【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种低成本终端的安全通信方法、装置及系统。
技术介绍
机器对机器(machine to machine,简称:M2M)技术是无线通信和信息技术的整合,是指无需人工干预,机器和机器之间可以直接进行通信。机器对机器(M2M)通信也称机器类通信(machine type communication,简称:MTC),与传统人对人(human to human,简称:H2H)通信系统有很大不同,M2M通信由于其设备数量巨大、低移动性、通信流量小等特点,具有很多机器类通信的特性。在目前的3GPP(the 3rd generation partnershipproject,第三代合作伙伴计划)标准中开始针对这些特性对网络系统进行优化。在现有的低成本终端网络架构中,低成本终端上只具有简单NAS(Non AccessStratum,非接入层),仅能够执行相关的非接入层流程,AP (Access Point,访问接入点)作为接入点需将低成本终端发送的简单NAS消息进行解析翻译,然后将翻译好的简单NAS消息传递到MME (Mobility Management Entity,移动管理实体)的NAS层,也就是AP代替低成本终端发送NAS消息,执行相关的操作。在此过程中,专利技术人发现如果按照现有安全机制,NAS安全建立在低成本终端和MME之间,AP没有低成本终端的NAS安全上下文,无法实现对NAS信令的翻译,使得AP与低成本终端之间存在安全隐患。
技术实现思路
本专利技术的实施例提供一种低成本终端的安全通信方法、装置及系统,解决了 AP无法实现对低成 ...
【技术保护点】
一种低成本终端的安全通信方法,其特征在于,包括:访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥;所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。
【技术特征摘要】
1.一种低成本终端的安全通信方法,其特征在于,包括: 访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥; 所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥; 所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。2.根据权利要求1所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商成功前,还包括: 所述访问接入点与所述移动控制实体进行认证和密钥协商,并与所述移动控制实体建立非接入层安全连接,生成非接入层密钥; 所述访问接入点与基站建立接入层安全连接。3.根据权利要求2所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商包括:所述低成本终端与所述移动控制实体进行认证与密钥协商并生成通信根密钥; 所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥包括: 所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入点之间共享的所述非接入层密钥进行安全保护;其中,所述接入 层根密钥为所述移动控制实体根据所述通信根密钥计算获得; 所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力; 所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据所述简单非接入层加密算法、简单非接入层完整性算法和所述接入层根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。4.根据权利要求3所述的方法,其特征在于,所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥包括: 所述访问接入点将包含有所述接入层加密算法和接入层完整性算法以及所述简单非接入层加密算法和简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到所述接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到所述简单非接入层加密密钥和简单非接入层完整性密钥。5.根据权利要求2所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商包括:所述低成本终端与所述移动控制实体进行认证与密钥协商并生成通信根密钥;所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥包括: 所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入点之间共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得; 所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力; 所述访问接 入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法、所述完整性算法和所述接入层根密钥计算得到信令加密密钥、信令完整性密钥和数据加密密钥。6.根据权利要求5所述的方法,其特征在于,所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥包括: 所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述加密算法、所述完整性算法计算得到所述信令加密密钥、所述信令完整性密钥和所述数据加密密钥。7.根据权利要求2所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商包括:所述低成本终端与所述移动控制实体进行认证与密钥协商并生成通信根密钥、或在生成所述通信根密钥后根据所述通信根密钥和非接入层数据生成临时通信根密钥; 所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥包括: 所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥;且所述接入层根密钥和通信根密钥、或接入层根密钥和临时通信根密钥通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得; 所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力; 所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法、简单非接入层加密算法和简单非接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥,根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥或者临时通信根密钥计算得到简单非接入层加密密钥和简单非接入层完整性密钥。8.根据权利要求7所述的方法,其特征在于,所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥包括: 所述访问接入点将包含有所述接入层加密算法和所述接入层完整性算法以及所述简单非接入层加密算法和所述简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到简单非接入层加密密钥和简单非接入层完整性密钥。9.根据权利要求2所述的方法,其特征在于,所述低成本终端与移动控制实体进行认证和密钥协商包括:所述低成本终端与所述移动控制实体进行认证与密钥协商并生成通信根密钥; 所述访问接入点根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥包括: 所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入点之间共享的所述非接入层密钥进行安全保护;其中,所述接入层根密钥为所述移动控制实体根据所述通信根密钥计算获得; 所述访问接入点接收经由所述基站转发的由所述移动控制实体发送的所述移动控制实体根据所述低成本终端的安全能力、所述访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥;且所述移动控制实体根据所述低成本终端的安全能力、所述访问接入点的安全能力选择的简单非接入层加密算法和简单非接入层完整性算法及根据所述简单非接入层加密算法、简单非接入层完整性算法和所述通信根密钥计算的简单非接入层加密密钥和简单非接入层完整性密钥通过所述移动控制实体与所述访问接入点共享的所述非接入层密钥进行安全保护; 所述访问接入点自身预配置所述低成本终端的安全能力或者从所述移动控制实体获取经由所述基站转发的所述低成本终端的安全能力; 所述访问接入点根据所述低成本终端的安全能力选择接入层加密算法和接入层完整性算法,并根据所述接入层加密算法、接入层完整性算法和所述接入层根密钥计算得到接入层加密密钥和接入层完整性密钥。10.根据权利要求9所述的方法,其特征在于,所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥包括: 所述访问接入点将包含有所述接入层加密算法和所述接入层完整性算法以及所述简单非接入层加密算法和所述简单非接入层完整性算法的安全模式命令发送至所述低成本终端;以便所述低成本终端根据所述接入层加密算法和接入层完整性算法计算得到接入层加密密钥和接入层完整性密钥、根据所述简单非接入层加密算法和简单非接入层完整性算法计算得到简单非接入层加密密钥和简单非接入层完整性密钥。11.一种访问接入点,其特征在于,包括: 算法密钥获取模块,用于访问接入点在低成本终端与移动控制实体进行认证和密钥协商成功后根据所述低成本终端的安全能力选择加密算法和完整性算法,并根据所述加密算法和完整性算法获取加密密钥和完整性密钥;加密发送模块,用于所述访问接入点将包含有所述加密算法和完整性算法的安全模式命令发送至所述低成本终端,以便所述低成本终端计算得到所述加密密钥和完整性密钥;接收模块,用于所述访问接入点接收所述低成本终端发送的安全模式完成响应消息。12.根据权利要求11所述的访问接入点,其特征在于,还包括: 第一认证连接模块,用于所述访问接入点与所述移动控制实体进行认证和密钥协商,并与所述移动控制实体建立非接入层安全连接,生成非接入层密钥; 第二认证连接模块,用于所述访问接入点与基站建立接入层安全连接。13.根据权利要求12所述的访问接入点,其特征在于,所述算法密钥获取模块还包括: 第一密钥获取单元,用于所述访问接入点接收经由所述基站转发的所述移动控制实体发送的接入层根密钥;且所述接入层根密钥通过所述移动控制实体与所述访问接入...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。