密钥生成方法、切换方法、移动管理实体和用户设备的制作方法

专利名称：密钥生成方法、切换方法、移动管理实体和用户设备的制作方法
技术领域：
本发明涉及通信领域，尤其涉及密钥生成方法、切换方法、移 动管理实体和用户"i殳备。
背景技术：
第三^C合fN火^半"H"戈'J ( 3rd Generation Partnership Project, 简,尔 为3GPP )的演进的分组系统(Evolved Packet System，简称为EPS )， 是由演进的陆;也无线4妾入网(Evolved UMTS Terrestrial Radio Access Network,简称为E-UTRAN )和EPS演进的分组核心网(Evolved Packet Core ，简称为EPC )纟且成的。
其中，E-UTRAN中的基站设备是演进节点(evolved Node B， 简称为eNB)，而且EPC能够支持用户从全球移动通讯系统增强型 凄t据速率GSM演进无线4妄入网(GSM/EDGE Radio Access Network, 即Global System for Mobile Communication /Enhanced Data Rate for GSM Evolution radio access network,简《尔为GERAN )禾口通用陆;也 无纟戋"l妄入网(Universal Terrestrial Radio Access Network, 简岸尔为 UTRAN)的接入。
3GPP 的通用移动通4言系统 (Universal Mobile Telecommunication System,简称为UMTS )和通用无线分组业务 (General Packet Radio Service,简称为GPRS )系统中，其月良务通用分纟且无线业务支持节点(Serving General Packet Radio Service Support Node,简称为SGSN)主要负责移动性上下文的管理、和/ 或用户安全才莫式的管理，还负责iU正用户i殳备(User Equipment,简 称为UE)。其中，UMTS的无线4妾入网为UTRAN, GPRS的无线 接入网为GERAN, UTRAN中的基站设备是Node B， GERAN中的 基站i殳备是基站系统(Base Station System,简称为BSS )。
EPC的分组核心网包含移动管理实体(Mobility Management Entity,筒称为MME)， MME负责移动性的管理、非4妾入层信令的 处理、以及用户安全才莫式的管理等控制面相关的工作。其中，MME 保存E-UTRAN的根密钥，即接入安全管理实体密钥(Key Access Security Management Entity,筒称为KASME )，其中，UTRAN Y吏用 的密钥为KASME生成的完整性^呆护密钥(Integrity Key,简称为IK ) 和第一加密密钥(Ciphering Key,简称为CK)， GERAN l吏用的密 钥为IK和CK生成的加密密钥(Ciphering Key,简称为Kc)，UTRAN 或GERAN还〗吏用CK/Kc生成的密钥流key stream,用以对消息进 行加密。
目前，UE 乂人E-UTRAN切换到UTRAN或GERAN时，MME 需要使用KASME生成IK和CK，供UTRAN或GERAN使用，如 果UE又乂人UTRAN或GERAN移动到E-UTRAN, UE和MME可 能会使用与UE从E-UTRAN切换到UTRAN或GERAN时相同的 KASME来生成IK和CK。

图1是UE 乂人E-UTRAN移动切:换到 UTRAN或GERAN后，再/人UTRAN或GERAN回到E-UTRAN时， 重新启用E-UTRAN安全上下文的流程图，如图1所示，包括以下 处理
步骤S102， UE处于E-UTRAN中；步骤S104， UE判断其是否保存了 EPS的安全上下文信息，如 果判断结果为是，才丸4于步-骤S106,否则，执4于步艰《S110;
步骤S106, UE判断是否其保存的安全上下文和MME保存的 EPS安全上下文一致，如果判断结果为是，^U于步骤S108，否则， 执行步骤S110;
步骤S108, UE启用EPS保存的安全上下文；
步骤S110, UE不启用EPS保存的安全上下文。
由于上4亍非4姿入层(Non Access Stratum,简称为NAS )的计凝: 器会发生变化，而且演进的节点B密钥(Key evolved Node B，简 称为KeNB )会发生变化，对于NAS保护和接入层(Access Stratum, 简称为AS)保护都不会存在问题。
目前，UE在不同的接入系统之间切换时，如果在图1所示流 程后发生第三次切换后，即当UE再次从E-UTRAN切换到UTRAN 或GERAN时，虽然可以为UTRAN或GERAN生成密钥IK、 CK, ^f旦在UTRAN和GERAN中，相同的IK、 CK ^艮容易产生相同的key stream,这样容易遭到重放攻击，存在严重的安全隐患。

发明内容
考虑到相关技术中存在的相同的IK、 CK容易产生相同的key stream,易遭到重放攻击，存在严重的安全隐患的问题而l是出本发 明，为此，本发明的主要目的在于提供一种密钥生成方法及装置， 以解决上述问题。
才艮据本发明的一个方面，4是供一种密钥生成方法。根据本发明实施例的密钥生成方法包括移动管理实体获取小 区临时标识；移动管理实体使用接入安全管理实体密钥和获得的'J、 区临时标识，利用密钥生成函数生成完整性保护密钥和第一加密密 钥。
其中，移动管理实体使用接入安全管理实体密钥和获得的小区 临时标识，利用密钥生成函数生成完整性保护密钥和第一加密密钥
具体为将小区临时标识和接入安全管理实体密钥输入到预设的密 钥生成函数中；将密钥生成函数的输出结果作为完整性保护密钥和 第一加密密钥。
优选地，小区临时标识包括以下至少之一小区无线网络临时 标识、小区标识。
其中，移动管理实体使用接入安全管理实体密钥和获得的小区 临时标识，利用密钥生成函凄t生成完整性〗呆护密钥和第 一加密密钥 具体为将接入安全管理实体密钥和小区无线网络临时标识输入到 预设的密钥生成函数中，将密钥生成函数的输出结果为完整性保护 密钥和第一加密密钥；或者，将接入安全管理实体密钥和小区标识 输入到预设的密钥生成函数中，将密钥生成函数的输出结果作为完 整性保护密钥和第一加密密钥；或者，将接入安全管理实体密钥、 小区无线网络临时标识、小区标识输入到预_没的密钥生成函数中， 将密钥生成函数的输出结果作为完整性保护密钥和第 一加密密钥。
其中，获耳又小区临时标识具体为移动管理实体4妻收来自源演 进节点的切换请求，其中，切换请求中携带有小区临时标识；移动 管理实体获取切换请求中的小区临时标识。
才艮据本发明的另一个方面，^是供一种密钥生成方法。根据本发明实施例的密钥生成方法包括用户终端使用接入安 全管理实体密钥和小区临时标识，利用密钥生成函数生成完整性保 护密钥和第一加密密钥。
才艮据本发明的另一个方面，提供一种切换方法。
根据本发明实施例的切换方法包括源移动管理实体接收来自 源演进节点的切换请求，并获取切换请求中携带的小区临时标识； 源移动管理实体使用接入安全管理实体密钥和获得的小区临时标 识，利用密钥生成函^:生成完整性^呆护密钥和第一加密密钥；源移 动管理实体和目标服务通用分组无线业务支持节点进^f亍重定位过 程；用户设备使用接入安全管理实体密钥和小区临时标识，利用密 钥生成函凄t生成完整性保护密钥和第一加密密钥。
其中，在源移动管理实体使用接入安全管理实体密钥和获得的 'J 、区临时标识，利用密钥生成函数生成完整性保护密钥和第 一加密 密钥之后，还包括目标服务通用分组无线业务支持节点利用生成 的完整性保护密钥和第一加密密钥生成第二加密密钥。
才艮据本发明的另一个方面，^是供一种移动管理实体。
根据本发明实施例的移动管理实体包括获取模块，用于获取 小区临时标识；密钥生成模块，用于使用接入安全管理实体密钥和 获得的小区临时标识，利用密钥生成函数生成完整性保护密钥和第 一加密密钥。
其中，密钥生成模块包括输入模块，用于将小区临时标识和 接入安全管理实体密钥输入到预设的密钥生成函数中；输出模块， 用于将密钥生成函数的输出结果作为完整性保护密钥和第一加密密 钥。优选地，获取模块从演进节点的切换请求中获得小区临时标识，
并且小区临时标识包括以下至少之一小区无线网络临时标识、小 区标识。
根据本发明的另一个方面，提供一种用户设备。
根据本发明实施例的用户设备包括保存模块，用于保存接入 安全管理实体密钥和小区临时标识；密钥生成模块，用于使用接入 安全管理实体密钥和小区临时标识，利用密钥生成函数生成完整性 保护密钥和第 一加密密钥。
通过本发明的上述至少一个^支术方案，利用KASME与C-RNTI 和/或CELLID可以生成不重复的密钥，4吏得信令和/或lt据能够得 到有效^呆护，加强网络的安全性。
附图"i兌明
附图用来冲是供对本发明的进一步理解，并且构成说明书的一部 分，与本发明的实施例一起用于解释本发明，并不构成对本发明的 限制。在附图中
图1是根据相关技术的UE从UTRAN或GERAN再次移动到 E-UTRAN后启用保存的E-UTRAN安全密钥的流程图2是才艮据本发明方法实施例的密钥生成方法的流程图3是才艮据本发明方法实施例的切:换方法的流^呈图4是根据本发明方法实施例的密钥生成方法的实施例 一 的详 细处理流:程图；细处理流禾呈图6是根据本发明装置实施例的移动管理实体的结构架构图； 图7是根据本发明装置实施例的用户设备的结构架构图。
具体实施例方式
下面将结合附图详细描述本发明。 方法实施例
才艮据本发明实施例，才是供了一种密钥生成方法。
图2是根据本发明实施例的密钥生成方法的流程图，如图2所 示，该方法包纟舌以下步-骤
步骤S202,移动管理设备(MME)获取小区临时标识，其中， 该小区临时标i只包4舌以下至少之一小区无线网纟各临时标i只 (C画RNTI)、小区标识(CEIXID);
步骤S204， MME使用接入安全管理实体密钥(KASME )和获 得的小区临时标识，利用密钥生成函凄t生成完整性4呆护密钥和第一 加密密钥。
通过本发明实施例^是供的才支术方案，由于C-RNTI和/或 CELLID是随才几产生的，利用KASME与C-RNTI和/或CELLID可 以生成不重复的密钥，使得信令和/或数据能够得到有效保护，加强 网络的安全性。其中，在步-骤S202中，MME可以通过以下途径获取小区临时 标识移动管理实体接收来自源演进节点的切换请求，其中，切换 请求中携带有小区临时标识；移动管理实体获取切换请求中的小区 临时朽;-识；
其中，在步骤S204中，MME使用接入安全管理实体密钥和获 得的小区临时标识，利用密钥生成函数生成完整性保护密钥和第一 加密密钥具体为将小区临时标识和接入安全管理实体密钥输入到 预设的密钥生成函数中；将密钥生成函数的输出结果作为完整性保 护密钥和第 一加密密钥。
其中，在步骤S204中，MME可以将KASME和C-RNTI输入 到预设的密钥生成函数中，将密钥生成函数的输出结果为完整性保 护密钥和第一加密密钥；或者，将KASME和CELLID输入到预设 的密钥生成函数中，将密钥生成函数的输出结果作为完整性保护密 钥和第一加密密钥；或者，3夸KASME、 C-RNTI、 CELLID车lr入到 预设的密钥生成函数中，将密钥生成函数的输出结果作为完整性保 护密钥和第一加密密钥。
才艮据本发明实施例，还^是供一种密钥生成方法，该密钥生成方 法包括用户终端^f吏用4妄入安全管理实体密钥和小区临时标识，利 用密钥生成函凄t生成完整性^呆护密钥和第 一加密密钥。
图3是4艮据本发明实施例的切」换方法的流程图，如图3所示， 该方法包4舌以下步艰《
步骤S302，源移动管理实体4妄收来自源演进节点的切换请求， 并获取切换请求中携带的小区临时标识；
步骤S304，源移动管理实体使用KASME和获得的小区临时标 识，利用密钥生成函lt生成完整性^呆护密钥和第一加密密钥，而且目标SGSN利用生成的完整性〗呆护密钥和第一加密密钥生成第二加 密密钥。
步骤S306,源移动管理实体和目标SGSN进行重定位过程；
步骤S308,用户设备接收来自源演进节点的切换命令；
步骤S310,用户设备使用KASME和小区临时标识，利用密钥 生成函#1生成完整性保护密钥和第 一加密密钥。
图4是才艮据本发明方法实施例的密钥生成方法的实施例一的详 细处理流考呈图，本实施例示出了 UE从E-UTRAN切换到UTRAN 时的密钥生成方法，3o图4所示，该方法包括以下步骤
步骤S402,源eNB做出切换决定；
步骤S404,源eNB向源MME发送切换请求，所述切换请求 中携带源eNB随机产生的C-RNTI和/或源eNB的CELLID;
步骤S406，源MME 4妾收到上述切换j青求，获得C-RNTI和/ 或CELLID，使用其保存的KASME，与C-RNTI和/或CELLID，生 成IK、 CK(即，上文所述的第一加密密钥)，其中，生成IK、 CK 的方式包括以下之一
第一种方式源MME将KASME和C-RNTI输入到预先设置 的密钥生成函数中，经过计算，密钥生成函数的输出结果为IK、CK;
第二种方式源MME将KASME、 CELLID输入到预先设置的 密钥生成函凄t中，经过计算，密钥生成函数的输出结果为IK、 CK;第三种方式源MME将KASME、 C-RNTI、 CELLID输入到
预先设置的密钥生成函数中，经过计算，密钥生成函数的输出结果 为IK、 CK;
步骤S408，源MME向目标SGSN发送重定位请求，该重定位 i青求中携带步-骤S406中生成的IK、 CK;
步骤S410,目标SGSN向目标无线网络控制器(RNC )转发上 述重定位请求；
步骤S412,目标RNC接收上述重定位请求，获得生成的IK、 CK,并对IK、 CK进行使用；
步骤S414，目标RNC向目标SGSN发送重定位请求确认；
步骤S416,目标SGSN向源MME发送重定位回复；
步艰《S418，源MME向源eNB发送切4奐命令；
步-骤S420，源eNB向UE发送乂人E-UTRAN切:换到UTRAN的 切换命令；
步骤S422， UE接收到上述切换命令，使用其保存的C-RNTI 和/或CELLID、 KASME,生成IK、 CK，其中，生成IK、 CK的方 式包4舌以下之一
第一种方式UE将KASME和C-RNTI 4!r入到预先设置的密钥 生成函凄t中，经过计算，密钥生成函lt的^r出结果为IK、 CK;
第二种方式UE将KASME、 CELLID输入到预先设置的密钥 生成函凄t中，经过计算，密钥生成函凄t的l叙出结果为IK、 CK;第三种方式UE将KASME、 C-脂TI、 CELLID输入到预先 设置的密钥生成函数中，经过计算，密钥生成函数的输出结果为IK、 CK;
需要i兌明的是，在同一切换过程中，UE侧生成的IK、 CK与 MME侧生成的IK、 CK要一致，步骤S406中生成的IK、 CK要与 步骤S422中生成的IK、 CK相同。
步骤S424， UE向目标RNC发送切换结束消息；
步骤S426,目标RNC向目标SGSN发送重定位结束消息；
步-骤S428，目标SGSN向源MME转发上述重定位结束消息；
步骤S430，源MME向目标SGSN发送重定位结束确认消息。
依照以上步骤，可以生成不重复的密钥，克力良了相关纟支术中UE 从E-UTRAN切换到UTRAN时重复生成的密钥IK、 CK的问题， 增强了安全保护。
细处理流禾呈图，本实施例示出了 UE 乂人E-UTRAN切换到GERAN 的密钥生成方法，如图5所示，该方法包4舌以下步-骤
步骤S502，源eNB发起切换决定；
步骤S504,源eNB向源MME发送切换请求，所述切换请求 中携带源eNB随才几产生的C-RNTI和/或源eNB的CELLID;
步骤S506，源MME接收到上述切换请求，获得C-RNTI和/ 或CEIXID，使用其保存的KASME,与C画RNTI和/或CELLID,生成IK、 CK，其中，生成IK、 CK的方式与步骤S406相同，这里不 再赘述；
步骤S508，源MME向目标SGSN发送重定位-清求，该重定位 请求中携带步骤S506生成的IK、 CK;
步骤S509,目标SGSN利用步骤S506中生成的IK， CK生成 的Kc (即，上文所述的第二加密密钥)；
步骤S510，目标SGSN向目标BSS发送分组域切换请求，同 时发送步4緊S509中生成的Kc;
步骤S512,目标BSS使用Kc进4亍安全保护；
步骤S514,目标BSS向目标SGSN发送分组域切换请求确认；
步骤S516,目标SGSN向源MME发送重定位回复；
步4聚S518 ，源MME向源eNB发送切换命令；
步骤S520，源eNB向UE发送从E-UTRAN切换到GERAN的 切换命令；
步骤S522, UE接收到上述切换命令，使用其保存的KASME、 C-RNTI和/或CELLID,生成IK、 CK，其中，生成IK、 CK的方式 与步骤S422相同，这里不再赘述；
需要i兌明的是，在同一切4奂过程中，UE侧生成的IK、 CK与 MME侧生成的IK、 CK要一致，步骤S506中生成的IK、 CK要与 步骤S522中生成的IK、 CK相同。
步骤S523, UE^f吏用上述IK, CK生成Kc, UE进4亍安全保护；步骤S524, UE向目标BSS发送交换标识回复；
步骤S526,目标BSS向目标SGSN发送分组域切换完成消息；
步骤S528,目标BSS向目标SGSN发送交换标识回复消息；
步-骤S530，目标SGSN向源MME转发重定《立结束；
步骤S532,源MME向目标SGSN转发重定位结束确i人。
依照以上步骤，可以生成不重复的密钥，克服了相关技术中UE 从E-UTRAN切换到GERAN时重复生成的密钥IK、 CK的问题， 增强了安全保护。
装置实施例
其中，如图6所示，该移动管理实体包^":
获取模块IO,用于获取小区临时标识，可以从演进节点的切换 请求中获得小区临时标识，其中，该小区临时标识包括以下至少之 一C-RNTI、 CEIXID;
密钥生成才莫块20,用于使用KASME和获得的小区临时标识， 利用密钥生成函数生成完整性保护密钥和第 一加密密钥。
其中，密钥生成模块20包括输入模块和输出模块，其中，输入 才莫块用于将小区临时标识和KASME输入到预设的密钥生成函数 中；输出模块用于将密钥生成函数的输出结果作为完整性保护密钥 和第一加密密钥。根据本发明实施例提供的移动管理实体，由于C-RNTI和/或 CELLID是随才几产生的，利用KASME与C-RNTI和/或CELLID可
以生成不重复的密钥， -使得信令和/或数据能够得到有效保护，加强 网络的安全性。
图7示出了根据本发明实施例的用户设备的结构架构图，其中， 如图7所示，该用户i殳备包括
保存模块12,用于保存小区临时标识，其中，该小区临时标识 包4舌以下至少之一C-RNTI、 CELUD;
密钥生成才莫块14,用于^f吏用i呆存的KASME和小区临时标识， 利用密钥生成函数生成完整性保护密钥和第一加密密钥。
通过本发明实施例提供的用户设备，由于C-RNTI和/或 CELLID是随才几产生的，利用KASME与C-RNTI和/或CELLID可 以生成不重复的密钥，使得信令和/或数据能够得到有效保护，加强 网络的安全性。
如上，借助于本发明提供的密钥生成方法、切换方法、移动管 理实体、用户设备，由于C-RNTI和/或CELLID是随才/L产生的，利 用KASME与C-RNTI和/或CELLID可以生成不重复的密钥，使得 信令和/或ft据能够得到有效4呆护，加强网络的安全性，而且4吏用 E-UTRAN网络的C-RNTI和/或CELLID生成密钥，没有增加额外 的无线信令，不会对网络造成负担，且加强了接入层的安全性。
本发明实施例以KASME、 C-RNTI、 CELLID作为输入参数来 生成密钥，但并不限于此，还可以-使用其他适合的参凄t作为输入参 数，其中，输入参数可以根据实际情况选取，所以，以其它输入参 ^:利用本发明实施例提供的方法生成密钥的，仍在本发明的保护范 围之内。显然，本领域的技术人员应该明白，上述本发明实施例的各模 块或各步骤可以利用普通的计算装置来实现，其中，可以集中在单 个的计算装置上，也可以分布在多个计算装置所组成的网络上，可 选地，它们可以用计算装置可执行的程序代码来实现，从而，可以 将它们存储在存储装置中由计算装置来执行，或者将它们分别制作 成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个 集成电路模块来实现，本发明并不限制于任何特定的硬件和软件结 合。
以上^叉为本发明的优选实施例而已，并不用于限制本发明，对 于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本 发明的精神和原则之内，所作的任何修改、等同替换、改进等，均 应包含在本发明的《呆护范围之内。
权利要求
1.一种密钥生成方法，其特征在于，包括移动管理实体获取小区临时标识；所述移动管理实体使用接入安全管理实体密钥和获得的所述小区临时标识，利用密钥生成函数生成完整性保护密钥和第一加密密钥。
2. 才艮据权利要求1所述的方法，其特征在于，所述移动管理实体 使用接入安全管理实体密钥和获得的所述小区临时标识，利用 密钥生成函凄t生成完整性保护密钥和第一加密密钥具体为将所述小区临时标识和所述接入安全管理实体密钥输入 到预设的所述密钥生成函数中；将所述密钥生成函数的输出结果作为所述完整性保护密 钥和所述第一加密密钥。
3. 根据权利要求1或2所述的方法，其特征在于，所述小区临时 标识包4舌以下至少之一小区无线网会各临时标识、小区标识。
4. 4艮据一又利要求3所述的方法，其特4正在于，所述移动管理实体 使用接入安全管理实体密钥和获得的所述小区临时标识，利用 密钥生成函凄t生成完整性保护密钥和第一加密密钥具体为将所述4妻入安全管理实体密钥和所述小区无线网络临时 标识输入到预设的所述密钥生成函数中，将所述密钥生成函数 的输出结果为所述完整性保护密钥和所述第 一加密密钥；或者将所述接入安全管理实体密钥和所述小区标识输入到预 设的所述密钥生成函数中，将所述密钥生成函凄t的输出结果作为所述完整性保护密钥和所述第一加密密钥；或者将所述接入安全管理实体密钥、所述小区无线网络临时标 识、所述小区标识输入到预设的所述密钥生成函凄t中，将所述 密钥生成函数的输出结果作为所述完整性保护密钥和所述第 一加密密钥。
5. 才艮据权利要求1或2所述的方法，其特征在于，所述获耳又小区 临时一示i只具体为所述移动管理实体接收来自源演进节点的切换请求，其 中，所述切换请求中携带有所述小区临时标识；所述移动管理实体获取所述切换请求中的所述小区临时 标识。
6. —种密钥生成方法，其特4正在于，包括用户终端使用接入安全管理实体密钥和小区临时标识，利 用密钥生成函凄t生成完整性^f呆护密钥和第一加密密钥。
7. —种切换方法，其特征在于，包括源移动管理实体接收来自源演进节点的切换请求，并获取 所述切换请求中携带的小区临时标识；所述源移动管理实体使用接入安全管理实体密钥和获得 的所述小区临时标识，利用密钥生成函lt生成完整性保护密钥 和第一加密密钥；所述源移动管理实体和目标力良务通用分组无线业务支持 节点进4于重定^f立过程；所述用户设备使用接入安全管理实体密钥和所述小区临 时标识，利用密钥生成函ft生成完整性z床护密钥和第一加密密 钥。
8. 根据权利要求7所述的方法，其特征在于，在所述源移动管理 实体使用接入安全管理实体密钥和获得的所述小区临时标识， 利用密钥生成函数生成完整性保护密钥和第一加密密钥之后， 所述方法还包括所述目标服务通用分组无线业务支持节点利用生成的所 述完整性保护密钥和所述第一加密密钥生成第二加密密钥。
9. 一种移动管理实体，其特征在于，包括获取模块，用于获取d 、区临时标识；密钥生成模块，用于使用接入安全管理实体密钥和获得的 所述小区临时标识，利用密钥生成函凄t生成完整性^床护密钥和 第一加密密钥。
10. 才艮据4又利要求9所述的移动管理实体，其特征在于，所述密钥 生成模块包括输入模块，用于将所述小区临时标识和所述接入安全管理 实体密钥输入到预设的所述密钥生成函数中；输出模块，用于将所述密钥生成函数的输出结果作为所述 完整性保护密钥和所述第 一加密密钥。
11. 根据权利要求9或10所述的移动管理实体，其特征在于，所 述获取模块从演进节点的切换请求中获得所述小区临时标识， 并且所述小区临时标识包括以下至少之一小区无线网络临时 标识、小区标识。
12.—种用户设备，其特征在于，包括保存模块，用于保存接入安全管理实体密钥和小区临时标识；密钥生成;f莫块，用于使用所述接入安全管理实体密钥和所 述小区临时标识，利用密钥生成函数生成完整性保护密钥和第 一加密密钥。
全文摘要
本发明公开了一种密钥生成方法，该方法包括移动管理实体获取小区临时标识；移动管理实体使用接入安全管理实体密钥和获得的小区临时标识，利用密钥生成函数生成完整性保护密钥和第一加密密钥。本发明还提供了一种切换方法、移动管理实体及用户设备。通过本发明，利用KASME与C-RNTI和/或CELLID可以生成不重复的密钥，使得信令和/或数据能够得到有效保护，加强网络的安全性。
文档编号H04B7/26GK101299888SQ20081012523
公开日2008年11月5日 申请日期2008年6月16日 优先权日2008年6月16日
发明者露 甘, 庆 黄 申请人:中兴通讯股份有限公司