一种确定密钥和密文的方法、系统及装置的制作方法

专利名称：一种确定密钥和密文的方法、系统及装置的制作方法
技术领域：
本发明涉及无线通信技术，特别涉及一种确定密钥和密文的方法、系统及装置。
背景技术：
LTE-A (Long Term Evolution-Advanced，长期演进升级)系统引入 RN(中继节点) 设备后的网络架构，如图1所示，RN设备通过DeNB (基站)接入到核心网，RN设备和核心网没有直接的无线接口， 每个RN设备可以控制一个或多个小区。在此架构下，UE(用户终端)和RN设备的接口称 为Uu接口，RN设备和DeNB之间的接口称为Un接口。在图1的网络架构中，RN具有双重身份首先RN设备具有UE的身份，即RN启动时类似于UE的开机附着过程。RN设备具 有自己的SGW/PGW(Serving Gateway/PDN (Gateway，服务网关/分组数据网关)和控制节点 MME (Mobility Management Entity，移动性管理实体)。外部节点发向RN设备的数据包都 要经过RN设备的SGW/PGW，然后RN设备的SGW/PGW发给RN设备当前的服务基站DeNB，然 后DeNB在Un 口上发给RN设备。其次，对于接入RN设备的UE来说，RN设备具有eNB的身份，此时UE的下行数据 需要从UE的SGW/PGW发送给UE的服务基站，即RN设备，然后RN设备在Uu 口上发给UE。RN设备启动过程分为两个主要过程1、RN设备使用现有的UE附着过程来附着到网络，核心网对RN设备进行认证，建 立基本的连接，并生成NAS (Non-Access Stratum，非接入层)和AS (Access Stratum，接入 层)密钥。2、0&M(Operation and Maintenance，操作维护)设备像认证 eNB —样对 RN 设备 进行认证，并下载配置数据到RN设备，随后RN设备建立必要的Sl接口和X2接口，就可以 正常工作了。目前，3GPP组织对于RN的架构有4种候选方案，在候选架构4中，RNRadio Bearer (无线承载)是由DeNB来控制的，EPC(Evolved Packet Core，演进的分组核心网) 并不知道 RN Radio Bearer0 所以，UE EPS Bearer ID 禾口 UE DRB(Data Radio Bearer，数 据无线承载)ID是有固定对应映射关系的，但是UE EPS Bearer ID和RN Radio Bearer并 没有固定的映射关系，需要DeNB建立一个映射表，RN设备和DeNB内保存的映射关系一致。 RN收到DeNB发来的数据包后，再还原为UE EPS Bearer ID和UE DRB ID的对应关系。DeNB将用户EPS承载一一映射为Un接口上的RN无线承载。当有大量UE同时接 入RN设备时，Un接口上将建立大量与UE EPS承载对应的RN无线承载。但是RN设备启动 时，功能类似于UE，即与DeNB之间共享了一对AS密钥(包括加密密钥和完整性保护密钥)， 用于保护Un接口上的数据和信令安全。RN无线承载标识(Bearer ID)是Un接口上加密和 完整性保护的输入参数之一，发送方根据Bearer ID等参数和AS密钥生成密文，接收方根 据Bearer ID等参数和AS密钥对密文进行处理。由于在使用同一密钥的不同承载上不能使用相同的承载标识，这就限制了 Un接口上只使用一对AS密钥时允许接入UE的数量。而 目前RN Bearer ID只能表示少量的值，当有大量UE接入候选架构4中的RN设备、需要建 立多个RN无线承载时，很可能造成RNBearer ID不够使用，从而降低了 Un 口的安全性。综上所述，目前LTE-A系统中，当有大量UE接入候选架构4的RN设备、需要建立 多个RN无线承载时，很可能造成RN Bearer ID数量不够使用，从而降低了 Un 口的安全性。

发明内容
本发明实施例提供一种确定密钥的方法、系统和装置，用以增加密钥数量，从而在 LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时，提高 Un 口的安全性。本发明实施例提供一种确定密文的方法、系统和装置，用以增加RN无线承载标识 的数量，从而在LTE-A系统中当有大量UE接入架构4中的RN设备、需要建立多个RN无线 承载时，提高Un 口的安全性。本发明实施例提供一种确定密钥的方法，该方法包括在用户终端发起附着请求后，第一网络侧设备为所述用户终端配置一个密钥参 数；所述第一网络侧设备和与所述第一网络侧设备连接的第二网络侧设备分别根据 所述第一网络侧设备配置的密钥参数和预先设定的加密参数，确定所述用户终端对应的一 对接入层AS密钥。本发明实施例提供一种确定密文的方法，该方法包括网络侧设备在需要发送用户终端对应的数据时，根据所述用户终端对应的一对AS 密钥、需要发送的数据和扩展的中继节点RN无线承载标识，生成密文；其中，所述扩展的RN无线承载标识长度不小于6bit。本发明实施例提供一种确定密钥的系统，该系统包括第一网络侧设备，用于在用户终端发起附着请求后，为所述用户终端配置一个密 钥参数，根据配置的密钥参数和预先设定的加密参数，确定所述用户终端对应的一对接入 层AS密钥；与所述第一网络侧设备连接的第二网络侧设备，用于根据所述第一网络侧设备配 置的密钥参数和预先设定的加密参数，确定所述用户终端对应的一对AS密钥。本发明实施例提供一种网络侧设备，该网络侧设备包括配置模块，用于在用户终端发起附着请求后，为所述用户终端配置一个密钥参 数；第一密钥确定模块，用于根据配置的密钥参数和预先设定的加密参数，确定所述 用户终端对应的一对接入层AS密钥。本发明实施例提供另一种网络侧设备，该网络侧设备包括接收模块，用于接收来自其他网络侧设备为用户终端配置的密钥参数；第二密钥确定模块，用于根据所述密钥参数和预先设定的加密参数，确定所述用 户终端对应的一对接入层AS密钥。本发明实施例提供另一种网络侧设备，该网络侧设备包括
标识确定模块，用于确定扩展的中继节点RN无线承载标识，所述扩展的RN无线承 载标识长度不小于6bit ；密文确定模块，用于在需要发送用户终端对应的数据时，根据所述用户终端对应 的一对AS密钥、需要发送的数据和扩展的RN无线承载标识，生成密文。本发明实施例在用户终端发起附着请求后，第一网络侧设备为用户终端配置一个 密钥参数，第一网络侧设备和第二网络侧设备分别根据所述第一网络侧设备配置的密钥参 数和预先设定的加密参数，确定所述用户终端对应的一对接入层AS密钥。由于能够根据接 入的用户终端，为每个用户终端分别分配一个不同的密钥，从而在LTE-A系统中当有大量 UE接入候选架构4中的RN设备、需要建立多个RN无线承载时，提高了 Un 口的安全性。本发明实施例网络侧设备在需要发送用户终端对应的数据时，根据所述用户终端 对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识，生成密文；其中， 扩展的中继节点RN无线承载标识长度不小于6bit。由于能够扩展RN无线承载标识的数 量，从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线 承载时，提高了 Un 口的安全性。


图1为本发明实施例确定密钥的系统结构示意图；图2A 2D为本发明实施例第一种网络侧设备的结构示意图；图3A 3C为本发明实施例第二种网络侧设备的结构示意图；图4为本发明实施例确定密钥的方法流程示意图；图5为本发明实施例用户终端附着过程示意图；图6为本发明实施例第三种网络侧设备的结构示意图；图7为本发明实施例确定密文的方法流程示意图；。图8A为本发明实施例采用扩展RN无线承载标识进行加密的示意图；图8B为本发明实施例采用扩展RN无线承载标识进行解密的示意图；图9A为本发明实施例采用扩展RN无线承载标识进行完整性保护的示意图；图9B为本发明实施例采用扩展RN无线承载标识进行完整性检测的示意图。
具体实施例方式针对候选架构4中RN Bearer ID数量可能不够使用的问题，本发明实施例提出了 两种方案。方案一、本发明实施例在用户终端发起附着请求后，第一网络侧设备为用户终端 配置一个密钥参数，第一网络侧设备和与第一网络侧设备连接的第二网络侧设备分别根据 第一网络侧设备配置的密钥参数和预先设定的加密参数，确定用户终端对应的一对接入层 AS密钥。由于能够根据接入的用户终端，为每个用户终端分别分配一个不同的密钥，从而 在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时， 提高了 Un 口的安全性方案二、本发明实施例网络侧设备在需要发送用户终端对应的数据时，根据用户 终端对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识，生成密文；其中，扩展的中继节点RN无线承载标识长度不小于6bit。由于能够扩展RN无线承载标识 的数量，从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN 无线承载时，提高了 Un 口的安全性。需要说明的是，本发明实施例并不局限于LTE-A系统，其他含有RN设备的系统同 样适用本发明实施例。下面结合说明书附图对本发明实施例作进一步详细描述。如图1所示，本发明实施例确定密钥的系统包括第一网络侧设备10和第二网络 侧设备20。第一网络侧设备10，用于在用户终端发起附着请求后，为该用户终端配置一个密 钥参数，根据配置的密钥参数和预先设定的加密参数，确定用户终端对应的一对AS密钥。与第一网络侧设备10连接的第二网络侧设备20，用于根据第一网络侧设备10配 置的密钥参数和预先设定的加密参数，确定用户终端对应的一对AS密钥。如果第一网络侧设备10是RN设备，则第二网络侧设备20是基站(即密钥参数由 RN设备生成)；如果第一网络侧设备10是基站，则第二网络侧设备20是RN设备(即密钥参数由 基站生成)。其中，不管RN设备是第一网络侧设备10还是第二网络侧设备20，在RN设备启 动时，服务RN设备的MME (Mobility Management Entity，移动性管理实体)会生成一个 KeNB (即加密参数)，然后将KeNB发送给基站，而RN设备也会生成一个同样的KeNB。具体的，MME利用Kasme ( 一个密钥记号，类似KeNB)和NAS COUNT (非接入层计数 器值)=0生成KeNB，RN设备由于有和MME —样的Kasme以及NAS COUNT = 0，所以可以 计算出与MME —样的KeNB。情况一、第一网络侧设备10是RN设备，第二网络侧设备20是基站。这种情况下又分为两种不同的处理方式。方式一、RN设备作为UE启动时，在RN设备、基站、(服务RN的)MME、HSS (Home Subscriber Server，归属用户服务器)之间完成一次认证，RN设备和基站之间共享一个 KeNB, RN设备和DeNB之间协商出一个加密算法和完整性算法。其中，加密算法包括但不限于下列算法中的一种空算法、SNOW 3G和AES (高级数据加密算法)。完整性算法包括但不限于下列算法中的一种空算法、SLNOW3G 禾口 AES。RN设备在用户终端发起附着请求(Attach Request)后，RN设备为该用户终端 配置一个密钥参数(UE specific parameter)，计算出Un 口上针对该用户终端的AS密钥 KUn_int (完整性密钥)和Κυη_εη。(加密密钥)。
权利要求
1.一种确定密钥的方法，其特征在于，该方法包括在用户终端发起附着请求后，第一网络侧设备为所述用户终端配置一个密钥参数； 所述第一网络侧设备和与所述第一网络侧设备连接的第二网络侧设备分别根据所述 第一网络侧设备配置的密钥参数和预先设定的加密参数，确定所述用户终端对应的一对接 入层AS密钥。
2.如权利要求1所述的方法，其特征在于，所述第一网络侧设备是中继节点RN设备，所 述第二网络侧设备是基站；所述第一网络侧设备和第二网络侧设备确定所述用户终端对应的一对AS密钥包括 所述RN设备在为所述用户终端配置一个密钥参数后，根据与所述基站协商确定的完 整性算法、所述密钥参数和预先设定的加密参数，生成完整性密钥，以及根据与所述基站协 商确定的加密算法、所述密钥参数和预先设定的加密参数，生成加密密钥，并将生成的完整 性密钥和加密密钥作为所述用户终端对应的一对AS密钥；所述RN设备将配置的密钥参数通过初始用户终端消息发送给所述基站； 所述基站根据与所述RN设备协商确定的完整性算法、收到的密钥参数和预先设定的 加密参数，生成完整性密钥，以及根据与所述RN设备协商确定的加密算法、收到的密钥参 数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用 户终端对应的一对AS密钥。
3.如权利要求1所述的方法，其特征在于，所述第一网络侧设备是RN设备，所述第二网 络侧设备是基站；所述第一网络侧设备和第二网络侧设备确定所述用户终端对应的一对AS密钥包括 所述RN设备将配置的密钥参数通过初始用户终端消息发送给所述基站； 所述基站根据与所述RN设备协商确定的完整性算法、收到的密钥参数和预先设定的 加密参数，生成完整性密钥，以及根据与所述RN设备协商确定的加密算法、收到的密钥参 数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用 户终端对应的一对AS密钥；所述基站将收到的所述初始用户终端消息转发给服务所述用户终端的移动性管理实 体MME，以及将收到来自所述MME的初始上下文建立请求消息转发给所述RN设备；所述RN设备在收到所述初始上下文建立请求消息后，根据与所述基站协商确定的完 整性算法、所述密钥参数和预先设定的加密参数，生成完整性密钥，以及根据与所述基站协 商确定的加密算法、所述密钥参数和预先设定的加密参数，生成加密密钥，并将生成的完整 性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
4.如权利要求1所述的方法，其特征在于，所述第一网络侧设备是基站，所述第二网络 侧设备是RN设备；所述第一网络侧设备为所述用户终端配置一个密钥参数包括 所述RN设备在用户终端发起的附着请求后，向所述基站发送初始用户终端消息； 所述基站将收到的所述初始用户终端消息转发给服务所述用户终端的MME，在收到来 自所述MME的初始上下文建立请求消息后，为所述用户终端配置一个密钥参数；所述第一网络侧设备和第二网络侧设备确定所述用户终端对应的一对AS密钥包括 所述基站在为所述用户终端配置一个密钥参数后，根据与所述RN设备协商确定的完整性算法、所述密钥参数和预先设定的加密参数，生成完整性密钥，以及根据与所述RN设 备协商确定的加密算法、所述密钥参数和预先设定的加密参数，生成加密密钥，并将生成的 完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥；所述基站将配置的密钥参数通过所述初始上下文建立请求消息发送给所述RN设备； 所述RN设备根据与所述基站设备协商确定的完整性算法、收到的密钥参数和预先设 定的加密参数，生成完整性密钥，以及根据与所述基站协商确定的加密算法、收到的密钥参 数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用 户终端对应的一对AS密钥。
5.如权利要求2 4任一权利要求所述的方法，其特征在于，所述第一网络侧设备为所 述用户终端配置一个密钥参数包括所述第一网络侧设备将发起附着请求的用户终端的标识作为该用户终端的密钥参数；或所述第一网络侧设备按照发起附着请求的用户终端的先后顺序为每个用户终端分配 一个编号，并将分配的编号作为该用户终端的密钥参数；或所述第一网络侧设备随机生成一个数字，并将生成的数字作为该用户终端的密钥参数。
6.如权利要求1所述的方法，其特征在于，所述第一网络侧设备和第二网络侧设备分 别确定所述用户终端对应的一对AS密钥后还包括所述第一网络侧设备或所述第二网络侧设备在需要发送所述用户终端对应的数据时， 所述第一网络侧设备或所述第二网络侧设备根据所述用户终端对应的一对AS密钥、需要 发送的数据和扩展的RN无线承载标识，生成密文；其中，所述扩展的RN无线承载标识长度不小于6bit。
7.一种确定密文的方法，其特征在于，该方法包括网络侧设备在需要发送用户终端对应的数据时，根据所述用户终端对应的一对AS密 钥、需要发送的数据和扩展的中继节点RN无线承载标识，生成密文； 其中，所述扩展的RN无线承载标识长度不小于6bit。
8.一种确定密钥的系统，其特征在于，该系统包括第一网络侧设备，用于在用户终端发起附着请求后，为所述用户终端配置一个密钥参 数，根据配置的密钥参数和预先设定的加密参数，确定所述用户终端对应的一对接入层AS 密钥；与所述第一网络侧设备连接的第二网络侧设备，用于根据所述第一网络侧设备配置的 密钥参数和预先设定的加密参数，确定所述用户终端对应的一对AS密钥。
9.如权利要求8所述的系统，其特征在于，所述第一网络侧设备是中继节点RN设备，所 述第二网络侧设备是基站；所述第一网络侧设备用于在为所述用户终端配置一个密钥参数后，根据与所述基站协商确定的完整性算法、所 述密钥参数和预先设定的加密参数，生成完整性密钥，以及根据与所述基站协商确定的加 密算法、所述密钥参数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加 密密钥作为所述用户终端对应的一对AS密钥，将配置的密钥参数通过初始用户终端消息发送给所述基站；所述第二网络侧设备用于在收到所述密钥参数后，根据与所述RN设备协商确定的完整性算法、收到的密钥参数 和预先设定的加密参数，生成完整性密钥，以及根据与所述RN设备协商确定的加密算法、 收到的密钥参数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密 钥作为所述用户终端对应的一对AS密钥。
10.如权利要求8所述的系统，其特征在于，所述第一网络侧设备是RN设备，所述第二 网络侧设备是基站；所述第一网络侧设备用于所述RN设备将配置的密钥参数通过初始用户终端消息发送给所述基站，在收到来自 所述基站的初始上下文建立请求消息后，根据与所述基站协商确定的完整性算法、所述密 钥参数和预先设定的加密参数，生成完整性密钥，以及根据与所述基站协商确定的加密算 法、所述密钥参数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密 钥作为所述用户终端对应的一对AS密钥；所述第二网络侧设备用于在收到所述密钥参数后，根据与所述RN设备协商确定的完整性算法、收到的密钥参数 和预先设定的加密参数，生成完整性密钥，以及根据与所述RN设备协商确定的加密算法、 收到的密钥参数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密 钥作为所述用户终端对应的一对AS密钥，以及，将收到的所述初始用户终端消息转发给服 务所述用户终端的移动性管理实体MME，以及将收到来自所述MME的初始上下文建立请求 消息转发给所述RN设备。
11.如权利要求8所述的系统，其特征在于，所述第一网络侧设备是基站，所述第二网 络侧设备是RN设备；所述第一网络侧设备用于基站将收到的来自所述RN设备的初始用户终端消息转发给服务用户终端的MME，在 收到来自所述MME的初始上下文建立请求消息后，为所述用户终端配置一个密钥参数，根 据与所述RN设备协商确定的完整性算法、所述密钥参数和预先设定的加密参数，生成完整 性密钥，以及根据与所述RN设备协商确定的加密算法、所述密钥参数和预先设定的加密参 数，生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密 钥，将配置的密钥参数通过所述初始上下文建立请求消息发送给所述RN设备；所述第二网络侧设备用于在用户终端发起的附着请求后，向所述基站发送初始用户终端消息，在收到所述密钥 参数后，根据与所述基站设备协商确定的完整性算法、收到的密钥参数和预先设定的加密 参数，生成完整性密钥，以及根据与所述基站协商确定的加密算法、收到的密钥参数和预先 设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用户终端对 应的一对AS密钥。
12.如权利要求8 11任一权利要求所述的系统，其特征在于，所述第一网络侧设备用于将发起附着请求的用户终端的标识作为该用户终端的密钥参数；或按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号，并将分配的 编号作为该用户终端的密钥参数；或随机生成一个数字，并将生成的数字作为该用户终端的密钥参数。
13.如权利要求8所述的系统，其特征在于，所述第一网络侧设备和所述第二网络侧设 备还用于在需要发送所述用户终端对应的数据时，根据所述用户终端对应的一对AS密钥、需要 发送的数据和扩展的RN无线承载标识，生成密文；其中，所述扩展的RN无线承载标识长度不小于6bit。
14.一种网络侧设备，其特征在于，该网络侧设备包括配置模块，用于在用户终端发起附着请求后，为所述用户终端配置一个密钥参数； 第一密钥确定模块，用于根据配置的密钥参数和预先设定的加密参数，确定所述用户 终端对应的一对接入层AS密钥。
15.如权利要求14所述的网络侧设备，其特征在于，所述网络侧设备是中继节点RN设备；所述第一密钥确定模块用于根据与基站协商确定的完整性算法、所述密钥参数和预先设定的加密参数，生成完整 性密钥，以及根据与所述基站协商确定的加密算法、所述密钥参数和预先设定的加密参数， 生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥； 所述网络侧设备还包括第一发送模块，用于在所述第一密钥确定模块确定所述用户终端对应的一对AS密钥 后，将配置的密钥参数通过初始用户终端消息发送给所述基站。
16.如权利要求14所述的网络侧设备，其特征在于，所述网络侧设备是RN设备； 所述第一密钥确定模块用于在收到来自基站的初始上下文建立请求消息后，根据与所述基站协商确定的完整性算 法、所述密钥参数和预先设定的加密参数，生成完整性密钥，以及根据与所述基站协商确定 的加密算法、所述密钥参数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥 和加密密钥作为所述用户终端对应的一对AS密钥； 所述网络侧设备还包括第二发送模块，用于在所述配置模块为所述用户终端配置一个密钥参数后，将配置的 密钥参数通过初始用户终端消息发送给所述基站。
17.如权利要求14所述的网络侧设备，其特征在于，所述网络侧设备是基站； 所述配置模块用于将收到的来自RN设备的初始用户终端消息转发给服务所述用户终端的移动性管理实 体MME，在收到来自所述MME的初始上下文建立请求消息后，为所述用户终端配置一个密钥 参数；所述第一密钥确定模块用于在所述配置模块为所述用户终端配置一个密钥参数后，根据与所述RN设备协商确定 的完整性算法、所述密钥参数和预先设定的加密参数，生成完整性密钥，以及根据与所述RN 设备协商确定的加密算法、所述密钥参数和预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥； 所述网络侧设备还包括第三发送模块，用于在所述第一密钥确定模块确定所述用户终端对应的一对AS密钥 后，将配置的密钥参数通过初始上下文建立请求消息发送给所述RN设备。
18.如权利要求14 17任一权利要求所述的网络侧设备，其特征在于，所述配置模块 用于将发起附着请求的用户终端的标识作为该用户终端的密钥参数；或 按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号，并将分配的 编号作为该用户终端的密钥参数；或随机生成一个数字，并将生成的数字作为该用户终端的密钥参数。
19.如权利要求14所述的网络侧设备，其特征在于，所述网络侧设备还包括第一生成模块，用于在需要发送所述用户终端对应的数据时，根据所述第一密钥确定 模块确定的所述用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识， 生成密文；其中，所述扩展的RN无线承载标识长度不小于6bit。
20.一种网络侧设备，其特征在于，该网络侧设备包括接收模块，用于接收来自其他网络侧设备为用户终端配置的密钥参数； 第二密钥确定模块，用于根据所述密钥参数和预先设定的加密参数，确定所述用户终 端对应的一对接入层AS密钥。
21.如权利要求20所述的网络侧设备，其特征在于，所述网络侧设备是基站； 所述第二密钥确定模块用于根据与中继节点RN设备协商确定的完整性算法、收到的密钥参数和预先设定的加密 参数，生成完整性密钥，以及根据与所述RN设备协商确定的加密算法、收到的密钥参数和 预先设定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用户终 端对应的一对AS密钥。
22.如权利要求21所述的网络侧设备，其特征在于，所述网络侧设备还包括转发模块，用于在所述第二密钥模块确定一对AS密钥后，将收到的来自RN设备的初始 用户终端消息转发给服务所述用户终端的移动性管理实体MME，以及将收到来自所述MME 的初始上下文建立请求消息转发给所述RN设备。
23.如权利要求20所述的网络侧设备，其特征在于，所述网络侧设备是RN设备； 所述网络侧设备还包括处理模块，用于在用户终端发起的附着请求后，向基站发送初始用户终端消息； 所述接收模块用于接收来自基站的包含密钥参数的初始用户终端消息； 所述第二密钥确定模块用于根据与所述基站设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参 数，生成完整性密钥，以及根据与所述基站协商确定的加密算法、收到的密钥参数和预先设 定的加密参数，生成加密密钥，并将生成的完整性密钥和加密密钥作为所述用户终端对应 的一对AS密钥。
24.如权利要求20 23所述的网络侧设备，其特征在于，所述网络侧设备还包括第二生成模块，用于在需要发送所述用户终端对应的数据时，根据所述第一密钥确定 模块确定的所述用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识， 生成密文；其中，所述扩展的RN无线承载标识长度不小于6bit。
25.一种网络侧设备，其特征在于，该网络侧设备包括标识确定模块，用于确定扩展的中继节点RN无线承载标识，所述扩展的RN无线承载标 识长度不小于6bit ；密文确定模块，用于在需要发送用户终端对应的数据时，根据所述用户终端对应的一 对AS密钥、需要发送的数据和扩展的RN无线承载标识，生成密文。
全文摘要
本发明实施例涉及无线通信技术，特别涉及一种确定密钥和密文的方法、系统及装置，用以增加密钥数量，从而在LTE-A系统中当有大量UE接入RN设备、需要建立多个RN无线承载时，提高Un口的安全性。本发明实施例确定密钥的方法包括在用户终端发起附着请求后，第一网络侧设备为用户终端配置一个密钥参数；第一网络侧设备和第二网络侧设备分别根据第一网络侧设备配置的密钥参数和预先设定的加密参数，确定用户终端对应的一对接入层AS密钥。采用本发明实施例能够根据接入的用户终端，为每个用户终端分别分配一对不同的AS密钥，从而在LTE-A系统中当有大量UE接入RN设备、需要建立多个RN无线承载时，提高了Un口的安全性。
文档编号H04W12/02GK102056157SQ20091023686
公开日2011年5月11日 申请日期2009年11月4日 优先权日2009年11月4日
发明者刘佳敏, 房家奕, 杨义 申请人:大唐移动通信设备有限公司