CN101895882A - 一种WiMAX系统中的数据传输方法、系统及装置 - Google Patents
一种WiMAX系统中的数据传输方法、系统及装置 Download PDFInfo
- Publication number
- CN101895882A CN101895882A CN2009102034482A CN200910203448A CN101895882A CN 101895882 A CN101895882 A CN 101895882A CN 2009102034482 A CN2009102034482 A CN 2009102034482A CN 200910203448 A CN200910203448 A CN 200910203448A CN 101895882 A CN101895882 A CN 101895882A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- information
- encryption key
- gateway
- safety level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种WiMAX系统中的数据传输方法、系统及装置,用以解决现有技术中加密方式不智能,导致对传输的数据保护不充足,及造成的资源浪费问题。该方法基站接收到用户终端请求加密密钥的信息,根据网关发送的认证密钥长度信息计算TEK,该认证密钥长度信息由网关与用户终端协商确定的安全等级信息,及核心网下发的MSK确定,基站将该TEK发送到用户终端,指示用户终端采用该TEK对数据加密后进行发送。如本发明提出的方案,通过用户终端与网关协商确定了不同的目标安全等级,从而确定了不同长度的加密密钥,因此对不同的用户终端进行了区分,有效地利用了资源,并且对传输的数据起到了较好的保护作用。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种微波存取全球互通(Worldwide Interoperability for Microwave Access,WiMAX)系统中的数据传输方法、系统及装置。
背景技术
WiMAX系统中为了实现对媒体数据的安全传输,可以采用两个层次的安全方式实现,该两个层次的安全方式包括:鉴权方式和加密方式。其中,鉴权方式可以使WiMAX系统中的用户终端和网元进行相互的身份认证,保证双方都为合法实体,加密方式可以使用户终端与基站之间传输的媒体数据得到保护,不被窃听。而传输的媒体数据得到保护的程度取决于加密程度,加密程度与加密采用的密钥的长度,以及采用的加密方式有关,鉴权的过程可以确定加密采用的密钥的长度和采用的加密方式。
目前,WiMAX系统对于所有用户终端,都采用是相同的认证过程进行鉴权认证,并且,当用户终端接入网络后,采用相同的保护程度对每个用户终端传输的数据进行加密,即采用相同长度的密钥对用户终端传输的媒体数据进行加密,对于AES算法支持的加密密钥的长度分别为128bit、192bit以及256bit。但是,由于不同的用户其实际要求的安全性并不相同,如果采用相同长度的密钥对用户终端传输的媒体数据进行加密,例如都采用256bit,无形中造成了对资源的浪费,或者,当用户终端传输的媒体数据保密性较高,而采用长度为128bit的加密密钥加密时,不能对用户终端传输的媒体数据起到较好的保护作用。
发明内容
有鉴于此,本发明实施例提供一种WiMAX系统中的数据传输方法、系统及装置,用以解决现有技术中加密方式不智能,导致对传输的数据保护不充足,以及造成的资源浪费的问题。
本发明实施例提供的一种WiMAX系统中的数据传输方法,包括:
基站接收用户终端发送的加密密钥请求信息;
所述基站根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定;
所述基站将所述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行发送。
本发明实施例提供的一种WiMAX系统中的数据传输系统,包括:
用户终端,用于向基站发送发送的加密密钥请求信息,根据所述基站发送的加密密钥对数据加密后进行发送;
基站,用于接收所述加密密钥请求信息,根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定,将所述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行发送。
本发明实施例提供的一种基站,包括:
接收模块,用于接收用户终端发送的加密密钥请求信息;
计算模块,用于根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定;
发送控制模块,用于发送加密密钥,并指示所述用户终端采用所述加密密钥对数据加密后进行发送。
本发明实施例提供的一种用户终端,包括:
发送模块,用于向基站发送加密密钥请求信息;
接收模块,用于接收包含所述加密密钥的数据,并采用所述加密密钥对数据加密后进行发送,其中,所述加密密钥根据认证密钥长度信息计算,所述认证密钥长度信息由网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定。
本发明实施例提供的一种网关,包括:
接收模块,用于接收用户终端发送的包含安全等级信息的基本能力信令;
协商模块,用于根据所述安全等级信息与所述用户终端协商,确定目标安全等级信息;
计算模块,用于根据所述目标安全等级信息,计算认证密钥的长度;
发送模块,用于将所述认证密钥长度信息发送到基站。
本发明实施例提供了一种WiMAX系统中的数据传输方法、系统及装置,该方法包括:基站接收到用户终端请求加密密钥的信息,根据网关发送的认证密钥长度信息计算加密密钥,其中,该认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定,基站将该加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行发送,由于本发明实施例中,通过用户终端与网关协商确定了不同的目标安全等级,从而确定了不同长度的加密密钥,因此对不同的用户终端可以提供不同安全等级的数据服务,对用户进行了区分,有效地利用了现有的加密资源,并且对传输的数据起到了较好的保护作用。
附图说明
图1为本发明实施例提供的进行数据传输的方法流程示意图;
图2为本发明实施例提供的确定用于确定加密密钥的目标安全等级信息的过程示意图;
图3为本发明实施例提供的协商过程的具体实施方式示意图;
图4为本发明实施例提供的确定对传输数据加密的加密密钥,并采用该加密密钥对媒体数据加密传输的具体实施过程示意图;
图5为本发明实施例提供的数据传输的具体过程示意图;
图6为本发明实施例提供的一种WiMAX系统中的数据传输的系统结构示意图;
图7为本发明实施例提供的一种基站结构示意图;
图8为本发明实施例提供的一种用户终端结构示意图;
图9为本发明实施例提供的一种网关结构示意图。
具体实施方式
本发明实施例为了较好的对传输的数据进行保护,提供了一种WiMAX系统中的数据传输方法,该方法包括:基站接收用户终端发送的加密密钥请求信息;所述基站根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定;所述基站将所述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行发送。在本发明实施例中通过用户终端及网关之间的协商确定目标加密等级,根据该目标加密等级对用户终端和基站之间传输的数据加密,使不同的用户终端采用不同的安全等级确定的加密密钥加密,使传输的数据得到的保护,并且有效的利用了资源。
下面结合说明书附图,对本发明实施例进行详细说明。
图1为本发明实施例提供的进行数据传输的方法,该方法具体包括以下步骤:
S101:用户终端向基站发送加密密钥的请求信息。
S102:基站接收到该加密密钥的请求信息后,根据网关发送的认证密钥(Authentication Key,AK)的长度,计算加密密钥(Traffic Encryption Key,TEK)。
其中,该网关发送的AK的长度,根据核心网下发的主会话密钥(MSK)以及该网关与该用户终端协商确定的目标安全等级确定。
S103:基站将该TEK发送到用户终端。
S104:用户终端接收到该TEK,当完成网络接入后,采用该TEK将其与基站进行传输的媒体数据加密并传输。
在本发明实施例中,用户终端需要与网关协商确定目标安全等级,图2为具体协商确定目标安全等级的过程,该过程包括以下步骤:
S201:用户终端向基站发起包含网络接入请求的基本能力信令,并且,该基本能力信令中还包含第一安全等级信息,该第一安全等级信息中包含安全等级,例如可以为N1、N2、N3等。其中,该第一安全等级用于确定基站与该用户终端进行数据传输的加密密钥。
在本发明实施例中,在基本能力信令中携带用于确定加密密钥的安全等级信息,不需要增加新的空口信令。用户终端向基站发送的基本能力信令中包含的第一安全等级信息,可以是该用户终端根据本身对安全性的要求,确定的安全等级,例如,当该用户终端所要求的安全性比较高,即保密等级比较高时,则该用户终端发送的基本能力信令中包含的安全等级信息为确定保密等级比较高的加密密钥对应的等级。例如当该安全等级越高时,则由其确定的加密密钥的保密等级越高,则该用户终端的基本能力信令中包含的安全等级比较高。或者,当该安全等级越低时,则由其确定的加密密钥的保密等级越高,则该用户终端的基本能力信令中包含的安全等级比较低。具体实施过程中可以根据加密密钥、安全等级,以及用户终端所需的保密程度进行具体的确定。
S202:基站接收该包含网络接入请求的基本能力信令,将该基本能力信令转换为网关可以识别的格式并发送给网关。
具体包括:当基站接收到该基本能力信令后,暂存该用户终端的第一安全等级信息,以及该用户终端的标识信息,例如为该用户终端媒体访问控制子层协议(Media Access Control,MAC)地址等,并将该基本能力信令发送到网关。
S203:网关接收到该包含第一安全等级信息的基本能力信令,提取该基本能力信令中包含的第一安全等级信息,网关判断该第一安全等级信息中包含的第一安全等级是否合法,即判断该第一安全等级是否在整个系统支持的安全等级内,判断的过程包括:将该第一安全等级与自身保存的该整个系统支持的安全等级进行匹配,当判断结果为是时,进行S204,否则,进行S207。
S204:网关判断该第一安全等级是否为该网关可以支持的安全等级,即虽然整个系统有其可以支持的安全等级,但对于每个网关也有其本身可以支持的安全等级,网关支持的安全等级可以与系统可以支持的安全等级相同,也可以是系统可以支持的安全等级的一部分,判断的过程包括:将该第一安全等级与自身保存的其可以支持的安全等级进行匹配,当判断结果为是时,进行S205,否则,进行S206。
S205:网关将该第一安全等级信息中的第一安全等级,作为与用户终端协商确定的目标安全等级,网关向基站发送包含该目标安全等级信息的基本能力信令,由基站将该基本能力信令返回用户终端。
基站在将该基本能力信令返回用户终端之前还包括:基站接收到包含目标完全等级信息的基本能力信令时,提取并保存该用户终端的目标安全等级信息,及该用户终端的标识信息,例如该标识信息可以为该用户终端的MAC地址信息等。
S206:网关根据其兼容的安全等级,重新确定第二安全等级,例如该第二安全等级可以是,第一安全等级与该网关可以支持的最大安全等级中的较小者,将包含第二安全等级信息的基本能力信令通过基站返回用户终端,用户终端接收到该包含该第二安全等级信息的基本能力信令后,向基站发送包含网络接入请求的基本能力信令,并且该基本能力信令中包含第二安全等级信息,进行S202。
S207:网关通过基站向用户终端发送基本能力信令,其中该基本能力信令中包含拒绝该用户终端接入网络的信息。
在本发明实施例中为了更好的标识用户终端与网络侧设备对目标安全等级的协商结果,可以在该用户终端发送的基本能力信令中增加一个协商完毕标识,根据是否对该目标安全等级协商完毕,对该协商完毕标识赋予不同的参数值。当该网络侧设备与用户终端协商确定目标安全等级时,如果协商确定的安全等级为目标安全等级,则可以将该协商完毕标识赋值,例如赋值为TRUE,否则,将该协商完毕标识赋另一值,例如为FALSE。
下面通过一个具体的实施例详细说明,图3为该协商过程的具体实施方式,包括以下步骤:
S301:网关接收到包含第一安全等级信息的基本能力信令,提取该基本能力信令中包含的第一安全等级信息,网关判断该第一安全等级信息中的第一安全等级是否为该网关可以支持的安全等级,即虽然整个系统有其可以支持的安全等级,但对于每个网关也有其本身可以支持的安全等级,网关支持的安全等级可以与系统可以支持的安全等级相同,也可以是系统可以支持的安全等级的一部分,当判断结果为是时,进行S302,否则,进行S303。
在本发明实施例中为了减少协商安全等级的步骤,提高数据传输的效率,可以只进行一步的判断,即认为所有用户终端携带的安全等级都是合法的。
S302:网关将该第一安全等级作为与用户终端协商确定的目标安全等级,将协商完毕标识置为TRUE,网关将回复用户终端的基本能力信令发送到基站,其中该基本能力信令中包含目标安全等级信息,及协商完毕标识信息。基站将该基本能力信令发送到终端。
基站在向用户终端发送该基本能力信令前还包括:基站接收到该基本能力信令时,根据该协商完毕标识,确定用户终端与基站之间的目标安全等级协商完毕,保存该用户终端的目标安全等级信息,及该用户的标识信息,例如该标识信息可以为该用户终端的MAC地址等。
S303:网关根据其兼容的安全等级,重新确定第二安全等级,将包含该第二安全等级的信息,及协商完毕标识为FALSE的基本能力回复信令通过基站返回用户终端,然后用户终端接收到该基本能力回复信令后,根据该协商完毕标识为FALSE的信息,向基站发送包含第二安全等级信息的基本能力信令,其中,该基本能力信令中还包含协商完毕标识信息,基站接收到该包含第二安全等级信息的基本能力信令,确定该用户终端与基站之间目标安全等级的协商未完毕,将该包含第二安全等级信息的基本能力信令发送到网关,进行S301。
在本发明实施例中,终端与网络侧设备进行通信的基本能力信令,可以是R6信令。
在本发明实施例中,该基本能力信令中还可以包含认证方法信息,其中该认证方法信息为WiMAX协议中网关和用户终端协商好的鉴权方法,规定了在后续鉴权过程中用户采用哪种鉴权方法进行认证。
图4为本发明实施例中网络侧设备和该用户终端根据该目标安全等级信息,及主会话密钥,确定对传输数据加密的加密密钥,并采用该加密密钥对媒体数据加密传输的具体实施过程,该过程包括以下步骤:
S401:网关下发认证信令,进行认证,当认证成功时,核心网下发MSK给网关和用户终端。
具体包括:网关下发认证信令EAP-Transfer进行鉴权过程;基站转发消息给用户,用户终端发送EAP-Transfer给基站,基站再转发给网关;验证、授权和记账(Authentication、Authorization、Accounting,AAA)开始下发远端用拨入验证服务(Remote Authentication Dial In User Service,Radius)消息给网关,网关将其转化为可扩展鉴权协议(Extensible Authentication Protocol,EAP)消息并发给基站,基站再次转发给用户终端;如上过程反复执行,进行的是用户终端和AAA之间的鉴权过程,基站和网关负责转发消息。AAA下发多条Radius消息。AGW下发多条EAP消息完成鉴权过程。AAA在一条Radisu消息中携带MSK给网关和用户终端。
S402:网关和用户终端根据核心网下发的MSK,以及协商确定的目标安全等级,计算AK的长度。
具体包括:首先,网关和用户终端根据核心网下发的MSK,该用户终端的标识信息,例如为用户终端的MAC地址信息,以及该基站的表示信息,例如为基站的ID,计算初始认证密钥AK0。其中,该计算该初始认证密钥AK0的方法为现有技术,在这里就不一一赘述。
然后,根据该计算的初始密钥AK0,以及协商确定的目标安全等级,确定AK的长度。
S403:网关根据计算的AK长度信息,将具有该长度的AK的信息通知终端。
S404:用户终端向基站发送加密密钥请求信息,基站根据接收到的具有该长度的AK的信息计算出该TEK,并将该TEK发送给用户终端。
其中具体包括:根据具有该长度的AK的信息计算出TEK,即在计算TEK的过程中,当基站获取的AK长度越长时,计算出的TEK长度越长,当基站获取的AK长度越短时,计算出的TEK长度越短。
由于该TEK的计算可以通过为随机函数实现,通过AK的长度可以确定一定长度的TEK。例如可以在确定该TEK时,该AK的长度即为TEK的长度,或者,该AK的长度与TEK长度具有倍数关系等。
S405:用户终端根据获得该TEK对传输的媒体数据进行加密,并向基站传输。
在本发明实施例中,当基站计算确定了TEK后,在向终端发送该TEK的信息时,需要根据AK的长度,计算出对TEK加密的密钥加密密钥(KEK),采用该KEK对该TEK信息加密后发送到用户终端,用户终端接收到加密后的TEK信息后,根据计算的AK的长度,计算KEK,根据计算的KEK对加密后的TEK信息进行解密,获取TEK信息,采用该TEK对与基站进行数据的数据加密后并发送。
在本发明实施例中,根据计算的初始密钥AK0,以及协商确定的目标安全等级,确定AK长度的方法包括多种,主要针对安全等级设置的不同形式确定。并且AK的长度越长,确定的加密密钥的长度也会越长,采用该加密密钥对媒体数据加密的保密性也比较好。例如,该安全等级可以为不小于1的正整数,例如为1、2和3,可以根据安全等级对应的数值,及AK0,确定AK的长度,进而确定加密密钥。安全等级划分的越多,则根据该安全等级确定的加密密钥的精度越高,但同时也会使协商目标安全等级的工作量增加,因此,可以根据需要灵活的划分安全等级,使其满足不同的需求。
当安全等级的数值越大,由该安全等级确定的加密密钥长度越长,保密性越高时,具体包括,例如,当安全等级为1、2和3时,其中,安全等级的数值越大,则安全该安全等级确定的AK越长,因此由AK确定的加密密钥长度越长,保密性越高。
在根据目标安全等级确定AK的长度时具体可以包括:根据目标安全等级的数值,与安全等级的数值最大值的比值,以及AK0计算AK的长度。例如,目标安全等级的数值为2,安全等级的数值最大值为3,则两者的比值为2/3,则AK的长度为AK0的2/3。或者也可以是,计算目标安全等级的数值与所有安全等级对应的数值的和的比值,根据该比值以及AK0确定AK的长度。例如,当目标安全等级的数值为2,所有的安全等级对应的数值分别为1、2和3,因此比值为2/(1+2+3),可知确定AK的长度为AK0的2/6。当然还有其他的确定方法,在这里就不一一赘述。
当安全等级的数值越小,由该安全等级确定的AK越长,则由该AK确定的加密密钥长度越长,保密性越高时。具体包括:确定AK0与目标安全等级对应的数值的比值,将该比值对应的长度作为AK的长度,根据该长度的AK确定加密密钥。当然还有其他的确定方法,在这里就不一一赘述。
下面通过一个具体的实施例如图5所示,说明本发明实施例数据传输的过程,该过程具体包括以下步骤:
S501:用户终端向基站通过基本能力信令发送网络接入请求,其中,该基本能力信令中包含用于确定加密密钥的第一安全等级信息,以及协商完毕标识信息。
S502:基站接收该包含该第一安全等级信息的基本能力信令,提取其中的第一安全等级信息,并暂存该用户终端的第一安全等级信息以及该用户终端的MAC地址信息。并将该包含第一安全等级信息的基本能力信令发送到网关。
S503:网关接收该包含第一安全等级信息的基本能力信令,获取其中的第一安全等级信息,判断该第一安全等级信息中的第一安全等级是否与其可以支持的安全等级兼容,即判断本网关是否可以为该用户终端提供对应的安全等级的服务,当判断为是时,进行S504,否则,进行S506。
在本发明实施例中为了减少协商安全等级的步骤,提高数据传输的效率,可以只进行一步的判断,即认为所有用户终端携带的安全等级信息都是合法的。
S504:网关将该第一安全等级信息中的第一安全等级,作为协商确定的目标安全等级,通过基本能力信令向基站返回协商信息,其中该基本能力信令中携带协商确定的用于确定加密密钥的目标安全等级信息,并且在该基本能力信令中携带协商完毕标识,该协商完毕标识为TURE。
S505:基站接收到该基本能力信令的协商信息,根据其中的协商完毕标识信息,确定用户终端与网关安全等级协商完毕,保存该用户终端的目标安全等级信息以及MAC地址信息;并将该基本能力信令的协商信息返回用户终端。
S506:网关根据其可以支持的安全等级,重新确定第二安全等级,并将该第二安全等级信息携带于基本能力信令中返回基站,其中该基本能力信令中还携带协商完毕标识,该协商完毕标识为FALSE。
S507:基站接收到该包含第二安全等级信息的基本能力信令的协商信息,根据其中的协商完毕标识信息,及暂存的该用户终端的信息,确定用户终端与网关安全等级协商未完毕,将该包含第二安全等级信息的基本能力信令返回用户终端。
S508:用户终端接收该包含第二安全等级信息的基本能力信令,根据其中的协商完毕标识信息以及第二安全等级信息,确定向基站发送包含第二安全等级信息的基本能力信令的网络接入请求,其中,该基本能力信令中还包含协商完毕标识信息,其中该协商标识为FALSE,或没有赋值,进行S502。
S509:网关与用户终端目标安全等级协商完毕,网关下发认证信令,进行认证过程,当认证成功时,核心网下发MSK。
S510:网关和用户终端接收到该MSK,根据协商确定的目标安全等级,确定AK的长度。
S511:网关根据确定的该AK长度,将该具有该长度的AK的信息通知基站。
S512:该用户终端向基站发送加密密钥请求信息,基站接收到该加密密钥请求信息,基站根据保存的该用户终端对应的AK长度信息,根据具有该长度的AK的信息计算TEK。
S513:基站根据保存的该用户终端对应的AK长度信息,计算对该TEK加密的KEK,并采用该KEK对该TEK信息加密后发送到用户终端。
S514:用户终端接收到该加密后的TEK信息,根据计算的AK的长度计算KEK,采用该KEK对该加密后的TEK信息进行解密,获取其中的TEK信息,并根据该TEK信息对该其与基站进行传输的媒体数据加密,并将加密后的媒体数据传输到基站。
如图6所示,本发明实施例提供了一种WiMAX系统中的数据传输系统,所述系统包括:
用户终端,用于向基站发送发送的加密密钥请求信息,根据所述基站发送的加密密钥对数据加密后进行发送;
基站,用于接收所述加密密钥请求信息,根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定,将所述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行发送。
该系统还包括:
网关,用于与终端协商确定目标安全等级信息,并根据该目标安全等级信息计算认证密钥的长度,将所述认证密钥长度信息发送到所述基站。
如图7所示,本发明实施例提供了一种基站,该基站包括:
接收模块70,用于接收用户终端发送的加密密钥请求信息;
计算模块71,用于根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定;
发送控制模块72,用于发送加密密钥,并指示所述用户终端采用所述加密密钥对数据加密后进行发送。
所述发送控制模块72包括:
计算单元720,用于根据所述认证密钥长度信息,获得对加密密钥信息加密的KEK;
加密单元721,用于采用所述KEK,将所述加密密钥信息加密;
发送单元722,用于发送加密后的所述加密密钥信息;
控制单元723,用于指示所述用户终端采用该加密密钥对数据加密后的数据进行发送。
如图8所示,本发明实施例提供了一种用户终端,该用户终端包括:
发送模块80,用于向基站发送加密密钥请求信息;
接收模块81,用于接收包含所述加密密钥的数据,并采用所述加密密钥对数据加密后进行发送,其中,所述加密密钥根据认证密钥长度信息计算,所述认证密钥长度信息由网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定。
所述接收模块81包括:
接收单元810,用于接收加密后的加密密钥信息;
计算单元811,用于根据与所述网关协商确定的目标安全等级信息,计算认证密钥的长度,根据所述认证密钥的长度,计算为所述加密密钥信息加密的KEK;
解密单元812,用于根据所述KEK解密所述加密后的加密密钥信息,获取加密密钥;
传输单元813,用于采用所述加密密钥对数据加密后进行发送。
所述发送模块80还用于,发送包含安全等级信息的基本能力信令。
所述接收模块81还用于,接收包含安全等级信息的基本能力信令。
如图9所示,本发明实施例提供了一种网关,该网关包括:
接收模块90,用于接收用户终端发送的包含安全等级信息的基本能力信令;
协商模块91,用于根据所述安全等级信息与所述用户终端协商,确定目标安全等级信息;
计算模块92,用于根据所述目标安全等级信息,计算认证密钥的长度;
发送模块93,用于将所述认证密钥长度信息发送到基站。
所述协商模块91包括:
判断单元910,用于判断所述第一安全等级信息中的第一安全等级,与所述网关支持的安全等级是否兼容;
第一协商单元911,用于确定所述第一安全等级,与所述网关支持的安全等级兼容时,将所述第一安全等级信息作为目标安全等级信息;
第二协商单元912,用于确定所述第一安全等级,与所述网关支持的安全等级不兼容时,确定第二安全等级信息,并向所述用户终端返回包含所述第二安全等级信息的基本能力信令,指示所述用户终端重新向所述网关发送包含所述第二安全等级信息的基本能力信令。
所述判断单元910还用于,判断第一安全等级信息中包含的第一安全等级是否合法;
所述第一协商单元911还用于,确定所述第一安全等级合法时,将所述第一安全等级信息发送到判断单元进行兼容性的判断;
所述第二协商单元912还用于,确定所述第一安全等级不合法时,向所述用户终端返回重新接入信息。
本发明实施例提供了一种WiMAX系统中的数据传输方法、系统及装置,该方法包括:基站接收到用户终端请求加密密钥的信息,根据网关发送的认证密钥长度信息计算加密密钥,其中,该认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定,基站将该加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥与基站进行数据的传输,由于本发明实施例中,通过用户终端与网关协商确定了不同的目标安全等级,从而确定了不同长度的加密密钥,因此对不同的用户终端可以提供不同安全等级的数据服务,对用户进行了区分,有效地利用了现有的加密资源,并且对传输的数据起到了较好的保护作用。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (17)
1.一种WiMAX系统中的数据传输方法,其特征在于,包括:
基站接收用户终端发送的加密密钥请求信息;
所述基站根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定;
所述基站将所述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行发送。
2.如权利要求1所述的方法,其特征在于,所述网关与所述用户终端协商确定安全等级信息包括:
所述网关接收用户终端发送的包含第一安全等级信息的基本能力信令,其中,所述第一安全等级信息中包含确定加密密钥的第一安全等级;
所述网关根据所述包含第一安全等级信息的基本能力信令与所述用户终端协商,确定目标安全等级信息,其中,所述目标安全等级信息中包含确定加密密钥的目标安全等级;
所述网关向所述用户终端返回包含目标安全等级信息的基本能力信令。
3.如权利要求2所述的方法,其特征在于,所述网关根据所述包含第一安全等级信息的基本能力信令与所述用户终端协商,确定目标安全等级信息包括:
所述网关判断所述第一安全等级与所述网关支持的安全等级是否兼容;
当所述网关判断所述第一安全等级与所述网关支持的安全等级兼容时,将所述第一安全等级信息作为目标安全等级信息;
否则,所述网关确定第二安全等级信息,根据所述第二安全等级信息与所述用户终端协商确定目标安全等级信息。
4.如权利要求3所述的方法,其特征在于,所述网关判断所述第一安全等级与所述网关支持的安全等级是否兼容之前所述方法进一步包括:
所述网关判断所述第一安全等级是否合法;
当判断结果为是时,转入判断所述第一安全等级与所述网关支持的安全等级是否兼容的步骤。
5.如权利要求1所述的方法,其特征在于,所述基站将所述加密密钥发送到所述用户终端包括:
所述基站根据网关发送的认证密钥长度信息,获得对加密密钥信息加密的密钥加密密钥KEK,采用所述KEK对所述加密密钥信息加密,将加密后的所述加密密钥信息发送到所述用户终端。
6.如权利要求5所述的方法,其特征在于,所述用户终端采用所述加密密钥对数据加密包括:
所述用户终端根据与所述网关协商确定的目标安全等级信息,计算认证密钥的长度;
根据所述认证密钥的长度,计算为所述加密密钥信息加密的KEK;
根据计算的所述KEK解密所述加密后的所述加密密钥信息,获取加密密钥;
根据所述获取的加密密钥对与所述基站进行传输的数据加密。
7.一种WiMAX系统中的数据传输系统,其特征在于,所述系统包括:
用户终端,用于向基站发送发送的加密密钥请求信息,根据所述基站发送的加密密钥对数据加密后进行发送;
基站,用于接收所述加密密钥请求信息,根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定,将所述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行发送。
8.如权利要求7所述的系统,其特征在于,所述系统还包括:
网关,用于与终端协商确定目标安全等级信息,并根据该目标安全等级信息计算认证密钥的长度,将所述认证密钥长度信息发送到所述基站。
9.一种基站,其特征在于,所述基站包括:
接收模块,用于接收用户终端发送的加密密钥请求信息;
计算模块,用于根据网关发送的认证密钥长度信息,计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定;
发送控制模块,用于发送加密密钥,并指示所述用户终端采用所述加密密钥对数据加密后进行发送。
10.如权利要求9所述的基站,其特征在于,所述发送控制模块包括:
计算单元,用于根据所述认证密钥长度信息,获得对加密密钥信息加密的KEK;
加密单元,用于采用所述KEK,将所述加密密钥信息加密;
发送单元,用于发送加密后的所述加密密钥信息;
控制单元,用于指示所述用户终端采用该加密密钥对数据加密后进行发送。
11.一种用户终端,其特征在于,所述用户终端包括:
发送模块,用于向基站发送加密密钥请求信息;
接收模块,用于接收包含所述加密密钥的数据,并采用所述加密密钥对数据加密后进行发送,其中,所述加密密钥根据认证密钥长度信息计算,所述认证密钥长度信息由网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定。
12.如权利要求11所述的用户终端,其特征在于,所述接收模块包括:
接收单元,用于接收加密后的加密密钥信息;
计算单元,用于根据与所述网关协商确定的目标安全等级信息,计算认证密钥的长度,根据所述认证密钥的长度,计算为所述加密密钥信息加密的KEK;
解密单元,用于根据所述KEK解密所述加密后的加密密钥信息,获取加密密钥;
传输单元,用于采用所述加密密钥对数据加密后进行发送。
13.如权利要求11所述的用户终端,其特征在于,所述发送模块还用于,发送包含安全等级信息的基本能力信令。
14.如权利要求11所述的用户终端,其特征在于,所述接收模块还用于,接收包含安全等级信息的基本能力信令。
15.一种网关,其特征在于,所述网关包括:
接收模块,用于接收用户终端发送的包含安全等级信息的基本能力信令;
协商模块,用于根据所述安全等级信息与所述用户终端协商,确定目标安全等级信息;
计算模块,用于根据所述目标安全等级信息,计算认证密钥的长度;
发送模块,用于将所述认证密钥长度信息发送到基站。
16.如权利要求15所述的网关,其特征在于,所述协商模块包括:
判断单元,用于判断所述第一安全等级信息中的第一安全等级,与所述网关支持的安全等级是否兼容;
第一协商单元,用于确定所述第一安全等级,与所述网关支持的安全等级兼容时,将所述第一安全等级信息作为目标安全等级信息;
第二协商单元,用于确定所述第一安全等级,与所述网关支持的安全等级不兼容时,确定第二安全等级信息,并向所述用户终端返回包含所述第二安全等级信息的基本能力信令,指示所述用户终端重新向所述网关发送包含所述第二安全等级信息的基本能力信令。
17.如权利要求16所述的网关,其特征在于,所述判断单元还用于,判断第一安全等级信息中包含的第一安全等级是否合法;
所述第一协商单元还用于,确定所述第一安全等级合法时,将所述第一安全等级信息发送到判断单元进行兼容性的判断;
所述第二协商单元还用于,确定所述第一安全等级不合法时,向所述用户终端返回重新接入信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102034482A CN101895882A (zh) | 2009-05-21 | 2009-05-21 | 一种WiMAX系统中的数据传输方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102034482A CN101895882A (zh) | 2009-05-21 | 2009-05-21 | 一种WiMAX系统中的数据传输方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101895882A true CN101895882A (zh) | 2010-11-24 |
Family
ID=43104914
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102034482A Pending CN101895882A (zh) | 2009-05-21 | 2009-05-21 | 一种WiMAX系统中的数据传输方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101895882A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301111A (zh) * | 2014-10-11 | 2015-01-21 | 中国科学院国家授时中心 | 北斗高精度差分信息安全传输方法 |
| CN105959648A (zh) * | 2016-06-23 | 2016-09-21 | 浙江宇视科技有限公司 | 一种加密方法、装置及视频监控系统 |
| CN106534179A (zh) * | 2016-12-08 | 2017-03-22 | 用友网络科技股份有限公司 | 安全通信方法及装置和安全通信系统 |
| CN107071768A (zh) * | 2012-02-22 | 2017-08-18 | 华为技术有限公司 | 建立安全上下文的方法、装置及系统 |
| CN107204918A (zh) * | 2016-03-16 | 2017-09-26 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
| CN107204917A (zh) * | 2016-03-16 | 2017-09-26 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
| CN107508796A (zh) * | 2017-07-28 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种数据通信方法和装置 |
| WO2018176187A1 (zh) * | 2017-03-27 | 2018-10-04 | 华为技术有限公司 | 数据传输方法、用户设备和控制面节点 |
| CN108833347A (zh) * | 2018-05-07 | 2018-11-16 | 陕西东沃物流信息服务有限公司 | 一种提高物流信息隐私性的方法 |
| CN111698263A (zh) * | 2020-06-24 | 2020-09-22 | 成都卫士通信息产业股份有限公司 | 一种北斗卫星导航数据的传输方法和系统 |
| CN111771366A (zh) * | 2018-01-10 | 2020-10-13 | 思杰系统有限公司 | 具有可协商和自适应的加密级别的用于加密数据流的方法 |
| CN113114621A (zh) * | 2021-03-04 | 2021-07-13 | 海信集团控股股份有限公司 | 一种用于公交调度系统的通信方法及公交调度系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022330A (zh) * | 2006-02-13 | 2007-08-22 | 华为技术有限公司 | 提高密钥管理授权消息安全性的方法和模块 |
| CN101188492A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 实现安全业务的系统和方法 |
| CN101222324A (zh) * | 2008-01-23 | 2008-07-16 | 中兴通讯股份有限公司 | 用于端到端的媒体流安全的实现方法和装置 |
| WO2009028102A1 (ja) * | 2007-08-31 | 2009-03-05 | Fujitsu Limited | メッセージ交換方法、無線通信システム、無線端末装置、および無線基地局装置 |
-
2009
- 2009-05-21 CN CN2009102034482A patent/CN101895882A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022330A (zh) * | 2006-02-13 | 2007-08-22 | 华为技术有限公司 | 提高密钥管理授权消息安全性的方法和模块 |
| CN101188492A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 实现安全业务的系统和方法 |
| WO2009028102A1 (ja) * | 2007-08-31 | 2009-03-05 | Fujitsu Limited | メッセージ交換方法、無線通信システム、無線端末装置、および無線基地局装置 |
| CN101222324A (zh) * | 2008-01-23 | 2008-07-16 | 中兴通讯股份有限公司 | 用于端到端的媒体流安全的实现方法和装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107071768A (zh) * | 2012-02-22 | 2017-08-18 | 华为技术有限公司 | 建立安全上下文的方法、装置及系统 |
| US10735185B2 (en) | 2012-02-22 | 2020-08-04 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for performing an establishment of a security context between user equipment and an access node by a base station |
| CN104301111A (zh) * | 2014-10-11 | 2015-01-21 | 中国科学院国家授时中心 | 北斗高精度差分信息安全传输方法 |
| CN107204918A (zh) * | 2016-03-16 | 2017-09-26 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
| CN107204917A (zh) * | 2016-03-16 | 2017-09-26 | 无锡十月中宸科技有限公司 | 一种云安全网关及云安全系统 |
| CN105959648B (zh) * | 2016-06-23 | 2019-04-09 | 浙江宇视科技有限公司 | 一种加密方法、装置及视频监控系统 |
| CN105959648A (zh) * | 2016-06-23 | 2016-09-21 | 浙江宇视科技有限公司 | 一种加密方法、装置及视频监控系统 |
| CN106534179A (zh) * | 2016-12-08 | 2017-03-22 | 用友网络科技股份有限公司 | 安全通信方法及装置和安全通信系统 |
| CN106534179B (zh) * | 2016-12-08 | 2019-10-22 | 用友网络科技股份有限公司 | 安全通信方法及装置和安全通信系统 |
| WO2018176187A1 (zh) * | 2017-03-27 | 2018-10-04 | 华为技术有限公司 | 数据传输方法、用户设备和控制面节点 |
| US11523274B2 (en) | 2017-03-27 | 2022-12-06 | Huawei Technologies Co., Ltd. | Data transmission method, user equipment, and control plane node |
| CN107508796B (zh) * | 2017-07-28 | 2019-01-04 | 北京明朝万达科技股份有限公司 | 一种数据通信方法和装置 |
| CN107508796A (zh) * | 2017-07-28 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种数据通信方法和装置 |
| CN111771366A (zh) * | 2018-01-10 | 2020-10-13 | 思杰系统有限公司 | 具有可协商和自适应的加密级别的用于加密数据流的方法 |
| CN108833347A (zh) * | 2018-05-07 | 2018-11-16 | 陕西东沃物流信息服务有限公司 | 一种提高物流信息隐私性的方法 |
| CN111698263A (zh) * | 2020-06-24 | 2020-09-22 | 成都卫士通信息产业股份有限公司 | 一种北斗卫星导航数据的传输方法和系统 |
| CN113114621A (zh) * | 2021-03-04 | 2021-07-13 | 海信集团控股股份有限公司 | 一种用于公交调度系统的通信方法及公交调度系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101895882A (zh) | 一种WiMAX系统中的数据传输方法、系统及装置 | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| US7912224B2 (en) | Wireless network system and communication method for external device to temporarily access wireless network | |
| CN110192381B (zh) | 密钥的传输方法及设备 | |
| EP3057351B1 (en) | Access method, system, and device of terminal, and computer storage medium | |
| US9392453B2 (en) | Authentication | |
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN102823282B (zh) | 用于二进制cdma的密钥认证方法 | |
| CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
| CN103533539A (zh) | 虚拟sim卡参数管理方法及装置 | |
| CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
| CN101707767B (zh) | 一种数据传输方法及设备 | |
| CN101820629A (zh) | 一种无线局域网中身份认证的方法、装置及系统 | |
| Noh et al. | Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks | |
| CN102264068B (zh) | 共享密钥协商方法与系统、网络平台及终端 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
| CN106992866A (zh) | 一种基于nfc无证书认证的无线网络接入方法 | |
| CN105827601A (zh) | 移动设备数据加密应用方法及系统 | |
| WO2012075761A1 (zh) | 一种加密mms的方法及系统 | |
| CN115022850A (zh) | 一种d2d通信的认证方法、装置、系统、电子设备及介质 | |
| CN101772025B (zh) | 一种用户身份确定方法及装置和系统 | |
| CN201663659U (zh) | 条件接收系统前端和用户管理系统 | |
| KR20010064766A (ko) | 무선통신시스템에서의 인증 및 키 설정 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101124 |