[发明专利]安全控制的方法及其系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及安全控制的方法及其系统。

背景技术

为了保持3GPP(3rd Generation Partnership Project，第三代移动通信系统)系统长期的竞争优势，长期演进系统(LTE，Long Team Evolution)的标准制定工作正在进行并且发展迅速。在移动通信系统中，保证用户的通信安全是非常重要的。演进的网络结构对于现有网络的后向兼容性是一个重要的指标，其中在安全方面，要求演进网络中的用户安全流程必须确保提供至少和目前2G系统或3G系统相同级别的安全机制。

LTE系统的核心网主要包含MME(Mobility Management Entity，移动管理实体)、SAE Gateway(System Architecture Evolution Gateway，系统架构演进网关)等逻辑功能体，其中的MME负责控制面的移动性管理，包括用户上下文和移动状态管理，分配用户临时身份标识、安全功能等；SAE Gateway负责空闲状态下为下行数据发起寻呼，管理保存IP承载参数和网络内路由信息等，充当不同接入系统间的用户面锚点。在LTE系统中，用户面的安全被终结在接入网，其中接入网BS(Base Station，基站)称为eNB(evolved NodeB，演进基站)，信令面的安全分为接入层信令RRC(Radio Resource Control，无线资源控制)信令和非接入层信令NAS(Non Access Stratum，非接入层)信令两个部分，分别终结在接入网和核心网。其中接入层的安全功能都由eNB的PDCP(Packet Data Convergence Protocol，分组数据汇聚协议)实体完成，包括RRC信令的完整性保护和加密，用户面数据的加密。信令保护和数据保护所需密钥由AKA(Authentication and Key Agreement，密钥认证)过程产生的密钥CK(Ciphering Key，加密密钥)、IK(Integrity Key，完整性密钥)进行各种衍生而来，衍生关系如图2所示。

其中K_eNB-RRC-int是RRC信令完整性保护密钥，K_eNB-RRC-enc是RRC信令加密保护密钥，K_eNB-UP-enc是用户面数据加密保护密钥。而K_NAS-enc是NAS信令加密保护密钥，K_NAS-int是NAS信令完整性保护密钥。

现有技术中，在SAE/LTE系统中，终端在LTE内的不同eNB之间进行切换或者终端保持连接状态的时间达到一定时长时，所有接入层的密钥需要更新；终端从其他系统切换到LTE系统或者密钥的使用时间达到一定时长时，包括接入层和非接入层的所有密钥需要更新。同时网络侧支持下发并行消息，比如eNB可以将SMC(Security Mode Control，安全模式控制)消息和RB setup(Radio Bearer setup，无线承载建立)消息并行下发而不需要下发一条消息后等待响应后再下发另一条消息。

在对现有技术的研究和实践过程中，发明人发现现有技术至少存在以下问题：初始化连接时的启动、连接状态密钥更新后的启动、以及切换过程中密钥更新后的启动，都没有保证启动过程的安全的措施。

发明内容

本发明实施例要解决的技术问题是提供一种安全控制的方法及其系统，能够在系统启动时，通过安全控制，实现系统安全启动。

为解决上述技术问题，本发明实施例是通过以下技术方案实现的：

本发明实施例提供一方面了一种安全控制的方法包括：

终端接收安全模式控制消息；

终端的无线资源控制实体和分组数据汇聚协议实体，对接收的所述安全模式控制消息进行处理；

根据所述安全模式控制消息中携带的安全算法配置并启动安全过程，对接收的所述安全模式控制消息进行验证。

本发明实施例另一方面还提供了一种安全控制的方法，包括：

接收安全模式控制消息，所述消息采用新密钥进行完整性保护，采用原密钥进行加密；

获取安全算法，配置并启动安全过程；

本发明实施例另一方面还一种安全控制的系统，包括：

网络侧单元，用于发送安全模式控制消息；

终端单元，用于接收所述安全模式控制消息，根据所述消息中携带的安全算法配置并启动安全过程，对所述安全模式控制消息进行验证。