專(zhuān)利名稱(chēng):生成與設(shè)備綁定的安全密鑰的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及LTE網(wǎng)絡(luò)中的安全認(rèn)證技術(shù),尤指一種生成與設(shè)備綁定的安全密鑰的 方法及系統(tǒng)���。
背景技術(shù):
圖1為長(zhǎng)期演進(jìn)(LTE�,Long Term Evolution)網(wǎng)絡(luò)的組成結(jié)構(gòu)示意圖�,如圖1所 示,LTE網(wǎng)絡(luò)由演進(jìn)全球陸地?zé)o線接入網(wǎng)(E-UTRAN���,Evolved UniversalTerrestrial Radio Access Network)和演進(jìn)分組交換中心(EPC�,Evolved PacketCore)組成����,網(wǎng)絡(luò)呈現(xiàn)扁平化�����。 EUTRAN通過(guò)Sl接口與EPC相連�����。其中��,EUTRAN由多個(gè)相互連接的演進(jìn)基站(eNB�,Evolved NodeB)組成���,各個(gè)eNB 之間通過(guò)X2接口連接�����;EPC由移動(dòng)性管理實(shí)體(MME�,MobiIityManagement Entity)和服務(wù) 網(wǎng)關(guān)實(shí)體(S_GW�����,Serving Gateway)組成���。另外�����,在LTE網(wǎng)絡(luò)架構(gòu)中還有一個(gè)歸屬環(huán)境(HE��, Home Environment)��,即歸屬用戶(hù)服務(wù)器(HSS, Home Subscriber Server)或歸屬位置寄存 器(HLR����,Home LocationRegister),作為用戶(hù)數(shù)據(jù)庫(kù)���。HE中包含用戶(hù)配置文件,執(zhí)行用戶(hù)的 身份驗(yàn)證和授權(quán)�����,并可提供有關(guān)用戶(hù)物理位置的信息等�����。為了滿(mǎn)足日益增長(zhǎng)的大帶寬高速移動(dòng)接入的需求�����,第三代伙伴組織計(jì)劃(3GPP, Third Generation Partnership Projects) iflHjM^ixSi^ (LTE-Advanced, Long-Term Evolution advance)標(biāo)準(zhǔn)����。LTE-Advanced對(duì)于LTE系統(tǒng)的演進(jìn)保留了 LTE的核心,在此基礎(chǔ) 上采用一系列技術(shù)對(duì)頻域�����、空域進(jìn)行擴(kuò)充�,以達(dá)到提高頻譜利用率、增加系統(tǒng)容量等目的����。 無(wú)線中繼(Relay)技術(shù)即是LTE-Advanced中的技術(shù)之一,旨在擴(kuò)展小區(qū)的覆蓋范圍�,減少 通信中的死角地區(qū),平衡負(fù)載�,轉(zhuǎn)移熱點(diǎn)地區(qū)的業(yè)務(wù),節(jié)省用戶(hù)設(shè)備(UE��,User Equipment) 即終端的發(fā)射功率�����。圖2為現(xiàn)有網(wǎng)絡(luò)架構(gòu)中增加中繼節(jié)點(diǎn)(RN,Relay-Node)后的網(wǎng)絡(luò)組成 示意圖��,如圖2所示���,這種新增的RN和施主演進(jìn)基站(Donor-eNB)之間使用無(wú)線連接���。其 中,Donor-eNB和RN之間的接口稱(chēng)為Un 口�����,兩者之間的無(wú)線鏈路稱(chēng)為回程鏈路(backhaul link) �;RN和UE之間的接口稱(chēng)為Uu 口,其間的無(wú)線鏈路稱(chēng)為接入鏈路(access link)�。下 行數(shù)據(jù)先到達(dá)Donor-eNB,然后傳遞給RN����,RN再傳輸至UE,上行數(shù)據(jù)先到達(dá)UE,然后傳遞給 RN, RN 再傳輸至 Donor-eNB����。在實(shí)際通信過(guò)程中,RN即可以作為一個(gè)普通的終端設(shè)備,也可以作為一個(gè)基站��。當(dāng) RN作為一個(gè)終端設(shè)備時(shí)�����,RN可以像普通UE 一樣接入無(wú)線網(wǎng)絡(luò)���。普通UE在接入網(wǎng)絡(luò)時(shí)�����,網(wǎng)絡(luò)側(cè)會(huì)對(duì)其進(jìn)行用戶(hù)的鑒權(quán)認(rèn)證和密鑰協(xié)定(AKA��, Authentication and Key Agreement)���,在LTE系統(tǒng)中該過(guò)程也稱(chēng)為演進(jìn)分組系統(tǒng)密鑰協(xié) 定(EPS AKA, Evolved Packet System AKA)。需要說(shuō)明的是��,上述描述中UE是指移動(dòng)設(shè) 備(ME����,Mobile Equipment)和全球用戶(hù)標(biāo)識(shí)模塊(USIM,Universal Subscriber Identity Module)的總稱(chēng),上述EPS AKA過(guò)程實(shí)際是由USIM完成的�����,因此該過(guò)程完成了網(wǎng)絡(luò)對(duì)終端的 USIM認(rèn)證(或稱(chēng)簽約認(rèn)證,subscription Authentication)和密鑰協(xié)定����,后續(xù)描述中也稱(chēng) USIM認(rèn)證為用戶(hù)認(rèn)證。需要說(shuō)明的是����,這里的USIM卡代表了廣義的通用集成電路卡(UICC,Universal Integrated Circuit Card)��。通過(guò)用戶(hù)認(rèn)證�,UE和網(wǎng)絡(luò)側(cè)會(huì)根據(jù)根密鑰K生成完整性密鑰(IK,IntegrityKey) 和加密密鑰(CK���,Cipher Key)發(fā)送給ME���,ME根據(jù)IK和CK生成中間密鑰Kasme,然后利用這 個(gè)中間密鑰Kasme派生其它新的密鑰��,分別對(duì)實(shí)現(xiàn)接入層(AS���,Acesss stratum)和非接入層 (NAS,Non-access stratum)的通信數(shù)據(jù)進(jìn)行保護(hù)。其中,接入層安全保護(hù)密鑰(比如無(wú)線 資源控制加密密鑰�����。�、無(wú)線資源控制完整性保護(hù)密鑰KKK。int和用戶(hù)面加密密鑰KUPm����。)分 別由基站密鑰ΚεΝΒ按照不同算法派生而來(lái)。其中��,基站密鑰KeNB可以由MME根據(jù)中間密鑰Kasme或者下一跳值(NH�,Next Hop) 派生得到,也可以由eNB根據(jù)當(dāng)前使用的老的基站密鑰KeNB或者保存的NH值派生得到��。其 中�,NH值都是由MME根據(jù)中間密鑰Kasme或者老的NH值派生得到的。具體的派生所用的算 法為約定的密鑰派生算法(KDF�����,KeyDerivation Function)����,具體實(shí)現(xiàn)屬于現(xiàn)有技術(shù)��,詳細(xì) 實(shí)現(xiàn)方法這里不再贅述���。與UE類(lèi)似的,RN作為一個(gè)普通的終端設(shè)備時(shí)�,是中繼節(jié)點(diǎn)設(shè)備(或稱(chēng)為RN platform)和USIM卡(或稱(chēng)UICC卡)的總稱(chēng),RN可以按照上述EPS AKA過(guò)程完成RN的 USIM認(rèn)證�����。當(dāng)RN作為基站時(shí)����,如果該基站是一個(gè)非法設(shè)備,則可能會(huì)威脅到其服務(wù)的用戶(hù)設(shè) 備���,因此�,在該基站服務(wù)UE之前首先需要確保該基站的合法性�����。目前�,實(shí)現(xiàn)RN的合法性認(rèn) 證的具體實(shí)現(xiàn)方案沒(méi)有確定。但是��,即使是對(duì)于一個(gè)分別完成用戶(hù)認(rèn)證和設(shè)備的合法性認(rèn)證的RN來(lái)說(shuō),還存在 如下的安全威脅���,圖3為可能存在的RN被非法攻擊的過(guò)程示意圖,如圖3所示�����,如果有非法 攻擊者(Attacker)將合法的USIM卡插入非法的RN中���,同時(shí)將非法的USIM卡插入合法的 RN中��,這樣�,在認(rèn)證時(shí)攻擊者分別使用合法的USIM以及合法的RN完成相應(yīng)的用戶(hù)認(rèn)證和 設(shè)備認(rèn)證��。在實(shí)際通信過(guò)程中��,非法RN可以獲取到合法USIM卡認(rèn)證產(chǎn)生的接入層安全保 護(hù)密鑰����,而非法RN與網(wǎng)絡(luò)側(cè)之間的部分通信數(shù)據(jù)采用接入層安全保護(hù)密鑰的保護(hù),攻擊者 就可能通過(guò)非法RN篡改或竊聽(tīng)RN與DeNB之間的通信內(nèi)容���。因此���,現(xiàn)有對(duì)RN的合法性認(rèn) 證不能保證合法的USIM卡被插在合法的RN設(shè)備上�����,即不能實(shí)現(xiàn)RN的用戶(hù)認(rèn)證和設(shè)備的綁 定���,從而不能保證RN與網(wǎng)絡(luò)側(cè)間的通信數(shù)據(jù)安全。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的主要目的在于提供一種生成與設(shè)備綁定的安全密鑰的方法及 系統(tǒng),通過(guò)生成與設(shè)備綁定的安全密鑰����,保證RN與網(wǎng)絡(luò)側(cè)間的通信數(shù)據(jù)安全。為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種生成與設(shè)備綁定的安全密鑰的方法�����,包括網(wǎng)絡(luò)側(cè)與RN協(xié)定用戶(hù)安全密鑰和 設(shè)備相關(guān)的安全參數(shù)�����;網(wǎng)絡(luò)側(cè)通知RN生成與設(shè)備綁定的安全密鑰;RN根據(jù)用戶(hù)安全密鑰和 設(shè)備相關(guān)的安全參數(shù)���,生成與設(shè)備綁定的安全密鑰并響應(yīng)網(wǎng)絡(luò)側(cè)�����。該方法還包括所述網(wǎng)絡(luò)側(cè)在其向RN發(fā)送通知消息之前或之后,執(zhí)行與所述RN相 同的生成與設(shè)備綁定的安全密鑰的過(guò)程��。所述網(wǎng)絡(luò)側(cè)是移動(dòng)性管理實(shí)體MME或演進(jìn)基站eNB����。所述網(wǎng)絡(luò)側(cè)為MME ;該方法還包括所述MME可以通過(guò)Sl 口消息��,將生成的與設(shè)備綁定的安全密鑰發(fā)送給eNB����。所述Sl 口消息是Sl 口信令,或者新增消息��;所述Sl 口信令為初始用戶(hù)設(shè)備上下 文建立消息�����,或者用戶(hù)設(shè)備上下文修改消息���,或者切換請(qǐng)求消息�����,或者切換命令消息,或者 路徑轉(zhuǎn)換請(qǐng)求響應(yīng)�。所述網(wǎng)絡(luò)側(cè)通知RN生成與設(shè)備綁定的安全密鑰包括所述網(wǎng)絡(luò)側(cè)將用于指示生 成與設(shè)備綁定的安全密鑰的密鑰生成指示���,和/或生成與設(shè)備綁定的安全密鑰的密鑰生成 算法標(biāo)識(shí)信息�����,攜帶在通知消息中發(fā)送給RN ;所述通知消息為無(wú)線資源控制RRC消息��,或非 接入層NAS消息�,或新增消息中。所述通知消息為RRC連接重配置消息���,或NAS安全模式命令消息�����,或新增消息�。所述生成與設(shè)備綁定的安全密鑰包括所述RN利用用戶(hù)安全密鑰和設(shè)備相關(guān)安 全參數(shù),按照約定或算法標(biāo)識(shí)信息指示的算法生成與設(shè)備綁定的安全密鑰。所述約定或算法標(biāo)識(shí)信息指示的算法為密鑰派生算法KDF,或其它的單向函數(shù)等算法。所述RN響應(yīng)網(wǎng)絡(luò)側(cè)包括所述RN通過(guò)與所述網(wǎng)絡(luò)側(cè)的通知相應(yīng)的響應(yīng)消息響應(yīng) 網(wǎng)絡(luò)側(cè)�����。所述響應(yīng)消息為RRC連接重配置完成消息,或NAS安全模式完成消息,或新增消息 的響應(yīng)消息���。所述網(wǎng)絡(luò)側(cè)與RN通過(guò)演進(jìn)分組系統(tǒng)密鑰協(xié)定EPS AKA過(guò)程協(xié)定用戶(hù)安全密鑰���;所 述用戶(hù)安全密鑰為中間密鑰Kasme ;或者�����,由所述中間密鑰Kasme派生的其它密鑰����,所述其它密 鑰包括基站密鑰KeNB或者下一條NH值。所述網(wǎng)絡(luò)側(cè)與RN協(xié)定設(shè)備相關(guān)的安全參數(shù)包括所述網(wǎng)絡(luò)側(cè)向RN發(fā)起認(rèn)證過(guò)程�����, 在認(rèn)證過(guò)程中��,所述網(wǎng)絡(luò)側(cè)和RN相互協(xié)定相同的設(shè)備相關(guān)安全參數(shù)����;或者,所述網(wǎng)絡(luò)側(cè)根 據(jù)RN的設(shè)備標(biāo)識(shí)信息����,索引得到自身存儲(chǔ)的設(shè)備相關(guān)的安全參數(shù)����;或者����,從歸屬用戶(hù)服務(wù) 器HSS獲取設(shè)備相關(guān)的安全參數(shù)。所述設(shè)備相關(guān)的安全參數(shù)為所述RN與網(wǎng)絡(luò)側(cè)共享的特定參數(shù)���;所述特定參數(shù)為 在所述RN的簽約信息中的參數(shù)��;或者�,設(shè)備證書(shū)中的預(yù)設(shè)參數(shù)�。一種生成與設(shè)備綁定的安全密鑰的系統(tǒng),包括網(wǎng)絡(luò)側(cè)和RN���,其中��,網(wǎng)絡(luò)側(cè),用于與 RN協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)���;向RN發(fā)送用于通知RN生成與設(shè)備綁定的安 全密鑰的通知消息�;接收來(lái)自RN的響應(yīng);RN���,用于與網(wǎng)絡(luò)側(cè)協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān) 的安全參數(shù)�;接收到通知消息���,根據(jù)用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)�,生成與設(shè)備綁定 的安全密鑰并響應(yīng)網(wǎng)絡(luò)側(cè)���。所述網(wǎng)絡(luò)側(cè)���,還用于在向RN發(fā)送通知消息之前或之后,執(zhí)行與RN相同的生成與設(shè) 備綁定的安全密鑰的過(guò)程�。所述網(wǎng)絡(luò)側(cè)為MME或eNB。所述網(wǎng)絡(luò)側(cè)為MME����,該系統(tǒng)還包括eNB ;所述MME��,還用于將生成的與設(shè)備綁定的安 全密鑰發(fā)送給eNB���。從上述本發(fā)明提供的技術(shù)方案可以看出���,包括網(wǎng)絡(luò)側(cè)與RN協(xié)定用戶(hù)安全密鑰和 設(shè)備相關(guān)的安全參數(shù)�;網(wǎng)絡(luò)側(cè)通知RN生成與設(shè)備綁定的安全密鑰���,RN根據(jù)用戶(hù)安全密鑰和 設(shè)備相關(guān)的安全參數(shù)���,生成與設(shè)備綁定的安全密鑰并響應(yīng)網(wǎng)絡(luò)側(cè)。通過(guò)本發(fā)明���,生成了與設(shè)備綁定的安全密鑰����,防止了攻擊者利用非法設(shè)備對(duì)通信數(shù)據(jù)的竊聽(tīng)和篡改�����,保證了 RN與網(wǎng) 絡(luò)側(cè)間的通信數(shù)據(jù)安全��。
圖1為L(zhǎng)TE網(wǎng)絡(luò)的組成結(jié)構(gòu)示意圖����;圖2為現(xiàn)有網(wǎng)絡(luò)架構(gòu)中增加RN后的網(wǎng)絡(luò)組成示意圖;圖3為可能存在的RN被非法攻擊的過(guò)程示意圖��;圖4為本發(fā)明生成與設(shè)備綁定的安全密鑰的方法的流程圖�;圖5為本發(fā)明生成與設(shè)備綁定的安全密鑰的系統(tǒng)的組成結(jié)構(gòu)示意圖;圖6為本發(fā)明生成與設(shè)備綁定的安全密鑰的第一實(shí)施例的流程示意圖��;圖7為本發(fā)明生成與設(shè)備綁定的安全密鑰的第二實(shí)施例的流程示意圖����;圖8為本發(fā)明生成與設(shè)備綁定的安全密鑰的第三實(shí)施例的流程示意圖;圖9為本發(fā)明生成與設(shè)備綁定的安全密鑰的第四實(shí)施例的流程示意圖����。
具體實(shí)施例方式圖4為本發(fā)明生成與設(shè)備綁定的安全密鑰的方法的流程圖,如圖4所示�����,包括以下 步驟步驟400 網(wǎng)絡(luò)側(cè)與RN協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)�。本步驟中,網(wǎng)絡(luò)側(cè)與RN協(xié)定用戶(hù)安全密鑰的方法可以采用現(xiàn)有的EPSAKA過(guò)程���,具 體實(shí)現(xiàn)這里不再贅述�����。此時(shí)�����,網(wǎng)絡(luò)側(cè)指MME����。其中,用戶(hù)安全密鑰包括在EPS AKA過(guò)程中 協(xié)定的中間密鑰Kasme ��;或者���,由該中間密鑰Kasme派生的其它密鑰�����,比如基站密鑰Kem或者NH 值����。本步驟中����,網(wǎng)絡(luò)側(cè)與RN協(xié)定設(shè)備相關(guān)安全參數(shù)的方法包括網(wǎng)絡(luò)側(cè)向RN發(fā)起認(rèn)證過(guò)程,在該認(rèn)證過(guò)程中���,網(wǎng)絡(luò)側(cè)和RN相互協(xié)定相同的設(shè)備相 關(guān)安全參數(shù)���;或者�,網(wǎng)絡(luò)側(cè)根據(jù)RN的設(shè)備標(biāo)識(shí)信息�,比如國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)(IMEI���, International Mobile Equipment Identity)��,索引自身存儲(chǔ)的設(shè)備相關(guān)的安全參數(shù)����;或者����,從HSS獲取設(shè)備相關(guān)的安全參數(shù)。這里�����,網(wǎng)絡(luò)側(cè)可以是指MME�,或者eNB。其中�����,設(shè)備相關(guān)的安全參數(shù)是RN與網(wǎng)絡(luò)側(cè)共享的特定參數(shù),比如可以是在RN的 簽約信息中的某個(gè)參數(shù)(比如設(shè)備根密鑰�,或由該根密鑰派生的其它密鑰),也可以是設(shè)備 證書(shū)(Device Certificate)中的預(yù)設(shè)參數(shù)等����,其中所述的設(shè)備證書(shū)可以是RN的制造商證 書(shū)(Vendor Certificate)或者運(yùn)營(yíng)商證書(shū)(Operator Certificate)。進(jìn)一步地���,該設(shè)備相 關(guān)安全參數(shù)還可以是在網(wǎng)絡(luò)側(cè)進(jìn)行設(shè)備認(rèn)證過(guò)程中協(xié)定的設(shè)備相關(guān)的安全參數(shù)����,比如設(shè) 備簽約信息中的根密鑰�,或由該根密鑰派生的其它新密鑰等。步驟401 網(wǎng)絡(luò)側(cè)通知RN生成與設(shè)備綁定的安全密鑰���。本步驟中�,通知消息可以是現(xiàn)有的無(wú)線資源控制(RRC�,Radio ResourceControl) 消息,比如RRC連接重配置(RRC Connection Reconfiguration)消息��;或者�����,通過(guò)現(xiàn)有的 NAS消息,比如NAS安全模式命令(SMC�����,Security ModeCommand)消息��;或者�����,新增消息等��。在通知消息中攜帶用于指示生成與設(shè)備綁定的安全密鑰的密鑰生成指示��,和/或用于標(biāo)識(shí) 生成與設(shè)備綁定的安全密鑰所使用的算法的算法標(biāo)識(shí)信息��。步驟402 :RN根據(jù)用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)�,生成與設(shè)備綁定的安全 密鑰并響應(yīng)網(wǎng)絡(luò)側(cè)����。本步驟中,RN利用用戶(hù)安全密鑰和設(shè)備相關(guān)安全參數(shù)�,按照算法標(biāo)識(shí)信息標(biāo)識(shí)的 約定算法生成與設(shè)備綁定的安全密鑰�����。其中�,約定算法�,可以是已知的密鑰派生算法(KDF, Key Derivation Function)����,或者其它的單向函數(shù)等算法,算法的具體實(shí)現(xiàn)屬于本領(lǐng)域技 術(shù)人員慣用技術(shù)手段��,這里不再贅述��。本步驟中�,RN向網(wǎng)絡(luò)側(cè)回復(fù)的響應(yīng)消息包括RN通過(guò)與網(wǎng)絡(luò)側(cè)通知消息相應(yīng)的現(xiàn) 有RRC消息,比如RRC連接重配置完成(RRC ConnectionReconfiguration Complete)消息����, 或NAS安全模式完成(Security Mode Complete)消息,或新增消息的響應(yīng)消息等���。進(jìn)一步的�,本發(fā)明方法還包括網(wǎng)絡(luò)側(cè)執(zhí)行與RN相同的生成與設(shè)備綁定的安全密 鑰的過(guò)程����,該過(guò)程可以在網(wǎng)絡(luò)側(cè)向RN發(fā)送通知消息之前執(zhí)行���,也可以在網(wǎng)絡(luò)側(cè)向RN發(fā)送通 知消息之后執(zhí)行。另外��,如果生成與設(shè)備綁定的安全密鑰的過(guò)程在MME執(zhí)行���,則MME可以通過(guò)Sl 口 消息��,將生成的與設(shè)備綁定的安全密鑰發(fā)送給eNB�����。其中,Sl 口消息可以是現(xiàn)有的Sl 口 信令�����,比如初始用戶(hù)設(shè)備上下文建立(Initial UE ContextSetup Request)消息���,或者用 戶(hù)設(shè)備上下文修改(UE Context ModificationRequest)消息�����,或者切換請(qǐng)求(Handover Request)消息��,或者切換命令(HandoverCommand)消息����,或者路徑轉(zhuǎn)換請(qǐng)求響應(yīng)(Path switch Request Acknowledge)等;也可以是新增消息�����。針對(duì)本發(fā)明方法�,還提供一種生成與設(shè)備綁定的安全密鑰的系統(tǒng),如圖5所示���,包 括網(wǎng)絡(luò)側(cè)和RN����,其中��,網(wǎng)絡(luò)側(cè)���,用于與RN協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)�;向RN發(fā)送用于通知 RN生成與設(shè)備綁定的安全密鑰的通知消息�;接收來(lái)自RN的響應(yīng)����。RN���,用于與網(wǎng)絡(luò)側(cè)協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)����;接收到通知消息��,根 據(jù)用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)�����,生成與設(shè)備綁定的安全密鑰并響應(yīng)網(wǎng)絡(luò)側(cè)����。網(wǎng)絡(luò)側(cè)����,還用于在向RN發(fā)送通知消息之前,執(zhí)行與RN相同的生成與設(shè)備綁定的安 全密鑰的過(guò)程�����;或者,在向RN發(fā)送通知消息之后��,執(zhí)行與RN相同的生成與設(shè)備綁定的安全 密鑰的過(guò)程���。所述網(wǎng)絡(luò)側(cè)為MME或eNB��。本發(fā)明系統(tǒng)還包括eNB���,MME,還用于將生成的與設(shè)備綁定的安全密鑰發(fā)送給eNB���。下面結(jié)合實(shí)施例對(duì)本發(fā)明方案進(jìn)行詳細(xì)描述�。圖6為本發(fā)明生成與設(shè)備綁定的安全密鑰的第一實(shí)施例的流程示意圖��,第一實(shí)施 例中�����,假設(shè)MME分別通過(guò)EPS AKA過(guò)程和設(shè)備認(rèn)證流程���,與RN協(xié)定用戶(hù)安全密鑰和設(shè)備相 關(guān)的安全參數(shù)�����,然后MME通過(guò)NAS SMC消息通知RN生成與設(shè)備綁定的安全密鑰����,在該NAS SMC消息中攜帶用于指示生成與設(shè)備綁定的安全密鑰的密鑰生成指示。RN和MME根據(jù)約定 算法計(jì)算生成與設(shè)備綁定的安全密鑰�����。如圖6所示���,具體包括以下步驟步驟600 :MME與RN間�����,通過(guò)EPS AKA流程完成對(duì)RN的用戶(hù)認(rèn)證�����,并獲得中間密鑰 Kasmeo本步驟的具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員公知技術(shù)��,且不用于限定本發(fā)明的保護(hù)范圍, 這里不再贅述�。
步驟601 =MME發(fā)起設(shè)備認(rèn)證流程,并通過(guò)該流程與RN協(xié)商與設(shè)備相關(guān)的安全參數(shù) K—device���。其中所述的設(shè)備認(rèn)證流程可以是復(fù)用當(dāng)前的用戶(hù)認(rèn)證流程(UserAuthentication Procedure)�,在其中攜帶與RN設(shè)備相關(guān)的安全參數(shù)K_device相關(guān)的認(rèn)證數(shù)據(jù),由MME和RN 使用相同的安全參數(shù)對(duì)認(rèn)證數(shù)據(jù)進(jìn)行處理���,并獲得相同的處理結(jié)果來(lái)達(dá)到對(duì)安全參數(shù)的一 致性協(xié)商��;所述的設(shè)備認(rèn)證流程也可以采用其他已知的流程�,比如采用擴(kuò)展驗(yàn)證協(xié)議之認(rèn) 證禾口密朗協(xié)�、定機(jī)制(EAP-AKA, Extensible Authentication Protocol-Authentication and KeyAgreement)流程?���;蛘咂渌鞒虂?lái)完成上述功能。具體實(shí)現(xiàn)方法并不屬于本發(fā)明的保 護(hù)范圍�����。本步驟主要強(qiáng)調(diào)的是�����,讓MME和RN通過(guò)所述的認(rèn)證流程�,獲得共享的設(shè)備相關(guān)的 安全參數(shù),該安全參數(shù)可以是密鑰形式,也可以是其他參數(shù)形式��。步驟602 =MME利用中間密鑰Kasme和設(shè)備相關(guān)的安全參數(shù)如前面過(guò)程中的K_ device���,以及其它一個(gè)或多個(gè)參數(shù)如當(dāng)前的上行的NAS信令計(jì)數(shù)值(UplinkNAS COUNT) 等��,按照約定密鑰派生算法生成與設(shè)備綁定的安全密鑰KeNB_D�����,比如KeNB_D = KDF(Kasme, K_ device, Uplink NAS COUNT)��,具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員慣用技術(shù)手段��,這里不再贅述���, 且其具體實(shí)現(xiàn)方法并不用于限定本發(fā)明的保護(hù)范圍。步驟603 :MME向RN發(fā)起NAS安全模式命令(NAS SMC)消息�,在NAS SMC消息中攜 帶有密鑰生成指示。步驟604 =RN成功完成NAS SMC消息的驗(yàn)證之后��,向MME回復(fù)NAS安全模式完成 (NAS SMC Complete)消息����。步驟605 =RN利用與MME相同的計(jì)算方法����,生成與設(shè)備綁定的安全密鑰K__D���。通過(guò)圖6所示的流程,完成了與設(shè)備綁定的安全密鑰的生成�����,后續(xù)�,網(wǎng)絡(luò)側(cè)和RN利 用該安全密鑰生成的安全保護(hù)密鑰,實(shí)現(xiàn)了對(duì)RN與網(wǎng)絡(luò)側(cè)之間的通信安全的保護(hù)��。圖7為本發(fā)明生成與設(shè)備綁定的安全密鑰的第二實(shí)施例的流程示意圖���,第二實(shí)施 例中��,假設(shè)MME通過(guò)EPS AKA過(guò)程與RN協(xié)定相應(yīng)的用戶(hù)安全密鑰�,并根據(jù)設(shè)備標(biāo)識(shí)信息索 引出設(shè)備相關(guān)的安全參數(shù)K_D���,接著���,MME根據(jù)約定算法計(jì)算生成與設(shè)備綁定的安全密鑰�, 并通過(guò)Sl 口消息(比如初始用戶(hù)設(shè)備上下文建立請(qǐng)求消息)告知eNB生成的與設(shè)備綁定 的安全密鑰�,然后,eNB通過(guò)AS SMC消息通知RN進(jìn)行與設(shè)備綁定的安全密鑰的生成以及接 入層的安全激活�,在AS SMC消息中攜帶有密鑰生成所使用算法的算法標(biāo)識(shí)。RN執(zhí)行與MME 相同的生成與設(shè)備綁定的安全密鑰的過(guò)程�,成功后向eNB返回AS SMC完成消息。如圖7所 示���,具體包括以下步驟步驟700 :MME與RN間��,通過(guò)EPS AKA流程完成對(duì)RN的用戶(hù)認(rèn)證�����,并獲得中間密鑰 Kasmeo本步驟的具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員公知技術(shù)�����,且不用于限定本發(fā)明的保護(hù)范圍�, 這里不再贅述�����。步驟701 =MME根據(jù)RN的設(shè)備標(biāo)識(shí)信息如IMEI���,獲取RN相關(guān)的安全參數(shù)如共享密 鑰K_D�����,該安全參數(shù)可以是在RN的簽約數(shù)據(jù)中存在的密鑰信息����,也可以是其它的RN與MME 共享的安全參數(shù)����。步驟702 =MME利用中間密鑰Kasme和設(shè)備相關(guān)的安全參數(shù)(比如共享密鑰K_D),以 及可選的一個(gè)或多個(gè)其它參數(shù)���,比如最近一次上行NAS消息對(duì)應(yīng)的上行NAS計(jì)數(shù)(Uplink NAS COUNT)�����,根據(jù)約定算法派生與設(shè)備綁定的安全密鑰KeNB_D����,比如KeNB_D = KDF (Kasme�����,K_D,Uplink NAS COUNT)�,具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員慣用技術(shù)手段,這里不再贅述�����,且其具 體實(shí)現(xiàn)方法并不用于限定本發(fā)明的保護(hù)范圍��。步驟703 =MME向eNB發(fā)送初始用戶(hù)設(shè)備上下文建立請(qǐng)求(Initial UEContext Setup Request)消息���,其中攜帶有生成的與設(shè)備綁定的安全密鑰KeNB_D�。進(jìn)一步地���,還可以在該初始用戶(hù)設(shè)備上下文建立請(qǐng)求消息中增加一個(gè)指示信元����, 用于指示當(dāng)前下發(fā)的是與設(shè)備綁定的安全密鑰KeNB_D��,而非普通的密鑰ΚεΝΒ��。步驟704 :eNB向RN發(fā)起AS SMC過(guò)程����,在AS SMC消息中攜帶有密鑰生成所使用算 法的算法標(biāo)識(shí)信息����。步驟705 :RN根據(jù)密鑰生成所使用算法的算法標(biāo)識(shí)�����,利用與MME相同的計(jì)算方法��, 派生出與設(shè)備綁定的安全密鑰K__D���。步驟706 =RN 向 eNB 發(fā)送 AS 安全模式完成(AS Security Mode Complete)消息。步驟707 :eNB向MME返回初始用戶(hù)設(shè)備上下文建立響應(yīng)(Initial UEContext Setup Response)消息�。至此MME和RN都成功完成了與設(shè)備綁定的安全密鑰的生成,后續(xù) 可以利用與設(shè)備綁定的安全密鑰KeNB_D派生的密鑰�,保護(hù)RN與網(wǎng)絡(luò)側(cè)之間的通信安全。圖8為本發(fā)明生成與設(shè)備綁定的安全密鑰的第三實(shí)施例的流程示意圖�,與第二實(shí) 施例不同的是,第三實(shí)施例中����,假設(shè)MME根據(jù)普通的密鑰K.和設(shè)備相關(guān)的安全參數(shù),按照 約定算法計(jì)算生成與設(shè)備綁定的安全密鑰KeNB_D�����,并通過(guò)Sl 口消息(比如用戶(hù)設(shè)備上下文 修改請(qǐng)求消息)告知eNB,然后���,eNB通過(guò)RRC重配置消息通知RN進(jìn)行安全密鑰生成��。RN執(zhí) 行與MME相同的生成與設(shè)備綁定的安全密鑰的處理���,成功后向eNB返回RRC重配置完成消 息。如圖8所示�����,具體實(shí)現(xiàn)包括以下步驟步驟800 :MME與RN間�,通過(guò)EPS AKA流程完成對(duì)RN的用戶(hù)認(rèn)證,并獲得中間密鑰 Kasme,并由該中間密鑰Kasme派生出RN相關(guān)的安全上下文����,其中包括普通的密鑰ΚεΝΒ。本步驟 的具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員公知技術(shù)�,且不用于限定本發(fā)明的保護(hù)范圍,這里不再贅 述���。步驟801 =MME從HSS獲得與RN共享的設(shè)備相關(guān)的安全參數(shù)K_relay��。本步驟具體實(shí)現(xiàn)可以為MME向HSS發(fā)送請(qǐng)求消息�,在請(qǐng)求消息中攜帶RN的設(shè)備 標(biāo)識(shí)信息,HSS收到請(qǐng)求消息后�,向MME返回與該設(shè)備標(biāo)識(shí)相對(duì)應(yīng)的設(shè)備相關(guān)的安全參數(shù)K_ Relay。需要說(shuō)明的是�,MME也可以從其它網(wǎng)元,比如操作維護(hù)管理(0ΑΜ����,Operation Administration Maintenance)或者eNB,獲得與RN共享的與設(shè)備相關(guān)的安全參數(shù)����。步驟802 =MME利用普通的密鑰KeNB和設(shè)備相關(guān)的安全參數(shù)(比如K_relay),以及 可選的一個(gè)或多個(gè)其它參數(shù)�����,比如最近一次上行NAS消息對(duì)應(yīng)的上行NAS計(jì)數(shù)(Uplink NAS COUNT)��,根據(jù)約定算法派生與設(shè)備綁定的安全密鑰KeNB_D�����,比如�,KeNB_D = KDF(KeNB,K_relay, Uplink NAS COUNT),具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員慣用技術(shù)手段�,這里不再贅述,且其具 體實(shí)現(xiàn)方法并不用于限定本發(fā)明的保護(hù)范圍�。步驟803 =MME向eNB發(fā)送初始用戶(hù)設(shè)備上下文建立請(qǐng)求(Initial UEContext Setup Request)消息,其中攜帶有生成的與設(shè)備綁定的安全密鑰KeNB_D���。進(jìn)一步地����,還可以在該初始用戶(hù)設(shè)備上下文建立請(qǐng)求消息中增加一個(gè)指示信元���, 用于指示當(dāng)前下發(fā)的是與設(shè)備綁定的安全密鑰KeNB_D�����,而非普通的密鑰ΚεΝΒ�。
步驟804 :eNB 向 RN 發(fā)起 RRC 重配置(RRC Connection Reconfiguration)消息���, 通知RN進(jìn)行安全密鑰的生成��,消息中攜帶密鑰生成指示和密鑰生成時(shí)使用算法的算法標(biāo) 識(shí)fe息����。步驟805 =RN根據(jù)密鑰生成指示和密鑰生成所使用算法的算法標(biāo)識(shí)信息,利用與 MME相同的計(jì)算方法��,派生出與設(shè)備綁定的安全密鑰K__D�。步驟806 =RN 向 eNB 發(fā)送 RRC 重配置完成(RRC Reconfiguration Complete)消 肩、ο步驟807 :eNB向MME返回初始用戶(hù)設(shè)備上下文建立響應(yīng)(Initial UEContext Setup Response)消息��。至此MME和RN都成功完成了與設(shè)備綁定的安全密鑰的生成����,后續(xù) 可以利用與設(shè)備綁定的安全密鑰KeNB_D,代替普通的密鑰KeNB或NH值派生的密鑰���,保護(hù)RN 與網(wǎng)絡(luò)側(cè)之間的通信安全���。在第三實(shí)施例的步驟802中,MME也可以使用NH值�����,與設(shè)備相關(guān)的安全參數(shù)K_ relay���,以及可選的其它參數(shù)如中間密鑰Kasme,根據(jù)約定算法生成與設(shè)備綁定的安全密鑰 NH_D,NH_D = KDF (NH�����,K_relay,Kasme)����,并通過(guò)Sl 口消息發(fā)送給eNB ;eNB則通過(guò)空口消息通 知RN進(jìn)行相同的派生處理���。此時(shí)��,RN與網(wǎng)絡(luò)側(cè)就都完成了新的與設(shè)備綁定的安全密鑰NH_ D的生成���,后續(xù)后續(xù)可以利用與設(shè)備綁定的安全密鑰,代替普通的密鑰ΚεΝΒ或NH值派生的密 鑰��,保護(hù)RN與網(wǎng)絡(luò)側(cè)之間的通信安全�。其中,NH值是由MME根據(jù)中間密鑰Kasme派生的�。圖9為本發(fā)明生成與設(shè)備綁定的安全密鑰的第四實(shí)施例的流程示意圖,與實(shí)施例 三不同的是��,第四實(shí)施例中���,假設(shè)MME使用的與設(shè)備相關(guān)的安全參數(shù)由eNB獲得�,并通過(guò)消 息發(fā)送給MME ;MME根據(jù)NH值和與設(shè)備相關(guān)安全參數(shù),按照約定算法計(jì)算生成與設(shè)備綁定的 安全密鑰��,并觸發(fā)eNB通過(guò)空口消息(比如RRC重配置消息����,或者其它新的消息等)通知RN 進(jìn)行安全密鑰的生成。RN執(zhí)行與eNB相同的與設(shè)備綁定的安全密鑰的生成過(guò)程�����,成功生成 后向eNB發(fā)送響應(yīng)消息����。如圖9所示,具體實(shí)現(xiàn)包括以下步驟步驟900 :MME與RN間���,通過(guò)EPS AKA流程完成對(duì)RN的用戶(hù)認(rèn)證����,并獲得中間密鑰 Kasme,并由該中間密鑰Kasme派生出RN相關(guān)的安全上下文���,其中包括NH值����。本步驟的具體實(shí) 現(xiàn)屬于本領(lǐng)域技術(shù)人員公知技術(shù)�����,且不用于限定本發(fā)明的保護(hù)范圍�����,這里不再贅述�。步驟901 :eNB獲取RN的與設(shè)備相關(guān)的安全參數(shù)K_ip。本步驟具體實(shí)現(xiàn)方式可以是eNB利用向RN發(fā)起Internet密鑰交換協(xié)議 (IKEv2, Internet Key Exchange version 2)�����,利用該過(guò)程中建立安全關(guān)聯(lián)(SA�,Security Association),并在該過(guò)程中獲得與該SA相關(guān)的密鑰K_ip����,該密鑰為與設(shè)備相關(guān)的安全參 數(shù)K_ip。具體實(shí)現(xiàn)方法為本領(lǐng)域技術(shù)人員公知技術(shù)���,并不用于限定本發(fā)明的保護(hù)范圍�����,這里 不再贅述�����。本步驟中����,eNB也可以從其它網(wǎng)元,比如MME�,或者操作維護(hù)管理(0AM,Operation Administration Maintenance)�����,獲得與RN共享的與設(shè)備相關(guān)的安全參數(shù)�。步驟902 :eNB通過(guò)Sl 口消息攜帶獲得的與設(shè)備相關(guān)安全參數(shù)K_ip,并發(fā)送給 MME����。其中,Sl 口消息可以是現(xiàn)有的Sl 口信令�,比如切換請(qǐng)求(HandoverRequired)或路徑 轉(zhuǎn)換請(qǐng)求(path Switch Request);也可以是新增消息�����,比如設(shè)備相關(guān)參數(shù)通知消息。步驟903 =MME利用NH值和與設(shè)備相關(guān)的安全參數(shù)(比如K_ip)��,以及可選的一個(gè) 或多個(gè)其它參數(shù)���,比如最近一次上行NAS消息對(duì)應(yīng)的上行NAS計(jì)數(shù)(Uplink NAS COUNT),根據(jù)約定算法派生與設(shè)備綁定的安全密鑰KeNB_D,比如��,KeNB_D = KDF(NH, K_ip, Uplink NAS COUNT)����,具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員慣用技術(shù)手段,這里不再贅述����,且其具體實(shí)現(xiàn)方法并 不用于限定本發(fā)明的保護(hù)范圍。步驟904 =MME利用Sl 口消息攜帶派生的與設(shè)備綁定的安全密鑰KeNB_D�����,并發(fā)送給 eNB�。其中,Sl 口消息可以是現(xiàn)有的Sl 口信令�����,比如切換命令(Handover Command)或路徑 轉(zhuǎn)換請(qǐng)求響應(yīng)(Path Switch Request Acknowledge)等;也可以是新增消息�,比如設(shè)備相關(guān) 參數(shù)響應(yīng)消息。進(jìn)一步地��,還可以在該Sl 口消息中增加一個(gè)指示信元�,用于指示當(dāng)前下發(fā)的是與 設(shè)備綁定的安全密鑰K__D,而非普通的密鑰Κ_����。步驟905 :eNB 向 RN 發(fā)起 RRC 重配置(RRC Connection Reconfiguration)消息, 通知RN進(jìn)行安全密鑰的生成����,消息中攜帶密鑰生成指示。步驟906 :RN根據(jù)密鑰生成指示�����,利用與eNB相同的計(jì)算方法����,派生出與設(shè)備綁定 的安全密鑰KeNB_D。步驟907 =RN 向 eNB 發(fā)送 RRC 重配置完成(RRC Reconfiguration Complete)消 息�����。至此eNB和RN都成功完成了與設(shè)備綁定的安全密鑰的生成,后續(xù)可以利用與設(shè)備綁定 的安全密鑰KeNB_D���,代替NH派生的密鑰�����,保護(hù)RN與網(wǎng)絡(luò)側(cè)之間的通信安全。需要說(shuō)明的是�����,在eNB發(fā)起小區(qū)內(nèi)切換(intra-cell Handover)時(shí)����,可以利用與設(shè) 備綁定的安全密鑰KeNB_D,代替NH值派生新的KeNB���,保護(hù)RN與網(wǎng)絡(luò)側(cè)之間的通信安全��。需要說(shuō)明的是��,本發(fā)明實(shí)施例中����,網(wǎng)絡(luò)側(cè)與RN之間協(xié)定用戶(hù)安全參數(shù)和設(shè)備相關(guān) 的安全參數(shù)的執(zhí)行沒(méi)有嚴(yán)格的先后順序。以上所述����,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍�,凡在 本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù) 范圍之內(nèi)����。
權(quán)利要求
一種生成與設(shè)備綁定的安全密鑰的方法,其特征在于���,包括網(wǎng)絡(luò)側(cè)與RN協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)���;網(wǎng)絡(luò)側(cè)通知RN生成與設(shè)備綁定的安全密鑰;RN根據(jù)用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)��,生成與設(shè)備綁定的安全密鑰并響應(yīng)網(wǎng)絡(luò)側(cè)���。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,該方法還包括所述網(wǎng)絡(luò)側(cè)在其向RN發(fā)送通知消息之前或之后����,執(zhí)行與所述RN相同的生成與設(shè)備綁 定的安全密鑰的過(guò)程。
3.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述網(wǎng)絡(luò)側(cè)是移動(dòng)性管理實(shí)體MME或 演進(jìn)基站eNB�。
4.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,所述網(wǎng)絡(luò)側(cè)為MME��;該方法還包括所 述MME可以通過(guò)Sl 口消息����,將生成的與設(shè)備綁定的安全密鑰發(fā)送給eNB。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于����,所述Sl口消息是Sl 口信令,或者新增消息;所述Sl 口信令為初始用戶(hù)設(shè)備上下文建立消息����,或者用戶(hù)設(shè)備上下文修改消息,或 者切換請(qǐng)求消息��,或者切換命令消息�����,或者路徑轉(zhuǎn)換請(qǐng)求響應(yīng)�。
6.根據(jù)權(quán)利要求1或2所述的方法,其特征在于�����,所述網(wǎng)絡(luò)側(cè)通知RN生成與設(shè)備綁定 的安全密鑰包括所述網(wǎng)絡(luò)側(cè)將用于指示生成與設(shè)備綁定的安全密鑰的密鑰生成指示�����,和/或生成與設(shè) 備綁定的安全密鑰的密鑰生成算法標(biāo)識(shí)信息���,攜帶在通知消息中發(fā)送給RN �;所述通知消息為無(wú)線資源控制RRC消息��,或非接入層NAS消息,或新增消息中�����。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述通知消息為RRC連接重配置消息�����,或 NAS安全模式命令消息��,或新增消息�����。
8.根據(jù)權(quán)利要求1或2所述的方法���,其特征在于,所述生成與設(shè)備綁定的安全密鑰包 括所述RN利用用戶(hù)安全密鑰和設(shè)備相關(guān)安全參數(shù)��,按照約定或算法標(biāo)識(shí)信息指示的算法 生成與設(shè)備綁定的安全密鑰�����。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于��,所述約定或算法標(biāo)識(shí)信息指示的算法為 密鑰派生算法KDF����,或其它的單向函數(shù)等算法。
10.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述RN響應(yīng)網(wǎng)絡(luò)側(cè)包括所述RN通 過(guò)與所述網(wǎng)絡(luò)側(cè)的通知相應(yīng)的響應(yīng)消息響應(yīng)網(wǎng)絡(luò)側(cè)���。
11.根據(jù)權(quán)利要求10所述的方法����,其特征在于��,所述響應(yīng)消息為RRC連接重配置完成消 息�����,或NAS安全模式完成消息����,或新增消息的響應(yīng)消息���。
12.根據(jù)權(quán)利要求1或2所述的方法,其特征在于����,所述網(wǎng)絡(luò)側(cè)與RN通過(guò)演進(jìn)分組系統(tǒng) 密鑰協(xié)定EPS AKA過(guò)程協(xié)定用戶(hù)安全密鑰;所述用戶(hù)安全密鑰為中間密鑰Kasme �����;或者��,由所述中間密鑰Kasme派生的其它密鑰���,所述其它密鑰包括基站密鑰ΚεΝΒ或者下一條NH值�����。
13.根據(jù)權(quán)利要求1或2所述的方法,其特征在于�,所述網(wǎng)絡(luò)側(cè)與RN協(xié)定設(shè)備相關(guān)的安 全參數(shù)包括所述網(wǎng)絡(luò)側(cè)向RN發(fā)起認(rèn)證過(guò)程,在認(rèn)證過(guò)程中����,所述網(wǎng)絡(luò)側(cè)和RN相互協(xié)定相同的設(shè)備 相關(guān)安全參數(shù)��;或者�,所述網(wǎng)絡(luò)側(cè)根據(jù)RN的設(shè)備標(biāo)識(shí)信息��,索引得到自身存儲(chǔ)的設(shè)備相關(guān)的安全參數(shù)��;或者�����,從歸屬用戶(hù)服務(wù)器HSS獲取設(shè)備相關(guān)的安全參數(shù)��。
14.根據(jù)權(quán)利要求13所述的方法��,其特征在于����,所述設(shè)備相關(guān)的安全參數(shù)為所述RN與 網(wǎng)絡(luò)側(cè)共享的特定參數(shù);所述特定參數(shù)為在所述RN的簽約信息中的參數(shù)�����;或者��,設(shè)備證書(shū)中的預(yù)設(shè)參數(shù)。
15.一種生成與設(shè)備綁定的安全密鑰的系統(tǒng)�����,其特征在于�����,包括網(wǎng)絡(luò)側(cè)和RN���,其中�����,網(wǎng)絡(luò)側(cè)���,用于與RN協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù);向RN發(fā)送用于通知RN 生成與設(shè)備綁定的安全密鑰的通知消息�����;接收來(lái)自RN的響應(yīng)�;RN,用于與網(wǎng)絡(luò)側(cè)協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)��;接收到通知消息��,根據(jù)用 戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)����,生成與設(shè)備綁定的安全密鑰并響應(yīng)網(wǎng)絡(luò)側(cè)。
16.根據(jù)權(quán)利要求15所述的系統(tǒng)�����,其特征在于�����,所述網(wǎng)絡(luò)側(cè)�,還用于在向RN發(fā)送通知消 息之前或之后,執(zhí)行與RN相同的生成與設(shè)備綁定的安全密鑰的過(guò)程��。
17.根據(jù)權(quán)利要求15或16所述的系統(tǒng)����,其特征在于,所述網(wǎng)絡(luò)側(cè)為MME或eNB�。
18.根據(jù)權(quán)利要求15或16所述的系統(tǒng),其特征在于,所述網(wǎng)絡(luò)側(cè)為MME�,該系統(tǒng)還包括eNB ;所述MME�����,還用于將生成的與設(shè)備綁定的安全密鑰發(fā)送給eNB����。
全文摘要
本發(fā)明公開(kāi)了一種生成與設(shè)備綁定的安全密鑰的方法及系統(tǒng),包括網(wǎng)絡(luò)側(cè)與中繼節(jié)點(diǎn)(RN)協(xié)定用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)��;網(wǎng)絡(luò)側(cè)通知RN生成與設(shè)備綁定的安全密鑰�����,RN根據(jù)用戶(hù)安全密鑰和設(shè)備相關(guān)的安全參數(shù)����,生成與設(shè)備綁定的安全密鑰并響應(yīng)網(wǎng)絡(luò)側(cè)。通過(guò)本發(fā)明���,生成了與設(shè)備綁定的安全密鑰�,防止了攻擊者利用非法設(shè)備對(duì)通信數(shù)據(jù)的竊聽(tīng)和篡改���,保證了RN與網(wǎng)絡(luò)側(cè)間的通信數(shù)據(jù)安全���。
文檔編號(hào)H04W28/18GK101931953SQ20101029018
公開(kāi)日2010年12月29日 申請(qǐng)日期2010年9月20日 優(yōu)先權(quán)日2010年9月20日
發(fā)明者和峰, 甘露 申請(qǐng)人:中興通訊股份有限公司