用戶設備轉移時密鑰身份標識符的生成方法和生成系統的制作方法

專利名稱：用戶設備轉移時密鑰身份標識符的生成方法和生成系統的制作方法
技術領域：
本發明涉及移動通信領域，具體而言，涉及一種用戶設備轉移時密鑰身 ^^標識符的生成方法和生成系統。
背景技術：
在移動通信系統中，當UE (用戶設備)在不同接入系統相互轉移時，源 服務網絡(Source Service Network)的安全參數需要映射為目標網絡(Target Service network )所能識別并能使用的安全參數，才能使轉移成功并開展業務。 這些安全參數包括密鑰、密鑰標識符、計數器、安全算法等。
3GPP演進的分組系統(EPS ， Evolved Packet System)由演進的陸地無 線接入網(EUTRAN, Evolved UMTS Terrestrial Radio Access Network)和EPS 核心網(EPC， Evolved Packet Core)組成。
其中，EPC包含移動管理單元(MME， mobility management entity)，移 動管理單元負責移動性的管理、非接入層信令的處理、以及用戶安全模式的 管理等控制面相關工作。其中，MME保存EUTRAN的根密鑰KASME (Key Access Security Management Entity,接入安全管理實體密鑰)，并且使用KASME 和上行NAS SQN (非接入層序列號)生成供eNB (evolved Node B,演進的 基站)使用的接入層的根密鑰KeNB (Key eNB,演進的基站密鑰)。接入安 全管理實體密鑰集識別符(KASME Key Set identifier for Access Security Management Entity) KSIASMe是密鑰KASME的身份識別符(或者叫密鑰序列號、 身份標識符)，長度為3個比特位，用于網絡與用戶設備(UE， User Equipment)
之間對密鑰的識別和檢索。當UE和網絡建立連接時，可以通過KSlASME通知
對方使用先前已經存儲指定密鑰，從而建立安全上下文，避免每次連接都要
進行認證和密鑰協商(AKA， Authentication and Key Association)，節省網絡 資源，當密鑰由于生存期結束或其它原因需要刪除時，UE將KSIasme設為"111"。
其中，在演進的UTRAN中，基站設備為演進的基站(eNB， evolved Node-B),主要負責無線通信、無線通信管理、和移動性上下文的管理。
3GPP UMTS系統中負責分組域移動性上下文的管理、和/或用戶安全模 式的管理的設備是SGSN( Serving GPRS Support Node,服務GPRS支持節點)。
通信系統)無線4妻入網(UTRAN ， Universal Terrestrial Radio Access Network) 部分的認證和安全管理，并保存密鑰IK (Integrity Key,完整性密鑰)，CK (Ciphering Key,加密密鑰)。CK/IK的密鑰身份識別符(或者叫密鑰身份 標識符)為KSI (Key Set identifier,密鑰集識別符)，其作用和使用方法類 似于EPS中的KSIasme，都是用于UE和網絡之間對密鑰的識別和檢索，長度 也為3個比特位。當KSI等于"lll"時，表示沒有可以使用的密鑰，KSI無效。 當UE和SGSN需要協商建立UMTS安全連接時，如果UE已經儲存有可以 使用的密鑰時，UE將儲存的KSI發給SGSN， SGSN驗證存儲的KSI是否與 UE存儲的KSI相同，如果一致，則采用存儲的密鑰組協商建立安全上下文， 并將KSI發回UE確認其使用的密鑰。如果UE沒有存儲有用的密鑰，則將 KSI置為"lll",然后發給SGSN， SGSN檢查到KSI為"lll"后，向HLR (歸 屬位置寄存器)/HSS (歸屬用戶服務器)發送認證請求消息，UE和網絡重 新作AKA，產生新的密鑰組。
GPRS (通用分組無線業務)/EDGE (改進數據率GSM服務)系統負責 分組域移動性上下文的管理、和/或用戶安全^f莫式的管理的設備也是SGSN, SGSN負責GPRS/EDGE無線接入網(GERAN, GPRS/EDGE Radio Access Network)部分的認證和安全管理，并存有GERAN加密密鑰Kc (Ciphering key) ， Kc的身份識別符(或者叫密鑰身份標識符)為CKSN (Ciphering key sequence Number ，加密密鑰序列號)，作用和使用方法同KSI —樣。
當UE從EUTRAN轉移(mobility )到UTRAN時，MME將用KASME為 目標網絡生成密鑰CK、 IK，并發給SGSN， UE和SGSN使用CK、 IK，并 協商相應安全算法，建立了 UTRAN安全上下文，其中轉移包括RRC處于激 活(Active)狀態的轉移，和UE處于空閑(Idle)狀態的轉移兩種類型，激活狀態下的轉移包括切換等，空閑狀態下的轉移包括路由區更新、附著請求等。
當UE從EUTRAN轉移到GERAN時，MME用KASME產生CK, IK (同 轉移到UMTS時，密鑰產生方法一樣)，然后將IK、 CK發給SGSN。 SGSN 4吏用IK、 CK生成GERAN密鑰Kc。
在現有技術中，無論是KSlASME、 KSI還是CKSN，都是在認證過程中由 網絡側生成，然后通過認證請求發給UE。然而在EUTRAN到UTRAN或 GERAN轉移過程中，雖然MME為目標網絡生成了 UTRAN或GERAN所需 的IK、 CK,但是沒有為這對密鑰生成相應的身份識別符，造成一旦轉移結束 后，UE和SGSN將無法檢索到轉移時生成的密鑰，也無法重新使用這對密鑰。 當UE和網絡要重新建立RRC (Radio Resource Control,無線資源控制)或 其它連接時，由于無法使用這些存儲的密鑰，不得不先進行AKA，重新產生 新的密鑰，然后才建立無線連接。這無疑會增加了網絡和UE的信令開銷， 推遲了 UE與網絡的正常通信時間，造成用戶使用滿意度變差。

發明內容
本發明要解決的技術問題是提供用戶設備轉移時密鑰身份標識符的生成 方法和生成系統，能夠解決現有技術中用戶設備從EUTRAN轉移到UTRAN 或GERAN后，轉移過程中產生的由KASME映射過來的密鑰無身份標識符的 問題。
為了解決上述問題，本發明提供了一種用戶設備轉移時密鑰身份標識符 的生成方法，包i舌
當用戶設備從演進的陸地無線接入網轉移到目標系統時，移動管理單元 將接入安全管理實體密鑰的身份標識符發給服務GPRS支持節點，服務GPRS 支持節點和用戶設備均將接入安全管理實體密鑰的身份標識符映射為目標系 統的密鑰身份識別符。
進一步的，所述映射的方式包括
直接令目標系統的密鑰身份識別符等于接入安全管理實體密鑰的身份標識符，或令目標系統的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符與一用戶設備與網絡約定好的常數之和。
進一步的，所述的生成方法還包括
如果轉移前用戶設備和服務GPRS支持節點已經協商好密鑰，并且目標 系統的密鑰身份識別符與轉移過程中由接入安全管理實體密鑰的身份標識符 映射得到的目標系統的密鑰身份識別符一樣，則刪除轉移前的密鑰。
進一步的，當用戶設備從演進的陸地無線接入網空閑轉移到陸地無線4妄 入網時，方法具體包括
Al、移動管理單元收到上下文請求或鑒別請求消息后，使用接入安全管 理實體密鑰生成完整性密鑰、加密密鑰，通過上下文響應或鑒別響應消息將 接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整 性密鑰、加密密鑰一起發給服務GPRS支持節點；
A2、服務GPRS支持節點收到移動管理單元發過來的接入安全管理實體 密鑰的身份標識符和完整性密鑰、加密密鑰后，將接入安全管理實體密鑰的 身^f分標識符映射為密鑰集識別符，將該密鑰集識別符和完整性密鑰、加密密 鑰一起保存；服務GPRS支持節點發送指示密鑰集識別符映射完成的消息給 用戶設備；
A3、用戶設備將接入安全管理實體密鑰的身份標識符映射為密鑰集識別 符，將密鑰集識別符和由接入安全管理實體密鑰生成的完整性密鑰、加密密 鑰一起保存。
進一步的，步驟A1前還包括
A0、用戶設備決定空閑轉移到陸地無線接入網，發送空閑轉移到陸地無 線接入網的請求消息給服務GPRS支持節點，請求消息為路由區更新請求或 附著請求；服務GPRS支持節點收到用戶設備發過來的空閑轉移到陸地無線 接入網的請求消息后，向移動管理單元發相應的請求消息；
相應的，步驟A2中，服務GPRS支持節點所發送的指示密鑰集識別符映 射完成的消息為路由區更新接受或附著接受消息。
進一步的，步驟A3以發生在用戶設備決定空閑轉移到陸地無線接入網后、用戶設備相應發送路由區更新完成或附著完成消息給服務GPRS支持節
點之前的任一步中。
進一步的，當用戶設備從演進的陸地無線接入網切換到陸地無線接入網
時，方法具體包括
al、移動管理單元收到切換請求消息后，使用接入安全管理實體密鑰生 成完整性密鑰、加密密鑰，通過轉發重定向請求消息將接入安全管理實體密 鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一 起發給服務GPRS支持節點；a2、服務GPRS支持節點收到移動管理單元發來的密鑰集識別符和完整 性密鑰、加密密鑰后，將接入安全管理實體密鑰的身份標識符映射為密鑰集 識別符，將該密鑰集識別符和完整性密鑰、加密密鑰一起保存；服務GPRS 支持節點發送指示密鑰集識別符映射完成的轉發重定向響應消息給移動管理 單元；移動管理單元發送切換命令指示用戶設備切換；
a3、用戶設備收到網絡發過來切換命令后將接入安全管理實體密鑰的身 份標識符映射為密鑰集識別符，將密鑰集識別符和由接入安全管理實體密鑰 生成的完整性密鑰、加密密鑰一起保存。
進一步的，當用戶設備從演進的陸地無線接入網空閑轉移到通用分組無 線業務/改進數據率GSM服務無線接入網時，方法具體包括
Bl、移動管理單元收到上下文請求或者或鑒別請求消息后，使用接入安 全管理實體密鑰生成完整性密鑰、加密密鑰，通過上下文響應或鑒別響應將 接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整 性密鑰、加密密鑰一起發給服務GPRS支持節點；
B2、服務GPRS支持節點收到移動管理單元發來的接入安全管理實體密 鑰的身份標識符和完整性密鑰、加密密鑰后，使用完整性密鑰、加密密鑰生 成通用分組無線業務/改進數據率GSM服務無線接入網加密密鑰，將接入安 全管理實體密鑰的身份標識符映射為通用分組無線業務/改進數據率GSM服 務無線接入網加密密鑰的身份識別符，將通用分組無線業務/改進數據率GSM 服務無線接入網加密密鑰的身份識別符和所述通用分組無線業務/改進數據率GSM服務無線接入網加密密鑰一起保存；服務GPRS支持節點發送指示通 用分組無線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符映 射完成的消息給用戶設備；
B3、用戶設備將接入安全管理實體密鑰的身份標識符映射為通用分組無 線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符，將通用分 組無線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符和由接 入安全管理實體密鑰生成的通用分組無線業務/改進數據率GSM服務無線接 入網加密密鑰一起保存。
進一步的，步驟B1前還包括
B0、用戶設備決定空閑轉移到通用分組無線業務/改進數椐率GSM服務 無線接入網，發送空閑轉移到陸地無線接入網的請求消息給服務GPRS支持 節點，請求消息為路由區更新請求或附著請求；服務GPRS支持節點收到用 戶設備發過來的空閑轉移到陸地無線接入網的請求消息后，向移動管理單元 發相應的請求消息；
相應的，步驟B2中，服務GPRS支持節點所發送的指示通用分組無線業 務/改進數據率GSM服務無線接入網加密密鑰的身份識別符映射完成的消息 為路由區更新接受或附著接受消息。
進一步的，步驟B3發生在用戶設備決定空閑轉移到通用分組無線業務/ 改進數據率GSM服務無線接入網后、用戶設備發送切換消息給網絡側之前的 任一步中。
進一步的，當用戶設備從演進的陸地無線接入網切換到CERAN時，方 法具體包括
bl、移動管理單元收到切換請求消息后，使用接入安全管理實體密鑰生 成完整性密鑰、加密密鑰，通過轉發重定向請求消息將接入安全管理實體密 鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一 起發給服務GPRS支持節點；
b2、服務GPRS支持節點收到移動管理單元發過來的密鑰集識別符和完 整性密鑰、加密密鑰后，使用完整性密鑰、加密密鑰生成通用分組無線業務/200810100472.9
說明書第7/21頁
改進數據率GSM服務無線接入網加密密鑰，將接入安全管理實體密鑰的身份
標識符的值賦給通用分組無線業務/改進數據率GSM服務無線接入網加密密 鑰的身份識別符，即加密密鑰序列號，將通用分組無線業務/改進數據率GSM 服務無線接入網加密密鑰的身份識別符和所述通用分組無線業務/改進數據 率GSM服務無線接入網加密密鑰一起保存；服務GPRS支持節點發送指示通 用分組無線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符映 射完成的消息給移動管理單元；移動管理單元發送切換命令指示用戶設備切 換；
b3、用戶設備收到網絡發過來切換命令后將接入安全管理實體密鑰的身 份標識符映射為通用分組無線業務/改進數據率GSM服務無線接入網加密密 鑰的身份識別符，將通用分組無線業務/改進數據率GSM服務無線接入網加 密密鑰的身〗分識別符，和由接入安全管理實體密鑰生成的通用分組無線業務/ 改進數據率GSM服務無線接入網加密密鑰一起保存。
本發明還提供了 一種用戶設備轉移時密鑰身份標識符的生成系統，包括 用戶設備、移動管理單元和服務GPRS支持節點；
移動管理單元用于當用戶設備從演進的陸地無線接入網轉移到目標系統 時，將接入安全管理實體密鑰的身份標識符發給服務GPRS支持節點；
服務GPRS支持節點和用戶設備均用于將接入安全管理實體密鑰的身份 標識符映射為目標系統的密鑰身份識別符。
進一步的，所述服務GPRS支持節點/用戶設備進行映射的方式包括
直接令目標系統的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符，或令目標系統的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符與一用戶設備與網絡約定好的常數之和。
進一步的，用戶設備和服務GPRS支持節點還用于當用戶設備轉移前和 服務GPRS支持節點已經協商好密鑰，并且目標系統的密鑰身份識別符與轉 移過程中接入安全管理實體密鑰的身份標識符轉化過來對應的目標系統的密 鑰身份識別符的值一樣時，刪除轉移前的密鑰。進一步的，所述用戶設備包括消息交互單元、密鑰標識符映射單元和密
鑰及其標識符存儲單元；
消息交互單元用于接收網絡側發來的消息；
密鑰標識符映射單元用于當消息交互單元收到切換命令、路由區更新接 受或附著接受消息時，將接入安全管理實體密鑰的身份標識符映射為目標系 統的密鑰身份識別符；
密鑰及其標識符存儲單元，用于將目標系統的密鑰和所述目標系統的密 鑰身份標識符一起保存；
所述移動管理單元包括請求消息接收單元和安全參數處理單元；
所述請求消息接收單元用于接收其他網絡實體發送的轉移請求消息，并 指示安全參數處理單元處理；
所述安全參數處理單元用于當接收到所述請求消息接收單元的指示后， 使用接入安全管理實體密鑰產生加密密鑰、完整性密鑰，將接入安全管理實 體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密 鑰一起發給服務GPRS支持節點；
所述服務GPRS支持節點包括安全參數處理單元，消息交互單元、密鑰 標識符映射單元、密鑰生成單元；
所述安全參數接收單元用于接收移動管理單元發來的密鑰及接入安全管 理實體密鑰的身份標識符，將接入安全管理實體密鑰的身份標識符發送給密 鑰標識符映射單元；根據移動管理單元發來的密鑰得到目標系統的密鑰并發 送給密鑰及其標識符存儲單元；
所迷密鑰標識符映射單元用于當收到接入安全管理實體密鑰的身份標識 符時，將接入安全管理實體密鑰的身份標識符映射為目標系統的密鑰身份標 識符；
所述密鑰及其標識符存儲單元，用于將安全參數接收單元發送的目標系 統的密鑰和密鑰標識符映射單元發送的目標系統的密鑰身份標識符一起保 存，保存后通知消息交互單元映射完成；
所述消息交互單元用于在收到映射完成的消息后發送網絡側密鑰標識符已經映射成功的通知。
進一步的，所述用戶設備和服務GPRS支持節點中的密鑰標識符映射單 元將接入安全管理實體密鑰的身份標識符映射為目標系統的密鑰身份標識符 是指，當轉移的目標系統為陸地無線接入網時，將接入安全管理實體密鑰的
身份標識符映射為密鑰集識別符；當轉移的目標系統為通用分組無線業務/改 進數據率GSM服務無線接入網時，將接入安全管理實體密鑰的身份標識符映 射為通用分組無線業務/改進數據率GSM服務無線接入網加密密鑰的身份識 別符；
所述服務GPRS支持節點中的安全參數接收單元根據移動管理單元發來 的密鑰得到目標系統的密鑰并發送^^密鑰及其標識符存儲單元是指，轉移到 的目標系統如果為陸地無線接入網，則將移動管理單元發送來的密鑰發送給 密鑰及其標識符存儲單元；如果目標系統為通用分組無線業務/改進數據率 GSM服務無線接入網，則使用移動管理單元發送來的密鑰生成通用分組無線 業務/改進數據率GSM服務無線接入網加密密鑰后發送給密鑰及其標識符存 儲單元。
進一步的，用戶設備中的密鑰標識符映射單元還用于當用戶設備決定空 閑轉移時將接入安全管理實體密鑰的身份標識符映射為目標系統的密鑰身份 識別符。
進一步的，所述用戶設備中的消息交互單元還用于在決定空閑轉移時發 送路由區更新請求或附著請求消息給服務GPRS支持節點；
所述服務GPRS支持節點中的消息交互單元還用于當收到路由區更新請 求或附著請求消息時發送相應的上下文請求或鑒別請求消息給移動管理單 元；
所述移動管理單元中的請求消息接收單元當轉移請求消息為上下文請求 或鑒別請求消息時，發送第一處理指示給安全參數處理單元；當轉移請求消 息為切換請求消息，發送第二處理指示給安全參數處理單元；
所述移動管理單元中的安全參數處理單元當所收到的指示為第 一處理指 示時，通過上下文響應或鑒別響應消息將接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一起發給服務
GPRS支持節點；當所收到的指示為第二處理指示時，通過轉發重定向請求 消息將所述接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰 生成的完整性密鑰、加密密鑰一起發給服務GPRS支持節點。
進一步的，服務GPRS支持節點中的消息交互單元發送網絡側密鑰標識 符已經映射成功的通知是指
如果所收到的移動管理單元發送密鑰及其標識符的消息為上下文響應或 鑒別響應消息，則相應發送路由區更新接受或附著接受消息給用戶設備來指 示網絡側密鑰標識符已經映射成功；如果所收到的移動管理單元發送密鑰及 其標識符的消息為轉發重定向請求消息，則發送轉發重定向響應消息給移動 管理單元來指示網絡側密鑰標識符已經映射成功。
本發明的技術方案能夠在轉移過程中為密鑰提供身份標識符，重新使用 由KASME轉換過來的密鑰，解決了 UE從EUTRAN轉移到其他系統時，由KASME 生成的密鑰無身份標識符而導致無法被重新使用的問題，減少了用戶設備和 網絡的交互信令。


此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部 分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的 不當限定。在附圖中
圖1為本發明所述的UE從EUTRAN轉移到UTRAN時密鑰集標識符生 成方法具體實現示意圖。
圖2為本發明所述的UE從EUTRAN轉移到GERAN時密鑰集標識符生 成方法具體實現示意圖。
圖3為本發明所述方法的應用實例一的實現信令流程圖。
圖4為本發明所述方法的應用實例二的實現信令流程圖。
圖5為本發明所述方法的應用實例三的實現信令流程圖。圖6為本發明所述方法的應用實例四的實現流程圖。
圖7為本發明所述方法的應用實例五的實現信令流程圖。
圖8為本發明所述方法的應用實例六的實現信令流程圖。
具體實施例方式
下面將結合附圖及實施例對本發明的技術方案進行更詳細的說明。
本發明提供的UE轉移時密鑰身份標識符的生成方法包括
當用戶設備從演進的陸地無線接入網轉移到目標系統時，移動管理單元 將接入安全管理實體密鑰的身份標識符發給服務GPRS支持節點，服務GPRS 支持節點和用戶設備均將KSUsME映射為目標系統的密鑰身份識別符。
其中，所述映射的方式可以包括直接令目標系統的密鑰身份識別符等 于KSIasme，或令目標系統的密鑰身份識別符等于KSIasme與一常數之和；
所述服務GPRS支持節點與用戶設備約定映射方式及常數。
其中，還包括UE和SGSN將映射得到的目標系統的密鑰身份識別符和 由接入安全管理實體密鑰產生的目標系統的密鑰一起保存。
其中，KSUsME與常數之和不能為"111",如果正好為111時，可按照 UE與SGSN的約定進行改變，比如置為下一個值"000",也可以是其它值。
其中，如果轉移前UE和SGSN已經協商好密鑰，并且所保存的目標系 統的密鑰身份識別符與轉移過程中由KSIasme映射得到的目標系統的密鑰身 份識別符一樣，則刪除轉移前保存的密鑰。
其中，UE從EUTRAN轉移到其他無線接入系統是指UE轉移到UTRAN 系統或GERAN系統；轉移包括空閑轉移和切換兩種。
當UE從EUTRAN空閑轉移到UTRAN時，所述生成方法如圖1所示， 具體包括
Al、 MME收到上下文請求或鑒別請求消息后，使用Kasme生成IK、 CK, 通過上下文響應或鑒別響應消息將KSIasme和由Kasme生成的DC、 CK 一起發 給SGSN;A2、 SGSN收到MME發過來的KSlASME和IK、 CK后，將KSIasme映射 為KSI，并將該KSI和IK、 CK 一起保存；SGSN發送指示KSI映射完成的消 息給UE;
A3、UE將KSTASME映射為KSI,即將KSlASME的值賦給KST:KSI-KSlASME， 并將KSI和由KASME生成的IK 、 CK 一起保存。
進一步，步驟A1前還包括
A0 、 UE決定空閑轉移到UTRAN，發送空閑轉移到UTRAN的請求消息 給SGSN，請求消息為路由區更新請求或附著請求；SGSN收到UE發過來的 空閑轉移到UTRAN的請求消息后，向MME發相應的請求消息；
進一步，相應的，步驟A2中，SGSN所發送的指示KSI映射完成的消息 為路由區更新接受或附著接受消息。
進一步的，步驟A3可以發生在UE決定空閑轉移到UTRAN后、UE相 應發送路由區更新完成或附著完成消息給SGSN之前的任一步中。
當UE從EUTRAN切換到UTRAN時，所述生成方法具體包括 al、 MME收到切換請求消息后，使用Kasme生成IK、 CK,通過轉發重 定向請求消息將KSlASME和由Kasme生成的IK、 CK一起發給SGSN;
a2、 SGSN收到MME發過來的KSIasme和IK、 CK后，將KSIasme映射 為KSI,將該KSI和IK、 CK一起保存；SGSN發送指示KSI映射完成的轉發 重定向響應消息給MME; MME發送切換命令指示UE切換；
a3 、 UE收到網絡發過來切換命令后將KSIasme映射為KST，將KSI和由 Kasme生成的IK、 CK一起保存。
上述密鑰集識別符生成方法因為采用EUTRAN網絡中的KSIasme的值映 射為的UTRAN網絡的KSI的值，同時保證映射的KSI與原先存儲的密鑰序 列號不出現重碼。解決了現有技術中在UE從EUTRAN轉移到UTRAN時， 由于映射過來的IK、 CK無身份標識符而無法重新被使用的問題。
當UE從EUTRAN空閑轉移到GERAN時，所述生成方法如圖2所示， 具體包括Bl、 MME收到上下文請求或者或鑒別請求消息后，使用Kasme生成IK、 CK，通過上下文響應或鑒別響應將KSUsME和由Kasme生成的IK、 CK 一起 發給SGSN;
B2、 SGSN收到MME發過來的KSTasme和TK、 CK后，使用IK、 CK生 成Kc,將KSIasme映射為CKSN,將CKSN和由IK、 CK生成的Kc 一起保 存；SGSN發送指示CKSN映射完成的消息給UE;
B3、 UE將KSIasme映射為CKSN，將CKSN和由KASME生成的Kc 一起 保存。
進一步，步驟B1前還可以包括
B0、 l正決定空閑轉移到GERAN，發送空閑轉移到UTRAN的請求消息 給SGSN,請求消息為路由區更新請求或附著請求；SGSN收到UE發過來的 空閑轉移到UTRAN的請求消息后，向MME發相應的請求消息；
相應的，步驟B2中，SGSN所發送的指示CKSN映射完成的消息為路由 區更新接受或附著接受消息。
進一步的，步驟B3可以發生在UE決定空閑轉移到GERAN后、UE發 送切換消息給網絡側之前的任一步中。
當UE從EUTRAN切換到CERAN時，所述生成方法具體包括
bl、 MME收到切換請求消息后，使用Kasme生成IK、 CK，通過轉發重 定向請求消息將KSIasme和由Kasme生成的IK、 CK 一起發給SGSN;
b2、 SGSN收到MME發過來的KSI和IK、 CK后，使用IK、 CK生成 Kc,將KSIasme映射為CKSN,將CKSN和由IK、 CK生成的Kc 一起保存； SGSN發送指示CKSN映射完成的消息給MME; MME發送切換命令指示UE 切換；
b3 、 UE收到網絡發過來切換命令后將KSIasme映射為CKSN,將CKSN 和由Kasme生成的Kc 一起保存。
上述密鑰集識別符生成方法和系統因為采用KSIasme的值映射為CKSN 的值，同時保證CKSN與原先存儲的密鑰序列號不出現重碼。解決了現有技 術中在UE從EUTRAN轉移到GERAN,由于映射過來的Kc無身份標識符而無法重新^皮-使用的問題。
本發明提供的UE轉移時密鑰身份標識符的生成系統包括UE、 MME 和SGSN;
所述MME用于當用戶設備從演進的陸地無線接入網轉移到目標系統時， 將KSlASME發給SGSN;
SGSN和UE均用于將KSIasme映射為目標系統的密鑰身份識別符； 其中，所述SGSN/UE進行映射的方式包括直接令目標系統的密鑰身份
識別符等于KSIasme,或令目標系統的密鑰身份識別符等于KSIasme與一常數
之和；
所述服務GPRS支持節點與用戶設備約定映射方式及常數。
其中，SGSN和UE還用于將映射得到的目標系統的密鑰身份識別符和由 kasme產生的目標系統的密鑰一起保存。
其中，KSUsME與常數之和不能為"111"，如果正好為111時，可按照 UE與SGSN的約定進行改變，比如置為下一個值"000",也可以是其它值。
UE和SGSN還用于當UE轉移前和SGSN已經協商好密鑰，并且所保存 的目標系統的密鑰身份識別符與轉移過程中KSIasme轉化過來對應的目標系 統的密鑰身份識別符的值一樣時，刪除轉移前保存的密鑰。
其中，UE從EUTRAN轉移到其他無線接入系統是指UE轉移到UTRAN 系統或GERAN系統；轉移包括空閑轉移和切換兩種。
其中，所述UE包括消息交互單元、密鑰標識符映射單元和密鑰及其標 識符存儲單元；
消息交互單元用于接收網絡側發來的消息；
密鑰標識符映射單元用于當消息交互單元收到切換命令、路由區更新接 受或附著接受消息時，將KSIasme映射為目標系統的密鑰身份識別符；當轉 移的目標系統為UTRAN時，將KSIasme映射為KSI;當轉移的目標系統為 GERAN時，將KSIasme映射為CKSN;密鑰及其標識符存儲單元，用于將目標系統的密鑰和所述目標系統的密 鑰身份標識符一起保存。
所述MME包括請求消息接收單元和安全參數處理單元；
所述請求消息接收單元用于接收其他網絡實體發送的轉移請求消息，并 指示安全參數處理單元處理；如果該轉移請求消息為上下文請求或鑒別請求 消息，則發送第一處理指示給安全參數處理單元；如果該轉移請求消息為切 換請求消息，則發送第二處理指示給安全參數處理單元；
所述安全參數處理單元用于當接收到所述請求消息接收單元的指示后， 使用kasme產生CK、IK,將KSIasme和由Kas織生成的ik、CK一起發給SGSN; 當所收到的指示為第一處理指示時，通過上下文響應或鑒別響應消息將 KSIasme和由Kasme生成的IK、 CK 一起發給SGSN;當所收到的指示為第二
處理指示時，通過轉發重定向請求消息將所述KSlASME和由Kasme生成的IK、
CK 一起發給SGSN。
所述SGSN包括安全參數處理單元，消息交互單元、密鑰標識符映射單 元、密鑰生成單元；
所述安全參數接收單元用于接收MME發來的密鑰及KSlASME，將KSIasme 發送給密鑰標識符映射單元；根據MME發來的密鑰得到目標系統的密鑰并 發送給密鑰及其標識符存儲單元判斷轉移到的目標系統如果為UTRAN，則 將MME發送來的密鑰發送給密鑰及其標識符存儲單元；如果目標系統為 GERAN，則使用MME發送來的密鑰生成Kc后發送給密鑰及其標識符存儲 單元；
所述密鑰標識符映射單元用于當收到KSIasme時，將KSIasme映射為目標 系統的密鑰身份標識符判斷轉移到的目標系統如果為UTRAN,則將KSIasme 映射為KSI;如果目標系統為GERAN，則將KSIASME映射為CKSN;將映射 得到的密鑰身份標識符發給所述密鑰及其標識符存儲單元；
所述密鑰及其標識符存儲單元，用于將安全參數接收單元發送的目標系 統的密鑰和密鑰標識符映射單元發送的目標系統的密鑰身份標識符一起保 存，保存后通知消息交互單元映射完成；所述消息交互單元用于在收到映射完成的消息后發送網絡側密鑰標識符 已經映射成功的通知。
其中，UE中的消息交互單元還可以用于在決定空閑轉移時發送路由區更
新請求或附著請求消息給SGSN;
所述SGSN中的消息交互單元還用于當收到路由區更新請求或附著請求 消息時發送相應的上下文請求或鑒別請求消息給MME。
其中，UE中的密鑰標識符映射單元還可以用于當UE決定空閑轉移時將 KSIasme映射為目標系統的密鑰身份識別符。
其中，SGSN中的消息交互單元發送網絡側密鑰標識符已經映射成功的 通知是指如果所收到的MME發送密鑰及其標識符的消息為上下文響應或 鑒別響應消息，則相應發送路由區更新接受或附著接受消息給UE來指示網 絡側密鑰標識符已經映射成功；如果所收到的MME發送密鑰及其標識符的 消息為轉發重定向請求消息，則發送轉發重定向響應消息給MME來指示網 絡側密鑰標識符已經映射成功。
上述密鑰身份標識符生成系統因為采用KSIasme的值映射為KSI或 CKSN的值，同時保證KSI或CKSN和SGSN原先存儲的密鑰序列號不出現 重碼。所以解決了現有技術中在UE從EUTRAN轉移到UTRAN或GERAN 時，由于kasme映射過來的IK、 CK或Kc無身份標識符的問題，從而使IK、 CK或Kc能夠在轉移結束后，重新被使用，減少UE和網絡的交互信令，提 高用戶使用網絡的滿意度。
下面用本發明的六個應用實例進一步加以i兌明。
圖3為本發明所述方法的應用實例一，為UE從EUTRAN空閑轉移到 UTRAN時，密鑰標識符的生成方法流程，包括以下步驟
步驟S301， UE決定空閑轉移到UTRAN,發送空閑轉移到UTRAN的請 求消息給目標SGSN，請求消息可以為路由區更新請求，或附著請求；
步驟S302，目標SGSN收到UE發過來的空閑轉移到UTRAN的請求消 息后，向源MME發請求消息，請求消息對應于所收到的轉移請求消息的類型，為相應的上下文請求或鑒別請求；
步驟S303,源MME收到目標SGSN發過來的請求消息后，使用KASME 產生CK、 IK;
步驟S304，源MME相應反饋上下文響應或鑒別響應消息，將CK、 IK 和KSIasme —起發給目標SGSN;
步驟S305,目標SGSN收到源MME發過來的CK、 IK和KSIASME后， 將KSIasme的值賦給KSI，即令KSI=KSIASME，將KSI和CK、 IK 一起保存；
步驟S306，目標SGSN向UE發空閑轉移到UTRAN接受消息(相應為 對應的路由區更新接受或附著接受消息)，通知UE網絡側密鑰標識符已經 映射成功；
步驟S307, UE將KSIasme的值賦給KSI,即令KSI=KSIASME,將KSI和 由Kasme生成的TK、 CK 一起保存；
步驟S308， UE相應發送路由區更新完成或附著完成消息給目標SGSN。
圖4為本發明所述方法的應用實例二，為UE從EUTRAN空閑轉移到 UTRAN時，密鑰標識符的生成方法流程，包括以下步驟
步驟S401， l正決定空閑轉移到UTRAN ，將KSIasme的值賦給KSI,即 KSI=KSIASME,將KSI和由Kasme生成的IK、 CK一起保存；
步驟S402, UE發送空閑轉移到UTRAN的請求消息給目標SGSN,請求 消息可以為路由區更新請求，或附著請求；
步驟S403,目標SGSN收到UE發過來的空閑轉移到UTRAN的請求消 息后，向源MME發請求消息，請求消息對應于所收到的轉移請求消息的類 型，為相應的上下文請求或鑒別請求；
步驟S404，源MME收到SGSN發過來的請求消息后，使用kasme產 生CK、 IK;
步驟S405， MME相應反饋上下文響應或鑒別響應消息，將CK、 IK和 KSIasme —起發給SGSN;
步驟S406,目標SGSN收到源MME發過來的KSIASME和CK、 IK后，將KSIasme的值賦給KSI，即KSI=KSIASME，并將KSI和CK、 IK 一起保存；
步驟S407,目標SGSN向UE發空閑轉移到UTRAN接受消息(為對應 的路由區更新接受或附著接受消息)，通知UE網絡側密鑰標識符已經映射 成功；
步驟S408， UE相應發送路由區更新完成或附著完成消息給目標SGSN。
圖5為本發明所述方法的應用實例三，為UE從EUTRAN切換到UTRAN 時，密鑰標識符的生成方法流程，包括以下步驟
步驟S501,源eNB決定發起切換。可以是根據l正發給該eNB的測量 報告觸發，也可以是根據其他的一些原因由eNB決定發起轉移。
步驟S502 ，源eNB向源MME發切換請求消息；
步驟S503 ，源MME使用KASME生成IK和CK;
步驟S504，源MME向目標SGSN發轉發重定向請求，將KSIasme和IK、 CK傳給目標SGSN;
步驟S505,目標SGSN將Ks!asme值賦給KSI,即KSI=KSIASME,并將 KSI和IK、 CK一起保存；
步驟S506,目標SGSN向源MME發轉發重定向響應消息，通知源MME, 目標網絡已經做好切換準備；
步驟S507 ，源MME向源eNB發切換命令；
步驟S508,源eNB向UE發EUTRAN切換命令；
步驟S509， UE將KSIasme的值賦給KSI,即KSI=KSIASME，并使用KASME 生成IK、 CK，然后將KSI和CK、 IK一起保存；
步驟S510， UE發送切換成功消息給目標RNC，通知網絡KSI映射成功。
圖6為本發明所述方法的應用實例四，為UE從EUTRAN空閑轉移到 GERAN時，密鑰標識符的生成方法流程，包括以下步驟
步驟S601， UE決定空閑轉移到GERAN,發送空閑轉移到GERAN的請 求消息給目標SGSN，請求消息可以為路由區更新請求，或附著請求；
步驟S602,目標SGSN收到UE發過來的空閑轉移到GERAN的請求消息后，向源MME發請求消息，請求消息對應于所收到的轉移請求消息的類
型，為相應的上下文請求或鑒別請求；
步驟S603,源MME收到目標SGSN發過來的請求消息后，使用KASME 產生CK、 IK;
步驟S604，源MME相應反饋上下文響應或鑒別響應消息，將CK、 IK 和KSIasme —起發給目標SGSN;
步驟S605,目標SGSN收到源MME發過來的KSIASME和CK、 IK后， 將KSIasme的值賦給CKSN，即CKSN=KSIASME，并將CKSN和CK、 IK生成 的Kc 一起保存；
步驟S606，目標SGSN向UE相應發送空閑轉移到UTRAN的接受消息 (為對應的路由區更新接受或附著接受消息)，通知UE網絡側密鑰標識符 已經映射成功；
步驟S607, UE將KSUsme的值賦給CKSN，即CKSN=KSIASMr，將CKSN 和由Kasme生成的Kc 一起保存；
步驟S608, UE相應發送路由區更新完成或附著完成消息給目標SGSN。
圖7為本發明所述方法的應用實例五，為UE從EUTRAN空閑轉移到 GERAN時，密鑰標識符的生成方法流程，包括以下步驟
步驟S701 ， UE決定空閑轉移到GERAN,將KSIASME的值賦給CKSN， 即CKSN=KSIASME,將CKSN和由Kasme生成的Kc 一起保存；
步驟S702， UE發送空閑轉移到GERAN的請求消息給目標SGSN,請 求消息可以為路由區更新請求，或附著請求；
步驟S703 ，目標SGSN收到UE發過來的空閑轉移到GERAN請求消息 后，向源MME發請求消息，請求消息對應于所收到的轉移請求消息類型， 為相應的上下文請求或鑒別請求；
步驟S704,源MME收到目標SGSN發過來的請求消息后，使用KASME 產生CK、 IK;
步驟S705,源MME相應反饋上下文響應或鑒別響應消息，將CK、 IK 和KSlASME—起發給目標SGSN;步驟S706,目標SGSN收到源MME發過來的KSIASME和CK、 IK后， 將KSUsME的值賦給CKSN，即CKSN=KSIASME,并將CKSN和由CK、 IK生 成的Kc 一起保存；
步驟S707,目標SGSN向UE發送空閑轉移到GERAN的接受消息(為 對應的路由區更新接受或附著接受消息)，通知UE網絡側密鑰標識符已經 映射成功；
步驟S708， UE相應發送路由區更新完成或附著完成消息給目標SGSN。
圖8為本發明所述方法的應用實例六，為UE從EUTRAN切換到GERAN 時，密鑰標識符的生成方法流程，包括以下步驟
步驟S801，源eNB決定發起切換。可以是根據UE發給該eNB的測量 報告觸發，也可以是根據其他的一些原因由eNB決定發起轉移。
步驟S802,源eNB向源MME發切換請求消息；
步驟S803,源MME使用Kasme生成IK、 CK;
步驟S804，源MME向目標SGSN發轉發重定向請求，將KSUsme和IK、 CK傳給目標SGSN;
步驟S805，目標SGSN將KSIasme的值賦給CKSN，即CKSN=KSIASME, 并將CKSN和由IK、 CK生成的Kc 一起保存；
步驟S806,目標SGSN向源MME發轉發重定向響應消息，通知源MME， 目標網絡已經做好切換準備；
步驟S807,源MME向源eNB發切換命令；
步驟S808，源eNB向UE發EUTRAN切換命令；
步驟S809, UE將KSIasme的值賦給CKSN，即CKSN=KSIASME,,并使用 KASME生成Kc ，然后將CKSN和Kc 一起保存；
步驟S810, UE發送切換成功消息給目標RNC,通知網絡CKSN映射成功。
上述六個應用實例中，UE和SGSN也可以令目標系統的密鑰身份識別符 等于KSIasme與一常數之和；常數由UE和網絡約定，其中，KSIasme與常數之和不能為"111",如果正好為lll時，可按照UE與SGSN的約定進行改 變，比如置為下一個值"000",也可以是其它值。
顯然，本領域的技術人員應該明白，上述的本發明的各^l塊或各步驟可 以用通用的計算裝置來實現，它們可以集中在單個的計算裝置上，或者分布 在多個計算裝置所組成的網絡上，可選地，它們可以用計算裝置可執行的程
序代碼來實現，從而，可以將它們存儲在存儲裝置中由計算裝置來執行，或 者將它們分別制作成各個集成電鴻4莫塊，或者將它們中的多個才莫塊或步驟制 作成單個集成電路模塊來實現。這樣，本發明不限制于任何特定的硬件和軟 件結合。
以上所述僅為本發明的優選實施例而已，并不用于限制本發明，對于本 領域的技術人員來說，本發明可以有各種更改和變化。凡在本發明的精神和 原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護 范圍之內。
權利要求
1、一種用戶設備轉移時密鑰身份標識符的生成方法，包括當用戶設備從演進的陸地無線接入網轉移到目標系統時，移動管理單元將接入安全管理實體密鑰的身份標識符發給服務GPRS支持節點，服務GPRS支持節點和用戶設備均將接入安全管理實體密鑰的身份標識符映射為目標系統的密鑰身份識別符。
2、 如權利要求1所述的生成方法，其特征在于，所述映射的方式包括直接令目標系統的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符，或令目標系統的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符與 一用戶設備與網絡約定好的常數之和。
3、 如權利要求1所述的生成方法，其特征在于，還包括如果轉移前用戶設備和服務GPRS支持節點已經協商好密鑰，并且目標 系統的密鑰身份識別符與轉移過程中由接入安全管理實體密鑰的身份標識符 映射得到的目標系統的密鑰身份識別符一樣，則刪除轉移前的密鑰。
4、 如權利要求1到3中任一項所述的生成方法，其特征在于，當用戶設 備從演進的陸地無線接入網空閑轉移到陸地無線接入網時，具體包括Al、移動管理單元收到上下文請求或鑒別請求消息后，使用接入安全管 理實體密鑰生成完整性密鑰、加密密鑰，通過上下文響應或鑒別響應消息將 接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整 性密鑰、加密密鑰一起發給服務GPRS支持節點；A2、服務GPRS支持節點收到移動管理單元發過來的接入安全管理實體 密鑰的身份標識符和完整性密鑰、加密密鑰后，將接入安全管理實體密鑰的 身份標識符映射為密鑰集識別符，將該密鑰集識別符和完整性密鑰、加密密 鑰一起保存；服務GPRS支持節點發送指示密鑰集識別符映射完成的消息給 用戶設備；A3、用戶設備將接入安全管理實體密鑰的身份標識符映射為密鑰集識別 符，將密鑰集識別符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一起保存。
5、 如權利要求4所述的生成方法，其特征在于，步驟A1前還包括A0、用戶設備決定空閑轉移到陸地無線接入網，發送空閑轉移到陸地無 線接入網的請求消息給服務GPRS支持節點，請求消息為路由區更新請求或 附著請求；服務GPRS支持節點收到用戶設備發過來的空閑轉移到陸地無線 接入網的請求消息后，向移動管理單元發相應的請求消息；相應的，步驟A2中，服務GPRS支持節點所發送的指示密鑰集識別符映 射完成的消息為路由區更新接受或附著接受消息。
6、 如權利要求4所述的生成方法，其特征在于步驟A3以發生在用戶設備決定空閑轉移到陸地無線接入網后、用戶設 備相應發送路由區更新完成或附著完成消息給服務GPRS支持節點之前的任 一步中。
7、 如權利要求1到3中任一項所述的生成方法，其特征在于，當用戶設 備從演進的陸地無線接入網切換到陸地無線接入網時，具體包括al、移動管理單元收到切換請求消息后，使用接入安全管理實體密鑰生 成完整性密鑰、加密密鑰，通過轉發重定向請求消息將接入安全管理實體密 鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一 起發給服務GPRS支持節點；a2、服務GPRS支持節點收到移動管理單元發來的密鑰集識別符和完整 性密鑰、加密密鑰后，將接入安全管理實體密鑰的身份標識符映射為密鑰集 識別符，將該密鑰集識別符和完整性密鑰、加密密鑰一起保存；服務GPRS 支持節點發送指示密鑰集識別符映射完成的轉發重定向響應消息給移動管理 單元；移動管理單元發送切換命令指示用戶設備切換；a3 、用戶設備收到網絡發過來切換命令后將接入安全管理實體密鑰的身 份標識符映射為密鑰集識別符，將密鑰集識別符和由接入安全管理實體密鑰 生成的完整性密鑰、加密密鑰一起保存。
8、 如權利要求1到3中任一項所述的生成方法，其特征在于，當用戶設 備從演進的陸地無線接入網空閑轉移到通用分組無線業務/改進數據率GSM服務無線接入網時，具體包括Bl、移動管理單元收到上下文請求或者或鑒別請求消息后，使用接入安 全管理實體密鑰生成完整性密鑰、加密密鑰，通過上下文響應或鑒別響應將 接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一起發給服務GPRS支持節點；B2、服務GPRS支持節點收到移動管理單元發來的接入安全管理實體密 鑰的身份標識符和完整性密鑰、加密密鑰后，使用完整性密鑰、加密密鑰生 成通用分組無線業務/改進數據率GSM服務無線接入網加密密鑰，將接入安 全管理實體密鑰的身^f分標識符映射為通用分組無線業務/改進數據率GSM服 務無線接入網加密密鑰的身份識別符，將通用分組無線業務/改進數據率GSM 服務無線接入網加密密鑰的身份識別符和所述通用分組無線業務/改進數據 率GSM服務無線接入網加密密鑰一起保存；服務GPRS支持節點發送指示通 用分組無線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符映 射完成的消息給用戶設備；B3、用戶設備將接入安全管理實體密鑰的身份標識符映射為通用分組無 線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符，將通用分 組無線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符和由接 入安全管理實體密鑰生成的通用分組無線業務/改進數據率GSM服務無線接 入網加密密鑰一起保存。
9、如權利要求8所述的生成方法，其特征在于，步驟B1前還包括B0、用戶設備決定空閑轉移到通用分組無線業務/改進數據率GSM服務 無線接入網，發送空閑轉移到陸地無線接入網的請求消息給服務GPRS支持 節點，請求消息為路由區更新請求或附著請求；服務GPRS支持節點收到用 戶設備發過來的空閑轉移到陸地無線接入網的請求消息后，向移動管理單元 發相應的請求消息；相應的，步驟B2中，服務GPRS支持節點所發送的指示通用分組無線業 務/改進數據率GSM服務無線接入網加密密鑰的身份識別符映射完成的消息 為路由區更新接受或附著接受消息。
10、 如權利要求8所述的生成方法，其特征在于步驟B3發生在用戶 設備決定空閑轉移到通用分組無線業務/改進數據率GSM服務無線接入網后、 用戶設備發送切換消息給網絡側之前的任一步中。
11、 如權利要求1到3中任一項所述的生成方法，其特征在于，當用戶 設備從演進的陸地無線接入網切換到CERAN時，具體包括bl、移動管理單元收到切換請求消息后，使用接入安全管理實體密鑰生 成完整性密鑰、加密密鑰，通過轉發重定向請求消息將接入安全管理實體密 鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一 起發給服務GPRS支持節點；b2、服務GPRS支持節點收到移動管理單元發過來的密鑰集識別符和完 整性密鑰、加密密鑰后，使用完整性密鑰、加密密鑰生成通用分組無線業務/ 改進數據率GSM服務無線接入網加密密鑰，將接入安全管理實體密鑰的身份 標識符的值賦給通用分組無線業務/改進數據率GSM服務無線接入網加密密 鑰的身份識別符，即加密密鑰序列號，將通用分組無線業務/改進數據率GSM 服務無線接入網加密密鑰的身份識別符和所述通用分組無線業務/改進數據 率GSM服務無線接入網加密密鑰一起保存；服務GPRS支持節點發送指示通 用分組無線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符映 射完成的消息給移動管理單元；移動管理單元發送切換命令指示用戶設備切 換；b3 、用戶設備收到網絡發過來切換命令后將接入安全管理實體密鑰的身 份標識符映射為通用分組無線業務/改進數據率GSM服務無線接入網加密密 鑰的身份識別符，將通用分組無線業務/改進數據率GSM服務無線接入網加 密密鑰的身^f分識別符，和由接入安全管理實體密鑰生成的通用分組無線業務/ 改進數據率GSM服務無線接入網加密密鑰一起保存。
12、 一種用戶設備轉移時密鑰身份標識符的生成系統，包括用戶設備、 移動管理單元和服務GPRS支持節點；其特征在于移動管理單元用于當用戶"i殳備^人演進的陸地無線接入網轉移到目標系統 時，將接入安全管理實體密鑰的身份標識符發給服務GPRS支持節點；服務GPRS支持節點和用戶設備均用于將接入安全管理實體密鑰的身份標識符映射為目標系統的密鑰身份識別符。
13、 如權利要求12所述的生成系統，其特征在于，所述服務GPRS支持 節點/用戶設備進行映射的方式包括直接令目標系統的密鑰身份識別符等于接入安全管理實體密鑰的身份標識符，或令目標系統的密鑰身份識別符等于接入安全管理實體密鑰的身份標 識符與一用戶設備與網絡約定好的常數之和。
14、 如權利要求12所述的生成系統，其特征在于用戶設備和服務GPRS支持節點還用于當用戶設備轉移前和服務GPRS 支持節點已經協商好密鑰，并且目標系統的密鑰身份識別符與轉移過程中接 入安全管理實體密鑰的身份標識符轉化過來對應的目標系統的密鑰身份識別 符的值一樣時，刪除轉移前的密鑰。
15 、如權利要求12到14任一項所述的生成系統，其特征在于所述用戶設備包括消息交互單元、密鑰標識符映射單元和密鑰及其標識 符存儲單元；消息交互單元用于接收網絡側發來的消息；密鑰標識符映射單元用于當消息交互單元收到切換命令、路由區更新接 受或附著接受消息時，將接入安全管理實體密鑰的身份標識符映射為目標系 統的密鑰身份識別符；密鑰及其標識符存儲單元，用于將目標系統的密鑰和所述目標系統的密 鑰身份標識符一起保存；所述移動管理單元包括請求消息接收單元和安全參數處理單元；所述請求消息接收單元用于接收其他網絡實體發送的轉移請求消息，并 指示安全參數處理單元處理；所述安全參數處理單元用于當接收到所述請求消息接收單元的指示后， 使用接入安全管理實體密鑰產生加密密鑰、完整性密鑰，將接入安全管理實 體密鑰的身份標識符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一起發給服務GPRS支持節點；所述服務GPRS支持節點包括安全參數處理單元，消息交互單元、密鑰 標識符映射單元、密鑰生成單元；所述安全參數接收單元用于接收移動管理單元發來的密鑰及接入安全管 理實體密鑰的身份標識符，將接入安全管理實體密鑰的身份標識符發送給密 鑰標識符映射單元；根據移動管理單元發來的密鑰得到目標系統的密鑰并發 送給密鑰及其標識符存儲單元；所述密鑰標識符映射單元用于當收到接入安全管理實體密鑰的身份標識 符時，將接入安全管理實體密鑰的身份標識符映射為目標系統的密鑰身份標 識符；所述密鑰及其標識符存儲單元，用于將安全參#丈^接收單元發送的目標系 統的密鑰和密鑰標識符映射單元發送的目標系統的密鑰身份標識符一起保 存，保存后通知消息交互單元映射完成；所述消息交互單元用于在收到映射完成的消息后發送網絡側密鑰標識符 已經映射成功的通知。
16、如權利要求15所述的生成系統，其特征在于所述用戶設備和服務GPRS支持節點中的密鑰標識符映射單元將接入安 全管理實體密鑰的身份標識符映射為目標系統的密鑰身份標識符是指，當轉 移的目標系統為陸地無線接入網時，將接入安全管理實體密鑰的身份標識符 映射為密鑰集識別符；當轉移的目標系統為通用分組無線業務/改進數據率 GSM服務無線接入網時，將接入安全管理實體密鑰的身份標識符映射為通用 分組無線業務/改進數據率GSM服務無線接入網加密密鑰的身份識別符；所述服務GPRS支持節點中的安全參數接收單元根據移動管理單元發來 的密鑰得到目標系統的密鑰并發送給密鑰及其標識符存儲單元是指，轉移到 的目標系統如果為陸地無線接入網，則將移動管理單元發送來的密鑰發送給 密鑰及其標識符存儲單元；如果目標系統為通用分組無線業務/改進數據率 GSM服務無線接入網，則使用移動管理單元發送來的密鑰生成通用分組無線 業務/改進數據率GSM服務無線接入網加密密鑰后發送給密鑰及其標識符存儲單元。
17、 如權利要求15所述的生成系統，其特征在于用戶設備中的密鑰標識符映射單元還用于當用戶設備決定空閑轉移時將 接入安全管理實體密鑰的身份標識符映射為目標系統的密鑰身份識別符。
18、 如權利要求15所述的生成系統，其特征在于所述用戶設備中的消息交互單元還用于在決定空閑轉移時發送路由區更 新請求或附著請求消息給服務GPRS支持節點；所述服務GPRS支持節點中的消息交互單元還用于當收到路由區更新請 求或附著請求消息時發送相應的上下文請求或鑒別請求消息給移動管理單元；所述移動管理單元中的請求消息接收單元當轉移請求消息為上下文請求 或鑒別請求消息時，發送第一處理指示給安全參數處理單元；當轉移請求消 息為切換請求消息，發送第二處理指示給安全參數處理單元；所述移動管理單元中的安全參數處理單元當所收到的指示為第一處理指 示時，通過上下文響應或鑒別響應消息將接入安全管理實體密鑰的身份標識 符和由接入安全管理實體密鑰生成的完整性密鑰、加密密鑰一起發給服務 GPRS支持節點；當所收到的指示為第二處理指示時，通過轉發重定向請求 消息將所述接入安全管理實體密鑰的身份標識符和由接入安全管理實體密鑰 生成的完整性密鑰、加密密鑰一起發給服務GPRS支持節點。
19、 如權利要求18所述的生成系統，其特征在于，服務GPRS支持節點 中的消息交互單元發送網絡側密鑰標識符已經映射成功的通知是指如果所收到的移動管理單元發送密鑰及其標識符的消息為上下文響應或 鑒別響應消息，則相應發送路由區更新接受或附著接受消息給用戶設備來指 示網絡側密鑰標識符已經映射成功；如果所收到的移動管理單元發送密鑰及 其標識符的消息為轉發重定向請求消息，則發送轉發重定向響應消息給移動 管理單元來指示網絡側密鑰標識符已經映射成功。
全文摘要
本發明公開了一種用戶設備轉移時密鑰身份標識符的生成方法和生成系統；方法包括當用戶設備從演進的陸地無線接入網轉移到目標系統時，移動管理單元將接入安全管理實體密鑰的身份標識符發給服務GPRS支持節點，服務GPRS支持節點和用戶設備均將接入安全管理實體密鑰的身份標識符映射為目標系統的密鑰身份識別符。能夠解決現有技術中用戶設備從演進的陸地無線接入網轉移到陸地無線接入網或通用分組無線業務/改進數據率GSM服務無線接入網后，轉移過程中產生的由接入安全管理實體密鑰映射過來的密鑰無身份標識符的問題。
文檔編號H04L12/28GK101299884SQ20081010047
公開日2008年11月5日 申請日期2008年6月16日 優先權日2008年6月16日
發明者張旭武, 露 甘, 慶 黃 申請人:中興通訊股份有限公司