CN102238538A - 闲置模式下空口密钥的更新方法和系统 - Google Patents
闲置模式下空口密钥的更新方法和系统 Download PDFInfo
- Publication number
- CN102238538A CN102238538A CN2010101558943A CN201010155894A CN102238538A CN 102238538 A CN102238538 A CN 102238538A CN 2010101558943 A CN2010101558943 A CN 2010101558943A CN 201010155894 A CN201010155894 A CN 201010155894A CN 102238538 A CN102238538 A CN 102238538A
- Authority
- CN
- China
- Prior art keywords
- control station
- terminal
- key
- authorization key
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种闲置模式下空口密钥的更新方法和系统,属于无线通信领域。其中,所述方法包括处于闲置模式下的终端在控制站服务小区内进行位置更新或者网络重入时,所述终端和所述控制站分别根据授权密钥生成变形授权密钥,并根据变形授权密钥更新各自的空口密钥。根据本发明,解决了当引入传统接入网络,终端无法顺利完成空口密钥更新的问题,增强了系统的安全性。
Description
技术领域
本发明涉及无线通信领域,具体而言,涉及一种闲置模式下空口密钥的更新方法和系统。
背景技术
在无线通信系统中,通过基站(Base Station,简称为BS)利用指定的无线信道在一定地理范围内提供无线覆盖,这个地理范围称为小区。通常,从理论上讲,基站位于小区中央。按照覆盖范围的大小,基站可以分成宏基站(Macro BS)、微基站(PICO BS)、微微基站(FEMTOCELL BS)。此外,为了扩展覆盖或者扩展容量,在移动站和基站之间可以放置一个或多个中继站。对于移动站来说,中继站就相当于一个基站。移动站从一个小区移动到另一个小区时,为了保持通信,就需要进行切换。
根据所支持的通信协议,基站/中继站可以分为先进控制站和传统控制站,先进控制站是指支持先进通信协议的基站/中继站(Advanced Base Station/Advanced Relay Station,简称为ABS/ARS),传统控制站是指可以支持传统通信协议的基站/中继站(Yardstick Base Station/Yardstick Relay Station,简称为YBS/YRS)。在考虑兼容性的技术中,对于先进控制站,又将其帧分成了第一区域和第二区域。第二区域可以支持传统通信协议,因此又可以称为传统区域,第一区域只能支持先进通信协议,因此又可以称为先进区域。类似地,对于移动站,也可以分为先进移动站(AdvancedMobile Station,简称为AMS)和传统移动站(Yardstick MobileStation,简称为YMS),先进移动站可以工作在第一区域或第二区域,而传统移动站只能工作在第二区域。对于传统移动站而言,先进控制站的第二区域相当于一个传统控制站。此外,先进移动站接入传统控制站工作时,对于传统控制站而言,该先进移动站就是一个传统移动站。此外,先进控制站也可以只支持先进通信协议,此时,先进控制站可以只有第一区域。
以下以IEEE802.16标准为例来进行进一步描述。IEEE802.16标准是针对微波频段提出的一种先进的空中接口标准,其制订了物理层(PHY)和媒质接入控制层(Media Access Control,简称为MAC)的规范。包含中继结构的IEEE802.16m是目前IEEE802.16标准中最先进的标准技术,IEEE802.16m(以下简称16m)建立在IEEE802.16e(以下简称16e)、IEEE802.16j(以下简称16j)等传统标准的基础上。
基于以上描述,先进控制站(支持16m协议的基站/中继站)能够兼容支持传统移动站(支持16e协议的移动站),同样地,先进移动站(支持16m协议的移动站)也应该能够接入传统控制站(支持16e的基站或支持16j的中继站)。第一区域(也称为先进区域,16m zone,简称为MZone)支持16m定义的先进的通信协议,第二区域(也称为传统区域,Legacy Zone,简称为LZone)可以支持16e/16j的协议。此外,先进控制站也可以只有MZone。将含LZone和MZone的控制站称为混合模式的先进控制站。
一般来说,当系统中的控制站从传统控制站演进到先进控制站时,控制站所连接的网络(也称为接入服务网络,Access ServiceNetwork,简称为ASN)也会相应的从传统网络演进到先进网络。但是,在实际的系统中,由于控制站和网络的发展速度不一定同步,或者,市场发展要求尽快使用先进技术,就会出现控制站是先进控制站,而接入服务网络是传统网络的情况。此时,如果在先进终端和先进控制站的空口直接使用先进的通信协议,而不做任何改变,就有可能在后续的与传统网络的通信过程中出现问题。
例如为了省电,移动终端(也称为终端,移动站)可进入闲置(Idle)模式,此后移动终端只在离散的间隔周期性的接收下行广播数据,并且在多个控制站之间移动的过程中,仅在需要时向控制站更新位置信息,而无需进行切换和网络重入。当移动终端被控制站寻呼要求进行网络重入或是移动终端有数据需要发送时,移动终端会退出闲置模式重新进入网络。
为了增强系统的安全性,处于闲置模式的移动终端在进行位置更新或退出闲置模式进行网络重入时,都需要更新空口的密钥;在IEEE 802.16m系统中定义的空口密钥包括:主会话密钥(Master Session Key,简称为MSK)、成对主密钥(Pairwise Master Key,简称为PMK)、授权密钥AK、消息完整性保护密钥(CMAC KEYs,包括CMAC_KEY_U及CMAC_KEY_D,其中CMAC_KEY_U用于对上行链路管理消息进行完整性保护,CMAC_KEY_D用于对下行链路管理消息进行完整性保护)、业务流加密密钥(Traffic Encryption Key,简称TEK)。
传统控制站/终端和先进控制站/终端在安全处理上存在较大差异,以16e和16m标准为例,移动终端和控制站的密钥生成方法在两种标准中完全不同,当引入传统接入网络,且802.16m的密钥推导做了相应修改后,当移动终端进入闲置模式,在连接传统网络和/或先进网络的控制站之间移动时,移动终端无法顺利完成密钥更新,使系统存在安全隐患。
发明内容
本发明的主要目的在于提供一种闲置模式下空口密钥的更新方法和系统,以至少解决上述问题。
根据本发明的一个方面,提供了一种闲置模式下空口密钥的更新方法,包括:处于闲置模式下的终端在控制站服务小区内进行位置更新或者网络重入时,终端和控制站分别根据授权密钥生成变形授权密钥,并根据变形授权密钥更新各自的空口密钥。
根据本发明的另一方面,提供了一种闲置模式下空口密钥的更新系统,包括:终端,用于当处于闲置模式下,在控制站服务小区内进行位置更新或者网络重入时,根据授权密钥生成变形授权密钥,并根据所述变形密钥更新空口密钥;控制站,用于当终端处于闲置模式下,在自身的服务小区内进行更新或者网络重入时,根据授权密钥生成变形授权密钥,并根据变形密钥更新空口密钥。
通过本发明,采用在授权密钥的基础上推导变形授权密钥,使用变形授权密钥生成空口密钥(包括消息完整性保护密钥CMACKEY和/或业务流加密密钥TEK),进而完成空口密钥的更新过程,解决了当引入传统接入网络,终端无法顺利完成空口密钥更新的问题,增强了系统的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的闲置模式下空口密钥的更新方法流程图;
图2是根据本发明实施例一的闲置模式下空口密钥的更新方法流程图;
图3是根据本发明实施例二的闲置模式下空口密钥的更新方法流程图;
图4是根据本发明实施例三的闲置模式下空口密钥的更新方法流程图;
图5是根据本发明实施例四的闲置模式下空口密钥的更新方法流程图;
图6是根据本发明实施例五的闲置模式下空口密钥的更新方法流程图;
图7是根据本发明实施例六的闲置模式下空口密钥的更新方法流程图;以及
图8是根据本发明实施例八的闲置模式下空口密钥的更新系统结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
无线通信系统包括终端和控制站,其中本发明实施例中的控制站可以为先进控制站,也可以为传统控制站,如果是先进控制站,可以是仅使用先进区域的先进控制站,也可以是使用先进区域的混合模式的先进控制站;本发明实施例中的控制站支持IEEE 802.16m标准和IEEE802.16e标准。下面介绍本发明的各个实施例都以该无线通信系统为基础予以实施。
图1示出了根据本发明实施例提供的闲置模式下空口密钥的更新方法流程图,包括以下步骤:
步骤S102,处于闲置模式下的终端在控制站服务小区内进行位置更新或者网络重入时,该终端和控制站分别根据授权密钥(Authorization Key,简称为AK)生成变形授权密钥AK*;
其中,AK是授权密钥,由PMK推导而出,AK=Dot16KDF(PMK,MSID*|BSID|”AK”,160),或者,AK=Dot16KDF(PMK,MSID|BSID|”AK”,160);引号内的内容代表字符串;
其中,Dot16KDF为IEEE802.16定义的安全算法,具体定义可参考802.16-2005。BSID是基站(或称控制站)标识的缩写。其中,PMK由MSK推导而出,PMK=Truncate(MSK,160);其中,Z=Truncate(x,y)的定义如IEEE 802.16-2005中所述:仅当y≤x,Z为x的最后y位;
MSK是IEEE 802.16定义的所有其它密钥的根密钥,是终端和认证授权计费服务器(Authentication Authorization AccountingServer,简称为AAA Server)在可扩展的认证协议(ExtensibleAuthentication Protocol,简称为EAP)认证和授权过程中各自产生的;
AMSID是终端标识(Advanced Mobile Station identifier,简称AMSID,一般为终端MAC地址)的缩写。AMSID*是AMSID的哈希运算值。AMSID*是为了保护终端标识(AMSID)在空口明文传输,以避免攻击者可以获得该地址从而威胁终端的私密性而在802.16m中引入的。AMSID*的计算方法如下:
AMSID*=Dot16KDF(AMSID|80-bit zero padding,NONCE_MS,48)
其中,NONCE_MS是初始入网时,终端生成的一个随机数,该随机数在稍后的三次握手过程中会由终端发送给控制站。
AK*是AK的一个变形,本发明实施例称为变形授权密钥,由控制站根据接收到的AK和AK_COUNT进行计算得到。其计算方法为:AK*=F(AK,AK-COUNT|”AK*”,160);其中,F是特定的密钥推导函数,可以为IEEE 802.16-2005中定义的Dot16KDF函数,也可以根据需要另行定义。先进重入网计数器AK_COUNT和传统重入网计数器CMAC_KEY_COUNT是一个计数器,前者用于16m系统中,后者用于16e系统中。二者作用基本相同,用于确保在切换或重入网或位置更新时,同一个BS-MS对生成不同的密钥。
步骤S104,该终端和控制站分别根据AK*更新各自的空口密钥;本实施例的空口密钥包括消息完整性保护密钥CMAC KEYs和/或业务流加密密钥TEK;
IEEE 802.16m标准中CMAC KEYs的计算方法为:
CMAC_KEY_U|CMAC_KEY_D=Dot16KDF(AK*,“CMAC_KEYS”,256);
TEK用于对用户数据进行加密,以保护在终端和控制站之间传输的数据的机密性。在IEEE 802.16m标准中,TEK是终端和控制站分别生成的,计算如下:
TEKi=Dot16KDF(AK*,SAID|COUNTER_TEK=i|”TEK”,128)
其中,SAID是该TEK关联的安全联盟标识,COUNTER_TEK是一个计数器,用于推导属于同一个安全联盟的TEK,当推导出一个新的AK时,COUNTER_TEK置为0,此后,每生成一个新的TEK,该计数器递增1。
本发明实施例中的位置更新可以是终端被控制站寻呼时进行的位置更新,也可以是终端主动进行的位置更新,例如终端隔了很长一段时间没有进行位置更新时,可以主动进行位置更新;上述网络重入可以是终端被控制站寻呼时进行的网络重入,也可以是终端主动进行的网络重入,例如终端有数据需要发送时,可以主动进行网络重入。
本实施例的终端进入闲置模式后,在连接传统网络和/或先进网络的控制站之间移动时,终端和控制站根据AK生成AK*,并根据AK*更新各自的空口密钥,解决了当引入传统接入网络,终端无法顺利完成空口密钥更新的问题,增强了系统的安全性,使得闲置模式的空口密钥更新能适应系统的演进正常工作,从而实现省电的目的。
实施例一
图2示出了根据本实施例提供的闲置模式下空口密钥的更新方法流程图,包括以下步骤:
步骤S202,终端递增先进重入网计数器AK_COUNT的值,根据AK和更新的AK_COUNT值计算变形授权密钥AK*;
本步骤中的终端如果保存的是CMAC_KEY_COUNT,则终端可以先将CMAC_KEY_COUNT转换成AK_COUNT,再递增;或者先递增CMAC_KEY_COUNT,再将CMAC_KEY_COUNT转换为AK_COUNT;
步骤S204,终端根据AK*计算CMAC KEYS和/或TEK等空口密钥;
步骤S206,终端向控制站发送测距请求消息,该消息携带利用更新的CMAC KEYS计算的测距请求消息的消息完整性验证码CMAC;
步骤S208,控制站接收到测距请求消息后,向认证器或寻呼控制器获取该终端与安全相关的上下文;
如果控制站知道认证器的标识,则可以直接向认证器请求获取终端与安全相关的上下文;或者控制站经由寻呼控制器向认证器请求终端与安全相关的上下文;寻呼控制器或认证器返回与该终端安全相关的上下文信息包括以下内容:授权密钥AK,先进重入网计数器AK_COUNT或传统重入网计数器CMAC_KEY_COUNT;
步骤S210,控制站根据AK和AK_COUNT值计算AK*;
若控制站接收到的是CMAC_KEY_COUNT,则控制站将CMAC_KEY_COUNT转换为AK_COUNT;若控制站接收到的是AK_COUNT,则不需转换;控制站根据AK和AK_COUNT值计算AK*,计算公式可以参考上述实施例中的方法,这里不再详述;
步骤S212,控制站根据AK*推导CMAC KEYS和/或TEK等空口密钥;
步骤S214,控制站利用更新的CMAC KEYS验证测距请求消息中携带的CMAC;
步骤S216,控制站验证CMAC正确,控制站向终端发送测距响应消息,该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,也可以用更新的TEK对该消息进行加密和完整性保护;
若终端接收到的测距响应消息仅做了完整性保护,则终端对接收到的测距响应消息用生成的消息完整性保护密钥CMAC KEYS进行CMAC验证,若接收到的测距响应消息同时做了加密和完整性保护,则终端对该消息用业务流加密密钥TEK进行解密,并验证该消息的完整性。若验证成功,则终端和控制站的密钥更新成功。如果终端进行的是位置更新,则终端还可根据测距响应消息中的信息更新寻呼组或与寻呼相关的属性信息;如果终端需要退出闲置模式进行网络重入,终端和控制站进行后续的网络重入过程。
本实施例提供的方法可以适用于终端本次操作与上次进行位置更新的控制站或是终端上次进入闲置模式的服务控制站(终端进入闲置模式后尚未进行过位置更新)是同一个控制站的场景,也可以适用于不是同一个控制站的场景,但系统规定可以使用已有AK推导AK*。
本实施例的终端进入闲置模式后,根据分配的寻呼周期和寻呼偏移信息周期性的在寻呼监听间隔接收寻呼广播消息。寻呼广播消息由先进控制站周期性发送,消息包含要求位置更新或退出闲置模式进行网络重入的终端寻呼标识符(如16m中的去注册标识符,或16e中的终端MAC地址哈希值)信息。终端根据接收到的寻呼广播消息中是否包含有与自己匹配的寻呼标识符判断是否被寻呼。如果终端被寻呼,则终端根据寻呼消息中的指示进行位置更新或是网络重入的操作。如果是网络重入,则终端结束闲置模式。此外,当终端有数据需要发送的情况下,终端可随时进行网络重入,提前结束闲置模式。这些情况下,终端开始执行上述步骤S202。
本实施例给出了无线通信系统中处于闲置模式的终端进行位置更新或是网络重入时进行空口密钥更新的过程。该方法适用于终端通过与传统接入网络/先进接入网络连接的控制站进入闲置模式,通过与先进接入网络/传统接入网络连接的控制站进行位置更新或网络重入。该方法也适应于终端在传统接入网络之间,或者先进接入网络之间进入闲置模式及位置更新和网络重入到控制站。
本实施例中终端使用的AK不需要更新,直接使用原来的AK,在AK的基础上推导AK*,使用AK*来推导消息完整性保护密钥CMAC KEY和/或业务流加密密钥TEK,进而完成空口密钥的更新过程,增强了系统的安全性。
实施例二
图3示出了根据本实施例提供的闲置模式下空口密钥的更新方法流程图,该方法中进入闲置模式的终端需要进行位置更新或是网络重入时,判断当前控制站连接的接入网络属于哪种类型,如果当前控制站属于传统接入网络,则执行以下步骤:
步骤S302,终端基于当前控制站的ABSID和终端的AMSID,计算AK;
步骤S304,如果终端保存的是CMAC_KEY_COUNT,终端将CMAC_KEY_COUNT转换为AK_COUNT,然后终端递增重入网计数器AK_COUNT的值;终端根据更新的AK和AK_COUNT值计算变形授权密钥AK*;其中计算AK和递增AK_COUNT的操作不分先后;
步骤S306,终端根据AK*计算CMAC KEYS和/或TEK等空口密钥;
步骤S308,终端向控制站发送测距请求消息,该消息携带利用更新的CMAC KEYS计算的测距请求消息的消息完整性验证码CMAC。
步骤S310,控制站接收到测距请求消息后,向认证器或寻呼控制器请求该终端与安全相关的上下文;
如果控制站知道认证器的标识,则可以向认证器请求获取终端与安全相关的上下文,或者控制站经由寻呼控制器向认证器请求终端与安全相关的上下文;
步骤S312,寻呼控制器或认证器根据控制站的ABSID和终端的AMSID计算AK;
步骤S314,寻呼控制器或认证器返回与该终端安全相关的上下文信息,如AK,CMAC_KEY_COUNT;
步骤S316,控制站将从寻呼控制器或认证器获取的CMAC_KEY_COUNT转化为AK_COUNT,并根据AK和AK_COUNT计算AK*;
步骤S318,控制站根据AK*推导CMAC KEYS和/或TEK等空口密钥。
步骤S320,控制站利用更新的CMAC KEYS验证测距请求消息中携带的CMAC;
步骤S322,如果CMAC验证成功,控制站向终端发送测距响应消息,该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,也可以用更新的TEK对该消息进行加密和完整性保护。
若终端接收到的测距响应消息仅做了完整性保护,则终端对接收到的测距响应消息用生成的消息完整性保护密钥进行CMAC验证,若接收到的测距响应消息同时做了加密和完整性保护,则终端对该消息用业务流加密密钥进行解密,并验证该消息的完整性。若验证成功,则终端和控制站的密钥更新成功。如果终端进行的是位置更新,则终端根据测距响应消息中的信息更新寻呼组或寻呼相关的属性信息;如果终端需要退出闲置模式进行网络重入,终端和控制站进行后续的网络重入过程。
本实施例与实施例一的区别在于:本实施例中的终端进行位置更新或网络重入时使用的AK需要更新,在更新AK的基础上,推导AK*,最后使用AK*来推导消息完整性保护密钥CMAC KEY和/或业务流加密密钥TEK,进而完成空口密钥的更新过程,增强了系统的安全性。
实施例三
图4示出了根据本实施例提供的闲置模式下空口密钥的更新方法流程图,该方法中的终端在进入闲置模式或进行位置更新时,寻呼控制器或认证器保存了终端的AMSID*信息。当进入闲置模式的终端需要进行位置更新或是网络重入时,判断当前控制站与上次进行位置更新的控制站或是终端进入闲置模式之前的服务控制站(如果终端从进入闲置模式后尚未进行过位置更新)连接的接入网络是否属于同一类型,如果是都属于先进接入网络,执行以下步骤:
步骤S402,终端基于当前控制站的ABSID和终端的AMSID*信息计算AK;
步骤S404,终端递增先进重入网计数器AK_COUNT的值,根据更新的AK和AK_COUNT值计算变形授权密钥AK*;
其中计算AK和递增AK_COUNT的操作不分先后;
步骤S406,终端根据AK*计算CMAC KEYS和/或TEK等空口密钥;
步骤S408,终端向控制站发送测距请求消息,该消息携带利用更新的CMAC KEYS计算的测距请求消息的消息完整性验证码CMAC;
步骤S410,控制站接收到测距请求消息后,向认证器或寻呼控制器请求该终端与安全相关的上下文;
如果控制站知道认证器的标识,则可以直接向认证器请求获取终端与安全相关的上下文,或者控制站经由寻呼控制器向认证器请求终端与安全相关的上下文;
步骤S412,寻呼控制器或认证器根据控制站ABSID和终端的AMSID*信息计算AK;
步骤S414,寻呼控制器或认证器返回与该终端相关的上下文信息,如AK和AK_COUNT;
步骤S416,控制站根据从寻呼控制器或认证器返回的AK和AK_COUNT信息计算AK*;
步骤S418,控制站根据AK*推导CMAC KEYS和/或TEK等空口密钥;
步骤S420,控制站利用更新的CMAC KEYS验证测距请求消息中携带的CMAC;
步骤S422,如果CMAC验证成功,控制站向终端发送测距响应消息。该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,也可以用更新的TEK对该消息进行加密和完整性保护。
若终端接收到的测距响应消息仅做了完整性保护,则终端对接收到的测距响应消息用生成的消息完整性保护密钥CMAC KEYS进行CMAC验证,若接收到的测距响应消息同时做了加密和完整性保护,则终端对该消息用业务流TEK加密密钥进行解密,并验证该消息的完整性。若验证成功,则终端和控制站的密钥更新成功。如果终端进行的是位置更新,则终端根据测距响应消息中的信息更新寻呼组或寻呼相关的属性信息;如果终端需要退出闲置模式进行网络重入,终端和控制站进行后续的网络重入过程。
本实施例与实施例二的区别在于:本实施例中的终端更新AK时使用的是终端的AMSID*,而实施例二更新AK时使用的是终端的AMSID。
本实施例在更新AK的基础上推导AK*,使用AK*来推导消息完整性保护密钥CMAC KEY和/或业务流加密密钥TEK,进而完成空口密钥的更新过程,增强了系统的安全性。
实施例四
图5示出了根据本实施例提供的闲置模式下空口密钥的更新方法流程图,该方法中的终端进入闲置模式或上次进行位置更新时的服务控制站连接的接入网络为传统接入网络,当该终端需要进行位置更新或是网络重入时,判断当前控制站连接的接入网络类型,如果为先进接入网络,则执行如下步骤:
步骤S502,终端生成终端侧随机数NONCE_AMS,然后根据NONCE_AMS生成终端标识哈希值AMSID*,基于AMSID*和当前控制站的标识ABSID计算出AK;
步骤S504,终端根据AK和更新的AK_COUNT计算AK*;
如果终端保存的是CMAC_KEY_COUNT,终端将CMAC_KEY_COUNT转换为AK_COUNT,然后终端递增重入网计数器AK_COUNT的值;终端也可以先递增CMAC_KEY_COUNT,再将CMAC_KEY_COUNT转换为AK_COUNT;其中计算AK和递增AK_COUNT的操作不分先后;
步骤S506,终端根据AK*计算CMAC KEYS和/或TEK等空口密钥;
步骤S508,终端向控制站发送测距请求消息,该消息携带利用更新的CMAC KEYS计算的测距请求消息的消息完整性验证码CMAC,以及AMSID*信息;
步骤S510,控制站接收到测距请求消息后,向认证器或寻呼控制器请求该终端与安全相关的上下文;
如果控制站知道认证器的标识,则可以直接向认证器请求获取终端与安全相关的上下文,或者控制站经由寻呼控制器向认证器请求终端与安全相关的上下文,其中向寻呼控制器或认证器发送的上下文请求消息中包含有AMSID*信息;
步骤S512,寻呼控制器或认证器根据上下文请求消息中包含的AMSID*信息和控制站的ABSID信息,计算AK;
步骤S514,寻呼控制器或认证器返回与该终端相关的上下文信息,如AK和AK_COUNT;
步骤S516,控制站根据从寻呼控制器或认证器返回的AK和AK_COUNT信息计算AK*;
步骤S518,控制站根据AK*推导CMAC KEYS和/或TEK等空口密钥;
步骤S520,控制站利用更新的CMAC KEYS验证测距请求消息中携带的CMAC;
步骤S522,如果CMAC验证成功,控制站向终端发送测距响应消息,该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,也可以用更新的TEK对该消息进行加密和完整性保护。
若终端接收到的测距响应消息仅做了完整性保护,则终端对接收到的测距响应消息用生成的消息完整性保护密钥CMAC KEYS进行CMAC验证,若接收到的测距响应消息同时做了加密和完整性保护,则终端对该消息用业务流加密密钥TEK进行解密,并验证该消息的完整性。若验证成功,则终端和控制站的密钥更新成功。如果终端进行的是位置更新,则终端根据测距响应消息中的信息更新寻呼组或寻呼相关的属性信息;如果终端需要退出闲置模式进行网络重入,终端和控制站进行后续的网络重入过程。
本实施例与实施例三的区别在于:终端需要先生成AMSID*,再基于AMSID*和ABSID更新AK,由更新的AK和递增的AK_COUNT计算AK*,最后由AK*计算CMAC KEYS和/或TEK。
本实施例的终端根据随机数NONCE_AMS生成终端标识哈希值AMSID*,基于AMSID*和ABSID更新AK,在更新AK的基础上推导AK*,使用AK*来推导消息完整性保护密钥CMAC KEY和/或业务流加密密钥TEK,进而完成空口密钥的更新过程,增强了系统的安全性。
实施例五
图6示出了根据本实施例提供的闲置模式下空口密钥的更新方法流程图,该方法中的终端进入闲置模式或上次进行位置更新时的服务控制站连接的接入网络为传统接入网络,当该终端需要进行位置更新或是网络重入时,判断当前控制站连接的接入网络类型,如果为先进接入网络,则执行如下步骤:
步骤602,终端生成终端侧随机数NONCE_AMS,然后根据NONCE_AMS生成终端标识哈希值AMSID*,基于AMSID*和当前控制站的标识ABSID计算出AK;
步骤S604,终端根据AK和更新的AK_COUNT计算AK*;
如果终端保存的是CMAC_KEY_COUNT,终端将CMAC_KEY_COUNT转换为AK_COUNT,然后终端递增重入网计数器AK_COUNT的值;终端也可以先递增CMAC_KEY_COUNT,再将CMAC_KEY_COUNT转换为AK_COUNT;其中计算AK和递增AK_COUNT的操作不分先后;
步骤S606,终端根据AK*计算CMAC KEYS和/或TEK等空口密钥;
步骤S608,终端向控制站发送测距请求消息,该消息携带利用更新的CMAC KEYS计算的测距请求消息的消息完整性验证码CMAC,以及终端侧随机数NONCE_AMS信息;
步骤S610,控制站接收到测距请求消息后,根据测距请求消息携带的NONCE_AMS信息以及终端的AMSID信息,生成AMSID*;
步骤S612,控制站接收到测距请求消息后,向认证器或寻呼控制器请求该终端与安全相关的上下文;
如果控制站知道认证器的标识,则可以直接向认证器请求获取终端与安全相关的上下文,或者控制站经由寻呼控制器向认证器请求终端与安全相关的上下文,其中向寻呼控制器或认证器发送的上下文请求消息中包含控制站生成的AMSID*信息。
步骤S614,寻呼控制器或认证器根据上下文请求消息中包含的AMSID*和控制站的ABSID信息,计算AK;
步骤S616,寻呼控制器或认证器返回与该终端相关的上下文信息,如AK和AK_COUNT;
步骤S618,控制站根据从寻呼控制器或认证器返回的AK和AK_COUNT信息计算AK*;
步骤S620,控制站根据AK*推导CMAC KEYS和/或TEK等空口密钥;
步骤S622,控制站利用更新的CMAC KEYS,验证测距请求消息中携带的CMAC;
步骤S624,如果CMAC验证成功,控制站向终端发送测距响应消息,该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,也可以用更新的TEK对该消息进行加密和完整性保护。
若终端接收到的测距响应消息仅做了完整性保护,则终端对接收到的测距响应消息用生成的消息完整性保护密钥CMAC KEYS进行CMAC验证,若接收到的测距响应消息同时做了加密和完整性保护,则终端对该消息用业务流加密密钥TEK进行解密,并验证该消息的完整性。若验证成功,则终端和控制站的密钥更新成功。如果终端进行的是位置更新,则终端根据测距响应消息中的信息更新寻呼组或寻呼相关的属性信息;如果终端需要退出闲置模式进行网络重入,终端和控制站进行后续的网络重入过程。
本实施例的控制站收到终端的测距请求消息后,根据随机数NONCE_AMS生成终端标识哈希值AMSID*,将该AMSID*发送给寻呼控制器或认证器用以更新AK,在更新AK的基础上推导AK*,使用AK*来推导消息完整性保护密钥CMAC KEY和/或业务流加密密钥TEK,进而完成空口密钥的更新过程,增强了系统的安全性。
实施例六
图7示出了根据本实施例提供的闲置模式下空口密钥的更新方法流程图,该方法中的终端进入闲置模式或上次进行位置更新时的服务控制站连接的接入网络为传统接入网络,当该终端需要进行位置更新或是网络重入时,判断当前控制站连接的接入网络类型,如果为先进接入网络,则执行如下步骤:
步骤S702,终端生成终端侧随机数NONCE_AMS,然后根据NONCE_AMS生成终端标识哈希值AMSID*,基于AMSID*和所选控制站的标识ABSID计算出AK;
步骤S704,终端根据AK和更新的AK_COUNT计算AK*;
如果终端保存的是CMAC_KEY_COUNT,终端将CMAC_KEY_COUNT转换为AK_COUNT,然后终端递增重入网计数器AK_COUNT的值。终端也可以先递增CMAC_KEY_COUNT,再将CMAC_KEY_COUNT转换为AK_COUNT;其中计算AK和递增AK_COUNT的操作不分先后;
步骤S706,终端根据AK*计算CMAC KEYS和/或TEK等空口密钥。
步骤S708,终端向控制站发送测距请求消息,该消息携带利用更新的CMAC KEYS计算的测距请求消息的消息完整性验证码CMAC,以及终端侧随机数NONCE_AMS信息;
步骤S710,控制站接收到测距请求消息后,向认证器或寻呼控制器请求该终端与安全相关的上下文;
如果控制站知道认证器的标识,则可以直接向认证器请求获取终端与安全相关的上下文;或者控制站经由寻呼控制器向认证器请求终端与安全相关的上下文;其中向寻呼控制器或认证器发送的上下文请求消息中包含测距请求消息携带的NONCE_AMS信息;
步骤S712,寻呼控制器或认证器根据上下文请求消息中包含的NONCE_AMS信息生成AMSID*信息,并基于AMSID*和ABSID信息,计算AK;
步骤S714,寻呼控制器或认证器返回与该终端相关的上下文信息,如AK,AK_COUNT;
步骤S716,控制站根据从寻呼控制器或认证器返回的AK和AK_COUNT信息计算AK*;
步骤S718,控制站根据AK*推导CMAC KEYS和/或TEK等空口派生密钥;
步骤S720,控制站利用更新的CMAC KEYS验证测距请求消息中携带的CMAC;
步骤S722,如果CMAC验证成功,控制站向终端发送测距响应消息。该消息携带用更新的CMAC KEYS计算的CMAC进行完整性保护,也可以用更新的TEK对该消息进行加密和完整性保护。
若终端接收到的测距响应消息仅做了完整性保护,则终端对接收到的测距响应消息用生成的消息完整性保护密钥CMAC KEYS进行CMAC验证,若接收到的测距响应消息同时做了加密和完整性保护,则终端对该消息用业务流加密密钥TEK进行解密,并验证该消息的完整性。若验证成功,则终端和控制站的密钥更新成功。如果终端进行的是位置更新,则终端根据测距响应消息中的信息更新寻呼组或寻呼相关的属性信息;如果终端需要退出闲置模式进行网络重入,终端和控制站进行后续的网络重入过程。
本实施例的控制站收到终端的测距请求消息后,将该随机数NONCE_AMS发送给寻呼控制器或认证器用以更新AK,在更新AK的基础上推导AK*,使用AK*来推导消息完整性保护密钥CMAC KEY和/或业务流加密密钥TEK,进而完成空口密钥的更新过程,增强了系统的安全性。
实施例七
当进入闲置模式的终端需要进行位置更新或是网络重入时,判断当前控制站与上次进行位置更新的控制站或是终端进入闲置模式的服务控制站(如果终端从进入闲置模式后尚未进行过位置更新)连接的接入网络是否属于同一类型。如果都属于先进接入网络,且终端在进入闲置模式时寻呼控制器或认证器没有保存终端的AMSID*信息,则终端按照上述实施例四、五或六提供的方法更新空口密钥,这里不再详述。
密钥更新成功后,如果终端进行的是位置更新,则终端根据测距响应消息中的信息更新寻呼组或寻呼相关的属性信息;如果终端需要退出闲置模式进行网络重入,终端和控制站进行后续的网络重入过程。
实施例八
图8示出了根据本实施例提供的闲置模式下空口密钥的更新系统,包括:终端802和控制站804;
终端802,用于当处于闲置模式下,在控制站804服务小区内进行位置更新或者网络重入时,根据授权密钥AK生成变形授权密钥AK*,并根据AK*更新空口密钥;
控制站804,用于当终端802处于闲置模式下,在自身的服务小区内进行更新或者网络重入时,根据授权密钥AK生成变形授权密钥AK*,并根据AK*更新空口密钥;
其中,空口密钥包括消息完整性保护密钥CMAC KEYs和/或业务流加密密钥TEK。
本实施例中根据授权密钥AK生成变形授权密钥AK*的具体过程可以参考上述实施例中的内容,这里不再详述。
优选地,控制站804包括仅使用先进区域的先进控制站或使用先进区域的混合模式的先进控制站,也可以为传统控制站。
本实施例的终端进入闲置模式,在连接传统网络和/或先进网络的控制站之间移动时,终端和控制站根据AK生成AK*,并根据AK*更新各自的空口密钥,解决了当引入传统接入网络,终端无法顺利完成空口密钥更新的问题,增强了系统的安全性,使得闲置模式的空口密钥更新能适应系统的演进正常工作,从而实现省电的目的。
控制站804可以与传统接入网络相连,也可以与先进接入网络相连,下面根据控制站804的具体连接情况,分别对系统进行描述。
1)控制站804与传统接入网络相连,终端802包括:第一授权密钥计算模块,用于基于终端标识符AMSID和控制站标识符ABSID计算得到AK;
该系统还包括:认证器或寻呼控制器,用于向控制站804提供终端802安全相关的上下文,其中,上下文包括AK和传统重入网计数器CMAC_KEY_COUNT;
控制站804包括:转换与密钥生成模块,用于将CMAC_KEY_COUNT转换为AK_COUNT,根据AK和AK_COUNT生成变形授权密钥AK*。
2)控制站与先进接入网络相连,终端802包括:第二授权密钥计算模块,用于根据终端标识哈希值AMSID*和控制站标识符ABSID计算得到AK;
该系统还包括:认证器或寻呼控制器,用于根据终端标识哈希值AMSID*和控制站标识符ABSID计算得到AK,向控制站804提供终端802安全相关的上下文,其中,上下文包括AK和先进重入网计数器AK_COUNT;
控制站804包括密钥生成模块,用于根据AK和AK_COUNT生成变形授权密钥AK*。
本实施例提供的系统中的终端802和控制站804的功能与实施例一至实施例七中的终端和控制站的功能相同,这里不再详述。
本实施例的终端和控制站可以根据接入网络的类型选择具体的空口密钥更新方法,使得不支持802.16m安全功能的传统接入服务网络能够使用802.16m定义的相关安全功能完成,增强了系统的安全性。
从以上的描述中可以看出,本发明实现了如下技术效果:终端和控制站在AK的基础上推导AK*,使用AK*来推导消息完整性保护密钥CMAC KEY和/或业务流加密密钥TEK,进而完成空口密钥的更新过程,以使得不支持802.16m安全功能的传统接入服务网络能够使用802.16m定义的相关安全功能完成,增强了系统的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种闲置模式下空口密钥的更新方法,其特征在于,包括:
处于闲置模式下的终端在控制站服务小区内进行位置更新或者网络重入时,所述终端和所述控制站分别根据授权密钥生成变形授权密钥,并根据所述变形授权密钥更新各自的空口密钥。
2.根据权利要求1所述的方法,其特征在于,所述位置更新是所述终端被所述控制站寻呼后进行的位置更新,或者所述位置更新是所述终端主动进行的位置更新;
所述网络重入是所述终端被所述控制站寻呼后进行的网络重入,或者所述网络重入是所述终端主动进行的网络重入。
3.根据权利要求1所述的方法,其特征在于,所述终端根据授权密钥生成变形授权密钥包括:
当所述终端保存的是先进重入网计数器时,所述终端递增所述先进重入网计数器,根据当前的先进重入网计数器的值和授权密钥生成变形授权密钥;
当所述终端保存的是传统重入网计数器时,所述终端将所述传统重入网计数器的值赋给所述先进重入网计数器,然后递增所述先进重入网计数器,或者所述终端先递增所述传统重入网计数器,再将递增后的传统重入网计数器的值赋给先进重入网计数器;然后所述终端根据先进重入网计数器的值和授权密钥生成变形授权密钥。
4.根据权利要求1所述的方法,其特征在于,所述控制站为所述终端上一次进行位置更新的控制站或进入闲置模式尚未进行过位置更新的控制站,所述授权密钥为所述终端与所述控制站上一次使用的授权密钥。
5.根据权利要求1所述的方法,其特征在于,所述控制站与传统接入网络相连,所述终端根据授权密钥生成变形授权密钥之前还包括:所述终端基于所述终端标识符和所述先进控制站标识符计算得到所述授权密钥。
6.根据权利要求5所述的方法,其特征在于,所述控制站根据授权密钥生成变形授权密钥包括:
所述控制站向认证器或寻呼控制器获取所述终端安全相关的上下文,所述上下文包括授权密钥和传统重入网计数器的值;
所述控制站将所述传统重入网计数器的值赋给先进重入网计数器,根据所述授权密钥和所述先进重入网计数器的值生成变形授权密钥。
7.根据权利要求1所述的方法,其特征在于,所述终端上次进行位置更新或进入闲置模式尚未进行过位置更新的服务控制站与先进接入网络相连,所述控制站与先进接入网络相连,所述终端根据授权密钥生成变形授权密钥之前还包括:
所述终端根据所述终端标识哈希值和所述控制站标识符计算得到授权密钥。
8.根据权利要求7所述的方法,其特征在于,所述先进控制站根据授权密钥生成变形授权密钥包括:
所述控制站向认证器或寻呼控制器获取所述终端安全相关的上下文,所述上下文包括授权密钥和先进重入网计数器的值;所述授权密钥为所述认证器或所述寻呼控制器根据所述终端标识哈希值和所述控制站标识符计算得到;
所述先进控制站根据所述授权密钥和所述先进重入网计数器的值生成变形授权密钥。
9.根据权利要求1所述的方法,其特征在于,所述控制站与先进接入网络相连,所述终端根据授权密钥生成变形授权密钥之前还包括:
所述终端生成随机数,并根据所述随机数和所述终端标识符生成终端标识哈希值;
所述终端根据所述终端标识哈希值和所述控制站标识符计算得到所述授权密钥。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述终端向所述控制站发送测距请求消息,所述测距请求消息携带所述终端标识哈希值;
所述控制站根据授权密钥生成变形授权密钥包括:
所述控制站向认证器或寻呼控制器发送上下文请求消息,所述上下文请求消息携带所述终端标识哈希值;
所述控制站接收所述认证器或所述寻呼控制器返回的授权密钥和先进重入网计数器的值,所述授权密钥为所述认证器或所述寻呼控制器根据所述终端标识哈希值和所述控制站标识符计算得到;
所述控制站根据所述授权密钥和所述先进重入网计数器的值生成变形授权密钥。
11.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述终端向所述控制站发送测距请求消息,所述测距请求消息携带所述随机数;
所述控制站根据授权密钥生成变形授权密钥包括:
所述控制站向认证器或寻呼控制器发送上下文请求消息,所述上下文请求消息携带所述随机数;
所述控制站接收所述认证器或所述寻呼控制器返回的授权密钥和先进重入网计数器的值,所述授权密钥为所述认证器或所述寻呼控制器根据所述随机数生成所述终端标识哈希值,并根据所述终端标识哈希值和所述控制站标识符计算得到;
所述控制站根据所述授权密钥和所述先进重入网计数器的值生成变形授权密钥。
12.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述终端向所述控制站发送测距请求消息,所述测距请求消息携带随机数;
所述控制站根据授权密钥生成变形授权密钥包括:
所述控制站根据所述随机数生成所述终端标识哈希值,向认证器或寻呼控制器发送上下文请求消息,所述上下文请求消息携带所述终端标识哈希值;
所述控制站接收所述认证器或所述寻呼控制器返回的授权密钥和先进重入网计数器的值,所述授权密钥为所述认证器或所述寻呼控制器根据所述终端标识哈希值和所述控制站标识符计算得到;
所述控制站根据所述授权密钥和所述先进重入网计数器的值生成变形授权密钥。
13.根据权利要求1所述的方法,其特征在于,所述空口密钥包括消息完整性保护密钥,所述终端和控制站根据所述变形授权密钥更新各自的空口密钥包括:
所述终端根据所述变形授权密钥生成所述消息完整性保护密钥,使用所述消息完整性保护密钥生成测距请求消息的请求消息完整性验证码,通过所述测距请求消息将所述请求消息完整性验证码发送给所述控制站;
所述控制站根据所述变形授权密钥生成所述消息完整性保护密钥,根据生成的消息完整性保护密钥验证所述请求消息完整性验证码,验证通过,使用自身的消息完整性保护密钥生成测距响应消息的响应消息完整性验证码,通过所述测距响应消息将所述响应消息完整性验证码发送给所述终端;
所述终端使用自身的消息完整性保护密钥验证所述响应消息完整性验证码,验证通过,所述空口密钥更新完毕。
14.根据权利要求13所述的方法,其特征在于,所述空口密钥还包括业务流加密密钥;终端和控制站根据所述变形授权密钥更新各自的空口密钥还包括:
所述终端和所述控制站各自根据所述变形授权密钥生成所述业务流加密密钥,所述控制站使用所述业务流加密密钥对测距响应消息进行加密,所述终端使用所述业务流加密密钥对接收的测距响应消息进行解密。
15.一种闲置模式下空口密钥的更新系统,其特征在于,包括:
终端,用于当处于闲置模式下,在控制站服务小区内进行位置更新或者网络重入时,根据授权密钥生成变形授权密钥,并根据所述变形密钥更新空口密钥;
所述控制站,用于当所述终端处于闲置模式下,在自身的服务小区内进行更新或者网络重入时,根据授权密钥生成变形授权密钥,并根据所述变形密钥更新空口密钥。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101558943A CN102238538A (zh) | 2010-04-22 | 2010-04-22 | 闲置模式下空口密钥的更新方法和系统 |
| PCT/CN2011/071023 WO2011131050A1 (zh) | 2010-04-22 | 2011-02-16 | 闲置模式下空口密钥的更新方法和系统 |
| JP2013505311A JP2013529418A (ja) | 2010-04-22 | 2011-02-16 | アイドルモードにおけるエアインタフェースキーの更新方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101558943A CN102238538A (zh) | 2010-04-22 | 2010-04-22 | 闲置模式下空口密钥的更新方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102238538A true CN102238538A (zh) | 2011-11-09 |
Family
ID=44833686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101558943A Pending CN102238538A (zh) | 2010-04-22 | 2010-04-22 | 闲置模式下空口密钥的更新方法和系统 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP2013529418A (zh) |
| CN (1) | CN102238538A (zh) |
| WO (1) | WO2011131050A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102740289A (zh) * | 2012-06-15 | 2012-10-17 | 电信科学技术研究院 | 一种密钥更新方法、装置及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050250474A1 (en) * | 2004-05-07 | 2005-11-10 | Samsung Electronics Co., Ltd. | System and method for controlling idle mode location in a broadband wireless access communication system |
| CN101330747A (zh) * | 2007-07-26 | 2008-12-24 | 中兴通讯股份有限公司 | 一种位置更新过程中获取鉴权密钥的优化方法 |
| CN101631306A (zh) * | 2009-08-17 | 2010-01-20 | 中兴通讯股份有限公司 | 空口密钥的更新方法、终端以及基站 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070248307A1 (en) * | 2002-10-04 | 2007-10-25 | Page David J | Transparent light emitting members and method of manufacture |
| AU2005219898B2 (en) * | 2004-03-04 | 2008-07-24 | Samsung Electronics Co., Ltd. | System and method for controlling an operational mode of a mac layer in a broadband wireless access communication system |
| US9225518B2 (en) * | 2006-12-08 | 2015-12-29 | Alcatel Lucent | Method of providing fresh keys for message authentication |
| CN101083839B (zh) * | 2007-06-29 | 2013-06-12 | 中兴通讯股份有限公司 | 在不同移动接入系统中切换时的密钥处理方法 |
| EP2272203A4 (en) * | 2008-04-30 | 2015-08-26 | Mediatek Inc | METHOD FOR DERIVING A TRANSPORT KEY |
| KR101294816B1 (ko) * | 2008-05-29 | 2013-08-08 | 엘지전자 주식회사 | 제어신호 암호화 방법 |
| US8478258B2 (en) * | 2010-03-05 | 2013-07-02 | Intel Corporation | Techniques to reduce false detection of control channel messages in a wireless network |
-
2010
- 2010-04-22 CN CN2010101558943A patent/CN102238538A/zh active Pending
-
2011
- 2011-02-16 JP JP2013505311A patent/JP2013529418A/ja active Pending
- 2011-02-16 WO PCT/CN2011/071023 patent/WO2011131050A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050250474A1 (en) * | 2004-05-07 | 2005-11-10 | Samsung Electronics Co., Ltd. | System and method for controlling idle mode location in a broadband wireless access communication system |
| CN101330747A (zh) * | 2007-07-26 | 2008-12-24 | 中兴通讯股份有限公司 | 一种位置更新过程中获取鉴权密钥的优化方法 |
| CN101631306A (zh) * | 2009-08-17 | 2010-01-20 | 中兴通讯股份有限公司 | 空口密钥的更新方法、终端以及基站 |
Non-Patent Citations (1)
| Title |
|---|
| XIANGYING YANG ET AL: "Security Architecture Cleanup (16.2.5)", 《IEEE C802.16M-10/0345》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102740289A (zh) * | 2012-06-15 | 2012-10-17 | 电信科学技术研究院 | 一种密钥更新方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011131050A1 (zh) | 2011-10-27 |
| JP2013529418A (ja) | 2013-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101682931B (zh) | 移动台、基站及流量加密密钥的产生方法 | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| US8000478B2 (en) | Key handshaking method and system for wireless local area networks | |
| CN101292558B (zh) | 为中继站提供安全性的方法 | |
| EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
| CN103096308B (zh) | 生成组密钥的方法和相关设备 | |
| US8107630B2 (en) | Apparatus and method for managing stations associated with WPA-PSK wireless network | |
| CN101689990B (zh) | 流量加密密钥的产生方法 | |
| US20020196764A1 (en) | Method and system for authentication in wireless LAN system | |
| CN101771992B (zh) | 国际移动用户标识符imsi机密性保护的方法、设备及系统 | |
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| CN108012266B (zh) | 一种数据传输方法及相关设备 | |
| CN101534505A (zh) | 通信装置和通信方法 | |
| CN103179558A (zh) | 集群系统组呼加密实现方法及系统 | |
| CN101926122A (zh) | 建立安全关联的方法和通信系统 | |
| CN101800943A (zh) | 一种适合组呼系统的组播密钥协商方法及系统 | |
| CN101631306A (zh) | 空口密钥的更新方法、终端以及基站 | |
| CN107211273A (zh) | 涉及用于网络信令的快速初始链路建立fils发现帧的无线通信 | |
| US8752126B2 (en) | Method for enhancing the security of the multicast or broadcast system | |
| CN102217239B (zh) | 一种组临时密钥更新方法、装置和系统 | |
| EP3637815B1 (en) | Data transmission method, and device and system related thereto | |
| CN101742492B (zh) | 密钥处理方法及系统 | |
| CN101610511A (zh) | 终端私密性的保护方法及装置 | |
| WO2022253298A1 (zh) | 传输系统消息的方法和装置 | |
| CN102238538A (zh) | 闲置模式下空口密钥的更新方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111109 |