CN108712742B - 物联网网络安全优化方法、用户终端和网络侧设备 - Google Patents

物联网网络安全优化方法、用户终端和网络侧设备 Download PDF

Info

Publication number
CN108712742B
CN108712742B CN201810242103.7A CN201810242103A CN108712742B CN 108712742 B CN108712742 B CN 108712742B CN 201810242103 A CN201810242103 A CN 201810242103A CN 108712742 B CN108712742 B CN 108712742B
Authority
CN
China
Prior art keywords
user terminal
core net
base station
carrying
ibc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810242103.7A
Other languages
English (en)
Other versions
CN108712742A (zh
Inventor
张源
王放
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Innovation Dimension Technology (beijing) Co Ltd
Original Assignee
Innovation Dimension Technology (beijing) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Innovation Dimension Technology (beijing) Co Ltd filed Critical Innovation Dimension Technology (beijing) Co Ltd
Priority to CN201810242103.7A priority Critical patent/CN108712742B/zh
Publication of CN108712742A publication Critical patent/CN108712742A/zh
Application granted granted Critical
Publication of CN108712742B publication Critical patent/CN108712742B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/003Arrangements for allocating sub-channels of the transmission path
    • H04L5/0053Allocation of signaling, i.e. of overhead other than pilot signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种物联网网络安全优化方法、用户终端和网络侧设备,所述方法包括:在用户终端与基站之间的RRC连接建立完成时,基站接收来自用户终端的基于标识密码IBC的承载请求,并向核心网的认证单元发送携带用户终端标识的基于IBC的承载请求;所述认证单元对所述用户终端安全认证通过后,向所述基站发送没有安全密钥和没有无线加密的无线接入承载请求;所述基站基于所述无线接入承载请求向所述用户终端请求建立没有安全密钥和没有无线加密的无线数据承载。

Description

物联网网络安全优化方法、用户终端和网络侧设备
技术领域
本发明涉及物联网技术领域,尤其涉及窄带物联网,特别涉及一种物联网网络安全优化方法、用户终端和网络侧设备。
背景技术
窄带物联网(NBIoT:Narrow Band Internet of Things)基础网络平台包括无线接入网及核心网,提供了整个物联网业务传输通道。在现有的LTE网络架构中,基站(eNB)与基站之间通过X2接口连接,基站与移动控制实体(MME:Mobility Management Entity)之间通过S1接口连接,如图1所示。
窄带物联网(NBIoT)技术提供了一种窄带宽(180kHz),子载波间隔3.75kHz或15kHz的网络接入方法,其基于现有LTE的网络架构和协议栈,进行了一系列的简化和增强,达到增强覆盖,超高待机时间及超长时间电池使用寿命(十年),单小区海量数据连接等目的。
IMT-2020(5G)推进组在5G的远景需求规划中提出未来5G网络中连接密度可能达到100万连接每平方公里,下一代移动网络(NGMN)在5G白皮书中也提出对单个运营商来说,每平方公里的连接密度可以达到20万,这意味着对于物联网来说,设备连接的数字会呈现出爆发式增长,甚至可能更多。但是基于目前的网络安全方案状态,空口中信令完整性保护和数据加密都是伴随着传统的鉴权流程和密钥协商流程,分别在核心网(CN)的移动控制实体(MME)/接入和移动性管理功能(AMF:Access and Mobility Management Function)和用户终端(UE:User Equipment)处的USIM(全球用户识别卡)进行。这些鉴权流程包括密钥的协商,接入层(AS)和非接入层(NAS)安全机制的激活,密钥的生成与更新,密钥的生命周期管理等流程,对与物联网的海量设备来说,采用传统的流程会产生大量的信令风暴,以及海量的密钥生成和管理开销。
图2所示为现有3GPP SA3的标准中LTE和5G的鉴权和密钥协商(AKA:Authentication and Key Agreement)流程(TS 33.401ch6.1)。如图2所示,在AKA过程中,安全密钥及安全上下文会在核心网(如核心网的AMF、SEAF(安全锚点功能)或AUSF(鉴权服务功能))被生成,KgNB会发送给基站(gNB)来进一步生成无线安全密钥,来对空口中传输的数据和信令进行加密和完整性保护。在接入层安全和非接入层安全都完成之后,网络和UE侧会共享同一套密钥。其中非接入层的密钥包括KNASenc和KNASint,接入层的安全密钥包括KUPenc,KRRCint和KRRCenc,其中KNASenc/KUPenc/KRRCenc是用来对用户终端和网络之间的信令进行加密的,这会引入一系列的基于密钥生成功能(KDF:Key Derivation Function)的密钥生成流程以及安全模式命令(SMC:Security Mode Command)流程、密钥更新流程等。考虑到物联网设备的连接密度,这会产生大量的密钥生成过程以及信令开销,从安全角度来说会对核心网产生比较大的负担。
因此,如何节省信令开销和密钥管理开销,降低核心网负担,是一个有待解决的问题。
发明内容
为了解决上述,本发明的目的在于提供一种物联网网络安全优化方法以及相应的网络侧设备和用户终端,以克服现有技术中的一个或多个缺陷。
本发明的第一方面提供一种物联网网络安全优化方法,所述方法包括如下步骤:
在用户终端与基站之间的RRC连接建立完成时,基站接收来自用户终端的基于标识密码(IBC)的承载请求,并向核心网的认证单元发送携带用户终端标识的基于IBC的承载请求;
所述认证单元对所述用户终端安全认证通过后,向所述基站发送没有安全密钥和没有无线加密的无线接入承载建立请求;
所述基站基于所述无线接入承载建立请求向所述用户终端请求建立没有安全密钥和没有无线加密的无线数据承载。
优选地,所述方法还包括:在无线数据承载建立完成后,在所述核心网和所述用户终端之间基于IBC机制建立安全的数据通信。
优选地,所述数据通信的建立包括如下步骤:所述核心网和所述用户设备之间相互进行加密签名认证;在相互认证成功后,核心网接收以用户终端的私钥加密的上行数据并利用用户终端的公钥进行解密,并向用户终端发送以核心网的私钥加密的下行数据。
优选地,所述核心网和所述用户设备之间相互进行加密签名认证的步骤包括:所述核心网接收由所述用户终端基于其自身的私钥进行加密的用户终端签名及第一消息;所述核心网基于用户终端的公钥解密所述用户终端签名及第一消息,并验证所述用户设备签名;验证所述用户设备签名后,所述核心网向用户终端发送基于核心网的私钥进行加密的核心网签名及第一消息回复,以由用户终端基于核心网的公钥对核心网签名进行验证。
优选地,所述基站向核心网发送的携带用户终端标识的基于IBC的承载请求中还包含IBC机制的激活状态。
本发明的第二方面提供一种物联网基站,所述基站包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序在所述处理器中执行时,实现如下方法步骤:
在用户终端与基站之间的RRC连接建立完成时,接收来自用户终端的基于标识密码IBC的承载请求,并向核心网的认证单元发送携带用户终端标识的基于IBC的承载请求;
接收来自所述核心网的没有安全密钥和没有无线加密的无线接入承载建立请求,并向所述用户终端请求建立没有安全密钥和没有无线加密的无线数据承载。
优选地,所述基站向核心网发送的携带用户终端标识的基于IBC的承载请求中还包含IBC机制的激活状态。
本发明的第三方面提供一种物联网核心网设备,所述核心网设备包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序在所述处理器中执行时,实现如下方法步骤:
从基站接收携带用户终端标识的基于IBC的承载请求;
基于所述承载请求中的用户终端标识对用户终端进行安全认证,并在安全认证成功后向所述基站发送没有安全密钥的无线接入承载建立请求。
优选地,在承载建立完成后,所述核心网设备和所述用户终端之间基于IBC机制建立安全的数据通信。
本发明的第四方面提供一种物联网网络安全优化方法,所述方法包括如下步骤:
在用户终端与基站之间的RRC连接建立完成时,用户终端向基站发送基于标识密码IBC的承载请求;
接收来自基站的建立没有安全密钥和没有无线加密的无线数据承载建立请求。
优选地,所述方法还包括如下步骤:在无线数据承载建立完成后,在所述核心网和所述用户终端之间基于IBC机制建立安全的数据通信。
优选地,所述数据通信的建立包括如下步骤:所述核心网和所述用户设备之间相互进行加密签名认证;在相互认证成功后,用户终端向核心网发送以用户终端的私钥加密的上行数据,并接收来自核心网的以核心网的私钥加密的下行数据。
优选地,所述核心网和所述用户设备之间相互进行加密签名认证的步骤包括:向核心网发送基于用户终端自身的私钥进行加密的用户终端签名及第一消息,以由核心网对用户终端签名进行验证;接收来自核心网的基于核心网的私钥进行加密的核心网签名及第一消息回复,并基于核心网的公钥对核心网签名进行验证。
本发明的第五方面还提供一种物联网的用户终端,该终端包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序在所述处理器中执行时,实现如上所述的方法的步骤。
本发明实施例的上述技术方案,UE和网络之间无需进行空口数据的密钥协商,密钥更新,密钥管理,以及接入层和非接入层的SMC流程,节省了大量信令开销和密钥管理开销。
本领域技术人员应当理解的是,能够用本发明实现的目的和优点不限于以上具体所述,并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。
并且,应当理解,前述大体的描述和后续详尽的描述均为示例性说明和解释,并不应当用作对本发明所要求保护内容的限制。
附图说明
参考随附的附图,本发明更多的目的、功能和优点将通过本发明实施方式的如下描述得以阐明,其中:
图1是现有LTE网络架构示意图。
图2是现有3GPP SA3的标准中LTE和5G的AKA流程示意图。
图3是本发明一实施例中窄带物联网加密优化方法的流程示意图。
图4是本发明一实施例的窄带物联网中用户终端与核心网基于IBC机制建立通信的方法流程示意图。
具体实施方式
下面通过具体的实施例对本发明的内容进行说明。通过参考示范性实施例,本发明的目的和功能以及用于实现这些目的和功能的方法将得以阐明。然而,本发明并不受限于以下所公开的示范性实施例;可以通过不同形式来对其加以实现。说明书的实质仅仅是帮助相关领域技术人员综合理解本发明的具体细节。
在下文中,将参考附图描述本发明的实施例。在附图中,相同的附图标记代表相同或类似的部件,或者相同或类似的步骤。
在此,还需要说明的是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
本发明针对物联网设备连接密度大,现有的鉴权和AKA流程产生大量信令开销以及密钥生成和管理开销的问题,通过提出一种加密优化方法来解决核心网负担。
本发明提供了一种简便的物联网业务的安全机制,基于IBC机密机制来简化空口安全密钥的生成,更新和管理工作。
图3为本发明一实施例中窄带物联网加密优化方法的流程示意图。如图3所示,该方法包括如下步骤:
步骤S31,用户终端UE向基站gNB发送建立RRC连接的请求。
步骤S32,基站进行RRC连接的建立。
步骤S33,UE与基站的RRC连接建立完成时,UE可通过RRC连接建立完成消息向基站发送基于IBC的新型承载请求,该RRC连接建立完成消息中同时还携带UE标识。
步骤S34,基站向核心网发送带有用户终端标识的基于IBC的新型承载请求。
例如,基站可通过初始UE消息向核心网的认证单元(如AMF、SEAF或AUSF)发送带有用户终端标识的基于IBC的承载请求,该消息可同时包含UE标识和IBC机制的激活状态。
步骤S35,核心网侧对用户终端进行安全认证。
例如,AMF可根据原有的AKA流程进行安全认证。
当安全认证通过后,AMF在IBC机制已经激活的前提下决定接受新型承载的建立,即决定建立不具有接入层和非接入层加密机制的无线接入承载(ERAB),同时不再为该承载生成安全加密密钥。例如,AMF基于运营商的安全策略依靠应用层IBC的保护机制保护该物联网设备数据是足够的,那么AMF不会为该承载生成相关的安全加密密钥。
步骤S36,核心网侧(如AMF)向基站发送没有安全密钥和没有无线加密的无线接入承载建立请求。
AMF可通过UE上下文建立请求向基站发送ERAB建立请求,不携带安全加密密钥,即AMF向基站发送不具有接入层和非接入层加密机制的无线接入承载(ERAB)请求,指示基站建立新型ERAB。
步骤S37,基站指示UE建立没有安全密钥和没有无线加密的新型DRB。
例如,基站可通过RRC连接重配消息指示UE建立没有安全密钥和没有无线加密的新型DRB,消息中不携带安全加密密钥。此时不会触发接入层/非接入层安全模式命令(SMC)流程。
步骤S38,UE根据基站的指令建立无线数据承载(DRB),完成RRC连接重配置,并向基站返回RRC连接重配完成消息。
步骤S39,基站向核心网侧(如AMF)返回UE上下文建立完成的消息。
基于本发明实施例,基站与UE之间不需要进行AS/NAS的安全模式激活即密钥协商流程,UE使用建立的DRB可直接发送物联网业务相关数据,不进行空口的加密操作,靠IBC机制保护APP层数据安全。
本发明实施例中,UE请求建立基于IBC的新型端到端承载,包括基站与核心网之间的ERAB,以及基站与UE之间的DRB,来传输专用的物联网业务数据。核心网的认证单元(如AMF)在IBC已经激活的前提下决定接受新型承载的建立,同时不再为该承载生成安全加密密钥,并指示基站建立新型ERAB,然后基站指示UE建立新型DRB,同时基站与UE之间不需要进行AS/NAS的安全模式激活即密钥协商流程,UE使用该DRB来直接传输物联网业务相关数据,而不进行空口的加密操作,靠IBC机制保护APP层数据安全。因此本发明中,UE和网络之间无需进行空口数据的密钥协商,密钥更新,密钥管理,以及接入层和非接入层的SMC流程,节省了大量信令开销和密钥管理开销,从而提供了一种简化的、针对物联网业务数据的鉴权和数据加密方法。
在如图3所示建立起新型承载之后步骤后,UE与核心网之间基于IBC机制建立安全通信。图4所示为本发明实施例的窄带物联网中用户终端与核心网建立安全通信的流程图,如图4所示,根据本发明的实施例UE与核心网安全通信的建立包括如下步骤:
首先,UE与CN之间需要互相认证签名,图4中的步骤S41-S46为相互认证签名的过程。
在UE与CN互相认证签名信息成功之后,便可以对发数据了,步骤S47和S48为UE和CN之间传输上行数据和下行数据的过程。
在步骤S41,UE基于UE自身的私钥进行签名加密,生成加密的UE签名。
UE签名可以是基于UE ID的形式,UE ID可以是任何形式的身份信息,包括但不限于终端对应的手机号和/或邮箱等。
在步骤S42,UE向核心网侧(如应用层或AMF等)发送携带UE签名和第一消息(消息1)。
步骤S43,核心网侧接收UE签名和消息1,基于UE的公钥解密UE签名和消息1,从而验证UE签名。同时,核心网侧基于核心网的私钥进行核心网签名加密。
步骤S44,核心网向UE对消息1的回复和核心网签名,以指示UE签名通过验证并同时提供用核心网私钥加密的核心网签名。
步骤S45,UE基于核心网的公钥验证核心网签名。
步骤S46,当核心网签名验证通过,UE向核心网返回第二消息(消息2),指示核心网签名验证通过。
通过步骤S41至步骤S46,UE与核心网之间完成相互验证签名。
步骤S47至步骤S48,通过建立的承载传输上行数据和下行数据。
其中,上行数据由UE私钥加密,核心网侧使用UE公钥进行解密;下行数据由核心网私钥加密,UE使用核心网公钥进行解密。
上下行数据的传输对应了空口DRB和S1接口上ERAB的传输。在数据传输过程中基于IBC的安全机制在APP层对业务数据进行保护(只需要UE和核心网的公钥和私钥的使用),无需接入层大量的密钥更新,生成和管理流程,简化了安全流程和维护开销。
上述可知,基于本发明的技术方案,UE请求建立一个端到端的基于IBC的新型承载,包括基站与核心网之间的ERAB,以及基站与UE之间的DRB,来传输专用的物联网业务数据。AMF在IBC已经激活的前提下决定新承载的建立,同时不在为该承载生成安全加密密钥,并指示基站建立新型ERAB,然后基站指示UE建立新型DRB,同时基站与UE之间不需要进行AS/NAS的安全模式激活即密钥协商流程,UE使用该DRB直接发送物联网业务相关数据,不进行空口的加密操作,靠IBC机制保护应用层(APP层)数据安全。从而,本发明的新型承载基于应用层的IBC加密机制技术,依据公钥和私钥系统进行加密和解密,来保证数据传输安全(通信过程在下文中将详细说明)。
由于本发明在无线空口侧不需要进行加密,无需生成和管理相应的接入层或非接入层密钥,可临时关闭空口的加密功能,这样可以大大降低因为安全密钥的生成、更新和管理带来的信令开销,简化终端的安全操作。
本发明实施例不仅适用于窄带物联网,同样适用于其他非窄带物联网。
本发明的上述方法步骤可以在相应的主体(如用户终端和网络侧)实现,在以软件方式实现时,相应的软件分别存储在用户终端、基站或核心网侧的存储器中,在由处理器执行时实现如上所述的方法步骤。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
本发明的各部分可以用硬件、软件、固件或者它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可以用本领域共知的下列技术中的任一项或者他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在流程图中表示或者在此以其它方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。
如上针对一个实施例描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施例中使用,和/或与其它实施例中的特征相结合或替代其它实施例中的特征使用。
结合这里披露的本发明的说明和实践,本发明的其他实施例对于本领域技术人员都是易于想到和理解的。说明和实施例仅被认为是示例性的,本发明的真正范围和主旨均由权利要求所限定。

Claims (11)

1.一种物联网网络安全优化方法,其特征在于,所述方法包括如下步骤:
在用户终端与基站之间的RRC连接建立完成时,基站接收来自用户终端的基于标识密码IBC的承载请求,并向核心网的认证单元发送携带用户终端标识的基于IBC的承载请求;
所述认证单元对所述用户终端安全认证通过后,向所述基站发送没有安全密钥和没有无线加密的无线接入承载建立请求;
所述基站基于所述无线接入承载建立请求向所述用户终端请求建立没有安全密钥和没有无线加密的无线数据承载;以及
在无线数据承载建立完成后,在所述核心网和所述用户终端之间基于IBC机制建立安全的数据通信。
2.根据权利要求1所述的方法,其特征在于,所述数据通信的建立包括如下步骤:
所述核心网和所述用户终端之间相互进行加密签名认证;
在相互认证成功后,核心网接收以用户终端的私钥加密的上行数据并利用用户终端的公钥进行解密,并向用户终端发送以核心网的私钥加密的下行数据。
3.根据权利要求2所述的方法,其特征在于,所述核心网和所述用户终端之间相互进行加密签名认证的步骤包括:
所述核心网接收由所述用户终端基于其自身的私钥进行加密的用户终端签名及第一消息;
所述核心网基于用户终端的公钥解密所述用户终端签名及第一消息,并验证所述用户终端签名;
验证所述用户终端签名后,所述核心网向用户终端发送基于核心网的私钥进行加密的核心网签名及第一消息回复,以由用户终端基于核心网的公钥对核心网签名进行验证。
4.根据权利要求3所述的方法,其特征在于,所述基站向核心网发送的携带用户终端标识的基于IBC的承载请求中还包含IBC机制的激活状态。
5.一种物联网基站,其特征在于,所述基站包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序在所述处理器中执行时,实现如下方法步骤:
在用户终端与基站之间的RRC连接建立完成时,接收来自用户终端的基于标识密码IBC的承载请求,并向核心网的认证单元发送携带用户终端标识的基于IBC的承载请求;
接收来自所述核心网的没有安全密钥和没有无线加密的无线接入承载建立请求,并向所述用户终端请求建立没有安全密钥和没有无线加密的无线数据承载,以使得在无线数据承载建立完成后,在所述核心网和所述用户终端之间基于IBC机制建立安全的数据通信。
6.根据权利要求5所述的基站,其特征在于:所述基站向核心网发送的携带用户终端标识的基于IBC的承载请求中还包含IBC机制的激活状态。
7.一种物联网核心网设备,其特征在于,所述核心网设备包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序在所述处理器中执行时,实现如下方法步骤:
从基站接收携带用户终端标识的基于IBC的承载请求;
基于所述承载请求中的用户终端标识对用户终端进行安全认证,并在安全认证成功后向所述基站发送没有安全密钥的无线接入承载建立请求;以及
在承载建立完成后,所述核心网设备和所述用户终端之间基于IBC机制建立安全的数据通信。
8.一种物联网网络安全优化方法,其特征在于,所述方法包括如下步骤:
在用户终端与基站之间的RRC连接建立完成时,用户终端向基站发送基于标识密码IBC的承载请求;
接收来自基站的建立没有安全密钥和没有无线加密的无线数据承载建立请求;
在无线数据承载建立完成后,在核心网和所述用户终端之间基于IBC机制建立安全的数据通信。
9.根据权利要求8所述的方法,其特征在于,所述数据通信的建立包括如下步骤:
所述核心网和所述用户终端之间相互进行加密签名认证;
在相互认证成功后,用户终端向核心网发送以用户终端的私钥加密的上行数据,并接收来自核心网的以核心网的私钥加密的下行数据。
10.根据权利要求9所述的方法,其特征在于,所述核心网和所述用户终端之间相互进行加密签名认证的步骤包括:
向核心网发送基于用户终端自身的私钥进行加密的用户终端签名及第一消息,以由核心网对用户终端签名进行验证;
接收来自核心网的基于核心网的私钥进行加密的核心网签名及第一消息回复,并基于核心网的公钥对核心网签名进行验证。
11.一种物联网的用户终端,其特征在于,该终端包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序在所述处理器中执行时,实现如权利要求8-10中任意一项所述的方法的步骤。
CN201810242103.7A 2018-03-22 2018-03-22 物联网网络安全优化方法、用户终端和网络侧设备 Active CN108712742B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810242103.7A CN108712742B (zh) 2018-03-22 2018-03-22 物联网网络安全优化方法、用户终端和网络侧设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810242103.7A CN108712742B (zh) 2018-03-22 2018-03-22 物联网网络安全优化方法、用户终端和网络侧设备

Publications (2)

Publication Number Publication Date
CN108712742A CN108712742A (zh) 2018-10-26
CN108712742B true CN108712742B (zh) 2019-08-27

Family

ID=63866374

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810242103.7A Active CN108712742B (zh) 2018-03-22 2018-03-22 物联网网络安全优化方法、用户终端和网络侧设备

Country Status (1)

Country Link
CN (1) CN108712742B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158860A (zh) * 2010-02-12 2011-08-17 华为技术有限公司 无线节点入网方法、系统及中继节点
CN103166919A (zh) * 2011-12-13 2013-06-19 中国移动通信集团黑龙江有限公司 一种物联网信息传输的方法和系统
CN104737570A (zh) * 2012-10-19 2015-06-24 诺基亚技术有限公司 生成用于第一用户设备和第二用户设备之间的设备对设备通信的密钥的方法和设备
CN107743132A (zh) * 2017-11-28 2018-02-27 江苏信源久安信息科技有限公司 基于标识密码的物联网可信身份识别与控制方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016518075A (ja) * 2013-04-05 2016-06-20 インターデイジタル パテント ホールディングス インコーポレイテッド ピアツーピア通信およびグループ通信のセキュリティ保護

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158860A (zh) * 2010-02-12 2011-08-17 华为技术有限公司 无线节点入网方法、系统及中继节点
CN103166919A (zh) * 2011-12-13 2013-06-19 中国移动通信集团黑龙江有限公司 一种物联网信息传输的方法和系统
CN104737570A (zh) * 2012-10-19 2015-06-24 诺基亚技术有限公司 生成用于第一用户设备和第二用户设备之间的设备对设备通信的密钥的方法和设备
CN107743132A (zh) * 2017-11-28 2018-02-27 江苏信源久安信息科技有限公司 基于标识密码的物联网可信身份识别与控制方法

Also Published As

Publication number Publication date
CN108712742A (zh) 2018-10-26

Similar Documents

Publication Publication Date Title
CN101500229B (zh) 建立安全关联的方法和通信网络系统
CN106717044B (zh) 服务网络认证
US10003965B2 (en) Subscriber profile transfer method, subscriber profile transfer system, and user equipment
US9667413B2 (en) Encryption realization method and system
KR102084902B1 (ko) Ue 및 네트워크 양자에서의 키 도출을 위한 mtc 키 관리
WO2019019736A1 (zh) 安全实现方法、相关装置以及系统
CN101931955B (zh) 认证方法、装置及系统
CN101500230B (zh) 建立安全关联的方法和通信网络
CN103096311B (zh) 家庭基站安全接入的方法及系统
WO2012031510A1 (zh) 一种实现安全密钥同步绑定的方法及系统
CN102948185A (zh) 用于在网络中的设备和智能卡之间建立安全和授权连接的方法
CN109417706A (zh) 用于在移动设备中存储上下文信息的方法和装置
CN102143489A (zh) 中继节点的认证方法、装置及系统
KR20060134774A (ko) 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법
CN101931953A (zh) 生成与设备绑定的安全密钥的方法及系统
EP2785011A1 (en) Method to establish a secure voice communication using generic bootstrapping architecture
CN108781110A (zh) 用于通过通信网络中继数据的系统和方法
CN101977378B (zh) 信息传输方法、网络侧及中继节点
CN102572819A (zh) 一种密钥生成方法、装置及系统
US11722890B2 (en) Methods and systems for deriving cu-up security keys for disaggregated gNB architecture
CN101877852B (zh) 用户接入控制方法和系统
CN106304400A (zh) 无线网络的ip地址分配方法和系统
CN108712742B (zh) 物联网网络安全优化方法、用户终端和网络侧设备
CN110830996B (zh) 一种密钥更新方法、网络设备及终端
CN101730093B (zh) 安全切换方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant