CN102958052A - 一种数据安全传输方法及相关设备 - Google Patents

一种数据安全传输方法及相关设备 Download PDF

Info

Publication number
CN102958052A
CN102958052A CN2011102512015A CN201110251201A CN102958052A CN 102958052 A CN102958052 A CN 102958052A CN 2011102512015 A CN2011102512015 A CN 2011102512015A CN 201110251201 A CN201110251201 A CN 201110251201A CN 102958052 A CN102958052 A CN 102958052A
Authority
CN
China
Prior art keywords
website
residential quarter
pci
frequency
security algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011102512015A
Other languages
English (en)
Other versions
CN102958052B (zh
Inventor
常俊仁
李亚娟
张亮亮
张永平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201110251201.5A priority Critical patent/CN102958052B/zh
Priority to PCT/CN2012/079801 priority patent/WO2013029461A1/zh
Publication of CN102958052A publication Critical patent/CN102958052A/zh
Application granted granted Critical
Publication of CN102958052B publication Critical patent/CN102958052B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0083Determination of parameters used for hand-off, e.g. generation or modification of neighbour cell lists
    • H04W36/0085Hand-off measurements
    • H04W36/0094Definition of hand-off measurement parameters

Abstract

本发明实施例公开了一种数据安全传输方法及相关设备,其中,一种数据安全传输包括用户设备UE向第一站点发送第一测量报告消息,所述第一站点为所述UE的当前服务站点;接收所述第一站点返回的小区增加命令消息,所述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及所述新增小区所属的第二站点的安全算法标识符,其中,所述新增小区是所述第一站点基于所述第一测量报告消息确定为所述UE新增的服务小区;基于所述新增小区的PCI和频率、及所述安全算法标识符指示的安全算法,生成安全密钥;利用所述生成的安全密钥与所述第二站点进行数据安全传输。本发明实施例提供的技术方案可实现UE与不同服务站点间的数据安全传输。

Description

一种数据安全传输方法及相关设备
技术领域
本发明涉及通信领域,尤其涉及一种数据安全传输方法及相关设备。
背景技术
为了满足高级国际移动通信(IMT-Advanced,Internation MobileTelecommunication-Advanced)的要求,支持高达1Gbps的峰值数据速率,增强的长期演进系统(LTE-A,Long Term Evolution-Advanced)目前已经同意将载波汇聚(CA,Carrier Aggregation)技术作为其扩展系统带宽的方法。载波汇聚的主要思想就是将多个组成载波(CC,Component Carrier)汇聚成一个较大带宽的载波,以支持高速数据速率。
载波汇聚进一步分为intra-band CA和inter-band CA,对于intra-bandCA,由于汇聚的多个载波处于同一频段,因此其覆盖范围能够保持一致,而对于inter-band CA,如果参与汇聚的两个载波的频段之间相距较远,则这两个载波的覆盖范围也有较大的差别,一般而言,低频段的载波覆盖范围较大,高频段的载波覆盖范围较小。
假设用户设备(UE,User Equipment)处于某小区的中心地带,则UE可同时聚合高低频的载波进行使用,但是,如果UE移动到该小区的边缘地带,高频的载波可能无法覆盖该地带,则UE将无法使用该高频的载波进行数据收发,因此,处于小区边缘的用户相比处于小区中心的用户吞吐量将下降很多。
因此,为了提高小区边缘用户的吞吐量,扩大高频载波的覆盖,可使用中继站来扩大高频载波的覆盖范围,但是,使用中继站扩大高频载波的覆盖范围后,处于小区边缘的UE若想同时使用高频段和低频段的组成载波,则UE需汇聚来自两个不同站点的载波,即低频段的载波来自宏基站,高频段的载波来自中继站,此时需保证UE可同时在宏基站和中继站这两个不同站点间进行数据安全传输。然而,当UE需要与超过一个站点进行数据安全传输时,目前并没有相关的解决方案可保证UE同时在不同站点间进行数据安全传输。
发明内容
本发明实施例提供了一种数据安全传输方法及相关设备,用于实现UE与不同服务站点间的数据安全传输。
为解决上述技术问题,本发明实施例提供以下技术方案:
一种多站点下的数据安全传输方法,包括:
用户设备UE向第一站点发送第一测量报告消息,上述第一站点为上述UE的当前服务站点;
接收上述第一站点返回的小区增加命令消息,上述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及上述新增小区所属的第二站点的安全算法标识符,其中,上述新增小区是上述第一站点基于上述第一测量报告消息确定为上述UE新增的服务小区;
基于上述新增小区的PCI和频率、及上述安全算法标识符指示的安全算法,生成安全密钥;
利用上述生成的安全密钥与上述第二站点进行数据安全传输。
一种多站点下的数据安全传输方法,包括:
第一站点接收用户设备UE发送的第一测量报告消息;
向上述UE发送小区增加命令消息,上述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及上述新增小区所属的第二站点的安全算法标识符,以便于上述UE基于上述新增小区的PCI和频率、以及上述第二站点的安全算法标识符指示的安全算法生成安全密钥,其中,上述新增小区是上述第一站点基于上述第一测量报告消息确定为上述UE新增的服务小区。
一种多站点下的数据安全传输方法,包括:
用户设备UE向第一站点发送第一测量报告消息,上述第一站点为上述UE的当前服务站点;
接收上述第一站点返回的小区增加命令消息,上述小区增加命令消息包含新增小区的物理小区标识PCI和频率,其中,上述新增小区为第二站点覆盖范围内的小区,是上述第一站点基于上述第一测量报告消息确定为上述UE新增的服务小区;
基于上述新增小区的PCI和频率、及上述第一站点使用的安全算法,生成安全密钥;
利用上述安全密钥与上述第二站点进行数据安全传输。
一种多站点下的数据安全传输方法,包括:
第一站点接收用户设备UE发送的第一测量报告消息;
向上述UE发送小区增加命令消息,上述小区增加命令消息包含新增小区的PCI和频率,以便于上述UE基于上述新增小区的PCI和频率,以及上述第一站点使用的安全算法生成安全密钥,其中,上述新增小区是上述第一站点基于上述第一测量报告消息确定为上述UE新增的服务小区。
一种用户设备,包括:
发送单元,用于向第一站点发送第一测量报告消息,上述第一站点为上述用户设备的当前服务站点;
接收单元,用于接收上述第一站点返回的小区增加命令消息,上述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及上述新增小区所属的第二站点的安全算法标识符,其中,上述新增小区是上述第一站点基于上述第一测量报告消息确定为上述用户设备新增的服务小区;
生成单元,用于基于上述新增小区的PCI和频率、及上述安全算法标识符指示的安全算法,生成安全密钥;
传输单元,用于利用上述生成单元生成的安全密钥与上述第二站点进行数据安全传输。
一种网络站点,包括:
接收单元,用于接收用户设备UE发送的第一测量报告消息;
发送单元,用于向上述UE发送小区增加命令消息,上述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及上述新增小区所属的第二站点的安全算法标识符,以便于上述UE基于上述新增小区的PCI和频率、以及上述第二站点的安全算法标识符指示的安全算法生成安全密钥,其中,上述新增小区是上述第一站点基于上述第一测量报告消息确定为上述UE新增的服务小区。
一种用户设备,包括:
发送单元,用于向第一站点发送第一测量报告消息,上述第一站点为上述用户设备的当前服务站点;
接收单元,用于接收上述第一站点返回的小区增加命令消息,上述小区增加命令消息包含新增小区的物理小区标识PCI和频率,其中,上述新增小区是上述第一站点基于上述第一测量报告消息确定为上述用户设备新增的服务小区;
生成单元,用于基于上述新增小区的PCI和频率、及上述第一站点使用的安全算法,生成安全密钥;
传输单元,用于利用上述生成单元生成的安全密钥与上述第二站点进行数据安全传输。
一种网络站点,包括:
接收单元,用于接收用户设备UE发送的第一测量报告消息;
发送单元,用于向上述UE发送小区增加命令消息,上述小区增加命令消息包含新增小区的物理小区标识PCI和频率,以便于上述UE基于上述新增小区的PCI和频率,以及上述网络站点使用的安全算法生成安全密钥,其中,上述新增小区是上述第一站点基于上述第一测量报告消息确定为上述UE新增的服务小区。
由上可见,基于本发明实施例提供的技术方案,一方面,UE在接收到小区增加命令消息后,可依据小区增加命令消息的指示生成安全密钥,利用该安全密钥与新增的站点进行数据安全传输,实现了在小区增加的场景下,UE与新增的服务站点间的数据安全传输;另一方面,当UE需要从当前服务站点切换到两个以上的目标站点时,可依据接收到的切换命令消息的指示,生成用于与该目标站点进行数据安全传输的安全密钥,实现了从当前服务站点切换到多个目标站点时,UE与切换到的目标站点间的数据安全传输。综上,本发明实施例提供的技术方案可实现UE与不同服务站点间的数据安全传输。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1-a为本发明提供的一种数据安全传输方法的一个实施例流程示意图;
图1-b为LTE系统中的安全密钥生成机制的一个实施例流程示意图;
图2为本发明提供的一种数据安全传输方法的另一个实施例流程示意图;
图3为本发明提供的一种数据安全传输方法的再一个实施例流程示意图;
图4为本发明提供的一种数据安全传输方法的再一个实施例流程示意图;
图5为本发明提供的一种数据安全传输方法的再一个实施例流程示意图;
图6为本发明提供的一种数据安全传输方法的再一个实施例流程示意图;
图7为本发明提供的一种数据安全传输方法的再一个实施例流程示意图;
图8为本发明提供的一种数据安全传输方法的再一个实施例流程示意图;
图9为本发明提供的一种数据安全传输方法的再一个实施例流程示意图;
图10为本发明提供的一种用户设备的一个实施例结构示意图;
图11为本发明提供的一种网络站点的一个实施例结构示意图。
具体实施方式
本发明实施例提供了一种数据安全传输方法及相关设备。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面以UE为描述主体,对本发明实施例中的一种数据安全传输方法进行描述,请参阅图1-a,一种数据安全传输方法的一个实施例包括:
101、UE向第一站点发送第一测量报告消息;
其中,上述第一站点为UE的当前服务站点。
在实际应用中,UE需要增加新的服务小区时,其可对第一站点下的小区或第一站点的邻居站点下的小区进行测量,并通过第一测量报告消息将测量结果发送给第一站点。第一站点基于该第一测量报告消息以及该UE的业务量等信息对该UE待新增的服务小区进行判决,以确定为该UE新增的服务小区。
需要说明的是,在UE接入第一站点时,UE与第一站点间可利用LTE系统定义的密钥生成机制生成安全密钥,则UE在从第一站点切换到其它站点之前,可利用该安全密钥与第一站点进行数据安全传输,具体的,该密钥生成机制可如图1-b所示:
S1.当UE接入第一站点时,UE和移动性管理实体(MME,MobilityManagement Entity)生成相同的基础密钥KASME
S2.UE和MME基于KASME进一步派生出中间密钥KeNB,第二密钥NASkey和下跳(NH,Next Hop)参数值;
具体的,如何从KASME派生KeNB的过程在现有技术中已有描述,此处以一个具体示例做简略描述如下:
首先确定如下参数:
-FC=0x11;
-P0=上行非接入层COUNT,这里COUNT值由数据包的超帧号和序列号组成;
-L0=上行非接入层COUNT值的长度;
然后将上述参数组合成一个输入链S;
最后,根据HMAC-SHA-256密钥衍生函数计算得到:
KeNB=HMAC-SHA-256(KASME,S)。
其中,HMAC-SHA-256密钥衍生函数由IETF RFC 2104(1997)和ISO/IEC10118-3:2004标准规定。
具体地,从KASME派生出NH值的方法如下:
首先确定如下参数:
-FC=0x12;
-P0=SYNC-输入,该参数在第一次生成NH时取新的KeNB,在随后的NH生成中,总是取前一个NH值;
-L0=SYNC-输入的长度值;
然后将上述参数组合成一个输入链S;
最后,根据HMAC-SHA-256密钥衍生函数计算得到:
NH=HMAC-SHA-256(KASME,S)。
其中,HMAC-SHA-256密钥衍生函数由IETF RFC 2104(1997)和ISO/IEC10118-3:2004标准规定。
S3.MME将生成的KeNB,NASkey和NH参数值发送第一站点;
S4.UE根据KeNB和第一站点使用的安全算法生成安全密钥,其中,安全密钥包括KUPenc、KCPenc和KCPint,其中,KUPenc用于用户面数据的加密,KCPenc用于控制信令的加密,KCPint用于控制信令的完整性保护;
S5.第一站点根据KeNB和第一站点使用的安全算法生成安全密钥,同样的,安全密钥包括KUPenc,KCPenc和KCPint
S6.UE和第一站点利用生成的安全密钥进行数据安全传输。
102、接收第一站点返回的小区增加命令消息;
UE接收第一站点返回的小区增加命令消息,其中,该小区增加命令消息中包含新增小区的物理小区标识(Physic,Physical Cell Identity)和频率,以及第二站点的安全算法标识符。
在本发明实施例中,第一站点基于上述第一测量报告消息决定将第二站点下的小区作为该UE新增的服务小区,为便于描述,下面将第一站点确定为该UE新增的小区称为新增小区。第一站点可基于新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的第一中间密钥(下面以KeNB替代)生成第二中间密钥(下面以KeNB*替代),或者,第一站点可基于新增小区的PCI和频率,以及第一站点当前的NH参数值生成KeNB*,具体的,第一站点是基于KeNB还是NH参数值来生成KeNB*取决于第一站点本地维护的下跳链计数器(NCC,Next Hop Chaining Count)的计数值,若NCC的计数值溢出,则第一站点基于NH参数值来生成KeNB*,若未溢出,则基于KeNB来生成KeNB*,具体地,基于新增小区的PCI和频率,以及KeNB,或者,基于新增小区的PCI和频率,以及NH生成KeNB*的过程可参见现有技术,此处以一个示例进行描述,如下:
首先确定输入参数:
-FC=0x13;
-P0=新增小区的PCI;
-L0=目标小区的PCI长度;
-P1=目标小区的频率EARFCN-DL;
-L1=目标小区的频率EARFCN-DL的长度;
然后将上述参数组合成一个输入链S;
最后,根据HMAC-SHA-256密钥衍生函数计算得到:
KeNB*=HMAC-SHA-256(KeNB,S)或者KeNB*=HMAC-SHA-256(NH,S)
其中,HMAC-SHA-256密钥衍生函数由IETF RFC 2104(1997)和ISO/IEC10118-3:2004标准规定。
在生成KeNB*之后,第一站点将KeNB*发送给第二站点,第二站点可基于KeNB*和第二站点使用的安全算法生成安全密钥,并向第一站点返回其使用的安全算法的安全算法标识符,第一站点接收到第二站点返回的安全算法标识符后,向该UE发送小区增加命令消息,指示该UE生成与第二站点进行数据安全传输的安全密钥。
可理解的是,在实际应用中,上述新增小区可能有多个,则第一站点可基于多个新增小区的PCI和频率生成多个KeNB*,并将多个KeNB*发送给第二站点,由第二站点基于多个KeNB*生成多套安全密钥。由于UE与同一站点下的不同小区可共用一套安全密钥进行数据安全传输,因此,第一站点在发送给该UE的小区增加命令消息中,可指示确定用于生成安全密钥的一个新增小区的PCI和频率,此外,小区增加命令消息中可以携带多个其它的新增小区的PCI和频率。或者,第二站点也可基于多个KeNB*中的一个生成安全密钥,并通过消息通知第一站点生成安全密钥所使用的KeNB*,第一站点将生成该KeNB*的新增小区的PCI和频率发送给UE,此处不作限定。
在一种应用场景下,第一站点也可在接收到第二站点返回的安全算法标识符后,利用KeNB*和第二站点的安全算法标识符指示的安全算法更新安全密钥,以便于此后利用该安全密钥与该UE进行数据安全传输。
在一种应用场景下,在第一站点确定新站点(如第二站点)加入时,由于安全密钥的更新会导致该UE当前的服务小区也都要暂停工作以暂停与第一站点的数据安全传输,因此,第一站点可在小区增加命令消息中携带传输暂停时间,以使得UE可在该传输暂停时间指示的时间段内暂停与该第一站点进行数据安全传输,或者,第一站点也可不在小区增加命令消息中携带传输暂停时间,UE在接收到该小区增加命令消息后时,在预置的时间段内暂停与第一站点进行数据安全传输,或者,UE也可在成功获取上述新增小区的上行同步后暂停与第一站点进行数据安全传输,在安全密钥成功生成后重新恢复与第一站点进行数据安全传输,此处不作限定。需要说明的是,上述数据安全传输指的是需要加密和/或完整性保护的数据传输。
103、基于上述新增小区的PCI和频率、及上述安全算法标识符指示的安全算法,生成安全密钥;
当UE接收到来自第一站点发送小区增加命令消息后,可依据该小区增加命令消息的指示,基于小区增加命令消息指示的用于生成安全密钥的一个新增小区的PCI和频率,以及第二站点的安全算法标识符指示的安全算法生成安全密钥。具体的,生成安全密钥的步骤可包括:
UE判断本地维护的NCC的计数值是否溢出,若是,则根据上述新增小区的PCI和频率,以及UE当前的NH参数值,生成KeNB*,若否,则根据上述新增小区的PCI和频率,以及UE当前进行数据安全传输使用的第一中间密钥生成KeNB*
利用第二站点的安全算法标识符指示的安全算法,及生成的KeNB*生成安全密钥(如包括KUPenc2、KCPenc2和KCPint2),具体地,生成安全密钥过程可参见现有技术,此处以一个示例进行描述,如下:
首先,确定如下参数:
-FC=0x15;
-P0=算法类似识别值(由表1确定);
-L0=算法类似识别值的长度;
-P1=算法标识符;
-L1=算法标识符长度;
表1
  算法类似识别值   值
  RRC加密算法   0x03
  RRC完整性保护算法   0x04
  用户面数据加密算法   0x05
然后将上述参数组合成一个输入链S;
最后,根据HMAC-SHA-256密钥衍生函数计算得到:
安全密钥=HMAC-SHA-256(KeNB*,S)
这里,针对表1取不同的参数,可以分别根据上面公式得到KUPenc2,即用户面加密密钥,KCPenc2,即控制面RRC加密密钥,以及KCPint2,即控制面RRC完整性保护密钥。
其中,HMAC-SHA-256密钥衍生函数由IETF RFC 2104(1997)和ISO/IEC10118-3:2004标准规定。
104、利用生成的安全密钥与第二站点进行数据安全传输。
当步骤103生成安全密钥之后,UE可利用该安全密钥与第二站点进行数据安全传输。
可理解,若第一站点没有更新与该UE用于进行数据安全传输的安全密钥,则该UE与第一站点仍沿用原有的安全密钥进行数据安全传输,若第一站点在接收到第二站点返回的安全算法标识符后,也基于KeNB*和第二站点的安全算法标识符指示的安全算法更新了安全密钥,则UE可利用步骤103生成的安全密钥与第一站点进行数据安全传输。
上述第一站点和第二站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,一方面,UE在接收到小区增加命令消息后,可依据小区增加命令消息的指示生成安全密钥,利用该安全密钥与新增的站点进行数据安全传输,使得UE可在与原有的服务站点进行数据安全传输的同时,也可与新增的站点进行数据安全传输,实现了UE与不同服务站点间的数据安全传输。
下面以第一站点为描述主体,对本发明实施例中的一种数据安全传输方法进行描述,请参阅图2,一种数据安全传输方法另一个实施例包括:
201、第一站点接收UE发送的第一测量报告消息;
在实际应用中,当UE需要增加新的服务小区时,其可对第一站点下的小区或第一站点的邻居站点下的小区进行测量,并通过第一测量报告消息将测量结果发送给第一站点。
当接收到来自UE发送的第一测量报告消息后,第一站点可基于该第一测量报告消息以及该UE的业务量等信息对该UE待新增的服务小区进行判决,以确定为该UE新增的服务小区。
在本发明实施例中,第一站点基于上述第一测量报告消息决定将第二站点下的小区作为该UE新增的服务小区,为便于描述,下面将第一站点确定为该UE新增的小区称为新增小区。第一站点可基于新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的第一中间密钥(下面以KeNB替代)生成第二中间密钥(下面以KeNB*替代),或者,第一站点可基于新增小区的PCI和频率,以及第一站点当前的NH参数值生成KeNB*,具体的,第一站点是基于KeNB还是NH参数值来生成KeNB*取决于第一站点本地维护的NCC的计数值,若NCC的计数值溢出,则第一站点基于NH参数值来生成KeNB*,若未溢出,则基于KeNB来生成KeNB*
进一步的,第一站点可在生成KeNB*后,将KeNB*携带在小区增加请求消息中发送给第二站点,请求第二站点为该UE提供服务。第二站点在接收到该小区增加请求消息后,可向第一站点返回小区增加请求确认消息,并在小区增加请求确认消息中携带其使用的安全算法的安全算法标识符,并可基于KeNB*及其使用的安全算法生成安全密钥,以便在UE后续生成该安全密钥后,可利用该安全密钥与第二站点进行数据安全传输。
在实际应用中,上述新增小区可能有多个,则第一站点可基于多个新增小区的PCI和频率生成多个KeNB*,并将多个KeNB*携带在小区增加请求消息发送给第二站点,由第二站点基于多个KeNB*生成多套安全密钥,或者,由第二站点从多个KeNB*选择一个KeNB*,基于所选的KeNB*来生成安全密钥。
在一种应用场景下,第二站点可在上述小区增加请求确认消息中包含第二站点的安全算法标识符,或者,也可通过其它独立消息将第二站点的安全算法标识符传输给第一站点,此处不作限定。
在一种应用场景下,第一站点可在接收到第二站点返回的第二站点的安全算法标识符之后,利用KeNB*和第二站点的安全算法标识符指示的安全算法更新安全密钥,以便于此后利用该安全密钥与该UE进行数据安全传输。
202、向UE发送小区增加命令消息;
第一站点在接收到第二站点返回的小区增加请求确认消息后,向UE发送小区增加命令消息,指示UE生成与第二站点进行数据安全传输的安全密钥,并在小区增加命令消息中携带用于生成安全密钥的一个新增小区的PCI和频率,以及第二站点的安全算法标识,以便UE基于该新增小区的PCI和频率,以及第二站点的安全算法标识符指示的安全算法生成安全密钥。
可理解的是,在实际应用中,上述新增小区可能有多个,由于UE与同一站点下的不同小区可共用一套安全密钥进行数据安全传输,因此,第一站点在发送给该UE的小区增加命令消息中,可指示确定用于生成安全密钥的一个新增小区的PCI和频率,此外,小区增加命令消息中可以携带多个其它的新增小区的PCI和频率,或者,在获知第二站点用于生成安全密钥的KeNB*后,将生成该KeNB*的新增小区的PCI和频率发送给UE,此处不作限定。
在一种应用场景下,在第一站点确定第二站点加入时,由于安全密钥的更新会导致该UE当前的服务小区也都要暂停工作以暂停与第一站点的数据安全传输,因此,第一站点可在小区增加命令消息中携带传输暂停时间,以使得UE可在该传输暂停时间指示的时间段内暂停与该第一站点进行数据安全传输,或者,第一站点也可不在小区增加命令消息中携带传输暂停时间,UE在接收到该小区增加命令消息后时,在预置的时间段内暂停与第一站点进行数据安全传输,或者,UE也可在成功获取上述新增小区的上行同步后暂停与第一站点进行数据安全传输,在安全密钥成功生成后重新恢复与第一站点进行数据安全传输,此处不作限定。需要说明的是,上述数据安全传输指的是需要加密和/或完整性保护的数据传输。
上述第一站点和第二站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,一方面,UE在接收到小区增加命令消息后,可依据小区增加命令消息的指示生成安全密钥,利用该安全密钥与新增的站点进行数据安全传输,使得UE可在与原有的服务站点进行数据安全传输的同时,也可与新增的站点进行数据安全传输,实现了UE与不同服务站点间的数据安全传输。
为便于更好的理解本发明技术方案,下面以一应用场景对本发明实施例中的一种数据安全传输方法进行描述,在此应用场景下第一站点不更新安全密钥,请参阅图3,包括:
301、UE接入第一站点,此时,UE和MME生成相同的基础密钥KASME
302、UE和MME基于KASME进一步派生出中间密钥KeNB,第二密钥NASkey和NH参数值。
303、MME将生成的KeNB,NASkey和NH参数值发送第一站点。
304、UE根据KeNB和第一站点使用的安全算法生成安全密钥0,其中,安全密钥0包括KUPenc、KCPenc和KCPint
305、第一站点根据KeNB和第一站点使用的安全算法生成安全密钥0。
306、UE和第一站点利用生成的安全密钥0进行数据安全传输。
307、UE向第一站点发送第一测量报告消息。
308、第一站点接收到UE发送的第一测量报告消息后,基于该第一测量报告消息及该UE的业务量等信息决定将第二站点下的小区作为该UE新增的服务小区,判断本地维护的NCC的计数值是否溢出,若是,则第一站点根据确定的新增小区的PCI和频率,以及第一站点当前的NH参数值生成第二中间密钥(下面以KeNB*替代),若否,则第一站点根据确定的新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的第一中间密钥(下面以KeNB替代)生成KeNB*
309、向第二站点发送小区增加请求消息;
第一站点向第二站点发送小区增加请求消息,请求第二站点为该UE提供服务,其中,小区增加请求消息中携带步骤308生成的KeNB*
310、第二站点接收来自第一站点的小区增加请求消息后,向第一站点返回小区增加请求确认消息,并可在小区增加请求确认消息中携带一个黑盒子,黑盒子中包含第二站点使用的安全算法的安全算法标识符。
311、第一站点接收到该小区增加请求消息后,不解析黑盒子中的内容,向UE发送小区增加命令消息,并在小区增加命令消息中携带上述黑盒子,即,将第二站点的安全算法标识符携带在该小区增加命令消息中,同时,在小区增加命令消息中携带用于生成第二安全密钥的新增小区的PCI和频率。
312、UE接收到小区增加命令消息后,判断本地维护的NCC的计数值是否溢出,若是,则根据小区增加命令消息中的新增小区的PCI和频率,以及该UE当前的NH参数值生成KeNB*,若否,则根据小区增加命令消息中的新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的KeNB生成KeNB*
313、UE与第二站点基于KeNB*和第二站点使用的安全算法生成安全密钥1,其中,安全密钥1包括KUPenc2、KCPenc2和KCPint2
可理解,UE可由小区增加命令消息中携带的第二站点的安全算法标识符获知第二站点使用的安全算法。
314、UE使用安全密钥0与第一站点进行数据安全传输,使用安全密钥1与第二站点进行数据安全传输。
需要说明的是,在步骤313中,第二站点基于KeNB*和第二站点使用的安全算法生成安全密钥1的动作可在步骤309至步骤313中的任意时刻进行,而不严格限制在步骤313中进行。
上述第一站点和第二站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,一方面,UE在接收到小区增加命令消息后,可依据小区增加命令消息的指示生成安全密钥,利用该安全密钥与新增的站点进行数据安全传输,使得UE可在与原有的服务站点进行数据安全传输的同时,也可与新增的站点进行数据安全传输,实现了UE与不同服务站点间的数据安全传输。
为便于更好的理解本发明技术方案,下面以一应用场景对本发明实施例中的一种数据安全传输方法进行描述,在此应用场景下第一站点更新安全密钥,请参阅图4,包括:
401、UE接入第一站点,此时,UE和MME生成相同的基础密钥KASME
402、UE和MME基于KASME进一步派生出中间密钥KeNB,第二密钥NASkey和NH参数值。
403、MME将生成的KeNB,NASkey和NH参数值发送第一站点。
404、UE根据KeNB和第一站点使用的安全算法生成安全密钥0,其中,安全密钥0包括KUPenc、KCPenc和KCPint
405、第一站点根据KeNB和第一站点使用的安全算法生成安全密钥0。
406、UE和第一站点利用生成的安全密钥0进行数据安全传输。
407、UE向第一站点发送第一测量报告消息。
408、第一站点接收到UE发送的第一测量报告消息后,基于该第一测量报告消息及该UE的业务量等信息决定将第二站点下的小区作为该UE新增的服务小区,判断本地维护的NCC的计数值是否溢出,若是,则根据确定的新增小区的PCI和频率,以及第一站点当前的NH参数值生成第二中间密钥(下面以KeNB*替代)。若否,则根据确定的新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的第一中间密钥(下面以KeNB替代)生成KeNB*
409、向第二站点发送小区增加请求消息;
第一站点向第二站点发送小区增加请求消息,请求第二站点为该UE提供服务,其中,小区增加请求消息中携带步骤408生成的KeNB*
410、第二站点接收来自第一站点的小区增加请求消息后,向第一站点返回小区增加请求确认消息,并可在小区增加请求确认消息中携带第二站点使用的安全算法的安全算法标识符。
411、第一站点接收到该小区增加请求消息后,向UE发送小区增加命令消息,并在小区增加命令消息中携带第二站点的安全算法标识符,及用于生成第二安全密钥的新增小区的PCI和频率。
412、UE接收到小区增加命令消息后,判断本地维护的NCC的计数值是否溢出,若是,则根据小区增加命令消息中的新增小区的PCI和频率,以及该UE当前的NH参数值生成KeNB*,若否,则根据小区增加命令消息中的新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的KeNB生成KeNB*
413、UE,第一站点和第二站点基于KeNB*和第二站点使用的安全算法生成安全密钥1,其中,安全密钥1包括KUPenc2、KCPenc2和KCPint2
可理解,UE、第一站点可由第二站点的安全算法标识符获知第二站点使用的安全算法。
414、UE使用安全密钥1与第一站点和第二站点进行数据安全传输。
需要说明的是,在步骤413中,第一站点生成安全密钥1的动作可在步骤411至步骤413中的任意时刻进行,第二站点生成安全密钥1的动作可在步骤410至步骤413中的任意时刻进行,而不严格限制在步骤413中进行。
上述第一站点和第二站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,一方面,UE在接收到小区增加命令消息后,可依据小区增加命令消息的指示生成安全密钥,利用该安全密钥与新增的站点进行数据安全传输,使得UE可在与原有的服务站点进行数据安全传输的同时,也可与新增的站点进行数据安全传输,实现了UE与不同服务站点间的数据安全传输。
在一种应用场景下,由于UE本身的移动或者信号的变化,UE可能需要从当前服务站点切换到其它站点下工作,例如,UE在移动的过程中,可能需要从“第一站点+第二站点”的数据传输模式切换到“第一目标站点+第二目标站点”的数据传输模式。假设第一站点负责该UE的切换控制,且UE使用不同的安全密钥分别与第一站点和第二站点进行数据安全传输,则在此场景下的安全密钥生成过程可如图5所示:
501、UE向第一站点发送第二测量报告消息。
502、第一站点基于第二测量报告消息作出切换决定,决定将该UE切换到第一目标站点和第二目标站点下工作。
503、第一站点向第二站点发送切换指示消息,并在该切换指示消息中携带第二目标小区的PCI和频率,其中,该第二目标小区是第一站点基于上述第二测量报告消息决定将该UE切换到的小区,其可以是第一目标站点下的小区,或者是第二目标站点下的小区,此处不作限定。
504、第二站点基于切换指示消息中的第二目标小区的PCI和频率生成第四中间密钥(下面以KeNB*2替代),具体的,第二站点生成KeNB*2的过程可如下:判断本地维护的NCC的计数值是否溢出,若是,则根据第二目标小区的PCI和频率,以及第二站点当前的NH参数值,生成第四中间密钥,若否,则根据第二目标小区的PCI和频率,以及上述第二中间密钥(下面以KeNB*替代)生成KeNB*2
505、第二站点向第一站点发送切换指示反馈消息,该切换指示反馈消息中携带有步骤504生成的KeNB*2
506、第一站点基于第一目标小区PCI和频率生成第三中间密钥(下面以KeNB*1替代),具体的,第一站点生成KeNB*1的过程可如下:判断本地维护的NCC的计数值是否溢出,若是,则根据第一目标小区的PCI和频率,以及第一站点当前的NH参数值,生成KeNB*1,若否,则根据第一目标小区的PCI和频率,以及上述第一中间密钥(下面以KeNB替代)生成KeNB*1
507、第一站点将KeNB*1和KeNB*2分别发送给第一目标站点和第二目标站点;
在实际应用中,第一站点可通过切换请求消息将KeNB*1和KeNB*2发送给第一目标站点和第二目标站点,或者,也可以通过其它独立消息将KeNB*1和KeNB*2发送给第一目标站点和第二目标站点。
需要说明的是,本发明实施例中第一目标站点和第二目标站点允许该UE进行切换,在实际应用中,第一目标站点和第二目标站点也有可能不允许该UE切换到其站点下进行工作,具体的,最终是否允许该UE切换到第一目标站点和第二目标站点,可由第一目标站点和第二目标站点经过消息协商方式进行决定,也可由其中一个站点作为控制站点作出决定,此处不作限定。
508、获取第一目标站点和第二目标站点的安全算法标识符;
第一目标站点和第二目标站点可在确定允许UE切换到其站点下后,向第一站点返回切换请求确认消息,在该切换请求确认消息中携带第一目标站点和第二目标站点的安全算法标识符。可理解的是,第一目标站点和第二目标站点可各自向第一站点返回切换请求确认消息,并在各自返回的切换请求确认消息中携带本地使用的安全算法的安全算法标识符,或者,也可以由其中一个站点作为控制站点向第一站点发送切换请求确认消息,在该切换请求确认消息中携带第一目标站点和第二目标站点的安全算法标识符,或者,也可以在第一目标站点和第二目标站点经过协商后,由其中一个站点向第一站点返回切换请求确认消息,在该切换请求确认消息中携带第一目标站点和第二目标站点的安全算法标识符,此处不作限定。第一站点可从接收到的切换请求确认消息中获取第一目标站点和第二目标站点的安全算法标识符,或者,第一站点可以通过其它方式获取第一目标站点和第二目标站点的安全算法标识符,此处不作限定。
509、第一站点向UE发送切换命令消息;
其中,切换命令消息包含第一目标小区的PCI和频率、第二目标小区的PCI和频率、第一目标站点的安全算法标识符,以及与第一目标小区的PCI和频率相关联的KeNB和第一目标站点的安全算法标识符,与第二目标小区的PCI和频率相关联的KeNB*和第二目标站点的安全算法标识符。此外,切换命令消息还可以包含非安全相关的其它第一目标小区的PCI和频率,非安全相关的其它第二目标小区的PCI和频率。所谓非安全相关,指这些目标小区的PCI和频率不被用作安全密钥的产生。
510、UE依据接收到的切换命令消息的指示,基于第一目标小区的PCI和频率,以及第一目标站点的安全算法标识符指示的安全算法生成第一安全密钥、基于第二目标小区的PCI和频率,以及第二目标站点的安全算法标识符指示的安全算法生成第二安全密钥;
具体地,UE生成第一安全密钥的步骤可如下:判断本地维护的NCC的计数值是否溢出,若是,则根据第二目标小区的PCI和频率,以及该UE当前的NH参数值,生成KeNB*1;若否,则根据第一目标小区的PCI和频率,以及KeNB生成KeNB*1;利用第一目标站点的安全算法标识符指示的安全算法,及生成的KeNB*1生成第一安全密钥;
UE生成第二安全密钥的步骤可如下:判断本地维护的NCC的计数值是否溢出,若是,则根据第一目标小区的PCI和频率,以及该UE当前的NH参数值,生成KeNB*2;若否,则根据第一目标小区的PCI和频率,以及KeNB*生成KeNB*2;利用第一目标站点的安全算法标识符指示的安全算法,及生成的KeNB*2生成第二安全密钥。
511、第一目标站点基于KeNB*1和其本地使用的安全算法生成第一安全密钥。
512、第二目标站点基于KeNB*2和其本地使用的安全算法生成第二安全密钥。
513、UE分别利用第一安全密钥和第二安全密钥与第一目标站点和第二目标站点进行数据安全传输。
需要说明的是,本发明实施例中的KeNB*2是由第二站点生成后发送给第一站点,在实际应用中,第一站点也可向第二站点请求获取第二站点当前使用的KeNB*,在获知第二站点当前使用的KeNB*后,基于KeNB*及第二目标小区的PCI和频率生成KeNB*2,或者,第一站点也可基于KeNB及第二目标小区的PCI来生成KeNB*2,并在发送给UE的切换命令消息中指示UE基于KeNB及第二目标小区的PCI来生成KeNB*2,此处不作限定。
需要说明的是,上述步骤511和步骤512也可在步骤507之后至步骤510之前执行,此处不作限定。
需要说明的是,本发明实施例是基于前述方法实施例,以第一站点和第二站点切换到第一目标站点和第二目标站点进行描述的,在实际应用中,UE的服务站点也可能是第三站点、第四站点,若第三站点为负责UE切换控制的站点,则相应的,可将本实施例中的第一中间密钥替换为第三站点当前与UE进行数据安全传输使用的中间密钥,可将本发明实施例中的第二中间密钥替换为第四站点当前与UE进行数据安全传输使用的中间密钥。
上述第一站点、第二站点、第一目标站点和第二目标站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,当UE需要从当前服务站点切换到两个以上的目标站点时,可依据接收到的切换命令消息的指示,生成用于与该目标站点进行数据安全传输的安全密钥,实现了从当前服务站点切换到多个目标站点时,UE与切换到的目标站点间的数据安全传输。
在一种应用场景下,UE也可使用相同的安全密钥与第一站点和第二站点进行数据安全传输,则在此场景下当UE切换到其它站点下工作时的安全密钥生成过程可如图6所示:
601、UE向第一站点发送第二测量报告消息。
602、第一站点基于第二测量报告消息作出切换决定,决定将该UE切换到第一目标站点和第二目标站点下工作;
603、基于目标小区的PCI和频率生成第三中间密钥(下面以KeNB*1替代);
其中,目标小区为第一站点基于第二测量报告消息决定将UE切换到的小区,上述目标小区可以是一个,或者也可以是多个,若上述目标小区为多个,则可生成多个KeNB*1,具体地,生成第三中间密钥的过程可如下:判断本地维护的NCC的计数值是否溢出,若是,则根据目标小区的PCI和频率,以及第一站点当前的NH参数值,生成KeNB*1;若否,则根据目标小区的PCI和频率,以及第一中间密钥(下面以KeNB替代)生成KeNB*1
604、第一站点向目标站点发送切换请求消息,并在该切换指示消息中携带KeNB*1,其中,目标站点是第一站点基于第二测量报告消息决定将UE切换到的站点,目标站点可以是一个,也可以是多个,若目标站点为多个,则第一站点可分别向多个目标站点发送切换请求消息,或者,将该切换请求消息发送给其中一个目标站点,由该目标站点转发给其它目标站点,或者,也可以将切换请求消息发送给一个目标站点,由该目标站点执行准入控制后通过消息(如切换指示消息)通知其它目标站点UE将发生切换,此处不作限定。
605、第一站点接收目标站点返回的切换请求确认消息,切换请求确认消息中携带有目标站点确定的用于生成第一安全密钥的目标小区的PCI和频率,以及安全算法的安全算法标识符;进一步地,切换请求确认消息还携带非安全相关的其它目标小区的PCI和频率。
需要说明的是,该切换请求确认消息中包含的目标站点确定的用于生成第一安全密钥的目标小区的PCI和频率、以及安全算法标识符可以是单个目标站点决定的,也可以是由多少目标站点进行协商确定的。如,假设目标站点包括第一目标站点和第二目标站点,则可由第一目标站在接收到第一站点发送的切换请求消息后执行准入控制,确定用于UE将切换的目标小区、用于生成第一安全密钥的目标小区的PCI和频率,以及生成第一安全密钥使用的安全算法,之后将该目标小区的PCI和频率,以及该安全算法的安全算法标识符发送给第二目标站点,通知第二目标站点UE将切换到其站点下工作,并指示第二目标站点基于该目标小区的PCI和频率,以及该安全算法的安全算法标识符生成第一安全密钥。目标节点只需确定了用于生成第一安全密钥时使用的目标小区的PCI和频率,以及安全算法的安全算法标识符,便可向第一站点发送上述切换请求确认消息,而无需在生成第一安全密钥后再向第一站点发送上述切换请求确认消息。
606、第一站点向UE发送切换命令消息,并在切换命令消息中携带上述目标站点确定的用于生成第一安全密钥的目标小区的PCI和频率,以及与上述目标小区的PCI和频率相关联的KeNB及安全算法标识符。进一步地,切换命令消息还携带非安全相关的其它目标小区的PCI和频率。
607、UE依据接收到的切换命令消息的指示,基于切换命令消息中指示的用于生成第一安全密钥的目标小区的PCI和频率、及安全算法标识符指示的安全算法生成第一安全密钥;
具体地,UE生成第一安全密钥的步骤可如下:
判断本地维护的NCC的计数值是否溢出,若是,则根据切换命令消息中的PCI和频率,以及UE当前的NH参数值,生成KeNB*1,若否,则根据切换命令消息中的上述PCI和频率,以及KeNB生成KeNB*1;利用切换命令消息中的安全算法标识符指示的安全算法,及生成的KeNB*1生成第一安全密钥。
608、目标站点利用上述确定使用的安全算法及KeNB*1生成第一安全密钥。
609、UE利用第一安全密钥与目标站点进行数据安全传输。
需要说明的是,上述步骤608可在步骤604之后至步骤608之前执行,此处不作限定。
需要说明的是,本发明实施例是基于前述方法实施例,以第一站点和第二站点切换到目标站点进行描述的,在实际应用中,UE的服务站点也可能是第三站点、第四站点等,若第三站点为负责UE切换控制的站点,则相应的,可将本实施例中的第一中间密钥替换为第三站点当前与UE进行数据安全传输使用的中间密钥。
上述第一站点、第二站点、目标站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,当UE需要从当前服务站点切换到其它站点时,可依据接收到的切换命令消息的指示,生成用于与该目标站点进行数据安全传输的安全密钥,实现了从当前服务站点切换到其它目标站点时,UE与切换到的目标站点间的数据安全传输。
本发明也可基于第一站点使用的安全算法来生成安全密钥,下面以UE为描述主体,对本发明实施例中的一种数据安全传输方法进行描述,请参阅图7,包括:
701、UE向第一站点发送第一测量报告消息;
具体的,此步骤可参阅图1-a中步骤101的描述,此处不再赘述。
702、接收第一站点返回的小区增加命令消息;
UE接收第一站点返回的小区增加命令消息,其中,该小区增加命令消息中包含新增小区的PCI和频率。
在本发明实施例中,第一站点基于上述第一测量报告消息决定将第二站点下的小区作为该UE新增的服务小区,为便于描述,下面将第一站点确定为该UE新增的小区称为新增小区。第一站点可基于新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的第一中间密钥(下面以KeNB替代)生成第二中间密钥(下面以KeNB*替代),或者,第一站点可基于新增小区的PCI和频率,以及第一站点当前的NH参数值生成KeNB*,具体的,第一站点是基于KeNB还是NH参数值来生成KeNB*取决于第一站点本地维护的(NCC,Next HopChaining Count)的计数值,若NCC的计数值溢出,则第一站点基于NH参数值来生成KeNB*,若未溢出,则基于KeNB来生成KeNB*。在生成KeNB*之后,第一站点将KeNB*和第一站点的安全算法标识符发送给第二站点,第二站点可基于KeNB*和第一站点使用的安全算法生成安全密钥,并向第一站点返回小区增加请求确认消息,第一站点接收到第二站点返回的小区增加请求确认消息后,向该UE发送小区增加命令消息,指示该UE生成与第二站点进行数据安全传输的安全密钥。
可理解的是,在实际应用中,上述新增小区可能有多个,则第一站点可基于多个新增小区的PCI和频率生成多个KeNB*,并将多个KeNB*发送给第二站点,由第二站点基于多个KeNB*生成多套安全密钥。由于UE与同一站点下的不同小区可共用一套安全密钥进行数据安全传输,因此,第一站点在发送给该UE的小区增加命令消息中,可指示确定用于生成安全密钥的一个新增小区的PCI和频率,此外,小区增加命令消息中可以携带多个其它的安全相关的新增小区的PCI和频率,或者,第二站点也可基于多个KeNB*中的一个来生成安全密钥,并通过消息通知第一站点生成安全密钥所使用的KeNB*,第一站点将生成该KeNB*的新增小区的PCI和频率发送给UE,此处不作限定。
在一种应用场景下,第一站点也可在接收到第二站点返回的小区增加请求确认消息后,利用KeNB*和第一站点使用的安全算法标识符更新安全密钥,以便于此后利用该安全密钥与该UE进行数据安全传输。
在一种应用场景下,在第一站点确定新站点(如第二站点)加入时,由于安全密钥的更新会导致该UE当前的服务小区也都要暂停工作以停止与第一站点的数据安全传输,因此,第一站点可在小区增加命令消息中携带传输暂停时间,以使得UE可在该传输暂停时间指示的时间段内暂停与该第一站点进行数据安全传输,或者,第一站点也可不在小区增加命令消息中携带传输暂停时间,UE在接收到该小区增加命令消息后时,在预置的时间段内暂停与第一站点进行数据安全传输,或者,UE也可在成功获取上述新增小区的上行同步后暂停与第一站点进行数据安全传输,在安全密钥成功生成后重新恢复与第一站点进行数据安全传输,此处不作限定。需要说明的是,上述数据安全传输指的是需要加密和/或完整性保护的数据传输。
703、基于上述新增小区的PCI和频率、及第一站点使用的安全算法,生成安全密钥;
当UE接收到来自第一站点发送小区增加命令消息后,可依据该小区增加命令消息的指示,基于小区增加命令消息指示用于生成安全密钥的一个新增小区的PCI和频率,以及第一站点使用的安全算法生成安全密钥。具体的,生成安全密钥的步骤可包括:
UE判断本地维护的NCC的计数值是否溢出,若是,则根据上述新增小区的PCI和频率,以及UE当前的NH参数值,生成KeNB*,若否,则根据上述新增小区的PCI和频率,以及UE当前进行数据安全传输使用的第一中间密钥生成KeNB*
利用第一站点使用的安全算法,及生成的KeNB*生成安全密钥(如包括KUPenc2、KCPenc2和KCPint2)。
704、利用生成的安全密钥与第二站点进行数据安全传输。
当步骤703生成安全密钥之后,UE可利用该安全密钥与第二站点进行数据安全传输。
可理解,若第一站点没有更新与该UE用于进行数据安全传输的安全密钥,则该UE与第一站点仍沿用原有的安全密钥进行数据安全传输,若第一站基于KeNB*和第一站点使用的安全算法更新了安全密钥,则UE可利用步骤703生成的安全密钥与第一站点进行数据安全传输。
上述第一站点和第二站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,一方面,UE在接收到小区增加命令消息后,可依据小区增加命令消息的指示生成安全密钥,利用该安全密钥与新增的站点进行数据安全传输,使得UE可在与原有的服务站点进行数据安全传输的同时,也可与新增的站点进行数据安全传输,实现了UE与不同服务站点间的数据安全传输。
本发明也可基于第一站点使用的安全算法来生成安全密钥,下面以第一站点为描述主体,对本发明实施例中的一种数据安全传输方法进行描述,请参阅图8,包括:
801、第一站点接收UE发送的第一测量报告消息;
在实际应用中,当UE需要增加新的服务小区时,其可对第一站点下的小区或第一站点的邻居站点下的小区进行测量,并通过第一测量报告消息将测量结果发送给第一站点。
当接收到来自UE发送的第一测量报告消息后,第一站点可基于该第一测量报告消息以及该UE的业务量等信息对该UE待新增的服务小区进行判决,以确定为该UE新增的服务小区。
在本发明实施例中,第一站点基于上述第一测量报告消息决定将第二站点下的小区作为该UE新增的服务小区,为便于描述,下面将第一站点确定为该UE新增的小区称为新增小区。第一站点可基于新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的第一中间密钥(下面以KeNB替代)生成第二中间密钥(下面以KeNB*替代),或者,第一站点可基于新增小区的PCI和频率,以及第一站点当前的下跳NH参数值生成KeNB*,具体的,第一站点是基于KeNB还是NH参数值来生成KeNB*取决于第一站点本地维护的NCC的计数值,若NCC的计数值溢出,则第一站点基于NH参数值来生成KeNB*,若未溢出,则基于KeNB来生成KeNB*
进一步的,第一站点在生成KeNB*后,可将KeNB*携带在小区增加请求消息中发送给第二站点,请求第二站点为该UE提供服务,进一步的,第一站点可将其使用的安全算法的安全算法标识符携带在小区增加请求消息中,或者,也可通过其它独立消息将其使用的安全算法的安全算法标识符发送给第二站点,此处不作限定。第二站点在接收到该小区增加请求消息后,可向第一站点返回小区增加请求确认消息,进一步的,在第二站点获知第一站点使用的安全算法后,可基于KeNB*和第一站点使用的安全算法生成安全密钥,以便在UE后续生成该安全密钥后,可利用该安全密钥与第二站点进行数据安全传输。
在实际应用中,上述新增小区可能有多个,则第一站点可基于多个新增小区的PCI和频率生成多个KeNB*,并将多个KeNB*携带在小区增加请求消息发送给第二站点,由第二站点基于多个KeNB*生成多套安全密钥,或者,由第二站点从多个KeNB*选择一个KeNB*,基于所选的KeNB*来生成安全密钥。
在一种应用场景下,第一站点在接收到第二站点返回的小区增加请求确认消息之后,也可利用KeNB*和第一站点的安全算法标识符指示的安全算法更新安全密钥,以便于此后利用该安全密钥与该UE进行数据安全传输。
802、向UE发送小区增加命令消息;
第一站点在接收到第二站点返回的小区增加请求确认消息后,向UE发送小区增加命令消息,指示UE生成与第二站点进行数据安全传输的安全密钥,并在小区增加命令消息中携带用于生成安全密钥的一个新增小区的PCI和频率,以便UE基于该新增小区的PCI和频率,以及第一站点使用的安全算法生成安全密钥。
可理解的是,在UE接入第一站点时,UE可获知第一站点使用的安全算法,因此无需在小区增加命令消息中携带第一站点的安全算法标识符。在实际应用中,上述新增小区可能有多个,由于UE与同一站点下的不同小区可共用一套安全密钥进行数据安全传输,因此,第一站点在发送给该UE的小区增加命令消息中,可指示确定用于生成安全密钥的一个新增小区的PCI和频率,此外,小区增加命令消息中可以携带多个其它的新增小区的PCI和频率,或者,在获知第二站点用于生成安全密钥的KeNB*后,将生成该KeNB*的新增小区的PCI和频率发送给UE,此处不作限定。
在一种应用场景下,在第一站点确定第二站点加入时,由于安全密钥的更新会导致该UE当前的服务小区也都要暂停工作以停止与第一站点的数据安全传输,因此,第一站点可在小区增加命令消息中携带传输暂停时间,以使得UE可在该传输暂停时间指示的时间段内暂停与该第一站点进行数据安全传输,或者,第一站点也可不在小区增加命令消息中携带传输暂停时间,UE在接收到该小区增加命令消息后时,在预置的时间段内暂停与第一站点进行数据安全传输,或者,UE也可在成功获取上述新增小区的上行同步后暂停与第一站点进行数据安全传输,在安全密钥成功生成后重新恢复与第一站点进行数据安全传输,此处不作限定。需要说明的是,上述数据安全传输指的是需要加密和/或完整性保护的数据传输。
上述第一站点和第二站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,一方面,UE在接收到小区增加命令消息后,可依据小区增加命令消息的指示生成安全密钥,利用该安全密钥与新增的站点进行数据安全传输,使得UE可在与原有的服务站点进行数据安全传输的同时,也可与新增的站点进行数据安全传输,实现了UE与不同服务站点间的数据安全传输。
为便于更好的理解本发明技术方案,下面以一应用场景对本发明实施例中的一种数据安全传输方法进行描述,在此应用场景下第一站点更新安全密钥,请参阅图9,包括:
901、UE接入第一站点,此时,UE和MME生成相同的基础密钥KASME
902、UE和MME基于KASME进一步派生出中间密钥KeNB,第二密钥NASkey和NH参数值。
903、MME将生成的KeNB,NASkey和NH参数值发送第一站点。
904、UE根据KeNB和第一站点使用的安全算法生成安全密钥0,其中,安全密钥0包括KUPenc、KCPenc和KCPint
905、第一站点根据KeNB和第一站点使用的安全算法生成安全密钥0。
906、UE和第一站点利用生成的安全密钥0进行数据安全传输。
907、UE向第一站点发送第一测量报告消息。
908、第一站点接收到UE发送的第一测量报告消息后,基于该第一测量报告消息及该UE的业务量等信息决定将第二站点下的小区作为该UE新增的服务小区,判断本地维护的NCC的计数值是否溢出,若是,则根据确定的新增小区的PCI和频率,以及第一站点当前的下跳NH参数值生成第二中间密钥(下面以KeNB*替代)。若否,则根据确定的新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的第一中间密钥(下面以KeNB替代)生成KeNB*
909、向第二站点发送小区增加请求消息;
第一站点向第二站点发送小区增加请求消息,请求第二站点为该UE提供服务,其中,小区增加请求消息中携带步骤908生成的KeNB*以及第一站点使用的安全算法的安全算法标识符。
910、第二站点接收来自第一站点的小区增加请求消息后,向第一站点返回小区增加请求确认消息。
911、第一站点接收到该小区增加请求确认消息后,向UE发送小区增加命令消息,并在小区增加命令消息中携带用于生成第二安全密钥的一个新增小区的PCI和频率。
912、UE接收到小区增加命令消息后,判断本地维护的NCC的计数值是否溢出,若是,则根据小区增加命令消息中的新增小区的PCI和频率,以及该UE当前的下跳NH参数值生成KeNB*。若否,则根据小区增加命令消息中指示用于生成安全密钥的一个新增小区的PCI和频率,以及该UE当前进行数据安全传输使用的KeNB生成KeNB*
913、UE,第一站点和第二站点基于KeNB*和第一站点使用的安全算法生成安全密钥1,其中,安全密钥1包括KUPenc2、KCPenc2和KCPint2
914、UE使用第二安全密钥与第一站点和第二站点进行数据安全传输。
需要说明的是,在步骤913中,第一站点生成安全密钥1的动作可在步骤911至步骤913中的任意时刻进行,第二站点生成第二安全密钥的动作可在步骤910至步骤913中的任意时刻进行,而不严格限制在步骤913中进行。
上述第一站点和第二站点例如可以是基站或者是中继站等,此处不作限定。
由上可见,基于本发明实施例提供的技术方案,一方面,UE在接收到小区增加命令消息后,可依据小区增加命令消息的指示生成安全密钥,利用该安全密钥与新增的站点进行数据安全传输,使得UE可在与原有的服务站点进行数据安全传输的同时,也可与新增的站点进行数据安全传输,实现了UE与不同服务站点间的数据安全传输。
在一种应用场景下,由于UE本身的移动或者信号的变化,UE可能需要从当前服务站点切换到其它站点下工作,例如,UE在移动的过程中,可能需要从“第一站点+第二站点”的数据传输模式切换到“第一目标站点+第二目标站点”的数据传输模式。在此场景下的安全密钥生成过程可参照图5和图6中的描述,此处不再赘述。
下面对本发明实施例中的一种用户设备进行描述,请参阅图10,本发明实施例中的用户设备1000包括:
发送单元1001,用于向第一站点发送第一测量报告消息,其中,上述第一站点为用户设备1000的当前服务站点。
接收单元1002,用于接收第一站点返回的小区增加命令消息,其中,小区增加命令消息包含新增小区的PCI和频率,以及新增小区所属的第二站点的安全算法标识符,其中,上述新增小区是上述第一站点基于第一测量报告消息确定为用户设备1000新增的服务小区。
生成单元1003,用于基于上述新增小区的PCI和频率,及接收单元1002接收到的小区增加命令消息包含的安全算法标识符指示的安全算法,生成安全密钥;
具体的,生成单元1003可包含:
判断单元,用于判断本地维护的NCC的计数值是否溢出;
第一生成单元,用于当判断单元的判断结果为是时,根据上述新增小区的PCI和频率、以及用户设备1000当前的NH参数值,生成第二中间密钥;当判断单元的判断结果为否时,根据上述新增小区的PCI和频率、以及用户设备1000当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
第二生成单元,用于利用小区增加命令消息包含的安全算法标识符指示的安全算法,及上述第一生成单元生成的第二中间密钥生成安全密钥。
用户设备1000还包含:传输单元1004,用于利用生成单元1003生成的安全密钥与第二站点进行数据安全传输。进一步的传输单元1004还可用于利用生成单元1003生成的安全密钥与第一站点进行数据安全传输。
在一种应用场景下,由于用户设备1000本身的移动或者信号的变化,用户设备1000可能需要从当前服务站点切换到其它站点下工作,例如,UE在移动的过程中,可能需要从“第一站点+第二站点”的数据传输模式切换到“第一目标站点+第二目标站点”的数据传输模式。因此,在一种应用场景,当用户设备1000使用不同的安全密钥分别与第一站点和第二站点进行数据安全传输时,发送单元1001还可用于向第一站点发送第二测量报告消息,其中,第一站点为负责用户设备1000切换控制的站点;接收单元1002还用于接收上述第一站点发送的切换命令消息,该切换命令消息包含第一目标小区的PCI和频率、第二目标小区的PCI和频率、以及与第一目标小区的PCI和频率相关联的第一中间密钥和第一目标站点的安全算法标识符,与第二目标小区的PCI和频率相关联的第二中间密钥和第二目标站点的安全算法标识符,其中,上述第一目标小区和上述第二目标小区是上述第一站点基于上述第二测量报告消息决定将用户设备1000切换到的小区,上述第一目标站点和上述第二目标站点是上述第一站点基于上述第二测量报告消息决定将上述用户设备切换到的站点;生成单元1003还用于依据上述切换命令消息的指示,基于上述第一目标小区的PCI和频率,以及上述第一目标站点的安全算法标识符指示的安全算法生成第一安全密钥、基于上述第二目标小区的PCI和频率,以及上述第二目标站点的安全算法标识符指示的安全算法生成第二安全密钥;传输单元1004还可用于利用生成单元1003生成的第一安全密钥与上述第一目标站点进行数据安全传输;利用生成单元1003生成的第二安全密钥与上述第二目标站点进行数据安全传输。
在一种应用场景下,当用户设备1000使用相同的安全密钥与第一站点和第二站点进行数据安全传输时,发送单元1001可用于向上述第一站点发送第二测量报告消息;接收单元1002可用于接收上述第一站点发送的切换命令消息,其中,该切换命令消息包含目标站点生成第一安全密钥时使用的目标小区的PCI和频率,以及与该目标小区的PCI和频率相关联的第一中间密钥及安全算法标识符,其中,该目标站点为上述第一站点基于上述第二测量报告消息决定将用户设备1000切换到的站点;生成单元1003可用于依据上述切换命令消息的指示,基于上述切换命令消息中的PCI和频率、及上述安全算法标识符指示的安全算法生成第一安全密钥;传输单元1004可用于利用生成单元1003生成的第一安全密钥与上述目标站点进行数据安全传输。
需要说明的是,本实施例的用户设备1000可以如上述方法实施例图1-a~图6中的用户设备,可以用于实现上述方法实施例图1-a~图6中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
下面对本发明实施例中的一种网络站点进行描述,请参阅图11,本发明实施例中的网络站点1100包括:
接收单元1101,用于接收UE发送的第一测量报告消息;
发送单元1102用于向该UE发送小区增加命令消息,其中,该小区增加命令消息包含新增小区的PCI和频率,以及上述新增小区所属的第二站点的安全算法标识符,以便于该UE基于上述新增小区的PCI和频率,以及上述第二站点的安全算法标识符指示的安全算法生成安全密钥,其中,上述新增小区是网络站点1100基于接收到的第一测量报告消息确定为该UE新增的服务小区。
进一步,网络站点1100还包括判断单元1103和生成单元1104,其中:
判断单元1103用于判断本地维护的下跳链计数器NCC的计数值是否溢出;
生成单元1104用于当判断单元1103的判断结果为是时,根据新增小区的PCI和频率,以及网络站点1100当前的NH参数值,生成第二中间密钥;当判断单元1103的判断结果为否时,根据新增小区的PCI和频率,以及上述UE当前进行数据安全传输使用的第一中间密钥生成第二中间密钥。
在实际应用中,发送单元1102还用于向上述第二站点发送小区增加请求消息,其中,该小区增加请求消息中携带上述生成单元1104生成的第二中间密钥;接收单元1101还用于接收上述第二站点返回的小区增加请求确认消息。
在实际应用中,生成单元1104还可用于基于上述第二站点的安全算法标识符指示的安全算法,和上述第二中间密钥生成新的安全密钥,以便利用上述新的安全密钥与上述UE进行数据安全传输,其中,第二站点的安全算法标识符可从接收单元1101接收到的小区增加请求确认消息中获得,或者,也可以从接收到的来自第二站点的其它消息中获得,此处不作限定。
在一种应用场景下,由于UE本身的移动或者信号的变化,UE可能需要从当前服务站点切换到其它站点下工作,例如,UE在移动的过程中,可能需要从“网络站点1100+第二站点”的数据传输模式切换到“第一目标站点+第二目标站点”的数据传输模式。因此,在一种应用场景,当UE使用不同的安全密钥分别与网络站点1100和第二站点进行数据安全传输时,接收单元1101还可用于接收UE发送的第二测量报告消息;发送单元1102用于向第二站点发送切换指示消息,其中,该切换指示消息中携带第二目标小区的PCI和频率,以便上述第二站点基于上述第二目标小区的PCI和频率生成第四中间密钥,其中,上述第二目标小区是网络站点1100基于上述第二测量报告消息决定将UE切换到的小区;接收单元1101用于接收上述第二站点发送的切换指示反馈消息,其中,该切换指示反馈消息中携带上述第二站点基于上述第二目标小区的PCI和频率生成的第四中间密钥;生成单元1104还可用于基于第一目标小区的PCI和频率生成第三中间密钥,其中,上述第一目标小区是网络站点1100基于上述第二测量报告消息决定将该UE切换到的小区;发送单元1102还可用于将上述第三中间密钥和第四中间密钥分别发送给第一目标站点和第二目标站点,以便上述第一目标站点根据上述第三中间密钥及上述第一目标站点使用的安全算法生成第一安全密钥、上述第二目标站点根据上述第四中间密钥及上述第二目标站点使用的安全算法生成第二安全密钥,其中,上述第一目标站点和上述第二目标站点是网络站点1100基于接收到的第二测量报告消息决定将该UE切换到的站点;进一步的,网络站点1100还可包括获取单元,用于获取上述第一目标站点和第二目标站点的安全算法标识符;发送单元1102还可用于向上述UE发送切换命令消息,其中,该切换命令消息包含上述第一目标小区的PCI和频率、上述第二目标小区的PCI和频率、以及与第一目标小区的PCI和频率相关联的第一中间密钥和第一目标站点的安全算法标识符,与第二目标小区的PCI和频率相关联的第二中间密钥和第二目标站点的安全算法标识符,以便于该UE可依据切换命令消息的指示,基于上述第一目标小区的PCI和频率,以及上述第一目标站点的安全算法标识符指示的安全算法生成用于与上述第一目标站点进行数据安全传输的第一安全密钥、基于上述第二目标小区的PCI和频率,以及上述第二目标站点的安全算法标识符指示的安全算法生成用于与上述第二目标站点进行数据安全传输的第二安全密钥。
在一种应用场景下,当UE使用相同的安全密钥与网络站点1100和第二站点进行数据安全传输时,接收单元1101还可用于接收UE发送的第二测量报告消息;生成单元1104还用于基于目标小区的PCI和频率生成第三中间密钥,其中,上述目标小区为网络站点1100基于接收到的第二测量报告消息决定将该UE切换到的小区;发送单元1102还用于向目标站点发送切换请求消息,其中,该切换请求消息中携带上述第三中间密钥,以便上述目标站点基于上述第三中间密钥生成第一安全密钥,其中,上述目标站点是网络站点1100基于接收到的第二测量报告消息决定将该UE切换到的站点;接收单元1101还用于接收上述目标站点返回的切换请求确认消息,其中,该切换请求确认消息中携带有上述目标站点确定的用于生成上述第一安全密钥的目标小区的PCI和频率,以及安全算法的安全算法标识符;发送单元1102还用于向上述UE发送切换命令消息,其中,该切换命令消息包含上述目标站点确定的用于生成第一安全密钥的目标小区的PCI和频率,以及使用的安全算法的安全算法标识符,以便于上述UE依据该切换命令消息的指示,基于上述目标小区的PCI和频率,以及上述安全算法标识符指示的安全算法生成用于与上述目标站点进行数据安全传输的第一安全密钥。
需要说明的是,本实施例的网络站点1100可以如上述方法实施例图1-a~图6中的第一站点,可以用于实现上述方法实施例图1-a~图6中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
下面对本发明实施例中的另一种用户设备进行描述,本发明实施例中的用户设备包括:
发送单元,用于向第一站点发送第一测量报告消息,其中,上述第一站点为上述用户设备的当前服务站点。
接收单元,用于接收第一站点返回的小区增加命令消息,其中,小区增加命令消息包含新增小区的PCI和频率,其中,上述新增小区是上述第一站点基于上述第一测量报告消息确定为上述用户设备新增的服务小区。
生成单元,用于基于上述新增小区的PCI和频率、及上述第一站点使用的安全算法,生成安全密钥;
具体的,上述生成单元可包含:
判断单元,用于判断本地维护的NCC的计数值是否溢出;
第一生成单元,用于当判断单元的判断结果为是时,根据上述新增小区的PCI和频率,以及上述用户设备当前的NH参数值,生成第二中间密钥;当判断单元的判断结果为否时,根据上述新增小区的PCI和频率,以及上述用户设备当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
第二生成单元,用于利用上述第一站点使用的安全算法,及上述第一生成单元生成的第二中间密钥生成安全密钥。
传输单元,用于利用上述生成单元生成的安全密钥与上述第二站点进行数据安全传输。进一步的传输单元还可用于利用上述生成单元生成的安全密钥与第一站点进行数据安全传输。
需要说明的是,本实施例的用户设备可以如上述方法实施例图7~图9中的用户设备,可以用于实现上述方法实施例图7~图9中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
下面对本发明实施例中的另一种网络站点进行描述,本发明实施例中的网络站点包括:
接收单元,用于接收UE发送的第一测量报告消息;
发送单元,用于向该UE发送小区增加命令消息,其中,该小区增加命令消息包含新增小区的PCI和频率,以便于该UE基于该新增小区的PCI和频率,以及上述网络站点使用的安全算法生成安全密钥,其中,上述新增小区是上述网络站点基于上述第一测量报告消息确定为该UE新增的服务小区。
进一步,上述网络节点还包括判断单元和生成单元,其中,判断单元用于判断本地维护的下跳链计数器NCC的计数值是否溢出;生成单元用于当上述判断单元的判断结果为是时,根据新增小区的物理小区标识PCI和频率,以及上述网络站点当前的NH参数值,生成第二中间密钥;当上述判断单元的判断结果为否时,根据新增小区的物理小区标识PCI和频率,以及上述UE当前进行数据安全传输使用的第一中间密钥生成第二中间密钥。
其中,上述发送单元还用于向上述新增小区所属的第二站点发送小区增加请求消息,上述小区增加请求消息中携带上述生成单元生成的第二中间密钥;上述接收单元还用于接收上述第二站点返回的小区增加请求确认消息。
在实际应用中,上述生成单元还可用于基于上述网络站点使用的安全算法,和上述第二中间密钥生成安全密钥,以便利用上述安全密钥与UE进行数据安全传输。
需要说明的是,本实施例的网络设备可以如上述方法实施例图7~图9中的网络设备,可以用于实现上述方法实施例图7~图9中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,随机存储器、磁盘或光盘等。
以上对本发明所提供的一种数据安全传输方法及相关设备进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。

Claims (44)

1.一种多站点下的数据安全传输方法,其特征在于,包括:
用户设备UE向第一站点发送第一测量报告消息,所述第一站点为所述UE的当前服务站点;
接收所述第一站点返回的小区增加命令消息,所述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及所述新增小区所属的第二站点的安全算法标识符,其中,所述新增小区是所述第一站点基于所述第一测量报告消息确定为所述UE新增的服务小区;
基于所述新增小区的PCI和频率、及所述安全算法标识符指示的安全算法,生成安全密钥;
利用所述生成的安全密钥与所述第二站点进行数据安全传输。
2.根据权利要求1所述的方法,其特征在于,
所述生成安全密钥包括:
判断本地维护的下跳链计数器NCC的计数值是否溢出,
若是,则根据所述新增小区的PCI和频率、以及所述UE当前的下跳NH参数值,生成第二中间密钥,
若否,则根据所述新增小区的PCI和频率、以及所述UE当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
利用所述安全算法标识符指示的安全算法、及所述生成的第二中间密钥生成安全密钥。
3.根据权利要求1或2所述的方法,其特征在于,
在生成安全密钥之后,还包括:
利用所述安全密钥与所述第一站点进行数据安全传输。
4.根据权利要求1或2中任一项所述的方法,其特征在于,
所述小区增加命令消息还包含传输暂停时间;
在所述接收所述第一站点返回的小区增加命令消息之后,还包括:
在所述传输暂停时间指示的时间段内暂停与所述第一站点进行数据安全传输。
5.根据权利要求1或2所述的方法,其特征在于,
在所述接收所述第一站点返回的小区增加命令消息之后,还包括:
在成功获取所述新增小区的上行同步后,暂停与所述第一站点进行数据安全传输。
6.根据权利要求1或2所述的方法,其特征在于,
在所述利用所述生成的安全密钥与所述第二站点进行数据安全传输之后,还包括:
向所述第一站点发送第二测量报告消息;
接收所述第一站点发送的切换命令消息,所述切换命令消息包含第一目标小区的PCI和频率、第二目标小区的PCI和频率、与所述第一目标小区的PCI和频率相关联的第一中间密钥和所述第一目标站点的安全算法标识符、与所述第二目标小区的PCI和频率相关联的第二中间密钥和所述第二目标站点的安全算法标识符,其中,所述第一目标小区和所述第二目标小区是所述第一站点基于所述第二测量报告消息决定将所述UE切换到的小区,所述第一目标站点和所述第二目标站点是所述第一站点基于所述第二测量报告消息决定将所述UE切换到的站点;
依据所述切换命令消息的指示,基于所述第一目标小区的PCI和频率、所述第一中间密钥、以及所述第一目标站点的安全算法标识符指示的安全算法生成第一安全密钥,基于所述第二目标小区的PCI和频率、所述第二中间密钥、以及所述第二目标站点的安全算法标识符指示的安全算法生成第二安全密钥;
利用所述第一安全密钥与所述第一目标站点进行数据安全传输;
利用所述第二安全密钥与所述第二目标站点进行数据安全传输。
7.根据权利要求6所述的方法,其特征在于,
所述生成第一安全密钥包括:
判断本地维护的下跳链计数器NCC的计数值是否溢出,
若是,则根据所述第一目标小区的PCI和频率、以及所述UE当前的下跳NH参数值,生成第三中间密钥,
若否,则根据所述第一目标小区的PCI和频率、以及所述第一中间密钥生成第三中间密钥;
利用所述第一目标站点的安全算法标识符指示的安全算法、及所述生成的第三中间密钥生成第一安全密钥;
所述生成第二安全密钥包括:
判断本地维护的下跳链计数器NCC的计数值是否溢出,
若是,则根据所述第二目标小区的PCI和频率、以及所述UE当前的下跳NH参数值,生成第四中间密钥,
若否,则根据所述第二目标小区的PCI和频率、以及所述第二中间密钥生成第四中间密钥;
利用所述第二目标站点的安全算法标识符指示的安全算法、及所述生成的第四中间密钥生成第二安全密钥。
8.根据权利要求3所述的方法,其特征在于,
在所述利用所述生成的安全密钥与所述第二站点进行数据安全传输之后,还包括:
向所述第一站点发送第二测量报告消息;
接收所述第一站点发送的切换命令消息,所述切换命令消息包含目标站点确定的用于生成第一安全密钥的目标小区的PCI和频率、以及与所述目标小区的PCI和频率相关联的第一中间密钥及安全算法标识符,其中,所述目标站点为所述第一站点基于所述第二测量报告消息决定将所述UE切换到的站点;
依据所述切换命令消息的指示,基于所述切换命令消息中的所述PCI和频率、所述第一中间密钥、及所述安全算法标识符指示的安全算法生成第一安全密钥;
利用所述第一安全密钥与所述目标站点进行数据安全传输。
9.根据权利要求8所述的方法,其特征在于,
所述生成第一安全密钥包括:
判断本地维护的下跳链计数器NCC的计数值是否溢出,
若是,则根据所述切换命令消息中的所述PCI和频率、以及所述UE当前的下跳NH参数值,生成第三中间密钥,
若否,则根据所述切换命令消息中的所述PCI和频率、以及所述第一中间密钥生成第三中间密钥;
利用所述切换命令消息中的安全算法标识符指示的安全算法、及所述生成的第三中间密钥生成第一安全密钥。
10.一种多站点下的数据安全传输方法,其特征在于,包括:
第一站点接收用户设备UE发送的第一测量报告消息;
向所述UE发送小区增加命令消息,所述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及所述新增小区所属的第二站点的安全算法标识符,以便于所述UE基于所述新增小区的PCI和频率、以及所述第二站点的安全算法标识符指示的安全算法生成安全密钥,其中,所述新增小区是所述第一站点基于所述第一测量报告消息确定为所述UE新增的服务小区。
11.根据权利要求10所述的方法,其特征在于,
在向所述UE发送小区增加命令消息之前,还包括:
判断本地维护的下跳链计数器NCC的计数值是否溢出,
若是,则根据所述新增小区的PCI和频率、以及所述第一站点当前的下跳NH参数值,生成第二中间密钥,
若否,则根据所述新增小区的PCI和频率、以及所述UE当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
向所述第二站点发送小区增加请求消息,所述小区增加请求消息中携带所述生成的第二中间密钥;
接收所述第二站点返回的小区增加请求确认消息。
12.根据权利要求11所述的方法,其特征在于,
在向所述UE发送小区增加命令消息之前,还包括:
接收所述第二站点发送的所述第二站点的安全算法标识符;
基于所述第二站点的安全算法标识符指示的安全算法、和所述第二中间密钥生成新的安全密钥,以便利用所述新的安全密钥与所述UE进行数据安全传输。
13.根据权利要求11或12所述的方法,其特征在于,
所述小区增加命令消息还包含传输暂停时间;
在所述向UE发送小区增加命令消息之后,还包括:
在所述传输暂停时间指示的时间段内暂停与所述UE进行数据安全传输。
14.根据权利要求11或12所述的方法,其特征在于,
在所述向UE发送小区增加命令消息之后,还包括:
接收UE发送的第二测量报告消息;
向所述第二站点发送切换指示消息,所述切换指示消息中携带第二目标小区的PCI和频率,以便所述第二站点基于所述第二目标小区的PCI和频率生成第四中间密钥,其中,所述第二目标小区是所述第一站点基于所述第二测量报告消息决定将所述UE切换到的小区;
接收所述第二站点发送的切换指示反馈消息,所述切换指示反馈消息中携带所述第二站点基于所述第二目标小区的PCI和频率生成的第四中间密钥;
基于第一目标小区的PCI和频率生成第三中间密钥,其中,所述第一目标小区是所述第一站点基于所述第二测量报告消息决定将所述UE切换到的小区;
将所述第三中间密钥和第四中间密钥分别发送给第一目标站点和第二目标站点,以便所述第一目标站点根据所述第三中间密钥及所述第一目标站点使用的安全算法生成第一安全密钥、所述第二目标站点根据所述第四中间密钥及所述第二目标站点使用的安全算法生成第二安全密钥,其中,所述第一目标站点和所述第二目标站点是所述第一站点基于所述测量报告消息决定将所述UE切换到的站点;
获取所述第一目标站点和所述第二目标站点的安全算法标识符;
向所述UE发送切换命令消息,所述切换命令消息包含所述第一目标小区的PCI和频率、所述第二目标小区的PCI和频率、以及与所述第一目标小区的PCI和频率相关联的第一中间密钥和所述第一目标站点的安全算法标识符,与所述第二目标小区的PCI和频率相关联的第二中间密钥和所述第二目标站点的安全算法标识符,以便于所述UE依据所述切换命令消息的指示,基于所述第一目标小区的PCI和频率、所述第一中间密钥,以及所述第一目标站点的安全算法标识符指示的安全算法生成用于与所述第一目标站点进行数据安全传输的第一安全密钥、基于所述第二目标小区的PCI和频率、所述第二中间密钥,以及所述第二目标站点的安全算法标识符指示的安全算法生成用于与所述第二目标站点进行数据安全传输的第二安全密钥。
15.根据权利要求11或12所述的方法,其特征在于,
在所述向UE发送小区增加命令消息之后,还包括:
接收UE发送的第二测量报告消息;
向所述第二站点发送切换指示消息,指示所述第二站点反馈所述第二站点当前进行数据安全传输使用的第二中间密钥;
接收所述第二站点发送的切换指示反馈消息,所述切换指示反馈消息中包含所述第二中间密钥;
基于第一目标小区的PCI和频率,以及第一中间密钥生成第三中间密钥,基于第二目标小区的PCI和频率,以及所述第二中间密钥生成第四中间密钥,其中,所述第一目标小区和所述第二目标小区是所述第一站点基于所述第二测量报告消息决定将所述UE切换到的小区;
将所述第三中间密钥和第四中间密钥分别发送给第一目标站点和第二目标站点,以便所述第一目标站点根据所述第三中间密钥及所述第一目标站点使用的安全算法生成第一安全密钥、所述第二目标站点根据所述第四中间密钥及所述第二目标站点使用的安全算法生成第二安全密钥,其中,所述第一目标站点和所述第二目标站点是所述第一站点基于所述测量报告消息决定将所述UE切换到的站点;
获取所述第一目标站点和所述第二目标站点的安全算法标识符;
向所述UE发送切换命令消息,所述切换命令消息包含所述第一目标小区的PCI和频率、所述第二目标小区的PCI和频率、以及与所述第一目标小区的PCI和频率相关联的所述第一中间密钥和所述第一目标站点的安全算法标识符,与所述第二目标小区的PCI和频率相关联的所述第二中间密钥和所述第二目标站点的安全算法标识符,以便于所述UE依据所述切换命令消息的指示,基于所述第一目标小区的PCI和频率、所述第一中间密钥,以及所述第一目标站点的安全算法标识符指示的安全算法生成用于与所述第一目标站点进行数据安全传输的第一安全密钥、基于所述第二目标小区的PCI和频率、所述第二中间密钥,以及所述第二目标站点的安全算法标识符指示的安全算法生成用于与所述第二目标站点进行数据安全传输的第二安全密钥。
16.根据权利要求12所述的方法,其特征在于,
在所述向UE发送小区增加命令消息之后,还包括:
接收UE发送的第二测量报告消息;
基于目标小区的PCI和频率生成第三中间密钥,其中,所述目标小区为所述第一站点基于所述第二测量报告消息决定将所述UE切换到的小区;
向目标站点发送切换请求消息,所述切换请求消息中携带所述第三中间密钥,以便所述目标站点基于所述第三中间密钥生成第一安全密钥,其中,所述目标站点是所述第一站点基于所述第二测量报告消息决定将所述UE切换到的站点;
接收所述目标站点返回的切换请求确认消息,所述切换请求确认消息中携带有所述目标站点确定的用于生成所述第一安全密钥的目标小区的PCI和频率,以及安全算法的安全算法标识符;
向所述UE发送切换命令消息,所述切换命令消息包含所述目标站点确定的用于生成所述第一安全密钥的目标小区的PCI和频率,以及与所述目标小区的PCI和频率相关联的第一中间密钥及安全算法标识符,以便于所述UE依据所述切换命令消息的指示,基于所述目标小区的PCI和频率、所述第一中间密钥、以及所述安全算法标识符指示的安全算法生成用于与所述目标站点进行数据安全传输的第一安全密钥。
17.根据权利要求16所述的方法,其特征在于,
所述目标节点具体为第一目标节点和第二目标节点;
所述向目标站点发送切换请求消息包括:
向第一目标站点发送切换请求消息;
所述接收所述目标站点返回的切换请求确认消息包括:
接收第一目标站点返回的切换请求确认消息;
所述切换请求确认消息中携带的所述目标站点确定的用于生成所述第一安全密钥的目标小区的PCI和频率,以及安全算法的安全算法标识符通过如下方式确定:
所述第一目标站点接收到切换请求消息后,确定用于生成所述第一安全密钥的目标小区的PCI和频率,以及安全算法;
向所述第二目标站点发送切换指示消息,所述切换指示消息包含与所述确定的用于生成所述第一安全密钥的目标小区的PCI和频率相关联的第三中间密钥,以及所述安全算法的安全算法标识符,以便所述第二目标站点基于所述第三中间密钥及所述安全算法标识符指示的安全算法生成第一安全密钥;
所述第二目标站点向所述第一目标站点返回切换指示确认消息,向所述第一目标站点确认切换。
18.一种多站点下的数据安全传输方法,其特征在于,包括:
用户设备UE向第一站点发送第一测量报告消息,所述第一站点为所述UE的当前服务站点;
接收所述第一站点返回的小区增加命令消息,所述小区增加命令消息包含新增小区的物理小区标识PCI和频率,其中,所述新增小区为第二站点覆盖范围内的小区,是所述第一站点基于所述第一测量报告消息确定为所述UE新增的服务小区;
基于所述新增小区的PCI和频率、及所述第一站点使用的安全算法,生成安全密钥;
利用所述安全密钥与所述第二站点进行数据安全传输。
19.根据权利要求18所述的方法,其特征在于,
所述生成安全密钥包括:
判断本地维护的下跳链计数器NCC的计数值是否溢出,
若是,则根据所述新增小区的PCI和频率,以及所述UE当前的下跳NH参数值,生成第二中间密钥,
若否,则根据所述新增小区的PCI和频率,以及所述UE当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
利用所述第一站点使用的安全算法和所述生成的第二中间密钥生成安全密钥。
20.根据权利要求18或19所述的方法,其特征在于,
在所述生成安全密钥的之后,还包括:
利用所述安全密钥与所述第一站点进行数据安全传输。
21.根据权利要求18或19所述的方法,其特征在于,
所述小区增加命令消息还包含传输暂停时间;
在所述接收所述第一站点返回的小区增加命令消息之后,还包括:
在所述传输暂停时间指示的时间段内暂停与所述第一站点进行数据安全传输。
22.根据权利要求18或19所述的方法,其特征在于,
在所述接收所述第一站点返回的小区增加命令消息之后,还包括:
在成功获取所述新增小区的上行同步后,暂停与所述第一站点进行数据安全传输。
23.一种多站点下的数据安全传输方法,其特征在于,包括:
第一站点接收用户设备UE发送的第一测量报告消息;
向所述UE发送小区增加命令消息,所述小区增加命令消息包含新增小区的PCI和频率,以便于所述UE基于所述新增小区的PCI和频率,以及所述第一站点使用的安全算法生成安全密钥,其中,所述新增小区是所述第一站点基于所述第一测量报告消息确定为所述UE新增的服务小区。
24.根据权利要求23所述的方法,其特征在于,
在向所述UE发送小区增加命令消息之前,还包括:
判断本地维护的下跳链计数器NCC的计数值是否溢出,
若是,则根据所述新增小区的PCI和频率,以及所述第一站点当前的NH参数值,生成第二中间密钥,
若否,则根据所述新增小区的PCI和频率,以及所述UE当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
向所述新增小区所属的第二站点发送小区增加请求消息,所述小区增加请求消息中携带所述生成的第二中间密钥;
接收所述第二站点返回的小区增加请求确认消息。
25.根据权利要求24所述的方法,其特征在于,
所述小区增加请求消息中还携带所述第一站点的安全算法标识符。
26.根据权利要求24或25所述的方法,其特征在于,
在向所述UE发送小区增加命令消息之前,还包括:
基于所述第一站点使用的安全算法,和所述第二中间密钥生成新的安全密钥,以便与所述UE通过所述新的安全密钥进行数据安全传输。
27.根据权利要求23至25任一项所述的方法,其特征在于,
所述小区增加命令消息还包含传输暂停时间;
在所述向UE发送小区增加命令消息之后,还包括:
在所述传输暂停时间指示的时间段内暂停与所述UE进行数据安全传输。
28.一种用户设备,其特征在于,包括:
发送单元,用于向第一站点发送第一测量报告消息,所述第一站点为所述用户设备的当前服务站点;
接收单元,用于接收所述第一站点返回的小区增加命令消息,所述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及所述新增小区所属的第二站点的安全算法标识符,其中,所述新增小区是所述第一站点基于所述第一测量报告消息确定为所述用户设备新增的服务小区;
生成单元,用于基于所述新增小区的PCI和频率、及所述安全算法标识符指示的安全算法,生成安全密钥;
传输单元,用于利用所述生成单元生成的安全密钥与所述第二站点进行数据安全传输。
29.根据权利要求28所述的用户设备,其特征在于,
所述生成单元包括:
判断单元,用于判断本地维护的下跳链计数器NCC的计数值是否溢出;
第一生成单元,用于当所述判断单元的判断结果为是时,根据所述新增小区的PCI和频率、以及所述用户设备当前的NH参数值,生成第二中间密钥;当所述判断单元的判断结果为否时,根据所述新增小区的PCI和频率、以及所述用户设备当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
第二生成单元,用于利用所述安全算法标识符指示的安全算法、及所述第一生成单元生成的第二中间密钥生成安全密钥。
30.根据权利要求28或29所述的用户设备,其特征在于,
所述传输单元还用于利用所述生成单元生成的安全密钥与所述第一站点进行数据安全传输。
31.根据权利要求28或29所述的用户设备,其特征在于,
所述发送单元还用于向所述第一站点发送第二测量报告消息;
所述接收单元还用于接收所述第一站点发送的切换命令消息,所述切换命令消息包含第一目标小区的PCI和频率、第二目标小区的PCI和频率、与所述第一目标小区的PCI和频率相关联的第一中间密钥和所述第一目标站点的安全算法标识符、与所述第二目标小区的PCI和频率相关联的第二中间密钥和所述第二目标站点的安全算法标识符,其中,所述第一目标小区和所述第二目标小区是所述第一站点基于所述第二测量报告消息决定将所述用户设备切换到的小区,所述第一目标站点和所述第二目标站点是所述第一站点基于所述第二测量报告消息决定将所述用户设备切换到的站点;
所述生成单元还用于依据所述切换命令消息的指示,基于所述第一目标小区的PCI和频率、所述第一中间密钥、以及所述第一目标站点的安全算法标识符指示的安全算法生成第一安全密钥,基于所述第二目标小区的PCI和频率、所述第二中间密钥、以及所述第二目标站点的安全算法标识符指示的安全算法生成第二安全密钥;
所述传输单元还用于利用所述第一安全密钥与所述第一目标站点进行数据安全传输;利用所述第二安全密钥与所述第二目标站点进行数据安全传输。
32.根据权利要求30所述的用户设备,且特征在于,
所述发送单元还用于向所述第一站点发送第二测量报告消息;
所述接收单元还用于接收所述第一站点发送的切换命令消息,所述切换命令消息包含目标站点生成第一安全密钥时使用的目标小区的PCI和频率、以及与所述目标小区的PCI和频率相关联的第一中间密钥及安全算法标识符,其中,所述目标站点为所述第一站点基于所述第二测量报告消息决定将所述用户设备切换到的站点;
所述生成单元还用于依据所述切换命令消息的指示,基于所述切换命令消息中的所述PCI和频率、所述第一中间密钥、及所述安全算法标识符指示的安全算法生成第一安全密钥;
所述传输单元还用于利用所述第一安全密钥与所述目标站点进行数据安全传输。
33.一种网络站点,其特征在于,包括:
接收单元,用于接收用户设备UE发送的第一测量报告消息;
发送单元,用于向所述UE发送小区增加命令消息,所述小区增加命令消息包含新增小区的物理小区标识PCI和频率、以及所述新增小区所属的第二站点的安全算法标识符,以便于所述UE基于所述新增小区的PCI和频率、以及所述第二站点的安全算法标识符指示的安全算法生成安全密钥,其中,所述新增小区是所述第一站点基于所述第一测量报告消息确定为所述UE新增的服务小区。
34.根据权利要求33所述的网络站点,其特征在于,还包括:
判断单元,用于判断本地维护的下跳链计数器NCC的计数值是否溢出;
生成单元,用于当所述判断单元的判断结果为是时,根据所述新增小区的PCI和频率、以及所述网络站点当前的NH参数值,生成第二中间密钥;当所述判断单元的判断结果为否时,根据所述新增小区的PCI和频率、以及所述UE当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
所述发送单元,还用于向所述第二站点发送小区增加请求消息,所述小区增加请求消息中携带所述生成单元生成的第二中间密钥;
所述接收单元,还用于接收所述第二站点返回的小区增加请求确认消息。
35.根据权利要求34所述的网络站点,其特征在于,
所述接收单元还用于接收所述第二站点发送的所述第二站点的安全算法标识符;
所述生成单元还用于基于所述第二站点的安全算法标识符指示的安全算法、和所述第二中间密钥生成新的安全密钥,以便利用所述新的安全密钥与所述UE进行数据安全传输。
36.根据权利要求34或35所述的网络站点,其特征在于,
所述接收单元还用于接收UE发送的第二测量报告消息;
所述发送单元还用于向所述第二站点发送切换指示消息,所述切换指示消息中携带第二目标小区的PCI和频率,以便所述第二站点基于所述第二目标小区的PCI和频率生成第四中间密钥,其中,所述第二目标小区是所述网络站点基于所述第二测量报告消息决定将所述UE切换到的小区;
所述接收单元还用于接收所述第二站点发送的切换指示反馈消息,所述切换指示反馈消息中携带所述第二站点基于所述第二目标小区的PCI和频率生成的第四中间密钥;
所述生成单元还用于基于第一目标小区的PCI和频率生成第三中间密钥,其中,所述第一目标小区是所述网络站点基于所述第二测量报告消息决定将所述UE切换到的小区;
所述发送单元还用于将所述第三中间密钥和第四中间密钥分别发送给第一目标站点和第二目标站点,以便所述第一目标站点根据所述第三中间密钥及所述第一目标站点使用的安全算法生成第一安全密钥、所述第二目标站点根据所述第四中间密钥及所述第二目标站点使用的安全算法生成第二安全密钥,其中,所述第一目标站点和所述第二目标站点是所述网络站点基于所述第二测量报告消息决定将所述UE切换到的站点;
所述网络站点还包括获取单元,用于获取所述第一目标站点和所述第二目标站点的安全算法标识符;
所述发送单元还用于向所述UE发送切换命令消息,所述切换命令消息包含所述第一目标小区的PCI和频率、所述第二目标小区的PCI和频率、以及与所述第一目标小区的PCI和频率相关联的第一中间密钥和所述第一目标站点的安全算法标识符,与所述第二目标小区的PCI和频率相关联的第二中间密钥和所述第二目标站点的安全算法标识符,以便于所述UE依据所述切换命令消息的指示,基于所述第一目标小区的PCI和频率、所述第一中间密钥,以及所述第一目标站点的安全算法标识符指示的安全算法生成用于与所述第一目标站点进行数据安全传输的第一安全密钥、基于所述第二目标小区的PCI和频率、所述第二中间密钥,以及所述第二目标站点的安全算法标识符指示的安全算法生成用于与所述第二目标站点进行数据安全传输的第二安全密钥。
37.根据权利要求34或35所述的网络站点,其特征在于,
所述接收单元还用于接收UE发送的第二测量报告消息;
所述发送单元还用于向所述第二站点发送切换指示消息,指示所述第二站点反馈所述第二站点当前进行数据安全传输使用的第二中间密钥;
所述接收单元还用于接收所述第二站点发送的切换指示反馈消息,所述切换指示反馈消息中包含所述第二中间密钥;
所述生成单元还用于基于第一目标小区的PCI和频率,以及第一中间密钥生成第三中间密钥,基于第二目标小区的PCI和频率,以及所述第二中间密钥生成第四中间密钥,其中,所述第一目标小区和所述第二目标小区是所述第一站点基于所述第二测量报告消息决定将所述UE切换到的小区;
所述发送单元还用于将所述第三中间密钥和第四中间密钥分别发送给第一目标站点和第二目标站点,以便所述第一目标站点根据所述第三中间密钥及所述第一目标站点使用的安全算法生成第一安全密钥、所述第二目标站点根据所述第四中间密钥及所述第二目标站点使用的安全算法生成第二安全密钥,其中,所述第一目标站点和所述第二目标站点是所述第一站点基于所述测量报告消息决定将所述UE切换到的站点;
所述网络站点还包括获取单元,用于获取所述第一目标站点和所述第二目标站点的安全算法标识符;
所述发送单元还用于向所述UE发送切换命令消息,所述切换命令消息包含所述第一目标小区的PCI和频率、所述第二目标小区的PCI和频率、以及与所述第一目标小区的PCI和频率相关联的所述第一中间密钥和所述第一目标站点的安全算法标识符,与所述第二目标小区的PCI和频率相关联的所述第二中间密钥和所述第二目标站点的安全算法标识符,以便于所述UE依据所述切换命令消息的指示,基于所述第一目标小区的PCI和频率、所述第一中间密钥,以及所述第一目标站点的安全算法标识符指示的安全算法生成用于与所述第一目标站点进行数据安全传输的第一安全密钥、基于所述第二目标小区的PCI和频率、所述第二中间密钥,以及所述第二目标站点的安全算法标识符指示的安全算法生成用于与所述第二目标站点进行数据安全传输的第二安全密钥。
38.根据权利要求35所述的网络站点,其特征在于,
所述接收单元还用于接收UE发送的第二测量报告消息;
所述生成单元还用于基于目标小区的PCI和频率生成第三中间密钥,其中,所述目标小区为所述网络站点基于所述第二测量报告消息决定将所述UE切换到的小区;
所述发送单元还用于向目标站点发送切换请求消息,所述切换请求消息中携带所述第三中间密钥,以便所述目标站点基于所述第三中间密钥生成第一安全密钥,其中,所述目标站点是所述网络站点基于所述第二测量报告消息决定将所述UE切换到的站点;
所述接收单元还用于接收所述目标站点返回的切换请求确认消息,所述切换请求确认消息中携带有所述目标站点确定的用于生成所述第一安全密钥的目标小区的PCI和频率,以及使用的安全算法的安全算法标识符;
所述发送单元还用于向所述UE发送切换命令消息,所述切换命令消息包含所述目标站点确定的用于生成第一安全密钥的目标小区的PCI和频率,以及与所述目标小区的PCI和频率相关联的第一中间密钥及安全算法标识符,以便于所述UE依据所述切换命令消息的指示,基于所述目标小区的PCI和频率、所述第一中间密钥、以及安全算法标识符指示的安全算法生成用于与所述目标站点进行数据安全传输的第一安全密钥。
39.一种用户设备,其特征在于,包括:
发送单元,用于向第一站点发送第一测量报告消息,所述第一站点为所述用户设备的当前服务站点;
接收单元,用于接收所述第一站点返回的小区增加命令消息,所述小区增加命令消息包含新增小区的物理小区标识PCI和频率,其中,所述新增小区是所述第一站点基于所述第一测量报告消息确定为所述用户设备新增的服务小区;
生成单元,用于基于所述新增小区的PCI和频率、及所述第一站点使用的安全算法,生成安全密钥;
传输单元,用于利用所述生成单元生成的安全密钥与所述第二站点进行数据安全传输。
40.根据权利要求39所述的用户设备,其特征在于,
所述生成单元包括:
判断单元,用于判断本地维护的下跳链计数器NCC的计数值是否溢出;
第一生成单元,用于当所述判断单元的判断结果为是时,根据所述新增小区的PCI和频率,以及所述用户设备当前的下跳NH参数值,生成第二中间密钥;当所述判断单元的判断结果为否时,根据所述新增小区的PCI和频率,以及所述用户设备当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
第二生成单元,用于利用所述第一站点使用的安全算法,及所述生成单元生成的第二中间密钥生成安全密钥。
41.根据权利要求39或40所述的用户设备,其特征在于,
所述传输单元还用于利用所述生成单元生成的安全密钥与所述第一站点进行数据安全传输。
42.一种网络站点,其特征在于,包括:
接收单元,用于接收用户设备UE发送的第一测量报告消息;
发送单元,用于向所述UE发送小区增加命令消息,所述小区增加命令消息包含新增小区的物理小区标识PCI和频率,以便于所述UE基于所述新增小区的PCI和频率,以及所述网络站点使用的安全算法生成安全密钥,其中,所述新增小区是所述第一站点基于所述第一测量报告消息确定为所述UE新增的服务小区。
43.根据权利要求42所述的网络节点,其特征在于,还包括:
判断单元,用于判断本地维护的下跳链计数器NCC的计数值是否溢出;
生成单元,当所述判断单元的判断结果为是时,根据所述新增小区的PCI和频率,以及所述网络站点当前的NH参数值,生成第二中间密钥;当所述判断单元的判断结果为否时,根据所述新增小区的PCI和频率,以及所述UE当前进行数据安全传输使用的第一中间密钥生成第二中间密钥;
所述发送单元,还用于向所述新增小区所属的第二站点发送小区增加请求消息,所述小区增加请求消息中携带所述生成单元生成的第二中间密钥;
所述接收单元还用于接收所述第二站点返回的小区增加请求确认消息。
44.根据权利要求43所述的网络站点,其特征在于,
所述生成单元还用于基于所述网络站点使用的安全算法,和所述第二中间密钥生成新的安全密钥,以便利用所述新的安全密钥与所述UE进行数据安全传输。
CN201110251201.5A 2011-08-29 2011-08-29 一种数据安全传输方法及相关设备 Expired - Fee Related CN102958052B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201110251201.5A CN102958052B (zh) 2011-08-29 2011-08-29 一种数据安全传输方法及相关设备
PCT/CN2012/079801 WO2013029461A1 (zh) 2011-08-29 2012-08-08 一种数据安全传输方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110251201.5A CN102958052B (zh) 2011-08-29 2011-08-29 一种数据安全传输方法及相关设备

Publications (2)

Publication Number Publication Date
CN102958052A true CN102958052A (zh) 2013-03-06
CN102958052B CN102958052B (zh) 2017-07-14

Family

ID=47755299

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110251201.5A Expired - Fee Related CN102958052B (zh) 2011-08-29 2011-08-29 一种数据安全传输方法及相关设备

Country Status (2)

Country Link
CN (1) CN102958052B (zh)
WO (1) WO2013029461A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014190828A1 (zh) * 2013-05-27 2014-12-04 中兴通讯股份有限公司 一种安全密钥管理方法、装置和系统
WO2015027524A1 (zh) * 2013-09-02 2015-03-05 华为技术有限公司 一种通信方法、网络侧设备、用户设备
CN104936174A (zh) * 2014-03-21 2015-09-23 上海贝尔股份有限公司 在基于用户平面1a架构的双连接情形下更新密钥的方法
CN105409263A (zh) * 2013-08-08 2016-03-16 诺基亚技术有限公司 用于代理算法标识选择的方法和装置
CN105557006A (zh) * 2013-08-09 2016-05-04 三星电子株式会社 用于支持双连接的pdcp分布式结构的安全密钥生成和管理方法
CN109511113A (zh) * 2017-07-28 2019-03-22 华为技术有限公司 安全实现方法、相关装置以及系统
TWI712300B (zh) * 2013-12-24 2020-12-01 日商日本電氣股份有限公司 於主基站和次基站間進行雙向連接及交涉演算法資訊之小型基地台增強(sce)機制的裝置和方法
CN112385266A (zh) * 2018-07-09 2021-02-19 华为技术有限公司 通信方法、设备及系统
CN113630773A (zh) * 2017-01-24 2021-11-09 华为技术有限公司 安全实现方法、设备以及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010109488A (ja) * 2008-10-28 2010-05-13 Sharp Corp 移動通信システム、基地局装置および移動局装置
JP2010154399A (ja) * 2008-12-26 2010-07-08 Sharp Corp 通信システム及び移動局装置
CN102026324A (zh) * 2009-09-18 2011-04-20 大唐移动通信设备有限公司 一种聚合小区的重配置方法、设备和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102056160B (zh) * 2009-11-03 2013-10-09 华为技术有限公司 一种密钥生成的方法、装置和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010109488A (ja) * 2008-10-28 2010-05-13 Sharp Corp 移動通信システム、基地局装置および移動局装置
JP2010154399A (ja) * 2008-12-26 2010-07-08 Sharp Corp 通信システム及び移動局装置
CN102026324A (zh) * 2009-09-18 2011-04-20 大唐移动通信设备有限公司 一种聚合小区的重配置方法、设备和系统

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014190828A1 (zh) * 2013-05-27 2014-12-04 中兴通讯股份有限公司 一种安全密钥管理方法、装置和系统
CN105409263A (zh) * 2013-08-08 2016-03-16 诺基亚技术有限公司 用于代理算法标识选择的方法和装置
CN105409263B (zh) * 2013-08-08 2019-04-19 诺基亚技术有限公司 用于代理算法标识选择的方法和装置
US10601791B2 (en) 2013-08-09 2020-03-24 Samsung Electronics Co., Ltd. Security key generation and management method of PDCP distributed structure for supporting dual connectivity
CN105557006A (zh) * 2013-08-09 2016-05-04 三星电子株式会社 用于支持双连接的pdcp分布式结构的安全密钥生成和管理方法
US10142299B2 (en) 2013-08-09 2018-11-27 Samsung Electronics Co., Ltd. Security key generation and management method of PDCP distributed structure for supporting dual connectivity
US10404666B2 (en) 2013-08-09 2019-09-03 Samsung Electronics Co., Ltd. Security key generation and management method of PDCP distributed structure for supporting dual connectivity
US10601792B1 (en) 2013-08-09 2020-03-24 Samsung Electronics Co., Ltd. Security key generation and management method of PDCP distributed structure for supporting dual connectivity
CN105557006B (zh) * 2013-08-09 2021-11-02 三星电子株式会社 通信系统中的用户设备及由其进行通信的方法
US11050727B2 (en) 2013-08-09 2021-06-29 Samsung Electronics Co., Ltd. Security key generation and management method of PDCP distributed structure for supporting dual connectivity
CN104604271A (zh) * 2013-09-02 2015-05-06 华为技术有限公司 一种通信方法、网络侧设备、用户设备
WO2015027524A1 (zh) * 2013-09-02 2015-03-05 华为技术有限公司 一种通信方法、网络侧设备、用户设备
TWI712300B (zh) * 2013-12-24 2020-12-01 日商日本電氣股份有限公司 於主基站和次基站間進行雙向連接及交涉演算法資訊之小型基地台增強(sce)機制的裝置和方法
CN104936174A (zh) * 2014-03-21 2015-09-23 上海贝尔股份有限公司 在基于用户平面1a架构的双连接情形下更新密钥的方法
US10321308B2 (en) 2014-03-21 2019-06-11 Alcatel Lucent Method of refreshing a key in a user plane architecture 1A based dual connectivity situation
CN113630773A (zh) * 2017-01-24 2021-11-09 华为技术有限公司 安全实现方法、设备以及系统
CN113630773B (zh) * 2017-01-24 2023-02-14 华为技术有限公司 安全实现方法、设备以及系统
US11695742B2 (en) 2017-01-24 2023-07-04 Huawei Technologies Co., Ltd. Security implementation method, device, and system
US10728757B2 (en) 2017-07-28 2020-07-28 Huawei Technologies Co., Ltd. Security implementation method, related apparatus, and system
CN109511113B (zh) * 2017-07-28 2020-04-14 华为技术有限公司 安全实现方法、相关装置以及系统
CN109511113A (zh) * 2017-07-28 2019-03-22 华为技术有限公司 安全实现方法、相关装置以及系统
US11228905B2 (en) 2017-07-28 2022-01-18 Huawei Technologies Co., Ltd. Security implementation method, related apparatus, and system
CN112385266A (zh) * 2018-07-09 2021-02-19 华为技术有限公司 通信方法、设备及系统
CN112385266B (zh) * 2018-07-09 2022-06-14 华为技术有限公司 通信方法、设备及系统

Also Published As

Publication number Publication date
CN102958052B (zh) 2017-07-14
WO2013029461A1 (zh) 2013-03-07

Similar Documents

Publication Publication Date Title
CN102958052A (zh) 一种数据安全传输方法及相关设备
CN105557006B (zh) 通信系统中的用户设备及由其进行通信的方法
US9807072B2 (en) Fast-accessing method and apparatus
US10433162B2 (en) Secure radio access with inter-eNB carrier aggregation
CN105103640B (zh) 用于基于小区间干扰协调减少异构通信网络中的干扰的方法和装置
US8934902B2 (en) Method of notifying switching information and base station
CN102238541B (zh) 密钥更新方法和基站
CN106031292A (zh) 用于双连接性中的特定辅小区选择的处置的方法和系统
CN104919834A (zh) 用于在无线通信系统中应用安全信息的方法和设备
CN104919735A (zh) 在无线通信系统中发送指示的方法和设备
EP2266334A2 (en) Methods, apparatuses, and computer program products for providing multi-hop cryptographic separation for handovers
CN103796287A (zh) 一种异构网络下的数据传输方法及系统
US9924416B2 (en) Methods, apparatuses and computer program products for fast handover
CN105228171A (zh) 异构网络中双连接小基站的自配置方法和系统
WO2020056433A2 (en) SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo)
CN102340774A (zh) 一种切换的密钥分发方法及系统
CA3015317C (en) Communication system, base station and communication control method
US20230276259A1 (en) Digital signatures for small cells of telecommunications networks
KR20200002506A (ko) 무선 통신 시스템에서 통신 방법 및 장치
Nyangaresi et al. Intelligent target cell selection algorithm for low latency 5G networks
CN109314896B (zh) 小区切换方法、装置及可读存储介质
WO2023133043A1 (en) Random access configuration associated with cross-link interference
EP3311599B1 (en) Ultra dense network security architecture and method
US20220279470A1 (en) Method and apparatus for binding a plurality of subscriber identity modules (sims) associated with a user equipment (ue) to optimize network resources
CN104980894A (zh) 一种封闭成员组接入控制方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170714

Termination date: 20190829