CN102917350B - 启用安全密钥的方法,接入网节点、用户设备和系统 - Google Patents
启用安全密钥的方法,接入网节点、用户设备和系统 Download PDFInfo
- Publication number
- CN102917350B CN102917350B CN201110224431.2A CN201110224431A CN102917350B CN 102917350 B CN102917350 B CN 102917350B CN 201110224431 A CN201110224431 A CN 201110224431A CN 102917350 B CN102917350 B CN 102917350B
- Authority
- CN
- China
- Prior art keywords
- key
- descending
- activation time
- information
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种从UMTS和LTE聚合系统切换到UMTS单系统的情况下激活新安全密钥的方法、接入网节点、用户设备以及UL?boosting系统。所述方法包括以下步骤:接收RNC发送的第一下行密钥激活时间参数,根据所述第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;根据第一下行密钥激活时间参数启用新安全密钥;和/或,获取自身的第二上行密钥激活时间参数,并将所述第二上行密钥激活时间参数发送给RNC,以使得所述RNC将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;根据第二上行密钥激活时间参数启用新安全密钥。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及一种启用安全密钥的方法,接入网节点、用户设备以及UMTS和LTE聚合系统(UMTSandLTEBoosting,简称ULboosting)。
背景技术
图1示出了以演进的NodeB(EvolvedNodeB,简称eNB)为锚点的ULBoosting无线通信系统的结构示意图以及切换之后通用移动通信系统(UniversalMobileTelecommunicationSystem,UMTS)单系统的结构示意图。从图1左边可以看到,ULBoosting无线通信系统包括长期演进(LongTermEvolution,LTE)支路(简称:L支路)和通用移动通信系统(UniversalMobileTelecommunicationSystem,UMTS)支路(简称:U支路),其中L支路包括移动管理实体(MobilityManagementEntity,MME)和eNB,而U支路包括无线网络控制器(RadioNetworkController,RNC)以及节点B(NodeB)。当UE检测到L支路的信号变差,而U支路的信号比L支路的信号好,并且UMTS单载波就可以满足数据传输的需要时,可以通过切换实现UE从ULBoosting场景转换到UMTS单系统的场景,即切换为图1右边所示的包括通用无线分组业务(GeneralPacketRadioService,GPRS)服务支持节点(ServingGPRSSupportingNode,SGSN)、RNC以及NodeB的系统。
在上述切换过程的安全处理中,与现有的从演进通用陆地无线接入网(EvolvedUniversalTerrestrialRadioAccessNetwork,E-UTRAN)切换到通用陆地无线接入网(UniversalTerrestrialRadioAccessNetwork,UTRAN)的安全处理过程相同,网络侧的MME为UMTS系统推衍相应的安全密钥,即加密密钥(CipherKey,IK)和完整性保护密钥(IntegrityKey,CK),将安全密钥存储在SGSN中,再下发给RNC。UE收到切换命令之后,会根据相应的安全参数为UMTS系统推衍IK、CK。
在以eNB为锚点的ULBoosting系统切换到U支路单系统的过程中,由于U支路一直存在,切换过程中该U支路的用户面数据持续发送。从而造成切换完成后,由于UE侧与网络侧新密钥启用时间不同步,导致数据无法正确接收。
发明内容
本发明实施例中提供了一种激活新安全密钥的方法、一种接入网节点和一种用户设备,确定切换情况下新密钥开始使用的时间点。
一方面,提供了一种启用新安全密钥的方法,包括:接收RNC发送的第一下行密钥激活时间参数,根据所述第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;根据第一下行密钥激活时间参数启用新安全密钥;和/或,获取自身的第二上行密钥激活时间参数,并将所述第二上行密钥激活时间参数发送给RNC,以使得所述RNC将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;根据第二上行密钥激活时间参数启用新安全密钥。
另一方面,提供了一种启用新安全密钥的方法,包括:获取自身的第一下行密钥激活时间参数,并将所述第一下行密钥激活时间参数发送给UE,以使得所述UE将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步,根据第一下行密钥激活时间参数启用新安全密钥;和/或接收UE发送的第二上行密钥激活时间参数,根据所述第二上行密钥激活时间参数,将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;根据第二上行密钥激活时间参数启用新安全密钥。
另一方面,提供了一种启用新安全密钥的方法,包括:检测聚合系统中的UMTS支路的安全密钥生命周期是否达到预先确定的阈值,若所述UMTS支路的安全密钥生命周期大于所述预先设定的阈值,执行密钥协商过程,生成新安全密钥,删除切换过程中推衍的安全密钥;执行安全模式命令SMC过程,启用新安全密钥。
另一方面,提供了一种启用新安全密钥的方法,包括:检测聚合系统中的UMTS支路的安全密钥生命周期是否达到预先确定的阈值,若所述UMTS支路的安全密钥生命周期达到预先确定的阈值,接入网节点和UE同时启用在切换过程中为U支路所推衍的安全密钥。
另一方面,提供了一种用户设备,包括:收发模块,用于接收RNC发送的第一下行密钥激活时间参数;同步模块,用于根据所述收发模块接收的第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;启用模块,用于根据第一下行密钥激活时间参数启用新安全密钥;和/或获取模块,用于获取自身的第二上行密钥激括时间参数;所述收发模块用于将所述获取模块获取的第二上行密钥激活时间参数发送给RNC;所述启用模块用于根据第二上行密钥激活时间参数启用新安全密钥。
另一方面,提供了一种接入网节点,包括:获取模块,用于获取自身的第一下行密钥激活时间参数;收发模块,用于将所述获取模块获取的所述第一下行密钥激活时间参数发送给UE,以使得所述UE将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步,根据第一下行密钥激活时间参数启用新安全密钥;启用模块,用于根据所述获取模块获取的第一下行密钥激活时间参数启用新安全密钥;所述收发模块用于接收UE发送的第二上行密钥激活时间参数;同步模块,用于根据所述收发模块接收的所述第二上行密钥激活时间参数,将所述获取模块获取的自身下行密钥激活时间与所述收发模块接收的第二上行密钥激活时间参数所表示的时间进行同步;所述启用模块,用于根据所述接收模块接收的第二上行密钥激活时间参数启用新安全密钥。
另一方面,提供了一种接入网节点,包括:检测模块,用于检测聚合系统中的UMTS支路的密钥生命周期是否达到预先确定的阈值;密钥协商触发模块,用于在所述第一检测模块检测所述密钥生命周期大于所述预先设定的阈值时,执行密钥协商过程,生成新安全密钥;密钥删除模块,用于删除切换过程中推衍的安全密钥;安全密钥模块,用于执行安全模式命令SMC过程,启用新安全密钥。
另一方面,提供了一种用户设备,包括:检测模块,用于检测聚合系统中的UMTS支路的密钥生命周期是否达到预先确定的阈值;安全密钥模块,用于在所述检测模块检测到密钥生命周期达到预先确定的阈值时,启用在切换过程中为U支路所推衍的安全密钥。
另一方面,提供了一种ULBoosting系统,包括上述用户设备和接入网节点。
通过本发明实施例的方案,使得接入网节点和用户设备能够同步使用相同的新密钥,避免用户侧与网络侧新密钥激活时间不同步的问题,从而使数据能够正确接收,保证了数据的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了ULBoosting无线通信系统切换到UMTS单系统的结构示意图。
图2示出了根据本发明的一个实施例的方法的示意性流程图。
图3示出了根据本发明的另一个实施例的方法的示意性流程图。
图4示出了在建立有2个SRB情况下ULBoosting系统切换到U支路的流程示意图。
图5示出了根据本发明的一个实施例的方法的示意性流程图。
图6示出了SMC过程的示意性流程图。
图7示出了根据本发明的一个实施例的方法的示意性流程图。
图8示出了在建立有1个SRB情况下ULBoosting系统切换到U支路的流程示意图
图9示出了根据本发明的一个实施例的用户设备的示意性结构图。
图10示出了根据本发明的一个实施例的接入网节点的示意性结构图。
图11示出了根据本发明的一个实施例的接入网节点的示意性结构图。
图12示出了根据本发明的一个实施例的用户设备的示意性结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在从ULBoosting场景转换到UMTS单系统之前,在ULBoosting系统中可以在UMTS支路和LTE支路中分别存在各自的信令承载,即建立有2个信令承载(SignalingRadioBearer,SRB),也可以仅在LTE支路中存在信令承载,即仅有1个SRB。对于这两种不同的情况,存在不同的切换流程。以下将分别基于这两种不同情况描述本发明实施例,但是这两种情况只是本发明举的例子,本发明包括但不限于下述两种场景。
本发明提供了一种激活安全密钥的方法,能够解决UE侧与网络侧密钥激活时间不同步的问题,该方法如下所述:
图2示出了根据本发明的一个实施例的方法的示意性流程图,包括:
201、接收RNC发送的第一下行密钥激活时间参数,根据所述第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;
202、根据第一下行密钥激活时间参数启用新安全密钥;和/或
203、获取自身的第二上行密钥激活时间参数,并将所述第二上行密钥激活时间参数发送给RNC,以使得所述RNC将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;
204、根据第二上行密钥激活时间参数启用新安全密钥。
上述步骤201-204的执行主体可以是用户设备UE。UE通过步骤201、202,实现了在下行方向上自身的下行密钥激活时间与RNC的下行密钥激活时间同步,通过步骤203、204,实现了在上行方向上自身的上行密钥激活时间与RNC的上行密钥激活时间同步。由此,使得RNC和用户设备能够同步使用相同的新密钥,避免用户侧与网络侧新密钥激活时间不同步的问题,从而使数据能够正确接收,保证了数据的安全。在此,并未限定上述步骤的执行顺序,例如也可以是先执行步骤203和204来实现上行方向上的密钥激活时间同步,然后执行步骤201和202来实现下行方向上的密钥激活时间同步,或者也可能是仅仅执行步骤201和202,或仅仅执行步骤203和204,这并不影响本发明的实质。
图3示出了根据本发明的一个实施例的方法的示意性流程图,包括:
301、获取自身的第一下行密钥激活时间参数,并将所述第一下行密钥激活时间参数发送给UE,以使得所述UE将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;
302、根据第一下行密钥激活时间参数启用新安全密钥;和/或
303、接收UE发送的第二上行密钥激活时间参数,根据所述第二上行密钥激活时间参数,将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;
304、根据第二上行密钥激活时间参数启用新安全密钥。
上述步骤301-304的执行主体可以是RNC。RNC通过步骤301和302,实现了在下行方向上自身的下行密钥激活时间与UE的下行密钥激活时间同步,通过步骤303和304,实现了在上行方向上自身的上行密钥激活时间与UE的上行密钥激活时间同步。由此,使得RNC和用户设备能够同步使用相同的新密钥,避免用户侧与网络侧新密钥激活时间不同步的问题,从而使数据能够正确接收,保证了数据的安全。在此,也并未限定上述步骤的执行顺序,例如也可以是先执行步骤303和304来实现上行方向上的密钥激活时间同步,然后执行步骤301和302来实现下行方向上的密钥激活时间同步,或者也可能是仅仅执行步骤301和302,或者仅仅执行步骤303和304,这并不影响本发明的实质。
下面结合具体的其他实施例来对本发明进行进一步阐述。
下面,首先结合现有技术中在2个SRB情况下从ULBoosting切换到UMTS单系统的流程来介绍根据本发明的实施例。
图4示出了在建立有2个SRB情况下ULBoosting系统切换到U支路的流程示意图,该切换过程可以包括:
401:UE向eNB发送RRC测量报告(RRCMeasurementReport)消息。
402:eNB根据UE所发送的RRC测量报告消息所提供的信息来完成切换判决。
其中所述信息可以包括当前小区的属性、邻近小区配置属性和对UE的测量结果等信息。
403:当eNB判决UE应该进行异系统切换时,向核心网(CoreNetwork,CN)发送切换请求(HandoverRequired)消息,触发一次异系统的切换过程。
404:CN在收到切换请求消息之后,为RNC推衍安全密钥,包括推衍加密密钥和完整性保护密钥。
405:CN向RNC发送重定位请求(RelocationRequest)消息,并在RelocationRequest消息中携带安全相关参数,该安全参数可以包括推衍的安全密钥和/或该CN允许RNC使用的推衍密钥的算法列表等。
其中,CN可以包括SGSN和MME,当与基站通信时,该CN可以为MME,当该CN与RNC通信时,该CN为SGSN。
406:RNC在收到RelocationRequest消息之后,存储推衍的安全密钥,并且从CN允许使用的安全算法列表中根据优先级选择RNC合适的推衍密钥的算法。
其中,步骤406中,RNC还可以从CN允许使用的安全算法列表中、根据UE的安全能力(UE所支持的算法)和最高优先级的安全算法来进行选择。
407:RNC向CN发送重定位请求确认(RelocationRequestACK)消息。
408:CN向eNB发送切换命令(HandoverCommand)消息。
409:RNC向UE发送物理信道重配(PhysicalChannelReconfiguration)消息,对UE与eNB之间的物理信道进行重新配置,并利用该物理信道重配消息携带RNC所选择的推衍密钥的算法和下行密钥激活时间参数发送给UE。
UE在接收到RNC发送的下行密钥激活时间参数之后,根据所述下行密钥激活时间参数,将自身的下行密钥激活时间与所述下行密钥激活时间参数所表示的时间进行同步,并根据所述下行密钥激活时间参数启用新安全密钥。
该下行密钥激活时间参数包括下行加密密钥启用时间和下行完整性保护密钥启用时间,具体可以为:
1A.下行加密密钥启用时间
根据本发明的实施例,可以利用PhysicalChannelReconfiguration消息携带含有下行加密密钥启用时间的信息元素(InformationElement,IE),例如,如果IE为“加密模式信息(Cipheringmodeinfo)”,可以利用IE“加密模式信息(Cipheringmodeinfo)”中的包含有“无线承载下行加密激活时间信息(Radiobearerdownlinkcipheringactivationtimeinfo)”IE指示加密密钥启用时间。
其中,下行加密启用时间可以使用数据包的序列号来表明。例如,可以使用附带在IE“Radiobearerdownlinkcipheringactivationtimeinfo”中的“RLC序列号(RLCsequencenumber)”表示。当某个无线承载RBn的下一个第一次传输的RLC协议数据单元(ProtocolDataUnit,PDU)的RLC序列号等于或大于所设置的、表明下行加密启用时间的序列号时,启动新的加密保护。
为了在ULBoosting切换到U支路的情况下使用上述IE,根据本实施列,对IE“Cipheringmodeinfo”的使用条件和IE“Radiobearerdownlinkcipheringactivationtimeinfo”的使用条件进行了设置。具体而言,对于IE“Cipheringmodeinfo”,将其使用条件设置为:当执行SRNS重定位和改变加密算法时,或者从ULBoosting切换到UTRAN时,UTRAN才允许PhysicalChannelReconfiguration消息包括IE“Cipheringmodeinfo”。对于IE“Radiobearerdownlinkcipheringactivationtimeinfo”,将其使用条件设置为:在SecurityModeCommand消息中,以及在PhysicalChannelReconfiguration消息中,UTRAN才允许Cipheringmodeinfo包括IE“Radiobearerdownlinkcipheringactivationtimeinfo”。通过使用条件的上述设置,使得可以在ULBoosting切换到U支路的情况下使用上述IE。
1B.下行完整性保护密钥启用时间
另一方面,根据本发明的实施例,可以利用PhysicalChannelReconfiguration消息携带含有下行完整性保护密钥启用时间的IE。例如,如果IE为下行“完整性保护模式信息(Integrityprotectionmodeinfo)”,可以利用IE“完整性保护模式信息”中的“下行完整性保护激活信息(Downlinkintegrityprotectionactivationinfo)”IE指示完整性保护密钥启用时间。
其中,下行完整性保护密钥的启用时间可以使用消息的序列号来表明。例如,下行完整性保护启用时间可以使用附带在IE“Downlinkintegrityprotectionactivationinfo”中的“RRC序列号(RRCsequencenumber)”表示。当某个无线承载RBn的下一个第一次传输的RRC消息的RRC序列号等于或大于所设置的、表明加密启用时间的序列号时,启动新的完整性保护。
进一步,为了在ULBoosting切换到U支路的情况下使用上述IE,根据本实施列,可以设置IE“Integrityprotectionmodeinfo”的使用条件。具体而言,将其使用条件设置为:当执行SRNS重定位时,或者从ULBoosting切换到UTRAN时,UTRAN才允许PhysicalChannelReconfiguration消息包括IE“Integrityprotectionmodeinfo”。通过使用条件的设置,使得可以在ULBoosting切换到U支路的情况下使用该IE。
410:UE在收到PhysicalChannelReconfiguration消息之后,UE根据其中携带的推衍密钥的算法和下行密钥激活时间参数为UE自己推衍密钥。
411:UE在该PhysicalChannelReconfiguration消息中解释出重新分配的无线信道资源信息,根据所述无线信道资源信息接入UMTS系统小区,并向RNC发送物理信道重配完成(PhysicalChannelReconfigurationComplete)消息,所述PhysicalChannelReconfigurationComplete携带上行密钥激活时间参数。
在此,UE可以获取自身的上行密钥激活时间参数,并将所述上行密钥激活时间参数发送给RNC,以使得所述RNC将自身的上行密钥激活时间与所述上行密钥激活时间参数所表示的时间进行同步,并且根据上行密钥激活时间参数启用新安全密钥。
其中,所述上行密钥激活时间参数包括上行加密密钥启用时间和上行完整性保护密钥启用时间,具体包括:
2A.上行加密密钥启用时间
根据本发明的一个实施方式,可以在PhysicalChannelReconfigurationComplete消息中新添加上行加密密钥启用时间的信息元素,例如,可以添加IE可以为“无线承载上行加密激活时间信息(Radiobeareruplinkcipheringactivationtimeinfo)”。
因此,在进行了上述设置的情况下,可以由UE确定上行链路的加密密钥的启用时间,并将包含上行加密密钥启用时间的信息元素携带在直接发送给RNC的PhysicalChannelReconfigurationComplete消息中。以使得RNC从所接收到的消息中获取所包含的启用时间的信息,并根据所述信息来启用上行链路的新加密密钥。
根据一个实施方式,加密启用时间可以使用数据包的序列号来表明。例如,可以使用附带在新添加的IE“Radiobeareruplinkcipheringactivationtimeinfo”中的“RLC序列号(RLCsequencenumber)”表示。当某个无线承载RBn的下一个第一次传输的RLC协议数据单元(ProtocolDataUnit,PDU)的RLC序列号等于或大于所设置的启、表明加密启用时间的序列号时,启动新的加密保护。
2B.上行完整性保护密钥启用时间
根据本发明的一个实施方式,可以利用PhysicalChannelReconfigurationComplete消息携带IE“上行完整性保护激活信息(UplinkIntegrityprotectionactivationinfo)”来传递上行链路的完整性保护启用时间。为此,可以由UE确定上行链路的完整性保护密钥的启用时间,并将包含有所述启用时间的信息元素携带在直接发送给RNC的PhysicalChannelReconfigurationComplete的消息中。以使得RNC从所接收到的消息中获取所包含的完整性保护密钥启用时间的信息,并根据所述信息来启用上行链路的新完整性保护密钥。
412:RNC向eNB发送连接删除请求(ConnectionDeleteRequest)消息,请求释放与eNB的连接。
413:eNB向RNC发送连接删除响应(ConnectionDeleteResponse)消息,通知RNC释放连接完成。
414:RNC向CN发送切换通知(HandoverNotify)消息,通知切换完成。
通过根据本实施例的方法,在上下行链路分别设置了启用时间,并且UE和RNC在上行和下行方向上都能够得知何时使用新的安全密钥,因此解决了在ULBoosting切换时RNC和UE同步使用安全密钥的问题。
由于密钥的使用时间越长,被攻破的几率越大,系统的不安全指数就会上升。因此,在现有的UMTS系统中,为了保证系统的安全性,对于密钥设置有生命周期(即使用时间长度),也就是START值。举例而言,在RNC中和UE中都保存有相同START值,START值的初值为0。该START值与密钥协商过程相关,一旦START值达到预先设置的阈值,则执行密钥协商过程生成和使用新的密钥。因此,根据本发明的另一个实施例,也可以在图3所示的切换流程之后,利用密钥的生命周期来设置新的安全密钥的启用。
图5示出了根据本发明的一个实施例的方法的示意性流程图,包括:
510:检测聚合系统中的UMTS支路的密钥生命周期是否达到预先确定的阈值。
例如,可以检测是否达到RNC或UE中的START值的预先确定的阈值。在UMTS系统中,运营商会根据自己的策略针对START值设置有阈值。在通信过程中,对于所发送的数据包进行计数,并检测数据包的数目是否达到阈值,例如,可以在UE和RNC中分别设置有32比特的字段,其中高位的20比特是START值,低位的12比特是序列号(SequenceNumber,SN),每发送一个数据包,则SN值加1,当所发送的数据包的数目达到一定数目时,SN值需要向高位进位,使得START值加1,而SN继续从0开始循环。当START值增加达到预先确定的阈值时,即当前的密钥生命周期结束,则此时继续执行步骤420。
如果所发送的数据包的数目并未使得START值达到阈值,则继续使用原有安全密钥。
520:执行密钥协商过程,生成新安全密钥,删除切换过程中推衍的安全密钥。
在该步骤中,由于生成新的安全密钥,而无需使用之前所推衍的安全密钥,因此删除了切换过程中推衍的安全密钥。
530:执行安全模式命令(SecurityModeCommand,SMC)过程,启用新安全密钥。
图6示出了现有技术中的SMC过程的流程图。在利用密钥协商过程生成新安全密钥之后,利用SMC过程来设置上下行激活时间并启用新的安全密钥。具体而言,可以利用SMC消息在下行链路启用新的安全密钥,以及可以利用安全模式完成(SecurityModeComplete,SMP)消息在上行链路启用新的安全密钥。关于具体如何利用所示的SMC过程来启用新的安全密钥,属于本领域技术人员所熟知的内容,在此不详细说明。
由于在现有技术中尚未提出如何保证UE侧与网络侧新密钥启用时间同步,而在根据本发明的上述实施例中,提出了在图4所示的切换流程后,在密钥的生命周期达到阈值之后,执行密钥协商过程和SMC过程,因此保证了UE和RNC能够同步使用相同的密钥,从而避免安全不同步的问题。例如,该密钥协商过程可以是但不限于AKA过程。
根据本发明的一个实施例,也可能的是,在图3所示的切换流程之后,直接执行上述密钥协商过程和SMC过程,启用新安全密钥。
图7示出了根据本发明的另一个实施例的方法的示意性流程图。从图6可见,根据本发明实施例的方法可以包括如下步骤:
710:检测聚合系统中的UMTS支路的密钥生命周期是否达到预先确定的阈值。
例如,可以检测接入网节点或用户设备UE中的START值是否达到预先确定的阈值。关于该步骤的具体描述可以参见前面实施例中的步骤510,因此这里不再赘述。当所发送的数据包的数目达到阈值时,继续执行步骤720。
如果所发送的数据包的数目并未使得START值达到阈值,则继续使用原有安全密钥。
720:接入网节点和UE一起直接启用在切换过程中为U支路所推衍的安全密钥IK、CK,而并不执行密钥协商过程。
由于在现有技术中尚未提出如何保证UE侧与网络侧新密钥启用时间同步,而在根据本发明的上述实施例中,提出了在图4所示的切换流程之后,在密钥的生命周期达到阈值之后直接启用切换过程中推衍的安全密钥,因此通过根据本实施例的方案,保证了UE和RNC能够同步使用相同的密钥,从而避免安全不同步的问题。
下面将具体结合在从以演进的NodeB为锚点的UMTS和LTE聚合系统切换到UMTS单系统之前仅在LTE支路中存在信令承载的切换情况下、即在建立有1个SRB情况下ULBoosting系统切换到U支路的过程阐述根据本发明另一个实施例的方案。
图8示出了在建立有1个SRB情况下ULBoosting系统切换到U支路的流程示意图。
图8所示的实施例与图4所示的实施例类似,不同之处在于:
由于在建立有1个SRB的情况下,不存在直接从RNC到UE的SRB,因此,这里不能像2个SRB的情况下那样将下行链路的安全密钥启用时间直接传递给UE,而需要将包含有该启用时间的信息元素携带在间接发送给UE的消息中。
在建立有1个SRB情况下ULBoosting系统切换到U支路的过程中,在下行方向,RNC在步骤807、808和809中通过重定位请求确认(RelocationRequestACK)消息、切换命令(HandoverCommand)消息和从E-UTRAN切换命令(HOfromE-UTRANCommand)消息与UE通信,而在上行方向,UE可以在步骤811中直接通过切换到UTRAN完成(HOtoUTRANComplete)消息来与RNC通信。因此,可以利用这些消息来设置安全密钥的启用时间。下面对其进行具体描述。
A)加密密钥启用时间
1A.下行链路加密密钥启用时间
由于在下行方向上,需要将包含有该下行加密密钥启用时间的信息元素携带在间接发送给UE的消息中,因此可以由RNC将该启用时间设置在某个信息元素中,并且将该信息元素先通过RelocationRequestACK消息发送给核心网CN,然后由CN通过HandoverCommand消息将该信息元素发送给源eNB,再由源eNB通过HOfromE-UTRANCommand消息发送给UE。UE根据接收到的消息中的该信息来启用新加密密钥。
特别地,根据本发明的一个实施方式,可以由RNC设置下行链路的加密密钥启用时间的信息元素“无线承载下行加密激活时间信息(Radiobearerdownlinkcipheringactivationtimeinfo)”,并将该信息元素放置在信息元素“目标到源透明容器(TargettoSourceTransparentContainer)”中,通过上述一系列消息发送给UE。UE从所接收到的HOfromE-UTRANCommand消息中获取所包含的加密密钥启用时间的信息,并根据所述信息来启用下行链路的新加密密钥。
根据一个实施方式,加密启用时间可以使用数据包的序列号来表明。例如,可以使用附带在IE“Radiobearerdownlinkcipheringactivationtimeinfo”中的“RLC序列号(RLCsequencenumber)”表示。当某个无线承载RBn的下一个第一次传输的RLC协议数据单元(ProtocolDataUnit,PDU)的RLC序列号等于或大于所设置的、表明加密启用时间的序列号时,启动新的加密保护。
2A.上行链路加密密钥启用时间
由于在上行方向,UE可以直接通过HOtoUTRANComplete消息来与RNC通信,因此,可以由UE将启用时间设置在某个信息元素中,并且将该信息元素通过HOtoUTRANComplete消息发送给RNC。RNC根据接收到的消息中的该信息来启用新加密密钥。
特别地,根据本发明的一个实施方式,可以由UE设置上行链路的加密密钥启用时间的信息元素“无线承载上行加密激活时间信息(Radiobeareruplinkcipheringactivationtimeinfo)”,并将该信息元素放置在HOtoUTRANComplete消息中并发送给RNC。RNC从所接收到的HOtoUTRANComplete消息中获取所包含的加密密钥启用时间的信息,并根据所述信息来启用上行链路的新加密密钥。
根据一个实施方式,加密启用时间可以使用数据包的序列号来表明。例如,可以使用附带在IE“Radiobeareruplinkcipheringactivationtimeinfo”中的“RLC序列号(RLCsequencenumber)”表示。当某个无线承载RBn的下一个第一次传输的RLC协议数据单元(ProtocolDataUnit,PDU)的RLC序列号等于或大于所设置的、表明加密启用时间的序列号时,启动新的加密保护。
B)完整性保护密钥启用时间
对于建立有1个SRB的切换情况,针对完整性保护密钥的启用,在切换过程中对于HOfromE-UTRANCommand消息,使用原L支路AS层密钥进行完整性保护;从HOtoUTRANComplete消息开始以及接下来的SRB,都使用新的密钥进行完整性保护。
通过根据本实施例的方法,同样解决了在ULBoosting切换时在建立了1个SRB的情况下RNC和UE同步使用安全密钥的问题。
图9示出了根据本发明实施例的用户设备的示意性结构图。可见,用户设备900包括:收发模块901,用于接收RNC发送的第一下行密钥激活时间参数,和/或用于将所述获取模块获取的第二上行密钥激活时间参数发送给RNC,同步模块902,用于根据所述收发模块接收的第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;启用模块904,用于根据第一下行密钥激活时间参数启用新安全密钥,和/或用于根据第二上行密钥激活时间参数启用新安全密钥;和/或获取模块903,用于获取自身的第二上行密钥激活时间参数。
根据一个实施形式,所述收发模块901接收的第一下行密钥激活时间参数包括下行加密密钥启用时间参数和下行完整性保护密钥启用时间参数。
根据一个实施形式,所述收发模块901进一步用于:接收下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;接收下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间;或者接收下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间。
根据一个实施形式,所述收发模块901接收的第二上行密钥激活时间参数包括上行加密密钥启用时间参数和上行完整性保护密钥启用时间参数。
根据一个实施形式,所述获取模块903具体用于确定上行链路的上行加密密钥启用时间和确定上行链路的上行完整性保护密钥启用时间;所述收发模块901具体用于发送上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间和发送上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间。
根据一个实施形式,所述用户设备还包括:处理模块905,用于当执行SRNS重定位和改变加密算法时,或者从ULBoosting切换到UTRAN时,UTRAN允许PhysicalChannelReconfiguration消息包括IE“Cipheringmodeinfo”;和/或用于当执行SRNS重定位时,或者从ULBoosting切换到UTRAN时,UTRAN允许PhysicalChannelReconfiguration消息包括IE“Integrityprotectionmodeinfo”。
图10示出了根据本发明实施例的接入网节点的示意性结构图。可见,所述接入网节点1000包括:获取模块1001,用于获取自身的第一下行密钥激活时间参数,并将所述第一下行密钥激活时间参数发送给UE;收发模块1002,用于将所述获取模块获取的所述第一下行密钥激活时间参数发送给UE,以使得所述UE将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步,根据第一下行密钥激活时间参数启用新安全密钥,以及用于接收UE发送的第二上行密钥激活时间参数;同步模块1003,用于根据所述收发模块接收的所述第二上行密钥激活时间参数,将所述获取模块获取的自身下行密钥激活时间与所述收发模块接收的第二上行密钥激活时间参数所表示的时间进行同步;以及启用模块1004,用于根据所述获取模块获取的第一下行密钥激活时间参数启用新安全密钥,和用于根据所述接收模块接收的第二上行密钥激活时间参数启用新安全密钥。
根据一个实施形式,所述获取模块1001具体用于确定下行链路的下行加密密钥启用时间和确定下行链路的下行完整性保护密钥启用时间。所述收发模块1002具体用于发送下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;和发送下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间。或者,所述获取模块1001具体用于确定下行链路的下行加密密钥启用时间;所述收发模块1002具体用于发送下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间。
根据一个实施形式,所述收发模块1002具体用于接收上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间;和/或所述收发模块1002具体用于接收上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间。
图11示出了根据本发明一个实施例的接入网节点的示意性结构图。可见,所述接入网节点1100包括:检测模块1101,用于检测聚合系统中的UMTS支路的密钥生命周期是否达到预先确定的阈值;密钥协商触发模块1102,用于在所述密钥生命周期大于所述预先设定的阈值时,执行密钥协商过程,生成新安全密钥;密钥删除模块1103,用于删除切换过程中推衍的安全密钥;以及安全密钥模块1104,用于执行安全模式命令SMC过程,启用新安全密钥。
图12示出了根据本发明一个实施例的用户设备的示意性结构图。可见,所述用户设备1200包括:检测模块1201,用于检测聚合系统中的UMTS支路的密钥生命周期是否达到预先确定的阈值,以及安全密钥模块1202,用于在密钥生命周期达到预先确定的阈值时,启用在切换过程中为U支路所推衍的安全密钥。
关于用户设备和接入网节点的上述特征的具体内容,可以参见前面相应的方法部分,这里不再赘述。
另外,根据本发明的一个实施例,还提出了一种UMTS和LTE聚合系统,其包括上述接入网节点和用户设备。
值得注意的是,上述用户设备和基站实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (23)
1.一种启用新安全密钥的方法,其特征在于,包括:
接收无线网络控制器RNC发送的第一下行密钥激活时间参数,根据所述第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;
根据第一下行密钥激活时间参数启用新安全密钥;
获取自身的第二上行密钥激活时间参数,并将所述第二上行密钥激活时间参数发送给RNC,以使得所述RNC将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;
根据第二上行密钥激活时间参数启用新安全密钥;
其中,所述接收RNC发送的第一下行密钥激活时间参数包括:
接收下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;
接收下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间;
或者
接收下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间。
2.根据权利要求1所述的方法,其特征在于,所述下行完整性保护密钥的启用时间使用消息的序列号来表示。
3.根据权利要求1所述的方法,其特征在于,第二上行密钥激活时间参数包括上行加密密钥启用时间参数和上行完整性保护密钥启用时间参数。
4.根据权利要求3所述的方法,其特征在于,所述获取自身的第二上行密钥激活时间参数,并将所述第二上行密钥激活时间参数发送给RNC包括:
确定上行链路的上行加密密钥启用时间,发送上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间;
确定上行链路的上行完整性保护密钥启用时间,发送上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间。
5.根据权利要求4所述的方法,其特征在于,所述第二上行密钥启用时间使用数据包的序列号来表示。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当执行服务无线网络子系统SRNS重定位和改变加密算法时,或者从通用移动通信系统和长期演进聚合系统ULBoosting切换到通用陆地无线接入网UTRAN时,UTRAN允许物理信道重配消息包括信息元素中的加密模式信息;和/或
执行SRNS重定位时,或者从ULBoosting切换到UTRAN时,UTRAN允许物理信道重配消息包括信息元素中的完整性保护模式信息。
7.一种启用新安全密钥的方法,其特征在于,包括:
获取自身的第二上行密钥激活时间参数,并将所述第二上行密钥激活时间参数发送给RNC,以使得所述RNC将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;
根据第二上行密钥激活时间参数启用新安全密钥;
接收无线网络控制器RNC发送的第一下行密钥激活时间参数,根据所述第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;
根据第一下行密钥激活时间参数启用新安全密钥;
其中,所述获取自身的第二上行密钥激活时间参数,并将所述第二上行密钥激活时间参数发送给RNC包括:
确定上行链路的上行加密密钥启用时间,发送上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间;
确定上行链路的上行完整性保护密钥启用时间,发送上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间。
8.如权利要求7所述的方法,其特征在于,所述接收RNC发送的第一下行密钥激活时间参数包括:
接收下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;
接收下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间;
或者
接收下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间。
9.一种启用新安全密钥的方法,其特征在于,包括:
获取自身的第一下行密钥激活时间参数,并将所述第一下行密钥激活时间参数发送给用户设备UE,以使得所述UE将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;
根据第一下行密钥激活时间参数启用新安全密钥;
接收UE发送的第二上行密钥激活时间参数,根据所述第二上行密钥激活时间参数,将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;
根据第二上行密钥激活时间参数启用新安全密钥;
其中,所述获取自身的第一下行密钥激活时间参数,并将所述第一下行密钥激活时间参数发送给UE包括:
确定下行链路的下行加密密钥启用时间,发送下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;
确定下行链路的下行完整性保护密钥启用时间,发送下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间;
或者
确定下行链路的下行加密密钥启用时间,发送下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间。
10.根据权利要求9所述的方法,其特征在于,所述下行完整性保护密钥的启用时间使用消息的序列号来表示。
11.根据权利要求10所述的方法,其特征在于,第二上行密钥激活时间参数包括上行加密密钥启用时间参数和上行完整性保护密钥启用时间参数。
12.根据权利要求11所述的方法,其特征在于,所述接收UE发送的第二上行密钥激活时间参数包括:
接收上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间;
接收上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间。
13.根据权利要求12所述的方法,其特征在于,所述上行密密钥启用时间使用数据包的序列号来表示。
14.根据权利要求9所述的方法,其特征在于,所述方法还包括:
当执行服务无线网络子系统SRNS重定位和改变加密算法时,或者从通用移动通信系统和长期演进聚合系统ULBoosting切换到通用陆地无线接入网UTRAN时,UTRAN允许物理信道重配消息包括信息元素中的加密模式信息;和/或
当执行SRNS重定位时,或者从ULBoosting切换到UTRAN时,UTRAN允许物理信道重配消息包括信息元素中的完整性保护模式信息。
15.一种启用新安全密钥的方法,其特征在于,包括:
接收UE发送的第二上行密钥激活时间参数,根据所述第二上行密钥激活时间参数,将自身的上行密钥激活时间与所述第二上行密钥激活时间参数所表示的时间进行同步;
根据第二上行密钥激活时间参数启用新安全密钥;
获取自身的第一下行密钥激活时间参数,并将所述第一下行密钥激活时间参数发送给用户设备UE,以使得所述UE将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;
根据第一下行密钥激活时间参数启用新安全密钥;
所述接收UE发送的第二上行密钥激活时间参数包括:
接收上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间;
接收上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间。
16.如权利要求15所述的方法,其特征在于,所述获取自身的第一下行密钥激活时间参数,并将所述第一下行密钥激活时间参数发送给UE包括:
确定下行链路的下行加密密钥启用时间,发送下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;
确定下行链路的下行完整性保护密钥启用时间,发送下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间;
或者
确定下行链路的下行加密密钥启用时间,发送下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间。
17.一种用户设备,其特征在于,包括:
收发模块,用于接收无线网络控制器RNC发送的第一下行密钥激活时间参数;
同步模块,用于根据所述收发模块接收的第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;
启用模块,用于根据第一下行密钥激活时间参数启用新安全密钥;
其中,所述收发模块具体用于:
接收下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;
接收下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间;
或者
接收下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间;
还包括:
获取模块,用于获取自身的第二上行密钥激活时间参数;
所述收发模块,还用于将所述获取模块获取的第二上行密钥激活时间参数发送给RNC;
所述启用模块,还用于根据第二上行密钥激活时间参数启用新安全密钥。
18.如权利要求17所述的用户设备,其特征在于,
所述获取模块,具体用于确定上行链路的上行加密密钥启用时间和确定上行链路的上行完整性保护密钥启用时间;
所述收发模块,具体用于发送上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间和发送上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间。
19.根据权利要求17所述的用户设备,其特征在于,还包括:
处理模块,用于当执行服务无线网络子系统SRNS重定位和改变加密算法时,或者从通用移动通信系统和长期演进聚合系统ULBoosting切换到通用陆地无线接入网UTRAN时,UTRAN允许物理信道重配消息包括信息元素中的加密模式信息;和/或用于当执行SRNS重定位时,或者从ULBoosting切换到UTRAN时,UTRAN允许物理信道重配消息包括信息元素中的完整性保护模式信息。
20.一种用户设备,其特征在于,包括:
获取模块,用于获取自身的第二上行密钥激活时间参数;
收发模块,用于确定上行链路的上行加密密钥启用时间和确定上行链路的上行完整性保护密钥启用时间;
收发模块,用于发送上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间和发送上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间;
所述收发模块,还用于接收无线网络控制器RNC发送的第一下行密钥激活时间参数;
还包括:
同步模块,用于根据所述收发模块接收的第一下行密钥激活时间参数,将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步;
启用模块,用于根据第一下行密钥激活时间参数启用新安全密钥。
21.如权利要求20所述的户设备,其特征在于,
所述收发模块具体用于:
接收下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;
接收下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间;
或者
接收下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间。
22.一种接入网节点,其特征在于,包括:
获取模块,用于获取自身的第一下行密钥激活时间参数;
收发模块,用于将所述获取模块获取的所述第一下行密钥激活时间参数发送给UE,以使得所述UE将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步,根据第一下行密钥激活时间参数启用新安全密钥;
启用模块,用于根据所述获取模块获取的第一下行密钥激活时间参数启用新安全密钥;
所述收发模块用于接收用户设备UE发送的第二上行密钥激活时间参数;
同步模块,用于根据所述收发模块接收的所述第二上行密钥激活时间参数,将所述获取模块获取的自身下行密钥激活时间与所述收发模块接收的第二上行密钥激活时间参数所表示的时间进行同步;
所述启用模块,还用于根据所述收发模块接收的第二上行密钥激活时间参数启用新安全密钥;
其中,所述获取模块具体用于确定下行链路的下行加密密钥启用时间和确定下行链路的下行完整性保护密钥启用时间;
所述收发模块具体用于发送下行加密密钥启用时间的信息元素中的加密模式信息,所述加密模式信息包含无线承载下行加密激活时间信息,所述无线承载下行加密激活时间信息用于指示加密密钥启用时间;和发送下行完整性保护密钥启用时间的信息元素中的完整性保护模式信息,所述完整性保护模式信息携带下行完整性保护激活信息,所述下行完整性保护激活信息用于指示完整性保护密钥启用时间;
或者
所述获取模块具体用于确定下行链路的下行加密密钥启用时间;
所述收发模块具体用于发送下行加密密钥启用时间的信息元素中的目标到源透明容器,所述目标到源透明容器包含无线承载下行加密激活时间信息,所述无线承载下行加密激活信息用于指示加密密钥启用时间。
23.一种接入网节点,其特征在于,包括:
获取模块,用于获取自身的第一下行密钥激活时间参数;
收发模块,用于将所述获取模块获取的所述第一下行密钥激活时间参数发送给UE,以使得所述UE将自身的下行密钥激活时间与所述第一下行密钥激活时间参数所表示的时间进行同步,根据第一下行密钥激活时间参数启用新安全密钥;
启用模块,用于根据所述获取模块获取的第一下行密钥激活时间参数启用新安全密钥;
所述收发模块用于接收用户设备UE发送的第二上行密钥激活时间参数;
同步模块,用于根据所述收发模块接收的所述第二上行密钥激活时间参数,将所述获取模块获取的自身下行密钥激活时间与所述收发模块接收的第二上行密钥激活时间参数所表示的时间进行同步;
所述启用模块,用于根据所述收发模块接收的第二上行密钥激活时间参数启用新安全密钥;
其中,所述收发模块,具体用于接收上行加密密钥启用时间的信息元素,所述信息元素中包含所述上行加密密钥启用时间;
所述收发模块,具体用于接收上行完整性保护密钥的启用时间的信息元素,所述信息元素中包含所述上行完整性保护密钥启用时间。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110224431.2A CN102917350B (zh) | 2011-08-05 | 2011-08-05 | 启用安全密钥的方法,接入网节点、用户设备和系统 |
PCT/CN2012/077444 WO2013020420A1 (zh) | 2011-08-05 | 2012-06-25 | 启用安全密钥的方法,接入网节点、用户设备和系统 |
IN944CHN2014 IN2014CN00944A (zh) | 2011-08-05 | 2012-06-25 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110224431.2A CN102917350B (zh) | 2011-08-05 | 2011-08-05 | 启用安全密钥的方法,接入网节点、用户设备和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102917350A CN102917350A (zh) | 2013-02-06 |
CN102917350B true CN102917350B (zh) | 2015-12-02 |
Family
ID=47615545
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110224431.2A Active CN102917350B (zh) | 2011-08-05 | 2011-08-05 | 启用安全密钥的方法,接入网节点、用户设备和系统 |
Country Status (3)
Country | Link |
---|---|
CN (1) | CN102917350B (zh) |
IN (1) | IN2014CN00944A (zh) |
WO (1) | WO2013020420A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104584605B (zh) * | 2013-07-19 | 2018-01-23 | 华为技术有限公司 | 加密参数处理方法和装置 |
CN106454835A (zh) * | 2015-08-04 | 2017-02-22 | 中兴通讯股份有限公司 | 一种无线接入方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478752A (zh) * | 2009-01-12 | 2009-07-08 | 中兴通讯股份有限公司 | 一种密钥更替方法、系统及设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101123993B1 (ko) * | 2006-04-18 | 2012-04-16 | 인터디지탈 테크날러지 코포레이션 | 무선 통신 보호 방법 및 시스템 |
CN101232736B (zh) * | 2008-02-22 | 2012-02-29 | 中兴通讯股份有限公司 | 用于不同接入系统之间密钥生存计数器的初始化设置方法 |
-
2011
- 2011-08-05 CN CN201110224431.2A patent/CN102917350B/zh active Active
-
2012
- 2012-06-25 IN IN944CHN2014 patent/IN2014CN00944A/en unknown
- 2012-06-25 WO PCT/CN2012/077444 patent/WO2013020420A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478752A (zh) * | 2009-01-12 | 2009-07-08 | 中兴通讯股份有限公司 | 一种密钥更替方法、系统及设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2013020420A1 (zh) | 2013-02-14 |
IN2014CN00944A (zh) | 2015-04-10 |
CN102917350A (zh) | 2013-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101610506B (zh) | 防止网络安全失步的方法和装置 | |
EP2416598B2 (en) | Method, device and system for deducing keys | |
CN111757557B (zh) | 支持接入封闭网络的方法、ue、基站及可读存储介质 | |
CN101779391B (zh) | 具有链路失效恢复的切换方法、用于实现该方法的无线设备及基站 | |
US10091698B2 (en) | Inter-radio access technology handover method, corresponding device, and communications system | |
CN104219722B (zh) | 双连接无线承载的迁移处理、迁移方法及装置 | |
CN101715188B (zh) | 一种空口密钥的更新方法及系统 | |
EP3145245B2 (en) | Active set update (asu) with high speed downlink shared channel (hs-dsch) information | |
CN111465064B (zh) | 一种切换装置及方法 | |
CN107113681A (zh) | 一种信令优化方法和设备 | |
CN103781069A (zh) | 一种双向认证的方法、设备及系统 | |
CN110351894B (zh) | 一种认证ue的方法和设备 | |
CN102223632B (zh) | 一种接入层安全算法同步方法和系统 | |
US20170164244A1 (en) | Path switching method, mobility anchor, and base station | |
CN105828337A (zh) | 一种动态构建虚拟小区的方法和装置 | |
CA3060420A1 (en) | Radio link recovery for user equipment | |
CN105025465A (zh) | 用户终端位置上报方法、基站、移动管理实体及系统 | |
CN101299888A (zh) | 密钥生成方法、切换方法、移动管理实体和用户设备 | |
KR20050044738A (ko) | 하이브리드 통신 네트워크에서 암호화 키를 사용하는 장치및 방법 | |
CN102083063B (zh) | 一种确定as密钥的方法、系统和设备 | |
CN102917350B (zh) | 启用安全密钥的方法,接入网节点、用户设备和系统 | |
CN101645877A (zh) | 密钥衍生函数的协商方法、系统及网络节点 | |
CN101820622B (zh) | 无线通信系统中管理空口映射密钥的方法和系统 | |
CN103379663A (zh) | 重新建立连接的方法及系统 | |
CN102448137B (zh) | 一种重定位方法及其设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |