CN1937836A - 移动终端切换后更新安全联盟信息的方法 - Google Patents
移动终端切换后更新安全联盟信息的方法 Download PDFInfo
- Publication number
- CN1937836A CN1937836A CNA2005101034788A CN200510103478A CN1937836A CN 1937836 A CN1937836 A CN 1937836A CN A2005101034788 A CNA2005101034788 A CN A2005101034788A CN 200510103478 A CN200510103478 A CN 200510103478A CN 1937836 A CN1937836 A CN 1937836A
- Authority
- CN
- China
- Prior art keywords
- information
- security association
- base station
- tek
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种移动终端切换后更新安全联盟信息的方法。本发明主要包括:首先,移动终端向基站发送安全联盟加密密钥请求消息,之后,当基站接收所述请求消息后,则将其保存的根据移动终端的原来的安全联盟信息更新后的安全联盟信息发送给移动终端。因此,本发明的实现使得在无线通信系统中,当移动终端发生切换后,仍可以保证移动终端侧的安全联盟信息与基站中的安全联盟信息保持一致,即可以准确及时地更新移动终端中的安全联盟信息。从而使得在设置省略TEK生成过程的情况下,能够保证移动终端侧的TEK与基站中的TEK一致,进而保证通信的可靠性。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种移动终端切换后更新安全联盟信息的方法。
背景技术
IEEE802.16作为WiMAX(微波接入全球互通)的空口标准,其当前的HO Process Optimization(切换过程优化)参数中,提供了一些配置位,可以指明能够省略的步骤。例如,可以指明省略TEK(通信加密密钥)的生成过程。但是TEK在MSS(移动终端)与基站的通信过程中仍然是需要的,如果省略TEK的交换过程,则必须在目标基站接到旧的SA(安全联盟)后,能够将SA的内容更新到MSS侧。
另外,当SA从服务基站传到了目标基站后,由于SAID(SA的标识符)在基站范围内唯一,所以目标基站应该为传来的SA分配新的SAID。但是,由于MSS侧的SAID需要跟基站侧的SAID相符,因此,还应该对MSS中的SAID进行更新。
然而,针对上述需要,目前还没有提供相应的处理过程。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种移动终端切换后更新安全联盟信息的方法,从而可以使得在设置省略TEK生成过程的情况下,仍可以保证移动终端侧的TEK与基站中的TEK一致,有效保证了通信的可靠性。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种移动终端切换后更新安全联盟信息的方法,包括:
A、移动终端向基站发送安全联盟加密密钥请求消息;
B、基站接收所述请求消息后,将其保存的根据移动终端的原来的安全联盟信息更新后的安全联盟信息发送给移动终端。
所述的步骤A包括:
A1、移动终端向基站发送寻址请求消息;
A2、基站接收所述请求消息后将返回响应消息,并在消息中携带着更新的安全联盟标识信息;
A3、当移动终端确定已经准备了授权密钥信息时,则向基站发送安全联盟加密密钥请求消息。
所述的更新的安全联盟标识信息包括:
更新后的安全联盟标识信息和对应的更新前的安全联盟标识信息。
所述的步骤A3包括:
A31、移动终端与基站之间进行基本能力协商及重认证处理,生成基站的授权密钥信息,并发送给移动终端;
A32、移动终端获得授权密钥信息后,向基站发送安全联盟加密密钥请求消息。
所述的步骤B包括:
基站向移动终端发送安全联盟加密密钥响应消息,消息中通过安全联盟加密密钥更新SA_TEK_UPDATE字段承载根据移动终端的原来的安全联盟信息更新后的安全联盟信息。
所述的SA_TEK_UPDATE字段承载的信息为根据安全联盟信息包含的内容信息确定。
所述的安全联盟信息包含的内容信息包括:
安全联盟标识、安全联盟类型、安全联盟服务类型、加密元组、原加密密钥信息和/或新的加密密钥信息。
所述的SA_TEK_UPDATE字段承载的信息包括:
需要更新的安全联盟的安全联盟标识信息,以及安全联盟类型、安全联盟服务类型、加密元组、原加密密钥信息和/或新的加密密钥信息的更新指示信息和更新后的具体信息。
所述的更新指示信息为:
指示相应信息是否需要更新,如果不需要,则置为0,否则,置为需要更新的值所占的字节长度,同时,对应的将更新后的具体信息一同承载于该字段中。
由上述本发明提供的技术方案可以看出,本发明的实现使得在无线通信系统中,当移动终端发生切换后,仍可以保证移动终端侧的安全联盟信息与基站中的安全联盟信息保持一致,即可以准确及时地更新移动终端中的安全联盟信息。从而使得在设置省略TEK生成过程的情况下,能够保证移动终端侧的TEK与基站中的TEK一致,进而保证通信的可靠性。
附图说明
图1为本发明所述的方法的流程图。
具体实施方式
本发明的核心是准确定义了SA Context(SA的上下文)以及相应的SA_TEK_UPDATE(安全联盟加密密钥更新)字段,并通过所述清晰的定义,实现切换后的TEK的获得,从而使得移动终端切换过程中可以充分利用已有的技术省去TEK生成的过程,以有效减少空口消息交互,节省空口资源,提高空口通信性能。
本发明所述的方法中,移动终端向基站发送安全联盟加密密钥请求消息,基站接收所述请求消息后,基站向移动终端发送安全联盟加密密钥响应消息,消息中通过安全联盟加密密钥更新SA_TEK_UPDATE字段承载根据移动终端的原来的安全联盟信息更新后的安全联盟信息。
本发明中,所述的SA_TEK_UPDATE字段承载的信息为根据安全联盟信息包含的内容信息确定。
所述的安全联盟信息包含的内容信息包括:安全联盟标识、安全联盟类型、安全联盟服务类型、加密元组、原加密密钥和/或新的加密密钥。
基于上述安全联盟信息,所述的SA_TEK_UPDATE字段承载的信息包括:需要更新的安全联盟的安全联盟标识信息,以及安全联盟类型、安全联盟服务类型、加密元组、原加密密钥信息和/或新的加密密钥信息的更新指示信息和更新后的具体信息。
所述的更新指示信息为:指示相应信息是否需要更新,如果不需要,则置为0,否则,置为需要更新的值所占的字节长度,同时,对应的将更新后的具体信息一同承载于该字段中。
为对本发明有进一步理解,下面将对本发明提供的方法进行详细描述。
本发明中,具体定义了SA上下文(即安全联盟信息),并根据定义的SA上下文包含的内容信息定义了SA_TEK_UPDATE包含的具体内容信息,下面将分别对SA上下文及SA_TEK_UPDATE包含的信息进行说明:
本发明中定义的SA的上下文包含的内容信息如表1所示:
表1
| 字段 | 字段内记录 | 描述 |
| SAID | SA的标识符 | |
| SA-Type | SA的类型,Primary,Static或者Dynamic三种 |
| SA Service-Type | 与此SA相关的服务类型,只有当SA是静态或者动态类型时才会用到 | |
| Cryptographic-Suite | 此SA中采用的加密元组 | |
| Older TEK | TEK | TEK值, |
| TEK Lifetime | 每个TEK的剩余生命时间 | |
| TEK Sequence Number | 每个TEK的序列号,取值为(0<=n<4) | |
| TEK CBC-IV | 当使用CBC模式加密时的初始向量。 | |
| PN | 用户面MAC数据包序列号,用来防重放攻击 | |
| RxPN | 当前接收到的包序列号 | |
| Associated GKEKSequence Number | 如果是组播通信的GTEK,指明与其关联的GKEK | |
| Newer TEK | TEK | TEK值, |
| TEK Lifetime | 每个TEK的剩余生命时间 | |
| TEK Sequence Number | 每个TEK的序列号,取值为(0<=n<4) | |
| TEK CBC-IV | 当使用CBC模式加密时的初始向量。 | |
| PN | 用户面MAC数据包序列号,用来防重放攻击 | |
| RxPN | 当前接收到的包序列号 | |
| Associated GKEKSequence Number | 如果是组播通信的GTEK,指明与其关联的GKEK |
基于表1中SA上下文包含的信息,本发明中定义的SA_TEK_UPDATE字段包含的内容信息如表2所示:
表2
| 字段 | 长度(字节) | 描述 |
| SAID | 4 | 要更新的SA的SAID |
| SA-TypeIndicator | 1 | 是否需要更新指示。如果不需要更新,则置为0;若需要更新,则置为需要更新的值所占的字节长度。 |
| SA Service-TypeIndicator | 1 | 是否需要更新指示。如果不需要更新,则置为0;若需要更新,则置为需要更新的值所占的字节长度。 |
| CryptographicSuiteIndicator | 1 | 是否需要更新指示。如果不需要更新,则置为0;若需要更新,则置为需要更新的值所占的字节长度。 |
| Older TEKIndicator | 2 | 是否需要更新指示。如果不需要更新,则置为0;若需要更新,则置为需要更新的值所占的字节长度。 |
| Newer TEKIndicator | 2 | 是否需要更新指示。如果不需要更新,则置为0;若需要更新,则置为需要更新的值所占的字节长度。 |
| SA-Type | SA-TypeIndicator | 如果SA-Type Indicator为0,则此位长度为0,表示SA-Type不变;否则将此值作为更新后的值使用。 |
| SA Service-Type | SA Service-TypeIndicator | 如果SA Service-Type Indicator为0,则此位长度为0,表示SA Service-Type不变;否则将此值作为更新后的值使用。 |
| CryptographicSuite | CryptographicSuiteIndicator | 如果Cryptographic Suite Indicator为0,则此位长度为0,表示SA Service-Type不变;否则将此值作为更新后的值使用。 |
| Older TEK | Older TEKIndicator | 如果Older TEK Indicator为0,则此位长度为0,表示SA Service-Type不变;否则将此值作为更新后的值使用。 |
| Newer TEK | Newer TEKIndicator | 如果Newer TEK Indicator为0,则此位长度为0,表示SA Service-Type不变;否则将此值作为更新后的值使用。 |
基于上述定义的SA的上下文及SA_TEK_UPDATE字段的内容信息在空口进行信息的交互,便可以实现切换后的TEK的生成过程的省略。
由现有技术描述可知,如果要省略TEK过程,则需要使用切换之前的基站上使用的TEK,而且由于TEK处在SA的上下文中,因此,在省略TEK的情况下需要使用从切换前的基站传过来的SA上下文中的TEK,为此需要实现MSS中的TEK和SAID的更新,即实现SA信息的更新处理。
下面将结合附图对应用本发明定义的信息在空口进行信息交互的处理过程进行说明。
如图1所示,相应的处理过程具体包括:
步骤11:MSS向基站发送RNG-REQ(寻址请求)消息。
步骤12:基站给MSS回应RNG-RSP(寻址响应)消息,并使用切换过程优化参数来指示是否需要做基本能力协商过程(即SBC过程)和重认证过程,同时要把需要更新的SAID通过这个消息传给MSS,使MSS更新SAID,所述的消息中需要同时携带旧的SAID(即原SAID)和新的SAID的对应信息,以便于根据所述对应信息进行相应的SAID的更新处理。
本发明中,如果需要做基本能力协商,则需要继续执行步骤13。
如果需要做重认证过程,则需要执行步骤14,即在完成重认证后,对生成的AK需要做同步指示,这时候基站就需要向MSS发送SA-TEK-Challenge(SA加密密钥挑战码)消息,参见图中的步骤14。
如果指示不需要重认证,则可以在RNG-RSP消息中带上SA ChallengeTuple TLV(SA挑战码),这样,就不需要步骤14,如果MSS侧已经准备好了AK,就可以直接执行步骤15向基站发送SA-TEK-Request(SA加密密钥请求)消息。
步骤13:如果RNG-RSP中的切换过程优化参数指示要进行基本能力协商,则进行一个SBC-REQ和SBC-RSP的过程。
步骤14:如果RNG-RSP中的切换过程优化参数指示要进行重认证,那么重认证完成之后,如果基站的AK已经生成,则基站和MSS要协商AK的同步,基站就会向MSS发出SA-TEK-Challenge消息,并在这个消息中带上新的AK和AKID(AK标识)。
步骤15:MSS收到SA-TEK-Challenge消息后,如果新的AK已经准备好,则回应SA-TEK-Request消息,并且,在这个消息中,MSS会带上自己支持的基本能力参数。
步骤16:基站收到MSS发过来的SA-TEK-Request消息后,会给其回复一条SA-TEK-Response(SA加密密钥响应)消息,在这个消息中会带上本发明定义的SA_TEK_UPDATE字段中的内容,并将需要更新的字段置为其占用的字节长度,不需要更新的字段字节长度置为0,并在指示值的后面跟上要更新的内容;
这样,当MSS收到这条消息后,就可以按照SA_TEK_UPDATE的SAID字段找到需要更新的SA,然后,按照SA_TEK_UPDATE中指定的值进行字段更新。经过更新处理后,就已经将从切换前的基站上传过来的SA中需要更新的内容更新掉了,其中已经包含了TEK对信息,因此,通过本发明所述的方法进行SA更新以后,便可以省略掉后续的TEK的生成过程。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (9)
1、一种移动终端切换后更新安全联盟信息的方法,其特征在于,包括:
A、移动终端向基站发送安全联盟加密密钥请求消息;
B、基站接收所述请求消息后,将其保存的根据移动终端的原来的安全联盟信息更新后的安全联盟信息发送给移动终端。
2、根据权利要求1所述的移动终端切换后更新安全联盟信息的方法,其特征在于,所述的步骤A包括:
A1、移动终端向基站发送寻址请求消息;
A2、基站接收所述请求消息后将返回响应消息,并在消息中携带着更新的安全联盟标识信息;
A3、当移动终端确定已经准备了授权密钥信息时,则向基站发送安全联盟加密密钥请求消息。
3、根据权利要求2所述的移动终端切换后更新安全联盟信息的方法,其特征在于,所述的更新的安全联盟标识信息包括:
更新后的安全联盟标识信息和对应的更新前的安全联盟标识信息。
4、根据权利要求2所述的移动终端切换后更新安全联盟信息的方法,其特征在于,所述的步骤A3包括:
A31、移动终端与基站之间进行基本能力协商及重认证处理,生成基站的授权密钥信息,并发送给移动终端;
A32、移动终端获得授权密钥信息后,向基站发送安全联盟加密密钥请求消息。
5、根据权利要求1、2、3或4所述的移动终端切换后更新安全联盟信息的方法,其特征在于,所述的步骤B包括:
基站向移动终端发送安全联盟加密密钥响应消息,消息中通过安全联盟加密密钥更新SA_TEK_UPDATE字段承载根据移动终端的原来的安全联盟信息更新后的安全联盟信息。
6、根据权利要求5所述的移动终端切换后更新安全联盟信息的方法,其特征在于,所述的SA_TEK_UPDATE字段承载的信息为根据安全联盟信息包含的内容信息确定。
7、根据权利要求6所述的移动终端切换后更新安全联盟信息的方法,其特征在于,所述的安全联盟信息包含的内容信息包括:
安全联盟标识、安全联盟类型、安全联盟服务类型、加密元组、原加密密钥信息和/或新的加密密钥信息。
8、根据权利要求6所述的移动终端切换后更新安全联盟信息的方法,其特征在于,所述的SA_TEK_UPDATE字段承载的信息包括:
需要更新的安全联盟的安全联盟标识信息,以及安全联盟类型、安全联盟服务类型、加密元组、原加密密钥信息和/或新的加密密钥信息的更新指示信息和更新后的具体信息。
9、根据要求8所述的述的移动终端切换后更新安全联盟信息的方法,其特征在于,所述的更新指示信息为:
指示相应信息是否需要更新,如果不需要,则置为0,否则,置为需要更新的值所占的字节长度,同时,对应的将更新后的具体信息一同承载于该字段中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2005101034788A CN1937836B (zh) | 2005-09-19 | 2005-09-19 | 移动终端切换后更新安全联盟信息的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2005101034788A CN1937836B (zh) | 2005-09-19 | 2005-09-19 | 移动终端切换后更新安全联盟信息的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1937836A true CN1937836A (zh) | 2007-03-28 |
| CN1937836B CN1937836B (zh) | 2011-04-06 |
Family
ID=37955034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005101034788A Expired - Fee Related CN1937836B (zh) | 2005-09-19 | 2005-09-19 | 移动终端切换后更新安全联盟信息的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1937836B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631306A (zh) * | 2009-08-17 | 2010-01-20 | 中兴通讯股份有限公司 | 空口密钥的更新方法、终端以及基站 |
| CN101335985B (zh) * | 2007-06-29 | 2011-05-11 | 华为技术有限公司 | 安全快速切换的方法及系统 |
| CN101400057B (zh) * | 2007-09-30 | 2012-01-04 | 华为技术有限公司 | 密钥更新方法、基站和移动台 |
| US8418242B2 (en) | 2008-07-11 | 2013-04-09 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, system, and device for negotiating SA on IPv6 network |
| CN106998320A (zh) * | 2016-01-25 | 2017-08-01 | 展讯通信(上海)有限公司 | 集群组呼的组根密钥的传递方法及装置 |
| CN109936444A (zh) * | 2017-12-18 | 2019-06-25 | 华为技术有限公司 | 一种密钥生成方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8195940B2 (en) * | 2002-04-05 | 2012-06-05 | Qualcomm Incorporated | Key updates in a mobile wireless system |
-
2005
- 2005-09-19 CN CN2005101034788A patent/CN1937836B/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335985B (zh) * | 2007-06-29 | 2011-05-11 | 华为技术有限公司 | 安全快速切换的方法及系统 |
| CN101400057B (zh) * | 2007-09-30 | 2012-01-04 | 华为技术有限公司 | 密钥更新方法、基站和移动台 |
| US8418242B2 (en) | 2008-07-11 | 2013-04-09 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, system, and device for negotiating SA on IPv6 network |
| CN101631306A (zh) * | 2009-08-17 | 2010-01-20 | 中兴通讯股份有限公司 | 空口密钥的更新方法、终端以及基站 |
| CN106998320A (zh) * | 2016-01-25 | 2017-08-01 | 展讯通信(上海)有限公司 | 集群组呼的组根密钥的传递方法及装置 |
| CN109936444A (zh) * | 2017-12-18 | 2019-06-25 | 华为技术有限公司 | 一种密钥生成方法及装置 |
| CN109936444B (zh) * | 2017-12-18 | 2021-07-09 | 华为技术有限公司 | 一种密钥生成方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1937836B (zh) | 2011-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10880747B2 (en) | Network slice allocation method, device, and system | |
| CN113329006B (zh) | 用于蜂窝物联网的网络安全架构 | |
| CN1980463B (zh) | 一种移动终端上下文的管理方法 | |
| CN1960567B (zh) | 一种终端进入和退出空闲模式的通信方法 | |
| US20180332469A1 (en) | Network architecture and security with encrypted client device contexts | |
| ES2951581T3 (es) | Método, aparato y sistema para soportar múltiples IMSI | |
| US10798082B2 (en) | Network authentication triggering method and related device | |
| CN103200601B (zh) | 无线接入点胖瘦模式切换方法 | |
| US8792887B2 (en) | Method and apparatus for network reentry of mobile station in wireless communication system | |
| CN101022654A (zh) | 一种WiMAX系统中的移动台位置更新处理方法 | |
| CN104160730A (zh) | 快速接入方法和装置 | |
| CN113490205A (zh) | 针对具有简化移动性过程的网络架构和安全的方法和装置 | |
| US20110195743A1 (en) | Method and apparatus for power management | |
| US8050678B2 (en) | Apparatus and method for executing the handoff process in wireless networks | |
| CN1937836B (zh) | 移动终端切换后更新安全联盟信息的方法 | |
| US20110135095A1 (en) | Method and system for generating key identity identifier when user equipment transfers | |
| US8204478B2 (en) | System for setting security in wireless network system using cluster function and method of controlling the same | |
| CN102685730A (zh) | 一种ue上下文信息发送方法及mme | |
| EP4000295A1 (en) | Managing security keys in a communication system | |
| US8995959B2 (en) | Prevention of mismatch of authentication parameter in hybrid communication system | |
| WO2016201734A1 (zh) | 应用程序的运行控制方法、系统和终端 | |
| CN1937837A (zh) | 一种移动终端位置变化时获得授权密钥的方法及装置 | |
| EP3136683A1 (en) | Method, apparatus, and device for managing authentication data of mobile station | |
| US11363561B2 (en) | Method and apparatus for reporting information by terminal, and computer storage medium | |
| WO2011144153A1 (zh) | 业务处理方法与装置、基站控制器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110406 Termination date: 20140919 |
|
| EXPY | Termination of patent right or utility model |