专利名称:无线通信系统中减少数据完整性校验的开销的方法和装置的制作方法
技术领域:
本发明涉及无线通信系统中减少用于数据的完整性校验的开销的方法和装置。更 具体地,本发明涉及用于减少在使用基于密码的消息鉴权码(CMAC,Cipher-based Message Authentication Code)鉴权消息时由添加到每个控制消息的CMAC导致的开销、或者在根 据高级加密标准(AES)-具有CBC-MAC的CTR模式(CCM,CTR mode with CBC-MAC)加密介质 访问控制(MAC,Media Access Control)层协议数据单元(MPDU,MAC IayerProtocol Data Unit)时由添加到每个MPDU的完整性校验值(ICV,IntegrityCheck Value)导致的开销的 装置和方法。
背景技术:
无线通信系统对终端执行验证和鉴权规程以便安全地提供服务。针对终端的这样 的鉴权功能显现为服务的稳定性和网络的稳定性所需的基本要求。例如,基于电气和电子工程师协会(IEEE)802. 16的无线通信系统推荐了新的私 隐密钥管理版本2 (PKMv2,Privacy Key Management version 2)以便提供更强的鉴权架 构。PKMv2支持用于相互鉴权终端和基站的基于RivestShamir Adleman(RSA)的鉴权方 案、以及用于通过上层鉴权协议执行终端的鉴权的基于可扩展鉴权协议(EAP,Extensible Authentication Protocol)的鉴权方案。PKMv2通过这些鉴权方案的各种组合来执行终端、 基站、和用户的鉴权。此外,当在基于IEEE 802. 16的无线通信系统中完成终端与基站之间的相互鉴权 后,将消息鉴权码(MAC,Message Authentication Code)用于在终端与基站之间交换的 控制消息的鉴权。在产生业务加密密钥(TEK,TrafficEncryption Key)后,使用TEK在 AES-CCM模式下加密MAC协议数据单元(MPDU)。当在基站或终端处产生消息时,在基站处 添加并且在终端处解密MAC,或者在终端处添加并且在基站处解密MAC,以便验证消息没有 被不同的基站或终端改变。图1图示根据传统技术的将MAC添加到控制消息的格式。可以或者使用基于密码 的消息鉴权码(CMAC)或者使用密钥散列消息鉴权码(HMAC)作为MAC。下面描述产生CMAC 并且将其添加到控制消息的情况。参照图1,当产生控制消息时,基站或终端产生CMAC 110,将其添加到控制消息 100的末尾部分,并且将已添加有CMAC 110的控制消息100发送到终端或基站。当接收包 括CMAC 110的控制消息100时,接收端的终端或基站以与发送端的基站或终端相同的方式 产生CMAC,并通过将所产生的CMAC与接收的控制消息的CMAC进行比较来执行控制消息的 完整性校验。如IEEE 802. 16标准中所述,基于公式(1)产生CMAC,CMAC = Truncate(AES-MAC(CMAC_KEY_*,AKID|CMAC_PN_*|STID|FID|24-bit zero padding|MAC_control_Message),64)CMAC_KEY_U|CMAC_KEY_D = Dot 16KDF(CMAC-TEK prekey, "CMAC_KEYS",256)AKID = Dot 16KDF (AK,ObOOOO | PMKSN | AMSID*or MS MAC address) BS ID|‘‘AKID,,,64)CMAC-TEK prekey = Dotl6KDF(AK, AK_C0UNT|“ CMAC-TEKprekey",160)AMSID* = Dot 16KDF(MS MAC address|80-bit zero padding, N0NCE_AMS, 48)............(1)通过如等式(1)中选择作为AES-CMAC (参照 IETF RFC 4493 或 IEEEP802. 16m/D7) 的结果值的128比特的低64比特(=8字节)来产生CMAC。这里,CMAC_KEY_*是从鉴权密钥(AK)产生的用于上行链路/下行链路的CMAC_ KEY, CMAC_PN_*是每当发送控制消息就增加1的值,并且是用于上行链路/下行链路的分 组编号计数器值。STID是分配给相关终端的标识符,BSID是相关基站的标识符,FID (Flow ID,流ID)是分配给相关终端的连接的标识符,MAC_Control_Message是待发送的控制消息 内容,而N0NCE_AMS是在网络进入期间由AMS产生的随机数。虽然在图1中示范性地描述 CMAC产生用于消息鉴权,但是也可以使用HMAC作为控制消息。图2图示根据传统技术的将完整性校验值添加到MPDU的格式。参照图2,当产生包括MAC首标200和明文(plaintext)有效载荷210的MPDU时, 基于AES-CCM方案将L-字节的明文有效负荷210加密为加密的明文有效载荷211,将分组 编号(PN,Packet Number) 202添加到加密的明文有效载荷211的前端部分,并将8-字节完 整性校验值(ICV)添加到加密的明文有效载荷211的后端部分,使得形成加密的MPDU。因 此,加密的MPDU包括MAC首标200、PN 202、加密的明文有效载荷211、和完整性校验值220。 因此,当接收加密的MPDU,接收端解码加密的MPDU,并接着确定ICV 220是否有效以检验 MPDU的完整性。使用TEK、MAC首标、PN、和明文有效载荷作为输入,根据AES-CCM方案产生8-字节 ICV 220。如上所述,针对控制消息和MPDU的完整性校验,添加8字节(即,64比特)的开 销。该开销与控制消息的数目或MPDU的数目成比例地增长。这可以成为恶化系统性能的因素。因此,需要无线通信系统中用于控制信息和MPDU的鉴权开销(即,用于完整性校 验的开销)的替代方式来减少其尺寸。
发明内容
为了应对现有技术的上述缺陷,本发明的主要方面是解决上述问题和/或缺点中 的至少一个和/或提供下面描述的优点中的至少一个或多个。大体上,在实施例中,本发明在于提供用于减少被添加到在(无线)电信系统中发 送的消息的、用于完整性校验的鉴权开销的尺寸的方法和装置。这样的开销可以包括诸如 MAC或ICV的完整性校验参数。因此,在实施例中,本发明的一个方面是提供在无线通信系统中减少用于校验控 制消息的完整性的MAC的尺寸的方法和装置。在另一实施例中,本发明的另一个方面是提供在无线通信系统中减少用于校验 MPDU的完整性的ICV的尺寸的方法和装置。在另一实施例中,本发明的另一方面是提供用于在解码根据AES-CCM方案加密的MPDU失败时确定失败是由于TEK的不一致还是由于ICV的无效性以处理MPDU的方法和装置。根据本发明的一个方面,如权利要求1所述,提供一种在无线通信系统中减少用 于完整性校验的信息的开销的方法。根据本发明的另一方面,如权利要求13所述,提供一种在无线通信系统中减少用 于完整性校验的信息的开销的装置。根据本发明的另一方面,提供一种在无线通信系统中减少用于控制消息的基于密 码的消息鉴权码(CMAC)的开销的方法。该方法包括当接收控制消息时,将用于该控制消 息的第一成对主密钥(PMK,Pair-wise MasterKey)序号(SN,Sequence Number)与第二 PMK SN相比较以确定该控制消息是否有效;校验包括在该控制消息中的CMAC是否有效;当 CMAC无效时,计数包括无效CMAC的控制消息的产生的频率;以及当包括无效CMAC的控制 消息的产生的频率大于预定阈值时,更新AK。根据本发明的另一方面,提供一种在无线通信系统中减少用于介质访问控制 (MAC)协议数据单元(MPDU)的完整性校验的开销的方法。该方法包括当接收MPDU时,将 用于该MPDU的第一业务加密密钥(TEK)的加密密钥序列(EKS,Encryption Key Sequence) 与第二 TEK的EKS相比较以确定该MPDU是否有效;确定包括在该MPDU中的完整性校验值 (ICV)是否有效;当ICV无效时,计数包括无效ICV的MPDU的产生的频率;以及当包括无效 ICV的MPDU的产生的频率大于预定阈值时,更新TEK。在提出下面的具体实施方式
之前,阐述在本专利文件中使用的某些词和短语的定 义可能是有益的术语“包括”和“包含”以及其派生词表示没有限制的包括;术语“或”是 包括性的,表示和/或;短语“与.· ·关联”和“与其关联”以及其派生词可以表示包括、包 括在...内、与...互联、包含、包含在...内、连接到或与...连接、耦接到或与...耦接、 与...通信、与...协作、交织、并置、与...接近、绑定到或与...绑定、具有、具有...的 性质等;而术语“控制器”表示控制至少一个操作的任何设备、系统或其一部分,这样的设备 可以以硬件、固件或软件、或者它们中的至少两者的某种组合实现。应当注意,与任何特定 控制器关联的功能可以集中或在本地或远程分布。本专利文件全文提供了某些词和短语的 定义,本领域普通技术人员应当理解,在许多(即便不是大多数)情况下,这样的定义应用 于这样定义的词和短语的现有以及未来的使用。
当结合附图时,根据下面的详细描述,本发明的上述和其他目的、特征和优点将变 得更明显,其中图1图示根据传统技术的将MAC添加到控制消息的格式;图2图示根据传统技术的将完整性校验值添加到MPDU的格式;图3是根据本发明的示范性实施例的减少无线通信系统中用于控制消息的完整 性校验的开销的流程图;图4是根据本发明的示范性实施例的减少无线通信系统中用于基于AES-CCM加密 的MPDU的完整性校验的开销的流程图;图5是图示根据本发明的示范性实施例的当基站从相关终端接收控制消息时用于更新加密密钥(PMK和AK)的信号流的视图;图6图示根据本发明的示范性实施例的当终端从基站接收控制消息时用于更新 加密密钥(PMK和AK)的信号流;图7图示根据本发明的示范性实施例的当基站从相关终端接收MPDU时用于更新 加密密钥(TEK)的信号流;图8图示根据本发明的示范性实施例的当基站从相关终端接收MPDU时用于更新 加密密钥(TEK)的信号流;以及图9是图示在无线通信系统中减少用于数据的完整性校验的开销的装置的框图。
具体实施例方式下面讨论的图3至图9、以及本专利文件中用于描述本公开的原理的各种实施例 仅仅作为例示,而不应该被以任何方式解读为限制本公开的范围。本领域的普通技术人员 不难理解,可以在任何适当地安排的通信系统中实现本公开的原理。下面将参照附图描述本发明的优选实施例。以下描述中,将省略公知的功能或构 造的具体描述,因为它们将以不必要的细节使本发明变得模糊。并且,根据本发明的功能定 义这里使用的术语。从而,术语可以依赖于用户或运营商的意图或实践而变化。因此,应该 基于这里作出的描述来理解这里使用的术语。本发明的示范性实施例提供减少无线通信系统中用于数据完整性的开销的方法 和装置。更具体地,本发明的示范性实施例提供用于计数无效控制消息和MPDU的产生的频 率、以及当产生的频率超过预定频率时新产生AK或TEK以减少用于完整性校验的开销的方 法和装置。图3是根据本发明的示范性实施例的在无线通信系统中减少用于控制消息的完 整性校验的开销的流程图。参照图3,在步骤300,基站将用于计数从终端接收的控制消息的完整性的 Inval id_CMAC计数器初始化为0。在步骤302,基站从终端接收包括用于控制消息的完整性校验的CMAC的控制消 息。由终端例如如公式(1)中使用 CMAC_KEY、AKID、CMAC_PN、STID、FID、MAC_Control_ Message信息中的至少一个来产生CMAC。在传统技术中,CMAC具有64比特(8字节)的尺 寸,但是在本发明的示范性实施例中,使用32比特(4字节)。在步骤304,基站从包括在所接收的控制消息中的数据导出PMK SN,其由终端用于 产生被添加到控制消息的CMAC。同样在步骤304,基站提取被添加到控制消息的CMAC。从 成对主密钥导出AK。在步骤306,基站将由终端用来产生被添加到控制消息的CMAC的PMKSN与在相互 鉴权规程期间协商的PMK SN相比较,以校验控制消息或AK的有效性。当在步骤306中控制消息无效时,在步骤308中,基站丢弃该控制消息,并等待下 一个控制消息或重传的控制消息。此外,在另外的实施例中,基站可以使用包含在控制消息 中的CMAC来校验从终端接收的控制消息的有效性。反之,当接收的控制消息有效时,也就是,当在步骤306中从接收的控制消息导出 的、并由终端用来产生被添加到控制消息的CMAC的PMK SN有效时,基站校验被添加到从终端接收的控制消息的CMAC的有效性。换句话说,接着,基站通过校验被添加到从终端接收 的控制信息的CMAC是否与由基站产生的CMAC相同,来校验从相关终端接收的控制消息的 完整性。该后一个CMAC由基站使用与之前由终端执行的相同的计算基于接收的控制消息 的内容而产生。当在步骤310被添加到从终端接收的控制消息的CMAC与由基站产生的CMAC相同 从而有效时,在步骤312中,基站正常地、也就是根据现有技术来处理接收的控制消息并等 待下一个控制消息。相反,根据本发明的实施例,当在步骤310包括在从终端接收的控制消息中的 CMAC与由基站产生的CMAC不相同从而无效时,在步骤314中,基站通过将InValid_CMAC计 数器增加1来计数无效CMAC的产生的频率,并丢弃接收的控制消息。当在步骤316中增加的IrwalicLCMAC计数器小于预定阀值时,基站保持当前使用 的AK,并等待下一个控制消息或将被重传的控制消息。当在步骤316中增加的InvalicLCMAC计数器大于预定阀值时,在步骤318中基站 更新用于产生CMAC的AK。参照图5和图6进行详细的描述。取决于实施例,可以更新从其 导出AK的PMK。在步骤320中,每当更新了 AK,基站就将Invalid_CMAC计数器重置为0。如上所述,本发明的示范性实施例使用作为比传统技术小的开销的4字节的CMAC 值,但是计数无效消息通过完整性校验的产生频率,并依赖于其结果(例如,当产生频率大 于或等于212)而更新用于产生CMAC的密钥(AK或PMK),使得可以满足所要求的无效消息 通过完整性校验的最大2_2°的概率。S卩,当所要求的风险(也就是无效消息通过完整性校 验的概率)是2_2°、且无效消息通过完整性校验的产生频率大于或等于212时,根据美国国家 标准技术研究院(NIST)标准,CMAC的尺寸可以大于或等于log (阈值/风险),使得可以仅 仅使用32比特也就是4字节的CMAC来维持所要求的安全等级。相反,传统技术不计数无效消息通过完整性校验的产生频率。虽然图3图示了基站从终端接收控制消息的情况,但是前面的描述可以应用于其 中终端从基站接收控制消息、以及其中终端执行如图3所示的动作的情况。图4是根据本发明的示范性实施例的在无线通信系统中减少用于基于AES-CCM加 密的MPDU的完整性校验的开销的流程图。AES是由NIST取代作为数据加密标准(DES)的 下一代国际标准码的序列开放(sequence-open)型对称密钥加密方案,。参照图4,在步骤400中,基站将用于计数使用AES-CCM加密并从终端接收的MPDU 的完整性的IrwalicLTEK计数器初始化为0。在步骤402,基站从终端接收包括用于完整性校验的ICV的MPDU。该ICV由终端 使用TEK、MAC首标、PN、和明文有效载荷中的至少一个在CCM模式下产生。在步骤404中,基站从自终端接收的MPDU中提取由终端用于产生ICV的TEK、以及 该 ICV。当在步骤406中基站针对用于加密的TEK来校验EKS、并且EKS无效时,在步骤 408中基站允许终端与TEK同步,并丢弃所接收的MPDU。为了与TEK同步,基站将InvalicL TEK消息发送给终端,并且已接收InvalicLTEK消息的终端与基站执行密钥协商以与基站 的TEK同步。参照图7和图8来描述TEK的同步规程。
相反,当在步骤406中EKS有效时,在步骤410中基站解码从相关终端接收的MPDU 以校验ICV。基站以与终端所使用的相同的方式来从接收的MPDU中的数据中产生新的ICV。基 站通过比较从MPDU接收的ICV与所产生的新的ICV,来校验所接收的ICV是否有效。当所接收的ICV与所产生的ICV相等时,所接收的ICV有效,并且在步骤412中基 站正常地处理MPDU。相反,当ICV无效时,在步骤414中,基站通过将Invalid_TEK计数器 增加1来计数无效ICV的产生频率,并丢弃所接收的MPDU。当在步骤416中增加的IrwalicLTEK计数器小于预定阈值时,基站维持当前使用 的TEK,并等待下一个MPDU或将被重传的MPDU。当在步骤416中增加的InvalicLTEK计数器大于预定阈值时,在步骤418中基站 更新新的TEK。这里,由基站首先更新TEK。现在描述在基站从终端接收MPDU的环境中的TEK更新规程。当InValid_TEK计 数器大于或等于预定阈值时,基站丢弃现有的下行链路加密密钥TEK_D,并利用上行链路加 密密钥TEK_U取代现有的下行链路加密密钥TEK_D(TEK_D := TEK_U)。此外,基站使用公式 (2)来产生新的加密密钥TEK,并利用新的加密密钥取代上行链路加密密钥(TEK_U :=新的 TEK)TEKi = Dotl6KDF (CMAC-TEK prekey, SAID | C0UNTER_TEK = i | "TEK", 128)____(2)这里,CMAC-TEKprekey = Dot 16KDF (AK,AK_C0UNT | 〃 CMAC-TEKprekey “,160)这里,TEK从CMAC-TEK prekey产生,其是从AK导出,并具有与AK相同的生存期。此外,每当产生新的TEK,就将计数器C0UNTER_TEK增加1。安全关联ID(SAID)是 TEK对应的SA的标识符。终端和基站具有两个TEK 当终端执行加密时,使用上行链路加密 密钥TEK_U,而当基站执行加密时,使用下行链路加密密钥TEK_D。在解码期间,当发送器执 行解密时,使用TEK (TEK_U和TEK_D中的一个)。此外,为了加速TEK更新规程,基站向终端发送通知TEK无效的消息。此时,在实施例中,由于基站继续使用具有较高暴露风险的TEK_U或TEK_D,其意 味着某些攻击者可以通过窃听获得TEK以减少暴露的风险,在终端在TEK更新规程期间识 别TEK更新结束后,基站再执行一次TEK更新规程,使得基站丢弃具有暴露风险的TEK_D,并 产生新的TEK以使得TEK_U和TEK_D 二者免于暴露风险。此外,基站可以基于密钥协定(agreement)过程或重鉴权过程来执行TEK更新规程。接着,基站将密钥协定MSG#1消息发送到终端以执行密钥协定过程。通过密钥协 定过程更新诸如PMK和AK的上层加密密钥,使得引起TEK更新。此时,由于TEK_U和TEK_ D是在TEK更新处理中从之前的上层加密密钥(例如AK)产生的密钥,所以基站使用TEK_U 作为TEK_D,并产生将代替TEK_U使用的第一新TEK。当终端识别TEK更新结束时,基站再一 次丢弃TEK_D,使用现在作为第一新TEK的TEK_U作为TEK_D,并产生将代替TEK_U使用的 第二新TEK。接着再一次,基站用当前的TEK_U取代当前的TEK_D,例如使TEK_D等于第二 新TEK。通过如此操作,基站通过两次应用TEK更新过程来丢弃具有较高暴露风险的TEK。换句话说,在第一 TEK更新过程期间,用第一 TEK_U来取代第一 TEK_D而成为第二TEK_D,丢弃之前的第一 TEK_D,产生第一新TEK并设置为第二 TEK_U。在这之后,在第二 TEK更新过程期间,丢弃第二 TEK_D并以第二 TEK_U取代,而且产生第二新TEK并设置为第
三TEK_U。同时,在重鉴权过程期间,基站将ΕΑΡ-Transfer消息发送给终端以允许终端执行 网络重鉴权过程。在重鉴权过程结束后,基站通过执行密钥协定过程来两次应用TEK更新 过程而丢弃具有暴露风险的TEK。现在,描述在终端从基站接收MPDU的环境中的TEK更新过程。当InValid_TEK计 数器等于或大于预定阈值时,终端发送IrwalidjEK消息以通知基站该结果。当InvalicL TEK计数器等于或大于预定阈值时,基站丢弃现有的下行链路加密密钥TEK_D,并用上行链 路加密密钥TEK_U取代现有的下行链路加密密钥TEK_D (TEK_D = TEK_U)。此外,基站使用 公式(2)来产生新的加密密钥TEK并用新的加密密钥取代上行链路加密密钥(TEK_U: =新 的TEK)。此外,每当产生新的TEK,就将计数器C0UNTER_TEK增加1。在这之后,当识别出从基站接收的MPDU是使用终端持有的TEK_U加密时,终端将 密钥请求(包括SAID)消息发送给基站,并且基站将密钥答复消息(包括SAID、PMK、SN、 C0UNTER_TEK)发送到终端。此外,当更新C0UNTER_TEK时,终端更新TEK。也就是,终端丢 弃现有的TEK_D并用TEK_U取代现有的TEK_D (TEK_D = TEK_U)。此外,终端通过使用如上 所示的公式(2)来产生新的TEK。而且,当产生新的TEK时,将C0UNTER_TEK增加1。在步骤420中,每当更新TEK,基站就将Invalid_TEK计数器重置为0。如上所述,本发明的示范性实施例使用作为比传统技术小的开销的4字节的ICV, 但是计数无效MPDU通过完整性校验的产生频率,并依赖于其结果(例如,当产生频率大于 或等于212时)而更新用于产生ICV的TEK,使得满足无效MPDU通过完整性校验的概率2_2°。 也就是,当所要求的风险是2_2°、且无效MPDU通过完整性校验的产生频率大于或等于212时, 根据NIST标准,ICV的尺寸可以大于或等于log(阈值/风险),使得可以仅仅使用32比特 也就是4字节的ICV来维持所要求的安全等级。相反,传统技术不计数无效MPDU通过完整性校验的产生频率。虽然图4图示了基站从相关终端接收MPDU的情况,但是上面的描述可以应用于其 中终端从相关基站接收MPDU、以及其中终端执行如图4所示的动作的情况。图5图示根据本发明的示范性实施例的当基站从相关终端接收控制消息时、用于 更新加密密钥(PMK和AK)的信号流。当在步骤500中InvalicLCMAC计数器的频率变得等于或大于预定频率时,基站将 密钥_协定MSG#1消息发送给终端以更新新的加密密钥(PMK和AK)。当在步骤510中接收密钥_协定MSG#1消息时,终端将密钥_协定MSG#2消息发
送给基站。在步骤520中,响应于密钥_协定MSG#2,基站将密钥_协定MSG#3消息发送给相 关终端。因此,终端和基站借助通过密钥_协定消息交换必要的信息来更新AK或PMK,在 它们之间共享新的加密密钥(PMK和AK)。这些密钥_协定_消息用于确认新密钥(PMK和 AK)的有效性。在成功的密钥协定之后,可以将新的密钥应用于其他控制消息和MPDU。图6图示根据本发明的示范性实施例的当终端从基站接收控制消息时、用于更新加密密钥(PMK和AK)的信号流。当在步骤600中IrwalicLCMAC计数器的频率变得等于或大于预定的频率时,终端 将通知该事件的无效CMAC消息发送给基站。当在步骤610中接收无效CMAC消息时,基站将密钥_协定MSG#1消息发送给相关 终端以便更新新的加密密钥(PMK和AK)。当在步骤620中接收密钥_协定MSG#1消息时,终端将密钥_协定MSG#2消息发
送给基站。在步骤630中,响应于密钥_协定MSG#2,基站将密钥_协定MSG#3消息发送给相 关终端。因此,相关终端和基站借助通过密钥_协定消息交换必要的信息来更新AK或PMK, 在它们之间共享新的加密密钥(PMK和AK)。这些密钥_协定_消息用于确认新密钥(PMK 和AK)的有效性。在成功的密钥协定之后,可以将新的密钥应用于其他控制消息和MPDU。图7图示根据本发明的示范性实施例的当基站从终端接收MPDU时、用于更新加密 密钥(TEK)的信号流。参照图7,当在步骤700中EKS无效时,基站将无效TEK消息发送给终端。在步骤710中,接收了无效TEK消息的终端将TEK-REQ消息发送给基站。在步骤720中,响应于TEK-REQ消息,基站将TEK-RSP消息发送给终端。因此,相关终端和基站通过共享用于产生TEK的信息,来在它们之间使用相同的 TEK,因为TEK-REQ通知其关联的SA,而且其响应TEK-RSP回答EKS、PMK SN,iP COUNTER, TEK,其由ABS关于TEK-REQ中通知的SA维持。图8图示根据本发明的示范性实施例的当基站从相关终端接收MPDU时、用于更新 加密密钥(TEK)的信号流。参照图8,当在步骤800中EKS无效时,终端将TEK-REQ消息发送给基站。在步骤810中,响应于TEK-REQ消息,基站将TEK-REP消息发送给终端。因此,终端和基站通过共享用于产生TEK的信息,来在它们之间使用相同的TEK, 因为TEK-REQ通知其关联的SA,而且其响应TEK-RSP回答EKS、PMK SNjP C0UNTER_TEK,其 由ABS关于TEK-REQ中通知的SA维持。图9是图示在无线通信系统中减少用于数据的完整性校验的开销的装置(基站或 终端)的框图。根据终端的操作来描述框图。参照图9,终端包括双工器900、接收器910、数据 处理器920、消息鉴权器930、控制器940、数据产生器950、和发送器960。根据双工方案,双工器900经由天线发送由发送器960提供的发送信号,并将来自 天线的接收信号提供给接收器910。例如,在使用时分双工(TDD)方案的情况下,双工器900 在发送时段期间经由天线发送由发送器960提供的发送信号,并在接收时段期间将来自天 线的接收信号提供给接收器910。接收器910将由双工器900提供的射频(RF)信号转换为基带信号,并解调和解码 基带信号。例如,接收器910包括RF处理块、解调块、和信道解码块。RF处理块将经由天线 接收的RF信号转换为基带信号。解调块通过执行快速傅里叶变换(FFT)将由RF处理块提 供的信号转换成频域中的信号。信道解码块可以包括解调器、解交织器、和信道解码器。
此时,接收器910使用所分配的终端标识符来接收信号。此外,接收器910将通过 解调和解码校验的控制信息提供给控制器940,并将数据提供给数据处理器920。数据处理器920从接收器910接收的数据中检测分组。在这之后,数据处理器920 使用所检测的分组的首标信息来确定该分组是否是控制消息以及该分组是否被加密。当分组包括控制消息时,数据处理器920从相关分组提取控制消息,并将其发送 给消息鉴权器930。当分组被加密时,数据处理器920将相关分组发送给解码器922。解码器922使用 由数据处理器920提供的分组的EKS和ICV来确定相关分组的有效性。当EKS无效时,控 制器940产生KEY_REQ消息并将其与鉴权信息一起经由消息鉴权器930发送到基站,并且 从基站接收响应于KEY-REQ消息的KEY-RSP消息以接收与当前由基站使用的TEK有关的信 肩、ο并且,当分组的ICV无效时,解码器922计数InvalicLTEK计数器的数目。当 InvalicLTEK计数器达到预定数目时,控制器940产生无效TEK消息,并将其与鉴权信息一 起经由消息鉴权器930发送给基站,使得基站更新TEK。当分组有效时,解码器922解码相 关分组以处理该分组。消息鉴权器930确定由数据处理器920提供的控制消息是否有效。此时,当用于产 生CMAC的AKID有效时,消息鉴权器930确定CMAC是否有效。当确定CMAC值无效时,消息 鉴权器930计数InvalicLCMAC计数器的数目。当Irwalid_CMAC计数器达到预定数目时,控 制器940产生无效CMAC消息并将其同鉴权信息一起经由消息鉴权器930发送给基站。基 站通过密钥协定规程来发送密钥_协定MSG#1以更新加密密钥(也就是PMK和AK)。将其 中CMAC有效的控制消息发送给控制器940。并且,当从控制器940接收要求消息鉴权的控制信息时,消息鉴权器930将CMAC 添加到控制信息以将其发送给数据产生器950。此时,消息鉴权器930使用利用通过EAP获 取的目标基站的信息产生的AK来产生CMAC。数据产生器950产生和输出包括由消息鉴权器930提供的控制信息的分组。例如, 数据产生器950产生包括添加有由消息鉴权器930提供的CMAC的无效CMAC消息、以及无 效TEK消息的分组。发送器960将由数据产生器950提供的数据和由控制器940提供的控制信息转换 为RF信号以将其发送给双工器900。例如,发送器960包括信道编码块、调制块、和RF处 理块。信道编码块包括信道编码器、交织器、和调制器。调制块通过执行快速傅里叶逆变换 (IFFT)来将由调制器提供的信号转换为时域中的信号。RF处理块将由调制块提供的基带 信号转换为RF信号以将其传递给双工器900。在上述示范性实施例中,独立地配置控制器940和消息鉴权器930。在另一示范性 实施例中,可以在一个模块中配置控制器940和消息鉴权器930。通常,如图9所示的功能 块仅仅指代所解释的功能。本领域普通技术人员不难理解,它们可以在更少或更多的块中 实现,并且可以以与图9所示不同的方式在软件中和/或在硬件中组织。根据基站的操作来描述框图。参照图9,基站包括双工器900、接收器910、数据处 理器920、消息鉴权器930、控制器940、数据产生器950、和发送器960。根据双工方案,双工器900经由天线发送由发送器960提供的发送信号,并将来自天线的接收信号提供给接收器910。例如,在使用时分双工(TDD)方案的情况下,双工器900 在发送时段期间经由天线发送由发送器960提供的发送信号,并在接收时段期间将来自天 线的接收信号提供给接收器910。接收器910将由双工器900提供的射频(RF)信号转换为基带信号,并解调和解码 基带信号。例如,接收器910包括RF处理块、解调块、和信道解码块。RF处理块将经由天线 接收的RF信号转换为基带信号。解调块通过执行快速傅里叶变换(FFT)来将由RF处理块 提供的信号转换成频域中的信号。信道解码块可以包括解调器、解交织器、和信道解码器。此时,接收器910使用所使用的移动站标识符来接收相关移动站的信号。此外,接 收器910将通过解调和解码校验的控制信息提供给控制器940,并将数据提供给数据处理 器 920。数据处理器920从接收器910接收的数据中检测分组。在这之后,数据处理器920 使用所检测的分组的首标信息来确定分组是否是控制消息以及分组是否被加密。当分组包括控制消息时,数据处理器920从相关分组提取控制消息,并将其发送 给消息鉴权器930。当分组被加密时,数据处理器920将相关分组发送给解码器922。解码器922使用 由数据处理器920提供的分组的EKS和ICV来确定相关分组的有效性。当EKS无效时,控 制器940产生KEY_REQ挑战消息,并将其与鉴权信息一起经由消息鉴权器930发送给终端, 并且从终端接收响应于KEY-REQ挑战消息的KEY-REQ消息,以通过响应于KEY-REQ消息的 KEY-RSP消息向终端发送与当前使用的TEK有关的信息。并且,当分组的ICV无效时,解码器922计数InValid_TEK计数器的数目。当 InvalicLTEK计数器达到预定的数目时,控制器940更新TEK。相反,当分组有效时,解码器 922解码相关分组以处理该分组。消息鉴权器930确定由数据处理器920提供的控制消息是否有效。此时,当用于产 生CMAC的AKID有效时,消息鉴权器930确定CMAC是否有效。当确定CMAC值无效时,消息 鉴权器930计数InvalicLCMAC计数器的数目。当InValid_CMAC计数器达到预定数目时, 消息鉴权器930通过控制器940产生密钥协定MSG#1消息,并将其与鉴权信息一起经由消 息鉴权器930发送给终端,并通过密钥协定规程来更新加密密钥(也就是PMK和AK)。将其 中CMAC有效的控制消息发送给控制器940。并且,当从控制器940接收要求消息鉴权的控制信息时,消息鉴权器930将CMAC 添加到控制信息以将其发送给数据产生器950。此时,消息鉴权器930使用AK来产生CMAC, 该AK是利用通过EAP获取的基站的信息产生的。数据产生器950产生和输出包括由消息鉴权器930提供的控制信息的分组。例如, 数据发生器950产生包括添加有由消息鉴权器930提供的CMAC的密钥_协定MSG#1的分组。发送器960将由数据产生器950提供的数据和由控制器940提供的控制信息转换 为RF信号以将其发送给双工器900。例如,发送器960包括信道编码块、调制块、和RF处 理块。信道编码块包括信道编码器、交织器、和调制器。调制块通过执行快速傅里叶逆变换 (IFFT)来将由调制器提供的信号转换为时域中的信号。RF处理块将由调制块提供的基带 信号转换为RF信号以将其传递给双工器900。
在上述示范性实施例中,独立地配置控制器940和消息鉴权器930。在另一示范性 实施例中,可以在一个模块中配置控制器940和消息鉴权器930。通常,如图9所示的功能 块仅仅指代所解释的功能。本领域普通技术人员不难理解,它们可以在更少或更多的块中 实现,并且可以以与图9所示不同的方式在软件中和/或在硬件中组织。虽然已经参照其示范性实施例展示和描述了本发明,但是本领域的普通技术人员 不难理解,可以在其中在形式和细节上作出各种改变而不脱离由所附权利要求书及其等效 物限定的本发明的精神和范围。因此,本发明的范围不应限于上述实施例,而应该不仅通过 所附的权利要求书还通过其技术等效物来确定。如上所述,无线通信系统针对控制消息或MPDU来执行完整性校验,然后计数无效 的产生的数量,即,完整性错误发生的频率,并在这样的产生的数量达到安全危险等级之前 改变AK或加密密钥TEK,使得即使当使用比传统技术小的CMAC/HMAC或ICV时,仍可以维持 预定的安全等级。本领域的普通技术人员显然可知,对于其他类型的控制信息或MPDU,可以 使用除CMAC/HMAC或ICV以外的其他完整性校验参数。
权利要求
一种无线通信系统中减少用于完整性校验的包括完整性校验参数的信息的开销的方法,所述方法包括当接收(402)消息时,将添加到所述消息的第一完整性校验参数与从所述消息中的数据导出的第二完整性校验参数相比较(410)以检测所述消息的完整性错误;当所述消息中存在完整性错误时,计数(414)完整性错误的发生的频率;以及当完整性错误的发生的频率大于阈值时,执行(418)密钥更新规程以更新用于确定所述第一和第二完整性校验参数的多个加密密钥(TEK)。
2.如权利要求1所述的方法,其中所述多个密钥包括鉴权密钥AK和业务加密密钥TEK 中的一个。
3.如权利要求1或2所述的方法,其中所述消息包括控制消息和介质访问控制MAC协 议数据单元MPDU中的一个。
4.如权利要求1至3中任一项所述的方法,其中所述完整性校验参数包括基于密码的 消息鉴权码CMAC、密钥散列消息鉴权码HMAC、和基于高级加密标准-具有CBC-MAC的计数 器AES-CCM的完整性校验值ICV中的一个。
5.如权利要求1至4中任一项所述的方法,还包括当更新所述密钥时,将完整性错误 的发生的频率重置为0。
6.如权利要求1至5中任一项所述的方法,还包括当所接收的消息中存在完整性错 误时,丢弃所接收的消息。
7.如权利要求1至6中任一项所述的方法,还包括使用已更新的密钥来接收下一消息。
8.如权利要求1至7中任一项所述的方法,其中执行所述密钥更新规程包括当基站 从终端接收所述消息时,执行以下的动作组中的一个a)包括下列动作的动作组-在所述基站处丢弃第一下行链路加密密钥(TEK_D),并用第一上行链路加密密钥 (TEK_U)取代第一下行链路加密密钥(TEK_D);-在所述基站处用新的加密密钥取代第一上行链路加密密钥(TEK_U);以及 -在所述基站处向所述终端发送(700)指示加密密钥无效的消息,或者b)包括下列动作的动作组_在所述基站处丢弃第一下行链路加密密钥(TEK_D),并用第一上行链路加密密钥 (TEK_U)取代第一下行链路加密密钥(TEK_D)以变为第二下行链路加密密钥(TEK_D);-在所述基站处用第一新加密密钥取代第一上行链路加密密钥(TEK_U)以变为第二上 行链路加密密钥(TEK_U);_在所述基站处丢弃第二下行链路加密密钥(TEK_D),并用第二上行链路加密密钥 (TEK_U)取代第二下行链路加密密钥(TEK_D);以及-在所述基站处用第二新加密密钥取代第二上行链路加密密钥(TEK_U)。
9.根据权利要求1至7中任一项所述的方法,其中执行所述密钥更新规程包括当终 端从基站接收所述消息时,执行以下的动作组中的一个a)包括下列动作的动作组-在所述终端处向所述基站发送(800)指示加密密钥无效的消息; -在所述基站处丢弃第一下行链路加密密钥(TEK_D),并用第一上行链路加密密钥(TEK_U)取代第一下行链路加密密钥(TEK_D);-在所述基站处用新的加密密钥取代第一上行链路加密密钥(TEK_U),或者 b)包括下列动作的动作组-在所述终端处向所述基站发送(800)指示加密密钥无效的消息; _在所述基站处丢弃第一下行链路加密密钥(TEK_D),并用第一上行链路加密密钥 (TEK_U)取代第一下行链路加密密钥(TEK_D)以变为第二下行链路加密密钥(TEK_D);-在所述基站处用第一新加密密钥取代第一上行链路加密密钥(TEK_U)以变为第二上 行链路加密密钥(TEK_U);-在所述基站处丢弃第二下行链路加密密钥,并用第二上行链路加密密钥(TEK_U)取 代所述第二下行链路加密密钥;以及-在所述基站处用第二新加密密钥取代第二上行链路加密密钥(TEK_U)。
10.如权利要求1至9中任一项所述的方法,还包括 确定用于同步所述密钥的加密密钥序列EKS是否有效;当所述EKS无效时,在基站处向终端发送(700) TEKJnvalid消息;当所述终端接收所述TEKjnvalid消息时,向所述基站发送(710)TEK_RequeSt消息;以及当接收所述TEK_RequeSt消息时,在所述基站处向终端发送(720)TEK_ri3ply消息。
11.如权利要求1至10中任一项所述的方法,其中基于密钥协定算法来更新所述密钥。
12.如权利要求1至12中任一项所述的方法,还包括 确定所述密钥是否有效;以及当所述密钥无效时,丢弃所述消息。
13.一种在无线通信系统中减少用于完整性校验的信息的开销的装置,所述装置是终 端或者基站,并被安排为执行权利要求1至7、或10至12中任一项所限定的任何方法动作。
14.一种至少包括基站和终端的通信系统,所述基站和所述终端都被安排为权利要求 13中所要求的所述装置,而且所述系统被安排为执行权利要求8或9中所要求的所述方法。
全文摘要
提供一种无线通信系统中减少用于数据的完整性校验的开销的方法和装置。无线通信系统中减少用于完整性校验的信息的开销的该方法中,当接收消息时,将第一完整性校验参数与第二完整性校验参数相比较以检测消息的完整性错误。当消息中存在完整性错误时,计数完整性错误的发生的频率。当完整性错误的发生的频率大于阈值时,执行密钥更新规程。因此,可以在无线通信系统中减少用于完整性校验的信息的开销。
文档编号H04W12/04GK101998393SQ201010260368
公开日2011年3月30日 申请日期2010年8月20日 优先权日2009年8月20日
发明者孙仲济, 李知彻, 白令教 申请人:三星电子株式会社