CN101945387B - 一种接入层密钥与设备的绑定方法和系统 - Google Patents
一种接入层密钥与设备的绑定方法和系统 Download PDFInfo
- Publication number
- CN101945387B CN101945387B CN201010287804.6A CN201010287804A CN101945387B CN 101945387 B CN101945387 B CN 101945387B CN 201010287804 A CN201010287804 A CN 201010287804A CN 101945387 B CN101945387 B CN 101945387B
- Authority
- CN
- China
- Prior art keywords
- access layer
- secret key
- key
- information
- via node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种接入层密钥与设备的绑定方法,包括:演进基站将接入层密钥与设备进行绑定,发送接入层消息给中继节点,指示中继节点进行接入层密钥和设备的绑定;所述中继节点接收到所述接入层消息后,根据所述接入层消息的指示进行接入层密钥和设备的绑定。本发明还提供一种接入层密钥与设备的绑定系统。本发明可以保证网络侧和RN可以同步的生成相同的与设备绑定的接入层密钥,保证通信安全。
Description
技术领域
本发明涉及无线通信领域,具体而言,涉及在无线通信系统中一种接入层密钥与设备的绑定方法和系统。
背景技术
长期演进(Long Term Evolution,简称LTE)网络,如图1所示,由演进全球陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,简称EUTRAN)和演进分组交换中心(Evolved Packet Core,简称EPC)组成,网络呈现扁平化。EUTRAN通过S1接口与EPC相连。其中,EUTRAN由多个相互连接的演进基站(Evolved NodeB,简称eNB)组成,各个eNB之间通过X2接口连接;EPC由移动性管理实体(Mobility Management Entity,简称MME)和服务网关实体(Serving Gateway,简称S-GW)组成。另外,在系统架构中还有一个归属环境(Home Environment,HE),即归属用户服务器(Home Subscriber Server,HSS)或归属位置寄存器(Home LocationRegister,HLR),作为用户数据库。它包含用户配置文件,执行用户的身份验证和授权,并可提供有关用户物理位置的信息等。
为了满足日益增长的大带宽高速移动接入的需求,第三代伙伴组织计划(Third Generation Partnership Projects,简称3GPP)推出高级长期演进(Long-Term Evolution advance,简称LTE-Advanced)标准。LTE-Advanced对于长期演进系统的演进保留了LTE的核心,在此基础上采用一系列技术对频域、空域进行扩充,以达到提高频谱利用率、增加系统容量等目的。无线中继(Relay)技术即是LTE-Advanced中的技术之一,旨在扩展小区的覆盖范围,减少通信中的死角地区,平衡负载,转移热点地区的业务,节省用户设备(User Equipment,简称UE)即终端的发射功率。如图2所示,在现有的网络架构中增加一种新的中继节点(Relay-Node,简称RN),这种新增的RN和施主演进基站(Donor-eNB,简称DeNB)之间使用无线连接。其中,Donor-eNB和RN之间的接口称为Un口,两者之间的无线链路称为回程链路(backhaul link);RN和用户设备(User Equipment,UE)之间的接口称为Uu口,其间的无线链路称为接入链路(access link)。下行数据先到达Donor-eNB,然后传递给RN,RN再传输至UE,上行反之。
在后面的描述中,施主演进基站DeNB只是相对于RN描述时的别称,实际上DeNB相对于UE来说还是一个普通的演进基站eNB。
在实际通信过程中,RN既可以作为一个普通的终端设备,也可以作为一个基站。当RN作为一个终端设备时,RN可以像普通UE一样接入无线网络。普通UE在接入时网络侧会对其进行用户的鉴权认证和密钥协定(Authentication and Key Agreement,AKA),在LTE系统中该过程也称为演进分组系统(Evolved Packet System)AKA,即EPS AKA,其大体过程为如图3所示:
301.MME收到RN的非接入层(Non-access stratum,简称NAS)请求消息。
302.MME向HSS发起认证数据请求消息,其中携带了UE的用户标识信息,比如UE的国际移动用户标识(International Mobile Subscriber Identity,IMSI),以及服务网络标识(SN id)和网络类型信息(Network type)。
303.HSS根据请求消息生成认证向量{RAND,XRES,Kasme,AUTN},并通过认证数据响应消息发送给MME。其中认证向量中各个分量的意义为:RAND为HSS产生的随机数,XRES为网络侧期望的用户响应,Kasme为HSS产生的一个中间密钥,该密钥主要用于派生NAS和接入层(AccessStratum,AS)的安全密钥,而AUTN为网络认证标志(Authentication token)。AUTN=SQN⊕AK‖AMF‖MAC,其中SQN⊕AK是指由HSS生成的序列号SQN和匿名密钥AK的异或操作,AMF是认证管理域(AuthenticationManagement field),MAC为消息验证码。
304.MME向RN发送用户认证请求消息,其中携带了HSS生成的认证数据RAND和AUTN。
305.RN收到该用户认证请求消息后,对消息中携带的AUTN进行验证,验证通过后,则根据RAND和根密钥K计算RES值,并通过用户认证响应消息发送给MME。
306.MME收到后会比较UE发来的RES和最初从HSS收到的XRES,如果两者一致,则认为用户的AKA过程成功完成。
需要说明的是,上述描述中的RN只是RN作为普通用户设备的情况。UE是指移动设备(Mobile Equipment,简称ME)和全球用户标识模块(Universal Subscriber Identity Module,USIM)的总称,上述过程实际是由USIM完成的,该过程完成了USIM的认证,即用户认证。上述过程完成后,USIM会根据根密钥K生成IK和CK发送给ME,ME根据IK和CK生成中间密钥Kasme,通过上述过程完成了网络对终端的USIM认证(或称签约认证,subscription Authentication)和密钥协定。然后MME根据Kasme派生用于保护AS和NAS信令和数据的安全密钥。其中用于保护AS层数据和信令的安全信息包括了KeNB、下一跳值(Next Hop,NH),与该NH对应的下一跳计数值(NH Chain Count,NCC),以及由KeNB派生的AS安全保护密钥KUPenc、KRRCint和KRRCenc等。
RN在通过上述方法完成用户鉴权后,还使用IPSec的方式来完成设备认证,即认证RN除SIM卡外的设备或平台的可信性。但即使是对于一个分别完成用户认证和设备认证的RN来说,还存在如下的安全威胁,如图4所示,如果有非法攻击者(Attacker)将合法的USIM卡插入非法的RN设备,同时将非法的USIM卡插入合法的RN设备中,在认证时攻击者分别使用合法的USIM以及RN完成相应的用户认证和设备认证。在实际通信过程中,非法RN设备可以获取到合法USIM卡认证产生的接入层安全保护密钥,而RN与网络侧之间的部分通信数据采用接入层的安全保护密钥保护,攻击者就可能通过非法RN设备篡改或窃听RN与DeNB之间的通信内容。
发明内容
本发明要解决的技术问题是提供一种接入层密钥和设备绑定的方法和系统,保证网络侧和RN可以同步的生成相同的与设备绑定的接入层密钥。
为了解决上述问题,本发明提供了一种接入层密钥与设备的绑定方法,包括:
演进基站将接入层密钥与设备进行绑定,发送接入层消息给中继节点,指示中继节点进行接入层密钥和设备的绑定;
所述中继节点接收到所述接入层消息后,根据所述接入层消息的指示进行接入层密钥和设备的绑定。
进一步地,上述方法还可具有以下特点,所述接入层消息为已有无线资源控制消息,或者为新增消息。
进一步地,上述方法还可具有以下特点,所述接入层密钥与设备绑定的方法为:将接入层密钥和与设备相关的安全参数作为输入,按照约定算法生成与设备绑定的接入层密钥。
进一步地,上述方法还可具有以下特点,所述接入层密钥为所述演进基站与所述中继节点共享的接入层安全上下文中的安全参数。
进一步地,上述方法还可具有以下特点,所述与设备相关的安全参数为所述中继节点签约信息中的根密钥,或者为所述根密钥派生的密钥,或者为所述中继节点与所述演进基站通过特定流程共享的特定参数。
进一步地,上述方法还可具有以下特点,所述特定流程为所述中继节点和所述演进基站之间的认证过程。
进一步地,上述方法还可具有以下特点,所述约定算法为密钥派生算法(KDF)。
进一步地,上述方法还可具有以下特点,将所述接入层密钥与设备绑定时,除将接入层密钥和与设备相关的安全参数作为输入外,还将如下信息之一或其组合作为输入:演进基站服务小区的物理小区标识、下行载频信息、发送数据包的计数值、算法类型、算法标识和随机数。
进一步地,上述方法还可具有以下特点,所述接入层消息中通过携带指示信息指示中继节点进行接入层密钥和设备的绑定,所述指示信息中包括密钥绑定指示信息,和/或,绑定算法标识信息,其中,所述密钥绑定指示信息用于指示是否进行接入层密钥和设备的绑定,所述绑定算法标识信息用于指示接入层密钥和设备绑定所使用的算法相关信息。
本发明还提供一种接入层密钥与设备的绑定系统,所述系统包括演进基站和中继节点,其中:
所述演进基站,用于将接入层密钥与设备进行绑定,发送接入层消息给中继节点,指示中继节点进行接入层密钥和设备的绑定;
所述中继节点,用于接收所述接入层消息,根据所述接入层消息的指示进行接入层密钥和设备的绑定。
进一步地,上述系统还可具有以下特点,所述接入层消息为已有无线资源控制消息,或者为新增消息。
进一步地,上述系统还可具有以下特点,所述演进基站或中继节点用于按如下方式进行接入层密钥和设备的绑定:将接入层密钥和与设备相关的安全参数作为输入,按照约定算法生成与设备绑定的接入层密钥。
进一步地,上述系统还可具有以下特点,所述接入层密钥为所述演进基站与所述中继节点共享的接入层安全上下文中的安全参数。
进一步地,上述系统还可具有以下特点,所述与设备相关的安全参数为所述中继节点签约信息中的根密钥,或者为所述根密钥派生的密钥,或者为所述演进基站与所述中继节点通过特定流程共享的特定参数。
进一步地,上述系统还可具有以下特点,所述特定流程包括所述演进基站和所述中继节点之间的认证过程。
进一步地,上述系统还可具有以下特点,所述约定算法为密钥派生算法(KDF)。
进一步地,上述系统还可具有以下特点,所述演进基站或中继节点用于:将所述接入层密钥与设备绑定时,除将接入层密钥和与设备相关的安全参数作为输入外,还将如下信息之一或其组合作为输入:演进基站服务小区的物理小区标识、下行载频信息、发送数据包的计数值、算法类型、算法标识和随机数。
进一步地,上述系统还可具有以下特点,所述接入层消息中通过携带指示信息指示中继节点进行接入层密钥和设备的绑定,所述指示信息中包括密钥绑定指示信息,和/或,绑定算法标识信息,其中,所述密钥绑定指示信息用于指示是否进行接入层密钥和设备的绑定,所述绑定算法标识信息用于指示接入层密钥和设备绑定所使用的算法相关信息。
利用本发明可以保证网络侧和RN可以同步的生成相同的与设备绑定的接入层密钥,并利用生成的与设备绑定的接入层密钥可以有效防止攻击者对RN和网络侧通信内容的窃听和篡改,保证了通信内容的安全。
附图说明
图1为LTE网络架构示意图;
图2为引入中继节点后的接入网络架构图;
图3为RN的AKA过程示意图;
图4为RN安全漏洞示意图;
图5为通过intra-cell HO(小区内切换)实现密钥绑定流程示意图;
图6为通过安全模式命令实现密钥绑定流程示意图;
图7为AS层密钥更新过程触发的密钥绑定流程示意图;
图8为本发明实施例四密钥绑定流程示意图;
图9为本发明实施例五密钥绑定流程示意图。
具体实施方式
为了保证合法的USIM卡被插在合法的RN设备上,需要实现RN的用户认证和设备的绑定,另外还要保证网络侧与RN在绑定过程中使用了相同的绑定的方法且最终的绑定结果是一致的。为了使对RN的用户鉴权和设备认证有效结合,本发明提出了一种绑定用户鉴权过程产生的接入层密钥与设备的方法,利用与设备绑定的接入层密钥就使用户鉴权和设备认证有机结合起来。下面进一步说明如何触发密钥的绑定以及密钥如何绑定。
本发明提供的接入层密钥和设备绑定方法包括:
演进基站将接入层密钥与设备进行绑定,发送接入层消息给中继节点,指示中继节点进行接入层密钥和设备的绑定;
所述中继节点接收到所述接入层消息后,根据所述接入层消息的指示进行接入层密钥和设备的绑定,并回复演进基站接入层密钥的绑定结果。
其中所述的接入层消息可以是现有的无线资源控制(Radio ResourceControl,RRC)消息,比如RRC连接重配置消息(RRC ConnectionReconfiguration),或者安全模式命令(Security Mode Command,SMC)消息等,也可以是新增消息。
在所述接入层消息中通过携带指示信息指示进行接入层密钥和设备的绑定,其中所述的指示信息中包括密钥绑定指示信息,和/或,绑定算法标识信息,其中,所述密钥绑定指示信息用于指示是否进行接入层密钥和设备的绑定,所述绑定算法标识信息用于指示接入层密钥和设备绑定所使用的算法相关信息。所述密钥绑定指示信息可以是消息中的独立指示信元,该信元取值为1时表示进行绑定,取值为0则不进行绑定。此处取值仅为示例。
其中所述的接入层密钥是指基站与中继节点共享的接入层安全上下文中的安全参数,比如KeNB,或者下一跳值NH,或者由KeNB派生的其他密钥,比如KUPenc、KRRCint和KRRCenc。
所述的接入层密钥与设备绑定的方法是:利用接入层密钥和与设备相关的安全参数作为输入,按照约定算法生成与设备绑定的接入层密钥。具体使用哪个接入层密钥和与设备相关的安全参数可以由双方预先约定,或者预先配置。
进一步的,所述与设备相关的安全参数可以是指RN设备签约信息中的根密钥或者由该密钥派生的其他新密钥,也可以是指RN设备与eNB两者通过特定流程共享的某个特定参数。
进一步的,其中所述的特定流程可以指eNB与RN之间的认证过程,比如用于建立IPsec连接的IKE过程。
进一步的,其中所述的约定算法可以是指现有的密钥派生算法(KeyDerivation Function,KDF),或者其他已知算法。
进一步的,将所述接入层密钥与设备绑定时,除将接入层密钥和与设备相关的安全参数作为输入外,还将如下信息之一或其组合作为输入:演进基站服务小区的物理小区标识、下行载频信息、发送数据包的计数值、算法类型、算法标识和随机数。
具体实施例一:
如图5所示,KeNB与Kipsec做绑定,且DeNB通过RRC连接重配置消息通知RN进行绑定。消息中携带指示信息。具体方法如下:
501.RN与MME通过用户认证过程中生成的中间密钥Kasme,按照已知的约定算法生成RN和DeNB之间的接入层安全上下文,其中包含了KeNB;
502.RN设备与DeNB之间通过IKEv2建立安全连接,并生成与安全连接相关的安全参数Kipsec,该参数与RN设备相关;
503.DeNB利用KeNB和Kipsec按照约定密钥派生算法生成与设备绑定的新密钥KeNB_new=KDF(KeNB,Kipsec);
504.DeNB向RN发起RRC连接重配置,其中携带密钥绑定指示信息;
505.RN收到后根据利用与DeNB相同的方法生成与设备绑定的接入层密钥;
506.RN向DeNB发送RRC连接重配置完成消息。
进一步的上述过程中网络侧也可以使用接入层安全上下文中的其他安全参数作为密钥绑定的参数,比如分别利用接入层安全保护密钥KUPenc、KRRCint和KRRCenc与Kipsec按照约定密钥派生算法生成新的接入层安全保护密钥KUPenc_New、KRRCint_New和KRRCenc_New
KUPenc-New=KDF(KUPenc,KIPSec)
KRRCint-New=KDF(KRRCint,KIPSec)
KRRCenc-New=KDF(KRRCenc,KIPSec)
具体实施例二:
如图6所示,KeNB与K_D做绑定,其中K_D为设备相关安全参数(设备证书根密钥),另外KeNB通过AS SMC(安全模式命令)通知RN进行绑定。在消息中携带相应的绑定所用算法信息(利用新的算法信息指示RN要进行绑定)。
601.RN与MME通过用户认证过程中生成的中间密钥Kasme,按照已知的约定算法生成RN和DeNB之间共享的安全密钥KeNB;
602.DeNB根据RN设备的标识信息获取基站上存储的与设备相关的安全参数,比如设备证书中的根密钥K_D。其中与设备相关的安全参数也可以是从其他网元获得,比如OAM,或者MME等;
603.DeNB利用KeNB和K_D按照约定密钥派生算法生成与设备绑定的新密钥KeNB_new=KDF(KeNB,K_D);
604.DeNB向RN发起安全模式命令(SMC),其中携带密钥绑定所使用的算法标识信息;
605.RN收到后根据消息中绑定算法标识信息指示的算法利用与DeNB相同的方法生成与设备绑定的接入层密钥;
606.RN向DeNB发送安全模式完成消息。
进一步的,上述过程中网络侧也可以使用接入层安全上下文中的其他安全参数作为密钥绑定的参数,比如分别利用接入层安全保护密钥KUPenc、KRRCint和KRRCenc与K_D按照约定密钥派生算法生成新的与设备绑定的接入层安全保护密钥KUPenc_New、KRRCint_New和KRRCenc_New:
KUPenc-New=KDF(KUPenc,K_D)
KRRCint-New=KDF(KRRCint,K_D)
KRRCenc-New=KDF(KRRCenc,K_D)
具体实施例三:
如图7所示,NH与K_relay做绑定生成新的NH_new,其中K_relay为MME发送给eNB的设备相关参数,另外KeNB通过RRC重配置通知RN进行绑定,其中携带指示信息指示需要生成新的NH_new。
701.RN与MME通过用户认证过程中生成的中间密钥Kasme,按照已知的约定算法生成RN和DeNB之间共享的安全参数下一跳值NH;
702.DeNB从MME获得与设备相关的安全参数信息K_relay。其中MME中的该参数可以由OAM配置,或者由MME同RN进行认证协商获得,具体方式不在本发明保护范围之内;
703.DeNB利用NH和K_relay按照约定密钥派生算法生成与设备绑定的新密钥NH_new=KDF(NH,K_relay);
704.DeNB向RN发起RRC连接重配置,其中携带密钥绑定指示信息;
705.RN收到后根据利用与DeNB相同的方法生成与设备绑定的接入层密钥;
706.RN向DeNB发送RRC连接重配置完成消息。
具体实施例四:
如图8所示,NH与Kpre绑定生成新的KeNB_new,其中eNB利用RRC重配置通知RN进行绑定,其中携带指示信息。
801.RN与MME通过用户认证过程中生成的中间密钥Kasme,按照已知的约定算法生成RN和DeNB之间共享的安全参数下一跳值NH;
802.DeNB从OAM获取RN预设的安全密钥Kpre;
803.DeNB利用NH和Kpre按照约定的密钥派生算法生成与设备绑定的新密钥NH_new=KDF(NH,Kpre);
804.DeNB向RN发起RRC连接重配置,其中携带密钥绑定指示信息和DeNB派生新密钥所使用的绑定算法标识信息;
805.RN收到后根据利用与DeNB相同的方法生成与设备绑定的接入层密钥;
806.RN向DeNB发送RRC连接重配置完成消息。
具体实施例五:
如图9所示,KeNB与Kike做绑定,其中eNB使用一个新的RRC信令通知RN进行密钥绑定。
901.RN与MME通过用户认证过程中生成的中间密钥Kasme,按照已知的约定算法生成RN和DeNB之间共享的安全密钥KeNB;
902.RN设备与DeNB之间通过IKEv2流程建立安全连接,并生成RN设备与DeNB共享的与设备相关的安全参数Kike;
903.DeNB利用KeNB和Kike按照约定密钥派生算法生成与设备绑定的新密钥KeNB_new=KDF(KeNB,Kike,PCI,EARFCN-DL)。其中可选参数PCI和EARFCN-DL分别是DeNB中服务小区的物理小区标识和下行载频信息;
904.DeNB向RN发起安全密钥绑定消息,该消息为新增的RRC信令;
905.RN收到后根据与DeNB相同的方法生成与设备绑定的接入层密钥;
906.RN向DeNB发送安全密钥绑定完成消息。
进一步的,上述过程中网络侧也可以使用接入层安全上下文中的其他安全参数作为密钥绑定的参数,比如分别利用接入层安全保护密钥KUPenc、KRRCint和KRRCenc与Kike按照约定密钥派生算法生成新的与设备绑定的接入层安全保护密钥KUPenc_New、KRRCint_New和KRRCenc_New,即:
KUPenc-New=KDF(KUPenc,Kike)
KRRCint-New=KDF(KRRCint,Kike)
KRRCenc-New=KDF(KRRCenc,Kike)
进一步的,上述所有实施例中的前两步,即DeNB与RN分别生成接入层安全密钥和获取与设备相关安全参数之间的先后顺序可以根据实际情况而定,本发明不做限制。
进一步的,通过上述实施例所述方法,RN与DeNB拥有相同的与设备绑定的密钥(比如KeNB_new,和/或NH_new,和/或KUPenc_New、和/或KRRCint_New和/或KRRCenc_New),RN和DeNB可以利用这些密钥保护RN与DeNB之间的通信安全,也可以由这些密钥派生其他的用于保护通信安全的接入层密钥,比如:
利用KeNB_new或NH_new派生新的密钥KeNB*:
KeNB *=KDF(KeNB_new/NH_new,PCI,FREQUENCY),或
利用KeNB_new派生新的接入层保护密钥:
KUPenc-New=KDF(KeNB_new,算法类型,算法标识),或
KRRCint-New=KDF(KeNB_new,算法类型,算法标识),或
KRRCenc-New=KDF(KeNB_new,算法类型,算法标识)
其中算法类型(Algorithm Type Distinguisher)、算法标识(AlgorithmIdentity)分别是派生不同保护密钥时使用的不同算法相关的标识信息。
进一步的,上述所有实施例中密钥派生算法中还可以使用其他参数,比如可以使用小区的PCI,和/或下行频点EARFCN-DL,和/或发送数据包的计数值,和/或派生算法类型,和/或算法标识,和/或生成的随机数等。
本发明还提供一种接入层密钥与设备的绑定系统,所述系统包括演进基站和中继节点,其中:
所述演进基站,用于将接入层密钥与设备进行绑定,发送接入层消息给中继节点,指示中继节点进行接入层密钥和设备的绑定;
所述中继节点,用于接收所述接入层消息,根据所述接入层消息的指示进行接入层密钥和设备的绑定。
其中,所述接入层消息为已有无线资源控制消息,或者为新增消息。
其中,所述演进基站或中继节点用于按如下方式进行接入层密钥和设备的绑定:将接入层密钥和与设备相关的安全参数作为输入,按照约定算法生成与设备绑定的接入层密钥。
其中,所述接入层密钥为所述演进基站与所述中继节点共享的接入层安全上下文中的安全参数。
其中,所述与设备相关的安全参数为所述中继节点签约信息中的根密钥,或者为所述根密钥派生的密钥,或者为所述演进基站与所述中继节点通过特定流程共享的特定参数。
其中,所述特定流程包括所述演进基站和所述中继节点之间的认证过程。
其中,所述约定算法为密钥派生算法(KDF)。
其中,所述演进基站或中继节点用于:将所述接入层密钥与设备绑定时,除将接入层密钥和与设备相关的安全参数作为输入外,还将如下信息之一或其组合作为输入:演进基站服务小区的物理小区标识、下行载频信息、发送数据包的计数值、算法类型、算法标识和随机数。
其中,所述接入层消息中通过携带指示信息指示中继节点进行接入层密钥和设备的绑定,所述指示信息中包括密钥绑定指示信息,和/或,绑定算法标识信息,其中,所述密钥绑定指示信息用于指示是否进行接入层密钥和设备的绑定,所述绑定算法标识信息用于指示接入层密钥和设备绑定所使用的算法相关信息。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种接入层密钥与设备的绑定方法,其特征在于,包括:
演进基站将接入层密钥与设备进行绑定,发送接入层消息给中继节点,指示中继节点进行接入层密钥和设备的绑定;所述接入层密钥与设备绑定的方法为:将接入层密钥和与设备相关的安全参数作为输入,按照约定算法生成与设备绑定的接入层密钥;
所述中继节点接收到所述接入层消息后,根据所述接入层消息的指示进行接入层密钥和设备的绑定。
2.如权利要求1所述的方法,其特征在于,
所述接入层消息为已有无线资源控制消息,或者为新增消息。
3.如权利要求1所述的方法,其特征在于,所述接入层密钥为所述演进基站与所述中继节点共享的接入层安全上下文中的安全参数。
4.如权利要求1所述的方法,其特征在于,所述与设备相关的安全参数为所述中继节点签约信息中的根密钥,或者为所述根密钥派生的密钥,或者为所述中继节点与所述演进基站通过特定流程共享的特定参数。
5.如权利要求4所述的方法,其特征在于,所述特定流程为所述中继节点和所述演进基站之间的认证过程。
6.如权利要求1所述的方法,其特征在于,所述约定算法为密钥派生算法(KDF)。
7.如权利要求1所述的方法,其特征在于,将所述接入层密钥与设备绑定时,除将接入层密钥和与设备相关的安全参数作为输入外,还将如下信息之一或其组合作为输入:演进基站服务小区的物理小区标识、下行载频信息、发送数据包的计数值、算法类型、算法标识和随机数。
8.如权利要求1至2、4至7任一所述的方法,其特征在于,所述接入层消息中通过携带指示信息指示中继节点进行接入层密钥和设备的绑定,所述指示信息中包括密钥绑定指示信息,和/或,绑定算法标识信息,其中,所述密钥绑定指示信息用于指示是否进行接入层密钥和设备的绑定,所述绑定算法标识信息用于指示接入层密钥和设备绑定所使用的算法相关信息。
9.一种接入层密钥与设备的绑定系统,其特征在于,所述系统包括演进基站和中继节点,其中:
所述演进基站,用于将接入层密钥与设备进行绑定,发送接入层消息给中继节点,指示中继节点进行接入层密钥和设备的绑定;
所述中继节点,用于接收所述接入层消息,根据所述接入层消息的指示进行接入层密钥和设备的绑定;
所述演进基站或中继节点用于按如下方式进行接入层密钥和设备的绑定:将接入层密钥和与设备相关的安全参数作为输入,按照约定算法生成与设备绑定的接入层密钥。
10.如权利要求9所述的系统,其特征在于,
所述接入层消息为已有无线资源控制消息,或者为新增消息。
11.如权利要求9所述的系统,其特征在于,所述接入层密钥为所述演进基站与所述中继节点共享的接入层安全上下文中的安全参数。
12.如权利要求9所述的系统,其特征在于,所述与设备相关的安全参数为所述中继节点签约信息中的根密钥,或者为所述根密钥派生的密钥,或者为所述演进基站与所述中继节点通过特定流程共享的特定参数。
13.如权利要求12所述的系统,其特征在于,所述特定流程包括所述演进基站和所述中继节点之间的认证过程。
14.如权利要求9所述的系统,其特征在于,所述约定算法为密钥派生算法(KDF)。
15.如权利要求9所述的系统,其特征在于,所述演进基站或中继节点用于:将所述接入层密钥与设备绑定时,除将接入层密钥和与设备相关的安全参数作为输入外,还将如下信息之一或其组合作为输入:演进基站服务小区的物理小区标识、下行载频信息、发送数据包的计数值、算法类型、算法标识和随机数。
16.如权利要求9至10、12至15任一所述的系统,其特征在于,所述接入层消息中通过携带指示信息指示中继节点进行接入层密钥和设备的绑定,所述指示信息中包括密钥绑定指示信息,和/或,绑定算法标识信息,其中,所述密钥绑定指示信息用于指示是否进行接入层密钥和设备的绑定,所述绑定算法标识信息用于指示接入层密钥和设备绑定所使用的算法相关信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010287804.6A CN101945387B (zh) | 2010-09-17 | 2010-09-17 | 一种接入层密钥与设备的绑定方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010287804.6A CN101945387B (zh) | 2010-09-17 | 2010-09-17 | 一种接入层密钥与设备的绑定方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101945387A CN101945387A (zh) | 2011-01-12 |
CN101945387B true CN101945387B (zh) | 2015-10-21 |
Family
ID=43437081
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010287804.6A Active CN101945387B (zh) | 2010-09-17 | 2010-09-17 | 一种接入层密钥与设备的绑定方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101945387B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102595403A (zh) * | 2011-01-14 | 2012-07-18 | 中兴通讯股份有限公司 | 绑定中继节点的认证方法及装置 |
CN102595395A (zh) * | 2011-01-14 | 2012-07-18 | 中兴通讯股份有限公司 | 一种中继节点的认证方法及系统 |
CN102368851B (zh) * | 2011-12-02 | 2012-11-21 | 深圳市共进电子股份有限公司 | 一种简易配置无线中继的方法 |
CN103167492B (zh) | 2011-12-15 | 2016-03-30 | 华为技术有限公司 | 在通信系统中生成接入层密钥的方法及其设备 |
CN103929740B (zh) * | 2013-01-15 | 2017-05-10 | 中兴通讯股份有限公司 | 数据安全传输方法及lte接入网系统 |
CN106375989B (zh) * | 2015-07-20 | 2019-03-12 | 中兴通讯股份有限公司 | 实现接入层安全的方法及用户设备和无线接入小节点 |
CN107005410B (zh) * | 2015-10-31 | 2020-06-26 | 大势至(北京)软件工程有限公司 | 因特网协议安全性隧道建立方法,用户设备及基站 |
US10298549B2 (en) * | 2015-12-23 | 2019-05-21 | Qualcomm Incorporated | Stateless access stratum security for cellular internet of things |
CN105827304B (zh) * | 2016-03-21 | 2018-11-09 | 南京邮电大学 | 基于信关站的卫星网络匿名认证方法 |
CN111328457B (zh) * | 2017-09-15 | 2022-01-28 | 瑞典爱立信有限公司 | 无线通信系统中的安全性上下文 |
CN111083699B (zh) * | 2018-10-19 | 2022-10-11 | 大唐移动通信设备有限公司 | 一种密钥生成方法、装置、第一网络实体及基站设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101500229A (zh) * | 2008-01-30 | 2009-08-05 | 华为技术有限公司 | 建立安全关联的方法和通信网络系统 |
CN101569160A (zh) * | 2006-10-16 | 2009-10-28 | 诺基亚西门子通信有限责任两合公司 | 用于传输dhcp消息的方法 |
CN101772100A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | LTE系统中基站eNB切换时的密钥更新方法、设备及系统 |
-
2010
- 2010-09-17 CN CN201010287804.6A patent/CN101945387B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101569160A (zh) * | 2006-10-16 | 2009-10-28 | 诺基亚西门子通信有限责任两合公司 | 用于传输dhcp消息的方法 |
CN101500229A (zh) * | 2008-01-30 | 2009-08-05 | 华为技术有限公司 | 建立安全关联的方法和通信网络系统 |
CN101772100A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | LTE系统中基站eNB切换时的密钥更新方法、设备及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101945387A (zh) | 2011-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101945387B (zh) | 一种接入层密钥与设备的绑定方法和系统 | |
US20210135878A1 (en) | Authentication Mechanism for 5G Technologies | |
US20230353379A1 (en) | Authentication Mechanism for 5G Technologies | |
CN101931955B (zh) | 认证方法、装置及系统 | |
CN101945386B (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
CN101931953B (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
CN101951590B (zh) | 认证方法、装置及系统 | |
US20130163762A1 (en) | Relay node device authentication mechanism | |
US8605908B2 (en) | Method and device for obtaining security key in relay system | |
EP2854329B1 (en) | Method, system, and device for securely establishing wireless local area network | |
WO2011091375A1 (en) | Method and apparatus for securing wireless relay nodes | |
CN101500229A (zh) | 建立安全关联的方法和通信网络系统 | |
CN109496412B (zh) | 使用隐私识别码的验证 | |
CN101977378B (zh) | 信息传输方法、网络侧及中继节点 | |
CN101500230A (zh) | 建立安全关联的方法和通信网络 | |
WO2016155478A1 (zh) | 用户设备的认证方法和装置 | |
CN105764052A (zh) | Td-lte鉴权认证和保护性加密方法 | |
CN102595395A (zh) | 一种中继节点的认证方法及系统 | |
CN107925874B (zh) | 超密集网络安全架构和方法 | |
CN102595403A (zh) | 绑定中继节点的认证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |