密钥处理方法及装置制造方法
【专利摘要】本发明提供了一种密钥处理方法及装置,该方法包括,根据源网络的鉴权类型获取与源网络的鉴权类型对应的第一密钥;根据第一密钥获取与目标网络的鉴权类型对应的一个或多个第二密钥;在业务由源网络向目标网络发生切换时,根据一个或多个第二密钥对业务进行密钥处理,通过本发明,解决了现有技术中当支持不同网络制式的终端发生网络制式切换时,不能及时为安全上下文提供保护,影响业务顺利进行的问题,进而达到了对多制式终端在不同的制式之间进行切换时能够及时提供正确的密钥,从而保证终端业务的顺利进行的效果。
【专利说明】密钥处理方法及装置
【技术领域】
[0001]本发明涉及通信领域,具体而言,涉及一种密钥处理方法及装置。
【背景技术】
[0002]在移动通信中,鉴权的作用有两个:鉴别身份、为建立安全上下文提供密钥。鉴权过程开始时,网络侧发送一串随机数到移动终端,移动终端利用该随机数和移动终端的国际移动用户识别码(International Mobile Subscriber IdentificationNumber,简称为IMSI),根据鉴权算法,计算出鉴权响应发送到网络侧。此外,终端还要算出建立安全上下文所需的密钥,以使在业务进行的过程中,业务数据能得到加密和完整性保护。例如,在全球移动通讯系统(Global System for Mobile communications,简称为GSM系统)的制式中,建立安全上下文需要加密密钥(KC);在通用移动通信系统(Universal MobileTelecommunications System,简称为UMTS)的制式中,建立安全上下文需要加密密钥(CK)和完整性保护密钥(IK)。
[0003]GSM/时分同步码分多址(Time Division-Synchronous Code Division MultipleAccess,简称为TD)双模终端使用的可能是客户识别模块(Subscriber Identity Module,简称为SIM)卡或者全球用户识别卡(Universal Subscriber Identity Module,简称为USIM)卡,而在其鉴权过程中,网络侧发送的鉴权类型可能是GSM鉴权,也可能是UMTS鉴权。如果终端收到的鉴权类型是GSM鉴权,卡会计算出KC ;如果终端收到的是UMTS鉴权,卡会计算出CK、IK。
[0004]在GSM/TD双模终端与网侧建立起RR连接后,可能需要建立GSM/UMTS安全上下文,而安全上下文的建立需要使用相应制式下的完整性保护密钥或加密密钥,当安全上下文的类型与卡中保存的密钥类型不一致时(例如,业务进行过程中发生跨制式切换导致安全上下文的类型改变),与之前制式网络进行业务所保存的完整性保护密钥或加密密钥就不能为切换之后网络制式的安全上下文提供保护,因而影响业务的顺利进行。
[0005]因此,在现有技术中存在当支持不同网络制式的终端发生网络制式切换时,不能为安全上下文提供保护,影响业务顺利进行的问题。
【发明内容】
[0006]本发明提供了一种密钥处理方法及装置,以至少解决现有技术中当支持不同网络制式的终端发生网络制式切换时,不能为安全上下文提供保护,影响业务顺利进行的问题。
[0007]根据本发明的一个方面,提供了一种密钥处理方法,包括:根据源网络的鉴权类型获取与所述源网络的鉴权类型对应的第一密钥;根据所述第一密钥获取与目标网络的鉴权类型对应的一个或多个第二密钥;在业务由所述源网络向所述目标网络发生切换时,根据一个或多个所述第二密钥对所述业务进行密钥处理。
[0008]优选地,根据所述第一密钥获取与所述目标网络的鉴权类型对应的一个或多个所述第二密钥包括:在用户终端开机时,判断所述用户终端的卡中是否缺少所述用户终端所支持的网络的鉴权类型对应的一个或多个所述第二密钥;在判断所述用户终端的卡中缺少所述用户终端所支持的网络的鉴权类型对应的一个或多个所述第二密钥的情况下,根据所述第一密钥获取缺少的所述一个或多个第二密钥,以使所述用户终端所支持的网络的鉴权类型所对应的密钥都存储在所述用户终端中。
[0009]优选地,根据所述第一密钥获取与所述目标网络的鉴权类型对应的一个或多个所述第二密钥之后还包括:判断用户终端的卡中是否存在保存所述第二密钥的文件;在所述卡中不存在保存所述第二密钥的文件的情况下,将所述第二密钥存储于所述用户终端的内存中。
[0010]优选地,在业务由所述源网络向所述目标网络发生切换时,根据一个或多个所述第二密钥对所述业务进行密钥处理包括:在业务由所述源网络向所述目标网络发生切换时,从所述用户终端的内存中读取一个或多个所述第二密钥,根据读取的一个或多个所述第二密钥对所述业务进行密钥处理。
[0011]优选地,还包括:在接收到来自网络侧的鉴权拒绝的情况下,将所述第一密钥和一个或多个所述第二密钥删除,其中,所述网络侧包括所述源网络和/或一个或多个所述目标网络。
[0012]优选地,所述源网络为全球移动通信GSM系统或通用移动通信系统UMTS,所述目标网络为通用移动通信系统UMTS或全球移动通信GSM系统。
[0013]根据本发明的另一方面,提供了一种密钥处理装置,包括:第一获取模块,用于根据源网络的鉴权类型获取与所述源网络的鉴权类型对应的第一密钥;第二获取模块,用于根据所述第一密钥获取与目标网络的鉴权类型对应的一个或多个第二密钥;处理模块,用于在业务由所述源网络向所述目标网络发生切换时,根据一个或多个所述第二密钥对所述业务进行密钥处理。
[0014]优选地,所述第二获取模块包括:第一判断模块,在用户终端开机时,判断所述用户终端的卡中是否缺少所述用户终端所支持的网络的鉴权类型对应的一个或多个所述第二密钥;第三获取模块,用于在判断所述用户终端的卡中缺少所述用户终端所支持的网络的鉴权类型对应的一个或多个所述第二密钥的情况下,根据所述第一密钥获取缺少的所述一个或多个第二密钥,以使所述用户终端所支持的网络的鉴权类型所对应的密钥都存储在所述用户终端中。
[0015]优选地,还包括:第二判断模块,用于判断用户终端的卡中是否存在保存所述第二密钥的文件;存储模块,用于在所述卡中不存在保存所述第二密钥的文件的情况下,将所述第二密钥存储于所述用户终端的内存中。
[0016]优选地,还包括读取模块,用于在业务由所述源网络向所述目标网络发生切换时,从所述用户终端的内存中读取一个或多个所述第二密钥,所述处理模块根据读取的一个或多个所述第二密钥对所述业务进行密钥处理。
[0017]通过本发明,采用根据源网络的鉴权类型获取与所述源网络的鉴权类型对应的第一密钥;根据所述第一密钥获取与目标网络的鉴权类型对应的一个或多个第二密钥;在业务由所述源网络向所述目标网络发生切换时,根据一个或多个所述第二密钥对所述业务进行密钥处理,解决了现有技术中当支持不同网络制式的终端发生网络制式切换时,不能及时为安全上下文提供保护,影响业务顺利进行的问题,进而达到了对多制式终端在不同的制式之间进行切换时能够及时提供正确的密钥,从而保证终端业务的顺利进行的效果。
【专利附图】
【附图说明】
[0018]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0019]图1是根据本发明实施例的密钥处理方法的流程图;
[0020]图2是根据本发明实施例的密钥处理装置的结构框图;
[0021]图3是根据本发明实施例的密钥处理装置中第二获取模块24的结构框图;
[0022]图4是根据本发明优选实施例的密钥处理装置的结构框图一;
[0023]图5是根据本发明优选实施例的密钥处理装置的结构框图二。
【具体实施方式】
[0024]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0025]在本实施例中提供了一种密钥处理方法,图1是根据本发明实施例的密钥处理方法的流程图,如图1所示,该流程包括如下步骤:
[0026]步骤S102,根据源网络的鉴权类型获取与该源网络的鉴权类型对应的第一密钥,例如,该源网络可以为全球移动通讯GSM系统;
[0027]步骤S104,根据上述第一密钥获取与目标网络的鉴权类型对应的一个或多个第二密钥,例如,该目标网络可以为通用移动通信系统UMTS ;
[0028]步骤S106,在业务由源网络向目标网络发生切换时,根据一个或多个上述第二密钥对业务进行密钥处理。
[0029]通过上述步骤,终端所进行的业务时在不同的制式间进行切换时,依据在源网络所支持的鉴权类型所对应的密钥获取目标网络的鉴权类型所对应的密钥,从而在切换时就可以直接采用获取的目标网络的鉴权类型所对应的密钥,而不必像现有技术中切换到一个新的网络时重新进行新一轮的鉴权,协商密钥的过程,解决了现有技术中当支持不同网络制式的终端发生网络制式切换时,不能及时为安全上下文提供保护,影响业务顺利进行的问题,进而达到了对多制式终端在不同的制式之间进行切换时能够及时提供正确的密钥,从而保证终端业务的顺利进行的效果,不仅节省了资源,还提高了效率。
[0030]为了确保终端中存储了终端所支持的所有制式的鉴权类型所对应的密钥,并且,为了满足一些比较特殊的场景要求(例如,有一些网络制式在与终端进行业务交互时,并不对用户终端进行鉴权),因此,在用户终端开机时,就判断用户终端的卡中是否缺少用户终端所支持的网络的鉴权类型对应的一个或多个第二密钥中的某个第二密钥;在判断用户终端的卡中缺少一个或多个上述第二密钥的情况下,根据第一密钥获取缺少的上述一个或多个第二密钥,并将获取的上述一个或多个第二密钥存储于用户终端中,以使用户终端所支持的网络的鉴权类型所对应的密钥都存储在用户终端中,当用户终端发生制式切换时,可以及时的从内存中获取需要的上述第二密钥。
[0031]在上述实施例是以源网络为全球移动通信GSM系统而目标网络为通用移动通信UMTS系统为例说明的,当然在实施时,也可以采用源网络为UMTS系统,而目标网络为GSM系统。即当源网络为全球移动通信系统GSM系统时,目标网络为通用移动通信系统UMTS ;当源网络为通用移动通信系统UMTS时,目标网络为全球移动通信系统GSM系统。
[0032]另外,在接收到来自网络侧(例如,源网络和/或一个或多个目标网络)的鉴权拒绝的情况下,将用户终端中所存储的第一密钥和一个或多个第二密钥删除。
[0033]在本实施例中还提供了一种密钥处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
[0034]图2是根据本发明实施例的密钥处理装置的结构框图,如图2所示,该装置包括第一获取模块22、第二获取模块24和处理模块26。下面对该装置进行说明。
[0035]第一获取模块22,用于根据源网络的鉴权类型获取与源网络的鉴权类型对应的第一密钥;第二获取模块24,连接至上述第一获取模块22,用于根据上述第一密钥获取与目标网络的鉴权类型对应的一个或多个第二密钥;处理模块26,连接至上述第二获取模块,用于在业务由源网络向目标网络发生切换时,根据一个或多个第二密钥对业务进行密钥处理。
[0036]图3是根据本发明实施例的密钥处理装置中第二获取模块24的结构框图,如图3所示,该第二获取模块24包括第一判断模块242和第三获取模块244,下面对该模块进行说明。
[0037]第一判断模块242,在用户终端开机时,判断用户终端的卡中是否缺少用户终端所支持的网络的鉴权类型对应的一个或多个第二密钥;第三获取模块244,连接至上述第一判断模块242,用于在判断用户终端的卡中缺少用户终端所支持的网络的鉴权类型对应的一个或多个第二密钥的情况下,根据第一密钥获取缺少的一个或多个第二密钥,以使用户终端所支持的网络的鉴权类型所对应的密钥都存储在用户终端中。
[0038]图4是根据本发明优选实施例的密钥处理装置的结构框图一,如图4所示,该装置除包括图2所示的所有模块外,还包括第二判断模块42和存储模块44。下面对该装置进行说明。
[0039]第二判断模块42,连接至上述第二获取模块24,用于判断用户终端的卡中是否存在保存上述第二密钥的文件;存储模块44,连接至上述第二判断模块42和处理模块26,用于在卡中不存在保存第二密钥的文件的情况下,将第二密钥存储于用户终端的内存中。
[0040]图5是根据本发明优选实施例的密钥处理装置的结构框图二,如图5所示,该装置除包括图4所示的所有模块外,还包括读取模块52,连接至上述处理模块26,用于在业务由源网络向目标网络发生切换时,从用户终端的内存中读取一个或多个第二密钥,上述处理模块26根据读取的一个或多个第二密钥对业务进行密钥处理。
[0041]优选地,上述实施例或是优选实施方式中的源网络可以为全球移动通讯GSM系统,上述目标网络可以为通用移动通信系统UMTS。
[0042]针对相关技术中,当终端发生网络制式切换时,与之前制式网络进行业务所保存的完整性保护密钥或加密密钥就不能为切换之后网络制式的安全上下文提供保护,因而影响业务的顺利进行的问题,本发明实施例提出了一种对多模终端发生切换时,在支持该多制式网络中对鉴权参数的一种处理方法,即,根据一种制式下的密钥计算出另一种制式的密钥,当然,这种密钥的转换,需要考虑到需要转换的场景、转换的算法、转换后的新密钥的保存方式、生存周期等。
[0043]依据网络制式的不同,不同网络制式之间密钥的相互转换也不同,下面以GSM网络与TD为例进行说明。例如,终端支持GSM网络制式,同时也支持TD网络制式,即该终端为GSM/TD双模终端,该终端在建立安全上下文,而安全上下文的类型和卡中所保存的密钥类型不一致时,提供建立安全上下文所需的正确的密钥,即提供与安全上下文类型一致的密钥。在实施时,当出现网络制式不一致是因为发生网络间的相互切换时,可以采用以下的处理方式:终端在收到网络侧发来的鉴权请求时,将鉴权类型和随机数发送到卡中,卡计算出相应的密钥,并保存在卡中。此时,根据卡计算出的密钥计算出另外一种制式的密钥,保存在卡或内存中(即,如果卡存在保存第二密钥的文件则保存在卡中,否则保存在内存中)。当跨制式切换时建立安全上下文所需的密钥的类型和卡中密钥类型不一致时,终端读取保存的密钥。
[0044]需要说明的是,根据卡的应用模式和鉴权类型,密钥的生成和转换也是不同的,例如,当卡的应用模式为SM卡或是USM卡,而鉴权类型为GSM鉴权或是UMTS鉴权时,密钥的生成和转换可以有以下四种情况。需要指出的是,针对以下四种情况,GSM鉴权对应KC、UMTS鉴权对应CK、IK。SM卡中必定存在保存KC的文件,必定不存在保存CK、IK的文件。US頂卡中必定存在保存CK、IK的文件,可能存在,也可能不存在保存KC的文件。下面针对四种情况分别进行说明:
[0045](I)卡的应用模式为SM卡,鉴权类型为GSM鉴权
[0046]SM卡根据GSM鉴权的鉴权类型计算出与该GSM对应的加密密钥KC,利用KC,根据c4、c5算法计算出建立UMTS安全上下文所需的密钥CK、IK,并将该CK、IK保存在内存中,将KC保存在SM卡中。(其中,c4算法可以为:CK[umts]=Kc |Kc;c5算法可以为:IK[UMTS]=KclXOrKc2 I Kc I I Kclxor Kc2;其中,Kc=Kcl | Kc2, Kcl、Kc2 均为 32 位长度)
[0047](2)卡的应用模式为SM卡,鉴权类型为UMTS鉴权
[0048]SIM卡计算出加密密钥CK、IK,利用CK、IK计算出建立UMTS安全上下文所需的密钥KC保存在SIM卡中,将CK、IK保存在内存中。
[0049](3)卡的应用模式为US頂卡,鉴权类型为GSM鉴权
[0050]USIM卡根据GSM鉴权的鉴权类型计算出与该GSM对应的加密密钥KC,利用KC,根据c4、c5算法计算出建立UMTS安全上下文所需的密钥CK、IK,并将该CK、IK保存在卡中,根据USIM卡中是否存在保存KC的文件,将KC保存在卡中或内存中。
[0051](4)卡的应用模式为US頂卡,鉴权类型为UMTS鉴权
[0052]USM卡根据UMTS鉴权的鉴权类型计算出加密密钥CK、IK,利用CK、IK,根据c3算法,计算出建立GSM安全上下文所需的密钥KC,将CK、IK保存在卡中,根据USIM卡中是否存在保存KC的文件,将KC保存在卡中或内存中(其中,c3的算法可以为:KCtossfl=CKlxorCK2xor IKlxor IK2 ;其中,CK=CKl CK2,IK=IKl IK2,CK1、CK2、IK1、IK2 均为 64 位长度)。
[0053]另外,在GSM/TD双模终端开机时,卡中可能只保存有建立GSM安全上下文所需的KC,或者只保存有建立UMTS安全上下文所需的CK、IK。而在终端开机后开始进行业务时,网络侧可能并不发起鉴权而接受业务,此时对业务进行加密所需的密钥可能是不存在的。因此,为了保证业务的正常进行,当卡中缺少某种制式下的密钥时,必须在开机时根据一种密钥计算出另一种密钥。
[0054]例如,在SIM应用模式下,卡中没有保存CK、IK的文件。如果卡中保存有KC,则利用KC计算出CK、IK(参见上述c4、c5算法),并将计算出的CK、IK保存在内存中。而在USM应用模式下,卡中存在保存CK、IK的文件,可能不存在保存KC的文件。如果保存KC的文件不存在,则利用CK、IK计算出KC (参见上述c3算法),并将计算出的KC保存在内存中。
[0055]另外,如果终端收到网络侧发送的鉴权拒绝,则将保存在卡中和内存中的所有密钥删除。并且,上述的技术实现方案,无论是对于CS域鉴权参数还是PS域鉴权参数,都是同样适用的。通过本发明的实施例及优选实施方式,实现了在GSM/TD双模终端中保存两种制式下建立安全上下文所需的密钥,并将上述两种制式下所需的密钥一个保存在卡中,另一个保存在卡中或者内存中。在终端进行GSM或TD任何一种制式的业务时,都能为建立安全上下文提供相应的完整性保护密钥或加密密钥,以确保业务的顺利进行。
[0056]显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
[0057]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种密钥处理方法,其特征在于,包括: 根据源网络的鉴权类型获取与所述源网络的鉴权类型对应的第一密钥; 根据所述第一密钥获取与目标网络的鉴权类型对应的一个或多个第二密钥; 在业务由所述源网络向所述目标网络发生切换时,根据一个或多个所述第二密钥对所述业务进行密钥处理。
2.根据权利要求1所述的方法,其特征在于,根据所述第一密钥获取与所述目标网络的鉴权类型对应的一个或多个所述第二密钥包括: 在用户终端开机时,判断所述用户终端的卡中是否缺少所述用户终端所支持的网络的鉴权类型对应的一个或多个所述第二密钥; 在判断所述用户终端的卡中缺少所述用户终端所支持的网络的鉴权类型对应的一个或多个所述第二密钥的情况下,根据所述第一密钥获取缺少的所述一个或多个第二密钥,以使所述用户终端所支持的网络的鉴权类型所对应的密钥都存储在所述用户终端中。
3.根据权利要求1所述的方法,其特征在于,根据所述第一密钥获取与所述目标网络的鉴权类型对应的一个或多个所述第二密钥之后还包括: 判断用户终端的卡中是否存在保存所述第二密钥的文件; 在所述卡中不存在保存所述第二密钥的文件的情况下,将所述第二密钥存储于所述用户终端的内存中。
4.根据权利要求3所述的方法,其特征在于,在业务由所述源网络向所述目标网络发生切换时,根据一个或多个所 述第二密钥对所述业务进行密钥处理包括:在业务由所述源网络向所述目标网络发生切换时,从所述用户终端的内存中读取一个或多个所述第二密钥,根据读取的一个或多个所述第二密钥对所述业务进行密钥处理。
5.根据权利要求1所述的方法,其特征在于,还包括: 在接收到来自网络侧的鉴权拒绝的情况下,将所述第一密钥和一个或多个所述第二密钥删除,其中,所述网络侧包括所述源网络和/或一个或多个所述目标网络。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述源网络为全球移动通信GSM系统或通用移动通信系统UMTS,所述目标网络为通用移动通信系统UMTS或全球移动通信GSM系统。
7.一种密钥处理装置,其特征在于,包括: 第一获取模块,用于根据源网络的鉴权类型获取与所述源网络的鉴权类型对应的第一密钥; 第二获取模块,用于根据所述第一密钥获取与目标网络的鉴权类型对应的一个或多个第二密钥; 处理模块,用于在业务由所述源网络向所述目标网络发生切换时,根据一个或多个所述第二密钥对所述业务进行密钥处理。
8.根据权利要求7所述的装置,其特征在于,所述第二获取模块包括: 第一判断模块,在用户终端开机时,判断所述用户终端的卡中是否缺少所述用户终端所支持的网络的鉴权类型对应的一个或多个所述第二密钥; 第三获取模块,用于在判断所述用户终端的卡中缺少所述用户终端所支持的网络的鉴权类型对应的一个或多个所述第二密钥的情况下,根据所述第一密钥获取缺少的所述一个或多个第二密钥,以使所述用户终端所支持的网络的鉴权类型所对应的密钥都存储在所述用户终端中。
9.根据权利要求7所述的装置,其特征在于,还包括: 第二判断模块,用于判断用户终端的卡中是否存在保存所述第二密钥的文件; 存储模块,用于在所述卡中不存在保存所述第二密钥的文件的情况下,将所述第二密钥存储于所述用户终端的内存中。
10.根据权利要求9所述的装置,其特征在于,还包括读取模块,用于在业务由所述源网络向所述目标网络发生切换时,从所述用户终端的内存中读取一个或多个所述第二密钥,所述处理模块根据读 取的一个或多个所述第二密钥对所述业务进行密钥处理。
【文档编号】H04W12/04GK103428689SQ201210153384
【公开日】2013年12月4日 申请日期:2012年5月16日 优先权日:2012年5月16日
【发明者】唐磊 申请人:中兴通讯股份有限公司