终端移动到增强ＵＴＲＡＮ时建立增强密钥的方法及系统技术方案

本发明专利技术公开了一种终端移动到增强ＵＴＲＡＮ时建立增强密钥的方法及系统，增强通用陆地无线接入网络ＵＴＲＡＮ中的目标服务ＧＰＲＳ支持节点（目标ＳＧＳＮ＋）根据从源移动管理实体（源ＭＭＥ）处获得的映射的传统密钥，推导出增强ＵＴＲＡＮ中所使用的增强密钥；所述终端推导出映射的传统密钥后，再根据所述映射的传统密钥采用与所述目标ＳＧＳＮ＋相同的算法推导出增强ＵＴＲＡＮ中所使用的增强密钥；所述终端与所述目标ＳＧＳＮ＋利用各自推导出的增强密钥，执行终端从演进的通用陆地无线接入网络Ｅ－ＵＴＲＡＮ移动到支持增强安全功能的增强ＵＴＲＡＮ的过程。本发明专利技术具有安全性高、过程简单等优点。

【技术实现步骤摘要】

本专利技术涉及无线通信领域，具体而言，涉及一种无线通信系统中终端从E-UTRAN 网络移动到增强的UTRAN网络时建立增强密钥的方法。
技术介绍
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)在Release7 中采用了正交频分复用(Orthogonal Frequency Division Multiplexing，简称OFDM)和多 输入多输出(Multiple-Input Multiple-Output，简称 ΜΙΜΟ)技术完成 HSDPA (High Speed Downlink Packet Access，高速下行链路分组接入)和 HSUPA(High Speed U plink Packet Access，高速上行链路分组接入)的未来演进道路HSPA+。HSPA+是3GPP HSPA (包括HSDPA 和HSUPA)的增强技术，为HSPA运营商提供低复杂度、低成本的从HSPA向LTE平滑演进的 途径。HSPA+通过采用高阶调制(例如下行 64QAM(Quadrature AmplitudeModulation, 正交幅度调制)和上行16QAM) ,MIMO以及高阶段调制与MIMO的结合等技术，提升了峰值数 据速率与频谱效率。另一方面，为了更好的支持分组业务，HSPA+还采用了一系列其它增强 技术来达到增加用户容量、降低时延、降低终端耗电，更好地支持IP语音通信(VOIP)以及 提升系统的多播/广播能力等目标。相比较于HSPA，HSPA+在系统架构上将无线网络控制器(Radio NetworkControlIer,简称RNC)的功能下放到基站节点B (Node B)，形成完全扁平化的无线 接入网络架构，如图1所示。此时称集成了完全RNC功能的Node B为Evolved HSPA Node B，或者简称增强节点B (Node B+)。SGSN+为进行了升级能支持HSPA+功能的SGSN (SERVICE GPRS SUPPORT NODE，服务 GPRS 支持节点；GPRS :General Packet Radio System，通用分组 无线系统)。ME+为能支持HSPA+功能的用户终端设备(也可称为UE+)。演进的HSPA系统 能够使用3GPP Rel-5和以后的空口版本，对空口的HSPA业务没有任何修改。采用这种方 案后，每个Node B+都成为一个相当于RNC的节点，具有Iu-PS接口能够直接与PS CN (Core Network,核心网)连接，Iu-PS用户面在SGSN终结，其中如果网络支持直通隧道功能，Iu-PS 用户面也可以在GGSN(Gateway GPRS Support Node，网关GPRS支持节点)终结。演进的 HSPANode B之间的通信通过Iur接口执行。Node B+具有独立组网的能力，并支持完整的 移动性功能，包括系统间和系统内切换。在HSPA+中，可以将Node B+看作Node B和RNC的结合。二者是一个物理实体， 但是仍然是2个不同的逻辑实体。因此本专利技术中支持HSPA+增强的密钥层次的Node B+也 可以等同为UMTS中进行了升级的RNC。为了区分，我们可以称之为RNC+。目前有提案提出的HSPA+增强的安全密钥层次结构如图2所示。其中，K(Key，即根 密钥)、CK(Ciphering Key,即加密密钥)和IK(Integrity Key,即完整性密钥)的定义与 UMTS (Universal Mobile Telecommunications System，通用移动通信系统)中完全一致。 即 K 是存储于 AuC(Authentication Center，鉴权中心)和 USIM(UNIVERSAL SUBSCRIBERIDENTITY MODULE,通用订阅者身份模块)中的根密钥，CK和IK是用户设备与HSS进行 AKA(Authentication and Key Agreement，认证和密钥协定)时由K计算出的加密密钥和 完整性密钥。在UMTS中，RNC即使用CK和IK对数据进行加密和完整性保护。我们可以将 CK和IK称为传统的空口安全密钥，简称传统密钥。由于HSPA+架构中，将RNC的功能全部下放到基站Node B+,则加解密都需在Node B+处进行，而Node B+位于不安全的环境中，安全性不是特别高。因此HSPA+引入了一个类 似于E-UTRAN(EvoIved Universal TerrestrialRadio Access Network，演进的通用陆地无 线接入网络)的密钥层次，即UTRAN密钥层次(UTRAN Key Hierarchy)。在UTRAN密钥层次 结构中，CKu和IKu是HSPA+新引入的密钥，由传统密钥CK和IK推导生成。其中CKu用于加 密用户面数据和控制面信令，IKu用于对控制面信令进行完整性保护。我们将CKu和IKu称 为增强的空口安全密钥，简称增强密钥。LTE/SAE是3GPP对UMTS的演进技术，它支持在20MHz频谱带宽下提供下行 100Mbps、上行50Mbps的峰值速率。LTE/SAE的网络由用户设备(UE)、接入网以及核心网组 成。整个LTE架构如图3所示。在E-UTRAN中，基站设备为演进的基站(evolved Node-B, 简称eNB)，主要负责无线通信、无线通信管理、和移动性上下文的管理。核心网包含移动管 理实体(Mobility Management Entity，简称MME)，MME负责移动性的管理、非接入层信令 的处理、以及用户安全模式的管理等控制面相关的工作。 当用户从E-UTRAN移动到UTRAN时，源MME根据LTE中的密钥Kasme生成映射的传 统密钥IK’、CK'，映射的传统密钥推导式如下IK，I |CK，= KDF(Kasme, downlink NAS COUNT)其中，KDF是3GPP定义的安全算法，具体定义可参考3GPP相关规范。Kasme是HSS 根据CK、IK生成的密钥，并在AKA (Authentication and KeyAgreement，认证和密钥协定) 过程中下发给MME，用以推导NAS (非接入层)层密钥以及eNB上的AS (接入层)层密钥。 NAS COUNT是NAS计数器，每一个EPS NAS安全上下文与2个NAS COUNT关联一个uplink NASC0UNT, 一个 downlink NAS COUNT。NAS COUNT 长度为 24 位，由 UE 和 MME 独立维护。当 成功运行一次AKA，生成新的Kasme时，NAS COUNT初始化为O。源MME将推导的映射的传统密钥IK’和CK’发送给目标网络的核心网节点SGSN。 目标SGSN使用该映射的传统密钥对用户和网络之间的通信进行保护。随着HSPA+安全的引入，由于增加了密钥层次，用户和网络之间使用增强密钥IKu 和CKu对通信进行保护。当用户从E-UTRAN移动到支持HSPA+安全功能的UTRAN时，如何 通过映射的传统密钥建立起HSPA+的增强的安全密钥，是一个急需解决的问题。
技术实现思路
本专利技术要本文档来自技高网...

【技术保护点】
一种终端移动到增强ＵＴＲＡＮ时建立增强密钥的方法，包括：增强通用陆地无线接入网络ＵＴＲＡＮ中的目标服务ＧＰＲＳ支持节点（目标ＳＧＳＮ＋）根据从源移动管理实体（源ＭＭＥ）处获得的映射的传统密钥，推导出增强ＵＴＲＡＮ中所使用的增强密钥；所述终端推导出映射的传统密钥后，再根据所述映射的传统密钥采用与所述目标ＳＧＳＮ＋相同的算法推导出增强ＵＴＲＡＮ中所使用的增强密钥；所述终端与所述目标ＳＧＳＮ＋利用各自推导出的增强密钥，执行终端从演进的通用陆地无线接入网络Ｅ－ＵＴＲＡＮ移动到支持增强安全功能的增强ＵＴＲＡＮ的过程。

【技术特征摘要】
一种终端移动到增强UTRAN时建立增强密钥的方法，包括增强通用陆地无线接入网络UTRAN中的目标服务GPRS支持节点(目标SGSN+)根据从源移动管理实体(源MME)处获得的映射的传统密钥，推导出增强UTRAN中所使用的增强密钥；所述终端推导出映射的传统密钥后，再根据所述映射的传统密钥采用与所述目标SGSN+相同的算法推导出增强UTRAN中所使用的增强密钥；所述终端与所述目标SGSN+利用各自推导出的增强密钥，执行终端从演进的通用陆地无线接入网络E-UTRAN移动到支持增强安全功能的增强UTRAN的过程。2.如权利要求1所述的方法，其特征在于，所述目标SGSN+是从源移动管理实体处获得映射的传统密钥中的加密密钥CK’和完整 性密钥IK，；所述目标SGSN+在根据密钥算法利用CK’和IK’推导出增强密钥中的加密密钥0( 、完 整性密钥IK 后，将所述增强密钥CIV IK 通过密钥分发消息发送给增强UTRAN中的目标无 线网络控制器(RNC+)，由所述目标RNC+存储；所述终端根据密钥算法利用映射的传统密钥CK’和IK’推导出增强UTRAN中所使用的 增强密钥CIV IK 并存储。3.如权利要求1所述的方法，其特征在于，所述目标SGSN+是从源移动管理实体处获得映射的传统密钥中的加密密钥CK’和完整 性密钥IK’，将映射的传统完整性密钥IK’视为传统完整性密钥IK，将映射的传统加密密钥 CK’视为传统加密密钥CK ；所述目标SGSN+根据密钥算法利用传统密钥CK和IK推导出增强密钥中的加密密钥 、完整性密钥IK ，将所述增强密钥CIV 1&通过密钥分发消息发送给增强UTRAN中的目 标无线网络控制器(RNC+)，由所述目标RNC+存储；所述终端将映射的传统完整性密钥IK’视为传统完整性密钥IK，将映射的传统加密密 钥CK’视为传统加密密钥CK ；根据密钥算法利用传统密钥CK和IK推导出增强密钥中的加 密密钥、完整性密钥并存储。4.如权利要求2或3所述的方法，其特征在于，所述终端为激活态时，所述密钥分发消 息是迁移请求消息。5.如权利要求2或3所述的方法，其特征在于，所述终端为激活态时，进一步包括以下 步骤所述目标SGSN+在推导出增强密钥中的加密密钥、完整性密钥IK 后，根据映射的 传统密钥CK’、IK’和增强密钥CIV 1&推导获得变形增强密钥CK/、IK/，将所述变形增强 密钥OC、IK/通过迁移请求消息发送给增强UTRAN中的目标无线网络控制器(RNC+)，由所 述目标RNC+存储；所述终端在推导出增强密钥中的加密密钥、完整性密钥1&后，根据映射的传统密 钥CK’、IK’和增强密钥CIV IK 推导出变形增强密钥CK/、IK；并存储；所述终端和所述目标SGSN+利用变形增强密钥CK/、IK；在增强的UTRAN网络内进行 SRNC迁移。6.如权利要求5所述的方法，其特征在于，所述SGSN+和所述处于激活态的终端在推导所述变形增强密钥CK/、IK；的同时，为所 述变形增强密钥设置一关联的计数器，所述计数器用于记录生成变形增强密钥的次数；所 述目标SGSN+向目标无线网络控制器RNC+发送变形增强密钥CK/、IK；的同时将计数器值 也发送给RNC+。7.如权利要求2或3中任一项所述的方法，其特征在于，所述终端和所述目标SGSN+根 据映射的传统密钥中的加密密钥CK’和完整性密钥IK’推导增强密钥中的加密密钥0( 、完 整性密钥的过程中按照相同的密钥算法将CK’和IK’结合第一参数推导出增强密钥□( 、IK ；或者，先将 映射的传统完整性密钥IK’视为传统完整性密钥IK，将映射的传统加密密钥CK’视为传统 加密密钥CK，再按照相同的密钥算法将CK和IK结合第一参数推导出增强密钥□( 、IK 。8.如权利要求7所述的方法，其特征在于，所述终端为激活态时，所述第一参数包括以 下参数的一种或它们的组合服务网络标识(PLMN identifier)，核心网节点类型，序列号(SQN)，隐藏密钥(AK)，用 户身份标识，目标SGSN+和/或终端UE维护的计数器，目标SGSN+生成的随机数N0NCEsesN。9.如权利要求7所述的方法，其特征在于，所述终端为空闲态时，所述第一参数包括以 下参数的一种或它们的组合服务网络标识(PLMN identifier)，核心网节点类型，序列号(SQN)，隐藏密钥(AK)，用 户身份标识，目标SGSN+和/或终端UE维护的计数器，目标SGSN+生成的随机数N0NCES(SN， 终端生成的随机数NONCE^。10.如权利要求9所述的方法，其特征在于，所述随机数N0NCES(SN由目标SGSN+在接收到源MME发送的转发迁移请求消息后生成， 并经由源MME、源基站的中转发送给终端；或者，该随机数N0NCES(SN由目标SGSN+在接收到终端发送的路由区更新请求消息后生成，并 经由路由区更新接受消息发送给终端；所述随机数N0NCEue由终端在向目标SGSN...

【专利技术属性】
技术研发人员：冯成燕，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：94[中国|深圳]