移动网络小数据的安全传输方法及装置制造方法及图纸

本发明专利技术提供了一种移动网络小数据的安全传输方法及装置，其中，所述方法包括：第一基站收到来自终端UE的第一加密数据和第三签名信息，或第一基站收到第一条或第二条来自终端UE的消息，或第一基站收到第二条来自终端UE的消息；所述第一基站执行以下之一操作：收到来自第二基站的第二密钥材料，或收到来自第二基站的第一签名信息，或收到来自第二基站的第二加密数据并转发给UE；收到所述第二密钥材料后转发给所述UE；或，所述第二密钥材料在所述第二基站侧依据所述UE的上下文生成；收到所述第一签名信息后转发给所述UE；或，向所述UE发送第二签名信息，或第六密钥材料，或第三加密数据。

Method and device for secure transmission of small data in mobile network

The invention provides a secure transmission method and device for small data of a mobile network, in which the first base station receives first encrypted data and third signature information from the terminal UE, or the first base station receives the first or second messages from the terminal UE, or the first base station receives second from the terminal UE The first base station performs one of the following operations: receiving the second key material from the second base station, or receiving the first signature information from the second base station, or receiving second encrypted data from the second base station and forwarding to the UE, and forwarding to the UE after receiving the second key material; or, the second key. The material is generated on the second base station side of the second base station according to the context of the UE; after receiving the first signature information, it is forwarded to the UE; or, the second signature information, or the sixth key material, or third encrypted data are sent to the UE.

【技术实现步骤摘要】
移动网络小数据的安全传输方法及装置
本申请涉及通信领域，具体涉及一种移动网络小数据的安全传输方法及装置。
技术介绍
第三代合作伙伴计划(3rdGenerationPartnershipProject，3GPP)提出了一种小数据的安全传输方法，如图1所示：步骤101：终端UE与网络的连接被源基站挂起，UE和源基站保留了UE的上下文，其中包括安全相关的信息。步骤102：终端UE在连接被挂起后的某个时刻有数据要发送，于是选择要接入的基站——目标基站，向目标基站发送随机接入请求，比如发起randomaccesspreamble消息。步骤103：目标基站向UE发送随机接入响应，比如发送randomaccessresponse消息。步骤104：UE向目标基站发送连接恢复请求，比如发送RRCConnectionResumeRequest消息，UE使用上下文中已有的密钥对消息中的内容进行签名运算得到签名1，消息携带UE的标识信息和签名1，此时UE和网络尚未启用安全，因此消息没有加密保护。步骤105：目标基站向根据UE的标识信息找到UE的源基站，向源基站发送UE上下文请求，比如发送X2RetrieveUEContextRequest消息，携带UE的标识信息和签名1。步骤106：源基站验证签名1，判断消息合法，于是使用UE上下文中的安全相关信息派生新的密钥材料1，比如KeNB*以及可选的NCC(下一跳链数值Next-hopChainCount)，然后向目标基站发送UE上下文响应，比如发送X2RetrieveUEContextResponse消息，携带密钥材料1。步骤107：目标基站根据密钥材料1生成新的密钥，然后向UE发送连接恢复消息，比如发送RRCConnectionResume消息，消息使用新的密钥进行签名生成签名2，消息携带签名2，还可能携带密钥材料2，密钥材料2来自密钥材料1，比如NCC，此时UE和网络尚未启用安全，因此消息没有加密保护。步骤108：UE根据上下文中的安全相关信息以及接收到的密钥材料2生成新密钥，该新密钥与网络使用的新密钥相同，然后向目标基站发送连接恢复完成消息，比如发送RRCConnectionResumeComplete消息，消息携带要发送的数据，此时UE和网络启用安全，因此消息使用新密钥进行了签名和加密。步骤109：UE和目标基站使用新密钥实现数据的双向安全传输。可以看出，在现有技术中UE要从挂起状态下发送数据，需要进行5个无线消息(UE和基站间)的交互，对UE的资源消耗比较大。
技术实现思路
本专利技术的主要目的在于提出一种移动网络小数据的安全传输方法及装置，旨在解决现有技术中存在的上述问题。根据本专利技术的另一个方面，还提供了一种移动网络小数据的安全传输方法，应用于第一基站，所述方法包括：第一基站收到来自终端UE的第一加密数据和第三签名信息，或第一基站收到第一条或第二条来自终端UE的消息，其中携带第三签名信息，或第一基站收到第二条来自终端UE的消息，其中携带第一加密数据；其中，所述第一加密数据在所述UE侧依据第一密钥加密，所述第一密钥在所述UE侧依据第一密钥材料生成，所述第一密钥材料在所述UE侧依据上下文生成；所述第三签名信息在所述UE侧依据上下文生成；所述第一基站执行以下之一操作：收到来自第二基站的第二密钥材料，或收到来自第二基站的第一签名信息，或收到来自第二基站的第二加密数据并转发给UE；所述第一基站收到所述第二密钥材料后转发给所述UE；或，所述第二密钥材料在所述第二基站侧依据所述UE的上下文生成；所述第一基站收到所述第一签名信息后转发给所述UE，所述第一签名信息在所述第二基站侧依据第七密钥生成，所述第七密钥在所述第二基站侧依据第五密钥材料生成，所述第五密钥材料在所述第二基站侧依据所述UE的上下文生成；所述第二加密数据在所述第二基站侧依据第八密钥加密，所述第八密钥在所述第二基站侧依据所述第五密钥材料生成；或，向所述UE发送第二签名信息，或第六密钥材料，或第三加密数据；所述第二签名信息依据第三密钥计算，所述第三密钥依据第二密钥材料生成，所述第二密钥材料在所述第一基站侧依据所述UE的上下文生成；所述第六密钥材料在所述第一基站侧的所述UE的上下文中，所述第六密钥材料用于在所述UE侧生成第八密钥材料，所述第八密钥材料用于在所述UE侧生成第五密钥；所述第三加密数据依据第二密钥加密，所述第二密钥基于第七密钥材料生成，所述第七密钥材料来自所述第二基站并在所述第二基站侧基于所述UE的上下文生成，或所述第七密钥材料在所述第一基站侧依据所述UE的上下文生成。可选地，所述方法还包括：所述第二密钥材料用于在所述第一基站侧生成所述第二密钥；可选地，所述方法还包括：所述第二密钥用于解密所述第一加密数据。可选地，所述方法还包括：所述第二密钥材料用于生成第四密钥，所述第四密钥用于解密所述第一加密数据。可选地，所述第一基站收到来自第二基站的所述签名信息，或第二加密数据前，还包括：所述第一基站向所述第二基站转发所述第一加密数据或所述第三签名信息。可选地，所述方法还包括：所述第一基站向所述UE发送第三密钥材料，所述第三密钥材料来自所述第二密钥材料，所述第三密钥材料用于在所述UE侧生成第四密钥材料，所述第四密钥材料用于在所述UE侧生成所述第五密钥。可选地，所述方法还包括：所述第四密钥材料用于在所述UE侧生成第六密钥，所述第六密钥用于在所述UE侧校验所述第一签名信息或所述第二签名信息。可选地，所述方法还包括：所述第一基站收到所述第二条来自所述UE的消息，所述第一基站在收到第三条来自所述UE的消息前，向所述UE发送所述第二加密数据或所述第三加密数据。可选地，所述方法还包括：所述第一密钥材料用于在所述UE侧生成第六密钥，所述第六密钥用于在所述UE侧校验所述第一签名信息或所述第二签名信息。根据本专利技术的一个方面，提供了一种移动网络小数据的安全传输方法，应用于第二基站，所述方法包括以下之一：第二基站收到来自第一基站的携带第一加密数据或第三签名信息的消息；所述第一加密数据由所述第一基站接收自终端UE，所述第一加密数据在所述UE侧依据第一密钥加密，所述第一密钥在所述UE侧依据第一密钥材料生成，所述第一密钥材料在所述UE侧基于上下文生成；所述第三签名信息有所述第一基站接收自所述UE，所述第三签名信息在所述UE侧依据上下文生成；所述第二基站向所述第一基站发送第一签名信息，或第六密钥材料，或第二加密数据；所述第一签名信息用于由所述第一基站转发给所述UE，所述第一签名信息依据第七密钥计算，所述第七密钥基于第五密钥材料生成，所述第五密钥材料基于所述UE的上下文生成；所述第六密钥材料用于由所述第一基站转发给所述UE；所述第二加密数据用于由所述第一基站转发给所述UE，所述第二加密数据依据第八密钥加密，所述第八密钥基于所述第五密钥材料生成；或，第二基站收到来自第一基站的消息，向所述第一基站发送第二密钥材料，所述第二密钥材料用于在所述第一基站侧生成第二密钥和第四密钥，所述第四密钥用于在所述第一基站侧解密第一加密数据，所述第一加密数据由第一基站侧接收自终端UE。可选地，第二基站收到来自第一基站的携带第一加密数据的消息后，所述方法还包括：所述第二基站使用所述本文档来自技高网...

【技术保护点】
1.一种移动网络小数据的安全传输方法，应用于第一基站，其特征在于，所述方法包括：第一基站收到来自终端UE的第一加密数据和第三签名信息，或第一基站收到第一条或第二条来自终端UE的消息，其中携带第三签名信息，或第一基站收到第二条来自终端UE的消息，其中携带第一加密数据；其中，所述第一加密数据在所述UE侧依据第一密钥加密，所述第一密钥在所述UE侧依据第一密钥材料生成，所述第一密钥材料在所述UE侧依据上下文生成；所述第三签名信息在所述UE侧依据上下文生成；所述第一基站执行以下之一操作：收到来自第二基站的第二密钥材料，或收到来自第二基站的第一签名信息，或收到来自第二基站的第二加密数据并转发给UE；所述第一基站收到所述第二密钥材料后转发给所述UE；或，所述第二密钥材料在所述第二基站侧依据所述UE的上下文生成；所述第一基站收到所述第一签名信息后转发给所述UE，所述第一签名信息在所述第二基站侧依据第七密钥生成，所述第七密钥在所述第二基站侧依据第五密钥材料生成，所述第五密钥材料在所述第二基站侧依据所述UE的上下文生成；所述第二加密数据在所述第二基站侧依据第八密钥加密，所述第八密钥在所述第二基站侧依据所述第五密钥材料生成；或，向所述UE发送第二签名信息，或第六密钥材料，或第三加密数据；所述第二签名信息依据第三密钥计算，所述第三密钥依据第二密钥材料生成，所述第二密钥材料在所述第一基站侧依据所述UE的上下文生成；所述第六密钥材料在所述第一基站侧的所述UE的上下文中，所述第六密钥材料用于在所述UE侧生成第八密钥材料，所述第八密钥材料用于在所述UE侧生成第五密钥；所述第三加密数据依据第二密钥加密，所述第二密钥基于第七密钥材料生成，所述第七密钥材料来自所述第二基站并在所述第二基站侧基于所述UE的上下文生成，或所述第七密钥材料在所述第一基站侧依据所述UE的上下文生成。...

【技术特征摘要】
1.一种移动网络小数据的安全传输方法，应用于第一基站，其特征在于，所述方法包括：第一基站收到来自终端UE的第一加密数据和第三签名信息，或第一基站收到第一条或第二条来自终端UE的消息，其中携带第三签名信息，或第一基站收到第二条来自终端UE的消息，其中携带第一加密数据；其中，所述第一加密数据在所述UE侧依据第一密钥加密，所述第一密钥在所述UE侧依据第一密钥材料生成，所述第一密钥材料在所述UE侧依据上下文生成；所述第三签名信息在所述UE侧依据上下文生成；所述第一基站执行以下之一操作：收到来自第二基站的第二密钥材料，或收到来自第二基站的第一签名信息，或收到来自第二基站的第二加密数据并转发给UE；所述第一基站收到所述第二密钥材料后转发给所述UE；或，所述第二密钥材料在所述第二基站侧依据所述UE的上下文生成；所述第一基站收到所述第一签名信息后转发给所述UE，所述第一签名信息在所述第二基站侧依据第七密钥生成，所述第七密钥在所述第二基站侧依据第五密钥材料生成，所述第五密钥材料在所述第二基站侧依据所述UE的上下文生成；所述第二加密数据在所述第二基站侧依据第八密钥加密，所述第八密钥在所述第二基站侧依据所述第五密钥材料生成；或，向所述UE发送第二签名信息，或第六密钥材料，或第三加密数据；所述第二签名信息依据第三密钥计算，所述第三密钥依据第二密钥材料生成，所述第二密钥材料在所述第一基站侧依据所述UE的上下文生成；所述第六密钥材料在所述第一基站侧的所述UE的上下文中，所述第六密钥材料用于在所述UE侧生成第八密钥材料，所述第八密钥材料用于在所述UE侧生成第五密钥；所述第三加密数据依据第二密钥加密，所述第二密钥基于第七密钥材料生成，所述第七密钥材料来自所述第二基站并在所述第二基站侧基于所述UE的上下文生成，或所述第七密钥材料在所述第一基站侧依据所述UE的上下文生成。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第二密钥材料用于在所述第一基站侧生成所述第二密钥。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述第二密钥用于解密所述第一加密数据。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述第二密钥材料用于生成第四密钥，所述第四密钥用于解密所述第一加密数据。5.根据权利要求1所述的方法，其特征在于，所述第一基站收到来自第二基站的所述签名信息，或第二加密数据前，还包括：所述第一基站向所述第二基站转发所述第一加密数据或所述第三签名信息。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一基站向所述UE发送第三密钥材料，所述第三密钥材料来自所述第二密钥材料，所述第三密钥材料用于在所述UE侧生成第四密钥材料，所述第四密钥材料用于在所述UE侧生成所述第五密钥。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：所述第四密钥材料用于在所述UE侧生成第六密钥，所述第六密钥用于在所述UE侧校验所述第一签名信息或所述第二签名信息。8.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一基站收到所述第二条来自所述UE的消息，所述第一基站在收到第三条来自所述UE的消息前，向所述UE发送所述第二加密数据或所述第三加密数据。9.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一密钥材料用于在所述UE侧生成第六密钥，所述第六密钥用于在所述UE侧校验所述第一签名信息或所述第二签名信息。10.一种移动网络小数据的安全传输方法，应用于第二基站，其特征在于，所述方法包括以下之一：第二基站收到来自第一基站的携带第一加密数据或第三签名信息的消息；所述第一加密数据由所述第一基站接收自终端UE，所述第一加密数据在所述UE侧依据第一密钥加密，所述第一密钥在所述UE侧依据第一密钥材料生成，所述第一密钥材料在所述UE侧基于上下文生成；所述第三签名信息有所述第一基站接收自所述UE，所述第三签名信息在所述UE侧依据上下文生成；所述第二基站向所述第一基站发送第一签名信息，或第六密钥材料，或第二加密数据；所述第一签名信息用于由所述第一基站转发给所述UE，所述第一签名信息依据第七密钥计算，所述第七密钥基于第五密钥材料生成，所述第五密钥材料基于所述UE的上下文生成；所述第六密钥材料用于由所述第一基站转发给所述UE；所述第二加密数据用于由所述第一基站转发给所述UE，所述第二加密数据依据第八密钥加密，所述第八密钥基于所述第五密钥材料生成；或，第二基站收到来自第一基站的消息，向所述第一基站发送第二密钥材料，所述第二密钥材料用于在所述第一基站侧生成第二密钥和第四密钥，所述第四密钥用于在所述第一基站侧解密第一加密数据，所述第一加密数据由第一基站侧接收自终端UE。11.根据权利要求10所述的方法，其特征在于，第二基站收到来自第一基站的携带第一加密数据的消息...

【专利技术属性】
技术研发人员：谢振华，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44