WO2011127775A1 - 空中接口密钥的更新方法及无线接入系统 - Google Patents

Description

空中接口密钥的更新方法及无线接入系统 技术领域 本发明涉及无线通信领域， 具体而言， 涉及一种无线通信系统的 SRNC ( Serving Radio Network Controller, 服务无线网络控制器） 迁移时的空中接 口密钥的更新方法及一种无线接入系统。 背景技术

3GPP ( 3rd Generation Partnership Project, 第三代合作伙伴计划） 在 Release7中采用了正交频分复用 (Orthogonal Frequency Division Multiplexing, 简称' OFDM" )和多输入多输出（Multiple-Input Multiple-Output,简称" MIMO") 技术完成 HSDPA ( High Speed Downlink Packet Access, 高速下行链路分组接 入 ) 和 HSUPA ( High Speed Uplink Packet Access, 高速上行链路分组接入 ) 的未来演进道路 HSPA+₀ HSPA+是 3GPP HSPA (包括 HSDPA和 HSUPA ) 的增强技术，为 HSPA运营商提供低复杂度、低成本的从 HSPA向 LTE( Long Term Evolution, 长期演进） 平滑演进的途径。 相比较于 HSPA, HSPA+在系统架构上将无线网络控制器（ Radio Network

Controller, 简称" RNC" ) 的功能下放到基站节点 B ( Node B ), 形成完全扁 平化的无线接入网络架构，如图 1所示。此时称集成了完全 RNC功能的 Node B为 Evolved HSPA Node B , 或者简称为增强节点 Β ( Node B+ )„ SGSN+为 进行了升级能支持 HSPA+功能的 SGSN ( SERVICE GPRS SUPPORT NODE, 月艮务 GPRS ( GPRS: General Packet Radio System, 通用分组无线系统）支持 节点）。 ME+ (图中未示出） 为能支持 HSPA+功能的用户终端设备。 演进的 HSPA系统能够使用 3GPP Rel-5和以后的空中接口版本，对空中接口的 HSPA 业务没有任何 4爹改。 釆用这种方案后， 每个 Node B+都成为一个相当于 RNC 的节点， 具有 Iu-PS接口能够直接与 PS CN ( Core Network, 核心网）（如图 1中的 SGSN和 GGSN )连接， Iu-PS用户面在 SGSN终结， 其中如果网络支 持直通隧道功能， Iu-PS用户面也可以在 GGSN( Gateway GPRS Support Node , 网关 GPRS支持节点） 终结。 演进的 HSPA Node B之间的通信通过 Iur接口 执行。 Node B+具有独立组网的能力， 并支持完整的移动性功能， 包括系统 间和系统内切换。 由于扁平化后， 用户面数据可以不经过 RNC, 直接到达 GGSN, 这意味 着用户平面的加密和完整性保护功能必须前移至 Node B+。 目前， 爱立信提 出了一种 HSPA+安全密钥层次结构， 如图 2所示。 其中， K ( Key, 才艮密钥）、 CK ( Ciphering Key, 加密密钥） 和 IK ( Integrity Key, 完整性密钥） 的定义 与 UMTS ( Universal Mobile Telecommunications System, 通用移动通信系统 ) 中完全一致。 即 K是存储于 AuC ( Authentication Center,鉴权中心）和 USIM ( UNIVERSAL SUBSCRIBER IDENTITY MODULE, 通用订阅者身份模块） 中的根密钥，传统密钥 CK和 IK是用户设备与 HSS( Home Subscriber Server, 归属用户月艮务器） 进行 AKA ( Authentication and Key Agreement , 认证和密 钥十办定） 时由 Κ计算出的加密密钥和完整性密钥。 在 UMTS中， RNC使用 传统的空中接口密钥 CK和 IK对数据进行加密和完整性保护。 由于 HSPA+ 架构中，将 RNC的功能全部下放到基站 Node B+, 则加解密都需在 Node B+ 处进行， 而 Node B+位于不安全的环境中， 安全性不高。 因此 HSPA+引入了 一个类似于 E-UTRAN ( Evolved Universal Terrestrial Radio Access Network, 演进的通用陆地无线接入网络 )的密钥层次， 即 UTRAN密钥层次（ UTRAN Key Hierarchy )„ 在 UTRAN密钥层次结构中， 中间密钥 K_RNC (也被称为 KASMEU ) 是 HSPA+新引入的密钥， 由 CK和 IK推导生成。 进一步地， K_RNC 生成增强的空口密钥 CKu和 IKu,其中 CKu用于加密用户面数据和控制面信 令， IKu用于对控制面信令进行完整性保护。 在 WCDMA系统中， 由于 Iur接口的引入而产生了 SRNC/DRNC ( Drift

RNC, 漂移 RNC )的概念。 SRNC和 DRNC都是对于某一个具体的 UE的逻 辑概念。 简单的说， 对于某一个 UE, 其直接与 CN ( Core Network, 核心网） 相连， 并对 UE ( User Equipment , 用户设备 ) 的所有资源进行控制的 RNC 叫该 UE的 SRNC; UE与 CN没有连接， 仅为 UE提供资源的 RNC叫该 UE 的 DRNC。 处于连接状态的 UE必须而且只能有一个 SRNC, 可以有 0个或 者多个 DRNC。

WCDMA系统中， SRNC迁移（ SRNC Relocation )指 UE的 SRNC从一 个 RNC变成另一个 RNC的过程。 才艮据发生迁移前后 UE所处位置的不同， 可以分为静态迁移和伴随迁移两种情况。 发生静态迁移的条件是 UE从一个 DRNC,而且只从一个 DRNC中接入。 由于迁移过程不需要 UE的参与， 所以也称之为 UE不涉及的 （ UE Not Involved ) 迁移。 发生迁移后， Iur接口的连接被释放， Iu接口发生迁移， 原 DRNC变成 SRNC, 如图 3所示。 静态迁移是软切换时引起的， 因为 Iur接 口， 所以迁移在所有的无线链路都链接到 DRNC后才开始。 伴随迁移指 UE从 SRNC硬切换到目标 RNC, 同时 Iu接口发生变化的 过程， 如图 4所示。 由于迁移过程需要 UE的参与， 所以也称之为 UE涉及 的 （UE Involved ) 迁移。 在 HSPA+中， 由于 Node B+处于物理不安全的环境中， 容易受到恶意攻 击， 安全性受到威胁。 而传统 UMTS中 SRNC迁移时不更新密钥， SRNC迁 移前后， 加密密钥 CK和完整性密钥 IK均不发生改变。 这会造成： 一方面， 某个基站被攻击者攻破后， 攻击者可能推导出下一跳目标基站的安全密钥； 另一方面， 若密钥泄漏或者被攻击者非法获取， 则攻击者可以一直监听用户 的通信， 也可以伪造用户与网络之间的数据传输， 这样都会导致用户的通信 安全不能够被保障。 此外， 在实际的网络布局中， 支持增强安全功能的网络实体和仅支持传 统安全的网络实体并存， 当 SRNC迁移时， 就会存在用户设备从一个支持增 强安全功能的 SRNC+迁移到一个不支持增强安全功能的目标 RNC的场景。 而当 SRNC+做出迁移决策时， 很可能是不知道目标 RNC是否支持增强安全 功能的。 因此， 当 SRNC迁移时， 密钥的更新也需要考虑对传统网络的安全 支持。 发明内容 本发明的主要目的在于提供一种空中接口密钥的更新方法及一种无线接 入系统， 以解决相关技术中因为 SRNC迁移时不更新密钥而造成的通信安全 不能够被保障问题。 才艮据本发明的一个方面， 提供了一种空中接口密钥的更新方法， 包括： 核心网节点接收到目标 RNC的迁移完成指示消息， 该迁移完成指示消息指 示用户设备从源 RNC迁移到目标 RNC成功；使用存储的传统 IK和传统 CK 计算下一 ^兆变形中间密钥； 将下一兆变形中间密钥发送给目标 RNC。 优选地， 核心网节点中存储有源 RNC的当前变形中间密钥； 该空中接 口密钥的更新方法还包括： 将存储的源 RNC的当前变形中间密钥更新为下 一兆变形中间密钥。 优选地，使用存储的传统 IK和传统 CK计算下一跳变形中间密钥的步骤 包括： 使用存储的传统 IK和传统 CK, 以及存储的源 RNC的当前变形中间 密钥计算下一兆变形中间密钥， 当前变形中间密钥和下一兆变形中间密钥为 不同的密钥。 优选地， 源 RNC的当前变形中间密钥为初始变形中间密钥， 初始变形 中间密钥通过使用 CK、 IK和中间密钥计算获取。 优选地， 该空中接口密钥的更新方法还包括： 核心网节点设置下一跳计 数器网络 NCC, 对计算下一跳变形中间密钥的次数计数； 在使用存储的传统 IK和传统 CK计算下一跳变形中间密钥步骤之前或之后，还包括： 网络 NCC 递增 1。 优选地， 该空中接口密钥的更新方法还包括以下步骤： 发送网络 NCC 给目标 RNC , 目标 RNC接收网络 NCC并存储。 优选地， 在核心网节点接收到目标 RNC的迁移完成指示消息步骤之前， 还包括： 核心网节点使用存储的传统 IK和传统 CK计算中间密钥。 优选地，在核心网节点使用存储的传统 IK和传统 CK计算中间密钥步骤 之后， 还包括： 核心网节点使用传统 IK、 传统 CK和中间密钥计算初始变形 中间密钥， 其中， 初始变形中间密钥初始时对应一个虚拟变形中间密钥， 对 应的网络 NCC的值为 0,经所述计算后，初始变形中间密钥对应的网络 NCC 的值为 1。 优选地， 在核心网节点使用传统 IK、 传统 CK和中间密钥计算初始变形 中间密钥步骤之后， 还包括： 核心网节点向 RNC发送安全模式命令消息， 安全模式命令消息包括中间密钥。 优选地， 安全模式命令消息还包括初始变形中间密钥。 优选地， 核心网节点向 RNC发送安全模式命令消息包括： 核心网节点 在用户设备首次附着到网络， 或者用户设备从空闲模式转换到连接模式， 或 者用户设备从演进的通用陆地无线接入网络 E-UTRAN移动到通用陆地无线 接入网络 UTRAN , 或者用户设备从传统的 UTRAN移动到增强的 UTRAN 时， 向 RNC发送安全模式命令消息。 优选地， 在核心网节点接收到目标 RNC的迁移完成指示消息之前， 还 包括以下步 4聚： 源 RNC向目标 RNC发送迁移请求消息， 迁移请求消息中携 带有源 RNC的当前变形中间密钥或中间密钥；目标 RNC接收迁移请求消息， 获取当前变形中间密钥或中间密钥； 目标 RNC使用当前变形中间密钥或中 间密钥计算当前增强加密密钥 CKu和 /或当前增强完整性密钥 IKu;以及向核 心网节点发送迁移完成指示消息。 优选地， 目标 RNC使用当前变形中间密钥计算当前增强 CKu和 /或当前 增强 IKu包括： 目标 RNC令当前变形中间密钥等于自身的中间密钥； 使用 中间密钥计算增强 CKu和 /或增强 IKu。 优选地， 在核心网节点接收到目标 RNC的迁移完成指示消息之前， 还 包括以下步 4聚： 源 RNC向目标 RNC发送迁移请求消息， 迁移请求消息中携 带有源 RNC的当前变形中间密钥或中间密钥；目标 RNC接收迁移请求消息， 获取当前变形中间密钥或中间密钥； 向核心网节点发送迁移完成指示消息； 在核心网节点接收到目标 RNC的迁移完成指示消息之后， 还包括以下步骤： 目标 RNC使用当前变形中间密钥或中间密钥计算当前增强加密密钥 CKu和 / 或当前增强完整性密钥 IKu。 优选地， 源 RNC向目标 RNC发送迁移请求消息， 迁移请求消息中携带 有源 RNC的当前变形中间密钥包括： 源 RNC ^¹当前变形中间密钥置于迁移 请求消息的 IK和 CK字段， 向目标 RNC发送； 或者， 源 RNC发送映射的 传统完整性密钥 IK'和映射的传统加密密钥 CK'给目标 RNC, IK'和 CK'置于 迁移需要消息和 /或迁移请求消息的 IK和 CK字段， 其中， IK'和 CK'使用当 前变形中间密钥计算， 或者使用 IKu和 CKu计算 IK'和 CK'。 优选地， 该空中接口密钥的更新方法还包括： 目标 RNC将迁移请求消 息的 IK字段的内容作为 IK, CK字段的内容作为 CK,按照 UMTS中的传统 安全流程执行； 或者， 目标 RNC将迁移请求消息的 IK字段和 CK字段的内 容取出， 并级联成当前变形中间密钥。 优选地， 迁移请求消息中还携带有以下参数至少之一： 用户设备安全能 力信息、 和网络 NCC。 优选地， 在向核心网节点发送迁移完成指示消息步 4聚之前， 还包括以下 步骤： 目标 RNC向源 RNC发送迁移响应消息， 或者经过核心网节点中转的 迁移请求确认和迁移命令消息， 所述消息中包含网络 NCC; 源 RNC接收迁 移响应消息或迁移请求确认和迁移命令消息， 并向用户设备发送迁移消息， 迁移消息中包含网络 NCC。 优选地， 迁移消息中还包括网络侧安全能力。 优选地， 该空中接口密钥的更新方法还包括： 用户设备接收迁移消息； 使用当前变形中间密钥或中间密钥计算 CKu和 IKu, 并设置终端 NCC, 对执 行计算变形中间密钥的次数计数。 优选地， 计算变形中间密钥的步骤包括： 用户设备判断终端 NCC是否 等于网络 NCC; 若是， 则用户设备按照密钥推导函数根据终端 NCC对应的 预先存储的变形中间密钥更新 CKu和 IKu; 以及若否， 则用户设备计算变形 中间密钥， 并递增相对应的终端 NCC, 直到终端 NCC等于网络 NCC, 并按 照密钥推导函数根据变形中间密钥计算更新 CKu和 IKu。 优选地， 使用当前变形中间密钥或中间密钥计算 CKu和 IKu包括： 使用 当前变形中间密钥或中间密钥， 以及以下参数至少之一： 目标 RNC为 UE分 配的频点 UARFCN、 目标小区物理小区标识 PCI、 扰码 ScramblingCode、 用 户标识、 目标 RNC标识、 选择的加密算法标识、 选择的完整性算法标识、 UMTS中定义的开始参数、 UMTS中定义的刷新参数、 UMTS中定义的完整 性序列号参数、 UMTS中定义的无线资源控制序列号参数、 UMTS中定义的 无线链路控制序列号参数， 计算 CKu和 IKu。 优选地，在核心网节点使用存储的传统 ΙΚ和传统 CK计算中间密钥包括： 核心网节点使用存储的传统 ΙΚ、 传统 CK、 以及以下参数至少之一： 序列号 SQN异或隐藏密钥 AK或计数器值 COUNT, 用户标识， 服务网络标识， 核 心网节点类型， 计算中间密钥。 优选地， 使用中间密钥计算 CKu和 IKu的步骤包括： 用户设备判断终端 NCC是否等于网络 NCC;若是，则用户设备按照密钥推导函数根据终端 NCC 使用中间密钥更新 CKu和 IKu; 以及若否， 则用户设备将终端 NCC与网络 NCC同步， 并计算终端 NCC对应的变形中间密钥， 并按照密钥推导函数根 据变形中间密钥计算更新 CKu和 IKu。 优选地， 中间密钥为用户设备中存储的有效中间密钥。 优选地， 该空中接口密钥的更新方法还包括： 目标 RNC接收下一跳变 形中间密钥， 使用下一跳变形中间密钥更新自身的中间密钥， 并存储。 优选地， 源 RNC和目标 RNC为同一个 RNC。 根据本发明的另一方面， 还提供了一种无线接入系统的核心网节点， 包 括： 接收模块， 设置为接收目标无线网络控制器 RNC的迁移完成指示消息， 该迁移完成指示消息指示用户设备从源 RNC迁移到目标 RNC成功； 计算模 块，设置为使用存储的传统完整性密钥 IK和传统加密密钥 CK计算下一跳变 形中间密钥； 发送模块， 设置为将下一兆变形中间密钥发送给目标 RNC。 优选地， 计算模块包括： 获取模块， 设置为获取传统 IK和传统 CK; 以 及生成模块， 设置为使用传统 IK、 传统 CK和当前变形中间密钥计算下一跳 变形中间密钥， 其中， 当前变形中间密钥和下一兆变形中间密钥为不同的密 钥； 或者， 设置为使用 IK、 CK和中间密钥计算初始变形中间密钥。 优选地， 核心网节点还包括： 下一跳计数器网络 NCC, 设置为对计算下 一跳变形中间密钥的次数计数； 发送模块还设置为发送网络 NCC给目标 RNC。 根据本发明的另一方面， 还提供了一种无线接入系统的 RNC, 包括： 源 RNC和目标 RNC, 其中， 源 RNC包括请求发送模块， 设置为向目标 RNC 发送迁移请求消息， 迁移请求消息中携带有核心网节点发送的当前变形中间 密钥或中间密钥； 目标 RNC包括： 密钥获取模块， 设置为接收迁移请求消 息， 获取当前变形中间密钥或中间密钥； 4舞导模块， 设置为使用当前变形中 间密钥或中间密钥计算增强加密密钥 CKu和增强完整性密钥 IKu; 以及节点 发送模块， 设置为向核心网节点发送迁移完成指示消息。 优选地， 目标 RNC还包括： RNC发送模块， 设置为向源 RNC发送迁移 响应消息， 迁移响应消息中包含下一跳计数器网络 NCC; 源 RNC还包括： 终端发送模块， 设置为接收迁移响应消息， 并向用户设备发送迁移消息， 迁 移消息中包含网络 NCC。 根据本发明的另一方面，还提供了一种无线接入系统的用户设备， 包括： 设备密钥模块， 设置为根据源 RNC发送的网络 NCC同步自身的变形中间密 钥。 优选地， 用户设备还包括： 终端计算模块， 设置为使用当前变形中间密 钥计算增强加密密钥 CKu和增强完整性密钥 IKu; 终端 NCC, 设置为对执行 使用当前变形中间密钥计算 CKu和 IKu的次数计数； 设备密钥模块包括： 判 断模块， 设置为判断终端 NCC是否等于网络 NCC; 确定模块， 设置为若判 断模块的判断结果为是， 则按照密钥推导函数利用终端 NCC对应的预先存 储的变形中间密钥计算更新 CKu和 IKu; 以及否定模块， 设置为若判断模块 的判断结果为否， 则计算变形中间密钥， 并递增相对应的终端 NCC, 直到终 端 NCC等于网络 NCC,将终端 NCC与网络 NCC同步，并计算终端网络 NCC 对应的变形中间密钥，按照密钥推导函数利用变形中间密钥计算更新 CKu和

才艮据本发明的另一方面， 还提供了一种无线接入系统， 包括： 上述的核 心网节点、 RNC和用户设备。 通过本发明， 无线接入系统的核心网节点在终端初始附着时， 或 SRNC 迁移成功完成后， 才艮据核心网节点处的传统密钥 IK、 CK计算生成下一跳变 形中间密钥， 并将下一跳变形中间密钥发送给目标 RNC, 以备下一次 SRNC 迁移时使用， 从而使得源 RNC和目标 RNC使用不同的变形中间密钥 4舞导不 同的增强密钥 IKu和 CKu。 并且由于下一跳目标 RNC使用的空中接口密钥 是由核心网下发的密钥材料 4舞导出来的， 两次 SRNC迁移后， 源 RNC则无 法获知两跳后的目标 RNC的空中接口密钥。 因此即使某个基站被攻击者攻 破或非法控制， 两次 SRNC迁移后也能保证用户进行安全的通信， 保障了用 户的前向安全， 从而整体提高了无线接入系统的通信安全性。 附图说明 此处所说明的附图用来提供对本发明的进一步理解， 构成本申请的一部 分， 本发明的示意性实施例及其说明用于解释本发明， 并不构成对本发明的 不当限定。 在附图中： 图 1为相关技术中的一种釆用 HSPA+技术的无线接入网络的架构示意 图； 图 2为相关技术中的一种 HSPA+安全密钥层次结构示意图； 图 3为相关技术中的一种 SRNC静态迁移示意图； 图 4为相关技术中的一种 SRNC伴随迁移示意图； 图 5为根据本发明实施例的一种空中接口密钥的更新方法的步骤流程 图； 图 6为才艮据本发明实施例的一种空中接口密钥更新的密钥链的示意图； 图 7为才艮据本发明实施例的另一种空中接口密钥更新的密钥链的示意 图； 图 8为根据本发明实施例的一种初始空中接口密钥建立过程的流程图； 图 9为使用图 8所示初始空中接口密钥进行 SRNC迁移的一种空中接口 密钥的更新流程图； 图 10为使用图 8所示初始空中接口密钥进行 SRNC迁移的另一种空中 接口密钥更新流程图； 图 11为根据本发明实施例的另一种初始空中接口密钥建立过程的流程 图； 图 12为使用图 11所示初始空中接口密钥进行 SRNC迁移的一种空中接 口密钥的更新流程图； 图 13为使用图 11所示初始空中接口密钥进行 SRNC迁移的另一种空中 接口密钥的更新流程图； 图 14为根据本发明实施例的一种核心网节点的结构框图； 图 15为才艮据本发明实施例的一种 RNC的结构框图； 图 16为才艮据本发明实施例的一种用户设备的结构框图； 图 17为根据本发明实施例的一种无线接入系统的结构框图。 具体实施方式 下文中将参考附图并结合实施例来详细说明本发明。 需要说明的是， 在 不冲突的情况下， 本申请中的实施例及实施例中的特征可以相互组合。 在釆用 UTRAN的无线接入系统中涉及到的 SRNC迁移， 如图 3和图 4 所示， 涉及核心网节点（ SGSN或 MSC/VLR )、 源 RNC、 目标 RNC、 Node B 和 UE。 在釆用 HSPA+的无线接入系统中， 可以将 Node B+看故 Node B和 RNC的结合， 二者是一个物理实体， 但仍然是两个不同的逻辑实体。 需要说 明的是， 本发明实施例中支持 HSPA+密钥层次的 Node B+也可以等同为

UMTS中进行了升级的 RNC ( RNC+ ), 本发明实施例中的 SRNC和源 RNC (源 Node B+ ) 等同， DRNC和目标 RNC (目标 Node B+ ) 等同。 参照图 5 , 示出了才艮据本发明实施例的一种空中接口密钥的更新方法的 步 4聚流程图， 包括以下步 4聚： 步 4聚 S502: 核心网节点接收到目标 RNC的迁移完成指示消息； 其中 ,迁移完成指示消息指示用户设备从源 RNC迁移到目标 RNC成功。 步骤 S504: 核心网节点使用核心网节点处存储的传统 IK和传统 CK计 算下一跳变形中间密钥； 其中，核心网节点根据传统 IK和传统 CK使用密钥生成函数计算出下一 兆变形中间密钥。 步骤 S506: 核心网节点将下一跳变形中间密钥发送给目标 RNC。 在目标 RNC迁移完成， 向核心网节点发送迁移完成指示消息后， 核心 网节点基于传统 IK和传统 CK计算下一兆变形中间密钥，并将下一兆变形中 间密钥发送给目标 RNC, 目标 RNC存储该下一兆变形中间密钥， 以备下次 SRNC迁移时目标 RNC使用。 传统 UTRAN相关技术中， 在进行 SRNC迁移时， 不改变迁移前后的密 钥， 而通过本实施例， 核心网节点将下一跳变形中间密钥发送给目标 RNC, 以使用户设备在进行下一次 SRNC迁移时， 目标 RNC和用户设备分别基于 更新的变形中间密钥推导增强的空口密钥 IKu/CKu,使得源 RNC和目标 RNC 使用不同的密钥。 并且当进行了两次 SRNC迁移后， 源 RNC不能获得两跳 后的目标基站使用的空口密钥， 从而保证了用户通信的前向安全， 提高了无 线接入系统通信安全性。 在中间密钥 K_RNC的计算过程中， 除了传统密钥 IK、 CK夕卜， 还可以使用 以下参数之一或任意组合： 序列号 SQN异或隐藏密钥 AK (也可以由一个计 数器的值 COUNT替代该参数， COUNT由 SGSN和 UE分别管理和维护）， 用户标识 （如国际用户识别码 IMSI、 临时移动用户识别码 TMSI ), 服务网 络标识， 核心网节点类型。 在 IKu和 /或 CKu的计算过程中， 除了中间密钥 K_RNC或变形中间密钥 K_RNC*外， 还可以使用以下参数之一或任意组合： 目标 RNC为该 UE分配的 频点 UARFCN、 目标小区物理小区标识 PCI、 扰码 ScramblingCode、 用户标 识 （如国际用户识别码 IMSI、 临时移动用户识别码 TMSI、 无线网络临时标 识 RNTI等）， 目标 RNC标识、 选择的加密算法标识 enc-alg-ID、 选择的完 整性算法标识 int-alg-ID、 UMTS中定义的开始参数、 UMTS中定义的刷新参 数、 UMTS中定义的完整性序列号参数、 UMTS中定义的无线资源控制序列 号参数、 UMTS中定义的无线链路控制序列号参数等。 本发明实施例提供了以下密钥函数计算各安全密钥， 包括初始时和 SRNC迁移时计算各安全密钥的密钥函数， 以下密钥函数中， 括号内的参数 不分先后顺序， 其中的多个参数可以以级联形式或其它形式组合。 初始时密钥计算方法：

K_RNC = F1 ( IK, CK, SQN θ AK );

KRNC* = F2 ( IK, CK， RNC );

IKu=F3 ( KR_NC, FRESH, int-alg-ID );

CKu=F4 ( KR_NC, FRESH, enc-alg-ID ); 其中， Fl、 F2、 F3和 F4表示不同的密钥函数， 例如 3GPP定义的 KDF 函数。 K_RNC表示中间密钥， K_RNC*表示变形中间密钥， IKu表示增强的完整 性密钥， CKu表示增强的加密密钥， FRESH表示刷新随机数， enc-alg-ID是 选择的加密算法标识， int-alg-ID是选择的完整性算法标识。

SRNC迁移时密钥计算方法： K_RNc* = F2 ( IK, CK, K_RNC*_old )；

IKu=F3 ( K_RNC*， FRESH, int-alg-ID );

CKu=F4 ( K_RNC*， FRESH, enc-alg-ID ); 或者 K_RNC* = F2 ( IK, CK, K_RNC*_old );

IKu=F3 ( KRNC, FRESH, int-alg-ID );

CKu=F4 ( KR_NC, FRESH, enc-alg-ID )。 其中， Fl、 F2、 F3和 F4表示不同的密钥函数， K_RNC表示中间密钥，

K_RNC*_old表示当前变形中间密钥， K_RNC*表示下一跳变形中间密钥， IKu表 示增强完整性密钥， CKu表示增强加密密钥， FRESH表示刷新随机数， enc-alg-ID表示选择的加密算法标识， int-alg-ID表示选择的完整性算法标识。 本发明的实施例均可以釆用上述密钥函数。 当然， 本领域技术人员也可 以 居实际情况， 釆用其它适当的密钥计算方法， 本发明对此不作限制。 在初始附着时， 或用户设备从空闲态返回激活态时， 或用户设备从 E-UTRAN移动到 UTRAN时，或用户设备从传统的 UTRAN (不支持 HSPA+ 安全 ) 移动到增强的 UTRAN时， 核心网节点对变形中间密钥的处理一般分 为两种情况， 一种是核心网节点初始时向 SRNC下发变形中间密钥 K_RNC*， 首次 SRNC迁移时， 源 RNC 4巴 K_RNC*发送给目标 RNC, 目标 RNC和 UE分 别使用变形中间密钥 K_RNC*推导计算 IKu和 CKu , 这种情况下的空中接口密 钥更新的密钥链如图 6所示， 其中， NCC表示下一跳计数器； 另一种是核心 网节点初始时不向 SRNC下发变形中间密钥 K_RNC*， 首次 SRNC迁移时， 源 RNC和 UE分别使用中间密钥 K_RNC4舞导计算 IKu和 CKu, 在第二次 SRNC 迁移时， 目标 RNC和 UE再分别使用变形中间密钥 K_RNC*推导计算 IKu和 CKu, 这种情况下的空中接口密钥更新的密钥链如图 7所示， 其中， NCC表 示下一跳计数器。 本发明以下实施例分别提供了上述两种情况下的空中接口密钥更新方 法。 参照图 8 , 示出了根据本发明实施例的一种初始空中接口密钥建立过程 的流程图。 本实施例中， 核心网节点初始时向 SRNC下发变形中间密钥 K_RNC*。 当 UE首次附着到网络， 或者 UE从空闲模式转换到连接模式时， 或 者用户设备从 E-UTRAN移动到 UTRAN时，或者用户设备从传统的 UTRAN (不支持 HSPA+安全）移动到增强的 UTRAN时， 通过安全模式命令流程下 发变形中间密钥。 本实施例包括以下步 4聚： 步骤 S802: 核心网节点 （如 SGSN+或 MSC/VLR+ ) 确定允许的加密算 法集和完整性算法集，根据从 HSS处接收到的 CK和 IK计算中间密钥 K_RNC。 对于 UE由空闲模式转换到连接模式时触发的安全模式命令流程， 若 SGSN+或 MSC/VLR+处还存储有有效的 K_RNC, 则该步骤可选， 可以直接使 用存储的 K_RNC , 而不必重新计算。 步骤 S804: 核心网节点根据传统加密密钥 CK、 完整性密钥 IK和步骤 S802中计算出的 K_RNC计算变形中间密钥 K_RNC*。 步骤 S806： 核心网节点向 SRNC发送安全模式命令消息， 该消息携带中 间密钥 K_RNC和变形中间密钥 K_RNC*。 其中， 安全模式命令消息还可以携带以下参数之一或其任意组合： 用户 设备安全能力、 密钥集标识、 选择的完整性算法集、 加密算法集。 步骤 S808: SRNC接收到安全模式命令消息后， 存储接收到的 K_RNC和

步骤 S 810： SRNC生成刷新随机数，从完整性算法集和 /或加密算法集中 选择完整性算法和 /或加密算法， SRNC根据 K_RNC计算增强的完整性密钥 IKu 和 /或加密密钥 CKu。 步骤 S812： SRNC向 UE发送安全模式命令消息。 该安全模式命令消息中可以携带用 IKu计算的消息验证码， 还可以携带 以下参数之一或其任意组合： 用户设备安全能力、 密钥集标识、 选择的完整 性算法、 加密算法、 刷新随机数 FRESH。 步骤 S814: UE接收到安全模式命令消息后， 存储加密算法和完整性算 法，根据 AKA过程生成的加密密钥 CK和完整性密钥 IK计算 K_RNC (该过程 也可发生于收到安全模式命令消息之前）， 根据 K_RNC计算增强的加密密钥 CKu和完整性密钥 IKu。 此时， UE和 SRNC共享相同的完整性密钥 IKu和 / 或加密密钥 CKu, 可以使用上述密钥对双方之间的通信进行保护。 本步骤中， 对于 UE由空闲模式转换到连接模式时触发的安全模式命令 流程， 若 UE处还存储有有效的 K_RNC , 则可以直接使用该 K_RNC , 而不用重 新计算。 优选的， UE还可以根据加密密钥 CK、 完整性密钥 IK和中间密钥 K_RNC 计算变形中间密钥 K_RNC*。 步骤 S 816： UE使用 IKu验证接收到的安全模式命令消息。 步骤 S818: 如果安全模式命令消息验证成功， 则 UE向 SRNC发送安全 模式完成消息， 该消息中携带有用 IKu计算的消息验证码， 或者， UE也可 以同时用 CKu对该安全模式完成消息进行加密。 步骤 S 820： SRNC用 IKu验证接收到的安全模式完成消息； 或者， 先用 CKu对该消息进行解密， 再用 IKu对接收到的安全模式完成消息进行验证。 步骤 S822: 如果安全模式完成消息验证成功， 则 SRNC向 SGSN+或 MSC/VLR+发送安全模式完成消息， 该消息中可以携带参数： 选择的完整性 算法和 /或加密算法。 此后， UE和 NodeB+即可以根据上述密钥开始加解密操作。 优选的， 在本实施例中， 核心网节点维护一个下一跳计数器网络 NCC, 用于对计算下一兆变形中间密钥的步 4聚的次数计数， 以和用户侧密钥同步。 初始时， 网络 NCC可以为 0, 当 UE首次附着到网络， 步骤 S802中计算出 的 K_RNC, 相对应一个虚拟的 KRNC* , 关联的 NCC此时为 0; 当计算 K_RNC* 时 （步骤 S804 ), 对应的网络 NCC为 1。 在核心网节点维护一个网络 NCC 的情况下，安全模式命令消息中还可以携带参数网络 NCC,并发送给 SRNC, 由 SRNC接收和存储。 同样， UE也维护一个下一跳计数器终端 NCC, 用于 对 UE计算下一兆变形中间密钥的次数计数， 以和网络侧密钥同步， 初始值 为 0, 此时对应一个虚拟的 K_RNC*; 当 UE首次计算 K_RNC*， 此时， 对应的终 端 NCC值为 1。 在以后的 SRNC迁移流程中， 当终端 NCC与网络 NCC不 等时， UE计算变形中间密钥 K_RNC*并递增相对应的终端 NCC,直到终端 NCC 等于网络 NCC, 以使 UE和目标 RNC使用的密钥一致。 使用 NCC同步网络 侧和用户侧密钥， 有效保证了网络侧和用户侧密钥的一致性。 参照图 9, 示出了使用图 8所示初始空中接口密钥进行 SRNC迁移的一 种空中接口密钥的更新流程图。 本实施例中， 将扁平化的 Node B+看作演进 的 RNC , 且该过程使用增强的 SRNC迁移流程， 即源 RNC和目标 RNC之 间直接进行通信， 不用通过核心网节点 CNN+的中转。 本实施例包括以下步 4聚： 步骤 S902: SRNC决策进行 SRNC迁移。 该决策的触发条件可以是： 收到 UE的测量报告， 或者收到目标 RNC发 送的上行信令传输指示要求进行小区更新或 URA ( UTRAN Registration Area, UTRAN登记区） 更新等。 步骤 S904: SRNC向目标 RNC发送迁移请求消息， 该消息中携带有 UE 的变形中间密钥 K_RNC* , 即当前变形中间密钥。 迁移请求消息还可以包括以 下参数之一或任意组合： 用户设备安全能力、 用户支持的加密算法、 用户支 持的完整性算法、 选择的加密算法、 选择的完整性算法、 与该变形中间密钥 K_RNC*关联的下一跳计数器网络 NCC。 可选地，由于 SRNC可能不能确定目标 RNC是否支持增强的安全， SRNC 将变形中间密钥 K_RNC*放置于迁移请求消息的 IK和 CK字段。放置方法例如： K_RNC*的高 128位放置于 IK字段， 低 128位放置于 CK字段； 或者 K_RNC*的 高 128位放置于 CK字段， 低 128位放置于 IK字段。 步骤 S906: 若目标 RNC支持增强的安全， 则目标 RNC才艮据变形中间密 钥 K_RNC*推导计算增强的完整性密钥 IKu和 /或增强的加密密钥 CKu。 若目标 RNC不支持增强的安全，则目标 RNC直接将迁移请求消息中 IK 字段的内容作为 IK, CK字段的内容作为 CK, 并按照 UMTS中规定的传统 的安全流程执行， 此处不再赘述。 若目标 RNC支持增强的安全， 且若 SRNC将变形中间密钥 K_RNC*放置 于迁移请求消息的 IK和 CK字段，则目标 RNC将 IK字段和 CK字段的内容 取出， 并级联成变形中间密钥 K_RNC*。 可选的， 目标 RNC令中间密钥 K_RNC等于变形中间密钥 K_RNC* , 基于中 间密钥 K_RNC计算更新的 IKu和 /或 CKu。 可选的， 目标 RNC也可以在步骤 S914a进行密钥更新 (如图 9中虚线 框所示；)。 在 IKu和 /或 CKu的计算过程中， 还可以使用以下参数之一或任意组合： 目标 RNC为该 UE分配的频点 UARFCN、 目标小区物理小区标识 PCI、 扰 码 ScramblingCode、 用户标识（如国际用户识别码 IMSI、 临时移动用户识别 码 TMSI、 无线网络临时标识 RNTI等）、 目标 RNC标识、 选择的加密算法 标识 enc-alg-ID、 选择的完整性算法标识 int-alg-ID、 UMTS中定义的开始参 数、 UMTS中定义的刷新参数、 UMTS中定义的完整性序列号参数、 UMTS 中定义的无线资源控制序列号参数、 UMTS中定义的无线链路控制序列号参 数等。 需要说明的是， 步骤 S906可以发生于步骤 S908之前， 也可以发生于步 骤 S908之后、 步骤 S916之前。 步骤 S908: 目标 RNC为 UE分配资源， 向 SRNC发送迁移响应消息。 本实施例设定核心网节点维护一个下一跳计数器网络 N C C ,该迁移响应 消息携带有网络 NCC参数。 该迁移响应消息还可以携带以下参数之一或任 意组合： 目标 RNC的安全能力、选择的完整性算法、选择的加密算法、 FRESH 参数。 以上参数携带于目标 RNC到源 RNC的透明容器中。 步骤 S910: SRNC向 UE发送物理信道重配置消息， 或者 UTRAN移动 性信息消息。 上述物理信道重配置消息或者 UTRAN移动性信息消息中可以包括： 目 标 RNC的安全能力、选择的完整性算法、选择的加密算法、网络 NCC、FRESH 参数等。 步骤 S912： 若网络侧支持增强的安全， 则 UE更新完整性密钥 IKu和 / 或加密密钥 CKu。 可选的， 目标 RNC令中间密钥 K_RNC等于变形中间密钥 K_RNC* , 基于中 间密钥 K_RNC计算更新的 IKu和 /或 CKu。 本步骤中， UE维护一个下一跳计数器终端 NCC, 在接收到网络 NCC 时， 判断终端 NCC是否等于网络 NCC , 若终端 NCC等于网络 NCC , 则 UE 根据终端 NCC对应的自身存储的变形中间密钥 K_RNC*更新增强的完整性密 钥 IKu和 /或增强的加密密钥 CKu; 若终端 NCC不等于网络 NCC, 则 UE计 算变形中间密钥 K_RNC*并递增相对应的终端 NCC, 直到终端 NCC等于网络 NCC, 才艮据变形中间密钥 K_RNC*更新增强的完整性密钥 IKu和 /或加密密钥 CKu。 UE通过网络 NCC和终端 NCC, 与目标 RNC保持密钥一致。 若网络侧不支持增强的安全， 可选地， 则 UE按照和网络侧相同的规则， 直接将 K_RNC*的高 128位当作传统密钥 IK, 低 128位当作传统密钥 CK; 或 者将 K_RNC*的高 128位当作 CK, 低 128位当作 IK, 按照传统安全规定的流 程执行， 此处不再赘述。 步骤 S914: UE向目标 RNC发送物理信道重配置完成消息或者 UTRAN 移动性信息确认消息， 上述消息用更新的完整性密钥 IKu进行完整性保护， 或用更新的完整性密钥 IKu和加密密钥 CKu对该消息同时进行完整性和加密 保护。 上述物理信道重配置完成消息或者 UTRAN移动性信息确认消息中可以 携带用户设备安全能力参数。 步骤 S914a: 若目标 RNC通过物理信道重配置完成消息或者 UTRAN移 动性信息确认消息获知目标 RNC和 UE都支持 HSPA+安全功能，则目标 RNC 基于 K_RNC或 K_RNC*进行密钥更新。可选的， 目标 RNC令中间密钥 K_RNC等于 变形中间密钥 K_RNC* , 基于中间密钥 K_RNC计算更新的 IKu和 /或 CKu。 具体 操作同步 4聚 S906。 步骤 S916: 目标 RNC接收到 UE发送的物理信道重配置完成消息或者 UTRAN移动性信息确认消息后， 若还未更新空中接口密钥,则此时先进行空 中接口密钥的更新； 若已经进行了空中接口密钥的更新， 则目标 RNC用更 新的完整性密钥 IKu和 /或加密密钥 CKu对该消息进行安全验证。若目标 RNC 对 UE发送的物理信道重配置完成消息或者 UTRAN移动性信息确认消息验 证成功， 则目标 RNC向核心网节点 （如 SGSN+或者 MSC/VLR+ )发送迁移 完成请求消息， 该消息中携带向核心网节点指示迁移完成的信息。 可选地， 该消息携带网络 NCC。 步骤 S918: 核心网节点递增网络 NCC。 步骤 S920: 核心网节点基于 IK、 CK和当前变形中间密钥 K_RNC*计算与 递增后的网络 NCC对应的下一跳变形中间密钥 K_RNC*。 可选地， 核心网节点也可以先基于 IK、 CK和当前变形中间密钥 K_RNC* 计算下一跳变形中间密钥 K_RNC* , 再递增网络 NCC。 步骤 S922： 核心网节点向目标 RNC发送迁移完成响应消息， 该消息中 携带有以下参数： 网络 NCC、 以及该网络 NCC对应的下一跳变形中间密钥

步骤 S924:目标 RNC存储接收到的 NCC和下一跳变形中间密钥 K_RNC*。 步骤 S926: 核心网节点 （ SGSN+或者 MSC/VLR+ )释放与源 RNC之间 的 Iu接口。 参照图 10,示出了使用图 8所示初始空中接口密钥进行 SRNC迁移的另 一种空中接口密钥更新流程图。 本实施例中， SRNC和目标 RNC之间的消息 交互需要通过核心网节点 CNN+ ( SGSN+或 MSC/VLR+ ) 中转。 此外， 与图 9对应的实施例相比， 在该流程中， 釆用了另一种支持传统安全的机制。 该 支持传统安全的机制可以和上述实施例中传统安全支持机制互换， 并不影响 对增强安全的支持的处理。 本实施例包括以下步 4聚： 步骤 S 1002: SRNC决策进行 SRNC迁移。 该决策的触发条件可以是： SRNC收到 UE的测量报告， 或者收到目标

RNC发送的上行信令传输指示要求进行小区更新或 URA更新等。 步骤 S 1004: SRNC向核心网节点发送迁移需要消息。 若 SRNC同时连 接两个 CNN+节点， 则 SRNC同时向该两个 CNN+节点发送迁移需要消息； 若源 RNC和目标 RNC位于两个不同的 CNN+节点下， 则该消息需要经过该 两个 CNN+节点的中转。 迁移需要消息中携带有变形中间密钥 K_RNC*， 还可以携带以下参数之一 或任意组合： 用户设备安全能力、 用户支持的加密算法、 用户支持的完整性 算法、 选择的加密算法、 选择的完整性算法、 与该变形中间密钥 K_RNC*关联 的下一跳计数器网络 NCC。优选地，上述安全材料携带于源 RNC到目标 RNC 的透明容器中。 可选地， 由于 SRNC可能不能确定目标 RNC是否支持增强的安全， 因 此 SRNC发送给目标 RNC的密钥材料中， 除了上述材料， 还包括支持传统 安全的密钥材料， 即映射的传统密钥 IKVCK'。 IKVCK'为 SRNC基于变形中 间密钥 K_RNC*和其它参数进行推导， 或者基于增强密钥 IKu、 CKu和其它参 数进行推导。 其它参数可以为： SRNC和 UE当前使用的刷新参数。 SRNC 将 IKVCK'放置于迁移需要消息的 IK和 CK字段。 步骤 S 1006: 核心网节点向目标 RNC发送迁移请求消息， 消息中携带有 源 RNC到目标 RNC的透明容器， 其中包括变形中间密钥 K_RNC*。 可选地， 上述消息携带参数： 映射的传统密钥 IK7CK，。 本实施例中， 网络侧维护一个网络 NCC, 因此， 迁移请求消息中还携带 有网络 NCC信息。 将网络 NCC发送给目标 RNC , 以方便地实现目标 RNC 与用户之间密钥的一致性。 步骤 S 1008: 若目标 RNC支持增强的安全， 则目标 RNC才艮据变形中间 密钥 K_RNC*推导完整性密钥 IKu和 /或加密密钥 CKu。 可选的， 目标 RNC令中间密钥 K_RNC等于变形中间密钥 K_RNC* , 基于中 间密钥 K_RNC计算更新的 IKu和 /或 CKu。 可选地， 若目标 RNC不支持增强的安全， 则目标 RNC仅能识别映射的 传统密钥 IKVCK'。 目标 RNC直接将消息中 IK字段的内容作为 IK, CK字 段的内容作为 CK, 并按照 UMTS中规定的传统的安全流程执行， 此处不再 赘述。 本步骤中， 目标 RNC也可以在步骤 S 1018a进行密钥更新。 该步 4聚可以发生于步 4聚 S 1010前，也可以发生于 S 1010之后、步 4聚 S 1020 之前。 步骤 S 1010: 目标 RNC向核心网节点发送迁移请求确认消息。 在发送该 消息之前， 目标 RNC和核心网节点可以建立新的 Iu 载， 为 UE分配 RRC ( Radio Resource Control, 无线资源控制协议 )连接资源和无线链路等资源。 若源 RNC和目标 RNC位于两个不同的 CNN+节点（ SGSN+和 /或 MSC/VLR+ ) 下， 则该消息需要经过该两个 CNN+节点的中转。 该迁移确认消息携带有下一跳计数器网络 NCC参数。 步骤 S 1012: 核心网节点向 SRNC发送迁移命令消息。 该迁移命令消息携带核心网节点的下一跳计数器网络 NCC参数。 步骤 S 1014: SRNC向 UE发送物理信道重配置消息或 UTRAN移动性信 息消息。 上述物理信道重配置消息或 UTRAN移动性信息消息中携带有下一跳计 数器网络 NCC参数。 步骤 S 1016： 若网络侧支持增强的安全， 则 UE更新完整性密钥 IKu和 / 或加密密钥 CKu。 可选的， UE令中间密钥 K_RNC等于变形中间密钥 K_RNC*， 基于中间密钥 K_RNC计算更新的 IKu和 /或 CKu。 本步骤中， UE中设置终端 NCC, UE接收网络 NCC, 判断终端 NCC是 否等于网络 NCC, 若二者相等， 则 UE才艮据终端 NCC对应的存储在自身中 的变形中间密钥 K_RNC*更新完整性密钥 IKu和 /或加密密钥 CKu;若网络 NCC 大于终端 NCC, 则 UE计算变形中间密钥 K_RNC*并递增相对应的终端 NCC, 直到终端 NCC等于网络 NCC , , UE根据变形中间密钥 K_RNC*更新完整性密 钥 IKu和 /或加密密钥 CKu。 可选地， 若网络侧不支持增强的安全， 则 UE按照和网络侧相同的规则 推导映射的传统密钥 IKVCK' , 直接使用 IKVCK'作为 IK和 CK, 按照传统 安全规定的流程执行， 此处不再赘述。 步骤 S 1018: UE向目标 RNC发送物理信道重配置完成消息或 UTRAN 移动性信息确认消息。 上述消息可以用更新的完整性密钥 IKu进行完整性保 护，或用更新的完整性密钥 IKu和加密密钥 CKu对上述消息同时进行完整性 和加密保护。 该消息中还可以携带用户设备安全能力参数。 步骤 S 1018a: 若目标 RNC和 UE都支持增强的安全功能， 则目标 RNC 基于 K_RNC*进行密钥更新。 可选的， 目标 RNC令中间密钥 K_RNC等于变形中 间密钥 K_RNC* , 基于中间密钥 K_RNC计算更新的 IKu和 /或 CKu。 具体操作同 步骤 S 1008。 步骤 S 1020: 目标 RNC用更新的完整性密钥 IKu和 /或加密密钥 CKu对 该消息进行安全验证。若目标 RNC对 UE发送的消息验证成功，则目标 RNC 向核心网节点（ SGSN+或者 MSC/VLR+ )发送迁移完成消息， 该消息携带向 核心网节点指示迁移完成的信息， 还可以有网络 NCC信息。 步骤 S 1022： 核心网节点递增网络 NCC。 步 4聚 S 1024: 核心网节点基于 IK、 CK和当前变形中间密钥 K_RNC*计算 与递增后的网络 NCC对应的下一兆变形中间密钥 K_RNC*。 可选地， 核心网节点也可以先基于 IK、 CK和当前变形中间密钥 K_RNC* 计算下一 3兆变形中间密钥 K_RNC* , 再递增网络 NCC。 步骤 S 1026: 核心网节点向目标 RNC发送迁移完成确认消息， 该消息携 带网络 NCC参数和相关联的下一兆变形中间密钥 K_RNC*。 步骤 S 1028: 目标 RNC存储接收到的网络 NCC和相关联的下一跳变形 中间密钥 K_RNC*。 步骤 S 1030: 核心网节点 （ SGSN+或者 MSC/VLR+ )释放与源 RNC之 间的 Iu接口。 参照图 11 , 示出了根据本发明实施例的另一种初始空中接口密钥建立过 程的流程图。 本实施例中， 核心网节点初始时不下发变形中间密钥 K_RNC*到 SRNC。 当 UE首次附着到网络， 或者 UE从空闲模式转换到连接模式时， 或 者用户设备从 E-UTRAN移动到 UTRAN时， 或用户设备从传统的 UTRAN (不支持 HSPA+安全）移动到增强的 UTRAN时， 通过安全模式命令流程建 立安全密钥。 本实施例包括以下步 4聚： 步骤 S 1102: 核心网节点（如 SGSN+或 MSC/VLR+ )确定允许的加密算 法集和完整性算法集，根据从 HSS处接收到的加密密钥 CK和完整性密钥 IK 计其 KRNC O 本步骤中， 对于 UE由空闲模式转换到连接模式时触发的安全模式命令 流程， 或者若 SGSN+或 MSC/VLR+处还存储有有效的 K_RNC, 则该步骤可选， 可以直接使用存储的 K_RNC, 而不用重新计算。 另外， 本实施例设定核心网节点中设置有网络 NCC, 用于和用户侧密钥 同步， 初始值为 0, jt匕时与一个虚拟的 K_RNC*相关联。 步骤 S 1104: 核心网节点才艮据加密密钥 CK、 完整性密钥 IK和 K_RNC计 算 K_RNC*。 本步骤中， 与 K_RNC*对应的网络 NCC值为 1。 步骤 S 1106: 核心网节点向 SRNC发送安全模式命令消息， 该消息携带 中间密钥 K_RNC, 还可以携带以下参数之一或任意组合： 网络 NCC参数、 UE 安全能力， 密钥集标识， 选择的完整性算法集和 /或加密算法集。 步骤 S 1108: SRNC接收到安全模式命令消息后， 存储接收到的 K_RNC和 网络 NCC等参数。 优选地， 若安全模式命令消息中未携带网络 NCC参数， 则 SRNC接收 到该消息后， 将 NCC值初始化为 0。 步骤 S 1110: SRNC生成刷新随机数 FRESH, 从完整性算法集和 /或加密 算法集中选择完整性和 /或加密算法， SRNC根据 K_RNC计算完整性密钥 IKu 和 /或加密密钥 CKu。 步骤 S 1112： SRNC向 UE发送安全模式命令消息。 该安全模式命令消息携带用 IKu计算的消息验证码， 并携带以下参数之 一或其任意组合： UE安全能力， 密钥集标识， 选择的完整性算法和 /或加密 算法， 随机数 FRESH。 步骤 S 1114: UE收到安全模式命令消息后，存储加密算法和完整性算法， 根据 AKA过程生成的加密密钥 CK和完整性密钥 IK计算 K_RNC(该过程也可 发生于收到安全模式命令消息之前），根据 K_RNC计算 HSPA+的加密密钥 CKu 和完整性密钥 IKu。 此时， UE和 SRNC共享相同的完整性密钥 ΙΚυ和 /或加 密密钥 CKu, 可以使用上述计算出的密钥对双方之间的通信进行保护。 优选的， UE还可以根据加密密钥 CK、 完整性密钥 IK和中间密钥 K_RNC 计算变形中间密钥 K_RNC*。 本实施例中， UE维护一个下一跳计数器终端 NCC, 用于和网络侧密钥 同步， 初始值为 0, 与其对应的虚拟 K_RNC*为 0, 上述计算 !《^*对应的终端 NCC值为 1。 步骤 S 1116： UE用 IKu验证接收到的安全模式命令消息。 步骤 S 1118: 如果安全模式命令消息验证成功， 则 UE向 SRNC发送安 全模式完成消息， 该消息中携带有用 IKu计算的消息-险证码， 也可以同时用 CKu对该消息进行加密。 步骤 S 1120: SRNC用 IKu验证接收到的安全模式完成消息， 或者先用 CKu对该消息进行解密， 再用 IKu对接收到的安全模式完成消息进行验证。 步 4聚 S 1122: 如果安全模式完成消息 -险证成功， 则 SRNC向核心网节点

( SGSN+或 MSC/VLR+ )发送安全模式完成消息， 该消息中可以携带参数： 选择的完整性算法和 /或加密算法。 此后， UE和 NodeB+即才艮据上述密钥开始加解密操作。 参照图 12 , 示出了使用图 11所示初始空中接口密钥进行 SRNC迁移的 一种空中接口密钥的更新流程图。 本实施例中， 将扁平化的 Node B+看作演 进的 RNC, 且该过程使用增强的 SRNC迁移流程， 即源 RNC和目标 RNC 之间直接进行通信， 不用通过核心网节点 CNN+的中转。 本实施例包括以下步 4聚： 步骤 S 1202: SRNC决策进行 SRNC迁移。 步骤 S 1204: SRNC向目标 RNC发送迁移请求消息， 该消息中携带有中 间密钥 K_RNC (一个用户设备的首次 SRNC迁移）， 或者变形中间密钥 K_RNC* (除首次之外的 SRNC迁移）， 还可以携带有 UE安全能力、 网络 NCC等参 数。 可选地，由于 SRNC可能不能确定目标 RNC是否支持增强的安全， SRNC 将中间密钥 K_RNC或者变形中间密钥 K_RNC*放置于迁移请求消息的 IK和 CK 字段。 放置方法例如： K_RNC或 K_RNC*的高 128位放置于 IK字段， 低 128位 放置于 CK字段； 或者 K_RNC或 K_RNC*的高 128位放置于 CK字段， 低 128位 放置于 IK字段。 步骤 S 1206： 若目标 RNC支持增强的安全， 则目标 RNC根据中间密钥 K_RNC ( 目标 RNC接收到的迁移请求消息中不包括变形中间密钥 K_RNC* , 只 有 K_RNC ) 或者变形中间密钥 K_RNC* ( 目标 RNC接收到的迁移请求消息中包 括变形中间密钥 K_RNC* )推导完整性密钥 IKu和加密密钥 CKu。 可选地， 若目标 RNC不支持增强的安全， 则目标 RNC直接将迁移请求 消息中 IK字段的内容作为 IK, CK字段的内容作为 CK, 并按照 UMTS中规 定的传统的安全流程执行， 此处不再赘述。 可选地， 若目标 RNC支持增强的安全， 且若 SRNC将中间密钥 K_RNC或 变形中间密钥 K_RNC*放置于迁移请求消息的 IK和 CK字段， 则目标 RNC将 IK字段和 CK字段的内容取出， 并级联成中间密钥 K_RNC或变形中间密钥

可选的， 目标 RNC令中间密钥 K_RNC等于变形中间密钥 K_RNC* , 基于中 间密钥 K_RNC计算更新的 IKu和 /或 CKu。 优选的， 目标 RNC可以在步骤 S 1214a进行密钥更新。 步骤 S 1206可以发生于步骤 S 1208之前， 也可以发生于步骤 S 1208之后 步骤 S 1216之前。 步骤 S 1208: 目标 RNC为用户分配资源， 向 SRNC发送迁移响应消息。 该迁移响应消息携带网络 NCC参数。 步 4聚 S 1210: SRNC向 UE发送物理信道重配置消息，或者 UTRAN移动 性信息消息。 上述物理信道重配置消息或者 UTRAN移动性信息消息携带网络 NCC 参数。 步骤 S 1212: 若网络侧支持增强的安全， UE更新完整性密钥 IKu和 /或 加密密钥 CKu。 可选的， UE令中间密钥 K_RNC等于变形中间密钥 K_RNC* , 基于中间密钥

K_RNC计算更新的 IKu和 /或 CKu。 若网络侧不支持增强的安全， 则 UE按照和网络侧相同的规则， 直接将 K_RNC或 K_RNC*的高 128位当作传统密钥 IK, 低 128位当作传统密钥 CK; 或 者将 K_RNC或 K_RNC*的高 128位当作 CK, 低 128位当作 IK, 按照传统安全规 定的流程执行， 此处不再赘述。 本实施例中， UE设置有终端 NCC, 在接收到网络 NCC后， 判断终端 NCC是否等于网络 NCC, 若是， 则 UE根据中间密钥 K_RNC更新完整性密钥 IKu和 /或加密密钥 CKu; 若网络 NCC大于终端 NCC, 则 UE计算变形中间 密钥 K_RNC*并递增相对应的终端 NCC, 直到终端 NCC等于网络 NCC, , UE 根据变形中间密钥 K_RNC*更新完整性密钥 IKu和 /或加密密钥 CKu。 步骤 S 1214: UE向目标 RNC发送物理信道重配置完成消息或者 UTRAN 移动性信息确认消息， 上述消息用更新的完整性密钥 IKu进行完整性保护， 或用更新的完整性密钥 IKu和加密密钥 CKu对上述消息同时进行完整性和加 密保护。 上述物理信道重配置完成消息或者 UTRAN移动性信息确认消息携带用 户设备安全能力参数。 步骤 S 1214a: 若目标 RNC和 UE都支持 HSPA+安全功能， 则目标 RNC 基于 K_RNC或 K_RNC*进行密钥更新。 具体操作同步骤 S 1206。 步 4聚 S 1216: 目标 RNC用更新的完整性密钥 IKu和 /或加密密钥 CKu对 该消息进行安全-险证。若目标 RNC对 UE发送的物理信道重配置完成消息或 者 UTRAN移动性信息确认消息验证成功， 则目标 RNC向核心网节点 ( SGSN+或者 MSC/VLR+ )发送迁移完成请求消息。 该消息携带向核心网节 点指示迁移完成的信息， 还可以携带终端 NCC。 步 4聚 S 1218: 核心网节点递增网络 NCC。 步骤 S 1220 : 核心网节点基于 IK、 CK和当前变形中间密钥 K_RNC*计算 递增后的网络 NCC对应的下一跳 KRNC*。 可选地， 核心网节点也可以先基于 IK、 CK和当前变形中间密钥 K_RNC* 计算下一 3兆变形中间密钥 K_RNC* , 再递增网络 NCC。 步骤 S 1222： 核心网节点向目标 RNC发送迁移完成响应消息。 该消息携 带参数： 网络 NCC及下一兆变形中间密钥 K_RNC*。 步骤 S 1224 : 目标 RNC存储接收到的网络 NCC以及下一跳变形中间密 钥 K_RNC* , 以备下次 SRNC迁移时使用。 步骤 S 1226 : 核心网节点 （ SGSN+或者 MSC/VLR+ )释放与源 RNC之 间的 Iu接口。 可选地， 在上述步骤 S 1224中， 目标 RNC接收到核心网节点发送的新 的网络 NCC及相对应的新的变形中间密钥 K_RNC*时， 令中间密钥 K_RNC等于 变形中间密钥 K_RNC*， 并存储。 jt匕后， 在下一次 SRNC迁移时， 则 SRNC在 步骤 S 1204中始终发送中间密钥 K_RNC即可。 参照图 13 , 示出了使用图 11所示初始空中接口密钥进行 SRNC迁移的 另一种空中接口密钥的更新流程图。本实施例中， SRNC和目标 RNC之间的 消息交互需要通过核心网节点 CNN+ ( SGSN+或 MSC/VLR+ )的中转。此夕卜， 与图 12对应的实施例相比， 在该流程中， 釆用了另一种支持传统安全的机 制。 该支持传统安全的机制可以和上述实施例中传统安全支持机制互换， 并 不影响对增强安全的支持的处理。 本实施例包括如下步骤： 步骤 S 1302： SRNC决策进行 SRNC迁移。 步骤 S 1304 : SRNC向核心网发送迁移需要消息。 若 SRNC同时连接两 个 CNN+节点 （ SGSN+和 MSC/VLR+ ), 则 SRNC同时向该两个 CNN+节点 发送迁移需要消息。 若源 RNC和目标 RNC位于两个不同的 CNN+节点

( SGSN+和 /或 MSC/VLR+ ) 下， 则该消息需要经过该两个 CNN+节点的中 转。 迁移需要消息携带中间密钥 K_RNC或者变形中间密钥 K_RNC* ,还可以包括 以下参数之一或任意组合： 用户设备安全能力， 用户支持的加密算法， 用户 支持的完整性算法， 选择的加密算法， 选择的完整性算法， 网络 NCC。 优选 地， 上述参数携带于源 RNC到目标 RNC的透明容器中。 可选地， 由于 SRNC可能不能确定目标 RNC是否支持增强的安全， 因 此 SRNC发送给目标 RNC的密钥材料中， 除了上述材料， 还包括支持传统 安全的密钥材料， 即映射的传统密钥 IKVCK'。 IKVCK'为 SRNC基于变形中 间密钥 K_RNC*和其它参数进行推导， 或者基于增强密钥 IKu、 CKu和其它参 数进行推导。 其它参数可以为： SRNC和 UE当前使用的刷新参数。 SRNC 将 IKVCK'放置于迁移需要消息的 IK和 CK字段。 步骤 S 1306: 核心网节点向目标 RNC发送迁移请求消息， 该消息中携带 有中间密钥 K_RNC或变形中间密钥 K_RNC* , 网络 NCC, 还可以有用户设备安 全能力等参数。 可选地， 还携带映射的传统密钥 IK，/CK，。 步骤 S 1308： 若目标 RNC支持增强的安全， 则目标 RNC根据中间密钥 K_RNC或者变形中间密钥 K_RNC*推导完整性密钥 IKu和加密密钥 CKu。 若目标 RNC不支持增强的安全， 则目标 RNC仅能识别映射的传统密钥 IKVCK'。 目标 RNC直接将消息中 IK字段的内容作为 IK, CK字段的内容作 为 CK, 并按照 UMTS中规定的传统的安全流程执行， 此处不再赞述。 本步骤中， 目标 RNC可以在步骤 S 1314a进行密钥更新。 该步 4聚可以发生于步 4聚 S 1310之前， 也可以发生于步 4聚 S 1310之后、 步 骤 S 1320之前。 步骤 S 1310: 目标 RNC向核心网发送迁移请求确认消息。 在发送该消息 之前， 目标 RNC和核心网可以建立新的 Iu 载， 为 UE分配 RRC连接资源 和无线链路等资源。 若源 RNC和目标 RNC位于两个不同的 CNN+节点 ( SGSN+和 /或 MSC/VLR+ ) 下， 则该消息需要经过该两个 CNN+节点的中 转。 迁移请求确认消息携带有参数： 网络 NCC。 步骤 S 1312: 核心网节点向 SRNC发送迁移命令消息。 迁移命令消息携带有参数： 网络 NCC。 步骤 S 1314: SRNC向 UE发送物理信道重配置消息或 UTRAN移动性信 息消息。 上述消息中携带有参数： 网络 NCC。 步骤 S 1316： 若网络侧支持增强的安全， 则 UE釆用和网络侧同样的操 作更新完整性密钥 IKu和 /或加密密钥 CKu。 若网络侧不支持增强的安全， 则 UE按照和网络侧同样的操作推导映射 的传统密钥 IK7CK' , 并直接使用 IKVCK'对通信进行安全保护， 此处不再赘 述。 步骤 S 1318: UE向目标 RNC发送物理信道重配置完成消息或 UTRAN 移动性信息确认消息。 该消息用更新的完整性密钥 IKu进行完整性保护， 或 用更新的完整性密钥 IKu和加密密钥 CKu对该消息同时进行完整性和加密保 护。 优选地， 上述消息中可以携带参数： 用户设备安全能力。 步骤 S 1318a: 若目标 RNC和 UE都支持 HSPA+安全功能， 则目标 RNC 基于 K_RNC或 K_RNC*进行密钥更新。 具体操作同步骤 S 1308。 步骤 S 1320: 目标 RNC用更新的完整性密钥 IKu和 /或加密密钥 CKu对 该消息进行安全验证。若目标 RNC对 UE发送的消息验证成功，则目标 RNC 向核心网节点（SGSN+或者 MSC/VLR+ )发送迁移完成消息。 该消息携带向 核心网节点指示迁移完成的信息和终端 NCC。 步骤 S 1322： 核心网节点递增网络 NCC。 步 4聚 S 1324: 核心网节点基于 IK、 CK和当前变形中间密钥 K_RNC*计算 递增后的网络 NCC对应的下一跳的 K_RNC*。 可选地， 核心网节点也可以先基于 IK、 CK和当前变形中间密钥 K_RNC* 计算下一兆变形中间密钥 K_RNC* , 再递增网络 NCC。 步骤 S 1326: 核心网节点向目标 RNC发送迁移完成确认消息， 该消息携 带参数： 网络 NCC, 以及与该网络 NCC对应的下一跳变形中间密钥 K_RNC*。 步骤 S 1328: 目标 RNC存储接收到的网络 NCC以及该网络 NCC对应 的变形中间密钥 K_RNC* , 以备下次 SRNC切换时使用。 步骤 S 1330: 核心网节点 （ SGSN+或者 MSC/VLR+ )释放与源 RNC之 间的 Iu接口。 可选地， 在上述步骤 S 1328中， 目标 RNC接收到核心网节点发送的新 的网络 NCC及相对应的新的变形中间密钥 K_RNC*时， 令中间密钥 K_RNC等于 变形中间密钥 K_RNC*， 并存储。 jt匕后， 在下一次 SRNC迁移时， 则 SRNC在 步骤 S 1304和 S 1306中始终发送中间密钥 K_RNC即可。 参照图 14 , 示出了才艮据本发明实施例的一种核心网节点的结构框图， 包 括： 接收模块 1502 , 设置为接收目标 RNC的迁移完成指示消息， 该迁移完 成指示消息指示用户设备从源 RNC迁移到所述目标 RNC成功； 计算模块 1504 ,设置为使用存储的传统完整性密钥 IK和传统加密密钥 CK计算下一跳 变形中间密钥； 发送模块 1506 , 设置为将下一跳变形中间密钥发送给目标 RNC。 优选的， 核心网节点还可以包括网络 NCC， 设置为对执行使用当前变形 中间密钥计算下一兆变形中间密钥的次数计数， 以和用户侧密钥同步。 发送 模块 1506还设置为发送网络 NCC给目标 RNC。 优选的，计算模块 1504包括：获取模块，设置为获取传统 IK和传统 CK; 生成模块， 设置为使用传统 IK、 传统 CK、 和当前变形中间密钥计算下一跳 变形中间密钥， 其中， 当前变形中间密钥和下一兆变形中间密钥为不同的密 钥； 或者， 使用核心网节点存储的 IK、 CK、 和中间密钥计算初始变形中间 密钥。 例如， 核心网节点在接收模块 1502接收到目标 RNC的迁移完成指示消 息之后， 网络 NCC递增 1 , 计算模块 1504才艮据传统 CK和传统 IK, 以及当 前变形中间密钥使用密钥生成函数计算下一兆变形中间密钥。 然后， 发送模 块 1506发送该下一跳变形中间密钥， 以及 NCC给目标 RNC,以便目标 RNC 更新其存储的与源 RNC相同的当前变形中间密钥。 参照图 15 , 示出了才艮据本发明实施例的一种 RNC的结构框图， 包括： 源 RNC1602 , 包括： 请求发送模块 16022 , 设置为向目标 RNC1604发 送迁移请求消息， 迁移请求消息中携带有上一次 SRNC迁移成功后核心网节 点发送的当前变形中间密钥， 或者初始时核心网节点发送的中间密钥； 目标 RNC1604, 包括： 密钥获取模块 16042 , 设置为接收迁移请求消息， 获取当 前变形中间密钥或中间密钥； 4舞导模块 16044, 设置为使用当前变形中间密 钥或中间密钥计算增强的加密密钥 CKu和增强的完整性密钥 IKu; 节点发送 模块 16046, 设置为向核心网节点发送迁移完成指示消息。 优选的， 目标 RNC1604还包括： RNC发送模块 16048, 设置为向源

RNC1602发送迁移响应消息，迁移响应消息中包含核心网节点的下一跳计数 器网络 NCC。 优选的， 源 RNC1602还包括： 终端发送模块 16022, 设置为接收迁移响 应消息， 并向 UE发送迁移消息， 迁移消息中包含网络 NCC。 例如， 源 RNC1602的请求发送模块 16022向目标 RNC1604发送迁移请 求消息， 其中携带有核心网节点发送的当前变形中间密钥。 目标 RNC1604 的密钥获取模块 16042接收迁移请求消息， 获取其中的当前变形中间密钥， 4舞导模块 16044使用该当前变形中间密钥计算增强加密密钥 CKu和增强完整 性密钥 IKu。 节点发送模块 16046向核心网节点发送迁移完成指示消息。 另夕卜， 在核心网节点中设置有网络 NCC时， 目标 RNC1604的 RNC发 送模块 16048还向源 RNC1602发送迁移响应消息， 其中包含下一跳计数器 网络 NCC。 此时， 源 RNC1602的终端发送模块 16022接收迁移响应消息， 并向 UE发送迁移消息， 迁移消息中包含上述网络 NCC。 参照图 16, 示出了根据本发明实施例的一种 UE的结构框图， 包括： 设 备密钥模块 1702 ,设置为才艮据源 RNC发送的网络 NCC同步自身的变形中间 密钥 K_RNC*。 优选的， 该 UE还包括： 终端计算模块， 设置为使用终端的变形中间密 钥计算增强的 CKu和增强的 IKu; 终端 NCC,设置为对执行计算变形中间密 钥的次数计数， 以便用户侧和网络侧的密钥同步。 优选的， 设备密钥模块 1702包括： 判断模块 17022, 设置为判断终端 NCC是否等于网络 NCC; 确定模块 17024,设置为若判断模块 17022的判断 结果为是， 则查找与终端 NCC对应的预先存储的变形中间密钥， 并按照密 钥推导函数利用变形中间密钥计算更新自身的 CKu和 IKu;否定模块 17026, 设置为若判断模块 17022的判断结果为否， 则计算变形中间密钥 KRNC*并 递增相对应的终端 NCC, 直到终端 NCC等于网络 NCC, 并按照密钥推导函 数利用当前变形中间密钥计算更新自身的 CKu和 IKu。 参照图 17, 示出了根据本发明实施例的一种无线接入系统的结构框图， 包括： 核心网节点 1802、 源 RNC1804、 目标 RNC1806, 以及用户设备 1808。 其中， 核心网节点 1802包括： 接收模块 18022 , 设置为接收目标 RNC 的迁移完成指示消息， 迁移完成指示消息指示用户设备从源 RNC迁移到所 述目标 RNC成功； 计算模块 18024, 设置为使用核心网节点存储的传统 IK 和传统 CK计算下一跳变形中间密钥； 发送模块 18026, 设置为将下一跳变 形中间密钥发送给目标 RNC。 优选的， 核心网节点还可以包括网络 NCC, 设置为对执行计算下一兆变形中间密钥的次数计数， 以和用户侧密钥同步。 发送模块 18026还设置为发送网络 NCC给目标 RNC。优选的，计算模块 18024 包括： 获取模块， 设置为获取传统 ΙΚ和传统 CK; 生成模块， 设置为使用传 统 ΙΚ、 传统 CK、 和当前变形中间密钥计算下一兆变形中间密钥， 其中， 当 前变形中间密钥和下一兆变形中间密钥为不同的密钥； 或者， 使用核心网节 点存储的传统 ΙΚ、 传统 CK、 和中间密钥计算初始变形中间密钥。 其中， 源 RNC1804, 包括请求发送模块 18042 , 设置为向目标 RNC1806 发送迁移请求消息， 迁移请求消息中携带有核心网节点发送的当前变形中间 密钥或中间密钥； 终端发送模块 18044, 设置为接收迁移响应消息， 并向 UE 发送迁移消息， 迁移消息中包含网络 NCC。 其中， 目标 RNC1806, 包括： 密钥获取模块 18062, 设置为接收迁移请 求消息， 获取当前变形中间密钥或中间密钥； 4舞导模块 18064, 设置为使用 当前变形中间密钥或中间密钥计算增强加密密钥 CKu和增强完整性密钥 IKu; 节点发送模块 18066, 设置为向核心网节点发送迁移完成指示消息。 优 选的， 还包括： RNC发送模块 18068 , 设置为向源 RN1804发送迁移响应消 息， 迁移响应消息中包含下一跳计数器网络 NCC。 其中， 用户设备 1808包括： 设备密钥模块 18082, 设置为根据源 RNC 发送的网络 NCC同步自身的变形中间密钥 K_RNC*。 优选的， 用户设备 1808 还包括： 终端计算模块， 设置为使用当前变形中间密钥计算 CKu和 IKu; 终 端 NCC, 设置为对计算下一跳变形中间密钥 K_RNC*的次数计数， 以便用户侧 和网络侧的密钥同步。优选的，设备密钥模块 18082包括： 判断模块 180822 , 设置为判断终端 NCC是否等于网络 NCC; 确定模块 180824 , 设置为若判断 模块 180822的判断结果为是， 则查找与终端 NCC对应的预先存储的变形中 间密钥，并按照密钥推导函数利用变形中间密钥计算更新自身的 CKu和 IKu; 否定模块 180826 , 设置为若判断模块 180822的判断结果为否， 则计算变形 中间密钥 K_RNC*并递增相对应的终端 NCC, 直到终端 NCC等于网络 NCC, 并按照密钥推导函数利用变形中间密钥计算更新自身的 CKu和 IKu。 需要说明的是， 上述所有实施例也适用于 SRNC内部的迁移， 即源 RNC 和目标 RNC是同一个 RNC的场景。 以上所述仅为本发明的优选实施例而已。 本发明方案并不限于 IEEE

802.16系统， 可以将它的相关模式应用于其它无线通信系统中。 显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可 以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布 在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程 序代码来实现， 从而， 可以将它们存储在存储装置中由计算装置来执行， 并 且在某些情况下， 可以以不同于此处的顺序执行所示出或描述的步骤， 或者 将它们分别制作成各个集成电路模块， 或者将它们中的多个模块或步骤制作 成单个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬件和软件 结合。 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本 领域的技术人员来说， 本发明可以有各种更改和变化。 凡在本发明的^"神和 原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护 范围之内。

Claims

权 利 要 求 书

1. 一种空中接口密钥的更新方法， 包括：

核心网节点接收到目标无线网络控制器 RNC的迁移完成指示消 息， 所述迁移完成指示消息指示用户设备从源 RNC迁移到所述目标 RNC成功；

使用存储的传统完整性密钥 IK和传统加密密钥 CK计算下一兆变 形中间密钥；

将所述下一兆变形中间密钥发送给所述目标 RNC。

2. 才艮据权利要求 1所述的方法， 其中， 所述核心网节点中存储有所述源 RNC的当前变形中间密钥； 所述方法还包括：

将所述存储的源 RNC的当前变形中间密钥更新为所述下一跳变 形中间密钥。

3. 居权利要求 1所述的方法， 其中， 所述使用存储的传统 IK和传统 CK计算下一兆变形中间密钥的步 4聚包括：

使用所述存储的传统 ΙΚ和传统 CK, 以及存储的源 RNC的当前 变形中间密钥计算所述下一兆变形中间密钥， 所述当前变形中间密钥 和所述下一兆变形中间密钥为不同的密钥。

4. 根据权利要求 3所述的方法， 其中， 所述源 RNC的当前变形中间密钥 为初始变形中间密钥， 所述初始变形中间密钥通过使用所述 CK、 IK 和中间密钥计算获取。

5. 根据权利要求 1所述的方法， 其中， 所述方法还包括： 所述核心网节 点设置下一跳计数器网络 NCC, 对所述计算下一跳变形中间密钥的次 数计数；

在所述使用存储的传统 IK和传统 CK计算下一跳变形中间密钥步 骤之前或之后， 还包括：

所述网络 NCC递增 1。

6. 居权利要求 5所述的方法， 其中， 所述方法还包括以下步骤： 发送所述网络 NCC给所述目标 RNC,所述目标 RNC接收所述网 络 NCC并存储。

7. 根据权利要求 6所述的方法，其中，在所述核心网节点接收到目标 RNC 的迁移完成指示消息步骤之前， 还包括：

所述核心网节点使用所述存储的传统 IK和传统 CK计算中间密 钥。

8. 根据权利要求 7所述的方法， 其中， 在所述核心网节点使用所述存储 的传统 IK和传统 CK计算中间密钥步骤之后， 还包括：

所述核心网节点使用所述传统 IK、 传统 CK和所述中间密钥计算 初始变形中间密钥， 其中， 所述初始变形中间密钥初始时对应一个虚 拟变形中间密钥， 对应的网络 NCC的值为 0, 经所述计算后， 所述初 始变形中间密钥对应的网络 NCC的值为 1。

9. 根据权利要求 8所述的方法， 其中， 在所述核心网节点使用所述传统 ΙΚ、 传统 CK和所述中间密钥计算初始变形中间密钥步骤之后， 还包 括：

所述核心网节点向 RNC发送安全模式命令消息，所述安全模式命 令消息包括所述中间密钥。

10. 根据权利要求 9所述的方法， 其中， 所述安全模式命令消息还包括所 述初始变形中间密钥。

11. 根据权利要求 9所述的方法， 其中， 所述核心网节点向 RNC发送安全 模式命令消息包括：

所述核心网节点在用户设备首次附着到网络， 或者所述用户设备 从空闲模式转换到连接模式， 或者所述用户设备从演进的通用陆地无 线接入网络 E-UTRAN移动到通用陆地无线接入网络 UTRAN，或者所 述用户设备从传统的 UTRAN移动到增强的 UTRAN时， 向所述 RNC 发送所述安全模式命令消息。

12. 根据权利要求 6所述的方法，其中，在所述核心网节点接收到目标 RNC 的迁移完成指示消息之前， 还包括以下步骤： 源 RNC向所述目标 RNC发送迁移请求消息， 所述迁移请求消息 中携带有所述源 RNC的当前变形中间密钥或中间密钥；

所述目标 RNC接收所述迁移请求消息，获取所述当前变形中间密 钥或中间密钥；

所述目标 RNC使用所述当前变形中间密钥或中间密钥计算当前 增强加密密钥 CKu和 /或当前增强完整性密钥 IKu; 以及

向所述核心网节点发送所述迁移完成指示消息。

13. 根据权利要求 12所述的方法， 其中， 所述目标 RNC使用所述当前变 形中间密钥计算当前增强 CKu和 /或当前增强 IKu包括：

所述目标 RNC令当前变形中间密钥等于自身的中间密钥； 使用所述中间密钥计算增强 CKu和 /或增强 IKu。

14. 才艮据权利要求 6所述的方法， 其中，

在所述核心网节点接收到目标 RNC的迁移完成指示消息之前，还 包括以下步 4聚：

源 RNC向所述目标 RNC发送迁移请求消息， 所述迁移请求消息 中携带有所述源 RNC的当前变形中间密钥或中间密钥；

所述目标 RNC接收所述迁移请求消息，获取所述当前变形中间密 钥或中间密钥；

向所述核心网节点发送所述迁移完成指示消息；

在所述核心网节点接收到目标 RNC的迁移完成指示消息之后，还 包括以下步 4聚：

所述目标 RNC使用所述当前变形中间密钥或中间密钥计算当前 增强加密密钥 CKu和 /或当前增强完整性密钥 IKu。

15. 根据权利要求 12、 13或 14所述的方法， 其中， 所述源 RNC向所述目 标 RNC发送迁移请求消息， 所述迁移请求消息中携带有所述源 RNC 的当前变形中间密钥包括：

所述源 RNC将所述当前变形中间密钥置于所述迁移请求消息的 IK和 CK字段， 向所述目标 RNC发送； 或者，

所述源 RNC发送映射的传统完整性密钥 IK'和映射的传统加密密 钥 CK'给所述目标 RNC, 所述 IK'和 CK'置于所述迁移需要消息和 /或 迁移请求消息的 IK和 CK字段， 其中， 所述 IK'和 CK'使用所述当前 变形中间密钥计算， 或者使用所述 IKu和 CKu计算所述 IK'和 CK'。

16. 才艮据权利要求 15所述的方法， 其中， 所述方法还包括：

目标 RNC将所述迁移请求消息的 IK字段的内容作为 IK, CK字 段的内容作为 CK, 按照 UMTS中的传统安全流程执行；

或者，

目标 RNC将所述迁移请求消息的 IK字段和 CK字段的内容取出， 并级联成当前变形中间密钥。

17. 才艮据权利要求 12、 13或 14所述的方法， 其中， 所述迁移请求消息中 还携带有以下参数至少之一： 用户设备安全能力信息、 和所述网络 NCC。

18. 才艮据权利要求 12、 13或 14所述的方法， 其中， 在向所述核心网节点 发送所述迁移完成指示消息步 4聚之前， 还包括以下步 4聚：

所述目标 RNC向所述源 RNC发送迁移响应消息， 或者经过核心 网节点中转的迁移请求确认和迁移命令消息， 所述消息中包含所述网 络 NCC;

所述源 RNC接收所述迁移响应消息或所述迁移请求确认和迁移 命令消息， 并向所述用户设备发送迁移消息， 所述迁移消息中包含所 述网络 NCC。

19. 根据权利要求 18所述的方法， 其中， 所述迁移消息中还包括网络侧安 全能力。

20. 根据权利要求 18所述的方法， 其中， 所述方法还包括：

所述用户设备接收所述迁移消息；

使用所述当前变形中间密钥或中间密钥计算所述 CKu和 IKu, 并 设置终端 NCC, 对执行所述计算变形中间密钥的次数计数。

21. 根据权利要求 20所述的方法， 其中， 所述计算变形中间密钥的步骤包 括：

所述用户设备判断所述终端 NCC是否等于所述网络 NCC;

若是，则所述用户设备按照密钥推导函数根据终端 NCC对应的预 先存储的变形中间密钥更新所述 CKu和 IKu; 以及

若否， 则所述用户设备计算变形中间密钥， 并递增相对应的所述 终端 NCC, 直到所述终端 NCC等于所述网络 NCC, 并按照所述密钥 推导函数才艮据所述变形中间密钥计算更新所述 CKu和 IKu。

22. 根据权利要求 20所述的方法， 其中， 所述使用当前变形中间密钥或中 间密钥计算所述 CKu和 IKu包括：

使用所述当前变形中间密钥或中间密钥， 以及以下参数至少之一： 所述目标 RNC为所述 UE分配的频点 UARFCN、 目标小区物理小区 标识 PCI、 4尤码 ScramblingCode、 用户标识、 目标 RNC标识、 选择的 加密算法标识、 选择的完整性算法标识、 UMTS中定义的开始参数、 UMTS中定义的刷新参数、 UMTS中定义的完整性序列号参数、 UMTS 中定义的无线资源控制序列号参数、 UMTS中定义的无线链路控制序 列号参数， 计算所述 CKu和 IKu。

23. 根据权利要求 7所述的方法， 其中， 在所述核心网节点使用所述存储 的传统 IK和传统 CK计算中间密钥包括：

所述核心网节点使用所述存储的传统 IK、 传统 CK、 以及以下参 数至少之一： 序列号 SQN异或隐藏密钥 AK或计数器值 COUNT, 用 户标识， 服务网络标识， 核心网节点类型， 计算所述中间密钥。

24. 根据权利要求 20所述的方法， 其中， 所述使用所述中间密钥计算所述 CKu和 IKu的步骤包括：

所述用户设备判断所述终端 NCC是否等于所述网络 NCC;

若是，则所述用户设备按照密钥推导函数根据终端 NCC使用所述 中间密钥更新所述 CKu和 IKu; 以及

若否， 则所述用户设备将所述终端 NCC与所述网络 NCC同步， 并计算所述终端 NCC对应的变形中间密钥，并按照所述密钥 4舞导函数 才艮据所述变形中间密钥计算更新所述 CKu和 IKu。

25. 根据权利要求 20所述的方法， 其中， 所述中间密钥为所述用户设备中 存储的有效中间密钥。

26. 根据权利要求 1所述的方法， 其中， 所述方法还包括：

所述目标 RNC接收所述下一跳变形中间密钥，使用所述下一跳变 形中间密钥更新自身的中间密钥， 并存储。

27. 根据权利要求 1所述的方法， 其中， 所述源 RNC和目标 RNC为同一 个 RNC。

28. 一种无线接入系统的核心网节点， 包括：

接收模块，设置为接收目标无线网络控制器 RNC的迁移完成指示 消息 ,所述迁移完成指示消息指示用户设备从源 RNC迁移到所述目标 RNC成功；

计算模块，设置为使用存储的传统完整性密钥 IK和传统加密密钥 CK计算下一兆变形中间密钥；

发送模块， 设置为将所述下一跳变形中间密钥发送给所述目标

RNC。

29. 才艮据权利要求 28所述的核心网节点， 其中， 所述计算模块包括：

获取模块， 设置为获取所述传统 IK和传统 CK; 以及 生成模块， 设置为使用所述传统 IK、 传统 CK和当前变形中间密 钥计算下一兆变形中间密钥， 其中， 所述当前变形中间密钥和所述下 一兆变形中间密钥为不同的密钥； 或者， 设置为使用所述 IK、 CK和 中间密钥计算初始变形中间密钥。

30. 才艮据权利要求 28所述的核心网节点， 其中， 所述核心网节点还包括： 下一跳计数器网络 NCC, 设置为对所述计算下一跳变形中间密钥 的次数计数；

所述发送模块还设置为发送所述网络 NCC给所述目标 RNC。

31. 一种无线接入系统的无线网络控制器 RNC ,包括源 RNC和目标 RNC , 其巾，

所述源 RNC, 包括： 请求发送模块， 设置为向所述目标 RNC发送迁移请求消息， 所述 迁移请求消息中携带有核心网节点发送的当前变形中间密钥或中间密 钥；

所述目标 RNC, 包括：

密钥获取模块， 设置为接收所述迁移请求消息， 获取所述当前变 形中间密钥或中间密钥；

推导模块， 设置为使用所述当前变形中间密钥或中间密钥计算增 强加密密钥 CKu和增强完整性密钥 IKu; 以及

节点发送模块，设置为向所述核心网节点发送迁移完成指示消息。

32. 根据权利要求 31所述的 RNC, 其中，

所述目标 RNC还包括：

RNC发送模块， 设置为向所述源 RNC发送迁移响应消息， 所述 迁移响应消息中包含所述下一兆计数器网络 NCC;

所述源 RNC还包括：

终端发送模块， 设置为接收所述迁移响应消息， 并向用户设备发 送迁移消息， 所述迁移消息中包含所述网络 NCC。

33. —种无线接入系统的用户设备， 包括：

设备密钥模块， 设置为根据源 RNC发送的网络 NCC同步自身的 变形中间密钥。

34. 根据权利要求 33所述的用户设备， 其中， 所述用户设备还包括：

终端计算模块， 设置为使用所述当前变形中间密钥计算增强加密 密钥 CKu和增强完整性密钥 IKu;

终端 NCC， 设置为对执行所述使用当前变形中间密钥计算所述 CKu和 IKu的次数计数；

所述设备密钥模块包括：

判断模块， 设置为判断所述终端 NCC是否等于所述网络 NCC； 确定模块， 设置为若所述判断模块的判断结果为是， 则按照密钥 推导函数利用所述终端 NCC对应的预先存储的变形中间密钥计算更 新所述 CKu和 IKu; 以及

否定模块， 设置为若所述判断模块的判断结果为否， 则计算变形 中间密钥， 并递增相对应的所述终端 NCC, 直到所述终端 NCC等于 所述网络 NCC , 将所述终端 NCC与所述网络 NCC同步， 并计算所述 终端网络 NCC对应的变形中间密钥，按照所述密钥推导函数利用所述 变形中间密钥计算更新所述 CKu和 IKu。 一种无线接入系统， 包括：

根据权利要求 28至 30任一项所述的核心网节点；

根据权利要求 31至 32任一项所述的 RNC; 以及

才艮据权利要求 33至 34任一项所述的用户设备。