CN107438274A - 一种指示安全密钥更新的方法及装置 - Google Patents
一种指示安全密钥更新的方法及装置 Download PDFInfo
- Publication number
- CN107438274A CN107438274A CN201610363539.2A CN201610363539A CN107438274A CN 107438274 A CN107438274 A CN 107438274A CN 201610363539 A CN201610363539 A CN 201610363539A CN 107438274 A CN107438274 A CN 107438274A
- Authority
- CN
- China
- Prior art keywords
- enb
- pdcp
- logic channel
- key
- data pdu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文公开了一种指示安全密钥更新的方法及装置,所述方法包括:第二eNB对来自S‑GW的第一个下行数据包执行PDCP操作时使用新密钥加密,并将第一个使用新密钥的下行PDCP数据PDU设置为标志位有效;和/或,UE执行PDCP操作时使用新密钥加密,并将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效,所述第一个使用新密钥的上行PDCP数据PDU序列号不小于分流锚点转移时已经发送成功或正在发送的、使用旧密钥的上行PDCP数据PDU。本文使得UE/第二eNB能够区分出收到的PDCP数据PDU是使用新密钥还是旧密钥加密,从而正确解密,最终提升了用户体验和服务质量。
Description
技术领域
本发明涉及无线通信领域,尤指一种指示安全密钥更新的方法及装置。
背景技术
现有LTE的用户面数据协议栈如图1所示,从核心网经用户层面GPRS隧道协议(GTP-U,GPRS Tunnelling Protocol for the User Plane)收到的下行数据,经解包后通过分组数据汇聚协议(PDCP,Packet Data Convergence Protocol)子层、无线链路控制(RLC,Radio Link Control)协议子层、媒体接入控制(MAC,Medium Access Control)协议子层和物理层(PHY)处理后发送给用户设备(UE,User Equipment);上行数据的发送与下行数据正好相反。其中,PDCP子层需要完成数据包的加密和解密的功能。
当UE的用户面发生重配置,具体而言,是当UE的用户面承载,从第一基站(eNB)转移到第二eNB时,由于PDCP层的重建以及空口传输的中断,用户面数据传输会出现较大的中断,造成用户吞吐量的下降。但是,如果让UE在这一段时间内和第一eNB以及第二eNB同时保持连接,那么,当进行用户面重配置时,UE的用户面承载可以平滑的从第一eNB转移到第二eNB,避免切换过程中的数据中断。如图2所示,控制面eNB首先添加第二eNB,让第一eNB作为分流锚点,下行数据在PDCP层和RLC层发生分流,将经过PDCP层处理形成的下行PDCP数据协议数据单元(Protocol Data Unit,PDU)分别发给第一eNB和第二eNB进行传递。UE将上行PDCP数据PDU分别发给第一eNB和第二eNB,第二eNB则将收到的上行PDCP数据PDU转发给第一eNB,由第一eNB的PDCP层完成解密和排序等工作。当切换发生时,控制面eNB只需要将分流锚点从第一eNB转移到第二eNB上。切换完成后,控制面eNB可以选择删除第一eNB。
如图3所示,UE一开始仅连接到第一eNB传输数据,且第一eNB直接从服务网关(Serving Gateway,S-GW)获取数据。UE在移动中发现第一eNB信号逐渐变弱,第二eNB信号逐渐变强,达到事件触发门限后,UE向控制面eNB汇报测量结果。根据测量报告,控制面eNB决定添加第二eNB,让第二eNB从第一eNB分流一部分数据。添加过程中,UE保持和第一eNB的数据通信,同时和第二eNB完成同步和接入。添加完成后,第二eNB上的RLC层收到从第一eNB分流过来的下行PDCP数据PDU,通过第二eNB的空口资源发送给UE;UE也将部分上行PDCP数据PDU发送给第二eNB,由第二eNB转发给第一eNB。接着,控制面eNB根据测量结果,将分流锚点从第一eNB转移到第二eNB。转移过程中,第一eNB将所有还没有发送的下行PDCP数据服务数据单元(Service Data Unit,SDU)通过数据前传转发给第二eNB,而第二eNB继续发送之前从第一eNB分流获得的下行PDCP数据PDU。转移完成后,第二eNB使用新密钥加密从第一eNB通过数据前传转发过来的下行PDCP数据SDU以及从S-GW过来的下行PDCP数据SDU,而UE使用新密钥加密没有开始发送的上行PDCP数据SDU。转移完成后,由新密钥加密的下行PDCP数据PDU,依然通过第二eNB原有的RLC、MAC、PHY层发送给UE,由新密钥加密的上行PDCP数据PDU,依然通过UE原有的RLC、控制面AC、PHY层发送给第二eNB。控制面eNB在切换完成后可以删除第一eNB。
为了实现平滑切换,控制面eNB执行先添加后删除的操作。在上述架构中,分流锚点的转移意味着PDCP层从第一eNB转移到第二eNB。根据已有的标准和技术,第一eNB和第二eNB的PDCP层使用不同的安全密钥对数据包进行加密和解密。当分流锚点在第一eNB上时,第一eNB使用旧的安全密钥对下行数据进行加密,并分别转发给第一eNB和第二eNB发送;当控制面eNB将分流锚点从第一eNB转移到第二eNB后,第二eNB使用新的安全密钥对下行数据进行加密,UE需要区分来自第二eNB的下行数据包哪些是用旧密钥加密的,哪些是使用新密钥加密的。并且,在分流锚点转移前,UE使用旧密钥对上行数据进行加密,分流锚点转移后,UE使用新密钥对上行数据进行加密,第二eNB收到上行数据包后,也需要判断哪些是旧密钥加密的上 行数据包,哪些是新密钥加密的上行数据包,以分别发送给第一eNB和第二eNB处理。也就是说,在上述架构中,控制面eNB将分流锚点从第一eNB转移到第二eNB上时,根据现有标准和技术,UE和第二eNB无法识别当前PDCP数据PDU使用新密钥还是旧密钥加密,UE和第二eNB无法根据现有标准和技术区分新旧数据包,因而无法使用正确的密钥解密,而错误解密的数据包会被送往上层,最终影响用户体验和服务质量。
为了实现UE的用户面承载平滑的从第一eNB转移到第二eNB,可以提前添加第二eNB,让第二eNB分流一部分第一eNB的下行数据。当控制面eNB将分流锚点从第一eNB转移到第二eNB上时,UE不需要重新做随机接入的操作,UE和第二eNB的RLC、控制面AC和PHY层不进行重建,造成UE和第二eNB无法区分新旧密钥加密的数据包。也就是说,在实现用户面承载的平滑转移过程中,控制面eNB将分流锚点从第一eNB转移到第二eNB上时安全密钥更新的问题,是目前急需解决的技术问题。
发明内容
为了解决上述技术问题,本发明实施例提供了一种指示安全密钥更新的方法及装置、系统。
本发明实施例提供了一种指示安全密钥更新的方法,包括:
分流锚点从第一基站eNB转移到第二eNB时,第二eNB对来自服务网关S-GW的第一个下行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密,并将第一个使用新密钥的下行PDCP数据协议数据单元PDU设置为标志位有效;
和/或,分流锚点从第一eNB转移到第二eNB时,UE执行PDCP操作时使用新密钥加密,并将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效,所述第一个使用新密钥的上行PDCP数据PDU序列号不小于分流锚点转移时已经发送成功或正在发送的、使用旧密钥的上行PDCP数据PDU;
其中,所述标志位有效表示当前PDCP数据PDU使用的密钥,与前一个PDCP数据PDU使用的密钥不同,所述前一个PDCP数据PDU的序列号比当 前PDCP数据PDU小1。
其中,所述标志位为PDCP数据PDU包头的任意一个保留位。
其中,还包括:将第一个使用新密钥的下行PDCP数据PDU之前的下行PDCP数据PDU和/或之后的下行PDCP数据PDU都设置为标志位无效;和/或,将第一个使用新密钥的上行PDCP数据PDU之前的上行PDCP数据PDU和/或之后的上行PDCP数据PDU都设置为标志位无效。
其中,所述标志位无效表示当前PDCP数据PDU使用的密钥与前一个PDCP数据PDU使用的密钥相同。
其中,所述UE执行PDCP操作时使用新密钥加密,并将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效,具体为:所述UE将任意一个PDCP SN不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为第一个使用新密钥的上行PDCP数据PDU,并对所述第一个使用新密钥的上行PDCP数据PDU及其之后的上行PDCP数据PDU使用新密钥,并将所述第一个使用新密钥的上行PDCP数据PDU的标志位设置为有效。
本发明实施例还提供了一种指示安全密钥更新的装置,部署在第二基站eNB上,包括:
第一加密模块,用于在分流锚点从第一eNB转移到第二eNB时,对来自服务网关S-GW的第一个下行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密;
第一指示模块,用于将第一个使用新密钥的下行PDCP数据协议数据单元PDU设置为标志位有效;
其中,所述标志位有效表示当前下行PDCP数据PDU使用的密钥,与前一个下行PDCP数据PDU使用的密钥不同,所述前一个下行PDCP数据PDU的序列号比当前下行PDCP数据PDU小1。
其中,所述第一指示模块,还用于将PDCP数据PDU包头的任意一个保留位设置为所述标志位。
其中,所述第一指示模块,还用于将第一个使用新密钥的下行PDCP数 据PDU之前的下行PDCP数据PDU和/或之后的下行PDCP数据PDU都设置为标志位无效;所述标志位无效表示当前下行PDCP数据PDU使用的密钥与前一个下行PDCP数据PDU使用的密钥相同。
本发明实施例还提供了一种指示安全密钥更新的装置,部署在UE上,包括:
第二加密模块,用于对上行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密;
第二指示模块,用于将第一个使用所述新密钥的上行PDCP数据协议数据单元PDU设置为标志位有效,所述第一个使用新密钥的上行PDCP数据PDU序列号不小于分流锚点转移时已经发送成功或正在发送的、使用旧密钥的上行PDCP数据PDU;
其中,所述标志位有效表示当前上行PDCP数据PDU使用的密钥,与前一个上行PDCP数据PDU使用的密钥不同,所述前一个上行PDCP数据PDU的序列号比当前上行PDCP数据PDU小1;
所述新密钥为分流锚点从第一eNB转移到第二eNB时所述第二eNB使用的密钥。
其中,所述第二指示模块,还用于将PDCP数据PDU包头的任意一个保留位设置为所述标志位。
其中,所述第二指示模块,还用于将第一个使用新密钥的上行PDCP数据PDU之前的上行PDCP数据PDU和/或之后的上行PDCP数据PDU都设置为标志位无效,所述标志位无效表示当前上行PDCP数据PDU使用的密钥与前一个上行PDCP数据PDU使用的密钥相同。
本发明实施例还提供了一种指示安全密钥更新的方法,包括:
分流锚点从第一基站eNB转移到第二eNB时,第二eNB对接收到的下行分组数据汇聚协议PDCP数据服务数据单元SDU执行PDCP操作时使用新 密钥加密;
第二eNB接收到第一指示消息后,向UE发送使用新密钥的下行PDCP数据协议数据单元PDU;
所述第一指示消息用于指示所述第二eNB开始发送使用新密钥的下行PDCP数据PDU,表明UE已获知最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号,所述使用新密钥的下行PDCP数据PDU的PDCP序列号大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
其中,所述第一指示消息由控制面eNB收到所述UE的确认之后发送给所述第二eNB,所述确认由所述UE收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
其中,所述第二eNB接收到第一指示消息之前,还包括:
所述第一eNB通过所述控制面eNB将所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号通知给所述UE。
其中,所述第二eNB对接收到的下行PDCP数据SDU执行PDCP操作时使用新密钥加密,包括:
所述第二eNB对来自所第一eNB的PDCP数据SDU及后续来自S-GW的下行数据包执行PDCP操作时使用新密钥加密,所述PDCP数据SDU对应的PDCP序列号大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
本发明实施例还提供了一种指示安全密钥更新的方法,包括:
分流锚点从第一eNB转移到第二eNB时,UE对尚未开始发送的上行数据包执行PDCP操作时使用新密钥加密;
UE接收到第二指示消息后,向所述第二eNB发送使用新密钥的上行PDCP数据PDU;
所述第二指示消息用于指示所述UE开始发送使用新密钥的上行PDCP 数据PDU,表明第二eNB已获知最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号,所述使用新密钥的上行PDCP数据PDU的PDCP序列号大于所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号。
其中,所述第二指示消息由控制面eNB收到所述第二eNB的确认之后发送给所述UE,所述确认由所述第二eNB收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号。
其中,所述UE接收到第二指示消息之前,还包括:所述UE通过控制面eNB将所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号通知给所述第二eNB。
其中,所述分流锚点从第一eNB转移到第二eNB时,UE对尚未开始发送的上行数据包执行PDCP操作时使用新密钥加密,包括:
所述UE将任意一个PDCP序列号不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为所述最后一个使用旧密钥的上行PDCP数据PDU,并对所述最后一个使用旧密钥的上行PDCP数据PDU之后的上行PDCP数据PDU使用新密钥。
其中,所述UE对要发送的上行PDCP数据SDU执行PDCP操作时使用新密钥加密,包括:
所述UE对第一个使用新密钥的上行PDCP数据PDU对应的PDCP数据SDU执行PDCP操作,并在所述PDCP操作中使用新密钥加密;以及,所述UE对所述第一个使用新密钥的上行PDCP数据PDU之后的上行数据包,执行PDCP操作时使用新密钥加密;
所述第一个使用新密钥的上行PDCP数据PDU,其PDCP序列号比所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号大1。
本发明实施例还提供了一种指示安全密钥更新的装置,部署在第二eNB上,包括:
第三加密模块,用于在分流锚点从第一eNB转移到第二eNB时,对接收 到的下行PDCP数据SDU执行PDCP操作时使用新密钥加密;
第一发送模块,用于接收到第一指示消息后,向UE发送使用新密钥的下行PDCP数据PDU;
其中,所述第一指示消息用于指示所述第二eNB开始发送使用新密钥的下行PDCP数据PDU,表明UE已获知最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号,所述使用新密的下行PDCP数据PDU的PDCP序列号大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
其中,所述第一指示消息由控制面eNB收到所述UE的确认之后发送给所述第二eNB,所述确认由所述UE收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
其中,所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号由所述第一eNB通过所述控制面eNB通知给所述UE。
其中,所述第三加密模块,用于对来自所述第一eNB的PDCP数据SDU及后续来自S-GW的下行数据包执行PDCP操作时使用新密钥加密,所述PDCP数据SDU对应的PDCP序列号大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
本发明实施例还提供了一种指示安全密钥更新的装置,部署在UE上,包括:
第四加密模块,用于对尚未开始发送的上行数据包执行PDCP操作时使用新密钥加密,所述新密钥为分流锚点从第一eNB转移到第二eNB时所述第二eNB使用的密钥;
第二发送模块,用于接收到第二指示消息后,向所述第二eNB发送使用新密钥的上行PDCP数据PDU;
其中,所述第二指示消息用于指示所述UE开始发送使用新密钥的上行PDCP数据PDU,表明第二eNB已获知最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号,所述使用新密钥的上行PDCP数据PDU的PDCP序 列号大于所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号。
其中,所述第二指示消息由控制面eNB收到所述第二eNB的确认之后发送给所述UE,所述确认由所述第二eNB收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号。
其中,还包括:第一通知模块,用于通过控制面eNB将所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号通知给所述第二eNB。
其中,所述第四加密模块,用于将任意一个PDCP序列号不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为所述最后一个使用旧密钥的上行PDCP数据PDU,并对所述最后一个使用旧密钥的上行PDCP数据PDU之后的上行PDCP数据PDU使用新密钥。
其中,所述第四加密模块,用于对第一个使用新密钥的的上行PDCP数据PDU对应的PDCP数据SDU执行PDCP操作,并在所述PDCP操作中使用新密钥加密;以及,对所述第一个使用新密钥的上行PDCP数据PDU之后的上行数据包,执行PDCP操作时使用新密钥加密;所述第一个使用新密钥的上行PDCP数据PDU,其PDCP序列号比所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号大1。
本发明实施例还提供了一种指示安全密钥更新的方法,包括:
目标基站eNB接收第一逻辑信道ID和第二逻辑信道ID,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在源eNB在目标eNB进行分流的同一个承载在所述目标eNB上的辅小区组承载SCG部分;
所述目标eNB基于所述第一逻辑信道ID,将使用旧密钥的下行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的下行数据包通过所述第二逻辑信道发送。
其中,目标eNB接收第一逻辑信道ID和第二逻辑信道ID之前,还包括: 添加目标eNB时,控制面eNB为每个将要从源eNB在目标eNB进行分流的承载在目标eNB上的SCG部分建立第一逻辑信道和第二逻辑信道,并将第一逻辑信道ID和第二逻辑信道ID通知所述目标eNB。
其中,还包括:在建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB还默认建立了第一逻辑信道ID与所述新密钥的对应关系、以及第二逻辑信道ID与所述旧密钥的对应关系并通知所述目标eNB;或者,建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB默认配置所述第一逻辑信道用于发送使用所述新密钥的下行数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的下行数据包并通知所述目标eNB。
其中,所述控制面eNB通过SeNB添加请求消息或切换请求消息通知所述目标eNB。
本发明实施例还提供了一种指示安全密钥更新的方法,包括:
UE接收第一逻辑信道ID和第二逻辑信道ID,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在源eNB在目标eNB进行分流的同一个承载在所述目标eNB上的辅小区组承载SCG部分;
所述UE基于所述第一逻辑信道ID,将使用旧密钥的上行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的上行数据包通过所述第二逻辑信道发送。
其中,所述UE接收第一逻辑信道ID和第二逻辑信道ID之前,还包括:添加目标eNB时,控制面eNB为每个将要从源eNB在目标eNB进行分流的承载在目标eNB上的SCG部分建立第一逻辑信道和第二逻辑信道,并将第一逻辑信道ID和第二逻辑信道ID通知给所述UE。
其中,还包括:在建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB还默认建立了第一逻辑信道ID与所述新密钥的对应关系、以及第二逻辑信道ID与所述旧密钥的对应关系并通知所述UE;
或者,建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB默认 配置所述第一逻辑信道用于发送使用所述新密钥的上行数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的上行数据包并通知所述UE。
其中,所述控制面eNB通过RRC连接重配置消息通知所述UE。
本发明实施例还提供了一种指示安全密钥更新的装置,部署在目标eNB上,包括:
第一接收模块,用于接收第一逻辑信道ID和第二逻辑信道ID;
第三发送模块,用于基于所述第一逻辑信道ID将使用旧密钥的下行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的下行数据包通过所述第二逻辑信道发送;
其中,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在源eNB在目标eNB进行分流的同一个承载在所述目标eNB上的辅小区组承载SCG部分。
其中,所述第一接收模块,具体用于接收来自控制面eNB的通知,所述通知包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的下行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的下行数据包的默认配置。
其中,所述第二接收模块,具体用于接收来自控制面eNB的SeNB添加请求消息或切换请求消息,所述SeNB添加请求消息或切换请求消息包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的下行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的下行数据包的默认配置。
本发明实施例还提供了一种指示安全密钥更新的装置,部署在UE上,包 括:
第二接收模块,用于接收第一逻辑信道ID和第二逻辑信道ID;
第四发送模块,用于基于所述第一逻辑信道ID将使用旧密钥的上行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的上行数据包通过所述第二逻辑信道发送;
其中,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在源eNB在目标eNB进行分流的同一个承载在所述目标eNB上的辅小区组承载SCG部分。
其中,所述第二接收模块,具体用于接收来自控制面eNB的通知,所述通知包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的上行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的上行数据包的默认配置。
其中,所述第一接收模块,具体用于接收来自控制面eNB的RRC连接重配置消息,所述RRC连接重配置消息包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的上行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的上行数据包的默认配置。
本发明实施例还提供了一种指示安全密钥更新的装置,部署在控制面eNB上,包括:
建立模块,用于为每个将要从源eNB在目标eNB进行分流的承载在目标eNB上的SCG部分建立第一逻辑信道和第二逻辑信道;
第二通知模块,用于将所述建立模块建立的第一逻辑信道ID和第二逻辑 信道ID通知给所述目标eNB和/或UE。
其中,所述建立模块,还用于在建立所述第一逻辑信道和第二逻辑信道时,还默认建立所述第一逻辑信道ID与所述新密钥的对应关系、以及所述第二逻辑信道ID与所述旧密钥的对应关系;和/或,还用于默认配置所述第一逻辑信道用于发送使用所述新密钥的数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的数据包;
所述第二通知模块,还用于将所述建立模块建立的所述第一逻辑信道ID与所述新密钥的对应关系、以及所述第二逻辑信道ID与所述旧密钥的对应关系通知给所述目标eNB和/或UE;和/或,还用于将所述第一逻辑信道用于发送使用所述新密钥的数据包的默认配置、以及所述第二逻辑信道用于发送使用所述旧密钥的数据包的默认配置通知给所述目标eNB和/或UE。
其中,所述第二通知模块,具体用于通过RRC连接重配置消息通知所述UE;和/或,具体用于通过SeNB添加请求消息或切换请求消息通知所述目标eNB。
本发明实施例提供的指示安全密钥更新的方法及装置,使得UE/第二eNB能够通过PDCP数据PDU的标志位、网络侧信令的协助(如指示消息)、或发送数据使用的不同逻辑信道,区分出收到的PDCP数据PDU是使用新密钥还是旧密钥加密,从而正确解密,最终提升了用户体验和服务质量。
本发明实施例中,第二eNB可以在分流锚点从第一eNB转移到第二eNB后,通过PDCP数据PDU的标志位、网络侧信令的协助(如指示消息)、或发送数据使用的不同逻辑信道,区分使用不同密钥加密的上行数据包,让第二eNB能够判断向第一eNB还是第二eNB发送上行数据包,从而正确解密,最终提升了用户体验和服务质量。
本发明实施例中,UE可以在分流锚点从第一eNB转移到第二eNB后,通过PDCP数据PDU的标志位、网络侧信令的协助(如指示消息)、或发送数据使用的不同逻辑信道,区分来自第二eNB的、使用不同密钥加密的下行数据包,让UE能够使用正确的密钥对下行数据包进行解密,最终提升了用户体验和服务质量。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为LTE用户面数据协议栈示意图;
图2为用户面重配置时的流程图;
图3为用户面重配置时的协议栈示意图;
图4为本发明实施例一种指示安全密钥更新的方法流程图;
图5为本发明实施例一种指示安全密钥更新的方法流程图;
图6为本发明实施例下行数据指示安全密钥更新的示意图;
图7为本发明实施例上行数据指示安全密钥更新的示意图;
图8为本发明实施例部署在第二eNB的一种指示安全密钥更新的装置结构示意图;
图9为本发明实施例部署在UE的一种指示安全密钥更新的装置结构示意图;
图10为本发明实施例又一种指示安全密钥更新的方法流程图;
图11为本发明实施例又一种指示安全密钥更新的方法流程图;
图12为图10和图11所示方法的具体实现流程图;
图13为本发明实施例下行数据指示安全密钥更新的示意图;
图14为本发明实施例上行数据指示安全密钥更新的示意图;
图15为本发明实施例部署在第二eNB的又一种指示安全密钥更新的装置结构示意图;
图16为本发明实施例部署在UE的又一种指示安全密钥更新的装置结构示意图;
图17为本发明实施例又一种指示安全密钥更新的方法流程图;
图18为本发明实施例又一种指示安全密钥更新的方法流程图;
图19为本发明实施例部署在第二eNB的又一种指示安全密钥更新的装置结构示意图;
图20为本发明实施例部署在UE的又一种指示安全密钥更新的装置结构示意图;
图21为本发明实施例部署在控制面eNB的又一种指示安全密钥更新的装置结构示意图;
图22为本发明实施例建立逻辑信道的过程中网络节点间交互信令的流程图;
图23为本发明实施例建立两个逻辑信道之后网络侧和UE的协议栈架构和逻辑信道示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提出的指示安全密钥更新的方法,让UE能够通过PDCP 数据PDU包头本身,或通过网络侧信令的协助,或通过不同的逻辑信道,判断收到的PDCP数据PDU是使用新密钥还是旧密钥加密的。
如图4所示,本发明实施例提供了一种指示安全密钥更新的方法,包括:
步骤701,分流锚点转移到第二eNB时,第二eNB对来自S-GW的第一个下行数据包执行PDCP操作时使用新密钥加密;
步骤702,第二eNB将第一个使用新密钥的下行PDCP数据PDU设置为标志位有效。
和/或,如图5所示,包括:
步骤801,分流锚点从第一eNB转移到第二eNB时,UE执行PDCP操作时使用新密钥加密;
步骤802,UE将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效,所述第一个使用新密钥的上行PDCP数据PDU序列号(SN)不小于分流锚点转移时已经发送成功或正在发送的、使用旧密钥的上行PDCP数据PDU。
其中,所述标志位有效表示当前PDCP数据PDU使用的密钥,与前一个PDCP数据PDU使用的密钥不同,所述前一个PDCP数据PDU的序列号比当前PDCP数据PDU小1。实际应用中,可以将PDCP数据PDU包头的任意一个保留位作为所述标志位。所述标志位无效表示当前PDCP数据PDU使用的密钥与前一个PDCP数据PDU使用的密钥相同。也就是说,所述标志位有效的PDCP数据PDU及其之后的PDCP数据PDU使用了一种密钥(例如,新密钥),所述标志位有效的PDCP数据PDU之前的PDCP数据PDU使用了另一种密钥(例如,旧密钥)。
其中,上述图4所示的方法还可包括:将第一个使用新密钥的下行PDCP数据PDU之前的下行PDCP数据PDU和/或之后的下行PDCP数据PDU都设置为标志位无效;和/或,上述图5所示的方法还可包括:将第一个使用新密钥的上行PDCP数据PDU之前的上行PDCP数据PDU和/或之后的上行PDCP数据PDU都设置为标志位无效。
其中,所述UE执行PDCP操作时使用新密钥加密,并将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效,具体为:所述UE将任意一个PDCP SN不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为第一个使用新密钥的上行PDCP数据PDU,并对所述第一个使用新密钥的上行PDCP数据PDU及其之后的上行PDCP数据PDU使用新密钥,并将所述第一个使用新密钥的上行PDCP数据PDU的标志位设置为有效。
例如,UE可以将上述尚未开始发送的上行PDCP数据PDU作为第一个使用新密钥的上行PDCP数据PDU。具体的,分流锚点从第一eNB转移到第二eNB时,对于尚未开始发送的上行PDCP数据PDU,UE对该上行PDCP数据PDU对应的PDCP数据SDU执行PDCP操作,在所述PDCP操作中使用新密钥,并将该上行PDCP数据PDU的标志位设置为有效。
需要说明的是,本文中提到的“新密钥”都是指第二eNB的PDCP层执行PDCP操作时加密/解密使用的密钥;本文中的“旧密钥”都是指第一eNB的PDCP层执行PDCP操作加密/解密时使用的密钥。
实际应用中,分流锚点发生转移时,第一eNB将未传输或未成功传输的下行PDCP数据PDU转发给第二eNB。第二eNB向UE发送的下行PDCP数据PDU包头中设置标志位,其中,标志位有效时表明该下行PDCP数据PDU以及之后收到的下行PDCP数据PDU都使用新密钥加密。UE向第二eNB发送的上行PDCP数据PDU包头中设置标志位,其中,标志位有效时表明该上行PDCP数据PDU以及之后收到的上行PDCP数据PDU都使用新密钥加密。
上述方法可由第二eNB/UE的PDCP实体执行。
实施例一
图6是本实施例用户面架构的示意图,本实施例描述下行数据处理及传输的过程中指示安全密钥更新的实现过程。
如图6所示,假设在添加第二eNB后第一eNB收到来自S-GW的2个下行数据包,按序分配PDCP序列号(Serial Number,SN)分别为SN_1和SN_2。第一eNB除了对收到的下行数据包在PDCP层执行头压缩、加密、添加PDCP包头等操作外,还将PDCP包头中的保留位设置为无效0。其中,SN_2的下 行PDCP数据PDU由第一eNB发送给UE,SN_1的下行PDCP数据PDU由第一eNB转发给第二eNB后再由第二eNB发送给UE。其中,SN越靠前(值越小)的PDU优先发送。
当控制面eNB决定将分流锚点从第一eNB转移到第二eNB时,SN_2的下行PDCP数据PDU尚未发送成功,第一eNB会将SN_2的下行PDCP数据PDU转发给第二eNB,其中SN_2的下行PDCP数据PDU仍采用了旧密钥加密,也就是说,SN_2的下行PDCP数据PDU依然是由第一eNB的PDCP实体使用其密钥加密处理得到的。
第二eNB继续向UE发送SN_2的下行PDCP数据PDU,
第二eNB对从S-GW收到的数据包执行头压缩、加密、添加PDCP包头等操作,并根据SN状态报告按序为从S-GW收到的新的下行数据包分配SN。也就是说,假设SN_2的数据包是第一eNB从S-GW收到的最后一个下行数据包,那么第二eNB需要为从S-GW收到的下行数据包从SN_3开始分配PDCP SN。
第二eNB除完成上述操作外,还将SN_3的PDCP数据PDU标志位设置为有效,同时,将SN大于3的PDCP数据PDU包头保留位设置为无效。也就是说,第二eNB将来自S-GW的第一个下行数据包对应的下行PDCP数据PDU标志位设置为有效,SN大于该下行PDCP数据PDU的下行PDCP数据PDU标志位均设置为无效,指示SN_3的下行PDCP数据PDU及之后发出的下行PDCP数据PDU均使用了新密钥。
之后,第二eNB按序向UE发送SN_3、SN_4、SN_5……的PDCP数据PDU。
其中,标志位具体可以是PDCP数据PDU包头的任意一个保留位。标志位的有效和无效可以是通过指定的数值来表示,例如,将PDCP数据PDU包头保留位设置为1时表示标志位为有效状态,将PDCP数据PDU包头保留位设置为0时表示标志位为无效状态。实际应用中,也可以采用其他方式,本文不做限制。本实施例中,只有SN_3的下行PDCP数据PDU包头中的保留位设置为1,其他下行PDCP数据PDU包头中的保留位均设置为0,也就是 说,SN大于SN_3的下行PDCP数据PDU以及SN小于SN_3的下行PDCP数据PDU,其包头的保留位都设置为0,表示SN_3的下行PDCP数据PDU及之后发出的下行PDCP数据PDU均使用了新密钥。
需要说明的是,图6中的表示PDCP SN为3的PDCP数据SDU,其他类似标识的含义类似,不再赘述。表示PDCP SN为1的PDCP数据PDU包头中保留位设置为0;表示PDCP SN为3的PDCP数据PDU包头中保留位设置为1,其他类似,不再赘述。
实施例二
图7是本实施例用户面架构的示意图,本实施例描述上行数据处理及传输的过程中指示安全密钥更新的实现过程。
如图7所示,UE上层产生2个上行数据包,按序分配PDCP SN分别为SN_1和SN_2。UE除了对上行数据包在PDCP层执行头压缩、加密、添加PDCP包头等操作外,还将相应的上行PDCP数据PDU标志位设置为无效。SN_2的上行PDCP数据PDU发送给第一eNB,SN_1的上行PDCP数据PDU发送给第二eNB并由第二eNB转发给第一eNB。
当控制面eNB决定将分流锚点从第一eNB转移到第二eNB时,SN_2的上行PDCP数据PDU尚未发送成功。此时,假设UE正在向第二eNB发送SN_1的上行PDCP数据PDU。
UE将重新对SN_2的上行PDCP数据SDU执行头压缩、加密、添加PDCP包头等操作,同时将SN_2的上行PDCP数据SDU标志位设置为有效,也就是说,UE使用新密钥对尚未发送成功的SN_2的上行PDCP数据SDU重新进行加密,并将其标志位设置为有效,指示该上行PDCP数据SDU及其之后发出的上行PDCP数据SDU都将使用新密钥加密。
UE将SN_2的上行PDCP数据PDU发送给第二eNB。之后,UE为上层产生的后续的上行数据包,按需分配SN,执行头压缩、加密、添加PDCP包头等操作,加密时采用新密钥并将其标志位均设置为无效。一般来说,UE为上层产生的后续的上行数据包从SN_3开始分配SN。
其中,标志位具体可以是PDCP数据PDU包头的任意一个保留位。标志位的有效和无效可以是通过指定的数值来表示,例如,将PDCP数据PDU包头保留位设置为1时表示标志位为有效状态,将PDCP数据PDU包头保留位设置为0时表示标志位为无效状态。本实施例中,只有SN_2的上行PDCP数据PDU包头中的保留位设置为1,其他上行PDCP数据PDU包头中的保留位均设置为1,也就是说,SN大于SN_2的上行PDCP数据PDU以及SN小于SN_2的上行PDCP数据PDU,其包头的保留位都设置为0,表明SN_2的上行PDCP数据PDU及之后发出的上行PDCP数据PDU均使用了新密钥。
上文中,UE将SN_2的上行PDCP数据PDU设置为标志位有效,执行PDCP层加密时对SN_2及其之后的上行PDCP数据PDU都使用新密钥。实际上,UE可选择将SN_2及其之后的任意一个上行PDCP数据PDU设置为标志位有效,其他上行PDCP数据PDU均设置为标志位无效,并且在执行PDCP层加密时对该标志位有效的上行PDCP数据PDU及其之后的上行PDCP数据PDU都使用新密钥,标志位有效的上行PDCP数据PDU之前的所有上行PDCP数据PDU都使用旧密钥。例如,UE还可以将SN_3的上行PDCP数据PDU设置为标志位有效,执行PDCP层加密时对SN_3及其之后的上行PDCP数据PDU都使用新密钥。
需要说明的是,图7中的表示PDCP SN为3的PDCP数据SDU,其他类似标识的含义类似,不再赘述。表示PDCP SN为1的PDCP数据PDU包头中保留位设置为0;表示PDCP SN为3的PDCP数据PDU包头中保留位设置为1,其他类似,不再赘述。
实施例三
如图8所示,本发明实施例提供一种指示安全密钥更新的装置,部署在第二eNB上,包括:
第一加密模块111,用于对来自S-GW的第一个下行数据包执行PDCP操作时使用新密钥加密;
第一指示模块112,用于将第一个使用新密钥的下行PDCP数据PDU设置为标志位有效;
其中,所述标志位有效表示当前下行PDCP数据PDU使用的密钥,与前一个下行PDCP数据PDU使用的密钥不同,所述前一个下行PDCP数据PDU的序列号比当前下行PDCP数据PDU小1。
其中,所述第一指示模块112,还用于将PDCP数据PDU包头的任意一个保留位设置为所述标志位。所述第一指示模块112,还用于将第一个使用新密钥的下行PDCP数据PDU之前的下行PDCP数据PDU和/或之后的下行PDCP数据PDU都设置为标志位无效,所述标志位无效表示当前下行PDCP数据PDU使用的密钥与前一个下行PDCP数据PDU使用的密钥相同。
实施例四
如图9所示,本发明实施例提供一种指示安全密钥更新的装置,部署在UE上,包括:
第二加密模块121,用于对上行数据包执行PDCP操作时使用新密钥加密;
第二指示模块122,用于将第一个使用所述新密钥的上行PDCP数据PDU设置为标志位有效;
其中,所述标志位有效表示当前上行PDCP数据PDU使用的密钥,与前一个上行PDCP数据PDU使用的密钥不同,所述前一个上行PDCP数据PDU的序列号比当前上行PDCP数据PDU小1;
所述新密钥为分流锚点从第一eNB转移到第二eNB时所述UE向第二eNB发送的上行PDCP数据PDU使用的密钥。
其中,所述第二指示模块122,还用于将PDCP数据PDU包头的任意一个保留位设置为所述标志位。所述第二指示模块122还可用于将第一个使用新密钥的上行PDCP数据PDU之前的上行PDCP数据PDU和/或之后的上行PDCP数据PDU都设置为标志位无效,所述标志位无效表示当前上行PDCP数据PDU使用的密钥与前一个上行PDCP数据PDU使用的密钥相同。
需要说明书的是,上述图8与图9所示的装置也可以通过相互交互实现上述功能,图8、图9所示的装置可用于实现图4至图7所示的方法,其具体实现过程与上文方法相关内容相同,不再赘述。
本发明实施例的上述方法、装置以及具体实施例不仅适用于双连接架构的分流锚点切换场景,同样也可适用于其他切换场景。
其他切换中,没有MeNB,UE的控制面从源基站跟着用户面转移到了目标基站,而在双连接架构中,UE的控制面是一直在主基站(MeNB)上的。对于传统切换场景中用户面和控制面分离的情况,只有用户面从源基站转移到了目标基站,控制面还留在源基站上。
本发明实施例中的提到的控制面eNB,指的是UE控制面所在的基站,在传统切换中,控制面eNB指的是切换前的源基站和切换后的目标基站。在双连接架构中,控制面eNB指的是MeNB。在用户面控制面分离的传统切换场景中,控制面eNB指的是源基站。简而言之,UE的控制面在哪里,哪里就是控制面eNB。
在单连接结构或其他切换场景中,控制面eNB可以是第一eNB和第二eNB其中之一,如果控制面eNB是第一eNB,那么可以将控制面eNB与第一eNB之间的交互过程省去,如果控制面eNB是第二eNB,那么就可以将控制面eNB与第二eNB之间的交互过程省去,除此之外,具体的实现过程类似,不再赘述。
如图10所示,本发明实施例还提供了另一种指示安全密钥更新的方法,包括:
步骤1301,分流锚点从第一eNB转移到第二eNB时,第二eNB对接收到的下行PDCP数据SDU执行PDCP操作时使用新密钥加密;
步骤1302,第二eNB接收到第一指示消息后,向UE发送使用新密钥的下行PDCP数据PDU。
其中,所述第一指示消息用于指示所述第二eNB开始发送使用新密钥的下行PDCP数据PDU,表明UE已经获知了最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN,所述使用新密钥的下行PDCP数据PDU的PDCP SN 大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN。
具体的,所述第一指示消息由控制面eNB收到所述UE的确认之后发送给所述第二eNB,所述确认由所述UE收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN。这里,所述通知由所述第一eNB发送给所述控制面eNB,再由所述控制面eNB发送给UE。也就是说,所述第二eNB接收到第一指示消息之前,还包括:所述第一eNB通过所述控制面eNB将所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN通知给所述UE。
其中,所述第二eNB对接收到的下行PDCP数据SDU执行PDCP操作时使用新密钥加密,包括:所述第二eNB对来自所述第一eNB的PDCP数据SDU及后续来自S-GW的下行数据包执行PDCP操作时使用新密钥加密,所述PDCP数据SDU对应的PDCP SN大于最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN。
分流锚点发生转移时,第一eNB将未传输或未成功传输的下行数据包转发给第二eNB。具体的,如果该下行数据包的PDCP SN小于已经分流给第二eNB的下行PDCP数据PDU的PDCP SN或已经发送给UE的下行PDCP数据PDU的PDCP SN,则第一eNB将经过PDCP操作的下行PDCP数据PDU转发给第二eNB,否则,第一eNB可以将下行PDCP数据PDU转发给第二eNB,也可以将下行PDCP数据SDU转发给第二eNB,但需要保证所有下行PDCP数据SDU的PDCP SN大于所有下行PDCP数据PDU的PDCP SN。
如图11所示,本发明实施例还提供了另一种指示安全密钥更新的方法,包括:
步骤1401,分流锚点从第一eNB转移到第二eNB时,UE对尚未发出的上行数据包执行PDCP操作时使用新密钥加密;
步骤1402,UE接收到第二指示消息后,向所述第二eNB发送使用新密钥的上行PDCP数据PDU。
其中,所述第二指示消息用于指示所述UE开始发送使用新密钥的上行PDCP数据PDU,表明第二eNB已获知最后一个使用旧密钥的上行PDCP数 据PDU的PDCP SN,所述使用新密钥的上行PDCP数据PDU的PDCP SN大于所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN。
具体的,所述第二指示消息由控制面eNB收到所述第二eNB的确认之后发送给所述UE,所述确认由所述第二eNB收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN。这里,所述通知由所述UE发送给所述控制面eNB,再由所述控制面eNB发送给第二eNB。也就是说,所述UE接收到第二指示消息之前,还包括:所述UE通过所述控制面eNB将所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN通知给所述第二eNB。
具体的,步骤1401中,所述UE对要发送的上行PDCP数据SDU执行PDCP操作时使用新密钥加密,可包括:所述UE对要发往所述第一eNB但尚未发送的上行PDCP数据PDU重新执行PDCP操作,并在所述PDCP操作中使用新密钥加密;以及,所述UE对所述要发往所述第一eNB但尚未发送的上行PDCP数据PDU之后的上行数据包,执行PDCP操作时使用新密钥加密;所述要发往所述第一eNB但尚未发送的上行PDCP数据PDU,其PDCP SN比所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN大1。
具体的,步骤1401可以是:所述UE将任意一个PDCP SN不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为最后一个使用旧密钥的上行PDCP数据PDU,并对所述最后一个使用旧密钥的上行PDCP数据PDU之后的上行PDCP数据PDU使用新密钥。在步骤1401之后以及步骤1402之前,所述UE通过控制面eNB通知将所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN通知给所述第二eNB。
对上行而言,分流锚点发生转移时,如果上行PDCP数据SDU的PDCP SN小于已经发送或正在发送(给第一eNB或第二eNB)的、使用旧密钥的PDCP数据PDU,则UE使用旧密钥加密该上行PDCP数据SDU;否则,UE可以使用旧密钥加密,也可以使用新密钥加密,但需要保证所有新密钥加密的上行PDCP数据PDU的PDCP SN大于所有旧密钥加密的上行PDCP数据PDU的PDCP SN。也就是说,UE可以选择将任意一个PDCP SN不小于已经发送或正在发送(给第一eNB或第二eNB)的、使用旧密钥的上行PDCP数据PDU 作为所述最后一个使用旧密钥的上行PDCP数据PDU,UE会将最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN通过控制面eNB通知给第二eNB,并将之后的上行PDCP数据PDU都使用新密钥,这里的“之后”指的是PDCP SN在所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN之后的上行PDCP数据PDU。
上述图10与图11的方法,可同时进行,也可以分别实现。例如,可以通过如下方式实现:第一eNB将最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN通知给控制面eNB,再由控制面eNB将该下行PDCP数据PDU的PDCP SN通知给UE。UE向控制面eNB确认已收到所述通知。UE可以在返回给控制面eNB的确认信息中携带最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN,再由控制面eNB向第二eNB发送第一指示消息,表明UE已经收到所述通知,并在可该第一指示消息中携带从所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN。之后,第二eNB接收到控制面eNB发送的上述第一指示消息,向控制面eNB确认已收到上述第一指示消息,并开始向UE发送使用新密钥的下行数据包。控制面eNB向UE发送第二指示消息,该第二指示消息一方面表明第二eNB已经收到最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN的通知,另一方面可用于指示UE开始向第二eNB发送使用新密钥的上行数据包。
实施例五
图12是本实施例的流程图,描述的是上述图10和图11所示指示安全密钥更新的方法的网络节点间信令交互流程图。其中,流程图省略了控制面eNB添加第二eNB从第一eNB分流数据的过程、UE向第二eNB发起随机接入的过程、以及控制面eNB向第二eNB请求分流锚点的转移的过程。
如图12所示,上述图10和图11的指示安全密钥更新的方法的具体实现流程可以为:
步骤1501,控制面eNB向第一eNB发送SeNB修改请求消息,通知第一eNB进行用户面重配置操作,将UE的分流锚点从第一eNB转移到第二eNB。
步骤1502,第一eNB向控制面eNB发送SeNB修改请求确认消息。其中, SeNB修改请求确认消息除携带现有协议中规定的信息外,还携带最后一个使用旧密钥的下行PDCP数据PDU的SN。
步骤1503,控制面eNB收到第一eNB发送的SeNB修改请求确认消息后,向UE发送RRC连接重配置消息,除了请求UE进行分流锚点转移操作外,还携带所述最后一个使用旧密钥的下行PDCP数据PDU的SN。
步骤1504,UE收到RRC连接重配置消息后,向控制面eNB发送RRC连接重配置完成消息,用于确认收到控制面eNB发送的RRC连接重配置消息,并携带最后一个使用旧密钥的上行PDCP数据PDU的SN。
步骤1505,控制面eNB收到UE发送的RRC连接重配置完成消息后,向第二eNB发送第一指示消息,用于指示第二eNB开始向UE发送使用新密钥的下行数据包,并携带从UE收到的最后一个使用旧密钥的上行PDCP数据PDU的SN。
步骤1506,第二eNB收到控制面eNB发送的第一指示消息后,向控制面eNB发送确认消息,用于确认收到了控制面eNB发送的第一指示消息。
步骤1507,控制面eNB收到第二eNB发送的确认消息后,向UE发送第二指示消息,该第二指示消息用于指示UE开始向第二eNB发送使用新密钥的上行数据包。该第二指示消息也可以携带最后一个使用旧密钥的下行PDCP数据PDU的SN。
实施例六
图13是指示安全密钥更新的方法在下行数据处理和传输过程的示意图。
如图13所示,假设在添加第二eNB后,第一eNB收到来自S-GW的3个下行数据包,按序分配PDCP SN分别为SN_1、SN_2和SN_3。SN_1和SN_3的下行PDCP数据PDU由第一eNB发送给UE,SN_2的下行PDCP数据PDU由第一eNB转发给第二eNB后、再由第二eNB发送给UE,SN_2的下行PDCP数据PDU是第一eNB使用旧密钥对SN_2的下行PDCP数据SDU执行PDCP操作得到的。
当控制面eNB决定将分流锚点从第一eNB转移到第二eNB时,SN_1的 PDCP数据PDU没有发送成功,而SN_3的PDCP数据PDU没有开始发送,第一eNB可以将SN_1的下行PDCP数据PDU和SN_3的下行PDCP数据SDU转发给第二eNB。
第一eNB将最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN即SN_2(如图13所示,本实施例中,最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN为SN_2)通知给控制面eNB,再由控制面eNB将该下行PDCP数据PDU的PDCP SN通知给UE,UE收到所述通知之后向控制面eNB确认,控制面eNB收到所述确认之后向第二eNB发送第一指示消息,该第一指示消息用于指示第二eNB开始发送使用新密钥的下行数据包,该第一指示消息表明UE已经收到了所述通知,已经获知了最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN为SN_2。
第二eNB将SN_1的下行PDCP数据PDU发送给UE,该SN_1的下行PDCP数据PDU是由第一eNB使用旧密钥对SN_1的下行PDCP数据SDU执行PDCP操作得到的。
第二eNB对SN_3的下行PDCP数据SDU执行头压缩、加密、添加PDCP包头等PDCP操作,执行PDCP操作过程中使用新密钥。
第二eNB接收来自S-GW的新的下行数据包即新的PDCP数据SDU,根据SN状态报告按序为其分配SN,并执行头压缩、加密、添加PDCP包头等操作。这里,第二eNB从SN_4开始为来自S-GW的新的PDCP数据SDU分配SN,并使用新密钥执行上述PDCP操作。
第二eNB收到控制面eNB发送的所述第一指示消息后,第二eNB开始按序向UE发送SN大于等于3的PDCP数据PDU,SN大于等于3的PDCP数据PDU均使用了新密钥。
需要说明的是,图13中的表示PDCP SN为3的PDCP数据SDU或PDCP数据PDU(其中,在PDCP处理之前的是PDCP数据SDU,在PDCP处理之后的是PDCP数据PDU),其他类似标识的含义类似,不再赘述。如图13所示,PDCP SN为的下行PDCP数据PDU使用旧密码,PDCP SN为及之后的下行PDCP数据PDU使用新密码。
实施例七
图14是指示安全密钥更新的方法在上行数据处理和传输过程的示意图。
如图14所示,UE上层产生3个上行数据包,按序分配PDCP SN分别为SN_1、SN_2和SN_3。SN_1和SN_3的上行PDCP数据PDU发送给第一eNB,SN_2的上行PDCP数据PDU发送给第二eNB,由第二eNB转发给第一eNB。
当控制面eNB决定将分流锚点从第一eNB转移到第二eNB时,SN_1的上行PDCP数据PDU没有发送成功,SN_3的上行PDCP数据PDU没有开始发送。此时,假设UE正在向第二eNB发送SN_2的上行PDCP数据PDU。
UE将最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN(如图14所示,本实施例中最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN为SN_2)通知给控制面eNB,再由控制面eNB将最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN通知给第二eNB,第二eNB接收到控制面eNB发送的上述通知后向控制面eNB确认,控制面eNB收到该确认后向UE发送第二指示消息,该第二指示消息用于指示UE开始发送使用新密钥的上行数据包,第二指示消息表明第二eNB已收到上述通知,也就是说,第二eNB已获知了最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN为SN_2。
UE重新对SN_3的上行PDCP数据SDU执行头压缩、加密、添加PDCP包头等操作,在该操作中使用新密钥。
UE将SN_1的上行PDCP数据PDU发送给第二eNB。
UE为上层产生的后续的上行数据包,按需分配SN,并执行头压缩、加密、添加PDCP包头等操作。这里,UE为后续的上行数据包分配SN时,从SN_3开始,执行上述PDCP操作时使用新密钥。
UE收到控制面eNB发送的所述第二指示消息后,UE按序向第二eNB发送SN大于等于SN_3的上行PDCP数据PDU,SN大于等于SN_3的上行PDCP数据PDU均使用了新密钥。
需要说明的是,图14中的表示PDCP SN为3的PDCP数据SDU或PDCP数据PDU(其中,在PDCP处理之前的是PDCP数据SDU,在PDCP 处理之后的是PDCP数据PDU),其他类似标识的含义类似,不再赘述。如图13所示,PDCP SN为的上行PDCP数据PDU使用旧密码,PDCP SN为及之后的上行PDCP数据PDU使用新密码。
如图15所示,本发明实施例还提供了一种指示安全密钥更新的装置,部署在第二eNB上,包括:第三加密模块181,用于在分流锚点从第一eNB转移到第二eNB时,对接收到的下行PDCP数据SDU执行PDCP操作时使用新密钥加密;第一发送模块182,用于接收到第一指示消息后,向UE发送使用新密钥的下行PDCP数据PDU;其中,所述第一指示消息用于指示所述第二eNB开始发送使用新密钥的下行PDCP数据PDU,表明UE已获知最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN,所述使用新密的下行PDCP数据PDU的PDCP SN大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN。
其中,所述第一指示消息由控制面eNB收到所述UE的确认之后发送给所述第二eNB,所述确认由所述UE收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN。这里,所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN由所述第一eNB通过所述控制面eNB通知给所述UE。
其中,所述第三加密模块181,可用于对来自所述第一eNB的PDCP数据SDU及后续来自S-GW的下行数据包执行PDCP操作时使用新密钥加密,所述PDCP数据SDU对应的PDCP SN比所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP SN大1。
如图16所示,本发明实施例还提供了一种指示安全密钥更新的装置,部署在UE上,包括:第四加密模块191,用于对尚未发出的上行数据包执行PDCP操作时使用新密钥加密,所述新密钥为分流锚点从第一eNB转移到第二eNB时所述第二eNB使用的密钥;第二发送模块192,用于接收到第二指示消息后,向所述第二eNB发送使用新密钥的上行PDCP数据PDU;其中,所述第二指示消息用于指示所述UE开始发送使用新密钥的上行PDCP数据PDU,表明第二eNB已获知最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN,所述使用新密钥的上行PDCP数据PDU的PDCP SN大于所述最后一个 使用旧密钥的上行PDCP数据PDU的PDCP SN。
这里,所述第二指示消息可由控制面eNB收到所述第二eNB的确认之后发送给所述UE,所述确认由所述第二eNB收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN。
其中,图16所示的装置还可包括:第一通知模块193,用于通过控制面eNB将所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP SN通知给所述第二eNB。
其中,所述第四加密模块191,可用于将任意一个PDCP SN不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为所述最后一个使用旧密钥的上行PDCP数据PDU,并对所述最后一个使用旧密钥的上行PDCP数据PDU之后的上行PDCP数据PDU使用新密钥。
具体的,所述第四加密模块191可用于对第一个使用新密钥的的上行PDCP数据PDU对应的PDCP数据SDU执行PDCP操作,并在所述PDCP操作中使用新密钥加密;以及,对所述第一个使用新密钥的上行PDCP数据PDU之后的上行数据包,执行PDCP操作时使用新密钥加密;所述第一个使用新密钥的上行PDCP数据PDU,其PDCP序列号比所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号大1。
需要说明的是,上述图15与图16所示的装置也可以通过相互交互实现上述功能,图15、图16所示的装置可以用于实现图10至图14所示的方法,其具体实现过程与上文方法相关内容相同,不再赘述。
本文中提到的“新密钥”都是指第二eNB的PDCP层执行PDCP操作时加密/解密使用的密钥;本文中的“旧密钥”都是指第一eNB的PDCP层执行PDCP操作加密/解密时使用的密钥。
本发明实施例的上述方法、装置以及具体实施例不仅适用于双连接架构的分流锚点切换场景,同样也可适用于其他切换场景。
其他切换中,没有MeNB,UE的控制面从源基站跟着用户面转移到了目 标基站,而在双连接架构中,UE的控制面是一直在MeNB上的。对于传统切换场景中用户面和控制面分离的情况,只有用户面从源基站转移到了目标基站,控制面还留在源基站上。
本发明实施例中的提到的控制面eNB,指的是UE控制面所在的基站,在传统切换中,控制面eNB指的是切换前的源基站和切换后的目标基站。在双连接架构中,控制面eNB指的是MeNB。在用户面控制面分离的传统切换场景中,控制面eNB指的是源基站。简而言之,UE的控制面在哪里,哪里就是控制面eNB。
在单连接结构或其他切换场景中,控制面eNB可以是第一eNB和第二eNB其中之一,如果控制面eNB是第一eNB,那么可以将控制面eNB与第一eNB之间的交互过程省去,如果控制面eNB是第二eNB,那么就可以将控制面eNB与第二eNB之间的交互过程省去,除此之外,具体的实现过程类似,不再赘述。
如图17所示,本发明实施例提供了又一种指示安全密钥更新的方法,包括:
步骤201,第二eNB接收第一逻辑信道ID和第二逻辑信道ID,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在第一eNB在第二eNB进行分流的同一个承载在所述第二eNB上的辅小区组承载SCG部分;
步骤202,所述第二eNB基于所述第一逻辑信道ID,将使用旧密钥的下行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的下行数据包通过所述第二逻辑信道发送。
其中,步骤201之前,还包括:步骤200,添加第二eNB时,控制面eNB为每个将要从第一eNB在第二eNB进行分流的承载在第二eNB上的SCG部分建立第一逻辑信道和第二逻辑信道,并将第一逻辑信道ID和第二逻辑信道ID通知所述第二eNB。
其中,步骤200还可包括:在建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB还默认建立了第一逻辑信道ID与所述新密钥的对应关系、以及第二逻辑信道ID与所述旧密钥的对应关系并通知所述第二eNB;或者,建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB默认配置所述第一逻辑信道用于发送使用所述新密钥的下行数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的下行数据包并通知所述第二eNB。
实际应用中,所述控制面eNB可通过SeNB添加请求消息通知所述第二eNB,具体实现过程如下图22所示。
如图18所示,本发明实施例提供了又一种指示安全密钥更新的方法,包括:
步骤211,UE接收第一逻辑信道ID和第二逻辑信道ID,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在第一eNB在第二eNB进行分流的同一个承载在所述第二eNB上的辅小区组承载SCG部分;
步骤212,所述UE基于所述第一逻辑信道ID,将使用旧密钥的上行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的上行数据包通过所述第二逻辑信道发送。
其中,步骤211之前,还包括:步骤210,添加第二eNB时,控制面eNB为每个将要从第一eNB在第二eNB进行分流的承载在第二eNB上的SCG部分建立第一逻辑信道和第二逻辑信道,并将第一逻辑信道ID和第二逻辑信道ID通知给所述UE。
其中,步骤210还可包括:在建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB还默认建立了第一逻辑信道ID与所述新密钥的对应关系、以及第二逻辑信道ID与所述旧密钥的对应关系并通知所述UE;或者,建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB默认配置所述第一逻辑信道用于发送使用所述新密钥的上行数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的上行数据包并通知所述UE。
实际应用中,所述控制面eNB可通过RRC连接重配置消息通知所述UE, 具体实现过程如下图22所示。
如图19所示,本发明实施例提供了又一种指示安全密钥更新的装置,部署在第二eNB上,包括:第一接收模块221,用于接收第一逻辑信道ID和第二逻辑信道ID;第三发送模块222,用于基于所述第一逻辑信道ID将使用旧密钥的下行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的下行数据包通过所述第二逻辑信道发送;其中,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在第一eNB在第二eNB进行分流的同一个承载在所述第二eNB上的辅小区组承载SCG部分。
其中,所述第一接收模块221,具体可用于接收来自控制面eNB的通知,所述通知包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的下行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的下行数据包的默认配置。
其中,所述第一接收模块221,具体可用于接收来自控制面eNB的SeNB添加请求消息或切换请求消息,所述SeNB添加请求消息或切换请求消息包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的下行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的下行数据包的默认配置。
如图20所示,本发明实施例提供了又一种指示安全密钥更新的装置,部署在UE上,包括:
第二接收模块231,用于接收第一逻辑信道ID和第二逻辑信道ID;
第四发送模块232,用于基于所述第一逻辑信道ID将使用旧密钥的上行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的上行数据包通过所述第二逻辑信道发送;
其中,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在第一eNB在第二eNB进行分流的同一个承载在所述第二eNB上的辅小区组承载SCG部分。
其中,所述第二接收模块231,具体可用于接收来自控制面eNB的通知,所述通知包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的上行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的上行数据包的默认配置。
其中,所述第二接收模块231,具体可用于接收来自控制面eNB的RRC连接重配置消息,所述RRC连接重配置消息包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的上行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的上行数据包的默认配置。
如图21所示,本发明实施例提供了又一种指示安全密钥更新的装置,部署在控制面eNB上,包括:
建立模块241,用于为每个将要从第一eNB在第二eNB进行分流的承载在第二eNB上的SCG部分建立第一逻辑信道和第二逻辑信道;
第二通知模块242,用于将所述建立模块建立的第一逻辑信道ID和第二逻辑信道ID通知给所述第二eNB和/或UE。
所述建立模块241,还可用于在建立所述第一逻辑信道和第二逻辑信道时,还默认建立所述第一逻辑信道ID与所述新密钥的对应关系、以及所述第二逻辑信道ID与所述旧密钥的对应关系;和/或,还用于默认配置所述第一逻辑信道用于发送使用所述新密钥的数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的数据包;
所述第二通知模块242,还可用于将所述建立模块建立的所述第一逻辑信道ID与所述新密钥的对应关系、以及所述第二逻辑信道ID与所述旧密钥的对应关系通知给所述第二eNB和/或UE;和/或,还用于将所述第一逻辑信道用于发送使用所述新密钥的数据包的默认配置、以及所述第二逻辑信道用于发送使用所述旧密钥的数据包的默认配置通知给所述第二eNB和/或UE。这里,所述第二通知模块242,具体用于通过RRC连接重配置消息通知所述UE;和/或,具体用于通过SeNB添加请求消息或切换请求消息通知所述第二eNB。其中,使用所述新密钥的数据包可以是使用所述新密钥的上行数据包和使用所述新密钥的下行数据包,使用所述旧密钥的数据包可以是使用所述旧密钥的上行数据包和使用所述旧密钥的下行数据包。
上述图17和图18所示的方法、以及图19至图21所示的装置均可组合使用。
实际上,控制面eNB在添加第二eNB时,为第一eNB的分流承载在第二eNB上的SCG部分建立第一逻辑信道和第二逻辑信道。其中,控制面eNB在添加第二eNB时,在SeNB添加请求消息或切换请求消息和RRC连接重配置消息中,为每一个分流承载,除设置第一逻辑信道ID外,还设置第二逻辑信道ID。第二eNB将旧密钥加密的下行PDCP数据PDU通过第一逻辑信道发送。第二eNB将新密钥加密的下行PDCP数据PDU通过第二逻辑信道发送。UE从第一逻辑信道收到的下行PDCP数据PDU,使用旧密钥解密,从第二逻辑信道收到的下行PDCP数据PDU,使用新密钥解密。UE将旧密钥加密的上行PDCP数据PDU通过第一逻辑信道发送。UE将新密钥加密的上行PDCP数据PDU通过第二逻辑信道发送。其中,对应使用旧密钥的上行PDCP数据PDU,第二eNB从第一逻辑信道接收并转发给第一eNB解密,对应使用新密钥的上行PDCP数据PDU,第二eNB从第二逻辑信道接收并解密。
如图22所示,为建立逻辑信道的过程中网络节点间交互信令的流程图。其中,图22还描述了控制面eNB添加第二eNB以及向UE发送RRC连接重配置的流程,包括:
步骤251,控制面eNB向第二eNB发送SeNB添加请求消息,用于添加第二eNB,其中,SeNB添加请求消息携带第一逻辑信道ID和第二逻辑信道 ID,为每一个将要从第一eNB在第二eNB进行分流的承载在第二eNB上的SCG部分建立第一逻辑信道和第二逻辑信道。
步骤252,第二eNB同意控制面eNB的添加请求,回复SeNB添加请求确认消息给所述控制面eNB;
步骤253,控制面eNB和第一eNB进行SeNB修改的交互,通知第一eNB将承载分流到第二eNB上。
步骤254,控制面eNB向UE发送RRC连接重配置消息,用于通知UE对承载进行分流的操作,其中,所述RRC连接重配置消息携带所述第一逻辑信道ID和第二逻辑信道ID,为每一个将要从第一eNB在第二eNB进行分流的承载在UE上的SCG部分建立第一逻辑信道和第二逻辑信道。
步骤255,UE向控制面eNB返回RRC连接重配置完成消息。
对于同一个承载,步骤254中的第一逻辑信道ID和步骤251中的第一逻辑信道ID相同,步骤254中的第二逻辑信道ID和步骤251中的第二逻辑信道ID相同。
如图23所示,为建立两个逻辑信道之后网络侧和UE的协议栈架构和逻辑信道示意图,图23还描述了图17和图18所示方法的具体实现过程。
如图23所示,控制面eNB为第一eNB的分流承载在第二eNB上的SCG部分,设置第一逻辑信道和第二逻辑信道。本实施例中,一个承载对应两个逻辑信道ID,设置两个逻辑信道的过程即为上述将两个逻辑信道ID通知给第二eNB和UE的过程。第二eNB将旧密钥加密的下行数据包,通过第一逻辑信道发送,将新密钥加密的下行数据包通过第二逻辑信道发送。UE将旧密钥加密的上行数据包通过第一逻辑信道发送,将新密钥加密的上行数据包通过第二逻辑信道发送。
本文中提到的“新密钥”都是指第二eNB的PDCP层执行PDCP操作时加密/解密使用的密钥;本文中的“旧密钥”都是指第一eNB的PDCP层执行PDCP操作加密/解密时使用的密钥。
本发明实施例的上述方法、装置以及具体实施例不仅适用于双连接架构 的分流锚点切换场景,同样也可适用于其他切换场景。
其他切换中,没有MeNB,UE的控制面从源基站跟着用户面转移到了目标基站,而在双连接架构中,UE的控制面是一直在MeNB上的。对于传统切换场景中用户面和控制面分离的情况,只有用户面从源基站转移到了目标基站,控制面还留在源基站上。
本发明实施例中的提到的控制面eNB,指的是UE控制面所在的基站,在传统切换中,控制面eNB指的是切换前的源基站和切换后的目标基站。在双连接架构中,控制面eNB指的是MeNB。在用户面控制面分离的传统切换场景中,控制面eNB指的是源基站。简而言之,UE的控制面在哪里,哪里就是控制面eNB。
在单连接结构或其他切换场景中,控制面eNB可以是第一eNB和第二eNB其中之一,如果控制面eNB是第一eNB,那么可以将控制面eNB与第一eNB之间的交互过程省去,如果控制面eNB是第二eNB,那么就可以将控制面eNB与第二eNB之间的交互过程省去,除此之外,具体的实现过程类似,不再赘述。
本领域内的技术人员应明白,本发明实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (46)
1.一种指示安全密钥更新的方法,其特征在于,包括:
分流锚点从第一基站eNB转移到第二eNB时,第二eNB对来自服务网关S-GW的第一个下行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密,并将第一个使用新密钥的下行PDCP数据协议数据单元PDU设置为标志位有效;
和/或,分流锚点从第一eNB转移到第二eNB时,UE执行PDCP操作时使用新密钥加密,并将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效,所述第一个使用新密钥的上行PDCP数据PDU序列号不小于分流锚点转移时已经发送成功或正在发送的、使用旧密钥的上行PDCP数据PDU;
其中,所述标志位有效表示当前PDCP数据PDU使用的密钥,与前一个PDCP数据PDU使用的密钥不同,所述前一个PDCP数据PDU的序列号比当前PDCP数据PDU小1。
2.根据权利要求1所述的方法,其特征在于,所述标志位为PDCP数据PDU包头的任意一个保留位。
3.根据权利要求1所述的方法,其特征在于,还包括:
将第一个使用新密钥的下行PDCP数据PDU之前的下行PDCP数据PDU和/或之后的下行PDCP数据PDU都设置为标志位无效;和/或,
将第一个使用新密钥的上行PDCP数据PDU之前的上行PDCP数据PDU和/或之后的上行PDCP数据PDU都设置为标志位无效。
4.根据权利要求1、2或3所述的方法,其特征在于,
所述标志位无效表示当前PDCP数据PDU使用的密钥与前一个PDCP数据PDU使用的密钥相同。
5.根据权利要求1所述的方法,其特征在于,所述UE执行PDCP操作时使用新密钥加密,并将第一个使用新密钥的上行PDCP数据PDU设置为标志位有效,具体为:
所述UE将任意一个PDCP SN不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为第一个使用新密钥的上行PDCP数据PDU,并对所述第一个使用新密钥的上行PDCP数据PDU及其之后的上行PDCP数据PDU使用新密钥,并将所述第一个使用新密钥的上行PDCP数据PDU的标志位设置为有效。
6.一种指示安全密钥更新的装置,其特征在于,部署在第二基站eNB上,包括:
第一加密模块,用于在分流锚点从第一eNB转移到第二eNB时,对来自服务网关S-GW的第一个下行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密;
第一指示模块,用于将第一个使用新密钥的下行PDCP数据协议数据单元PDU设置为标志位有效;
其中,所述标志位有效表示当前下行PDCP数据PDU使用的密钥,与前一个下行PDCP数据PDU使用的密钥不同,所述前一个下行PDCP数据PDU的序列号比当前下行PDCP数据PDU小1。
7.根据权利要求6所述的装置,其特征在于,所述第一指示模块,还用于将PDCP数据PDU包头的任意一个保留位设置为所述标志位。
8.根据权利要求6所述的装置,其特征在于,所述第一指示模块,还用于将第一个使用新密钥的下行PDCP数据PDU之前的下行PDCP数据PDU和/或之后的下行PDCP数据PDU都设置为标志位无效;所述标志位无效表示当前下行PDCP数据PDU使用的密钥与前一个下行PDCP数据PDU使用的密钥相同。
9.一种指示安全密钥更新的装置,其特征在于,部署在UE上,包括:
第二加密模块,用于对上行数据包执行分组数据汇聚协议PDCP操作时使用新密钥加密;
第二指示模块,用于将第一个使用所述新密钥的上行PDCP数据协议数据单元PDU设置为标志位有效,所述第一个使用新密钥的上行PDCP数据PDU序列号不小于分流锚点转移时已经发送成功或正在发送的、使用旧密钥的上行PDCP数据PDU;
其中,所述标志位有效表示当前上行PDCP数据PDU使用的密钥,与前一个上行PDCP数据PDU使用的密钥不同,所述前一个上行PDCP数据PDU的序列号比当前上行PDCP数据PDU小1;
所述新密钥为分流锚点从第一eNB转移到第二eNB时所述第二eNB使用的密钥。
10.根据权利要求9所述的装置,其特征在于,所述第二指示模块,还用于将PDCP数据PDU包头的任意一个保留位设置为所述标志位。
11.根据权利要求9所述的装置,其特征在于,所述第二指示模块,还用于将第一个使用新密钥的上行PDCP数据PDU之前的上行PDCP数据PDU和/或之后的上行PDCP数据PDU都设置为标志位无效,所述标志位无效表示当前上行PDCP数据PDU使用的密钥与前一个上行PDCP数据PDU使用的密钥相同。
12.一种指示安全密钥更新的方法,其特征在于,包括:
分流锚点从第一基站eNB转移到第二eNB时,第二eNB对接收到的下行分组数据汇聚协议PDCP数据服务数据单元SDU执行PDCP操作时使用新密钥加密;
第二eNB接收到第一指示消息后,向UE发送使用新密钥的下行PDCP数据协议数据单元PDU;
所述第一指示消息用于指示所述第二eNB开始发送使用新密钥的下行PDCP数据PDU,表明UE已获知最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号,所述使用新密钥的下行PDCP数据PDU的PDCP序列号大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
13.根据权利要求12所述的方法,其特征在于,所述第一指示消息由控制面eNB收到所述UE的确认之后发送给所述第二eNB,所述确认由所述UE收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
14.根据权利要求12或13所述的方法,其特征在于,所述第二eNB接收到第一指示消息之前,还包括:
所述第一eNB通过所述控制面eNB将所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号通知给所述UE。
15.根据权利要求12所述的方法,其特征在于,所述第二eNB对接收到的下行PDCP数据SDU执行PDCP操作时使用新密钥加密,包括:
所述第二eNB对来自所第一eNB的PDCP数据SDU及后续来自S-GW的下行数据包执行PDCP操作时使用新密钥加密,所述PDCP数据SDU对应的PDCP序列号大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
16.一种指示安全密钥更新的方法,其特征在于,包括:
分流锚点从第一eNB转移到第二eNB时,UE对尚未开始发送的上行数据包执行PDCP操作时使用新密钥加密;
UE接收到第二指示消息后,向所述第二eNB发送使用新密钥的上行PDCP数据PDU;
所述第二指示消息用于指示所述UE开始发送使用新密钥的上行PDCP数据PDU,表明第二eNB已获知最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号,所述使用新密钥的上行PDCP数据PDU的PDCP序列号大于所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号。
17.根据权利要求16所述的方法,其特征在于,所述第二指示消息由控制面eNB收到所述第二eNB的确认之后发送给所述UE,所述确认由所述第二eNB收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号。
18.根据权利要求16或17所述的方法,其特征在于,所述UE接收到第二指示消息之前,还包括:所述UE通过控制面eNB将所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号通知给所述第二eNB。
19.根据权利要求16所述的方法,其特征在于,所述分流锚点从第一eNB转移到第二eNB时,UE对尚未开始发送的上行数据包执行PDCP操作时使用新密钥加密,包括:
所述UE将任意一个PDCP序列号不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为所述最后一个使用旧密钥的上行PDCP数据PDU,并对所述最后一个使用旧密钥的上行PDCP数据PDU之后的上行PDCP数据PDU使用新密钥。
20.根据权利要求16或19所述的方法,其特征在于,所述UE对要发送的上行PDCP数据SDU执行PDCP操作时使用新密钥加密,包括:
所述UE对第一个使用新密钥的上行PDCP数据PDU对应的PDCP数据SDU执行PDCP操作,并在所述PDCP操作中使用新密钥加密;以及,所述UE对所述第一个使用新密钥的上行PDCP数据PDU之后的上行数据包,执行PDCP操作时使用新密钥加密;
所述第一个使用新密钥的上行PDCP数据PDU,其PDCP序列号比所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号大1。
21.一种指示安全密钥更新的装置,其特征在于,部署在第二eNB上,包括:
第三加密模块,用于在分流锚点从第一eNB转移到第二eNB时,对接收到的下行PDCP数据SDU执行PDCP操作时使用新密钥加密;
第一发送模块,用于接收到第一指示消息后,向UE发送使用新密钥的下行PDCP数据PDU;
其中,所述第一指示消息用于指示所述第二eNB开始发送使用新密钥的下行PDCP数据PDU,表明UE已获知最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号,所述使用新密的下行PDCP数据PDU的PDCP序列号大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
22.根据权利要求21所述的装置,其特征在于,所述第一指示消息由控制面eNB收到所述UE的确认之后发送给所述第二eNB,所述确认由所述UE收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
23.根据权利要求21或22所述的装置,其特征在于,所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号由所述第一eNB通过所述控制面eNB通知给所述UE。
24.根据权利要求21所述的装置,其特征在于,所述第三加密模块,用于对来自所述第一eNB的PDCP数据SDU及后续来自S-GW的下行数据包执行PDCP操作时使用新密钥加密,所述PDCP数据SDU对应的PDCP序列号大于所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号。
25.一种指示安全密钥更新的装置,其特征在于,部署在UE上,包括:
第四加密模块,用于对尚未开始发送的上行数据包执行PDCP操作时使用新密钥加密,所述新密钥为分流锚点从第一eNB转移到第二eNB时所述第二eNB使用的密钥;
第二发送模块,用于接收到第二指示消息后,向所述第二eNB发送使用新密钥的上行PDCP数据PDU;
其中,所述第二指示消息用于指示所述UE开始发送使用新密钥的上行PDCP数据PDU,表明第二eNB已获知最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号,所述使用新密钥的上行PDCP数据PDU的PDCP序列号大于所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号。
26.根据权利要求25所述的装置,其特征在于,所述第二指示消息由控制面eNB收到所述第二eNB的确认之后发送给所述UE,所述确认由所述第二eNB收到通知之后返回给所述控制面eNB,所述通知包含所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号。
27.根据权利要求25或26所述的装置,其特征在于,还包括:第一通知模块,用于通过控制面eNB将所述最后一个使用旧密钥的上行PDCP数据PDU的PDCP序列号通知给所述第二eNB。
28.根据权利要求25所述的装置,其特征在于,所述第四加密模块,用于将任意一个PDCP序列号不小于已经发送或正在发送的、使用旧密钥的上行PDCP数据PDU作为所述最后一个使用旧密钥的上行PDCP数据PDU,并对所述最后一个使用旧密钥的上行PDCP数据PDU之后的上行PDCP数据PDU使用新密钥。
29.根据权利要求25所述的装置,其特征在于,所述第四加密模块,用于对第一个使用新密钥的的上行PDCP数据PDU对应的PDCP数据SDU执行PDCP操作,并在所述PDCP操作中使用新密钥加密;以及,对所述第一个使用新密钥的上行PDCP数据PDU之后的上行数据包,执行PDCP操作时使用新密钥加密;所述第一个使用新密钥的上行PDCP数据PDU,其PDCP序列号比所述最后一个使用旧密钥的下行PDCP数据PDU的PDCP序列号大1。
30.一种指示安全密钥更新的方法,其特征在于,包括:
目标基站eNB接收第一逻辑信道ID和第二逻辑信道ID,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在源eNB在目标eNB进行分流的同一个承载在所述目标eNB上的辅小区组承载SCG部分;
所述目标eNB基于所述第一逻辑信道ID,将使用旧密钥的下行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的下行数据包通过所述第二逻辑信道发送。
31.根据权利要求30所述的方法,其特征在于,目标eNB接收第一逻辑信道ID和第二逻辑信道ID之前,还包括:添加目标eNB时,控制面eNB为每个将要从源eNB在目标eNB进行分流的承载在目标eNB上的SCG部分建立第一逻辑信道和第二逻辑信道,并将第一逻辑信道ID和第二逻辑信道ID通知所述目标eNB。
32.根据权利要求30所述的方法,其特征在于,还包括:
在建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB还默认建立了第一逻辑信道ID与所述新密钥的对应关系、以及第二逻辑信道ID与所述旧密钥的对应关系并通知所述目标eNB;
或者,建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB默认配置所述第一逻辑信道用于发送使用所述新密钥的下行数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的下行数据包并通知所述目标eNB。
33.根据权利要求31或32所述的方法,其特征在于,所述控制面eNB通过SeNB添加请求消息或切换请求消息通知所述目标eNB。
34.一种指示安全密钥更新的方法,其特征在于,包括:
UE接收第一逻辑信道ID和第二逻辑信道ID,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在源eNB在目标eNB进行分流的同一个承载在所述目标eNB上的辅小区组承载SCG部分;
所述UE基于所述第一逻辑信道ID,将使用旧密钥的上行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的上行数据包通过所述第二逻辑信道发送。
35.根据权利要求34所述的方法,其特征在于,所述UE接收第一逻辑信道ID和第二逻辑信道ID之前,还包括:添加目标eNB时,控制面eNB为每个将要从源eNB在目标eNB进行分流的承载在目标eNB上的SCG部分建立第一逻辑信道和第二逻辑信道,并将第一逻辑信道ID和第二逻辑信道ID通知给所述UE。
36.根据权利要求34所述的方法,其特征在于,还包括:
在建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB还默认建立了第一逻辑信道ID与所述新密钥的对应关系、以及第二逻辑信道ID与所述旧密钥的对应关系并通知所述UE;
或者,建立所述第一逻辑信道和第二逻辑信道时,所述控制面eNB默认配置所述第一逻辑信道用于发送使用所述新密钥的上行数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的上行数据包并通知所述UE。
37.根据权利要求35或36所述的方法,其特征在于,所述控制面eNB通过RRC连接重配置消息通知所述UE。
38.一种指示安全密钥更新的装置,其特征在于,部署在目标eNB上,包括:
第一接收模块,用于接收第一逻辑信道ID和第二逻辑信道ID;
第三发送模块,用于基于所述第一逻辑信道ID将使用旧密钥的下行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的下行数据包通过所述第二逻辑信道发送;
其中,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在源eNB在目标eNB进行分流的同一个承载在所述目标eNB上的辅小区组承载SCG部分。
39.根据权利要求38所述的装置,其特征在于,所述第一接收模块,具体用于接收来自控制面eNB的通知,所述通知包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的下行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的下行数据包的默认配置。
40.根据权利要求39所述的装置,其特征在于,所述第二接收模块,具体用于接收来自控制面eNB的SeNB添加请求消息或切换请求消息,所述SeNB添加请求消息或切换请求消息包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的下行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的下行数据包的默认配置。
41.一种指示安全密钥更新的装置,其特征在于,部署在UE上,包括:
第二接收模块,用于接收第一逻辑信道ID和第二逻辑信道ID;
第四发送模块,用于基于所述第一逻辑信道ID将使用旧密钥的上行数据包通过所述第一逻辑信道发送,基于所述第二逻辑信道ID将使用新密钥的上行数据包通过所述第二逻辑信道发送;
其中,所述第一逻辑信道ID为第一逻辑信道的标识,所述第二逻辑信道ID为第二逻辑信道的标识,所述第一逻辑信道和第二逻辑信道都建立在源eNB在目标eNB进行分流的同一个承载在所述目标eNB上的辅小区组承载SCG部分。
42.根据权利要求41所述的装置,其特征在于,所述第二接收模块,具体用于接收来自控制面eNB的通知,所述通知包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的上行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的上行数据包的默认配置。
43.根据权利要求42所述的装置,其特征在于,所述第一接收模块,具体用于接收来自控制面eNB的RRC连接重配置消息,所述RRC连接重配置消息包含所述第一逻辑信道ID和第二逻辑信道ID,或者包含所述第一逻辑信道ID及其所述新密钥的对应关系和所述第二逻辑信道ID及其与所述旧密钥的对应关系,或者包含所述第一逻辑信道ID及所述第一逻辑信道用于发送使用所述新密钥的上行数据包的默认配置、和所述第二逻辑信道ID及所述第二逻辑信道用于发送使用所述旧密钥的上行数据包的默认配置。
44.一种指示安全密钥更新的装置,其特征在于,部署在控制面eNB上,包括:
建立模块,用于为每个将要从源eNB在目标eNB进行分流的承载在目标eNB上的SCG部分建立第一逻辑信道和第二逻辑信道;
第二通知模块,用于将所述建立模块建立的第一逻辑信道ID和第二逻辑信道ID通知给所述目标eNB和/或UE。
45.根据权利要求44所述的装置,其特征在于,
所述建立模块,还用于在建立所述第一逻辑信道和第二逻辑信道时,还默认建立所述第一逻辑信道ID与所述新密钥的对应关系、以及所述第二逻辑信道ID与所述旧密钥的对应关系;和/或,还用于默认配置所述第一逻辑信道用于发送使用所述新密钥的数据包、以及默认配置所述第二逻辑信道用于发送使用所述旧密钥的数据包;
所述第二通知模块,还用于将所述建立模块建立的所述第一逻辑信道ID与所述新密钥的对应关系、以及所述第二逻辑信道ID与所述旧密钥的对应关系通知给所述目标eNB和/或UE;和/或,还用于将所述第一逻辑信道用于发送使用所述新密钥的数据包的默认配置、以及所述第二逻辑信道用于发送使用所述旧密钥的数据包的默认配置通知给所述目标eNB和/或UE。
46.根据权利要求44或45所述的装置,其特征在于,
所述第二通知模块,具体用于通过RRC连接重配置消息通知所述UE;和/或,具体用于通过SeNB添加请求消息或切换请求消息通知所述目标eNB。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610363539.2A CN107438274A (zh) | 2016-05-27 | 2016-05-27 | 一种指示安全密钥更新的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610363539.2A CN107438274A (zh) | 2016-05-27 | 2016-05-27 | 一种指示安全密钥更新的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107438274A true CN107438274A (zh) | 2017-12-05 |
Family
ID=60454586
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610363539.2A Pending CN107438274A (zh) | 2016-05-27 | 2016-05-27 | 一种指示安全密钥更新的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107438274A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018202131A1 (zh) * | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 通信方法、装置及系统 |
| WO2019024032A1 (zh) * | 2017-08-03 | 2019-02-07 | 华为技术有限公司 | 数据传输方法、相关设备及通信系统 |
| CN110876166A (zh) * | 2018-08-31 | 2020-03-10 | 中国移动通信有限公司研究院 | 一种数据处理的方法和设备 |
| WO2020082643A1 (zh) * | 2018-10-26 | 2020-04-30 | Oppo广东移动通信有限公司 | 一种区分数据格式的方法及装置、通信设备 |
| CN113518401A (zh) * | 2018-11-27 | 2021-10-19 | Oppo广东移动通信有限公司 | 无线通信方法、终端设备和网络设备 |
-
2016
- 2016-05-27 CN CN201610363539.2A patent/CN107438274A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018202131A1 (zh) * | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 通信方法、装置及系统 |
| US11399280B2 (en) | 2017-05-05 | 2022-07-26 | Huawei Technologies Co., Ltd. | Communication of numbered sequence packets using old and new cipher keys |
| US11297493B2 (en) | 2017-08-03 | 2022-04-05 | Huawei Technologies Co., Ltd. | Data transmission method, related device, and communications system |
| WO2019024032A1 (zh) * | 2017-08-03 | 2019-02-07 | 华为技术有限公司 | 数据传输方法、相关设备及通信系统 |
| EP3641258B1 (en) * | 2017-08-03 | 2021-10-13 | Huawei Technologies Co., Ltd. | Data transmission method |
| CN110876166A (zh) * | 2018-08-31 | 2020-03-10 | 中国移动通信有限公司研究院 | 一种数据处理的方法和设备 |
| WO2020082643A1 (zh) * | 2018-10-26 | 2020-04-30 | Oppo广东移动通信有限公司 | 一种区分数据格式的方法及装置、通信设备 |
| JP2022505745A (ja) * | 2018-10-26 | 2022-01-14 | オッポ広東移動通信有限公司 | データフォーマットの区別方法、装置及び通信デバイス |
| US11589281B2 (en) | 2018-10-26 | 2023-02-21 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method and apparatus for distinguishing between data formats, and communication device |
| JP7323610B2 (ja) | 2018-10-26 | 2023-08-08 | オッポ広東移動通信有限公司 | データフォーマットの区別方法、装置及び通信デバイス |
| US11785517B2 (en) | 2018-10-26 | 2023-10-10 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method and apparatus for distinguishing between data formats, and communication device |
| US11363492B2 (en) | 2018-11-27 | 2022-06-14 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Wireless communication method, terminal device and network device |
| CN113518401A (zh) * | 2018-11-27 | 2021-10-19 | Oppo广东移动通信有限公司 | 无线通信方法、终端设备和网络设备 |
| CN113518401B (zh) * | 2018-11-27 | 2022-11-22 | Oppo广东移动通信有限公司 | 无线通信方法、终端设备和网络设备 |
| US11877184B2 (en) | 2018-11-27 | 2024-01-16 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Wireless communication method, terminal device and network device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112738858B (zh) | 切换的方法和设备 | |
| CN103533586B (zh) | 切换过程中的信令交互及层重建的方法和设备 | |
| CN107438274A (zh) | 一种指示安全密钥更新的方法及装置 | |
| CN104219722B (zh) | 双连接无线承载的迁移处理、迁移方法及装置 | |
| CN104955064B (zh) | 一种在双连接系统中处理用户设备端rlc/pdcp实体的方法与设备 | |
| KR100541014B1 (ko) | 서빙 무선 네트워크 서브 시스템 재배치 중에 무선 링크제어 엔티티 재구축을 결정하는 방법 | |
| CN103458402B (zh) | 演进通用陆地无线接入网络及其通讯方法以及用户设备 | |
| US10945128B2 (en) | Data forwarding support in dual connectivity | |
| CN114828117B (zh) | 切换方法、接入网设备和终端设备 | |
| CN109586900A (zh) | 数据安全处理方法及装置 | |
| CN108282830B (zh) | 一种网络实体切换的方法、终端及网络实体设备 | |
| CN106105143A (zh) | 双连接性中的安全性密钥推导 | |
| EP2928261B1 (en) | Bearer release | |
| CN110636564A (zh) | 处理rlc失败的方法、网络设备及计算机存储介质 | |
| CN104936175A (zh) | 在双连接的通信环境下进行密钥更新的方法和装置 | |
| AU2020264654B2 (en) | Communication method and communications apparatus | |
| CN103888936B (zh) | 小区优化方法及装置 | |
| CN110771191A (zh) | 用于实现作为影响正在被使用的安全密钥的连接重新配置的一部分的承载特定改变的方法和装置 | |
| CN106941477A (zh) | 一种控制面信息的传输方法及装置 | |
| CN108282819A (zh) | 一种减少中断时延的方法、装置及用户设备 | |
| WO2018202131A1 (zh) | 通信方法、装置及系统 | |
| CN113709835B (zh) | 连接无线状态下的移动性实施 | |
| WO2017219365A1 (zh) | 数据传输的方法和装置 | |
| CN104429109B (zh) | 一种通信方法及装置 | |
| CN101835151B (zh) | 空中接口密钥的更新方法及无线接入系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171205 |