CN102131192A - Ngn中保护三层移动性用户面数据安全的方法和系统 - Google Patents
Ngn中保护三层移动性用户面数据安全的方法和系统 Download PDFInfo
- Publication number
- CN102131192A CN102131192A CN2010100012424A CN201010001242A CN102131192A CN 102131192 A CN102131192 A CN 102131192A CN 2010100012424 A CN2010100012424 A CN 2010100012424A CN 201010001242 A CN201010001242 A CN 201010001242A CN 102131192 A CN102131192 A CN 102131192A
- Authority
- CN
- China
- Prior art keywords
- mobility
- layer
- user face
- terminal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种下一代网络(NGN)中保护三层移动性用户面数据安全的方法,包括:终端与认证服务器进行认证,在认证成功后,终端与认证服务器均获得共享密钥材料;终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用户面数据的安全。本发明还公开了一种NGN中保护三层移动性用户面数据安全的系统。通过本发明的方法和系统,实现了对NGN用户与NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话中用户面数据的安全性。
Description
技术领域
本发明涉及通信领域中的三层移动性会话安全技术,尤其涉及一种下一代网络(NGN)中保护三层移动性用户面数据安全的方法和系统。
背景技术
下一代网络(NGN,Next Generation Network)作为演进的基于分组交换的网络框架受到越来越多的关注。国际电信联盟电信标准部(ITU-T,InternationalTelegraph Union)和其他地区标准组织,如欧洲电信标准化协会(ETSI,EuropeanTelecommunications Standards Institute)、世界无线通讯解决方案联盟(ATIS,The Alliance for Telecommunications Industry Solutions)等,对NGN框架模型、业务以及相关领域进行了广泛的研究和标准化工作。NGN能够支持异构网络接入、网间漫游和无缝切换。在移动用户终端进行切换时,需要保证业务的连续性,同时要保证移动用户终端与NGN网络接入点之间的信令面数据和用户面数据的私密性、完整性。
NGN用户认证成功后,使用用户与NGN网络侧共同拥有的共享密钥协商、生成子密钥材料,用于保护用户与NGN网络通信的安全。当前的NGN网络中,有保护信令面安全的方案,方法如下:用户和NGN网络侧均使用认证成功后的共享密钥生成保护移动性信令面安全的移动性安全子密钥,当NGN网络侧收到NGN用户发起的移动性信令时,使用NGN用户与网络侧生成的相同的移动性安全子密钥验证该移动性信令的合法性,达到保护移动性信令的目的;同样的,当NGN用户收到NGN网络侧发起的移动性信令时,也使用NGN用户与网络侧生成的相同的移动性安全子密钥验证该移动性信令的合法性,达到保护移动性信令的目的。
然而,目前的NGN的移动性安全解决方案中,没有涉及如何保护NGN用户与NGN网络侧的用户面数据安全的解决方案,从而给实际应用带来不便。
发明内容
有鉴于此,本发明的主要目的在于提供一种NGN中保护三层移动性用户面数据安全的方法和系统,以实现对NGN用户与NGN网络侧的用户面数据安全的保护。
为达到上述目的,本发明的技术方案是这样实现的:
本发明所提供的一种NGN中保护三层移动性用户面数据安全的方法,该方法包括:
终端与认证服务器进行认证,在认证成功后,所述终端与认证服务器均获得共享密钥材料;
所述终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;
所述认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;
所述终端和移动性数据传输模块通过所述移动性数据安全密钥,保护三层移动性用户面数据的安全。
在根据共享密钥材料生成移动性数据安全密钥之前,该方法还包括:
所述终端与认证服务器交互,获取三层移动性信息。
所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器直接根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器根据所述共享密钥材料,并通过相同的安全算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用户面数据的安全,具体为:
所述移动性数据传输模块在收到终端发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;
所述终端在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
本发明还提供了一种NGN中保护三层移动性用户面数据安全的系统,该系统包括:终端、认证服务器和移动性数据传输模块,其中,
所述终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥,通过所述移动性数据安全密钥,保护自身与移动性数据传输模块之间的三层移动性用户面数据的安全;
所述认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块;
所述移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终端之间的三层移动性用户面数据的安全。
所述终端和认证服务器进一步用于,在根据共享密钥材料生成移动性数据安全密钥之前,所述终端与认证服务器交互,获取三层移动性信息。
所述终端和认证服务器进一步用于,直接根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述终端和认证服务器进一步用于,根据所述共享密钥材料,并通过相同的安全算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述终端和认证服务器进一步用于,根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述终端进一步用于,在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;
相应的,所述移动性数据传输模块进一步用于,在收到终端发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
本发明所提供的一种NGN中保护三层移动性用户面数据安全的方法和系统,由终端与认证服务器根据认证获得的共享密钥材料生成移动性数据安全密钥,并通过生成的移动性数据安全密钥,保护三层移动性用户面数据的安全。通过本发明,实现了对NGN用户与NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话中用户面数据的安全性。
附图说明
图1为本发明实施例一的NGN中保护三层移动性用户面数据安全的方法流程图;
图2为本发明实施例二的NGN中保护三层移动性用户面数据安全的方法流程图;
图3为本发明实施例三的NGN中保护三层移动性用户面数据安全的方法流程图;
图4为本发明实施例四的NGN中保护三层移动性用户面数据安全的方法流程图;
图5为本发明实施例五的NGN中保护三层移动性用户面数据安全的方法流程图;
图6为本发明实施例六的NGN中保护三层移动性用户面数据安全的方法流程图;
图7为本发明实施例七的NGN中保护三层移动性用户面数据安全的方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
为实现对NGN用户与NGN网络侧的用户面数据安全的保护,本发明的实施例一所提供的一种NGN中保护三层移动性用户面数据安全的方法,如图1所示,主要包括以下步骤:
步骤101,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务器均拥有共享密钥材料,记为共享密钥材料A。
步骤102,终端与认证服务器交互,获取三层移动性信息。
终端与认证服务器在交互过程中,从网络侧获取三层移动性信息,该三层移动性信息包括:目的网络的地址、目标网络的类型等等。
步骤103,终端与认证服务器根据三层移动性信息和共享密钥材料A,生成保护三层移动性用户面数据安全的移动性数据安全密钥。
终端与认证服务器可以直接根据三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性数据安全密钥,这样,终端计算生成的移动性数据安全密钥与认证服务器计算生成的移动性数据安全密钥相同。可以采用的安全算法包括:HMAC-SHA1,Keyed-MD5等等。
步骤104,认证服务器将移动性数据安全密钥发送到移动性数据传输模块。
步骤105,终端与移动性数据传输模块通过移动性数据安全密钥保护数据传输安全。
具体的,当移动性数据传输模块收到终端发送的移动性用户面数据时,使用移动性数据安全密钥验证所接收移动性用户面数据的合法性;当终端收到移动性数据传输模块发送的移动性用户面数据时,使用移动性数据安全密钥验证所接收移动性用户面数据的合法性。
需要说明的是,本发明中终端与认证服务器也可以只根据认证流程中获取的共享密钥材料(不使用三层移动性信息),来生成移动性数据安全密钥;也就是说,三层移动性信息不是终端与认证服务器生成移动性数据安全密钥时必选的参数。
本发明中终端与认证服务器根据三层移动性信息和共享密钥材料,生成移动性数据安全密钥的方式不仅限于图1所示,还可以采用其他方式,如图2和图3所示,下面分别进行介绍。
本发明的实施例二所提供的一种NGN中保护三层移动性用户面数据安全的方法,如图2所示,主要包括以下步骤:
步骤201,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务器均拥有共享密钥材料,记为共享密钥材料A。
步骤202,终端与认证服务器交互,获取三层移动性信息。
步骤203,终端与认证服务器根据共享密钥材料A,并通过相同的安全算法计算生成共享密钥材料A的子密钥;再根据三层移动性信息和子密钥,并通过相同的安全算法计算生成移动性数据安全密钥。
其中,计算生成子密钥的安全算法与计算生成移动性数据安全密钥的安全算法可以相同,也可以不同。
步骤204,认证服务器将移动性数据安全密钥发送到移动性数据传输模块。
步骤205,终端与移动性数据传输模块通过移动性数据安全密钥保护数据传输安全。
本发明的实施例三所提供的一种NGN中保护三层移动性用户面数据安全的方法,如图3所示,主要包括以下步骤:
步骤301,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务器均拥有共享密钥材料,记为共享密钥材料A。
步骤302,终端与认证服务器交互,获取三层移动性信息。
步骤303,终端与认证服务器根据共享密钥材料A,并通过相同的安全算法计算生成共享密钥材料A的子密钥;再根据三层移动性信息和子密钥,并通过相同的安全算法计算生成移动性信令安全密钥,记为共享密钥材料C。
其中,计算生成子密钥的安全算法与计算生成共享密钥材料C的安全算法可以相同,也可以不同。认证服务器将生成的共享密钥材料C发送给移动性控制模块。
步骤304,终端与移动性控制模块交互移动性信令,且移动性信令的安全通过共享密钥材料C来保护。
具体的,当移动性控制模块收到终端发起的移动性信令时,使用共享密钥材料C验证所接收移动性信令的合法性;当终端收到移动性控制模块发起的移动性信令时,使用共享密钥材料C验证所接收移动性信令的合法性。
步骤305,终端与认证服务器根据三层移动性信息和共享密钥材料C,并通过相同的安全算法计算生成移动性数据安全密钥,记共享密钥材料D。
计算生成共享密钥材料D的安全算法与计算生成子密钥的安全算法、计算生成共享密钥材料C的安全算法可以相同,也可以不同。
步骤306,认证服务器将共享密钥材料D发送到移动性数据传输模块。
步骤307,终端与移动性数据传输模块通过共享密钥材料D保护数据传输安全。
具体的,当移动性数据传输模块收到终端发送的移动性用户面数据时,使用共享密钥材料D验证所接收移动性用户面数据的合法性;当终端收到移动性数据传输模块发送的移动性用户面数据时,使用共享密钥材料D验证所接收移动性用户面数据的合法性。
为实现上述NGN中保护三层移动性用户面数据安全的方法,本发明还提供一种NGN中保护三层移动性用户面数据安全的系统,包括:终端、认证服务器和移动性数据传输模块。
终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥,通过移动性数据安全密钥,保护自身与移动性数据传输模块之间的三层移动性用户面数据的安全。
认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块。
移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终端之间的三层移动性用户面数据的安全。
将上述NGN中保护三层移动性用户面数据安全的方法应用于ITU-T的NGN中时,具体的实现流程如图4、5、6、7所示。
图4为本发明实施例四的NGN中保护三层移动性用户面数据安全的方法流程图,主要包括以下步骤:
步骤401,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务器均拥有共享密钥材料,记为共享密钥材料A。
步骤402,终端与认证服务器、移动位置管理模块、切换控制模块交互,获取三层移动性信息;终端与认证服务器根据三层移动性信息和共享密钥材料A,通过相同的安全算法计算生成保护三层移动性信令面安全的共享密钥材料C,且认证服务器将生成的共享密钥材料C发送给移动位置管理模块。
终端在与认证服务器、移动位置管理模块、切换控制模块交互过程中,从网络侧获取三层移动性信息,该三层移动性信息包括:目的网络的地址、目标网络的类型等等。
移动位置管理模块(MLM-FE,Mobile Location Management FunctionalEntity)具有但不限于如下功能:在网络移动性情况下代替终端开始位置注册,代替终端处理位置注册信息;管理终端、终端地址的绑定关系,管理终端、底层隧道终结点的绑定关系;处理信令的转发,显示切换控制模块的新的位置绑定信息的分发等。
切换控制模块(HDC-FE,Handover decision and control functional entity)具有但不限于如下功能:接收不同介质网络信息、触发终端进行切换操作(包括二层切换、三层切换)。
步骤403,终端与移动位置管理模块交互移动性信令,且移动性信令的安全通过共享密钥材料C来保护。
步骤404,终端与移动位置管理模块根据三层移动性信息和共享密钥材料A,通过相同的安全算法计算生成保护三层移动性用户面安全的共享密钥材料D,且移动位置管理模块将生成的共享密钥材料D发送给切换控制模块。
其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同,也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。
步骤405,切换控制模块将接收到的共享密钥材料D转发给三层切换执行模块。
步骤406,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面数据的传输安全。
图5为本发明实施例五的NGN中保护三层移动性用户面数据安全的方法流程图,主要包括以下步骤:
其中,步骤501~503的操作与实施例五中步骤401~403的操作类似,此处不再赘述。
步骤504,终端与认证服务器根据三层移动性信息和共享密钥材料A,通过相同的安全算法计算生成保护三层移动性用户面安全的共享密钥材料D,且认证服务器将生成的共享密钥材料D发送给切换控制模块。
其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同,也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。
步骤505,切换控制模块将接收到的共享密钥材料D转发给三层切换执行模块。
步骤506,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面数据的传输安全。
图6为本发明实施例六的NGN中保护三层移动性用户面数据安全的方法流程图,主要包括以下步骤:
其中,步骤601~603的操作与实施例五中步骤401~403的操作类似,此处不再赘述。
步骤604,终端与认证服务器根据三层移动性信息和共享密钥材料A,生成保护三层移动性用户面安全的共享密钥材料D,且认证服务器将生成的共享密钥材料D直接发送给三层切换执行模块。
其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同,也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。
步骤605,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面数据的传输安全。
另外,在实际应用中,三层切换执行模块可以设于边界节点功能实体中,在这种情况下,由边界节点功能实体来代替执行上述图4、5、6中三层切换执行模块的功能,操作流程不变。图7所示实施例为边界节点功能实体代替三层切换执行模块执行图6所示实施例的替换流程,对应图4、5所示实施例的替换流程不再赘述。
综上所述,通过本发明的NGN中保护三层移动性用户面数据安全的方法和系统,实现了对NGN用户与NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话中用户面数据的安全性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (12)
1.一种下一代网络(NGN)中保护三层移动性用户面数据安全的方法,其特征在于,该方法包括:
终端与认证服务器进行认证,在认证成功后,所述终端与认证服务器均获得共享密钥材料;
所述终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;
所述认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;
所述终端和移动性数据传输模块通过所述移动性数据安全密钥,保护三层移动性用户面数据的安全。
2.根据权利要求1所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,在根据共享密钥材料生成移动性数据安全密钥之前,该方法还包括:
所述终端与认证服务器交互,获取三层移动性信息。
3.根据权利要求2所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器直接根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成所述移动性数据安全密钥。
4.根据权利要求2所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器根据所述共享密钥材料,并通过相同的安全算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
5.根据权利要求2所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
6.根据权利要求1至5任一项所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,所述终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用户面数据的安全,具体为:
所述移动性数据传输模块在收到终端发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;
所述终端在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
7.一种NGN中保护三层移动性用户面数据安全的系统,其特征在于,该系统包括:终端、认证服务器和移动性数据传输模块,其中,
所述终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥,通过所述移动性数据安全密钥,保护自身与移动性数据传输模块之间的三层移动性用户面数据的安全;
所述认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块;
所述移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终端之间的三层移动性用户面数据的安全。
8.根据权利要求7所述NGN中保护三层移动性用户面数据安全的系统,其特征在于,所述终端和认证服务器进一步用于,在根据共享密钥材料生成移动性数据安全密钥之前,所述终端与认证服务器交互,获取三层移动性信息。
9.根据权利要求8所述NGN中保护三层移动性用户面数据安全的系统,其特征在于,所述终端和认证服务器进一步用于,直接根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成所述移动性数据安全密钥。
10.根据权利要求8所述NGN中保护三层移动性用户面数据安全的系统,其特征在于,所述终端和认证服务器进一步用于,根据所述共享密钥材料,并通过相同的安全算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
11.根据权利要求8所述NGN中保护三层移动性用户面数据安全的系统,其特征在于,所述终端和认证服务器进一步用于,根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
12.根据权利要求7至11任一项所述NGN中保护三层移动性用户面数据安全的系统,其特征在于,
所述终端进一步用于,在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;
相应的,所述移动性数据传输模块进一步用于,在收到终端发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010001242.4A CN102131192B (zh) | 2010-01-15 | 2010-01-15 | Ngn中保护三层移动性用户面数据安全的方法和系统 |
PCT/CN2010/071189 WO2011085565A1 (zh) | 2010-01-15 | 2010-03-22 | Ngn中保护三层移动性用户面数据安全的方法和系统 |
US13/257,955 US8862867B2 (en) | 2010-01-15 | 2010-03-22 | Method and system for protecting security of the third layer mobility user plane data in NGN |
EP10842849.1A EP2512062A4 (en) | 2010-01-15 | 2010-03-22 | METHOD AND SYSTEM FOR PROTECTING THE SECURITY OF THIRD-COFFEE MOBILITY USER DATA IN NGN |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010001242.4A CN102131192B (zh) | 2010-01-15 | 2010-01-15 | Ngn中保护三层移动性用户面数据安全的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102131192A true CN102131192A (zh) | 2011-07-20 |
CN102131192B CN102131192B (zh) | 2016-06-15 |
Family
ID=44269058
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010001242.4A Active CN102131192B (zh) | 2010-01-15 | 2010-01-15 | Ngn中保护三层移动性用户面数据安全的方法和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8862867B2 (zh) |
EP (1) | EP2512062A4 (zh) |
CN (1) | CN102131192B (zh) |
WO (1) | WO2011085565A1 (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056456A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 无线演进网络实现认证的方法及安全系统 |
CN101110672A (zh) * | 2006-07-19 | 2008-01-23 | 华为技术有限公司 | 通信系统中建立esp安全联盟的方法和系统 |
US20090043901A1 (en) * | 2007-08-09 | 2009-02-12 | Lucent Technologies Inc. | Bootstrapping Method For Setting Up A Security Association |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005064984A (ja) | 2003-08-15 | 2005-03-10 | Toshiba Corp | 通信装置、鍵交換システムおよび鍵交換プログラム |
JP2006073352A (ja) | 2004-09-02 | 2006-03-16 | Koito Mfg Co Ltd | 車両用灯具の点灯制御回路 |
CN100367701C (zh) | 2005-05-16 | 2008-02-06 | 航天科工信息技术研究院 | 实现移动通信设备数据安全传输的装置和方法 |
CN101304407A (zh) | 2007-05-09 | 2008-11-12 | 华为技术有限公司 | 一种源地址认证方法、系统及装置 |
CN101621374A (zh) * | 2008-06-30 | 2010-01-06 | 华为技术有限公司 | 一种网络认证的方法、装置、系统及服务器 |
KR101001555B1 (ko) * | 2008-09-23 | 2010-12-17 | 한국전자통신연구원 | 네트워크 id 기반 연합 및 싱글사인온 인증 방법 |
-
2010
- 2010-01-15 CN CN201010001242.4A patent/CN102131192B/zh active Active
- 2010-03-22 US US13/257,955 patent/US8862867B2/en active Active
- 2010-03-22 WO PCT/CN2010/071189 patent/WO2011085565A1/zh active Application Filing
- 2010-03-22 EP EP10842849.1A patent/EP2512062A4/en not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056456A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 无线演进网络实现认证的方法及安全系统 |
CN101110672A (zh) * | 2006-07-19 | 2008-01-23 | 华为技术有限公司 | 通信系统中建立esp安全联盟的方法和系统 |
US20090043901A1 (en) * | 2007-08-09 | 2009-02-12 | Lucent Technologies Inc. | Bootstrapping Method For Setting Up A Security Association |
Also Published As
Publication number | Publication date |
---|---|
WO2011085565A1 (zh) | 2011-07-21 |
US20120272054A1 (en) | 2012-10-25 |
CN102131192B (zh) | 2016-06-15 |
EP2512062A1 (en) | 2012-10-17 |
EP2512062A4 (en) | 2014-04-02 |
US8862867B2 (en) | 2014-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11122428B2 (en) | Transmission data protection system, method, and apparatus | |
CN106936570B (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
US8295488B2 (en) | Exchange of key material | |
CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
CN101094065B (zh) | 无线通信网络中的密钥分发方法和系统 | |
CN101102186B (zh) | 通用鉴权框架推送业务实现方法 | |
CN102036230B (zh) | 本地路由业务的实现方法、基站及系统 | |
CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
CN103458400B (zh) | 一种语音加密通信系统中的密钥管理方法 | |
JP2014161027A (ja) | 安全なパケット伝送のための暗号化方法 | |
CN105706390A (zh) | 在无线直接通信网络中使用非对称密钥进行身份识别的方法和装置 | |
CN104661216A (zh) | 在wtru中传送nas消息的方法及wtru | |
US20150229620A1 (en) | Key management in machine type communication system | |
Tang et al. | Mobile privacy in wireless networks-revisited | |
CN108353279A (zh) | 一种认证方法和认证系统 | |
CN111970699A (zh) | 一种基于ipk的终端wifi登陆认证方法以及系统 | |
Hwang et al. | On the security of an enhanced UMTS authentication and key agreement protocol | |
Singh et al. | A privacy-preserving authentication protocol with secure handovers for the LTE/LTE-A networks | |
CN102325321B (zh) | 演进无线通信网络中的密钥获取方法和用户设备 | |
WO2011127732A1 (zh) | 下一代网络中多接入认证方法及系统 | |
Rahman et al. | WiMAX security analysis and enhancement | |
CN102131192A (zh) | Ngn中保护三层移动性用户面数据安全的方法和系统 | |
CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture | |
Bakmaz et al. | Elements of security aspects in wireless networks: Analysis and integration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |