CN108353276B - 一种SeNB密钥更新的方法及装置 - Google Patents
一种SeNB密钥更新的方法及装置 Download PDFInfo
- Publication number
- CN108353276B CN108353276B CN201580084077.4A CN201580084077A CN108353276B CN 108353276 B CN108353276 B CN 108353276B CN 201580084077 A CN201580084077 A CN 201580084077A CN 108353276 B CN108353276 B CN 108353276B
- Authority
- CN
- China
- Prior art keywords
- senb
- key
- kenb
- request
- menb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种SeNB密钥更新的方法,包括:MeNB建立与UE的RRC连接,并确定与UE连接的第一SeNB和第二SeNB;MeNB计算第一SeNB的密钥S‑KeNB1和第二SeNB的密钥S‑KeNB2,并向第一SeNB和第二SeNB发送SeNB添加请求;MeNB接收第一SeNB反馈的第一请求确认消息,并接收第二SeNB反馈的第二请求确认消息;MeNB根据第一请求确认消息和第二请求确认消息向UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息。本发明实施例还提供了一种SeNB密钥更新的装置。采用本发明实施例,具体可减少MeNB和UE之间的控制面信令交互次数,提高密钥更新的效率,增强密钥更新的用户体验的优点。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种SeNB密钥更新的方法及装置。
背景技术
3GPP TS 36.300介绍了演进的通用移动通信系统(Universal MobileTelecommunications System,UMTS)陆地无线接入网(Evolved UMTS Terrestrial RadioAccess Network,E-UTRAN)对双连接的支持特性。处于无线资源控制(Radio ResourceControl,RRC)连接状态的用户设备(User Equipment,UE)在配置了多收发(Rx/Tx)接口后可以同时使用两个处于不同位置的演进型基站(Evolved Node Basestation,eNB)提供的空口资源,这两个eNB通过X2接口连接。图1展示了双连接模式中控制面信令流程,S1-移动管理实体(S1-Mobile Management Entity,S1-MME)接口终止于演进型主基站(MastereNB,MeNB),并且MeNB与演进型小基站(Secondary eNB,SeNB)之间使用X2接口。每一个双连接模式只有一个S1-MME连接,每一个eNB可以独立的处理UE的业务和信令请求。图2展示了双连接模式的用户面数据流程,允许两种架构:1)S1-U仅在MeNB终止,用户面数据经过X2-U接口在MeNB和SeNB之间传输;2)S1-U接口也可以终止于SeNB。
现有技术中,在1个UE,1个SeNB和1个MeNB之间的密钥生成、更新或者加密解密流程中,MeNB维护一个密钥(设为M-KeNB)和一个SCG计数器(SCG counter)作为输入参数生成新的密钥(设为S-KeNB)。MeNB将S-KeNB分别发送给UE和SeNB并作为输入参数生成数据流加密密钥Kupenc。当需要S-KeNB更新时,MeNB增加SCG计数器并分别向UE和SeNB发出S-KeNB更新流程请求。当需要M-KeNB更新时,MeNB的操作是重置SCG计数器为0并执行S-KeNB更新流程。
现有技术仅针对当UE与单个SeNB和单个MeNB相连的情况,然而,UE也可以同时与N个SeNB相连接。当n(n≤N)个SeNB向MeNB请求S-KeNB密钥更新,现有技术并未提供向与UE连接的N个SeNB发送密钥更新请求的实现方式。或者,现有技术只能根据单个SeNB和单个MeNB连接的数据发送方式进行多次数据发送,即,MeNB需要向同一个UE发送n次密钥更新信令,随着N的增大,带来的空口资源消耗也越高,从而增加了控制面信令交互。
发明内容
本发明实施例提供了一种SeNB密钥更新的方法及装置,提供了在多SeNB场景下的密钥更新流程,可减少MeNB和UE之间的控制面信令交互次数,提高密钥更新的效率,增强密钥更新的用户体验。
本发明实施例第一方面提供了一种SeNB密钥更新的方法,其可包括:
演进型主基站MeNB建立与用户设备UE的无线资源控制RRC连接,并确定与所述UE连接的第一演进型小基站SeNB和第二SeNB;
所述MeNB计算所述第一SeNB的密钥S-KeNB1和所述第二SeNB的密钥S-KeNB2,并向所述第一SeNB和所述第二SeNB发送SeNB添加请求,所述添加请求携带所述S-KeNB1或S-KeNB2;
所述MeNB接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息;
所述MeNB根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
结合第一方面,在第一种可能的实现方式中,所述MeNB计算第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2,包括:
所述MeNB获取次小区组SCG计数器和MeNB密钥M-KeNB,并将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2;
其中,所述S-KeNB1用于生成所述第一SeNB对应的数据流加密密钥Kupenc1,所述S-KeNB2用于生成所述第二SeNB对应的数据流加密密钥Kupenc2。
结合第一方面第一种可能的实现方式,在第二种可能的实现方式中,所述将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2,包括:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
结合第一方面至第一方面第二种可能的实现方式中任一种,在第三种可能的实现方式中,所述将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2,包括:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
结合第一方面至第一方面第三种可能的实现方式中任一种,在第四种可能的实现方式中,所述MeNB根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,包括:
所述MeNB从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
所述MeNB将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
结合第一方面第四种可能的实现方式中任一种,在第五种可能的实现方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
本发明实施例第二方面提供了一种SeNB密钥更新的方法,其可包括:
用户设备UE与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接;
所述UE接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息;
所述UE根据所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息进行所述第一SeNB和第二SeNB的密钥更新。
结合第二方面,在第一种可能的实现方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
结合第二方面第一种可能的实现方式,在第二种可能的实现方式中,所述UE根据所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息进行所述第一SeNB和第二SeNB的密钥更新,包括:
所述UE根据所述第一SeNB的密钥更新信息中携带的所述SCG计数器的第一计数值和所述M-KeNB,计算所述第一SeNB的密钥S-KeNB1;
所述UE根据所述第二SeNB的密钥更新信息中携带的所述SCG计数器的第二计数值和所述M-KeNB,计算所述第二SeNB的密钥S-KeNB2;
所述UE根据所述第一SeNB的密钥更新信息中携带的第一加密算法版本信息和所述S-KeNB1计算所述第一SeNB对应的数据流加密密钥Kupenc1;
所述UE根据所述第二SeNB的密钥更新信息中携带的第二加密算法版本信息和所述S-KeNB2计算所述第二SeNB对应的数据流加密密钥Kupenc2;
所述UE根据所述S-KeNB1和所述Kupenc1进行所述第一SeNB的的密钥更新,并根据所述S-KeNB2和所述Kupenc2进行所述第二SeNB的密钥更新。
本发明实施例第三方面提供了一种SeNB密钥更新的装置,其可包括:
连接模块,用于建立与用户设备UE的无线资源控制RRC连接;
确定模块,用于确定与所述UE连接的第一演进型小基站SeNB和第二SeNB;
计算模块,用于计算所述确定模块确定的所述第一SeNB的密钥S-KeNB1和所述第二SeNB的密钥S-KeNB2;
发送模块,用于向所述第一SeNB和所述第二SeNB发送SeNB添加请求,所述添加请求携带所述S-KeNB1或S-KeNB2;
接收模块,用于接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息;
所述发送模块,还用于根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
结合第三方面,在第一种可能的实现方式中,所述计算模块具体用于:
获取次小区组SCG计数器和MeNB密钥M-KeNB,并将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2;
其中,所述S-KeNB1用于生成所述第一SeNB对应的数据流加密密钥Kupenc1,所述S-KeNB2用于生成所述第二SeNB对应的数据流加密密钥Kupenc2。
结合第三方面第一种可能的实现方式,在第二种可能的实现方式中,所述计算模块具体用于:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
结合第三方面至第三方面第二种可能的实现方式中任一种,在第三种可能的实现方式中,所述发送模块具体用于:
通过X2-C接口向所述第一SeNB发送第一SeNB添加请求,所述第一SeNB添加请求中携带所述UE的安全能力和所述S-KeNB1,以触发所述第一SeNB根据所述UE的安全能力和所述S-KeNB1计算数据流加密解密的密钥Kupenc1;
通过X2-C接口向所述第二SeNB发送第二SeNB添加请求,所述第二SeNB添加请求中携带所述UE的安全能力和所述S-KeNB2,以触发所述第二SeNB根据所述UE的安全能力和所述S-KeNB2计算数据流加密解密的密钥Kupenc2。
结合第三方面至第三方面第三种可能的实现方式中任一种,在第四种可能的实现方式中,所述发送模块具体用于:
通过X2-C接口向所述第一SeNB发送第一SeNB添加请求,所述第一SeNB添加请求中携带所述UE的安全能力和所述S-KeNB1,以触发所述第一SeNB根据所述UE的安全能力和所述S-KeNB1计算数据流加密解密的密钥Kupenc1;
通过X2-C接口向所述第二SeNB发送第二SeNB添加请求,所述第二SeNB添加请求中携带所述UE的安全能力和所述S-KeNB2,以触发所述第二SeNB根据所述UE的安全能力和所述S-KeNB2计算数据流加密解密的密钥Kupenc2。
结合第三方面第四种可能的实现方式中任一种,在第五种可能的实现方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
本发明实施例第四方面提供了一种SeNB密钥更新的方法,其可包括:
连接模块,用于与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接;
接收模块,用于接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息;
更新模块,用于根据所述接收模块接收的所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息进行所述第一SeNB和第二SeNB的密钥更新。
结合第四方面,在第一种可能的实现方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
结合第四方面第一种可能的实现方式,在第二种可能的实现方式中,所述更新模块具体用于:
根据所述第一SeNB的密钥更新信息中携带的所述SCG计数器的第一计数值和所述M-KeNB,计算所述第一SeNB的密钥S-KeNB1;
根据所述第二SeNB的密钥更新信息中携带的所述SCG计数器的第二计数值和所述M-KeNB,计算所述第二SeNB的密钥S-KeNB2;
根据所述第一SeNB的密钥更新信息中携带的第一加密算法版本信息和所述S-KeNB1计算所述第一SeNB对应的数据流加密密钥Kupenc1;
根据所述第二SeNB的密钥更新信息中携带的第二加密算法版本信息和所述S-KeNB2计算所述第二SeNB对应的数据流加密密钥Kupenc2;
根据所述S-KeNB1和所述Kupenc1进行所述第一SeNB的的密钥更新,并根据所述S-KeNB2和所述Kupenc2进行所述第二SeNB的密钥更新。
本发明实施例第五方面提供了一种基站,其可包括:存储器,连接器、处理器、发送器和接收器,所述存储器和所述发送器、所述接收器相连,所述处理器分别和所述存储器、所述连接器、所述发送器和所述接收器相连;
所述存储器中存储着一组程序代码;
所述发送器、所述接收器和所述处理器用于调用所述存储器中存储的程序代码,执行如下操作:
所述连接器,用于建立与用户设备UE的无线资源控制RRC连接;
所述处理器,用于确定与所述UE连接的第一演进型小基站SeNB和第二SeNB;
所述处理器,还用于计算所述第一SeNB的密钥S-KeNB1和所述第二SeNB的密钥S-KeNB2;
所述发送器,用于向所述第一SeNB和所述第二SeNB发送SeNB添加请求,所述添加请求携带所述S-KeNB1或S-KeNB2;
所述接收器,用于接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息;
所述发送器,还用于根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
结合第五方面,在第一种可能的实现方式中,所述处理器具体用于:
获取次小区组SCG计数器和MeNB密钥M-KeNB,并将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2;
其中,所述S-KeNB1用于生成所述第一SeNB对应的数据流加密密钥Kupenc1,所述S-KeNB2用于生成所述第二SeNB对应的数据流加密密钥Kupenc2。
结合第五方面第一种可能的实现方式,在第二种可能的实现方式中,所述处理器具体用于:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
结合第五方面至第五方面第二种可能的实现方式中任一种,在第三种可能的实现方式中,所述发送器具体用于:
通过X2-C接口向所述第一SeNB发送第一SeNB添加请求,所述第一SeNB添加请求中携带所述UE的安全能力和所述S-KeNB1,以触发所述第一SeNB根据所述UE的安全能力和所述S-KeNB1计算数据流加密解密的密钥Kupenc1;
通过X2-C接口向所述第二SeNB发送第二SeNB添加请求,所述第二SeNB添加请求中携带所述UE的安全能力和所述S-KeNB2,以触发所述第二SeNB根据所述UE的安全能力和所述S-KeNB2计算数据流加密解密的密钥Kupenc2。
结合第五方面至第五方面第三种可能的实现方式中任一种,在第四种可能的实现方式中,所述发送器具体用于:
从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
结合第五方面第四种可能的实现方式中任一种,在第五种可能的实现方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
本发明实施例第六方面提供了一种用户设备,其可包括:存储器、连接器、处理器和接收器,所述存储器和所述接收器相连,所述处理器分别和所述存储器、所述连接器、和所述接收器相连;
所述存储器中存储着一组程序代码;
所述接收器和所述处理器用于调用所述存储器中存储的程序代码,执行如下操作:
所述连接器,用于与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接;
所述接收器,用于接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息;
所述处理器,用于根据所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息进行所述第一SeNB和第二SeNB的密钥更新。
结合第六方面,在第一种可能的实现方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
结合第六方面第一种可能的实现方式,在第二种可能的实现方式中,所述处理器具体用于:
根据所述第一SeNB的密钥更新信息中携带的所述SCG计数器的第一计数值和所述M-KeNB,计算所述第一SeNB的密钥S-KeNB1;
根据所述第二SeNB的密钥更新信息中携带的所述SCG计数器的第二计数值和所述M-KeNB,计算所述第二SeNB的密钥S-KeNB2;
根据所述第一SeNB的密钥更新信息中携带的第一加密算法版本信息和所述S-KeNB1计算所述第一SeNB对应的数据流加密密钥Kupenc1;
根据所述第二SeNB的密钥更新信息中携带的第二加密算法版本信息和所述S-KeNB2计算所述第二SeNB对应的数据流加密密钥Kupenc2;
根据所述S-KeNB1和所述Kupenc1进行所述第一SeNB的的密钥更新,并根据所述S-KeNB2和所述Kupenc2进行所述第二SeNB的密钥更新。
本发明实施例第七方面还提供了一种SeNB密钥更新的系统,包括:上述本发明实施例第五方面提供的基站、本发明实施例第六方面提供的用户设备以及与上述用户设备连接的演进型小基站SeNB。
在本发明实施例中,MeNB可首先与UE建立RRC连接,确定与UE连接的各个SeNB,进而可计算每一个SeNB的密钥S-KeNB,每一个SeNB对应一个密钥。MeNB计算得到SeNB的密钥之后,则可分别向各个SeNB发送SeNB添加请求,以将各个密钥发送给相应的SeNB,进而可根据各个SeNB反馈的请求确认消息确定各个SeNB的密钥更新信息。进一步的,MeNB可将各个SeNB反馈的密钥更新信息添加在一条RRC重配置请求中,向UE发送RRC重配置请求,通过一条RRC重配置请求触发UE进行所有SeNB的密钥更新,可减少控制面信令交互次数,减少MeNB和UE的功耗,提高密钥更新的效率,增强密钥更新的用户体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术提供的双连接模式中控制面信令流程;
图2为现有技术提供的双连接模式的用户面数据流程;
图3为现有技术提供的密钥更新的交互示意图;
图4为本发明实施例提供的多连接模式的拓扑结构示意图;
图5为本发明实施例提供的SeNB密钥更新的方法的以实施例流程示意图;
图6为本发明实施例提供的SeNB密钥更新的装置的另一实施例结构示意图;
图7为本发明实施例提供的SeNB密钥更新的方法的一实施例交互示意图;
图8为本发明实施例提供的SeNB密钥更新的方法的另一实施例交互示意图;
图9为本发明实施例提供的SeNB密钥更新的方法的另一实施例流程示意图;
图10为本发明实施例提供的SeNB密钥更新的装置的一实施例结构示意图;
图11为本发明实施例提供的基站的实施例结构示意图;
图12为本发明实施例提供的用户设备的实施例结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实现中,本发明实施例提供了一种SeNB密钥更新的系统,可包括UE、MeNB和SeNB(具体可包括SeNB1和SeNB2)。下面将结合图3-图12对本发明实施例提供的SeNB密钥更新的方法、装置及系统进行具体描述。
为了更好地介绍本发明实施例的具体实现方式,下面将首先结合图3对现有技术中,UE与单个SeNB和单个MeNB连接时,UE、MeNB和SeNB进行密钥加密或者解密的流程进行具体介绍。
参见图3,是现有技术提供的密钥更新的交互示意图。图3展示了1个UE,1个SeNB和1个MeNB之间的密钥更新流程,包括步骤:
1、UE和MeNB建立RRC连接。
2、MeNB向SeNB发送SeNB添加请求,以通过上述SeNB添加请求向SeNB发起密钥更新流程。上述SeNB添加请求中携带数据流加密密钥S-KeNB,以及UE跨平台标准格式的安全能力等信息。
3、SeNB根据UE的安全能力进行加密算法版本的选择。
4、SeNB向MeNB反馈SeNB添加请求的确认消息。
5、MeNB向UE发送RRC连接重配置请求,上述RRC连接重配置请求中携带SCG计数器的计数值和加密算法版本等信息。
6、UE向MeNB反馈RRC连接重配置完成确认消息。
7、MeNB向SeNB发送重配置完成确认消息,完成密钥更新。
如上述各个步骤所示,MeNB首先与UE建立RRC连接,MeNB维护一个密钥M-KeNB和一个SCG计数器的计数值,以将上述SCG计数器的计数值和密钥M-KeNB作为输入参数生成新的密钥S-KeNB。MeNB将S-KeNB发送给SeNB,SeNB将其作为输入参数生成数据流加密密钥Kupenc。当需要S-KeNB更新时,MeNB增加SCG计数器的计数值并分别向UE和SeNB发出S-KeNB更新流程请求。当需要M-KeNB更新时,MeNB的操作是重置SCG计数器的计数值为0并执行S-KeNB更新流程。
在上述密钥更新的交互过程中,现有技术仅针对当UE与单个SeNB和单个MeNB相连的情况,若UE同时与N个SeNB相连接,则当n(n≤N)个SeNB向MeNB请求S-KeNB密钥更新,MeNB需要按照上述图3所描述的更新流程向同一个UE发送n次密钥更新信令(具体可表现为上述图3中的RRC连接重配置请求)。其中,上述密钥更新信令为空口上eNB需要给UE发送的消息,更新一个SeNB上的密钥则需要发送一次密钥更新信令,UE同时与N个SeNB相连接,则需要更新N个SeNB上的密钥,故此需要向同一个UE发送n次密钥更新信令。随着N的增大,带来的空口资源消耗也越高,从而增加了控制面信令交互。同样,当M-KeNB需要更新时,MeNB也需要向UE发送n次密钥更新信令,增加控制面信令交互次数。
针对上述现有技术中存在空口资源消耗高,控制面板信令交互次数多等缺陷,本发明实施例提供了的密钥更新方法,可在多个SeNB并发请求密钥更新时,在同一次更新处理中向多个SeNB发送SeNB添加请求,再将多个SeNB反馈的信息添加在一条密钥更新信令中发送给UE,从而减少UE与MeNB之间的控制面信令的交互次数。具体实现中,本发明实施例可应用于多SeNB场景下,如图4,UE可与多个SeNB(本发明实施例将以2个SeNB为例进行具体描述)连接,UE和MeNB之间的数据承载分布在多个SeNB上,MeNB可对需要更新密钥的UE及其相关联的SeNB发起密钥更新流程。下面将参见图5至图9对本发明实施例提供的密钥更新方法及装置进行具体说明。
参见图5,是本发明实施例提供的密钥更新的方法的一实施例流程示意图。本发明实施例中所描述的密钥更新的方法,包括步骤:
S101,演进型主基站MeNB建立与用户设备UE的无线资源控制RRC连接,并确定与所述UE连接的第一演进型小基站SeNB和第二SeNB。
在一些可行的实施方式中,本发明实施例中所描述的MeNB在双连接中,可用于维护密钥M-KeNB和SCG计数器,以保证UE和每个SeNB之间的密钥唯一性。具体实现中,SeNB密钥更新时,MeNB可首先与UE建立RRC连接,进而可根据UE与SeNB的连接状况,确定与上述UE连接的一个或者多个SeNB。具体的,UE可与多个SeNB连接,本发明实施例将以2个SeNB为例进行具体描述。即,MeNB与UE建立连接之后,则可确定与UE连接的第一SeNB和第二SeNB,其中,上述第一SeNB和第二SeNB仅是举例,第一SeNB可以是与UE连接的多个SeNB中的一个,第二SeNB可以是与UE连接的多个SeNB中除了第一SeNB之外的任意一个或者多个,在此不做限制。
S102,所述MeNB计算第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2,并向所述第一SeNB和所述第二SeNB发送SeNB添加请求。
在一些可行的实施方式中,MeNB确定了第一SeNB(以下简称SeNB1)和第二SeNB(以下简称SeNB2)之后,则可将UE和MeNB之间的数据承载(Data Radio Bearer,DRB)分流到SeNB1和SeNB2中。具体实现中,MeNB可维护一个SCG计数器和M-KeNB密钥,并将上述SCG计数器的计数值和M-KeNB密钥作为输入参数计算两个S-KeNB密钥,即,S-KeNB1和S-KeNB2。其中,上述MeNb维护一个SCG计数器可为MeNB获取一个SCG计数器并保存在指定存储空间,并将上述SCG计数器的初始计数值设置为0,MeNB每确定一个S-KeNB,上述SCG计数器的计数值则加1。具体实现中,MeNB可利用SCG计数器的两个不同的计数值来分别推演得到SeNB1和SeNB2的密钥,即S-KeNB1和S-KeNB2。MeNB计算得到S-KeNB1和S-KeNB2之后,则可向SeNB1发送S-KeNB1,向SeNB2发送S-KeNB2,以供上述SeNB1和SeNB2进行数据流加密密钥的计算。
在一些可行的实施方式中,MeNB可向SeNB1发送第一SeNB添加请求,以通过上述第一SeNB添加请求向SeNB1发起密钥更新流程。具体的,MeNB可将上述S-KeNB1携带在上述第一SeNB添加请求中发送给SeNB1,并通过上述第一SeNB添加请求携带UE安全能力。SeNB1确定上述UE安全能力之后,则可选择UE支持的第一加密算法版本(即适合SeNB1进行密钥更新操作的加密算法),并根据上述S-KeNB1计算数据流加密密钥Kupenc1。具体实现中,MeNB可向SeNB1发送第一SeNB添加请求,还可向SeNB2发送第二SeNB添加请求,以通过上述第二SeNB添加请求向SeNB2发起密钥更新流程。具体的,MeNB可将上述S-KeNB2携带在上述第二SeNB添加请求中发送给SeNB2,并通过上述第二SeNB添加请求携带UE安全能力。SeNB2确定上述UE安全能力之后,则可选择UE支持的第二加密算法(即适合SeNB1进行密钥更新操作的加密算法),并根据上述S-KeNB2计算数据流加密密钥Kupenc2。即,MeNB可同时向SeNB1和SeNB2发送SeNB添加请求,以触发SeNB1和SeNB2同时进行密钥更新,提高密钥更新的效率和用户体验。具体的,MeNB可在同一个时间分别向SeNB1发送S-KeNB1和SeNB2发送S-KeNB2,也可在预设的时间间隔内分别向SeNB1发送S-KeNB1和SeNB2发送S-KeNB2,具体时间间隔大小在此不做限制。即,MeNB可在一次SeNB密钥更新的流程中计算多个SeNB的密钥,进而可向各个SeNB发送相应的密钥,以触发多个SeNB进行密钥更新的相关操作,节省了多个SeNB进行密钥更新操作所消耗的时长。
S103,所述MeNB接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息。
S104,所述MeNB根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
在一些可行的实施方式中,MeNB向SeNB1发送了第一SeNB添加请求之后,SeNB1可为本次密钥更新分配可用的空口资源,并选择合适的加密算法(即第一加密算法版本信息),进而根据计算上述S-KeNB1的SCG计数器的第一计数值计算本次密钥更新的数据流加密密钥Kupenc1。具体的,SeNB1可根据UE支持的多个加密算法,结合实际应用场景中UE的工作状态配置一个UE所支持的加密算法的优先级列表,进而可接收到MeNB发送的第一SeNB添加请求之后,根据上述优先级列表从中选择优先级最高的加密算法,以将上述优先级最高的算法确定为上述合适的加密算法。同样的,SeNB2也可为本次密钥更新分配可用的空口资源,并选择合适的加密算法(即第二加密算法版本信息),进而根据计算上述S-KeNB2的SCG计数器的第二计数值计算本次密钥更新的数据流加密密钥Kupenc2。具体实现中,SeNB1和SeNB2可执行相同的操作,下面将简单以SeNB1端的操作为例进行说明,SeNB2端的操作不再赘述。
在一些可行的实施方式中,SeNB1分配了可用的空口资源,选择了相应的加密算法并结合上述第一计数值计算得到加密密钥Kupenc1之后,可向MeNb发送SeNB添加请求的确认消息(即第一请求确认消息),以将上述空口资源、第一加密算法版本信息以及计算所述S-KeNB1的SCG计数器的第一计数值和M-KeNB等信息反馈给MeNB。MeNB可接收SeNB1反馈的第一SeNB添加请求的第一请求确认消息,从上述第一请求确认消息中获取SeNB1的密钥更新信息,其中,上述SeNB1的密钥更新信息包括:第一SeNB(即SeNB1)分配的第一空口资源、第一SeNB选择的第一加密算法版本信息,以及计算S-KeNB1的SCG计数器的第一计数值和M-KeNB等信息。进一步的,MeNB还可接收SeNB2反馈的第二SeNB添加请求的第二请求确认消息,从上述第二请求确认消息中获取SeNB2的密钥更新信息,其中,上述SeNB2的密钥更新信息包括:第二SeNB(即SeNB2)分配的第二空口资源、第二SeNB选择的第二加密算法版本信息,以及计算S-KeNB2的SCG计数器的第二计数值和M-KeNB等信息。
在一些可行的实施方式中,MeNB获取得到SeNB1的密钥更新信息和SeNB2的密钥更新信息之后,则可将上述SeNB1的密钥更新信息和SeNB2的密钥更新信息添加至RRC重配置请求中,进而可向UE发送RRC重配置请求,触发UE进行密钥更新。其中,上述RRC重配置请求用于触发UE计算S-KeNB1和第一SeNB对应的数据流加密密钥Kupenc1,以及S-KeNB2和第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。需要说明的是,在本发明实施例中,MeNB可在向UE发送RRC重配置请求之前收集UE连接的所有SeNB的密钥更新信息(本发明实施例以SeNB1和SeNB2两个SeNB为例进行说明),进而可将所有SeNB的密钥更新信息添加在一条RRC重配置请求中,向UE发送上述RRC重配置请求,触发UE对所有SeNB进行密钥更新。即,MeNB只需要向UE发送一次密钥更新信令即可完成UE与所有SeNB之间的密钥更新,减少了MeNB和UE之间的信令交互次数,节省空口资源,也节省了MeNB和UE的功耗。
进一步的,在一些可行的实施方式中,MeNB向UE发送了RRC重配置请求,上述RRC重配置请求中携带SeNB1的密钥更新信息和SeNB2的密钥更新信息。UE接收到上述RRC重配置请求之后,可根据上述RRC重配置请求中携带的密钥更新信息中包含的SCG计数器的第一计数值和M-KeNB计算S-KeNB1,根据上述RRC重配置请求中携带的密钥更新信息中包含的SCG计数器的第二计数值和M-KeNB计算S-KeNB2,进而可根据上述S-KeNB1及其对应的加密算法版本信息计算数据流加密密钥Kupenc1,根据上述S-KeNB2及其对应的加密算法版本信息计算数据流加密密钥Kupenc2。进一步的,UE可根据上述加密密钥S-KeNb1和Kupenc1进行SeNB1的密钥更新,根据上述加密密钥S-KeNb2和Kupenc2进行SeNB2的密钥更新,进而可向MeNB反馈RRC重配置完成的确认消息。
具体实现中,MeNB可接收UE反馈的RRC重配置完成的确认消息,进而可通过X2-C接口向SeNB1和SeNB2分别发送RRC重配置完成的确认消息,完成密钥的更新。
在本发明实施例中,在密钥更新过程中,MeNB可首先与UE建立RRC连接,确定与UE连接的SeNB的数目,进而可根据SeNB的数目计算相应的密钥S-KeNB,每个SeNB对应一个密钥。MeNB计算得到多个密钥之后,则可分别向各个SeNB发送SeNB添加请求,以将各个密钥发送给相应的SeNB,进而可根据各个SeNB反馈的请求确认消息确定各个SeNB分配的空口资源、选择的加密算法以及计算得到的加密密钥Kupenc等信息。进一步的,MeNB可将各个SeNB反馈的密钥更新信息添加在一条RRC重配置请求中,向UE发送RRC重配置请求,通过一条RRC重配置请求触发UE进行所有SeNB的密钥更新,可减少控制面信令交互次数,减少MeNB和UE的功耗,提高密钥更新的效率,增强密钥更新的用户体验。
参见图6,是本发明实施例提供的SeNB密钥更新的方法的另一实施例流程示意图。本发明实施例中所描述的方法,包括步骤:
S201,用户设备UE与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接。
S202,所述UE接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息。
S203,所述UE根据所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息进行所述第一SeNB和第二SeNB的密钥更新。
在一些可行的实施方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
在一些可行的实施方式中,所述UE根据所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息进行所述第一SeNB和第二SeNB的密钥更新,包括:
所述UE根据所述第一SeNB的密钥更新信息中携带的所述SCG计数器的第一计数值和所述M-KeNB,计算所述第一SeNB的密钥S-KeNB1;
所述UE根据所述第二SeNB的密钥更新信息中携带的所述SCG计数器的第二计数值和所述M-KeNB,计算所述第二SeNB的密钥S-KeNB2;
所述UE根据所述第一SeNB的密钥更新信息中携带的第一加密算法版本信息和所述S-KeNB1计算所述第一SeNB对应的数据流加密密钥Kupenc1;
所述UE根据所述第二SeNB的密钥更新信息中携带的第二加密算法版本信息和所述S-KeNB2计算所述第二SeNB对应的数据流加密密钥Kupenc2;
所述UE根据所述S-KeNB1和所述Kupenc1进行所述第一SeNB的的密钥更新,并根据所述S-KeNB2和所述Kupenc2进行所述第二SeNB的密钥更新。
具体实现中,图6对应的实施例所描述的SeNB密钥更新的方法的执行主体为本发明实施例中所描述的UE。UE与MeNB、SeNB交互进行SeNB密钥更新的具体实现过程可参见上述图5对应的实施例中各个步骤所描述的实现方式,在此不再赘述。
在本发明实施例中,在密钥更新过程中,UE可首先与MeNB建立RRC连接,与SeNB建立连接,进而可接收MeNB发送的RR重配置请求,根据RRC重配置请求中携带的所有SeNB的密钥更新信息进行所有SeNB密钥及其对应的数据流加密密钥的计算,触发所有SeNB密钥的更新,可减少UE与MeNB的控制面信令交互次数,减少MeNB和UE的功耗,提高密钥更新的效率,增强密钥更新的用户体验。
下面将结合图7,对本发明实施例中所描述的密钥更新的方法中MeNB、UE以及SeNB1和SeNB2的交互过程进行具体介绍。本发明实施例中所描述的MeNB、UE以及SeNB1和SeNB2的交互过程包括步骤:
1、UE和MeNB建立RRC连接。
2、MeNB决定将DEB分流到SeNB1和SeNB2。MeNB维护一个SCG计算器和MeNB的密钥M-KeNB,并根据SCG计数器的第一计数值和M-KeNB计算S-KeNB1,根据SCG计数器的第二计数值和M-KeNB计算S-KeNB2。
3、MeNB通过X2-C接口向SeNB1发送SeNB添加请求,以通过上述SeNB添加请求向SeNB1发起密钥更新流程。上述SeNB添加请求中携带数据流加密密钥S-KeNB1。
4、SeNB1为密钥更新分配可用的空口资源,并选择合适的加密算法,计算加密解密密钥Kupenc1。
5、SeNB1向MeNB反馈SeNB添加请求的请求确认消息,表明以被分配的空口资源、计算Kupenc1的SCG计数器的计数值和SeNB1选择的加密算法等信息。
6、MeNB通过X2-C接口向SeNB2发送SeNB添加请求,以通过上述SeNB添加请求向SeNB2发起密钥更新流程。上述SeNB添加请求中携带数据流加密密钥S-KeNB2。
7、SeNB2为密钥更新分配可用的空口资源,并选择合适的加密算法,计算加密解密密钥Kupenc2。
8、SeNB2向MeNB反馈SeNB添加请求的请求确认消息,表明以被分配的空口资源、计算Kupenc2的SCG计数器的计数值和SeNB2选择的加密算法等信息。
9、MeNB向UE发送RRC重配置请求,上述RRC连接重配置请求中携带SeNB1的密钥更新信息和SeNB2的密钥更新信息。其中,上述SeNB1的密钥更新信息和SeNB2的密钥更新信息可参见上述图5对应的具体实施例中所描述的信息,在此不再赘述。
10、UE为与之相关联的SeNB1和SeNB2连接计算S-KeNB1和S-KeNB2密钥,并计算加密解密密钥Kupenc1和Kupenc2,以激活加密解密流程。
11、UE向MeNB反馈RRC重配置完成的确认消息。
12、MeNB通过X2-C接口向SeNB1发送RRC重配置完成的确认消息,以触发SeNB1激活加密解密流程。
13、MeNB通过X2-C接口向SeNB1发送RRC重配置完成的确认消息,以触发SeNB2激活加密解密流程。
进一步的,UE与SeNB1和SeNB2之间可启动随机访问流程。
具体实现中,上述图7对应的交互流程中展现的各个步骤的具体实现过程可参见上述图5对应的实施例中各个步骤所描述的实现方式,在此不再赘述。
具体实现中,本发明实施例中所描述的密钥更新的方法在多SeNB的场景中,MeNB也可分开两次分别向SeNB1和SeNB2发起密钥更新流程。下面将结合图8进行具体说明。
参见图8,是本发明实施例提供的密钥更新的方法中MeNB、UE以及SeNB1和SeNB2的另一交互图,包括步骤:
1、UE和MeNB建立RRC连接。
2、MeNB决定将DEB分流到SeNB1。MeNB维护一个SCG计算器和MeNB的密钥M-KeNB并根据SCG计数器的第一计数值和M-KeNB计算S-KeNB1。
3、MeNB通过X2-C接口向SeNB1发送SeNB添加请求,以通过上述SeNB添加请求向SeNB1发起密钥更新流程。上述SeNB添加请求中携带数据流加密密钥S-KeNB1。
4、SeNB1为密钥更新分配可用的空口资源,并选择合适的加密算法,计算加密解密密钥Kupenc1。
5、SeNB1向MeNB反馈SeNB添加请求的请求确认消息,表明以被分配的空口资源、计算Kupenc1的SCG计数器的计数值和SeNB1选择的加密算法等信息。
6、MeNB向UE发送RRC重配置请求,上述RRC连接重配置请求中携带SeNB1的密钥更新信息。其中,上述SeNB1的密钥更新信息可参见上述图5对应的具体实施例中所描述的信息,在此不再赘述。
7、UE接收到MeNB发送的RRC重配置请求之后,为与之相关联的SeNB1计算S-KeNB1密钥,并计算加密解密密钥Kupenc1,以激活加密解密流程。
8、UE向MeNB反馈RRC重配置完成的确认消息。
9、MeNB通过X2-C接口向SeNB1发送RRC重配置完成的确认消息,以触发SeNB1激活加密解密流程。SeNB1接收到上述确认消息之后可选择激活加密解密流程,进而可选择在接收到UE发送的随机访问请求消息之后启动加密解密流程。
10、MeNB决定将DEB分流到SeNB2。MeNB维护一个SCG计算器和MeNB的密钥M-KeNB,并根据SCG计数器的第二计数值和M-KeNB计算S-KeNB2。
11、MeNB通过X2-C接口向SeNB2发送SeNB添加请求,以通过上述SeNB添加请求向SeNB2发起密钥更新流程。上述SeNB添加请求中携带数据流加密密钥S-KeNB2。
12、SeNB2为密钥更新分配可用的空口资源,并选择合适的加密算法,计算加密解密密钥Kupenc2。
13、SeNB2向MeNB反馈SeNB添加请求的请求确认消息,表明以被分配的空口资源、计算Kupenc2的SCG计数器的计数值和SeNB2选择的加密算法等信息。
14、MeNB向UE发送RRC重配置请求,上述RRC连接重配置请求中携带SeNB2的密钥更新信息。其中,上述SeNB2的密钥更新信息可参见上述图5对应的具体实施例中所描述的信息,在此不再赘述。
15、UE接收到MeNB发送的RRC重配置请求之后,为与之相关联的SeNB2计算S-KeNB2密钥,并计算加密解密密钥Kupenc2,以激活加密解密流程。
16、UE向MeNB反馈RRC重配置完成的确认消息。
17、MeNB通过X2-C接口向SeNB2发送RRC重配置完成的确认消息,以触发SeNB2激活加密解密流程。SeNB2接收到上述确认消息之后可选择激活加密解密流程,进而可选择在接收到UE发送的随机访问请求消息之后启动加密解密流程。
具体实现中,上述图8对应的交互流程中展现的实施方式同样适用于多个SeNB的场景,MeNB可分两次分别向SeNB1和SeNB2发起密钥更新的处理流程。即MeNB不仅可同时向SeNB1和SeNB2发起密钥更新的处理流程,也可前后两次分开向SeNB1和SeNB2发起密钥更新的处理流程,具体实现方式可根据实际应用场景确定,在此不做限制。其中,上述交互流程中展现的各个步骤的具体实现过程可参见上述图5对应的实施例中各个步骤所描述的实现方式,在此不再赘述。
在本发明实施例中,在密钥更新过程中,MeNB可首先与UE建立RRC连接,确定与UE连接的SeNB的数目,进而可根据SeNB的数目计算相应的密钥S-KeNB,包括S-KeNB1和S-KeNB2。MeNB计算得到多个密钥之后,则可同时向各个SeNB发送SeNB添加请求,以将各个密钥发送给相应的SeNB,进而可根据各个SeNB反馈的请求确认消息确定各个SeNB分配的空口资源、选择的加密算法以及计算得到的加密密钥Kupenc等信息。进一步的,MeNB可根据各个SeNB反馈的信息向UE发送RRC重配置请求,进而可根据UE反馈的RRC重配置完成的确认消息同时向各个SeNB发送重配置确认消息,以触发各个SeNB激活加密解密流程,可减少控制面信令交互次数,提高密钥更新的效率。进一步的,MeNB根据SeNB的数目计算相应的密钥S-KeNB之后,还可分开多次分别向各个SeNB发送SeNB添加请求,以将各个密钥发送给相应的SeNB,进而可根据各个SeNB反馈的请求确认消息确定各个SeNB分配的空口资源、选择的加密算法以及计算得到的加密密钥Kupenc等信息,增加了密钥更新的实现方式,增强了密钥更新的用户体验。
参见图9,是本发明实施例提供的SeNB密钥更新的装置的一实施例结构示意图。本发明实施例中所描述的装置,包括:
连接模块10,用于建立与用户设备UE的无线资源控制RRC连接。
确定模块20,用于确定与所述UE连接的第一演进型小基站SeNB和第二SeNB。
计算模块30,用于计算所述确定模块确定的所述第一SeNB的密钥S-KeNB1和所述第二SeNB的密钥S-KeNB2。
发送模块40,用于向所述第一SeNB和所述第二SeNB发送SeNB添加请求,所述添加请求携带所述S-KeNB1或S-KeNB2。
接收模块50,用于接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息。
所述发送模块40,还用于根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
在一些可行的实施方式中,上述计算模块30具体用于:
获取次小区组SCG计数器和MeNB密钥M-KeNB,并将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2;
其中,所述S-KeNB1用于生成所述第一SeNB对应的数据流加密密钥Kupenc1,所述S-KeNB2用于生成所述第二SeNB对应的数据流加密密钥Kupenc2。
在一些可行的实施方式中,上述计算模块30具体用于:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
在一些可行的实施方式中,上述发送模块40具体用于:
通过X2-C接口向所述第一SeNB发送第一SeNB添加请求,所述第一SeNB添加请求中携带所述UE的安全能力和所述S-KeNB1,以触发所述第一SeNB根据所述UE的安全能力和所述S-KeNB1计算数据流加密解密的密钥Kupenc1;
通过X2-C接口向所述第二SeNB发送第二SeNB添加请求,所述第二SeNB添加请求中携带所述UE的安全能力和所述S-KeNB2,以触发所述第二SeNB根据所述UE的安全能力和所述S-KeNB2计算数据流加密解密的密钥Kupenc2。
在一些可行的实施方式中,上述发送模块40具体用于:
从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
在一些可行的实施方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
具体实现中,本发明实施例中所描述的SeNB密钥更新的装置具体可为本发明实施例提供的MeNB,可通过其内置的各个模块执行本发明实施例提供的SeNB密钥更新的的方法的各个实施例中所描述的实现方式,在此不做赘述。
在本发明实施例中,在密钥更新过程中,MeNB可首先与UE建立RRC连接,确定与UE连接的SeNB的数目,进而可根据SeNB的数目计算相应的密钥S-KeNB,每个SeNB对应一个密钥。MeNB计算得到多个密钥之后,则可分别向各个SeNB发送SeNB添加请求,以将各个密钥发送给相应的SeNB,进而可根据各个SeNB反馈的请求确认消息确定各个SeNB分配的空口资源、选择的加密算法以及计算得到的加密密钥Kupenc等信息。进一步的,MeNB可将各个SeNB反馈的密钥更新信息添加在一条RRC重配置请求中,向UE发送RRC重配置请求,通过一条RRC重配置请求触发UE进行所有SeNB的密钥更新,可减少控制面信令交互次数,减少MeNB和UE的功耗,提高密钥更新的效率,增强密钥更新的用户体验。
参见图10,是本发明实施例提供的SeNB密钥更新的装置的另一实施例结构示意图。本发明实施例中所描述的装置,包括:
连接模块60,用于与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接。
接收模块70,用于接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息。
更新模块80,用于根据所述接收模块接收的所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息进行所述第一SeNB和第二SeNB的密钥更新。
在一些可行的实施方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
在一些可行的实施方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
具体实现中,本发明实施例中所描述的SeNB密钥更新的装置具体可为本发明实施例提供的UE,UE可通过其内置的各个模块执行本发明实施例提供的SeNB密钥更新的的方法的各个实施例中所描述的实现方式,在此不做赘述。
在本发明实施例中,在密钥更新过程中,UE可首先与MeNB建立RRC连接,与SeNB建立连接,进而可接收MeNB发送的RR重配置请求,根据RRC重配置请求中携带的所有SeNB的密钥更新信息进行所有SeNB密钥及其对应的数据流加密密钥的计算,触发所有SeNB密钥的更新,可减少UE与MeNB的控制面信令交互次数,减少MeNB和UE的功耗,提高密钥更新的效率,增强密钥更新的用户体验。
参见图11,是本发明实施例提供的基站的实施例结构示意图。本发明实施例中所描述的基站包括:存储器1000,连接器2000、处理器3000、发送器4000和接收器5000;上述存储器1000,连接器2000、处理器3000、发送器4000和接收器5000可通过总线6000连接;所述存储器中存储着一组程序代码;
所述发送器4000、所述接收器5000和所述处理器3000用于调用所述存储器1000中存储的程序代码,执行如下操作:
所述连接器2000,用于建立与用户设备UE的无线资源控制RRC连接。
所述处理器3000,用于确定与所述UE连接的第一演进型小基站SeNB和第二SeNB。
所述处理器3000,还用于计算所述第一SeNB的密钥S-KeNB1和所述第二SeNB的密钥S-KeNB2。
所述发送器4000,用于向所述第一SeNB和所述第二SeNB发送SeNB添加请求,所述添加请求携带所述S-KeNB1或S-KeNB2。
所述接收器5000,用于接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息。
所述发送器4000,还用于根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
在一些可行的实施方式中,所述处理器3000具体用于:
获取次小区组SCG计数器和MeNB密钥M-KeNB,并将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2;
其中,所述S-KeNB1用于生成所述第一SeNB对应的数据流加密密钥Kupenc1,所述S-KeNB2用于生成所述第二SeNB对应的数据流加密密钥Kupenc2。
在一些可行的实施方式中,所述处理器3000具体用于:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
在一些可行的实施方式中,所述发送器4000具体用于:
通过X2-C接口向所述第一SeNB发送第一SeNB添加请求,所述第一SeNB添加请求中携带所述UE的安全能力和所述S-KeNB1,以触发所述第一SeNB根据所述UE的安全能力和所述S-KeNB1计算数据流加密解密的密钥Kupenc1;
通过X2-C接口向所述第二SeNB发送第二SeNB添加请求,所述第二SeNB添加请求中携带所述UE的安全能力和所述S-KeNB2,以触发所述第二SeNB根据所述UE的安全能力和所述S-KeNB2计算数据流加密解密的密钥Kupenc2。
在一些可行的实施方式中,所述发送器4000具体用于:
从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
在一些可行的实施方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
具体实现中,本发明实施例中所描述的基站具体可为本发明实施例提供的MeNB,其可通过其内置的各个模块执行本发明实施例提供的SeNB密钥更新的的方法的各个实施例中所描述的实现方式,在此不做赘述。
在本发明实施例中,在密钥更新过程中,MeNB可首先与UE建立RRC连接,确定与UE连接的SeNB的数目,进而可根据SeNB的数目计算相应的密钥S-KeNB,每个SeNB对应一个密钥。MeNB计算得到多个密钥之后,则可分别向各个SeNB发送SeNB添加请求,以将各个密钥发送给相应的SeNB,进而可根据各个SeNB反馈的请求确认消息确定各个SeNB分配的空口资源、选择的加密算法以及计算得到的加密密钥Kupenc等信息。进一步的,MeNB可将各个SeNB反馈的密钥更新信息添加在一条RRC重配置请求中,向UE发送RRC重配置请求,通过一条RRC重配置请求触发UE进行所有SeNB的密钥更新,可减少控制面信令交互次数,减少MeNB和UE的功耗,提高密钥更新的效率,增强密钥更新的用户体验。
参见图12,是本发明实施例提供的用户设备的实施例结构示意图。本发明实施例中所描述的用户设备包括:存储器1001,连接器1002、处理器1003和接收器1004;上述存储器1001,连接器1002、处理器1003和接收器1004可通过总线1005连接;所述存储器中存储着一组程序代码;
所述接收器1004和所述处理器1003用于调用所述存储器1001中存储的程序代码,执行如下操作:
所述连接器1002,用于与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接。
所述接收器1004,用于接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息。
所述处理器1003,用于根据所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息进行所述第一SeNB和第二SeNB的密钥更新。
在一些可行的实施方式中,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
在一些可行的实施方式中,所述处理器1003具体用于:
根据所述第一SeNB的密钥更新信息中携带的所述SCG计数器的第一计数值和所述M-KeNB,计算所述第一SeNB的密钥S-KeNB1;
根据所述第二SeNB的密钥更新信息中携带的所述SCG计数器的第二计数值和所述M-KeNB,计算所述第二SeNB的密钥S-KeNB2;
根据所述第一SeNB的密钥更新信息中携带的第一加密算法版本信息和所述S-KeNB1计算所述第一SeNB对应的数据流加密密钥Kupenc1;
根据所述第二SeNB的密钥更新信息中携带的第二加密算法版本信息和所述S-KeNB2计算所述第二SeNB对应的数据流加密密钥Kupenc2;
根据所述S-KeNB1和所述Kupenc1进行所述第一SeNB的的密钥更新,并根据所述S-KeNB2和所述Kupenc2进行所述第二SeNB的密钥更新。
在本发明实施例中,在密钥更新过程中,UE可首先与MeNB建立RRC连接,与SeNB建立连接,进而可接收MeNB发送的RR重配置请求,根据RRC重配置请求中携带的所有SeNB的密钥更新信息进行所有SeNB密钥及其对应的数据流加密密钥的计算,触发所有SeNB密钥的更新,可减少UE与MeNB的控制面信令交互次数,减少MeNB和UE的功耗,提高密钥更新的效率,增强密钥更新的用户体验。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (28)
1.一种SeNB密钥更新的方法,其特征在于,包括:
演进型主基站MeNB建立与用户设备UE的无线资源控制RRC连接,并确定与所述UE连接的第一演进型小基站SeNB和第二SeNB;第一SeNB和所述第二SeNB是用于分流所述UE与所述MeNB之间的数据承载的基站;
所述MeNB获取次小区组SCG计数器和MeNB密钥M-KeNB,并将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2;并向所述第一SeNB和所述第二SeNB发送SeNB添加请求,所述添加请求携带所述S-KeNB1或S-KeNB2,以及UE安全能力;其中,所述S-KeNB1以及依据所述UE安全能力选择的解密算法版本用于生成所述第一SeNB对应的数据流加密密钥Kupenc1,所述S-KeNB2以及依据所述UE安全能力选择的解密算法版本用于生成所述第二SeNB对应的数据流加密密钥Kupenc2;
所述MeNB接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息;
所述MeNB根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
2.如权利要求1所述的方法,其特征在于,所述将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2,包括:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
3.如权利要求1-2任一项所述的方法,其特征在于,所述向所述第一SeNB和所述第二SeNB发送SeNB添加请求,包括:
所述MeNB通过X2-C接口向所述第一SeNB发送第一SeNB添加请求,所述第一SeNB添加请求中携带所述UE的安全能力和所述S-KeNB1,以触发所述第一SeNB根据所述UE的安全能力和所述S-KeNB1计算数据流加密解密的密钥Kupenc1;
所述MeNB通过X2-C接口向所述第二SeNB发送第二SeNB添加请求,所述第二SeNB添加请求中携带所述UE的安全能力和所述S-KeNB2,以触发所述第二SeNB根据所述UE的安全能力和所述S-KeNB2计算数据流加密解密的密钥Kupenc2。
4.如权利要求1-2任一项所述的方法,其特征在于,所述MeNB根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,包括:
所述MeNB从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
所述MeNB将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
5.如权利要求3所述的方法,其特征在于,所述MeNB根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,包括:
所述MeNB从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
所述MeNB将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
6.如权利要求4所述的方法,其特征在于,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
7.一种SeNB密钥更新的方法,其特征在于,包括:
用户设备UE与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接;第一SeNB和所述第二SeNB是用于分流所述UE与所述MeNB之间的数据承载的基站;
所述UE接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息;
所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算S-KeNB1的SCG计数器的第一计数值和M-KeNB;所述UE根据所述第一SeNB的密钥更新信息中携带的所述SCG计数器的第一计数值和所述M-KeNB,计算所述第一SeNB的密钥S-KeNB1;所述UE根据所述第一SeNB的密钥更新信息中携带的第一加密算法版本信息和所述S-KeNB1计算所述第一SeNB对应的数据流加密密钥Kupenc1;所述UE根据所述S-KeNB1和所述Kupenc1进行所述第一SeNB的的密钥更新;
所述UE根据第二SeNB的密钥更新信息进行所述第二SeNB的密钥更新。
8.如权利要求7所述的方法,其特征在于,所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
9.如权利要求8所述的方法,其特征在于,所述UE根据第二SeNB的密钥更新信息进行第二SeNB的密钥更新,包括:
所述UE根据所述第二SeNB的密钥更新信息中携带的所述SCG计数器的第二计数值和所述M-KeNB,计算所述第二SeNB的密钥S-KeNB2;
所述UE根据所述第二SeNB的密钥更新信息中携带的第二加密算法版本信息和所述S-KeNB2计算所述第二SeNB对应的数据流加密密钥Kupenc2;
所述UE根据所述S-KeNB2和所述Kupenc2进行所述第二SeNB的密钥更新。
10.一种SeNB密钥更新的装置,其特征在于,包括:
连接模块,用于建立与用户设备UE的无线资源控制RRC连接;
确定模块,用于确定与所述UE连接的第一演进型小基站SeNB和第二SeNB;第一SeNB和所述第二SeNB是用于分流所述UE与MeNB之间的数据承载的基站;
计算模块,用于获取次小区组SCG计数器和MeNB密钥M-KeNB,并将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2;
发送模块,用于向所述第一SeNB和所述第二SeNB发送SeNB添加请求,所述添加请求携带所述S-KeNB1或S-KeNB2,以及UE安全能力;其中,所述S-KeNB1以及依据所述UE安全能力选择的解密算法版本用于生成所述第一SeNB对应的数据流加密密钥Kupenc1,所述S-KeNB2以及依据所述UE安全能力选择的解密算法版本用于生成所述第二SeNB对应的数据流加密密钥Kupenc2;
接收模块,用于接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息;
所述发送模块,还用于根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
11.如权利要求10所述的装置,其特征在于,所述计算模块具体用于:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
12.如权利要求10-11任一项所述的装置,其特征在于,所述发送模块具体用于:
通过X2-C接口向所述第一SeNB发送第一SeNB添加请求,所述第一SeNB添加请求中携带所述UE的安全能力和所述S-KeNB1,以触发所述第一SeNB根据所述UE的安全能力和所述S-KeNB1计算数据流加密解密的密钥Kupenc1;
通过X2-C接口向所述第二SeNB发送第二SeNB添加请求,所述第二SeNB添加请求中携带所述UE的安全能力和所述S-KeNB2,以触发所述第二SeNB根据所述UE的安全能力和所述S-KeNB2计算数据流加密解密的密钥Kupenc2。
13.如权利要求10-11任一项所述的装置,其特征在于,所述发送模块具体用于:
从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
14.如权利要求12所述的装置,其特征在于,所述发送模块具体用于:
从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
15.如权利要求13所述的装置,其特征在于,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
16.一种SeNB密钥更新的装置,其特征在于,包括:
连接模块,用于与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接;第一SeNB和所述第二SeNB是用于分流UE与MeNB之间的数据承载的基站;
接收模块,用于接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息;
更新模块,用于根据所述接收模块接收的第二SeNB的密钥更新信息进行第二SeNB的密钥更新;所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算S-KeNB1的SCG计数器的第一计数值和M-KeNB;根据所述第一SeNB的密钥更新信息中携带的所述SCG计数器的第一计数值和所述M-KeNB,计算所述第一SeNB的密钥S-KeNB1;根据所述第一SeNB的密钥更新信息中携带的第一加密算法版本信息和所述S-KeNB1计算所述第一SeNB对应的数据流加密密钥Kupenc1;根据所述S-KeNB1和所述Kupenc1进行所述第一SeNB的的密钥更新。
17.如权利要求16所述的装置,其特征在于,所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
18.如权利要求17所述的装置,其特征在于,所述更新模块具体用于:
根据所述第二SeNB的密钥更新信息中携带的所述SCG计数器的第二计数值和所述M-KeNB,计算所述第二SeNB的密钥S-KeNB2;
根据所述第二SeNB的密钥更新信息中携带的第二加密算法版本信息和所述S-KeNB2计算所述第二SeNB对应的数据流加密密钥Kupenc2;
根据根据所述S-KeNB2和所述Kupenc2进行所述第二SeNB的密钥更新。
19.一种基站,其特征在于,包括:存储器,连接器、处理器、发送器和接收器,所述存储器和所述发送器、所述接收器相连,所述处理器分别和所述存储器、所述连接器、所述发送器和所述接收器相连;
所述存储器中存储着一组程序代码;
所述发送器、所述接收器和所述处理器用于调用所述存储器中存储的程序代码,执行如下操作:
所述连接器,用于建立与用户设备UE的无线资源控制RRC连接;
所述处理器,用于确定与所述UE连接的第一演进型小基站SeNB和第二SeNB;第一SeNB和所述第二SeNB是用于分流所述UE与MeNB之间的数据承载的基站;
所述处理器,还用于所述MeNB获取次小区组SCG计数器和MeNB密钥M-KeNB,并将所述SCG计数器的计数值和所述M-KeNB作为输入参数,计算所述第一SeNB的密钥S-KeNB1和第二SeNB的密钥S-KeNB2;
所述发送器,用于向所述第一SeNB和所述第二SeNB发送SeNB添加请求,所述添加请求携带所述S-KeNB1或S-KeNB2,以及UE安全能力;其中,所述S-KeNB1以及依据所述UE安全能力选择的解密算法版本用于生成所述第一SeNB对应的数据流加密密钥Kupenc1,所述S-KeNB2以及依据所述UE安全能力选择的解密算法版本用于生成所述第二SeNB对应的数据流加密密钥Kupenc2;
所述接收器,用于接收所述第一SeNB反馈的所述SeNB添加请求对应的第一请求确认消息,并接收所述第二SeNB反馈的所述SeNB添加请求对应的第二请求确认消息;
所述发送器,还用于根据所述第一请求确认消息和所述第二请求确认消息向所述UE发送RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息,以触发所述UE进行密钥更新。
20.如权利要求19所述的基站,其特征在于,所述处理器具体用于:
获取所述SCG计数器的第一计数值,结合所述M-KeNB计算所述S-KeNB1;
获取所述SCG计数器的第二计数值,结合所述M-KeNB计算所述S-KeNB2。
21.如权利要求19-20任一项所述的基站,其特征在于,所述发送器具体用于:
通过X2-C接口向所述第一SeNB发送第一SeNB添加请求,所述第一SeNB添加请求中携带所述UE的安全能力和所述S-KeNB1,以触发所述第一SeNB根据所述UE的安全能力和所述S-KeNB1计算数据流加密解密的密钥Kupenc1;
通过X2-C接口向所述第二SeNB发送第二SeNB添加请求,所述第二SeNB添加请求中携带所述UE的安全能力和所述S-KeNB2,以触发所述第二SeNB根据所述UE的安全能力和所述S-KeNB2计算数据流加密解密的密钥Kupenc2。
22.如权利要求19-20任一项所述的基站,其特征在于,所述发送器具体用于:
从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
23.如权利要求21所述的基站,其特征在于,所述发送器具体用于:
从所述第一请求确认消息中获取所述第一SeNB的密钥更新信息,从所述第二请求确认消息中获取所述第二SeNB的密钥更新信息;
将所述第一SeNB的密钥更新信息和所述第二SeNB的密钥更新信息添加至RRC重配置请求中,并向所述UE发送所述RRC重配置请求;
其中,所述RRC重配置请求用于触发所述UE计算所述S-KeNB1和所述第一SeNB对应的数据流加密密钥Kupenc1,以及所述S-KeNB2和所述第二SeNB对应的数据流加密解密密钥Kupenc2,以激活加密解密流程。
24.如权利要求22所述的基站,其特征在于,所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算所述S-KeNB1的SCG计数器的第一计数值和所述M-KeNB;
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
25.一种用户设备,其特征在于,包括:存储器、连接器、处理器和接收器,所述存储器和所述接收器相连,所述处理器分别和所述存储器、所述连接器、和所述接收器相连;
所述存储器中存储着一组程序代码;
所述接收器和所述处理器用于调用所述存储器中存储的程序代码,执行如下操作:
所述连接器,用于与演进型基站MeNB建立无线资源控制RRC连接,并建立与第一演进型小基站SeNB和第二SeNB的连接;第一SeNB和所述第二SeNB是用于分流UE与MeNB之间的数据承载的基站;
所述接收器,用于接收所述MeNB发送的RRC重配置请求,所述RRC重配置请求中携带所述第一SeNB的密钥更新信息和第二SeNB的密钥更新信息;
所述处理器,用于根据第二SeNB的密钥更新信息进行所述第二SeNB的密钥更新;所述第一SeNB的密钥更新信息包括:所述第一SeNB分配的第一空口资源、所述第一SeNB选择的第一加密算法版本信息,以及计算S-KeNB1的SCG计数器的第一计数值和M-KeNB;根据所述第一SeNB的密钥更新信息中携带的所述SCG计数器的第一计数值和所述M-KeNB,计算所述第一SeNB的密钥S-KeNB1;根据所述第一SeNB的密钥更新信息中携带的第一加密算法版本信息和所述S-KeNB1计算所述第一SeNB对应的数据流加密密钥Kupenc1;根据所述S-KeNB1和所述Kupenc1进行所述第一SeNB的的密钥更新。
26.如权利要求25所述的用户设备,其特征在于,
所述第二SeNB的密钥更新信息包括:所述第二SeNB分配的第二空口资源、所述第二SeNB选择的第二加密算法版本信息,以及计算所述S-KeNB2的所述SCG计数器的第二计数值和所述M-KeNB。
27.如权利要求26所述的用户设备,其特征在于,所述处理器具体用于:
根据所述第二SeNB的密钥更新信息中携带的所述SCG计数器的第二计数值和所述M-KeNB,计算所述第二SeNB的密钥S-KeNB2;
根据所述第二SeNB的密钥更新信息中携带的第二加密算法版本信息和所述S-KeNB2计算所述第二SeNB对应的数据流加密密钥Kupenc2;
根据所述S-KeNB2和所述Kupenc2进行所述第二SeNB的密钥更新。
28.一种SeNB密钥更新的系统,其特征在于,包括:如权利要求19-24任一项所述的基站、如权利要求25-27任一项所述的用户设备以及与所述用户设备连接的演进型小基站SeNB。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/093530 WO2017070972A1 (zh) | 2015-10-31 | 2015-10-31 | 一种SeNB密钥更新的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108353276A CN108353276A (zh) | 2018-07-31 |
| CN108353276B true CN108353276B (zh) | 2020-12-04 |
Family
ID=58631235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580084077.4A Active CN108353276B (zh) | 2015-10-31 | 2015-10-31 | 一种SeNB密钥更新的方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180249331A1 (zh) |
| EP (1) | EP3361763B1 (zh) |
| CN (1) | CN108353276B (zh) |
| WO (1) | WO2017070972A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109429283B (zh) * | 2017-08-31 | 2021-07-20 | 华为技术有限公司 | 通信方法、装置和系统 |
| CN111937461B (zh) * | 2018-04-02 | 2023-10-24 | 瑞典爱立信有限公司 | 分割基站中的rrc版本处理 |
| US11224082B2 (en) * | 2019-02-14 | 2022-01-11 | Mediatek Inc. | Methods and apparatus to improve MR-DC SN addition procedure |
| US20210297853A1 (en) * | 2020-03-17 | 2021-09-23 | Qualcomm Incorporated | Secure communication of broadcast information related to cell access |
| WO2024032956A1 (en) * | 2022-08-09 | 2024-02-15 | Nokia Technologies Oy | Security key management in dual connectivity operation |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015027524A1 (zh) * | 2013-09-02 | 2015-03-05 | 华为技术有限公司 | 一种通信方法、网络侧设备、用户设备 |
| CN104936174A (zh) * | 2014-03-21 | 2015-09-23 | 上海贝尔股份有限公司 | 在基于用户平面1a架构的双连接情形下更新密钥的方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009045871A2 (en) * | 2007-09-28 | 2009-04-09 | Interdigital Patent Holdings, Inc. | Operation of control protocol data units in packet data convergence protocol |
| US8792924B2 (en) * | 2011-05-06 | 2014-07-29 | Futurewei Technologies, Inc. | System and method for multi-cell access |
| US9338136B2 (en) * | 2013-12-05 | 2016-05-10 | Alcatel Lucent | Security key generation for simultaneous multiple cell connections for mobile device |
| CN104768152B (zh) * | 2014-01-02 | 2018-11-23 | 中国移动通信集团公司 | 一种双基站数据分流时的密钥产生方法、装置及系统 |
| CN104936175B (zh) * | 2014-03-21 | 2018-11-16 | 上海诺基亚贝尔股份有限公司 | 在双连接的通信环境下进行密钥更新的方法和装置 |
| US9585013B2 (en) * | 2014-10-29 | 2017-02-28 | Alcatel Lucent | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
-
2015
- 2015-10-31 WO PCT/CN2015/093530 patent/WO2017070972A1/zh active Application Filing
- 2015-10-31 EP EP15907033.3A patent/EP3361763B1/en active Active
- 2015-10-31 CN CN201580084077.4A patent/CN108353276B/zh active Active
-
2018
- 2018-04-30 US US15/966,568 patent/US20180249331A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015027524A1 (zh) * | 2013-09-02 | 2015-03-05 | 华为技术有限公司 | 一种通信方法、网络侧设备、用户设备 |
| CN104936174A (zh) * | 2014-03-21 | 2015-09-23 | 上海贝尔股份有限公司 | 在基于用户平面1a架构的双连接情形下更新密钥的方法 |
Non-Patent Citations (1)
| Title |
|---|
| "Security aspects of SCE architecture 1A";Samsung等;《3GPP TSG SA WG3 (Security) Meeting #74 Bis,S3-140565》;20140401;第3-5页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108353276A (zh) | 2018-07-31 |
| WO2017070972A1 (zh) | 2017-05-04 |
| EP3361763B1 (en) | 2020-08-12 |
| EP3361763A1 (en) | 2018-08-15 |
| EP3361763A4 (en) | 2018-08-29 |
| US20180249331A1 (en) | 2018-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10972945B2 (en) | Method for handover between secondary base stations, network device, and user equipment | |
| US10070430B2 (en) | Method for configuring resource to data radio bearer DRB, and apparatus | |
| EP3556146B1 (en) | System and method for exchanging configuration information between two nodes in a wireless network | |
| CN108353276B (zh) | 一种SeNB密钥更新的方法及装置 | |
| CN109788517B (zh) | 一种Pcell或PScell管理方法及装置 | |
| EP3883335A1 (en) | Radio resource control rrc message processing method, apparatus, and system | |
| EP3682667B1 (en) | Security context in a wireless communication system | |
| EP3163923A1 (en) | Key generation method, master enodeb, secondary enodeb and user equipment | |
| US10728946B2 (en) | System information handling for dual connectivity cellular systems | |
| EP3629538B1 (en) | Communication method and apparatus | |
| WO2018127219A1 (zh) | 一种减少中断时延的方法、装置及用户设备 | |
| CN110649997A (zh) | 数据处理方法及装置 | |
| WO2019019787A1 (zh) | 通信方法、基站和终端设备 | |
| CN110447257B (zh) | 通信方法、辅网络节点和终端 | |
| WO2021226967A1 (zh) | 切换的方法和设备 | |
| EP3499834B1 (en) | Key negotiation method and apparatus | |
| JP7229243B2 (ja) | 同期ブロックとページングスケジューリングシグナリングの関連付けと指示方法及び装置 | |
| EP3445112B1 (en) | Device-to-device terminal device communication method and terminal | |
| US20180026837A1 (en) | Data transmission method and apparatus | |
| US11082897B2 (en) | Connection establishment method and apparatus | |
| CN109475007B (zh) | 数据分发方法、用户终端及计算机可读存储介质 | |
| US20170156156A1 (en) | Device to device communication | |
| CN112512106A (zh) | 一种上行功率分配方法、装置、终端设备及存储介质 | |
| US11425757B2 (en) | Data transmission method and device with low latency and low resource utilization | |
| KR20180047171A (ko) | 이종 이동통신 규격 간의 상호 연동을 위한 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210423 Address after: Unit 3401, unit a, building 6, Shenye Zhongcheng, No. 8089, Hongli West Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518040 Patentee after: Honor Device Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |