CN101800981A - 动态安全关联的管理方法及一种通讯实体 - Google Patents
动态安全关联的管理方法及一种通讯实体 Download PDFInfo
- Publication number
- CN101800981A CN101800981A CN201010104374A CN201010104374A CN101800981A CN 101800981 A CN101800981 A CN 101800981A CN 201010104374 A CN201010104374 A CN 201010104374A CN 201010104374 A CN201010104374 A CN 201010104374A CN 101800981 A CN101800981 A CN 101800981A
- Authority
- CN
- China
- Prior art keywords
- communication entity
- security association
- dynamic security
- message
- dsa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供动态安全关联的管理方法及一种通讯实体,旨在解决现有技术中通讯实体对动态安全关联的支持能力不能通过协商获取以及对动态安全关联进行管理需通过和其他流程配合完成的问题。所述方法包括:第一通讯实体对动态安全关联进行操作,并将操作事件通过操作消息发送至第二通讯实体;所述第一通讯实体接收来自第二通讯实体的确认消息;所述第一通讯实体根据所述确认消息对所述动态安全关联进行相应处理。基于本发明,第一通讯实体和第二通讯实体可以获知彼此的能力,建立良好的配合,从而使用DSA更好地对业务流进行保护。
Description
技术领域
本发明涉及无线接入网领域,具体涉及动态安全关联的管理方法及一种通讯实体。
背景技术
安全关联(Security Association,SA)是通讯实体,例如基站(Base Station,BS)和用户站(Subscriber Station,SS)之间共享的一系列安全信息参数集,用于确保通讯实体之间的通信安全,安全关联内容包括SA标识(SecurityAssociation IDentifier,SA ID)、安全关联类型(Security Association Type,SAT)、加密套件(Cryptographic Suite,CS)和业务流加密密钥参数(TrafficEncryption Key Parameter,TEKP)等等,其中,TEKP包括业务流加密密钥(Traffic Encryption Key,TEK)、TEK生命周期、TEK序列号和初始化向量等等。数据业务在进行加密或者鉴权过程中,使用TEK来进行数据加密和鉴权。为了实现TEK的长期维护更新和业务的连续性,通常由一个SA管理两个TEK及其属性。
在SA定义的基本SA、静态SA和动态SA这三种关联类型中,动态安全关联(Dynamic Security Association,DSA)是一种比较灵活的安全关联技术,其与动态业务流相联系。在建立动态业务流之前,通过创建一个DSA就可以更好地对业务流进行保护。动态安全关联也可以在空闲的时候创建或消除,以初始化或终止特殊的业务流。因此,与主要安全关联(Primary Security Association,PSA)和静态安全关联(Static Security Association,SSA)这两种类型的安全关联相比,DSA更加受到业界的关注。
然而,现有的全球微波接入互通(Worldwide Interoperability of MicrowaveAccess,WiMAX)技术方案只定义了DSA的创建流程;IEEE802.16e协议中,DSA的支持能力也不能通过协商获取,只能在厂家对其生产的通讯实体投入实用之前通过对接测试或通过WiMAX论坛的约束来规定通讯实体是否支持DSA。如此,功能支持能力不同的通讯实体之间的配合将出现问题,例如,对于旧有的用户站或未经过对接测试的用户站,基站在功能配合使用上将会无法兼容。按照现有的WiMAX技术方案,即使创建了一个DSA,通讯实体也无法获知是否创建成功,或者,在创建一个新的DSA后却没有相应的删除、修改旧有DSA等流程。因此,无论是创建新的DSA还是释放旧有的安全关联都需要通过和其他流程配合完成。
发明内容
本发明实施例提供动态安全关联的管理方法及一种通讯实体,旨在解决现有技术中通讯实体对动态安全关联的支持能力不能通过协商获取以及对动态安全关联进行管理需通过和其他流程配合完成的问题。
一种动态安全关联的管理方法,包括:第一通讯实体对动态安全关联进行操作,并将操作事件通过操作消息发送至第二通讯实体;所述第一通讯实体接收来自第二通讯实体的确认消息;所述第一通讯实体根据所述确认消息对所述动态安全关联进行相应处理。
一种通讯实体,包括:操作模块,用于对动态安全关联进行操作,并将操作事件通过操作消息发送至第二通讯实体;接收模块,用于接收来自所述第二通讯实体的确认消息;处理模块,用于根据所述确认消息对所述动态安全关联进行相应处理。
一种动态安全关联的管理方法,包括:第二通讯实体接收第一通讯实体发送的用于与所述第二通讯实体协商操作动态安全关联的协商消息;所述第二通讯实体根据所述协商消息和自身能力参数对所述动态安全关联进行操作,并向所述第一通讯实体发送响应消息;所述第二通讯实体接收来自所述第一通讯实体针对所述响应消息所发送的确认消息,若所述确认消息表示所述第一通讯实体接受所述第二通讯实体对所述动态安全关联的操作,则所述第二通讯实体根据所述确认消息对所述动态安全关联进行相应处理。
一种通讯实体,包括:接收模块,用于接收第一通讯实体发送的用于与所述通讯实体协商操作动态安全关联的协商消息;操作模块,用于根据所述协商消息和自身能力参数操作所述动态安全关联并向所述第一通讯实体发送响应消息;处理模块,用于接收来自所述第一通讯实体针对所述响应消息所发送的确认消息,在所述确认消息表示所述基站接受所述通讯实体对所述动态安全关联的操作时,根据所述确认消息对所述操作之后的动态安全关联进行相应处理。
本发明实施例通过第一通讯实体操作某一动态安全关联,将操作事件通过操作消息发送至第二通讯实体并接收操作消息的确认消息,第一通讯实体根据该确认消息对某一动态安全关联进行相应处理。由于本发明的技术方案使通讯实体一方(基站或用户终端)在针对某一动态安全关联DSA操作时,可以让通讯实体另一方及时获知操作事件并反馈相应的消息,并不需要生产厂商提前进行对接测试。基于这些操作,第一通讯实体和第二通讯实体可以获知彼此的能力,建立良好的配合,从而使用DSA更好地对业务流进行保护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种动态安全关联的管理方法基本流程示意图;
图2是本发明实施例二提供的一种动态安全关联的管理方法基本流程示意图;
图3是本发明实施例提供的创建某一DSA时第一通讯实体和第二通讯实体之间的交互示意图;
图4是本发明实施例提供的修改某一DSA时第一通讯实体和第二通讯实体之间的交互示意图;
图5是本发明实施例提供的删除某一DSA时第一通讯实体和第二通讯实体之间的交互示意图;
图6是本发明实施例一提供的一种通讯实体基本逻辑结构示意图;
图7是本发明实施例二提供的一种通讯实体基本逻辑结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,本发明实施例一提供的一种动态安全关联的管理方法,包括:
步骤S101,第一通讯实体对动态安全关联进行操作,并将操作事件通过操作消息发送至第二通讯实体。
在本实施例中,第一通讯实体(例如,基站)对DSA进行操作可以是创建某一DSA、修改某一DSA或删除某一DSA。第一通讯实体在完成这些操作后,将操作事件通过操作消息发送至第二通讯实体(例如,用户终端或用户站SS)。第二通讯实体在接收到上述操作消息后,针对该操作消息发送一个确认消息,表明其是接受还是拒绝第一通讯实体对DSA所执行的操作。
密钥可以在上述操作消息中作为安全关联属性的一部分下发下去,也可通过单独的消息进行传递。密钥通过单独的消息传递时,可以通过请求/应答或主动发送/回复确认的两握手流程来完成,更严密的流程可以通过请求/响应/确认的三握手流程完成。
以第一通讯实体创建某一DSA为例。第一通讯实体创建某一DSA成功后,如果启动加密功能,则启动TEK状态机,在给对端实体发送加密和解密的TEK密钥后才可启用数据的加密解密功能。第一通讯实体向第二通讯实体发送的创建所述DSA的操作消息,例如SA_Addition消息,指明所创建DSA的相关属性。在本实施例中,SA_Addition消息格式可以如下表1所示:
表1
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识创建此DSA握手信令过程的事务标识 |
| Key Sequence Number | 创建此DSA时生成的鉴权密钥序列号 |
| (one or more)SA-Descriptor(s) | 一个或多个DSA描述参数,每个DSA包括安全 |
| 关联标识、安全关联类型、安全关联业务类型、加密套件、业务加密密钥、密钥生存时间等属性 | |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
SA_Addition消息还可以包括帧号(Frame Number),帧号用于指示第一通讯实体和第二通讯实体将于该帧号表示的帧的到达时刻启用新建的DSA。如果不带帧号则表示从收到对端实体的确认消息的时刻开始使用新建的DSA。
以第一通讯实体修改某一DSA为例。第一通讯实体修改某一DSA之后,并不立即启用修改之后的DSA。第一通讯实体将修改DSA这一操作事件通过操作消息,例如,SA_Change消息发送至第二通讯实体。在本实施例中,SA_Change消息可以如下表2所示:
表2
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识修改此DSA握手信令过程的事务标识 |
| Old SAID | 旧的安全关联标识 |
| New SAID | 新的安全关联标识(修改后的安全关联标识) |
| Old SA Parameter | 旧的安全关联参数(即被修改的安全关联参数) |
| New SA Parameter | 新的安全关联参数(即修改之后的安全关联参数) |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
SA_Change消息还可以包括帧号(Frame Number),帧号用于指示第一通讯实体和第二通讯实体在帧号表示的帧的到达时刻,将原DSA更换为修改之后的DSA,即,在该帧号表示的帧到达的时刻启用修改之后的DSA。如果不带帧号则表示从收到对端实体的确认消息开始使用修改之后的DSA。
再以第一通讯实体删除某一DSA为例。第一通讯实体删除某一DSA之时或之后,将这一操作事件通过操作消息,例如,SA_Delete消息发送至第二通讯实体。在本实施例中,SA_Delete消息可以如下表3所示:
表3
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识删除此DSA握手信令过程的事务标识 |
| SAID | 被删除的DSA的安全标识 |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
SA_Delete消息至少包含被删除的DSA的标识。
第一通讯实体向第二通讯实体发送用于删除动态安全关联的删除消息(例如,SA_Delete消息)的同时即停止使用被删除的DSA中的TEK的加密功能并保持解密功能,直到接收到第二通讯实体发送并表示接受删除该DSA的确认消息才停用解密功能,释放TEK状态机。
SA_Delete消息还可以包括帧号(Frame Number),帧号用于指明第一通讯实体和第二通讯实体将于该帧号表示的帧的到达时刻删除DSA,即,在该帧号表示的帧开始的时刻停止使用DSA。如果不带帧号则表示从收到对端通讯实体的确认消息的时刻开始删除动态安全关联。
此外,在本实施例中,第一通讯实体操作某一动态安全关联并将操作事件通过操作消息发送至第二通讯实体后,第一通讯实体等待第二通讯实体对所述操作消息的确认消息。若在等待定时器超时前收到确认消息,则停止等待定时器;若等待定时器超过设定的时间,第一通讯仍未收到第二通讯实体的确认消息,则第一通讯实体重复向第二通讯实体发送操作消息并重启等待定时器。若超过等待定时器设定的时间后仍未收到确认消息,则可以再次重发操作消息,直至重复发送的次数超过设定的次数。
步骤S102,第一通讯实体接收来自第二通讯实体的确认消息。
以第一通讯实体创建某一DSA、发送SA_Addition消息为例。第一通讯实体创建某一DSA并发送SA_Addition消息至第二通讯实体时,第二通讯实体根据自身的能力反馈至第一通讯实体的确认消息SA_ACK可以如下表4所示:
表4
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识创建此DSA握手信令过程的事务标识 |
| SA ID | 创建的DSA的安全关联标识 |
| Conformation Code | 表示确认的状态 |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
其中,Conformation Code属性项用来指明是否接受第一通讯实体创建某一DSA,如不接受则通过错误原因码(ErrCode)指明不接受的原因。
以第一通讯实体修改某一DSA,发送SA_Change消息为例。第一通讯实体修改某一DSA并将这一操作事件通过操作消息(例如,SA_Change消息)发送给第二通讯实体后,第二通讯实体根据自身的能力向第一通讯实体反馈确认消息SA_ACK,其中指明是否接受第一通讯实体修改该DSA,如不接受则通过错误原因码(ErrCode)指明不接受的原因,例如,可以是SA标识对应的DSA不存在或SA标识对应的DSA正在使用而不允许修改等等。
再以第一通讯实体删除某一DSA,发送SA_Delete消息为例。第一通讯实体删除某一DSA之后,将这一操作事件通过操作消息(例如,SA_Delete消息)发送至第二通讯实体。第二通讯实体根据自身的能力向第一通讯实体反馈确认消息SA_ACK,其中指明是否接受第一通讯实体删除该DSA,如不接受则通过错误原因码(ErrCode)指明不接受的原因,例如,可以是SA标识对应的DSA不存在或SA标识指定的DSA正在使用而不允许删除等等。
步骤S103,第一通讯实体根据确认消息对动态安全关联进行相应处理。
以第一通讯实体创建某一DSA,发送SA_Addition消息为例。如果第二通讯实体确认此次创建的DSA,如果启动加密功能,则启动业务流加密密钥TEK状态机,对数据加密并将加密/解密密钥发送至第二通讯实体;如果第二通讯实体拒绝此次创建的DSA,则第一通讯实体根据第二通讯实体反馈的SA_ACK消息中的错误原因码(ErrCode)进行相应处理,例如,中断与第二通讯实体的后续交互流程。
以第一通讯实体修改某一DSA,发送SA_Change消息为例。如果第二通讯实体确认此次修改的DSA,则第一通讯实体在收到SA_Change消息的确认消息后,在SA_Change消息指定的帧号(Frame Number)表示的帧的到达时刻将原DSA更换修改之后的DSA,即,在所述帧号表示的帧到达时启用修改之后的DSA;如果启动加密功能,则启动业务流加密密钥TEK状态机。如果SA_Change消息没有携带帧号,则第一通讯实体在收到确认消息那一帧开始启用修改后的DSA,同样第二通讯实体在发送确认消息的那一帧开始启用修改后的DSA。
再以第一通讯实体删除某一DSA,发送SA_Delete消息为例。如果第二通讯实体接受此次DSA删除,在SA_Delete消息指定的帧号(Frame Number)表示的帧的到达时刻删除DSA,即,在所述帧号表示的帧到达时业务停用要删除的DSA;如果启动加密功能,则同样停止删除业务流加密密钥TEK状态机。如果SA_Delete消息没有携带帧号,则第一通讯实体在收到SA_Delete消息的确认消息后,第一通讯实体停用所述被删除的DSA中的业务流加密密钥TEK的解密功能并释放所述业务流加密密钥TEK状态机。
从上述本发明实施例一可知,本发明的技术方案使通讯实体一方在针对某一DSA操作时,可以让通讯实体另一方及时获知操作事件并反馈相应的消息,并不需要生产厂商提前进行对接测试。基于这些操作,第一通讯实体和第二通讯实体可以获知彼此的能力,建立良好的配合,从而使用DSA更好地对业务流进行保护。
请参阅图2,本发明实施例二提供的一种动态安全关联的管理方法基本流程示意图。在本实施例中,第二通讯实体可以为用户终端或用户站SS,第一通讯实体可以为基站。图2所示实施例二主要包括:
步骤S201,第二通讯实体接收第一通讯实体发送的用于与第二通讯实体协商操作动态安全关联的协商消息;
步骤S202,第二通讯实体根据所述协商消息和自身能力参数对所述动态安全关联进行操作,并向第一通讯实体发送响应消息;
步骤S203,第二通讯实体接收来自第一通讯实体针对响应消息所发送的确认消息,若该确认消息表示第一通讯实体接受第二通讯实体对动态安全关联的操作,则第二通讯实体对动态安全关联进行相应处理。
以下分别以创建、修改和删除某一DSA为例,通过图示第二通讯实体和第一通讯实体之间的交互,说明实施例二和实施例三的技术方案。
如图3所示,创建某一DSA时第一通讯实体和第二通讯实体之间的交互示意图,包括:
S301,第一通讯实体发送与第二通讯实体协商创建某一动态安全关联的协商消息。例如,第一通讯实体发送SA_Addition_Req消息,与第二通讯实体协商创建某一DSA,其格式可以如下表5所示:
表5
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识创建此DSA握手信令过程的事务标识 |
| 属性项 | 具体内容 |
| Random | 创建此DSA过程中新生成的随机数 |
| Key Sequence Number | 具体的鉴权密钥序列号 |
| Key Life Time | 鉴权密钥的生存时间 |
| Security-Capabilities | 安全能力,例如,支持的数据加密算法、数据鉴权算法和业务加密密钥算法列表等 |
| Security Negotiation Parameters | 安全协商参数,包括支持的协议版本、鉴权策略、消息认证模式、数据包窗口大小、流控策略和安 |
| 全关联数目等 | |
| (one or more)SA-Descriptor(s) | 安全关联描述参数,其中,每个安全关联包括安全关联标识、安全关联类型、安全关联业务类型、加密套件、业务加密密钥和密钥生存时间等属性 |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
由于通讯实体一方的能力或状态对另一方而言都是未知的,因此,第一通讯实体和第二通讯实体首先协商即将创建的某一DSA的相关属性,即,在本实施例中,SA_Addition_Req消息应该包含即将创建的某一DSA的相关属性。
S302,第一通讯实体等待第二通讯实体的响应消息;
在本实施例中,第一通讯实体在发送协商消息时可以启动一等待定时器,若该等待定时器没有超时,则第一通讯实体可以一直等待请求消息的响应消息,若等待定时器超时后还没有收到所述请求消息的响应消息,则第一通讯实体可以重新发送与第二通讯实体协商创建某一动态安全关联的协商消息并再次重新启动定时器等待定时器。若超过等待定时器设定的时间后仍未收到确认消息,则可以再次重发请求消息,直到发送请求消息的次数超过设定的重复次数。
S303,第二通讯实体接收第一通讯实体发送的与第二通讯实体协商创建某一DSA的协商消息,根据DSA的相关属性和自身能力参数创建DSA;
S304,第二通讯实体向第一通讯实体发送协商消息的响应消息;
响应消息,例如SA_Additon_Rsp消息标明第一通讯实体可以接受的DSA相关属性,即,响应消息包含了第一通讯实体自身能力参数和即将创建的某一DSA的相关属性(即第二通讯实体和第一通讯实体协商即将创建的某一DSA的相关属性)的交集,其格式可以如下表6所示:
表6
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识创建此DsA握手信令过程的事务标识 |
| Random | 新生成的随机数 |
| Key Sequence Number | 具体的鉴权密钥序列号 |
| Key Life Time | 鉴权密钥的生存时间 |
| Security Negotiation Parameters | 安全协商参数,包括支持的协议版本、鉴权策略、消息认证模式、数据包窗口大小、流控策略和安全关联数目等 |
| (one or more)SA-Descriptor(s) | 安全关联描述参数,其中,每个安全关联包括安全关联标识、安全关联类型、安全关联业务类型、加密套件、业务加密密钥和密钥生存时间等属性 |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
S305,第二通讯实体等待第一通讯实体的确认消息;
在本实施例中,第二通讯实体在发送针对协商消息的响应消息后可以启动一等待定时器,在该等待定时器超时前,第二通讯实体可以一直等待第一通讯实体的确认消息,例如,SA_Addition_ACK消息;若等待定时器超时后还没有收到第一通讯实体的确认消息,则第二通讯实体重新发送响应消息并重新启动等待定时器。若超过等待定时器设定的时间后仍未收到确认消息,则可以再次重发响应消息,直到发送响应消息的次数超过设定的重复次数。
S306,第一通讯实体向第二通讯实体发送对响应消息的确认消息,该确认消息标明第一通讯实体是否接受第一通讯实体创建的DSA,若不接受,则确认消息还应该标明不接受的原因。
S307,若确认消息标明第一通讯实体接受第二通讯实体创建DSA,则第二通讯实体启用创建的DSA的相关属性。
需要说明的是,在本实施例中,响应消息的确认消息可以携带一帧号(Frame Number),以该帧号通知第二通讯实体:在该帧号表示的帧到达之后或达到之时第一通讯实体将启用操作之后的动态安全关联的相关属性。例如,SA_Addition_ACK消息中携带帧号,则实际上是第一通讯实体通知第二通讯实体,其将在该帧号表示的帧到达第二通讯实体之后启用第二通讯实体创建的DSA的相关属性。如果确认消息没有携带帧号,则表明从发送SA_Addition_ACK消息帧起第一通讯实体立即启用第二通讯实体创建的DSA的相关属性。
请参阅图4,修改某一DSA时第一通讯实体和第二通讯实体之间的交互示意图,包括:
S401,第一通讯实体发送与第二通讯实体协商修改某一DSA的协商消息。例如,第一通讯实体发送SA_Change_Req消息,与第二通讯实体协商修改某一DSA,其格式可以如下表7所示:
表7
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识修改此DSA握手信令过程的事务标识 |
| Random | 修改此DSA过程中新生成的随机数 |
| Key Sequence Number | 具体的鉴权密钥序列号 |
| Key Life Time | 鉴权密钥的生存时间 |
| Security-Capabilities | 安全能力,例如,支持的数据加密算法、数据鉴权算法和业务加密密钥算法列表等 |
| Security Negotiation Parameters | 安全协商参数,包括支持的协议版本、鉴权策略、消息认证模式、数据包窗口大小、流控策略和安全关联数目等 |
| (one or more)SA-Descriptor(s) | 安全关联描述参数,其中,每个安全关联包括安全关联标识、安全关联类型、安全关联业务类型、加密套件、业务加密密钥和密钥生存时间等属性 |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
由于通讯实体一方的能力或状态对另一方而言都是未知的,因此,第一通讯实体和第二通讯实体首先协商即将被修改的某一DSA的相关属性,即,在本实施例中,SA_Change_Req消息应该包含所述即将被修改的某一DSA的相关属性。
S402,第一通讯实体等待第二通讯实体的响应消息;
在本实施例中,第一通讯实体在发送协商消息时可以启动一等待定时器,若该等待定时器没有超时,则第一通讯实体可以一直等待第二通讯实体的响应消息,若等待定时器超时后还没有收到请求消息的响应消息,则第一通讯实体可以重新发送与第二通讯实体协商修改某一动态安全关联的协商消息,并再次启动等待定时器。若超过等待定时器设定的时间后仍未收到确认消息,则可以再次重发请求消息,直到发送请求消息的次数超过设定的重复次数。
S403,第二通讯实体接收第一通讯实体发送的与第二通讯实体协商修改某一DSA的协商消息,根据DSA的相关属性和自身能力参数修改DSA;
S404,第二通讯实体向第一通讯实体发送响应消息;
响应消息,例如SA_Change_Rsp消息标明第二通讯实体可以接受的DSA相关属性,即,该响应消息包含了第二通讯实体自身能力参数和即将被修改的某一DSA的相关属性(即第一通讯实体和第二通讯实体协商即将修改的某一DSA的相关属性)的交集,其格式可以如下表8所示:
表8
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识修改此DSA握手信令过程的事务标识 |
| Random | 修改此DSA过程中新生成的随机数 |
| Key Sequence Number | 具体的鉴权密钥序列号 |
| Key Life Time | 鉴权密钥的生存时间 |
| Security-Capabilities | 安全能力,例如,支持的数据加密算法、数据鉴权算法和业务加密密钥算法列表等 |
| Security Negotiation Parameters | 安全协商参数,包括支持的协议版本、鉴权策略、消息认证模式、数据包窗口大小、流控策略和安全关联数目等 |
| (one or more)SA-Descriptor(s) | 安全关联描述参数,其中,每个安全关联包括安全关联标识、安全关联类型、安全关联业务类型、加密套件、业务加密密钥和密钥生存时间等属性 |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
S405,第二通讯实体等待第一通讯实体对响应消息的确认消息;
在本实施例中,第二通讯实体在发送响应消息后可以启动一等待定时器,在该等待定时器超时前,第二通讯实体可以一直等待响应消息的确认消息,例如,SA_Addition_ACK消息;若等待定时器超时后还没有收到响应消息的确认消息,则第一通讯实体重新发送请求消息的响应消息并启动等待定时器。若超过等待定时器设定的时间后仍未收到确认消息,则可以再次重发响应消息,直到发送响应消息的次数超过设定的重复次数。
S406,第一通讯实体向第二通讯实体发送确认消息,该确认消息表示第一通讯实体是否接受第二通讯实体修改的DSA,若不接受,则确认消息还应该标明不接受的原因,错误的原因例如可以是DSA的SA标识指定的DSA不存在或SA标识指定的DSA正在使用而不允许修改等等。
S407,若确认消息标明第一通讯实体接受第二通讯实体修改DSA,则第二通讯实体启用修改之后的DSA的相关属性。
需要说明的是,在本实施例中,确认消息还可以携带一帧号(FrameNumber),以该帧号通知第二通讯实体:在该帧号表示的帧到达之后或达到之时第一通讯实体将启用操作之后的动态安全关联的相关属性。例如,SA_Change_ACK消息中携带帧号,则实际上是第一通讯实体通知第二通讯实体,其将在该帧号表示的帧到达第二通讯实体之后启用第二通讯实体创建的DSA的相关属性。如果确认消息没有携带帧号,则表明从发送SA_Change_ACK消息帧起第一通讯实体立即启用第二通讯实体修改过的DSA的相关属性。
请参阅图5,删除某一DSA时第二通讯实体和第一通讯实体之间的交互示意图,包括:
S501,第一通讯实体发送与第二通讯实体协商删除某一DSA的协商消息。例如,第一通讯实体发送SA_Delete_Req消息,与第二通讯实体协商删除某一DSA,其格式可以如下表9所示:
表9
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识删除此DSA握手信令过程的事务标识 |
| SAID | 被删除的DSA的安全标识 |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要. |
由于通讯实体一方的能力或状态对另一方而言都是未知的,因此,第一通讯实体和第二通讯实体首先协商即将被删除的某一DSA,即,在本实施例中,SA_Delete_Req消息应该包含即将被删除的某一DSA。
S502,第一通讯实体等待第二通讯实体的响应消息;
在本实施例中,第一通讯实体在发送协商消息时可以启动一等待定时器,若该等待定时器没有超时,则第一通讯实体可以一直等待第二通讯实体的响应消息;若改等待定时器超时后还没有收到第二通讯实体的响应消息,则第一通讯实体可以重新发送请求第二通讯实体删除某一动态安全关联的请求消息并再次启动等待定时器。若超过等待定时器设定的时间后仍未收到响应消息,则可以再次重发请求消息,直到发送请求消息的次数超过设定的重复次数。
S503,第二通讯实体接收第一通讯实体发送的与第二通讯实体协商删除某一DSA的请求消息,停用即将被删除的DSA中的业务流加密密钥TEK进行数据加密;
S504,第二通讯实体向第一通讯实体发送响应消息;
响应消息,例如SA_Delete_Rsp消息表示第二通讯实体是否接受删除DSA,即,响应消息包含了第二通讯实体是否接受第一通讯实体协商删除某一DSA的信息,其格式可以如下表10所示:
表10
| 属性项 | 具体内容 |
| Transaction ID | 唯一标识删除此DSA握手信令过程的事务标识 |
| SAID | 被删除的DSA的安全标识 |
| 属性项 | 具体内容 |
| Digest | 根据摘要算法,用鉴权密钥计算出来用于用来保护消息完整性的消息摘要 |
S505,第二通讯实体等待第一通讯实体的确认消息;
在本实施例中,第二通讯实体在发送响应消息后可以启动一等待定时器,在该等待定时器超时前,第二通讯实体可以一直等待第二通讯实体的确认消息,例如,SA_Delete_ACK消息;若该等待定时器超时后还没有收到第一通讯实体的确认消息,则第二通讯实体重新发送请求消息的响应消息并重新启动该定时器。若超过等待定时器设定的时间后仍未收到确认消息,则可以再次重发响应消息,直到发送响应消息的次数超过设定的重复次数。
S506,第一通讯实体向第二通讯实体发送确认消息,该确认消息标明第一通讯实体是否接受第二通讯实体发起的对某一DSA的删除,若不接受,则确认消息还应该标明不接受的原因,错误的原因例如可以是DSA的SA标识指定的DSA不存在或SA标识指定的DSA正在使用而不允许删除等等。
S507,若确认消息表示第一通讯实体接受第二通讯实体删除DSA,则第二通讯实体删除该DSA。
从上述本发明实施例二可知,本发明的技术方案使通讯实体一方在针对某一DSA操作时,通过更详细的协商过程可以让通讯实体另一方及时获知操作事件并反馈相应的消息,并不需要生产厂商提前进行对接测试。基于这些操作,第一通讯实体和第二通讯实体可以获知彼此的能力,建立良好的配合,从而使用DSA更好地对业务流进行保护。
请参阅图6,本发明实施例一提供的一种通讯实体基本逻辑结构示意图。为了便于说明,仅仅示出了与本发明实施例相关的部分。该通讯实体可以是基站,其包括:
操作模块601,用于对动态安全关联进行操作,并将操作事件通过操作消息发送至第二通讯实体(例如,用户终端等),其进一步包括:
创建单元6011,用于创建动态安全关联并将创建事件通过操作消息发送至所述用户终端;或
修改单元6012,用于修改动态安全关联并将修改事件通过操作消息发送至所述用户终端;或
删除单元6013,用于删除动态安全关联并将修改事件通过操作消息发送至所述用户终端。
接收模块602,用于接收来自第二通讯实体的确认消息;
处理模块603,用于根据接收模块602接收的确认消息对动态安全关联进行相应处理。
例如,若操作模块601执行的操作为创建一动态安全关联且接收模块602接收的确认消息表示用户终端接受所述创建的动态安全关联时,处理模块603根据确认消息向用户终端发送数据的加密/解密密钥。
再如,若操作模块601执行的操作为修改一动态安全关联且接收模块602接收的确认消息表示用户终端接受修改的动态安全关联时,处理模块603在帧号(Frame Number)表示的帧的到达时刻启用修改之后的动态安全关联。
再如,若操作模块601执行的操作为删除一动态安全关联时,处理模块603停止使用被删除的动态安全关联中的业务流加密密钥的解密功能并释放业务流加密密钥状态机。
请参阅图7,本发明实施例二提供的一种通讯实体基本逻辑结构示意图。为了便于说明,仅仅示出了与本发明实施例相关的部分。该通讯实体可以是用户终端,其包括:
接收模块701,用于接收第一通讯实体发送的用于与该通讯实体协商操作动态安全关联的协商消息,第一通讯实体可以是基站等;
操作模块702,用于根据接收模块701接收的协商消息和自身能力参数操作动态安全关联并向第一通讯实体发送响应消息;
处理模块703,用于接收来自第一通讯实体针对响应消息所发送的确认消息,在确认消息表示第一通讯实体接受用户终端对动态安全关联的操作时,对操作之后的动态安全关联进行相应处理。
需要说明的是,上述设备各模块/单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
从上述本发明实施例可知,本发明的技术方案使通讯实体一方(基站或用户终端)在针对某一DSA操作时,可以让通讯实体另一方及时获知操作事件并反馈相应的消息,并不需要生产厂商提前进行对接测试。基于这些操作,第一通讯实体和第二通讯实体可以获知彼此的能力,建立良好的配合,从而使用DSA更好地对业务流进行保护。本动态安全管理方法作为一种通用的动态安全关联管理方法,同样可以应用在其他的***中的安全管理上。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁盘或光盘等。
以上对本发明实施例所提供的动态安全关联的管理方法及一种通讯实体进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (18)
1.一种动态安全关联的管理方法,其特征在于,包括:
第一通讯实体对动态安全关联进行操作,并将操作事件通过操作消息发送至第二通讯实体;
所述第一通讯实体接收来自第二通讯实体的确认消息;
所述第一通讯实体根据所述确认消息对所述动态安全关联进行相应处理。
2.如权利要求1所述的方法,其特征在于,若所述操作事件为创建动态安全关联且确认消息表示接受所述创建的动态安全关联,则所述第一通讯实体根据所述确认消息对所述动态安全关联进行相应处理包括:
所述第一通讯实体向所述第二通讯实体发送数据的加密/解密密钥。
3.如权利要求1所述的方法,其特征在于,所述操作事件为修改动态安全关联时,所述第一通讯实体向所述第二通讯实体发送的操作消息至少包括帧号,所述帧号用于指明第一通讯实体和第二通讯实体将于所述帧号表示的帧的到达时刻将原动态安全关联更新为修改之后的动态安全关联。
4.如权利要求3所述的方法,其特征在于,若所述确认消息表示接受所述修改后的动态安全关联,则所述第一通讯实体根据所述确认消息对所述动态安全关联进行相应处理包括:
第一通讯实体在所述帧号表示的帧的到达时刻启用修改后的动态安全关联。
5.如权利要求1所述的方法,其特征在于,所述操作事件为删除所述动态安全关联时,所述第一通讯实体对动态安全关联进行操作,并将所述操作事件通过操作消息发送至第二通讯实体包括:
第一通讯实体向所述第二通讯实体发送用于删除所述动态安全关联的删除消息,同时禁用所述被删除的动态安全关联中业务流加密密钥的加密功能并保持解密功能,所述删除消息至少包括将被删除的动态安全关联的标识。
6.如权利要求5所述的方法,其特征在于,所述第一通讯实体根据所述确认消息对所述动态安全关联进行相应处理包括:
若所述确认消息表示接受删除所述动态安全关联,则所述第一通讯实体禁用所述被删除的动态安全关联中的业务流加密密钥的解密功能并释放所述业务流加密密钥状态机。
7.如权利要求1至6任意一项所述的方法,其特征在于,所述第一通讯实体对动态安全关联进行操作,并将所述操作事件通过操作消息发送至第二通讯实体后,所述方法进一步包括:
第一通讯实体等待所述第二通讯实体对所述操作消息的确认消息,若等待时间超过设定的时间,则所述第一通讯实体重复向第二通讯实体发送所述操作消息。
8.如权利要求1所述的方法,其特征在于,所述第一通讯实体为基站,第二通讯实体为用户终端。
9.一种通讯实体,其特征在于,包括:
操作模块,用于对动态安全关联进行操作,并将操作事件通过操作消息发送至第二通讯实体;
接收模块,用于接收来自所述第二通讯实体的确认消息;
处理模块,用于根据所述确认消息对所述动态安全关联进行相应处理。
10.如权利要求9所述的基站,其特征在于,所述操作模块包括:
创建单元,用于创建动态安全关联并将所述创建事件通过操作消息发送至所述用户终端;或
修改单元,用于修改动态安全关联并将所述修改事件通过操作消息发送至所述用户终端;或
删除单元,用于删除动态安全关联并将所述修改事件通过操作消息发送至所述用户终端。
11.一种动态安全关联的管理方法,其特征在于,包括:
第二通讯实体接收第一通讯实体发送的用于与所述第二通讯实体协商操作动态安全关联的协商消息;
所述第二通讯实体根据所述协商消息和自身能力参数对所述动态安全关联进行操作,并向所述第一通讯实体发送响应消息;
所述第二通讯实体接收来自所述第一通讯实体针对所述响应消息所发送的确认消息,若所述确认消息表示所述第一通讯实体接受所述第二通讯实体对所述动态安全关联的操作,则所述第二通讯实体根据所述确认消息对所述动态安全关联进行相应处理。
12.如权利要求11所述的方法,其特征在于,所述第二通讯实体接收的协商消息为与所述第二通讯实体协商创建动态安全关联时,所述第二通讯实体根据所述请求消息和自身能力参数对所述动态安全关联进行操作,并向所述第一通讯实体发送响应消息包括:
所述第二通讯实体创建所述动态安全关联;
所述第二通讯实体向所述第一通讯实体发送响应消息并等待所述第一通讯实体的确认消息;
所述第二通讯实体对所述动态安全关联进行相应处理包括:
所述第二通讯实体启用所述创建的动态安全关联的相关属性。
13.如权利要求11所述的方法,其特征在于,若所述第二通讯实体接收的请求消息为与所述第二通讯实体协商修改动态安全关联,所述第二通讯实体根据所述请求消息和自身能力参数对所述动态安全关联进行操作,并向所述第一通讯实体发送响应消息包括:
所述第二通讯实体修改所述动态安全关联的相关属性;
所述第二通讯实体向所述第一通讯实体发送响应消息并等待所述第一通讯实体的确认消息;
所述第二通讯实体对动态安全关联进行相应处理包括:
所述第二通讯实体启用所述修改之后的动态安全关联的相关属性。
14.如权利要求13所述的方法,其特征在于,所述确认消息携带帧号,所述帧号用于通知所述第二通讯实体:在所述帧号表示的帧到达之后或达到之时,所述第一通讯实体将启用所述修改之后的动态安全关联的相关属性。
15.如权利要求11所述的方法,其特征在于,所述第二通讯实体接收的请求消息为与所述第二通讯实体协商删除动态安全关联时,所述第二通讯实体根据所述请求消息和自身能力参数对所述动态安全关联进行操作,并向所述第一通讯实体发送响应消息包括:
所述第二通讯实体停止使用所述即将被删除的动态安全关联对数据进行加密;
所述第二通讯实体向所述第一通讯实体发送响应消息并等待所述第一通讯实体的确认消息;
所述第二通讯实体对动态安全关联进行相应处理包括:
所述第二通讯实体删除所述动态安全关联。
16.如权利要求11至15任意一项所述的方法,其特征在于,若等待所述第一通讯实体的确认消息的时间超过设定时间,则第二通讯实体再次向所述第一通讯实体发送所述响应消息。
17.如权利要求11所述的方法,其特征在于,所述第一通讯实体为基站,所述第二通讯实体为用户终端。
18.一种通讯实体,其特征在于,包括:
接收模块,用于接收第一通讯实体发送的用于与所述通讯实体协商操作动态安全关联的协商消息;
操作模块,用于根据所述协商消息和自身能力参数操作所述动态安全关联并向所述第一通讯实体发送响应消息;
处理模块,用于接收来自所述第一通讯实体针对所述响应消息所发送的确认消息,在所述确认消息表示所述基站接受所述通讯实体对所述动态安全关联的操作时,根据所述确认消息对所述操作之后的动态安全关联进行相应处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010104374A CN101800981A (zh) | 2010-01-25 | 2010-01-25 | 动态安全关联的管理方法及一种通讯实体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010104374A CN101800981A (zh) | 2010-01-25 | 2010-01-25 | 动态安全关联的管理方法及一种通讯实体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101800981A true CN101800981A (zh) | 2010-08-11 |
Family
ID=42596414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010104374A Pending CN101800981A (zh) | 2010-01-25 | 2010-01-25 | 动态安全关联的管理方法及一种通讯实体 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101800981A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023641A (zh) * | 2012-10-25 | 2013-04-03 | 浪潮电子信息产业股份有限公司 | 一种序列号生成验证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227485A (zh) * | 2008-02-04 | 2008-07-23 | 杭州华三通信技术有限公司 | 协商因特网密钥交换安全联盟生存周期的方法及设备 |
| CN101375243A (zh) * | 2006-03-02 | 2009-02-25 | 思科技术公司 | 用于进行无线网络概况提供的***和方法 |
| WO2009114100A2 (en) * | 2008-03-14 | 2009-09-17 | Alcatel-Lucent Usa Inc. | Methods and apparatuses for dynamic management of security associations in a wireless network |
-
2010
- 2010-01-25 CN CN201010104374A patent/CN101800981A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101375243A (zh) * | 2006-03-02 | 2009-02-25 | 思科技术公司 | 用于进行无线网络概况提供的***和方法 |
| CN101227485A (zh) * | 2008-02-04 | 2008-07-23 | 杭州华三通信技术有限公司 | 协商因特网密钥交换安全联盟生存周期的方法及设备 |
| WO2009114100A2 (en) * | 2008-03-14 | 2009-09-17 | Alcatel-Lucent Usa Inc. | Methods and apparatuses for dynamic management of security associations in a wireless network |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023641A (zh) * | 2012-10-25 | 2013-04-03 | 浪潮电子信息产业股份有限公司 | 一种序列号生成验证方法 |
| CN103023641B (zh) * | 2012-10-25 | 2017-03-15 | 郑州云海信息技术有限公司 | 一种序列号生成验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9596220B2 (en) | Secure protocol for peer-to-peer network | |
| KR102290342B1 (ko) | 디지털 인증서 관리 방법 및 장치 | |
| CA3024102C (en) | Method, server, and communication device for updating identity-based cryptographic private keys of compromised communication devices | |
| CN110891269B (zh) | 一种数据保护方法、设备及*** | |
| EP2611227A1 (en) | Method, device and system for sending communication information | |
| CN102036230B (zh) | 本地路由业务的实现方法、基站及*** | |
| KR102325725B1 (ko) | 디지털 인증서 관리 방법 및 장치 | |
| JP2006165984A (ja) | アドホックネットワークの認証方法、および、その無線通信端末 | |
| CA2865069C (en) | Method and device for rekeying in a radio network link layer encryption system | |
| CN101841814B (zh) | 终端鉴权方法及*** | |
| CN103391540A (zh) | 密钥信息生成方法及***、终端设备、接入网设备 | |
| JP2006079213A (ja) | 中継装置、認証サーバ及び認証方法 | |
| CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
| CN103297940A (zh) | 一种短信加密通讯***及通讯方法 | |
| CN1791098B (zh) | 一种实现安全联盟同步的方法 | |
| CN102255723A (zh) | 非同步密钥更新方法 | |
| JP5795591B2 (ja) | サービスフローの暗号化処理方法及びシステム | |
| CN101800981A (zh) | 动态安全关联的管理方法及一种通讯实体 | |
| CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
| CN112906032B (zh) | 基于cp-abe与区块链的文件安全传输方法、***及介质 | |
| CN105208556A (zh) | 认证管理方法、装置、wlan接入设备以及通信*** | |
| JP2005184222A (ja) | ワークフローシステム及びそのクライアント端末 | |
| CN115174188A (zh) | 一种消息传输方法、装置、电子设备和存储介质 | |
| CN114663234A (zh) | 一种区块链上异常交易的监管***和方法 | |
| CN101056169B (zh) | 提高无线通信***组播业务安全的方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100811 |