CN102131192B - Ngn中保护三层移动性用户面数据安全的方法和系统 - Google Patents

Ngn中保护三层移动性用户面数据安全的方法和系统 Download PDF

Info

Publication number
CN102131192B
CN102131192B CN201010001242.4A CN201010001242A CN102131192B CN 102131192 B CN102131192 B CN 102131192B CN 201010001242 A CN201010001242 A CN 201010001242A CN 102131192 B CN102131192 B CN 102131192B
Authority
CN
China
Prior art keywords
mobility
layers
user face
terminal
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010001242.4A
Other languages
English (en)
Other versions
CN102131192A (zh
Inventor
王鸿彦
韦银星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201010001242.4A priority Critical patent/CN102131192B/zh
Priority to PCT/CN2010/071189 priority patent/WO2011085565A1/zh
Priority to EP10842849.1A priority patent/EP2512062A4/en
Priority to US13/257,955 priority patent/US8862867B2/en
Publication of CN102131192A publication Critical patent/CN102131192A/zh
Application granted granted Critical
Publication of CN102131192B publication Critical patent/CN102131192B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种下一代网络(NGN)中保护三层移动性用户面数据安全的方法,包括:终端与认证服务器进行认证,在认证成功后,终端与认证服务器均获得共享密钥材料;终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用户面数据的安全。本发明还公开了一种NGN中保护三层移动性用户面数据安全的系统。通过本发明的方法和系统,实现了对NGN用户与NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话中用户面数据的安全性。

Description

NGN中保护三层移动性用户面数据安全的方法和系统
技术领域
本发明涉及通信领域中的三层移动性会话安全技术,尤其涉及一种下一代网络(NGN)中保护三层移动性用户面数据安全的方法和系统。
背景技术
下一代网络(NGN,NextGenerationNetwork)作为演进的基于分组交换的网络框架受到越来越多的关注。国际电信联盟电信标准部(ITU-T,InternationalTelegraphUnion)和其他地区标准组织,如欧洲电信标准化协会(ETSI,EuropeanTelecommunicationsStandardsInstitute)、世界无线通讯解决方案联盟(ATIS,TheAllianceforTelecommunicationsIndustrySolutions)等,对NGN框架模型、业务以及相关领域进行了广泛的研究和标准化工作。NGN能够支持异构网络接入、网间漫游和无缝切换。在移动用户终端进行切换时,需要保证业务的连续性,同时要保证移动用户终端与NGN网络接入点之间的信令面数据和用户面数据的私密性、完整性。
NGN用户认证成功后,使用用户与NGN网络侧共同拥有的共享密钥协商、生成子密钥材料,用于保护用户与NGN网络通信的安全。当前的NGN网络中,有保护信令面安全的方案,方法如下:用户和NGN网络侧均使用认证成功后的共享密钥生成保护移动性信令面安全的移动性安全子密钥,当NGN网络侧收到NGN用户发起的移动性信令时,使用NGN用户与网络侧生成的相同的移动性安全子密钥验证该移动性信令的合法性,达到保护移动性信令的目的;同样的,当NGN用户收到NGN网络侧发起的移动性信令时,也使用NGN用户与网络侧生成的相同的移动性安全子密钥验证该移动性信令的合法性,达到保护移动性信令的目的。
然而,目前的NGN的移动性安全解决方案中,没有涉及如何保护NGN用户与NGN网络侧的用户面数据安全的解决方案,从而给实际应用带来不便。
发明内容
有鉴于此,本发明的主要目的在于提供一种NGN中保护三层移动性用户面数据安全的方法和系统,以实现对NGN用户与NGN网络侧的用户面数据安全的保护。
为达到上述目的,本发明的技术方案是这样实现的:
本发明所提供的一种NGN中保护三层移动性用户面数据安全的方法,该方法包括:
终端与认证服务器进行认证,在认证成功后,所述终端与认证服务器均获得共享密钥材料;
所述终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;
所述认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;
所述终端和移动性数据传输模块通过所述移动性数据安全密钥,保护三层移动性用户面数据的安全。
在根据共享密钥材料生成移动性数据安全密钥之前,该方法还包括:
所述终端与认证服务器交互,获取三层移动性信息。
所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器直接根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器根据所述共享密钥材料,并通过相同的安全算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用户面数据的安全,具体为:
所述移动性数据传输模块在收到终端发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;
所述终端在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
本发明还提供了一种NGN中保护三层移动性用户面数据安全的系统,该系统包括:终端、认证服务器和移动性数据传输模块,其中,
所述终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥,通过所述移动性数据安全密钥,保护自身与移动性数据传输模块之间的三层移动性用户面数据的安全;
所述认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块;
所述移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终端之间的三层移动性用户面数据的安全。
所述终端和认证服务器进一步用于,在根据共享密钥材料生成移动性数据安全密钥之前,所述终端与认证服务器交互,获取三层移动性信息。
所述终端和认证服务器进一步用于,直接根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述终端和认证服务器进一步用于,根据所述共享密钥材料,并通过相同的安全算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述终端和认证服务器进一步用于,根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
所述终端进一步用于,在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;
相应的,所述移动性数据传输模块进一步用于,在收到终端发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
本发明所提供的一种NGN中保护三层移动性用户面数据安全的方法和系统,由终端与认证服务器根据认证获得的共享密钥材料生成移动性数据安全密钥,并通过生成的移动性数据安全密钥,保护三层移动性用户面数据的安全。通过本发明,实现了对NGN用户与NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话中用户面数据的安全性。
附图说明
图1为本发明实施例一的NGN中保护三层移动性用户面数据安全的方法流程图;
图2为本发明实施例二的NGN中保护三层移动性用户面数据安全的方法流程图;
图3为本发明实施例三的NGN中保护三层移动性用户面数据安全的方法流程图;
图4为本发明实施例四的NGN中保护三层移动性用户面数据安全的方法流程图;
图5为本发明实施例五的NGN中保护三层移动性用户面数据安全的方法流程图;
图6为本发明实施例六的NGN中保护三层移动性用户面数据安全的方法流程图;
图7为本发明实施例七的NGN中保护三层移动性用户面数据安全的方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
为实现对NGN用户与NGN网络侧的用户面数据安全的保护,本发明的实施例一所提供的一种NGN中保护三层移动性用户面数据安全的方法,如图1所示,主要包括以下步骤:
步骤101,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务器均拥有共享密钥材料,记为共享密钥材料A。
步骤102,终端与认证服务器交互,获取三层移动性信息。
终端与认证服务器在交互过程中,从网络侧获取三层移动性信息,该三层移动性信息包括:目的网络的地址、目标网络的类型等等。
步骤103,终端与认证服务器根据三层移动性信息和共享密钥材料A,生成保护三层移动性用户面数据安全的移动性数据安全密钥。
终端与认证服务器可以直接根据三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性数据安全密钥,这样,终端计算生成的移动性数据安全密钥与认证服务器计算生成的移动性数据安全密钥相同。可以采用的安全算法包括:HMAC-SHA1,Keyed-MD5等等。
步骤104,认证服务器将移动性数据安全密钥发送到移动性数据传输模块。
步骤105,终端与移动性数据传输模块通过移动性数据安全密钥保护数据传输安全。
具体的,当移动性数据传输模块收到终端发送的移动性用户面数据时,使用移动性数据安全密钥验证所接收移动性用户面数据的合法性;当终端收到移动性数据传输模块发送的移动性用户面数据时,使用移动性数据安全密钥验证所接收移动性用户面数据的合法性。
需要说明的是,本发明中终端与认证服务器也可以只根据认证流程中获取的共享密钥材料(不使用三层移动性信息),来生成移动性数据安全密钥;也就是说,三层移动性信息不是终端与认证服务器生成移动性数据安全密钥时必选的参数。
本发明中终端与认证服务器根据三层移动性信息和共享密钥材料,生成移动性数据安全密钥的方式不仅限于图1所示,还可以采用其他方式,如图2和图3所示,下面分别进行介绍。
本发明的实施例二所提供的一种NGN中保护三层移动性用户面数据安全的方法,如图2所示,主要包括以下步骤:
步骤201,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务器均拥有共享密钥材料,记为共享密钥材料A。
步骤202,终端与认证服务器交互,获取三层移动性信息。
步骤203,终端与认证服务器根据共享密钥材料A,并通过相同的安全算法计算生成共享密钥材料A的子密钥;再根据三层移动性信息和子密钥,并通过相同的安全算法计算生成移动性数据安全密钥。
其中,计算生成子密钥的安全算法与计算生成移动性数据安全密钥的安全算法可以相同,也可以不同。
步骤204,认证服务器将移动性数据安全密钥发送到移动性数据传输模块。
步骤205,终端与移动性数据传输模块通过移动性数据安全密钥保护数据传输安全。
本发明的实施例三所提供的一种NGN中保护三层移动性用户面数据安全的方法,如图3所示,主要包括以下步骤:
步骤301,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务器均拥有共享密钥材料,记为共享密钥材料A。
步骤302,终端与认证服务器交互,获取三层移动性信息。
步骤303,终端与认证服务器根据共享密钥材料A,并通过相同的安全算法计算生成共享密钥材料A的子密钥;再根据三层移动性信息和子密钥,并通过相同的安全算法计算生成移动性信令安全密钥,记为共享密钥材料C。
其中,计算生成子密钥的安全算法与计算生成共享密钥材料C的安全算法可以相同,也可以不同。认证服务器将生成的共享密钥材料C发送给移动性控制模块。
步骤304,终端与移动性控制模块交互移动性信令,且移动性信令的安全通过共享密钥材料C来保护。
具体的,当移动性控制模块收到终端发起的移动性信令时,使用共享密钥材料C验证所接收移动性信令的合法性;当终端收到移动性控制模块发起的移动性信令时,使用共享密钥材料C验证所接收移动性信令的合法性。
步骤305,终端与认证服务器根据三层移动性信息和共享密钥材料C,并通过相同的安全算法计算生成移动性数据安全密钥,记共享密钥材料D。
计算生成共享密钥材料D的安全算法与计算生成子密钥的安全算法、计算生成共享密钥材料C的安全算法可以相同,也可以不同。
步骤306,认证服务器将共享密钥材料D发送到移动性数据传输模块。
步骤307,终端与移动性数据传输模块通过共享密钥材料D保护数据传输安全。
具体的,当移动性数据传输模块收到终端发送的移动性用户面数据时,使用共享密钥材料D验证所接收移动性用户面数据的合法性;当终端收到移动性数据传输模块发送的移动性用户面数据时,使用共享密钥材料D验证所接收移动性用户面数据的合法性。
为实现上述NGN中保护三层移动性用户面数据安全的方法,本发明还提供一种NGN中保护三层移动性用户面数据安全的系统,包括:终端、认证服务器和移动性数据传输模块。
终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥,通过移动性数据安全密钥,保护自身与移动性数据传输模块之间的三层移动性用户面数据的安全。
认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块。
移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终端之间的三层移动性用户面数据的安全。
将上述NGN中保护三层移动性用户面数据安全的方法应用于ITU-T的NGN中时,具体的实现流程如图4、5、6、7所示。
图4为本发明实施例四的NGN中保护三层移动性用户面数据安全的方法流程图,主要包括以下步骤:
步骤401,终端与认证服务器之间执行认证流程,在认证成功后,终端和认证服务器均拥有共享密钥材料,记为共享密钥材料A。
步骤402,终端与认证服务器、移动位置管理模块、切换控制模块交互,获取三层移动性信息;终端与认证服务器根据三层移动性信息和共享密钥材料A,通过相同的安全算法计算生成保护三层移动性信令面安全的共享密钥材料C,且认证服务器将生成的共享密钥材料C发送给移动位置管理模块。
终端在与认证服务器、移动位置管理模块、切换控制模块交互过程中,从网络侧获取三层移动性信息,该三层移动性信息包括:目的网络的地址、目标网络的类型等等。
移动位置管理模块(MLM-FE,MobileLocationManagementFunctionalEntity)具有但不限于如下功能:在网络移动性情况下代替终端开始位置注册,代替终端处理位置注册信息;管理终端、终端地址的绑定关系,管理终端、底层隧道终结点的绑定关系;处理信令的转发,显示切换控制模块的新的位置绑定信息的分发等。
切换控制模块(HDC-FE,Handoverdecisionandcontrolfunctionalentity)具有但不限于如下功能:接收不同介质网络信息、触发终端进行切换操作(包括二层切换、三层切换)。
步骤403,终端与移动位置管理模块交互移动性信令,且移动性信令的安全通过共享密钥材料C来保护。
步骤404,终端与移动位置管理模块根据三层移动性信息和共享密钥材料A,通过相同的安全算法计算生成保护三层移动性用户面安全的共享密钥材料D,且移动位置管理模块将生成的共享密钥材料D发送给切换控制模块。
其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同,也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。
步骤405,切换控制模块将接收到的共享密钥材料D转发给三层切换执行模块。
步骤406,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面数据的传输安全。
图5为本发明实施例五的NGN中保护三层移动性用户面数据安全的方法流程图,主要包括以下步骤:
其中,步骤501~503的操作与实施例五中步骤401~403的操作类似,此处不再赘述。
步骤504,终端与认证服务器根据三层移动性信息和共享密钥材料A,通过相同的安全算法计算生成保护三层移动性用户面安全的共享密钥材料D,且认证服务器将生成的共享密钥材料D发送给切换控制模块。
其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同,也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。
步骤505,切换控制模块将接收到的共享密钥材料D转发给三层切换执行模块。
步骤506,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面数据的传输安全。
图6为本发明实施例六的NGN中保护三层移动性用户面数据安全的方法流程图,主要包括以下步骤:
其中,步骤601~603的操作与实施例五中步骤401~403的操作类似,此处不再赘述。
步骤604,终端与认证服务器根据三层移动性信息和共享密钥材料A,生成保护三层移动性用户面安全的共享密钥材料D,且认证服务器将生成的共享密钥材料D直接发送给三层切换执行模块。
其中,计算生成共享密钥材料D与计算生成共享密钥材料C的安全算法可以相同,也可以不同。且可以采用上述图1、2、3所示的任意一种方法,计算生成共享密钥材料D。
步骤605,终端与三层切换执行模块通过共享密钥材料D保护三层移动性用户面数据的传输安全。
另外,在实际应用中,三层切换执行模块可以设于边界节点功能实体中,在这种情况下,由边界节点功能实体来代替执行上述图4、5、6中三层切换执行模块的功能,操作流程不变。图7所示实施例为边界节点功能实体代替三层切换执行模块执行图6所示实施例的替换流程,对应图4、5所示实施例的替换流程不再赘述。
综上所述,通过本发明的NGN中保护三层移动性用户面数据安全的方法和系统,实现了对NGN用户与NGN网络侧的用户面数据安全的保护,增强了终端在三层移动性会话中用户面数据的安全性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (4)

1.一种下一代网络(NGN)中保护三层移动性用户面数据安全的方法,其特征在于,该方法包括:
终端与认证服务器进行认证,在认证成功后,所述终端与认证服务器均获得共享密钥材料;
所述终端与认证服务器根据共享密钥材料,生成移动性数据安全密钥;
所述认证服务器将生成的移动性数据安全密钥发送给移动性数据传输模块;
所述终端和移动性数据传输模块通过所述移动性数据安全密钥,保护三层移动性用户面数据的安全;
在根据共享密钥材料生成移动性数据安全密钥之前,该方法还包括:
所述终端与认证服务器交互,获取三层移动性信息;
所述根据共享密钥材料,生成移动性数据安全密钥,具体为:
所述终端与认证服务器直接根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成所述移动性数据安全密钥;
或者,所述终端与认证服务器根据所述共享密钥材料,并通过相同的安全算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥;
或者,所述终端与认证服务器根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
2.根据权利要求1所述NGN中保护三层移动性用户面数据安全的方法,其特征在于,所述终端和移动性数据传输模块通过移动性数据安全密钥,保护三层移动性用户面数据的安全,具体为:
所述移动性数据传输模块在收到终端发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;
所述终端在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
3.一种NGN中保护三层移动性用户面数据安全的系统,其特征在于,该系统包括:终端、认证服务器和移动性数据传输模块,其中,
所述终端,用于对认证服务器进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥,通过所述移动性数据安全密钥,保护自身与移动性数据传输模块之间的三层移动性用户面数据的安全;
所述认证服务器,用于对终端进行认证,在认证成功后获得共享密钥材料;还用于根据共享密钥材料,生成移动性数据安全密钥发送给移动性数据传输模块;
所述移动性数据传输模块,用于通过接收的移动性数据安全密钥,保护自身与终端之间的三层移动性用户面数据的安全;
所述终端和认证服务器进一步用于,在根据共享密钥材料生成移动性数据安全密钥之前,所述终端与认证服务器交互,获取三层移动性信息;
所述终端和认证服务器进一步用于,直接根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成所述移动性数据安全密钥;
或者,根据所述共享密钥材料,并通过相同的安全算法计算生成所述共享密钥材料的子密钥;再根据所述三层移动性信息和子密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥;
或者,根据获取的三层移动性信息和共享密钥材料,并通过相同的安全算法计算生成移动性信令安全密钥;再根据所述三层移动性信息和移动性信令安全密钥,并通过相同的安全算法计算生成所述移动性数据安全密钥。
4.根据权利要求3所述NGN中保护三层移动性用户面数据安全的系统,其特征在于,
所述终端进一步用于,在收到移动性数据传输模块发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性;
相应的,所述移动性数据传输模块进一步用于,在收到终端发送的移动性用户面数据时,根据所述移动性数据安全密钥验证所接收移动性用户面数据的合法性。
CN201010001242.4A 2010-01-15 2010-01-15 Ngn中保护三层移动性用户面数据安全的方法和系统 Active CN102131192B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201010001242.4A CN102131192B (zh) 2010-01-15 2010-01-15 Ngn中保护三层移动性用户面数据安全的方法和系统
PCT/CN2010/071189 WO2011085565A1 (zh) 2010-01-15 2010-03-22 Ngn中保护三层移动性用户面数据安全的方法和系统
EP10842849.1A EP2512062A4 (en) 2010-01-15 2010-03-22 METHOD AND SYSTEM FOR PROTECTING THE SECURITY OF THIRD-COFFEE MOBILITY USER DATA IN NGN
US13/257,955 US8862867B2 (en) 2010-01-15 2010-03-22 Method and system for protecting security of the third layer mobility user plane data in NGN

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010001242.4A CN102131192B (zh) 2010-01-15 2010-01-15 Ngn中保护三层移动性用户面数据安全的方法和系统

Publications (2)

Publication Number Publication Date
CN102131192A CN102131192A (zh) 2011-07-20
CN102131192B true CN102131192B (zh) 2016-06-15

Family

ID=44269058

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010001242.4A Active CN102131192B (zh) 2010-01-15 2010-01-15 Ngn中保护三层移动性用户面数据安全的方法和系统

Country Status (4)

Country Link
US (1) US8862867B2 (zh)
EP (1) EP2512062A4 (zh)
CN (1) CN102131192B (zh)
WO (1) WO2011085565A1 (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101056456A (zh) * 2006-04-10 2007-10-17 华为技术有限公司 无线演进网络实现认证的方法及安全系统
CN101110672A (zh) * 2006-07-19 2008-01-23 华为技术有限公司 通信系统中建立esp安全联盟的方法和系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005064984A (ja) 2003-08-15 2005-03-10 Toshiba Corp 通信装置、鍵交換システムおよび鍵交換プログラム
JP2006073352A (ja) 2004-09-02 2006-03-16 Koito Mfg Co Ltd 車両用灯具の点灯制御回路
CN100367701C (zh) 2005-05-16 2008-02-06 航天科工信息技术研究院 实现移动通信设备数据安全传输的装置和方法
CN101304407A (zh) 2007-05-09 2008-11-12 华为技术有限公司 一种源地址认证方法、系统及装置
US8667151B2 (en) * 2007-08-09 2014-03-04 Alcatel Lucent Bootstrapping method for setting up a security association
CN101621374A (zh) * 2008-06-30 2010-01-06 华为技术有限公司 一种网络认证的方法、装置、系统及服务器
KR101001555B1 (ko) * 2008-09-23 2010-12-17 한국전자통신연구원 네트워크 id 기반 연합 및 싱글사인온 인증 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101056456A (zh) * 2006-04-10 2007-10-17 华为技术有限公司 无线演进网络实现认证的方法及安全系统
CN101110672A (zh) * 2006-07-19 2008-01-23 华为技术有限公司 通信系统中建立esp安全联盟的方法和系统

Also Published As

Publication number Publication date
US20120272054A1 (en) 2012-10-25
EP2512062A1 (en) 2012-10-17
CN102131192A (zh) 2011-07-20
US8862867B2 (en) 2014-10-14
WO2011085565A1 (zh) 2011-07-21
EP2512062A4 (en) 2014-04-02

Similar Documents

Publication Publication Date Title
US9049594B2 (en) Method and device for key generation
CN101102186B (zh) 通用鉴权框架推送业务实现方法
CN101322428B (zh) 用于传递密钥信息的方法和设备
EP3761598B1 (en) Generating keys for protection in next generation mobile networks
CN101094065B (zh) 无线通信网络中的密钥分发方法和系统
CN109314638A (zh) 密钥配置及安全策略确定方法、装置
CN108880813B (zh) 一种附着流程的实现方法及装置
CN101931953B (zh) 生成与设备绑定的安全密钥的方法及系统
CN102457844B (zh) 一种m2m组认证中组密钥管理方法及系统
CN103458400B (zh) 一种语音加密通信系统中的密钥管理方法
KR101600220B1 (ko) 공공 경보 메시지들의 검증을 위한 공개 키들의 관리
CN104285422A (zh) 用于利用邻近服务的计算设备的安全通信
US20150229620A1 (en) Key management in machine type communication system
CN107920350A (zh) 一种基于sdn的隐私保护切换认证方法、5g异构网络
CN102036230A (zh) 本地路由业务的实现方法、基站及系统
CN101102600A (zh) 在不同移动接入系统中切换时的密钥处理方法
CN102238484A (zh) 机器对机器的通信系统中基于组的认证方法及系统
CN103781067B (zh) Lte/lte‑a网络中带隐私保护的切换认证方法
CN1819698A (zh) 一种目标基站获取鉴权密钥上下文信息的方法
CN111970699A (zh) 一种基于ipk的终端wifi登陆认证方法以及系统
Kim et al. MoTH: mobile terminal handover security protocol for HUB switching based on 5G and beyond (5GB) P2MP backhaul environment
EP2557727B1 (en) Method and system for multi-access authentication in next generation network
CN102325321B (zh) 演进无线通信网络中的密钥获取方法和用户设备
CN102131192B (zh) Ngn中保护三层移动性用户面数据安全的方法和系统
Rahman et al. WiMAX security analysis and enhancement

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant