[go: up one dir, main page]

CN101926151A - 建立安全关联的方法和通信网络系统 - Google Patents

建立安全关联的方法和通信网络系统 Download PDF

Info

Publication number
CN101926151A
CN101926151A CN200980102466.XA CN200980102466A CN101926151A CN 101926151 A CN101926151 A CN 101926151A CN 200980102466 A CN200980102466 A CN 200980102466A CN 101926151 A CN101926151 A CN 101926151A
Authority
CN
China
Prior art keywords
relay station
terminal
base station
key
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200980102466.XA
Other languages
English (en)
Other versions
CN101926151B (zh
Inventor
徐小英
陈璟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN200980102466.XA priority Critical patent/CN101926151B/zh
Publication of CN101926151A publication Critical patent/CN101926151A/zh
Application granted granted Critical
Publication of CN101926151B publication Critical patent/CN101926151B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了一种建立安全关联的方法,包括:接收由中继站转发终端发送的接入请求消息(201);根据所述接入请求消息对终端鉴权认证后获得共享根密钥(202);选择安全算法,所述安全算法为所述终端和网络侧支持的算法(203);并根据所述共享根密钥派生基站密钥(204);通过所述中继站向所述终端发送安全模式命令,所述安全模式命令中包含所述安全算法(205)。本发明还公开了一种通信网络系统。通过本发明提供的方案,解决了LTE系统中引入中继站后,终端与网络之间建立安全关联的问题,而且继承了LTE的安全机制,在不增加系统复杂度的情况下,保证了系统的安全性和易用性。

Description

建立安全关联的方法和通信网络系统 本申请要求于 2008 年 1 月 30 日提交中国专利局, 申请号为 200810065263.5 , 发明名称为"建立安全关联的方法和通信网络系统" 的中国专利申请的优先权, 其全部内容通过引用结合在本申请中。 技术领域
本发明涉及无线通信领域,尤其涉及一种建立安全关联的方法和 通信网络系统。 背景技术
为了提高链路预算和蜂窝系统的覆盖,用户终端可以通过中继站 来接收服务, 中继站的引入衍生了空中接口的新功能, 并进一步增强 了系统的分布式处理特性。中继站的部署可以提升系统的无线接入性 能, 可以覆盖阴影区域, 扩大基站的有线覆盖半径, 增强特定区域数 据速率。
在长期演进 ( Long Term Evolution, LTE ) 系统之后的进一步演 进中, 无线接入技术自身进行多方位的强化, 其中, 无线中继站是其 中一个重要方向。 由于在 LTE 系统中引入了中继站, 因此, 终端和 网络之间建立安全关联的过程不可避免地涉及到中继站。 LTE系统中 的安全保护分为接入网和核心网两部分, 因此, 需要保证引入中继站 后的 LTE系统设计的复杂性和安全性, 并利用中继系统的良好特性, 实现优良的移动通信系统。
如图 1所示, 在电气电子工程师协会 ( Institute of Electrical and Electronics Engineers , IEEE ) 16j标准中介绍了关于终端通过中继与 网络侧建立安全关联的方法, 具体如下:
终端通过中继站向网络侧进行同步和注册,通过公共密钥管理协 议, 与鉴权服务器获得基本密钥序列 (Master Session Key, MSK ); 鉴权服务器把 MSK发送给基站, 基站根据该 MSK派生得到鉴 权密钥 ( Authentication Key, AK );
基站通过中继站将该鉴权密钥发送给终端;
终端和中继站通过三方握手的方式同步 AK, ^据 AK派生得到 数据加密密钥 (Traffic Encryption Key , TEK ) 的加密密钥 (Key Encryption Key , KEK ) , TEK由基站产生;
终端和中继站之间通过 TEK请求过程获得 TEK。
在实现本发明的过程中, 发明人发现现有技术至少存在以下问 题: 在现有的 LTE系统中, LTE系统的密钥比 IEEE 16j系统中的安 全密钥多, 而且密钥产生的过程比较复杂, 因此, 当 LTE 系统引入 中继站后, 没有适合的建立终端和网络之间的安全关联的方法, 也不 适用采用现有技术中的安全流程来建立终端与网络之间的安全关联。 发明内容
本发明实施例提供了一种建立终端和网络侧安全关联的方法网 络侧, 在 LTE演进系统中引入中继站后, 在终端和网络之间建立安 全关联。
本发明实施例提供一种建立终端和网络侧安全关联的方法, 包 括: 接收由中继站转发终端发送的接入请求消息; 根据所述接入请求 消息对终端鉴权认证后获得共享根密钥; 选择安全算法, 所述安全算 法为所述终端和网络侧支持的算法;并根据所述共享根密钥派生基站 密钥; 通过所述中继站向所述终端发送安全模式命令, 所述安全模式 命令中包含所述安全算法。
本发明实施例还公开了一种通信网络系统,包括:第一接收单元, 用于接收由中继站转发终端发送的接入请求消息; 密钥获取单元, 用 于根据所述第一接收单元接收到的接入请求消息对终端鉴权认证后 获得共享根密钥; 选择单元, 用于选择安全算法, 所述安全算法为所 述终端和网络侧都支持的算法; 派生单元, 用于根据所述密钥获取单 元得到的共享根密钥派生基站密钥; 第一发送单元, 用于通过所述中 继站向终端发送安全模式命令,所述安全模式命令中包含所述选择单 元选择的安全算法。
与现有技术相比, 本发明实施例具有以下优点:
根据本发明实施例提供的方案, 网络侧在接收到终端通过中继站 发送的接入请求后, 选择用于建立安全关联的安全算法, 并通过中继 站向所述终端发送安全模式命令,在所述安全模式命令中包括所选择 的安全算法, 终端在得到安全算法后, 与网络侧建立安全关联, 解决 了 LTE 系统中引入中继站后, 终端与网络侧之间建立安全关联的问 题, 而且本发明实施例提供的技术方案继承了 LTE系统的安全机制, 在基本不改变现有的安全机制下和不增加系统复杂度的前提下,保证 了加入中继站后的移动通信系统的安全性。 附图说明
图 1所示为现有技术中 IEEE 16j标准中终端与网络侧建立安全 关联的方法示意图;
图 2 所示为本发明第一实施例中终端与网络侧建立安全关联的 方法示意图;
图 3 所示为本发明第二实施例中终端与网络侧建立安全关联的 方法示意图;
图 4 所示为本发明第三实施例中终端与网络侧建立安全关联的 方法示意图;
图 5 所示为本发明第四实施例中终端与网络侧建立安全关联的 方法示意图;
图 6 所示为本发明第五实施例中终端与网络侧建立安全关联的 方法示意图;
图 7为本发明第六实施例中一种通信网络系统的结构示意图。 具体实施例 下面将结合本发明实施例中的附图,对本发明实施例中的技术方 案进行清楚、 完整地描述, 显然, 所描述的实施例仅是本发明一部分 实施例, 而不是全部的实施例。 基于本发明中的实施例, 本领域普通 技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都 属于本发明保护的范围。
为了使本发明的具体技术方案、发明目的更加清楚, 下面结合具 体的实施例和附图作进一步说明。
参照图 2, 介绍本发明第一实施例, 关于一种建立终端和网络侧 安全关联的方法, 该方法优先应用于 LTE 系统及其演进系统中。 具 体包括:
步骤 201: 接收由中继站转发终端发送的接入请求消息。
步骤 202: 根据所述接入请求消息对终端鉴权认证后获得共享根 密钥。
步骤 203: 选择安全算法, 所述安全算法为所述终端和网络侧支 持的算法。
步骤 204: 根据所述共享根密钥派生基站密钥。
步骤 205: 通过所述中继站向所述终端发送安全模式命令, 所述 安全模式命令中包含所述安全算法。
通过本实施例提供的方法,网络侧在接收到终端通过中继站发送 的接入请求后, 选择用于建立安全关联的安全算法, 并通过中继站向 所述终端发送安全模式命令,在所述安全模式命令中包括所选择的安 全算法, 终端在得到安全算法后, 就可以与网络侧建立安全关联, 解 决了 LTE 系统中引入中继站后, 终端与网络侧之间建立安全关联的 问题, 而且本发明实施例提供的技术方案继承了 LTE 系统的安全机 制, 在基本不改变现有的安全机制下和不增加系统复杂度的前提下, 保证了加入中继站后的移动通信系统的安全性。
参照图 3, 介绍本发明第二实施例, 关于一种建立终端和网络侧 安全关联的方法。 在该实施例中, 终端为初次接入网络( detached to active ), 具体过程包括: 步骤 301: 终端向中继站发送接入请求消息, 该接入请求消息中 包括终端能力和终端身份。
终端能力可以包括终端自身所支持的算法。终端身份可以为临时 移动用户识别号码( Temporary Mobile Subscriber Identify, TMSI )或 国际移动用户识别号码 ( International Mobile Subscriber Identity , IMSI )等表示终端身份的标识。
步骤 302: 中继站将终端发送的接入请求消息发送给基站。
步骤 303: 基站接收到中继站发送的接入请求消息后, 将该接入 请求消息转发给移动管理实体; 基站在转发时, 还可以将基站自身的 基站能力告知移动管理实体,基站能力可以包括基站自身所支持的算 法。
步骤 304: 移动管理实体将接收到的接入请求消息中的中继标识 发送给归属用户服务器。
步骤 305: 归属用户服务器根据终端身份生成鉴权向量, 该鉴权 向量用于终端和网络侧之间的交互认证, 包括随机数 RAND、期望响 应 XRES ( EXpected user RESponse ), 鉴权符号 AUTN ( AUTN = SQNIIAMFIIMAC ), 共享根密钥 (Key Access System Management Entity, Kasme )。
步骤 306: 归属用户服务器在生成鉴权向量之后, 将鉴权向量发 送给移动管理实体。
步骤 307: 移动管理实体将随机数 RAND和鉴权符号 AUTN发 送给基站。
步骤 308: 基站将接收到的随机数 RAND和鉴权符号 AUTN发 送给中继站。
步骤 309: 中继站将接收到的随机数 RAND和鉴权符号 AUTN 发送给终端。
步骤 310: 终端验证 AUTN , 终端计算期望完整性校验码 XMAC = f ( SQNIIRANDIIAMF ), 若等于 AUTN中的完整性校验码 MAC, 并且序列号 SQN在有效范围, 则认为对网络鉴权成功, 若验证成功, 则根据 RAND计算得到响应值 RES。
步骤 311 : 终端向中继站发送响应消息, 响应消息中包含 RES。 步骤 312: 中继站将终端发送的响应消息发送给基站。
步骤 313: 基站将接收到的响应消息发送给移动管理实体。
步骤 314: 移动管理实体验证 RES是否和鉴权向量中的 XRES 相同, 如果相同, 则通过对终端的认证, 终端和移动管理实体获得共 享根密钥 Kasme。
步骤 315: 移动管理实体根据终端能力和基站能力, 选择安全算 法, 所述安全算法为所述终端和网络侧都支持的算法, 包括接入层安 全算法, 接入层安全算法可以包括无线资源控制 (Radio Resource Control, RRC )算法和用户面 (User Plane, UP ) 算法等; 可以根据 移动管理实体选择的安全算法以及共享根密钥 Kasme派生得到基站 密钥。
所述安全算法还可以包括:非接入层( Non- Access Stratum, NAS ) 算法。
步骤 316: 移动管理实体发送安全算法和基站密钥。
所述安全算法和基站密钥可以包含在移动管理实体发送给基站 的消息中。
步骤 317: 基站发送安全算法和完整性校验码发送给中继站。 所述安全算法和完整性校验码可以包含在安全模式命令中。
基站在发送安全算法时,可以通过基站密钥对将发送的内容进行 安全保护, 生成完整性校验码, 并将该完整性校验码发送给中继站。
步骤 318: 中继站将接收到的安全算法和完整性校验码发送给终 端。
步骤 319: 终端接收到安全算法和完整性校验码后, 对中继站转 发的消息进行完整性验证,验证成功后,向中继站发送验证确认消息。
步骤 320: 中继站向基站发送接收到的验证确认消息。
步骤 321 : 基站将接收到的验证确认消息发送给移动管理实体。 步骤 322: 移动管理实体接收到验证确认消息后, 至此, 终端和 基站之间完成了安全算法协商和密钥协商, 完成了安全关联的建立。 在本实施例中, 可选的, 在步骤 302中, 中继站在发送接入请求 消息时, 可以将自身的中继能力发送给移动管理实体, 则在步骤 315 中, 移动管理实体可以根据终端能力、 中继能力和基站能力进行选择 安全算法。
在本实施例步骤 301至步骤 322所提供的方案中,中继站没有终 端和基站之间的安全关联, 也没有关于终端的任何信息, 中继站仅仅 透明地传送终端和网络侧之间的消息。本实施例还可以进一步包括以 全关联, 以建立终端和中继站之间的安全关联, 使得终端和中继站之 间的通信更加安全。
步骤 323:基站向中继站发送终端和基站建立的安全关联密钥(如 RRC密钥和 UP密钥)以及安全算法(如 RRC算法和 UP算法 ), 该 安全关联密钥由基站生成; 中继站和基站之间发送的消息可以通过中 继站和基站之间的安全关联进行保护, 中继站和基站之间的安全关联 是中继站和基站之间预先存在的, 由中继站在接入网络后确立, 用以 保护基站和中继站之间发送信息的安全。
步骤 324: 中继站收到基站发送的密钥和相关算法后, 使用中继 站和基站间建立的安全关联做校验, 向基站返回确认消息。
本实施例中,如果中继站具有产生小区无线网络临时标识( Radio Network Temporary Identifier, C-RNTI ) 的功能, 则步骤 323中, 基 站可向中继站发送基站密钥以及安全算法, 如 RRC算法和 UP算法; 中继站和基站之间发送的消息可以通过中继站和基站之间的安全关 联进行保护。 在步骤 324中, 中继站接收到基站发送的基站密钥和算 法后, 根据基站密钥和 C-RNTI派生得到安全关联密钥, 如 RRC密 钥和 UP密钥, 中继站和基站之间发送的消息可以通过中继站和基站 之间的安全关联进行保护。 在这种情况下, 中继站获得的与终端之间 建立的安全关联与基站和中继站之间的安全关联不同, 当中继站接收 到终端发送的消息时,中继站需要首先根据中继站和终端之间的安全 关联进行解密, 然后利用中继站和基站之间的安全关联进行重新加 密, 再进行转发; 同样, 当中继站接收到基站发送的消息时, 首先根 据中继站和基站之间的安全关联进行解密,然后利用中继站和终端之 间的安全关联进行加密, 再发送给终端。
步骤 323和步骤 324中, 中继站被动地从基站接收消息, 并获得 终端与网络侧的安全关联, 该方法中, 中继站可以主动向基站请求获 取相关安全关联, 因此, 步骤 323和步骤 324可以分别为步骤 323, 和步骤 324,, 具体如下:
步骤 323,: 中继站向基站发送终端安全关联请求,请求基站发送 终端和基站已经建立好的安全关联相关信息, 中继站和基站之间发送 的消息可以通过中继站和基站之间的安全关联进行保护。
步骤 324,: 基站向中继站发送请求回应消息,该消息中包含安全 算法, 如 RRC算法和 UP算法, 以及基站生成的安全关联密钥, 如 RRC密钥和 UP密钥; 若该中继站可以产生 C-RNTI, 基站可以不直 接发送 RRC密钥和 UP密钥, 而在该回应消息中包含安全算法和基 站密钥。 中继站根据接收到的信息, 可以获得终端和基站之间的安全 关联信息。
参照图 4, 下面介绍本发明第三实施例, 关于建立终端和网络侧 安全关联的方法, 在本实施例中, 终端已经经过初始接入网络, 处于 空闲状态进入激活状态的过程 ( idle to active ), 该方法包括:
步骤 401: 终端通过中继站向网络侧发送接入请求消息, 该消息 中包括 TMSI、和共享根密钥标识符( Key Set Identifier Access System Management Entity, KSIasme ), 由于终端已经接入过网络, 网络侧设 备都已经获知终端的终端能力, 因此, 在接入请求消息中可以不包括 终端能力, 除非终端能力发生更改。
步骤 402至步骤 414可以参照第二实施例中步骤 302至步骤 314 描述的内容。
步骤 415: 移动管理实体根据共享根密钥派生基站密钥。
步骤 416: 移动管理实体将基站密钥发送给基站。 步骤 417: 基站发送安全模式命令给中继站, 并在该命令中包含 安全算法和完整性校验码。
步骤 418: 中继站将接收到的安全算法和完整性校验码发送给终 端。
步骤 419:终端接收到中继站发送的安全算法和完整性校验码后, 对中继站转发的消息进行完整性验证, 验证成功后, 终端向中继站发 送马全证确认消息。
步骤 420: 中继站向基站转发验证确认消息。
步骤 421: 基站接收到验证确认消息后, 进行安全校验, 则终端 和基站之间完成了安全算法和密钥协商。
步骤 422: 基站发送确认消息给移动管理实体, 告知其安全关联 建立。
在本实施例步骤 401至步骤 422所提供的方案中,中继站不存在 终端和基站之间的安全关联, 中继站仅仅透明地传送终端和基站之间 的消息。 本实施例还可以进一步包括以下步骤, 可以使得本实施例中 的中继站可以获得终端和基站之间的安全关联:
步骤 423: 基站向中继站发送基站自身生成的安全关联密钥, 如 RRC密钥和 UP密钥, 以及安全算法, 如 RRC算法和 UP算法; 中 继站和基站之间发送的消息可以通过中继站和基站之间的安全关联 进行保护。
步骤 424: 中继站收到基站发送的密钥和算法后, 使用中继站和 基站间建立的安全关联做校验, 向基站返回确认信息。
本实施例中, 如果中继站具有产生 C-RNTI的功能, 则步骤 423 中,基站可向中继站发送基站密钥以及安全算法, 如 RRC算法和 UP 算法; 中继站和基站之间发送的消息可以通过中继站和基站之间的安 全关联进行保护。 在步骤 424中, 中继站接收到基站发送的基站密钥 和算法后,根据基站密钥和 C-RNTI派生得到安全关联密钥,如 RRC 密钥和 UP密钥, 中继站和基站之间发送的消息可以通过中继站和基 站之间的安全关联进行保护。 在这种情况下, 中继站获得的与终端之 间建立的安全关联与基站和中继站之间的安全关联不同, 当中继站接 收到终端发送的消息时,中继站需要首先根据中继站和终端之间的安 全关联进行解密,然后利用中继站和基站之间的安全关联进行重新加 密, 再进行转发; 同样, 当中继站接收到基站发送的消息时, 首先根 据中继站和基站之间的安全关联进行解密,然后利用中继站和终端之 间的安全关联进行加密, 再发送给终端。
步骤 423和步骤 424中, 中继站被动地从基站接收消息, 并获得 终端与网络侧的接入层安全关联信息, 该方法中, 中继站可以主动向 基站请求获取相关安全关联, 因此, 步骤 423和步骤 424可以分别为 步骤 423,和步骤 424,, 具体如下:
步骤 423,: 中继站向基站发送终端安全关联请求,请求基站发送 终端和基站已经建立好的安全关联密钥,中继站和基站之间发送的消 息可以通过中继站和基站之间的安全关联进行保护。
步骤 424,: 基站向中继站发送请求回应消息, 该消息中包含安 全算法, 如 RRC算法和 UP算法, 以及基站生成的安全关联密钥, 如 RRC密钥和 UP密钥; 若该中继站可以产生 C-RNTI, 基站可以不 直接发送安全关联密钥, 而在该回应消息中包含安全算法和基站密 钥。 中继站根据基站密钥和 C-RNTI派生得到安全关联密钥,如 RRC 密钥和 UP密钥, 从而可以获得和终端之间的安全关联。
下面介绍本发明第四实施例, 如图 5所示, 关于终端和基站建立 安全关联的方法, 根据本实施例提供的技术方案, 可以加快整个系统 建立安全关联的时间, 本实施例包含步骤 501至步骤 522, 与第二实 施例中的步骤 301至步骤 322基本相同, 区别在于在步骤 517中, 基 站在将安全算法和完整性校验码发送给中继站的同时,将基站自身生 成的安全关联密钥, 如 RRC密钥和 UP密钥, 发送给中继站; 在步 骤 520中, 中继站转发终端确认命令的同时, 还发送中继站接收到终 端安全关联的确认消息。
若该中继站具备产生 C-RNTI的功能, 则在步骤 517中, 基站将 安全算法和完整性校验码发送给中继站的同时,将基站密钥发送给中 继站, 中继站可以根据基站密钥和 C-RNTI派生得到安全关联密钥; 在步骤 520中, 中继站转发终端确认命令的同时, 还发送中继站接收 到终端安全关联的确认消息。
在本实施例中, 实现了终端和基站之间建立安全关联同时, 也实 现终端和中继站之间安全关联的建立, 因此, 节省了整个系统建立安 全关联的时间。
下面介绍本发明第五实施例, 如图 6 所示, 本实施例包含步骤 601至步骤 622, 与第三实施例中的步骤 401至步骤 422基本相同, 区别在于在步骤 617中,基站在发送安全模式命令的同时, 把基站自 身生成的安全关联密钥, 如 RRC密钥和 UP密钥, 发送给中继站; 在步骤 620中, 中继站转发终端确认命令的同时, 还发送中继站接收 到终端安全关联信息的确认消息。
若该中继站具备产生 C-RNTI的功能, 则在步骤 617中, 基站在 发送安全模式命令的同时, 将基站密钥发送给中继站, 中继站可以根 据基站密钥和 C-RNTI派生得到安全关联密钥; 在步骤 620中, 中继 站转发终端确认命令的同时,还发送中继站接收到终端安全关联的确 认消息。
在本实施例中, 实现了终端和基站之间建立安全关联同时, 也实 现终端和中继站之间安全关联的建立, 因此, 节省了整个系统建立安 全关联的时间。
本发明实施例提供的技术方案, 解决了 LTE 系统中引入中继站 后, 终端经过中继站和基站实现安全关联的建立的问题, 不仅可以使 得终端通过中继站与基站建立安全关联, 进一步, 可以建立终端和中 继站之间的安全关联, 从而使得整个系统的通信更加安全, 同时, 还 可以节省在 LTE 中继系统中建立安全关联的时间。 另外, 本发明实 施例提供的技术方案继承了 LTE 系统的安全机制, 在基本不改变现 有的安全机制下, 融合了中继站的转发特征和分布式特性, 在不增加 系统复杂度的前提下, 保证了加入中继站后的移动通信系统的安全 性。 本发明第六实施例, 参照图 7, 关于一种通信网络系统 700, 包 括第一接收单元 701 , 用于接收由中继站转发终端发送的接入请求消 息; 密钥获取单元 702, 用于根据所述第一接收单元 701接收到的接 入请求消息对终端鉴权认证后获得共享根密钥; 选择单元 703, 用于 选择安全算法, 所述安全算法为所述终端和基站都支持的算法; 派生 单元 704, 用于根据所述密钥获取单元 702得到的共享根密钥派生基 站密钥; 第一发送单元 705, 用于通过中继站向终端发送安全模式命 令, 所述安全模式命令中包含选择单元 703选择的安全算法。
进一步,第一接收单元 701还用于接收终端通过中继站发送的验 证确认消息。
以上实施例提供的方案中,中继站没有终端和基站之间的安全关 联, 也没有关于终端的任何信息, 中继站仅仅透明地传送终端和基站 之间的消息, 优选的, 该通信网络系统还包括第二发送单元和第二接 收单元; 派生单元还用于生成网络侧安全关联密钥;
第二发送单元用于在第一接收单元接收到终端发送的验证确认 消息后, 发送安全算法和网络侧安全关联密钥给中继站;
第二接收单元用于接收中继站发送的确认消息,所述确认消息为 所述中继站在根据安全算法、 安全关联密钥, 得到和终端之间的安全 关联密钥后向网络侧发送的确认消息。 安全关联, 以建立终端和中继站之间的安全关联, 使得终端和中继站 之间的通信更加安全。
如果中继站可以产生 C-RNTI, 则在建立中继站和终端之间的安 全关联时, 优选的, 该通信网络系统还可以包括第三发送单元和第三 接收单元,
第三发送单元用于在第一接收单元接收到终端发送的验证确认 消息后, 发送安全算法和基站密钥给中继站, 所述中继站产生 C-RNTI;
第三接收单元用于接收中继站发送的确认消息,所述确认消息为 所述中继站在根据 C-RNTI以及接收到的基站密钥和安全算法得到和 所述终端之间的安全关联密钥后向网络侧发送的确认消息。
中继站除了可以被动地接收通信网络系统发送的相关安全关联 信息外, 还可以主动地向通信网络系统请求相关安全关联信息, 优选 的, 该通信网络系统还包括第四发送单元和第四接收单元;
第四接收单元用于接收中继站发送的终端安全关联请求;派生单 元还用于生成网络侧安全关联密钥;
第四发送单元用于向中继站发送请求回应消息,该消息包括安全 算法和网络侧的安全关联密钥。
当中继站可以产生 C-RNTI时, 当通信网络系统接收到中继站的 请求时,可以不直接发送安全关联密钥,而是发送基站密钥,优选的, 该通信网络系统还包括第五发送单元和第五接收单元;
第五接收单元用于接收中继站向网络侧发送的终端安全关联请 求;
第五发送单元用于向中继站发送请求回应消息,该消息包括安全 算法和基站密钥;
第五接收单元还用于接收中继站在根据 C-RNTI以及接收到的基 站密钥和安全算法得到终端的安全关联密钥后向基站发送的确认消 息。
通过本发明实施例提供通信网络系统, 可以使得在 LTE演进系 统中实现终端通过中继站与网络侧之间建立安全关联,并且进一步可 以建立终端和中继站之间的安全关联, 使得通信更加安全, 另外, 本 发明实施例提供的技术方案继承了 LTE 系统的安全机制, 在基本不 改变现有的安全机制下和不增加系统复杂度的前提下,保证了加入中 继站后的移动通信系统的安全性。
通过以上的实施例的描述,本领域的技术人员可以清楚地了解到 本发明, 可以通过硬件实现, 也可以借助软件加必要的通用硬件平台 的方式来实现。基于这样的理解, 本发明的技术方案可以以软件产品 的形式体现出来, 该软件产品可以存储在一个非易失性存储介质(可 以是 CD-ROM, U盘, 移动硬盘等) 中, 包括若干指令用以使得一 台计算机设备(可以是个人计算机, 服务器, 或者网络设备等)执行 本发明各个实施例所述的方法。
总之, 以上所述仅为本发明的较佳实施例而已, 并非用于限定本 发明的保护范围。 凡在本发明的精神和原则之内所作的任何修改、 等 同替换、 改进等, 均应包含在本发明的保护范围之内。

Claims (13)

  1. 权利要求
    1、 一种建立安全关联的方法, 其特征在于, 包括:
    接收由中继站转发终端发送的接入请求消息;
    根据所述接入请求消息对终端鉴权认证后获得共享根密钥; 选择安全算法, 所述安全算法为所述终端和网络侧支持的算法; 根据所述共享根密钥派生基站密钥;
    通过所述中继站向所述终端发送所述安全算法。
  2. 2、 如权利要求 1所述建立安全关联的方法, 其特征在于, 所述 通过所述中继站向所述终端发送安全模式命令的步骤之后, 还包括: 接收所述中继站转发终端发送的验证确认消息。
  3. 3、 如权利要求 2所述建立安全关联的方法, 其特征在于, 所述 通过所述中继站向所述终端发送所述安全算法, 包括:
    基站通过中继站向终端发送安全模式命令,所述安全模式命令包 括所述安全算法。
    4、 如权利要求 2所述建立安全关联的方法, 其特征在于, 当所 述接入请求消息为初始接入请求消息 ,所述通过所述中继站向所述终 端发送所述安全算法, 包括:
    移动管理实体向基站发送安全模式命令;
    基站接收到所述安全模式命令后,通过中继站向终端发送所述安 全模式命令, 所述安全命令中包括所述安全算法。
  4. 5、 如权利要求 3或 4所述建立安全关联的方法, 其特征在于, 在接收所述中继站转发终端发送的验证确认消息之后, 还包括: 所述基站向所述中继站发送安全模式命令,所述安全模式命令包 括所述安全算法, 和由所述基站生成的安全关联密钥; 所述基站接收 所述中继站发送的确认消息,所述确认消息为所述中继站在根据所述 安全算法、 安全关联密钥, 得到和所述终端之间的安全关联密钥后向 基站发送的消息; 或
    所述基站接收中继站发送的终端安全关联请求;所述基站向中继 站发送请求回应消息 ,该消息包括安全算法和基站生成的安全关联密 钥。
  5. 6、 如权利要求 3或 4所述建立安全关联的方法, 其特征在于, 当所述中继站产生小区无线网络临时标识 C-RNTI时, 在接收所述中 继站转发终端发送的验证确认消息之后, 还包括:
    所述基站发送基站密钥和安全模式命令,所述安全模式命令包括 所述安全算法, 给所述中继站; 所述基站接收所述中继站发送的确认 消息, 所述确认消息为所述中继站在根据所述 C-RNTI以及接收到的 基站密钥和安全算法得到和所述终端之间的安全关联密钥后向基站 发送的消息; 或
    所述基站接收所述中继站向基站发送的终端安全关联请求;所述 基站向所述中继站发送请求回应消息,该消息包括安全算法和基站密 钥; 所述基站接收所述中继站发送的确认消息, 所述确认消息为所述 中继站在根据所述 C-RNTI以及接收到的基站密钥和安全算法得到和 所述终端之间的安全关联密钥后向基站发送的消息。
  6. 7、 如权利要求 3或 4所述建立安全关联的方法, 其特征在于, 所述基站通过所述中继站向终端发送安全模式命令时,还发送所述基 站生成的安全关联密钥。
  7. 8、 如权利要求 3或 4所述建立安全关联的方法, 其特征在于, 当所述中继站产生 C-RNTI时, 所述基站通过所述中继站向终端发送 安全模式命令时, 还发送基站密钥。
  8. 9、 一种通信网络系统, 其特征在于, 包括:
    第一接收单元, 用于接收由中继站转发终端发送的接入请求消 息;
    密钥获取单元,用于根据所述第一接收单元接收到的接入请求消 息对终端鉴权认证后获得共享根密钥;
    选择单元, 用于选择安全算法, 所述安全算法为所述终端和网络 侧都支持的算法;
    派生单元,用于根据所述密钥获取单元得到的共享根密钥派生基 站密钥; 择的安全算法。
  9. 10、 如权利要求 9所述的通信网络系统, 其特征在于, 所述第一 接收单元还用于接收所述终端通过所述中继站发送的验证确认消息。
  10. 11、 如权利要求 10所述的通信网络系统, 其特征在于, 所述系 统还包括第二发送单元和第二接收单元;所述派生单元还用于生成安 全关联密钥;
    所述第二发送单元用于在所述第一接收单元接收到所述终端发 送的验证确认消息后, 发送安全模式命令, 所述安全模式命令包括所 述安全算法, 和安全关联密钥给所述中继站;
    所述第二接收单元用于接收所述中继站发送的确认消息,所述确 认消息为所述中继站在根据所述安全算法、 安全关联密钥, 得到和所 述终端之间的安全关联密钥后向网络侧发送的消息。
  11. 12、 如权利要求 10所述的通信网络系统, 其特征在于, 所述系 统还包括第三发送单元和第三接收单元;
    所述第三发送单元用于在所述第一接收单元接收到所述终端发 送的验证确认消息后, 发送安全模式命令, 所述安全模式命令包括所 述安全算法, 和基站密钥给所述中继站, 所述中继站产生 C-RNTI; 所述第三接收单元用于接收所述中继站发送的确认消息,所述确 认消息为所述中继站在根据所述 C-RNTI以及接收到的基站密钥和安 全算法得到和所述终端之间的安全关联密钥后向网络侧发送的消息。
  12. 13、 如权利要求 10所述的通信网络系统, 其特征在于, 所述系 统还包括第四发送单元和第四接收单元;
    所述第四接收单元用于接收所述中继站发送的终端安全关联请 求; 所述派生单元还用于生成网络侧安全关联密钥;
    所述第四发送单元用于向所述中继站发送请求回应消息,该消息 包括安全算法和网络侧的安全关联密钥。
  13. 14、 如权利要求 10所述的通信网络系统, 其特征在于, 所述网 络侧还包括第五发送单元和第五接收单元;
    所述第五接收单元用于接收所述中继站向网络侧发送的终端安 全关联请求;
    所述第五发送单元用于向所述中继站发送请求回应消息,该消息 包括安全算法和基站密钥。
CN200980102466.XA 2008-01-30 2009-01-22 建立安全关联的方法和通信网络系统 Expired - Fee Related CN101926151B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200980102466.XA CN101926151B (zh) 2008-01-30 2009-01-22 建立安全关联的方法和通信网络系统

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
CN200810065263.5 2008-01-30
CN2008100652635A CN101500229B (zh) 2008-01-30 2008-01-30 建立安全关联的方法和通信网络系统
CN200980102466.XA CN101926151B (zh) 2008-01-30 2009-01-22 建立安全关联的方法和通信网络系统
PCT/CN2009/070273 WO2009094942A1 (en) 2008-01-30 2009-01-22 Method and communication network system for establishing security conjunction

Publications (2)

Publication Number Publication Date
CN101926151A true CN101926151A (zh) 2010-12-22
CN101926151B CN101926151B (zh) 2013-01-02

Family

ID=40912286

Family Applications (2)

Application Number Title Priority Date Filing Date
CN2008100652635A Expired - Fee Related CN101500229B (zh) 2008-01-30 2008-01-30 建立安全关联的方法和通信网络系统
CN200980102466.XA Expired - Fee Related CN101926151B (zh) 2008-01-30 2009-01-22 建立安全关联的方法和通信网络系统

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN2008100652635A Expired - Fee Related CN101500229B (zh) 2008-01-30 2008-01-30 建立安全关联的方法和通信网络系统

Country Status (2)

Country Link
CN (2) CN101500229B (zh)
WO (1) WO2009094942A1 (zh)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010124474A1 (zh) 2009-04-30 2010-11-04 华为技术有限公司 空口链路安全机制建立的方法、设备
TWI430674B (zh) * 2009-08-14 2014-03-11 Ind Tech Res Inst 用於具有中繼節點之無線通訊系統的安全性方法
US8605904B2 (en) 2009-08-14 2013-12-10 Industrial Technology Research Institute Security method in wireless communication system having relay node
CN102056160B (zh) * 2009-11-03 2013-10-09 华为技术有限公司 一种密钥生成的方法、装置和系统
US8904167B2 (en) * 2010-01-22 2014-12-02 Qualcomm Incorporated Method and apparatus for securing wireless relay nodes
CN101951554A (zh) * 2010-08-25 2011-01-19 中兴通讯股份有限公司 一种实现加密会议电话预接入的方法及系统
CN101931955B (zh) * 2010-09-03 2015-01-28 中兴通讯股份有限公司 认证方法、装置及系统
CN101945386B (zh) * 2010-09-10 2015-12-16 中兴通讯股份有限公司 一种实现安全密钥同步绑定的方法及系统
CN101945387B (zh) * 2010-09-17 2015-10-21 中兴通讯股份有限公司 一种接入层密钥与设备的绑定方法和系统
CN101931953B (zh) * 2010-09-20 2015-09-16 中兴通讯股份有限公司 生成与设备绑定的安全密钥的方法及系统
CN101977378B (zh) * 2010-09-30 2015-08-12 中兴通讯股份有限公司 信息传输方法、网络侧及中继节点
CN103297958B (zh) * 2012-02-22 2017-04-12 华为技术有限公司 建立安全上下文的方法、装置及系统
WO2014075238A1 (zh) * 2012-11-14 2014-05-22 华为技术有限公司 移动通信的安全处理方法、宏基站、微基站和用户设备
CN104160777B (zh) * 2013-03-13 2018-01-23 华为技术有限公司 数据的传输方法、装置和系统
CN104581710B (zh) * 2014-12-18 2018-11-23 中国科学院信息工程研究所 一种在空口上安全传输lte用户imsi的方法和系统
WO2017132962A1 (zh) * 2016-02-04 2017-08-10 华为技术有限公司 一种安全参数传输方法及相关设备
WO2018126452A1 (zh) * 2017-01-06 2018-07-12 华为技术有限公司 授权验证方法和装置
CN109842881B (zh) * 2017-09-15 2021-08-31 华为技术有限公司 通信方法、相关设备以及系统
CN109561429B (zh) * 2017-09-25 2020-11-17 华为技术有限公司 一种鉴权方法及设备
CN110381608B (zh) * 2018-04-13 2021-06-15 华为技术有限公司 一种中继网络的数据传输方法及装置
CN110536289B (zh) * 2018-12-24 2024-11-26 中兴通讯股份有限公司 密钥发放方法及其装置、移动终端、通信设备和存储介质
CN111866884B (zh) * 2019-04-26 2022-05-24 华为技术有限公司 一种安全保护方法及装置
CN116321143B (zh) * 2021-12-20 2025-12-09 中国移动通信有限公司研究院 一种验证方法及装置、存储介质
US20240128798A1 (en) * 2022-10-18 2024-04-18 Nokia Technologies Oy Implementation of attachment for passive iot device communication with ambient energy source

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100525156C (zh) * 2003-09-25 2009-08-05 华为技术有限公司 一种选择安全通信算法的方法
CN100571130C (zh) * 2004-11-08 2009-12-16 中兴通讯股份有限公司 一种通用的安全等级协商方法
EP1864426A4 (en) * 2005-03-09 2016-11-23 Korea Electronics Telecomm AUTHENTICATION PROCESSES AND KEY PRODUCTION METHODS IN A WIRELESS TRACKABLE INTERNET SYSTEM
CN100561914C (zh) * 2005-08-25 2009-11-18 华为技术有限公司 获取密钥的方法
CN100505759C (zh) * 2005-11-15 2009-06-24 中兴通讯股份有限公司 一种非对等实体安全等级协商方法

Also Published As

Publication number Publication date
CN101926151B (zh) 2013-01-02
WO2009094942A1 (en) 2009-08-06
CN101500229A (zh) 2009-08-05
CN101500229B (zh) 2012-05-23

Similar Documents

Publication Publication Date Title
CN101500229B (zh) 建立安全关联的方法和通信网络系统
EP2421292B1 (en) Method and device for establishing security mechanism of air interface link
CN109462847B (zh) 安全实现方法、相关装置以及系统
CN101500230B (zh) 建立安全关联的方法和通信网络
KR102024653B1 (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
CN108293223B (zh) 一种数据传输方法、用户设备和网络侧设备
CN108781366A (zh) 用于5g技术的认证机制
CN103988480B (zh) 用于认证的系统和方法
CN109691154B (zh) 基于密钥刷新的按需网络功能重新认证
WO2013185735A2 (zh) 一种加密实现方法及系统
WO2018137351A1 (zh) 一种网络密钥处理的方法、相关设备及系统
CN103609154A (zh) 一种无线局域网接入鉴权方法、设备及系统
WO2016134536A1 (zh) 密钥生成方法、设备及系统
CN106031120B (zh) 密钥管理
CN109391942A (zh) 触发网络鉴权的方法及相关设备
WO2013166908A1 (zh) 密钥信息生成方法及系统、终端设备、接入网设备
CN101951590A (zh) 认证方法、装置及系统
CN107820242A (zh) 一种认证机制的协商方法及装置
CN103096307A (zh) 密钥验证方法及装置
CN111615837B (zh) 数据传输方法、相关设备以及系统
CN103763697B (zh) 一种无线接入点多密钥支持系统及方法
WO2016155478A1 (zh) 用户设备的认证方法和装置
CN103858485A (zh) 一种rrc连接重建方法、设备和网络系统
CN116325840A (zh) 一种密钥推衍方法及其装置、系统
CN102487505A (zh) 一种传感器节点的接入认证方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130102

CF01 Termination of patent right due to non-payment of annual fee