CN106375989A - 实现接入层安全的方法及用户设备和无线接入小节点 - Google Patents
实现接入层安全的方法及用户设备和无线接入小节点 Download PDFInfo
- Publication number
- CN106375989A CN106375989A CN201510429851.2A CN201510429851A CN106375989A CN 106375989 A CN106375989 A CN 106375989A CN 201510429851 A CN201510429851 A CN 201510429851A CN 106375989 A CN106375989 A CN 106375989A
- Authority
- CN
- China
- Prior art keywords
- node
- layer
- access
- chain
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/20—Selecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现接入层安全的方法及用户设备和无线接入小节点,包括执行用户设备UE与网关节点之间的端到端用户面接入层安全;以及,当UE仅存在微通信路径时,执行UE与初始接入节点之间的端到端控制面接入层安全;或者,当UE存在微通信路径和宏通信路径时,执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全;其中,微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径;宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。用户面安全只在UE和网关节点之间端到端执行,很好地保证了用户面安全;而控制面安全只在UE和初始接入节点或者宏基站之间端到端执行,在保证控制面安全的前提下减少了控制面安全操作的延时;同时,提高了UE的移动性能,保证了UE用户面数据传输的连续性。
Description
技术领域
本发明涉及移动通信技术,尤指一种实现接入层安全的方法及用户设备和无线接入小节点。
背景技术
蜂窝无线移动通信系统始于20世纪80年代,从一开始满足人类的语音通信需求发展到了后来在语音业务的基础上逐步满足人类的基础数据通信需求。传统蜂窝无线通信系统由无线网络运营商部署并运营,网络的建设经过运营商的缜密规划,图1为传统蜂窝无线接入网络的网络拓扑示意图,如图1所示,各个宏基站(MNB,macro(e)NB)的选址由运营商规划确定,每个宏基站可以达到几百米甚至几千米的无线覆盖,从而可以实现运营商运营区域内的近乎连续无缝覆盖。
随着移动互联时代的到来,新的移动应用需求,尤其是那些要求高质量、高速率、低延时的移动应用需求出现了爆发式的增长。根据行业预测,一方面,在未来10年内,无线移动业务量将出现上千倍的增长,传统实现长距离宏覆盖的无线通信系统无法实现如此巨大的容量需求;另一方面,业界通过对用户通信行为和习惯的统计发现,大部分高数据流量的移动业务集中出现在室内环境和热点地区,比如商场,学校,用户家里,大型演出、集会场所等,而室内环境和热点地区具有区域分布广而散、单区域范围小、用户集中等特点,也就是说,传统蜂窝无线网络的广覆盖、均匀覆盖、固定覆盖特点使得其无法很好的适应这种小区域范围内业务集中出现的特性。此外,传统蜂窝无线网络由于各种各样的原因,比如建筑物的阻挡等会造成蜂窝无线信号在室内环境不如室外环境,这也使得传统蜂窝无线网络无法满足将来室内环境下的大数据容量需求。
为了解决上述问题,一种无线接入小节点(SRAN-node,Small RadioAccess Network node,本文中可简称为小节点)应运而生。从概念上讲,SRAN-node是指发射功率比传统MNB的发射功率低、覆盖范围也比传统宏基站的覆盖范围小的无线接入网节点,因此,SRAN-node也可以称为低功率节点(LPN,Lower Power Node),比如可以是微基站(Pico Node)、家庭基站(Femto/Home(e)NB)、无线中继接入设备(Relay),以及其他可能出现的任何发射功率远低于传统宏基站的可以通过无线通信链路接入网络的接入网设备。
而为了满足未来无线通信系统的巨大容量提升需求,尤其是为了适应特定区域内的集中式大数据量需求,业界预测可以在特定区域内增加SRAN-node的部署密度以实现网络容量的增长,满足用户需求。业界将这种在特定区域内密集部署的网络称之为超密集网络(UDN,Ultra DenseNetwork)。图2为在传统蜂窝无线接入网络的特定区域内部署UDN的示意图,如图2所示,在大厦200内、在体育场210内、在热点230区域均部署了大量SRAN-node。
UDN可以提高网络容量,在提高网络容量的同时,未来的网络也不希望增加网络的资本支出(CAPEX,Capital Expenditure)和运营支出(OPEX,Operating Expense),这就意味着UDN的部署需要减少人为的计划、优化和管理,可以根据网络拓扑、网络负荷、业务需求等在室内、室外的热点区域或者大业务量区域完成灵活快速部署,并实现自配置、自优化和自治愈。为了实现所有这些目标,业界普遍认为UDN中仅有部分或者少量SRAN-node可以通过有线连接(wired backhaul)如光纤、电缆等接入核心网设备;而其他SRAN-node则需要支持无线回程(wireless backhaul),利用SRAN-node之间密集短距离部署的特性,通过SRAN-node之间的无线回程链路实现SRAN-node之间的互联互通,以及通过无线回程链路经过两个SRAN-node之间的无线连接(一跳)或者依次经过多个SRAN-node之间的无线连接(多跳)接入核心网设备。如此,在UDN网络中,用户设备(UE)的通信数据很有可能需要经过两段甚至两段以上的空口传输,两段空口包括UE与UE所接入的SRAN-node(设记为SRAN-node-x)之间的空口无线接入链路(RAL,Radio Access Link),以及SRAN-node-x与有有线回程的SRAN-node(设记为SRAN-node-z)之间的空口无线回程链路。超过两段空口的情况,以三段空口为例,包括RAL,SRAN-node-x与某个中间节点(设记为SRAN-node-y)之间的空口无线回程链路,以及SRAN-node-y与SRAN-node-z之间的空口无线回程链路。
未来UDN中将密集部署大量SRAN-node,而其中只有少部分SRAN-node有有线回程,这使得UE的通信数据很有可能需要经过两段甚至两段以上的空口传输,如何保证这种移动通信系统中的安全性,以保证UE的通信数据在两段甚至两段以上空口传输时的安全性,是亟需解决的技术问题,目前没有具体的实现技术方案。
发明内容
为了解决上述技术问题,本发明提供一种实现接入层安全的方法及用户设备和无线接入小节点,能够保证UE的通信数据在两段甚至两段以上空口传输时的安全性,同时提高UE的移动性能,保证UE用户面数据传输的连续性。
为了达到本发明目的,本发明提供了一种实现接入层安全的方法,包括:执行用户设备UE与网关节点之间的端到端用户面接入层安全;以及,
当UE仅存在微通信路径时,执行UE与初始接入节点之间的端到端控制面接入层安全;或者,当UE存在微通信路径和宏通信路径时,执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全;
其中,微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径;宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。
可选地,在所述微通信路径中,所述UE经过至少两段无线空中接口与所述核心网通信;
所述微通信路径至少包括UE,初始接入节点,网关节点;
当所述UE经过大于两段无线空中接口与所述核心网通信时,所述通信路径中还包括至少一个中间路由节点。
可选地,所述UE与初始接入节点之间采用无线接入空中接口Uu口;
所述初始接入节点与网关节点之间采用无线回程接口Ub口。
可选地,所述中间路由节点和所述初始接入节点之间采用无线回程接口Ub口,所述中间路由节点和所述网关节点之间采用无线回程接口Ub口;
当所述中间路由节点为两个或两个以上时,所述中间路由节点之间采用无线接入空中接口Ub口。
可选地,所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点;
所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点;
所述中间路由节点为实现所述初始接入节点和网关节点之间的通信,并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
可选地,所述执行UE与网关节点之间的端到端用户面接入层安全包括:执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护;
所述执行UE与初始接入节点或者宏基站之间的端到端控制面接入层安全包括:执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。
可选地,所述执行UE与网关节点之间的端到端用户面接入层安全包括:
在所述UE的数据包汇聚协议安全层PDCP-s和所述网关节点的PDCP-s层之间执行所述端到端用户面接入层安全。
可选地,所述UE和所述网关节点的无线回程接口Ub接口侧从下到上分别包括物理层L1、媒体接入层MAC、无线链路控制层RLC、数据包汇聚协议瘦身层PDCP-t,和数据包汇聚协议安全层PDCP-s;所述初始接入节点和所述中间路由节点从下到上分别包括L1,MAC和RLC;或者,分别包括L1,MAC,RLC和PDCP-t;
如果所述UE的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层;
如果所述网关节点的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层。
可选地,所述执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护包括:
所述UE的上层用户面数据发到空中接口之前,在所述UE的PDCP-s层执行加密和完整性保护,所述用户面数据发送到所述网关节点之后,由所述网关节点在PDCP-s层进行解密和完整性验证;
所述网关节点从核心网获取到需要发送给所述UE的用户面数据,在发到空中接口之前,在所述网关节点的PDCP-s层执行加密和完整性保护,数据发送到所述UE后,由所述UE在PDCP-s层进行解密和完整性验证。
可选地,所述PDCP-s层用于实现:头压缩和解压缩,以及安全操作;其中安全操作包括:加密,解密,完整性保护和完整性验证。
可选地,所述执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面接入层安全包括:
在所述UE的数据包汇聚协议层PDCP和所述初始接入节点或者宏基站的PDCP层之间执行端到端控制面接入层安全。
可选地,所述UE和所述初始接入节点的无线接入空中接口Uu接口侧从下到上分别包括L1,MAC,RLC,PDCP层;
所述初始接入节点、所述中间路由节点和所述网关节点在Ub接口侧从下到上分别包括L1,MAC和RLC;或者,包括L1,MAC,RLC和PDCP-t层。
可选地,执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护包括:
所述UE的上行无线链路控制RRC层信令在发送到空中接口之前,在所述UE的PDCP层执行加密和完整性保护,所述初始接入节点或者宏基站接收到RRC信令后,执行解密和完整性验证;
所述初始接入节点或者宏基站发送给UE的下行RRC层信令在发送到空中接口之前,在其PDCP层执行加密和完整性保护,所述UE接收到RRC信令后,执行解密和完整性验证。
可选地,该方法之前还包括:所述UE和所述网关节点之间生成执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护所需要的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint,
当所述UE仅存在微通信路径时,包括:
所述UE和所述网关节点基于接入层安全根密钥KeNB生成所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;
其中,所述UE的KeNB为所述UE与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS层安全过程后生成的;
所述网关节点的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后,由所述核心网发送给所述网关节点的;
当UE存在微通信路径和宏通信路径时,包括:
所述UE和所述UE的宏通信路径中的宏基站基于KeNB生成所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;所述宏基站将生成的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint发送给所述网关节点;或者,
所述UE和所述网关节点基于KeNB生成执行所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;其中,所述网关节点的KeNB由所述宏基站发送给所述网关节点;
其中,所述UE的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后生成的;
其中,所述宏基站的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后,由所述核心网发送给所述宏基站的。
可选地,该方法之前还包括:当所述UE仅存在微通信路径时,生成执行所述UE与所述初始接入节点之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint,包括:
所述UE和所述网关节点基于接入层安全根密钥KeNB生成所述控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint;所述网关节点将所述生成的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint发送给所述初始接入节点;或,所述UE和所述网关节点基于KeNB、所述初始接入节点的小区的EARFCN-DL和PCI生成接入层控制面安全根密钥KeNB*;所述网关节点将生成的KeNB*发送给所述初始接入节点,所述UE和所述初始接入节点基于所述KeNB*生成所述控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint;
或者,
该方法之前还包括:当所述UE存在微通信路径和宏通信路径时,生成执行所述UE与所述宏基站之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint,包括:
所述UE和所述宏基站基于接入层安全根密钥KeNB生成所述控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint;
其中,
所述UE的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后生成的;
所述网关节点或所述宏基站的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后,由所述核心网发送给所述网关节点或宏基站的。
可选地,所述用户面的密钥和控制面的密钥分别独立更新。
本发明还提供了一种用户设备UE,至少包括第一处理模块、第一用户面处理模块,以及第一控制面处理模块;其中,
第一处理模块,用于与核心网之间实现AKA过程和NAS层安全过程;
第一用户面处理模块,用于执行与网关节点之间的端到端用户面接入层安全;
第一控制面处理模块,当UE仅存在微通信路径时,用于执行UE与初始接入节点之间的端到端控制面接入层安全;或者,当UE存在微通信路径和宏通信路径时,用于执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全;
其中,微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径;宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。
可选地,所述第一用户面处理模块具体用于:执行与所述网关节点之间的端到端用户面加密和用户面完整性保护;
所述第一控制面处理模块具体用于:执行与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。
可选地,在所述UE的微通信路径中,所述UE经过至少两段无线空中接口与所述核心网通信;
所述微通信路径至少包括UE,初始接入节点,网关节点;
当所述UE经过大于两段无线空中接口与所述核心网通信时,所述通信路径中还包括至少一个中间路由节点。
可选地,所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点;
所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点;
所述中间路由节点为实现所述初始接入节点和网关节点之间的通信,并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
可选地,所述第一用户面处理模块具体用于:在所述UE的PDCP-s和所述网关节点的PDCP-s层之间执行所述UE与网关节点之间的端到端用户面接入层安全;
所述第一控制面处理模块具体用于:在所述UE的PDCP协议层和所述初始接入节点或者宏基站的PDCP协议层之间执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面接入层安全。
可选地,所述第一用户处理模块具体用于:
所述UE的上层用户面数据发到空中接口之前,在所述UE的PDCP-s层执行加密和完整性保护,所述用户面数据发送到所述网关节点之后,由所述网关节点在PDCP-s层进行解密和完整性验证;
所述网关节点从核心网获取到需要发送给所述UE的用户面数据,在发到空中接口之前,在所述网关节点的PDCP-s层执行加密和完整性保护,数据发送到所述UE后,由所述UE在PDCP-s层进行解密和完整性验证。
可选地,所述第一控制面处理模块具体用于:
所述UE的上行RRC层信令在发送到空中接口之前,在所述UE的PDCP层执行加密和完整性保护,所述初始接入节点或者宏基站接收到RRC信令后,执行解密和完整性验证;
所述初始接入节点或者宏基站发送给UE的下行RRC层信令在发送到空中接口之前,在其PDCP层执行加密和完整性保护,所述UE接收到RRC信令后,执行解密和完整性验证。
本发明又提供了一种无线接入小节点,该无线接入小节点为能够通过有线接口接入核心网的无线接入小节点;
该无线接入小节点至少包括第二用户面处理模块,用于执行与UE之间的端到端用户面接入层安全;所述端到端用户面接入层安全包括端到端用户面加密和用户面完整性保护。
可选地,当所述UE经过两段无线空中接口与所述核心网通信时,所述无线接入小节点与初始接入节点通过无线回程接口通信;
当所述UE经过大于两段无线空中接口与所述核心网通信时,所述无线接入小节点与中间路由节点通过无线回程接口通信,所述中间路由节点与初始接入节点通过无线回程接口通信,当所述中间路由节点为两个或两个以上时,所述中间路由节点之间通过无线回程接口通信;
其中,所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点;
所述中间路由节点为实现所述初始接入节点和所述无线接入小节点之间的通信,并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
可选地,在所述无线接入小节点自身的PDCP-s层和所述UE的PDCP-s之间执行所述端到端用户面接入层安全过程。
可选地,所述第二用户面处理模块具体用于:
在所述自身的PDCP-s层对通过空中接口接收到的来自所述UE的用户面数据进行解密和完整性验证;
从核心网获取到需要发送给所述UE的用户面数据,在发到空中接口之前,在所述自身的PDCP-s层执行加密和完整性保护。
可选地,所述无线接入小节点还包括用户面密钥生成模块,用于:
在所述第二用户面处理模块执行与所述UE之间的端到端用户面加密和用户面完整性保护之前,生成执行所述端到端用户面加密和用户面完整性保护所需要的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint。
可选地,所述用户面密钥生成模块具体用于:
基于接入层安全根密钥KeNB生成所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;或者,
接收来自所述宏基站的所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;
其中,所述KeNB由所述核心网或者所述宏基站发送给所述无线接入小节点;
其中,所述宏基站为除所述初始接入节点之外,所述UE通过无线接入链路接入的另一个基站。
本发明在提供了一种无线接入小节点,该无线接入小节点为UE通过无线接入链路接入的无线接入小节点;
该无线接入小节点至少包括第二控制面处理模块,用于执行与UE之间的端到端控制面接入层安全;所述端到端控制面接入层安全包括端到端控制面加密和控制面完整性保护。
可选地,在所述无线接入小节点自身的PDCP层和所述UE的PDCP层之间执行所述端到端控制面接入层安全过程。
可选地,所述第二控制面处理模块具体用于:
接收到RRC信令后,执行解密和完整性验证;
在所述自身的PDCP层对发送给所述UE的下行RRC层信令执行加密和完整性保护后发送到空中接口。
可选地,所述无线接入小节点还包括控制面密钥生成模块,用于:
在所述第二控制面处理模块执行与所述UE之间的端到端控制面加密和控制面完整性保护之前,生成执行所述端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。
可选地,所述控制面密钥生成模块具体用于:
接收来自网关节点的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint,或基于来自网关节点的接入层控制面安全根密钥KeNB*生成所述控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。
本发明还提供了一种无线接入小节点,包括上述两种无线接入小节点的任意组合。
与现有技术相比,本申请技术方案包括:执行用户设备UE与网关节点之间的端到端用户面接入层安全;以及,当UE仅存在微通信路径时,执行UE与初始接入节点之间的端到端控制面接入层安全;或者,当UE存在微通信路径和宏通信路径时,执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全;其中,微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径;宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。一方面,无论UE的通信路径中经过多少个中间路由节点,用户面安全只在UE和网关节点之间端到端执行,很好地保证了用户面安全,避免了因为经过多段空中接口也即经过多个中间路由节点导致的安全泄露隐患;而控制面安全只在UE和初始接入节点之间端到端执行,在保证控制面安全的前提下减少了控制面安全操作的延时;另一方面,用户面安全只在UE和网关节点之间端到端执行,使得UE在不同的SRAN-node节点之间移动时,只要UE的通信路径最后都是通过同一个节点连接到核心网,则用户面安全是不变的,从而提高了UE的移动性能。此外,用户面安全只在UE和网关节点之间端到端执行,还使得不管UE的通信路径中的中间节点如何改变,都不会导致用户面安全发生改变,从而保证了UE用户面数据传输的连续性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为传统蜂窝无线接入网络的网络拓扑示意图;
图2为在传统蜂窝无线接入网络的特定区域内部署UDN的示意图;
图3为未来一定区域内的超密集网络部署示意图;
图4为相关技术中LTE系统的安全层级示意图;
图5为图4所示的安全层级示意图对应在LTE系统协议栈中的实现分布图;
图6为本发明实现接入层安全的方法的流程图;
图7为本发明实现接入层安全的一个应用场景的示意图;
图8为本发明实现接入层安全的另一个应用场景的示意图;
图9为本发明基于图7所示应用场景的用户面接入层安全协议架构;
图10为本发明基于图7所示应用场景的实现用户面接入层安全的密钥生成实施流程图;
图11为本发明基于图7所示应用场景的控制面接入层安全协议架构;
图12为本发明基于图7所示应用场景的实现控制面接入层安全的密钥生成第一实施流程图;
图13为本发明基于图7所示应用场景的实现控制面接入层安全的密钥生成第二实施流程图;
图14为本发明基于图8所示应用场景的用户面接入层安全协议架构;
图15为本发明基于图8所示应用场景的控制面接入层安全协议架构;
图16为本发明基于图8所示应用场景的实现用户面接入层安全和控制面接入层安全的密钥生成实施流程图;
图17为本发明实现逐级节点安全验证的实施例的流程图;
图18为本发明用户设备的组成结构示意图;
图19为本发明无线接入小节点的组成结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
为了满足未来10年上千倍业务量增长的预期,UDN将被广泛部署以承担大量业务流量。UDN可以被部署在室内、室外热点区域或者任何有大业务量需求的区域。图3为未来中一定区域内的超密集网络部署示意图,考虑到实际部署网络的基础设施限制,比如在所示区域内有线网络端口数目有限,以及为不增加部署和运营网络的CAPEX和OPEX,实现灵活快捷部署该网络,如图3所示的7个SRAN-node中,只有小节点303和小节点309所部署的位置有有线网络端口,即可以通过图3中的粗黑实线所示的有线回程连接到核心网设备、OAM设备等,如小节点303可以连接到设备302,而小节点309可以连接到设备301。图3中,其他的5个小节点所部署的位置均没有有线网络端口,因此,这些小节点只能通过自身与周围其他小节点之间的无线回程链路(如图3中的虚线所示),经过一跳无线回程链路或者多跳无线回程链路连接到小节点303或小节点309,最终通过小节点303或小节点309的有线端口连接到核心网设备、OAM设备等。相应地,在图3所示的网络部署中,必然导致很多UE的通信数据需要经过两段甚至两段以上的空口传输,比如:以图3中的UE 310为例,UE310与设备301之间的通信数据需要经过两段空口的传输,即经过与小节点306之间的无线接入链路(如图3中的闪电线所示),以及小节点306与小节点309之间的无线回程链路来实现与设备301之间的通信。再如:图3中的UE 311与设备301之间的通信数据则需要经过三段空口传输,即经过与小节点307之间的无线接入链路,以及小节点307与小节点306之间的无线回程链路和小节点306与小节点309之间的无线回程链路来实现与设备301之间的通信。
图4为相关技术中LTE系统的安全层级示意图,图5为图4所示的安全层级示意图对应在LTE系统协议栈中的实现分布图,图5中,斜线阴影部分表示控制面,灰阴影部分表示用户面。如图5所示,同时示出了用户面协议栈和控制面协议栈,对核心网设备如移动管理实体/服务网关/数据网关(MME/S-GW/P-GW)而言,这些设备在物理上可以位于同一个物理设备,但逻辑上实现不同的逻辑功能,如图5中最右侧的核心网设备协议栈架构中,控制面协议栈非接入层(NAS)和网络间协议/流控制传输协议(IP/SCTP)在MME上实现,而用户面协议栈应用层协议(APP)和网络间协议/用户数据报协议/用户面隧道协议(IP/UDP/GTP-U)在S-GW/P-GW上实现。根据图4所示,为了保证LTE系统的通信安全,LTE系统会执行三个安全操作,即鉴权和密钥协商(AKA,Authentication and Key Agreement),非接入层安全密钥协商(NAS SMC,Non-Access Stratum Security Mode Command),接入层安全密钥协商(AS SMC,Access Stratum Security Mode Command)。
如图4所示,位于UE侧的UE的全球用户身份模块(USIM,UniversalSubscriber Identity Module)上会保存有一个安全根密钥K,位于网络侧的鉴权中心(AuC,Authentication Center)设备中也会保存有这个相同的安全根密钥K,这样,在AKA过程中,首先,UE和网络侧的用户归属服务器(HSS,Home Subscriber server)会分别根据上述保存的安全根密钥K,计算出加密密钥(CK,Cipher Key)和完整性密钥(IK,Integrity Key);然后,UE和HSS再分别根据所生成的CK,IK计算得到安全管理密钥KASME,安全管理密钥KASME是后续NAS层安全和AS层安全的根密钥。在AKA过程中,除了上述生成安全管理密钥KASME,UE和HSS之间还完成相互之间的身份认证,以确保对方设备的合法性。
完成了AKA过程后,UE和位于网络侧的移动管理实体(MME,MobilityManagement Entity)之间就可以执行NAS SMC过程。具体包括:UE和MME根据AKA过程中生成的安全管理密钥KASME派生出NAS层完整性密钥KNAS int和NAS层安全密钥KNAS enc。对应于图5的LTE系统协议栈,NAS层安全在UE侧的NAS协议层和MME侧的NAS协议层之间端到端实现,UE和MME的NAS层信令在传给对端之前,会用NAS层完整性密钥KNAS int、NAS层安全密钥KNAS enc进行完整性保护和加密,以保证NAS信令的安全性。
在NAS SMC过程中,MME还基于安全管理密钥KASME和NAS层的上行NAS计数值(uplink NAS COUNT),计算生成AS层的根密钥KeNB,并将AS层的根密钥KeNB通知给UE所接入的基站(eNB),此后在eNB和UE之间可以执行AS SMC过程,以保证UE和eNB之间的无线接入空中接口(Uu口)的安全性。具体包括:UE和eNB根据KeNB派生出Uu口控制面的完整性密钥KRRC int和Uu口控制面的安全密钥KRRC enc,派生出Uu口用户面的安全密钥KUP enc,对于通信双方为中继设备(relay)和eNB的情况(为了方便区分,相关技术中将relay和eNB之间的接口称为Un接口),还可以派生出空中接口Un口的用户面完整性密钥KUP int。对应于图5的LTE系统协议栈,AS层安全在图5所示的UE侧的数据包汇聚协议(PDCP,Packet DataConvergence Protocol)层和eNB侧的PDCP协议层之间端到端实现。UE和eNB的RRC层信令在传输给对端之前,会在PDCP层用Uu口控制面的完整性密钥KRRC int、Uu口控制面的安全密钥KRRC enc进行完整性保护和加密;UE的上层数据和上层NAS层信令等在传输给eNB之前,以及eNB在将来自S1接口的数据和信令等传输给UE之前,会在PDCP层用Uu口用户面的安全密钥KUP enc进行加密,对于Un口传输的情况,这些数据和信令还会在PDCP层用Un口的用户面完整性密钥KUP int进行完整性保护。通过AS层安全,保证了信息在无线空口传输的安全性。
图6为本发明实现接入层安全的方法的流程图,如图6所示,包括:
步骤600:UE与核心网之间实现AKA过程和NAS层安全过程。本步骤的具体实现属于本领域技术人员的公知技术,具体实现并不用于限定本发明的保护范围,这里不再赘述。
步骤601:执行用户设备UE与网关节点之间的端到端用户面接入层安全;以及,当UE仅存在微通信路径时,执行UE与初始接入节点之间的端到端控制面接入层安全;或者,当UE存在微通信路径和宏通信路径时,执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全;
其中,微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径;宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。
本步骤中,执行UE与网关节点之间的端到端用户面接入层安全过程包括:执行UE与网关节点之间的端到端用户面加密和用户面完整性保护;
执行UE与初始接入节点或者宏基站之间的端到端控制面接入层安全过程包括:执行UE与初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。
进一步地,在微通信路径中,UE经过至少两段无线空中接口与所述核心网通信;
微通信路径至少包括UE,初始接入节点,网关节点;
当UE经过大于两段无线空中接口与核心网通信时,通信路径中还包括至少一个中间路由节点。
其中,
初始接入节点为UE通过无线接入链路接入的无线接入小节点;
网关节点为能够通过有线接口接入核心网的无线接入小节点;
中间路由节点为实现初始接入节点和网关节点之间的通信,并最终实现接入初始接入节点的UE与核心网之间的通信提供中继传输的无线接入小节点。
图7为本发明实现接入层安全的一个应用场景的示意图,基于图3所示,在未来的网络中,UE与核心网之间的通信数据需要经过两段甚至两段以上的空口传输。如图7所示,假设一个UE经过三段空中接口与核心网通信,UE通过无线接入链路接入无线接入小节点1(SRAN-node1),将SRAN-node1称为初始接入节点,UE和SRAN-node1之间的接口即为无线接入空中接口即Uu接口。图7中,SRAN-node1无法通过有线接口(或者没有有线接口)直接接入核心网,SRAN-node1通过无线回程链路与SRAN-node2通信,将SRAN-node2称为中间路由节点,SRAN-node1和SRAN-node2之间的接口称为无线回程接口即Ub接口。SRAN-node2也无法通过有线接口直接接入核心网,SRAN-node2通过无线回程链路与SRAN-node3通信,而SRAN-node3可以通过有线接口直接接入核心网,将SRAN-node3称为网关节点,SRAN-node2和SRAN-node3之间的接口同样称为Ub接口。SRAN-node3与核心网(EPC,Evolved Packet Core)之间通过有线接口直接连接,承载在该有线接口上的SRAN-node3和EPC之间的逻辑接口为LTE相关技术中的S1接口。中间路由节点为实现初始接入节点和网关节点之间的通信从而最终实现接入初始接入节点的UE与核心网设备之间的通信提供中继传输。
图7中仅以UE经过三段空中接口(一段Uu接口和两段Ub接口)与核心网通信为例进行说明,在未来网络中,UE也可能经过两段空中接口(一段Uu接口和一段Ub接口)与核心网通信,或者UE可能经过超过三段空中接口(一段Uu接口和n段Ub接口(n>2))与核心网通信。也就是说,UE经过至少两段无线空中接口与核心网通信,UE经过至少两段无线空中接口与核心网通信的通信路径中,至少包括UE,初始接入节点,网关节点;其中,两段无线空中接口包括:UE和初始接入节点之间的无线接入空中接口(Uu口)和初始接入节点与网关节点之间的无线回程接口(Ub口)。当UE经过大于两段无线空中接口与核心网通信时,通信路径中还包括至少一个中间路由节点,此时,大于两段无线空中接口包括:UE和初始接入节点之间的Uu口,初始接入节点和中间路由节点之间的Ub口,中间路由节点和网关节点之间的Ub口;进一步地,如果有超过两个中间路由节点时,还包括中间路由节点之间的Ub口。
对于图7所示的本发明实现接入层安全的一个应用场景,步骤601中执行的端到端控制面接入层安全是在UE与初始接入节点之间执行。
图8为本发明实现接入层安全的另一个应用场景的示意图,在实际应用中,基于图2,未来的超密集网络还有一种场景是部署在有传统蜂窝覆盖的区域内。如8图所示,SRAN-node1,SRAN-node3等小节点密集部署在MNB的覆盖范围内(为了图示清晰,图8中只示意出两个小节点),其中SRAN-node3可以通过有线回程链路连接到核心网(CN)设备,而SRAN-node1只能通过无线回程链路连接到SRAN-node3并通过SRAN-node3连接到CN设备。在图8中,一方面,UE通过与MNB之间的无线接入链路接入MNB,另一方面,UE通过与SRAN-node1之间的无线接入链路接入SRAN-node1。通过UE与MNB和SRAN-node1之间的双连接,可以根据需要实现业务在两者之间的合理分配,比如:大流量业务在UE和SRAN-node1之间传输,而小流量业务在UE和MNB之间传输;再如:高可靠性业务在UE和MNB之间传输,而对可靠性要求不太严格的业务在UE和SRAN-node1之间传输等;还可以通过UE与MNB和SRAN-node1之间的双连接,实现控制面信令和用户面数据的分离,比如控制面管理信令在UE和MNB之间传输,而用户面数据在UE和SRAN-node1之间传输。
也就是说,对于图8所示的双连接场景,一方面,UE通过无线接入链路与宏基站MNB连接(将UE通过无线接入链路接入MNB最终接入核心网的通信路径称为宏通信路径),另一方面,UE通过无线接入链路与SRAN-node连接(将UE通过无线接入链路接入SRAN-node最终接入核心网的通信路径称为微通信路径);其中,UE的微通信路径中,UE经过至少两段无线空中接口与核心网通信。同样,在微通信路径中至少包括UE,初始接入节点,网关节点,两段无线空中接口包括UE和初始接入节点之间的无线接入空中接口(Uu口)和初始接入节点与网关节点之间的无线回程接口(Ub口)。当UE经过大于两段无线空中接口与核心网通信时,微通信路径中还包括至少一个中间路由节点,大于两段无线空中接口包括UE和初始接入节点之间的Uu口,初始接入节点和中间路由节点之间的Ub口,中间路由节点和网关节点之间的Ub口;进一步地,如果有超过两个中间路由节点时,还包括中间路由节点之间的Ub口。
对于图8所示的本发明实现接入层安全的另一个应用场景,步骤601中执行的端到端控制面接入层安全是在UE与宏基站之间执行。
下面针对本发明的不同应用场景,详细描述本发明方法的具体实现。
图9为本发明基于图7所示应用场景的用户面接入层安全协议架构,在UE和网关节点如SRAN-node3之间执行端到端的用户面接入层安全(E2E UPsecurity,End to End UP security)过程,即在UE的PDCP安全(PDCP-s,PDCPsecurity)协议层和SRAN-node3的PDCP-s协议层之间执行端到端用户面接入层安全过程。
如图9所示,UE和SRAN-node3在E2E UP security两端,从下到上分别包括物理层(L1)、媒体接入层(MAC,Media Access Control),无线链路控制层(RLC,Radio Link Control),数据包汇聚协议瘦身层(PDCP-t,PacketData Convergence Protocol thined),数据包汇聚协议安全层(PDCP-s,PacketData Convergence Protocol security)。其中,
PDCP-s层完成以下功能:头压缩和解压缩;安全操作,包括加密,解密,完整性保护和完整性验证;
PDCP-t层完成相关LTE技术中PDCP子层除PDCP-s层功能之外的其他功能,比如:数据传输;PDCP包序列号维护;RLC层重建时向上层按序传递数据包;RLC层重建时,对RLC确认模式数据包的重复包检测和丢弃;基于时间的包丢弃;重复包丢弃等。
需要说明的是,PDCP-s和PDCP-t层也可以合并成一个协议层实现,合并在一起即为相关LTE技术中的PDCP子层。
本发明中,在执行UE和网关节点如SRAN-node3之间的端到端用户面接入层安全过程时,UE通信路径中的其他接入网节点,包括初始接入节点和中间路由节点并不参与接入层安全操作,因此,如图9所示,在UE通信路径的其他接入网节点上,也就是说,在初始接入节点如SRAN-node1,在中间路由节点如SRAN-node2上,不需要实现PDCP-s协议层。为了实现UE通信路径中各段无线空中接口上通信双方的通信,SRAN-node1和SRAN-node2在其通信的各个无线空中接口上从下到上分别包括L1,MAC,RLC等协议层,可选地,还可以包括PDCP-t协议层。具体来讲:
SRAN-node1为实现与UE的Uu口通信,在Uu接口侧从下到上分别包括L1,MAC,RLC等协议层,可选地,还可以包括PDCP-t协议层;
SRAN-node1为实现与中间路由节点如SRAN-node2的Ub1口通信,在Ub1接口侧从下到上分别包括L1,MAC,RLC等协议层,可选地,还可以包括PDCP-t协议层;
SRAN-node2为实现与初始接入节点SRAN-node1的Ub1口通信,在该Ub1接口侧从下到上分别包括L1,MAC,RLC等协议层,可选地,还可以包括PDCP-t协议层;
SRAN-node2为实现与网关节点SRAN-node3的Ub2口通信,在该Ub2接口侧从下到上分别包括L1,MAC,RLC等协议层,可选地,还可以包括PDCP-t协议层;
以图7所示的应用场景为例,执行UE和网关节点如SRAN-node3之间的端到端用户面接入层安全过程包括:执行UE和SRAN-node3之间的端到端的用户面加密和用户面完整性保护。结合图9,UE的上层用户面数据,具体UE的上层用户面数据是指来自UE的PDCP-s层以上的协议层的数据,比如图9中UE的应用层(APP)数据,再如UE的NAS层信令等在发到空中接口(Uu口)之前,需要在PDCP-s层执行加密和完整性保护,数据发送到SRAN-node3之后,由SRAN-node3在PDCP-s层进行解密和完整性验证;同样,网关节点如SRAN-node3从核心网的S-GW/P-GW获取到需要发送给UE的用户面数据,SRAN-node3在发到空中接口(Ub口)之前,需要在PDCP-s层执行加密和完整性保护,数据发送到UE后,由UE在PDCP-s层进行解密和完整性验证。也就是说,所有用户面数据在第一次进入空中接口传输之前,执行端到端用户面加密和用户面完整性保护,从而确保了用户面数据在包括两段甚至两段以上空中接口的通信路径中传输时的安全性。
图10为本发明基于图7所示应用场景的实现用户面接入层安全的密钥生成实施流程图,通过图10所示的安全密钥生成方法,可以生成本发明执行UE和网关节点之间端到端用户面加密和用户面完整性保护所需要的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint。如图10所示,包括:
步骤1000:UE和核心网之间执行AKA过程,执行完AKA过程后,在UE和核心网设备如HSS分别计算得到安全管理密钥KASME。
本步骤UE和核心网之间执行AKA过程的具体实现属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
步骤1001:UE和核心网设备如MME之间执行NAS层安全过程(NASSMC),在执行NAS层安全过程后,在UE和MME分别生成NAS层的安全密钥即NAS层完整性密钥KNAS int和NAS层安全密钥KNAS enc。
在NAS层安全过程中,MME除了生成NAS层的安全密钥之外,还基于AKA所生成的KASME和NAS SMC中所生成的uplink NAS COUNT,计算生成AS层的根密钥KeNB。
本步骤UE和MME之间执行NAS层安全过程的具体实现属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
步骤1002:MME将UE的安全信息发送给UE通信路径中的网关节点,如图7中的SRAN-node3。
本步骤中,MME发送给SRAN-node3的UE的安全信息包括AS层的根密钥KeNB和UE的安全能力(UE security capability);其中,UE securitycapability包括UE所支持的完整性保护算法和UE所支持的加密算法。
步骤1003:SRAN-node3选择安全算法,生成端到端用户面安全密钥即用户面完整性密钥KUP int和用户面的安全密钥KUP enc。
本步骤中,SRAN-node3从UE security capability中选择UE和自身都支持的完整性保护算法和加密算法,由AS层的根密钥KeNB派生出用户面完整性密钥KUP int和用户面的安全密钥KUP enc。具体密钥派生算法与LTE相关技术中的方法完全一致,属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
步骤1104:SRAN-node3向UE发起E2E接入层安全模式命令,在E2E接入层安全模式命令中携带有SRAN-node3本地派生出用户面完整性密钥KUP int和用户面的安全密钥KUP enc时用到的接入层用户面完整性保护算法和接入层用户面加密算法。
本步骤中,SRAN-node3发给UE的E2E接入层安全模式命令是经过SRAN-node2和SRAN-node1发送给UE的。
步骤1005:UE生成端到端用户面安全密钥即用户面完整性密钥KUP int和用户面的安全密钥KUP enc。
本步骤中,UE利用由AKA过程生成的安全管理密钥KASME,以及NAS层安全过程产生的uplink NAS COUNT生成AS层的根密钥KeNB,根据来自SRAN-node3的E2E接入层安全模式命令中携带的接入层用户面完整性保护算法和接入层用户面加密算法,派生出用户面完整性密钥KUP int和用户面的安全密钥KUP enc。
步骤1006:UE经由SRAN-node1和SRAN-node2,向SRAN-node3发送E2E接入层安全模式完成消息。
自此,UE和网关节点之间生成了端到端用户面接入层安全的密钥即用户面完整性密钥KUP int和用户面的安全密钥KUP enc,UE和网关节点之间可以执行端到端用户面接入层安全操作。
图11为本发明基于图7所示应用场景的控制面接入层安全协议架构,在UE和初始接入节点如SRAN-node1之间执行端到端的控制面接入层安全(E2E CP security)过程,即在UE的PDCP协议层和SRAN-node1的PDCP协议层之间执行端到端控制面接入层安全过程。
如图11所示,UE和SRAN-node1在E2E CP security两端,从下到上分别包括L1,MAC,RLC,PDCP等协议层。
本发明中,在执行UE和初始接入节点如SRAN-node1之间的端到端控制面接入层安全过程时,UE通信路径中的其他接入网节点,包括中间路由节点和网关节点并不参与接入层控制面安全操作,因此,如图11所示,在UE通信路径的其他接入网节点上,也就是说,在中间路由节点如SRAN-node2,在网关节点如SRAN-node3上,不需要实现PDCP协议层中的安全功能。但是,为了实现UE通信路径中各段无线空中接口上通信双方的用户面通信,SRAN-node1、SRAN-node2、SRAN-node3在其通信的各个无线回程链路接口上从下到上分别包括L1,MAC,RLC等协议层,可选地,还可以包括PDCP-t协议层。具体来讲:
为了实现SRAN-node1与SRAN-node2之间的Ub1口通信,SRAN-node1和SRAN-node2在该Ub1接口侧从下到上分别包括L1,MAC,RLC等协议层,可选地,还可以包括PDCP-t协议层;
为了实现SRAN-node2与SRAN-node3之间的Ub2口通信,SRAN-node2和SRAN-node3在该Ub2接口侧从下到上分别包括L1,MAC,RLC等协议层,可选地,还可以包括PDCP-t协议层。
以图7所示的应用场景为例,执行UE和初始接入节点如SRAN-node1之间的端到端控制面接入层安全过程包括:执行UE和SRAN-node1之间的端到端控制面加密和控制面完整性保护。结合图11所示,UE的上行RRC层信令在发送到空中接口(Uu口)之前,需要在PDCP层执行加密和完整性保护,SRAN-node1接收到RRC信令后,执行解密和完整性验证;同样,SRAN-node1作为UE的初始接入节点,其发送给UE的下行RRC层信令在发送到Uu口之前,需要在PDCP层执行加密和完整性保护,UE接收到RRC信令后,执行解密和完整性验证,从这样,保证了RRC控制信令在空口传输的安全性。
图12为本发明基于图7所示应用场景的实现控制面接入层安全的密钥生成第一实施流程图,图12给出了一种本发明UE和初始接入节点之间端到端控制面接入层安全密钥的生成方法,通过图12所示的安全密钥生成方法,可以生成本发明执行UE和初始接入节点之间端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。如图12所示,包括:
步骤1200:UE和核心网之间执行AKA过程,执行完AKA过程后,在UE和核心网设备如HSS分别计算得到安全管理密钥KASME。
本步骤UE和核心网之间执行AKA过程的具体实现属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
步骤1201:UE和核心网设备如MME之间执行NAS层安全过程(NASSMC),在执行NAS层安全过程后,在UE和MME分别生成NAS层的安全密钥即NAS层完整性密钥KNAS int和NAS层安全密钥KNAS enc。
在NAS层安全过程中,MME除了生成NAS层的安全密钥之外,还基于AKA所生成的KASME和NAS SMC中所生成的uplink NAS COUNT,计算生成AS层的根密钥KeNB。
本步骤UE和MME之间执行NAS层安全过程的具体实现属于本领域技术人员的公知技术,并不用于限定本发明的保护范围,这里不再赘述。
步骤1202:MME将UE的安全信息发送给UE通信路径中的网关节点如图7中的SRAN-node3。UE的安全信息包括AS层的根密钥KeNB和UE的安全能力。本步骤具体实现与图10中的步骤1002完全一致,这里不再赘述。
可选的,如果MME获得了UE的初始接入接入节点如SRAN-node1的安全能力信息,则MME还可以将SRAN-node1的安全能力信息发送给网关节点。SRAN-node的安全能力信息包括SRAN-node1所支持的接入层控制面完整性保护算法和接入层控制面加密算法。
步骤1203:SRAN-node3向UE所接入的初始接入节点如图7中的SRAN-node1索要SRAN-node1所支持的安全能力信息,包括接入层控制面完整性保护算法和接入层控制面加密算法。
这里,SRAN-node3向SRAN-node1索要控制面安全算法的消息,以及SRAN-node1向SRAN-node3发送控制面安全算法的消息均经由SRAN-node2发送给对方。消息的具体实现可以使采用现有消息,也可以采用新消息,具体实现对于本领域技术人员来讲是容易实现的,这里并不对其进行限定,也不用于限定本发明的保护范围,这里不再赘述。
如果步骤1202中SRAN-node3已经从MME处获得了SRAN-node1的安全能力信息,则本步骤可以省略。
步骤1204:SRAN-node3生成控制面安全密钥即控制面的安全密钥KRRCenc和控制面的完整性密钥KRRCint。
本步骤中,SRAN-node3从UE security capability和SRAN-node1securitycapability中选择双方共同支持的接入面控制层安全算法中,即选择双方共同支持的控制面完整性保护算法和控制面加密算法,再由AS层的根密钥KeNB派生出控制面的安全密钥KRRCenc和控制面的完整性密钥KRRCint。
步骤1205:SRAN-node3通知SRAN-node1控制面安全密钥,通知的内容包括:控制面的安全密钥KRRCenc、控制面的完整性密钥KRRCint、接入层控制面完整性保护算法和接入层控制面加密算法。其中通知消息经由SRAN-node2发送给SRAN-node1。
步骤1206:SRAN-node1向UE发送接入层安全模式命令,在接入层安全模式命令中携带SRAN-node1所接收到的SRAN-node3派生控制面密钥所使用的接入层控制面完整性保护算法和接入层控制面加密算法。
步骤1207:UE生成控制面安全密钥即控制面的安全密钥KRRCenc、控制面的完整性密钥KRRCint。
本步骤中,UE利用AKA过程生成的安全管理密钥KASME,以及NAS层安全过程产生的uplink NAS COUNT生成的AS层的根密钥KeNB,以及收到的接入层控制面安全算法即接入层控制面完整性保护算法和接入层控制面加密算法派生出控制面的安全密钥KRRCenc、控制面的完整性密钥KRRCint。
步骤1208:UE向SRAN-node1发送接入层安全模式完成消息。
自此,UE和初始接入节点之间生成了端到端控制面接入层安全的密钥即控制面的安全密钥KRRCenc、控制面的完整性密钥KRRCint,UE和初始接入节点之间可以执行端到端控制面接入层安全操作。
图13为本发明基于图7所示应用场景的实现控制面接入层安全的密钥生成第二实施流程图,通过图13所示的安全密钥生成方法,可以生成本发明执行UE和初始接入节点之间端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。如图13所示,包括:
步骤1300~步骤1302与图12中的步骤1200~步骤1202完全一致,这里不再赘述。
步骤1303:SRAN-node3接收到UE的安全信息后,由UE所接入的SRAN-node1小区的下行绝对载频号(EARFCN-DL,E-UTRA Absolute RadioFrequency Channel Number)、物理小区标识(PCI,Phisical Cell Identity)和所收到的AS层的根密钥KeNB,派生出接入层控制面根密钥KeNB*。
步骤1304:SRAN-node3将所派生出的控制面安全根密钥KeNB*发送给SRAN-node1。
可选地,如果SRAN-node1没有UE的UE security capability,步骤1302中,SRAN-node3还将UE security capability发送给SRAN-node1。
步骤1305:SRAN-node1选择接入层控制面完整性保护算法、接入层控制面加密算法,并由KeNB*派生出控制面安全密钥即控制面的安全密钥KRRCenc和控制面的完整性密钥KRRCint。
本步骤的相关密钥派生算法与LTE相关技术中的控制面密钥派生算法一致,并不用于限定本发明的保护范围,这里不再赘述。
步骤1306:SRAN-node1向UE发送接入层安全模式命令,在接入层安全模式命令中携带SRAN-node1派生接入层控制面密钥时所选择使用的接入层控制面完整性保护算法和接入层控制面加密算法。
步骤1307:UE生成控制面安全密钥即控制面的安全密钥KRRCenc、控制面的完整性密钥KRRCint。
本步骤中,首先,UE利用AKA过程生成的安全管理密钥KASME和NAS层安全过程产生的uplink NAS COUNT生成的AS层的根密钥KeNB;然后,UE再利用AS层的根密钥KeNB,UE所接入的SRAN-node1小区的EARFCN-DL、PCI,派生出接入层控制面根密钥KeNB*;最后,UE利用KeNB*,使用步骤1306中所接收到的接入层控制面完整性保护算法,接入层控制面加密算法,派生出控制面安全密钥即控制面的安全密钥KRRCenc、控制面的完整性密钥KRRCint。
步骤1308:UE向SRAN-node1发送接入层安全模式完成消息。
自此,UE和初始接入节点之间生成了端到端控制面接入层安全的密钥即控制面的安全密钥KRRCenc、控制面的完整性密钥KRRCint,UE和初始接入节点之间可以执行端到端可控制面接入层安全操作。
由图10,图12,图13的密钥生成实施流程及相应描述可见,对于图7所示的场景中,本发明的密钥生成流程中,在AKA和NAS层安全过程之后,生成用户面端到端接入层安全密钥和生成控制面端到端接入层安全密钥的过程可以独立执行,因此本发明实施例中,当用户面端到端接入层安全密钥和控制面端到端接入层安全密钥需要更新时,可以分别独立更新。比如,当用户面的某个无线承载(RB,Radio Bear)上的PDCP计数值(PDCP COUNT)发生计数翻转需要重新开始计数时,网关节点(如SRAN-node3)可以发起独立的用户面端到端接入层安全密钥更新过程,而保持UE与初始接入节点之间的端到端控制面接入层安全密钥不变。具体网关节点(如SRAN-node3)发起用户面端到端接入层安全密钥更新的行为可以是,网关节点(如SRAN-node3)基于KeNB和网关节点上的小区的EARFCN-DL,PCI生成一个新的KeNB**,之后,网关节点(如SRAN-node3)基于该KeNB**,采取如图10中步骤1003到步骤1006的方法生成新的用户面接入层安全密钥,这里,在步骤1004中,网关节点(如SRAN-node3)除将所选择的接入层完整性保护算法和接入层加密算法通知给UE之外,还将生成的新的KeNB**通知给UE,UE基于所接收到的KeNB**、接入层完整性保护算法和接入层加密算法生成新的用户面接入层安全密钥。
从上述结合图7所示的场景的描述可见,本发明用户面执行UE与UE的所述通信路径中的网关节点之间的端到端接入层安全,控制面执行UE与UE的所述通信路径中UE所接入的初始接入节点之间的端到端接入层安全。通过本发明基于图7所示的应用场景的实现接入层安全的方法,一方面,无论UE的通信路径中经过多少段空中接口,也即无论UE的通信路径中经过多少个中间路由节点,用户面安全只在UE和网关节点之间端到端执行,很好地保证了用户面安全,避免了因为经过多段空中接口也即经过多个中间路由节点导致的安全泄露隐患;而控制面安全只在UE和初始接入节点之间端到端执行,在保证控制面安全的前提下减少了控制面安全操作的延时;另一方面,用户面安全只在UE和网关节点之间端到端执行,使得UE在不同的SRAN-node节点之间移动时,只要UE的通信路径最后都是通过同一个网关节点连接到核心网,则用户面安全是不变的,从而提高了UE的移动性能。此外,用户面安全只在UE和网关节点之间端到端执行,还使得不管UE的通信路径中的中间节点如何改变,都不会导致用户面安全发生改变,从而保证了UE用户面数据传输的连续性。
图14为本发明基于图8所示另一应用场景的用户面接入层安全协议架构,如图14所示,用户面执行UE与UE的微通信路径中的网关节点之间的端到端接入层安全,即在UE的PDCP-s协议层和网关节点如图8所示的SRAN-node3的PDCP-s协议层之间执行端到端用户面接入层安全过程。UE和SRAN-node3在E2E UP security两端,从下到上分别包括L1、MAC、RLC、PDCP-t、PDCP-s。UE的微通信路径中的其他接入网节点,包括初始接入节点和中间路由节点均不参与接入层安全操作。安全操作包括执行UE和网关节点SRAN-node3之间的端到端用户面加密和用户面完整性保护。
图15为本发明基于图8所示另一应用场景的控制面接入层安全协议架构,如图15所示,控制面执行UE与UE的宏通信路径中的宏基站之间的端到端接入层安全,即在UE的PDCP协议层和宏基站的PDCP协议层之间执行端到端控制面接入层安全。UE和MNB在E2E CP security两端,从下到上分别包括L1、MAC、RLC、PDCP等协议层。安全操作包括执行UE和宏基站之间的端到端控制面加密和控制面完整性保护。
图16为本发明基于图8所示另一应用场景的实现用户面接入层安全和控制面接入层安全的密钥生成实施流程图,如图16所示,给出了图8所示的双连接场景下,执行控制面和用户面分离的接入层安全的安全密钥生成的方法。通过图16所示的安全密钥生成方法,可以生成执行本发明UE与UE的微通信路径中的网关节点之间的端到端接入层安全所需要的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint,以及生成执行本发明UE与UE的宏通信路径中的宏基站之间的端到端接入层安全所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。如图16所示,具体包括:
步骤1600~步骤1601与步骤1000~步骤1001完全一致,这里不再赘述。
步骤1602:MME将UE的安全信息发送给MNB。
在步骤1601的NAS层安全过程中,MME除了生成NAS层的安全密钥之外,还基于AKA所生成的KASME和NAS SMC中所生成的uplink NASCOUNT,计算生成AS层的根密钥KeNB。
本步骤中,MME发送给MNB的UE的安全信息包括AS层的根密钥KeNB和UE的安全能力(UE security capability);其中UE security capability包括UE所支持的完整性保护算法和UE所支持的加密算法。
步骤1603:MNB选择安全算法,由AS层的根密钥KeNB派生出控制面安全密钥即控制面的安全密钥KRRCenc和控制面的完整性密钥KRRCint;或者,MNB选择安全算法,由AS层的根密钥KeNB派生出控制面和用户面安全密钥即控制面的安全密钥KRRCenc和控制面的完整性密钥KRRCint,以及用户面完整性密钥KUP int和用户面的安全密钥KUP enc。
本步骤中,MNB从UE security capability中选择UE和MNB都支持的完整性保护算法和加密算法,由AS层的根密钥KeNB派生上述接入层密钥。具体密钥派生算法与LTE相关技术中的方法完全一致,具体实现并不用于限定本发明的保护范围,这里不再赘述。
步骤1604:MNB将用户面安全密钥通知给网关节点如图8中的SRAN-node3。
如果步骤1603中MNB派生出用户面完整性密钥KUP int和用户面的安全密钥KUP enc,那么,本步骤中,MNB将派生出的用户面完整性密钥KUP int和用户面的安全密钥KUP enc发送给SRAN-node3。
如果步骤1603中MNB未派生出用户面安全密钥,那么,本步骤中,MNB将AS层的根密钥KeNB,以及步骤1603中所选择出的安全算法(包括接入层完整性保护算法和接入层加密算法)发送给SRAN-node3。此时,本发明实施例还包括步骤1604-1,在步骤1604-1中,SRAN-node3利用接收到AS层的根密钥KeNB和接入层安全算法,派生出用户面安全密钥即用户面完整性密钥KUP int和用户面的安全密钥KUP enc。
步骤1605:MNB向UE发起接入层安全模式命令,在接入层安全模式命令中携带有步骤1603中MNB所选择出的接入层完整性保护算法和接入层加密算法。
步骤1606:UE生成端到端用户面安全密钥即用户面完整性密钥KUP int和用户面的安全密钥KUP enc,以及端到端控制面安全密钥即控制面的安全密钥KRRCenc和控制面的完整性密钥KRRCint。
本步骤中,UE利用AKA过程生成的安全管理密钥KASME和NAS层安全过程产生的uplink NAS COUNT生成的AS层的根密钥KeNB,以及收到的安全算法派生出上述安全密钥即端到端用户面安全密钥即用户面完整性密钥KUP int和用户面的安全密钥KUP enc,以及端到端控制面安全密钥即控制面的安全密钥KRRCenc和控制面的完整性密钥KRRCint。
步骤1607:UE向MNB发送接入层安全模式完成消息。
自此,UE和网关节点之间生成了端到端用户面接入层安全的密钥即用户面完整性密钥KUP int和用户面的安全密钥KUP enc,UE和MNB之间生成了端到端控制面接入层安全的安全密钥即控制面的安全密钥KRRCenc和控制面的完整性密钥KRRCint,UE和网关节点之间,UE和MNB之间可以分别执行端到端用户面接入层安全操作和端到端控制面接入层安全操作。
对于图8所示的双连接场景中,用户面执行UE与UE的微通信路径中的网关节点之间的端到端接入层安全,控制面执行UE与UE的宏通信路径中的宏基站之间的端到端接入层安全,实现用户面和控制面相互独立的灵活的密钥更新过程,比如,当微通信路径中用户面的某个无线承载(RB,Radio Bear)上的PDCP计数值(PDCP COUNT)发生计数翻转需要重新开始计数时,实现用户面密钥的更新而保持控制面密钥不变,结合图16,在步骤1601的NAS层安全过程中,MME生成两个AS层个根密钥,分别为用户面安全根密钥KeNB-U和控制面安全根密钥KeNB-C,并在步骤1602中将生成的用户面安全根密钥KeNB-U和控制面安全根密钥KeNB-C发送给MNB,此后,图16的步骤1603、1604-1和步骤1606中,MNB,SRAN-node3和UE会分别基于KeNB-U生成用户面安全密钥KUPint,用户面完整性密钥KUPenc,基于KeNB-C生成控制面安全密钥KRRCint,控制面的完整性密钥KRRCenc。基于此,当网关节点(如SRAN-node3)需要发起独立的用户面接入层安全密钥更新时,对于图16的方法中有步骤1604-1的实现,具体更新过程可以是,网关节点(如SRAN-node3)基于KeNB-U和网关节点上的小区的EARFCN-DL,PCI生成一个新的KeNB-U**,之后,网关节点(如SRAN-node3)基于该KeNB-U**,采取如图16中步骤1604-1的方法生成新的用户面接入层安全密钥。与此同时,网关节点在生成KeNB-U**之后,将该KeNB-U**通知给MNB,MNB收到后,在步骤1605中将该KeNB-U**通知给UE,UE在步骤1606中基于该KeNB-U**生成新的用户面接入层安全密钥。
从上述结合图8所示的场景的描述可见,双连接场景下UE同时具有宏通信路径和微通信路径两个连接,用户面执行UE与UE的微通信路径中的网关节点之间的端到端接入层安全,控制面执行UE与UE的宏通信路径中的宏基站之间的端到端接入层安全。通过本发明基于图8所示的应用场景的实现接入层安全的方法,一方面,无论UE的微通信路径中经过多少段空中接口,也即无论UE的微通信路径中经过多少个中间路由节点,用户面安全只在UE和网关节点之间端到端执行,很好地保证了用户面安全,避免了因为经过多段空中接口也即经过多个中间路由节点导致的安全泄露隐患;而控制面安全只在UE和宏基站之间端到端执行,在保证控制面安全的前提下减少了控制面安全操作的延时;另一方面,用户面安全只在UE和网关节点之间端到端执行,使得UE在不同的SRAN-node节点之间移动时,只要UE的通信路径最后都是通过同一个网关节点连接到核心网,则用户面安全是不变的,从而提高了UE的移动性能。此外,用户面安全只在UE和网关节点之间端到端执行,还使得不管UE的微通信路径中的中间节点如何改变,都不会导致用户面安全发生改变,从而保证了UE用户面数据传输的连续性。
进一步地,以图3所示的未来超密集网络中,只有少部分小节点能通过有线网络端口连接到核心网,而更多的小节点则只能通过一跳甚至多跳无线回程链路连接到这些有有线网络端口的小节点之后才能接入核心网,如何保证这些小节点的合法性以及这些小节点接入网络的安全性,也是未来超密集网络中需要考虑的问题。
本发明中的各个小节点均具有自己的通用集成电路卡(UICC,UniversalIntegrated Circuit Card),且小节点与其UICC卡之间建立了节点与UICC接口的安全通道,通过这个安全通道,小节点与网络之间执行双向认证,保证了小节点的合法性。为了保证小节点接入网络的安全性,图17示意了逐级节点安全验证过程,仍以图7所示UE的通信路径中的小节点为例,中间路由节点如SRAN-node2连接至网关节点如SRAN-node3,而初始接入节点如SRAN-node1连接至SRAN-node2,逐级节点安全验证是指,网络逐级对网关节点,中间路由节点和初始接入节点进行安全验证。图17为本发明实现逐级安全验证的实施例的流程图。如图17所示,具体包括:
步骤1701:网关节点如SRAN-node3的安全验证。
由于网关节点与核心网之间存在有线连接,因此对网关节点的安全认证,可以通过有线接口采用IP安全等方式进行验证。具体实现属于本领域技术人员熟知的,并不用于限定本发明的保护范围,这里不再赘述。
步骤1702:中间路由节点如SRAN-node2的安全验证。
类似UE,在如图7所示的通信路径中,对中间路由节点如SRAN-node2而言,网关节点如SRAN-node3相当于SRAN-node2所接入的基站(eNB),而对于网关节点如SRAN-ndoe3而言,中间路由节点如SRAN-node2相当于接入其下的一个UE。因此,对中间路由节点的安全验证,采用图4所示的相关LTE技术中的UE安全验证方法,执行包括步骤1701-1的AKA过程,1701-2的NAS SMC,1701-3的AS SMC等三个操作即可,具体地,
中间路由节点作为小节点,有其UICC卡,UICC卡的USIM上会保存一个安全根密钥K,而同时,网络侧的HSS中会相应的保存有这个相同的安全根密钥K,利用这个根密钥,采取图4所示的方法,可以实现MME与SRAN-node2之间的安全认证,然后在MME和SRAN-node2之间执行NASSMC过程,以及在SRAN-node2和网关节点如SRAN-node3之间执行AS SMC过程。
经过步骤1701的以上操作,在SRAN-node2和SRAN-node3之间的Ub2接口上,可以生成用于保护这两个节点之间在Ub2接口上信息传输安全性的Ub口接入层控制面的安全密钥(即K-Ub2RRC int、K-Ub2RRC enc)和用户面安全密钥(K-Ub2UP int,K-Ub2UP enc)。
步骤1702:初始接入节点的安全验证。
与步骤1701一样,类似于UE,在如图7所示的通信路径中,对初始接入节点如SRAN-node1而言,中间路由节点如SRAN-node2相当于SRAN-node1所接入的基站(eNB),而对于中间路由节点如SRAN-node2而言,初始接入节点SRAN-node1相当于接入其下的一个UE。因此,对初始接入节点的安全验证,同样采用图4所示的相关LTE技术中的UE安全验证方法,执行包括步骤1702-1的AKA过程,1702-2的NAS SMC,1702-3的AS SMC等三个操作即可,具体地,
初始接入节点作为小节点,有其UICC卡,UICC卡的USIM上会保存一个安全根密钥K,而同时,网络侧的HSS中会相应的保存有这个相同的安全根密钥K,利用这个根密钥,采取图4所示的方法,可以实现MME与SRAN-node1之间的安全认证,然后在MME和SRAN-node1之间执行NASSMC过程,以及在SRAN-node1和中间路由节点如SRAN-node2之间执行ASSMC过程。
经过步骤1702的以上操作,在SRAN-node1和SRAN-node2之间的Ub1接口上,可以生成用于保护这两个节点之间在Ub1接口上信息传输安全性的Ub口接入层控制面的安全密钥(即K-Ub1RRC int、K-Ub1RRC enc)和用户面安全密钥(即K-Ub1UP int,K-Ub1UP enc)。
在图17所示的逐级节点安全验证的基础上,为进一步提高本发明UE的接入层控制面和接入层用户面的安全性,本发明如图10中所示的步骤1004的E2E接入层安全模式命令和步骤1006的E2E接入层安全模式完成,如图12所示的步骤1203的消息、步骤1205的消息,以及如图13所示的步骤1304的消息等这些接入层安全相关消息,在经由SRAN-node2或SRAN-node1发送时,可以分别使用Ub2口和Ub1口的Ub口接入层控制面的安全密钥进行加密和完整性保护。
图18为本发明UE的组成结构示意图,如图18所示,至少包括第一处理模块、第一用户面处理模块,以及第一控制面处理模块;其中,
第一处理模块,用于与核心网之间实现AKA过程和NAS层安全过程;
第一用户面处理模块,用于执行与网关节点之间的端到端用户面接入层安全过程;
第一控制面处理模块,当UE仅存在微通信路径时,用于执行UE与初始接入节点之间的端到端控制面接入层安全;或者,当UE存在微通信路径和宏通信路径时,用于执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全;
其中,微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径;宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。
其中,第一用户面处理模块具体用于:执行与网关节点之间的端到端用户面加密和用户面完整性保护;
第一控制面处理模块具体用于:执行与初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。
其中,在UE的微通信路径中,UE经过至少两段无线空中接口与核心网通信;其中,微通信路径至少包括UE,初始接入节点,网关节点;
当UE经过大于两段无线空中接口与所述核心网通信时,通信路径中还包括至少一个中间路由节点。
初始接入节点为UE通过无线接入链路接入的无线接入小节点;
网关节点为能够通过有线接口接入核心网的无线接入小节点;
中间路由节点为实现初始接入节点和网关节点之间的通信,并最终实现接入初始接入节点的UE与核心网之间的通信提供中继传输的无线接入小节点。
进一步地,第一用户面处理模块具体用于:在UE的PDCP-s和网关节点的PDCP-s层之间执行与网关节点之间的端到端用户面接入层安全过程;更具体地用于,UE的上层用户面数据发到空中接口之前,在UE的PDCP-s层执行加密和完整性保护,用户面数据发送到网关节点之后,由网关节点在PDCP-s层进行解密和完整性验证;
网关节点从核心网获取到需要发送给UE的用户面数据,在发到空中接口之前,在网关节点的PDCP-s层执行加密和完整性保护,数据发送到UE后,由UE在PDCP-s层进行解密和完整性验证。
第一控制面处理模块具体用于:在UE的PDCP协议层和所述初始接入节点或宏基站的PDCP协议层之间执行与初始接入节点或者宏基站之间的端到端控制面接入层安全过程。更具体地用于:
UE的上行RRC层信令在发送到空中接口之前,在UE的PDCP层执行加密和完整性保护,初始接入节点或者宏基站接收到RRC信令后,执行解密和完整性验证;
初始接入节点或者宏基站发送给UE的下行RRC层信令在发送到空中接口之前,在其PDCP层执行加密和完整性保护,UE接收到RRC信令后,执行解密和完整性验证。
图19为本发明无线接入小节点的组成结构示意图,该无线接入小节点为能够通过有线接口接入核心网的无线接入小节点;如图19所示,
该无线接入小节点至少包括第二用户面处理模块,用于执行与UE之间的端到端用户面接入层安全过程;所述端到端用户面接入层安全过程包括端到端用户面加密和用户面完整性保护。
当UE经过两段无线空中接口与所述核心网通信时,无线接入小节点与初始接入节点通过无线回程接口通信;
当UE经过大于两段无线空中接口与核心网通信时,无线接入小节点与中间路由节点通过无线回程接口通信,中间路由节点与初始接入节点通过无线回程接口通信,当中间路由节点为两个或两个以上时,中间路由节点之间通过无线回程接口通信;
其中,初始接入节点为UE通过无线接入链路接入的无线接入小节点;
中间路由节点为实现初始接入节点和无线接入小节点之间的通信,并最终实现接入初始接入节点的UE与核心网之间的通信提供中继传输的无线接入小节点。
其中,在无线接入小节点自身的PDCP-s层和UE的PDCP-s之间执行端到端用户面接入层安全过程。
其中,第二用户面处理模块具体用于:在自身的PDCP-s层对通过空中接口接收到的来自UE的用户面数据进行解密和完整性验证;
从核心网获取到需要发送给UE的用户面数据,在发到空中接口之前,在自身的PDCP-s层执行加密和完整性保护。
该无线接入小节点还包括用户面密钥生成模块,用于:
在第二用户面处理模块执行与UE之间的端到端用户面加密和用户面完整性保护之前,生成执行端到端用户面加密和用户面完整性保护所需要的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint。
其中,用户面密钥生成模块具体用于:
基于接入层安全根密钥KeNB生成用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;或者,
接收来自宏基站的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;
其中,KeNB由所述核心网或者宏基站发送给所述无线接入小节点;
其中,宏基站为除所述初始接入节点之外,所述UE通过无线接入链路接入的另一个基站。
和/或,
该无线接入小节点为UE通过无无线接入链路接入的无线接入小节点;如图19所示,
该无线接入小节点至少包括第二控制面处理模块,用于执行与UE之间的端到端控制面接入层安全过程;端到端控制面接入层安全过程包括端到端控制面加密和控制面完整性保护。
其中,在无线接入小节点自身的PDCP层和UE的PDCP层之间执行端到端控制面接入层安全过程。
其中,第二控制面处理模块具体用于:接收到RRC信令后,执行解密和完整性验证;在自身的PDCP层对发送给所述UE的下行RRC层信令执行加密和完整性保护后发送到空中接口。
该无线接入小节点还包括控制面密钥生成模块,用于:
在第二控制面处理模块执行与UE之间的端到端控制面加密和控制面完整性保护之前,生成执行端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。
其中,控制面密钥生成模块具体用于:
接收来自网关节点的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint,或基于来自网关节点的接入层控制面安全根密钥KeNB*生成控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。
如图19所示,本发明无线接入小节点还包括第二处理模块,用于执行逐级节点安全验证;其中,逐级节点安全验证包括:网络对无线接入小节点进行安全验证。
进一步地,第二处理模块还用于:对接入层安全相关消息进行加密和完整性保护。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (35)
1.一种实现接入层安全的方法,其特征在于,包括:执行用户设备UE与网关节点之间的端到端用户面接入层安全;以及,
当UE仅存在微通信路径时,执行UE与初始接入节点之间的端到端控制面接入层安全;或者,当UE存在微通信路径和宏通信路径时,执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全;
其中,微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径;宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。
2.根据权利要求1所述的方法,其特征在于,在所述微通信路径中,所述UE经过至少两段无线空中接口与所述核心网通信;
所述微通信路径至少包括UE,初始接入节点,网关节点;
当所述UE经过大于两段无线空中接口与所述核心网通信时,所述通信路径中还包括至少一个中间路由节点。
3.根据权利要求2所述的方法,其特征在于,所述UE与初始接入节点之间采用无线接入空中接口Uu口;
所述初始接入节点与网关节点之间采用无线回程接口Ub口。
4.根据权利要求2所述的方法,其特征在于,所述中间路由节点和所述初始接入节点之间采用无线回程接口Ub口,所述中间路由节点和所述网关节点之间采用无线回程接口Ub口;
当所述中间路由节点为两个或两个以上时,所述中间路由节点之间采用无线接入空中接口Ub口。
5.根据权利要求2所述的方法,其特征在于,
所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点;
所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点;
所述中间路由节点为实现所述初始接入节点和网关节点之间的通信,并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
6.根据权利要求1或2所述的方法,其特征在于,所述执行UE与网关节点之间的端到端用户面接入层安全包括:执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护;
所述执行UE与初始接入节点或者宏基站之间的端到端控制面接入层安全包括:执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。
7.根据权利要求6所述的方法,其特征在于,所述执行UE与网关节点之间的端到端用户面接入层安全包括:
在所述UE的数据包汇聚协议安全层PDCP-s和所述网关节点的PDCP-s层之间执行所述端到端用户面接入层安全。
8.根据权利要求7所述的方法,其特征在于,所述UE和所述网关节点的无线回程接口Ub接口侧从下到上分别包括物理层L1、媒体接入层MAC、无线链路控制层RLC、数据包汇聚协议瘦身层PDCP-t,和数据包汇聚协议安全层PDCP-s;所述初始接入节点和所述中间路由节点从下到上分别包括L1,MAC和RLC;或者,分别包括L1,MAC,RLC和PDCP-t;
如果所述UE的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层;
如果所述网关节点的PDCP-s层和PDCP-t层合并到一个协议层则为PDCP层。
9.根据权利要求7所述的方法,其特征在于,所述执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护包括:
所述UE的上层用户面数据发到空中接口之前,在所述UE的PDCP-s层执行加密和完整性保护,所述用户面数据发送到所述网关节点之后,由所述网关节点在PDCP-s层进行解密和完整性验证;
所述网关节点从核心网获取到需要发送给所述UE的用户面数据,在发到空中接口之前,在所述网关节点的PDCP-s层执行加密和完整性保护,数据发送到所述UE后,由所述UE在PDCP-s层进行解密和完整性验证。
10.根据权利要求7所述的方法,其特征在于,所述PDCP-s层用于实现:头压缩和解压缩,以及安全操作;其中安全操作包括:加密,解密,完整性保护和完整性验证。
11.根据权利要求6所述的方法,其特征在于,所述执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面接入层安全包括:
在所述UE的数据包汇聚协议层PDCP和所述初始接入节点或者宏基站的PDCP层之间执行端到端控制面接入层安全。
12.根据权利要求11所述的方法,其特征在于,所述UE和所述初始接入节点的无线接入空中接口Uu接口侧从下到上分别包括L1,MAC,RLC,PDCP层;
所述初始接入节点、所述中间路由节点和所述网关节点在Ub接口侧从下到上分别包括L1,MAC和RLC;或者,包括L1,MAC,RLC和PDCP-t层。
13.根据权利要求11所述的方法,其特征在于,执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护包括:
所述UE的上行无线链路控制RRC层信令在发送到空中接口之前,在所述UE的PDCP层执行加密和完整性保护,所述初始接入节点或者宏基站接收到RRC信令后,执行解密和完整性验证;
所述初始接入节点或者宏基站发送给UE的下行RRC层信令在发送到空中接口之前,在其PDCP层执行加密和完整性保护,所述UE接收到RRC信令后,执行解密和完整性验证。
14.根据权利要求6所述的方法,其特征在于,
该方法之前还包括:所述UE和所述网关节点之间生成执行所述UE与所述网关节点之间的端到端用户面加密和用户面完整性保护所需要的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint,
当所述UE仅存在微通信路径时,包括:
所述UE和所述网关节点基于接入层安全根密钥KeNB生成所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;
其中,所述UE的KeNB为所述UE与所述核心网之间执行鉴权和密钥协商AKA过程和非接入层NAS层安全过程后生成的;
所述网关节点的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后,由所述核心网发送给所述网关节点的;
当UE存在微通信路径和宏通信路径时,包括:
所述UE和所述UE的宏通信路径中的宏基站基于KeNB生成所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;所述宏基站将生成的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint发送给所述网关节点;或者,
所述UE和所述网关节点基于KeNB生成执行所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;其中,所述网关节点的KeNB由所述宏基站发送给所述网关节点;
其中,所述UE的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后生成的;
其中,所述宏基站的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后,由所述核心网发送给所述宏基站的。
15.根据权利要求6所述的方法,其特征在于,
该方法之前还包括:当所述UE仅存在微通信路径时,生成执行所述UE与所述初始接入节点之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint,包括:
所述UE和所述网关节点基于接入层安全根密钥KeNB生成所述控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint;所述网关节点将所述生成的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint发送给所述初始接入节点;或,所述UE和所述网关节点基于KeNB、所述初始接入节点的小区的EARFCN-DL和PCI生成接入层控制面安全根密钥KeNB*;所述网关节点将生成的KeNB*发送给所述初始接入节点,所述UE和所述初始接入节点基于所述KeNB*生成所述控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint;
或者,
该方法之前还包括:当所述UE存在微通信路径和宏通信路径时,生成执行所述UE与所述宏基站之间的端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint,包括:
所述UE和所述宏基站基于接入层安全根密钥KeNB生成所述控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint;
其中,
所述UE的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后生成的;
所述网关节点或所述宏基站的KeNB为所述UE与所述核心网之间执行AKA过程和NAS层安全过程后,由所述核心网发送给所述网关节点或宏基站的。
16.根据权利要求6、14或15所述的方法,其特征在于,所述用户面的密钥和控制面的密钥分别独立更新。
17.一种用户设备UE,其特征在于,至少包括第一处理模块、第一用户面处理模块,以及第一控制面处理模块;其中,
第一处理模块,用于与核心网之间实现AKA过程和NAS层安全过程;
第一用户面处理模块,用于执行与网关节点之间的端到端用户面接入层安全;
第一控制面处理模块,当UE仅存在微通信路径时,用于执行UE与初始接入节点之间的端到端控制面接入层安全;或者,当UE存在微通信路径和宏通信路径时,用于执行UE与宏通信路径中的宏基站之间的端到端控制面接入层安全;
其中,微通信路径为UE通过无线接入链路接入无线接入小节点最终接入核心网的通信路径;宏通信路径为UE通过无线接入链路接入宏基站最终接入核心网的通信路径。
18.根据权利要求17所述的UE,其特征在于,所述第一用户面处理模块具体用于:执行与所述网关节点之间的端到端用户面加密和用户面完整性保护;
所述第一控制面处理模块具体用于:执行与所述初始接入节点或者宏基站之间的端到端控制面加密和控制面完整性保护。
19.根据权利要求17所述的UE,其特征在于,在所述UE的微通信路径中,所述UE经过至少两段无线空中接口与所述核心网通信;
所述微通信路径至少包括UE,初始接入节点,网关节点;
当所述UE经过大于两段无线空中接口与所述核心网通信时,所述通信路径中还包括至少一个中间路由节点。
20.根据权利要求19所述的UE,其特征在于,所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点;
所述网关节点为能够通过有线接口接入所述核心网的无线接入小节点;
所述中间路由节点为实现所述初始接入节点和网关节点之间的通信,并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
21.根据权利要求18所述的UE,其特在于,所述第一用户面处理模块具体用于:在所述UE的PDCP-s和所述网关节点的PDCP-s层之间执行所述UE与网关节点之间的端到端用户面接入层安全;
所述第一控制面处理模块具体用于:在所述UE的PDCP协议层和所述初始接入节点或者宏基站的PDCP协议层之间执行所述UE与所述初始接入节点或者宏基站之间的端到端控制面接入层安全。
22.根据权利要求18所述的UE,其特征在于,所述第一用户处理模块具体用于:
所述UE的上层用户面数据发到空中接口之前,在所述UE的PDCP-s层执行加密和完整性保护,所述用户面数据发送到所述网关节点之后,由所述网关节点在PDCP-s层进行解密和完整性验证;
所述网关节点从核心网获取到需要发送给所述UE的用户面数据,在发到空中接口之前,在所述网关节点的PDCP-s层执行加密和完整性保护,数据发送到所述UE后,由所述UE在PDCP-s层进行解密和完整性验证。
23.根据权利要求18所述的UE,其特征在于,所述第一控制面处理模块具体用于:
所述UE的上行RRC层信令在发送到空中接口之前,在所述UE的PDCP层执行加密和完整性保护,所述初始接入节点或者宏基站接收到RRC信令后,执行解密和完整性验证;
所述初始接入节点或者宏基站发送给UE的下行RRC层信令在发送到空中接口之前,在其PDCP层执行加密和完整性保护,所述UE接收到RRC信令后,执行解密和完整性验证。
24.一种无线接入小节点,其特征在于,该无线接入小节点为能够通过有线接口接入核心网的无线接入小节点;
该无线接入小节点至少包括第二用户面处理模块,用于执行与UE之间的端到端用户面接入层安全;所述端到端用户面接入层安全包括端到端用户面加密和用户面完整性保护。
25.根据权利要求24所述的无线接入小节点,其特征在于,当所述UE经过两段无线空中接口与所述核心网通信时,所述无线接入小节点与初始接入节点通过无线回程接口通信;
当所述UE经过大于两段无线空中接口与所述核心网通信时,所述无线接入小节点与中间路由节点通过无线回程接口通信,所述中间路由节点与初始接入节点通过无线回程接口通信,当所述中间路由节点为两个或两个以上时,所述中间路由节点之间通过无线回程接口通信;
其中,所述初始接入节点为所述UE通过无线接入链路接入的无线接入小节点;
所述中间路由节点为实现所述初始接入节点和所述无线接入小节点之间的通信,并最终实现接入所述初始接入节点的UE与所述核心网之间的通信提供中继传输的无线接入小节点。
26.根据权利要求24所述的无线接入小节点,其特征在于,在所述无线接入小节点自身的PDCP-s层和所述UE的PDCP-s之间执行所述端到端用户面接入层安全过程。
27.根据权利要求26所述的无线接入小节点,其特征在于,所述第二用户面处理模块具体用于:
在所述自身的PDCP-s层对通过空中接口接收到的来自所述UE的用户面数据进行解密和完整性验证;
从核心网获取到需要发送给所述UE的用户面数据,在发到空中接口之前,在所述自身的PDCP-s层执行加密和完整性保护。
28.根据权利要求24或25所述的无线接入小节点,其特征在于,所述无线接入小节点还包括用户面密钥生成模块,用于:
在所述第二用户面处理模块执行与所述UE之间的端到端用户面加密和用户面完整性保护之前,生成执行所述端到端用户面加密和用户面完整性保护所需要的用户面加密密钥KUPenc和用户面完整性保护密钥KUPint。
29.根据权利要求28所述的无线接入小节点,其特征在于,所述用户面密钥生成模块具体用于:
基于接入层安全根密钥KeNB生成所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;或者,
接收来自所述宏基站的所述用户面加密密钥KUPenc和用户面完整性保护密钥KUPint;
其中,所述KeNB由所述核心网或者所述宏基站发送给所述无线接入小节点;
其中,所述宏基站为除所述初始接入节点之外,所述UE通过无线接入链路接入的另一个基站。
30.一种无线接入小节点,其特征在于,该无线接入小节点为UE通过无线接入链路接入的无线接入小节点;
该无线接入小节点至少包括第二控制面处理模块,用于执行与UE之间的端到端控制面接入层安全;所述端到端控制面接入层安全包括端到端控制面加密和控制面完整性保护。
31.根据权利要求30所述的无线接入小节点,其特征在于,在所述无线接入小节点自身的PDCP层和所述UE的PDCP层之间执行所述端到端控制面接入层安全过程。
32.根据权利要求31所述的无线接入小节点,其特征在于,所述第二控制面处理模块具体用于:
接收到RRC信令后,执行解密和完整性验证;
在所述自身的PDCP层对发送给所述UE的下行RRC层信令执行加密和完整性保护后发送到空中接口。
33.根据权利要求30所述的无线接入小节点,其特征在于,所述无线接入小节点还包括控制面密钥生成模块,用于:
在所述第二控制面处理模块执行与所述UE之间的端到端控制面加密和控制面完整性保护之前,生成执行所述端到端控制面加密和控制面完整性保护所需要的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。
34.根据权利要求33所述的无线接入小节点,其特征在于,所述控制面密钥生成模块具体用于:
接收来自网关节点的控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint,或基于来自网关节点的接入层控制面安全根密钥KeNB*生成所述控制面加密密钥KRRCenc和控制面完整性保护密钥KRRCint。
35.一种无线接入小节点,其特征在于,包括权24~权29任意组合,和权30~权34任意组合的无线接入小节点。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510429851.2A CN106375989B (zh) | 2015-07-20 | 2015-07-20 | 实现接入层安全的方法及用户设备和无线接入小节点 |
US15/744,733 US10136325B2 (en) | 2015-07-20 | 2016-03-18 | Method for implementing access stratum security, user equipment, and small radio access network node |
PCT/CN2016/076741 WO2016177143A1 (zh) | 2015-07-20 | 2016-03-18 | 实现接入层安全的方法及用户设备和无线接入小节点 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510429851.2A CN106375989B (zh) | 2015-07-20 | 2015-07-20 | 实现接入层安全的方法及用户设备和无线接入小节点 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106375989A true CN106375989A (zh) | 2017-02-01 |
CN106375989B CN106375989B (zh) | 2019-03-12 |
Family
ID=57217471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510429851.2A Active CN106375989B (zh) | 2015-07-20 | 2015-07-20 | 实现接入层安全的方法及用户设备和无线接入小节点 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10136325B2 (zh) |
CN (1) | CN106375989B (zh) |
WO (1) | WO2016177143A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107396366A (zh) * | 2017-07-24 | 2017-11-24 | 北京小米移动软件有限公司 | 协商加密方式的方法、装置及系统 |
CN108513325A (zh) * | 2017-02-28 | 2018-09-07 | 中兴通讯股份有限公司 | 一种无线接入网络系统及集中单元 |
CN108810899A (zh) * | 2017-04-28 | 2018-11-13 | 维沃移动通信有限公司 | 完整性检测方法、终端及网络侧设备 |
WO2019137121A1 (zh) * | 2018-01-12 | 2019-07-18 | 中国移动通信有限公司研究院 | 信息处理方法及装置、网络实体及存储介质 |
CN110121168A (zh) * | 2018-02-06 | 2019-08-13 | 华为技术有限公司 | 安全协商方法及装置 |
WO2020087286A1 (zh) * | 2018-10-30 | 2020-05-07 | 华为技术有限公司 | 一种密钥生成方法、设备及系统 |
CN115843030A (zh) * | 2023-01-05 | 2023-03-24 | 中国电子科技集团公司第三十研究所 | 信令防护装置和接入控制方法 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3567802A4 (en) * | 2017-01-26 | 2019-12-25 | Huawei Technologies Co., Ltd. | METHOD, DEVICE AND SYSTEM FOR PROTECTING DATA |
WO2018201506A1 (zh) | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 一种通信方法及相关装置 |
CN110365470B (zh) * | 2018-03-26 | 2023-10-10 | 华为技术有限公司 | 一种密钥生成方法和相关装置 |
EP3751817A1 (en) | 2019-06-14 | 2020-12-16 | Samsung Electronics Co., Ltd. | Method of dynamically provisioning a key for authentication in relay device |
CN112533198A (zh) * | 2019-09-02 | 2021-03-19 | 中兴通讯股份有限公司 | 一种密钥生成方法及装置和mme |
US20210297853A1 (en) * | 2020-03-17 | 2021-09-23 | Qualcomm Incorporated | Secure communication of broadcast information related to cell access |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101945387A (zh) * | 2010-09-17 | 2011-01-12 | 中兴通讯股份有限公司 | 一种接入层密钥与设备的绑定方法和系统 |
CN101998392A (zh) * | 2009-08-14 | 2011-03-30 | 财团法人工业技术研究院 | 用于具有中继节点的无线通信系统的安全性方法 |
CN103929740A (zh) * | 2013-01-15 | 2014-07-16 | 中兴通讯股份有限公司 | 数据安全传输方法及lte接入网系统 |
WO2014112262A1 (en) * | 2013-01-17 | 2014-07-24 | Nec Corporation | Secure communications in a cellular system with split user and control planes |
CN104519486A (zh) * | 2013-09-29 | 2015-04-15 | 中国电信股份有限公司 | 用于异构网中无线侧密钥更新的方法和系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9226206B2 (en) * | 2011-09-12 | 2015-12-29 | Ntt Docomo, Inc. | Method and apparatus at the physical and link layer for mobile communications |
CN103002501A (zh) * | 2011-09-19 | 2013-03-27 | 北京三星通信技术研究有限公司 | 一种移动中继的实现方法及系统 |
KR102078866B1 (ko) * | 2013-08-09 | 2020-02-19 | 삼성전자주식회사 | 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안 |
US10420103B2 (en) | 2013-09-13 | 2019-09-17 | Nokia Solutions And Networks Oy | Uplink inter-site carrier aggregation based on UE transmission power and secondary cell load |
GB2519975A (en) * | 2013-11-01 | 2015-05-13 | Nec Corp | Communication system |
WO2015097980A1 (en) | 2013-12-24 | 2015-07-02 | Nec Corporation | Apparatus, system and method for sce |
-
2015
- 2015-07-20 CN CN201510429851.2A patent/CN106375989B/zh active Active
-
2016
- 2016-03-18 WO PCT/CN2016/076741 patent/WO2016177143A1/zh active Application Filing
- 2016-03-18 US US15/744,733 patent/US10136325B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101998392A (zh) * | 2009-08-14 | 2011-03-30 | 财团法人工业技术研究院 | 用于具有中继节点的无线通信系统的安全性方法 |
CN101945387A (zh) * | 2010-09-17 | 2011-01-12 | 中兴通讯股份有限公司 | 一种接入层密钥与设备的绑定方法和系统 |
CN103929740A (zh) * | 2013-01-15 | 2014-07-16 | 中兴通讯股份有限公司 | 数据安全传输方法及lte接入网系统 |
WO2014112262A1 (en) * | 2013-01-17 | 2014-07-24 | Nec Corporation | Secure communications in a cellular system with split user and control planes |
CN104519486A (zh) * | 2013-09-29 | 2015-04-15 | 中国电信股份有限公司 | 用于异构网中无线侧密钥更新的方法和系统 |
Non-Patent Citations (1)
Title |
---|
HUAWEI, CHINA UNICOM: "History discussion on Mobility Anchor", <3GPP TSG-RAN3 MEETING #87BIS R3-150577> * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108513325A (zh) * | 2017-02-28 | 2018-09-07 | 中兴通讯股份有限公司 | 一种无线接入网络系统及集中单元 |
CN108810899A (zh) * | 2017-04-28 | 2018-11-13 | 维沃移动通信有限公司 | 完整性检测方法、终端及网络侧设备 |
US11910195B2 (en) | 2017-04-28 | 2024-02-20 | Vivo Mobile Communication Co., Ltd. | Method of integrity check, terminal, and network-side equipment |
CN107396366A (zh) * | 2017-07-24 | 2017-11-24 | 北京小米移动软件有限公司 | 协商加密方式的方法、装置及系统 |
CN107396366B (zh) * | 2017-07-24 | 2020-07-03 | 北京小米移动软件有限公司 | 协商加密方式的方法、装置及系统 |
WO2019137121A1 (zh) * | 2018-01-12 | 2019-07-18 | 中国移动通信有限公司研究院 | 信息处理方法及装置、网络实体及存储介质 |
CN110035431A (zh) * | 2018-01-12 | 2019-07-19 | 中国移动通信有限公司研究院 | 信息处理方法及装置、网络实体及存储介质 |
US11765578B2 (en) | 2018-02-06 | 2023-09-19 | Huawei Technologies Co., Ltd. | Security negotiation method and apparatus |
CN110121168A (zh) * | 2018-02-06 | 2019-08-13 | 华为技术有限公司 | 安全协商方法及装置 |
WO2020087286A1 (zh) * | 2018-10-30 | 2020-05-07 | 华为技术有限公司 | 一种密钥生成方法、设备及系统 |
US11863977B2 (en) | 2018-10-30 | 2024-01-02 | Huawei Technologies Co., Ltd. | Key generation method, device, and system |
CN115843030B (zh) * | 2023-01-05 | 2023-05-05 | 中国电子科技集团公司第三十研究所 | 信令防护装置和接入控制方法 |
CN115843030A (zh) * | 2023-01-05 | 2023-03-24 | 中国电子科技集团公司第三十研究所 | 信令防护装置和接入控制方法 |
Also Published As
Publication number | Publication date |
---|---|
US10136325B2 (en) | 2018-11-20 |
US20180213403A1 (en) | 2018-07-26 |
CN106375989B (zh) | 2019-03-12 |
WO2016177143A1 (zh) | 2016-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106375989B (zh) | 实现接入层安全的方法及用户设备和无线接入小节点 | |
JP6786701B2 (ja) | ワイヤレスネットワークにおけるカバレージ及びリソース制限デバイスをサポートするためのレイヤ2リレー | |
CN106375992B (zh) | 实现接入层安全的方法及用户设备和节点 | |
CN1859614B (zh) | 一种无线传输的方法、装置和系统 | |
CN107852407A (zh) | 用于集成小型小区和Wi‑Fi网络的统一认证 | |
CN102625306A (zh) | 认证方法、系统和设备 | |
CN109644134A (zh) | 用于大型物联网组认证的系统和方法 | |
CN102056159B (zh) | 一种中继系统的安全密钥获取方法、装置 | |
US20180279188A1 (en) | Group Handover Methods and Systems | |
EP3751817A1 (en) | Method of dynamically provisioning a key for authentication in relay device | |
CN103929740B (zh) | 数据安全传输方法及lte接入网系统 | |
CN106716920A (zh) | 基于代理验证对核心网络的混合式接入的方法及设备 | |
CN104349309A (zh) | 一种移动通信系统中利用nh、ncc对解决安全问题的方法 | |
CN101931953A (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
TWI430674B (zh) | 用於具有中繼節點之無線通訊系統的安全性方法 | |
CN101977378A (zh) | 信息传输方法、网络侧及中继节点 | |
US9049693B2 (en) | Gateway, communication system, method of controlling gateway, and computer readable medium therefor | |
CN108966217A (zh) | 一种保密通信方法、移动终端及保密网关 | |
CN105764052A (zh) | Td-lte鉴权认证和保护性加密方法 | |
CN107925874B (zh) | 超密集网络安全架构和方法 | |
US20190007985A1 (en) | Quality of service in neutral host network | |
CN102685817B (zh) | 在中继节点切换过程中不需要重建高层安全的方法和系统 | |
WO2022094976A1 (zh) | 密钥生成方法及装置 | |
CN101909297B (zh) | 一种接入网络设备之间的相互认证方法和接入网络设备 | |
CN115334501A (zh) | 一种通信的方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |