專利名稱:一種中繼系統(tǒng)的安全密鑰獲取方法、裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�����,具體涉及一種中繼系統(tǒng)的系統(tǒng)密鑰獲取方法、裝置�。
背景技術(shù):
LTE-A (Long Term Evolution-Advanced,演進(jìn)的 LTE)是當(dāng)前最受關(guān)注的寬帶無 線通信技術(shù)標(biāo)準(zhǔn)3GPP LTE的演進(jìn)�,為了提高小區(qū)邊緣的吞吐量,LTE-A中引入中繼節(jié)點(diǎn) (Relay Node, RN)����,方便運(yùn)營(yíng)商或用戶臨時(shí)網(wǎng)絡(luò)部署需求,以及支持群移動(dòng)功能����,RN可以部 署在鄉(xiāng)村、城市���、室內(nèi)熱點(diǎn)區(qū)域或者盲點(diǎn)區(qū)域�����。RN具有如下特性RN可以具有屬于自己的物理小區(qū)標(biāo)識(shí)(PCI�����,Physical Cell Identity)�����,用于傳輸 自己的同步信號(hào)�����,參考信號(hào)����;UE可以接收RN的調(diào)度信息以及自動(dòng)重傳請(qǐng)求(HARQ�����,Hybrid Automatic Retransmitting Request)反饋���,并發(fā)送自己的控制信息給RN ��;針對(duì)3GPP Release 8 UE��,RN可以為R8 eNB,即具有后向兼容特性�;針對(duì)LTE-A UE���,RN可以為不同于R8 eNB的實(shí)體�����。RN位于RN歸屬基站Donor eNB與UE之間��,RN向UE發(fā)送下行信號(hào)�����,或者RN向DeNB 發(fā)送上行信號(hào)���,其中�����,RN與DeNB之間的空口叫做Un 口���,RN與UE之間的空口叫Uu 口。eNB 到UE的數(shù)據(jù)經(jīng)過兩段空口��,即經(jīng)過兩跳到達(dá)UE�,隨著更多RN的加入,LTE-A里還可以出現(xiàn) 多跳場(chǎng)景���。RN可以完成Uu 口上無線承載(RB�,Radio Bearer)和Un 口上RB的相互映射,映 射方式可以包括一對(duì)一的映射�,具體為Uu 口上一個(gè)RB映射到Un 口上一個(gè)RB ;多對(duì)一的映射���,具體為Uu 口上多個(gè)RB映射到Un 口上一個(gè)RB,同理�,也可以將一個(gè) UE的所有RB映射到Un 口上一個(gè)RB,此時(shí)�����,Un 口的RB是每個(gè)UE即per UE粒度�;還可以將 Uu 口上有類似業(yè)務(wù)質(zhì)量(Qos,Quality of Service)的RB映射到Un 口的一個(gè)RB上��。由于RN的引入�����,使得空口鏈路段數(shù)增多�,密鑰層次也增多,現(xiàn)有安全機(jī)制不能對(duì) 各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種中繼系統(tǒng)安全密鑰獲取方法�、裝置,使UE在Un 口鏈路上 的數(shù)據(jù)可以分別保護(hù)�。本發(fā)明實(shí)施例公開了一種中繼系統(tǒng)安全密鑰獲取方法,包括中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰�;所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空 口保護(hù)密鑰的根密鑰;所述節(jié)點(diǎn)根據(jù)所述根密鑰����,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰。本發(fā)明實(shí)施例公開了一種中繼系統(tǒng)安全密鑰獲取方法��,包括第一中繼節(jié)點(diǎn)在與第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)認(rèn)證的過程中獲取根密鑰��;所述第一中繼節(jié)點(diǎn)根據(jù)所述根密鑰獲取用于保護(hù)所述第一中繼節(jié)點(diǎn)與所述相鄰 接節(jié)點(diǎn)之間的空口保護(hù)密鑰���;所述第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)包括所述第一中繼節(jié)點(diǎn)的上級(jí)節(jié)點(diǎn)和/或所述 第一中繼節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)����。一種基站��,包括獲取模塊��,用于中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰�����;獲取模塊一,用于根據(jù)獲取模塊獲取的所述初始密鑰�����,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接 相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰����;獲取模塊二,用于根據(jù)獲取模塊一獲取的所述根密鑰�,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接 相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰����。一種中繼節(jié)點(diǎn)����,包括獲取模塊一�����,用于第一中繼節(jié)點(diǎn)在與第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)在認(rèn)證的過程中 獲取根密鑰�����;獲取模塊二�����,用于所述第一中繼節(jié)點(diǎn)根據(jù)所述獲取模塊一獲取的所述根密鑰獲取 保護(hù)所述第一中繼節(jié)點(diǎn)與所述相鄰接節(jié)點(diǎn)之間的空口保護(hù)密鑰�����;所述第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)包括所述第一中繼節(jié)點(diǎn)的上級(jí)節(jié)點(diǎn)和/或所述 第一中繼節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)�。本發(fā)明實(shí)施例通過eNB接收初始密鑰,根據(jù)該初始密鑰獲取eNB與直接下級(jí)節(jié)點(diǎn) 之間的空口保護(hù)密鑰的根密鑰���,根據(jù)該根密鑰獲取所述eNB與直接下級(jí)節(jié)點(diǎn)之間的空口保 護(hù)密鑰�,使UE在Un 口鏈路上的數(shù)據(jù)可以分別保護(hù)����,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一 套安全參數(shù),從而對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)����。
為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使 用的附圖作簡(jiǎn)要介紹���,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本 領(lǐng)域的普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下�����,還可以根據(jù)這些附圖獲得其 他的附圖��。圖1為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第一實(shí)施例的流程圖��;圖2為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第二實(shí)施例的流程圖�����;圖3為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第三實(shí)施例的流程圖�;圖4為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第四實(shí)施例的流程圖��;圖5為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第五實(shí)施例的流程圖����;圖6為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第六實(shí)施例的流程圖;圖7為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第七實(shí)施例的流程圖���;圖8為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第八實(shí)施例的流程圖����;圖9為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第九實(shí)施例的流程圖10為本發(fā)明實(shí)施例一種中繼系統(tǒng)節(jié)點(diǎn)的結(jié)構(gòu)示意圖;圖11為本發(fā)明實(shí)施例另一種中繼系統(tǒng)節(jié)點(diǎn)的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式為了使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn) 一步地詳細(xì)描述����,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部份實(shí)施例�����,而不是全部的實(shí)施 例�。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的 所有其它實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍����。LTE系統(tǒng)認(rèn)證過程中,歸屬用戶服務(wù)器(HSS����,Home Subscriber Server)根據(jù)本地 原始根密鑰K生成原始加密根密鑰和原始完整性保護(hù)根密鑰,即CK���,IK��,在認(rèn)證過程中�,HSS 根據(jù)該CK����,IK獲取核心網(wǎng)的初始密鑰KASME�����,并將該Kasme發(fā)送給MME�����,MME根據(jù)該Kasme獲取 非接入層(NAS,Non-Access Stratum)密鑰Knas和接入網(wǎng)的初始密鑰KeNB���,MME將該KeNB發(fā) 送給基站eNB�,eNB在本地根據(jù)該KeNB獲取接入層(AS��,access stratum)密鑰Kas�����,其中���,Knas 包括NAS消息加密密鑰和NAS消息完整性保護(hù)密鑰����,Kas包括用戶面UP (User Plane,用戶 面)的加密密鑰�、控制面CP(Contrc)I Plane,控制面)的完整性保護(hù)密鑰與控制面CP的加 密密鑰�。UE側(cè)也根據(jù)本地原始根密鑰K生成CK,IK, UE根據(jù)該CK�,IK獲取出KASME,UE根據(jù) 該Kasme獲取NAS密鑰Knas和KeNB���,UE根據(jù)該KeNB獲取AS密鑰Kas�,MME與UE使用的密鑰獲取 方法如下KDF (key derivation function)即密鑰推衍函數(shù),包括推衍得到的密鑰=HMAC-SHA_256(Key����,S);Key 是輸入密鑰���,S = FC| IPO I I LO I I Pl I |L1. · ·��;FC長(zhǎng)度為一個(gè)字節(jié)�����,用于區(qū)分不同算法����,PO是輸入?yún)?shù)���,LO是PO的長(zhǎng)度���,...�。獲取方法如下Kasme = KDF(CK| | IK, S10), Sl O = f ( FC, PLMN ID, SQN 十 AK);
MME和UE在本地獲取KeNB = KDF(Kasme, Sll),Sll = f (Uplink NAS COUNT)��;Knas = KDF (Kasme, S15)��,S15 = f (algorithm typeeNB和UE在本地獲取Kas = KDF(KeNB����,S15)。S10 = f (FC, PLMN ID, SQN θ AK) = FCl IPLMN ID| | length of PLMN ID I ISQN十AK 丨 Ilength of ( SQN φ AK)�����;其中FC = 0x10 ����;PLMN ID即公共陸地移動(dòng)網(wǎng)絡(luò)標(biāo)識(shí)。SQN是序列號(hào)�,AK可以為匿 名密鑰;length of XX可以為xx的長(zhǎng)度���;Sll = f (FC, Uplink NAS COUNT) = FC Uplink NAS COUNT length of Uplink NAS COUNT ���;其中FC = 0X11,Uplink NAS COUNT可以為上行NAS消息計(jì)數(shù)值�;
distinguisher, algorithm id);
S15 = f(FC, algorithm type distinguisher, algorithm id) = FC| |algorithm type distinguisher length of algorithm type distinguisher algorithm id I length of algorithm id;其中,F(xiàn)C= 0X15����,algorithm type distinguisher 可以為算法類型區(qū)別號(hào), algorithm id可以為算法標(biāo)識(shí)號(hào)����。但是由于RN的引入,使得空口鏈路段數(shù)增多�,密鑰層次也增多,現(xiàn)有安全機(jī)制不 能對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)���。為了解決上述技術(shù)問題���,本發(fā)明實(shí)施例提供了 一種多跳系統(tǒng)的密鑰獲取方法,具體情況如下本發(fā)明下面的實(shí)施例以3跳系統(tǒng)為例進(jìn)行詳細(xì)介紹���,各實(shí)施例的方法同樣也適用 于2跳或大于2跳的系統(tǒng)��。圖1為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第一實(shí)施例的流程圖����,包括101����、中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰;102��、所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間 的空口保護(hù)密鑰的根密鑰�����;103���、所述節(jié)點(diǎn)根據(jù)所述根密鑰�����,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之 間的所述空口保護(hù)密鑰�����。本發(fā)明實(shí)施例通過中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰��,所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲 取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰��,所述節(jié)點(diǎn)根據(jù)所述 根密鑰����,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰。使UE在 Un 口鏈路上的數(shù)據(jù)可以分別保護(hù)��,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù)��,從而 對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)���。進(jìn)一步����,當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為基站eNB時(shí)�,所述中繼系統(tǒng)中的節(jié)點(diǎn)獲取初始 密鑰,包括所述eNB從移動(dòng)性管理實(shí)體MME獲取初始密鑰�;進(jìn)一步,當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為中繼節(jié)點(diǎn)RN時(shí)�����,所述中繼系統(tǒng)中的節(jié)點(diǎn)獲取初 始密鑰�����,包括所述RN從MME或eNB獲取初始密鑰����;進(jìn)一步�����,當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為用戶終端UE時(shí)�,所述中繼系統(tǒng)中的節(jié)點(diǎn)獲取初 始密鑰�,包括所述UE從所述UE的上級(jí)節(jié)點(diǎn)獲取初始密鑰��。進(jìn)一步����,當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為eNB時(shí),所述方法進(jìn)一步包括所述eNB根據(jù)傳遞輸入?yún)?shù)及所述初始密鑰獲取所述eNB的下級(jí)節(jié)點(diǎn)的初始密 鑰�����;所述eNB向本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)發(fā)送所述初始密鑰����;所述eNB向所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰的節(jié)點(diǎn)發(fā)送所述傳遞 輸入?yún)?shù),以使得所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)與所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié) 點(diǎn)的直接相鄰的節(jié)點(diǎn)根據(jù)所述傳遞輸入?yún)?shù)及所述初始密鑰獲取所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn) 中的一個(gè)節(jié)點(diǎn)與所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰的節(jié)點(diǎn)之間的空口保護(hù)密 鑰的根密鑰���。8
進(jìn)一步���,當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為中繼節(jié)點(diǎn)RN時(shí)���,所述方法進(jìn)一步包括所述RN接收上級(jí)節(jié)點(diǎn)發(fā)送的傳遞輸入?yún)?shù);所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰節(jié)點(diǎn)之間的空口保護(hù) 密鑰的根密鑰�����,具體包括所述中繼節(jié)點(diǎn)RN根據(jù)所述初始密鑰與所述傳遞輸入?yún)?shù)獲取本節(jié)點(diǎn)與直接相鄰 節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰���。進(jìn)一步��,當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為中繼節(jié)點(diǎn)UE時(shí)�,所述方法進(jìn)一步包括所述UE接收上級(jí)節(jié)點(diǎn)發(fā)送的傳遞輸入?yún)?shù)�����;所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰節(jié)點(diǎn)之間的空口保護(hù) 密鑰的根密鑰����,具體包括所述UE根據(jù)所述初始密鑰與所述傳遞輸入?yún)?shù)獲取本節(jié)點(diǎn)與直接相鄰節(jié)點(diǎn)之間 的空口保護(hù)密鑰的根密鑰。特此說明����,該實(shí)施例涉及的輸入?yún)?shù)可以為傳遞輸入?yún)?shù)。本發(fā)明實(shí)施例通過中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰����,所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲 取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰���,所述節(jié)點(diǎn)根據(jù)所述 根密鑰,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰�����。使UE在 Un 口鏈路上的數(shù)據(jù)可以分別保護(hù)���,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù),從而 對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)��。圖2為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第二實(shí)施例的流程圖���,本實(shí)施例中����,UE 根據(jù)UE本地原始根密鑰K獲取全部空口密鑰��,KeNB由上級(jí)節(jié)點(diǎn)eNB或RN從空口傳遞給下級(jí) RN����,本發(fā)明實(shí)施例涉及的輸入?yún)?shù)可以為本地輸入?yún)?shù)�。如圖2所示201���、RNl接入網(wǎng)絡(luò)�,完成認(rèn)證過程�;202、RN2接入網(wǎng)絡(luò)����,完成認(rèn)證過程;203�����、UE接入網(wǎng)絡(luò)�����,完成認(rèn)證過程�����;其中���,步驟201��、步驟202和步驟203不分先后順序��。204�����、MME根據(jù)UE認(rèn)證過程生成的密鑰Kasme'獲取Knas和初始密鑰KeNB ��;步驟204中����,獲取Knas、初始密鑰KeNB的方法與LTE系統(tǒng)中密鑰獲取方法類似�,在此 不再贅述���。205��、MME將該初始密鑰KeNB發(fā)送給eNB ����;206��、eNB接收并保存MME發(fā)送的該初始密鑰KeNB ;207�����、eNB向RNl轉(zhuǎn)發(fā)該初始密鑰KeNB ����;208、RNl保存該初始密鑰KeNB ��;209�、eNB和RNl根據(jù)該初始密鑰KeNB在本地獲取eNB和RNl之間的根密鑰KeNB‘, 根據(jù)該根密鑰KeNB‘獲取用于保護(hù)eNB和冊(cè)1之間的UP����、CP數(shù)據(jù)的空口密鑰,具體方法如 下KeNB ‘=叨卩0(_�����,€(第一輸入?yún)?shù)))所述的第一輸入?yún)?shù)可以為RNl入網(wǎng)時(shí)���,eNB給RNl分配的臨時(shí)標(biāo)識(shí)參數(shù) C-TNTI1����,需要特別說明的是RNl每次重新接入新的DeNB時(shí)所獲得的C-RNTIl不同;或者所 述的第一輸入?yún)?shù)可以為eNB與RNl之間特定UE的無線資源控制(RRC�,Radio ResourceControl)消息計(jì)數(shù)值參數(shù)RRC MESSAGE COUNTl ;或者所述的第一輸入?yún)?shù)可以為eNB和 RNl協(xié)商的隨機(jī)值參數(shù)NONCE 1��,輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組口 O由根密鑰KeNB'獲取用于保護(hù)eNB和RNl之間的UP�、CP數(shù)據(jù)保護(hù)密鑰,其中�,UP數(shù) 據(jù)保護(hù)密鑰即UP加密密鑰Kup■,CP數(shù)據(jù)保護(hù)密鑰即CP加密密鑰Κκκ·和CP完整性保護(hù) 密鑰KKKei int���,三種密鑰的獲取方法參照上述Kas獲取公式��,輸入密鑰是Kdffi ‘�����,下面以KUPm����。密 鑰獲取為例進(jìn)行說明����,即Kupenc = KDF(KeNB ‘ , f (UP encryption algorithm type distinguisher, UP encryption algorithm id))其中����,UP encryption algorithm type distinguisher 為用戶面加密算法類型區(qū) 分符���,UP encryption algorithm id為用戶面加密算法ID。210��、RNl將該初始密鑰KeNB轉(zhuǎn)發(fā)給RN2 ���;211�、RN2保存該初始密鑰KeNB ��;212��、RNl與RN2根據(jù)該初始密鑰KeNB獲取根密鑰Kkni���,獲取方法為Kffll = KDF (KeNB���,f (第二輸入?yún)?shù)))其中,所述第二輸入?yún)?shù)可以為RN2入網(wǎng)時(shí)��,謂1給RN2分配的臨時(shí)標(biāo)識(shí)參數(shù) C-RNTI2 �����;或者所述第二輸入?yún)?shù)可以為RNl與RN2之間關(guān)于特定UE的RRC消息計(jì)數(shù)值參數(shù) RRC MESSAGE C0UNT2 ;或者所述第二輸入?yún)?shù)可以為謂1和RN2協(xié)商的隨機(jī)值參數(shù)N0NCE2����。 輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組合。由根密鑰Kkni獲取RNl和RN2之間Un 口鏈路上UP�����、CP數(shù)據(jù)保護(hù)密鑰Kupen�。‘����、 KEECenc' >KEECi int‘的方法與LTE系統(tǒng)中Kas獲取方法類似,在此不再贅述����。213、UE在本地獲取Knas和初始密鑰KeNB�����,獲取方法與現(xiàn)有技術(shù)類似�,再此不再贅 述。RN2和UE根據(jù)該初始密鑰KeNB獲取根密鑰Ken2,根據(jù)該根密鑰Kkn2獲取用于保護(hù)UE與 RN2之間的UP��、CP數(shù)據(jù)的空口密鑰��,該Kkn2獲取方法可以包括下面兩種方式a�、Kkn2 = KDF(KeNB,f(第三輸入?yún)?shù)))其中�����,輸入密鑰為KeNB�,第三輸入?yún)?shù)可以為UE入網(wǎng)時(shí),RN2給UE分配的臨時(shí)標(biāo)識(shí) 參數(shù)C-RNTI3 ��;或者第三輸入?yún)?shù)可以為RN2與UE之間的關(guān)于特定UE的RRC消息計(jì)數(shù)值 參數(shù)RRC MESSAGE C0UNT3�����,或者第三輸入?yún)?shù)可以為RN2與UE協(xié)商出隨機(jī)值參數(shù)N0NCE3����。 該輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組合。b�、采用小區(qū)內(nèi)切換htra-cell handover方式更新KeNB獲取根密鑰Kkn2,具體為Kffl2 = KDF (KeNB����,f (PCI����,EARFCN-DL))其中�,輸入密鑰為切換前使用的密鑰KeNB,輸入?yún)?shù)可以為目標(biāo)小區(qū)物理標(biāo)識(shí)PCI 和目標(biāo)小區(qū)無線頻率信道數(shù)EARFCN-DL����。
本發(fā)明實(shí)施例通過eNB接收初始密鑰KeNB,根據(jù)該初始密鑰KeNB獲取eNB與RNl節(jié) 點(diǎn)之間的根密鑰ΚεΝΒ'����,根據(jù)該根密鑰ΚεΝΒ‘獲取所述eNB與直接下級(jí)節(jié)點(diǎn)之間的空口保護(hù) 密鑰,eNB轉(zhuǎn)發(fā)該初始密鑰Κ_�����,以使得各下級(jí)節(jié)點(diǎn)根據(jù)所述初始密鑰Kdffi獲取各下級(jí)節(jié)點(diǎn) 之間的空口保護(hù)密鑰的根密鑰���,使UE在Un 口鏈路上的數(shù)據(jù)可以分別保護(hù)���,即每個(gè)活動(dòng)的UE 在Un 口鏈路上都有一套安全參數(shù),從而對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)�����。
圖3為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第三實(shí)施例的流程圖,本實(shí)施例中����,與實(shí)施例二不同的是eNB根據(jù)收到的KeNB�,在本地獲取所有下級(jí)RN節(jié)點(diǎn)的初始密鑰,然后將獲 取結(jié)果或獲取的參數(shù)下發(fā)給各級(jí)RN���,本發(fā)明實(shí)施例涉及的輸入?yún)?shù)可以包括傳遞輸入?yún)?shù) 和本地輸入?yún)?shù)�����。如圖3所示步驟301 305與實(shí)施例二中的步驟201 205類似�����,在此不再贅述���;306、eNB在本地根據(jù)接收的初始密鑰KeNB獲取各下級(jí)節(jié)點(diǎn)的初始密鑰Kh^Ken2,獲 取方法如下Kffll = KDF (KeNB�����,f (第四輸入?yún)?shù)))Kffl2 = KDF (KeNB,f (第五輸入?yún)?shù)))其中所述的第四輸入?yún)?shù)可以為傳遞輸入?yún)?shù)����,該第四傳遞輸入?yún)?shù)可以為RN2 入網(wǎng)時(shí),RNl給RN2分配的臨時(shí)標(biāo)識(shí)參數(shù)C-RNTI4��,需要特別說明的是RN2每次重新接入新 的DeNB時(shí)所獲得的C-RNTI4不同�����;或者所述第四傳遞輸入?yún)?shù)可以為RNl和RN2協(xié)商的隨 機(jī)值參數(shù)NONCE 4 ����;其中所述第五輸入?yún)?shù)可以為第五傳遞輸入?yún)?shù),第五傳遞輸入?yún)?shù)可以為UE 入網(wǎng)時(shí)��,RN2給UE分配的臨時(shí)標(biāo)識(shí)參數(shù)C-TNTI5��,需要特別說明的是UE每次重新接入新的 DeNB時(shí)所獲得的C-RNTI5不同�;或者所述第五傳遞輸入?yún)?shù)可以為eNB和RNl協(xié)商的隨機(jī) 值參數(shù)NONCE 5 ;或者����,第四輸入?yún)?shù)與第五輸入?yún)?shù)還可以為其他輸入?yún)?shù),例如相應(yīng)RN的id�, 或者相應(yīng)RN的載波頻點(diǎn)等。該輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組合。307�����、eNB將該初始密鑰KeNB�、第四輸入?yún)?shù)發(fā)送給RNl ;
308���、eNB和RNl根據(jù)該初始密鑰KeNB獲取eNB和RNl之間的根密鑰KeNB ‘,eNB和 RNl根據(jù)該根密鑰Kdffi'獲取用于保護(hù)UP��、CP數(shù)據(jù)的密鑰���,該Kdffi'的獲取方法如下KeNB‘ = KDF (KeNB, f (第六本地輸入?yún)?shù)))其中����,所述的第六本地輸入?yún)?shù)可以為RNl入網(wǎng)時(shí)��,eNB給RNl分配的臨時(shí)標(biāo)識(shí)參 數(shù)C-TNT6��,RN1每次重新接入新的DeNB����,所獲得的C-RNTI6不同;所述的第六本地輸入?yún)?shù) 可以為eNB與RNl之間特定UE的無線資源控制(RRC,RadioResource Control)消息計(jì)數(shù) 值參數(shù)RRC MESSAGE C0UNT6 ��;所述的第六本地輸入?yún)?shù)可以為eNB和謂1協(xié)商的隨機(jī)值參 數(shù)NONCE 6����。該本地輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組合。由根密鑰KeNB'獲取用于保護(hù)eNB和謂1之間UP��、CP數(shù)據(jù)保護(hù)密鑰��,其中�����,UP數(shù)據(jù) 保護(hù)密鑰即UP加密密鑰Kupm���。����,CP數(shù)據(jù)保護(hù)密鑰即CP加密密鑰KKKten�。和CP完整性保護(hù)密 鑰Kkio int,三種密鑰的獲取方法參照上述Kas獲取方法公式��,輸入密鑰是Kdffi'�����,下面以KUPm。 密鑰獲取為例進(jìn)行說明�,即Kupenc = KDF(KeNB ‘ , f (UP encryption algorithm type distinguisher, UP encryption algorithm id))其中,UP encryption algorithm type distinguisher 為用戶面加密算法類型區(qū) 分符����,UP encryption algorithm id為用戶面加密算法ID。309�����、eNB將該初始密鑰KKN1����、KeNB����、該第五輸入?yún)?shù)發(fā)送給RN2 ;310����、RNl根據(jù)該eNB的初始密鑰KeNB以及第五輸入?yún)?shù)獲取RNl的初始密鑰Keni, RNl與RN2根據(jù)該初始密鑰Keni獲取RNl與RN2之間的根密鑰Keni ‘��,冊(cè)1與RN2根據(jù)該根 密鑰Kkni ‘獲取用于保護(hù)RNl和RN2之間的UP、CP數(shù)據(jù)的空口密鑰KUPen�����。���、KEECenc, KEECi int���,獲11取方法與LTE系統(tǒng)中Kas獲取方法類似,在此不再贅述��,Keni'的獲取方法如下Kffll ‘ = KDF (Keni��,f (第七本地輸入?yún)?shù)))其中�����,輸入密鑰為Kkni�����,第七本地輸入?yún)?shù)可以為謂1與RN2之間的關(guān)于特定UE 的RRC消息計(jì)數(shù)值參數(shù)RRC MESSAGE C0UNT7,或者第七本地輸入?yún)?shù)可以為RNl分配給 RN2的臨時(shí)標(biāo)識(shí)參數(shù)C-RNTI7���,或者第七本地輸入?yún)?shù)可以為RNl與RN2協(xié)商出隨機(jī)值參數(shù) N0NCE7���。該本地輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組合��。31URN2根據(jù)eNB的初始密鑰KeNB和第五輸入?yún)?shù)獲取RN2的初始密鑰Ken2,該Ken2 獲取方法與步驟306中的獲取方法類似��。312���、RN2向UE發(fā)送該第五輸入?yún)?shù);313,UE在本地獲取Knas及初始密鑰ΚεΝΒ�、ΚΜ2,該初始密鑰KeNB的獲取方法參照上述 與K.的獲取公式�����,再此不再贅述��;初始密鑰Kkn2的獲取方法與步驟306中Kkn2的獲取方法 類似���,RN2和UE根據(jù)該初始密鑰Kkn2獲取RN2和UE之間的根密鑰Ken2 ‘,RN2和UE根據(jù)該 Kffl2'獲取用于保護(hù)UE與RN2之間的UP����、CP數(shù)據(jù)空口密鑰,Kkn2‘獲取方法可以包括以下兩 種方式a����、Ken2 ‘ = KDF (KEN2, f (第八本地輸入?yún)?shù)))其中�,輸入密鑰Kkn2��,第八本地輸入?yún)?shù)可以為RN2與UE之間RRC消息計(jì)數(shù)值參 數(shù)RRC MESSAGE C0UNT8,或者第八本地輸入?yún)?shù)可以為RN2分配給UE的臨時(shí)標(biāo)識(shí)參數(shù) C-RNTI8,或者第八本地輸入?yún)?shù)可以為RN2與UE協(xié)商出隨機(jī)值參數(shù)NONCES����,該輸入?yún)?shù)可 以包括但不限于上述三種參數(shù)之一或任意組合。b�����、采用小區(qū)內(nèi)切換intra-cell handover方式更新Kkn2��,獲得Kkn2‘�����,具體方法為Kffl2 ‘ = KDF (Ken2���,f (PCI�����,EARFCN-DL))����;其中,輸入密鑰可以為切換前使用的密鑰Ken2,輸入?yún)?shù)PCI可以為目標(biāo)小區(qū)物理 標(biāo)識(shí)�,EARFCN-DL可以為目標(biāo)小區(qū)無線頻率信道數(shù)。本發(fā)明實(shí)施例通過eNB根據(jù)所述KeNB獲取各下級(jí)節(jié)點(diǎn)的初始密鑰��,eNB轉(zhuǎn)發(fā)所述各 下級(jí)節(jié)點(diǎn)的初始密鑰及獲取所述初始密鑰用到的輸入?yún)?shù)�,以使得各下級(jí)節(jié)點(diǎn)根據(jù)所述初 始密鑰及所述輸入?yún)?shù)獲取各下級(jí)節(jié)點(diǎn)的空口保護(hù)密鑰的根密鑰。使UE在Un 口鏈路上的 數(shù)據(jù)可以分別保護(hù)�,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù),從而對(duì)各段空口上 數(shù)據(jù)進(jìn)行有效的安全保護(hù)����。圖4為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第四實(shí)施例的流程圖,本實(shí)施例中����,與 實(shí)施例三不同的是eNB、RN節(jié)點(diǎn)的初始密鑰都在MME中集中獲取產(chǎn)生���,然后下發(fā)獲取結(jié)果或 者下發(fā)獲取結(jié)果和參數(shù)給各節(jié)點(diǎn),如圖4所示步驟401 403與實(shí)施例二中的步驟201 203類似����,在此不再贅述����,不同之處在 于404����、MME根據(jù)UE認(rèn)證過程中生成的密鑰Kasme獲取Knas和MME下eNB的初始密鑰 KeNB,獲取方法如下KeNB = KDF (Kasme, f (UL NAS COUNT))Kffll = KDF (Kasme, f (第十輸入?yún)?shù)))Kffl2 = KDF (Kasme, f (第—^一輸入?yún)?shù)))其中,輸入密鑰為認(rèn)證過程中產(chǎn)生的密鑰KASME��,UL NAS COUNT為MME中UE的上行NAS信令的計(jì)數(shù)值參數(shù)�����,所述第十輸入?yún)?shù)可以包括第十傳遞輸入?yún)?shù)�,該第十傳遞輸入?yún)?數(shù)可以為隨機(jī)值參數(shù)N0NCE10或者M(jìn)ME與對(duì)應(yīng)RN之間的NAS COUNT值,第—^一輸入?yún)?shù)可 以為第十一傳遞輸入?yún)?shù)����,第十一傳遞輸入?yún)?shù)可以為隨機(jī)值參數(shù)N0NCE11或者M(jìn)ME與對(duì) 應(yīng)RN之間的NAS COUNT值。該輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組合�。 405、MME向eNB發(fā)送初始密鑰KeNB ��;406��、MME向RNl發(fā)送初始密鑰KeNB、第十輸入?yún)?shù)���;407�����、MME向RN2發(fā)送初始密鑰KeNB���、KKN1、第i^一輸入?yún)?shù)�����;408�����、RN2向UE發(fā)送第i^一輸入?yún)?shù)����;409、RNl和eNB根據(jù)初始密鑰KeNB獲取根密鑰KeNB ‘��,RNl和eNB根據(jù)該根密鑰 KeNB'獲取用于保護(hù)RNl和eNB之間UP���、CP數(shù)據(jù)的空口密鑰�,獲取方法如下KeNB‘ = KDF(KeNB, f(第十二本地輸入?yún)?shù)))其中�����,第十二本地輸入?yún)?shù)可以為C-TNT12可以為所述的第十二本地輸入?yún)?shù)可 以為RNl入網(wǎng)時(shí)���,eNB給RNl分配的臨時(shí)標(biāo)識(shí)參數(shù)C-TNT12�,RNl每次重新接入新的DeNB�����,所 獲得的C-RNTI12不同��;或者所述的第十二本地輸入?yún)?shù)可以為eNB與RNl之間特定UE的 無線資源控制(RRC���,I adio Resource Control)消息計(jì)數(shù)值參數(shù) RRC MESSAGE COUNT 12 ��;或 者所述的第十二本地輸入?yún)?shù)可以為eNB和謂1協(xié)商的隨機(jī)值參數(shù)NONCE 12��。該本地輸入 參數(shù)可以包括但不限于上述三種參數(shù)之一或任意組合�����。由KeNB'獲取用于保護(hù)RNl和eNB之間UP����、CP數(shù)據(jù)保護(hù)密鑰,其中����,UP數(shù)據(jù)保護(hù)密 鑰即UP加密密鑰ΚυΡεη。���,CP數(shù)據(jù)保護(hù)密鑰即CP加密密鑰KKKten�����。和CP完整性保護(hù)密鑰Kkkm int�,三種密鑰的獲取方法參照上述Kas獲取方法公式��,輸入密鑰是Kdffi ‘�����,下面以ΚυΡ·密鑰獲 取為例進(jìn)行說明��,即Kupenc = KDF(KeNB ‘ , f (UP encryption algorithm type distinguisher, UP encryption algorithm id))其中�����,UP encryption algorithm type distinguisher 為用戶面加密算法類型區(qū) 分符,UP encryption algorithm id為用戶面加密算法ID��。410,RNl根據(jù)eNB的初始密鑰KeNB����、第十輸入?yún)?shù)獲取RNl的初始密鑰Kkni�,獲取方 法與步驟404類似,在此不再贅述�;RNl和RN2分別根據(jù)該初始密鑰Kkni獲取RNl和RN2之 間的根密鑰Kkn/,獲取方法與實(shí)施例三中步驟310類似�����,在此不再贅述�����;RN1���、RN2根據(jù)該根 密鑰Kkni ‘獲取用于保護(hù)RNl與RN2之間的UP��、CP數(shù)據(jù)空口保護(hù)密鑰KUPen�。、KCPenc, KCPint�����。411�、RN2根據(jù)該RNl與eNB之間的初始密鑰KeNB、第i^一輸入?yún)?shù)獲取RN2與UE 之間的初始密鑰KKN2���,獲取方法與步驟404類似�;412�、UE在本地獲取eNB的初始密鑰KeNB,UE根據(jù)該KeNB�����、第i^一輸入?yún)?shù)獲取RN2 的初始密鑰Ken2��,UE和RN2根據(jù)RN2的初始密鑰Kkn2獲取RN2與UE之間的根密鑰Kkn2 ‘�����,RN2 與UE根據(jù)該Kkn2'獲取用于保護(hù)UE與RN2之間的CP�����、UP數(shù)據(jù)空口密鑰,Kupenc, KEECenc, KEECi int�,獲取方法與LTE系統(tǒng)中Kas獲取方法類似,在此不再贅述���,Ken2 ‘獲取方法如下a��、Ken2 ‘ = KDF (KEN2, f (第十三本地輸入?yún)?shù)))其中�,輸入密鑰為Ken2,第十三本地輸入?yún)?shù)可以為UE入網(wǎng)時(shí)����,可以為RN2分配給 UE的臨時(shí)標(biāo)識(shí)參數(shù)C-RNTI13 ���;或者第十三輸入?yún)?shù)可以為RN2與UE之間的RRC消息計(jì)數(shù) 值參數(shù)RRC MESSAGE C0UNT13����,或者第十三本地輸入?yún)?shù)可以為RN2與UE協(xié)商出隨機(jī)值參13數(shù)N0NCE13 ��;該本地輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組合�。b、采用小區(qū)內(nèi)切換intra-cell handover方式更新Ken2獲取Kkn2‘��,更新方法與 313(b)類似�����,在此不再贅述。本發(fā)明實(shí)施例通過移動(dòng)性管理實(shí)體MME根據(jù)所述MME認(rèn)證過程中生成的密鑰獲取 所述MME下eNB的下級(jí)節(jié)點(diǎn)的初始密鑰�,以及所述eNB的初始密鑰;所述MME向所述下級(jí) 節(jié)點(diǎn)發(fā)送所述eNB的初始密鑰或所述下級(jí)節(jié)點(diǎn)的初始密鑰��;以使得所述下級(jí)節(jié)點(diǎn)根據(jù)所述 eNB的初始密鑰或所述下級(jí)節(jié)點(diǎn)與MME認(rèn)證過程中生成的密鑰��,獲取所述下級(jí)節(jié)點(diǎn)與所述 下級(jí)節(jié)點(diǎn)的直接下級(jí)節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰����。使UE在Un 口鏈路上的數(shù)據(jù)可以 分別保護(hù),即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù)��,從而對(duì)各段空口上數(shù)據(jù)進(jìn)行 有效的安全保護(hù)�����。圖5為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第五實(shí)施例的流程圖�����,本實(shí)施例中�,Un 口鏈路保護(hù)密鑰基于RN節(jié)點(diǎn)的永久密鑰Ka,可用于保護(hù)RN特定的RB�,也可用于保護(hù)屬于 該RN的所有UE的RB��。本發(fā)明實(shí)施例涉及的輸入?yún)?shù)可以為本地輸入?yún)?shù)��。如圖5所示501���、RNl接入網(wǎng)絡(luò),完成認(rèn)證過程�����,在認(rèn)證過程中用Ka獲取密鑰KASME_RN1 ����;502����、RN2接入網(wǎng)絡(luò),完成認(rèn)證過程���,在認(rèn)證過程中用Kb獲取密鑰KASME_RN2 �;503����、MME��、RN1分別根據(jù)認(rèn)證過程中生成的密鑰KASME_RN1獲取Knas和RNl的初始密 鑰Km��,MME���、RN2分別根據(jù)認(rèn)證過程中生成的密鑰Kasme_RN2獲取Knas和RN2的初始密鑰Ken2, 獲取方法可以參照上述Knas的獲取公式,輸入密鑰是認(rèn)證過程中生成的密鑰����;504、MME將獲取的該初始密鑰Kkni發(fā)送給eNB �;505、MME將獲取的該始密鑰Kkn2發(fā)送給RNl ����;506,RNl和eNB根據(jù)該初始密鑰Keni獲取用于保護(hù)RNl和eNB之間的UP、CP數(shù)據(jù) 的空口密鑰��,獲取方法與LTE系統(tǒng)中獲取Knas的方法類似���,輸入密鑰為Kkni ��;
507����、RN2根據(jù)該初始密鑰Kkn2獲取RNl與RN2之間的根密鑰Ken2 ‘,RNl和RN2根 據(jù)該根密鑰Kkn2‘獲取用于保護(hù)RNl和RN2之間的UP���、CP數(shù)據(jù)的空口密鑰����,獲取方法與LTE 系統(tǒng)中獲取Kas的方法類似�,輸入密鑰為Ken2',Kffl2‘的獲取方法為Kffl2'=叨卩0^2�,€(第十四輸入?yún)?shù)))其中,第十四輸入?yún)?shù)可以為RNl與RN2之間關(guān)于特定UE的RRC消息計(jì)數(shù)值參數(shù) RRC MESSAGE C0NUT14 ����;或者,第十四輸入?yún)?shù)可以為RN2入網(wǎng)時(shí)謂1給RN2分配的臨時(shí)標(biāo) 識(shí)參數(shù)C-RNTI14���,或者第十四輸入?yún)?shù)還可以為RNl和RNl協(xié)商出的隨機(jī)值參數(shù)N0NCE14 可,該輸入?yún)?shù)可以包括但不限于上述三種參數(shù)之一或任意組合�。本發(fā)明實(shí)施例通過移動(dòng)性管理實(shí)體MME根據(jù)輸入?yún)?shù)和所述MME認(rèn)證過程中生成 的密鑰獲取所述MME下eNB的下級(jí)節(jié)點(diǎn)的初始密鑰,以及所述eNB的初始密鑰���;所述MME向 所述下級(jí)節(jié)點(diǎn)發(fā)送所述eNB的初始密鑰或所述下級(jí)節(jié)點(diǎn)的初始密鑰��;所述MME向所述下級(jí) 節(jié)點(diǎn)發(fā)送所述輸入?yún)?shù)�����;以使得所述下級(jí)節(jié)點(diǎn)根據(jù)所述輸入?yún)?shù)和所述eNB的初始密鑰����, 或輸入?yún)?shù)和所述下級(jí)節(jié)點(diǎn)與MME認(rèn)證過程中生成的密鑰,獲取所述下級(jí)節(jié)點(diǎn)與所述下級(jí) 節(jié)點(diǎn)的直接下級(jí)節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰���。使UE在Un 口鏈路上的數(shù)據(jù)可以分別 保護(hù)�����,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù)����,從而對(duì)各段空口上數(shù)據(jù)進(jìn)行有效 的安全保護(hù)�����。本發(fā)明的各實(shí)施例還可以聯(lián)合使用�,例如,當(dāng)RNl與eNB之間的Un 口上有兩類承載��,分別是RNl的承載與UE的承載,對(duì)于RNl的承載����,可以使用實(shí)施例五的方法生成密鑰進(jìn) 行保護(hù),對(duì)于UE的承載�,可以使用實(shí)施例二的方法進(jìn)行保護(hù),同理��,對(duì)于RNl與RN2之間的 Un 口上的RN2承載也可以使用實(shí)施例五的方法生成密鑰進(jìn)行保護(hù)����,對(duì)于RNl與RN2之間的 Un 口上的UE承載也可以使用實(shí)施例二的方法生成密鑰進(jìn)行保護(hù);其中�����,對(duì)于謂1與eNB之 間的Un 口上的UE承載還可以使用實(shí)施例三的方法生成密鑰進(jìn)行保護(hù)���,對(duì)于RNl與RN2之 間的Un 口上的UE承載�����,也可以使用實(shí)施例三的方法生成密鑰進(jìn)行保護(hù);其中���,對(duì)于RNl與 eNB之間的Un 口上的UE承載還可以使用實(shí)施例四的方法生成密鑰進(jìn)行保護(hù)�����,對(duì)于RNl與 RN2之間的Un 口上的UE承載��,也可以使用實(shí)施例四的方法生成密鑰進(jìn)行保護(hù)����。圖6為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第六實(shí)施例的流程圖,本實(shí)施例中下級(jí) RN使用的保護(hù)密鑰和上級(jí)RN使用的密鑰相關(guān)聯(lián)�,本發(fā)明實(shí)施例涉及的輸入?yún)?shù)可以為本 地輸入?yún)?shù)。如圖6所示601�����、RNl接入網(wǎng)絡(luò)����,完成認(rèn)證過程;602.MME和RNl分別根據(jù)認(rèn)證過程中生成的密鑰KASME_RN1獲取Knas和RNl的初始 密鑰Keni,獲取方法可以與LTE系統(tǒng)類似���,輸入密鑰是認(rèn)證過程中生成的密鑰KASME_RN1��,輸入 參數(shù)可以為RNl的Uplink NAS COUNT �;603、MME將該初始密鑰Kkni發(fā)送給eNB ��;604,RNl根據(jù)該初始密鑰Keni直接獲取用于保護(hù)RNl和eNB之間的UP���、CP數(shù)據(jù)的 空口密鑰����,獲取方法與LTE系統(tǒng)中獲取Kas類似�����,輸入密鑰為Keni �;605、RN2接入網(wǎng)絡(luò)��,完成認(rèn)證過程��,MME在RN2認(rèn)證過程中����,MME向RN2發(fā)送RNl的初始密鑰Kkni ;606���、MME和RN2根據(jù)認(rèn)證過程中生成的該KASME_RN2�����、RNl的初始密鑰Keni獲取Knas 和RN2的初始密鑰Kkn2�,該Ken2獲取方法如下Kffl2 = KDF(Kasme_RN2, Keni, f (Uplink NAS COUNT of RN2))輸入密鑰是Kasme_RN2和K·����,607、MME將該初始密鑰Kkn2發(fā)送給RNl �;608、RN2根據(jù)該Ken2獲取RNl與RN2之間的根密鑰Ken2'���,根據(jù)該根密鑰Kffl2'獲 取用于保護(hù)RNl和RN2之間的UP�����、CP數(shù)據(jù)的空口密鑰�,獲取方法與LTE系統(tǒng)中獲取Kas類 似���,輸入密鑰為Kkn2'����;609�、UE接入網(wǎng)絡(luò)�,完成認(rèn)證過程�����,并將KRNl和KRN2發(fā)送給UE�。610.MME和UE根據(jù)認(rèn)證過程中生成的密鑰Kasme_UE、Kkn2獲取初始密鑰KeNB和Knas�����, 其中��,K.的獲取方法如下KeNB = KDF(Kasme_UE, Ken2, f (Uplink NAS COUNT of UE))輸入密鑰Kasme_UE 和 Ken2 �;
611、MME將該eNB的初始密鑰KeNB發(fā)送給RN2 ���;612�、RN2根據(jù)該初始密鑰KeNB獲取UE與RN2之間的根密鑰KeNB ‘�,RN2和UE根據(jù) 該KeNB ‘獲取用于保護(hù)RN2和UE之間的UP、CP數(shù)據(jù)的空口密鑰�����,輸入密鑰為Ken2 ‘,該KeNB ‘ 的獲取方法有兩種a����、與實(shí)施例二步驟209中KeNB'獲取方法類似,輸入密鑰為KeNB�����,第一輸入?yún)?shù)可 以為RN2與UE之間RRC消息計(jì)數(shù)值��,或者第一輸入?yún)?shù)可以為RN2分配給UE的C-RNTI���,或者第一輸入?yún)?shù)可以為RN2與UE協(xié)商出的新鮮值NONCE ;該輸入?yún)?shù)可以包括但不限于上 述參數(shù)之一或任意組合���。b��、采用intra-cell handover方式更新KeNB���,獲取根密鑰KeNB‘,更新方法為KeNB ‘ = KDF (KeNB, f (PCI���,EARFCN-DL))�;其中����,KeNB‘可以為更新后的密鑰��,輸入密鑰可以為切換前使用的密鑰K·��,輸入?yún)?數(shù)PCI可以為目標(biāo)小區(qū)物理標(biāo)識(shí)�����,EARFCN-DL為目標(biāo)小區(qū)無線頻率信道數(shù)����。本發(fā)明實(shí)施例通過中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰�,所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲 取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰,所述節(jié)點(diǎn)根據(jù)所述 根密鑰�����,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰�����。使UE在 Un 口鏈路上的數(shù)據(jù)可以分別保護(hù)���,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù)���,從而 對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)�。圖7為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第七實(shí)施例的流程圖����,本實(shí)施例中各級(jí) RN與自己上一級(jí)節(jié)點(diǎn)認(rèn)證,生成各段空口保護(hù)密鑰���。如圖7所示701、RNl接入網(wǎng)絡(luò)�����,與eNB相互認(rèn)證�;702,RNl和eNB分別根據(jù)認(rèn)證過程中生成的RNl和eNB之間的根密鑰Kaut KN1獲取 用于保護(hù)他們之間空口上UP、CP數(shù)據(jù)的密鑰�,獲取方法與LTE系統(tǒng)中獲取Kas類似,輸入密 鑰為K腿�;703、RN2接入網(wǎng)絡(luò)��,與觀1相互認(rèn)證����;704,RNl和RN2分別根據(jù)認(rèn)證過程中生成的RNl和RN2之間的根密鑰Kaut KN2獲取 用于保護(hù)他們之間空口上UP�����、CP數(shù)據(jù)的密鑰�,獲取方法與參照上述Kas的獲取公式��,輸入密 鑰為IW本實(shí)例通過第一中繼節(jié)點(diǎn)在與第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)認(rèn)證的過程中獲取根 密鑰����,所述第一中繼節(jié)點(diǎn)根據(jù)所述根密鑰獲取用于保護(hù)所述第一中繼節(jié)點(diǎn)與所述相鄰接節(jié) 點(diǎn)之間的空口保護(hù)密鑰,所述第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)包括所述第一中繼節(jié)點(diǎn)的上級(jí)節(jié) 點(diǎn)和/或所述第一中繼節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)��。使各個(gè)節(jié)點(diǎn)上的數(shù)據(jù)可以分別保護(hù)����,即每個(gè)活動(dòng) 的UE在Un 口鏈路上都有一套安全參數(shù),從而對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)���。本發(fā)明實(shí)施例還可以與實(shí)施例一 / 二 /三聯(lián)合使用���,實(shí)施例七的方法用于保護(hù)Un 口上的RN相關(guān)的承載,實(shí)施例一 / 二 /三用于保護(hù)Un 口上的UE相關(guān)的承載��。圖8為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第八實(shí)施例的流程圖,本實(shí)施例中各級(jí) RN與都與eNB認(rèn)證�����,生成各段空口保護(hù)密鑰�����,如圖8所示801��、RNl接入網(wǎng)絡(luò)�,與eNB相互認(rèn)證;802���、eNB與RNl分別根據(jù)認(rèn)證過程中生成的eNB與RNl之間的根密鑰Kkni獲取用 于保護(hù)他們之間空口上UP�、CP數(shù)據(jù)的密鑰���;803、RN2接入網(wǎng)絡(luò)��,與eNB相互認(rèn)證��;804,eNB和RN2分別在認(rèn)證過程中生成RN2的初始密鑰Kkn2����,eNB將該初始密鑰Ken2 轉(zhuǎn)發(fā)給RNl����,RNl和RN2分別根據(jù)該Kkn2獲取RNl和RN2之間的根密鑰Kkn2 ‘����,根據(jù)該Ken2 ‘ 獲取用于保護(hù)RNl和RN2之間空口上UP、CP數(shù)據(jù)的密鑰��。本實(shí)例通過第一中繼節(jié)點(diǎn)在與第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)認(rèn)證的過程中獲取根 密鑰����,所述第一中繼節(jié)點(diǎn)根據(jù)所述根密鑰獲取用于保護(hù)所述第一中繼節(jié)點(diǎn)與所述相鄰接節(jié)點(diǎn)之間的空口保護(hù)密鑰,所述第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)包括所述第一中繼節(jié)點(diǎn)的上級(jí)節(jié) 點(diǎn)和/或所述第一中繼節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)����。使各個(gè)節(jié)點(diǎn)上的數(shù)據(jù)可以分別保護(hù),即每個(gè)活動(dòng) 的UE在Un 口鏈路上都有一套安全參數(shù)����,從而對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)。本發(fā)明實(shí)施例還可以與實(shí)施例一 / 二 /三聯(lián)合使用����,實(shí)施例八的方法用于保護(hù)Un 口上的RN相關(guān)的承載����,實(shí)施例一 / 二 /三用于保護(hù)Un 口上的UE相關(guān)的承載�����。使UE在Un 口鏈路上的數(shù)據(jù)可以分別保護(hù)�����,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù)�����,從而對(duì) 各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)���。圖9為本發(fā)明中繼系統(tǒng)安全密鑰獲取方法第十二實(shí)施例的流程圖����,包括901�����、第一中繼節(jié)點(diǎn)在與第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)認(rèn)證的過程中獲取根密鑰����;902、所述第一中繼節(jié)點(diǎn)根據(jù)所述根密鑰獲取用于保護(hù)所述第一中繼節(jié)點(diǎn)與所述 相鄰接節(jié)點(diǎn)之間的空口保護(hù)密鑰�;所述第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)包括所述第一中繼節(jié)點(diǎn)的上級(jí)節(jié)點(diǎn)和/或所述 第一中繼節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)。本發(fā)明實(shí)施例通過中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰���,所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲 取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰����,所述節(jié)點(diǎn)根據(jù)所述 根密鑰��,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰���。使UE在 Un 口鏈路上的數(shù)據(jù)可以分別保護(hù)�,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù)���,從而 對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)�。圖10為本發(fā)明實(shí)施例一種中繼系統(tǒng)的節(jié)點(diǎn)的結(jié)構(gòu)示意圖�,包括獲取模塊1001,用于中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰��;獲取模塊一 1002���,用于根據(jù)獲取模塊獲取的所述初始密鑰�����,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn) 直接相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰�;獲取模塊二 1003,用于根據(jù)獲取模塊一獲取的所述根密鑰���,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn) 直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰��。所述的獲取模塊具體用于當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為基站eNB時(shí)���,所述eNB從移 動(dòng)性管理實(shí)體MME獲取初始密鑰;所述的獲取模塊具體用于當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為中繼節(jié)點(diǎn)RN時(shí)�����,所述RN從 MME或eNB獲取初始密鑰�����;所述的獲取模塊具體用于當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為用戶終端UE時(shí)���,所述UE從 所述UE的上級(jí)節(jié)點(diǎn)獲取初始密鑰��。進(jìn)一步�����,所述裝置還包括所述的獲取模塊還用于當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為eNB時(shí)��,所述eNB根據(jù)傳遞輸 入?yún)?shù)及所述獲取模塊獲取的所述初始密鑰獲取所述eNB的下級(jí)節(jié)點(diǎn)的初始密鑰�����;發(fā)送模塊1004��,用于所述eNB向本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)發(fā)送所述初始密 鑰和所述eNB向所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰的節(jié)點(diǎn)發(fā)送所述傳遞輸入 參數(shù)��,以使得所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)與所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的 直接相鄰的節(jié)點(diǎn)根據(jù)所述傳遞輸入?yún)?shù)及所述初始密鑰獲取所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的 一個(gè)節(jié)點(diǎn)與所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰的節(jié)點(diǎn)之間的空口保護(hù)密鑰的 根密鑰����。
進(jìn)一步�����,當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為中繼節(jié)點(diǎn)RN時(shí)�����,所述裝置還包括接收模塊1005,用于所述RN接收上級(jí)節(jié)點(diǎn)傳遞輸入?yún)?shù)���;所述獲取模塊一還用于所述RN根據(jù)所述初始密鑰與所述傳遞輸入?yún)?shù)獲取本節(jié) 點(diǎn)直接相鄰節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰����。進(jìn)一步�����,當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為中繼節(jié)點(diǎn)UE時(shí)�����,所述裝置還包括所述的接收模塊還用于當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為中繼節(jié)點(diǎn)UE時(shí)�����,所述UE接收 上級(jí)節(jié)點(diǎn)傳遞輸入?yún)?shù)���;所述的獲取模塊一還用于所述UE根據(jù)所述初始密鑰與所述傳遞輸入?yún)?shù)獲取本 節(jié)點(diǎn)直接相鄰節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰�。本發(fā)明實(shí)施例通過中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰��,所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲 取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰,所述節(jié)點(diǎn)根據(jù)所述 根密鑰�,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰。使UE在 Un 口鏈路上的數(shù)據(jù)可以分別保護(hù)���,即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù),從而 對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)�����。圖11為本發(fā)明實(shí)施例一種中繼節(jié)點(diǎn)的結(jié)構(gòu)示意圖��,包括獲取模塊一 1101��,用于第一中繼節(jié)點(diǎn)在與第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)認(rèn)證的過程 中獲取根密鑰����;獲取模塊二 1102,用于所述第一中繼節(jié)點(diǎn)根據(jù)所述獲取模塊一獲取的所述根密鑰 獲取保護(hù)所述第一中繼節(jié)點(diǎn)與所述相鄰接節(jié)點(diǎn)之間的空口保護(hù)密鑰�;所述第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)包括所述第一中繼節(jié)點(diǎn)的上級(jí)節(jié)點(diǎn)和/或所述 第一中繼節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)。本發(fā)明實(shí)施例通過中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰�,所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲 取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰,所述節(jié)點(diǎn)根據(jù)所述 根密鑰����,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰。使UE在 Un 口鏈路上的數(shù)據(jù)可以分別保護(hù),即每個(gè)活動(dòng)的UE在Un 口鏈路上都有一套安全參數(shù)�����,從而 對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)���。在通過以上的各實(shí)施例的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借 助軟件及必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)�,當(dāng)然,也可以通過硬件�,但很多情況下前者是 更佳的實(shí)施方式?���;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn) 的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中�,包括 若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本 發(fā)明各個(gè)實(shí)施例該的方法����。雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施方式���,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述,但 本領(lǐng)域的普通技術(shù)人員應(yīng)該明白�,可以在形式上和細(xì)節(jié)上對(duì)其作各種改變,而不偏離本發(fā) 明的精神和范圍��。通過以上的各實(shí)施例的描述�����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件及必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)�����,當(dāng)然����,也可以通過硬件����,但很多情況下前者是更 佳的實(shí)施方式?���;谶@樣的理解�,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中�����,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)����,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā) 明各個(gè)實(shí)施例該的方法�。 雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施方式,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述��,但 本領(lǐng)域的普通技術(shù)人員應(yīng)該明白��,可以在形式上和細(xì)節(jié)上對(duì)其作各種改變���,而不偏離本發(fā) 明的精神和范圍���。
權(quán)利要求
1.一種中繼系統(tǒng)安全密鑰獲取方法����,其特征在于����,包括 中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰;所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空口保 護(hù)密鑰的根密鑰��;所述節(jié)點(diǎn)根據(jù)所述根密鑰�,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述 空口保護(hù)密鑰。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于�,當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為基站eNB時(shí),所述中繼系統(tǒng)中的節(jié)點(diǎn)獲取初始密鑰����,包括 所述eNB從移動(dòng)性管理實(shí)體MME獲取初始密鑰;當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為中繼節(jié)點(diǎn)RN時(shí)�����,所述中繼系統(tǒng)中的節(jié)點(diǎn)獲取初始密鑰�����,包括所述RN從MME或eNB獲取初始密鑰;當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為用戶終端UE時(shí)�����,所述中繼系統(tǒng)中的節(jié)點(diǎn)獲取初始密鑰�����,包括所述UE從所述UE的上級(jí)節(jié)點(diǎn)獲取初始密鑰���。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為eNB時(shí)���,所述方法進(jìn)一步包括所述eNB根據(jù)傳遞輸入?yún)?shù)及所述初始密鑰獲取所述eNB的下級(jí)節(jié)點(diǎn)的初始密鑰; 所述eNB向本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)發(fā)送所述初始密鑰���; 所述eNB向所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰的節(jié)點(diǎn)發(fā)送所述傳遞輸入 參數(shù)�����,以使得所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)與所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的 直接相鄰的節(jié)點(diǎn)根據(jù)所述傳遞輸入?yún)?shù)及所述初始密鑰獲取所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的 一個(gè)節(jié)點(diǎn)與所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰的節(jié)點(diǎn)之間的空口保護(hù)密鑰的 根密鑰�。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于��,當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為中繼節(jié)點(diǎn)RN 時(shí)��,所述方法進(jìn)一步包括所述RN接收上級(jí)節(jié)點(diǎn)發(fā)送的傳遞輸入?yún)?shù)�����;所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰節(jié)點(diǎn)之間的空口保護(hù)密鑰 的根密鑰����,具體包括所述RN根據(jù)所述初始密鑰與所述傳遞輸入?yún)?shù)獲取本節(jié)點(diǎn)與直接相鄰節(jié)點(diǎn)之間的空 口保護(hù)密鑰的根密鑰。
5.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為用戶終端UE 時(shí)���,所述方法進(jìn)一步包括所述UE接收上級(jí)節(jié)點(diǎn)發(fā)送的傳遞輸入?yún)?shù)���;所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰節(jié)點(diǎn)之間的空口保護(hù)密鑰 的根密鑰�,具體包括所述UE根據(jù)所述初始密鑰與所述傳遞輸入?yún)?shù)獲取本節(jié)點(diǎn)與直接相鄰節(jié)點(diǎn)之間的空 口保護(hù)密鑰的根密鑰����。
6.一種中繼系統(tǒng)的安全密鑰獲取方法,其特征在于��,包括第一中繼節(jié)點(diǎn)在與第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)認(rèn)證的過程中獲取根密鑰�����; 所述第一中繼節(jié)點(diǎn)根據(jù)所述根密鑰獲取用于保護(hù)所述第一中繼節(jié)點(diǎn)與所述相鄰接節(jié) 點(diǎn)之間的空口保護(hù)密鑰�����;所述第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)包括所述第一中繼節(jié)點(diǎn)的上級(jí)節(jié)點(diǎn)和/或所述第一 中繼節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)�。
7.—種中繼系統(tǒng)的節(jié)點(diǎn),其特征在于���,包括 獲取模塊���,用于中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰;獲取模塊一�,用于根據(jù)獲取模塊獲取的所述初始密鑰,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰 的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰;獲取模塊二����,用于根據(jù)獲取模塊一獲取的所述根密鑰,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰 的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰�。
8.根據(jù)權(quán)利要求7所述的基站,其特征在于���,所述的獲取模塊具體用于當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為基站eNB時(shí)�����,所述eNB從移動(dòng)性管 理實(shí)體MME獲取初始密鑰���;或者所述的獲取模塊具體用于當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為中繼節(jié)點(diǎn)RN時(shí),所述RN從MME或 eNB獲取初始密鑰�����;或者所述的獲取模塊具體用于當(dāng)所述中繼系統(tǒng)的節(jié)點(diǎn)為用戶終端UE時(shí)���,所述UE從所述UE 的上級(jí)節(jié)點(diǎn)獲取初始密鑰。
9.根據(jù)權(quán)利要求7所述的基站�,其特征在于,所述裝置還包括所述獲取模塊還用于當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為eNB時(shí),所述eNB根據(jù)傳遞輸入?yún)?shù) 及所述初始密鑰獲取所述eNB的下級(jí)節(jié)點(diǎn)的初始密鑰�;發(fā)送模塊,用于所述eNB向本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)發(fā)送所述初始密鑰和所述 eNB向所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰的節(jié)點(diǎn)發(fā)送所述傳遞輸入?yún)?shù)�����,以使 得所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)與所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰 的節(jié)點(diǎn)根據(jù)所述傳遞輸入?yún)?shù)及所述初始密鑰獲取所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn) 與所述本節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)的一個(gè)節(jié)點(diǎn)的直接相鄰的節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰�����。
10.根據(jù)權(quán)利要求7所述的基站����,其特征在于,所述裝置還包括接收模塊��,用于當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為中繼節(jié)點(diǎn)RN時(shí)����,所述RN接收上級(jí)節(jié)點(diǎn)傳遞 輸入?yún)?shù);所述獲取模塊一還用于所述RN根據(jù)所述初始密鑰與接收模塊接收的所述傳遞輸入?yún)?數(shù)獲取本節(jié)點(diǎn)直接相鄰節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰���。
11.根據(jù)權(quán)利要求7所述的基站��,其特征在于���,所述裝置還包括所述的接收模塊還用于當(dāng)所述中繼系統(tǒng)中的節(jié)點(diǎn)為用戶終端UE時(shí)�����,所述UE接收上級(jí) 節(jié)點(diǎn)傳遞輸入?yún)?shù)����;所述的獲取模塊一還用于所述UE根據(jù)所述初始密鑰與所述接收模塊接收的傳遞輸入 參數(shù)獲取本節(jié)點(diǎn)直接相鄰節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰�。
12.—種中繼系統(tǒng)的節(jié)點(diǎn),其特征在于����,包括獲取模塊一,用于第一中繼節(jié)點(diǎn)在與第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)在認(rèn)證的過程中獲取 根密鑰����;獲取模塊二,用于所述第一中繼節(jié)點(diǎn)根據(jù)所述獲取模塊一獲取的所述根密鑰獲取保護(hù) 所述第一中繼節(jié)點(diǎn)與所述相鄰接節(jié)點(diǎn)之間的空口保護(hù)密鑰�;所述第一中繼節(jié)點(diǎn)的相鄰接節(jié)點(diǎn)包括所述第一中繼節(jié)點(diǎn)的上級(jí)節(jié)點(diǎn)和/或所述第一 中繼節(jié)點(diǎn)的下級(jí)節(jié)點(diǎn)。
全文摘要
本發(fā)明實(shí)施例公開了一種中繼系統(tǒng)安全密鑰獲取方法與裝置�����,通過中繼系統(tǒng)的節(jié)點(diǎn)獲取初始密鑰���,所述節(jié)點(diǎn)根據(jù)所述初始密鑰獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的其他節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰����,所述節(jié)點(diǎn)根據(jù)所述根密鑰���,獲取本節(jié)點(diǎn)與本節(jié)點(diǎn)直接相鄰的所述其他節(jié)點(diǎn)之間的所述空口保護(hù)密鑰�。以使得各下級(jí)節(jié)點(diǎn)根據(jù)所述初始密鑰獲取各下級(jí)節(jié)點(diǎn)之間的空口保護(hù)密鑰的根密鑰��,使UE在Un口鏈路上的數(shù)據(jù)可以分別保護(hù)����,即每個(gè)活動(dòng)的UE在Un口鏈路上都有一套安全參數(shù),從而對(duì)各段空口上數(shù)據(jù)進(jìn)行有效的安全保護(hù)�����。
文檔編號(hào)H04W88/08GK102056159SQ20091011002
公開日2011年5月11日 申請(qǐng)日期2009年11月3日 優(yōu)先權(quán)日2009年11月3日
發(fā)明者張冬梅, 張愛琴, 畢曉宇 申請(qǐng)人:華為技術(shù)有限公司