CN101631306A - 空口密钥的更新方法、终端以及基站 - Google Patents
空口密钥的更新方法、终端以及基站 Download PDFInfo
- Publication number
- CN101631306A CN101631306A CN200910166136A CN200910166136A CN101631306A CN 101631306 A CN101631306 A CN 101631306A CN 200910166136 A CN200910166136 A CN 200910166136A CN 200910166136 A CN200910166136 A CN 200910166136A CN 101631306 A CN101631306 A CN 101631306A
- Authority
- CN
- China
- Prior art keywords
- terminal
- cmac
- amsid
- target
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种空口密钥的更新方法、终端以及基站,该方法包括:在终端进行切换或者位置更新或者退出空闲模式时,终端更新终端标识的哈希计算值AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS、和/或业务流加密密钥TEK。本发明实现了空口密钥的更新。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种空口密钥的更新方法、终端以及基站。
背景技术
电子电机工程协会(Institute of Electrical and ElectronicEngineers,简称为IEEE)制定的电子设备的标准包括各种不同通讯技术的标准。其中,IEEE 802主要制定电子工程和计算机领域的标准,又称为局域网/城域网标准委员会(LAN/MAN StandardsCommittee,简称为LMSC)。而IEEE 802.16标准体系主要是针对城域网,其主要目标是开发工作于2到66GHz频带的无线接入系统空中接口物理层(Physical Layer,简称为PHY)和媒体接入控制(Media Access Control,简称为MAC)规范,同时,还有与空中接口协议相关的一致性测试以及不同无线接入系统之间的共存规范。根据是否支持移动特性,IEEE 802.16标准可以分为固定宽带无线接入空中接口标准和移动宽带无线接入空中接口标准,其中,802.16、802.16a、802.16c、802.16d属于固定无线接入空中接口标准。802.16d是对802.16、802.16a和802.16c的修订,已经于2004年6月在IEEE802委员会获得通过,以IEEE 802.16-2004的名称发布。而802.16e属于移动宽带无线接入空中接口标准。该标准于2005年11月在IEEE 802委员会获得通过,以IEEE 802.16-2005的名称发布。全球微波互联接入(Worldwide Interperability for Microwave Access,简称为WiMAX)即是基于IEEE 802.16空中接口的规范,目前已成为国际上影响力最大的宽带无线接入技术。
目前IEEE正在制订802.16m标准。该标准是为了研究WiMAX下一步演进路线,目标是成为下一代移动通信技术,并最终向国际电信联盟(International Telecommunication Unit,简称为ITU)提交技术提案成为ITU的IMT-Advanced标准之一。该标准将兼容现有的802.16e规范。
在IEEE 802.16m系统中定义的密钥包括:主会话密钥(MasterSession Key,简称为MSK)、成对主密钥(Pairwise Master Key,简称为PMK)、授权密钥(Authorization Key,简称为AK)、消息完整性保护密钥(CMAC KEYS,包括CMAC_KEY_U及CMAC_KEY_D,其中CMAC_KEY_U用于对上行链路管理消息进行完整性保护,CMAC_KEY_D用于对下行链路管理消息进行完整性保护)、业务流加密密钥(TEK)。
MSK是IEEE 802.16m定义的所有其它密钥的根密钥,是终端和认证授权计费服务器(Authentication Authorization AccountingServer,简称为AAA Server)在可扩展的认证协议(ExtensibleAuthentication Protocol,简称为EAP)认证和授权过程中各自产生的,用于派生出PMK等其它的密钥。
PMK由MSK推导而出,用于派生出AK。具体推导式为:
PMK=Dot16KDF
(MSK,NONCE_AMS|NONCE_ABS|”PMK”,160)
其中,Dot16KDF为IEEE802.16定义的安全算法,具体定义可参考802.16-2005。NONCE_ABS是初始认证或重认证时,三次握手过程中基站生成的一个随机数;NONCE_AMS是初始认证或重认证时,三次握手过程中终端生成的一个随机数。引号内的内容代表字符串。
AK是授权密钥,由PMK推导而出。它用于派生出消息完整性保护密钥。具体推导式为:
AK=Dot16KDF
(PMK,AMSID*|ABSID|CMAC_KEY_COUNT|”AK”,160)
其中,AMSID*是终端标识(Advanced Mobile StationIdentification,简称为,AMSID)的哈希计算值,AMSID为终端的MAC地址。计算如下:
AMSID*=Dot16KDF(AMSID,ABSID|NONCE_ABS)
其中,基站标识(Advanced Base Station Identification,简称为ABSID)是基站的标识符。CMAC_KEY_COUNT是一个计数器,用于确保在切换时,同一个ABS-AMS对生成不同的AK。当成功完成重认证后,该计数器置零。
CMAC KEYS由AK派生而来,用于管理消息的完整性保护。计算如下:
CMAC_KEY_U|CMAC_KEY_D=Dot16KDF
(AK,“CMAC_KEYS”,256)
TEK用于对用户数据进行加密,以保护在终端和基站之间传输的数据的机密性。计算如下:
TEKi=Dot16KDF(AK,SAID|COUNTER_TEK=i|”TEK”,128)
其中,SAID是该TEK关联的安全联盟标识。COUNTER_TEK是一个计数器,用于推导属于同一个安全联盟的TEK,当推导出一个新的AK时,COUNTER_TEK置为0,此后,每生成一个新的TEK,该计数器递增1。
由于终端的移动,在切换时,或者位置更新时,或者退出空闲模式时,基站标识会不断变化,此时如何对空口密钥进行更新,802.16m未给出明确的定义。
发明内容
针对相关技术中对空口密钥更新未给出明确定义的问题而提出本发明,为此,本发明的主要目的在于提供一种空口密钥的更新方案,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种空口密钥的更新方法。
根据本发明的空口密钥的更新方法包括:在终端进行切换或者位置更新或者退出空闲模式时,终端更新终端标识的哈希计算值AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS、和/或业务流加密密钥TEK。
优选地,在终端用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK之后,上述方法还包括:终端根据CMAC KEYS计算得到测距请求消息的消息完整性校验值CMAC;终端向目标基站发送测距请求消息,并在其中携带计算得到的CMAC。
优选地,在终端向目标基站发送测距请求消息之后,上述方法还包括:目标基站接收来自终端的测距请求消息,并从其中获取CMAC:目标基站用更新的CMAC KEYS验证CMAC。
优选地,在目标基站用更新的CMAC KEYS验证CMAC之前,上述方法还包括:在目标基站接收到来自服务基站的关于终端的切换请求消息或者切换指示消息,或者目标基站接收到来自终端的测距请求消息之后,目标基站更新AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK。
优选地,目标基站更新AMSID*包括:目标基站根据基站标识和/或随机数NONCE_ABS来更新AMSID*。
优选地,在切换准备阶段,目标基站接收来自服务基站的切换请求消息,其中,切换请求消息携带有随机数。
优选地,在终端进行切换时,目标基站向服务基站请求终端的信息,其中,信息包括:终端标识AMSID,和/或基站随机数NONCE_ABS,和/或终端随机数NONCE_AMS;目标基站接收来自服务基站的信息,并根据信息更新AMSID*。
优选地,终端更新终端标识AMSID*值包括:终端更新一个或多个目标基站的AMSID*。
优选地,终端更新终端标识AMSID*值包括:终端根据基站标识、和/或基站随机数NONCE_ABS、和/或终端随机数NONCE_AMS来更新AMSID*。
优选地,在切换准备阶段,目标基站更新随机数NONCE_ABS,并通过切换响应消息发送给服务基站,以便服务基站通过切换命令消息发送给终端;或者,在切换准备阶段,终端更新随机数NONCE_AMS,并通过切换请求消息或切换指示消息发送给服务基站,并由服务基站转发给目标基站。
为了实现上述目的,根据本发明的另一个方面,提供了一种空口密钥的更新终端。
根据本发明空口密钥的更新终端包括:更新模块,用于在进行切换或者位置更新或者退出空闲模式时,更新终端标识的哈希计算值AMSID*;第一计算模块,用于使用更新模块更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS、和/或业务流加密密钥TEK。
优选地,上述终端还包括:第二计算模块,用于根据CMACKEYS计算得到消息完整性校验值CMAC;发送模块,用于向目标基站发送测距请求消息,并在其中携带第二计算模块计算得到的CMAC。
为了实现上述目的,根据本发明的另一个方面,还提供了一种空口密钥的更新基站。
根据本发明的空口密钥的更新基站包括:接收模块,用于接收来自终端的测距请求消息,其中,测距请求消息中携带有CMAC,CMAC为终端根据更新后的CMAC KEYS计算得到的CMAC;获取模块,用于从接收模块接收的测距请求消息中获取CMAC:验证模块,用于用更新的CMAC KEYS验证获取模块获取的CMAC。
通过本发明,终端在切换或者位置更新或者退出空闲模式时,更新AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK,解决了相关技术中对空口密钥更新未给出明确定义的问题,进而实现了空口密钥的更新。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例1的交互流程图;
图2是根据本发明实施例3的交互流程图;
图3是根据本发明实施例4的交互流程图;
图4是根据本发明实施例的终端的结构框图;
图5是根据本发明实施例的终端的优选结构框图;
图6是根据本发明实施例的基站的结构框图。
具体实施方式
功能概述
考虑到IEEE802.16m对空口密钥的更新未给出明确的定义的问题,本发明提供了一种无线通信系统中切换和空闲模式下空口密钥的更新方案,终端在切换或者位置更新或者退出空闲模式时,更新AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK,该方案完善了IEEE802.16m对空口密钥的更新的定义。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
方法实施例
根据本发明的一个方面,提供了一种空口密钥的更新方法。该方法包括:在终端进行切换或者位置更新或者退出空闲模式时,终端更新AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK。
然后,终端使用CMAC KEYS计算得到测距请求消息的消息完整性校验值CMAC,终端向目标基站发送测距请求消息,并在其中携带由更新的CMAC KEYS计算得到的消息完整性校验值CMAC。目标基站接收来自终端的测距请求消息,并从其中获取CMAC,目标基站用更新的CMAC KEYS验证测距请求消息中的CMAC。
此前,在目标基站接收到服务基站发送的关于终端的切换请求消息或者切换指示消息后,或者目标基站接收到终端发送的测距请求消息后,目标基站更新AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK。
对于终端来说,可以计算一个或多个候选目标基站的AMSID*,并用更新的AMSID*计算更新的授权密钥AK,和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK。
每一个候选目标基站计算AMSID*,并用更新的AMSID*计算更新的授权密钥AK,和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK。
终端和基站根据基站标识和/或基站随机数NONCE_ABS和/或终端随机数NONCE_AMS来更新AMSID*的值。
其中,随机数NONCE_ABS可以在切换准备阶段,由目标基站进行更新,并通过切换响应消息发送给服务基站,服务基站通过切换命令消息发送给终端。随机数NONCE_ABS可以在切换准备阶段,由服务基站在切换请求消息中发送给目标基站。随机数NONCE_AMS可以在切换准备阶段,由终端在切换请求消息或切换指示消息中发送给服务基站,再由服务基站转发给目标基站。
终端和目标基站在切换准备阶段,协商切换类型,包括:Mzone(遵从802.16m定义)到Lzone(遵从802.16e定义)的切换,Lzone到Mzone的切换,Mzone到Mzone的切换,Lzone到Lzone的切换等类型。
在切换时,目标基站向服务基站请求该终端的信息,包括:终端标识AMSID、和/或随机数NONCE_ABS、和/或随机数NONCE_AMS;服务基站将该终端的信息发送给目标基站、目标基站根据终端标识AMSID和随机数NONCE_ABS计算更新的AMSID*。
下面将结合实例对本发明实施例的实现过程进行详细描述。
实施例1:
图1是根据本发明实施例1的交互流程图,如图1所示,说明了终端切换到目标基站时,如何进行密钥更新及发起切换流程。包括如下步骤的S102至步骤S124:
步骤S102:终端向服务基站发送演进空口切换请求消息(Advancd Air Interface HandOver Request,简称为AAI_HO-REQ),请求进行切换。该步骤对应终端主动发起的切换流程。在该消息中可选地携带终端类型信息(如遵守802.16e定义的终端,或者遵守802.16m定义的终端)。
步骤S104:服务基站向一个或多个目标基站发送切换请求消息,在该消息中,服务基站将终端的相关信息发送给目标基站。该消息携带参数:终端标识(Mobile Station Identification,简称为MSID、随机数NONCE_ABS、和/或切换类型信息。
步骤S106:目标基站接收到服务基站发送的切换请求消息后,可选地为终端更新计算AMSID*的随机数NONCE_ABS;目标基站发送切换响应消息给服务基站,该消息可选地携带参数:目标基站更新的NONCE_ABS、和/或切换类型信息。
步骤S108:服务基站向终端发送切换命令消息(AAI HandOverCommand,简称为AAI_HO-CMD),其中可选地携带参数:目标基站更新的NONCE_ABS列表、和/或切换类型信息。
步骤S110:终端可选地向服务基站发送切换指示消息,确认要向哪一个目标基站进行切换。
步骤S112:服务基站可选地和被选中的目标基站进行切换确认消息交互过程,向目标基站确认终端即将要切换过来。
步骤S114:终端根据一个或多个目标基站的ABSID和目标基站更新的或服务基站发送给目标基站的随机数NONCE_ABS,和/或更新的递增的CMAC_KEY_COUNT值,分别计算对应的AMSID*。
步骤S116:目标基站根据ABSID,和目标基站更新的或服务基站发送给目标基站的随机数NONCE_ABS,和/或更新的递增的CMAC_KEY_COUNT值,计算AMSID*。
需要说明的是,上述终端侧步骤S114和步骤S110没有明确的时间先后顺序,上述基站侧步骤S116和步骤S106没有明确的时间先后顺序。
步骤S118:终端和基站根据更新的AMSID*,和/或更新的递增的CMAC_KEY_COUNT值,推导一个或多个目标基站对应的更新的授权密钥AK、CMAC KEYS、和/或TEK等空口派生密钥。
步骤S120:终端向一个目标基站发送测距请求消息,该消息携带利用更新的CMAC KEYS推导的测距请求消息的消息完整性验证码CMAC。
步骤S122:目标基站接收到测距请求消息后,利用更新的CMAC KEYS,验证测距请求消息中携带的CMAC。该步骤中,目标基站也可以向服务基站请求终端的相关上下文。
步骤S124:如果CMAC验证成功,目标基站向终端发送测距响应消息。该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,或者用更新的TEK进行加密同时进行机密性和完整性保护。
实施例2:
该实施例的图同图1所示,说明了终端切换到目标基站时,如何进行密钥更新及发起切换的另一种流程。包括如下步骤的S102至步骤S124:
步骤S102:终端向服务基站发送演进空口切换请求消息(AAI_HO-REQ),请求进行切换。该步骤对应终端主动发起的切换流程。在该消息中可选地携带终端类型信息(如遵守802.16e定义的终端,或者遵守802.16m定义的终端),和/或终端生成的随机数NONCE_AMS。
步骤S104:服务基站向一个或多个目标基站发送切换请求消息,在该消息中,服务基站将终端的相关信息发送给目标基站。该消息携带参数:终端标识(AMSID)、和/或终端随机数NONCE_AMS,和/或切换类型信息。
步骤S106:目标基站接收到服务基站发送的切换请求消息后,发送切换响应消息给服务基站,该消息可选地携带参数:切换类型信息。
步骤S108:服务基站向终端发送切换命令消息(AAI_HO-CMD),其中可选地携带参数:切换类型信息。
步骤S110:终端可选地向服务基站发送切换指示消息,确认要向哪一个目标基站进行切换。该消息可选地携带参数:终端随机数NONCE_AMS。
步骤S112:服务基站可选地和被选中的目标基站进行切换确认消息交互过程,向目标基站确认终端即将要切换过来。该消息可选地携带参数:终端随机数NONCE_AMS。
步骤S114:终端根据一个或多个目标基站的ABSID和更新的或未更新的终端随机数NONCE_ABS,和/或更新的递增的CMAC_KEY_COUNT值,分别计算对应的AMSID*:AMSID*=Dot16KDF(AMSID,ABSID|NONCE_AMS,48)。
步骤S116:目标基站根据ABSID,和/或服务基站发送给目标基站的随机数NONCE_AMS,和/或更新的递增的CMAC_KEY_COUNT值,计算AMSID*:AMSID*=Dot16KDF(AMSID,ABSID|NONCE_AMS,48)。
需要说明的是,上述终端侧步骤S114和步骤S108或S110没有明确的时间先后顺序,上述基站侧步骤S116和步骤S106没有明确的时间先后顺序。
步骤S118-S124:同实施例1,在此不再赘述。
实施例3:
图2是根据本发明实施例3的交互流程图,如图2所示,说明了终端切换到目标基站时,如何进行密钥更新及发起切换的另一种流程。该流程和实施例1的区别在于,在接收到终端发送的测距请求消息前,目标基站没有终端的全部或部分上下文信息,该流程包括如下的步骤S202至步骤S216:
步骤S202:终端决定向目标基站发起切换流程,终端根据目标基站的ABSID,计算更新的AMSID*。
步骤S204:终端根据更新的AMSID*,和/或更新的递增的CMAC_KEY_COUNT值,推导更新的授权密钥AK、CMAC KEYS等空口派生密钥。
步骤S206:终端向目标基站发送测距请求消息,该消息携带利用更新的CMAC KEYS计算的测距请求消息的消息完整性验证码CMAC。
步骤S208:目标基站收到测距请求消息后,向服务基站请求终端的相关上下文。该上下文至少包括以下内容之一:终端标识AMSID,随机数NONCE_ABS、随机数NONCE_ABS。
步骤S210:目标基站根据更新的ABSID,计算更新的AMSID*。
步骤S212:目标基站根据更新的AMSID*,和/或更新的递增的CMAC_KEY_COUNT值,推导更新的授权密钥AK、CMACKEYS,和/或TEK等空口派生密钥。
步骤S214:目标基站利用更新的CMAC KEYS,验证测距请求消息中携带的CMAC。
步骤S216:如果CMAC验证成功,目标基站向终端发送测距响应消息。该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,或者用更新的TEK进行加密同时进行机密性和完整性保护。
实施例4:
图3是根据本发明实施例4的交互流程图,如图3所示,说明了终端在位置更新或者退出空闲(Idle)模式时进行密钥更新的流程,包括如下的步骤S302至步骤S318:
步骤S302:位置更新或者退出Idle模式触发条件满足时,终端根据所选基站的ABSID,计算更新的AMSID*。
步骤S304:终端根据更新的AMSID*,和/或更新的递增的CMAC_KEY_COUNT值,推导更新的授权密钥AK、CMAC KEYS和/或TEK等空口派生密钥。
步骤S306:终端向所选基站发送测距请求消息,该消息携带利用更新的CMAC KEYS计算的测距请求消息的消息完整性验证码CMAC。
步骤S308:基站接收到测距请求消息后,向寻呼控制器(PagingControl,简称为PC)请求终端的相关上下文,寻呼控制器返回该终端相关的上下文信息。该上下文至少包括以下内容之一:随机数NONCE_ABS,随机数NONCE_AMS,成对主密钥PMK。
步骤S310:基站根据更新的ABSID,计算更新的AMSID*。
步骤S312:基站根据更新的AMSID*,和/或更新的递增的CMAC_KEY_COUNT值,推导更新的授权密钥AK、CMAC KEYS,和/或TEK等空口派生密钥。
步骤S314:基站利用更新的CMAC KEYS,验证测距请求消息中携带的CMAC。
步骤S316:如果CMAC验证成功,基站向终端发送测距响应消息。该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,或者用更新的TEK进行加密同时进行机密性和完整性保护。
步骤S318:在终端退出Idle模式场景下,终端和目标基站继续进行重入网过程。
在该流程的步骤S308到步骤S312中,更新的AMSID*和/或授权密钥AK和/或CMAC KEYS也可以在寻呼控制器或服务的接入服务网关处生成,然后再由寻呼控制器或服务的接入服务网关将CMAC KEYS发送给基站,由基站计算CMAC KEYS或者直接进行CMAC验证。
在本发明中,基站为逻辑网元,可以与WiMAX论坛网络工作组(NWG)中定义的接入服务网络(Access Service Network,简称为ASN)相对应。
装置实施例
实施例一
根据本发明的实施例,提供了一种终端。图4是根据本发明实施例的终端的结构框图,如图4所示,该终端包括:更新模块42和第一计算模块44,下面对上述结构进行描述。
更新模块42,用于在进行切换或者位置更新或者退出空闲模式时,更新终端标识的哈希计算值AMSID*;第一计算模块44,连接至更新模块42,用于使用更新模块42更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS、和/或业务流加密密钥TEK。
需要说明的是,对于终端来说,第一计算模块44可以计算一个或多个目标基站的AMSID*,并用更新的AMSID*计算更新的授权密钥AK,和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK。
图5是根据本发明实施例的终端的优选结构框图,如图5所示,优选地,该终端包括:第二计算模块52和发送模块54,下面对上述结构进行描述。
第二计算模块52,连接至第一计算模块44,用于根据第一计算模块44计算得到的CMAC KEYS计算得到消息完整性校验值CMAC;发送模块54,连接至第二计算模块52,用于向目标基站发送测距请求消息,并在其中携带第二计算模块52计算得到的CMAC。
实施例二
根据本发明的实施例,提供了一种基站。图6是根据本发明实施例的基站的结构框图,如图6所示,该种基站包括:接收模块62,获取模块64,验证模块66,下面对上述结构进行描述。
接收模块62,用于接收来自终端的测距请求消息,其中,测距请求消息中携带有CMAC,CMAC为终端根据更新后的CMACKEYS计算得到的CMAC;获取模块64,连接至接收模块62,用于从接收模块62接收的测距请求消息中获取CMAC:验证模块66,连接至获取模块64,用于用更新的CMAC KEYS验证获取模块64获取的CMAC。
其中,基站计算AMSID*,并用更新的AMSID*计算更新的授权密钥AK,和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK。
具体地,基站可以根据基站标识和/或随机数NONCE_ABS来更新AMSID*,随机数NONCE_ABS可以在切换准备阶段,由目标基站进行更新,并通过切换响应消息发送给服务基站,服务基站通过切换命令消息发送给终端。或者随机数NONCE_ABS可以在切换准备阶段,由服务基站在切换请求消息中发送给目标基站。
终端和目标基站在切换准备阶段,协商切换类型,包括:Mzone(遵从802.16m定义)到Lzone(遵从802.16e定义)的切换,Lzone到Mzone的切换,Mzone到Mzone的切换,Lzone到Lzone的切换等类型。
在切换时,目标基站向服务基站请求该终端的信息,包括:终端标识AMSID、和/或基站随机数NONCE_ABS、和/或终端随机数NONCE_AMS;服务基站将该终端的信息发送给目标基站、目标基站根据终端标识AMSID和随机数NONCE_ABS计算更新的AMSID*。
综上所述,通过本发明的上述实施例,终端在切换或者位置更新或者退出空闲模式时,更新AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK,解决了相关技术中对空口密钥更新未给出明确定义的问题,进而实现了空口密钥的更新。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上仅为本发明的优选实施例而已。本发明方案并不限于IEEE802.16系统,可以将它的相关模式应用于其它无线通信系统中。对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种空口密钥的更新方法,其特征在于,包括:
在终端进行切换或者位置更新或者退出空闲模式时,所述终端更新终端标识的哈希计算值AMSID*,并用更新的所述AMSID*计算授权密钥AK和消息完整性保护密钥CMACKEYS、和/或业务流加密密钥TEK。
2.根据权利要求1所述的方法,其特征在于,在所述终端用更新的所述AMSID*计算所述授权密钥AK和所述消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK之后,所述方法还包括:
所述终端根据所述CMAC KEYS计算得到测距请求消息的消息完整性校验值CMAC;
所述终端向目标基站发送所述测距请求消息,并在其中携带计算得到的所述CMAC。
3.根据权利要求2所述的方法,其特征在于,在所述终端向所述目标基站发送所述测距请求消息之后,所述方法还包括:
所述目标基站接收来自所述终端的所述测距请求消息,并从其中获取所述CMAC;
所述目标基站用更新的CMAC KEYS验证所述CMAC。
4.根据权利要求3所述的方法,其特征在于,在所述目标基站用更新的CMAC KEYS验证所述CMAC之前,所述方法还包括:
在所述目标基站接收到来自服务基站的关于所述终端的切换请求消息或者切换指示消息,或者所述目标基站接收到来自所述终端的测距请求消息之后,所述目标基站更新AMSID*,并用更新的AMSID*计算授权密钥AK和消息完整性保护密钥CMAC KEYS,和/或业务流加密密钥TEK。
5.根据权利要求4所述的方法,其特征在于,所述目标基站更新所述AMSID*包括:
所述目标基站根据基站标识和/或基站随机数NONCE_ABS和/或终端随机数NONCE_AMS来更新所述AMSID*。
6.根据权利要求5所述的方法,其特征在于,
在切换准备阶段,所述目标基站接收来自服务基站的切换请求消息,其中,所述切换请求消息携带有所述随机数。
7.根据权利要求5所述的方法,其特征在于,
在所述终端进行切换时,所述目标基站向服务基站请求所述终端的信息,其中,所述信息包括:终端标识AMSID,和/或基站随机数NONCE_ABS,和/或终端随机数NONCE_AMS;
所述目标基站接收来自所述服务基站的所述信息,并根据所述信息更新所述AMSID*。
8.根据权利要求1所述的方法,其特征在于,所述终端更新所述终端标识AMSID*值包括:
所述终端更新一个或多个目标基站的AMSID*。
9.根据权利要求1至8中任一项所述的方法,其特征在于,在所述终端进行切换前的切换准备阶段,所述方法还包括:
所述终端和所述目标基站协商切换类型,其中,所述切换类型包括:Mzone到Lzone的切换、Lzone到Mzone的切换、Mzone到Mzone的切换、Lzone到Lzone的切换。
根据权利要求1至8中任一项所述的方法,其特征在于,所述终端更新所述终端标识AMSID*值包括:
所述终端根据基站标识、和/或基站随机数NONCE_ABS、和/或终端随机数NONCE_AMS来更新所述AMSID*。
根据权利要求10所述的方法,其特征在于,
在切换准备阶段,所述目标基站更新所述随机数NONCE_ABS,并通过切换响应消息发送给服务基站,以便所述服务基站通过切换命令消息发送给所述终端;
或者,在切换准备阶段,所述终端更新所述随机数NONCE_AMS,并通过切换请求消息或切换指示消息发送给服务基站,并由所述服务基站转发给所述目标基站。
一种终端,其特征在于,包括:
更新模块,用于在进行切换或者位置更新或者退出空闲模式时,更新终端标识的哈希计算值AMSID*;
第一计算模块,用于使用所述更新模块更新的所述AMSID*计算授权密钥AK和消息完整性保护密钥CMACKEYS、和/或业务流加密密钥TEK。
根据权利要求12所述的终端,其特征在于,还包括:
第二计算模块,用于根据所述CMAC KEYS计算得到消息完整性校验值CMAC;
发送模块,用于向目标基站发送测距请求消息,并在其中携带所述第二计算模块计算得到的所述CMAC。
一种基站,其特征在于,包括:
接收模块,用于接收来自终端的所述测距请求消息,其中,所述测距请求消息中携带有CMAC,所述CMAC为所述终端
根据更新后的CMAC KEYS计算得到的CMAC;
获取模块,用于从所述接收模块接收的所述测距请求消息中获取所述CMAC;
验证模块,用于用更新的CMAC KEYS验证所述获取模块获取的所述CMAC。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910166136A CN101631306A (zh) | 2009-08-17 | 2009-08-17 | 空口密钥的更新方法、终端以及基站 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910166136A CN101631306A (zh) | 2009-08-17 | 2009-08-17 | 空口密钥的更新方法、终端以及基站 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101631306A true CN101631306A (zh) | 2010-01-20 |
Family
ID=41576203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910166136A Pending CN101631306A (zh) | 2009-08-17 | 2009-08-17 | 空口密钥的更新方法、终端以及基站 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101631306A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102065424A (zh) * | 2011-01-11 | 2011-05-18 | 大唐移动通信设备有限公司 | 一种安全隔离的方法和设备 |
CN102196532A (zh) * | 2010-03-05 | 2011-09-21 | 中兴通讯股份有限公司 | 一种网络接入方法及系统 |
CN102196427A (zh) * | 2010-03-05 | 2011-09-21 | 中兴通讯股份有限公司 | 空口密钥更新的方法及系统 |
WO2011131050A1 (zh) * | 2010-04-22 | 2011-10-27 | 中兴通讯股份有限公司 | 闲置模式下空口密钥的更新方法和系统 |
WO2011137823A1 (zh) * | 2010-08-02 | 2011-11-10 | 华为技术有限公司 | 密钥隔离方法和装置 |
CN102972054A (zh) * | 2010-03-05 | 2013-03-13 | 英特尔公司 | 无线通信装置处的本地安全密钥更新 |
WO2014019456A1 (zh) * | 2012-07-30 | 2014-02-06 | 中国移动通信集团公司 | 一种数据传输方法、装置、系统和相关设备 |
CN104168110A (zh) * | 2014-08-28 | 2014-11-26 | 北京海泰方圆科技有限公司 | 一种对称密钥在线更新的方法 |
WO2023134473A1 (zh) * | 2022-01-15 | 2023-07-20 | 华为技术有限公司 | Uwb中的测距信号传输方法、装置及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006132512A1 (en) * | 2005-06-10 | 2006-12-14 | Samsung Electronics Co., Ltd. | Method for managing group traffic encryption key in wireless portable internet system |
CN1937836A (zh) * | 2005-09-19 | 2007-03-28 | 华为技术有限公司 | 移动终端切换后更新安全联盟信息的方法 |
CN101400057A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 密钥更新方法、基站和移动台 |
-
2009
- 2009-08-17 CN CN200910166136A patent/CN101631306A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006132512A1 (en) * | 2005-06-10 | 2006-12-14 | Samsung Electronics Co., Ltd. | Method for managing group traffic encryption key in wireless portable internet system |
CN1937836A (zh) * | 2005-09-19 | 2007-03-28 | 华为技术有限公司 | 移动终端切换后更新安全联盟信息的方法 |
CN101400057A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 密钥更新方法、基站和移动台 |
Non-Patent Citations (3)
Title |
---|
CHENGYAN FENG,: "Proposed AWD Text for AMS Privacy in IEEE 802.16m", 《IEEE C80216M-09_1262R1》 * |
JAEHYUK JANG,ET.AL.,: "Handover Scheme for IEEE 802.16m", 《IEEE C802.16M-08/774》 * |
YOUNGKYO BAEK,ET.AL.,: "Proposed Text of Security Section for the IEEE 802.16m Amendment", 《IEEE C802.16M-09/1020》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102972054A (zh) * | 2010-03-05 | 2013-03-13 | 英特尔公司 | 无线通信装置处的本地安全密钥更新 |
CN102196532A (zh) * | 2010-03-05 | 2011-09-21 | 中兴通讯股份有限公司 | 一种网络接入方法及系统 |
CN102196427A (zh) * | 2010-03-05 | 2011-09-21 | 中兴通讯股份有限公司 | 空口密钥更新的方法及系统 |
CN102972054B (zh) * | 2010-03-05 | 2016-06-01 | 英特尔公司 | 无线通信装置处的本地安全密钥更新 |
WO2011131050A1 (zh) * | 2010-04-22 | 2011-10-27 | 中兴通讯股份有限公司 | 闲置模式下空口密钥的更新方法和系统 |
CN102238538A (zh) * | 2010-04-22 | 2011-11-09 | 中兴通讯股份有限公司 | 闲置模式下空口密钥的更新方法和系统 |
CN102348206A (zh) * | 2010-08-02 | 2012-02-08 | 华为技术有限公司 | 密钥隔离方法和装置 |
US8934914B2 (en) | 2010-08-02 | 2015-01-13 | Huawei Technologies Co., Ltd. | Key separation method and device |
WO2011137823A1 (zh) * | 2010-08-02 | 2011-11-10 | 华为技术有限公司 | 密钥隔离方法和装置 |
CN102065424A (zh) * | 2011-01-11 | 2011-05-18 | 大唐移动通信设备有限公司 | 一种安全隔离的方法和设备 |
WO2014019456A1 (zh) * | 2012-07-30 | 2014-02-06 | 中国移动通信集团公司 | 一种数据传输方法、装置、系统和相关设备 |
CN104168110A (zh) * | 2014-08-28 | 2014-11-26 | 北京海泰方圆科技有限公司 | 一种对称密钥在线更新的方法 |
CN104168110B (zh) * | 2014-08-28 | 2018-08-14 | 北京海泰方圆科技股份有限公司 | 一种对称密钥在线更新的方法 |
WO2023134473A1 (zh) * | 2022-01-15 | 2023-07-20 | 华为技术有限公司 | Uwb中的测距信号传输方法、装置及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1414262B1 (en) | Authentication method for fast handover in a wireless local area network | |
CN101631306A (zh) | 空口密钥的更新方法、终端以及基站 | |
CN102440019B (zh) | 在无线通信网络中生成传输加密密钥 | |
EP1972125B1 (en) | Apparatus and method for protection of management frames | |
CN101385273B (zh) | 密码同步的方法 | |
CN100488281C (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
CN102106111A (zh) | 导出和更新业务加密密钥的方法 | |
US20090307483A1 (en) | Method and system for providing a mesh key | |
CN102480727A (zh) | 机器与机器通信中的组认证方法及系统 | |
CN101771992A (zh) | 国际移动用户标识符imsi机密性保护的方法、设备及系统 | |
US11381973B2 (en) | Data transmission method, related device, and related system | |
CN110784865A (zh) | 物联网设备的配网方法、终端、物联网设备及配网系统 | |
CN100563186C (zh) | 一种在无线接入网中建立安全通道的方法 | |
CN102217239B (zh) | 一种组临时密钥更新方法、装置和系统 | |
KR20080050971A (ko) | 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법 | |
CN101998393A (zh) | 无线通信系统中减少数据完整性校验的开销的方法和装置 | |
CN101610511A (zh) | 终端私密性的保护方法及装置 | |
CN101742492B (zh) | 密钥处理方法及系统 | |
CN104507065B (zh) | 异构无线网络中不可否认性计费方法 | |
CN101631307B (zh) | 一种无线通信系统中空口密钥更新方法及系统 | |
CN101588576B (zh) | 一种无线通信系统中保护终端私密性的方法及系统 | |
KR100646387B1 (ko) | 휴대인터넷 환경에서 라디오 액세스 스테이션과 액세스콘트롤 라우터 간 인증 방법 및 시스템 | |
CN101668289B (zh) | 无线通信系统中空口密钥更新的方法及系统 | |
CN1997212A (zh) | 无线通信网络中实现位置更新的方法 | |
Lin et al. | Performance Evaluation of the Fast Authentication Schemes in GSM-WLAN Heterogeneous Networks. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100120 |