CN101998392B - 用于具有中继节点的无线通信***的安全性方法 - Google Patents

用于具有中继节点的无线通信***的安全性方法 Download PDF

Info

Publication number
CN101998392B
CN101998392B CN201010254825.8A CN201010254825A CN101998392B CN 101998392 B CN101998392 B CN 101998392B CN 201010254825 A CN201010254825 A CN 201010254825A CN 101998392 B CN101998392 B CN 101998392B
Authority
CN
China
Prior art keywords
key
fail safe
via node
node
subscriber equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010254825.8A
Other languages
English (en)
Other versions
CN101998392A (zh
Inventor
林咨铭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial Technology Research Institute ITRI
Original Assignee
Industrial Technology Research Institute ITRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial Technology Research Institute ITRI filed Critical Industrial Technology Research Institute ITRI
Publication of CN101998392A publication Critical patent/CN101998392A/zh
Application granted granted Critical
Publication of CN101998392B publication Critical patent/CN101998392B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过中继节点与无线通信***之服务网关进行认证,并借此建立用户设备与中继节点之间的第一安全性连结。中继节点通过基站节点建立中继节点与基站之间的第二安全性连结。除此之外,上述多种安全性方法的部份还可以降低中继节点的硬件成本与设计复杂度,或者提供较高的安全性与群组安全性等。

Description

用于具有中继节点的无线通信***的安全性方法
技术领域
本发明是有关于一种具有中继节点的无线通信***的安全性方法及其使用此安全性方法的无线通信***。
背景技术
无线通信***的技术已经越来越进步,且目前也还有很多的新标准在制订与改善。举例来说,第三代移动通信技术(3GPP)标准的长期演进技术(longterm evolution,LTE)***更开始被广泛的移动用户所使用。请参照图1,图1绘示长期演进技术***的***示意图。长期演进技术***1包括用户设备(UE)11、多个演进基站节点(Evolved Node B,eNB)12、13、14与多个移动管理单元/服务网关(MME/S-GW)15、16,其中演进基站节点12、13、14构成了一个演进通用陆地无线接入网(E-UTRAN)17。
移动管理单元/服务网关15、16的移动管理单元与服务网关整合于同一个设备之中,在其它的例子中,移动管理单元/服务网关15、16的移动管理单元与服务网关也可以是分开的两个设备。用户设备11会通过第三代移动通信技术标准所定义的Uu接口来与基站节点12进行通信,Uu接口是一个无线接口。多个演进基站节点(eNB)12、13、14之间彼此以第三代移动通信技术标准所定义的X2接口进行通信,移动管理单元/服务网关15通过S1接口与演进基站节点12、13进行通信,且移动管理单元/服务网关16通过S1接口与演进基站节点13、14进行通信。
长期演进技术通信***1的通信协议堆(protocol stack)可以分为两个层面,其中一个为用户层面,另一个则为控制层面。用户层面用于传送数据,控制层面则用来传送控制信息,以控制数据的传输。长期演进技术通信***1的安全性功能包括了加密(ciphering)保护与完整性(integrity)保护。完整性保护可以确保数据不会被篡改,而加密保护可以确保数据不会被窃听。
请参照图2,图2绘示长期演进技术通信***中的密钥的等级示意图。密钥K会储存于通用整合芯片卡(UICC)中的通用用户识别模块(USIM)内,以及储存于认证中心(Authentication Centre,AuC)中。在鉴权与密钥协商(Authentication and Key Agreement,AKA)程序中,用户设备与家用用户服务器(HSS)根据密钥K产生一组对应的密钥CK与CIK。在鉴权与密钥协商程序结束后,用户设备与移动管理单元获得执行鉴权与密钥承认程序后的结果,也就是安全管理密钥KASME
通过执行非接入层安全性模式指令程序(NAS security mode commandprocedure),用户设备与移动管理单元可以根据安全管理密钥KASME获得用于非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int,以及获得演进基站节点密钥KeNB,其中移动管理单元可以通过S1接口将演进基站节点密钥KeNB传送给演进基站节点。
接着,通过执行接入层安全性模式指令程序(AS security mode commandprocedure),演进基站节点与用户设备可以根据演进基站节点密钥KeNB来获得用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。在有危险(hazard)的情况下,安全管理密钥KASME与演进基站节点密钥KeNB会被送到网络处理程序NH处理,且演进基站节点密钥KeNB与网络处理程序NH的处理结果会被到网络控制中心(NCC)进行判断,以据此产生互补的演进基站节点密钥KeNB*,来更新演进基站节点密钥KeNB。通过多次训练演进基站节点密钥KeNB,便能够获得正确的演进基站节点密钥KeNB,以排除危险。
接着,请参照图3,图3绘示长期演进技术***的安全性方法的流程图。长期演进技术***3具有用户设备31、演进基站节点32、移动管理单元/服务网关33与家用用户服务器34。
首先,在步骤S31中,鉴权与密钥协商程序会先被执行,以使用户设备31、移动管理单元/服务网关33与家用用户服务器34拥有安全管理密钥KASME。
接着,在步骤S32中,非接入层安全性模式指令程序会被执行,以使用户设备31与演进基站节点32拥有演进基站节点密钥KeNB,以及使用户设备31与移动管理单元/服务网关33拥有用于非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int。另外,步骤S32会使用户设备31进入第三代移动通信技术标准所定义的ECM-CONNECTED状态。
然后,在步骤S33中,接入层安全性模式指令程序会被执行,以使用户设备31与演进基站节点32拥有用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。步骤S33的目的是为了让无线资源控制安全性有效化。
在长期演进技术***3的安全性方法已经执行完毕后,在步骤S34中,使用户设备31与演进基站节点32便能够进行一般操作,例如彼此传送具有安全性的数据与控制信号。
步骤S31的鉴权与密钥协商程序包括了步骤S311、S312与S313。在步骤S311中,移动管理单元/服务网关33向家用用户服务器34传送认证数据请求,而且家用用户服务器34在收到认证数据请求后,会传送认证数据请求回复给移动管理单元/服务网关33。如此,移动管理单元/服务网关33将可以获得安全管理密钥KASME
接着,在步骤S312中,移动管理单元/服务网关33会发送用户认证请求(RAND,AUTN,KSIASME)给用户设备31,信息给用户设备31收到用户认证请求,若可以接受移动管理单元/服务网关33的请求,则会传送用户认证请求回复给移动管理单元/服务网关33。如此,用户设备31将可以获得安全管理密钥KASME。上述用户认证请求(RAND,AUTN,KSIASME)表示携带RAND、AUTN、KSIASME等信息的用户认证请求,其中RAND表示随机数,AUTN表示一个认证数字,KSIASME表示对应安全管理密钥KASME的密钥组别识别。
接着,在步骤S313中,用户设备31执行密钥导出函数(Key DerivationFunction,KDF)以获得安全管理密钥KASME
步骤S32的非接入层安全性模式指令程序包括步骤S321、S322与S323。在步骤S321中,移动管理单元/服务网关33执行密钥导出函数,以根据安全管理密钥KASME获得非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int
在步骤S322中,用户设备31执行密钥导出函数,以根据安全管理密钥KASME来获得非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int,以及获得演进基站节点密钥KeNB
在步骤S323中,移动管理单元/服务网关33通过S1接口进行S1内容(context)设定,并将移动管理单元/服务网关33执行密钥导出函数的结果送给演进基站节点32,以让演进基站节点32导出演进基站节点密钥KeNB。演进基站节点密钥KeNB的值相关于安全管理密钥KASME,步骤S323与S322的执行顺序并不限定。
步骤S33的接入层安全性模式指令程序包括步骤S331与S334。在步骤S331中,演进基站节点32执行密钥导出函数,以根据演进基站节点密钥KeNB来获得用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
在步骤S334中,用户设备31执行密钥导出函数,以根据演进基站节点密钥KeNB来获得用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。步骤S331与S332的执行顺序并不限定。
为了有效延伸演进基站节点的覆盖范围,可以在目前长期演进技术***中加入中继节点,来中继用户设备与演进基站节点之间的数据与控制信号。目前第三代移动通信技术标准中,将中继节点的角色视为演进基站节点,但是目前第三代移动通信技术标准并未规范与解决有关中继节点至用户设备之间与中继节点至演进基站节点之间的安全性问题。
请参照图4,图4绘示了中继节点与演进基站节点之间的安全性问题的示意图。在图4的例子中,长期演进技术***4将其中继节点42视为用户设备41的演进基站节点。首先,在步骤S41中,鉴权与密钥协商程序会被执行。如此,用户设备41与移动管理单元/服务网关44会获得安全管理密钥KASME。
接着,在步骤S42中,非接入层安全性模式指令程序会被执行。如此,移动管理单元/服务网关44与用户设备41可以获得非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int,且用户设备41与中继节点42会获得演进基站节点密钥KeNB
在步骤S43中,接入层安全性模式指令程序会被执行,以使得无线资源控制安全性有效化。如此,用户设备41与中继节点42可以获得用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
但是,目前的第三代移动通信技术标准并没有定义与规范图4中的步骤S44。换言之,中继节点42与演进基站节点43之间或中继节点42与移动管理单元/服务网关44之间的密钥等级性、密钥分布程序与密钥分布事件都未有相关定义与规范。
总之,在图4中,第三代移动通信技术标准仅能在用户设备41与中继节点42之间通过Uu接口建立第三代移动通信技术标准释出第8版(Rel-8)所规范的安全性连结(Security Association,SA)SA41,第三代移动通信技术标准无法建立未知的中继节点42与演进基站节点43之间的Un接口安全性连结SA42。
接着,请参照图5,图5绘示了中继节点与演进基站节点之间的另一种安全性问题的示意图。在图5的例子中,长期演进技术***5将其中继节点51视为演进基站节点53的用户设备。首先,在步骤S51中,鉴权与密钥协商程序会被执行。如此,用户设备51与移动管理单元/服务网关54会获得安全管理密钥KASME
接着,在步骤S52中,非接入层安全性模式指令程序会被执行。如此,移动管理单元/服务网关54与用户设备51可以获得非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int,且用户设备51与演进基站节点53会获得演进基站节点密钥KeNB
在步骤S53中,接入层安全性模式指令程序会被执行,以使得无线资源控制安全性有效化。如此一来,用户设备51与演进基站节点53可以获得用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
但是,目前的第三代移动通信技术标准并没有定义与规范图5中的步骤S54。换言之,中继节点52与演进基站节点53之间的密钥等级性、密钥分布程序与密钥分布事件都未有相关定义与规范。。
总之,在图5中,第三代移动通信技术标准仅能在用户设备51与演进基站节点53之间通过Uu接口建立第三代移动通信技术标准释出第8版所规范的安全性连结SA51,第三代移动通信技术标准无法建立未知的中继节点52与演进基站节点53之间的未知安全性连结SA42。
发明内容
为了解决上述技术问题,本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过中继节点与无线通信***之服务网关进行认证,并借此建立用户设备与中继节点之间的第一安全性连结。中继节点通过基站节点建立中继节点与基站之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过基站节点与无线通信***的服务网关进行认证,并借此建立用户设备与基站节点之间的第一安全性连结。中继节点通过基站节点建立中继节点与基站之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的安全性连结。用户设备通过基站节点与无线通信***的服务网关进行认证,并借此建立用户设备与基站节点之间的安全性连结。中继节点不处理用户设备与基站节点之间的数据之加解密工作,而仅仅通透地通透地转送数据。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。中继节点通过基站节点与无线通信***的服务网关进行认证,以获得属于中继节点的第一安全管理密钥。中继节点进行第一远程数据安全性模式指令程序,以使得中继节点依据第一安全管理密钥获得属于中继节点的第一远程数据加密密钥、第一远程数据完整性密钥与第一基站节点密钥。中继节点进行第一近端数据安全性模式指令程序,以使得中继节点依据第一基站节点密钥获得属于中继节点的第一近端数据加密密钥、第一近端控制信号加密密钥与第一近端控制信号完整性密钥,以据此建立中继节点基站节点之间的第一安全性连结。用户设备通过中继节点与服务网关进行认证,以使用户设备获得属于用户设备的第二安全管理密钥。在用户设备进行第二远程数据安全性模式指令程序后,中继节点获得属于用户设备的第二基站密钥,其中第二基站节点密钥根据第二安全管理密钥产生。在用户设备进行第二近端数据安全性模式指令程序后,中继节点依据第二基站节点密钥获得属于用户设备的第二近端数据加密密钥、第二近端控制信号加密密钥、第二近端控制信号完整性密钥,以据此建立用户设备与中继节点之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。基站节点通过基站节点与中继节点之间的传输接口,获得属于中继节点的第一基站节点密钥,以借此让中继节点与基站节点依据第一基站节点密钥获得属于中继节点的第一近端数据加密密钥、第一近端控制信号加密密钥与第一近端控制信号完整性密钥,而借此完成中继节点与基站节点之间的第一安全性连结,其中第一基站节点密钥是根据属于中继节点的第一安全管理密钥所产生。用户设备通过中继节点与无线通信***之服务网关进行认证,以使用户设备获得属于用户设备的第二安全管理密钥。在用户设备进行第二远程数据安全性模式指令程序后,中继节点获得属于用户设备的第二基站密钥,其中第二基站节点密钥根据第二安全管理密钥产生。在用户设备进行第二近端数据安全性模式指令程序后,中继节点依据第二基站节点密钥获得属于用户设备的第二近端数据加密密钥、第二近端控制信号加密密钥、第二近端控制信号完整性密钥,以据此建立用户设备与中继节点之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过中继节点与无线通信***之服务网关进行认证,以使用户设备获得属于用户设备的安全管理密钥。在用户设备进行远程数据安全性模式指令程序后,中继节点获得属于用户设备的基站密钥,其中基站节点密钥根据安全管理密钥产生。在用户设备进行近端数据安全性模式指令程序后,中继节点依据基站节点密钥获得属于用户设备的近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,以据此建立用户设备与中继节点之间的第一安全性连结。基站节点通过基站节点与中继节点之间的传输接口,获得基站节点密钥,以借此让基站节点依据基站节点密钥获得近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,而借此完成中继节点与基站节点之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过中继节点与无线通信***的服务网关进行认证,以使用户设备获得属于用户设备的安全管理密钥。在用户设备进行远程数据安全性模式指令程序后,中继节点获得属于用户设备的基站密钥,其中基站节点密钥根据安全管理密钥产生。在用户设备进行近端数据安全性模式指令程序后,中继节点依据基站节点密钥获得属于用户设备的近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,以据此建立用户设备与中继节点之间的第一安全性连结。基站节点通过基站节点与中继节点之间的传输接口,获得近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,而借此完成中继节点与基站节点之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。基站节点通过基站节点与中继节点之间的传输接口,获得属于中继节点的第一近端数据加密密钥、第一近端控制信号加密密钥与第一近端控制信号完整性密钥,而借此完成中继节点与基站节点之间的第一安全性连结,其中属于中继节点的第一基站节点密钥是根据属于中继节点的第一安全管理密钥所产生,且第一近端数据加密密钥、第一近端控制信号加密密钥与第一近端控制信号完整性密钥是根据第一基站节点密钥所产生。用户设备通过中继节点与无线通信***的服务网关进行认证,以使用户设备获得属于用户设备的第二安全管理密钥。在用户设备进行第二远程数据安全性模式指令程序后,中继节点获得属于用户设备的第二基站密钥,其中第二基站节点密钥根据第二安全管理密钥产生。在用户设备进行第二近端数据安全性模式指令程序后,中继节点依据第二基站节点密钥获得属于用户设备的第二近端数据加密密钥、第二近端控制信号加密密钥、第二近端控制信号完整性密钥,以据此建立用户设备与中继节点之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过中继节点与无线通信***的服务网关进行认证,以使用户设备获得属于用户设备的安全管理密钥。在用户设备进行远程数据安全性模式指令程序后,中继节点获得属于用户设备的基站密钥,其中基站节点密钥根据安全管理密钥产生。在用户设备进行近端数据安全性模式指令程序后,中继节点依据基站节点密钥获得属于用户设备的近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,以据此建立用户设备与中继节点之间的第一安全性连结。在用户设备进行远程数据安全性模式指令程序时,基站节点提取根据安全管理密钥所产生的基站节点密钥。基站节点依据基站节点密钥获得近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,而借此完成中继节点与基站节点之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过基站节点与无线通信***的服务网关进行认证,以获得属于用户设备的安全管理密钥。用户设备进行远程数据安全性模式指令程序,以使得用户设备依据安全管理密钥获得属于用户设备的远程数据加密密钥、远程数据完整性密钥与基站节点密钥。用户设备进行一近端数据安全性模式指令程序,以使得用户设备依据基站节点密钥获得属于用户设备的近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,以据此建立用户设备与基站节点之间的第一安全性连结。中继节点通过基站节点通过基站节点与中继节点之间的一传输接口,获得近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,而借此完成中继节点与基站节点之间的一第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过基站节点与无线通信***的服务网关进行认证,以获得属于用户设备的安全管理密钥。用户设备进行远程数据安全性模式指令程序,以使得用户设备依据安全管理密钥获得属于用户设备的远程数据加密密钥、远程数据完整性密钥与基站节点密钥。用户设备进行近端数据安全性模式指令程序,以使得用户设备依据基站节点密钥获得属于用户设备的近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,以据此建立用户设备与基站节点之间的第一安全性连结。中继节点通过基站节点与中继节点之间的传输接口,获得基站节点密钥,以使中继节点根据基站节点密钥获得近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,而借此完成中继节点与基站节点之间的第二安全性连结。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的多个安全性连结。用户设备通过基站节点与无线通信***的服务网关进行认证,以获得属于用户设备的第一安全管理密钥。用户设备进行第一远程数据安全性模式指令程序,以使得用户设备依据第一安全管理密钥获得属于用户设备的第一远程数据加密密钥、第一远程数据完整性密钥与第一基站节点密钥。用户设备进行第一近端数据安全性模式指令程序,以使得用户设备依据第一基站节点密钥获得属于用户设备的第一近端数据加密密钥、第一近端控制信号加密密钥与第一近端控制信号完整性密钥,以据此建立用户设备与基站节点之间的第一安全性连结。基站节点通过基站节点与中继节点之间的传输接口,获得属于中继节点的第二基站节点密钥,以借此让中继节点与基站节点依据第二基站节点密钥获得属于中继节点的第二近端数据加密密钥、第二近端控制信号加密密钥与第二近端控制信号完整性密钥,而借此完成中继节点与基站节点之间的第二安全性连结,其中第二基站节点密钥是根据属于中继节点的第二安全管理密钥所产生。
本发明一示范实施例提供一种用于无线通信***的安全性方法,用于提供无线通信***的用户设备、中继节点与基站节点之间的安全性连结。用户设备通过基站节点与无线通信***的服务网关进行认证,以获得属于用户设备的安全管理密钥。用户设备进行远程数据安全性模式指令程序,以使得用户设备依据安全管理密钥获得属于用户设备的远程数据加密密钥、远程数据完整性密钥与基站节点密钥。用户设备进行近端数据安全性模式指令程序,以使得用户设备依据基站节点密钥获得属于用户设备一近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥,以据此建立用户设备与基站节点之间的第一安全性连结。中继节点不处理用户设备与基站节点之间的数据之加解密工作,而仅仅通透地通透地转送数据。
基于上述,本发明示范实施例提供用于具有中继节点的无线通信***的多种安全性方法,这些安全性方法提供了中继节点与用户设备之间的安全性连结,以及中继节点与演进基站节点之间的安全性连结。如此,通过中继节点帮忙进行数据传输的用户设备与演进基站节点之间的安全性连结可以被建立。除此之外,上述多种安全性方法的部份还可以降低中继节点的硬件成本与设计复杂度,或者提供较高的安全性与群组安全性等。
附图说明
图1绘示长期演进技术***的***示意图。
图2绘示长期演进技术通信***中的密钥的等级示意图。
图3绘示长期演进技术***的安全性方法的流程图。
图4绘示了中继节点与演进基站节点之间的安全性问题的示意图。
图5绘示了中继节点与演进基站节点之间的另一种安全性问题的示意图。
图6绘示本发明一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。
图7绘示本发明一示范实施例的鉴权与密钥协商程序的流程图。
图8接入层绘示本发明一示范实施例的非接入层安全性模式指令程序的流程图。
图9接入层绘示本发明一示范实施例的接入层安全性模式指令程序的流程图。
图10绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。
图11绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。
图12绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。
图13绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。
图14绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。
图15绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。
图16绘的本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。
附图标识说明
1、3~9、20~23:长期演进技术***
17:演进通用陆地无线接入网
11、31、41、51、61、71、81、91、201、211、221、231:用户设备
42、52、62、72、82、92、202、212、222、232:中继节点
12~14、32、43、53、63、73、83、93、203、213、223、233:演进基站节点
15、16、33、44、54、64、74、84、94、204、214、224、234:移动管理单元/服务网关
34:家用用户服务器
S31~S34、S311~S313、S321~S323、S331、S334、S41~S44、S51~S54、S61、S62、S611~S613、S621~S623、S71~S73、S711~S713、S721~S723、S731~S733、S81~S83、S811~S813、S821、S822、S91~S93、S921~S923、S201、S2011~S2014、S20121~S20123、S20131、、S211~S213、S2111~S2113、S2121~S2123、S2131~S2133、S20132、S221~S223、S2211~S2213、S2221、S2222、S231、S2311~S2313、S9500~S9502、S9510~S9515、S9520~S9526:步骤流程
SA41、SA42、SA51、SA52、SA61、SA62、SA71、SA72、SA81、SA82、SA91、SA92、SA201、SA202、SA211、SA212、SA221、SA222、SA231:安全性连结
具体实施方式
为了使本发明的技术特征和优点能够更好的理解,下面一实施例并配合附图作详细说明如下:
本发明提供多个用于具有中继节点的无线通信***的安全性方法的示范实施例,以解决中继节点与演进基站节点之间的未知安全性连结的问题。多个实施例中的一些安全性方法提供了比原来无线通信***更高的安全性,另外一些安全性方法则提供了与原来通信***相同的安全性。
请参照图6,图6绘示本发明一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。长期演进技术***6包括用户设备61、中继节点62、演进基站节点63与移动管理单元/服务网关64。在这个示范实施例中,长期演进技术***6将中继节点62视为演进基站节点63的用户设备,而且S1接口终止于中继节点62。换言之,中继节点62可通过S1接口与移动管理单元/服务网关64进行通信。
首先,在步骤S61中,中继节点62与演进基站节点63进行安全性连结SA62的建立。然后,在中继节点62与演进基站节点63建立好安全性连结后,执行步骤S62。在步骤S62中,中继节点62与用户设备61进行安全性连结SA61的建立。
步骤S61包括步骤S611、S612与S613。在步骤S611中,中继节点62通过演进基站节点63与移动管理单元/服务网关64执行鉴权与密钥协商程序,以使中继节点62与移动管理单元/服务网关64获得属于中继节点62的安全管理密钥KASME
在步骤S612中,执行非接入层安全性模式指令程序。如此,中继节点62将可以根据其安全管理密钥KASME获得属于中继节点62的非接入层安全性的加密密钥KNAS enc、完整性密钥KNAS int与演进基站节点密钥KeNB。移动管理单元/服务网关64也同样地可以获得属于中继节点62的非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int,而且移动管理单元/服务网关33通过S1接口进行S1内容设定,将可以使演进基站节点63获得属于中继节点62的演进基站节点密钥KeNB
在步骤S613中,执行接入层安全性模式指令程序,以借此使演进基站节点63与中继节点62之间的无线资源控制有效化。中继节点62与演进基站节点63可以根据属于中继节点62的演进基站节点密钥KeNB获得属于中继节点62的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此,就可以完成安全性连结SA62的建立。
在步骤S62中,又有步骤S621、S622与S623。在步骤S621中,用户设备61通过中继节点62与移动管理单元/服务网关64执行鉴权与密钥协商程序,以使用户设备61与移动管理单元/服务网关64获得属于用户设备61的安全管理密钥KASME
在步骤S622中,执行非接入层安全性模式指令程序。如此,用户设备61将可以根据其安全管理密钥KASME获得属于用户设备61的非接入层安全性的加密密钥KNAS enc、完整性密钥KNAS int与演进基站节点密钥KeNB。移动管理单元/服务网关64也同样地可以获得属于用户设备61的非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int,而且移动管理单元/服务网关33通过S1接口进行S1内容设定,将可以使中继节点62获得属于用户设备61的演进基站节点密钥KeNB
在步骤S623中,执行接入层安全性模式指令程序,以借此使用户设备61与中继节点62之间的无线资源控制有效化。中继节点62与用户设备61可以根据属于用户设备61的演进基站节点密钥KeNB获得属于用户设备61的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此,就可以完成安全性连结SA61的建立。
通过安全性连结SA61,用户设备61与中继节点62可以使用属于用户设备61的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int来加解密彼此传送的数据。通过安全性连结SA62,演进基站节点63与中继节点62可以使用属于中继节点62的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int来加解密彼此传送的数据。
安全性连结SA61与安全性连结SA62使用不同的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int,因此,在这个示范实施例中,长期演进技术***6的安全性较传统的长期演进技术***来得高。
除此之外,在这个示范实施例中,安全性连结SA62提供了支持群组安全性的功能。举例来说,针对属于相同的群组用户设备,中继节点62会使用相同的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int来建立相同的安全性连结SA62。在其它的情况下,亦可以使用安全性连结映射(SA mapping)技术来转换与转送安全性连结SA61与SA62之间的加密数据或不同群组的安全性连结。
另外,图6中的步骤S61与S62的执行顺序可以不被限定。举例来说,步骤S62可以先执行,之后再执行步骤S61。除此之外,亦可以在确保步骤S611执行于步骤S612与S613之前,以及在确保步骤S621执行于步骤S622与S623之前的情况下,任意地调整各步骤的执行顺序。
步骤S611与步骤S621所执行的鉴权与密钥协商程序是在长期演进技术***中所定义的名称,在其它标准的所定义的***中可能会有其它的名称。步骤S611或步骤S621的目的在于,使中继节点62与移动管理单元/服务网关64之间彼此认证,或使用户设备61与移动管理单元/服务网关64之间彼此认证。
步骤S612与步骤S622的非接入层安全性模式指令程序是长期演进技术***中所定义的名称,在其它标准的所定义的***中可能会有其它的名称。步骤S612或步骤S622的目的在于,使中继节点62与移动管理单元/服务网关64之间所传输的数据获得安全性保护,或使用户设备61与移动管理单元/服务网关64之间所传输的数据获得安全性保护。
步骤S613与步骤S623的接入层安全性模式指令程序是长期演进技术***中所定义的名称,在其它标准的所定义的***中可能会有其它的名称。步骤S613或步骤S623的目的在于,使中继节点62与演进基站节点63之间所传输的数据获得安全性保护,或使用户设备61与中继节点62之间所传输的数据获得安全性保护。基于同样的理由,虽然本案实施例中是以演进基站节点63为例,但其等同于其它标准中的基站节点。另外,在本案中,数据并不限定是一般的数据,本案的数据可以包括了一般数据与用来表示控制信号的控制数据。
在本文中,可以将鉴权与密钥协商程序称为用户认证程序。通过用户认证程序,作为客户端的使用者设备61或中继节点62将可以被远程的移动管理单元/服务网关64所认证。另外,在本文文中,可以将非接入层安全性模式指令程序称之为远程数据安全性模式指令程序,其用于对传输至或来自于移动管理单元/服务网关64的数据进行数据的安全性保护。相较于远程的移动管理单元/服务网关64,在本文中,可以将接入层安全性模式指令程序称之为近端数据安全性模式指令程序,其用于对中继节点62与演进基站节点63之间的数据,或对用户设备61与中继节点62之间的数据,或对用户设备61与演进基站节点63之间的数据,进行数据的安全性保护。
根据上述的定义,本文中的非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int又可以分别称为远程数据加密密钥与远程数据完整性密钥。本文中的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int又可以分别称为近端数据加密密钥、近端控制信号加密密钥与近端控制信号完整性密钥。演进基站节点密钥KeNB于本文中又可以称为基站密钥。
接着,请参照图7,图7绘示本发明一示范实施例的鉴权与密钥协商程序的流程图。步骤S611与步骤S621的鉴权与密钥协商程序可以由图7的内容而得知,图7的内容与第三代移动通信标准定义的内容一致。移动设备(Mobile Equipment,简称为ME)、通用用户识别模块或被视为演进基站节点的用户设备的中继节点都会与移动管理单元一同执行与完成鉴权与密钥协商程序。
首先,在步骤S9500中,移动管理单元传送用户认证请求(RAND,AUTH,KSIASME)给移动设备、通用用户识别模块或被视为演进基站节点的用户设备,其中上述用户认证请求(RAND,AUTN,KSIASME)表示携带RAND、AUTN、KSIASME等信息的用户认证请求,其中RAND表示随机数,AUTN表示一个认证数字,KSIASME表示对应安全管理密钥KASME的密钥组别识别。
接着,步骤S9501或步骤S9502会被执行。如果移动设备、通用用户识别模块或被视为演进基站节点的用户设备接受来自于移动管理单元的用户认证请求,则步骤S9501会被执行;相反地,若移动设备、通用用户识别模块或被视为演进基站节点的用户设备不接受来自于移动管理单元的用户认证请求,则步骤S9502会被执行。
在步骤S9501中,移动设备、通用用户识别模块或被视为演进基站节点的用户设备会传送用户认证回复(RES)给移动管理单元,其中用户认证回复(RES)表示带者RES信息的用户认证回复,而RES表示RESponse的意思,其定义于第三代移动通信标准内。若移动设备并非回复RES时,则在步骤S9502中,移动设备、通用用户识别模块或被视为演进基站节点的用户设备会传送用户认证拒绝(CAUSE)给移动管理单元,其中用户认证拒绝(CAUSE)表示带者CAUSE信息的用户认证回复,而CAUSE为用于告知错误的代码“CAUSE”,其定义于第三代移动通信标准内。
接着,请参照图8,图8绘示本发明一示范实施例的非接入层安全性模式指令程序的流程图。步骤S612与步骤S622的非接入层安全性模式指令程序可以由图8的内容而得知,图8的内容与第三代移动通信标准定义的内容一致。移动设备或被视为演进基站节点的用户设备的中继节点都会与移动管理单元一同执行与完成非接入层安全性模式指令程序。
首先,在步骤S9510,移动管理单元开始完整性保护。接着,在步骤S9511,移动管理单元传送非接入层安全性模式指令(eKSI,UEsec capabilities,Ciphering algorithm,Integrity algorithm,[IMEI request,][NONCEUE,NONCEMME,]NAS-MAC)给移动设备或被视为演进基站节点的用户设备的中继节点,其中非接入层安全性模式指令(eKSI,UEsec capabilities,Cipheringalgorithm,Integrity algorithm,[IMEI request,][NONCEUE,NONCEMME,]NAS-MAC)表示带者eKSI、UEsec capabilities、Ciphering algorithm、Integrityalgorithm、[IMEI request]、[NONCEUE,NONCEMME]与NAS-MAC等信息的用非接入层安全性模式指令,eKSI、UEsec capabilities、Ciphering algorithm、Integrity algorithm、[IMEI request]、[NONCEUE,NONCEMME]与NAS-MAC定义于第三代移动通信标准内。
接着,在步骤S9512中,移动管理单元可以开始上行解密,以解密其接收到的上行数据。在步骤S9513中,移动设备或被视为演进基站节点的用户设备的中继节点验证非接入层安全性模式指令的完整性。若非接入层安全性模式指令的完整性被成功地验证,则移动设备或被视为演进基站节点的用户设备的中继节点开始加密/解密与完整性保护,并于步骤S9514中,传送非接入层安全性模式完成([IMEI,]NAS-MAC)给移动管理单元,其中非接入层安全性模式完成([IMEI,]NAS-MAC)表示带着[IMEI]与NAS-MAC等信息的非接入层安全性模式完成,[IMEI]与NAS-MAC定义于第三代移动通信标准内。然后,在步骤S9515中,在移动管理单元接收到非接入层安全性模式完成([IMEI,]NAS-MAC)后,移动管理单元可以开始下行加密,以加密要传送给移动设备或被视为演进基站节点的用户设备的中继节点的下行数据。
接着,请参照图9,图9绘示本发明一示范实施例的接入层安全性模式指令程序的流程图。步骤S613与步骤S623的接入层安全性模式指令程序可以由图9的内容而得知,图9的内容与第三代移动通信标准定义的内容一致。移动设备或被视为演进基站节点的用户设备的中继节点都会与演进基站节点一同执行与完成接入层安全性模式指令程序。
首先,在步骤S9520,演进基站节点开始无线资源控制完整性保护。接着,在步骤S9521,演进基站节点传送接入层安全性模式指令(Integrityalgorithm,Ciphering algorithm,MAC-I)给移动设备或被视为演进基站节点的用户设备的中继节点,其中接入层安全性模式指令(Integrity algorithm,Ciphering algorithm,MAC-I)表示带着Integrity algorithm、Ciphering algorithm与MAC-I等信息的接入层安全性模式指令,Integrity algorithm、Cipheringalgorithm与MAC-I定义于第三代移动通信标准内。
接着,在步骤S9522中,演进基站节点可以开始无线资源控制/用户层面下行解密,以加密要传送给移动设备或被视为演进基站节点的用户设备的中继节点的下行数据。在步骤S9523中,移动设备或被视为演进基站节点的用户设备的中继节点验证接入层安全性模式指令的完整性。若接入层安全性模式指令的完整性被成功地验证,则移动设备或被视为演进基站节点的用户设备的中继节点开始无线资源控制完整性保护与无线资源控制/用户层面下行解密,以借此解密移动管理单元传送给移动设备或被视为演进基站节点的用户设备的中继节点的下行数据。
在于步骤S9524中,移动设备或被视为演进基站节点的用户设备的中继节点传送接入层安全性模式完成(MAC-I)给演进基站节点,其中接入层安全性模式完成(MAC-I)表示带着MAC-I信息的接入层安全性模式完成,MAC-I定义于第三代移动通信标准内。然后,在步骤S9525中,在移动设备或被视为演进基站节点的用户设备的中继节点传送接入层安全性模式完成(MAC-I)后,开始进行无线资源控制/用户层面上行加密,以加密要传送给移动管理单元的上行数据。在步骤S9526,在移动管理单元接收到接入层安全性模式完成(MAC-I)后,移动管理单元可以开始无线资源控制/用户层面上行解密,以解密其收到的上行数据。
请参照图10,图10绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。长期演进技术***7包括用户设备71、中继节点72、演进基站节点73与移动管理单元/服务网关74。在这个示范实施例中,长期演进技术***7将中继节点72视为演进基站节点,而且S1接口终止于中继节点72。换言之,中继节点72可通过71接口与移动管理单元/服务网关74进行通信。
图10的方法包括步骤S71与S72,或者包括步骤S72与S73。换言之,图10同时绘示了两种可能的安全性方法,其中步骤S71与步骤S72为一种中继节点72主动提供安全性连结SA72的安全性方法,步骤S72与步骤S73为一种中继节点72被动提供安全性连结SA72的安全性方法。
步骤S72与图6步骤S62相同,且步骤S72所包括的各步骤S721~S723也与步骤S62所包括的各步骤S621~623相同,因此便不再说明重复的内容。在执行完步骤S72之后,中继节点72与用户设备71可以建立安全性连结SA61。
在步骤S71中,中继节点72在与演进基站节点73进行互信后,便可以获得属于中继节点72的演进基站节点密钥KeNB,并根据属于中继节点72的演进基站节点密钥KeNB获得属于中继节点72的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此,便可以建立中继节点72与演进基站节点73的安全性连结SA72。
步骤S71执行于步骤S72之前,也就是在安全性连结SA71未建立前,便主动建立安全性连结SA72,以便后续中继节点72与演进基站节点73的数据传输使用。据此,称步骤S71与步骤S72为一种中继节点72主动提供安全性连结SA72的安全性方法。
步骤S71包括步骤S711、S712与S713。在步骤S711中,中继节点72在与演进基站节点73进行互信后,中继节点72通过S1接口可以传输S1-AP信息给演进基站节点73,以借此让中继节点72与演进基站节点73可以根据属于中继节点72的安全管理密钥KASME获得属于中继节点72的演进基站节点密钥KeNB;或者,中继节点72通过X2接口可以传输X2-AP信息给演进基站节点73,以借此让中继节点72与演进基站节点73可以根据属于中继节点72的安全管理密钥KASME获得属于中继节点72的演进基站节点密钥KeNB。关于S1-AP信息与X2-AP信息的描述可以参照第三代移动通信技术标准,故不再赘述。除此之外,S1-AP或X2-AP信息是通过串流控制传输协议(SCTP)或者因特网协议(IP)连结来传输。
在步骤S712中,中继节点72执行密钥导出函数,以根据导出的属于中继节点72的演进基站节点密钥KeNB来获得属于中继节点72的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
在步骤S713中,演进基站节点73执行密钥导出函数,以根据导出的属于中继节点72的演进基站节点密钥KeNB来获得属于中继节点72的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
步骤S713与步骤S712的顺序并没有任何的限定。另外,在步骤S711需执行于步骤S713与S712之前的前提下,图10中步骤S712与S713的执行顺序可以任意排定。
步骤S73执行于步骤S72之后,也就是在安全性连结SA71建立后,才被动地建立安全性连结SA72,以便中继节点72与演进基站节点73的数据传输使用。据此,称步骤S72与步骤S73为一种中继节点72被动提供安全性连结SA72的安全性方法。
步骤S73与步骤S71相同,且步骤S73所包括的步骤S731~S733与步骤S71所包括的步骤S711~S713亦相同,故不再赘述。要说明的是,步骤S732与步骤S733的执行顺序并不限定。除此之外,在图10的实施例中,安全性连结SA72也同样地提供群组安全性。
另外,需要说明的是,步骤S711与步骤S731中的S1接口、X2接口、S1-AP信息与X2-AP信息是针对长期演进技术而采用的词汇。在不同的标准中,其名称可能会有所不同。事实上,S1接口与X2接口可以是任何一种传输接口,且S1-AP信息与X2-AP信息可以是任何一种传输接口的控制传输信息。
请参照图11,图11绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。长期演进技术***8包括用户设备81、中继节点82、演进基站节点83与移动管理单元/服务网关84。在这个示范实施例中,长期演进技术***8将中继节点82视为演进基站节点,而且S1接口终止于中继节点82。换言之,中继节点82可通过81接口与移动管理单元/服务网关84进行通信。
图11的方法包括步骤S81与S82,或者包括步骤S81与S83。换言之,图11同时绘示了两种可能的安全性方法,步骤S81与步骤S82为其中一种的安全性方法,步骤S81与步骤S83为其中另一种的安全性方法。在这个示范实施例中,步骤S82或步骤S83执行于步骤S81之后。
步骤S81与图6步骤S62相同,且步骤S81所包括的各步骤S811~S813也与步骤S62所包括的各步骤S621~623相同,因此便不再说明重复的内容。在执行完步骤S81之后,中继节点82与用户设备81可以建立安全性连结SA81。
在步骤S82中,中继节点82在与演进基站节点83进行互信后,演进基站节点83便可以获得属于用户设备81的演进基站节点密钥KeNB,并根据属于用户设备81的演进基站节点密钥KeNB获得属于用户设备81的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此,便可以建立中继节点82与演进基站节点83的安全性连结SA82。
步骤S82包括步骤S821与S822。在步骤S821中,中继节点82在与演进基站节点83进行互信后,中继节点82通过S1接口可以传输S1-AP信息给演进基站节点83,以借此让演进基站节点83可以获得属于用户设备81的演进基站节点密钥KeNB;或者,中继节点82通过X2接口可以传输X2-AP信息给演进基站节点83,以借此让演进基站节点83可以获得属于用户设备81的演进基站节点密钥KeNB
在步骤S822中,演进基站节点83执行密钥导出函数,以根据导出的属于用户设备81的演进基站节点密钥KeNB来获得属于用户设备81的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
为了提高长期演进技术***8的安全性,包括步骤S81与S83的安全性方法被提出。相对于包括步骤S81与S82的安全性方法,包括步骤S81与S83的安全性方法并不需要中继节点82将属于用户设备81的演进基站节点密钥KeNB传送给演进基站节点83。
在步骤S83中,中继节点82在与演进基站节点83进行互信后,中继节点82通过S1接口可以传输S1-AP信息给演进基站节点83,以借此让演进基站节点83可以获得属于用户设备81的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int;或者,中继节点82通过X2接口可以传输X2-AP信息给演进基站节点83,以借此让演进基站节点83可以获得属于用户设备81的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
用户设备81与中继节点82之间所建立的安全性连结SA81所使用的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc、无线资源控制完整性密钥KRRC int与中继节点82与演进基站节点83之间所建立的安全性连结SA82所使用的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc、无线资源控制完整性密钥KRRC int相同。因此,当安全性连结SA81与SA82的其中之一被更新时,另一个安全性连结也可以一同更新。
请参照图12,图12绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。长期演进技术***9包括用户设备91、中继节点92、演进基站节点93与移动管理单元/服务网关94。在这个示范实施例中,长期演进技术***9将中继节点92视为演进基站节点,而且S1接口终止于中继节点92。换言之,中继节点92可通过91接口与移动管理单元/服务网关94进行通信。
图12的方法包括步骤S91与S72,或者包括步骤S92与S93。换言之,图12同时绘示了两种可能的安全性方法,其中步骤S91与步骤S92为一种中继节点92主动提供安全性连结SA92的安全性方法,步骤S92与步骤S93为一种中继节点92被动提供安全性连结SA92的安全性方法。
步骤S92与图6步骤S62相同,且步骤S92所包括的各步骤S921~S923也与步骤S62所包括的各步骤S621~623相同,因此便不再说明重复的内容。在执行完步骤S92之后,中继节点92与用户设备91可以建立安全性连结SA91。
在步骤S91中,中继节点92在与演进基站节点93进行互信后,中继节点92通过S1接口可以传输S1-AP信息给演进基站节点93,以借此让演进基站节点93可以获得属于中继节点92的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int;或者,中继节点92通过X2接口可以传输X2-AP信息给演进基站节点93,以借此让演进基站节点93可以获得属于中继节点92的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
步骤S93与步骤S91相同,故不再赘述。在图12的示范实施例中,安全性连结SA92还提供群组安全性。与图10的长期演进技术***7相比,图12的长期演进技术***7具有较高的安全性,因为图12的中继节点92并没有将属于中继节点92的演进基站节点KeNB传递给演进基站节点93。
请参照图13,图13绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。长期演进技术***20包括用户设备201、中继节点202、演进基站节点203与移动管理单元/服务网关204。在这个示范实施例中,长期演进技术***20将中继节点202视为演进基站节点,而且S1接口终止于中继节点202。换言之,中继节点202可通过S1接口与移动管理单元/服务网关204进行通信。
在图13的示范实施例中,步骤S201会被执行,以建立中继节点202与用户设备201之间的安全性连结SA201。在建立中继节点202与用户设备201之间的安全性连结SA201的同时,复制一份用户设备201的演进基站节点密钥KeNB给演进基站节点203,以借此建立中继节点与演进基站节点203之间的安全性连结SA202。
步骤S201包括步骤S2011、S2022、S2013与S2014。在步骤S2011中,鉴权与密钥协商程序会被执行,以使得用户设备201与移动管理单元/服务网关204获得属于用户设备201的安全管理密钥KASME
步骤S2012中,非接入层安全性模式指令程序会被执行,且在进行S1内容设定时,会开始执行步骤S2013。步骤S2012包括步骤S20121~S20123。在步骤S20121中,移动管理单元/服务网关204会执行密钥导出函数,以根据属于用户设备201的安全管理密钥KASME获得属于用户设备201的非接入层安全性之加密密钥KNAS enc与完整性密钥KNAS int
在步骤S20122中,S1内容设定会被执行。移动管理单元/服务网关204通过S1接口与中继节点202沟通,以使得中继节点202获得属于用户设备202的演进基站节点密钥KeNB。在执行步骤S20122的同时,步骤S2013也会被同时执行。
在步骤S20123中,用户设备201会执行密钥导出函数,以根据属于用户设备201的安全管理密钥KASME来获得属于用户设备201的非接入层安全性之加密密钥KNAS enc与完整性密钥KNAS int。步骤S20121与S20123的执行顺序并未限定图13的示范实施例。
步骤S2013包括步骤S20131与步骤S20132。在步骤S20122进行S1内容设定时,步骤S20131会同时被执行,以复制一份属于用户设备201的演进基站节点密钥KeNB给演进基站节点203。在步骤S20132中,演进基站节点203根据属于用户设备201的演进基站节点密钥KeNB获得属于用户设备201的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此,中继节点202与演进基站节点203可以建立安全性连结SA202。
在步骤S2014中,接入层安全性模式指令程序会被执行,以使得用户设备201与中继节点202之间的无线资源控制安全性有效化。如此,用户设备201与中继节点202可以根据属于用户设备201的演进基站节点密钥KeNB获得属于用户设备201的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int,以借此建立用户设备201与中继节点202之间的安全性连结SA201。
用户设备201与中继节点202之间所建立的安全性连结SA201所使用的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc、无线资源控制完整性密钥KRRC int与中继节点202与演进基站节点203之间所建立的安全性连结SA202所使用的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc、无线资源控制完整性密钥KRRC int相同。因此,当安全性连结SA201与SA202的其中之一被更新时,另一个安全性连结也可以一同更新。
请参照图14,图14绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。长期演进技术***22包括用户设备221、中继节点222、演进基站节点223与移动管理单元/服务网关224。在这个示范实施例中,长期演进技术***22将中继节点222视为演进基站节点223的用户设备,而且S1接口终止于演进基站节点223。换言之,中继节点222并无法直接通过S1接口与移动管理单元/服务网关224进行通信。
图14的方法包括步骤S221与S222,或者包括步骤S221与S223。换言之,图14同时绘示了两种可能的安全性方法,步骤S221与步骤S222为其中一种的安全性方法,步骤S221与步骤S223为其中另一种的安全性方法。与包括步骤S221与步骤S222的安全性方法相比较,包括步骤S221与S223的安全性方法可以简化中继节点222的设计复杂度与硬件成本。另外,在这个示范实施例中,步骤S222或步骤S223执行于步骤S221之后。
步骤S221中,建立用户设备221与演进基站节点223之间的安全性连结SA221。因为有中继节点222的原因,因此必须要执行步骤S222或S223,才可以建立安全性连结SA222。在步骤S222或S223中,建立中继节点222与演进基站节点223之间的安全性连结SA222。
步骤S221包括步骤S2211~S2213。在步骤S2211中,通过演进基站节点223,鉴权与密钥协商程序会被执行,以使用户设备221与移动管理单元/服务网关224获得属于用户设备221的安全管理密钥KASME
在步骤S2212中,执行非接入层安全性模式指令程序,以使移动管理单元/服务网关224与用户设备221可以获得非接入层安全性的加密密钥KNAS enc与完整性密钥KNAS int,且用户设备221与演进基站节点223会获得演进基站节点密钥KeNB
在步骤S2213中,接入层安全性模式指令程序会被执行,以使得无线资源控制安全性有效化。如此一来,用户设备221与演进基站节点223可以获得属于用户设备221的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此,便可以建立用户设备221与演进基站节点223之间的安全性连结。
步骤S222包括步骤S2221与步骤S2221。在步骤S2221中,演进基站节点223使用无线乘载传输(radio bearer transfer)来传输NAS信息,以使中继节点222获得属于用户设备221的演进基站节点密钥KeNB,其中NAS信息的描述可参照第三代移动通信技术,故不在此赘述。
在步骤S2222中,中继节点222执行密钥导出函数,以根据演进基站节点密钥KeNB获得属于用户设备221的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此一来,可以建立中继节点222与演进基站节点223之间的安全性连结SA222。
不同于步骤S222,在步骤S223中,演进基站节点223不需要将属于用户设备221的演进基站节点密钥KeNB传送给中继节点222,因此其安全性较高。在步骤S223中,演进基站节点223使用无线乘载传输来传输NAS信息,以使中继节点222获得属于用户设备221的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此一来,可以建立中继节点222与演进基站节点223之间的安全性连结SA222,而且因为中继节点222不需要执行密钥导出函数,因此其设计复杂度与硬件成本都可以被降低。
用户设备221与中继节点222之间所建立的安全性连结SA221所使用的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc、无线资源控制完整性密钥KRRC int与中继节点222与演进基站节点223之间所建立的安全性连结SA222所使用的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc、无线资源控制完整性密钥KRRC int相同。因此,当安全性连结SA221与SA222的其中之一被更新时,另一个安全性连结也可以一同更新。
请参照图15,图15绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。长期演进技术***21包括用户设备211、中继节点212、演进基站节点213与移动管理单元/服务网关214。在这个示范实施例中,长期演进技术***21将中继节点212视为演进基站节点,而且S1接口终止于演进基站节点213。换言之,中继节点212并无法直接通过S1接口与移动管理单元/服务网关214进行通信。
图15的方法包括步骤S211与S212,或者包括步骤S212与S213。换言之,图15同时绘示了两种可能的安全性方法,其中步骤S211与步骤S212为一种中继节点212主动提供安全性连结SA212的安全性方法,步骤S212与步骤S213为一种中继节点212被动提供安全性连结SA212的安全性方法。
步骤S212与图14步骤S221相同,且步骤S212所包括的各步骤S2121~S2123也与步骤S221所包括的各步骤S2211~2213相同,因此便不再说明重复的内容。在执行完步骤S212之后,演进基站节点213与用户设备211可以建立安全性连结SA211。
在步骤S211中,中继节点212在与演进基站节点213进行互信后,便可以获得属于中继节点212的演进基站节点密钥KeNB,并根据属于中继节点212的演进基站节点密钥KeNB获得属于中继节点212的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int。如此,便可以建立中继节点212与演进基站节点213的安全性连结SA212。
步骤S211执行于步骤S212之前,也就是在安全性连结SA211未建立前,便主动建立安全性连结SA212,以便后续中继节点212与演进基站节点213的数据传输使用。据此,称步骤S211与步骤S212为一种中继节点212主动提供安全性连结SA212的安全性方法。
步骤S211包括步骤S2111、S2112与S2113。在步骤S2111中,中继节点212在与演进基站节点213进行互信后,中继节点212使用无线乘载传输来传送RRC信息给演进基站节点213,以借此让以借此让中继节点212与演进基站节点213可以根据属于中继节点212的安全管理密钥KASME获得属于中继节点212的演进基站节点密钥KeNB。关于RRC信息的描述可以参照第三代移动通信技术标准,故不再赘述。除此之外,RRC信息可以不经过因特网协议连结来传输。
在步骤S2112中,中继节点212执行密钥导出函数,以根据导出的属于中继节点212的演进基站节点密钥KeNB来获得属于中继节点212的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
在步骤S2113中,演进基站节点213执行密钥导出函数,以根据导出的属于中继节点212的演进基站节点密钥KeNB获得属于中继节点212的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
步骤S2113与步骤S2112的顺序并没有任何的限定。另外,在步骤S2111需执行于步骤S2113与S2112之前的前提下,图10中步骤S2112与S2113的执行顺序可以任意排定。
步骤S213执行于步骤S212之后,也就是在安全性连结SA211建立后,才被动地建立安全性连结SA212,以便中继节点212与演进基站节点213的数据传输使用。据此,称步骤S212与步骤S213为一种中继节点212被动提供安全性连结SA212的安全性方法。
步骤S213与步骤S211相同,且步骤S213所包括的步骤S2131~S2133与步骤S211所包括的步骤S2111~S2113亦相同,故不再赘述。要说明的是,步骤S2132与步骤S2133的执行顺序并不限定。除此之外,在图15的实施例中,安全性连结SA212也同样地提供群组安全性。
另外,上述实施步骤S211或S213的方式亦可以不传送属于中继节点212的演进基站节点密钥KeNB。在步骤S211或S213中,中继节点212在与演进基站节点213进行互信后,中继节点212使用无线乘载传输来传送RRC信息给演进基站节点213,以借此让演进基站节点213可以获得属于中继节点212的用户层面加密密钥KUP enc、无线资源控制加密密钥KRRC enc与无线资源控制完整性密钥KRRC int
请参照图16,图16绘示本发明另一示范实施例的用于具有中继节点的无线通信***的安全性方法的流程示意图。长期演进技术***23包括用户设备231、中继节点232、演进基站节点233与移动管理单元/服务网关234。在这个示范实施例中,而且S1接口终止于演进基站节点233。换言之,中继节点232并无法直接通过S1接口与移动管理单元/服务网关234进行通信。
步骤S232与图14步骤S221相同,且步骤S232所包括的各步骤S2321~S2123也与步骤S221所包括的各步骤S2211~2213相同,因此便不再说明重复的内容。在执行完步骤S232之后,演进基站节点233与用户设备231可以建立安全性连结SA231。
图16的提供了一种通透(transparent)的安全性方法,在图16中,中继节点232并不处理加密或解密的工作。中继节点232仅会单纯且直接地将接收到的加密数据转换给用户设备231与演进基站节点233。图16的安全性方法可以让中继节点232的硬件成本与设计复杂度大大地降低。
综上所述,本发明示范实施例提供用于具有中继节点的无线通信***的多种安全性方法,这些安全性方法提供了中继节点与用户设备之间的安全性连结,以及中继节点与演进基站节点之间的安全性连结。如此,通过中继节点帮忙进行数据传输的用户设备与演进基站节点之间的安全性连结可以被建立。除此之外,上述多种安全性方法的部份还可以降低中继节点之硬件成本与设计复杂度,或者提供较高的安全性与群组安全性等。
虽然本发明已以示范实施例公开如上,然其并非用于限定本发明,任何本技术领域的普通技术人员,在不脱离本发明的精神和范围内,可作一些变化和改善,故本发明保护范围以权利要求书为准。

Claims (17)

1.一种用于一无线通信***的安全性方法,用于提供该无线通信***的一用户设备、一中继节点与一基站节点之间的多个安全性连结,其特征在于,该安全性方法包括:
该用户设备通过该中继节点与该无线通信***的一服务网关进行认证,并借此建立该用户设备与该中继节点之间的第一安全性连结;以及
该中继节点通过该基站节点建立该中继节点与该基站节点之间的一第二安全性连结;
建立该第一安全性连结的步骤包括:
该用户设备通过该中继节点与该服务网关执行一第一认证程序;
该用户设备通过该中继节点与该服务网关执行一第一远程数据安全性模式指令程序,以使得该用户设备与该服务网关之间的数据获得安全性保护;以及
该用户设备与该中继节点执行一第一近端数据安全性模式指令程序,以完成该第一安全性连结的建立,而使该用户设备与该中继节点之间的数据获得安全性保护;
其中该第一认证程序为一第一鉴权与密钥协商程序,该第一远程数据安全性模式指令程序为一第一非接入层安全性模式指令程序,且该第一近端数据安全性模式指令程序为一第一接入层安全性模式指令程序;
而且在该第一鉴权与密钥协商程序执行后,该中继节点与该服务网关获得属于该用户设备的一第一安全管理密钥;在该第一非接入层安全性模式指令程序执行后,该中继节点与该服务网关根据该第一安全管理密钥获得属于该用户设备的一第一非接入层加密密钥与一第一非接入层完整性密钥,且该中继节点与该基站节点获得属于该用户设备的一第一基站节点密钥;在该第一接入层安全性模式指令程序执行后,该中继节点与该基站节点根据该第一基站节点密钥获得属于该用户设备的一第一无线资源控制加密密钥、一第一无线资源控制完整性密钥与一第一用户层面加密密钥。
2.如权利要求1所述的安全性方法,其特征在于,该中继节点通过该基站节点与该服务网关认证,并借此建立该第二安全性连结。
3.如权利要求1所述的安全性方法,其中建立该第二安全性连结的步骤包括:
该中继节点通过该基站与该服务网关执行一第二认证程序;
该中继节点通过该基站与该服务网关执行一第二远程数据安全性模式指令程序,以使得中继节点与该服务网关之间的数据获得安全性保护;以及
该中继节点与该基站执行一第二近端数据安全性模式指令程序,以完成该第二安全性连结的建立,而使该中继节点与该基站之间的数据获得安全性保护。
4.如权利要求3所述的安全性方法,其特征在于,该无线通信***为一长期演进技术***,且该第二认证程序为一第二鉴权与密钥协商程序,该第二远程数据安全性模式指令程序为一第二非接入层安全性模式指令程序,且该第二近端数据安全性模式指令程序为一第二接入层安全性模式指令程序。
5.如权利要求4所述的安全性方法,其特征在于,在该第二鉴权与密钥协商程序执行后,该用户设备与该服务网关获得属于该中继节点的一第二安全管理密钥;在该第二非接入层安全性模式指令程序执行后,该用户设备与该服务网关根据该第二安全管理密钥获得属于该中继节点的一第二非接入层加密密钥与一第二非接入层完整性密钥,且该用户设备与该中继节点获得属于该中继节点的一第二基站节点密钥;在该第二接入层安全性模式指令程序执行后,该用户设备与该中继节点根据该第二基站节点密钥获得属于该中继节点的一第二无线资源控制加密密钥、一第二无线资源控制完整性密钥与一第二用户层面加密密钥。
6.如权利要求3所述的安全性方法,其特征在于,该第二安全性连结支持群组安全性。
7.如权利要求1所述的安全性方法,其特征在于,建立该第二安全性连结的步骤包括:
该中继节点与该基站之间通过一传输接口传输一传输控制信息,以使该中继节点与该基站节点获得属于该中继节点的一第二基站节点密钥;
该基站节点执行一密钥导出函数,以根据该第二基站节点密钥获得属于该中继节点的一第二无线资源控制加密密钥、一第二无线资源控制完整性密钥与一第二用户层面加密密钥;以及
该中继节点执行该密钥导出函数,以根据该第二基站节点密钥获得该第二无线资源控制加密密钥、该第二无线资源控制完整性密钥与该第二用户层面加密密钥。
8.如权利要求7所述的安全性方法,其特征在于,该无线通信***为一长期演进技术***,当该传输接口为一S1接口时,该传输控制信息为一S1-AP信息,当该传输接口为一X2接口时,该传输控制信息为一X2-AP信息。
9.如权利要7所述的安全性方法,其特征在于,该第二安全性连结支持群组安全性。
10.如权利要求1所述的安全性方法,其特征在于,建立该第二安全性连结的步骤包括:
该中继节点与该基站之间通过一传输接口传输一传输控制,以使该基站节点在不获得属于该中继节点的一第二基站节点密钥的情况下,获得属于该中继节点的一第二无线资源控制加密密钥、一第二无线资源控制完整性密钥与一第二用户层面加密密钥。
11.如权利要求10所述的安全性方法,其特征在于,该无线通信***为一长期演进技术***,当该传输接口为一S1接口时,该传输控制信息为一S1-AP信息,当该传输接口为一X2接口时,该传输控制信息为一X2-AP信息。
12.如权利要求10所述的安全性方法,其特征在于,该第二安全性连结支持群组安全性。
13.如权利要求1所述的安全性方法,其特征在于,建立该第二安全性连结的步骤包括:
该中继节点与该基站之间通过一传输接口传输一传输控制信息,以使该基站节点获得属于该用户设备的一第一基站节点密钥;
该基站节点执行一密钥导出函数,以根据该第一基站节点密钥获得属于该用户设备的一第一无线资源控制加密密钥、一第一无线资源控制完整性密钥与一第一用户层面加密密钥。
14.如权利要求13所述的安全性方法,其特征在于,该无线通信***为一长期演进技术***,当该传输接口为一S1接口时,该传输控制信息为一S1-AP信息,当该传输接口为一X2接口时,该传输控制信息为一X2-AP信息。
15.如权利要求1所述的安全性方法,其特征在于,建立该第二安全性连结的步骤包括:
该中继节点与该基站之间通过一传输接口传输一传输控制信息,以使该基站节点在不需要获得属于该用户设备的一第一基站节点密钥的情况下,获得属于该用户设备的一第一无线资源控制加密密钥、一第一无线资源控制完整性密钥与一第一用户层面加密密钥。
16.如权利要求15所述的安全性方法,其特征在于,该无线通信***为一长期演进技术***,当该传输接口为一S1接口时,该传输控制信息为一S1-AP信息,当该传输接口为一X2接口时,该传输控制信息为一X2-AP信息。
17.如权利要求1所述的安全性方法,其特征在于,建立该第二安全性连结的步骤包括:
在该服务网关将该第一基站节点密钥传送给该中继节点的同时,复制一份该第一基站节点密钥给该基站节点;以及
该基站节点执行一密钥导出函数,以根据该第一基站节点密钥获得该第一无线资源控制加密密钥、该第一无线资源控制完整性密钥与该第一用户层面加密密钥。
CN201010254825.8A 2009-08-14 2010-08-13 用于具有中继节点的无线通信***的安全性方法 Active CN101998392B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US23399109P 2009-08-14 2009-08-14
US61/233,991 2009-08-14

Publications (2)

Publication Number Publication Date
CN101998392A CN101998392A (zh) 2011-03-30
CN101998392B true CN101998392B (zh) 2013-08-21

Family

ID=43787772

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010254825.8A Active CN101998392B (zh) 2009-08-14 2010-08-13 用于具有中继节点的无线通信***的安全性方法

Country Status (2)

Country Link
CN (1) CN101998392B (zh)
TW (1) TWI430674B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905389B (zh) * 2012-12-26 2017-05-24 华为终端有限公司 基于中继设备的安全关联、数据传输方法及装置、***
CN108112013B (zh) * 2013-03-13 2020-12-15 华为技术有限公司 数据的传输方法、装置和***
US10693904B2 (en) * 2015-03-18 2020-06-23 Certis Cisco Security Pte Ltd System and method for information security threat disruption via a border gateway
CN106375989B (zh) * 2015-07-20 2019-03-12 中兴通讯股份有限公司 实现接入层安全的方法及用户设备和无线接入小节点
CN107104977B (zh) * 2017-05-23 2020-07-31 北京天德科技有限公司 一种基于sctp协议的区块链数据安全传输方法
CN109150899B (zh) * 2018-09-18 2021-03-16 恒宝股份有限公司 一种物联网移动通信方法及***
CN113766494B (zh) * 2020-05-27 2024-06-28 维沃移动通信有限公司 密钥获取方法、装置、用户设备及网络侧设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101040544A (zh) * 2004-11-02 2007-09-19 捷讯研究有限公司 Plmn环境中的通用接入网(gan)控制器的选择
CN101500229A (zh) * 2008-01-30 2009-08-05 华为技术有限公司 建立安全关联的方法和通信网络***
CN101500230A (zh) * 2008-01-30 2009-08-05 华为技术有限公司 建立安全关联的方法和通信网络

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2642822C (en) * 2006-03-31 2013-01-15 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101040544A (zh) * 2004-11-02 2007-09-19 捷讯研究有限公司 Plmn环境中的通用接入网(gan)控制器的选择
CN101500229A (zh) * 2008-01-30 2009-08-05 华为技术有限公司 建立安全关联的方法和通信网络***
CN101500230A (zh) * 2008-01-30 2009-08-05 华为技术有限公司 建立安全关联的方法和通信网络

Also Published As

Publication number Publication date
TW201132143A (en) 2011-09-16
TWI430674B (zh) 2014-03-11
CN101998392A (zh) 2011-03-30

Similar Documents

Publication Publication Date Title
CN101998392B (zh) 用于具有中继节点的无线通信***的安全性方法
CN109644134A (zh) 用于大型物联网组认证的***和方法
CN108781366A (zh) 用于5g技术的认证机制
US8605904B2 (en) Security method in wireless communication system having relay node
CN101114901B (zh) 非接触式无线数据传输的安全认证***、设备及方法
CN102843687B (zh) 智能手机便携式热点安全接入的方法及***
CN101926151B (zh) 建立安全关联的方法和通信网络***
CN101783800B (zh) 一种嵌入式***安全通信方法、装置及***
CN103688563A (zh) 执行组认证和密钥协商过程
CN105227537A (zh) 用户身份认证方法、终端和服务端
CN102783080A (zh) 安全多uim认证与密钥交换
CN104704769A (zh) 无线通信***
CN106031120B (zh) 密钥管理
CN102682506A (zh) 基于对称密码技术的智能蓝牙门禁控制方法及装置
CN105323754B (zh) 一种基于预共享密钥的分布式鉴权方法
CN101945386A (zh) 一种实现安全密钥同步绑定的方法及***
CN101990201B (zh) 生成gba密钥的方法及其***和设备
CN101552984B (zh) 一种移动通信***的基站的安全接入方法
CN101895881A (zh) 一种实现gba密钥的方法及终端可插拔设备
CN101944216A (zh) 双因子在线交易安全认证方法及***
CN101888626A (zh) 一种实现gba密钥的方法及其终端设备
CN104796891A (zh) 一种利用运营商网络实现安全认证***及相应的方法
CN101877852B (zh) 用户接入控制方法和***
CN105828330B (zh) 一种接入方法及装置
CN107786978B (zh) 基于量子加密的nfc认证***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant