CN108370508B - 在通信网络中使用的节点及操作所述节点的方法 - Google Patents
在通信网络中使用的节点及操作所述节点的方法 Download PDFInfo
- Publication number
- CN108370508B CN108370508B CN201680071628.8A CN201680071628A CN108370508B CN 108370508 B CN108370508 B CN 108370508B CN 201680071628 A CN201680071628 A CN 201680071628A CN 108370508 B CN108370508 B CN 108370508B
- Authority
- CN
- China
- Prior art keywords
- access node
- radio access
- base key
- key
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 327
- 238000000034 method Methods 0.000 title claims abstract description 117
- 238000012545 processing Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 23
- 238000009795 derivation Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 5
- 230000011664 signaling Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920000747 poly(lactic acid) Polymers 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01P—WAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
- H01P1/00—Auxiliary devices
- H01P1/20—Frequency-selective devices, e.g. filters
- H01P1/2005—Electromagnetic photonic bandgaps [EPB], or photonic bandgaps [PBG]
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01P—WAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
- H01P3/00—Waveguides; Transmission lines of the waveguide type
- H01P3/12—Hollow waveguides
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01P—WAVEGUIDES; RESONATORS, LINES, OR OTHER DEVICES OF THE WAVEGUIDE TYPE
- H01P5/00—Coupling devices of the waveguide type
- H01P5/08—Coupling devices of the waveguide type for linking dissimilar lines or devices
- H01P5/10—Coupling devices of the waveguide type for linking dissimilar lines or devices for coupling balanced lines or devices with unbalanced lines or devices
- H01P5/107—Hollow-waveguide/strip-line transitions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/20—Interfaces between hierarchically similar devices between access points
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/13—Cell handover without a predetermined boundary, e.g. virtual cells
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Optics & Photonics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
根据一个方面,提供了一种操作通信网络中的第一无线接入节点的方法,所述方法包括:确定(601)用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;以及如果所述第一基础密钥能被所述第二无线接入节点使用,则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第一基础密钥发送(603)到所述第二无线接入节点。
Description
技术领域
本文涉及通信网络,更具体地说,涉及与终端设备在通信网络中的无线接入节点之间的切换相关的技术。
背景技术
在长期演进(LTE)通信网络中,用户设备(UE)与eNB之间的通信被加密并且部分受到完整性保护。完整性和加密密钥是从在UE和eNB之间共享的被称为KeNB的公共根密钥导出的。KeNB对于UE-PCell对是唯一的,其中PCell是UE在与eNB通信时用作“主(master)”的主小区。由于UE仅使用一个PCell与eNB进行通信,因此KeNB对于UE-eNB对也是唯一的。也就是说,同一KeNB永远不会用于保护UE与两个不同eNB之间的业务。这种设计背后的原理是,防止已经获得或获知在UE与第一eNB之间使用的KeNB的攻击者利用任何方法使用该KeNB来尝试破坏UE与不同eNB之间的业务的加密或完整性。
为了确保KeNB对于每个UE-eNB对是唯一的,在两个eNB之间进行切换期间改变KeNB。为了简单起见,即使源eNB和目标eNB是同一节点,KeNB也在所有LTE内切换(例如,小区间切换)时实际发生改变。
UE-KeNB对在切换期间的唯一性通过以下事实来实现:UE和源eNB从当前KeNB、目标主小区(PCell)的物理小区标识符(PCI)和目标物理小区下行链路频率(例如,下行链路演进绝对射频信道号EARFCN-DL)导出新的KeNB(表示为KeNB*)。这在3GPP TS 33.401“3GPP系统架构演进(SAE);安全架构”版本12.14.0(2015-03)的条款7.2.8中规定。
更具体地说,导出KeNB*的密钥推导函数(KDF)的输入是:
-FC=0x13
-P0=PCI(目标PCI)
-L0=PCI的长度(即0x00 0x02)
-P1=EARFCN-DL(目标物理小区下行链路频率)
-EARFCN-DL的L1长度(即0x00 0x02)
下面参考图1来描述没有核心网络参与的两个eNB之间的切换,即所谓的X2切换。切换可以在UE已经完成激活无线资源控制(RRC)和非接入层(NAS)安全性的所有必要过程之后执行。X2切换通过以下方式发起:即,源eNB 2从在源eNB 2与UE 3之间共享的当前活动的KeNB计算KeNB*,然后在切换请求消息5中将其连同UE安全性能力一起发送给目标eNB 4。目标eNB 4以用于UE连接的必要配置信息5来回复。该信息包括目标eNB 4和UE 3应使用的选定算法。然后,源eNB 2将该回复转发给UE 3(信号6),UE 3利用完成消息7向目标eNB 4确认切换。在最后一个步骤中,目标eNB 4从移动性管理实体(MME)取回被称为下一跳密钥(NH)的新密钥。NH源自密钥KASME(由UE和MME共享的基础密钥),并且NH用作在下一个切换事件中计算KeNB*的基础。
在一些情况下,源eNB在执行切换时没有“新”NH密钥,而是eNB能够从当前KeNB创建新的KeNB*。这被称为垂直密钥推导。之前未被使用过的NH密钥被称为“新密钥”。
KeNB*密钥本身并不被从eNB发送到UE,而是将指示KeNB*是垂直(即,存在新NH)还是水平(eNB中没有任何新NH)导出的信息元素(IE)发送到UE。该信息元素被称为NCC(下一跳链计数器)并且被包括在RRC重配置消息中。NCC是0至7之间的值。如果NCC步进,则UE知道应执行垂直密钥推导,并且当NCC与当前活动的KeNB所关联的NCC相同时,UE将改为执行水平密钥推导。
当今网络的趋势是,运营商增加更多频率并缩减小区规模以增加移动宽带的容量。这导致UE重配置和移动动作的增加。
快速移动或恢复小区间UE会话的能力变得越来越重要,以便适应与短数据突发相关联的业务模式。然而,由于加密和完整性密钥是从绑定到主小区的基础密钥(KeNB)导出的(经由在导出密钥KeNB时使用主小区的EARFCN-DL和PCI),因此,每当UE从该PCell移动或在另一PCell中重新连接时,必须在业务能够恢复之前执行密钥重新协商。由于KeNB的重新协商消耗相当大的处理器周期和内存,因此会导致问题,并且特别导致加密和完整性密钥必须从新的KeNB导出。当更新加密密钥时,一些已加密的分组必须被缓冲,使用旧的加密密钥进行解密,然后使用新的加密密钥重新加密。类似的问题是,已受到完整性保护的分组同样需要使用新的完整性保护密钥来重新保护。这增加了延迟,从而降低了最终用户体验。而且,它使得eNB的实现复杂化,从而导致实施错误的风险增加以及代码维护成本增加。
上面的问题是在LTE处理安全性的方式的背景下描述的,但是在其它类型的通信网络中,此问题也可能同样突出。可以理解,许多不同类型的网络都需要优化安全性处理。
因此,当发生两个eNB之间的切换时,需要改进处理安全性的方式。
发明内容
根据第一方面,提供了一种操作通信网络中的第一无线接入节点的方法。所述方法包括:确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;以及如果所述第一基础密钥能被所述第二无线接入节点使用,则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第一基础密钥发送到所述第二无线接入节点。
根据第二方面,提供了一种用于在通信网络中使用的第一无线接入节点。所述第一无线接入节点适于或被配置为(或包括一个或多个模块,这些模块被配置为)确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;以及如果所述第一基础密钥能被所述第二无线接入节点使用,则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第一基础密钥发送到所述第二无线接入节点。
根据第三方面,提供了一种用于在通信网络中使用的第一无线接入节点。所述第一无线接入节点包括处理器和存储器,所述存储器包含能由所述处理器执行的指令,由此所述第一无线接入节点可操作以执行根据上面列出的第一方面的方法。
根据第四方面,提供了一种操作通信设备的方法。所述方法包括:在所述通信设备从通信网络中的第一无线接入节点到所述通信网络中的第二无线接入节点的切换时,接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;如果所接收的指示表明所述第一基础密钥能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥,则根据所述第一基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥;否则,根据所述第一基础密钥确定第二基础密钥;以及根据所述第二基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。
根据第五方面,提供了一种通信设备。所述通信设备适于或被配置为(或包括一个或多个模块,这些模块被配置为):在所述通信设备从通信网络中的第一无线接入节点到所述通信网络中的第二无线接入节点的切换时,接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;如果所接收的指示表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二加密密钥;如果所接收的指示未表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二基础密钥;以及根据所述第二基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。
根据第六方面,提供了另一通信设备。所述通信设备包括处理器和存储器,所述存储器包含能由所述处理器执行的指令,由此所述通信设备可操作以执行根据上面列出的第四方面的方法。
根据第七方面,提供了一种操作通信网络中的第二无线接入节点的方法。所述方法包括:在通信设备从所述通信网络中的第一无线接入节点到所述第二无线接入节点的切换期间,从所述第一无线接入节点接收第一基础密钥;从所述第一无线接入节点接收用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示;以及使用所指示的加密密钥生成算法,根据所述第一基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的所述第一加密密钥。
根据第八方面,提供了一种用于在通信网络中使用的第二无线接入节点。所述第二无线接入节点适于或被配置为(或包括一个或多个模块,这些模块被配置为):在通信设备从所述通信网络中的第一无线接入节点到所述第二无线接入节点的切换期间,从所述第一无线接入节点接收第一基础密钥;从所述第一无线接入节点接收用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示;以及使用所指示的加密密钥生成算法,根据所述第一基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的所述第一加密密钥。
根据第九方面,提供了一种第二无线接入节点。所述第二无线接入节点包括处理器和存储器,所述存储器包含能由所述处理器执行的指令,由此所述第二无线接入节点可操作以执行根据上面列出的第七方面的方法。
根据第十方面,提供了一种操作通信网络中的节点的方法。所述方法包括:从所述通信网络中的第一无线接入节点接收对有关所述通信网络中的第二无线接入节点的信息的请求,所述信息与用于确定用于加密通信设备与所述第一无线接入节点之间的通信的第一加密密钥的第一基础密钥是否能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥有关;以及将有关所述第二无线接入节点的信息发送到所述第一无线接入节点,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
根据第十一方面,提供了一种用于在通信网络中使用的节点。所述节点适于或被配置为(或包括一个或多个模块,这些模块被配置为):从所述通信网络中的第一无线接入节点接收对有关所述通信网络中的第二无线接入节点的信息的请求,所述信息与用于确定用于加密所述通信设备与所述第一无线接入节点之间的通信的第一加密密钥的第一基础密钥是否能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥有关;以及将有关所述第二无线接入节点的信息发送到所述第一无线接入节点,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
根据第十二方面,提供了一种用于在通信网络中使用的节点。所述节点包括处理器和存储器,所述存储器包含能由所述处理器执行的指令,由此所述节点可操作以执行根据上面列出的第十方面的方法。
根据第十三方面,提供了一种包括计算机可读介质的计算机程序产品,所述计算机可读介质上包含计算机可读代码,所述计算机可读代码被配置为,当由适当的计算机或处理器执行时,使所述计算机或处理器执行上面列出的任一方法方面。
特定的实施例可以纳入上面提供的一个或多个方面,并且可以组合特定方面的元素。
附图说明
下面参考以下附图描述本文介绍的技术的一些实施例,其中:
图1示出了LTE网络中的源eNB与目标eNB之间的切换中的信令;
图2是LTE蜂窝通信网络的非限制性示例框图;
图3是根据一个实施例的通信设备的框图;
图4是根据一个实施例的无线接入节点的框图;
图5是根据一个实施例的核心网络节点的框图;
图6是示出根据一个实施例的操作无线接入节点的方法的流程图;
图7是示出根据一个实施例的操作通信设备的方法的流程图;
图8是示出根据另一实施例的操作无线接入节点的方法的流程图;
图9是示出根据一个实施例的操作通信网络中的节点的方法的流程图;
图10示出了其中使用在此描述的技术的示例性切换过程;
图11是根据一个实施例的第一无线接入节点的框图;
图12是根据另一实施例的通信设备的框图;
图13是根据一个实施例的第二无线接入节点的框图;
图14是根据另一实施例的节点的框图;
图15是根据又一实施例的第一无线接入节点的框图;
图16是根据又一实施例的通信设备的框图;
图17是根据又一实施例的第二无线接入节点的框图;以及
图18是根据另一实施例的节点的框图。
具体实施方式
以下阐述了具体细节,例如为了解释而非限制的特定实施例。但是本领域技术人员将理解,除了这些具体细节之外,还可以采用其它实施例。在一些情况下,省略了公知的方法、节点、接口、电路和设备的详细描述,以免不必要的细节混淆所述描述。本领域的技术人员将理解,所描述的功能可以使用硬件电路(例如,通过互连以执行专用功能的模拟和/或离散逻辑门、ASIC、PLA等)和/或结合一个或多个数字微处理器或通用计算机使用软件程序和数据,在一个或多个节点中实现。使用空中接口通信的节点也具有合适的无线通信电路。此外,在适当的情况下,可以额外地将所述技术视为完全体现在任何形式的计算机可读存储器中,诸如包含适当计算机指令集的固态存储器、磁盘或光盘,这些计算机指令将导致处理器执行本文描述的技术。
硬件实现可以包括或包含—但不限于—数字信号处理器(DSP)硬件、精简指令集处理器、包括但不限于专用集成电路(ASIC)和/或现场可编程门阵列(FPGA)的硬件(例如数字或模拟)电路,以及(在适当情况下)能够执行这些功能的状态机。
就计算机实现而言,计算机通常被理解为包括一个或多个处理器、一个或多个处理单元、一个或多个处理模块或一个或多个控制器,并且术语计算机、处理器、处理单元、处理模块和控制器可以互换地使用。当由计算机、处理器、处理单元、处理模块或控制器提供时,这些功能可以由单个专用计算机、处理器、处理单元、处理模块或控制器,由单个共享计算机、处理器、处理单元、处理模块或控制器,或者由多个单独的计算机、处理器、处理单元、处理模块或控制器(其中一些可以是共享的或分布式的)提供。此外,这些术语还指能够执行这些功能和/或执行软件的其它硬件,例如上面所述的示例硬件。
尽管在下面的描述中使用了术语用户设备(UE),但本领域技术人员应该理解,“UE”是非限制性术语,其中包括任何移动设备、通信设备、无线通信设备、终端设备或节点,其配备有无线接口以允许执行以下至少一个操作:在上行链路(UL)中发送信号,以及在下行链路(DL)中接收和/或测量信号。本文的UE可以包括能够在一个或多个频率、载波频率、分量载波或频带中执行操作或至少执行测量的UE(一般意义上的)。它可以是在单或多无线接入技术(RAT)或多标准模式下操作的“UE”。除了“UE”之外,在下面的描述中还使用通用术语“终端设备”、“通信设备”和“无线通信设备”,并且将理解,就是否被用户携带而言,此类设备可以移动或不可移动的。相反,术语“终端设备”(以及上述备选的通用术语)包含能够与根据一个或多个移动通信标准执行操作的通信网络通信的任何设备,这些标准诸如包括全球移动通信系统GSM、,通用移动电信系统(UMTS)、长期演进LTE等。还将理解,UE可以包括位于智能卡上或者直接在UE中实现(例如,作为软件或作为集成电路)的全球用户身份模块(USIM)。本文所述的操作可以部分地或完全地在USIM内或USIM外实施。
一个或多个小区与基站相关联,其中基站一般包括在下行链路中发送无线信号和/或在上行链路中接收无线信号的任何网络节点。一些示例基站或用于描述基站的术语是eNodeB、eNB、NodeB、宏/微/微微/毫微微无线电基站、家庭eNodeB(也被称为毫微微基站)、中继器、转发器、传感器、仅发送无线节点或仅接收无线节点。基站可以在一个或多个频率、载波频率或频带中执行操作或至少执行测量,并且能够进行载波聚合。它也可以是单无线接入技术(RAT)、多RAT或多标准节点,例如对于不同的RAT使用相同或不同的基带模块。
除非在此另外指出,否则所描述的信令经过直接链路或逻辑链路(例如经过更高层协议和/或经过一个或多个网络节点)。
图2示出了作为可应用此处描述的技术的基于LTE的通信系统32的一部分的演进通用移动电信系统(UMTS)陆地无线接入网络(E-UTRAN)体系结构的示例图。系统32的核心网络34部分中的节点包括一个或多个移动性管理实体(MME)36、用于LTE接入网络的密钥控制节点,以及一个或多个服务网关(SGW)38,服务网关38在充当移动性锚点的同时路由和转发用户数据分组。它们在接口(例如S1接口)上与LTE中被称为eNB的基站或无线接入节点40通信。eNB 40能够包括相同或不同种类的eNB,例如,宏eNB和/或微/微微/毫微微eNB。eNB40在节点间接口(例如X2接口)上相互通信。S1接口和X2接口在LTE标准中定义。示出了UE42,并且UE 42能够从基站40之一接收下行链路数据以及向基站40之一发送上行链路数据,该基站40被称为UE 42的服务基站。
图3示出了可以适于或被配置为根据所描述的一个或多个非限制性示例实施例执行操作的通信设备/终端设备(UE)42。UE 42包括控制UE 42的操作的处理器或处理单元50。处理单元50连接到具有关联的天线(多个)54的收发单元52(其包括接收机和发射机),这些天线被用于向网络32中的无线接入节点40发送信号以及从网络32中的无线接入节点40接收信号。UE 42还包括存储器或存储单元56,其连接到处理单元50并且包含能由处理单元50执行的指令或计算机代码,以及UE 42操作所需的其它信息或数据。
图4示出了可以适于或被配置为根据所描述的示例实施例执行操作的无线接入节点(例如,诸如NodeB或eNodeB、eNB之类的蜂窝网络基站)40。无线接入节点40包括控制无线接入节点40的操作的处理器或处理单元60。处理单元60连接到具有关联的天线(多个)64的收发单元62(其包括接收机和发射机),这些天线被用于向网络32中的UE 42发送信号以及从网络32中的UE 42接收信号。无线接入节点40还包括存储器或存储单元66,其连接到处理单元60并且包含能由处理单元60执行的指令或计算机代码,以及无线接入节点40操作所需的其它信息或数据。无线接入节点40还包括用于允许无线接入节点40与另一无线接入节点40交换信息(例如经由X2接口),和/或与核心网络节点36、38交换信息(例如经由S1接口)的组件和/或电路68。将理解,在其它类型的网络(例如UTRAN或WCDMA RAN)中使用的基站将包括与图4所示的组件类似的组件以及适当的接口电路68,该接口电路用于使能与这些类型网络中的其它无线接入节点(例如,其它基站、移动性管理节点和/或核心网络中的节点)的通信。将理解,无线接入节点40能够被实现为无线接入网络(RAN)中的多个分布式功能。
图5示出了可以在所描述的示例实施例中使用的核心网络节点36、38。节点36、38可以是MME 36、SGW 38或另一类型的核心网络节点(例如,无线网络控制器RNC)。节点36、38包括控制节点36、38的操作的处理单元70。处理单元70连接到接口组件和/或电路72,接口组件和/或电路72用于允许节点36、38与无线接入网络(RAN)中的网络节点(例如与其相关联(通常经由S1接口)的无线接入节点40)和/或与网络的核心网络部分中的其它节点交换信息。节点36、38还包括存储单元74,其连接到处理单元70并存储程序以及节点36、38操作所需的其它信息和数据。
将理解,图3、4和5中仅示出在本文公开的实施例的上下文中描述和呈现的UE 42、无线接入节点40和网络节点36、38的组件。
虽然主要在LTE的上下文中描述了本公开的实施例,但是本领域技术人员将理解,这里描述的问题和解决方案同样适用于实现其它接入技术和标准的其它类型的无线接入网络和用户设备(UE),因此LTE(以及此处使用的其它LTE特定术语)应仅被视为可应用这些技术的技术的示例。
如上所述,LTE通信网络中的当前安全性处理存在问题,具体涉及eNB之间的切换过程期间的安全性处理。因此,下面提供的技术提供了发生选定eNB之间的切换时的安全性处理方式的改进。
具体而言,本文描述的技术规定,如果认为继续使用KeNB是安全的,则能够在从一个PCell到另一PCell的切换(越区切换)之后使用相同的基础密钥(例如,KeNB)。如果KeNB能够在切换之后使用,则从源eNB或目标eNB提供信令以向UE指示UE应在切换之后继续使用相同的KeNB。
在特定实施例中,如果源eNB和目标eNB是同一“安全区域”的一部分,则可以认为在切换之后继续使用KeNB是安全的。“安全区域”可以被定义为以这样的方式配置或布置的一组eNB:即,如果攻击者要攻击、访问或以其它方式入侵该组中的一个eNB,则攻击者基本无需额外的努力也能够攻击、访问或以其它方式侵入剩余的eNB之一。例如,无线接入网络(RAN)可以被“云化”,其中多个eNB能够作为单独的虚拟机在同一硬件上运行。在这种情况下,获得硬件访问权限的攻击者能够访问在该硬件上运行的任何或全部eNB。在备选的“云化”RAN中,多个eNB能够在同一虚拟机内的相应容器中实现。再次地,获得虚拟机访问权限的攻击者能够访问由该虚拟机运行的所有eNB中的任一者。被认为处于安全区域内的eNB的另一示例是:当eNB在同一物理计算机机架中的相应电路/组件板上实现时。通常,安全区域能被认为处于同一物理和/或虚拟位置的一组eNB。备选地,作为特定“安全区域”的一部分的eNB可以由网络运营商基于以下条件进行配置或选择:例如基于安全区域中的eNB被攻击或访问时网络安全受损害的风险的评估。
根据本文描述的技术操作无线接入节点(例如,LTE网络中的eNB)40的示例性方法在图6中示出。无线接入节点40在下文中也被称为“第一”无线接入节点。在该方法中,第一无线接入节点40是用于通信设备(例如,UE)42的源小区(SourcCell)。
在第一步骤601,第一无线接入节点40确定用于确定第一加密密钥的第一基础密钥(在下文中被称为第一AS基础密钥(例如KeNB))是否能被第二无线接入节点40用于确定第二加密密钥,其中所述第一加密密钥用于加密所述通信设备与第一无线接入节点40之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信。
在一些实施例中,步骤601包括:如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分,则确定所述第一基础密钥能被所述第二无线接入节点使用。在一些实施例中,如果所述第一无线接入节点和所述第二无线接入节点:(a)作为单独的虚拟机在同一硬件上运行;(b)是同一虚拟机内的两个容器;(c)在同一物理机架中的板上实现;(d)被安全策略确定为属于同一安全区域;或者(e)在物理上位于同一站点,则所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分。
可以通过检查所述第一无线接入节点处的列表或本地配置,或者通过从另一节点请求信息(例如,如下面参考图9所述)来执行步骤601。在此方面,步骤601能够进一步包括向通信网络中的另一节点(例如另一无线接入节点、eNB或核心网络中的节点,例如MME 36)发送对有关所述第二无线接入节点的信息的请求,并且接收对该请求的回复,该回复包含有关所述第二无线接入节点的信息。所述信息可以指示所述第一基础密钥是否能被所述第二无线接入节点使用,或者所述信息可以允许第一无线接入节点40确定所述第一基础密钥是否能被所述第二无线接入节点使用。
如果在步骤601确定所述第一基础密钥能被所述第二无线接入节点使用,则所述方法进一步包括在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第一基础密钥发送到所述第二无线接入节点的步骤(步骤603)。
另外,尽管在图6中未示出,但是如果所述第一基础密钥能被所述第二无线接入节点使用,则所述第一无线接入节点还向所述通信设备发送所述第一基础密钥将要被用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥的指示。所述指示能够被包括在与所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换相关的消息中。所述消息能够是无线资源控制RRC重配置消息。
如果在步骤601确定所述第一基础密钥不能被所述第二无线接入节点使用,则第一无线接入节点40根据所述第一基础密钥确定第二基础密钥(步骤605)。该密钥推导可以以常规方式执行(例如,使用水平或垂直密钥推导)。第一无线接入节点40然后在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第二基础密钥发送到所述第二无线接入节点(步骤607)。在这种情况下,第一无线接入节点40还可以向所述通信设备发送指示以使所述通信设备根据所述第一基础密钥确定用于所述第二无线接入节点的第二基础密钥。
在一些实施例中,第一无线接入节点40还能够将用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示发送到第二无线接入节点40。
如下所述,在一些实施例中,所述第一无线接入节点和所述第二无线接入节点能够共享PDCP功能或状态。
图7示出了根据本文提供的技术操作通信设备(例如,UE)42的方法。通信设备42由第一无线接入节点40(例如,eNB)服务。
在第一步骤701,在所述通信设备从第一无线接入节点(例如eNB)40到第二无线接入节点(例如eNB)40的切换时,所述通信设备接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信。
所述指示能够从第一无线接入节点40或第二无线接入节点40接收。
如果所接收的指示表明所述第一基础密钥能用于确定第二加密密钥(在步骤703),则通信设备42根据所述第一基础密钥确定第二加密密钥(步骤705)。然后能够使用此第二加密密钥来加密所述通信设备与所述第二无线接入节点之间的通信。
如果所接收的指示表明所述第一基础密钥不能用于确定第二加密密钥(步骤703),则所述通信设备根据所述第一基础密钥确定第二基础密钥(步骤707)。此第二基础密钥能够以常规方式导出,例如使用水平或垂直密钥推导。
通信设备42然后根据所述第二基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥(步骤709)。
在一些实施例中,在步骤701接收的指示在与所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换相关的消息中。所述消息能够是无线资源控制RRC重配置消息。
图8示出了根据本文描述的技术操作无线接入节点(例如,LTE网络中的eNB)40的方法。无线接入节点40在下文中也被称为“第二”无线接入节点,并且对应于通信设备的目标小区(TargetCell)。
在第一步骤901,第二无线接入节点40在通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,从第一无线接入节点40接收第一基础密钥。第二无线接入节点40还从所述第一无线接入节点接收用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示(步骤903)。第二无线接入节点40然后使用所述第一基础密钥和所指示的加密密钥生成算法来确定加密密钥。
所述第一基础密钥和所指示的加密密钥生成算法先前已由所述第一无线接入节点用于生成用于加密所述第一无线接入节点与所述通信设备之间的通信的加密密钥,因此通过使用所述第一基础密钥和所指示的加密密钥生成算法确定加密密钥,第二无线接入节点40将生成与第一无线接入节点40使用的加密密钥相同的加密密钥。
图9示出了根据本文描述的技术的另一实施例的操作网络节点的示例性方法。所述节点可以是通信网络的核心网络部分中的节点(并且例如所述节点可以是MME 36),或者是通信网络的RAN中的节点(例如,eNB40、或作为分布式eNB架构的一部分的功能或组件)。此节点能够负责做出有关基础密钥共享的决策并将该决策发送到请求无线接入节点。
因此,在第一步骤901,所述节点从所述通信网络中的第一无线接入节点接收对有关所述通信网络中的第二无线接入节点的信息的请求。所请求的信息与用于确定用于加密通信设备与所述第一无线接入节点之间的通信的第一加密密钥的第一基础密钥是否能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥有关。
所述节点取回或获得所请求的信息并将所述信息发送到第一无线接入节点40(步骤903),所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
在一些实施例中,在接收对信息的请求之后,所述节点能够确定所述第一基础密钥是否能被所述第二无线接入节点使用。该确定可以包括:如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分,则所述节点确定所述第一基础密钥能被所述第二无线接入节点使用。如果第一无线接入节点和第二无线接入节点:(a)作为单独的虚拟机在同一硬件上运行;(b)是同一虚拟机内的两个容器;(c)在同一物理机架中的板上实现;(d)被安全策略确定为属于同一安全区域;或者(e)在物理上位于同一站点,则所述第一无线接入节点和所述第二无线接入节点能够被视为同一安全区域的一部分。
图10示出了本文在LTE网络中的X2切换的背景下呈现的技术的特定实施例。需要指出,下面描述的原理能够应用于S1切换或使用类似安全性和/或消息传递结构的其它类型的切换。
图10示出了终端设备(UE 42)从控制源主小区(在图10中表示为'源小区'78)的第一无线接入节点40(例如,第一eNB 40)到控制目标主小区(在图10中表示为'目标小区'79)的第二无线接入节点40(例如,第二eNB 40)的X2切换中涉及的信令。这里的术语“主小区”指UE 42需要与eNB 40建立以便被视为连接到该eNB 40的小区,并且例如可以是PCell(主小区)。
X2切换的结构通常包括以下步骤:RAN中的节点(例如,图10的示例中的源小区40)决定UE 42应该执行切换(图10中的步骤80),支持或托管源小区78的eNB请求支持或托管目标小区79的eNB 40准备切换(步骤84),托管目标小区79的eNB 40肯定地确认该请求(步骤86),托管源小区78的的eNB 40请求UE 42重配置目标小区79的RRC连接(步骤88),并且最后UE 42通过通知托管目标小区79的eNB 40而完成切换(步骤90)。
因此,在步骤80,RAN中的节点决定UE 42需要从源小区78改变到目标小区79。在该示例中,作出该决策的节点是托管源小区78的eNB 40,但是该决策也可以在不同的节点中做出。该决策通常是由于覆盖范围的原因(例如信号质量差)而做出,但是也可能因为其它原因(诸小区负荷)而做出。步骤80通常是常规步骤,因此不再进一步描述。
在请求托管目标小区79的eNB 40准备切换(其通过将HandoverPrepareRequest消息84从托管源小区78的eNB 40发送到托管目标小区79的eNB 40来表示)之前,托管源小区78的eNB 40确定当前AS基础密钥(由UE 42和eNB 40用于导出加密和完整性保护密钥以保护在源小区78中发送的业务)是否能被UE 42和托管目标小区79的eNB 40使用而不危及安全性。这示为图10中的步骤82('DetermineToKeepKey')。AS基础密钥(例如KeNB)用于确定用于加密UE 42与托管源小区78的eNB 40之间的通信的加密密钥。
步骤82的决策能够基于一个或多个因素,尤其是基于托管目标小区79的eNB 40是否与托管源小区78的eNB 40位于同一“安全区域”。安全区域如上文中所定义。RAN的运营商能够配置安全区域(例如,每个安全区域中具有哪些小区或eNB)。存在位于每个安全区域中的小区/eNB的列表(每个eNB 40可以配置有eNB或可以由eNB访问或查询),并且步骤82的决策可以包括确定目标小区79是否与源小区78位于同一列表内。每个安全区域中的小区/eNB能够以多种方式中的任一种来标识,例如使用专用PCI、RAN中的eNB 40的标识符、因特网协议(IP)地址、与每个小区/eNB相关联的完全限定域名(FQDN)和/或媒体访问控制(MAC)地址,和/或名称或地址的范围(例如,具有指定范围内的地址的任何小区/eNB被认为是安全区域的一部分)。
如上文参考图6和图9所述,尽管在一些实施例中,能够由托管源小区78的eNB做出托管目标小区79的eNB或目标小区79是否与托管源小区78的eNB或源小区78本身位于同一安全区域的决策(并且因此KeNB是否能够在UE 42切换之后使用),但是在其它实施例中,该决策可以由通信网络中的另一节点(例如,RAN中的另一节点,或核心网络中的节点)做出。在这些实施例中,在步骤82,托管源小区78的eNB可以向该节点指示UE 42可以切换到目标小区79,该节点可以确定源小区78和目标小区79是否位于同一安全区域(例如,通过检查与源小区78位于同一安全区域的小区/eNB的列表),并且向托管源小区78的eNB提供适当的指示。
除了确定目标小区79是否与源小区78位于同一安全区域之外,托管源小区78的eNB能够进一步考虑UE是否支持该特性(即,在目标小区79中使用来自源小区78的KeNB的能力),和/或托管目标小区79的eNB是否支持该特性(即,接收KeNB并将其用于UE 42的能力)。托管源小区78的eNB能够通过检查其作为正常LTE操作的一部分接收到的UE能力来确定UE42是否支持该特性。例如,托管源小区78的eNB能够确定在X2连接建立期间或使用RAN配置数据期间或者在切换过程期间,托管目标小区79的eNB是否支持该特性。
如果在步骤82,托管源小区78的eNB确定当前活动的KeNB不能在目标小区79中安全地使用(即,切换之后在目标小区79中使用当前KeNB将危及安全性),则切换根据常规技术发生(例如,如上面参考图1所述)。也就是说,表示为KeNB*的新基础密钥由托管源小区78的eNB导出以供托管目标小区79的eNB在切换之后使用,并且该新基础密钥被发送到托管目标小区79的eNB。
否则,如果在步骤82确定当前活动的KeNB能够由托管目标小区79的eNB使用而不危及安全性,则托管源小区78的eNB在通过HandoverPrepareRequest消息84向托管目标小区79的eNB提供KeNB的同时,向托管TargetCell79的eNB通知该决策。此消息84还可以包括UE安全性能力、分组数据汇聚协议(PDCP)COUNT值,以及已用于通过KeNB构建加密算法的初始化向量的无线承载标识符的身份。
当托管目标小区79的eNB接收到该信息时,托管目标小区79的eNB不对所接收的KeNB执行任何额外的推导(托管目标小区79的eNB否则将根据常规切换过程执行此操作)。常规LTE切换过程中的这些附加密钥推导指在S1切换中由托管目标小区79的eNB执行的推导。在S1切换中,托管目标小区79的eNB从MME接收密钥材料,然后与主目标小区的PCI和EARFCN-DL一起执行该密钥材料推导,以得到用于目标小区的基础密钥。
在做出有关是否在切换完成之后保留KeNB的决策之后,托管源小区78的eNB直接或间接地向UE 42通知该决策,即当前活动的KeNB是否也应用于目标小区79。托管源小区78的eNB可以以多种不同的方式向UE 42通知这一点。
在第一示例中,当应在切换之后保留当前活动的KeNB时,托管目标小区79的eNB能够创建切换命令,其中托管目标小区79的eNB表示在切换之后还应使用当前活动的KeNB(即,不应发生水平或垂直密钥推导)并且表示应继续使用同一加密算法。使用同一加密算法的目的是确保在切换之前和之后,从基础密钥(KeNB)导出的加密密钥也保持不变。这对于其中加密密钥被绑定到加密算法(通过该加密算法,经由密钥推导使用加密密钥)的LTE之类的访问非常理想。用于导出加密密钥的任何其它参数也可以保持不变,以确保加密密钥在切换时不变。托管目标小区79的eNB能够将切换命令发送到托管源小区78的eNB,以在RRC重配置消息88中进一步发送到UE 42。
在第二示例中,托管源小区78的eNB能够包括能在RRC重配置消息88中与切换命令一起传递到UE 42的决策的指示。
在第三示例中,不明确地发信号通知该决策的结果,而是托管源小区78的eNB隐式地发信号通知该决策的结果以及是否应经由切换消息中信息元素的其它组合来使用同一加密和完整性算法。例如,如果NCC未步进并且UE 42接收到当前未根据标准使用的参数值,则UE 42可以推断出当前活动的基础密钥(KeNB)以及完整性保护和加密算法应也用于目标小区79。这种未使用的参数值的一个可能的示例可以是加密算法编号7(当前未在3GPP TS36.331条款6.3.3中定义)。如果NCC是步进的,则不能重用KeNB,因为NCC的步进指示托管源小区78的eNB已经通过垂直推导从新的NH密钥导出KeNB*。
当UE 42接收到RRC重配置消息88(其包括切换命令)时,基于该消息中有关重用用于托管源小区78的eNB的基础密钥(KeNB)的决策的信息,确定是否执行基础密钥(KeNB)的水平或垂直密钥推导以确定新的基础密钥KeNB*,或者确定是否重用当前活动的KeNB以保护与托管目标小区79的eNB的通信。在应执行垂直或水平密钥推导的情况下,UE 42将按照LTE中规定的常规方式导出基础密钥(KeNB*)。然而,如果基础密钥(KeNB)应被重用,则UE 42也将在目标小区79中继续使用当前活动的基础密钥(KeNB)。
在一些实施例中,PDCP实例能够是托管源小区78的eNB和托管目标小区79的eNB两者的中心功能,在这种情况下,基础密钥(KeNB)、PDCP COUNTS和已用的无线承载标识符不需要被托管源小区78的eNB发送到托管目标小区79的eNB,托管源小区78的eNB只需向托管目标小区79的eNB发送基础密钥(KeNB)和加密算法应继续被使用的信息。
图11是根据一个实施例的第一无线接入节点40的框图。第一无线接入节点40用于在通信网络32中使用并且包括处理器1101和存储器1102。存储器1102包含能由处理器1101执行的指令,使得第一无线接入节点40可操作以:确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点40用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备42和第一无线接入节点40之间的通信,所述第二加密密钥用于加密通信设备42和第二无线接入节点40之间的通信;以及如果所述第一基础密钥能被第二无线接入节点40使用,则在通信设备42从第一无线接入节点40到第二无线接入节点40的切换期间,将所述第一基础密钥发送到第二无线接入节点40。
图12是根据另一实施例的通信设备42的框图。通信设备42包括处理器1201和存储器1202。存储器1202包含能由处理器1201执行的指令,由此通信设备42可操作以:在通信设备42从通信网络32中的第一无线接入节点40切换到通信网络32中的第二无线接入节点40时,接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密通信设备42与第一无线接入节点40之间的通信,所述第二加密密钥用于加密通信设备42与第二无线接入节点40之间的通信;如果所接收的指示表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二加密密钥;如果所接收的指示未表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二基础密钥;以及根据所述第二基础密钥确定用于加密通信设备42与第二无线接入节点40之间的通信的第二加密密钥。
图13是根据一个实施例的第二无线接入节点40的框图。第二无线接入节点40用于在通信网络32中使用并且包括处理器1301和存储器1302。存储器1302包含能由处理器1301执行的指令,使得第二无线接入节点40可操作以:在通信设备42从通信网络32中的第一无线接入节点40到第二无线接入节点40的切换期间,从第一无线接入节点40接收第一基础密钥;从第一无线接入节点40接收用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示;以及使用所指示的加密密钥生成算法,根据所述第一基础密钥确定用于加密通信设备42与第二无线接入节点42之间的通信的所述第一加密密钥。
图14是根据另一实施例的节点36、38的框图。节点36、38用于在通信网络32中使用,并且节点36、38包括处理器1401和存储器1402。存储器1402包含能由处理器1401执行的指令,使得节点36、38可操作以:从通信网络32中的第一无线接入节点40接收对有关通信网络32中的第二无线接入节点40的信息的请求,所述信息与用于确定用于加密通信设备42和第一无线接入节点40之间的通信的第一加密密钥的第一基础密钥是否能用于确定用于加密通信设备42和第二无线接入节点40之间的通信的第二加密密钥有关;以及将有关第二无线接入节点40的信息发送到第一无线接入节点40,所述信息指示第一基础密钥是否能被第二无线接入节点40使用。
图15是根据又一实施例的第一无线接入节点40的框图。第一无线接入节点40用于在通信网络32中使用并且包括第一确定模块1501,其被配置为确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点40用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备42与第一无线接入节点40之间的通信,所述第二加密密钥用于加密通信设备42与第二无线接入节点40之间的通信。第一无线接入节点40还包括第一发送模块1502,其被配置为如果所述第一基础密钥能被第二无线接入使用,则在通信设备42从第一无线接入节点40到第二无线接入节点40的切换期间,将所述第一基础密钥发送到第二无线接入节点40。
图16是根据又一实施例的通信设备42的框图。通信设备42包括:接收模块1601,其被配置为在通信设备42从通信网络32中的第一无线接入节点40到通信网络32中的第二无线接入节点40的切换时,接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密通信设备42与第一无线接入节点40之间的通信,所述第二加密密钥用于加密通信设备42与第二无线接入节点40之间的通信;第一确定模块1602,其被配置为如果所接收的指示表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二加密密钥;第二确定模块1603,其被配置为如果所接收的指示未表明所述第一基础密钥能用于确定第二加密密钥,则根据第一基础密钥确定第二基础密钥;以及第三确定模块1604,其被配置为根据所述第二基础密钥确定用于加密通信设备42与第二无线接入节点40之间的通信的第二加密密钥。
图17是根据又一实施例的第二无线接入节点40的框图。第二无线接入节点40用于在通信网络32中使用并且包括:第一接收模块1701,其被配置为在通信设备42从通信网络32中的第一无线接入节点40到第二无线接入节点40的切换期间,从第一无线接入节点40接收第一基础密钥;第二接收模块1702,其被配置为从第一无线接入节点40接收用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示;以及确定模块1703,其被配置为使用所指示的加密密钥生成算法,根据所述第一基础密钥确定用于加密通信设备42与第二无线接入节点40之间的通信的所述第一加密密钥。
图18是根据另一实施例的节点36、38的框图。节点36、38用于在通信网络32中使用并且包括:接收模块1801,其被配置为从通信网络32中的第一无线接入节点40接收对有关通信网络32中的第二无线接入节点40的信息的请求,所述信息与用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥有关,所述第一加密密钥用于加密通信设备42与第一无线接入节点40之间的通信,所述第二加密密钥用于加密通信设备42与第二无线接入节点40之间的通信;以及发送模块1802,其被配置为将有关第二无线接入节点40的信息发送到第一无线接入节点40,所述信息指示所述第一基础密钥是否能被第二无线接入节点40使用。
如上所述,本文描述的技术能够提供许多优点。例如,所述技术能够:为eNB提供更高效的切换实现,提供更快速、平顺的切换,使得运营商能够配置网络以更有效地使用资源并且不危及安全性,以低缓冲存储要求和低切换延迟来支持网络功能的虚拟化/云化,和/或提供在使用多于一个载波时执行非中断性切换的可能性。
受益于前面的描述和相关附图中呈现的教导的本领域技术人员将想到所描述的实施例(多个)的修改和其它变型。因此,将理解,所述实施例(多个)不限于所公开的具体示例,并且修改和其它变型也旨在被包括在本公开的范围内。尽管此处可以使用特定的术语,但它们仅用于一般和描述性的意义,而不是为了限制的目的。
以下陈述中列出了各种实施例:
1.一种操作通信网络中的第一无线接入节点的方法,所述方法包括:
确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;以及
如果所述第一基础密钥能被所述第二无线接入节点使用,则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第一基础密钥发送到所述第二无线接入节点。
2.根据陈述1所述的方法,其中所述方法进一步包括以下步骤:
如果所述第一基础密钥能被所述第二无线接入节点使用,则向所述通信设备发送所述第一基础密钥将要被用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥的指示。
3.根据陈述2所述的方法,其中所述指示被包括在与所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换有关的消息中。
4.根据陈述3所述的方法,其中所述消息是无线资源控制RRC重配置消息。
5.根据陈述1至4中任一项所述的方法,其中如果确定所述第一基础密钥不能被所述第二无线接入节点使用,则所述方法进一步包括以下步骤:
根据所述第一基础密钥,确定第二基础密钥;以及
在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第二基础密钥发送到所述第二无线接入节点。
6.根据陈述1至5中任一项所述的方法,其中如果确定所述第一基础密钥不能被所述第二无线接入节点使用,则所述方法进一步包括以下步骤:
向所述通信设备发送使得所述通信设备根据所述第一基础密钥确定第二基础密钥以与所述第二无线接入节点使用的指示。
7.根据陈述1至6中任一项所述的方法,其中,确定所述第一基础密钥是否能被第二无线接入节点使用的步骤包括:如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分,则确定所述第一基础密钥能被所述第二无线接入节点使用。
8.根据陈述7所述的方法,其中,如果所述第一无线接入节点和所述第二无线接入节点:(a)作为单独的虚拟机在同一硬件上运行;(b)是同一虚拟机内的两个容器;(c)在同一物理机架中的板上实现;(d)被安全策略确定为属于同一安全区域;或者(e)在物理上位于同一站点,则所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分。
9.根据陈述1至6中任一项所述的方法,其中,确定所述第一基础密钥是否能被第二无线接入节点使用的步骤包括:
将对有关所述第二无线接入节点的信息的请求发送到所述通信网络中的另一节点;以及
从所述另一节点接收有关所述第二无线接入节点的信息,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
10.根据陈述1至9中任一项所述的方法,其中,在切换期间将所述第一基础密钥发送到所述第二无线接入节点的步骤进一步包括:发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
11.根据陈述1至10中任一项所述的方法,其中所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP功能。
12.一种用于在通信网络中使用的第一无线接入节点,所述第一无线接入节点适于:
确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;以及
如果所述第一基础密钥能被所述第二无线接入节点使用,则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第一基础密钥发送到所述第二无线接入节点。
13.一种操作通信设备的方法,所述方法包括:
在所述通信设备从通信网络中的第一无线接入节点到所述通信网络中的第二无线接入节点的切换时,接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;
如果所接收的指示表明所述第一基础密钥能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥,则根据所述第一基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥;
否则,根据所述第一基础密钥确定第二基础密钥;以及
根据所述第二基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。
14.根据陈述13所述的方法,其中,所述指示在与所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换有关的消息中被接收。
15.根据陈述14所述的方法,其中所述消息是无线资源控制RRC重配置消息。
16.根据陈述13至15中任一项所述的方法,其中所述指示从所述第一无线接入节点接收。
17.根据陈述13至15中任一项所述的方法,其中所述指示从所述第二无线接入节点接收。
18.一种通信设备,所述通信设备适于:
在所述通信设备从通信网络中的第一无线接入节点到所述通信网络中的第二无线接入节点的切换时,接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;
如果所接收的指示表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二加密密钥;
如果所接收的指示未表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二基础密钥;以及
根据所述第二基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。
19.一种操作通信网络中的第二无线接入节点的方法,所述方法包括:
在通信设备从所述通信网络中的第一无线接入节点到所述第二无线接入节点的切换期间,从所述第一无线接入节点接收第一基础密钥;
从所述第一无线接入节点接收用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示;以及
使用所指示的加密密钥生成算法,根据所述第一基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的所述第一加密密钥。
20.一种用于在通信网络中使用的第二无线接入节点,所述第二无线接入节点适于:
在通信设备从所述通信网络中的第一无线接入节点到所述第二无线接入节点的切换期间,从所述第一无线接入节点接收第一基础密钥;
从所述第一无线接入节点接收用于根据所述第一基础密钥确定第一加密密钥的加密密钥生成算法的指示;以及
使用所指示的加密密钥生成算法,根据所述第一基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的所述第一加密密钥。
21.一种操作通信网络中的节点的方法,所述方法包括:
从所述通信网络中的第一无线接入节点接收对有关所述通信网络中的第二无线接入节点的信息的请求,所述信息与用于确定用于加密通信设备与所述第一无线接入节点之间的通信的第一加密密钥的第一基础密钥是否能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥有关;以及
将有关所述第二无线接入节点的信息发送到所述第一无线接入节点,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
22.根据陈述21所述的方法,其中所述方法进一步包括以下步骤:
确定所述第一基础密钥是否能被第二无线接入节点使用。
23.根据陈述22所述的方法,其中,确定步骤包括:如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分,则确定所述第一基础密钥能被所述第二无线接入节点使用。
24.根据陈述23所述的方法,其中,如果所述第一无线接入节点和所述第二无线接入节点:(a)作为单独的虚拟机在同一硬件上运行;(b)是同一虚拟机内的两个容器;(c)在同一物理机架中的板上实现;(d)被安全策略确定为属于同一安全区域;或者(e)在物理上位于同一站点,则所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分。
25.一种用于在通信网络中使用的节点,所述节点适于:
从所述通信网络中的第一无线接入节点接收对有关所述通信网络中的第二无线接入节点的信息的请求,所述信息与用于确定用于加密所述通信设备与所述第一无线接入节点之间的通信的第一加密密钥的第一基础密钥是否能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥有关;以及
将有关所述第二无线接入节点的信息发送到所述第一无线接入节点,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
26.一种包括计算机可读介质的计算机程序产品,所述计算机可读介质上包含计算机可读代码,所述计算机可读代码被配置为,当由适当的计算机或处理器执行时,使所述计算机或处理器执行根据陈述1至11、13至17、19或21至24中任一项所述的方法。
Claims (59)
1.一种操作通信网络中的第一无线接入节点的方法,所述方法包括:
确定(601)用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;
如果所述第一基础密钥能被所述第二无线接入节点使用,则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第一基础密钥发送(603)到所述第二无线接入节点;以及
如果所述第一基础密钥不能被所述第二无线接入节点使用,根据所述第一基础密钥确定(605)第二基础密钥,以及在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第二基础密钥发送(607)到所述第二无线接入节点。
2.根据权利要求1所述的方法,其中,所述方法进一步包括以下步骤:
如果所述第一基础密钥能被所述第二无线接入节点使用,则向所述通信设备发送所述第一基础密钥将要被用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥的指示。
3.根据权利要求1所述的方法,其中,如果确定所述第一基础密钥不能被所述第二无线接入节点使用,则所述方法进一步包括:
向所述通信设备发送使得所述通信设备根据所述第一基础密钥确定第二基础密钥以与所述第二无线接入节点使用的指示。
4.根据权利要求1至3中任一项所述的方法,其中,确定(601)所述第一基础密钥是否能被第二无线接入节点使用的步骤包括:如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分,则确定所述第一基础密钥能被所述第二无线接入节点使用。
5.根据权利要求4所述的方法,其中,如果所述第一无线接入节点和所述第二无线接入节点:(a)作为单独的虚拟机在同一硬件上运行;(b)是同一虚拟机内的两个容器;(c)在同一物理机架中的板上实现;(d)被安全策略确定为属于同一安全区域;或者(e)在物理上位于同一站点,则所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分。
6.根据权利要求1至3中任一项所述的方法,其中,确定(601)所述第一基础密钥是否能被第二无线接入节点使用的步骤包括:
将对有关所述第二无线接入节点的信息的请求发送到所述通信网络中的另一节点;以及
从所述另一节点接收有关所述第二无线接入节点的信息,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
7.根据权利要求4所述的方法,其中,确定(601)所述第一基础密钥是否能被第二无线接入节点使用的步骤包括:
将对有关所述第二无线接入节点的信息的请求发送到所述通信网络中的另一节点;以及
从所述另一节点接收有关所述第二无线接入节点的信息,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
8.根据权利要求5所述的方法,其中,确定(601)所述第一基础密钥是否能被第二无线接入节点使用的步骤包括:
将对有关所述第二无线接入节点的信息的请求发送到所述通信网络中的另一节点;以及
从所述另一节点接收有关所述第二无线接入节点的信息,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
9.根据权利要求1至3中任一项所述的方法,其中,确定(601)所述第一基础密钥是否能被第二无线接入节点使用的步骤包括:
检查所述第一无线接入节点处的列表或本地配置。
10.根据权利要求1至3中任一项所述的方法,其中,在切换期间将所述第一基础密钥发送(603)到所述第二无线接入节点的步骤进一步包括:发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
11.根据权利要求4所述的方法,其中,在切换期间将所述第一基础密钥发送(603)到所述第二无线接入节点的步骤进一步包括:发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
12.根据权利要求5所述的方法,其中,在切换期间将所述第一基础密钥发送(603)到所述第二无线接入节点的步骤进一步包括:发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
13.根据权利要求6所述的方法,其中,在切换期间将所述第一基础密钥发送(603)到所述第二无线接入节点的步骤进一步包括:发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
14.根据权利要求7所述的方法,其中,在切换期间将所述第一基础密钥发送(603)到所述第二无线接入节点的步骤进一步包括:发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
15.根据权利要求8所述的方法,其中,在切换期间将所述第一基础密钥发送(603)到所述第二无线接入节点的步骤进一步包括:发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
16.根据权利要求9所述的方法,其中,在切换期间将所述第一基础密钥发送(603)到所述第二无线接入节点的步骤进一步包括:发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
17.根据权利要求1至3中任一项所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
18.根据权利要求4所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
19.根据权利要求5所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
20.根据权利要求6所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
21.根据权利要求7所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
22.根据权利要求8所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
23.根据权利要求9所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
24.根据权利要求10所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
25.根据权利要求11所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
26.根据权利要求12所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
27.根据权利要求13所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
28.根据权利要求14所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
29.根据权利要求15所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
30.根据权利要求16所述的方法,其中,所述第一无线接入节点和所述第二无线接入节点共享分组数据汇聚协议PDCP状态。
31.一种操作通信设备的方法,所述方法包括:
在所述通信设备从通信网络中的第一无线接入节点到所述通信网络中的第二无线接入节点的切换时,接收(701)用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;
如果所接收的指示表明所述第一基础密钥能用于确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥,则根据所述第一基础密钥确定(705)用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥;
否则,根据所述第一基础密钥确定(707)第二基础密钥;以及
根据所述第二基础密钥确定(709)用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。
32.根据权利要求31所述的方法,其中,所述指示在与所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换有关的消息中被接收。
33.根据权利要求31或32所述的方法,其中,所述指示从所述第一无线接入节点或所述第二无线接入节点接收。
34.一种用于在通信网络(32)中使用的第一无线接入节点(40),所述第一无线接入节点包括:
第一确定模块,被配置为确定用于确定第一加密密钥的第一基础密钥是否能被第二无线接入节点(40)用于确定第二加密密钥,其中,所述第一加密密钥用于加密通信设备(42)与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;
第一发送模块,被配置为如果所述第一基础密钥能被所述第二无线接入节点使用,则在所述通信设备从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第一基础密钥发送到所述第二无线接入节点;
第二确定模块,被配置为如果所述第一基础密钥不能被所述第二无线接入节点(40)使用,则根据所述第一基础密钥确定第二基础密钥;以及
第三发送模块,被配置为如果所述第一基础密钥不能被所述第二无线接入节点(40)使用,则在所述通信设备(42)从所述第一无线接入节点到所述第二无线接入节点的切换期间,将所述第二基础密钥发送到所述第二无线接入节点。
35.根据权利要求34所述的第一无线接入节点(40),其中,所述第一无线接入节点进一步包括:
第二发送模块,被配置为如果所述第一基础密钥能被所述第二无线接入节点使用,则向所述通信设备(42)发送所述第一基础密钥将要被用于确定用于加密所述通信设备与所述第二无线接入节点(40)之间的通信的第二加密密钥的指示。
36.根据权利要求34所述的第一无线接入节点(40),其中,所述第一无线接入节点进一步包括:
第四发送模块,被配置为如果确定所述第一基础密钥不能被所述第二无线接入节点使用,则向所述通信设备(42)发送使得所述通信设备根据所述第一基础密钥确定第二基础密钥以与所述第二无线接入节点(40)使用的指示。
37.根据权利要求35所述的第一无线接入节点(40),其中,所述第一无线接入节点进一步包括:
第四发送模块,被配置为如果确定所述第一基础密钥不能被所述第二无线接入节点使用,则向所述通信设备(42)发送使得所述通信设备根据所述第一基础密钥确定第二基础密钥以与所述第二无线接入节点(40)使用的指示。
38.根据权利要求34至37中任一项所述的第一无线接入节点(40),其中,所述第一确定模块被配置为通过以下操作确定所述第一基础密钥是否能被第二无线接入节点(40)使用:如果所述第一无线接入节点和所述第二无线接入节点是同一安全区域的一部分,则确定所述第一基础密钥能被所述第二无线接入节点使用。
39.根据权利要求38所述的第一无线接入节点(40),其中,如果所述第一无线接入节点和所述第二无线接入节点:(a)作为单独的虚拟机在同一硬件上运行;(b)是同一虚拟机内的两个容器;(c)在同一物理机架中的板上实现;(d)被安全策略确定为属于同一安全区域;或者(e)在物理上位于同一站点,则所述第一无线接入节点和所述第二无线接入节点(40)是同一安全区域的一部分。
40.根据权利要求34至37中任一项所述的第一无线接入节点(40),其中,所述第一确定模块被配置为通过以下操作确定所述第一基础密钥是否能被第二无线接入节点(40)使用:
将对有关所述第二无线接入节点的信息的请求发送到所述通信网络(32)中的另一节点;以及
从所述另一节点接收有关所述第二无线接入节点的信息,所述信息指示所述第一基础密钥是否能被所述第二无线接入节点使用。
41.根据权利要求34至37中任一项所述的第一无线接入节点(40),其中,所述第一确定模块被配置为通过以下操作确定所述第一基础密钥是否能被第二无线接入节点(40)使用:
检查所述第一无线接入节点处的列表或本地配置。
42.根据权利要求34至37中任一项所述的第一无线接入节点(40),其中,所述第一无线接入节点进一步包括第五发送模块,其被配置为发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
43.根据权利要求38所述的第一无线接入节点(40),其中,所述第一无线接入节点进一步包括第五发送模块,其被配置为发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
44.根据权利要求39所述的第一无线接入节点(40),其中,所述第一无线接入节点进一步包括第五发送模块,其被配置为发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
45.根据权利要求40所述的第一无线接入节点(40),其中,所述第一无线接入节点进一步包括第五发送模块,其被配置为发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
46.根据权利要求41所述的第一无线接入节点(40),其中,所述第一无线接入节点进一步包括第五发送模块,其被配置为发送用于根据所述第一基础密钥确定所述第一加密密钥的加密密钥生成算法的指示。
47.根据权利要求34至37中任一项所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
48.根据权利要求38所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
49.根据权利要求39所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
50.根据权利要求40所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
51.根据权利要求41所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
52.根据权利要求42所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
53.根据权利要求43所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
54.根据权利要求44所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
55.根据权利要求45所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
56.根据权利要求46所述的第一无线接入节点(40),其中,所述第一无线接入节点和所述第二无线接入节点(40)共享分组数据汇聚协议PDCP状态。
57.一种通信设备(42),所述通信设备包括:
接收模块,被配置为在所述通信设备从通信网络(32)中的第一无线接入节点(40)到所述通信网络中的第二无线接入节点(40)的切换时,接收用于确定第一加密密钥的第一基础密钥是否能用于确定第二加密密钥的指示,其中,所述第一加密密钥用于加密所述通信设备与所述第一无线接入节点之间的通信,所述第二加密密钥用于加密所述通信设备与所述第二无线接入节点之间的通信;
第一确定模块,被配置为如果所接收的指示表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二加密密钥;
第二确定模块,被配置为如果所接收的指示未表明所述第一基础密钥能用于确定第二加密密钥,则根据所述第一基础密钥确定第二基础密钥;以及
第三确定模块,被配置为根据所述第二基础密钥确定用于加密所述通信设备与所述第二无线接入节点之间的通信的第二加密密钥。
58.根据权利要求57所述的通信设备(42),其中,所述指示在与所述通信设备从所述第一无线接入节点(40)到所述第二无线接入节点(40)的切换有关的消息中被接收。
59.根据权利要求57或58所述的通信设备(42),其中,所述指示从所述第一无线接入节点(40)或所述第二无线接入节点(40)来接收。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562238966P | 2015-10-08 | 2015-10-08 | |
| US62/238,966 | 2015-10-08 | ||
| PCT/SE2016/050879 WO2017061924A1 (en) | 2015-10-08 | 2016-09-20 | Nodes for use in a communication network and methods of operating the same |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108370508A CN108370508A (zh) | 2018-08-03 |
| CN108370508B true CN108370508B (zh) | 2021-04-16 |
Family
ID=57018165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680071628.8A Active CN108370508B (zh) | 2015-10-08 | 2016-09-20 | 在通信网络中使用的节点及操作所述节点的方法 |
Country Status (12)
| Country | Link |
|---|---|
| US (2) | US11012897B2 (zh) |
| EP (2) | EP3641367B1 (zh) |
| JP (1) | JP6633745B2 (zh) |
| KR (1) | KR102048225B1 (zh) |
| CN (1) | CN108370508B (zh) |
| BR (1) | BR112018007080A2 (zh) |
| DK (2) | DK3360359T3 (zh) |
| ES (2) | ES2896057T3 (zh) |
| NZ (1) | NZ741170A (zh) |
| PL (2) | PL3641367T3 (zh) |
| PT (2) | PT3641367T (zh) |
| WO (1) | WO2017061924A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10165492B2 (en) * | 2016-03-22 | 2018-12-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and network nodes for multi-connectivity handling in a communication system |
| EP3263832A1 (en) * | 2016-06-30 | 2018-01-03 | Openfield | Method and device for depth positioning downhole tool and associated measurement log of a hydrocarbon well |
| KR102502279B1 (ko) * | 2016-07-08 | 2023-02-21 | 삼성전자 주식회사 | 무선 통신 시스템에 있어서 핸드오버를 수행하는 방법 및 장치 |
| US10880737B2 (en) | 2017-06-23 | 2020-12-29 | Motorola Mobility Llc | Method and apparatus for refreshing the security keys of a subset of configured radio bearers |
| WO2018237374A1 (en) * | 2017-06-23 | 2018-12-27 | Motorola Mobility Llc | METHOD AND APPARATUS FOR IMPLEMENTING MEDIA-SPECIFIC MODIFICATIONS AS PART OF CONNECTION RECONFIGURATION WHICH HAS CONSEQUENCES OF SAFETY KEYS DURING USE |
| CN110178394B (zh) | 2017-07-27 | 2021-02-12 | 华为技术有限公司 | 小区切换方法和装置 |
| CN109309919B (zh) * | 2017-07-27 | 2021-07-20 | 华为技术有限公司 | 一种通信方法及设备 |
| CN109309918B (zh) * | 2017-07-27 | 2021-06-08 | 华为技术有限公司 | 通信方法、基站和终端设备 |
| CN112534849B (zh) | 2018-08-09 | 2023-08-01 | 中兴通讯股份有限公司 | 安全密钥生成技术 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000041427A2 (en) * | 1999-01-08 | 2000-07-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Reuse of security associations for improving hand-over performance |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8320561B2 (en) * | 2007-08-08 | 2012-11-27 | Qualcomm Incorporated | Key identifier in packet data convergence protocol header |
| US8307414B2 (en) * | 2007-09-07 | 2012-11-06 | Deutsche Telekom Ag | Method and system for distributed, localized authentication in the framework of 802.11 |
| US9167505B2 (en) * | 2007-10-08 | 2015-10-20 | Qualcomm Incorporated | Access management for wireless communication |
| US8179860B2 (en) * | 2008-02-15 | 2012-05-15 | Alcatel Lucent | Systems and method for performing handovers, or key management while performing handovers in a wireless communication system |
| KR20090126166A (ko) * | 2008-06-03 | 2009-12-08 | 엘지전자 주식회사 | 트래픽 암호화 키 생성 방법 및 갱신 방법 |
| CN101621374A (zh) * | 2008-06-30 | 2010-01-06 | 华为技术有限公司 | 一种网络认证的方法、装置、系统及服务器 |
| WO2010116621A1 (ja) | 2009-03-30 | 2010-10-14 | パナソニック株式会社 | 無線通信装置 |
| CN101702802B (zh) * | 2009-11-03 | 2012-10-17 | 中兴通讯股份有限公司 | 移动终端越区切换的方法 |
| US9794836B2 (en) * | 2012-12-24 | 2017-10-17 | Nokia Technologies Oy | Methods and apparatus for differencitating security configurations in a radio local area network |
| KR102078866B1 (ko) | 2013-08-09 | 2020-02-19 | 삼성전자주식회사 | 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안 |
| EP3886397B1 (en) * | 2014-03-21 | 2023-01-18 | Sun Patent Trust | Security key derivation in dual connectivity |
| US10462723B2 (en) * | 2015-05-29 | 2019-10-29 | Intel IP Corporation | Seamless mobility for 5G and LTE systems and devices |
| US10728756B2 (en) * | 2016-09-23 | 2020-07-28 | Qualcomm Incorporated | Access stratum security for efficient packet processing |
| US20180368049A1 (en) * | 2017-06-20 | 2018-12-20 | Qualcomm Incorporated | Method and apparatus for gathering network neighborhood information and generating a reduced neighbor report |
-
2016
- 2016-09-20 KR KR1020187012565A patent/KR102048225B1/ko active IP Right Grant
- 2016-09-20 PL PL19190259T patent/PL3641367T3/pl unknown
- 2016-09-20 NZ NZ741170A patent/NZ741170A/en unknown
- 2016-09-20 ES ES19190259T patent/ES2896057T3/es active Active
- 2016-09-20 DK DK16775001T patent/DK3360359T3/da active
- 2016-09-20 CN CN201680071628.8A patent/CN108370508B/zh active Active
- 2016-09-20 BR BR112018007080-7A patent/BR112018007080A2/pt unknown
- 2016-09-20 US US15/306,806 patent/US11012897B2/en active Active
- 2016-09-20 DK DK19190259.2T patent/DK3641367T3/da active
- 2016-09-20 JP JP2018517763A patent/JP6633745B2/ja active Active
- 2016-09-20 PT PT191902592T patent/PT3641367T/pt unknown
- 2016-09-20 EP EP19190259.2A patent/EP3641367B1/en active Active
- 2016-09-20 PL PL16775001T patent/PL3360359T3/pl unknown
- 2016-09-20 PT PT16775001T patent/PT3360359T/pt unknown
- 2016-09-20 WO PCT/SE2016/050879 patent/WO2017061924A1/en active Application Filing
- 2016-09-20 ES ES16775001T patent/ES2753824T3/es active Active
- 2016-09-20 EP EP16775001.7A patent/EP3360359B1/en active Active
-
2020
- 2020-11-30 US US17/107,727 patent/US11758443B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000041427A2 (en) * | 1999-01-08 | 2000-07-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Reuse of security associations for improving hand-over performance |
Non-Patent Citations (2)
| Title |
|---|
| 《Digital cellular telecommunications system (Phase 2+);Universal Mobile telecommunications System (UMTS)》;SOPHIA-ANTIPOLIS;《3GPP TS33.401 version 12.14.0 Release12》;20150430;第7.2.4.2.2-7.2.8.4.2节 * |
| 《Discussion on alternatives for Key Handling during Active mode mobility》;SAMSUNG;《3GPP TSG SA WG3 Security》;20071012;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| DK3641367T3 (da) | 2021-09-13 |
| US20170272985A1 (en) | 2017-09-21 |
| EP3360359B1 (en) | 2019-08-07 |
| BR112018007080A2 (pt) | 2018-10-23 |
| KR102048225B1 (ko) | 2019-11-25 |
| PT3641367T (pt) | 2021-08-24 |
| US11758443B2 (en) | 2023-09-12 |
| DK3360359T3 (da) | 2019-11-04 |
| EP3641367B1 (en) | 2021-08-04 |
| US11012897B2 (en) | 2021-05-18 |
| EP3360359A1 (en) | 2018-08-15 |
| NZ741170A (en) | 2019-12-20 |
| ES2896057T3 (es) | 2022-02-23 |
| PL3360359T3 (pl) | 2020-01-31 |
| JP2018536333A (ja) | 2018-12-06 |
| PT3360359T (pt) | 2019-09-26 |
| US20210084544A1 (en) | 2021-03-18 |
| ES2753824T3 (es) | 2020-04-14 |
| WO2017061924A1 (en) | 2017-04-13 |
| JP6633745B2 (ja) | 2020-01-22 |
| CN108370508A (zh) | 2018-08-03 |
| KR20180063248A (ko) | 2018-06-11 |
| PL3641367T3 (pl) | 2022-01-10 |
| EP3641367A1 (en) | 2020-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108370508B (zh) | 在通信网络中使用的节点及操作所述节点的方法 | |
| US11523275B2 (en) | Radio access nodes and terminal devices in a communication network | |
| CN109922051B (zh) | 用于使能用于enb间的传输的安全通信的方法和系统 | |
| KR102178000B1 (ko) | 통신 네트워크에서 사용하기 위한 네트워크 노드, 통신 디바이스 및 이를 동작시키는 방법들 | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| CN108476217B (zh) | 可配置的接入阶层安全性 | |
| US8938071B2 (en) | Method for updating air interface key, core network node and radio access system | |
| EP3360357B1 (en) | A radio access node and a method of operating the same | |
| US20130336486A1 (en) | Method and system for securing control packets and data packets in a mobile broadband network environment | |
| EP4073996B1 (en) | User equipment, network node and methods in a wireless communications network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |