一种密钥生成方法、装置及系统的制作方法

专利名称：一种密钥生成方法、装置及系统的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种以无线网络控制器为锚点的密钥生成方法、装置及系统。
背景技术：
目前，为了能够向用户提供高速率业务，可以将LTE(Long Term Evolution，长期演进网络)-UMTS(Universal Mobile Telecommunications System，通用移动通信系统)资源聚合起来，如图1所示，该架构下，存在UMTS和LTE两个系统的接入网，但只存在UMTS支路核心网，该架构下的应用场景就叫做以RNC(Radic) Network Controller，无线网络控制器)为锚点的U&L Boosting场景。LTE的接入网节点eNB (evolved Node B，演进型基站) 通过RNC锚点接入到UMTS网络的核心网。UE可以同时通过UMTS和LTE系统的两个接入网将数据发送到UMTS的核心网，从而提高业务速率。将上述LTE-UMTS聚合技术应用在Single Qos场景下时，即LTE支路(UE与LTE 连接的支路)和UMTS支路(UE与UMTS连接的支路)的数据聚合到PDCP(Packet Data Convergence Protocol，分组数据汇聚协议)层之上，这时UMTS支路数据和LTE支路数据通过各自的PDCP层处理后汇聚，因此该方案中RNC和eNB较完整地保留了现有的协议层， UMTS支路和LTE支路可以分别采用各自的安全协议层对数据进行安全保护。当应用在single PDCP场景下时，即LTE支路和UMTS支路的数据聚合到PDCP层之下，LTE支路没有PDCP层，由UMTS支路的PDCP层统一对聚合的数据进行处理。由于LTE 支路上数据的安全保护是在eNB的PDCP层执行，此方案中eNB没有PDCP层，UMTS支路和 LTE支路的数据都汇聚在RNC的PDCP层。当应用在single RLC场景下时，即LTE支路和UMTS支路的数据聚合到RLC (radio link control，无线链路控制协议)层。如果UMTS支路采用TM(Transparent Mode，透明)模式，即UMTS支路数据在MAC (Media Access Control，媒体访问控制)层进行加密，此方案中 LTE支路中eNB没有PDCP层，UMTS支路和LTE支路数据聚合在RNC的RLC层，则UMTS支路的RLC层需要增加对LTE支路数据安全保护的功能；如果UMTS支路采用AM (Acknowledged Mode，应答)或UM(Unacknowledged Mode，非应答)模式，即UMTS支路数据在RLC层进行加
滋
Γ t [ O在实现本发明过程中，发明人发现现有技术中至少存在如下问题在U&L Boosting这种网络架构下，UE通过UMTS支路核心网进行相互认证并生成UMTS支路系统密钥，由于网络架构中只存在LTE支路接入网，没有LTE支路核心网，因此UE不能通过和LTE 支路核心网的认证生成LTE支路的系统密钥，LTE支路将没有密钥对LTE支路上UE的数据进行安全保护，因此LTE支路的安全性能有待提高。

发明内容
本发明实施例提供了一种密钥生成方法、装置及系统，能够提高U&L Boosting场
7景下LTE支路数据通信的安全性。本发明实施例提供了一种LTE支路密钥生成的方法，应用在LTE-UMTS资源聚合的场景中，包括LTE支路中的基站获取LTE支路接入层根密钥以及用户安全能力；根据所述接入层根密钥以及由所述用户安全能力确定的接入层算法，生成LTE支路接入层密钥。本发明实施例提供了一种基站，应用在LTE-UMTS资源聚合的场景中，包括信息获取模块，用于获取LTE支路接入层根密钥以及用户安全能力；密钥生成模块，用于根据所述信息获取模块获取的所述接入层根密钥以及由所述用户安全能力确定的接入层算法生成LTE支路接入层密钥。本发明实施例提供了一种LTE支路密钥生成的方法，应用在LTE-UMTS资源聚合的场景中，包括UMTS支路中RNC获取LTE支路接入层根密钥；向LTE支路中的基站发送用户安全能力及所述LTE支路接入层根密钥，或者，向所述基站发送所述用户安全能力和用于生成所述LTE支路接入层根密钥的密钥生成参数，使得所述基站根据所述LTE支路接入层根密钥以及由所述用户安全能力确定的接入层算法生成LTE支路接入层密钥。本发明实施例提供了一种RNC，能够应用在LTE-UMTS资源聚合的场景中，包括密钥采集模块，用于获取LTE支路接入层根密钥；信息发送模块，用于向LTE支路中的基站发送用户安全能力及通过所述密钥采集模块获取到的所述LTE支路接入层根密钥，或者，用于向所述基站发送所述用户安全能力和用于生成所述LTE支路接入层根密钥的密钥生成参数，使得所述基站根据所述LTE支路接入层根密钥以及由所述用户安全能力确定的接入层算法生成LTE支路接入层密钥。本发明实施例提供了一种LTE支路密钥生成系统，包括如上所述的一种基站以及如上所述的一种RNC。由上述本发明的实施例提供的技术方案可以看出，本发明提出应用在LTE-UMTS 资源聚合的场景中的一种LTE支路密钥生成的方法，LTE支路中的基站通过UMTS支路获取 LTE支路接入层根密钥以及用户安全能力；能够根据所述接入层根密钥以及由所述用户安全能力确定的接入层算法，生成LTE支路接入层密钥。通过本发明提出技术方案使得UE在 LTE-UMTS资源聚合的场景中通过LTE支路进行通信时，能够采用生成的LTE支路接入层密钥对LTE支路中UE的数据进行安全保护，避免了由于LTE支路没有密钥引起的UE数据被攻击者窃听的问题，在保证UE可以通过LTE支路进行正常通信的情况下，提高UE通信的安全性。


图1为现有技术中以RNC为锚点的U&L Boosting网络架构示意图；图2为本发明实施例一种LTE支路密钥生成的方法流程图；图3为本发明实施例一种LTE支路中的基站结构示意图；图4为本发明实施例一种LTE支路密钥生成的方法流程图5为本发明实施例一种UMST支路中的RNC结构示意图；图6为本发明实施例一种LTE支路密钥生成系统结构示意图；图7为本发明具体实施例一的应用场景图；图8为本发明具体实施例二的应用场景图；图9为本发明具体实施例三的应用场景图；图10为本发明具体实施例四的应用场景图；图11为本发明具体实施例五的应用场景图。
具体实施例方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本发明实施例提出了一种密钥生成方法、装置及系统，能够应用在LTE-UMTS资源聚合的场景中，也可应用于其相应的演进场景中，例如，HSPA是UMTS网络的演进版本，本发明实施例提供的方法、装置及系统也能够应用于LTE-HSPA资源聚合的场景中。LTE支路中的基站通过获取LTE支路接入层根密钥以及用户安全能力，能够根据所述接入层根密钥以及由用户安全能力确定的接入层算法生成LTE支路接入层密钥。本发明技术方案的实现能够避免现有技术中由于LTE支路没有密钥而引起的UE数据被攻击者窃听的问题，在保证UE 可以通过LTE支路进行正常通信的同时，提高通信的可靠性。本发明实施例提出的一种密钥生成方法、装置及系统，适用于以RNC为锚点的 U&LBoosting 网络架构下的三种应用场景Single Qos, Single PDCP 及 Single RLC0需要说明的是，在本发明技术方案在具体实现中涉及的UMTS支路的密钥推衍和更新机制与现有机制相同，因此，本发明实施例中并未对现有技术进行详细阐述。为了进一步理解本发明实施例的技术方案，下面具体描述。如图2所示，本发明实施例以LTE支路中基站的角度，提出一种LTE支路密钥生成的方法，应用在LTE-UMTS资源聚合的场景中，技术方案包括步骤201 =LTE支路中的基站获取LTE支路接入层根密钥以及用户安全能力；步骤202 :LTE支路中的基站根据所述接入层根密钥以及由用户安全能力确定的接入层算法生成LTE支路接入层密钥。本实施例中涉及的LTE支路接入层密钥用于对RRC(Radio Resource Control，无线资源控制)信令和用户面数据进行安全保护，包括对RRC信令的完整性密钥，RRC信令的加密密钥以及用户面数据加密密钥。步骤201中获取所述LTE支路接入层根密钥的过程，可以包括从UMTS支路的RNC 获取该LTE支路接入层根密钥，该LTE支路接入层根密钥是由所述RNC根据所述UMTS支路系统密钥及密钥生成参数生成的。针对上述方案具体的说，上述方案具体可以采用下述四种方式中的任意一种来实现方式一在密钥生成参数是UMTS支路计数器值(UMTS支路的COUNT值)时，LTE支路接入层根密钥(KeNB)是由RNC根据UMTS支路系统密钥(CK、IK)及UMTS支路的COUNT 值生成的；具体生成方法可以是通过KDF函数计算以CK、IK和UMTS支路的COUNT值作为该函数的输入参数，用函数表示为KeNB = KDF (CK, IK, UMTS支路计数器值)；上述UMTS支路计数器值可以是但不限于UE在UMTS支路各无线承载上最大的 RLC(Radio Link Control，无线链路控制)COUNT 值、或者最大的 RRC(Radio Resource Control，无线资源控制)COUNT值，或者最大的MAC (Media Access Contrο 1，媒体访问控制)COUNT 值；方式二 在密钥生成参数是UMTS支路非接入层计数器值(UMTS支路的NAS COUNT 值)时，KeNB是通过RNC转发的，由服务器(VLR/SGSN)根据UMTS支路系统密钥(CK、IK) 及UMTS支路非接入层计数器值生成的；具体生成方法可以是通过KDF函数计算以CK、IK 和UMTS支路的NAS COUNT值作为输入参数，用函数表示为KeNB = KDF (CK、IK, UMTS支路的 NAS COUNT 值)；或者，方式二是通过RNC转发的，由服务器根据UMTS支路系统密钥(CK、IK)生成 LTE支路根密钥(Kasme)，再根据Kasme及UMTS支路的NAS COUNT值生成的；其中，Kasme 的具体生成方法可以是通过KDF函数计算以CK、IK和PLMN ID (Public Land Mobile Network Identity,公共陆地移动网络标识)作为输入参数，用函数表示为Kasme = KDF (CK、IK、PLMN ID)；此外，KeNB的具体生成方法也是通过KDF函数计算出来的，以Kasme 和UMTS支路非接入层计数器值作为输入参数，用函数表示为KeNB = KDF (Kasme，UMTS支路非接入层计数器值)；方式三在所述密钥生成参数是所述RNC生成的随机数值(Nonce值)时，KeNB是由RNC根据UMTS支路系统密钥(CK、IK)及Nonce值生成的；其中，具体生成方法是通过KDF 函数计算出来的，以CK、IK和随机数Nonce值作为输入参数，用函数表示为KeNB = KDF(CK、 IK, Nonce)；方式四在所述密钥生成参数是UMTS支路计数器值的最高20位比特值(UMTS支路Mart值)构造的用户侧随机数(NONCEue)，及由所述RNC生成的新鲜数值(Fresh值) 构造的网络侧随机数(NONCEmme)时，所述RNC根据UMTS支路的Mart值构造的N0NCEue、由 Fresh值作为NONCEmme以及UMTS支路系统密钥(CK、IK)生成KeNB。具体生成方法可以是通过KDF函数计算以CK、IK和用户侧随机数N0NCEue、网络侧随机数NONCEmme作为输入参数，用函数表示为 KeNB = KDF (CK, IK, NONCEue, NONCEmme)。上述方式四中，利用UMTS支路的Mart值构造NONCEue可以通过但不限于如下三种方式中的任意一种方式实现(1) RNC 将 UMTS 支路的 Start 值补充 12bits0 生成 N0N(Eue。(2) RNC和UE处维护一个12bits的状态转换计数器(Count-Mate)，每当UE发生从Active向Idle状态转换时，该计数器加1，将20bits Mart值和12bits Count-State 值串联在一起作为NONCEiie。C3)RNC生成12bits随机数，将20bits Mart值和12bits随机数值串联在一起作为 NONCEiie。需要说明的是，步骤201中获取所述LTE支路接入层根密钥的过程，还可以通过如下技术方案来实现LTE支路中的基站获取来自UMTS中RNC的密钥生成参数；所述密钥生成参数为 RNC生成的随机数值(Nonce值)；根据所述随机数值以及与RNC在认证中生成的IP层安全隧道根密钥(KIPsec)生成LTE支路接入层根密钥。针对上述技术方案具体的说，KeNB的具体生成方法可以是通过KDF函数计算以 KIPsec和Nonce值作为输入参数，用函数表示为KeNB = KDF (KIPsec, Nonce)。针对图2实施例所述方法，所述方法还可以包括在生成所述LTE支路接入层密钥后，向用户端发送经过所述接入层密钥保护的接入层安全模式命令，以使得用户端生成所述LTE支路接入层密钥；所述接入层安全模式命令中至少包括所述用户安全能力以及所述确定的接入层算法。需要说明是是，上述接入层算法包括LTE支路中的基站根据UE安全能力确定的完整性算法和加密算法。针对图2实施例所述方法，所述方法还可以包括LTE支路接入层根密钥更新的处理步骤当LTE支路分组数据汇聚协议层(PDCP)的计数器值(Count值)溢出时，LTE 支路中的基站根据当前使用的LTE支路接入层根密钥(KeNB)、物理小区标识(Wrysical cellID)以及下行频点号(EARFCN-DL)来生成新的LTE支路接入层根密钥(KeNB*)。KeNB* 的具体生成方法也是通过KDF函数计算出来的，以KeNB、Physical cell ID和EARFCN-DL 作为输入参数，用函数表示为 KeNB* = KDF(KeNB，Physical cell ID，EARFCN-DL)。需要说明的是，LTE支路中的基站在生成新的LTE支路接入层根密钥后，所述基站可以根据所述新的LTE接入层根密钥以及在步骤202中确定的所述接入层算法，生成新的 LTE支路接入层密钥。通过密钥更新处理步骤，保证了相同的密钥不会在同一个承载上重复使用，提高了安全性。如图3所示，基于上述图2的方法实施例，本发明实施例提出一种LTE支路中的基站，可以应用在LTE-UMTS资源聚合的场景中，可以包括如下功能模块信息获取模块31，用于获取LTE支路接入层根密钥以及用户安全能力；密钥生成模块32，用于根据信息获取模块31获取到的所述接入层根密钥以及由用户安全能力确定的接入层算法生成LTE支路接入层密钥。可选的，所述信息获取模块31可以具体用于从UMTS支路的RNC获取LTE支路接入层根密钥；其中，LTE支路接入层根密钥为RNC根据UMTS支路系统密钥及密钥生成参数生成的，其中，密钥生成参数为UMTS支路计数器值，或者所述RNC生成的随机数值，或者UMTS 支路计数器值的最高20位比特值构造的用户侧随机数及由所述RNC生成的新鲜数值构造的网络侧随机数；(需要说明的是，RNC根据UMTS支路系统密钥及密钥生成参数生成的LTE 支路接入层根密钥的方法可以采用同图2实施例中记载的方法实现)或者，LTE支路接入层根密钥为RNC从服务器获取的，其中，LTE支路接入层根密钥由服务器根据UMTS支路系统密钥和非接入层计数器值生成，或者由服务器根据UMTS支路系统密钥生成LTE支路根密钥后，再根据LTE支路根密钥及非接入层计数器值生成。(需要说明的是，RNC从服务器获取LTE支路接入层根密钥的方法可以采用同图2实施例中记载的方法实现。可选的，信息获取模块31可以具体用于获取来自UMTS支路中RNC的密钥生成参数，密钥生成参数为RNC生成的随机数值；根据随机数值以及与RNC在认证中生成的IP层安全隧道根密钥生成LTE支路接入层根密钥。可选的，所述基站还可以包括命令发送模块33，用于在密钥生成模块32生成LTE支路接入层密钥后，向用户端发送经过所述接入层密钥保护的接入层安全模式命令，以使得用户端生成所述LTE支路接入层密钥；所述接入层安全模式命令中至少包括所述用户安全能力以及LTE支路中的基站根据所述UE安全能力确定的接入层算法。可选的，，所述基站还可以包括密钥更新模块34，用于当LTE支路PDCP层的计数器值溢出时，根据当前使用的所述LTE支路接入层根密钥、物理小区标识以及下行频点号来生成新的LTE支路接入层根密钥，以便密钥生成模块32根据新的LTE接入层根密钥以及所述接入层算法，生成新的LTE 支路接入层密钥。需要说明的是，本发明实施例是基于图2所示的方法获得的装置实施例，其中，包含了与图2方法实施例相同或相应的技术特征，因此，在本实施例中共同的技术特征并没有做出具体阐述，可以参见上述如图2方法实施例中的相关描述。如图4所述，本发明实施例以RNC的角度提出一种LTE支路密钥生成的方法，可以应用在LTE-UMTS资源聚合的场景中，技术方案包括步骤401 =UMTS支路中的RNC获取LTE支路接入层根密钥；步骤402 =UMTS支路中的RNC向LTE支路中的基站发送LTE支路接入层根密钥及用户安全能力，或者，向基站发送所述用户安全能力和用于生成LTE支路接入层根密钥的密钥生成参数，使得基站根据LTE支路接入层根密钥以及由用户安全能力确定的接入层算法生成LTE支路接入层密钥。具体的，步骤401中获取LTE支路接入层根密钥，可以通过下述技术方案实现RNC 根据UMTS支路系统密钥及密钥生成参数生成LTE支路接入层根密钥(KeNB)；密钥生成参数为UMTS支路计数器值，或者所述RNC生成的随机数值，或者UMTS支路计数器值的最高 20位比特值构造的用户侧随机数及由所述RNC生成的新鲜数值构造的网络侧随机数；该方案可以具体通过下述三种方式中的任意一种来实现第一种方式密钥生成参数是UMTS支路计数器值(UMTS支路的COUNT值)时，RNC 根据UMTS支路系统密钥(CK、IK)及UMTS支路的COUNT值生成KeNB ；需要说明的是，本实施例中KeNB的生成方法与图2实施例中密钥生成参数是UMTS支路计数器值时的方法相同， 用KDF函数表示为KeNB = KDF (CK, IK, UMTS支路计数器值)。其中，UMTS支路计数器值可以是但不限于UE在UMTS支路各无线承载上最大的 RLC(Radio Link Control，无线链路控制)COUNT 值、或者最大的 RRC(Radio ResourceControl，无线资源控制)COUNT值，或者最大的MAC (Media Access Contrο 1，媒体访问控制)COUNT 值；第二种方式密钥生成参数是所述RNC生成的随机数值(Nonce值)时，所述RNC根据UMTS支路系统密钥(CK、IK)及随机数值生成KeNB，用KDF函数表示为KeNB = KDF (CK, IK, Nonce)；第三种方式密钥生成参数是UMTS支路计数器值的最高20位比特值(UMTS支路 Start值)构造的用户侧随机数(NONCEue)，及由所述RNC生成的新鲜数值(Fresh值)构造的网络侧随机数(NONCEmme)时，RNC将UMTS支路Mart值构造成N0NCEue、由Fresh值作为 NONCEmme，根据N0NCEue、NONCEmme以及UMTS支路系统密钥(CK、IK)生成KeNB，用K函数表示为 KeNB = KDF (CK, IK, NONCEue, NONCEmme)。针对上述方式具体的说，利用UMTS支路的Mart值构造NONCEiie可以通过但不限于如下三种方式中的任意一种方式实现(1) RNC 将 UMTS 支路的 Start 值补充 12bits0 生成 N0N(Eue。(2) RNC和UE处维护一个12bits的状态转换计数器(Count-Mate)，每当UE发生从Active向Idle状态转换时，该计数器加1，将20bits Mart值和12bits Count-State 值串联在一起作为NONCEiie。C3)RNC生成12bits随机数，将20bits Mart值和12bits随机数值串联在一起作为 NONCEiie。具体的说，当采用上述获取LTE支路接入层根密钥的技术方案的情况下，当用户端从空闲态(IDEL态)转换为激活态(Active态)的过程中，所述方法还可以包括密钥生成参数是UMTS支路的COUNT值时，RNC存储所述计数器值，并根据UMTS支路系统密钥(CK、IK)及所述计数器值生成新的LTE支路接入层根密钥；或者，RNC将用户端发送的UMTS支路计数器值的最高20位比特值(Mart值)补0后生成32bits的计数器值，根据UMTS支路系统密钥(CK、IK)及所述计数器值生成新的LTE支路接入层根密钥；或者，RNC将用户端发送的UMTS支路计数器值的最高20位比特值(Mart值)和存储的状态转换计数器值串联生成计数器值，生成新的LTE支路接入层根密钥；具体的说，存储的UMTS支路的计数器值是当用户端从激活态转换为空闲态时的 UMTS支路计数器值；状态转换计数器值是用户端从空闲态转换为激活态的次数，每当用户端从空闲态转换位激活态，状态转换计数器都加一。或者，密钥生成参数是RNC生成的随机数值时，RNC生成新的随机数值，利用新的随机数值以及UMTS支路系统密钥，生成新的接入层根密钥；或者，密钥生成参数是UMTS支路计数器值的最高20位比特值构造的用户侧随机数，及由所述RNC生成的新鲜数值构造的网络侧随机数时，RNC利用用户端发送的UMTS支路计数器值的最高20位比特值构造新的用户侧随机数，利用所述新鲜数作为新的网络侧随机数， 结合UMTS支路系统密钥，生成新的LTE支路接入层根密钥。需要说明的是，在RNC生成新的LTE支路接入层根密钥后，使得LTE支路中的基站能根据新的LTE接入层根密钥以及之前获取到的所述接入层算法，生成新的LTE支路接入层密钥。在上述方式中利用UMTS支路的Mart值构造NONCEue的具体方法可以采用图2实施例中利用UMTS支路的Mart值构造NONCEue的方法实现。可选的，步骤401中获取LTE支路接入层根密钥，还可以通过如下方式实现RNC 从服务器获取的所述LTE支路接入层根密钥，其中，所述LTE支路接入层根密钥由所述服务器根据UMTS支路系统密钥(CK、IK)和非接入层计数器值(UMTS支路的NAS COUNT值)生成，或者由所述服务器根据UMTS支路系统密钥(CK、IK)生成LTE支路根密钥(Kasme)后， 再根据所述Kasme及UMTS支路的NAS COUNT值生成KeNB。需要说明的是，本实施例中Kasme的生成方法与图2实施例中Kasme的生成方法相同；根据Kasme及UMTS支路的NAS COUNT值生成的KeNB的方法与图2实施例中的方法相同，具体可以参见图2中的相关描述。具体的，当采用上述获取LTE支路接入层根密钥的技术方案的情况下，当用户端从IDEL态转换为Active态时，所述方法还可以包括所述RNC指示所述服务器利用所述UMTS支路非接入层计数器值及所述UMTS支路系统密钥，生成新的接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。具体的，步骤401中获取LTE支路接入层根密钥，还可以通过如下方式实现RNC生成所述密钥生成参数，密钥生成参数为随机数值(Nonce值)；RNC根据所述随机数值以及与LTE支路中的基站在认证中生成的IP层安全隧道根密钥(KII3sec)，生成LTE支路接入层根密钥。其中，根据KII^sec和Nonce值生成LTE支路接入层根密钥的方法与图2中相同， 具体请参见图2实施例中的相关描述。具体的，在采用上述方式获取LTE支路接入层根密钥时，所述方法还可以包括将所述LTE支路接入层根密钥通过UMTS支路加密密钥和完整性保护密钥保护后， 发送给用户端，以便用户端根据所述接入层根密钥计算所述接入层密钥。可选的，在采用上述方式获取LTE支路接入层根密钥时，当用户端从空闲态转换为激活态时，所述方法还包括转换处理步骤，具体包括所述RNC生成新的随机数；利用所述新的随机数以及所述IP层安全隧道根密钥生成新的接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE 支路接入层密钥。如图5所示，基于上述图4的方法实施例，本发明实施例提出一种UMTS支路中的 RNC，可以包括如下功能模块密钥采集模块51，用于获取LTE支路接入层根密钥(KeNB)；信息发送模块52，用于向LTE支路中的基站发送通过所述密钥采集模块获取到的所述LTE支路接入层根密钥及用户安全能力，或者，向所述基站发送所述用户安全能力和用于生成所述LTE支路接入层根密钥的密钥生成参数，使得所述基站根据所述接入层根密钥以及由用户安全能力确定的接入层算法生成LTE支路接入层密钥。
针对上述方案具体的说，上述密钥采集模块51可以具体用于根据UMTS支路系统密钥及密钥生成参数生成所述LTE支路接入层根密钥；其中， 所述密钥生成参数为UMTS支路计数器值，或者所述RNC生成的随机数值，或者密钥生成参数是UMTS支路计数器值的最高20位比特值构造的用户侧随机数，及由所述RNC生成的新鲜数值构造的网络侧随机数；(需要说明的是，本发明实施例RNC根据UMTS支路系统密钥及密钥生成参数生成KeNB可以采用同图2实施例中记载的技术方案实现)或者，从服务器获取的所述LTE支路接入层根密钥，其中，所述LTE支路接入层根密钥由所述服务器根据UMTS支路系统密钥和非接入层计数器值生成，或者由所述服务器根据 UMTS支路系统密钥生成LTE支路根密钥后，再根据所述LTE支路根密钥及非接入层计数器值生成。(需要说明的是，本发明实施例RNC根据UMTS支路系统密钥及密钥生成参数生成 KeNB可以采用同图2实施例中记载的技术方案实现)。针对上述方案具体的说，在采用上述方案生成KeNB时，当用户端从空闲态转换为激活态的过程中，所述密钥采集模块51还可以用于在密钥生成参数是UMTS支路计数器值时，存储UMTS支路计数器值，并根据UMTS 支路系统密钥及所述计数器值生成新的LTE支路接入层根密钥；或者，将用户端发送的所述UMTS支路计数器值的最高20位比特值补0后生成32bits的计数器值，根据UMTS支路系统密钥及所述计数器值生成新的LTE支路接入层根密钥；或者，将用户端发送的所述UMTS 支路计数器值的最高20位比特值和存储的状态转换计数器值串联生成计数器值，生成新的LTE支路接入层根密钥；或者，用于在密钥生成参数是RNC生成的随机数值时，生成新的随机数值，利用所述新的随机数值以及所述UMTS支路系统密钥，生成新的LTE支路接入层根密钥；或者，用于在密钥生成参数是UMTS支路计数器值的最高20位比特值构造的用户侧随机数，及由所述RNC生成的新鲜数值构造的网络侧随机数时，利用用户端发送的所述UMTS支路计数器值最高20位比特值构造新的用户侧随机数，利用所述新鲜数作为新的网络侧随机数，结合UMTS支路系统密钥，生成新的LTE支路接入层根密钥。需要说明的是，RNC生成新的LTE支路接入层根密钥后，所述基站能够根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。针对上述方案具体的说，在采用上述方案生成KeNB时，当用户端从空闲态转换为激活态时，密钥采集模块51还可以用于在从服务器获取所述LTE支路接入层根密钥的情况下，指示所述服务器利用所述 UMTS支路非接入层计数器值及所述UMTS支路系统密钥，生成新的LTE支路接入层根密钥， 以便基站根据新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。针对上述方案具体的说，密钥采集模块51具体还可以用于生成所述密钥生成参数，所述密钥生成参数为随机数值；根据所述随机数值以及与所述LTE支路中的基站在认证中生成的IP层安全隧道根密钥，生成所述LTE支路接入层根密钥。
进一步的，所述信息发送模块52还可以用于将所述密钥采集模块采集到的所述LTE支路接入层根密钥，通过UMTS支路加密密钥和完整性保护密钥保护后，发送给用户端，以便用户端根据所述接入层根密钥计算所述接入层密钥。进一步的，当用户端从空闲态转换为激活态时，密钥采集模块51还可以用于根据生成新的随机数以及所述IP层安全隧道根密钥生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。需要说明的是，本发明实施例是基于图4所示的方法获得的装置实施例，其中，包含了与图4方法实施例相同或相应的技术特征，因此，在本实施例中共同的技术特征并没有做出具体阐述，可以参见上述如图4方法实施例中的相关描述。如图6所示，本发明实施例提出一种LTE支路密钥生成系统，包括图3实施例LTE支路中的基站61，用于获取LTE支路接入层根密钥以及用户安全能力；根据所述接入层根密钥以及由用户安全能力确定的接入层算法生成LTE支路接入层密钥；图5实施例UMTS支路中RNC 62，用于获取LTE支路接入层根密钥；向LTE支路中的基站发送所述LTE支路接入层根密钥及用户安全能力，或者，向所述基站发送用户安全能力和用于生成所述LTE支路接入层根密钥的密钥生成参数，使得所述基站根据所述LTE 支路接入层根密钥以及由用户安全能力确定的接入层算法生成LTE支路接入层密钥。需要说明的是，上述图3实施例提出的基站与图5实施例提出的方法，在实现本发明技术方案的过程中可以配合使用。下面为了对上述实施例提出的技术方案进一步理解，针对生成LTE支路接入层根密钥的具体流程进行详细说明。以RNC为锚点的U&L Boosting网络架构下的Single Qos 场景为例，通过五个具体实施例进行说明，在Single Qos场景下，LTE支路和UMTS支路的数据聚合到PDCP层之上。在下述实施例中所述eNB为图3实施例中所述的LTE系统中的基站，RNC为图5实施例中的RNC。实施例一 UMTS支路的密钥推衍和更新机制与现有机制相同，本实施例中利用 UMTS支路系统密钥(CK、IK)和UMTS支路的COUNT值，为LTE支路衍生密钥，如图7所示， 具体流程如下701、UE向UMTS支路VLR/SGSN发起附着请求，请求接入UMTS网络；702,UE和VLR/SGSN之间执行UMTS AKA (认证密钥协商)，完成UE和UMTS网络的双向认证，为UMTS支路生成密钥(加密密钥CK和完整性密钥IK)；703、认证成功后，VLR/SGSN 向 RNC 分配 RAB(I adio Access Bear，无线接入承载)；704、RNC选择是否需要LTE支路和UMTS支路两个RAT(Radio Access Technology, 无线接入技术)；705、如果步骤704中RNC的选择结果为需要两个RATJU RNC向UE发送测量控制消息；706、UE对周围eNB的状态进行测量，并将测量结果发送给RNC ；707、UE与RNC之间建立无线承载；
708、RNC根据UE的测量结果选择合适的eNB (LTE接入网中的基站)；709、UE和eNB之间建立无线承载；710、本实施例一中，RNC根据在UMTS AKA中生成的密钥CK、IK和UMTS支路的 COUNT值推衍生成KeNB (LTE支路接入层根密钥)，本实施例中KeNB是根据KDF函数计算出来的，以CK、IK和UMTS支路的COUNT值作为输入参数，用函数表示为KeNB = KDF (CK, IK、 COUNT)；需要说明的是，UMTS支路COUNT值的具体取值可以参见图2实施例中的相关描述；711、RNC将生成的KeNB和UE安全能力发送给eNB ；712、eNB根据UE的安全能力选择相应的完整性算法和加密算法，结合KeNB，利用现有的推衍方法推衍出AS (Access Stratum，接入层)密钥；713,eNB向UE发送经过AS密钥完整性保护的AS安全模式命令，该命令中包括选择的加密算法和完整性算法，UE的安全能力；714、UE采用与RNC相同的方式，根据KeNB = KDF(CK、IK、COUNT)计算KeNB，利用 AS安全模式命令中的加密算法和完整性算法推衍出AS密钥，然后，检查AS安全模式命令的完整性，并检查UE的安全能力是否一致；715、检查成功后，UE向eNB发送安全模式完成消息。需要说明的是，在实施例一中，LTE支路与UMTS支路均设置有独立的 SRB (Signaling radio bearer，无线信令承载)，当只存在UMTS支路的 SRB 时，SMC^ecurity Mode Command，安全模式命令)要通过RNC来转发。在实施例一中，当UE从IDEL态转变为Active态时，eNB对LTE支路的密钥的处理，以及，当LTE支路的PDCP Count值溢出时，eNB对LTE支路密钥的更新处理方法，可以分别采用如图2实施例中描述的技术方案来实现，具体可以参见图2实施例中的相关描述。实施例二 UMTS支路的密钥推衍和更新机制与现有机制相同，利用UMTS支路系统密钥(CK、IK)和UMTS支路的NAS COUNT值，为LTE支路衍生密钥，如图8所示，具体流程如下其中，本实施例二中步骤801至809与实施例一中的步骤701至709相同，因此在本实施例中只描述与实施例一中不同的步骤；810、RNC向VLR/SGSN发送LTE支路密钥推衍指示，指示消息中携带UE的IMSI (I nternationalMobileSubscriberldentificationNumber,国家移动用户识别码)和 RNC 选择的eNB ；811、SGSN/MME根据在UMTS AKA中生成的UMTS支路系统密钥CK、IK等参数生成 LTE支路的根密钥Kasme，再根据Kasme和UMTS支路的NAS COUNT值推衍生成KeNB，用函数 KDF 表示为 KeNB = KDF (Kamse、NAS COUNT)；或者，SGSN/MME直接由CK、IK和UMTS支路的NAS COUNT值推衍生成KeNB,用函数KDF 表示为 KeNB = KDF (CK、IK, NAS COUNT)；812、VLR/SGSN 将生成的 KeNB 发送给 RNC ；813、RNC将KeNB和UE安全能力转发给eNB ；814、eNB根据UE的安全能力选择相应的完整性算法和加密算法，并结合KeNBjlJ用现有的推衍方法推衍出AS密钥；815、eNB向UE发送经过AS密钥完整性保护的AS安全模式命令，该命令中包括选择的加密算法和完整性算法，UE的安全能力；816、UE 采用与 RNC 相同的方式，通过 Kasme = KDF (CK、IK、PLMN ID)和 KeNB = KDF(Kamse、NAS COUNT)，获得 KeNB ；或者，通过 KeNB = KDF (CK、IK、NAS COUNT)直接值推衍生成KeNB ；并利用AS安全模式命令中的加密算法和完整性算法推衍出AS密钥，然后检查 AS安全模式命令的完整性，并检查UE的安全能力是否一致；817、检查成功后，UE向eNB发送安全模式完成消息。在本实施例二中，当UE从IDEL到Active状态转化时，eNB对LTE支路的密钥的处理，以及，当LTE支路的PDCP Count值溢出时，eNB对LTE支路密钥的更新处理方法，可以分别采用如图2实施例中描述的技术方案来实现，具体可以参见图2实施例中的相关描述。实施例三UMTS支路的密钥推衍和更新机制与现有机制相同，利用UMTS支路系统密钥(CK、IK)和RNC生成的Nonce值，为LTE支路衍生密钥，如图9所示，具体流程如下其中，本实施例三中步骤901至909与实施例一中的步骤701至709相同，因此在本实施例中只描述与实施例一中不同的步骤；910、RNC生成随机数Nonce，根据在UMTS AKA中生成的密钥CK、IK和Nonce值推衍生成KeNB，用函数表示为KeNB = KDF (CK, IK、Nonce)；911、RNC将生成的KeNB、Nonce和UE安全能力发送给eNB ；912、eNB根据UE的安全能力选择相应的完整性算法和加密算法，并结合KeNB，利用现有的推衍方法推衍出AS密钥；913,eNB向UE发送经过AS密钥完整性保护的AS安全模式命令，该命令中包括选择的加密算法和完整性算法，Nonce及UE的安全能力；914、UE采用与RNC相同的方式，通过KeNB = KDF(CK、IK、Nonce)计算获得KeNB， 利用AS安全模式命令中的加密算法和完整性算法推衍出AS密钥，然后检查AS安全模式命令的完整性，并检查UE的安全能力是否一致；915、检查成功后，UE向eNB发送安全模式完成消息。在本实施例三中当UE从IDEL到Active状态转化时，利用图2实施例中描述的转换处理步骤对当前使用的KeNB进行处理。实施例四，UMTS支路的密钥推衍和更新机制与现有机制相同，利用UMTS支路系统密钥(CK、IK)和UMTS支路Mart值构造的NONCEue，及由所述RNC生成的Fresh值构造的 NONCEmme，为LTE支路衍生密钥，如图10所示，具体流程如下本实施例四中步骤111至119与实施例一中的步骤701至709相同，因此在本实施例中只描述与实施例一中不同的步骤；120、RNC将UMTS支路的Mart值构造NONCEue,将RNC生成的Fresh值作为 NONCEmme，根据在UMTS AKA中生成的密钥CK、IK和NONCEue、NONCEmme推衍生成KeNB ；用函数表示为 KeNB = KDF (CK, IK, NONCEue, NONCEmme)；121、RNC将生成的KeNB和UE安全能力发送给eNB ；122、eNB根据UE的安全能力选择相应的完整性算法和加密算法，并结合KeNB，利
18用现有的推衍方法推衍出AS密钥；123、eNB向UE发送经过AS密钥完整性保护的AS安全模式命令，该命令中包括选择的加密算法和完整性算法，UE的安全能力；124、UE 采用与 RNC 相同的方法，通过 KeNB = KDF (CK, IK, NONCEue, NONCEmme)计算生成KeNB，利用AS安全模式命令中的加密算法和完整性算法推衍出AS密钥，然后检查AS 安全模式命令的完整性，并检查UE的安全能力是否一致；125、检查成功后，UE向eNB发送安全模式完成消息。针对上述步骤120具体的说，利用UMTS支路的START值构造NONCEue可以通过图 2实施例所描述的构造方法来实现，具体请参见图2实施例。在本实施例四中当UE从IDEL到Active状态转化时，eNB对LTE支路的密钥的处理，以及，当LTE支路的PDCP Count值溢出时，eNB对LTE支路密钥的更新处理方法，可以分别采用如图2实施例中描述的技术方案来实现，具体可以参见图2实施例中的相关描述。实施例五UMTS支路的密钥推衍和更新机制与现有机制相同，利用RNC和eNB在基于证书的认证过程中生成的密钥KIPse。和随机数Nonce生成KeNB，如图11所示，具体流程如下本实施例五中步骤221至228与实施例一中的步骤701至708相同，因此在本实施例中只描述与实施例一中不同的步骤；229、RNC和eNB之间基于证书进行相互认证；230、RNC和eNB基于证书认证建立IPsec隧道，生成密钥Kipsec ；231、UE和eNB之间建立无线承载；232、RNC生成随机数Nonce，根据在证书认证中生成的KIPse。和NONCE推衍生成 KeNB，用函数表示为 KeNB = KDF (KIPse。、Nonce)；233、RNC利用UMTS支路安全参数对KeNB进行加密和完整性保护后发送给UE，同时将生成的Nonce值和UE安全能力发送给eNB ；234、UE利用UMTS支路密钥检查MAC值，解密并存储KeNB ；eNB采用与RNC相同方法，根据证书认证中生成的KIPse。和收到的Nonce推衍生成 KeNB，用函数表示为KeNB = KDF (KIPsec,Nonce)，并根据UE的安全能力选择加密和完整性算法，并利用现有推衍方法推衍生成AS密钥；235、eNB向UE发送经过AS密钥完整性保护的安全模式命令，该命令中包括选择的加密算法和完整性算法，UE的安全能力；236、UE利用预先存储的KeNB和AS安全模式命令中的加密算法和完整性算法推衍出AS密钥，然后检查AS安全模式命令的完整性，并检查UE的安全能力是否一致；237、检查成功后，UE向eNB发送安全模式完成消息。在本实施例五中当UE从IDEL到Active状态转化时，可以利用图2实施例中描述的转换处理步骤对当前使用的KeNB进行处理，RNC根据新的NONCE推衍出新的KeNB。具体的说，针对上述实施例五，当UE从IDEL态转变为Active态时，eNB对LTE支路的密钥的处理，以及，当LTE支路的PDCP Count值溢出时，eNB对LTE支路密钥的更新处理方法，可以分别采用如图2实施例中描述的技术方案来实现，具体可以参见图2实施例中的相关描述。
综上所述，实施例一至五以RNC为锚点的U&L Boosting网络架构下的Single Qos场景为例对本发明实施例的技术方案进行了详细说明，适用于以RNC为锚点的U&L Boosting网络架构下的三种应用场景Single Qos,Single PDCP及Single RLC。当本发明实施例的技术方案应用在Single PDCP场景下时，LTE支路和UMTS支路的数据聚合到RNC 的PDCP层，UMTS支路RNC的PDCP层需要增加对LTE支路数据加密的功能。需要说明的， 此时仍然可以利用场景一 Single Qos中根据UMTS支路密钥生成LTE支路密钥的方法，只不过生成的LTE支路密钥不需要发送到eNB上，而是由RNC的PDCP层使用。在本发明实施例的技术方案应用在Single RLC场景下时，LTE支路和UMTS支路的数据聚合到RNC的RLC层。如果UMTS支路采用TM模式，即数据在MAC层进行加密，则UMTS 支路的RLC层需要增加对LTE支路数据加密的功能，利用UMTS支路推衍LTE支路密钥的方法可以和场景一 Single Qos相同，只不过生成的LTE支路密钥不需要发送到eNB上，而是由RNC的RLC层使用。综上所述，本发明实施例提出的应用在LTE-UMTS资源聚合的场景中的一种LTE支路密钥生成的方法、装置及系统，在UE通过LTE支路进行通信时，能够采用生成的LTE支路接入层密钥对LTE支路中UE的数据进行安全保护，避免了由于LTE支路没有密钥引起的UE 数据被攻击者窃听的问题，在保证UE可以通过LTE支路进行正常通信的情况下，提高UE通信的安全性。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所述，仅为本发明较佳的具体实施方式
，但本发明的保护范围并不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。
20
权利要求
1.一种长期演进网络LTE支路密钥生成的方法，应用在LTE-通用移动通信系统UMTS 资源聚合的场景中，其特征在于，包括LTE支路中的基站获取LTE支路接入层根密钥以及用户安全能力； 根据所述接入层根密钥以及由所述用户安全能力确定的接入层算法，生成LTE支路接入层密钥。
2.根据权利要求1所述的方法，其特征在于，所述获取LTE支路接入层根密钥，包括 从通用移动通信系统UMTS支路的无线网络控制器RNC获取所述LTE支路接入层根密钥，其中，所述LTE支路接入层根密钥为所述RNC根据所述UMTS支路系统密钥及密钥生成参数生成的，所述密钥生成参数为=UMTS支路计数器值，或者所述RNC生成的随机数值，或者为 UMTS支路计数器值的最高20位比特值构造的用户侧随机数及由所述RNC生成的新鲜数值构造的网络侧随机数； 或者，所述LTE支路接入层根密钥为所述RNC从服务器获取的，其中，所述LTE支路接入层根密钥由所述服务器根据UMTS支路系统密钥和非接入层计数器值生成，或者由所述服务器根据UMTS支路系统密钥生成LTE支路根密钥后，再根据所述LTE支路根密钥及非接入层计数器值生成。
3.根据权利要求1所述的方法，其特征在于，所述获取LTE支路接入层根密钥，包括 所述LTE支路中的基站获取来自UMTS支路中RNC的密钥生成参数，所述密钥生成参数为所述RNC生成的随机数值；根据所述随机数值以及与所述RNC在认证中生成的IP层安全隧道根密钥，生成所述 LTE支路接入层根密钥。
4.根据权利要求1至3中任一所述的方法，其特征在于，所述方法还包括在生成所述LTE支路接入层密钥后，向用户端发送经过所述接入层密钥保护的接入层安全模式命令，以使得用户端生成所述LTE支路接入层密钥；所述接入层安全模式命令中至少包括所述用户安全能力以及所述确定的接入层算法。
5.根据权利要求1至3中任一所述的方法，其特征在于，所述方法还包括所述LTE支路接入层根密钥更新处理步骤，包括当LTE支路分组数据汇聚协议层的计数器值溢出时，所述基站根据当前使用的所述 LTE支路接入层根密钥、物理小区标识以及下行频点号生成新的LTE支路接入层根密钥，以便根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。。
6.一种基站，能够应用在LTE-UMTS资源聚合的场景中，其特征在于，包括 信息获取模块，用于获取LTE支路接入层根密钥以及用户安全能力；密钥生成模块，用于根据所述信息获取模块获取的所述接入层根密钥以及由所述用户安全能力确定的接入层算法生成LTE支路接入层密钥。
7.根据权利要求6所述的基站，其特征在于，所述信息获取模块具体用于 从所述UMTS支路的RNC获取所述LTE支路接入层根密钥；其中，所述LTE支路接入层根密钥为所述RNC根据所述UMTS支路系统密钥及密钥生成参数生成的，所述密钥生成参数为UMTS支路计数器值，或者所述RNC生成的随机数值，或者UMTS支路计数器值的最高20位比特值构造的用户侧随机数及由所述RNC生成的新鲜数值构造的网络侧随机数；或者，所述LTE支路接入层根密钥为所述RNC从服务器获取的，其中，所述LTE支路接入层根密钥由所述服务器根据UMTS支路系统密钥和非接入层计数器值生成，或者由所述服务器根据UMTS支路系统密钥生成LTE支路根密钥后，再根据所述LTE支路根密钥及非接入层计数器值生成。
8.根据权利要求6所述的基站，其特征在于，所述信息获取模块具体用于获取来自所述UMTS中RNC的密钥生成参数，所述密钥生成参数为所述RNC生成的随机数值；根据所述随机数值以及与所述RNC在认证中生成的IP层安全隧道根密钥生成所述LTE 支路接入层根密钥。
9.根据权利要求6至9中任一所述的基站，其特征在于，所述基站还包括命令发送模块，用于在所述密钥生成模块生成所述LTE支路接入层密钥后，向用户端发送经过所述接入层密钥保护的接入层安全模式命令，以使得用户端生成所述LTE支路接入层密钥；所述接入层安全模式命令中至少包括所述用户安全能力以及所述确定的接入层算法。
10.根据权利要求7至10中任一所述的基站，其特征在于，所述基站还包括密钥更新模块，用于当LTE支路分组数据汇聚协议层的计数器值溢出时，根据当前使用的所述LTE支路接入层根密钥、物理小区标识以及下行频点号来生成新的LTE支路接入层根密钥，以便所述密钥生成模块根据所述新的LTE接入层根密钥以及所述接入层算法， 生成新的LTE支路接入层密钥。。
11.一种LTE支路密钥生成的方法，能够应用在LTE-UMTS资源聚合的场景中，其特征在于，包括UMTS支路中RNC获取LTE支路接入层根密钥；向LTE支路中的基站发送用户安全能力及所述LTE支路接入层根密钥，或者，向所述基站发送所述用户安全能力和用于生成所述LTE支路接入层根密钥的密钥生成参数，使得所述基站根据所述LTE支路接入层根密钥以及由所述用户安全能力确定的接入层算法生成 LTE支路接入层密钥。
12.根据权利要求11所述的方法，其特征在于，所述RNC获取LTE支路接入层根密钥， 包括所述RNC根据UMTS支路系统密钥及密钥生成参数生成所述LTE支路接入层根密钥；其中，所述密钥生成参数为UMTS支路计数器值，或者所述RNC生成的随机数值，或者UMTS支路计数器值的最高20位比特值构造的用户侧随机数及由所述RNC生成的新鲜数值构造的网络侧随机数；或者，所述RNC从服务器获取的所述LTE支路接入层根密钥，其中，所述LTE支路接入层根密钥由所述服务器根据UMTS支路系统密钥和非接入层计数器值生成，或者由所述服务器根据UMTS支路系统密钥生成LTE支路根密钥后，再根据所述LTE支路根密钥及非接入层计数器值生成。
13.根据权利要求12所述的方法，其特征在于，当用户端从空闲态转换为激活态的过程中，所述方法还包括所述密钥生成参数是UMTS支路计数器值时，所述RNC存储所述UMTS支路计数器值，并根据所述UMTS支路系统密钥及所述计数器值生成新的LTE支路接入层根密钥；或者，所述 RNC将用户端发送的所述UMTS支路计数器值的最高20位比特值补0后生成32bits的计数器值，根据所述UMTS支路系统密钥及所述计数器值生成新的LTE支路接入层根密钥；或者，所述RNC将用户端发送的所述UMTS支路计数器值的最高20位比特值和存储的状态转换计数器值串联生成计数器值，生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥；或者，所述密钥生成参数是所述RNC生成的随机数值时，所述RNC生成新的随机数值，利用所述新的随机数值以及所述UMTS支路系统密钥，生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥；或者，所述密钥生成参数是UMTS支路计数器值的最高20位比特值构造的用户侧随机数及由所述RNC生成的新鲜数值构造的网络侧随机数时，所述RNC利用用户端发送的所述UMTS支路计数器值最高20位比特值构造新的用户侧随机数，利用所述新鲜数作为新的网络侧随机数，结合UMTS支路系统密钥，生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。
14.根据权利要求12所述的方法，其特征在于，在所述RNC从服务器获取所述LTE支路接入层根密钥的情况下，当用户端从空闲态转换为激活态时，所述方法进一步包括所述RNC指示所述服务器利用所述UMTS支路非接入层计数器值及所述UMTS支路系统密钥，生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。
15.根据权利要求11所述的方法，其特征在于，所述获取LTE支路接入层根密钥，包括所述RNC生成所述密钥生成参数，所述密钥生成参数为随机数值；所述RNC根据所述随机数值以及与所述LTE支路中的基站在认证中生成的IP层安全隧道根密钥，生成所述LTE支路接入层根密钥。
16.根据权利要求15所述的方法，其特征在于，所述方法还包括将所述LTE支路接入层根密钥通过UMTS支路加密密钥和完整性保护密钥保护后，发送给用户端，以便用户端根据所述接入层根密钥计算所述接入层密钥。
17.根据权利要求14或15所述的方法，其特征在于，当用户端从空闲态转换为激活态时，所述方法还包括所述RNC生成新的随机数；利用所述新的随机数以及所述IP层安全隧道根密钥生成新的LTE支路接入层根密钥， 以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。
18.一种RNC，能够应用在LTE-UMTS资源聚合的场景中，其特征在于，包括密钥采集模块，用于获取LTE支路接入层根密钥；信息发送模块，用于向LTE支路中的基站发送用户安全能力及通过所述密钥采集模块获取到的所述LTE支路接入层根密钥，或者，用于向所述基站发送所述用户安全能力和用于生成所述LTE支路接入层根密钥的密钥生成参数，使得所述基站根据所述LTE支路接入层根密钥以及由所述用户安全能力确定的接入层算法生成LTE支路接入层密钥。
19.根据权利要求18所述的RNC，其特征在于，所述密钥采集模块具体用于根据UMTS支路系统密钥及密钥生成参数生成所述LTE支路接入层根密钥；其中，所述密钥生成参数为UMTS支路计数器值，或者所述RNC生成的随机数值，或者UMTS支路计数器值的最高20位比特值构造的用户侧随机数及由所述RNC生成的新鲜数值构造的网络侧随机数；或者，从服务器获取的所述LTE支路接入层根密钥，其中，所述LTE支路接入层根密钥由所述服务器根据UMTS支路系统密钥和非接入层计数器值生成，或者由所述服务器根据UMTS支路系统密钥生成LTE支路根密钥后，再根据所述LTE支路根密钥及非接入层计数器值生成。
20.根据权利要求19所述的RNC，其特征在于，当用户端从空闲态转换为激活态的过程中，所述密钥采集模块还用于在所述密钥生成参数是UMTS支路计数器值时，存储所述UMTS支路计数器值，并根据所述UMTS支路系统密钥及所述计数器值生成新的LTE支路接入层根密钥；或者，将用户端发送的所述UMTS支路计数器值的最高20位比特值补0后生成32bits的计数器值，根据所述 UMTS支路系统密钥及所述计数器值生成新的LTE支路接入层根密钥；或者，将用户端发送的所述UMTS支路计数器值的最高20位比特值和存储的状态转换计数器值串联生成计数器值，生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥；或者，用于在所述密钥生成参数是所述RNC生成的随机数值时，生成新的随机数值，利用所述新的随机数值以及所述UMTS支路系统密钥，生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥；或者，用于在所述密钥生成参数是UMTS支路计数器值最高20位比特值构造的用户侧随机数及由所述RNC生成的新鲜数值构造的网络侧随机数时，利用用户端发送的所述UMTS支路计数器值最高20位比特值构造新的用户侧随机数，利用所述新鲜数作为新的网络侧随机数， 结合UMTS支路系统密钥，生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE 接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。
21.根据权利要求19所述的RNC，其特征在于，当用户端从空闲态转换为激活态时，所述密钥采集模块还用于在从服务器获取所述LTE支路接入层根密钥的情况下，指示所述服务器利用所述UMTS支路非接入层计数器值及所述UMTS支路系统密钥，生成新的LTE支路接入层根密钥，以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。
22.根据权利要求18所述的RNC，其特征在于，所述密钥采集模块具体用于生成所述密钥生成参数，所述密钥生成参数为随机数值；根据所述随机数值以及与所述LTE支路中的基站在认证中生成的IP层安全隧道根密钥，生成所述LTE支路接入层根密钥。
23.根据权利要求22所述的RNC，其特征在于，所述信息发送模块还用于将所述密钥采集模块采集到的所述LTE支路接入层根密钥，通过UMTS支路加密密钥和完整性保护密钥保护后，发送给用户端，以便用户端根据所述接入层根密钥计算所述接入层密钥。
24.根据权利要求22或23所述的RNC，其特征在于，当用户端从空闲态转换为激活态时，所述密钥采集模块还用于根据生成新的随机数以及所述IP层安全隧道根密钥生成新的LTE支路接入层根密钥， 以便所述基站根据所述新的LTE接入层根密钥以及所述接入层算法，生成新的LTE支路接入层密钥。
25.—种LTE-UMTS资源聚合的系统，其特征在于，包括权利要求6至10中任一所述的基站和权利要求18至M中任意一所述的RNC。
全文摘要
本发明实施例公开了一种密钥生成方法、装置及系统，该方法包括LTE支路中的基站获取LTE支路接入层根密钥以及用户安全能力；根据所述接入层根密钥以及由用户安全能力确定的接入层算法生成LTE支路接入层密钥。本发明实施例还提供了与该方法对应的装置及系统。在U&L Boosting应用场景下，本发明技术方案的实现能够提高LTE支路数据的安全性，使得UE可以通过LTE支路进行正常通信。
文档编号H04W12/04GK102572819SQ20101061656
公开日2012年7月11日 申请日期2010年12月22日 优先权日2010年12月22日
发明者张丽佳, 张冬梅, 陈璟 申请人:华为技术有限公司