способ выработки ключа, устройство и система
Классы МПК: | H04W12/04 распределение ключей |
Автор(ы): | ЧЖАН Айцинь (CN), ЧЭНЬ Цзин (CN), БИ Сяоюй (CN) |
Патентообладатель(и): | ХУАВЕЙ ТЕКНОЛОДЖИЗ КО., ЛТД. (CN) |
Приоритеты: |
подача заявки:
2010-06-26 публикация патента:
27.05.2014 |
Изобретение относится к области технологий связи. Техническим результатом является повышение безопасности сети. Способ выработки ключа содержит этапы, на которых: получают на Узле управления мобильностью (ММЕ) сообщение Необходима передача обслуживания от базовой станции (BS); вырабатывают на узле ММЕ ключ абонентского оборудования (UE) в целевой Универсальной сети наземного радиодоступа (UTRAN) в соответствии с Функцией выработки ключа (Key Derivation Function, KDF), корневым ключом и текущим значением COUNT нисходящего канала NAS; посылают от узла ММЕ текущее значение COUNT нисходящего канала NAS на UE; и добавляют на узле ММЕ определенное значение к текущему значению COUNT нисходящего канала NAS. 4 н. и 7 з.п. ф-лы, 14 ил.
Формула изобретения
1. Способ выработки ключа, содержащий этапы, на которых:
получают (501) на Узле управления мобильностью (ММЕ) сообщение Необходима передача обслуживания от базовой станции (BS);
вырабатывают (502) на узле ММЕ ключ абонентского оборудования (UE) в целевой Универсальной сети наземного радиодоступа (UTRAN) в соответствии с Функцией выработки ключа (Key Derivation Function, KDF), корневым ключом и текущим значением COUNT нисходящего канала NAS;
посылают (505) от узла ММЕ текущее значение COUNT нисходящего канала NAS на UE; и
добавляют (506) на узле ММЕ определенное значение к текущему значению COUNT нисходящего канала NAS.
2. Способ по п.1, в котором определенное значение представляет собой 1.
3. Способ по п.1, в котором отправка от узла ММЕ нового значения COUNT нисходящего канала NAS на UE содержит этап, на котором:
посылают от узла ММЕ четыре наименее значимых бита нового значения COUNT нисходящего канала NAS на UE.
4. Способ выработки ключа, содержащий этапы, на которых:
получают (507) на абонентском оборудовании (UE) текущее значение COUNT нисходящего канала Слоя без доступа (NAS) от Узла управления мобильностью (ММЕ) в первом процессе передачи обслуживания; и
вырабатывают (507) на UE ключ UE в целевой Универсальной сети наземного радиодоступа (UTRAN) в соответствии с Функцией выработки ключа (Key Derivation Function, KDF), корневым ключом и текущем значением COUNT нисходящего канала NAS в первом процессе передачи обслуживания;
получают на UE добавлением определенного значения к текущему значению COUNT нисходящего канала NAS во втором процессе передачи обслуживания.
5. Способ по п.4, в котором определенное значение представляет собой 1.
6. Способ по п.4, в котором прием на UE нового значения COUNT нисходящего канала Слоя без доступа (NAS) содержит: принимают на UE сообщение Необходима передача обслуживания, отправленное узлом ММЕ, где сообщение Необходима передача обслуживания содержит новое значение COUNT нисходящего канала Слоя без доступа (NAS).
7. Узел управления мобильностью (ММЕ), содержащий:
блок передачи обслуживания, выполненный с возможностью получения сообщения Необходима передача обслуживания от базовой станции (BS);
второй блок (32) выработки, выполненный с возможностью выработки ключа абонентского оборудования (UE) в целевой Универсальной сети наземного радиодоступа (UTRAN) в соответствии с Функцией выработки ключа (Key Derivation Function, KDF), корневым ключом и текущим значением COUNT нисходящего канала NAS;
блок (33) отправки сигнала передачи обслуживания, выполненный с возможностью отправки текущего значения COUNT нисходящего канала NAS на UE; и
блок (31) получения значения счетчика, выполненный с возможностью добавления определенного значения к текущему значению COUNT нисходящего канала NAS.
8. Узел ММЕ по п.7, в котором определенное значение представляет собой 1.
9. Узел ММЕ по п.7, в котором блок (33) отправки сигнала передачи обслуживания выполнен с возможностью отправки четырех наименее значимых битов текущего значения COUNT нисходящего канала NAS на UE.
10. Абонентское оборудование (UE), содержащее:
второй блок (40) приема сообщения, выполненный с возможностью приема текущего значения COUNT нисходящего канала Слоя без доступа (NAS) от Узла управления мобильностью (ММЕ) в первом процессе передачи обслуживания; и
второй блок (41) выработки ключа, выполненный с возможностью выработки ключа UE в целевой Универсальной сети наземного радиодоступа (UTRAN) в соответствии с Функцией выработки ключа (Key Derivation Function, KDF), корневым ключом и текущим значением COUNT нисходящего канала NAS в сообщении Сигнал управления передачей обслуживания, принятом вторым блоком приема сообщения в первом процессе передачи обслуживания; и
второй блок (40) приема сообщения, выполненный с возможностью приема добавлением определенного значения к текущему значению COUNT нисходящего канала NAS во втором процессе передачи обслуживания.
11. UE по п.10, в котором определенное значение представляет собой 1.
Описание изобретения к патенту
Область техники, к которой относится изобретение
Настоящее изобретение относится к области технологий связи, и в частности способу выработки ключа, устройству и системе.
Уровень техники
В мобильной системе связи сеть радиодоступа включает в себя мобильную систему связи второго поколения, мобильную систему связи третьего поколения и систему по стандарту «Долгосрочное развитие систем связи» (LTE).
При передаче обслуживания абонентского оборудования (UE) из сети, в которой первоначально размещается UE, то есть исходной сети, в целевую сеть ключ целевой сети может быть выработан из ключа исходной сети, посредством этого избегая процесса аутентификации и согласования ключа, так что UE и сетевая сторона генерируют через один и тот же основной параметр и алгоритм ключ, который в конечном счете используется в целевой сети.
В Универсальной сети наземного радиодоступа (UTRAN) процесс аутентификации и согласования ключа генерирует ключ шифрования (Ciphering Key, CK) и ключ целостности (Integrity Key, IK); а в Развитой UTRAN (EUTRAN) процесс аутентификации и согласования ключа генерирует корневой ключ (Kasme).
Принимая передачу обслуживания UE из сети EUTRAN в сеть UTRAN в качестве примера, базовая станция (BS), изначально служащая UE в сети EUTRAN (сокращенно ниже именуемая исходной BS), инициирует процесс передачи обслуживания по сети; Узел управления мобильностью (ММЕ), ассоциированный с исходной BS, то есть исходный узел ММЕ, вырабатывает ключ CK' IK' UE в целевой сети в соответствии с Функцией выработки ключа (Key Derivation Function, KDF), входным параметром, то есть корневым ключом Kasme, и значением COUNT нисходящего канала Слоя без доступа (NAS) в текущем контексте безопасности и посылает выработанный ключ в целевую сеть UTRAN; целевая сеть делает выбор алгоритма безопасности для UE и возвращает алгоритм безопасности в UE; a UE синхронизирует ключ со стороной целевой сети в соответствии с алгоритмом безопасности.
В вышеописанном процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN передача обслуживания UE в сеть UTRAN может быть неудачной вследствие неудачи соединения радиоинтерфейса линии радиосвязи, так что UE возвращается в сеть EUTRAN и инициирует процесс восстановления соединения с BS, в настоящий момент служащей UE, то есть BS, на которой в настоящий момент размещается UE, сокращенно ниже именуемой текущей BS, и после решения о выполнении передачи обслуживания BS инициирует другой процесс передачи обслуживания. В данном случае и выработка ключа на узле ММЕ во втором процессе передачи обслуживания, и выработка ключа на узле ММЕ в первом процессе передачи обслуживания выполняются в соответствии с корневым ключом Kasme и текущим значением COUNT нисходящего канала NAS, и, следовательно, вычисленный ключ СK' IK' является одинаковым, что приводит к тому, что ключ, полученный во время передачи обслуживания многочисленными Контроллерами радиосети (RNC) в сети UMTS через целевой Узел поддержки обслуживания GPRS (SGSN), является одинаковым. Таким образом, как только получен ключ, используемый на одном контроллере RNC, ключи на других контроллерах RNC могут вырабатываться соответственно, и безопасность сети подвергается опасности.
Сущность изобретения
Настоящее изобретение направлено на способ, устройство и систему выработки ключа для увеличения безопасности сети.
Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:
генерируют случайное значение;
используют случайное значение и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; или
используют случайное значение, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.
Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:
принимают на UE сообщение Сигнал управления передачей обслуживания;
используют случайное значение и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания включает в себя случайное значение; и
используют случайное значение, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания включает в себя случайное значение и текущее значение COUNT нисходящего канала NAS.
Один вариант осуществления настоящего изобретения предоставляет способ
выработки ключа, где способ включает в себя:
получают новое значение COUNT нисходящего канала NAS;
вырабатывают ключ UE в целевой сети UTRAN в соответствии с KDF, корневой ключ и новое значение COUNT нисходящего канала NAS; и
посылают новое значение COUNT нисходящего канала NAS в UE, так что UE вырабатывает ключ в целевой сети UTRAN.
Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:
принимают в UE сообщение Сигнал управления передачей обслуживания, где сообщение Сигнал управления передачей обслуживания включает в себя новое значение COUNT нисходящего канала NAS; и
вырабатывают ключ UE в целевой сети UTRAN в соответствии с KDF, корневой ключ и новое значение COUNT нисходящего канала NAS.
Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:
принимают сообщение Необходима передача обслуживания, где сообщение Необходима передача обслуживания включает в себя новое значение UE;
используют новое значение UE и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; или
используют новое значение UE, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.
Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:
посылают на UE сообщение Запрос восстановления соединения по протоколу Управления радиоресурсами (Radio Resource Control, RRC), где сообщение Запрос восстановления соединения по протоколу RRC включает в себя новое значение UE;
используют новое значение UE и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN при приеме сообщения Сигнал управления передачей обслуживания, отправленного BS; и
используют новое значение UE, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания включает в себя текущее значение COUNT нисходящего канала NAS.
Один вариант осуществления настоящего изобретения предоставляет узел MME, где узел MME включает в себя:
блок генерации, выполненный с возможностью генерации случайного значения; и
блок выработки, выполненный с возможностью использования корневого ключа и случайного значения, сгенерированных блоком генерации в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; или выполненный с возможностью использования случайного значения, текущего значения COUNT нисходящего канала NAS и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.
Один вариант осуществления настоящего изобретения предоставляет UE, где UE включает в себя:
блок приема сообщения, выполненный с возможностью приема сообщения Сигнал управления передачей обслуживания;
блок выработки ключа, выполненный с возможностью использования случайного значения и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания, принятое блоком приема сообщения, включает в себя случайное значение; и выполненный с возможностью использования случайного значения, текущего значения COUNT нисходящего канала NAS и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания, принятое блоком приема сообщения, включает в себя случайное значение и текущее значение COUNT нисходящего канала NAS.
Один вариант осуществления настоящего изобретения предоставляет узел MME, где узел MME включает в себя:
блок получения значения счетчика, выполненный с возможностью получения нового значения COUNT нисходящего канала NAS;
второй блок выработки, выполненный с возможностью выработки ключа UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS, полученным блоком получения значения счетчика; и
блок отправки передачи обслуживания, выполненный с возможностью отправки нового значения COUNT нисходящего канала NAS, полученного блоком получения значения счетчика, в UE, так что UE вырабатывает ключ в целевой сети UTRAN.
Один вариант осуществления настоящего изобретения предоставляет UE, где UE включает в себя:
второй блок приема сообщения, выполненный с возможностью приема сообщения Сигнал управления передачей обслуживания, где сообщение Сигнал управления передачей обслуживания включает в себя новое значение COUNT нисходящего канала NAS; и
второй блок выработки ключа, выполненный с возможностью выработки ключа UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS в сообщении Сигнал управления передачей обслуживания, принятом вторым блоком приема сообщения.
Один вариант осуществления настоящего изобретения предоставляет систему связи, где система связи включает в себя любой из вышеописанных узлов MME.
Способ выработки ключа, устройство и система по вариантам осуществления настоящего изобретения применимы к процессу передачи обслуживания UE из сети EUTRAN в сеть UTRAN. От неудачи первой передачи обслуживания до второй передачи обслуживания есть гарантия, что ключ, выработанный на исходном узле ММЕ в первой передаче обслуживания UE, отличается от ключа, выработанного на узле MME в процессе второй передачи обслуживания UE, через изменение входных параметров, используемых в выработке ключа, таких как генерация случайного значения, изменение текущего значения COUNT нисходящего канала NAS и получение нового значения UE с тем, чтобы предотвратить ситуацию в предшествующем уровне техники, что как только получен ключ, используемый в одном контроллере RNC, ключи на других контроллерах RNC могут вырабатываться соответственно, посредством этого увеличивая безопасность сети.
Краткое описание чертежей
Фиг.1 представляет собой блок-схему способа выработки ключа по одному варианту осуществления настоящего изобретения;
Фиг.2 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 1 настоящего изобретения;
Фиг.3 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 2 настоящего изобретения;
Фиг.4 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 3 настоящего изобретения;
Фиг.5 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 4 настоящего изобретения;
Фиг.6 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 5 настоящего изобретения;
Фиг.7 представляет собой блок-схему, иллюстрирующую логическую структуру узла MME по Варианту осуществления устройства 1 настоящего изобретения;
Фиг.8 представляет собой блок-схему, иллюстрирующую логическую структуру UE по Варианту осуществления устройства 2 настоящего изобретения;
Фиг.9 представляет собой блок-схему, иллюстрирующую логическую структуру узла MME по Варианту осуществления устройства 3 настоящего изобретения;
Фиг.10 представляет собой блок-схему, иллюстрирующую логическую структуру UE по Варианту осуществления устройства 4 настоящего изобретения;
Фиг.11 представляет собой блок-схему, иллюстрирующую логическую структуру узла MME по Варианту осуществления устройства 5 настоящего изобретения;
Фиг.12 представляет собой блок-схему, иллюстрирующую логическую структуру BS по Варианту осуществления устройства 6 настоящего изобретения;
Фиг.13 представляет собой блок-схему, иллюстрирующую логическую структуру UE по Варианту осуществления устройства 7 настоящего изобретения; и
Фиг.14 представляет собой блок-схему, иллюстрирующую логическую структуру узла MME по Варианту осуществления устройства 8 настоящего изобретения.
Подробное описание изобретения
Варианты осуществления настоящего изобретения применимы к процессу передачи обслуживания UE из сети EUTRAN в сеть UTRAN. Следующий способ используется для увеличения безопасности сети в вариантах осуществления настоящего изобретения: значение COUNT нисходящего канала NAS, используемое, когда выработку ключа выполняют на исходном узле MME во время процесса первой передачи обслуживания UE, отличается от значения COUNT нисходящего канала NAS, используемого, когда выработку ключа выполняют на узле MME во время процесса второй передачи обслуживания UE так, что ключи, сгенерированные во время каждого процесса передачи обслуживания UE из сети EUTRAN в сеть UTRAN, отличаются, и ключи UE, используемые на контроллере RNC и на узле SGSN в целевой сети, различаются таким образом. Следовательно, избегают ситуации в предшествующем уровне техники, что как только получен ключ, используемый на одном RNC, ключи, используемые на других RNC, могут быть выработаны соответственно, посредством этого увеличивая безопасность сети.
Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя следующие этапы:
Этап 10: узел MME генерирует случайное значение.
Этап 20: узел MME использует случайное значение и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; или использует случайное значение, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.
Для лучшего понимания способ выработки ключа, устройство и система по вариантам осуществления настоящего изобретения описаны ниже посредством конкретного процесса передачи обслуживания в сети.
Вариант осуществления способа 1
Предложен способ выработки ключа. Сценарий применения данного варианта осуществления представляет собой процесс передачи обслуживания UE из сети EUTRAN в сеть UTRAN. Блок-схема способа по настоящему варианту осуществления показана на Фиг.2, она включает в себя следующие этапы:
Этап 101: BS, на которой в настоящий момент располагается UE, то есть текущая BS, посылает сообщение Необходима передача обслуживания на узел MME, ассоциированный с текущей BS, то есть текущий узел MME.
Этап 102: Текущий узел ММЕ принимает сообщение Необходима передача обслуживания, генерирует случайное значение и использует случайное значение и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.
Можно представить, что текущий узел ММЕ может генерировать случайное значение в любой момент во время приема сообщения Необходима передача обслуживания. При генерации случайного значения текущий узел MME может случайно генерировать случайное значение, то есть новое значение узла MME через внутренний модуль генерации случайного числа.
Частичное описание KDF является таким, что KDF=хэш-функция (HMAC)-SHA-256(Ключ, S), где Ключ представляет собой входную функцию, a S=FC P0 L0 P1 L1 P2 L2 P3 L3 Pn Ln, где представляет конкатенацию, FC используется для проведения различия различных KDF, P представляет собой код входного параметра, a L представляет собой длину входного параметра, соответствующего P. Когда KDF применяется для выработки ключа CK' IK', CK' IK'=KDF(KASME, S) и S=FC P0 L0, где FC представляет собой, в частности, 0×16, P0 представляет собой значение COUNT нисходящего канала NAS, a L0 представляет собой длину значения COUNT нисходящего канала NAS (такую как 0×00 0×04).
При выработке ключа в данном варианте осуществления текущий узел MME может использовать новое значение узла ММЕ и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN. В данном случае ключ CK' IK'=KDF(Kasme, S), где S=FC новое значение узла MME длина нового значения узла MME.
Этап 103: Текущий узел MME посылает сообщение Запрос перемещения на целевой контроллер RNC через целевой узел SGSN, где сообщение Запрос перемещения включает в себя ключ UE в целевой сети UTRAN, вычисленный на этапе 102, соответствующий KSI и информацию, такую как характеристика безопасности сети UTRAN для UE или Сети радиодоступа GSM/EDGE (GERAN).
Этап 104: Целевой контроллер RNC посылает сообщение Ответный сигнал на прямое перемещение на узел MME через целевой узел SGSN, где сообщение Ответный сигнал на прямое перемещение переносит идентификатор (ID) алгоритма, выбранный целевым контроллером RNC в соответствии с характеристикой безопасности UE.
Этап 105: Текущий узел MME посылает случайное значение, полученное на этапе 102, на UE посредством сообщения Сигнал управления передачей обслуживания.
Можно представить, что узел MME может посылать сообщение Сигнал управления передачей обслуживания на BS, где сообщение Сигнал управления передачей обслуживания может включать в себя сгенерированное случайное значение, и далее включать в себя информацию, такую как ID алгоритма и текущее значение COUNT нисходящего канала NAS; а BS затем посылает информацию, такую как случайное значение, текущее значение COUNT нисходящего канала NAS и ID алгоритма, включенную в сообщение Сигнал управления передачей обслуживания, на UE посредством сообщения Сигнал управления передачей обслуживания от сети EUTRAN.
Этап 106: UE принимает сообщение Сигнал управления передачей обслуживания, вырабатывает ключ в соответствии со случайным значением посредством способа на вышеописанном этапе 102, таким образом достигая синхронизации ключа между UE и целевой сетью, и посылает сообщение Завершение передачи обслуживания на целевой контроллер RNC для завершения передачи обслуживания в сети. Можно представить, что UE может вычислять конкретные CK' или IK' в соответствии с ID алгоритма.
Следует отметить, что в процессе первой передачи обслуживания UE в сеть UTRAN исходный узел MME может применять способ выработки ключа, используемый в передаче обслуживания в сети данного варианта осуществления; и после неудачи первой передачи обслуживания UE узел MME может также применять способ выработки ключа данного варианта осуществления для выработки ключа во второй передаче обслуживания UE.
В другом отдельном варианте осуществления, при выполнении выработки ключа на этапе 102, узел MME может использовать случайное значение, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN. В данном случае ключ CK' IK'=KDF(Kasme, S), где S=FC P0 L0 новое значение MME длина нового значения узла ММЕ. Затем на этапе 105 узел MME посылает сообщение Сигнал управления передачей обслуживания, включающее в себя случайное значение и текущее значение COUNT нисходящего канала NAS, на UE, и только четыре наименее значимых бита текущего значения COUNT нисходящего канала NAS могут быть в него включены. Посредством этого на этапе 106 UE вырабатывает ключ в соответствии со случайным значением и текущим значением COUNT нисходящего канала NAS с помощью способа на этапе 102.
В других отдельных вариантах осуществления в первой передаче обслуживания UE исходный узел MME может сохранять ключ после выработки ключа; и когда первая передача обслуживания UE удается, сохраненный ключ может быть удален. Исходный узел MME принимает сообщение Ответный сигнал на прямое перемещение, отправленное целевым узлом SGSN после того, как UE отправило сообщение Завершение передачи обслуживания, которое обозначает, что первая передача обслуживания является удачной. После приема сообщения Необходима передача обслуживания узел MME определяет, сохранен ли в настоящий момент ключ UE в целевой сети UTRAN; если да, узел MME далее определяет, является ли значение COUNT нисходящего канала NAS, соответствующее текущему сохраненному ключу UE в целевой сети UTRAN, совместимым с текущим значением COUNT нисходящего канала NAS; и если совместимо, узел MME получает случайное значение. Безусловно, когда узел MME определяет, что ключ UE в целевой сети UTRAN не сохранен в текущий момент, случайное значение не получают с помощью способа данного варианта осуществления и затем выполняют выработку; и если результатом вышеописанного определения совместимости является несовместимость, выработку выполняют с помощью текущего способа выработки.
Можно представить, что вторая передача обслуживания UE после первой передачи обслуживания UE не удается, и до того, как узел MME снова принимает сообщение Необходима передача обслуживания, может выполняться процесс NAS, а значение COUNT нисходящего канала NAS изменяется так, что когда результатом вышеописанного определения является несовместимость, узел MME может использовать текущее значение COUNT нисходящего канала NAS для выработки ключа, и ключ, выработанный таким образом, отличается от ключа, выработанного в первой передаче обслуживания; если результат определения является положительным, получают случайное значение.
В данном варианте осуществления настоящего изобретения способ выработки ключа, используемого в передаче обслуживания UE из сети EUTRAN в сеть UTRAN, является следующим: при приеме сообщения Необходима передача обслуживания узел MME генерирует случайное значение и вырабатывает ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и случайным значением. В данном случае ключ, выработанный в процессе второй передачи обслуживания после неудачи процесса первой передачи обслуживания UE, несомненно отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуации в предшествующем уровне техники и увеличивая безопасность сети.
Вариант осуществления способа 2
Предложен способ передачи обслуживания в сети. Сценарий применения данного варианта осуществления заключается в том, что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания UE, UE возвращает первоначальную сеть EUTRAN и выбирает узел SGSN для второй передачи обслуживания. Блок-схема способа по данному варианту осуществления показана на Фиг.3, она включает в себя следующие этапы:
Этап 201: UE посылает сообщение Запрос на восстановление соединения по протоколу RRC на исходную BS и выполняет процесс восстановления соединения по протоколу RRC.
Можно представить, что после неудачи первой передачи обслуживания UE может возвратиться к другому элементу исходной BS или возвратиться к тому же элементу исходной BS или возвратиться к BS, отличной от исходной BS. В данном варианте осуществления пример возврата UE к тому же элементу исходной BS используют в качестве иллюстрации.
Этап 202: После восстановления соединения по протоколу RRC исходная BS посылает сообщение Необходима передача обслуживания на исходный узел MME.
Этап 203: Исходный узел MME принимает сообщение Необходима передача обслуживания и получает новое значение COUNT нисходящего канала NAS, где новое значение COUNT нисходящего канала NAS отличается от текущего значения COUNT нисходящего канала NAS.
При получении нового значения COUNT нисходящего канала NAS исходный узел MME может получить новое значение COUNT нисходящего канала NAS следующим образом: добавлением определенного значения к текущему значению COUNT нисходящего канала NAS, например добавлением 1; или
отправкой сообщения NAS, такого как сообщение Сигнал управления режимом безопасности (Security Mode Command, SMC) NAS, на UE, так что к текущему сохраненному значению COUNT нисходящего канала NAS добавляют 1, и текущее значение COUNT нисходящего канала NAS после отправки сообщения NAS используют в качестве нового значения COUNT нисходящего канала NAS.
Этап 204: Исходный узел MME вырабатывает ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS.
Ключ, выработанный исходным узлом MME CK' IK'=KDF(Kasme, S), где S=FC новое значение COUNT нисходящего канала NAS длина нового значения COUNT нисходящего канала NAS.
Этап 205: Исходный узел MME посылает сообщение Запрос перемещения на целевой контроллер RNC через целевой узел SGSN, где сообщение Запрос перемещения включает в себя ключ UE в целевой сети UTRAN, вычисленный на этапе 204.
Этап 206: Целевой контроллер RNC посылает сообщение Ответный сигнал на прямое перемещение на исходный узел MME через целевой узел SGSN, где сообщение Ответный сигнал на прямое перемещение переносит ID алгоритма, выбранного целевым контроллером RNC в соответствии с характеристикой безопасности UE.
Этап 207: Исходный узел MME посылает новое значение COUNT нисходящего канала NAS на UE посредством сообщения Сигнал управления передачей обслуживания, в котором только четыре наименее значимых бита нового значения COUNT нисходящего канала NAS могут быть отправлены на UE.
Можно представить, что узел MME может посылать сообщение Сигнал управления передачей обслуживания на BS, где сообщение Сигнал управления передачей обслуживания может включать в себя новое значение COUNT нисходящего канала NAS и может также включать в себя информацию, такую как ID алгоритма; а BS затем посылает новое значение COUNT нисходящего канала NAS на UE посредством сообщения Сигнал управления передачей обслуживания из сети EUTRAN.
Этап 208: UE принимает сообщение Сигнал управления передачей обслуживания, вырабатывает ключ в соответствии с KDF, корневой ключ и новое значение COUNT нисходящего канала NAS с помощью способа на вышеописанном этапе 204, таким образом достигая синхронизации ключа между UE и целевой сетью, и посылает сообщение Завершение передачи обслуживания на целевой контроллер RNC для завершения передачи обслуживания в сети.
В других отдельных вариантах осуществления в процессе первой передачи обслуживания UE исходный узел MME может сохранять ключ после выработки ключа, и при приеме сообщения Завершение прямого перемещения, отправленного целевым узлом SGSN, исходный узел ММЕ может удалить сохраненный ключ. Таким образом, до выполнения этапа 203 исходный узел MME определяет, сохранен ли в настоящий момент ключ UE в целевой сети UTRAN; если да, далее определяет, является ли значение COUNT нисходящего канала NAS, соответствующее текущему сохраненному ключу UE в целевой сети UTRAN, совместимым с текущим значением COUNT нисходящего канала NAS; если совместимо, выполняет этап 203 для получения нового значения COUNT нисходящего канала NAS. Безусловно, когда исходный узел MME определяет, что ключ UE в целевой сети UTRAN не сохранен в настоящий момент, узел MME может выполнить этап 203 для получения нового значения COUNT нисходящего канала NAS; и если результатом вышеописанного определения совместимости является несовместимость, узел MME выполняет выработку по текущему способу выработки.
Можно представить, что во второй передаче обслуживания UE после неудачи первой передачи обслуживания и до того, как исходный узел MME снова принимает сообщение Необходима передача обслуживания, процесс NAS может быть выполнен, и значение COUNT нисходящего канала NAS изменяется, так что результатом вышеописанного определения является несовместимость, исходный узел MME может использовать текущее значение COUNT нисходящего канала NAS для выработки ключа, и ключ, выработанный таким образом, отличается от ключа, выработанного в первой передаче обслуживания; если результат определения является положительным, выработку ключа выполняют после получения нового значения COUNT нисходящего канала NAS.
В одном варианте осуществления настоящего изобретения на исходном узле MME задают две машины состояний соответственно для выработки ключа, который неспособен использовать сохраненное значение COUNT нисходящего канала NAS, и для выработки ключа, который неспособен использовать сохраненное значение COUNT нисходящего канала NAS, и они соответственно обозначаются как Состояние 0 и Состояние 1. Когда исходный узел MME принимает сообщение Необходима передача обслуживания, задают Состояние 0; а когда узел MME проходит через определенный внутренний процесс и удовлетворяет предварительно заданному условию, задают Состояние 1, то есть может быть выполнена выработка ключа, в которой предварительно заданное условие включает в себя: узел MME принимает сообщение Завершение прямого перемещения, к текущему значению COUNT нисходящего канала NAS добавляют определенное значение, и узел MME доставляет сообщение NAS. Например, после того, как узел MME принимает сообщение Необходима передача обслуживания и доставляет сообщение NAS, выработка ключа может быть выполнена.
В данном варианте осуществления настоящего изобретения в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания, способ выработки ключа во второй передаче обслуживания в сети заключается в том, что после приема сообщения Необходима передача обслуживания исходный узел MME получает новое значение COUNT нисходящего канала NAS, отличное от текущего значения COUNT нисходящего канала NAS, и доставляет ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS. Таким образом, ключ, выработанный в процессе второй передачи обслуживания, несомненно отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуацию в предшествующем уровне техники и увеличивая безопасность сети.
Вариант осуществления способа 3
Предложен способ выработки ключа. Сценарий применения данного варианта осуществления заключается в том, что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания UE, UE возвращается в первоначальную сеть EUTRAN и выбирает узел SGSN для второй передачи обслуживания. Блок-схема способа показана на Фиг.4, она включает в себя следующие этапы:
Этап 301: UE посылает сообщение Запрос восстановления соединения по протоколу RRC в BS, где в настоящий момент размещается UE, то есть текущую BS, для выполнения процесса восстановления соединения по протоколу RRC.
Можно представить, что после неудачи первой передачи обслуживания UE может вернуться к другому элементу исходной BS или вернуться к тому же элементу исходной BS или вернуться к BS, отличной от исходной BS.
Этап 302: После восстановления соединения по протоколу RRC текущая BS посылает сообщение Завершение восстановления соединения по протоколу RRC на узел MME, ассоциированный с текущей BS, то есть текущий узел MME.
Можно представить, что сообщение Завершение восстановления соединения по протоколу RRC может представлять собой сообщение Уведомление передачи обслуживания или может представлять собой сообщение Коммутация маршрута. В частности, если UE возвращается к другому элементу исходной BS, текущая BS, то есть исходная BS, может посылать сообщение Уведомление передачи обслуживания на текущий узел ММЕ для обозначения того, что восстановление соединения завершено; если UE возвращается к BS, отличной от исходной BS, текущая BS может посылать сообщение Коммутация маршрута на текущий узел MME.
Этап 303: Текущий узел MME принимает сообщение Завершение восстановления соединения по протоколу RRC, отправленное текущей BS, и получает новое значение COUNT нисходящего канала NAS, где новое значение COUNT нисходящего канала NAS отличается от текущего значения COUNT нисходящего канала NAS.
Способ получения является аналогичным способу, описанному на этапе 203 Варианта осуществления способа 2, и детали не описываются здесь снова.
Этап 304: Текущая BS решает выполнить вторую передачу обслуживания и посылает сообщение Необходима передача обслуживания на текущий узел MME.
Этап 305: После приема сообщения Необходима передача обслуживания текущий узел MME вырабатывает ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS, полученным на этапе 303, и посылает выработанный ключ на целевой контроллер RNC.
После отправки ключа на целевой контроллер RNC способ передачи обслуживания в сети является аналогичным способу Варианта осуществления способа 2 после этапа 205, и детали не описываются здесь снова. Кроме того, этап 303 и этап 304 в данном варианте осуществления могут быть выполнены одновременно, но предпочтительно выполнены последовательно, и, таким образом, процесс передачи обслуживания в сети может быть не затронут, что экономит время передачи обслуживания в сети.
Способ выработки ключа в данном варианте осуществления настоящего изобретения заключается в том, что во время передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания и до второй передачи обслуживания UE, узел ММЕ получает новое значение COUNT нисходящего канала NAS, отличное от текущего значения COUNT нисходящего канала NAS, так что после того, как узел MME принимает сообщение Необходима передача обслуживания, выработанный и вычисленный ключ UE в целевой сети UTRAN несомненно отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуацию в предшествующем уровне техники и увеличивая безопасность сети.
Кроме того, так как получение нового значения COUNT нисходящего канала NAS выполняют до второй передачи обслуживания, передача обслуживания в сети может быть не затронута, и по сравнению с Вариантом осуществления способа 1, передача обслуживания в сети уменьшается.
Вариант осуществления способа 4
Предложен способ выработки ключа. Сценарий применения данного варианта осуществления заключается в том, что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания UE, UE возвращается к первоначальной сети EUTRAN для второй передачи обслуживания. Блок-схема способа показана на Фиг.5, она включает в себя следующие этапы:
Этап 401: UE посылает сообщение Запрос восстановления соединения по протоколу RRC на BS, где в настоящий момент размещается UE, то есть текущую BS, где сообщение Запрос восстановления соединения по протоколу RRC может включать в себя 2-битный резерв для переноса нового значения UE, то есть случайного значения.
Этап 402: После приема сообщения Запрос восстановления соединения по протоколу RRC текущая BS решает выполнить вторую передачу обслуживания UE и посылает посредством сообщения Необходима передача обслуживания, новое значение UE на узел MME, ассоциированный с текущей BS, то есть текущий узел MME, для выработки ключа UE в целевой сети UTRAN.
Этап 403: После приема сообщения Необходима передача обслуживания, текущий узел MME использует новое значение UE, включенное в сообщение Необходима передача обслуживания, и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.
При выработке ключа текущий узел MME может использовать новое значение UE и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; и в данном случае ключ CK' IK'=KDF(Kasme, S), где S=FC новое значение UE длина нового значения UE.
Этап 404: Текущий узел MME посылает сообщение Запрос перемещения на целевой контроллер RNC через целевой узел SGSN, где сообщение Запрос перемещения включает в себя ключ UE в целевой сети UTRAN, вычисленный на этапе 403.
Этап 405: Целевой контроллер RNC посылает сообщение Ответный сигнал на прямое перемещение на текущий узел MME через целевой узел SGSN, где сообщение Ответный сигнал на прямое перемещение переносит ID алгоритма целевым контроллером RNC в соответствии с характеристикой безопасности UE.
Этап 406: Текущий узел MME посылает сообщение Сигнал управления передачей обслуживания на BS, где это сообщение Сигнал управления передачей обслуживания может включать в себя текущее значение COUNT нисходящего канала NAS и может далее включать в себя информацию, такую как ID алгоритма; и затем BS посылает сообщение Сигнал управления передачей обслуживания на UE, где это сообщение Сигнал управления передачей обслуживания может включать в себя текущее значение COUNT нисходящего канала NAS.
Этап 407: UE принимает сообщение Сигнал управления передачей обслуживания и вырабатывает ключ в соответствии с новым значением UE посредством способа на вышеописанном этапе 403, таким образом достигая синхронизации ключа между UE и целевой сетью.
В других отдельных вариантах осуществления на этапе 403, узел ММЕ может использовать новое значение UE, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN. В данном случае ключ CK' IK'=KDF(Kasme, S), где S=FC P0 L0 новое значение UE длина нового значения UE, так что сообщение Сигнал управления передачей обслуживания, отправленное на UE на этапе 406, должно включать в себя текущее значение COUNT нисходящего канала NAS и может включать в себя четыре наименее значимых бита; и на этапе 407 UE может вырабатывать ключ в соответствии с новым значением UE и текущим значением COUNT нисходящего канала NAS с помощью способа на этапе 403.
Можно представить, что последующий процесс является аналогичным предшествующему уровню техники и детали не описываются здесь снова.
В других отдельных вариантах осуществления в первом процессе передачи обслуживания UE исходный узел MME может сохранять ключ после выработки ключа, и при приеме сообщения Завершение прямого перемещения, отправленного целевым узлом SGSN, исходный узел MME может удалить сохраненный ключ. Таким образом, после приема сообщения Необходима передача обслуживания текущий узел MME определяет, сохранен ли в настоящий момент ключ UE в целевой сети UTRAN; если да, далее определяет, является ли значение COUNT нисходящего канала NAS, соответствующее текущему сохраненному ключу UE в целевой сети UTRAN, совместимым с текущим значением COUNT нисходящего канала NAS; и если совместимо, выработку ключа выполняют по способу данного варианта осуществления. Безусловно, когда узел ММЕ определяет, что ключ UE в целевой сети UTRAN не сохранен в настоящий момент, выработку выполняют в соответствии со способом данного варианта осуществления; и если результатом вышеописанного определения совместимости является несовместимость, выработку выполняют в соответствии со способом выработки в предшествующем уровне техники.
Можно представить, что во второй передаче обслуживания UE после неудачи первой передачи обслуживания UE до того, как узел MME снова принимает сообщение Необходима передача обслуживания, процесс NAS может быть выполнен, и значение COUNT нисходящего канала NAS изменяется, так что когда результатом вышеописанного определения совместимости является несовместимость, узел MME может использовать текущее значение COUNT нисходящего канала NAS для выработки ключа, и ключ, выработанный таким образом, отличается от ключа, выработанного в первой передаче обслуживания; если результат определения является положительным, выработку ключа выполняют в соответствии со способом данного варианта осуществления.
Способ выработки ключа в данном варианте осуществления настоящего изобретения заключается в том, что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, когда UE выполняет вторую передачу обслуживания после неудачи первой передачи, UE вычисляет новое значение и посылает новое значение на текущий узел MME через текущую BS; после приема сообщения Необходима передача обслуживания текущий узел MME вырабатывает ключ UE в целевой сети UTRAN в соответствии с новым значением UE, KDF, корневым ключом и текущим значением COUNT нисходящего канала NAS, включенным в сообщение Необходима передача обслуживания. Таким образом, ключ, выработанный в процессе второй передачи обслуживания, отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуацию в предшествующем уровне техники и увеличивая безопасность сети.
Вариант осуществления способа 5
Предложен способ выработки ключа. Сценарий применения данного варианта осуществления заключается в том, что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN BS в первоначальной сети EUTRAN для UE, то есть исходная BS, инициирует передачу обслуживания в сети. Блок-схема способа показана на Фиг.6, она включает в себя следующие этапы:
Этап 501: Исходная BS посылает сообщение Необходима передача обслуживания на исходный узел MME.
Этап 502: Исходный узел MME вырабатывает CK' IK' в соответствии с KDF, корневым ключом Kasme и значением COUNT нисходящего канала NAS в текущем контексте безопасности.
Этап 503: Исходный узел MME посылает сообщение Запрос перемещения на целевой контроллер RNC через целевой узел SGSN, где сообщение Запрос перемещения включает в себя CK' IK', KSI и информацию, такую как характеристика безопасности сети UTRAN/GERAN для UE.
Этап 504: Целевой контроллер RNC посылает сообщение Ответный сигнал на прямое перемещение на исходный узел MME через целевой узел SGSN, где сообщение Ответный сигнал на прямое перемещение переносит ID алгоритма характеристики безопасности UE.
Этап 505: Исходный узел MME завершает процесс подготовки передачи обслуживания и посылает сообщение Необходима передача обслуживания в UE через исходную BS, где сообщение Сигнал управления передачей обслуживания переносит текущее значение COUNT нисходящего канала NAS и ID алгоритма характеристики безопасности.
Этап 506: Исходный узел MME изменяет текущее значение COUNT нисходящего канала NAS, например, добавлением определенного значения к текущему значению COUNT нисходящего канала NAS, например добавлением 1, и сохраняет измененное значение COUNT нисходящего канала NAS; измененное значение COUNT нисходящего канала NAS используют для выработки ключа UE в целевой сети UTRAN.
Этап 507: После приема сообщения Сигнал управления передачей обслуживания UE вырабатывает и вычисляет ключ CK' IK' в соответствии с KDF и значением COUNT нисходящего канала NAS, которое включено в сообщение Сигнал управления передачей обслуживания, так что ключ UE и целевую сеть синхронизируют, и сообщение Завершение передачи обслуживания отправляют на целевой контроллер RNC.
Можно представить, что в процессе первой передачи обслуживания в данном варианте осуществления, после того, как исходный узел MME отправляет сообщение Сигнал управления передачей обслуживания, значение COUNT нисходящего канала NAS изменяется, так что после неудачи первой передачи обслуживания UE значение COUNT нисходящего канала NAS, сохраненное на этапе 506 и используемое узлом MME для выработки ключа во второй передаче обслуживания, несомненно отличается от значения COUNT нисходящего канала NAS, используемого в первой передаче обслуживания, и, таким образом, ключи, выработанные и вычисленные в двух передачах обслуживания, различаются, что достигает цели увеличения безопасности сети.
Вариант осуществления устройства 1
Предложен узел MME. Структурная блок-схема узла MME показана на Фиг.7, она включает в себя блок 10 генерации, блок 11 выработки и блок 12 отправки.
Блок 10 генерации выполнен с возможностью генерации случайного значения.
Блок 11 выработки выполнен с возможностью использования корневого ключа и случайного значения, которые сгенерированы блоком 10 генерации в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.
Блок 12 отправки выполнен с возможностью отправки случайного значения, сгенерированного блоком 10 генерации, на UE, так что UE вырабатывает ключ в целевой сети UTRAN в соответствии со случайным значением.
Блок 11 выработки далее выполнен с возможностью использования текущего значения COUNT нисходящего канала NAS, корневого ключа и случайного значения, сгенерированных блоком 10 генерации в качестве входных параметров KDF для выработки ключа в целевой сети UTRAN; а блок 12 отправки выполнен с возможностью отправки текущего значения COUNT нисходящего канала NAS и случайного значения, сгенерированных блоком 10 генерации, на UE, так что UE вырабатывает ключ в целевой сети UTRAN в соответствии со случайным значением и текущим значением COUNT нисходящего канала NAS.
В данном варианте осуществления блок 10 генерации узла ММЕ генерирует случайное значение, а блок 11 выработки вырабатывает ключ в соответствии со случайным значением, так что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания ключ, выработанный узлом ММЕ во втором процессе передачи обслуживания, несомненно отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуации в предшествующем уровне техники и увеличивая безопасность сети.
Вариант осуществления устройства 2
Предложено UE. Структурная блок-схема UE показана на Фиг.8, она включает в себя блок 20 приема сообщения и блок 21 выработки ключа.
Блок 20 приема сообщения выполнен с возможностью приема сообщения Сигнал управления передачей обслуживания.
Блок 21 выработки ключа выполнен с возможностью использования случайного значения и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания, принятое блоком приема сообщения, включает в себя случайное значение; и выполнен с возможностью использования случайного значения, текущего значения COUNT нисходящего канала NAS и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания, принятое блоком 20 приема сообщения, включает в себя случайное значение и текущее значение COUNT нисходящего канала NAS.
Вариант осуществления устройства 3
Предложен узел MME. Структурная блок-схема узла ММЕ показана на Фиг.9, она включает в себя блок 31 получения значения счетчика, второй блок 32 выработки и блок 33 отправки передачи обслуживания.
Блок 31 получения значения счетчика выполнен с возможностью получения нового значения COUNT нисходящего канала NAS.
Когда получают новое значение COUNT нисходящего канала NAS, сообщение NAS может быть отправлено на UE, такое как сообщение NAS SMC, так что к текущему сохраненному значению COUNT нисходящего канала NAS может быть добавлена 1, и значение COUNT нисходящего канала NAS после отправки сообщения NAS может использоваться в качестве нового значения COUNT нисходящего канала NAS. Определенное значение, такое как 1, может быть добавлено к текущему значению COUNT нисходящего канала NAS.
Второй блок 32 выработки выполнен с возможностью выработки ключа UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS, которое получено блоком 31 получения значения счетчика.
Блок 33 отправки передачи обслуживания выполнен с возможностью отправки нового значения COUNT нисходящего канала NAS, полученного блоком 31 получения значения счетчика, на UE через BS, где в настоящий момент размещается UE, так что UE вырабатывает ключ в целевой сети UTRAN.
Можно представить, что в других отдельных вариантах осуществления узел MME может далее включать в себя: блок 34 определения, выполненный с возможностью определения, сохранен ли в настоящий момент ключ UE в целевой сети UTRAN; и если да, далее определяет, является ли значение COUNT нисходящего канала NAS, соответствующее текущему сохраненному ключу UE в целевой сети UTRAN, совместимым с текущим значением COUNT нисходящего канала NAS.
Когда результат определения в блоке 34 определения заключается в том, что значение COUNT нисходящего канала NAS, соответствующее текущему сохраненному ключу UE в целевой сети UTRAN, является совместимым с текущим значением COUNT нисходящего канала NAS, блок 31 получения значения счетчика получает новое значение COUNT нисходящего канала NAS.
Блок 31 получения значения счетчика на узле MME в соответствии с данным вариантом осуществления настоящего изобретения получает новое значение COUNT нисходящего канала NAS, отличное от текущего значения COUNT нисходящего канала NAS; и в конце концов второй блок 32 выработки вырабатывает ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS, а блок 33 отправки передачи обслуживания отправляет новое значение COUNT нисходящего канала NAS на UE. Таким образом, в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания ключ, выработанный узлом ММЕ в процессе второй передачи обслуживания, несомненно отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуацию в предшествующем уровне техники и увеличивая безопасность сети.
Кроме того, можно представить, что после неудачи первой передачи обслуживания UE, во время второй передачи обслуживания UE, до того, как узел MME снова принимает сообщение Необходима передача обслуживания, процесс NAS может быть выполнен, и значение COUNT нисходящего канала NAS таким образом изменяется. Узел MME далее включает в себя блок 34 определения для определения совместимости. Если результатом определения совместимости является несовместимость, текущее значение COUNT нисходящего канала NAS может использоваться для выработки ключа; если результат определения совместимости является положительным, ключ вырабатывают после того, как блок 31 получения значения счетчика получает новое значение COUNT нисходящего канала NAS. Следовательно, получение нового значения COUNT нисходящего канала NAS уменьшается, когда результатом определения совместимости является несовместимость, посредством этого экономя загрузку узла MME.
Вариант осуществления устройства 4
Предложено UE. Структурная блок-схема UE показана на Фиг.10, она включает в себя второй блок 40 приема сообщения и второй блок 41 выработки ключа.
Второй блок 40 приема сообщения выполнен с возможностью приема сообщения Сигнал управления передачей обслуживания, где сообщение Сигнал управления передачей обслуживания включает в себя новое значение COUNT нисходящего канала NAS.
Второй блок 41 выработки ключа выполнен с возможностью выработки ключа UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS в сообщении Сигнал управления передачей обслуживания, принятом вторым блоком 40 приема сообщения.
Вариант осуществления устройства 5
Предложен узел MME. Структурная блок-схема узла MME показана на Фиг.11, она включает в себя блок 50 приема передачи обслуживания и третий блок 51 выработки.
Блок 50 приема передачи обслуживания выполнен с возможностью приема сообщения Необходима передача обслуживания, где сообщение Необходима передача обслуживания включает в себя новое значение UE.
Третий блок 51 выработки выполнен с возможностью использования корневого ключа и нового значения UE в сообщении Необходима передача обслуживания, принятом блоком 50 приема передачи обслуживания, в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, или использования текущего значения COUNT нисходящего канала NAS, корневого ключа и нового значения UE в сообщении Необходима передача обслуживания, принятом блоком 50 приема передачи обслуживания, в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.
В данном варианте осуществления после того, как блок 50 приема передачи обслуживания узла MME принимает сообщение Необходима передача обслуживания, третий блок 51 выработки вырабатывает ключ в соответствии с новым значением UE, включенным в сообщение Необходима передача обслуживания, так что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания ключ, вырабатываемый узлом MME в процессе второй передачи обслуживания, несомненно отличается от ключа, вырабатываемого в процессе первой передачи обслуживания, посредством этого избегая ситуацию в предшествующем уровне техники и увеличивая безопасность сети.
Вариант осуществления устройства 6
Предложена BS. Структурная блок-схема BS показана на Фиг.12, она включает в себя блок 60 приема восстановления и блок 61 отправки и выработки.
Блок 60 приема восстановления выполнен с возможностью приема сообщения Запрос восстановления соединения по протоколу RRC, где сообщение Запрос восстановления соединения по протоколу RRC включает в себя новое значение UE.
Блок 61 отправки и выработки выполнен с возможностью отправки нового значения UE, включенного в сообщение Запрос восстановления соединения по протоколу RRC, принятого блоком 60 приема восстановления, на узел ММЕ через сообщение Необходима передача обслуживания, когда вторая передача обслуживания UE определена, чтобы способствовать узлу ММЕ выработать ключ UE в целевой сети UTRAN.
Вариант осуществления устройства 7
Предложено UE. Структурная блок-схема UE показана на Фиг.13, она включает в себя блок 71 отправки восстановления и третий блок 72 выработки ключа.
Блок 71 отправки восстановления выполнен с возможностью отправки сообщения Запрос восстановления соединения по протоколу RRC, где сообщение Запрос восстановления соединения по протоколу RRC включает в себя новое значение UE.
Третий блок 72 выработки ключа выполнен с возможностью использования нового значения UE и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN при приеме сообщения Необходима передача обслуживания и использования нового значения UE, текущего значения COUNT нисходящего канала NAS и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Необходима передача обслуживания включает в себя текущее значение COUNT нисходящего канала NAS.
Вариант осуществления устройства 8
Предложен узел MME. Структурная блок-схема узла MME показана на Фиг.14, она включает в себя блок 81 приема сообщения и блок 82 изменения значения счетчика.
Блок 81 приема сообщения выполнен с возможностью приема сообщения Ответный сигнал на прямое перемещение, отправленного целевым узлом SGSN.
Блок 82 изменения значения счетчика выполнен с возможностью изменения текущего значения COUNT нисходящего канала NAS и сохранения измененного значения COUNT нисходящего канала NAS после отправки сообщения Сигнал управления передачей обслуживания на UE, где измененное значение COUNT нисходящего канала NAS используют для выработки ключа UE в целевой сети UTRAN.
Можно представить следующее: после того, как блок 81 приема сообщения в узле ММЕ принимает сообщение Ответный сигнал на прямое перемещение, отправленное узлом SGSN в целевой сети, которое обозначает, что целевая сеть выполнила перемещение для UE, передача обслуживания может быть выполнена. В данном случае, после того, как блок 82 изменения значения счетчика посылает сообщение Сигнал управления передачей обслуживания, текущее значение COUNT нисходящего канала NAS изменяют.
Следовательно, после неудачи первой передачи обслуживания UE, во время второй передачи обслуживания, узел MME использует значение COUNT нисходящего канала NAS, сохраненное в узле MME для выработки ключа, что гарантирует, что значение COUNT нисходящего канала NAS отличается от значения COUNT нисходящего канала NAS, используемого в первой передаче обслуживания, так что ключи, выработанные и вычисленные в двух передачах обслуживания, являются различными. Следовательно, достигнута цель увеличения безопасности сети.
Вариант осуществления системы
Предложена система связи, которая включает в себя узел MME. Узел MME аналогичен любому из узлов MME в Вариантах осуществления устройства 1, 3, 5 и 8, и может быть выполнен способ выработки ключа в соответствии с вышеописанными вариантами осуществления.
Можно представить, что система связи далее включает в себя другие устройства, такие как UE и BS, и безопасность сети может быть увеличена за счет связи между UE и BS.
Способ выработки ключа, устройство и система по вариантам осуществления настоящего изобретения применимы к процессу передачи обслуживания UE из сети EUTRAN в сеть UTRAN. От неудачи первой передачи обслуживания до второй передачи обслуживания есть гарантия того, что ключ, выработанный на исходном узле MME в первом процессе передачи обслуживания UE, отличается от ключа, выработанного на узле MME в процессе второй передачи обслуживания UE, изменением входных параметров, которые используются в выработке ключа узлом MME, таких как генерация случайного значения, изменение текущего значения COUNT нисходящего канала NAS и получение нового значения UE, чтобы предотвратить ситуацию в предшествующем уровне техники, что как только получен ключ, используемый на контроллере RNC, ключи на других контроллерах RNC могут вырабатываться соответственно, посредством этого увеличивая безопасность сети.
Специалистам должно быть понятно, что все или часть этапов способа в соответствии с вариантами осуществления настоящего изобретения могут быть выполнены программой, выдающей команду соответствующему аппаратному обеспечению. Программа может храниться на машинно-читаемом носителе информации, таком как постоянное запоминающее устройство (ПЗУ), оперативное запоминающее устройство (ОЗУ), магнитный диск или оптический диск.
Способ выработки ключа, устройство и система описаны подробно выше. Принцип и осуществление настоящего изобретения описаны здесь посредством отдельных примеров. Описание вариантов осуществления настоящего изобретения предоставлено только для простоты понимания способа и основополагающих идей настоящего изобретения. Специалисты могут выполнить разновидности и модификации настоящего изобретения на основе отдельных осуществлений и областей применения в соответствии с идеями настоящего изобретения. Следовательно, описание изобретения не должно быть истолковано как ограничение настоящего изобретения.
Класс H04W12/04 распределение ключей