CN102056157B - 一种确定密钥和密文的方法、系统及装置 - Google Patents
一种确定密钥和密文的方法、系统及装置 Download PDFInfo
- Publication number
- CN102056157B CN102056157B CN200910236863.8A CN200910236863A CN102056157B CN 102056157 B CN102056157 B CN 102056157B CN 200910236863 A CN200910236863 A CN 200910236863A CN 102056157 B CN102056157 B CN 102056157B
- Authority
- CN
- China
- Prior art keywords
- key
- user terminal
- parameter
- network equipment
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例涉及无线通信技术,特别涉及一种确定密钥和密文的方法、系统及装置,用以增加密钥数量,从而在LTE-A系统中当有大量UE接入RN设备、需要建立多个RN无线承载时,提高Un口的安全性。本发明实施例确定密钥的方法包括:在用户终端发起附着请求后,第一网络侧设备为用户终端配置一个密钥参数;第一网络侧设备和第二网络侧设备分别根据第一网络侧设备配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。采用本发明实施例能够根据接入的用户终端,为每个用户终端分别分配一对不同的AS密钥,从而在LTE-A系统中当有大量UE接入RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
Description
技术领域
本发明涉及无线通信技术,特别涉及一种确定密钥和密文的方法、系统及装置。
背景技术
LTE-A(Long Term Evolution-Advanced,长期演进升级)系统引入RN(中继节点)设备后的网络架构,如图1所示,
RN设备通过DeNB(基站)接入到核心网,RN设备和核心网没有直接的无线接口,每个RN设备可以控制一个或多个小区。在此架构下,UE(用户终端)和RN设备的接口称为Uu接口,RN设备和DeNB之间的接口称为Un接口。
在图1的网络架构中,RN具有双重身份:
首先RN设备具有UE的身份,即RN启动时类似于UE的开机附着过程。RN设备具有自己的SGW/PGW(Serving Gateway/PDN Gateway,服务网关/分组数据网关)和控制节点MME(Mobility Management Entity,移动性管理实体)。外部节点发向RN设备的数据包都要经过RN设备的SGW/PGW,然后RN设备的SGW/PGW发给RN设备当前的服务基站DeNB,然后DeNB在Un口上发给RN设备。
其次,对于接入RN设备的UE来说,RN设备具有eNB的身份,此时UE的下行数据需要从UE的SGW/PGW发送给UE的服务基站,即RN设备,然后RN设备在Uu口上发给UE。
RN设备启动过程分为两个主要过程:
1、RN设备使用现有的UE附着过程来附着到网络,核心网对RN设备进行认证,建立基本的连接,并生成NAS(Non-Access Stratum,非接入层)和AS(Access Stratum,接入层)密钥。
2、O&M(Operation and Maintenance,操作维护)设备像认证eNB一样对RN设备进行认证,并下载配置数据到RN设备,随后RN设备建立必要的S1接口和X2接口,就可以正常工作了。
目前,3GPP组织对于RN的架构有4种候选方案,在候选架构4中,RNRadio Bearer(无线承载)是由DeNB来控制的,EPC(Evolved Packet Core,演进的分组核心网)并不知道RN Radio Bearer。所以,UE EPS Bearer ID和UE DRB(Data Radio Bearer,数据无线承载)ID是有固定对应映射关系的,但是UE EPS Bearer ID和RN Radio Bearer并没有固定的映射关系,需要DeNB建立一个映射表,RN设备和DeNB内保存的映射关系一致。RN收到DeNB发来的数据包后,再还原为UE EPS Bearer ID和UE DRB ID的对应关系。
DeNB将用户EPS承载一一映射为Un接口上的RN无线承载。当有大量UE同时接入RN设备时,Un接口上将建立大量与UE EPS承载对应的RN无线承载。但是RN设备启动时,功能类似于UE,即与DeNB之间共享了一对AS密钥(包括加密密钥和完整性保护密钥),用于保护Un接口上的数据和信令安全。RN无线承载标识(Bearer ID)是Un接口上加密和完整性保护的输入参数之一,发送方根据Bearer ID等参数和AS密钥生成密文,接收方根据Bearer ID等参数和AS密钥对密文进行处理。由于在使用同一密钥的不同承载上不能使用相同的承载标识,这就限制了Un接口上只使用一对AS密钥时允许接入UE的数量。而目前RN Bearer ID只能表示少量的值,当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,很可能造成RNBearer ID不够使用,从而降低了Un口的安全性。
综上所述,目前LTE-A系统中,当有大量UE接入候选架构4的RN设备、需要建立多个RN无线承载时,很可能造成RN Bearer ID数量不够使用,从而降低了Un口的安全性。
发明内容
本发明实施例提供一种确定密钥的方法、系统和装置,用以增加密钥数量,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高Un口的安全性。
本发明实施例提供一种确定密文的方法、系统和装置,用以增加RN无线承载标识的数量,从而在LTE-A系统中当有大量UE接入架构4中的RN设备、需要建立多个RN无线承载时,提高Un口的安全性。
本发明实施例提供一种确定密钥的方法,该方法包括:
在用户终端发起附着请求后,第一网络侧设备为所述用户终端配置一个密钥参数;
所述第一网络侧设备和与所述第一网络侧设备连接的第二网络侧设备分别根据所述第一网络侧设备配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的一对接入层AS密钥。
本发明实施例提供一种确定密钥的系统,该系统包括:
第一网络侧设备,用于在用户终端发起附着请求后,为所述用户终端配置一个密钥参数,根据配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的一对接入层AS密钥;
与所述第一网络侧设备连接的第二网络侧设备,用于根据所述第一网络侧设备配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的一对AS密钥。
本发明实施例提供一种网络侧设备,该网络侧设备包括:
配置模块,用于在用户终端发起附着请求后,为所述用户终端配置一个密钥参数;
第一密钥确定模块,用于根据配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的一对接入层AS密钥。
本发明实施例提供另一种网络侧设备,该网络侧设备包括:
接收模块,用于接收来自其他网络侧设备为用户终端配置的密钥参数;
第二密钥确定模块,用于根据所述密钥参数和预先设定的加密参数,确定所述用户终端对应的一对接入层AS密钥。
本发明实施例在用户终端发起附着请求后,第一网络侧设备为用户终端配置一个密钥参数,第一网络侧设备和第二网络侧设备分别根据所述第一网络侧设备配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的一对接入层AS密钥。由于能够根据接入的用户终端,为每个用户终端分别分配一个不同的密钥,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
本发明实施例网络侧设备在需要发送用户终端对应的数据时,根据所述用户终端对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识,生成密文;其中,扩展的中继节点RN无线承载标识长度不小于6bit。由于能够扩展RN无线承载标识的数量,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
附图说明
图1为本发明实施例确定密钥的系统结构示意图;
图2A~2D为本发明实施例第一种网络侧设备的结构示意图;
图3A~3C为本发明实施例第二种网络侧设备的结构示意图;
图4为本发明实施例确定密钥的方法流程示意图;
图5为本发明实施例用户终端附着过程示意图;
图6为本发明实施例第三种网络侧设备的结构示意图;
图7为本发明实施例确定密文的方法流程示意图;。
图8A为本发明实施例采用扩展RN无线承载标识进行加密的示意图;
图8B为本发明实施例采用扩展RN无线承载标识进行解密的示意图;
图9A为本发明实施例采用扩展RN无线承载标识进行完整性保护的示意图;
图9B为本发明实施例采用扩展RN无线承载标识进行完整性检测的示意图。
具体实施方式
针对候选架构4中RN Bearer ID数量可能不够使用的问题,本发明实施例提出了两种方案。
方案一、本发明实施例在用户终端发起附着请求后,第一网络侧设备为用户终端配置一个密钥参数,第一网络侧设备和与第一网络侧设备连接的第二网络侧设备分别根据第一网络侧设备配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。由于能够根据接入的用户终端,为每个用户终端分别分配一个不同的密钥,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性
方案二、本发明实施例网络侧设备在需要发送用户终端对应的数据时,根据用户终端对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识,生成密文;其中,扩展的中继节点RN无线承载标识长度不小于6bit。由于能够扩展RN无线承载标识的数量,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
需要说明的是,本发明实施例并不局限于LTE-A系统,其他含有RN设备的系统同样适用本发明实施例。
下面结合说明书附图对本发明实施例作进一步详细描述。
如图1所示,本发明实施例确定密钥的系统包括:第一网络侧设备10和第二网络侧设备20。
第一网络侧设备10,用于在用户终端发起附着请求后,为该用户终端配置一个密钥参数,根据配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对AS密钥。
与第一网络侧设备10连接的第二网络侧设备20,用于根据第一网络侧设备10配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对AS密钥。
如果第一网络侧设备10是RN设备,则第二网络侧设备20是基站(即密钥参数由RN设备生成);
如果第一网络侧设备10是基站,则第二网络侧设备20是RN设备(即密钥参数由基站生成)。
其中,不管RN设备是第一网络侧设备10还是第二网络侧设备20,在RN设备启动时,服务RN设备的MME(Mobility Management Entity,移动性管理实体)会生成一个KeNB(即加密参数),然后将KeNB发送给基站,而RN设备也会生成一个同样的KeNB。
具体的,MME利用Kasme(一个密钥记号,类似KeNB)和NAS COUNT(非接入层计数器值)=0生成KeNB,RN设备由于有和MME一样的Kasme以及NAS COUNT=0,所以可以计算出与MME一样的KeNB。
情况一、第一网络侧设备10是RN设备,第二网络侧设备20是基站。
这种情况下又分为两种不同的处理方式。
方式一、RN设备作为UE启动时,在RN设备、基站、(服务RN的)MME、HSS(Home Subscriber Server,归属用户服务器)之间完成一次认证,RN设备和基站之间共享一个KeNB,RN设备和DeNB之间协商出一个加密算法和完整性算法。
其中,加密算法包括但不限于下列算法中的一种:
空算法、SNOW3G和AES(高级数据加密算法)。
完整性算法包括但不限于下列算法中的一种:
空算法、SNOW3G和AES。
RN设备在用户终端发起附着请求(Attach Request)后,RN设备为该用户终端配置一个密钥参数(UE specific parameter),计算出Un口上针对该用户终端的AS密钥KUn-int(完整性密钥)和KUn-enc(加密密钥)。
具体的,RN设备为用户终端配置一个密钥参数,然后RN设备根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
RN设备为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
RN设备将发起附着请求的用户终端的标识作为该用户终端的密钥参数,比如RN设备可以使用用户终端在建立RRC(Radio Resource Control,无线资源控制)连接时的RRC Connection Request(RRC连接请求)消息中携带的S-TMSI(临时身份)或Random value(随机数)作为用户终端的标识;
RN设备按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数,例如1、2、3.....;
RN设备随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
RN设备在确定用户终端对应的一对AS密钥后,将配置的密钥参数置于初始用户终端消息(Initial UE Message)中,发送给基站。
基站收到初始用户终端消息后,提取出密钥参数,根据与RN设备根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
然后基站将收到的初始用户终端消转发给服务用户终端的MME,并将收到来自该MME的初始上下文建立请求(Initial Context Setup Request)消息转发给RN设备,并且在收到初始上下文建立请求消息后为该用户终端建立PDCP(Packet Data Convergence Protocol,分组数据汇聚协议)实体,并将之前确定的该用户终端的一对AS密钥和与RN设备协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
RN设备收到初始上下文建立请求消息后,为该用户终端建立PDCP实体,并将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
方式二与方式一的不同点在于:
RN设备为该用户终端配置一个密钥参数后,直接将该密钥参数通过初始用户终端消息发送给基站,等收到来自基站的初始上下文建立请求后,再根据密钥参数和加密参数,确定用户终端对应的一对接入层AS密钥。其他过程与方式一相同,在此不再赘述。
情况二、第一网络侧设备10是基站,第二网络侧设备20是RN设备。
RN设备作为UE启动时,与情况一相同需要在RN设备、基站、(服务RN的)MME、HSS之间完成一次认证,RN设备和基站之间共享一个KeNB,RN设备和DeNB之间协商出一个加密算法和完整性算法。
RN设备在用户终端发起附着请求(Attach Request)后,向基站发送初始用户终端消息。
基站将收到的初始用户终端消息转发给服务用户终端的MME,在收到来自MME的初始上下文建立请求消息后,为该用户终端配置一个密钥参数,然后基站根据与RN设备协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与RN设备协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
基站为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
基站将发起附着请求的用户终端的标识作为该用户终端的密钥参数,比如基站可以将初始用户终端消息中携带的S-TMSI或Random value作为用户终端的标识;
基站按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数,比如基站给每个通过RN设备接入基站的用户终端按照时间顺序进行编号,例如1、2、3.....;
基站随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
基站在确定用户终端对应的一对AS密钥后,将配置的密钥参数置于收到的初始上下文建立请求消息中,发送给RN设备。
RN设备在收到初始上下文建立请求消息后,提取出密钥参数,并根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
基站和RN设备在确定用户终端对应的一对AS密钥后,分别为该用户终端建立PDCP实体,并将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
在具体实施过程中,第一网络侧设备10和第二网络侧设备20之间需要发送用户终端对应的数据时(用户终端对应的数据可以是下行发送给用户终端的数据,也可以是上行由用户终端发来的数据),数据发送方还可以根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;其中,扩展的RN无线承载标识长度不小于6bit。
相应的,发送方在发送密文后,接收方会根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
如图2A所示,本发明实施例第一种网络侧设备包括:配置模块100和第一密钥确定模块110。
配置模块100,用于在用户终端发起附着请求后,为用户终端配置一个密钥参数。
第一密钥确定模块110,用于根据配置模块100配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。
如果网络侧设备是RN设备,第一密钥确定模块110可以根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
相应的,本发明实施例的网络侧设备还可以进一步包括:第一发送模块120,如图2B所示。
第一发送模块120,用于在第一密钥确定模块110确定用户终端对应的一对AS密钥后,将配置的密钥参数通过初始用户终端消息发送给基站。
如果述网络侧设备是RN设备,第一密钥确定模块110可以在收到来自基站的初始上下文建立请求消息后,根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
相应的,本发明实施例的网络侧设备还可以进一步包括:第二发送模块130,如图2C所示。
第二发送模块130,用于在配置模块100为用户终端配置一个密钥参数后,将配置的密钥参数通过初始用户终端消息发送给基站。
如果网络侧设备是基站,配置模块可以将收到的来自RN设备的初始用户终端消息转发给服务用户终端的MME,在收到来自MME的初始上下文建立请求消息后,为用户终端配置一个密钥参数;
相应的,第一密钥确定模块110在配置模块为用户终端配置一个密钥参数后,根据与RN设备协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与RN设备协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
本发明实施例的网络侧设备还可以进一步包括:第三发送模块140,如图2D所示。
第三发送模块140,用于在第一密钥确定模块110确定用户终端对应的一对AS密钥后,将配置的密钥参数通过初始上下文建立请求消息发送给RN设备。
其中,配置模块100为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
将发起附着请求的用户终端的标识作为该用户终端的密钥参数;
按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数;
随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
其中,本发明实施例网络侧设备还可以进一步包括:第一生成模块150。
第一生成模块150,用于在需要发送用户终端对应的数据时,根据第一密钥确定模块110确定的用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;
其中,扩展的RN无线承载标识长度不小于6bit。
进一步的,本发明实施例网络侧设备在作为接收方时,第一生成模块150还可以根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
如图3A所示,本发明实施例第二种网络侧设备包括:接收模块200和第二密钥确定模块210。
接收模块200,用于接收来自其他网络侧设备为用户终端配置的密钥参数;
第二密钥确定模块210,用于根据接收模块200接收的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。
如果网络侧设备是基站,第二密钥确定模块210可以根据与RN设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与RN设备协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
其中,本发明实施例还可以进一步包括:转发模块220,如图3B所示。
转发模块220,用于在第二密钥模块210确定一对AS密钥后,将收到的来自RN设备的初始用户终端消息转发给服务用户终端的MME,以及将收到来自MME的初始上下文建立请求消息转发给RN设备。
如果网络侧设备是RN设备,本发明实施例的网络侧设备还可以进一步包括:处理模块230,如图3C所示。
处理模块230,用于在用户终端发起的附着请求后,向基站发送初始用户终端消息;
接收模块200接收来自基站的包含密钥参数的初始用户终端消息;
第二密钥确定模块210根据与基站设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥
其中,本发明实施例的网络侧设备还可以进一步包括:第二生成模块240。
第二生成模块240,用于在需要发送用户终端对应的数据时,根据第二密钥确定模块210确定的用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;
其中,扩展的RN无线承载标识长度不小于6bit。
进一步的,本发明实施例网络侧设备在作为接收方时,第二生成模块240还可以根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
如图4所示,本发明实施例确定密钥的方法包括下列步骤:
步骤401、在用户终端发起附着请求后,第一网络侧设备为用户终端配置一个密钥参数。
步骤402、第一网络侧设备和与第一网络侧设备连接的第二网络侧设备分别根据第一网络侧设备配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。
如果第一网络侧设备是RN设备,则第二网络侧设备是基站(即密钥参数由RN设备生成);
如果第一网络侧设备是基站,则第二网络侧设备是RN设备(即密钥参数由基站生成)。
其中,不管RN设备是第一网络侧设备还是第二网络侧设备,步骤401之前还可以进一步包括:
步骤400、在RN设备启动时,服务RN设备的MME会生成一个KeNB(即加密参数),然后将KeNB发送给基站,而RN设备也会生成一个同样的KeNB。
具体的,MME利用Kasme和NAS COUNT=0生成KeNB,RN设备由于有和MME一样的Kasme以及NAS COUNT=0,所以可以计算出与MME一样的KeNB。
情况一、第一网络侧设备是RN设备,第二网络侧设备是基站。
这种情况下又分为两种不同的处理方式。
方式一、步骤400中,RN设备作为UE启动时,在RN设备、基站、(服务RN的)MME、HSS之间完成一次认证,RN设备和基站之间共享一个KeNB,RN设备和DeNB之间协商出一个加密算法和完整性算法。
步骤401中,RN设备在用户终端发起附着请求(Attach Request)后,RN设备为该用户终端配置一个密钥参数(UE specific parameter),步骤402中,RN设备和基站分别计算出Un口上针对该用户终端的AS密钥KUn-int(完整性密钥)和KUn-enc(加密密钥)。
具体的,步骤401中RN设备为用户终端配置一个密钥参数。
步骤402还可以进一步包括:
步骤a402、RN设备根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
RN设备为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
RN设备将发起附着请求的用户终端的标识作为该用户终端的密钥参数,比如RN设备可以使用用户终端在建立RRC(Radio Resource Control,无线资源控制)连接时的RRC Connection Request(RRC连接请求)消息中携带的S-TMSI或Random value作为用户终端的标识;
RN设备按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数,例如1、2、3.....;
RN设备随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
步骤b402、RN设备在确定用户终端对应的一对AS密钥后,将配置的密钥参数置于初始用户终端消息(Initial UE Message)中,发送给基站。
步骤c402、基站收到初始用户终端消息后,提取出密钥参数,根据与RN设备根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
步骤d402、基站将收到的初始用户终端消转发给服务用户终端的MME,并将收到来自该MME的初始上下文建立请求(Initial Context Setup Request)消息转发给RN设备。
步骤402之后还可以进一步包括:
基站在收到来自MME的初始上下文建立请求消息后为该用户终端建立PDCP(Packet Data Convergence Protocol,分组数据汇聚协议)实体,并将之前确定的该用户终端的一对AS密钥和与RN设备协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护;
RN设备在收到来自基站的初始上下文建立请求消息后,为该用户终端建立PDCP实体,并将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
方式二与方式一的不同点在于:
RN设备为该用户终端配置一个密钥参数后,直接将该密钥参数通过初始用户终端消息发送给基站,等收到来自基站的初始上下文建立请求后,再根据密钥参数和加密参数,确定用户终端对应的一对接入层AS密钥。其他过程与方式一相同,在此不再赘述。
情况二、第一网络侧设备是基站,第二网络侧设备是RN设备。
步骤400中,RN设备作为UE启动时,与情况一相同需要在RN设备、基站、(服务RN的)MME、HSS之间完成一次认证,RN设备和基站之间共享一个KeNB,RN设备和DeNB之间协商出一个加密算法和完整性算法。
步骤401还可以进一步包括:
步骤a401、RN设备在用户终端发起附着请求(Attach Request)后,向基站发送初始用户终端消息。
步骤b401、基站将收到的初始用户终端消息转发给服务用户终端的MME,在收到来自MME的初始上下文建立请求消息后,为该用户终端配置一个密钥参数。
步骤402还可以进一步包括:
步骤e402、基站根据与RN设备协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与RN设备协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
基站为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
基站将发起附着请求的用户终端的标识作为该用户终端的密钥参数,比如基站可以将初始用户终端消息中携带的S-TMSI或Random value作为用户终端的标识;
基站按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数,比如基站给每个通过RN设备接入基站的用户终端按照时间顺序进行编号,例如1、2、3.....;
基站随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
步骤f402、基站在确定用户终端对应的一对AS密钥后,将配置的密钥参数置于收到的初始上下文建立请求消息中,发送给RN设备。
步骤g402、RN设备在收到初始上下文建立请求消息后,提取出密钥参数,并根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
其中,基站和RN设备在确定用户终端对应的一对AS密钥后,为该用户终端建立PDCP实体,并将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
在具体实施过程中,第一网络侧设备和第二网络侧设备之间需要发送用户终端对应的数据时(用户终端对应的数据可以是下行发送给用户终端的数据,也可以是上行由用户终端发来的数据),数据发送方还可以根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;其中,扩展的RN无线承载标识长度不小于6bit。
相应的,发送方在发送密文后,接收方会根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
其中,接收方和发送方确定的扩展的RN无线承载标识占用的比特数需要相同,具体可以由接收方和发送方直接协商确定,也可以在协议中进行规定。
如图5所示,本发明实施例用户终端附着过程包括下列步骤:
步骤500、RN设备启动,进行认证和协商。
步骤501、用户终端和RN设备之间建立RRC连接。
步骤502、用户终端向RN设备发送附着请求消息。
步骤503、RN设备向基站发送初始用户终端消息。
步骤504、基站向服务用户终端的MME转发初始用户终端消息。
步骤505、服务用户终端的MME与用户终端的SGW/PGW创建承载。
步骤506、服务用户终端的MME向基站返回初始上下文建立请求消息。
步骤507、基站向RN设备转发初始上下文建立请求消息。
步骤508、RN设备与用户终端进行RRC重配置。
步骤509、RN设备向基站发送初始上下文建立请求响应消息。
步骤510、基站向服务用户终端的MME转发初始上下文建立请求响应消息。
步骤511、服务用户终端的MME与用户终端的SGW/PGW进行承载更新。
如图6所示,本发明实施例第三种网络侧设备包括:标识确定模块300和密文确定模块310。
标识确定模块300,用于确定扩展的RN无线承载标识,其中扩展的RN无线承载标识长度不小于6bit;
密文确定模块310,用于在需要发送用户终端对应的数据时,根据用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文。
进一步的,密文确定模块310还可以将生成的密文发送给接收方。
相应的,在密文确定模块310收到来自其他网络侧设备的密文后,根据用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
本发明实施例的网络侧设备可以是基站,也可以是RN设备。
如图7所示,本发明实施例确定密文的方法包括下列步骤:
步骤701、网络侧设备确定扩展的RN无线承载标识,其中扩展的RN无线承载标识长度不小于6bit。
步骤702、网络侧设备在需要发送用户终端对应的数据时,根据用户终端对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识,生成密文。
其中,步骤702之后还可以进一步包括:
网络侧设备将生成的密文发送给接收方。
在具体实施过程中,如果网络侧设备收到来自其他网络侧设备的密文后,根据用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
其中,接收方和发送方确定的扩展的RN无线承载标识占用的比特数需要相同,具体可以由接收方和发送方直接协商确定,也可以在协议中进行规定。
如图8A所示,本发明实施例采用扩展RN无线承载标识进行加密的示意图中,发送端利用加密密钥KEY,以及其他参数COUNT、BEARER ID、上下行方向DIRECTION、LENGTH作为输入参数,输入算法EEA中,计算出密钥流KEYSTREAM BLOCK,与明文进行异或操作,生成密文,发送给接收端;接收端收到密文后,利用与发送端相同的参数KEY、COUNT、BEARER ID、DIRECTION、LENGTH,输入加密算法EEA,生成出密钥流KEYSTREAMBLOCK,与收到的密文进行异或操作。
如图8B所示,本发明实施例采用扩展RN无线承载标识进行解密的示意图中,由于接收端使用的参数和发送端一致,所以接收端计算出来的密钥流和发送端用于加密的密钥流是一样的。明文用相同的密钥流进行两次异或操作,相当于没有进行异或操作,所以接收端能够得到一样的明文。
如图9A所示,本发明实施例采用扩展RN无线承载标识进行完整性保护的示意图中,发送端利用完整性密钥KEY,以及其他参数COUNT、上下行方向DIRECTION、BEARER ID和消息本身作为完整性算法的输入,生成一个完整性校验码MAC-I,发送端将消息本身和MAC-I一起发送给接收端。
如图9B所示,本发明实施例采用扩展RN无线承载标识进行完整性检测的示意图中,接收端利用和发送端一样的完整性密钥KEY,以及收到的消息本身和COUNT、BEARER ID、DIRECTION作为完整性算法的输入,计算出一个完整性校验码XMAC-I,与收到的MAC-I进行比较。如果一致,则认为收到的消息和发送的消息是一样的,即没有被修改。
需要说明的是,本发明实施例的方法可以应用在在Un口传输数据的流程中,比如确定一对AS密钥后,可以进行后续的加密和完整性保护过程。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
从上述实施例中可以看出:本发明实施例在用户终端发起附着请求后,第一网络侧设备为用户终端配置一个密钥参数;第一网络侧设备和与第一网络侧设备连接的第二网络侧设备分别根据第一网络侧设备配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。
由于能够根据接入的用户终端,为每个用户终端分别分配一个不同的密钥,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
本发明实施例网络侧设备在需要发送用户终端对应的数据时,根据用户终端对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识,生成密文;其中,扩展的RN无线承载标识长度不小于6bit。
由于能够扩展RN无线承载标识的数量,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (23)
1.一种确定密钥的方法,其特征在于,该方法包括:
在用户终端发起附着请求后,第一网络侧设备为所述用户终端配置一个与其他用户终端不同的密钥参数;
所述第一网络侧设备和与所述第一网络侧设备连接的第二网络侧设备分别根据所述第一网络侧设备配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的完整性密钥和加密密钥,并将确定的完整性密钥和加密密钥作为所述用户终端对应的一对接入层AS密钥。
2.如权利要求1所述的方法,其特征在于,所述第一网络侧设备是中继节点RN设备,所述第二网络侧设备是基站;
所述第一网络侧设备和第二网络侧设备确定所述用户终端对应的一对AS密钥包括:
所述RN设备在为所述用户终端配置一个密钥参数后,根据与所述基站协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述RN设备将配置的密钥参数通过初始用户终端消息发送给所述基站;
所述基站根据与所述RN设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述RN设备协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
3.如权利要求1所述的方法,其特征在于,所述第一网络侧设备是RN设备,所述第二网络侧设备是基站;
所述第一网络侧设备和第二网络侧设备确定所述用户终端对应的一对AS密钥包括:
所述RN设备将配置的密钥参数通过初始用户终端消息发送给所述基站;
所述基站根据与所述RN设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述RN设备协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述基站将收到的所述初始用户终端消息转发给服务所述用户终端的移动性管理实体MME,以及将收到来自所述MME的初始上下文建立请求消息转发给所述RN设备;
所述RN设备在收到所述初始上下文建立请求消息后,根据与所述基站协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
4.如权利要求1所述的方法,其特征在于,所述第一网络侧设备是基站,所述第二网络侧设备是RN设备;
所述第一网络侧设备为所述用户终端配置一个密钥参数包括:
所述RN设备在用户终端发起的附着请求后,向所述基站发送初始用户终端消息;
所述基站将收到的所述初始用户终端消息转发给服务所述用户终端的MME,在收到来自所述MME的初始上下文建立请求消息后,为所述用户终端配置一个密钥参数;
所述第一网络侧设备和第二网络侧设备确定所述用户终端对应的一对AS密钥包括:
所述基站在为所述用户终端配置一个密钥参数后,根据与所述RN设备协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述RN设备协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述基站将配置的密钥参数通过所述初始上下文建立请求消息发送给所述RN设备;
所述RN设备根据与所述基站设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
5.如权利要求2~4任一权利要求所述的方法,其特征在于,所述第一网络侧设备为所述用户终端配置一个密钥参数包括:
所述第一网络侧设备将发起附着请求的用户终端的标识作为该用户终端的密钥参数;或
所述第一网络侧设备按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数;或
所述第一网络侧设备随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
6.如权利要求1所述的方法,其特征在于,所述第一网络侧设备和第二网络侧设备分别确定所述用户终端对应的一对AS密钥后还包括:
所述第一网络侧设备或所述第二网络侧设备在需要发送所述用户终端对应的数据时,所述第一网络侧设备或所述第二网络侧设备根据所述用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;
其中,所述扩展的RN无线承载标识长度不小于6bit。
7.一种确定密钥的系统,其特征在于,该系统包括:
第一网络侧设备,用于在用户终端发起附着请求后,为所述用户终端配置一个与其他用户终端不同的密钥参数,根据配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的完整性密钥和加密密钥,并将确定的完整性密钥和加密密钥作为所述用户终端对应的一对接入层AS密钥;
与所述第一网络侧设备连接的第二网络侧设备,用于根据所述第一网络侧设备配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的完整性密钥和加密密钥,并将确定的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
8.如权利要求7所述的系统,其特征在于,所述第一网络侧设备是中继节点RN设备,所述第二网络侧设备是基站;
所述第一网络侧设备用于:
在为所述用户终端配置一个密钥参数后,根据与所述基站协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥,将配置的密钥参数通过初始用户终端消息发送给所述基站;
所述第二网络侧设备用于:
在收到所述密钥参数后,根据与所述RN设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述RN设备协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
9.如权利要求7所述的系统,其特征在于,所述第一网络侧设备是RN设备,所述第二网络侧设备是基站;
所述第一网络侧设备用于:
所述RN设备将配置的密钥参数通过初始用户终端消息发送给所述基站,在收到来自所述基站的初始上下文建立请求消息后,根据与所述基站协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述第二网络侧设备用于:
在收到所述密钥参数后,根据与所述RN设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述RN设备协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥,以及,将收到的所述初始用户终端消息转发给服务所述用户终端的移动性管理实体MME,以及将收到来自所述MME的初始上下文建立请求消息转发给所述RN设备。
10.如权利要求7所述的系统,其特征在于,所述第一网络侧设备是基站,所述第二网络侧设备是RN设备;
所述第一网络侧设备用于:
基站将收到的来自所述RN设备的初始用户终端消息转发给服务用户终端的MME,在收到来自所述MME的初始上下文建立请求消息后,为所述用户终端配置一个密钥参数,根据与所述RN设备协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述RN设备协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥,将配置的密钥参数通过所述初始上下文建立请求消息发送给所述RN设备;
所述第二网络侧设备用于:
在用户终端发起的附着请求后,向所述基站发送初始用户终端消息,在收到所述密钥参数后,根据与所述基站设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
11.如权利要求7~10任一权利要求所述的系统,其特征在于,所述第一网络侧设备用于:
将发起附着请求的用户终端的标识作为该用户终端的密钥参数;或
按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
12.如权利要求7所述的系统,其特征在于,所述第一网络侧设备和所述第二网络侧设备还用于:
在需要发送所述用户终端对应的数据时,根据所述用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;
其中,所述扩展的RN无线承载标识长度不小于6bit。
13.一种网络侧设备,其特征在于,该网络侧设备包括:
配置模块,用于在用户终端发起附着请求后,为所述用户终端配置一个密钥参数;
第一密钥确定模块,用于根据配置的密钥参数和预先设定的加密参数,确定所述用户终端对应的一对接入层AS密钥;
其中,所述一对AS密钥为完整性密钥和加密密钥;
所述密钥参数对于不同的用户终端是不同的。
14.如权利要求13所述的网络侧设备,其特征在于,所述网络侧设备是中继节点RN设备;
所述第一密钥确定模块用于:
根据与基站协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述网络侧设备还包括:
第一发送模块,用于在所述第一密钥确定模块确定所述用户终端对应的一对AS密钥后,将配置的密钥参数通过初始用户终端消息发送给所述基站。
15.如权利要求13所述的网络侧设备,其特征在于,所述网络侧设备是RN设备;
所述第一密钥确定模块用于:
在收到来自基站的初始上下文建立请求消息后,根据与所述基站协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述网络侧设备还包括:
第二发送模块,用于在所述配置模块为所述用户终端配置一个密钥参数后,将配置的密钥参数通过初始用户终端消息发送给所述基站。
16.如权利要求13所述的网络侧设备,其特征在于,所述网络侧设备是基站;
所述配置模块用于:
将收到的来自RN设备的初始用户终端消息转发给服务所述用户终端的移动性管理实体MME,在收到来自所述MME的初始上下文建立请求消息后,为所述用户终端配置一个密钥参数;
所述第一密钥确定模块用于:
在所述配置模块为所述用户终端配置一个密钥参数后,根据与所述RN设备协商确定的完整性算法、所述密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述RN设备协商确定的加密算法、所述密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥;
所述网络侧设备还包括:
第三发送模块,用于在所述第一密钥确定模块确定所述用户终端对应的一对AS密钥后,将配置的密钥参数通过初始上下文建立请求消息发送给所述RN设备。
17.如权利要求13~16任一权利要求所述的网络侧设备,其特征在于,所述配置模块用于:
将发起附着请求的用户终端的标识作为该用户终端的密钥参数;或
按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数;或
随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
18.如权利要求13所述的网络侧设备,其特征在于,所述网络侧设备还包括:
第一生成模块,用于在需要发送所述用户终端对应的数据时,根据所述第一密钥确定模块确定的所述用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;
其中,所述扩展的RN无线承载标识长度不小于6bit。
19.一种网络侧设备,其特征在于,该网络侧设备包括:
接收模块,用于接收来自其他网络侧设备为用户终端配置的密钥参数;
第二密钥确定模块,用于根据所述密钥参数和预先设定的加密参数,确定所述用户终端对应的一对接入层AS密钥;
其中,所述一对AS密钥为完整性密钥和加密密钥;
所述密钥参数对于不同的用户终端是不同的。
20.如权利要求19所述的网络侧设备,其特征在于,所述网络侧设备是基站;
所述第二密钥确定模块用于:
根据与中继节点RN设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述RN设备协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
21.如权利要求20所述的网络侧设备,其特征在于,所述网络侧设备还包括:
转发模块,用于在所述第二密钥模块确定一对AS密钥后,将收到的来自RN设备的初始用户终端消息转发给服务所述用户终端的移动性管理实体MME,以及将收到来自所述MME的初始上下文建立请求消息转发给所述RN设备。
22.如权利要求19所述的网络侧设备,其特征在于,所述网络侧设备是RN设备;
所述网络侧设备还包括:
处理模块,用于在用户终端发起的附着请求后,向基站发送初始用户终端消息;
所述接收模块用于:
接收来自基站的包含密钥参数的初始用户终端消息;
所述第二密钥确定模块用于:
根据与所述基站设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与所述基站协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为所述用户终端对应的一对AS密钥。
23.如权利要求19~22任一权利要求所述的网络侧设备,其特征在于,所述网络侧设备还包括:
第二生成模块,用于在需要发送所述用户终端对应的数据时,根据所述第二密钥确定模块确定的所述用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;
其中,所述扩展的RN无线承载标识长度不小于6bit。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910236863.8A CN102056157B (zh) | 2009-11-04 | 2009-11-04 | 一种确定密钥和密文的方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910236863.8A CN102056157B (zh) | 2009-11-04 | 2009-11-04 | 一种确定密钥和密文的方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102056157A CN102056157A (zh) | 2011-05-11 |
| CN102056157B true CN102056157B (zh) | 2013-09-11 |
Family
ID=43959972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910236863.8A Active CN102056157B (zh) | 2009-11-04 | 2009-11-04 | 一种确定密钥和密文的方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102056157B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103167492B (zh) * | 2011-12-15 | 2016-03-30 | 华为技术有限公司 | 在通信系统中生成接入层密钥的方法及其设备 |
| CN103686708B (zh) | 2012-09-13 | 2018-01-19 | 电信科学技术研究院 | 一种密钥隔离方法及设备 |
| CN103929740B (zh) * | 2013-01-15 | 2017-05-10 | 中兴通讯股份有限公司 | 数据安全传输方法及lte接入网系统 |
| CN104936173B (zh) * | 2014-03-18 | 2022-02-25 | 华为技术有限公司 | 密钥生成方法、主基站、辅基站及用户设备 |
| CN103914541B (zh) * | 2014-04-03 | 2017-08-01 | 小米科技有限责任公司 | 信息搜索的方法及装置 |
| CN106375992B (zh) * | 2015-07-20 | 2019-08-06 | 中兴通讯股份有限公司 | 实现接入层安全的方法及用户设备和节点 |
| US10567964B2 (en) * | 2015-11-24 | 2020-02-18 | Futurewei Technologies, Inc. | Security for proxied devices |
| CN106792676B (zh) * | 2017-02-10 | 2018-03-20 | 北京浩瀚深度信息技术股份有限公司 | 一种lte系统内部nas消息的解密方法及装置 |
| CN109756324A (zh) * | 2017-11-02 | 2019-05-14 | 大唐移动通信设备有限公司 | 一种Mesh网络中的密钥协商方法、终端及网关 |
| CN109756451B (zh) * | 2017-11-03 | 2022-04-22 | 华为技术有限公司 | 一种信息交互方法及装置 |
| WO2019140633A1 (zh) | 2018-01-19 | 2019-07-25 | Oppo广东移动通信有限公司 | 指示用户设备获取密钥的方法、用户设备及网络设备 |
| CN113381966B (zh) * | 2020-03-09 | 2023-09-26 | 维沃移动通信有限公司 | 信息上报方法、信息接收方法、终端及网络侧设备 |
| CN114629630A (zh) * | 2020-12-14 | 2022-06-14 | 中国移动通信有限公司研究院 | 初始化矢量生成方法、装置及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1973265A1 (en) * | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
| CN101453732A (zh) * | 2007-12-05 | 2009-06-10 | 华硕电脑股份有限公司 | 处理密钥变更的方法及其相关通信装置 |
| CN101483865A (zh) * | 2009-01-19 | 2009-07-15 | 中兴通讯股份有限公司 | 一种密钥更替方法、系统及设备 |
-
2009
- 2009-11-04 CN CN200910236863.8A patent/CN102056157B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1973265A1 (en) * | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
| CN101453732A (zh) * | 2007-12-05 | 2009-06-10 | 华硕电脑股份有限公司 | 处理密钥变更的方法及其相关通信装置 |
| CN101483865A (zh) * | 2009-01-19 | 2009-07-15 | 中兴通讯股份有限公司 | 一种密钥更替方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102056157A (zh) | 2011-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102056157B (zh) | 一种确定密钥和密文的方法、系统及装置 | |
| CN108432206B (zh) | 用于蜂窝物联网的无状态接入阶层安全性 | |
| EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
| WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
| US10271208B2 (en) | Security support method and system for discovering service and group communication in mobile communication system | |
| CN109923830A (zh) | 用于配置无线网络接入设备的系统和方法 | |
| US11109206B2 (en) | Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment | |
| JP6614304B2 (ja) | モバイル通信システム、グループゲートウェイ、ue及び通信方法 | |
| CN109644134A (zh) | 用于大型物联网组认证的系统和方法 | |
| WO2014134786A1 (zh) | 一种密钥交互方法及装置 | |
| CN108293223A (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| CN104936173B (zh) | 密钥生成方法、主基站、辅基站及用户设备 | |
| CN101500229A (zh) | 建立安全关联的方法和通信网络系统 | |
| CN101951590B (zh) | 认证方法、装置及系统 | |
| JP6418230B2 (ja) | モバイル通信システム、mtc−iwf、及び方法 | |
| US20150229620A1 (en) | Key management in machine type communication system | |
| WO2012031510A1 (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
| CN101931953A (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
| CN101945387A (zh) | 一种接入层密钥与设备的绑定方法和系统 | |
| WO2013091543A1 (zh) | 一种低成本终端的安全通信方法、装置及系统 | |
| CN103139771A (zh) | 切换过程中密钥生成方法及系统 | |
| WO2015062314A1 (zh) | 密钥协商处理方法和装置 | |
| CN105764052A (zh) | Td-lte鉴权认证和保护性加密方法 | |
| WO2022027476A1 (zh) | 密钥管理方法及通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210528 Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing Patentee after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| TR01 | Transfer of patent right |