網絡間切換期間的密鑰導出的製作方法

2023-08-09 12:15:06

專利名稱：網絡間切換期間的密鑰導出的製作方法
技術領域：
一般地，本發明涉及通信網絡。更具體地，本發明涉及網絡間切換期間的密鑰導出。
背景技術：
現代通信時代已經帶來了通信網絡的巨大發展。無線和行動網路技術已經解決了相關的客戶要求，且提供更為靈活和即時的信息傳遞。無線電通信系統，例如通用陸地無線電接入網絡(UTRAN)、演進UTRAN (E-UTRAN)、全球移動通信系統(GSM) /增強數據速率GSM演進(EDGE)無線電接入網絡(GERAN)、高速分組接入(HSPA)網絡等，為用戶提供移動性的便利和服務和特徵的豐富集合。這種便利引起不斷增加數量的客戶顯著採用為所接受的用於商業和個人使用的通信模式。為了促進更多的採用，電信產業，從製造商到服務提供商，已經商定了巨大的經費和努力以開發用於構成各種服務和特徵的通信協議的標準。一個努 力領域涉及密鑰導出，以確保服務的安全性、持續性和效率，特別是在具有不同載體支持的網絡之間的切換期間。

發明內容
根據本發明的第一方面，提供一種方法，包括響應於對首先到達目標網絡實體的第一重新定位請求消息的接收，從所述第一重新定位請求消息獲得第一密鑰信息；至少部分地基於所述第一密鑰信息，導出用於切換的密鑰；以及生成用於指示至少部分地基於所述第一密鑰信息導出了密鑰的指示符。進一步根據本發明的第一方面，所述方法可進一步包括經由第一路徑將指示符傳送到發起重新定位的源網絡實體。所述經由所述第一路徑將指示符傳送到源網絡實體可包括將包括指示符的第一切換請求消息發送到目標網絡節點；以及將包含指示符的第一透明容器轉發到源網絡實體，其中在作為所述第一切換請求消息的響應的第一切換確認消息中，從目標網絡節點接收所述第一透明容器。在實施方式中，源網絡實體可經由所述第一路徑在第一切換命令中將接收的指示符發送到用戶設備(UE)。進一步根據本發明的第一方面，所述方法可進一步包括響應於對包括第二密鑰信息的第二重新定位請求消息的接收，獲取指示符；以及經由第二路徑將指示符傳送到發起重新定位的源網絡實體。所述經由所述第二路徑將指示符傳送到源網絡實體可包括將包括指示符的第二切換請求消息發送到目標網絡節點；以及將包含指示符的第二透明容器轉發到源網絡實體，其中在作為所述第二切換請求消息的響應的第二切換確認消息中，從目標網絡節點接收所述第二透明容器。在實施方式中，源網絡實體可經由所述第二路徑在第二切換命令中將接收的指示符發送到UE。根據本發明的第二方面，提供一種網絡實體，包括用於響應於對首先到達網絡實體的第一重新定位請求消息的接收，從所述第一重新定位請求消息獲得第一密鑰信息的獲得裝置；用於至少部分地基於所述第一密鑰信息，導出用於切換的密鑰的導出裝置；以及用於生成用於指示至少部分地基於所述第一密鑰信息導出了密鑰的指示符的生成裝置。進一步根據本發明的第二方面，所述網絡實體可進一步包括用於經由第一路徑將指示符傳送到發起重新定位的源網絡實體的傳送裝置。所述經由所述第一路徑將指示符傳送到源網絡實體可包括將包括指示符的第一切換請求消息發送到目標網絡節點；以及將包含指示符的第一透明容器轉發到源網絡實體，其中在作為所述第一切換請求消息的響應的第一切換確認消息中，從目標網絡節點接收所述第一透明容器。在實施方式中，源網絡實體可經由所述第一路徑在第一切換命令中將接收的指示符發送到UE。進一步根據本發明的第二方面，所述網絡實體可進一步包括用於響應於對包括第二密鑰信息的第二重新定位請求消息的接收，獲取指示符的獲取裝置；以及用於經由第二路徑將指示符傳送到發起重新定位的源網絡實體的傳送裝置。所述經由所述第二路徑將指示符傳送到源網絡實體可包括將包括指示符的第二切換請求消息發送到目標網絡節點；以及將包含指示符的第二透明容器轉發到源網絡實體，其中在作為所述第二切換請求 消息的響應的第二切換確認消息中，從目標網絡節點接收所述第二透明容器。在實施方式中，源網絡實體可經由所述第二路徑在第二切換命令中將接收的指示符發送到用戶設備。進一步根據本發明的第一和第二方面，所述第一密鑰信息可包括用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰，並且所述第二密鑰信息可包括用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰。因此，所述第一路徑可包括用於電路交換重新定位的路徑，並且所述第二路徑可包括用於分組交換重新定位的路徑。可替換地，所述第一密鑰信息可包括用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰，並且所述第二密鑰信息可包括用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰。因此，所述第一路徑可包括用於分組交換重新定位的路徑，並且所述第二路徑可包括用於電路交換重新定位的路徑。根據本發明的第三方面，提供一種方法，包括響應於對首先到達用戶設備的第一切換命令消息的接收，從所述第一切換命令消息獲得指示符；至少部分地基於由指示符所指示的密鑰信息，導出用於切換的密鑰；以及利用密鑰來執行第一切換過程，其中包括密鑰信息的重新定位請求消息是首先到達生成指示符的網絡實體的消息。本發明第三方面中的方法可進一步包括響應於對第二切換命令消息的接收，利用密鑰來執行第二切換過程。根據本發明的第四方面，提供一種用戶設備，包括用於響應於對首先到達用戶設備的第一切換命令消息的接收，從所述第一切換命令消息獲得指示符的獲得裝置；用於至少部分地基於由指示符所指示的密鑰信息，導出用於切換的密鑰的導出裝置；以及用於利用密鑰來執行第一切換過程的執行裝置，其中包括密鑰信息的重新定位請求消息是首先到達生成指示符的網絡實體的消息。在實施方式中，所述執行裝置可進一步適於響應於接收第二切換命令消息，利用密鑰來執行第二切換過程。進一步根據本發明的第三和第四方面，所述密鑰信息可包括下述內容中的一個用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰；以及用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰。根據本發明的第五方面，提供一種包括用於處理設備的程序的電腦程式產品，包括當在處理設備上運行程序時，用於執行根據本發明第一方面的方法的軟體代碼部分。軟體代碼部分可促使處理設備執行下述操作響應於對首先到達目標網絡實體的第一重新定位請求消息的接收，從所述第一重新定位請求消息獲得第一密鑰信息；至少部分地基於所述第一密鑰信息，導出用於切換的密鑰；以及生成用於指示至少部分地基於所述第一密鑰信息導出了密鑰的指示符。根據本發明的第六方面，提供一種包括用於處理設備的程序的電腦程式產品，包括當在處理設備上運行程序時，用於執行根據本發明第三方面的方法的軟體代碼部分。軟體代碼部分可促使處理設備執行下述操作響應於對首先到達用戶設備的第一切換命令消息的接收，從所述第一切換命令消息獲得指示符；至少部分地基於由指示符所指示的密鑰信息，導出用於切換的密鑰；以及利用密鑰來執行第一切換過程，其中包括密鑰信息的重新定位請求消息是首先到達生成指示符的網絡實體的消息。在本發明的示例實施方式中，所提供的方法、網絡實體、用戶設備和電腦程式產品能夠在不同載體會聚的情況下，有效地導出用於切換的密鑰，並且即使在一個傳輸路徑上丟失了切換命令時，仍能指示UE導出用於切換的密鑰，由此縮短了對於時間敏感業務(例如，語音呼叫)來說重要的切換時間。


當結合附圖進行閱讀時，通過參考實施方式的下述詳細說明，更好地理解本發明自身、使用的優選模式和進一步目標，其中圖I是示例了根據本發明實施方式的用於在網絡實體處導出用於切換的密鑰的方法的流程圖；圖2是示例了根據本發明實施方式的用於在用戶設備(UE)處導出用於切換的密鑰的方法的流程圖；圖3示例性示出了從具有分組交換(PS)切換支持的UTRAN或GERAN到E-UTRAN的單一無線語音呼叫連續性(SRVCC)切換的呼叫流；圖4是根據本發明實施方式的網絡實體的框圖；以及圖5是根據本發明實施方式的UE的框圖。
具體實施例方式利用對無線電通信網絡的評估，當用戶從一個區域行進到另一區域時，用戶可能遭遇一個或多個網絡間切換。當UE嘗試從源網絡切換到目標網絡時，在源網絡和目標網絡之間的安全上下文(context)的映射期間需要導出一個或多個密鑰。然而，在切換過程期間，可以聚集在各自的重新定位消息中提供密鑰信息或輸入參數的不同載體。因此，當存在來自不同載體的各種輸入參數時，需要決定如何導出密鑰。如果丟失了用於這些載體中的一個的重新定位或切換消息，這種密鑰導出的過程可能導致業務延遲並且甚至是數據傳輸的不連續。例如，在從UTRAN/GERAN到長期演進(LTE) / HSPA的SRVCC切換中，可能存在電路交換(CS)載體和分組交換(PS)載體的會聚。所以，當存在來自UTRAN/GERAN的CKes | | IKcs和CKps I I IKps這兩者時，需要決定如何導出HSPA中的CK| IIK或EUTRAN中的K』ASME，其中K』ASME是256比特的值、CK指代加密密鑰、IK指代完整性密鑰、CKcs指代用於CS載體的CK、IKcs指代用於CS載體的IK、CKPS指代用於PS載體的CK、IKPS指代用於PS載體的IK、CK| IIK指代CK和IK的級聯、CKes I I IKcs指代CKes和IKes的級聯、以及CKps I I IKps指代CKps和IKps的級聯。此外，由於可能存在PS重新定位和CS重新定位這兩者，並且這些不同的重新定位請求單獨地通過源服務通用分組無線電業務支持節點(SGSN)和為SRVCC增強的移動交換中心(MSC)伺服器，他們可能不會在相同的時間到達目標移動性管理實體(MME)或甚至在一個路徑上丟失。需要設計一種方案以加速切換，這對於諸如語音/CS呼叫的時間敏感業務是重要的，所述方案使目標網絡實體能夠基於哪個重新定位請求首先到達目標網絡實體來導出用於切換的密鑰，並且指示UE利用相同的標準來導出用於切換的密鑰。通過參考附圖來詳細介紹本發明的實施方式。整個本說明書中對特徵、優點或相似語言的參考並不意味著可以利用本發明來實現的所有特徵和優點應當是或是本發明的任意單個實施方式。相反地，將指代特徵和優點的語言理解為意味著，與實施方式相結合地描述的特定特徵、優點或特性被包括在本發明的至少一個實施方式中。此外，在一個或多個實施方式中，可按任意合適方式來結合本發明的所介紹的特徵、優點和特性。所屬領域的技術人員將會了解到，在沒有特定實施方式的一個或多個特定特徵或優點的情況下，可以實 現本發明。在其他情況中，可以在本發明所有實施方式中可能沒有呈現的某些實施方式中識別附加特徵和優點。圖I是示例了根據本發明實施方式的用於在網絡實體處導出用於切換的密鑰的方法的流程圖。由於在網絡間切換過程中，在目標網絡實體處(例如，用於EUTRAN系統的目標MME和用於HSPA網絡的目標SGSN)可能聚集諸如CS載體和PS載體的不同載體，有利的是目標網絡實體能夠在攜帶了各自的密鑰信息和/或輸入參數的不同的載體重新定位請求到達時，決定如何導出用於切換的密鑰。具體地，網絡實體需要導出用於切換的密鑰，而不引入額外的等待時間，特別是當由於不同的通信路徑導致重新定位請求消息可能在不同時間到達網絡實體或甚至在一個路徑上丟失時。關於這一點，目標網絡實體可以基於哪個重新定位請求首先到達目標網絡實體，導出用於切換的密鑰(例如，在從UTRAN到E-UTRAN的SRVCC切換中的K』ASME，或在從UTRAN到HSPA的SRVCC切換中的CK| | IK)。根據示例性實施方式，在步驟102，響應於對首先到達目標網絡實體的第一重新分配請求消息的接收，目標網絡實體可從所述第一重新定位請求消息獲得第一密鑰信息。換句話說，所述第一重新定位請求消息比其他重新定位請求消息更早地到達目標網絡實體，所述其他重新定位請求消息包括具有第二密鑰信息的第二重新定位請求消息。根據示例性實施方式，如果所述第一重新定位請求消息用於CS重新定位並且所述第二重新定位請求消息用於PS重新定位，那麼所述第一密鑰信息可包括CKffi和ΙΚκ，並且所述第二密鑰信息可包括CKps和IKPS。然而，如果所述第一重新定位請求消息用於PS重新定位並且所述第二重新定位請求消息用於CS重新定位，那麼所述第一密鑰信息可包括CKps和IKPS，並且所述第二密鑰信息可包括CKes和IKCS。在步驟104，目標網絡實體至少部分地基於所述第一密鑰信息來導出用於切換的密鑰。例如，對於從UTRAN到E-UTRAN的SRVCC切換，可至少部分地基於CKes | | IKcs或CKPS| I IKps在目標MME處導出K』ASME，如上所述，其依賴於所述第一重新定位請求消息是否用於CS載體或PS載體。在3GPP (第三代合作夥伴計劃)TS33. 401的A. 10中定義了 K』ASME的導出，此處不進行複述。在從UTRAN到HSPA的SRVCC切換的情況中，是目標SGSN至少部分地基於所述第一密鑰信息來導出用於切換的密鑰。注意的是，對於從GERAN到E-UTRAN /HSPA的SRVCC切換的情況，首先將K。轉換為CK | | IK。然後在步驟106，目標網絡實體生成用於指示至少部分地基於所述第一密鑰信息導出了用於切換的密鑰的指示符。可經由第一路徑將該指示符傳送到發起重新定位的源網絡實體，並且然後將指示符轉發到需要從源網絡切換到目標網絡的UE，使得UE能夠根據指示符來導出用於這種切換過程的密鑰。可由網絡元件之間的消息交互來實現指示符從目標網絡實體(例如，目標MME或目標SGSN)到源網絡實體(例如，源無線電網絡子系統/基站系統(RNS/BSS))的傳輸。根據示例性實施方式，目標網絡實體導出用於切換的密鑰並且生成關於所述第一重新定位請求消息的相應指示符(例如，來自源SGSN或MSC伺服器的轉發重新定位請求消息)。然後，目標網絡實體將包括指示符的第一切換請求消息發送到目標網絡節點，例如演進Node B(eN0deB)。作為對所述第一切換請求消息的響應，將包括第一透明容器的第一切換確認消息從目標網絡節點發送到目標網絡實體。所述第一透明容器包含由目標網絡實體生成的指示符。然後，目標網絡實體將所述第一透明容器轉發到源網絡實體。例如，如果所述第一重新定位請求消息用於CS重新定位，那麼所述第一路徑包括用於CS重新定位的路徑。在這種情況下，當諸如目標MME的目標網絡實體從諸如eNode B的目標網絡節點接收所述第一切換確認消息時，其可通過MSC伺服器並且然後源MSC將包 含指示符的所述第一透明容器傳送到諸如源RNS/BSS的源網絡實體。響應於經由所述第一路徑接收指示符，源網絡實體可例如在第一切換命令中將指示符發送到UE。可替換地，如果所述第一重新定位請求消息用於PS重新定位，那麼所述第一路徑包括用於PS重新定位的路徑。因此，目標網絡實體可通過源SGSN將包含指示符的所述第一透明容器轉發到源網絡實體。根據示例性實施方式，當接收到包括所述第二密鑰信息的所述第二重新定位請求消息時，不需要目標網絡實體關於這個載體重新定位再次導出用於切換的密鑰，這是由於其在接收到所述第一重新定位請求消息時，已經導出了密鑰並且生成了相應的指示符。因此，目標網絡實體可獲取關於所述第一重新定位請求消息生成的指示符，並且經由第二路徑將其傳送到發起重新定位的源網絡實體。例如，目標網絡實體可將包括指示符的第二切換請求消息發送到目標網絡節點，並且作為響應，目標網絡節點可將第二切換確認消息發送回目標網絡實體，其中第二切換確認消息包括含有指示符的第二透明容器。然後，目標網絡實體可將所述第二透明容器轉發到源網絡實體。例如，如果所述第二重新定位請求消息用於PS重新定位(其相對於用於CS重新定位的所述第一重新定位請求消息)，所述第二路徑包括用於PS重新定位的路徑。在這種情況下，目標網絡實體(例如，目標MME)可通過源SGSN將包含指示符的所述第二透明容器傳送到源網絡實體。然而，如果所述第二重新定位請求消息用於CS重新定位(其相對於用於PS重新定位的所述第一重新定位請求消息)，所述第二路徑包括用於CS重新定位的路徑，並且目標網絡實體可通過MSC伺服器並且然後通過源MSC，將所述第二透明容器轉發到源網絡實體。響應於經由所述第二路徑接收到指示符，源網絡實體例如在第二切換命令中將指示符發送到UE。
在示例性實施方式中，在經由所述第一路徑和所述第二路徑中的一個接收到指示符時，源網絡實體可將接收的指示符立即發送到UE，而不等待來自其他路徑的任何消息。按這種方式，即使在一個路徑上丟失了包括指示符的消息，源網絡實體仍能夠經由其他路徑來接收指示符，並且因此指示UE導出用於這種切換過程的密鑰。此外，由於諸如源RNS/BSS的源網絡實體不需要對來自不同載體路徑的消息進行同步並且可將各自的切換命令立即發送到UE，其不需要改變傳統的RNS/BSS。根據示例性實施方式，例如通過檢查目標網絡實體是否具有導出的用於切換的密鑰和相應的指示符中的至少一個，可以做出接收的重新定位請求消息是否是首先到達目標網絡實體的消息的確定。在示例性實施方式中，如果不存在用於切換的密鑰，接收的重新定位請求消息是首先到達目標網絡實體的消息，並且因此如步驟102至106所介紹的，目標網·絡實體生成用於切換的密鑰和相應的指示符。否則，接收的重新定位請求消息是隨後的重新定位請求消息，並且因此目標網絡實體可直接地使用所生成的指示符以繼續切換過程。現在對圖2進行參照，圖2是示例了根據本發明實施方式的用於在UE處導出用於切換的密鑰的方法的流程圖。在步驟202，響應於對首先到達UE的第一切換命令消息的接收，UE可從第一切換命令消息獲得指示符。換句話說，所述第一切換命令消息比包括第二切換命令消息的其他切換命令消息更早地到達UE。在步驟204，UE至少部分地基於指示符所指示的密鑰信息來導出用於切換的密鑰。密鑰信息可包括下列內容中的一個CKPS和IKps ；以及0^和IKffi。根據示例性實施方式，包括由指示符指示的密鑰信息的重新定位請求消息是首先到達生成指示符的網絡實體的消息。換句話說，包括所指示的密鑰信息的重新定位請求消息比包括各自的密鑰信息的其他重新定位請求消息更早到達網絡實體。例如，網絡實體可包括用於E-UTRAN系統的目標MME和用於HSPA網絡的目標SGSN。那麼在步驟206中，UE可利用密鑰來執行第一切換過程。根據示例性實施方式，響應於對第二切換命令消息的接收，UE可利用密鑰來執行第二切換過程，而無需再次生成用於切換的密鑰，其中已經關於所述第一切換命令消息生成了所述密鑰。例如，如果指示符指示UE至少部分地基於CKps和IKps來導出用於切換的密鑰，其意味著PS重新定位請求消息首先到達生成指示符的網絡實體。諸如目標MME或目標SGSN的網絡實體還至少部分地基於CKpjP 11^來導出用於切換的密鑰，並且據此生成該指示符。UE可通過諸如源RNS/BSS的源網絡實體分別在所述第一和第二切換命令消息中接收指示符。按這種方式，即使丟失了一個路徑上的切換命令消息，UE仍然可以導出用於其他路徑的密鑰。本發明所提供的解決方案使網絡實體(例如，目標MME或目標SGSN)、目標節點(例如eNode B)、源網絡實體(例如，源RNS / NSS)、以及UE (例如移動終端)能夠分別傳送用於不同載體的消息，而不需要對來自不同載體路徑的消息進行同步。這樣縮短了對於諸如CS呼叫的時間敏感業務來說重要的切換時間。此外，由於UE可根據來自源網絡實體發送的切換命令消息中的任意一個的指示符來導出用於切換的密鑰，這種解決方案可增強系統健壯性。圖3示意性地示出了根據本發明實施方式的從具有PS切換支持的UTRAN或GERAN到E-UTRAN的SRVCC切換的呼叫流。這種切換過程包括對非語音組件的處理。可為了測量的目的在UTRAN/GERAN中配置E-UTRAN相鄰小區。如圖3所示，基於來自UE301的UE測量報告311，源RNS/BSS307決定觸發到E-UTRAN的切換。當源RNS/BSS307做出切換(HO)的決定時，其發起PS重新定位並且將需要重新定位(源到目標透明容器)消息312a發送到源SGSN306。然後，源SGSN306將包括CKps和IKps的轉發重新定位請求消息312b發送到目標MME303，用於在目標MME303處導出K』ASME。轉發重新定位請求消息312b還包括關於僅非語音組件的信息。與PS重新定位的發起相併行，源RNS / BSS307通過將需要重新定位(源到目標透明容器)消息313a發送到源MSC305來發起CS重新定位。然後，源MSC305將準備HO請求313b發送到MSC伺服器304，其接著將轉發重新定位請求(源到目標透明容器)消息313c發送到目標MME303。轉發重新定位請求(源到目標透明容器)消息313c包括用於在目標MME303處導出K』 ASME的CKcs和IKCS。目標MME303基於兩個轉發重新定位請求消息312b和313c中哪一個首先到達，分別對兩個轉發重新定位請求消息312b和313c進行響應，如關於圖I所介紹的。在示例性 實施方式中，當轉發重新定位請求消息到達目標MME303時，目標MME303可檢查是否已經存在用於UE301的導出的K』 ASME。如果不存在K』 ASME，那麼該轉發重新定位請求消息是首先到達目標MME303的消息。因此，目標MME303至少部分地基於來自所述轉發重新定位請求消息的CK和IK (例如，用於轉發重新定位請求消息312b的CKps和IKPS，以及用於轉發重新定位請求消息313c的CKes和IKes)來導出K』 ASME，並且生成指示是否至少部分地基於CKps和IKps或基於CKeS和IKes導出了 K』ASME的指示符。然後，目標MME303將包含指示符的第一 HO請求消息發送到目標eNodeB302。然而，如果已經存在K』 ASME，那麼所述轉發重新定位請求消息不是首先到達目標MME303的消息。因此，目標MME303直接利用生成的指示符，並且然後將包括所述指示符的第二 HO請求消息發送給目標eNOdeB302。例如，如果CS重新定位請求313c首先到達，那麼目標MME303可從CKes和IKcs導出K』 ASME。在實施方式中，NONCEmme還可以用在密鑰導出中。由目標MME303生成相應的指示符，以指示UE301從CKcs和IKcs導出K』臟。然後，目標MME303將HO請求314a發送到目標eNodeB302，其中HO請求314a包含指示符(以及NONCEmme，如果需要的話)。當接收到在CS重新定位請求313c之後到達目標MME303的PS重新定位請求312b時，目標MME303可直接使用所生成的指示符，並且將指示符(以及NONCEmme,如果需要的話)包括到被發送到目標eNodeB302的HO請求312b中。可替換地，如果PS重新定位請求312b比CS重新定位請求312c更早地到達，目標MME303可從CKps和IKps導出K』ASME (以及NONCEmme，如果需要的話)，並且生成用於指示從CKps和IKps導出了 K』 ASME的相應指示符。因此，指示符包含在要發送到目標eNode B302的每個HO切換消息314a和314b中。根據示例性實施方式，不需要目標eNode B302對來自目標MME303的兩個切換請求消息314a和314b進行同步。替代地,通過將接收的指示符(以及NONCEmme，如果需要的話)包括到透明容器中並且在各自的切換確認消息中將透明容器發送回目標MME303，目標eNode B302可分別對來自目標MME303的每個切換請求消息進行響應。通過與目標E-UTRAN交換切換請求/確認消息，目標MME303僅請求對非語音組件的資源分配。對於來自目標eNode B302的每個切換確認消息(在CS或PS中)，目標MME303向源接入確認相應的準備的重新定位(在CS或PS中)。如圖3所示，當目標MME303向源接入確認準備的CS重新定位時，其將轉發重新定位響應(目標到源透明容器)消息315a發送到MSC伺服器304，其進而將準備HO響應315b發送到源MSC305。然後，源MSC305將需要重新定位確認(目標到源透明容器)消息315c發送到源RNS/BSS307。指示符(以及NONCEmme,如果需要的話)包含在這三個消息315a_315c中，使得源RNS/BSS307可以通知UE301如果導出用於切換的密鑰。相似地，當目標MME303向源接入確認準備的PS重新定位時，其將轉發重新定位響應(目標到源透明容器)消息316a發送到源SGSN306。然後，源SGSN306將需要重新定位確認(目標到源透明容器)消息316b發送到源RNS / BSS307。指示符(以及NONCEmme，如果需要的話)也包含在這兩個消息316a-316b 中。響應於接收每個需要重新定位確認(目標到源透明容器)消息，源RNS/BSS307將來自UTRAN命令消息的各自的切換命令發送到UE301，以指示其執行到E-UTRAN的切換，包括語音載體到PS域的重新定位。來自UTRAN命令消息的各自的切換命令包括指示符(以及NONCEmme，如果需要的話)，使得UE301能夠根據接收的指示符來導出K』 ASME。換句話說， 源RNS / BSS307可將PS切換命令消息317a和CS切換命令消息317b單獨地發送到UE301，而無需對兩個需要重新定位確認(目標到源透明容器)消息315c和316b進行同步。類似於目標MME303，在接收到首先到達的切換命令消息時，UE301可根據接收的指示符從CKes I I IKcs或CKps I I IKps導出K』 ASME。然後，UE301重新調諧到E-UTRAN無線電並且將到E-UTRAN的第一切換完成消息發送到E-UTRAN。響應於接收到另一切換命令消息，UE301可不再次導出K』ASME，而是將到E-UTRAN的第二切換完成消息直接發送到E-UTRAN。換句話說，UE301可將PS切換命令消息318a和CS切換命令消息318b單獨地發送到E-UTRAN，而無需對兩個切換命令消息317a和317b進行同步。然後，目標E-UTRAN對兩個到E-UTRAN的切換完成消息318a和318b進行同步，並且通過發送切換通知消息319來通知目標MME303。目標MME303因此完成CS和PS重新定位。當目標MME303完成CS重新定位時，其將轉發重新定位完成消息發送到MSC伺服器304。MSC伺服器304通過將轉發重新定位完成確認消息發送到目標MME303來對信息進行確認。然後，MSC伺服器304將切換完成消息320b發送到源MSC305。當目標MME303並行地完成了 PS重新定位時，其與源SGSN306交換轉發重新定位完成/確認消息321a。目標MME303與服務網關(SGW) 308和分組數據網絡(PDN) GW執行更新載體過程321b。在這點處，所有非語音PS載體的重新定位完成並且用戶數據在兩個方向上流過E-UTRAN接入。在示例性實施方式中，如果需要的話，UE301執行跟蹤區更新(TAU)過程322 (例如，由於在CS覆蓋下的UE移動性)。隨後，UE301例如通過將會話啟動協議(SIP) INVITE(STI)消息發送到服務集中和連續性應用伺服器(SCC AS) 309，來發起會話傳輸過程323。將標準的網際網路協議(IP)多媒體子系統(MS)服務連續性過程應用於會話傳輸的執行(參見3GPP TS23. 292[3]和TS23. 237[4])。作為這個過程的一部分，利用MS接入腿(leg)的會話描述協議(SDP)來對遠端進行更新。在這一點處，將VoIP (通過IP的語音)的下行鏈路流分組朝分組數據網絡網關(PDN GW)切換。這個步驟可以與步驟322並行發生。然後，IMS觸發324用於語音組件的網絡發起的專用載體，並且釋放325CS接入腿，其導致MSC伺服器中資源的釋放。上述解決方案的優點是源RNS不需要對兩個需要重新定位確認消息進行同步，但是可將切換命令立即發送到UE。這樣縮短了對於CS呼叫來說重要的切換時間。此外，不需要對傳統RNS進行改變。此外，即使在一個路徑上丟失了切換命令消息中的一個，UE仍然能夠導出用於其它路徑的K』 ASME。根據本發明實施方式的密鑰導出過程還可以被應用到從UTRAN到HSPA的SRVCC切換中，除了決定是否使用CKps | | IKps或CKcs | | IKcs並且通過發送相應的指示符來通知UE的是目標SGSN而不是目標MME。對於從GERAN到ETRAN / HSPA的SRVCC切換，可首先將K。轉換為CKI IIK。上述示意性流程圖示意圖通常被闡述為邏輯流程圖示意圖。這樣的話，所描述的順序和標記的步驟指示所呈現的方法的特定實施方式。可以想到在功能、邏輯、或效果上等同於所示出的方法的一個或多個步驟，或其一部分的其它步驟和方法。此外，特定方法發生的順序可以或不會嚴格地依附於示出的相應步驟的順序。圖4是根據本發明實施方式的網絡實體400的框圖。網絡實體400，例如目標MME、目標SGSN等，可包括用於實現圖I中的方法和前述步驟的功能的各種裝置和/或組件。特別地，如圖4所示，網絡實體400包括獲得裝置402、導出裝置404和生成裝置406。獲得裝置402、導出裝置404和生成裝置406可通過各種通信鏈路和/或接口彼此耦合。可替換地，網絡實體400還可包括用於傳送和/或接收信號和消息的收發器408，或包括用於單獨地傳送和接收信號/消息的單獨傳送裝置和接收裝置(未示出)。可選地，網絡實體400可·進一步包括用於處理這些信號和消息的處理器(未示出)。響應於對首先到達網絡實體400的第一重新定位請求消息的接收，根據示例性實施方式，獲得裝置402可從所述第一重新定位請求消息獲得第一密鑰信息。換句話說，所述第一重新定位請求消息是所有重新定位請求消息中首先到達網絡實體400的消息。至少部分地基於所述第一密鑰信息，導出裝置404可導出用於切換的密鑰。相應地，生成裝置406可生成用於指示至少部分地基於所述第一密鑰信息導出了密鑰的指示符。根據示例性實施方式，諸如網絡實體400的收發器408的傳送裝置可將生成的指示符經由第一路徑傳送到發起重新定位的源網絡實體。對於指示符到諸如源RNS / BSS的源網絡實體的傳輸，例如通過網絡實體400的收發器408，網絡實體400將包括指示符的第一切換請求消息發送到諸如eNode B的目標網絡節點。當從目標網絡節點接收到包括第一透明容器的第一切換確認消息時，網絡實體400可將包含指示符的所述第一透明容器轉發到源網絡實體。然後，源網絡實體可經由所述第一路徑在第一切換命令中將接收的指示符發送到UE，從而指示UE (例如，圖5中的UE500)根據指示符來導出用於切換的密鑰。根據示例性實施方式，網絡實體400可進一步包括用於響應於對包括第二密鑰信息的第二重新定位請求消息的接收，獲取指示符的獲取裝置，以及用於經由第二路徑將指示符傳送到發起重新定位的源網絡實體的傳送裝置。圖4中沒有示出獲取裝置。應當了解的是，用於經由所述第一路徑將指示符傳送到源網絡實體的傳送裝置和用於經由所述第二路徑將指示符傳送到源網絡實體的傳送裝置可以是單個設備或獨立設備，並且可由收發器408來實現。類似於經由所述第一路徑將指示符傳送到源網絡實體的過程，當網絡實體400經由所述第二路徑將指示符傳送到源網絡實體時，將包括指示符的第二切換請求消息從網絡實體400發送到諸如eNode B的目標網絡節點。作為響應，目標網絡節點將包括第二透明容器的第二切換確認消息發送回到網絡實體400。然後，網絡實體400可將包含指示符的所述第二透明容器轉發到源網絡實體，使得源網絡實體可經由所述第二路徑在第二切換命令中將接收的指示符發送到UE。在示例性實施方式中，指示符到源網絡實體以及然後到UE的傳輸還可包括對用於密鑰導出的類似於NONCEmme的一些輸入參數的遞送。如關於圖I所介紹的，根據示例性實施方式，如果所述第一重新定位請求消息用於CS重新定位，且所述第二重新定位請求消息用於PS重新定位，那麼所述第一密鑰信息可包括CKk和IKffi,所述第二密鑰信息可包括CKps和IKPS，並且因此所述第一路徑包括用於CS重新定位的路徑，以及所述第二路徑包括用於PS重新定位的路徑。可替換地，如果所述第一重新定位請求消息用於PS重新定位並且所述第二重新定位請求消息用於CS重新定位，那麼所述第一密鑰信息可包括CKps和IKPS，所述第二密鑰信息可包括CKffi和IKffi,並且因此所述第一路徑包括用於PS重新定位的路徑，以及所述第二路徑包括用於CS重新定位的路徑。圖5是根據本發明實施方式的UE500的框圖。UE500，例如移動終端、無線設備、可攜式計算機等，可包括用於實現圖2中的方法和前述步驟的功能的各種裝置和/或組件。特別地，如圖5所示，UE500包括獲得裝置502、導出裝置504、以及執行裝置506。除了這些裝置，UE500可包括常規組件和元件，例如處理器和用於與網絡實體或另一 UE進行通信的 收發器(或單獨的傳送裝置和接收裝置)。這些組件和元件(未示出)可通過一個或多個通信線路或接口彼此連接。響應於對首先到達UE500的第一切換命令消息的接收，根據示例性實施方式，獲得裝置502可從所述第一切換命令消息獲得指示符。換句話說，所述第一切換命令消息是所有切換命令消息中首先到達UE500的消息。至少部分地基於指示符所指示的密鑰信息，導出裝置504可導出用於切換的密鑰。所述密鑰信息可包括CKPS和IKps ;或CKcs和IKCS。如之前所述的，包括密鑰信息的重新定位請求消息是首先到達生成指示符的網絡實體(例如，網絡實體400)的消息。例如，如果包括所指示的密鑰信息的重新定位請求消息用於CS重新定位，則密鑰信息包括CKffi和ΙΚκ。然而，如果包括所指示的密鑰信息的重新定位請求消息用於PS重新定位，則所指示的密鑰信息包括CKps和IKPS。利用生成的密鑰，執行裝置506可執行第一切換過程，例如重新調諧到目標網絡並且將第一切換完成消息發送到目標網絡。使得執行裝置504進一步適於響應於對第二切換命令消息的接收，利用密鑰來執行第二切換過程，例如發送第二切換完成消息到目標網絡。在示例性實施方式中，所述第二切換命令消息還可包括指示符，儘管UE500已經根據從所述第一切換命令消息獲得的指示符導出了用於切換的密鑰。所述第一和第二切換完成消息，例如CS和PS中的切換完成消息，可以在目標網絡處進行同步，目標網絡然後通知網絡實體(例如，網絡實體400)以完成CS和PS重新定位。根據示例性實施方式，UE500可執行TAU過程(如果需要的話)，並且發起會話傳輸過程，如圖3所示。所屬領域的技術人員可以認識到，網絡實體400和UE500可包括未示出的其它功能裝置和/或模塊。根據本發明的實施方式，可將網絡實體400和UE500中包括的前述和附加裝置和/或模塊實現為軟體塊或硬體塊或其組合。此外，這些裝置和/或模塊可實現為單獨的塊或可與任意其它標準塊進行組合，或可以根據他們的功能將其分成多個塊。可在硬體、軟體、固件或其組合中實現本發明。本發明還可以在電腦程式產品中體現，其包括實現此處介紹的方法和設備或模塊的實現方式的全部特徵，並且當被裝載到計算機系統或處理設備中時，能夠根據本發明的實施方式執行這些方法或構成器件或設備中的功能裝置/模塊。例如，可將電腦程式產品的程序裝載到處理設備的存儲器中。電腦程式產品可包括計算機可讀介質，在計算機可讀介質上存儲用於實現本發明的方法、器件、設備和/或模塊的軟體代碼部分。
儘管公開了本發明的特定實施方式，所屬領域的技術人員將了解到，在不脫離本發明的精神和範圍的情況下，可對特定的實施方式進行改變。因此，本發明的範圍並不限於特定實施方式，並且其旨在由所附權利要求覆蓋本發明範圍內的任意和所有這樣的應用、修改和實施方式。
權利要求
1.一種方法，包括 響應於對首先到達目標網絡實體的第一重新定位請求消息的接收，從所述第一重新定位請求消息獲得第一密鑰信息； 至少部分地基於所述第一密鑰信息，導出用於切換的密鑰；以及 生成用於指示至少部分地基於所述第一密鑰信息導出了密鑰的指示符。
2.根據權利要求I所述的方法，進一步包括經由第一路徑將指示符傳送到發起重新定位的源網絡實體。
3.根據權利要求2所述的方法，其中所述經由所述第一路徑將指示符傳送到源網絡實體包括 將包括指示符的第一切換請求消息發送到目標網絡節點；以及將包含指示符的第一透明容器轉發到源網絡實體，其中在作為所述第一切換請求消息的響應的第一切換確認消息中，從目標網絡節點接收所述第一透明容器。
4.根據權利要求2或3所述的方法，其中源網絡實體經由所述第一路徑在第一切換命令中將接收的指示符發送到用戶設備。
5.根據權利要求I至4中任意一項所述的方法，進一步包括 響應於對包括第二密鑰信息的第二重新定位請求消息的接收，獲取指示符；以及 經由第二路徑將指示符傳送到發起重新定位的源網絡實體。
6.根據權利要求5所述的方法，其中所述經由所述第二路徑將指示符傳送到源網絡實體包括 將包括指示符的第二切換請求消息發送到目標網絡節點；以及將包含指示符的第二透明容器轉發到源網絡實體，其中在作為所述第二切換請求消息的響應的第二切換確認消息中，從目標網絡節點接收所述第二透明容器。
7.根據權利要求5或6所述的方法，其中源網絡實體經由所述第二路徑在第二切換命令中將接收的指示符發送到用戶設備。
8.根據權利要求I至7中任意一項所述的方法，其中所述第一密鑰信息包括用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰，並且所述第二密鑰信息包括用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰；以及其中所述第一路徑包括用於電路交換重新定位的路徑，並且所述第二路徑包括用於分組交換重新定位的路徑。
9.根據權利要求I至7中任意一項所述的方法，其中所述第一密鑰信息包括用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰，並且所述第二密鑰信息包括用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰；以及其中所述第一路徑包括用於分組交換重新定位的路徑，並且所述第二路徑包括用於電路交換重新定位的路徑。
10.一種網絡實體，包括 用於響應於對首先到達網絡實體的第一重新定位請求消息的接收，從所述第一重新定位請求消息獲得第一密鑰信息的獲得裝置； 用於至少部分地基於所述第一密鑰信息，導出用於切換的密鑰的導出裝置；以及 用於生成用於指示至少部分地基於所述第一密鑰信息導出了密鑰的指示符的生成裝置。
11.根據權利要求10所述的網絡實體，進一步包括用於經由第一路徑將指示符傳送到發起重新定位的源網絡實體的傳送裝置。
12.根據權利要求11所述的網絡實體，其中所述經由所述第一路徑將指示符傳送到源網絡實體包括 將包括指示符的第一切換請求消息發送到目標網絡節點；以及 將包含指示符的第一透明容器轉發到源網絡實體，其中在作為所述第一切換請求消息的響應的第一切換確認消息中，從目標網絡節點接收所述第一透明容器。
13.根據權利要求11或12所述的網絡實體，其中源網絡實體經由所述第一路徑在第一切換命令中將接收的指示符發送到用戶設備。
14.根據權利要求10至13中任意一項所述的網絡實體，進一步包括 用於響應於對包括第二密鑰信息的第二重新定位請求消息的接收，獲取指示符的獲取裝置；以及 用於經由第二路徑將指示符傳送到發起重新定位的源網絡實體的傳送裝置。
15.根據權利要求14所述的網絡實體，其中所述經由所述第二路徑將指示符傳送到源網絡實體包括 將包括指示符的第二切換請求消息發送到目標網絡節點；以及 將包含指示符的第二透明容器轉發到源網絡實體，其中在作為所述第二切換請求消息的響應的第二切換確認消息中，從目標網絡節點接收所述第二透明容器。
16.根據權利要求14或15所述的網絡實體，其中源網絡實體經由所述第二路徑在第二切換命令中將接收的指示符發送到用戶設備。
17.根據權利要求10至16中任意一項所述的網絡實體，其中所述第一密鑰信息包括用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰，並且所述第二密鑰信息包括用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰；以及其中所述第一路徑包括用於電路交換重新定位的路徑，並且所述第二路徑包括用於分組交換重新定位的路徑。
18.根據權利要求10至16中任意一項所述的網絡實體，其中所述第一密鑰信息包括用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰，並且所述第二密鑰信息包括用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰；以及其中所述第一路徑包括用於分組交換重新定位的路徑，並且所述第二路徑包括用於電路交換重新定位的路徑。
19.一種方法,包括 響應於對首先到達用戶設備的第一切換命令消息的接收，從所述第一切換命令消息獲得指示符； 至少部分地基於由指示符所指示的密鑰信息，導出用於切換的密鑰；以及 利用密鑰來執行第一切換過程， 其中包括密鑰信息的重新定位請求消息是首先到達生成指示符的網絡實體的消息。
20.根據權利要求19所述的方法，進一步包括響應於對第二切換命令消息的接收，利用密鑰來執行第二切換過程。
21.根據權利要求19或20所述的方法，其中所述密鑰信息包括下述內容中的一個用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰；和 用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰。
22.—種用戶設備,包括 用於響應於對首先到達用戶設備的第一切換命令消息的接收，從所述第一切換命令消息獲得指示符的獲得裝置； 用於至少部分地基於由指示符所指示的密鑰信息，導出用於切換的密鑰的導出裝置；以及 用於利用密鑰來執行第一切換過程的執行裝置， 其中包括密鑰信息的重新定位請求消息是首先到達生成指示符的網絡實體的消息。
23.根據權利要求22所述的用戶設備，其中所述執行裝置進一步適於響應於對第二切換命令消息的接收，利用密鑰來執行第二切換過程。
24.根據權利要求22或23所述的用戶設備，其中所述密鑰信息包括下述內容中的一個 用於分組交換載體的加密密鑰和用於分組交換載體的完整性密鑰；和 用於電路交換載體的加密密鑰和用於電路交換載體的完整性密鑰。
25.—種包括用於處理設備的程序的電腦程式產品，包括當在處理設備上運行程序時，用於執行根據權利要求I至9和權利要求19至21中任意一項的方法的軟體代碼部分。
26.根據權利要求25所述的電腦程式產品，其中電腦程式產品包括計算機可讀介質，在所述計算機可讀介質上存儲軟體代碼部分。
27.根據權利要求25或26所述的電腦程式產品，其中程序可裝載到處理設備的存儲器中。
全文摘要
本發明提供一種用於在網絡間切換期間導出密鑰的方法。所述方法包括響應於對首先到達目標網絡實體的第一重新定位請求消息的接收，從所述第一重新定位請求消息獲得第一密鑰信息；至少部分地基於所述第一密鑰信息，導出用於切換的密鑰；以及生成用於指示至少部分地基於所述第一密鑰信息導出了密鑰的指示符。
文檔編號H04W36/14GK102893645SQ201080066710
公開日2013年1月23日 申請日期2010年5月10日 優先權日2010年5月10日
發明者張大江 申請人:諾基亞公司