[发明专利]生成与设备绑定的安全密钥的方法及系统

说明书

技术领域

本发明涉及LTE网络中的安全认证技术，尤指一种生成与设备绑定的安全密钥的方法及系统。

背景技术

图1为长期演进(LTE，Long Term Evolution)网络的组成结构示意图，如图1所示，LTE网络由演进全球陆地无线接入网(E-UTRAN，Evolved UniversalTerrestrial Radio Access Network)和演进分组交换中心(EPC，Evolved PacketCore)组成，网络呈现扁平化。EUTRAN通过S1接口与EPC相连。

其中，EUTRAN由多个相互连接的演进基站(eNB，Evolved NodeB)组成，各个eNB之间通过X2接口连接；EPC由移动性管理实体(MME，MobilityManagement Entity)和服务网关实体(S-GW，Serving Gateway)组成。另外，在LTE网络架构中还有一个归属环境(HE，Home Environment)，即归属用户服务器(HSS，Home Subscriber Server)或归属位置寄存器(HLR，Home LocationRegister)，作为用户数据库。HE中包含用户配置文件，执行用户的身份验证和授权，并可提供有关用户物理位置的信息等。

为了满足日益增长的大带宽高速移动接入的需求，第三代伙伴组织计划(3GPP，Third Generation Partnership Projects)推出高级长期演进(LTE-Advanced，Long-Term Evolution advance)标准。LTE-Advanced对于LTE系统的演进保留了LTE的核心，在此基础上采用一系列技术对频域、空域进行扩充，以达到提高频谱利用率、增加系统容量等目的。无线中继(Relay)技术即是LTE-Advanced中的技术之一，旨在扩展小区的覆盖范围，减少通信中的死角地区，平衡负载，转移热点地区的业务，节省用户设备(UE，User Equipment)即终端的发射功率。图2为现有网络架构中增加中继节点(RN，Relay-Node)后的网络组成示意图，如图2所示，这种新增的RN和施主演进基站(Donor-eNB)之间使用无线连接。其中，Donor-eNB和RN之间的接口称为Un口，两者之间的无线链路称为回程链路(backhaul link)；RN和UE之间的接口称为Uu口，其间的无线链路称为接入链路(access link)。下行数据先到达Donor-eNB，然后传递给RN，RN再传输至UE，上行数据先到达UE，然后传递给RN，RN再传输至Donor-eNB。

在实际通信过程中，RN即可以作为一个普通的终端设备，也可以作为一个基站。当RN作为一个终端设备时，RN可以像普通UE一样接入无线网络。

普通UE在接入网络时，网络侧会对其进行用户的鉴权认证和密钥协定(AKA，Authentication and Key Agreement)，在LTE系统中该过程也称为演进分组系统密钥协定(EPS AKA，Evolved Packet System AKA)。需要说明的是，上述描述中UE是指移动设备(ME，Mobile Equipment)和全球用户标识模块(USIM，Universal Subscriber Identity Module)的总称，上述EPS AKA过程实际是由USIM完成的，因此该过程完成了网络对终端的USIM认证(或称签约认证，subscription Authentication)和密钥协定，后续描述中也称USIM认证为用户认证。需要说明的是，这里的USIM卡代表了广义的通用集成电路卡(UICC，Universal Integrated Circuit Card)。

通过用户认证，UE和网络侧会根据根密钥K生成完整性密钥(IK，IntegrityKey)和加密密钥(CK，Cipher Key)发送给ME，ME根据IK和CK生成中间密钥K_ASME，然后利用这个中间密钥K_ASME派生其它新的密钥，分别对实现接入层(AS，Acesss stratum)和非接入层(NAS，Non-access stratum)的通信数据进行保护。其中，接入层安全保护密钥(比如无线资源控制加密密钥K_RRCenc、无线资源控制完整性保护密钥K_RRCint和用户面加密密钥K_UPenc)分别由基站密钥K_eNB按照不同算法派生而来。