【技术实现步骤摘要】
本申请涉及通信,特别是涉及一种中继通信中端到端安全连接建立方法和系统。
技术介绍
1、在层3(layer-3)ue(user equipment,用户设备)到ue中继通信中,源ue和目标ue需要使用现有的安全机制与中继ue建立pc5(直连通信接口)安全连接,然而pc5安全连接仅能保护ue到中继设备之间通信的安全性,无法为源ue和目标ue间传输的数据流量提供端到端的安全保护。
技术实现思路
1、本申请实施例的目的在于提供一种中继通信中端到端安全连接建立的方法和系统,为源ue和目标ue间传输的数据流量提供端到端的安全保护。具体技术方案如下:
2、为实现上述目的,本申请实施例提供了一种中继通信中端到端安全连接建立的方法,所述方法包括:
3、源ue与目标ue进行ike初始交换,建立ike sa;其中,所述源ue预先通过中继ue与所述目标ue建立无线中继连接;其中,所述中继ue用于转发所述源ue和所述目标ue之间的通信数据;
4、根据所述ike sa提供的安全通道,所述源ue向所述目标ue发送ike_auth请求消息,所述ike_auth请求消息包含密钥生成参数信息;
5、所述目标ue基于所述密钥生成参数,按照预设密钥生成规则,生成共享密钥;
6、所述源ue基于所述密钥生成参数,生成所述共享密钥;
7、所述源ue和所述目标ue根据所述共享密钥完成双向身份认证,并建立ipsec sa;所述ipsec sa用于承载所述源ue
8、可选的,所述ike初始交换包括:
9、ike sa策略协商、dh密钥数据交换、双向身份认证。
10、可选的,所述根据所述ike sa提供的安全通道,所述源ue向所述目标ue发送密钥生成参数信息的步骤之前,还包括:
11、根据ike sa提供的安全通道,所述源ue向所述目标ue发送ike_auth第一请求消息;所述ike_auth第一请求消息用于指示所述源ue与所述目标ue之间的ike交互所承载的信令格式;所述信令格式为eap-5g信令;
12、根据ike sa提供的安全通道,所述目标ue向所述源ue发送ike_auth第一响应消息;所述ike_auth第一响应消息用于通知所述源ue发起eap-5g会话。
13、可选的,所述根据所述ike sa提供的安全通道,所述源ue向所述目标ue发送密钥生成参数信息的步骤,包括:
14、根据ike sa提供的安全通道,所述源ue向所述目标ue发送ike_auth第二请求消息;所述ike_auth第二请求消息包括承载在eap-5g信令的通信请求communicationrequest消息,所述communication request消息包括密钥生成参数和所述源ue的归属网络信息;所述密钥生成参数至少包括所述源ue的ue id信息、所述源ue的安全参数和中继服务码relay service code中的一项。
15、可选的,所述目标ue基于所述密钥生成参数,按照预设密钥生成规则,生成共享密钥的步骤,包括:
16、所述目标ue将所述communication request消息转发至所述目标ue的pkmf;
17、所述目标ue的pkmf对所述目标ue进行授权检查,并在授权检查通过后,根据所述communication request消息中所述源ue的归属网络信息,找到所述源ue的pkmf,向所述源ue的pkmf发送密钥请求key request消息;所述key request消息至少包括所述源ue的ueid信息、所述源ue的安全参数和所述relay service code中的一项;
18、所述源ue的pkmf对所述源ue进行授权检查,并在授权检查通过后,基于5g密钥生成机制生成共享密钥;
19、所述源ue的pkmf向所述目标ue的pkmf发送密钥响应key response消息;所述keyresponse消息包括所述共享密钥;
20、所述目标ue的pkmf将所述key response消息转发给所述目标ue。
21、可选的,所述5g密钥生成机制为5g gba或5g akma。
22、可选的,所述根据所述ike sa提供的安全通道,所述源ue向所述目标ue发送密钥生成参数信息的步骤,包括:
23、根据ike sa提供的安全通道,所述源ue向所述目标ue发送ike_auth第三请求消息;所述ike_auth第三请求消息包括承载在eap-5g信令的通信请求communicationrequest消息,所述communication request消息包括密钥生成参数和认证信息;所述密钥生成参数至少包括所述源ue的ue id信息、所述源ue的安全参数和中继服务码relayservice code中的一项;
24、所述认证信息包含长期凭证的索引信息、认证方法的标识信息;其中,所述长期凭证预先下发至所述目标ue。
25、可选的,所述目标ue基于所述密钥生成参数,按照预设密钥生成规则,生成共享密钥的步骤,包括:
26、所述目标ue收到所述communication request消息后,根据所述认证信息包含的索引信息,找到本地存储的长期凭证,并基于所述标识信息确定目标认证方法;
27、基于所述长期凭证、所述密钥生成参数,采用所述目标认证方法,推算出所述共享密钥。
28、可选的,所述源ue的安全参数至少包括:所选定的机密性保护算法、所选定的完整性保护算法和/或用于生成共享密钥的新鲜度参数。
29、可选的,所述所述源ue和所述目标ue根据所述共享密钥完成双向身份认证,并建立ipsec sa的步骤,包括:
30、根据ike sa提供的安全通道,所述目标ue向所述源ue发送ike_auth第二响应消息,所述ike_auth第二响应消息包括承载在eap-5g信令的安全模式命令security modecommand消息,所述security mode command消息基于所述共享密钥进行加密和/或完整性保护;
31、所述源ue采用本地生成的共享密钥对所述security mode command消息进行解密和/或完整性校验,若校验通过,所述源ue完成对所述目标ue的身份认证;
32、根据ike sa提供的安全通道,所述源ue向所述目标ue发送ike_auth第三请求消息;所述ike_auth第三请求消息包括承载在eap-5g信令的security mode complete消息,所述security mode command消息基于所述共享密钥进行加密和/或完整性保护;
33、所述目标ue对所述security mode complete消息进行解密和/或完整性校验,若校验通过,本文档来自技高网...
【技术保护点】
1.一种中继通信中端到端安全连接建立方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述IKE初始交换包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述IKE SA提供的安全通道,所述源UE向所述目标UE发送密钥生成参数信息的步骤之前,还包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述IKE SA提供的安全通道,所述源UE向所述目标UE发送密钥生成参数信息的步骤,包括:
5.根据权利要求4所述的方法,其特征在于,所述目标UE基于所述密钥生成参数,按照预设密钥生成规则,生成共享密钥的步骤,包括:
6.根据权利要求5所述的方法,其特征在于,所述5G密钥生成机制为5G GBA或5G AKMA。
7.根据权利要求1所述的方法,其特征在于,所述根据所述IKE SA提供的安全通道,所述源UE向所述目标UE发送密钥生成参数信息的步骤,包括:
8.根据权利要求7所述的方法,其特征在于,所述目标UE基于所述密钥生成参数,按照预设密钥生成规则,生成共享密钥的步骤,
9.根据权利要求4-8任一项所述的方法,其特征在于,所述源UE的安全参数至少包括:所选定的机密性保护算法、所选定的完整性保护算法和/或用于生成共享密钥的新鲜度参数。
10.根据权利要求1所述的方法,其特征在于,所述所述源UE和所述目标UE根据所述共享密钥完成双向身份认证,并建立IPSec SA的步骤,包括:
11.一种中继通信中端到端安全连接建立系统,其特征在于,所述系统包括:源UE和目标UE,其中,所述源UE预先通过中继UE与所述目标UE建立无线中继连接;其中,所述中继UE用于转发所述源UE和所述目标UE之间的通信数据;
...【技术特征摘要】
1.一种中继通信中端到端安全连接建立方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述ike初始交换包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述ike sa提供的安全通道,所述源ue向所述目标ue发送密钥生成参数信息的步骤之前,还包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述ike sa提供的安全通道,所述源ue向所述目标ue发送密钥生成参数信息的步骤,包括:
5.根据权利要求4所述的方法,其特征在于,所述目标ue基于所述密钥生成参数,按照预设密钥生成规则,生成共享密钥的步骤,包括:
6.根据权利要求5所述的方法,其特征在于,所述5g密钥生成机制为5g gba或5g akma。
7.根据权利要求1所述的方法,其特征在于,所述根据所述ike ...
【专利技术属性】
技术研发人员:白景鹏,陈方杰,高唯瀚,沈军,何明,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。