本发明涉及通信技术,尤其涉及一种信息传输方法。
背景技术:
终端接入移动通信网络后,移动管理实体(Mobility Management Entity,MME)需与该终端进行鉴权与秘钥协商(Authentication and Key Agreement,AKA)。
在该AKA过程中MME需先对该终端进行身份认证,这需要终端将终端的用户标识发送至该MME,用以使得该MME根据该终端的用户标识进行身份认证。目前,终端通常可采用明文方式将该终端的用户标识发送至基站,再由该基站发送至该MME。
然而,明文方式传输该终端的用户标识,易使得标识被窃听者恶意窃取,从而影响通信安全。
技术实现要素:
本发明提供一种信息传输方法,以有效避免终端传输的标识被恶意窃取,提高通信安全。
本发明提供一种信息传输方法,包括:
终端采用预设的加密密钥对所述终端的用户标识进行加密;
所述终端向当前基站发送源基站的标识、加密后的所述终端的用户标识及所述加密密钥的信息;所述源基站的标识用于使得所述当前基站确定所述源基站,将所述加密密钥的信息发送至所述源基站;所述加密密钥的信息用于使得所述源基站确定所述加密密钥对应的解密密钥,继而将所述解密密钥发送至所述当前基站;所述解密密钥用于使得所述当前基站对所述加密后的所述终端的用户标识进行解密,得到所述终端的用户标识。
本发明还提供一种信息传输方法,包括:
当前基站接收终端发送的源基站的标识、加密后的所述终端的用户标识及加密密钥的信息;
所述当前基站根据所述源基站的标识,确定所述源基站;
所述当前基站向所述源基站发送所述加密密钥的信息;所述加密密钥的信息用于使得所述源基站确定所述加密密钥对应的解密密钥;
所述当前基站接收所述源基站发送的所述解密密钥;
所述当前基站根据所述解密密钥对所述加密后的所述终端的用户标识进行解密,得到所述终端的用户标识。
本发明还提供一种信息传输方法,包括:
源基站接收当前基站发送的加密密钥的信息;
所述源基站根据所述加密密钥的信息,确定所述加密密钥对应的解密密钥;
所述源基站向所述当前基站发送所述解密密钥,所述解密密钥用于使得所述当前基站对加密后的所述终端的用户标识进行解密,得到所述终端的用户标识。
本发明提供的信息传输方法,可通过终端采用预设的加密密钥对该终端的用户标识进行加密,并向当前基站发送源基站的标识、加密后的该终端的用户标识及该加密密钥的信息,使得该当前基站可根据该源基站的标识确定该源基站,将该加密密钥的信息发送至该源基站,该源基站可根据该加密密钥的信息确定该加密密钥对应的解密密钥,继而将该解密密钥发送至该当前基站;该当前基站还可根据解密密钥对该加密后的该终端的用户标识进行解密,得到该终端的用户标识。该方法可有效避免该终端传输的用户标识被恶意窃取,保证通信安全。
附图说明
图1为本发明适用的无线通信网络的网络架构图;
图2为本发明提供的一种信息传输方法的流程图;
图3为本发明提供的另一种信息传输方法的流程图;
图4为本发明提供的一种信息传输装置的结构示意图;
图5为本发明提供的另一种信息传输装置的结构示意图;
图6为本发明提供的又一种信息传输装置的结构示意图;
图7为本发明提供的一种终端的结构示意图;
图8为本发明提供的一种基站的结构示意图;
图9为本发明提供的另一种基站的结构示意图。
具体实施方式
本发明下述各实施例提供的信息传输方法,可适用于基于终端切换小区,也就是切换于其连接的基站的情况下的无线通信网络中。终端可以在由于某些原因断网后,再次接入网络的情况下,切换与其连接的基站,如终端关机后由某一城市漫游到另一城市或突然信号中断后重新检测到网络信号等。例如,终端脱离网络后再次接入网络,如网络无法认证用户身份,便需要终端重新发送用户标识信息如该终端的国际移动用户识别码(International Mobile Subscriber Identification number,IMSI)的情况下,便可执行下述各实施例提供的信息传输方法。
图1为本发明适用的无线通信网络的网络架构图。如图1所示,该无线通信网络可包括:归属设备101、MME/服务网关(Serving-GateWay,S-GW)102、源基站103、当前基站104及终端105。其中,归属设备101也可称为归属位置寄存器(Home Location Register,HLR)、归属环境(Home Environment,HE)或者归属签约用户服务器(Home Subscriber Server,HSS)等。归属设备101与MME/S-GW 102连接。MME/S-GW 102通过S1接口与源基站103连接,还通过S1接口与当前基站104连接。源基站103通过X2接口与当前基站104连接。当终端105从源基站103切换至当前基站104,终端105便于当前基站104间具有通信链路连接。其中,该终端105也可称为用户设备(User Equipment,UE)。
通过执行本发明下述各实施例提供的方法,可在终端切换至当前页面后,有效避免终端传输的标识被恶意窃取,提高通信安全。
下述结合多个实施例进行举例说明。
图2为本发明提供的一种信息传输方法的流程图。如图2所示,该方法可包括:
S201、终端采用预设的加密密钥对该终端的用户标识进行加密。
该加密密钥为源基站与该终端协商确定的加密密钥。该加密密钥为源基站与该终端协商确定的距离当前时间最近的加密密钥,也就是最新的加密密钥。该终端中存储有该加密密钥、该加密密钥的保存时间、该源基站的标识等信息。
可选的,若该终端保存有多个与该源基站协商确定的密钥,该距离当前时间最近的加密密钥可以为保存时间最长的加密密钥。每个加密密钥的保存时间可以为距离生成时间预设时间段,如24小时。一个加密密钥的保存时间到达,则终端可对该一个加密密钥进行清理,如删除。
为节省存储空间,该终端与源基站可仅包括一个距离当前时间最近的加密密钥。仅保存一个加密密钥,新的加密密钥生成后即把原密钥删除。通常情况下,只要更新出新的秘钥即可把原密钥删除。
若距离上次更新密钥的时间段超过预设时间段,而没有新的更新密钥,便可将保存的该加密密钥删除。也就是说,在此情况下,该加密密钥的最长的保持时间可以为该预设时间段,如24小时。
可选的,该终端的用户标识可以包括IMSI。
S202、终端向当前基站发送源基站的标识、加密后的该终端的用户标识及该加密密钥的信息。
该终端可以在处于检测(DETECTED)状态下进行小区搜索,选择该当前基站所在的小区进行驻留,与该当前基站建立网络连接。
终端向当前基站不直接发送明文的用户标识信息,而是发送加密后的该终端的用户标识,为使得当前基站可通过解密最终获得该终端的用户标识,该终端还向该当前基站发送该源基站的标识以及该加密密钥的信息。
对应的,当前基站可从终端接收该源基站的标识、该加密后的该终端的用户标识及该加密密钥的信息。
其中,该加密密钥的信息可以包括:加密密钥本身、该加密密钥对应的索引或是标识信息等至少一个。
S203、当前基站根据该源基站的标识,确定该源基站。
该当前基站可以根据该源基站的标识作为地址进行寻址,以确定该源基站。
S204、当前基站向源基站发送该加密密钥的信息。
对应的,源基站可从当前基站接收该加密密钥的信息。
S205、源基站根据该加密密钥的信息确定该加密密钥对应的解密密钥。
该源基站可根据该加密密钥的信息确定该加密密钥,继而确定该加密密钥对应的解密密钥。该加密密钥和该解密密钥可以为非对称加密算法中的密钥,该加密密钥与该解密密钥互为两个不同的密钥。
S206、源基站向当前基站发送该解密密钥。
该源基站可在确定该解密密钥后,直接向该当前基站发送该解密密钥,也可在确定该解密密钥后先对该解密密钥的准确性进行验证,继而在验证通过后向当前基站发送该解密密钥。
对应的,当前基站可从该源基站接收该解密密钥。
S207、当前基站根据该解密密钥对该加密后的该终端的用户标识进行解密,得到该终端的用户标识。
该当前基站可在确定该终端的用户标识后,可根据该用户标识与MME进行AKA流程,实现对该终端用户的身份校验。
本发明提供的该信息传输方法中,终端采用预设的加密密钥对该终端的用户标识进行加密,并向当前基站发送源基站的标识、加密后的该终端的用户标识及该加密密钥的信息,使得该当前基站可根据该源基站的标识确定该源基站,将该加密密钥的信息发送至该源基站,该源基站可根据该加密密钥的信息确定该加密密钥对应的解密密钥,继而将该解密密钥发送至该当前基站;该当前基站还可根据解密密钥对该加密后的该终端的用户标识进行解密,得到该终端的用户标识。该方法可有效避免该终端传输的用户标识被恶意窃取,保证通信安全。
并且,该信息传输中,终端向当前基站发送的是加密后该终端的用户标识,而该加密后的终端的用户标识只有源基站才具有用以解密的解密密钥,即使加密后的该终端的用户标识和该源基站的标识被截获,窃听者或伪基站也无法得到用户的明文用户标识,保证了用户身份信息的安全性。本发明提供的方法在基站层面,也就是接入网侧可实现,不需要访问归属环境,保证了终端接入网络的低时延,并且避免伪基站诱骗标识信息,避免接入伪基站,最大限度保证了用户信息的安全性。
同时,该信息传输方法中,即便当前基站为伪基站,由于伪基站无法与合法源基站进行通信,因而从而无法解密密钥,使得终端并不会盲目听从伪基站发送的信令,而是尝试接入其它基站,有效避免终端接入伪基站,保证通信安全。
可选的,如上所示的方法中,S201中终端采用预设的加密密钥对该终端的用户标识进行加密之前,该方法还可包括:
该终端在与该源基站建立连接的情况下,与该源基站协商确定该加密密钥。
该终端可在于该源基站建立连接的情况下,与该源基站协商确定用于在该终端与该源基站断开连接后,而与其他基站建立连接的情况下,对该终端的用户标识进行加密的密钥。
该加密密钥可以是采用物理层密钥技术生成的,也可以是采用根密钥(KeNB)生成的。当然,也可以是采用其他方式生成的。该加密密钥可以为非对称秘钥中的一个秘钥,可以为公钥,也可以为私钥。
若该加密密钥为采用物理层密钥技术生成的,那么本发明提供的方法还可使得攻击者难以,甚至无法获取并破译密钥。
可选的,该方法还可包括:
该终端根据预设的时间信息,与该源基站同步更新该加密密钥。
在该终端与该源基站断开连接后,该终端与该源基站均保存有更新后的最近加密密钥。非对称秘钥加密算法中,加密密钥和解密密钥通常为不同的秘钥,为保证用户标识的安全性,使得只有源基站才具有用以解密的解密密钥。
当然,在该终端与该源基站断开连接后,该终端还需保存该源基站的标识等信息。该源基站的标识对应的缓存的截止时间可以为该终端断开与该当前基站的连接,而接入其他基站。也就是说,在该终端断开与该当前基站的连接,而接入其他基站的情况下,该终端可清除记录的该源基站的标识,而将记录该当前基站的标识。此时,该当前基站可作为新的源基站。
该源基站侧还保存有该更新后的最近加密密钥所对应的解密密钥。
该方法中,该终端与该源基站不断根据预设时间信息,协商更新该加密密钥,有效保证密钥的新鲜性,继而有效保证通信安全。
可选的,在如上所示的S202中终端向当前基站发送源基站的标识、加密后的该终端的用户标识及该加密密钥的信息之前,该方法还可包括:
当前基站向该终端发送身份请求。
该身份请求可以为用户标识请求(UserIDRequest)。
可选的,如上行所示的S202中终端向当前基站发送源基站的标识、加密后的该终端的用户标识及该加密密钥的信息,可包括:
当前基站接收终端发送的身份响应,该身份响应包括:该源基站的标识、该加密后的该终端的用户标识及加密密钥的信息。
该身份响应可以为用户标识响应(UserIDResponse)。
可选的,如上所示的S204中当前基站向源基站发送该加密密钥的信息可包括:
当前基站向源基站发送该加密密钥的信息和该加密后的该终端的用户标识。
该当前基站可向源基站发送解密请求,该解密请求可包括该加密密钥的信息和该加密后的该终端的用户标识。
对应的,该源基站从当前基站接收该加密密钥的信息和该加密后的该终端的用户标识。
可选的,如上所示的S206源基站向当前基站发送该解密密钥之前,该方法还可包括:
源基站根据解密密钥对该加密后的该终端的用户标识进行解密。
可选的,如上所示的S206源基站向当前基站发送该解密密钥,可包括:
若解密成功,源基站向该当前基站发送解密成功信息;该解密成功信息包括:该解密密钥。
该解密成功信息可以称为解密正确(decryptionCorrect)信息。
可选的,该方法还可包括:
若解密失败,该源基站向该当前基站发送解密失败信息。
该解密失败信息可称为解密错误(decryptionError)信息。
而该当前基站在接收到该源基站返回的解密失败信息后,可向终端发送认证失败(authenticationError)信息。
该终端在收到当前基站发送的认证失败信息后,便可与当前基站断开连接,选择另一基站尝试接入,若尝试接入的基站个数大于或等于预设值(例如3个)都无法成功成功解密该加密后的该终端的用户标识,则可确定源基站或是该终端侧保存的密钥丢失,而在此之前尝试接入的多个基站为伪基站的可能性较小。为保证终端可正常接入网络,该终端可选择信号强度最好的基站与其连接连接,继而明文发送该终端的用户标识信息。
本发明提供的该信息传输方法,可在源基站根据解密密钥对该加密后的该终端的用户标识进行解密成功的情况下,再向当前基站发送解密密钥,有效保证信息的安全性,提高通信安全。
本发明还可提供一种信息传输方法。图3为本发明提供的另一种信息传输方法的流程图。如图3所示,该方法可包括:
S301、当前基站向终端发送用户标识请求。
S302、终端向当前基站发送用户标识响应,该用户标识响应可包括源基站的标识、加密后的该终端的IMSI及该加密密钥的信息。
S303、当前基站根据该源基站的标识,确定源基站。
S304、当前基站向源基站发送解密请求,该解密请求包括该加密密钥的信息和该加密后的该终端的IMSI。
S305、源基站根据该加密密钥的信息,确定该加密密钥对应的解密密钥。
S306、源基站根据解密密钥对该加密后的该终端的IMSI进行解密。
若解密成功,可继续执行S307-S309;反之,若解密失败,可继续执行S310-S312。
S307、若解密成功,源基站向当前基站发送解密成功信息;该解密成功信息包括该解密密钥。
S308、当前基站根据该解密密钥对该加密后的该终端的IMSI进行解密,得到该终端的IMSI。
S309、当前基站根据该终端的IMSI执行AKA流程。
S310、若解密失败,源基站向当前基站发送解密失败信息。
S311、当前基站向终端发送认证失败信息。
S312、终端断开与当前基站的连接。
本发明提供的该信息传输方法,可通过具体的实例对上述方法进行举例说明,其具体的实现过程及有益效果可参见上述,在此不再赘述。
本发明还提供一种信息传输装置。图4为本发明提供的一种信息传输装置的结构示意图。该信息传输装置可通过软件和/或硬件的方式集成在终端内。如图4所示,该信息传输装置400可包括:
加密模块401,用于采用预设的加密密钥对终端的用户标识进行加密。
发送模块402,用于向当前基站发送源基站的标识、加密后的该终端的用户标识及该加密密钥的信息;该源基站的标识用于使得该当前基站确定该源基站,将该加密密钥的信息发送至该源基站;该加密密钥的信息用于使得该源基站确定该加密密钥对应的解密密钥,继而将该解密密钥发送至该当前基站;该解密密钥用于使得该当前基站对该加密后的该终端的用户标识进行解密,得到该终端的用户标识。
可选的,该信息传输装置400还可包括:
协商模块,用于在加密模块401采用预设的加密密钥对该终端的用户标识进行加密之前,在终端与该源基站建立连接的情况下,与该源基站协商确定该加密密钥。
可选的,该信息传输装置400还可包括:
更新模块,用于根据预设的时间信息,与该源基站同步更新该加密密钥。
可选的,该信息传输装置400还可包括:
接收模块,用于接收该当前基站发送的身份请求。
发送模块402,具体用于向该当前基站发送身份响应,该身份响应包括:该源基站的标识、该加密后的该终端的用户标识及该加密密钥的信息。
本发明提供的信息传输装置,可执行上述图2或图3中的终端执行的信息传输方法,其具体的实现过程及有益效果可参见上述,在此不再赘述。
本发明还提供一种信息传输装置。图5为本发明提供的另一种信息传输装置的结构示意图。如图5所示,该信息传输装置500可包括:
接收模块501,用于当前基站接收终端发送的源基站的标识、加密后的该终端的用户标识及加密密钥的信息。
确定模块502,用于根据该源基站的标识,确定该源基站。
发送模块503,用于向该源基站发送该加密密钥的信息;该加密密钥的信息用于使得该源基站确定该加密密钥对应的解密密钥。
接收模块501,还用于接收该源基站发送的该解密密钥。
解密秘钥504,用于根据该解密密钥对该加密后的该终端的用户标识进行解密,得到该终端的用户标识。
可选的,发送模块503,还用于向该终端发送身份请求。
接收模块501,具体用于接收终端发送的身份响应,该身份响应包括:该源基站的标识、该加密后的该终端的用户标识及加密密钥的信息。
本发明提供的信息传输装置,可执行上述图2或图3中的当前基站执行的信息传输方法,其具体的实现过程及有益效果可参见上述,在此不再赘述。
本发明还提供一种信息传输装置。图6为本发明提供的又一种信息传输装置的结构示意图。如图6所示,该信息传输装置600可包括:
接收模块601,用于接收当前基站发送的加密密钥的信息。
确定模块602,用于根据该加密密钥的信息,确定该加密密钥对应的解密密钥。
发送模块603,用于向该当前基站发送该解密密钥,该解密密钥用于使得该当前基站对加密后的该终端的用户标识进行解密,得到该终端的用户标识。
可选的,接收模块601,具体用于接收该当前基站发送的该加密密钥的信息和该加密后的所述终端的用户标识。
该信息传输装置600还可包括:
解密模块,用于在发送模块603向该当前基站发送该解密密钥之前,根据该解密密钥对该加密后的该终端的用户标识进行解密。
可选的,发送模块603,具体用于若解密成功,则向该当前基站发送解密成功信息;该解密成功信息包括:该解密密钥。
可选的,发送模块603,还用于若解密失败,则向该当前基站发送解密失败信息。
本发明提供的信息传输装置,可执行上述图2或图3中的源基站执行的信息传输方法,其具体的实现过程及有益效果可参见上述,在此不再赘述。
本发明还提供一种终端。图7为本发明提供的一种终端的结构示意图。如图7所示,该终端700可包括:处理器701和发送器702。处理器701与发送器702连接。
处理器701,用于采用预设的加密密钥对终端的用户标识进行加密。
发送器702,用于向当前基站发送源基站的标识、加密后的该终端的用户标识及该加密密钥的信息;该源基站的标识用于使得该当前基站确定该源基站,将该加密密钥的信息发送至该源基站;该加密密钥的信息用于使得该源基站确定该加密密钥对应的解密密钥,继而将该解密密钥发送至该当前基站;该解密密钥用于使得该当前基站对该加密后的该终端的用户标识进行解密,得到该终端的用户标识。
可选的,处理器701,还用于在采用预设的加密密钥对该终端的用户标识进行加密之前,在终端与该源基站建立连接的情况下,与该源基站协商确定该加密密钥。
可选的,处理器701,还用于根据预设的时间信息,与该源基站同步更新该加密密钥。
可选的,该终端700还可包括:
接收器,用于接收该当前基站发送的身份请求。接收器与处理器701连接。
发送器702,具体用于向该当前基站发送身份响应,该身份响应包括:该源基站的标识、该加密后的该终端的用户标识及该加密密钥的信息。
本发明提供的终端,可执行上述图2或图3中的终端执行的信息传输方法,其具体的实现过程及有益效果可参见上述,在此不再赘述。
本发明还提供一种基站。图8为本发明提供的一种基站的结构示意图。该基站800可以作为当前基站。如图8所示,基站800可包括:接收器801、处理器802和发送器803。接收器801与处理器802连接,处理器802与发送器803连接。
接收器801,用于当前基站接收终端发送的源基站的标识、加密后的该终端的用户标识及加密密钥的信息。
处理器802,用于根据该源基站的标识,确定该源基站。
发送器803,用于向该源基站发送该加密密钥的信息;该加密密钥的信息用于使得该源基站确定该加密密钥对应的解密密钥。
接收器801,还用于接收该源基站发送的该解密密钥。
处理器802,还用于根据该解密密钥对该加密后的该终端的用户标识进行解密,得到该终端的用户标识。
可选的,发送器803,还用于向该终端发送身份请求。
接收器801,具体用于接收终端发送的身份响应,该身份响应包括:该源基站的标识、该加密后的该终端的用户标识及加密密钥的信息。
本发明提供的基站,可执行上述图2或图3中的当前基站执行的信息传输方法,其具体的实现过程及有益效果可参见上述,在此不再赘述。
本发明还提供一种基站。图9为本发明提供的另一种基站的结构示意图。该基站900可以作为源基站。如图9所示,该基站900可包括:接收器901、处理器902和发送器903。接收器901与处理器902连接,处理器902与发送器903连接。
接收器901,用于接收当前基站发送的加密密钥的信息。
处理器902,用于根据该加密密钥的信息,确定该加密密钥对应的解密密钥。
发送器903,用于向该当前基站发送该解密密钥,该解密密钥用于使得该当前基站对加密后的该终端的用户标识进行解密,得到该终端的用户标识。
可选的,接收器901,具体用于接收该当前基站发送的该加密密钥的信息和该加密后的所述终端的用户标识。
处理器902还用于在发送器903向该当前基站发送该解密密钥之前,根据该解密密钥对该加密后的该终端的用户标识进行解密。
可选的,发送器903,具体用于若解密成功,则向该当前基站发送解密成功信息;该解密成功信息包括:该解密密钥。
可选的,发送器903,还用于若解密失败,则向该当前基站发送解密失败信息。
本发明提供的基站,可执行上述图2或图3中的源基站执行的信息传输方法,其具体的实现过程及有益效果可参见上述,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。