CN101060712B - 无线连接建立方法 - Google Patents
无线连接建立方法 Download PDFInfo
- Publication number
- CN101060712B CN101060712B CN2006100764364A CN200610076436A CN101060712B CN 101060712 B CN101060712 B CN 101060712B CN 2006100764364 A CN2006100764364 A CN 2006100764364A CN 200610076436 A CN200610076436 A CN 200610076436A CN 101060712 B CN101060712 B CN 101060712B
- Authority
- CN
- China
- Prior art keywords
- wireless connections
- communication
- security
- base station
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线连接建立方法,该方法包括:A.用户设备UE请求接入网设备建立无线连接,接入网设备与保存该UE在上一次无线连接中的安全参数的核心网设备交互,获得该UE的安全参数;B.接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信,UE完成无线连接的建立后通知接入网设备。本发明能够有效地减少接入时延,并提高无线连接建立过程的安全性。
Description
技术领域
本发明涉及移动通信系统中的无线连接技术,尤其涉及无线连接建立的方法。
背景技术
在全球移动通信系统(UMTS)中,为了建立用户设备(UE)与核心网之间的信令连接,首先要建立UE和全球陆地无线接入网(UTRAN)在空中接口上的无线资源控制协议(RRC)连接。
图1示出了现有的无线连接建立方法的流程图。如图1所示,在步骤101~103中,UE首先通过空中接口向UTRAN发送RRC连接请求,URTAN向UE返回RRC连接建立消息,然后,UE再向UTRAN发送表明连接建立成功的RRC连接建立完成消息。
为了保证通信过程的安全性,在UE未与UTRAN建立RRC连接之前,即UE处于空闲(Idle)状态时,UE和诸如服务通用分组无线业务支持节点(SGSN)之类的核心网设备均保存用于保护无线资源控制协议(RRC)信令的加密密钥和完整性密钥。当成功建立UE与UTRAN之间的RRC连接并且UE需要与核心网建立连接时,UE将自身的安全能力,例如加密算法、完整性算法等UE支持的安全算法,上报给UTRAN中的无线网络控制器RNC。然后UE将其身份标识、加密密钥和完整性密钥的标识符在核心网信令中发送给核心网设备。核心网设备找到对应的加密密钥和完整性密钥后,再将所找到的密钥发送给RNC。RNC根据自身的特点,在接收到的密钥中选择决定所使用的安全算法,然后通过安全模式命令,向UE指出所选择的安全算法并指示安全保护开始。这样,完成了安全关联的建立。
由上述的过程可见,每次在UE接入核心网时,UE和UTRAN中的RNC都要执行一次安全算法的协商,即建立安全关联,这使得接入过程中需要传输的信息量较大,并且需要交互的信令数量也较多,因此,接入的时间延迟较长。
另外,由于安全关联的建立过程在RRC连接建立之后执行,因此无法对RRC连接建立过程中的信令提供安全保护。这样,攻击者可以通过修改RRC连接建立消息中的内容,来使得用户按照错误的配置建立RRC连接,从而影响用户享受到的服务质量;攻击者也可以通过伪造RRC连接拒绝消息来实施拒绝服务攻击,使得合法的用户无法享受到网络侧提供的服务。
发明内容
有鉴于此,本发明提供一种无线连接建立方法,能够减少接入时延。根据本发明的无线连接建立方法包括以下步骤:
A.用户设备UE请求接入网设备建立无线连接,接入网设备与保存该UE在上一次无线连接中的安全参数的核心网设备交互,获得该UE的安全参数;
B.接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信,UE完成无线连接的建立后通知接入网设备。
其中,所述接入网设备为基站,则步骤A所述UE请求接入网设备建立无线连接为:
UE向基站发送携带有该UE的身份标识、保护信息集合标识以及有关所述核心网设备的信息的无线连接建立请求消息,请求建立无线连接。
其中,步骤A所述接入网设备与保存该UE在上一次无线连接中的安全参数的核心网设备交互,获得该UE的安全参数包括:
基站向与该基站直接相连的接入网关接入网关发送携带有UE身份标识和保护信息集合标识的保护信息集合请求消息,接入网关根据接收到的UE身份标识,将对应的保护信息集合携带于保护信息集合响应消息中,返回给基站。
其中,所述无线连接建立请求消息中进一步包括:接入网关的信息,则所述基站向接入网关发送保护信息集合请求消息之前,该方法进一步包括:
基站根据所述无线连接建立请求消息中的接入网关的信息,确定保存所述安全参数的接入网关。
其中,步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信为:
基站根据接收到的保护信息集合,获得本次无线连接中用于保护通信的安全关联,并通过无线连接建立消息来指示UE使用对应的安全关联对通信进行保护。
其中,所述获得本次无线连接中用于保护通信的安全关联为:
在基站确定继续使用所述保护信息集合时,将保护信息集合中的安全参数作为本次无线连接过程中用于保护无线信令的安全关联。
其中,步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信为:
基站从接收到的保护信息集合响应消息中解析出保护信息集合,在基站判定存在需要协商的安全参数时,基站与UE交互,对需要协商的安全参数进行协商,并将所述经过协商的安全参数和该基站支持的安全参数组成本次无线连接的安全关联,通过无线连接建立消息指示UE使用对应的安全关联对通信进行保护。
其中,所述无线连接建立请求消息中进一步包括:UE的安全能力信息;
步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信为:
基站从接收到的保护信息集合响应消息中解析出保护信息集合,在基站判定存在需要协商的安全参数时,根据该基站的特性,在接收到的UE支持的安全参数中进行选择,并将所选择的安全参数和该基站支持的安全参数组成本次无线连接的安全关联,通过无线连接建立消息指示UE使用对应的安全关联对通信进行保护。
其中,所述保护信息集合中包含上一次无线连接中的全部安全参数,则所述基站判定存在需要协商的安全参数为:在存在基站不支持的安全参数时,将基站不支持的安全参数作为需要协商的安全参数。
其中,所述保护信息集合中仅包含上一次无线连接中的部分安全参数,则所述基站判定存在需要协商的安全参数为:在存在基站不支持的安全参数时,将基站不支持的安全参数以及所述保护信息集合中未包含的安全参数作为需要协商的安全参数;在基站支持所述保护信息集合中的全部安全参数时,将所述保护信息集合中未包含的安全参数作为需要协商的安全参数。
其中,所述UE和核心网设备进一步保存该UE的安全能力信息,则所述保护信息集合响应消息进一步包括:UE的安全能力信息;
步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信为:
基站从接收到的保护信息集合响应消息中解析出保护信息集合和UE的安全能力信息,在确定该基站不支持所述保护信息集合中的部分安全参数时,基站根据解析出的UE的安全能力信息,选择对于UE和该基站均适合的安全参数,并将所选择的安全参数和所述保护信息集合中的其他安全参数确定为本次无线连接中的安全关联,而后基站通过无线连接建立消息指示UE使用相应的安全关联对通信进行保护。
其中,所述通过无线连接建立消息来指示UE使用对应的安全关联对通信进行保护为:
基站通过无线连接建立消息,将UE所需的安全参数发送给UE,并通知UE使用保护信息集合中的安全参数对应的安全关联对本次无线连接进行保护。
其中,步骤A所述接入网设备与保存该UE在上一次无线连接中的安全参数的核心网设备交互,获得该UE的安全参数包括:
基站向与该基站直接相连的新接入网关发送携带有UE身份标识的保护信息集合请求消息,新接入网关将所述保护信息集合请求消息转发给原接入网关,原接入网关根据接收到的UE身份标识,将对应的保护信息集合携带于保护信息集合响应消息中,发送给新接入网关,新接入网关再向基站返回保护信息集合响应消息。
较佳地,所述无线连接建立请求消息中进一步包括:原接入网关的信息,则所述基站向新接入网关发送保护信息集合请求消息的同时,该方法进一步包括:基站将原接入网关的信息发送给新接入网关;
所述新接入网关将所述保护信息集合请求消息转发给原接入网关之前,该方法进一步包括:
新接入网关根据所述原接入网关的信息确定保存所述安全参数的原接入网关。
其中,在所述向基站返回保护信息集合响应消息之前,该方法进一步包括:
与基站直接相连的接入网关生成第一随机数RAND,根据接收到的安全密钥中的共享密钥推导出加密密钥和完整性密钥;
所述向基站返回保护信息集合响应消息为:与基站直接相连的接入网关将所述第一随机数RAND、加密密钥和完整性密钥携带于保护信息集合响应消息中,发送给基站。
较佳地,步骤A所述UE向基站发送无线连接建立请求消息的同时,该方法进一步包括:UE将自身支持的安全算法发送给基站;
步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信包括:
基站从来自于UE的安全算法中选择自身支持的安全算法,并生成第二随机数FRESH,而后将所选择的安全算法、第二随机数FRESH以及第一随机数RAND携带于由完整性密钥保护的无线连接建立消息中,发送给UE;
步骤B所述UE完成无线连接的建立后通知接入网设备之前,该方法进一步包括:
UE从无线连接建立消息中解析出所述第一随机数RAND并通过解析出来的第一随机数RAND以及自身保存的共享密钥,推导出与基站中相同的加密密钥和完整性密钥。
其中,步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信包括:
基站生成第二随机数FRESH,而后将该基站支持的安全算法、第二随机数FRESH以及第一随机数RAND携带于由完整性密钥保护的无线连接建立消息中,发送给UE;
步骤B所述UE完成无线连接的建立后通知接入网设备之前,该方法进一步包括:UE根据自身的特性,从接收到的基站支持的安全算法中选择用于本次无线连接中的安全算法,并将所选择的安全算法返回给基站。
较佳地,步骤B所述UE完成无线连接的建立后通知接入网设备之前,该方法进一步包括:
UE从无线连接建立消息中解析出所述第一随机数RAND并通过解析出来的第一随机数RAND以及自身保存的共享密钥,推导出与基站中相同的加密密钥和完整性密钥。
其中,步骤B所述UE完成无线连接的建立后通知接入网设备为:
UE在成功验证无线连接消息的完整性之后,采用所述安全关联对无线连接建立确认消息进行保护,并将被保护的无线连接建立确认消息发送给基站,指明无线连接建立完成。
应用本发明,能够减少UE在接入核心网过程中的时间延迟。具体而言,本发明具有如下有益效果:
在本发明中,UE和核心网设备均保存有上一次无线连接过程中使用的安全参数,本次无线连接建立过程使用上一次无线连接中的安全参数对无线信令进行安全保护,而无需重新协商全部的安全参数,这使得接入过程中需要传输的信息量大大减少,因此,有效地缩短接入过程的时间延迟。
另外,在UE接收到核心网设备关于本次无线连接的安全参数的消息后,UE对该条消息执行完整性验证,并在验证成功的情况下执行后续的流程,能够有效地避免无线连接建立过程中的恶意攻击,为合法用户享受网络服务提供保障。进一步,UE和核心网设备确定全部的安全参数之后,采用安全参数对无线连接建立过程中的后续信令进行安全保护,从而有效地提高了无线连接建立过程的安全性。
附图说明
下面将通过参照附图详细描述本发明的示例性实施例,使本领域的普通技术人员更清楚本发明的上述及其它特征和优点,附图中:
图1为现有的RRC连接建立方法的流程图;
图2为本发明无线连接建立的方法流程图;
图3为本发明实施例1中无线连接建立方法的信令流程图;
图4为本发明实施例2中无线连接建立方法的信令流程图;
图5为本发明实施例3中无线连接建立方法的信令流程图;
图6为本发明实施例4中无线连接建立方法的信令流程图。
具体实施方式
为使本发明的目的、技术方案更加清楚明白,以下参照附图并举实施例,对本发明做进一步的详细说明。
本发明中无线连接建立方法的基本思想是:UE和核心网设备预先保存该UE在上一次无线连接中的无线信令的安全参数,本次的无线连接建立过程使用上一次无线连接中的安全参数对无线信令进行安全保护。
在移动通信网络中,安全关联是指用于保护通信的全部安全参数的集合,这里的安全参数例如包括安全算法、密钥以及安全关联生命期等。UE和核心网设备中所保存的安全参数的集合被称为是保护信息集合。
图2示出了本发明无线连接建立方法的流程图。本发明预先在UE和核心网设备中保存上一次连接中的安全参数信息,参见图2,本发明中的无线连接建立方法包括:
在步骤201中,UE请求接入网设备建立无线连接;
在步骤202中,接入网设备与保存该UE在上一次无线连接中的安全参数的核心网设备交互,获得该UE的安全参数;
在步骤203中,接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信;
在步骤204中,UE完成无线连接的建立并通知接入网设备。
下面以核心网设备为演进UTRAN中的接入网关(AGW)、接入网设备为基站(BS)为例,对本发明的无线连接建立方法进行详细描述。
实施例1
在本实施例中,预先保存的安全参数为上一次无线连接中所使用的安全关联的全部安全参数,即保护信息集合中为全部安全参数。
图3示出了本实施例中无线连接建立方法的信令流程图。如图3所示,本实施例中无线连接建立的方法包括:
在步骤301中,UE向BS发送携带有该UE的身份标识、保护信息集合标识以及有关AGW的信息的无线连接建立请求消息,请求建立无线连接。
本实施例中的网络架构采用资源池(pool)方式,即BS与多个AGW相连,则本步骤中需要有关AGW的信息,来帮助BS找到存储有UE在上一次无线连接中的安全参数的AGW。另外,本实施例也可以预先设置UE与AGW之间的对应关系,这样,BS根据接收到的UE的身份标识,在预先设置的对应关系中找到该UE对应的AGW,因此本步骤的无线连接建立请求消息中不必携带有关AGW的信息。
在步骤302~303中,BS向AGW发送携带有UE身份标识的保护信息集合请求消息,AGW根据接收到的UE身份标识,将对应的保护信息集合携带于保护信息集合响应消息中,返回给BS。
在BS根据接收到的无线连接建立请求消息确定保存安全参数的AGW之后,将UE的身份标识发送给所确定的AGW。AGW接收到来自于BS的保护信息集合请求消息后,从该消息中解析出UE的身份标识,而后从自身查找到该UE对应的保护信息集合,并通过保护信息集合响应消息,将查找到的保护信息集合返回给BS。
在步骤304中,BS从接收到的保护信息集合中选择自身支持的安全参数,获得本次无线连接中用于保护通信的安全关联,并通过无线连接建立消息来指示UE使用对应的安全关联对通信进行保护。
本步骤中,BS根据保护信息集合的生命期以及自身是否支持该保护信息集合中的安全算法等,确定是否继续使用接收到的保护信息集合。在确定继续使用该保护信息集合的情况下,BS将保护信息集合中的安全参数确定为本次无线连接过程中用于保护无线信令的安全参数,换言之,本次无线连接过程中的安全关联为保护信息集合中的全部安全参数。而后,BS通过无线连接建立消息,将保护信息集合中UE所需的安全参数发送给UE,并通知UE使用保护信息集合中的安全参数对应的安全关联对本次无线连接进行保护。
在步骤305中,UE在成功验证无线连接消息的完整性之后,向BS发送采用接收到的安全参数保护的无线连接建立确认消息,指明无线连接建立完成。
本步骤中,UE从接收到的无线连接建立消息中解析出全部安全参数,并对这些安全参数进行完整性验证,以确定该条消息未被篡改。在通过验证之后,采用接收到的安全参数中的完整性密钥和完整性算法对无线连接确认消息进行完整性保护,并采用加密密钥和加密算法进行机密性保护。此条消息也可以只进行完整性保护,而不进行机密性保护。
至此,完成本实施例中无线连接建立的流程。
本实施例中采用资源池的方式,即BS可以与保存上一次无线连接中使用的安全参数的AGW直接通信,并且AGW中保存了安全关联中的全部安全参数,因此本次无线连接建立过程中直接从AGW中取回UE对应的所有安全参数,而无需执行安全参数协商的操作,有效地缩短了接入时延。另外,UE接收到BS的无线连接消息时,对该消息进行完整性验证,以确保该消息未被篡改过,并且向BS指明无线连接建立完成时,采用接收到的安全参数对无线连接确认消息进行安全保护,因此无线连接的安全性得到了有效的提高。
实施例2
在本实施例中,预先保存的安全参数为上一次无线连接中的安全密钥信息。并且,UE移动到不同的接入网控制范围之内,BS无法与保存上一次无线连接中的安全密钥信息的AGW直接通信。本实施例中,与BS直接相连的AGW为AGWnew,而保存上一次无线连接中的安全密钥信息的AGW为AGWold,BS不能直接与AGWold相连。UE与AGWold共享密钥K,用于推导出本次无线连接中保护无线连接信令的安全密钥。
图4示出了本实施例中无线连接建立方法的信令流程图。参见图4,本实施例的无线连接建立方法包括:
在步骤401中,UE向BS发送携带有该UE的身份标识、保护信息集合标识、有关AGWold的信息以及UE支持的安全算法的无线连接建立请求消息,请求建立无线连接。
本实施例中BS只与一个AGWnew相连,再通过AGWnew与AGWold进行通信。因此,本步骤无需携带AGWnew的信息。另外,本步骤中,有关AGWold的信息可以为AGWold的标识,帮助BS找到存储有UE在上一次无线连接中的安全关联信息的AGW。本实施例也可以预先设置UE与AGWold之间的对应关系,这样,BS根据接收到的UE的身份标识,在预先设置的对应关系中找到该UE对应的AGWold,因此本步骤的无线连接建立请求消息中不必携带有关AGWold的信息。
另外,本步骤中的无线连接建立请求消息还携带有UE支持的安全算法,其目的在于便于后续步骤中BS确定本次无线连接中使用的安全算法。由于每个UE能够支持多于一种的安全算法,因此可以通过安全算法列表的方式来进行上报。
在步骤402中,BS向AGWnew发送携带有UE身份标识、保护信息集合标识以及有关AGWold的信息的保护信息集合请求消息,请求获得上一次无线连接中的安全参数。
本步骤中,BS从来自于UE的无线连接建立请求消息中解析出UE的身份标识、保护信息集合标识、有关AGWold的信息以及UE支持的安全算法,对UE支持的安全算法进行保存之后,将UE的身份标识、保护信息集合标识和有关AGWold的信息都放入保护信息集合请求消息之中,发送给AGWnew。
在步骤403~404中,AGWnew根据来自于BS的保护信息集合请求消息,向对应的AGWold发送携带有UE的身份标识和保护信息集合标识的保护信息集合请求消息;AGWold根据接收到的消息,在自身查找对应的保护信息集合,并通过保护信息集合响应消息,将查找到的保护信息集合返回给AGWnew。
AGWnew按照来自于BS的保护信息集合请求消息中携带的有关AGWold的信息,确定对应的AGWold。由于AGWold所保存的保护信息集合中只有上一次无线连接中的安全密钥,因此AGWold在向AGWnew返回保护信息集合响应消息时,仅将该UE对应的安全密钥携带于该消息中。此处的安全密钥中包含有UE和AGWold共享的共享密钥K。
在步骤405中,AGWnew生成第一随机数RAND,根据接收到的共享密钥K推导出加密密钥和完整性密钥,并通过保护信息集合响应消息,将第一随机数RAND、加密密钥和完整性密钥发送给BS。
本步骤中,AGWnew首先生成一个第一随机数RAND,然后再利用该第一随机数RAND推导出加密密钥和完整性密钥。以通过常用的SHA-1算法进行推导为例,具体的推导方法为:加密密钥=SHA-1(“加密密钥(cipherkey)”,BS身份标识,RAND,用户身份标识,K);完整性密钥=SHA-1(“完整性密钥(integrity key)”,BS身份标识,RAND,用户身份标识,K)。其中的K为UE和AGWold所共享的密钥K。
在步骤406~407中,BS从来自于UE的安全算法中选择自身支持的安全算法,并生成作为完整性算法的参数之一的第二随机数FRESH,而后将所选择的安全算法、第二随机数FRESH以及第一随机数RAND携带于由完整性密钥保护的无线连接建立消息中,发送给UE;UE在成功验证无线连接消息的完整性之后,向BS发送采用接收到的安全参数进行保护的表示无线连接建立完成的无线连接建立确认消息。
BS根据自身的特性,在步骤401中接收到的安全算法中进行选择,选出该BS支持的安全算法,并将所选定的安全算法作为本次无线连接中使用的安全算法。另外,BS所生成的第二随机数FRESH的作用在于作为完整性算法的输入参数。
UE在接收到无线连接建立消息后,从该消息中解析出安全算法、第二随机数FRESH和第一随机数RAND,并通过解析出来的第一随机数RAND以及自身保存的密钥K,推导出与BS中相同的加密密钥和完整性密钥。而后,UE利用完整性密钥和第二随机数FRESH进行完整性验证,并且在通过验证之后,采用接收到的安全参数中的完整性密钥和完整性算法对无线连接确认消息进行完整性保护,并采用加密密钥和加密算法进行机密性保护。此条消息也可以只进行完整性保护,而不进行机密性保护。
至此,结束本实施例中的无线连接建立流程。
本实施例中,作为UE可以在步骤401中向BS发送安全算法的替代方式,可以由BS在步骤406中通过无线连接建立消息,将该BS支持的安全算法下发给UE,UE根据自身的特性进行选择之后,在步骤407中通过无线连接建立确认消息,将所选择的安全算法返回给BS。
BS通过AGWnew与保存上一次无线连接中使用的安全参数的AGWold进行通信,虽然AGWold中只保存了保护信息集合中的安全密钥,但是本实施例仅执行部分安全参数的协商,因此能够有效地缩短接入时延。另外,UE接收到BS的无线连接消息时,对该消息进行完整性验证,以确保该消息未被篡改过,并且向BS指明无线连接建立完成时,采用接收到的安全参数对无线连接确认消息进行安全保护,因此无线连接的安全性得到了有效的提高。
另外,在本实施例中,如果UE和AGWold中保存了全部安全参数,则与实施例1的区别在于:BS与AGWold之间的所有交互都要通过AGWnew来进行。具体的区别为:在步骤302~303中,BS通过AGWnew向AGWold发送携带有UE身份标识的保护信息集合请求消息,AGWold根据接收到的UE身份标识,将对应的保护信息集合携带于保护信息集合响应消息中,通过AGWnew返回给BS。
本实施例中对加密密钥的协商方法同样适于BS与保存上一次无线连接中的安全参数的AGW直接相连的情况。在此情况下,AGWold和AGWnew合并为一体,成为与BS直接相连的AGW。
实施例3
本实施例中,BS能够直接与保存上一次无线连接中的安全参数的AGW进行直接通信,UE和AGW中保存的安全参数为安全关联中的全部参数,但是BS不支持其中的加密算法。另外,AGW中还保存有UE的安全能力信息。
图5示出了本实施例中无线连接建立方法的信令流程图。参见图5,本实施例的无线连接建立方法包括:
在步骤501中,UE向BS发送携带有该UE的身份标识、保护信息集合标识以及有关AGW的信息的无线连接建立请求消息,请求建立无线连接。
在步骤502~503中,BS向AGW发送携带有UE身份标识的保护信息集合请求消息,AGW根据接收到的UE身份标识,将对应的保护信息集合以及该UE的安全能力信息一起携带于保护信息集合响应消息中,返回给BS。此处的安全能力包括诸如UE所支持的安全算法之类的安全相关信息。
在BS根据接收到的无线连接建立请求消息确定保存安全参数的AGW之后,将UE的身份标识发送给所确定的AGW。AGW接收到来自于BS的保护信息集合请求消息后,从该消息中解析出UE的身份标识,而后从自身查找到该UE对应的保护信息集合以及安全能力,并通过保护信息集合响应消息,将查找到的保护信息集合返回给BS。
在步骤504中,BS确定自身无法使用该保护信息集合中的加密算法,并根据接收到的保护信息集合响应消息,对加密算法进行协商。
本步骤中,BS从接收到的保护信息集合响应消息中解析出保护信息集合和UE的安全能力信息,并根据保护信息集合的生命期以及自身是否支持该保护信息集合中的安全算法等,确定是否继续使用接收到的保护信息集合。在BS确定自身不支持保护信息集合中的加密算法时,BS根据解析出的UE的安全能力信息,从BS支持的加密算法中选择对于UE和该BS均适合的加密算法。此时,本次无线连接中的安全关联由所选择的加密算法和保护信息集合中的其他安全参数组成。
在步骤505~506中,BS将所选择的加密算法以及来自于AGW的其他安全参数携带于无线连接建立消息中,发送给UE;UE成功验证无线连接建立请求消息的完整性之后,向BS发送采用接收到的安全参数保护的无线连接建立确认消息,指明无线连接建立完成。
此处,UE从接收到的无线连接建立消息中解析出加密算法,并对该条消息进行完整性验证。在通过验证之后,UE采用接收到的安全参数中的完整性密钥和完整性算法对无线连接确认消息进行完整性保护,并采用加密密钥和加密算法进行机密性保护。此条消息也可以只进行完整性保护,而不进行机密性保护。
至此,完成本实施例中无线连接建立的流程。
在AGW未保存UE的安全能力信息时,AGW发送给BS的保护信息集合响应消息中则不存在UE的安全能力。UE可以通过步骤501中的无线连接建立请求消息,将自身的安全能力上报给BS,并且BS再在步骤504中确定对于UE和该BS均适合的加密算法,并在步骤505的无线连接建立消息中向UE指明使用对应的安全关联保护本次无线连接。另外,也可以在步骤503之后通过与UE的交互,进行安全参数协商。
本实施例中,BS可以与保存上一次无线连接中使用的安全关联信息的AGW直接通信,AGW中保存了保护信息集合中的全部安全参数,但是BS不支持保护信息集合中的加密算法。因此本次无线连接建立过程中仅执行加密算法的协商,其他安全参数均直接从AGW中取回,从而有效地缩短了接入时延。另外,UE接收到BS的无线连接消息时,对该消息进行完整性验证,以确保该消息未被篡改过,并且向BS指明无线连接建立完成时,采用接收到的安全参数对无线连接确认消息进行安全保护,因此无线连接的安全性得到了有效的提高。
实施例4
在本实施例中,BS可以与保存上一次无线连接中使用的安全关联信息的AGW直接通信,但是AGW中只保存了部分安全参数。此时,BS需要确定是否支持保护信息集合中的安全参数,将不支持的安全参数与AGW中未保存的安全参数作为需要协商的安全参数,并与UE进行交互,完成对需要协商的安全参数的协商。
图6示出了本实施例中无线连接建立方法的信令流程图。参见图6,本实施例的无线连接建立方法包括:
在步骤601中,UE向BS发送携带有该UE的身份标识、保护信息集合标识以及有关AGW的信息的无线连接建立请求消息,请求建立无线连接。
在步骤602~603中,BS向AGW发送携带有UE身份标识的保护信息集合请求消息,AGW根据接收到的UE身份标识,将对应的保护信息集合携带于保护信息集合响应消息中,返回给BS。
在步骤604中,BS将不支持的安全参数和保护信息集合中不存在的安全参数作为需要协商的安全参数,并与UE交互,进行安全参数的协商,确定本次无线连接中的安全关联。
在步骤605~606中,BS通过无线连接建立消息,向UE指明使用与BS相对应的安全关联保护通信;UE成功验证无线连接建立请求消息的完整性之后,向BS发送采用接收到的安全参数保护的无线连接建立确认消息,指明无线连接建立完成。
在本实施例中,UE可以通过步骤601中的无线连接建立请求消息上报自身支持的安全参数,则BS在步骤604中无需与UE交互,而是根据该BS的特性,在接收到的UE支持的安全参数中进行选择,完成需要协商的安全参数的确定。
本实施例中,UE和AGW中仅保存了部分安全参数,并且BS不支持该部分安全参数中的某些安全参数,则本次无线连接建立过程中仅对需要协商的安全参数执行协商过程,从而有效地缩短了接入时延。另外,UE接收到BS的无线连接消息时,对该消息进行完整性验证,以确保该消息未被篡改过,并且向BS指明无线连接建立完成时,采用接收到的安全参数对无线连接确认消息进行安全保护,因此无线连接的安全性得到了有效的提高。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (19)
1.一种无线连接建立方法,其特征在于,该方法包括:
A. 用户设备UE请求接入网设备建立无线连接,接入网设备与保存该UE在上一次无线连接中的安全参数的核心网设备交互,获得该UE的安全参数;
B. 接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信,UE完成无线连接的建立后通知接入网设备。
2.如权利要求1所述的方法,其特征在于,所述接入网设备为基站,则步骤A所述UE请求接入网设备建立无线连接为:
UE向基站发送携带有该UE的身份标识、保护信息集合标识以及有关所述核心网设备的信息的无线连接建立请求消息,请求建立无线连接。
3.如权利要求2所述的方法,其特征在于,步骤A所述接入网设备与保存该UE在上一次无线连接中的安全参数的核心网设备交互,获得该UE的安全参数包括:
基站向与该基站直接相连的接入网关发送携带有UE身份标识和保护信息集合标识的保护信息集合请求消息,接入网关根据接收到的UE身份标识,将对应的保护信息集合携带于保护信息集合响应消息中,返回给基站。
4.如权利要求3所述的方法,其特征在于,所述无线连接建立请求消息中进一步包括:接入网关的信息,则所述基站向接入网关发送保护信息集合请求消息之前,该方法进一步包括:
基站根据所述无线连接建立请求消息中的接入网关的信息,确定保存所述安全参数的接入网关。
5.如权利要求3所述的方法,其特征在于,步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信为:
基站根据接收到的保护信息集合,获得本次无线连接中用于保护通信的安 全关联,并通过无线连接建立消息来指示UE使用对应的安全关联对通信进行保护。
6.如权利要求5所述的方法,其特征在于,所述获得本次无线连接中用于保护通信的安全关联为:
在基站确定继续使用所述保护信息集合时,将保护信息集合中的安全参数作为本次无线连接过程中用于保护无线信令的安全关联。
7.如权利要求3所述的方法,其特征在于,步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信为:
基站从接收到的保护信息集合响应消息中解析出保护信息集合,在基站判定存在需要协商的安全参数时,基站与UE交互,对需要协商的安全参数进行协商,并将所述经过协商的安全参数和该基站支持的安全参数组成本次无线连接的安全关联,通过无线连接建立消息指示UE使用对应的安全关联对通信进行保护。
8.如权利要求3所述的方法,其特征在于,所述无线连接建立请求消息中进一步包括:UE的安全能力信息;
步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信为:
基站从接收到的保护信息集合响应消息中解析出保护信息集合,在基站判定存在需要协商的安全参数时,根据该基站的特性,在接收到的UE支持的安全参数中进行选择,并将所选择的安全参数和该基站支持的安全参数组成本次无线连接的安全关联,通过无线连接建立消息指示UE使用对应的安全关联对通信进行保护。
9.如权利要求7或8所述的方法,其特征在于,所述保护信息集合中包含上一次无线连接中的全部安全参数,则所述基站判定存在需要协商的安全参数为:在存在基站不支持的安全参数时,将基站不支持的安全参数作为需要协商的安全参数。
10.如权利要求7或8所述的方法,其特征在于,所述保护信息集合中仅包含上一次无线连接中的部分安全参数,则所述基站判定存在需要协商的安全参数为:在存在基站不支持的安全参数时,将基站不支持的安全参数以及所述保护信息集合中未包含的安全参数作为需要协商的安全参数;在基站支持所述保护信息集合中的全部安全参数时,将所述保护信息集合中未包含的安全参数作为需要协商的安全参数。
11.如权利要求3所述的方法,其特征在于,所述UE和核心网设备进一步保存该UE的安全能力信息,则所述保护信息集合响应消息进一步包括:UE的安全能力信息;
步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信为:
基站从接收到的保护信息集合响应消息中解析出保护信息集合和UE的安全能力信息,在确定该基站不支持所述保护信息集合中的部分安全参数时,基站根据解析出的UE的安全能力信息,选择对于UE和该基站均适合的安全参数,并将所选择的安全参数和所述保护信息集合中的其他安全参数确定为本次无线连接中的安全关联,而后基站通过无线连接建立消息指示UE使用相应的安全关联对通信进行保护。
12.如权利要求5、7、8或11所述的方法,其特征在于,所述通过无线连接建立消息来指示UE使用对应的安全关联对通信进行保护为:
基站通过无线连接建立消息,将UE所需的安全参数发送给UE,并通知UE使用保护信息集合中的安全参数对应的安全关联对本次无线连接进行保护。
13.如权利要求2所述的方法,其特征在于,步骤A所述接入网设备与保存该UE在上一次无线连接中的安全参数的核心网设备交互,获得该UE的安全参数包括:
基站向与该基站直接相连的新接入网关发送携带有UE身份标识的保护信息集合请求消息,新接入网关将所述保护信息集合请求消息转发给原接入网关,原接入网关根据接收到的UE身份标识,将对应的保护信息集合携带于保护信 息集合响应消息中,发送给新接入网关,新接入网关再向基站返回保护信息集合响应消息。
14.如权利要求13所述的方法,其特征在于,所述无线连接建立请求消息中进一步包括:原接入网关的信息,则所述基站向新接入网关发送保护信息集合请求消息的同时,该方法进一步包括:基站将原接入网关的信息发送给新接入网关;
所述新接入网关将所述保护信息集合请求消息转发给原接入网关之前,该方法进一步包括:
新接入网关根据所述原接入网关的信息确定保存所述安全参数的原接入网关。
15.如权利要求3或13所述的方法,其特征在于,在所述向基站返回保护信息集合响应消息之前,该方法进一步包括:
与基站直接相连的接入网关生成第一随机数RAND,根据接收到的安全密钥中的共享密钥推导出加密密钥和完整性密钥;
所述向基站返回保护信息集合响应消息为:与基站直接相连的接入网关将所述第一随机数RAND、加密密钥和完整性密钥携带于保护信息集合响应消息中,发送给基站。
16.如权利要求15所述的方法,其特征在于,步骤A所述UE向基站发送无线连接建立请求消息的同时,该方法进一步包括:UE将自身支持的安全算法发送给基站;
步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信包括:
基站从来自于UE的安全算法中选择自身支持的安全算法,并生成第二随机数FRESH,而后将所选择的安全算法、第二随机数FRESH以及第一随机数RAND携带于由完整性密钥保护的无线连接建立消息中,发送给UE;
步骤B所述UE完成无线连接的建立后通知接入网设备之前,该方法进一步包括:
UE从无线连接建立消息中解析出所述第一随机数RAND并通过解析出来的第一随机数RAND以及自身保存的共享密钥,推导出与基站中相同的加密密钥和完整性密钥。
17.如权利要求15所述的方法,其特征在于,步骤B所述接入网设备根据接收到的安全参数获得保护本次无线连接的安全关联,并指示UE使用对应的安全关联保护通信包括:
基站生成第二随机数FRESH,而后将该基站支持的安全算法、第二随机数FRESH以及第一随机数RAND携带于由完整性密钥保护的无线连接建立消息中,发送给UE;
步骤B所述UE完成无线连接的建立后通知接入网设备之前,该方法进一步包括:UE根据自身的特性,从接收到的基站支持的安全算法中选择用于本次无线连接中的安全算法,并将所选择的安全算法返回给基站。
18.如权利要求17所述的方法,其特征在于,步骤B所述UE完成无线连接的建立后通知接入网设备之前,该方法进一步包括:
UE从无线连接建立消息中解析出所述第一随机数RAND并通过解析出来的第一随机数RAND以及自身保存的共享密钥,推导出与基站中相同的加密密钥和完整性密钥。
19.如权利要求1所述的方法,其特征在于,步骤B所述UE完成无线连接的建立后通知接入网设备为:
UE在成功验证无线连接消息的完整性之后,采用所述安全关联对无线连接建立确认消息进行保护,并将被保护的无线连接建立确认消息发送给基站,指明无线连接建立完成。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100764364A CN101060712B (zh) | 2006-04-20 | 2006-04-20 | 无线连接建立方法 |
| PCT/CN2007/001301 WO2007121669A1 (fr) | 2006-04-20 | 2007-04-20 | Procédé, dispositif et système pour établir une connexion hertzienne |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100764364A CN101060712B (zh) | 2006-04-20 | 2006-04-20 | 无线连接建立方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101060712A CN101060712A (zh) | 2007-10-24 |
| CN101060712B true CN101060712B (zh) | 2011-08-24 |
Family
ID=38624550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100764364A Expired - Fee Related CN101060712B (zh) | 2006-04-20 | 2006-04-20 | 无线连接建立方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101060712B (zh) |
| WO (1) | WO2007121669A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355809B (zh) * | 2008-09-12 | 2013-03-20 | 中兴通讯股份有限公司 | 一种协商启用安全上下文的方法和系统 |
| CN102158854A (zh) * | 2009-01-15 | 2011-08-17 | 华为技术有限公司 | 数据发送、传输、接收方法及装置、局域网建立方法及装置 |
| CN102055721B (zh) * | 2009-11-02 | 2014-06-11 | 中兴通讯股份有限公司 | 一种访问控制方法和装置 |
| EP2656648B1 (en) * | 2010-12-21 | 2018-05-09 | Koninklijke KPN N.V. | Operator-assisted key establishment |
| CN102821385B (zh) * | 2011-06-10 | 2017-03-22 | 中兴通讯股份有限公司 | 一种向终端发送公共警报系统密钥信息的方法和网络实体 |
| WO2013103010A1 (ja) * | 2012-01-06 | 2013-07-11 | 富士通株式会社 | 基地局、無線端末、無線通信システム、および無線通信方法 |
| CN103517271A (zh) * | 2012-06-28 | 2014-01-15 | 中国移动通信集团公司 | 数据传输方法及装置、终端 |
| CN103813308B (zh) * | 2012-11-13 | 2017-11-10 | 电信科学技术研究院 | 一种上行数据传输方法、装置及系统 |
| CN103841547B (zh) * | 2012-11-27 | 2017-11-10 | 电信科学技术研究院 | 一种下行数据传输方法、装置及系统 |
| CN105306448A (zh) * | 2015-09-22 | 2016-02-03 | 深圳前海华视移动互联有限公司 | 访问外网数据的方法、车载多媒体终端及其内核Netfilter模块 |
| CN106954210B (zh) * | 2016-01-06 | 2020-02-14 | 华为技术有限公司 | 一种空口标识的保护方法及装置 |
| WO2021056563A1 (zh) * | 2019-09-29 | 2021-04-01 | 华为技术有限公司 | 通信方法和通信装置 |
| EP4149048A4 (en) * | 2020-05-29 | 2023-06-28 | Huawei Technologies Co., Ltd. | Key negotiation method, apparatus and system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553610A (zh) * | 2003-05-30 | 2004-12-08 | ��Ϊ��������˾ | 码分多址系统用户漫游到全球移动通信系统的鉴权方法 |
| CN1553730A (zh) * | 2003-05-30 | 2004-12-08 | 华为技术有限公司 | 一种无线局域网中用于移动台切换的密钥协商方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003037014A1 (en) * | 2001-09-25 | 2003-05-01 | Nokia Corporation | Adapting security parameters of services provided for a user terminal in a communication network and correspondingly secured data communication |
-
2006
- 2006-04-20 CN CN2006100764364A patent/CN101060712B/zh not_active Expired - Fee Related
-
2007
- 2007-04-20 WO PCT/CN2007/001301 patent/WO2007121669A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553610A (zh) * | 2003-05-30 | 2004-12-08 | ��Ϊ��������˾ | 码分多址系统用户漫游到全球移动通信系统的鉴权方法 |
| CN1553730A (zh) * | 2003-05-30 | 2004-12-08 | 华为技术有限公司 | 一种无线局域网中用于移动台切换的密钥协商方法 |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP.Radio Resource Control(RRC).《3GPP TS 25.331 v7.0.0》.2006,第8.1.12节. * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007121669A1 (fr) | 2007-11-01 |
| CN101060712A (zh) | 2007-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101060712B (zh) | 无线连接建立方法 | |
| US10595198B2 (en) | Communication method and device | |
| CN108347416B (zh) | 一种安全保护协商方法及网元 | |
| CA2688397C (en) | Method, system, and apparatus for preventing bidding down attacks during motion of user equipment | |
| US9713001B2 (en) | Method and system for generating an identifier of a key | |
| EP2255560B1 (en) | Identification of a manipulated or defect base station during handover | |
| RU2517410C2 (ru) | Способ выработки ключа, устройство и система | |
| US6763112B1 (en) | Security procedure in universal mobile telephone service | |
| US9294916B2 (en) | Methods and apparatuses generating a radio base station key in a cellular radio system | |
| EP3076710B1 (en) | Offload method, user equipment, base station and access point | |
| EP3761598A1 (en) | Generating keys for protection in next generation mobile networks | |
| EP2205014A2 (en) | Method of handling inter-system handover security in wireless communications system and related communication device | |
| EP1103137A1 (en) | Arranging authentication and ciphering in mobile communication system | |
| CN1941990A (zh) | 无线通信系统中在用户终端设备和网络之间进行认证的方法 | |
| EP3804374B1 (en) | Method and apparatus for security algorithm negotiation | |
| US20160095053A1 (en) | Security Feature Negotiation Between Network and User Terminal | |
| CN101350748A (zh) | 获取数据摘要计算参数失败后控制终端接入的方法和系统 | |
| CN114765827A (zh) | 一种安全保护方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110824 Termination date: 20130420 |