CN102056159A - 一种中继***的安全密钥获取方法、装置 - Google Patents
一种中继***的安全密钥获取方法、装置 Download PDFInfo
- Publication number
- CN102056159A CN102056159A CN2009101100275A CN200910110027A CN102056159A CN 102056159 A CN102056159 A CN 102056159A CN 2009101100275 A CN2009101100275 A CN 2009101100275A CN 200910110027 A CN200910110027 A CN 200910110027A CN 102056159 A CN102056159 A CN 102056159A
- Authority
- CN
- China
- Prior art keywords
- node
- key
- enb
- obtains
- relay system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/047—Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种中继***安全密钥获取方法与装置,通过中继***的节点获取初始密钥,所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥,所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。以使得各下级节点根据所述初始密钥获取各下级节点之间的空口保护密钥的根密钥,使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种中继***的***密钥获取方法、装置。
背景技术
LTE-A(Long Term Evolution-Advanced,演进的LTE)是当前最受关注的宽带无线通信技术标准3GPP LTE的演进,为了提高小区边缘的吞吐量,LTE-A中引入中继节点(Relay Node,RN),方便运营商或用户临时网络部署需求,以及支持群移动功能,RN可以部署在乡村、城市、室内热点区域或者盲点区域。
RN具有如下特性:
RN可以具有属于自己的物理小区标识(PCI,Physical Cell Identity),用于传输自己的同步信号,参考信号;
UE可以接收RN的调度信息以及自动重传请求(HARQ,Hybrid Automatic Retransmitting Request)反馈,并发送自己的控制信息给RN;
针对3GPP Release 8 UE,RN可以为R8 eNB,即具有后向兼容特性;
针对LTE-A UE,RN可以为不同于R8 eNB的实体。
RN位于RN归属基站Donor eNB与UE之间,RN向UE发送下行信号,或者RN向DeNB发送上行信号,其中,RN与DeNB之间的空口叫做Un口,RN与UE之间的空口叫Uu口。eNB到UE的数据经过两段空口,即经过两跳到达UE,随着更多RN的加入,LTE-A里还可以出现多跳场景。
RN可以完成Uu口上无线承载(RB,Radio Bearer)和Un口上RB的相互映射,映射方式可以包括:
一对一的映射,具体为Uu口上一个RB映射到Un口上一个RB;
多对一的映射,具体为Uu口上多个RB映射到Un口上一个RB,同理,也可以将一个UE的所有RB映射到Un口上一个RB,此时,Un口的RB是每个UE即per UE粒度;还可以将Uu口上有类似业务质量(Qos,Quality of Service)的RB映射到Un口的一个RB上。
由于RN的引入,使得空口链路段数增多,密钥层次也增多,现有安全机制不能对各段空口上数据进行有效的安全保护。
发明内容
本发明实施例提供了一种中继***安全密钥获取方法、装置,使UE在Un口链路上的数据可以分别保护。
本发明实施例公开了一种中继***安全密钥获取方法,包括:
中继***的节点获取初始密钥;
所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥;
所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。
本发明实施例公开了一种中继***安全密钥获取方法,包括:
第一中继节点在与第一中继节点的相邻接节点认证的过程中获取根密钥;
所述第一中继节点根据所述根密钥获取用于保护所述第一中继节点与所述相邻接节点之间的空口保护密钥;
所述第一中继节点的相邻接节点包括所述第一中继节点的上级节点和/或所述第一中继节点的下级节点。
一种基站,包括:
获取模块,用于中继***的节点获取初始密钥;
获取模块一,用于根据获取模块获取的所述初始密钥,获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥;
获取模块二,用于根据获取模块一获取的所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。
一种中继节点,包括:
获取模块一,用于第一中继节点在与第一中继节点的相邻接节点在认证的过程中获取根密钥;
获取模块二,用于所述第一中继节点根据所述获取模块一获取的所述根密钥获取保护所述第一中继节点与所述相邻接节点之间的空口保护密钥;
所述第一中继节点的相邻接节点包括所述第一中继节点的上级节点和/或所述第一中继节点的下级节点。
本发明实施例通过eNB接收初始密钥,根据该初始密钥获取eNB与直接下级节点之间的空口保护密钥的根密钥,根据该根密钥获取所述eNB与直接下级节点之间的空口保护密钥,使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明中继***安全密钥获取方法第一实施例的流程图;
图2为本发明中继***安全密钥获取方法第二实施例的流程图;
图3为本发明中继***安全密钥获取方法第三实施例的流程图;
图4为本发明中继***安全密钥获取方法第四实施例的流程图;
图5为本发明中继***安全密钥获取方法第五实施例的流程图;
图6为本发明中继***安全密钥获取方法第六实施例的流程图;
图7为本发明中继***安全密钥获取方法第七实施例的流程图;
图8为本发明中继***安全密钥获取方法第八实施例的流程图;
图9为本发明中继***安全密钥获取方法第九实施例的流程图;
图10为本发明实施例一种中继***节点的结构示意图;
图11为本发明实施例另一种中继***节点的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
LTE***认证过程中,归属用户服务器(HSS,Home Subscriber Server)根据本地原始根密钥K生成原始加密根密钥和原始完整性保护根密钥,即CK,IK,在认证过程中,HSS根据该CK,IK获取核心网的初始密钥KASME,并将该KASME发送给MME,MME根据该KASME获取非接入层(NAS,Non-Access Stratum)密钥KNAS和接入网的初始密钥KeNB,MME将该KeNB发送给基站eNB,eNB在本地根据该KeNB获取接入层(AS,access stratum)密钥KAS,其中,KNAS包括NAS消息加密密钥和NAS消息完整性保护密钥,KAS包括用户面UP(User Plane,用户面)的加密密钥、控制面CP(Control Plane,控制面)的完整性保护密钥与控制面CP的加密密钥。UE侧也根据本地原始根密钥K生成CK,IK,UE根据该CK,IK获取出KASME,UE根据该KASME获取NAS密钥KNAS和KeNB,UE根据该KeNB获取AS密钥KAS,MME与UE使用的密钥获取方法如下:
KDF(key derivation function)即密钥推衍函数,包括:
推衍得到的密钥=HMAC-SHA-256(Key,S);
Key是输入密钥,S=FC||P0||L0||P1||L1...;
FC长度为一个字节,用于区分不同算法,P0是输入参数,L0是P0的长度,...。
获取方法如下:
MME和UE在本地获取:
KeNB=KDF(KASME,S11),S11=f(Uplink NAS COUNT);
KNAS=KDF(KASME,S15),S15=f(algorithm type
distinguisher,algorithm
id);
eNB和UE在本地获取:
KAS=KDF(KeNB,S15)。
其中FC=0x10;PLMN ID即公共陆地移动网络标识。SQN是序列号,AK可以为匿名密钥;length of xx可以为xx的长度;
S11=f(FC,Uplink NAS COUNT)=FC||Uplink NAS COUNT||length of Uplink NAS COUNT;
其中FC=0X11,Uplink NAS COUNT可以为上行NAS消息计数值;
S15=f(FC,algorithm type distinguisher,algorithm id)=FC||algorithm type distinguisher||length of algorithm type distinguisher||algorithm id||length of algorithm id;
其中,FC=0X15,algorithm type distinguisher可以为算法类型区别号,algorithm id可以为算法标识号。
但是由于RN的引入,使得空口链路段数增多,密钥层次也增多,现有安全机制不能对各段空口上数据进行有效的安全保护。为了解决上述技术问题,本发明实施例提供了一种多跳***的密钥获取方法,具体情况如下:
本发明下面的实施例以3跳***为例进行详细介绍,各实施例的方法同样也适用于2跳或大于2跳的***。
图1为本发明中继***安全密钥获取方法第一实施例的流程图,包括:
101、中继***的节点获取初始密钥;
102、所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥;
103、所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。
本发明实施例通过中继***的节点获取初始密钥,所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥,所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
进一步,当所述中继***的节点为基站eNB时,所述中继***中的节点获取初始密钥,包括:
所述eNB从移动性管理实体MME获取初始密钥;
进一步,当所述中继***的节点为中继节点RN时,所述中继***中的节点获取初始密钥,包括:
所述RN从MME或eNB获取初始密钥;
进一步,当所述中继***的节点为用户终端UE时,所述中继***中的节点获取初始密钥,包括:
所述UE从所述UE的上级节点获取初始密钥。
进一步,当所述中继***中的节点为eNB时,所述方法进一步包括:
所述eNB根据传递输入参数及所述初始密钥获取所述eNB的下级节点的初始密钥;
所述eNB向本节点的下级节点中的一个节点发送所述初始密钥;
所述eNB向所述本节点的下级节点的一个节点的直接相邻的节点发送所述传递输入参数,以使得所述本节点的下级节点中的一个节点与所述本节点的下级节点的一个节点的直接相邻的节点根据所述传递输入参数及所述初始密钥获取所述本节点的下级节点中的一个节点与所述本节点的下级节点的一个节点的直接相邻的节点之间的空口保护密钥的根密钥。
进一步,当所述中继***中的节点为中继节点RN时,所述方法进一步包括:
所述RN接收上级节点发送的传递输入参数;
所述节点根据所述初始密钥获取本节点与本节点直接相邻节点之间的空口保护密钥的根密钥,具体包括:
所述中继节点RN根据所述初始密钥与所述传递输入参数获取本节点与直接相邻节点之间的空口保护密钥的根密钥。
进一步,当所述中继***中的节点为中继节点UE时,所述方法进一步包括:
所述UE接收上级节点发送的传递输入参数;
所述节点根据所述初始密钥获取本节点与本节点直接相邻节点之间的空口保护密钥的根密钥,具体包括:
所述UE根据所述初始密钥与所述传递输入参数获取本节点与直接相邻节点之间的空口保护密钥的根密钥。
特此说明,该实施例涉及的输入参数可以为传递输入参数。
本发明实施例通过中继***的节点获取初始密钥,所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥,所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
图2为本发明中继***安全密钥获取方法第二实施例的流程图,本实施例中,UE根据UE本地原始根密钥K获取全部空口密钥,KeNB由上级节点eNB或RN从空口传递给下级RN,本发明实施例涉及的输入参数可以为本地输入参数。如图2所示:
201、RN1接入网络,完成认证过程;
202、RN2接入网络,完成认证过程;
203、UE接入网络,完成认证过程;
其中,步骤201、步骤202和步骤203不分先后顺序。
204、MME根据UE认证过程生成的密钥KASME′获取KNAS和初始密钥KeNB;
步骤204中,获取KNAS、初始密钥KeNB的方法与LTE***中密钥获取方法类似,在此不再赘述。
205、MME将该初始密钥KeNB发送给eNB;
206、eNB接收并保存MME发送的该初始密钥KeNB;
207、eNB向RN1转发该初始密钥KeNB;
208、RN1保存该初始密钥KeNB;
209、eNB和RN1根据该初始密钥KeNB在本地获取eNB和RN1之间的根密钥KeNB′,根据该根密钥KeNB′获取用于保护eNB和RN1之间的UP、CP数据的空口密钥,具体方法如下:
KeNB ′=KDF(KeNB,f(第一输入参数))
所述的第一输入参数可以为RN1入网时,eNB给RN1分配的临时标识参数C-TNTI1,需要特别说明的是RN1每次重新接入新的DeNB时所获得的C-RNTI1不同;或者所述的第一输入参数可以为eNB与RN1之间特定UE的无线资源控制(RRC,Radio Resource Control)消息计数值参数RRC MESSAGE COUNT1;或者所述的第一输入参数可以为eNB和RN1协商的随机值参数NONCE 1,输入参数可以包括但不限于上述三种参数之一或任意组合。
由根密钥KeNB′获取用于保护eNB和RN1之间的UP、CP数据保护密钥,其中,UP数据保护密钥即UP加密密钥KUPenc,CP数据保护密钥即CP加密密钥KRRCenc和CP完整性保护密钥KRRCi int,三种密钥的获取方法参照上述KAS获取公式,输入密钥是KeNB′,下面以KUPenc密钥获取为例进行说明,即:
KUPenc=KDF(KeNB′,f(UP encryption algorithm type distinguisher,UP encryption algorithm id))
其中,UP encryption algorithm type distinguisher为用户面加密算法类型区分符,UP encryption algorithm id为用户面加密算法ID。
210、RN1将该初始密钥KeNB转发给RN2;
211、RN2保存该初始密钥KeNB;
212、RN1与RN2根据该初始密钥KeNB获取根密钥KRN1,获取方法为:
KRN1=KDF(KeNB,f(第二输入参数))
其中,所述第二输入参数可以为RN2入网时,RN1给RN2分配的临时标识参数C-RNTI2;或者所述第二输入参数可以为RN1与RN2之间关于特定UE的RRC消息计数值参数RRC MESSAGE COUNT2;或者所述第二输入参数可以为RN1和RN2协商的随机值参数NONCE2。输入参数可以包括但不限于上述三种参数之一或任意组合。
由根密钥KRN1获取RN1和RN2之间Un口链路上UP、CP数据保护密钥KUPenc′、KRRCenc′、KRRCi int′的方法与LTE***中KAS获取方法类似,在此不再赘述。
213、UE在本地获取KNAS和初始密钥KeNB,获取方法与现有技术类似,再此不再赘述。RN2和UE根据该初始密钥KeNB获取根密钥KRN2,根据该根密钥KRN2获取用于保护UE与RN2之间的UP、CP数据的空口密钥,该KRN2获取方法可以包括下面两种方式:
a、KRN2=KDF(KeNB,f(第三输入参数))
其中,输入密钥为KeNB,第三输入参数可以为UE入网时,RN2给UE分配的临时标识参数C-RNTI3;或者第三输入参数可以为RN2与UE之间的关于特定UE的RRC消息计数值参数RRC MESSAGE COUNT3,或者第三输入参数可以为RN2与UE协商出随机值参数NONCE3。该输入参数可以包括但不限于上述三种参数之一或任意组合。
b、采用小区内切换Intra-cell handover方式更新KeNB获取根密钥KRN2,具体为:
KRN2=KDF(KeNB,f(PCI,EARFCN-DL))
其中,输入密钥为切换前使用的密钥KeNB,输入参数可以为目标小区物理标识PCI和目标小区无线频率信道数EARFCN-DL。
本发明实施例通过eNB接收初始密钥KeNB,根据该初始密钥KeNB获取eNB与RN1节点之间的根密钥KeNB′,根据该根密钥KeNB′获取所述eNB与直接下级节点之间的空口保护密钥,eNB转发该初始密钥KeNB,以使得各下级节点根据所述初始密钥KeNB获取各下级节点之间的空口保护密钥的根密钥,使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
图3为本发明中继***安全密钥获取方法第三实施例的流程图,本实施例中,与实施例二不同的是eNB根据收到的KeNB,在本地获取所有下级RN节点的初始密钥,然后将获取结果或获取的参数下发给各级RN,本发明实施例涉及的输入参数可以包括传递输入参数和本地输入参数。如图3所示:
步骤301~305与实施例二中的步骤201~205类似,在此不再赘述;
306、eNB在本地根据接收的初始密钥KeNB获取各下级节点的初始密钥KRN1、KRN2,获取方法如下:
KRN1=KDF(KeNB,f(第四输入参数))
KRN2=KDF(KeNB,f(第五输入参数))
其中所述的第四输入参数可以为传递输入参数,该第四传递输入参数可以为RN2入网时,RN1给RN2分配的临时标识参数C-RNTI4,需要特别说明的是RN2每次重新接入新的DeNB时所获得的C-RNTI4不同;或者所述第四传递输入参数可以为RN1和RN2协商的随机值参数NONCE 4;
其中所述第五输入参数可以为第五传递输入参数,第五传递输入参数可以为UE入网时,RN2给UE分配的临时标识参数C-TNTI5,需要特别说明的是UE每次重新接入新的DeNB时所获得的C-RNTI5不同;或者所述第五传递输入参数可以为eNB和RN1协商的随机值参数NONCE 5;
或者,第四输入参数与第五输入参数还可以为其他输入参数,例如相应RN的id,或者相应RN的载波频点等。该输入参数可以包括但不限于上述三种参数之一或任意组合。
307、eNB将该初始密钥KeNB、第四输入参数发送给RN1;
308、eNB和RN1根据该初始密钥KeNB获取eNB和RN1之间的根密钥KeNB′,eNB和RN1根据该根密钥KeNB′获取用于保护UP、CP数据的密钥,该KeNB′的获取方法如下:
KeNB′=KDF(KeNB,f(第六本地输入参数))
其中,所述的第六本地输入参数可以为RN1入网时,eNB给RN1分配的临时标识参数C-TNT6,RN1每次重新接入新的DeNB,所获得的C-RNTI6不同;所述的第六本地输入参数可以为eNB与RN1之间特定UE的无线资源控制(RRC,RadioResource Control)消息计数值参数RRC MESSAGE COUNT6;所述的第六本地输入参数可以为eNB和RN1协商的随机值参数NONCE 6。该本地输入参数可以包括但不限于上述三种参数之一或任意组合。
由根密钥KeNB′获取用于保护eNB和RN1之间UP、CP数据保护密钥,其中,UP数据保护密钥即UP加密密钥KUPenc,CP数据保护密钥即CP加密密钥KRRCenc和CP完整性保护密钥KRRCi int,三种密钥的获取方法参照上述KAS获取方法公式,输入密钥是KeNB′,下面以KUPenc密钥获取为例进行说明,即
KUPenc=KDF(KeNB′,f(UP encryption algorithm type distinguisher,UP encryption algorithm id))
其中,UP encryption algorithm type distinguisher为用户面加密算法类型区分符,UP encryption algorithm id为用户面加密算法ID。
309、eNB将该初始密钥KRN1、KeNB、该第五输入参数发送给RN2;
310、RN1根据该eNB的初始密钥KeNB以及第五输入参数获取RN1的初始密钥KRN1,RN1与RN2根据该初始密钥KRN1获取RN1与RN2之间的根密钥KRN1′,RN1与RN2根据该根密钥KRN1′获取用于保护RN1和RN2之间的UP、CP数据的空口密钥KUPenc、KRRCenc、KRRCi int,获取方法与LTE***中KAS获取方法类似,在此不再赘述,KRN1′的获取方法如下:
KRN1′=KDF(KRN1,f(第七本地输入参数))
其中,输入密钥为KRN1,第七本地输入参数可以为RN1与RN2之间的关于特定UE的RRC消息计数值参数RRC MESSAGE COUNT7,或者第七本地输入参数可以为RN1分配给RN2的临时标识参数C-RNTI7,或者第七本地输入参数可以为RN1与RN2协商出随机值参数NONCE7。该本地输入参数可以包括但不限于上述三种参数之一或任意组合。
311、RN2根据eNB的初始密钥KeNB和第五输入参数获取RN2的初始密钥KRN2,该KRN2获取方法与步骤306中的获取方法类似。
312、RN2向UE发送该第五输入参数;
313、UE在本地获取KNAS及初始密钥KeNB、KRN2,该初始密钥KeNB的获取方法参照上述与KeNB的获取公式,再此不再赘述;初始密钥KRN2的获取方法与步骤306中KRN2的获取方法类似,RN2和UE根据该初始密钥KRN2获取RN2和UE之间的根密钥KRN2′,RN2和UE根据该KRN2′获取用于保护UE与RN2之间的UP、CP数据空口密钥,KRN2′获取方法可以包括以下两种方式:
a、KRN2′=KDF(KRN2,f(第八本地输入参数))
其中,输入密钥KRN2,第八本地输入参数可以为RN2与UE之间RRC消息计数值参数RRC MESSAGE COUNT8,或者第八本地输入参数可以为RN2分配给UE的临时标识参数C-RNTI8,或者第八本地输入参数可以为RN2与UE协商出随机值参数NONCE8,该输入参数可以包括但不限于上述三种参数之一或任意组合。
b、采用小区内切换intra-cell handover方式更新KRN2,获得KRN2′,具体方法为:
KRN2′=KDF(KRN2,f(PCI,EARFCN-DL));
其中,输入密钥可以为切换前使用的密钥KRN2,输入参数PCI可以为目标小区物理标识,EARFCN-DL可以为目标小区无线频率信道数。
本发明实施例通过eNB根据所述KeNB获取各下级节点的初始密钥,eNB转发所述各下级节点的初始密钥及获取所述初始密钥用到的输入参数,以使得各下级节点根据所述初始密钥及所述输入参数获取各下级节点的空口保护密钥的根密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
图4为本发明中继***安全密钥获取方法第四实施例的流程图,本实施例中,与实施例三不同的是eNB、RN节点的初始密钥都在MME中集中获取产生,然后下发获取结果或者下发获取结果和参数给各节点,如图4所示:
步骤401~403与实施例二中的步骤201~203类似,在此不再赘述,不同之处在于:
404、MME根据UE认证过程中生成的密钥KASME获取KNAS和MME下eNB的初始密钥KeNB,获取方法如下:
KeNB=KDF(KASME,f(UL NAS COUNT))
KRN1=KDF(KASME,f(第十输入参数))
KRN2=KDF(KASME,f(第十一输入参数))
其中,输入密钥为认证过程中产生的密钥KASME,UL NAS COUNT为MME中UE的上行NAS信令的计数值参数,所述第十输入参数可以包括第十传递输入参数,该第十传递输入参数可以为随机值参数NONCE10或者MME与对应RN之间的NAS COUNT值,第十一输入参数可以为第十一传递输入参数,第十一传递输入参数可以为随机值参数NONCE11或者MME与对应RN之间的NAS COUNT值。该输入参数可以包括但不限于上述三种参数之一或任意组合。
405、MME向eNB发送初始密钥KeNB;
406、MME向RN1发送初始密钥KeNB、第十输入参数;
407、MME向RN2发送初始密钥KeNB、KRN1、第十一输入参数;
408、RN2向UE发送第十一输入参数;
409、RN1和eNB根据初始密钥KeNB获取根密钥KeNB′,RN1和eNB根据该根密钥KeNB′获取用于保护RN1和eNB之间UP、CP数据的空口密钥,获取方法如下:
KeNB′=KDF(KeNB,f(第十二本地输入参数))
其中,第十二本地输入参数可以为C-TNT12可以为所述的第十二本地输入参数可以为RN1入网时,eNB给RN1分配的临时标识参数C-TNT12,RN1每次重新接入新的DeNB,所获得的C-RNTI12不同;或者所述的第十二本地输入参数可以为eNB与RN1之间特定UE的无线资源控制(RRC,Radio Resource Control)消息计数值参数RRC MESSAGE COUNT12;或者所述的第十二本地输入参数可以为eNB和RN1协商的随机值参数NONCE 12。该本地输入参数可以包括但不限于上述三种参数之一或任意组合。
由KeNB′获取用于保护RN1和eNB之间UP、CP数据保护密钥,其中,UP数据保护密钥即UP加密密钥KUPenc,CP数据保护密钥即CP加密密钥KRRCenc和CP完整性保护密钥KRRCi int,三种密钥的获取方法参照上述KAS获取方法公式,输入密钥是KeNB′,下面以KUPenc密钥获取为例进行说明,即
KUPenc=KDF(KeNB′,f(UP encryption algorithm type distinguisher,UP encryption algorithm id))
其中,UP encryption algorithm type distinguisher为用户面加密算法类型区分符,UP encryption algorithm id为用户面加密算法ID。
410、RN1根据eNB的初始密钥KeNB、第十输入参数获取RN1的初始密钥KRN1,获取方法与步骤404类似,在此不再赘述;RN1和RN2分别根据该初始密钥KRN1获取RN1和RN2之间的根密钥KRN1′,获取方法与实施例三中步骤310类似,在此不再赘述;RN1、RN2根据该根密钥KRN1′获取用于保护RN1与RN2之间的UP、CP数据空口保护密钥KUPenc、KCPenc、KCPint。
411、RN2根据该RN1与eNB之间的初始密钥KeNB、第十一输入参数获取RN2与UE之间的初始密钥KRN2,获取方法与步骤404类似;
412、UE在本地获取eNB的初始密钥KeNB,UE根据该KeNB、第十一输入参数获取RN2的初始密钥KRN2,UE和RN2根据RN2的初始密钥KRN2获取RN2与UE之间的根密钥KRN2′,RN2与UE根据该KRN2′获取用于保护UE与RN2之间的CP、UP数据空口密钥,KUPenc、KRRCenc、KRRCi int,获取方法与LTE***中KAS获取方法类似,在此不再赘述,KRN2′获取方法如下:
a、KRN2′=KDF(KRN2,f(第十三本地输入参数))
其中,输入密钥为KRN2,第十三本地输入参数可以为UE入网时,可以为RN2分配给UE的临时标识参数C-RNTI13;或者第十三输入参数可以为RN2与UE之间的RRC消息计数值参数RRC MESSAGE COUNT13,或者第十三本地输入参数可以为RN2与UE协商出随机值参数NONCE13;该本地输入参数可以包括但不限于上述三种参数之一或任意组合。
b、采用小区内切换intra-cell handover方式更新KRN2获取KRN2′,更新方法与313(b)类似,在此不再赘述。
本发明实施例通过移动性管理实体MME根据所述MME认证过程中生成的密钥获取所述MME下eNB的下级节点的初始密钥,以及所述eNB的初始密钥;所述MME向所述下级节点发送所述eNB的初始密钥或所述下级节点的初始密钥;以使得所述下级节点根据所述eNB的初始密钥或所述下级节点与MME认证过程中生成的密钥,获取所述下级节点与所述下级节点的直接下级节点之间的空口保护密钥的根密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
图5为本发明中继***安全密钥获取方法第五实施例的流程图,本实施例中,Un口链路保护密钥基于RN节点的永久密钥Ka,可用于保护RN特定的RB,也可用于保护属于该RN的所有UE的RB。本发明实施例涉及的输入参数可以为本地输入参数。如图5所示:
501、RN1接入网络,完成认证过程,在认证过程中用Ka获取密钥KASME_RN1;
502、RN2接入网络,完成认证过程,在认证过程中用Kb获取密钥KASME_RN2;
503、MME、RN1分别根据认证过程中生成的密钥KASME_RN1获取KNAS和RN1的初始密钥KRN1,MME、RN2分别根据认证过程中生成的密钥KASME_RN2获取KNAS和RN2的初始密钥KRN2,获取方法可以参照上述KNAS的获取公式,输入密钥是认证过程中生成的密钥;
504、MME将获取的该初始密钥KRN1发送给eNB;
505、MME将获取的该始密钥KRN2发送给RN1;
506、RN1和eNB根据该初始密钥KRN1获取用于保护RN1和eNB之间的UP、CP数据的空口密钥,获取方法与LTE***中获取KNAS的方法类似,输入密钥为KRN1;
507、RN2根据该初始密钥KRN2获取RN1与RN2之间的根密钥KRN2′,RN1和RN2根据该根密钥KRN2′获取用于保护RN1和RN2之间的UP、CP数据的空口密钥,获取方法与LTE***中获取KAS的方法类似,输入密钥为KRN2′,KRN2′的获取方法为:
KRN2′=KDF(KRN2,f(第十四输入参数))
其中,第十四输入参数可以为RN1与RN2之间关于特定UE的RRC消息计数值参数RRC MESSAGE CONUT14;或者,第十四输入参数可以为RN2入网时RN1给RN2分配的临时标识参数C-RNTI14,或者第十四输入参数还可以为RN1和RN1协商出的随机值参数NONCE14可,该输入参数可以包括但不限于上述三种参数之一或任意组合。
本发明实施例通过移动性管理实体MME根据输入参数和所述MME认证过程中生成的密钥获取所述MME下eNB的下级节点的初始密钥,以及所述eNB的初始密钥;所述MME向所述下级节点发送所述eNB的初始密钥或所述下级节点的初始密钥;所述MME向所述下级节点发送所述输入参数;以使得所述下级节点根据所述输入参数和所述eNB的初始密钥,或输入参数和所述下级节点与MME认证过程中生成的密钥,获取所述下级节点与所述下级节点的直接下级节点之间的空口保护密钥的根密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
本发明的各实施例还可以联合使用,例如,当RN1与eNB之间的Un口上有两类承载,分别是RN1的承载与UE的承载,对于RN1的承载,可以使用实施例五的方法生成密钥进行保护,对于UE的承载,可以使用实施例二的方法进行保护,同理,对于RN1与RN2之间的Un口上的RN2承载也可以使用实施例五的方法生成密钥进行保护,对于RN1与RN2之间的Un口上的UE承载也可以使用实施例二的方法生成密钥进行保护;其中,对于RN1与eNB之间的Un口上的UE承载还可以使用实施例三的方法生成密钥进行保护,对于RN1与RN2之间的Un口上的UE承载,也可以使用实施例三的方法生成密钥进行保护;其中,对于RN1与eNB之间的Un口上的UE承载还可以使用实施例四的方法生成密钥进行保护,对于RN1与RN2之间的Un口上的UE承载,也可以使用实施例四的方法生成密钥进行保护。
图6为本发明中继***安全密钥获取方法第六实施例的流程图,本实施例中下级RN使用的保护密钥和上级RN使用的密钥相关联,本发明实施例涉及的输入参数可以为本地输入参数。如图6所示:
601、RN1接入网络,完成认证过程;
602、MME和RN1分别根据认证过程中生成的密钥KASME_RN1获取KNAS和RN1的初始密钥KRN1,获取方法可以与LTE***类似,输入密钥是认证过程中生成的密钥KASME_RN1,输入参数可以为RN1的Uplink NAS COUNT;
603、MME将该初始密钥KRN1发送给eNB;
604、RN1根据该初始密钥KRN1直接获取用于保护RN1和eNB之间的UP、CP数据的空口密钥,获取方法与LTE***中获取KAS类似,输入密钥为KRN1;
605、RN2接入网络,完成认证过程,MME在RN2认证过程中,MME向RN2发送RN1的初始密钥KRN1;
606、MME和RN2根据认证过程中生成的该KASME_RN2、RN1的初始密钥KRN1获取KNAS和RN2的初始密钥KRN2,该KRN2获取方法如下:
KRN2=KDF(KASME_RN2,KRN1,f(Uplink NAS COUNT of RN2))
输入密钥是KASME_RN2和KRN1,
607、MME将该初始密钥KRN2发送给RN1;
608、RN2根据该KRN2获取RN1与RN2之间的根密钥KRN2′,根据该根密钥KRN2′获取用于保护RN1和RN2之间的UP、CP数据的空口密钥,获取方法与LTE***中获取KAS类似,输入密钥为KRN2′;
609、UE接入网络,完成认证过程,并将KRN1和KRN2发送给UE。
610、MME和UE根据认证过程中生成的密钥KASME_UE、KRN2获取初始密钥KeNB和KNAS,其中,KeNB的获取方法如下:
KeNB=KDF(KASME_UE,KRN2,f(Uplink NAS COUNT of UE))
输入密钥KASME_UE和KRN2;
611、MME将该eNB的初始密钥KeNB发送给RN2;
612、RN2根据该初始密钥KeNB获取UE与RN2之间的根密钥KeNB ′,RN2和UE根据该KeNB′获取用于保护RN2和UE之间的UP、CP数据的空口密钥,输入密钥为KRN2′,该KeNB′的获取方法有两种:
a、与实施例二步骤209中KeNB′获取方法类似,输入密钥为KeNB,第一输入参数可以为RN2与UE之间RRC消息计数值,或者第一输入参数可以为RN2分配给UE的C-RNTI,或者第一输入参数可以为RN2与UE协商出的新鲜值NONCE;该输入参数可以包括但不限于上述参数之一或任意组合。
b、采用intra-cell handover方式更新KeNB,获取根密钥KeNB′,更新方法为:
KeNB′=KDF(KeNB,f(PCI,EARFCN-DL));
其中,KeNB′可以为更新后的密钥,输入密钥可以为切换前使用的密钥KeNB,输入参数PCI可以为目标小区物理标识,EARFCN-DL为目标小区无线频率信道数。
本发明实施例通过中继***的节点获取初始密钥,所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥,所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
图7为本发明中继***安全密钥获取方法第七实施例的流程图,本实施例中各级RN与自己上一级节点认证,生成各段空口保护密钥。如图7所示:
701、RN1接入网络,与eNB相互认证;
702、RN1和eNB分别根据认证过程中生成的RN1和eNB之间的根密钥KAUT_RN1获取用于保护他们之间空口上UP、CP数据的密钥,获取方法与LTE***中获取KAS类似,输入密钥为KRN1;
703、RN2接入网络,与RN1相互认证;
704、RN1和RN2分别根据认证过程中生成的RN1和RN2之间的根密钥KAUT_RN2获取用于保护他们之间空口上UP、CP数据的密钥,获取方法与参照上述KAS的获取公式,输入密钥为KRN2。
本实例通过第一中继节点在与第一中继节点的相邻接节点认证的过程中获取根密钥,所述第一中继节点根据所述根密钥获取用于保护所述第一中继节点与所述相邻接节点之间的空口保护密钥,所述第一中继节点的相邻接节点包括所述第一中继节点的上级节点和/或所述第一中继节点的下级节点。使各个节点上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
本发明实施例还可以与实施例一/二/三联合使用,实施例七的方法用于保护Un口上的RN相关的承载,实施例一/二/三用于保护Un口上的UE相关的承载。
图8为本发明中继***安全密钥获取方法第八实施例的流程图,本实施例中各级RN与都与eNB认证,生成各段空口保护密钥,如图8所示:
801、RN1接入网络,与eNB相互认证;
802、eNB与RN1分别根据认证过程中生成的eNB与RN1之间的根密钥KRN1获取用于保护他们之间空口上UP、CP数据的密钥;
803、RN2接入网络,与eNB相互认证;
804、eNB和RN2分别在认证过程中生成RN2的初始密钥KRN2,eNB将该初始密钥KRN2转发给RN1,RN1和RN2分别根据该KRN2获取RN1和RN2之间的根密钥KRN2′,根据该KRN2′获取用于保护RN1和RN2之间空口上UP、CP数据的密钥。
本实例通过第一中继节点在与第一中继节点的相邻接节点认证的过程中获取根密钥,所述第一中继节点根据所述根密钥获取用于保护所述第一中继节点与所述相邻接节点之间的空口保护密钥,所述第一中继节点的相邻接节点包括所述第一中继节点的上级节点和/或所述第一中继节点的下级节点。使各个节点上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
本发明实施例还可以与实施例一/二/三联合使用,实施例八的方法用于保护Un口上的RN相关的承载,实施例一/二/三用于保护Un口上的UE相关的承载。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
图9为本发明中继***安全密钥获取方法第十二实施例的流程图,包括:
901、第一中继节点在与第一中继节点的相邻接节点认证的过程中获取根密钥;
902、所述第一中继节点根据所述根密钥获取用于保护所述第一中继节点与所述相邻接节点之间的空口保护密钥;
所述第一中继节点的相邻接节点包括所述第一中继节点的上级节点和/或所述第一中继节点的下级节点。
本发明实施例通过中继***的节点获取初始密钥,所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥,所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
图10为本发明实施例一种中继***的节点的结构示意图,包括:
获取模块1001,用于中继***的节点获取初始密钥;
获取模块一1002,用于根据获取模块获取的所述初始密钥,获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥;
获取模块二1003,用于根据获取模块一获取的所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。
所述的获取模块具体用于当所述中继***中的节点为基站eNB时,所述eNB从移动性管理实体MME获取初始密钥;
所述的获取模块具体用于当所述中继***中的节点为中继节点RN时,所述RN从MME或eNB获取初始密钥;
所述的获取模块具体用于当所述中继***中的节点为用户终端UE时,所述UE从所述UE的上级节点获取初始密钥。
进一步,所述装置还包括:
所述的获取模块还用于当所述中继***中的节点为eNB时,所述eNB根据传递输入参数及所述获取模块获取的所述初始密钥获取所述eNB的下级节点的初始密钥;
发送模块1004,用于所述eNB向本节点的下级节点中的一个节点发送所述初始密钥和所述eNB向所述本节点的下级节点的一个节点的直接相邻的节点发送所述传递输入参数,以使得所述本节点的下级节点中的一个节点与所述本节点的下级节点的一个节点的直接相邻的节点根据所述传递输入参数及所述初始密钥获取所述本节点的下级节点中的一个节点与所述本节点的下级节点的一个节点的直接相邻的节点之间的空口保护密钥的根密钥。
进一步,当所述中继***中的节点为中继节点RN时,所述装置还包括:
接收模块1005,用于所述RN接收上级节点传递输入参数;
所述获取模块一还用于所述RN根据所述初始密钥与所述传递输入参数获取本节点直接相邻节点之间的空口保护密钥的根密钥。
进一步,当所述中继***中的节点为中继节点UE时,所述装置还包括:
所述的接收模块还用于当所述中继***中的节点为中继节点UE时,所述UE接收上级节点传递输入参数;
所述的获取模块一还用于所述UE根据所述初始密钥与所述传递输入参数获取本节点直接相邻节点之间的空口保护密钥的根密钥。
本发明实施例通过中继***的节点获取初始密钥,所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥,所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
图11为本发明实施例一种中继节点的结构示意图,包括:
获取模块一1101,用于第一中继节点在与第一中继节点的相邻接节点认证的过程中获取根密钥;
获取模块二1102,用于所述第一中继节点根据所述获取模块一获取的所述根密钥获取保护所述第一中继节点与所述相邻接节点之间的空口保护密钥;
所述第一中继节点的相邻接节点包括所述第一中继节点的上级节点和/或所述第一中继节点的下级节点。
本发明实施例通过中继***的节点获取初始密钥,所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥,所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。使UE在Un口链路上的数据可以分别保护,即每个活动的UE在Un口链路上都有一套安全参数,从而对各段空口上数据进行有效的安全保护。
在通过以上的各实施例的描述,本领域的技术人员可以清楚地了解到本发明可借助软件及必需的通用硬件平台的方式来实现,当然,也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例该的方法。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
通过以上的各实施例的描述,本领域的技术人员可以清楚地了解到本发明可借助软件及必需的通用硬件平台的方式来实现,当然,也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例该的方法。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (12)
1.一种中继***安全密钥获取方法,其特征在于,包括:
中继***的节点获取初始密钥;
所述节点根据所述初始密钥获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥;
所述节点根据所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。
2.根据权利要求1所述的方法,其特征在于,
当所述中继***的节点为基站eNB时,所述中继***中的节点获取初始密钥,包括:
所述eNB从移动性管理实体MME获取初始密钥;
当所述中继***的节点为中继节点RN时,所述中继***中的节点获取初始密钥,包括:
所述RN从MME或eNB获取初始密钥;
当所述中继***的节点为用户终端UE时,所述中继***中的节点获取初始密钥,包括:
所述UE从所述UE的上级节点获取初始密钥。
3.根据权利要求1所述的方法,其特征在于,
当所述中继***中的节点为eNB时,所述方法进一步包括:
所述eNB根据传递输入参数及所述初始密钥获取所述eNB的下级节点的初始密钥;
所述eNB向本节点的下级节点中的一个节点发送所述初始密钥;
所述eNB向所述本节点的下级节点的一个节点的直接相邻的节点发送所述传递输入参数,以使得所述本节点的下级节点中的一个节点与所述本节点的下级节点的一个节点的直接相邻的节点根据所述传递输入参数及所述初始密钥获取所述本节点的下级节点中的一个节点与所述本节点的下级节点的一个节点的直接相邻的节点之间的空口保护密钥的根密钥。
4.根据权利要求1所述的方法,其特征在于,当所述中继***中的节点为中继节点RN时,所述方法进一步包括:
所述RN接收上级节点发送的传递输入参数;
所述节点根据所述初始密钥获取本节点与本节点直接相邻节点之间的空口保护密钥的根密钥,具体包括:
所述RN根据所述初始密钥与所述传递输入参数获取本节点与直接相邻节点之间的空口保护密钥的根密钥。
5.根据权利要求1所述的方法,其特征在于,当所述中继***中的节点为用户终端UE时,所述方法进一步包括:
所述UE接收上级节点发送的传递输入参数;
所述节点根据所述初始密钥获取本节点与本节点直接相邻节点之间的空口保护密钥的根密钥,具体包括:
所述UE根据所述初始密钥与所述传递输入参数获取本节点与直接相邻节点之间的空口保护密钥的根密钥。
6.一种中继***的安全密钥获取方法,其特征在于,包括:
第一中继节点在与第一中继节点的相邻接节点认证的过程中获取根密钥;
所述第一中继节点根据所述根密钥获取用于保护所述第一中继节点与所述相邻接节点之间的空口保护密钥;
所述第一中继节点的相邻接节点包括所述第一中继节点的上级节点和/或所述第一中继节点的下级节点。
7.一种中继***的节点,其特征在于,包括:
获取模块,用于中继***的节点获取初始密钥;
获取模块一,用于根据获取模块获取的所述初始密钥,获取本节点与本节点直接相邻的其他节点之间的空口保护密钥的根密钥;
获取模块二,用于根据获取模块一获取的所述根密钥,获取本节点与本节点直接相邻的所述其他节点之间的所述空口保护密钥。
8.根据权利要求7所述的基站,其特征在于,
所述的获取模块具体用于当所述中继***的节点为基站eNB时,所述eNB从移动性管理实体MME获取初始密钥;或者
所述的获取模块具体用于当所述中继***的节点为中继节点RN时,所述RN从MME或eNB获取初始密钥;或者
所述的获取模块具体用于当所述中继***的节点为用户终端UE时,所述UE从所述UE的上级节点获取初始密钥。
9.根据权利要求7所述的基站,其特征在于,所述装置还包括:
所述获取模块还用于当所述中继***中的节点为eNB时,所述eNB根据传递输入参数及所述初始密钥获取所述eNB的下级节点的初始密钥;
发送模块,用于所述eNB向本节点的下级节点中的一个节点发送所述初始密钥和所述eNB向所述本节点的下级节点的一个节点的直接相邻的节点发送所述传递输入参数,以使得所述本节点的下级节点中的一个节点与所述本节点的下级节点的一个节点的直接相邻的节点根据所述传递输入参数及所述初始密钥获取所述本节点的下级节点中的一个节点与所述本节点的下级节点的一个节点的直接相邻的节点之间的空口保护密钥的根密钥。
10.根据权利要求7所述的基站,其特征在于,所述装置还包括:
接收模块,用于当所述中继***中的节点为中继节点RN时,所述RN接收上级节点传递输入参数;
所述获取模块一还用于所述RN根据所述初始密钥与接收模块接收的所述传递输入参数获取本节点直接相邻节点之间的空口保护密钥的根密钥。
11.根据权利要求7所述的基站,其特征在于,所述装置还包括:
所述的接收模块还用于当所述中继***中的节点为用户终端UE时,所述UE接收上级节点传递输入参数;
所述的获取模块一还用于所述UE根据所述初始密钥与所述接收模块接收的传递输入参数获取本节点直接相邻节点之间的空口保护密钥的根密钥。
12.一种中继***的节点,其特征在于,包括:
获取模块一,用于第一中继节点在与第一中继节点的相邻接节点在认证的过程中获取根密钥;
获取模块二,用于所述第一中继节点根据所述获取模块一获取的所述根密钥获取保护所述第一中继节点与所述相邻接节点之间的空口保护密钥;
所述第一中继节点的相邻接节点包括所述第一中继节点的上级节点和/或所述第一中继节点的下级节点。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910110027.5A CN102056159B (zh) | 2009-11-03 | 2009-11-03 | 一种中继***的安全密钥获取方法、装置 |
EP10827902.7A EP2487947B1 (en) | 2009-11-03 | 2010-11-03 | Method and device for acquiring safe key in relay system |
PCT/CN2010/078367 WO2011054288A1 (zh) | 2009-11-03 | 2010-11-03 | 一种中继***的安全密钥获取方法、装置 |
BR112012010514A BR112012010514A2 (pt) | 2009-11-03 | 2010-11-03 | método e dispositivo para obter chave de segurança em sistema de transmissão |
RU2012122772/08A RU2523954C2 (ru) | 2009-11-03 | 2010-11-03 | Способ и устройство для получения ключа безопасности в ретрансляционной системе |
US13/463,444 US8605908B2 (en) | 2009-11-03 | 2012-05-03 | Method and device for obtaining security key in relay system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910110027.5A CN102056159B (zh) | 2009-11-03 | 2009-11-03 | 一种中继***的安全密钥获取方法、装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102056159A true CN102056159A (zh) | 2011-05-11 |
CN102056159B CN102056159B (zh) | 2014-04-02 |
Family
ID=43959973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910110027.5A Active CN102056159B (zh) | 2009-11-03 | 2009-11-03 | 一种中继***的安全密钥获取方法、装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8605908B2 (zh) |
EP (1) | EP2487947B1 (zh) |
CN (1) | CN102056159B (zh) |
BR (1) | BR112012010514A2 (zh) |
RU (1) | RU2523954C2 (zh) |
WO (1) | WO2011054288A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103167492A (zh) * | 2011-12-15 | 2013-06-19 | 华为技术有限公司 | 在通信***中生成接入层密钥的方法及其设备 |
WO2017080142A1 (zh) * | 2015-11-13 | 2017-05-18 | 华为技术有限公司 | 密钥分发、生成和接收方法以及相关装置 |
CN108377495A (zh) * | 2016-10-31 | 2018-08-07 | 华为技术有限公司 | 一种数据传输方法、相关设备及*** |
CN109496449A (zh) * | 2016-08-05 | 2019-03-19 | 高通股份有限公司 | 用于无线设备与局域网之间的连接的从源接入节点向目标接入节点的快速过渡的技术 |
CN112385266A (zh) * | 2018-07-09 | 2021-02-19 | 华为技术有限公司 | 通信方法、设备及*** |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5944184B2 (ja) * | 2012-02-29 | 2016-07-05 | 株式会社東芝 | 情報通知装置、方法、プログラム及びシステム |
CN103929740B (zh) * | 2013-01-15 | 2017-05-10 | 中兴通讯股份有限公司 | 数据安全传输方法及lte接入网*** |
KR101762376B1 (ko) * | 2014-01-10 | 2017-07-27 | 한국전자통신연구원 | 모바일 인증 시스템 및 방법 |
MX2016010889A (es) * | 2014-03-24 | 2016-10-26 | Intel Ip Corp | Aparato, sistema y metodo para asegurar comunicaciones de un equipo de usuario en una red inalambrica de area local. |
US10298549B2 (en) * | 2015-12-23 | 2019-05-21 | Qualcomm Incorporated | Stateless access stratum security for cellular internet of things |
CN114268903B (zh) * | 2021-12-28 | 2022-09-30 | 北京航空航天大学 | 一种地理信息辅助的无人机中继位置部署以及功率分配方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1914960A1 (en) * | 2006-10-16 | 2008-04-23 | Nokia Siemens Networks Oy | Method for transmission of DHCP messages |
CN101292558A (zh) * | 2005-10-18 | 2008-10-22 | Lg电子株式会社 | 为中继站提供安全性的方法 |
CN101437226A (zh) * | 2007-09-04 | 2009-05-20 | 财团法人工业技术研究院 | 提供安全通信之方法、提供安全通信之***、中继站、以及基站 |
CN101534236A (zh) * | 2008-03-11 | 2009-09-16 | 华为技术有限公司 | 中继站通信时的加密方法及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030235305A1 (en) * | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Key generation in a communication system |
US7793103B2 (en) | 2006-08-15 | 2010-09-07 | Motorola, Inc. | Ad-hoc network key management |
JP4222403B2 (ja) | 2006-10-16 | 2009-02-12 | 沖電気工業株式会社 | 不正端末推定システム、不正端末推定装置及び通信端末装置 |
EP3761598B1 (en) * | 2006-10-20 | 2023-12-20 | Nokia Technologies Oy | Generating keys for protection in next generation mobile networks |
US20080107013A1 (en) | 2006-11-06 | 2008-05-08 | Nokia Corporation | Signature generation using coded waveforms |
CN101815293B (zh) | 2009-02-20 | 2012-08-15 | 华为技术有限公司 | 无线中继网络中的链路安全认证方法、装置和*** |
-
2009
- 2009-11-03 CN CN200910110027.5A patent/CN102056159B/zh active Active
-
2010
- 2010-11-03 EP EP10827902.7A patent/EP2487947B1/en active Active
- 2010-11-03 RU RU2012122772/08A patent/RU2523954C2/ru active
- 2010-11-03 WO PCT/CN2010/078367 patent/WO2011054288A1/zh active Application Filing
- 2010-11-03 BR BR112012010514A patent/BR112012010514A2/pt not_active Application Discontinuation
-
2012
- 2012-05-03 US US13/463,444 patent/US8605908B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101292558A (zh) * | 2005-10-18 | 2008-10-22 | Lg电子株式会社 | 为中继站提供安全性的方法 |
EP1914960A1 (en) * | 2006-10-16 | 2008-04-23 | Nokia Siemens Networks Oy | Method for transmission of DHCP messages |
CN101437226A (zh) * | 2007-09-04 | 2009-05-20 | 财团法人工业技术研究院 | 提供安全通信之方法、提供安全通信之***、中继站、以及基站 |
CN101534236A (zh) * | 2008-03-11 | 2009-09-16 | 华为技术有限公司 | 中继站通信时的加密方法及装置 |
Non-Patent Citations (1)
Title |
---|
3GPP GROUP: "《3GPP TS 33.401 V8.4.0》", 30 June 2009 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10880738B2 (en) | 2011-12-15 | 2020-12-29 | Huawei Technologies Co., Ltd. | Method and device for generating access stratum key in communications system |
EP2785088A4 (en) * | 2011-12-15 | 2014-12-17 | Huawei Tech Co Ltd | METHOD AND ASSOCIATED DEVICE FOR GENERATING A KEY OF ACCESS STRATE IN A COMMUNICATION SYSTEM |
CN103167492B (zh) * | 2011-12-15 | 2016-03-30 | 华为技术有限公司 | 在通信***中生成接入层密钥的方法及其设备 |
EP3136763A1 (en) * | 2011-12-15 | 2017-03-01 | Huawei Technologies Co., Ltd. | Method and device thereof for generating access stratum key in communication system |
CN103167492A (zh) * | 2011-12-15 | 2013-06-19 | 华为技术有限公司 | 在通信***中生成接入层密钥的方法及其设备 |
US9736125B2 (en) | 2011-12-15 | 2017-08-15 | Huawei Technologies Co., Ltd. | Method and device for generating access stratum key in communications system |
US10009326B2 (en) | 2011-12-15 | 2018-06-26 | Huawei Technologies Co., Ltd. | Method and device for generating access stratum key in communications system |
US11483705B2 (en) | 2011-12-15 | 2022-10-25 | Huawei Technologies Co., Ltd. | Method and device for generating access stratum key in communications system |
EP3364679A1 (en) * | 2011-12-15 | 2018-08-22 | Huawei Technologies Co., Ltd. | Method and device thereof for generating access stratum key in communication system |
EP3996402A1 (en) * | 2011-12-15 | 2022-05-11 | Huawei Technologies Co., Ltd. | Method and device thereof for generating access stratum key in communication system |
US10348703B2 (en) | 2011-12-15 | 2019-07-09 | Huawei Technologies Co., Ltd. | Method and device for generating access stratum key in communications system |
WO2017080142A1 (zh) * | 2015-11-13 | 2017-05-18 | 华为技术有限公司 | 密钥分发、生成和接收方法以及相关装置 |
CN109496449A (zh) * | 2016-08-05 | 2019-03-19 | 高通股份有限公司 | 用于无线设备与局域网之间的连接的从源接入节点向目标接入节点的快速过渡的技术 |
CN108377495B (zh) * | 2016-10-31 | 2021-10-15 | 华为技术有限公司 | 一种数据传输方法、相关设备及*** |
US11228908B2 (en) | 2016-10-31 | 2022-01-18 | Huawei Technologies Co., Ltd. | Data transmission method and related device and system |
CN108377495A (zh) * | 2016-10-31 | 2018-08-07 | 华为技术有限公司 | 一种数据传输方法、相关设备及*** |
CN112385266A (zh) * | 2018-07-09 | 2021-02-19 | 华为技术有限公司 | 通信方法、设备及*** |
CN112385266B (zh) * | 2018-07-09 | 2022-06-14 | 华为技术有限公司 | 通信方法、设备及*** |
Also Published As
Publication number | Publication date |
---|---|
EP2487947B1 (en) | 2018-09-12 |
US20120213372A1 (en) | 2012-08-23 |
BR112012010514A2 (pt) | 2016-03-15 |
EP2487947A1 (en) | 2012-08-15 |
EP2487947A4 (en) | 2012-09-12 |
WO2011054288A1 (zh) | 2011-05-12 |
RU2012122772A (ru) | 2013-12-10 |
CN102056159B (zh) | 2014-04-02 |
RU2523954C2 (ru) | 2014-07-27 |
US8605908B2 (en) | 2013-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102056159B (zh) | 一种中继***的安全密钥获取方法、装置 | |
CN104969592B (zh) | 无线通信网络中用户设备的双连通操作模式 | |
CN101931953B (zh) | 生成与设备绑定的安全密钥的方法及*** | |
CN102340772B (zh) | 切换过程中的安全处理方法、装置和*** | |
EP2663107B1 (en) | Key generating method and apparatus | |
CN101945387B (zh) | 一种接入层密钥与设备的绑定方法和*** | |
CN101945386B (zh) | 一种实现安全密钥同步绑定的方法及*** | |
US8849245B2 (en) | Mobile communication method, mobile communication system, and radio base station | |
CN104349309B (zh) | 一种移动通信***中利用nh、ncc对解决安全问题的方法 | |
CN101977378B (zh) | 信息传输方法、网络侧及中继节点 | |
CN106375992A (zh) | 实现接入层安全的方法及用户设备和节点 | |
US9479930B2 (en) | Mobile communication method, relay node, and radio base station | |
CN102811468A (zh) | 中继切换安全保护方法、基站及中继*** | |
US20160277924A1 (en) | Mobile communication method | |
EP3311599B1 (en) | Ultra dense network security architecture and method | |
CN102595403A (zh) | 绑定中继节点的认证方法及装置 | |
CN102685817A (zh) | 在中继节点切换过程中不需要重建高层安全的方法和*** | |
CN102065420B (zh) | 一种确定密钥的方法、***和装置 | |
JP5559841B2 (ja) | 移動通信方法、リレーノード及び無線基地局 | |
CN102685735A (zh) | 一种在rn切换过程中重建高层安全的方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |