專(zhuān)利名稱(chēng):一種低成本終端的安全通信方法�、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種低成本終端的安全通信方法��、裝置及系統(tǒng)��。
背景技術(shù):
機(jī)器對(duì)機(jī)器(machine to machine,簡(jiǎn)稱(chēng):M2M)技術(shù)是無(wú)線通信和信息技術(shù)的整合,是指無(wú)需人工干預(yù)����,機(jī)器和機(jī)器之間可以直接進(jìn)行通信。機(jī)器對(duì)機(jī)器(M2M)通信也稱(chēng)機(jī)器類(lèi)通信(machine type communication,簡(jiǎn)稱(chēng):MTC),與傳統(tǒng)人對(duì)人(human to human,簡(jiǎn)稱(chēng):H2H)通信系統(tǒng)有很大不同�,M2M通信由于其設(shè)備數(shù)量巨大、低移動(dòng)性��、通信流量小等特點(diǎn)���,具有很多機(jī)器類(lèi)通信的特性�。在目前的3GPP(the 3rd generation partnershipproject����,第三代合作伙伴計(jì)劃)標(biāo)準(zhǔn)中開(kāi)始針對(duì)這些特性對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行優(yōu)化。在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中�����,低成本終端上只具有簡(jiǎn)單NAS(Non AccessStratum,非接入層)�����,僅能夠執(zhí)行相關(guān)的非接入層流程,AP (Access Point,訪問(wèn)接入點(diǎn))作為接入點(diǎn)需將低成本終端發(fā)送的簡(jiǎn)單NAS消息進(jìn)行解析翻譯��,然后將翻譯好的簡(jiǎn)單NAS消息傳遞到MME (Mobility Management Entity,移動(dòng)管理實(shí)體)的NAS層�����,也就是AP代替低成本終端發(fā)送NAS消息��,執(zhí)行相關(guān)的操作����。在此過(guò)程中,發(fā)明人發(fā)現(xiàn)如果按照現(xiàn)有安全機(jī)制�,NAS安全建立在低成本終端和MME之間,AP沒(méi)有低成本終端的NAS安全上下文���,無(wú)法實(shí)現(xiàn)對(duì)NAS信令的翻譯�����,使得AP與低成本終端之間存在安全隱患��。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供一種低成本終端的安全通信方法�、裝置及系統(tǒng)�����,解決了 AP無(wú)法實(shí)現(xiàn)對(duì)低成本終端NAS信令翻譯的問(wèn)題,使得低成本終端能夠與網(wǎng)絡(luò)安全通信�。為達(dá)到上述目的,本發(fā)明的實(shí)施例采用如下技術(shù)方案:一方面�,提供一種低成本終端的安全通信的方法,包括:訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法�����,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰�����;所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端���,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰���;所述訪問(wèn)接入點(diǎn)接收所述低成本終端發(fā)送的安全模式完成響應(yīng)消息。另一方面�,提供一種訪問(wèn)接入點(diǎn),包括:算法密鑰獲取模塊���,用于在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商后����,所述訪問(wèn)接入點(diǎn)得到對(duì)應(yīng)所述低成本終端安全能力的加密算法和加密密鑰��,以及完整性算法和完整性密鑰����;加密發(fā)送模塊,用于所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端�����,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰�����;接收模塊����,用于所述訪問(wèn)接入點(diǎn)接收所述低成本終端發(fā)送的安全模式完成響應(yīng)消
肩、O一種移動(dòng)控制實(shí)體�����,包括:第四認(rèn)證連接模塊��,用于所述移動(dòng)控制實(shí)體與低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商��。一種基站,包括:第五認(rèn)證連接模塊�����,用于所述基站與訪問(wèn)接入點(diǎn)建立接入層安全連接�。一種低成本終端,包括:第六認(rèn)證連接模塊��,用于所述移動(dòng)控制實(shí)體與所述低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商�;接收模塊,用于接收所述訪問(wèn)接入點(diǎn)發(fā)送的包含所述加密算法和所述完整性算法的安全模式命令���;解密模塊���,用于接收到所述安全模式命令后計(jì)算得到加密密鑰和完整性密鑰;上報(bào)模塊�,用于發(fā)送安全模式完成響應(yīng)消息給所述訪問(wèn)接入點(diǎn)。再一方面�,提供一種低成本終端的安全通信系統(tǒng),其特征在于�����,包括:訪問(wèn)接入點(diǎn),用于訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法���,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰���;所述訪問(wèn)接入點(diǎn)將包含有所述所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端�����,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰��;所述訪問(wèn)接入點(diǎn)接收所述低成本終端發(fā)送的安全模式完成響應(yīng)消肩�����、O移動(dòng)控制實(shí)體��,用于所述低移動(dòng)控制實(shí)體與成本終端進(jìn)行認(rèn)證和密鑰協(xié)商��?����;?��,用于所述基站與訪問(wèn)接入點(diǎn)建立接入層安全連接���。低成本終端�,用于所述移動(dòng)控制實(shí)體與所述低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商����;接收所述訪問(wèn)接入點(diǎn)發(fā)送的包含所述加密算法和所述完整性算法的安全模式命令;接收到所述安全模式命令后計(jì)算得到加密密鑰和完整性密鑰�����;發(fā)送安全模式完成響應(yīng)消息給所述訪問(wèn)接入點(diǎn)���。本發(fā)明的實(shí)施例提供一種低成本終端的安全通信的方法�、裝置及系統(tǒng)��,在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中����,在低成本終端與訪問(wèn)接入點(diǎn)之間利用密鑰來(lái)建立連接上的安全,實(shí)現(xiàn)了移動(dòng)低成本終端與網(wǎng)絡(luò)的安全通信��。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實(shí)施例提供的一種低成本終端的安全通信的方法流程示意圖�;圖2為本發(fā)明實(shí)施例提供的另一種低成本終端的安全通信的方法流程示意圖�;圖3為本發(fā)明實(shí)施例提供的又一種低成本終端的安全通信的方法流程示意圖4為本發(fā)明實(shí)施例提供的再一種低成本終端的安全通信的方法流程示意圖;圖5為本發(fā)明實(shí)施例提供的再一種低成本終端的安全通信的方法流程示意圖�;圖6為本發(fā)明實(shí)施例提供的一種訪問(wèn)接入點(diǎn)結(jié)構(gòu)示意圖;圖7為本發(fā)明實(shí)施例提供的另一種訪問(wèn)接入點(diǎn)結(jié)構(gòu)示意圖����;圖8為本發(fā)明實(shí)施例提供的又一種訪問(wèn)接入點(diǎn)結(jié)構(gòu)示意圖;圖9為本發(fā)明實(shí)施例提供的再一種訪問(wèn)接入點(diǎn)結(jié)構(gòu)示意圖��;圖10為本發(fā)明實(shí)施例提供的再一種訪問(wèn)接入點(diǎn)結(jié)構(gòu)示意圖���;圖11為本發(fā)明實(shí)施例提供的再一種訪問(wèn)接入點(diǎn)結(jié)構(gòu)示意圖���;圖12為本發(fā)明實(shí)施例提供的一種移動(dòng)控制實(shí)體結(jié)構(gòu)示意圖;圖13為本發(fā)明實(shí)施例提供的另一種移動(dòng)控制實(shí)體結(jié)構(gòu)示意圖����;圖14為本發(fā)明實(shí)施例提供的一種基站結(jié)構(gòu)不意圖���;圖15為本發(fā)明實(shí)施例提供的另一種基站結(jié)構(gòu)示意圖;圖16為本發(fā)明實(shí)施例提供的一種低成本終端結(jié)構(gòu)示意圖�;圖17為本發(fā)明實(shí)施例提供的一種低成本終端的安全通信系統(tǒng)結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例�?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍����。本發(fā)明實(shí)施例提供的低成本終端的安全通信的方法,如圖1所示����,包括以下步驟:S101,訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)低成本終端的安全能力選擇加密算法和完整性算法�����,并根據(jù)加密算法和完整性算法獲取加密密鑰和完整性密鑰���;S102、訪問(wèn)接入點(diǎn)將包含有加密算法和完整性算法的安全模式命令發(fā)送至低成本終端�,以便低成本終端計(jì)算得到加密密鑰和完整性密鑰;S103�、訪問(wèn)接入點(diǎn)接收低成本終端發(fā)送的安全模式完成響應(yīng)消息。本發(fā)明的實(shí)施例提供的低成本終端的安全通信的方法��,在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中���,在低成本終端與訪問(wèn)接入點(diǎn)之間利用密鑰來(lái)建立連接上的安全�,實(shí)現(xiàn)了低成本終端與網(wǎng)絡(luò)的安全通信。本發(fā)明實(shí)施例提供的一種低成本終端的安全通信的方法��,如圖2所示��,包括以下步驟:S201����,訪問(wèn)接入點(diǎn)與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商,并與移動(dòng)控制實(shí)體建立非接入層安全連接�,生成非接入層密鑰。S202����,訪問(wèn)接入點(diǎn)與基站建立接入層的安全連接。S203�����,低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證與密鑰協(xié)商并生成通信根密鑰�����。該步驟中生成通信根密鑰Kasme��。S204,移動(dòng)控制實(shí)體根據(jù)通信根密鑰計(jì)算出接入層根密鑰;這里�,移動(dòng)控制實(shí)體和低成本終端沒(méi)有建立非接入層的安全連接,移動(dòng)控制實(shí)體只需要根據(jù)S203中生成的通信根密鑰Kasme計(jì)算出的接入層根密鑰����,接入層根密鑰為ΚεΝΒ =KDF (Kasme, NAS Uplink Count)。S205�����,移動(dòng)控制實(shí)體通過(guò)基站將接入層根密鑰發(fā)送給訪問(wèn)接入點(diǎn)��,該過(guò)程通過(guò)移動(dòng)控制實(shí)體和訪問(wèn)接入點(diǎn)共享的非接入層密鑰安全保護(hù)����。S206,訪問(wèn)接入點(diǎn)自身預(yù)配置或從移動(dòng)控制實(shí)體獲取低成本終端的安全能力�。其中步驟S205和S206不分先后順序�����,這里為了描述清楚給出了其中一種順序�。即步驟S206亦可在S205之前或者同時(shí)進(jìn)行。圖2中虛線方框中的S206表示訪問(wèn)接入點(diǎn)自身預(yù)配置低成本終端的安全能力�����。S207,訪問(wèn)接入點(diǎn)根據(jù)低成本終端的安全能力選擇接入層加密算法和接入層完整性算法���、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法�,并根據(jù)接入層根密鑰和選擇的接入層加密算法和接入層完整性算法��、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算出接入層密鑰和接入層完整性密鑰��、簡(jiǎn)單非接入層密鑰和簡(jiǎn)單非接入層完整性密鑰�。其中,密鑰計(jì)算方式為�����,接入層完整性密鑰Kraiant = KDF (KeNB, RRC-1nt-alg�����,Alg-1D)�,接入層信令面加密密鑰KKKen。= KDF(KeNB�,RRC-enC-alg,Alg-1D),接入層用戶面加密密鑰 Kupene = KDF(KeNB, UP-enc-alg, Alg-1D)�����,簡(jiǎn)單非接入層加密密鑰 KSNASen��。= KDF(KeNB,SNAS-enc-alg, Alg-1D)�,簡(jiǎn)單非接入層完整性密鑰 KSNASint = KDF (KeNB, SNAS-1nt-alg,Alg-1D)����。S208,訪問(wèn)接入點(diǎn)將包含接入層加密算法和接入層完整性算法����、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至低成本終端。這里��,當(dāng)接入層加密算法及接入層完整性算法與簡(jiǎn)單非接入層加密算法及簡(jiǎn)單非接入層完整性算法一致時(shí)���,該步驟方法可以只包含一種加密算法和完整性算法�����。S209,低成本終端接收到安全模式命令后計(jì)算出的接入層加密密鑰和接入層完整性密鑰���、簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰并返回安全模式完成響應(yīng)消息給訪問(wèn)接入點(diǎn)����。這里計(jì)算接入層加密密鑰和接入層完整性密鑰、簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰的方式與步驟S207中的方式是相同的�。S210,訪問(wèn)接入點(diǎn)接收低成本終端發(fā)送的安全模式完成響應(yīng)消息�。本發(fā)明的實(shí)施例提供的低成本終端的安全通信的方法,在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中����,在低成本終端與訪問(wèn)接入點(diǎn)之間利用密鑰來(lái)建立連接上的安全,實(shí)現(xiàn)了低成本終端與網(wǎng)絡(luò)的安全通信���。本發(fā)明實(shí)施例提供的的低成本終端的安全通信的方法��,如圖3所示����,包括以下步驟:S301�����,訪問(wèn)接入點(diǎn)與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商,并與移動(dòng)控制實(shí)體建立非接入層安全連接����,生成非接入層密鑰。S302�����,訪問(wèn)接入點(diǎn)與基站建立接入層的安全連接���。S303�����,低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證與密鑰協(xié)商并生成通信根密鑰��。該步驟中生成通信根密鑰Kasnre���。S304,移動(dòng)控制實(shí)體根據(jù)通信根密鑰計(jì)算出接入層根密鑰��。
這里���,移動(dòng)控制實(shí)體和低成本終端沒(méi)有建立非接入層的安全連接�,移動(dòng)控制實(shí)體只需要根據(jù)步驟S303中的通信根密鑰Kasme計(jì)算出的接入層根密鑰,接入層根密鑰為Kdffi =KDF (Kasme, NAS Uplink Count)����。S305����,移動(dòng)控制實(shí)體通過(guò)基站將接入層根密鑰發(fā)送給訪問(wèn)接入點(diǎn),該過(guò)程通過(guò)移動(dòng)控制實(shí)體和訪問(wèn)接入點(diǎn)共享的非接入層密鑰安全保護(hù)���。S306���,訪問(wèn)接入點(diǎn)自身預(yù)配置或從移動(dòng)控制實(shí)體獲取低成本終端的安全能力。其中步驟S305和S306不分先后順序�,這里為了描述清楚給出了其中一種順序。即步驟S306亦可在S305之前或者同時(shí)進(jìn)行�。圖3中虛線方框中的S306表示訪問(wèn)接入點(diǎn)自身預(yù)配置低成本終端的安全能力。S307��,訪問(wèn)接入點(diǎn)根據(jù)低成本終端的安全能力選擇加密算法和完整性算法��,并根據(jù)接入層根密鑰和選擇的加密算法����、完整性算法計(jì)算信令加密密鑰���、信令完整性密鑰及數(shù)據(jù)加密密鑰。其中����,密鑰計(jì)算方式為:信令加密密鑰Ksrcint = KDF(KeNB, Signalling-1nt-alg,Alg-1D)�����,信令完整性密鑰 Ksrcene = KDF(KeNB, Signal I ing-enc-alg��,Alg-1D)���,及數(shù)據(jù)加密密鑰 Kupenc = KDF (KeNB, UP-enc-alg, Alg-1D)�����。S308�����,訪問(wèn)接入點(diǎn)將包含加密算法和完整性算法的安全模式命令發(fā)送至低成本終端�。S309����,低成本終端接收到安全模式命令后計(jì)算出信令加密密鑰�、信令完整性密鑰及數(shù)據(jù)加密密鑰并返回安全模式完成響應(yīng)消息給訪問(wèn)接入點(diǎn)�����。這里所用到的密鑰的計(jì)算方式與步驟S307中的方式是相同的��。S310�����,訪問(wèn)接入點(diǎn)接收低成本終端發(fā)送的安全模式完成響應(yīng)消息�。本發(fā)明的實(shí)施例提供的低成本終端的安全通信的方法�,在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中,在低成本終端與訪問(wèn)接入點(diǎn)之間利用密鑰來(lái)建立連接上的安全����,實(shí)現(xiàn)了低成本終端與網(wǎng)絡(luò)的安全通信。本發(fā)明實(shí)施例提供的一種安全通信的方法�����,如圖4所示���,包括以下步驟:S401����,訪問(wèn)接入點(diǎn)與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商,并與移動(dòng)控制實(shí)體建立非接入層安全連接��,生成非接入層密鑰�����。S402�����,訪問(wèn)接入點(diǎn)與基站建立接入層的安全連接�。S403,低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證與密鑰協(xié)商并生成通信根密鑰�����、或在生成通信根密鑰后根據(jù)通信根密鑰和非接入層數(shù)據(jù)生成臨時(shí)通信根密鑰�。該步驟中生成通信根密鑰Kasme,或者在生成通信根密鑰后根據(jù)通信根密鑰和非接入層數(shù)據(jù)生成臨時(shí)通信根密鑰Kasme_s = (Kasme,“SimpleNAS”)����,這里的非接入層數(shù)據(jù)是“Simple NAS” 字符串��。S404�����,移動(dòng)控制實(shí)體根據(jù)通信根密鑰計(jì)算出接入層根密鑰����。這里���,移動(dòng)控制實(shí)體和低成本終端沒(méi)有建立非接入層的安全連接,移動(dòng)控制實(shí)體只需要根據(jù)步驟S403中的通信根密鑰計(jì)算出的接入層根密鑰KeNB = KDF(Kasme,NAS UplinkCount)οS405����,移動(dòng)控制實(shí)體通過(guò)基站將接入層根密鑰和通信根密鑰、或接入層根密鑰和臨時(shí)通信根密鑰發(fā)送給訪問(wèn)接入點(diǎn)�,該過(guò)程通過(guò)移動(dòng)控制實(shí)體和訪問(wèn)接入點(diǎn)共享的非接入層密鑰安全保護(hù)。S406��,訪問(wèn)接入點(diǎn)自身預(yù)配置或從移動(dòng)控制實(shí)體獲取低成本終端的安全能力����。其中步驟S405和S406不分先后順序,這里為了描述清楚給出了其中一種順序����。即步驟S406亦可在S405之前或者同時(shí)進(jìn)行�。圖4中虛線方框中的S406表示訪問(wèn)接入點(diǎn)自身預(yù)配置低成本終端的安全能力���。S407����,訪問(wèn)接入點(diǎn)根據(jù)低成本終端的安全能力選擇接入層加密算法和接入層完整性算法��、非接入層加密算法和非接入層完整性算法����,并根據(jù)接入層加密算法、接入層完整性算法和接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰���,根據(jù)簡(jiǎn)單非接入層密鑰算法����、簡(jiǎn)單非接入層完整性算法和通信根密鑰或臨時(shí)通信根密鑰計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰�。其中,密鑰計(jì)算方式為�,接入層完整性密鑰Kraiant = KDF (KeNB, RRC-1nt-alg,Alg-1D),接入層信令面加密密鑰KKKen。= KDF(KeNB���,RRC-enC-alg����,Alg-1D)�,接入層用戶面加密密鑰 Kupene = KDF(KeNB, UP-enc-alg, Alg-1D),簡(jiǎn)單非接入層加密密鑰 KSNASen���。= KDF (Kasme/Kasme-S, SNAS-enc-alg, Alg-1D)����,簡(jiǎn)單非接入層完整性密鑰 K麵nt = KDF (Kasme/K一�����,SNAS-1nt-alg, Alg-1D)�����。S408���,訪問(wèn)接入點(diǎn)將包含接入層加密算法和接入層完整性算法、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至低成本終端。這里�����,當(dāng)接入層加密算法及接入層完整性算法與簡(jiǎn)單非接入層加密算法及簡(jiǎn)單非接入層完整性算法一致時(shí)�,該步驟方法可以只包含一種密鑰算法和完整性算法。S409��,低成本終端接收到安全模式命令后計(jì)算出的接入層加密密鑰和接入層完整性密鑰���、簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰并返回安全模式完成響應(yīng)消息給訪問(wèn)接入點(diǎn)�����。這里計(jì)算接入層加密密鑰和接入層完整性密鑰��、簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰的方式與步驟S407中的方式是相同的����。S410�,訪問(wèn)接入點(diǎn)接收低成本終端發(fā)送的安全模式完成響應(yīng)消息。本發(fā)明的實(shí)施例提供的低成本終端的安全通信的方法�,在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中,在低成本終端與訪問(wèn)接入點(diǎn)之間利用密鑰來(lái)建立連接上的安全���,實(shí)現(xiàn)了低成本終端與網(wǎng)絡(luò)的安全通信�����。本發(fā)明實(shí)施例提供的低成本終端的安全通信的方法�,如圖5所示,包括以下步驟:S501����,訪問(wèn)接入點(diǎn)與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商,并與移動(dòng)控制實(shí)體建立非接入層安全連接����,生成非接入層密鑰。S502�,訪問(wèn)接入點(diǎn)與基站建立接入層的安全連接。S503���,低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證與密鑰協(xié)商并生成通信根密鑰。該步驟中生成通信根密鑰Kasnre����。S504,移動(dòng)控制實(shí)體根據(jù)通信根密鑰計(jì)算出接入層根密鑰�,并根據(jù)低成本終端的安全能力、訪問(wèn)接入點(diǎn)的安全能力選擇簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法,并根據(jù)簡(jiǎn)單非接入層加密算法��、簡(jiǎn)單非接入層完整性算法和通信根密鑰計(jì)算出簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰�����。這里���,移動(dòng)控制實(shí)體需要根據(jù)步驟S503的通信根密鑰Kasnre計(jì)算出的接入層根密鑰�,接入層根密鑰為KeNB = KDF(Kasme, Uplink NAS Count);密鑰計(jì)算方式為:簡(jiǎn)單非接入層加密密鑰 KSNASen���。= KDF (Kasme, SNAS-enc-alg, Alg-1D)���,簡(jiǎn)單非接入層完整性密鑰 KSNASint =KDF (Kasme, SNAS-1nt-alg, Alg-1D)。S505���,移動(dòng)控制實(shí)體通過(guò)基站將接入層根密鑰��、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及計(jì)算出的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰發(fā)送給訪問(wèn)接入點(diǎn)��,該過(guò)程通過(guò)移動(dòng)控制實(shí)體和訪問(wèn)接入點(diǎn)共享的的非接入層密鑰安全保護(hù)�����。S506����,訪問(wèn)接入點(diǎn)自身預(yù)配置或從移動(dòng)控制實(shí)體獲取低成本終端的安全能力。其中步驟S505和S506不分先后順序����,這里為了描述清楚給出了其中一種順序。即步驟S506可在S505之前或者同時(shí)或者之后進(jìn)行���。圖5中虛線方框中的S506表示訪問(wèn)接入點(diǎn)自身預(yù)配置低成本終端的安全能力���。S507,訪問(wèn)接入點(diǎn)根據(jù)低成本終端的安全能力選擇接入層加密算法和接入層完整性算法�����,并根據(jù)接入層根密鑰及選擇的接入層加密算法和接入層完整性算法計(jì)算出接入層加密密鑰和接入層完整性密鑰����。其中,密鑰計(jì)算方式為:接入層完整性密鑰Kraiant = KDF (K.��,RRC-1nt-alg,Alg-1D)���,接入層加密密鑰 KKKen�����。= KDF(KeNB, RRC-enc-alg, Alg-1D)��,接入層加密密鑰 Kupenc=KDF (KeNB, UP-enc-alg, Alg-1D)�。S508���,訪問(wèn)接入點(diǎn)將包含接入層加密算法和接入層完整性算法���、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至低成本終端。這里�����,當(dāng)接入層加密算法及接入層完整性算法與簡(jiǎn)單非接入層加密算法及簡(jiǎn)單非接入層完整性算法一致時(shí)���,該步驟方法可以只包含一種密鑰算法和完整性算法�。S509����,低成本終端接收到安全模式命令后計(jì)算出的接入層加密密鑰和接入層完整性密鑰�、簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰并返回安全模式完成響應(yīng)消息給訪問(wèn)接入點(diǎn)����。這里計(jì)算接入層加密密鑰和接入層完整性密鑰的方式與步驟S507中的方式是相同的,計(jì)算簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰的方式與步驟S504中的方式是相同的�。S510,訪問(wèn)接入點(diǎn)接收低成本終端發(fā)送的安全模式完成響應(yīng)消息�。本發(fā)明的實(shí)施例提供的低成本終端的安全通信的方法,在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中��,在低成本終端與訪問(wèn)接入點(diǎn)之間利用密鑰來(lái)建立連接上的安全��,實(shí)現(xiàn)了低成本移動(dòng)低成本終端與網(wǎng)絡(luò)的安全通信��。本發(fā)明實(shí)施例提供的一種訪問(wèn)接入點(diǎn)6��,如圖6所示���,包括:算法密鑰獲取模塊61�,加密發(fā)送模塊62和接收模塊63�����。算法密鑰獲取模塊61用于訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)低成本終端的安全能力選擇加密算法和完整性算法����,并根據(jù)加密算法和完整性算法獲取加密密鑰和完整性密鑰。加密發(fā)送模塊62用于訪問(wèn)接入點(diǎn)將包含有加密算法和完整性算法的安全模式命令發(fā)送至低成本終端���,以便低成本終端計(jì)算得到加密密鑰和完整性密鑰�����。接收模塊63用于訪問(wèn)接入點(diǎn)接收低成本終端發(fā)送的安全模式完成響應(yīng)消息�。進(jìn)一步的,如圖7所示,訪問(wèn)接入點(diǎn),包括:第一認(rèn)證連接模塊71���、第二認(rèn)證連接模塊72���、算法密鑰獲取模塊73,加密發(fā)送模塊74和接收模塊75���。第一認(rèn)證連接模塊71用于訪問(wèn)接入點(diǎn)與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商�����,并與移動(dòng)控制實(shí)體建立非接入層安全連接���,生成非接入層密鑰����。第二認(rèn)證連接模塊72用于訪問(wèn)接入點(diǎn)與基站建立接入層安全連接�。算法密鑰獲取模塊73用于訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)低成本終端的安全能力選擇加密算法和完整性算法,并根據(jù)加密算法和完整性算法獲取加密密鑰和完整性密鑰�。加密發(fā)送模塊74用于訪問(wèn)接入點(diǎn)將包含有加密算法和完整性算法的安全模式命令發(fā)送至低成本終端,以便低成本終端計(jì)算得到加密密鑰和完整性密鑰�。接收模塊75用于訪問(wèn)接入點(diǎn)接收低成本終端發(fā)送的安全模式完成響應(yīng)消息。進(jìn)一步的����,如圖8所示,算法密鑰獲取模塊73還包括:第一密鑰獲取單元7311用于訪問(wèn)接入點(diǎn)接收經(jīng)由基站轉(zhuǎn)發(fā)的移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰��;且接入層根密鑰通過(guò)移動(dòng)控制實(shí)體與訪問(wèn)接入點(diǎn)之間共享的非接入層密鑰進(jìn)行安全保護(hù)���;其中���,接入層根密鑰為移動(dòng)控制實(shí)體根據(jù)通信根密鑰計(jì)算獲得。第一安全能力獲取單元7312用于訪問(wèn)接入點(diǎn)自身預(yù)配置低成本終端的安全能力或者從移動(dòng)控制實(shí)體獲取經(jīng)由基站轉(zhuǎn)發(fā)的低成本終端的安全能力���。第一算法密鑰獲取單元7313用于訪問(wèn)接入點(diǎn)根據(jù)低成本終端的安全能力選擇接入層加密算法和接入層完整性算法��、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法��,并根據(jù)接入層加密算法��、接入層完整性算法和接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰�����,根據(jù)簡(jiǎn)單非接入層密鑰算法�����、簡(jiǎn)單非接入層完整性算法和接入層根密鑰計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰����。其中���,加密發(fā)送模塊74用于訪問(wèn)接入點(diǎn)將包含有接入層加密算法和接入層完整性算法以及簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至低成本終端�;以便低成本終端根據(jù)接入層加密算法和接入層完整性算法計(jì)算得到接入層加密密鑰和接入層完整性密鑰�、根據(jù)簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰如圖9所示,算法密鑰獲取模塊73還包括:第二密鑰獲取單元7321用于訪問(wèn)接入點(diǎn)接收經(jīng)由基站轉(zhuǎn)發(fā)的移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰�����;且接入層根密鑰通過(guò)移動(dòng)控制實(shí)體與訪問(wèn)接入點(diǎn)之間共享的非接入層密鑰進(jìn)行安全保護(hù);其中�����,接入層根密鑰為移動(dòng)控制實(shí)體根據(jù)通信根密鑰計(jì)算獲得�。第二安全能力獲取單元7322用于訪問(wèn)接入點(diǎn)自身預(yù)配置低成本終端的安全能力或者從移動(dòng)控制實(shí)體獲取經(jīng)由基站轉(zhuǎn)發(fā)的低成本終端的安全能力。第二算法密鑰獲取單元7323用于訪問(wèn)接入點(diǎn)根據(jù)低成本終端的安全能力選擇加密算法和完整性算法�����,并根據(jù)加密算法�、完整性算法和接入層根密鑰計(jì)算得到信令加密密鑰、信令完整性密鑰和數(shù)據(jù)加密密鑰�。其中,加密發(fā)送模塊74用于訪問(wèn)接入點(diǎn)將包含有加密算法和完整性算法的安全模式命令發(fā)送至低成本終端���;以便低成本終端根據(jù)加密算法���、完整性算法計(jì)算得到信令加密密鑰、信令完整性密鑰和數(shù)據(jù)加密密鑰如圖10所示�,算法密鑰獲取模塊73還包括:
第三密鑰獲取單元7331用于訪問(wèn)接入點(diǎn)接收經(jīng)由基站轉(zhuǎn)發(fā)的移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰和通信根密鑰、或接入層根密鑰和臨時(shí)通信根密鑰�;且接入層根密鑰和通信根密鑰、或接入層根密鑰和臨時(shí)通信根密鑰通過(guò)移動(dòng)控制實(shí)體與訪問(wèn)接入點(diǎn)之間共享的非接入層密鑰進(jìn)行安全保護(hù)���;其中�,接入層根密鑰為移動(dòng)控制實(shí)體根據(jù)通信根密鑰計(jì)算獲得。第三安全能力獲取單元7332用于訪問(wèn)接入點(diǎn)自身預(yù)配置低成本終端的安全能力或者從移動(dòng)控制實(shí)體獲取經(jīng)由基站轉(zhuǎn)發(fā)的低成本終端的安全能力�����。第三算法密鑰獲取單元7333用于訪問(wèn)接入點(diǎn)根據(jù)低成本終端的安全能力選擇接入層加密算法和接入層完整性算法�、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法,并根據(jù)接入層加密算法����、接入層完整性算法和接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰����,根據(jù)簡(jiǎn)單非接入層密鑰算法、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰或臨時(shí)通信根密鑰計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰���。其中��,加密發(fā)送模塊74用于訪問(wèn)接入點(diǎn)將包含有接入層加密算法和接入層完整性算法以及簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至低成本終端����;以便低成本終端根據(jù)接入層加密算法和接入層完整性算法計(jì)算得到接入層加密密鑰和接入層完整性密鑰�����、根據(jù)簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到非簡(jiǎn)單接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰。如圖11所示�,算法密鑰獲取模塊73還包括:第四算法密鑰獲取單元7341用于訪問(wèn)接入點(diǎn)接收經(jīng)由基站轉(zhuǎn)發(fā)的移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰;且接入層根密鑰通過(guò)移動(dòng)控制實(shí)體與訪問(wèn)接入點(diǎn)之間共享的非接入層密鑰進(jìn)行安全保護(hù)���;其中����,接入層根密鑰為移動(dòng)控制實(shí)體根據(jù)通信根密鑰計(jì)算獲得����;訪問(wèn)接入點(diǎn)接收經(jīng)由基站轉(zhuǎn)發(fā)的由移動(dòng)控制實(shí)體發(fā)送的移動(dòng)控制實(shí)體根據(jù)低成本終端的安全能力、訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及根據(jù)簡(jiǎn)單非接入層加密算法����、簡(jiǎn)單非接入層完整性算法和通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰;且移動(dòng)控制實(shí)體根據(jù)低成本終端的安全能力����、訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及根據(jù)簡(jiǎn)單非接入層加密算法、簡(jiǎn)單非接入層完整性算法和通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰通過(guò)移動(dòng)控制實(shí)體與訪問(wèn)接入點(diǎn)共享的非接入層密鑰進(jìn)行安全保護(hù)����。第四安全能力獲取單元7342用于訪問(wèn)接入點(diǎn)自身預(yù)配置低成本終端的安全能力或者從移動(dòng)控制實(shí)體獲取經(jīng)由基站轉(zhuǎn)發(fā)的低成本終端的安全能力����。第五算法密鑰獲取單元7343用于訪問(wèn)接入點(diǎn)根據(jù)低成本終端的安全能力選擇接入層加密算法和接入層完整性算法��,并根據(jù)接入層加密算法和接入層根密鑰計(jì)算得到接入層加密密鑰�����、根據(jù)接入層完整性算法和接入層根密鑰計(jì)算得到接入層完整性密鑰��。其中�����,加密發(fā)送模塊74用于訪問(wèn)接入點(diǎn)將包含有接入層加密算法和接入層完整性算法以及簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至低成本終端��;以便低成本終端根據(jù)接入層加密算法和接入層完整性算法計(jì)算得到接入層加密密鑰和接入層完整性密鑰����、根據(jù)簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰����。
本發(fā)明實(shí)施例提供的一種移動(dòng)控制實(shí)體12,如圖12所示���,包括:第四認(rèn)證連接模塊 121��。第四認(rèn)證連接模塊����,用于移動(dòng)控制實(shí)體與低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商。進(jìn)一步的���,如圖13所示��,移動(dòng)控制實(shí)體13包括:第三認(rèn)證連接模塊131��、第四認(rèn)證連接模塊132和密鑰生成模塊133���。第三認(rèn)證連接模塊131,用于所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)進(jìn)行認(rèn)證和密鑰協(xié)商����,并與所述訪問(wèn)接入點(diǎn)建立非接入層安全連接,生成非接入層密鑰��。第四認(rèn)證連接模塊132�����,用于移動(dòng)控制實(shí)體與低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商。密鑰生成模塊133用于生成通信根密鑰�����,并根據(jù)通信根密鑰計(jì)算獲得接入層根密鑰�����;密鑰生成模塊133還用于根據(jù)通信根密鑰和非接入層數(shù)據(jù)計(jì)算出臨時(shí)通信根密鑰��;密鑰生成模塊133還用于根據(jù)通信根密鑰計(jì)算獲得接入層根密鑰�����,并根據(jù)低成本終端的安全能力��、訪問(wèn)接入點(diǎn)的安全能力選擇簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法并根據(jù)簡(jiǎn)單非接入層加密算法����、簡(jiǎn)單非接入層完整性算法和通信根密鑰計(jì)算簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰����。本發(fā)明實(shí)施例提供的一種基站14,如圖14所示����,包括:第五認(rèn)證連接模塊141用于基站與訪問(wèn)接入點(diǎn)建立接入層安全連接�。進(jìn)一步的,如圖15所示,基站14還包括:加密轉(zhuǎn)發(fā)模塊142用于接收接入層根密鑰并通過(guò)移動(dòng)控制實(shí)體與訪問(wèn)接入點(diǎn)之間共享的非接入層密鑰進(jìn)行安全保護(hù)轉(zhuǎn)發(fā)至訪問(wèn)接入點(diǎn)����;加密轉(zhuǎn)發(fā)模塊142還用于接收接入層根密鑰和通信根密鑰、或接入層根密鑰和臨時(shí)通信根密鑰�,并通過(guò)移動(dòng)控制實(shí)體與訪問(wèn)接入點(diǎn)之間共享的非接入層密鑰進(jìn)行安全保護(hù)轉(zhuǎn)發(fā)至訪問(wèn)接入點(diǎn);加密轉(zhuǎn)發(fā)模塊142還用于接收接入層根密鑰和移動(dòng)控制實(shí)體根據(jù)低成本終端的安全能力����、訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及根據(jù)簡(jiǎn)單非接入層加密算法、簡(jiǎn)單非接入層完整性算法和通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰����,并通過(guò)移動(dòng)控制實(shí)體與訪問(wèn)接入點(diǎn)共享的非接入層密鑰進(jìn)行安全保護(hù)轉(zhuǎn)發(fā)至訪問(wèn)接入點(diǎn)。本發(fā)明實(shí)施例提供的一種低成本終端16����,如圖16所示,包括:第六認(rèn)證連接模塊161用于移動(dòng)控制實(shí)體與低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商����;接收模塊162用于接收訪問(wèn)接入點(diǎn)發(fā)送的包含加密算法和完整性算法的安全模式命令。解密模塊163用于接收到安全模式命令后計(jì)算得到加密密鑰和完整性密鑰�。上報(bào)模塊164用于發(fā)送的安全模式完成響應(yīng)消息給訪問(wèn)接入點(diǎn)�。本發(fā)明的實(shí)施例提供的低成本終端的安全通信的裝置�����,在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中�,在低成本終端與訪問(wèn)接入點(diǎn)之間利用密鑰來(lái)建立連接上的安全,實(shí)現(xiàn)了低成本移動(dòng)低成本終端與網(wǎng)絡(luò)的安全通信���。本發(fā)明實(shí)施例提供的一種低成本終端的安全通信系統(tǒng)�����,如圖17所示���,包括:訪問(wèn)接入點(diǎn)171用于訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)低成本終端的安全能力選擇加密算法和完整性算法,并根據(jù)加密算法和完整性算法獲取加密密鑰和完整性密鑰���;訪問(wèn)接入點(diǎn)將包含有加密算法和完整性算法的安全模式命令發(fā)送至低成本終端�,以便低成本終端計(jì)算得到加密密鑰和完整性密鑰�;訪問(wèn)接入點(diǎn)接收低成本終端發(fā)送的安全模式完成響應(yīng)消息。移動(dòng)控制實(shí)體172用于低移動(dòng)控制實(shí)體與成本終端進(jìn)行認(rèn)證和密鑰協(xié)商�����?;?73用于基站與訪問(wèn)接入點(diǎn)建立接入層安全連接。低成本終端174用于移動(dòng)控制實(shí)體與低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商����;接收訪問(wèn)接入點(diǎn)發(fā)送的包含加密算法和完整性算法的安全模式命令;接收到安全模式命令后計(jì)算得到加密密鑰和完整性密鑰��;發(fā)送安全模式完成響應(yīng)消息給所述訪問(wèn)接入點(diǎn)��。本發(fā)明的實(shí)施例提供低成本終端的安全通信的系統(tǒng)�,在現(xiàn)有的低成本終端網(wǎng)絡(luò)架構(gòu)中,在低成本終端與訪問(wèn)接入點(diǎn)之間利用密鑰來(lái)建立連接上的安全����,實(shí)現(xiàn)了低成本移動(dòng)低成本終端與網(wǎng)絡(luò)的安全通信。本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成�����,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序在執(zhí)行時(shí)����,執(zhí)行包括上述方法實(shí)施例的步驟����;而前述的存儲(chǔ)介質(zhì)包括:R0M���、RAM����、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)�。以上所述,僅為本發(fā)明的具體實(shí)施方式
�����,但本發(fā)明的保護(hù)范圍并不局限于此��,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)��。因此���,本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)���。
權(quán)利要求
1.一種低成本終端的安全通信方法����,其特征在于����,包括: 訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法��,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰��; 所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端�,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰; 所述訪問(wèn)接入點(diǎn)接收所述低成本終端發(fā)送的安全模式完成響應(yīng)消息��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功前,還包括: 所述訪問(wèn)接入點(diǎn)與所述移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商���,并與所述移動(dòng)控制實(shí)體建立非接入層安全連接�,生成非接入層密鑰�; 所述訪問(wèn)接入點(diǎn)與基站建立接入層安全連接��。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于,所述低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商包括:所述低成本終端與所述移動(dòng)控制實(shí)體進(jìn)行認(rèn)證與密鑰協(xié)商并生成通信根密鑰���; 所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法����,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰包括: 所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的所述移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰���;且所述接入層根密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)之間共享的所述非接入層密鑰進(jìn)行安全保護(hù)���;其中,所述接入 層根密鑰為所述移動(dòng)控制實(shí)體根據(jù)所述通信根密鑰計(jì)算獲得����; 所述訪問(wèn)接入點(diǎn)自身預(yù)配置所述低成本終端的安全能力或者從所述移動(dòng)控制實(shí)體獲取經(jīng)由所述基站轉(zhuǎn)發(fā)的所述低成本終端的安全能力; 所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇接入層加密算法和接入層完整性算法��、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法�,并根據(jù)所述接入層加密算法、接入層完整性算法和所述接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰��,根據(jù)所述簡(jiǎn)單非接入層加密算法、簡(jiǎn)單非接入層完整性算法和所述接入層根密鑰計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰���。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于��,所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端�,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰包括: 所述訪問(wèn)接入點(diǎn)將包含有所述接入層加密算法和接入層完整性算法以及所述簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至所述低成本終端�;以便所述低成本終端根據(jù)所述接入層加密算法和接入層完整性算法計(jì)算得到所述接入層加密密鑰和接入層完整性密鑰、根據(jù)所述簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到所述簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰��。
5.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商包括:所述低成本終端與所述移動(dòng)控制實(shí)體進(jìn)行認(rèn)證與密鑰協(xié)商并生成通信根密鑰���;所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法�,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰包括: 所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的所述移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰�;且所述接入層根密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)之間共享的所述非接入層密鑰進(jìn)行安全保護(hù);其中����,所述接入層根密鑰為所述移動(dòng)控制實(shí)體根據(jù)所述通信根密鑰計(jì)算獲得��; 所述訪問(wèn)接入點(diǎn)自身預(yù)配置所述低成本終端的安全能力或者從所述移動(dòng)控制實(shí)體獲取經(jīng)由所述基站轉(zhuǎn)發(fā)的所述低成本終端的安全能力���; 所述訪問(wèn)接 入點(diǎn)根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法,并根據(jù)所述加密算法���、所述完整性算法和所述接入層根密鑰計(jì)算得到信令加密密鑰�、信令完整性密鑰和數(shù)據(jù)加密密鑰����。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于����,所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰包括: 所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端�����;以便所述低成本終端根據(jù)所述加密算法���、所述完整性算法計(jì)算得到所述信令加密密鑰����、所述信令完整性密鑰和所述數(shù)據(jù)加密密鑰。
7.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�����,所述低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商包括:所述低成本終端與所述移動(dòng)控制實(shí)體進(jìn)行認(rèn)證與密鑰協(xié)商并生成通信根密鑰���、或在生成所述通信根密鑰后根據(jù)所述通信根密鑰和非接入層數(shù)據(jù)生成臨時(shí)通信根密鑰; 所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法���,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰包括: 所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的所述移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰和通信根密鑰��、或接入層根密鑰和臨時(shí)通信根密鑰���;且所述接入層根密鑰和通信根密鑰、或接入層根密鑰和臨時(shí)通信根密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)共享的所述非接入層密鑰進(jìn)行安全保護(hù)��;其中���,所述接入層根密鑰為所述移動(dòng)控制實(shí)體根據(jù)所述通信根密鑰計(jì)算獲得��; 所述訪問(wèn)接入點(diǎn)自身預(yù)配置所述低成本終端的安全能力或者從所述移動(dòng)控制實(shí)體獲取經(jīng)由所述基站轉(zhuǎn)發(fā)的所述低成本終端的安全能力����; 所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇接入層加密算法和接入層完整性算法、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法�����,并根據(jù)所述接入層加密算法�、接入層完整性算法和所述接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰,根據(jù)所述簡(jiǎn)單非接入層加密算法����、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰或者臨時(shí)通信根密鑰計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征在于��,所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端���,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰包括: 所述訪問(wèn)接入點(diǎn)將包含有所述接入層加密算法和所述接入層完整性算法以及所述簡(jiǎn)單非接入層加密算法和所述簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至所述低成本終端�����;以便所述低成本終端根據(jù)所述接入層加密算法和接入層完整性算法計(jì)算得到接入層加密密鑰和接入層完整性密鑰���、根據(jù)所述簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰���。
9.根據(jù)權(quán)利要求2所述的方法,其特征在于���,所述低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商包括:所述低成本終端與所述移動(dòng)控制實(shí)體進(jìn)行認(rèn)證與密鑰協(xié)商并生成通信根密鑰����; 所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法����,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰包括: 所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的所述移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰�����;且所述接入層根密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)之間共享的所述非接入層密鑰進(jìn)行安全保護(hù)����;其中���,所述接入層根密鑰為所述移動(dòng)控制實(shí)體根據(jù)所述通信根密鑰計(jì)算獲得; 所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的由所述移動(dòng)控制實(shí)體發(fā)送的所述移動(dòng)控制實(shí)體根據(jù)所述低成本終端的安全能力����、所述訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及根據(jù)所述簡(jiǎn)單非接入層加密算法、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰��;且所述移動(dòng)控制實(shí)體根據(jù)所述低成本終端的安全能力���、所述訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及根據(jù)所述簡(jiǎn)單非接入層加密算法����、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)共享的所述非接入層密鑰進(jìn)行安全保護(hù)��; 所述訪問(wèn)接入點(diǎn)自身預(yù)配置所述低成本終端的安全能力或者從所述移動(dòng)控制實(shí)體獲取經(jīng)由所述基站轉(zhuǎn)發(fā)的所述低成本終端的安全能力�����; 所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇接入層加密算法和接入層完整性算法����,并根據(jù)所述接入層加密算法、接入層完整性算法和所述接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰。
10.根據(jù)權(quán)利要求9所述的方法����,其特征在于,所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端���,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰包括: 所述訪問(wèn)接入點(diǎn)將包含有所述接入層加密算法和所述接入層完整性算法以及所述簡(jiǎn)單非接入層加密算法和所述簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至所述低成本終端��;以便所述低成本終端根據(jù)所述接入層加密算法和接入層完整性算法計(jì)算得到接入層加密密鑰和接入層完整性密鑰�、根據(jù)所述簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰����。
11.一種訪問(wèn)接入點(diǎn),其特征在于�����,包括: 算法密鑰獲取模塊���,用于訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法�����,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰;加密發(fā)送模塊,用于所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端����,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰;接收模塊�,用于所述訪問(wèn)接入點(diǎn)接收所述低成本終端發(fā)送的安全模式完成響應(yīng)消息。
12.根據(jù)權(quán)利要求11所述的訪問(wèn)接入點(diǎn)�,其特征在于,還包括: 第一認(rèn)證連接模塊����,用于所述訪問(wèn)接入點(diǎn)與所述移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商,并與所述移動(dòng)控制實(shí)體建立非接入層安全連接�,生成非接入層密鑰; 第二認(rèn)證連接模塊����,用于所述訪問(wèn)接入點(diǎn)與基站建立接入層安全連接。
13.根據(jù)權(quán)利要求12所述的訪問(wèn)接入點(diǎn)���,其特征在于�����,所述算法密鑰獲取模塊還包括: 第一密鑰獲取單元�,用于所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的所述移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰;且所述接入層根密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)之間共享的所述非接入層密鑰進(jìn)行安全保護(hù)���;其中��,所述接入層根密鑰為所述移動(dòng)控制實(shí)體根據(jù)所述通信根密鑰計(jì)算獲得���; 第一安全能力獲取單元,用于所述訪問(wèn)接入點(diǎn)自身預(yù)配置所述低成本終端的安全能力或者從所述移動(dòng)控制實(shí)體獲取經(jīng)由所述基站轉(zhuǎn)發(fā)的所述低成本終端的安全能力�; 第一算法密鑰獲取單元,用于所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇接入層加密算法和接入層完整性算法�、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法,并根據(jù)所述接入層加密算法�、接入層完整性算法和所述接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰,根據(jù)所述簡(jiǎn)單非接入層加密算法���、簡(jiǎn)單非接入層完整性算法和所述接入層根密鑰計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰�。
14.根據(jù)權(quán)利要求1 3所述的訪問(wèn)接入點(diǎn)�����,其特征在于�����,所述加密發(fā)送模塊還用于所述訪問(wèn)接入點(diǎn)將包含有所述接入層加密算法和接入層完整性算法以及所述簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至所述低成本終端�;以便所述低成本終端根據(jù)所述接入層加密算法和接入層完整性算法計(jì)算得到所述接入層加密密鑰和接入層完整性密鑰、根據(jù)所述簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到所述簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰��。
15.根據(jù)權(quán)利要求12所述的訪問(wèn)接入點(diǎn)���,其特征在于�,所述算法密鑰獲取模塊還包括: 第二密鑰獲取單元�����,用于所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的所述移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰�;且所述接入層根密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)之間共享的所述非接入層密鑰進(jìn)行安全保護(hù);其中�,所述接入層根密鑰為所述移動(dòng)控制實(shí)體根據(jù)所述通信根密鑰計(jì)算獲得; 第二安全能力獲取單元�����,用于所述訪問(wèn)接入點(diǎn)自身預(yù)配置所述低成本終端的安全能力或者從所述移動(dòng)控制實(shí)體獲取經(jīng)由所述基站轉(zhuǎn)發(fā)的所述低成本終端的安全能力�����; 第二算法密鑰獲取單元����,用于所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法��,并根據(jù)所述加密算法���、所述完整性算法和所述接入層根密鑰計(jì)算得到信令加密密鑰、信令完整性密鑰和數(shù)據(jù)加密密鑰�。
16.根據(jù)權(quán)利要求15所述的訪問(wèn)接入點(diǎn),其特征在于���,所述加密發(fā)送模塊還用于所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端����;以便所述低成本終端根據(jù)所述加密算法��、所述完整性算法計(jì)算得到信令加密密鑰�����、信令完整性密鑰和數(shù)據(jù)加密密鑰��。
17.根據(jù)權(quán)利要求12所述的訪問(wèn)接入點(diǎn)����,其特征在于����,所述算法密鑰獲取模塊還包括: 第三密鑰獲取單元�,用于所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的所述移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰和通信根密鑰、或接入層根密鑰和臨時(shí)通信根密鑰���;且所述接入層根密鑰和通信根密鑰、或接入層根密鑰和臨時(shí)通信根密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)共享的所述非接入層密鑰進(jìn)行安全保護(hù)����;其中,所述接入層根密鑰為所述移動(dòng)控制實(shí)體根據(jù)所述通信根密鑰計(jì)算獲得�; 第三安全能力獲取單元,用于所述訪問(wèn)接入點(diǎn)自身預(yù)配置所述低成本終端的安全能力或者從所述移動(dòng)控制實(shí)體獲取經(jīng)由所述基站轉(zhuǎn)發(fā)的所述低成本終端的安全能力��; 第三算法密鑰獲取單元�����,用于所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇接入層加密算法和接入層完整性算法�����、簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法����,并根據(jù)所述接入層加密算法���、接入層完整性算法和所述接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰,根據(jù)所述簡(jiǎn)單非接入層加密算法���、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰或臨時(shí)通信根密鑰計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰��。
18.根據(jù)權(quán)利要求17所述的訪問(wèn)接入點(diǎn)����,其特征在于��,所述加密發(fā)送模塊還用于所述訪問(wèn)接入點(diǎn)將包含有所述接入層加密算法和所述接入層完整性算法以及所述簡(jiǎn)單非接入層加密算法和所述簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至所述低成本終端�;以便所述低成本終端根據(jù)所述接入層加密算法和接入層完整性算法計(jì)算得到接入層加密密鑰和接入層完整性密鑰、根據(jù)所述簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰�����。
19.根據(jù)權(quán)利要求12所述的訪問(wèn)接入點(diǎn)�,其特征在于,所述算法密鑰獲取模塊還包括: 第四算法密鑰獲取 單元���,用于所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的所述移動(dòng)控制實(shí)體發(fā)送的接入層根密鑰����;且所述接入層根密鑰通過(guò)所述訪問(wèn)接入點(diǎn)的非接入層密鑰進(jìn)行安全保護(hù);其中��,所述接入層根密鑰為所述移動(dòng)控制實(shí)體根據(jù)所述通信根密鑰計(jì)算獲得����;所述訪問(wèn)接入點(diǎn)接收經(jīng)由所述基站轉(zhuǎn)發(fā)的由所述移動(dòng)控制實(shí)體發(fā)送的所述移動(dòng)控制實(shí)體根據(jù)所述低成本終端的安全能力、所述訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及根據(jù)所述簡(jiǎn)單非接入層加密算法��、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰����;且所述移動(dòng)控制實(shí)體根據(jù)所述低成本終端的安全能力����、所述訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及根據(jù)所述簡(jiǎn)單非接入層加密算法、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)共享的所述非接入層密鑰進(jìn)行安全保護(hù)�����; 第四安全能力獲取單元�����,用于所述訪問(wèn)接入點(diǎn)自身預(yù)配置所述低成本終端的安全能力或者從所述移動(dòng)控制實(shí)體獲取經(jīng)由所述基站轉(zhuǎn)發(fā)的所述低成本終端的安全能力; 第五算法密鑰獲取單元�,用于所述訪問(wèn)接入點(diǎn)根據(jù)所述低成本終端的安全能力選擇接入層加密算法和接入層完整性算法,并根據(jù)所述接入層加密算法���、接入層完整性算法和所述接入層根密鑰計(jì)算得到接入層加密密鑰和接入層完整性密鑰�。
20.根據(jù)權(quán)利要求19所述的訪問(wèn)接入點(diǎn)���,其特征在于�����,所述加密發(fā)送模塊還用于所述訪問(wèn)接入點(diǎn)將包含有所述接入層加密算法和所述接入層完整性算法以及所述簡(jiǎn)單非接入層加密算法和所述簡(jiǎn)單非接入層完整性算法的安全模式命令發(fā)送至所述低成本終端��;以便所述低成本終端根據(jù)所述接入層加密算法和接入層完整性算法計(jì)算得到接入層加密密鑰和接入層完整性密鑰�����、根據(jù)所述簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法計(jì)算得到簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰���。
21.—種移動(dòng)控制實(shí)體,其特征在于���,包括: 第四認(rèn)證連接模塊�����,用于所述移動(dòng)控制實(shí)體與低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商��。
22.根據(jù)權(quán)利要求21所述的移動(dòng)控制實(shí)體�,其特征在于,還包括: 第三認(rèn)證連接模塊���,用于所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)進(jìn)行認(rèn)證和密鑰協(xié)商�,并與所述訪問(wèn)接入點(diǎn)建立非接入層安全連接��,生成非接入層密鑰��。
23.根據(jù)權(quán)利要求22所述的移動(dòng)控制實(shí)體��,其特征在于�����,還包括: 密鑰生成模塊����,用于生成通信根密鑰,并根據(jù)所述通信根密鑰計(jì)算獲得接入層根密鑰�����。
24.根據(jù)權(quán)利要求23所述的移動(dòng)控制實(shí)體�����,其特征在于�,所述密鑰生成模塊還用于根據(jù)所述通信根密鑰和非接入層數(shù)據(jù)計(jì)算出臨時(shí)通信根密鑰。
25.根據(jù)權(quán)利要求23所述的移動(dòng)控制實(shí)體��,其特征在于���,所述密鑰生成模塊還用于根據(jù)所述通信根密鑰計(jì)算獲得接入層根密鑰��,并根據(jù)所述低成本終端的安全能力��、所述訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法并根據(jù)所述簡(jiǎn)單非接入層加密算法�����、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰����。
26.—種基站,其特征在于,包括: 第五認(rèn)證連接模塊,用于所述基站與訪問(wèn)接入點(diǎn)建立接入層安全連接����。
27.根據(jù)權(quán)利要求26所述的基站,其特征在于����,還包括: 加密轉(zhuǎn)發(fā)模塊,用于接收所述接入層根密鑰并通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)共享的所述非接入層密鑰進(jìn)行安全保護(hù)轉(zhuǎn)發(fā)至所述訪問(wèn)接入點(diǎn)���。
28.根據(jù)權(quán)利要求26所述的基站����,其特征在于���,所述加密轉(zhuǎn)發(fā)模塊還用于接收所述接入層根密鑰和通信根密鑰�����、或所述接入層根密鑰和臨時(shí)通信根密鑰,并通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)共享的所述非接入層密鑰進(jìn)行安全保護(hù)轉(zhuǎn)發(fā)至所述訪問(wèn)接入點(diǎn)����。
29.根據(jù)權(quán)利要求26所述的基站���,其特征在于,所述加密轉(zhuǎn)發(fā)模塊還用于接收所述接入層根密鑰和所述移動(dòng)控制實(shí)體根據(jù)所述低成本終端的安全能力���、所述訪問(wèn)接入點(diǎn)的安全能力選擇的簡(jiǎn)單非接入層加密算法和簡(jiǎn)單非接入層完整性算法及根據(jù)所述簡(jiǎn)單非接入層加密算法����、簡(jiǎn)單非接入層完整性算法和所述通信根密鑰計(jì)算的簡(jiǎn)單非接入層加密密鑰和簡(jiǎn)單非接入層完整性密鑰����,并通過(guò)所述移動(dòng)控制實(shí)體與所述訪問(wèn)接入點(diǎn)共享的所述非接入層密鑰進(jìn)行安全保護(hù)轉(zhuǎn)發(fā)至所述訪問(wèn)接入點(diǎn)。
30.一種低成本終端����,其特征在于,包括: 第六認(rèn)證連接模塊��,用于所述移動(dòng)控制實(shí)體與所述低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商�; 接收模塊,用于接收所述訪問(wèn)接入點(diǎn)發(fā)送的包含所述加密算法和所述完整性算法的安全模式命令����; 解密模塊,用于接收到所述安全模式命令后計(jì)算得到加密密鑰和完整性密鑰�; 上報(bào)模塊���,用于發(fā)送安全模式完成響應(yīng)消息給所述訪問(wèn)接入點(diǎn)。
31.一種安全通信系統(tǒng)�,其特征在于,包括:訪問(wèn)接入點(diǎn)��,用于訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法���,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰�;所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端��,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰����;所述訪問(wèn)接入點(diǎn)接收所述低成本終端發(fā)送的安全模式完成響應(yīng)消息。
移動(dòng)控制實(shí)體�,用于所述低移動(dòng)控制實(shí)體與成本終端進(jìn)行認(rèn)證和密鑰協(xié)商。
基站����,用于所述基站與訪問(wèn)接入點(diǎn)建立接入層安全連接。
低成本終端���,用于所述移動(dòng)控制實(shí)體與所述低成本終端進(jìn)行認(rèn)證和密鑰協(xié)商��;接收所述訪問(wèn)接入點(diǎn)發(fā)送的包含所述加密算法和所述完整性算法的安全模式命令�����;接收到所述安全模式命令后計(jì)算得到加密密鑰和完整性密鑰���;發(fā)送安全模式完成響應(yīng)消息給所述訪問(wèn)接入 點(diǎn)。
全文摘要
本發(fā)明實(shí)施例提供一種低成本終端的安全通信的方法�、裝置及系統(tǒng),解決了低成本終端和網(wǎng)絡(luò)側(cè)存在的通信安全問(wèn)題�����。該方法包括訪問(wèn)接入點(diǎn)在低成本終端與移動(dòng)控制實(shí)體進(jìn)行認(rèn)證和密鑰協(xié)商成功后根據(jù)所述低成本終端的安全能力選擇加密算法和完整性算法���,并根據(jù)所述加密算法和完整性算法獲取加密密鑰和完整性密鑰����;所述訪問(wèn)接入點(diǎn)將包含有所述加密算法和完整性算法的安全模式命令發(fā)送至所述低成本終端����,以便所述低成本終端計(jì)算得到所述加密密鑰和完整性密鑰;所述訪問(wèn)接入點(diǎn)接收所述低成本終端發(fā)送的安全模式完成響應(yīng)消息�。本發(fā)明實(shí)施例應(yīng)用于無(wú)線通信���。
文檔編號(hào)H04W12/06GK103179559SQ20111043561
公開(kāi)日2013年6月26日 申請(qǐng)日期2011年12月22日 優(yōu)先權(quán)日2011年12月22日
發(fā)明者張麗佳, 陳璟 申請(qǐng)人:華為技術(shù)有限公司