CN104125563B - 认知无线电系统中的安全管理方法和设备 - Google Patents
认知无线电系统中的安全管理方法和设备 Download PDFInfo
- Publication number
- CN104125563B CN104125563B CN201310148305.2A CN201310148305A CN104125563B CN 104125563 B CN104125563 B CN 104125563B CN 201310148305 A CN201310148305 A CN 201310148305A CN 104125563 B CN104125563 B CN 104125563B
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- frequency spectrum
- target cell
- cell
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 168
- 230000001149 cognitive effect Effects 0.000 title claims abstract description 17
- 238000001228 spectrum Methods 0.000 claims abstract description 684
- 238000007726 management method Methods 0.000 claims description 284
- 238000004364 calculation method Methods 0.000 claims description 47
- 230000008569 process Effects 0.000 claims description 44
- 230000007774 longterm Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 20
- 230000011664 signaling Effects 0.000 description 17
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 101100460704 Aspergillus sp. (strain MF297-2) notI gene Proteins 0.000 description 2
- 241000760358 Enodes Species 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 101150096310 SIB1 gene Proteins 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种认知无线电CR系统中的安全管理方法和设备,涉及无线通信领域,用于解决CR系统中在执行频谱切换后网络侧和终端侧如何进行接入层的安全管理的问题。本发明中,在执行频谱切换后,网络侧各终端侧按照与终端预先约定的方法,根据各自存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作,从而解决了CR系统中在执行频谱切换后网络侧和终端侧如何进行接入层的安全管理的问题。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种认知无线电系统中的安全管理方法和设备。
背景技术
无线电通信频谱是一种宝贵的自然资源,随着无线通信技术的飞快发展,频谱资源贫乏的问题日益严重,为了缓解频谱资源紧张的现状,相关的部门和机构对无线通信频谱进行了监测和研究,发现某些频段(如电视频段)在大多数时间内并未使用或者在大多数地域内并未使用,而某些频段则出现了多系统多用户同时竞争的情况,即频谱资源的使用存在不均衡的现象。认知无线电(Cognitive Radio,CR)的概念正是在这种背景下产生的,其基本思想是:在不对授权系统造成干扰的前提下,认知无线电系统可以通过监测当前无线环境的变化来动态机会式地接入空白频段进行通信。
当认知无线电系统机会式接入授权系统的空白频谱时,前提是保护授权系统业务不受到CR系统的有害干扰,这就要求:
认知无线电系统准确判断出授权系统频段的空白频谱的能力;
频谱切换,即CR系统发现授权系统在当前使用的空白频谱(源工作频点)上重新出现,CR系统及时退出当前使用的空白频谱,并将整个CR系统切换到其他的空白频谱(目标工作频点)上恢复业务的过程。
传统的无线通信系统设计了安全机制为用户提供安全性,接入网层的安全机制是其中的重要组成部分。传统无线通信系统接入网层的安全机制的密钥管理考虑终端移动性,针对小区间切换设计,实现方法为:基站在决策某个终端需要执行小区切换后,向该终端发送终端专属(UE-Specific)的小区切换命令,小区切换命令中包含UE-Specific的密钥管理参数,该终端接收小区切换命令,并基于UE-Specific的密钥管理参数计算在目标小区的密钥。
以LTE系统为例进行说明。目前LTE系统设计了两层安全保护:第一层为演进的通用陆地无线网络(Evolved Universal Terrestrial Radio Access Network,E-UTRAN)中的RRC层安全和用户层安全,即接入层(Access Stratum,AS)安全;第二层是EPC中的非接入层(Non Access Stratum,NAS)安全,其密钥体系如图1所示。
其中认证和密钥协商体系(Authentication and Key Agreement,AKA)过程生成的KASME作为根密钥,推导出的KeNB是用户终端(User Equipment,UE)和基站(eNode B)之间用来计算AS层密钥的临时密钥,用于计算出AS层的密钥KRRCenc、KUPenc与KRRCint,其中KRRCint与KRRCenc分别对RRC消息进行完整性保护与加密,而KUPenc用于对空口的用户数据进行加密。KUPint仅用于中继场景,在此不作描述。
LTE系统的密钥体系如图1所示,除了上述密钥外,还包括两个小区切换过程中的中间密钥:
NH(Next Hop):由UE和移动性管理实体(Mobile Management Entity,MME)生成的密钥,用来在小区切换过程中提供前转安全性,由MME通过S1信令发送给eNB。
:当UE和eNB进行水平或者垂直的密钥生成过程时,会产生。
在小区切换过程中,目标eNB需要获得新的KeNB,并根据该KeNB计算新的KRRCenc、KUPenc与KRRCint,以便UE接入目标eNB后,可以继续进行正常的加密和完整性保护。小区切换过程中KeNB的计算方法如图2所示。其中,NH是由MME和UE通过KASME计算得到的,每个NH对应于一个下一跳链接计数值(Next hop Chaining Counter,NCC),而一个NCC值也对应于一个KeNB。当初始安全建立时,KeNB是根据KASME得到的,它对应于虚拟的NH和NCC=0,而MME和UE首次计算的NH对应于NCC=1。UE与MME计算KeNB和NH的方法是一致的。
初始的KeNB是由MME发送给当前为UE服务的eNB的,UE和eNB可以据此KeNB得到AS层安全密钥KRRCenc、KUPenc与KRRCint来保证彼此通信的安全性。
在小区切换的时候,用于得到目标小区所使用的KeNB的基础是。是源eNB根据当前所使用的KeNB或者NH计算得到的:如果是根据KeNB计算得到的,则成为水平密钥计算过程;如果是根据NH计算得到的,则称为垂直密钥计算过程。另外两个计算的输入参数是目标小区的小区物理标识(Physical cell ID,PCI)和下行载波频率。
由于NH是由MME计算并发送给eNB的,因此该过程中的安全性可以通过进一步计算来得到。
由于频谱切换发生在基站内部,下面给出目前LTE系统中基站内(intra-eNB)小区切换时的密钥管理过程。
发生intra-eNB小区切换时,eNB可利用KeNB或者NH以及目标小区的PCI、下行载波频率(EARFCN-DL)计算,然后在目标小区,直接将作为KeNB来使用。
如果源eNB中存在新的{NH,NCC},则源eNB要利用NH和目标小区的PCI、下行载波频率计算,否则,用KeNB和目标小区的PCI、下行载波频率计算。
可见,基站通过小区切换命令通知UE执行小区切换过程,小区切换命令(小区切换命令通过RCC连接重配置(RRCConnectionReconfiguration)消息承载)中包括AS层使用的安全算法、NCC等UE-Specific的参数,UE基于这些参数进行目标小区的密钥管理(密钥计算)。
不管发生的是哪种类型的小区切换,UE侧的处理都是一样的。如果UE从小区切换命令中得到的NCC与该UE正在使用的KeNB所对应的NCC的值一样,则UE使用KeNB和目标小区的PCI、下行载波频率计算得到将在目标小区使用的,然后在目标小区,直接将作为KeNB并计算出3个AS层密钥,利用计算出的AS层密钥与目标eNB进行通信。
如果UE从小区切换命令中得到的NCC与该UE正在使用的KeNB所对应的NCC的值不一样,则UE首先按照迭代的方式计算NH,每一计算一次NH,其对应的NCC值+1,直到所得到的NH对应的NCC与小区切换命令中的相同,就停止计算。此时,目标eNB和UE就达到了密钥同步,UE使用同步的NH和目标小区的PCI、下行载波频率计算得到将在目标小区使用的,然后在目标小区,直接将作为KeNB并计算出3个AS层密钥,利用计算出的AS层密钥与目标eNB进行通信。
可以看出:目前无线通信系统中的密钥管理主要考虑对每个终端单独操作,并保证每个终端的密钥唯一性,没有考虑到CR系统中频谱切换时大量UE同时切换过程的影响。
综上,目前无线通信系统中的安全管理主要考虑对每个终端单独操作,而小区切换是UE-Specific的处理过程,小区切换命令中会携带UE-Specific的密钥管理参数。
现有的安全管理没有考虑到CR系统频谱切换过程对大量终端的影响,在执行频谱切换后网络侧和终端侧如何进行接入层的安全管理,目前还没有具体的实现方案。
发明内容
本发明实施例提供一种认知无线电系统中的安全管理方法和设备,用于解决CR系统中在执行频谱切换后网络侧和终端侧如何进行接入层的安全管理的问题。
一种认知无线电CR系统中的安全管理方法,该方法包括:
网络设备在确定需要执行频谱切换后,发送承载有频谱切换命令的广播消息,以通知终端根据所述频谱切换命令执行频谱切换过程;
网络设备执行频谱切换过程;
网络设备按照与终端预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥对所述终端进行接入层的安全操作。
一种认知无线电CR系统中的安全管理方法,该方法包括:
终端接收网络设备发送的承载有频谱切换命令的广播消息,根据所述频谱切换命令执行频谱切换过程;
终端按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作。
一种网络设备,该网络设备包括:
消息发送单元,用于在确定需要执行频谱切换后,发送承载有频谱切换命令的广播消息,以通知终端根据所述频谱切换命令执行频谱切换过程;
频谱切换单元,用于执行频谱切换过程;
安全管理单元,用于按照与终端预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥对所述终端进行接入层的安全操作。
一种终端,该终端包括:
消息接收单元,用于接收网络设备发送的承载有频谱切换命令的广播消息;
频谱切换单元,用于根据所述频谱切换命令执行频谱切换过程;
安全管理单元,用于按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作。
本发明实施例提供的方案中,网络设备在确定需要执行频谱切换后,发送承载有频谱切换命令的广播消息,以通知终端根据该频谱切换命令执行频谱切换过程;网络设备执行频谱切换过程后,按照与终端预先约定的方法根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥对该终端进行接入层的安全操作。可见本方案中,网络设备在执行频谱切换后根据与终端侧的预先约定的方法确定该终端在频谱切换后的目标小区的接入层密钥,进而可以根据确定的接入层密钥在目标小区对该终端进行接入层的安全操作,从而解决了CR系统中在执行频谱切换后网络侧如何对终端进行接入层的安全管理的问题。
本发明实施例提供的另一方案中,终端接收网络设备发送的承载有频谱切换命令的广播消息,根据该频谱切换命令执行频谱切换过程后,按照与网络设备预先约定的方法根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作。可见本方案中,终端在执行频谱切换后根据与网络侧的预先约定的方法确定该终端在频谱切换后的目标小区的接入层密钥,进而可以根据确定的接入层密钥在目标小区进行接入层的安全操作,从而解决了CR系统中在执行频谱切换后终端侧如何对终端进行接入层的安全管理的问题。
附图说明
图1为现有技术中TD-LTE系统的密钥体系示意图;
图2为现有技术中TD-LTE系统小区切换过程中的密钥更新过程示意图;
图3为本发明实施例中CR系统的频谱切换过程示意图;
图4为本发明实施例提供的方法流程示意图;
图5为本发明实施例提供的另一方法流程示意图;
图6a为本发明实施例一中基站侧的实现流程示意图;
图6b为本发明实施例一中终端侧的实现流程示意图;
图6c为本发明实施例二中基站侧的实现流程示意图;
图6d为本发明实施例二中终端侧的实现流程示意图;
图6e为本发明实施例三中基站侧的实现流程示意图;
图6f为本发明实施例三中终端侧的实现流程示意图;
图6g为本发明实施例四中基站侧的实现流程示意图;
图6h为本发明实施例四中终端侧的实现流程示意图;
图7为本发明实施例提供的网络设备结构示意图;
图8为本发明实施例提供的终端结构示意图。
具体实施方式
目前频谱切换考虑认知无线电基站采用频谱切换命令通知小区内的终端的方法实现。一般采用认知无线电基站广播一条公共的频谱退让命令的方式通知小区内的用户执行频谱切换过程,从而避免认知无线电基站向小区内的连接态终端逐一发送终端专属(Specific)的频谱切换命令,从而降低频谱切换的频谱释放时间及CR用户业务中断时间,保证授权用户及CR用户的业务体验,如下图3所示。大致步骤如下:
步骤1:基站决策是否需要执行频谱切换,如果是,则执行步骤2,否则基站正常运行;
基站通过接入数据库或者感知等方式发现授权用户在当前工作频点上重现,或者基站发现当前工作频点信道质量下降到一定程度时,基站决策需要执行频谱切换;
步骤2:基站发送承载有频谱切换命令的广播消息,以通知小区内的终端执行频谱切换;
基站在决策需要执行频谱切换后,可在小区中多次发送承载有频谱切换命令的广播消息,直到达到最大频谱切换命令广播次数;或者基站在决策需要执行频谱切换后在设定的时长内在小区中发送承载有频谱切换命令的广播消息。
可通过在系统中已有的广播消息中新增信息域来承载频谱切换命令,也可定义新的广播消息承载频谱切换命令,也可定义新的广播信道承载频谱切换命令。
具体地,在长期演进(Long Term Evolution,LTE)系统中,基站可采用系统信息块(System Information Block,SIB)1或者新定义的SIB承载频谱切换命令,新定义的SIB可为特殊SIB,不受到系统信息更改周期的约束或者基站定义新的广播信道承载频谱切换命令;
步骤3-步骤4:基站执行频谱切换过程:离开源工作频点,并在目标频点恢复小区;
基站在工作过程中通过接入数据库或者感知等方式维护备用频点信息,在本步骤中,基站可从其之前维护的备用频点信息中选择一个备用频点作为频谱切换的目标频点(目标小区的中心频点),离开源工作频点上的源小区,并在目标频点恢复目标小区。
为保证频谱退让过程的性能,一般要求基站在设定时长内完成该步骤。
步骤5:终端接收广播消息并获取该广播消息中的频谱切换命令,根据频谱切换命令的指示离开源频点上的源小区,与目标频点上的目标小区进行下行同步。
步骤6-步骤8:终端与目标频点上的目标小区进行上行同步,并向基站发送频谱切换完成消息,以通知基站频谱切换完成。
终端可通过随机接入过程完成该步骤。
在LTE系统中,频谱切换完成消息可为无线资源控制(Radio Resource Control,RRC)连接重配置完成消息,或者当基站与终端约定频谱切换过程中源频点上源小区的小区无线网络临时标识(Cell Radio Network Temporary Identity,C-RNTI)为终端在目标频点上目标小区上的C-RNTI时,频谱切换完成消息可为终端在目标频点的C-RNTI。
为了解决CR系统中在执行频谱切换后网络侧如何对终端进行接入层的安全管理的问题,本发明实施例提供一种认知无线电CR系统中的安全管理方法。
参见图4,本发明实施例针对网络侧提供的CR系统中的安全管理方法,包括以下步骤:
步骤40:网络设备在确定需要执行频谱切换后,发送承载有频谱切换命令的广播消息,以通知终端根据该频谱切换命令执行频谱切换过程;
步骤41:网络设备执行频谱切换过程;
步骤42:网络设备按照与终端预先约定的方法,根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥对该终端进行接入层的安全操作。这里,根据确定的接入层密钥对该终端进行接入层的安全操作可以包括:利用该接入层密钥进行空口下行信令及用户面数据的加密与信令完整性校验码的计算,利用该接入层密钥进行空口上行信令及用户面数据的解密与信令完整性校验码的计算。
作为一种实施方式,步骤42中,网络设备按照与终端预先约定的方法,根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,具体实现可以如下:
网络设备将终端在频谱切换前的源小区的接入层密钥,确定为该终端在频谱切换后的目标小区的接入层密钥。
对于LTE系统,接入层密钥可以包括无线资源控制(RRC)消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint;或者,
对于时分同步码分多址(TD-SCDMA)和宽带码分多址接入(WCDMA)系统,接入层密钥可以包括加密密钥(CK)和完整性保护密钥(IK)。
作为另一种实施方式,步骤42中,网络设备按照与终端预先约定的方法,根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,具体实现可以如下:
网络设备根据存储的该终端在频谱切换前的源小区的密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥。具体实现可以包括如下三种实施例:
第一,对于LTE系统,密钥管理参数包括用于计算接入层密钥的临时密钥KeNB;网络设备根据存储的终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识(PCI)确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
第二,对于LTE系统,在网络设备确定需要执行频谱切换后、且发送承载有频谱切换命令的广播消息之前,网络设备向终端发送小区切换命令,该小区切换命令中包含的目标小区信息为频谱切换后的目标小区的信息,该小区切换命令中还包含该终端在频谱切换前的源小区的下一跳链接计数(NCC)参数值;该终端存储的NCC参数值与该网络设备存储的该终端的NCC参数值不一致;
相应的,网络设备若接收到该终端发送的小区切换完成消息,则根据存储的该终端在频谱切换前的源小区的NCC参数值对应的下一跳(NH)参数值、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;
网络设备若未接收到该终端发送的小区切换完成消息,则根据存储的该终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中KeNB是用于计算接入层密钥的临时密钥,是用于确定KeNB的基础参数。
第三,若该终端为第一类终端,则网络设备根据存储的该终端在频谱切换前的源小区的第二密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥;
若该终端为第二类终端,则网络设备根据存储的该终端在频谱切换前的源小区的第一密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥;
其中,第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致;第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。
较佳的,频谱切换命令中可以携带第一类终端或第二类终端的标识信息,以使终端可以根据携带的第一类终端或第二类终端的标识信息确定自身是第一类终端或是第二类终端。
具体的,对于LTE系统,第一密钥管理参数值为NCC参数值,第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB。
相应的,网络设备根据存储的该终端在频谱切换前的源小区的第二密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥,具体实现可以如下:
网络设备根据存储的该终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
网络设备根据存储的该终端在频谱切换前的源小区的第一密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥,具体实现可以如下:
网络设备根据存储的该终端在频谱切换前的源小区的NCC参数值对应的NH参数值、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
对于LTE系统,接入层密钥包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint。
为了解决CR系统中在执行频谱切换后终端侧如何对终端进行接入层的安全管理的问题,本发明实施例提供另一种CR系统中的安全管理方法。
本发明中的网络设备具体可以是基站等。
参见图5,本发明实施例针对终端侧提供的CR系统中的中安全管理方法,包括以下步骤:
步骤50:终端接收网络设备发送的承载有频谱切换命令的广播消息,根据该频谱切换命令执行频谱切换过程;
步骤51:终端按照与网络设备预先约定的方法,根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作。这里,根据确定的接入层密钥进行接入层的安全操作可以包括:利用该接入层密钥进行空口上行信令及用户面数据的加密与信令完整性校验码的计算,利用该接入层密钥进行空口下行信令及用户面数据的解密与信令完整性校验码的计算。
作为一种实施方式,步骤51中,终端按照与网络设备预先约定的方法根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,具体实现可以如下:
终端将该终端在频谱切换前的源小区的接入层密钥,确定为该终端在频谱切换后的目标小区的接入层密钥。
对于LTE系统,接入层密钥可以包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint;或者,
对于TD-SCDMA和WCDMA系统,接入层密钥包括加密密钥(CK)和完整性保护密钥(IK)。
作为另一种实施方式,步骤51中,终端按照与网络设备预先约定的方法根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,具体实现可以如下:
终端根据存储的该终端在频谱切换前的源小区的密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥。具体实现可以包括如下三种实施例:
第一,对于LTE系统,密钥管理参数包括用于计算接入层密钥的临时密钥KeNB;
终端根据存储的该终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
第二,终端接收到基站发送的小区切换命令,该小区切换命令中包含的目标小区信息为频谱切换后的目标小区的信息,该小区切换命令中还包含该终端在频谱切换前的源小区的NCC参数值;该终端存储的NCC参数值与该基站存储的该终端的NCC参数值不一致;
终端根据小区切换命令中包含的NCC参数值确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥。
若终端未接收到基站发送的小区切换命令,则按照上述第一种方法确定该终端在频谱切换后的目标小区的接入层密钥。
第三,若终端为第一类终端,则该终端根据存储的该终端在频谱切换前的源小区的第二密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥;
若终端为第二类终端,则该终端根据存储的该终端在频谱切换前的源小区的第一密钥管理参数及N值,确定该终端在频谱切换后的目标小区的第一密钥管理参数,根据该终端在频谱切换前的源小区的第一密钥管理参数及该终端在频谱切换后的目标小区的第一密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥;其中N值为网络设备存储的终端的第一密钥管理参数值与该终端所存储的第一密钥管理参数值的差异值;针对所有第一密钥管理参数值不一致的终端,该差异值为固定值,例如LTE系统中,N固定取值为1。
其中,第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致;第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。
这里,终端根据存储的该终端在频谱切换前的源小区的第一密钥管理参数及N值,确定该终端在频谱切换后的目标小区的第一密钥管理参数,具体实现可以为:终端在频谱切换后的目标小区的第一密钥管理参数=(终端在频谱切换前的源小区的第一密钥管理参数+N)mod(第一密钥管理参数取值总个数),例如在LTE系统中,终端在频谱切换后的目标小区的NCC参数值=(终端在频谱切换前的源小区的NCC参数值+1)mod8。
较佳的,终端可以根据频谱切换命令中携带的第一类终端或第二类终端的标识信息,确定本终端是第一类或第二类终端。具体的,若频谱切换命令中携带第一类终端的标识信息,则该终端判断自身的标识信息是否与频谱切换命令中携带的标识信息一致,若一致,则确定本终端是第一类终端,否则,确定本终端是第二类终端;若频谱切换命令中携带第二类终端的标识信息,则该终端判断自身的标识信息是否与频谱切换命令中携带的标识信息一致,若一致,则确定本终端是第二类终端,否则,确定本终端是第一类终端。
对于LTE系统,第一密钥管理参数值为NCC参数值,第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB,N的取值为1。
相应的,终端根据存储的该终端在频谱切换前的源小区的第二密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥,具体实现可以如下:
终端根据存储的该终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
终端根据该终端在频谱切换前的源小区的第一密钥管理参数及该终端在频谱切换后的目标小区的第一密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,具体实现可以如下:
终端按照迭代的方式计算NH参数值,每计算一次NH参数值,将该终端在频谱切换前的源小区的NCC参数值加1,直到所得到的NH参数值对应的NCC参数值与该终端在频谱切换后的目标小区的NCC相同;
根据最后一次计算得到的NH参数值、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
对于LTE系统,接入层密钥可以包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint。
下面结合具体实施例对本发明进行说明:
实施例一:
本实施例基站侧的具体实现流程如图6a所示,说明如下:
步骤601:基站在源频点上的源小区工作。
步骤602:基站与终端预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法,所述计算方法利用基站存储的终端在频谱切换前的源小区的接入层密钥或密钥管理参数。
基站与终端通过协议静态规定的方式预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。
在LTE系统中,所述密钥管理参数包括NCC参数值和/或KeNB。
在LTE系统中,所述接入层(AS)密钥包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。
步骤603:基站决策是否需要执行频谱切换,如果是,则执行步骤604,否则基站正常运行。
基站通过接入数据库或者感知等方式发现授权用户在当前工作频点上重现,或者基站发现当前工作频点信道质量下降到一定程度时,基站决策需要执行频谱切换。
步骤604:基站发送承载频谱切换命令的广播消息,以通知小区内的终端执行频谱切换。
基站在决策需要执行频谱切换后,可在小区中多次发送承载有频谱切换命令的广播消息,直到达到最大频谱切换命令广播次数;或者基站在决策需要执行频谱切换后在设定的时长内在小区中发送承载有频谱切换命令的广播消息。
可通过在系统中已有的广播消息中新增信息域来承载频谱切换命令,也可定义新的广播消息承载频谱切换命令,也可定义新的广播信道承载频谱切换命令。
具体地,在LTE系统中,基站可采用SIB1或者新定义的SIB承载频谱切换命令,新定义的SIB可为特殊SIB,不受到系统信息更改周期的约束或者基站定义新的广播信道承载频谱切换命令。
步骤605:基站执行频谱切换过程:离开源工作频点,并在目标频点恢复小区。
基站在工作过程中通过接入数据库或者感知等方式维护备用频点信息,在本步骤中,基站可从其之前维护的备用频点信息中选择一个备用频点作为频谱切换的目标频点(目标小区的中心频点),离开源工作频点上的源小区,并在目标频点恢复目标小区。
步骤606:基站根据预先约定的计算方法,基于基站存储的终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定终端在频谱切换后的目标小区的接入层密钥。
后续基站会利用本步骤确定的终端在频谱切换后的目标小区的接入层密钥进行接入层的安全操作,包括:利用所述接入层密钥进行空口下行信令及用户面数据的加密与信令完整性校验码的计算,利用所述接入层密钥进行空口上行信令及用户面数据的解密与信令完整性校验码的计算。
本实施例终端侧的具体实现流程如图6b所示,说明如下:
步骤611:终端在源频点上的源小区工作。
步骤612:终端与基站预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法,所述计算方法利用终端侧存储的终端在频谱切换前的源小区的接入层密钥或密钥管理参数。
终端与基站通过协议静态规定的方式预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。
步骤613:终端检测接收到的广播消息中是否承载有频谱切换命令,若是,则到步骤614,否则,按照现有技术执行相应流程;
步骤614:终端获取广播消息中的频谱切换命令,根据频谱切换命令的指示离开源频点上的源小区,与目标频点上的目标小区进行下行同步。
步骤615:终端利用预先约定的计算方法,基于终端存储的终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定终端在频谱切换后的目标小区的接入层密钥。
在执行本步骤之前,终端可执行一些频谱切换命令指示的其他与密钥管理不相关的操作。
后续终端会利用本步骤确定的终端在频谱切换后的目标小区的接入层密钥进行接入层的安全操作,包括:利用所述接入层密钥进行空口上行信令及用户面数据的加密与信令完整性校验码的计算,利用所述接入层密钥进行空口下行信令及用户面数据的解密与信令完整性校验码的计算。
实施例二:
本实施例给出一种基站与终端预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法:终端在频谱切换后的目标小区的接入层密钥为终端在频谱切换前的源小区的接入层密钥。
本实施例基站侧的具体实现流程如图6c所示,说明如下:
步骤621:基站在源频点上的源小区工作。
步骤622:基站与终端预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法:终端在频谱切换后的目标小区的接入层密钥为终端在频谱切换前的源小区的接入层密钥。
基站与终端通过协议静态规定的方式预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。
在LTE系统中,所述接入层(AS)密钥包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。
在TD-SCDMA、WCDMA系统中,所述接入层(AS)密钥包括加密密钥CK(Cipher Key)与完整性保护密钥(Integrity Key)。
步骤623:基站决策是否需要执行频谱切换,如果是,则执行步骤624,否则基站正常运行。
步骤624:基站发送承载频谱切换命令的广播消息,以通知小区内的终端执行频谱切换。
步骤625:基站执行频谱切换过程:离开源工作频点,并在目标频点恢复小区。
步骤626:基站根据预先约定的计算方法确定频谱切换后目标小区上针对终端的接入层密钥:将终端在频谱切换前的源小区的接入层密钥作为终端在频谱切换后的目标小区的接入层密钥。
本实施例终端侧的具体实现流程如图6d所示,说明如下:
步骤631:终端在源频点上的源小区工作。
步骤632:终端与基站预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法:终端在频谱切换后的目标小区的接入层密钥为终端在频谱切换前的源小区的接入层密钥。
终端与基站通过协议静态规定的方式预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。
步骤633:终端检测接收到的广播消息中是否承载有频谱切换命令,若是,则到步骤634,否则,按照现有技术执行相应流程;
步骤634:终端获取广播消息中的频谱切换命令,根据频谱切换命令的指示离开源频点上的源小区,与目标频点上的目标小区进行下行同步。
步骤635:终端根据预先约定的计算方法确定终端在频谱切换后的目标小区的接入层密钥:将终端在频谱切换前的源小区的接入层密钥作为终端在频谱切换后的目标小区的接入层密钥。
实施例三:
本实施例给出一种基站与终端预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法:基站与终端分别利用自身存储的终端在频谱切换前的源小区的密钥管理参数计算终端在频谱切换后的目标小区的接入层密钥。
本实施例基站侧的具体实现流程如图6e所示,说明如下:
步骤641:基站在源频点上的源小区工作。
步骤642:基站与终端预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法:基站与终端分别利用自身存储的终端在频谱切换前的源小区的密钥管理参数计算终端在频谱切换后的目标小区的接入层密钥。
基站与终端通过协议静态规定的方式预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。
在LTE系统中,所述密钥管理参数包括UE和eNode B之间用来计算AS层密钥的临时密钥KeNB。
在LTE系统中,所述接入层(AS)密钥包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。
在LTE系统中,所述计算方法可为:基站利用存储的终端在频谱切换前的源小区的KeNB、目标小区的中心频点及目标小区的PCI计算,并且确定终端在频谱切换后的目标小区的KeNB为;并根据终端在频谱切换后的目标小区的KeNB计算终端在频谱切换后的目标小区的接入层密钥,包括:RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。
步骤643:基站决策是否需要执行频谱切换,如果是,则执行步骤644,否则基站正常运行。
步骤644:基站发送承载频谱切换命令的广播消息,以通知小区内的终端执行频谱切换。
步骤645:基站执行频谱切换过程:离开源工作频点,并在目标频点恢复小区。
步骤646:基站根据预先约定的计算方法确定终端在频谱切换后的目标小区的接入层密钥:基站利用基站存储的该终端在频谱切换前的源小区的密钥管理参数计算该终端在频谱切换后的目标小区的接入层密钥。
具体的:基站利用存储的终端在频谱切换前的源小区的KeNB、目标小区的中心频点及目标小区的PCI计算,并且确定终端在频谱切换后的目标小区的KeNB为;并根据终端在频谱切换后的目标小区的KeNB计算终端在频谱切换后的目标小区的接入层密钥,包括:RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。
在LTE系统中,为了保证密钥的新鲜性,在步骤644之前,基站可以执行如下步骤:
基站在其存储的针对某UE的NCC参数值与该UE存储的NCC参数值不一致时,向该UE发送小区切换命令,小区切换命令中包含的目标小区信息为频谱切换后的目标小区的信息,且包含UE-Specific的密钥管理参数即NCC参数值,该NCC参数值为基站存储的针对该UE的NCC参数值。通过小区切换命令可将所述UE切换到频谱切换的目标小区,并且所述UE执行背景介绍中描述的小区切换过程中的密钥管理操作:基于小区切换命令中包含的NCC参数值计算(UE首先按照迭代的方式计算NH,每计算一次NH,其存储的NCC值+1,直到所得到的NH对应的NCC与小区切换命令中的相同,就停止计算,然后利用最后一次计算得到的NH、目标小区的中心频点及目标小区的PCI计算),并且确定所述UE在目标小区的KeNB为;并根据所述UE在目标小区的KeNB计算所述UE在目标小区的接入层密钥,包括:RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。这样操作的好处是保证基站与UE频谱切换后使用最新的密钥。相应地,步骤646中,针对该部分UE基站侧密钥管理操作为:基站检测是否收到了UE发送小区切换完成消息,如果接收到,则基站针对该UE的密钥管理操作为:利用基站存储的该UE在源小区的NCC参数值计算(基站利用NCC参数值对应的NH、目标小区的中心频点及目标小区的PCI计算),并且确定该UE在目标小区的KeNB为;并根据该UE在目标小区的KeNB计算该UE在目标小区的接入层密钥,包括:RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint;否则,利用步骤646中的密钥管理方法计算该UE在目标小区的接入层密钥。采用该方法,可使得基站与UE采用最新的NCC值计算密钥,保证密钥的新鲜性。
本实施例终端侧的具体实现流程如图6f所示,说明如下:
步骤651:终端在源频点上的源小区工作。
步骤652:终端与基站预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法:基站与终端分别利用自身存储的终端在频谱切换前的源小区的密钥管理参数计算终端在频谱切换后的目标小区的接入层密钥。
终端与基站通过协议静态规定的方式预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。
在LTE系统中,所述计算方法可为:终端利用存储的终端在频谱切换前的源小区的KeNB、目标小区的中心频点及目标小区的PCI计算,并且确定终端在频谱切换后的目标小区的KeNB为;并根据终端在频谱切换后的目标小区的KeNB计算终端在频谱切换后的目标小区的接入层密钥,包括:RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。
步骤653:终端检测接收到的广播消息中是否承载有频谱切换命令,若是,则到步骤654,否则,按照现有技术执行相应流程;
步骤654:终端获取广播消息中的频谱切换命令,根据频谱切换命令的指示离开源频点上的源小区,与目标频点上的目标小区进行下行同步。
步骤655:终端根据预先约定的计算方法确定终端在频谱切换后的目标小区的接入层密钥:终端利用自身存储的终端在频谱切换前的源小区的密钥管理参数计算终端在频谱切换后的目标小区的接入层密钥。
在执行本步骤之前,终端可执行一些频谱切换命令指示的其他与密钥管理不相关的操作。
在LTE系统中,终端利用自身存储的终端在频谱切换前的源小区的密钥管理参数计算终端在频谱切换后的目标小区的接入层密钥的一种方法是:终端利用存储的终端在频谱切换前的源小区的KeNB、目标小区的中心频点及目标小区的PCI计算,并且确定终端在频谱切换后的目标小区的KeNB为;并根据终端在频谱切换后的目标小区的KeNB计算终端在频谱切换后的目标小区的接入层密钥,包括:RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。
在LTE系统中,为了保证密钥的新鲜性,在步骤653之前,终端可以执行如下步骤:
终端检测是否收到小区切换命令,小区切换命令中包含的目标小区信息为频谱切换后的目标小区的信息,且包含UE-Specific的密钥管理参数即NCC参数值,该NCC参数值为基站存储的针对该UE的NCC参数值。收到小区切换命令的UE执行背景介绍中描述的小区切换过程中的密钥管理操作:基于小区切换命令中包含的NCC参数值计算(UE首先按照迭代的方式计算NH,每计算一次NH,其存储的NCC值+1,直到所得到的NH对应的NCC与小区切换命令中的相同,就停止计算,然后利用最后一次计算得到的NH、目标小区的中心频点及目标小区的PCI计算),并且确定所述UE在目标小区的KeNB为;并根据所述UE在目标小区的KeNB计算所述UE在目标小区的接入层密钥,包括:RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。并在小区切换完成后向基站发送小区切换完成消息。采用该步骤,可使得基站与UE采用最新的NCC值计算密钥,保证密钥的新鲜性。
实施例四:
本实施例给出一种LTE系统中基站与终端预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法,该方法与实施例二都是基站与终端分别利用自身存储的终端在频谱切换前的源小区的密钥管理参数计算终端在频谱切换后的目标小区的接入层密钥,该方法与实施例二不同之处是:基站针对不同类型终端约定不同的接入层密钥计算方法。
本实施例基站侧的具体实现流程如图6g所示,说明如下:
步骤661:基站在源频点上的源小区工作。
步骤662:基站将终端分为两类,与终端预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法,该计算方法针对不同类的终端是不同的。
基站与终端通过协议静态规定的方式预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。
具体的:
根据基站侧与终端侧存储的源小区上的第一密钥管理参数是否相同将终端分为两类:
基站侧与终端侧存储的源小区上的第一密钥管理参数相同的终端为第一类终端;
基站侧与终端侧存储的源小区上的第一密钥管理参数不同的终端为第二类终端。
针对第一类终端,基站和终端根据自身存储的该终端在频谱切换前的源小区的第二密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥。
针对第二类终端,基站根据存储的该终端在频谱切换前的源小区的第一密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥;终端根据存储的该终端在频谱切换前的源小区的第一密钥管理参数及N值,确定该终端在频谱切换后的目标小区的第一密钥管理参数,根据该终端在频谱切换前的源小区的第一密钥管理参数及该终端在频谱切换后的目标小区的第一密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥;其中N值为网络设备存储的终端的第一密钥管理参数值与该终端所存储的第一密钥管理参数值的差异值;针对所有第一密钥管理参数值不一致的终端,该差异值为固定值。
在LTE系统中,所述接入层(AS)密钥包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc与RRC消息完整性保护密钥KRRCint。
在LTE系统中,所述计算方法中,第一密钥管理参数为NCC,第二密钥管理参数为KeNB,N取值为1,因此具体的方法描述为:
根据基站侧与终端侧存储的源小区上的NCC参数值相同还是不同,将终端分为两类:
基站侧与终端侧存储的源小区上的NCC参数值相同的终端为第一类终端;
基站侧与终端侧存储的源小区上的NCC参数值不同的终端为第二类终端;
针对第一类终端,基站与终端分别采用自身存储的KeNB计算终端在目标小区的接入层密钥。
针对第二类终端,基站采用基站存储的NCC参数值计算终端在目标小区上的接入层密钥;终端根据存储的该终端在频谱切换前的源小区的NCC参数值及N值(即1),确定该终端在频谱切换后的目标小区的NCC参数值,根据该终端在频谱切换前的源小区的NCC参数值及该终端在频谱切换后的目标小区的NCC参数值,确定该终端在频谱切换后的目标小区的接入层密钥。
步骤663:基站决策是否需要执行频谱切换,如果是,则执行步骤664,否则基站正常运行。
步骤664:基站发送承载频谱切换命令的广播消息,以通知小区内的终端执行频谱切换。
基站采用步骤662描述的方法判断属于第二类终端的小区内连接态终端,并将属于第二类终端的终端ID包含在频谱切换命令中广播。在LTE系统中,所述终端ID可为UE的C-RNTI。
步骤665:基站执行频谱切换过程:离开源工作频点,并在目标频点恢复小区。
步骤666:基站根据预先约定的计算方法确定频谱切换后目标小区上针对终端的接入层密钥,具体的:
根据基站侧与终端侧存储的源小区上的第一密钥管理参数是否相同将终端分为两类:
基站侧与终端侧存储的源小区上的第一密钥管理参数相同的终端为第一类终端;
基站侧与终端侧存储的源小区上的第一密钥管理参数不同的终端为第二类终端。
针对第一类终端,基站根据存储的该终端在频谱切换前的源小区的第二密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥。
针对第二类终端,基站根据存储的该终端在频谱切换前的源小区的第一密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥。
在LTE系统中,第一密钥管理参数为NCC,第二密钥管理参数为KeNB,N取值为1,因此具体的方法描述为:
根据基站侧与终端侧存储的源小区上的NCC参数值相同还是不同,将终端分为两类:
基站侧与终端侧存储的源小区上的NCC参数值相同的终端为第一类终端;
基站侧与终端侧存储的源小区上的NCC参数值不同的终端为第二类终端;
针对第一类终端,基站与终端分别采用自身存储的KeNB计算终端在目标小区的接入层密钥。
针对第二类终端,基站采用基站存储的NCC参数值计算终端在目标小区上的接入层密钥。
本实施例终端侧的具体实现流程如图6h所示,说明如下:
步骤671:终端在源频点上的源小区工作。
步骤672:终端与基站预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。该计算方法针对不同类的终端是不同的。
终端与基站通过协议静态规定的方式预先约定终端在频谱切换后的目标小区的接入层密钥的计算方法。
具体的:
根据基站侧与终端侧存储的源小区上的第一密钥管理参数是否相同将终端分为两类:
基站侧与终端侧存储的源小区上的第一密钥管理参数相同的终端为第一类终端;
基站侧与终端侧存储的源小区上的第一密钥管理参数不同的终端为第二类终端。
针对第一类终端,终端根据存储的该终端在频谱切换前的源小区的第二密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥。
针对第二类终端,终端根据存储的该终端在频谱切换前的源小区的第一密钥管理参数及N值,确定该终端在频谱切换后的目标小区的第一密钥管理参数,根据该终端在频谱切换前的源小区的第一密钥管理参数及该终端在频谱切换后的目标小区的第一密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥;其中N值为网络设备存储的终端的第一密钥管理参数值与该终端所存储的第一密钥管理参数值的差异值;针对所有第一密钥管理参数值不一致的终端,该差异值为固定值。
在LTE系统中,第一密钥管理参数为NCC,第二密钥管理参数为KeNB,N取值为1,因此具体的方法描述为:
根据基站侧与终端侧存储的源小区上的NCC参数值相同还是不同,将终端分为两类:
基站侧与终端侧存储的源小区上的NCC参数值相同的终端为第一类终端;
基站侧与终端侧存储的源小区上的NCC参数值不同的终端为第二类终端;
针对第一类终端,终端采用自身存储的KeNB计算终端在目标小区的接入层密钥。
针对第二类终端,终端根据存储的该终端在频谱切换前的源小区的NCC参数值及N值(即1),确定该终端在频谱切换后的目标小区的NCC参数值,根据该终端在频谱切换前的源小区的NCC参数值及该终端在频谱切换后的目标小区的NCC参数值,确定该终端在频谱切换后的目标小区的接入层密钥。
步骤673:终端检测接收到的广播消息中是否承载有频谱切换命令,若是,则到步骤674,否则,按照现有技术执行相应流程;
步骤674:终端获取广播消息中的频谱切换命令,根据频谱切换命令的指示离开源频点上的源小区,与目标频点上的目标小区进行下行同步。
步骤675:终端根据预先约定的计算方法确定终端在频谱切换后的目标小区的接入层密钥。具体的:
终端根据频谱切换命令确定该终端属于第一类终端或是第二类终端,并根据预先约定的针对该类终端的计算方法确定终端在频谱切换后的目标小区的接入层密钥。
终端根据频谱切换命令确定该终端属于第一类终端或是第二类终端的方法为:如果频谱切换命令中包含该终端的终端ID,则该终端判断其属于第二类终端,否则该终端判断其属于第一类终端。
针对第一类终端,终端根据自身存储的该终端在频谱切换前的源小区的第二密钥管理参数值,确定该终端在频谱切换后的目标小区的接入层密钥。
针对第二类终端,终端根据存储的该终端在频谱切换前的源小区的第一密钥管理参数及N值,确定该终端在频谱切换后的目标小区的第一密钥管理参数,根据该终端在频谱切换前的源小区的第一密钥管理参数及该终端在频谱切换后的目标小区的第一密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥;其中N值为网络设备存储的终端的第一密钥管理参数值与该终端所存储的第一密钥管理参数值的差异值;针对所有第一密钥管理参数值不一致的终端,该差异值为固定值。
在LTE系统中,第一密钥管理参数为NCC,第二密钥管理参数为KeNB,N取值为1,因此具体的方法描述为:
根据基站侧与终端侧存储的源小区上的NCC参数值相同还是不同,将终端分为两类:
基站侧与终端侧存储的源小区上的NCC参数值相同的终端为第一类终端;
基站侧与终端侧存储的源小区上的NCC参数值不同的终端为第二类终端;
针对第一类终端,终端分别采用自身存储的KeNB计算终端在目标小区的接入层密钥。
针对第二类终端,终端根据存储的该终端在频谱切换前的源小区的NCC参数值及N值(即1),确定该终端在频谱切换后的目标小区的NCC参数值,根据该终端在频谱切换前的源小区的NCC参数值及该终端在频谱切换后的目标小区的NCC参数值,确定该终端在频谱切换后的目标小区的接入层密钥。
参见图7,本发明实施例提供一种网络设备,该网络设备包括:
消息发送单元70,用于在确定需要执行频谱切换后,发送承载有频谱切换命令的广播消息,以通知终端根据所述频谱切换命令执行频谱切换过程;
频谱切换单元71,用于执行频谱切换过程;
安全管理单元72,用于按照与终端预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥对所述终端进行接入层的安全操作。
进一步的,所述安全管理单元72用于:
将所述终端在频谱切换前的源小区的接入层密钥,确定为所述终端在频谱切换后的目标小区的接入层密钥。
进一步的,所述安全管理单元72用于:
根据存储的所述终端在频谱切换前的源小区的密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥。
进一步的,对于长期演进LTE系统,所述密钥管理参数包括用于计算接入层密钥的临时密钥KeNB;所述安全管理单元72用于:
根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
进一步的,该网络设备还包括:
切换指示单元73,用于对于LTE系统,在确定需要执行频谱切换后、且发送承载有频谱切换命令的广播消息之前,向所述终端发送小区切换命令,该小区切换命令中包含的目标小区信息为频谱切换后的目标小区的信息,该小区切换命令中还包含所述终端在频谱切换前的源小区的下一跳链接计数NCC参数值;所述终端存储的NCC参数值与该网络设备存储的该终端的NCC参数值不一致;
所述安全管理单元72用于:
若接收到所述终端发送的小区切换完成消息,则根据存储的所述终端在频谱切换前的源小区的NCC参数值对应的下一跳NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;
若未接收到所述终端发送的小区切换完成消息,则根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中KeNB是用于计算接入层密钥的临时密钥,是用于确定KeNB的基础参数。
进一步的,所述安全管理单元72用于:
若所述终端为第一类终端,则根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
若所述终端为第二类终端,则根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
其中,第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致;第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。
进一步的,所述频谱切换命令中携带第一类终端或第二类终端的标识信息。
进一步的,对于LTE系统,第一密钥管理参数值为NCC参数值,第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB。
进一步的,所述安全管理单元72用于:按照如下方法根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥:
根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
进一步的,所述安全管理单元72用于:按照如下方法根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥:
根据存储的所述终端在频谱切换前的源小区的NCC参数值对应的下一跳NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
进一步的,对于LTE系统,所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint;或者,
对于时分同步码分多址TD-SCDMA和宽带码分多址接入WCDMA系统,所述接入层密钥包括加密密钥CK和完整性保护密钥IK。
参见图8,本发明实施例提供一种终端,该终端包括:
消息接收单元80,用于接收网络设备发送的承载有频谱切换命令的广播消息;
频谱切换单元81,用于根据所述频谱切换命令执行频谱切换过程;
安全管理单元82,用于按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作。
进一步的,所述安全管理单元82用于:
将该终端在频谱切换前的源小区的接入层密钥,确定为该终端在频谱切换后的目标小区的接入层密钥。
进一步的,所述安全管理单元82用于:
根据存储的该终端在频谱切换前的源小区的密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥。
进一步的,对于长期演进LTE系统,所述密钥管理参数包括用于计算接入层密钥的临时密钥KeNB;所述安全管理单元82用于:
根据存储的该终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
进一步的,所述安全管理单元82用于:
若所述终端为第一类终端,则根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
若所述终端为第二类终端,则根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数及N值,确定该终端在频谱切换后的目标小区的第一密钥管理参数,根据所述终端在频谱切换前的源小区的第一密钥管理参数及所述终端在频谱切换后的目标小区的第一密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥;所述N值为网络设备存储的终端的第一密钥管理参数值与该终端所存储的第一密钥管理参数值的差异值;
其中,第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致;第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。
进一步的,所述安全管理单元82进一步用于:
根据所述频谱切换命令中携带的第一类终端或第二类终端的标识信息,确定本终端是第一类或第二类终端。
进一步的,对于LTE系统,第一密钥管理参数值为NCC参数值,第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB,N的取值为1。
进一步的,所述安全管理单元82用于:按照如下方法根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥:
根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
进一步的,所述安全管理单元82用于:按照如下方法根据所述终端在频谱切换前的源小区的第一密钥管理参数及所述终端在频谱切换后的目标小区的第一密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥:
按照迭代的方式计算下一跳NH参数值,每计算一次NH参数值,将所述终端在频谱切换前的源小区的NCC参数值加1,直到所得到的NH参数值对应的NCC参数值与所述终端在频谱切换后的目标小区的NCC相同;
根据最后一次计算得到的NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
进一步的,对于LTE系统,所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint;或者,
对于时分同步码分多址TD-SCDMA和宽带码分多址接入WCDMA系统,所述接入层密钥包括加密密钥CK和完整性保护密钥IK。
综上,本发明的有益效果包括:
本发明实施例提供的方案中,网络设备在确定需要执行频谱切换后,发送承载有频谱切换命令的广播消息,以通知终端根据该频谱切换命令执行频谱切换过程;网络设备执行频谱切换过程后,按照与终端预先约定的方法根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥对该终端进行接入层的安全操作。可见本方案中,网络设备在执行频谱切换后根据与终端侧的预先约定的方法确定该终端在频谱切换后的目标小区的接入层密钥,进而可以根据确定的接入层密钥在目标小区对该终端进行接入层的安全操作,从而解决了CR系统中在执行频谱切换后网络侧如何对终端进行接入层的安全管理的问题。
本发明实施例提供的另一方案中,终端接收网络设备发送的承载有频谱切换命令的广播消息,根据该频谱切换命令执行频谱切换过程后,按照与网络设备预先约定的方法根据存储的该终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作。可见本方案中,终端在执行频谱切换后根据与网络侧的预先约定的方法确定该终端在频谱切换后的目标小区的接入层密钥,进而可以根据确定的接入层密钥在目标小区进行接入层的安全操作,从而解决了CR系统中在执行频谱切换后终端侧如何对终端进行接入层的安全管理的问题。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (46)
1.一种认知无线电CR系统中的安全管理方法,其特征在于,该方法包括:
网络设备在确定需要执行频谱切换后,发送承载有频谱切换命令的广播消息,以通知终端根据所述频谱切换命令执行频谱切换过程;
网络设备执行频谱切换过程;
网络设备按照与终端预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥对所述终端进行接入层的安全操作。
2.如权利要求1所述的方法,其特征在于,所述网络设备按照与终端预先约定的方法,根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
网络设备将所述终端在频谱切换前的源小区的接入层密钥,确定为所述终端在频谱切换后的目标小区的接入层密钥。
3.如权利要求1所述的方法,其特征在于,所述网络设备按照与终端预先约定的方法,根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
网络设备根据存储的所述终端在频谱切换前的源小区的密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥。
4.如权利要求3所述的方法,其特征在于,对于长期演进LTE系统,所述密钥管理参数包括用于计算接入层密钥的临时密钥KeNB;所述网络设备根据存储的所述终端在频谱切换前的源小区的密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
网络设备根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
5.如权利要求3所述的方法,其特征在于,对于LTE系统,在网络设备确定需要执行频谱切换后、且发送承载有频谱切换命令的广播消息之前,进一步包括:
网络设备向所述终端发送小区切换命令,该小区切换命令中包含的目标小区信息为频谱切换后的目标小区的信息,该小区切换命令中还包含所述终端在频谱切换前的源小区的下一跳链接计数NCC参数值;所述终端存储的NCC参数值与该网络设备存储的该终端的NCC参数值不一致;
所述网络设备根据存储的所述终端在频谱切换前的源小区的密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
网络设备若接收到所述终端发送的小区切换完成消息,则根据存储的所述终端在频谱切换前的源小区的NCC参数值对应的下一跳NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;
网络设备若未接收到所述终端发送的小区切换完成消息,则根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中KeNB是用于计算接入层密钥的临时密钥,是用于确定KeNB的基础参数。
6.如权利要求3所述的方法,其特征在于,所述网络设备根据存储的所述终端在频谱切换前的源小区的密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
若所述终端为第一类终端,则网络设备根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
若所述终端为第二类终端,则网络设备根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
其中,第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致;第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。
7.如权利要求6所述的方法,其特征在于,所述频谱切换命令中携带第一类终端或第二类终端的标识信息。
8.如权利要求6所述的方法,其特征在于,对于LTE系统,第一密钥管理参数值为NCC参数值,第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB。
9.如权利要求8所述的方法,其特征在于,所述网络设备根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
网络设备根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
10.如权利要求8所述的方法,其特征在于,网络设备根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
网络设备根据存储的所述终端在频谱切换前的源小区的NCC参数值对应的下一跳NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
11.如权利要求2所述的方法,其特征在于,对于LTE系统,所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint;或者,
对于时分同步码分多址TD-SCDMA和宽带码分多址接入WCDMA系统,所述接入层密钥包括加密密钥CK和完整性保护密钥IK。
12.如权利要求3-10中任一所述的方法,其特征在于,对于LTE系统,所述接入层密钥包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint。
13.一种认知无线电CR系统中的安全管理方法,其特征在于,该方法包括:
终端接收网络设备发送的承载有频谱切换命令的广播消息,根据所述频谱切换命令执行频谱切换过程;
终端按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作。
14.如权利要求13所述的方法,其特征在于,所述终端按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
终端将该终端在频谱切换前的源小区的接入层密钥,确定为该终端在频谱切换后的目标小区的接入层密钥。
15.如权利要求13所述的方法,其特征在于,所述终端按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
终端根据存储的该终端在频谱切换前的源小区的密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥。
16.如权利要求15所述的方法,其特征在于,对于长期演进LTE系统,所述密钥管理参数包括用于计算接入层密钥的临时密钥KeNB;所述终端根据存储的该终端在频谱切换前的源小区的密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,具体包括:
终端根据存储的该终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
17.如权利要求15所述的方法,其特征在于,所述终端根据存储的该终端在频谱切换前的源小区的密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥,具体包括:
若所述终端为第一类终端,则该终端根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
若所述终端为第二类终端,则该终端根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数及N值,确定该终端在频谱切换后的目标小区的第一密钥管理参数,根据所述终端在频谱切换前的源小区的第一密钥管理参数及所述终端在频谱切换后的目标小区的第一密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥;所述N值为网络设备存储的终端的第一密钥管理参数值与该终端所存储的第一密钥管理参数值的差异值;
其中,第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致;第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。
18.如权利要求17所述的方法,其特征在于,进一步包括:
所述终端根据所述频谱切换命令中携带的第一类终端或第二类终端的标识信息,确定本终端是第一类或第二类终端。
19.如权利要求17所述的方法,其特征在于,对于LTE系统,第一密钥管理参数值为NCC参数值,第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB,N的取值为1。
20.如权利要求19所述的方法,其特征在于,所述终端根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
终端根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
21.如权利要求19所述的方法,其特征在于,所述终端根据所述终端在频谱切换前的源小区的第一密钥管理参数及所述终端在频谱切换后的目标小区的第一密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,具体包括:
终端按照迭代的方式计算下一跳NH参数值,每计算一次NH参数值,将所述终端在频谱切换前的源小区的NCC参数值加1,直到所得到的NH参数值对应的NCC参数值与所述终端在频谱切换后的目标小区的NCC相同;
根据最后一次计算得到的NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
22.如权利要求14所述的方法,其特征在于,对于LTE系统,所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint;或者,
对于时分同步码分多址TD-SCDMA和宽带码分多址接入WCDMA系统,所述接入层密钥包括加密密钥CK和完整性保护密钥IK。
23.如权利要求15-21中任一所述的方法,其特征在于,对于LTE系统,所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint。
24.一种网络设备,其特征在于,该网络设备包括:
消息发送单元,用于在确定需要执行频谱切换后,发送承载有频谱切换命令的广播消息,以通知终端根据所述频谱切换命令执行频谱切换过程;
频谱切换单元,用于执行频谱切换过程;
安全管理单元,用于按照与终端预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥对所述终端进行接入层的安全操作。
25.如权利要求24所述的网络设备,其特征在于,所述安全管理单元用于:
将所述终端在频谱切换前的源小区的接入层密钥,确定为所述终端在频谱切换后的目标小区的接入层密钥。
26.如权利要求24所述的网络设备,其特征在于,所述安全管理单元用于:
根据存储的所述终端在频谱切换前的源小区的密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥。
27.如权利要求26所述的网络设备,其特征在于,对于长期演进LTE系统,所述密钥管理参数包括用于计算接入层密钥的临时密钥KeNB;所述安全管理单元用于:
根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
28.如权利要求26所述的网络设备,其特征在于,该网络设备还包括:
切换指示单元,用于对于LTE系统,在确定需要执行频谱切换后、且发送承载有频谱切换命令的广播消息之前,向所述终端发送小区切换命令,该小区切换命令中包含的目标小区信息为频谱切换后的目标小区的信息,该小区切换命令中还包含所述终端在频谱切换前的源小区的下一跳链接计数NCC参数值;所述终端存储的NCC参数值与该网络设备存储的该终端的NCC参数值不一致;
所述安全管理单元用于:
若接收到所述终端发送的小区切换完成消息,则根据存储的所述终端在频谱切换前的源小区的NCC参数值对应的下一跳NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;
若未接收到所述终端发送的小区切换完成消息,则根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中KeNB是用于计算接入层密钥的临时密钥,是用于确定KeNB的基础参数。
29.如权利要求26所述的网络设备,其特征在于,所述安全管理单元用于:
若所述终端为第一类终端,则根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
若所述终端为第二类终端,则根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
其中,第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致;第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。
30.如权利要求29所述的网络设备,其特征在于,所述频谱切换命令中携带第一类终端或第二类终端的标识信息。
31.如权利要求29所述的网络设备,其特征在于,对于LTE系统,第一密钥管理参数值为NCC参数值,第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB。
32.如权利要求31所述的网络设备,其特征在于,所述安全管理单元用于:按照如下方法根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥:
根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
33.如权利要求31所述的网络设备,其特征在于,所述安全管理单元用于:按照如下方法根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥:
根据存储的所述终端在频谱切换前的源小区的NCC参数值对应的下一跳NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
34.如权利要求25所述的网络设备,其特征在于,对于LTE系统,所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint;或者,
对于时分同步码分多址TD-SCDMA和宽带码分多址接入WCDMA系统,所述接入层密钥包括加密密钥CK和完整性保护密钥IK。
35.如权利要求26-33中任一所述的网络设备,其特征在于,对于LTE系统,所述接入层密钥包括RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint。
36.一种终端,其特征在于,该终端包括:
消息接收单元,用于接收网络设备发送的承载有频谱切换命令的广播消息;
频谱切换单元,用于根据所述频谱切换命令执行频谱切换过程;
安全管理单元,用于按照与网络设备预先约定的方法根据存储的所述终端在频谱切换前的源小区的接入层密钥或密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥,并根据确定的接入层密钥进行接入层的安全操作。
37.如权利要求36所述的终端,其特征在于,所述安全管理单元用于:
将该终端在频谱切换前的源小区的接入层密钥,确定为该终端在频谱切换后的目标小区的接入层密钥。
38.如权利要求36所述的终端,其特征在于,所述安全管理单元用于:
根据存储的该终端在频谱切换前的源小区的密钥管理参数,确定该终端在频谱切换后的目标小区的接入层密钥。
39.如权利要求38所述的终端,其特征在于,对于长期演进LTE系统,所述密钥管理参数包括用于计算接入层密钥的临时密钥KeNB;所述安全管理单元用于:
根据存储的该终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定该终端在频谱切换后的目标小区的KeNB为该,根据该终端在频谱切换后的目标小区的KeNB确定该终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
40.如权利要求38所述的终端,其特征在于,所述安全管理单元用于:
若所述终端为第一类终端,则根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥;
若所述终端为第二类终端,则根据存储的所述终端在频谱切换前的源小区的第一密钥管理参数及N值,确定该终端在频谱切换后的目标小区的第一密钥管理参数,根据所述终端在频谱切换前的源小区的第一密钥管理参数及所述终端在频谱切换后的目标小区的第一密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥;所述N值为网络设备存储的终端的第一密钥管理参数值与该终端所存储的第一密钥管理参数值的差异值;
其中,第一类终端所存储的第一密钥管理参数值与网络设备存储的该第一类终端的第一密钥管理参数值一致;第二类终端所存储的第一密钥管理参数值与网络设备存储的该第二类终端的第一密钥管理参数值不一致。
41.如权利要求40所述的终端,其特征在于,所述安全管理单元进一步用于:
根据所述频谱切换命令中携带的第一类终端或第二类终端的标识信息,确定本终端是第一类或第二类终端。
42.如权利要求40所述的终端,其特征在于,对于LTE系统,第一密钥管理参数值为NCC参数值,第二密钥管理参数值为用于计算接入层密钥的临时密钥KeNB,N的取值为1。
43.如权利要求42所述的终端,其特征在于,所述安全管理单元用于:按照如下方法根据存储的所述终端在频谱切换前的源小区的第二密钥管理参数值,确定所述终端在频谱切换后的目标小区的接入层密钥:
根据存储的所述终端在频谱切换前的源小区的KeNB、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
44.如权利要求42所述的终端,其特征在于,所述安全管理单元用于:按照如下方法根据所述终端在频谱切换前的源小区的第一密钥管理参数及所述终端在频谱切换后的目标小区的第一密钥管理参数,确定所述终端在频谱切换后的目标小区的接入层密钥:
按照迭代的方式计算下一跳NH参数值,每计算一次NH参数值,将所述终端在频谱切换前的源小区的NCC参数值加1,直到所得到的NH参数值对应的NCC参数值与所述终端在频谱切换后的目标小区的NCC相同;
根据最后一次计算得到的NH参数值、频谱切换后的目标小区的中心频点及该目标小区的小区物理标识PCI确定,确定所述终端在频谱切换后的目标小区的KeNB为该,根据所述终端在频谱切换后的目标小区的KeNB确定所述终端在频谱切换后的目标小区的接入层密钥;其中是用于确定KeNB的基础参数。
45.如权利要求37所述的终端,其特征在于,对于LTE系统,所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint;或者,
对于时分同步码分多址TD-SCDMA和宽带码分多址接入WCDMA系统,所述接入层密钥包括加密密钥CK和完整性保护密钥IK。
46.如权利要求38-44中任一所述的终端,其特征在于,对于LTE系统,所述接入层密钥包括无线资源控制RRC消息加密密钥KRRCenc、空口的用户数据加密密钥KUPenc和RRC消息完整性保护密钥KRRCint。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310148305.2A CN104125563B (zh) | 2013-04-25 | 2013-04-25 | 认知无线电系统中的安全管理方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310148305.2A CN104125563B (zh) | 2013-04-25 | 2013-04-25 | 认知无线电系统中的安全管理方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104125563A CN104125563A (zh) | 2014-10-29 |
| CN104125563B true CN104125563B (zh) | 2017-12-29 |
Family
ID=51770797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310148305.2A Active CN104125563B (zh) | 2013-04-25 | 2013-04-25 | 认知无线电系统中的安全管理方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104125563B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107371155B (zh) * | 2016-05-13 | 2021-08-31 | 华为技术有限公司 | 通信安全的处理方法、装置及系统 |
| CN109309918B (zh) * | 2017-07-27 | 2021-06-08 | 华为技术有限公司 | 通信方法、基站和终端设备 |
| CN109309919B (zh) * | 2017-07-27 | 2021-07-20 | 华为技术有限公司 | 一种通信方法及设备 |
| WO2019140633A1 (zh) * | 2018-01-19 | 2019-07-25 | Oppo广东移动通信有限公司 | 指示用户设备获取密钥的方法、用户设备及网络设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101568108A (zh) * | 2008-04-21 | 2009-10-28 | 华为技术有限公司 | 异构系统间切换的方法和设备 |
| CN102523612A (zh) * | 2011-12-08 | 2012-06-27 | 电信科学技术研究院 | 一种认知无线电系统中的频谱切换方法和设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8140085B2 (en) * | 2008-09-30 | 2012-03-20 | Motorola Solutions, Inc. | Method and apparatus for optimizing spectrum utilization by a cognitive radio network |
| US8594686B2 (en) * | 2010-04-23 | 2013-11-26 | Motorola Solutions, Inc. | Method and apparatus for extending a broadcast group service |
| US8954010B2 (en) * | 2011-07-11 | 2015-02-10 | At&T Intellectual Property Ii, L.P. | Spectrum management system for municipal spectrum using guided cognitive radio |
-
2013
- 2013-04-25 CN CN201310148305.2A patent/CN104125563B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101568108A (zh) * | 2008-04-21 | 2009-10-28 | 华为技术有限公司 | 异构系统间切换的方法和设备 |
| CN102523612A (zh) * | 2011-12-08 | 2012-06-27 | 电信科学技术研究院 | 一种认知无线电系统中的频谱切换方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104125563A (zh) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11785510B2 (en) | Communication system | |
| AU2018339744B2 (en) | Method, apparatus, and system for security protection | |
| CN109462847B (zh) | 安全实现方法、相关装置以及系统 | |
| TWI703850B (zh) | 用於保護用於受限探索的所構造鄰近度服務代碼的安全的方法和裝置 | |
| CN101715188B (zh) | 一种空口密钥的更新方法及系统 | |
| CN106134231B (zh) | 密钥生成方法、设备及系统 | |
| CA2787969C (en) | Method and system for establishing enhanced key when terminal moves to enhanced universal terrestrial radio access network (utran) | |
| CN112154624A (zh) | 针对伪基站的用户身份隐私保护 | |
| US20150350896A1 (en) | SECURE RADIO ACCESS WITH INTER-eNB CARRIER AGGREGATION | |
| US8938071B2 (en) | Method for updating air interface key, core network node and radio access system | |
| AU2010265281A1 (en) | Key derivation method, device, and system | |
| CN107113608B (zh) | 使用密钥扩展乘数来生成多个共享密钥的方法和装置 | |
| CN104125563B (zh) | 认知无线电系统中的安全管理方法和设备 | |
| EP2648437B1 (en) | Method, apparatus and system for key generation | |
| CN109479191A (zh) | 由无线通信装置支持的能力组合的灵活指示 | |
| CN108810888B (zh) | 秘钥更新方法和设备 | |
| CN102316451B (zh) | 一种下一跳链计数器的处理方法及设备 | |
| CN101820622B (zh) | 无线通信系统中管理空口映射密钥的方法和系统 | |
| WO2021192059A1 (ja) | 端末及び通信方法 | |
| CN101902736B (zh) | 空中接口密钥的更新方法、核心网节点及无线接入系统 | |
| CN101917717B (zh) | 一种geran与增强utran间互联互通时建立密钥的方法及系统 | |
| CN101741551B (zh) | 确保前向安全的方法、网络设备、用户设备和通信系统 | |
| EP4401357A1 (en) | Secure communication method and related device | |
| CN116782211A (zh) | 切换密钥的确定方法、切换方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210527 Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing Patentee after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |