在下一代移动网络中生成用于保护的密钥

摘要

基于在第一网络的认证过程中所使用的随机值，为将要在第二网络中实现的认证过程计算一组关联的密钥。

说明书

相关申请的交叉引用

本申请要求2006年10月20日提交的美国临时专利申请No.60/852,967的优先权。在此通过引用的方式纳入该在先提交的申请的主题。

技术领域

本发明涉及3GPP(第三代合作伙伴项目)长期演进/系统架构演进(LTE/SAE)领域。具体而言，本发明涉及在3GPP LTE/SAE中生成诸如加密密钥(CK)和完整性保护密钥(IK)这样的密钥。

背景技术

3GPP LTE/SAE要求单独的密钥用于AS(接入层)、NAS(非接入层)和U平面(用户平面)保护。

在UMTS(通用移动电信系统)中，基于“询问-响应(challenge-response)”策略，使用AKA(认证和密钥协商)协议提供了一种安全机制，其中，使用随机值RAND来获得加密密钥和完整性保护密钥。

发明内容

例如，在UE(用户设备)从2G/3G(第二代/第三代)通信系统切换到LTE的情况下，应当存在一种方法来导出用于AS、NAS和U平面的密钥。

换句话说，需要用于UE(用户设备)与MME(移动性管理元件)之间的NAS信令保护和用于UE与UPE之间的用户平面保护的单独的密钥。另外，还需要用于保护在eNB与UE之间使用的RRC信令的不同密钥。

根据本发明一方面，提供了一种方法，其包括：

基于在第一网络的认证过程中所使用的随机值，为将要在第二网络中实现的认证过程计算一组关联的密钥。

所述第一网络可以是2G/3G通信系统，并且所述第二网络可以是LTE。

关联的密钥可以是用于AS、NAS以及U平面的密钥。

根据本发明的实施例，将要在所述第二网络的认证过程中使用的一组关联的随机值可以基于在所述第一网络的认证过程中所使用的随机值来计算，并且所述一组关联的密钥可以基于所述一组关联的随机值来计算。

可以使用第二网络的网络实体的身份，基于所述随机值来计算所述一组关联的随机值，所述网络实体通过将要在所述第二网络中实现的认证过程而进行关联。

根据本发明的另一实施例，所述第一网络的认证过程的密钥是基于所述随机值来计算的，并且所述一组关联的密钥是使用第二网络的网络实体的身份基于所述密钥来计算的，所述网络实体通过将要在所述第二网络中实现的认证过程而进行关联。

所述第一网络的随机值可以在用户设备从第一网络向第二网络的切换过程期间获得。所述第一网络的随机值也可以在第二网络中实现的认证过程期间获得。

所述网络实体可以包括以下中的至少一个：基站、移动性管理元件，以及用户平面元件。

所述一组关联的密钥可以包括一组关联的加密密钥和一组关联的完整性保护密钥。

所述一组关联的密钥可以包括用于接入层保护的密钥、用于非接入层保护的密钥，以及用于用户平面保护的密钥。

图1示出了根据本发明的实施例说明用户设备和网络设备的示意性框图。

诸如MME(移动性管理元件)的网络设备30包括接收单元31和计算单元32。MME 30还可以包括传送单元33。接收单元31接收在诸如2G/3G通信系统的第一网络的认证过程中所使用的随机值，例如RAND。计算单元32基于该随机值，计算一组关联的密钥，例如用于AS、NAS和U平面的密钥，用于将要在第二网络(诸如LTE)中实现的认证过程。

接收单元31可以接收第一网络的认证过程的密钥，例如CK和IK。

接收单元31可以从归属用户服务器接收随机值和密钥。可选地，接收单元31可以从第一网络的其它网络元件接收随机值和密钥，并且传送单元33可以将密钥传送到归属用户服务器。接收单元31然后可以从归属用户服务器接收第一网络的认证过程的被修改的密钥，例如CK_HO和IK_HO，并且计算单元32可以基于被修改的密钥来计算一组关联的密钥。

计算单元32可以使用第二网络的网络实体的身份来计算一组关联的密钥，所述网络实体通过将要在第二网络中实现的认证过程而进行关联，其中，所述网络实体包括所述网络设备。

根据本发明的可选实施例，传送单元33将第二网络的网络实体的身份传送到归属用户服务器，而接收单元31从归属用户服务器接收用于将要在第二网络中实现的认证过程的一组关联的密钥。接收单元31可以从第一网络的其它网络元件预先接收随机值，并且传送单元33还可以将该随机值传送到归属用户服务器。传送单元33可以向网络实体传送所述网络实体的身份。

图1中所示的网络设备20(诸如SGSN)包括传送单元21，在用户设备10从第一网络向第二网络的切换过程期间，传送单元21将第一网络的认证过程中所使用的随机值传送到第二网络的网络设备(诸如MME 30)。传送单元21还可以将第一网络的认证过程的密钥传送到第二网络的网络设备。

图1中所示的用户设备(UE)10包括接收单元11和计算单元12，所述接收单元11接收第二网络的网络实体的身份，并且所述计算单元12利用网络实体的身份来计算用于将要在第二网络中实现的认证过程的一组关联的密钥。UE可以从MME 30接收身份。可以在向第二网络的初始接入期间和/或UE 10从第一网络向第二网络的切换过程期间接收所述身份。

图1中所示的诸如eNB或eRAN(演进的无线电接入网络)的网络设备50包括计算单元51，其使用第二网络的网络实体的身份来计算用于将要在第二网络中实现的认证过程的一组关联的密钥，所述网络实体通过将要在第二网络中实现的认证过程而进行关联，其中所述网络实体包括所述网络设备50。

最后，图1中所示的诸如HSS的网络设备40包括：接收第一网络的认证过程的密钥的接收单元41，基于所述密钥来计算被修改的密钥的计算单元42，以及将所述被修改的密钥传送到第二网络的网络元件(例如MME30)的传送单元43。所述密钥也可以通过接收单元41来从MME 30接收。

根据本发明的可选实施例，接收单元41接收第二网络的网络实体的身份以及在第一网络的认证过程中所使用的随机值，所述网络实体通过将要在第二网络中实现的认证过程而进行关联，计算单元42使用所述身份基于所述随机值来计算用于将要在第二网络中实现的认证过程的一组关联的密钥，并且传送单元43将所述一组关联的密钥传送到第二网络的网络元件(例如MME 30)。所述随机值和身份可以通过接收单元41从MME 30接收。

根据另一实施例，例如，一旦从MME 30的传送单元33向HSS 40传送了认证数据请求，HSS 40的传送单元43便将第一网络的认证过程的随机值和密钥传送到MME 30。

要注意，图1中所示的网络设备和终端以及用户设备可以具有起到例如SGSN、MME、eRAN、HSS和UE的作用的进一步的功能性。这里使用图1所示的功能块来描述与理解本发明的原理相关的网络设备和用户设备的功能。网络设备和用户设备的功能块的布置并不诠释为限制本发明，并且这些功能可以由一个块来实现或者被进一步拆分为子块。

为了下面将描述的本发明的目的，应当注意：

-有可能实现为软件代码部分并使用终端或网络设备之一处的处理器运行的方法步骤是独立于软件代码的，并且可以使用任何公知的或将来开发的编程语言来规定；

-有可能实现为终端或网络设备之一处的硬件组件的方法步骤和/或单元是独立于硬件的，并且可以使用任何公知的或将来开发的硬件技术或其任何组合来实现，举例来说，使用例如ASIC组件或DSP组件的诸如MOS、CMOS、BiCMOS、ECL、TTL等；

-总体而言，任何方法步骤都适于实现为软件或通过硬件来实现，而不改变本发明的构思；

-这些设备可以实现为单个设备，但是这并不排除它们按照遍及整个系统的分布式方式来实现，只要保留了设备的功能性。

本发明提供了不需要改变AKA协议的一种扩展。

根据本发明的实施例，也不需要对归属用户服务器进行改变。

附图说明

图1示出了根据本发明的实施例说明用户设备和网络设备的示意性框图；

图2示出了说明在初始接入期间根据本发明的密钥生成的信令图；以及

图3示出了说明在从2G/3G通信系统到LTE的切换过程期间的密钥分发/转换的信令图。

具体实施方式

为了为AS、NAS和U平面保护生成单独的密钥，根据解决方案(1)，使用更长的随机值RAND(也就是，比UMTS中使用的RAND长3倍)，其可以被分成RANDrrc，RANDnas和RANDupe。

RAND＝RANDrrc||RANDnas||RANDupe

然后，可以如下计算用于AS、NAS和U平面的单独的加密密钥和完整性保护密钥：

CKrrc＝f3(K，RANDrrc)

CKnas＝Mf3(K，RANDnas)

CKupe＝f3(K，RANDupe)

IKrrc＝f4(K，RANDrrc)

IKnas＝f4(K，RANDnas)

IKupe＝f4(K，RANDupe)

其中，CKrrc是用于AS的加密密钥，CKnas是用于NAS的加密密钥，而CKupe是用于U平面的加密密钥，IKrrc是用于AS的完整性保护密钥，IKnas是用于NAS的完整性保护密钥，而IKupe是用于U平面的完整性保护密钥。f3和f4是用于生成以上一组密钥的函数，并且可以被提前预定。以上公式中的K可以是加密密钥或完整性保护密钥本身，或者是预定参数。

然而，优选地，RAND的长度与UMTS中的相同。根据由解决方案(2)所给出的本发明的实施例，与不同的AS、NAS和U平面身份一起使用RAND来生成RANDrrc、RANDnas和RANDupe。

RANDrrc＝KDF(RAND，IDas)

RANDnas＝KDF(RAND，IDnas)

RANDupe＝KDF(RAND，IDupe)

例如，KDF可以是XOR(异或)函数，IDas可以是BS(基站)或eNB(演进的节点B)的身份，IDnas可以是MME(移动性管理元件)的身份，并且IDupe可以是UPE(用户平面元件)的身份。

然后使用RANDrrc、RANDnas和RANDupe来为AS或RRC(无线电资源控制)、NAS和U平面生成对应的CK和IK。

CKrrc＝f3(K，RANDrrc)

CKnas＝f3(K，RANDnas)

CKupe＝f3(K，RANDupe)

IKrrc＝f4(K，RANDrrc)

IKnas＝f4(K，RANDnas)

IKupe＝f4(K，RANDupe)

其中，CKrrc是用于AS或RRC的加密密钥，CKnas是用于NAS的加密密钥，而CKupe是用于U平面的加密密钥，IKrrc是用于AS的完整性保护密钥，IKnas是用于NAS的完整性保护密钥，而IKupe是用于U平面的完整性保护密钥。f3和f4是用于生成以上一组密钥的函数，并且可以被提前预定。以上公式中的K可以是加密密钥或完整性保护密钥本身，或者是预定参数。

根据由解决方案(3)所给出的本发明的可选实施例，CK和IK如同在UMTS中一样从K和RAND来生成，并且用于导出用于AS、NAS和U平面的CK和IK。

CKrrc＝f3(CK，IDas)

CKnas＝f3(CK，IDnas)

CKupe＝f3(CK，IDupe)

IKrrc＝f4(IK，IDas)

IKnas＝f4(IK，IDnas)

IKupe＝f4(IK，IDupe)

其中，CKrrc是用于AS或RRC的加密密钥，CKnas是用于NAS的加密密钥，而CKupe是用于U平面的加密密钥，IKrrc是用于AS的完整性保护密钥，IKnas是用于NAS的完整性保护密钥，而IKupe是用于U平面的完整性保护密钥。f3和f4是用于生成以上一组密钥的函数，并且可以被提前预定，IDas可以是BS或eNB的身份，IDnas可以是MME的身份，而IDupe可以是UPE的身份。

根据如上所述的解决方案(1)和(2)的进一步的可选方案，还可以通过如UMTS中所定义的函数f2来生成IK。

如稍后将描述的，CK和IK应当被保持在MME中，而不应当被传送给其它网络元件。

由于CK和IK是AKA认证协议(询问-响应)的产物，因此对于解决方案(1)来说，HSS(归属用户服务器)仅需要生成更长的RAND作为认证矢量的一部分，并且RAND将在MME处被分成RANDrrc、RANDnas和RANDupe。

对于解决方案(2)来说，需要密钥导出函数来生成RANDrrc、RANDnas和RANDupe，并且必须定义IDas、IDnas和IDupe。

图2示出了说明在初始接入期间根据本发明的密钥生成的信令图。

在向SAE/LTE系统的初始接入中，UE向SAE/LTE系统的MME发出初始接入请求(图2中的通信1)。在通信2中，MME向位于UE的归属网络中的数据库HLR(归属位置寄存器)或HSS发送认证数据请求，并在通信3中从HLR接收处于认证数据响应中的认证矢量(AV)和随机值RAND、加密密钥CK和完整性保护密钥IK、AUTN(用于challenge(AUTN)的认证符)和XRES(所期望的响应)。

在图2中的通信4中，MME经由eNB向UE发送认证&加密请求，该请求包括随机值RAND和MME的身份MMEid，以及AUTN。在图2的通信5中，UE利用认证&加密响应RES进行响应，其经由eNB被传送到MME。

在成功认证之后，MME和UE将使用经协商的CK、IK和当前使用的RAND作为顶部密钥(roof key)来创建如上所述的用于进行保护的第二级别密钥，图2中的块6b和6a中的CKnas和IKnas。

在图2的通信7中，MME向UPE发送IP情境创建请求，该请求在通信8中被确认，并且在通信9中，MME向UE发送包括UPE的身份UPEid的L3注册。然后，在块10a和10b中，UE和MME使用经协商的CK、IK以及当前使用的RAND作为顶部密钥来创建如上所述的用于进行保护的第二级别密钥，CKupe和IKupe。

同样的原理应用于在UE和MME中的RRC密钥生成。UE和MME使用eNB的身份eNBid来导出如上所述的RRC密钥CKrrc和IKrrc。密钥导出函数为UMTS函数f3和f4。

特别地，参照如上所述的解决方案(2)，UE和MME应当能够在每个成功认证之后通过使用现有的UMTS函数f3和f4来导出CKnas、IKnas、CKup、IKup、CKrrc、IKrrc。

RANDrrc＝KDF(RAND，IDas)

RANDnas＝KDF(RAND，IDnas)

RANDupe＝KDF(RAND，IDupe)

由此：

KDF＝RAND XOR IDs

ID是MME id(在NAS保护中所使用的)、UPE id(在UP保护中所使用的)，或者eNB id(在RRC保护中所使用的)；

CKrrc＝f3(K，RANDrrc)

CKnas＝f3(K，RANDnas)

CKupe＝f3(K，RANDupe)

IKrrc＝f4(K，RANDrrc)

IKnas＝f4(K，RANDnas)

IKupe＝f4(K，RANDupe)

由此，K＝CK/IK

替代于使用f3/f4的是：重新使用在TS33.220附件B中所定义的KDF，也就是，SAE_keys＝KDF(Ks，“静态串”，RAND，IMPI，SAE_ids)。Ks通过连接CK和IK来生成。IMPI(IP多媒体私有身份)可以从IMSI(国际移动用户身份)获得，如TS 23.003中所指定的。SAE_ids可以是例如MME_id、eNB id和UPE_id或者MME、eNB和UPE的名称。SAE_keys于是将表示MME_key、UPE_key、RRC_key。“静态串(staticstring)”可以是“LTE_CK”和“LTE_IK”以便生成CK和IK。

在2G/3G系统与SAE/LTE系统之间的切换过程中，在SGSN(2G/3G)与MME之间实现安全数据(未使用的认证矢量和/或当前的安全情境数据，例如所使用的CK、IK、RAND等)的分发。下面的情况区别在于它们之间的安全数据的分发。

-情况1，RAT(无线电接入技术)间的切换(利用单独的3GPP锚)：LTE到2G/3G：

UMTS和GSM认证矢量可以在MME与2G/3G SGSN之间分发。注意到，最初所有的认证矢量(对于UMTS/SAE用户为五元组(quintets)，而对于GSM用户为三元组(triplets))均由HLR/AuC(认证中心)来提供。当前的安全情境数据可以在MME与2G/3G SGSN之间分发。MME应当能够进行CK，IK->Kc以及XRES->SES的转换。

-情况2，RAT间的切换(利用单独的3GPP锚)：2G/3G->LTE：

在图3中说明了这种情况的高级信令。

如图3中通信1a和1b所示，在UE、2G/3G接入节点、2G/3G SGSN和3GPP应用之间建立IP(因特网协议)承载服务。在图3的通信2中，从2G/3G接入节点向2G/3G SGSN发出切换请求。

随后，在切换准备时间期间，2G/3G SGSN将安全数据分发到MME(图3中的通信3)。安全数据包括当前使用的CK、IK和RAND，以及未使用的AV。

在从eNB接收到确认(图3中的通信4)之后，MME生成用于NAS、UPE(图3中的块5a和5b)和RRC(图3中未示出)的三个单独的密钥。MME还利用例如切换命令将MME id、UPE id递送到UE(图3中的通信6)。因而，UE也能够生成用于NAS、UPE的相同的密钥(图3中的块7a，7b)。

除了上述情况之外，在PLMN(公共陆地移动网络)中从MME向MME切换的时候，安全数据可以在这种情况下分发而不发生改变。

根据本发明，当UE从2G/3G通信系统切换到LTE的时候，根据由解决方案(a)所表示的本发明的实施例，在图3的通信3中，2G/3G SGSN(服务GPRS(通用分组无线业务)支持节点)向MME发送2G/3G通信系统中使用的当前RAND连同从2G/3G通信系统中的当前RAND所导出的CK/IK。然后如上所述，MME使用f3和f4利用AS、NAS和U平面的身份来生成不同的密钥组。公式中的K将会是CK或IK。

通过图3中的通信6所示的切换命令，MME和UPE的身份可以被发送到UE。UE也可以生成用于NAS和UPE的对应的CK/IK组。同样的原理应用于AS，但是MME不需要向BS、RRC或eNB发送AS ID。可以定义新的函数fx和fy来生成用于RRC、MME和UPE的密钥组。如果重新使用f3和f4，则UE应当区别出何时使用它们来生成CK/IK，以及何时使用它们来生成用于RRC、MME和UPE的密钥组。

根据由解决方案(b)所表示的可选实施例，相比于解决方案(a)，存在若干更多的步骤来导出从SGSN接收的CK/IK的变体。从SGSN导出的CK/IK将从MME发送到UE的HSS，并且将被用为RAND来通过f3和f4导出一对新的CK和IK-CK_HO和IK_HO，也就是，CK_HO＝f3(K，CK)以及IK_HO＝f4(K，IK)。这些CK_HO和IK_HO将在MME、UE和AS实体(即，BS、RRC或eNB)中被用于生成用于AS、NAS和UPE的CK/IK组。对应的CK_HO和IK_HO也可以在UE/USIM(UMTS用户身份模块)和在AS实体中生成。

根据解决方案(c)所表示的进一步的可选实施例，当UE从2G/3G通信系统向LTE切换时，与解决方案(a)相似，在图3的通信3中，2G/3GSGSN向MME发送当前使用的RAND。然后，MME将该RAND连同MME(NAS)、AS和UPE(U平面)的身份发送到UE的HSS，并请求认证矢量。HSS使用该RAND以及AS、NAS和U平面的身份来生成新的认证矢量(如上所述的CKnas IKnas，CKrrc，IKrrc等)，并将它们发送回MME。公式中的K于是为HSS和USIM中所存储的永久的K。MME和UPE的身份可以通过图3中的通信6所示的切换命令而发送到UE。UE也可以生成用于NAS和UPE的对应的CK/IK组。同样的原理应用于AS，但是MME并不需要向eNB发送AS ID。

根据解决方案(c)，用于在2G/3G通信系统中生成CK/IK的随机值RAND需要从MME发送到HSS。根据解决方案(a)到(c)，至少MME和UPE的身份需要通过切换命令而发送到UE。f3和f4用于生成LTE中使用的密钥组。

对于解决方案(a)，MME和UE需要实现f3和f4或者称为fx和fy的类似函数。对于解决方案(b)，存在更多的步骤来生成CK_HO和IK_HO。对于解决方案(c)，需要修改HSS来生成更长的认证矢量。

根据解决方案(a)，不改变HSS。然而，解决方案(c)更加安全。在2G/3G中公开CK/IK将不会影响在LTE中所使用的CK/IK组。解决方案(b)也是安全的，因为CK/IK将不会导致公开在LTE中所使用的CK/IK组。

应当理解，以上描述是对本发明的说明，而不应诠释为限制本发明。在不背离所附权利要求书所限定的本发明的精神和范围的情况下，本领域技术人员容易想到各种修改和应用。