CN103179559A - 一种低成本终端的安全通信方法、装置及系统 - Google Patents
一种低成本终端的安全通信方法、装置及系统 Download PDFInfo
- Publication number
- CN103179559A CN103179559A CN2011104356153A CN201110435615A CN103179559A CN 103179559 A CN103179559 A CN 103179559A CN 2011104356153 A CN2011104356153 A CN 2011104356153A CN 201110435615 A CN201110435615 A CN 201110435615A CN 103179559 A CN103179559 A CN 103179559A
- Authority
- CN
- China
- Prior art keywords
- key
- access
- low cost
- algorithm
- simple non
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/102—Route integrity, e.g. using trusted paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/047—Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations
Abstract
本发明实施例提供一种低成本终端的安全通信的方法、装置及系统,解决了低成本终端和网络侧存在的通信安全问题。该方法包括:访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥;所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。本发明实施例应用于无线通信。
Description
技术领域
本发明涉及通信领域,尤其涉及一种低成本终端的安全通信方法、装置及系统。
背景技术
机器对机器(machine to machine,简称:M2M)技术是无线通信和信息技术的整合,是指无需人工干预,机器和机器之间可以直接进行通信。机器对机器(M2M)通信也称机器类通信(machine typecommunication,简称:MTC),与传统人对人(human to human,简称:H2H)通信系统有很大不同,M2M通信由于其设备数量巨大、低移动性、通信流量小等特点,具有很多机器类通信的特性。在目前的3GPP(the 3rd generation partnership project,第三代合作伙伴计划)标准中开始针对这些特性对网络系统进行优化。
在现有的低成本终端网络架构中,低成本终端上只具有简单NAS(Non Access Stratum,非接入层),仅能够执行相关的非接入层流程,AP(Access Point,访问接入点)作为接入点需将低成本终端发送的简单NAS消息进行解析翻译,然后将翻译好的简单NAS消息传递到MME(Mobility Management Entity,移动管理实体)的NAS层,也就是AP代替低成本终端发送NAS消息,执行相关的操作。
在此过程中,发明人发现如果按照现有安全机制,NAS安全建立在低成本终端和MME之间,AP没有低成本终端的NAS安全上下文,无法实现对NAS信令的翻译,使得AP与低成本终端之间存在安全隐患。
发明内容
本发明的实施例提供一种低成本终端的安全通信方法、装置及系统,解决了AP无法实现对低成本终端NAS信令翻译的问题,使得低成本终端能够与网络安全通信。
为达到上述目的,本发明的实施例采用如下技术方案:
一方面,提供一种低成本终端的安全通信的方法,包括:
访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥;
所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;
所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。
另一方面,提供一种访问接入点,包括:
算法密钥获取模块,用于在低成本终端与移动控制实体进行认证和密钥协商后,所述访问接入点得到对应所述低成本终端安全能力的加密算法和加密密钥,以及完整性算法和完整性密钥;
加密发送模块,用于所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;
接收模块,用于所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。
一种移动控制实体,包括:
第四认证连接模块,用于所述移动控制实体与低成本终端进行认证和密钥协商。
一种基站,包括:
第五认证连接模块,用于所述基站与访问接入点建立接入层安全连接。
一种低成本终端,包括:
第六认证连接模块,用于所述移动控制实体与所述低成本终端进行认证和密钥协商;
接收模块,用于接收所述访问接入点发送的包含所述加密算法和所述完整性算法的安全模式命令;
解密模块,用于接收到所述安全模式命令后计算得到加密密钥和完整性密钥;
上报模块,用于发送安全模式完成响应消息给所述访问接入点。
再一方面,提供一种低成本终端的安全通信系统,其特征在于,包括:
访问接入点,用于访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥;所述访问接入点将包含有所述所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。
移动控制实体,用于所述低移动控制实体与成本终端进行认证和密钥协商。
基站,用于所述基站与访问接入点建立接入层安全连接。
低成本终端,用于所述移动控制实体与所述低成本终端进行认证和密钥协商;接收所述访问接入点发送的包含所述加密算法和所述完整性算法的安全模式命令;接收到所述安全模式命令后计算得到加密密钥和完整性密钥;发送安全模式完成响应消息给所述访问接入点。
本发明的实施例提供一种低成本终端的安全通信的方法、装置及系统,在现有的低成本终端网络架构中,在低成本终端与访问接入点之间利用密钥来建立连接上的安全,实现了移动低成本终端与网络的安全通信。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种低成本终端的安全通信的方法流程示意图;
图2为本发明实施例提供的另一种低成本终端的安全通信的方法流程示意图;
图3为本发明实施例提供的又一种低成本终端的安全通信的方法流程示意图;
图4为本发明实施例提供的再一种低成本终端的安全通信的方法流程示意图;
图5为本发明实施例提供的再一种低成本终端的安全通信的方法流程示意图;
图6为本发明实施例提供的一种访问接入点结构示意图;
图7为本发明实施例提供的另一种访问接入点结构示意图;
图8为本发明实施例提供的又一种访问接入点结构示意图;
图9为本发明实施例提供的再一种访问接入点结构示意图;
图10为本发明实施例提供的再一种访问接入点结构示意图;
图11为本发明实施例提供的再一种访问接入点结构示意图;
图12为本发明实施例提供的一种移动控制实体结构示意图;
图13为本发明实施例提供的另一种移动控制实体结构示意图;
图14为本发明实施例提供的一种基站结构示意图;
图15为本发明实施例提供的另一种基站结构示意图;
图16为本发明实施例提供的一种低成本终端结构示意图;
图17为本发明实施例提供的一种低成本终端的安全通信系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的低成本终端的安全通信的方法,如图1所示,包括以下步骤:
S101,访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据低成本终端的安全能力选择加密算法和完整性算法,并根据加密算法和完整性算法获取加密密钥和完整性密钥;
S102、访问接入点将包含有加密算法和完整性算法的安全模式命令发送至低成本终端,以便低成本终端计算得到加密密钥和完整性密钥;
S103、访问接入点接收低成本终端发送的安全模式完成响应消息。
本发明的实施例提供的低成本终端的安全通信的方法,在现有的低成本终端网络架构中,在低成本终端与访问接入点之间利用密钥来建立连接上的安全,实现了低成本终端与网络的安全通信。
本发明实施例提供的一种低成本终端的安全通信的方法,如图2所示,包括以下步骤:
S201,访问接入点与移动控制实体进行认证和密钥协商,并与移动控制实体建立非接入层安全连接,生成非接入层密钥。
S202,访问接入点与基站建立接入层的安全连接。
S203,低成本终端与移动控制实体进行认证与密钥协商并生成通信根密钥。
该步骤中生成通信根密钥Kasme。
S204,移动控制实体根据通信根密钥计算出接入层根密钥;
这里,移动控制实体和低成本终端没有建立非接入层的安全连接,移动控制实体只需要根据S203中生成的通信根密钥Kasme计算出的接入层根密钥,接入层根密钥为KeNB=KDF(Kasme,NAS Uplink Count)。
S205,移动控制实体通过基站将接入层根密钥发送给访问接入点,该过程通过移动控制实体和访问接入点共享的非接入层密钥安全保护。
S206,访问接入点自身预配置或从移动控制实体获取低成本终端的安全能力。
其中步骤S205和S206不分先后顺序,这里为了描述清楚给出了其中一种顺序。即步骤S206亦可在S205之前或者同时进行。图2中虚线方框中的S206表示访问接入点自身预配置低成本终端的安全能力。
S207,访问接入点根据低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据接入层根密钥和选择的接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法计算出接入层密钥和接入层完整性密钥、简单非接入层密钥和简单非接入层完整性密钥。
其中,密钥计算方式为,接入层完整性密钥KRRCint=KDF(KeNB,RRC-int-alg,Alg-ID),接入层信令面加密密钥KRRCenc=KDF(KeNB,RRC-enc-alg,Alg-ID),接入层用户面加密密钥KUPenc=KDF(KeNB,UP-enc-alg,Alg-ID),简单非接入层加密密钥KSNASenc=KDF(KeNB,SNAS-enc-alg,Alg-ID),简单非接入层完整性密钥KSNASint=KDF(KeNB,SNAS-int-alg,Alg-ID)。
S208,访问接入点将包含接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至低成本终端。
这里,当接入层加密算法及接入层完整性算法与简单非接入层加密算法及简单非接入层完整性算法一致时,该步骤方法可以只包含一种加密算法和完整性算法。
S209,低成本终端接收到安全模式命令后计算出的接入层加密密钥和接入层完整性密钥、简单非接入层加密密钥和简单非接入层完整性密钥并返回安全模式完成响应消息给访问接入点。
这里计算接入层加密密钥和接入层完整性密钥、简单非接入层加密密钥和简单非接入层完整性密钥的方式与步骤S207中的方式是相同的。
S210,访问接入点接收低成本终端发送的安全模式完成响应消息。
本发明的实施例提供的低成本终端的安全通信的方法,在现有的低成本终端网络架构中,在低成本终端与访问接入点之间利用密钥来建立连接上的安全,实现了低成本终端与网络的安全通信。
本发明实施例提供的的低成本终端的安全通信的方法,如图3所示,包括以下步骤:
S301,访问接入点与移动控制实体进行认证和密钥协商,并与移动控制实体建立非接入层安全连接,生成非接入层密钥。
S302,访问接入点与基站建立接入层的安全连接。
S303,低成本终端与移动控制实体进行认证与密钥协商并生成通信根密钥。
该步骤中生成通信根密钥Kasme。
S304,移动控制实体根据通信根密钥计算出接入层根密钥。
这里,移动控制实体和低成本终端没有建立非接入层的安全连接,移动控制实体只需要根据步骤S303中的通信根密钥Kasme计算出的接入层根密钥,接入层根密钥为KeNB=KDF(Kasme,NAS Uplink Count)。
S305,移动控制实体通过基站将接入层根密钥发送给访问接入点,该过程通过移动控制实体和访问接入点共享的非接入层密钥安全保护。
S306,访问接入点自身预配置或从移动控制实体获取低成本终端的安全能力。
其中步骤S305和S306不分先后顺序,这里为了描述清楚给出了其中一种顺序。即步骤S306亦可在S305之前或者同时进行。图3中虚线方框中的S306表示访问接入点自身预配置低成本终端的安全能力。
S307,访问接入点根据低成本终端的安全能力选择加密算法和完整性算法,并根据接入层根密钥和选择的加密算法、完整性算法计算信令加密密钥、信令完整性密钥及数据加密密钥。
其中,密钥计算方式为:信令加密密钥KSIGint=KDF(KeNB,Signalling-int-alg,Alg-ID),信令完整性密钥KSIGenc=KDF(KeNB,Signalling-enc-alg,Alg-ID),及数据加密密钥KUPenc=KDF(KeNB,UP-enc-alg,Alg-ID)。
S308,访问接入点将包含加密算法和完整性算法的安全模式命令发送至低成本终端。
S309,低成本终端接收到安全模式命令后计算出信令加密密钥、信令完整性密钥及数据加密密钥并返回安全模式完成响应消息给访问接入点。
这里所用到的密钥的计算方式与步骤S307中的方式是相同的。
S310,访问接入点接收低成本终端发送的安全模式完成响应消息。
本发明的实施例提供的低成本终端的安全通信的方法,在现有的低成本终端网络架构中,在低成本终端与访问接入点之间利用密钥来建立连接上的安全,实现了低成本终端与网络的安全通信。
本发明实施例提供的一种安全通信的方法,如图4所示,包括以下步骤:
S401,访问接入点与移动控制实体进行认证和密钥协商,并与移动控制实体建立非接入层安全连接,生成非接入层密钥。
S402,访问接入点与基站建立接入层的安全连接。
S403,低成本终端与移动控制实体进行认证与密钥协商并生成通信根密钥、或在生成通信根密钥后根据通信根密钥和非接入层数据生成临时通信根密钥。
该步骤中生成通信根密钥Kasme,或者在生成通信根密钥后根据通信根密钥和非接入层数据生成临时通信根密钥Kasme-s=(Kasme,“SimpleNAS”),这里的非接入层数据是“Simple NAS”字符串。
S404,移动控制实体根据通信根密钥计算出接入层根密钥。
这里,移动控制实体和低成本终端没有建立非接入层的安全连接,移动控制实体只需要根据步骤S403中的通信根密钥计算出的接入层根密钥KeNB=KDF(Kasme,NAS Uplink Count)。
S405,移动控制实体通过基站将接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥发送给访问接入点,该过程通过移动控制实体和访问接入点共享的非接入层密钥安全保护。
S406,访问接入点自身预配置或从移动控制实体获取低成本终端的安全能力。
其中步骤S405和S406不分先后顺序,这里为了描述清楚给出了其中一种顺序。即步骤S406亦可在S405之前或者同时进行。图4中虚线方框中的S406表示访问接入点自身预配置低成本终端的安全能力。
S407,访问接入点根据低成本终端的安全能力选择接入层加密算法和接入层完整性算法、非接入层加密算法和非接入层完整性算法,并根据接入层加密算法、接入层完整性算法和接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据简单非接入层密钥算法、简单非接入层完整性算法和通信根密钥或临时通信根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
其中,密钥计算方式为,接入层完整性密钥KRRCint=KDF(KeNB,RRC-int-alg,Alg-ID),接入层信令面加密密钥KRRCenc=KDF(KeNB,RRC-enc-alg,Alg-ID),接入层用户面加密密钥KUPenc=KDF(KeNB,UP-enc-alg,Alg-ID),简单非接入层加密密钥KSNASenc=KDF(Kasme/Kasme-s,SNAS-enc-alg,Alg-ID),简单非接入层完整性密钥KSNASint=KDF(Kasme/Kasme-s,SNAS-int-alg,Alg-ID)。
S408,访问接入点将包含接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至低成本终端。
这里,当接入层加密算法及接入层完整性算法与简单非接入层加密算法及简单非接入层完整性算法一致时,该步骤方法可以只包含一种密钥算法和完整性算法。
S409,低成本终端接收到安全模式命令后计算出的接入层加密密钥和接入层完整性密钥、简单非接入层加密密钥和简单非接入层完整性密钥并返回安全模式完成响应消息给访问接入点。
这里计算接入层加密密钥和接入层完整性密钥、简单非接入层加密密钥和简单非接入层完整性密钥的方式与步骤S407中的方式是相同的。
S410,访问接入点接收低成本终端发送的安全模式完成响应消息。
本发明的实施例提供的低成本终端的安全通信的方法,在现有的低成本终端网络架构中,在低成本终端与访问接入点之间利用密钥来建立连接上的安全,实现了低成本终端与网络的安全通信。
本发明实施例提供的低成本终端的安全通信的方法,如图5所示,包括以下步骤:
S501,访问接入点与移动控制实体进行认证和密钥协商,并与移动控制实体建立非接入层安全连接,生成非接入层密钥。
S502,访问接入点与基站建立接入层的安全连接。
S503,低成本终端与移动控制实体进行认证与密钥协商并生成通信根密钥。
该步骤中生成通信根密钥Kasme。
S504,移动控制实体根据通信根密钥计算出接入层根密钥,并根据低成本终端的安全能力、访问接入点的安全能力选择简单非接入层加密算法和简单非接入层完整性算法,并根据简单非接入层加密算法、简单非接入层完整性算法和通信根密钥计算出简单非接入层加密密钥和简单非接入层完整性密钥。
这里,移动控制实体需要根据步骤S503的通信根密钥Kasme计算出的接入层根密钥,接入层根密钥为KeNB=KDF(Kasme,Uplink NAS Count);密钥计算方式为:简单非接入层加密密钥KSNASenc=KDF(Kasme,SNAS-enc-alg,Alg-ID),简单非接入层完整性密钥KSNASint=KDF(Kasme,SNAS-int-alg,Alg-ID)。
S505,移动控制实体通过基站将接入层根密钥、简单非接入层加密算法和简单非接入层完整性算法及计算出的简单非接入层加密密钥和简单非接入层完整性密钥发送给访问接入点,该过程通过移动控制实体和访问接入点共享的的非接入层密钥安全保护。
S506,访问接入点自身预配置或从移动控制实体获取低成本终端的安全能力。
其中步骤S505和S506不分先后顺序,这里为了描述清楚给出了其中一种顺序。即步骤S506可在S505之前或者同时或者之后进行。图5中虚线方框中的S506表示访问接入点自身预配置低成本终端的安全能力。
S507,访问接入点根据低成本终端的安全能力选择接入层加密算法和接入层完整性算法,并根据接入层根密钥及选择的接入层加密算法和接入层完整性算法计算出接入层加密密钥和接入层完整性密钥。
其中,密钥计算方式为:接入层完整性密钥KRRCint=KDF(KeNB,RRC-int-alg,Alg-ID),接入层加密密钥KRRCenc=KDF(KeNB,RRC-enc-alg,Alg-ID),接入层加密密钥KUPenc=KDF(KeNB,UP-enc-alg,Alg-ID)。
S508,访问接入点将包含接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至低成本终端。
这里,当接入层加密算法及接入层完整性算法与简单非接入层加密算法及简单非接入层完整性算法一致时,该步骤方法可以只包含一种密钥算法和完整性算法。
S509,低成本终端接收到安全模式命令后计算出的接入层加密密钥和接入层完整性密钥、简单非接入层加密密钥和简单非接入层完整性密钥并返回安全模式完成响应消息给访问接入点。
这里计算接入层加密密钥和接入层完整性密钥的方式与步骤S507中的方式是相同的,计算简单非接入层加密密钥和简单非接入层完整性密钥的方式与步骤S504中的方式是相同的。
S510,访问接入点接收低成本终端发送的安全模式完成响应消息。
本发明的实施例提供的低成本终端的安全通信的方法,在现有的低成本终端网络架构中,在低成本终端与访问接入点之间利用密钥来建立连接上的安全,实现了低成本移动低成本终端与网络的安全通信。
本发明实施例提供的一种访问接入点6,如图6所示,包括:算法密钥获取模块61,加密发送模块62和接收模块63。
算法密钥获取模块61用于访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据低成本终端的安全能力选择加密算法和完整性算法,并根据加密算法和完整性算法获取加密密钥和完整性密钥。
加密发送模块62用于访问接入点将包含有加密算法和完整性算法的安全模式命令发送至低成本终端,以便低成本终端计算得到加密密钥和完整性密钥。
接收模块63用于访问接入点接收低成本终端发送的安全模式完成响应消息。
进一步的,如图7所示,访问接入点,包括:第一认证连接模块71、第二认证连接模块72、算法密钥获取模块73,加密发送模块74和接收模块75。
第一认证连接模块71用于访问接入点与移动控制实体进行认证和密钥协商,并与移动控制实体建立非接入层安全连接,生成非接入层密钥。
第二认证连接模块72用于访问接入点与基站建立接入层安全连接。
算法密钥获取模块73用于访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据低成本终端的安全能力选择加密算法和完整性算法,并根据加密算法和完整性算法获取加密密钥和完整性密钥。
加密发送模块74用于访问接入点将包含有加密算法和完整性算法的安全模式命令发送至低成本终端,以便低成本终端计算得到加密密钥和完整性密钥。
接收模块75用于访问接入点接收低成本终端发送的安全模式完成响应消息。
进一步的,如图8所示,算法密钥获取模块73还包括:
第一密钥获取单元7311用于访问接入点接收经由基站转发的移动控制实体发送的接入层根密钥;且接入层根密钥通过移动控制实体与访问接入点之间共享的非接入层密钥进行安全保护;其中,接入层根密钥为移动控制实体根据通信根密钥计算获得。
第一安全能力获取单元7312用于访问接入点自身预配置低成本终端的安全能力或者从移动控制实体获取经由基站转发的低成本终端的安全能力。
第一算法密钥获取单元7313用于访问接入点根据低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据接入层加密算法、接入层完整性算法和接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据简单非接入层密钥算法、简单非接入层完整性算法和接入层根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
其中,加密发送模块74用于访问接入点将包含有接入层加密算法和接入层完整性算法以及简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至低成本终端;以便低成本终端根据接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据简单非接入层加密算法和简单非接入层完整性算法计算得到简单非接入层加密密钥和简单非接入层完整性密钥
如图9所示,算法密钥获取模块73还包括:
第二密钥获取单元7321用于访问接入点接收经由基站转发的移动控制实体发送的接入层根密钥;且接入层根密钥通过移动控制实体与访问接入点之间共享的非接入层密钥进行安全保护;其中,接入层根密钥为移动控制实体根据通信根密钥计算获得。
第二安全能力获取单元7322用于访问接入点自身预配置低成本终端的安全能力或者从移动控制实体获取经由基站转发的低成本终端的安全能力。
第二算法密钥获取单元7323用于访问接入点根据低成本终端的安全能力选择加密算法和完整性算法,并根据加密算法、完整性算法和接入层根密钥计算得到信令加密密钥、信令完整性密钥和数据加密密钥。
其中,加密发送模块74用于访问接入点将包含有加密算法和完整性算法的安全模式命令发送至低成本终端;以便低成本终端根据加密算法、完整性算法计算得到信令加密密钥、信令完整性密钥和数据加密密钥
如图10所示,算法密钥获取模块73还包括:
第三密钥获取单元7331用于访问接入点接收经由基站转发的移动控制实体发送的接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥;且接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥通过移动控制实体与访问接入点之间共享的非接入层密钥进行安全保护;其中,接入层根密钥为移动控制实体根据通信根密钥计算获得。
第三安全能力获取单元7332用于访问接入点自身预配置低成本终端的安全能力或者从移动控制实体获取经由基站转发的低成本终端的安全能力。
第三算法密钥获取单元7333用于访问接入点根据低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据接入层加密算法、接入层完整性算法和接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据简单非接入层密钥算法、简单非接入层完整性算法和所述通信根密钥或临时通信根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
其中,加密发送模块74用于访问接入点将包含有接入层加密算法和接入层完整性算法以及简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至低成本终端;以便低成本终端根据接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据简单非接入层加密算法和简单非接入层完整性算法计算得到非简单接入层加密密钥和简单非接入层完整性密钥。
如图11所示,算法密钥获取模块73还包括:
第四算法密钥获取单元7341用于访问接入点接收经由基站转发的移动控制实体发送的接入层根密钥;且接入层根密钥通过移动控制实体与访问接入点之间共享的非接入层密钥进行安全保护;其中,接入层根密钥为移动控制实体根据通信根密钥计算获得;访问接入点接收经由基站转发的由移动控制实体发送的移动控制实体根据低成本终端的安全能力、访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据简单非接入层加密算法、简单非接入层完整性算法和通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥;且移动控制实体根据低成本终端的安全能力、访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据简单非接入层加密算法、简单非接入层完整性算法和通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥通过移动控制实体与访问接入点共享的非接入层密钥进行安全保护。
第四安全能力获取单元7342用于访问接入点自身预配置低成本终端的安全能力或者从移动控制实体获取经由基站转发的低成本终端的安全能力。
第五算法密钥获取单元7343用于访问接入点根据低成本终端的安全能力选择接入层加密算法和接入层完整性算法,并根据接入层加密算法和接入层根密钥计算得到接入层加密密钥、根据接入层完整性算法和接入层根密钥计算得到接入层完整性密钥。
其中,加密发送模块74用于访问接入点将包含有接入层加密算法和接入层完整性算法以及简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至低成本终端;以便低成本终端根据接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据简单非接入层加密算法和简单非接入层完整性算法计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
本发明实施例提供的一种移动控制实体12,如图12所示,包括:第四认证连接模块121。
第四认证连接模块,用于移动控制实体与低成本终端进行认证和密钥协商。
进一步的,如图13所示,移动控制实体13包括:第三认证连接模块131、第四认证连接模块132和密钥生成模块133。
第三认证连接模块131,用于所述移动控制实体与所述访问接入点进行认证和密钥协商,并与所述访问接入点建立非接入层安全连接,生成非接入层密钥。
第四认证连接模块132,用于移动控制实体与低成本终端进行认证和密钥协商。
密钥生成模块133用于生成通信根密钥,并根据通信根密钥计算获得接入层根密钥;密钥生成模块133还用于根据通信根密钥和非接入层数据计算出临时通信根密钥;密钥生成模块133还用于根据通信根密钥计算获得接入层根密钥,并根据低成本终端的安全能力、访问接入点的安全能力选择简单非接入层加密算法和简单非接入层完整性算法并根据简单非接入层加密算法、简单非接入层完整性算法和通信根密钥计算简单非接入层加密密钥和简单非接入层完整性密钥。
本发明实施例提供的一种基站14,如图14所示,包括:
第五认证连接模块141用于基站与访问接入点建立接入层安全连接。
进一步的,如图15所示,基站14还包括:
加密转发模块142用于接收接入层根密钥并通过移动控制实体与访问接入点之间共享的非接入层密钥进行安全保护转发至访问接入点;加密转发模块142还用于接收接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥,并通过移动控制实体与访问接入点之间共享的非接入层密钥进行安全保护转发至访问接入点;加密转发模块142还用于接收接入层根密钥和移动控制实体根据低成本终端的安全能力、访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据简单非接入层加密算法、简单非接入层完整性算法和通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥,并通过移动控制实体与访问接入点共享的非接入层密钥进行安全保护转发至访问接入点。
本发明实施例提供的一种低成本终端16,如图16所示,包括:
第六认证连接模块161用于移动控制实体与低成本终端进行认证和密钥协商;
接收模块162用于接收访问接入点发送的包含加密算法和完整性算法的安全模式命令。
解密模块163用于接收到安全模式命令后计算得到加密密钥和完整性密钥。
上报模块164用于发送的安全模式完成响应消息给访问接入点。
本发明的实施例提供的低成本终端的安全通信的装置,在现有的低成本终端网络架构中,在低成本终端与访问接入点之间利用密钥来建立连接上的安全,实现了低成本移动低成本终端与网络的安全通信。
本发明实施例提供的一种低成本终端的安全通信系统,如图17所示,包括:
访问接入点171用于访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据低成本终端的安全能力选择加密算法和完整性算法,并根据加密算法和完整性算法获取加密密钥和完整性密钥;访问接入点将包含有加密算法和完整性算法的安全模式命令发送至低成本终端,以便低成本终端计算得到加密密钥和完整性密钥;访问接入点接收低成本终端发送的安全模式完成响应消息。
移动控制实体172用于低移动控制实体与成本终端进行认证和密钥协商。
基站173用于基站与访问接入点建立接入层安全连接。
低成本终端174用于移动控制实体与低成本终端进行认证和密钥协商;接收访问接入点发送的包含加密算法和完整性算法的安全模式命令;接收到安全模式命令后计算得到加密密钥和完整性密钥;发送安全模式完成响应消息给所述访问接入点。
本发明的实施例提供低成本终端的安全通信的系统,在现有的低成本终端网络架构中,在低成本终端与访问接入点之间利用密钥来建立连接上的安全,实现了低成本移动低成本终端与网络的安全通信。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (31)
1.一种低成本终端的安全通信方法,其特征在于,包括:
访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥;
所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;
所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。
2.根据权利要求1所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商成功前,还包括:
所述访问接入点与所述移动控制实体进行认证和密钥协商,并与所述移动控制实体建立非接入层安全连接,生成非接入层密钥;
所述访问接入点与基站建立接入层安全连接。
3.根据权利要求2所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商包括:所述低成本终端与所述移动控制实体进行认证与密钥协商并生成通信根密钥;
所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥包括:
所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入点之间共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得;
所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力;
所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据所述简单非接入层加密算法、简单非接入层完整性算法和所述接入层根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
4.根据权利要求3所述的方法,其特征在于,所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥包括:
所述访问接入点将包含有所述接入层加密算法和接入层完整性算法以及所述简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到所述接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到所述简单非接入层加密密钥和简单非接入层完整性密钥。
5.根据权利要求2所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商包括:所述低成本终端与所述移动控制实体进行认证与密钥协商并生成通信根密钥;
所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥包括:
所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入点之间共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得;
所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力;
所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法、所述完整性算法和所述接入层根密钥计算得到信令加密密钥、信令完整性密钥和数据加密密钥。
6.根据权利要求5所述的方法,其特征在于,所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥包括:
所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述加密算法、所述完整性算法计算得到所述信令加密密钥、所述信令完整性密钥和所述数据加密密钥。
7.根据权利要求2所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商包括:所述低成本终端与所述移动控制实体进行认证与密钥协商并生成通信根密钥、或在生成所述通信根密钥后根据所述通信根密钥和非接入层数据生成临时通信根密钥;
所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥包括:
所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥;且所述接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得;
所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力;
所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥或者临时通信根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
8.根据权利要求7所述的方法,其特征在于,所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥包括:
所述访问接入点将包含有所述接入层加密算法和所述接入层完整性算法以及所述简单非接入层加密算法和所述简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
9.根据权利要求2所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商包括:所述低成本终端与所述移动控制实体进行认证与密钥协商并生成通信根密钥;
所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥包括:
所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入点之间共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得;
所述访问接入点接收经由所述基站转发的由所述移动控制实体发送的所述移动控制实体根据所述低成本终端的安全能力、所述访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥;且所述移动控制实体根据所述低成本终端的安全能力、所述访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护;
所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力;
所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥。
10.根据权利要求9所述的方法,其特征在于,所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥包括:
所述访问接入点将包含有所述接入层加密算法和所述接入层完整性算法以及所述简单非接入层加密算法和所述简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
11.一种访问接入点,其特征在于,包括:
算法密钥获取模块,用于访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥;
加密发送模块,用于所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;
接收模块,用于所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。
12.根据权利要求11所述的访问接入点,其特征在于,还包括:
第一认证连接模块,用于所述访问接入点与所述移动控制实体进行认证和密钥协商,并与所述移动控制实体建立非接入层安全连接,生成非接入层密钥;
第二认证连接模块,用于所述访问接入点与基站建立接入层安全连接。
13.根据权利要求12所述的访问接入点,其特征在于,所述算法密钥获取模块还包括:
第一密钥获取单元,用于所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入点之间共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得;
第一安全能力获取单元,用于所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力;
第一算法密钥获取单元,用于所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据所述简单非接入层加密算法、简单非接入层完整性算法和所述接入层根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
14.根据权利要求13所述的访问接入点,其特征在于,所述加密发送模块还用于所述访问接入点将包含有所述接入层加密算法和接入层完整性算法以及所述简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到所述接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到所述简单非接入层加密密钥和简单非接入层完整性密钥。
15.根据权利要求12所述的访问接入点,其特征在于,所述算法密钥获取模块还包括:
第二密钥获取单元,用于所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入点之间共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得;
第二安全能力获取单元,用于所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力;
第二算法密钥获取单元,用于所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法、所述完整性算法和所述接入层根密钥计算得到信令加密密钥、信令完整性密钥和数据加密密钥。
16.根据权利要求15所述的访问接入点,其特征在于,所述加密发送模块还用于所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述加密算法、所述完整性算法计算得到信令加密密钥、信令完整性密钥和数据加密密钥。
17.根据权利要求12所述的访问接入点,其特征在于,所述算法密钥获取模块还包括:
第三密钥获取单元,用于所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥;且所述接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得;
第三安全能力获取单元,用于所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力;
第三算法密钥获取单元,用于所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥或临时通信根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
18.根据权利要求17所述的访问接入点,其特征在于,所述加密发送模块还用于所述访问接入点将包含有所述接入层加密算法和所述接入层完整性算法以及所述简单非接入层加密算法和所述简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
19.根据权利要求12所述的访问接入点,其特征在于,所述算法密钥获取模块还包括:
第四算法密钥获取单元,用于所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述访问接入点的非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得;所述访问接入点接收经由所述基站转发的由所述移动控制实体发送的所述移动控制实体根据所述低成本终端的安全能力、所述访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥;且所述移动控制实体根据所述低成本终端的安全能力、所述访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护;
第四安全能力获取单元,用于所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力;
第五算法密钥获取单元,用于所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥。
20.根据权利要求19所述的访问接入点,其特征在于,所述加密发送模块还用于所述访问接入点将包含有所述接入层加密算法和所述接入层完整性算法以及所述简单非接入层加密算法和所述简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到简单非接入层加密密钥和简单非接入层完整性密钥。
21.一种移动控制实体,其特征在于,包括:
第四认证连接模块,用于所述移动控制实体与低成本终端进行认证和密钥协商。
22.根据权利要求21所述的移动控制实体,其特征在于,还包括:
第三认证连接模块,用于所述移动控制实体与所述访问接入点进行认证和密钥协商,并与所述访问接入点建立非接入层安全连接,生成非接入层密钥。
23.根据权利要求22所述的移动控制实体,其特征在于,还包括:
密钥生成模块,用于生成通信根密钥,并根据所述通信根密钥计算获得接入层根密钥。
24.根据权利要求23所述的移动控制实体,其特征在于,所述密钥生成模块还用于根据所述通信根密钥和非接入层数据计算出临时通信根密钥。
25.根据权利要求23所述的移动控制实体,其特征在于,所述密钥生成模块还用于根据所述通信根密钥计算获得接入层根密钥,并根据所述低成本终端的安全能力、所述访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法并根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥。
26.一种基站,其特征在于,包括:
第五认证连接模块,用于所述基站与访问接入点建立接入层安全连接。
27.根据权利要求26所述的基站,其特征在于,还包括:
加密转发模块,用于接收所述接入层根密钥并通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护转发至所述访问接入点。
28.根据权利要求26所述的基站,其特征在于,所述加密转发模块还用于接收所述接入层根密钥和通信根密钥、或所述接入层根密钥和临时通信根密钥,并通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护转发至所述访问接入点。
29.根据权利要求26所述的基站,其特征在于,所述加密转发模块还用于接收所述接入层根密钥和所述移动控制实体根据所述低成本终端的安全能力、所述访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥,并通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护转发至所述访问接入点。
30.一种低成本终端,其特征在于,包括:
第六认证连接模块,用于所述移动控制实体与所述低成本终端进行认证和密钥协商;
接收模块,用于接收所述访问接入点发送的包含所述加密算法和所述完整性算法的安全模式命令;
解密模块,用于接收到所述安全模式命令后计算得到加密密钥和完整性密钥;
上报模块,用于发送安全模式完成响应消息给所述访问接入点。
31.一种安全通信系统,其特征在于,包括:
访问接入点,用于访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥;所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。
移动控制实体,用于所述低移动控制实体与成本终端进行认证和密钥协商。
基站,用于所述基站与访问接入点建立接入层安全连接。
低成本终端,用于所述移动控制实体与所述低成本终端进行认证和密钥协商;接收所述访问接入点发送的包含所述加密算法和所述完整性算法的安全模式命令;接收到所述安全模式命令后计算得到加密密钥和完整性密钥;发送安全模式完成响应消息给所述访问接入点。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110435615.3A CN103179559B (zh) | 2011-12-22 | 2011-12-22 | 一种低成本终端的安全通信方法、装置及系统 |
| PCT/CN2012/086931 WO2013091543A1 (zh) | 2011-12-22 | 2012-12-19 | 一种低成本终端的安全通信方法、装置及系统 |
| EP12860017.8A EP2787754A4 (en) | 2011-12-22 | 2012-12-19 | METHOD, DEVICE AND SYSTEM FOR SECURITY COMMUNICATION FOR LOW TERMINAL OF RANGE |
| US14/311,898 US20140310523A1 (en) | 2011-12-22 | 2014-06-23 | Method, apparatus and system for secure communication of low-cost terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110435615.3A CN103179559B (zh) | 2011-12-22 | 2011-12-22 | 一种低成本终端的安全通信方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103179559A true CN103179559A (zh) | 2013-06-26 |
| CN103179559B CN103179559B (zh) | 2016-08-10 |
Family
ID=48639121
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110435615.3A Active CN103179559B (zh) | 2011-12-22 | 2011-12-22 | 一种低成本终端的安全通信方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20140310523A1 (zh) |
| EP (1) | EP2787754A4 (zh) |
| CN (1) | CN103179559B (zh) |
| WO (1) | WO2013091543A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109219965A (zh) * | 2017-05-05 | 2019-01-15 | 华为技术有限公司 | 一种通信方法及相关装置 |
| CN112449323A (zh) * | 2019-08-14 | 2021-03-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014094251A1 (zh) * | 2012-12-19 | 2014-06-26 | 华为技术有限公司 | 通信安全处理方法及装置 |
| WO2015063991A1 (en) * | 2013-10-30 | 2015-05-07 | Nec Corporation | Apparatus, system and method for secure direct communcation in proximity based services |
| US9949117B2 (en) * | 2014-08-29 | 2018-04-17 | At&T Intellectual Property I, L.P. | Method and apparatus for managing access to a wireless communication network |
| WO2018010186A1 (zh) * | 2016-07-15 | 2018-01-18 | 华为技术有限公司 | 密钥获取方法及装置 |
| CN113519147A (zh) * | 2019-03-08 | 2021-10-19 | 联想(新加坡)私人有限公司 | 安全模式完整性验证 |
| JP2022114391A (ja) * | 2021-01-26 | 2022-08-05 | 京セラドキュメントソリューションズ株式会社 | 電子機器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100115275A1 (en) * | 2008-11-03 | 2010-05-06 | Samsung Electronics Co. Ltd. | Security system and method for wireless communication system |
| CN101931953A (zh) * | 2010-09-20 | 2010-12-29 | 中兴通讯股份有限公司 | 生成与设备绑定的安全密钥的方法及系统 |
| WO2011153716A1 (zh) * | 2010-06-12 | 2011-12-15 | 华为技术有限公司 | 一种实施业务处理的方法、基站、移动管理实体和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| WO2009020789A2 (en) * | 2007-08-03 | 2009-02-12 | Interdigital Patent Holdings, Inc. | Security procedure and apparatus for handover in a 3gpp long term evolution system |
| CN101378591B (zh) * | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101854625B (zh) * | 2009-04-03 | 2014-12-03 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN102256234A (zh) * | 2010-05-19 | 2011-11-23 | 电信科学技术研究院 | 一种对用户鉴权过程进行处理的方法及设备 |
-
2011
- 2011-12-22 CN CN201110435615.3A patent/CN103179559B/zh active Active
-
2012
- 2012-12-19 WO PCT/CN2012/086931 patent/WO2013091543A1/zh active Application Filing
- 2012-12-19 EP EP12860017.8A patent/EP2787754A4/en not_active Withdrawn
-
2014
- 2014-06-23 US US14/311,898 patent/US20140310523A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100115275A1 (en) * | 2008-11-03 | 2010-05-06 | Samsung Electronics Co. Ltd. | Security system and method for wireless communication system |
| WO2011153716A1 (zh) * | 2010-06-12 | 2011-12-15 | 华为技术有限公司 | 一种实施业务处理的方法、基站、移动管理实体和系统 |
| CN101931953A (zh) * | 2010-09-20 | 2010-12-29 | 中兴通讯股份有限公司 | 生成与设备绑定的安全密钥的方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109219965A (zh) * | 2017-05-05 | 2019-01-15 | 华为技术有限公司 | 一种通信方法及相关装置 |
| CN109219965B (zh) * | 2017-05-05 | 2021-02-12 | 华为技术有限公司 | 一种通信方法及相关装置 |
| US11272360B2 (en) | 2017-05-05 | 2022-03-08 | Huawei Technologies Co., Ltd. | Communication method and related apparatus |
| CN112449323A (zh) * | 2019-08-14 | 2021-03-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN112449323B (zh) * | 2019-08-14 | 2022-04-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2787754A4 (en) | 2014-11-19 |
| CN103179559B (zh) | 2016-08-10 |
| WO2013091543A1 (zh) | 2013-06-27 |
| EP2787754A1 (en) | 2014-10-08 |
| US20140310523A1 (en) | 2014-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103179559A (zh) | 一种低成本终端的安全通信方法、装置及系统 | |
| CN103096308B (zh) | 生成组密钥的方法和相关设备 | |
| CN102594555B (zh) | 数据的安全保护方法、网络侧实体和通信终端 | |
| CN103096309B (zh) | 生成组密钥的方法和相关设备 | |
| CN101917711B (zh) | 一种移动通信系统及其语音通话加密的方法 | |
| CN106134231B (zh) | 密钥生成方法、设备及系统 | |
| KR102245688B1 (ko) | 키 생성 방법, 사용자 장비, 장치, 컴퓨터 판독가능 저장 매체, 및 통신 시스템 | |
| EP3661241B1 (en) | Method and device for protecting privacy | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN102223231B (zh) | M2m终端认证系统及认证方法 | |
| CN104247328B (zh) | 数据传输方法和装置 | |
| CN108141754A (zh) | 用于涉及移动性管理实体重定位的移动性过程的装置和方法 | |
| CN104244245A (zh) | 一种无线接入认证方法、无线路由设备和无线终端 | |
| WO2018137351A1 (zh) | 一种网络密钥处理的方法、相关设备及系统 | |
| CN107371163A (zh) | 一种控制接入无线网络的方法和装置 | |
| WO2016161583A1 (zh) | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 | |
| CN103391541A (zh) | 无线设备的配置方法及装置、系统 | |
| WO2021008466A1 (zh) | 一种通信方法及装置 | |
| CN104380773A (zh) | 虚拟卡下载方法、终端及中间设备 | |
| CN103491183A (zh) | 一种数据分享的方法、移动终端及云服务器 | |
| CN104584609A (zh) | 具有密钥本地生成的智能卡初始个性化 | |
| CN102420642A (zh) | 蓝牙设备及其通信方法 | |
| CN102123361B (zh) | 加密信息通信的实现方法及装置 | |
| CN103763697B (zh) | 一种无线接入点多密钥支持系统及方法 | |
| CN103152733A (zh) | 一种通信方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210508 Address after: Unit 3401, unit a, building 6, Shenye Zhongcheng, No. 8089, Hongli West Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518040 Patentee after: Honor Device Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |