CN101500229A - 建立安全关联的方法和通信网络系统 - Google Patents
建立安全关联的方法和通信网络系统 Download PDFInfo
- Publication number
- CN101500229A CN101500229A CNA2008100652635A CN200810065263A CN101500229A CN 101500229 A CN101500229 A CN 101500229A CN A2008100652635 A CNA2008100652635 A CN A2008100652635A CN 200810065263 A CN200810065263 A CN 200810065263A CN 101500229 A CN101500229 A CN 101500229A
- Authority
- CN
- China
- Prior art keywords
- relay station
- terminal
- base station
- key
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004891 communication Methods 0.000 title claims abstract description 24
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 101
- 230000005540 biological transmission Effects 0.000 claims description 18
- 238000010200 validation analysis Methods 0.000 claims description 16
- 238000009795 derivation Methods 0.000 claims description 8
- 238000010295 mobile communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007774 longterm Effects 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种建立安全关联的方法,包括:接收由中继站转发终端发送的接入请求消息;根据所述接入请求消息对终端鉴权认证后获得共享根密钥;选择安全算法,所述安全算法为所述终端和网络侧支持的算法;并根据所述共享根密钥派生基站密钥;通过所述中继站向所述终端发送安全模式命令,所述安全模式命令中包含所述安全算法。本发明还公开了一种通信网络系统。通过本发明提供的方案,解决了LTE系统中引入中继站后,终端与网络之间建立安全关联的问题,而且继承了LTE的安全机制,在不增加系统复杂度的情况下,保证了系统的安全性和易用性。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种建立终端和网络侧安全关联的技术。
背景技术
为了提高链路预算和蜂窝系统的覆盖,用户终端可以通过中继站来接收服务,中继站的引入衍生了空中接口的新功能,并进一步增强了系统的分布式处理特性。中继站的部署可以提升系统的无线接入性能,可以覆盖阴影区域,扩大基站的有线覆盖半径,增强特定区域数据速率。
在长期演进(Long Term Evolution,LTE)系统之后的进一步演进中,无线接入技术自身进行多方位的强化,其中,无线中继站是其中一个重要方向。由于在LTE系统中引入了中继站,因此,终端和网络之间建立安全关联的过程不可避免地涉及到中继站。LTE系统中的安全保护分为接入网和核心网两部分,因此,需要保证引入中继站后的LTE系统设计的复杂性和安全性,并利用中继系统的良好特性,实现优良的移动通信系统。
如图1所示,在IEEE 16j标准中介绍了关于终端通过中继与网络侧建立安全关联的方法,具体如下:
终端通过中继站向网络侧进行同步和注册,通过公共密钥管理协议,与鉴权服务器获得基本密钥序列MSK;
鉴权服务器把MSK发送给基站,基站根据该MSK派生得到鉴权密钥(Authentication Key,AK);
基站通过中继站将该鉴权密钥发送给终端;
终端和中继站通过三方握手的方式同步AK,根据AK派生得到数据加密密钥(Traffic Encryption Key,TEK)的加密密钥(Key Encryption Key,KEK),TEK由基站产生;
终端和中继站之间通过TEK请求过程获得TEK。
在现有的LTE系统中,LTE系统的密钥比IEEE 16j系统中的安全密钥多,而且密钥产生的过程比较复杂,因此,当LTE系统引入中继站后,没有适合的建立终端和网络之间的安全关联的方法,也不适用采用现有技术中的安全流程来建立终端与网络之间的安全关联。
发明内容
本发明实施方式所要解决的问题是提供一种建立终端和网络侧安全关联的方法网络侧,以在LTE演进系统中引入中继站后,建立终端和网络之间的安全关联。
本发明实施方式提供一种建立终端和网络侧安全关联的方法,包括:接收由中继站转发终端发送的接入请求消息;根据所述接入请求消息对终端鉴权认证后获得共享根密钥;选择安全算法,所述安全算法为所述终端和网络侧支持的算法;并根据所述共享根密钥派生基站密钥;通过所述中继站向所述终端发送安全模式命令,所述安全模式命令中包含所述安全算法。
本发明实施方式还公开了一种通信网络系统,包括:第一接收单元,用于接收由中继站转发终端发送端接入请求消息;密钥获取单元,用于根据所述第一接收单元接收到的接入请求消息对终端鉴权认证后获得共享根密钥;选择单元,用于选择安全算法,所述安全算法为所述终端和网络侧都支持的算法;派生单元,用于根据所述密钥获取单元得到的共享根密钥派生基站密钥;第一发送单元,用于通过所述中继站向终端发送安全模式命令,所述安全模式命令中包含所述选择单元选择的安全算法。
根据本发明实施方式提供的方案,网络侧在接收到终端通过中继站发送端接入请求后,选择用于建立安全关联的安全算法,并通过中继站想所述终端发送安全模式命令,在所述安全模式命令中包括所选择的安全算法,终端在得到安全算法后,与网络侧建立安全关联,解决了LTE系统中引入中继站后,终端与网络侧之间建立安全关联的问题,而且本发明实施方式提供的技术方案继承了LTE系统的安全机制,在基本不改变现有的安全机制下和不增加系统复杂度的前提下,保证了加入中继站后的移动通信系统的安全性。
附图说明
图1所示为现有技术中IEEE 16j标准中终端与网络侧建立安全关联的方法示意图;
图2所示为本发明第一实施方式中终端与网络侧建立安全关联的方法示意图;
图3所示为本发明第二实施方式中终端与网络侧建立安全关联的方法示意图;
图4所示为本发明第三实施方式中终端与网络侧建立安全关联的方法示意图;
图5为本发明第六实施方式中一种通信网络系统的结构示意图。
具体实施方式
为了使本发明的具体技术方案、发明目的更加清楚,下面结合具体的实施方式和附图作进一步说明。
参照图2,介绍本发明第一实施方式,关于一种建立终端和网络侧安全关联的方法,该方法优先应用于LTE演进的系统中。具体包括:
步骤201:接收由中继站转发终端发送的接入请求消息;
步骤202:根据所述接入请求消息对终端鉴权认证后获得共享根密钥;
步骤203:选择安全算法,所述安全算法为所述终端和网络侧支持的算法;
步骤204:根据所述共享根密钥派生基站密钥;
步骤205:通过所述中继站向所述终端发送安全模式命令,所述安全模式命令中包含所述安全算法。
通过本实施方式提供的方法,网络侧在接收到终端通过中继站发送端接入请求后,选择用于建立安全关联的安全算法,并通过中继站想所述终端发送安全模式命令,在所述安全模式命令中包括所选择的安全算法,终端在得到安全算法后,就可以与网络侧建立安全关联,解决了LTE系统中引入中继站后,终端与网络侧之间建立安全关联的问题,而且本发明实施方式提供的技术方案继承了LTE系统的安全机制,在基本不改变现有的安全机制下和不增加系统复杂度的前提下,保证了加入中继站后的移动通信系统的安全性。
参照图3,介绍本发明第二实施方式,关于一种建立终端和网络侧安全关联的方法。在该实施方式中,终端为初次接入网络(detached to active),具体过程包括:
步骤301:终端向中继站发送接入请求消息,该接入请求消息中包括临时移动用户识别号码(Temporary Mobile Subscriber Identify,TMSI)和终端能力;
步骤302:中继站将终端发送的接入请求消息发送给基站;
步骤303:基站接收到中继站发送的接入请求消息后,将该接入请求消息转发给移动管理实体;基站在转发时,还可以将基站自身的基站能力告知移动管理实体,基站能力可以包括基站自身所支持的算法;
步骤304:移动管理实体将接收到的接入请求消息中的TMSI发送给归属用户服务器;归属用户服务器和移动管理实体都位于网络侧,两者可以独立存在,也可以作为逻辑单元共存于一个网络节点上;
步骤305:归属用户服务器根据TMSI生成鉴权向量,该鉴权向量用于终端和网络侧之间的交互认证,包括随机数RAND、期望响应XRES(EXpecteduser RESponse)、鉴权符号AUTN(AUTN=SQN‖AMF‖MAC)、共享根密钥Kasme;
步骤306:归属用户服务器在生成鉴权向量之后,将鉴权向量发送给移动管理实体;
步骤307:移动管理实体将随机数RAND和鉴权符号AUTN发送给基站;
步骤308:基站将接收到的随机数RAND和鉴权符号AUTN发送给中继站;
步骤309:中继站将接收到的随机数RAND和鉴权符号AUTN发送给终端;
步骤310:终端验证AUTN,终端计算期望完整性校验码XMAC=f(SQN‖RAND‖AMF),若等于AUTN中的完整性校验码MAC,并且序列号SQN在有效范围,则认为对网络鉴权成功,若验证成功,则根据RAND计算得到响应值RES;
步骤311:终端向中继站发送响应消息,响应消息中包含RES;
步骤312:中继站将终端发送的响应消息发送给基站;
步骤313:基站将接收到的响应消息发送给移动管理实体;
步骤314:移动管理实体验证RES是否和鉴权向量中的XRES相同,如果相同,则通过对终端的认证,终端和移动管理实体获得共享根密钥Kasme;
步骤315:移动管理实体根据终端能力和基站能力,选择安全算法,包括非接入层(Non-Access Stratum,NAS)算法以及如无线资源控制(Radio ResourceControl,RRC)算法和用户面板(User Plane,UP)算法等的接入层算法;可以根据移动管理实体选择的安全算法,或者终端和网络侧共知的其它任何算法,根据共享根密钥Kasme派生得到基站密钥;
步骤316:移动管理实体发送安全模式命令(Security Mode Command,SMC),该命令中包含NAS安全信息、接入层安全算法和基站密钥发送给基站,NAS安全信息包括NAS算法和KSI(Key Set Identifier);
步骤317:基站将NAS安全信息、接入层安全算法和完整性校验码发送给中继站;
步骤318:中继站将接收到的NAS安全信息、接入层安全算法和完整性校验码发送给终端;
步骤319:终端接收到NAS安全信息、接入层安全算法和完整性校验码后,对中继站转发的消息进行完整性验证,验证成功后,向中继站发送验证确认消息;
步骤320:中继站向基站发送接收到的验证确认消息;
步骤321:基站将接收到的验证确认消息发送给移动管理实体;
步骤322:移动管理实体接收到验证确认消息后,至此,终端和基站之间完成了安全算法协商和密钥协商,完成了安全关联的建立。
在本实施方式中,可选的,在步骤302中,中继站在发送接入请求消息时,可以将自身的中继能力发送给移动管理实体,则在步骤315中,移动管理实体可以根据终端能力、中继能力和基站能力进行选择安全算法。
在本实施方式步骤301至步骤322所提供的方案中,中继站没有终端和基站之间的安全关联,也没有关于终端的任何信息,中继站仅仅透明地传送终端和网络侧之间的消息。本实施方式还可以进一步包括以下步骤,可以使得本实施方式中的中继站可以获得终端和基站之间的安全关联,以建立终端和中继站之间的安全关联,使得终端和中继站之间的通信更加安全。
步骤323:基站向中继站发送终端和网络侧建立的安全关联密钥(如RRC密钥和UP密钥)以及安全算法(如RRC算法和UP算法),该安全关联密钥由基站生成;中继站和基站之间发送的消息可以通过中继站和网络侧之间的安全关联进行保护;
步骤324:中继站收到基站发送的密钥和相关算法后,使用中继站和基站间建立的安全关联做校验,向基站返回确认消息。
由于中继站获取了终端和网络侧之间的安全关联,则中继站在转发终端或者基站发送的消息时,可以直接转发,不要执行解密后重新加密的过程。
本实施方式中,如果中继站具有产生小区无线网络临时标识(RadioNetwork Temporary Identifier,C-RNTI)的功能,则步骤323中,基站可向中继站发送基站密钥以及安全算法,如RRC算法和UP算法;中继站和基站之间发送的消息可以通过中继站和网络侧之间的安全关联进行保护。在步骤324中,中继站接收到基站发送的基站密钥和算法后,根据基站密钥和C-RNTI派生得到安全关联密钥,如RRC密钥和UP密钥,中继站和基站之间发送的消息可以通过中继站和网络侧之间的安全关联进行保护。在这种情况下,中继站获得的与终端之间建立的安全关联与基站和中继站之间的安全关联不同,当中继站接收到终端发送的消息时,中继站需要首先根据中继站和终端之间的安全关联进行解密,然后利用中继站和基站之间的安全关联进行重新加密,再进行转发;同样,当中继站接收到基站发送的消息时,首先根据中继站和基站之间的安全关联进行解密,然后利用中继站和终端之间的安全关联进行加密,再发送给终端。
步骤323和步骤324中,中继站被动地从基站接收消息,并获得终端与网络侧的安全关联,该方法中,中继站可以主动向基站请求获取相关安全关联,因此,步骤323和步骤324可以分别为步骤323’和步骤324’,具体如下:
步骤323’:中继站向基站发送终端安全关联请求,请求基站发送终端和基站已经建立好的安全关联相关信息,中继站和基站之间发送的消息可以通过中继站和网络侧之间的安全关联进行保护;
步骤324’:基站向中继站发送请求回应消息,该消息中包含安全算法,如RRC算法和UP算法,以及基站生成的安全关联密钥,如RRC密钥和UP密钥;若该中继站可以产生C-RNTI,基站可以不直接发送RRC密钥和UP密钥,而在该回应消息中包含安全算法和基站密钥。中继站根据接收到的信息,可以获得终端和网络侧之间的安全关联信息。
参照图4,下面介绍本发明第三实施方式,关于建立终端和网络侧安全关联的方法,在本实施方式中,终端已经经过初始接入网络,处于空闲状态进入激活状态的过程(idle to active),该方法包括:
步骤401:终端通过中继站向网络侧发送接入请求消息,该消息中包括TMSI、和KSIasme,由于终端已经接入过网络,网络侧设备都已经获知终端的终端能力,因此,在接入请求消息中可以不包括终端能力,除非终端能力发生更改;
步骤402至步骤414与第二实施方式中步骤302至步骤314相同;
步骤415:移动管理实体根据基站能力和终端能力选择安全算法,包括RRC算法和UP算法,根据共享根密钥派生基站密钥;
步骤416:移动管理实体将安全算法和基站密钥发送给基站;
步骤417:基站发送安全模式命令给中继站,并在该命令中包含安全算法和完整性校验码;
步骤418:中继站将接收到的安全算法和完整性校验码发送给终端;
步骤419:终端接收到中继站发送的安全算法和完整性校验码后,对中继站转发的消息进行完整性验证,验证成功后,终端向中继站发送验证确认消息;
步骤420:中继站向基站转发验证确认消息;
步骤421:基站接收到验证确认消息后,进行安全校验,则终端和基站之间完成了安全算法和密钥协商;
步骤422:基站发送确认消息给移动管理实体,告知其安全关联建立。
在本实施方式步骤401至步骤422所提供的方案中,中继站没有终端和基站之间的安全关联,中继站仅仅透明地传送终端和网络侧之间的消息。本实施方式还可以进一步包括以下步骤,可以使得本实施方式中的终端可以获得终端和基站之间的安全关联:
步骤423:基站向中继站发送基站自身生成的安全关联密钥,如RRC密钥和UP密钥,以及安全算法,如RRC算法和UP算法;中继站和基站之间发送的消息可以通过中继站和网络侧之间的安全关联进行保护;
步骤424:中继站收到基站发送的密钥和算法后,使用中继站和基站间建立的安全关联做校验,向基站返回确认信息。
由于中继站获取了终端和网络侧之间的安全关联,则中继站在转发终端或者基站发送的消息时,可以直接转发,不要执行解密后重新加密的过程。
本实施方式中,如果中继站具有产生C-RNTI的功能,则步骤423中,基站可向中继站发送基站密钥以及安全算法,如RRC算法和UP算法;中继站和基站之间发送的消息可以通过中继站和网络侧之间的安全关联进行保护。在步骤424中,中继站接收到基站发送的基站密钥和算法后,根据基站密钥和C-RNTI派生得到安全关联密钥,如RRC密钥和UP密钥,中继站和基站之间发送的消息可以通过中继站和网络侧之间的安全关联进行保护。在这种情况下,中继站获得的与终端之间建立的安全关联与基站和中继站之间的安全关联不同,当中继站接收到终端发送的消息时,中继站需要首先根据中继站和终端之间的安全关联进行解密,然后利用中继站和基站之间的安全关联进行重新加密,再进行转发;同样,当中继站接收到基站发送的消息时,首先根据中继站和基站之间的安全关联进行解密,然后利用中继站和终端之间的安全关联进行加密,再发送给终端。
步骤423和步骤424中,中继站被动地从基站接收消息,并获得终端与网络侧的接入层安全关联信息,该方法中,中继站可以主动向基站请求获取相关安全关联,因此,步骤423和步骤424可以分别为步骤423’和步骤424’,具体如下:
步骤423’:中继站向基站发送终端安全关联请求,请求基站发送终端和基站已经建立好的安全关联密钥,中继站和基站之间发送的消息可以通过中继站和网络侧之间的安全关联进行保护;
步骤424’:基站向中继站发送请求回应消息,该消息中包含安全算法,如RRC算法和UP算法,以及基站生成的安全关联密钥,如RRC密钥和UP密钥;若该中继站可以产生C-RNTI,基站可以不直接发送安全关联密钥,而在该回应消息中包含安全算法和基站密钥。中继站根据基站密钥和C-RNTI派生得到安全关联密钥,如RRC密钥和UP密钥,从而可以获得和终端之间的安全关联。
下面介绍本发明第四实施方式,关于终端和网络侧建立安全关联的方法,根据本实施方式提供的技术方案,可以加快整个系统建立安全关联的时间,本实施方式包含步骤501至步骤522,与第二实施方式中的步骤301至步骤322基本相同,区别在于在步骤517中,基站在将NAS安全信息、安全算法和完整性校验码发送给中继站的同时,将基站自身生成的安全关联密钥,如RRC密钥和UP密钥,发送给中继站;在步骤520中,中继站转发终端确认命令的同时,还发送中继站接收到终端安全关联的确认消息。
若该中继站具备产生C-RNTI的功能,则在步骤517中,基站将NAS安全信息、安全算法和完整性校验码发送给中继站的同时,将基站密钥发送给中继站,中继站可以根据基站密钥和C-RNTI派生得到安全关联密钥;在步骤520中,中继站转发终端确认命令的同时,还发送中继站接收到终端安全关联的确认消息。
在本实施方式中,实现了终端和基站之间建立安全关联同时,也实现终端和中继站之间安全关联的建立,因此,节省了整个系统建立安全关联的时间。
下面介绍本发明第五实施方式,本实施方式包含步骤601至步骤622,与第三实施方式中的步骤401至步骤422基本相同,区别在于在步骤617中,基站在发送安全模式命令的同时,把基站自身生成的安全关联密钥,如RRC密钥和UP密钥,发送给中继站;在步骤620中,中继站转发终端确认命令的同时,还发送中继站接收到终端安全关联信息的确认消息。
若该中继站具备产生C-RNTI的功能,则在步骤617中,基站在发送安全模式命令的同时,将基站密钥发送给中继站,中继站可以根据基站密钥和C-RNTI派生得到安全关联密钥;在步骤620中,中继站转发终端确认命令的同时,还发送中继站接收到终端安全关联的确认消息。
在本实施方式中,实现了终端和基站之间建立安全关联同时,也实现终端和中继站之间安全关联的建立,因此,节省了整个系统建立安全关联的时间。
本发明实施方式提供的技术方案,解决了LTE系统中引入中继站后,终端经过中继站和网络侧实现安全关联的建立的问题,不仅可以使得终端通过中继站与基站建立安全关联,进一步,可以建立终端和中继站之间的安全关联,从而使得整个系统的通信更加安全,同时,还可以节省在LTE中继系统中建立安全关联的时间。另外,本发明实施方式提供的技术方案继承了LTE系统的安全机制,在基本不改变现有的安全机制下,融合了中继站的转发特征和分布式特性,在不增加系统复杂度的前提下,保证了加入中继站后的移动通信系统的安全性。
本发明第六实施方式,参照图5,关于一种通信网络系统500,包括第一接收单元501,用于接收由中继站转发终端发送端接入请求消息;密钥获取单元502,用于根据所述第一接收单元501接收到的接入请求消息对终端鉴权认证后获得共享根密钥;选择单元503,用于选择安全算法,所述安全算法为所述终端和网络侧都支持的算法;派生单元504,用于根据所述密钥获取单元502得到的共享根密钥派生基站密钥;第一发送单元505,用于通过中继站向终端发送安全模式命令,所述安全模式命令中包含选择单元503选择的安全算法。
进一步,第一接收单元还用于接收终端通过中继站发送的验证确认消息。
以上实施方式提供的方案中,中继站没有终端和基站之间的安全关联,也没有关于终端的任何信息,中继站仅仅透明地传送终端和网络侧之间的消息,优选的,该通信网络系统还包括第二发送单元和第二接收单元;派生单元还用于生成网络侧安全关联密钥;
第二发送单元用于在第一接收单元接收到终端发送的验证确认消息后,发送安全算法和网络侧安全关联密钥给中继站;
第二接收单元用于接收中继站在根据安全算法、安全关联密钥,得到和终端之间的安全关联密钥后向网络侧发送的确认消息。
这样,可以使得本实施方式中的中继站可以获得终端和基站之间的安全关联,以建立终端和中继站之间的安全关联,使得终端和中继站之间的通信更加安全。
如果中继站可以产生C-RNTI,则在建立中继站和终端之间的安全关联时,优选的,该通信网络系统还可以包括第三发送单元和第三接收单元,
第三发送单元用于在第一接收单元接收到终端发送的验证确认消息后,发送安全算法和基站密钥给中继站;
第三接收单元用于接收中继站在根据C-RNTI以及接收到的基站密钥和安全算法得到和所述终端之间的安全关联密钥后向网络侧发送的确认消息。
中继站除了可以被动地接收通信网络系统发送的相关安全关联信息外,还可以主动地向通信网络系统请求相关安全关联信息,优选的,该通信网络系统还包括第四发送单元和第四接收单元;
第四接收单元用于接收中继站发送的终端安全关联请求;派生单元还用于生成网络侧安全关联密钥;
第四发送单元用于向中继站发送请求回应消息,该消息包括安全算法和网络侧的安全关联密钥。
当中继站可以产生C-RNTI时,当通信网络系统接收到中继站的请求时,可以不直接发送安全关联密钥,而是发送基站密钥,优选的,该通信网络系统还包括第五发送单元和第五接收单元;
第五接收单元用于接收中继站向网络侧发送的终端安全关联请求;
第五发送单元用于向中继站发送请求回应消息,该消息包括安全算法和基站密钥;
第五接收单元还用于接收中继站在根据C-RNTI以及接收到的基站密钥和安全算法得到终端的安全关联密钥后向基站发送的确认消息。
通过本发明实施方式提供通信网络系统,可以使得在LTE演进系统中实现终端通过中继站与网络侧之间建立安全关联,并且进一步可以建立终端和中继站之间的安全关联,使得通信更加安全,另外,本发明实施方式提供的技术方案继承了LTE系统的安全机制,在基本不改变现有的安全机制下和不增加系统复杂度的前提下,保证了加入中继站后的移动通信系统的安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施方式所述的方法。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (14)
1、一种建立安全关联的方法,其特征在于,包括:
接收由中继站转发终端发送的接入请求消息;
根据所述接入请求消息对终端鉴权认证后获得共享根密钥;
选择安全算法,所述安全算法为所述终端和网络侧支持的算法;
根据所述共享根密钥派生基站密钥;
通过所述中继站向所述终端发送安全模式命令,所述安全模式命令中包含所述安全算法。
2、根据权利要求1所述的方法,其特征在于,所述通过所述中继站向所述终端发送安全模式命令的步骤之后,还包括:
接收所述中继站转发终端发送的验证确认消息。
3、根据权利要求2所述的方法,其特征在于,所述网络侧通过所述中继站向终端发送安全模式命令,具体为:
基站通过中继站向终端发送所述安全模式命令。
4、根据权利要求2所述的建立安全关联的方法,其特征在于,当所述接入请求消息为初始接入请求消息,所述网络侧通过所述中继站向终端发送安全模式命令,具体为:
移动管理实体向基站发送安全模式命令;
基站接收到所述安全模式命令后,通过中继站向终端发送所述安全模式命令。
5、根据权利要求3或4所述的方法,其特征在于,在接收所述中继站转发终端发送的验证确认消息之后,所述方法还包括:
所述基站向所述中继站发送所述安全算法和由所述基站生成的安全关联密钥;所述基站接收所述中继站发送的确认消息,所述确认消息为所述中继站在根据所述安全算法、安全关联密钥,得到和所述终端之间的安全关联密钥后向基站发送的消息;或
所述基站接收中继站发送的终端安全关联请求;所述基站向中继站发送请求回应消息,该消息包括安全算法和基站生成的安全关联密钥。
6、根据权利要求3或4所述的方法,其特征在于,当所述中继站产生小区无线网络临时标识C-RNTI时,在接收所述中继站转发终端发送的验证确认消息之后,所述方法还包括:
所述基站发送基站密钥和安全算法给所述中继站;所述基站接收所述中继站发送的确认消息,所述确认消息为所述中继站在根据所述C-RNTI以及接收到的基站密钥和安全算法得到和所述终端之间的安全关联密钥后向基站发送的消息;或
所述基站接收所述中继站向基站发送的终端安全关联请求;所述基站向所述中继站发送请求回应消息,该消息包括安全算法和基站密钥;所述基站接收所述中继站发送端确认消息,所述确认消息为所述中继站在根据所述C-RNTI以及接收到的基站密钥和安全算法得到和所述终端之间的安全关联密钥后向基站发送的消息。
7、根据权利要求3或4所述的方法,其特征在于,所述基站通过所述中继站向终端发送安全模式命令时,还发送所述基站生成的安全关联密钥。
8、根据权利要求3或4所述的方法,其特征在于,当所述中继站产生C-RNTI时;所述基站通过所述中继站向终端发送安全模式命令时,还发送基站密钥。
9、一种通信网络系统,其特征在于,包括:
第一接收单元,用于接收由中继站转发终端发送端接入请求消息;
密钥获取单元,用于根据所述第一接收单元接收到的接入请求消息对终端鉴权认证后获得共享根密钥;
选择单元,用于选择安全算法,所述安全算法为所述终端和网络侧都支持的算法;
派生单元,用于根据所述密钥获取单元得到的共享根密钥派生基站密钥;
第一发送单元,用于通过所述中继站向终端发送安全模式命令,所述安全模式命令中包含所述选择单元选择的安全算法。
10、根据权利要求9所述的通信网络系统,其特征在于,所述第一接收单元还用于接收所述终端通过所述中继站发送的验证确认消息。
11、根据权利要求10所述的通信网络系统,其特征在于,所述系统还包括第二发送单元和第二接收单元;所述派生单元还用于生成网络侧安全关联密钥;
所述第二发送单元用于在所述第一接收单元接收到所述终端发送的验证确认消息后,发送安全算法和网络侧安全关联密钥给所述中继站;
所述第二接收单元用于接收所述中继站发送的确认消息,所述确认消息为所述中继站在根据所述安全算法、安全关联密钥,得到和所述终端之间的安全关联密钥后向网络侧发送的消息。
12、根据权利要求10所述的通信网络系统,其特征在于,所述系统还包括第三发送单元和第三接收单元;
所述第三发送单元用于在所述第一接收单元接收到所述终端发送的验证确认消息后,发送安全算法和基站密钥给所述中继站,所述中继站产生C-RNTI;
所述第三接收单元用于接收所述中继站发送的确认消息,所述确认消息为所述中继站在根据所述C-RNTI以及接收到的基站密钥和安全算法得到和所述终端之间的安全关联密钥后向网络侧发送的消息。
13、根据权利要求10所述的通信网络系统,其特征在于,所述系统还包括第四发送单元和第四接收单元;
所述第四接收单元用于接收所述中继站发送的终端安全关联请求;所述派生单元还用于生成网络侧安全关联密钥;
所述第四发送单元用于向所述中继站发送请求回应消息,该消息包括安全算法和网络侧的安全关联密钥。
14、根据权利要求10所述的网络侧,其特征在于,所述网络侧还包括第五发送单元和第五接收单元;
所述第五接收单元用于接收所述中继站向网络侧发送的终端安全关联请求;
所述第五发送单元用于向所述中继站发送请求回应消息,该消息包括安全算法和基站密钥。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100652635A CN101500229B (zh) | 2008-01-30 | 2008-01-30 | 建立安全关联的方法和通信网络系统 |
| PCT/CN2009/070273 WO2009094942A1 (fr) | 2008-01-30 | 2009-01-22 | Procédé et système de réseau de communication pour établir une conjonction de sécurité |
| CN200980102466.XA CN101926151B (zh) | 2008-01-30 | 2009-01-22 | 建立安全关联的方法和通信网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100652635A CN101500229B (zh) | 2008-01-30 | 2008-01-30 | 建立安全关联的方法和通信网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101500229A true CN101500229A (zh) | 2009-08-05 |
| CN101500229B CN101500229B (zh) | 2012-05-23 |
Family
ID=40912286
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100652635A Expired - Fee Related CN101500229B (zh) | 2008-01-30 | 2008-01-30 | 建立安全关联的方法和通信网络系统 |
| CN200980102466.XA Expired - Fee Related CN101926151B (zh) | 2008-01-30 | 2009-01-22 | 建立安全关联的方法和通信网络系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980102466.XA Expired - Fee Related CN101926151B (zh) | 2008-01-30 | 2009-01-22 | 建立安全关联的方法和通信网络系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN101500229B (zh) |
| WO (1) | WO2009094942A1 (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101931953A (zh) * | 2010-09-20 | 2010-12-29 | 中兴通讯股份有限公司 | 生成与设备绑定的安全密钥的方法及系统 |
| CN101931955A (zh) * | 2010-09-03 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101945386A (zh) * | 2010-09-10 | 2011-01-12 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
| CN101945387A (zh) * | 2010-09-17 | 2011-01-12 | 中兴通讯股份有限公司 | 一种接入层密钥与设备的绑定方法和系统 |
| CN101977378A (zh) * | 2010-09-30 | 2011-02-16 | 中兴通讯股份有限公司 | 信息传输方法、网络侧及中继节点 |
| CN101998392A (zh) * | 2009-08-14 | 2011-03-30 | 财团法人工业技术研究院 | 用于具有中继节点的无线通信系统的安全性方法 |
| CN102056160A (zh) * | 2009-11-03 | 2011-05-11 | 华为技术有限公司 | 一种密钥生成的方法、装置和系统 |
| WO2012024904A1 (zh) * | 2010-08-25 | 2012-03-01 | 中兴通讯股份有限公司 | 一种会议电话预接入的方法、系统及网络侧设备 |
| US8605904B2 (en) | 2009-08-14 | 2013-12-10 | Industrial Technology Research Institute | Security method in wireless communication system having relay node |
| WO2014075238A1 (zh) * | 2012-11-14 | 2014-05-22 | 华为技术有限公司 | 移动通信的安全处理方法、宏基站、微基站和用户设备 |
| US8904167B2 (en) | 2010-01-22 | 2014-12-02 | Qualcomm Incorporated | Method and apparatus for securing wireless relay nodes |
| CN104581710A (zh) * | 2014-12-18 | 2015-04-29 | 中国科学院信息工程研究所 | 一种在空口上安全传输lte用户imsi的方法和系统 |
| US9060270B2 (en) | 2009-04-30 | 2015-06-16 | Huawei Technologies Co., Ltd. | Method and device for establishing a security mechanism for an air interface link |
| CN108112013A (zh) * | 2013-03-13 | 2018-06-01 | 华为技术有限公司 | 数据的传输方法、装置和系统 |
| WO2018126452A1 (zh) * | 2017-01-06 | 2018-07-12 | 华为技术有限公司 | 授权验证方法和装置 |
| CN108464019A (zh) * | 2016-02-04 | 2018-08-28 | 华为技术有限公司 | 一种安全参数传输方法及相关设备 |
| CN109842881A (zh) * | 2017-09-15 | 2019-06-04 | 华为技术有限公司 | 通信方法、相关设备以及系统 |
| CN110381608A (zh) * | 2018-04-13 | 2019-10-25 | 华为技术有限公司 | 一种中继网络的数据传输方法及装置 |
| CN111866884A (zh) * | 2019-04-26 | 2020-10-30 | 华为技术有限公司 | 一种安全保护方法及装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107071768B (zh) | 2012-02-22 | 2020-03-20 | 华为技术有限公司 | 建立安全上下文的方法、装置及系统 |
| CN109561429B (zh) * | 2017-09-25 | 2020-11-17 | 华为技术有限公司 | 一种鉴权方法及设备 |
| US20240128798A1 (en) * | 2022-10-18 | 2024-04-18 | Nokia Technologies Oy | Implementation of attachment for passive iot device communication with ambient energy source |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100525156C (zh) * | 2003-09-25 | 2009-08-05 | 华为技术有限公司 | 一种选择安全通信算法的方法 |
| CN100571130C (zh) * | 2004-11-08 | 2009-12-16 | 中兴通讯股份有限公司 | 一种通用的安全等级协商方法 |
| EP1864426A4 (en) * | 2005-03-09 | 2016-11-23 | Korea Electronics Telecomm | AUTHENTICATION PROCESSES AND KEY PRODUCTION METHODS IN A WIRELESS TRACKABLE INTERNET SYSTEM |
| CN100561914C (zh) * | 2005-08-25 | 2009-11-18 | 华为技术有限公司 | 获取密钥的方法 |
| CN100505759C (zh) * | 2005-11-15 | 2009-06-24 | 中兴通讯股份有限公司 | 一种非对等实体安全等级协商方法 |
-
2008
- 2008-01-30 CN CN2008100652635A patent/CN101500229B/zh not_active Expired - Fee Related
-
2009
- 2009-01-22 WO PCT/CN2009/070273 patent/WO2009094942A1/zh active Application Filing
- 2009-01-22 CN CN200980102466.XA patent/CN101926151B/zh not_active Expired - Fee Related
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9060270B2 (en) | 2009-04-30 | 2015-06-16 | Huawei Technologies Co., Ltd. | Method and device for establishing a security mechanism for an air interface link |
| CN101998392B (zh) * | 2009-08-14 | 2013-08-21 | 财团法人工业技术研究院 | 用于具有中继节点的无线通信系统的安全性方法 |
| US8605904B2 (en) | 2009-08-14 | 2013-12-10 | Industrial Technology Research Institute | Security method in wireless communication system having relay node |
| CN101998392A (zh) * | 2009-08-14 | 2011-03-30 | 财团法人工业技术研究院 | 用于具有中继节点的无线通信系统的安全性方法 |
| CN102056160A (zh) * | 2009-11-03 | 2011-05-11 | 华为技术有限公司 | 一种密钥生成的方法、装置和系统 |
| WO2011054286A1 (zh) * | 2009-11-03 | 2011-05-12 | 华为技术有限公司 | 一种密钥生成的方法、装置和系统 |
| CN102056160B (zh) * | 2009-11-03 | 2013-10-09 | 华为技术有限公司 | 一种密钥生成的方法、装置和系统 |
| TWI492654B (zh) * | 2010-01-22 | 2015-07-11 | Qualcomm Inc | 用於保障無線中繼節點安全的方法和裝置 |
| US8904167B2 (en) | 2010-01-22 | 2014-12-02 | Qualcomm Incorporated | Method and apparatus for securing wireless relay nodes |
| WO2012024904A1 (zh) * | 2010-08-25 | 2012-03-01 | 中兴通讯股份有限公司 | 一种会议电话预接入的方法、系统及网络侧设备 |
| US9106429B2 (en) | 2010-08-25 | 2015-08-11 | Zte Corporation | Method and system for pre-accessing conference telephone and network side device |
| WO2012028010A1 (zh) * | 2010-09-03 | 2012-03-08 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101931955B (zh) * | 2010-09-03 | 2015-01-28 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101931955A (zh) * | 2010-09-03 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN101945386B (zh) * | 2010-09-10 | 2015-12-16 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
| WO2012031510A1 (zh) * | 2010-09-10 | 2012-03-15 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
| CN101945386A (zh) * | 2010-09-10 | 2011-01-12 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
| CN101945387B (zh) * | 2010-09-17 | 2015-10-21 | 中兴通讯股份有限公司 | 一种接入层密钥与设备的绑定方法和系统 |
| CN101945387A (zh) * | 2010-09-17 | 2011-01-12 | 中兴通讯股份有限公司 | 一种接入层密钥与设备的绑定方法和系统 |
| CN101931953A (zh) * | 2010-09-20 | 2010-12-29 | 中兴通讯股份有限公司 | 生成与设备绑定的安全密钥的方法及系统 |
| CN101931953B (zh) * | 2010-09-20 | 2015-09-16 | 中兴通讯股份有限公司 | 生成与设备绑定的安全密钥的方法及系统 |
| CN101977378B (zh) * | 2010-09-30 | 2015-08-12 | 中兴通讯股份有限公司 | 信息传输方法、网络侧及中继节点 |
| CN101977378A (zh) * | 2010-09-30 | 2011-02-16 | 中兴通讯股份有限公司 | 信息传输方法、网络侧及中继节点 |
| CN103959833A (zh) * | 2012-11-14 | 2014-07-30 | 华为技术有限公司 | 移动通信的安全处理方法、宏基站、微基站和用户设备 |
| WO2014075238A1 (zh) * | 2012-11-14 | 2014-05-22 | 华为技术有限公司 | 移动通信的安全处理方法、宏基站、微基站和用户设备 |
| CN103959833B (zh) * | 2012-11-14 | 2018-03-13 | 华为技术有限公司 | 移动通信的安全处理方法、宏基站、微基站和用户设备 |
| CN108112013A (zh) * | 2013-03-13 | 2018-06-01 | 华为技术有限公司 | 数据的传输方法、装置和系统 |
| CN104581710B (zh) * | 2014-12-18 | 2018-11-23 | 中国科学院信息工程研究所 | 一种在空口上安全传输lte用户imsi的方法和系统 |
| CN104581710A (zh) * | 2014-12-18 | 2015-04-29 | 中国科学院信息工程研究所 | 一种在空口上安全传输lte用户imsi的方法和系统 |
| CN108464019A (zh) * | 2016-02-04 | 2018-08-28 | 华为技术有限公司 | 一种安全参数传输方法及相关设备 |
| WO2018126452A1 (zh) * | 2017-01-06 | 2018-07-12 | 华为技术有限公司 | 授权验证方法和装置 |
| CN109842881A (zh) * | 2017-09-15 | 2019-06-04 | 华为技术有限公司 | 通信方法、相关设备以及系统 |
| CN109842881B (zh) * | 2017-09-15 | 2021-08-31 | 华为技术有限公司 | 通信方法、相关设备以及系统 |
| CN110381608A (zh) * | 2018-04-13 | 2019-10-25 | 华为技术有限公司 | 一种中继网络的数据传输方法及装置 |
| CN111866884A (zh) * | 2019-04-26 | 2020-10-30 | 华为技术有限公司 | 一种安全保护方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009094942A1 (fr) | 2009-08-06 |
| CN101500229B (zh) | 2012-05-23 |
| CN101926151A (zh) | 2010-12-22 |
| CN101926151B (zh) | 2013-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN108781366B (zh) | 用于5g技术的认证机制 | |
| CN101500230B (zh) | 建立安全关联的方法和通信网络 | |
| US11178584B2 (en) | Access method, device and system for user equipment (UE) | |
| EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| EP3338473B1 (en) | Method and apparatus for authentication of wireless devices | |
| CN102823282B (zh) | 用于二进制cdma的密钥认证方法 | |
| CN106134231B (zh) | 密钥生成方法、设备及系统 | |
| KR101582502B1 (ko) | 인증을 위한 시스템 및 방법 | |
| CN109644134A (zh) | 用于大型物联网组认证的系统和方法 | |
| CN101951590B (zh) | 认证方法、装置及系统 | |
| CN101945387A (zh) | 一种接入层密钥与设备的绑定方法和系统 | |
| CN104602229B (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
| CN109496412A (zh) | 使用隐私识别码的验证 | |
| CN103096307A (zh) | 密钥验证方法及装置 | |
| CN103200004B (zh) | 发送消息的方法、建立安全连接的方法、接入点和工作站 | |
| CN115412909A (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120523 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |