建立安全上下文的方法、装置及系统与流程
本发明涉及通信领域,尤其涉及一种建立安全上下文的方法、装置及系统。
背景技术:
长期演进hi架构(longtermevolutionhi,ltehi)是为面向固定、低速场景而设计的一套依托于现有移动通信技术的网络架构。在ltehi架构中,用户设备(userequipment,ue)初始与基站建立主载波小区连接(primarycarriercell,pcc),连接到核心网。当网络流量负荷增大到运营商设置的限值时,基站通过高层信令为ue配置次载波小区连接(secondarycarriercell,scc),ue通过接入节点连接到核心网。ppc上可以传输用户面数据和控制面数据,而scc上只能传输用户面数据。基站可以根据服务质量(qualityofservice,qos)需求、运营商策略等将不同的ue业务分层进行传输。例如将对服务质量要求较高的语音或视频业务放在pcc上传输,将短信等低附加值业务放在scc上传输。对于pcc上的uu口,通过加密和完整性保护的方式对uu口上传输的用户面数据和/或控制面数据进行上下文的安全性保护。
虽然pcc上的uu口存在安全性保护,但scc上的uu’口没有安全性保护,无法保证在uu’口上传输的用户面数据的传输安全。
技术实现要素:
本发明的实施例提供一种建立安全上下文的方法、装置及系统,能够对ue数据进行全面的安全保护。
一方面,本发明实施例提供了一种建立安全上下文的方法,包括:
获取接入节点的加密算法;
获取根密钥,根据所述根密钥和所述加密算法推演所述接入节点的加密密钥;
将所述加密密钥以及所述加密算法发送给所述接入节点,以便所述接入节点启动下行加密和上行解密;
将所述接入节点的加密算法发送给所述ue,以便与所述ue协商加密算法;
通知所述接入节点启动下行加密和上行解密,并在算法协商过程中通知所述ue启动下行解密和上行加密。
另一方面,本发明实施例还提供了一种建立安全上下文的方法,包括:
接收基站发送的加密密钥;
获取加密算法;
根据所述加密密钥和所述加密算法启动下行加密和上行解密。
另一方面,本发明实施例还提供了一种建立安全上下文的方法,包括:
将根密钥发送给所述接入节点,所述根密钥用于所述接入节点推演所述接入节点使用的加密密钥;
获取所述接入节点使用的加密算法,所述加密算法为所述接入节点根据自身的安全能力、安全策略以及所述ue的安全能力选择的加密算法;
将所述接入节点的加密算法发送给所述ue,以便与所述ue协商加密算法;
通知所述接入节点启动下行加密和上行解密,并在算法协商过程中通知所述ue启动下行解密和上行加密。
另一方面,本发明实施例还提供了一种建立安全上下文的方法,包括:
接收所述基站发送的根密钥;
根据自身的安全能力、安全策略以及所述ue的安全能力选择加密算法;
根据所述根密钥以及所述加密算法推演加密密钥;
将所述加密算法发送给所述基站,以便所述基站与所述ue协商加密算法;
根据所述基站的启动指示启动下行加密和上行解密。
另一方面,本发明实施例还提供了一种建立安全上下文的方法,包括:
接收基站发送的接入节点的加密算法,由此完成与所述基站的算法协商;
根据根密钥以及所述加密算法推演所述ue的加密密钥,所述根密钥为所述ue与网络认证后推演得出的;
在推演出所述ue的加密密钥以后,启动下行解密以及上行加密。
另一方面,本发明实施例还提供了一种基站,包括:
获取器,用于获取接入节点的加密算法;
所述获取器用于获取根密钥;
处理器,与所述获取器相连,用于根据所述获取器获取的所述根密钥和所述加密算法推演所述接入节点的加密密钥;
发送器,与所述处理器和所述获取器相连,用于将所述处理器推演的加密密钥以及所述获取器获取的所述加密算法发送给所述接入节点,以便所述接入节点启动下行加密和上行解密;
所述发送器用于将所述获取器获取的加密算法发送给所述ue,以便与所述ue协商加密算法;
通知器,用于通知所述接入节点启动下行加密和上行解密,并在算法协商过程中通知所述ue启动下行解密和上行加密。
另一方面,本发明实施例还提供了一种接入节点,包括:
接收器,用于接收基站发送的加密密钥;
获取器,用于获取加密算法;
处理器,与所述接收器和所述获取器相连,用于根据所述接收器接收的所述加密密钥和所述获取器获取的加密算法启动下行加密和上行解密。
另一方面,本发明实施例还提供了一种基站,包括:
发送器,用于将根密钥发送给所述接入节点,所述根密钥用于所述接入节点推演所述接入节点使用的加密密钥;
获取器,用于获取所述接入节点使用的加密算法,所述加密算法为所述接入节点根据自身的安全能力、安全策略以及所述ue的安全能力选择的加密算法;
所述发送器与所述获取器相连,用于将所述获取器获取的加密算法发送给所述ue,以便与所述ue协商加密算法;
通知器,用于通知所述接入节点启动下行加密和上行解密,并在算法协商过程中通知所述ue启动下行解密和上行加密。
另一方面,本发明实施例还提供了一种接入节点,包括:
接收器,用于接收所述基站发送的根密钥;
处理器,用于根据自身的安全能力、安全策略以及所述ue的安全能力选择加密算法;
所述处理器与所述接收器相连,用于根据所述接收器接收的所述根密钥以及所述加密算法推演加密密钥;
发送器,与所述处理器相连用于将所述处理器选择的所述加密算法发送给所述基站,以便所述基站与所述ue协商加密算法;
所述处理器用于根据所述基站的启动指示启动下行加密和上行解密。
另一方面,本发明实施例还提供了一种用户设备ue,包括:
接收器,用于接收基站发送的接入节点的加密算法,由此完成与所述基站的算法协商;
处理器,与所述接收器相连,用于根据根密钥以及所述接收器接收的所述加密算法推演所述ue的加密密钥,所述根密钥为所述处理器与网络认证后推演得出的;
所述处理器还用于在推演出所述ue的加密密钥以后,启动下行解密以及上行加密。
另一方面,本发明实施例还提供了一种建立安全上下文的系统,包括:
基站,用于获取接入节点的加密算法,获取根密钥,根据所述根密钥和所述加密算法推演所述接入节点的加密密钥,将所述加密密钥以及所述加密算法发送给所述接入节点,以便所述接入节点启动下行加密和上行解密,将所述接入节点的加密算法发送给所述ue,以便与所述ue协商加密算法,通知所述接入节点启动下行加密和上行解密,并在算法协商过程中通知所述ue启动下行解密和上行加密;
接入节点,用于接收所述基站发送的加密密钥,获取加密算法,根据所述加密密钥和加密算法启动下行加密和上行解密;
ue,用于接收基站发送的接入节点的加密算法,由此完成与所述基站的算法协商,根据根密钥以及所述加密算法推演所述ue的加密密钥,所述根密钥为所述ue与网络认证后推演得出的,在推演出所述ue的加密密钥以后,启动下行解密以及上行加密。
另一方面,本发明实施例还提供了一种建立安全上下文的系统,包括:
基站,用于将根密钥发送给所述接入节点,所述根密钥用于所述接入节点推演所述接入节点使用的加密密钥,获取所述接入节点使用的加密算法,所述加密算法为所述接入节点根据自身的安全能力、安全策略以及所述ue的安全能力选择的加密算法,将所述接入节点的加密算法发送给所述ue,以便与所述ue协商加密算法,通知所述接入节点启动下行加密和上行解密,并在算法协商过程中通知所述ue启动下行解密和上行加密;
接入节点,用于接收所述基站发送的根密钥,根据自身的安全能力、安全策略以及所述ue的安全能力选择加密算法,根据所述根密钥以及所述加密算法推演加密密钥,将所述加密算法发送给所述基站,以便所述基站与所述ue协商加密算法,根据所述基站的启动指示启动下行加密和上行解密;
ue,用于接收基站发送的接入节点的加密算法,由此完成与所述基站的算法协商,根据根密钥以及所述加密算法推演所述ue的加密密钥,所述根密钥为所述ue与网络认证后推演得出的,在推演出所述ue的加密密钥以后,启动下行解密以及上行加密。
本发明实施例提供的建立安全上下文的方法、装置及系统,能够为接入节点和ue选择加密算法,并且根据根密钥以及选择的加密算法在接入节点和ue两侧推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上传输的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一中建立安全上下文的方法的流程图;
图2为本发明实施例二中建立安全上下文的方法的流程图;
图3为本发明实施例三中建立安全上下文的方法的流程图;
图4为本发明实施例四中建立安全上下文的方法的流程图;
图5为本发明实施例五中建立安全上下文的方法的流程图;
图6为本发明实施例六中建立安全上下文的方法的流程图;
图7为本发明实施例七中建立安全上下文的方法的流程图;
图8为本发明实施例八中建立安全上下文的方法的流程图;
图9为本发明实施例九中建立安全上下文的方法的流程图;
图10为本发明实施例十中基站的结构示意图;
图11为本发明实施例十中基站的结构示意图;
图12为本发明实施例十中基站的结构示意图;
图13为本发明实施例十一中hiap的结构示意图;
图14为本发明实施例十一中hiap的结构示意图;
图15为本发明实施例十一中hiap的结构示意图;
图16为本发明实施例十二中基站的结构示意图;
图17为本发明实施例十三中hiap的结构示意图;
图18为本发明实施例十四中ue的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中以hiap(hiaccesspoint)作为接入节点为例进行说明,ue通过uu口经由基站连接到核心网,并通过uu’口经由hiap连接到核心网,实际应用中对可使用的接入节点不作限制。
实施例一
本发明实施例提供了一种建立安全上下文的方法,如图1所示,所述方法包括如下步骤:
101、基站获取hiap的加密算法。
所述加密算法用于对在scc上传输的用户面数据进行加密保护。本发明实施例中以高级加密标准(advancedencryptionstandard,aes)算法作为所述加密算法为例进行说明,实际应用中对此不作限制。
102、基站获取根密钥。
所述根密钥用于推演加密密钥。
103、基站根据根密钥和加密算法推演hiap的加密密钥。
在hiap和ue两端都需要进行加密密钥的推演,本步骤为推演hiap加密密钥的描述,ue侧的加密密钥由ue自主进行推演。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥在认证后由mme下发给基站,ue侧的根密钥由ue卡中保存的永久密钥推演得出的。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
104、基站将加密密钥和加密算法发送给hiap。
由于为hiap选择加密算法和推演加密密钥是有基站完成的,而加密算法和加密密钥的主体为hiap,所以基站将加密密钥和加密算法发送给hiap,以便hiap启动下行加密和上行解密。
105、基站将加密算法发送给ue,完成与ue的算法协商。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中将加密算法发送给ue的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
106、基站通知hiap启动下行加密和上行解密,并在算法协商过程中通知ue启动下行解密和上行加密。
ue在接收到基站发送的加密算法后,根据该加密算法以及ue卡中的根密钥推演加密密钥。基站通知hiap和ue启动解密和加密后,hiap和ue就可以根据相同的加密算法以及加密密钥对上行数据和下行数据进行加密。
本发明实施例提供的建立安全上下文的方法,能够获取hiap的加密算法,并且根据根密钥以及获取的加密算法为hiap推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例二
本发明实施例提供了一种建立安全上下文的方法,所述方法是对实施例一的进一步扩展,如图2所示,所述方法包括如下步骤:
201、基站获取hiap的加密算法。
所述加密算法用于对在scc上传输的用户面数据进行加密保护。本发明实施例中以aes算法作为所述加密算法为例进行说明,实际应用中对此不作限制。
基站可以至少通过两种方式获取加密算法:
1)基站接收hiap选择的aes算法,所述aes算法为hiap根据自身的安全能力、安全策略以及ue的安全能力选择的优先级最高的加密算法。基站在接收hiap选择的aes算法之前,需要将ue的安全能力发送给hiap,以便hiap选择加密算法。
2)基站接收hiap的安全能力以及安全策略,根据hiap的安全能力、安全策略以及ue的安全能力为hiap选择优先级最高的加密算法。202、推演hiap的加密密钥。
202、基站获取根密钥。
所述根密钥用于推演加密密钥。
203、基站根据根密钥和加密算法推演hiap的加密密钥。
在hiap和ue两端都需要进行加密密钥的推演,本步骤为推演hiap加密密钥的描述,ue侧的加密密钥由ue自主进行推演。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥在认证后由mme下发给基站,ue侧的根密钥由ue卡中保存的永久密钥推演得出的。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
基站根据根密钥以及aes算法推演加密密钥。所述根密钥为根据ue和网络侧共享的永久密钥所推演出来的根密钥,本实施例中根根密钥可以是kenb,实际应用中对此不作限制。基站根据kenb推演出加密密钥kupenc,并将kupenc发送给hiap。所述kupenc用于对在scc上传输的用户面数据进行加密保护。
204、基站将加密密钥和加密算法发送给hiap。
由于为hiap选择加密算法和推演加密密钥是由基站完成的,而加密算法和加密密钥的使用主体为hiap,所以基站将加密密钥和加密算法发送给hiap,以便hiap启动下行加密和上行解密。
205、将加密算法发送给ue,完成与ue的算法协商。
基站向ue发送安全模式命令(securitymodecommand,smc),所述smc中携带aes算法。ue接收到基站发送的aes算法后,完成算法协商,并根据该aes算法和ue与网络认证的kenb推演kupenc。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中将加密算法发送给ue的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥由核心网发送下来,ue侧的根密钥由ue与网络认证后根据永久密钥在本地推演而来。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
可选的,hiap侧和ue侧推演加密密钥所使用的根密钥也可以是根据kenb推演出来的kenb*。kenb除了用于为uu’口上的用户面数据推演加密密钥以外,还用于为uu口上的用户面数据推演加密密钥kupenc以及为uu口上的控制面数据推演完整性保护密钥krrcint和加密密钥krrcenc。当uu’口使用kenb*推演根密钥时,推演出的kupenc*与为uu口推演出的kupenc不同。
206、基站接收ue发送的smp信令。
ue向基站发送安全模式完成命令(cecuritymodecomplete,smp),所述smp用于告知基站,ue已经根据加密算法和根密钥完成加密密钥的推演。
207、基站通知hiap启动下行加密和上行解密,并在算法协商过程中通知ue启动下行解密和上行加密。
在hiap和ue两侧都推演出加密密钥后,当hiap启动下行加密和上行解密时,基站通知ue启动下行解密和上行加密。由于hiap是下行数据的发送方和上行数据的接收方,所以hiap启动下行加密和上行解密。同样,由于ue是下行数据的接收方和上行数据的发送方,所以ue启动下行解密和上行加密。
优选的,在为uu’口建立安全上下文之前,还可以为uu口建立安全上下文,具体的:
基站为uu口选择加密算法,本发明实施例中以控制面数据的完保算法、控制面数据的加密算法以及用户面数据的加密算法都为aes算法为例进行说明,实际应用中三者可以两两不同。选择完加密算法后,基站根据根密钥和aes算法为uu口推演密钥,其中,根密钥可以是kenb。由于uu口上传输用户面数据和控制面数据,所以基站为uu口推演的密钥包括:用户面数据的加密密钥kupenc、控制面数据的完整性保护密钥krrcint以及控制面数据的加密密钥krrcenc。基站将选择的aes算法通过smc发送给ue,ue根据aes算法和根密钥kenb推演kupenc、krrcint以及krrcenc。
可选的,如果基站在为uu口建立安全上下文的过程中没有向ue发送aes算法,也可以在步骤205中将为uu口选择的加密算法与为uu’口选择的加密算法一同方发送给ue,以便完成与ue的算法协商。
本发明实施例提供的建立安全上下文的方法,能够获取hiap和ue的加密算法,并且根据根密钥以及获取的加密算法在基站和ue两侧推演hiap和ue使用的加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
此外,本发明实施例提供的建立安全上下文的方法,还可以在为hiap推演加密密钥时,使用与为uu口推演密钥不同的根密钥,例如可以将根据kenb推演出的kenb*作为hiap推演加密密钥的根密钥。在uu口上传输的数据与在uu’口上传输的数据使用不同的根密钥可以进一步加强数据的安全性。
此外,本发明实施例提供的建立安全上下文的方法,还能够在算法协商阶段,由基站同时代表uu口和uu’口与ue进行算法协商,减少了信令交互的步骤。
实施例三
本发明实施例提供了一种建立安全上下文的方法,如图3所示,所述方法包括如下步骤:
301、hiap接收基站发送的加密密钥。
在hiap和ue两端都需要进行加密密钥的推演,本步骤为hiap接收基站推演的加密密钥的描述,ue侧的加密密钥由ue自主进行推演。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以基站侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,基站侧的根密钥在认证后由mme下发给基站,由基站根据根密钥及加密算法为hiap推演加密密钥。ue侧的根密钥由ue卡中保存的永久密钥推演得出的。由于基站和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以基站和ue两侧推演出的加密密钥也相同。
302、hiap获取加密算法。
hiap获取加密算法包括两种方式:
1)hiap获取基站发送的加密算法,该加密算法由基站进行选择。
2)hiap根据自身的安全能力、安全策略以及ue的安全能力选择加密算法。在选择玩机密算法后,hiap还要将选择的加密算法发送给基站,以便基站与ue进行算法协商。
303、hiap根据加密密钥和加密算法启动下行加密和上行解密。
同时基站将hiap的加密算法发送给ue,以便ue根据加密算法以及ue卡中的根密钥推演出ue侧的加密密钥。ue推演出加密密钥后根据基站的指示启动上行加密和下行解密。由于hiap和ue两侧使用相同的加密算法和相同的加密密钥,所以可以对scc上传输的用户面数据进行加密保护。
本发明实施例提供的建立安全上下文的方法,能够根据基站发送的加密算法以及加密密钥,通过算法协商、生成加密以及同步启动启动下行加密和上行解密的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例四
本发明实施例提供了一种建立安全上下文的方法,所述方法是对实施例三的进一步扩展,所述方法包括如下步骤:
401、hiap接收基站发送的加密密钥。
在hiap和ue两端都需要进行加密密钥的推演,本步骤为hiap推演加密密钥的描述,ue侧的加密密钥由ue自主进行推演。
基站获取根密钥并根据该根密钥推演加密密钥。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以基站侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,基站侧的根密钥在认证后由mme下发给基站,ue侧的根密钥由ue卡中保存的永久密钥推演得出的。由于基站和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以基站和ue两侧推演出的加密密钥也相同。
基站根据根密钥以及aes算法推演加密密钥。所述根密钥为根据ue和网络侧共享的永久密钥所推演出来的根密钥,本实施例中根根密钥可以是kenb,实际应用中对此不作限制。基站根据kenb推演出加密密钥kupenc,并将kupenc发送给hiap。所述kupenc用于对在scc上传输的用户面数据进行加密保护。
hiap获取基站发送的加密密钥。由于为hiap选择加密算法和推演加密密钥是有基站完成的,而加密算法和加密密钥的使用主体为hiap,所以基站将加密密钥和加密算法发送给hiap,以便hiap启动下行加密和上行解密。
402、hiap获取加密算法。
所述加密算法用于对在scc上传输的用户面数据进行加密保护。本发明实施例中以aes算法作为所述加密算法为例进行说明,实际应用中对此不作限制。
hiap可以至少通过两种方式获取加密算法:
1)hiap根据自身的安全能力、安全策略以及ue的安全能力选择的优先级最高的加密算法,本发明实施例以aes算法作为加密算法。hiap在选择aes算法之前,还需要获取基站发送的ue的安全能力,以便获取选择aes算法。hiap选择完aes算法后,还需将该aes算法发送给基站,以便基站根据aes算法与ue进行算法协商。
2)hiap获取基站发送的加密算法,所述加密算法为基站根据hiap的安全能力、安全策略以及ue的安全能力选择的优先级最高的加密算法。hiap在获取加密算法之前还需将自身的安全能力、安全策略发送给基站,以便基站选择加密算法。
需要说明的是,当由hiap选择加密算法时,本步骤应在步骤401之前执行,以便基站根据hiap发送的加密算法以及根密钥为hiap推演并发送加密密钥。
403、hiap根据加密密钥和加密算法启动下行加密和上行解密。
同时,基站将加密算法发送给ue,完成与ue的算法协商。
具体的,基站向ue发送smc,所述smc中携带aes算法。ue接收到基站发送的aes算法后,完成算法协商,并根据该aes算法和ue与网络认证的kenb推演kupenc。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中将加密算法发送给ue的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以基站侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,基站侧的根密钥由核心网发送下来,ue侧的根密钥由ue与网络认证后根据永久密钥在本地推演而来。由于基站和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
可选的,基站侧和ue侧推演加密密钥所使用的根密钥也可以是根据kenb推演出来的kenb*。kenb除了用于为uu’口上的用户面数据推演加密密钥以外,还用于为uu口上的用户面数据推演加密密钥kupenc以及为uu口上的控制面数据推演完整性保护密钥krrcint和加密密钥krrcenc。当uu’口使用kenb*推演根密钥时,推演出的kupenc*与为uu口推演出的kupenc不同。
基站接收ue发送的smp,所述smp用于告知基站,ue已经根据加密算法和根密钥完成加密密钥的推演。
基站在算法协商过程中通知ue启动下行解密和上行加密。
在基站和ue两侧都推演出加密密钥后,当hiap启动下行加密和上行解密时,基站通知ue启动下行解密和上行加密。由于hiap是下行数据的发送方和上行数据的接收方,所以hiap启动下行加密和上行解密。同样,由于ue是下行数据的接收方和上行数据的发送方,所以ue启动下行解密和上行加密。
优选的,在为uu’口建立安全上下文之前,还可以为uu口建立安全上下文,具体的:
基站为uu口选择加密算法,本发明实施例中以控制面数据的完保算法、控制面数据的加密算法以及用户面数据的加密算法都为aes算法为例进行说明,实际应用中三者可以两两不同。选择完加密算法后,基站根据根密钥和aes算法为uu口推演密钥,其中,根密钥可以是kenb。由于uu口上传输用户面数据和控制面数据,所以基站为uu口推演的密钥包括:用户面数据的加密密钥kupenc、控制面数据的完整性保护密钥krrcint以及控制面数据的加密密钥krrcenc。基站将选择的aes算法通过smc发送给ue,ue根据aes算法和根密钥kenb推演kupenc、krrcint以及krrcenc。
本发明实施例提供的建立安全上下文的方法,能够根据基站发送的加密算法以及加密密钥,通过算法协商、生成加密以及同步启动启动下行加密和上行解密的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例五
本发明实施例提供一种建立安全上下文的方法,如图5所示,所述方法包括如下步骤:
501、基站将根密钥发送给hiap。
所述根密钥不限来自于mme,用于hiap推演hiap使用的加密密钥。
502、基站获取hiap使用的加密算法。
所述加密算法为hiap根据自身的安全能力、安全策略以及ue的安全能力选择的加密算法。
503、基站将hiap的加密算法发送给ue,以便与ue协商加密算法。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中将加密算法发送给ue的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
ue根据基站发送的加密算法以及ue卡中的根密钥推演出ue侧的加密密钥。由于hiap和ue两侧使用相同的根密钥和相同的加密算法,所以两侧推演的加密密钥也相同。
504、基站通知hiap启动下行加密和上行解密,并在算法协商过程中通知ue启动下行解密和上行加密。
ue在接收到基站发送的加密算法后,根据该加密算法以及ue卡中的根密钥推演加密密钥。基站通知hiap和ue启动解密和加密后,hiap和ue就可以根据相同的加密算法以及加密密钥对上行数据和下行数据进行加密。
本发明实施例中为hiap侧选择加密算法以及为hiap侧推演加密密钥的执行主体为hiap。
本发明实施例提供的建立安全上下文的方法,能够由hiap选择加密算法,并且根据根密钥以及选择的加密算法推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例六
本发明实施例提供了一种建立安全上下文的方法,所述方法是对实施例五的进一步扩展,如图6所示,所述方法包括如下步骤:
601、基站将ue的安全能力发送给hiap,以便hiap选择加密算法。
所述加密算法用于对在scc上传输的用户面数据进行加密保护。本发明实施例中以aes算法作为所述加密算法为例进行说明,实际应用中对此不作限制。
602、基站将根密钥发送给hiap。
所述根密钥不限来自于mme,用于hiap推演hiap使用的加密密钥。
本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥在认证后由mme下发给基站,ue侧的根密钥由ue卡中保存的永久密钥推演得出的。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
基站根据根密钥以及aes算法推演加密密钥。所述根密钥为根据ue和网络侧共享的永久密钥所推演出来的根密钥,本实施例中根根密钥可以是kenb,实际应用中对此不作限制。基站根据kenb推演出加密密钥kupenc,并将kupenc发送给hiap。所述kupenc用于对在scc上传输的用户面数据进行加密保护。
603、基站获取hiap使用的加密算法。
所述加密算法为hiap根据自身的安全能力、安全策略以及ue的安全能力选择的加密算法。
604、基站将hiap的加密算法发送给ue,以便与ue协商加密算法。
基站向ue发送smc,所述smc中携带aes算法。ue接收到基站发送的aes算法后,完成算法协商,并根据该aes算法和ue与网络认证的kenb推演kupenc。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中将加密算法发送给ue的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥由核心网发送下来,ue侧的根密钥由ue与网络认证后根据永久密钥在本地推演而来。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
可选的,hiap侧和ue侧推演加密密钥所使用的根密钥也可以是根据kenb推演出来的kenb*。kenb除了用于为uu’口上的用户面数据推演加密密钥以外,还用于为uu口上的用户面数据推演加密密钥kupenc以及为uu口上的控制面数据推演完整性保护密钥krrcint和加密密钥krrcenc。当uu’口使用kenb*推演根密钥时,推演出的kupenc*与为uu口推演出的kupenc不同。
605、基站接收ue发送的smp信令。
ue向基站发送smp,所述smp用于告知基站,ue已经根据加密算法和根密钥完成加密密钥的推演。
606、基站通知hiap启动下行加密和上行解密,并在算法协商过程中通知ue启动下行解密和上行加密。
ue在接收到基站发送的加密算法后,根据该加密算法以及ue卡中的根密钥推演加密密钥。基站通知hiap和ue启动解密和加密后,hiap和ue就可以根据相同的加密算法以及加密密钥对上行数据和下行数据进行加密。
本发明实施例中为hiap侧选择加密算法以及为hiap侧推演加密密钥的执行主体为hiap。
本发明实施例提供的建立安全上下文的方法,能够由hiap选择加密算法,并且根据根密钥以及选择的加密算法推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
此外,本发明实施例提供的建立安全上下文的方法,还可以在hiap推演加密密钥时,使用与为uu口推演密钥不同的根密钥,例如可以将根据kenb推演出的kenb*作为hiap推演加密密钥的根密钥。在uu口上传输的数据与在uu’口上传输的数据使用不同的根密钥可以进一步加强数据的安全性。
实施例七
本发明实施例提供了一种安全上下文的方法,如图7所示,所述方法包括如下步骤:
701、hiap接收基站发送的根密钥。
所述根密钥不限来自于mme,基站将根密钥发送给hiap,以便hiap推演加密密钥。
702、hiap根据自身的安全能力、安全策略以及ue的安全能力选择加密算法。
hiap根据自身的安全能力、安全策略以及ue的安全能力选择优先级最高的加密算法。
703、hiap根据根密钥以及加密算法推演加密密钥。
704、hiap将加密算法发送给基站,以便基站与ue协商加密算法。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以基站与ue协商加密算法的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
ue根据基站发送的加密算法以及ue卡中的根密钥推演出ue侧的加密密钥。由于hiap和ue两侧使用相同的根密钥和相同的加密算法,所以两侧推演的加密密钥也相同。
705、hiap根据基站的启动指示启动下行加密和上行解密。
ue在接收到基站发送的加密算法后,根据该加密算法以及ue卡中的根密钥推演加密密钥。基站通知hiap和ue启动解密和加密后,hiap和ue就可以根据相同的加密算法以及加密密钥对上行数据和下行数据进行加密。
本发明实施例中为hiap侧选择加密算法以及为hiap侧推演加密密钥的执行主体为hiap。
本发明实施例提供的建立安全上下文的方法,能够选择加密算法,并且根据根密钥以及选择的加密算法推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例八
本发明实施例提供了一种建立安全上下文的方法,所述方法是对实施例七的进一步扩展,如图8所示,所述方法包括如下步骤:
801、hiap接收基站发送的根密钥。
基站可以从mme获取所述根密钥,本发明实施例对此不做限制。
本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥在认证后由mme下发给基站,ue侧的根密钥由ue卡中保存的永久密钥推演得出的。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
802、hiap接收基站发送的ue的安全能力。
所述加密算法用于对在scc上传输的用户面数据进行加密保护。本发明实施例中以aes算法作为所述加密算法为例进行说明,实际应用中对此不作限制。
803、hiap根据自身的安全能力、安全策略以及ue的安全能力选择加密算法。
hiap根据自身的安全能力、安全策略以及ue的安全能力选择优先级最高的加密算法。
804、hiap根据根密钥以及加密算法推演加密密钥。
hiap根据根密钥以及aes算法推演加密密钥。所述根密钥为根据ue和网络侧共享的永久密钥所推演出来的根密钥,本实施例中根根密钥可以是kenb,实际应用中对此不作限制。hiap根据kenb推演出加密密钥kupenc,所述kupenc用于对在scc上传输的用户面数据进行加密保护。
805、hiap将加密算法发送给所述基站,以便基站与ue协商加密算法。
基站向ue发送smc,所述smc中携带aes算法。ue接收到基站发送的aes算法后,完成算法协商,并根据该aes算法和ue与网络认证的kenb推演kupenc。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中将加密算法发送给ue的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
可选的,hiap侧和ue侧推演加密密钥所使用的根密钥也可以是根据kenb推演出来的kenb*。kenb除了用于为uu’口上的用户面数据推演加密密钥以外,还用于为uu口上的用户面数据推演加密密钥kupenc以及为uu口上的控制面数据推演完整性保护密钥krrcint和加密密钥krrcenc。当uu’口使用kenb*推演根密钥时,推演出的kupenc*与为uu口推演出的kupenc不同。
806、hiap根据基站的启动指示启动下行加密和上行解密。
同时,ue在接收到基站发送的加密算法后,根据该加密算法以及ue卡中的根密钥推演加密密钥。基站通知hiap和ue启动解密和加密后,hiap和ue就可以根据相同的加密算法以及加密密钥对上行数据和下行数据进行加密。
本发明实施例中为hiap侧选择加密算法以及为hiap侧推演加密密钥的执行主体为hiap。
本发明实施例提供的建立安全上下文的方法,能够选择加密算法,并且根据根密钥以及选择的加密算法推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
此外,本发明实施例提供的建立安全上下文的方法,还可以在推演加密密钥时,使用与为uu口推演密钥不同的根密钥,例如可以将根据kenb推演出的kenb*作为推演加密密钥的根密钥。在uu口上传输的数据与在uu’口上传输的数据使用不同的根密钥可以进一步加强数据的安全性。
实施例九
本发明实施例提供了一种建立安全上下文的方法,如图9所示,所述方法包括如下步骤:
901、ue接收基站发送的hiap的加密算法,由此完成与基站的算法协商。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中ue接收基站发送的加密算法的目的在于ue能够根据加密算法以及根密钥推演加密密钥。
所述加密算法为hiap根据自身的安全能力、安全策略以及ue的安全能力选择的优先级最高的加密算法,或者为基站根据hiap的安全能力、安全策略以及ue的安全能力选择的优先级最高的加密算法。
902、ue根据根密钥以及加密算法推演ue的加密密钥。
本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥在认证后由mme下发给基站,ue侧的根密钥由ue卡中保存的永久密钥推演得出的,或者为ue与网络认证后推演得出的。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法也相同,所以hiap和ue两侧推演出的加密密钥也相同。
903、ue向基站发送smp信令。
ue向基站发送smp的目的在于告知基站ue已根据根密钥以及基站发送的加密算法推演出加密密钥。
904、ue在推演出加密密钥以后,启动下行解密以及上行加密。
基站通知hiap和ue启动解密和加密后,hiap和ue就可以根据相同的加密算法以及加密密钥对上行数据和下行数据进行加密。
本发明实施例提供的建立安全上下文的方法,能够由ue推演ue使用的加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例十
参考实施例二的实现,本发明实施例提供了一种基站,如图10所示,用以实现实施例二。所述基站包括:
获取器1001,用于获取hiap的加密算法和根密钥。
所述根密钥用于推演加密密钥。所述加密密钥以及所述加密算法用于对在scc上传输的用户面数据进行加密保护。本发明实施例中以aes算法作为所述加密算法为例进行说明,实际应用中对此不作限制。
处理器1002,所述处理器1002与所述获取器1001相连,用于根据所述获取器1001获取的根密钥和加密算法推演hiap的加密密钥。
在hiap和ue两端都需要进行加密密钥的推演,本步骤为所述处理器1002推演hiap加密密钥的描述,ue侧的加密密钥由ue自主进行推演。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以所述处理器1002和ue推演加密密钥所使用的根密钥相同。
所述处理器1002根据根密钥以及aes算法推演加密密钥。所述根密钥为根据ue和网络侧共享的永久密钥所推演出来的根密钥,本实施例中根根密钥可以是kenb,实际应用中对此不作限制。所述处理器1002根据kenb推演出加密密钥kupenc,并在后续由发送器1003将kupenc发送给hiap。所述kupenc用于对在scc上传输的用户面数据进行加密保护。
发送器1003,所述发送器1003与所述处理器1002和所述获取器1001相连,用于将所述处理器1002推演的加密密钥以及所述获取器1001获取的所述加密算法发送给hiap,以便hiap启动下行加密和上行解密。
由于为hiap选择加密算法和推演加密密钥是由基站完成的,而加密算法和加密密钥的使用主体为hiap,所以基站中的所述发送器1003将加密密钥和加密算法发送给hiap,以便hiap启动下行加密和上行解密。
所述发送器1003用于将所述获取器1001获取的加密算法发送给ue,以便与ue协商加密算法。
所述发送器1003向ue发送安全模式命令(securitymodecommand,smc),所述smc中携带aes算法。ue接收到所述发送器1003发送的aes算法后,完成算法协商,并根据该aes算法和ue与网络认证的kenb推演kupenc。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中所述发送器1003将加密算法发送给ue的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
通知器1004,用于通知hiap启动下行加密和上行解密,并在算法协商过程中通知ue启动下行解密和上行加密。
在hiap和ue两侧都推演出加密密钥后,当hiap启动下行加密和上行解密时,所述通知器1004通知ue启动下行解密和上行加密。由于hiap是下行数据的发送方和上行数据的接收方,所以hiap启动下行加密和上行解密。同样,由于ue是下行数据的接收方和上行数据的发送方,所以ue启动下行解密和上行加密。
进一步的,如图11所示,所述获取器1001可以包括:
第一获取单元1101,用于获取hiap选择的加密算法,所述加密算法为hiap根据自身的安全能力、安全策略以及ue的安全能力选择的加密算法。
第二获取单元1102,用于根据hiap的安全能力、安全策略以及ue的安全能力选择所述加密算法。
进一步的,所述发送器1003还用于将ue的安全能力发送给hiap,以便hiap根据自身的安全能力、安全策略以及ue的安全能力选择的加密算法。
进一步的,如图12所示,所述基站可以包括:
接收器1201,所述接收器1201与所述获取器1001相连,用于接收hiap发送的安全能力以及安全策略,以便所述获取器1001中的所述第二获取单元1102根据hiap的安全能力、安全策略以及ue的安全能力选择加密算法。
进一步可选的,所述根密钥为为基站与所述ue之间的接口上推演完保密钥和加密密钥所使用的根密钥,或者为根据所述为基站与所述ue之间的接口上推演完保密密钥和加密密钥所使用的根密钥推演的子密钥。
本发明实施例提供的基站,能够获取hiap和ue的加密算法,并且根据根密钥以及获取的加密算法在基站和ue两侧推演hiap和ue使用的加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
此外,本发明实施例提供的基站,还可以在为hiap推演加密密钥时,使用与为uu口推演密钥不同的根密钥,例如可以将根据kenb推演出的kenb*作为hiap推演加密密钥的根密钥。在uu口上传输的数据与在uu’口上传输的数据使用不同的根密钥可以进一步加强数据的安全性。
此外,本发明实施例提供的基站,还能够在算法协商阶段,由基站同时代表uu口和uu’口与ue进行算法协商,减少了信令交互的步骤。
实施例十一
参考实施例四的实现,本发明实施例提供了一种接入节点,如图13所示,用以实现实施例四。以hiap作为接入节点为例,所述hiap包括:
接收器1301,用于接收基站发送的加密密钥。
在hiap和ue两端都需要进行加密密钥的推演,本步骤为hiap推演加密密钥的描述,ue侧的加密密钥由ue自主进行推演。
获取器1302,用于获取加密算法。
所述加密算法用于对在scc上传输的用户面数据进行加密保护。本发明实施例中以aes算法作为所述加密算法为例进行说明,实际应用中对此不作限制。
处理器1303,所述处理器1303与所述接收器1301和所述获取器1302相连,用于根据所述接收器1301接收的加密密钥和所述获取器1302获取的加密算法启动下行加密和上行解密。
同时,基站将加密算法发送给ue,完成与ue的算法协商。
进一步的,如图14所示,所述获取器1302可以包括:
获取单元1401,用于获取基站发送的加密算法,该加密算法由基站进行选择。
所述获取单元1401还用于根据自身的安全能力、安全策略以及ue的安全能力选择加密算法。
发送单元1402,与所述获取单元1401相连,用于将所述获取单元1401选择的加密算法发送给基站。
进一步的,所述接收器1301与所述获取器1302相连,用于接收基站发送的ue的安全能力,ue的安全能力用于所述获取器1302中的所述获取单元140选择加密算法。
进一步的,如图15所示,所述hiap可以包括:
发送器1501,用于将自身的安全能力以及安全策略发送给基站,以便基站为hiap选择加密算法。
本发明实施例提供的hiap,能够根据基站发送的加密算法以及加密密钥,通过算法协商、生成加密以及同步启动启动下行加密和上行解密的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例十二
参考实施例六的实现,本发明实施例提供了一种基站,用以实现实施例六。如图16所示,所述基站包括:
发送器1601,用于将根密钥发送给hiap,所述根密钥用于hiap推演hiap使用的加密密钥。
获取器1602,用于获取hiap使用的加密算法,该加密算法为hiap根据自身的安全能力、安全策略以及ue的安全能力选择的加密算法。
所述发送器1601与所述获取器1602相连,用于将所述获取器1602获取的加密算法发送给ue,以便与ue协商加密算法。
所述发送器1601向ue发送smc,所述smc中携带aes算法。ue接收到所述发送器1601发送的aes算法后,完成算法协商,并根据该aes算法和ue与网络认证的kenb推演kupenc。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中将加密算法发送给ue的目的在于,在ue得到根密钥后,使ue再获得加密算法,以便ue能够推演加密密钥。
需要说明的是,本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥由核心网发送下来,ue侧的根密钥由ue与网络认证后根据永久密钥在本地推演而来。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
通知器1603,用于通知hiap启动下行加密和上行解密,并在算法协商过程中通知ue启动下行解密和上行加密。
ue在接收到所述发送器1601发送的加密算法后,根据该加密算法以及ue卡中的根密钥推演加密密钥。所述通知器1603通知hiap和ue启动解密和加密后,hiap和ue就可以根据相同的加密算法以及加密密钥对上行数据和下行数据进行加密。
进一步的,所述发送器1601还用于将ue的安全能力发送给hiap,以便hiap选择加密算法。
进一步的,所述根密钥为为基站与所述ue之间的接口上推演完保密钥和加密密钥所使用的根密钥,或者为根据所述为基站与所述ue之间的接口上推演完保密密钥和加密密钥所使用的根密钥推演的子密钥。
本发明实施例提供的基站,能够由hiap选择加密算法,并且根据根密钥以及选择的加密算法推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
此外,本发明实施例提供的基站,还可以在hiap推演加密密钥时,使用与为uu口推演密钥不同的根密钥,例如可以将根据kenb推演出的kenb*作为hiap推演加密密钥的根密钥。在uu口上传输的数据与在uu’口上传输的数据使用不同的根密钥可以进一步加强数据的安全性。
实施例十三
参考实施例八的实现,本发明实施例提供了一种接入节点,用以实现实施例八。如图17所示,以hiap作为接入节点为例,所述hiap包括:
接收器1701,用于接收基站发送的根密钥。
基站可以从mme获取所述根密钥,本发明实施例对此不做限制。
本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥在认证后由mme下发给基站,ue侧的根密钥由ue卡中保存的永久密钥推演得出的。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法都为aes算法,所以hiap和ue两侧推演出的加密密钥也相同。
处理器1702,用于根据自身的安全能力、安全策略以及ue的安全能力选择加密算法。
所述处理器1702根据自身的安全能力、安全策略以及ue的安全能力选择优先级最高的加密算法。
所述加密算法用于对在scc上传输的用户面数据进行加密保护。本发明实施例中以aes算法作为所述加密算法为例进行说明,实际应用中对此不作限制。
所述处理器1702与所述接收器1701相连,用于根据所述接收器1701接收的根密钥以及加密算法推演加密密钥。
发送器1703,所述发送器1703与所述处理器1702相连,用于将所述处理器1702选择的加密算法发送给基站,以便基站与ue协商加密算法。
所述处理器1702用于根据基站的启动指示启动下行加密和上行解密。
进一步的,所述接收器1701还用于接收基站发送的ue的安全能力,ue的安全能力用于所述处理器1702选择加密算法。
进一步的,所述根密钥为为基站与所述ue之间的接口上推演完保密钥和加密密钥所使用的根密钥,或者为根据所述为基站与所述ue之间的接口上推演完保密密钥和加密密钥所使用的根密钥推演的子密钥。
本发明实施例提供的hiap,能够选择加密算法,并且根据根密钥以及选择的加密算法推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
此外,本发明实施例提供的hiap,还可以在推演加密密钥时,使用与为uu口推演密钥不同的根密钥,例如可以将根据kenb推演出的kenb*作为推演加密密钥的根密钥。在uu口上传输的数据与在uu’口上传输的数据使用不同的根密钥可以进一步加强数据的安全性。
实施例十四
参考实施例九的实现,本发明实施例提供了一种用户设备ue,用以实现实施例九。如图18所示,所述ue包括:
接收器1801,用于接收基站发送的hiap的加密算法,由此完成与基站的算法协商。
hiap和ue两侧都要基于根密钥和加密算法推演加密密钥,所以本步骤中所述接收器1801接收基站发送的加密算法的目的在于处理器1802能够在后续根据加密算法以及根密钥推演加密密钥。
所述加密算法为hiap根据自身的安全能力、安全策略以及ue的安全能力选择的优先级最高的加密算法,或者为基站根据hiap的安全能力、安全策略以及ue的安全能力选择的优先级最高的加密算法。
处理器1802,与所述接收器1801相连,用于根据根密钥以及所述接收器1801接收的加密算法推演ue的加密密钥,根密钥为所述处理器1802与网络认证后推演得出的。
所述处理器1802还用于在推演出ue的加密密钥以后,启动下行解密和上行加密。
本发明实施例是以对称密钥加密法为例进行说明的,所以hiap侧和ue侧推演加密密钥所使用的根密钥相同,在实际应用中,hiap侧的根密钥在认证后由mme下发给基站,ue侧的根密钥由ue卡中保存的永久密钥推演得出的,或者为ue与网络认证后推演得出的。由于hiap和ue两侧推演加密密钥所使用的根密钥相同且使用的算法也相同,所以hiap和ue两侧推演出的加密密钥也相同。
本发明实施例提供的ue,能够由ue推演ue使用的加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对在ssc上的uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例十五
参考实施例一至实施例四以及实施例九的实现,本发明实施例提供了一种建立安全上下文的系统,所述系统包括基站、接入节点以及ue,ue通过uu口经由基站连接到核心网,并通过uu’口经由接入节点连接到核心网。其中,
所述基站用于获取接入节点的加密算法,获取根密钥,根据所述根密钥和所述加密算法推演所述接入节点的加密密钥,将所述加密密钥以及所述加密算法发送给所述接入节点,以便所述接入节点启动下行加密和上行解密,将所述接入节点的加密算法发送给所述ue,以便与所述ue协商加密算法,通知所述接入节点启动下行加密和上行解密,并在算法协商过程中通知所述ue启动下行解密和上行加密。
所述接入节点用于接收所述基站发送的加密密钥,获取加密算法,根据所述加密密钥和加密算法启动下行加密和上行解密。
所述ue用于接收基站发送的接入节点的加密算法,由此完成与所述基站的算法协商,根据根密钥以及所述加密算法推演所述ue的加密密钥,所述根密钥为所述ue与网络认证后推演得出的,在推演出所述ue的加密密钥以后,启动下行解密和上行加密。
本发明实施例提供的建立安全上下文的系统,能够为接入节点选择加密算法,并且根据根密钥以及选择的加密算法为接入节点推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
实施例十六
参考实施例五至实施例九的实现,本发明实施例提供了一种建立安全上下文的系统,所述系统包括基站、接入节点以及ue,ue通过uu口经由基站连接到核心网,并通过uu’口经由接入节点连接到核心网。其中,
所述基站用于将根密钥发送给所述接入节点,所述根密钥用于所述接入节点推演所述接入节点使用的加密密钥,获取所述接入节点使用的加密算法,所述加密算法为所述接入节点根据自身的安全能力、安全策略以及所述ue的安全能力选择的加密算法,将所述接入节点的加密算法发送给所述ue,以便与所述ue协商加密算法,通知所述接入节点启动下行加密和上行解密,并在算法协商过程中通知所述ue启动下行解密和上行加密。
所述接入节点用于接收所述基站发送的根密钥,根据自身的安全能力、安全策略以及所述ue的安全能力选择加密算法,根据所述根密钥以及所述加密算法推演加密密钥,将所述加密算法发送给所述基站,以便所述基站与所述ue协商加密算法,根据所述基站的启动指示启动下行加密和上行解密。
所述ue用于接收基站发送的接入节点的加密算法,由此完成与所述基站的算法协商,根据根密钥以及所述加密算法推演所述ue的加密密钥,所述根密钥为所述ue与网络认证后推演得出的,在推演出所述ue的加密密钥以后,启动下行解密和上行加密。
本发明实施例提供的建立安全上下文的系统,能够由接入节点选择加密算法,并且根据根密钥以及选择的加密算法由接入节点推演加密密钥。通过算法协商、生成加密以及同步启动加密保护的方式对uu’口传输的用户面数据进行加密保护,可以解决现有技术中没有针对uu’口上的用户面数据保护的问题,能够对ue数据进行全面的安全保护。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!