專利名稱:Sim卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法和相關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域,特別涉及一種SIM卡用戶設(shè)備接入演進 網(wǎng)絡(luò)的方法和相關(guān)設(shè)備。
背景技術(shù):
現(xiàn)有的第三代合作伙伴計劃(3rd Generation Partnership Project,簡稱 3GPP)的無線網(wǎng)絡(luò)分為3GPP無線接入網(wǎng)和核心網(wǎng)兩部分��。其中3GPP無線 接入網(wǎng)又分為3種①全5求移動通訊系統(tǒng)(Global System for Mobile Communications,筒稱GSM)邊鄉(xiāng)彖無線接入網(wǎng)(GSM/EDGE Radio Access Network,筒稱GERAN )��,該GERAN為2G接入網(wǎng)�,其中包括基站收發(fā)臺(Base Transceiver Station,簡稱BTS )和基站控制器(Base Station Controller, BSC ); ②全球陸上無線接入(Universal Terrestrial Radio Access,簡稱UTRAN )�����,該 UTRAN為3G接入網(wǎng)���,其中包括基站(節(jié)點B�����,簡稱NodeB )和無線網(wǎng)絡(luò)控 制器(Radio Network Controller, RNC );③演進的通用陸基無線接入網(wǎng)
(Evolved Universal Terrestrial Radio Access Network, 簡稱EUTRAN), 該 EUTRAN為長期演進(Long Term Evolution,簡稱LTE )接入網(wǎng)�,包括演進 的基站(evoluted NodeB,筒稱eNB )��,與未來演進的LTE接入網(wǎng)對應(yīng)的核心 網(wǎng)為系統(tǒng)架構(gòu)演進(System Architecture Evolution �,筒稱SAE )��。
未來演進網(wǎng)絡(luò)中和安全相關(guān)的實體是eNB和SAE中的移動管理實體
(Mobility Management Entity,簡稱MME )���,其中eNB主要完成無線資源控 制(Radio Resources Control,簡稱RRC ) /用戶面(User Plane,簡稱UP )信 令的安全保護功能�����,MME主要完成非接入信令(Non-Access Signalling,簡 稱NAS信令)的安全保護功能���。為保證未來演進網(wǎng)絡(luò)的通信安全�����,用戶設(shè)備(User Equipment,簡稱UE )需要和eNB共享相同的RRC加密密鑰 (K_RRC_enc)�����、 RRC完整性保護密鑰(K_RRC—int)和UP加密密鑰 (K_UP—enc),以保護UE和eNB之間RRC/UP信令��;UE還需要和MME共 享相同的NAS加密密鑰(K一NAS一enc )和NAS完整性保護密鑰(K一NAS一int )�����, 以保護UE和MME之間NAS信令��。
目前3GPP標(biāo)準(zhǔn)中����,演進網(wǎng)絡(luò)只支持通用用戶身份模塊(Universal Subscriber Identity Module,筒稱USIM)卡用戶接入該演進網(wǎng)絡(luò);而對于用 戶身份模塊(Subscriber Identity Module, SIM)卡用戶���,演進網(wǎng)絡(luò)則禁止SIM 卡用戶接入�。這樣�����,對于很多的運營商(例如中國移動)來說���,在網(wǎng)絡(luò)升級 到未來的演進網(wǎng)絡(luò)時����,勢必要強制性進行用戶換卡工作�,即將用戶的SIM卡 更換為USIM卡。這樣����, 一方面可能增加運營商的負擔(dān),另一方面也可能導(dǎo) 致用戶的轉(zhuǎn)網(wǎng)�。
發(fā)明內(nèi)容
本發(fā)明實施例提供了 一種SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法和相關(guān)設(shè) 備,以實現(xiàn)SIM卡用戶設(shè)備接入到演進網(wǎng)絡(luò)/移動到演進網(wǎng)絡(luò)/從演進網(wǎng)絡(luò)移 出時的鑒^/密鑰等安全處理�。
根據(jù)本發(fā)明實施例����,提供了 一種用戶身份模塊SIM卡用戶設(shè)備接入演進 網(wǎng)絡(luò)的方法����,包括
接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備對應(yīng)的四元組鑒權(quán)矢 量AV����,所述四元組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng);
向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息�,所述鑒權(quán)請求消息中包括所 述四元組AV中的隨才幾數(shù);
接收所述SIM卡用戶設(shè)備才艮據(jù)所述四元組AV中的隨機數(shù)生成的用戶端 挑戰(zhàn)響應(yīng)��;
若接收到的所述四元組AV中的期望挑戰(zhàn)響應(yīng)和所述用戶端4"兆戰(zhàn)響應(yīng)一
10致���,則鑒權(quán)成功����。
根據(jù)本發(fā)明實施例����,還提供了一種用戶身份模塊SIM卡用戶設(shè)備移動到 演進網(wǎng)全各的方法,包才舌
移動管理實體MME接收服務(wù)GPRS支持節(jié)點SGSN發(fā)送的包含三元組 鑒權(quán)矢量AV中的加密密鑰���、或五元組AV中的加密密鑰和完整性保護密鑰的 消息�,并根據(jù)接收到的密鑰生成非接入信令NAS加密密鑰和NAS完整性保 護密鑰;
所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后�,根據(jù) 所述SIM卡用戶設(shè)備中三元組AV中的加密密鑰生成NAS加密密鑰和NAS 完整性保護密鑰;
所述MME和所述SIM卡用戶設(shè)備采用各自生成的NAS加密密鑰和NAS 完整性保護密鑰進行信令保護����。
根據(jù)本發(fā)明實施例,還提供了 一種用戶身份模塊SIM卡用戶設(shè)備從演進 網(wǎng)絡(luò)移出的方法���,包括
移動管理實體MME根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV 中的加密密鑰和完整性保護密鑰���、或三元組AV中的加密密鑰;
所述MME將包含所述五元組AV中的加密密鑰和完整性保護密鑰��、或所 述三元組AV中的加密密鑰的消息發(fā)送給服務(wù)GPRS支持節(jié)點SGSN;
所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后��,根據(jù) 四元組AV中的根密鑰生成五元組AV中的加密密鑰和完整性保護密鑰�����、或三 元組AV中的加密密鑰�����;
所述SIM卡用戶設(shè)備根據(jù)自身生成的五元組AV中的加密密鑰和完整性 保護密鑰、或三元組AV中的加密密鑰對發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備的信令進行保護�, 所述網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所述MME生成的五元組AV中的加密密鑰和完整性保護 密鑰���、或三元組AV中的加密密鑰對發(fā)送給所述SIM卡用戶設(shè)備的信令進行 保護�����。根據(jù)本發(fā)明實施例����,還提供了一種移動管理實體MME,包括
第一接收模塊�����,用于接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備 對應(yīng)的四元組鑒權(quán)矢量AV,所述四元組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng)���;
第一發(fā)送模塊���,用于向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒 權(quán)請求消息中包括所述四元組AV中的隨機數(shù)���;
第二接收模塊�,用于接收所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的 隨才幾數(shù)生成的用戶端4兆戰(zhàn)響應(yīng);
鑒權(quán)模塊�,用于比較鑒權(quán)所述第一接收模塊接收到的所述四元組AV中 的期望挑戰(zhàn)響應(yīng)和所述第二接收模塊接收到的所述用戶端挑戰(zhàn)響應(yīng),若所述 期望挑戰(zhàn)響應(yīng)和所述用戶端挑戰(zhàn)響應(yīng)一致����,則鑒權(quán)成功。
根據(jù)本發(fā)明實施例���,還提供了 一種用戶身份模塊SIM卡用戶設(shè)備�,包括
第三接收模塊��,用于接收移動管理實體MME發(fā)送的鑒權(quán)請求消息����,所 述鑒權(quán)請求消息包括所述四元組AV中的隨機數(shù);
第一生成模塊���,用于根據(jù)所述第三接收模塊接收到的所述四元組AV中 的隨才幾數(shù)生成用戶端挑戰(zhàn)響應(yīng)���;
第二發(fā)送模塊,用于發(fā)送鑒權(quán)響應(yīng)消息到所述MME���,所述鑒權(quán)響應(yīng)消息 中包括所述第一生成才莫塊生成的所述用戶端挑戰(zhàn)響應(yīng)��,使得所述MME根據(jù) 所述用戶端挑戰(zhàn)響應(yīng)和從歸屬用戶服務(wù)器HSS接收到的期望挑戰(zhàn)響應(yīng)對所述 SIM卡用戶設(shè)備進行鑒權(quán)���。
根據(jù)本發(fā)明實施例���,還提供了一種移動管理實體MME,包括
第四接收模塊,用于接收服務(wù)GPRS支持節(jié)點SGSN發(fā)送的包含三元組 鑒權(quán)矢量AV中的加密密鑰��、或五元組AV中的加密密鑰和完整性保護密鑰的 消息���;
第二生成模塊,用于根據(jù)所述第四接收模塊接收到的所述三元組AV中 的加密密鑰�、或五元組AV中的加密密鑰和完整性保護密鑰生成非接入信令 NAS加密密鑰和NAS完整性保護密鑰;第 一信令保護才莫塊��,用于采用所述第二生成才莫塊生成的所述NAS加密密 鑰和NAS完整性保護密鑰對發(fā)送給用戶身傷"漠塊SIM卡用戶設(shè)備的信令進 行保護���。
根據(jù)本發(fā)明實施例�����,還提供了一種用戶身份模塊SIM卡用戶設(shè)備��,包括 第五接收模塊��,用于接收切換命令消息或跟蹤區(qū)域接收消息�����; 第三生成模塊���,用于根據(jù)三元組鑒權(quán)矢量AV中的加密密鑰生成非接入 信令NAS加密密鑰和NAS完整性保護密鑰��;
第二信令保護才莫塊���,用于采用所述第三生成模塊生成的所述NAS加密密 鑰和NAS完整性保護密鑰對發(fā)送給所述MME的信令進行保護。 根據(jù)本發(fā)明實施例���,還提供了一種移動管理實體MME�,包括 第四生成模塊���,用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV 中的完整性保護密鑰和加密密鑰����;或����,根據(jù)四元組AV中的根密鑰生成五元 組AV中的完整性保護密鑰和加密密鑰�,根據(jù)五元組AV中的完整性保護密鑰 和加密密鑰生成三元組AV中的加密密鑰��;
第三發(fā)送模塊�����,用于將攜帶有所述第四生成模塊生成的所述五元組AV 中的完整性保護密鑰和加密密鑰�、或三元組AV中的加密密鑰的消息發(fā)送給 服務(wù)GPRS支持節(jié)點SGSN,使得所述SGSN根據(jù)所述MME生成的五元組 AV中的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給用 戶身份模塊SIM卡用戶設(shè)備的信令進行保護�。
根據(jù)本發(fā)明實施例,還提供了一種用戶身份模塊SIM卡用戶設(shè)備����,包括 第六接收模塊��,用于接收切換命令消息或跟蹤區(qū)域接收消息���; 第五生成模塊�����,用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV 中的完整性保護密鑰和加密密鑰����;或,根據(jù)四元組AV中的根密鑰生成五元 組AV中的完整性保護密鑰和加密密鑰��,根據(jù)五元組AV中的完整性保護密鑰 和加密密鑰生成三元組AV中的加密密鑰����;
第三信令保護模塊,用于根據(jù)第五生成模塊生成的五元組AV中的加密密鑰和完整性保護密鑰����、或三元組AV中的加密密鑰進行信令保護。
由以上技術(shù)方案可知����,本發(fā)明實施例提供的一種SIM卡用戶設(shè)備接入演 進網(wǎng)絡(luò)的方法和相關(guān)設(shè)備,通過對SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)/移動到演進 網(wǎng)絡(luò)/從演進網(wǎng)絡(luò)移出時的鑒權(quán)矢量的處理����,可以使得SIM卡用戶設(shè)備加入到 演進網(wǎng)絡(luò)中或者從其他網(wǎng)絡(luò)移動到演進網(wǎng)絡(luò)中或者可以從演進網(wǎng)絡(luò)中移出, 保證了 SIM卡用戶能夠安全地接入演進網(wǎng)絡(luò)�����。
圖1為本發(fā)明實施例的3GPP無線網(wǎng)絡(luò)的結(jié)構(gòu)示意圖2為本發(fā)明實施例的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法的流程示意
圖3為本發(fā)明實施例的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法的信令流程 示意圖4為本發(fā)明實施例的生成三元組AV��、五元組AV和四元組AV的示意
圖5為本發(fā)明實施例的SIM卡用戶i更備移動到演進網(wǎng)絡(luò)的方法的流程示 意圖6為本發(fā)明實施例的SIM卡用戶設(shè)備/人GERAN/UTRAN切換到 EUTRAN的方法的信令流程示意圖7為本發(fā)明實施例的SIM卡用戶設(shè)備乂人GERAN/UTRAN空閑態(tài)移動 到EUTRAN的方法的信令流程示意圖8為本發(fā)明實施例的SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)移出的方法的流程示 意圖9為本發(fā)明實施例的SIM卡用戶i殳備/人EUTRAN切換到 GERAN/UTRAN的方法的信令流程示意圖10為本發(fā)明實施例的SIM卡用戶設(shè)備從EUTRAN空閑態(tài)移動到GERAN/UTRAN的方法的信令流程示意圖11為本發(fā)明實施例的SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的方法的信令 流程圖12為本發(fā)明實施例的移動管理實體的結(jié)構(gòu)示意圖; 圖13為本發(fā)明實施例的SIM卡用戶設(shè)備的結(jié)構(gòu)示意圖�; 圖14為本發(fā)明實施例的移動管理實體的另一結(jié)構(gòu)示意圖; 圖15為本發(fā)明實施例的SIM卡用戶設(shè)備的另一結(jié)構(gòu)示意圖���; 圖16為本發(fā)明實施例的移動管理實體的又一結(jié)構(gòu)示意圖���; 圖17為本發(fā)明實施例的SIM卡用戶設(shè)備的又一結(jié)構(gòu)示意圖; 圖18為本發(fā)明實施例的演進網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)示意圖�����。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術(shù)方案進行 清楚、完整地描述����,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例�,而 不是全部的實施例?�;诒景l(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護的范圍�����。
圖1為本發(fā)明實施例的3GPP無線網(wǎng)絡(luò)的結(jié)構(gòu)示意圖��。如圖1所示�,其 中虛線以下部分為演進網(wǎng)絡(luò)的接入網(wǎng)和核心網(wǎng)�����。下面將基于該3GPP無線網(wǎng) 絡(luò)的結(jié)構(gòu)�����,以多個實施例具體描述允許SIM卡用戶接入演進網(wǎng)絡(luò)的安全能力 協(xié)商����。
圖2為本發(fā)明實施例的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法的流程示意 圖。如圖2所示,本實施例說明SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)時�����,移動管理 實體(MME )根據(jù)HSS生成的四元組鑒4又矢量(Authentication Vector,簡稱 AV)對UE進行鑒權(quán)的方法��,包括如下步驟
步驟201 �、接收歸屬用戶服務(wù)器(Home Subscriber Server,簡稱HSS )生 成的與SIM卡用戶設(shè)備對應(yīng)的四元組AV,所述四元組AV包括隨機數(shù)RAND
15和期望4兆戰(zhàn)響應(yīng)XRES;
四元組AV還包括鑒權(quán)參數(shù)(AUTN)和根密鑰(Kasme);
該MME后續(xù)還可以根據(jù)四元組AV中的Kasme生成非接入信令(NAS ) 加密密鑰和NAS完整性保護密鑰����;
步驟202、向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息����,所述鑒權(quán)請求消 息中包括所述四元組AV中的隨機數(shù);
步驟203�����、接收SIM卡用戶設(shè)備根據(jù)該四元組AV中的RAND生成的用 戶端才兆戰(zhàn)響應(yīng)(RES);
步驟204���、若接收到的四元組AV中的期望挑戰(zhàn)響應(yīng)XRES和用戶端挑戰(zhàn) 響應(yīng)RES—致,則鑒權(quán)成功��。
其中步驟201之前具體可以包括
步驟200a、 HSS接收MME發(fā)送的鑒權(quán)數(shù)據(jù)請求消息�;
步驟200b、 HSS根據(jù)三元組AV生成與SIM卡用戶設(shè)備對應(yīng)的五元組 AV,再進一步生成四元組AV��,該三元組AV包括有隨機數(shù)(RAND)����、期望 挑戰(zhàn)響應(yīng)(SRES)和加密密鑰(Kc);
例如先才艮據(jù)三元組AV中的加密密鑰Kc生成五元組AV中的完整性保 護密鑰IK和加密密鑰CK,再根據(jù)IK和CK進一步生成四元組AV中的根密 鑰Kssm6。
步驟200c ��、 HSS將該四元組AV攜帶在鑒權(quán)數(shù)據(jù)應(yīng)答消息中發(fā)送給MME��。 在步驟202和步驟203之間還可以包括
步驟202a���、 SIM卡用戶設(shè)備接收MME發(fā)送的攜帶四元組AV中的RAND 的鑒權(quán)請求消息����;
步驟202b �����、 SIM卡用戶設(shè)備才艮據(jù)四元組AV中的RAND以及與HSS的 共享密鑰Ki生成三元組AV中的Kc;
步驟202c�、 SIM卡用戶設(shè)備根據(jù)三元組AV中的Kc生成角戶端RES; 步驟202d、發(fā)送攜帶用戶端RES的鑒權(quán)響應(yīng)消息到MME�����。本實施例提供的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法,通過對SIM卡用 戶設(shè)備接入演進網(wǎng)絡(luò)時的鑒權(quán)矢量的鑒權(quán)處理���,可以使得SIM卡用戶設(shè)備接 入到演進網(wǎng)絡(luò)中�����,并保證了 SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的安全性����。
其中SIM卡用戶設(shè)備具體可以包括有移動設(shè)備(Mobile Equipment,簡 稱ME )和SIM卡�����,該ME還可以4艮據(jù)三元組AV中的加密密鑰生成五元組 AV中的完整性保護密鑰IK和加密密鑰CK,再進一步生成四元組AV中的根 密鑰�,并將Kasme保存在SIM卡用戶設(shè)備上的演進分組系統(tǒng)(EPS) NAS安 全上下文中;該ME后續(xù)還可以進一步根據(jù)四元組AV中的Kasme生成NAS 加密密鑰和NAS完整性保護密鑰����。
該EPS NAS安全上下文中除了包括有所述Kasme,還包括有SIM卡用 戶設(shè)備安全能力����、選擇的NAS完整性保護算法和加密算法和上行/下行NAS 計數(shù)器值等。SIM卡用戶設(shè)備中的ME對該EPS NAS安全上下文的處理具體 可以包括
如果ME發(fā)現(xiàn)其插入的是SIM卡���,則ME對EPS NAS安全上下文的處 理原則如下
第一�、ME在如下情況下可以刪除以前保存的EPS NAS安全上下文
① ME上電狀態(tài)下拔掉SIM卡�;
② ME開機時,ME發(fā)現(xiàn)插入的SIM卡并不是以前創(chuàng)建EPS NAS安全上 下文時對應(yīng)的SIM卡�;
③ ME開才幾時發(fā)現(xiàn)沒有插SIM卡。
第二��、關(guān)機時���,ME將EPSNAS安全上下文保存到ME上的非易失內(nèi)存 (例如閃存flash )中���,并在非易失內(nèi)存中標(biāo)記這些ESP NAS安全上下文有效。
第三��、開機時�����,如果以前保存的EPSNAS安全上下文在非易失內(nèi)存中標(biāo) 記有效��,則ME從非易失內(nèi)存中取出以前保存的EPS NAS安全上下文使用��。
第四、去附著網(wǎng)絡(luò)時(包括SIM卡用戶設(shè)備發(fā)起的去附著�、MME發(fā)起 的去附著或HSS發(fā)起的去附著),ME用當(dāng)前的本地EPS NAS安全上下文更新ME上以前在非易失內(nèi)存中保存的EPSNAS安全上下文�,并在非易失內(nèi)存 中標(biāo)記這些ESP NAS安全上下文有效。
第五���、附著網(wǎng)絡(luò)時����,ME在非易失內(nèi)存中標(biāo)記以前保存的EPS安全上下 文無效����。
第六、遷移到連接態(tài)時�����,例如當(dāng)SIM卡用戶設(shè)備/人EPS連接管理的空閑 態(tài)(ECM-IDLE)遷移到EPS連接管理的連接態(tài)(ECM-CONNECTED )時���, ME在非易失內(nèi)存中標(biāo)記以前保存的EPS安全上下文無效�����。
第七�����、遷移到空閑態(tài)時��,例如當(dāng)SIM卡用戶設(shè)備從EPS連接管理的連接 態(tài)(ECM-CONNECTED)遷移到EPS連接管理的空閑態(tài)(ECM-IDLE )時���, ME用當(dāng)前的本地EPS NAS安全上下文更新ME上以前在非易失內(nèi)存中保存 的EPSNAS安全上下文,并在非易失內(nèi)存中標(biāo)記這些ESPNAS安全上下文 有效��。
由于本發(fā)明實施例可以使得SIM卡用戶設(shè)備接入到演進網(wǎng)絡(luò)中�����,因此該 SIM卡用戶設(shè)備上還實現(xiàn)了對其上保存的與接入演進網(wǎng)絡(luò)相關(guān)的�����、EPS NAS 安全上下文中的各個參數(shù)進行有效的管理��。
下面通過具體的實施例來描述將圖2的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的 方法����。圖3為本發(fā)明實施例的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法的信令流 程示意圖。其中結(jié)合圖1, LTE網(wǎng)絡(luò)的核心網(wǎng)為MME�����。在現(xiàn)有技術(shù)中,UE 在接入LTE網(wǎng)絡(luò)時����,當(dāng)在網(wǎng)絡(luò)附著過程(ATTACH)或者位置區(qū)域更新(TAU) 過程之前,檢測到UE的ME插入的卡的類型是SIM卡��,則禁止SIM卡接入�, 即UE不發(fā)送ATTACH請求消息或者TAU請求消息到網(wǎng)絡(luò)側(cè);但是惡意的 UE還是可能會發(fā)起ATTACH請求消息或者TAU請求消息到MME, MME 在受到UE發(fā)送來的初始層3的NAS消息�����,即ATTACH請求消息或者TAU 請求消息后����,MME發(fā)送鑒權(quán)數(shù)據(jù)請求消息到HSS, HSS檢查是插入SIM卡 的用戶���,則發(fā)送攜帶有錯誤碼的鑒權(quán)數(shù)據(jù)應(yīng)答消息至MME,表示禁止UE接 入LTE網(wǎng)絡(luò)�����,MME再向UE發(fā)送初始層3的NAS響應(yīng)消息�,其中包括錯誤碼,從而達到禁止SIM卡接入LTE網(wǎng)絡(luò)的目的�����。如圖3所示����,本發(fā)明實施例 提供了一種SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法�����,包括如下步驟
步驟301 �����、當(dāng)ME附著到LTE網(wǎng)絡(luò)時�����,檢測到其是插入SIM卡的用戶設(shè) 備(UE);
ME上可以配置是否允許該SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò)����,當(dāng)配置為禁 止SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò)時,如果ME檢測到是SIM卡用戶設(shè)備, 則禁止該SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò)���;當(dāng)配置為允許SIM用戶設(shè)備接入 LTE網(wǎng)絡(luò)時�,如果ME檢測到是SIM卡用戶設(shè)備�����,則繼續(xù)該SIM卡用戶設(shè)備 接入LTE網(wǎng)絡(luò)的處理����,例如發(fā)送ATTACH請求消息或者TAU請求消息到LTE 網(wǎng)絡(luò)側(cè)設(shè)備MME。
ME上也可以配置始終對接入LTE網(wǎng)絡(luò)的SIM卡用戶設(shè)備進行接入處理�����。 步驟302���、 MME接收到SIM卡用戶設(shè)備發(fā)來的初始層3的NAS消息����; 該NAS消息具體可以為ATTACH請求消息或者TAU請求消息����; 步驟303�����、 MME發(fā)送鑒權(quán)數(shù)據(jù)請求消息到HSS;
步驟304���、 HSS根據(jù)自身存儲的用戶簽約信息檢測到用戶設(shè)備為SIM卡 用戶設(shè)備,若其上配置為允許SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò)��,貝'jHSS接收 到MME發(fā)送的鑒權(quán)數(shù)據(jù)請求消息后���,則生成四元組AV;具體操作如下
HSS生成三元組AV�、五元組AV和四元組AV���,其中三元組AV包括{隨 才幾數(shù)(RAND),期望挑戰(zhàn)響應(yīng)(SRES ),加密密鑰(Kc))����,五元組AV包括 {RAND,期望挑戰(zhàn)響應(yīng)(XRES),完整性密鑰(IK),加密密鑰(CK),鑒 權(quán)參數(shù)(AUTN) }�����,四元組AV包括(RAND���、鑒權(quán)參數(shù)(AUTN)�����、 XRES 和才艮密鑰(Kasme) }����。圖4為本發(fā)明實施例的生成三元組AV、五元組AV和 四元組AV的示意圖�,如圖4所示,包括
A) HSS首先生成SIM卡用戶設(shè)備的三元組AV(RAND, SRES, Kc}�����,具 體步驟如下
3041a���、 HSS先產(chǎn)生一個長度為16字節(jié)的隨機數(shù)RAND;3042a���、以RAND、 SIM卡與HSS的共享密鑰Ki為輸入^ft��,利用A3 算法生成長度為4個字節(jié)的期望挑戰(zhàn)響應(yīng)SRES=A3(Ki,RAND);
3043a��、以RAND���、 SIM卡與HSS的共享密鑰Ki為輸入^lt,利用A8 算法生成長度為8個字節(jié)的加密密鑰Kc= A8(Ki, RAND)��。
B )HSS進一步根據(jù)三元組AV生成SIM卡用戶設(shè)備的五元組AV{RAND�����, XRES�����, IK, CK, AUTN}���,具體步驟如下
3041b�、 HSS采用三元組AV中的RAND作為五元組AV中的RAND,且 產(chǎn)生一個長度為6個字節(jié)的系列號SQN;
3042b�����、根據(jù)Kc生成長度為16個字節(jié)的基礎(chǔ)密鑰K-Cl(Kc)��,其中����,CI 為轉(zhuǎn)換函數(shù)�����,且以參數(shù)K、 RAND��、 SQN以及認證管理域(Authentication Management Field,簡稱AMF)為輸入����,利用fl算法生成消息認證碼(Message Authentication Code,簡稱MAC) = fl(K, RAND, SQN, AMF);
例如計算K具體為K^8字節(jié)的0IIKc,或者K= Kc || 8字節(jié)的0,或者 K=Kc II Kc;
3043b�����、以K和RAND為輸入�,利用f5算法生成認證密鑰(Authentication Key,簡稱AK) = f5(K, RAND);
3044b����、生成鑒權(quán)參數(shù)AUTN-SQN十AKI1 AMF||MAC,此處AMF的 分離位置為0;
3045b���、利用f3算法生成加密密鑰CK= f3(K, RAND)�����,以及利用f4算法 生成完整性密鑰IK= f4(K, RAND);
另外����,3045b中生成的IK和CK也可直4姿由Kc產(chǎn)生,例如利用c4算法 計算CK= c4(Kc II Kc),利用c5算法計算IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);
3046b���、生成期望才兆戰(zhàn)響應(yīng)XRES= f2(K, RAND);
另夕卜��,3046b中生成的XRES也可以直接才艮據(jù)A)中的SRES生成�,例如 XRES= SRES II 12個字節(jié)的0,或者XRES= 12個字節(jié)的0 || SRES�,或者XRES=SRES1 xor SRES2 || SRES || SRES1 xor SRES2 || SRES1 xor SRES2 ||SRES|| SRES1 xor SRES2,此處假設(shè)SRES= SRES1 || SRES2和SRESi都是2字節(jié)的��。
該步驟304中的A)和B)還可以在步驟303之前完成�����,即三元組AV 和五元組AV可以預(yù)先生成�。
C ) HSS進一步生成LTE網(wǎng)絡(luò)的用戶鑒權(quán)矢量四元組AV(RAND, AUTN, XRES,Kasme}����,具體步驟如下
3041c����、參數(shù)RAND和XRES如B)中所得�����;
3042c�、計算參數(shù)AUTN的方法和B )的3044b中計算AUTN的方法基 本相同��,不同之處在于�����,此處的AMF的分離位置為1;
即���,AUTN = SQN AK||AMF||MAC,此處AMF的分離位置為1��。
3043c����、根據(jù)B )中的IK和CK計算根密鑰(Kasme )���,例如Kasme = KDF(IK, CK),此處KDF為密鑰衍生函數(shù)(Key Derivation Function )�。
步驟305�、 HSS向MME返回鑒權(quán)數(shù)據(jù)應(yīng)答消息,其中包含上述步驟304 中生成的四元組AV;
步驟306�、當(dāng)MME接收到四元組AV時�,該MME向SIM卡用戶設(shè)備發(fā) 送的用戶鑒權(quán)請求消息中攜帶四元組AV中的參數(shù)RAND和AUTN;
后續(xù)MME還可以才艮據(jù)四元組AV中的Kasme生成NAS加密密鑰 Knas—enc和NAS完整性4呆護密鑰Knas一int;例如Knas_enc=KDF(Kasme>���。密 算法標(biāo)識)�����,Knas—int-KDF(Kasme,完整性保護算法標(biāo)識)��,這里KDF為密鑰 衍生函數(shù)(Key Derivation Function),加密算法標(biāo)識為加密算法AES或者 SNOW 3G的標(biāo)識����,完整性保護算法標(biāo)識為完整性保護算法AES或者SNOW 3G的標(biāo)識����;
步驟307、 SIM卡用戶設(shè)備中的ME接收到MME發(fā)送的用戶鑒權(quán)請求消 息后�,發(fā)現(xiàn)插入該ME的是SIM卡,則ME生成用戶端RES��、用戶端IK和 用戶端CK�,具體梯:作如下
3070、 ME檢查其接收到的AUTN中的AMF的分離位是否設(shè)置為1�����,如果不是���,則返回給MME—個表示拒絕鑒權(quán)的響應(yīng)消息��;該3070為一可選步 驟���,即可以在此執(zhí)行,也可以不予以執(zhí)行�;
3071、 ME把接收到的RAND發(fā)送給SIM卡����;
3072、 SIM卡利用和在步驟304的3042a和3043a中HSS計算SRES和 Kc相同的算法��,根據(jù)RAND和Ki來計算SRES和Kc�����,并且將Kc發(fā)送給 ME;可選地�����,SIM卡還可以將SRES發(fā)送給ME;
3073、 ME采取和步驟304的3042b中的HSS計算K相同的算法�����,根據(jù) Kc來計算K;
3074�、 ME采取和步驟304的3045b中的HSS計算IK和CK相同的算法, 來計算IK和CK;并進一步采取和3043c中相同的算法計算出根密鑰Kasme; 后續(xù)ME可以采用和上述MME相同的方法�����,根據(jù)該根密鑰Kasme計算出對 應(yīng)的NAS加密密鑰Knas—enc和NAS完整性保護密鑰Knas—int;
3075�����、 ME采取和步驟303的3046b中的HSS計算XRES相同的算法�, 來計算RES= G(K, RAND);當(dāng)需要用SRES來計算RES時���,則3072中SIM 卡需要將SRES發(fā)送給ME�,相應(yīng)地���,計算方法可以為例如RES:SRESU 12 個字節(jié)的O��,或者RES-12個字節(jié)的0HSRES��,或者RES= SRES1 xor SRES2 II SRES II SRES1 xor SRES2 || SRES1 xor SRES2 ||SRES|| SRES1 xor SRES2���,此 處假設(shè)SRES= SRES1 II SRES2和SRESi都是2字節(jié)的����。
其中�����,可選地�,在3073和3074之間還可以包括
307a�、 ME采取和步驟304的3043b中的HSS計算AK相同的算法,利 用f5算法生成AK;
307b�、 ME利用AUTN中的SQN④AK以及307a中生成的AK,來計算 SQN= (SQN十AK)十AK;
307c、 ME計算XMAO fl K(SQN || RAND || AMF);
307d�、 ME將其計算的XMAC和參數(shù)AUTN中的MAC比較,如果不一 致�,則返回給SGSN—個表示拒絕鑒權(quán)的響應(yīng)消息;和/或���,ME檢查序列號SQN是否在一合適的范圍之內(nèi)�,如果不是�,則發(fā)送一個同步失敗響應(yīng)消息給 SGSN����。
需要說明的是�,本步驟中SIM卡用戶設(shè)備采用的與網(wǎng)絡(luò)側(cè)相同的算法可 以通過預(yù)先協(xié)商的方式從網(wǎng)絡(luò)側(cè)獲得,具體的��,可以從MME獲取上述算法�。 步驟308、 SIM卡用戶設(shè)備向MME發(fā)送用戶鑒權(quán)響應(yīng)消息����,其中攜帶有
RES;
步驟309、 MME通過比豐支RES和四元組AV中的XRES是否一致對SIM 卡用戶設(shè)備進行鑒權(quán)����,若RES和XRES—致,則鑒權(quán)成功����;
步驟310、 MME向SIM卡用戶設(shè)備發(fā)送初始層3的NAS響應(yīng)消息���,至 此SIM卡用戶設(shè)備可以接入到演進網(wǎng)絡(luò)中����。
本實施例提供的SIM卡用戶i殳備接入演進網(wǎng)絡(luò)的方法,才艮據(jù)三元組AV 生成五元組AV��,才艮據(jù)五元組AV生成LTE網(wǎng)絡(luò)中對用戶進行鑒權(quán)的四元組 AV��,使得使用SIM卡的UE也能夠接入到LTE網(wǎng)絡(luò)中�,保證了 SIM卡用戶 設(shè)備接入演進網(wǎng)絡(luò)的安全性。
需要說明的是�����,本實施例為SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法��,網(wǎng)絡(luò) 側(cè)和SIM卡用戶設(shè)備都保存有SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)時得到的參數(shù)��, 當(dāng)SIM用戶設(shè)備接入演進網(wǎng)絡(luò)后還可以基于本實施例進行后續(xù)的切換流程���, 從而使得上述^i:可以應(yīng)用在后續(xù)實施例中。
圖5為本發(fā)明實施例的SIM卡用戶設(shè)備移動到演進網(wǎng)絡(luò)的方法的流程示 意圖�,該移動包括空閑態(tài)移動和/或切換。在本實施例中��,2G/3G網(wǎng)絡(luò)中的 源核心網(wǎng)為服務(wù)GPRS支持節(jié)點(SGSN),演進網(wǎng)絡(luò)中的目標(biāo)核心網(wǎng)i殳備為 MME;本實施例主要針對UE從2G/3G網(wǎng)絡(luò)切換到演進網(wǎng)絡(luò)或是UE從2G/3G 網(wǎng)絡(luò)空閑態(tài)移動到演進網(wǎng)絡(luò)的方法��。如圖5所示��,包括如下步驟
步驟501、 MME接收SGSN發(fā)送的攜帶有三元組鑒權(quán)矢量AV中的加密 密鑰�����、或五元組AV中的加密密鑰和完整性保護密鑰的消息����,并根據(jù)接收到 的密鑰生成非接入信令NAS加密密鑰和NAS完整性保護密鑰;步驟502���、 SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后��, 才艮據(jù)所述SIM卡用戶i殳備中三元組AV中的加密密鑰生成NAS加密密鑰和 NAS完整性保護密鑰�;
步驟503 ��、所述MME和所述SIM卡用戶設(shè)備采用各自生成的NAS加密 密鑰和NAS完整性保護密鑰進行信令保護���。
具體的�����,步驟501中��,MME根據(jù)接收到的所述三元組鑒權(quán)矢量AV中的 加密密鑰生成五元組AV中的加密密鑰和完整性保護密鑰�����,并進一步才艮據(jù)五 元組AV中的加密密鑰和完整性保護密鑰生成根密鑰Kasme,然后根據(jù)根密 鑰Kasme生成非接入信令NAS加密密鑰和NAS完整性保護密鑰����;或,MME 根據(jù)接收到的五元組AV中的加密密鑰和完整性保護密鑰生成根密鑰Kasme���, 然后根據(jù)根密鑰Kasme生成非接入信令NAS加密密鑰和NAS完整性保護密 鑰��;
步驟502中���,SIM卡用戶設(shè)備根據(jù)自身保存的三元組AV中的加密密鑰 生成五元組AV中的加密密鑰和完整性保護密鑰���,并進一步#4居五元組AV中 的加密密鑰和完整性保護密鑰生成根密鑰Kasme,然后根據(jù)根密鑰Kasme生 成非接入信令NAS加密密鑰和NAS完整性保護密鑰����。
本實施例提供的SIM卡用戶設(shè)備移動到演進網(wǎng)絡(luò)時的方法���,實現(xiàn)了 SIM 卡用戶設(shè)備從2G/3G網(wǎng)絡(luò)到演進網(wǎng)絡(luò)的移動����,且保證了移動過程中的安全性。
下面通過兩個具體實施例分別描述SIM卡用戶設(shè)備從2G/3G網(wǎng)絡(luò)切換到 演進網(wǎng)絡(luò)時SIM卡用戶設(shè)備的方法��、SIM卡用戶設(shè)備從2G/3G網(wǎng)絡(luò)空閑態(tài)移 動到演進網(wǎng)絡(luò)時SIM卡用戶i殳備的方法�����。
圖6為本發(fā)明實施例的SIM卡用戶i殳備從GERAN/UTRAN切換到 EUTRAN的方法的信令流程示意圖���。在現(xiàn)有的方案中���,當(dāng)EUTRAN網(wǎng)絡(luò)中 的MME接收到GERAN/UTRAN網(wǎng)絡(luò)中的SGSN的轉(zhuǎn)發(fā)重定向請求(Forward Relocation R叫uest,簡稱FRR)消息時�,檢查該FRR消息中的移動性管理上 下文(Mobile Management context)參數(shù),如果該移動性管理上下文參數(shù)中包括SIM卡用戶設(shè)備的三元組AV中的加密密鑰Kc,則MME發(fā)送一表示拒絕 SIM卡用戶設(shè)備從GERAN/UTRAN切換到EUTRAN的響應(yīng)消息�����。而本實施 例中����,可以實現(xiàn)SIM卡用戶設(shè)備從GERAN/UTRAN到EUTRAN的切換,如 圖6所示����,該SIM卡用戶設(shè)備從GERAN/UTRAN切換到EUTRAN的方法的 流程包括如下步驟
步驟601�、源無線網(wǎng)絡(luò)控制器(Radio Network Controller,簡稱RNC)或 源基站子系統(tǒng)(Base Station Subsystem,簡稱BSS )發(fā)送重定向請求(Relocation Request)消息到源SGSN;
步驟602���、若在SIM卡用戶i殳備接入2G/3G網(wǎng)絡(luò)時的鑒;^又過程中��,源 SGSN從HSS中獲得的為三元組AV����,則該源SGSN發(fā)送FRR消息到目標(biāo) MME時�����,其中攜帶有SIM卡用戶設(shè)備的三元組AV中的加密密鑰Kc;
該步驟602還可以為源SGSN發(fā)送FRR消息到目標(biāo)MME����,其中在FRR 消息中攜帶計算得到的、未使用的三元組AV�����,其中包括Kc;或者
該步驟602還可以為源SGSN根據(jù)三元組AV中的加密密鑰Kc計算得 到五元組AV中的加密密鑰CK和完整性保護密鑰IK,然后發(fā)送攜帶五元組 AV中的加密密鑰CK和完整性保護密鑰IK的FRR消息到目標(biāo)MME;
該步驟602還可以為若在SIM卡用戶i殳備接入2G/3G網(wǎng)絡(luò)時的鑒4又過 程中���,源SGSN從HSS中獲得的為五元組AV,則該源SGSN發(fā)送FRR消息 到目標(biāo)MME時�����,其中攜帶有SIM卡用戶i殳備的五元組AV中的CK和IK;
步驟603、目標(biāo)MME根據(jù)該加密密鑰Kc判斷請求切換的用戶是SIM卡 用戶設(shè)備����,若在目標(biāo)MME上配置允許SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò),則生 成臨時密鑰(Kenb)��、 NAS信令加密密鑰(Knas—enc)和NAS信令完整性保 護密鑰(Knas_int);
具體包括若在步驟602中源SGSN發(fā)送的FRR消息中攜帶的為三元組 AV中的加密密鑰Kc,則目標(biāo)MME根據(jù)Kc推導(dǎo)加密密鑰CK和完整性保護 密鑰IK,例如根據(jù)c4算法計算CK^c4(Kc || Kc),利用c5算法計算IK^ c5(Kclxor Kc2 II Kc II Kcl xor Kc2);再根據(jù)得到的IK和CK推導(dǎo)出根密鑰Kasme; 根據(jù)Kasme推導(dǎo)出臨時密鑰Kenb�����、 NAS信令加密密鑰Knas一enc和NAS信 令完整性保護密鑰Knas—int�����。
或者��,若在步驟602中源SGSN發(fā)送的FRR消息中攜帶的為五元組AV 中的加密密鑰CK和完整性保護密鑰IK���,則步驟603為目標(biāo)MME根據(jù)得到 的IK和CK推導(dǎo)出根密鑰Kasme;根據(jù)Kasme推導(dǎo)出臨時密鑰Kenb�、 NAS 信令加密密鑰Knas—enc和NAS信令完整性保護密鑰Knas一int�。
步驟604、目標(biāo)MME發(fā)送切換請求(Handover R叫uest )消息到目標(biāo)eNB, 其中攜帶有參數(shù)Kenb;
步驟605��、目標(biāo)eNB根據(jù)參數(shù)Kenb計算RRC信令完整性保護密鑰 (Krrc—int)�、 RRC信令加密密鑰(Krrc—enc )以及用戶面信令加密密鑰 (Kup—enc》,
步驟606、目標(biāo)eNB發(fā)送切換請求響應(yīng)(Handover Request Ack)消息給 目標(biāo)MME;
步驟6(V7���、目標(biāo)MME發(fā)送轉(zhuǎn)發(fā)重定向響應(yīng)(Forward Relocation Response) 消息至源SGSN;
步驟608����、源SGSN發(fā)送重定向命令(Relocation Command)消息至源 BTS願C;
步驟609����、源RNC或源BSS發(fā)送切換命令(Handover Command)至SIM 卡用戶設(shè)備,其中該SIM卡用戶設(shè)備包括有ME和SIM卡���;
610�����、 ME發(fā)現(xiàn)其插入的是SIM卡�,則根據(jù)Kc推導(dǎo)加密密鑰CK和完整 性保護密鑰IK�����,例如根據(jù)c4算法計算CK-c4(KcllKc)����,利用c5算法計算 IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);再根據(jù)得到的IK和CK推導(dǎo)出根密 鑰Kasme;根據(jù)Kasme推導(dǎo)出臨時密鑰Kenb、 NAS信令加密密鑰Knas—enc 和NAS信令完整性保護密鑰Knas—int���,并根據(jù)參數(shù)Kenb計算RRC信令完整 性保護密鑰(Krrc—int )�����、 RRC信令加密密鑰(Krrc—enc )以及用戶面信令加
26密密鑰(Kup_enc);
步驟611���、在完成上述的密鑰處理流程后,繼續(xù)后面的SIM卡用戶設(shè)備 到EUTRAN的切換過程��,其中�,MME和SIM卡用戶設(shè)備之間的信令交互 需要采用Knas—enc和Knas一int進行保護,SIM卡用戶設(shè)備和目標(biāo)eNB之間 的信令交互需要采用Krrc—int�����、 Krrc—enc和Kup—enc進行保護�。
本實施例提供的SIM卡用戶設(shè)備從GERAN/UTRAN切換到EUTRAN的 方法,實現(xiàn)了 SIM卡用戶設(shè)備從GERAN/UTRAN到EUTRAN的切換�����,且保 證了切換過程中的安全性。
圖7為本發(fā)明實施例的SIM卡用戶設(shè)備從GERAN/UTRAN空閑態(tài)移動 到EUTRAN的方法的信令流程示意圖���。如圖7所示�,包括如下步驟
步驟701 �、 SIM卡用戶設(shè)備發(fā)送跟蹤區(qū)域更新(TAU)消息到目標(biāo)MME;
步驟702、目標(biāo)MME發(fā)送上下文請求消息(context request)到源SGSN;
步驟703���、若在SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)時的鑒權(quán)過程中�,源 SGSN從HSS中獲得的為三元組AV�����,則該源SGSN發(fā)送上下文響應(yīng)消息到 目標(biāo)MME時�,其中攜帶有SIM卡用戶的三元組AV中的加密密鑰Kc;
該步驟703還可以為源SGSN發(fā)送上下文響應(yīng)消息到目標(biāo)MME,其中 攜帶未使用的三元組AV�����,其中包括Kc;或者
該步驟703還可以為源SGSN根據(jù)三元組AV中的加密密鑰Kc計算得 到五元組AV中的加密密鑰CK和完整性保護密鑰IK,然后發(fā)送攜帶五元組 AV中的加密密鑰CK和完整性保護密鑰IK的上下文響應(yīng)消息到目標(biāo)MME;
該步驟703還可以為若在SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)時的鑒權(quán)過 程中��,源SGSN從HSS中獲得的為五元組AV,則該源SGSN發(fā)送上下文響 應(yīng)消息到目標(biāo)MME時��,其中攜帶有SIM卡用戶的五元組AV中的CK和IK;
步驟704、目標(biāo)MME根據(jù)加密密鑰Kc判斷是SIM卡用戶設(shè)備���,若在目 標(biāo)MME上配置允許該SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò),則生成Knas一enc和 Knas—int 5具體包括若在步驟703中源SGSN發(fā)送的上下文響應(yīng)消息中攜帶的為 三元組AV中的加密密鑰Kc�����,則目標(biāo)MME根據(jù)Kc生成加密密鑰CK,完整 性保護密鑰IK,例如根據(jù)c4算法計算CK^c4(KcllKc)����,利用c5算法計算 IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);再根據(jù)IK和CK生成出根密鑰 Kasme;根據(jù)Kasme生成出NAS信令加密密鑰Knas—enc和NAS信令完整性 保護密鑰Knas—int。
或者�,若在步驟703中源SGSN發(fā)送的上下文響應(yīng)消息中攜帶的為五元 組AV中的加密密鑰CK和完整性保護密鑰IK,則步驟704為目標(biāo)MME根 據(jù)IK和CK生成出根密鑰Kasme;根據(jù)Kasme生成出NAS信令加密密鑰 Knas—enc和NAS信令完整性保護密鑰Knas—int���。
步驟705�、目標(biāo)MME發(fā)送跟蹤區(qū)域接收消息到SIM卡用戶設(shè)備��,其中 該SIM卡用戶設(shè)備包括有ME和SIM卡��;
步驟706�、 ME發(fā)現(xiàn)其插入的是SIM卡,則才艮據(jù)共享密鑰Ki計算Kc����,再 根據(jù)Kc生成加密密鑰CK,完整性保護密鑰IK�����,例如根據(jù)c4算法計算CK= c4(Kc II Kc)��,利用c5算法計算IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);再根 據(jù)IK和CK生成出根密鑰Kasme;根據(jù)Kasme生成出NAS信令加密密鑰 Knas—enc和NAS j言令完整性j呆護密鑰Knas—int;
步驟707�����、在完成上述的密鑰處理流程后�����,繼續(xù)后面的SIM卡用戶設(shè)備 到EUTRAN的空閑態(tài)移動過程�,其中����,MME和SIM卡用戶設(shè)備之間的信 令交互需要采用Knas—enc和Knas一int進行保護。
本實施例提供的SIM卡用戶��;殳備/人GERAN/UTRAN空閑態(tài)移動到 EUTRAN的方法��,實現(xiàn)了 SIM卡用戶設(shè)備在非工作狀態(tài)下�����,從 GERAN/UTRAN移動到EUTRAN的過程,且保證了空閑態(tài)移動過程中的安 全性�。
圖8為本發(fā)明實施例的SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)移出的方法的流程示 意圖,該移出包括空閑態(tài)移出和/或切換�����。在本實施例中����,演進網(wǎng)絡(luò)中的源核心網(wǎng)設(shè)備為MME��, 2G/3G網(wǎng)絡(luò)中的目標(biāo)核心網(wǎng)為SGSN;本實施例主要針對 UE從演進網(wǎng)絡(luò)切換到2G/3G網(wǎng)絡(luò)或是UE從演進網(wǎng)絡(luò)空閑態(tài)移動到2G/3G 網(wǎng)絡(luò)時的方法����。如圖8所示,包括如下步驟
步驟801���、移動管理實體MME根據(jù)四元組鑒權(quán)矢量AV中的才艮密鑰生成 五元組AV中的加密密鑰和完整性保護密鑰����、或三元組AV中的加密密鑰�����;
步驟802、所述MME將包含所述五元組AV中的加密密鑰和完整性保護 密鑰�����、或所述三元組AV中的加密密鑰的消息發(fā)送給服務(wù)GPRS支持節(jié)點 SGSN;
步驟803 �����、所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消 息后�,根據(jù)四元組AV中的根密鑰生成五元組AV中的加密密鑰和完整性保護 密鑰、或三元組AV中的加密密鑰���;
步驟804�����、 SIM卡用戶設(shè)備和網(wǎng)絡(luò)側(cè)設(shè)備之間的信令交互采用上述密鑰 進行保護�����,具體地����,所述SIM卡用戶設(shè)備根據(jù)自身生成的五元組AV中的加 密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備 的信令進行保護�,所述網(wǎng)絡(luò)側(cè)設(shè)備才艮據(jù)所述MME生成的五元組AV中的加密 密鑰和完整性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給所述SIM卡用 戶設(shè)備的信令進行保護���。
在該步驟804中��,SGSN連接的無線接入網(wǎng)可能是2G網(wǎng)絡(luò)��,也可能是 3G網(wǎng)絡(luò)�����,若是2G網(wǎng)絡(luò),則所述網(wǎng)絡(luò)側(cè)設(shè)備為SGSN, SGSN和SIM卡用戶 設(shè)備之間的信令交互直接采用從MME直接獲得的三元組AV中的加密密鑰����, 或者從MME獲得的五元組AV中的加密密鑰和完整性保護密鑰推導(dǎo)得到的三 元組AV中的加密密鑰進行保護。若是3G網(wǎng)絡(luò)���,所述網(wǎng)絡(luò)側(cè)設(shè)備為RNC���, 則SGSN將從MME直接獲得的五元組AV中的加密密鑰和完整性保護密鑰、 或者從MME獲得的由三元組AV中的加密密鑰生成的五元組AV中的加密密 鑰和完整性保護密鑰發(fā)給RNC,用于保護UE和RNC之間的信令安全����。
本實施例提供的SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)移出的方法,實現(xiàn)了 SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)到2G/3G網(wǎng)絡(luò)的移動���,且保證了移動過程中的安全性�����。
下面通過兩個具體實施例分別描述SIM卡用戶設(shè)備/人演進網(wǎng)絡(luò)切換到 2G/3G網(wǎng)絡(luò)時SIM卡用戶設(shè)備的方法��、SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)空閑態(tài)移 動到2G/3G網(wǎng)絡(luò)時SIM卡用戶設(shè)備的方法��。
圖9為本發(fā)明實施例的SIM卡用戶i殳備/人EUTRAN切換到 GERAN/UTRAN的方法的信令流程示意圖�����。如圖9所示��,包括如下步驟
步驟901 �、源eNB發(fā)送切換請求(Handover Request)消息到源MME;
步驟902���、源MME推導(dǎo)出五元組AV中的加密密鑰CK��,和完整性保護密 鑰IK�����,��,或源MME推導(dǎo)出五元組AV中的加密密鑰CK�����,和完整性保護密鑰IK����,, 再進一步才艮據(jù)IK���,,CK,推導(dǎo)出三元組AV中的加密密鑰Kc�����,�����,以及密鑰索引號 KSI,�����;
具體地���,源MME才艮據(jù)四元組AV中的Kasme推導(dǎo)五元組AV中的完整 性保護密鑰IK�,和加密密鑰CK�,,還可以再才艮據(jù)IK���,和CK����,推導(dǎo)出三元組AV 中的加密密鑰Kc���,��;例如根據(jù)c3算法計算Kc^c3(CKlxorCK2xorlKlxor IK2)�,其中假設(shè)CKi和IKi都是64位且CK= CK1 || CK2�, IK= IK1 || IK2;根 據(jù)演進的密鑰索引號eKSI推導(dǎo)得到KSI,��,例如KSI,= eKSI的值域(Value field)部分�,此處eKSI共4個位bit,由一個位bit的索引類型以及3個位的 值域組成。
步驟903�、源MME發(fā)送轉(zhuǎn)發(fā)重定位請求消息到目標(biāo)SGSN,其中攜帶有 Kc�����,和KSI'����,或是IK,�、 CK,和KSI����,;
在該步驟903中�,也可以在轉(zhuǎn)發(fā)重定位請求消息中攜帶之前保存在MME 中的三元組AV;
步驟904、
如果目標(biāo)網(wǎng)絡(luò)是2G���,貝'J:
如果目標(biāo)SGSN接收到的是Kc,和KSI�����,,則該目標(biāo)SGSN用該Kc�����,和KSI�, 替換先前保存的Kc和KSI;如果目標(biāo)SGSN接收到的是IK,����、 CK,和KSI����,,則目標(biāo)SGSN根據(jù)IK��,和 CK�,進一步推導(dǎo)出三元組AV中的加密密鑰Kc,����,例如才艮據(jù)c3算法計算Kc,-c3(CKl xor CK2 xor IK1 xor IK2)����,其中假設(shè)CKi和IKi都是64位且CK= CK1 II CK2�, IK= IKI IIIK2�����,然后可以用該Kc����,和KSI,替換先前保存的Kc和KSI��。
如果目標(biāo)網(wǎng)絡(luò)是3G,貝寸
如果目標(biāo)SGSN接收到的是Kc��,和KSI�,,則該目標(biāo)SGSN根據(jù)Kc��,進一 步計算出5元組AV中的完整性保護密鑰IK�����,和加密密鑰CK����,,例如根據(jù)c4算 法計算CK, = Kc II Kc��,例如c5算法計算IK��, = Kcl xor Kc2 || Kc || Kcl xor Kc2, 這里Kcl和Kc2都是32位�����,并且Kc = Kcl || Kc2�����。
如果目標(biāo)SGSN接收到的是IK���,����、 CK���,和KSr��,則繼續(xù)步驟905的處理��。 步驟905��、目標(biāo)SGSN發(fā)送重定向請求消息或者切換請求消息到目標(biāo)RNC 或者目標(biāo)BSS;
如果目標(biāo)網(wǎng)絡(luò)是3G,目標(biāo)SGSN還要把步驟904中的IK��,和CK���,�����,KSI��,發(fā) 送給RNC��。目標(biāo)RNC用收到的IK��,��,CK��,,KSI��,替換到以前保存的 IK,CK����,KSI。
步驟906�、目標(biāo)RNC或者目標(biāo)BSS返回重定向請求響應(yīng)消息或者切換請 求響應(yīng)消息至目標(biāo)SGSN;
步驟907、目標(biāo)SGSN發(fā)送轉(zhuǎn)發(fā)重定向響應(yīng)消息至源MME; 步驟908�����、源MME發(fā)送切換命令消息至源eNB;
步驟909����、源eNB發(fā)送切換命令至SIM卡用戶設(shè)備��,該SIM卡用戶設(shè)備 包括ME和SIM卡�����;
步驟910�、 ME發(fā)現(xiàn)其插入的是SIM卡,則ME可以4艮據(jù)四元組AV中的 Kasme推導(dǎo)五元組AV中的完整性保護密鑰IK����,和加密密鑰CK,�����,還可以進一 步根據(jù)IK,和CK�,推導(dǎo)出三元組AV中的加密密鑰Kc,��;還可以用IK�,、 CK���, 和KSI�����,替換之前保存的IK���、 CK和KSI,或是用Kc,替換之前保存的Kc和 KSI�,并且ME將初始值(START)清0,該初始值用于防止重放攻擊�;
31步驟911、在完成上述的密鑰處理流程后��,繼續(xù)后面的SIM卡用戶設(shè)備 到GERAN/UTRAN的切換過程�,其中,對于2G網(wǎng)絡(luò)��,SGSN和SIM卡用戶 設(shè)備之間的信令交互需要釆用Kc,進行保護�����。對于3G網(wǎng)絡(luò)����,SIM卡用戶設(shè) 備和RNC之間的信令用IK,���,CK,進行保護��。
本實施例提供的SIM卡用戶設(shè)備從EUTRAN切換到GERAN/UTRAN的 方法���,實現(xiàn)了 SIM卡用戶設(shè)備從EUTRAN到GERAN/UTRAN的切換�����,且保 證了切換過程中的安全性�。
圖10為本發(fā)明實施例的SIM卡用戶i殳備A人EUTRAN空閑態(tài)移動到 GERAN/UTRAN的方法的信令流程示意圖����。如圖10所示,包括如下步驟
步驟1001 、 SIM卡用戶設(shè)備發(fā)送路由區(qū)域更新(RAU)請求消息到目標(biāo) SGSN;
步驟1002����、目標(biāo)SGSN發(fā)送上下文請求消息到源MME;
步驟1003、源MME根據(jù)四元組AV中的根密鑰Kasme推導(dǎo)出五元組中 的完整性保護密鑰IK���,和加密密鑰CK���,,還可以再才艮據(jù)IK�����,和CK�����,推導(dǎo)出Kc�,; 例如根據(jù)c3算法計算Kc�,= c3(CKl xor CK2 xor IKl xor IK2),其中假設(shè)CKi 和IKi都是64位且CK= CKI || CK2, IK= IKl || IK2;根據(jù)演進的密鑰索引號 eKSI推導(dǎo)得到KSI'�����,例如KSI,= eKSI的值域部分�。
步驟1004、源MME發(fā)送上下文響應(yīng)消息至目標(biāo)SGSN,其中攜帶有Kc�����, 和KSI'��,或是IK��,����、 CK��,和KSI,;
在該步驟1004中�,也可以在上下文響應(yīng)消息中攜帶之前保存的、SGSN 對應(yīng)的三元組AV����,其中包括步驟1003計算得到的Kc,�,這里的三元組AV中 的其他兩個參數(shù)是之前同一個SGSN發(fā)送給該源MME的。
步驟1005�����、
如果目標(biāo)網(wǎng)絡(luò)是2G,貝'J:
如果目標(biāo)SGSN接收到的是Kc����,和KSI,�,則該目標(biāo)SGSN用該Kc,和KSI���, 替換先前保存的Kc和KSI;如果目標(biāo)SGSN接收到的是IK��, �����、 CK���,和KSI,�,則目標(biāo)SGSN根據(jù)IK,和 CK�,推導(dǎo)出三元組AV中的加密密鑰Kc,���,例如才艮據(jù)c3算法計算Kc^ c3(CKl xor CK2 xor IK1 xor IK2)�����,其中假設(shè)CKi和IKi都是64位且CK= CK1 || CK2, IK= IKI IIIK2����,然后可以用該Kc,和KSI���,替換先前保存的Kc和KSI�����。
如果目標(biāo)網(wǎng)絡(luò)是3G����,貝'J:
如果目標(biāo)SGSN接收到的是Kc����,和KSI����,���,則該目標(biāo)SGSN根據(jù)Kc,進一 步計算出5元組AV中的完整性保護密鑰IK����,和加密密鑰CK,,例如才艮據(jù)c4算 法計算CK, = Kc II Kc,例如c5算法計算IK����, = Kcl xor Kc2 || Kc || Kcl xor Kc2, 這里Kcl和Kc2都是32位�����,并且Kc = Kcl || Kc2����。
如果目標(biāo)SGSN接收到的是IK,���、 CK��,和KSr���,則繼續(xù)步驟1006的處理��。
步驟1006���、目標(biāo)SGSN發(fā)送路由區(qū)域更新響應(yīng)消息到SIM卡用戶設(shè)備, 該SIM卡用戶設(shè)備包括ME和SIM卡����;
如果目標(biāo)網(wǎng)絡(luò)是3G,該過程中還包括目標(biāo)SGSN還要把前面步驟1005 中的IK����,和CK,,KSI�,發(fā)送給RNC。目標(biāo)RNC用收到的IK����,,CK����,,KSI���,替換到以 前保存的IK�����,CK,KSI��。
步驟1007�、 ME發(fā)現(xiàn)其插入的是SIM卡,則ME可以根據(jù)四元組AV中 的Kasme推導(dǎo)五元組AV中的完整性保護密鑰IK����,和加密密鑰CK,�,還可以進 一步才艮據(jù)IK,和CK���,推導(dǎo)出三元組AV中的加密密鑰Kc�����,�����;還可以用IK��,�、 CK, 和KSI���,替換之前保存的IK���、 CK和KSI,或是用Kc�����,和KSI���,替換之前保存的 Kc和KSI����,并且ME將初始值START清0;
步驟1008����、在完成上述的密鑰處理流程后,繼續(xù)后面的SIM卡用戶設(shè)備 到GERAN/UTRAN的空閑態(tài)移動過程����,其中�����,對于2G網(wǎng)絡(luò),SGSN和SIM 卡用戶設(shè)備之間的信令交互需要采用Kc�,進行保護。對于3G網(wǎng)絡(luò)�,SGSN需 要把IK,��、 CK�,發(fā)送給對應(yīng)的RNC, UE和RNC之間的信令采用IK,�,CK,進行 保護���。
本實施例提供的SIM卡用戶設(shè)備/人EUTRAN空閑態(tài)移動到GERAN/UTRAN的方法�����,實現(xiàn)了 SIM卡用戶設(shè)備在非工作狀態(tài)下���,從 EUTRAN移動到GERAN/UTRAN的過程,且保證了空閑態(tài)移動過程中的安 全性����。
圖11為本發(fā)明實施例的SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的方法的信令 流程圖�。其中參見圖1, 2G/3G網(wǎng)絡(luò)的核心網(wǎng)為SGSN�。如圖11所示,該SIM 卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的方法包括如下步驟
步驟1101����、 SGSN接收到SIM卡用戶設(shè)備發(fā)來的初始層3的NAS消息;
該NAS消息具體可以為附著請求(ATTACH request)消息或者if各由區(qū) 域更新請求(RAUrequest)消息�;
步驟1102、 SGSN發(fā)送鑒權(quán)數(shù)據(jù)請求消息到HSS;
步驟1103���、 HSS接收到SGSN發(fā)送的鑒權(quán)數(shù)據(jù)請求消息后����,若4企測到為 SIM卡用戶設(shè)備����,則生成三元組AV或五元組AV;具體操作如下
其中三元組AV包括(隨機數(shù)(RAND),期望才兆戰(zhàn)響應(yīng)(SRES),密鑰 (Kc) }���,五元組AV包括{RAND,期望挑戰(zhàn)響應(yīng)(XRES)���,完整性 密鑰(IK),加密密鑰(CK)����,鑒權(quán)參數(shù)(AUTN) }���。參考圖4,包括
A) HSS首先生成SIM卡用戶設(shè)備的三元組AV(RAND, SRES�,Kc},具 體步驟如下
11031a����、 HSS先產(chǎn)生一個長度為16字節(jié)的隨才幾數(shù)RAND;
U032a、以RAND�����、 SIM卡與HSS的共享密鑰Ki為輸入?yún)?shù)��,利用A3 算法生成長度為4個字節(jié)的期望才先戰(zhàn)響應(yīng)SRES=A3(Ki,RAND);
11033a�、以RAND、 SIM卡與HSS的共享密鑰Ki為輸入?yún)?shù)��,利用A8 算法生成長度為8個字節(jié)的密鑰參數(shù)Kc-A8(Ki,RAND)����。
B )HSS進一步根據(jù)三元組AV生成SIM卡用戶設(shè)備的五元組AV(RAND, XRES����,IK��,CK,AUTN}����,具體步驟如下
11031b、 HSS采用三元組AV中的RAND作為五元組AV中的RAND��, 且產(chǎn)生一個長度為6個字節(jié)的系列號SQN;U032b��、根據(jù)Kc生成長度為16個字節(jié)的基礎(chǔ)密鑰K^ Cl(Kc),其中��, Cl為轉(zhuǎn)換函數(shù)�����,且以參數(shù)K���、 RAND�����、 SQN以及認證管理域(Authentication Management Field,簡稱AMF)為輸入���,利用fl算法生成消息認證碼(Message Authentication Code ���,簡稱MAC ) = fl (K, RAND, SQN, AMF);
例如計算K具體為K^8字節(jié)的0liKc��,或者K= Kc || 8字節(jié)的0���,或者 K=Kc II Kc;
11033b、以K���、 RAND為輸入���,利用f5算法生成認證密鑰(Authentication Key,簡稱AK) = f5(K, RAND);
11034b、生成鑒權(quán)參數(shù)AUTN-SQN④AKIIAMFIIMAC,此處AMF的 分離位置為0;
11035b����、利用f3算法生成加密密鑰CK=f3(K,RAND),以及利用f4算法 生成完整性密鑰IK= f4(K, RAND);
另夕卜�����,11035b中生成的IK和CK也可直接由Kc產(chǎn)生�,例如利用c4算 法計算CK= c4(Kc II Kc),利用c5算法計算IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);
11(B6b��、生成期望才兆戰(zhàn)響應(yīng)XRES= f2(K, RAND);
另外����,11036b中生成的XRES也可以直接根據(jù)A)中的SRES生成���,例 如XRES-SRESH 12個字節(jié)的0�����,或者XRES= 12個字節(jié)的0 || SRES���,或者 XRES= SRESl xor SRES2 || SRES || SRESl xor SRES2 || SRESl xor SRES2 ||SRES|| SRESl xor SRES2,此處假設(shè)SRES= SRESl || SRES2和SRESi都是2
字節(jié)的�。
該步驟1103中的A)和B)還可以在步驟1102之前完成,即三元組AV 和五元組AV可以預(yù)先生成��。
步驟1104����、HSS向SGSN返回鑒權(quán)數(shù)據(jù)應(yīng)答消息,其中包含上述步驟1103 中生成的三元組AV{RAND, SRES, Kc》或者五元組AV{RAND�, XRES, IK, CK: AUTN};具體地,HSS上對于不同的SGSN可以配置為發(fā)送三元組AV或者五元 組AV,例如可以根據(jù)SGSN所在網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識進行配置����;當(dāng)配置為發(fā)送三 元組AV的時候,則不需要進行上面的B )中計算五元組AV鑒權(quán)矢量的操作���。
步驟1105�、當(dāng)SGSN接收到的為五元組AV時����,該SGSN向SIM卡用戶 設(shè)備發(fā)送的用戶鑒權(quán)請求消息中攜帶參數(shù)RAND和AUTN;
對于SGSN接收三元組AV的情況,與現(xiàn)有技術(shù)相同�����,對SIM卡用戶設(shè) 備和HSS上的鑒權(quán)參數(shù)沒有影響��。
步驟1106�、 SIM卡用戶設(shè)備中的ME接收到SGSN發(fā)送的用戶鑒權(quán)請求 消息后����,發(fā)現(xiàn)插入ME的是SIM卡,則ME生成對應(yīng)的三元組AV或五元組 AV���,其中����,
A) 生成三元組AV的具體操作如下
11061、 ME把接收到的RAND發(fā)送給SIM卡��;
11062���、 SIM卡利用和在步驟1103的11032a和11033a中HSS計算SRES 和Kc相同的算法��,根據(jù)RAND和Ki來計算SRES和Kc,并且將Kc發(fā)送給 ME;可選地��,SIM卡還可以將SRES發(fā)送給ME, ME將SRES作為用戶端 才兆戰(zhàn)響應(yīng)RES;
B) 若需要ME生成五元組AV,則生成五元組AV的進一步操作如下
11063�、 ME采取和步驟1103的11032b中的HSS計算K相同的算法�,根 據(jù)Kc來計算K;
11064、 ME采取和步驟1103的11035b中的HSS計算IK和CK相同的 算法��,來計算IK和CK;
11065����、 ME采取和步驟1103的11036b中的HSS計算XRES相同的算法, 來計算RES= G(K, RAND);當(dāng)需要用SRES來計算RES時�,貝'j 11062中SIM 卡需要將SRES發(fā)送給ME。
其中��,可選地,在11063和11064之間還可以包括
1106a����、 ME采取和步驟1103的11033b中的HSS計算AK相同的算法,
36利用f5算法生成AK;
U06b�、 ME利用AUTN中的SQN④AK以及1106a中生成的AK,來計 算SQN= (SQN十AK)十AK;
1106c、 ME計算期望的消息認證碼(expected Authentication Code,筒稱 XMAC ) = fl K(SQN II RAND || AMF);
1106d��、 ME將其計算的XMAC和參數(shù)AUTN中的MAC比較���,如果不 一致�����,則返回給SGSN—個表示拒絕鑒權(quán)的響應(yīng)消息����;和/或ME檢查序列號 SQN是否在一合適的范圍之內(nèi)��,如果不是��,則發(fā)送一個同步失敗響應(yīng)消息給 SGSN�����。
步驟1107�、 SIM卡用戶設(shè)備向SGSN發(fā)送用戶鑒權(quán)響應(yīng)消息,其中攜帶 有挑戰(zhàn)響應(yīng)RES;
步驟1108���、 SGSN通過比較RES和從HSS獲得的SRES或XRES是否一 致對UE進行鑒權(quán)�����,若兩者一致����,則鑒權(quán)成功��;
步驟1109����、 SGSN向UE發(fā)送初始層3的NAS響應(yīng)消息,至此SIM卡 用戶設(shè)備可以接入到2G/3G網(wǎng)絡(luò)中��。
本實施例提供的SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的方法�����,將現(xiàn)有的SIM
鑒權(quán)來接入3G網(wǎng)絡(luò)相結(jié)合��,重新構(gòu)造一種才艮據(jù)三元組AV產(chǎn)生的五元組AV, 使得使用SIM卡的UE既可以接入2G網(wǎng)絡(luò)又可以接入3G網(wǎng)絡(luò)���,保證了 SIM 卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的安全性���。
圖12為本發(fā)明實施例的移動管理實體的結(jié)構(gòu)示意圖。如圖12所示���,該 移動管理實體(MME)包括第一接收模塊121��、第二接收模塊122���、鑒權(quán) 模塊123和第一發(fā)送模塊124。其中����,第一接收模塊121用于接收歸屬用戶 服務(wù)器HSS生成的與SIM卡用戶i殳備對應(yīng)的四元組鑒權(quán)矢量AV,所述四元 組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng);第一發(fā)送模塊124���,用于向所述SIM卡 用戶設(shè)備發(fā)送鑒權(quán)請求消息���,所述鑒權(quán)請求消息中包括所述四元組AV中的隨機數(shù)�;第二接收模塊122用于接收SIM卡用戶設(shè)備根據(jù)四元組AV中的隨 機數(shù)生成的用戶端挑戰(zhàn)響應(yīng)���;鑒權(quán)模塊123用于比較鑒權(quán)第一接收模塊121 接收到的四元組AV中的期望挑戰(zhàn)響應(yīng)和第二接收沖莫塊122接收到的用戶端 挑戰(zhàn)響應(yīng),若期望挑戰(zhàn)響應(yīng)和用戶端挑戰(zhàn)響應(yīng)一致�����,則鑒權(quán)成功���。
本實施例提供的移動管理實體的具體實現(xiàn)如上述方法實施例所述�����,在此 不再贅述����。本實施例提供的移動管理實體可以實現(xiàn)SIM卡用戶設(shè)備接入演進 網(wǎng)絡(luò)時的鑒權(quán)處理��。
圖13為本發(fā)明實施例的SIM卡用戶設(shè)備的結(jié)構(gòu)示意圖��。如圖13所示�, 該SIM卡用戶設(shè)備包括第三接收模塊131、第一生成模塊132和第二發(fā)送 模塊133���。其中���,第三接收模塊131用于接收MME發(fā)送的鑒權(quán)請求消息����,所 述鑒權(quán)請求消息包括所述四元組AV中的隨機數(shù)��;第一生成模塊132用于根 據(jù)第三接收模塊131接收到的四元組AV中的隨機數(shù)生成用戶端挑戰(zhàn)響應(yīng)����; 第二發(fā)送模塊133用于發(fā)送鑒權(quán)響應(yīng)消息到所述MME,所述鑒權(quán)響應(yīng)消息中 包括所述第一生成模塊132生成的所述用戶端挑戰(zhàn)響應(yīng)����,使得所述MME根 據(jù)所述用戶端挑戰(zhàn)響應(yīng)和從歸屬用戶服務(wù)器HSS接收到的期望挑戰(zhàn)響應(yīng)對所 述SIM卡用戶設(shè)備進行鑒斥又。
該SIM卡用戶設(shè)備還可以包括第一保存模塊134�����。其中��,第一生成模 塊132還用于4艮據(jù)三元組AV中的加密密鑰生成五元組AV中加密密鑰和完整 性保護密鑰��,然后再進一步生成四元組AV中的根密鑰�;第一保存模塊134 用于將第一生成模塊132生成的才艮密鑰保存在SIM卡用戶設(shè)備的演進分組系 統(tǒng)非接入信令安全上下文中。
本實施例提供的SIM卡用戶設(shè)備的具體實現(xiàn)如上述方法實施例所述�����,在 此不再贅述����。本實施例提供的SIM卡用戶設(shè)備可以實現(xiàn)SIM卡用戶設(shè)備接入 演進網(wǎng)絡(luò)時的鑒權(quán)處理。
圖14為本發(fā)明實施例的移動管理實體的另一結(jié)構(gòu)示意圖����。如圖14所示, 該移動管理實體(MME)包括第四接收模塊141����、第二生成模塊142和笫一信令保護模塊143。其中��,第四接收模塊141用于接收服務(wù)GPRS支持節(jié) 點SGSN發(fā)送的包含三元組鑒權(quán)矢量AV中的加密密鑰�����、或五元組AV中的加 密密鑰和完整性保護密鑰的消息���;第二生成模塊142用于根據(jù)所述第四接收 才莫塊141接收到的所述三元組AV中的加密密鑰��、或五元組AV中的加密密鑰 和完整性保護密鑰生成非接入信令NAS加密密鑰和NAS完整性保護密鑰�; 第一信令保護模塊143用于采用所述第二生成模塊142生成的所述NAS加密 密鑰和NAS完整性保護密鑰對發(fā)送給用戶身份;漠塊SIM卡用戶設(shè)備的信令 進行保護。
本實施例提供的移動管理實體的具體實現(xiàn)如上述方法實施例所述����,在此 不再贅述。本實施例提供的移動管理實體可以實現(xiàn)SIM卡用戶設(shè)備移動到演 進網(wǎng)絡(luò)時對密鑰的處理�。
圖15為本發(fā)明實施例的SIM卡用戶設(shè)備的另一結(jié)構(gòu)示意圖。如圖15所 示����,該SIM卡用戶設(shè)備包括第五接收模塊151、第三生成模塊152和第二 信令保護模塊153���。其中���,第五接收模塊151用于接收切換命令消息或跟蹤 區(qū)域接收消息消息;第三生成模塊152用于根據(jù)三元組鑒權(quán)矢量AV中的加 密密鑰生成非接入信令NAS加密密鑰和NAS完整性保護密鑰��;第二信令保 護模塊153用于采用第三生成模塊152生成的NAS加密密鑰和NAS完整性 保護密鑰對發(fā)送給所述MME的信令進行保護���。�����。
所述第三生成模塊152具體用于根據(jù)三元組AV中的加密密鑰生成五元 組AV中加密密鑰和完整性保護密鑰��,然后再進一步生成四元組AV中的才艮密 鑰����,然后再進一步生成NAS加密密鑰和NAS完整性保護密鑰
本實施例提供的SIM卡用戶設(shè)備的具體實現(xiàn)如上述方法實施例所述,在 此不再贅述����。本實施例提供的SIM卡用戶設(shè)備可以實現(xiàn)SIM卡用戶設(shè)備移動 到演進網(wǎng)絡(luò)時對密鑰的處理���。
圖16為本發(fā)明實施例的移動管理實體的又一結(jié)構(gòu)示意圖��。如圖16所示����, 該移動管理實體(MME)包括第四生成模塊161和第三發(fā)送模塊162�。其中,第四生成才莫塊161用于4艮據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組 AV中的完整性保護密鑰和加密密鑰��;或��,根據(jù)四元組AV中的根密鑰生成五 元組AV中的完整性保護密鑰和加密密鑰��,根據(jù)五元組AV中的完整性保護密 鑰和加密密鑰生成三元組AV中的加密密鑰;第三發(fā)送才莫塊162用于將攜帶 有所述第四生成模塊161生成的所述五元組AV中的完整性保護密鑰和加密 密鑰��、或三元組AV中的加密密鑰的消息發(fā)送給服務(wù)GPRS支持節(jié)點SGSN, 使得所述SGSN根據(jù)所述MME生成的五元組AV中的加密密鑰和完整性保 護密鑰�����、或三元組AV中的加密密鑰對發(fā)送給用戶身份模塊SIM卡用戶設(shè)備 的信令進行保護����。
本實施例提供的移動管理實體的具體實現(xiàn)如上述方法實施例所述,在此 不再贅述�����。本實施例提供的移動管理實體可以實現(xiàn)SIM卡用戶設(shè)備從演進網(wǎng) 絡(luò)移出時對密鑰的處理���。
圖17為本發(fā)明實施例的SIM卡用戶設(shè)備的又一結(jié)構(gòu)示意圖�����。如圖17所 示��,該SIM卡用戶設(shè)備包括第六接收模塊171����、第五生成模塊172和第三 信令保護模塊173。其中��,第六接收模塊171用于接收切換命令消息或跟蹤 區(qū)域接收消息�����;第五生成模塊172用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰 生成五元組AV中的完整性保護密鑰和加密密鑰�;或,根據(jù)四元組AV中的根 密鑰生成五元組AV中的完整性保護密鑰和加密密鑰�����,才艮據(jù)五元組AV中的完 整性保護密鑰和加密密鑰生成三元組AV中的加密密鑰��;第三信今"床護才莫塊 173�����,用于才艮據(jù)第五生成模塊172生成的五元組AV中的加密密鑰和完整性保 護密鑰�、或三元組AV中的加密密鑰進行信令保護��。
本實施例^是供的SIM卡用戶設(shè)備的具體實現(xiàn)如上述方法實施例所述���,在 此不再贅述����。本實施例提供的SIM卡用戶設(shè)備可以實現(xiàn)SIM卡用戶設(shè)備從演 進網(wǎng)絡(luò)移出時對密鑰的處理。
圖18為本發(fā)明實施例的演進網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)示意圖�。如圖18所示,該 演進網(wǎng)絡(luò)系統(tǒng)包括如圖12�、圖14或圖16所述的移動管理實體(MME)18,該MME18用于對接入到演進網(wǎng)絡(luò)系統(tǒng)的SIM卡用戶設(shè)備進行鑒權(quán)處理,或 者對移動到演進網(wǎng)絡(luò)系統(tǒng)或移出所述演進網(wǎng)絡(luò)系統(tǒng)的SIM卡用戶設(shè)備進行密 鑰處理����。
本實施例提供的演進網(wǎng)絡(luò)系統(tǒng)的具體實現(xiàn)如上述方法實施例所述,在此 不再贅述��。本實施例提供的演進網(wǎng)絡(luò)系統(tǒng)可以實現(xiàn)SIM卡用戶設(shè)備接入演進 網(wǎng)絡(luò)的鑒權(quán)處理����,SIM卡用戶設(shè)備移動到演進網(wǎng)絡(luò)或從演進網(wǎng)絡(luò)移出時對密 鑰的處理。
本領(lǐng)
程�����,是可以通過計算機程序來指令相關(guān)的硬件來完成���,所述的程序可存儲于 一計算^L可獲取存儲介質(zhì)中���,該程序在執(zhí)行時���,可包括如上述各方法的實施
例的流程。其中��,所述的存儲介質(zhì)可為磁碟��、光盤����、只讀存儲記憶體(Read-Only Memory, ROM)或隨才踏儲記憶體(Random Access Memory, RAM)等。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案��,而非對其 限制�;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改�����,或 者對其中部分技術(shù)特征進行等同替換��;而這些修改或者替換���,并不使相應(yīng)技
術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
權(quán)利要求
1��、一種用戶身份模塊SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法,其特征在于����,包括接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備對應(yīng)的四元組鑒權(quán)矢量AV,所述四元組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng)��;向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息���,所述鑒權(quán)請求消息中包括所述四元組AV中的隨機數(shù)�����;接收所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成的用戶端挑戰(zhàn)響應(yīng)����;若接收到的所述四元組AV中的期望挑戰(zhàn)響應(yīng)和所述用戶端挑戰(zhàn)響應(yīng)一致�����,則鑒權(quán)成功�����。
2���、 根據(jù)權(quán)利要求1所述的方法��,其特征在于��,在所述接收HSS生成的與 SIM卡用戶設(shè)備對應(yīng)的四元組AV之前包括所述HSS接收移動管理實體MME發(fā)送的鑒權(quán)數(shù)據(jù)請求消息����;所述HSS根據(jù)三元組AV生成五元組AV,并根據(jù)所述五元組AV生成與所述SIM卡用戶設(shè)備對應(yīng)的所述四元組AV;所述HSS發(fā)送鑒權(quán)數(shù)據(jù)應(yīng)答消息給所述MME,所述鑒權(quán)數(shù)據(jù)應(yīng)答消息包含所述四元組AV�。
3、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述接收所述SIM卡用戶 設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成的用戶端挑戰(zhàn)響應(yīng)之前包括所述SIM卡用戶設(shè)備接收MME發(fā)送的鑒權(quán)請求消息���,所述鑒權(quán)請求消 息包括所述四元組AV中的隨機數(shù);所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成用戶端挑戰(zhàn)響應(yīng)�;發(fā)送鑒權(quán)響應(yīng)消息到所述MME,所述鑒權(quán)響應(yīng)消息中包括所述用戶端挑 戰(zhàn)響應(yīng)�����。
4、 根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述SIM卡用戶設(shè)備根據(jù) 所述四元組AV中的隨機數(shù)生成用戶端挑戰(zhàn)響應(yīng)包括所述SIM卡用戶設(shè)備根據(jù)所述隨機數(shù)和共享密鑰生成三元組AV中的加 密密鑰�,根據(jù)所述三元組AV中的加密密鑰生成基礎(chǔ)密鑰,根據(jù)所述隨機數(shù)和 基礎(chǔ)密鑰生成所述用戶端#<戰(zhàn)響應(yīng)���;或�����,所述SIM卡用戶設(shè)備根據(jù)所述隨機數(shù)和共享密鑰生成期望挑戰(zhàn)響應(yīng)��,并 根據(jù)自身生成的期望挑戰(zhàn)響應(yīng)生成所述用戶端才4戰(zhàn)響應(yīng)�����。
5�、 根據(jù)權(quán)利要求3所述的方法����,其特征在于����,所述方法還包括所述SIM卡用戶設(shè)備根據(jù)所述隨機數(shù)和共享密鑰生成三元組AV中的加 密密鑰����;所述SIM卡用戶設(shè)備才艮據(jù)所述三元組AV中的加密密鑰生成五元組AV 中的完整性保護密鑰和加密密鑰;所述SIM卡用戶設(shè)備才艮據(jù)所述五元組AV中的完整性保護密鑰和加密密 鑰生成所述四元組AV中的才艮密鑰��。
6��、 一種用戶身份才莫塊SIM卡用戶設(shè)備移動到演進網(wǎng)絡(luò)的方法��,其特征在 于��,包括移動管理實體MME接收服務(wù)GPRS支持節(jié)點SGSN發(fā)送的包含三元組 鑒權(quán)矢量AV中的加密密鑰���、或五元組AV中的加密密鑰和完整性保護密鑰的 消息����,并根據(jù)接收到的密鑰生成非接入信令NAS加密密鑰和NAS完整性保 護密鑰�����;所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后���,根據(jù) 所述SIM卡用戶設(shè)備中三元組AV中的加密密鑰生成NAS加密密鑰和NAS 完整性保護密鑰��;所述MME和所述SIM卡用戶設(shè)備采用各自生成的NAS加密密鑰和NAS 完整性保護密鑰進行信令保護���。
7、 根據(jù)權(quán)利要求6所述的方法���,其特征在于�����,當(dāng)所述MME接收到所述SGSN發(fā)送的所述三元組AV中的加密密鑰時��, 所述根據(jù)接收到的密鑰生成NAS加密密鑰和NAS完整性保護密鑰包括所述MME根據(jù)所述三元組AV中的加密密鑰生成五元組AV中的加密密 鑰和完整性保護密鑰����;所述MME根據(jù)所述五元組AV中的加密密鑰和完整性保護密鑰生成四元 組AV中的根密鑰�;所述MME才艮據(jù)所述四元組AV中的才艮密鑰生成所述NAS加密密鑰和 NAS完整性保護密鑰;當(dāng)所述MME接收到所述SGSN發(fā)送的所述五元組AV中的加密密鑰和完 整性保護密鑰時�����,所述根據(jù)接收到的密鑰生成NAS加密密鑰和NAS完整性 保護密鑰包括所述MME根據(jù)所述五元組AV中的加密密鑰和完整性保護密鑰生成四元 組AV中的根密鑰;所述MME根據(jù)所述四元組AV中的根密鑰生成所述NAS加密密鑰和 NAS完整性保護密鑰�����。
8����、 根據(jù)權(quán)利要求6所述的方法,其特征在于���,所述SIM卡用戶設(shè)備根據(jù) 所述SIM卡用戶i殳備中三元組AV中的加密密鑰生成所述NAS加密密鑰和 NAS完整性保護密鑰包括所述SIM卡用戶i殳備才艮據(jù)所述三元組AV中的加密密鑰生成五元組AV 中的加密密鑰和完整性保護密鑰�;所述SIM卡用戶i殳備^^艮據(jù)所述五元組AV中的加密密鑰和完整性保護密 鑰生成四元組AV中的根密鑰�;所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的根密鑰生成所述NAS加密 密鑰和NAS完整性保護密鑰。
9����、 一種用戶身份模塊SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)移出的方法,其特征在 于�,包括移動管理實體MME才艮據(jù)四元組鑒權(quán)矢量AV中的才艮密鑰生成五元組AV 中的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰�;所述MME將包含所述五元組AV中的加密密鑰和完整性保護密鑰、或所 述三元組AV中的加密密鑰的消息發(fā)送給服務(wù)GPRS支持節(jié)點SGSN;所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后�,根據(jù) 四元組AV中的根密鑰生成五元組AV中的加密密鑰和完整性保護密鑰、或三 元組AV中的加密密鑰���;所述SIM卡用戶設(shè)備根據(jù)自身生成的五元組AV中的加密密鑰和完整性 保護密鑰�、或三元組AV中的加密密鑰對發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備的信令進行保護, 所述網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所述MME生成的五元組AV中的加密密鑰和完整性保護 密鑰��、或三元組AV中的加密密鑰對發(fā)送給所述SIM卡用戶設(shè)備的信令進行 保護�。
10��、根據(jù)權(quán)利要求9所述的方法���,其特征在于��,在2G網(wǎng)絡(luò)中����,所述網(wǎng)絡(luò)側(cè)設(shè)備為所述SGSN��,則所述網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所 述MME生成的五元組AV中的加密密鑰和完整性保護密鑰��、或三元組AV中 的加密密鑰對發(fā)送給所述SIM卡用戶設(shè)備的信令進行保護包括所述SGSN根據(jù)從所述MME接收的三元組AV中的加密密鑰對發(fā)送給 SIM卡用戶設(shè)備的信令進行保護�����;或�,所述SGSN根據(jù)從MME接收的五元組AV中的加密密鑰和完整性保護密 鑰生成三元組AV中的加密密鑰����,才艮據(jù)生成的所述三元組AV中的加密密鑰對 發(fā)送給SIM卡用戶設(shè)備的信令進行保護�����;或����,在3G網(wǎng)絡(luò)中,所述網(wǎng)絡(luò)側(cè)設(shè)備為無線網(wǎng)絡(luò)控制器RNC�,則在所述MME 將包含所述五元組AV中的加密密鑰和完整性保護密鑰、或所述三元組AV中 的加密密鑰的消息發(fā)送給SGSN之后還包括所述SGSN將所述五元組AV中的加密密鑰和完整性保護密鑰�����、或根據(jù)所述三元組AV中的加密密鑰生成的五元組AV中的加密密鑰和完整性保護密鑰 發(fā)送給所述RNC;則所述網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所述MME生成的五元組AV中的加密密鑰和完整 性保護密鑰�、或三元組AV中的加密密鑰對發(fā)送給所述SIM卡用戶設(shè)備的信 令進行保護包括所述RNC根據(jù)從所述SGSN接收的五元組AV中的加密密鑰和完整性保 護密鑰對發(fā)送給SIM卡用戶設(shè)備的信令進行保護。
11�����、 根據(jù)權(quán)利要求9所述的方法�����,其特征在于,所述MME根據(jù)四元組 AV中的根密鑰生成三元組AV中的加密密鑰包括所述MME根據(jù)所述四元組AV中的根密鑰生成五元組AV中的加密密鑰 和完整性保護密鑰����;所述MME根據(jù)所述五元組AV中的加密密鑰和完整性保護密鑰生成所述 三元組AV中的加密密鑰。
12���、 根據(jù)權(quán)利要求9所述的方法����,其特征在于���,所述SIM卡用戶設(shè)備根 據(jù)四元組AV中的根密鑰生成三元組AV中的加密密鑰包括所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的根密鑰生成五元組AV中的 加密密鑰和完整性保護密鑰;所述SIM卡用戶設(shè)備根據(jù)所述五元組AV中的加密密鑰和完整性保護密 鑰生成所述三元組AV中的加密密鑰����。
13、 一種移動管理實體MME����,其特征在于,包括第一接收模塊�,用于接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備 對應(yīng)的四元組鑒權(quán)矢量AV,所述四元組AV包括隨才幾數(shù)和期望挑戰(zhàn)響應(yīng)���;第一發(fā)送模塊����,用于向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒 權(quán)請求消息中包括所述四元組AV中的隨機數(shù)����;第二接收模塊,用于接收所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成的用戶端挑戰(zhàn)響應(yīng)��;鑒權(quán)模塊���,用于比較鑒權(quán)所述第一接收模塊接收到的所述四元組AV中的 期望挑戰(zhàn)響應(yīng)和所述第二接收模塊接收到的所述用戶端挑戰(zhàn)響應(yīng)��,若所述期 望^t兆戰(zhàn)響應(yīng)和所述用戶端^L戰(zhàn)響應(yīng)一致��,則鑒;f又成功�����。
14����、 一種用戶身份模塊SIM卡用戶設(shè)備��,其特征在于,包括 第三接收模塊����,用于接收移動管理實體MME發(fā)送的鑒權(quán)請求消息,所述鑒權(quán)請求消息包括所述四元組AV中的隨機數(shù)�;第一生成模塊,用于根據(jù)所述第三接收模塊接收到的所述四元組AV中的 隨機數(shù)生成用戶端挑戰(zhàn)響應(yīng)����;第二發(fā)送模塊,用于發(fā)送鑒權(quán)響應(yīng)消息到所述MME����,所述鑒權(quán)響應(yīng)消息 中包括所述第 一生成模塊生成的所述用戶端挑戰(zhàn)響應(yīng)����,使得所述MME根據(jù)所 述用戶端挑戰(zhàn)響應(yīng)和從歸屬用戶服務(wù)器HSS接收到的期望挑戰(zhàn)響應(yīng)對所述 SIM卡用戶設(shè)備進行鑒權(quán)。
15�����、 一種移動管理實體MME,其特征在于����,包括第四接收模塊����,用于接收服務(wù)GPRS支持節(jié)點SGSN發(fā)送的包含三元組 鑒權(quán)矢量AV中的加密密鑰�����、或五元組AV中的加密密鑰和完整性保護密鑰的 消息����;第二生成模塊,用于根據(jù)所述第四接收才莫塊接收到的所述三元組AV中的 加密密鑰�����、或五元組AV中的加密密鑰和完整性保護密鑰生成非接入信令NAS 加密密鑰和NAS完整性保護密鑰����;第一信令f呆護模塊,用于采用所述第二生成模塊生成的所述NAS加密密 鑰和NAS完整性保護密鑰對發(fā)送給用戶身份模塊SIM卡用戶設(shè)備的信令進行 保護����。
16、 一種用戶身傷^莫塊SIM卡用戶設(shè)備���,其特征在于����,包括 第五接收模塊,用于接收切換命令消息或跟蹤區(qū)域接收消息�����; 第三生成模塊��,用于根據(jù)三元組鑒權(quán)矢量AV中的加密密鑰生成非接入信令NAS加密密鑰和NAS完整性保護密鑰���;第二信令保護模塊��,用于采用所述第三生成才莫塊生成的所述NAS加密密 鑰和NAS完整性保護密鑰對發(fā)送給所述MME的信令進行保護�。
17��、 一種移動管理實體MME,其特征在于�,包括第四生成模塊���,用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV 中的完整性保護密鑰和加密密鑰�����;或��,根據(jù)四元組AV中的根密鑰生成五元組 AV中的完整性保護密鑰和加密密鑰����,4艮據(jù)五元組AV中的完整性保護密鑰和 加密密鑰生成三元組AV中的加密密鑰;第三發(fā)送模塊�����,用于將攜帶有所述第四生成模塊生成的所述五元組AV中 的完整性保護密鑰和加密密鑰�、或三元組AV中的加密密鑰的消息發(fā)送給服務(wù) GPRS支持節(jié)點SGSN,使得所述SGSN根據(jù)所述MME生成的五元組AV中 的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給用戶身份 模塊SIM卡用戶設(shè)備的信令進行保護�。
18、 一種用戶身份模塊SIM卡用戶設(shè)備��,其特征在于�,包括 第六接收模塊,用于接收切換命令消息或跟蹤區(qū)域接收消息�; 第五生成模塊,用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV中的完整性保護密鑰和加密密鑰����;或,才艮據(jù)四元組AV中的才艮密鑰生成五元組 AV中的完整性保護密鑰和加密密鑰��,根據(jù)五元組AV中的完整性保護密鑰和 加密密鑰生成三元組AV中的加密密鑰;第三信令保護模塊�,用于根據(jù)第五生成模塊生成的五元組AV中的加密密 鑰和完整性保護密鑰、或三元組AV中的加密密鑰進行信令保護�。
全文摘要
本發(fā)明實施例涉及一種SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法和相關(guān)設(shè)備。所述方法包括接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備對應(yīng)的四元組鑒權(quán)矢量AV�����,所述四元組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng)����;向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒權(quán)請求消息中包括所述四元組AV中的隨機數(shù)����;接收所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成的用戶端挑戰(zhàn)響應(yīng);若接收到的所述四元組AV中的期望挑戰(zhàn)響應(yīng)和所述用戶端挑戰(zhàn)響應(yīng)一致�,則鑒權(quán)成功。使得SIM卡用戶設(shè)備加入到演進網(wǎng)絡(luò)中或者從其他網(wǎng)絡(luò)移動到演進網(wǎng)絡(luò)中或者可以從演進網(wǎng)絡(luò)中移出����,保證了SIM卡用戶能夠接入演進網(wǎng)絡(luò)。
文檔編號H04W12/04GK101600205SQ20091015220
公開日2009年12月9日 申請日期2009年7月10日 優(yōu)先權(quán)日2009年7月10日
發(fā)明者何承東, 朱志明, 胡偉華, 宇 銀 申請人:華為技術(shù)有限公司