一种生成密钥的方法、装置及系统制造方法及图纸

本申请涉及无线通信技术领域。本申请的实施例提供一种生成密钥的方法、装置和系统，用以解决语音业务切换过程中，无法实现对语音业务的安全保护的问题。本申请的方法包括：MME接收来自AMF节点的重定向请求消息，重定向请求消息包括密钥相关信息，然后MME根据密钥相关信息生成加密密钥和完整性保护密钥。其中，重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。本申请适用于语音业务切换的流程中。

A Method, Device and System for Generating Key

【技术实现步骤摘要】
一种生成密钥的方法、装置及系统
本申请涉及无线通信
，尤其涉及一种生成密钥的方法、装置及系统。
技术介绍
单一无线语音呼叫连续性(singleradiovoicecallcontinuity，SRVCC)是一种在长期演进(longtermevolution，LTE)网络中实现语音业务连续性的方案。为了避免正在进行语音业务的终端在移出LTE网络的覆盖范围后出现语音业务中断的问题，可通过SRVCC方案将语音业务由分组交换(packetswitch，PS)域切换至电路交换(circuitswitch，CS)域，从而保证语音业务不中断。在下一代通信网络，例如第五代(5thGeneration，5G)网络中，为了避免正在进行语音业务的终端移出5G网络的覆盖范围后出现语音业务终端的问题，也可通过SRVCC方案将语音业务由PS域切换至CS域。在语音业务的切换流程中，接入和移动性管理功能(accessandmobilitymanagementfunction，AMF)节点向MME发送切换请求，进而MME将生成加密密钥和完整性保护密钥。然而由于在语音业务切换流程之前，MME未服务5G网络中需要进行语音业务切换的终端，所以MME中没有终端的非接入层安全上下文，即MME中没有用于生成加密密钥和完整性保护密钥的下行非接入层计数值，导致MME无法生成加密密钥和完整性保护密钥，无法实现对语音业务的安全保护。
技术实现思路
本申请的实施例提供一种生成密钥的方法、装置及系统，以期解决在正在进行语音业务的终端移出5G网络后，将语音业务由PS域切换至CS域的过程中，无法实现对语音业务的安全保护的问题。第一方面，本申请的实施例提供一种生成密钥的方法，该方法包括：移动性管理实体MME接收来自接入和移动性管理功能AMF节点的重定向请求消息，重定向请求消息包括密钥相关信息，然后MME根据密钥相关信息生成加密密钥和完整性保护密钥。其中，重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。本申请的实施例的方案中，AMF节点在向MME发送的重定向请求消息中携带密钥相关信息，进而MME可以根据密钥相关信息生成加密密钥和完整性保护密钥，进而在语音业务的切换过程中，可以使用加密密钥和完整性保护密钥对语音业务进行安全保护，提高了安全性。在一种可能的设计中，密钥相关信息包括锚点密钥，MME根据密钥相关信息生成加密密钥和完整性保护密钥的方法为：MME确定锚点密钥的一部分为加密密钥，确定锚点密钥的另一部分为完整性保护密钥。采用该方法，MME可直接根据锚点密钥确定加密密钥和完整性保护密钥，在未获取到下行非接入层计数值的情况下也能实现对语音业务的安全保护，且实现简单。作为一个例子，锚点密钥包括256位比特，MME可确定锚点密钥的前128位比特位为加密密钥，确定锚点密钥的后128位比特为完整性保护密钥；或者确定锚点密钥的后128位比特为加密密钥，确定锚点密钥的前128位比特为完整性保护密钥。在另一种可能的设计中，密钥相关信息包括锚点密钥和下行非接入层计数值；MME根据密钥相关信息生成加密密钥和完整性保护密钥的方法为：MME根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥。采用该方法，AMF节点可以将下行非接入层计数值发送给MME，进而MME即可根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥，实现了对语音业务的安全保护。其中，MME可根据锚点密钥(KASME)和下行接入层计数值生成一个新的密钥(KASME1’)，进而将KASME1’的一部分作为加密密钥，将KASME1’的另一部分作为完整性保护密钥。可选地，MME先对下行非接入层计数值进行运算得到一个输入参数，使用该输入参数和锚点密钥生成一个新的密钥(KASME2’)，进而将将KASME2’的一部分作为加密密钥，将KASME2’的另一部分作为完整性保护密钥。在一种可能的设计中，MME可以向AMF节点发送第一指示信息，第一指示信息用于指示终端根据下行非接入层计数值生成加密密钥和完整性保护密钥。在另一种可能的设计中，密钥相关信息包括锚点密钥和预设值，或密钥相关信息包括锚点密钥和随机数；MME根据密钥相关信息生成加密密钥和完整性保护密钥的方法为：MME根据锚点密钥和预设值生成加密密钥和完整性保护密钥；或者，MME根据锚点密钥和随机数生成加密密钥和完整性保护密钥。采用该方法，MME可根据锚点密钥和AMF节点生成的预设值或随机数生成加密密钥和完整性保护密钥，实现了对语音业务的安全保护，由于MME未接收到下行非接入层计数值，所以即使MME被攻击者攻破，也无法根据锚点密钥反推出AMF节点的根密钥，保障了AMF节点的安全性。其中，MME可将预设值或随机数作为生成新密钥的输入参数，可选地，MME根据锚点密钥和预设值(或根据锚点密钥和随机数)生成一个新的密钥(KASME’)，进而将将KASME’的一部分作为加密密钥，将KASME’的另一部分作为完整性保护密钥。在又一种可能的设计中，密钥相关信息包括锚点密钥，MME根据密钥相关信息生成加密密钥和完整性保护密钥的方法为：MME根据锚点密钥和预设值生成加密密钥和完整性保护密钥；或者，MME根据锚点密钥和随机数生成加密密钥和完整性保护密钥。在一种可能的设计中，MME可向AMF节点发送第二指示信息，第二指示信息包括预设值或随机数，第二指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥。采用该方法，MME可根据锚点密钥和自身生成的预设值或随机数生成加密密钥和完整性保护密钥，实现了对语音业务的安全保护，由于MME未接收到下行非接入层计数值，所以即使MME被攻击者攻破，也无法根据锚点密钥反推出AMF节点的根密钥，保障了AMF节点的安全性。第二方面，本申请的实施例提供一种生成密钥的方法，该方法包括：接入和移动性管理功能AMF节点确定密钥相关信息，密钥相关信息用于生成加密密钥和完整性保护密钥，然后AMF节点向移动性管理实体MME发送重定向请求消息，重定向请求消息中包括密钥相关信息，重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。采用该方法，AMF节点在向MME发送的重定向请求消息中携带密钥相关信息，避免了MME因缺少必要参数而无法生成加密密钥和完整性保护密钥的情况发生，提高了安全性。在一种可能的设计中，密钥相关信息包括锚点密钥和下行非接入层计数值；AMF节点可向终端发送第一指示信息，第一指示信息用于指示终端根据下行非接入层计数值生成加密密钥和完整性保护密钥。在一种可能的实施方式中，在AMF节点向终端发送第一指示信息之前，AMF节点可以生成第一指示信息；或者，AMF节点接收来自MME的第一指示信息。在另一种可能的设计中，密钥相关信息包括锚点密钥；AMF节点可以接收来自MME的第二指示信息，第二指示信息中包括预设值或随机数，第二指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥；然后AMF节点向终端发送第二指示信息。在又一种可能的设计中，密钥相关信息包括锚点密钥和预设值；或者，密钥相关信息包括锚点密钥和随机数；AMF节点可以向终端发送第三指示信息，第三指示信息中包括预设值或随机数，第三指示信息用于指示终端本文档来自技高网...

【技术保护点】
1.一种生成密钥的方法，其特征在于，包括：移动性管理实体MME接收来自接入和移动性管理功能AMF节点的重定向请求消息，所述重定向请求消息包括密钥相关信息，所述重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域；所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥。

【技术特征摘要】
1.一种生成密钥的方法，其特征在于，包括：移动性管理实体MME接收来自接入和移动性管理功能AMF节点的重定向请求消息，所述重定向请求消息包括密钥相关信息，所述重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域；所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥。2.根据权利要求1所述的方法，其特征在于，所述密钥相关信息包括锚点密钥，所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥，包括：所述MME确定所述锚点密钥的一部分为所述加密密钥，确定所述锚点密钥的另一部分为所述完整性保护密钥。3.根据权利要求1所述的方法，其特征在于，所述密钥相关信息包括锚点密钥和下行非接入层计数值；所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥，包括：所述MME根据所述锚点密钥和所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：所述MME向所述AMF节点发送第一指示信息，所述第一指示信息用于指示终端根据所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。5.根据权利要求1所述的方法，其特征在于，所述密钥相关信息包括锚点密钥和预设值，或所述密钥相关信息包括锚点密钥和随机数；所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥，包括：所述MME根据所述锚点密钥和所述预设值生成所述加密密钥和所述完整性保护密钥；或者，所述MME根据所述锚点密钥和所述随机数生成所述加密密钥和所述完整性保护密钥。6.根据权利要求1所述的方法，其特征在于，所述密钥相关信息包括锚点密钥，所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥，包括：所述MME根据所述锚点密钥和预设值生成所述加密密钥和所述完整性保护密钥；或者，所述MME根据所述锚点密钥和随机数生成所述加密密钥和所述完整性保护密钥。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：所述MME向所述AMF节点发送第二指示信息，所述第二指示信息包括所述预设值或所述随机数，所述第二指示信息用于指示终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥。8.一种生成密钥的方法，其特征在于，包括：接入和移动性管理功能AMF节点确定密钥相关信息，所述密钥相关信息用于生成加密密钥和完整性保护密钥；所述AMF节点向移动性管理实体MME发送重定向请求消息，所述重定向请求消息包括所述密钥相关信息，所述重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。9.根据权利要求8所述的方法，其特征在于，所述密钥相关信息包括锚点密钥和下行非接入层计数值；所述方法还包括：所述AMF节点生成第一指示信息，或者接收来自所述MME的第一指示信息；所述AMF节点向终端发送所述第一指示信息，所述第一指示信息用于指示所述终端根据所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。10.根据权利要求8所述的方法，其特征在于，所述密钥相关信息包括锚点密钥；所述方法还包括：所述AMF节点接收来自所述MME的第二指示信息，所述第二指示信息包括预设值或随机数，所述第二指示信息用于指示终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥；所述AMF节点向所述终端发送所述第二指示信息。11.根据权利要求8所述的方法，其特征在于，所述密钥相关信息包括锚点密钥和预设值；或者，所述密钥相关信息包括锚点密钥和随机数；所述方法还包括：所述AMF节点向终端发送第三指示信息，所述第三指示信息包括所述预设值或所述随机数，所述第三指示信息用于指示所述终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥。12.一种生成密钥的方法，其特征在于，包括：终端接收下行非接入层计数值；所述终端根据接入和移动性管理功能AMF节点的根密钥和所述下行非接入层计数值生成锚点密钥；所述终端确定所述锚点密钥的一部分为所述加密密钥，确定所述锚点密钥的另一部分为所述完整性保护密钥。13.一种生成密钥的方法，其特征在于，包括：终端接收下行非接入层计数值和第一指示信息，所述第一指示信息用于指示所述终端根据所述下行非接入层计数值生成加密密钥和完整性保护密钥；所述终端根据接入和移动性管理功能AMF节点的根密钥和所述下行非接入层计数值生成锚点密钥；所述终端根据所述锚点密钥和所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。14.一种生成密钥的方法，其特征在于，包括：终端接收下行非接入层计数值和第二指示信息，所述第二指示信息包括预设值或随机数，所述第二指示信息用于指示所述终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥；所述终端根据接入和移动性管理功能AMF节点的根密钥和所述下行非接入层计数值生成锚点密钥；所述终端根据所述锚点密钥和所述预设值生成所述加密密钥和所述完整性保护密钥；或者，所述终端根据所述锚点密钥和所述随机数生成所述加密密钥和所述完整性保护密钥。15.一种装置，其特征在于，包括：通信单元和处理单元；所述通信单元，用于接收来自接入和移动性管理功能AMF节点的重定向请求消息，所述重定向请求消息包括密钥相关信息，所述重定向请求消息用于请求...

【专利技术属性】
技术研发人员：潘凯，陈璟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44