專利名稱:不同無線接入技術(shù)間切換時安全協(xié)商的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信領(lǐng)域,尤其涉及一種不同無線接入技術(shù)間切換時安全協(xié)商的方法和裝置的技術(shù)��。
背景技術(shù):
在移動通信系統(tǒng)中�,終端在從本地基站向目標(biāo)基站移動的過程中通常會涉及到基站間的切換問題,基站的無線接入網(wǎng)絡(luò)包括2G (Second Generation���,第二代移動通信)�����、 3G(Third Generation,第三代移動通信)以及未來的LTE (Long Term Evolve,長期演進) 系統(tǒng)等��,并且終端與各種無線接入網(wǎng)絡(luò)間的安全保護等級和保護措施是不一樣的��。LTE系統(tǒng)中兩個涉及安全的層的結(jié)構(gòu)示意圖如圖1所示��,從圖1可以看出���,Xu 接口���、Sl-c、Sl-U以及X2接口對安全都存在需求���。在LTE系統(tǒng)里����,基站處于一個不是很安全的場所�,比較容易受到攻擊而變得不安全,因此�,基站不像UMTS (Universal Mobile Telecommunications System,^^ ) MW RNC(Radio Network Controller, 無線電網(wǎng)絡(luò)控制器)網(wǎng)元一樣安全?����;驹?G和3G系統(tǒng)間的切換過程中,終端和2G/3G系統(tǒng)的基站只要協(xié)商接入層方面的安全參數(shù)���。在基站從2G或3G系統(tǒng)到LTE系統(tǒng)的切換過程中����,終端與LTE系統(tǒng)協(xié)商的安全方面的信息更多���,而且安全等級的要求也要高��。終端和LTE系統(tǒng)的基站必須協(xié)商接入層和非接入層方面的安全參數(shù)�����。因此��,如何保證基站從2G或3G系統(tǒng)切換到LTE系統(tǒng)時實現(xiàn)安全切換是一個必須慎重考慮的問題?,F(xiàn)有技術(shù)中一種基站在2G和3G系統(tǒng)間的切換過程中���,終端與2G/3G系統(tǒng)進行協(xié)商的處理流程如圖2所示�����,包括如下步驟步驟1�,終端的Source BSS (源基站子系統(tǒng))根據(jù)終端的測量報告決定發(fā)起切換請求。步驟2���,Source BSS把終端能力信息(包括終端支持的完整性保護算法和加密算法)以及密鑰信息發(fā)送到2G SGSN(Serving G PRS Support Node,服務(wù)GPRS支持節(jié)點)�。步驟3,2G SGSN把接收到的上述終端能力信息以及密鑰發(fā)給3GSGSN�����。步驟4���,3G SGSN把接收到的上述密鑰和終端支持的算法發(fā)給RNC�。步驟5���,RNC根據(jù)接收到的上述密鑰和終端支持的算法�,選擇其支持的算法并發(fā)送給 3G SGSN0步驟6����,3G SGSN把其支持的算法發(fā)給2G SGSN0其后,2G SGSN向終端的Source Access Network (源接入網(wǎng)絡(luò))發(fā)送切換請求確認(rèn)時�,把 3G SGSN 支持的算法發(fā)送到 Source Access Network, Source Access Network 向終端發(fā)送切換命令時,把目標(biāo)系統(tǒng)要使用的算法發(fā)到終端�����,完成安全協(xié)商。在實現(xiàn)本發(fā)明的過程中����,發(fā)明人發(fā)現(xiàn)由于LTE系統(tǒng)里有兩個涉及安全的層, NAS (Ν0Ν Access Stratum,非接入層)和 AS (Access Stratum,接入層)��。2G 和 3G 間切換時���,在SGSN側(cè)的處理的安全信息只涉及AS����,沒有涉及NAS的安全信息���,因此��,上述終端與2G或3G系統(tǒng)進行協(xié)商的處理流程不能適用終端從2G或3G切換到LTE系統(tǒng)的過程�����。
發(fā)明內(nèi)容
本發(fā)明實施例解決的技術(shù)問題是提供一種不同無線接入技術(shù)間切換時安全協(xié)商的方法和裝置��,從而實現(xiàn)在終端從異系統(tǒng)切換到LTE系統(tǒng)時�,終端獲得LTE系統(tǒng)所選擇的 NAS和AS的安全信息,與LTE系統(tǒng)進行安全協(xié)商�。本發(fā)明實施例的目的是通過以下技術(shù)方案實現(xiàn)的一種不同無線接入技術(shù)間切換時安全協(xié)商的方法,包括當(dāng)終端在不同無線接入技術(shù)間進行切換時�����,將目標(biāo)系統(tǒng)所選擇的非接入層NAS和接入層AS的安全信息包含在透明容器Transparent Container中�;將所述Transparent Container中的內(nèi)容傳輸給所述終端�,終端根據(jù)所述 Transparent Container中的內(nèi)容與所述目標(biāo)系統(tǒng)進行安全協(xié)商。一種演進基站eNB設(shè)備���,包括密鑰和算法信息接收模塊�����,用于接收目標(biāo)MME通過切換請求發(fā)送的派生NAS密鑰的參數(shù)和算法信息�����,派生目標(biāo)基站的密鑰的參數(shù)和目標(biāo)基站的根密鑰息�,以及終端的能力 fn息����;算法選擇和密鑰派生模塊��,用于根據(jù)所述密鑰和算法信息接收模塊接收到的信息�,選擇支持的RRC加密算法和完整性保護算法����、UP加密算法;派生RRC加密密鑰��、UP加密密鑰����;Transparent Container組成模塊,用于將所述密鑰和算法信息接收模塊獲得的派生NAS密鑰的參數(shù)和算法信息�,派生目標(biāo)基站的密鑰的參數(shù),以及所述算法選擇和密鑰派生模塊獲得的RRC加密密鑰���、UP加密密鑰���、RRC加密算法、完整性保護算法和UP加密算 ^ ^llTransparent Container 中�����。一種演進基站eNB設(shè)備���,包括密鑰和算法信息接收模塊��,用于接收目標(biāo)MME通過切換請求發(fā)送的 NASContainer,以及KeNB和終端的能力信息�����;算法選擇和密鑰派生模塊�����,用于根據(jù)密鑰和算法信息接收模塊接收到的K.和終端的能力信息���,選擇支持的RRC加密算法和完整性保護算法、UP加密算法�����;派生RRC加密密鑰���、UP加密密鑰�����;Transparent Container組成模塊�����,用于將所述算法選擇和密鑰派生模塊獲得的 RRC加密密鑰��、UP加密密鑰的參數(shù)��、RRC加密算法和完整性保護算法��、UP加密算法包含在RRC Container 中���,并將該 RRC Container 和所述 NAS Container 進行合并��,包含在 Transparent Container 中�。一種源接入網(wǎng)絡(luò)Access Network設(shè)備����,包括NAS Container接收模塊,用于接收目標(biāo)MM E發(fā)送的NAS Container ;RRC Container組成模塊���,用于接收目標(biāo)MM E發(fā)送的RRC Container �����;Transparent Container組成模塊��,用于將所述NAS Container接收模塊接收到的所述NAS Container和所述RRC Container組成模塊接收到的所述RRC Container進行合
Transparent Container 中�。
一種目標(biāo)移動管理實體Target MME,包括算法選擇和密鑰派生模塊,用于根據(jù)收到的源系統(tǒng)使用的密鑰信息派生Knas和 KeNB���,選擇NAS算法�;將所述KeNB和終端的能力信息通過切換請求發(fā)送到目標(biāo)eNB �;NAS Container組成模塊,用于將所述NAS算法��、Knas����、KeNB的參數(shù)組成NAS Container ;Transparent Container 組成模塊,用于接收目標(biāo) eNB 發(fā)送的 RRC Container ��;將該 RRC Container 禾口所述 NAS Container 進行合并���,包含在 Transparent Container 中。由上述本發(fā)明實施例提供的技術(shù)方案可以看出��,本發(fā)明實施例通過將NAS和AS W^^rff Transparent Container (jf BJ) Φ s^iM Transparent Container 中的內(nèi)容傳輸給終端�����,從而實現(xiàn)在終端從異系統(tǒng)(比如,Universal Terrestrial Radio Access Network,通用地面無線接入網(wǎng)路)切換到LTE系統(tǒng)時�����,終端獲得LTE系統(tǒng)所選擇的 NAS和AS的安全信息���,與LTE系統(tǒng)進行安全協(xié)商��,建立終端和LTE系統(tǒng)的安全關(guān)聯(lián)���。
圖1為現(xiàn)有技術(shù)中LTE系統(tǒng)中兩個涉及安全的層的結(jié)構(gòu)示意圖;圖2為現(xiàn)有技術(shù)中基站在2G/3G系統(tǒng)間的切換過程中�,終端與2G/3G系統(tǒng)進行協(xié)商的處理流程圖;圖3為本發(fā)明實施例1提供的終端從UTRAN切換到LTE系統(tǒng)時����,終端和LTE系統(tǒng)進行協(xié)商的處理流程圖;圖4為本發(fā)明實施例2提供的終端從UTRAN切換到LTE系統(tǒng)時�,終端和LTE系統(tǒng)進行協(xié)商的處理流程圖。
具體實施例方式本發(fā)明實施例提供了一種不同無線接入技術(shù)間切換時安全協(xié)商的方法和裝置����。本發(fā)明實施例所述終端在不同無線接入技術(shù)間切換包括終端從異系統(tǒng)切換到LTE 系統(tǒng)���,下面以終端從UTRAN系統(tǒng)切換到LTE系統(tǒng)為例來說明本發(fā)明實施例所述方法和裝置。在本發(fā)明實施例中�,在終端從UTRAN系統(tǒng)切換到LTE系統(tǒng)時,Target MME (Mobile Management Entity,目標(biāo)移動管理實體)生成與NAS安全有關(guān)的信息并發(fā)送到Target eNB (目標(biāo)演進基站)���,Target eNB還生成與AS安全有關(guān)的信息���,根據(jù)上述NAS和AS的安
一yIv Transparent Container0本發(fā)明實施例1提供的終端從UTRAN切換到LTE系統(tǒng)時,終端和LTE系統(tǒng)進行協(xié)商的處理流程如圖3所示��,包括如下步驟步驟31�、首先,終端的源系統(tǒng)決定終端進行切換�����,初始化切換請求����。步驟32�、源SGSN發(fā)送切換請求到目標(biāo)MME (Target MME),該切換請求中包含終端的能力信息(包括終端支持的NAS�、RRC(Radic) Resources Control,無線電資源控制)和 UP (User Plane,用戶平面)算法列表)和源系統(tǒng)目前使用的密鑰信息(也可能是源系統(tǒng)根據(jù)目前使用的密鑰信息派生的密鑰)�。步驟33、Target MME根據(jù)收到的上述密鑰信息派生Kasme (接入安全實體密鑰)��、派生NAS和eNB的密鑰(即Knas����、KeNB),選擇NAS算法�����。
步驟34��、Target MME把派生Kasme���、派生Knas����、派生KeNB的參數(shù)����、KeNB、選擇的NAS算法以及終端支持的RRC和UP算法列表通過切換請求發(fā)送到目標(biāo)eNBCTarget eNB)�����。步驟35、Target eNB選擇支持的RRC加密算法和完整性保護算法�����、UP加密算法���, 根據(jù)接收到的ΚεΝΒ密鑰派生RRC加密密鑰和完整性密鑰���、UP加密密鑰。Target eNB將上述自己派生的RRC加密密鑰和UP加密密鑰的參數(shù)�,接收到的 Target MME傳輸過來的派生Kasme、派生Knas����、派生KeNB的參數(shù)、終端支持的RRC算法和UP 算法���,以及自己選擇的RRC加密算法和完整性保護算法����、UP加密算法包含在Transparent Container 中��。步驟 36��、Target eNB Mf 上述 Transparent Container 發(fā)送至Ij Target MME0 步驟37�、Target MME將上述Transparent Container通過切換響應(yīng)發(fā)送到源 SGSN0步驟38、源SGSN將接收到的Transparent Container通過切換響應(yīng)透傳到源接入網(wǎng)絡(luò)(Access Network)�。步驟 39、源 Access Network接收至Ij的 Transparent Container 中的內(nèi)容通過切換命令傳輸?shù)浇K端��。步驟310����、終端根據(jù)接收到的上述Transparent Container中的內(nèi)容中的RRC加密密鑰、UP加密密鑰��、派生Kasme���、派生Knas�����、派生KeNB的參數(shù)�����,相應(yīng)地派生RRC加密密鑰����、UP加密密鑰、KASME�����、Knas, KeNB,并設(shè)定切換后的保護算法���。本發(fā)明實施例2提供的終端從UTRAN切換到LTE系統(tǒng)時�����,終端和LTE系統(tǒng)進行協(xié)商的處理流程如圖4所示���,包括如下步驟步驟41、首先終端的源系統(tǒng)決定終端進行切換����,初始化切換請求。步驟42���、源SGSN發(fā)送切換請求到Target MME,該切換請求中包含終端的能力信息 (包括終端支持的NAS���、RRC和UP算法列表)和源系統(tǒng)目前使用的密鑰信息(也可能是處理過的密鑰)���。步驟43、Target MME根據(jù)收到的上述密鑰信息派生Kasme��、派生KNAS�、KeNB,選擇NAS 算法�����。Target MME把自己選擇的NAS算法�、派生Kasme、派生Knas�、派生KeNB的參數(shù)包含在NAS Container 中。步驟44�����、Target MME把派生的KeNB����,以及終端支持的RRC和UP算法列表以及上述 NAS Container通過切換請求發(fā)送到Target eNB。步驟45�、Target eNB選擇支持的RRC加密算法和完整性保護算法、UP加密算法����, 根據(jù)接收到的ΚεΝΒ密鑰派生RRC加密密鑰和完整性密鑰���、UP加密密鑰。Target eNB將自己派生的RRC加密密鑰���、UP加密密鑰的參數(shù)����,終端支持的RRC算法和UP算法�����、以及自己選擇的RRC加密算法和完整性保護算法����、UP加密算法包含在RRC Container 中。上述 RRC Container 禾口接收至Ij 的 NAS Container 包含在 Transparent Container 中����。步驟 46、Target eNB Mf 上述 Transparent Container 發(fā)送至Ij Target MME0步驟47��、Target MME將上述Transparent Container通過切換響應(yīng)發(fā)送到源 SGSN0步驟48、源SGSN將接收到的Transparent Container通過切換命令傳輸?shù)皆碅ccess Network����。步驟49、源 Access Network接收至Ij的 Transparent Container 中的內(nèi)容通過切換命令傳輸?shù)浇K端�����。步驟410�、終端根據(jù)接收到的上述Transparent Container中的RRC加密密鑰�����、UP 加密密鑰����、KASME、Knas, KeNB的參數(shù)���,相應(yīng)地派生RRC加密密鑰����、UP加密密鑰��、KASME、Knas, KeNB,并設(shè)定切換后相關(guān)的算法����。本發(fā)明實施例3提供的終端從UTRAN切換到LTE系統(tǒng)時,終端和LTE系統(tǒng)進行協(xié)商的處理流程包括如下步驟步驟51�����、首先終端的源系統(tǒng)決定終端進行切換�����,初始化切換請求���。然后從源SGSN 發(fā)送切換請求到Target MME��,該切換請求中包含終端的能力信息(包括終端支持的NAS�����、 RRC和UP算法列表)和源系統(tǒng)目前使用的密鑰信息(也可能是處理過的密鑰)����。步驟52��、Target MME根據(jù)收到的上述密鑰信息派生Kasme、派生KNAS�����、KeNB,選擇NAS 算法����。Target MME把自己選擇的NAS算法、派生Kasme�、派生Knas、派生KeNB的參數(shù)包含在NAS Container中�����。然后�,Target MME把派生的KeNB���,以及終端支持的RRC和UP算法列表以及上述NAS Container通過切換請求發(fā)送到Target eNB�。步驟53��、Target eNB選擇支持的RRC加密算法和完整性保護算法���、UP加密算法�, 根據(jù)接收到的ΚεΝΒ密鑰派生RRC加密密鑰和完整性密鑰、UP加密密鑰�����。然后���,Target eNB將自己派生的RRC加密密鑰�����、UP加密密鑰的參數(shù)�����,終端支持的 RRC算法和UP算法����、以及自己選擇的RRC加密算法和完整性保護算法�����、UP加密算法和接收至Ij的 NAS Container 包含在 Transparent Container 中���,并發(fā)送至Ij Target MME��。步驟54����、Target MME將上述Transparent Container通過切換響應(yīng)發(fā)送到源SGSN,源SGSN將接收到的Transparent Container通過切換命令傳輸?shù)皆碅ccess Network,源 Access Network 接收至Ij的 Transparent Container 中的內(nèi)容通過切換命令傳輸?shù)浇K端�。步驟55、終端根據(jù)接收到的上述Transparent Container中的RRC加密密鑰����、UP加密密鑰、派生Kasme�、派生Knas、派生K·的參數(shù)����,相應(yīng)地派生RRC加密密鑰、UP加密密鑰���、KASME、 KNAS> KeNB,并設(shè)定切換后相關(guān)的算法�����。本發(fā)明實施例4提供的終端從UTRAN切換到LTE系統(tǒng)時�,終端和LTE系統(tǒng)進行協(xié)商的處理流程包括如下步驟步驟61�����、首先終端的源系統(tǒng)決定終端進行切換����,初始化切換請求�����。然后從源SGSN 發(fā)送切換請求到Target MME��,該切換請求中包含終端的能力信息(包括終端支持的RRC和 UP算法列表)和源系統(tǒng)目前使用的密鑰信息(也可能是處理過的密鑰)�。步驟62、Target MME根據(jù)收到的上述密鑰信息派生Kasme���、派生KNAS�、KeNB,選擇NAS 算法����。然后,Target MME把UE支持的RRC和UP算法列表和KeNB發(fā)送到Target eNB��。 Target MME把自己選擇的NAS算法��、派生KASME、派生KNAS���、派生KeNB的參數(shù)包含在NAS Container 中���,將該 NAS Container 經(jīng)由源 SGSN 發(fā)送到源 Access Network。步驟63�����、Target eNB選擇支持的RRC加密算法和完整性保護算法�、UP加密算法, 根據(jù)接收到的ΚεΝΒ密鑰派生RRC加密密鑰和完整性密鑰��、UP加密密鑰�����。
Target eNB將自己派生的RRC加密密鑰���、UP加密密鑰的參數(shù),終端支持的RRC算法和UP算法�、以及自己選擇的RRC加密算法和完整性保護算法、UP加密算法包含在RRC Container 中����,并將該 RRC Container 的內(nèi)容發(fā)送到 Target MME���。步驟64、Target MME將上述RRC Container的內(nèi)容中通過切換響應(yīng)發(fā)送到源 SGSN���,源SGSN將接收到的RRC Container通過切換命令傳輸?shù)皆碅ccess Network�。源Access Network 把收到的 NAS Container 和 RRC Container 中的內(nèi)容發(fā)送到終端�����。步驟65�����、終端根據(jù)接收到的上述NAS Container和RRC Container中的內(nèi)容中的 RRC加密密鑰�、UP加密密鑰、KASME����、KNAS、KeNB的參數(shù)��,相應(yīng)地派生RRC加密密鑰、UP加密密鑰����、 KASME> Knas, Keffl密鑰,并設(shè)定切換后相關(guān)算法�。本發(fā)明實施例5提供的終端從UTRAN切換到LTE系統(tǒng)時,終端和LTE系統(tǒng)進行協(xié)商的處理流程包括如下步驟步驟71�����、首先終端的源系統(tǒng)決定終端進行切換���,初始化切換請求���。然后從Source SGSN發(fā)送切換請求到Target MME,該切換請求中包含終端的能力信息(包括終端支持的 RRC和UP算法列表)和源系統(tǒng)目前使用的密鑰信息(也可能是處理過的密鑰)����。步驟72、Target MME根據(jù)收到的上述密鑰信息派生Kasme���、派生KNAS��、KeNB,選擇NAS 算法��。所述Target MME將所述終端的能力信息和KeNB發(fā)送到Target eNB,將所述KASME����、 Knas> KeNB 的參數(shù)���、NAS 算法組成 NAS Container ��;步驟73����、Target eNB選擇支持的RRC加密算法和完整性保護算法�����、UP加密算法���, 根據(jù)接收到的ΚεΝΒ密鑰派生RRC加密密鑰和完整性密鑰���、UP加密密鑰。所述Target eNB將所述RRC加密密鑰��、UP加密密鑰的參數(shù)�,以及RRC加密算法、完整性保護算法和UP加密算法組成RRC Container,將該RRC Container發(fā)送到Target MME���, Target MME s^iM RRC Container 禾口 NAS Container 組成 Transparent Container�。并)If 該 Transparent Container 經(jīng)過源 SGSN 發(fā)送至Ij源 Access Network�����。源Access Network才巴收至Ij的Transparent Container中的內(nèi)容發(fā)送至Ij終端����。步驟74、終端根據(jù)接收到的上述NAS Container和RRC Container中的內(nèi)容中的 RRC加密密鑰����、UP加密密鑰、KASME����、KNAS、KeNB的參數(shù)����,相應(yīng)地派生RRC加密密鑰、UP加密密鑰�、 KASME> Knas, Keffl密鑰��,并設(shè)定切換后相關(guān)算法�。上述實施例1�、實施例2、實施例3和實施例4的處理流程是以終端從UTRAN切換到LTE系統(tǒng)的場景為例來描述的��,也適用從2G切換到LTE的場景����,其中2G和3G的網(wǎng)絡(luò)都 ^ PS(Packet Switching, IP 包交換)域的�����。如果終端從2G/3G的CS (Circuit Switching,電路交換)域切換到LTE系統(tǒng)��,那么要根據(jù)終端的具體切換流程來決定終端和LTE網(wǎng)絡(luò)間的安全協(xié)商過程�����。當(dāng)終端從2G/3G的CS域切換到LTE系統(tǒng)時��,如果終端是先與2G/3G的CS域斷開��, 然后再與LTE系統(tǒng)重建連接的情況����,終端可與LTE系統(tǒng)直接進行一次AKA (Authentication and Key Agreement����,鑒權(quán)和密鑰協(xié)商)過程�。當(dāng)終端從2G/3G的CS域切換到LTE系統(tǒng)時,如果終端是先從2G/3G的CS域切換到2G/3G的PS域��,然后再平滑切換到LTE系統(tǒng)�,終端和LTE系統(tǒng)間協(xié)商的安全關(guān)聯(lián)的過程與2G/3G的PS域切換到LTE系統(tǒng)一致。當(dāng)終端從2G/3G的CS域切換到LTE系統(tǒng)時�����,如果終端是先從2G/3G的CS域直接切換到LTE系統(tǒng)�����,那么終端和LTE間協(xié)商的安全關(guān)聯(lián)通過MSC (Mobile Services Switching Center�,移動服務(wù)交換中心)節(jié)點和目標(biāo)MME來傳遞。當(dāng)終端從2G/3G的CS域切換到LTE系統(tǒng)時���,如果終端是先從2G/3G的CS域之上的IMS(IP Multimedia Subsystem, IP多媒體系統(tǒng))切換到LTE系統(tǒng)�����,那么終端和LTE間協(xié)商的安全關(guān)聯(lián)通過IMS的相應(yīng)的CSCF(Call Session Control Function�����,呼叫會話控制功能)節(jié)點和目標(biāo)MME來傳遞����。本發(fā)明實施例提供了一種演進基站eNB設(shè)備,包括如下模塊密鑰和算法信息接收模塊��,用于接收目標(biāo)MME通過切換請求發(fā)送的NAS和AS的密鑰的參數(shù)和算法信息�����,以及終端的能力信息���;算法選擇和密鑰派生模塊,用于根據(jù)所述密鑰和算法信息接收模塊接收到的信息�����,選擇支持的RRC加密算法和完整性保護算法�����、UP加密算法;派生RRC加密密鑰��、UP加密密鑰��;Transparent Container組成模塊�,用于將所述密鑰和算法信息接收模塊獲得的 NAS和AS的密鑰的參數(shù)和算法信息,以及所述算法選擇和密鑰派生模塊獲得的RRC加密密鑰��、UP加密密鑰���、RRC加密算法���、完整性保護算法和UP加密算法,包含在Transparent Container 中�。本發(fā)明實施例提供了一種演進基站eNB設(shè)備,包括如下模塊密鑰和算法信息接收模塊����,用于接收目標(biāo)MME通過切換請求發(fā)送的NAS Container,以及KeNB和終端的能力信息;算法選擇和密鑰派生模塊��,用于根據(jù)密鑰和算法信息接收模塊接收到的K.和終端的能力信息�����,選擇支持的RRC加密算法和完整性保護算法、UP加密算法����;派生RRC加密密鑰、UP加密密鑰��;Transparent Container組成模塊���,用于將所述算法選擇和密鑰派生模塊獲得的 RRC加密密鑰��、UP加密密鑰的參數(shù)���、RRC加密算法和完整性保護算法�����、UP加密算法包含在RRC Container 中����,并將該 RRC Container 和所述 NAS Container 進行合并,包含在 Transparent Container 中���。本發(fā)明實施例提供了一種源接入網(wǎng)絡(luò)Access Network設(shè)備����,包括如下模塊NAS Container接收模塊,用于接收目標(biāo)MM E發(fā)送的NAS Container ;RRC Container組成模塊���,用于接收目標(biāo)MM E發(fā)送的RRC Container ��;Transparent Container組成模塊�,用于將所述NAS Container接收模塊接收到的所述NAS Container和所述RRC Container組成模塊接收到的所述RRC Container進行合
Transparent Container 中�����。本發(fā)明實施例提供了一種目標(biāo)移動管理實體Target MME,包括如下模塊算法選擇和密鑰派生模塊����,用于根據(jù)收到的源系統(tǒng)使用的密鑰信息派生Knas和 KeNB,選擇NAS算法��;將所述KeNB和終端的能力信息通過切換請求發(fā)送到目標(biāo)eNB �;NAS Container組成模塊,用于將所述NAS算法�、Knas、KeNB的參數(shù)組成NAS Container ���;
Transparent Container 組成模塊�����,用于接收目標(biāo) eNB 發(fā)送的 RRC ContainerJf 該 RRC Container 禾口所述 NAS Container 進行合并����,包含在 Transparent Container 中。綜上所述�,本發(fā)明實施例將LTE系統(tǒng)所選擇的NAS和AS的安全信息,以及終端支持的能力信息和Target eNB選擇的加密算法����,生成一個Transparent Container,將該 Transparent Container傳輸給終端,從而實現(xiàn)在終端從UTRAN切換到LTE系統(tǒng)時�,終端獲得LTE系統(tǒng)所選擇的NAS和AS的密鑰的參數(shù)信息,以及Target eNB選擇的加密算法�����,終端不增加信令實現(xiàn)LTE系統(tǒng)NAS和AS安全參數(shù)�����、安全算法和異系統(tǒng)的協(xié)商��,建立終端和LTE 系統(tǒng)的安全關(guān)聯(lián)�。本發(fā)明實施例兼容現(xiàn)有2G和3G間的切換信令流程,不增加額外信令實現(xiàn)LTE系統(tǒng)NAS和AS安全參數(shù)�、安全算法和異系統(tǒng)的協(xié)商。以上所述���,僅為本發(fā)明較佳的具體實施方式
��,但本發(fā)明的保護范圍并不局限于此�����, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可輕易想到的變化或替換�����, 都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)��。因此�,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準(zhǔn)。
權(quán)利要求
1.一種不同無線接入技術(shù)間切換時安全協(xié)商的方法��,其特征在于,包括終端接收源接入網(wǎng)絡(luò)發(fā)送的透明容器Transparent Container中的內(nèi)容���,所述透明容器包含目標(biāo)系統(tǒng)選擇的非接入層NAS安全信息和接入層AS安全信息�����,所述NAS安全信息和 AS安全信息由目標(biāo)基站包含在所述透明容器中�����;所述終端根據(jù)所述透明容器中的內(nèi)容與所述目標(biāo)系統(tǒng)進行安全協(xié)商�。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述方法還包括所述NAS安全信息由目標(biāo)移動管理實體MME選擇�;所述AS安全信息由所述目標(biāo)。
3.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于�,所述不同無線接入技術(shù)間的切換包括所述終端從通用地面無線接入網(wǎng)絡(luò)UTRAN切換到長期演進LTE網(wǎng)絡(luò)。
4.一種不同無線接入技術(shù)間切換時安全協(xié)商的方法��,其特征在于����,包括目標(biāo)基站接收目標(biāo)移動管理實體MME選擇的非接入層NAS安全信息;所述目標(biāo)基站選擇接入層AS安全信息��;所述目標(biāo)基站將所述NAS安全信息和所述AS安全信息包含在透明容器Transparent Container中���,所述透明容器中的內(nèi)容被發(fā)送給終端���。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�����,所述透明容器中的內(nèi)容用于所述終端根據(jù)所述透明容器中的內(nèi)容與目標(biāo)系統(tǒng)進行安全協(xié)商���。
6.根據(jù)權(quán)利要求4或5所述的方法����,其特征在于����,所述方法還包括所述目標(biāo)基站將所述透明容器發(fā)送到所述目標(biāo)MM E,所述透明容器被所述目標(biāo)MME發(fā)送到源服務(wù)GPRS支持節(jié)點SGSN���,并被所述源SGSN發(fā)送到源接入網(wǎng)絡(luò)����;所述透明容器中的內(nèi)容被所述源接入網(wǎng)絡(luò)傳輸?shù)剿鼋K端。
7.—種終端�,其特征在于,所述終端包括用于執(zhí)行如權(quán)利要求1-3任一所述方法的單元����。
8.根據(jù)權(quán)利要求7所述的終端,其特征在于�,所述終端包括用于接收源接入網(wǎng)絡(luò)發(fā)送的透明容器Transparent Container中的內(nèi)容的單元,所述透明容器包含目標(biāo)系統(tǒng)選擇的非接入層NAS安全信息和接入層AS安全信息����,所述NAS安全信息和AS安全信息由目標(biāo)基站包含在所述透明容器中;以及�����,用于根據(jù)所述透明容器中的內(nèi)容與所述目標(biāo)系統(tǒng)進行安全協(xié)商的單元�。
9.一種基站設(shè)備,其特征在于��,包括密鑰和算法信息接收模塊���,用于接收目標(biāo)移動管理實體MME選擇的非接入層NAS安全 fn息�;算法選擇和密鑰派生模塊�����,用于選擇接入層AS安全信息�����;以及�,透明容器Transparent Container組成模塊,用于將所述NAS安全信息和所述AS安全信息包含在透明容器Transparent Container中����。
10.如權(quán)利要求9所述的基站設(shè)備,其特征在于��,還包括用于將所述透明容器發(fā)送到所述目標(biāo)MME的單元��。
全文摘要
本發(fā)明實施例提供了一種不同無線接入技術(shù)間切換時安全協(xié)商的方法和裝置���,該方法主要包括當(dāng)終端在不同無線接入技術(shù)間進行切換時����,將目標(biāo)系統(tǒng)所選擇的NAS(非接入層)和AS(接入層)的安全信息包含在Transparent Container(透明容器)中;將所述Transparent Container中的內(nèi)容傳輸給所述終端�����,終端根據(jù)所述Transparent Container中的內(nèi)容與所述目標(biāo)系統(tǒng)進行安全協(xié)商�。該裝置主要包括eNB(演進基站)設(shè)備和源Access Network(接入網(wǎng)絡(luò))設(shè)備。利用本發(fā)明�����,可以在終端從異系統(tǒng)(通用地面無線接入網(wǎng)路)切換到LTE(長期演進)系統(tǒng)時�����,終端獲得LTE系統(tǒng)所選擇的NAS和AS的密鑰的參數(shù)信息���,與LTE系統(tǒng)進行安全協(xié)商��。
文檔編號H04W36/14GK102209320SQ201110165569
公開日2011年10月5日 申請日期2007年5月15日 優(yōu)先權(quán)日2007年5月15日
發(fā)明者徐小英, 陳璟 申請人:華為技術(shù)有限公司