CN101742498A - 空口密钥的管理方法和系统 - Google Patents
空口密钥的管理方法和系统 Download PDFInfo
- Publication number
- CN101742498A CN101742498A CN200910261635A CN200910261635A CN101742498A CN 101742498 A CN101742498 A CN 101742498A CN 200910261635 A CN200910261635 A CN 200910261635A CN 200910261635 A CN200910261635 A CN 200910261635A CN 101742498 A CN101742498 A CN 101742498A
- Authority
- CN
- China
- Prior art keywords
- key
- message
- node
- sgsn
- vlr
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title abstract description 16
- 238000000034 method Methods 0.000 claims abstract description 47
- 230000004044 response Effects 0.000 claims description 28
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 claims description 24
- 238000012790 confirmation Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/10—Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种空口密钥的管理方法和系统,涉及通信领域;所述方法,包括:SGSN+或MSC/VLR+向Node B+发送密钥分发消息,携带中间密钥KASMEU,或者加密密钥CKU和完整性密钥IKU中的至少一个。
Description
技术领域
本发明涉及通信领域,尤其涉及一种空口密钥的管理方法和系统。
背景技术
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)在Release7中采用了OFDM和MIMO技术完成HSDPA(High Speed DownlinkPacket Access,高速下行链路分组接入)和HSUPA(High Speed Uplink PacketAccess,高速上行链路分组接入)的未来演进道路HSPA+。HSPA+是3GPPHSPA(包括HSDPA和HSUPA)的增强技术,为HSPA运营商提供低复杂度、低成本的从HSPA向LTE平滑演进的途径。
HSPA+通过采用高阶调制(下行64QAM、上行16QAM)、MIMO以及高阶段调制与MIMO的结合等技术,提升了峰值数据速率与频谱效率。另一方面,为了更好的支持分组业务,HSPA+还采用了一系列其它增强技术来达到增加用户容量、降低时延、降低终端耗电,更好地支持IP语音通信(VOIP)以及提升系统的多播/广播能力等目标。
相比较于HSPA,HSPA+在系统架构上将RNC的功能下放到基站NodeB,形成完全扁平化的无线接入网络架构,如图1所示。此时称集成了完全RNC功能的Node B为Evolved HSPA Node B,或者简称Node B+。SGSN+为进行了升级能支持HSPA+功能的SGSN。ME+为能支持HSPA+功能的用户终端设备。演进的HSPA系统能够使用3GPP Rel-5和以后的空口版本,对空口的HSPA业务没有任何修改。采用这种方案后,每个Node B+都成为一个相当于RNC的节点,具有Iu-PS接口能够直接与PS CN连接,Iu-PS用户面在SGSN终结,其中如果网络支持直通隧道功能,Iu-PS用户面也可以在GGSN终结。演进的HSPA Node B之间的通信通过Iur接口执行。Node B+具有独立组网的能力,并支持完整的移动性功能,包括系统间和系统内切换。
由于扁平化后,用户面数据可以不经过RNC,直接到达GGSN,这意味着用户平面的加密和完整性保护功能必须前移至Node B+。目前爱立信提出的HSPA+安全密钥层次结构如图2所示。其中,K、CK(Ciphering Key,即加密密钥)和IK(Integrity Key,即完整性密钥)的定义与UMTS(UniversalMobile Telecommunications System,通用移动通信系统)中完全一致。即K是存储于AuC(Authentication Center,鉴权中心)和USIM(UNIVERSALSUBSCRIBER IDENTITY MODULE,通用订阅者身份模块)中的根密钥,CK和IK是用户设备与HSS进行AKA(Authentication and Key Agreement,认证和密钥协定)时由K计算出的加密密钥和完整性密钥。在UMTS中,RNC即使用CK和IK对数据进行加密和完整性保护。由于HSPA+架构中,将RNC的功能全部下放到基站Node B+,则加解密都需在Node B+处进行。而Node B+位于不安全的环境中,安全性不是特别高。因此HSPA+引入了一个类似于EUTRAN(Evolved Universal Terrestrial Radio Access Network,演进的通用陆地无线接入网络)的密钥层次,即UTRAN密钥层次(UTRANKey Hierarchy)。在UTRAN密钥层次结构中,中间密钥KASMEU是HSPA+新引入的密钥,由CK和IK推导生成。进一步地,KASMEU生成CKU和IKU,其中CKU用于加密用户面数据和控制面信令,IKU用于对控制面信令进行完整性保护。
但是目前的3GPP标准中,现有技术中没有一种对KASMEU、CKU和IKU的生成和分发方法。
在HSPA+架构中,我们将Node B+看做Node B和RNC的结合,二者是一个物理实体,但是仍然是2个不同的逻辑实体。因此本发明中支持HSPA+密钥层次的Node B+也可以等同为UMTS中进行了升级的RNC,即我们可以称之为RNC+。
发明内容
本发明提供的空口密钥的管理方法和系统,实现空口密钥的生成和分发。
为达到上述发明目的,本发明提供了如下技术方案:
一种空口密钥的管理方法,其特征在于,包括:
SGSN+或MSC/VLR+向Node B+发送密钥分发消息,携带中间密钥KASMEU,或者加密密钥CKU和完整性密钥IKU中的至少一个。
进一步的,所述方法还具有如下特点:
如果所述密钥分发消息中携带的是中间密钥KASMEU,还包括:
所述Node B+根据所述中间密钥KASMEU,推导生成加密密钥CKU和/或完整性密钥IKU。
进一步的,所述方法还具有如下特点:
所述密钥分发消息中的加密密钥CKU和/或完整性密钥IKU是所述SGSN+或MSC/VLR+根据中间密钥KASMEU生成的。
进一步的,所述方法还具有如下特点:
所述中间密钥KASMEU是所述SGSN+或MSC/VLR+根据CK和IK推导生成的。
进一步的,所述方法还具有如下特点:所述方法还包括:
所述Node B+向UE+发送密钥分发消息。
进一步的,所述方法还具有如下特点:所述方法还包括:
所述UE+对所述密钥分发消息进行成功验证后,向所述Node B+发送密钥分发响应消息;
所述Node B+收到该消息并进行成功验证或解密后,向所述SGSN+或MSC/VLR+发送密钥分发响应消息。
进一步的,所述方法还具有如下特点:
所述SGSN+或MSC/VLR+在满足如下任一条件时进行空口密钥的管理,包括:
所述SGSN+或MSC/VLR+成功完成一次AKA;
所述CK、所述IK和所述KASMEU中至少一个发生更新;
所述SGSN+或MSC/VLR+更改加密和/或完整性算法。
进一步的,所述方法还具有如下特点:
所述SGSN+或MSC/VLR+向所述Node B+发送的密钥分发消息包括如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述Node B+向所述UE+发送的密钥分发消息携带如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述的密钥分发响应消息携带如下参数之一或其任意组合:选择的加密算法和/或完整性算法。
进一步的,所述方法还具有如下特点:
所述密钥分发消息包括:安全模式命令消息、附着接受消息、初始上下文建立消息、RRC连接重配置消息、位置更新确认消息;
所述密钥分发响应消息包括:安全模式完成消息,附着完成消息,RRC连接重配置完成消息,TMSI分配完成消息。
进一步的,所述方法还具有如下特点:
所述KASMEU的生成参数包括IK、CK和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、认证管理字段(AMF)、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-ID)、重入网计数器值(COUNTER)。
进一步的,所述方法还具有如下特点:
所述CKU和所述IKU的生成参数包括所述KASMEU和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、认证管理字段(AMF)、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-I)、物理小区标识(PCI)、下行链路或上行链路的绝对无线频率信道号(ARFCN)、重入网计数器值(COUNTER)。
进一步的,所述方法还具有如下特点:
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括随机数NONCE,且由所述SGSN+或MSC/VLR+生成,则所述SGSN+或MSC/VLR+向所述Node B+发送所述随机数NONCE,所述Node B+向所述UE+发送所述随机数NONCE;
如果所述CKU和/或所述IKU的生成参数包括随机数NONCE,且由所述Node B+生成,则所述Node B+向所述UE+发送所述随机数NONCE。
进一步的,所述方法还具有如下特点:
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括重入网计数器(COUNTER),则所述重入网计数器由用户侧和网络侧(SGSN+或MSC/VLR+或Node B+)分别保存管理;
在一次成功的AKA过程后初始化置为0或1;和/或,
在UE+发生切换(包括服务RNC迁移)、跟踪区更新或者退出Idle模式重入网时,所述重入网计数器值递增一,触发所述KASMEUU和/或CKU/IKU进行更新。
一种空口密钥管理系统,包括SGSN+或MSC/VLR+、Node B+和UE+,包括:
所述SGSN+或MSC/VLR+向所述Node B+发送密钥分发消息,携带中间密钥KASMEU,或者加密密钥CKU和完整性密钥IKU中的至少一个。
进一步的,所述系统还具有如下特点:
如果所述密钥分发消息中携带的是中间密钥KASMEU,还包括:
所述Node B+根据所述中间密钥KASMEU,推导生成所述加密密钥CKU和/或完整性密钥IKU。
进一步的,所述系统还具有如下特点:所述密钥分发消息中的加密密钥CKU和/或完整性密钥IKU是所述SGSN+或MSC/VLR+根据中间密钥KASMEU生成的。
进一步的,所述系统还具有如下特点:所述中间密钥KASMEU是所述SGSN+或MSC/VLR+根据CK和IK推导生成的。
进一步的,所述系统还具有如下特点:所述系统还包括:
所述Node B+向UE+发送密钥分发消息。
进一步的,所述系统还具有如下特点:所述系统还包括:
所述UE+收到上述密钥分发消息并进行成功验证后,向Node B+发送密钥分发响应消息,Node B+收到该消息并进行成功验证或解密后,向SGSN+或MSC/VLR+发送密钥分发响应消息。
进一步的,所述系统还具有如下特点:
所述SGSN+或MSC/VLR+在满足如下任一条件时进行空口密钥的管理,包括:
所述SGSN+或MSC/VLR+成功完成一次AKA;
所述CK、所述IK和所述KASMEU中至少一个发生更新;
所述SGSN+或MSC/VLR+更改加密和/或完整性算法。
进一步的,所述系统还具有如下特点:
所述SGSN+或MSC/VLR+向所述Node B+发送的密钥分发消息包括如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述Node B+向所述UE+发送的密钥分发消息携带如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述的密钥分发响应消息携带如下参数之一或其任意组合:选择的加密算法和/或完整性算法。
进一步的,所述系统还具有如下特点:
所述密钥分发消息包括:安全模式命令消息、附着接受消息、初始上下文建立消息、RRC连接重配置消息、位置更新确认消息;
所述密钥分发响应消息包括:安全模式完成消息,附着完成消息,RRC连接重配置完成消息,TMSI分配完成消息。
进一步的,所述系统还具有如下特点:
所述KASMEU的生成参数包括IK、CK和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、认证管理字段AMF、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-ID)、重入网计数器值(COUNTER)。
进一步的,所述系统还具有如下特点:
所述CKU和/或所述IKU的生成参数包括所述KASMEU和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、认证管理字段AMF、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-I)、物理小区标识(PCI)、下行链路或上行链路的绝对无线频率信道号(ARFCN)、重入网计数器值(COUNTER)。
进一步的,所述系统还具有如下特点:
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括随机数NONCE,且由所述SGSN+或MSC/VLR+生成,则所述SGSN+或MSC/VLR+向所述Node B+发送所述随机数NONCE,所述Node B+向所述UE+发送所述随机数NONCE;
如果所述CKU和/或所述IKU的生成参数包括随机数NONCE,且由所述Node B+生成,则所述Node B+向所述UE+发送所述随机数NONCE。
进一步的,所述系统还具有如下特点:
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括重入网计数器(COUNTER),则所述重入网计数器由用户侧和网络侧(SGSN+或MSC/VLR+或Node B+)分别保存管理;
在一次成功的AKA过程后初始化置为0或1;和/或,
在UE+发生切换(包括服务RNC迁移)、跟踪区更新或者退出Idle模式重入网时,所述重入网计数器值递增一,触发所述KASMEU和/或CKU/IKU进行更新。
本发明提供的技术方案,SGSN+或MSC/VLR+生成空口密钥并发送给Node B+,或者,SGSN+或MSC/VLR+将密钥材料发送给Node B+,再由Node B+生成空口密钥,本发明提供了空口密钥的生成和分发流程,实现空口密钥的生成和分发。
附图说明
图1为现有技术中采用HSPA+技术的无线接入网络的架构示意图;
图2为现有技术中HSPA+安全密钥层次结构示意图;
图3为实施例一中空口密钥的生成和分发的方法流程图;
图4为实施例二中空口密钥的生成和分发的方法流程图。
具体实施方式
下面结合附图对本发明实施例提供的技术方案作进一步介绍。
本实施例说明了用户设备和基站通过安全模式命令流程分发空口密钥的一种示例,如图3所示。步骤说明如下:
实施例1
本实施例说明了用户设备和基站通过密钥分发流程分发空口密钥的一种示例,在本实施例中SGSN+或MSC/VLR+生成空口密钥后,向Node B+分发密钥,具体过程如图3所示:
步骤301、SGSN+或MSC/VLR+根据从HSS处接收到的加密密钥CK和完整性密钥IK计算中间密钥KASMEU。
可选地,本步骤还包括:SGSN+或MSC/VLR+决定允许的加密算法集和/或完整性算法集。其中SGSN+或MSC/VLR+使用的加密算法集和/或完整性算法集可以是预先决定的算法,也可以是重新决定的算法。
其中所述KASMEU的生成参数还可以如下参数的一种或多种包括:
由SGSN+或MSC/VLR+生成的随机数NONCE、服务网络标识(SN ID)、序列号SQN、隐藏密钥AK、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识enc-int-ID、完整性算法标识int-alg-ID、认证管理字段AMF、重入网计数器COUNTER。
步骤302、SGSN+或MSC/VLR+根据中间密钥KASMEU计算HSPA+的加密密钥CKU和完整性密钥IKU。
其中所述加密密钥CKU和完整性密钥IKU的生成参数还可以如下参数的一种或多种,包括:
由SGSN+或MSC/VLR+生成的随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、包括IMSI、IMEI、TMSI在内用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-I)、认证管理字段AMF、物理小区标识(PCI)、下行链路或上行链路绝对无线频率信道号(ARFCN)、重入网计数器(COUNTER)。
步骤303、SGSN+或MSC/VLR+向Node B+发送密钥分发消息,该消息携带以下参数之一或其任意组合:CKU,IKU,用户设备安全能力,密钥集标识,选择的加密算法集和/或完整性算法集。
其中所述SGSN+或MSC/VLR+在满足如下任一条件发送所述携带密钥的密钥分发消息,包括:
所述SGSN+或MSC/VLR+成功完成一次AKA;
所述CK/IK和/或KASMEU发生更新;
所述SGSN+或MSC/VLR+更改加密或/或完整性算法。
其中如果KASMEU和/或CKU/IKU的生成参数包括随机数NONCE,则所述密钥分发消息中还包括随机数NONCE。所述的密钥分发消息可以为:安全模式命令消息,或附着接受消息,或初始上下文建立消息,或RRC连接重配置消息,或位置更新确认消息。
步骤304、Node B+接收到密钥分发消息后,存储CKU和IKU;
可选的,本步骤中还包括从加密算法集和/或完整性算法集中选择加密和/或完整性算法。
步骤305、Node B+向用户设备发送密钥分发消息,携带通过IKU计算得到的消息验证码(MAC),并携带以下参数之一或其任意组合:用户设备安全能力、密钥集标识、选择的加密算法和/或完整性算法。
所述的密钥分发消息可以为:安全模式命令消息,或附着接受消息,或初始上下文建立消息,或RRC连接重配置消息,或位置更新确认消息。
其中如果KASMEU和/或CKU/IKU的生成参数包括随机数NONCE,则NONCE也需要随该消息下发给用户设备。
步骤306、用户设备收到密钥分发消息后,根据AKA过程生成的加密密钥CK和完整性密钥IK计算中间密钥KASMEU;
可选的,本步骤中还包括:用户设备存储加密算法和/或完整性算法。
其中如果KASMEU的生成参数不包括随机数NONCE和/或重入网计数器COUNTER,则本步骤可发生在收到密钥分发消息之前。
步骤307、用户设备根据中间密钥KASMEU计算HSPA+的加密密钥CKU和完整性密钥IKU。
其中如果CKU/IKU的生成参数不包括随机数NONCE和/或重入网计数器COUNTER,本步骤可发生于收到密钥分发消息之前。
步骤308、用户设备用IKU验证接收到的密钥分发消息。
步骤309、如果对密钥分发消息的验证成功,则用户设备向Node B+发送密钥分发响应消息。该消息携带通过IKU计算得到的消息验证码(MAC),或者用CKU对该消息进行加密。
所述的密钥分发响应消息可以为:安全模式完成消息,或附着完成消息,或RRC连接重配置完成消息,或TMSI分配完成消息。
步骤310、Node B+用IKU验证接收到的密钥分发响应消息,或者用CKU对该消息进行解密。
步骤311、如果验证或者解密成功,则Node B+向SGSN+或MSC/VLR+发送密钥分发响应消息。可选地,该消息携带参数:选择的加密算法和/或完整性算法。
所述的密钥分发响应消息可以为:安全模式完成消息,或附着完成消息,或RRC连接重配置完成消息,或TMSI分配完成消息。
步骤312、用户设备和Node B+开始对用户数据进行加解密操作。
实施例2
本实施例说明了用户设备和基站通过密钥分发流程分发空口密钥的另一种示例,如图4所示。该实施例与实施例1的区别在于,HSPA+的加密密钥CKU和完整性密钥IKU在Node B+处生成。此时,SGSN+或MSC/VLR+需要将KASMEU在密钥分发消息中发送给Node B+。若KASMEU的生成参数包括随机数NONCE,则NONCE由SGSN+或MSC/VLR+生成,并且需要随密钥分发消息下发给Node B+。若CKU/IKU的生成参数包括随机数NONCE,则NONCE由Node B+生成,并且需要随该密钥分发消息下发给用户设备。
步骤401、SGSN+或MSC/VLR+根据从HSS处接收到的加密密钥CK和完整性密钥IK计算KASMEU。
可选地,本步骤还包括:SGSN+或MSC/VLR+决定允许的加密算法集和/或完整性算法集。其中SGSN+或MSC/VLR+使用的加密算法集和/或完整性算法集可以是预先决定的算法,也可以是重新决定的算法。
其中所述KASMEU的生成参数还可以如下参数的一种或多种包括:
由SGSN+或MSC/VLR+生成的随机数NONCE、服务网络标识(SN ID)、序列号SQN、隐藏密钥AK、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识enc-int-ID、完整性算法标识int-alg-ID、认证管理字段AMF、重入网计数器COUNTER。
步骤402、SGSN+或MSC/VLR+向Node B+发送密钥分发消息;
其中该密钥分发消息携带以下参数之一或其任意组合:KASMEU,用户设备安全能力,密钥集标识,选择的加密算法集和/或完整性算法集;
若KASMEU的生成参数包括随机数NONCE,且所述NONCE由SGSN+或MSC/VLR+生成,则将所述NONCE通过所述密钥分发消息下发给Node B+。
所述的密钥分发消息可以为:安全模式命令消息,或附着接受消息,或初始上下文建立消息,或RRC连接重配置消息,或位置更新确认消息。
步骤403、Node B+接收到密钥分发消息后,根据KASMEU计算HSPA+的加密密钥CKU和完整性密钥IKU。
可选的,本步骤中还包括从加密算法集和/或完整性算法集中选择加密和/或完整性算法。
步骤404、Node B+向用户设备发送密钥分发消息,携带通过IKU计算得到的消息验证码(MAC),以及以下参数中的一个或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
若KASMEU和/或CKU/IKU的生成参数包括随机数NONCE,则NONCE也需要随该消息下发给用户设备。
所述的密钥分发消息可以为:安全模式命令消息,或附着接受消息,或初始上下文建立消息,或RRC连接重配置消息,或位置更新确认消息。
步骤405、用户设备收到密钥分发消息后,根据AKA过程生成的加密密钥CK和完整性密钥IK计算中间密钥KASMEU。
可选的,本步骤中还包括:用户设备存储加密算法和/或完整性算法。
在本步骤中,如果所述KASMEU的生成参数不包括随机数NONCE,则本步骤可以发生在收到密钥分发消息之前。
步骤406、用户设备根据KASMEU计算HSPA+的加密密钥CKU和完整性密钥IKU;
在步骤中,如果所述CKU/IKU的生成参数不包括随机数NONCE,则本步骤中还发生在收到密钥分发消息之前。
步骤407、用户设备用IKU验证接收到的密钥分发消息。
步骤408、如果对密钥分发消息的验证成功,则用户设备向Node B+发送密钥分发响应消息。该消息携带通过IKU计算得到的消息验证码(MAC),或者用CKU对该消息进行加密。
所述的密钥分发响应消息可以为:安全模式完成消息,或附着完成消息,或RRC连接重配置完成消息,或TMSI分配完成消息。
步骤409、Node B+用IKU验证接收到的密钥分发响应消息,或者用CKU对该消息进行解密。
步骤410、如果对密钥分发响应消息的验证或者解密成功,则Node B+向SGSN+或MSC/VLR+发送密钥分发响应消息。可选地,该消息携带参数:选择的加密算法和/或完整性算法。
所述的密钥分发响应消息可以为:安全模式完成消息,或附着完成消息,或RRC连接重配置完成消息,或TMSI分配完成消息。
步骤411、用户设备和Node B+开始对用户数据进行加解密操作。
实施例3
本实施例说明了由IK和CK计算KASMEU的一种示例。KASMEU的生成参数除IK和CK外,还包括以下之一或其任意组合:由SGSN+或MSC/VLR+或Node B+生成的随机数NONCE,服务网络标识(SN ID),序列号SQN,隐藏密钥AK,认证管理字段AMF,用户身份标识(如IMSI,IMEI,TMSI),加密算法标识enc-int-ID,完整性算法标识int-alg-ID,重入网计数器COUNTER。
KASMEU=F1(CK,IK,NONCE);
或KASMEU=F1(CK,IK,SN ID);
或KASMEU=F1(CK,IK,SN ID,SQN,AK);
或KASMEU=F1(CK,IK,SN ID,SQN);
或KASMEU=F1(CK,IK,SN ID,AK);
或KASMEU=F1(CK,IK,SQN,AK);
或KASMEU=F1(CK,IK,SQN,AK);
或KASMEU=F1(CK,IK,COUNTER)。
其中所述KASMEU的生成参数COUNTER为重入网次数,由用户设备和SGSN+和/或MSC/VLR+和/或Node B+分别保存管理,初始时置为0或1,在用户设备发生切换时(包括服务RNC迁移)、跟踪区更新时、退出Idle模式重入网时,所述COUNTER值递增1,从而触发KASMEU和/或CKU/IKU进行更新。
其中F为任意密钥生成算法,例如:可以为3GPP定义的KDF算法。
实施例4
本实施例说明了由KASMEU计算CKU和IKU的一种示例。CKU和IKU的生成参数除KASMEU外,还包括以下之一或其任意组合:由SGSN+或MSC/VLR+或Node B+生成的随机数NONCE,服务网络标识(SN ID),序列号SQN,隐藏密钥AK,用户身份标识(如IMSI,IMEI,TMSI),加密算法标识enc-int-ID,完整性算法标识int-alg-ID,物理小区标识PCI,绝对无线频率信道号(下行链路或上行链路)ARFCN,重入网计数器值COUNTER。
CKU=F2(KASMEU,enc-alg-ID),IKU=F2(KASMEU,int-alg-ID);
或(CKU,IKU)=F2(KASMEU,NONCE);
或CKU=F2(KASMEU,NONCE||enc-alg-ID),IKU=F2(KASMEU,NONCE||int-alg-ID);
或(CKU,IKU)=F2(KASMEU,PCI||ARFCN)——该式对应CKU/IKU在Node B+生成的场景;
或(CKU,IKU)=F2(KASMEU,IMSI||PCI||ARFCN)——该式对应CKU/IKU在Node B+生成的场景;
或(CKU,IKU)=F2(KASMEU,COUNTER)。
其中所述CKU和IKU的生成参数COUNTER为重入网次数,由用户设备和Node B+分别保存管理,初始时置为0或1,在用户设备发生切换时(包括服务RNC迁移)、跟踪区更新时、退出Idle模式重入网时,所述COUNTER值递增1,从而触发CKU/IKU进行更新。
其中F为任意密钥生成算法,例如:可以为3GPP定义的KDF算法。
本发明提供一种空口密钥管理系统,包括SGSN+或MSC/VLR+、NodeB+和UE+,
所述SGSN+或MSC/VLR+向所述Node B+发送密钥分发消息,携带中间密钥KASMEU,或者加密密钥CKU和完整性密钥IKU中的至少一个。
可选的,所述系统还可以进一步包括:
如果所述密钥分发消息中携带的是中间密钥KASMEU,还包括:
可选的,所述系统还可以进一步包括:
所述Node B+根据所述中间密钥KASMEU,推导生成所述加密密钥CKU和/或完整性密钥IKU。
可选的,所述系统还可以进一步包括:
所述密钥分发消息中的加密密钥CKU和/或完整性密钥IKU是所述SGSN+或MSC/VLR+根据中间密钥KASMEU生成的。
可选的,所述系统还可以进一步包括:
所述中间密钥KASMEU是所述SGSN+或MSC/VLR+根据CK和IK推导生成的。
可选的,所述系统还可以进一步包括:
所述Node B+向UE+发送密钥分发消息。
可选的,所述系统还可以进一步包括:
所述UE+收到上述密钥分发消息并进行成功验证后,向Node B+发送密钥分发响应消息,Node B+收到该消息并进行成功验证或解密后,向SGSN+或MSC/VLR+发送密钥分发响应消息。
可选的,所述系统还可以进一步包括:
所述SGSN+或MSC/VLR+在满足如下任一条件时进行空口密钥的管理,包括:
所述SGSN+或MSC/VLR+成功完成一次AKA;
所述CK、所述IK和所述KASMEU中至少一个发生更新;
所述SGSN+或MSC/VLR+更改加密和/或完整性算法。
可选的,所述系统还可以进一步包括:
所述SGSN+或MSC/VLR+向所述Node B+发送的密钥分发消息包括如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述Node B+向UE+发送的密钥分发消息携带如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述的密钥分发响应消息携带如下参数之一或其任意组合:选择的加密算法和/或完整性算法。
可选的,所述系统还可以进一步包括:
所述密钥分发消息包括:安全模式命令消息、附着接受消息、初始上下文建立消息、RRC连接重配置消息、位置更新确认消息;
所述密钥分发响应消息包括:安全模式完成消息,附着完成消息,RRC连接重配置完成消息,TMSI分配完成消息。
可选的,所述系统还可以进一步包括:
所述KASMEU的生成参数包括IK、CK和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-ID)、认证管理字段AMF、重入网计数器值(COUNTER)。
可选的,所述系统还可以进一步包括:
所述CKU和所述IKU的生成参数包括所述KASMEU和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-I)、认证管理字段AMF、物理小区标识(PCI)、下行链路或上行链路的绝对无线频率信道号(ARFCN)、重入网计数器值(COUNTER)。
可选的,所述系统还可以进一步包括:
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括随机数NONCE,且由所述SGSN+或MSC/VLR+生成,则所述SGSN+或MSC/VLR+向所述Node B+发送所述随机数NONCE,所述Node B+向所述UE+发送所述随机数NONCE;
如果所述CKU和/或所述IKU的生成参数包括随机数NONCE,且由所述Node B+生成,则所述Node B+向所述UE+发送所述随机数NONCE。
可选的,所述系统还可以进一步包括:
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括重入网计数器(COUNTER),则所述重入网计数器由用户侧和网络侧(SGSN+或MSC/VLR+或Node B+)分别保存管理;
在一次成功的AKA过程后初始化置为0或1;和/或,
在UE+发生切换(包括服务RNC迁移)、跟踪区更新或者退出Idle模式重入网时,所述重入网计数器值递增一,触发所述KASMEU和/或CKU/IKU进行更新。
本发明提供的技术方案,Node B+从SGSN+或MSC/VLR+获取空口密钥,或者从SGSN+或MSC/VLR+获取相关信息,自己生成空口密钥,实现空口密钥的生成和分发。
本发明提供的技术方案,SCSN+或MSC/VLR+生成空口密钥并发送给Node B+,或者,SCSN+或MSC/VLR+将密钥材料发送给Node B+,再由NodeB+生成空口密钥。本发明提供空口密钥的生成和分发流程,实现空口密钥的生成和分发。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
Claims (26)
1.一种空口密钥的管理方法,其特征在于,包括:
SGSN+或MSC/VLR+向Node B+发送密钥分发消息,携带中间密钥KASMEU,或者加密密钥CKU和完整性密钥IKU中的至少一个。
2.根据权利要求1所述的方法,其特征在于,如果所述密钥分发消息中携带的是中间密钥KASMEU,还包括:
所述Node B+根据所述中间密钥KASMEU,推导生成加密密钥CKU和/或完整性密钥IKU。
3.根据权利要求1所述的方法,其特征在于,所述密钥分发消息中的加密密钥CKU和/或完整性密钥IKU是所述SGSN+或MSC/VLR+根据中间密钥KASMEU生成的。
4.根据权利要求2或3所述的方法,其特征在于,所述中间密钥KASMEU是所述SGSN+或MSC/VLR+根据CK和IK推导生成的。
5.根据权利要求4所述的方法,其特征在于,还包括:所述Node B+向UE+发送密钥分发消息。
6.根据权利要求5所述的方法,其特征在于,还包括:
所述UE+对所述密钥分发消息进行成功验证后,向所述Node B+发送密钥分发响应消息;
所述Node B+收到该消息并进行成功验证或解密后,向所述SGSN+或MSC/VLR+发送密钥分发响应消息。
7.根据权利要求4至6任一所述的方法,其特征在于,所述SGSN+或MSC/VLR+在满足如下任一条件时进行空口密钥的管理,包括:
所述SGSN+或MSC/VLR+成功完成一次AKA;
所述CK、所述IK和所述KASMEU中至少一个发生更新;
所述SGSN+或MSC/VLR+更改加密和/或完整性算法。
8.根据权利要求7所述的方法,其特征在于,
所述SGSN+或MSC/VLR+向所述Node B+发送的密钥分发消息包括如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述Node B+向所述UE+发送的密钥分发消息携带如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述的密钥分发响应消息携带如下参数之一或其任意组合:选择的加密算法和/或完整性算法。
9.根据权利要求8所述的方法,其特征在于,
所述密钥分发消息包括:安全模式命令消息、附着接受消息、初始上下文建立消息、RRC连接重配置消息、位置更新确认消息;
所述密钥分发响应消息包括:安全模式完成消息,附着完成消息,RRC连接重配置完成消息,TMSI分配完成消息。
10.根据权利要求8或9所述的方法,其特征在于,所述KASMEU的生成参数包括IK、CK和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、认证管理字段(AMF)、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-ID)、重入网计数器值(COUNTER)。
11.根据权利要求10所述的方法,其特征在于,所述CKU和所述IKU的生成参数包括所述KASMEU和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、认证管理字段(AMF)、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-I)、物理小区标识(PCI)、下行链路或上行链路的绝对无线频率信道号(ARFCN)、重入网计数器值(COUNTER)。
12.根据权利要求11所述的方法,其特征在于,
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括随机数NONCE,且由所述SGSN+或MSC/VLR+生成,则所述SGSN+或MSC/VLR+向所述Node B+发送所述随机数NONCE,所述Node B+向所述UE+发送所述随机数NONCE;
如果所述CKU和/或所述IKU的生成参数包括随机数NONCE,且由所述Node B+生成,则所述Node B+向所述UE+发送所述随机数NONCE。
13.根据权利要求11或12所述的方法,其特征在于,
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括重入网计数器(COUNTER),则所述重入网计数器由用户侧和网络侧(SGSN+或MSC/VLR+或Node B+)分别保存管理;
在一次成功的AKA过程后初始化置为0或1;和/或,
在UE+发生切换(包括服务RNC迁移)、跟踪区更新或者退出Idle模式重入网时,所述重入网计数器值递增一,触发所述KASMEU和/或CKU/IKU进行更新。
14.一种空口密钥管理系统,包括SGSN+或MSC/VLR+、Node B+和UE+,其特征在于,
所述SGSN+或MSC/VLR+向所述Node B+发送密钥分发消息,携带中间密钥KASMEU,或者加密密钥CKU和完整性密钥IKU中的至少一个。
15.根据权利要求14所述的系统,其特征在于,如果所述密钥分发消息中携带的是中间密钥KASMEU,还包括:
所述Node B+根据所述中间密钥KASMEU,推导生成所述加密密钥CKU和/或完整性密钥IKU。
16.根据权利要求14所述的系统,其特征在于,所述密钥分发消息中的加密密钥CKU和/或完整性密钥IKU是所述SGSN+或MSC/VLR+根据中间密钥KASMEU生成的。
17.根据权利要求15或16所述的系统,其特征在于,所述中间密钥KASMEU是所述SGSN+或MSC/VLR+根据CK和IK推导生成的。
18.根据权利要求17所述的系统,其特征在于,还包括:
所述Node B+向UE+发送密钥分发消息。
19.根据权利要求18所述的系统,其特征在于,还包括:
所述UE+收到上述密钥分发消息并进行成功验证后,向Node B+发送密钥分发响应消息,Node B+收到该消息并进行成功验证或解密后,向SGSN+或MSC/VLR+发送密钥分发响应消息。
20.根据权利要求17至19任一所述的系统,其特征在于,所述SGSN+或MSC/VLR+在满足如下任一条件时进行空口密钥的管理,包括:
所述SGSN+或MSC/VLR+成功完成一次AKA;
所述CK、所述IK和所述KASMEU中至少一个发生更新;
所述SGSN+或MSC/VLR+更改加密和/或完整性算法。
21.根据权利要求20所述的系统,其特征在于,
所述SGSN+或MSC/VLR+向所述Node B+发送的密钥分发消息包括如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述Node B+向所述UE+发送的密钥分发消息携带如下参数之一或其任意组合:用户设备安全能力,密钥集标识,选择的加密算法和/或完整性算法;
所述的密钥分发响应消息携带如下参数之一或其任意组合:选择的加密算法和/或完整性算法。
22.根据权利要求21所述的系统,其特征在于,
所述密钥分发消息包括:安全模式命令消息、附着接受消息、初始上下文建立消息、RRC连接重配置消息、位置更新确认消息;
所述密钥分发响应消息包括:安全模式完成消息,附着完成消息,RRC连接重配置完成消息,TMSI分配完成消息。
23.根据权利要求21或22所述的系统,其特征在于,所述KASMEU的生成参数包括IK、CK和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、认证管理字段AMF、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-ID)、重入网计数器值(COUNTER)。
24.根据权利要求23所述的系统,其特征在于,所述CKU和/或所述IKU的生成参数包括所述KASMEU和以下参数中的一个或多个,包括:
随机数NONCE、服务网络标识(SN ID)、序列号(SQN)、隐藏密钥(AK)、认证管理字段AMF、包括IMSI、IMEI、TMSI在内的用户身份标识、加密算法标识(enc-int-ID)、完整性算法标识(int-alg-I)、物理小区标识(PCI)、下行链路或上行链路的绝对无线频率信道号(ARFCN)、重入网计数器值(COUNTER)。
25.根据权利要求24所述的系统,其特征在于,
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括随机数NONCE,且由所述SGSN+或MSC/VLR+生成,则所述SGSN+或MSC/VLR+向所述Node B+发送所述随机数NONCE,所述Node B+向所述UE+发送所述随机数NONCE;
如果所述CKU和/或所述IKU的生成参数包括随机数NONCE,且由所述Node B+生成,则所述Node B+向所述UE+发送所述随机数NONCE。
26.根据权利要求24或25所述的系统,其特征在于,
如果所述KASMEU、所述CKU和所述IKU中至少一个的生成参数包括重入网计数器(COUNTER),则所述重入网计数器由用户侧和网络侧(SGSN+或MSC/VLR+或Node B+)分别保存管理;
在一次成功的AKA过程后初始化置为0或1;和/或,
在UE+发生切换(包括服务RNC迁移)、跟踪区更新或者退出Idle模式重入网时,所述重入网计数器值递增一,触发所述KASMEU和/或CKU/IKU进行更新。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910261635A CN101742498A (zh) | 2009-12-18 | 2009-12-18 | 空口密钥的管理方法和系统 |
| PCT/CN2010/079781 WO2011072599A1 (zh) | 2009-12-18 | 2010-12-14 | 空口密钥的管理方法和系统 |
| EP10837036.2A EP2432264A4 (en) | 2009-12-18 | 2010-12-14 | METHOD AND SYSTEM FOR MANAGING A RADIO INTERFACE KEY |
| US13/257,904 US8565433B2 (en) | 2009-12-18 | 2010-12-14 | Method and system for managing air interface key |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910261635A CN101742498A (zh) | 2009-12-18 | 2009-12-18 | 空口密钥的管理方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101742498A true CN101742498A (zh) | 2010-06-16 |
Family
ID=42465215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910261635A Pending CN101742498A (zh) | 2009-12-18 | 2009-12-18 | 空口密钥的管理方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8565433B2 (zh) |
| EP (1) | EP2432264A4 (zh) |
| CN (1) | CN101742498A (zh) |
| WO (1) | WO2011072599A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011072599A1 (zh) * | 2009-12-18 | 2011-06-23 | 中兴通讯股份有限公司 | 空口密钥的管理方法和系统 |
| CN102348206A (zh) * | 2010-08-02 | 2012-02-08 | 华为技术有限公司 | 密钥隔离方法和装置 |
| WO2012022185A1 (zh) * | 2010-08-18 | 2012-02-23 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及用户设备 |
| WO2012025020A1 (zh) * | 2010-08-24 | 2012-03-01 | 中兴通讯股份有限公司 | Geran与增强utran间建立密钥的方法、系统及增强sgsn |
| CN102595390A (zh) * | 2011-01-18 | 2012-07-18 | 中兴通讯股份有限公司 | 一种安全模式的配置方法和终端 |
| CN109511113A (zh) * | 2017-07-28 | 2019-03-22 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
| CN110536291A (zh) * | 2019-01-18 | 2019-12-03 | 中兴通讯股份有限公司 | 一种认证方法、装置和系统 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160050568A1 (en) * | 2014-08-12 | 2016-02-18 | Vodafone Ip Licensing Limited | Machine-to-machine cellular communication security |
| US9992670B2 (en) | 2014-08-12 | 2018-06-05 | Vodafone Ip Licensing Limited | Machine-to-machine cellular communication security |
| US10511608B2 (en) * | 2014-10-30 | 2019-12-17 | Lenovo (Singapore) Pte. Ltd. | Aggregate service with file sharing |
| GB2551358A (en) * | 2016-06-13 | 2017-12-20 | Vodafone Ip Licensing Ltd | Low latency security |
| CN108810890B (zh) * | 2017-05-05 | 2019-06-11 | 华为技术有限公司 | 锚密钥生成方法、设备以及系统 |
| CN110475210B (zh) * | 2018-05-11 | 2021-06-22 | 华为技术有限公司 | 一种通信方法及装置 |
| US20240106813A1 (en) * | 2022-09-28 | 2024-03-28 | Advanced Micro Devices, Inc. | Method and system for distributing keys |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1857024B (zh) * | 2003-09-26 | 2011-09-28 | 艾利森电话股份有限公司 | 在移动通信系统中用于密码学的增强型安全性设计 |
| CN101399767B (zh) * | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| EP2351395A4 (en) * | 2008-11-03 | 2014-07-09 | Nokia Corp | METHOD, DEVICES AND COMPUTER PROGRAM PRODUCT FOR MANUFACTURING SAFETY DURING TRANSMISSION BETWEEN A PACKAGED NETWORK AND A LINEAR NETWORK |
| CN101742498A (zh) | 2009-12-18 | 2010-06-16 | 中兴通讯股份有限公司 | 空口密钥的管理方法和系统 |
-
2009
- 2009-12-18 CN CN200910261635A patent/CN101742498A/zh active Pending
-
2010
- 2010-12-14 EP EP10837036.2A patent/EP2432264A4/en not_active Ceased
- 2010-12-14 US US13/257,904 patent/US8565433B2/en active Active
- 2010-12-14 WO PCT/CN2010/079781 patent/WO2011072599A1/zh active Application Filing
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011072599A1 (zh) * | 2009-12-18 | 2011-06-23 | 中兴通讯股份有限公司 | 空口密钥的管理方法和系统 |
| US8565433B2 (en) | 2009-12-18 | 2013-10-22 | Zte Corporation | Method and system for managing air interface key |
| US8934914B2 (en) | 2010-08-02 | 2015-01-13 | Huawei Technologies Co., Ltd. | Key separation method and device |
| CN102348206A (zh) * | 2010-08-02 | 2012-02-08 | 华为技术有限公司 | 密钥隔离方法和装置 |
| CN102348206B (zh) * | 2010-08-02 | 2014-09-17 | 华为技术有限公司 | 密钥隔离方法和装置 |
| WO2012022185A1 (zh) * | 2010-08-18 | 2012-02-23 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及用户设备 |
| US9386448B2 (en) | 2010-08-18 | 2016-07-05 | Zte Corporation | Method for updating air interface key, core network node and user equipment |
| WO2012025020A1 (zh) * | 2010-08-24 | 2012-03-01 | 中兴通讯股份有限公司 | Geran与增强utran间建立密钥的方法、系统及增强sgsn |
| CN102595390A (zh) * | 2011-01-18 | 2012-07-18 | 中兴通讯股份有限公司 | 一种安全模式的配置方法和终端 |
| CN102595390B (zh) * | 2011-01-18 | 2019-04-05 | 中兴通讯股份有限公司 | 一种安全模式的配置方法和终端 |
| CN109511113A (zh) * | 2017-07-28 | 2019-03-22 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
| US10728757B2 (en) | 2017-07-28 | 2020-07-28 | Huawei Technologies Co., Ltd. | Security implementation method, related apparatus, and system |
| US11228905B2 (en) | 2017-07-28 | 2022-01-18 | Huawei Technologies Co., Ltd. | Security implementation method, related apparatus, and system |
| CN110536291A (zh) * | 2019-01-18 | 2019-12-03 | 中兴通讯股份有限公司 | 一种认证方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120328103A1 (en) | 2012-12-27 |
| EP2432264A4 (en) | 2014-01-08 |
| EP2432264A1 (en) | 2012-03-21 |
| US8565433B2 (en) | 2013-10-22 |
| WO2011072599A1 (zh) | 2011-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101742498A (zh) | 空口密钥的管理方法和系统 | |
| EP2429227B1 (en) | Method and system for updating air interface keys | |
| US8712054B2 (en) | Method and system for establishing enhanced key when terminal moves to enhanced universal terminal radio access network (UTRAN) | |
| US8145195B2 (en) | Mobility related control signalling authentication in mobile communications system | |
| CN101742500B (zh) | 一种派生空口密钥的方法及系统 | |
| US8938071B2 (en) | Method for updating air interface key, core network node and radio access system | |
| CN102457844B (zh) | 一种m2m组认证中组密钥管理方法及系统 | |
| EP2034658A1 (en) | Method and system for distributing key in wireless network | |
| EP2648437B1 (en) | Method, apparatus and system for key generation | |
| JP5458456B2 (ja) | 強化型無線インタフェース・キーの確立方法及び強化型無線インタフェース・キーの確立システム | |
| Forsberg | LTE key management analysis with session keys context | |
| CN101645877A (zh) | 密钥衍生函数的协商方法、系统及网络节点 | |
| CN101820622B (zh) | 无线通信系统中管理空口映射密钥的方法和系统 | |
| CN101860862A (zh) | 终端移动到增强utran时建立增强密钥的方法及系统 | |
| CN101917717B (zh) | 一种geran与增强utran间互联互通时建立密钥的方法及系统 | |
| WO2011153851A1 (zh) | 空口密钥处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100616 |