專(zhuān)利名稱(chēng):一種切換方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線(xiàn)通信技術(shù)���,尤其涉及切換的方法及系統(tǒng)。
背景技術(shù):
3GPP ( Third Generation Partnership Project第三代合作伙伴計(jì)劃)定義一 種第三代無(wú)線(xiàn)通信網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)UMTS (Universal Mobile Telecommunication System通用移動(dòng)通信系統(tǒng))�����。為了保證3GPP在未來(lái)的竟?fàn)幜?�,目前?GPP 中�����,各廠(chǎng)商積極研究LTE ( Long Term Evolved長(zhǎng)期演進(jìn)網(wǎng)絡(luò))/SAE (System Architecture Evolved系統(tǒng)架構(gòu)演進(jìn)網(wǎng)絡(luò))����。
如圖1所示LTE/SAE網(wǎng)絡(luò)的密鑰架構(gòu)���,簡(jiǎn)要描述如下
USIM ( UMTS Subscriber Identity Module UMTS用戶(hù)識(shí)別卡)和網(wǎng)絡(luò)側(cè)的 AuC (Authentication Centre鑒權(quán)中心)共享密鑰K; USIM和AuC基于共享密 鑰K推演得到密鑰CK和IK; AuC將CK和IK發(fā)送到HSS ( Home Subscriber Server,歸屬客戶(hù)服務(wù)器)����。UE ( User Equipment用戶(hù)設(shè)備)和HSS基于CK 和IK推演KASME; UE和ASME ( Access Security Management Entity接入安全 管理實(shí)體)根據(jù)Kasme推演得到Knas如和KNAS.enc。 ASME將KNAS.m^�����。 KNAS,nc 發(fā)送給MME����,當(dāng)用戶(hù)通過(guò)LTE系統(tǒng)接入SAE時(shí),ASME 即為MME (Mobility Management Entity移動(dòng)管理實(shí)體)��。UE和ASME根據(jù)Kas嫌推演得到KeNB; ASME將KeNB發(fā)送給eNB (演進(jìn)基站eNodeB ); UE和eNB根據(jù)K^b推演得
至'J密4月KeNB.UP.enc, KeNB.RRc.int和KeNB.RRC.enc��。
當(dāng)UE在ACTIVE(激活)狀態(tài)下發(fā)生eNB之間的移動(dòng)時(shí)�,切換接入的目標(biāo) eNB和UE之間要寫(xiě)推演得出新的K^B,要保證切換的后向安全��,防止攻破一個(gè) eNB后�,影響UE切換到其他eNB的通信安全。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供一種切換方法和系統(tǒng)��。
本發(fā)明的實(shí)施例中提供一種切換方法����,該方法包括 發(fā)起切換請(qǐng)求����;
根據(jù)密鑰KASME獲得切換后使用的密鑰K^B;
執(zhí)行切換��。
本發(fā)明的實(shí)施例提供一種切換方法���,該方法包括 在同一安全域的eNB間切換時(shí)��,所述eNB間直接進(jìn)行切換�;
在不同安全域的eNB間切換時(shí)��,根據(jù)密鑰KASME獲取所述密鑰KeNB,所
述eNB通過(guò)移動(dòng)管理實(shí)體MME進(jìn)行切換��。
本發(fā)明的實(shí)施例提供一種密鑰推演系統(tǒng)����,該系統(tǒng)包括
存儲(chǔ)單元用于存儲(chǔ)密鑰KAs嫌;
處理單元一用于根據(jù)密鑰KASME獲取密鑰KeNB*�����。
本發(fā)明的實(shí)施例中提供一種切換系統(tǒng)�����,該系統(tǒng)包括
第一 eNB�����、第二 eNB和第三eNB和移動(dòng)管理實(shí)體MME;
其中�,所述第一eNB和第二eNB位于同一安全域,當(dāng)切換時(shí)����,第一eNB 和第二 eNB直接進(jìn)行切換;
所述第一 eNB和第三eNB位于不同安全域����,當(dāng)切換時(shí),第一 eNB通過(guò) MME與第二 eNB進(jìn)行切換���。
本發(fā)明的實(shí)施例中提供另 一種切換系統(tǒng)���,該系統(tǒng)包括
第一演進(jìn)基站eNB、第二eNB和第三eNB;其中����,
所述第一 eNB和第二 eNB位于同一安全域,第一 eNB和第二 eNB之間 配置X2 4妄口;
所述第一 eNB和第三eNB位于不同安全域���,第一 eNB和第三eNB之間 不配置X2接口�����。本發(fā)明實(shí)施例中提出切換方法和系統(tǒng)���,切換前后源eNB和目標(biāo)eNB上使用 的密鑰KeNB獨(dú)立,提高系統(tǒng)切換的安全性�����。
圖1為L(zhǎng)TE/S AE網(wǎng)絡(luò)的密鑰架構(gòu)圖���; 圖2為intra-MME切換的安全流程圖��; 圖3為inter-MME切換的安全流程圖����; 圖4為本發(fā)明實(shí)施例切換的安全流程圖一 �; 圖5為本發(fā)明實(shí)施例切換的安全流程圖二。
具體實(shí)施例方式
當(dāng)UE在ACTIVE(激活)狀態(tài)下發(fā)生eNB之間的移動(dòng)時(shí)�,切換流程中包括兩 種Intra-MME切換和Inter-MME切換。Intra-MME切換不需要MME的參與��, Inter-MME切換需要MME的參與���。兩種切換流程的安全處理分別描述如下
圖2為Intra-MME切換時(shí)的安全流程圖��,具體的流程為
201����、 UE上報(bào)測(cè)量寺艮告����;
202、 源eNB根據(jù)測(cè)量報(bào)告���,發(fā)起切換�����;
源eNB決定要切換�,源eNB基于當(dāng)前的KeNB計(jì)算單向哈希得到KeM^��,并將 K^『包含在切換請(qǐng)求消息中發(fā)送給目標(biāo)eNB���。切換請(qǐng)求消息中還包含當(dāng)前的 RRC/UP算法���。
203����、 目標(biāo)eNB發(fā)送切換響應(yīng)消息給源eNB;
目標(biāo)eNB根據(jù)C-RNTI和KeM^推導(dǎo)得到新的K^B�。 KeNB = KDF (KeNB*||C-RNTI )。目標(biāo)eNB發(fā)送切換響應(yīng)消息給源eNB����。切換響應(yīng)消息中包含 新的C-RNTI、選擇的RRC/UP算法和其他參數(shù)��。進(jìn)一步�,目標(biāo)eNB根據(jù)新的KeNB
推演付到余銅KeNB.UP.enc, KeNB.RRC.int和KeNB.RRC.enc�。
204、 源eNB發(fā)送完整性保護(hù)和加密保護(hù)的切換命令消息給UE; 切換命令消息中包含C-RNTI和選擇的RRC/UP算法���,如果算法沒(méi)有改變則
選擇的RRC/UP算法可以忽略205 ��、 UE發(fā)送切換證實(shí)消息給目標(biāo)eNB ��。
UE推導(dǎo)KeNB"新的KgNB�����、 KeNB.up.enc, KeNB.RRC.int和KeNB.RRC.enc����。 UE發(fā)送切換
證實(shí)消息給目標(biāo)eNB��。切換證實(shí)消息使用新的RRC密鑰完整性保護(hù)和加密保 護(hù)����。
圖3 inter-MME切換時(shí)的安全流程圖,具體的流程為
301�����、 UE上報(bào)測(cè)量報(bào)告����;
302、 源eNB根據(jù)測(cè)量報(bào)告��,發(fā)起切換����;
源eNB決定要切換����,源eNB基于當(dāng)前的K^B計(jì)算單向哈希得到KeM^�,并將 KeNB*包含在切換請(qǐng)求消息中發(fā)送給源MME。切換請(qǐng)求消息中還包含當(dāng)前的 RRC/UP算法�。
303 、源MME發(fā)送切換請(qǐng)求中給目標(biāo)MME;
切換請(qǐng)求中包含KeN^和其他相關(guān)的MME安全上下文信息�����,如NAS密鑰��、 NAS保護(hù)的COUNT值���、S-TMSI�、 IMSI和KASME等���。 304�����、目標(biāo)MME在向目標(biāo)eNB發(fā)送切換請(qǐng)求�; 該切換請(qǐng)求中包含K^b4口允許的RRC/UP算法����。 305 �����、目標(biāo)eNB發(fā)送切換響應(yīng)消息給目標(biāo)MME;
如果可能的話(huà)��,目標(biāo)eNB選擇相同的RRC/UP算法�����。目標(biāo)eNB發(fā)送切換響應(yīng) 消息給目標(biāo)MME。切換響應(yīng)消息中包含新的C-RNTI�、選擇的RRC/UP算法和其 他參數(shù)。進(jìn)一步����,目標(biāo)eNB基于K^『和C-RNTI推導(dǎo)得到新的K^B。目標(biāo)eNB基
于殺斤由勺KeNB進(jìn) 一 步4,〉寅^f尋至!J KeNB.up.enc �, KeNB.RRC.int禾口KeNB.RRC.enc。
306�、 目標(biāo)MME轉(zhuǎn)發(fā)切4灸響應(yīng)給源MME; 切換響應(yīng)中包含選擇的MME算法。
307����、 源MME將切換響應(yīng)發(fā)送給源eNB; 轉(zhuǎn)發(fā)的切換響應(yīng)包含NAS-MAC��。
308���、 源eNB發(fā)送切換命令消息給UE;
切換命令消息中包含NAS層消息以指示選擇的NAS算法和NAS-MAC。這個(gè)NAS層消息使用舊的RRC完整性密鑰和加密密鑰進(jìn)行保護(hù)�����。如果目標(biāo)eNB上 使用的算法和源eNB上使用的算法不同����,那么這條消息中還包含目標(biāo)eNB上將 使用的RRC/UP算法。
309�、 UE發(fā)送切換證實(shí)消息給目標(biāo)eNB;
UE推導(dǎo)KeNB"新的KeNB、 KeNB.up.enc, KeNB.RRC.int和KeNB.RRC.enco UE發(fā)送切換
證實(shí)消息給目標(biāo)eNB�。切換證實(shí)消息使用新的RRC密鑰完整性保護(hù)和加密保護(hù)。
在上述Intra-MME切換和Inter-MME切換過(guò)程中�����,可以看到密鑰處理流程簡(jiǎn) 述如下源eNB利用舊的密鑰1^仰推演得到1^仰*;源eNB將K^"發(fā)送給目標(biāo) eNB;目標(biāo)eNB利用KeN^和其他參數(shù)����,如C-RNTI,推演得到目標(biāo)eNB上使用的 密鑰KeNB;目標(biāo)eNB將C-RNTI等參數(shù)經(jīng)由源eNB發(fā)送給UE, UE推演得到在目 標(biāo)eNB上使用的密鑰KeWB�。
本發(fā)明的發(fā)明人發(fā)現(xiàn)���,目標(biāo)eNB上使用的密鑰K^B基于源eNB上的密鑰 KeNB推演得到,因此攻擊者獲得源eNB上使用的密鑰Ke朋后�,可以推演得到目 標(biāo)eNB上使用的密鑰KeNB。雖然C-RNTI參與到密鑰推演中可以增加攻擊者攻擊 的難度���,但是仍然無(wú)法完全消除源eNB和目標(biāo)eNB上的密鑰K^B具有相關(guān)性的 威脅���,切換的后向安全存在問(wèn)題。
本發(fā)明的實(shí)施例中��,可以讓MME參與到所有的切換過(guò)程中����,目標(biāo)eNB上使
用的密鑰KeNB由MME利用密鑰KASME和保證KeNB新鮮性的參數(shù)推演得到��。保護(hù)
KeNB新鮮性的參數(shù)使用NAS密鑰進(jìn)行完整性保護(hù)�。這樣,切換前后源eNB和目 標(biāo)eNB上使用的密鑰KeNB獨(dú)立����,提高系統(tǒng)切換的安全性。
但是����,所有的切換都讓MME參與將使得切換的時(shí)延較大�����。MME不參與的 切換能夠減少切換的時(shí)延����,但是將無(wú)法利用MME上存儲(chǔ)的密鑰KASME保證切換 前后密鑰的獨(dú)立性�。在提高整個(gè)系統(tǒng)切換的安全性的基礎(chǔ)上,同時(shí)減少切換時(shí) 延�����,本發(fā)明的另外的實(shí)施例中���,將eNB劃分為不同的安全域的方法來(lái)提高整 個(gè)系統(tǒng)的安全性(1)運(yùn)營(yíng)商為eNB劃分不同的安全域�����。有相同安全保護(hù)等級(jí)的eNB劃分在 相同的安全i或內(nèi)�����。
(2 )屬于同一個(gè)安全域的eNB之間的切換可以通過(guò)X2接口進(jìn)行�,即MME 不參與的切換。具體的切換流程�����,可以參照Intra-MME切換時(shí)的安全流程�����。
(3)屬于不同安全域的eNB之間不配置X2接口 ��,這樣不同安全域的eNB 之間的切換必需通過(guò)S1接口進(jìn)行��。MME參與的切換中��,利用MME上存儲(chǔ)的密 鑰KASME保i正切換前后密鑰的獨(dú)立性�。
這樣,當(dāng)UE/人一個(gè)不安全的eNB切換到安全的eNB時(shí)��,源eNB和目標(biāo)eNB
上的密鑰KeNB會(huì)相互獨(dú)立�����,這樣�,攻擊者無(wú)法利用源eNB上的密鑰KeNB推演得
到目標(biāo)eNB上的密鑰K^B,從而保證了從不安全的eNB切換到安全eNB的后向 安全�。
圖4為本發(fā)明實(shí)施例中切換時(shí)的安全流程圖,具體流程為
401�����、 UE上報(bào)測(cè)量I艮告��;
402���、 源eNB根據(jù)測(cè)量報(bào)告����,發(fā)起切換�����;
源eNB決定要切換��,源eNB發(fā)送切換請(qǐng)求給源MME����,該切換請(qǐng)求中包含當(dāng) 前的RRC/UP算法。
403 ���、源MME轉(zhuǎn)發(fā)切換請(qǐng)求中給目標(biāo)MME;
404 ��、目標(biāo)MME發(fā)送切換請(qǐng)求給目標(biāo)eNB;
目標(biāo)MME基于密鑰KASME計(jì)算KeNB" &仰*被發(fā)送給目標(biāo)eNB�。 當(dāng)系統(tǒng)中包含MME不參于的切換這種類(lèi)型時(shí),為了讓目標(biāo)eNB區(qū)分兩種不 同的切換�,MME發(fā)送相應(yīng)指示通知目標(biāo)eNB密鑰KeN『是基于KASME計(jì)算得到還 是基于K^B計(jì)算得到。當(dāng)系統(tǒng)中所有的切換都是MME參與的切換時(shí)�����,可以不發(fā) 送這個(gè)指示���。
405-407�、目標(biāo)eNB發(fā)送切換響應(yīng)消息經(jīng)由目標(biāo)MME和源MME給源eNB; 該切換響應(yīng)消息中包含新的C-RNTI���。目標(biāo)eNB根據(jù)C-RNTI和K^『推導(dǎo)得
到新的KeNB�����。目標(biāo)eNB根據(jù)新的KeNB進(jìn)一步推演得到KeNB.up�����,, KeNB.RRC.in^P
10KeNB.RRC.enc。
目標(biāo)MME將推演K^『的參數(shù)PARA利用NAS密鑰進(jìn)行保護(hù)后和切換消息 一起發(fā)送給源MME�����。源MME將消息轉(zhuǎn)發(fā)給源eNB�。
當(dāng)系統(tǒng)中包含MME不參于的切換這種類(lèi)型時(shí),為了區(qū)分兩種不同的切換��,
目標(biāo)MME在切換消息中附加相應(yīng)指示說(shuō)明KeN『是基于KASME計(jì)算得到還是基
于KeNB計(jì)算得到���。當(dāng)系統(tǒng)中所有的切換都是MME參與的切換時(shí)��,可以不發(fā)送這 個(gè)指示�����。
408�����、 源eNB發(fā)送完整性保護(hù)和加密保護(hù)的切換命令消息給UE; 切換命令消息中包含C-RNTI�。推演KeN^的參數(shù)PARA也凈皮發(fā)送給UE�����。
PARA利用保護(hù)NAS消息的密鑰進(jìn)行保護(hù)。
當(dāng)系統(tǒng)中包含MME不參于的切換這種類(lèi)型時(shí)����,為了讓UE區(qū)分兩種不同的 切換,切換命令中還包含指示以通知UE目標(biāo)eNB上使用的密鑰KeN"是基于
KASME計(jì)算得到還是基于KeNB計(jì)算得到����。這個(gè)指示也利用保護(hù)NAS消息的密鑰
進(jìn)行保護(hù)。當(dāng)系統(tǒng)中所有的切換都是MME參與的切換時(shí)����,可以不發(fā)送這個(gè)指 示。
409��、 UE發(fā)送切換證實(shí)消息給目標(biāo)eNB;
UE根據(jù)指示基于KASME或KeNB推導(dǎo)得到K^b* ���,繼而推演得到新的密鑰 KeNB��、 KeNB.up.enc���, KeNB.RRC.int和KeNB.RRC.enc。
UE發(fā)送切換證實(shí)消息給目標(biāo)eNB �。 切換證實(shí)消息使用新的RRC密鑰完整性保護(hù)并加密。
參數(shù)PARA可能包含一個(gè)參數(shù)或多個(gè)參數(shù)����。這些參數(shù)能夠保證&柳*的新鮮 性,進(jìn)而保證KeNB的新鮮性。這些參數(shù)可能是隨機(jī)數(shù)����,字符串、或者是這些組合��, 等等�����。
在上述的實(shí)施例中���,MME根據(jù)Kasme推演得到K^b����、目標(biāo)eNB再根據(jù)KeNB氺 推演得到KeNB�。另外一種做法是MME直接根據(jù)KASME推演得到KeNB,目標(biāo)eNB
直接利用此Ke仰作為目標(biāo)基站上使用的KeMj進(jìn)行后續(xù)的密鑰衍生。
圖5為本發(fā)明實(shí)施例中切換時(shí)的另一安全流程圖�,源eNB和目標(biāo)eNB在同一個(gè)MME管轄下,具體流程為
501�����、 UE上報(bào)測(cè)量報(bào)告;
502���、 源eNB根據(jù)測(cè)量報(bào)告����,發(fā)起切換��;
源eNB決定要切換���,源eNB發(fā)送切換請(qǐng)求給MME,該切換請(qǐng)求中包含當(dāng)前 的RRC/UP算法����。
503 �����、 MME發(fā)送切換請(qǐng)求給目標(biāo)eNB;
目標(biāo)MME基于密鑰KASME計(jì)算KeNB" 1^仰*被發(fā)送給目標(biāo)eNB����。
當(dāng)系統(tǒng)中包含MME不參于的切換這種類(lèi)型時(shí),為了區(qū)分兩種不同的切換����,
MME在切換消息中附加相應(yīng)指示說(shuō)明KeN^是基于KASME計(jì)算得到還是基于 K^B計(jì)算得到����。當(dāng)系統(tǒng)中所有的切換都是MME參與的切換時(shí)���,可以不發(fā)送這個(gè)指示。
504-505�����、目標(biāo)eNB發(fā)送切換響應(yīng)消息經(jīng)由MME給源eNB;
切換響應(yīng)消息中包含新的C-RNTI�。目標(biāo)eNB根據(jù)C-RNTI和K^"推導(dǎo)得到
新的K^B。目標(biāo)eNB根據(jù)新的KeNB進(jìn)一步推演得到K^B.up纖���,Ke肌RRc,nt和 KeNB.RRC.enc�����。
MME將推演KeM^的參數(shù)PARA利用NAS密鑰進(jìn)行保護(hù)后和切換消息一起 發(fā)送源eNB�����。
當(dāng)系統(tǒng)中包含MME不參于的切換這種類(lèi)型時(shí)�,為了區(qū)分兩種不同的切換�����,
目標(biāo)MME在切換消息中附加相應(yīng)指示說(shuō)明KeN『是基于KASME計(jì)算得到還是基 于KeNB計(jì)算得到。當(dāng)系統(tǒng)中所有的切換都是MME參與的切換時(shí)��,可以不發(fā)送這
個(gè)指示��。
506�����、源eNB發(fā)送完整性保護(hù)和加密保護(hù)的切換命令消息給UE;
切換命令消息中包含C-RNTI����。推演K^n^的參數(shù)PARA也被發(fā)送給UE。 PARA利用保護(hù)NAS消息的密鑰進(jìn)行保護(hù)���。
當(dāng)系統(tǒng)中包含MME不參于的切換這種類(lèi)型時(shí)��,為了讓UE區(qū)分兩種不同的 切換���,切換命令中還包含指示以通知UE目標(biāo)eNB上使用的密鑰KeN^是基于KASME計(jì)算得到還是基于KeNB計(jì)算得到。這個(gè)指示也利用保護(hù)NAS消息的密鑰
進(jìn)行保護(hù)�����。當(dāng)系統(tǒng)中所有的切換都是MME參與的切換時(shí),可以不發(fā)送這個(gè)指 示�����。
507��、 UE發(fā)送切換證實(shí)消息給目標(biāo)eNB;
UE^4居指示基于KASME或KeN",導(dǎo)得到IQnb* ,繼而推演得到新的密鑰 KeNB�、 KeNB.up.enc, KeNB.RRc.mt和KeNB.RRC.ene��。
UE發(fā)送切換證實(shí)消息給目標(biāo)eNB ��。
切換證實(shí)消息使用新的RRC密鑰完整性保護(hù)并加密�����。
參數(shù)PARA可能包含一個(gè)參數(shù)或多個(gè)參數(shù)��。這些參數(shù)能夠保證KeNB氺的新鮮 性,進(jìn)而保證KeNB的新鮮性�����。這些參數(shù)可能是隨機(jī)數(shù)����,字符串、或者是這些組合�, 等等。
在上述的實(shí)施例中�,MME根據(jù)KASME推演得到KeN^,目標(biāo)eNB再根據(jù)KeN^
推演得到KeNB����。另外一種做法是MME直接根據(jù)KASME推演得到KeNB,目標(biāo)eNB
直接利用此KeNB作為目標(biāo)基站上使用的KeNB進(jìn)行后續(xù)的密鑰衍生。
本發(fā)明實(shí)施例中的密鑰推演系統(tǒng)��,該系統(tǒng)包括存儲(chǔ)單元用于存儲(chǔ)密鑰 KASME;處理單元一用于根據(jù)密鑰KAs廳獲取密鑰KeNB*����。
上述密鑰推演系統(tǒng)進(jìn)一步包括發(fā)送單元用于發(fā)送密鑰KeNB氣 上述系統(tǒng)還可以進(jìn)一步包括處理單元二用于4艮據(jù)密鑰KeN^獲取密鑰
KeNB。
本發(fā)明的實(shí)施例中提供一種切換系統(tǒng)�����,該系統(tǒng)包括
第一eNB����、第二eNB和第三eNB和移動(dòng)管理實(shí)體MME;其中,第一eNB 和第二 eNB位于同一安全域���,當(dāng)切換時(shí)��,第一 eNB和第二 eNB直接進(jìn)行切換��; 第一 eNB和第三eNB位于不同安全域���,當(dāng)切換時(shí)��,第一 eNB通過(guò)MME和第 三eNB進(jìn)〗于切4灸�。
本發(fā)明的實(shí)施例中提供另一種切換系統(tǒng)�����,該系統(tǒng)包括第一演進(jìn)基站eNB�、 第二 eNB和第三eNB;其中���,第一 eNB和第二 eNB位于同 一安全域�����,第一 eNB 和第二 eNB之間配置X2接口 ���;第一 eNB和第三eNB位于不同安全域,第一eNB和第三eNB之間不配置X2接口 。
在上述實(shí)施例中�����,當(dāng)UE乂人一個(gè)不安全的eNB切換到安全的eNB時(shí)����,源 eNB和目標(biāo)eNB上的密鑰KeNB會(huì)相互獨(dú)立,這樣����,攻擊者無(wú)法利用源eNB 上的密鑰KeNB推演得到目標(biāo)eNB上的密鑰KeNB,從而保證了從不安全的 eNB切換到安全eNB的后向安全���。
明的精神和范圍�。這樣�����,倘若對(duì)本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求 及其等同技術(shù)的范圍之內(nèi)��,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)��。
權(quán)利要求
1��、一種切換方法,其特征在于�,該方法包括發(fā)起切換請(qǐng)求;根據(jù)密鑰KASME獲得切換后使用的密鑰KeNB��;執(zhí)行切換�����。
2�、 如權(quán)利要求1所述的切換方法,其特征在于����,所述根據(jù)密鑰Kasme荻 得切換后使用的密鑰KeNB具體為移動(dòng)管理實(shí)體MME根據(jù)所述的密鑰Kasme和保伍KeM^新鮮性的參數(shù)獲取密鑰KeNB*;MME發(fā)送所述的密鑰&^*給目標(biāo)演進(jìn)基站eNB; 目標(biāo)eNB根據(jù)所述密鑰K^^獲取所述密鑰KeNB。
3���、 如權(quán)利要求2所述的切換方法��,其特征在于,所述MME根據(jù)所述的密鑰KASME和保證KeNB承新鮮性的參數(shù)獲取密鑰&仰*之后進(jìn)一步包括MME通知目標(biāo)eNB所述的密鑰1^仰*是根據(jù)密鑰Kasme荻取���。
4���、 如權(quán)利要求1所述的切換方法�,其特征在于����,所述根據(jù)密鑰Kasme荻 得切換后使用的密鑰KeNB具體為MME根據(jù)所述的密鑰Kasme和保征KeNB新鮮性的參數(shù)獲取所述密鑰 KeNB;MME發(fā)送所述的密鑰KeNB給目標(biāo)eNB。
5����、 如權(quán)利要求2或4所述的切換方法,其特征在于��,所述根據(jù)密鑰KASME 獲得切換后使用的密鑰KeNB進(jìn)一步包括發(fā)送所述保證KeNB或KeN^新鮮性的參數(shù)給用戶(hù)設(shè)備��;用戶(hù)設(shè)備根據(jù)所述密鑰KASME和所述保證KeNB或KeN,新鮮性的參數(shù)獲取所述密鑰KeNB���。
6�、 如權(quán)利要求5所述的切換方法���,其特征在于�,所述用戶(hù)設(shè)備根據(jù)所述密鑰KASME和所述保證K^B或&柳*新鮮性的參數(shù)獲取所述密鑰Ke卵之前進(jìn)一步包括收到所述密鑰K^或KeN『是根據(jù)所述密鑰Kasme荻取的通知��。
7�、 如權(quán)利要求5所述的所述的切換方法,其特征在于�����,所述發(fā)送所述保證KeNB新鮮性的參數(shù)給用戶(hù)設(shè)備具體為發(fā)送用NAS密鑰保護(hù)的所述保證KeNB或KeN^新鮮性的參數(shù)給用戶(hù)設(shè)備。
8�、 如權(quán)利要求6所述的切換方法,其特征在于��,所述通知利用NAS密鑰進(jìn)行安全保護(hù)��。
9����、 一種切換方法,其特征在于����,該方法包括在同一安全域的演進(jìn)基站eNB間切換時(shí),所述eNB間直接進(jìn)行切換��; 在不同安全域的eNB間切換時(shí)����,根據(jù)密鑰KASME獲取所述密鑰KeNB,所 述eNB通過(guò)移動(dòng)管理實(shí)體MME進(jìn)行切換。
10��、 如權(quán)利要求9所述的切換方法��,其特征在于�����,該方法之前進(jìn)一步包括 劃分相同安全保護(hù)等級(jí)的eNB在相同安全域���。
11��、 如權(quán)利要求10所述的切換方法�,其特征在于�,該方法之前進(jìn)一步包括在相同安全保護(hù)等級(jí)的eNB間設(shè)置X2接口 。
12��、 一種密鑰推演系統(tǒng)���,其特征在于���,該系統(tǒng)包括 存儲(chǔ)單元用于存儲(chǔ)密鑰KAs廳;處理單元一用于根據(jù)密鑰KASME獲取密鑰KeNB*�����。
13�、 如權(quán)利要求12所述的密鑰推演系統(tǒng)���,其特征在于,所述系統(tǒng)進(jìn)一步 包括發(fā)送單元用于發(fā)送密鑰KeNB氣
14�、 如權(quán)利要求12所述的密鑰推演系統(tǒng),其特征在于����,所述系統(tǒng)進(jìn)一步 包括處理單元二用于根據(jù)密鑰K^^獲取密鑰KeNB。
15�����、 一種切換系統(tǒng)��,其特征在于����,該系統(tǒng)包括第一演進(jìn)基站eNB、第二eNB��、第三eNB和移動(dòng)管理實(shí)體MME;其中����,所述第一eNB和第二eNB位于同一安全域,當(dāng)切換時(shí),第一eNB 和第二 eNB直接進(jìn)行切換��;所述第一 eNB和第三eNB位于不同安全域���,當(dāng)切換時(shí),第一 eNB通過(guò) MME與第三eNB進(jìn)行切換�。
16、 一種切換系統(tǒng)�����,其特征在于���,該系統(tǒng)包括第一演進(jìn)基站eNB�����、第二eNB和第三eNB;其中����,所述第一 eNB和第二 eNB位于同一安全域���,第一 eNB和第二 eNB之間 配置X2^妄口��;所述第一 eNB和第三eNB位于不同安全域�����,第一 eNB和第三eNB之間 不配置X2接口��。
全文摘要
本發(fā)明提供一種切換的方法和系統(tǒng)�����,其中切換方法為發(fā)起切換請(qǐng)求����;根據(jù)密鑰K<sub>ASME</sub>獲得切換后使用的密鑰K<sub>eNB</sub>;執(zhí)行切換�。本發(fā)明還提供另一種切換方法,該方法為在同一安全域的eNB間切換時(shí)���,通過(guò)X2接口進(jìn)行切換����;在不同安全域的eNB間切換時(shí)����,根據(jù)密鑰K<sub>ASME</sub>獲取所述密鑰K<sub>eNB</sub>��,通過(guò)S1接口進(jìn)行切換����。通過(guò)上述切換方法�,使切換前后源eNB和目標(biāo)eNB上使用的密鑰K<sub>eNB</sub>獨(dú)立,提高系統(tǒng)切換的安全性�����。
文檔編號(hào)H04W12/00GK101516089SQ200810066090
公開(kāi)日2009年8月26日 申請(qǐng)日期2008年2月18日 優(yōu)先權(quán)日2008年2月18日
發(fā)明者彭華熹, 璟 陳 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司;華為技術(shù)有限公司