WO2009152755A1

WO2009152755A1 - 密钥身份标识符的生成方法和系统

Info

Publication number: WO2009152755A1
Application number: PCT/CN2009/072279
Authority: WO
Inventors: 张旭武; 黄庆
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2008-06-16
Filing date: 2009-06-15
Publication date: 2009-12-23
Anticipated expiration: 2010-12-16
Also published as: US8750515B2; US20110123029A1; CN101299666A; US20140233737A1; US9713001B2; EP2296389B1; EP2296389A4; EP2296389A1

Description

密钥身份标识符的生成方法和系统

技术领域

本发明涉及移动通信领域，具体而言，涉及一种用于用户设备（UE, User Equipment )从演进的陆地无线接入网（EUTRAN, Evolved UMTS Terrestrial Radio Access Network ) 转移到通用陆地无线接入网（UTRAN , Universal Terrestrial Radio Access Network )或从 EUTRAN转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网（ GERAN, GSM/EDGE Radio Access Network ) 时，密钥身份标识符的生成方法和系统。

背景技术

3GPP演进的分组系统（ EPS, Evolved Packet System )由演进的陆地无线接入网 EUTRAN和 EPS核心网（ EPC, Evolved Packet Core )组成。

其中， EPC包含移动管理实体（MME, mobility management entity ) , 移动管理实体负责移动性的管理，非接入层信令的处理，以及用户安全模式的管理等控制面相关工作。其中， ΜΜΕ保存 EUTRAN的根密钥——接入安全管理实体密钥（K_ASME, Key Access Security Management Entity ) , 并且使用 K_ASME和上行非接入层序列号（ NAS SQN )生成供演进的基站（ eNB, evolved Node B )使用的接入层的根密钥——演进的基站密钥（K_eNB, Key eNB ) 。接入安全管理实体密钥标识符（ KSIASME, KASME Key Set identifier for Access Security Management Entity )或 SGSN密钥标识符（ KSI_SGSN Key Set identifier for SGSN )是密钥 K_ASME的身份标识符（或者叫密钥序列号），长度为 3个比特位，用于在 UE与网络侧之间对密钥进行识别和检索。其中，如果 K_ASME 是通过 EPS认证和密钥协商（ AKA, Authentication and Key Association )直接产生的，则用 KSIASME作为 K_ASME的身份标识符；如果 K_ASME是通过 UMTS 或 GERAN的密钥映射生成的，则用 KSI_SGSN作为该 K_ASME的身份标识符。

当 UE和网络侧建立连接时，可以通过 KSIASME通知对方使用先前已经存储的指定密钥，从而建立安全上下文，避免每次连接都要进行认证和密钥协商（AKA, Authentication and Key Association ) , 节省网络资源。当密钥由于生存期结束或其它原因需要删除时， UE将 KSIASME设为 "111"。

其中， EUTRAN中，基站设备为 eNB, 主要负责无线通信、无线通信管理和移动性上下文的管理。

3GPP (第三代合作伙伴计划）通用移动通信系统（UMTS ) 中负责分组域移动性上下文的管理和 /或用户安全模式的管理的设备是服务 GPRS支持节点（SGSN, Serving GPRS Support Node , ；) 。 SGSN还负责 UMTS的无线接入网 UTRAN部分的认证和安全管理，并保存包括完整性密钥（IK, Integrity Key ) , 加密密钥（CK, Ciphering Key ) 的密钥集。该密钥集的身份标识符为密钥集标识符（KSI, Key Set identifier ) , KSI 的作用和使用方法类似于 EPS中的 KSIASME, 都是用于 UE和网络侧之间对密钥的识别和检索，长度也为 3个比特位。当 KSI等于" 111，，时，表示没有可以使用的密钥， KSI无效。当 UE和 SGSN需要协商建立 UMTS安全连接时，如果 UE已经储存了可以使用的密钥时， UE将储存的 KSI发送给 SGSN, SGSN验证自身存储的 KSI 与 UE发送过来的 KSI是否相同，如果相同，则釆用存储的密钥组协商建立安全上下文，并将 KSI发回 UE确认其使用的密钥。如果 UE没有存储有用的密钥，则将 KSI置为 "111", 然后发送给 SGSN, SGSN检查到 KSI为 "111" 后，向 HLR/HSS 发送认证请求消息， UE和网络侧重新进行 AKA, 产生新的密钥组。

GSM/EDGE 系统中负责分组域移动性上下文的管理和 /或用户安全模式的管理的设备也是 SGSN, SGSN负责 GSM/EDGE无线接入网（ GERAN, GSM/EDGE Radio Access Network )部分的认证和安全管理，并存有 GERAN 加密密钥 Kc ( Ciphering key ) , Kc的身份标识符为加密密钥序列号（ CKSN, Ciphering key sequence Number ) , CKSN的作用和使用方法与 KSI—样。

当 UE从 EUTRAN转移（ mobility )到 UTRAN时 , MME将用 K_ASME为目标网络生成密钥 IK、 CK, 并将生成的密钥 IK、 CK发送给 SGSN, UE和 SGSN使用 IK、 CK, 协商相应的安全算法，建立 UTRAN安全上下文，其中转移包括无线资源控制（ RRC, Radio Resource Control )处于激活（ Active ) 状态的转移，和 UE处于空闲（Idle )状态的转移两种类型，激活状态下的转移包括切换等，空闲状态下的转移包括路由区更新、附着请求等。当 UE从 EUTRAN转移到 GERAN时， MME用 K_ASME产生 CK, IK (同转移到 UMTS时，密钥产生方法一样），然后将产生的 IK、 CK发送给 SGSN。

SGSN使用 IK、 CK生成 GERAN密钥 Kc。

在现有技术中，无论是 KSI_ASME、 KSI还是 CKSN, 都是在认证过程中由网络侧生成 , 然后通过认证请求发送给 UE的。然而在 EUTRAN到 UTRAN 或 GERAN转移过程中 ,虽然 MME为目标网络生成了 UTRAN或 GERAN所需的 IK、CK,但这对密钥没有相应的身份标识符，一旦转移结束，UE和 SGSN 将无法检索到转移时生成的密钥，也无法重新使用这对密钥。当 UE和网络侧要重新建立 RRC或其它连接时，由于无法使用这些存储的密钥，不得不先进行 AKA, 重新产生新的密钥，然后才建立无线连接。这无疑会增加 UE和网络侧的信令开销，推迟了 UE与网络侧的正常通信时间，造成用户使用满意度变差。

发明内容

本发明要解决的技术问题是提供一种 UE在不同接入系统之间转移时，密钥身份标识符的生成方法和系统，解决现有技术中在 UE从 EUTRAN转移到 UTRAN或 GERAN后，由于转移过程中产生的由 K_ASME映射过来的密钥无身份标识符而导致该密钥无法被重新使用的问题。

为了解决上述技术问题，本发明提供了一种密钥身份标识符生成方法，包括：用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时，移动管理实体和用户设备使用接入安全管理实体密钥的身份标识符映射生成所述通用陆地无线接入网系统密钥集的身份标识符，移动管理实体将所述系统密钥集的身份标识符同系统的加密密钥及完整性密钥一起发送给服务 GPRS 支持节点。

进一步地，上述方法还可具有以下特点，所述映射生成的方式为：用户设备和移动管理实体直接令所述通用陆地无线接入网系统密钥集的身份标识符的值等于接入安全管理实体密钥的身份标识符的值，或令所述通用陆地无线接入网系统密钥集的身份标识符的值等于接入安全管理实体密钥的身份标识符的值与用户设备和网络侧约定的一常数之和。进一步地，上述方法还可具有以下特点，所述用户设备在空闲状态下从演进的陆地无线接入网转移到通用陆地无线接入网时，所述移动管理实体收到所述服务 GPRS支持节点发送的提取用户信息请求消息后，使用接入安全管理实体密钥生成完整性密钥、加密密钥，使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身份标识符即密钥集标识符 , 将所述完整性密钥、加密密钥和所述密钥集标识符通过提取用户信息响应消息发送给所述服务 GPRS支持节点，所述服务 GPRS支持节点保存所述加密密钥、完整性密钥和密钥集标识符。

较佳地，所述用户设备向所述服务 GPRS支持节点发送的空闲转移到通用陆地无线接入网的请求消息为路由区更新请求消息；相应地，所述提取用户信息消息为上下文请求消息；所述提取用户信息响应消息为上下文响应。

较佳地，所述用户设备向所述服务 GPRS支持节点发送的空闲转移到通用陆地无线接入网请求消息为附着请求消息；相应地，所述提取用户信息请求消息为鉴别请求消息；所述提取用户信息响应消息为鉴别响应。

进一步地，上述方法还可具有以下特点，所述用户设备决定空闲转移到通用陆地无线接入网后，在用户设备相应发送空闲转移到通用陆地无线接入网的完成消息给服务 GPRS支持节点之前，所述用户设备使用接入安全管理实体密钥的身份标识符映射生成密钥集标识符，将密钥集标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。

较佳地，用户设备发送给服务 GPRS支持节点的空闲转移到通用陆地无线接入网的完成消息为路由区更新完成消息或附着完成消息。

进一步地，上述方法还可具有以下特点，所述用户设备在无线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时，所述移动管理实体在收到切换请求后，使用接入安全管理实体密钥生成完整性密钥、加密密钥，使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身份标识符即密钥集标识符，通过前向重定向请求消息将所述加密密钥和完整性密钥及密钥集标识符一起发送给服务 GPRS支持节点，所述 GPRS支持节点保存所述加密密钥、完整性密钥和所述密钥集标识符；所述用户设备收到网络侧发送的切换命令后使用接入安全管理实体密钥的身份标识符映射生成密钥集标识符，将密钥集标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。

进一步地，上述方法还可具有以下特点，如果所述用户设备转移前和网络侧协商好密钥，且转移前协商好的密钥的身份标识符和转移过程中由所述接入安全管理实体密钥的身份标识符映射生成的所述系统密钥的身份标识符一样，删除转移前服务 GPRS支持节点和用户设备中保存的该密钥。

本发明还提出一种密钥身份标识符生成方法，包括：用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网时，

移动管理实体使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符；移动管理实体将所述加密密钥和完整性密钥及其身份标识符一起发送给服务 GPRS支持节点；

服务 GPRS支持节点将所述加密密钥和完整性密钥的身份标识符的值赋给所述全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符，即加密密钥序列号；

用户设备使用接入安全管理实体密钥标识符映射生成所述全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符。

进一步地，上述方法还可具有以下特点，所述映射生成的方式为：移动管理实体直接令加密密钥和完整性密钥的身份标识符的值等于接入安全管理实体密钥的身份标识符的值，或令加密密钥和完整性密钥的身份标识符的值等于接入安全管理实体密钥的身份标识符的值与网络侧和用户设备约定的一常数之和；用户设备直接令全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符，或令全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。

进一步地，上述方法还可具有以下特点，所述用户设备在空闲状态下从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网时，所述移动管理实体在收到提取用户信息请求消息后，生成完整性密钥、加密密钥和及其身份标识符，通过提取用户信息响应消息发送给所述服务 GPRS支持节点。

较佳地，所述用户设备向所述服务 GPRS支持节点发送的空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网的请求消息为路由区更新请求消息；相应地，所述提取用户信息请求消息为上下文请求消息；所述提取用户信息响应消息为上下文响应。

较佳地，所述用户设备向所述服务 GPRS支持节点发送的空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网的请求消息为附着请求消息；相应地，所述用提取用户信息请求消息为鉴别请求消息；所述提取用户信息响应消息为鉴别响应。

进一步地，上述方法还可具有以下特点，所述用户设备决定空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网后，在用户设备相应发送空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网的完成消息给服务 GPRS支持节点之前，所述用户设备使用接入安全管理实体密钥的身份标识符映射生成全球移动通讯系统或增强型数据速率 GSM 演进无线接入网的加密密钥身份标识符，将全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符和由接入安全管理实体密钥生成的全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥一起保存。

较佳地，用户设备发送给服务 GPRS支持节点的空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网的完成消息为路由区更新完成消息或附着完成消息。

进一步地，上述方法还可具有以下特点，所述用户设备在无线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时，所述移动管理实体在收到切换请求后，生成加密密钥、完整性密钥和及其身份标识符，通过前向重定向请求消息将所述加密密钥、完整性密钥及其身份标识符发送给服务 GPRS支持节点；所述用户设备收到网络侧发送的切换命令后，生成所述全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥及其身份标识符。

进一步地，上述方法还可具有以下特点，如果所述用户设备转移前和网络侧协商好密钥，且转移前协商好的密钥其身份标识符和转移过程中映射生成的所述全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符一样，删除转移前服务 GPRS支持节点和用户设备中保存的该密钥。

本发明提出一种密钥生成系统，包含用户设备、移动管理实体和服务 GPRS支持节点，其中，

所述用户设备，用于当用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时，将接入安全管理实体密钥的身份标识符映射为所述通用陆地无线接入网的系统密钥集的身份识别符；

所述移动管理实体，用于当用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时，将接入安全管理实体密钥的身份标识符映射为所述通用陆地无线接入网的系统密钥集的身份识别符，发送给所述服务 GPRS支持节点；

所述映射方式为，用户设备和移动管理实体直接令系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符，或令系统密钥集的身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。

进一步地，上述系统还可具有以下特点，所述用户设备包含：

第一密钥身份标识符映射单元，用于映射生成完整性密钥、加密密钥的身份标识符，将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标识符；

第一密钥及其身份标识符存储单元，用于保存加密密钥、完整性密钥和第一密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符；

所述移动管理实体包含：

第二密钥身份标识符映射单元，用于生成完整性密钥、加密密钥的身份标识符，将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标识符；

安全参数发送单元，用于发送加密密钥、完整性密钥和第二密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符至服务 GRPS支持节点；所述服务 GPRS支持节点包含：

安全参数接收单元，用于接收移动管理实体发送的加密密钥、完整性密钥及其身份标识符；

第三密钥及其身份标识符存储单元，用于存储接收到的加密密钥、完整性密钥及其身份标识符。

本发明还提出一种密钥生成系统，包含用户设备、移动管理实体和服务

GPRS支持节点，其中：

所述用户设备，用于当用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网时，使用接入安全管理实体密钥标识符映射生成全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符；

所述移动管理实体，用于当用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网时，使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符；将所述加密密钥和完整性密钥及其身份标识符一起发送给服务 GPRS 支持节点；

所述服务 GPRS支持节点，用于接收所述移动管理实体发送的加密密钥、完整性密钥及其身份标识符，将所述加密密钥、完整性密钥的身份标识符的值赋给全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符；

所述映射生成的方式为：移动管理实体直接令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符，或令加密密钥和完整性密钥的身份标识符等于接入安全管理实体密钥的身份标识符与网络侧和用户设备约定的一常数之和；用户设备直接令全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符，或令全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符等于接入安全管理实体密钥的身份标识符与用户设备和网络侧约定的一常数之和。

进一步地，上述系统还可具有以下特点，

所述用户设备包含：

第一密钥身份标识符映射单元，用于将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识付；

第一密钥及其身份标识符存储单元，用于保存全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥及其身份标识符；

所述移动管理实体还包含：

第二密钥身份标识符映射单元，用于生成所述加密密钥、完整性密钥的身份标识符，将接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给完整性密钥、加密密钥的身份标识符；

安全参数发送单元，用于发送加密密钥、完整性密钥和第二密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符至服务 GRPS支持节点；所述服务 GPRS支持节点还包含：

第三密钥身份标识符映射单元，用于将加密密钥、完整性密钥及其身份标识符的值赋给全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符；

第三密钥及其身份标识符存储单元，用于存储全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥及其身份标识符。

上述密钥集标识符生成方法和系统通过将 KSIASME映射为 KSI或 CKSN, 同时保证 KSI/CKSN值与原先存储的密钥身份标识符的值不出现重码，解决了现有技术中在 UE从 EUTRAN转移到 UTRAN/GERAN时，由于映射过来的密钥无身份标识符而无法重新被使用的问题。

附图概述

图 1为本发明从 EUTRAN转移到 UTRAN时密钥集标识符生成方法具体实现示意图；

图 2为本发明所述方法的第一实施例的实现信令流程图；

图 3为本发明所述方法的第二实施例的实现信令流程图；

图 4为本发明所述方法的第三实施例的实现信令流程图；

图 5为本发明从 EUTRAN转移到 GERAN时密钥集标识符生成方法具体实现示意图；

图 6为本发明所述方法的第四实施例的实现流程图；

图 7为本发明所述方法的第五实施例的实现信令流程图；

图 8为本发明所述方法的第六实施例的实现信令流程图。

本发明的较佳实施方式

为了能够重新使用由 K_ASME转换过来的密钥，减少 UE和网络侧的信令交互，在转移过程中需要为密钥生成身份标识符，本发明提供了一种 UE从 EUTRAN转移到 UTRAN/GERAN时 , 密钥集标识符的生成方法和系统。

下面将参考附图并结合实施例，来详细说明本发明。

图 1为本发明 UE从 EUTRAN转移到 UTRAN时密钥集标识符生成方法具体实现示意图，该方法包括：

Al、源 MME收到请求消息后，将 KSIASME映射为 KSI, 即将 KSI_ASME 的值赋给 KSI,令 KSI=KSI_ASME, 然后通过源 MME和目标 SGSN之间的交互消息将 KSI和由 K_ASME生成的 IK、 CK一起发送给目标 SGSN;

A2、目标 SGSN收到源 MME发送过来的 KSI、 IK和 CK后，将 KSI、 IK和 CK一起保存；目标 SGSN向 UE发送 KSI映射完成的消息；

A3、 UE 将 KSIASME映射为 KSI , 即将 KSI_ASME的值赋给 KSI , 令 KSI=KSI_ASME, 并将 KSI和由 K_ASME生成的 IK、 CK一起保存。

这里，源 MME和 UE还可以令 KSI等于 KSIASME与一常数之和，其中，该常数由 UE和网络侧共同确定。且 KSIASME与常数之和不能为 "1 1 1", 如果 KSIASME与常数之和正好为 1 1 1时， UE与网络侧需要将 KSI_ASME与常数之和确定为其它值，比如确定为下一个值 "000", 或确定为其它值。

如果转移前 UE和网络侧 SGSN已经协商好密钥，且转移前协商好的 KSI 的值与转移过程中由 KSIASME映射生成的 KSI的值相同，则转移前 UE和目标 SGSN中保存的该密钥将被删除。

图 2为本发明所述方法的第一实施例，该实施例为 UE在空闲状态下从 EUTRAN转移到 UTRAN时，密钥身份标识符的生成方法流程，该方法包括以下步骤：

5201 , UE决定空闲转移到 UTRAN, 发送空闲转移到 UTRAN的请求消息至目标 SGSN。

这里，空闲转移到 UTRAN的请求消息可以为路由区更新请求或附着请求。

5202 , 目标 SGSN收到 UE发送过来的空闲转移到 UTRAN的请求消息后，向源 MME发送与所述空闲转移到 UTRAN的请求消息对应的提取用户信息请求消息。

这里，所谓的 "对应 "是指目标 SGSN向源 MME发送的提取用户信息请求消息与目标 SGSN收到的空闲转移到 UTRAN的请求消息的类型对应。

例如，如果 S201中 UE向目标 SGSN发送的是路由区更新请求，则该步中提取用户信息请求消息为上下文请求消息；

又如，如果 S201中 UE向目标 SGSN发送的是附着请求，则该步中提取用户信息请求消息为鉴别请求消息。

5203 , 源 MME收到目标 SGSN发送过来的提取用户信息请求消息后，将 KSIASME的值赋给 KSI, 即令 KSI=KSI_ASME, 并使用 K_ASME产生 IK、 CK。

5204、源 MME向目标 SGSN发送提取用户信息的响应消息，该响应消息中携带 KSI和 IK、 CK。其中：

如果 S203中源 MME收到目标 SGSN发送过来的上下文请求消息，则该步中提取用户信息的响应消息为上下文响应消息。

如果 S203中源 MME收到目标 SGSN发送过来的鉴别请求消息，则该步中提取用户信息的响应消息为鉴别响应消息。

S205 , 目标 SGSN收到源 MME发送过来的 KSI和 IK、 CK后，将 KSI 矛口 IK、 CK—起保存。

5206 , 目标 SGSN向 UE发送空闲转移到 UTRAN接受消息，以通知 UE 网络侧密钥身份标识符已经映射成功。其中：

如果 S201中 UE向目标 SGSN发送的是路由区更新请求，则该步中空闲转移到 UTRAN接受消息为路由区更新接受消息。

如果 S201中 UE向目标 SGSN发送的是附着请求，则该步中空闲转移到 UTRAN接受消息为附着接受消息。

5207 , UE将 KSIASME的值赋给 KSI,即令 KSI_ASME=KSI,将 KSI和由 K_ASME 生成的 IK、 CK一起保存。

S208 , UE向目标 SGSN发送空闲转移到 UTRAN完成消息。其中：如果 S201中 UE向目标 SGSN发送的是路由区更新请求，则该步中空闲转移到 UTRAN完成消息为路由区更新完成消息。

如果 S201中 UE向目标 SGSN发送的是附着请求，则该步中空闲转移到 UTRAN完成消息为附着完成消息。

图 3为本发明所述方法的第二实施例，该实施例为 UE在空闲状态下从 EUTRAN转移到 UTRAN时，密钥身份标识符的生成方法流程，该方法包括以下步骤：

5301 , UE决定空闲转移到 UTRAN , 将 KSI_ASME的值赋给 KSI, 即令 KSI =KSI_ASME, 将 KSI和由 K_ASME生成的 IK、 CK一起保存；

5302, UE发送空闲转移到 UTRAN的请求消息至目标 SGSN。

5303 , 目标 SGSN收到 UE发送过来的空闲转移到 UTRAN的请求消息后，向源 MME发送与所述空闲转移到 UTRAN的请求消息对应的提取用户信息请求消息。其中：

如果 S302中 UE向目标 SGSN发送的是路由区更新请求，则该步中提取用户信息请求消息为上下文请求消息。

又如，如果 S302中 UE向目标 SGSN发送的是附着请求，则该步中提取用户信息请求消息为鉴别请求消息。

5304 ,源 MME收到目标 SGSN提取用户信息请求消息后，将 KSI_ASME 的值赋给 KSI, 即令 KSI=KSI_ASME, 并使用 K_ASME产生 IK、 CK。

5305 , 源 MME向目标 SGSN发送与提取用户信息响应消息，该响应消息中携带 KSI和 IK、 CK。其中：

如果 S304中源 MME收到目标 SGSN发送过来的上下文请求消息，则该步中提取用户信息响应消息为上下文响应消息。

如果 S304中源 MME收到目标 SGSN发送过来的鉴别请求消息，则该步中提取用户信息响应消息为鉴别响应消息。

5306, 目标 SGSN收到源 MME发送过来的 KSI和 IK、 CK后，将 KSI 矛口 IK、 CK—起保存。

5307, 目标 SGSN向 UE发送空闲转移到 UTRAN接受消息，以通知 UE 网络侧密钥身份标识符已经映射成功，其中：。

如果 S302中 UE向目标 SGSN发送的是路由区更新请求，则该步中空闲转移到 UTRAN接受消息为路由区更新接受消息。如果 S302中 UE向目标 SGSN发送的是附着请求，则该步中空闲转移到 UTRAN接受消息为附着接受消息。

S308, UE向目标 SGSN发送空闲转移到 UTRAN完成消息，其中：。如果 S302中 UE向目标 SGSN发送的是路由区更新请求，则该步中空闲转移到 UTRAN完成消息为路由区更新完成消息。

如果 S302中 UE向目标 SGSN发送的是附着请求，则该步中空闲转移到 UTRAN完成消息为附着完成消息。

图 4为本发明所述方法的第三实施例，该实施例为 RRC在激活状态下的转移，即从 EUTRAN切换到 UTRAN时，密钥身份标识符的生成方法流程，该方法包括以下步骤：

S401 , 源 eNB决定发起切换。

这里，源 eNB决定发起切换可以是根据 UE发送给该 eNB的测量报告触发，还可以是根据一些其它原因由 eNB决定发起转移。

S402 , 源 eNB向源 MME发送切换请求。

5403 , 源 MME 收到切换请求后，将 KSIASME的值赋给 KSI , 即令 KSI=KSI_ASME ,并使用 K_ASME生成 IK、 CK。

5404, 源 MME向目标 SGSN发送前向重定向请求，该前向重定向请求中携带 KSI和 IK、 CK。

S405, 目标 SGSN将 KSI和 IK、 CK一起保存。

5406,目标 SGSN向源 MME发送前向重定向响应消息，以通知源 MME, 目标网络已经做好切换准备。

5407 , 源 MME向源 eNB发送切换命令。

5408 , 源 eNB向 UE发送 EUTRAN切换命令。

S409 , UE 收到该切换命令后，将 KSIASME的值赋给 KSI , 即令

KSI=KSI_ASME, 并使用 K_ASME生成 IK、 CK, 然后将 KSI和 IK、 CK一起保存。

S410, UE 向目标无线网络控制器（RNC )发送切换成功消息，以通知网络侧 KSI生成成功。

图 5为本发明从 EUTRAN转移到 GERAN时密钥集标识符生成方法具体实现示意图，该方法包括：

B1、源 MME收到相关请求消息后，将 KSIASME映射为 KSI,即将 KSI_ASME 的值赋给 KSI,令 KSI=KSI_ASME, 然后通过源 MME和目标 SGSN之间的交互消息将 KSI和由 K_ASME生成的 IK、 CK一起发送给目标 SGSN。

B2、目标 SGSN收到源 MME发送过来的 KSI和 IK、 CK后，将 KSI的值赋给 CKSN,即令 CKSN=KSI,将 CKSN和由 IK、 CK生成的 Kc一起保存；然后目标 SGSN向 UE发送 CKSN映射完成的消息。

B3、 UE将 KSIASME映射为 CKSN, 即将 KSI_ASME的值赋给 CKSN: 令 CKSN=KSIASME , 并将 CKSN和由 K_ASME生成的 Kc一起保存。

这里， UE还可以令 CKSN等于 KSIASME与一常数之和，源 MME还可以令 KSI等于 KSIASME与一常数之和，上述两个常数由 UE和网络侧共同确定。且 KSIASME与常数之和不能为" 111",如果 KSI_ASME与常数之和正好为 111时， UE与网络侧需要将 KSIASME与常数之和确定为其它值，比如确定为下一个值 "000", 或确定为其它值。

上述方法中如果转移前 UE和网络侧 SGSN已经协商好密钥，且该密钥的身份标识符 CKSN的值与转移过程中 KSIASME映射生成的 CKSN的值一样，则 UE和目标 SGSN将转移前保存的密钥删除。图 6为本发明所述方法的第四实施例，该实施例为 UE在空闲状态下从 EUTRAN空闲转移到 GERAN时，密钥身份标识符的生成方法流程，该方法包括以下步骤：

S601 , UE 决定空闲转移到 GERAN, 向目标 SGSN发送空闲转移到

GERAN的请求消息。

这里，空闲转移到 GERAN的请求消息可以为路由区更新请求或附着请求。 5602 , 目标 SGSN收到 UE发送过来的空闲转移到 GERAN的请求消息后，向源 MME发送与所述空闲转移到 GERAN的请求消息对应的提取用户信息请求消息，其中：。

如果 S601中 UE向目标 SGSN发送的是路由区更新请求，则该步中提取用户信息请求消息为上下文请求消息；

如果 S601中 UE向目标 SGSN发送的是附着请求，则该步中提取用户信息请求消息为鉴别请求消息。

5603 ,源 MME收到目标 SGSN发送过来的提取用户信息请求消息后，将 KSIASME的值赋给 KSI, 即令 KSI=KSI_ASME, 并使用 K_ASME产生 IK、 CK。

S604、源 MME向目标 SGNS发送提取用户信息响应消息，该响应消息中携带 KSI和 IK、 CK, 其中：

如果 S603中源 ΜΜΕ收到目标 SGSN发送过来的上下文请求消息，则该步中提取用户信息响应消息为上下文响应消息；

如果 S603中源 MME收到目标 SGSN发送过来的鉴别请求消息，则该步中提取用户信息响应消息为鉴别响应消息。

5605 , 目标 SGSN收到源 MME发送过来的 KSI和 IK、 CK后，将 KSI 的值赋给 CKSN, 并将 CKSN和由 IK、 CK生成的 Kc一起保存。

5606 , 目标 SGSN向 UE发送空闲转移到 GERAN接受消息，以通知 UE 网络侧密钥身份标识符已经映射成功，其中：。

如果 S601中 UE向目标 SGSN发送的是路由区更新请求，则该步中空闲转移到 GERAN接受消息为路由区更新接受消息。

如果 S601中 UE向目标 SGSN发送的是附着请求，则该步中空闲转移到 GERAN接受消息为附着接受消息。

5607 , UE将 KSIASME的值赋给 CKSN, 即令 CKSN=KSI_ASME, 将 CKSN 和由 K_ASME生成的 KC一起保存。

5608 , UE向目标 SGSN发送空闲转移到 GERAN完成消息，其中：如果 S601中 UE向目标 SGSN发送的是路由区更新请求，则该步中空闲转移到 GERAN完成消息为路由区更新完成消息。

如果 S601中 UE向目标 SGSN发送的是附着请求，则该步中空闲转移 GERAN完成消息为附着完成消息。

图 7为本发明所述方法的第五实施例，该实施例为 UE在空闲状态下从 EUTRAN转移到 GERAN时，密钥身份标识符的生成方法流程，该方法包括以下步骤：

5701 , UE决定空闲转移到 GERAN , 将 KSI_ASME的值赋给 CKSN, 即令 CKSN=KSIASME , 将 CKSN和由 K_ASME生成的 Kc一起保存。

5702 , UE发送空闲转移到 GERAN请求消息至目标 SGSN。

这里，空闲转移到 GERAN请求消息可以为路由区更新请求或附着请求。

5703 , 目标 SGSN收到 UE发送过来的空闲转移到 GERAN 的请求消息后，向源 MME发送与所述空闲转移到 GERAN的请求消息对应的提取用户信息请求消息，其中：

如果 S702中 UE向目标 SGSN发送的是路由区更新请求，则该步中提取用户信息请求消息为上下文请求消息。

如果 S702中 UE向目标 SGSN发送的是附着请求，则该步中提取用户信息请求消息为鉴别请求消息。

S704 , 源 MME收到目标 SGSN发送过来的提取用户信息请求消息后，将 KSIASME的值赋给 KSI, 即令 KSI=KSI_ASME, 并使用 K_ASME产生 IK、 CK。

S705、源 MME向目标 SGSN发送提取用户信息响应消息，该响应消息中携带 KSI和 IK、 CK, 其中：

如果 S704中源 ΜΜΕ收到目标 SGSN发送过来的上下文请求消息，则该步中提取用户信息响应消息为上下文响应消息。

如果 S704中源 MME收到目标 SGSN发送过来的鉴别请求消息，则该步中提取用户信息响应消息为鉴别响应消息。 5706 , 目标 SGSN收到源 MME发送过来的 KSI和 IK、 CK后，将 KSI 的值赋给 CKSN, 并将 CKSN和由 IK、 CK生成的 Kc一起保存。

5707 , 目标 SGSN向 UE发送空闲转移到 GERAN接受消息，以通知 UE 网络侧密钥身份标识符已经映射成功，其中：

如果 S702中 UE向目标 SGSN发送的是路由区更新请求，则该步中空闲转移到 GERAN接受消息为路由区更新接受消息；

如果 S702中 UE向目标 SGSN发送的是附着请求，则该步中空闲转移到 GERAN接受消息为附着接受消息。

5708 , UE向目标 SGSN发送空闲转移到 GERAN完成消息，其中：如果 S702中 UE向目标 SGSN发送的是路由区更新请求，则该步中空闲转移到 GERAN完成消息为路由区更新完成消息。

如果 S702中 UE向目标 SGSN发送的是附着请求，则该步中空闲转移到 GERAN完成消息为附着完成消息。

图 8为本发明所述方法的第六实施例，该实施例为 RRC在激活状态下从

EUTRAN切换到 GERAN时，密钥身份标识符的生成方法流程，该方法包括以下步骤：

5801 , 源 eNB决定发起切换；

这里，源 eNB决定发起切换可以是根据 UE发送给该 eNB的测量报告触发的，还可以是根据一些其它原因由 eNB决定发起转移的。

5802 , 源 eNB向源 MME发送切换请求；

5803 , 源 MME 收到切换请求后，将 KSIASME的值赋给 KSI , 即令 KSI=KSI_ASME ,并使用 K_ASME生成 IK、 CK;

5804 , 源 MME向目标 SGSN发送前向重定向请求，将 KSI和 IK、 CK 一并传给目标 SGSN;

5805 , 目标 SGSN将 KSI的值赋给 CKSN,即令 CKSN=KSI,并将 CKSN 和由 IK、 CK生成的 Kc一起保存； 5806 ,目标 SGSN向源 MME发送前向重定向响应消息，以通知源 MME, 目标网络已经做好切换准备；

5807 , 源 MME向源 eNB发送切换命令；

5808 , 源 eNB向 UE发送 EUTRAN切换命令；

S809 , UE 收到该切换命令后，将 KSIASME的值赋给 CKSN , 即令

CKSN=KSI_ASME,并使用 K_ASME生成 Kc,然后将生成的 CKSN和 Kc一起保存； S810 , UE向目标 RNC或 BSS发送切换成功消息，以通知网络侧 CKSN 映射成功。

上述六个实施例中，源 MME和 UE还可以令目标系统的密钥身份识别符等于 KSIASME与一常数之和，该常数由 UE和网络侧共同确定。且 KSI_ASME 与常数之和不能为 "111", 如果 KSIASME与常数之和正好为 111时， UE与网络侧需要将 KSIASME与常数之和确定为其它值，比如确定为下一个值 "000", 或确定为其它值。

前面已经介绍了 KSIASME和 KSI_SGSN, 二者的格式是一样的，在上面的实施例中只以 KSIASME为例来进行了说明， KSI_SGSN的处理方式和 KSI_ASME处理方法一样，本发明不再赘述。

本发明提供了一种密钥身份标识符生成系统，该系统用于 UE 从 EUTRAN转移到 UTRAN时生成密钥身份标识符，包含：用户设备、移动管理实体和服务 GPRS支持节点，其中，

所述用户设备，其用于将演进的陆地无线接入网的 KSIASME映射为 UTRAN的系统密钥的身份识别符；

所述移动管理实体，其用于将 KSIASME映射为 UTRAN的系统密钥的身份识别符，发送给目标 SGSN;

所述服务 GPRS支持节点，其用于接收所述移动管理实体发送的系统密钥的身份标识符及其加密密钥、完整性密钥并保存。所述映射方式为， UE 和 MME 直接令系统密钥的身份标识符等于 KSIASME, 或令系统密钥的身份标识符等于 KSIASME与一用户设备和网络侧约定的常数之和。

进一步地，所述用户设备包含：

第一密钥身份标识符映射单元，其用于生成 IK、 CK的身份标识符 KSI, 将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符 KSIASME的值或将该身份标识符 KSI_ASME加上一约定的常数后映射给 KSI;

第一密钥及其身份标识符存储单元，其用于保存 UTRAN的系统密钥即 IK、 CK和第一密钥标识符映射单元生成的系统密钥的身份标识符 KSI;

消息接收单元，其用于接收网络侧发送过来的密钥身份标识符映射成功消息；

消息发送单元，其用于发送请求消息至网络侧。

所述移动管理实体还包含：

第二密钥身份标识符映射单元，其用于生成所述密钥 IK、 CK的身份标识符 KSI, 将 KSIASME的值或将其加上一约定的常数后映射给 KSI;

安全参数发送单元，其用于发送第二密钥标识符映射单元生成的系统密钥的身份标识符 KSI和系统密钥 IK、 CK至服务 GRPS支持节点；

请求消息接收单元，其用于接收密钥身份标识符映射请求；

所述服务 GPRS支持节点还包含：

安全参数接收单元，其用于接收移动管理实体发送的密钥 IK、 CK及其身份标识符 KSI;

第三密钥及其身份标识符存储单元，其用于存储接收到的身份标识符 KSI及其密钥 IK、 CK;

消息发送单元，其用于通知 UE网络侧身份标识符生成完成消息。

上述密钥集标识符生成方法和系统因为釆用 EUTRAN网络中的 KSIASME 的值映射为的 UTRAN网络的 KSI的值，同时保证 KSI与原先存储的密钥序列号不出现重码。解决了现有技术中在 UE从 EUTRAN转移到 UTRAN时，由于映射过来的 IK、 CK无身份标识符而无法重新被使用的问题。

本发明还提供了一种密钥身份标识符生成系统，该系统用于 UE 从

EUTRAN转移到 GERAN时生成密钥身份标识符，包含：用户设备、移动管理实体和服务 GPRS支持节点，其中：

所述用户设备，其用于使用接入安全管理实体密钥标识符映射生成 GERAN的加密密钥 Kc 的身份标识符 CKSN;

所述移动管理实体，其用于使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符；将所述加密密钥和完整性密钥及其身份标识符一起发送给服务 GPRS支持节点；

所述服务 GPRS支持节点，其用于接收所述移动管理实体发送的加密密钥、完整性密钥及其身份标识符，将所述身份标识符的值赋给 GERAN的加密密钥 Kc 的身份标识符 CKSN。

进一步地，所述用户设备包含：

第一密钥身份标识符映射单元，其用于生成 Kc的身份标识符 CKSN, 将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符 KSIASME的值或将其加上一约定的常数后映射给 CKSN;

第一密钥及其身份标识符存储单元，其用于保存第一密钥生成单元生成的密钥 Kc和第一密钥标识符映射单元生成的密钥的身份标识符 CKSN;

消息接收单元，其用于接收网络侧发送过来的密钥身份标识符映射完成消息；

消息发送单元，其用于发送请求消息以通知网络侧作密钥身份标识符映射。所述移动管理实体还包含：

安全参数发送单元，其用于发送密钥 IK、 CK和第二密钥标识符映射单元生成的 IK、 CK的身份标识符 KSI至服务 GRPS支持节点；

请求消息接收单元，其用于接收密钥身份标识符映射请求；

所述服务 GPRS支持节点还包含：

第三密钥身份标识符映射单元，其用于将 KSI的值赋给 CKSN;

第三密钥及其身份标识符存储单元，其用于存储密钥 Kc及其身份标识符 CKSN。

消息发送单元，其用于通知 UE网络侧身份标识符生成完成消息。上述实施例的密钥集标识符生成方法和系统因为釆用 KSIASME的值映射为 CKSN的值，同时保证 CKSN和目标 SGSN原先存储的密钥序列号不出现重码 , 所以解决了现有技术中在 UE从 EUTRAN转移到 UTRAN或 GERAN 时，由于 K_ASME映射过来的 IK、 CK或 Kc无身份标识符而无法被重新使用的问题，从而使 IK、 CK或 Kc能够在转移结束后，重新被使用，减少 UE和网络侧的交互信令，提高用户使用网络的满意度。

显然，本领域的技术人员应该明白，上述的本发明的各个模块或各个步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性上述密钥身份标识符生成方法和系统因为釆用 KSIASME的值映射为 CKSN的值，同时保证 CKSN和目标 SGSN原先存储的密钥序列号不出现重码，所以解决了现有技术中在 UE从 EUTRAN转移到 UTRAN或 GERAN时 , 由于 K_ASME映射过来的 IK、 CK或 Kc无身份标识符而无法被重新使用的问题，从而使 IK、 CK或 Kc能够在转移结束后，重新被使用，减少 UE和网络侧的交互信令，提高用户使用网络的满意度，因此具有很强的工业实用性。

Claims

权利要求书

1、一种密钥身份标识符生成方法，包括：用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时，移动管理实体和用户设备使用接入安全管理实体密钥的身份标识符映射生成所述通用陆地无线接入网系统密钥集的身份标识符，移动管理实体将所述系统密钥集的身份标识符同系统的加密密钥及完整性密钥一起发送给服务 GPRS支持节点。

2、如权利要求 1所述的方法，其中，所述映射的生成方式为：用户设备和移动管理实体直接令所述通用陆地无线接入网系统密钥集的身份标识符的值等于接入安全管理实体密钥的身份标识符的值，或令所述通用陆地无线接入网系统密钥集的身份标识符的值等于接入安全管理实体密钥的身份标识符的值与用户设备和网络侧约定的一常数之和。

3、如权利要求 1或 2所述的方法，其中，所述用户设备在空闲状态下从演进的陆地无线接入网转移到通用陆地无线接入网时，所述移动管理实体收到所述用户设备向所述服务 GPRS 支持节点发送的提取用户信息请求消息后，使用接入安全管理实体密钥生成完整性密钥、加密密钥，使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身份标识符即密钥集标识符，将所述完整性密钥、加密密钥和所述密钥集标识符通过提取用户信息响应消息发送给所述服务 GPRS支持节点，所述服务 GPRS支持节点保存所述加密密钥、完整性密钥和密钥集标识符。

4、如权利要求 3所述的方法，其中，所述用户设备向所述服务 GPRS支持节点发送的空闲转移到通用陆地无线接入网的请求消息为路由区更新请求消息；

相应地，所述的提取用户信息请求消息为上下文请求消息；

所述提取用户信息响应消息为上下文响应。

5、如权利要求 3所述的方法，其中，所述用户设备向所述服务 GPRS支持节点发送的空闲转移到通用陆地无线接入网的请求消息为附着请求消息；相应地，所述的提取用户信息请求消息为鉴别请求消息；所述的提取用户信息响应消息为鉴别响应。

6、如权利要求 1或 2所述的方法，其中，所述用户设备决定空闲转移到通用陆地无线接入网后，在所述用户设备相应发送空闲转移到通用陆地无线接入网完成消息给服务 GPRS支持节点之前，所述用户设备使用接入安全管理实体密钥的身份标识符映射生成密钥集标识符，将密钥集标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。

7、如权利要求 6所述的方法，其中，用户设备发送给服务 GPRS支持节点的空闲转移到通用陆地无线接入网完成消息为路由区更新完成消息或附着完成消息。

8、如权利要求 1或 2所述的方法，其中，所述用户设备在无线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时，所述移动管理实体在收到切换请求后，使用接入安全管理实体密钥生成完整性密钥、加密密钥，使用接入安全管理实体密钥的身份标识符映射生成所述完整性密钥、加密密钥的身份标识符即密钥集标识符，通过前向重定向请求消息将所述加密密钥和完整性密钥及密钥集标识符一起发送给服务 GPRS支持节点，所述 GPRS支持节点保存所述加密密钥、完整性密钥和所述密钥集标识符；所述用户设备收到网络侧发送的切换命令后使用接入安全管理实体密钥的身份标识符映射生成密钥集标识符，将密钥集标识符和由接入安全管理实体密钥生成的完整性密钥、加密密钥一起保存。

9、如权利要求 1或 2所述的方法，其中，如果所述用户设备转移前和网络侧协商好密钥，且转移前协商好的密钥的身份标识符和转移过程中由所述接入安全管理实体密钥的身份标识符映射生成的所述系统密钥的身份标识符相同，则删除转移前服务 GPRS支持节点和用户设备中保存的该密钥。

10、一种密钥身份标识符生成方法，包括：用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网时，移动管理实体使用接入安全管理实体密钥的身份标识符映射生成加密密钥和完整性密钥的身份标识符；移动管理实体将所述加密密钥和完整性密钥及其身份标识符一起发送给服务 GPRS支持节点；

11、如权利要求 10所述的方法，其中，所述映射的生成方式为：移动管理实体直接令加密密钥和完整性密钥的身份标识符的值等于接入安全管理实体密钥的身份标识符的值，或令加密密钥和完整性密钥的身份标识符的值等于接入安全管理实体密钥的身份标识符的值与网络侧和用户设备约定的一常数之和；用户设备直接令全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符的值等于接入安全管理实体密钥的身份标识符的值，或令全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符的值等于接入安全管理实体密钥的身份标识符的值与用户设备和网络侧约定的一常数之和。

12、如权利要求 10或 11所述的方法，其中，所述用户设备在空闲状态下从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网时，所述移动管理实体在收到所述用户设备向所述服务 GPRS支持节点发送的提取用户信息请求消息后，生成完整性密钥、加密密钥和及其身份标识符，通过提取用户信息响应消息发送给所述服务 GPRS支持节点。

13、如权利要求 12所述的方法，其中，所述用户设备向所述服务 GPRS 支持节点发送的空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网的请求消息为路由区更新请求消息；

相应地，所述提取用户信息请求消息对应的请求消息为上下文请求消息；所述提取用户信息响应消息为上下文响应。

14、如权利要求 12所述的方法，其中，所述用户设备向所述服务 GPRS 支持节点发送的空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网的请求消息为附着请求消息；

相应地，所述提取用户信息请求消息为鉴别请求消息；

所述提取用户信息响应消息为鉴别响应。

15、如权利要求 10或 11所述的方法，其中，所述用户设备决定空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网后，在所述用户设备相应发送空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网的完成消息给服务 GPRS支持节点之前，所述用户设备使用接入安全管理实体密钥的身份标识符映射生成全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符，将全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥身份标识符和由接入安全管理实体密钥生成的全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥一起保存。

16、如权利要求 15所述的方法，其中，用户设备发送给服务 GPRS支持节点的空闲转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网的完成消息为路由区更新完成消息或附着完成消息。

17、如权利要求 10或 11所述的方法，其中，所述用户设备在无线资源控制激活状态下从演进的陆地无线接入网转移到通用陆地无线接入网时，所述移动管理实体在收到切换请求后，生成加密密钥、完整性密钥和及其身份标识符，通过前向重定向请求消息将所述加密密钥、完整性密钥及其身份标识符发送给服务 GPRS支持节点；所述用户设备收到网络侧发送的切换命令后，生成所述全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥及其身份标识符。

18、如权利要求 10或 11所述的方法，其中，如果所述用户设备转移前和网络侧协商好密钥，且转移前协商好的密钥其身份标识符和转移过程中映射生成的所述全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符一样，删除转移前服务 GPRS支持节点和用户设备中保存的该密钥。

19、一种密钥身份标识符生成系统，该系统适用于用户设备从演进的陆地无线接入网转移到通用陆地无线接入网时生成系统密钥身份标识符，该系统包含：用户设备、移动管理实体和服务 GPRS支持节点，其中，

所述用户设备，其用于将接入安全管理实体密钥的身份标识符映射为所述通用陆地无线接入网的系统密钥集的身份识别符；

所述移动管理实体，其用于将接入安全管理实体密钥的身份标识符映射为所述通用陆地无线接入网的系统密钥集的身份识别符，发送给所述服务

GPRS支持节点；

20、如权利要求 19所述的系统，其中，

所述用户设备包含：

第一密钥身份标识符映射单元，其用于映射生成完整性密钥、加密密钥的身份标识符，将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标识符；

第一密钥及其身份标识符存储单元，其用于保存加密密钥、完整性密钥和第一密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符；所述移动管理实体包含：

第二密钥身份标识符映射单元，其用于生成完整性密钥、加密密钥的身份标识符，将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一约定的常数后映射给完整性密钥、加密密钥的身份标识符；

安全参数发送单元，其用于发送加密密钥、完整性密钥和第二密钥标识符映射单元生成的加密密钥、完整性密钥的身份标识符至服务 GRPS支持节点；

所述服务 GPRS支持节点包含：

安全参数接收单元，其用于接收移动管理实体发送的加密密钥、完整性密钥及其身份标识符；

第三密钥及其身份标识符存储单元，其用于存储接收到的加密密钥、完整性密钥及其身份标识符。

21、一种密钥身份标识符生成系统，该系统适用于用户设备从演进的陆地无线接入网转移到全球移动通讯系统或增强型数据速率 GSM演进无线接入网时生成系统密钥身份标识符，该系统包含：用户设备、移动管理实体和服务 GPRS支持节点，其中，

所述用户设备，其用于使用接入安全管理实体密钥标识符映射生成全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符；

所述服务 GPRS支持节点，其用于接收所述移动管理实体发送的加密密钥、完整性密钥及其身份标识符，将所述加密密钥、完整性密钥的身份标识符的值赋给全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符；

22、如权利要求 21所述的系统，其中，

所述用户设备包含：

第一密钥身份标识符映射单元，其用于将演进的陆地无线接入网的根密钥接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符；

第一密钥及其身份标识符存储单元，其用于保存全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥及其身份标识符；

所述移动管理实体还包含：

第二密钥身份标识符映射单元，其用于生成所述加密密钥、完整性密钥的身份标识符，将接入安全管理实体密钥的身份标识符的值或将其加上一常数后映射给完整性密钥、加密密钥的身份标识符；

所述服务 GPRS支持节点还包含：

第三密钥身份标识符映射单元，其用于将加密密钥、完整性密钥及其身份标识符的值赋给全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥的身份标识符；

第三密钥及其身份标识符存储单元，其用于存储全球移动通讯系统或增强型数据速率 GSM演进无线接入网的加密密钥及其身份标识符。