专利名称:一种WiMAX系统中的数据传输方法、系统及装置的制作方法
技术领域:
本发明涉及无线通信技术领域,尤其涉及一种微波存取全球互通(Worldwide Interoperability for Microwave Access, WiMAX)系统中的数据传输方法、系统及装置。
背景技术:
WiMAX系统中为了实现对媒体数据的安全传输,可以采用两个层次的安全方式实 现,该两个层次的安全方式包括鉴权方式和加密方式。其中,鉴权方式可以使WiMAX系统 中的用户终端和网元进行相互的身份认证,保证双方都为合法实体,加密方式可以使用户 终端与基站之间传输的媒体数据得到保护,不被窃听。而传输的媒体数据得到保护的程度 取决于加密程度,加密程度与加密采用的密钥的长度,以及采用的加密方式有关,鉴权的过 程可以确定加密采用的密钥的长度和采用的加密方式。目前,WiMAX系统对于所有用户终端,都采用是相同的认证过程进行鉴权认证,并 且,当用户终端接入网络后,采用相同的保护程度对每个用户终端传输的数据进行加密,即 采用相同长度的密钥对用户终端传输的媒体数据进行加密,对于AES算法支持的加密密 钥的长度分别为128bit、192bit以及256bit。但是,由于不同的用户其实际要求的安全 性并不相同,如果采用相同长度的密钥对用户终端传输的媒体数据进行加密,例如都采用 256bit,无形中造成了对资源的浪费,或者,当用户终端传输的媒体数据保密性较高,而采 用长度为128bit的加密密钥加密时,不能对用户终端传输的媒体数据起到较好的保护作 用。
发明内容
有鉴于此,本发明实施例提供一种WiMAX系统中的数据传输方法、系统及装置,用 以解决现有技术中加密方式不智能,导致对传输的数据保护不充足,以及造成的资源浪费 的问题。本发明实施例提供的一种WiMAX系统中的数据传输方法,包括基站接收用户终端发送的加密密钥请求信息;所述基站根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥 长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话 密钥确定;所述基站将所述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密 密钥对数据加密后进行发送。本发明实施例提供的一种WiMAX系统中的数据传输系统,包括用户终端,用于向基站发送发送的加密密钥请求信息,根据所述基站发送的加密 密钥对数据加密后进行发送;基站,用于接收所述加密密钥请求信息,根据网关发送的认证密钥长度信息计算 加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定,将所述加密密钥发送到所述用户终端,指示所述 用户终端采用所述加密密钥对数据加密后进行发送。本发明实施例提供的一种基站,包括接收模块,用于接收用户终端发送的加密密钥请求信息;计算模块,用于根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证 密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主 会话密钥确定;发送控制模块,用于发送加密密钥,并指示所述用户终端采用所述加密密钥对数 据加密后进行发送。本发明实施例提供的一种用户终端,包括发送模块,用于向基站发送加密密钥请求信息;接收模块,用于接收包含所述加密密钥的数据,并采用所述加密密钥对数据加密 后进行发送,其中,所述加密密钥根据认证密钥长度信息计算,所述认证密钥长度信息由网 关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定。本发明实施例提供的一种网关,包括接收模块,用于接收用户终端发送的包含安全等级信息的基本能力信令;协商模块,用于根据所述安全等级信息与所述用户终端协商,确定目标安全等级 fn息;计算模块,用于根据所述目标安全等级信息,计算认证密钥的长度;发送模块,用于将所述认证密钥长度信息发送到基站。本发明实施例提供了一种WiMAX系统中的数据传输方法、系统及装置,该方法包 括基站接收到用户终端请求加密密钥的信息,根据网关发送的认证密钥长度信息计算加 密密钥,其中,该认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息, 以及核心网下发的主会话密钥确定,基站将该加密密钥发送到所述用户终端,指示所述用 户终端采用所述加密密钥对数据加密后进行发送,由于本发明实施例中,通过用户终端与 网关协商确定了不同的目标安全等级,从而确定了不同长度的加密密钥,因此对不同的用 户终端可以提供不同安全等级的数据服务,对用户进行了区分,有效地利用了现有的加密 资源,并且对传输的数据起到了较好的保护作用。
图1为本发明实施例提供的进行数据传输的方法流程示意图;图2为本发明实施例提供的确定用于确定加密密钥的目标安全等级信息的过程 示意图;图3为本发明实施例提供的协商过程的具体实施方式
示意图;图4为本发明实施例提供的确定对传输数据加密的加密密钥,并采用该加密密钥 对媒体数据加密传输的具体实施过程示意图;图5为本发明实施例提供的数据传输的具体过程示意图;图6为本发明实施例提供的一种WiMAX系统中的数据传输的系统结构示意图;图7为本发明实施例提供的一种基站结构示意图8为本发明实施例提供的一种用户终端结构示意图;图9为本发明实施例提供的一种网关结构示意图。
具体实施例方式本发明实施例为了较好的对传输的数据进行保护,提供了一种WiMAX系统中的数 据传输方法,该方法包括基站接收用户终端发送的加密密钥请求信息;所述基站根据网 关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所 述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定;所述基站将所 述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行 发送。在本发明实施例中通过用户终端及网关之间的协商确定目标加密等级,根据该目标 加密等级对用户终端和基站之间传输的数据加密,使不同的用户终端采用不同的安全等级 确定的加密密钥加密,使传输的数据得到的保护,并且有效的利用了资源。下面结合说明书附图,对本发明实施例进行详细说明。图1为本发明实施例提供的进行数据传输的方法,该方法具体包括以下步骤SlOl 用户终端向基站发送加密密钥的请求信息。S102:基站接收到该加密密钥的请求信息后,根据网关发送的认证密钥 (Authentication Key, AK)的长度,计算力口密密朗(Traffic Encryption Key, TEK)。其中,该网关发送的AK的长度,根据核心网下发的主会话密钥(MSK)以及该网关 与该用户终端协商确定的目标安全等级确定。S103 基站将该TEK发送到用户终端。S104 用户终端接收到该TEK,当完成网络接入后,采用该TEK将其与基站进行传 输的媒体数据加密并传输。在本发明实施例中,用户终端需要与网关协商确定目标安全等级,图2为具体协 商确定目标安全等级的过程,该过程包括以下步骤S201 用户终端向基站发起包含网络接入请求的基本能力信令,并且,该基本能力 信令中还包含第一安全等级信息,该第一安全等级信息中包含安全等级,例如可以为Ni、 N2.N3等。其中,该第一安全等级用于确定基站与该用户终端进行数据传输的加密密钥。在本发明实施例中,在基本能力信令中携带用于确定加密密钥的安全等级信息, 不需要增加新的空口信令。用户终端向基站发送的基本能力信令中包含的第一安全等级信 息,可以是该用户终端根据本身对安全性的要求,确定的安全等级,例如,当该用户终端所 要求的安全性比较高,即保密等级比较高时,则该用户终端发送的基本能力信令中包含的 安全等级信息为确定保密等级比较高的加密密钥对应的等级。例如当该安全等级越高时, 则由其确定的加密密钥的保密等级越高,则该用户终端的基本能力信令中包含的安全等级 比较高。或者,当该安全等级越低时,则由其确定的加密密钥的保密等级越高,则该用户终 端的基本能力信令中包含的安全等级比较低。具体实施过程中可以根据加密密钥、安全等 级,以及用户终端所需的保密程度进行具体的确定。S202:基站接收该包含网络接入请求的基本能力信令,将该基本能力信令转换为 网关可以识别的格式并发送给网关。具体包括当基站接收到该基本能力信令后,暂存该用户终端的第一安全等级信
7息,以及该用户终端的标识信息,例如为该用户终端媒体访问控制子层协议(Media Access Contro 1,MAC)地址等,并将该基本能力信令发送到网关。S203:网关接收到该包含第一安全等级信息的基本能力信令,提取该基本能力信 令中包含的第一安全等级信息,网关判断该第一安全等级信息中包含的第一安全等级是否 合法,即判断该第一安全等级是否在整个系统支持的安全等级内,判断的过程包括将该第 一安全等级与自身保存的该整个系统支持的安全等级进行匹配,当判断结果为是时,进行 S204,否则,进行S207。S204:网关判断该第一安全等级是否为该网关可以支持的安全等级,即虽然整个 系统有其可以支持的安全等级,但对于每个网关也有其本身可以支持的安全等级,网关支 持的安全等级可以与系统可以支持的安全等级相同,也可以是系统可以支持的安全等级的 一部分,判断的过程包括将该第一安全等级与自身保存的其可以支持的安全等级进行匹 配,当判断结果为是时,进行S205,否则,进行S206。S205:网关将该第一安全等级信息中的第一安全等级,作为与用户终端协商确定 的目标安全等级,网关向基站发送包含该目标安全等级信息的基本能力信令,由基站将该 基本能力信令返回用户终端。基站在将该基本能力信令返回用户终端之前还包括基站接收到包含目标完全等 级信息的基本能力信令时,提取并保存该用户终端的目标安全等级信息,及该用户终端的 标识信息,例如该标识信息可以为该用户终端的MAC地址信息等。S206:网关根据其兼容的安全等级,重新确定第二安全等级,例如该第二安全等级 可以是,第一安全等级与该网关可以支持的最大安全等级中的较小者,将包含第二安全等 级信息的基本能力信令通过基站返回用户终端,用户终端接收到该包含该第二安全等级信 息的基本能力信令后,向基站发送包含网络接入请求的基本能力信令,并且该基本能力信 令中包含第二安全等级信息,进行S202。S207:网关通过基站向用户终端发送基本能力信令,其中该基本能力信令中包含 拒绝该用户终端接入网络的信息。在本发明实施例中为了更好的标识用户终端与网络侧设备对目标安全等级的协 商结果,可以在该用户终端发送的基本能力信令中增加一个协商完毕标识,根据是否对该 目标安全等级协商完毕,对该协商完毕标识赋予不同的参数值。当该网络侧设备与用户终 端协商确定目标安全等级时,如果协商确定的安全等级为目标安全等级,则可以将该协商 完毕标识赋值,例如赋值为TRUE,否则,将该协商完毕标识赋另一值,例如为FALSE。下面通过一个具体的实施例详细说明,图3为该协商过程的具体实施方式
,包括 以下步骤S301 网关接收到包含第一安全等级信息的基本能力信令,提取该基本能力信令 中包含的第一安全等级信息,网关判断该第一安全等级信息中的第一安全等级是否为该网 关可以支持的安全等级,即虽然整个系统有其可以支持的安全等级,但对于每个网关也有 其本身可以支持的安全等级,网关支持的安全等级可以与系统可以支持的安全等级相同, 也可以是系统可以支持的安全等级的一部分,当判断结果为是时,进行S302,否则,进行 S303。在本发明实施例中为了减少协商安全等级的步骤,提高数据传输的效率,可以只进行一步的判断,即认为所有用户终端携带的安全等级都是合法的。S302:网关将该第一安全等级作为与用户终端协商确定的目标安全等级,将协商 完毕标识置为TRUE,网关将回复用户终端的基本能力信令发送到基站,其中该基本能力信 令中包含目标安全等级信息,及协商完毕标识信息。基站将该基本能力信令发送到终端。基站在向用户终端发送该基本能力信令前还包括基站接收到该基本能力信令 时,根据该协商完毕标识,确定用户终端与基站之间的目标安全等级协商完毕,保存该用户 终端的目标安全等级信息,及该用户的标识信息,例如该标识信息可以为该用户终端的MAC 地址等。S303:网关根据其兼容的安全等级,重新确定第二安全等级,将包含该第二安全等 级的信息,及协商完毕标识为FALSE的基本能力回复信令通过基站返回用户终端,然后用 户终端接收到该基本能力回复信令后,根据该协商完毕标识为FALSE的信息,向基站发送 包含第二安全等级信息的基本能力信令,其中,该基本能力信令中还包含协商完毕标识信 息,基站接收到该包含第二安全等级信息的基本能力信令,确定该用户终端与基站之间目 标安全等级的协商未完毕,将该包含第二安全等级信息的基本能力信令发送到网关,进行 S301。在本发明实施例中,终端与网络侧设备进行通信的基本能力信令,可以是R6信 令。在本发明实施例中,该基本能力信令中还可以包含认证方法信息,其中该认证方 法信息为WiMAX协议中网关和用户终端协商好的鉴权方法,规定了在后续鉴权过程中用户 采用哪种鉴权方法进行认证。图4为本发明实施例中网络侧设备和该用户终端根据该目标安全等级信息,及主 会话密钥,确定对传输数据加密的加密密钥,并采用该加密密钥对媒体数据加密传输的具 体实施过程,该过程包括以下步骤S401 网关下发认证信令,进行认证,当认证成功时,核心网下发MSK给网关和用
户终端。具体包括网关下发认证信令ΕΑΡ-Transfer进行鉴权过程;基站转发消息 给用户,用户终端发送ΕΑΡ-Transfer给基站,基站再转发给网关;验证、授权和记账 (Authentication、Authorization、Accounting, AAA)开始下发远端用拨入验证月艮务 (Remote Authentication Dial In User Service, Radius)消息给网关,网关将其转化为 可扩展鉴权协议(Extensible Authentication Protocol,ΕΑΡ)消息并发给基站,基站再次 转发给用户终端;如上过程反复执行,进行的是用户终端和AAA之间的鉴权过程,基站和网 关负责转发消息。AAA下发多条Radius消息。AGW下发多条EAP消息完成鉴权过程。AAA 在一条Radisu消息中携带MSK给网关和用户终端。S402 网关和用户终端根据核心网下发的MSK,以及协商确定的目标安全等级,计 算AK的长度。具体包括首先,网关和用户终端根据核心网下发的MSK,该用户终端的标识信 息,例如为用户终端的MAC地址信息,以及该基站的表示信息,例如为基站的ID,计算初始 认证密钥ΑΚ0。其中,该计算该初始认证密钥AKO的方法为现有技术,在这里就不一一赘述。然后,根据该计算的初始密钥ΑΚ0,以及协商确定的目标安全等级,确定AK的长
9度。S403 网关根据计算的AK长度信息,将具有该长度的AK的信息通知终端。S404:用户终端向基站发送加密密钥请求信息,基站根据接收到的具有该长度的 AK的信息计算出该TEK,并将该TEK发送给用户终端。其中具体包括根据具有该长度的AK的信息计算出TEK,即在计算TEK的过程中, 当基站获取的AK长度越长时,计算出的TEK长度越长,当基站获取的AK长度越短时,计算 出的TEK长度越短。由于该TEK的计算可以通过为随机函数实现,通过AK的长度可以确定一定长度的 TEK0例如可以在确定该TEK时,该AK的长度即为TEK的长度,或者,该AK的长度与TEK长
度具有倍数关系等。S405 用户终端根据获得该TEK对传输的媒体数据进行加密,并向基站传输。在本发明实施例中,当基站计算确定了 TEK后,在向终端发送该TEK的信息时,需 要根据AK的长度,计算出对TEK加密的密钥加密密钥(KEK),采用该KEK对该TEK信息加密 后发送到用户终端,用户终端接收到加密后的TEK信息后,根据计算的AK的长度,计算KEK, 根据计算的KEK对加密后的TEK信息进行解密,获取TEK信息,采用该TEK对与基站进行数 据的数据加密后并发送。在本发明实施例中,根据计算的初始密钥ΑΚ0,以及协商确定的目标安全等级,确 定AK长度的方法包括多种,主要针对安全等级设置的不同形式确定。并且AK的长度越长, 确定的加密密钥的长度也会越长,采用该加密密钥对媒体数据加密的保密性也比较好。例 如,该安全等级可以为不小于1的正整数,例如为1、2和3,可以根据安全等级对应的数值, 及ΑΚ0,确定AK的长度,进而确定加密密钥。安全等级划分的越多,则根据该安全等级确定 的加密密钥的精度越高,但同时也会使协商目标安全等级的工作量增加,因此,可以根据需 要灵活的划分安全等级,使其满足不同的需求。当安全等级的数值越大,由该安全等级确定的加密密钥长度越长,保密性越高时, 具体包括,例如,当安全等级为1、2和3时,其中,安全等级的数值越大,则安全该安全等级 确定的AK越长,因此由AK确定的加密密钥长度越长,保密性越高。在根据目标安全等级确定AK的长度时具体可以包括根据目标安全等级的数值, 与安全等级的数值最大值的比值,以及AKO计算AK的长度。例如,目标安全等级的数值为 2,安全等级的数值最大值为3,则两者的比值为2/3,则AK的长度为AKO的2/3。或者也可 以是,计算目标安全等级的数值与所有安全等级对应的数值的和的比值,根据该比值以及 AKO确定AK的长度。例如,当目标安全等级的数值为2,所有的安全等级对应的数值分别为 1、2和3,因此比值为2/(1+2+3),可知确定AK的长度为AKO的2/6。当然还有其他的确定 方法,在这里就不一一赘述。当安全等级的数值越小,由该安全等级确定的AK越长,则由该AK确定的加密密钥 长度越长,保密性越高时。具体包括确定AKO与目标安全等级对应的数值的比值,将该比 值对应的长度作为AK的长度,根据该长度的AK确定加密密钥。当然还有其他的确定方法, 在这里就不一一赘述。下面通过一个具体的实施例如图5所示,说明本发明实施例数据传输的过程,该 过程具体包括以下步骤
S501 用户终端向基站通过基本能力信令发送网络接入请求,其中,该基本能力信 令中包含用于确定加密密钥的第一安全等级信息,以及协商完毕标识信息。S502:基站接收该包含该第一安全等级信息的基本能力信令,提取其中的第一安 全等级信息,并暂存该用户终端的第一安全等级信息以及该用户终端的MAC地址信息。并 将该包含第一安全等级信息的基本能力信令发送到网关。S503:网关接收该包含第一安全等级信息的基本能力信令,获取其中的第一安全 等级信息,判断该第一安全等级信息中的第一安全等级是否与其可以支持的安全等级兼 容,即判断本网关是否可以为该用户终端提供对应的安全等级的服务,当判断为是时,进行 S504,否则,进行S506。在本发明实施例中为了减少协商安全等级的步骤,提高数据传输的效率,可以只 进行一步的判断,即认为所有用户终端携带的安全等级信息都是合法的。S504:网关将该第一安全等级信息中的第一安全等级,作为协商确定的目标安全 等级,通过基本能力信令向基站返回协商信息,其中该基本能力信令中携带协商确定的用 于确定加密密钥的目标安全等级信息,并且在该基本能力信令中携带协商完毕标识,该协 商完毕标识为TURE。S505:基站接收到该基本能力信令的协商信息,根据其中的协商完毕标识信息,确 定用户终端与网关安全等级协商完毕,保存该用户终端的目标安全等级信息以及MAC地址 信息;并将该基本能力信令的协商信息返回用户终端。S506:网关根据其可以支持的安全等级,重新确定第二安全等级,并将该第二安全 等级信息携带于基本能力信令中返回基站,其中该基本能力信令中还携带协商完毕标识, 该协商完毕标识为FALSE。S507:基站接收到该包含第二安全等级信息的基本能力信令的协商信息,根据其 中的协商完毕标识信息,及暂存的该用户终端的信息,确定用户终端与网关安全等级协商 未完毕,将该包含第二安全等级信息的基本能力信令返回用户终端。S508:用户终端接收该包含第二安全等级信息的基本能力信令,根据其中的协商 完毕标识信息以及第二安全等级信息,确定向基站发送包含第二安全等级信息的基本能力 信令的网络接入请求,其中,该基本能力信令中还包含协商完毕标识信息,其中该协商标识 为FALSE,或没有赋值,进行S502。S509 网关与用户终端目标安全等级协商完毕,网关下发认证信令,进行认证过 程,当认证成功时,核心网下发MSK。S510 网关和用户终端接收到该MSK,根据协商确定的目标安全等级,确定AK的长度。S511 网关根据确定的该AK长度,将该具有该长度的AK的信息通知基站。S512:该用户终端向基站发送加密密钥请求信息,基站接收到该加密密钥请求信 息,基站根据保存的该用户终端对应的AK长度信息,根据具有该长度的AK的信息计算TEK。S513 基站根据保存的该用户终端对应的AK长度信息,计算对该TEK加密的KEK, 并采用该KEK对该TEK信息加密后发送到用户终端。S514:用户终端接收到该加密后的TEK信息,根据计算的AK的长度计算KEK,采用 该KEK对该加密后的TEK信息进行解密,获取其中的TEK信息,并根据该TEK信息对该其与基站进行传输的媒体数据加密,并将加密后的媒体数据传输到基站。如图6所示,本发明实施例提供了一种WiMAX系统中的数据传输系统,所述系统包 括用户终端,用于向基站发送发送的加密密钥请求信息,根据所述基站发送的加密 密钥对数据加密后进行发送;基站,用于接收所述加密密钥请求信息,根据网关发送的认证密钥长度信息计算 加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级 信息,以及核心网下发的主会话密钥确定,将所述加密密钥发送到所述用户终端,指示所述 用户终端采用所述加密密钥对数据加密后进行发送。该系统还包括网关,用于与终端协商确定目标安全等级信息,并根据该目标安全等级信息计算 认证密钥的长度,将所述认证密钥长度信息发送到所述基站。如图7所示,本发明实施例提供了一种基站,该基站包括接收模块70,用于接收用户终端发送的加密密钥请求信息;计算模块71,用于根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认 证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的 主会话密钥确定;发送控制模块72,用于发送加密密钥,并指示所述用户终端采用所述加密密钥对 数据加密后进行发送。所述发送控制模块72包括计算单元720,用于根据所述认证密钥长度信息,获得对加密密钥信息加密的 KEK ;加密单元721,用于采用所述KEK,将所述加密密钥信息加密;发送单元722,用于发送加密后的所述加密密钥信息;控制单元723,用于指示所述用户终端采用该加密密钥对数据加密后的数据进行 发送。如图8所示,本发明实施例提供了一种用户终端,该用户终端包括发送模块80,用于向基站发送加密密钥请求信息;接收模块81,用于接收包含所述加密密钥的数据,并采用所述加密密钥对数据加 密后进行发送,其中,所述加密密钥根据认证密钥长度信息计算,所述认证密钥长度信息由 网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定。所述接收模块81包括接收单元810,用于接收加密后的加密密钥信息;计算单元811,用于根据与所述网关协商确定的目标安全等级信息,计算认证密钥 的长度,根据所述认证密钥的长度,计算为所述加密密钥信息加密的KEK ;解密单元812,用于根据所述KEK解密所述加密后的加密密钥信息,获取加密密 钥;传输单元813,用于采用所述加密密钥对数据加密后进行发送。所述发送模块80还用于,发送包含安全等级信息的基本能力信令。
12
所述接收模块81还用于,接收包含安全等级信息的基本能力信令。如图9所示,本发明实施例提供了一种网关,该网关包括接收模块90,用于接收用户终端发送的包含安全等级信息的基本能力信令;协商模块91,用于根据所述安全等级信息与所述用户终端协商,确定目标安全等 级信息;计算模块92,用于根据所述目标安全等级信息,计算认证密钥的长度;发送模块93,用于将所述认证密钥长度信息发送到基站。所述协商模块91包括判断单元910,用于判断所述第一安全等级信息中的第一安全等级,与所述网关支 持的安全等级是否兼容;第一协商单元911,用于确定所述第一安全等级,与所述网关支持的安全等级兼容 时,将所述第一安全等级信息作为目标安全等级信息;第二协商单元912,用于确定所述第一安全等级,与所述网关支持的安全等级不兼 容时,确定第二安全等级信息,并向所述用户终端返回包含所述第二安全等级信息的基本 能力信令,指示所述用户终端重新向所述网关发送包含所述第二安全等级信息的基本能力所述判断单元910还用于,判断第一安全等级信息中包含的第一安全等级是否合 法;所述第一协商单元911还用于,确定所述第一安全等级合法时,将所述第一安全 等级信息发送到判断单元进行兼容性的判断;所述第二协商单元912还用于,确定所述第一安全等级不合法时,向所述用户终 端返回重新接入信息。本发明实施例提供了一种WiMAX系统中的数据传输方法、系统及装置,该方法包 括基站接收到用户终端请求加密密钥的信息,根据网关发送的认证密钥长度信息计算加 密密钥,其中,该认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息, 以及核心网下发的主会话密钥确定,基站将该加密密钥发送到所述用户终端,指示所述用 户终端采用所述加密密钥与基站进行数据的传输,由于本发明实施例中,通过用户终端与 网关协商确定了不同的目标安全等级,从而确定了不同长度的加密密钥,因此对不同的用 户终端可以提供不同安全等级的数据服务,对用户进行了区分,有效地利用了现有的加密 资源,并且对传输的数据起到了较好的保护作用。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种WiMAX系统中的数据传输方法,其特征在于,包括基站接收用户终端发送的加密密钥请求信息;所述基站根据网关发送的认证密钥长度信息计算加密密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定;所述基站将所述加密密钥发送到所述用户终端,指示所述用户终端采用所述加密密钥对数据加密后进行发送。
2.如权利要求1所述的方法,其特征在于,所述网关与所述用户终端协商确定安全等 级信息包括所述网关接收用户终端发送的包含第一安全等级信息的基本能力信令,其中,所述第 一安全等级信息中包含确定加密密钥的第一安全等级;所述网关根据所述包含第一安全等级信息的基本能力信令与所述用户终端协商,确定 目标安全等级信息,其中,所述目标安全等级信息中包含确定加密密钥的目标安全等级; 所述网关向所述用户终端返回包含目标安全等级信息的基本能力信令。
3.如权利要求2所述的方法,其特征在于,所述网关根据所述包含第一安全等级信息 的基本能力信令与所述用户终端协商,确定目标安全等级信息包括所述网关判断所述第一安全等级与所述网关支持的安全等级是否兼容; 当所述网关判断所述第一安全等级与所述网关支持的安全等级兼容时,将所述第一安 全等级信息作为目标安全等级信息;否则,所述网关确定第二安全等级信息,根据所述第二安全等级信息与所述用户终端 协商确定目标安全等级信息。
4.如权利要求3所述的方法,其特征在于,所述网关判断所述第一安全等级与所述网 关支持的安全等级是否兼容之前所述方法进一步包括所述网关判断所述第一安全等级是否合法;当判断结果为是时,转入判断所述第一安全等级与所述网关支持的安全等级是否兼容 的步骤。
5.如权利要求1所述的方法,其特征在于,所述基站将所述加密密钥发送到所述用户 终端包括所述基站根据网关发送的认证密钥长度信息,获得对加密密钥信息加密的密钥加密密 钥KEK,采用所述KEK对所述加密密钥信息加密,将加密后的所述加密密钥信息发送到所述 用户终端。
6.如权利要求5所述的方法,其特征在于,所述用户终端采用所述加密密钥对数据加 密包括所述用户终端根据与所述网关协商确定的目标安全等级信息,计算认证密钥的长度; 根据所述认证密钥的长度,计算为所述加密密钥信息加密的KEK ; 根据计算的所述KEK解密所述加密后的所述加密密钥信息,获取加密密钥; 根据所述获取的加密密钥对与所述基站进行传输的数据加密。
7.—种WiMAX系统中的数据传输系统,其特征在于,所述系统包括用户终端,用于向基站发送发送的加密密钥请求信息,根据所述基站发送的加密密钥对数据加密后进行发送;基站,用于接收所述加密密钥请求信息,根据网关发送的认证密钥长度信息计算加密 密钥,其中,所述认证密钥长度信息由所述网关与所述用户终端协商确定的安全等级信息, 以及核心网下发的主会话密钥确定,将所述加密密钥发送到所述用户终端,指示所述用户 终端采用所述加密密钥对数据加密后进行发送。
8.如权利要求7所述的系统,其特征在于,所述系统还包括网关,用于与终端协商确定目标安全等级信息,并根据该目标安全等级信息计算认证 密钥的长度,将所述认证密钥长度信息发送到所述基站。
9.一种基站,其特征在于,所述基站包括接收模块,用于接收用户终端发送的加密密钥请求信息;计算模块,用于根据网关发送的认证密钥长度信息,计算加密密钥,其中,所述认证密 钥长度信息由所述网关与所述用户终端协商确定的安全等级信息,以及核心网下发的主会 话密钥确定;发送控制模块,用于发送加密密钥,并指示所述用户终端采用所述加密密钥对数据加 密后进行发送。
10.如权利要求9所述的基站,其特征在于,所述发送控制模块包括计算单元,用于根据所述认证密钥长度信息,获得对加密密钥信息加密的KEK ; 加密单元,用于采用所述KEK,将所述加密密钥信息加密; 发送单元,用于发送加密后的所述加密密钥信息;控制单元,用于指示所述用户终端采用该加密密钥对数据加密后进行发送。
11.一种用户终端,其特征在于,所述用户终端包括 发送模块,用于向基站发送加密密钥请求信息;接收模块,用于接收包含所述加密密钥的数据,并采用所述加密密钥对数据加密后进 行发送,其中,所述加密密钥根据认证密钥长度信息计算,所述认证密钥长度信息由网关与 所述用户终端协商确定的安全等级信息,以及核心网下发的主会话密钥确定。
12.如权利要求11所述的用户终端,其特征在于,所述接收模块包括 接收单元,用于接收加密后的加密密钥信息;计算单元,用于根据与所述网关协商确定的目标安全等级信息,计算认证密钥的长度, 根据所述认证密钥的长度,计算为所述加密密钥信息加密的KEK ;解密单元,用于根据所述KEK解密所述加密后的加密密钥信息,获取加密密钥; 传输单元,用于采用所述加密密钥对数据加密后进行发送。
13.如权利要求11所述的用户终端,其特征在于,所述发送模块还用于,发送包含安全 等级信息的基本能力信令。
14.如权利要求11所述的用户终端,其特征在于,所述接收模块还用于,接收包含安全 等级信息的基本能力信令。
15.一种网关,其特征在于,所述网关包括接收模块,用于接收用户终端发送的包含安全等级信息的基本能力信令;协商模块,用于根据所述安全等级信息与所述用户终端协商,确定目标安全等级信息;计算模块,用于根据所述目标安全等级信息,计算认证密钥的长度;发送模块,用于将所述认证密钥长度信息发送到基站。
16.如权利要求15所述的网关,其特征在于,所述协商模块包括判断单元,用于判断所述第一安全等级信息中的第一安全等级,与所述网关支持的安 全等级是否兼容;第一协商单元,用于确定所述第一安全等级,与所述网关支持的安全等级兼容时,将所 述第一安全等级信息作为目标安全等级信息;第二协商单元,用于确定所述第一安全等级,与所述网关支持的安全等级不兼容时, 确定第二安全等级信息,并向所述用户终端返回包含所述第二安全等级信息的基本能力信 令,指示所述用户终端重新向所述网关发送包含所述第二安全等级信息的基本能力信令。
17.如权利要求16所述的网关,其特征在于,所述判断单元还用于,判断第一安全等级 信息中包含的第一安全等级是否合法;所述第一协商单元还用于,确定所述第一安全等级合法时,将所述第一安全等级信息 发送到判断单元进行兼容性的判断;所述第二协商单元还用于,确定所述第一安全等级不合法时,向所述用户终端返回重 新接入信息。
全文摘要
本发明公开了一种WiMAX系统中的数据传输方法、系统及装置,用以解决现有技术中加密方式不智能,导致对传输的数据保护不充足,及造成的资源浪费问题。该方法基站接收到用户终端请求加密密钥的信息,根据网关发送的认证密钥长度信息计算TEK,该认证密钥长度信息由网关与用户终端协商确定的安全等级信息,及核心网下发的MSK确定,基站将该TEK发送到用户终端,指示用户终端采用该TEK对数据加密后进行发送。如本发明提出的方案,通过用户终端与网关协商确定了不同的目标安全等级,从而确定了不同长度的加密密钥,因此对不同的用户终端进行了区分,有效地利用了资源,并且对传输的数据起到了较好的保护作用。
文档编号H04W12/08GK101895882SQ200910203448
公开日2010年11月24日 申请日期2009年5月21日 优先权日2009年5月21日
发明者訾国伟 申请人:中兴通讯股份有限公司