專利名稱:一種安全模式的配置方法和終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信領(lǐng)域,尤其涉及ー種安全模式的配置方法和終端����。
背景技術(shù):
人與人通信(H2H,Human to Human)是指人通過對(duì)設(shè)備的操作進(jìn)行通信�,現(xiàn)有無線通信技術(shù)是基于H2H的通信發(fā)展起來的,而機(jī)器與機(jī)器通信(M2M���,Machine to Machine)廣義上的定義是以機(jī)器終端智能交互為核心的����、網(wǎng)絡(luò)化的應(yīng)用與服務(wù)�,它是基于智能機(jī)器終端����,以多種通信方式為接入手段���,為客戶提供的信息化解決方案,用于滿足客戶對(duì)監(jiān)控�、指揮調(diào)度、數(shù)據(jù)采集和測(cè)量等方面的信息化需求�。無線技術(shù)的發(fā)展是M2M市場(chǎng)發(fā)展的重要因素,它突破了傳統(tǒng)通信方式的時(shí)空限制和地域障礙�,使企業(yè)和公眾擺脫了線纜束縛,讓客戶更有效地控制成本�����、降低安裝費(fèi)用并且使用簡(jiǎn)單方便���。另外�����,日益增長(zhǎng)的需求推動(dòng)著M2M不斷向前發(fā)展�,與信息處理能力及網(wǎng)絡(luò)帶寬不斷增長(zhǎng)相矛盾的是�,信息獲取的手段遠(yuǎn)遠(yuǎn)落后,而M2M很好的滿足了這ー需求��,通過該技術(shù)用戶可以實(shí)時(shí)監(jiān)測(cè)外部環(huán)境,實(shí)現(xiàn)大范圍�、自動(dòng)化的信息采集。因此���,M2M可以應(yīng)用于行業(yè)應(yīng)用��、家庭應(yīng)用����、個(gè)人應(yīng)用等領(lǐng)域��,在行業(yè)應(yīng)用領(lǐng)域的使用如交通監(jiān)控����、告警系統(tǒng)、海上救援����、自動(dòng)售貨機(jī)、開車付費(fèi)等����,在家庭應(yīng)用領(lǐng)域的使用如自動(dòng)抄表、溫度控制等�,在個(gè)人應(yīng)用領(lǐng)域的使用如生命檢測(cè)、遠(yuǎn)端診斷等�。M2M的通信對(duì)象為機(jī)器對(duì)機(jī)器或人對(duì)機(jī)器,ー個(gè)或多個(gè)機(jī)器之間的數(shù)據(jù)通信定義為機(jī)器類型通信(MTC��,Machine Type Communication)����,這種情況下較少需要人機(jī)互動(dòng),參與MTC的機(jī)器���,稱為MTC設(shè)備(MD���,MTC Device)。MTC設(shè)備是MTC用戶的終端�,可通過公眾陸地移動(dòng)電話網(wǎng)(PLMN,Public LandMobile Network)網(wǎng)絡(luò)與MTC設(shè)備���、MTC服務(wù)器進(jìn)行通
イロ‘ °引入M2M應(yīng)用后����,可以根據(jù)其特點(diǎn)對(duì)現(xiàn)有系統(tǒng)進(jìn)行ー些優(yōu)化�����,以滿足M2M應(yīng)用需求,且對(duì)現(xiàn)有系統(tǒng)中的普通H2H設(shè)備不產(chǎn)生影響��。M2M應(yīng)用的ー些顯著特點(diǎn)包括MTC設(shè)備數(shù)量巨大��,數(shù)量遠(yuǎn)超現(xiàn)有的H2H設(shè)備�;數(shù)據(jù)傳輸有規(guī)律,毎次傳輸?shù)臄?shù)據(jù)量?。籑TC設(shè)備的移動(dòng)性較低�����,很大一部分的MTC設(shè)備是不移動(dòng)的�����。MTC設(shè)備接入網(wǎng)絡(luò)時(shí)�,為了安全、準(zhǔn)確的傳輸信令和數(shù)據(jù)����,需要配置安全模式, MTC設(shè)備接入網(wǎng)絡(luò)的流程如圖1所示���,圖1為根據(jù)相關(guān)技術(shù)的長(zhǎng)期演進(jìn)(LTE�,Long Term Evolution)系統(tǒng)中MTC設(shè)備接入網(wǎng)絡(luò)的流程,主要包括以下步驟步驟101���,MTC設(shè)備在駐留小區(qū)發(fā)起隨機(jī)接入,向駐留小區(qū)所屬基站發(fā)送RRC連接請(qǐng)求信令(RRC Connection Request)��。步驟102��,基站為MTC設(shè)備分配資源�����,向MTC設(shè)備發(fā)送RRC連接建立信令(RRC Connection setup)��。步驟103�����,MTC設(shè)備收到RRC連接建立信令后����,應(yīng)用其中的資源配置,向基站發(fā)送 RRC連接建立完成信令(RRC Connection Setup Complete)�����,在該完成信令中包含MTC設(shè)備發(fā)送給核心網(wǎng)的非接入層(NAS,Non Access Stratum)�����,信令如附著請(qǐng)求(Attach)�����、或服務(wù)請(qǐng)求(Service Request)����。步驟104,基站為MTC設(shè)備選擇核心網(wǎng)網(wǎng)元���,基站向選擇的核心網(wǎng)網(wǎng)元發(fā)送初始用戶設(shè)備消息(Initial UE Message)���,其中包含NAS信令,如附著請(qǐng)求或服務(wù)請(qǐng)求����。步驟105,核心網(wǎng)收到初始用戶設(shè)備消息后����,對(duì)該MTC設(shè)備進(jìn)行鑒權(quán)�,在該過程中�����, 核心網(wǎng)需要從歸屬用戶服務(wù)器(HSS��,Home Subscriber Server)獲得該MTC設(shè)備的簽約信息(附圖未示出)�����。核心網(wǎng)向基站發(fā)送初始上下文建立請(qǐng)求(Initial Context Setup Request)�,其中包含基站需要為該MTC設(shè)備建立的數(shù)據(jù)無線承載(DRB��,Data Radio Bearer) 的服務(wù)質(zhì)量參數(shù)�、安全配置的參數(shù)等。其中安全配置參數(shù)包含安全密鑰(Security Key���,或者稱為KeNB)和用戶設(shè)備的安全能力(UE Security Capabilities)����。步驟106����,基站收到初始上下文建立請(qǐng)求后��,為MTC設(shè)備配置安全參數(shù)�,向MTC設(shè)備發(fā)送安全模式命令Security Mode Command)���,其中包含加密算法(cipheringAlgorithm) 和完整性保護(hù)算法(integrityProtAlgorithm)的配置�����。步驟107��,MTC設(shè)備收到安全模式命令后�,根據(jù)其中的加密算法和完整性保護(hù)算法�����,以及協(xié)議預(yù)定義的規(guī)則獲得加密密鑰(Κκκεη��。�����,KupeJ和完整性保護(hù)密鑰(KKKint)�����。MTC設(shè)備配置底層應(yīng)用加密和完整性保護(hù)算法,MTC設(shè)備需要在隨后的信令中實(shí)施完整性保護(hù)算法包括安全模式完成信令(SecurityMode Complete) ���;MTC設(shè)備在隨后的信令中實(shí)施加密算法�����,除了安全模式完成信令不應(yīng)用加密算法�����。MTC設(shè)備向基站發(fā)送安全模式完成信令�。步驟108���,基站為MTC設(shè)備配置測(cè)量、配置數(shù)據(jù)無線承載DRB的調(diào)度參數(shù)等���,通過 RRC連接重配置信令(RRC Connection Reconfiguration)為MTC設(shè)備配置這些參數(shù)���。步驟109,MTC設(shè)備收到重配置信令后���,應(yīng)用其中的參數(shù)�,向基站發(fā)送RRC連接重配 Λ元成信令(RRC Connection Reconfiguration Complete)。步驟110��,基站收到RRC連接重配置完成信令后�,向核心網(wǎng)發(fā)送初始上下文建立響奴(Initial Context Setup Response;。至此�����,MTC設(shè)備建立了用于數(shù)據(jù)傳輸?shù)臒o線接入承載��,可以傳遞數(shù)據(jù)����。在傳遞數(shù)據(jù)結(jié)束后,網(wǎng)絡(luò)側(cè)將通過RRC連接釋放信令(RRC Connection Release)釋放已經(jīng)建立的承載�����。在整個(gè)流程中��,MTC設(shè)備與基站之間將交互多條RRC信令�����。當(dāng)接入網(wǎng)絡(luò)的MTC設(shè)備數(shù)量不是很多吋,MTC設(shè)備與基站之間的RRC信令交互不會(huì)占用太多的無線資源���。但是考慮到MTC設(shè)備的數(shù)量巨大�����,而且有些監(jiān)控類的MTC設(shè)備需要經(jīng)常性的發(fā)送數(shù)據(jù)�,MTC設(shè)備與基站之間的信令交互將占用很多的無線資源���。在某些特殊場(chǎng)景如斷電后恢復(fù)供電�����,眾多的MTC 設(shè)備會(huì)同時(shí)接入網(wǎng)絡(luò)實(shí)施注冊(cè)����,這將造成巨大的信令沖擊���,可能造成網(wǎng)絡(luò)側(cè)的信令過載。因此�����,需要考慮減少終端與基站之間的RRC信令數(shù)量,以應(yīng)對(duì)MTC設(shè)備引入后可能產(chǎn)生的信令過載問題��。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的主要目的在于提供ー種安全模式的配置方法和終端���,能夠有效減少終端接入網(wǎng)絡(luò)時(shí)的空ロ信令數(shù)量��,節(jié)省空ロ資源���。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的本發(fā)明提供了ー種安全模式的配置方法�,該方法包括終端通過無線資源控制(RRC)連接重配置、無線承載建立或無線承載重配置信令����,顯式或隱式的獲知加密算法和/或完整性保護(hù)算法;所述終端根據(jù)獲得的加密算法和/或完整性保護(hù)算法�,通過預(yù)定的方式獲得加密密鑰和/或完整性保護(hù)密鑰,并配置底層應(yīng)用加密算法和完整性保護(hù)算法�。所述終端在非切換時(shí)獲知所述加密算法和/或完整性保護(hù)算法。所述顯式的獲知加密算法和/或完整性保護(hù)算法����,具體為所述RRC連接重配置���、無線承載建立或無線承載重配置信令中包含加密算法和/ 或完整性保護(hù)算法的信元,終端所獲知的加密算法和/或完整性保護(hù)算法���,即為所述信元中的加密算法和/或完整性保護(hù)算法���。所述隱式的獲知加密算法和/或完整性保護(hù)算法,具體為終端保存上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法���,終端所獲知的加密算法和/或完整性保護(hù)算法��,即為保存的上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法���。所述終端根據(jù)獲得的加密算法和/或完整性保護(hù)算法,通過預(yù)定的方式獲得加密密鑰和/或完整性保護(hù)密鑰���,具體為所述終端使用上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰��,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰�;或者����,所述終端根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰派生出新的安全密鑰,或根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰�����、結(jié)合終端所接入小區(qū)的小區(qū)標(biāo)識(shí)和/或頻率派生出新的安全密鑰���;所述終端根據(jù)所述新的安全密鑰��,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰����。本發(fā)明還提供了ー種安全模式的配置終端��,該終端包括算法獲取模塊����,用于通過RRC連接重配置、無線承載建立或無線承載重配置信令����, 顯式或隱式的獲知加密算法和/或完整性保護(hù)算法;密鑰獲取模塊��,用于根據(jù)獲得的加密算法和/或完整性保護(hù)算法,通過預(yù)定的方式獲得加密密鑰和/或完整性保護(hù)密鑰�����,并配置底層應(yīng)用加密算法和完整性保護(hù)算法�。所述算法獲取模塊進(jìn)ー步用于,在終端非切換時(shí)獲知所述加密算法和/或完整性保護(hù)算法��。所述顯式的獲知加密算法和/或完整性保護(hù)算法����,具體為所述RRC連接重配置、無線承載建立或無線承載重配置信令中包含加密算法和/ 或完整性保護(hù)算法的信元��,算法獲取模塊所獲知的加密算法和/或完整性保護(hù)算法�����,即為所述信元中的加密算法和/或完整性保護(hù)算法����。所述隱式的獲知加密算法和/或完整性保護(hù)算法,具體為終端保存上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法�����,算法獲取模塊所獲知的加密算法和/或完整性保護(hù)算法,即為保存的上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法�����。所述密鑰獲取模塊進(jìn)一歩用干�����,使用終端上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰�,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰�;或者,根據(jù)終端上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰派生出新的安全密鑰��,或根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰����、結(jié)合終端所接入小區(qū)的小區(qū)標(biāo)識(shí)和/或頻率派生出新的安全密鑰;所述密鑰獲取模塊根據(jù)所述新的安全密鑰�,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰。本發(fā)明所提供的ー種安全模式的配置方法和終端��,終端通過無線資源控制(RRC) 連接重配置�����、無線承載建立或無線承載重配置信令,顯式或隱式的獲知加密算法和/或完整性保護(hù)算法����;終端根據(jù)獲得的加密算法和/或完整性保護(hù)算法,通過預(yù)定義的方式獲得加密密鑰和/或完整性保護(hù)密鑰�,并配置底層應(yīng)用加密算法和完整性保護(hù)算法。通過本發(fā)明��,能夠減少終端接入網(wǎng)絡(luò)時(shí)交互的RRC信令數(shù)量����,節(jié)省空ロ資源;另外����,通過本發(fā)明能夠保證信令與數(shù)據(jù)的安全傳輸。
圖1為現(xiàn)有LTE系統(tǒng)中MTC設(shè)備接入網(wǎng)絡(luò)的流程圖�;圖2為本發(fā)明實(shí)施例中MTC設(shè)備接入網(wǎng)絡(luò)的流程圖;圖3為本發(fā)明實(shí)施例中MTC設(shè)備發(fā)起業(yè)務(wù)的流程圖���。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)ー步詳細(xì)闡述�����。本發(fā)明所提供的ー種安全模式的配置方法�����,包括終端通過RRC連接重配置���、無線承載建立或無線承載重配置信令���,顯式或隱式的獲知加密算法和/或完整性保護(hù)算法��;終端根據(jù)獲得的加密算法和/或完整性保護(hù)算法��,通過協(xié)議預(yù)先約定的方式獲得加密密鑰和 /或完整性保護(hù)密鑰�,然后配置底層應(yīng)用加密算法和完整性保護(hù)算法。進(jìn)ー步的���,所述終端在非切換時(shí)獲知加密算法和/或完整性保護(hù)算法���。所述顯式獲知加密算法和/或完整性保護(hù)算法是指,所述RRC連接重配置���、無線承載建立或無線承載重配置信令中包含加密算法和/或完整性保護(hù)算法的信元����,終端所獲知的加密算法和/或完整性保護(hù)算法,即為所述信元中的加密算法和/或完整性保護(hù)算法�。所述隱式獲知加密算法和/或完整性保護(hù)算法是指,終端保存上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法���,終端所獲知的加密算法和/或完整性保護(hù)算法���,即為保存的上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法。進(jìn)ー步的����,終端使用上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰,并通過所述加密算法和/ 或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰���;或者�,終端根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰派生出新的安全密鑰���,或根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰����、結(jié)合終端所接入小區(qū)的小區(qū)標(biāo)識(shí)和/或頻率派生出新的安全密鑰����;終端根據(jù)所述新的安全密鑰�����,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰����。終端對(duì)RRC連接重配置完成����、無線承載建立完成或無線承載重配置完成應(yīng)用完整性保護(hù)算法���,或者應(yīng)用完整性保護(hù)算法和加密算法��。終端在隨后的信令中實(shí)施加密算法和完整性保護(hù)算法��。所述終端包括MTC設(shè)備和/或H2H設(shè)備����。下面結(jié)合具體實(shí)施例對(duì)本發(fā)明技術(shù)方案的實(shí)施作進(jìn)ー步的詳細(xì)描述��。在本發(fā)明的實(shí)施例一中��,LTE系統(tǒng)的任意一個(gè)基站所轄小區(qū)中�����,駐留了大量的MTC
7設(shè)備和H2H設(shè)備,這些設(shè)備有些處于連接狀態(tài)���,有些處于空閑狀態(tài)�。某ー時(shí)刻��,部分MTC設(shè)備由于有數(shù)據(jù)發(fā)送���,需要發(fā)起業(yè)務(wù)����。圖2為本發(fā)明實(shí)施例一中MTC設(shè)備(稱為MDl)接入網(wǎng)絡(luò)的流程示意圖����,如圖2所示,該流程包括步驟201����,MTC設(shè)備在駐留小區(qū)發(fā)起隨機(jī)接入,向駐留小區(qū)所屬基站發(fā)送RRC連接請(qǐng)求 1 目令(RRC Connection Request)�。步驟202,基站為MTC設(shè)備分配資源���,向其發(fā)送RRC連接建立信令(RRCCormection Setup;ο步驟203�����,MTC設(shè)備收到RRC連接建立信令后����,應(yīng)用其中的資源配置,向基站發(fā)送 RRC連接建立完成(RRC Connection Setup Complete)信令��,在該完成信令中包含MTC設(shè)備發(fā)送給核心網(wǎng)的NAS信令�,本實(shí)施例中NAS信令是附著請(qǐng)求(Attach)。步驟204�����,基站為MTC設(shè)備選擇核心網(wǎng)網(wǎng)元����,基站向選擇的核心網(wǎng)網(wǎng)元發(fā)送初始用戶設(shè)備消息(Initial UE Message)�,其中包含NAS信令、即附著請(qǐng)求��。步驟205����,核心網(wǎng)收到初始用戶設(shè)備消息后���,對(duì)該MTC設(shè)備進(jìn)行鑒權(quán),在該過程中�����, 核心網(wǎng)需要從歸屬用戶服務(wù)器(HSS��,Home Subscriber Server)獲得該MTC設(shè)備的簽約信息(附圖未示出)����。核心網(wǎng)向基站發(fā)送初始上下文建立請(qǐng)求(Initial Context Setup Request),其中包含基站需要為該MTC設(shè)備建立的數(shù)據(jù)無線承載(DRB�����,Data Radio Bearer) 的服務(wù)質(zhì)量參數(shù)�����、安全配置的參數(shù)等����。其中�����,安全配置參數(shù)包含安全密鑰(Security Key��,或者稱為KeNB)和用戶設(shè)備的安全能力(UE Security Capabilities)���。步驟206,基站收到初始上下文建立請(qǐng)求后����,為MTC設(shè)備配置安全參數(shù),包含加密算法(cipheringAlgorithm)和完整性保護(hù)算法(integrityProtAlgorithm)的配置�; 同時(shí)基站為MTC設(shè)備配置測(cè)量、配置數(shù)據(jù)無線承載DRB的調(diào)度參數(shù)等�,基站向MTC設(shè)備發(fā)送RRC連接重配置信令(RRC ConnectionReconfiguration),該信令包含基站為其配置的安全參數(shù)(加密算法和完整性保護(hù)算法)����、測(cè)量配置�����、DRB相關(guān)的參數(shù)(現(xiàn)有協(xié)議采用RadioResourceConfigDedicated表示)。在現(xiàn)有的RRC連接重配置信令中���,包含切換時(shí)的安全配置參數(shù)(securityConfigHO)����,該參數(shù)只有在MTC設(shè)備切換時(shí)才會(huì)配置���,而且需要配置是否是小區(qū)內(nèi)切換���、系統(tǒng)間切換的參數(shù)。但本實(shí)施例中MTC設(shè)備沒有發(fā)生切換���, 因此需要新增信元表示安全參數(shù)配置�,包含加密算法和完整性保護(hù)算法�;或者改變現(xiàn)有的 securityConfigHO,使其能夠應(yīng)用于非切換的場(chǎng)景(不需要設(shè)置是否是小區(qū)內(nèi)切換����、系統(tǒng)間切換的參數(shù))。步驟207�����,MTC設(shè)備收到RRC連接重配置信令后,根據(jù)其中的加密算法和完整性保護(hù)算法��,以及協(xié)議預(yù)定義的規(guī)則獲得加密密鑰(Κκκ·��,Kupenc)和完整性保護(hù)密鑰 (Kraiant)�。MTC設(shè)備配置底層應(yīng)用加密和完整性保護(hù)算法,MTC設(shè)備需要在隨后的信令中實(shí)施完整性保護(hù)算法包括RRC連接重配置完成信令(RRC Connection Reconfiguration Complete) ����;MTC設(shè)備在隨后的信令中實(shí)施加密算法,除了 RRC連接重配置完成信令不應(yīng)用加密算法��。同時(shí)MTC設(shè)備配置測(cè)量參數(shù)��、以及應(yīng)用基站所配置的資源(包含在 RadioResourceConfigDedicated中)���,然后MTC設(shè)備向基站發(fā)送RRC連接重配置完成信令�����。此處需要說明的是����,MTC設(shè)備需要通過NAS信令流程中包含的NAS count計(jì)算獲得安全密鑰KeNB�����,然后由KeNB�����、加密算法和完整性保護(hù)算法派生出加密密鑰和完整性保護(hù)密鑰�����。協(xié)議約定了由KeNB��、加密算法和完整性保護(hù)算法計(jì)算密鑰的方法����。基站也需要依據(jù)步驟205收到的KeNB�����、加密算法和完整性保護(hù)算法計(jì)算密鑰�����。然后基站和MTC設(shè)備之間應(yīng)用加密算法和完整性保護(hù)算法��。步驟208,基站收到RRC連接重配置完成信令后����,向核心網(wǎng)發(fā)送初始上下文建立響 JM (Initial Context Setup Response;。至此��,基站為MTC設(shè)備建立了用于傳輸數(shù)據(jù)的無線接入承載�����,MTC設(shè)備可以進(jìn)行數(shù)據(jù)傳輸���。通過本實(shí)施例�,MTC設(shè)備在建立無線接入承載時(shí)減少了単獨(dú)配置安全模式的RRC信令�,可以有效減少空ロ資源的消耗;同時(shí)在減少信令吋�����,沒有降低安全性�。上述實(shí)施例一中,描述了 MTC設(shè)備的場(chǎng)景����,在實(shí)際應(yīng)用中對(duì)于H2H設(shè)備同樣適用����。上述實(shí)施例一中���,基站通過現(xiàn)有的RRC連接重配置信令同時(shí)配置安全參數(shù)、測(cè)量�、 DRB相關(guān)的參數(shù),也可以新增RRC信令傳遞這些配置參數(shù)��。本實(shí)施例描述了 LTE系統(tǒng)��,對(duì)于寬帶碼分多址接入(WCDMA)系統(tǒng)�,本實(shí)施例同樣適用,在WCDMA中�,發(fā)送RRC信令的是無線網(wǎng)絡(luò)控制器(RNCJadioNetwork Controller)。當(dāng)終端接入網(wǎng)絡(luò)時(shí)���,RNC通過無線承載建立 (Radio BearerSetup)���、或無線承載重配置(Radio Bearer Reconfiguration)同時(shí)配置安全參數(shù)和數(shù)據(jù)無線承載的相關(guān)參數(shù),可以減少単獨(dú)配置安全模式配置的信令�����。上述實(shí)施例一還有其他的實(shí)現(xiàn)方式,如在步驟207中�,MTC設(shè)備配置底層應(yīng)用加密和完整性保護(hù)算法,MTC設(shè)備需要在隨后的信令中實(shí)施完整性保護(hù)算法包括RRC連接重配置完成信令����;MTC設(shè)備在隨后的信令中實(shí)施加密算法,也包括RRC連接重配置完成信令應(yīng)用加密算法�。基站在接收RRC連接重配置完成信令吋���,需要同時(shí)實(shí)施解密���、以及實(shí)施完整性保護(hù)驗(yàn)證。本發(fā)明的實(shí)施例ニ中����,LTE系統(tǒng)的任意一個(gè)基站所轄小區(qū)中,駐留了大量的MTC設(shè)備和H2H設(shè)備�����,這些設(shè)備有些處于連接狀態(tài)��,有些處于空閑狀態(tài)。某ー時(shí)刻���,部分MTC設(shè)備由于有數(shù)據(jù)發(fā)送�,需要發(fā)起業(yè)務(wù)請(qǐng)求����。其中一個(gè)已經(jīng)注冊(cè)過的MTC設(shè)備(稱為M^)發(fā)起業(yè)務(wù)的流程為步驟301到步驟305與步驟201到步驟205相同。需要說明的是�,在步驟303中����, MTC設(shè)備發(fā)送的NAS信令是服務(wù)請(qǐng)求信令,因?yàn)镸TC設(shè)備已經(jīng)注冊(cè)過���,不需要再發(fā)附著信令�。 在步驟305中�����,核心網(wǎng)向基站發(fā)送的安全密鑰KeNB是該MTC設(shè)備上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰��,同時(shí)核心網(wǎng)向基站發(fā)送了上一次該MTC設(shè)備使用的加密算法和完整性保護(hù)算法�。步驟306,基站收到初始上下文建立請(qǐng)求后�,為MTC設(shè)備配置測(cè)量�����、配置數(shù)據(jù)無線承載DRB的調(diào)度參數(shù)等�����,基站向MTC設(shè)備發(fā)送RRC連接重配置信令(RRC Connection Reconfiguration)���,該信令包含基站為其配置的測(cè)量配置、DRB相關(guān)的參數(shù)(現(xiàn)有協(xié)議采用 RadioResourceConfigDedicated表示)����。在本實(shí)施例中,RRC連接重配置信令沒有包含加密算法和完整性保護(hù)算法��。步驟307����,MTC設(shè)備收到RRC連接重配置信令后,發(fā)現(xiàn)沒有加密算法和完整性保護(hù)算法��,MTC設(shè)備使用上一次接入網(wǎng)絡(luò)時(shí)使用的加密算法和完整性保護(hù)算法�����。同時(shí)MTC設(shè)備使用上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰KeNB。MTC設(shè)備依照協(xié)議預(yù)定義的規(guī)則獲得加密密鑰(Κκκ���。εη�����。�����,Kupenc)和完整性保護(hù)密鑰(Kmieint)。MTC設(shè)備配置底層應(yīng)用加密和完整性保護(hù)算法�,MTC設(shè)備需要在隨后的信令中實(shí)施完整性保護(hù)算法包括RRC連接重配置完成信令 (RRCConnection Reconfiguration Complete) ;MTC設(shè)備在隨后的信令中實(shí)施加密算法����,除了 RRC連接重配置完成信令不應(yīng)用加密算法。同時(shí)MTC設(shè)備配置測(cè)量參數(shù)�、以及應(yīng)用基站所配置的資源(包含在Radio Resource Config Dedicated中),然后MTC設(shè)備向基站發(fā)送 RRC連接重配置完成信令���。因?yàn)镸TC設(shè)備需要使用上一次接入網(wǎng)絡(luò)時(shí)使用的安全配置��,因此MTC設(shè)備需要保存上一次接入網(wǎng)絡(luò)時(shí)的KeNB�����、加密算法和完整性保護(hù)算法�。步驟308與步驟208相同。至此����,基站為MTC設(shè)備建立了用于傳輸數(shù)據(jù)的無線接入承載,MTC設(shè)備可以進(jìn)行數(shù)據(jù)傳輸���。通過本實(shí)施例所述的方法����,可以減少単獨(dú)安全模式流程��,減少空ロ負(fù)荷���。本實(shí)施例還有其他的實(shí)現(xiàn)方式��,在步驟306中�����,基站收到初始上下文建立請(qǐng)求后��, 利用核心網(wǎng)發(fā)來的安全密鑰KeNB�,按照協(xié)議約定的方式派生出新的安全密鑰KeNB*;或者結(jié)合MTC設(shè)備所接入小區(qū)的小區(qū)標(biāo)識(shí)和/或頻率,按照協(xié)議約定的方式派生出新的安全密鑰KeNB*��。在步驟307中��,MTC設(shè)備也是根據(jù)原先保存的KeNB�,按照協(xié)議約定的方式派生出新的安全密鑰KeNB* ;或者結(jié)合MTC設(shè)備所接入小區(qū)的小區(qū)標(biāo)識(shí)和/或頻率�����,按照協(xié)議約定的方式派生出新的安全密鑰KeNB*�����。然后再根據(jù)KeNB*以及保存的加密算法和完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰����,MTC設(shè)備配置底層應(yīng)用新的加密密鑰和完整性保護(hù)密鑰���。這樣MTC設(shè)備就可以在空ロ使用新的加密算法和完整性保護(hù)算法��,增強(qiáng)了系統(tǒng)的安全性���。本實(shí)施例還有其他的實(shí)現(xiàn)方式�,在步驟305中�����,核心網(wǎng)沒有向基站發(fā)送上一次該 MTC設(shè)備使用的加密算法和完整性保護(hù)算法�,而是由基站保存上一次該MTC設(shè)備使用的加密算法和完整性保護(hù)算法。因?yàn)橛些`些MTC設(shè)備是靜止的����,如電表、水表等���,這些設(shè)備始終只會(huì)通過同一基站所轄小區(qū)接入網(wǎng)絡(luò)����,該基站可以在這些設(shè)備初次接入網(wǎng)絡(luò)實(shí)施注冊(cè)時(shí)保存其加密算法和完整性保護(hù)算法�,這樣可以在其以后接入網(wǎng)絡(luò)時(shí)節(jié)省空ロ信令的開銷,同時(shí)保證了系統(tǒng)的安全�����。上述實(shí)施例ニ中,描述了 MTC設(shè)備的場(chǎng)景����,事實(shí)上對(duì)于H2H設(shè)備同樣適用。對(duì)應(yīng)上述安全模式的配置方法�����,本發(fā)明還提供了ー種安全模式的配置終端����,包括 算法獲取模塊和密鑰獲取模塊。其中�,算法獲取模塊,用于通過RRC連接重配置�����、無線承載建立或無線承載重配置信令�,顯式或隱式的獲知加密算法和/或完整性保護(hù)算法。密鑰獲取模塊����,用于根據(jù)獲得的加密算法和/或完整性保護(hù)算法���,通過預(yù)定的方式獲得加密密鑰和/或完整性保護(hù)密鑰�����,并配置底層應(yīng)用加密算法和完整性保護(hù)算法���。算法獲取模塊進(jìn)ー步用于�����,在終端非切換時(shí)獲知所述加密算法和/或完整性保護(hù)算法���。所述顯式的獲知加密算法和/或完整性保護(hù)算法,具體為所述RRC連接重配置����、無線承載建立或無線承載重配置信令中包含加密算法和/ 或完整性保護(hù)算法的信元,算法獲取模塊所獲知的加密算法和/或完整性保護(hù)算法�����,即為所述信元中的加密算法和/或完整性保護(hù)算法���。所述隱式的獲知加密算法和/或完整性保護(hù)算法��,具體為終端保存上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法��,算法獲取模塊所獲知的加密算法和/或完整性保護(hù)算法����,即為保存的上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法。
密鑰獲取模塊進(jìn)一歩用干����,使用終端上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰��;或者�,根據(jù)終端上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰派生出新的安全密鑰,或根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰����、結(jié)合終端所接入小區(qū)的小區(qū)標(biāo)識(shí)和/或頻率派生出新的安全密鑰;密鑰獲取模塊根據(jù)所述新的安全密鑰����,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰。以上所述��,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍����。
權(quán)利要求
1.ー種安全模式的配置方法����,其特征在于,該方法包括終端通過無線資源控制(RRC)連接重配置�����、無線承載建立或無線承載重配置信令����,顯式或隱式的獲知加密算法和/或完整性保護(hù)算法;所述終端根據(jù)獲得的加密算法和/或完整性保護(hù)算法���,通過預(yù)定的方式獲得加密密鑰和/或完整性保護(hù)密鑰���,并配置底層應(yīng)用加密算法和完整性保護(hù)算法。
2.根據(jù)權(quán)利要求1所述安全模式的配置方法�,其特征在干,所述終端在非切換時(shí)獲知所述加密算法和/或完整性保護(hù)算法����。
3.根據(jù)權(quán)利要求1所述安全模式的配置方法���,其特征在干,所述顯式的獲知加密算法和/或完整性保護(hù)算法���,具體為所述RRC連接重配置�����、無線承載建立或無線承載重配置信令中包含加密算法和/或完整性保護(hù)算法的信元��,終端所獲知的加密算法和/或完整性保護(hù)算法����,即為所述信元中的加密算法和/或完整性保護(hù)算法����。
4.根據(jù)權(quán)利要求1所述安全模式的配置方法,其特征在干�,所述隱式的獲知加密算法和/或完整性保護(hù)算法,具體為終端保存上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法�,終端所獲知的加密算法和/或完整性保護(hù)算法,即為保存的上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法���。
5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述安全模式的配置方法����,其特征在干,所述終端根據(jù)獲得的加密算法和/或完整性保護(hù)算法�,通過預(yù)定的方式獲得加密密鑰和/或完整性保護(hù)密鑰�����,具體為所述終端使用上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰���,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰�;或者��,所述終端根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰派生出新的安全密鑰����,或根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰、結(jié)合終端所接入小區(qū)的小區(qū)標(biāo)識(shí)和/或頻率派生出新的安全密鑰�����;所述終端根據(jù)所述新的安全密鑰���,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰�����。
6.ー種安全模式的配置終端�,其特征在干,該終端包括算法獲取模塊���,用于通過RRC連接重配置�、無線承載建立或無線承載重配置信令����,顯式或隱式的獲知加密算法和/或完整性保護(hù)算法;密鑰獲取模塊����,用于根據(jù)獲得的加密算法和/或完整性保護(hù)算法,通過預(yù)定的方式獲得加密密鑰和/或完整性保護(hù)密鑰��,并配置底層應(yīng)用加密算法和完整性保護(hù)算法���。
7.根據(jù)權(quán)利要求6所述安全模式的配置終端����,其特征在干,所述算法獲取模塊進(jìn)一歩用干��,在終端非切換時(shí)獲知所述加密算法和/或完整性保護(hù)算法��。
8.根據(jù)權(quán)利要求6所述安全模式的配置終端�,其特征在干,所述顯式的獲知加密算法和/或完整性保護(hù)算法���,具體為所述RRC連接重配置、無線承載建立或無線承載重配置信令中包含加密算法和/或完整性保護(hù)算法的信元�,算法獲取模塊所獲知的加密算法和/或完整性保護(hù)算法,即為所述信元中的加密算法和/或完整性保護(hù)算法���。
9.根據(jù)權(quán)利要求6所述安全模式的配置終端���,其特征在干,所述隱式的獲知加密算法和/或完整性保護(hù)算法����,具體為終端保存上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法,算法獲取模塊所獲知的加密算法和/或完整性保護(hù)算法�,即為保存的上一次接入網(wǎng)絡(luò)時(shí)的加密算法和/或完整性保護(hù)算法。
10.根據(jù)權(quán)利要求6至9任一項(xiàng)所述安全模式的配置終端�,其特征在干�,所述密鑰獲取模塊進(jìn)一歩用干����,使用終端上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰,并通過所述加密算法和/ 或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰����;或者,根據(jù)終端上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰派生出新的安全密鑰���,或根據(jù)上一次接入網(wǎng)絡(luò)時(shí)使用的安全密鑰���、結(jié)合終端所接入小區(qū)的小區(qū)標(biāo)識(shí)和/或頻率派生出新的安全密鑰;所述密鑰獲取模塊根據(jù)所述新的安全密鑰��,并通過所述加密算法和/或完整性保護(hù)算法獲得加密密鑰和完整性保護(hù)密鑰����。
全文摘要
本發(fā)明公開了一種安全模式的配置方法和終端,方法包括終端通過無線資源控制(RRC)連接重配置��、無線承載建立或無線承載重配置信令�����,顯式或隱式的獲知加密算法和/或完整性保護(hù)算法;終端根據(jù)獲得的加密算法和/或完整性保護(hù)算法�,通過預(yù)定的方式獲得加密密鑰和/或完整性保護(hù)密鑰,并配置底層應(yīng)用加密算法和完整性保護(hù)算法��。通過本發(fā)明�����,能夠有效減少終端接入網(wǎng)絡(luò)時(shí)的空口信令數(shù)量����,節(jié)省空口資源。
文檔編號(hào)H04W12/00GK102595390SQ20111002012
公開日2012年7月18日 申請(qǐng)日期2011年1月18日 優(yōu)先權(quán)日2011年1月18日
發(fā)明者戴謙, 鄧云 申請(qǐng)人:中興通訊股份有限公司