本发明涉及密钥生成技术， 尤其涉及一种切换过程中密钥生成方法及 系统。 背景技术

第三代合作伙伴计划 （3GPP, 3rd Generation Partnership Project )演进 的分组系统（EPS, Evolved Packet System )是由演进的通用地面无线接入 网络 ( E-UTRAN, Evolved Universal Terrestrial Radio Access Network )和 EPS核心网 （Evolved Packet Core )组成。 E-UTRAN由基站设备一演进节 点 B( eNB, Evolved Node B )组成， EPS核心网包括移动性管理实体（ MME, Mobility Management Entity ) ₀ 用户设备（UE, User Equipment )通过无线 空中接口与 eNB进行通信， 并且通过 eNB与 MME进行通信。

长期演进（ LTE, Long Term Evolution ) 系统的通信协议架构中， 协议 层被分成了接入层（AS, Access Stratum )和非接入层（NAS, Non Access Stratum )。 EPS系统设计了双层安全保护机制， 即 EPS系统要求 AS和 NAS 分别使用不同的安全密钥。

UE和 MME之间通过鉴权与密钥协商 （ AKA, Authentication and Key Agreement )过程后， 协商出根密钥 Kasme。 UE和 MME分别保存根密钥 Kasme , 并且通过 Kasme分别演进出 AS安全密钥和 NAS安全密钥。

E-UTRAN 的切换过程支持 eNB 之间 （ Inter-eNB ) 和无线接入之间 ( Inter-RAT )的切换。 Inter-RAT切换由 S1接口切换信令过程支持； Inter-eNB 切换由 S1或 X2接口切换信令过程支持。 通常系统使用 X2接口执行 eNB 之间的切换。 现有的最新切换过程中密钥生成和分发过程具 体如下：

初始过程时， UE向 MME发送一个初始 NAS消息， 发起 ECM-IDLE 态到 ECM-CON ECTED 态的转换， MME初始 NAS 消息中包含更新的 NAS COUNT和根据自身的 Kasme所生成的密钥 KeNB。

MME初始化下一跳变计数器（ NCC, Next hop Chaining Counter )值为

0。

MME利用初始产生的 KeNB和自身保存的 Kasme产生出下一跳变参 It ( NH, Next Hop Parameter ), 并且更新 NCC值为 1。 MME将产生的 NH 和更新的 NCC值绑定在一起， 为 {NH, NCC=1 }对，并保存 { NH, NCC=1}。

MME将 KeNB发送给 eNB, eNB使用从 MME处接收到的 KeNB为初 始密钥。 eNB发送 AS安全模式命令给 UE, UE使用 NAS uplink COUNT 值和自身保存的 Kasme来推导 KeNB。

第一次 X2切换时 , 源 eNB根据 KeNB计算出 KeNB* , 并将 {KeNB* , NCC=0}发送给目标 eNB。 目标 eNB将 NCC=0发送给 UE, UE用自身的 NCC值和目标 eNB的 NCC值比较，保证自身更新的 KeNB与目标 eNB保 持一致。 MME更新 NCC值， 并利用旧的 NH和 Kasme计算新的 NH, 将 {NH, NCC=1 }对更新为 {NH, NCC=2}对。 MME将 { NH, NCC=2}对发送 给目标 eNB, 目标 eNB保存接收到的 { NH, NCC}对。

第二次 X2切换时， 源 eNB根据自身保存的 NH计算出 KeNB* , 并将 {KeNB*, NCC=2}发送给目标 eNB。 目标 eNB将 NCC=2发送给 UE, UE 将自身的 NCC值与目标 eNB的 NCC值进行比较， 保证自身更新的 KeNB 与目标 eNB保持一致。 MME更新 NCC值， 并利用旧的 NH和 Kasme计算 新的 NH,将 {NH, NCC=2}对更新为 {NH, NCC=3}对。 MME将{ NH, NCC=3} 对发送给目标 eNB , 目标 eNB保存接收到的 { NH , NCC}对。

上述方案中第一次 X2切换时的密钥生成和分发过程与非第一次 X2切 换时的密钥生成和分发过程不一致， 造成了额外的资源损耗。

上述方案中源 eNB推导出目标 eNB的密钥 KeNB , 并将其发送给目标 eNB。 源 eNB可以推导出 UE下一跳变时的密钥 KeNB, 这可能会被利用， 从而造成通信系统的安全隐患。 发明内容

有鉴于此， 本发明的主要目的在于提供一种切换过程中密 钥生成方法 及系统， 能避免由基站确定 UE切换过程中的下一跳变的密钥 KeNB, 保证 了通信系统的安全性。

为达到上述目的， 本发明的技术方案是这样实现的：

一种切换过程中密钥生成方法， 包括：

在 UE切换过程中 ,网络侧使用 NH生成下一跳变的密钥 KeNB;其中， 所述网络侧生成的 NH不通知基站。

优选地， 所述方法还包括：

所述网络侧和所述 UE侧各自使用目标基站所通知的下一跳变计数� �� NCC值同步下一跳变的密钥 KeNB; 所述网络侧将所生成的下一跳变的密 钥 KeNB通知目标基站。

优选地 , 所述使用 NH生成下一跳变的密钥 KeNB , 为：

使用 NH、 目标基站的小区标识和目标通用地面无线接入 UTRA下行 载频号生成下一跳变的密钥 KeNB。

优选地， 所述方法还包括：

初始下一跳变的密钥 KeNB由所述网络侧根据根密钥 Kasme和非接入 层上行链路计数器 NAS UL COUNT值生成；所述网络侧根据根密钥 Kasme 和 KeNB初始化 NH。

优选地， 所述方法还包括：

目标基站将接收自源基站的下一跳变计数器 NCC值以及所述目标基站 选择的加密和完整性保护算法通过源基站通知 所述 UE;

所述 UE确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH 生成新的下一跳变的密钥 KeNB, 再根据所述新的下一跳变的密钥 KeNB 分别生成用户面和信令面的加解密密钥和完整 性密钥。

优选地， 所述方法还包括：

接收到所述 UE的切换确认后， 目标基站将接收自源基站的 NCC值通 知所述网络侧；

所述网络侧确定与当前接收的 NCC值对应的 NH,并根据所确定的 NH 生成新的下一跳变的密钥 KeNB,并将所述新的下一跳变的密钥 KeNB通知 目标基站；

目标基站根据所接收到的下一跳变的密钥 KeNB分别生成用户面和信 令面的加解密密钥和完整性密钥。

优选地， 所述网络侧为移动性管理单元 MME。

优选地， 所述方法还包括：

源 MME确定接收自源基站的 NCC值对应的 NH, 并向目标 MME发 送所接收的 NCC值及其对应的 NH;

目标 MME根据所接收的 NH生成下一跳变的密钥 KeNB , 并使 NCC 值加一， 将所述下一跳变的密钥 KeNB和加一后的 NCC值通知目标基站； 目标基站选择加密和完整性算法， 并将加密和完整性算法以及所接收 的 NCC值通过目标 MME、 源 MME以及源基站通知所述 UE;

所述 UE确定与当前接收的 NCC值对应的 NH, 并根据所确定的 NH 生成新的下一跳变的密钥 KeNB。

一种切换过程中密钥生成系统， 包括 MME、 基站和 UE, 其中： 在 UE切换过程中 , MME使用 NH生成下一跳变的密钥 KeNB; 其中 , MME生成的 NH不通知基站。 优选地， 所述 MME和所述 UE侧各自使用目标基站所通知的 NCC值 同步下一跳变的密钥 KeNB; 以及， 所述 MME将所生成的下一跳变的密钥 KeNB通知目标基站。

优选地， 所述 UE以及 MME, 使用 NH、 目标基站的小区标识和目标 UTRA下行载频号生成下一跳变的密钥 KeNB。

优选地 ,所述 MME进一步用于 ,根据根密钥 Kasme和 NAS UL COUNT 值生成初始下一跳变的密钥 KeNB; 并根密钥 Kasme和 KeNB初始化 NH。

优选地， 目标基站用于， 将接收自源基站的 NCC值以及所述目标基站 选择的加密和完整性保护算法通过源基站通知 所述 UE;

所述 UE用于， 确定与当前接收的 NCC值对应的 NH, 并根据所确定 的 NH生成新的 KeNB,再根据所述新的 KeNB生成加解密密钥和完整性密 钥。

优选地， 目标基站用于， 接收到所述 UE的切换确认后， 将接收自源基 站的 NCC值通知所述 MME; 以及， 根据接收自所述 MME的 KeNB生成 加解密密钥和完整性密钥；

所述 MME用于， 确定与当前接收的 NCC值对应的 NH, 并根据所确 定的 NH生成新的 KeNB, 并将所述新的 KeNB通知目标基站。

优选地， 源 MME用于， 确定接收自源基站的 NCC值对应的 NH, 并 向目标 MME发送所接收的 NCC值及其对应的 NH;

目标 MME用于， 根据所接收的 NH生成 KeNB , 并使 NCC值加一， 将所述 KeNB和加一后的 NCC值通知目标基站；

目标基站用于， 选择加密和完整性算法， 并将加密和完整性算法以及 所接收的 NCC值通过目标 MME、 源 MME以及源基站通知所述 UE;

所述 UE用于， 确定与当前接收的 NCC值对应的 NH, 并根据所确定 的 NH生成新的 KeNB。 本发明中， UE切换过程中， UE及 MME使用 NH生成下一跳变的密 钥 KeNB; 并且， MME所生成的 NH不再通知给基站。 这样， 由于基站不 能获取 NH, 因此不能生成下一跳变的密钥 KeNB, 避免了非法获取下一跳 变的密钥 KeNB的可能性， 保证了前向安全性。 本发明大大提升了通信系 统的安全性。 附图说明

图 1为本发明实施例的长期演进系统中 eNB之间的 X2切换过程中密 钥生成流程图；

图 2为本发明实施例的第一次切换为 X2切换过程的密钥生成流程图； 图 3为本发明实施例的 UE、 eNB和 MME已存在安全上下文情况下的 X2切换过程中密钥生成流程图；

图 4为本发明实施例的 S1切换中密钥生成流程图。 具体实施方式

本发明的基本思想为： 在 X2切换过程中， 源 eNB不再为目标 eNB推 导出下一跳变的密钥，源 eNB只为目标 eNB提供下一跳变计数器 NCC值。 目标 eNB使用 NCC值令 UE和 MME两实体内的 NH保持同步， 从而使 UE和 MME内保存相同的 KeNB。 目标 eNB使用 NCC值向 MME申请与 UE相同的 KeNB, 从而保持自身的 KeNB和 UE的 KeNB保持一致。 切换 过程中， NH不再离开 MME, eNB无法获得 NH, eNB也没有能力推导出 NH(计算 NH必须拥有 Kasme ),所以源 eNB无法获得下一跳变中目标 eNB 的 KeNB, 解决了前向安全问题。

为使本发明的目的， 技术方案和优点更加清楚明白， 以下举实施例并 参照附图， 对本发明进一步详细说明。

图 1为本发明实施例的长期演进系统中 eNB之间的 X2切换过程中密 钥生成流程图， 如图 1所示， 本发明实施例中， LTE基站 eNB之间的 X2 切换过程中密钥生成与分发流程具体包括以下 步驟：

步驟 101 ,初始过程中 , MME不发送 NH给源 eNB, MME仅发送 NCC 值给源 e鳳

这里，初始过程是指在 X2切换发生之前，在源 eNB内建立 AS安全上 下文的过程。 在源 eNB发生 X2切换之前， 源 eNB内已经存在了 AS安全 上下文， 建立此安全上下文的过程可以是初始的连接请 求（如附着请求、 跟踪区更新 （TAU, Tracking Area Update )请求等）、 Intra-eNB切换、 X2 切换、 S1切换或 Inter-RAT切换等。 在这些过程中， MME发送给 eNB的 AS安全上下文中不包括 {NH, NCC}对， MME仅发送 NCC值给源 eNB。

步驟 102 ,源 eNB向目标 eNB发起 X2切换请求，即源 eNB向目标 eNB 发送 X2切换请求消息， 其中， 该 X2切换请求消息中包含 NCC值。 此处， NCC值是在步驟 101中 MME发送给源 eNB的 NCC值。

步驟 103 , 目标 eNB将 NCC值发送给 UE和 MME, UE和 MME通过 此 NCC值同步 NH , 并使用该 NH生成同样的 KeNB。

目标 eNB通过源 eNB在切换命令中将 NCC值通知给 UE , UE将从目 标 eNB处得到的 NCC值和自身保存的 NCC值进行比较， 利用从目标 eNB 处得到的 NCC值和自身保存的 NCC值之间的差值进行 NH的同步。 这里， 所谓的同步是指， 一般 UE中存储的 NCC值要小于网络侧通知的 NCC值， 需要使用网络侧通知的 NCC值生成 KeNB。

目标 eNB在路径转换请求中将 NCC值通知给 MME, MME将从目标 eNB处得到的 NCC值和自身保存的 NCC值进行比较， 利用从目标 eNB处 得到的 NCC值和自身保存的 NCC值之间的差值进行 NH的同步。 一般来 说， 本发明中在 MME中保存的 NCC值和从目标 eNB处得到的 NCC值应 该是相等的。 本步驟能够保证 UE处和 MME处有相同的 {NH, NCC}对。 UE在生成 KeNB之后， 利用该 KeNB分别生成数据及信令用的 RRC/UP加解密密钥 和完整性密钥。

步驟 104, MME将利用同步的 NH生成 KeNB, 该 KeNB与 UE中保 存的 KeNB保持一致。

MME将该 KeNB承载于路径转换请求应答消息中， 发送给目标 eNB。 目标 eNB利用该 KeNB分别生成数据及信令用的 RRC/UP加解密密钥和完 整性密钥。 RRC/UP加解密密钥和完整性密钥和 UE中推导的 RRC/UP加解 密密钥和完整性密钥保持一致。

图 2为本发明实施例的第一次切换为 X2切换过程的密钥生成流程图， 图 2是在建立起初始连接后， 与 UE建立起连接的 eNB决定发起的第一次 切换， 这里， 第一次切换过程就是 X2切换过程。 如图 2所示， 本实施例是 该 X2切换过程中密钥生成与密钥分发的完整流程� �� 具体包括以下步驟： 步驟 200, 在 UE和 MME内建立起初始化 AS安全上下文， 其目的是 初始化 NH。 MME通过 SI AP初始化上下文建立请求消息将 NCC值发送 给源 eNB; UE初始化 {NH, NCC}对， 并初始化 KeNB。

步驟 200中，在 MME内建立起初始 AS安全，具体为 , MME根据 Kasme 和 NAS 上行链路计数器推导出 KeNB , KeNB=KDF ( Kasme, NAS UL COUNT )。 NAS UL COUNT为初始连接请求中的 NAS上行链路计数器； 如果在 AS SMC 过程之前有认证密钥协商 （AKA )过程， 那么 NAS UL COUNT为 AKA过程中的 NAS上行链路计数器。 KDF表示密钥算法， 具 体的， 是将 Kasme及 NAS UL COUNT所对应的信息顺序排列， 作为密钥。

步驟 200中 ,初始化 NH,具体为 , MME在获得 KeNB之后 ,根据 Kasme 和 KeNB计算出 NH, 并令 NCC值加 1 , 此时 NCC=1。 MME保存最新的 {丽， NCC}对。 步驟 200中 , ΜΜΕ将 NCC值发送给 eNB, 具体为 , ΜΜΕ向 eNB发 送 SI AP初始上下文建立请求消息， 其中， NCC值承载于 SI AP初始上下 文建立请求消息中，由 MME发送给 eNB。 eNB为 X2切换过程中的源 eNB。

MME不发送 NH给 eNB。

步驟 200中， MME将 NCC值发送给 eNB , 具体为， eNB在接收到由 MME发送的 NCC值后， 将 NCC值保存。

步驟 200中， UE初始化 {NH, NCC}对，并初始化 KeNB,具体为， eNB 和 UE之间建立起无线 载， UE初始化 NCC=0; 初始化下一跳变密钥为 NH=void; 并且根据 Kasme 和 NAS 上行链路计数器推导出 KeNB , KeNB=KDF ( Kasme, NAS UL COUNT )。

步驟 201 , UE向源 eNB发送测量报告。 源 eNB通过测量报告决定向 目标 eNB发起一次 X2切换。

步驟 202, 源 eNB向目标 eNB发送切换请求， 源 eNB在切换请求中将 自身保存的下一跳变计数器 NCC值发送给目标 eNB。 此实施例中源 eNB 所保存的 NCC=1。 此步驟中源 eNB还将源 eNB的当前 AS安全上下文、 UE的安全能力转发给目标 eNB。

步驟 203 , 目标 eNB在接收到源 eNB的切换请求消息后， 保存接收到 的 NCC值。 NCC=1。 目标 eNB还根据接收到的 UE安全能力选择 RRC/UP 加密和完整性保护算法。

步驟 204 , 目标 eNB向源 eNB方式切换请求应答消息， 切换请求应答 消息中包括一个传输容器，传输容器中包括目 标 eNB所保存的 NCC值、 目 标 eNB所选择的加密和完整性保护算法标识（EIA、 EEA )等。

步驟 205, 源 eNB向 UE发送切换命令， 切换命令中包括了步驟 204 的从目标 eNB中接收到的传输容器。 源 eNB使用当前的 AS安全上下文对 消息进行加密和完整性保护。 步驟 206, UE在接收到源 eNB发送的切换命令后， 使用当前的 AS安 全上下文对消息进行解密和完整性验证。

UE提取出其中的 NCC值。 UE将从源 eNB接收到的 NCC值和自身所 保存的 NCC值进行比较。 UE根据从源 eNB接收到的 NCC值和自身所保 存的 NCC值之间的差值， 将自身的 {NH, NCC}对同步到接收到的 NCC值 所对应的 {NH, NCC}对。 UE保存此次同步产生的 {NH, NCC}对。

步驟 207, UE在同步了 NH后， 利用该 NH计算得到 KeNB。 计算方 法为 KeNB*=KDF ( NH, PCI, EARFCN DL ), PCI为目标 eNB的小区标 识， EARFCN— DL 目标 E-UTRA下行载频号， UE可以测量得到目标 PCI 和目标 EARFCN DL; 然后利用 KeNB*更新 KeNB, KeNB=KeNB*。

UE根据接收到的 EEA、 EIA以及自身更新的 KeNB计算出数据及信令 用的 RRC/UP加解密密钥和完整性密钥， 并替换当前的 AS安全上下文。

步驟 208, UE发送切换确认消息给目标 eNB。此消息被 UE的当前 AS 安全上下文所保护， UE当前的 AS安全上下文已经在步驟 207中被更新。

步驟 209, 目标 eNB发送路径转换请求消息给 MME。 其中目标 eNB 将自身所保存的 NCC值通知给 MME。 NCC值与 UE在步驟 206中接收到 的 NCC值相同； 目标 eNB还将其 PCI和 EARFCN— DL发送给 MME,用于 推导 KeNB*。

步驟 210, MME在接收到来自于目标 eNB的路径转换消息后， 提取出 其中的 NCC值。 MME将接收到的 NCC值与自身所保存的 NCC值进行比 较， 若相同， MME将取出与此 NCC值关联的 {NH, NCC}对中的 NH; 若 不同， MME将计算出与接收到的 NCC值相关联的 NH。

本发明中，能保证 MME中保存的 NCC值大于等于从目标 eNB处接收 到的 NCC值， MME保存有与该 NCC值所关联的 NH。

步驟 211 , MME在同步了 NH后， 利用该 NH计算得到 KeNB。 计算 方法为 KeNB*=KDF ( NH, PCI, EARFCN DL ),这里， PCI和 EARFCN— DL 是目标 eNB 的 PCI 和 EARFCN— DL; 然后利用 KeNB*更新 KeNB , KeNB=KeNB*。

步驟 212, MME在计算出 KeNB后， 将计算下一跳变的 {NH, NCC} 对。 首先将 NCC值加 1 ; 其次计算 NH, NH=KDF ( NH old, Kasme ), 其 中， NH— old为 MME中保存的前次 NH。 此新计算出的 {NH, NCC}对将用 于下一次跳变的密钥更新。

步驟 213 , MME向目标 eNB发送路径转换请求应答消息， 该路径转换 请求应答消息中携带有新的 NCC值和步驟 211所计算的 KeNB。 NCC值将 用于下一跳变的 UE和 MME之间的 NH同步； KeNB与 UE中保存的 KeNB 保持一致。 KeNB将被目标 eNB用于产生数据及信令用的 RRC/UP加解密 密钥和完整性密钥。

步驟 214, 目标 eNB将保存新的 NCC值， 并使用 KeNB和自身所选择 的 EEA、 EIA计算出 RRC/UP加解密密钥和完整性密钥。 目标 eNB将使用 新生成的 AS安全上下文对步驟 208中所接收到的切换确认消息进行解密和 完整性验证。

步驟 215 , 目标 eNB发送释放资源消息给源 eNB。 源 eNB在接收到来 自于目标 eNB的释放资源消息后， 将删除所有的与 UE有关的 AS安全上 下文。

图 3为本发明实施例的 UE、 eNB和 MME已存在安全上下文情况下的 X2切换过程中密钥生成流程图， 图 3是在进行 X2切换之前， UE和源 eNB 已有了 AS安全上下文， MME也有了部分 AS安全上下文。 这些安全上下 文是由之前的 UE、 eNB、 MME之间信令交互产生的， 这些信令交互可能 是之前的初始连接过程、 切换过程等。 本实施例是在 UE、 eNB和 MME均 已存在安全上下文情况下的 X2 切换过程中密钥生成与密钥分发的完整流 程， 具体包括以下步驟：

在 UE发起测量报告以前， UE保存有 {NH, NCC}对， 记为 NCCJJE; 源 eNB处存在 NCC值， 记为 NCC_eNB; MME保存的 {NH, NCC}对， 记 为 NCC— MME。 之前的信令交互过程能够保证 NCC— UE 小于等于 NCC— eNB； 并且 NCC— eNB小于等于 NCC— MME。

步驟 301 , UE向源 eNB发送测量报告。 源 eNB通过测量报告决定向 目标 eNB发起一次 X2切换。

步驟 302 , 源 eNB向目标 eNB发送切换请求消息， 该切换请求消息中 携带有源 _e NB保存的 NCC— eNB。 此步驟中源 eNB还将源 eNB的当前 AS 安全上下文、 UE的安全能力转发给目标 eNB。

步驟 303 , 目标 eNB在接收到源 eNB的切换请求消息后， 保存接收到 的 NCC— eNB。目标 eNB还根据接收到的 UE安全能力选择 RRC/UP加密和 完整性保护算法。

步驟 304 , 目标 eNB向源 eNB发送切换请求应答消息， 切换请求应答 消息中包括一个传输容器， 传输容器中包括目标 NCC— eNB、 目标 eNB所 选择的加密和完整性保护算法标识（EIA、 EEA )等。

步驟 305 , 源 eNB向 UE发送切换命令， 切换命令中包括了步驟 304 中的从目标 eNB中接收到的传输容器。

步驟 306, UE在接收到源 eNB发送的切换命令后， 使用当前的 AS安 全上下文对消息进行解密和完整性验证。

UE提取出其中的 NCC值。 UE将从源 eNB接收到的 NCC值和自身所 保存的 NCC值进行比较。 UE根据从源 eNB接收到的 NCC值和自身所保 存的 NCC值之间的差值， 将自身的 {NH, NCC}对同步到接收到的 NCC值 所对应的 {NH, NCC}对。 UE保存此次同步产生的 {NH, NCC}对。

步驟 307, UE在同步了 NH后， 利用该 NH计算得到 KeNB。 计算方 法为 KeNB*=KDF( NH, PCI, EARFCN— DL );然后利用 KeNB*更新 KeNB, KeNB=KeNB*。

步驟 308 , UE发送切换确认消息给目标 eNB。

步驟 309, 目标 eNB发送路径转换请求消息给 MME。 其中目标 eNB 将自身所保存的 NCC— eNB 通知给 MME ; 目标 eNB 将其 PCI 和 EARFCN— DL通知给 MME。

步驟 310, MME在接收到来自于目标 eNB的路径转换消息后， 提取该 路径转换消息中携带的 NCC— eNB。 MME将 NCC— eNB 与自身所保存的 NCC_MME进行比较， 若相同 , MME取出与此 NCC_MME关联的 {NH, NCC}对中的 NH; 若不同， MME将计算出与接收到的 NCC— eNB相关联的 丽。

步驟 311 , MME在同步了 NH后， 利用该 NH计算得到 KeNB。 计算 方法为 KeNB*=KDF ( NH, PCI, EARFCN— DL；),其中， PCI和 EARFCN— DL 为目标 eNB 的 PCI 和 EARFCN— DL; 然后利用 KeNB*更新 KeNB , KeNB=KeNB*。

步驟 312, MME在计算出 KeNB后， 将计算下一跳变的 {NH, NCC} 对。 首先将 NCC值加 1 ; 其次计算 NH, NH= KDF ( NH old, Kasme )。 此 新计算出的 {NH, NCC}对将用于下一次跳变的密钥更新。

步驟 313 , MME向目标 eNB发送路径转换请求应答消息， 其中附带新 的 NCC值和步驟 311所计算出的 KeNB。 NCC值将用于下一跳变的 UE和 MME之间的 NH同步； KeNB和 UE中保存的 KeNB保持一致。 KeNB将 被目标 eNB用于产生数据及信令用的 RRC/UP加解密密钥和完整性密钥。

步驟 314, 目标 eNB将保存新的 NCC值， 并使用 KeNB和自身所选择 的 EEA、 EIA计算出数据及信令用的 RRC/UP加解密密钥和完整性密钥。 目标 eNB将使用新生成的 AS安全上下文对步驟 308中所接收到的切换确 认消息进行解密和完整性验证。

步驟 315, 目标 eNB发送释放资源消息给源 eNB。 源 eNB在接收到来 自于目标 eNB的释放资源消息后， 将删除所有的与 UE有关的 AS安全上 下文。

从以上描述可以看出， 图 2所示密钥生成过程只是附图 3所示过程的 一个特例， 无论是第一次进行的切换就是 X2切换的过程， 还是 X2切换发 生在 UE和 eNB中已存在 AS安全上下文的情况下，本发明都能够使 X2切 换过程的流程保持一致， 并且保证了前向安全。

图 4为本发明实施例的 S1切换中密钥生成流程图， 图 4是一次 S1切 换中密钥生成和密钥分发流程，其中，为了保 证 X2切换过程中的前向安全， 在 S1切换过程中也有必要使得 eNB无法获得 NH, 使源 eNB不具备推导 目标 eNB的 KeNB的能力， 具体包括以下步驟：

步驟 401 , UE向源 eNB发测量报告。 此时 UE、 源 eNB、 源 MME中 保持有 UE的 AS安全上下文。

步驟 402, 源 eNB向源 MME发起切换需求， 切换需求相关消息中包 括源 eNB所保存的 NCC值。

步驟 403 , 源 MME根据从源 eNB接收到的 NCC值同步 {NH, NCC} 对。 源 MME向目标 MME发送转发重定位请求消息 , 以将同步后的 {NH , NCC}对和 Kasme、 eKSI发送给目标 MME。

步驟 404 , 目标 MME首先根据接收到的 {NH, NCC}对计算出 KeNB , 然后将 NCC值加 1 , 计算出新的 {NH, NCC}对。 新的 {NH, NCC}对用于 下一跳变密钥的生成。

步驟 405, 目标 MME向目标 eNB发送切换请求消息。 该切换请求消 息中包括步驟 404中所计算出的 KeNB和新的 NCC值。 目标 MME不发送 丽给目标 e鳳 步驟 406, 目标 eNB将选择加密和完整性保护算法， 将选择好的加密 和完整性保护算法标识和 NCC值承载于切换请求应答消息中， 并发送给目 标 MME。

步驟 407, 目标 MME转发重定位响应消息给源 MME, 该重定位响应 消息中包括目标 eNB中所保存的 NCC值、 加密和完整性保护算法标识。

步驟 408, 源 MME向源 eNB发切换命令， 其中包括目标 eNB中所保 存的 NCC值、 加密和完整性保护算法标识。

步驟 409, 源 eNB向 UE发切换命令， 其中包括目标 eNB中所保存的 NCC值、 加密和完整性保护算法标识。

步驟 410, UE根据从源 eNB处接收到的 NCC值同步 {NH, NCC}对， 并利用同步好的 NH计算出 KeNB。 UE根据接收到的加密和完整性保护算 法标识以及 KeNB计算出数据及信令用的加解密密钥和完整� �密钥。

步驟 411 , UE向目标 eNB发送切换确认消息。 UE和目标 eNB之间建 立起 AS安全。

本发明还记载了一种切换过程中密钥生成系统 ， 包括 MME、 基站和 UE, 其中：

在 UE切换过程中 , MME使用 NH生成下一跳变的密钥 KeNB; 其中， MME生成的 NH不通知基站。

其中， 上述 MME和上述 UE侧各自使用目标基站所通知的 NCC值同 步下一跳变的密钥 KeNB; 以及， 所述 MME将所生成的下一跳变的密钥 KeNB通知目标基站。

上述 UE以及 MME, 使用 NH、 目标基站的小区标识和目标通用地面 无线接入 UTRA下行载频号生成下一跳变的密钥 KeNB。

上述 MME进一步用于， 根据根密钥 Kasme和 NAS UL COUNT值生 成初始下一跳变的密钥 KeNB; 并根密钥 Kasme和 KeNB初始化 NH。 优选地， 目标基站用于， 将接收自源基站的 NCC值以及所述目标基站 选择的加密和完整性保护算法通过源基站通知 所述 UE;

所述 UE用于， 确定与当前接收的 NCC值对应的 NH, 并根据所确定 的 NH生成新的 KeNB,再根据所述新的 KeNB生成加解密密钥和完整性密 钥。

优选地， 目标基站用于，接收到所述 UE的切换确认后， 将接收自源基 站的 NCC值通知所述 MME; 以及， 根据接收自所述 MME的 KeNB生成 加解密密钥和完整性密钥；

所述 MME用于， 确定与当前接收的 NCC值对应的 NH, 并根据所确 定的 NH生成新的 KeNB, 并将所述新的 KeNB通知目标基站。

或者， 优选地， 源 MME 用于， 确定接收自源基站的 NCC值对应的 NH, 并向目标 MME发送所接收的 NCC值及其对应的 NH;

目标 MME用于， 根据所接收的 NH生成 KeNB , 并使 NCC值加一， 将所述 KeNB和加一后的 NCC值通知目标基站；

目标基站用于， 选择加密和完整性算法， 并将加密和完整性算法以及 所接收的 NCC值通过目标 MME、 源 MME以及源基站通知所述 UE;

所述 UE用于， 确定与当前接收的 NCC值对应的 NH, 并根据所确定 的 NH生成新的 KeNB。

本领域技术人员应当理解， 本示例切换过程中密钥生成系统中的各网 元的功能可参见前述图 1至图 4的相关描述而理解。 本发明切换过程中密 钥生成系统是在现有的网络结构基础上， 只是对相应的网元功能进行了改 进而已， 网络结构仍可参见现有网络结构而理解。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

工业实用性 本发明在 X2切换过程中， 使源 eNB不再为目标 eNB推导出下一跳变 的密钥， 源 eNB只为目标 eNB提供下一跳变计数器 NCC值。 目标 eNB使 用 NCC值令 UE和 MME两实体内的 NH保持同步， 从而使 UE和 MME 内保存相同的 KeNB。 目标 eNB使用 NCC值向 MME申请与 UE相同的 KeNB,从而保持自身的 KeNB和 UE的 KeNB保持一致。切换过程中， NH 不再离开 MME, eNB无法获得 NH, eNB也没有能力推导出 NH (计算 NH 必须拥有 Kasme ), 所以源 eNB无法获得下一跳变中目标 eNB的 KeNB, 解决了前向安全问题。