CN101094065A - 无线通信网络中的密钥分发方法和系统 - Google Patents

无线通信网络中的密钥分发方法和系统 Download PDF

Info

Publication number
CN101094065A
CN101094065A CNA2006100901037A CN200610090103A CN101094065A CN 101094065 A CN101094065 A CN 101094065A CN A2006100901037 A CNA2006100901037 A CN A2006100901037A CN 200610090103 A CN200610090103 A CN 200610090103A CN 101094065 A CN101094065 A CN 101094065A
Authority
CN
China
Prior art keywords
key
subscriber equipment
deduction
module
mobile management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2006100901037A
Other languages
English (en)
Other versions
CN101094065B (zh
Inventor
胡伟华
陈璟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jingshi Intellectual Property Management Co ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to CN2006100901037A priority Critical patent/CN101094065B/zh
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to EP20164415.0A priority patent/EP3700127B1/en
Priority to EP07721532.5A priority patent/EP2034658B1/en
Priority to ES18199994T priority patent/ES2808498T3/es
Priority to EP18199994.7A priority patent/EP3461058B1/en
Priority to PCT/CN2007/001959 priority patent/WO2008000165A1/zh
Priority to PT141665075T priority patent/PT2775659T/pt
Priority to ES14166507.5T priority patent/ES2601495T3/es
Priority to EP15198137.0A priority patent/EP3024170B1/en
Priority to EP17176519.1A priority patent/EP3252992B1/en
Priority to ES17176519T priority patent/ES2717340T3/es
Priority to EP14166507.5A priority patent/EP2775659B1/en
Priority to PT17176519T priority patent/PT3252992T/pt
Publication of CN101094065A publication Critical patent/CN101094065A/zh
Application granted granted Critical
Publication of CN101094065B publication Critical patent/CN101094065B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种无线通信网络中的密钥分发方法,包括:分别推演出保护接入层信令、非接入层信令和用户数据安全的密钥;将推演出的密钥分发到用户设备和网络中执行相应安全操作的实体上。采用本发明方法,可实现在无线演进网络中推演和分发保护接入层信令、非接入层信令和用户数据安全的密钥。

Description

无线通信网络中的密钥分发方法和系统
技术领域
本发明涉及无线通信领域,尤其涉及一种无线通信网络中的密钥分发方法和系统。
背景技术
随着基于IP业务和流量的急剧增长,3GPP这种接入技术渐渐地不能适应这种变化。与之对应地,无线局域网(Wireless Local Area Network,WLAN)、微波存取全球互通(Worldwide Interoperability for Microwave Access,WiMAX)等接入技术开始兴起,对3GPP网络造成了直接的威胁。为了保证在未来十年以至更久的时间内3GPP系统的竞争力,一个接入技术演进的工作正在3GPP组织内部进行。3GPP开始考虑对3GPP网络接入技术的长期演进问题,尤其是对3GPP系统内实现的分组交换技术进行增强,以使得3GPP接入系统在性能和成本方面都处于领先地位。
当前无线演进网络架构如图1所示,其核心网主要包含移动管理实体(Mobility Management Entity,MME)、用户面实体(User Plane Entity,UPE)、系统间锚点(Inter AS Anchor,IASA)三个逻辑功能体。其中,MME负责控制面的移动性管理,包括用户上下文和移动状态管理,分配用户临时身份标识、安全功能等;UPE负责空闲状态下为下行数据发起寻呼,管理保存IP承载参数和网络内路由信息等;IASA则充当不同接入系统间的用户面锚点。UPE可能单独存在,也可能和MME合为一个实体。UPE也有可能与IASA合为一个实体。图中的各个接口的功能和是否存在目前还没有最终确定。用户信息存储于家乡用户服务器(Home Subscriber Server,HSS)。
3GPP的网络的技术演进主要包括减少时延和反应时间、提高用户数据速率、增强系统容量和覆盖范围、降低运营商成本等方面。此外,演进的网络结构对于现有网络的后向兼容性也是一个重要的指标。其中在安全方面,要求演进网络中的用户安全机制必须保证提供至少和目前2G和3G系统相同级别的安全要求。
目前,在UMTS系统中,安全的终结点位于无线网络控制器(Radio NetworkController,RNC)。用户设备和RNC执行加密/解密和完整性保护操作,为用户数据提供机密性保护,为用户设备和RNC之间交互的信令提供机密性保护和完整性保护。这种情况下,用户设备和RNC仅仅需要使用一个加密密钥CK和一个完整性保护密钥IK即可,其加密密钥和完整性密钥的分发方式如下:
1、用户设备和网络执行认证过程,认证结束后用户设备和核心网中的移动业务交换中心/访问位置寄存器(MSC/VLR)得到密钥CK和IK。
2、核心网中的设备MSC/VLR或者服务GPRS支持节点(Serving GPRSSupport Node,SGSN)将密钥CK和IK发送给RNC。
然而,在无线演进网络中,可能有三个不同的安全关联分别来保护接入层信令、非接入层信令和用户数据的安全,即用户面的安全、接入层信令面的安全和非接入层信令面的安全。用户面的安全被终结在核心网,信令面的接入层信令和非接入层信令两个部分,分别终结在接入网和核心网。具体而言,用户面的安全终结在核心网的UPE上,接入层信令的安全终结在无线演进网络接入网的基站上,非接入层信令的安全尚未决定终结在核心网的哪个设备上,可能终结在MME上,也可能终结在IASA上。因此,在无线演进网络中,需要将上述三套涉及用户面安全和信令面安全的密钥分发到网络中执行相应安全操作的实体和用户。
现有UMTS系统中的密钥分发方法只能推演和分发一组密钥给一个网络中执行安全操作的实体和用户。因此,针对演进网络,需要制定一种无线演进网络中的密钥推演和分发方法,以保证网络的安全。
发明内容
本发明提供一种演进网络中的密钥分发方法,实现在演进网络中推演和分发保护接入层信令、非接入层信令和用户数据安全的密钥。
本发明另提供演进网络中的密钥分发系统。
本发明方法包括:
分别推演出保护接入层信令、非接入层信令和用户数据安全的密钥;
将推演出的密钥分发到网络中执行相应安全操作的实体上。
根据本发明的上述方法,用户信息存储服务器和用户设备分别推演出相同的所述保护接入层信令、非接入层信令和用户数据安全的密钥;
用户信息存储服务器将推演出的密钥发送到移动管理实体,由移动管理实体分发到执行相应安全操作的实体上。
上述方法中,在用户信息存储服务器和用户设备上预先设置相同的所述保护接入层信令、非接入层信令和用户数据安全的密钥的推演算法,并在两者间共享一个或多个密钥;
用户信息存储服务器和用户设备分别根据预设的密钥推演算法和相同的共享密钥推演出相应的密钥。
用户信息存储服务器和用户设备推演所述密钥时还根据相同的参数。
当用户设备不具备所述参数时,用户信息存储服务器将该参数发送到移动管理实体,由移动管理实体发送到用户设备。
所述参数为用户信息存储服务器生成的随机数。
根据本发明的上述方法,移动管理实体和用户设备分别推演出相同的所述保护接入层信令、非接入层信令和用户数据安全的密钥,并由移动管理实体将推演出的密钥分发到执行相应安全操作的实体上。
上述方法中,用户信息存储服务器和用户设备分别推演出相同的根密钥;
移动管理实体根据用户信息存储服务器推演出的根密钥推演所述保护接入层信令、非接入层信令和用户数据安全的密钥;
用户设备根据其推演推演出的根密钥推演出所述保护接入层信令、非接入层信令和用户数据安全的密钥。
上述方法中,在移动管理实体和用户设备上预先设置相同的所述保护接入层信令、非接入层信令和用户数据安全的密钥的推演算法;
移动管理实体和用户设备分别根据预设的推演算法推演出相应的密钥。
移动管理实体和用户设备推演所述密钥时还根据相同的参数。
当用户设备不具备所述参数时,移动管理实体将该参数发送到用户设备。
所述参数为移动管理实体生成的随机数。
上述方法中,移动管理实体和用户设备将所述根密钥作为保护非接入层信令或/和用户数据安全的密钥。
根据本发明的上述方法,移动管理实体推演出所述保护接入层信令、非接入层信令和用户数据安全的密钥,并由移动管理实体将推演出的密钥分别分发到用户设备和执行相应安全操作的实体上。
上述方法中,用户信息存储服务器和用户设备分别推演出相同的根密钥;用户信息存储服务器将其推演出的根密钥发送到移动管理实体;
移动管理实体利用所述根密钥加密其推演出的所述所述保护接入层信令、非接入层信令和用户数据安全的密钥;
用户设备利用所述根密钥解密收到的密钥。
根据本发明的上述方法,在用户信息存储服务器和用户设备上预先设置相同的所述根密钥的推演算法,并在两者间共享一个或多个密钥;
用户信息存储服务器和用户设备分别根据预设的根密钥推演算法和相同的共享密钥推演出所述根密钥。
用户信息存储服务器和用户设备推演所述根密钥时还根据相同的参数。
当用户设备不具备所述参数时,用户信息存储服务器将该参数发送到移动管理实体,由移动管理实体发送到用户设备。
根据本发明的上述方法,用户设备在其终端部分或智能卡部分进行密钥推演。
根据本发明的上述方法,当执行非接入层信令安全的操作实体和执行用户数据安全的操作实体为同一实体时,所述保护非接入层信令和保护用户数据安全的密钥相同或不同。
根据本发明的上述方法,所述执行安全操作的实体收到所述密钥后,利用所述密钥保护其与用户设备之间的通信;或
所述执行安全操作的实体根据所述密钥推演出衍生密钥,并利用该衍生密钥保护其与用户设备之间的通信。
根据本发明的上述方法,所述保护接入层信令的密钥包括提供机密性保护的密钥或/和提供完整性保护的密钥;
所述保护非接入层信令的密钥包括提供机密性保护的密钥或/和提供完整性保护的密钥;
所述保护用户数据安全的密钥包括提供机密性保护的密钥或/和提供完整性保护的密钥。
本发明提供的密钥分发系统,包括:
网络侧和用户设备,所述网络侧包括执行安全操作的网络实体;网络侧还包括保护接入层信令、非接入层信令和用户数据安全的密钥的密钥推演模块、密钥分发模块;
所述密钥推演模块与所述密钥分发模块连接,将推演出所述保护接入层信令、非接入层信令和用户数据安全的密钥发送到密钥分发模块;
所述密钥分发模块分别与用户设备和所述执行安全操作的网络实体连接,将其接收到的密钥分发到所述用户设备和执行相应安全操作的网络实体。
本发明的上述系统,包括两个相同的密钥推演模块,分别位于网络侧的用户信息存储服务器和用户设备,位于用户信息存储服务器上的密钥推演模块与所述密钥分发模块连接;
所述用户信息存储服务器上的密钥推演模块和所述用户设备上的密钥推演模块分别推演出相同的所述密钥;
所述用户信息存储服务器上的密钥推演模块将其推演出的所述密钥发送到所述密钥分发模块,并通过该模块将密钥分别分发到执行相应安全操作的网络实体。
本发明的上述系统,包括两个相同的密钥推演模块,分别位于网络侧的移动管理实体和用户设备,移动管理实体上的密钥推演模块与所述密钥分发模块连接;还包括两个相同的根密钥推演模块,分别位于网络侧的用户信息存储服务器和用户设备,用户信息存储服务器上的根密钥推演模块与移动管理实体上的密钥推演模块连接;
所述用户信息存储服务器上的根密钥推演模块和所述用户设备上的根密钥推演模块分别推演出相同的根密钥;用户信息存储服务器上的根密钥推演模块将推演出的根密钥发送到移动管理实体上的密钥推演模块;
所述移动管理实体上的密钥推演模块和所述用户设备上的密钥推演模块根据推演出的相同的所述根密钥推演所述保护接入层信令、非接入层信令和用户数据安全的密钥;
所述移动管理实体上的密钥推演模块将推演出的密钥发送到所述密钥分发模块,由其分别分发到执行相应安全操作的网络实体。
本发明的上述系统,还包括两个相同的根密钥推演模块,分别位于用户信息存储服务器和用户设备,用户信息存储服务器上的根密钥推演模块与移动管理实体上的密钥推演模块连接;所述密钥推演模块位于移动管理实体;所述用户设备还包括一密钥解密模块;
所述用户信息存储服务器上的根密钥推演模块和所述用户设备上的密钥推演模块分别推演出相同的根密钥;所述用户信息存储服务器上的根密钥推演模块将推演出的根密钥发送到移动管理实体上的密钥推演模块;
所述移动管理实体上的密钥推演模块推演出所述保护接入层信令、非接入层信令和用户数据安全的密钥,发送到所述密钥分发模块,并利用接收到的根密钥对其推演出的密钥进行加密,发送到所述密钥分发模块;所述密钥分发模块将未加密的密钥发送到执行相应安全操作的网络实体,将加密后的密钥发送到用户设备上的密钥解密模块;
所述用户设备上的密钥解密模块收到移动管理实体发送的加密后的密钥后,从该用户设备的根密钥推演模块获取根密钥,并利用该根密钥解密接收到的密钥。
本发明的上述系统,所述密钥分发模块位于网络侧的移动管理实体。
本发明的有益效果如下:
(1)本发明提供的无线演进网络中密钥的分发方法,解决了无线演进网络中执行相应安全操作的实体获得安全密钥。
(2)本发明提供了多种密钥的分发方式,包括由网络侧的用户信息存储服务器推演出密钥,由移动管理实体分发到用户设备和执行安全操作的实体;由网络侧的用户信息存储服务器和移动管理实体协同推演出密钥,由移动管理实体分发到用户设备和执行安全操作的实体,使无线演进网络系统可根据需要灵活选择密钥分发方式。
附图说明
图1为现有技术中的无线演进网络架构示意图;
图2为本发明实施例一的密钥分发流程示意图;
图3为本发明实施例一中HSS或用户设备推演密钥的示意图;
图4为本发明实施例二的密钥分发流程示意图;
图5为本发明实施例二中HSS或用户设备推演根密钥的示意图;
图6为本发明实施例二中MME或用户设备推演密钥的示意图之一;
图7为本发明实施例二中MME或用户设备推演密钥的示意图之二;
图8为本发明实施例三的密钥分发流程示意图;
图9为本发明的演进移动通信网络中的密钥分发系统的结构示意图;
图10为本发明的第一种密钥分发系统的结构示意图;
图11为本发明的第二种密钥分发系统的结构示意图;
图12为本发明的第三种密钥分发系统的结构示意图。
具体实施方式
本发明提供一种移动通信网络中的密钥分发方法,网络侧分别推演出保护接入层信令、非接入层信令和用户数据安全的密钥,然后由网络侧将其推演出的密钥分发到用户设备和网络中执行相应安全操作的实体上。
保护接入层信令、非接入层信令和用户数据安全的密钥的推演及分发方式有两种:第一种方式中,网络侧推演出保护接入层信令、非接入层信令和用户数据安全的密钥,然后,网络侧通知用户设备推演出相同的密钥,并由网络侧分发到执行相应安全操作的实体上;在第二种方式中,网络侧推演出保护接入层信令、非接入层信令和用户数据安全的密钥,然后,网络侧将密钥分别分发到用户设备和执行相应安全操作的实体上。
其中,网络侧推演用于保护接入层信令,非接入层信令和用户数据安全的密钥有两种方法,一种方法是网络侧的保存用户信息的服务器直接推演得到保护接入层信令,非接入层信令和用户数据安全的密钥;另一种方法是网络侧的保存用户信息的服务器和移动管理实体协同工作,推演得到保护接入层信令,非接入层信令和用户数据安全的密钥。
下面以在演进网络中进行密钥分发的三个实施例为例,对本发明进行详细描述。
实施例一
本实施例描述由HSS和用户设备根据共享密钥分别推演得到保护接入层信令、非接入层信令和用户数据安全的密钥,并由MME分发给执行安全操作的网络实体。
参见图2,为本发明实施例一的密钥分发流程示意图。HSS和用户设备上预先已设置有根据共享密钥推演保护接入层信令、非接入层信令和用户数据安全的密钥的推演函数KGA,其密钥生成和分发的具体步骤包括:
1、用户设备和HSS预先共享一个或多个密钥。
在用户设备和HSS上共享密钥的方式可以通过在用户设备和HSS上设置相同的密钥实现。用户设备和HSS可预先共享一个或多个密钥、公私钥对或证书等,本实施例中以用户设备和HSS预先共享一个密钥K为例进行描述。
2、HSS推演保护接入层信令、非接入层信令和用户数据安全的密钥。
HSS根据预先共享的密钥K,利用推演函数KGA推演得到保护接入层信令的密钥CKas和IKas、保护非接入层信令的密钥CKnas和IKnas、保护用户数据安全的密钥CKu和Iku(其中CK为提供机密性保护的密钥,IK为提供完整性保护的密钥,以下同)。密钥推导过程还可能需要一些参数的参与,如HSS生成的鉴权挑战随机数RAND。
图3给出了本实施例的密钥推演方式,即由推演函数KGA以及共享密钥K和随机数RAND推演密钥。其中,KGA1-6分别是上述密钥CKas、Ikas、Cknas、Iknas、Cku和Iku的推演函数,每个密钥的推演过程都使用相同的随机数。推演方式可以多种多样,不限于图3所示的方式。例如,HSS可以根据同一个随机数来生成三组密钥,也可以根据不同的随机数来生成三组密钥。HSS还可以根据随机数来生成保护非接入层信令的密钥,利用简单的拆分,合并等方法来生成保护接入层和用户数据安全的密钥。
HSS推演这些密钥的时机可以由MME的请求触发。例如,MME发送认证向量请求消息后,HSS进行密钥推演。
3、HSS将推演得到的密钥和HSS生成的RAND参数发送给MME。
这些信息可以携带在认证向量响应消息中发送给MME。
4、MME将RAND参数发送给用户设备。
此信息可以携带在鉴权挑战消息中发给用户设备。
5、用户设备推演保护接入层信令、非接入层信令和用户数据安全的密钥。
用户设备根据预先共享的密钥K和HSS生成的RAND参数,利用推演函数KGA推演得到保护接入层信令的密钥CKas和IKas,保护非接入层信令的密钥CKnas和IKnas,保护用户数据安全的密钥CKu和IKu。由于密钥推演过程所采用的推演函数、共享密钥和参数都相同,因此,用户设备推演出的密钥与HSS推演出的密钥相同。如图3给出了一种推演方式。
用户设备可以分为智能卡和终端两部分,推演密钥的过程可以在卡内进行,也可以在终端内进行。
6、用户设备发送确认消息给MME。
此确认消息可以是鉴权响应消息。
7、MME将其从HSS接收到的密钥分发给对应的执行安全操作的实体。
例如将保护接入层信令的密钥CKas、IKas分发给演进接入网,将保护用户数据安全的密钥CKu、IKu分发给用户面实体UPE。
上述流程中,MME可以在发送RAND给用户设备之前,或同时,将其从HSS接收到的密钥分发给对应的执行安全操作的实体。
实施例二
本实施例描述由HSS和用户设备协同推演得到根密钥,由MME和用户设备根据根密钥分别推演得到保护接入层信令、非接入层信令和用户数据的密钥,由MME分发给执行安全操作的网络实体。
参见图4,为本发明实施例二的密钥分发流程示意图。HSS和用户设备上预先已设置有相同的根密钥的推演函数HA,在MME和用户设备上预先已设置有相同的保护接入层信令、非接入层信令和用户数据安全的密钥的推演函数MA,其密钥生成和分发的具体步骤包括:
1、用户设备和HSS预先共享一个或多个密钥。
在用户设备和HSS上共享密钥的方式可以通过在用户设备和HSS上设置相同的密钥实现。用户设备和HSS可预先共享一个或多个密钥、公私钥对或证书等,本实施例中以用户设备和HSS预先共享一个密钥K为例进行描述。
2、HSS推演根密钥。
HSS根据与用户预先共享的密钥K,利用根密钥推演函数HA推演得到一个或多个根密钥。根密钥推演函数可以为一个或多个,推演出的根密钥可以为一个或多个。根密钥推导过程还可能需要一些参数的参与,如HSS生成的RAND。本实施例中,根密钥推演函数HA1用于推演机密性根密钥CKm,HA2用于推演完整性根密钥Ikm,推演方式如图5所示。根密钥的推演方式可以有多种方式,不限于图5所示的方式。
HSS推演根密钥的时机可以由MME的请求触发。例如,MME发送认证向量请求消息后,HSS进行密钥推演。
3、HSS将推演得到的根密钥CKm和IKm,以及生成的RAND发送给MME。
这些信息可以携带在认证向量响应消息中发送给MME。
4、MME推演保护接入层信令、非接入层信令和用户数据安全的密钥。
MME根据接收到的根密钥CKm和IKm,利用推演函数HA1-6,推演得到保护接入层信令的密钥CKas和IKas,保护非接入层信令的密钥CKnas和IKnas,保护用户数据安全的密钥CKu和Iku。在推演过程中可能需要一些参数的参与,如MME生成的随机数RANDmme。
图6和图7分别给出了密钥的推演方式,区别在于,图6所示的方式中,每个密钥的推演过程都需要根密钥CKm和Ikm的参与;图7所示的方式中,机密性密钥的推演过程根据根密钥CKm推演得到,完整性密钥的推演过程根据根密钥Ikm推演得到。
推演方式可以有多种,不限于图6和图7所示的方式。MME推演保护接入层信令、非接入层信令、用户数据安全的密钥的过程可以独立,也可以相关。例如,MME可以根据同一个随机数来生成三组密钥,也可以根据不同的随机数来生成三组密钥。MME还可以根据随机数来生成保护非接入层信令的密钥,利用简单的拆分,合并等方法来生成保护接入层和用户数据安全的密钥。MME也可以直接利用根密钥作为保护非接入层信令或用户数据安全的密钥。
5、MME将参数RANDmme、从HSS接收到的参数RAND发送给用户设备。
这些信息可以携带在鉴权挑战消息中发送给用户设备。
6、用户设备推演保护接入层信令、非接入层信令和用户数据安全的密钥。
用户设备首先根据用户与HSS预先共享的密钥K和RAND参数,利用根密钥推演函数HA推演得到根密钥。由于用户设备根密钥推演过程所采用的推演函数、共享密钥和参数都与HSS推演根密钥所采用的相同,因此,用户设备推演出的根密钥与HSS推演出的根密钥相同,推演方式可以为如图5所示的方式。
推演出根密钥后,用户设备根据MME生成的RANDmme参数、根密钥CKm和Ikm,利用推演函数MA1-6推演得到保护接入层信令的密钥CKas和IKas,保护非接入层信令的密钥CKnas和IKnas,保护用户数据安全的密钥CKu和IKu。由于密钥推演过程所采用的推演函数、共享密钥和参数都与MME推演密钥所采用的相同,因此,用户设备推演出的密钥与MME推演出的密钥相同,推演方式可以为如图6和图7所示的方式。
用户设备可以分为智能卡和终端两部分,推演根密钥CKm和Ikm的过程,可以在卡内进行,也可以在终端内进行。推演CKas、Ikas、Cknas、Iknas、Cku、IKu的过程可以在卡内进行,也可以在终端内进行。
7、用户设备发送确认消息给MME。
此确认信息可以是鉴权响应消息。
8、MME将其生成的密钥分发给对应的执行安全操作的实体,例如将保护接入层信令的密钥CKas、IKas分发给演进接入网,将保护用户数据安全的密钥CKu、IKu分发给用户面实体UPE。
上述流程中,MME可以在下发RAND和RANDmme给用户设备之前,或同时,发送其生成的密钥给对应的执行安全操作的实体。
实施例三
本实施例描述由HSS和UPE协同推演得到根密钥,由MME推演出保护接入层信令、非接入层信令和用户数据的密钥,并用根密钥进行加密后分发给用户设备和执行安全操作的网络实体。
参见图8,为本发明实施例三的密钥分发流程示意图。HSS和用户设备上预先已设置有推演根密钥推演函数HA,其密钥生成和分发的具体步骤包括:
1-4、同实施例二流程中的步骤1-4。
5、MME利用根密钥对其推演出的保护接入层信令、非接入层信令和用户数据安全的密钥进行加密,并将加密后的密钥发送给用户设备。MME推演上述密钥的过程同实施例二,也可以通过其他任何密钥推演方式得到。
这些信息可以携带在鉴权挑战消息中发送给用户设备。
6、用户设备推演出根密钥,并用根密钥解析接收到的密钥。
7、用户设备发送确认消息给MME。
此确认信息可以是鉴权响应消息。
8、MME将密钥分发给对应的执行安全操作的实体。
例如将保护接入层信令的密钥CKas、IKas分发给演进接入网,将保护用户数据安全的密钥CKu、IKu分发给用户面实体UPE。MME分发的密钥是没有经过根密钥加密的密钥。
上述流程中,MME可以在发送加密后的密钥给用户设备之前,或同时,发送密钥给对应的执行安全操作的实体。
上述实施例一至三中,当推演密钥的过程中需要参数的参与,并且用户设备上具备了所需的参数,则上述流程中不需要向用户设备发送这些参数。
上述实施例一至三中,执行安全操作的实体得到密钥后,可能直接利用接收到的密钥保护用户设备和它之间的通信。也可能和用户设备交互后,根据密钥进一步推演出衍生密钥,利用衍生密钥保护用户设备和它之间的通信。
如果执行非接入层信令的安全保护的实体和执行用户数据安全保护的实体是同一个实体,那么保护非接入层信令和用户数据安全的密钥可能相同。例如,实施例一中,CKnas和CKu可能相同。即HSS和用户设备上推演CKnas和CKu的推演函数相同,用户设备和HSS上需要实现的推演函数数量可以减少。
由于并不是所有类型的信息都需要提供机密性保护和完整性保护,因此实施例中描述的有些密钥可能并不需要。例如,如果接入层信令不需要提供机密性保护的话,那么保护接入层信令安全的密钥就仅仅包含完整性密钥IKas。又例如,如果用户数据不需要提供完整性保护的话,那么保护用户数据的密钥就仅仅包含加密密钥CKu。
基于上述演进网络中密钥的推演和分发方法,本发明提供了一种演进网络中密钥的分发系统,下面进行详细描述。
参见图9,为本发明的演进移动通信网络中的密钥分发系统的结构示意图。系统包括:网络侧和用户设备,其中,网络侧包括保护接入层信令、非接入层信令和用户数据安全的密钥的密钥推演模块、密钥分发模块,还包括执行安全操作的网络实体。密钥推演模块与密钥分发模块连接,将推演出保护接入层信令、非接入层信令和用户数据安全的密钥发送到密钥分发模块。密钥分发模块分别与用户设备和执行安全操作的网络实体连接,将其接收到的密钥分发到用户设备和相应的执行安全操作的网络实体。
根据上述三个实施例所描述的密钥分发流程,密钥分发系统也对应有三种结构。
第一种密钥分发系统的机构对应于实施例一所描述的密钥推演及分发流程。
参见图10,为本发明的第一种密钥分发系统的结构示意图。
本系统中,密钥分发模块位于MME上。系统中包括两个相同的密钥推演模块,分别位于网络侧的HSS和用户设备,位于HSS上的密钥推演模块与位于MME上的密钥分发模块连接。
HSS和用户设备上的密钥推演模块中预先设置相同的密钥推演算法和相同的用于推演密钥的一个或多个公私钥对或证书。HSS上的密钥推演模块和用户设备上的密钥推演模块分别推演出相同的保护接入层信令、非接入层信令和用户数据安全的密钥。
HSS上的密钥推演模块将其推演出密钥发送到MME上的密钥分发模块,并通过该模块将密钥分别分发到执行相应安全操作的网络实体上。
参见图11,为本发明的第二种密钥分发系统的结构示意图。
本系统中,密钥分发模块位于MME上。系统中两个相同的密钥推演模块,分别位于网络侧的MME和用户设备,MME上的密钥推演模块与该MME上的密钥分发模块连接。系统还包括两个相同的根密钥推演模块,分别位于网络侧的HSS和用户设备,HSS上的根密钥推演模块与MME上的密钥推演模块连接。
MME和用户设备上的密钥推演模块中设置相同的密钥推演算法和相同的用于推演密钥的一个或多个公私钥对或证书;HSS和用户设备上的根密钥推演模块中预先设置相同的密钥推演算法和相同的用于推演根密钥的一个或多个公私钥对或证书。
HSS上的根密钥推演模块和用户设备上的根密钥推演模块推演出相同的根密钥。HSS上的根密钥推演模块将推演出的根密钥发送到MME上的密钥推演模块。MME上的密钥推演模块和用户设备上的密钥推演模块根据相同的根密钥推演出保护接入层信令、非接入层信令和用户数据安全的密钥。MME上的密钥推演模块将推演出的密钥发送到该MME上的密钥分发模块,由其分别分发到执行相应安全操作的网络实体。
参见图12,为本发明的第三种密钥分发系统的结构示意图。
本系统中,密钥分发模块位于MME上,密钥推演模块也位于MME上。系统还包括两个根密钥推演模块,分别位于HSS和用户设备,HSS上的根密钥推演模块与MME上的密钥推演模块连接。系统中的用户设备还包括一密钥解密模块,分别与用户设备上的根密钥推演模块和MME的密钥推演模块连接。
HSS和用户设备上的根密钥推演模块中预先设置相同的密钥推演算法和相同的用于推演根密钥的一个或多个公私钥对或证书。HSS上的根密钥推演模块和用户设备上的根密钥推演模块推演出相同的根密钥。HSS上的根密钥推演模块将推演出的根密钥发送到MME上的密钥推演模块。MME上的密钥推演模块推演出保护接入层信令、非接入层信令和用户数据安全的密钥,发送到该MME上的密钥分发模块;MME利用接收到的根密钥对其推演出的密钥进行加密,也发送到该MME上的密钥分发模块,由分发模块分别将加密的密钥分发到用户设备,将未加密的密钥分发到执行相应安全操作的网络实体。用户设备上的密钥解密模块接收到MME发送加密后的密钥后,从该用户设备的根密钥推演模块获取其推演出的根密钥,并利用该根密钥解密出保护接入层信令、非接入层信令和用户数据安全的密钥。
通过以上流程描述可知,本发明提供的密钥分发方法,实现了在无线演进网络中推演保护接入层信令、非接入层信令和用户数据安全的密钥,并分发到用户设备和执行相应安全操作的网络实体上。本发明提供了多种密钥推演及分发方式,包括网络侧的HSS和用户设备分别推演出密钥,由MME分发到执行相应安全操作的网络实体;或网络侧的HSS与MME协同推演出密钥,由MME分发到执行相应安全操作的网络实体,用户设备独立推演出密钥;或网络侧的HSS与MME协同推演出密钥,由MME分发到用户设备和执行相应安全操作的网络实体。本发明提供了多种选择,提高了系统的灵活性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (27)

1、一种无线通信网络中的密钥分发方法,包括:
分别推演出保护接入层信令、非接入层信令和用户数据安全的密钥;
将推演出的密钥分发到网络中执行相应安全操作的实体上。
2、如权利要求1所述的方法,其特征在于,用户信息存储服务器和用户设备分别推演出相同的所述保护接入层信令、非接入层信令和用户数据安全的密钥;
用户信息存储服务器将推演出的密钥发送到移动管理实体,由移动管理实体分发到执行相应安全操作的实体上。
3、如权利要求2所述的方法,其特征在于,在用户信息存储服务器和用户设备上预先设置相同的所述保护接入层信令、非接入层信令和用户数据安全的密钥的推演算法,并在两者间共享一个或多个密钥;
用户信息存储服务器和用户设备分别根据预设的密钥推演算法和相同的共享密钥推演出相应的密钥。
4、如权利要求3所述的方法,其特征在于,用户信息存储服务器和用户设备推演所述密钥时还根据相同的参数。
5、如权利要求4所述的方法,其特征在于,当用户设备不具备所述参数时,用户信息存储服务器将该参数发送到移动管理实体,由移动管理实体发送到用户设备。
6、如权利要求5所述的方法,其特征在于,所述参数为用户信息存储服务器生成的随机数。
7、如权利要求1所述的方法,其特征在于,移动管理实体和用户设备分别推演出相同的所述保护接入层信令、非接入层信令和用户数据安全的密钥,并由移动管理实体将推演出的密钥分发到执行相应安全操作的实体上。
8、如权利要求7所述的方法,其特征在于,用户信息存储服务器和用户设备分别推演出相同的根密钥;
移动管理实体根据用户信息存储服务器推演出的根密钥推演所述保护接入层信令、非接入层信令和用户数据安全的密钥;
用户设备根据其推演推演出的根密钥推演出所述保护接入层信令、非接入层信令和用户数据安全的密钥。
9、如权利要求8所述的方法,其特征在于,在移动管理实体和用户设备上预先设置相同的所述保护接入层信令、非接入层信令和用户数据安全的密钥的推演算法;
移动管理实体和用户设备分别根据预设的推演算法推演出相应的密钥。
10、如权利要求9所述的方法,其特征在于,移动管理实体和用户设备推演所述密钥时还根据相同的参数。
11、如权利要求10所述的方法,其特征在于,当用户设备不具备所述参数时,移动管理实体将该参数发送到用户设备。
12、如权利要求11所述的方法,其特征在于,所述参数为移动管理实体生成的随机数。
13、如权利要求8所述的方法,其特征在于,移动管理实体和用户设备将所述根密钥作为保护非接入层信令或/和用户数据安全的密钥。
14、如权利要求1所述的方法,其特征在于,移动管理实体推演出所述保护接入层信令、非接入层信令和用户数据安全的密钥,并由移动管理实体将推演出的密钥分别分发到用户设备和执行相应安全操作的实体上。
15、如权利要求14所述的方法,其特征在于,用户信息存储服务器和用户设备分别推演出相同的根密钥;用户信息存储服务器将其推演出的根密钥发送到移动管理实体;
移动管理实体利用所述根密钥加密其推演出的所述所述保护接入层信令、非接入层信令和用户数据安全的密钥;
用户设备利用所述根密钥解密收到的密钥。
16、如权利要求8或15所述的方法,其特征在于,在用户信息存储服务器和用户设备上预先设置相同的所述根密钥的推演算法,并在两者间共享一个或多个密钥;
用户信息存储服务器和用户设备分别根据预设的根密钥推演算法和相同的共享密钥推演出所述根密钥。
17、如权利要求16所述的方法,其特征在于,用户信息存储服务器和用户设备推演所述根密钥时还根据相同的参数。
18、如权利要求17所述的方法,其特征在于,当用户设备不具备所述参数时,用户信息存储服务器将该参数发送到移动管理实体,由移动管理实体发送到用户设备。
19、如权利要求2或7或14所述的方法,其特征在于,用户设备在其终端部分或智能卡部分进行密钥推演。
20、如权利要求1所述的方法,其特征在于,当执行非接入层信令安全的操作实体和执行用户数据安全的操作实体为同一实体时,所述保护非接入层信令和保护用户数据安全的密钥相同或不同。
21、如权利要求1所述的方法,其特征在于,所述执行安全操作的实体收到所述密钥后,利用所述密钥保护其与用户设备之间的通信;或
所述执行安全操作的实体根据所述密钥推演出衍生密钥,并利用该衍生密钥保护其与用户设备之间的通信。
22、如权利要求1所述的方法,其特征在于,所述保护接入层信令的密钥包括提供机密性保护的密钥或/和提供完整性保护的密钥;
所述保护非接入层信令的密钥包括提供机密性保护的密钥或/和提供完整性保护的密钥;
所述保护用户数据安全的密钥包括提供机密性保护的密钥或/和提供完整性保护的密钥。
23、一种无线通信网络中的密钥分发系统,包括网络侧和用户设备,所述网络侧包括执行安全操作的网络实体,其特征在于,网络侧还包括保护接入层信令、非接入层信令和用户数据安全的密钥的密钥推演模块、密钥分发模块;
所述密钥推演模块与所述密钥分发模块连接,将推演出所述保护接入层信令、非接入层信令和用户数据安全的密钥发送到密钥分发模块;
所述密钥分发模块分别与用户设备和所述执行安全操作的网络实体连接,将其接收到的密钥分发到所述用户设备和执行相应安全操作的网络实体。
24、如权利要求23所述的系统,其特征在于,包括两个相同的密钥推演模块,分别位于网络侧的用户信息存储服务器和用户设备,位于用户信息存储服务器上的密钥推演模块与所述密钥分发模块连接;
所述用户信息存储服务器上的密钥推演模块和所述用户设备上的密钥推演模块分别推演出相同的所述密钥;
所述用户信息存储服务器上的密钥推演模块将其推演出的所述密钥发送到所述密钥分发模块,并通过该模块将密钥分别分发到执行相应安全操作的网络实体。
25、如权利要求23所述的系统,其特征在于,包括两个相同的密钥推演模块,分别位于网络侧的移动管理实体和用户设备,移动管理实体上的密钥推演模块与所述密钥分发模块连接;还包括两个相同的根密钥推演模块,分别位于网络侧的用户信息存储服务器和用户设备,用户信息存储服务器上的根密钥推演模块与移动管理实体上的密钥推演模块连接;
所述用户信息存储服务器上的根密钥推演模块和所述用户设备上的根密钥推演模块分别推演出相同的根密钥;用户信息存储服务器上的根密钥推演模块将推演出的根密钥发送到移动管理实体上的密钥推演模块;
所述移动管理实体上的密钥推演模块和所述用户设备上的密钥推演模块根据推演出的相同的所述根密钥推演所述保护接入层信令、非接入层信令和用户数据安全的密钥;
所述移动管理实体上的密钥推演模块将推演出的密钥发送到所述密钥分发模块,由其分别分发到执行相应安全操作的网络实体。
26、如权利要求23所述的系统,其特征在于,还包括两个相同的根密钥推演模块,分别位于用户信息存储服务器和用户设备,用户信息存储服务器上的根密钥推演模块与移动管理实体上的密钥推演模块连接;所述密钥推演模块位于移动管理实体;所述用户设备还包括一密钥解密模块;
所述用户信息存储服务器上的根密钥推演模块和所述用户设备上的密钥推演模块分别推演出相同的根密钥;所述用户信息存储服务器上的根密钥推演模块将推演出的根密钥发送到移动管理实体上的密钥推演模块;
所述移动管理实体上的密钥推演模块推演出所述保护接入层信令、非接入层信令和用户数据安全的密钥,发送到所述密钥分发模块,并利用接收到的根密钥对其推演出的密钥进行加密,发送到所述密钥分发模块;所述密钥分发模块将未加密的密钥发送到执行相应安全操作的网络实体,将加密后的密钥发送到用户设备上的密钥解密模块;
所述用户设备上的密钥解密模块收到移动管理实体发送的加密后的密钥后,从该用户设备的根密钥推演模块获取根密钥,并利用该根密钥解密接收到的密钥。
27、如权利要求23所述的系统,其特征在于,所述密钥分发模块位于网络侧的移动管理实体。
CN2006100901037A 2006-06-23 2006-06-23 无线通信网络中的密钥分发方法和系统 Active CN101094065B (zh)

Priority Applications (13)

Application Number Priority Date Filing Date Title
CN2006100901037A CN101094065B (zh) 2006-06-23 2006-06-23 无线通信网络中的密钥分发方法和系统
ES17176519T ES2717340T3 (es) 2006-06-23 2007-06-22 Método y sistema para distribución de claves en una red de comunicación inalámbrica
ES18199994T ES2808498T3 (es) 2006-06-23 2007-06-22 Método y sistema para distribución de claves en una red de comunicación inalámbrica
EP18199994.7A EP3461058B1 (en) 2006-06-23 2007-06-22 Method and system for key distribution in a wireless communication network
PCT/CN2007/001959 WO2008000165A1 (fr) 2006-06-23 2007-06-22 Procédé et système de fourniture de clé dans un réseau sans fil
PT141665075T PT2775659T (pt) 2006-06-23 2007-06-22 Método e sistema para distribuição de chaves numa rede de comunicação sem fios
EP20164415.0A EP3700127B1 (en) 2006-06-23 2007-06-22 Method and system for key distribution in a wireless communication network
EP15198137.0A EP3024170B1 (en) 2006-06-23 2007-06-22 Method and system for key distribution in a wireless communication network
EP17176519.1A EP3252992B1 (en) 2006-06-23 2007-06-22 Method and system for key distribution in a wireless communication network
EP07721532.5A EP2034658B1 (en) 2006-06-23 2007-06-22 Method and system for distributing key in wireless network
EP14166507.5A EP2775659B1 (en) 2006-06-23 2007-06-22 Method and system for key distribution in a wireless communication network
PT17176519T PT3252992T (pt) 2006-06-23 2007-06-22 Método e sistema para distribuição de chaves numa rede de comunicação sem fios
ES14166507.5T ES2601495T3 (es) 2006-06-23 2007-06-22 Método y sistema para distribución de claves en una red de comunicación inalámbrica

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2006100901037A CN101094065B (zh) 2006-06-23 2006-06-23 无线通信网络中的密钥分发方法和系统

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201110286652.2A Division CN102325321B (zh) 2006-06-23 2006-06-23 演进无线通信网络中的密钥获取方法和用户设备

Publications (2)

Publication Number Publication Date
CN101094065A true CN101094065A (zh) 2007-12-26
CN101094065B CN101094065B (zh) 2011-09-28

Family

ID=38845123

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006100901037A Active CN101094065B (zh) 2006-06-23 2006-06-23 无线通信网络中的密钥分发方法和系统

Country Status (5)

Country Link
EP (6) EP3024170B1 (zh)
CN (1) CN101094065B (zh)
ES (3) ES2717340T3 (zh)
PT (2) PT3252992T (zh)
WO (1) WO2008000165A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009149594A1 (zh) * 2008-06-12 2009-12-17 中兴通讯股份有限公司 密钥生成方法和系统
CN102143491A (zh) * 2010-01-29 2011-08-03 华为技术有限公司 对mtc设备的认证方法、mtc网关及相关设备
WO2012094984A1 (zh) * 2011-01-10 2012-07-19 华为技术有限公司 通信信息发送方法、装置和系统
CN102612029A (zh) * 2011-01-19 2012-07-25 华为技术有限公司 认证方法和认证设备
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
CN102083064B (zh) * 2009-11-26 2014-01-08 大唐移动通信设备有限公司 用于增强密钥推衍算法灵活性的方法和系统
CN107566115A (zh) * 2016-07-01 2018-01-09 华为技术有限公司 密钥配置及安全策略确定方法、装置

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8385549B2 (en) * 2009-08-21 2013-02-26 Industrial Technology Research Institute Fast authentication between heterogeneous wireless networks
KR101683883B1 (ko) * 2009-12-31 2016-12-08 삼성전자주식회사 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
CN104010276B (zh) * 2013-02-27 2019-02-15 中兴通讯股份有限公司 一种宽带集群系统的组密钥分层管理方法、系统和终端
US10455414B2 (en) * 2014-10-29 2019-10-22 Qualcomm Incorporated User-plane security for next generation cellular networks
CN107733639B (zh) * 2017-08-24 2020-08-04 深圳壹账通智能科技有限公司 密钥管理方法、装置及可读存储介质
WO2020065132A1 (en) 2018-09-24 2020-04-02 Nokia Technologies Oy Systems and method for security protection of nas messages
CN112565324B (zh) * 2019-09-26 2022-04-05 华为技术有限公司 非接入层消息传输的方法、装置和系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7177658B2 (en) * 2002-05-06 2007-02-13 Qualcomm, Incorporated Multi-media broadcast and multicast service (MBMS) in a wireless communications system
JP4475377B2 (ja) * 2002-12-27 2010-06-09 日本電気株式会社 無線通信システム、共通鍵管理サーバ、および無線端末装置
CN1705261A (zh) * 2004-05-28 2005-12-07 华为技术有限公司 一种端对端加密通讯系统及方法
US20060098610A1 (en) * 2004-11-05 2006-05-11 Krister Sundberg Method for providing a mobile station with seamless coverage in a 2G/3G communication network and a WLAN

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009149594A1 (zh) * 2008-06-12 2009-12-17 中兴通讯股份有限公司 密钥生成方法和系统
US11240019B2 (en) 2009-06-26 2022-02-01 Huawei Technologies Co., Ltd. Method, device, and system for deriving keys
CN101931951B (zh) * 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
CN102083064B (zh) * 2009-11-26 2014-01-08 大唐移动通信设备有限公司 用于增强密钥推衍算法灵活性的方法和系统
CN102143491A (zh) * 2010-01-29 2011-08-03 华为技术有限公司 对mtc设备的认证方法、mtc网关及相关设备
US8769283B2 (en) 2010-01-29 2014-07-01 Huawei Technologies Co., Ltd. MTC device authentication method, MTC gateway, and related device
CN102143491B (zh) * 2010-01-29 2013-10-09 华为技术有限公司 对mtc设备的认证方法、mtc网关及相关设备
US8989381B2 (en) 2011-01-10 2015-03-24 Huawei Technologies Co., Ltd. Method, apparatus, and system for data protection on interface in communications system
US9301147B2 (en) 2011-01-10 2016-03-29 Huawei Technologies Co., Ltd. Method, apparatus, and system for data protection on interface in communications system
WO2012094984A1 (zh) * 2011-01-10 2012-07-19 华为技术有限公司 通信信息发送方法、装置和系统
WO2012097725A1 (zh) * 2011-01-19 2012-07-26 华为技术有限公司 认证方法和认证设备
CN102612029A (zh) * 2011-01-19 2012-07-25 华为技术有限公司 认证方法和认证设备
CN102612029B (zh) * 2011-01-19 2015-09-30 华为技术有限公司 认证方法和认证设备
CN107566115A (zh) * 2016-07-01 2018-01-09 华为技术有限公司 密钥配置及安全策略确定方法、装置
US11689934B2 (en) 2016-07-01 2023-06-27 Huawei Technologies Co., Ltd. Key configuration method, security policy determining method, and apparatus

Also Published As

Publication number Publication date
EP3700127B1 (en) 2024-03-27
EP3461058B1 (en) 2020-04-29
EP2034658A1 (en) 2009-03-11
ES2717340T3 (es) 2019-06-20
EP3700127A3 (en) 2020-10-21
ES2601495T3 (es) 2017-02-15
PT2775659T (pt) 2016-10-12
CN101094065B (zh) 2011-09-28
ES2808498T3 (es) 2021-03-01
EP2034658A4 (en) 2010-06-02
EP3461058A1 (en) 2019-03-27
EP2034658B1 (en) 2014-08-13
PT3252992T (pt) 2019-04-01
EP3024170A1 (en) 2016-05-25
EP3252992A1 (en) 2017-12-06
WO2008000165A1 (fr) 2008-01-03
EP3700127A2 (en) 2020-08-26
EP3024170B1 (en) 2017-06-21
EP3252992B1 (en) 2019-01-02
EP2775659A1 (en) 2014-09-10
EP2775659B1 (en) 2016-08-17

Similar Documents

Publication Publication Date Title
CN101094065B (zh) 无线通信网络中的密钥分发方法和系统
EP2309698B1 (en) Exchange of key material
CN100589381C (zh) 一种通信系统中用户身份保密的方法
CN102026178B (zh) 一种基于公钥机制的用户身份保护方法
CN101102186B (zh) 通用鉴权框架推送业务实现方法
CN101340443A (zh) 一种通信网络中会话密钥协商方法、系统和服务器
CN101651539A (zh) 更新及分配加密密钥
US20150229620A1 (en) Key management in machine type communication system
CN108683510A (zh) 一种加密传输的用户身份更新方法
CN101237444B (zh) 密钥处理方法、系统和设备
CN102547688A (zh) 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法
CN101808313A (zh) 获取tmsi的方法、移动台、归属位置寄存器和通信系统
CN106411715A (zh) 一种基于云端的安全即时通信方法及系统
Singh et al. A privacy-preserving authentication protocol with secure handovers for the LTE/LTE-A networks
CN102325321B (zh) 演进无线通信网络中的密钥获取方法和用户设备
Abdo et al. EC-AKA2 a revolutionary AKA protocol
CN101047945B (zh) 移动通信系统及用户临时身份分发方法
CN101005489A (zh) 一种保护移动通信系统网络安全的方法
CN101388801B (zh) 合法监听方法、系统和服务器
CN1964259B (zh) 一种切换过程中的密钥管理方法
Qureshi et al. An optimal mutual authentication scheme in GSM networks
Santhi Mol A Survey on Different Protocols for Secure Transmission of SMS
Haleem et al. Networks-I: An optimal mutual authentication scheme in GSM networks
Zheng Enhancing Security in GSM
CN102131192A (zh) Ngn中保护三层移动性用户面数据安全的方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20071226

Assignee: APPLE Inc.

Assignor: HUAWEI TECHNOLOGIES Co.,Ltd.

Contract record no.: 2015990000755

Denomination of invention: Method and system for distributing cipher key in wireless communication network

Granted publication date: 20110928

License type: Common License

Record date: 20150827

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
TR01 Transfer of patent right

Effective date of registration: 20230327

Address after: Unit 04-06, Unit 1, Unit 2101, Building 1, No.1 East Third Ring Middle Road, Chaoyang District, Beijing, 100020

Patentee after: Beijing Heyi Management Consulting Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right
CP03 Change of name, title or address

Address after: Unit 03, Room 1501, 15th Floor, Unit 1, Building 1, No.1 East Third Ring Middle Road, Chaoyang District, Beijing, 100020

Patentee after: Beijing Jingshi Intellectual Property Management Co.,Ltd.

Address before: Unit 04-06, Unit 1, Unit 2101, Building 1, No.1 East Third Ring Middle Road, Chaoyang District, Beijing, 100020

Patentee before: Beijing Heyi Management Consulting Co.,Ltd.

CP03 Change of name, title or address