專利名稱:無線連接建立方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信系統(tǒng)中的無線連接技術(shù),尤其涉及無線連接建立的方法。
背景技術(shù):
在全球移動通信系統(tǒng)(UMTS)中,為了建立用戶設(shè)備(UE)與核心網(wǎng)之間的信令連接,首先要建立UE和全球陸地?zé)o線接入網(wǎng)(UTRAN)在空中接口上的無線資源控制協(xié)議(RRC)連接。
圖1示出了現(xiàn)有的無線連接建立方法的流程圖。如圖1所示,在步驟101~103中,UE首先通過空中接口向UTRAN發(fā)送RRC連接請求,URTAN向UE返回RRC連接建立消息,然后,UE再向UTRAN發(fā)送表明連接建立成功的RRC連接建立完成消息。
為了保證通信過程的安全性,在UE未與UTRAN建立RRC連接之前,即UE處于空閑(Idle)狀態(tài)時,UE和諸如服務(wù)通用分組無線業(yè)務(wù)支持節(jié)點(SGSN)之類的核心網(wǎng)設(shè)備均保存用于保護(hù)無線資源控制協(xié)議(RRC)信令的加密密鑰和完整性密鑰。當(dāng)成功建立UE與UTRAN之間的RRC連接并且UE需要與核心網(wǎng)建立連接時,UE將自身的安全能力,例如加密算法、完整性算法等UE支持的安全算法,上報給UTRAN中的無線網(wǎng)絡(luò)控制器RNC。然后UE將其身份標(biāo)識、加密密鑰和完整性密鑰的標(biāo)識符在核心網(wǎng)信令中發(fā)送給核心網(wǎng)設(shè)備。核心網(wǎng)設(shè)備找到對應(yīng)的加密密鑰和完整性密鑰后,再將所找到的密鑰發(fā)送給RNC。RNC根據(jù)自身的特點,在接收到的密鑰中選擇決定所使用的安全算法,然后通過安全模式命令,向UE指出所選擇的安全算法并指示安全保護(hù)開始。這樣,完成了安全關(guān)聯(lián)的建立。
由上述的過程可見,每次在UE接入核心網(wǎng)時,UE和UTRAN中的RNC都要執(zhí)行一次安全算法的協(xié)商,即建立安全關(guān)聯(lián),這使得接入過程中需要傳輸?shù)男畔⒘枯^大,并且需要交互的信令數(shù)量也較多,因此,接入的時間延遲較長。
另外,由于安全關(guān)聯(lián)的建立過程在RRC連接建立之后執(zhí)行,因此無法對RRC連接建立過程中的信令提供安全保護(hù)。這樣,攻擊者可以通過修改RRC連接建立消息中的內(nèi)容,來使得用戶按照錯誤的配置建立RRC連接,從而影響用戶享受到的服務(wù)質(zhì)量;攻擊者也可以通過偽造RRC連接拒絕消息來實施拒絕服務(wù)攻擊,使得合法的用戶無法享受到網(wǎng)絡(luò)側(cè)提供的服務(wù)。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供一種無線連接建立方法,能夠減少接入時延。根據(jù)本發(fā)明的無線連接建立方法包括以下步驟A.用戶設(shè)備UE請求接入網(wǎng)設(shè)備建立無線連接,接入網(wǎng)設(shè)備與保存該UE在上一次無線連接中的安全參數(shù)的核心網(wǎng)設(shè)備交互,獲得該UE的安全參數(shù);B.接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信,UE完成無線連接的建立后通知接入網(wǎng)設(shè)備。
其中,所述接入網(wǎng)設(shè)備為基站,則步驟A所述UE請求接入網(wǎng)設(shè)備建立無線連接為UE向基站發(fā)送攜帶有該UE的身份標(biāo)識、保護(hù)信息集合標(biāo)識以及有關(guān)所述核心網(wǎng)設(shè)備的信息的無線連接建立請求消息,請求建立無線連接。
其中,步驟A所述接入網(wǎng)設(shè)備與保存該UE在上一次無線連接中的安全參數(shù)的核心網(wǎng)設(shè)備交互,獲得該UE的安全參數(shù)包括基站向與該基站直接相連的接入網(wǎng)關(guān)接入網(wǎng)關(guān)發(fā)送攜帶有UE身份標(biāo)識和保護(hù)信息集合標(biāo)識的保護(hù)信息集合請求消息,接入網(wǎng)關(guān)根據(jù)接收到的UE身份標(biāo)識,將對應(yīng)的保護(hù)信息集合攜帶于保護(hù)信息集合響應(yīng)消息中,返回給基站。
其中,所述無線連接建立請求消息中進(jìn)一步包括接入網(wǎng)關(guān)的信息,則所述基站向接入網(wǎng)關(guān)發(fā)送保護(hù)信息集合請求消息之前,該方法進(jìn)一步包括基站根據(jù)所述無線連接建立請求消息中的接入網(wǎng)關(guān)的信息,確定保存所述安全參數(shù)的接入網(wǎng)關(guān)。
其中,步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信為基站根據(jù)接收到的保護(hù)信息集合,獲得本次無線連接中用于保護(hù)通信的安全關(guān)聯(lián),并通過無線連接建立消息來指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
其中,所述獲得本次無線連接中用于保護(hù)通信的安全關(guān)聯(lián)為在基站確定繼續(xù)使用所述保護(hù)信息集合時,將保護(hù)信息集合中的安全參數(shù)作為本次無線連接過程中用于保護(hù)無線信令的安全關(guān)聯(lián)。
其中,步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信為基站從接收到的保護(hù)信息集合響應(yīng)消息中解析出保護(hù)信息集合,在基站判定存在需要協(xié)商的安全參數(shù)時,基站與UE交互,對需要協(xié)商的安全參數(shù)進(jìn)行協(xié)商,并將所述經(jīng)過協(xié)商的安全參數(shù)和該基站支持的安全參數(shù)組成本次無線連接的安全關(guān)聯(lián),通過無線連接建立消息指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
其中,所述無線連接建立請求消息中進(jìn)一步包括UE的安全能力信息;步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信為基站從接收到的保護(hù)信息集合響應(yīng)消息中解析出保護(hù)信息集合,在基站判定存在需要協(xié)商的安全參數(shù)時,根據(jù)該基站的特性,在接收到的UE支持的安全參數(shù)中進(jìn)行選擇,并將所選擇的安全參數(shù)和該基站支持的安全參數(shù)組成本次無線連接的安全關(guān)聯(lián),通過無線連接建立消息指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
其中,所述保護(hù)信息集合中包含上一次無線連接中的全部安全參數(shù),則所述基站判定存在需要協(xié)商的安全參數(shù)為在存在基站不支持的安全參數(shù)時,將基站不支持的安全參數(shù)作為需要協(xié)商的安全參數(shù)。
其中,所述保護(hù)信息集合中僅包含上一次無線連接中的部分安全參數(shù),則所述基站判定存在需要協(xié)商的安全參數(shù)為在存在基站不支持的安全參數(shù)時,將基站不支持的安全參數(shù)以及所述保護(hù)信息集合中未包含的安全參數(shù)作為需要協(xié)商的安全參數(shù);在基站支持所述保護(hù)信息集合中的全部安全參數(shù)時,將所述保護(hù)信息集合中未包含的安全參數(shù)作為需要協(xié)商的安全參數(shù)。
其中,所述UE和核心網(wǎng)設(shè)備進(jìn)一步保存該UE的安全能力信息,則所述保護(hù)信息集合響應(yīng)消息進(jìn)一步包括UE的安全能力信息;步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信為基站從接收到的保護(hù)信息集合響應(yīng)消息中解析出保護(hù)信息集合和UE的安全能力信息,在確定該基站不支持所述保護(hù)信息集合中的部分安全參數(shù)時,基站根據(jù)解析出的UE的安全能力信息,選擇對于UE和該基站均適合的安全參數(shù),并將所選擇的安全參數(shù)和所述保護(hù)信息集合中的其他安全參數(shù)確定為本次無線連接中的安全關(guān)聯(lián),而后基站通過無線連接建立消息指示UE使用相應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
其中,所述通過無線連接建立消息來指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)為基站通過無線連接建立消息,將UE所需的安全參數(shù)發(fā)送給UE,并通知UE使用保護(hù)信息集合中的安全參數(shù)對應(yīng)的安全關(guān)聯(lián)對本次無線連接進(jìn)行保護(hù)。
其中,步驟A所述接入網(wǎng)設(shè)備與保存該UE在上一次無線連接中的安全參數(shù)的核心網(wǎng)設(shè)備交互,獲得該UE的安全參數(shù)包括基站向與該基站直接相連的新接入網(wǎng)關(guān)發(fā)送攜帶有UE身份標(biāo)識的保護(hù)信息集合請求消息,新接入網(wǎng)關(guān)將所述保護(hù)信息集合請求消息轉(zhuǎn)發(fā)給原接入網(wǎng)關(guān),原接入網(wǎng)關(guān)根據(jù)接收到的UE身份標(biāo)識,將對應(yīng)的保護(hù)信息集合攜帶于保護(hù)信息集合響應(yīng)消息中,發(fā)送給新接入網(wǎng)關(guān),新接入網(wǎng)關(guān)再向基站返回保護(hù)信息集合響應(yīng)消息。
較佳地,所述無線連接建立請求消息中進(jìn)一步包括原接入網(wǎng)關(guān)的信息,則所述基站向新接入網(wǎng)關(guān)發(fā)送保護(hù)信息集合請求消息的同時,該方法進(jìn)一步包括基站將原接入網(wǎng)關(guān)的信息發(fā)送給新接入網(wǎng)關(guān);所述新接入網(wǎng)關(guān)將所述保護(hù)信息集合請求消息轉(zhuǎn)發(fā)給原接入網(wǎng)關(guān)之前,該方法進(jìn)一步包括新接入網(wǎng)關(guān)根據(jù)所述原接入網(wǎng)關(guān)的信息確定保存所述安全參數(shù)的原接入網(wǎng)關(guān)。
其中,在所述向基站返回保護(hù)信息集合響應(yīng)消息之前,該方法進(jìn)一步包括與基站直接相連的接入網(wǎng)關(guān)生成第一隨機(jī)數(shù)RAND,根據(jù)接收到的安全密鑰中的共享密鑰推導(dǎo)出加密密鑰和完整性密鑰;所述向基站返回保護(hù)信息集合響應(yīng)消息為與基站直接相連的接入網(wǎng)關(guān)將所述第一隨機(jī)數(shù)RAND、加密密鑰和完整性密鑰攜帶于保護(hù)信息集合響應(yīng)消息中,發(fā)送給基站。
較佳地,步驟A所述UE向基站發(fā)送無線連接建立請求消息的同時,該方法進(jìn)一步包括UE將自身支持的安全算法發(fā)送給基站;步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信包括基站從來自于UE的安全算法中選擇自身支持的安全算法,并生成第二隨機(jī)數(shù)FRESH,而后將所選擇的安全算法、第二隨機(jī)數(shù)FRESH以及第一隨機(jī)數(shù)RAND攜帶于由完整性密鑰保護(hù)的無線連接建立消息中,發(fā)送給UE;步驟B所述UE完成無線連接的建立后通知接入網(wǎng)設(shè)備之前,該方法進(jìn)一步包括UE從無線連接建立消息中解析出所述第一隨機(jī)數(shù)RAND并通過解析出來的第一隨機(jī)數(shù)RAND以及自身保存的共享密鑰,推導(dǎo)出與基站中相同的加密密鑰和完整性密鑰。
其中,步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信包括基站生成第二隨機(jī)數(shù)FRESH,而后將該基站支持的安全算法、第二隨機(jī)數(shù)FRESH以及第一隨機(jī)數(shù)RAND攜帶于由完整性密鑰保護(hù)的無線連接建立消息中,發(fā)送給UE;步驟B所述UE完成無線連接的建立后通知接入網(wǎng)設(shè)備之前,該方法進(jìn)一步包括UE根據(jù)自身的特性,從接收到的基站支持的安全算法中選擇用于本次無線連接中的安全算法,并將所選擇的安全算法返回給基站。
較佳地,步驟B所述UE完成無線連接的建立后通知接入網(wǎng)設(shè)備之前,該方法進(jìn)一步包括UE從無線連接建立消息中解析出所述第一隨機(jī)數(shù)RAND并通過解析出來的第一隨機(jī)數(shù)RAND以及自身保存的共享密鑰,推導(dǎo)出與基站中相同的加密密鑰和完整性密鑰。
其中,步驟B所述UE完成無線連接的建立后通知接入網(wǎng)設(shè)備為UE在成功驗證無線連接消息的完整性之后,采用所述安全關(guān)聯(lián)對無線連接建立確認(rèn)消息進(jìn)行保護(hù),并將被保護(hù)的無線連接建立確認(rèn)消息發(fā)送給基站,指明無線連接建立完成。
應(yīng)用本發(fā)明,能夠減少UE在接入核心網(wǎng)過程中的時間延遲。具體而言,本發(fā)明具有如下有益效果在本發(fā)明中,UE和核心網(wǎng)設(shè)備均保存有上一次無線連接過程中使用的安全參數(shù),本次無線連接建立過程使用上一次無線連接中的安全參數(shù)對無線信令進(jìn)行安全保護(hù),而無需重新協(xié)商全部的安全參數(shù),這使得接入過程中需要傳輸?shù)男畔⒘看蟠鬁p少,因此,有效地縮短接入過程的時間延遲。
另外,在UE接收到核心網(wǎng)設(shè)備關(guān)于本次無線連接的安全參數(shù)的消息后,UE對該條消息執(zhí)行完整性驗證,并在驗證成功的情況下執(zhí)行后續(xù)的流程,能夠有效地避免無線連接建立過程中的惡意攻擊,為合法用戶享受網(wǎng)絡(luò)服務(wù)提供保障。進(jìn)一步,UE和核心網(wǎng)設(shè)備確定全部的安全參數(shù)之后,采用安全參數(shù)對無線連接建立過程中的后續(xù)信令進(jìn)行安全保護(hù),從而有效地提高了無線連接建立過程的安全性。
下面將通過參照附圖詳細(xì)描述本發(fā)明的示例性實施例,使本領(lǐng)域的普通技術(shù)人員更清楚本發(fā)明的上述及其它特征和優(yōu)點,附圖中圖1為現(xiàn)有的RRC連接建立方法的流程圖;圖2為本發(fā)明無線連接建立的方法流程圖;圖3為本發(fā)明實施例1中無線連接建立方法的信令流程圖;圖4為本發(fā)明實施例2中無線連接建立方法的信令流程圖;圖5為本發(fā)明實施例3中無線連接建立方法的信令流程圖;圖6為本發(fā)明實施例4中無線連接建立方法的信令流程圖。
具體實施例方式
為使本發(fā)明的目的、技術(shù)方案更加清楚明白,以下參照附圖并舉實施例,對本發(fā)明做進(jìn)一步的詳細(xì)說明。
本發(fā)明中無線連接建立方法的基本思想是UE和核心網(wǎng)設(shè)備預(yù)先保存該UE在上一次無線連接中的無線信令的安全參數(shù),本次的無線連接建立過程使用上一次無線連接中的安全參數(shù)對無線信令進(jìn)行安全保護(hù)。
在移動通信網(wǎng)絡(luò)中,安全關(guān)聯(lián)是指用于保護(hù)通信的全部安全參數(shù)的集合,這里的安全參數(shù)例如包括安全算法、密鑰以及安全關(guān)聯(lián)生命期等。UE和核心網(wǎng)設(shè)備中所保存的安全參數(shù)的集合被稱為是保護(hù)信息集合。
圖2示出了本發(fā)明無線連接建立方法的流程圖。本發(fā)明預(yù)先在UE和核心網(wǎng)設(shè)備中保存上一次連接中的安全參數(shù)信息,參見圖2,本發(fā)明中的無線連接建立方法包括在步驟201中,UE請求接入網(wǎng)設(shè)備建立無線連接;在步驟202中,接入網(wǎng)設(shè)備與保存該UE在上一次無線連接中的安全參數(shù)的核心網(wǎng)設(shè)備交互,獲得該UE的安全參數(shù);在步驟203中,接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信;在步驟204中,UE完成無線連接的建立并通知接入網(wǎng)設(shè)備。
下面以核心網(wǎng)設(shè)備為演進(jìn)UTRAN中的接入網(wǎng)關(guān)(AGW)、接入網(wǎng)設(shè)備為基站(BS)為例,對本發(fā)明的無線連接建立方法進(jìn)行詳細(xì)描述。
實施例1在本實施例中,預(yù)先保存的安全參數(shù)為上一次無線連接中所使用的安全關(guān)聯(lián)的全部安全參數(shù),即保護(hù)信息集合中為全部安全參數(shù)。
圖3示出了本實施例中無線連接建立方法的信令流程圖。如圖3所示,本實施例中無線連接建立的方法包括在步驟301中,UE向BS發(fā)送攜帶有該UE的身份標(biāo)識、保護(hù)信息集合標(biāo)識以及有關(guān)AGW的信息的無線連接建立請求消息,請求建立無線連接。
本實施例中的網(wǎng)絡(luò)架構(gòu)采用資源池(pool)方式,即BS與多個AGW相連,則本步驟中需要有關(guān)AGW的信息,來幫助BS找到存儲有UE在上一次無線連接中的安全參數(shù)的AGW。另外,本實施例也可以預(yù)先設(shè)置UE與AGW之間的對應(yīng)關(guān)系,這樣,BS根據(jù)接收到的UE的身份標(biāo)識,在預(yù)先設(shè)置的對應(yīng)關(guān)系中找到該UE對應(yīng)的AGW,因此本步驟的無線連接建立請求消息中不必攜帶有關(guān)AGW的信息。
在步驟302~303中,BS向AGW發(fā)送攜帶有UE身份標(biāo)識的保護(hù)信息集合請求消息,AGW根據(jù)接收到的UE身份標(biāo)識,將對應(yīng)的保護(hù)信息集合攜帶于保護(hù)信息集合響應(yīng)消息中,返回給BS。
在BS根據(jù)接收到的無線連接建立請求消息確定保存安全參數(shù)的AGW之后,將UE的身份標(biāo)識發(fā)送給所確定的AGW。AGW接收到來自于BS的保護(hù)信息集合請求消息后,從該消息中解析出UE的身份標(biāo)識,而后從自身查找到該UE對應(yīng)的保護(hù)信息集合,并通過保護(hù)信息集合響應(yīng)消息,將查找到的保護(hù)信息集合返回給BS。
在步驟304中,BS從接收到的保護(hù)信息集合中選擇自身支持的安全參數(shù),獲得本次無線連接中用于保護(hù)通信的安全關(guān)聯(lián),并通過無線連接建立消息來指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
本步驟中,BS根據(jù)保護(hù)信息集合的生命期以及自身是否支持該保護(hù)信息集合中的安全算法等,確定是否繼續(xù)使用接收到的保護(hù)信息集合。在確定繼續(xù)使用該保護(hù)信息集合的情況下,BS將保護(hù)信息集合中的安全參數(shù)確定為本次無線連接過程中用于保護(hù)無線信令的安全參數(shù),換言之,本次無線連接過程中的安全關(guān)聯(lián)為保護(hù)信息集合中的全部安全參數(shù)。而后,BS通過無線連接建立消息,將保護(hù)信息集合中UE所需的安全參數(shù)發(fā)送給UE,并通知UE使用保護(hù)信息集合中的安全參數(shù)對應(yīng)的安全關(guān)聯(lián)對本次無線連接進(jìn)行保護(hù)。
在步驟305中,UE在成功驗證無線連接消息的完整性之后,向BS發(fā)送采用接收到的安全參數(shù)保護(hù)的無線連接建立確認(rèn)消息,指明無線連接建立完成。
本步驟中,UE從接收到的無線連接建立消息中解析出全部安全參數(shù),并對這些安全參數(shù)進(jìn)行完整性驗證,以確定該條消息未被篡改。在通過驗證之后,采用接收到的安全參數(shù)中的完整性密鑰和完整性算法對無線連接確認(rèn)消息進(jìn)行完整性保護(hù),并采用加密密鑰和加密算法進(jìn)行機(jī)密性保護(hù)。此條消息也可以只進(jìn)行完整性保護(hù),而不進(jìn)行機(jī)密性保護(hù)。
至此,完成本實施例中無線連接建立的流程。
本實施例中采用資源池的方式,即BS可以與保存上一次無線連接中使用的安全參數(shù)的AGW直接通信,并且AGW中保存了安全關(guān)聯(lián)中的全部安全參數(shù),因此本次無線連接建立過程中直接從AGW中取回UE對應(yīng)的所有安全參數(shù),而無需執(zhí)行安全參數(shù)協(xié)商的操作,有效地縮短了接入時延。另外,UE接收到BS的無線連接消息時,對該消息進(jìn)行完整性驗證,以確保該消息未被篡改過,并且向BS指明無線連接建立完成時,采用接收到的安全參數(shù)對無線連接確認(rèn)消息進(jìn)行安全保護(hù),因此無線連接的安全性得到了有效的提高。
實施例2在本實施例中,預(yù)先保存的安全參數(shù)為上一次無線連接中的安全密鑰信息。并且,UE移動到不同的接入網(wǎng)控制范圍之內(nèi),BS無法與保存上一次無線連接中的安全密鑰信息的AGW直接通信。本實施例中,與BS直接相連的AGW為AGWnew,而保存上一次無線連接中的安全密鑰信息的AGW為AGWold,BS不能直接與AGWold相連。UE與AGWold共享密鑰K,用于推導(dǎo)出本次無線連接中保護(hù)無線連接信令的安全密鑰。
圖4示出了本實施例中無線連接建立方法的信令流程圖。參見圖4,本實施例的無線連接建立方法包括在步驟401中,UE向BS發(fā)送攜帶有該UE的身份標(biāo)識、保護(hù)信息集合標(biāo)識、有關(guān)AGWold的信息以及UE支持的安全算法的無線連接建立請求消息,請求建立無線連接。
本實施例中BS只與一個AGWnew相連,再通過AGWnew與AGWold進(jìn)行通信。因此,本步驟無需攜帶AGWnew的信息。另外,本步驟中,有關(guān)AGWold的信息可以為AGWold的標(biāo)識,幫助BS找到存儲有UE在上一次無線連接中的安全關(guān)聯(lián)信息的AGW。本實施例也可以預(yù)先設(shè)置UE與AGWold之間的對應(yīng)關(guān)系,這樣,BS根據(jù)接收到的UE的身份標(biāo)識,在預(yù)先設(shè)置的對應(yīng)關(guān)系中找到該UE對應(yīng)的AGWold,因此本步驟的無線連接建立請求消息中不必攜帶有關(guān)AGWold的信息。
另外,本步驟中的無線連接建立請求消息還攜帶有UE支持的安全算法,其目的在于便于后續(xù)步驟中BS確定本次無線連接中使用的安全算法。由于每個UE能夠支持多于一種的安全算法,因此可以通過安全算法列表的方式來進(jìn)行上報。
在步驟402中,BS向AGWnew發(fā)送攜帶有UE身份標(biāo)識、保護(hù)信息集合標(biāo)識以及有關(guān)AGWold的信息的保護(hù)信息集合請求消息,請求獲得上一次無線連接中的安全參數(shù)。
本步驟中,BS從來自于UE的無線連接建立請求消息中解析出UE的身份標(biāo)識、保護(hù)信息集合標(biāo)識、有關(guān)AGWold的信息以及UE支持的安全算法,對UE支持的安全算法進(jìn)行保存之后,將UE的身份標(biāo)識、保護(hù)信息集合標(biāo)識和有關(guān)AGWold的信息都放入保護(hù)信息集合請求消息之中,發(fā)送給AGWnew。
在步驟403~404中,AGWnew根據(jù)來自于BS的保護(hù)信息集合請求消息,向?qū)?yīng)的AGWold發(fā)送攜帶有UE的身份標(biāo)識和保護(hù)信息集合標(biāo)識的保護(hù)信息集合請求消息;AGWold根據(jù)接收到的消息,在自身查找對應(yīng)的保護(hù)信息集合,并通過保護(hù)信息集合響應(yīng)消息,將查找到的保護(hù)信息集合返回給AGWnew。
AGWnew按照來自于BS的保護(hù)信息集合請求消息中攜帶的有關(guān)AGWold的信息,確定對應(yīng)的AGWold。由于AGWold所保存的保護(hù)信息集合中只有上一次無線連接中的安全密鑰,因此AGWold在向AGWnew返回保護(hù)信息集合響應(yīng)消息時,僅將該UE對應(yīng)的安全密鑰攜帶于該消息中。此處的安全密鑰中包含有UE和AGWold共享的共享密鑰K。
在步驟405中,AGWnew生成第一隨機(jī)數(shù)RAND,根據(jù)接收到的共享密鑰K推導(dǎo)出加密密鑰和完整性密鑰,并通過保護(hù)信息集合響應(yīng)消息,將第一隨機(jī)數(shù)RAND、加密密鑰和完整性密鑰發(fā)送給BS。
本步驟中,AGWnew首先生成一個第一隨機(jī)數(shù)RAND,然后再利用該第一隨機(jī)數(shù)RAND推導(dǎo)出加密密鑰和完整性密鑰。以通過常用的SHA-1算法進(jìn)行推導(dǎo)為例,具體的推導(dǎo)方法為加密密鑰=SHA-1(“加密密鑰(cipherkey)”,BS身份標(biāo)識,RAND,用戶身份標(biāo)識,K);完整性密鑰=SHA-1(“完整性密鑰(integrity key)”,BS身份標(biāo)識,RAND,用戶身份標(biāo)識,K)。其中的K為UE和AGWold所共享的密鑰K。
在步驟406~407中,BS從來自于UE的安全算法中選擇自身支持的安全算法,并生成作為完整性算法的參數(shù)之一的第二隨機(jī)數(shù)FRESH,而后將所選擇的安全算法、第二隨機(jī)數(shù)FRESH以及第一隨機(jī)數(shù)RAND攜帶于由完整性密鑰保護(hù)的無線連接建立消息中,發(fā)送給UE;UF在成功驗證無線連接消息的完整性之后,向BS發(fā)送采用接收到的安全參數(shù)進(jìn)行保護(hù)的表示無線連接建立完成的無線連接建立確認(rèn)消息。
BS根據(jù)自身的特性,在步驟401中接收到的安全算法中進(jìn)行選擇,選出該BS支持的安全算法,并將所選定的安全算法作為本次無線連接中使用的安全算法。另外,BS所生成的第二隨機(jī)數(shù)FRESH的作用在于作為完整性算法的輸入?yún)?shù)。
UE在接收到無線連接建立消息后,從該消息中解析出安全算法、第二隨機(jī)數(shù)FRESH和第一隨機(jī)數(shù)RAND,并通過解析出來的第一隨機(jī)數(shù)RAND以及自身保存的密鑰K,推導(dǎo)出與BS中相同的加密密鑰和完整性密鑰。而后,UE利用完整性密鑰和第二隨機(jī)數(shù)FRESH進(jìn)行完整性驗證,并且在通過驗證之后,采用接收到的安全參數(shù)中的完整性密鑰和完整性算法對無線連接確認(rèn)消息進(jìn)行完整性保護(hù),并采用加密密鑰和加密算法進(jìn)行機(jī)密性保護(hù)。此條消息也可以只進(jìn)行完整性保護(hù),而不進(jìn)行機(jī)密性保護(hù)。
至此,結(jié)束本實施例中的無線連接建立流程。
本實施例中,作為UE可以在步驟401中向BS發(fā)送安全算法的替代方式,可以由BS在步驟406中通過無線連接建立消息,將該BS支持的安全算法下發(fā)給UE,UE根據(jù)自身的特性進(jìn)行選擇之后,在步驟407中通過無線連接建立確認(rèn)消息,將所選擇的安全算法返回給BS。
BS通過AGWnew與保存上一次無線連接中使用的安全參數(shù)的AGWold進(jìn)行通信,雖然AGWold中只保存了保護(hù)信息集合中的安全密鑰,但是本實施例僅執(zhí)行部分安全參數(shù)的協(xié)商,因此能夠有效地縮短接入時延。另外,UE接收到BS的無線連接消息時,對該消息進(jìn)行完整性驗證,以確保該消息未被篡改過,并且向BS指明無線連接建立完成時,采用接收到的安全參數(shù)對無線連接確認(rèn)消息進(jìn)行安全保護(hù),因此無線連接的安全性得到了有效的提高。
另外,在本實施例中,如果UE和AGWold中保存了全部安全參數(shù),則與實施例1的區(qū)別在于BS與AGWold之間的所有交互都要通過AGWnew來進(jìn)行。具體的區(qū)別為在步驟302~303中,BS通過AGWnew向AGWold發(fā)送攜帶有UE身份標(biāo)識的保護(hù)信息集合請求消息,AGWold根據(jù)接收到的UE身份標(biāo)識,將對應(yīng)的保護(hù)信息集合攜帶于保護(hù)信息集合響應(yīng)消息中,通過AGWnew返回給BS。
本實施例中對加密密鑰的協(xié)商方法同樣適于BS與保存上一次無線連接中的安全參數(shù)的AGW直接相連的情況。在此情況下,AGWold和AGWnew合并為一體,成為與BS直接相連的AGW。
實施例3本實施例中,BS能夠直接與保存上一次無線連接中的安全參數(shù)的AGW進(jìn)行直接通信,UE和AGW中保存的安全參數(shù)為安全關(guān)聯(lián)中的全部參數(shù),但是BS不支持其中的加密算法。另外,AGW中還保存有UE的安全能力信息。
圖5示出了本實施例中無線連接建立方法的信令流程圖。參見圖5,本實施例的無線連接建立方法包括在步驟501中,UE向BS發(fā)送攜帶有該UE的身份標(biāo)識、保護(hù)信息集合標(biāo)識以及有關(guān)AGW的信息的無線連接建立請求消息,請求建立無線連接。
在步驟502~503中,BS向AGW發(fā)送攜帶有UE身份標(biāo)識的保護(hù)信息集合請求消息,AGW根據(jù)接收到的UE身份標(biāo)識,將對應(yīng)的保護(hù)信息集合以及該UE的安全能力信息一起攜帶于保護(hù)信息集合響應(yīng)消息中,返回給BS。此處的安全能力包括諸如UE所支持的安全算法之類的安全相關(guān)信息。
在BS根據(jù)接收到的無線連接建立請求消息確定保存安全參數(shù)的AGW之后,將UE的身份標(biāo)識發(fā)送給所確定的AGW。AGW接收到來自于BS的保護(hù)信息集合請求消息后,從該消息中解析出UE的身份標(biāo)識,而后從自身查找到該UE對應(yīng)的保護(hù)信息集合以及安全能力,并通過保護(hù)信息集合響應(yīng)消息,將查找到的保護(hù)信息集合返回給BS。
在步驟504中,BS確定自身無法使用該保護(hù)信息集合中的加密算法,并根據(jù)接收到的保護(hù)信息集合響應(yīng)消息,對加密算法進(jìn)行協(xié)商。
本步驟中,BS從接收到的保護(hù)信息集合響應(yīng)消息中解析出保護(hù)信息集合和UE的安全能力信息,并根據(jù)保護(hù)信息集合的生命期以及自身是否支持該保護(hù)信息集合中的安全算法等,確定是否繼續(xù)使用接收到的保護(hù)信息集合。在BS確定自身不支持保護(hù)信息集合中的加密算法時,BS根據(jù)解析出的UE的安全能力信息,從BS支持的加密算法中選擇對于UE和該BS均適合的加密算法。此時,本次無線連接中的安全關(guān)聯(lián)由所選擇的加密算法和保護(hù)信息集合中的其他安全參數(shù)組成。
在步驟505~506中,BS將所選擇的加密算法以及來自于AGW的其他安全參數(shù)攜帶于無線連接建立消息中,發(fā)送給UE;UE成功驗證無線連接建立請求消息的完整性之后,向BS發(fā)送采用接收到的安全參數(shù)保護(hù)的無線連接建立確認(rèn)消息,指明無線連接建立完成。
此處,UE從接收到的無線連接建立消息中解析出加密算法,并對該條消息進(jìn)行完整性驗證。在通過驗證之后,UE采用接收到的安全參數(shù)中的完整性密鑰和完整性算法對無線連接確認(rèn)消息進(jìn)行完整性保護(hù),并采用加密密鑰和加密算法進(jìn)行機(jī)密性保護(hù)。此條消息也可以只進(jìn)行完整性保護(hù),而不進(jìn)行機(jī)密性保護(hù)。
至此,完成本實施例中無線連接建立的流程。
在AGW未保存UE的安全能力信息時,AGW發(fā)送給BS的保護(hù)信息集合響應(yīng)消息中則不存在UE的安全能力。UE可以通過步驟501中的無線連接建立請求消息,將自身的安全能力上報給BS,并且BS再在步驟504中確定對于UE和該BS均適合的加密算法,并在步驟505的無線連接建立消息中向UE指明使用對應(yīng)的安全關(guān)聯(lián)保護(hù)本次無線連接。另外,也可以在步驟503之后通過與UE的交互,進(jìn)行安全參數(shù)協(xié)商。
本實施例中,BS可以與保存上一次無線連接中使用的安全關(guān)聯(lián)信息的AGW直接通信,AGW中保存了保護(hù)信息集合中的全部安全參數(shù),但是BS不支持保護(hù)信息集合中的加密算法。因此本次無線連接建立過程中僅執(zhí)行加密算法的協(xié)商,其他安全參數(shù)均直接從AGW中取回,從而有效地縮短了接入時延。另外,UE接收到BS的無線連接消息時,對該消息進(jìn)行完整性驗證,以確保該消息未被篡改過,并且向BS指明無線連接建立完成時,采用接收到的安全參數(shù)對無線連接確認(rèn)消息進(jìn)行安全保護(hù),因此無線連接的安全性得到了有效的提高。
實施例4在本實施例中,BS可以與保存上一次無線連接中使用的安全關(guān)聯(lián)信息的AGW直接通信,但是AGW中只保存了部分安全參數(shù)。此時,BS需要確定是否支持保護(hù)信息集合中的安全參數(shù),將不支持的安全參數(shù)與AGW中未保存的安全參數(shù)作為需要協(xié)商的安全參數(shù),并與UE進(jìn)行交互,完成對需要協(xié)商的安全參數(shù)的協(xié)商。
圖6示出了本實施例中無線連接建立方法的信令流程圖。參見圖6,本實施例的無線連接建立方法包括在步驟601中,UE向BS發(fā)送攜帶有該UE的身份標(biāo)識、保護(hù)信息集合標(biāo)識以及有關(guān)AGW的信息的無線連接建立請求消息,請求建立無線連接。
在步驟602~603中,BS向AGW發(fā)送攜帶有UE身份標(biāo)識的保護(hù)信息集合請求消息,AGW根據(jù)接收到的UE身份標(biāo)識,將對應(yīng)的保護(hù)信息集合攜帶于保護(hù)信息集合響應(yīng)消息中,返回給BS。
在步驟604中,BS將不支持的安全參數(shù)和保護(hù)信息集合中不存在的安全參數(shù)作為需要協(xié)商的安全參數(shù),并與UE交互,進(jìn)行安全參數(shù)的協(xié)商,確定本次無線連接中的安全關(guān)聯(lián)。
在步驟605~606中,BS通過無線連接建立消息,向UE指明使用與BS相對應(yīng)的安全關(guān)聯(lián)保護(hù)通信;UE成功驗證無線連接建立請求消息的完整性之后,向BS發(fā)送采用接收到的安全參數(shù)保護(hù)的無線連接建立確認(rèn)消息,指明無線連接建立完成。
在本實施例中,UE可以通過步驟601中的無線連接建立請求消息上報自身支持的安全參數(shù),則BS在步驟604中無需與UE交互,而是根據(jù)該BS的特性,在接收到的UE支持的安全參數(shù)中進(jìn)行選擇,完成需要協(xié)商的安全參數(shù)的確定。
本實施例中,UE和AGW中僅保存了部分安全參數(shù),并且BS不支持該部分安全參數(shù)中的某些安全參數(shù),則本次無線連接建立過程中僅對需要協(xié)商的安全參數(shù)執(zhí)行協(xié)商過程,從而有效地縮短了接入時延。另外,UE接收到BS的無線連接消息時,對該消息進(jìn)行完整性驗證,以確保該消息未被篡改過,并且向BS指明無線連接建立完成時,采用接收到的安全參數(shù)對無線連接確認(rèn)消息進(jìn)行安全保護(hù),因此無線連接的安全性得到了有效的提高。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種無線連接建立方法,其特征在于,該方法包括A.用戶設(shè)備UE請求接入網(wǎng)設(shè)備建立無線連接,接入網(wǎng)設(shè)備與保存該UE在上一次無線連接中的安全參數(shù)的核心網(wǎng)設(shè)備交互,獲得該UE的安全參數(shù);B.接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信,UE完成無線連接的建立后通知接入網(wǎng)設(shè)備。
2.如權(quán)利要求1所述的方法,其特征在于,所述接入網(wǎng)設(shè)備為基站,則步驟A所述UE請求接入網(wǎng)設(shè)備建立無線連接為UE向基站發(fā)送攜帶有該UE的身份標(biāo)識、保護(hù)信息集合標(biāo)識以及有關(guān)所述核心網(wǎng)設(shè)備的信息的無線連接建立請求消息,請求建立無線連接。
3.如權(quán)利要求2所述的方法,其特征在于,步驟A所述接入網(wǎng)設(shè)備與保存該UE在上一次無線連接中的安全參數(shù)的核心網(wǎng)設(shè)備交互,獲得該UE的安全參數(shù)包括基站向與該基站直接相連的接入網(wǎng)關(guān)發(fā)送攜帶有UE身份標(biāo)識和保護(hù)信息集合標(biāo)識的保護(hù)信息集合請求消息,接入網(wǎng)關(guān)根據(jù)接收到的UE身份標(biāo)識,將對應(yīng)的保護(hù)信息集合攜帶于保護(hù)信息集合響應(yīng)消息中,返回給基站。
4.如權(quán)利要求3所述的方法,其特征在于,所述無線連接建立請求消息中進(jìn)一步包括接入網(wǎng)關(guān)的信息,則所述基站向接入網(wǎng)關(guān)發(fā)送保護(hù)信息集合請求消息之前,該方法進(jìn)一步包括基站根據(jù)所述無線連接建立請求消息中的接入網(wǎng)關(guān)的信息,確定保存所述安全參數(shù)的接入網(wǎng)關(guān)。
5.如權(quán)利要求3所述的方法,其特征在于,步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信為基站根據(jù)接收到的保護(hù)信息集合,獲得本次無線連接中用于保護(hù)通信的安全關(guān)聯(lián),并通過無線連接建立消息來指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
6.如權(quán)利要求5所述的方法,其特征在于,所述獲得本次無線連接中用于保護(hù)通信的安全關(guān)聯(lián)為在基站確定繼續(xù)使用所述保護(hù)信息集合時,將保護(hù)信息集合中的安全參數(shù)作為本次無線連接過程中用于保護(hù)無線信令的安全關(guān)聯(lián)。
7.如權(quán)利要求3所述的方法,其特征在于,步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信為基站從接收到的保護(hù)信息集合響應(yīng)消息中解析出保護(hù)信息集合,在基站判定存在需要協(xié)商的安全參數(shù)時,基站與UE交互,對需要協(xié)商的安全參數(shù)進(jìn)行協(xié)商,并將所述經(jīng)過協(xié)商的安全參數(shù)和該基站支持的安全參數(shù)組成本次無線連接的安全關(guān)聯(lián),通過無線連接建立消息指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
8.如權(quán)利要求3所述的方法,其特征在于,所述無線連接建立請求消息中進(jìn)一步包括UE的安全能力信息;步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信為基站從接收到的保護(hù)信息集合響應(yīng)消息中解析出保護(hù)信息集合,在基站判定存在需要協(xié)商的安全參數(shù)時,根據(jù)該基站的特性,在接收到的UE支持的安全參數(shù)中進(jìn)行選擇,并將所選擇的安全參數(shù)和該基站支持的安全參數(shù)組成本次無線連接的安全關(guān)聯(lián),通過無線連接建立消息指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
9.如權(quán)利要求7或8所述的方法,其特征在于,所述保護(hù)信息集合中包含上一次無線連接中的全部安全參數(shù),則所述基站判定存在需要協(xié)商的安全參數(shù)為在存在基站不支持的安全參數(shù)時,將基站不支持的安全參數(shù)作為需要協(xié)商的安全參數(shù)。
10.如權(quán)利要求7或8所述的方法,其特征在于,所述保護(hù)信息集合中僅包含上一次無線連接中的部分安全參數(shù),則所述基站判定存在需要協(xié)商的安全參數(shù)為在存在基站不支持的安全參數(shù)時,將基站不支持的安全參數(shù)以及所述保護(hù)信息集合中未包含的安全參數(shù)作為需要協(xié)商的安全參數(shù);在基站支持所述保護(hù)信息集合中的全部安全參數(shù)時,將所述保護(hù)信息集合中未包含的安全參數(shù)作為需要協(xié)商的安全參數(shù)。
11.如權(quán)利要求3所述的方法,其特征在于,所述UE和核心網(wǎng)設(shè)備進(jìn)一步保存該UE的安全能力信息,則所述保護(hù)信息集合響應(yīng)消息進(jìn)一步包括UE的安全能力信息;步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信為基站從接收到的保護(hù)信息集合響應(yīng)消息中解析出保護(hù)信息集合和UE的安全能力信息,在確定該基站不支持所述保護(hù)信息集合中的部分安全參數(shù)時,基站根據(jù)解析出的UE的安全能力信息,選擇對于UE和該基站均適合的安全參數(shù),并將所選擇的安全參數(shù)和所述保護(hù)信息集合中的其他安全參數(shù)確定為本次無線連接中的安全關(guān)聯(lián),而后基站通過無線連接建立消息指示UE使用相應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)。
12.如權(quán)利要求5、7、8或11或所述的方法,其特征在于,所述通過無線連接建立消息來指示UE使用對應(yīng)的安全關(guān)聯(lián)對通信進(jìn)行保護(hù)為基站通過無線連接建立消息,將UE所需的安全參數(shù)發(fā)送給UE,并通知UE使用保護(hù)信息集合中的安全參數(shù)對應(yīng)的安全關(guān)聯(lián)對本次無線連接進(jìn)行保護(hù)。
13.如權(quán)利要求2所述的方法,其特征在于,步驟A所述接入網(wǎng)設(shè)備與保存該UE在上一次無線連接中的安全參數(shù)的核心網(wǎng)設(shè)備交互,獲得該UE的安全參數(shù)包括基站向與該基站直接相連的新接入網(wǎng)關(guān)發(fā)送攜帶有UE身份標(biāo)識的保護(hù)信息集合請求消息,新接入網(wǎng)關(guān)將所述保護(hù)信息集合請求消息轉(zhuǎn)發(fā)給原接入網(wǎng)關(guān),原接入網(wǎng)關(guān)根據(jù)接收到的UE身份標(biāo)識,將對應(yīng)的保護(hù)信息集合攜帶于保護(hù)信息集合響應(yīng)消息中,發(fā)送給新接入網(wǎng)關(guān),新接入網(wǎng)關(guān)再向基站返回保護(hù)信息集合響應(yīng)消息。
14.如權(quán)利要求13所述的方法,其特征在于,所述無線連接建立請求消息中進(jìn)一步包括原接入網(wǎng)關(guān)的信息,則所述基站向新接入網(wǎng)關(guān)發(fā)送保護(hù)信息集合請求消息的同時,該方法進(jìn)一步包括基站將原接入網(wǎng)關(guān)的信息發(fā)送給新接入網(wǎng)關(guān);所述新接入網(wǎng)關(guān)將所述保護(hù)信息集合請求消息轉(zhuǎn)發(fā)給原接入網(wǎng)關(guān)之前,該方法進(jìn)一步包括新接入網(wǎng)關(guān)根據(jù)所述原接入網(wǎng)關(guān)的信息確定保存所述安全參數(shù)的原接入網(wǎng)關(guān)。
15.如權(quán)利要求3或13所述的方法,其特征在于,在所述向基站返回保護(hù)信息集合響應(yīng)消息之前,該方法進(jìn)一步包括與基站直接相連的接入網(wǎng)關(guān)生成第一隨機(jī)數(shù)RAND,根據(jù)接收到的安全密鑰中的共享密鑰推導(dǎo)出加密密鑰和完整性密鑰;所述向基站返回保護(hù)信息集合響應(yīng)消息為與基站直接相連的接入網(wǎng)關(guān)將所述第一隨機(jī)數(shù)RAND、加密密鑰和完整性密鑰攜帶于保護(hù)信息集合響應(yīng)消息中,發(fā)送給基站。
16.如權(quán)利要求15所述的方法,其特征在于,步驟A所述UE向基站發(fā)送無線連接建立請求消息的同時,該方法進(jìn)一步包括UE將自身支持的安全算法發(fā)送給基站;步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信包括基站從來自于UE的安全算法中選擇自身支持的安全算法,并生成第二隨機(jī)數(shù)FRESH,而后將所選擇的安全算法、第二隨機(jī)數(shù)FRESH以及第一隨機(jī)數(shù)RAND攜帶于由完整性密鑰保護(hù)的無線連接建立消息中,發(fā)送給UE;步驟B所述UE完成無線連接的建立后通知接入網(wǎng)設(shè)備之前,該方法進(jìn)一步包括UE從無線連接建立消息中解析出所述第一隨機(jī)數(shù)RAND并通過解析出來的第一隨機(jī)數(shù)RAND以及自身保存的共享密鑰,推導(dǎo)出與基站中相同的加密密鑰和完整性密鑰。
17.如權(quán)利要求15所述的方法,其特征在于,步驟B所述接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信包括基站生成第二隨機(jī)數(shù)FRESH,而后將該基站支持的安全算法、第二隨機(jī)數(shù)FRESH以及第一隨機(jī)數(shù)RAND攜帶于由完整性密鑰保護(hù)的無線連接建立消息中,發(fā)送給UE;步驟B所述UE完成無線連接的建立后通知接入網(wǎng)設(shè)備之前,該方法進(jìn)一步包括UE根據(jù)自身的特性,從接收到的基站支持的安全算法中選擇用于本次無線連接中的安全算法,并將所選擇的安全算法返回給基站。
18.如權(quán)利要求17所述的方法,其特征在于,步驟B所述UE完成無線連接的建立后通知接入網(wǎng)設(shè)備之前,該方法進(jìn)一步包括UE從無線連接建立消息中解析出所述第一隨機(jī)數(shù)RAND并通過解析出來的第一隨機(jī)數(shù)RAND以及自身保存的共享密鑰,推導(dǎo)出與基站中相同的加密密鑰和完整性密鑰。
19.如權(quán)利要求1所述的方法,其特征在于,步驟B所述UE完成無線連接的建立后通知接入網(wǎng)設(shè)備為UE在成功驗證無線連接消息的完整性之后,采用所述安全關(guān)聯(lián)對無線連接建立確認(rèn)消息進(jìn)行保護(hù),并將被保護(hù)的無線連接建立確認(rèn)消息發(fā)送給基站,指明無線連接建立完成。
全文摘要
本發(fā)明公開了一種無線連接建立方法,該方法包括A.用戶設(shè)備UE請求接入網(wǎng)設(shè)備建立無線連接,接入網(wǎng)設(shè)備與保存該UE在上一次無線連接中的安全參數(shù)的核心網(wǎng)設(shè)備交互,獲得該UE的安全參數(shù);B.接入網(wǎng)設(shè)備根據(jù)接收到的安全參數(shù)獲得保護(hù)本次無線連接的安全關(guān)聯(lián),并指示UE使用對應(yīng)的安全關(guān)聯(lián)保護(hù)通信,UE完成無線連接的建立后通知接入網(wǎng)設(shè)備。本發(fā)明能夠有效地減少接入時延,并提高無線連接建立過程的安全性。
文檔編號H04W88/02GK101060712SQ20061007643
公開日2007年10月24日 申請日期2006年4月20日 優(yōu)先權(quán)日2006年4月20日
發(fā)明者陳璟, 湯彬凇, 王宗杰 申請人:華為技術(shù)有限公司