[发明专利]用于无线通信的安全密钥生成

说明书

技术领域

本发明一般涉及电信。特别地，本发明涉及用于无线通信的安全密钥生成。

背景技术

安全密钥对(例如，加密密钥和完整性保护密钥)现今可以被用于保证无线电接入网上的无线电信业务的安全。例如，第三代合作伙伴项目(3GPP)移动电信网络的当前实施通常实现了用于这样的目的的安全密钥对。

通常，在这些实现中使用的加密是流加密类型(与块加密相对)。如本领域中已知的，流密码一次加密一个明文数位(经常是单个的比特或字节)。因此，后续数位(digits)的变换在加密期间是变化的。

基于加密密钥，流密码生成可以与明文数位组合在一起的密钥流。流密码经常被用于例如像无线通信这样的应用中，在该应用中，明文以大量的不可知长度出现。

然而，即使在切换和状态转移期间(例如，当移动台从空闲状态或模式进入活动状态或模式时)，也需要维持连续的密钥流。为此，与无线电资源控制协议(例如，在3GPP移动电信中所使用的)相关的现有技术所教导的一个方法包括：在切换期间同步分组序列号，以便维持连续的密钥流。然而，这种同步引入了与数据安全相关的重大缺陷。例如，同步可能导致序列号以可预测的方式改变，因而提供了潜在的滥用机会。

现有技术所教导的另一种方法是：在返回到先前的基站并且使用在不同情况下相同的密钥资料(keying material)时，使用称为“现时使用(nonce)”的随机参数作为导出安全密钥的输入，这因而允许刷新安全密钥。这种方法例如在无线局域网或WLAN中被使用。然而，这种方法的重大缺陷在于发信号通知“现时使用”引入了大量的附加开销和复杂性。

发明内容

本发明的第一方面是一种方法，在所述方法中，响应于预定事件，通过利用与移动台相关联的随机分配的临时标识符，生成至少一个安全密钥，用于在所述移动台与接入网元件之间的无线通信中使用。

本发明的第二方面是一种装置，所述装置包括安全密钥生成器，所述安全密钥生成器被配置以便：响应于预定事件，通过利用与移动台相关联的随机分配的临时标识符，生成至少一个安全密钥，用于在所述移动台与接入网元件之间的无线通信中使用。

本发明的第三方面是一种设备，所述设备包括安全密钥生成装置，所述安全密钥生成装置用于响应于预定事件，通过利用与移动台相关联的随机分配的临时标识符，生成至少一个安全密钥，用于在所述移动台与接入网元件之间的无线通信中使用。

本发明的第四方面是一种在计算机可读介质上体现的计算机程序，所述计算机程序控制数据处理设备来实现：

响应于预定事件，通过利用与移动台相关联的随机分配的临时标识符，生成至少一个安全密钥，用于在所述移动台与接入网元件之间的无线通信中使用。

在本发明的实施例中，在生成所述至少一个安全密钥中利用随机分配的临时标识符进一步包括：将所述随机分配的临时标识符与预定的安全情境数据进行级联。

在本发明的实施例中，将要生成的所述至少一个安全密钥包括加密密钥和完整性保护密钥中的至少一个。

在本发明的实施例中，所述接入网元件包括当前接入点。

在本发明的实施例中，所述预定事件包括：所述移动台从先前的接入点切换到当前接入点。

在本发明的实施例中，与所述移动台相关联的随机分配的临时标识符包括：被随机分配给在所述移动台与所述当前接入点之间的无线电链路的无线电链路标识符。

在本发明的实施例中，在生成所述至少一个安全密钥中利用被分配给所述当前接入点的接入点标识符。

在本发明的实施例中，与所述移动台相关联的随机分配的临时标识符包括：被随机分配给所述移动台的临时标识符。

在本发明的实施例中，将要生成的所述至少一个安全密钥包括：用于由无线电资源控制信令使用的安全密钥。

在本发明的实施例中，所述接入网元件包括移动性管理元件和用户数据网关中的至少一个。

在本发明的实施例中，所述预定事件包括：在所述移动台处从第一状态到第二状态的状态改变。

在本发明的实施例中，与所述移动台相关联的随机分配的临时标识符包括：被随机分配给所述移动台的临时标识符。

在本发明的实施例中，在生成所述至少一个安全密钥中利用被分配给当前路由区域的路由区域标识符。

在本发明的实施例中，将要生成的所述至少一个安全密钥包括：用于由非接入层信令和用户数据保护中的一个使用的安全密钥。

在本发明的实施例中，所述第二或第三方面的装置被布置在所述移动台处。