WO2009094942A1

WO2009094942A1 - Procédé et système de réseau de communication pour établir une conjonction de sécurité

Info

Publication number: WO2009094942A1
Application number: PCT/CN2009/070273
Authority: WO
Inventors: Xiaoying Xu; Jing Chen
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2008-01-30
Filing date: 2009-01-22
Publication date: 2009-08-06
Also published as: CN101500229B; CN101926151A; CN101500229A; CN101926151B

Description

建立安全关联的方法和通信网络系统本申请要求于 2008 年 1 月 30 日提交中国专利局，申请号为 200810065263.5 , 发明名称为"建立安全关联的方法和通信网络系统" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及无线通信领域，尤其涉及一种建立安全关联的方法和通信网络系统。背景技术

为了提高链路预算和蜂窝系统的覆盖，用户终端可以通过中继站来接收服务，中继站的引入衍生了空中接口的新功能，并进一步增强了系统的分布式处理特性。中继站的部署可以提升系统的无线接入性能，可以覆盖阴影区域，扩大基站的有线覆盖半径，增强特定区域数据速率。

在长期演进 ( Long Term Evolution, LTE ) 系统之后的进一步演进中，无线接入技术自身进行多方位的强化，其中，无线中继站是其中一个重要方向。由于在 LTE 系统中引入了中继站，因此，终端和网络之间建立安全关联的过程不可避免地涉及到中继站。 LTE系统中的安全保护分为接入网和核心网两部分，因此，需要保证引入中继站后的 LTE系统设计的复杂性和安全性，并利用中继系统的良好特性，实现优良的移动通信系统。

如图 1所示，在电气电子工程师协会 ( Institute of Electrical and Electronics Engineers , IEEE ) 16j标准中介绍了关于终端通过中继与网络侧建立安全关联的方法，具体如下：

终端通过中继站向网络侧进行同步和注册，通过公共密钥管理协议，与鉴权服务器获得基本密钥序列（Master Session Key, MSK ); 鉴权服务器把 MSK发送给基站，基站根据该 MSK派生得到鉴权密钥（ Authentication Key, AK );

基站通过中继站将该鉴权密钥发送给终端；

终端和中继站通过三方握手的方式同步 AK, ^据 AK派生得到数据加密密钥（Traffic Encryption Key , TEK ) 的加密密钥（Key Encryption Key , KEK ) , TEK由基站产生；

终端和中继站之间通过 TEK请求过程获得 TEK。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：在现有的 LTE系统中， LTE系统的密钥比 IEEE 16j系统中的安全密钥多，而且密钥产生的过程比较复杂，因此，当 LTE 系统引入中继站后，没有适合的建立终端和网络之间的安全关联的方法，也不适用采用现有技术中的安全流程来建立终端与网络之间的安全关联。发明内容

本发明实施例提供了一种建立终端和网络侧安全关联的方法网络侧，在 LTE演进系统中引入中继站后，在终端和网络之间建立安全关联。

本发明实施例提供一种建立终端和网络侧安全关联的方法，包括：接收由中继站转发终端发送的接入请求消息；根据所述接入请求消息对终端鉴权认证后获得共享根密钥；选择安全算法，所述安全算法为所述终端和网络侧支持的算法；并根据所述共享根密钥派生基站密钥；通过所述中继站向所述终端发送安全模式命令，所述安全模式命令中包含所述安全算法。

本发明实施例还公开了一种通信网络系统，包括：第一接收单元，用于接收由中继站转发终端发送的接入请求消息；密钥获取单元，用于根据所述第一接收单元接收到的接入请求消息对终端鉴权认证后获得共享根密钥；选择单元，用于选择安全算法，所述安全算法为所述终端和网络侧都支持的算法；派生单元，用于根据所述密钥获取单元得到的共享根密钥派生基站密钥；第一发送单元，用于通过所述中继站向终端发送安全模式命令，所述安全模式命令中包含所述选择单元选择的安全算法。

与现有技术相比，本发明实施例具有以下优点：

根据本发明实施例提供的方案，网络侧在接收到终端通过中继站发送的接入请求后，选择用于建立安全关联的安全算法，并通过中继站向所述终端发送安全模式命令，在所述安全模式命令中包括所选择的安全算法，终端在得到安全算法后，与网络侧建立安全关联，解决了 LTE 系统中引入中继站后，终端与网络侧之间建立安全关联的问题，而且本发明实施例提供的技术方案继承了 LTE系统的安全机制，在基本不改变现有的安全机制下和不增加系统复杂度的前提下，保证了加入中继站后的移动通信系统的安全性。附图说明

图 1所示为现有技术中 IEEE 16j标准中终端与网络侧建立安全关联的方法示意图；

图 2 所示为本发明第一实施例中终端与网络侧建立安全关联的方法示意图；

图 3 所示为本发明第二实施例中终端与网络侧建立安全关联的方法示意图；

图 4 所示为本发明第三实施例中终端与网络侧建立安全关联的方法示意图；

图 5 所示为本发明第四实施例中终端与网络侧建立安全关联的方法示意图；

图 6 所示为本发明第五实施例中终端与网络侧建立安全关联的方法示意图；

图 7为本发明第六实施例中一种通信网络系统的结构示意图。具体实施例下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了使本发明的具体技术方案、发明目的更加清楚，下面结合具体的实施例和附图作进一步说明。

参照图 2, 介绍本发明第一实施例，关于一种建立终端和网络侧安全关联的方法，该方法优先应用于 LTE 系统及其演进系统中。具体包括：

步骤 201：接收由中继站转发终端发送的接入请求消息。

步骤 202: 根据所述接入请求消息对终端鉴权认证后获得共享根密钥。

步骤 203: 选择安全算法，所述安全算法为所述终端和网络侧支持的算法。

步骤 204: 根据所述共享根密钥派生基站密钥。

步骤 205: 通过所述中继站向所述终端发送安全模式命令，所述安全模式命令中包含所述安全算法。

通过本实施例提供的方法，网络侧在接收到终端通过中继站发送的接入请求后，选择用于建立安全关联的安全算法，并通过中继站向所述终端发送安全模式命令，在所述安全模式命令中包括所选择的安全算法，终端在得到安全算法后，就可以与网络侧建立安全关联，解决了 LTE 系统中引入中继站后，终端与网络侧之间建立安全关联的问题，而且本发明实施例提供的技术方案继承了 LTE 系统的安全机制，在基本不改变现有的安全机制下和不增加系统复杂度的前提下，保证了加入中继站后的移动通信系统的安全性。

参照图 3, 介绍本发明第二实施例，关于一种建立终端和网络侧安全关联的方法。在该实施例中，终端为初次接入网络（ detached to active ), 具体过程包括：步骤 301: 终端向中继站发送接入请求消息，该接入请求消息中包括终端能力和终端身份。

终端能力可以包括终端自身所支持的算法。终端身份可以为临时移动用户识别号码（ Temporary Mobile Subscriber Identify, TMSI )或国际移动用户识别号码 ( International Mobile Subscriber Identity , IMSI )等表示终端身份的标识。

步骤 302: 中继站将终端发送的接入请求消息发送给基站。

步骤 303: 基站接收到中继站发送的接入请求消息后，将该接入请求消息转发给移动管理实体；基站在转发时，还可以将基站自身的基站能力告知移动管理实体，基站能力可以包括基站自身所支持的算法。

步骤 304: 移动管理实体将接收到的接入请求消息中的中继标识发送给归属用户服务器。

步骤 305: 归属用户服务器根据终端身份生成鉴权向量，该鉴权向量用于终端和网络侧之间的交互认证，包括随机数 RAND、期望响应 XRES ( EXpected user RESponse ), 鉴权符号 AUTN ( AUTN = SQNIIAMFIIMAC ), 共享根密钥（Key Access System Management Entity, Kasme )。

步骤 306: 归属用户服务器在生成鉴权向量之后，将鉴权向量发送给移动管理实体。

步骤 307: 移动管理实体将随机数 RAND和鉴权符号 AUTN发送给基站。

步骤 308: 基站将接收到的随机数 RAND和鉴权符号 AUTN发送给中继站。

步骤 309: 中继站将接收到的随机数 RAND和鉴权符号 AUTN 发送给终端。

步骤 310：终端验证 AUTN , 终端计算期望完整性校验码 XMAC = f ( SQNIIRANDIIAMF ), 若等于 AUTN中的完整性校验码 MAC, 并且序列号 SQN在有效范围，则认为对网络鉴权成功，若验证成功，则根据 RAND计算得到响应值 RES。

步骤 311 : 终端向中继站发送响应消息，响应消息中包含 RES。步骤 312: 中继站将终端发送的响应消息发送给基站。

步骤 313: 基站将接收到的响应消息发送给移动管理实体。

步骤 314: 移动管理实体验证 RES是否和鉴权向量中的 XRES 相同，如果相同，则通过对终端的认证，终端和移动管理实体获得共享根密钥 Kasme。

步骤 315: 移动管理实体根据终端能力和基站能力，选择安全算法，所述安全算法为所述终端和网络侧都支持的算法，包括接入层安全算法，接入层安全算法可以包括无线资源控制（Radio Resource Control, RRC )算法和用户面（User Plane, UP ) 算法等；可以根据移动管理实体选择的安全算法以及共享根密钥 Kasme派生得到基站密钥。

所述安全算法还可以包括：非接入层（ Non- Access Stratum, NAS ) 算法。

步骤 316: 移动管理实体发送安全算法和基站密钥。

所述安全算法和基站密钥可以包含在移动管理实体发送给基站的消息中。

步骤 317: 基站发送安全算法和完整性校验码发送给中继站。所述安全算法和完整性校验码可以包含在安全模式命令中。

基站在发送安全算法时，可以通过基站密钥对将发送的内容进行安全保护，生成完整性校验码，并将该完整性校验码发送给中继站。

步骤 318: 中继站将接收到的安全算法和完整性校验码发送给终端。

步骤 319: 终端接收到安全算法和完整性校验码后，对中继站转发的消息进行完整性验证，验证成功后，向中继站发送验证确认消息。

步骤 320: 中继站向基站发送接收到的验证确认消息。

步骤 321 : 基站将接收到的验证确认消息发送给移动管理实体。步骤 322: 移动管理实体接收到验证确认消息后，至此，终端和基站之间完成了安全算法协商和密钥协商，完成了安全关联的建立。在本实施例中，可选的，在步骤 302中，中继站在发送接入请求消息时，可以将自身的中继能力发送给移动管理实体，则在步骤 315 中，移动管理实体可以根据终端能力、中继能力和基站能力进行选择安全算法。

在本实施例步骤 301至步骤 322所提供的方案中，中继站没有终端和基站之间的安全关联，也没有关于终端的任何信息，中继站仅仅透明地传送终端和网络侧之间的消息。本实施例还可以进一步包括以全关联，以建立终端和中继站之间的安全关联，使得终端和中继站之间的通信更加安全。

步骤 323:基站向中继站发送终端和基站建立的安全关联密钥（如 RRC密钥和 UP密钥）以及安全算法（如 RRC算法和 UP算法 ), 该安全关联密钥由基站生成；中继站和基站之间发送的消息可以通过中继站和基站之间的安全关联进行保护，中继站和基站之间的安全关联是中继站和基站之间预先存在的，由中继站在接入网络后确立，用以保护基站和中继站之间发送信息的安全。

步骤 324: 中继站收到基站发送的密钥和相关算法后，使用中继站和基站间建立的安全关联做校验，向基站返回确认消息。

本实施例中，如果中继站具有产生小区无线网络临时标识（ Radio Network Temporary Identifier, C-RNTI ) 的功能，则步骤 323中，基站可向中继站发送基站密钥以及安全算法，如 RRC算法和 UP算法；中继站和基站之间发送的消息可以通过中继站和基站之间的安全关联进行保护。在步骤 324中，中继站接收到基站发送的基站密钥和算法后，根据基站密钥和 C-RNTI派生得到安全关联密钥，如 RRC密钥和 UP密钥，中继站和基站之间发送的消息可以通过中继站和基站之间的安全关联进行保护。在这种情况下，中继站获得的与终端之间建立的安全关联与基站和中继站之间的安全关联不同，当中继站接收到终端发送的消息时，中继站需要首先根据中继站和终端之间的安全关联进行解密，然后利用中继站和基站之间的安全关联进行重新加密，再进行转发；同样，当中继站接收到基站发送的消息时，首先根据中继站和基站之间的安全关联进行解密，然后利用中继站和终端之间的安全关联进行加密，再发送给终端。

步骤 323和步骤 324中，中继站被动地从基站接收消息，并获得终端与网络侧的安全关联，该方法中，中继站可以主动向基站请求获取相关安全关联，因此，步骤 323和步骤 324可以分别为步骤 323，和步骤 324，，具体如下：

步骤 323，：中继站向基站发送终端安全关联请求，请求基站发送终端和基站已经建立好的安全关联相关信息，中继站和基站之间发送的消息可以通过中继站和基站之间的安全关联进行保护。

步骤 324，：基站向中继站发送请求回应消息，该消息中包含安全算法，如 RRC算法和 UP算法，以及基站生成的安全关联密钥，如 RRC密钥和 UP密钥；若该中继站可以产生 C-RNTI, 基站可以不直接发送 RRC密钥和 UP密钥，而在该回应消息中包含安全算法和基站密钥。中继站根据接收到的信息，可以获得终端和基站之间的安全关联信息。

参照图 4, 下面介绍本发明第三实施例，关于建立终端和网络侧安全关联的方法，在本实施例中，终端已经经过初始接入网络，处于空闲状态进入激活状态的过程 ( idle to active ), 该方法包括：

步骤 401：终端通过中继站向网络侧发送接入请求消息，该消息中包括 TMSI、和共享根密钥标识符（ Key Set Identifier Access System Management Entity, KSIasme ), 由于终端已经接入过网络，网络侧设备都已经获知终端的终端能力，因此，在接入请求消息中可以不包括终端能力，除非终端能力发生更改。

步骤 402至步骤 414可以参照第二实施例中步骤 302至步骤 314 描述的内容。

步骤 415: 移动管理实体根据共享根密钥派生基站密钥。

步骤 416: 移动管理实体将基站密钥发送给基站。步骤 417: 基站发送安全模式命令给中继站，并在该命令中包含安全算法和完整性校验码。

步骤 418: 中继站将接收到的安全算法和完整性校验码发送给终端。

步骤 419:终端接收到中继站发送的安全算法和完整性校验码后，对中继站转发的消息进行完整性验证，验证成功后，终端向中继站发送马全证确认消息。

步骤 420: 中继站向基站转发验证确认消息。

步骤 421: 基站接收到验证确认消息后，进行安全校验，则终端和基站之间完成了安全算法和密钥协商。

步骤 422: 基站发送确认消息给移动管理实体，告知其安全关联建立。

在本实施例步骤 401至步骤 422所提供的方案中，中继站不存在终端和基站之间的安全关联，中继站仅仅透明地传送终端和基站之间的消息。本实施例还可以进一步包括以下步骤，可以使得本实施例中的中继站可以获得终端和基站之间的安全关联：

步骤 423: 基站向中继站发送基站自身生成的安全关联密钥，如 RRC密钥和 UP密钥，以及安全算法，如 RRC算法和 UP算法；中继站和基站之间发送的消息可以通过中继站和基站之间的安全关联进行保护。

步骤 424: 中继站收到基站发送的密钥和算法后，使用中继站和基站间建立的安全关联做校验，向基站返回确认信息。

本实施例中，如果中继站具有产生 C-RNTI的功能，则步骤 423 中，基站可向中继站发送基站密钥以及安全算法，如 RRC算法和 UP 算法；中继站和基站之间发送的消息可以通过中继站和基站之间的安全关联进行保护。在步骤 424中，中继站接收到基站发送的基站密钥和算法后，根据基站密钥和 C-RNTI派生得到安全关联密钥，如 RRC 密钥和 UP密钥，中继站和基站之间发送的消息可以通过中继站和基站之间的安全关联进行保护。在这种情况下，中继站获得的与终端之间建立的安全关联与基站和中继站之间的安全关联不同，当中继站接收到终端发送的消息时，中继站需要首先根据中继站和终端之间的安全关联进行解密，然后利用中继站和基站之间的安全关联进行重新加密，再进行转发；同样，当中继站接收到基站发送的消息时，首先根据中继站和基站之间的安全关联进行解密，然后利用中继站和终端之间的安全关联进行加密，再发送给终端。

步骤 423和步骤 424中，中继站被动地从基站接收消息，并获得终端与网络侧的接入层安全关联信息，该方法中，中继站可以主动向基站请求获取相关安全关联，因此，步骤 423和步骤 424可以分别为步骤 423，和步骤 424，，具体如下：

步骤 423，：中继站向基站发送终端安全关联请求，请求基站发送终端和基站已经建立好的安全关联密钥，中继站和基站之间发送的消息可以通过中继站和基站之间的安全关联进行保护。

步骤 424，：基站向中继站发送请求回应消息，该消息中包含安全算法，如 RRC算法和 UP算法，以及基站生成的安全关联密钥，如 RRC密钥和 UP密钥；若该中继站可以产生 C-RNTI, 基站可以不直接发送安全关联密钥，而在该回应消息中包含安全算法和基站密钥。中继站根据基站密钥和 C-RNTI派生得到安全关联密钥，如 RRC 密钥和 UP密钥，从而可以获得和终端之间的安全关联。

下面介绍本发明第四实施例，如图 5所示，关于终端和基站建立安全关联的方法，根据本实施例提供的技术方案，可以加快整个系统建立安全关联的时间，本实施例包含步骤 501至步骤 522, 与第二实施例中的步骤 301至步骤 322基本相同，区别在于在步骤 517中，基站在将安全算法和完整性校验码发送给中继站的同时，将基站自身生成的安全关联密钥，如 RRC密钥和 UP密钥，发送给中继站；在步骤 520中，中继站转发终端确认命令的同时，还发送中继站接收到终端安全关联的确认消息。

若该中继站具备产生 C-RNTI的功能，则在步骤 517中，基站将安全算法和完整性校验码发送给中继站的同时，将基站密钥发送给中继站，中继站可以根据基站密钥和 C-RNTI派生得到安全关联密钥；在步骤 520中，中继站转发终端确认命令的同时，还发送中继站接收到终端安全关联的确认消息。

在本实施例中，实现了终端和基站之间建立安全关联同时，也实现终端和中继站之间安全关联的建立，因此，节省了整个系统建立安全关联的时间。

下面介绍本发明第五实施例，如图 6 所示，本实施例包含步骤 601至步骤 622, 与第三实施例中的步骤 401至步骤 422基本相同，区别在于在步骤 617中，基站在发送安全模式命令的同时，把基站自身生成的安全关联密钥，如 RRC密钥和 UP密钥，发送给中继站；在步骤 620中，中继站转发终端确认命令的同时，还发送中继站接收到终端安全关联信息的确认消息。

若该中继站具备产生 C-RNTI的功能，则在步骤 617中，基站在发送安全模式命令的同时，将基站密钥发送给中继站，中继站可以根据基站密钥和 C-RNTI派生得到安全关联密钥；在步骤 620中，中继站转发终端确认命令的同时，还发送中继站接收到终端安全关联的确认消息。

本发明实施例提供的技术方案，解决了 LTE 系统中引入中继站后，终端经过中继站和基站实现安全关联的建立的问题，不仅可以使得终端通过中继站与基站建立安全关联，进一步，可以建立终端和中继站之间的安全关联，从而使得整个系统的通信更加安全，同时，还可以节省在 LTE 中继系统中建立安全关联的时间。另外，本发明实施例提供的技术方案继承了 LTE 系统的安全机制，在基本不改变现有的安全机制下，融合了中继站的转发特征和分布式特性，在不增加系统复杂度的前提下，保证了加入中继站后的移动通信系统的安全性。本发明第六实施例，参照图 7, 关于一种通信网络系统 700, 包括第一接收单元 701 , 用于接收由中继站转发终端发送的接入请求消息；密钥获取单元 702, 用于根据所述第一接收单元 701接收到的接入请求消息对终端鉴权认证后获得共享根密钥；选择单元 703, 用于选择安全算法，所述安全算法为所述终端和基站都支持的算法；派生单元 704, 用于根据所述密钥获取单元 702得到的共享根密钥派生基站密钥；第一发送单元 705, 用于通过中继站向终端发送安全模式命令，所述安全模式命令中包含选择单元 703选择的安全算法。

进一步，第一接收单元 701还用于接收终端通过中继站发送的验证确认消息。

以上实施例提供的方案中，中继站没有终端和基站之间的安全关联，也没有关于终端的任何信息，中继站仅仅透明地传送终端和基站之间的消息，优选的，该通信网络系统还包括第二发送单元和第二接收单元；派生单元还用于生成网络侧安全关联密钥；

第二发送单元用于在第一接收单元接收到终端发送的验证确认消息后，发送安全算法和网络侧安全关联密钥给中继站；

第二接收单元用于接收中继站发送的确认消息，所述确认消息为所述中继站在根据安全算法、安全关联密钥，得到和终端之间的安全关联密钥后向网络侧发送的确认消息。安全关联，以建立终端和中继站之间的安全关联，使得终端和中继站之间的通信更加安全。

如果中继站可以产生 C-RNTI, 则在建立中继站和终端之间的安全关联时，优选的，该通信网络系统还可以包括第三发送单元和第三接收单元，

第三发送单元用于在第一接收单元接收到终端发送的验证确认消息后，发送安全算法和基站密钥给中继站，所述中继站产生 C-RNTI;

第三接收单元用于接收中继站发送的确认消息，所述确认消息为所述中继站在根据 C-RNTI以及接收到的基站密钥和安全算法得到和所述终端之间的安全关联密钥后向网络侧发送的确认消息。

中继站除了可以被动地接收通信网络系统发送的相关安全关联信息外，还可以主动地向通信网络系统请求相关安全关联信息，优选的，该通信网络系统还包括第四发送单元和第四接收单元；

第四接收单元用于接收中继站发送的终端安全关联请求；派生单元还用于生成网络侧安全关联密钥；

第四发送单元用于向中继站发送请求回应消息，该消息包括安全算法和网络侧的安全关联密钥。

当中继站可以产生 C-RNTI时，当通信网络系统接收到中继站的请求时，可以不直接发送安全关联密钥，而是发送基站密钥，优选的，该通信网络系统还包括第五发送单元和第五接收单元；

第五接收单元用于接收中继站向网络侧发送的终端安全关联请求；

第五发送单元用于向中继站发送请求回应消息，该消息包括安全算法和基站密钥；

第五接收单元还用于接收中继站在根据 C-RNTI以及接收到的基站密钥和安全算法得到终端的安全关联密钥后向基站发送的确认消息。

通过本发明实施例提供通信网络系统，可以使得在 LTE演进系统中实现终端通过中继站与网络侧之间建立安全关联，并且进一步可以建立终端和中继站之间的安全关联，使得通信更加安全，另外，本发明实施例提供的技术方案继承了 LTE 系统的安全机制，在基本不改变现有的安全机制下和不增加系统复杂度的前提下，保证了加入中继站后的移动通信系统的安全性。

通过以上的实施例的描述，本领域的技术人员可以清楚地了解到本发明，可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是 CD-ROM, U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求

1、一种建立安全关联的方法，其特征在于，包括：

接收由中继站转发终端发送的接入请求消息；

根据所述接入请求消息对终端鉴权认证后获得共享根密钥；选择安全算法，所述安全算法为所述终端和网络侧支持的算法；根据所述共享根密钥派生基站密钥；

通过所述中继站向所述终端发送所述安全算法。

2、如权利要求 1所述建立安全关联的方法，其特征在于，所述通过所述中继站向所述终端发送安全模式命令的步骤之后，还包括：接收所述中继站转发终端发送的验证确认消息。

3、如权利要求 2所述建立安全关联的方法，其特征在于，所述通过所述中继站向所述终端发送所述安全算法，包括：

基站通过中继站向终端发送安全模式命令，所述安全模式命令包括所述安全算法。

4、如权利要求 2所述建立安全关联的方法，其特征在于，当所述接入请求消息为初始接入请求消息 ,所述通过所述中继站向所述终端发送所述安全算法，包括：

移动管理实体向基站发送安全模式命令；

基站接收到所述安全模式命令后，通过中继站向终端发送所述安全模式命令，所述安全命令中包括所述安全算法。

5、如权利要求 3或 4所述建立安全关联的方法，其特征在于，在接收所述中继站转发终端发送的验证确认消息之后，还包括：所述基站向所述中继站发送安全模式命令，所述安全模式命令包括所述安全算法，和由所述基站生成的安全关联密钥；所述基站接收所述中继站发送的确认消息，所述确认消息为所述中继站在根据所述安全算法、安全关联密钥，得到和所述终端之间的安全关联密钥后向基站发送的消息；或

所述基站接收中继站发送的终端安全关联请求；所述基站向中继站发送请求回应消息 ,该消息包括安全算法和基站生成的安全关联密钥。

6、如权利要求 3或 4所述建立安全关联的方法，其特征在于，当所述中继站产生小区无线网络临时标识 C-RNTI时，在接收所述中继站转发终端发送的验证确认消息之后，还包括：

所述基站发送基站密钥和安全模式命令，所述安全模式命令包括所述安全算法，给所述中继站；所述基站接收所述中继站发送的确认消息，所述确认消息为所述中继站在根据所述 C-RNTI以及接收到的基站密钥和安全算法得到和所述终端之间的安全关联密钥后向基站发送的消息；或

所述基站接收所述中继站向基站发送的终端安全关联请求；所述基站向所述中继站发送请求回应消息，该消息包括安全算法和基站密钥；所述基站接收所述中继站发送的确认消息，所述确认消息为所述中继站在根据所述 C-RNTI以及接收到的基站密钥和安全算法得到和所述终端之间的安全关联密钥后向基站发送的消息。

7、如权利要求 3或 4所述建立安全关联的方法，其特征在于，所述基站通过所述中继站向终端发送安全模式命令时，还发送所述基站生成的安全关联密钥。

8、如权利要求 3或 4所述建立安全关联的方法，其特征在于，当所述中继站产生 C-RNTI时，所述基站通过所述中继站向终端发送安全模式命令时，还发送基站密钥。

9、一种通信网络系统，其特征在于，包括：

第一接收单元，用于接收由中继站转发终端发送的接入请求消息；

密钥获取单元，用于根据所述第一接收单元接收到的接入请求消息对终端鉴权认证后获得共享根密钥；

选择单元，用于选择安全算法，所述安全算法为所述终端和网络侧都支持的算法；

派生单元，用于根据所述密钥获取单元得到的共享根密钥派生基站密钥；择的安全算法。

10、如权利要求 9所述的通信网络系统，其特征在于，所述第一接收单元还用于接收所述终端通过所述中继站发送的验证确认消息。

11、如权利要求 10所述的通信网络系统，其特征在于，所述系统还包括第二发送单元和第二接收单元；所述派生单元还用于生成安全关联密钥；

所述第二发送单元用于在所述第一接收单元接收到所述终端发送的验证确认消息后，发送安全模式命令，所述安全模式命令包括所述安全算法，和安全关联密钥给所述中继站；

所述第二接收单元用于接收所述中继站发送的确认消息，所述确认消息为所述中继站在根据所述安全算法、安全关联密钥，得到和所述终端之间的安全关联密钥后向网络侧发送的消息。

12、如权利要求 10所述的通信网络系统，其特征在于，所述系统还包括第三发送单元和第三接收单元；

所述第三发送单元用于在所述第一接收单元接收到所述终端发送的验证确认消息后，发送安全模式命令，所述安全模式命令包括所述安全算法，和基站密钥给所述中继站，所述中继站产生 C-RNTI; 所述第三接收单元用于接收所述中继站发送的确认消息，所述确认消息为所述中继站在根据所述 C-RNTI以及接收到的基站密钥和安全算法得到和所述终端之间的安全关联密钥后向网络侧发送的消息。

13、如权利要求 10所述的通信网络系统，其特征在于，所述系统还包括第四发送单元和第四接收单元；

所述第四接收单元用于接收所述中继站发送的终端安全关联请求；所述派生单元还用于生成网络侧安全关联密钥；

所述第四发送单元用于向所述中继站发送请求回应消息，该消息包括安全算法和网络侧的安全关联密钥。

14、如权利要求 10所述的通信网络系统，其特征在于，所述网络侧还包括第五发送单元和第五接收单元；

所述第五接收单元用于接收所述中继站向网络侧发送的终端安全关联请求；

所述第五发送单元用于向所述中继站发送请求回应消息，该消息包括安全算法和基站密钥。