專利名稱:終端的通信方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,特別涉及一種終端的通信方法���、設(shè)備和系統(tǒng)��。
背景技術(shù):
機(jī)器對機(jī)器(Machine to Machine ;M2M)技術(shù)是無線通信和信息技術(shù)的整合,無需人工干預(yù)�����,機(jī)器和機(jī)器之間可以直接進(jìn)行通信����。M2M技術(shù)應(yīng)用廣泛���,包括自動儀表����、遠(yuǎn)程監(jiān)控、工業(yè)安全與家庭自動化�、支付系統(tǒng)以及車輛遠(yuǎn)程控制等領(lǐng)域。M2M主要有三種方式機(jī)器對機(jī)器�、機(jī)器對移動電話、移動電話對機(jī)器��。在M2M中�����,M2M設(shè)備可以通過遠(yuǎn)距離連接技術(shù)和近距離連接技術(shù)接入網(wǎng)絡(luò)�,涉及的遠(yuǎn)距離連接技術(shù)包括全球移動通信系統(tǒng)(Global System for Mobile communications ;GSM)、通用分組無線業(yè)務(wù)(General Packet Radio Service ;GPRS)�����、通用移動通信系統(tǒng)(Universal Mobile Telecommunications System ;UMTS)�、系統(tǒng)架構(gòu)演進(jìn)(System Architecture Evolution ;SAE)�、全球微波互聯(lián)接入(Worldwide Interoperability for Microwave Access ;WiMAX)等無線接入類型(Radio Access Type ;RAT)等技術(shù)�����;近距離連接技術(shù)包括802. llb/g、藍(lán)牙(BlueTooth)���、無線射頻識別技術(shù)(Radio Frequency Identification ��;RFID)和超寬帶(Ultra Wideband �;UWB)等技術(shù)��。M2M通信也稱為機(jī)器類通信(Machine TypeCommunication �����;MTC)�����,通常將M2M設(shè)備稱為MTC設(shè)備?���,F(xiàn)有技術(shù)中��,MTC設(shè)備或者智能手機(jī)等終端與網(wǎng)絡(luò)側(cè)設(shè)備通信前或與網(wǎng)絡(luò)側(cè)通信時處于不在線狀態(tài)��,或者與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信前處于去附著(detach)狀態(tài),或者應(yīng)用場景不涉及非接入層(Non-Access Stratum ��;NAS)和接入層(Access Stratum �;AS)的情況下,MTC設(shè)備或智能手機(jī)等終端和/或網(wǎng)絡(luò)側(cè)設(shè)備無法獲取安全上下文�,進(jìn)而無法對傳輸?shù)男畔⒌冗M(jìn)行機(jī)密性或完整性保護(hù)。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種終端的通信方法和設(shè)備����,解決現(xiàn)有技術(shù)中MTC設(shè)備或智能手機(jī)等終端或網(wǎng)絡(luò)側(cè)設(shè)備無法獲取安全上下文,進(jìn)而無法對傳輸?shù)男畔⒌冗M(jìn)行機(jī)密性或完整性保護(hù)的問題����。一方面,本發(fā)明實施例提供一種終端的通信方法��,包括第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密����,所述終端通信密鑰的根密鑰由所述第一設(shè)備和第二設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成,所述第一設(shè)備為終端����,所述第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備;或者����,所述第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�����,所述第二設(shè)備為終端��;所述第一設(shè)備將加密后的業(yè)務(wù)信息發(fā)送給所述第二設(shè)備�,以使得所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對接收的業(yè)務(wù)信息進(jìn)行解密����。本發(fā)明實施例還提供一種終端的通信方法,包括第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息�����,所述業(yè)務(wù)信息由所述第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰加密�,所述終端通信密鑰的根密鑰由所述第一設(shè)備和所述第二設(shè)備根據(jù)認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成�,所述第一設(shè)備為終端,所述第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�;或者,所述第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備���,所述第二設(shè)備為終端�����;所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密�����。另一方面���,本發(fā)明實施例提供一種用于終端通信的設(shè)備����,包括處理器���,用于采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密���,所述終端通信密鑰的根密鑰由本端設(shè)備和第二設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成,所述本端設(shè)備為終端�����,所述第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�����;或者,所述本端設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�,所述第二設(shè)備為終端;存儲器�����,用于存儲所述終端通信密鑰的根密鑰�;
發(fā)送器,用于將加密后的業(yè)務(wù)信息發(fā)送給所述第二設(shè)備���,以使得所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對接收的業(yè)務(wù)信息進(jìn)行解密����。本發(fā)明實施例還提供一種用于終端通信的設(shè)備����,包括接收器,用于接收第一設(shè)備發(fā)送的業(yè)務(wù)信息����,所述業(yè)務(wù)信息由所述第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰加密��,所述終端通信密鑰的根密鑰由所述本端設(shè)備和所述第一設(shè)備根據(jù)認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成�,所述第一設(shè)備為終端����,所述本端設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�;或者,所述第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�����,所述本端設(shè)備為終端����;存儲器,用于存儲所述終端通信密鑰的根密鑰��;處理器����,用于采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解
LU O本發(fā)明實施例提供的終端的通信方法和設(shè)備,當(dāng)終端與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信之前或與網(wǎng)絡(luò)側(cè)設(shè)備通信時處于不在線狀態(tài)����,或者終端與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信之前處于去附著狀態(tài),或者應(yīng)用場景不涉及NAS和AS的情況下��,終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息采用終端通信密鑰的根密鑰的衍生密鑰進(jìn)行加密��,終端通信密鑰的根密鑰根據(jù)終端與網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成,從而實現(xiàn)對終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息進(jìn)行安全性或完整性保護(hù)��。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹�����,顯而易見地���,下面描述中的附圖是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖�����。圖I為本發(fā)明提供的終端的通信方法一個實施例的流程圖���;圖2為本發(fā)明提供的終端的通信方法又一個實施例的流程圖����;圖3為本發(fā)明實施例提供的終端通信密鑰的根密鑰的衍生密鑰示意圖���;圖4為本發(fā)明提供的終端的通信方法另一個實施例的流程圖���;圖5為本發(fā)明提供的終端的通信方法再一個實施例的流程圖;圖6為本發(fā)明提供的終端的通信方法再一個實施例的流程圖7為本發(fā)明提供的終端的通信方法又一個實施例的流程圖���;圖8為本發(fā)明提供的終端的通信方法又一個實施例的流程圖���;圖9為本發(fā)明提供的用于終端通信的設(shè)備一個實施例的結(jié)構(gòu)示意圖;圖10為本發(fā)明提供的用于終端通信的設(shè)備另一個實施例的結(jié)構(gòu)示意圖�;圖11為本發(fā)明提供的用于終端的通信系統(tǒng)一個實施例的結(jié)構(gòu)示意圖。
具體實施例方式為使本發(fā)明實施例的目的��、技術(shù)方案和優(yōu)點更加清楚��,下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述��,顯然�����,所描述的實施例是本發(fā)明一部分實施例�����,而不是全部的實施例��?��;诒景l(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護(hù)的范圍�����。 圖I為本發(fā)明提供的終端的通信方法一個實施例的流程圖���,如圖I所示����,該方法包括S101����、第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密����,終端通信密鑰的根密鑰由第一設(shè)備和第二設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成,第一設(shè)備為終端����,第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備;或者�����,第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�,第二設(shè)備為終端����。S102�����、第一設(shè)備將加密后的業(yè)務(wù)信息發(fā)送給第二設(shè)備�����,以使得第二設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰對接收的業(yè)務(wù)信息進(jìn)行解密���。其中,第一設(shè)備可以為終端����,第二設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備;或者�,第一設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備,第二設(shè)備可以為終端�。終端可以是MTC設(shè)備或者智能手機(jī)等,網(wǎng)絡(luò)側(cè)設(shè)備具體可以是移動管理實體(Mobility Management Entity ;MME)����、演進(jìn)基站(eNodeB ;eNB)等設(shè)備。本發(fā)明實施例中�,第一設(shè)備向第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息之前可以處于不在線狀態(tài);或者��,第一設(shè)備向第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息時可以處于不在線狀態(tài);或者���,第一設(shè)備向第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息之前可以處于去附著狀態(tài)�����;還可以是,第一設(shè)備向第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息不涉及非接入層NAS和接入層AS���。即���,本發(fā)明實施例具體適用于終端與網(wǎng)絡(luò)側(cè)通信(可以是終端向網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息,或者是終端接收網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送的業(yè)務(wù)信息)之前�,終端處于不在線狀態(tài)或去附著狀態(tài);還可以是�,終端與網(wǎng)絡(luò)側(cè)設(shè)備通信之時,終端處于不在線狀態(tài)�����;還可以是����,終端與網(wǎng)絡(luò)側(cè)設(shè)備設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息部涉及NAS層和AS層���。MTC設(shè)備或者智能手機(jī)等終端在線(online)時,在與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行業(yè)務(wù)流程的過程中�,在每次認(rèn)證和密鑰協(xié)商(Authentication and key agreement ;AKA)流程后�,終端與網(wǎng)絡(luò)側(cè)設(shè)備均生成根密鑰,該根密鑰在不同的系統(tǒng)中具有不同的名稱����,例如在長期演進(jìn)(Long Term Evolution ;LTE)系統(tǒng)中�����,終端與網(wǎng)絡(luò)側(cè)設(shè)備在AKA之后生成Kasme根密鑰����;在全球移動通信系統(tǒng)(Global System of Mobile communication ;GSM)中,終端與網(wǎng)絡(luò)側(cè)設(shè)備在AKA之后生成Kc根密鑰�����;在寬帶碼多分址(Wideband Code Division MultipleAccess ����;WCDMA)系統(tǒng)中�,終端與網(wǎng)絡(luò)側(cè)設(shè)備在AKA之后生成的機(jī)密性(CK)或完整性密鑰(IK)等�。在其他通信系統(tǒng)中,終端與網(wǎng)絡(luò)側(cè)設(shè)備在AKA之后生成的根密鑰不一一列舉����。本發(fā)明提供的實施例中,終端與網(wǎng)絡(luò)側(cè)設(shè)備還分別根據(jù)AKA之后生成的根密鑰生成終端通信密鑰的根密鑰���,終端通信密鑰的根密鑰可以存儲在設(shè)備的非易失性(non-volatile)等存儲介質(zhì)中����,以保證終端通信密鑰的根密鑰的存儲安全性��。終端和網(wǎng)絡(luò)側(cè)設(shè)備在每次AKA之后�,都可以重新根據(jù)AKA之后生成的根密鑰生成終端通信密鑰的根密鑰��,因此��,存儲在終端或網(wǎng)絡(luò)側(cè)設(shè)備上的終端通信密鑰的根密鑰���,可以是根據(jù)終端和網(wǎng)絡(luò)側(cè)設(shè)備最近一次AKA之后生成的根密鑰生成����。其中,終端與網(wǎng)絡(luò)側(cè)設(shè)備在AKA之后生成的根密鑰為各個通信系統(tǒng)中的常規(guī)密鑰���,終端通信密鑰的根密鑰的衍生密鑰用于當(dāng)終端和/或網(wǎng)絡(luò)側(cè)設(shè)備沒有安全上下文時的通信場景(安全上下文可以是LTE系統(tǒng)中終端和網(wǎng)絡(luò)側(cè)設(shè)備AKA之后生成的Kasme根密鑰���,NAS層的密鑰,以及生成NAS層的密鑰所用到的參數(shù)等等)��,例如終端與網(wǎng)絡(luò)側(cè)設(shè)備通信前或與網(wǎng)絡(luò)側(cè)設(shè)備通信時處于不在線(offline)狀態(tài)���;或者是終端在與網(wǎng)絡(luò)側(cè)通信前處于去附著(detach)狀態(tài)�����,在通信過程中再附著(attach)到網(wǎng)絡(luò)中�����;或者是業(yè)務(wù)流程中不涉及NAS和AS層等情況下��。在以上列舉的這些情況下��,終端和/或網(wǎng)絡(luò)側(cè)設(shè)備會刪除AKA流程后生成的Kasme根密鑰���,NAS層的密鑰���,以及生成NAS層的密鑰所用到的參數(shù)等安全上下文,從而使終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息無法進(jìn)行機(jī)密性或完整性的保護(hù)��。本發(fā)明提供的實施例中��,當(dāng)終端和/或網(wǎng)絡(luò)側(cè)設(shè)備不具備安全上下文時���,終端和網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸業(yè)務(wù)信息���,可以采用由終端通信密鑰的根密鑰的衍生密鑰對傳輸?shù)臉I(yè)務(wù)信息進(jìn)行加密。其中����,終端和網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息可以是終端向網(wǎng)絡(luò)側(cè)設(shè)備上報的一些數(shù)據(jù)(例如小數(shù)據(jù)(small data)����,例如水表讀數(shù)、電表讀數(shù)等)���,或者是終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)母鞣N業(yè)務(wù)信令���,例如NAS信令���、無線資源控制協(xié)議(Radio ResourceControl ;RRC)信令等��。本實施例中涉及的加密是廣義概念��,加密可以是機(jī)密性保護(hù)����,還可以是完整性保護(hù)。機(jī)密性保護(hù)是對業(yè)務(wù)信息中的部分?jǐn)?shù)據(jù)進(jìn)行保護(hù)�����,完整性保護(hù)可以對整個業(yè)務(wù)信息進(jìn)行保護(hù)�。其中,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法可以預(yù)先配置在第一設(shè)備和第二設(shè)備上�����;還可以由第一設(shè)備和第二設(shè)備協(xié)商確定���。第一設(shè)備和第二設(shè)備可以在業(yè)務(wù)信息傳輸之前協(xié)商確定根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法����;還可以是,第一設(shè)備在發(fā)送業(yè)務(wù)信息時�����,在加密后的業(yè)務(wù)信息中攜帶根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法的算法標(biāo)識�����,從而使第二設(shè)備能夠獲知根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法�。第一設(shè)備可以根據(jù)終端通信密鑰的根密鑰,采用預(yù)先配置的算法��,或者與第二設(shè)備協(xié)商的算法生成衍生密鑰�����,并采用該衍生密鑰對需要發(fā)送給第二設(shè)備的業(yè)務(wù)信息進(jìn)行機(jī)密性或完整性保護(hù)�����。第二設(shè)備接收到業(yè)務(wù)信息后��,可以根據(jù)終端通信密鑰的根密鑰�,采用預(yù)先配置的算法,或者與第一設(shè)備協(xié)商確定的算法生成衍生密鑰�,并采用衍生密鑰對接收的加密后的業(yè)務(wù)信息進(jìn)行解密。本實施例提供的終端的通信方法����,當(dāng)終端與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信之前或與網(wǎng)絡(luò)側(cè)設(shè)備通信時處于不在線狀態(tài),或者終端與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信之前處于去附著狀態(tài)���,或者應(yīng)用場景不涉及NAS和AS的情況下�����,終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息采用終端通信密鑰的根密鑰的衍生密鑰進(jìn)行加密�,終端通信密鑰的根密鑰根據(jù)終端與網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成���,從而實現(xiàn)對終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息·進(jìn)行安全性或完整性保護(hù)�。圖2為本發(fā)明提供的終端的通信方法又一個實施例的流程圖���,如圖2所示�,該方法包括S201�、第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息,該業(yè)務(wù)信息由第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰加密���,終端通信密鑰的根密鑰由第一設(shè)備和第二設(shè)備根據(jù)認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成���,第一設(shè)備為終端�,第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備����;或者,第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備����,第二設(shè)備為終端。S202�、第二設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰,對業(yè)務(wù)信息進(jìn)行解密���。其中�����,第一設(shè)備可以為終端����,第二設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備�;或者,第一設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備����,第二設(shè)備可以為終端。 本發(fā)明實施例中����,第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息之前可以處于不在線狀 態(tài);或者�����,第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息時可以處于不在線狀態(tài)���;或者�����,第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息之前可以處于去附著狀態(tài)���;還可以是,第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息不涉及非接入層NAS和接入層AS�����。即,本發(fā)明實施例具體適用于終端與網(wǎng)絡(luò)側(cè)通信(可以是終端向網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息��,或者是終端接收網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送的業(yè)務(wù)信息)之前���,終端處于不在線狀態(tài)或去附著狀態(tài)�;還可以是���,終端與網(wǎng)絡(luò)側(cè)設(shè)備通信之時��,終端處于不在線狀態(tài)��;還可以是����,終端與網(wǎng)絡(luò)側(cè)設(shè)備設(shè)備之間傳輸?shù)臉I(yè)務(wù)Ih息部涉及NAS層和AS層���。MTC設(shè)備或者智能手機(jī)等終端在線(online)時�,在與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行業(yè)務(wù)流程的過程中,在每次AKA之后��,終端與網(wǎng)絡(luò)側(cè)設(shè)備均生成根密鑰����,例如LTE系統(tǒng)中的Kasme根密鑰�、GSM系統(tǒng)中的Kc根密鑰��、WCDMA系統(tǒng)中的機(jī)密性(CK)或完整性密鑰(IK)等��。本發(fā)明提供的實施例中��,終端與網(wǎng)絡(luò)設(shè)備還分別根據(jù)AKA之后生成的根密鑰生成終端通信密鑰的根密鑰�����,該終端通信密鑰的根密鑰可以存儲在設(shè)備的非易失性等存儲介質(zhì)中����,以保證終端通信密鑰的根密鑰的存儲安全性�����。終端和網(wǎng)絡(luò)側(cè)設(shè)備在每次AKA之后��,都可以重新根據(jù)AKA之后生成的根密鑰生成終端通信密鑰的根密鑰����,S卩,存儲在終端或網(wǎng)絡(luò)側(cè)設(shè)備上的終端通信密鑰的根密鑰�,可以是根據(jù)終端和網(wǎng)絡(luò)側(cè)設(shè)備最近一次AKA之后生成的根密鑰生成���。本發(fā)明提供的實施例中,當(dāng)終端和/或網(wǎng)絡(luò)側(cè)設(shè)備不具備安全上下文時���,終端和網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸業(yè)務(wù)信息��,可以采用由終端通信密鑰的根密鑰的衍生密鑰對傳輸?shù)臉I(yè)務(wù)信息進(jìn)行加密�����。加密可以是機(jī)密性保護(hù)�,還可以是完整性保護(hù)�。機(jī)密性保護(hù)是對業(yè)務(wù)信息中的部分?jǐn)?shù)據(jù)進(jìn)行保護(hù),完整性保護(hù)可以對整個業(yè)務(wù)信息進(jìn)行保護(hù)�。其中,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法可以預(yù)先配置在第一設(shè)備和第二設(shè)備上��;還可以由第一設(shè)備和第二設(shè)備協(xié)商確定����。第一設(shè)備和第二設(shè)備可以在業(yè)務(wù)信息傳輸之前協(xié)商確定根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法;還可以是���,第一設(shè)備在發(fā)送業(yè)務(wù)信息時�,在加密后的業(yè)務(wù)信息中攜帶根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法的算法標(biāo)識,從而使第二設(shè)備能夠獲知根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法�。第一設(shè)備可以根據(jù)終端通信密鑰的根密鑰,采用預(yù)先配置的算法��,或者與第二設(shè)備協(xié)商的算法生成衍生密鑰�����,并采用該衍生密鑰對需要發(fā)送給第二設(shè)備的業(yè)務(wù)信息進(jìn)行機(jī)密性或完整性保護(hù)�。第二設(shè)備接收到業(yè)務(wù)信息后��,根據(jù)終端通信密鑰的根密鑰�����,可以采用預(yù)先配置的算法�,或者與第一設(shè)備協(xié)商確定的算法生成衍生密鑰,并采用衍生密鑰對接收的加密后的業(yè)務(wù)信息進(jìn)行解密���。本實施例提供的終端的通信方法����,當(dāng)終端與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信之前或與網(wǎng)絡(luò)側(cè)設(shè)備通信時處于不在線狀態(tài),或者終端與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信之前處于去附著狀態(tài)����,或者應(yīng)用場景不涉及NAS和AS的情況下,終端與網(wǎng)絡(luò)側(cè)設(shè)備之間發(fā)送給對方的業(yè)務(wù)信息采用終端通信密鑰的根密鑰的衍生密鑰進(jìn)行加密�����,接收方可以根據(jù)終端通信密鑰的根密鑰的衍生密鑰對接收的業(yè)務(wù)信息進(jìn)行解密�����。該終端通信密鑰的根密鑰根據(jù)終端與網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成��,從而實現(xiàn)對終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息進(jìn)行安全性或完整性保護(hù)����。以上兩個實施例中描述了第一設(shè)備可以根據(jù)終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密,第二設(shè)備接收到第一設(shè)備發(fā)送的加密后的業(yè)務(wù)信息�,可以根據(jù)終端 通信密鑰的根密鑰的衍生密鑰進(jìn)行解密。本實施例中�,第一設(shè)備和第二設(shè)備根據(jù)終端通信密鑰的根密鑰,可以采用現(xiàn)有的多種算法生成衍生密鑰�����。圖3提供了終端和網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)終端通信密鑰的根密鑰生成的衍生密鑰示意圖,如圖3所示其中,Kasme為終端和網(wǎng)絡(luò)側(cè)設(shè)備AKA之后生成的根密鑰,Kasmem為根據(jù)Kasme生成的終端通信密鑰的根密鑰�,其他密鑰均為由終端通信密鑰的根密鑰Kasmem衍生而來的衍生密鑰,這些衍生密鑰可以包括Kdentm :用于業(yè)務(wù)數(shù)據(jù)的機(jī)密性保護(hù)密鑰�����;Kdintm :用于業(yè)務(wù)數(shù)據(jù)的完整性保護(hù)密鑰�;Knasencm :用于NAS層的機(jī)密性保護(hù)密鑰;Knasintm :用于NAS層的完整性保護(hù)密鑰����;Kenbm :為過程密鑰,用于進(jìn)一步生成衍生密鑰Krrcencm���、Krrcintm和Kupentm ;Krrcencm :用于RRC信令的機(jī)密性保護(hù)密鑰��;Krrcintm :用于RRC信令的完整性保護(hù)密鑰�;Kupentm :用于面向用戶面的機(jī)密性保護(hù)密鑰。圖3僅是列舉出幾種由終端通信密鑰的根密鑰生成的衍生密鑰���,但并不以此作為本發(fā)明的限制����。終端和網(wǎng)絡(luò)側(cè)設(shè)備還可以根據(jù)執(zhí)行的具體業(yè)務(wù),通過終端通信密鑰的根密鑰生成除圖3以外的其他各種衍生密鑰����,衍生密鑰的架構(gòu)和名稱還可以采用圖3以外的其他形式。其中�,終端通信密鑰的根密鑰的衍生密鑰可以在第一設(shè)備和第二設(shè)備的算法協(xié)商之后生成,也可以在第一設(shè)備對業(yè)務(wù)信息進(jìn)行加密之前生成����,或者在第二設(shè)備對接收的業(yè)務(wù)信息進(jìn)行解密之前生成,而不必預(yù)先生成�。例如圖3所示的Kdentm和Kdintm衍生密鑰可以在算法協(xié)商后生成;Kenbm�����、Krrcentm和Krrcintm衍生密鑰可以只在第一設(shè)備對業(yè)務(wù)信息進(jìn)行加密之前生成�,或者在第二設(shè)備對接收的業(yè)務(wù)信息進(jìn)行解密之前生成,而不用預(yù)先生成���。另外���,針對終端和網(wǎng)絡(luò)側(cè)設(shè)備之間執(zhí)行的業(yè)務(wù)類型,或者是傳輸?shù)臉I(yè)務(wù)信息類型�,可以采用不同的算法生成不同的衍生密鑰�。而針對于各種類型的業(yè)務(wù)����,可以生成如上所述的所有衍生密鑰,也可以生成部分(可以是一種或多種)衍生密鑰���。其中��,由終端通信密鑰的根密鑰生成的各種衍生密鑰�,既可以對終端和網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息進(jìn)行機(jī)密性保護(hù)����,又可以對終端和網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息進(jìn)行完整性保護(hù)。進(jìn)行機(jī)密性保護(hù)或是完整性保護(hù)可以通過現(xiàn)有的多種算法來實現(xiàn)����,在此不再贅述���。以下還給出一種根據(jù)終端通信密鑰的根密鑰�,生成各種衍生密鑰的公式����,具體如下Kasmem = KDF(Kasme, ^M/low access priority/small data transmission(feature name/function name)�����,��,)其中��,Kasmem表示終端通信密鑰的根密鑰�;KDF表示密鑰衍生功能�,即,密鑰衍生的公式算法����;Kasme表示終端和網(wǎng)絡(luò)側(cè)設(shè)備AKA之后生成的根密鑰,例如LTE系統(tǒng)的根密鑰等���。M指示生成的密鑰用于MTC類型通信��;low access priority表示低優(yōu)先級�;small data transmission表不小數(shù)據(jù)傳輸�����。feature name/function name表不特性名稱/功能名稱�?��!癕,��,�����、“l(fā)ow access priority”�����、“small data transmission�����,�,和 “feature name/function name”均為字符串,可以用于表示終端具有哪些特性����?�?梢钥闯?,終端和網(wǎng)絡(luò)側(cè)設(shè)備可以在生成密鑰的輸入?yún)?shù)中增加指示標(biāo)識����,指示標(biāo)識可以是一個字符串�����,可以用來表示生成的密鑰適用于MTC類型通信�,或者表示適用于低接入優(yōu)先權(quán)(low access priority)類型,或者表示適用于某一類場景或某一特性或功能(feature或function)的終端使用。Knasintm = KDF(Kasmem��,NAS-int-alg��,Alg-ID���,“M/low access priority/smalldata transmission (feature name/function name)�,��,)其中��,Knasintm表示NAS層的完整性保護(hù)密鑰�;NAS_int_alg表示NAS層完整性保護(hù)算法;Alg_ID為算法標(biāo)識。Knasencm = KDF(Kasmem����,NAS-enc-alg����,Alg-ID����,“M/low access priority/smaildata transmission (feature name/function name),�����,)其中����,Knasencm表示NAS層的機(jī)密性保護(hù)密鑰;NAS-enc_alg表示NAS層機(jī)密性保護(hù)算法���。Kenbm = KDF(Kasmem, uplink NAS count)其中�,Kenbm表示eNB密鑰���,屬于過程密鑰���;Uplink NAS count表示上行NAS計數(shù)器值。不同的衍生密鑰,會有不同的計數(shù)器(counter)值��,這些值可以是不同形式的�,衍生密鑰Kenbm的輸入?yún)?shù)可以釆用上行NASC0UNT值(uplink NAS COUNT)�����,還可以釆用nounce值��。Kupentm = KDF (Kenbm���,ent-alg ID)其中��,Kupentm表示面向用戶面的機(jī)密性保護(hù)密鑰���。ent-alg ID表示機(jī)密性保護(hù)密鑰的算法標(biāo)識。Krrcencm = KDF(Kenbm�����, RRC-enc-alg�����, Alg-ID,“M/low access priority/smalldata transmission (feature name)���,����,)其中�����,Krrcencm表示RRC信令的機(jī)密性保護(hù)密鑰��;RRC-enc_alg表示RRC機(jī)密性保護(hù)算法;Alg_ID為算法標(biāo)識�。
Krrcintm = KDF(Kenbm, RRC-int-alg, Alg-ID, “M/low access priority/smalldata transmission (feature name),�,)其中,Krrcintm表示RRC信令的完整性保護(hù)密鑰��;RRC-int_alg表示RRC完整性保護(hù)算法;Alg-ID為算法標(biāo)識���。Kdentm = KDF(Kasmem, enc-alg, M/low access priority/smalI datatransmission(feature name/function name)其中��,Kdentm表示業(yè)務(wù)數(shù)據(jù)機(jī)密性保護(hù)密鑰���;enc-alg表示機(jī)密性保護(hù)算法���。Kdintm = KDF(Kasmem, int-alg, M/low access priority/smalI datatransmission(feature name/function name)其中,Kdintm表示業(yè)務(wù)數(shù)據(jù)完整性保護(hù)密鑰�;int_alg表示完整性保護(hù)算法。
以上僅為生成終端通信密鑰的根密鑰��,以及根據(jù)終端通信密鑰的根密鑰生成各種衍生密鑰的一種可行的實施方式��,但并不以此作為對本發(fā)明的限制�����。從上述公式可以看出�����,終端和網(wǎng)絡(luò)側(cè)設(shè)備可以根據(jù)終端的特性(例如終端的優(yōu)先權(quán)類型���,適用的場景或者特定功能等),確定用于加密業(yè)務(wù)信息的衍生密鑰類型�;另外,終端和網(wǎng)絡(luò)側(cè)設(shè)備還可以根據(jù)終端的特性�����,確定根據(jù)終端通信密鑰的根密鑰生成各種衍生密鑰的算法,例如NAS層的機(jī)密性保護(hù)或完整性保護(hù)密鑰��,可以采用NAS算法根據(jù)終端通信密鑰的根密鑰生成���,而RRC信令的機(jī)密性保護(hù)或完整性保護(hù)密鑰���,可以采用RRC算法根據(jù)所述終端通信密鑰的根密鑰生成。需要說明的是����,如果NAS層的機(jī)密性保護(hù)或完整性保護(hù)密鑰采用NAS算法根據(jù)終端通信密鑰的根密鑰生成,或者����,RRC信令的機(jī)密性保護(hù)或完整性保護(hù)密鑰采用RRC算法根據(jù)所述終端通信密鑰的根密鑰生成,則當(dāng)終端發(fā)生inter-RAT切換或者其它應(yīng)用場景而導(dǎo)致NAS算法或者RRC算法發(fā)生更改時����,則NAS層的機(jī)密性保護(hù)或完整性保護(hù)密鑰也需要進(jìn)行相應(yīng)的更新。由于終端和網(wǎng)絡(luò)側(cè)設(shè)備在每次AKA之后都要生成新的根密鑰����,因此,本發(fā)明實施例中提供的終端通信密鑰的根密鑰Kasmem�,在每次終端和網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行AKA之后都可以進(jìn)行更新�。當(dāng)終端與網(wǎng)絡(luò)側(cè)設(shè)備通信之前�����,終端處于不在線狀態(tài)�����;或者是����,終端與網(wǎng)絡(luò)側(cè)設(shè)備通信時�,終端處于不在線狀態(tài),或者是�����,終端與網(wǎng)絡(luò)側(cè)設(shè)備通信之前���,終端處于去附著狀態(tài);或者是,終端與網(wǎng)絡(luò)側(cè)設(shè)備的通信不涉及NAS和接入層AS時���,終端通信密鑰的根密鑰可以由終端和網(wǎng)絡(luò)側(cè)設(shè)備最近一次AKA之后生成的根密鑰生成�����,進(jìn)而可以更新根據(jù)終端通信密鑰的根密鑰生成的其他衍生密鑰���。圖4為本發(fā)明提供的終端的通信方法另一個實施例的流程圖�����,如圖4所示���,本實施例主要以終端是MTC設(shè)備的情況進(jìn)行說明,在M2M技術(shù)的一些具體的應(yīng)用場景中���,傳感器等類型的MTC設(shè)備不需要長期處于在線狀態(tài)��,這些MTC設(shè)備通常只是定期向網(wǎng)絡(luò)側(cè)設(shè)備����,例如監(jiān)控中心等上報一些小數(shù)據(jù)����,例如傳感器檢測的溫度、濕度等小數(shù)據(jù)��。然而,MTC設(shè)備不在線(offline)時��,MTC設(shè)備沒有安全上下文����,無法對上報的小數(shù)據(jù)進(jìn)行機(jī)密性或完整性保護(hù)。本實施例提供的方法中�,第一設(shè)備為終端(MTC設(shè)備),第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備(MME)�����,第一設(shè)備可以在NAS層向第二設(shè)備發(fā)送小數(shù)據(jù)��,這里的小數(shù)據(jù)可以是例如第一設(shè)備(傳感器)檢測的溫度����、濕度等數(shù)據(jù)量較小的數(shù)據(jù)�,或者是第一設(shè)備(水表、電表)記錄的讀數(shù)等數(shù)據(jù)量較小的數(shù)據(jù)���。該方法具體包括S40UMTC設(shè)備向MME發(fā)送業(yè)務(wù)信息�,該業(yè)務(wù)信息中包括MTC設(shè)備向MME上報的小數(shù)據(jù)(small data)��。MTC設(shè)備可以采用終端通信密鑰的根密鑰的衍生密鑰對MTC設(shè)備發(fā)送的整個業(yè)務(wù)信息進(jìn)行完整性保護(hù),也可以采用例如衍生密鑰Kdentm等�����,對業(yè)務(wù)信息中的小數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)(采用Kdentm密鑰加密僅為本實施例給出的一種可行的實施方式�,可以理解的是,還可以采用終端通信密鑰的根密鑰的其他衍生密鑰進(jìn)行加密)�����,經(jīng)過加密后的小數(shù)據(jù)可以表不為 Kdentm (smalI data)��。本實施例中涉及到的終端通信密鑰仍可以參見圖3所示的終端通信密鑰的根密鑰及其衍生的各衍生密鑰的架構(gòu)����。其中,終端通信密鑰的根密鑰及其衍生的各衍生密鑰可以存儲在終端例如��,移動設(shè)備(Mobile Equipment �����;ME)中的非易失性介質(zhì)(non-volatile)中����,以保證存儲安全性�。
其中���,可以在MTC設(shè)備和MME上預(yù)先配置根據(jù)終端通信密鑰的根密鑰生成衍生密鑰采用的算法���;或者,MTC設(shè)備可以預(yù)先與MME進(jìn)行算法協(xié)商����,協(xié)商根據(jù)終端通信密鑰的根密鑰生成衍生密鑰采用的算法??蛇x的,MTC設(shè)備還可以在發(fā)送給MME的業(yè)務(wù)信息中攜帶生成衍生密鑰的算法標(biāo)識�����,該算法標(biāo)識可以是MTC設(shè)備和MME經(jīng)過算法協(xié)商后確定的生成衍生密鑰算法的算法標(biāo)識�����。MTC設(shè)備和MME的算法協(xié)商可以采用多種方式����,通常����,終端可以將自身的安全能力信息發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備���,其中安全能力信息可以包括自身支持的算法等信息,網(wǎng)絡(luò)側(cè)設(shè)備可以根據(jù)自身策略以及終端的安全能力確定算法�,并將確定的算法發(fā)送給終端。而不同的衍生密鑰通常也米用不同的協(xié)商方式�,例如衍生密鑰Knasencm和Knasintm, Krrcencm和Krrcintm,可以采用現(xiàn)有的算法協(xié)商方式;衍生密鑰Kdentm和Kdintm的算法協(xié)商����,其格式(format)可以和NAS算法協(xié)商或RRC算法協(xié)商相同。MTC設(shè)備發(fā)送給MME的算法標(biāo)識,可以通過0x00至0x05之內(nèi)的標(biāo)識位或0x00至0x05之外的擴(kuò)展標(biāo)識位表示�;和/或,該算法標(biāo)識用于表示MTC設(shè)備根據(jù)終端通信密鑰的根密鑰生成衍生密鑰(Kdentm)采用的算法�,以及用于表示MTC設(shè)備對業(yè)務(wù)信息進(jìn)行完整性保護(hù)或機(jī)密性保護(hù)(本實施例中,衍生密鑰用于對MTC設(shè)備發(fā)送給MME的小數(shù)據(jù)進(jìn)行機(jī)密性保護(hù))?���,F(xiàn)有的NAS算法標(biāo)識或者RRC算法標(biāo)識通常從0x00或0x01位開始,到0x05位����,本實施例提供的生成衍生密鑰的算法標(biāo)識,可以通過現(xiàn)有的0x00-0x05位來標(biāo)識,也可以通過0x00-0x05位之外的擴(kuò)展標(biāo)識位來標(biāo)識,例如可以增加0x06和0x07位來標(biāo)識生成衍生密鑰的算法標(biāo)識�。在MTC設(shè)備和MM E上通常保存有算法標(biāo)識與算法的對應(yīng)關(guān)系,當(dāng)MME接收到MTC設(shè)備發(fā)送的算法標(biāo)識后���,可以在保存的算法標(biāo)識與算法的對應(yīng)關(guān)系中查找該算法標(biāo)識對應(yīng)的算法����,從而獲知MTC設(shè)備根據(jù)終端通信密鑰的根密鑰生成衍生密鑰采用哪種算法�����,以及生成的衍生密鑰用來是做機(jī)密性保護(hù)還是完整性保護(hù)���。由于MME通常會與多個MTC設(shè)備進(jìn)行通信����,而每個MTC設(shè)備根據(jù)與MME在AKA之后生成的根密鑰生成的終端通信密鑰的根密鑰也是不同的�。為了使MME在接收到某一 MTC設(shè)備發(fā)送的業(yè)務(wù)信息后,能夠查找到該MTC設(shè)備對應(yīng)的終端通信密鑰的根密鑰�����,可選的�,MTC設(shè)備還可以在業(yè)務(wù)信息中攜帶索引標(biāo)識(KSIm)發(fā)送給MME,該索引標(biāo)識用于區(qū)分不同MTC設(shè)備的終端通信密鑰的根密鑰�����,以使MME能夠根據(jù)索引標(biāo)識查找對應(yīng)的終端通信的根密鑰���。其中�,索引標(biāo)識KSIm�,其格式(format)可用Ibit位來標(biāo)識。由終端通信密鑰的根密鑰生成的各種衍生密鑰���,既可以對MTC設(shè)備和MME之間傳輸?shù)恼麄€業(yè)務(wù)信息進(jìn)行完整性保護(hù)���,又可以對MTC設(shè)備和MME之間傳輸?shù)臉I(yè)務(wù)信息中的小數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)。如果MTC設(shè)備采用衍生密鑰對業(yè)務(wù)信息進(jìn)行完整性保護(hù)����,則采用衍生密鑰對業(yè)務(wù)信息加密后會生成一個第一消息鑒權(quán)碼(Message Authentication Code ;MAC)���,MME接收到業(yè)務(wù)信息后�����,可以通過該第一 MAC來驗證業(yè)務(wù)信息的完整性�,以獲知傳輸?shù)男畔⑹欠癖淮鄹摹402.MME接收到MTC設(shè)備發(fā)送的業(yè)務(wù)信息后����,根據(jù)終端通信密鑰的衍生密鑰對接收到的業(yè)務(wù)信息進(jìn)行解密。
MTC設(shè)備發(fā)送給MME的業(yè)務(wù)信息中可以包括索引標(biāo)識����,則MME可以根據(jù)該索引標(biāo)識查找該MTC設(shè)備對應(yīng)的終端通信密鑰的根密鑰。其中����,該索引標(biāo)識可以是MTC設(shè)備的標(biāo)識信息,例如國際移動用戶識別碼(International Mobile Subscriber Identity ;IMSI)等���,則 MME 可以根據(jù)該標(biāo)識信息查找該MTC設(shè)備對應(yīng)的終端通信密鑰的根密鑰�����。MME可以根據(jù)預(yù)先配置的生成衍生密鑰的算法�,或者是與MTC設(shè)備算法協(xié)商后確定的算法�,或者是MTC設(shè)備發(fā)送給MME的業(yè)務(wù)信息中包括的算法標(biāo)識,根據(jù)該MTC設(shè)備的終端通信密鑰的根密鑰��,采用對應(yīng)的算法生成衍生密鑰(Kdentm),采用該衍生密鑰對業(yè)務(wù)信息進(jìn)行解密����。如果MTC設(shè)備發(fā)送給MME的業(yè)務(wù)信息中還包括第一 MAC���,則MME還可以進(jìn)一步根據(jù)該第一 MAC對業(yè)務(wù)信息進(jìn)行完整性驗證����。本實施例僅以MTC設(shè)備向MME發(fā)送業(yè)務(wù)信息為例����,對本發(fā)明提供的終端的通信方法進(jìn)行說明。MME向MTC設(shè)備發(fā)送業(yè)務(wù)信息的具體過程與本實施例相類似�����。圖5為本發(fā)明提供的終端的通信方法再一個實施例的流程圖�����,如圖5所示����,本實施例中�,第一設(shè)備為終端(MTC設(shè)備)�,第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備,第二設(shè)備具體包括(eNB和MME)����。MTC設(shè)備不在線時,通過eNB向MME上報小數(shù)據(jù)(small data)����,終端可以將小數(shù)據(jù)攜帶在RRC信令中上報給網(wǎng)絡(luò)側(cè)。該方法具體包括S50UMTC設(shè)備向eNB發(fā)送RRC信令��,該RRC信令中攜帶經(jīng)過終端通信密鑰根密鑰的衍生密鑰加密后的小數(shù)據(jù)����。本實施例中,MTC設(shè)備可以采用終端通信密鑰的根密鑰的衍生密鑰Krrcencm對RRC信令中攜帶的小數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)�。經(jīng)過加密處理的RRC信令中的小數(shù)據(jù)采用Krrcencm (data)表示。另外���,MTC設(shè)備還在發(fā)送給eNB的RRC信令中攜帶索引標(biāo)識KSIm,以使MME能夠根據(jù)該索引標(biāo)識獲知是哪個終端發(fā)來的RRC信令�����,從而查找該終端對應(yīng)的終端通信密鑰的根密鑰���。根據(jù)終端通信密鑰的根密鑰的過程密鑰生成衍生密鑰的算法�����,可以預(yù)先配置在MTC設(shè)備和MME上����;或者是�,MTC設(shè)備可以與MME預(yù)先進(jìn)行算法協(xié)商�����,以確定根據(jù)終端通信密鑰的根密鑰的過程密鑰生成衍生密鑰的算法����。可選的��,MTC設(shè)備還可以在發(fā)送給eNB的RRC信令中攜帶根據(jù)終端通信密鑰的根密鑰的過程密鑰生成衍生密鑰的算法的算法標(biāo)識[ent-rrc-alg]��。S502��、eNB將接收到的RRC信令中的索引標(biāo)識KSIm發(fā)送給MME�。
S503�����、麗E根據(jù)索引標(biāo)識KSI m找到對應(yīng)的終端通信密鑰的根密鑰Kasmem和上行非接入層NAS計數(shù)器值���,生成過程密鑰Kenbm。S504�����、MME將過程密鑰Kenbm發(fā)送給eNB��?�?蛇x的��,MME還可以將預(yù)先配置的��,或者與MTC設(shè)備協(xié)商確定的根據(jù)終端通信密鑰的過程密鑰生成衍生密鑰的算法的算法標(biāo)識[ent-rrc-alg]發(fā)送給eNB��。S505�����、eNB根據(jù)[ent-rrc-alg]和過程密鑰Kenbm計算衍生密鑰Krrcencm,并根據(jù)該衍生密鑰Krrcencm對接收到的RRC信令中攜帶的小數(shù)據(jù)進(jìn)行解密,以獲取小數(shù)據(jù)的原始信息���。圖6為本發(fā)明提供的終端的通信方法再一個實施例的流程圖����,如圖6所示��,本實施例中�,不涉及NAS層或AS層,MTC設(shè)備不具有安全上下文�。該方法具體包括
S601、小區(qū)廣播實體(Cell Broadcast Entity ��;CBE)向小區(qū)廣播中心(CellBroadcast Centre ��;CBC)發(fā)送緊急廣播請求(Emergency Broadcast Request)��。S602����、CBC 向 MME 發(fā)送報警請求消息(Write-Replace Warning Request)���。其中��,S601中CBE向CBC發(fā)送的緊急廣播請求中可以攜帶MTC設(shè)備對應(yīng)的用戶標(biāo)識(UPID)�����,CBC接收到緊急廣播請求后��,將用戶標(biāo)識UPID攜帶在報警請求消息中發(fā)送給MME����。或者����,S601中的緊急廣播請求中也可以不攜帶用戶標(biāo)識UPID,而是直接通過S602中CBC向MME中發(fā)送的報警請求消息中攜帶用戶標(biāo)識UPID����。圖6所示即為S601中CBE向CBC發(fā)送的緊急廣播請求中攜帶MTC設(shè)備對應(yīng)的用戶標(biāo)識(UPID)的情況。S603> MME 向 CBC 返回報警請求確認(rèn)消息(Write-Replace Warning Confirm)���。S604���、CBC 向 CBE 發(fā)送緊急廣播響應(yīng)(Emergency Broadcast Response)。S605��、MME接收到CBC發(fā)送的需要觸發(fā)(trigger)的MTC設(shè)備對應(yīng)的用戶標(biāo)識(UPID)后,使用可以使用衍生密鑰Kdintm對UPID進(jìn)行機(jī)密性保護(hù)��。其中���,MME還可以為有觸發(fā)(trigger)特性的MTC設(shè)備生成第一MAC�����,通過第一MAC用于對用戶標(biāo)識UPID進(jìn)行完整性保護(hù)����,以使MTC設(shè)備接收到用戶標(biāo)識UPID后�����,可以通過第
一MAC對用戶標(biāo)識UPID進(jìn)行完整性驗證����,以獲知用戶標(biāo)識UPID是否被篡改��。S606> MME 向 eN B 發(fā)送報警請求消息(Write-Replace Warning Request)��。S607�����、eN B 向 MME 返回報警請求響應(yīng)(Write-Replace Warning Response)。S608��、eNB將經(jīng)過機(jī)密性和完整性保護(hù)的UPID廣播給MTC設(shè)備�。S609、MTC設(shè)備收到廣播消息后���,在廣播消息中查找本端對應(yīng)的U PI D�����,使用衍生密鑰Kdintm對UPID進(jìn)行解密�����。其中�,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰Kdintm使用的算法��,可以預(yù)先配置在MTC設(shè)備上和MME上�;或者,也可以使用第三方設(shè)備�,例如0MA DM (Open MobileAllicance Device)和OTA (Over the air)將生成衍生密鑰的算法標(biāo)識發(fā)送給MTC設(shè)備;或者�,還可以在廣播時將生成衍生密鑰的算法標(biāo)識發(fā)送給MTC設(shè)備�����。S601-S609提供的流程與現(xiàn)有的小區(qū)廣播系統(tǒng)(Cell Broadcast system ;CBS)技術(shù)相類似����,在此不再贅述�。圖7為本發(fā)明提供的終端的通信方法又一個實施例的流程圖,如圖7所示����,本實施例中,描述了在MTC設(shè)備在與網(wǎng)絡(luò)側(cè)的麗E通信之前處于去附著(detach)狀態(tài)����,在與麗E通信后,MTC設(shè)備再附著(attach)到網(wǎng)絡(luò)中���,并且向MME發(fā)送指示信息(indicator)表明身份的通信場景�����,具體的例如過載控制(overload control)等應(yīng)用場景。該方法具體包括S701�、MTC設(shè)備向MM E發(fā)送NAS消息,該消息中攜帶低接入優(yōu)先級(Low accesspriority)信息���,該低接入優(yōu)先級信息用于標(biāo)識該MTC設(shè)備是一個低優(yōu)先級設(shè)備。其中���,NAS消息可以是附著請求消息(attach request),服務(wù)請求消息(servicerequest),或者跟蹤區(qū)域更新請求消息(Tracking Area Update ���;TAU)等。Low access priority用于表示MTC設(shè)備的特性����,MTC設(shè)備可以根據(jù)自身的特性,以及需要發(fā)送的消息為NAS消息��,確定采用終端通信密鑰的根密鑰的衍生密鑰Knasintm對NAS消息進(jìn)行完整性保護(hù)����,或者,還可以采用終端通信密鑰的根密鑰的衍生密鑰Knasencm對NAS消息中的低接入優(yōu)先級信息進(jìn)行機(jī)密性保護(hù)�����。其中��,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法�����,可以預(yù)先配置在MTC設(shè) 備和MME上;或者����,MTC設(shè)備和MME可以通過算法協(xié)商確定根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法?��?蛇x的����,MTC設(shè)備可以將根據(jù)終端通信密鑰的根密鑰生成衍生密鑰采用的算法的算法標(biāo)識攜帶在NAS消息中發(fā)送給MME���?�?蛇x的��,采用終端通信密鑰的根密鑰的衍生密鑰Knasintm對NAS消息進(jìn)行完整性保護(hù)之后�����,可以生成一個第一 MAC���,MTC設(shè)備將該第一 MAC攜帶在NAS消息中發(fā)送給MME,使MME能夠根據(jù)該第一 MAC對NAS消息進(jìn)行完整性驗證����。本實施例中,采用衍生密鑰Knasintm對NAS消息進(jìn)行完整性保護(hù)后��,NAS消息可以NAS消息(Knasintm (Low access priority,可選包括算法標(biāo)識,可選包括第一MAC))�����。S702����、MME收到NAS消息后����,采用終端通信密鑰的根密鑰的衍生密鑰對NAS消息進(jìn)行解密以及進(jìn)行后續(xù)的操作。MME可以采用預(yù)先配置的算法���,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰Knasintm ;或者�,如果MME收到的NAS消息中攜帶算法標(biāo)識�����,則MME可以直接采用該算法標(biāo)識對應(yīng)的算法,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰Knasintm���,并采用該衍生密鑰Knasintm對NAS消息進(jìn)行解密�����。如果麗E接收到的NAS消息中還攜帶第一MAC��,則麗E采用該衍生密鑰Knasintm對NAS消息進(jìn)行解密后����,還可以進(jìn)一步根據(jù)第一 MAC對NAS消息進(jìn)行完整性驗證����。本發(fā)明提供的實施例中,在某些場景下�,第一設(shè)備和第二設(shè)備上可能還會具有LTE系統(tǒng)的根密鑰,在這種情況下�,第一設(shè)備還可以根據(jù)LTE系統(tǒng)的根密鑰生成完整性保護(hù)密鑰,并采用該完整性保護(hù)密鑰對業(yè)務(wù)信息進(jìn)行加密之后生成第二 MAC����,并將該第二 MAC攜帶在業(yè)務(wù)信息中發(fā)送給第二設(shè)備。第二設(shè)備可以根據(jù)第二 MAC對接收的業(yè)務(wù)信息進(jìn)行完整性驗證。需要說明的是��,如果第二設(shè)備根據(jù)第一 MAC驗證業(yè)務(wù)信息的完整性失敗����,或者根據(jù)第二 MAC驗證業(yè)務(wù)信息的完整性失敗�,則業(yè)務(wù)信息的完整性驗證失敗。圖8為本發(fā)明提供的終端的通信方法又一個實施例的流程圖��,如圖8所示����,本實施例提供的具體場景是=MTC設(shè)備不在線的情況下,需要附著到網(wǎng)絡(luò)側(cè)后再向網(wǎng)絡(luò)側(cè)發(fā)送數(shù)據(jù)�。本實施例以MTC設(shè)備與服務(wù)器之間傳輸小數(shù)據(jù)為例進(jìn)行說明。具體的��,MTC設(shè)備與MME之間可以使用短消息服務(wù)(Short Message Service ���;SMS)傳輸小數(shù)據(jù),而無需在MTC設(shè)備與MME之間建立EPS承載(bearers)�。該方法具體包括
S801����、MTC設(shè)備向MME發(fā)送短消息,該短消息中攜帶的小數(shù)據(jù)采用終端通信密鑰的根密鑰的衍生密鑰Kdentm進(jìn)行機(jī)密性保護(hù)。其中���,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰Kdentm的算法����,可以預(yù)先配置在MTC設(shè)備和MME上��;或者��,MTC設(shè)備和MME可以通過算法協(xié)商確定根據(jù)終端通信密鑰的根密鑰生成衍生密鑰的算法����。可選的��,MTC設(shè)備可以將根據(jù)終端通信密鑰的根密鑰生成衍生密鑰采用的算法的算法標(biāo)識攜帶在短消息中發(fā)送給MME�����。S802���、MME收到MTC設(shè)備發(fā)送的短消息后��,采用終端通信密鑰的根密鑰衍生密鑰Kdentm對短消息中的小數(shù)據(jù)進(jìn)行解密��,獲取原始的小數(shù)據(jù)�。MME可以采用預(yù)先配置的算法,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰Kdentm ;或者�����,如果MME收到的短消息中攜帶算法標(biāo)識�,則MME可以直接采用該算法標(biāo)識對應(yīng)的算法,根據(jù)終端通信密鑰的根密鑰生成衍生密鑰Kdentm�,并采用該衍生密鑰Kdentm對 短消息中的小數(shù)據(jù)進(jìn)行解密����。S803、MME將解密后獲取的小數(shù)據(jù)發(fā)給服務(wù)器(例如MTC server/SM-SC)���。S801-S803中描述了 MTC設(shè)備向服務(wù)器發(fā)送小數(shù)據(jù)的過程�����。以下S804-S806中描述了服務(wù)器向MTC設(shè)備發(fā)送小數(shù)據(jù)的過程����。S804���、服務(wù)器向MME發(fā)送小數(shù)據(jù)�。S805、MME將接收到的小數(shù)據(jù)攜帶在短消息中發(fā)送給MTC設(shè)備�����,其中��,小數(shù)據(jù)采用終端通信密鑰的根密鑰的衍生密鑰Kdentm進(jìn)行機(jī)密性保護(hù)�。可選的�,MME可以將根據(jù)終端通信密鑰的根密鑰生成衍生密鑰采用的算法的算法標(biāo)識攜帶在短消息中發(fā)送給MTC設(shè)備。S806����、MTC設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰Kdentm對接收到的短消息中的小數(shù)據(jù)進(jìn)行解密,獲取原始的小數(shù)據(jù)�。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機(jī)程序來指令相關(guān)的硬件(如計算機(jī)���,處理器或?qū)S眉呻娐稟SIC)來完成����,所述的程序可存儲于一計算機(jī)可讀取存儲介質(zhì)中����,該程序在執(zhí)行時����,可包括如上述各方法的實施例的流程��。其中�,所述的存儲介質(zhì)可為磁碟、光盤���、只讀存儲記憶體(Read-Only Memory,ROM)或隨機(jī)存儲記憶體(Random Access Memory, RAM)等��。圖9為本發(fā)明提供的用于執(zhí)行上述方法實施例的用于終端通信的設(shè)備一個實施例的結(jié)構(gòu)示意圖,如圖9所示���,該用于終端通信的設(shè)備包括處理器11����、存儲器12和發(fā)送器13 ��;處理器11�����,用于采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密,所述終端通信密鑰的根密鑰由所述用于終端通信的設(shè)備和第二設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成�����;其中��,本實施例提供的用于終端通信的設(shè)備可以為終端��,第二設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備����;或者,本實施例提供的用于終端通信的設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備�,第二設(shè)備可以為終端;存儲器12,用于存儲終端通信密鑰的根密鑰��;發(fā)送器13�����,用于將加密后的業(yè)務(wù)信息發(fā)送給所述第二設(shè)備�,以使得所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對接收的業(yè)務(wù)信息進(jìn)行解密。在本發(fā)明提供的用于執(zhí)行上述方法實施例的用于終端通信的設(shè)備又一個實施例中�,處理器11還可以用于與所述第二設(shè)備進(jìn)行算法協(xié)商,以確定根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法����。其中�,所述加密后的業(yè)務(wù)信息中還可以包括所述處理器11根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法的算法標(biāo)識����。具體的,算法標(biāo)識可以通過0x00至0x05之內(nèi)的標(biāo)識位或0x00至0x05之外的擴(kuò)展標(biāo)識位表示;和/或����,所述算法標(biāo)識用于表示所述處理器11根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法,以及用于表示所述處理器11對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)或機(jī)密性保護(hù)��。進(jìn)一步的���,根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法�����,在所述用于終端通信的設(shè)備和所述第二設(shè)備上預(yù)先配置。 進(jìn)一步的���,所述加密后的業(yè)務(wù)信息中還可以包括索引標(biāo)識����,所述索引標(biāo)識用于區(qū)分不同終端的終端通信密鑰的根密鑰,以使所述第二設(shè)備根據(jù)所述索引標(biāo)識查找對應(yīng)的終端通信密鑰的根密鑰�。所述加密后的業(yè)務(wù)信息中還可以包括第一消息鑒權(quán)碼MAC,所述第一 MAC由所述處理器11根據(jù)所述衍生密鑰對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)后生成���,以使所述第二設(shè)備根據(jù)所述第一 MAC對接收的業(yè)務(wù)信息進(jìn)行完整性驗證����。所述終端通信密鑰的根密鑰的衍生密鑰可以至少包括業(yè)務(wù)數(shù)據(jù)的機(jī)密性保護(hù)和完整性保護(hù)密鑰��、非接入層NAS層的機(jī)密性保護(hù)和完整性保護(hù)密鑰��、過程密鑰���、無線資源控制RRC信令的機(jī)密性保護(hù)和完整性保護(hù)密鑰�����、面向用戶面的機(jī)密性保護(hù)密鑰中的一種或多種�����。進(jìn)一步的��,所述處理器11還可以用于根據(jù)終端的特性��,確定用于加密所述業(yè)務(wù)信息的衍生密鑰類型以及根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法���。其中�����,存儲器12存儲的終端通信密鑰的根密鑰��,可以由本實施例提供的用于終端通信的設(shè)備和第二設(shè)備最近一次AKA之后生成的根密鑰生成�����。所述加密后的業(yè)務(wù)信息中還可以包括第二 MAC����,所述第二 MAC由本實施例提供的用于終端通信的設(shè)備根據(jù)長期演進(jìn)LTE系統(tǒng)的根密鑰衍生的完整性保護(hù)密鑰對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)后生成�,以使所述第二設(shè)備根據(jù)所述第二 MAC對接收的業(yè)務(wù)信息進(jìn)行完整性驗證,所述LTE系統(tǒng)的根密鑰由所述用于終端通信的設(shè)備和所述第二設(shè)備AKA之后生成的根密鑰生成�����。本實施例中��,發(fā)送器13向第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息之前�����,本實施例提供的用于終端通信的設(shè)備可以處于不在線狀態(tài)�;或者,發(fā)送器13向第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息時��,用于終端通信的設(shè)備可以處于不在線狀態(tài)��;或者�,發(fā)送器13向第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息之前,用于終端通信的設(shè)備可以處于去附著狀態(tài)����;或者,發(fā)送器13向第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息可以不涉及非接入層NAS和接入層AS��。本實施例提供的用于終端通信的設(shè)備����,與本發(fā)明實施例提供的終端的通信方法中的第一設(shè)備相對應(yīng),其執(zhí)行方法的具體過程可參見方法實施例��,不再贅述�����。本發(fā)明實施例提供的用于終端通信的設(shè)備可以為終端,第二設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備�����;或者���,本發(fā)明實施例提供的用于終端通信的設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備�,第二設(shè)備可以為終端����;本發(fā)明實施例提供的用于終端通信的設(shè)備,向第二設(shè)備發(fā)送的業(yè)務(wù)信息采用終端通信密鑰的根密鑰的衍生密鑰進(jìn)行加密���,終端通信密鑰的根密鑰根據(jù)用于終端通信的設(shè)備與第二設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成��,從而實現(xiàn)對用于終端通信的設(shè)備與第二設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息進(jìn)行安全性或完整性保護(hù)�����。圖10為本發(fā)明提供的用于執(zhí)行上述方法實施例的用于終端通信的設(shè)備另一個實施例的結(jié)構(gòu)示意圖�,如圖10所示����,該用于終端通信的設(shè)備包括接收器21、存儲器22和處理器23 �����;接收器21�����,用于接收第一設(shè)備發(fā)送的業(yè)務(wù)信息��,所述業(yè)務(wù)信息由所述第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰加密����,所述終端通信密鑰的根密鑰由所述用于終端通信的設(shè)備和所述第一設(shè)備根據(jù)認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成;其中�,本實施例提供的用于終端通信的設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備,第一設(shè)備可以為終端�����;或者���,本實施例提供的用于終端通信的設(shè)備可以為終端�����,第一設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè) 備;存儲器22��,用于存儲所述終端通信密鑰的根密鑰��;處理器23�,用于采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密。在本發(fā)明提供的用于執(zhí)行上述方法實施例的用于終端通信的設(shè)備再一個實施例中���,處理器23還可以用于與所述第一設(shè)備進(jìn)行算法協(xié)商�����,以確定根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法�。其中��,所述業(yè)務(wù)信息中還可以包括所述第一設(shè)備根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法的算法標(biāo)識����。進(jìn)一步的,所述業(yè)務(wù)信息中還可以包括索引標(biāo)識��,所述索引標(biāo)識用于區(qū)分不同終端的終端通信密鑰的根密鑰����;則所述處理器23還用于根據(jù)所述索引標(biāo)識查找對應(yīng)的終端通信密鑰的根密鑰���。進(jìn)一步的,所述業(yè)務(wù)信息中還可以包括第一消息鑒權(quán)碼MAC�����,所述第一 MAC由所述第一設(shè)備根據(jù)所述衍生密鑰對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)后生成���;則所述處理器23還可以用于根據(jù)所述第一 MAC,對所述業(yè)務(wù)信息進(jìn)行完整性驗證���。其中����,存儲器22存儲的終端通信密鑰的根密鑰�����,可以由第一設(shè)備和本實施例提供的用于終端通信的設(shè)備最近一次AKA之后生成的根密鑰生成�����。本實施例中,接收器21接收第一設(shè)備發(fā)送的業(yè)務(wù)信息之前����,本實施例提供的用于終端通信的設(shè)備可以處于不在線狀態(tài);或者��,接收器21接收第一設(shè)備發(fā)送的業(yè)務(wù)信息時�����,用于終端通信的設(shè)備可以處于不在線狀態(tài)��;或者��,接收器21接收第一設(shè)備發(fā)送的業(yè)務(wù)信息之前�����,用于終端通信的設(shè)備可以處于去附著狀態(tài)�;或者,接收器21接收第一設(shè)備發(fā)送的業(yè)務(wù)信息可以不涉及非接入層NAS和接入層AS���。本實施例提供的用于終端通信的設(shè)備���,與本發(fā)明實施例提供的終端的通信方法中的第二設(shè)備相對應(yīng)���,其執(zhí)行方法的具體過程可參見方法實施例,不再贅述��。本發(fā)明實施例提供的用于終端通信的設(shè)備可以為終端�����,第一設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備��;或者��,本發(fā)明實施例提供的用于終端通信的設(shè)備可以為網(wǎng)絡(luò)側(cè)設(shè)備�����,第一設(shè)備可以為終端��;本發(fā)明實施例提供的用于終端通信的設(shè)備���,接收到第一設(shè)備發(fā)送的業(yè)務(wù)信息可以采用終端通信密鑰的根密鑰的衍生密鑰進(jìn)行加密,終端通信密鑰的根密鑰根據(jù)用于終端通信的設(shè)備與第一設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成�����,用于終端通信的設(shè)備可以根據(jù)終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行解密,從而實現(xiàn)對用于終端通信的設(shè)備與第一設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息進(jìn)行安全性或完整性保護(hù)��。圖11為本發(fā)明提供的用于執(zhí)行上述方法實施例的終端的通信系統(tǒng)一個實施例的結(jié)構(gòu)示意圖�,如圖11所示,終端的通信系統(tǒng)包括終端I和網(wǎng)絡(luò)側(cè)設(shè)備2 �����;所述終端1��,用于向網(wǎng)絡(luò)側(cè)設(shè)備2發(fā)送第一業(yè)務(wù)信息�,和/或接收所述網(wǎng)絡(luò)側(cè)設(shè)備2發(fā)送的第二業(yè)務(wù)信息,所述第一業(yè)務(wù)信息采用終端通信密鑰的根密鑰的衍生密鑰加密��,所述第二業(yè)務(wù)信息采用所述終端通信密鑰的根密鑰的衍生密鑰加密�����,所述終端通信密鑰的根密鑰由所述終端I和所述網(wǎng)絡(luò)側(cè)設(shè)備2認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成��,采用所述終端通信密鑰的根密鑰的衍生密鑰對所述第二業(yè)務(wù)信息進(jìn)行解密��;所述網(wǎng)絡(luò)側(cè)設(shè)備2�����,用于向終端發(fā)送所述第二業(yè)務(wù)信息,和/或��,接收所述終端I發(fā)送的所述第一業(yè)務(wù)信息��,所述第一業(yè)務(wù)信息采用所述終端通信密鑰的根密鑰的衍生密鑰加密��,所述第二業(yè)務(wù)信息采用所述終端通信密鑰的根密鑰的衍生密鑰加密����,采用所述終端通信密鑰的根密鑰的衍生密鑰對所述第一業(yè)務(wù)信息進(jìn)行解密。本實施例提供的終端的通信系統(tǒng)中��,終端和網(wǎng)絡(luò)側(cè)設(shè)備執(zhí)行終端的通信方法的具體過程可參見方法實施例�,在此不再贅述�。本發(fā)明實施例提供的終端的通信系統(tǒng),當(dāng)終端與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信之前或與網(wǎng)絡(luò)側(cè)設(shè)備通信時處于不在線狀態(tài)�����,或者終端與網(wǎng)絡(luò)側(cè)設(shè)備進(jìn)行通信之前處于去附著狀態(tài)�����,或者應(yīng)用場景不涉及NAS和AS的情況下��,終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息采用終端通信密鑰的根密鑰的衍生密鑰進(jìn)行加密,終端通信密鑰的根密鑰根據(jù)終端與網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成�����,從而實現(xiàn)對終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息進(jìn)行安全性或完整性保護(hù)��。最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案�,而非對其限制;盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改�����,或者對其中部分技術(shù)特征進(jìn)行等同替換�;而這些修改或者替換�,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精·神和范圍。
權(quán)利要求
1.一種終端的通信方法����,其特征在于,包括 第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密��,所述終端通信密鑰的根密鑰由所述第一設(shè)備和第二設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成,所述第一設(shè)備為終端��,所述第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備��;或者��,所述第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�����,所述第二設(shè)備為終端���; 所述第一設(shè)備將加密后的業(yè)務(wù)信息發(fā)送給所述第二設(shè)備���,以使得所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對接收的業(yè)務(wù)信息進(jìn)行解密。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于����,所述第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密之前����,還包括 所述第一設(shè)備與所述第二設(shè)備進(jìn)行算法協(xié)商,以確定根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法�����。
3.根據(jù)權(quán)利要求I或2所述的方法���,其特征在于����,所述加密后的業(yè)務(wù)信息中還包括所述第一設(shè)備根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法的算法標(biāo)識�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于����,所述算法標(biāo)識通過OxOO至0x05之內(nèi)的標(biāo)識位或0x00至0x05之外的擴(kuò)展標(biāo)識位表示;和/或����,所述算法標(biāo)識用于表示所述第一設(shè)備根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法,以及用于表示所述第一設(shè)備對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)或機(jī)密性保護(hù)����。
5.根據(jù)權(quán)利要求I所述的方法,其特征在于����,根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法��,在所述第一設(shè)備和所述第二設(shè)備上預(yù)先配置�����。
6.根據(jù)權(quán)利要求1-5任一項所述的方法�����,其特征在于�����,所述加密后的業(yè)務(wù)信息中還包括索引標(biāo)識���,所述索引標(biāo)識用于區(qū)分不同終端的終端通信密鑰的根密鑰,以使所述第二設(shè)備根據(jù)所述索引標(biāo)識查找對應(yīng)的終端通信密鑰的根密鑰��。
7.根據(jù)權(quán)利要求1-6任一項所述的方法����,其特征在于,所述加密后的業(yè)務(wù)信息中還包括第一消息鑒權(quán)碼MAC�,所述第一MAC由所述第一設(shè)備根據(jù)所述衍生密鑰對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)后生成,以使所述第二設(shè)備根據(jù)所述第一 MAC對接收的業(yè)務(wù)信息進(jìn)行完整性驗證��。
8.根據(jù)權(quán)利要求1-7任一項所述的方法����,其特征在于,所述終端通信密鑰的根密鑰的衍生密鑰至少包括業(yè)務(wù)數(shù)據(jù)的機(jī)密性保護(hù)和完整性保護(hù)密鑰�����、非接入層NAS層的機(jī)密性保護(hù)和完整性保護(hù)密鑰���、過程密鑰、無線資源控制RRC信令的機(jī)密性保護(hù)和完整性保護(hù)密鑰�����、面向用戶面的機(jī)密性保護(hù)密鑰中的一種或多種���。
9.根據(jù)權(quán)利要求8所述的方法�,其特征在于�,所述NAS層的機(jī)密性保護(hù)或完整性保護(hù)密鑰采用NAS算法,根據(jù)所述終端通信密鑰的根密鑰生成�,和/或����,所述RRC信令的機(jī)密性保護(hù)或完整性保護(hù)密鑰采用RRC算法�,根據(jù)所述終端通信密鑰的根密鑰生成。
10.根據(jù)權(quán)利要求8或9所述的方法�,其特征在于,所述第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密之前��,還包括 所述第一設(shè)備根據(jù)終端的特性����,確定用于加密所述業(yè)務(wù)信息的衍生密鑰類型��,以及確定根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法����。
11.根據(jù)權(quán)利要求1-10任一項所述的方法�����,其特征在于,所述終端通信密鑰的根密鑰由所述第一設(shè)備和所述第二設(shè)備最近一次AKA之后生成的根密鑰生成�。
12.根據(jù)權(quán)利要求1-11任一項所述的方法�,其特征在于�����,所述加密后的業(yè)務(wù)信息中還包括第二MAC�����,所述第二MAC由所述第一設(shè)備根據(jù)長期演進(jìn)LTE系統(tǒng)的根密鑰衍生的完整性保護(hù)密鑰對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)后生成��,以使所述第二設(shè)備根據(jù)所述第二 MAC對接收的業(yè)務(wù)信息進(jìn)行完整性驗證���,所述LTE系統(tǒng)的根密鑰由所述第一設(shè)備和所述第二設(shè)備AKA之后生成的根密鑰生成。
13.根據(jù)權(quán)利要求1-12任一項所述的方法���,其特征在于����,所述第一設(shè)備向所述第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息之前處于不在線狀態(tài)�����,或者所述第一設(shè)備向所述第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息時處于不在線狀態(tài)����,或者所述第一設(shè)備向所述第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息之前處于去附著狀態(tài),或者所述第一設(shè)備向所述第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息不涉及NAS和接入層AS���。
14.一種終端的通信方法�,其特征在于���,包括 第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息,所述業(yè)務(wù)信息由所述第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰加密,所述終端通信密鑰的根密鑰由所述第一設(shè)備和所述第二設(shè)備根據(jù)認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成,所述第一設(shè)備為終端����,所述第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備���;或者,所述第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備���,所述第二設(shè)備為終端; 所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密�。
15.根據(jù)權(quán)利要求14所述的方法,其特征在于���,所述第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息之前�����,還包括 所述第二設(shè)備與所述第一設(shè)備進(jìn)行算法協(xié)商���,以確定根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法��。
16.根據(jù)權(quán)利要求14或15所述的方法���,其特征在于�����,所述業(yè)務(wù)信息中還包括所述第一設(shè)備根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法的算法標(biāo)識。
17.根據(jù)權(quán)利要求14-16任一項所述的方法��,其特征在于�,所述業(yè)務(wù)信息中還包括索引標(biāo)識�,所述索引標(biāo)識用于區(qū)分不同終端的終端通信密鑰的根密鑰����;所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密之前�,還包括 所述第二設(shè)備根據(jù)所述索引標(biāo)識查找對應(yīng)的終端通信密鑰的根密鑰����。
18.根據(jù)權(quán)利要求14-17任一項所述的方法��,其特征在于�����,所述終端通信密鑰的根密鑰由所述第一設(shè)備和所述第二設(shè)備最近一次AKA之后生成的根密鑰生成�。
19.根據(jù)權(quán)利要求14-18任一項所述的方法���,其特征在于,所述業(yè)務(wù)信息中還包括 第一消息鑒權(quán)碼MAC�����,所述第一 MAC由所述第一設(shè)備根據(jù)所述衍生密鑰對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)后生成�����,所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密之后,還包括 所述第二設(shè)備根據(jù)所述第一 MAC�,對所述業(yè)務(wù)信息進(jìn)行完整性驗證。
20.根據(jù)權(quán)利要求14-19任一項所述的方法�,其特征在于,所述第二設(shè)備接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息之前處于不在線狀態(tài)�,或者所述第二設(shè)備接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息時處于不在線狀態(tài),或者所述第二設(shè)備接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息之前處于去附著狀態(tài)����,或者所述第二設(shè)備接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息不涉及非接入層NAS和接入層AS。
21.根據(jù)權(quán)利要求14-20任一項所述的方法����,其特征在于,若所述第二設(shè)備為網(wǎng)絡(luò)層設(shè)備�,則所述第二設(shè)備包括基站和移動管理實體,所述第二設(shè)備接收第一設(shè)備發(fā)送的業(yè)務(wù)信息����,具體包括 所述基站接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息,所述業(yè)務(wù)信息中包括索引標(biāo)識�����,所述索弓I標(biāo)識用于區(qū)分不同終端的終端通信密鑰的根密鑰����; 所述基站將所述索引標(biāo)識發(fā)送給所述移動管理實體; 所述移動管理實體根據(jù)所述索引標(biāo)識���,查找對應(yīng)的終端通信密鑰的根密鑰和上行非接入層NAS計數(shù)器值�,并根據(jù)所述終端通信密鑰的根密鑰和所述上行NAS計數(shù)器值�����,生成過程密鑰���; 所述移動管理實體將所述過程密鑰發(fā)送給所述基站�����。
22.根據(jù)權(quán)利要求21所述的方法����,其特征在于���,所述基站接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息之前����,還包括 所述第一設(shè)備與所述移動管理實體進(jìn)行算法協(xié)商,以確定根據(jù)所述終端通信密鑰的根密鑰的過程密鑰生成所述衍生密鑰采用的算法���。
23.根據(jù)權(quán)利要求22所述的方法�����,其特征在于�����,所述業(yè)務(wù)信息中還攜帶根據(jù)所述過程密鑰生成所述衍生密鑰采用的算法的算法標(biāo)識��;或者����,所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密之前��,還包括 所述移動管理實體將根據(jù)所述過程密鑰生成所述衍生密鑰采用的算法的算法標(biāo)識發(fā)送給所述基站���。
24.根據(jù)權(quán)利要求22所述的方法����,其特征在于,所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密��,具體為 所述基站采用根據(jù)所述過程密鑰生成所述衍生密鑰的算法標(biāo)識對應(yīng)的算法��,根據(jù)所述過程密鑰生成所述衍生密鑰�����; 所述基站采用所述衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密�。
25.一種用于終端通信的設(shè)備�����,其特征在于���,包括 處理器��,用于采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密�,所述終端通信密鑰的根密鑰由所述用于終端通信的設(shè)備和第二設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成�,所述用于終端通信的設(shè)備為終端,所述第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�����;或者,所述用于終端通信的設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�,所述第二設(shè)備為終端; 存儲器��,用于存儲所述終端通信密鑰的根密鑰�; 發(fā)送器,用于將加密后的業(yè)務(wù)信息發(fā)送給所述第二設(shè)備�,以使得所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對接收的業(yè)務(wù)信息進(jìn)行解密。
26.根據(jù)權(quán)利要求25所述的用于終端通信的設(shè)備�,其特征在于,所述處理器還用于■ 與所述第二設(shè)備進(jìn)行算法協(xié)商�,以確定根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法。
27.根據(jù)權(quán)利要求25或26所述的用于終端通信的設(shè)備�����,其特征在于��,所述加密后的業(yè)務(wù)信息中還包括所述處理器根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法的算法標(biāo)識����。
28.根據(jù)權(quán)利要求27所述的用于終端通信的設(shè)備,其特征在于����,所述算法標(biāo)識通過OxOO至0x05之內(nèi)的標(biāo)識位或0x00至0x05之外的擴(kuò)展標(biāo)識位表示�;和/或�,所述算法標(biāo)識用于表示所述處理器根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法,以及用于表示所述處理器對所述業(yè)務(wù)信息進(jìn)行完整性保護(hù)或機(jī)密性保護(hù)���。
29.根據(jù)權(quán)利要求25所述的用于終端通信的設(shè)備�����,其特征在于,根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法�����,在所述用于終端通信的設(shè)備和所述第二設(shè)備上預(yù)先配置����。
30.根據(jù)權(quán)利要求25-29任一項所述的用于終端通信的設(shè)備,其特征在于�����,所述加密后的業(yè)務(wù)信息中還包括索引標(biāo)識�����,所述索引標(biāo)識用于區(qū)分不同終端的終端通信密鑰的根密鑰,以使所述第二設(shè)備根據(jù)所述索引標(biāo)識查找對應(yīng)的終端通信密鑰的根密鑰��。
31.根據(jù)權(quán)利要求25-30任一項所述的用于終端通信的設(shè)備��,其特征在于�����,所述處理器還用于根據(jù)終端的特性��,確定用于加密所述業(yè)務(wù)信息的衍生密鑰類型以及根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法��。
32.根據(jù)權(quán)利要求25-31任一項所述的用于終端通信的設(shè)備�����,其特征在于�����,所述存儲器存儲的終端通信密鑰的根密鑰由所述用于終端通信的設(shè)備和所述第二設(shè)備最近一次AKA之后生成的根密鑰生成��。
33.根據(jù)權(quán)利要求25-32任一項所述的用于終端通信的設(shè)備����,其特征在于���,所述發(fā)送器向所述第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息之前,所述用于終端通信的設(shè)備處于不在線狀態(tài)����;或者,所述發(fā)送器向所述第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息時��,所述用于終端通信的設(shè)備處于不在線狀態(tài)���;或者,所述發(fā)送器向所述第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息之前�����,所述用于終端通信的設(shè)備處于去附著狀態(tài)����;或者,所述發(fā)送器向所述第二設(shè)備發(fā)送所述加密后的業(yè)務(wù)信息不涉及非接入層NAS和接入層AS�����。
34.一種用于終端通信的設(shè)備,其特征在于�����,包括 接收器�,用于接收第一設(shè)備發(fā)送的業(yè)務(wù)信息,所述業(yè)務(wù)信息由所述第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰加密����,所述終端通信密鑰的根密鑰由所述用于終端通信的設(shè)備和所述第一設(shè)備根據(jù)認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成,所述第一設(shè)備為終端��,所述用于終端通信的設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備����;或者,所述第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備��,所述用于終端通信的設(shè)備為終端���; 存儲器��,用于存儲所述終端通信密鑰的根密鑰�; 處理器�����,用于采用所述終端通信密鑰的根密鑰的衍生密鑰對所述業(yè)務(wù)信息進(jìn)行解密。
35.根據(jù)權(quán)利要求34所述的用于終端通信的設(shè)備�����,其特征在于�����,所述處理器還用于■ 與所述第一設(shè)備進(jìn)行算法協(xié)商��,以確定根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法����。
36.根據(jù)權(quán)利要求34或35所述的用于終端通信的設(shè)備,其特征在于����,所述業(yè)務(wù)信息中還包括所述第一設(shè)備根據(jù)所述終端通信密鑰的根密鑰生成所述衍生密鑰采用的算法的算法標(biāo)識����。
37.根據(jù)權(quán)利要求34-36任一項所述的用于終端通信的設(shè)備,其特征在于��,所述業(yè)務(wù)信息中還包括索引標(biāo)識,所述索引標(biāo)識用于區(qū)分不同終端的終端通信密鑰的根密鑰�����;則所述處理器還用于根據(jù)所述索引標(biāo)識查找對應(yīng)的終端通信密鑰的根密鑰�����。
38.根據(jù)權(quán)利要求34-37任一項所述的用于終端通信的設(shè)備����,其特征在于,所述存儲器存儲的所述終端通信密鑰的根密鑰由所述第一設(shè)備和所述用于終端通信的設(shè)備最近一次AKA之后生成的根密鑰生成����。
39.根據(jù)權(quán)利要求34-38任一項所述的用于終端通信的設(shè)備,其特征在于���,所述接收器接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息之前�����,所述用于終端通信的設(shè)備處于不在線狀態(tài)��;或者����,所述接收器接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息時,所述用于終端通信的設(shè)備處于不在線狀態(tài)�����;或者��,所述接收器接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息之前��,所述用于終端通信的設(shè)備處于去附著狀態(tài)����;或者,所述接收器接收所述第一設(shè)備發(fā)送的業(yè)務(wù)信息不涉及非接入層NAS和接入層AS�。
全文摘要
本發(fā)明實施例提供一種終端的通信方法和設(shè)備。方法包括第一設(shè)備采用終端通信密鑰的根密鑰的衍生密鑰對業(yè)務(wù)信息進(jìn)行加密���,所述終端通信密鑰的根密鑰由所述第一設(shè)備和第二設(shè)備認(rèn)證和密鑰協(xié)商AKA之后生成的根密鑰生成��,所述第一設(shè)備為終端����,所述第二設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�;或者,所述第一設(shè)備為網(wǎng)絡(luò)側(cè)設(shè)備�,所述第二設(shè)備為終端;所述第一設(shè)備將加密后的業(yè)務(wù)信息發(fā)送給所述第二設(shè)備��,以使得所述第二設(shè)備采用所述終端通信密鑰的根密鑰的衍生密鑰對接收的業(yè)務(wù)信息進(jìn)行解密�����。本發(fā)明實施例��,實現(xiàn)對終端與網(wǎng)絡(luò)側(cè)設(shè)備之間傳輸?shù)臉I(yè)務(wù)信息進(jìn)行機(jī)密性或完整性保護(hù)���。
文檔編號H04W12/04GK102932784SQ20111023152
公開日2013年2月13日 申請日期2011年8月12日 優(yōu)先權(quán)日2011年8月12日
發(fā)明者許怡嫻, 張麗佳, 陳璟 申請人:華為技術(shù)有限公司