確保前向安全的方法、網絡設備、用戶設備和通信系統的製作方法

2023-10-08 01:06:59 1

專利名稱：確保前向安全的方法、網絡設備、用戶設備和通信系統的製作方法
技術領域：
本發明涉及通信技術領域，特別涉及一種確保前向安全的方法、網絡設備、用戶設
備和通信系統。
背景技術：
SAE (System Architecture Evolution,系統架構演進)/LTE(Long Term Evolution,長期演進)網絡中，無論是在AS (Access Stratum,接入層)還是NAS (Non Access Stratum,非接入層)，都需要推演相應的密鑰，對傳輸的信令和數據進行加密或完 整性保護。UE(UserEquipment，用戶設備)在SAE/LTE網絡中經常會出現eNB (EvolvedNode B，演進的基站)切換，我們把切換前的eNB稱源eNB，切換後的eNB稱目標eNB。從源eNB切 換到一個目標eNB，就要推演目標eNB上的密鑰。由於在切換沒有成功之前，UE和目標eNB 推演新的密鑰所用的參數都是通過源eNB轉發，所以源eNB知道目標eNB密鑰推演的所有 信息。在現有的方案中，如果攻擊者攻破了源eNB，那麼攻擊者就能夠推演獲得後續切換時 所有目標eNB上使用的密鑰。這就是前向不安全。 當源eNB與目標eNB切換時，匪E(Mobility Managent Entity,移動性管理實體) 參與計算一個新鮮參數Next-H0p-KeNB，用於目標eNB推演切換後的密鑰。
在實現本發明的過程中，發明人發現上述現有技術至少具有以下缺點
沒有完全解決前向不安全問題，而且匪E的參與使方案更加複雜。

發明內容
為了解決切換過程中存在的前向不安全問題，本發明實施例提供了一種確保前向
安全的方法、網絡設備、用戶設備和通信系統。所述技術方案如下 —種確保前向安全的方法，包括 接收用戶設備通過源基站發送的第一協商參數； 選擇第二協商參數； 將所述第二協商參數通過所述源基站發送給所述用戶設備； 根據所述第一協商參數和所述第二協商參數獲取所述接入層密鑰，所述接入層密 鑰用於與所述用戶設備進行通信。
—種網絡設備，包括 第一接收模塊，用於接收用戶設備通過源基站發送的第一協商參數；
選擇模塊，用於選擇第二協商參數； 發送模塊，用於將所述第二協商參數通過所述源基站發送給所述用戶設備； 接入層密鑰獲取模塊，用於根據所述第一協商參數和所述第二協商參數獲取所述
接入層密鑰，所述接入層密鑰用於與所述用戶設備進行通信。 —種用戶設備，包括 生成模塊，用於生成第一協商參數；
第一發送模塊，用於發送所述第一協商參數； 接收模塊，用於接收目標基站通過源基站發送的第二協商參數； 獲取模塊，用於根據所述第一協商參數和所述第二協商參數獲取接入層密鑰，所
述接入層密鑰用於與所述目標基站進行通信。 —種通信系統，其特徵在於，包括目標基站、源基站和用戶設備；
所述用戶設備用於從所述源基站切換到所述目標基站； 所述目標基站用於接收用戶設備通過源基站發送的第一協商參數；選擇第二協 商參數；將所述第二協商參數通過所述源基站發送給所述用戶設備；根據所述第一協商參 數和所述第二協商參數獲取所述接入層密鑰，所述接入層密鑰用於與所述用戶設備進行通信。
本發明實施例提供的技術方案至少具備以下有益效果 通過由用戶設備提供第一協商參數、目標基站提供第二協商參數的方法來獲取接 入層密鑰，用戶設備與目標基站使用該接入層密鑰通信，有效解決了用戶設備在切換eNB 過程中存在的前向不安全問題，同時簡化了現有方案的流程。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可 以根據這些附圖獲得其他的附圖。
圖1是本發明實施例1提供的確保前向安全的方法流程圖；
圖2是本發明實施例2提供的確保前向安全的方法流程圖；
圖3是本發明實施例3提供的確保前向安全的方法流程圖；
圖4是本發明實施例4提供的網絡設備結構示意圖；
圖5是本發明實施例5提供的用戶設備結構示意圖；
圖6是本發明實施例6提供的通信系統結構示意圖。
具體實施例方式
下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完 整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基於本發 明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施 例，都屬於本發明保護的範圍。 本發明實施例的網絡類型可以包括GSM(Global System for Mobile Co匪nications，全球移動通訊系統)網絡、CDMA (Code Division Multiple Access，碼分 多址)網絡、WCDMA(Wideband Code Division Multiple Access,寬帶碼分多址)網絡、 Wimax(WorldwideInteroperability for Microwave Access,全球微波互聯接入)網絡、T D-SCDMA(TimeDivision-Synchronous Code Division Multiple Access,時分同步的碼分 多址)網絡、LTE(LongTerm Evolution,長期演進)網絡等。 基站的類型包括各種基站，如LTE基站、家庭基站、微型基站Pico、UMTS AP，WiMAXFemto基站、WiMAX宏基站等，或者基站控制器，以及其他接入設備。 本發明實施例的用戶設備可以包括各種類型的終端，如手機、筆記本電腦，或者其
他轉發設備等。 為使本發明的目的、技術方案和優點更加清楚，下面將結合附圖對本發明實施方
式作進一步地詳細描述。 實施例一 參見圖l，本發明實施例提供了一種確保前向安全的方法，該方法可以包括 101 :接收用戶設備通過源基站發送的第一協商參數； 本步驟的執行主體可以是目標基站。
102 :選擇第二協商參數； 本步驟的執行主體可以是目標基站。
103 :將第二協商參數通過源基站發送給用戶設備；第二協商參數可以供用戶設 備收到第二協商參數後利用第一協商參數和第二協商參數推演出接入層密鑰；
本步驟的執行主體可以是目標基站。 104:根據第一協商參數和第二協商參數獲取接入層密鑰，接入層密鑰可以用於在
切換時與用戶設備進行通信。 本步驟的執行主體可以是目標基站。
其中，104具體可以包括 根據該第一協商參數和第二協商參數推演出密鑰推演參數；
根據該密鑰推演參數獲取該接入層密鑰。 當該用戶設備和該目標基站支持橢圓曲線密碼體制時，第一協商參數可以為xP， 第二協商參數可以為yP，密鑰推演參數可以為xyP ;
或者， 當該用戶設備和該目標基站支持離散對數密碼體制時，第一協商參數可以為gx，
第二協商參數可以為gy，密鑰推演參數可以為gxy ; 或者， 當該用戶設備和該目標基站支持移動可信模塊時，第一協商參數可以為gx或xP，
第二協商參數可以為gy或yP，密鑰推演參數可以為gxy或xyP。 第一協商參數和第二協商參數中可以至少有一個經過數字籤名。 本發明實施例通過在切換eNB過程中，通過由用戶設備提供第一協商參數、目標
基站提供第二協商參數的方法來獲取接入層密鑰，用戶設備與目標基站使用該接入層密鑰
通信，並對第一協商參數和/或第二協商參數進行數字籤名，有效解決了用戶設備在切換
eNB過程中存在的前向不安全問題，同時簡化了現有方案的流程。 實施例二 本發明實施例提供了一種確保前向安全的方法，該方法適用的場景可以是用戶 設備UE和eNB支持ECC (El 1 ipse Curve Cryptosystems，橢圓曲線密碼體制)，如圖2所示， 該方法具體可以包括 201 :當UE收到要切換eNB的消息後，UE向源eNB發送Measurement r印ort (度 量報告)和第一協商參數xP的籤名。
202 :源eNB接收到UE發送的度量報告和xP的籤名，根據度量報告中攜帶的UE的 當前狀態以及UE探測到的各個eNB的服務信號的強度，決定切換的目標eNB。
203 :源eNB向目標eNB發送切換請求消息； 在切換請求消息中可以攜帶當前RRC(Radio Resource Control,無線資源控制)/ UP(UserPlane，用戶面)算法和xP的籤名。 204 :目標eNB在接收到源eNB發送的切換請求消息後，可以為UE分配新的 C-RNTI(Cell Radio Network Temporary Identity,蜂窩無線網絡臨時身份)、可以根據源 eNB所使用的RRC/UP算法選擇RRC/UP算法，隨機選擇第二協商參數yP。
205 :目標eNB向源eNB發送切換響應消息。 在切換響應消息中攜帶目標eNB所選擇的RRC/UP算法、新的C-RNTI和第二協商 參數yP的籤名。 206 :目標eNB將第一協商參數xP和第二協商參數yP協商計算得到的密鑰推演參 數xyP作為KeNB，這裡KeNB表示密鑰；根據KeNB推演出RRC/UP密鑰。 207 :源eNB接收到目標eNB發送的切換響應消息，並向UE發送切換命令，在切換 命令中，攜帶目標eNB所選擇的RRC/UP算法、新的C-RNTI和yP的籤名。
208 :UE根據第一協商參數xP和接收到的第二協商參數yP協商計算得到密鑰推 演參數xyP，並根據xyP和新的C-RNTI推演出作為KeNB ;根據KeNB推演出RRC/UP密鑰。
209 :UE向目標eNB發送切換確認。 210 :目標eNB向網絡偵U，如EPC(Evolved Packet Core,演進的分組核心網實體) 發送切換完成消息。 211 :EPC向目標eNB發送切換完成響應。
212 :目標eNB向源eNB發送釋放資源消息。 在本發明實施例中所述的推演，均可以為利用KDF(Key Derive Function，密鑰推 演函數)進行的計算。 這裡需要指出的是，當UE和eNB所支持的密碼體制不同時，所使用的公鑰體制也 是不同的。例如，當UE和eNB支持ECC時，所使用的第一協商參數為xP，第二協商參數為 yP，密鑰推演參數為xyP ;當UE和eNB支持離散對數密碼體制時，所使用的第一協商參數為 gx，第二協商參數為gy，密鑰推演參數為gxy ;當UE和eNB支持MTM(Mobile Trusted Module, 移動可信模塊)時，所使用的第一協商參數為gx或xP，第二協商參數為gy或yP，密鑰推演 參數為gxy或xyP， gx或xP的籤名表示為SIGAIK (g7xP)，其中，SIG表示籤名，AIK表示密鑰。 協商參數的籤名可以被UE和目標eNB所解密，源eNB在計算上不可行，所以無法解密協商 參數的籤名。 這裡需要注意的是，在本實施例中，第一協商參數xP和第二協商參數yP同時進行 了數字籤名。為了提高效率、減少延時，在本實施例的方法中也可以採取單方數字籤名，即 UE方或者eNB方對協商參數進行數字籤名。如果此時源eNB受到中間人攻擊，eNB會在UE 發送切換確認時發現中間人的攻擊(因為協商的密鑰不一致)，如果發現多次協商識別就 終止此次切換。因此通過單方數字籤名也可以解決UE在intra-匪E切換過程中的前向安 全性問題。 這裡需要強調的是，雖然本發明實施例僅給出了 Intra-匪E切換的場景進行前向安全的保護，但是由於inter-匪E切換時，源eNB不會直接向目標eNB發送消息，而是由源 eNB先發送給源匪E，再由源MME轉發給目標匪E，最後由目標匪E轉發給目標eNB 。也就是 說，與本實施例中所給出的流程相比，多出了源匪E和目標MME的轉發。所以本發明實施例 同樣適用於Inter-匪E切換的場景，具體流程不再詳述。 本發明實施例通過在eNB切換過程中，通過由用戶設備提供第一協商參數xP、目 標基站提供第二協商參數yP的方法來獲取接入層密鑰，用戶設備與目標基站使用該接入 層密鑰通信，並對第一協商參數xP和第二協商參數yP進行數字籤名，有效解決了用戶設備 在切換eNB過程中存在的前向不安全問題，同時簡化了現有方案的流程。
實施例三 參見圖3，本發明實施例提供了一種確保前向安全的方法，該方法適用的場景可以 是UE和eNB支持ECC，該方法具體可以包括 301 :當UE收到要切換eNB的消息後，UE向源eNB發送Measurement r印ort和第 一協商參數xP的籤名。 302 :源eNB接收到UE發送的度量報告和xP的籤名，根據度量報告中攜帶的UE的 當前狀態以及UE探測到的各個eNB的服務信號的強度，決定UE切換的目標eNB ;
並且，源eNB根據UE和源eNB當前使用的密鑰K，和目標蜂窩的Cell ID(蜂窩 ID)，利用KDF推演計算出I^/; 303 :源eNB向目標eNB發送切換請求消息； 在切換請求消息中攜帶1U/、源eNB使用的RRC/UP算法、以及xP的籤名；
304 :目標eNB在接收到源eNB發送的切換請求消息後，可以為UE分配新的 C-RNTI、可以根據源eNB發送的RRC/UP算法確定自身的RRC/UP算法、隨機選擇第二協商參 數yP ; 305 :發送切換響應消息給源eNB，在切換響應消息中攜帶新的C-RNTI、目標eNB所 選擇的RRC/UP算法、yP以及接收到的KeNB* ; 306 :目標eNB根據新的C_RNTI、KeNB*、以及由第一協商參數xP與第二協商參數yP 經過協商計算得到的密鑰推演參數xyP，利用KDF推演出新的I^NB ;再根據新的I^NB推演出 RRC/UP密鑰； 307 :源eNB向UE發送切換命令； 切換命令中攜帶305中目標eNB所選擇的RRC/UP算法、新的C-RNTI、以及第二協 商參數yP的籤名； 308 :UE接收到切換命令，利用KDF，根據當前的密鑰K^和目標蜂窩的Ce11 ID推 演出Keffl* ; 根據K^/、新的C-RNTI 、以及由第一協商參數xP與第二協商參數yP經過協商計算
得到的密鑰推演參數xyP，推演出新的K，； 根據新的KeNB推演出RRC/UP密鑰； 309 :UE向目標eNB發送切換確認； 310 :目標eNB向EPC發送切換完成消息； 311 :EPC向目標eNB發送切換完成響應； 312 :目標eNB向源eNB發送釋放資源消息。
在本發明實施例中所述的推演，均可以為利用KDF進行的計算。
這裡需要指出的是，當UE和eNB所支持的密碼體制不同時，所使用的公鑰體制也 可以是不同的。例如，當UE和eNB支持ECC時，所使用的第一協商參數為xP，第二協商參數 為yP，密鑰推演參數為xyP ;當UE和eNB支持離散對數密碼體制時，所使用的第一協商參數 為gx，第二協商參數為gy，密鑰推演參數為gxy ;當UE和eNB支持MTM時，所使用的第一協商 參數為gx或xP，第二協商參數為gy或yP，密鑰推演參數為gxy或xyP， gx或xP的籤名表示 為SIG組(g7xP)，其中SIG表示籤名，AIK表示密鑰。協商參數的籤名可以被UE和目標eNB 所解密，源eNB由於在計算上不可行，所以無法解密協商參數的籤名的。
這裡需要注意的是，在本實施例中，第一協商參數xP和第二協商參數yP同時進行 了數字籤名。為了提高效率、減少延時，在本實施例的方法中也可以採取單方數字籤名，即 UE方或者eNB方對協商參數進行數字籤名。如果此時源eNB受到中間人攻擊，eNB會在UE 發送切換確認時發現中間人的攻擊(因為協商的密鑰不一致)，如果發現多次協商識別就 終止此次切換。因此通過單方數字籤名也可以解決UE在切換eNB過程中的前向安全性問 題。 另外，這裡需要強調的是，本發明實施例給出了 Intra-匪E切換的場景進行前向 安全的保護，但是由於inter-匪E切換時，源eNB不會直接向目標eNB發送消息，而是由源 eNB先發送給源匪E，再由源匪E轉發給目標匪E，最後由目標匪E轉發給目標eNB。也就是 說，與本實施例中所給出的流程相比，多出了源匪E和目標MME的轉發。所以本發明實施例 同樣適用於Inter-匪E切換的場景，具體流程不再詳述。 本發明實施例通過在eNB切換過程中，通過由用戶設備提供第一協商參數xP、目 標基站提供第二協商參數yP的方法來獲取接入層密鑰，用戶設備與目標基站使用該接入 層密鑰通信，並對第一協商參數xP和第二協商參數yP進行數字籤名，有效解決了用戶設備 在切換eNB過程中存在的前向不安全問題，同時簡化了現有方案的流程。
實施例四 參見圖4，本發明實施例提供了一種網絡設備，可以是基站，包括
第一接收模塊401，用於接收用戶設備通過源基站發送的第一協商參數；
選擇模塊402，用於選擇第二協商參數； 發送模塊403，用於將第二協商參數通過源基站發送給用戶設備，該第二協商參數 可以供用戶設備收到第二協商參數後利用第一協商參數和第二協商參數推演出接入層密 鑰； 接入層密鑰獲取模塊404，用於根據第一協商參數和第二協商參數獲取接入層密 鑰，該接入層密鑰用於與用戶設備進行通信。
其中，接入側密鑰獲取模塊404包括 推演單元，用於根據第一協商參數和第二協商參數推演出密鑰推演參數；
獲取單元，用於根據推演單元中的密鑰推演參數獲取該接入層密鑰。
進一步地，該網絡設備還包括 第二接收模塊405，用於接收來自用戶設備的切換確認消息，該切換確認消息為用 戶設備獲取接入層密鑰之後發送的。 其中，第一協商參數和第二協商參數中可以至少一個經過數字籤名。
本發明實施例的網絡設備類型可以包括各種基站，如LTE基站、家庭基站、微型基站Pico、 UMTS AP， WiMAX Femto基站、WiMAX宏基站等，或者基站控制器，以及其他接入設備。 本發明實施例通過在切換eNB過程中，通過由用戶設備提供第一協商參數、目標基站提供第二協商參數的方法來獲取接入層密鑰，用戶設備與目標基站使用該接入層密鑰通信，並對第一協商參數和/或第二協商參數進行數字籤名，有效解決了用戶設備在切換eNB過程中存在的前向不安全問題，同時簡化了現有方案的流程。
實施例五 參見圖5，本發明實施例提供了一種用戶設備，可以包括
生成模塊501，用於生成第一協商參數；
第一發送模塊502，用於發送第一協商參數； 接收模塊503，用於接收目標基站通過源基站發送的第二協商參數； 獲取模塊504，用於根據第一協商參數和第二協商參數獲取接入層密鑰，該接入層
密鑰用於在切換時與目標基站進行通信。 進一步地，該用戶設備還包括 第二發送模塊505，用於在獲取模塊504獲取到接入層密鑰後，發送切換確認消息給目標基站。 其中，第一協商參數和第二協商參數中至少一個經過數字籤名。 本發明實施例的用戶設備可以包括各種類型的終端，如手機、筆記本電腦，或者其
他轉發設備等。 本發明實施例通過在切換eNB過程中，通過由用戶設備提供第一協商參數、目標基站提供第二協商參數的方法來獲取接入層密鑰，用戶設備與目標基站使用該接入層密鑰通信，並對第一協商參數和/或第二協商參數進行數字籤名，有效解決了用戶設備在切換eNB過程中存在的前向不安全問題，同時簡化了現有方案的流程。
實施例六 參見圖6，本發明實施例提供了一種通信系統，可以包括目標基站601、源基站602和用戶設備603 ; 用戶設備603用於從源基站602切換到目標基站601 ; 目標基站601用於通過源基站602與用戶設備603進行密鑰的協商，密鑰的協商過程包括目標基站601接收用戶設備603通過源基站602發送的第一協商參數；選擇第二協商參數；將第二協商參數通過源基站602發送給用戶設備603 ;根據第一協商參數和第二協商參數獲取接入層密鑰，該接入層密鑰用於在用戶設備603進行切換時目標基站601與用戶設備603進行通信。 其中，第一協商參數和第二協商參數中可以至少一個經過數字籤名。 本發明實施例通過在切換eNB過程中，通過由用戶設備提供第一協商參數、目標
基站提供第二協商參數的方法來獲取接入層密鑰，用戶設備與目標基站使用該接入層密鑰
通信，並對第一協商參數和/或第二協商參數進行數字籤名，有效解決了用戶設備在切換
eNB過程中存在的前向不安全問題，同時簡化了現有方案的流程。 通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發明可以通過硬體實現，也可以可藉助軟體加必要的通用硬體平臺的方式來實現。基於這樣的理解，
本發明的技術方案可以以軟體產品的形式體現出來，該軟體產品可以存儲在一個非易失性
存儲介質(可以是CD-R0M， U盤，移動硬碟等)中，包括若干指令用以使得一臺計算機設備
(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例所述的方法。 以上所述僅為本發明的較佳實施例，並不用以限制本發明，凡在本發明的精神和
原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
權利要求
一種確保前向安全的方法，其特徵在於，包括接收用戶設備通過源基站發送的第一協商參數；選擇第二協商參數；將所述第二協商參數通過所述源基站發送給所述用戶設備；根據所述第一協商參數和所述第二協商參數獲取接入層密鑰，所述接入層密鑰用於與所述用戶設備進行通信。
2. 如權利要求1所述的確保前向安全的方法，其特徵在於，所述根據所述第一協商參 數和所述第二協商參數獲取接入層密鑰包括根據所述第一協商參數和第二協商參數推演出密鑰推演參數； 根據所述密鑰推演參數獲取所述接入層密鑰。
3. 如權利要求2所述的確保前向安全的方法，其特徵在於，當所述用戶設備和所述目 標基站支持橢圓曲線密碼體制時，所述第一協商參數為xP，所述第二協商 參數為yP，所述 密鑰推演參數為xyP ;或者，當所述用戶設備和所述目標基站支持離散對數密碼體制時，所述第一協商參數為gx，所述第二協商參數為gy，所述密鑰推演參數為gxy ;或者，當所述用戶設備和所述目標基站支持移動可信模塊時，所述第一協商參數為gX或xP， 所述第二協商參數為gy或yP，所述密鑰推演參數為gxy或xyP。
4. 如前述任一權利要求所述的確保前向安全的方法，其特徵在於，所述第一協商參數 和所述第二協商參數中至少一個經過數字籤名。
5. —種網絡設備，其特徵在於，包括第一接收模塊，用於接收用戶設備通過源基站發送的第一協商參數； 選擇模塊，用於選擇第二協商參數；發送模塊，用於將所述第二協商參數通過所述源基站發送給所述用戶設備； 接入層密鑰獲取模塊，用於根據所述第一協商參數和所述第二協商參數獲取接入層密 鑰，所述接入層密鑰用於與所述用戶設備進行通信。
6. 如權利要求5所述的網絡設備，其特徵在於，所述接入側密鑰獲取模塊包括 推演單元，用於根據所述第一協商參數和所述第二協商參數推演出密鑰推演參數；獲取單元，用於根據所述推演單元中的密鑰推演參數獲取所述接入層密鑰。
7. 如權利要求5所述的網絡設備，其特徵在於，所述網絡設備還包括 第二接收模塊，用於接收來自所述用戶設備的切換確認消息，所述切換確認消息為所述用戶設備獲取所述接入層密鑰後發送的。
8. 如前述任一權利要求所述的網絡設備，其特徵在於，所述第一協商參數和所述第二 協商參數中至少一個經過數字籤名。
9. 一種用戶設備，其特徵在於，包括 生成模塊，用於生成第一協商參數； 第一發送模塊，用於發送所述第一協商參數； 接收模塊，用於接收目標基站通過源基站發送的第二協商參數；獲取模塊，用於根據所述第一協商參數和所述第二協商參數獲取接入層密鑰，所述接 入層密鑰用於與所述目標基站進行通信。
10. 如權利要求9所述的用戶設備，其特徵在於，所述用戶設備還包括 第二發送模塊，用於在所述獲取模塊獲取到所述接入層密鑰後，發送切換確認消息給所述目標基站。
11. 如權利要求9或10所述的用戶設備，其特徵在於，所述第一協商參數和所述第二協 商參數中至少一個經過數字籤名。
12. —種通信系統，其特徵在於，包括目標基站、源基站和用戶設備； 所述用戶設備用於從所述源基站切換到所述目標基站；所述目標基站用於接收用戶設備通過源基站發送的第一協商參數；選擇第二協商參 數；將所述第二協商參數通過所述源基站發送給所述用戶設備；根據所述第一協商參數和 所述第二協商參數獲取所述接入層密鑰，所述接入層密鑰用於與所述用戶設備進行通信。
13. 如權利要求12所述的通信系統，其特徵在於，所述第一協商參數和所述第二協商 參數中至少一個經過數字籤名。
全文摘要
本發明實施例公開了一種確保前向安全的方法、網絡設備、用戶設備和通信系統。所述方法包括接收用戶設備通過源基站發送的第一協商參數；選擇第二協商參數；將所述第二協商參數通過所述源基站發送給所述用戶設備；根據所述第一協商參數和所述第二協商參數獲取接入層密鑰。所述網絡設備包括第一接收模塊、選擇模塊、發送模塊和接入層密鑰獲取模塊。所述用戶設備包括生成模塊、第一發送模塊、接收模塊和獲取模塊。所述通信系統包括用戶設備、源基站和目標基站。本發明實施例有效解決了用戶設備在切換eNB的過程中存在的前向不安全問題，同時簡化了現有方案的流程。
文檔編號H04L12/56GK101741551SQ20081017604
公開日2010年6月16日 申請日期2008年11月7日 優先權日2008年11月7日
發明者宋成, 尹瀚, 莊小君, 王紹斌 申請人:華為技術有限公司