[發(fā)明專利]一種用戶接入安全保護(hù)的方法及系統(tǒng)有效
| 申請(qǐng)?zhí)枺?/td> | 201010182605.9 | 申請(qǐng)日: | 2010-05-21 |
| 公開(公告)號(hào): | CN101835156A | 公開(公告)日: | 2010-09-15 |
| 發(fā)明(設(shè)計(jì))人: | 徐浩 | 申請(qǐng)(專利權(quán))人: | 中興通訊股份有限公司 |
| 主分類號(hào): | H04W12/06 | 分類號(hào): | H04W12/06;H04W12/08 |
| 代理公司: | 北京安信方達(dá)知識(shí)產(chǎn)權(quán)代理有限公司 11262 | 代理人: | 李健;龍洪 |
| 地址: | 518057 廣東省深圳市南山*** | 國(guó)省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 用戶 接入 安全 保護(hù) 方法 系統(tǒng) | ||
技術(shù)領(lǐng)域
本發(fā)明涉及移動(dòng)通信領(lǐng)域,特別是涉及一種用戶接入安全保護(hù)的方法及系統(tǒng)。
背景技術(shù)
3GPP(Third?Generation?Partnership?Project,第三代合作伙伴計(jì)劃)長(zhǎng)期演進(jìn)(Long?Term?Evolution,簡(jiǎn)稱LTE)系統(tǒng)/系統(tǒng)構(gòu)架演進(jìn)(SystemArchitecture?Evolution,簡(jiǎn)稱SAE)的通信接入安全采用分層式安全架構(gòu)機(jī)制,按照層次結(jié)構(gòu)分為非接入層(Non?Access?Stratum,簡(jiǎn)稱NAS)安全機(jī)制和接入層(Access?Stratum,簡(jiǎn)稱AS)安全機(jī)制,其各自擁有自己獨(dú)立的安全上下文。其中,NAS層安全上下文由MME(Mobility?Management?Entity,移動(dòng)管理實(shí)體)負(fù)責(zé)初始化建立、配置和管理;AS層安全上下文有eNB(evolved?Node?B,演進(jìn)節(jié)點(diǎn))負(fù)責(zé)初始化建立、配置和管理,這些安全上下文包括密鑰、密鑰標(biāo)識(shí)符、安全算法標(biāo)識(shí)符以及上下行序列計(jì)數(shù)值。
NAS層和AS層各自獨(dú)立的安全功能由各自的安全模式命令(SecurityMode?Command,簡(jiǎn)稱SMC)激活。安全功能包括了完整性保護(hù)和機(jī)密性保護(hù),其中,NAS層安全功能是指對(duì)NAS信令的完整性保護(hù)和機(jī)密性保護(hù);AS層安全功能是指對(duì)控制面無(wú)線資源控制(Radio?Resource?Control,簡(jiǎn)稱RRC)信令的完整性保護(hù)和機(jī)密性保護(hù)以及用戶面(User?Plane,簡(jiǎn)稱UP)數(shù)據(jù)的機(jī)密性保護(hù)。具體地,完整性保護(hù)是將消息體作為入?yún)⑸梢粋€(gè)4字節(jié)的MAC-I(Message?Authentication?Code?for?Integrity,完整性消息鑒別碼)值,通過(guò)對(duì)比消息中攜帶的MAC值和根據(jù)消息本身計(jì)算出的MAC值來(lái)驗(yàn)證消息的完整性;機(jī)密性保護(hù)是將消息進(jìn)行加解密處理。
NAS和AS的完整性保護(hù)和機(jī)密性保護(hù)的算法密鑰均由根密鑰KASME派生。根密鑰KASME由MME管理,并在NAS層的AKA(Authentication?and?KeyAgreement,鑒權(quán)和密鑰協(xié)商)過(guò)程中生成。當(dāng)根密鑰發(fā)生改變時(shí),由此派生出的NAS層密鑰和AS層密鑰也會(huì)隨之發(fā)生改變。并且這種改變是UE和網(wǎng)路側(cè)同步改變的,這樣才能保證完整性保護(hù)機(jī)制和機(jī)密性保護(hù)機(jī)制的正常運(yùn)作。
NAS層完整性保護(hù)和機(jī)密性保護(hù)的算法密鑰由KASME的直接派生得出,AS層完整性保護(hù)和機(jī)密性保護(hù)的算法密鑰首先需要基于KASME以及上行NAS計(jì)數(shù)值(即非接入層上行消息計(jì)數(shù)序列值)(NAS?UPLINK?COUNT)計(jì)算出接入層根密鑰KeNB,然后再由KeNB計(jì)算出AS層的安全算法密鑰。KASME在其生命期會(huì)與一對(duì)NAS計(jì)算值相關(guān)聯(lián),這一對(duì)NAS計(jì)算值分別對(duì)上行NAS消息和下行NAS消息計(jì)數(shù)。一旦KASME在AKA過(guò)程中成功生成,NAS?COUNT值就會(huì)從零開始計(jì)數(shù),并且不會(huì)重新復(fù)位。這樣的設(shè)計(jì)是為了防止在某些情況下相同的NAS?COUNT值帶來(lái)的安全問(wèn)題。例如UE在兩個(gè)MME之間來(lái)回切換時(shí),由于KASME等安全參數(shù)會(huì)由源MME發(fā)給目的MME,因此,如果NAS?COUNT值會(huì)復(fù)位歸零,那么就會(huì)生成相同的NAS安全密鑰。
當(dāng)用戶設(shè)備(User?Equipment,簡(jiǎn)稱UE)接入LTE網(wǎng)絡(luò),UE會(huì)首先會(huì)發(fā)起Attach(附著)請(qǐng)求發(fā)起網(wǎng)絡(luò)注冊(cè),UE的安全能力參數(shù)隨著Attach請(qǐng)求消息發(fā)到MME,MME根據(jù)自身的網(wǎng)絡(luò)安全配置選擇相應(yīng)的完整性算法和加解密算法。根據(jù)選中的安全算法和KASME,MME會(huì)生成NAS的安全密鑰,然后通過(guò)NAS?SMC消息將選擇的NAS安全算法通知給UE。
另一方面,MME根據(jù)KASME以及上行NAS?COUNT值計(jì)算出KeNB。然后將UE安全能力參數(shù)以及生成的KeNB通過(guò)MME與eNB之間的X2接口消息發(fā)給eNB,eNB根據(jù)自身安全配置選擇AS層安全算法。eNB再根據(jù)KeNB以及選擇的安全算法生成AS層的安全密鑰。最后,eNB通過(guò)AS?SMC消息將選中的安全算法通知給UE。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中興通訊股份有限公司,未經(jīng)中興通訊股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201010182605.9/2.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
