数据的安全保护方法、网络侧实体和通信终端的制作方法

文档序号:7579130阅读:348来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:数据的安全保护方法、网络侧实体和通信终端的制作方法
技术领域
本发明涉及通信领域,尤其涉及一种数据的安全保护方法、网络侧实体和通信终端。
背景技术
机器对机器(Machine to Machine, M2M)通信也称为机器类通信(Machine Type Communication,MTC),是一种无需人为干预,机器和机器之间直接进行通信的技术。MTC具有设备数量巨大、移动性低以及单个设备通信流量小等特点,MTC设备与网络侧实体之间只建立信令面承载,并通过所述信令面承载将数据携带在控制信令中传输。在现有技术中,当MTC设备和网络侧实体通信结束以后,MTC设备和网络侧实体可能会将用于保护数据安全传输的安全上下文删除,使得在下一次MTC设备和网络侧实体通过控制信令传输数据时,可能由于没有安全上下文而无法对该数据进行安全保护,使得MTC 设备的数据无法安全传输。

发明内容
本发明的实施例提供一种数据的安全保护方法、网络侧实体和通信终端,能够保障数据的安全传输,提高通信的安全性。一方面,提供了一种数据的安全保护方法,应用在机器类通信中,包括如果与网络侧实体通信的通信终端具有小数据传输特性,所述网络侧实体保存与安全上下文相关的信息;所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文;所述网络侧实体采用所述当前的安全上下文对通信数据进行安全保护。另一方面,还提供了一种数据的安全保护方法,应用在机器类通信中,包括如果通信终端具有小数据传输特性,所述通信终端保存与安全上下文相关的信息;所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文;所述通信终端采用所述当前的安全上下文对通信数据进行安全保护。另一方面,还提供了一种网络侧实体,应用在机器类通信中,包括存储模块,用于如果与所述网络侧实体通信的通信终端具有小数据传输特性,保存与安全上下文相关的信息;第一获取模块,用于根据所述与安全上下文相关的信息获取当前的安全上下文;安全保护模块,用于采用所述当前的安全上下文对通信数据进行安全保护。另一方面,还提供了一种通信终端,应用在机器类通信中,包括存储模块,用于如果所述通信终端具有小数据传输特性,保存与安全上下文相关的信息;第一获取模块,用于根据所述与安全上下文相关的信息获取当前的安全上下文;安全保护模块,用于采用所述当前的安全上下文对通信数据进行安全保护。本发明实施例提供的数据的安全保护方法、网络侧实体和通信终端,如果通信终端具有小数据传输特性,则保存与安全上下文相关的信息,并根据所述与安全上下文相关的信息获取安全上下文,采用该安全上下文对通信数据进行安全保护,解决了现有技术对于小数据通信终端在通信结束后删除安全上下文,造成下次通信时通信数据无法得到安全保护的问题,本发明实施例提供的技术方案能够保障数据的安全传输,提高通信的安全性。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的数据的安全保护方法流程图;图2为本发明另一实施例提供的数据的安全保护方法时序图;图3为本发明又一实施例提供的数据的安全保护方法时序图;图4为本发明再一实施例提供的数据的安全保护方法时序图;图5为本发明实施例提供的数据的安全保护装置结构示意图一;图6为本发明实施例提供的数据的安全保护装置结构示意图二 ;图7为图5所示的发明实施例提供的数据的安全保护装置的存储模块结构示意图;图8为图5所示的发明实施例提供的数据的安全保护装置的第一获取模块结构示意图一;图9为图5所示的发明实施例提供的数据的安全保护装置的第一获取模块结构示
眉、——-ο
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。为了解决现有技术无法保证具有小数据传输特性的通信终端与网络进行数据传输的安全性的问题,本发明实施例提供一种数据的安全保护方法和装置。本发明实施例提供的数据的安全保护方法和装置,可以应用在如MTC等具有小数据传输特性的通信系统中,在本实施例及以下的实施例中,主要以应用在MTC中为例进行说明。如图1所示,本实施例提供的数据的安全保护方法包括步骤101,如果通信终端具有小数据传输特性,保存与安全上下文相关的信息。可选的,上述步骤的执行主体为网络侧实体时,本发明实施例提供的数据的安全保护方法可以在上一次通信结束时或者进行认证和密钥协商(Authentication and key agreement,AKA)时,向归属用户服务器(HomeSubscriber Server,HSS)查询所述通信终端的MTC特性信息;根据所述MTC特性信息确定通信终端是否具有小数据传输特性。
在本实施例中,与安全上下文相关的信息可以包括安全上下文,其中,所述安全上下文可以为上一次通信使用的安全上下文,也可以为预先设置的安全上下文,还可以为新生成的安全上下文;或者,算法、随机数(RAND)和认证标记(Authentication Token, AUTN);或者,算法和根密钥(Kasme)等,其中,算法可以为上一次通信使用的算法,也可以为预先设置的算法,Kasme可以为上一次通信使用的Kasme,也可以为预先设置的Kasme或者新生成的Kasme。当然,以上仅为举例,在实际的使用过程中,与安全上下文相关的信息还可以包括其他信息,此处不再一一赘述。可选的,如果上述步骤的执行主体为通信终端时,进一步地,如果与安全上下文相关的信息包括RAND和AUTN,步骤101可以包括接收网络侧实体发送的去附着请求 (detach request)消息或者去附着接受(detach accept)消息;从 detach request 消息或者detach accept消息中获取并保存RAND和AUTN。在实际的使用过程中,RAND和AUTN也可以通过上一次通信过程中的其他消息传递,此处不作一一赘述。如果与安全上下文相关的信息为安全上下文,或者,与安全上下文相关的信息包括算法以及Kasme等,步骤101中的保存与安全上下文相关的信息,可以是从本地获取与安全上下文相关的信息并进行保存。步骤102,根据所述与安全上下文相关的信息获取当前的安全上下文。步骤102可以是在上一次通信结束后,如所述上一次通信终端与网络侧实体去附着detach后执行的。在本实施例中,如果与安全上下文相关的信息为安全上下文,步骤102可以将该安全上下文作为本次通信的安全上下文,即当前的安全上下文;如果与安全上下文相关的信息包括算法、RAND和AUTN,步骤102具体可以包括根据该算法、RAND和AUTN进行认证,并生成Kasme,根据该Kasme,所述算法生成当前的安全上下文;如果与安全上下文相关的信息包括算法和Kasme,步骤102具体可以包括获取通信终端的Count值和通信终端生成的RAND其中,Count值为通信终端与网络侧实体进行快速认证的次数;根据所述RAND、Count值以及与安全上下文相关的信息包括的根密钥 Kasme,生成新的根密钥Kasme ;根据新的根密钥Kasme和与安全上下文相关的信息包括的算法生成当前的安全上下文。步骤103,采用当前的安全上下文对通信数据进行安全保护。可选地,为了保证安全上下文的安全性以及有效性,避免长期使用相同安全上下文对通信数据进行安全保护造成安全保护性能降低的问题,本发明实施例提供的数据的安全保护方法还可以包括获取通信终端的安全能力;根据通信终端的安全能力从算法优先级列表中选取本次通信所需的算法;采用该算法生成新的安全上下文。本发明实施例提供的数据的安全保护方法,如果通信终端具有小数据传输特性, 则保存与安全上下文相关的信息,根据所述与安全上下文相关的信息获取安全上下文,采用该安全上下文对通信数据进行安全保护,解决了现有技术对于小数据通信终端在通信结束后删除安全上下文,造成下次通信时通信数据无法得到安全保护的问题,本发明实施例提供的技术方案能够保障数据的安全传输,提高通信的安全性。
以上实施例提供的数据的安全保护方法既可以应用在用户侧设备上,也可以应用在网络侧实体设备上,实现对数据的安全保护。下面以应用在网络侧实体为例,阐述本发明实施例提供的安全保护方法,包括如果与网络侧实体通信的通信终端具有小数据传输特性,所述网络侧实体保存与安全上下文相关的信息;所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文;所述网络侧实体采用所述当前的安全上下文对通信数据进行安全保护。其中,所述网络侧实体保存与安全上下文相关的信息,具体可以包括上一次通信结束时,保存与所述安全上下文相关的信息;所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文,具体可以包括在本次通信开始时,所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文。在所述保存与安全上下文相关的信息之前,还可以包括所述网络侧实体向归属用户服务器HSS查询所述通信终端的机器类通信MTC特性 fn息;所述网络侧实体根据所述MTC特性信息确定通信终端是否具有小数据传输特性。其中,所述与安全上下文相关的信息可以包括安全上下文,或者,算法和认证向量AV,或者,算法和根密钥Kasme。相应的,所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文,可以包括所述网络侧实体根据所述与安全上下文相关的信息包括的算法以及所述AV中的 Kasme生成安全上下文;或所述网络侧实体将所述与安全上下文相关的信息包括的安全上下文作为所述当前的安全上下文;或所述网络侧实体接收所述通信终端生成的随机数;所述网络侧实体根据所述通信终端生成的随机数、所述网络侧实体保存的Count 值以及所述与安全上下文相关的信息中包括的根密钥Kasme,生成新的根密钥;所述网络侧实体根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文。为了与通信终端侧保持同步,上述方法,还可以包括网络侧实体向所述通信终端发送去附着请求消息或者去附着接受消息,所述去附着请求消息或者去附着接受消息包含所述认证向量AV中的随机数RAND和认证标记AUTN。为了与通信终端侧保持同步,上述方法,还可以包括所述网络侧实体接收所述通信终端发送的Count值,其中所述发送的Count值为所述通信终端与网络侧实体进行快速认证的次数;如果接收到的Count值和所述网络侧实体保存的Count值不一致,将所述网络侧实体保存的Count值发送给所述通信终端。上述方法还可以包括以下对通信终端的认证过程所述网络侧实体接收所述通信终端生成的随机数,所述通信终端发送的Count 值,以及所述通信终端发送的消息鉴权码MAC值;
所述网络侧实体根据所述通信终端生成的随机数、所述通信终端发送的Count值以及所述与安全上下文相关的信息中包括的算法和根密钥Kasme计算出消息鉴权码MAC 值;如果所述计算出的MAC值和通信终端发送的MAC值一致,则网络侧实体对所述通信终端认证成功。上述方法还可以包括以下步骤,以便于通信终端对网络侧实体进行认证所述网络侧实体接收所述通信终端生成的随机数;所述网络侧实体根据所述通信终端生成的随机数、所述网络侧实体保存的Count 值以及所述与安全上下文相关的信息中包括的根密钥Kasme,生成新的根密钥;所述网络侧实体根据所述新的根密钥和所述通信终端生成的随机数生成响应数 RES ;所述网络侧实体向所述通信终端发送所述生成的RES。下面以应用在通信终端为例,阐述本发明实施例提供的安全保护方法,包括如果通信终端具有小数据传输特性,所述通信终端保存与安全上下文相关的信息;所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文;所述通信终端采用所述当前的安全上下文对通信数据进行安全保护。其中,所述通信终端保存与安全上下文相关的信息,具体可以包括上一次通信结束时,所述通信终端保存与所述安全上下文相关的信息;所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文,具体可以包括在本次通信开始时,所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文。在所述保存与安全上下文相关的信息之前,还可以包括所述通信终端根据配置信息获取自身的MTC特性信息,确定所述通信终端是否具有小数据传输特性。其中,所述与安全上下文相关的信息可以包括安全上下文,或者,算法、随机数 RAND和认证标记AUTN,或者,算法和根密钥Kasme。相应的,所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文包括所述通信终端验证所述AUTN ;所述通信终端根据所述RAND和所述AUTN生成Kasme ;所述通信终端根据生成的Kasme及所述与安全上下文相关的信息中的算法生成所述当前的安全上下文;或所述通信终端将所述与安全上下文相关的信息中包括的安全上下文作为所述当前的安全上下文;或所述通信终端获取所述通信终端的Count值和所述通信终端生成的随机数,其中所述通信终端的Count值为所述通信终端与网络侧实体进行快速认证的次数;根据所述通信终端生成的随机数、所述通信终端的Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成新的根密钥;根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文。其中,当所述与安全上下文相关的信息为算法、随机数RAND和认证标记AUTN时, 所述通信终端保存与安全上下文相关的信息可以包括所述通信终端接收网络侧实体发送的去附着请求消息或者去附着接受消息;所述通信终端保存所述去附着请求消息或者去附着接受消息中的所述RAND和所述 AUTN。为了便于网络侧实体对所述通信终端的验证,在所述通信终端获取所述通信终端的Count值和所述通信终端生成的随机数之后还可以包括根据所述通信终端生成的随机数、所述通信终端的Count值以及所述与安全上下文相关的信息包括的根密钥Kasme计算出消息鉴权码MAC值;将所述MAC值发送给网络侧实体。为了保证通信终端与网络侧实体之间的同步,所述通信终端获取所述通信终端的 Count值和所述通信终端生成的随机数之后,在生成新的根密钥之前,还可以包括接收网络侧发送的网络侧实体保存的Count值;如果所述通信终端的Count值与网络侧实体保存的Count值不一致,则将所述通信终端的Count值更新为所述网络侧实体保存的Count值。在所述根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文前,还可以包括接收网络侧实体发送的RES ;根据所述新的根密钥和所述通信终端生成的随机数生成RES ;如果所述生成的RES和所述网络侧实体发送的RES —致,则所述通信终端对所述网络侧实体认证成功。为了使本领域技术人员能够更清楚地理解本发明实施例提供的技术方案,下面以在长期演进(Long Term Evolution, LTE)系统中,本发明实施例提供的数据的安全保护方法应用在MTC设备(即通信终端)和移动性管理实体(Mobility Management Entity,MME) (即网络侧实体)上为例进行说明。如图2所示,本发明另一实施例提供的数据的安全保护方法,包括步骤201,MME查询MTC设备的传输特性,如果MTC设备具有小数据传输特性,在上一次通信结束时,保存与安全上下文相关的信息,其中,与安全上下文相关的信息包括算法和认证向量(AuthenticationVector,AV),并将AV包括的RAND和AUTN发送给MTC设备。在本实施例中,MME保存的与安全上下文相关的信息可以包括算法、RAND和AUTN 等,其中,算法可以为上一次通信使用的算法也可以为预先设置的算法。在本实施例中,MME可以在上一次通信结束时,向归属用户服务器(Home Subscriber Server, HSS)查询MTC设备签约的MTC特性信息;MME也可以在MTC设备和网络侧实体进行AKA的过程中,向HS S查询MTC设备签约的MTC特性信息。MME可以将RAND 和AUTN通过detach request消息或者detach accept消息发送给MTC设备。步骤202,MTC设备从detach request消息或者detach accept消息获取RAND和 AUTN,如果MTC设备具有小数据传输特性,则MTC设备保存与安全上下文相关的信息。具体的,在上一次通信结束时,MTC设备根据配置信息获取自身的特性,如果MTC设备具有小数据传输特性,MTC设备保存上一次通信使用的安全上下文。当然,MTC设备也可以在上一次通信结束前获取自身特性。在本实施例中,MTC设备保存的与安全上下文相关的信息可以包括算法、RAND和 AUTN等,其中,算法可以为上一次通信使用的算法也可以为预先设置的算法。步骤203,在本次通信开始时,MTC设备根据步骤202中保存的与安全上下文相关的信息获取安全上下文。具体地,在本次通信开始时,MTC设备验证AUTN,并根据RAND和AUTN推衍Kasme, 根据该Kasme和算法计算非接入层(Non AccessStratum, NAS)密钥,生成安全上下文,并根据RAND计算响应数(Response,REQ,其中,NAS密钥包括NAS加密密钥和NAS完整性密钥, 为所述安全上下文的一部分,MTC设备侧的NAS Count (计数器)值置为初始值(如0)并开始启动。具体的,也可以根据推衍的Kasme、所述算法以及计数器非接入层NAS Count值生成安全上下文。步骤204,MTC设备向MME发送附着请求(attach request)消息,该attach request 消息包括RES 和消息鉴权码(Message AuthenticationCode, MAC)值。可选的, 当MTC设备需要进行上行数据传输时,采用安全上下文对上行数据进行加密,生成上行数据加密密文,也可以将该上行数据加密密文承载在所述attach request消息中。可选地, attachrequest消息还可以包括MTC设备的安全能力。步骤 205,MME 接收至Ij attach request 消息后,查找认证向量(Authentication Vector, AV),从AV中获取期待的响应数(ExpectedResponse, XRES),验证XRES是否与 attach request消息包括的RES相同,当相同时,根据所述与安全上下文相关的信息包括的算法以及所述AV中的Kasme生成安全上下文,具体的,可以根据算法以及AV中的Kasme 生成安全上下文,采用该安全上下文对attach request消息包括的MAC值进行检查,当检查通过时,采用安全上下文对attach request消息包括的上行数据加密密文进行解密,获取上行数据。可选地,如果attach request消息还包括MTC设备的安全能力,MME可以根据该 MTC设备的安全能力选择新的算法,并根据新选择的算法生成并激活新的NAS密钥。需要说明的是,如果MME不是MTC设备原始接入的MME,则MME需要向MTC设备原始接入的MME索要该MTC设备的AV和算法,然后对MAC和RES值进行检查;或者,MME将完整的attach request消息发送给MTC设备原始接入的MME检查MAC和RES值,如果MTC设备原始接入的MME对MAC和RES检查成功,则将MTC设备的AV发送给所述MME,由所述MME 根据选择的新的算法和Kasme计算新的NAS密钥。步骤206,当有下行数据需要传输时,MME采用步骤205获取的安全上下文对下行数据进行加密,生成下行数据加密密文,MME向MTC设备发送附着完成(attach complete) 消息,该attach complete消息包括下行数据加密密文和MAC。可选地,如果在步骤205中MME选择了新的算法,则attach complete消息还包括 新选择的算法。步骤207,MTC设备根据步骤203获取的安全上下文对attachcomplete消息包括的MAC值进行检查,当检查通过时,采用安全上下文对attach complete消息包括的下行数据加密密文进行解密,获取下行数据。
可选地,如果attach complete消息包括更新后的算法,则MTC设备根据该更新后的算法和Kasme生成新的NAS密钥,并生成新的安全上下文,采用新的安全上下文对attach complete消息包括的MAC值进行检查,当检查通过时,采用新的安全上下文对attach complete消息包括的下行数据加密密文进行解密,获取下行数据。可选地,为了保证MTC设备和MME均激活了新的安全上下文,还可以包括步骤208,MTC设备向MME发送Confirm消息,Confirm消息中包括采用更新后的安全上下文生成的MAC。需要说明的是,在本实施例中,Confirm消息可以为一条新的NAS消息,也可以为已存在的其他NAS消息,此处不做赘述。可选地,在本实施例中,当有上行数据需要传输时,Confirm消息也可以包括采用更新后的安全上下文加密的上行数据加密密文。本发明实施例提供的数据的安全保护方法,如果通信终端具有小数据传输特性, 保存与安全上下文相关的信息,根据所述与安全上下文相关的信息获取安全上下文,采用该安全上下文对通信数据进行安全保护,解决了现有技术对于小数据通信终端在通信结束后删除安全上下文,造成下次通信时通信数据无法得到安全保护的问题,本发明实施例提供的技术方案能够保障数据的安全传输,提高通信的安全性。如图3所示,本发明又一实施例提供的数据的安全保护方法,包括步骤301,MME查询MTC设备的MTC特性信息,如果MTC设备具有小数据传输特性, 在上一次通信结束时,MME保存上一次通信使用的安全上下文。在本实施例中,MME可以在上一次通信结束时,向HSS查询MTC设备签约的MTC特性信息;MME也可以在MTC设备和网络侧实体进行AKA的过程中,向HSS查询MTC设备签约的MTC特性信息,并将该MTC特性信息保存起来。步骤302,在上一次通信结束时,MTC设备根据配置信息获取自身的特性,如果MTC 设备具有小数据传输特性,MTC设备保存上一次通信使用的安全上下文。当然,MTC设备也可以在上一次通信结束前获取自身特性。步骤303,当MTC设备与MME之间需要进行数据传输时,MTC设备采用步骤302保存的安全上下文对上行数据进行加密,MME采用步骤301保存的安全上下文对下行数据进行加密。本发明实施例提供的数据的安全保护方法,如果通信终端具有小数据传输特性, 保存安全上下文,采用该安全上下文对通信数据进行安全保护,解决了现有技术对于小数据通信终端在通信结束后删除安全上下文,造成下次通信时通信数据无法得到安全保护的问题,本发明实施例提供的技术方案能够保障数据的安全传输,提高通信的安全性。如图4所示,本发明再一实施例还提供一种数据的安全保护方法,包括步骤401,MME查询MTC设备的MTC特性信息,如果MTC设备具有小数据传输特性, 在上一次通信结束时,保存与安全上下文相关的信息,其中,与安全上下文相关的信息包括算法和Kasme。在本实施例中,MME可以在上一次通信结束时,向HSS查询MTC设备签约的MTC特性信息;MME也可以在上一次通信结束前,例如MME也可以在MTC设备和网络侧实体进行 AKA的过程中,向HSS查询MTC设备签约的MTC特性信息,并将该MTC特性信息保存起来。
步骤402,在上一次通信结束时,MTC设备根据配置信息获取自身的特性,如果MTC 设备具有小数据传输特性,MTC设备保存与安全上下文相关的信息,其中,与安全上下文相关的信息包括算法和Kasme。当然,MTC设备也可以在上一次通信结束前获取自身特性。步骤403,MTC设备获取自身的Count值和MTC设备生成的随机数RAND,其中所述 MTC设备的Count值为MTC设备与网络侧实体MME进行快速认证的次数;根据所述通信终端生成的随机数、所述MTC设备的Count值以及所述与安全上下文相关的信息包括的算法和根密钥Kasme计算出消息鉴权码MAC值;其中,步骤403可以是在本次通信开始时执行的。其中,所述MTC设备的Count值为MTC设备进行快速认证的次数。可选地,当该 MTC设备的Count值到达预先设置的阈值时,MTC设备进行AKA,生成新的安全上下文。步骤404,MTC设备向MME发送MTC设备的Count值,MTC设备生成的RAND以及步骤403中计算出的MAC值。可选地,还可以发送MTC设备的安全能力。可选的,上述参数可 ^ililattach request ff|;|、/|ci^0步骤405,根据网络侧实体(如MME)保存的Count值,接收到的RAND值以及步骤 401中保存的算法和Kasme,生成安全上下文。可选的,在MME生成安全上下文之前,MME可以根据步骤401中保存的安全上下文相关的信息中的算法和Kasme检查接收到的所述MTC设备的MAC值;若检查通过(即认证成功),在生成安全上下文。具体的,检查接收到的所述MTC设备的MAC值具体为,MME根据所述MTC设备生成的随机数、所述MTC设备发送的Count值以及所述与安全上下文相关的信息中包括的算法和根密钥Kasme计算出消息鉴权码MAC值。如果所述计算出的MAC值和通信终端发送的MAC值一致,则网络侧实体对所述通信终端认证成功。具体地,MME根据所述接收到的Count值,RAND值以及步骤401中保存的Kasme生成本次通信所需的新的Kasme和RES,具体的,新的Kasme = KDF (Kasme, RAND,网络侧实体保存的Count值),新的RES = KDF (新的Kasme,RAND)。根据新的Kasme以及所述步骤401 中保存的算法生成安全上下文。其中,网络侧实体保存的Count值为MTC设备进行快速认证的次数。如果MME接收到的Count值和网络侧实体保存的Count值不一致,则将网络侧实体保存的Count值发送给MTC设备,以保证MTC设备和网络侧实体的Count值同步。可选的,该网络侧实体保存的Count值可以通过attach complete消息承载。可选地,MME还可以根据收到的MTC设备的安全能力选择新的算法,并根据该新选择的算法生成新NAS密钥。步骤406,MME向 MTC设备发送attach complete 消息,attach complete 消息包括 RES,并对该消息进行完整性保护,即可以在该消息中增加MAC值用于校验。可选的,当有下行数据需要传输时,MME采用步骤405生成的安全上下文对下行数据进行加密,生成下行数据加密密文,attach complete中还可以承载下行数据加密密文、可选地,attach complete 消息还可以包括网络侧实体保存的Count值和/或新选择的算法。需要说明的是,如果MME不是MTC设备原始接入的MME,则MME需要向MTC设备原始接入的MME索要该MTC设备的Kasme和MTC设备进行快速认证的Count值(网络侧实体保存),然后对MAC值进行检查;或者,MME将完整的attach request消息发送给MTC设备原始接入的MME检查MAC值,如果MTC设备原始接入的MME对MAC检查成功,则将MTC设备原始接入的MME将MTC设备的Kasme和MTC设备进行快速认证的Count值(网络侧实体保存)发送给所述MME,由所述MME计算新的Kasme和RES。步骤407,MTC设备根据MTC设备的Count值,RAND值以及步骤402中保存的Kasme 生成本次通信所需的新的Kasme和RES,具体的,新的Kasme = KDF (Kasme, RAND,所述MTC 设备的Count值),新的RES = KDF(新的Kasme,RAND);并根据新的Kasme以及所述步骤 402中保存的算法生成安全上下文。在MTC设备生成安全上下文之前,MTC设备还可以对网络侧实体进行认证,即对网络侧发送的RES进行检查,具体的,可以比较MTC设备生成的RES以及网络侧发送的RES是否一致,如果一致,则MTC设备对网络侧实体认证成功。认证成功后,MTC设备再根据新的 Kasme以及所述步骤402中保存的算法生成安全上下文。可选地,如果attach complete消息包括网络侧实体保存的Count值,MTC设备根据网络侧实体保存的Count值,RAND值以及步骤402中保存的Kasme生成本次通信所需的新的Kasme和RES,并根据新的Kasme以及所述步骤402中保存的算法生成安全上下文,其中,新的Kasme = KDF (Kasme, RAND,网络侧实体保存的Count),新的RES = KDF (新的Kasme, RAND)。根据生成的安全上下文对attach complete消息包括的MAC值进行检查,当检查通过时,采用安全上下文对attach complete消息包括的下行数据加密密文进行解密,获取下行数据。可选地,如果attach complete消息包括新选择的算法,MTC设备根据该新选择的算法生成新的NAS密钥,采用新的NAS密钥对attachcomp 1 ete消息包括的MAC值进行检查, 当检查通过时,采用新的NAS密钥对attach complete消息包括的下行数据加密密文进行解密,获取下行数据。可选地,为了保证MTC设备和MME均激活新的NAS密钥,还可以包括步骤408,MTC设备向MME发送Confirm消息,Confirm消息中包括采用更新后的安全上下文生成的MAC。需要说明的是,在本实施例中,Confirm消息可以为一条新的NAS消息,也可以为已存在的其他NAS消息,此处不做赘述。可选地,在本实施例中,当有上行数据需要传输时,Confirm消息也可以包括采用更新后的安全上下文加密的上行数据加密密文。本发明实施例提供的数据的安全保护方法,如果通信终端具有小数据传输特性, 保存与安全上下文相关的信息,根据所述与安全上下文相关的信息获取安全上下文,采用该安全上下文对通信数据进行安全保护,解决了现有技术对于小数据通信终端在通信结束后删除安全上下文,造成下次通信时通信数据无法得到安全保护的问题,本发明实施例提供的技术方案能够保障数据的安全传输,提高通信的安全性。其中,上述实施例中,网络侧实体或通信终端上一次通信结束时保存与安全上下文相关的信息,具体可以是网络侧实体或通信终端在最近一次网络侧与通信终端执行去附着操作时。可以是在去附着之前保存,去附着的同时保存,或去附着之后保存。具体的,例如MTC设备或网络侧实体在发起detach request之前保存与安全上下文相关的信息;或者 MTC设备或网络侧实体在收到detach acc印t之后保存与安全上下文相关的信息;或者MTC 设备或网络侧在在发起detach request之后或在收到detach acc印t之前保存与安全上下文相关的信息。其中,上述实施例中,网络侧实体或通信终端根据所述与安全上下文相关的信息获取当前的安全上下文,具体可以是在本次通信开始时执行,例如可以是在网络侧实体或通信终端处于去附着状态时或者发起附着请求之前或之后,或是认证成功后等。如图5所示,本发明实施例还提供一种数据的安全保护装置用于执行上述方法实施例中的步骤,包括存储模块501,用于如果通信终端具有小数据传输特性,保存与安全上下文相关的 fn息;第一获取模块502,用于根据存储模块501存储的与安全上下文相关的信息获取安全上下文;安全保护模块503,用于采用第一获取模块502获取的安全上下文对通信数据进行安全保护。进一步地,如图6所示,当该装置应用在网络侧实体时,本发明实施例提供的数据的安全保护装置还可以包括查询模块504,用于向HSS查询通信终端的MTC特性信息;确定模块505,用于根据查询模块504查询的MTC特性信息确定通信终端具有小数据传输特性。进一步地,当该装置应用在通信终端时,如图7所示,存储模块501可以包括接收子模块5011,用于如果与安全上下文相关的信息包括RAND和AUTN,接收网络侧实体发送的去附着请求消息或者去附着接受消息;存储子模块5012,用于从接收子模块5011接收的去附着请求消息或者去附着接受消息中获取并保存RAND和AUTN。进一步地,如图8所示,第一获取模块502可以包括第一获取子模块5021,用于如果与安全上下文相关的信息为上一次通信使用的安全上下文,将保存安全上下文作为当前的安全上下文。进一步地,如图9所示,第一获取模块502可以包括第一生成子模块5022,用于根据与安全上下文相关的信息包括的算法、RAND和 AUTN进行认证,并生成Kasme ;第二生成子模块5023,用于根据第一生成子模块5022生成的Kasme、算法以及计数器NAS Count值生成安全上下文,其中,所述Count值为初始值。进一步地,第一获取模块502还可以包括第二获取子模块,用于获取通信终端生成的RAND和Count值,其中,所述Count值为通信终端与网络侧实体进行快速认证的次数;第三生成子模块,用于根据第二获取子模块获取的RAND、所述Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成新的根密钥Kasme ;第四生成子模块,用于根据第三生成子模块生成的新的根密钥Kasme和所述与安全上下文相关的信息包括的算法生成安全上下文。进一步地,第一获取模块502还可以包括计算子模块,用于根据第二获取子模块获取的RAND、所述Count值以及所述与安全上下文相关的信息包括的根密钥Kasme计算出MAC值;
认证子模块,用于检查计算子模块计算出的MAC值和通信终端发送的MAC值是否一致,如果一致,则实现网络对通信终端的认证。进一步地,第一获取模块502还可以包括检查子模块,用于检查第二获取子模块获取的通信终端的Count值与网络侧实体保存的Count值是否一致;第三生成子模块,用于如果检查子模块的检查结果为不一致,根据第二获取子模块获取的RAND、所述网络侧实体保存的Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成新的根密钥Kasme。进一步地,第一获取模块502还可以包括发送子模块,用于如果检查子模块的检查结果为不一致,将网络侧实体保存的 Count值发送给通信终端。进一步地,第一获取模块502还可以包括第三获取子模块,用于获取网络侧实体保存的Count值;第三生成子模块,还用于根据第二获取子模块获取的RAND、第三获取子模块获取的网络侧实体保存的Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成新的根密钥Kasme。本发明的实施例还提供了一种网络侧实体,用于执行上述方法实施例中网络侧实体的相关方法步骤,包括存储模块,用于如果与所述网络侧实体通信的通信终端具有小数据传输特性,保存与安全上下文相关的信息;第一获取模块,用于根据所述与安全上下文相关的信息获取当前的安全上下文;安全保护模块,用于采用所述当前的安全上下文对通信数据进行安全保护。其中,所述存储模块,具体用于如果与所述网络侧实体通信的通信终端具有小数据传输特性,在上一次通信结束时,保存与安全上下文相关的信息;所述第一获取模块,具体用于本次通信开始时,根据所述与安全上下文相关的信息获取当前的安全上下文。所述存储模块,还可以包括查询模块,用于向HSS查询所述通信终端的MTC特性信息;确定模块,用于根据所述查询模块查询的MTC特性信息确定通信终端具有小数据传输特性。所述网络侧实体还可以包括发送模块,用于向所述通信终端发送去附着请求消息或者去附着接受消息,所述去附着请求消息或者去附着接受消息包含认证向量AV中的随机数RAND和认证标记AUTN。所述第一获取模块还可以包括第四获取子模块,用于根据所述与安全上下文相关的信息包括的算法以及AV中的Kasme生成安全上下文;或第一获取子模块,用于将所述与安全上下文相关的信息包括的安全上下文作为所述当前的安全上下文;或第二获取子模块,用于接收所述通信终端生成的随机数;第三生成子模块,用于根据所述通信终端生成的随机数、所述网络侧实体保存的Count值以及所述与安全上下文相关的信息中包括的根密钥Kasme,生成新的根密钥;以及第四生成子模块,用于根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文。所述网络侧实体,还可以包括第二获取子模块,用于接收所述通信终端发送的Count值,其中所述发送的Count 值为所述通信终端与网络侧实体进行快速认证的次数;发送子模块,用于如果接收到的Count值和所述网络侧实体保存的Count值不一致,将所述网络侧实体保存的Count值发送给所述通信终端。所述网络侧实体,还可以包括第二获取子模块,用于接收所述通信终端生成的随机数,所述通信终端发送的 Count值,以及所述通信终端发送的消息鉴权码MAC值;计算子模块,用于根据所述通信终端生成的随机数、所述通信终端发送的Count 值以及所述与安全上下文相关的信息中包括的算法和根密钥Kasme计算出消息鉴权码MAC 值;认证子模块,用于检查所述计算出的MAC值和通信终端发送的MAC值是否一致,如果一致,则确定网络侧实体对所述通信终端认证成功。所述网络侧实体,还可以包括第二获取子模块,用于接收所述通信终端生成的随机数;第三生成子模块,用于根据所述通信终端生成的随机数、所述网络侧实体保存的 Count值以及所述与安全上下文相关的信息中包括的根密钥Kasme,生成新的根密钥;RES生成模块,用于根据所述新的根密钥和所述通信终端生成的随机数生成响应数 RES ;RES发送模块,用于向所述通信终端发送所述生成的RES。本发明的实施例还提供了一种通信终端,用于执行上述方法实施例中通信终端的相关方法步骤,包括存储模块,用于如果所述通信终端具有小数据传输特性,保存与安全上下文相关的信息;第一获取模块,用于根据所述与安全上下文相关的信息获取当前的安全上下文;安全保护模块,用于采用所述当前的安全上下文对通信数据进行安全保护。其中,所述存储模块,具体用于如果所述通信终端具有小数据传输特性,在上一次通信结束时,保存与安全上下文相关的信息;所述第一获取模块,具体用于本次通信开始时,根据所述与安全上下文相关的信息获取当前的安全上下文。所述存储模块还可以包括确定模块,用于根据配置信息获取自身的MTC特性信息,确定所述通信终端是否具有小数据传输特性。所述第一获取模块,还可以包括接收子模块,用于接收网络侧实体发送的去附着请求消息或者去附着接受消息;存储子模块,用于保存所述去附着请求消息或者去附着接受消息中的RAND和 AUTN ;
第一生成子模块,用于验证所述AUTN,根据所述RAND和所述AUTN生成Kasme ;第三生成子模块,根据生成的Kasme及所述与安全上下文相关的信息中的算法生成所述当前的安全上下文;或第一获取子模块,用于将所述与安全上下文相关的信息包括的安全上下文作为所述当前的安全上下文;或第二获取子模块,用于获取所述通信终端的Count值和所述通信终端生成的随机数,其中所述通信终端的Count值为所述通信终端与网络侧实体进行快速认证的次数;第三生成子模块,用于根据所述第二获取子模块获取的随机数、所述Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成新的根密钥;以及第四生成子模块,用于根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文。所述的通信终端,还可以包括第二获取子模块,用于获取所述通信终端的Count值和所述通信终端生成的随机数,其中所述通信终端的Count值为所述通信终端与网络侧实体进行快速认证的次数;第三生成子模块,用于根据所述第二获取子模块获取的随机数、所述Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成消息鉴权码MAC值;发送子模块,用于将生成的MAC值发送给网络侧实体。所述的通信终端中,所述第二获取子模块,还可以用于接收网络侧发送的网络侧实体保存的Count值,如果所述通信终端的Count值与网络侧实体保存的Count值不一致, 则将所述通信终端的Count值更新为所述网络侧实体保存的Count值。所述的通信终端,还可以包括RES接收模块,用于接收网络侧实体发送的RES ;RES生成模块,用于根据所述第三生成子模块生成的所述新的根密钥和所述第二获取子模块获取的所述随机数生成RES ;RES认证模块,用于检查所述生成的RES和所述网络侧实体发送的RES是否一致, 如果一致,则确定所述通信终端对所述网络侧实体认证成功。需要说明的是,在实际的使用过程中,以上如图5至图9所示的本发明实施例提供的数据的安全保护装置划分的多个模块,也可以通过一个与所述多个模块具有类似功能的模块或者功能模块实现,此处不作赘述。本发明实施例提供的数据的安全保护装置的具体实现方法可以参见本发明实施例提供的数据的安全保护方法所述,此处不再赘述。本发明实施例提供的数据的安全保护装置,如果通信终端具有小数据传输特性, 保存与安全上下文相关的信息,根据所述与安全上下文相关的信息获取安全上下文,采用该安全上下文对通信数据进行安全保护,解决了现有技术对于小数据通信终端在通信结束后删除安全上下文,造成下次通信时通信数据无法得到安全保护的问题,本发明实施例提供的技术方案能够保障数据的安全传输,提高通信的安全性。结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。 以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
权利要求
1.一种数据的安全保护方法,应用在机器类通信中,其特征在于,包括如果与网络侧实体通信的通信终端具有小数据传输特性,所述网络侧实体保存与安全上下文相关的信息;所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文;所述网络侧实体采用所述当前的安全上下文对通信数据进行安全保护。
2.权利要求1所述的方法,其特征在于,在所述保存与安全上下文相关的信息之前,还包括所述网络侧实体向归属用户服务器HSS查询所述通信终端的机器类通信MTC特性信息;所述网络侧实体根据所述MTC特性信息确定通信终端是否具有小数据传输特性。
3.根据权利要求1所述的方法,其特征在于,所述与安全上下文相关的信息包括安全上下文,或者,算法和认证向量AV,或者,算法和根密钥Kasme。
4.根据权利要求3所述的方法,其特征在于,还包括网络侧实体向所述通信终端发送去附着请求消息或者去附着接受消息,所述去附着请求消息或者去附着接受消息包含所述认证向量AV中的随机数RAND和认证标记AUTN。
5.根据权利要求3所述的方法,其特征在于,所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文,包括所述网络侧实体根据所述与安全上下文相关的信息包括的算法以及所述AV中的 Kasme生成安全上下文。
6.根据权利要求3所述的方法,其特征在于,所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文包括所述网络侧实体将所述与安全上下文相关的信息包括的安全上下文作为所述当前的安全上下文。
7.根据权利要求3所述的方法,其特征在于,所述根据所述与安全上下文相关的信息获取当前的安全上下文,包括所述网络侧实体接收所述通信终端生成的随机数;所述网络侧实体根据所述通信终端生成的随机数、所述网络侧实体保存的Count值以及所述与安全上下文相关的信息中包括的根密钥Kasme,生成新的根密钥;所述网络侧实体根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文。
8.根据权利要求3所述的方法,其特征在于,还包括所述网络侧实体接收所述通信终端发送的Count值,其中所述发送的Count值为所述通信终端与网络侧实体进行快速认证的次数;如果接收到的Count值和所述网络侧实体保存的Count值不一致,将所述网络侧实体保存的Count值发送给所述通信终端。
9.根据权利要求3所述的方法,其特征在于,还包括所述网络侧实体接收所述通信终端生成的随机数,所述通信终端发送的Count值,以及所述通信终端发送的消息鉴权码MAC值;所述网络侧实体根据所述通信终端生成的随机数、所述通信终端发送的Count值以及所述与安全上下文相关的信息中包括的算法和根密钥Kasme计算出消息鉴权码MAC值;如果所述计算出的MAC值和通信终端发送的MAC值一致,则网络侧实体对所述通信终端认证成功。
10.根据权利要求3所述的方法,其特征在于,还包括 所述网络侧实体接收所述通信终端生成的随机数;所述网络侧实体根据所述通信终端生成的随机数、所述网络侧实体保存的Count值以及所述与安全上下文相关的信息中包括的根密钥Kasme,生成新的根密钥;所述网络侧实体根据所述新的根密钥和所述通信终端生成的随机数生成响应数RES ; 所述网络侧实体向所述通信终端发送所述生成的RES。
11.根据权利要求1至10任一项所述的方法,其特征在于,所述网络侧实体保存与安全上下文相关的信息,具体包括上一次通信结束时,保存与所述安全上下文相关的信息;所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文,具体包括在本次通信开始时,所述网络侧实体根据所述与安全上下文相关的信息获取当前的安全上下文。
12.—种数据的安全保护方法,应用在机器类通信中,其特征在于,包括如果通信终端具有小数据传输特性,所述通信终端保存与安全上下文相关的信息; 所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文; 所述通信终端采用所述当前的安全上下文对通信数据进行安全保护。
13.根据权利要求12所述的方法,其特征在于,在所述保存与安全上下文相关的信息之前,还包括所述通信终端根据配置信息获取自身的MTC特性信息,确定所述通信终端是否具有小数据传输特性。
14.根据权利要求12所述的方法,其特征在于,所述与安全上下文相关的信息包括 安全上下文,或者,算法、随机数RAND和认证标记AUTN,或者,算法和根密钥Kasme。
15.根据权利要求14所述的方法,其特征在于,所述通信终端保存与安全上下文相关的信息包括所述通信终端接收网络侧实体发送的去附着请求消息或者去附着接受消息; 所述通信终端保存所述去附着请求消息或者去附着接受消息中的所述RAND和所述 AUTN0
16.根据权利要求15所述的方法,其特征在于,所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文包括所述通信终端验证所述AUTN ;所述通信终端根据所述RAND和所述AUTN生成Kasme ;所述通信终端根据生成的Kasme及所述与安全上下文相关的信息中的算法生成所述当前的安全上下文。
17.根据权利要求14所述的方法,其特征在于,所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文包括所述通信终端将所述与安全上下文相关的信息中包括的安全上下文作为所述当前的安全上下文。
18.根据权利要求14所述的方法,其特征在于,所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文,包括所述通信终端获取所述通信终端的Count值和所述通信终端生成的随机数,其中所述通信终端的Count值为所述通信终端与网络侧实体进行快速认证的次数;根据所述通信终端生成的随机数、所述通信终端的Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成新的根密钥;根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文。
19.根据权利要求18所述的方法,其特征在于,所述通信终端获取所述通信终端的 Count值和所述通信终端生成的随机数之后还包括根据所述通信终端生成的随机数、所述通信终端的Count值以及所述与安全上下文相关的信息包括的根密钥Kasme计算出消息鉴权码MAC值; 将所述MAC值发送给网络侧实体。
20.根据权利要求18所述的方法,其特征在于,所述通信终端获取所述通信终端的 Count值和所述通信终端生成的随机数之后,在生成新的根密钥之前,还包括接收网络侧发送的网络侧实体保存的Count值;如果所述通信终端的Count值与网络侧实体保存的Count值不一致,则将所述通信终端的Count值更新为所述网络侧实体保存的Count值。
21.根据权利要求18所述的方法,其特征在于,在所述根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文前,还包括接收网络侧实体发送的RES ;根据所述新的根密钥和所述通信终端生成的随机数生成RES ; 如果所述生成的RES和所述网络侧实体发送的RES —致,则所述通信终端对所述网络侧实体认证成功。
22.根据权利要求13至21任一项所述的方法,其特征在于,所述通信终端保存与安全上下文相关的信息,具体包括上一次通信结束时,所述通信终端保存与所述安全上下文相关的信息;所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文,具体包括 在本次通信开始时,所述通信终端根据所述与安全上下文相关的信息获取当前的安全上下文。
23.一种网络侧实体,应用在机器类通信中,其特征在于,包括存储模块,用于如果与所述网络侧实体通信的通信终端具有小数据传输特性,保存与安全上下文相关的信息;第一获取模块,用于根据所述与安全上下文相关的信息获取当前的安全上下文; 安全保护模块,用于采用所述当前的安全上下文对通信数据进行安全保护。
24.根据权利要求23所述的网络侧实体,其特征在于,所述存储模块,还包括 查询模块,用于向HSS查询所述通信终端的MTC特性信息;确定模块,用于根据所述查询模块查询的MTC特性信息确定通信终端具有小数据传输特性。
25.根据权利要求23所述的网络侧实体,其特征在于还包括发送模块,用于向所述通信终端发送去附着请求消息或者去附着接受消息,所述去附着请求消息或者去附着接受消息包含认证向量AV中的随机数RAND和认证标记AUTN。
26.根据权利要求23所述的网络侧实体,其特征在于,所述第一获取模块包括第四获取子模块,用于根据所述与安全上下文相关的信息包括的算法以及AV中的 Kasme生成安全上下文; 或第一获取子模块,用于将所述与安全上下文相关的信息包括的安全上下文作为所述当前的安全上下文; 或第二获取子模块,用于接收所述通信终端生成的随机数;第三生成子模块,用于根据所述通信终端生成的随机数、所述网络侧实体保存的Count 值以及所述与安全上下文相关的信息中包括的根密钥Kasme,生成新的根密钥;以及第四生成子模块,用于根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文。
27.根据权利要求23所述的网络侧实体,其特征在于,还包括第二获取子模块,用于接收所述通信终端发送的Count值,其中所述发送的Count值为所述通信终端与网络侧实体进行快速认证的次数;发送子模块,用于如果接收到的Count值和所述网络侧实体保存的Count值不一致,将所述网络侧实体保存的Count值发送给所述通信终端。
28.根据权利要求23所述的网络侧实体,其特征在于,还包括第二获取子模块,用于接收所述通信终端生成的随机数,所述通信终端发送的Count 值,以及所述通信终端发送的消息鉴权码MAC值;计算子模块,用于根据所述通信终端生成的随机数、所述通信终端发送的Count值以及所述与安全上下文相关的信息中包括的算法和根密钥Kasme计算出消息鉴权码MAC值; 认证子模块,用于检查所述计算出的MAC值和通信终端发送的MAC值是否一致,如果一致,则确定网络侧实体对所述通信终端认证成功。
29.根据权利要求23所述的网络侧实体,其特征在于,还包括 第二获取子模块,用于接收所述通信终端生成的随机数;第三生成子模块,用于根据所述通信终端生成的随机数、所述网络侧实体保存的Count 值以及所述与安全上下文相关的信息中包括的根密钥Kasme,生成新的根密钥;RES生成模块,用于根据所述新的根密钥和所述通信终端生成的随机数生成响应数RES ;RES发送模块,用于向所述通信终端发送所述生成的RES。
30.一种通信终端,应用在机器类通信中,其特征在于,包括存储模块,用于如果所述通信终端具有小数据传输特性,保存与安全上下文相关的信息;第一获取模块,用于根据所述与安全上下文相关的信息获取当前的安全上下文; 安全保护模块,用于采用所述当前的安全上下文对通信数据进行安全保护。
31.根据权利要求30所述的通信终端,其特征在于,所述存储模块还包括确定模块,用于根据配置信息获取自身的MTC特性信息,确定所述通信终端是否具有小数据传输特性。
32.根据权利要求30所述的通信终端,其特征在于,所述第一获取模块,还包括 接收子模块,用于接收网络侧实体发送的去附着请求消息或者去附着接受消息; 存储子模块,用于保存所述去附着请求消息或者去附着接受消息中的RAND和AUTN ; 第一生成子模块,用于验证所述AUTN,根据所述RAND和所述AUTN生成Kasme ;第三生成子模块,根据生成的Kasme及所述与安全上下文相关的信息中的算法生成所述当前的安全上下文; 或第一获取子模块,用于将所述与安全上下文相关的信息包括的安全上下文作为所述当前的安全上下文; 或第二获取子模块,用于获取所述通信终端的Count值和所述通信终端生成的随机数, 其中所述通信终端的Count值为所述通信终端与网络侧实体进行快速认证的次数;第三生成子模块,用于根据所述第二获取子模块获取的随机数、所述Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成新的根密钥;第四生成子模块,用于根据所述新的根密钥和所述与安全上下文相关的信息包括的算法生成所述当前的安全上下文。
33.根据权利要求30所述的通信终端,其特征在于,还包括第二获取子模块,用于获取所述通信终端的Count值和所述通信终端生成的随机数, 其中所述通信终端的Count值为所述通信终端与网络侧实体进行快速认证的次数;第三生成子模块,用于根据所述第二获取子模块获取的随机数、所述Count值以及所述与安全上下文相关的信息包括的根密钥Kasme,生成消息鉴权码MAC值; 发送子模块,用于将生成的MAC值发送给网络侧实体。
34.根据权利要求32所述的通信终端,其特征在于所述第二获取子模块,还用于接收网络侧发送的网络侧实体保存的Count值,如果所述通信终端的Count值与网络侧实体保存的Count值不一致,则将所述通信终端的Count 值更新为所述网络侧实体保存的Count值。
35.根据权利要求32所述的通信终端,其特征在于,还包括 RES接收模块,用于接收网络侧实体发送的RES ;RES生成模块,用于根据所述第三生成子模块生成的所述新的根密钥和所述第二获取子模块获取的所述随机数生成RES ;RES认证模块,用于检查所述生成的RES和所述网络侧实体发送的RES是否一致,如果一致,则确定所述通信终端对所述网络侧实体认证成功。
全文摘要
本发明公开一种数据的安全保护方法和装置,涉及通信领域。以解决现有技术无法保证具有小数据传输特性的通信终端与网络进行数据传输的安全性的问题。如果通信终端具有小数据传输特性,保存与安全上下文相关的信息;根据所述与安全上下文相关的信息获取安全上下文;采用所述安全上下文对通信数据进行安全保护。本发明实施例可以应用在如MTC等具有小数据传输特性的通信系统中。
文档编号H04L29/06GK102594555SQ201110033569
公开日2012年7月18日 申请日期2011年1月30日 优先权日2011年1月17日
发明者张丽佳, 许怡娴, 陈璟 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张丽佳;许怡娴;陈璟
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
数据安全保护相关技术
数据安全保护制度相关技术
大数据安全保护相关技术
用户数据安全保护相关技术
网络安全保护等级相关技术
根据数据库生成实体类相关技术
数据库实体相关技术
idea数据库生成实体类相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2