CN102685735B - 一种在rn切换过程中重建高层安全的方法和系统 - Google Patents
一种在rn切换过程中重建高层安全的方法和系统 Download PDFInfo
- Publication number
- CN102685735B CN102685735B CN201110060069.XA CN201110060069A CN102685735B CN 102685735 B CN102685735 B CN 102685735B CN 201110060069 A CN201110060069 A CN 201110060069A CN 102685735 B CN102685735 B CN 102685735B
- Authority
- CN
- China
- Prior art keywords
- denb
- via node
- source
- target denb
- management entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种在节点切换过程中重建高层安全的方法,包括:在中继节点从源演进基站(DeNB)向目标DeNB切换过程中,所述源DeNB或移动性管理实体发送中继节点切换指示参数给所述目标DeNB;在中继节点从源DeNB切换到所述目标DeNB后,所述目标DeNB与所述中继节点之间建立安全连接。本发明还提供一种在节点切换过程中重建高层安全的系统。本发明当RN在不同DeNB间切换的情况下,切换执行完成后,DeNB与RN间重新建立高层安全连接以恢复正常业务处理。本发明不需要在源DeNB中保留安全连接上下文,也不需要在切换消息中增加参数来传递这些安全上下文,因此对系统和流程的复杂度影响较低。
Description
技术领域
本发明涉及无线通信安全领域,具体而言,涉及在无线通信系统中一种在RN切换过程中重建高层安全的方法和系统。
背景技术
长期演进(Long Term Evolution,简称LTE)网络,由演进全球陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,简称E-UTRAN)和演进分组交换中心(Evolved Packet Core,简称EPC)组成,网络呈现扁平化。EUTRAN通过S1接口与EPC相连。其中,EUTRAN由多个相互连接的演进基站(Evolved NodeB,简称eNB)组成,各个eNB之间通过X2接口连接;EPC由移动性管理实体(Mobility Management Entity,简称MME)和服务网关(Serving Gateway,简称S-GW)组成。另外,在系统架构中还有一个归属环境(HomeEnvironment,HE),即归属用户服务器(HomeSubscriber Server,HSS)或归属位置寄存器(Home Location Register,HLR),作为用户数据库。HSS/HLR包含用户配置文件,执行用户的身份验证和授权,并可提供有关用户物理位置的信息等。
为了满足日益增长的大带宽高速移动接入的需求,第三代伙伴组织计划(ThirdGeneration Partnership Projects,简称3GPP)推出高级长期演进(Long-Term Evolutionadvance,简称LTE-Advanced)标准。LTE-Advanced对于LTE系统的演进保留了LTE的核心,在此基础上采用一系列技术对频域、空域进行扩充,以达到提高频谱利用率、增加系统容量等目的。无线中继(Relay)技术即是LTE-Advanced中的技术之一,旨在扩展小区的覆盖范围,减少通信中的死角地区,平衡负载,转移热点地区的业务,节省用户设备(User Equipment,简称UE)即终端的发射功率。如图1所示,在现有的网络架构中增加一种新的中继节点(Relay-Node,简称RN),这种新增的RN和施主演进基站(Donor-eNB,简称DeNB)之间使用无线连接。其中,Donor-eNB和RN之间的接口称为Un口,两者之间的无线链路称为回程链路(backhaul link);RN和用户设备(User Equipment,UE)之间的接口称为Uu口,其间的无线链路称为接入链路(access link)。下行数据先到达Donor-eNB,然后传递给RN,RN再传输至UE,上行反之。
在实际通信过程中,RN作为一个基站,在接入认证和执行一些安全功能时,却是作为一个普通的终端设备进行处理。当RN作为一个终端设备时,RN可以像普通UE一样接入无线网络。普通UE在接入时网络侧会对其进行用户的鉴权认证和密钥协定(Authenticationand Key Agreement,AKA),在LTE系统中该过程也称为演进分组系统(Evolved PacketSystem,简称EPS)AKA。
RN在通过EPS AKA完成用户鉴权后,还需要进行设备认证。进行设备认证可以有两种方式,但不局限于这两种,一种是基于IP层安全(IP Security,简称IPSec)来实现,另一种是基于传输层安全(Transport Layer Security,简称TLS)来实现。为了阻止中间人类型的攻击,需要保证合法的USIM(Universal Subscriber Identity Module,通用用户识别模块)卡被插在合法的RN设备上,即需要实现RN的用户认证和设备认证之间的绑定。具体的绑定方法包括但不限于如下两种:一是通过绑定IPSec结果和EPS AKA的结果来实现,采用这种方式的架构称为密钥绑定架构;二是把EPS AKA的结果作为IPSec建立的前提,即AKA产生的密钥作为IPSec直接或间接的预共享密钥,采用这种方式的架构称为预共享密钥架构。RN的安全功能还包括对Un口传输的控制面数据和用户面数据进行安全保护,绑定生成的密钥和/或IPSec和/或TLS用于Un口的安全保护。
RN在进行移动的时候同样需要进行作为UE的切换,如图1所示。目前的LTE系统只支持切换过程中AS(Access Security,接入安全)层安全的处理,不能支持RN安全连接(即IPSec或TLS连接)安全上下文的处理,这导致切换后正常的安全功能不能进行,进一步导致切换后的RN无法正常工作。
发明内容
本发明提供一种在RN切换过程中重建高层安全的方法和系统,解决RN切换后正常的安全功能不能进行,进一步导致切换后的RN无法正常工作的问题。
为了解决上述问题,本发明提供了一种在节点切换过程中重建高层安全的方法,包括:
在中继节点从源演进基站(DeNB)向目标DeNB切换过程中,所述源DeNB或移动性管理实体发送中继节点切换指示参数给所述目标DeNB;
在中继节点从源DeNB切换到所述目标DeNB后,所述目标DeNB与所述中继节点之间建立安全连接。
进一步的,上述方法还可具有以下特点,所述安全连接为IP层安全连接或传输层安全连接。
进一步的,上述方法还可具有以下特点,所述方法还包括,所述目标DeNB进行安全绑定参数绑定,并更新接入安全上下文。
进一步的,上述方法还可具有以下特点,所述源DeNB或移动性管理实体通过切换请求消息将所述中继节点切换指示参数发送给所述目标DeNB。
进一步的,上述方法还可具有以下特点,所述方法还包括:所述源DeNB发送切换需求消息给所述移动性管理实体,所述切换需求消息中携带所述中继节点切换指示参数。
本发明还提供一种在节点切换过程中重建高层安全的系统,所述系统包括源DeNB或移动性管理实体,还包括目标DeNB,其中:
所述源DeNB用于:在中继节点从所述源DeNB向所述目标DeNB切换过程中,发送中继节点切换指示参数给所述目标DeNB;
所述移动性管理实体用于:在所述中继节点从所述源DeNB向所述目标DeNB切换过程中,发送中继节点切换指示参数给所述目标DeNB;
所述目标DeNB用于:在所述中继节点从所述源DeNB切换到所述目标DeNB后,与所述中继节点之间建立安全连接。
进一步的,上述系统还可具有以下特点,所述安全连接为IP层安全连接或传输层安全连接。
进一步的,上述系统还可具有以下特点,所述目标DeNB还用于:进行安全绑定参数绑定,并更新接入安全上下文。
进一步的,上述系统还可具有以下特点,所述源DeNB或移动性管理实体是用于通过切换请求消息将所述中继节点切换指示参数发送给所述目标DeNB。
进一步的,上述系统还可具有以下特点,所述源DeNB还用于:发送切换需求消息给所述移动性管理实体,所述切换需求消息中携带所述中继节点切换指示参数。
利用本发明可以保证RN作为UE时,在不同DeNB间切换的情况下,切换执行完成后,DeNB与RN间重新建立高层安全连接以恢复正常业务处理。该方法不需要在源DeNB中保留安全连接上下文,也不需要在切换消息中增加参数来传递这些安全上下文,因此对系统和流程的复杂度影响较低。
附图说明
图1为LTE网络架构中引入中继节点后的示意图;
图2为基于密钥绑定架构的X2切换流程示意图;
图3为基于预共享密钥架构的X2切换流程示意图;
图4为基于密钥绑定架构的S1切换流程示意图;
图5为基于预共享密钥架构的S1切换流程示意图。
具体实施方式
RN作为UE进行切换的时候,通过参数指示进行切换的UE是RN,目标DeNB在完成切换后,根据该指示参数,发起高层安全连接重新建立的过程,恢复切换前的安全连接状态。在此基础上,给出了在不同切换形式、不同安全架构的具体处理方法。
本发明提供一种在节点切换过程中重建高层安全的方法,包括:
在中继节点从源演进基站(DeNB)向目标DeNB切换过程中,所述源DeNB或移动性管理实体发送中继节点切换指示参数给所述目标DeNB;
在中继节点从源DeNB切换到所述目标DeNB后,所述目标DeNB与所述中继节点之间建立安全连接。
其中,所述安全连接为IP层安全连接或传输层安全连接。
其中,所述方法还包括,所述目标DeNB进行安全绑定参数绑定,并更新接入安全上下文。
其中,所述源DeNB或移动性管理实体通过切换请求消息将所述中继节点切换指示参数发送给所述目标DeNB。
其中,所述方法还包括:所述源DeNB发送切换需求消息给所述移动性管理实体,所述切换需求消息中携带所述中继节点切换指示参数。
重新建立后的安全连接用于延续切换前的安全功能,具体地,用来对Un接口的传输的控制面数据和用户面数据进行安全保护,和/或用来进行安全绑定参数(如Keyoffset,简称Ko)传递,和/或用来执行RN设备认证等。
具体实施例一:
如图2所示,该实施例中描述了作为UE的RN进行基于密钥绑定架构的X2切换过程的具体方法。
201.源DeNB收到RN的测量报告后,决定发起基于X2的切换。
202.源DeNB向目标DeNB发送切换请求消息,消息中携带正常的AS安全上下文,和RN切换指示参数。所述RN切换指示参数用于告知目标DeNB当前的用户是RN。
203.目标DeNB向源DeNB发送切换请求确认消息。
204.源DeNB收到切换请求确认消息后,开始进行切换,向RN发送切换命令消息。
源DeNB发送完切换命令消息后,挂起安全隧道。
205.RN收到切换命令消息后,挂起安全隧道,然后执行切换,向目标DeNB发送切换命令完成消息。
206.目标DeNB向MME发送路径转换请求消息。
207.MME向目标DeNB发送路径转换确认消息。
208.MME与源DeNB之间完成资源释放。
209.目标DeNB与RN之间建立IPSec或TLS安全连接。
210.目标DeNB和RN都进行安全绑定参数(即Key offset,简称Ko)绑定并更新AS安全上下文。
此后RN和目标DeNB开启安全隧道。
步骤209和步骤210发生在步骤206之后,与步骤207和步骤208没有先后顺序关系。
具体实施例二:
如图3所示,该实施例中描述了在作为UE的RN进行基于预共享密钥架构的X2切换过程的具体方法。
301.源DeNB收到RN的测量报告后,决定发起基于X2的切换。
302.源DeNB向目标DeNB发送切换请求消息,消息中携带正常的AS安全上下文,和RN切换指示参数。
303.目标DeNB向源DeNB发送切换请求确认消息。
304.源DeNB收到切换请求确认消息后,开始进行切换,向RN发送切换命令消息。
源DeNB发送完切换命令消息后,挂起安全隧道。
305.RN收到切换命令请求消息后,挂起安全隧道,然后执行切换。向目标DeNB发送切换命令完成消息。
306.目标DeNB向MME发送路径转换请求消息。
307.MME向目标DeNB发送路径转换确认消息。
308.MME与源DeNB之间完成资源释放。
309.目标DeNB与RN之间建立IPSec或TLS安全连接。
此后RN和目标DeNB开启安全隧道。
步骤309发生在步骤306之后,与步骤307和步骤308没有先后顺序关系。
具体实施例三:
如图4所示,该实施例中描述了在作为UE的RN进行基于密钥绑定架构的S1切换过程的具体方法。
401.源DeNB收到RN的测量报告后,决定发起基于S1的切换。
402.源DeNB向MME发送切换需求消息,消息中携带正常的AS安全上下文,和RN切换指示参数。
403.MME收到切换需求消息后,向目标DeNB发送切换请求消息,透明传递AS安全上下文以及RN切换指示参数。
404.目标DeNB向MME发送切换请求确认消息。
405.MME向源DeNB发送切换命令消息。
406.源DeNB收到MME发来的切换命令消息后,开始进行切换,向RN发送切换命令消息。
源DeNB发送完切换命令消息后,挂起安全隧道。
407.RN收到切换命令消息后,挂起安全隧道,然后执行切换,向目标DeNB发送切换确认消息。
408.目标DeNB向MME发送切换通知消息。
409.MME与源DeNB之间完成资源释放。
410.目标DeNB与RN之间建立IPSec或TLS安全连接。
411.目标DeNB和RN都进行安全绑定参数绑定并更新AS安全上下文。
此后RN和目标DeNB开启安全隧道。
步骤410和步骤411发生在步骤407之后,与步骤408和步骤409没有先后顺序关系。
具体实施例四:
如图5所示,该实施例中描述了在作为UE的RN进行基于预共享密钥架构的S1切换过程的具体方法。
501.源DeNB收到RN的测量报告后,决定发起基于S1的切换。
502.源DeNB向MME发送切换需求消息,消息中携带正常的AS安全上下文,和RN切换指示参数。
503.MME收到切换需求消息后,向目标DeNB发送切换请求消息,透明传递AS安全上下文以及RN切换指示参数。
504.目标DeNB向MME发送切换请求确认消息。
505.MME向源DeNB发送切换命令消息。
506.源DeNB收到MME发来的切换命令消息后,开始进行切换,向RN发送切换命令消息。
源DeNB发送完切换命令消息后,挂起安全隧道。
507.RN收到切换命令消息后,挂起安全隧道,然后执行切换,向目标DeNB发送切换确认消息。
508.目标DeNB向MME发送切换通知消息。
509.MME与源DeNB之间完成资源释放。
510.目标DeNB与RN之间建立IPSec或TLS安全连接。
此后RN和目标DeNB开启安全隧道。
步骤510发生在步骤507之后,与步骤508和步骤509没有先后顺序关系。
本发明提供一种在节点切换过程中重建高层安全的系统,所述系统包括源DeNB或移动性管理实体,还包括目标DeNB,其中:
所述源DeNB用于:在中继节点从所述源DeNB向所述目标DeNB切换过程中,发送中继节点切换指示参数给所述目标DeNB;
所述移动性管理实体用于:在所述中继节点从所述源DeNB向所述目标DeNB切换过程中,发送中继节点切换指示参数给所述目标DeNB;
所述目标DeNB用于:在所述中继节点从所述源DeNB切换到所述目标DeNB后,与所述中继节点之间建立安全连接。
其中,所述安全连接为IP层安全连接或传输层安全连接。
其中,所述目标DeNB还用于:进行安全绑定参数绑定,并更新接入安全上下文。
其中,所述源DeNB或移动性管理实体是用于通过切换请求消息将所述中继节点切换指示参数发送给所述目标DeNB。
其中,所述源DeNB还用于:发送切换需求消息给所述移动性管理实体,所述切换需求消息中携带所述中继节点切换指示参数。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种在节点切换过程中重建高层安全的方法,其特征在于,包括:
在中继节点从源施主演进基站DeNB向目标施主演进基站DeNB切换过程中,所述源DeNB或移动性管理实体发送中继节点切换指示参数给所述目标DeNB;
在中继节点从源DeNB切换到所述目标DeNB后,所述目标DeNB与所述中继节点之间建立安全连接;
所述中继节点切换指示参数用于告知目标DeNB当前的用户是中继节点;
所述安全连接具体包括:IP层安全连接或传输层安全连接。
2.如权利要求1所述的方法,其特征在于,所述方法还包括,所述目标DeNB进行安全绑定参数绑定,并更新接入安全上下文。
3.如权利要求1或2所述的方法,其特征在于,所述源DeNB或移动性管理实体通过切换请求消息将所述中继节点切换指示参数发送给所述目标DeNB。
4.如权利要求1或2所述的方法,其特征在于,所述方法还包括:在移动性管理实体通过切换请求消息将所述中继节点切换指示参数发送给所述目标DeNB之前,所述源DeNB发送切换需求消息给所述移动性管理实体,所述切换需求消息中携带所述中继节点切换指示参数。
5.一种在节点切换过程中重建高层安全的系统,其特征在于,所述系统包括源施主演进基站DeNB和移动性管理实体,还包括目标施主演进基站DeNB,其中:
所述源DeNB用于:在中继节点从所述源DeNB向所述目标DeNB切换过程中,发送中继节点切换指示参数给所述目标DeNB;
所述移动性管理实体用于:在所述中继节点从所述源DeNB向所述目标DeNB切换过程中,发送中继节点切换指示参数给所述目标DeNB;
所述目标DeNB用于:在所述中继节点从所述源DeNB切换到所述目标DeNB后,与所述中继节点之间建立安全连接;
所述中继节点切换指示参数用于告知目标DeNB当前的用户是中继节点;
所述安全连接具体包括:IP层安全连接或传输层安全连接。
6.如权利要求5所述的系统,其特征在于,所述目标DeNB还用于:进行安全绑定参数绑定,并更新接入安全上下文。
7.如权利要求5或6所述的系统,其特征在于,所述源DeNB或移动性管理实体是用于通过切换请求消息将所述中继节点切换指示参数发送给所述目标DeNB。
8.如权利要求5或6所述的系统,其特征在于,所述源DeNB还用于:发送切换需求消息给所述移动性管理实体,所述切换需求消息中携带所述中继节点切换指示参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110060069.XA CN102685735B (zh) | 2011-03-11 | 2011-03-11 | 一种在rn切换过程中重建高层安全的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110060069.XA CN102685735B (zh) | 2011-03-11 | 2011-03-11 | 一种在rn切换过程中重建高层安全的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102685735A CN102685735A (zh) | 2012-09-19 |
| CN102685735B true CN102685735B (zh) | 2017-02-01 |
Family
ID=46816971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110060069.XA Active CN102685735B (zh) | 2011-03-11 | 2011-03-11 | 一种在rn切换过程中重建高层安全的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102685735B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212810A (zh) * | 2006-12-27 | 2008-07-02 | 华为技术有限公司 | 无线网络中用户设备切换方法及其系统 |
| CN101931953A (zh) * | 2010-09-20 | 2010-12-29 | 中兴通讯股份有限公司 | 生成与设备绑定的安全密钥的方法及系统 |
| CN101945386A (zh) * | 2010-09-10 | 2011-01-12 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
-
2011
- 2011-03-11 CN CN201110060069.XA patent/CN102685735B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212810A (zh) * | 2006-12-27 | 2008-07-02 | 华为技术有限公司 | 无线网络中用户设备切换方法及其系统 |
| CN101945386A (zh) * | 2010-09-10 | 2011-01-12 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及系统 |
| CN101931953A (zh) * | 2010-09-20 | 2010-12-29 | 中兴通讯股份有限公司 | 生成与设备绑定的安全密钥的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 基于LTE内部切换的安全分析;陈金权;《电信快报》;20101231(第12期);1-4页 * |
| 面向IPv6的IP层移动安全构架研究;赵蕾;《中国优秀硕士学位论文全文数据库信息科技辑》;20090715(第07期);I136-465 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102685735A (zh) | 2012-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105557006B (zh) | 通信系统中的用户设备及由其进行通信的方法 | |
| US9999086B2 (en) | Packet data transfer re-establishment | |
| CN104937985B (zh) | 本地区域无线网中低开销移动性管理方法以及用户设备 | |
| RU2679417C1 (ru) | Способ распространения контекста ключа безопасности, объект управления мобильностью и базовая станция | |
| US9769709B2 (en) | Handover method, communication device and communication system | |
| CN101983518B (zh) | 用于为切换提供多跳密码分离的方法、设备和计算机程序产品 | |
| EP2897398B1 (en) | Key isolation method and device | |
| WO2018165996A1 (zh) | 切换方法和装置 | |
| CN104349309B (zh) | 一种移动通信系统中利用nh、ncc对解决安全问题的方法 | |
| CN104519486B (zh) | 用于异构网中无线侧密钥更新的方法和系统 | |
| Hsieh et al. | Dual-connectivity prevenient handover scheme in control/user-plane split networks | |
| ES2807792T3 (es) | Método de reubicación de red móvil y estación base | |
| ES2969548T3 (es) | Contexto de seguridad en un sistema de comunicación inalámbrica | |
| US9232454B2 (en) | Data offloading method | |
| US20190208380A1 (en) | Charging system and method, and network device | |
| CN104854907B (zh) | 用于在异构网络中执行切换的方法、装置及计算机程序产品 | |
| CN104602236B (zh) | 一种机器类型通信中基于群组的匿名切换认证方法 | |
| CN106817696A (zh) | 处理用于双连接的数据传送/接收的装置及方法 | |
| CN102142942B (zh) | 一种中继节点系统中的数据处理方法及系统 | |
| WO2012094958A1 (zh) | 一种安全隔离的方法和设备 | |
| CN104797009B (zh) | 双连接网络中的无线承载释放方法及系统 | |
| WO2015161575A1 (zh) | 用户终端位置上报方法、基站、移动管理实体及系统 | |
| CN102958122A (zh) | 群组切换时的承载控制方法及装置 | |
| US9848366B2 (en) | Method for determining relocation process and method for determining handover process | |
| CN102685817B (zh) | 在中继节点切换过程中不需要重建高层安全的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |