE支路接入層根密鑰,其中,所述LTE支路接入層根密鑰由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰和非接入層計數(shù)器值生成,或者由所述服務(wù)器根據(jù)UMTS支路系統(tǒng)密鑰生成LTE支路根密鑰后,再根據(jù)所述LTE支路根密鑰及非接入層計數(shù)器值生成。
20.根據(jù)權(quán)利要求19所述的RNC,其特征在于,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)的過程中,所述密鑰采集模塊還用于在所述密鑰生成參數(shù)是UMTS支路計數(shù)器值時,存儲所述UMTS支路計數(shù)器值,并根據(jù)所述UMTS支路系統(tǒng)密鑰及所述計數(shù)器值生成新的LTE支路接入層根密鑰;或者,將用戶端發(fā)送的所述UMTS支路計數(shù)器值的最高20位比特值補0后生成32bits的計數(shù)器值,根據(jù)所述 UMTS支路系統(tǒng)密鑰及所述計數(shù)器值生成新的LTE支路接入層根密鑰;或者,將用戶端發(fā)送的所述UMTS支路計數(shù)器值的最高20位比特值和存儲的狀態(tài)轉(zhuǎn)換計數(shù)器值串聯(lián)生成計數(shù)器值,生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰;或者,用于在所述密鑰生成參數(shù)是所述RNC生成的隨機數(shù)值時,生成新的隨機數(shù)值,利用所述新的隨機數(shù)值以及所述UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰;或者,用于在所述密鑰生成參數(shù)是UMTS支路計數(shù)器值最高20位比特值構(gòu)造的用戶側(cè)隨機數(shù)及由所述RNC生成的新鮮數(shù)值構(gòu)造的網(wǎng)絡(luò)側(cè)隨機數(shù)時,利用用戶端發(fā)送的所述UMTS支路計數(shù)器值最高20位比特值構(gòu)造新的用戶側(cè)隨機數(shù),利用所述新鮮數(shù)作為新的網(wǎng)絡(luò)側(cè)隨機數(shù), 結(jié)合UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE 接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。
21.根據(jù)權(quán)利要求19所述的RNC,其特征在于,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)時,所述密鑰采集模塊還用于在從服務(wù)器獲取所述LTE支路接入層根密鑰的情況下,指示所述服務(wù)器利用所述UMTS支路非接入層計數(shù)器值及所述UMTS支路系統(tǒng)密鑰,生成新的LTE支路接入層根密鑰,以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。
22.根據(jù)權(quán)利要求18所述的RNC,其特征在于,所述密鑰采集模塊具體用于生成所述密鑰生成參數(shù),所述密鑰生成參數(shù)為隨機數(shù)值;根據(jù)所述隨機數(shù)值以及與所述LTE支路中的基站在認證中生成的IP層安全隧道根密鑰,生成所述LTE支路接入層根密鑰。
23.根據(jù)權(quán)利要求22所述的RNC,其特征在于,所述信息發(fā)送模塊還用于將所述密鑰采集模塊采集到的所述LTE支路接入層根密鑰,通過UMTS支路加密密鑰和完整性保護密鑰保護后,發(fā)送給用戶端,以便用戶端根據(jù)所述接入層根密鑰計算所述接入層密鑰。
24.根據(jù)權(quán)利要求22或23所述的RNC,其特征在于,當(dāng)用戶端從空閑態(tài)轉(zhuǎn)換為激活態(tài)時,所述密鑰采集模塊還用于根據(jù)生成新的隨機數(shù)以及所述IP層安全隧道根密鑰生成新的LTE支路接入層根密鑰, 以便所述基站根據(jù)所述新的LTE接入層根密鑰以及所述接入層算法,生成新的LTE支路接入層密鑰。
25.—種LTE-UMTS資源聚合的系統(tǒng),其特征在于,包括權(quán)利要求6至10中任一所述的基站和權(quán)利要求18至M中任意一所述的RNC。
全文摘要
本發(fā)明實施例公開了一種密鑰生成方法、裝置及系統(tǒng),該方法包括LTE支路中的基站獲取LTE支路接入層根密鑰以及用戶安全能力;根據(jù)所述接入層根密鑰以及由用戶安全能力確定的接入層算法生成LTE支路接入層密鑰。本發(fā)明實施例還提供了與該方法對應(yīng)的裝置及系統(tǒng)。在U&L Boosting應(yīng)用場景下,本發(fā)明技術(shù)方案的實現(xiàn)能夠提高LTE支路數(shù)據(jù)的安全性,使得UE可以通過LTE支路進行正常通信。
文檔編號H04W12/04GK102572819SQ20101061656
公開日2012年7月11日 申請日期2010年12月22日 優(yōu)先權(quán)日2010年12月22日
發(fā)明者張麗佳, 張冬梅, 陳璟 申請人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1