TWI430674B - 用於具有中繼節點之無線通訊系統的安全性方法 - Google Patents

用於具有中繼節點之無線通訊系統的安全性方法 Download PDF

Info

Publication number
TWI430674B
TWI430674B TW099126476A TW99126476A TWI430674B TW I430674 B TWI430674 B TW I430674B TW 099126476 A TW099126476 A TW 099126476A TW 99126476 A TW99126476 A TW 99126476A TW I430674 B TWI430674 B TW I430674B
Authority
TW
Taiwan
Prior art keywords
key
base station
security
user equipment
relay node
Prior art date
Application number
TW099126476A
Other languages
English (en)
Other versions
TW201132143A (en
Inventor
Tzu Ming Lin
Original Assignee
Ind Tech Res Inst
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ind Tech Res Inst filed Critical Ind Tech Res Inst
Priority to US12/855,720 priority Critical patent/US8605904B2/en
Publication of TW201132143A publication Critical patent/TW201132143A/zh
Application granted granted Critical
Publication of TWI430674B publication Critical patent/TWI430674B/zh

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

用於具有中繼節點之無線通訊系統的安全性方法
本發明是有關於一種具有中繼節點之無線通訊系統的安全性方法及其使用此安全性方法的無線通訊系統。
無線通訊系統的技術已經越來越進步,且目前也還有很多的新標準在訂定與改善。舉例來說,第三代行動通訊技術(3GPP)標準的長期演進技術(LTE)系統更開始被廣泛的行動用戶所使用。請參照圖1,圖1繪示長期演進技術系統的系統示意圖。長期演進技術系統1包括用戶設備(UE)11、多個進階基地台節點(eNB)12、13、14與多個行動管理單元/服務閘道器(MME/S-GW)15、16,其中進階基地台節點12、13、14構成了一個演進通用陸地無線接取網(E-UTRAN)17。
行動管理單元/服務閘道器15、16的行動管理單元與服務閘道器整合於同一個設備之中,在其他的例子中,行動管理單元/服務閘道器15、16的行動管理單元與服務閘道器亦可以是分開的兩個設備。用戶設備11會透過第三代行動通訊技術標準所定義的Uu介面來與基地台節點12進行通訊,Uu介面是一個無線介面。多個進階基地台節點(eNB)12、13、14之間彼此以第三代行動通訊技術標準所定義的X2介面進行通訊,行動管理單元/服務閘道器15透過S1介面與進階基地台節點12、13進行通訊,且行動管理單元/服務閘道器16透過S1介面與進階基地台節點13、14進行通訊。
長期演進技術通訊系統1的通訊協定堆(protocol stack)可以分為兩個平面,其中一個為用戶平面,另一個則為控制平面。用戶平面用以傳送資料,控制平面則用來傳送控制信息,以控制資料的傳輸。長期演進技術通訊系統1的安全性功能包括了加密(ciphering)保護與完整性(integrity)保護。完整性保護可以確保資料不會被竄改,而加密保護可以確保資料不會被竊聽。
請參照圖2,圖2繪示長期演進技術通訊系統中之金鑰的階層示意圖。金鑰K會儲存於通用整合晶片卡(UICC)中的通用用戶識別模組(USIM)內,以及儲存於認證中心(Authentication Centre,AuC)中。在認證與金鑰承認(Authentication and Key Agreement,AKA)程序中,用戶設備與家用用戶伺服器(HSS)根據金鑰K產生一組對應的金鑰CK與CIK。在認證與金鑰承認程序結束後,用戶設備與行動管理單元獲得執行認證與金鑰承認程序後的結果,也就是安全管理金鑰KASME
透過執行非接取層安全性模式指令程序(NAS security mode command procedure),用戶設備與行動管理單元可以根據安全管理金鑰KASME 獲得用於非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int ,以及獲得進階基地台節點金鑰KeNB ,其中行動管理單元可以透過S1介面將進階基地台節點金鑰KeNB 傳送給進階基地台節點。
接著,透過執行接取層安全性模式指令程序(AS security mode command procedure),演進基地台進階基地台節點與用戶設備可以根據演進基地台進階基地台節點金鑰KeNB 獲得用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。在有危障(hazard)的情況下,安全管理金鑰KASME 與演進基地台進階基地台節點金鑰KeNB 會被送到網路處理程序NH處理,且演進基地台進階基地台節點金鑰KeNB 與網路處理程式NH的處理結果會被到網路控制中心(NCC)進行判斷,以據此產生互補的演進基地台進階基地台節點金鑰KeNB* ,來更新演進基地台進階基地台節點金鑰KeNB 。透過多次訓練演進基地台進階基地台節點金鑰KeNB ,便能夠獲得正確的演進基地台進階基地台節點金鑰KeNB ,以排除危障。
接著,請參照圖3,圖3繪示長期演進技術系統的安全性方法之流程圖。長期演進技術系統3具有用戶設備31、進階基地台節點32、行動管理單元/服務閘道器33與家用用戶伺服器34。
首先,在步驟S31中,認證與金鑰承認程序會先被執行,以使用戶設備31、行動管理單元/服務閘道器33與家用用戶伺服器34擁有安全管理金鑰KASME
接著,在步驟S32中,非接取層安全性模式指令程序會被執行,以使用戶設備31與進階基地台節點32擁有進階基地台節點金鑰KeNB ,以及使使用戶設備31與行動管理單元/服務閘道器33擁有用於非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int 。另外,步驟S32會使用戶設備31進入第三代行動通訊技術標準所定義的ECM-CONNECTED狀態。
然後,在步驟S33中,接取層安全性模式指令程序會被執行,以使使用戶設備31與進階基地台節點32擁有用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。步驟S33的目的是為了讓無線資源控制安全性有效化。
在長期演進技術系統3的安全性方法已經執行完畢後,在步驟S34中,使用戶設備31與進階基地台節點32便能夠進行一般操作,例如彼此傳送具有安全性的資料與控制信號。
步驟S31的認證與金鑰承認程序包括了步驟S311、S312與S313。在步驟S311中,行動管理單元/服務閘道器33向家用用戶伺服器34傳送認證資料請求,而且家用用戶伺服器34在收到認證資料請求後,會傳送認證資料請求回覆給行動管理單元/服務閘道器33。如此,行動管理單元/服務閘道器33將可以獲得安全管理金鑰KASME
接著,在步驟S312中,行動管理單元/服務閘道器33會發送用戶認證請求(RAND,AUTN,KSIASME )給用戶設備31,信息給用戶設備31收到用戶認證請求,若可以接受行動管理單元/服務閘道器33的請求,則會傳送用戶認證請求回覆給行動管理單元/服務閘道器33。如此,用戶設備31將可以獲得安全管理金鑰KASME 。上述用戶認證請求(RAND,AUTN,KSIASME )表示攜帶RAND、AUTN、KSIASME 等資訊的用戶認證請求,其中RAND表示亂數,AUTN表示一個認證數字,KSIASME 表示對應安全管理金鑰KASME 的金鑰組別識別。
接著,在步驟S313中,用戶設備31執行金鑰獲取函數(Key Derivation Function,KDF)以獲得安全管理金鑰KASME
步驟S32的非接取層安全性模式指令程序包括步驟S321、S322與S323。在步驟S321中,行動管理單元/服務閘道器33執行金鑰獲取函數,以根據安全管理金鑰KASME 獲得非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int
在步驟S322中,用戶設備31執行金鑰獲取函數,以根據安全管理金鑰KASME 獲得非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int ,以及獲得進階基地台節點金鑰KeNB
在步驟S323中,行動管理單元/服務閘道器33透過S1介面進行S1內容(context)設定,並將行動管理單元/服務閘道器33執行金鑰獲取函數的結果送給進階基地台節點32,以讓進階基地台節點32獲得進階基地台節點金鑰KeNB 。進階基地台節點金鑰KeNB 的值相關於安全管理金鑰KASME ,步驟S323與S322的執行順序並不限定。
步驟S33的接取層安全性模式指令程序包括步驟S331與S334。在步驟S331中,進階基地台節點32執行金鑰獲取函數,以根據進階基地台節點金鑰KeNB 獲得用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
在步驟S334中,用戶設備31執行金鑰獲取函數,以根據進階基地台節點金鑰KeNB 獲得用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。步驟S331與S332的執行順序並不限定。
為了有效延伸進階基地台節點的覆蓋範圍,可以在目前長期演進技術系統中加入中繼節點,來中繼用戶設備與進階基地台節點之間的資料與控制信號。目前第三代行動通訊技術標準中,將中繼節點的角色視為進階基地台節點,但是目前第三代行動通訊技術標準並未規範與解決有關中繼節點至用戶設備之間與中繼節點至進階基地台節點之間的安全性問題。
請參照圖4,圖4繪示了中繼節點與進階基地台節點之間的安全性問題之示意圖。在圖4的例子中,長期演進技術系統4將其中繼節點42視為用戶設備41的進階基地台節點。首先,在步驟S41中,認證與金鑰承認程序會被執行。如此,用戶設備41與行動管理單元/服務閘道器44會獲得安全管理金鑰KASME
接著,在步驟S42中,非接取層安全性模式指令程序會被執行。如此,行動管理單元/服務閘道器44與用戶設備41可以獲得非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int ,且用戶設備41與中繼節點42會獲得進階基地台節點金鑰KeNB
在步驟S43中,接取層安全性模式指令程序會被執行,以使得無線資源控制安全性有效化。如此,用戶設備41與中繼節點42可以獲得用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
但是,目前的第三代行動通訊技術標準並沒有定義與規範圖4中的步驟S44。換言之,中繼節點42與進階基地台節點43之間或中繼節點42與行動管理單元/服務閘道器44之間的金鑰階層性、金鑰分布程序與金鑰分布事件都未有相關定義與規範。
總之,在圖4中,第三代行動通訊技術標準僅能在用戶設備41與中繼節點42之間透過Uu介面建立第三代行動通訊技術標準釋出第8版(Rel-8)所規範的安全性連結(Security Association,SA)SA41,第三代行動通訊技術標準無法建立未知的中繼節點42與進階基地台節點43之間的Un介面安全性連結SA42。
接著,請參照圖5,圖5繪示了中繼節點與進階基地台節點之間的另一種安全性問題之示意圖。在圖5的例子中,長期演進技術系統5將其中繼節點51視為進階基地台節點53的用戶設備。首先,在步驟S51中,認證與金鑰承認程序會被執行。如此,用戶設備51與行動管理單元/服務閘道器54會獲得安全管理金鑰KASME
接著,在步驟S52中,非接取層安全性模式指令程序會被執行。如此,行動管理單元/服務閘道器54與用戶設備51可以獲得非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int ,且用戶設備51與進階基地台節點53會獲得進階基地台節點金鑰KeNB
在步驟S53中,接取層安全性模式指令程序會被執行,以使得無線資源控制安全性有效化。如此一來,用戶設備51與進階基地台節點53可以獲得用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
但是,目前的第三代行動通訊技術標準並沒有定義與規範圖5中的步驟S54。換言之,中繼節點52與進階基地台節點53之間的金鑰階層性、金鑰分布程序與金鑰分布事件都未有相關定義與規範。
總之,在圖5中,第三代行動通訊技術標準僅能在用戶設備51與進階基地台節點53之間透過Uu介面建立第三代行動通訊技術標準釋出第8版所規範的安全性連結SA51,第三代行動通訊技術標準無法建立未知的中繼節點52與進階基地台節點53之間的未知安全性連結SA42。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。中繼節點協助用戶設備與無線通訊系統之服務閘道器進行認證,並藉此建立用戶設備與中繼節點之間的第一安全性連結。中繼節點透過基地台節點的協助,建立中繼節點與基地台之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。用戶設備透過基地台節點的協助,與無線通訊系統的服務閘道器進行認證,並藉此建立用戶設備與基地台節點之間的第一安全性連結。中繼節點透過基地台節點的協助,建立中繼節點與基地台之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的安全性連結。用戶設備透過基地台節點的協助,與無線通訊系統的服務閘道器進行認證,並藉此建立用戶設備與基地台節點之間的安全性連結。中繼節點不處理用戶設備與基地台節點之間的資料之加解密工作,中繼節點通透地轉送資料。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。中繼節點透過基地台節點與無線通訊系統之服務閘道器進行認證,以獲得屬於中繼節點的第一安全管理金鑰。中繼節點進行第一遠端資料安全性模式指令程序,以使得中繼節點依據第一安全管理金鑰獲得屬於中繼節點的第一遠端資料加密金鑰、第一遠端資料完整性金鑰與第一基地台節點金鑰。中繼節點進行第一近端資料安全性模式指令程序,以使得中繼節點依據第一基地台節點金鑰獲得屬於中繼節點的第一近端資料加密金鑰、第一近端控制信號加密金鑰與第一近端控制信號完整性金鑰,以據此建立中繼節點基地台節點之間的第一安全性連結。中繼節點協助用戶設備與服務閘道器進行認證,以使用戶設備獲得屬於用戶設備的第二安全管理金鑰。在用戶設備進行第二遠端資料安全性模式指令程序後,中繼節點獲得屬於用戶設備的第二基地台金鑰,其中第二基地台節點金鑰根據第二安全管理金鑰產生。在用戶設備進行第二近端資料安全性模式指令程序後,中繼節點依據第二基地台節點金鑰獲得屬於用戶設備的第二近端資料加密金鑰、第二近端控制信號加密金鑰、第二近端控制信號完整性金鑰,以據此建立用戶設備與中繼節點之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。基地台節點透過基地台節點與中繼節點之間的傳輸介面,獲得屬於中繼節點的第一基地台節點金鑰,以藉此讓中繼節點與基地台節點依據第一基地台節點金鑰獲得屬於中繼節點的第一近端資料加密金鑰、第一近端控制信號加密金鑰與第一近端控制信號完整性金鑰,而藉此完成中繼節點與基地台節點之間的第一安全性連結,其中第一基地台節點金鑰是根據屬於中繼節點的第一安全管理金鑰所產生。中繼節點協助用戶設備與無線通訊系統之服務閘道器進行認證,以使用戶設備獲得屬於用戶設備的第二安全管理金鑰。在用戶設備進行第二遠端資料安全性模式指令程序後,中繼節點獲得屬於用戶設備的第二基地台金鑰,其中第二基地台節點金鑰根據第二安全管理金鑰產生。在用戶設備進行第二近端資料安全性模式指令程序後,中繼節點依據第二基地台節點金鑰獲得屬於用戶設備的第二近端資料加密金鑰、第二近端控制信號加密金鑰、第二近端控制信號完整性金鑰,以據此建立用戶設備與中繼節點之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。中繼節點協助用戶設備與無線通訊系統之服務閘道器進行認證,以使用戶設備獲得屬於用戶設備的安全管理金鑰。在用戶設備進行遠端資料安全性模式指令程序後,中繼節點獲得屬於用戶設備的基地台金鑰,其中基地台節點金鑰根據安全管理金鑰產生。在用戶設備進行近端資料安全性模式指令程序後,中繼節點依據基地台節點金鑰獲得屬於用戶設備的近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,以據此建立用戶設備與中繼節點之間的第一安全性連結。基地台節點透過基地台節點與中繼節點之間的傳輸介面,獲得基地台節點金鑰,以藉此讓基地台節點依據基地台節點金鑰獲得近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,而藉此完成中繼節點與基地台節點之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。中繼節點協助用戶設備與無線通訊系統之服務閘道器進行認證,以使用戶設備獲得屬於用戶設備的安全管理金鑰。在用戶設備進行遠端資料安全性模式指令程序後,中繼節點獲得屬於用戶設備的基地台金鑰,其中基地台節點金鑰根據安全管理金鑰產生。在用戶設備進行近端資料安全性模式指令程序後,中繼節點依據基地台節點金鑰獲得屬於用戶設備的近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,以據此建立用戶設備與中繼節點之間的第一安全性連結。基地台節點透過基地台節點與中繼節點之間的傳輸介面,獲得近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,而藉此完成中繼節點與基地台節點之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。基地台節點透過基地台節點與中繼節點之間的傳輸介面,獲得屬於中繼節點的第一近端資料加密金鑰、第一近端控制信號加密金鑰與第一近端控制信號完整性金鑰,而藉此完成中繼節點與基地台節點之間的第一安全性連結,其中屬於中繼節點的第一基地台節點金鑰是根據屬於中繼節點的第一安全管理金鑰所產生,且第一近端資料加密金鑰、第一近端控制信號加密金鑰與第一近端控制信號完整性金鑰是根據第一基地台節點金鑰所產生。中繼節點協助用戶設備與無線通訊系統之服務閘道器進行認證,以使用戶設備獲得屬於用戶設備的第二安全管理金鑰。在用戶設備進行第二遠端資料安全性模式指令程序後,中繼節點獲得屬於用戶設備的第二基地台金鑰,其中第二基地台節點金鑰根據第二安全管理金鑰產生。在用戶設備進行第二近端資料安全性模式指令程序後,中繼節點依據第二基地台節點金鑰獲得屬於用戶設備的第二近端資料加密金鑰、第二近端控制信號加密金鑰、第二近端控制信號完整性金鑰,以據此建立用戶設備與中繼節點之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。中繼節點協助用戶設備與無線通訊系統之服務閘道器進行認證,以使用戶設備獲得屬於用戶設備的安全管理金鑰。在用戶設備進行遠端資料安全性模式指令程序後,中繼節點獲得屬於用戶設備的基地台金鑰,其中基地台節點金鑰根據安全管理金鑰產生。在用戶設備進行近端資料安全性模式指令程序後,中繼節點依據基地台節點金鑰獲得屬於用戶設備的近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,以據此建立用戶設備與中繼節點之間的第一安全性連結。在用戶設備進行遠端資料安全性模式指令程序時,基地台節點提取根據安全管理金鑰所產生的基地台節點金鑰。基地台節點依據基地台節點金鑰獲得近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,而藉此完成中繼節點與基地台節點之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。用戶設備透過基地台節點與無線通訊系統之服務閘道器進行認證,以獲得屬於用戶設備的安全管理金鑰。用戶設備進行遠端資料安全性模式指令程序,以使得用戶設備依據安全管理金鑰獲得屬於用戶設備的遠端資料加密金鑰、遠端資料完整性金鑰與基地台節點金鑰。用戶設備進行一近端資料安全性模式指令程序,以使得用戶設備依據基地台節點金鑰獲得屬於用戶設備的近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,以據此建立用戶設備與基地台節點之間的第一安全性連結。中繼節點透過基地台節點透過基地台節點與中繼節點之間的一傳輸介面,獲得近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,而藉此完成中繼節點與基地台節點之間的一第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。用戶設備透過基地台節點與無線通訊系統之服務閘道器進行認證,以獲得屬於用戶設備的安全管理金鑰。用戶設備進行遠端資料安全性模式指令程序,以使得用戶設備依據安全管理金鑰獲得屬於用戶設備的遠端資料加密金鑰、遠端資料完整性金鑰與基地台節點金鑰。用戶設備進行近端資料安全性模式指令程序,以使得用戶設備依據基地台節點金鑰獲得屬於用戶設備的近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,以據此建立用戶設備與基地台節點之間的第一安全性連結。中繼節點透過基地台節點與中繼節點之間的傳輸介面,獲得基地台節點金鑰,以使中繼節點根據基地台節點金鑰獲得近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,而藉此完成中繼節點與基地台節點之間的第二安全性連結。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的多個安全性連結。用戶設備透過基地台節點與無線通訊系統之服務閘道器進行認證,以獲得屬於用戶設備的第一安全管理金鑰。用戶設備進行第一遠端資料安全性模式指令程序,以使得用戶設備依據第一安全管理金鑰獲得屬於用戶設備的第一遠端資料加密金鑰、第一遠端資料完整性金鑰與第一基地台節點金鑰。用戶設備進行第一近端資料安全性模式指令程序,以使得用戶設備依據第一基地台節點金鑰獲得屬於用戶設備的第一近端資料加密金鑰、第一近端控制信號加密金鑰與第一近端控制信號完整性金鑰,以據此建立用戶設備與基地台節點之間的第一安全性連結。基地台節點透過基地台節點與中繼節點之間的傳輸介面,獲得屬於中繼節點的第二基地台節點金鑰,以藉此讓中繼節點與基地台節點依據第二基地台節點金鑰獲得屬於中繼節點的第二近端資料加密金鑰、第二近端控制信號加密金鑰與第二近端控制信號完整性金鑰,而藉此完成中繼節點與基地台節點之間的第二安全性連結,其中第二基地台節點金鑰是根據屬於中繼節點的第二安全管理金鑰所產生。
本發明一示範實施例提供一種用於無線通訊系統的安全性方法,用以提供無線通訊系統之用戶設備、中繼節點與基地台節點之間的安全性連結。用戶設備透過基地台節點與無線通訊系統之服務閘道器進行認證,以獲得屬於用戶設備的安全管理金鑰。用戶設備進行遠端資料安全性模式指令程序,以使得用戶設備依據安全管理金鑰獲得屬於用戶設備的遠端資料加密金鑰、遠端資料完整性金鑰與基地台節點金鑰。用戶設備進行近端資料安全性模式指令程序,以使得用戶設備依據基地台節點金鑰獲得屬於用戶設備一近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰,以據此建立用戶設備與基地台節點之間的第一安全性連結。中繼節點不處理用戶設備與基地台節點之間的資料之加解密工作,中繼節點通透地轉送資料。
基於上述,本發明示範實施例提供用於具有中繼節點之無線通訊系統的多種安全性方法,這些安全性方法提供了中繼節點與用戶設備之間的安全性連結,以及中繼節點與進階基地台節點之間的安全性連結。如此,透過中繼節點幫忙進行資料傳輸的用戶設備與進階基地台節點之間的安全性連結可以被建立。除此之外,上述多種安全性方法的部份還可以降低中繼節點之硬體成本與設計複雜度,或者提供較高的安全性與群組安全性等。
為讓本發明之上述特徵和優點能更明顯易懂,下文特舉示範實施例,並配合所附圖式作詳細說明如下。
本發明提供多個用於具有中繼節點之無線通訊系統的安全性方法的示範實施例,以解決中繼節點與進階基地台節點之間的未知安全性連結之問題。多個實施例中的一些安全性方法提供了比原來無線通訊系統更高的安全性,另外一些安全性方法則提供了與原來通訊系統相同的安全性。
請參照圖6,圖6繪示本發明一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。長期演進技術系統6包括用戶設備61、中繼節點62、進階基地台節點63與行動管理單元/服務閘道器64。在這個示範實施例中,長期演進技術系統6將中繼節點62視為進階基地台節點63的用戶設備,而且S1介面終止於中繼節點62。換言之,中繼節點62可透過S1介面與行動管理單元/服務閘道器64進行通訊。
首先,在步驟S61中,中繼節點62與進階基地台節點63進行安全性連結SA62的建立。然後,在中繼節點62與進階基地台節點63建立好安全性連結後,執行步驟S62。在步驟S62中,中繼節點62與用戶設備61進行安全性連結SA61的建立。
步驟S61包括步驟S611、S612與S613。在步驟S611中,在中繼節點62與行動管理單元/服務閘道器64執行認證與金鑰承認程序,以使中繼節點62與行動管理單元/服務閘道器64獲得屬於中繼節點62的安全管理金鑰KASME
在步驟S612中,執行非接取層安全性模式指令程序。如此,中繼節點62將可以根據其安全管理金鑰KASME 獲得屬於中繼節點62的非接取層安全性的加密金鑰KNAS enc 、完整性金鑰KNAS int 與進階基地台節點金鑰KeNB 。行動管理單元/服務閘道器64也同樣地可以獲得屬於中繼節點62的非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int ,而且行動管理單元/服務閘道器33透過S1介面進行S1內容設定,將可以使進階基地台節點63獲得屬於中繼節點62的進階基地台節點金鑰KeNB
在步驟S613中,執行接取層安全性模式指令程序,以藉此使進階基地台節點63與中繼節點62之間的無線資源控制有效化。中繼節點62與進階基地台節點63可以根據屬於中繼節點62的進階基地台節點金鑰KeNB 獲得屬於中繼節點62的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此,就可以完成安全性連結SA62的建立。
在步驟S62中,又有步驟S621、S622與S623。在步驟S621中,在用戶設備61與行動管理單元/服務閘道器64執行認證與金鑰承認程序,以使用戶設備61與行動管理單元/服務閘道器64獲得屬於用戶設備61的安全管理金鑰KASME
在步驟S622中,執行非接取層安全性模式指令程序。如此,用戶設備61將可以根據其安全管理金鑰KASME 獲得屬於用戶設備61的非接取層安全性的加密金鑰KNAS enc 、完整性金鑰KNAS int 與進階基地台節點金鑰KeNB 。行動管理單元/服務閘道器64也同樣地可以獲得屬於用戶設備61的非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int ,而且行動管理單元/服務閘道器33透過S1介面進行S1內容設定,將可以使中繼節點62獲得屬於用戶設備61的進階基地台節點金鑰KeNB
在步驟S623中,執行接取層安全性模式指令程序,以藉此使用戶設備61與中繼節點62之間的無線資源控制有效化。中繼節點62與用戶設備61可以根據屬於用戶設備61的進階基地台節點金鑰KeNB 獲得屬於用戶設備61的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此,就可以完成安全性連結SA61的建立。
透過安全性連結SA61,用戶設備61與中繼節點62可以使用屬於用戶設備61的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 來加解密彼此傳送的資料。透過安全性連結SA62,進階基地台節點63與中繼節點62可以使用屬於中繼節點62的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 來加解密彼此傳送的資料。
安全性連結SA61與安全性連結SA62使用不同的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int ,因此,在這個示範實施例中,長期演進技術系統6的安全性較傳統的長期演進技術系統來得高。
除此之外,在這個示範實施例中,安全性連結SA62提供了支援群組安全性的功能。舉例來說,針對屬於相同的群組用戶設備,中繼節點62會使用相同的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 來建立相同的安全性連結SA62。在其他的情況下,亦可以使用安全性連結映射(SA mapping)技術來轉換與轉送安全性連結SA61與SA62之間的加密資料或不同群組之安全性連結。
另外,圖6中的步驟S61與S62的執行順序可以不被限定。舉例來說,步驟S62可以先執行,之後再執行步驟S61。除此之外,亦可以在確保步驟S611執行於步驟S612與S613之前,以及在確保步驟S621執行於步驟S622與S623之前的情況下,任意地調整各步驟的執行順序。
步驟S611與步驟S621所執行的認證與金鑰承認程序是在長期演進技術系統中所定義的名稱,在其他標準的所定義的系統中可能會有其他的名稱。步驟S611或步驟S621的目的在於,使中繼節點62與行動管理單元/服務閘道器64之間彼此認證,或使用戶設備61與行動管理單元/服務閘道器64之間彼此認證。
步驟S612與步驟S622的非接取層安全性模式指令程序是長期演進技術系統中所定義的名稱,在其他標準的所定義的系統中可能會有其他的名稱。步驟S612或步驟S622的目的在於,使中繼節點62與行動管理單元/服務閘道器64之間所傳輸的資料獲得安全性保護,或使用戶設備61與行動管理單元/服務閘道器64之間所傳輸的資料獲得安全性保護。
步驟S613與步驟S623的接取層安全性模式指令程序是長期演進技術系統中所定義的名稱,在其他標準的所定義的系統中可能會有其他的名稱。步驟S613或步驟S623的目的在於,使中繼節點62與進階基地台節點63之間所傳輸的資料獲得安全性保護,或使用戶設備61與中繼節點62之間所傳輸的資料獲得安全性保護。
在本文中,可以將認證與金鑰承認程序稱為用戶認證程序。透過用戶認證程序,作為用戶端的使用者設備61或中繼節點62將可以被遠端的行動管理單元/服務閘道器64所認證。另外,在本文文中,可以將非接取層安全性模式指令程序稱之為遠端資料安全性模式指令程序,其用以對傳輸至或來自於行動管理單元/服務閘道器64的資料進行資料的安全性保護。相較於遠端的行動管理單元/服務閘道器64,在本文中,可以將接取層安全性模式指令程序稱之為近端資料安全性模式指令程序,其用以對中繼節點62與進階基地台節點63之間的資料,或對用戶設備61與中繼節點62之間的資料,或對用戶設備61與進階基地台節點63之間的資料,進行資料的安全性保護。
根據上述的定義,本文中的非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int 又可以分別稱為遠端資料加密金鑰與遠端資料完整性金鑰。本文中的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 又可以分別稱為近端資料加密金鑰、近端控制信號加密金鑰與近端控制信號完整性金鑰。進階基地台節點金鑰KeNB 於本文中又可以稱為基地台金鑰。
接著,請參照圖7,圖7繪示本發明一示範實施例的認證與金鑰承認程序之流程圖。步驟S611與步驟S621的認證與金鑰承認程序可以由圖7的內容而得知,圖7的內容與第三代行動通訊標準定義的內容一致。行動設備(Mobile Equipment,簡稱為ME)、通用用戶識別模組或被視為進階基地台節點之用戶設備的中繼節點皆會與行動管理單元一同執行與完成認證與金鑰承認程序。
首先,在步驟S9500中,行動管理單元傳送用戶認證請求(RAND,AUTH,KSIASME )給行動設備、通用用戶識別模組或被視為進階基地台節點之用戶設備,其中上述用戶認證請求(RAND,AUTN,KSIASME )表示攜帶RAND、AUTN、KSIASME 等資訊的用戶認證請求,其中RAND表示亂數,AUTN表示一個認證數字,KSIASME 表示對應安全管理金鑰KASME 的金鑰組別識別。
接著,步驟S9501或步驟S9502會被執行。如果行動設備、通用用戶識別模組或被視為進階基地台節點之用戶設備接受來自於行動管理單元的用戶認證請求,則步驟S9501會被執行;相反地,若行動設備、通用用戶識別模組或被視為進階基地台節點之用戶設備不接受來自於行動管理單元的用戶認證請求,則步驟S9502會被執行。
在步驟S9501中,行動設備、通用用戶識別模組或被視為進階基地台節點之用戶設備會傳送用戶認證回覆(RES)給行動管理單元,其中用戶認證回覆(RES)表示帶者RES資訊的用戶認證回覆,而RES表示RESponse的意思,其定義於第三代行動通訊標準內。若行動設備並非回覆RES時,則在步驟S9502中,行動設備、通用用戶識別模組或被視為進階基地台節點之用戶設備會傳送用戶認證拒絕(CAUSE)給行動管理單元,其中用戶認證拒絕(CAUSE)表示帶者CAUSE資訊的用戶認證回覆,而CAUSE為用以告知錯誤的代碼“CAUSE”,其定義於第三代行動通訊標準內。
接著,請參照圖8,圖8繪示本發明一示範實施例的非接取層安全性模式指令程序之流程圖。步驟S612與步驟S622的非接取層安全性模式指令程序可以由圖8的內容而得知,圖8的內容與第三代行動通訊標準定義的內容一致。行動設備或被視為進階基地台節點之用戶設備的中繼節點皆會與行動管理單元一同執行與完成非接取層安全性模式指令程序。
首先,在步驟S9510,行動管理單元開始完整性保護。接著,在步驟S9511,行動管理單元傳送非接取層安全性模式指令(eKSI,UEsec capabilities,Ciphering algorithm,Integrity algorithm,[IMEI request,][NONCEUE ,NONCEMME ,]NAS-MAC)給行動設備或被視為進階基地台節點之用戶設備的中繼節點,其中非接取層安全性模式指令(eKSI,UEsec capabilities,Ciphering algorithm,Integrity algorithm,[IMEI request,][NONCEUE ,NONCEMME ,]NAS-MAC)表示帶者eKSI、UEsec capabilities、Ciphering algorithm、Integrity algorithm、[IMEI request]、[NONCEUE ,NONCEMME ]與NAS-MAC等資訊的用非接取層安全性模式指令,eKSI、UEsec capabilities、Ciphering algorithm、Integrity algorithm、[IMEI request]、[NONCEUE ,NONCEMME ]與NAS-MAC定義於第三代行動通訊標準內。
接著,在步驟S9512中,行動管理單元可以開始上行解密,以解密其接收到的上行資料。在步驟S9513中,行動設備或被視為進階基地台節點之用戶設備的中繼節點驗證非接取層安全性模式指令的完整性。若非接取層安全性模式指令的完整性被成功地驗證,則行動設備或被視為進階基地台節點之用戶設備的中繼節點開始加密/解密與完整性保護,並於步驟S9514中,傳送非接取層安全性模式完成([IMEI,]NAS-MAC)給行動管理單元,其中非接取層安全性模式完成([IMEI,]NAS-MAC)表示帶著[IMEI]與NAS-MAC等資訊的非接取層安全性模式完成,[IMEI]與NAS-MAC定義於第三代行動通訊標準內。然後,在步驟S9515中,在行動管理單元接收到非接取層安全性模式完成([IMEI,]NAS-MAC)後,行動管理單元可以開始下行加密,以加密要傳送給行動設備或被視為進階基地台節點之用戶設備的中繼節點的下行資料。
接著,請參照圖9,圖9繪示本發明一示範實施例的接取層安全性模式指令程序之流程圖。步驟S613與步驟S623的接取層安全性模式指令程序可以由圖9的內容而得知,圖9的內容與第三代行動通訊標準定義的內容一致。行動設備或被視為進階基地台節點之用戶設備的中繼節點皆會與進階基地台節點一同執行與完成接取層安全性模式指令程序。
首先,在步驟S9520,進階基地台節點開始無線資源控制完整性保護。接著,在步驟S9521,進階基地台節點傳送接取層安全性模式指令(Integrity algorithm,Ciphering algorithm,MAC-I)給行動設備或被視為進階基地台節點之用戶設備的中繼節點,其中接取層安全性模式指令(Integrity algorithm,Ciphering algorithm,MAC-I)表示帶著Integrity algorithm、Ciphering algorithm與MAC-I等資訊的接取層安全性模式指令,Integrity algorithm、Ciphering algorithm與MAC-I定義於第三代行動通訊標準內。
接著,在步驟S9522中,進階基地台節點可以開始無線資源控制/用戶平面下行解密,以加密要傳送給行動設備或被視為進階基地台節點之用戶設備的中繼節點的下行資料。在步驟S9523中,行動設備或被視為進階基地台節點之用戶設備的中繼節點驗證接取層安全性模式指令的完整性。若接取層安全性模式指令的完整性被成功地驗證,則行動設備或被視為進階基地台節點之用戶設備的中繼節點開始無線資源控制完整性保護與無線資源控制/用戶平面下行解密,以藉此解密行動管理單元傳送給行動設備或被視為進階基地台節點之用戶設備的中繼節點的下行資料。
在於步驟S9524中,行動設備或被視為進階基地台節點之用戶設備的中繼節點傳送接取層安全性模式完成(MAC-I)給進階基地台節點,其中接取層安全性模式完成(MAC-I)表示帶著MAC-I資訊的接取層安全性模式完成,MAC-I定義於第三代行動通訊標準內。然後,在步驟S9525中,在行動設備或被視為進階基地台節點之用戶設備的中繼節點傳送接取層安全性模式完成(MAC-I)後,開始進行無線資源控制/用戶平面上行加密,以加密要傳送給行動管理單元的上行資料。在步驟S9526,在行動管理單元接收到接取層安全性模式完成(MAC-I)後,行動管理單元可以開始無線資源控制/用戶平面上行解密,以解密其收到的上行資料。
請參照圖10,圖10繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。長期演進技術系統7包括用戶設備71、中繼節點72、進階基地台節點73與行動管理單元/服務閘道器74。在這個示範實施例中,長期演進技術系統7將中繼節點72視為進階基地台節點,而且S1介面終止於中繼節點72。換言之,中繼節點72可透過71介面與行動管理單元/服務閘道器74進行通訊。
圖10的方法包括步驟S71與S72,或者包括步驟S72與S73。換言之,圖10同時繪示了兩種可能的安全性方法,其中步驟S71與步驟S72為一種中繼節點72主動提供安全性連結SA72的安全性方法,步驟S72與步驟S73為一種中繼節點72被動提供安全性連結SA72的安全性方法。
步驟S72與圖6步驟S62相同,且步驟S72所包括的各步驟S721~S723也與步驟S62所包括的各步驟S621~623相同,因此便不再說明重複的內容。在執行完步驟S72之後,中繼節點72與用戶設備71可以建立安全性連結SA61。
在步驟S71中,中繼節點72在與進階基地台節點73進行互信後,便可以獲得屬於中繼節點72的進階基地台節點金鑰KeNB ,並根據屬於中繼節點72的進階基地台節點金鑰KeNB 獲得屬於中繼節點72的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此,便可以建立中繼節點72與進階基地台節點73的安全性連結SA72。
步驟S71執行於步驟S72之前,也就是在安全性連結SA71未建立前,便主動建立安全性連結SA72,以便後續中繼節點72與進階基地台節點73的資料傳輸使用。據此,稱步驟S71與步驟S72為一種中繼節點72主動提供安全性連結SA72的安全性方法。
步驟S71包括步驟S711、S712與S713。在步驟S711中,中繼節點72在與進階基地台節點73進行互信後,中繼節點72透過S1介面可以傳輸S1-AP信息給進階基地台節點73,以藉此讓中繼節點72與進階基地台節點73可以根據屬於中繼節點72的安全管理金鑰KASME 獲得屬於中繼節點72的進階基地台節點金鑰KeNB ;或者,中繼節點72透過X2介面可以傳輸X2-AP信息給進階基地台節點73,以藉此讓中繼節點72與進階基地台節點73可以根據屬於中繼節點72的安全管理金鑰KASME 獲得屬於中繼節點72的進階基地台節點金鑰KeNB 。關於S1-AP信息與X2-AP信息的描述可以參照第三代行動通訊技術標準,故不再贅述。除此之外,S1-AP或X2-AP信息是透過串流控制傳輸協定(SCTP)或者網際網路協定(IP)連結來傳輸。
在步驟S712中,中繼節點72執行金鑰獲取函數,以根據獲得屬於中繼節點72的進階基地台節點金鑰KeNB 獲得屬於中繼節點72的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
在步驟S713中,進階基地台節點73執行金鑰獲取函數,以根據獲得屬於中繼節點72的進階基地台節點金鑰KeNB 獲得屬於中繼節點72的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
步驟S713與步驟S712的順序並沒有任何的限定。另外,在步驟S711需執行於步驟S713與S712之前的前提下,圖10中步驟S712與S713的執行順序可以任意排定。
步驟S73執行於步驟S72之後,也就是在安全性連結SA71建立後,才被動地建立安全性連結SA72,以便中繼節點72與進階基地台節點73的資料傳輸使用。據此,稱步驟S72與步驟S73為一種中繼節點72被動提供安全性連結SA72的安全性方法。
步驟S73與步驟S71相同,且步驟S73所包括的步驟S731~S733與步驟S71所包括的步驟S711~S713亦相同,故不再贅述。要說明的是,步驟S732與步驟S733的執行順序並不限定。除此之外,在圖10的實施例中,安全性連結SA72也同樣地提供群組安全性。
另外,需要說明的是,步驟S711與步驟S731中的S1介面、X2介面、S1-AP信息與X2-AP信息是針對長期演進技術而採用的辭彙。在不同的標準中,其名稱可能會有所不同。事實上,S1介面與X2介面可以是任何一種傳輸介面,且S1-AP信息與X2-AP信息可以是任何一種傳輸介面的控制傳輸信息。
請參照圖11,圖11繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。長期演進技術系統8包括用戶設備81、中繼節點82、進階基地台節點83與行動管理單元/服務閘道器84。在這個示範實施例中,長期演進技術系統8將中繼節點82視為進階基地台節點,而且S1介面終止於中繼節點82。換言之,中繼節點82可透過81介面與行動管理單元/服務閘道器84進行通訊。
圖11的方法包括步驟S81與S82,或者包括步驟S81與S83。換言之,圖11同時繪示了兩種可能的安全性方法,步驟S81與步驟S82為其中一種的安全性方法,步驟S81與步驟S83為其中另一種的安全性方法。在這個示範實施例中,步驟S82或步驟S83執行於步驟S81之後。
步驟S81與圖6步驟S62相同,且步驟S81所包括的各步驟S811~S813也與步驟S62所包括的各步驟S621~623相同,因此便不再說明重複的內容。在執行完步驟S81之後,中繼節點82與用戶設備81可以建立安全性連結SA81。
在步驟S82中,中繼節點82在與進階基地台節點83進行互信後,進階基地台節點83便可以獲得屬於用戶設備81的進階基地台節點金鑰KeNB ,並根據屬於用戶設備81的進階基地台節點金鑰KeNB 獲得屬於用戶設備81的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此,便可以建立中繼節點82與進階基地台節點83的安全性連結SA82。
步驟S82包括步驟S821與S822。在步驟S821中,中繼節點82在與進階基地台節點83進行互信後,中繼節點82透過S1介面可以傳輸S1-AP信息給進階基地台節點83,以藉此讓進階基地台節點83可以獲得屬於用戶設備81的進階基地台節點金鑰KeNB ;或者,中繼節點82透過X2介面可以傳輸X2-AP信息給進階基地台節點83,以藉此讓進階基地台節點83可以獲得屬於用戶設備81的進階基地台節點金鑰KeNB
在步驟S822中,進階基地台節點83執行金鑰獲取函數,以根據獲得屬於用戶設備81的進階基地台節點金鑰KeNB 獲得屬於用戶設備81的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
為了提高長期演進技術系統8的安全性,包括步驟S81與S83的安全性方法被提出。相較於包括步驟S81與S82的安全性方法,包括步驟S81與S83的安全性方法並不需要中繼節點82將屬於用戶設備81的進階基地台節點金鑰KeNB 傳送給進階基地台節點83。
在步驟S83中,中繼節點82在與進階基地台節點83進行互信後,中繼節點82透過S1介面可以傳輸S1-AP信息給進階基地台節點83,以藉此讓進階基地台節點83可以獲得屬於用戶設備81的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int ;或者,中繼節點82透過X2介面可以傳輸X2-AP信息給進階基地台節點83,以藉此讓進階基地台節點83可以獲得屬於用戶設備81的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
用戶設備81與中繼節點82之間所建立的安全性連結SA81所使用的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 、無線資源控制完整性金鑰KRRC int 與中繼節點82與進階基地台節點83之間所建立的安全性連結SA82所使用的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 、無線資源控制完整性金鑰KRRC int 相同。因此,當安全性連結SA81與SA82的其中之一被更新時,另一個安全性連結也可以一同更新。
請參照圖12,圖12繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。長期演進技術系統9包括用戶設備91、中繼節點92、進階基地台節點93與行動管理單元/服務閘道器94。在這個示範實施例中,長期演進技術系統9將中繼節點92視為進階基地台節點,而且S1介面終止於中繼節點92。換言之,中繼節點92可透過91介面與行動管理單元/服務閘道器94進行通訊。
圖12的方法包括步驟S91與S72,或者包括步驟S92與S93。換言之,圖12同時繪示了兩種可能的安全性方法,其中步驟S91與步驟S92為一種中繼節點92主動提供安全性連結SA92的安全性方法,步驟S92與步驟S93為一種中繼節點92被動提供安全性連結SA92的安全性方法。
步驟S92與圖6步驟S62相同,且步驟S92所包括的各步驟S921~S923也與步驟S62所包括的各步驟S621~623相同,因此便不再說明重複的內容。在執行完步驟S92之後,中繼節點92與用戶設備91可以建立安全性連結SA91。
在步驟S91中,中繼節點92在與進階基地台節點93進行互信後,中繼節點92透過S1介面可以傳輸S1-AP信息給進階基地台節點93,以藉此讓進階基地台節點93可以獲得屬於中繼節點92的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int ;或者,中繼節點92透過X2介面可以傳輸X2-AP信息給進階基地台節點93,以藉此讓進階基地台節點93可以獲得屬於中繼節點92的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
步驟S93與步驟S91相同,故不再贅述。在圖12的示範實施例中,安全性連結SA92還提供群組安全性。與圖10的長期演進技術系統7相比,圖12的長期演進技術系統7具有較高的安全性,因為圖12的中繼節點92並沒有將屬於中繼節點92的進階基地台節點KeNB 傳遞給進階基地台節點93。
請參照圖13,圖13繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。長期演進技術系統20包括用戶設備201、中繼節點202、進階基地台節點203與行動管理單元/服務閘道器204。在這個示範實施例中,長期演進技術系統20將中繼節點202視為進階基地台節點,而且S1介面終止於中繼節點202。換言之,中繼節點202可透過S1介面與行動管理單元/服務閘道器204進行通訊。
在圖13的示範實施例中,步驟S201會被執行,以建立中繼節點202與用戶設備201之間的安全性連結SA201。在建立中繼節點202與用戶設備201之間的安全性連結SA201的同時,複製一份用戶設備201的進階基地台節點金鑰KeNB 給進階基地台節點203,以藉此建立中繼節點與進階基地台節點203之間的安全性連結SA202。
步驟S201包括步驟S2011、S2022、S2013與S2014。在步驟S2011中,認證與金鑰承認程序會被執行,以使得用戶設備201與行動管理單元/服務閘道器204獲得屬於用戶設備201的安全管理金鑰KASME
步驟S2012中,非接取層安全性模式指令程序會被執行,且在進行S1內容設定時,會開始執行步驟S2013。步驟S2012包括步驟S20121~S20123。在步驟S20121中,行動管理單元/服務閘道器204會執行金鑰獲取函數,以根據屬於用戶設備201的安全管理金鑰KASME 獲得屬於用戶設備201的非接取層安全性之加密金鑰KNAS enc 與完整性金鑰KNAS int
在步驟S20122中,S1內容設定會被執行。行動管理單元/服務閘道器204透過S1介面與中繼節點202溝通,以使得中繼節點202獲得屬於用戶設備202的進階基地台節點金鑰KeNB 。在執行步驟S20122的同時,步驟S2013也會被同時執行。
在步驟S20123中,用戶設備201會執行金鑰獲取函數,以根據屬於用戶設備201的安全管理金鑰KASME 獲得屬於用戶設備201的非接取層安全性之加密金鑰KNAS enc 與完整性金鑰KNAS int 。步驟S20121與S20123的執行順序並未限定圖13的示範實施例。
步驟S2013包括步驟S20131與步驟S20132。在步驟S20122進行S1內容設定時,步驟S20131會同時被執行,以複製一份屬於用戶設備201的進階基地台節點金鑰KeNB 給進階基地台節點203。在步驟S20132中,進階基地台節點203根據屬於用戶設備201的進階基地台節點金鑰KeNB 獲得屬於用戶設備201的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此,中繼節點202與進階基地台節點203可以建立安全性連結SA202。
在步驟S2014中,接取層安全性模式指令程序會被執行,以使得用戶設備201與中繼節點202之間的無線資源控制安全性有效化。如此,用戶設備201與中繼節點202可以根據屬於用戶設備201的進階基地台節點金鑰KeNB 獲得屬於用戶設備201的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int ,以藉此建立用戶設備201與中繼節點202之間的安全性連結SA201。
用戶設備201與中繼節點202之間所建立的安全性連結SA201所使用的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 、無線資源控制完整性金鑰KRRC int 與中繼節點202與進階基地台節點203之間所建立的安全性連結SA202所使用的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 、無線資源控制完整性金鑰KRRC int 相同。因此,當安全性連結SA201與SA202的其中之一被更新時,另一個安全性連結也可以一同更新。
請參照圖14,圖14繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。長期演進技術系統22包括用戶設備221、中繼節點222、進階基地台節點223與行動管理單元/服務閘道器224。在這個示範實施例中,長期演進技術系統22將中繼節點222視為進階基地台節點223的用戶設備,而且S1介面終止於中繼節點202。換言之,中繼節點222並無法直接透過S1介面與行動管理單元/服務閘道器224進行通訊。
圖14的方法包括步驟S221與S222,或者包括步驟S221與S223。換言之,圖14同時繪示了兩種可能的安全性方法,步驟S221與步驟S222為其中一種的安全性方法,步驟S221與步驟S223為其中另一種的安全性方法。與包括步驟S221與步驟S222的安全性方法相比較,包括步驟S221與S223的安全性方法可以簡化中繼節點222的設計複雜度與硬體成本。另外,在這個示範實施例中,步驟S222或步驟S223執行於步驟S221之後。
步驟S221中,建立用戶設備221與進階基地台節點223之間的安全性連結。因為有中繼節點222的原因,因此必須要執行步驟S222或S223,才可以建立安全性連結SA221與SA222。在步驟S222或S223中,建立中繼節點222與進階基地台節點223之間的安全性連結SA222。
步驟S221包括步驟S2211~S2213。在步驟S2211中,認證與金鑰承認程序會被執行,以使用戶設備221與行動管理單元/服務閘道器224獲得屬於用戶設備221的安全管理金鑰KASME
在步驟S2212中,執行非接取層安全性模式指令程序,以使行動管理單元/服務閘道器224與用戶設備221可以獲得非接取層安全性的加密金鑰KNAS enc 與完整性金鑰KNAS int ,且用戶設備221與進階基地台節點223會獲得進階基地台節點金鑰KeNB
在步驟S2213中,接取層安全性模式指令程序會被執行,以使得無線資源控制安全性有效化。如此一來,用戶設備221與進階基地台節點223可以獲得屬於用戶設備221的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此,便可以建立用戶設備221與進階基地台節點223之間的安全性連結。
步驟S222包括步驟S2221與步驟S2221。在步驟S2221中,進階基地台節點223使用無線乘載傳輸(radio bearer transfer)來傳輸NAS信息,以使中繼節點222獲得屬於用戶設備221的進階基地台節點金鑰KeNB ,其中NAS信息的描述可參照第三代行動通訊技術,故不在此贅述。
在步驟S2222中,中繼節點222執行金鑰獲取函數,以根據進階基地台節點金鑰KeNB 獲得屬於用戶設備221的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此一來,可以建立中繼節點222與進階基地台節點223之間的安全性連結SA222。
不同於步驟S222,在步驟S223中,進階基地台節點223不需要將屬於用戶設備221的進階基地台節點金鑰KeNB 傳送給中繼節點222,因此其安全性較高。在步驟S223中,進階基地台節點223使用無線乘載傳輸來傳輸NAS信息,以使中繼節點222獲得屬於用戶設備221的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此一來,可以建立中繼節點222與進階基地台節點223之間的安全性連結SA222,而且因為中繼節點222不需要執行金鑰獲取函數,因此其設計複雜度與硬體成本都可以被降低。
用戶設備221與中繼節點222之間所建立的安全性連結SA221所使用的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 、無線資源控制完整性金鑰KRRC int 與中繼節點222與進階基地台節點223之間所建立的安全性連結SA222所使用的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 、無線資源控制完整性金鑰KRRC int 相同。因此,當安全性連結SA221與SA222的其中之一被更新時,另一個安全性連結也可以一同更新。
請參照圖15,圖15繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。長期演進技術系統21包括用戶設備211、中繼節點212、進階基地台節點213與行動管理單元/服務閘道器214。在這個示範實施例中,長期演進技術系統21將中繼節點212視為進階基地台節點,而且S1介面終止於中繼節點202。換言之,中繼節點212並無法直接透過S1介面與行動管理單元/服務閘道器214進行通訊。
圖15的方法包括步驟S211與S212,或者包括步驟S212與S213。換言之,圖15同時繪示了兩種可能的安全性方法,其中步驟S211與步驟S212為一種中繼節點212主動提供安全性連結SA212的安全性方法,步驟S212與步驟S213為一種中繼節點212被動提供安全性連結SA212的安全性方法。
步驟S212與圖14步驟S221相同,且步驟S212所包括的各步驟S2121~S2123也與步驟S221所包括的各步驟S2211~2213相同,因此便不再說明重複的內容。在執行完步驟S212之後,進階基地台節點213與用戶設備211可以建立安全性連結SA211。
在步驟S211中,中繼節點212在與進階基地台節點213進行互信後,便可以獲得屬於中繼節點212的進階基地台節點金鑰KeNB ,並根據屬於中繼節點212的進階基地台節點金鑰KeNB 獲得屬於中繼節點212的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int 。如此,便可以建立中繼節點212與進階基地台節點213的安全性連結SA212。
步驟S211執行於步驟S212之前,也就是在安全性連結SA211未建立前,便主動建立安全性連結SA212,以便後續中繼節點212與進階基地台節點213的資料傳輸使用。據此,稱步驟S211與步驟S212為一種中繼節點212主動提供安全性連結SA212的安全性方法。
步驟S211包括步驟S2111、S2112與S2113。在步驟S2111中,中繼節點212在與進階基地台節點213進行互信後,中繼節點212使用無線乘載傳輸來傳送RRC信息給進階基地台節點213,以藉此讓以藉此讓中繼節點212與進階基地台節點213可以根據屬於中繼節點212的安全管理金鑰KASME 獲得屬於中繼節點212的進階基地台節點金鑰KeNB 。關於RRC信息的描述可以參照第三代行動通訊技術標準,故不再贅述。除此之外,RRC信息可以不經過網際網路協定連結來傳輸。
在步驟S2112中,中繼節點212執行金鑰獲取函數,以根據獲得屬於中繼節點212的進階基地台節點金鑰KeNB 獲得屬於中繼節點212的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
在步驟S2113中,進階基地台節點213執行金鑰獲取函數,以根據獲得屬於中繼節點212的進階基地台節點金鑰KeNB 獲得屬於中繼節點212的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
步驟S2113與步驟S2112的順序並沒有任何的限定。另外,在步驟S2111需執行於步驟S2113與S2112之前的前提下,圖10中步驟S2112與S2113的執行順序可以任意排定。
步驟S213執行於步驟S212之後,也就是在安全性連結SA211建立後,才被動地建立安全性連結SA212,以便中繼節點212與進階基地台節點213的資料傳輸使用。據此,稱步驟S212與步驟S213為一種中繼節點212被動提供安全性連結SA212的安全性方法。
步驟S213與步驟S211相同,且步驟S213所包括的步驟S2131~S2133與步驟S211所包括的步驟S2111~S2113亦相同,故不再贅述。要說明的是,步驟S2132與步驟S2133的執行順序並不限定。除此之外,在圖15的實施例中,安全性連結SA212也同樣地提供群組安全性。
另外,上述實施步驟S211或S213的方式亦可以不傳送屬於中繼節點212的進階基地台節點金鑰KeNB 。在步驟S211或S213中,中繼節點212在與進階基地台節點213進行互信後,中繼節點212使用無線乘載傳輸來傳送RRC信息給進階基地台節點213,以藉此讓進階基地台節點213可以獲得屬於中繼節點212的用戶平面加密金鑰KUP enc 、無線資源控制加密金鑰KRRC enc 與無線資源控制完整性金鑰KRRC int
請參照圖16,圖16繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。長期演進技術系統23包括用戶設備231、中繼節點232、進階基地台節點233與行動管理單元/服務閘道器234。在這個示範實施例中,而且S1介面終止於中繼節點232。換言之,中繼節點232並無法直接透過S1介面與行動管理單元/服務閘道器234進行通訊。
步驟S232與圖14步驟S221相同,且步驟S232所包括的各步驟S2321~S2123也與步驟S221所包括的各步驟S2211~2213相同,因此便不再說明重複的內容。在執行完步驟S232之後,進階基地台節點233與用戶設備231可以建立安全性連結SA231。
圖16的提供了一種通透(transparent)的安全性方法,在圖16中,中繼節點232並不處理認為加密或解密的工作。中繼節點232僅會單純且直接地將接收到的加密資料轉換給用戶設備231與進階基地台節點233。圖16的安全性方法可以讓中繼節點232的硬體成本與設計複雜度大大地降低。
綜上所述,本發明示範實施例提供用於具有中繼節點之無線通訊系統的多種安全性方法,這些安全性方法提供了中繼節點與用戶設備之間的安全性連結,以及中繼節點與進階基地台節點之間的安全性連結。如此,透過中繼節點幫忙進行資料傳輸的用戶設備與進階基地台節點之間的安全性連結可以被建立。除此之外,上述多種安全性方法的部份還可以降低中繼節點之硬體成本與設計複雜度,或者提供較高的安全性與群組安全性等。
雖然本發明已以示範實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,故本發明之保護範圍當視後附之申請專利範圍所界定者為準。
1、3~9、20~23‧‧‧長期演進技術系統
17‧‧‧演進通用陸地無線接取網
11、31、41、51、61、71、81、91、201、211、221、231‧‧‧用戶設備
42、52、62、72、82、92、202、212、222、232‧‧‧中繼節點
12~14、32、43、53、63、73、83、93、203、213、223、233‧‧‧進階基地台節點
15、16、33、44、54、64、74、84、94、204、214、224、234‧‧‧行動管理單元/服務閘道器
34‧‧‧家用用戶伺服器
S31~S34、S311~S313、S321~S323、S331、S334、S41~S44、S51~S54、S61、S62、S611~S613、S621~S623、S71~S73、S711~S713、S721~S723、S731~S733、S81~S83、S811~S813、S821、S822、S91~S93、S921~S923、S201、S2011~S2014、S20121~S20123、S20131、、S211~S213、S2111~S2113、S2121~S2123、S2131~S2133、S20132、S221~S223、S2211~S2213、S2221、S2222、S231、S2311~S2313、S9500~S9502、S9510~S9515、S9520~S9526‧‧‧步驟流程
SA41、SA42、SA51、SA52、SA61、SA62、SA71、SA72、SA81、SA82、SA91、SA92、SA201、SA202、SA211、SA212、SA221、SA222、SA231‧‧‧安全性連結
圖1繪示長期演進技術系統的系統示意圖。
圖2繪示長期演進技術通訊系統中之金鑰的階層示意圖。
圖3繪示長期演進技術系統的安全性方法之流程圖。
圖4繪示了中繼節點與進階基地台節點之間的安全性問題之示意圖。
圖5繪示了中繼節點與進階基地台節點之間的另一種安全性問題之示意圖。
圖6繪示本發明一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。
圖7繪示本發明一示範實施例的認證與金鑰承認程序之流程圖。
圖8繪示本發明一示範實施例的非接取層安全性模式指令程序之流程圖。
圖9繪示本發明一示範實施例的接取層安全性模式指令程序之流程圖。
圖10繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。
圖11繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。
圖12繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。
圖13繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。
圖14繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。
圖15繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。
圖16繪示本發明另一示範實施例的用於具有中繼節點之無線通訊系統的安全性方法之流程示意圖。
6...長期演進技術系統
61...用戶設備
62...中繼節點
63...進階基地台節點
64...行動管理單元/服務閘道器
S61、S62、S611~S613、S621~S623...步驟流程
SA61、SA62...安全性連結

Claims (39)

  1. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該中繼節點協助該用戶設備與該無線通訊系統之一服務閘道器進行認證,並藉此建立該用戶設備與該中繼節點之間的一第一安全性連結;以及該中繼節點透過該基地台節點的協助,建立該中繼節點與該基地台之間的一第二安全性連結,其中建立該第一安全性連結的步驟包括:該用戶設備透過該中繼節點的協助,與該服務閘道器執行一第一認證程序;該用戶設備透過該中繼節點的協助,與該服務閘道器執行一第一遠端資料安全性模式指令程序,以使得該用戶設備與該服務閘道器之間的資料獲得安全性保護;以及該用戶設備與該中繼節點執行一第一近端資料安全性模式指令程序,以完成該第一安全性連結的建立,而使該用戶設備與該中繼節點之間的資料獲得安全性保護。
  2. 如申請專利範圍第1項所述之安全性方法,其中該無線通訊系統為一長期演進技術系統,且該第一認證程序為一第一認證與金鑰承認程序,該第一遠端資料安全性模式指令程序為一第一非接取層安全性模式指令程序,且該第一近端資料安全性模式指令程序為一第一接取層安全性模式指令程序。
  3. 如申請專利範圍第2項所述之安全性方法,其中在該第一認證與金鑰承認程序執行後,該中繼節點與該服務閘道器獲得屬於該用戶設備的一第一安全管理金鑰;在該第一非接取層安全性模式指令程序執行後,該中繼節點與該服務閘道器根據該第一安全管理金鑰獲得屬於該用戶設備的一第一非接取層加密金鑰與一第一非接取層完整性金鑰,且該中繼節點與該基地台節點獲得屬於該用戶設備的一第一基地台節點金鑰;在該第一接取層安全性模式指令程序執行後,該中繼節點與該基地台節點根據該第一基地台節點金鑰獲得屬於該用戶設備的一第一無線資源控制加密金鑰、一第一無線資源控制完整性金鑰與一第一用戶平面加密金鑰。
  4. 如申請專利範圍第1項所述之安全性方法,其中該中繼節點透過該基地台的協助與該服務閘道器認證,並藉此建立該第二安全性連結。
  5. 如申請專利範圍第1項所述之安全性方法,其中建立該第二安全性連結的步驟包括:該中繼節點透過該基地台的協助,與該服務閘道器執行一第二認證程序;該中繼節點透過該基地台的協助,與該服務閘道器執行一第二遠端資料安全性模式指令程序,以使得中繼節點與該服務閘道器之間的資料獲得安全性保護;以及該中繼節點與該基地台執行一第二近端資料安全性模式指令程序,以完成該第二安全性連結的建立,而使該 中繼節點與該基地台之間的資料獲得安全性保護。
  6. 如申請專利範圍第5項所述之安全性方法,其中該無線通訊系統為一長期演進技術系統,且該第二認證程序為一第二認證與金鑰承認程序,該第二遠端資料安全性模式指令程序為一第二非接取層安全性模式指令程序,且該第二近端資料安全性模式指令程序為一第二接取層安全性模式指令程序。
  7. 如申請專利範圍第6項所述之安全性方法,其中在該第二認證與金鑰承認程序執行後,該用戶設備與該服務閘道器獲得屬於該中繼節點的一第二安全管理金鑰;在該第二非接取層安全性模式指令程序執行後,該用戶設備與該服務閘道器根據該第二安全管理金鑰獲得屬於該中繼節點的一第二非接取層加密金鑰與一第二非接取層完整性金鑰,且該用戶設備與該中繼節點獲得屬於該中繼節點的一第二基地台節點金鑰;在該第二接取層安全性模式指令程序執行後,該用戶設備與該中繼節點根據該第二基地台節點金鑰獲得屬於該中繼節點的一第二無線資源控制加密金鑰、一第二無線資源控制完整性金鑰與一第二用戶平面加密金鑰。
  8. 如申請專利範圍第5項所述之安全性方法,其中該第二安全性連結支援一群組安全性。
  9. 如申請專利範圍第1項所述之安全性方法,其中建立該第二安全性連結的步驟包括:該中繼節點與該基地台之間透過一傳輸介面傳輸一 傳輸控制信息,以使該中繼節點與該基地台節點獲得屬於該中繼節點的一第二基地台節點金鑰;該基地台節點執行一金鑰獲取函數,以根據該第二基地台節點金鑰獲得屬於該中繼節點的一第二無線資源控制加密金鑰、一第二無線資源控制完整性金鑰與一第二用戶平面加密金鑰;以及該中繼節點執行該金鑰獲取函數,以根據該第二基地台節點金鑰獲得該第二無線資源控制加密金鑰、該第二無線資源控制完整性金鑰與該第二用戶平面加密金鑰。
  10. 如申請專利範圍第9項所述之安全性方法,其中該無線通訊系統為一長期演進技術系統,當該傳輸介面為一S1介面時,該傳輸控制信息為一S1-AP信息,當該傳輸介面為一X2介面時,該傳輸控制信息為一X2-AP信息。
  11. 如申請專利範圍第9項所述之安全性方法,其中該第二安全性連結支援一群組安全性。
  12. 如申請專利範圍第1項所述之安全性方法,其中建立該第二安全性連結的步驟包括:該中繼節點與該基地台之間透過一傳輸介面傳輸一傳輸控制,以使該基地台節點在不獲得屬於該中繼節點的一第二基地台節點金鑰的情況下,獲得屬於該中繼節點的一第二無線資源控制加密金鑰、一第二無線資源控制完整性金鑰與一第二用戶平面加密金鑰。
  13. 如申請專利範圍第12項所述之安全性方法,其中該無線通訊系統為一長期演進技術系統,當該傳輸介面為 一S1介面時,該傳輸控制信息為一S1-AP信息,當該傳輸介面為一X2介面時,該傳輸控制信息為一X2-AP信息。
  14. 如申請專利範圍第12項所述之安全性方法,其中該第二安全性連結支援一群組安全性。
  15. 如申請專利範圍第1項所述之安全性方法,其中建立該第二安全性連結的步驟包括:該中繼節點與該基地台之間透過一傳輸介面傳輸一傳輸控制信息,以使該基地台節點獲得屬於該用戶設備的一第一基地台節點金鑰;該基地台節點執行一金鑰獲取函數,以根據該第一基地台節點金鑰獲得屬於該用戶設備的一第一無線資源控制加密金鑰、一第一無線資源控制完整性金鑰與一第一用戶平面加密金鑰。
  16. 如申請專利範圍第15項所述之安全性方法,其中該無線通訊系統為一長期演進技術系統,當該傳輸介面為一S1介面時,該傳輸控制信息為一S1-AP信息,當該傳輸介面為一X2介面時,該傳輸控制信息為一X2-AP信息。
  17. 如申請專利範圍第1項所述之安全性方法,其中建立該第二安全性連結的步驟包括:該中繼節點與該基地台之間透過一傳輸介面傳輸一傳輸控制信息,以使該基地台節點在不需要獲得屬於該用戶設備的一第一基地台節點金鑰的情況下,獲得屬於該用戶設備的一第一無線資源控制加密金鑰、一第一無線資源控制完整性金鑰與一第一用戶平面加密金鑰。
  18. 如申請專利範圍第17項所述之安全性方法,其中該無線通訊系統為一長期演進技術系統,當該傳輸介面為一S1介面時,該傳輸控制信息為一S1-AP信息,當該傳輸介面為一X2介面時,該傳輸控制信息為一X2-AP信息。
  19. 如申請專利範圍第3項所述之安全性方法,其中建立該第二安全性連結的步驟包括:在該服務閘道器將該第一基地台節點金鑰傳送給該中繼節點的同時,複製一份該第一基地台節點金鑰給該基地台節點;以及該基地台節點執行一金鑰獲取函數,以根據該第一基地台節點金鑰獲得該第一無線資源控制加密金鑰、該第一無線資源控制完整性金鑰與該第一用戶平面加密金鑰。
  20. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該用戶設備透過該基地台節點的協助,與該無線通訊系統的一服務閘道器進行認證,並藉此建立該用戶設備與該基地台節點之間的一第一安全性連結;以及該中繼節點透過該基地台節點的協助,建立該中繼節點與該基地台之間的一第二安全性連結,其中建立該第一安全性連結的步驟包括:該用戶設備透過該基地台節點的協助,與該服務閘道器執行一第一認證程序;該用戶設備透過該基地台節點的協助,與該服務閘道 器執行一第一遠端資料安全性模式指令程序,以使該用戶設備與該服務閘道器之間的資料獲得安全性保護;以及該用戶設備與該基地台節點執行一第一近端資料安全性模式指令程序,以完成該第一安全性連結的建立,而使該用戶設備與該基地台之間的資料獲得安全性保護。
  21. 如申請專利範圍第20項所述之安全性方法,其中該無線通訊系統為一長期演進技術系統,且該第一認證程序為一第一認證與金鑰承認程序,該第一遠端資料安全性模式指令程序為一第一非接取層安全性模式指令程序,且該第一近端資料安全性模式指令程序為一第一接取層安全性模式指令程序。
  22. 如申請專利範圍第21項所述之安全性方法,其中在該第一認證與金鑰承認程序執行後,該基地台節點與該服務閘道器獲得屬於該用戶設備的一第一安全管理金鑰;在該第一非接取層安全性模式指令程序執行後,該基地台節點與該服務閘道器根據該第一安全管理金鑰獲得屬於該用戶設備的一第一非接取層加密金鑰與一第一非接取層完整性金鑰,且該基地台節點與該用戶設備獲得屬於該用戶設備的一第一基地台節點金鑰;在該第一接取層安全性模式指令程序執行後,該基地台節點與該用戶設備根據該第一基地台節點金鑰獲得屬於該用戶設備的一第一無線資源控制加密金鑰、一第一無線資源控制完整性金鑰與一第一用戶平面加密金鑰。
  23. 如申請專利範圍第19項所述之安全性方法,其中 建立該第二安全性連結的步驟包括:該基地台節點與該中繼節點之間透過一無線承載傳輸來傳輸一NAS信息,以使該中繼節點獲得屬於該用戶設備的一第一基地台節點金鑰;該中繼節點執行一金鑰獲取函數,以根據該第一基地台節點金鑰獲得屬於該用戶設備的一第一無線資源控制加密金鑰、一第一無線資源控制完整性金鑰與一第一用戶平面加密金鑰。
  24. 如申請專利範圍第19項所述之安全性方法,其中建立該第二安全性連結的步驟包括:該基地台節點與該中繼節點之間透過一無線承載傳輸來傳輸一NAS信息,以使該中繼節點在不需要獲得屬於該基地台節點的一第一基地台節點金鑰的情況下,獲得屬於該基地台節點的一第一無線資源控制加密金鑰、一第一無線資源控制完整性金鑰與一第一用戶平面加密金鑰。
  25. 如申請專利範圍第19項所述之安全性方法,其中建立該第二安全性連結的步驟包括:該基地台節點與該中繼節點之間透過一無線承載傳輸來傳輸一RRC信息,以使該中繼節點獲得屬於該中繼節點的一第二基地台節點金鑰;該中繼節點執行一金鑰獲取函數,以根據該第二基地台節點金鑰獲得屬於該中繼節點的一第二無線資源控制加密金鑰、一第二無線資源控制完整性金鑰與一第二用戶平面加密金鑰。
  26. 如申請專利範圍第25項所述之安全性方法,其中該第二安全性連結支援一群組安全性。
  27. 如申請專利範圍第19項所述之安全性方法,其中建立該第二安全性連結的步驟包括:該基地台節點與該中繼節點之間透過一無線承載傳輸來傳輸一RRC信息,以使該中繼節點在不需要獲得屬於該中繼節點的一第二基地台節點金鑰的情況下,獲得屬於該中繼節點的一第二無線資源控制加密金鑰、一第二無線資源控制完整性金鑰與一第二用戶平面加密金鑰。
  28. 如申請專利範圍第27項所述之安全性方法,其中該第二安全性連結支援一群組安全性。
  29. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的一安全性連結,該安全性方法包括:該用戶設備透過該基地台節點的協助,與該無線通訊系統的一服務閘道器進行認證,並藉此建立該用戶設備與該基地台節點之間的該安全性連結;以及該中繼節點不處理該用戶設備與該基地台節點之間的一資料之一加解密工作,該中繼節點通透地轉送該資料。
  30. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該中繼節點透過該基地台節點與該無線通訊系統之一服務閘道器進行認證,以獲得屬於該中繼節點的一第一 安全管理金鑰;該中繼節點進行一第一遠端資料安全性模式指令程序,以使得該中繼節點依據該第一安全管理金鑰獲得屬於該中繼節點的一第一遠端資料加密金鑰、一第一遠端資料完整性金鑰與一第一基地台節點金鑰;該中繼節點進行一第一近端資料安全性模式指令程序,以使得該中繼節點依據該第一基地台節點金鑰獲得屬於該中繼節點的一第一近端資料加密金鑰、一第一近端控制信號加密金鑰與一第一近端控制信號完整性金鑰,以據此建立該中繼節點該基地台節點之間的一第一安全性連結;該中繼節點協助該用戶設備與該服務閘道器進行認證,以使該用戶設備獲得屬於該用戶設備的一第二安全管理金鑰;在該用戶設備進行一第二遠端資料安全性模式指令程序後,該中繼節點獲得屬於該用戶設備的一第二基地台金鑰,其中該第二基地台節點金鑰根據該第二安全管理金鑰產生;以及在該用戶設備進行一第二近端資料安全性模式指令程序後,該中繼節點依據該第二基地台節點金鑰獲得屬於該用戶設備的一第二近端資料加密金鑰、一第二近端控制信號加密金鑰、一第二近端控制信號完整性金鑰,以據此建立該用戶設備與該中繼節點之間的一第二安全性連結。
  31. 一種用於一無線通訊系統的安全性方法,用以提 供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該基地台節點透過該基地台節點與該中繼節點之間的一傳輸介面,獲得屬於該中繼節點的一第一基地台節點金鑰,以藉此讓該中繼節點與該基地台節點依據該第一基地台節點金鑰獲得屬於該中繼節點的一第一近端資料加密金鑰、一第一近端控制信號加密金鑰與一第一近端控制信號完整性金鑰,而藉此完成該中繼節點與該基地台節點之間的一第一安全性連結,其中該第一基地台節點金鑰是該中繼節點根據屬於該中繼節點的一第一安全管理金鑰進行一第一遠端資料安全性模式指令程序所產生;該中繼節點協助該用戶設備與該無線通訊系統之一服務閘道器進行認證,以使該用戶設備獲得屬於該用戶設備的一第二安全管理金鑰;在該用戶設備進行一第二遠端資料安全性模式指令程序後,該中繼節點獲得屬於該用戶設備的一第二基地台金鑰,其中該第二基地台節點金鑰根據該第二安全管理金鑰產生;以及在該用戶設備進行一第二近端資料安全性模式指令程序後,該中繼節點依據該第二基地台節點金鑰獲得屬於該用戶設備的一第二近端資料加密金鑰、一第二近端控制信號加密金鑰、一第二近端控制信號完整性金鑰,以據此建立該用戶設備與該中繼節點之間的一第二安全性連結。
  32. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台 節點之間的多個安全性連結,該安全性方法包括:該中繼節點協助該用戶設備與該無線通訊系統之一服務閘道器進行認證,以使該用戶設備獲得屬於該用戶設備的一安全管理金鑰;在該用戶設備進行一遠端資料安全性模式指令程序後,該中繼節點獲得屬於該用戶設備的一基地台金鑰,其中該基地台節點金鑰根據該安全管理金鑰產生;在該用戶設備進行一近端資料安全性模式指令程序後,該中繼節點依據該基地台節點金鑰獲得屬於該用戶設備的一近端資料加密金鑰、一近端控制信號加密金鑰與一近端控制信號完整性金鑰,以據此建立該用戶設備與該中繼節點之間的一第一安全性連結;以及該基地台節點透過該基地台節點與該中繼節點之間的一傳輸介面,獲得該基地台節點金鑰,以藉此讓該基地台節點依據該基地台節點金鑰獲得該近端資料加密金鑰、該近端控制信號加密金鑰與該近端控制信號完整性金鑰,而藉此完成該中繼節點與該基地台節點之間的一第二安全性連結。
  33. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的一安全性連結,該安全性方法包括:該中繼節點協助該用戶設備與該無線通訊系統之一服務閘道器進行認證,以使該用戶設備獲得屬於該用戶設備的一安全管理金鑰; 在該用戶設備進行一遠端資料安全性模式指令程序後,該中繼節點獲得屬於該用戶設備的一基地台金鑰,其中該基地台節點金鑰根據該安全管理金鑰產生;在該用戶設備進行一近端資料安全性模式指令程序後,該中繼節點依據該基地台節點金鑰獲得屬於該用戶設備的一近端資料加密金鑰、一近端控制信號加密金鑰與一近端控制信號完整性金鑰,以據此建立該用戶設備與該中繼節點之間的該安全性連結;以及該基地台節點透過該基地台節點與該中繼節點之間的一傳輸介面,獲得該近端資料加密金鑰、該近端控制信號加密金鑰與該近端控制信號完整性金鑰,而藉此完成該中繼節點與該基地台節點之間的一第二安全性連結。
  34. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該基地台節點透過該基地台節點與該中繼節點之間的一傳輸介面,獲得屬於該中繼節點的一第一近端資料加密金鑰、一第一近端控制信號加密金鑰與一第一近端控制信號完整性金鑰,而藉此完成該中繼節點與該基地台節點之間的一第一安全性連結,其中屬於該中繼節點的一第一基地台節點金鑰是該中繼節點根據屬於該中繼節點的一第一安全管理金鑰進行一第一遠端資料安全性模式指令程序所產生,且該第一近端資料加密金鑰、該第一近端控制信號加密金鑰與該第一近端控制信號完整性金鑰是根據該第一基地台節點金鑰所產生; 該中繼節點協助該用戶設備與該無線通訊系統之一服務閘道器進行認證,以使該用戶設備獲得屬於該用戶設備的一第二安全管理金鑰;在該用戶設備進行一第二遠端資料安全性模式指令程序後,該中繼節點獲得屬於該用戶設備的一第二基地台金鑰,其中該第二基地台節點金鑰根據該第二安全管理金鑰產生;以及在該用戶設備進行一第二近端資料安全性模式指令程序後,該中繼節點依據該第二基地台節點金鑰獲得屬於該用戶設備的一第二近端資料加密金鑰、一第二近端控制信號加密金鑰、一第二近端控制信號完整性金鑰,以據此建立該用戶設備與該中繼節點之間的一第二安全性連結。
  35. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該中繼節點協助該用戶設備與該無線通訊系統之一服務閘道器進行認證,以使該用戶設備獲得屬於該用戶設備的一安全管理金鑰;在該用戶設備進行一遠端資料安全性模式指令程序後,該中繼節點獲得屬於該用戶設備的一基地台金鑰,其中該基地台節點金鑰根據該安全管理金鑰產生;在該用戶設備進行一近端資料安全性模式指令程序後,該中繼節點依據該基地台節點金鑰獲得屬於該用戶設備的一近端資料加密金鑰、一近端控制信號加密金鑰與一 近端控制信號完整性金鑰,以據此建立該用戶設備與該中繼節點之間的一第一安全性連結;在該用戶設備進行該遠端資料安全性模式指令程序時,基地台節點提取根據該安全管理金鑰所產生的該基地台節點金鑰;以及該基地台節點依據該基地台節點金鑰獲得該近端資料加密金鑰、該近端控制信號加密金鑰與該近端控制信號完整性金鑰,而藉此完成該中繼節點與該基地台節點之間的一第二安全性連結。
  36. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該用戶設備透過該基地台節點與該無線通訊系統之一服務閘道器進行認證,以獲得屬於該用戶設備的一安全管理金鑰;該用戶設備進行一遠端資料安全性模式指令程序,以使得該用戶設備依據該安全管理金鑰獲得屬於該用戶設備的一遠端資料加密金鑰、一遠端資料完整性金鑰與一基地台節點金鑰;該用戶設備進行一近端資料安全性模式指令程序,以使得該用戶設備依據該基地台節點金鑰獲得屬於該用戶設備的一近端資料加密金鑰、一近端控制信號加密金鑰與一近端控制信號完整性金鑰,以據此建立該用戶設備與該基地台節點之間的一第一安全性連結;以及 該中繼節點透過該基地台節點與該中繼節點之間的一傳輸介面,獲得該近端資料加密金鑰、該近端控制信號加密金鑰與該近端控制信號完整性金鑰,而藉此完成該中繼節點與該基地台節點之間的一第二安全性連結。
  37. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該用戶設備透過該基地台節點與該無線通訊系統之一服務閘道器進行認證,以獲得屬於該用戶設備的一安全管理金鑰;該用戶設備進行一遠端資料安全性模式指令程序,以使得該用戶設備依據該安全管理金鑰獲得屬於該用戶設備的一遠端資料加密金鑰、一遠端資料完整性金鑰與一基地台節點金鑰;該用戶設備進行一近端資料安全性模式指令程序,以使得該用戶設備依據該基地台節點金鑰獲得屬於該用戶設備的一近端資料加密金鑰、一近端控制信號加密金鑰與一近端控制信號完整性金鑰,以據此建立該用戶設備與該基地台節點之間的一第一安全性連結;以及該中繼節點透過該基地台節點與該中繼節點之間的一傳輸介面,獲得該基地台節點金鑰,以使該中繼節點根據該基地台節點金鑰獲得該近端資料加密金鑰、該近端控制信號加密金鑰與該近端控制信號完整性金鑰,而藉此完成該中繼節點與該基地台節點之間的一第二安全性連結。
  38. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該用戶設備透過該基地台節點與該無線通訊系統之一服務閘道器進行認證,以獲得屬於該用戶設備的一第一安全管理金鑰;該用戶設備進行一第一遠端資料安全性模式指令程序,以使得該用戶設備依據該第一安全管理金鑰獲得屬於該用戶設備的一第一遠端資料加密金鑰、一第一遠端資料完整性金鑰與一第一基地台節點金鑰;該用戶設備進行一第一近端資料安全性模式指令程序,以使得該用戶設備依據該第一基地台節點金鑰獲得屬於該用戶設備的一第一近端資料加密金鑰、一第一近端控制信號加密金鑰與一第一近端控制信號完整性金鑰,以據此建立該用戶設備與該基地台節點之間的一第一安全性連結;以及該基地台節點透過該基地台節點與該中繼節點之間的一傳輸介面,獲得屬於該中繼節點的一第二基地台節點金鑰,以藉此讓該中繼節點與該基地台節點依據該第二基地台節點金鑰獲得屬於該中繼節點的一第二近端資料加密金鑰、一第二近端控制信號加密金鑰與一第二近端控制信號完整性金鑰,而藉此完成該中繼節點與該基地台節點之間的一第二安全性連結,其中該第二基地台節點金鑰是根據屬於該中繼節點的一第二安全管理金鑰所產生。
  39. 一種用於一無線通訊系統的安全性方法,用以提供該無線通訊系統之一用戶設備、一中繼節點與一基地台節點之間的多個安全性連結,該安全性方法包括:該用戶設備透過該基地台節點與該無線通訊系統之一服務閘道器進行認證,以獲得屬於該用戶設備的一安全管理金鑰;該用戶設備進行一遠端資料安全性模式指令程序,以使得該用戶設備依據該安全管理金鑰獲得屬於該用戶設備的一遠端資料加密金鑰、一遠端資料完整性金鑰與一基地台節點金鑰;該用戶設備進行一近端資料安全性模式指令程序,以使得該用戶設備依據該基地台節點金鑰獲得屬於該用戶設備的一近端資料加密金鑰、一近端控制信號加密金鑰與一近端控制信號完整性金鑰,以據此建立該用戶設備與該基地台節點之間的一第一安全性連結;以及該中繼節點不處理該用戶設備與該基地台節點之間的資料之一加解密工作,該中繼節點通透地轉送該資料。
TW099126476A 2009-08-14 2010-08-09 用於具有中繼節點之無線通訊系統的安全性方法 TWI430674B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/855,720 US8605904B2 (en) 2009-08-14 2010-08-13 Security method in wireless communication system having relay node

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US23399109P 2009-08-14 2009-08-14

Publications (2)

Publication Number Publication Date
TW201132143A TW201132143A (en) 2011-09-16
TWI430674B true TWI430674B (zh) 2014-03-11

Family

ID=43787772

Family Applications (1)

Application Number Title Priority Date Filing Date
TW099126476A TWI430674B (zh) 2009-08-14 2010-08-09 用於具有中繼節點之無線通訊系統的安全性方法

Country Status (2)

Country Link
CN (1) CN101998392B (zh)
TW (1) TWI430674B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI699666B (zh) * 2015-03-18 2020-07-21 新加坡商策安保安有限公司 經由邊界閘道器進行資訊安全性威脅干擾的系統和方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905389B (zh) * 2012-12-26 2017-05-24 华为终端有限公司 基于中继设备的安全关联、数据传输方法及装置、系统
CN108112013B (zh) * 2013-03-13 2020-12-15 华为技术有限公司 数据的传输方法、装置和系统
CN106375989B (zh) * 2015-07-20 2019-03-12 中兴通讯股份有限公司 实现接入层安全的方法及用户设备和无线接入小节点
CN107104977B (zh) * 2017-05-23 2020-07-31 北京天德科技有限公司 一种基于sctp协议的区块链数据安全传输方法
CN109150899B (zh) * 2018-09-18 2021-03-16 恒宝股份有限公司 一种物联网移动通信方法及系统
CN113766494B (zh) * 2020-05-27 2024-06-28 维沃移动通信有限公司 密钥获取方法、装置、用户设备及网络侧设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101040544B (zh) * 2004-11-02 2013-01-23 捷讯研究有限公司 Plmn环境中的通用接入网(gan)控制器的选择
CA2642822C (en) * 2006-03-31 2013-01-15 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers
CN101500229B (zh) * 2008-01-30 2012-05-23 华为技术有限公司 建立安全关联的方法和通信网络系统
CN101500230B (zh) * 2008-01-30 2010-12-08 华为技术有限公司 建立安全关联的方法和通信网络

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI699666B (zh) * 2015-03-18 2020-07-21 新加坡商策安保安有限公司 經由邊界閘道器進行資訊安全性威脅干擾的系統和方法

Also Published As

Publication number Publication date
CN101998392A (zh) 2011-03-30
TW201132143A (en) 2011-09-16
CN101998392B (zh) 2013-08-21

Similar Documents

Publication Publication Date Title
US8605904B2 (en) Security method in wireless communication system having relay node
TWI430674B (zh) 用於具有中繼節點之無線通訊系統的安全性方法
JP2018521566A (ja) 分散されたコンフィギュレータエンティティ
US10904753B2 (en) Systems and methods for authentication
JP6727294B2 (ja) ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
EP2421292B1 (en) Method and device for establishing security mechanism of air interface link
CN109644134A (zh) 用于大型物联网组认证的系统和方法
EP3700124B1 (en) Security authentication method, configuration method, and related device
CN109804651A (zh) 通过独立的非3gpp接入网络的核心网络附接
CN107852407A (zh) 用于集成小型小区和Wi‑Fi网络的统一认证
US11109206B2 (en) Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment
JP2018523950A (ja) 直接通信キーの確立のための方法および装置
US20120096263A1 (en) Security service control method and wireless local area network terminal
US10542570B2 (en) System and method for relaying data over a communication network
KR20220019703A (ko) 릴레이 장치에서 인증을 위한 키를 동적으로 프로비저닝하는 방법
JP2018526846A (ja) ワイヤレスデバイスのコンフィギュレーションおよび認証
JP6471039B2 (ja) 無線通信システムおよび無線端末
CN105592433A (zh) 设备到设备限制发现业务广播、监听方法、装置及系统
WO2014117524A1 (zh) Wlan接入网络中传递成对主密钥的方法和系统
WO2015064475A1 (ja) 通信制御方法、認証サーバ及びユーザ端末
WO2018010561A1 (zh) 一种接入核心网的控制方法及装置
CN102036237B (zh) 一种无线城域网的安全接入方法