專利名稱:Rnc切換中的密鑰設(shè)置方法及無(wú)線網(wǎng)絡(luò)控制器���、終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種RNC切換中的密鑰設(shè)置方法及無(wú)線網(wǎng)絡(luò)控制器、終端�。
背景技術(shù):
在UMTS (Universal Mobile Telecommunications System,通用移動(dòng)通信系統(tǒng)) 中��,隨著HSPA (High Speed Packet Access�,高速包接入)技術(shù)的采用,3GPP標(biāo)準(zhǔn)提出了對(duì) HSPA+也即HSPA演進(jìn)的研究����,3GPP安全組為了對(duì)HSPA+扁平架構(gòu)演進(jìn)后的系統(tǒng)安全性進(jìn)行改進(jìn),也開(kāi)始了 UTRAN(UniversalTerrestrial Radio Access Network����,通用陸地移動(dòng)接入網(wǎng))密鑰增強(qiáng)的研究項(xiàng)目。該研究項(xiàng)目的目的是將E-UTRAN的密鑰架構(gòu)引入到HSPA+網(wǎng)絡(luò)����,實(shí)現(xiàn)HSPA+跟E-UTRAN相同的安全等級(jí)��。在HSPA+網(wǎng)絡(luò)中���,增強(qiáng)的RNC(RadioNetwork Controller,無(wú)線網(wǎng)絡(luò)控制器)也即RNC+��,與傳統(tǒng)的RNC相比��,同樣需要有相應(yīng)的安全機(jī)制保證RNC本身以及所處的HSPA網(wǎng)絡(luò)的安全���,不同的是增強(qiáng)的RNC具有更強(qiáng)的功能����,可以支持傳統(tǒng)RNC所不能支持的UTRAN密鑰層次(UKH)�����。在現(xiàn)有技術(shù)UE未參與的SRNS Relocation流程中��,在切換至目標(biāo)RNC后UE不知采用何種密鑰對(duì)第一條下行RRC消息進(jìn)行解密���,從而無(wú)法實(shí)現(xiàn)目標(biāo)RNC與UE之間的信息交互。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種RNC切換中的密鑰設(shè)置方法及無(wú)線網(wǎng)絡(luò)控制器、終端����,能夠在切換后實(shí)現(xiàn)目標(biāo)RNC與UE之間的信息交互。為了解決上述技術(shù)問(wèn)題����,本發(fā)明實(shí)施例的技術(shù)方案如下本發(fā)明實(shí)施例提供了一種RNC切換中的密鑰設(shè)置方法,在源RNC執(zhí)行UE未參與的 SRNS Relocation流程時(shí)�����,所述方法包括目標(biāo)RNC接收源RNC發(fā)送的密鑰�,所述密鑰根據(jù)所述源RNC使用的密鑰推衍獲得;所述目標(biāo)RNC根據(jù)所述源RNC發(fā)送的密鑰對(duì)第一下行RRC消息進(jìn)行加密���,并向UE 發(fā)送加密后的第一下行RRC消息���,所述加密后的第一下行RRC消息中包含所述目標(biāo)RNC支持通用陸地移動(dòng)接入網(wǎng)密鑰層次UKH的信息,以使得所述UE接收所述加密后的第一下行 RRC消息后�,向所述目標(biāo)RNC發(fā)送上行RRC消息,所述上行RRC消息中包含所述UE支持UKH 的信息����,所述UE采用根據(jù)在所述源RNC使用的密鑰推衍獲得的密鑰���,對(duì)接收到的所述加密后的第一下行RRC消息進(jìn)行解密;所述目標(biāo)RNC接收UE發(fā)送的上行RRC消息�,所述上行RRC消息中包含所述UE支持MH的信息;所述目標(biāo)RNC獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至所述UE�����。本發(fā)明實(shí)施例還提供了另一種RNC切換中的密鑰設(shè)置方法��,在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí)��,所述方法包括
所述UE接收目標(biāo)RNC發(fā)送的第一下行無(wú)線資源控制RRC消息�����,所述RRC消息采用所述源RNC發(fā)送的密鑰加密獲得的��,所述第一下行RRC消息中包含所述目標(biāo)RNC支持通用陸地移動(dòng)接入網(wǎng)密鑰層次UKH的信息���;所述UE采用根據(jù)在所述源RNC使用的密鑰進(jìn)行密鑰推衍獲得的密鑰,對(duì)所述第一下行RRC消息進(jìn)行解密�����;所述UE向所述目標(biāo)RNC發(fā)送上行RRC消息,所述上行RRC消息中包含所述UE支持MH的信息��;所述UE接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息�����,并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密�����。本發(fā)明實(shí)施例還提供了一種無(wú)線網(wǎng)絡(luò)控制器���,包括密鑰接收單元����,用于在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí)�,接收源 RNC發(fā)送的密鑰,所述密鑰根據(jù)所述源RNC使用的密鑰推衍獲得���;第一加密單元�,用于根據(jù)所述源RNC發(fā)送的密鑰對(duì)第一下行RRC消息進(jìn)行加密��,并向UE發(fā)送加密后的第一下行RRC消息�,所述加密后的第一下行RRC消息中包含所述無(wú)線網(wǎng)絡(luò)控制器支持通用陸地移動(dòng)接入網(wǎng)密鑰層次UKH的信息�,以使得所述UE接收所述加密后的第一下行RRC消息后���,向所述無(wú)線網(wǎng)絡(luò)控制器發(fā)送上行RRC消息����,所述上行RRC消息中包含所述UE支持UKH的信息��,所述UE采用根據(jù)在所述源RNC使用的密鑰推衍獲得的密鑰�,對(duì)接收到的所述加密后的第一下行RRC消息進(jìn)行解密;消息接收單元�����,用于接收UE發(fā)送的上行RRC消息�����,所述上行RRC消息中包含所述 UE支持UKH的信息����;第二加密單元,用于獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至所述UE����。本發(fā)明實(shí)施例還提供了一種UE,包括消息接收模塊���,用于在源RNC執(zhí)行所述UE未參與的SRNS Relocation流程時(shí)����,接收目標(biāo)RNC發(fā)送的第一下行無(wú)線資源控制RRC消息����,所述RRC消息采用所述源RNC發(fā)送的密鑰加密獲得的,所述第一下行RRC消息中包含所述目標(biāo)RNC支持通用陸地移動(dòng)接入網(wǎng)密鑰層次UKH的信息�����;第一解密模塊���,用于采用根據(jù)在所述源RNC使用的密鑰進(jìn)行密鑰推衍獲得的密鑰對(duì)所述第一下行RRC消息進(jìn)行解密�����;消息發(fā)送模塊���,用于向所述目標(biāo)RNC發(fā)送上行RRC消息,所述上行RRC消息中包含所述UE支持UKH的信息���;第二解密模塊�,用于接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息,并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密�����。本發(fā)明實(shí)施例首先通過(guò)在執(zhí)行UE未參與RNC間切換流程時(shí)����,目標(biāo)RNC無(wú)論是否支持UKH均采用源RNC發(fā)送的密鑰對(duì)發(fā)送至UE的下行RRC消息進(jìn)行加密,UE根據(jù)約定采用自己推衍的相同的密鑰對(duì)該RRC消息進(jìn)行解密����,實(shí)現(xiàn)了目標(biāo)RNC與UE之間的信息交互;進(jìn)而目標(biāo)RNC與UE通過(guò)intra-SRNSRelocation流程等計(jì)算獲得新的密鑰�,實(shí)現(xiàn)了目標(biāo)RNC所采用的密鑰與源RNC所采用的密鑰的隔離,從而提高了 UE與目標(biāo)RNC信息交互的安全性���。
6
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖��。圖1是現(xiàn)有技術(shù)中UE未參與的SRNS Relocation流程的示意圖��;圖2是現(xiàn)有技術(shù)中一種在RNC切換時(shí)的密鑰設(shè)置方法流程圖�����;圖3A是本發(fā)明實(shí)施例一種RNC切換中的密鑰設(shè)置方法流程圖��;圖;3B是本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖�����;圖4是本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖����;圖5是本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖;圖6是本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖;圖7是本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖����;圖8是本發(fā)明實(shí)施例一種RNC的結(jié)構(gòu)示意圖;圖9是本發(fā)明實(shí)施例另一種RNC的結(jié)構(gòu)示意圖�����;圖10是本發(fā)明實(shí)施例另一種RNC的結(jié)構(gòu)示意圖����;圖11是本發(fā)明實(shí)施例一種UE的結(jié)構(gòu)示意圖;圖12是本發(fā)明實(shí)施例另一種UE的結(jié)構(gòu)示意圖����;圖13是本發(fā)明實(shí)施例另一種UE的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為了使本領(lǐng)域技術(shù)人員能進(jìn)一步了解本發(fā)明的特征及技術(shù)內(nèi)容�����,請(qǐng)參閱以下有關(guān)本發(fā)明的詳細(xì)說(shuō)明與附圖�����,附圖僅提供參考與說(shuō)明����,并非用來(lái)限制本發(fā)明�。在現(xiàn)有技術(shù)中���,當(dāng)終端UE發(fā)生重定向時(shí)�����,也即由源RNC切換至目標(biāo)RNC時(shí),對(duì)于UE 未參與的 SRNS Relocation (Serving Radio Network SubsystemRelocation�����,服務(wù)無(wú)線網(wǎng)絡(luò)子系統(tǒng)重定位)流程如圖1所示�,包括如下步驟步驟101,源RNC發(fā)起UE未參與的SRNS Relocation流程�。步驟102,源RNC基于自己使用的密鑰CKu/IKu計(jì)算新的密鑰CKul/IKul�����,并將重定向請(qǐng)求消息通過(guò)源SGSN(SERVICING GPRS SUPP0RTN0DE���,GPRS服務(wù)支持節(jié)點(diǎn))和目標(biāo) SGSN轉(zhuǎn)發(fā)至目標(biāo)RNC��。其中���,該重定向請(qǐng)求消息中包含新的密鑰CKul/IKul�。CKu是加密密鑰��,IKu是完整性保護(hù)密鑰�。其中CKu/IKu是基于KRNC推演得到的,KRNC是通過(guò)基于UE和核心網(wǎng)CN運(yùn)行 AKA(認(rèn)證和密友協(xié)商)后得到的CK/IK推演得到的���,例如��,KRNC = KDFl (CK/IK��,NONCE 1, N0NCE2), IKu = KDF2 (KRNC, Parameter, int—alg—ID)��,CKu = KDF3(KRNC, Parameter, enc-alg-ID)���,其中KDF是一個(gè)密鑰推演函數(shù),N0NCE1和N0NCE2可以是是兩個(gè)新鮮的參數(shù)例如兩個(gè)隨機(jī)數(shù)�,Parameter可以是一個(gè)隨機(jī)數(shù)也可以是目標(biāo)小區(qū)的物理標(biāo)識(shí),int-alg-ID 和enc-alg-ID是完整性保護(hù)算法標(biāo)識(shí)和加密算法標(biāo)識(shí)�。當(dāng)然,KRNC和CKu/IKu還可以通過(guò)其他方式推演����,此處不——列出���。CKul/IKul是基于CKu/IKu推演的,例如�,IKul = KDF4 (IKu, Parameter), CKu = KDF5 (CKu, Parameter)。步驟103�����,目標(biāo)RNC通過(guò)目標(biāo)SGSN和源SGSN向源RNC返回重定向請(qǐng)求確認(rèn)消息�,并且�,如果目標(biāo)RNC支持UKH,目標(biāo)RNC會(huì)計(jì)算新的密鑰CKu2/IKu2���。其中CKu2/IKu2可以基于如下方式推演����,例如���,IKu2 = KDF6(IKul, Parameter, int-alg-ID), CKu2 = KDF7 (CKul, Parameter, enc-alg-ID)��,或者 IKu2 = KDF6(KRNC*����, Parameter, int-alg-ID),CKu2 = KDF7 (KRNC*, Parameter, enc-alg-ID)����,KRNC氺=KDF8 (CK, IK, KRNC,Parameter)���。步驟104��,源RNC向目標(biāo)RNC進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)�����,并發(fā)送重定向提交消息����,完成源RNC向目標(biāo)RNC的切換���。步驟105�,目標(biāo)RNC向UE發(fā)送第一條下行RRC(Radio Resource Control����,無(wú)線資源控制協(xié)議)消息����。其中�,如果目標(biāo)RNC為傳統(tǒng)RNC,則會(huì)采用源RNC發(fā)送的密鑰CKul/IKul 對(duì)該下行RRC消息進(jìn)行加密��,如果目標(biāo)RNC為增強(qiáng)的RNC���,則會(huì)采用計(jì)算的密鑰CKu2/IKu2 對(duì)該下行RRC消息進(jìn)行加密����。該RRC下行消息中還攜帶有目標(biāo)RNC是否支持UKH的信息�, 該信息也同樣被加密。UE接收到該第一條下行RRC消息后����,需要對(duì)該消息進(jìn)行解密����,然后向目標(biāo)RRC發(fā)送上行RRC消息。然而�����,由于第一條下行RRC消息被加密,UE無(wú)法獲知目標(biāo)RNC是否支持 UKH�,進(jìn)而UE無(wú)法獲知是采用密鑰CKul/IKul,還是采用密鑰CKu2/IKu2對(duì)下行RRC消息進(jìn)行解密�����,進(jìn)而無(wú)法實(shí)現(xiàn)目標(biāo)RNC與UE間的信息交互�。基于此����,現(xiàn)有技術(shù)中提出一種在RNC切換時(shí)的密鑰設(shè)置方法,如圖2所示�����,包括以下步驟步驟201��,UE在源RNC發(fā)起傳統(tǒng)的SRNS Relocation流程�����。其中����,在傳統(tǒng)的SRNS Relocation流程中源RNC會(huì)將自己使用的密鑰直接發(fā)送至目標(biāo)RNC���。步驟202,源RNC發(fā)送重定向請(qǐng)求消息至目標(biāo)RNC�,該消息中包括源RNC使用的密鑰 CKu/IKu。步驟203��,目標(biāo)RNC返回重定向請(qǐng)求確認(rèn)消息�,進(jìn)而完成源RNC至目標(biāo)RNC的切換。步驟204�����,目標(biāo)RNC與UE采用密鑰CKu/IKu進(jìn)行信息交互�。無(wú)論UE是否參與該傳統(tǒng)SRNS Relocation流程,UE均可以采用UE根據(jù)已知的密鑰CKu/IKu實(shí)現(xiàn)與目標(biāo)RNC之間的信息交互�。步驟205,UE在目標(biāo)RNC發(fā)起UE參與的intra-SRNS Relocation(內(nèi)部服務(wù)無(wú)線網(wǎng)絡(luò)子系統(tǒng)重定位)流程��。其中intra-SRNS Relocation流程與SRNSRelocation流程的區(qū)別僅在于��,intra-SRNS Relocation流程中源RNC與目標(biāo)RNC為同一個(gè)RNC��。如果UE和目標(biāo)RNC均支持UKH�,則目標(biāo)RNC和UE會(huì)計(jì)算新的密鑰CKu3/IKu3��。步驟206,目標(biāo)RNC與UE采用新的密鑰CKu3/IKu3進(jìn)行信息交互��。由于UE參與了該intra-SRNS Relocation流程���,目標(biāo)RNC發(fā)送至UE的第一條下行RRC消息不會(huì)進(jìn)行加密����,之后�,目標(biāo)RNC向UE發(fā)送其它下行消息,會(huì)采用CKu3/IKu3進(jìn)行加密�����,UE采用CKu3/IKu3對(duì)其進(jìn)行解密��。雖然通過(guò)首先發(fā)起傳統(tǒng)的SRNS Relocation流程切換至目標(biāo)RNC����,解決了 UE不知采用何種密鑰對(duì)第一條下行RRC消息進(jìn)行解密的問(wèn)題,實(shí)現(xiàn)了目標(biāo)RNC與UE之間的信息交互�,但是,由于后續(xù)UE與目標(biāo)RNC所采用的密鑰與源RNC使用的密鑰之間只是進(jìn)行了一次更新��,使得UE與目標(biāo)RNC信息交互的安全性較低?���;诖耍景l(fā)明實(shí)施例提供了一種新的 RNC切換中的密鑰設(shè)置方法����,下面結(jié)合附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案進(jìn)行描述��。
8
參見(jiàn)圖3A����,為本發(fā)明實(shí)施例一種RNC切換中的密鑰設(shè)置方法流程圖。該方法可以包括步驟301A����,在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí),目標(biāo)RNC接收源 RNC發(fā)送的密鑰���。源RNC發(fā)送的密鑰是根據(jù)源RNC使用的密鑰推衍獲得的�����。步驟302A��,目標(biāo)RNC根據(jù)源RNC發(fā)送的密鑰對(duì)第一下行RRC消息進(jìn)行加密�。在由源RNC執(zhí)行SRNS Relocation流程����,切換至目標(biāo)RNC之后,目標(biāo)RNC向UE下發(fā)第一條下行RRC消息�,該消息中可以包含目標(biāo)RNC支持UKH的信息。具體的�����,可以通過(guò)在該 RRC消息中增加一個(gè)新的IE說(shuō)明目標(biāo)RNC是否支持UKH��,這個(gè)IE可以是一個(gè)比特指示RNC 是否支持UKH也可以是一個(gè)新的參數(shù)�,這個(gè)新的IE能夠被增強(qiáng)的UE識(shí)別但是傳統(tǒng)的UE將忽略這個(gè)IE。其中�,目標(biāo)RNC無(wú)論是否支持UKH,均直接采用源RNC發(fā)送給目標(biāo)RNC的密鑰對(duì)該第一條下行RRC消息進(jìn)行加密�,而并非另外計(jì)算新的密鑰,該源RNC發(fā)送來(lái)的密鑰是源RNC 根據(jù)自身使用的密鑰推衍獲得的密鑰�����。UE根據(jù)預(yù)先的約定�����,只要接收到第一條下行RRC消息,就采用UE自己根據(jù)在源 RNC使用的密鑰進(jìn)行推衍所獲得的密鑰對(duì)該消息進(jìn)行解密�。UE推衍獲得密鑰的方法與源 RNC推衍獲得密鑰的方法相同。其中���,UE自身保存的與源RNC相同的在源RNC使用的密鑰�����, UE和源RNC具有的相同的密鑰推演函數(shù)KDF�,UE能夠獲得的與源RNC相同的推演新密鑰的其它參數(shù)可能的隨機(jī)數(shù)等步驟303A���,目標(biāo)RNC接收UE發(fā)送的上行RRC消息���。UE對(duì)下行RRC消息解密后即可獲知目標(biāo)RNC支持UKH的能力,并向目標(biāo)RNC發(fā)送第一條上行RRC消息��,同樣采用根據(jù)源RNC使用的密鑰進(jìn)行推衍所獲得的密鑰進(jìn)行加密��,該消息中表明了 UE支持UKH的能力��,以使目標(biāo)RNC和UE雙方均可獲知對(duì)方支持UKH����。具體的��,可以通過(guò)在該RRC消息中增加一個(gè)新的IE說(shuō)明UE是否支持UKH,這個(gè)IE可以是一個(gè)比特指示UE是否支持UKH也可以是一個(gè)新的參數(shù)��,這個(gè)新的IE能夠被增強(qiáng)的RNC識(shí)別但是傳統(tǒng)的RNC將忽略這個(gè)IE��。步驟304A�,目標(biāo)RNC獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至UE。在目標(biāo)RNC和UE均支持UKH的條件下���,目標(biāo)RNC和UE可以進(jìn)一步執(zhí)行intra-SRNS Relocation流程或RAU過(guò)程等��,對(duì)目標(biāo)RNC和UE之間使用的密鑰進(jìn)行進(jìn)一步計(jì)算和更新�, 以獲得新密鑰�,提高UE與目標(biāo)RNC之間信息交互的安全性。在獲得新密鑰后��,目標(biāo)RNC和 UE之間可采用新密鑰進(jìn)行信息交互��,即目標(biāo)RNC采用新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至UE�����,UE采用新密鑰對(duì)第二下行RRC消息進(jìn)行解密,然后UE向目標(biāo)RNC發(fā)送采用新密鑰加密后的第二上行RRC消息�����。其中�����,第二上����、下行RRC消息僅是為了區(qū)分前述步驟中的第一上、下行RRC消息���,并非特指第二條上���、下行RRC消息。此處的第一 RRC消息是指Relocation過(guò)程中RNC發(fā)送的第一條下行RRC消息以及UE發(fā)送的第一條上行RRC消息����,除了這兩條RRC消息外,其它RRC消息都可以成為第二 RRC消息�。本發(fā)明實(shí)施例首先通過(guò)在執(zhí)行UE未參與RNC間切換流程時(shí),目標(biāo)RNC無(wú)論是否支持UKH均采用源RNC發(fā)送的密鑰對(duì)發(fā)送至UE的第一條下行RRC消息進(jìn)行加密�����,UE根據(jù)約定采用自己推衍的相同的密鑰對(duì)該RRC消息進(jìn)行解密,實(shí)現(xiàn)了目標(biāo)RNC與UE之間的信息交互���;進(jìn)而目標(biāo)RNC與UE再次計(jì)算獲得新的密鑰�,以采用新的密鑰進(jìn)行信息交互�����,實(shí)現(xiàn)了目標(biāo) RNC所采用的密鑰與源RNC所采用的密鑰的隔離���,從而提高了 UE與目標(biāo)RNC信息交互的安全性。參見(jiàn)圖:3B�����,為本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖�。該方法可以包括步驟30IB,在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí)����,UE接收目標(biāo)RNC 發(fā)送的采用源RNC發(fā)送的密鑰加密的第一下行RRC消息。源RNC執(zhí)行UE未參與的SRNS Relocation流程����,在由源RNC切換至目標(biāo)RNC之后���, UE接收目標(biāo)RNC向其下發(fā)的第一條下行RRC消息,該消息中可以包含目標(biāo)RNC支持UKH的信息����,該RRC消息由目標(biāo)RNC采用源RNC發(fā)送的密鑰進(jìn)行加密,源RNC發(fā)送的密鑰是根據(jù)源 RNC使用的密鑰推衍獲得的��。 步驟302B���,UE采用根據(jù)在源RNC使用的密鑰進(jìn)行密鑰推衍獲得的密鑰對(duì)第一下行 RRC消息進(jìn)行解密���。UE在接收到該消息后,根據(jù)約定直接采用UE自己根據(jù)在源RNC使用的密鑰進(jìn)行推衍所獲得的密鑰對(duì)該消息進(jìn)行解密��,其中�,UE推衍獲得密鑰的方法與源RNC推衍獲得密鑰的方法相同。步驟30 �,UE向目標(biāo)RNC發(fā)送上行RRC消息。該消息中可以包含UE支持UKH的信息��。步驟304B,UE接收目標(biāo)RNC發(fā)送的第二下行RRC消息���,并采用獲取的新密鑰對(duì)第二下行RRC消息進(jìn)行解密��。若UE支持UKH�����,并根據(jù)下行RRC消息獲知目標(biāo)RNC也支持UKH之后��,UE可以進(jìn)一步發(fā)起intra-SRNS Relocation流程或RAU過(guò)程等�����,計(jì)算獲得的新密鑰,后續(xù)采用該新密鑰與目標(biāo)RNC進(jìn)行交互信息���,以提高UE與目標(biāo)RNC之間信息交互的安全性�。新密鑰的具體計(jì)算方法請(qǐng)參照后續(xù)實(shí)施例的描述�����。本發(fā)明實(shí)施例首先通過(guò)在執(zhí)行UE未參與RNC間切換流程時(shí)�,目標(biāo)RNC無(wú)論是否支持UKH均采用源RNC發(fā)送的密鑰對(duì)發(fā)送至UE的第一條下行RRC消息進(jìn)行加密,UE根據(jù)約定采用自己推衍的相同的密鑰對(duì)該RRC消息進(jìn)行解密,實(shí)現(xiàn)了目標(biāo)RNC與UE之間的信息交互�;進(jìn)而目標(biāo)RNC與UE再次計(jì)算獲得新的密鑰,以采用新的密鑰進(jìn)行信息交互�����,實(shí)現(xiàn)了目標(biāo) RNC所采用的密鑰與源RNC所采用的密鑰的隔離���,從而提高了 UE與目標(biāo)RNC信息交互的安全性��。參見(jiàn)圖4�,為本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖�����。本實(shí)施例中�,通過(guò)在UE未參與的SRNS Relocation流程中,目標(biāo)RNC采用源RNC發(fā)送的密鑰對(duì)第一條下行RRC進(jìn)行加密�,使得UE可以采用相同的密鑰進(jìn)行解密,實(shí)現(xiàn)了目標(biāo) RNC與UE的信息交互�,進(jìn)而通過(guò)執(zhí)行UE參與的intra-SRNS Relocation流程,更新了目標(biāo) RNC與UE之間使用的密鑰����,實(shí)現(xiàn)了源RNC與目標(biāo)RNC之間密鑰的隔離。該方法可以包括步驟401,源RNC發(fā)起UE未參與的SRNS Relocation流程�����。 UE在源RNC使用密鑰CKu/IKu進(jìn)行加密和完整性保護(hù)�����。源RNC發(fā)起由源RNC切換至目標(biāo)RNC的UE未參與的SRNS Relocation流程����。
步驟402,源RNC發(fā)送重定向請(qǐng)求消息至目標(biāo)RNC��,該消息中包括密鑰CKu’/IKu’�����。其中�����,密鑰CKu’ /IKu'是源RNC基于自己使用的密鑰CKu/IKu推衍獲得的�����。具體的推衍過(guò)程與實(shí)施例一相同�����,可以是IKu���,= KDF4(IKu, Parameter), CKu���,= KDF5 (CKu, Parameter)。具體的�,源RNC可以首先向源SGSN發(fā)送重定向請(qǐng)求消息,由源SGSN向目標(biāo)SGSN 轉(zhuǎn)發(fā)該請(qǐng)求消息�,然后再由目標(biāo)SGSN向目標(biāo)RNC轉(zhuǎn)發(fā)該請(qǐng)求消息。上述轉(zhuǎn)發(fā)過(guò)程為現(xiàn)有技術(shù)此處不再贅述�����。步驟403���,目標(biāo)RNC返回重定向請(qǐng)求確認(rèn)消息�����,完成源RNC到目標(biāo)RNC的切換���。具體的�,目標(biāo)RNC可以向目標(biāo)SGSN回復(fù)重定向請(qǐng)求確認(rèn)消息�����,由目標(biāo)SGSN向源 SGSN回復(fù)重定向響應(yīng)消息�,源SGSN向源RNC發(fā)送重定向命令消息,源RNC向目標(biāo)RNC進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)���,并發(fā)送重定向提交消息�,從而完成源RNC到目標(biāo)RNC的切換�。此過(guò)程為現(xiàn)有技術(shù), 此處不再贅述���。步驟404�,目標(biāo)RNC向UE發(fā)送第一條下行RRC消息�����,并對(duì)該消息采用密鑰CKu’ / IKu�,進(jìn)行加密�。在本實(shí)施例中���,無(wú)論目標(biāo)RNC是否支持UKH,都采用源RNC發(fā)送來(lái)的密鑰CKu’ / IKu’對(duì)第一條RRC消息進(jìn)行加密和完整性保護(hù)����,加密和完整性保護(hù)時(shí)分別以CKu’和IKu’ 以及其它的在UE和目標(biāo)RNC之間都有的相同的參數(shù)作為輸入對(duì)該消息進(jìn)行加密和完整性保護(hù)。步驟405��,UE采用密鑰CKu�����,/IKu�,對(duì)第一條下行RRC消息進(jìn)行解密。UE自己根據(jù)在源RNC使用的密鑰進(jìn)行推衍��,即可獲知密鑰CKu’/IKu’���,然后根據(jù)預(yù)先約定���,只要接收到第一條下行RRC消息,就直接采用密鑰CKuVlKu’對(duì)第一條下行RRC消息進(jìn)行解密����,和完整性檢查����,解密和完整性檢查時(shí)分別以CKu’和IKu’以及其它的在UE和目標(biāo)RNC之間都有的相同的參數(shù)作為輸入對(duì)該消息進(jìn)行解密和完整性檢查���。之后��,UE與目標(biāo)RNC可采用密鑰CKu’ /IKu’進(jìn)行信息交互����,其中第一條下行RRC 消息中可以包含有目標(biāo)RNC是否支持UKH的信息��,UE發(fā)送的第一條上行RRC消息中也可以包含UE是否支持UKH的信息�����。步驟406��,UE 在目標(biāo) RNC 發(fā)起 UE 參與的 intra-SRNS Relocation 流程�。intra-SRNS Relocation流程與 SRNS Relocation流程的區(qū)別僅在于,intra-SRNS Relocation流程中源RNC與目標(biāo)RNC為同一個(gè)RNC�����。在該intra-SRNS Relocation流程中��,如果UE和目標(biāo)RNC均支持UKH����,則目標(biāo)RNC 和UE可以計(jì)算獲得新的密鑰CKu”/IKu”。其中��,新密鑰CKu”/IKu” 可以是根據(jù) 3GPP(The 3rd GenerationPartnership Project)標(biāo)準(zhǔn)下的密鑰推衍框架計(jì)算獲得的����,例如,可以是目標(biāo)RNC和UE先根據(jù)CK/IK以及CK/IK派生的密鑰KRNC推衍KRNC*�,然后再根據(jù)推衍的KRNC*推衍獲得該密鑰CKu”/ IKu”;也還可以是RNC和UE直接根據(jù)密鑰CKu,/IKu’再推衍獲得密鑰CKu”/IKu”����,此處不受限制。步驟407����,UE與目標(biāo)RNC采用新密鑰CKu” /IKu”進(jìn)行信息交互。由于UE參與該intra-SRNS Relocation流程�,所以目標(biāo)RNC在該流程后向UE下發(fā)的第一條RRC消息不會(huì)進(jìn)行加密,之后目標(biāo)RNC可以對(duì)發(fā)送至UE的其它下行RRC消息采用新密鑰進(jìn)行加密����,UE根據(jù)新密鑰對(duì)下行RRC消息進(jìn)行解密���。UE對(duì)發(fā)送至目標(biāo)RNC的上行 RRC消息采用新密鑰進(jìn)行加密,目標(biāo)RNC根據(jù)新密鑰對(duì)上行RRC消息進(jìn)行解密����,實(shí)現(xiàn)UE與目標(biāo)RNC之間的信息交互。本發(fā)明實(shí)施例首先通過(guò)在執(zhí)行UE未參與的SRNS Relocation流程時(shí)�,目標(biāo)RNC無(wú)論是否支持UKH均采用源RNC發(fā)送的密鑰對(duì)第一條下行RRC消息進(jìn)行加密,UE根據(jù)約定采用自己推衍的相同的密鑰對(duì)該RRC消息進(jìn)行解密���,實(shí)現(xiàn)了目標(biāo)RNC與UE之間的信息交互�����; 進(jìn)而通過(guò)執(zhí)行UE參與的intra-SRNS Relocation流程�,再次更新了 UE與目標(biāo)RNC之間的密鑰����,實(shí)現(xiàn)了源RNC所采用的密鑰與目標(biāo)RNC所采用的密鑰的隔離,使兩者之間無(wú)直接聯(lián)系����, 從而提高了 UE與目標(biāo)RNC信息交互的安全性。在本發(fā)明的另一實(shí)施例中,步驟406還可以是由UE在目標(biāo)RNC處發(fā)起RAU過(guò)程�����, 在該過(guò)程中計(jì)算獲得新的密鑰�����。然后在步驟407中��,目標(biāo)RNC采用新密鑰與UE進(jìn)行信息交互����。其中RAU過(guò)程為現(xiàn)有技術(shù)��,此處不再贅述�����。在另一實(shí)施例中��,在步驟401之前�,UE在源RNC處還可以發(fā)起UE參與的 intra-SRNS Relocation流程,UE和源RNC計(jì)算獲得新密鑰����,然后源RNC將該新密鑰發(fā)送至目標(biāo)RNC處���,UE也根據(jù)約定采用該新密鑰對(duì)目標(biāo)RNC下發(fā)的第一條RRC消息進(jìn)行解密。參見(jiàn)圖5�,為本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖。本實(shí)施例通過(guò)在UE未參與的SRNS Relocation流程中�����,目標(biāo)RNC采用源RNC發(fā)送的密鑰對(duì)第一條下行RRC進(jìn)行加密�,使得UE可以采用相同的密鑰進(jìn)行解密,實(shí)現(xiàn)了目標(biāo)RNC 與UE的信息交互����,之后目標(biāo)RNC和UE可以采用新的密鑰進(jìn)行信息交互,也可以首先執(zhí)行一個(gè)新密鑰的啟用流程���,然后再使用新密鑰進(jìn)行信息交互��。該方法可以包括步驟501���,源RNC發(fā)起UE未參與的SRNS Relocation流程。步驟502���,源RNC發(fā)送重定向請(qǐng)求消息至目標(biāo)RNC�����,該消息中包括密鑰CKu’/IKu’��。步驟503���,目標(biāo)RNC返回重定向請(qǐng)求確認(rèn)消息��,完成源RNC到目標(biāo)RNC的切換。步驟504����,目標(biāo)RNC向UE發(fā)送第一條下行RRC消息,并對(duì)該消息采用密鑰CKu’ / IKu���,進(jìn)行加密�����。在該第一條下行RRC消息中還可以包括目標(biāo)RNC是否支持UKH的信息���。步驟505,UE采用密鑰CKu,/IKu'對(duì)第一條下行RRC消息進(jìn)行解密����。以上步驟與前述實(shí)施例中的步驟401 405類(lèi)似,此處不再贅述�。步驟506,UE向目標(biāo)RNC發(fā)送第一條上行RRC消息��,該消息采用密鑰CKu’/IKu’進(jìn)行加密���。在該第一條上行RRC消息中還可以包括UE是否支持UKH的信息��。UE在獲知目標(biāo) RNC支持UKH之后��,則可以在后續(xù)步驟中使用UE計(jì)算獲得的新的密鑰CKu” /IKu”����。步驟507�����,目標(biāo)RNC對(duì)第一條上行RRC消息解密���。目標(biāo)RNC采用密鑰CKu’/IKu’對(duì)第一條上行RRC消息解密后���,若獲知UE支持UKH�, 則可以在后續(xù)步驟中使用目標(biāo)RNC計(jì)算獲得的新密鑰CKu”/IKu”���,該密鑰的計(jì)算方法與UE 計(jì)算獲得CKu”/IKu”的方法相同����。目標(biāo)RNC計(jì)算新密鑰的過(guò)程可以在接收到第一條上行 RRC消息之前進(jìn)行�,也可以在接收該消息之后進(jìn)行。其中��,目標(biāo)RNC和UE對(duì)新密鑰CKuVlKu”的計(jì)算與實(shí)施例一步驟406中的計(jì)算方法相同���,此處不再贅述。
12
步驟508����,UE與目標(biāo)RNC使用密鑰CKu”/IKu“進(jìn)行信息交互。在第一條上�����、下行RRC消息之后��,UE和目標(biāo)RNC可以采用新的密鑰CKu”/IKu”對(duì)交互信息進(jìn)行加密。在本發(fā)明的另一實(shí)施例中��,在步驟507之后��,還可以增加以下激活新密鑰的專有流程目標(biāo)RNC向UE發(fā)送啟用新的密鑰CKuVlKu”的指示或通知�����,該指示或通知同樣仍采用密鑰CKuVlKu’進(jìn)行加密�����。其中�����,該指示或通知可以是目標(biāo)RNC向UE發(fā)送一條新的消息��,消息中包含一個(gè)比特或者一個(gè)參數(shù)指示UE啟用新的密鑰CKu”/IKu”����。UE在接收到該指示后,返回以用新密鑰的響應(yīng)信息��,該響應(yīng)信息同樣采用密鑰 CKu���,/IKu��,進(jìn)行加密�。在執(zhí)行完上述兩步驟后,再執(zhí)行步驟508��,UE與目標(biāo)RNC采用密鑰CKu” /IKu”進(jìn)
行信息交互�。本發(fā)明實(shí)施例首先通過(guò)在執(zhí)行UE未參與的SRNS Relocation流程時(shí),目標(biāo)RNC無(wú)論是否支持UKH均采用源RNC發(fā)送的密鑰對(duì)第一條下行RRC消息進(jìn)行加密����,UE根據(jù)約定采用自己推衍的相同的密鑰對(duì)該RRC消息進(jìn)行解密,實(shí)現(xiàn)了目標(biāo)RNC與UE之間的信息交互���; 進(jìn)而通過(guò)UE及目標(biāo)RNC是否支持UKH的信息���,在兩者均支持UKH時(shí),再次更新了 UE與目標(biāo) RNC之間的密鑰��,使源RNC所采用的密鑰與目標(biāo)RNC所采用的密鑰實(shí)現(xiàn)了隔離����,使兩者之間無(wú)直接聯(lián)系�,從而提高了 UE與目標(biāo)RNC信息交互的安全性��。參見(jiàn)圖6��,為本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖�。本實(shí)施例中��,通過(guò)首先發(fā)起傳統(tǒng)的SRNS Relocation流程����,目標(biāo)RNC采用源RNC使用的密鑰與UE進(jìn)行信息交互,解決了 UE不知采用何種密鑰對(duì)第一條下行RRC消息進(jìn)行解密的問(wèn)題����,實(shí)現(xiàn)了目標(biāo)RNC與UE的信息交互,進(jìn)而通過(guò)執(zhí)行RAU過(guò)程��,更新了目標(biāo)RNC與UE 之間使用的密鑰��,實(shí)現(xiàn)了源RNC與目標(biāo)RNC之間密鑰的隔離���。該方法可以包括步驟601��,源RNC發(fā)起傳統(tǒng)的SRNS Relocation流程����。傳統(tǒng)的SRNC Relocation,是指UE、RNC和SGSN都按照現(xiàn)有UTRAN中的行為進(jìn)行操作���,源RNC和目標(biāo)RNC使用相同的密鑰��,并且這幾個(gè)節(jié)點(diǎn)都不進(jìn)行其它的密鑰推衍�。在傳統(tǒng)的SRNS Relocation流程中源RNC會(huì)將自己使用的密鑰直接發(fā)送至目標(biāo)RNC�。當(dāng)源RNC預(yù)先獲知如果發(fā)起UE未參與的SRNS Relocation流程時(shí)可能無(wú)法對(duì)目標(biāo)RNC下發(fā)的第一條下行RRC消息進(jìn)行解密后,即可首先發(fā)起傳統(tǒng)的SRNS Relocation流程使UE切換到目標(biāo)RNC����,該流程中無(wú)論UE是否參與,均可以解決UE對(duì)目標(biāo)RNC下發(fā)的第一條RRC消息解密的問(wèn)題���。步驟602�,源RNC發(fā)送重定向請(qǐng)求消息至目標(biāo)RNC�����,該消息中包括源RNC使用的密鑰 CKu/IKu�。步驟603,目標(biāo)RNC返回重定向請(qǐng)求確認(rèn)消息��,完成源RNC至目標(biāo)RNC的切換��。步驟604�����,目標(biāo)RNC與UE采用密鑰CKu/IKu進(jìn)行信息交互�,其中交互信息包括目標(biāo) RNC與UE是否支持UKH的信息。以上步驟601 605為現(xiàn)有技術(shù)�����,此處不再贅述�。步驟605,UE在目標(biāo)RNC發(fā)起RAU過(guò)程�����,在RAU中獲得新的密鑰CKu’ /IKu’���。在傳統(tǒng)SRNS Relocation流程結(jié)束后��,無(wú)論該流程中是否改變了 SGSN�����,在流程結(jié)
13束后��,UE都會(huì)發(fā)起RAU(Routing Area Update)路由區(qū)更新過(guò)程�����,如果UE和目標(biāo)RNC支持 UKH,則在RAU中目標(biāo)RNC和UE進(jìn)行UKH密鑰推衍��,計(jì)算獲得新密鑰CKu’ /IKu'��。該密鑰 CKu' /IKu'的計(jì)算可以是接收SGSN發(fā)送的根據(jù)CK/IK以及CK/IK派生的密鑰KRNC推衍的 KRNC*,然后再根據(jù)推衍的KRNC*推衍獲得密鑰CKu’/IKu’�,也可以是直接接收SGSN發(fā)送的根據(jù)CK/IK推衍的密鑰,再進(jìn)行推衍���,獲得密鑰CKu’ /IKu'0其中��,RAU過(guò)程為現(xiàn)有技術(shù)�����,此處不再贅述����。步驟606���,UE與目標(biāo)RNC采用新密鑰CKu�����,/IKu’進(jìn)行信息交互��。在RAU結(jié)束后����,UE與目標(biāo)RNC使用新的CKu’ /IKu'密鑰對(duì)交互信息進(jìn)行加/解
滋
Γ t [ O本實(shí)施例通過(guò)首先發(fā)起傳統(tǒng)的SRNS Relocation流程���,解決了 UE不知采用何種密鑰對(duì)第一條下行RRC消息進(jìn)行解密的問(wèn)題�����,進(jìn)而通過(guò)發(fā)起RAU過(guò)程�����,在RAU過(guò)程中對(duì)UE與目標(biāo)RNC之間的密鑰進(jìn)行了更新���,實(shí)現(xiàn)了源RNC所采用的密鑰與目標(biāo)RNC所采用的密鑰的隔離,使兩者之間無(wú)直接聯(lián)系�����,從而提高了 UE與目標(biāo)RNC信息交互的安全性。參見(jiàn)圖7��,為本發(fā)明實(shí)施例另一種RNC切換中的密鑰設(shè)置方法流程圖���。本實(shí)施例中���,通過(guò)首先發(fā)起UE參與的intra-SRNS Relocation流程,對(duì)UE和源 RNC采用的密鑰進(jìn)行了更新�����,然后再執(zhí)行傳統(tǒng)的SRNS Relocation流程���,目標(biāo)RNC采用源 RNC使用的密鑰與UE進(jìn)行信息交互�����,解決了 UE不知采用何種密鑰對(duì)第一條下行RRC消息進(jìn)行解密的問(wèn)題���,實(shí)現(xiàn)了目標(biāo)RNC與UE的信息交互,進(jìn)而再次執(zhí)行UE參與的intra-SRNS Relocation流程����,更新了目標(biāo)RNC與UE之間使用的密鑰�����,實(shí)現(xiàn)了源RNC與目標(biāo)RNC之間密鑰的隔離�。該方法可以包括步驟701����,UE 在源 RNC 發(fā)起 UE 參與的 intra-SRNS Relocation 流程�����。在該intra-SRNS Relocation流程中��,如果UE和源RNC均支持UKH�,則源RNC和 UE可以計(jì)算獲得中間密鑰CKu’ /IKu'0源RNC將中間密鑰作為自身使用的密鑰與UE進(jìn)行信息交互。其中�����,中間密鑰CKu’/IKu’的計(jì)算方法可以與前述實(shí)施例一步驟406中的方法類(lèi)似�,此處不再贅述。步驟702�,源RNC發(fā)起UE傳統(tǒng)的SRNS Relocation流程����。該步驟與實(shí)施例三中的步驟601類(lèi)似����,此處不再贅述。步驟703��,源RNC發(fā)送重定向請(qǐng)求消息至目標(biāo)RNC����,該消息中包括源RNC使用的密鑰 CKu, /IKu���,�。步驟704���,目標(biāo)RNC返回重定向請(qǐng)求確認(rèn)消息�,完成源RNC至目標(biāo)RNC的切換����。步驟705,UE和目標(biāo)RNC采用密鑰CKu���,/IKu�,進(jìn)行信息交互,交互信息中包含UE 和目標(biāo)RNC是否支持UKH的信息��。步驟706��,UE 在目標(biāo) RNC 發(fā)起 UE 參與的 intra-SRNS Relocation 流程�。在該intra-SRNS Relocation流程中,UE和目標(biāo)RNC均支持UKH���,目標(biāo)RNC和UE 可以計(jì)算獲得新的密鑰CKuVlKu”。該密鑰的計(jì)算方法可以與前述實(shí)施例一步驟406中的方法類(lèi)似��,此處不再贅述�。步驟707,UE與目標(biāo)RNC采用密鑰CKu”/IKu”進(jìn)行信息交互�����。由于UE參與該intra-SRNS Relocation流程���,所以目標(biāo)RNC在該流程后向UE下發(fā)的第一條RRC消息不會(huì)進(jìn)行加密����,之后目標(biāo)RNC可以對(duì)發(fā)送至UE的下行RRC消息采用新密鑰進(jìn)行加密,UE根據(jù)新密鑰對(duì)下行RRC消息進(jìn)行解密�����。UE對(duì)發(fā)送至目標(biāo)RNC的上行RRC 消息采用新密鑰進(jìn)行加密����,目標(biāo)RNC根據(jù)新密鑰對(duì)上行RRC消息進(jìn)行解密,實(shí)現(xiàn)UE與目標(biāo) RNC之間的信息交互��。本發(fā)明實(shí)施例首先通過(guò)執(zhí)行UE參與的intra-SRNS Relocation流程�,更新了源 RNC與UE使用的密鑰,然后通過(guò)執(zhí)行傳統(tǒng)的SRNS Relocation流程�����,解決了 UE不知采用何種密鑰對(duì)第一條下行RRC消息進(jìn)行解密的問(wèn)題����,進(jìn)而通過(guò)再次執(zhí)行UE參與的intra-SRNS Relocation流程,再次更新了 UE與目標(biāo)RNC之間的密鑰����,對(duì)源RNC所采用的密鑰與目標(biāo)RNC 所采用的密鑰進(jìn)行了隔離,使兩者之間無(wú)直接聯(lián)系,從而提高了 UE與目標(biāo)RNC信息交互的安全性�。以上是對(duì)方法實(shí)施例的詳細(xì)描述,下面對(duì)實(shí)現(xiàn)上述方法的系統(tǒng)或裝置進(jìn)行介紹����。參見(jiàn)圖8,為本發(fā)明實(shí)施例一種無(wú)線網(wǎng)絡(luò)控制器的結(jié)構(gòu)示意圖�。該RNC可以包括密鑰接收單元801,用于在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí)�,接收源RNC發(fā)送的密鑰,所述密鑰根據(jù)源RNC使用的密鑰推衍獲得�;第一加密單元802,用于根據(jù)源RNC發(fā)送的密鑰對(duì)第一下行RRC消息進(jìn)行加密�,并向UE發(fā)送加密后的第一下行RRC消息,加密后的第一下行RRC消息中包含本RNC支持UKH 的信息���,以使得UE接收加密后的第一下行RRC消息后,向本RNC發(fā)送上行RRC消息��,所述上行RRC消息中包含UE支持UKH的信息����,UE采用根據(jù)在所述源RNC使用的密鑰推衍獲得的密鑰,對(duì)接收到的加密后的第一下行RRC消息進(jìn)行解密����;消息接收單元803�����,用于接收UE發(fā)送的上行RRC消息�����,上行RRC消息中包含UE支持MH的信息�����;第二加密單元804��,用于獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至UE���。源RNC發(fā)起UE不參與的SRNS Relocation流程后,密鑰接收單元801接收源RNC 發(fā)送的密鑰��。第一加密單元802向UE下發(fā)第一條下行RRC消息�����,該消息中包含該RNC支持 UKH的信息����,并且直接采用源RNC發(fā)送來(lái)的密鑰對(duì)該RRC消息進(jìn)行加密���,而并非另外計(jì)算新的密鑰。該源RNC發(fā)送來(lái)的密鑰是源RNC根據(jù)自身使用的密鑰推衍獲得的密鑰���。UE根據(jù)預(yù)先的約定��,只要接收到第一條下行RRC消息����,就采用UE自己根據(jù)在源RNC使用的密鑰進(jìn)行推衍所獲得的密鑰對(duì)該消息進(jìn)行解密���。消息接收單元803接收UE發(fā)送的第一條上行RRC 消息�,該消息同樣采用前述UE推衍的密鑰進(jìn)行加密��,該消息中表明了 UE支持UKH的能力�����。 當(dāng)本RNC和UE均支持UKH時(shí)�,第二加密單元804可以采用新密鑰與UE進(jìn)行信息交互��,該新密鑰可以是通過(guò)進(jìn)一步執(zhí)行intra-SRNS Relocation流程等計(jì)算獲得的,以對(duì)目標(biāo)RNC和 UE之間使用的密鑰進(jìn)行進(jìn)一步計(jì)算和更新�����,提高UE與目標(biāo)RNC之間信息交互的安全性����。本發(fā)明實(shí)施例的RNC通過(guò)上述各單元保證了 UE可以根據(jù)已知的密鑰對(duì)本RNC下發(fā)的RRC消息進(jìn)行解密,進(jìn)而通過(guò)計(jì)算更新UE與本RNC之間的密鑰�,實(shí)現(xiàn)了源RNC所采用的密鑰與本RNC所采用的密鑰的隔離,使兩者之間無(wú)直接聯(lián)系�,從而提高了 UE與本RNC信息交互的安全性。參見(jiàn)圖9����,為本發(fā)明實(shí)施例另一種RNC的結(jié)構(gòu)示意圖。該RNC除了可以包括密鑰接收單元901�、第一加密單元902、消息接收單元903和第二加密單元904之外��,還可以包括流程執(zhí)行單元905和密鑰計(jì)算單元906�。
1
流程執(zhí)行單元905,用于在第二加密單元904獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至UE之前��,執(zhí)行UE參與的intra-SRNS Relocation流程���;密鑰計(jì)算單元906�����,用于在intra-SRNS Relocation流程中�����,根據(jù)3GPP標(biāo)準(zhǔn)下的密鑰推衍框架計(jì)算獲得新密鑰�����。在源RNC執(zhí)行UE未參與的SRNS Relocation流程����,切換至本RNC后,無(wú)論本RNC 是否支持UKH���,均采用源RNC發(fā)送的根據(jù)自身使用的密鑰推衍獲得的密鑰對(duì)交互信息進(jìn)行加密�����,交互信息中包含本RNC及UE是否均支持UKH的信息����。當(dāng)兩者均支持UKH時(shí)���,流程執(zhí)行單元905執(zhí)行UE參與的intra-SRNS Relocation流程�,在該流程中��,密碼計(jì)算單元906 可以根據(jù)3GPP標(biāo)準(zhǔn)下的密鑰推衍框架計(jì)算獲得新密鑰���,例如���,可以先根據(jù)CK/IK以及CK/ IK派生的密鑰KRNC推衍KRNC*,然后再根據(jù)推衍的KRNC*推衍獲得新的密鑰��;也還可以是直接根據(jù)源RNC發(fā)送來(lái)的密鑰再推衍獲得新密鑰����,UE也可以執(zhí)行相同的計(jì)算過(guò)程,獲得與本RNC相同的密鑰��。之后�,由第二加密單元904采用該新密鑰與UE進(jìn)行信息交互。本發(fā)明實(shí)施例的RNC通過(guò)上述各單元先后執(zhí)行UE未參與的SRNSRelocation流程���,以及UE參與的intra-SRNS Relocation流程�����,并在第一個(gè)流程中實(shí)現(xiàn)了 UE對(duì)本RNC下發(fā)的RRC消息的成功解密����,通過(guò)兩個(gè)流程實(shí)現(xiàn)了源RNC所采用的密鑰與本RNC所采用的密鑰的隔離,使兩者之間無(wú)直接聯(lián)系�,從而提高了 UE與本RNC信息交互的安全性。參見(jiàn)圖10�,為本發(fā)明實(shí)施例另一種RNC的結(jié)構(gòu)示意圖。該RNC除了可以包括密鑰接收單元1001�����、第一加密單元1002�、消息接收單元1003 和第二加密單元1004之外,還可以包括指示單元1005和響應(yīng)接收單元1006����。其中,指示單元1005����,用于在第二加密單元1004獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至所述UE之前,向UE發(fā)送啟用所述新密鑰的指示或通知����。響應(yīng)接收單元1006���,用于接收UE發(fā)送的啟用所述新密鑰的響應(yīng)�����。通過(guò)指示單元1005和響應(yīng)接收單元1006實(shí)現(xiàn)了 UE與本RNC之間采用新密鑰的激活流程��,之后��,第二信息交互單元1004即可采用新密鑰與UE實(shí)現(xiàn)信息交互���。本發(fā)明實(shí)施例的RNC通過(guò)上述各單元實(shí)現(xiàn)了 UE對(duì)本RNC下發(fā)的RRC消息的成功解密��,而且通過(guò)指示單元1005和響應(yīng)接收單元1006的新密鑰激活流程��,實(shí)現(xiàn)了源RNC所采用的密鑰與本RNC所采用的密鑰的隔離�����,使兩者之間無(wú)直接聯(lián)系���,從而提高了 UE與本RNC 信息交互的安全性�。參見(jiàn)圖11����,為本發(fā)明實(shí)施例一種UE的結(jié)構(gòu)示意圖。該UE可以包括消息接收模塊1101�,用于在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí),接收目標(biāo)RNC發(fā)送的第一下行RRC消息��,該RRC消息采用源RNC發(fā)送的密鑰加密獲得的�����,第一下行RRC消息中包含目標(biāo)RNC支持UKH的信息����;第一解密模塊1102,用于采用根據(jù)在源RNC使用的密鑰進(jìn)行密鑰推衍獲得的密鑰對(duì)第一下行RRC消息進(jìn)行解密����;消息發(fā)送模塊1103,用于向目標(biāo)RNC發(fā)送上行RRC消息�����,所述上行RRC消息中包含所述UE支持UKH的信息;第二解密模塊1104�,用于接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息,并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密��。
在執(zhí)行完UE未參與的SRNS Relocation流程之后��,消息接收模塊1101接收目標(biāo) RNC向本UE發(fā)送第一條下行RRC消息���,該消息采用源RNC發(fā)送的密鑰進(jìn)行加密,該密鑰是根據(jù)源RNC使用的密鑰推衍獲得的密鑰����。UE自己可以根據(jù)在源RNC使用的密鑰推衍獲得密鑰,該獲得的密鑰與下行RRC消息的加密密鑰相同���,在接收到該第一條下行RRC消息后��,第一解密模塊1102即可根據(jù)約定�����,直接采用本UE推衍獲得的密鑰進(jìn)行解密�,進(jìn)而消息發(fā)送模塊1103向目標(biāo)RNC發(fā)送上行RRC消息��,該消息同樣采用UE推衍獲得的密鑰進(jìn)行加密。目標(biāo) RNC和UE之間的交互信息中��,例如在第一條上�����、下行消息中可以分別包含UE是否支持UKH 以及目標(biāo)RNC是否支持UKH的信息����,當(dāng)消息解密后UE獲知兩者均支持UKH后,第二解密模塊1104即可采用在發(fā)起的intra-SRNS Relocation流程等計(jì)算獲得的新密碼����,與目標(biāo)RNC 進(jìn)行信息交互。本發(fā)明實(shí)施例的UE通過(guò)上述各模塊實(shí)現(xiàn)了 UE對(duì)目標(biāo)RNC下發(fā)的RRC消息的成功解密����,而且實(shí)現(xiàn)了源RNC所采用的密鑰與目標(biāo)RNC所采用的密鑰的隔離,使兩者之間無(wú)直接聯(lián)系���,從而提高了 UE與目標(biāo)RNC信息交互的安全性�����。參見(jiàn)圖12�,為本發(fā)明另一種UE的結(jié)構(gòu)示意圖。該UE除了可以包括消息接收模塊1201�、第一解密模塊1202、消息發(fā)送模塊1203 和第二解密模塊1204之外�����,還可以包括流程發(fā)起模塊1205����,用于在第二解密模塊1204接收目標(biāo)RNC發(fā)送的第二下行RRC 消息,并采用獲取的新密鑰對(duì)第二下行RRC消息進(jìn)行解密之前��,在目標(biāo)RNC發(fā)起所述UE參與的 intra-SRNS Relocation 流程�����;密鑰計(jì)算模塊���,用于在intra-SRNS Relocation流程中,根據(jù)3GPP標(biāo)準(zhǔn)下的密鑰推衍框架計(jì)算獲得新密鑰�����。其中具體的密鑰計(jì)算過(guò)程與前述方法實(shí)施例中的相應(yīng)描述相同����,此處不再贅述���。本發(fā)明實(shí)施例的UE通過(guò)上述各模塊實(shí)現(xiàn)了 UE對(duì)目標(biāo)RNC下發(fā)的RRC消息的成功解密,而且實(shí)現(xiàn)了源RNC所采用的密鑰與目標(biāo)RNC所采用的密鑰的隔離���,使兩者之間無(wú)直接聯(lián)系��,從而提高了 UE與目標(biāo)RNC信息交互的安全性��。參見(jiàn)圖13���,為本發(fā)明另一種UE的結(jié)構(gòu)示意圖。該UE除了可以包括消息接收模塊1301�、第一解密模塊1302、消息發(fā)送模塊1303 和第二解密模塊1304之外�,還可以包括指示接收模塊1305,用于在第二解密模塊1304接收目標(biāo)RNC發(fā)送的第二下行RRC 消息�����,并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密之前����,接收目標(biāo)RNC發(fā)送的啟用所述新密鑰的指示或通知����;指示響應(yīng)模塊1306���,用于向目標(biāo)RNC發(fā)送啟用所述新密鑰的響應(yīng)�。本發(fā)明實(shí)施例的UE通過(guò)上述各模塊實(shí)現(xiàn)了 UE對(duì)目標(biāo)RNC下發(fā)的RRC消息的成功解密����,而且實(shí)現(xiàn)了源RNC所采用的密鑰與目標(biāo)RNC所采用的密鑰的隔離,使兩者之間無(wú)直接聯(lián)系���,從而提高了 UE與目標(biāo)RNC信息交互的安全性��。以上裝置或系統(tǒng)中各單元和各模塊的具體實(shí)現(xiàn)過(guò)程請(qǐng)參照前述方法實(shí)施例中相應(yīng)部分的描述���,此處不再贅述���。以上所述的本發(fā)明實(shí)施方式�,并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限定�����。任何在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進(jìn)等�����,均應(yīng)包含在本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)�����。
1權(quán)利要求
1.一種RNC切換中的密鑰設(shè)置方法�����,其特征在于���,在源無(wú)線網(wǎng)絡(luò)控制器RNC執(zhí)行終端 UE未參與的服務(wù)無(wú)線網(wǎng)絡(luò)子系統(tǒng)重定位SRNS Relocation流程時(shí)�����,所述方法包括目標(biāo)RNC接收源RNC發(fā)送的密鑰����,所述密鑰根據(jù)所述源RNC使用的密鑰推衍獲得���;所述目標(biāo)RNC根據(jù)所述源RNC發(fā)送的密鑰對(duì)第一下行RRC消息進(jìn)行加密����,并向所述UE 發(fā)送加密后的第一下行RRC消息,所述加密后的第一下行RRC消息中包含所述目標(biāo)RNC支持通用陸地移動(dòng)接入網(wǎng)密鑰層次UKH的信息�,以使得所述UE接收所述加密后的第一下行 RRC消息后,向所述目標(biāo)RNC發(fā)送上行RRC消息��,所述上行RRC消息中包含所述UE支持UKH 的信息�,所述UE采用根據(jù)在所述源RNC使用的密鑰推衍獲得的密鑰,對(duì)接收到的所述加密后的第一下行RRC消息進(jìn)行解密�����;所述目標(biāo)RNC接收UE發(fā)送的上行RRC消息�,所述上行RRC消息中包含所述UE支持UKH 的信息;所述目標(biāo)RNC獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至所述UE���。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,在所述目標(biāo)RNC獲取新密鑰對(duì)第二下行 RRC消息進(jìn)行加密并發(fā)送至所述UE之前��,還包括目標(biāo)RNC執(zhí)行所述UE參與的內(nèi)部服務(wù)無(wú)線網(wǎng)絡(luò)子系統(tǒng)重定位intra-SRNS Relocation 流程���;在所述intra-SRNS Relocation流程中,所述目標(biāo)RNC根據(jù)3GPP標(biāo)準(zhǔn)下的密鑰推衍框架計(jì)算獲得新密鑰����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于��,在所述目標(biāo)RNC獲取新密鑰對(duì)第二下行 RRC消息進(jìn)行加密并發(fā)送至所述UE之前�,還包括目標(biāo)RNC向所述UE發(fā)送啟用所述新密鑰的指示或通知;目標(biāo)RNC接收所述UE發(fā)送的啟用所述新密鑰的響應(yīng)�。
4.一種RNC切換中的密鑰設(shè)置方法,其特征在于�����,在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí)�,所述方法包括所述UE接收目標(biāo)RNC發(fā)送的第一下行無(wú)線資源控制RRC消息,所述RRC消息采用所述源RNC發(fā)送的密鑰加密獲得的�����,所述第一下行RRC消息中包含所述目標(biāo)RNC支持通用陸地移動(dòng)接入網(wǎng)密鑰層次UKH的信息���;所述UE采用根據(jù)在所述源RNC使用的密鑰進(jìn)行密鑰推衍獲得的密鑰��,對(duì)所述第一下行 RRC消息進(jìn)行解密�����;所述UE向所述目標(biāo)RNC發(fā)送上行RRC消息��,所述上行RRC消息中包含所述UE支持UKH 的信息���;所述UE接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息��,并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密���。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于���,在所述UE接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息����,并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密之前���,還包括所述UE在所述目標(biāo)RNC發(fā)起所述UE參與的intra-SRNS Relocation流程�����;在所述intra-SRNS Relocation流程中�,所述UE根據(jù)3GPP標(biāo)準(zhǔn)下的密鑰推衍框架計(jì)算獲得新密鑰�����。
6.根據(jù)權(quán)利要求4所述的方法��,其特征在于��,在所述UE接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息���,并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密之前����,還包括 所述UE接收所述目標(biāo)RNC發(fā)送的啟用所述新密鑰的指示或通知����; 所述UE向所述目標(biāo)RNC發(fā)送啟用所述新密鑰的響應(yīng)。
7.一種無(wú)線網(wǎng)絡(luò)控制器���,其特征在于���,包括密鑰接收單元���,用于在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí),接收源RNC 發(fā)送的密鑰�,所述密鑰根據(jù)所述源RNC使用的密鑰推衍獲得;第一加密單元��,用于根據(jù)所述源RNC發(fā)送的密鑰對(duì)第一下行RRC消息進(jìn)行加密�����,并向所述UE發(fā)送加密后的第一下行RRC消息����,所述加密后的第一下行RRC消息中包含所述無(wú)線網(wǎng)絡(luò)控制器支持通用陸地移動(dòng)接入網(wǎng)密鑰層次UKH的信息,以使得所述UE接收所述加密后的第一下行RRC消息后�����,向所述無(wú)線網(wǎng)絡(luò)控制器發(fā)送上行RRC消息��,所述上行RRC消息中包含所述UE支持UKH的信息�,所述UE采用根據(jù)在所述源RNC使用的密鑰推衍獲得的密鑰���,對(duì)接收到的所述加密后的第一下行RRC消息進(jìn)行解密;消息接收單元�,用于接收UE發(fā)送的上行RRC消息,所述上行RRC消息中包含所述UE支持MH的信息���;第二加密單元,用于獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至所述UE�。
8.根據(jù)權(quán)利要求7所述的無(wú)線網(wǎng)絡(luò)控制器,其特征在于��,還包括流程執(zhí)行單元��,用于在所述第二加密單元獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至所述UE之前�,執(zhí)行所述UE參與的intra-SRNS Relocation流程;密鑰計(jì)算單元���,用于在所述intra-SRNS Relocation流程中���,根據(jù)3GPP標(biāo)準(zhǔn)下的密鑰推衍框架計(jì)算獲得新密鑰。
9.根據(jù)權(quán)利要求7所述的無(wú)線網(wǎng)絡(luò)控制器���,其特征在于�����,還包括指示單元�����,用于在所述第二加密單元獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至所述UE之前�,向所述UE發(fā)送啟用所述新密鑰的指示或通知;響應(yīng)接收單元�����,用于接收所述UE發(fā)送的啟用所述新密鑰的響應(yīng)�。
10.一種UE,其特征在于���,包括消息接收模塊����,用于在源RNC執(zhí)行所述UE未參與的SRNS Relocation流程時(shí)�����,接收目標(biāo)RNC發(fā)送的第一下行無(wú)線資源控制RRC消息��,所述RRC消息采用所述源RNC發(fā)送的密鑰加密獲得的���,所述第一下行RRC消息中包含所述目標(biāo)RNC支持通用陸地移動(dòng)接入網(wǎng)密鑰層次MH的信息��;第一解密模塊���,用于采用根據(jù)在所述源RNC使用的密鑰進(jìn)行密鑰推衍獲得的密鑰對(duì)所述第一下行RRC消息進(jìn)行解密;消息發(fā)送模塊����,用于向所述目標(biāo)RNC發(fā)送上行RRC消息�,所述上行RRC消息中包含所述 UE支持UKH的信息;第二解密模塊��,用于接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息�����,并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密����。
11.根據(jù)權(quán)利要求10所述的UE,其特征在于�����,還包括流程發(fā)起模塊,用于在所述第二解密模塊接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息����, 并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密之前,在所述目標(biāo)RNC發(fā)起所述UE 參與的 intra-SRNS Relocation 流程����;密鑰計(jì)算模塊,用于在所述intra-SRNS Relocation流程中���,根據(jù)3GPP標(biāo)準(zhǔn)下的密鑰推衍框架計(jì)算獲得新密鑰�����。
12.根據(jù)權(quán)利要求10所述的UE��,其特征在于���,還包括指示接收模塊,用于在所述第二解密模塊接收所述目標(biāo)RNC發(fā)送的第二下行RRC消息���, 并采用獲取的新密鑰對(duì)所述第二下行RRC消息進(jìn)行解密之前����,接收所述目標(biāo)RNC發(fā)送的啟用所述新密鑰的指示或通知;指示響應(yīng)模塊���,用于向所述目標(biāo)RNC發(fā)送啟用所述新密鑰的響應(yīng)����。
全文摘要
本發(fā)明實(shí)施例提供一種RNC切換中的密鑰設(shè)置方法及無(wú)線網(wǎng)絡(luò)控制器����、終端。該方法���,在源RNC執(zhí)行UE未參與的SRNS Relocation流程時(shí),包括目標(biāo)RNC接收源RNC發(fā)送的密鑰����,所述密鑰根據(jù)源RNC使用的密鑰推衍獲得;目標(biāo)RNC根據(jù)源RNC發(fā)送的密鑰對(duì)第一下行RRC消息進(jìn)行加密���,并向UE發(fā)送加密后的第一下行RRC消息���,加密后的第一下行RRC消息中包含目標(biāo)RNC支持UKH的信息���;目標(biāo)RNC接收UE發(fā)送的上行RRC消息,上行RRC消息中包含UE支持UKH的信息�����;目標(biāo)RNC獲取新密鑰對(duì)第二下行RRC消息進(jìn)行加密并發(fā)送至UE�。本發(fā)明實(shí)施例實(shí)現(xiàn)了目標(biāo)RNC與UE之間的信息交互,及密鑰的隔離���。
文檔編號(hào)H04W12/04GK102469454SQ20101053542
公開(kāi)日2012年5月23日 申請(qǐng)日期2010年11月8日 優(yōu)先權(quán)日2010年11月8日
發(fā)明者劉曉寒, 陳璟 申請(qǐng)人:華為技術(shù)有限公司