具体实施方式
针对候选架构4中RN Bearer ID数量可能不够使用的问题,本发明实施例提出了两种方案。
方案一、本发明实施例在用户终端发起附着请求后,第一网络侧设备为用户终端配置一个密钥参数,第一网络侧设备和与第一网络侧设备连接的第二网络侧设备分别根据第一网络侧设备配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。由于能够根据接入的用户终端,为每个用户终端分别分配一个不同的密钥,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性
方案二、本发明实施例网络侧设备在需要发送用户终端对应的数据时,根据用户终端对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识,生成密文;其中,扩展的中继节点RN无线承载标识长度不小于6bit。由于能够扩展RN无线承载标识的数量,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
需要说明的是,本发明实施例并不局限于LTE-A系统,其他含有RN设备的系统同样适用本发明实施例。
下面结合说明书附图对本发明实施例作进一步详细描述。
如图1所示,本发明实施例确定密钥的系统包括:第一网络侧设备10和第二网络侧设备20。
第一网络侧设备10,用于在用户终端发起附着请求后,为该用户终端配置一个密钥参数,根据配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对AS密钥。
与第一网络侧设备10连接的第二网络侧设备20,用于根据第一网络侧设备10配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对AS密钥。
如果第一网络侧设备10是RN设备,则第二网络侧设备20是基站(即密钥参数由RN设备生成);
如果第一网络侧设备10是基站,则第二网络侧设备20是RN设备(即密钥参数由基站生成)。
其中,不管RN设备是第一网络侧设备10还是第二网络侧设备20,在RN设备启动时,服务RN设备的MME(Mobility Management Entity,移动性管理实体)会生成一个KeNB(即加密参数),然后将KeNB发送给基站,而RN设备也会生成一个同样的KeNB。
具体的,MME利用Kasme(一个密钥记号,类似KeNB)和NAS COUNT(非接入层计数器值)=0生成KeNB,RN设备由于有和MME一样的Kasme以及NAS COUNT=0,所以可以计算出与MME一样的KeNB。
情况一、第一网络侧设备10是RN设备,第二网络侧设备20是基站。
这种情况下又分为两种不同的处理方式。
方式一、RN设备作为UE启动时,在RN设备、基站、(服务RN的)MME、HSS(Home Subscriber Server,归属用户服务器)之间完成一次认证,RN设备和基站之间共享一个KeNB,RN设备和DeNB之间协商出一个加密算法和完整性算法。
其中,加密算法包括但不限于下列算法中的一种:
空算法、SNOW3G和AES(高级数据加密算法)。
完整性算法包括但不限于下列算法中的一种:
空算法、SNOW3G和AES。
RN设备在用户终端发起附着请求(Attach Request)后,RN设备为该用户终端配置一个密钥参数(UE specific parameter),计算出Un口上针对该用户终端的AS密钥KUn-int(完整性密钥)和KUn-enc(加密密钥)。
具体的,RN设备为用户终端配置一个密钥参数,然后RN设备根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
RN设备为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
RN设备将发起附着请求的用户终端的标识作为该用户终端的密钥参数,比如RN设备可以使用用户终端在建立RRC(Radio Resource Control,无线资源控制)连接时的RRC Connection Request(RRC连接请求)消息中携带的S-TMSI(临时身份)或Random value(随机数)作为用户终端的标识;
RN设备按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数,例如1、2、3.....;
RN设备随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
RN设备在确定用户终端对应的一对AS密钥后,将配置的密钥参数置于初始用户终端消息(Initial UE Message)中,发送给基站。
基站收到初始用户终端消息后,提取出密钥参数,根据与RN设备根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
然后基站将收到的初始用户终端消转发给服务用户终端的MME,并将收到来自该MME的初始上下文建立请求(Initial Context Setup Request)消息转发给RN设备,并且在收到初始上下文建立请求消息后为该用户终端建立PDCP(Packet Data Convergence Protocol,分组数据汇聚协议)实体,并将之前确定的该用户终端的一对AS密钥和与RN设备协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
RN设备收到初始上下文建立请求消息后,为该用户终端建立PDCP实体,并将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
方式二与方式一的不同点在于:
RN设备为该用户终端配置一个密钥参数后,直接将该密钥参数通过初始用户终端消息发送给基站,等收到来自基站的初始上下文建立请求后,再根据密钥参数和加密参数,确定用户终端对应的一对接入层AS密钥。其他过程与方式一相同,在此不再赘述。
情况二、第一网络侧设备10是基站,第二网络侧设备20是RN设备。
RN设备作为UE启动时,与情况一相同需要在RN设备、基站、(服务RN的)MME、HSS之间完成一次认证,RN设备和基站之间共享一个KeNB,RN设备和DeNB之间协商出一个加密算法和完整性算法。
RN设备在用户终端发起附着请求(Attach Request)后,向基站发送初始用户终端消息。
基站将收到的初始用户终端消息转发给服务用户终端的MME,在收到来自MME的初始上下文建立请求消息后,为该用户终端配置一个密钥参数,然后基站根据与RN设备协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与RN设备协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
基站为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
基站将发起附着请求的用户终端的标识作为该用户终端的密钥参数,比如基站可以将初始用户终端消息中携带的S-TMSI或Random value作为用户终端的标识;
基站按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数,比如基站给每个通过RN设备接入基站的用户终端按照时间顺序进行编号,例如1、2、3.....;
基站随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
基站在确定用户终端对应的一对AS密钥后,将配置的密钥参数置于收到的初始上下文建立请求消息中,发送给RN设备。
RN设备在收到初始上下文建立请求消息后,提取出密钥参数,并根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
基站和RN设备在确定用户终端对应的一对AS密钥后,分别为该用户终端建立PDCP实体,并将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
在具体实施过程中,第一网络侧设备10和第二网络侧设备20之间需要发送用户终端对应的数据时(用户终端对应的数据可以是下行发送给用户终端的数据,也可以是上行由用户终端发来的数据),数据发送方还可以根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;其中,扩展的RN无线承载标识长度不小于6bit。
相应的,发送方在发送密文后,接收方会根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
如图2A所示,本发明实施例第一种网络侧设备包括:配置模块100和第一密钥确定模块110。
配置模块100,用于在用户终端发起附着请求后,为用户终端配置一个密钥参数。
第一密钥确定模块110,用于根据配置模块100配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。
如果网络侧设备是RN设备,第一密钥确定模块110可以根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
相应的,本发明实施例的网络侧设备还可以进一步包括:第一发送模块120,如图2B所示。
第一发送模块120,用于在第一密钥确定模块110确定用户终端对应的一对AS密钥后,将配置的密钥参数通过初始用户终端消息发送给基站。
如果述网络侧设备是RN设备,第一密钥确定模块110可以在收到来自基站的初始上下文建立请求消息后,根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
相应的,本发明实施例的网络侧设备还可以进一步包括:第二发送模块130,如图2C所示。
第二发送模块130,用于在配置模块100为用户终端配置一个密钥参数后,将配置的密钥参数通过初始用户终端消息发送给基站。
如果网络侧设备是基站,配置模块可以将收到的来自RN设备的初始用户终端消息转发给服务用户终端的MME,在收到来自MME的初始上下文建立请求消息后,为用户终端配置一个密钥参数;
相应的,第一密钥确定模块110在配置模块为用户终端配置一个密钥参数后,根据与RN设备协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与RN设备协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥;
本发明实施例的网络侧设备还可以进一步包括:第三发送模块140,如图2D所示。
第三发送模块140,用于在第一密钥确定模块110确定用户终端对应的一对AS密钥后,将配置的密钥参数通过初始上下文建立请求消息发送给RN设备。
其中,配置模块100为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
将发起附着请求的用户终端的标识作为该用户终端的密钥参数;
按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数;
随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
其中,本发明实施例网络侧设备还可以进一步包括:第一生成模块150。
第一生成模块150,用于在需要发送用户终端对应的数据时,根据第一密钥确定模块110确定的用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;
其中,扩展的RN无线承载标识长度不小于6bit。
进一步的,本发明实施例网络侧设备在作为接收方时,第一生成模块150还可以根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
如图3A所示,本发明实施例第二种网络侧设备包括:接收模块200和第二密钥确定模块210。
接收模块200,用于接收来自其他网络侧设备为用户终端配置的密钥参数;
第二密钥确定模块210,用于根据接收模块200接收的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。
如果网络侧设备是基站,第二密钥确定模块210可以根据与RN设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与RN设备协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
其中,本发明实施例还可以进一步包括:转发模块220,如图3B所示。
转发模块220,用于在第二密钥模块210确定一对AS密钥后,将收到的来自RN设备的初始用户终端消息转发给服务用户终端的MME,以及将收到来自MME的初始上下文建立请求消息转发给RN设备。
如果网络侧设备是RN设备,本发明实施例的网络侧设备还可以进一步包括:处理模块230,如图3C所示。
处理模块230,用于在用户终端发起的附着请求后,向基站发送初始用户终端消息;
接收模块200接收来自基站的包含密钥参数的初始用户终端消息;
第二密钥确定模块210根据与基站设备协商确定的完整性算法、收到的密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、收到的密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥
其中,本发明实施例的网络侧设备还可以进一步包括:第二生成模块240。
第二生成模块240,用于在需要发送用户终端对应的数据时,根据第二密钥确定模块210确定的用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;
其中,扩展的RN无线承载标识长度不小于6bit。
进一步的,本发明实施例网络侧设备在作为接收方时,第二生成模块240还可以根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
如图4所示,本发明实施例确定密钥的方法包括下列步骤:
步骤401、在用户终端发起附着请求后,第一网络侧设备为用户终端配置一个密钥参数。
步骤402、第一网络侧设备和与第一网络侧设备连接的第二网络侧设备分别根据第一网络侧设备配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。
如果第一网络侧设备是RN设备,则第二网络侧设备是基站(即密钥参数由RN设备生成);
如果第一网络侧设备是基站,则第二网络侧设备是RN设备(即密钥参数由基站生成)。
其中,不管RN设备是第一网络侧设备还是第二网络侧设备,步骤401之前还可以进一步包括:
步骤400、在RN设备启动时,服务RN设备的MME会生成一个KeNB(即加密参数),然后将KeNB发送给基站,而RN设备也会生成一个同样的KeNB。
具体的,MME利用Kasme和NAS COUNT=0生成KeNB,RN设备由于有和MME一样的Kasme以及NAS COUNT=0,所以可以计算出与MME一样的KeNB。
情况一、第一网络侧设备是RN设备,第二网络侧设备是基站。
这种情况下又分为两种不同的处理方式。
方式一、步骤400中,RN设备作为UE启动时,在RN设备、基站、(服务RN的)MME、HSS之间完成一次认证,RN设备和基站之间共享一个KeNB,RN设备和DeNB之间协商出一个加密算法和完整性算法。
步骤401中,RN设备在用户终端发起附着请求(Attach Request)后,RN设备为该用户终端配置一个密钥参数(UE specific parameter),步骤402中,RN设备和基站分别计算出Un口上针对该用户终端的AS密钥KUn-int(完整性密钥)和KUn-enc(加密密钥)。
具体的,步骤401中RN设备为用户终端配置一个密钥参数。
步骤402还可以进一步包括:
步骤a402、RN设备根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
RN设备为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
RN设备将发起附着请求的用户终端的标识作为该用户终端的密钥参数,比如RN设备可以使用用户终端在建立RRC(Radio Resource Control,无线资源控制)连接时的RRC Connection Request(RRC连接请求)消息中携带的S-TMSI或Random value作为用户终端的标识;
RN设备按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数,例如1、2、3.....;
RN设备随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
步骤b402、RN设备在确定用户终端对应的一对AS密钥后,将配置的密钥参数置于初始用户终端消息(Initial UE Message)中,发送给基站。
步骤c402、基站收到初始用户终端消息后,提取出密钥参数,根据与RN设备根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
步骤d402、基站将收到的初始用户终端消转发给服务用户终端的MME,并将收到来自该MME的初始上下文建立请求(Initial Context Setup Request)消息转发给RN设备。
步骤402之后还可以进一步包括:
基站在收到来自MME的初始上下文建立请求消息后为该用户终端建立PDCP(Packet Data Convergence Protocol,分组数据汇聚协议)实体,并将之前确定的该用户终端的一对AS密钥和与RN设备协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护;
RN设备在收到来自基站的初始上下文建立请求消息后,为该用户终端建立PDCP实体,并将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
方式二与方式一的不同点在于:
RN设备为该用户终端配置一个密钥参数后,直接将该密钥参数通过初始用户终端消息发送给基站,等收到来自基站的初始上下文建立请求后,再根据密钥参数和加密参数,确定用户终端对应的一对接入层AS密钥。其他过程与方式一相同,在此不再赘述。
情况二、第一网络侧设备是基站,第二网络侧设备是RN设备。
步骤400中,RN设备作为UE启动时,与情况一相同需要在RN设备、基站、(服务RN的)MME、HSS之间完成一次认证,RN设备和基站之间共享一个KeNB,RN设备和DeNB之间协商出一个加密算法和完整性算法。
步骤401还可以进一步包括:
步骤a401、RN设备在用户终端发起附着请求(Attach Request)后,向基站发送初始用户终端消息。
步骤b401、基站将收到的初始用户终端消息转发给服务用户终端的MME,在收到来自MME的初始上下文建立请求消息后,为该用户终端配置一个密钥参数。
步骤402还可以进一步包括:
步骤e402、基站根据与RN设备协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与RN设备协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
基站为用户终端配置密钥参数的方式包括但不限于下列方式中的一种:
基站将发起附着请求的用户终端的标识作为该用户终端的密钥参数,比如基站可以将初始用户终端消息中携带的S-TMSI或Random value作为用户终端的标识;
基站按照发起附着请求的用户终端的先后顺序为每个用户终端分配一个编号,并将分配的编号作为该用户终端的密钥参数,比如基站给每个通过RN设备接入基站的用户终端按照时间顺序进行编号,例如1、2、3.....;
基站随机生成一个数字,并将生成的数字作为该用户终端的密钥参数。
步骤f402、基站在确定用户终端对应的一对AS密钥后,将配置的密钥参数置于收到的初始上下文建立请求消息中,发送给RN设备。
步骤g402、RN设备在收到初始上下文建立请求消息后,提取出密钥参数,并根据与基站协商确定的完整性算法、密钥参数和预先设定的加密参数,生成完整性密钥,以及根据与基站协商确定的加密算法、密钥参数和预先设定的加密参数,生成加密密钥,并将生成的完整性密钥和加密密钥作为用户终端对应的一对AS密钥。
其中,基站和RN设备在确定用户终端对应的一对AS密钥后,为该用户终端建立PDCP实体,并将之前确定的该用户终端的一对AS密钥和与基站协商好的算法配置到PDCP实体上,启动Un口上针对该用户终端的RN无线承载的安全保护。
在具体实施过程中,第一网络侧设备和第二网络侧设备之间需要发送用户终端对应的数据时(用户终端对应的数据可以是下行发送给用户终端的数据,也可以是上行由用户终端发来的数据),数据发送方还可以根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文;其中,扩展的RN无线承载标识长度不小于6bit。
相应的,发送方在发送密文后,接收方会根据之前确定的用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
其中,接收方和发送方确定的扩展的RN无线承载标识占用的比特数需要相同,具体可以由接收方和发送方直接协商确定,也可以在协议中进行规定。
如图5所示,本发明实施例用户终端附着过程包括下列步骤:
步骤500、RN设备启动,进行认证和协商。
步骤501、用户终端和RN设备之间建立RRC连接。
步骤502、用户终端向RN设备发送附着请求消息。
步骤503、RN设备向基站发送初始用户终端消息。
步骤504、基站向服务用户终端的MME转发初始用户终端消息。
步骤505、服务用户终端的MME与用户终端的SGW/PGW创建承载。
步骤506、服务用户终端的MME向基站返回初始上下文建立请求消息。
步骤507、基站向RN设备转发初始上下文建立请求消息。
步骤508、RN设备与用户终端进行RRC重配置。
步骤509、RN设备向基站发送初始上下文建立请求响应消息。
步骤510、基站向服务用户终端的MME转发初始上下文建立请求响应消息。
步骤511、服务用户终端的MME与用户终端的SGW/PGW进行承载更新。
如图6所示,本发明实施例第三种网络侧设备包括:标识确定模块300和密文确定模块310。
标识确定模块300,用于确定扩展的RN无线承载标识,其中扩展的RN无线承载标识长度不小于6bit;
密文确定模块310,用于在需要发送用户终端对应的数据时,根据用户终端对应的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,生成密文。
进一步的,密文确定模块310还可以将生成的密文发送给接收方。
相应的,在密文确定模块310收到来自其他网络侧设备的密文后,根据用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
本发明实施例的网络侧设备可以是基站,也可以是RN设备。
如图7所示,本发明实施例确定密文的方法包括下列步骤:
步骤701、网络侧设备确定扩展的RN无线承载标识,其中扩展的RN无线承载标识长度不小于6bit。
步骤702、网络侧设备在需要发送用户终端对应的数据时,根据用户终端对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识,生成密文。
其中,步骤702之后还可以进一步包括:
网络侧设备将生成的密文发送给接收方。
在具体实施过程中,如果网络侧设备收到来自其他网络侧设备的密文后,根据用户终端的一对AS密钥、需要发送的数据和扩展的RN无线承载标识,对收到的密文进行安全性检验。
其中,接收方和发送方确定的扩展的RN无线承载标识占用的比特数需要相同,具体可以由接收方和发送方直接协商确定,也可以在协议中进行规定。
如图8A所示,本发明实施例采用扩展RN无线承载标识进行加密的示意图中,发送端利用加密密钥KEY,以及其他参数COUNT、BEARER ID、上下行方向DIRECTION、LENGTH作为输入参数,输入算法EEA中,计算出密钥流KEYSTREAM BLOCK,与明文进行异或操作,生成密文,发送给接收端;接收端收到密文后,利用与发送端相同的参数KEY、COUNT、BEARER ID、DIRECTION、LENGTH,输入加密算法EEA,生成出密钥流KEYSTREAMBLOCK,与收到的密文进行异或操作。
如图8B所示,本发明实施例采用扩展RN无线承载标识进行解密的示意图中,由于接收端使用的参数和发送端一致,所以接收端计算出来的密钥流和发送端用于加密的密钥流是一样的。明文用相同的密钥流进行两次异或操作,相当于没有进行异或操作,所以接收端能够得到一样的明文。
如图9A所示,本发明实施例采用扩展RN无线承载标识进行完整性保护的示意图中,发送端利用完整性密钥KEY,以及其他参数COUNT、上下行方向DIRECTION、BEARER ID和消息本身作为完整性算法的输入,生成一个完整性校验码MAC-I,发送端将消息本身和MAC-I一起发送给接收端。
如图9B所示,本发明实施例采用扩展RN无线承载标识进行完整性检测的示意图中,接收端利用和发送端一样的完整性密钥KEY,以及收到的消息本身和COUNT、BEARER ID、DIRECTION作为完整性算法的输入,计算出一个完整性校验码XMAC-I,与收到的MAC-I进行比较。如果一致,则认为收到的消息和发送的消息是一样的,即没有被修改。
需要说明的是,本发明实施例的方法可以应用在在Un口传输数据的流程中,比如确定一对AS密钥后,可以进行后续的加密和完整性保护过程。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
从上述实施例中可以看出:本发明实施例在用户终端发起附着请求后,第一网络侧设备为用户终端配置一个密钥参数;第一网络侧设备和与第一网络侧设备连接的第二网络侧设备分别根据第一网络侧设备配置的密钥参数和预先设定的加密参数,确定用户终端对应的一对接入层AS密钥。
由于能够根据接入的用户终端,为每个用户终端分别分配一个不同的密钥,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
本发明实施例网络侧设备在需要发送用户终端对应的数据时,根据用户终端对应的一对AS密钥、需要发送的数据和扩展的中继节点RN无线承载标识,生成密文;其中,扩展的RN无线承载标识长度不小于6bit。
由于能够扩展RN无线承载标识的数量,从而在LTE-A系统中当有大量UE接入候选架构4中的RN设备、需要建立多个RN无线承载时,提高了Un口的安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。