[go: up one dir, main page]

CN101267670B - 用于不同接入系统之间密钥生存计数器的初始化设置方法 - Google Patents

用于不同接入系统之间密钥生存计数器的初始化设置方法 Download PDF

Info

Publication number
CN101267670B
CN101267670B CN200810066802A CN200810066802A CN101267670B CN 101267670 B CN101267670 B CN 101267670B CN 200810066802 A CN200810066802 A CN 200810066802A CN 200810066802 A CN200810066802 A CN 200810066802A CN 101267670 B CN101267670 B CN 101267670B
Authority
CN
China
Prior art keywords
counter
nas
count
key
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200810066802A
Other languages
English (en)
Other versions
CN101267670A (zh
Inventor
张旭武
甘露
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xuzhou Naili Macromolecule Technology Co Ltd
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200810066802A priority Critical patent/CN101267670B/zh
Publication of CN101267670A publication Critical patent/CN101267670A/zh
Application granted granted Critical
Publication of CN101267670B publication Critical patent/CN101267670B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

一种用于不同接入系统之间密钥生存计数器的初始化设置方法,用户设备从演进的陆地无线接入网向陆地无线接入网移动,需进行小区重选时,执行以下步骤:所述用户设备决定小区重选到UMTS网络时,将计数器COUNT-NAS的高位有效值至少加1作为计数器START的初始值,然后,发送小区重选请求给目标服务UMTS网络;其中,计数器START是陆地无线接入网的完整性密钥IK和加密密钥CK的生存计数器,计数器COUNT-NAS是记录已受到演进的陆地无线接入网的非接入层完整性保护密钥KNAS-int和机密性保护密钥KNAS-enc保护的网络接入服务器信令数量的计数器。本发明可以避免UE在UTRAN和EUTRAN间移动发起小区重选时,密钥生存期被延长的安全漏洞。

Description

用于不同接入系统之间密钥生存计数器的初始化设置方法
技术领域
本发明涉及移动通信领域,尤其涉及一种用于不同接入系统之间密钥生存计数器初始化设置的方法。
背景技术
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)演进的分组系统(Evolved Packet System,简称EPS)由演进的陆地无线接入网(Evolved UMTS Terrestrial Radio Access Network,简称EUTRAN)和EPS核心网(Evolved Packet Core,简称EPC)组成。
其中,EPC包含移动管理单元(MME,Mobility Management Entity),移动管理单元负责移动性的管理、非接入层信令的处理、以及用户安全模式的管理等控制面相关工作。其中,MME保存EUTRAN的根密钥KASME(KeyAccess Security Management Entity,接入安全管理实体秘钥),以及由KASME生成的非接入层完整性保护密钥KNAS-int(Key Non Access Stratum integrity)和机密性保护密钥KNAS-enc(Key Non Access Stratum encryption)。同时UE(User Equipment,用户设备)也保存着这三个密钥。UE和MME中还存在一个计数器COUNT-NAS,负责记录已经受到密钥KNAS-int和KNAS-enc保护的NAS(Network Access Server,网络接入服务器)信令数量。COUNT-NAS的值有两个作用,一个是用来做NAS层完整性保护和机密性保护的输入参数,另外一个是用来严格限制密钥KASME的生存时间,当COUNT-NAS的值到达运营商设定的门阀值,UE和网络侧将触发新的认证和密钥协商机制(AKA,Authentication and key agreement)来产生新的KASME,同时所有EPS计数器置为0。在建立连接时,UE和MME使用START-NAS的值来记录计数器COUNT-NAS的高位有效值。UE使用START-NAS来初始化计数器COUNT-NAS,即将START-NAS的值作为COUNT-NAS的高位有效比特位(MSB:Most Significance Bit,其具体位数由标准定义)的值即高位有效值,在断开连接时,UE使用COUNT-NAS的高位有效比特位的值更新START-NAS的值。
3GPP UMTS(Universal Mobile Telecommunications System,通用移动通信系统)系统中负责移动性上下文的管理、和/或用户安全模式的管理的设备是SGSN(Serving GPRS Support Node,服务GPRS支持节点)。SGSN还负责认证UE,并且生成密钥IK(Integrity Key,完整性密钥),CK(CipheringKey,加密密钥)。3GPP UMTS系统的接入系统为UTRAN(UMTS TerrestrialRadio Access Network,无线接入网)。
同时UE也生成IK,CK。在PS域,UE使用计数器START记录受到密钥IK和CK保护的信令数量,当START的值到达设定的门阀值时,将触发UE和SGSN作新的AKA,产生新的IK,CK,同时START值置0,因此在UMTS,计数器START是密钥IK和CK的生存计数器,它严格限制了密钥的生存时间。在建立连接时,UE和RNC(无线网络控制器,RadioNetwork Controller)或SGSN使用START的值用来初始化计数器COUNT-I和COUNT-C的高位有效比特位的值,在断开连接时,UE使用COUNT-I和COUNT-C的高位有效比特位的值更新START的值。其中计数器COUNT-I是记录已受到演进的陆地无线接入网的完整性密钥IK保护的网络接入服务器信令数量的计数器,COUNT-C是记录已受到演进的陆地无线接入网的加密密钥IK保护的网络接入服务器信令数量的计数器。
UE从UTRAN移动到EUTRAN时,UE和MME使用IK和CK来产生K-ASME,同时使用COUNT-NAS来做K-ASME的生存计数器,IK和CK称为K-ASME的父密钥,K-ASME则称为CK,IK的子密钥。当UE从EUTRAN转移到UTRAN时,UE和SGSN/RNC使用K-ASME来产生密钥IK和CK,同时使用START来限制CK,IK的生存时间,K-ASME称为IK和CK的父密钥,IK和CK为K-ASME的子密钥。
由于UE在UTRAN和EUTRAN之间进行小区重选(TAU,Tracking AreaUpdate)时,没有强制要求重新使用AKA来进行密钥更新,由父密钥产生的子密钥可能会继续使用一段时间。
在现有技术中,在UTRAN和EUTRAN之间小区重选时,没有对UE计数器进行相互延续累加,而是直接将计数器初始值设置为0,以致TAU后,密钥的生存周期没有包含其父密钥的已生存时间,造成密钥生存期被延长的安全漏洞。
发明内容
本发明提供一种用于不同接入系统之间密钥生存计数器的初始化设置方法,以避免UE在UTRAN和EUTRAN间移动发起小区重选时,密钥生存期被延长的安全漏洞。
为了解决上述技术问题,本发明还提供了一种用于不同接入系统之间密钥生存计数器的初始化设置方法,其特征在于,用户设备从演进的陆地无线接入网向陆地无线接入网移动,需进行小区重选时,执行以下步骤:
所述用户设备决定小区重选到UMTS网络时,将计数器COUNT-NAS的高位有效值至少加1作为计数器START的初始值;然后,发送小区重选请求给目标服务UMTS网络;
其中,计数器START是陆地无线接入网的完整性密钥IK和加密密钥CK的生存计数器,计数器COUNT-NAS是记录已受到演进的陆地无线接入网的非接入层完整性保护密钥KNAS-int和机密性保护密钥KNAS-enc保护的网络接入服务器信令数量的计数器。
进一步地,上述方法还可具有以下特点:
所述用户设备是先将计数器COUNT-NAS的高位有效值至少加1后,赋给计数器START-NAS,然后将计数器START的值初始化为计数器START-NAS的值;其中计数器START-NAS是用于记录计数器COUNT-NAS的高位有效值的计数器。
进一步地,上述方法还可具有以下特点:
所述用户设备是先将计数器COUNT-NAS的高位有效值加2后,赋给计数器START-NAS;然后将计数器START的值初始化为计数器START-NAS的值,即START=START-NAS=MSB(COUNT-NAS)+2;其中计数器START-NAS是用于记录计数器COUNT-NAS的高位有效值的计数器,所述MSB为高位有效值。
进一步地,上述方法还可具有以下特点:
所述UMTS网络收到所述用户设备发送小区重选请求后,发送上下文请求至源移动管理单元;所述源移动管理单元收到后,发送上下文响应到所述UMTS网络;UMTS网络再向所述用户设备发送小区重选确认,通知其网络已接受小区重选请求;所述用户设备向目标移动管理单元发送小区重选完成消息,确认小区重选已完成。
进一步地,上述方法还可具有以下特点:
所述用户设备在小区重选完成后发起的RRC连接的过程中,所述用户设备和所述UMTS网络再用所述START值来初始化计数器COUNT-I、COUNT-C,其中COUNT-I是记录已受到演进的陆地无线接入网的完整性密钥IK保护的网络接入服务器信令数量的计数器,COUNT-C是记录已受到演进的陆地无线接入网的加密密钥CK保护的网络接入服务器信令数量的计数器。
本发明所述方法,由于采用START和START-NAS进行延续,并用其来初始化相关计数器,克服了现有技术中UE在UTRAN和EUTRAN之间TAU时,密钥使用周期被延长的安全缺陷。
附图说明
图1为本发明实施例UE从UTRAN移动到EUTRAN进行TAU时,UE计数器初始化设置方法的信令流程图;
图2为本发明另一实施例UE从EUTRAN移动到UTRAN进行TAU时,计数器初始化设置方法的信令流程图。
具体实施方式
本发明的构思是:UE在不同接入系统之间移动,需进行小区重选时,利用原接入系统中的START值,初始化目标系统中的START值,并且在建立连接时,使用目标系统中的START值初始化目标系统中的计数器。
旨在提供一种在UE进行UTRAN和EUTRAN之间的TAU后,计数器的初始化方法,使得子密钥生命周期延续TAU前其父密钥的生存时间,并且在TAU成功后,继续累加子密钥的生存时间,从而避免子密钥的生存时间被延长。
以下结合附图和具体实施方式对本发明所述技术方案进行详细描述。
第一实施例
本实施例是UE在空闲状态下,从UTRAN向EUTRAN移动,需进行小区重选时,对计数器进行初始化设置的方法。其信令流程如图1所示,包括以下步骤:
步骤101:UE对START-NAS进行初始化设置,令START-NAS=START,然后使用START-NAS对COUNT-NAS进行初始化设置;
对COUNT-NAS进行初始化设置时,即将START-NAS的值作为COUNT-NAS的高位有效比特位的值,用公式可以表示为MSB(COUNT-NAS)=START-NAS,COUNT-NAS的其余比特位置为0。
该步中UE还需使用IK和CK来生成K-ASME,KNAS-int和KNAS-enc,因为需要在后续的TAU请求中使用该密钥进行完整性保护。
步骤102:UE向目标MME发TAU请求,同时将START-NAS发给目标MME;
步骤103:目标MME向源SGSN发上下文请求,请求源SGSN传送IK,CK等用户信息;
步骤104:源SGSN向目标MME发上下文响应,将CK,IK等用户相关信息传给目标MME;
步骤105:目标MME使用START-NAS对COUNT-NAS进行初始化设置;
这里目标MME也使用IK和CK来生成K-ASME,KNAS-int和KNAS-enc,用于后续消息的加密保护。
步骤106:目标MME通知UE,TAU已被接受;
步骤107:UE发TAU完成消息,确认TAU已完成。
第二实施例
本实施例是UE在空闲状态下,从EUTRAN和UTRAN移动,需要进行TAU时,对计数器进行初始化设置的方法。如图2所示,包括以下步骤:
步骤201:UE决定小区重选到UMTS网络时,用COUNT-NAS的值初始化START和设置START-NAS,即将COUNT-NAS的高位有效比特位的值(也称为高位有效值)加上2(这里也可以加不少于1的其他整数)后赋给START-NAS,可表示为START-NAS=MSB 20(COUNT-NAS)+2,同时对START进行初始化,START=START-NAS
步骤202:UE发TAU请求到目标SGSN;
步骤203:目标SGSN发上下文请求至源MME;
步骤204:源MME发上下文响应到目标SGSN;
步骤205:目标SGSN向UE发送小区重选确认,通知UE网络已接受TAU;
步骤206:UE发TAU完成确认消息。
在小区重选时,SGSN不对START进行初始化设置,在UE发起RRC连接后,UE和SGSN再用START值初始化COUNT-I、COUNT-C。
从上述描述中,由于采用START和START-NAS进行延续,并用其来初始化相关计数器,克服了现有技术中UE在UTRAN和EUTRAN之间TAU时,密钥使用周期被延长的安全缺陷。
以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (5)

1.一种用于不同接入系统之间密钥生存计数器的初始化设置方法,其特征在于,用户设备从演进的陆地无线接入网向陆地无线接入网移动,需进行小区重选时,执行以下步骤:
所述用户设备决定小区重选到UMTS网络时,将计数器COUNT-NAS的高位有效值至少加1作为计数器START的初始值;然后,发送小区重选请求给目标服务UMTS网络;
其中,计数器START是陆地无线接入网的完整性密钥IK和加密密钥CK的生存计数器,计数器COUNT-NAS是记录已受到演进的陆地无线接入网的非接入层完整性保护密钥KNAS-int和机密性保护密钥KNAS-enc保护的网络接入服务器信令数量的计数器。
2.如权利要求1所述的初始化设置方法,其特征在于:
所述用户设备是先将计数器COUNT-NAS的高位有效值至少加1后,赋给计数器START-NAS,然后将计数器START的值初始化为计数器START-NAS的值;其中计数器START-NAS是用于记录计数器COUNT-NAS的高位有效值的计数器。
3.如权利要求1或2所述的初始化设置方法,其特征在于:
所述用户设备是先将计数器COUNT-NAS的高位有效值加2后,赋给计数器START-NAS;然后将计数器START的值初始化为计数器START-NAS的值,即START=START-NAS=MSB(COUNT-NAS)+2;其中计数器START-NAS是用于记录计数器COUNT-NAS的高位有效值的计数器,所述MSB为高位有效值。
4.如权利要求1或2所述的初始化设置方法,其特征在于:
所述目标服务UMTS网络收到所述用户设备发送小区重选请求后,发送上下文请求至源移动管理单元;所述源移动管理单元收到后,发送上下文响应到所述目标服务UMTS网络;所述目标服务UMTS网络再向所述用户设备发送小区重选确认,通知其网络已接受小区重选请求;所述用户设备向目标移动管理单元发送小区重选完成消息,确认小区重选已完成。
5.如权利要求1或2所述的初始化设置方法,其特征在于:
所述用户设备在小区重选完成后发起的RRC连接的过程中,所述用户设备和所述目标服务UMTS网络再用所述START值来初始化计数器COUNT-I、COUNT-C,其中COUNT-I是记录已受到演进的陆地无线接入网的完整性密钥IK保护的网络接入服务器信令数量的计数器,COUNT-C是记录已受到演进的陆地无线接入网的加密密钥CK保护的网络接入服务器信令数量的计数器。
CN200810066802A 2008-04-15 2008-04-15 用于不同接入系统之间密钥生存计数器的初始化设置方法 Expired - Fee Related CN101267670B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200810066802A CN101267670B (zh) 2008-04-15 2008-04-15 用于不同接入系统之间密钥生存计数器的初始化设置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810066802A CN101267670B (zh) 2008-04-15 2008-04-15 用于不同接入系统之间密钥生存计数器的初始化设置方法

Publications (2)

Publication Number Publication Date
CN101267670A CN101267670A (zh) 2008-09-17
CN101267670B true CN101267670B (zh) 2012-09-05

Family

ID=39989724

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810066802A Expired - Fee Related CN101267670B (zh) 2008-04-15 2008-04-15 用于不同接入系统之间密钥生存计数器的初始化设置方法

Country Status (1)

Country Link
CN (1) CN101267670B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101304311A (zh) * 2008-06-12 2008-11-12 中兴通讯股份有限公司 密钥生成方法和系统
CN101409897B (zh) * 2008-10-31 2012-12-19 中兴通讯股份有限公司 计数器控制方法和装置
US10542463B2 (en) * 2017-02-05 2020-01-21 Nokia Of America Corporation System and method for secure cell redirection in wireless networks

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6229806B1 (en) * 1997-12-30 2001-05-08 Motorola, Inc. Authentication in a packet data system
CN1404267A (zh) * 2002-10-01 2003-03-19 华中科技大学 一种安全网络传输方法及其系统
CN1564509A (zh) * 2004-03-23 2005-01-12 中兴通讯股份有限公司 一种无线局域网中密钥协商方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6229806B1 (en) * 1997-12-30 2001-05-08 Motorola, Inc. Authentication in a packet data system
CN1404267A (zh) * 2002-10-01 2003-03-19 华中科技大学 一种安全网络传输方法及其系统
CN1564509A (zh) * 2004-03-23 2005-01-12 中兴通讯股份有限公司 一种无线局域网中密钥协商方法

Also Published As

Publication number Publication date
CN101267670A (zh) 2008-09-17

Similar Documents

Publication Publication Date Title
CN101232736B (zh) 用于不同接入系统之间密钥生存计数器的初始化设置方法
CN101232731B (zh) 用于ue从utran切换到eutran的密钥生成方法和系统
TWI750130B (zh) 用於涉及行動性管理實體重定位的行動性程序的裝置和方法
CN112566112B (zh) 用于无线通信的装置、方法和存储介质
KR101102708B1 (ko) 롱 텀 에볼루션 무선 장치에서 비액세스 계층(nas) 보안을 이행하기 위한 방법 및 장치
CN101257723A (zh) 密钥生成方法、装置及系统
TWI383639B (zh) 處理金鑰變更之方法及通訊裝置
CN101267668B (zh) 密钥生成方法、装置及系统
CN101521873B (zh) 启用本地安全上下文的方法
EP2034658B1 (en) Method and system for distributing key in wireless network
CN101304311A (zh) 密钥生成方法和系统
CN101483865A (zh) 一种密钥更替方法、系统及设备
EP3197191A1 (en) Method and devices for avoiding network security desynchronization
CN101720539A (zh) 密钥刷新sae/lte系统
KR20130114561A (ko) 무선 통신 장치에서의 로컬 보안 키 업데이트
JP2017520203A (ja) 無線アクセス・ネットワークからセキュリティを提供する方法およびシステム。
WO2009152755A1 (zh) 密钥身份标识符的生成方法和系统
CN102137400A (zh) 一种rrc连接重建立时的安全处理方法和系统
CN101299888B (zh) 密钥生成方法、切换方法、移动管理实体和用户设备
CN101925059A (zh) 一种切换的过程中密钥的生成方法及系统
CN101267670B (zh) 用于不同接入系统之间密钥生存计数器的初始化设置方法
CN101355507B (zh) 更新跟踪区时的密钥生成方法及系统
CN101005489A (zh) 一种保护移动通信系统网络安全的方法
CN102318259B (zh) 用于业务计数密钥管理和密钥计数管理的方法和装置
CN101867925A (zh) 空口密钥处理方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20180103

Address after: 221000 east of Qingshan Road, Jiawang District, Jiangsu City, Xuzhou province two

Patentee after: XUZHOU NAILI MACROMOLECULE TECHNOLOGY CO., LTD.

Address before: 518057 Nanshan District high tech Industrial Park, Guangdong, South Road, science and technology, ZTE building, legal department

Patentee before: ZTE Corporation

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120905

Termination date: 20180415