[发明专利]密钥处理方法、系统和设备

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种演进网络中密钥的处理方法、系统和设备。

背景技术

在UMTS(Universal Mobile Telecommunications System，通用移动通信系统)系统中，为了保证网络用户的安全，用户的数据和信令需要进行安全保护，安全保护包括完整性保护和机密性保护两方面。UMTS中的完整性保护操作和机密性保护操作在UE(User Equipment，用户设备)和RNC(RadioNetwork Controller，无线网络控制器)中进行，即UE和RNC对用户数据进行加/解密操作，并对信令进行完整性保护或检验信令的完整性。

用户的信令分为两层，一层是UE直接和核心网交互的NAS(Non AccessStratum，非接入层)信令，另外一层是UE和RNC交互的AS(Access Stratum，接入层)信令。其中NAS信令需要进行机密性保护和完整性保护，AS信令中的RRC(Radio Resource Control，无线资源控制)信令需要进行完整性保护，也可视需要进行机密性保护。而对于用户的数据，其和信令的保护需求不同。信令有强烈的防篡改需求，因此需要完整性保护；而用户数据最需要的保护是防窃听，因此需要进行机密性保护，当然也可视需要进行完整性保护。

在UMTS中，用户的数据在RNC上进行机密性保护，同时由于安全保护在UE和RNC上进行，因此UE仅仅需要和RNC维护一个安全关联用于对UE和RNC间的通信进行安全保护。加密密钥和完整性保护密钥是安全关联中的一个参数，UMTS中的密钥识别机制和更新机制描述如下：

密钥识别机制：为了提供安全保护，UE和RNC需要共享一个加密密钥CK和完整性保护密钥IK。CK和IK通过一个密钥标识符KSI来标识。此密钥标识符在认证过程中由网络侧生成，并发送给UE。UE在发送接入请求时，将密钥标识符发送至网络，网络根据该密钥标识符找到对应的密钥。

密钥更新机制：CK和IK只能通过重新认证的方式来更新。

目前，3GPP(3rd Generation Partnership Project，第三代移动通信标准化伙伴项目)正在进行网络演进的讨论。在演进的网络中，安全操作的执行点和UMTS系统相比有了很大的不同。图1是演进网络LTE(Long TermEvolution，长期演进)/SAE(System Architecture Evolution，系统构架演进)网络的架构示意图。其中MME(Mobility Management Entity，移动管理实体)负责控制面的移动性管理，包括用户上下文和移动状态管理，分配用户临时身份标识、安全功能等；UPE(User Plane Entity，用户面实体)负责空闲状态下为下行数据发起寻呼，管理保存IP承载参数和网络内路由信息等。

在演进网络中，用户面的安全保护被移动到核心网中的UPE上进行，NAS信令的安全保护被放在MME上进行，AS信令、主要是RRC信令的安全被放在演进RAN(Radio Access Network，无线接入网)中的一个类似基站的eNodeB(evolution Node B，演进的节点B)节点上进行。

在LTE/SAE网络中，UE需要同时和eNodeB、MME、UPE等多个实体分别维护安全关联，即UE需要同时保存几套不同的CK/IK，因此现有UMTS系统中的密钥更新机制无法用于演进网络。另外，由于几套密钥使用的频率不同，生命期也不相同，因此需要设计分别更新这几套密钥的安全机制。

发明内容

本发明的实施例提供一种密钥的处理方法、系统和设备，以完善演进网络中不同密钥的更新以及安全机制。

为达到上述目的，本发明的一实施例提供一种密钥的处理方法，包括以下步骤：

网络侧移动管理实体接收用户终端发送的消息；

所述移动管理实体判断是否更新所述用户终端的密钥中的一组或多组；

所述判断结果为需要更新时，所述移动管理实体和所述用户终端获取更新后的密钥。

本发明的另一实施例还提供一种密钥的处理系统，包括用户终端和移动管理实体，

所述用户终端，向所述移动管理实体发送密钥更新请求，并获取更新后的密钥；

所述移动管理实体，更新所述用户终端的密钥中的一组或多组。

本发明的另一实施例还提供一种移动管理实体，包括判断单元和密钥推演单元；