[发明专利]用于无线网络环境中的控制信息的安全通信的方法和系统

说明书

本发明提供用于在无线网络环境中安全地传递控制信息的方法和系统。当发射站必须向接收站传送控制信息时，发射站确定控制信息属于第一类型还是第二类型。如果控制信息是第二类型的控制信息，则发射站使用为了保护第二类型的控制信息而计算的计数器值、CMAC值和安全密钥来对第二类型的控制信息进行保密。一旦对控制信息进行了保密，发射站就向接收站传送经保密的控制信息。

技术领域

本发明总体上涉及无线通信领域，并且更具体地涉及在无线网络环境中安全地传递控制信息。

背景技术

基于各种标准(例如，基于电气与电子工程师协会(IEEE)802.16e的全球微波接入互操作性(WiMAX)标准和其对IEEE802.16m的演进)的宽带无线网络提供诸如语音、分组数据等等的各种类型的服务。最近，正在考虑基于IEEE 802.16m和IEEE 802.16e的标准来使得能够进行用于诸如智能电网、车辆跟踪、保健等等的应用的机器对机器(M2M)通信。由于其将被用于诸如保健和智能电网之类的许多关键应用，所以安全性是标准的重要需求之一。

在移动站或M2M设备与基站之间交换若干类型的控制信息以彼此通信。典型地，以在M2M设备与基站之间建立的信令连接或流上传送的控制消息的形式来交换控制信息。当前，使用基于密文的消息认证码(CMAC)算法来保护控制消息，其中使用在国家标准与技术协会(NIST)特种出版物 800-38B中描述的CMAC构造来生成8字节的CMAC，并且在于信令连接或流上传输之前将8字节的CMAC附加到控制消息。可选地，也可以对控制消息的内容进行加密。3字节计数器或分组编号(PN)也用于提供针对重放攻击的保护。在传输每个控制消息之后递增计数器。从不重复元组<control security key(控制安全密钥)，PN>。也将用于生成CMAC的安全密钥的序列号与控制消息一起传送。保护控制消息的方法向每个控制消息添加12字节的开销。典型地，在媒体访问控制(MAC)协议数据单元(PDU)中携带使用 CMAC值保护的控制消息。携带受到保护的控制消息的MAC PDU包含MAC 报头和有效载荷。有效载荷包含控制消息，其后是由安全密钥序列号组成的安全信息、保留位、分组编号和CMAC值。

也以作为特殊类型的MAC报头的MAC信令报头的形式来交换控制信息。在MAC PDU中向接收站传送MAC信令报头。能够注意到，携带MAC 信令报头的MAC PDU除MAC信令报头之外不包含任何有效载荷。MAC信令报头在尺寸上非常短(几个字节)，但是携带至关重要的信息。通常，MAC 信令报头的尺寸是6至7字节。MAC信令报头可以包括流标识符字段、类型字段、长度字段和内容字段。流标识符字段指示与MAC信令报头相关联的流标识符。类型字段指示MAC信令报头的类型。长度字段指示MAC信令报头的长度。内容字段携带MAC信令报头的实际内容。当前，以不安全的方式在移动站或M2M设备与基站之间交换MAC信令报头。

发明内容

技术问题

保护控制消息的当前技术不能被应用于MAC信令报头，这是因为与控制信息本身相比，大的开销可能被添加到MAC信令报头的尺寸。

技术方案

根据本公开的一个方面，提供一种在无线通信环境中对控制信息进行保密的方法，该方法包括：在发射站生成用于对第一类型的控制信息进行保密的一个或多个安全密钥和用于对第二类型的控制信息进行保密的一个或多个安全密钥；计算用于第一类型的控制信息的第一类型的计数器和用于第二类型的控制信息的第二类型的计数器；计算用于第一类型的控制信息的、第一类型的基于密文的消息认证码(CMAC)和用于第二类型的控制信息的、第二类型的CMAC；使用为第一类型的控制信息导出的第一类型的CMAC、第一类型的计数器和一个或多个安全密钥来对第一类型的控制信息进行保密；以及使用为第二类型的控制信息导出的第二类型的CMAC、第二类型的计数器和一个或多个安全密钥来对第二类型的控制信息进行保密。