[发明专利]用于具有中继节点的无线通信系统的安全性方法

说明书

技术领域

本发明是有关于一种具有中继节点的无线通信系统的安全性方法及其使用此安全性方法的无线通信系统。

背景技术

无线通信系统的技术已经越来越进步，且目前也还有很多的新标准在制订与改善。举例来说，第三代移动通信技术(3GPP)标准的长期演进技术(longterm evolution，LTE)系统更开始被广泛的移动用户所使用。请参照图1，图1绘示长期演进技术系统的系统示意图。长期演进技术系统1包括用户设备(UE)11、多个演进基站节点(Evolved Node B，eNB)12、13、14与多个移动管理单元/服务网关(MME/S-GW)15、16，其中演进基站节点12、13、14构成了一个演进通用陆地无线接入网(E-UTRAN)17。

移动管理单元/服务网关15、16的移动管理单元与服务网关整合于同一个设备之中，在其它的例子中，移动管理单元/服务网关15、16的移动管理单元与服务网关也可以是分开的两个设备。用户设备11会通过第三代移动通信技术标准所定义的Uu接口来与基站节点12进行通信，Uu接口是一个无线接口。多个演进基站节点(eNB)12、13、14之间彼此以第三代移动通信技术标准所定义的X2接口进行通信，移动管理单元/服务网关15通过S1接口与演进基站节点12、13进行通信，且移动管理单元/服务网关16通过S1接口与演进基站节点13、14进行通信。

长期演进技术通信系统1的通信协议堆(protocol stack)可以分为两个层面，其中一个为用户层面，另一个则为控制层面。用户层面用于传送数据，控制层面则用来传送控制信息，以控制数据的传输。长期演进技术通信系统1的安全性功能包括了加密(ciphering)保护与完整性(integrity)保护。完整性保护可以确保数据不会被篡改，而加密保护可以确保数据不会被窃听。

请参照图2，图2绘示长期演进技术通信系统中的密钥的等级示意图。密钥K会储存于通用整合芯片卡(UICC)中的通用用户识别模块(USIM)内，以及储存于认证中心(Authentication Centre，AuC)中。在鉴权与密钥协商(Authentication and Key Agreement，AKA)程序中，用户设备与家用用户服务器(HSS)根据密钥K产生一组对应的密钥CK与CIK。在鉴权与密钥协商程序结束后，用户设备与移动管理单元获得执行鉴权与密钥承认程序后的结果，也就是安全管理密钥K_ASME。

通过执行非接入层安全性模式指令程序(NAS security mode commandprocedure)，用户设备与移动管理单元可以根据安全管理密钥K_ASME获得用于非接入层安全性的加密密钥K_NAS enc与完整性密钥K_NAS int，以及获得演进基站节点密钥K_eNB，其中移动管理单元可以通过S1接口将演进基站节点密钥K_eNB传送给演进基站节点。

接着，通过执行接入层安全性模式指令程序(AS security mode commandprocedure)，演进基站节点与用户设备可以根据演进基站节点密钥K_eNB来获得用户层面加密密钥K_UP enc、无线资源控制加密密钥K_RRC enc与无线资源控制完整性密钥K_RRC int。在有危险(hazard)的情况下，安全管理密钥K_ASME与演进基站节点密钥K_eNB会被送到网络处理程序NH处理，且演进基站节点密钥K_eNB与网络处理程序NH的处理结果会被到网络控制中心(NCC)进行判断，以据此产生互补的演进基站节点密钥K_eNB*，来更新演进基站节点密钥K_eNB。通过多次训练演进基站节点密钥K_eNB，便能够获得正确的演进基站节点密钥K_eNB，以排除危险。

接着，请参照图3，图3绘示长期演进技术系统的安全性方法的流程图。长期演进技术系统3具有用户设备31、演进基站节点32、移动管理单元/服务网关33与家用用户服务器34。

首先，在步骤S31中，鉴权与密钥协商程序会先被执行，以使用户设备31、移动管理单元/服务网关33与家用用户服务器34拥有安全管理密钥KASME。