Способ выработки ключа, устройство и система

Иллюстрации

Показать все

Изобретение относится к области технологий связи. Техническим результатом является повышение безопасности сети. Способ выработки ключа содержит этапы, на которых: получают на Узле управления мобильностью (ММЕ) сообщение Необходима передача обслуживания от базовой станции (BS); вырабатывают на узле ММЕ ключ абонентского оборудования (UE) в целевой Универсальной сети наземного радиодоступа (UTRAN) в соответствии с Функцией выработки ключа (Key Derivation Function, KDF), корневым ключом и текущим значением COUNT нисходящего канала NAS; посылают от узла ММЕ текущее значение COUNT нисходящего канала NAS на UE; и добавляют на узле ММЕ определенное значение к текущему значению COUNT нисходящего канала NAS. 4 н. и 7 з.п. ф-лы, 14 ил.

Реферат

Область техники, к которой относится изобретение

Настоящее изобретение относится к области технологий связи, и в частности способу выработки ключа, устройству и системе.

Уровень техники

В мобильной системе связи сеть радиодоступа включает в себя мобильную систему связи второго поколения, мобильную систему связи третьего поколения и систему по стандарту «Долгосрочное развитие систем связи» (LTE).

При передаче обслуживания абонентского оборудования (UE) из сети, в которой первоначально размещается UE, то есть исходной сети, в целевую сеть ключ целевой сети может быть выработан из ключа исходной сети, посредством этого избегая процесса аутентификации и согласования ключа, так что UE и сетевая сторона генерируют через один и тот же основной параметр и алгоритм ключ, который в конечном счете используется в целевой сети.

В Универсальной сети наземного радиодоступа (UTRAN) процесс аутентификации и согласования ключа генерирует ключ шифрования (Ciphering Key, CK) и ключ целостности (Integrity Key, IK); а в Развитой UTRAN (EUTRAN) процесс аутентификации и согласования ключа генерирует корневой ключ (Kasme).

Принимая передачу обслуживания UE из сети EUTRAN в сеть UTRAN в качестве примера, базовая станция (BS), изначально служащая UE в сети EUTRAN (сокращенно ниже именуемая исходной BS), инициирует процесс передачи обслуживания по сети; Узел управления мобильностью (ММЕ), ассоциированный с исходной BS, то есть исходный узел ММЕ, вырабатывает ключ CK'‖IK' UE в целевой сети в соответствии с Функцией выработки ключа (Key Derivation Function, KDF), входным параметром, то есть корневым ключом Kasme, и значением COUNT нисходящего канала Слоя без доступа (NAS) в текущем контексте безопасности и посылает выработанный ключ в целевую сеть UTRAN; целевая сеть делает выбор алгоритма безопасности для UE и возвращает алгоритм безопасности в UE; a UE синхронизирует ключ со стороной целевой сети в соответствии с алгоритмом безопасности.

В вышеописанном процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN передача обслуживания UE в сеть UTRAN может быть неудачной вследствие неудачи соединения радиоинтерфейса линии радиосвязи, так что UE возвращается в сеть EUTRAN и инициирует процесс восстановления соединения с BS, в настоящий момент служащей UE, то есть BS, на которой в настоящий момент размещается UE, сокращенно ниже именуемой текущей BS, и после решения о выполнении передачи обслуживания BS инициирует другой процесс передачи обслуживания. В данном случае и выработка ключа на узле ММЕ во втором процессе передачи обслуживания, и выработка ключа на узле ММЕ в первом процессе передачи обслуживания выполняются в соответствии с корневым ключом Kasme и текущим значением COUNT нисходящего канала NAS, и, следовательно, вычисленный ключ СK'‖IK' является одинаковым, что приводит к тому, что ключ, полученный во время передачи обслуживания многочисленными Контроллерами радиосети (RNC) в сети UMTS через целевой Узел поддержки обслуживания GPRS (SGSN), является одинаковым. Таким образом, как только получен ключ, используемый на одном контроллере RNC, ключи на других контроллерах RNC могут вырабатываться соответственно, и безопасность сети подвергается опасности.

Сущность изобретения

Настоящее изобретение направлено на способ, устройство и систему выработки ключа для увеличения безопасности сети.

Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:

генерируют случайное значение;

используют случайное значение и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; или

используют случайное значение, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.

Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:

принимают на UE сообщение Сигнал управления передачей обслуживания;

используют случайное значение и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания включает в себя случайное значение; и

используют случайное значение, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания включает в себя случайное значение и текущее значение COUNT нисходящего канала NAS.

Один вариант осуществления настоящего изобретения предоставляет способ

выработки ключа, где способ включает в себя:

получают новое значение COUNT нисходящего канала NAS;

вырабатывают ключ UE в целевой сети UTRAN в соответствии с KDF, корневой ключ и новое значение COUNT нисходящего канала NAS; и

посылают новое значение COUNT нисходящего канала NAS в UE, так что UE вырабатывает ключ в целевой сети UTRAN.

Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:

принимают в UE сообщение Сигнал управления передачей обслуживания, где сообщение Сигнал управления передачей обслуживания включает в себя новое значение COUNT нисходящего канала NAS; и

вырабатывают ключ UE в целевой сети UTRAN в соответствии с KDF, корневой ключ и новое значение COUNT нисходящего канала NAS.

Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:

принимают сообщение Необходима передача обслуживания, где сообщение Необходима передача обслуживания включает в себя новое значение UE;

используют новое значение UE и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; или

используют новое значение UE, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.

Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя:

посылают на UE сообщение Запрос восстановления соединения по протоколу Управления радиоресурсами (Radio Resource Control, RRC), где сообщение Запрос восстановления соединения по протоколу RRC включает в себя новое значение UE;

используют новое значение UE и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN при приеме сообщения Сигнал управления передачей обслуживания, отправленного BS; и

используют новое значение UE, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания включает в себя текущее значение COUNT нисходящего канала NAS.

Один вариант осуществления настоящего изобретения предоставляет узел MME, где узел MME включает в себя:

блок генерации, выполненный с возможностью генерации случайного значения; и

блок выработки, выполненный с возможностью использования корневого ключа и случайного значения, сгенерированных блоком генерации в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; или выполненный с возможностью использования случайного значения, текущего значения COUNT нисходящего канала NAS и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.

Один вариант осуществления настоящего изобретения предоставляет UE, где UE включает в себя:

блок приема сообщения, выполненный с возможностью приема сообщения Сигнал управления передачей обслуживания;

блок выработки ключа, выполненный с возможностью использования случайного значения и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания, принятое блоком приема сообщения, включает в себя случайное значение; и выполненный с возможностью использования случайного значения, текущего значения COUNT нисходящего канала NAS и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN, если сообщение Сигнал управления передачей обслуживания, принятое блоком приема сообщения, включает в себя случайное значение и текущее значение COUNT нисходящего канала NAS.

Один вариант осуществления настоящего изобретения предоставляет узел MME, где узел MME включает в себя:

блок получения значения счетчика, выполненный с возможностью получения нового значения COUNT нисходящего канала NAS;

второй блок выработки, выполненный с возможностью выработки ключа UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS, полученным блоком получения значения счетчика; и

блок отправки передачи обслуживания, выполненный с возможностью отправки нового значения COUNT нисходящего канала NAS, полученного блоком получения значения счетчика, в UE, так что UE вырабатывает ключ в целевой сети UTRAN.

Один вариант осуществления настоящего изобретения предоставляет UE, где UE включает в себя:

второй блок приема сообщения, выполненный с возможностью приема сообщения Сигнал управления передачей обслуживания, где сообщение Сигнал управления передачей обслуживания включает в себя новое значение COUNT нисходящего канала NAS; и

второй блок выработки ключа, выполненный с возможностью выработки ключа UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS в сообщении Сигнал управления передачей обслуживания, принятом вторым блоком приема сообщения.

Один вариант осуществления настоящего изобретения предоставляет систему связи, где система связи включает в себя любой из вышеописанных узлов MME.

Способ выработки ключа, устройство и система по вариантам осуществления настоящего изобретения применимы к процессу передачи обслуживания UE из сети EUTRAN в сеть UTRAN. От неудачи первой передачи обслуживания до второй передачи обслуживания есть гарантия, что ключ, выработанный на исходном узле ММЕ в первой передаче обслуживания UE, отличается от ключа, выработанного на узле MME в процессе второй передачи обслуживания UE, через изменение входных параметров, используемых в выработке ключа, таких как генерация случайного значения, изменение текущего значения COUNT нисходящего канала NAS и получение нового значения UE с тем, чтобы предотвратить ситуацию в предшествующем уровне техники, что как только получен ключ, используемый в одном контроллере RNC, ключи на других контроллерах RNC могут вырабатываться соответственно, посредством этого увеличивая безопасность сети.

Краткое описание чертежей

Фиг.1 представляет собой блок-схему способа выработки ключа по одному варианту осуществления настоящего изобретения;

Фиг.2 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 1 настоящего изобретения;

Фиг.3 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 2 настоящего изобретения;

Фиг.4 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 3 настоящего изобретения;

Фиг.5 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 4 настоящего изобретения;

Фиг.6 представляет собой блок-схему способа выработки ключа по Варианту осуществления способа 5 настоящего изобретения;

Фиг.7 представляет собой блок-схему, иллюстрирующую логическую структуру узла MME по Варианту осуществления устройства 1 настоящего изобретения;

Фиг.8 представляет собой блок-схему, иллюстрирующую логическую структуру UE по Варианту осуществления устройства 2 настоящего изобретения;

Фиг.9 представляет собой блок-схему, иллюстрирующую логическую структуру узла MME по Варианту осуществления устройства 3 настоящего изобретения;

Фиг.10 представляет собой блок-схему, иллюстрирующую логическую структуру UE по Варианту осуществления устройства 4 настоящего изобретения;

Фиг.11 представляет собой блок-схему, иллюстрирующую логическую структуру узла MME по Варианту осуществления устройства 5 настоящего изобретения;

Фиг.12 представляет собой блок-схему, иллюстрирующую логическую структуру BS по Варианту осуществления устройства 6 настоящего изобретения;

Фиг.13 представляет собой блок-схему, иллюстрирующую логическую структуру UE по Варианту осуществления устройства 7 настоящего изобретения; и

Фиг.14 представляет собой блок-схему, иллюстрирующую логическую структуру узла MME по Варианту осуществления устройства 8 настоящего изобретения.

Подробное описание изобретения

Варианты осуществления настоящего изобретения применимы к процессу передачи обслуживания UE из сети EUTRAN в сеть UTRAN. Следующий способ используется для увеличения безопасности сети в вариантах осуществления настоящего изобретения: значение COUNT нисходящего канала NAS, используемое, когда выработку ключа выполняют на исходном узле MME во время процесса первой передачи обслуживания UE, отличается от значения COUNT нисходящего канала NAS, используемого, когда выработку ключа выполняют на узле MME во время процесса второй передачи обслуживания UE так, что ключи, сгенерированные во время каждого процесса передачи обслуживания UE из сети EUTRAN в сеть UTRAN, отличаются, и ключи UE, используемые на контроллере RNC и на узле SGSN в целевой сети, различаются таким образом. Следовательно, избегают ситуации в предшествующем уровне техники, что как только получен ключ, используемый на одном RNC, ключи, используемые на других RNC, могут быть выработаны соответственно, посредством этого увеличивая безопасность сети.

Один вариант осуществления настоящего изобретения предоставляет способ выработки ключа, где способ включает в себя следующие этапы:

Этап 10: узел MME генерирует случайное значение.

Этап 20: узел MME использует случайное значение и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; или использует случайное значение, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.

Для лучшего понимания способ выработки ключа, устройство и система по вариантам осуществления настоящего изобретения описаны ниже посредством конкретного процесса передачи обслуживания в сети.

Вариант осуществления способа 1

Предложен способ выработки ключа. Сценарий применения данного варианта осуществления представляет собой процесс передачи обслуживания UE из сети EUTRAN в сеть UTRAN. Блок-схема способа по настоящему варианту осуществления показана на Фиг.2, она включает в себя следующие этапы:

Этап 101: BS, на которой в настоящий момент располагается UE, то есть текущая BS, посылает сообщение Необходима передача обслуживания на узел MME, ассоциированный с текущей BS, то есть текущий узел MME.

Этап 102: Текущий узел ММЕ принимает сообщение Необходима передача обслуживания, генерирует случайное значение и использует случайное значение и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.

Можно представить, что текущий узел ММЕ может генерировать случайное значение в любой момент во время приема сообщения Необходима передача обслуживания. При генерации случайного значения текущий узел MME может случайно генерировать случайное значение, то есть новое значение узла MME через внутренний модуль генерации случайного числа.

Частичное описание KDF является таким, что KDF=хэш-функция (HMAC)-SHA-256(Ключ, S), где Ключ представляет собой входную функцию, a S=FC‖P0‖L0‖P1‖L1‖P2‖L2‖P3‖L3‖…‖Pn‖Ln, где ‖ представляет конкатенацию, FC используется для проведения различия различных KDF, P представляет собой код входного параметра, a L представляет собой длину входного параметра, соответствующего P. Когда KDF применяется для выработки ключа CK'‖IK', CK'‖IK'=KDF(KASME, S) и S=FC‖P0‖L0, где FC представляет собой, в частности, 0×16, P0 представляет собой значение COUNT нисходящего канала NAS, a L0 представляет собой длину значения COUNT нисходящего канала NAS (такую как 0×00 0×04).

При выработке ключа в данном варианте осуществления текущий узел MME может использовать новое значение узла ММЕ и корневого ключа в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN. В данном случае ключ CK'‖IK'=KDF(Kasme, S), где S=FC ‖ новое значение узла MME ‖ длина нового значения узла MME.

Этап 103: Текущий узел MME посылает сообщение Запрос перемещения на целевой контроллер RNC через целевой узел SGSN, где сообщение Запрос перемещения включает в себя ключ UE в целевой сети UTRAN, вычисленный на этапе 102, соответствующий KSI и информацию, такую как характеристика безопасности сети UTRAN для UE или Сети радиодоступа GSM/EDGE (GERAN).

Этап 104: Целевой контроллер RNC посылает сообщение Ответный сигнал на прямое перемещение на узел MME через целевой узел SGSN, где сообщение Ответный сигнал на прямое перемещение переносит идентификатор (ID) алгоритма, выбранный целевым контроллером RNC в соответствии с характеристикой безопасности UE.

Этап 105: Текущий узел MME посылает случайное значение, полученное на этапе 102, на UE посредством сообщения Сигнал управления передачей обслуживания.

Можно представить, что узел MME может посылать сообщение Сигнал управления передачей обслуживания на BS, где сообщение Сигнал управления передачей обслуживания может включать в себя сгенерированное случайное значение, и далее включать в себя информацию, такую как ID алгоритма и текущее значение COUNT нисходящего канала NAS; а BS затем посылает информацию, такую как случайное значение, текущее значение COUNT нисходящего канала NAS и ID алгоритма, включенную в сообщение Сигнал управления передачей обслуживания, на UE посредством сообщения Сигнал управления передачей обслуживания от сети EUTRAN.

Этап 106: UE принимает сообщение Сигнал управления передачей обслуживания, вырабатывает ключ в соответствии со случайным значением посредством способа на вышеописанном этапе 102, таким образом достигая синхронизации ключа между UE и целевой сетью, и посылает сообщение Завершение передачи обслуживания на целевой контроллер RNC для завершения передачи обслуживания в сети. Можно представить, что UE может вычислять конкретные CK' или IK' в соответствии с ID алгоритма.

Следует отметить, что в процессе первой передачи обслуживания UE в сеть UTRAN исходный узел MME может применять способ выработки ключа, используемый в передаче обслуживания в сети данного варианта осуществления; и после неудачи первой передачи обслуживания UE узел MME может также применять способ выработки ключа данного варианта осуществления для выработки ключа во второй передаче обслуживания UE.

В другом отдельном варианте осуществления, при выполнении выработки ключа на этапе 102, узел MME может использовать случайное значение, текущее значение COUNT нисходящего канала NAS и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN. В данном случае ключ CK'‖IK'=KDF(Kasme, S), где S=FC‖P0‖L0‖ новое значение MME ‖ длина нового значения узла ММЕ. Затем на этапе 105 узел MME посылает сообщение Сигнал управления передачей обслуживания, включающее в себя случайное значение и текущее значение COUNT нисходящего канала NAS, на UE, и только четыре наименее значимых бита текущего значения COUNT нисходящего канала NAS могут быть в него включены. Посредством этого на этапе 106 UE вырабатывает ключ в соответствии со случайным значением и текущим значением COUNT нисходящего канала NAS с помощью способа на этапе 102.

В других отдельных вариантах осуществления в первой передаче обслуживания UE исходный узел MME может сохранять ключ после выработки ключа; и когда первая передача обслуживания UE удается, сохраненный ключ может быть удален. Исходный узел MME принимает сообщение Ответный сигнал на прямое перемещение, отправленное целевым узлом SGSN после того, как UE отправило сообщение Завершение передачи обслуживания, которое обозначает, что первая передача обслуживания является удачной. После приема сообщения Необходима передача обслуживания узел MME определяет, сохранен ли в настоящий момент ключ UE в целевой сети UTRAN; если да, узел MME далее определяет, является ли значение COUNT нисходящего канала NAS, соответствующее текущему сохраненному ключу UE в целевой сети UTRAN, совместимым с текущим значением COUNT нисходящего канала NAS; и если совместимо, узел MME получает случайное значение. Безусловно, когда узел MME определяет, что ключ UE в целевой сети UTRAN не сохранен в текущий момент, случайное значение не получают с помощью способа данного варианта осуществления и затем выполняют выработку; и если результатом вышеописанного определения совместимости является несовместимость, выработку выполняют с помощью текущего способа выработки.

Можно представить, что вторая передача обслуживания UE после первой передачи обслуживания UE не удается, и до того, как узел MME снова принимает сообщение Необходима передача обслуживания, может выполняться процесс NAS, а значение COUNT нисходящего канала NAS изменяется так, что когда результатом вышеописанного определения является несовместимость, узел MME может использовать текущее значение COUNT нисходящего канала NAS для выработки ключа, и ключ, выработанный таким образом, отличается от ключа, выработанного в первой передаче обслуживания; если результат определения является положительным, получают случайное значение.

В данном варианте осуществления настоящего изобретения способ выработки ключа, используемого в передаче обслуживания UE из сети EUTRAN в сеть UTRAN, является следующим: при приеме сообщения Необходима передача обслуживания узел MME генерирует случайное значение и вырабатывает ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и случайным значением. В данном случае ключ, выработанный в процессе второй передачи обслуживания после неудачи процесса первой передачи обслуживания UE, несомненно отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуации в предшествующем уровне техники и увеличивая безопасность сети.

Вариант осуществления способа 2

Предложен способ передачи обслуживания в сети. Сценарий применения данного варианта осуществления заключается в том, что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания UE, UE возвращает первоначальную сеть EUTRAN и выбирает узел SGSN для второй передачи обслуживания. Блок-схема способа по данному варианту осуществления показана на Фиг.3, она включает в себя следующие этапы:

Этап 201: UE посылает сообщение Запрос на восстановление соединения по протоколу RRC на исходную BS и выполняет процесс восстановления соединения по протоколу RRC.

Можно представить, что после неудачи первой передачи обслуживания UE может возвратиться к другому элементу исходной BS или возвратиться к тому же элементу исходной BS или возвратиться к BS, отличной от исходной BS. В данном варианте осуществления пример возврата UE к тому же элементу исходной BS используют в качестве иллюстрации.

Этап 202: После восстановления соединения по протоколу RRC исходная BS посылает сообщение Необходима передача обслуживания на исходный узел MME.

Этап 203: Исходный узел MME принимает сообщение Необходима передача обслуживания и получает новое значение COUNT нисходящего канала NAS, где новое значение COUNT нисходящего канала NAS отличается от текущего значения COUNT нисходящего канала NAS.

При получении нового значения COUNT нисходящего канала NAS исходный узел MME может получить новое значение COUNT нисходящего канала NAS следующим образом: добавлением определенного значения к текущему значению COUNT нисходящего канала NAS, например добавлением 1; или

отправкой сообщения NAS, такого как сообщение Сигнал управления режимом безопасности (Security Mode Command, SMC) NAS, на UE, так что к текущему сохраненному значению COUNT нисходящего канала NAS добавляют 1, и текущее значение COUNT нисходящего канала NAS после отправки сообщения NAS используют в качестве нового значения COUNT нисходящего канала NAS.

Этап 204: Исходный узел MME вырабатывает ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS.

Ключ, выработанный исходным узлом MME CK'‖IK'=KDF(Kasme, S), где S=FC ‖ новое значение COUNT нисходящего канала NAS ‖ длина нового значения COUNT нисходящего канала NAS.

Этап 205: Исходный узел MME посылает сообщение Запрос перемещения на целевой контроллер RNC через целевой узел SGSN, где сообщение Запрос перемещения включает в себя ключ UE в целевой сети UTRAN, вычисленный на этапе 204.

Этап 206: Целевой контроллер RNC посылает сообщение Ответный сигнал на прямое перемещение на исходный узел MME через целевой узел SGSN, где сообщение Ответный сигнал на прямое перемещение переносит ID алгоритма, выбранного целевым контроллером RNC в соответствии с характеристикой безопасности UE.

Этап 207: Исходный узел MME посылает новое значение COUNT нисходящего канала NAS на UE посредством сообщения Сигнал управления передачей обслуживания, в котором только четыре наименее значимых бита нового значения COUNT нисходящего канала NAS могут быть отправлены на UE.

Можно представить, что узел MME может посылать сообщение Сигнал управления передачей обслуживания на BS, где сообщение Сигнал управления передачей обслуживания может включать в себя новое значение COUNT нисходящего канала NAS и может также включать в себя информацию, такую как ID алгоритма; а BS затем посылает новое значение COUNT нисходящего канала NAS на UE посредством сообщения Сигнал управления передачей обслуживания из сети EUTRAN.

Этап 208: UE принимает сообщение Сигнал управления передачей обслуживания, вырабатывает ключ в соответствии с KDF, корневой ключ и новое значение COUNT нисходящего канала NAS с помощью способа на вышеописанном этапе 204, таким образом достигая синхронизации ключа между UE и целевой сетью, и посылает сообщение Завершение передачи обслуживания на целевой контроллер RNC для завершения передачи обслуживания в сети.

В других отдельных вариантах осуществления в процессе первой передачи обслуживания UE исходный узел MME может сохранять ключ после выработки ключа, и при приеме сообщения Завершение прямого перемещения, отправленного целевым узлом SGSN, исходный узел ММЕ может удалить сохраненный ключ. Таким образом, до выполнения этапа 203 исходный узел MME определяет, сохранен ли в настоящий момент ключ UE в целевой сети UTRAN; если да, далее определяет, является ли значение COUNT нисходящего канала NAS, соответствующее текущему сохраненному ключу UE в целевой сети UTRAN, совместимым с текущим значением COUNT нисходящего канала NAS; если совместимо, выполняет этап 203 для получения нового значения COUNT нисходящего канала NAS. Безусловно, когда исходный узел MME определяет, что ключ UE в целевой сети UTRAN не сохранен в настоящий момент, узел MME может выполнить этап 203 для получения нового значения COUNT нисходящего канала NAS; и если результатом вышеописанного определения совместимости является несовместимость, узел MME выполняет выработку по текущему способу выработки.

Можно представить, что во второй передаче обслуживания UE после неудачи первой передачи обслуживания и до того, как исходный узел MME снова принимает сообщение Необходима передача обслуживания, процесс NAS может быть выполнен, и значение COUNT нисходящего канала NAS изменяется, так что результатом вышеописанного определения является несовместимость, исходный узел MME может использовать текущее значение COUNT нисходящего канала NAS для выработки ключа, и ключ, выработанный таким образом, отличается от ключа, выработанного в первой передаче обслуживания; если результат определения является положительным, выработку ключа выполняют после получения нового значения COUNT нисходящего канала NAS.

В одном варианте осуществления настоящего изобретения на исходном узле MME задают две машины состояний соответственно для выработки ключа, который неспособен использовать сохраненное значение COUNT нисходящего канала NAS, и для выработки ключа, который неспособен использовать сохраненное значение COUNT нисходящего канала NAS, и они соответственно обозначаются как Состояние 0 и Состояние 1. Когда исходный узел MME принимает сообщение Необходима передача обслуживания, задают Состояние 0; а когда узел MME проходит через определенный внутренний процесс и удовлетворяет предварительно заданному условию, задают Состояние 1, то есть может быть выполнена выработка ключа, в которой предварительно заданное условие включает в себя: узел MME принимает сообщение Завершение прямого перемещения, к текущему значению COUNT нисходящего канала NAS добавляют определенное значение, и узел MME доставляет сообщение NAS. Например, после того, как узел MME принимает сообщение Необходима передача обслуживания и доставляет сообщение NAS, выработка ключа может быть выполнена.

В данном варианте осуществления настоящего изобретения в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания, способ выработки ключа во второй передаче обслуживания в сети заключается в том, что после приема сообщения Необходима передача обслуживания исходный узел MME получает новое значение COUNT нисходящего канала NAS, отличное от текущего значения COUNT нисходящего канала NAS, и доставляет ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS. Таким образом, ключ, выработанный в процессе второй передачи обслуживания, несомненно отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуацию в предшествующем уровне техники и увеличивая безопасность сети.

Вариант осуществления способа 3

Предложен способ выработки ключа. Сценарий применения данного варианта осуществления заключается в том, что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания UE, UE возвращается в первоначальную сеть EUTRAN и выбирает узел SGSN для второй передачи обслуживания. Блок-схема способа показана на Фиг.4, она включает в себя следующие этапы:

Этап 301: UE посылает сообщение Запрос восстановления соединения по протоколу RRC в BS, где в настоящий момент размещается UE, то есть текущую BS, для выполнения процесса восстановления соединения по протоколу RRC.

Можно представить, что после неудачи первой передачи обслуживания UE может вернуться к другому элементу исходной BS или вернуться к тому же элементу исходной BS или вернуться к BS, отличной от исходной BS.

Этап 302: После восстановления соединения по протоколу RRC текущая BS посылает сообщение Завершение восстановления соединения по протоколу RRC на узел MME, ассоциированный с текущей BS, то есть текущий узел MME.

Можно представить, что сообщение Завершение восстановления соединения по протоколу RRC может представлять собой сообщение Уведомление передачи обслуживания или может представлять собой сообщение Коммутация маршрута. В частности, если UE возвращается к другому элементу исходной BS, текущая BS, то есть исходная BS, может посылать сообщение Уведомление передачи обслуживания на текущий узел ММЕ для обозначения того, что восстановление соединения завершено; если UE возвращается к BS, отличной от исходной BS, текущая BS может посылать сообщение Коммутация маршрута на текущий узел MME.

Этап 303: Текущий узел MME принимает сообщение Завершение восстановления соединения по протоколу RRC, отправленное текущей BS, и получает новое значение COUNT нисходящего канала NAS, где новое значение COUNT нисходящего канала NAS отличается от текущего значения COUNT нисходящего канала NAS.

Способ получения является аналогичным способу, описанному на этапе 203 Варианта осуществления способа 2, и детали не описываются здесь снова.

Этап 304: Текущая BS решает выполнить вторую передачу обслуживания и посылает сообщение Необходима передача обслуживания на текущий узел MME.

Этап 305: После приема сообщения Необходима передача обслуживания текущий узел MME вырабатывает ключ UE в целевой сети UTRAN в соответствии с KDF, корневым ключом и новым значением COUNT нисходящего канала NAS, полученным на этапе 303, и посылает выработанный ключ на целевой контроллер RNC.

После отправки ключа на целевой контроллер RNC способ передачи обслуживания в сети является аналогичным способу Варианта осуществления способа 2 после этапа 205, и детали не описываются здесь снова. Кроме того, этап 303 и этап 304 в данном варианте осуществления могут быть выполнены одновременно, но предпочтительно выполнены последовательно, и, таким образом, процесс передачи обслуживания в сети может быть не затронут, что экономит время передачи обслуживания в сети.

Способ выработки ключа в данном варианте осуществления настоящего изобретения заключается в том, что во время передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания и до второй передачи обслуживания UE, узел ММЕ получает новое значение COUNT нисходящего канала NAS, отличное от текущего значения COUNT нисходящего канала NAS, так что после того, как узел MME принимает сообщение Необходима передача обслуживания, выработанный и вычисленный ключ UE в целевой сети UTRAN несомненно отличается от ключа, выработанного в процессе первой передачи обслуживания, таким образом избегая ситуацию в предшествующем уровне техники и увеличивая безопасность сети.

Кроме того, так как получение нового значения COUNT нисходящего канала NAS выполняют до второй передачи обслуживания, передача обслуживания в сети может быть не затронута, и по сравнению с Вариантом осуществления способа 1, передача обслуживания в сети уменьшается.

Вариант осуществления способа 4

Предложен способ выработки ключа. Сценарий применения данного варианта осуществления заключается в том, что в процессе передачи обслуживания UE из сети EUTRAN в сеть UTRAN, после неудачи первой передачи обслуживания UE, UE возвращается к первоначальной сети EUTRAN для второй передачи обслуживания. Блок-схема способа показана на Фиг.5, она включает в себя следующие этапы:

Этап 401: UE посылает сообщение Запрос восстановления соединения по протоколу RRC на BS, где в настоящий момент размещается UE, то есть текущую BS, где сообщение Запрос восстановления соединения по протоколу RRC может включать в себя 2-битный резерв для переноса нового значения UE, то есть случайного значения.

Этап 402: После приема сообщения Запрос восстановления соединения по протоколу RRC текущая BS решает выполнить вторую передачу обслуживания UE и посылает посредством сообщения Необходима передача обслуживания, новое значение UE на узел MME, ассоциированный с текущей BS, то есть текущий узел MME, для выработки ключа UE в целевой сети UTRAN.

Этап 403: После приема сообщения Необходима передача обслуживания, текущий узел MME использует новое значение UE, включенное в сообщение Необходима передача обслуживания, и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN.

При выработке ключа текущий узел MME может использовать новое значение UE и корневой ключ в качестве входных параметров KDF для выработки ключа UE в целевой сети UTRAN; и в данном случае ключ CK'‖IK'=KDF(Kasme, S), где S=FC ‖ новое значение UE ‖ длина нового значения UE.

Этап 404: Текущий узел MME посылает сообщение Запрос перемещения на целевой контроллер RNC через целевой узел SGSN, где сообщение Запрос перемещения включает в себя ключ UE в целевой сети UTRAN, вычисленный на этапе 403.

Этап 405: Целевой контроллер RNC посылает сообщение Ответный сигнал на прямое перемещение на текущий узел MME через целевой узел SGSN, где сообщение Ответный сигнал на прямое перемещение переносит ID алгоритма целевым контроллером RNC в соответствии с характеристикой безопасности UE.

Этап 406: Текущий узел MME посылает сообщение Сигнал управления передачей обслуживания на BS, где это сообщение Сигнал управления передачей обслуживания может включать в себя текущее значение COUNT нисходящего канала NAS и может далее включать в себя информацию, такую как ID алгоритма; и затем BS посылает сообщение Сигнал управления передачей обслуживания на UE, где это сообщение Сигнал управления передачей обслуживания может включать в себя текущее значение COUNT нисходящего канала NAS.

Этап 407: UE принимает сообщение Сигнал управления передачей обслуживания и вырабатывает ключ в соответствии с новым значением UE посредством способа на вышеописанном этапе 403, таким образом достигая синхронизации ключа между UE и целевой сетью.

В других отдельных