CN101926151A - 建立安全关联的方法和通信网络*** - Google Patents
建立安全关联的方法和通信网络*** Download PDFInfo
- Publication number
- CN101926151A CN101926151A CN200980102466.XA CN200980102466A CN101926151A CN 101926151 A CN101926151 A CN 101926151A CN 200980102466 A CN200980102466 A CN 200980102466A CN 101926151 A CN101926151 A CN 101926151A
- Authority
- CN
- China
- Prior art keywords
- relay station
- terminal
- base station
- key
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004891 communication Methods 0.000 title claims abstract description 28
- 238000012790 confirmation Methods 0.000 claims description 40
- 230000005540 biological transmission Effects 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 17
- 238000009795 derivation Methods 0.000 claims 2
- 230000007246 mechanism Effects 0.000 abstract description 9
- 230000001965 increasing effect Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种建立安全关联的方法,包括:接收由中继站转发终端发送的接入请求消息(201);根据所述接入请求消息对终端鉴权认证后获得共享根密钥(202);选择安全算法,所述安全算法为所述终端和网络侧支持的算法(203);并根据所述共享根密钥派生基站密钥(204);通过所述中继站向所述终端发送安全模式命令,所述安全模式命令中包含所述安全算法(205)。本发明还公开了一种通信网络***。通过本发明提供的方案,解决了LTE***中引入中继站后,终端与网络之间建立安全关联的问题,而且继承了LTE的安全机制,在不增加***复杂度的情况下,保证了***的安全性和易用性。
Description
建立安全关联的方法和通信网络*** 本申请要求于 2008 年 1 月 30 日提交中国专利局, 申请号为 200810065263.5 , 发明名称为"建立安全关联的方法和通信网络***" 的中国专利申请的优先权, 其全部内容通过引用结合在本申请中。 技术领域
本发明涉及无线通信领域,尤其涉及一种建立安全关联的方法和 通信网络***。 背景技术
为了提高链路预算和蜂窝***的覆盖,用户终端可以通过中继站 来接收服务, 中继站的引入衍生了空中接口的新功能, 并进一步增强 了***的分布式处理特性。中继站的部署可以提升***的无线接入性 能, 可以覆盖阴影区域, 扩大基站的有线覆盖半径, 增强特定区域数 据速率。
在长期演进 ( Long Term Evolution, LTE ) ***之后的进一步演 进中, 无线接入技术自身进行多方位的强化, 其中, 无线中继站是其 中一个重要方向。 由于在 LTE ***中引入了中继站, 因此, 终端和 网络之间建立安全关联的过程不可避免地涉及到中继站。 LTE***中 的安全保护分为接入网和核心网两部分, 因此, 需要保证引入中继站 后的 LTE***设计的复杂性和安全性, 并利用中继***的良好特性, 实现优良的移动通信***。
如图 1所示, 在电气电子工程师协会 ( Institute of Electrical and Electronics Engineers , IEEE ) 16j标准中介绍了关于终端通过中继与 网络侧建立安全关联的方法, 具体如下:
终端通过中继站向网络侧进行同步和注册,通过公共密钥管理协 议, 与鉴权服务器获得基本密钥序列 (Master Session Key, MSK ); 鉴权服务器把 MSK发送给基站, 基站根据该 MSK派生得到鉴
权密钥 ( Authentication Key, AK );
基站通过中继站将该鉴权密钥发送给终端;
终端和中继站通过三方握手的方式同步 AK, ^据 AK派生得到 数据加密密钥 (Traffic Encryption Key , TEK ) 的加密密钥 (Key Encryption Key , KEK ) , TEK由基站产生;
终端和中继站之间通过 TEK请求过程获得 TEK。
在实现本发明的过程中, 发明人发现现有技术至少存在以下问 题: 在现有的 LTE***中, LTE***的密钥比 IEEE 16j***中的安 全密钥多, 而且密钥产生的过程比较复杂, 因此, 当 LTE ***引入 中继站后, 没有适合的建立终端和网络之间的安全关联的方法, 也不 适用采用现有技术中的安全流程来建立终端与网络之间的安全关联。 发明内容
本发明实施例提供了一种建立终端和网络侧安全关联的方法网 络侧, 在 LTE演进***中引入中继站后, 在终端和网络之间建立安 全关联。
本发明实施例提供一种建立终端和网络侧安全关联的方法, 包 括: 接收由中继站转发终端发送的接入请求消息; 根据所述接入请求 消息对终端鉴权认证后获得共享根密钥; 选择安全算法, 所述安全算 法为所述终端和网络侧支持的算法;并根据所述共享根密钥派生基站 密钥; 通过所述中继站向所述终端发送安全模式命令, 所述安全模式 命令中包含所述安全算法。
本发明实施例还公开了一种通信网络***,包括:第一接收单元, 用于接收由中继站转发终端发送的接入请求消息; 密钥获取单元, 用 于根据所述第一接收单元接收到的接入请求消息对终端鉴权认证后 获得共享根密钥; 选择单元, 用于选择安全算法, 所述安全算法为所 述终端和网络侧都支持的算法; 派生单元, 用于根据所述密钥获取单 元得到的共享根密钥派生基站密钥; 第一发送单元, 用于通过所述中
继站向终端发送安全模式命令,所述安全模式命令中包含所述选择单 元选择的安全算法。
与现有技术相比, 本发明实施例具有以下优点:
根据本发明实施例提供的方案, 网络侧在接收到终端通过中继站 发送的接入请求后, 选择用于建立安全关联的安全算法, 并通过中继 站向所述终端发送安全模式命令,在所述安全模式命令中包括所选择 的安全算法, 终端在得到安全算法后, 与网络侧建立安全关联, 解决 了 LTE ***中引入中继站后, 终端与网络侧之间建立安全关联的问 题, 而且本发明实施例提供的技术方案继承了 LTE***的安全机制, 在基本不改变现有的安全机制下和不增加***复杂度的前提下,保证 了加入中继站后的移动通信***的安全性。 附图说明
图 1所示为现有技术中 IEEE 16j标准中终端与网络侧建立安全 关联的方法示意图;
图 2 所示为本发明第一实施例中终端与网络侧建立安全关联的 方法示意图;
图 3 所示为本发明第二实施例中终端与网络侧建立安全关联的 方法示意图;
图 4 所示为本发明第三实施例中终端与网络侧建立安全关联的 方法示意图;
图 5 所示为本发明第四实施例中终端与网络侧建立安全关联的 方法示意图;
图 6 所示为本发明第五实施例中终端与网络侧建立安全关联的 方法示意图;
图 7为本发明第六实施例中一种通信网络***的结构示意图。 具体实施例
下面将结合本发明实施例中的附图,对本发明实施例中的技术方 案进行清楚、 完整地描述, 显然, 所描述的实施例仅是本发明一部分 实施例, 而不是全部的实施例。 基于本发明中的实施例, 本领域普通 技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都 属于本发明保护的范围。
为了使本发明的具体技术方案、发明目的更加清楚, 下面结合具 体的实施例和附图作进一步说明。
参照图 2, 介绍本发明第一实施例, 关于一种建立终端和网络侧 安全关联的方法, 该方法优先应用于 LTE ***及其演进***中。 具 体包括:
步骤 201: 接收由中继站转发终端发送的接入请求消息。
步骤 202: 根据所述接入请求消息对终端鉴权认证后获得共享根 密钥。
步骤 203: 选择安全算法, 所述安全算法为所述终端和网络侧支 持的算法。
步骤 204: 根据所述共享根密钥派生基站密钥。
步骤 205: 通过所述中继站向所述终端发送安全模式命令, 所述 安全模式命令中包含所述安全算法。
通过本实施例提供的方法,网络侧在接收到终端通过中继站发送 的接入请求后, 选择用于建立安全关联的安全算法, 并通过中继站向 所述终端发送安全模式命令,在所述安全模式命令中包括所选择的安 全算法, 终端在得到安全算法后, 就可以与网络侧建立安全关联, 解 决了 LTE ***中引入中继站后, 终端与网络侧之间建立安全关联的 问题, 而且本发明实施例提供的技术方案继承了 LTE ***的安全机 制, 在基本不改变现有的安全机制下和不增加***复杂度的前提下, 保证了加入中继站后的移动通信***的安全性。
参照图 3, 介绍本发明第二实施例, 关于一种建立终端和网络侧 安全关联的方法。 在该实施例中, 终端为初次接入网络( detached to active ), 具体过程包括:
步骤 301: 终端向中继站发送接入请求消息, 该接入请求消息中 包括终端能力和终端身份。
终端能力可以包括终端自身所支持的算法。终端身份可以为临时 移动用户识别号码( Temporary Mobile Subscriber Identify, TMSI )或 国际移动用户识别号码 ( International Mobile Subscriber Identity , IMSI )等表示终端身份的标识。
步骤 302: 中继站将终端发送的接入请求消息发送给基站。
步骤 303: 基站接收到中继站发送的接入请求消息后, 将该接入 请求消息转发给移动管理实体; 基站在转发时, 还可以将基站自身的 基站能力告知移动管理实体,基站能力可以包括基站自身所支持的算 法。
步骤 304: 移动管理实体将接收到的接入请求消息中的中继标识 发送给归属用户服务器。
步骤 305: 归属用户服务器根据终端身份生成鉴权向量, 该鉴权 向量用于终端和网络侧之间的交互认证, 包括随机数 RAND、期望响 应 XRES ( EXpected user RESponse ), 鉴权符号 AUTN ( AUTN = SQNIIAMFIIMAC ), 共享根密钥 (Key Access System Management Entity, Kasme )。
步骤 306: 归属用户服务器在生成鉴权向量之后, 将鉴权向量发 送给移动管理实体。
步骤 307: 移动管理实体将随机数 RAND和鉴权符号 AUTN发 送给基站。
步骤 308: 基站将接收到的随机数 RAND和鉴权符号 AUTN发 送给中继站。
步骤 309: 中继站将接收到的随机数 RAND和鉴权符号 AUTN 发送给终端。
步骤 310: 终端验证 AUTN , 终端计算期望完整性校验码 XMAC = f ( SQNIIRANDIIAMF ), 若等于 AUTN中的完整性校验码 MAC, 并且序列号 SQN在有效范围, 则认为对网络鉴权成功, 若验证成功,
则根据 RAND计算得到响应值 RES。
步骤 311 : 终端向中继站发送响应消息, 响应消息中包含 RES。 步骤 312: 中继站将终端发送的响应消息发送给基站。
步骤 313: 基站将接收到的响应消息发送给移动管理实体。
步骤 314: 移动管理实体验证 RES是否和鉴权向量中的 XRES 相同, 如果相同, 则通过对终端的认证, 终端和移动管理实体获得共 享根密钥 Kasme。
步骤 315: 移动管理实体根据终端能力和基站能力, 选择安全算 法, 所述安全算法为所述终端和网络侧都支持的算法, 包括接入层安 全算法, 接入层安全算法可以包括无线资源控制 (Radio Resource Control, RRC )算法和用户面 (User Plane, UP ) 算法等; 可以根据 移动管理实体选择的安全算法以及共享根密钥 Kasme派生得到基站 密钥。
所述安全算法还可以包括:非接入层( Non- Access Stratum, NAS ) 算法。
步骤 316: 移动管理实体发送安全算法和基站密钥。
所述安全算法和基站密钥可以包含在移动管理实体发送给基站 的消息中。
步骤 317: 基站发送安全算法和完整性校验码发送给中继站。 所述安全算法和完整性校验码可以包含在安全模式命令中。
基站在发送安全算法时,可以通过基站密钥对将发送的内容进行 安全保护, 生成完整性校验码, 并将该完整性校验码发送给中继站。
步骤 318: 中继站将接收到的安全算法和完整性校验码发送给终 端。
步骤 319: 终端接收到安全算法和完整性校验码后, 对中继站转 发的消息进行完整性验证,验证成功后,向中继站发送验证确认消息。
步骤 320: 中继站向基站发送接收到的验证确认消息。
步骤 321 : 基站将接收到的验证确认消息发送给移动管理实体。 步骤 322: 移动管理实体接收到验证确认消息后, 至此, 终端和
基站之间完成了安全算法协商和密钥协商, 完成了安全关联的建立。 在本实施例中, 可选的, 在步骤 302中, 中继站在发送接入请求 消息时, 可以将自身的中继能力发送给移动管理实体, 则在步骤 315 中, 移动管理实体可以根据终端能力、 中继能力和基站能力进行选择 安全算法。
在本实施例步骤 301至步骤 322所提供的方案中,中继站没有终 端和基站之间的安全关联, 也没有关于终端的任何信息, 中继站仅仅 透明地传送终端和网络侧之间的消息。本实施例还可以进一步包括以 全关联, 以建立终端和中继站之间的安全关联, 使得终端和中继站之 间的通信更加安全。
步骤 323:基站向中继站发送终端和基站建立的安全关联密钥(如 RRC密钥和 UP密钥)以及安全算法(如 RRC算法和 UP算法 ), 该 安全关联密钥由基站生成; 中继站和基站之间发送的消息可以通过中 继站和基站之间的安全关联进行保护, 中继站和基站之间的安全关联 是中继站和基站之间预先存在的, 由中继站在接入网络后确立, 用以 保护基站和中继站之间发送信息的安全。
步骤 324: 中继站收到基站发送的密钥和相关算法后, 使用中继 站和基站间建立的安全关联做校验, 向基站返回确认消息。
本实施例中,如果中继站具有产生小区无线网络临时标识( Radio Network Temporary Identifier, C-RNTI ) 的功能, 则步骤 323中, 基 站可向中继站发送基站密钥以及安全算法, 如 RRC算法和 UP算法; 中继站和基站之间发送的消息可以通过中继站和基站之间的安全关 联进行保护。 在步骤 324中, 中继站接收到基站发送的基站密钥和算 法后, 根据基站密钥和 C-RNTI派生得到安全关联密钥, 如 RRC密 钥和 UP密钥, 中继站和基站之间发送的消息可以通过中继站和基站 之间的安全关联进行保护。 在这种情况下, 中继站获得的与终端之间 建立的安全关联与基站和中继站之间的安全关联不同, 当中继站接收 到终端发送的消息时,中继站需要首先根据中继站和终端之间的安全
关联进行解密, 然后利用中继站和基站之间的安全关联进行重新加 密, 再进行转发; 同样, 当中继站接收到基站发送的消息时, 首先根 据中继站和基站之间的安全关联进行解密,然后利用中继站和终端之 间的安全关联进行加密, 再发送给终端。
步骤 323和步骤 324中, 中继站被动地从基站接收消息, 并获得 终端与网络侧的安全关联, 该方法中, 中继站可以主动向基站请求获 取相关安全关联, 因此, 步骤 323和步骤 324可以分别为步骤 323, 和步骤 324,, 具体如下:
步骤 323,: 中继站向基站发送终端安全关联请求,请求基站发送 终端和基站已经建立好的安全关联相关信息, 中继站和基站之间发送 的消息可以通过中继站和基站之间的安全关联进行保护。
步骤 324,: 基站向中继站发送请求回应消息,该消息中包含安全 算法, 如 RRC算法和 UP算法, 以及基站生成的安全关联密钥, 如 RRC密钥和 UP密钥; 若该中继站可以产生 C-RNTI, 基站可以不直 接发送 RRC密钥和 UP密钥, 而在该回应消息中包含安全算法和基 站密钥。 中继站根据接收到的信息, 可以获得终端和基站之间的安全 关联信息。
参照图 4, 下面介绍本发明第三实施例, 关于建立终端和网络侧 安全关联的方法, 在本实施例中, 终端已经经过初始接入网络, 处于 空闲状态进入激活状态的过程 ( idle to active ), 该方法包括:
步骤 401: 终端通过中继站向网络侧发送接入请求消息, 该消息 中包括 TMSI、和共享根密钥标识符( Key Set Identifier Access System Management Entity, KSIasme ), 由于终端已经接入过网络, 网络侧设 备都已经获知终端的终端能力, 因此, 在接入请求消息中可以不包括 终端能力, 除非终端能力发生更改。
步骤 402至步骤 414可以参照第二实施例中步骤 302至步骤 314 描述的内容。
步骤 415: 移动管理实体根据共享根密钥派生基站密钥。
步骤 416: 移动管理实体将基站密钥发送给基站。
步骤 417: 基站发送安全模式命令给中继站, 并在该命令中包含 安全算法和完整性校验码。
步骤 418: 中继站将接收到的安全算法和完整性校验码发送给终 端。
步骤 419:终端接收到中继站发送的安全算法和完整性校验码后, 对中继站转发的消息进行完整性验证, 验证成功后, 终端向中继站发 送马全证确认消息。
步骤 420: 中继站向基站转发验证确认消息。
步骤 421: 基站接收到验证确认消息后, 进行安全校验, 则终端 和基站之间完成了安全算法和密钥协商。
步骤 422: 基站发送确认消息给移动管理实体, 告知其安全关联 建立。
在本实施例步骤 401至步骤 422所提供的方案中,中继站不存在 终端和基站之间的安全关联, 中继站仅仅透明地传送终端和基站之间 的消息。 本实施例还可以进一步包括以下步骤, 可以使得本实施例中 的中继站可以获得终端和基站之间的安全关联:
步骤 423: 基站向中继站发送基站自身生成的安全关联密钥, 如 RRC密钥和 UP密钥, 以及安全算法, 如 RRC算法和 UP算法; 中 继站和基站之间发送的消息可以通过中继站和基站之间的安全关联 进行保护。
步骤 424: 中继站收到基站发送的密钥和算法后, 使用中继站和 基站间建立的安全关联做校验, 向基站返回确认信息。
本实施例中, 如果中继站具有产生 C-RNTI的功能, 则步骤 423 中,基站可向中继站发送基站密钥以及安全算法, 如 RRC算法和 UP 算法; 中继站和基站之间发送的消息可以通过中继站和基站之间的安 全关联进行保护。 在步骤 424中, 中继站接收到基站发送的基站密钥 和算法后,根据基站密钥和 C-RNTI派生得到安全关联密钥,如 RRC 密钥和 UP密钥, 中继站和基站之间发送的消息可以通过中继站和基 站之间的安全关联进行保护。 在这种情况下, 中继站获得的与终端之
间建立的安全关联与基站和中继站之间的安全关联不同, 当中继站接 收到终端发送的消息时,中继站需要首先根据中继站和终端之间的安 全关联进行解密,然后利用中继站和基站之间的安全关联进行重新加 密, 再进行转发; 同样, 当中继站接收到基站发送的消息时, 首先根 据中继站和基站之间的安全关联进行解密,然后利用中继站和终端之 间的安全关联进行加密, 再发送给终端。
步骤 423和步骤 424中, 中继站被动地从基站接收消息, 并获得 终端与网络侧的接入层安全关联信息, 该方法中, 中继站可以主动向 基站请求获取相关安全关联, 因此, 步骤 423和步骤 424可以分别为 步骤 423,和步骤 424,, 具体如下:
步骤 423,: 中继站向基站发送终端安全关联请求,请求基站发送 终端和基站已经建立好的安全关联密钥,中继站和基站之间发送的消 息可以通过中继站和基站之间的安全关联进行保护。
步骤 424,: 基站向中继站发送请求回应消息, 该消息中包含安 全算法, 如 RRC算法和 UP算法, 以及基站生成的安全关联密钥, 如 RRC密钥和 UP密钥; 若该中继站可以产生 C-RNTI, 基站可以不 直接发送安全关联密钥, 而在该回应消息中包含安全算法和基站密 钥。 中继站根据基站密钥和 C-RNTI派生得到安全关联密钥,如 RRC 密钥和 UP密钥, 从而可以获得和终端之间的安全关联。
下面介绍本发明第四实施例, 如图 5所示, 关于终端和基站建立 安全关联的方法, 根据本实施例提供的技术方案, 可以加快整个*** 建立安全关联的时间, 本实施例包含步骤 501至步骤 522, 与第二实 施例中的步骤 301至步骤 322基本相同, 区别在于在步骤 517中, 基 站在将安全算法和完整性校验码发送给中继站的同时,将基站自身生 成的安全关联密钥, 如 RRC密钥和 UP密钥, 发送给中继站; 在步 骤 520中, 中继站转发终端确认命令的同时, 还发送中继站接收到终 端安全关联的确认消息。
若该中继站具备产生 C-RNTI的功能, 则在步骤 517中, 基站将 安全算法和完整性校验码发送给中继站的同时,将基站密钥发送给中
继站, 中继站可以根据基站密钥和 C-RNTI派生得到安全关联密钥; 在步骤 520中, 中继站转发终端确认命令的同时, 还发送中继站接收 到终端安全关联的确认消息。
在本实施例中, 实现了终端和基站之间建立安全关联同时, 也实 现终端和中继站之间安全关联的建立, 因此, 节省了整个***建立安 全关联的时间。
下面介绍本发明第五实施例, 如图 6 所示, 本实施例包含步骤 601至步骤 622, 与第三实施例中的步骤 401至步骤 422基本相同, 区别在于在步骤 617中,基站在发送安全模式命令的同时, 把基站自 身生成的安全关联密钥, 如 RRC密钥和 UP密钥, 发送给中继站; 在步骤 620中, 中继站转发终端确认命令的同时, 还发送中继站接收 到终端安全关联信息的确认消息。
若该中继站具备产生 C-RNTI的功能, 则在步骤 617中, 基站在 发送安全模式命令的同时, 将基站密钥发送给中继站, 中继站可以根 据基站密钥和 C-RNTI派生得到安全关联密钥; 在步骤 620中, 中继 站转发终端确认命令的同时,还发送中继站接收到终端安全关联的确 认消息。
在本实施例中, 实现了终端和基站之间建立安全关联同时, 也实 现终端和中继站之间安全关联的建立, 因此, 节省了整个***建立安 全关联的时间。
本发明实施例提供的技术方案, 解决了 LTE ***中引入中继站 后, 终端经过中继站和基站实现安全关联的建立的问题, 不仅可以使 得终端通过中继站与基站建立安全关联, 进一步, 可以建立终端和中 继站之间的安全关联, 从而使得整个***的通信更加安全, 同时, 还 可以节省在 LTE 中继***中建立安全关联的时间。 另外, 本发明实 施例提供的技术方案继承了 LTE ***的安全机制, 在基本不改变现 有的安全机制下, 融合了中继站的转发特征和分布式特性, 在不增加 ***复杂度的前提下, 保证了加入中继站后的移动通信***的安全 性。
本发明第六实施例, 参照图 7, 关于一种通信网络*** 700, 包 括第一接收单元 701 , 用于接收由中继站转发终端发送的接入请求消 息; 密钥获取单元 702, 用于根据所述第一接收单元 701接收到的接 入请求消息对终端鉴权认证后获得共享根密钥; 选择单元 703, 用于 选择安全算法, 所述安全算法为所述终端和基站都支持的算法; 派生 单元 704, 用于根据所述密钥获取单元 702得到的共享根密钥派生基 站密钥; 第一发送单元 705, 用于通过中继站向终端发送安全模式命 令, 所述安全模式命令中包含选择单元 703选择的安全算法。
进一步,第一接收单元 701还用于接收终端通过中继站发送的验 证确认消息。
以上实施例提供的方案中,中继站没有终端和基站之间的安全关 联, 也没有关于终端的任何信息, 中继站仅仅透明地传送终端和基站 之间的消息, 优选的, 该通信网络***还包括第二发送单元和第二接 收单元; 派生单元还用于生成网络侧安全关联密钥;
第二发送单元用于在第一接收单元接收到终端发送的验证确认 消息后, 发送安全算法和网络侧安全关联密钥给中继站;
第二接收单元用于接收中继站发送的确认消息,所述确认消息为 所述中继站在根据安全算法、 安全关联密钥, 得到和终端之间的安全 关联密钥后向网络侧发送的确认消息。 安全关联, 以建立终端和中继站之间的安全关联, 使得终端和中继站 之间的通信更加安全。
如果中继站可以产生 C-RNTI, 则在建立中继站和终端之间的安 全关联时, 优选的, 该通信网络***还可以包括第三发送单元和第三 接收单元,
第三发送单元用于在第一接收单元接收到终端发送的验证确认 消息后, 发送安全算法和基站密钥给中继站, 所述中继站产生 C-RNTI;
第三接收单元用于接收中继站发送的确认消息,所述确认消息为
所述中继站在根据 C-RNTI以及接收到的基站密钥和安全算法得到和 所述终端之间的安全关联密钥后向网络侧发送的确认消息。
中继站除了可以被动地接收通信网络***发送的相关安全关联 信息外, 还可以主动地向通信网络***请求相关安全关联信息, 优选 的, 该通信网络***还包括第四发送单元和第四接收单元;
第四接收单元用于接收中继站发送的终端安全关联请求;派生单 元还用于生成网络侧安全关联密钥;
第四发送单元用于向中继站发送请求回应消息,该消息包括安全 算法和网络侧的安全关联密钥。
当中继站可以产生 C-RNTI时, 当通信网络***接收到中继站的 请求时,可以不直接发送安全关联密钥,而是发送基站密钥,优选的, 该通信网络***还包括第五发送单元和第五接收单元;
第五接收单元用于接收中继站向网络侧发送的终端安全关联请 求;
第五发送单元用于向中继站发送请求回应消息,该消息包括安全 算法和基站密钥;
第五接收单元还用于接收中继站在根据 C-RNTI以及接收到的基 站密钥和安全算法得到终端的安全关联密钥后向基站发送的确认消 息。
通过本发明实施例提供通信网络***, 可以使得在 LTE演进系 统中实现终端通过中继站与网络侧之间建立安全关联,并且进一步可 以建立终端和中继站之间的安全关联, 使得通信更加安全, 另外, 本 发明实施例提供的技术方案继承了 LTE ***的安全机制, 在基本不 改变现有的安全机制下和不增加***复杂度的前提下,保证了加入中 继站后的移动通信***的安全性。
通过以上的实施例的描述,本领域的技术人员可以清楚地了解到 本发明, 可以通过硬件实现, 也可以借助软件加必要的通用硬件平台 的方式来实现。基于这样的理解, 本发明的技术方案可以以软件产品 的形式体现出来, 该软件产品可以存储在一个非易失性存储介质(可
以是 CD-ROM, U盘, 移动硬盘等) 中, 包括若干指令用以使得一 台计算机设备(可以是个人计算机, 服务器, 或者网络设备等)执行 本发明各个实施例所述的方法。
总之, 以上所述仅为本发明的较佳实施例而已, 并非用于限定本 发明的保护范围。 凡在本发明的精神和原则之内所作的任何修改、 等 同替换、 改进等, 均应包含在本发明的保护范围之内。
Claims (13)
- 权利要求1、 一种建立安全关联的方法, 其特征在于, 包括:接收由中继站转发终端发送的接入请求消息;根据所述接入请求消息对终端鉴权认证后获得共享根密钥; 选择安全算法, 所述安全算法为所述终端和网络侧支持的算法; 根据所述共享根密钥派生基站密钥;通过所述中继站向所述终端发送所述安全算法。
- 2、 如权利要求 1所述建立安全关联的方法, 其特征在于, 所述 通过所述中继站向所述终端发送安全模式命令的步骤之后, 还包括: 接收所述中继站转发终端发送的验证确认消息。
- 3、 如权利要求 2所述建立安全关联的方法, 其特征在于, 所述 通过所述中继站向所述终端发送所述安全算法, 包括:基站通过中继站向终端发送安全模式命令,所述安全模式命令包 括所述安全算法。4、 如权利要求 2所述建立安全关联的方法, 其特征在于, 当所 述接入请求消息为初始接入请求消息 ,所述通过所述中继站向所述终 端发送所述安全算法, 包括:移动管理实体向基站发送安全模式命令;基站接收到所述安全模式命令后,通过中继站向终端发送所述安 全模式命令, 所述安全命令中包括所述安全算法。
- 5、 如权利要求 3或 4所述建立安全关联的方法, 其特征在于, 在接收所述中继站转发终端发送的验证确认消息之后, 还包括: 所述基站向所述中继站发送安全模式命令,所述安全模式命令包 括所述安全算法, 和由所述基站生成的安全关联密钥; 所述基站接收 所述中继站发送的确认消息,所述确认消息为所述中继站在根据所述 安全算法、 安全关联密钥, 得到和所述终端之间的安全关联密钥后向 基站发送的消息; 或所述基站接收中继站发送的终端安全关联请求;所述基站向中继 站发送请求回应消息 ,该消息包括安全算法和基站生成的安全关联密 钥。
- 6、 如权利要求 3或 4所述建立安全关联的方法, 其特征在于, 当所述中继站产生小区无线网络临时标识 C-RNTI时, 在接收所述中 继站转发终端发送的验证确认消息之后, 还包括:所述基站发送基站密钥和安全模式命令,所述安全模式命令包括 所述安全算法, 给所述中继站; 所述基站接收所述中继站发送的确认 消息, 所述确认消息为所述中继站在根据所述 C-RNTI以及接收到的 基站密钥和安全算法得到和所述终端之间的安全关联密钥后向基站 发送的消息; 或所述基站接收所述中继站向基站发送的终端安全关联请求;所述 基站向所述中继站发送请求回应消息,该消息包括安全算法和基站密 钥; 所述基站接收所述中继站发送的确认消息, 所述确认消息为所述 中继站在根据所述 C-RNTI以及接收到的基站密钥和安全算法得到和 所述终端之间的安全关联密钥后向基站发送的消息。
- 7、 如权利要求 3或 4所述建立安全关联的方法, 其特征在于, 所述基站通过所述中继站向终端发送安全模式命令时,还发送所述基 站生成的安全关联密钥。
- 8、 如权利要求 3或 4所述建立安全关联的方法, 其特征在于, 当所述中继站产生 C-RNTI时, 所述基站通过所述中继站向终端发送 安全模式命令时, 还发送基站密钥。
- 9、 一种通信网络***, 其特征在于, 包括:第一接收单元, 用于接收由中继站转发终端发送的接入请求消 息;密钥获取单元,用于根据所述第一接收单元接收到的接入请求消 息对终端鉴权认证后获得共享根密钥;选择单元, 用于选择安全算法, 所述安全算法为所述终端和网络 侧都支持的算法;派生单元,用于根据所述密钥获取单元得到的共享根密钥派生基 站密钥; 择的安全算法。
- 10、 如权利要求 9所述的通信网络***, 其特征在于, 所述第一 接收单元还用于接收所述终端通过所述中继站发送的验证确认消息。
- 11、 如权利要求 10所述的通信网络***, 其特征在于, 所述系 统还包括第二发送单元和第二接收单元;所述派生单元还用于生成安 全关联密钥;所述第二发送单元用于在所述第一接收单元接收到所述终端发 送的验证确认消息后, 发送安全模式命令, 所述安全模式命令包括所 述安全算法, 和安全关联密钥给所述中继站;所述第二接收单元用于接收所述中继站发送的确认消息,所述确 认消息为所述中继站在根据所述安全算法、 安全关联密钥, 得到和所 述终端之间的安全关联密钥后向网络侧发送的消息。
- 12、 如权利要求 10所述的通信网络***, 其特征在于, 所述系 统还包括第三发送单元和第三接收单元;所述第三发送单元用于在所述第一接收单元接收到所述终端发 送的验证确认消息后, 发送安全模式命令, 所述安全模式命令包括所 述安全算法, 和基站密钥给所述中继站, 所述中继站产生 C-RNTI; 所述第三接收单元用于接收所述中继站发送的确认消息,所述确 认消息为所述中继站在根据所述 C-RNTI以及接收到的基站密钥和安 全算法得到和所述终端之间的安全关联密钥后向网络侧发送的消息。
- 13、 如权利要求 10所述的通信网络***, 其特征在于, 所述系 统还包括第四发送单元和第四接收单元;所述第四接收单元用于接收所述中继站发送的终端安全关联请 求; 所述派生单元还用于生成网络侧安全关联密钥;所述第四发送单元用于向所述中继站发送请求回应消息,该消息 包括安全算法和网络侧的安全关联密钥。
- 14、 如权利要求 10所述的通信网络***, 其特征在于, 所述网 络侧还包括第五发送单元和第五接收单元;所述第五接收单元用于接收所述中继站向网络侧发送的终端安 全关联请求;所述第五发送单元用于向所述中继站发送请求回应消息,该消息 包括安全算法和基站密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200980102466.XA CN101926151B (zh) | 2008-01-30 | 2009-01-22 | 建立安全关联的方法和通信网络*** |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100652635A CN101500229B (zh) | 2008-01-30 | 2008-01-30 | 建立安全关联的方法和通信网络*** |
| CN200810065263.5 | 2008-01-30 | ||
| CN200980102466.XA CN101926151B (zh) | 2008-01-30 | 2009-01-22 | 建立安全关联的方法和通信网络*** |
| PCT/CN2009/070273 WO2009094942A1 (fr) | 2008-01-30 | 2009-01-22 | Procédé et système de réseau de communication pour établir une conjonction de sécurité |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101926151A true CN101926151A (zh) | 2010-12-22 |
| CN101926151B CN101926151B (zh) | 2013-01-02 |
Family
ID=40912286
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100652635A Expired - Fee Related CN101500229B (zh) | 2008-01-30 | 2008-01-30 | 建立安全关联的方法和通信网络*** |
| CN200980102466.XA Expired - Fee Related CN101926151B (zh) | 2008-01-30 | 2009-01-22 | 建立安全关联的方法和通信网络*** |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100652635A Expired - Fee Related CN101500229B (zh) | 2008-01-30 | 2008-01-30 | 建立安全关联的方法和通信网络*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN101500229B (zh) |
| WO (1) | WO2009094942A1 (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102090093B (zh) | 2009-04-30 | 2013-04-17 | 华为技术有限公司 | 空口链路安全机制建立的方法、设备 |
| US8605904B2 (en) | 2009-08-14 | 2013-12-10 | Industrial Technology Research Institute | Security method in wireless communication system having relay node |
| TWI430674B (zh) * | 2009-08-14 | 2014-03-11 | Ind Tech Res Inst | 用於具有中繼節點之無線通訊系統的安全性方法 |
| CN102056160B (zh) * | 2009-11-03 | 2013-10-09 | 华为技术有限公司 | 一种密钥生成的方法、装置和*** |
| US8904167B2 (en) * | 2010-01-22 | 2014-12-02 | Qualcomm Incorporated | Method and apparatus for securing wireless relay nodes |
| CN101951554A (zh) * | 2010-08-25 | 2011-01-19 | 中兴通讯股份有限公司 | 一种实现加密会议电话预接入的方法及*** |
| CN101931955B (zh) * | 2010-09-03 | 2015-01-28 | 中兴通讯股份有限公司 | 认证方法、装置及*** |
| CN101945386B (zh) * | 2010-09-10 | 2015-12-16 | 中兴通讯股份有限公司 | 一种实现安全密钥同步绑定的方法及*** |
| CN101945387B (zh) * | 2010-09-17 | 2015-10-21 | 中兴通讯股份有限公司 | 一种接入层密钥与设备的绑定方法和*** |
| CN101931953B (zh) * | 2010-09-20 | 2015-09-16 | 中兴通讯股份有限公司 | 生成与设备绑定的安全密钥的方法及*** |
| CN101977378B (zh) * | 2010-09-30 | 2015-08-12 | 中兴通讯股份有限公司 | 信息传输方法、网络侧及中继节点 |
| CN103297958B (zh) | 2012-02-22 | 2017-04-12 | 华为技术有限公司 | 建立安全上下文的方法、装置及*** |
| WO2014075238A1 (zh) * | 2012-11-14 | 2014-05-22 | 华为技术有限公司 | 移动通信的安全处理方法、宏基站、微基站和用户设备 |
| WO2014139109A1 (zh) * | 2013-03-13 | 2014-09-18 | 华为技术有限公司 | 数据的传输方法、装置和*** |
| CN104581710B (zh) * | 2014-12-18 | 2018-11-23 | 中国科学院信息工程研究所 | 一种在空口上安全传输lte用户imsi的方法和*** |
| JP2019511154A (ja) * | 2016-02-04 | 2019-04-18 | 華為技術有限公司Huawei Technologies Co.,Ltd. | セキュリティパラメータ伝送方法及び関係するデバイス |
| WO2018126452A1 (zh) * | 2017-01-06 | 2018-07-12 | 华为技术有限公司 | 授权验证方法和装置 |
| CN109842881B (zh) * | 2017-09-15 | 2021-08-31 | 华为技术有限公司 | 通信方法、相关设备以及*** |
| CN109561429B (zh) * | 2017-09-25 | 2020-11-17 | 华为技术有限公司 | 一种鉴权方法及设备 |
| CN110381608B (zh) * | 2018-04-13 | 2021-06-15 | 华为技术有限公司 | 一种中继网络的数据传输方法及装置 |
| CN111866884B (zh) * | 2019-04-26 | 2022-05-24 | 华为技术有限公司 | 一种安全保护方法及装置 |
| US20240128798A1 (en) * | 2022-10-18 | 2024-04-18 | Nokia Technologies Oy | Implementation of attachment for passive iot device communication with ambient energy source |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100525156C (zh) * | 2003-09-25 | 2009-08-05 | 华为技术有限公司 | 一种选择安全通信算法的方法 |
| CN100571130C (zh) * | 2004-11-08 | 2009-12-16 | 中兴通讯股份有限公司 | 一种通用的安全等级协商方法 |
| EP1864426A4 (en) * | 2005-03-09 | 2016-11-23 | Korea Electronics Telecomm | AUTHENTICATION PROCESSES AND KEY PRODUCTION METHODS IN A WIRELESS TRACKABLE INTERNET SYSTEM |
| CN100561914C (zh) * | 2005-08-25 | 2009-11-18 | 华为技术有限公司 | 获取密钥的方法 |
| CN100505759C (zh) * | 2005-11-15 | 2009-06-24 | 中兴通讯股份有限公司 | 一种非对等实体安全等级协商方法 |
-
2008
- 2008-01-30 CN CN2008100652635A patent/CN101500229B/zh not_active Expired - Fee Related
-
2009
- 2009-01-22 CN CN200980102466.XA patent/CN101926151B/zh not_active Expired - Fee Related
- 2009-01-22 WO PCT/CN2009/070273 patent/WO2009094942A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CN101500229B (zh) | 2012-05-23 |
| CN101500229A (zh) | 2009-08-05 |
| WO2009094942A1 (fr) | 2009-08-06 |
| CN101926151B (zh) | 2013-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101926151B (zh) | 建立安全关联的方法和通信网络*** | |
| US11178584B2 (en) | Access method, device and system for user equipment (UE) | |
| CN108293185B (zh) | 无线设备认证方法和装置 | |
| EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
| EP2063567B1 (en) | A network access authentication and authorization method and an authorization key updating method | |
| CN101500230B (zh) | 建立安全关联的方法和通信网络 | |
| JP2019512942A (ja) | 5g技術のための認証機構 | |
| CN101931955B (zh) | 认证方法、装置及*** | |
| KR101582502B1 (ko) | 인증을 위한 시스템 및 방법 | |
| CN109644134A (zh) | 用于大型物联网组认证的***和方法 | |
| EP1972125A2 (en) | Apparatus and method for protection of management frames | |
| CN103609154A (zh) | 一种无线局域网接入鉴权方法、设备及*** | |
| CN108683690A (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
| WO2016015749A1 (en) | Authentication in a wireless communications network | |
| CN104602229B (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
| EP3637815B1 (en) | Data transmission method, and device and system related thereto | |
| CN103096307A (zh) | 密钥验证方法及装置 | |
| WO2019085659A1 (zh) | 一种信息交互方法及装置 | |
| CN103200004B (zh) | 发送消息的方法、建立安全连接的方法、接入点和工作站 | |
| CN105828328A (zh) | 一种网络连接、客户端接入网络的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130102 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |