技術(shù)領(lǐng)域

本發(fā)明涉及無線通信領(lǐng)域，尤其涉及一種無線通信網(wǎng)絡(luò)中的密鑰分發(fā)方法和系統(tǒng)。

背景技術(shù)

隨著基于IP業(yè)務(wù)和流量的急劇增長，3GPP這種接入技術(shù)漸漸地不能適應(yīng)這種變化。與之對應(yīng)地，無線局域網(wǎng)(Wireless?Local?Area?Network，WLAN)、微波存取全球互通(Worldwide?Interoperability?for?Microwave?Access，WiMAX)等接入技術(shù)開始興起，對3GPP網(wǎng)絡(luò)造成了直接的威脅。為了保證在未來十年以至更久的時間內(nèi)3GPP系統(tǒng)的競爭力，一個接入技術(shù)演進的工作正在3GPP組織內(nèi)部進行。3GPP開始考慮對3GPP網(wǎng)絡(luò)接入技術(shù)的長期演進問題，尤其是對3GPP系統(tǒng)內(nèi)實現(xiàn)的分組交換技術(shù)進行增強，以使得3GPP接入系統(tǒng)在性能和成本方面都處于領(lǐng)先地位。

當(dāng)前無線演進網(wǎng)絡(luò)架構(gòu)如圖1所示，其核心網(wǎng)主要包含移動管理實體(Mobility?Management?Entity，MME)、用戶面實體(User?Plane?Entity，UPE)、系統(tǒng)間錨點(Inter?AS?Anchor，IASA)三個邏輯功能體。其中，MME負責(zé)控制面的移動性管理，包括用戶上下文和移動狀態(tài)管理，分配用戶臨時身份標識、安全功能等；UPE負責(zé)空閑狀態(tài)下為下行數(shù)據(jù)發(fā)起尋呼，管理保存IP承載參數(shù)和網(wǎng)絡(luò)內(nèi)路由信息等；IASA則充當(dāng)不同接入系統(tǒng)間的用戶面錨點。UPE可能單獨存在，也可能和MME合為一個實體。UPE也有可能與IASA合為一個實體。圖中的各個接口的功能和是否存在目前還沒有最終確定。用戶信息存儲于家鄉(xiāng)用戶服務(wù)器(Home?Subscriber?Server，HSS)。

3GPP的網(wǎng)絡(luò)的技術(shù)演進主要包括減少時延和反應(yīng)時間、提高用戶數(shù)據(jù)速率、增強系統(tǒng)容量和覆蓋范圍、降低運營商成本等方面。此外，演進的網(wǎng)絡(luò)結(jié)構(gòu)對于現(xiàn)有網(wǎng)絡(luò)的后向兼容性也是一個重要的指標。其中在安全方面，要求演進網(wǎng)絡(luò)中的用戶安全機制必須保證提供至少和目前2G和3G系統(tǒng)相同級別的安全要求。

目前，在UMTS系統(tǒng)中，安全的終結(jié)點位于無線網(wǎng)絡(luò)控制器(Radio?NetworkController，RNC)。用戶設(shè)備和RNC執(zhí)行加密/解密和完整性保護操作，為用戶數(shù)據(jù)提供機密性保護，為用戶設(shè)備和RNC之間交互的信令提供機密性保護和完整性保護。這種情況下，用戶設(shè)備和RNC僅僅需要使用一個加密密鑰CK和一個完整性保護密鑰IK即可，其加密密鑰和完整性密鑰的分發(fā)方式如下：

1、用戶設(shè)備和網(wǎng)絡(luò)執(zhí)行認證過程，認證結(jié)束后用戶設(shè)備和核心網(wǎng)中的移動業(yè)務(wù)交換中心/訪問位置寄存器(MSC/VLR)得到密鑰CK和IK。

2、核心網(wǎng)中的設(shè)備MSC/VLR或者服務(wù)GPRS支持節(jié)點(Serving?GPRSSupport?Node，SGSN)將密鑰CK和IK發(fā)送給RNC。

然而，在無線演進網(wǎng)絡(luò)中，可能有三個不同的安全關(guān)聯(lián)分別來保護接入層信令、非接入層信令和用戶數(shù)據(jù)的安全，即用戶面的安全、接入層信令面的安全和非接入層信令面的安全。用戶面的安全被終結(jié)在核心網(wǎng)，信令面的接入層信令和非接入層信令兩個部分，分別終結(jié)在接入網(wǎng)和核心網(wǎng)。具體而言，用戶面的安全終結(jié)在核心網(wǎng)的UPE上，接入層信令的安全終結(jié)在無線演進網(wǎng)絡(luò)接入網(wǎng)的基站上，非接入層信令的安全尚未決定終結(jié)在核心網(wǎng)的哪個設(shè)備上，可能終結(jié)在MME上，也可能終結(jié)在IASA上。因此，在無線演進網(wǎng)絡(luò)中，需要將上述三套涉及用戶面安全和信令面安全的密鑰分發(fā)到網(wǎng)絡(luò)中執(zhí)行相應(yīng)安全操作的實體和用戶。

現(xiàn)有UMTS系統(tǒng)中的密鑰分發(fā)方法只能推演和分發(fā)一組密鑰給一個網(wǎng)絡(luò)中執(zhí)行安全操作的實體和用戶。因此，針對演進網(wǎng)絡(luò)，需要制定一種無線演進網(wǎng)絡(luò)中的密鑰推演和分發(fā)方法，以保證網(wǎng)絡(luò)的安全。

發(fā)明內(nèi)容

本發(fā)明提供一種演進網(wǎng)絡(luò)中的密鑰分發(fā)方法，實現(xiàn)在演進網(wǎng)絡(luò)中推演和分發(fā)保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰。

本發(fā)明另提供演進網(wǎng)絡(luò)中的密鑰分發(fā)系統(tǒng)。

本發(fā)明方法包括：

分別推演出保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰；

將推演出的密鑰分發(fā)到網(wǎng)絡(luò)中執(zhí)行相應(yīng)安全操作的實體上。

根據(jù)本發(fā)明的上述方法，用戶信息存儲服務(wù)器和用戶設(shè)備分別推演出相同的所述保護接入層信令、非接入層信令和用戶數(shù)據(jù)安全的密鑰；

用戶信息存儲服務(wù)器將推演出的密鑰發(fā)送到移動管理實體，由移動管理實體分發(fā)到執(zhí)行相應(yīng)安全操作的實體上。