專利名稱:用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設(shè)置方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信領(lǐng)域,尤其涉及一種用于不同接入系統(tǒng)之間密鑰生 存計數(shù)器初始化設(shè)置的方法。
背景技術(shù):
3GPP ( 3rd Generation Partnership Project,第三代合作伙伴計劃)演進(jìn)的 分組系統(tǒng)(Evolved Packet System,簡稱EPS)由演進(jìn)的陸地?zé)o線4妄入網(wǎng) (Evolved UMTS Terrestrial Radio Access Network,筒稱EUTRAN)和EPS 核心網(wǎng)(Evolved Packet Core,簡稱EPC )組成。其中,EPC包含移動管理單元(MME, Mobility Management Entity), 移動管理單元負(fù)責(zé)移動性的管理、非接入層信令的處理、以及用戶安全模式 的管理等控制面相關(guān)工作。其中,MME保存EUTRAN的根密鑰KASME(Key Access Security Management Entity,接入安全管理實體秘鑰),以及由KASME 生成的非4妄入層完整性保護密鑰KNAS-int (Key Non Access Stratum integrity) 和才幾密性j呆護密鑰KNAS-ene ( Key Non Access Stratum encryption)。同時UE (User Equipment,用戶設(shè)備)也保存著這三個密鑰。UE和MME中還存在一個計數(shù)器COUNT-NAS,負(fù)責(zé)記錄已經(jīng)受到密鑰KNAS-int和KNAS.enc保護的NAS (Network Access Server,網(wǎng)絡(luò)接入月良務(wù)器)信令數(shù)量。COUNT_NAS 的值有兩個作用, 一個是用來做NAS層完整性保護和機密性保護的輸入?yún)?數(shù),另外一個是用來嚴(yán)格限制密鑰KASME的生存時間,當(dāng)COUNT.^s的值 到達(dá)運營商設(shè)定的門閥值,UE和網(wǎng)絡(luò)側(cè)將觸發(fā)新的認(rèn)證和密鑰協(xié)商機制 (AKA, Authentication and key agreement)來產(chǎn)生新的KASME,同時所有EPS 計數(shù)器置為0。在建立連接時,UE和MME使用START.NAS的值來記錄計 數(shù)器COUNT-NAS的高位有效值。UE使用START.NAS來初始化計數(shù)器 COUNT-nas,即將START-nas的值作為COUNT_NAS的高位有效比特位(MSB:Most Significance Bit,其具體位數(shù)由標(biāo)準(zhǔn)定義)的值即高位有效值,在斷開連 接時,UE使用COUNT.NAs的高位有效比特位的值更新START.NAs的值。3GPP UMTS (Universal Mobile Telecommunications System,通用移動通 信系統(tǒng))系統(tǒng)中負(fù)責(zé)移動性上下文的管理、和/或用戶安全模式的管理的設(shè) 備是SGSN (Serving GPRS Support Node,服務(wù)GPRS支持節(jié)點)。SGSN 還負(fù)責(zé)認(rèn)證UE,并且生成密鑰IK( Integrity Key,完整性密鑰),CK( Ciphering Key,加密密鑰)。3GPPUMTS系統(tǒng)的接入系統(tǒng)為UTRAN(UMTS Terrestrial Radio Access Network,無線接入網(wǎng))。同時UE也生成IK, CK。在PS域,UE使用計數(shù)器START記錄受到 密鑰IK和CK保護的信令數(shù)量,當(dāng)START的值到達(dá)設(shè)定的門閥值時,將觸 發(fā)UE和SGSN作新的AKA,產(chǎn)生新的IK, CK,同時START值置0,因 此在UMTS,計數(shù)器START是密鑰IK和CK的生存計數(shù)器,它嚴(yán)格限制了 密鑰的生存時間。在建立連接時,UE和RNC (無線網(wǎng)絡(luò)控制器,Radio Network Controller)或SGSN使用START的值用來初始化計數(shù)器COUNT-I 和COUNT-C的高位有效比特位的值,在斷開連接時,UE使用COUNT-I 和COUNT-C的高位有效比特位的值更新START的值。其中計數(shù)器 COUNT-I是記錄已受到演進(jìn)的陸地?zé)o線接入網(wǎng)的完整性密鑰IK保護的網(wǎng)絡(luò) 接入服務(wù)器信令數(shù)量的計數(shù)器,COUNT-C是記錄已受到演進(jìn)的陸地?zé)o線接 入網(wǎng)的加密密鑰IK保護的網(wǎng)絡(luò)接入服務(wù)器信令數(shù)量的計數(shù)器。UE從UTRAN移動到EUTRAN時,UE和MME使用IK和CK來產(chǎn) 生ICasme,同時使用COUNT拋s來做KLASME的生存計數(shù)器,IK和CK稱為 K^sME的父密鑰,JUsME則稱為CK, IK的子密鑰。當(dāng)UE從EUTRAN轉(zhuǎn) 移到UTRAN時,UE和SGSN/RNC使用K^sME來產(chǎn)生密鑰IK和CK,同 時使用START來限制CK, IK的生存時間,K^sME稱為IK和CK的父密鑰, IK和CK為KLASME的子密鑰。由于UE在UTRAN和EUTRAN之間進(jìn)行小區(qū)重選(TAU, Tracking Area Update)時,沒有強制要求重新使用AKA來進(jìn)行密鑰更新,由父密鑰產(chǎn)生 的子密鑰可能會繼續(xù)使用 一段時間。在現(xiàn)有技術(shù)中,在UTRAN和EUTRAN之間小區(qū)重選時,沒有對UE計數(shù)器進(jìn)行相互延續(xù)累加,而是直接將計數(shù)器初始值設(shè)置為0,以致TAU 后,密鑰的生存周期沒有包含其父密鑰的已生存時間,造成密鑰生存期被延 長的安全漏洞。發(fā)明內(nèi)容本發(fā)明提供一種用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設(shè)置 方法,以避免UE在UTRAN和EUTRAN間移動發(fā)起小區(qū)重選時,密鑰生 存期被延長的安全漏洞。為了解決上述技術(shù)問題,本發(fā)明還提供了 一種用于不同接入系統(tǒng)之間密 鑰生存計數(shù)器的初始化設(shè)置方法,其特征在于,用戶設(shè)備從演進(jìn)的陸地?zé)o線 接入網(wǎng)向陸地?zé)o線接入網(wǎng)移動,需進(jìn)行小區(qū)重選時,執(zhí)行以下步驟所述用戶設(shè)備決定小區(qū)重選到麗TS網(wǎng)絡(luò)時,將計數(shù)器COUNT-脇的高位 有效值至少加l作為計數(shù)器START的初始值,然后,發(fā)送小區(qū)重選請求給目 標(biāo)服務(wù)UMTS網(wǎng)絡(luò);其中,計數(shù)器START是陸地?zé)o線接入網(wǎng)的完整性密鑰IK和加密密鑰 CK的生存計數(shù)器,計數(shù)器COUNT.NAs是記錄已受到演進(jìn)的陸地?zé)o線接入網(wǎng)的非接入層完整性保護密鑰KNAS—iw和機密性保護密鑰KNAS—咖保護的網(wǎng)絡(luò)接入服務(wù)器信令數(shù)量的計數(shù)器。進(jìn)一步地,上述方法還可具有以下特點所述用戶設(shè)備是先將計數(shù)器COUNT.NAs的高位有效值至少加1后,賦 給計數(shù)器START_NAS,然后將計數(shù)器START的值初始化為計數(shù)器START_NAS 的值;其中計數(shù)器START_NAS是用于記錄計數(shù)器COUNT.NAS的高位有效值 的計數(shù)器。進(jìn)一步地,上述方法還可具有以下特點所述用戶設(shè)備是先將計數(shù)器COUNTS的高位有效值加2后,賦給計數(shù)器 START-NAS,即START=START_NAS=MSB ( C0麗T-脇)+2;然后將計數(shù)器START的值 初始化為計數(shù)器START ,的值,其中計數(shù)器START,是用于記錄計數(shù)器 COUNT,的高位有效值的計數(shù)器。進(jìn)一步地,上述方法還可具有以下特點所述目標(biāo)服務(wù)麗TS網(wǎng)絡(luò)收到所述用戶設(shè)備發(fā)送小區(qū)重選請求后,發(fā)送 上下文請求至源移動管理單元;所述源移動管理單元收到后,發(fā)送上下文響 應(yīng)到所述目標(biāo)服務(wù)UMTS網(wǎng)絡(luò);所述目標(biāo)服務(wù)UMTS網(wǎng)絡(luò)再向所述用戶設(shè)備發(fā) 送小區(qū)重選確認(rèn),通知其網(wǎng)絡(luò)已接受小區(qū)重選請求;所述用戶設(shè)備向所述目 標(biāo)移動管理單元發(fā)送小區(qū)重選完成消息,確認(rèn)小區(qū)重選已完成。進(jìn)一步地,上述方法還可具有以下特點所述用戶設(shè)備在小區(qū)重選完成后發(fā)起的RRC連接的過程中,所述用戶設(shè) 備和所述目標(biāo)服務(wù)UMTS網(wǎng)絡(luò)再用所述START值來初始化計數(shù)器COUNT-1 、 C0UNT-C,其中C0UNT-I是記錄已受到演進(jìn)的陸地?zé)o線接入網(wǎng)的完整性密鑰 IK保護的網(wǎng)絡(luò)接入服務(wù)器信令數(shù)量的計數(shù)器,COUNT-C是記錄已受到演進(jìn)的 陸地?zé)o線接入網(wǎng)的加密密鑰IK保護的網(wǎng)絡(luò)接入服務(wù)器信令數(shù)量的計數(shù)器。本發(fā)明所述方法,由于采用START和START.NAs進(jìn)行延續(xù),并用其來 初始化相關(guān)計數(shù)器,克服了現(xiàn)有技術(shù)中UE在UTRAN和EUTRAN之間TAU 時,密鑰使用周期被延長的安全缺陷。
圖1為本發(fā)明實施例UE從UTRAN移動到EUTRAN進(jìn)行TAU時,UE 計數(shù)器初始化設(shè)置方法的信令流程圖;圖2為本發(fā)明另 一 實施例UE從EUTRAN移動到UTRAN進(jìn)行TAU時, 計數(shù)器初始化設(shè)置方法的信令流程圖。
具體實施方式
本發(fā)明的構(gòu)思是UE在不同接入系統(tǒng)之間移動,需進(jìn)行小區(qū)重選時, 利用原接入系統(tǒng)中的START值,初始化目標(biāo)系統(tǒng)中的START值,并且在 建立連接時,使用目標(biāo)系統(tǒng)中的START值初始化目標(biāo)系統(tǒng)中的計數(shù)器。旨在提供一種在UE進(jìn)行UTRAN和EUTRAN之間的TAU后,計數(shù)器的初始化方法,使得子密鑰生命周期延續(xù)TAU前其父密鑰的生存時間,并 且在TAU成功后,繼續(xù)累加子密鑰的生存時間,從而避免子密鑰的生存時 間被延長。以下結(jié)合附圖和具體實施方式
對本發(fā)明所述技術(shù)方案進(jìn)行詳細(xì)描述。 第一實施例本實施例是UE在空閑狀態(tài)下,從UTRAN向EUTRAN移動,需進(jìn)行 小區(qū)重選時,對計數(shù)器進(jìn)行初始化設(shè)置的方法。其信令流程如圖l所示,包 括以下步驟步驟101: UE對START-NAs進(jìn)行初始化設(shè)置,令START—NAS= START, 然后使用START.Ms對COUNT.Ms進(jìn)行初始化設(shè)置;對COUNT-NAs進(jìn)行初始化設(shè)置時,即將START.NAS的值作為COUNT.NAS 的高位有效比特位的值,用公式可以表示為MSB(COUNT-NAS)=START-NAS, COUNT.NAs的其余比特位置為0。該步中UE還需使用IK和CK來生成KLasme, knas-int和k贏s-enc,因為需要在后續(xù)的TAU請求中使用該密鑰進(jìn)行完整性保護。步驟102: UE向目標(biāo)MME發(fā)TAU請求,同時將START.NAS發(fā)給目標(biāo) MME;步驟103:目標(biāo)MME向源SGSN發(fā)上下文請求,請求源SGSN傳送IK, CK等用戶信息;步驟104:源SGSN向目標(biāo)MME發(fā)上下文響應(yīng),將CK, IK等用戶相 關(guān)信息傳給目標(biāo)MME;步驟105:目標(biāo)MME4吏用START_NA^t COUNT.NAs進(jìn)行初始化設(shè)置;這里目標(biāo)MME也使用IK和CK來生成ICasme, KNAS.in^p KNAS.ene,用 于后續(xù)消息的加密保護。步驟106:目標(biāo)MME通知UE, TAU已被接受; 步驟107: UE發(fā)TAU完成消息,確認(rèn)TAU已完成。第二實施例本實施例是UE在空閑狀態(tài)下,從EUTRAN和UTRAN移動,需要進(jìn) 行TAU時,對計數(shù)器進(jìn)行初始化設(shè)置的方法。如圖2所示,包括以下步驟步驟201: UE決定小區(qū)重選到UMTS網(wǎng)絡(luò)時,用COUNT.NAS的值初始 化START和設(shè)置START_NAS ,即將COUNT_NAS的高位有效比特位的值(也 稱為高位有效值)加上2 (這里也可以加不少于1的其他整數(shù))后賦給 START-nas ,可表示為START-NAS= MSB 20 ( COUNT-NAS) +2,同時對START 進(jìn)行初始化,START=START—NAS;步驟202: UE發(fā)TAU請求到目標(biāo)SGSN;步驟203:目標(biāo)SGSN發(fā)上下文請求至源MME;步驟204 :源MME發(fā)上下文響應(yīng)到目標(biāo)SGSN;步驟205:目標(biāo)SGSN向UE發(fā)送小區(qū)重選確認(rèn),通知UE網(wǎng)絡(luò)已接受 TAU;步驟206: UE發(fā)TAU完成確認(rèn)消息。在小區(qū)重選時,SGSN不對START進(jìn)行初始化設(shè)置,在UE發(fā)起RRC 連接后,UE和SGSN再用START值初始化COUNT-I、 COUNT-C。從上述描述中,由于采用START和START-NAS進(jìn)行延續(xù),并用其來初 始化相關(guān)計數(shù)器,克服了現(xiàn)有技術(shù)中UE在UTRAN和EUTRAN之間TAU 時,密鑰使用周期被延長的安全缺陷。以上所述僅為本發(fā)明的實施例而已,并不用于限制本發(fā)明,對于本領(lǐng)域 的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則 之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的權(quán)利要求 范圍之內(nèi)。
權(quán)利要求
1. 一種用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設(shè)置方法,其特征在于,用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)向陸地?zé)o線接入網(wǎng)移動,需進(jìn)行小區(qū)重選時,執(zhí)行以下步驟所述用戶設(shè)備決定小區(qū)重選到UMTS網(wǎng)絡(luò)時,將計數(shù)器COUNT-NAS的高位有效值至少加1作為計數(shù)器START的初始值,然后,發(fā)送小區(qū)重選請求給目標(biāo)服務(wù)UMTS網(wǎng)絡(luò);其中,計數(shù)器START是陸地?zé)o線接入網(wǎng)的完整性密鑰IK和加密密鑰CK的生存計數(shù)器,計數(shù)器COUNT-NAS是記錄已受到演進(jìn)的陸地?zé)o線接入網(wǎng)的非接入層完整性保護密鑰KNAS-int和機密性保護密鑰KNAS-enc保護的網(wǎng)絡(luò)接入服務(wù)器信令數(shù)量的計數(shù)器。
2、 如權(quán)利要求1所述的初始化設(shè)置方法,其特征在于所述用戶設(shè)備是先將計數(shù)器COUNT,s的高位有效值至少加l后,賦給計 數(shù)器START-nas,然后將計數(shù)器START的值初始化為計數(shù)器START鵬的值;其 中計數(shù)器START,s是用于記錄計數(shù)器COUNTS的高位有效值的計數(shù)器。
3、 如權(quán)利要求1所述的初始化設(shè)置方法,其特征在于所述用戶設(shè)備是先將計數(shù)器C0UNT-NAS的高位有效值加2后,賦給計數(shù)器 START-脇,即START=START—NAS=MSB ( C0UNT—NAS) +2;然后將計數(shù)器START的值 初始化為計數(shù)器START NAs的值,其中計數(shù)器START-NAS是用于記錄計數(shù)器 COUNT,的高位有效值的計數(shù)器。
4、 如權(quán)利要求l、 2或3所述的初始化設(shè)置方法,其特征在于所述目標(biāo)服務(wù)UMTS網(wǎng)絡(luò)收到所述用戶設(shè)備發(fā)送小區(qū)重選請求后,發(fā)送 上下文請求至源移動管理單元;所述源移動管理單元收到后,發(fā)送上下文響 應(yīng)到所述目標(biāo)服務(wù)麗TS網(wǎng)絡(luò);所述目標(biāo)服務(wù)UMTS網(wǎng)絡(luò)再向所述用戶設(shè)備發(fā) 送小區(qū)重選確認(rèn),通知其網(wǎng)絡(luò)已接受小區(qū)重選請求;所述用戶設(shè)備向所述目 標(biāo)移動管理單元發(fā)送小區(qū)重選完成消息,確i人小區(qū)重選已完成。
5、如權(quán)利要求l、 2或3所述的初始化設(shè)置方法,其特征在于所述用戶設(shè)備在小區(qū)重選完成后發(fā)起的RRC連接的過程中,所述用戶設(shè) 備和所述目標(biāo)服務(wù)UMTS網(wǎng)絡(luò)再用所述START值來初始化計數(shù)器C0UNT-I、 COUNT-C,其中COUNT-1是記錄已受到演進(jìn)的陸地?zé)o線接入網(wǎng)的完整性密鑰 IK保護的網(wǎng)絡(luò)接入服務(wù)器信令數(shù)量的計數(shù)器,COUNT-C是記錄已受到演進(jìn)的 陸地?zé)o線接入網(wǎng)的加密密鑰IK保護的網(wǎng)絡(luò)接入服務(wù)器信令數(shù)量的計數(shù)器。
全文摘要
一種用于不同接入系統(tǒng)之間密鑰生存計數(shù)器的初始化設(shè)置方法,用戶設(shè)備從演進(jìn)的陸地?zé)o線接入網(wǎng)向陸地?zé)o線接入網(wǎng)移動,需進(jìn)行小區(qū)重選時,執(zhí)行以下步驟所述用戶設(shè)備決定小區(qū)重選到UMTS網(wǎng)絡(luò)時,將計數(shù)器COUNT<sub>-NAS</sub>的高位有效值至少加1作為計數(shù)器START的初始值,然后,發(fā)送小區(qū)重選請求給目標(biāo)服務(wù)UMTS網(wǎng)絡(luò);其中,計數(shù)器START是陸地?zé)o線接入網(wǎng)的完整性密鑰IK和加密密鑰CK的生存計數(shù)器,計數(shù)器COUNT<sub>-NAS</sub>是記錄已受到演進(jìn)的陸地?zé)o線接入網(wǎng)的非接入層完整性保護密鑰K<sub>NAS-int</sub>和機密性保護密鑰K<sub>NAS-enc</sub>保護的網(wǎng)絡(luò)接入服務(wù)器信令數(shù)量的計數(shù)器。本發(fā)明可以避免UE在UTRAN和EUTRAN間移動發(fā)起小區(qū)重選時,密鑰生存期被延長的安全漏洞。
文檔編號H04Q7/38GK101267670SQ20081006680
公開日2008年9月17日 申請日期2008年4月15日 優(yōu)先權(quán)日2008年4月15日
發(fā)明者張旭武, 露 甘 申請人:中興通訊股份有限公司