CN108668281A - 一种通信方法、相关设备及系统 - Google Patents
一种通信方法、相关设备及系统 Download PDFInfo
- Publication number
- CN108668281A CN108668281A CN201710208884.3A CN201710208884A CN108668281A CN 108668281 A CN108668281 A CN 108668281A CN 201710208884 A CN201710208884 A CN 201710208884A CN 108668281 A CN108668281 A CN 108668281A
- Authority
- CN
- China
- Prior art keywords
- reference value
- terminal
- sent
- value
- target message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 claims description 114
- 230000005540 biological transmission Effects 0.000 claims description 75
- 241000208340 Araliaceae Species 0.000 claims description 21
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 claims description 21
- 235000003140 Panax quinquefolius Nutrition 0.000 claims description 21
- 235000008434 ginseng Nutrition 0.000 claims description 21
- 210000004209 hair Anatomy 0.000 claims description 4
- 230000004044 response Effects 0.000 description 40
- 238000010586 diagram Methods 0.000 description 37
- 238000005259 measurement Methods 0.000 description 33
- 238000012545 processing Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 11
- 238000012163 sequencing technique Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 4
- 230000001419 dependent effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- JTJMJGYZQZDUJJ-UHFFFAOYSA-N phencyclidine Chemical compound C1CCCCN1C1(C=2C=CC=CC=2)CCCCC1 JTJMJGYZQZDUJJ-UHFFFAOYSA-N 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/02—Buffering or recovering information during reselection ; Modification of the traffic flow during hand-off
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种通信方法,相关设备及系统,该系统包括终端、第一接入网节点AN、第二接入网节点AN,其中:该第一AN用于确定该终端满足从该第一AN切换到该第二AN的条件,该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值;该第一AN用于向该第二AN发送目标消息以指示该第二AN获取第二参考值;该第二AN用于根据该目标消息获取该第二参考值;该终端用于获取该第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。采用本发明实施例,能够提高终端的安全性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种通信方法、相关设备及系统。
背景技术
在已有的长期演进(Long Term Evolution,LTE)安全架构中,用户设备(UserEquipment,UE)通过基站接入至运营商的网络中。UE与基站之间包括控制面数据和用户面数据的传输,这两类数据传输时采用的协议栈格式均包括分组数据汇聚层协议(PacketData Convergence Protocol,PDCP)层。PDCP层的信息可以用于数据的加解密和完整性保护。PDCP有多种格式,但其中每个格式都包含PDCP SN字段,以下简称为序列号(Sequencenumber,SN),图1A示意了一种PDCP格式,其中包括PDCP SN字段和数据Data字段,Data字段用于封装用户数据,PDCP SN字段用于封装PDCP层进行加解密和/或者完整性保护的参数SN。
图1B示意了一种加解密的场景示意图,图1B中虚线左侧代表加密流程,虚线右侧代表解密流程,加密流程和解密流程均采用的算法可以用f8表示。f8的输入包括:加密密钥(cipher key,CK)、计数器(Counter,也称Count-C)、承载标识(Bearer)、方向(Direction)、length(长度标识);数据的完整性保护与加解密类似,均要用到Counter参数。Counter通常包括超帧数HFN和序列号SN,密钥生成过程可能还涉及密钥流分组(KEYSTREAM BLOCK)、明文分组(PLAINTEXT BLOCK)、密文分组(CIPHERTEXT BLOCK),上述加密通出现在发送(sender)方,上述解密通常出现在接收(Receiver)方,例如,UE为发送方时无线网络控制器(Radio Network Controller,RNC)为接收方,RNC为接收方时UE为发送方。PDCP SN字段中的SN必须明文发送,这样接收方才能根据SN完成解密或者完整性验证的动作,而SN明文发送容易被攻击者截取;当用户设备(User Equipment,UE)从一个基站切换到另一个基站时,如果攻击者在这两个基站附近截取到了该UE发送的明文SN,则可以确定该UE的移动情况,不利于UE的安全。
发明内容
本发明实施例所要解决的技术问题在于,提供一种通信方法,相关设备及系统,能够提高UE的安全性能。
第一方面,本发明实施例提供了一种通信系统,该系统包括终端、第一接入网节点AN、第二接入网节点AN,其中:该第一AN用于确定该终端满足从该第一AN切换到该第二AN的条件,该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;该第一AN用于向该第二AN发送目标消息以指示该第二AN获取第二参考值;该第二AN用于根据该目标消息获取该第二参考值;该终端用于获取该第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过运行上述系统,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第一方面,在第一方面的第一种可能的实现方式中,该系统包括移动性管理MM;该第一AN用于向该MM发送目标请求以请求该MM生成该第二参考值,以及接收该MM发送的该第二参考值,该目标消息包含该第二参考值;该MM用于接收该目标请求并根据该目标请求生成该第二参考值,以及将生成的该第二参考值发送给该第一AN。
结合第一方面,或者第一方面的上述任一可能的实现方式,在第一方面的第二种可能的实现方式中,该第一AN用于通过随机算法随机生成该第二参考值,或者通过预设规则推导出该第二参考值,该目标消息包含该第二参考值;该第二AN用于根据该目标消息获取该第二参考值包括:该第二AN用于从该目标消息中解析出该第二参考值。
结合第一方面,或者第一方面的上述任一可能的实现方式,在第一方面的第三种可能的实现方式中,该第一AN用于向该终端发送该第二参考值;该终端用于获取该第二参考值包括:该终端用于接收该第一AN发送的该第二参考值。
结合第一方面,或者第一方面的上述任一可能的实现方式,在第一方面的第四种可能的实现方式中,该第二AN用于根据该目标消息获取该第二参考值包括:该第二AN用于根据该目标消息通过随机算法随机生成该第二参考值,或者通过预设规则推导出该第二参考值。
结合第一方面,或者第一方面的上述任一可能的实现方式,在第一方面的第五种可能的实现方式中,该系统包括移动性管理MM;该第二AN用于根据该目标消息获取该第二参考值,包括:该第二AN用于根据该目标消息向该MM发送目标请求以请求该MM生成该第二参考值;以及接收该MM发送的该第二参考值;该MM用于接收该目标请求并根据该目标请求生成该第二参考值,以及将生成的该第二参考值发送给该第二AN。
结合第一方面,或者第一方面的上述任一可能的实现方式,在第一方面的第六种可能的实现方式中,该第二AN用于将该第二参考值发送给该第一AN;该第一AN用于将该第二参考值发送给该终端。
结合第一方面,或者第一方面的上述任一可能的实现方式,在第一方面的第七种可能的实现方式中,该第二AN用于将该第二参考值发送给该终端。
结合第一方面,或者第一方面的上述任一可能的实现方式,在第一方面的第八种可能的实现方式中,该第一AN用于向该终端发送参数生成请求;该终端用于获取该第二参考值包括:该终端用于根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
第二方面,本发明实施例提供一种接入网节点AN,该AN为第一AN,该第一AN包括处理器、存储器和收发器,该存储器用于存储程序,该处理器调用该存储器中的程序,用于执行如下操作:确定接入该第一AN的终端满足从该第一AN切换到第二AN的条件;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;通过该收发器向该第二AN发送目标消息以指示该第二AN获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过执行上述操作,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第二方面,在第二方面的第一种可能的实现方式中,该处理器通过该收发器向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,该处理器还用于通过该收发器向MM发送目标请求以请求该MM生成该第二参考值,以及通过该收发器接收该MM发送的根据该目标请求生成的该第二参考值,该目标消息包含该第二参考值。
结合第二方面,或者第二方面的上述任一可能的实现方式,在第二方面的第二种可能的实现方式中,该处理器通过该收发器向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,该处理器还用于通过随机算法随机生成该第二参考值,或通过预设规则推导出该第二参考值,该目标消息包含该第二参考值。
结合第二方面,或者第二方面的上述任一可能的实现方式,在第二方面的第三种可能的实现方式中,该处理器还用于通过该收发器向该终端发送该第二参考值。
结合第二方面,或者第二方面的上述任一可能的实现方式,在第二方面的第四种可能的实现方式中,该处理器还用于通过该收发器向该终端发送参数生成请求,以使该终端根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
第三方面,本发明实施例提供一种接入网节点AN,该AN为第二AN,该第二AN包括处理器、存储器和收发器,该存储器用于存储程序,该处理器调用该存储器中的程序,用于执行如下操作:通过该收发器接收第一AN发送的目标消息,该目标消息为该第一AN确定该终端满足从该第一AN切换到该第二AN的条件时发送的消息,该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;根据该目标消息获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过执行上述操作,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第三方面,在第三方面的第一种可能的实现方式中,该目标消息包含该第二参考值;该处理器根据该目标消息获取第二参考值,具体为:从该目标消息中解析出该第二参考值。
结合第三方面,或者第三方面的上述任一可能的实现方式,在第三方面的第二种可能的实现方式中,该处理器根据该目标消息获取第二参考值,具体为:根据该目标消息通过随机算法随机生成该第二参考值,或者通过预设规则推导出该第二参考值。
结合第三方面,或者第三方面的上述任一可能的实现方式,在第三方面的第三种可能的实现方式中,该处理器根据该目标消息获取第二参考值,具体为:根据该目标消息通过该收发器向MM发送目标请求以请求该MM生成第二参考值;通过该收发器接收该MM发送的该第二参考值。
结合第三方面,或者第三方面的上述任一可能的实现方式,在第三方面的第四种可能的实现方式中,该处理器用于根据该目标消息获取第二参考值之后,该处理器还用于:将该第二参考值通过该收发器发送给该第一AN,以使该第一AN将该第二参考值发送给该终端。
结合第三方面,或者第三方面的上述任一可能的实现方式,在第三方面的第五种可能的实现方式中,该处理器用于根据该目标消息获取第二参考值之后,该处理器还用于:将该第二参考值通过该收发器发送给该终端。
第四方面,本发明实施例提供一种终端,该终端包括处理器、存储器和收发器,该存储器用于存储程序,该处理器调用该存储器中的程序,用于执行如下操作:若该终端满足从第一AN切换到第二AN的条件,则生成第二参考值,或者通过该收发器接收该第一AN发送的该第二参考值,或者通过该收发器接收该第二AN发送的该第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过执行上述操作,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第四方面,在第四方面的第一种可能的实现方式中,该处理器生成第二参考值具体为:通过该收发器接收该第一AN在确定该终端满足从第一AN切换到第二AN的条件时发送的参数生成请求;根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
第五方面,本发明实施例提供一种接入网节点AN,该AN可称为第一AN,该第一AN包括确定单元和第一发送单元,其中,确定单元用于确定接入该第一AN的终端满足从该第一AN切换到第二AN的条件;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;第一发送单元用于向该第二AN发送目标消息以指示该第二AN获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过运行上述单元,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第五方面,在第五方面的第一种可能的实现方式中,该第一AN还包括第二处理单元,第二处理单元用于在该第一发送单元向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,向MM发送目标请求以请求该MM生成该第二参考值,以及接收该MM发送的根据该目标请求生成的该第二参考值,该目标消息包含该第二参考值。
结合第五方面,或者第五方面的上述任一可能的实现方式,在第五方面的第二种可能的时间方式中,该第一AN还包括计算单元,计算单元用于在该第一发送单元向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,通过随机算法随机生成该第二参考值,或通过预设规则推导出该第二参考值,该目标消息包含该第二参考值。
结合第五方面,或者第五方面的上述任一可能的实现方式,在第五方面的第三种可能的时间方式中,第一AN还包括第二发送单元,第二发送单元用于向该终端发送该第二参考值。
结合第五方面,或者第五方面的上述任一可能的实现方式,在第五方面的第四种可能的时间方式中,该第一AN还包括第三发送单元,第三发送单元用于向该终端发送参数生成请求,以使该终端根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
第六方面,本发明实施例提供一种AN,该AN为第二AN,该第二AN包括第一接收单元和获取单元,其中,第一接收单元用于接收第一AN发送的目标消息,该目标消息为该第一AN确定该终端满足从该第一AN切换到该第二AN的条件时发送的消息,该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;获取单元用于根据该目标消息获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过运行上述单元,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第六方面,在第六方面的第一种可能的实现方式中,该目标消息包含该第二参考值;该获取单元根据该目标消息获取第二参考值,具体为:从该目标消息中解析出该第二参考值。
结合第六方面,或者第六方面的上述任一可能的实现方式,在第六方面的第二种可能的实现方式中,该获取单元根据该目标消息获取第二参考值,具体为:根据该目标消息通过随机算法随机生成该第二参考值,或者通过预设规则推导出该第二参考值。
结合第六方面,或者第六方面的上述任一可能的实现方式,在第六方面的第三种可能的实现方式中,该获取单元根据该目标消息获取第二参考值,具体为:根据该目标消息向MM发送目标请求以请求该MM生成第二参考值;接收该MM发送的该第二参考值。
结合第六方面,或者第六方面的上述任一可能的实现方式,在第六方面的第四种可能的实现方式中,该第二AN还包括第四发送单元,第四发送单元用于在该获取单元根据该目标消息获取第二参考值之后,将该第二参考值发送给该第一AN,以使该第一AN将该第二参考值发送给该终端。
结合第六方面,或者第六方面的上述任一可能的实现方式,在第六方面的第五种可能的实现方式中,该第二AN还包括第五发送单元,第五发送单元用于在该第二AN根据该目标消息获取第二参考值之后,将该第二参考值发送给该终端。
第七方面,本发明实施例提供一种终端,该终端包括处理单元,该处理单元用于在终端满足从第一AN切换到第二AN的条件时,生成第二参考值,或者接收该第一AN发送的该第二参考值,或者接收该第二AN发送的该第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过运行上述单元,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第七方面,在第七方面的第一种可能的实现方式中,该终端生成第二参考值,具体为:接收该第一AN在确定该终端满足从第一AN切换到第二AN的条件时发送的参数生成请求;根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
第八方面,本发明实施例提供一种通信方法,该通信方法包括:第一AN确定接入该第一AN的终端满足从该第一AN切换到第二AN的条件;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;该第一AN向该第二AN发送目标消息以指示该第二AN获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过执行上述步骤,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第八方面,在第八方面的第一种可能的实现方式中,该第一AN向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,还包括:该第一AN向MM发送目标请求以请求该MM生成该第二参考值,以及接收该MM发送的根据该目标请求生成的该第二参考值,该目标消息包含该第二参考值。
结合第八方面,或者第八方面的上述任一可能的实现方式,在第八方面的第二种可能的实现方式中,该第一AN向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,还包括:该第一AN通过随机算法随机生成该第二参考值,或通过预设规则推导出该第二参考值,该目标消息包含该第二参考值。
结合第八方面,或者第八方面的上述任一可能的实现方式,在第八方面的第三种可能的实现方式中,还包括:该第一AN向该终端发送该第二参考值。
结合第八方面,或者第八方面的上述任一可能的实现方式,在第八方面的第四种可能的实现方式中,还包括:该第一AN向该终端发送参数生成请求,以使该终端根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
第九方面,本发明实施例提供一种通信方法,该通信方法包括:第二AN接收第一AN发送的目标消息,该目标消息为该第一AN确定该终端满足从该第一AN切换到该第二AN的条件时发送的消息,该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;该第二AN根据该目标消息获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过执行上述步骤,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第九方面,在第九方面的第一种可能的实现方式中,该目标消息包含该第二参考值;该第二AN根据该目标消息获取第二参考值,包括:从该目标消息中解析出该第二参考值。
结合第九方面,或者第九方面的上述任一可能的实现方式,在第九方面的第二种可能的实现方式中,该第二AN根据该目标消息获取第二参考值,包括:根据该目标消息通过随机算法随机生成该第二参考值,或者通过预设规则推导出该第二参考值。
结合第九方面,或者第九方面的上述任一可能的实现方式,在第九方面的第三种可能的实现方式中,该第二AN根据该目标消息获取第二参考值,包括:根据该目标消息向MM发送目标请求以请求该MM生成第二参考值;接收该MM发送的该第二参考值。
结合第九方面,或者第九方面的上述任一可能的实现方式,在第九方面的第四种可能的实现方式中,该第二AN根据该目标消息获取第二参考值之后,还包括:该第二AN将该第二参考值发送给该第一AN,以使该第一AN将该第二参考值发送给该终端。
结合第九方面,或者第九方面的上述任一可能的实现方式,在第九方面的第五种可能的实现方式中,该第二AN根据该目标消息获取第二参考值之后,还包括:该第二AN将该第二参考值发送给该终端。
第十方面,本发明实施例提供一种通信方法,该方法包括:若终端满足从第一AN切换到第二AN的条件,则该终端生成第二参考值,或者接收该第一AN发送的该第二参考值,或者接收该第二AN发送的该第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过执行上述步骤,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第十方面,在第十方面的第一种可能的实现方式中,该终端生成第二参考值,包括:接收该第一AN在确定该终端满足从第一AN切换到第二AN的条件时发送的参数生成请求;根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
第十一方面,本发明实施例提供一种通信方法,该方法包括:移动性管理节点MM接收目标消息,该目标消息为终端满足从第一接入网节点AN切换到第二接入网节点AN的条件时由该第一AN或者该第二AN发送给该MM;该MM根据该目标消息生成第二参考值;该MM将该第二参考值发送给该第二AN,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过执行上述步骤,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第十一方面,在第十一方面的第一种可能的实现方式中,该MM将该第二参考值发送给该第二AN,包括:该MM将该第二参考值发送给该第一AN,以使该第一AN将该第二参考值发送给该第二AN。
第十二方面,本发明实施例提供一种移动性管理节点MM,该MM包括处理器、存储器和收发器,其中,该存储器用于存储程序,该处理器调用该存储器中的程序,用于执行如下操作:通过该收发器接收目标消息,该目标消息为终端满足从第一接入网节点AN切换到第二接入网节点AN的条件时由该第一AN或者该第二AN发送给该MM;根据该目标消息生成第二参考值;将该第二参考值通过该收发器发送给该第二AN,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过执行上述操作,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第十二方面,在第十二方面的第一种可能得到实现方式中,该处理器将该第二参考值通过该收发器发送给该第二AN,具体为:将该第二参考值通过该收发器发送给该第一AN,以使该第一AN将该第二参考值发送给该第二AN。
第十三方面,本发明实施例提供一种移动性管理节点MM,该MM包括接收单元、生成单元和发送单元,其中,接收单元用于接收目标消息,该目标消息为终端满足从第一接入网节点AN切换到第二接入网节点AN的条件时由该第一AN或者该第二AN发送给该MM;生成单元用于根据该目标消息生成第二参考值;发送单元用于将该第二参考值发送给该第二AN,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过执行上述步骤,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
结合第十三方面,在第十三方面的第一种可能的实现方式中,该发送单元将该第二参考值发送给该第二AN,具体为:将该第二参考值发送给该第一AN,以使该第一AN将该第二参考值发送给该第二AN。
第十四方面,本发明实施例还提供一种计算机存储介质,该存储介质可以是非易失性的,即断电后内容不丢失。该存储介质中存储软件程序,该软件程序在被一个或多个处理器读取并执行时可实现第八方面或上述第八方面的任意一种实现方式提供的方法。
第十五方面,本发明实施例还提供又一种计算机存储介质,该存储介质可以是非易失性的,即断电后内容不丢失。该存储介质中存储软件程序,该软件程序在被一个或多个处理器读取并执行时可实现第九方面或上述第九方面的任意一种实现方式提供的方法。
第十六方面,本发明实施例还提供又一种计算机存储介质,该存储介质可以是非易失性的,即断电后内容不丢失。该存储介质中存储软件程序,该软件程序在被一个或多个处理器读取并执行时可实现第十方面或上述第十方面的任意一种实现方式提供的方法。
第十七方面,本发明实施例还提供又一种计算机存储介质,该存储介质可以是非易失性的,即断电后内容不丢失。该存储介质中存储软件程序,该软件程序在被一个或多个处理器读取并执行时可实现第十一方面或上述第十一方面的任意一种实现方式提供的方法。
通过实施本发明实施例,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1A是现有技术中的一种PDCP格式的结构示意图;
图1B是现有技术中的一种加解密的场景示意图;
图2是本发明实施例提供的一种通信系统的结构示意图;
图3A是本发明实施例提供的一种通信方法的流程示意图;
图3B是本发明实施例提供的又一种通信方法的流程示意图;
图3C是本发明实施例提供的又一种通信方法的流程示意图;
图3D是本发明实施例提供的又一种通信方法的流程示意图;
图3E是本发明实施例提供的又一种通信方法的流程示意图;
图3F是本发明实施例提供的又一种通信方法的流程示意图;
图3G是本发明实施例提供的又一种通信方法的流程示意图;
图3H是本发明实施例提供的又一种通信方法的流程示意图;
图3I是本发明实施例提供的又一种通信方法的流程示意图;
图3J是本发明实施例提供的又一种通信方法的流程示意图;
图4是本发明实施例提供的一种接入网节点的结构示意图;
图5是本发明实施例提供的又一种接入网节点的结构示意图;
图6是本发明实施例提供的一种终端的结构示意图;
图7是本发明实施例提供的又一种接入网节点的结构示意图;
图8是本发明实施例提供的又一种接入网节点的结构示意图;
图9是本发明实施例提供的又一种终端的结构示意图;
图10是本发明实施例提供的一种MM的结构示意图;
图11是本发明实施例提供的又一种MM的结构示意图。
具体实施方式
下面结合本发明实施例中的附图对本发明实施例进行描述。
请参见图2,图2是本发明实施例提供的一种通信系统20的架构示意图。该通信系统10包括终端201、第一接入网节点202、第二接入网节点203和移动性管理节点(MobilityManagement,MM)204,下面首先对各个网元进行介绍。
该终端201可以是智能设备,例如,手机、平板电脑、笔记本电脑、台式电脑、掌上电脑、移动互联网设备(英文:mobile internet device,简称:MID)、可穿戴设备(例如智能手表(如iWatch等)、智能手环、计步器等);或者进行控制服务或者转发服务的设备,例如,服务器、网关、控制器等;或者物联网设备,例如,电表、水表、汽车、家电、传感器等设备,或者其他可连接到网络(例如,无线蜂窝网络、无线保真(WIreless-Fidelity,WiFi)网络、蓝牙网络、光网络、Zigbee网络、无线传感器网络等)中的设备;为了描述方便后续也可以简称该终端为UE。
该第一接入网节点202和第二接入网节点203属于两个不同的接入网节点(AccessNode,AN),该AN可以为基站(NB或者eNB或者gNB)、无线访问接入点(Wireless AccessPoint,AP)、蓝牙接入点、有线接入点(例如,网关、调制解调器等)等等。为了方便描述,第一接入网节点202后续可以称为第一AN,第二接入网节点203后续可以称为第二AN。
该移动性管理节点204可以为接入与移动管理网元(Access and Mobilitymanagement Function,AMF)、移动管理实体(Mobile Management Entity,MME)、或者其他网络侧的控制器网元或者管理器网元,等等。为了描述方便,后续可以简称该移动性管理节点104为MM,需要说明的是,某些实施方式中可能不存在该MM。
在本发明实施例中,该终端201先与该第一AN建立了通信连接,该终端201与第一AN之间传输数据时进行加密和完整性保护的用到的目标参数的值为第一参考值,后续该终端201会切换到与该第二AN建立通信连接,该终端201与第二AN之间传输数据时进行加密和完整性保护的用到的目标参数的值为第二参考值;该第一AN与该第二AN之间可以通过接口连接。该目标参数为其他一个或多个表征数值大小的参数的统称,例如,该目标参数的属性至少存在如下几种情况:情况一,该目标参数为计数器Counter,其中,Counter包括计数参数(如,HFN)和序列号SN;情况二,该目标参数为序列号SN。当为情况二时,以HFN为例,目标参数包含一个值或者两个值,上述“目标参数的值为第一参考值”可以具体指目标参数中的HFN为第一参考值(此时第一参考值包含一个值),也可以具体指目标参数中的SN为第一参考值(此时第一参考值包含一个值),也可以具体指目标参数中的HFN和SN各为第一参考值的两个值中的一个值(此时第一参考值包含两个值);可选的,该终端切换到与该第二AN连接后,终端发送给第一AN的部分数据可能需要由该第一AN发送给该第二AN,此时第一AN与该第二AN之间传输数据时进行加密和完整性保护的用到的目标参数的值为第二参考值而不是第一参考值。下面将结合图3A所示的方法实施例以蜂窝网络的场景为例来讲述相关的各个网元如何获取该第二参考值。
请参见图3A,图3A是本发明实施例提供的一种通信方法的流程示意图;该方法可以基于图2所示的通信系统20来实现,该方法执行时包括但不限于如下步骤:
步骤S3001:终端向第一AN发送测量报告。
具体地,蜂窝网络中每个小区都对应有自身的AN(例如,基站)。终端当前处于服务小区和该服务小区的邻区(相邻小区)的信号覆盖范围内,该服务小区(serving)除了包括一个主小区(Primary Cell,PCell)外,还可以包括至少一个辅小区(Secondary Cell,SCell),当包括辅小区(Secondary Primary Cell,SCell)时,信号强度最好的辅小区(SCell)为主控辅小区(PSCell),终端通过上述主小区建立无线连接(RRC connected)。
该终端会实时检测自身在所处小区中的信号质量,该信号质量可以包括参考信号接收功率(Reference Signal Received Power,RSRP)和参考信号接收质量(ReferenceSignal Received Quality,RSRQ)中至少一项,也可以包含其他表征信号好坏的参数。在本发明实施例中,该终端当前所处的主小区(PCell)对应第一AN(或者说该主小区由第一AN的小区提供),该终端会检测自身在当前小区中的信号质量并向该第一AN发送测量报告(MeasurementReport)。
步骤S3002:第一AN接收该测量报告并根据该测量报告确定该终端满足从该第一AN切换到该第二AN的条件。
具体地,该第一AN会根据该测量报告判断该终端是否满足小区切换的条件,此处的小区切换主要是指主小区(PCell)的切换;若不满足小区切换的条件,则不会执行小区切换的流程,若满足小区切换的条件,则执行小区切换的流程;判断是否需要进行小区切换以及如何进行小区切换可以参照现有技术的执行方式,若该终端满足主小区从一个小区切换到另一个小区的条件,那么可以称该另一个小区对应的AN为第二AN以方便后续描述;这样一来,该终端的主小区满足从一个小区切换到另一个小区的条件也可以描述为:该终端满足从第一AN切换到第二AN的条件。另外,在实际应用中可能会出现切换之前的小区与切换之后的小区对应同一个AN的情况,而本发明则着重讲述切换之前的小区与切换之后的小区对应不同AN(即第一AN与第二AN为两个不同的AN)的情况。
需要说明的是,该终端与第一AN通信时,传输的数据需要进行加密和/或完整性保护(即包括三种情况:加密,或者完整性保护,或者加密和完整性保护),在本发明实施例中,终端与第一AN之间进行加密和/或完整性保护的目标参数的值可以等于第一参考值,可选的,该目标参数为Counter,该Counter包括超帧数HFN和序列号SN;可选的,该目标参数为序列号SN。
步骤S3003:第一AN向该第二AN发送目标消息以指示该第二AN获取第二参考值。
具体地,若第一AN确定该终端满足从该第一AN切换到该第二AN的条件,则该第一AN向第二AN发送目标消息,该目标消息用于指示第二AN获取第二参考值。该第二参考值与该第一参考值的属性相同但具体值不同,举例来说,若该目标参数为Counter,该第一参考值指Counter中的HFN和SN的值,该目标参数的值等于第一参考值具体指HFN=100,SN=1000,而该目标参数的值等于第二参考值具体指HFN=200,SN=2000;或者若该目标参数为Counter,该第一参考值指Counter中的HFN的值,该目标参数的值等于第一参考值具体指HFN=100,而该目标参数的值等于第二参考值具体指HFN=200;或者若该目标参数为Counter,该第一参考值指Counter中的SN的值,该目标参数的值等于第一参考值具体指SN=1000,而该目标参数的值等于第二参考值具体指SN=2000;或者若该目标参数为SN,该目标参数的值等于第一参考值具体指SN=1000,而该目标参数的值等于第二参考值具体指SN=2000;可以理解的是,HFN、SN除了可以取上面举例中提到的值外,还可以取其他值。该第二参考值将用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值。
步骤S3004:第二AN根据该目标消息获取该第二参考值。
具体地,该第二AN获取该第二参考值的方式存在多种可能方式,例如,该第一AN生成该第二参考值并将该第二参考值封装在该目标消息中,该第二AN解析该目标消息以获取该第二参考值;再如,第二AN在接收到该目标消息后自己生成该第二参考值;再如,网络侧的相关网元(例如,MM)生成该第二参考值然后将该第二参考值发送给该第二AN,相应地,该第二AN进行接收以获取该第二参考值;再如,该终端生成该第二参考值然后将该第二参考值发送给该第二AN,相应地,该第二AN进行接收以获取该第二参考值,等等。需要说明的是,当生成该第二参考值的网元是除该第一AN与该第二AN以外的其他网元时,可以由该第一AN或者该第二AN向该其他网元发送指示(或者说“请求”)以触发该其他网元执行生成该第二参考值的操作。另外,如果生成该第二参考值需要用的参数存在于该通信系统中的某个网元(或者说“某几个”),可以由该某个网元将该需要用到的参数发送给生成该第二参考值的网元,例如,该第二AN自己生成该第二参考值,生成该第二参考值需要用到的参数包括第一参考值,那么,此时可以由该第一AN将该第一参数发送给该第二AN。
生成该第二参考值的方式此处不作限定,在一种可选的方案中,可以通过随机算法随机生成该第二参考值;在又一种可选的方案中,可以通过预设规则推导出该第二参考值,例如,可以采用预先定义的一种密钥推衍函数,将一些参数作为该密钥推衍函数的输入,该密钥推衍函数的输出即为该第二参考值,可选的,SN2=function((SN1、UEID、ANID1、Key、nonce、random number、C-RNTI、Cell ID、Session ID,EPS bearer ID,radio bearerID、transport channel ID、logical channel ID、“USN”和“DSN”中至少一项)),其中,SN2为第二参考值,function为参数推衍函数(例如,密钥推衍函数(key derivationfunction,KDF)、哈希函数、消息认证码(message authentication code,MAC)、哈希运算消息认证码(Hash-based Message Authentication,HMAC)等),SN1为第一参考值,UEID为该终端的身份标识,ANID1为该第一AN的标识,Key为UE与第一AN之间共享的安全密钥(例如,第一AN的AN密钥(K_AN1)、加密密钥(K_enc)、完整性保护密钥(K_int)等),nonce为新鲜参数,random number为随机数,C-RNTI为小区无线网络临时标识(CellRadioNetworkTemporaryIdentifier),Cell ID为小区识别码,radio bearer ID为无线承载标识,transport channel ID为传输信道标识,logical channel ID为逻辑信道标识,“USN”为预设的上行字符串,“DSN”为预设的下行字符串。
步骤S3005:该终端用于获取该第二参考值。
具体地,该终端获取该第二参考值的方式存在多种可能方式,例如,网络侧的相关网元(例如,MM、第一AN、第二AN等)生成该第二参考值并向该终端发送该第二参考值,相应地,该终端进行接收以获取该第二参考值;再如,该第一AN或者第二AN向该终端发送一个指示,该终端接收到该指示即自己生成该第二参考值,等等。需要说明的是,当生成该第二参考值的网元是除该第一AN与该第二AN以外的其他网元时,可以由该第一AN或者该第二AN向该其他网元发送指示(或者说“请求”)以触发该其他网元执行生成该第二参考值的操作。另外,如果生成该第二参考值需要用的参数存在于该通信系统中的某个网元(或者说“某几个”),可以由该某个网元将该需要用到的参数发送给生成该第二参考值的网元,例如,该第二AN自己生成该第二参考值,生成该第二参考值需要用到的参数包括第一参考值,那么,此时可以由该第一AN将该第一参数发送给该第二AN。例如,UE和网络(例如第一AN,第二AN,或者MM)各自生成第二参考值,若网络侧的网元生成SN2的过程中用到了新鲜参数(UE所没有的参数)或标识,如nonce,random number等,则网络侧的网元需将该新鲜参数发送至UE,以供UE在生成该第二参考值时使用。若UE生成SN2的过程中用到了新鲜参数(UE所没有的参数)或标识,如nonce,random number等,则UE需将该新鲜参数发送至网络侧的网元,以供网络侧的网元在生成该第二参考值时使用。
若该第二参考值由该终端自己生成,生成该第二参考值的方式可以参照上面的描述。
步骤S3006:该终端与该第二AN传输数据。
具体地,该终端与该第二AN传输数据时需要对被传输的数据进行加密和/完整性保护,加密和/完整性保护会用到目标参数,该目标参数的值为第二参考值而不是第一参考值。“加密和/完整性保护会用到目标参数”存在几种可能的情况,情况一,该目标参数的值用于作为加密和/或完整性保护的参数;情况二,基于该目标参数的值推衍得到的参数用于作为加密和/完整性保护的参数;情况三,该目标参数与其他参数值一起用于作为加密和/完整性保护的参数,例如,目标参数为序列号SN时,SN与HFN一起作为加密和/完整性保护的参数,此时HFN可以为0或者其他默认的初始值,等等。
需要说明的是,上述步骤S3001-S3006的执行先后顺序此处不作限定,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围。
在图3A所描述的方法中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
需要说明的是,图3A所示方法实施例中提到生成第二参考值的方式存在多种可能的情况,为了便于理解,下面参照图3B-3J对其中几种可能的情况的执行流程进行更详细地描述。
请参见图3B,图3B是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3101:UE向第一AN发送测量报告MeasurementReport。
步骤S3102:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3103:该第一AN生成第二参考值,该第二参考值不等于该第一参考值。
步骤S3104:该第一AN向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3105:该第二AN接收该切换请求并向该第一AN反馈该切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区。
步骤S3106:该第一AN接收该切换请求的响应并根据该响应向UE发送第二参考值。
步骤S3107:该第一AN根据该响应向第二AN发送第二参考值。
步骤S3108:该第一AN将切换之前缓存的来自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3109:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3101-S3109中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3103在步骤S3105之后执行时整个方案在逻辑上是可以实现的;再如,该第二参考值可以在S3103之后即发送给该第二AN而无需等到步骤S3107。在一种变形的方案中,第一AN不生成第二参考值,而是生成参数X并发送参数X至UE;UE根据该参数X和第一参考值生成第二参考值,以及该第一AN也会根据该参数X和第一参考值计算该第二参考值;然后第一AN将该第二参考值发送给第二AN或者该第一AN将参数X和第一参考值均发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。这样一来,该第二AN和该UE就都获取了该第二参考值。
请参见图3C,图3C是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3201:UE向第一AN发送测量报告MeasurementReport。
步骤S3202:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3203:该第一AN生成第二参考值,该第二参考值不等于该第一参考值。
步骤S3204:该第一AN向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3205:该第二AN接收该切换请求并向该第一AN反馈该切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区。
步骤S3206:该第一AN接收该切换请求的响应并根据该响应向UE发送参数生成请求,该参数生成请求属于一种控制信息或者说信令。可选的,该参数生成请求可以为针对上述测量报告的一个响应response,表明确认UE可以切换到第二AN的小区;可选的,参数生成请求中包含指示符,指示UE生成第二参考值。其他实施例的参数生成请求可以参照此处描述。
步骤S3207:该UE接收该参数生成请求并生成该第二参考值,可以将该参数生成请求看作是生成该第二参考值的一个触发条件。可选的,UE可以识别参数生成请求中的指示符,从而触发生成第二参考值。其他实施例的参数生成请求可以参照此处描述。
步骤S3208:该第一AN根据该切换请求的响应向第二AN发送第二参考值。
步骤S3209:该第一AN将切换之前缓存的来自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3210:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3201-S3210中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3203在步骤S3205之后执行时整个方案在逻辑上是可以实现的;再如,该第二参考值可以在S3203之后即发送给该第二AN而无需等到步骤S3208。在一种变形的方案中,该第一AN和该终端生成的不是第二参考值而是参数X,后续该终端和该第一AN都根据该参数X和第一参考值生成第二参考值,再由第一AN将该第二参考值发送给第二AN或者该第一AN将参数X和第一参考值均发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。这样一来,该第二AN和该UE就都获取了该第二参考值。
请参见图3D,图3D是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3301:UE向第一AN发送测量报告MeasurementReport。
步骤S3302:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3303:该第一AN向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3304:该第二AN接收该切换请求并根据该切换请求生成第二参考值,该第二参考值不等于该第一参考值。
步骤S3305:该第二AN向第一AN发送针对切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区,该响应包含第二参考值。
步骤S3306:该第一AN接收该针对切换请求的响应,解析出该响应中的第二参考值,然后向UE发送第二参考值。
步骤S3307:该第一AN将切换之前缓存的来自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3308:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3301-S3308中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3307在步骤S3308之后执行时整个方案在逻辑上是可以实现的。在一种变形的方案中,第二AN不生成第二参考值,而是生成参数X并发送参数X至第一AN,该第一AN将该参数X再发送给UE;UE根据该参数X和第一参考值生成第二参考值,以及该第一AN也会根据该参数X和第一参考值计算该第二参考值;然后第一AN将该第二参考值发送给第二AN或者该第一AN将第一参考值发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。这样一来,该第二AN和该UE就都获取了该第二参考值。在又一种变形的方案中,该第二AN生成第二参考值后直接将该第二参考值发送给UE,而不发送给该第一AN,该第一AN也不需要执行步骤S3307。
请参见图3E,图3E是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3401:UE向第一AN发送测量报告MeasurementReport。
步骤S3402:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3403:该第一AN向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3404:该第二AN接收该切换请求并根据该切换请求生成第二参考值,该第二参考值不等于该第一参考值。
步骤S3405:该第二AN向该第一AN发送针对该切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区。
步骤S3406:该第一AN接收针对该切换请求的响应并向UE发送参数生成请求,表明确认UE可以切换到第二AN的小区,可以视针对该切换请求的响应为发送针对该参数生成请求的触发条件。可选的,参数生成请求中包含指示符,指示UE生成第二参考值。其他实施例的参数生成请求可以参照此处描述。
步骤S3407:该UE接收该参数生成请求并生成第二参考值,可以视该参数生成请求为生成该第二参考值的触发条件。可选的,UE可以识别参数生成请求中的指示符,从而触发生成第二参考值。其他实施例的参数生成请求可以参照此处描述。
步骤S3408:该第一AN将切换之前缓存的来自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3409:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3401-S3409中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3408在步骤S3409之后执行时整个方案在逻辑上是可以实现的。在一种变形的方案中,第二AN不生成第二参考值,而是生成参数X并发送参数X至第一AN,该第一AN根据该参数X和第一参考值计算该第二参考值;然后第一AN将该第二参考值发送给第二AN或者该第一AN将第一参考值发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。同样的,该UE也以同样的方式生成参数X,再根据参数X和第一参考值生成第二参数。这样一来,该第二AN和该UE就都获取了该第二参考值。
请参见图3F,图3F是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3501:UE向第一AN发送测量报告MeasurementReport。
步骤S3502:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3503:该第一AN向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3504:该第二AN接收该切换请求并根据该切换请求向MM发送目标请求,可以视该切换请求为该第二AN发送目标请求的触发条件。
步骤S3505:该MM接收该目标请求并生成第二参考值,可以视该目标请求为该MM生成第二参考值的触发条件,该第二参考值不等于该第一参考值。
步骤S3506:该MM将该第二参考值发送给该第二AN。
步骤S3507:该第二AN接收该第二参考值。
步骤S3508:该第二AN向第一AN发送针对切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区,该响应包含第二参考值。
步骤S3509:该第一AN接收针对该切换请求的响应并向UE发送该第二参考值,可以视针对该切换请求的响应为发送第二参考值的触发条件。
步骤S3510:该UE接收该第二参考值。
步骤S3511:该第一AN将切换之前缓存的来自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3512:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3501-S3512中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3511在步骤S3512之后执行时整个方案在逻辑上是可以实现的。在一种变形的方案中,MM不生成第二参考值,而是生成参数X并发送参数X至第一AN,该第一AN也会将该参数X发送给UE,该UE和该第一AN均根据该参数X和第一参考值计算该第二参考值;然后第一AN将该第二参考值发送给第二AN或者该第一AN将第一参考值和参数X发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。这样一来,该第二AN和该UE就都获取了该第二参考值。在又一种变形的方案中,该第二AN得到第二参考值之后,不将该第二参考值发送给第一AN而是直接将该第二参考值发送给UE。在又一种变形的方案中,该MM生成第二参考值后直接将该第二参考值分别发送给第二AN和UE,而该第一AN不必获取该第二参考值。在又一种变形的方案中,MM生成第二参考值后,将该第二参考值发送给第一AN而不需要发送给第二AN,后续由该第一AN将该第二参考值发送给UE和第二AN。
请参见图3G,图3G是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3601:UE向第一AN发送测量报告MeasurementReport。
步骤S3602:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3603:该第一AN向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3604:该第二AN接收该切换请求并根据该切换请求向MM发送目标请求,可以视该切换请求为该第二AN发送目标请求的触发条件。
步骤S3605:该MM接收该目标请求并生成第二参考值,可以视该目标请求为该MM生成第二参考值的触发条件,该第二参考值不等于该第一参考值。
步骤S3606:该MM将该第二参考值发送给该第二AN。
步骤S3607:该第二AN向该第一AN发送针对该切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区。
步骤S3608:该第一AN接收针对该切换请求的响应并向UE发送参数生成请求,表明确认UE可以切换到第二AN的小区,可以视针对该切换请求的响应为发送参数生成请求的触发条件。
步骤S3609:该UE接收参数生成请求并生成第二参考值,可以视参数生成请求为生成该第二参考值的触发条件。
步骤S3610:该第一AN将来切换之前缓存的自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3611:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3601-S3611中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3610在步骤S3611之后执行时整个方案在逻辑上是可以实现的。在一种变形的方案中,MM不生成第二参考值,而是生成参数X并发送参数X至第二AN,该第二AN将该参数X发送给第一AN,该第一AN根据该参数X和第一参考值计算该第二参考值;然后第一AN将该第二参考值发送给第二AN或者该第一AN将第一参考值发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。同样的,该UE也以同样的方式生成参数X,再根据参数X和第一参考值生成第二参数。这样一来,该第二AN和该UE就都获取了该第二参考值。在又一种变形的方案中,MM不生成第二参考值,而是生成参数X并发送参数X至第二AN,该第一AN也将第一参考值发送给该第二AN,该第二AN根据该参数X和第一参考值生成该第二参考值;同样的,该UE也以同样的方式生成参数X,再根据参数X和第一参考值生成第二参数。这样一来,该第二AN和该UE就都获取了该第二参考值。
请参见图3H,图3H是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3701:UE向第一AN发送测量报告MeasurementReport。
步骤S3702:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3703:该第一AN向MM发送目标请求,以请求该MM生成第二参考值。
步骤S3704:该MM接收该目标请求并生成第二参考值,可以视该目标请求为该MM生成第二参考值的触发条件,该第二参考值不等于该第一参考值。
步骤S3705:该MM将该第二参考值发送给该第一AN。
步骤S3706:该第一AN接收该第二参考值并向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3707:该第二AN接收该切换请求并向该第一AN发送针对该切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区。
步骤S3708:该第一AN接收针对该切换请求的响应并向UE发送该第二参考值,可视针对该切换请求的响应为UE发送第二参考值的触发条件。
步骤S3709:该第一AN向该第二AN发送第二参考值。
步骤S3710:该第一AN将切换之前缓存的来自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3711:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3701-S3711中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3710在步骤S3711之后执行时整个方案在逻辑上是可以实现的。在一种变形的方案中,MM不生成第二参考值,而是生成参数X并发送参数X至第一AN,该第一AN也会将该参数X发送给UE,该UE和该第一AN均根据该参数X和第一参考值计算该第二参考值;然后第一AN将该第二参考值发送给第二AN或者该第一AN将第一参考值和参数X发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。这样一来,该第二AN和该UE就都获取了该第二参考值。
请参见图3I,图3I是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3801:UE向第一AN发送测量报告MeasurementReport。
步骤S3802:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3803:该第一AN向MM发送目标请求,以请求该MM生成第二参考值。
步骤S3804:该MM接收该目标请求并生成第二参考值,可以视该目标请求为该MM生成第二参考值的触发条件,该第二参考值不等于该第一参考值。
步骤S3805:该MM将该第二参考值发送给该第一AN。
步骤S3806:该第一AN接收该第二参考值并向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3807:该第二AN接收该切换请求并向该第一AN发送针对该切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区。
步骤S3808:该第一AN接收针对该切换请求的响应并向UE发送参数生成请求,表明确认UE可以切换到第二AN的小区,可以视针对该切换请求的响应为发送参数生成请求的触发条件。
步骤S3809:该UE接收参数生成请求并生成第二参考值,可以视参数生成请求为生成该第二参考值的触发条件。
步骤S3810:该第一AN将该第二参考值发送给第二AN。
步骤S3811:该第一AN将切换之前缓存的来自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3812:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3801-S3812中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3811在步骤S3812之后执行时整个方案在逻辑上是可以实现的。在一种变形的方案中,MM不生成第二参考值,而是生成参数X并发送参数X至第一AN,该第一AN根据该参数X和第一参考值计算该第二参考值;然后第一AN将该第二参考值发送给第二AN或者该第一AN将第一参考值和参数X发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。同样的,该UE也以同样的方式生成参数X,再根据参数X和第一参考值生成第二参数。这样一来,该第二AN和该UE就都获取了该第二参考值。
请参见图3J,图3J是本发明实施例提供的又一种通信方法的流程示意图,该方法包括但不限于如下步骤,下面以UE来表示上面描述的终端。
步骤S3901:UE向第一AN发送测量报告MeasurementReport。
步骤S3902:第一AN接收该测量报告并根据该测量报告确定该UE可以切换到第二AN。
步骤S3903:该第一AN向第二AN发送切换请求,以请求将UE切换到第二AN的小区。
步骤S3904:该第二AN向该第一AN发送针对该切换请求的响应,该切换请求的响应用于确认将UE切换到第二AN的小区。
步骤S3905:该第一AN向UE发送参数生成请求,表明确认UE可以切换到第二AN的小区。
步骤S3906:该UE接收参数生成请求并生成第二参考值,可以视参数生成请求为生成该第二参考值的触发条件,该第二参考值不等于该第一参考值。
步骤S3907:该UE该第二参考值发送给第一AN。
步骤S3908:该第一AN将该第二参考值发送给该第二AN。
步骤S3909:该第一AN将切换之前缓存的来自该UE的数据发送给该第二AN,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
步骤S3910:该UE与该第二AN之间传输数据,对该数据进行加密和/或完整性保护时用到的目标参数的值为该第二参考值而不是第一参考值。
需要说明的是,上述步骤S3901-S3910中的部分步骤的执行先后顺序可以进行调整,上述步骤以各种顺序执行所形成的在逻辑上可实现的方案均落入本发明实施例的范围,例如,步骤S3909在步骤S3910之后执行时整个方案在逻辑上是可以实现的。也可能该UE不向第一AN发送第二参考值而是直接向该第二AN发送第二参考值,这样的话也不存在步骤S3907。在又一种变形的方案中,UE不生成第二参考值,而是生成参数X并发送参数X至第一AN,该第一AN根据该参数X和第一参考值计算该第二参考值;然后第一AN将该第二参考值发送给第二AN或者该第一AN将第一参考值和参数X发送给该第二AN,以使该第二AN根据该参数X和第一参考值计算该第二参考值。该UE也以同样的方式根据参数X和第一参考值生成第二参数。这样一来,该第二AN和该UE就都获取了该第二参考值。
以上结合图3B-3J对本发明实施例的部分方案进行了更详细的描述,这些方案仅用于进行示例性说明,除了已经列举的这些方案外还存在其他基于本发明实施例思路变换得到的方案,这些方案均落入本申请的保护范围。另外,上面各个实施例中提到的参数X是一个泛指概念,在具体实施时可以根据需要将该参数X指定为某个量,其的作用是作为生成第二参考值时的输入。
上述详细阐述了本发明实施例的方法,下面提供了本发明实施例的装置。
请参见图4,图4是本发明实施例提供的一种接入网节点40的结构示意图,接入网节点40可称为第一AN,第一AN包括确定单元401和第一发送单元402,各个单元的描述如下:
确定单元401用于确定接入该第一AN的终端满足从该第一AN切换到第二AN的条件;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;第一发送单元402用于向该第二AN发送目标消息以指示该第二AN获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过运行上述单元,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
在一种可选的方案中,该第一AN还包括第二处理单元,第二处理单元用于在该第一发送单元402向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,向MM发送目标请求以请求该MM生成该第二参考值,以及接收该MM发送的根据该目标请求生成的该第二参考值,该目标消息包含该第二参考值。
在又一种可选的方案中,该第一AN还包括计算单元,计算单元用于在该第一发送单元402向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,通过随机算法随机生成该第二参考值,或通过预设规则推导出该第二参考值,该目标消息包含该第二参考值。
在又一种可选的方案中,该第一AN还包括第二发送单元,第二发送单元用于向该终端发送该第二参考值。
在又一种可选的方案中,该第一AN还包括第三发送单元,第三发送单元用于向该终端发送参数生成请求,以使该终端根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
需要说明的是,各个单元的实现还可以对应参照图3A所示的方法实施例的相应描述。
在图4所描述的接入网节点40中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
请参见图5,图5是本发明实施例提供的一种接入网节点50的结构示意图,该接入网节点50为第二AN,该第二AN包括第一接收单元501和获取单元502,各个单元描述如下:
第一接收单元501用于接收第一AN发送的目标消息,该目标消息为该第一AN确定该终端满足从该第一AN切换到该第二AN的条件时发送的消息,该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;获取单元502用于根据该目标消息获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过运行上述单元,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
在又一种可选的方案中,该目标消息包含该第二参考值;该获取单元502根据该目标消息获取第二参考值,具体为:从该目标消息中解析出该第二参考值。
在又一种可选的方案中,该获取单元502根据该目标消息获取第二参考值,具体为:根据该目标消息通过随机算法随机生成该第二参考值,或者通过预设规则推导出该第二参考值。
在又一种可选的方案中,该获取单元502根据该目标消息获取第二参考值,具体为:根据该目标消息向MM发送目标请求以请求该MM生成第二参考值;接收该MM发送的该第二参考值。
在又一种可选的方案中,该第二AN还包括第四发送单元,第四发送单元用于在该获取单元502根据该目标消息获取第二参考值之后,将该第二参考值发送给该第一AN,以使该第一AN将该第二参考值发送给该终端。
在又一种可选的方案中,该第二AN还包括第五发送单元,第五发送单元用于在该第二AN根据该目标消息获取第二参考值之后,将该第二参考值发送给该终端。
需要说明的是,各个单元的实现还可以对应参照图3A所示的方法实施例的相应描述。
在图5所描述的接入网节点50中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
请参见图6,图6是本发明实施例提供的一种终端60的结构示意图,该终端60包括处理单元601,该处理单元601用于在终端满足从第一AN切换到第二AN的条件时,生成第二参考值,或者接收该第一AN发送的该第二参考值,或者接收该第二AN发送的该第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过运行上述单元,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
在一种可选的方案中,该终端生成第二参考值,具体为:接收该第一AN在确定该终端满足从第一AN切换到第二AN的条件时发送的参数生成请求;根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
需要说明的是,各个单元的实现还可以对应参照图3A所示的方法实施例的相应描述。
在图6所描述的终端60中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
请参见图7,图7是本发明实施例提供的一种接入网节点70,该接入网节点70为第一AN,该第一AN包括处理器701、存储器702和收发器703,该处理器701、存储器702和收发器703通过总线相互连接。
存储器702包括但不限于是随机存储记忆体(英文:Random Access Memory,简称:RAM)、只读存储器(英文:Read-Only Memory,简称:ROM)、可擦除可编程只读存储器(英文:Erasable Programmable Read Only Memory,简称:EPROM)、或便携式只读存储器(英文:Compact Disc Read-Only Memory,简称:CD-ROM),该存储器702用于相关指令及数据。收发器703用于接收和发送数据。
处理器701可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器701是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该第一AN中的处理器701用于读取该存储器702中存储的程序代码,执行以下操作:
确定接入该第一AN的终端满足从该第一AN切换到第二AN的条件;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;通过收发器703向该第二AN发送目标消息以指示该第二AN获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过执行上述操作,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
在一种可选的方案中,该处理器701通过收发器703向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,该处理器701还用于通过收发器703向MM发送目标请求以请求该MM生成该第二参考值,以及接收该MM发送的根据该目标请求生成的该第二参考值,该目标消息包含该第二参考值。
在又一种可选的方案中,该处理器701通过收发器703向该第二AN发送目标消息以指示该第二AN获取第二参考值之前,该处理器701还用于通过随机算法随机生成该第二参考值,或通过预设规则推导出该第二参考值,该目标消息包含该第二参考值。
在又一种可选的方案中,该处理器701还用于通过收发器703向该终端发送该第二参考值。
在又一种可选的方案中,该处理器701还用于收发器703向该终端发送参数生成请求,以使该终端根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
需要说明的是,各个操作的实现还可以对应参照图3A所示的方法实施例的相应描述。
在图7所描述的设备70中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
请参见图8,图8是本发明实施例提供的一种接入网节点80,该接入网节点80为第二AN,该第二AN包括处理器801、存储器802和收发器803,该处理器801、存储器802和收发器803通过总线相互连接。
存储器802包括但不限于是随机存储记忆体(英文:Random Access Memory,简称:RAM)、只读存储器(英文:Read-Only Memory,简称:ROM)、可擦除可编程只读存储器(英文:Erasable Programmable Read Only Memory,简称:EPROM)、或便携式只读存储器(英文:Compact Disc Read-Only Memory,简称:CD-ROM),该存储器802用于相关指令及数据。收发器803用于接收和发送数据。
处理器801可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器801是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该第二AN中的处理器801用于读取该存储器802中存储的程序代码,执行以下操作:
通过收发器803接收第一AN发送的目标消息,该目标消息为该第一AN确定该终端满足从该第一AN切换到该第二AN的条件时发送的消息,该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN;根据该目标消息获取第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的该目标参数的值。
通过执行上述操作,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
在一种可选的方案中,该目标消息包含该第二参考值;该处理器801根据该目标消息获取第二参考值,具体为:从该目标消息中解析出该第二参考值。
在又一种可选的方案中,该处理器801根据该目标消息获取第二参考值,具体为:根据该目标消息通过随机算法随机生成该第二参考值,或者通过预设规则推导出该第二参考值。
在又一种可选的方案中,该处理器801根据该目标消息获取第二参考值,具体为:根据该目标消息通过收发器803向MM发送目标请求以请求该MM生成第二参考值;通过收发器803接收该MM发送的该第二参考值。
在又一种可选的方案中,该处理器801用于根据该目标消息获取第二参考值之后,该处理器801还用于:将该第二参考值通过收发器803发送给该第一AN,以使该第一AN将该第二参考值发送给该终端。
在又一种可选的方案中,该处理器801用于根据该目标消息获取第二参考值之后,该处理器801还用于:将该第二参考值通过收发器803发送给该终端。
需要说明的是,各个操作的实现还可以对应参照图3A所示的方法实施例的相应描述。
在图8所描述的接入网节点80中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
请参见图9,图9是本发明实施例提供的一种终端90,该终端90包括处理器901、存储器902和收发器903,该处理器901、存储器902和收发器903通过总线相互连接。
存储器902包括但不限于是随机存储记忆体(英文:Random Access Memory,简称:RAM)、只读存储器(英文:Read-Only Memory,简称:ROM)、可擦除可编程只读存储器(英文:Erasable Programmable Read Only Memory,简称:EPROM)、或便携式只读存储器(英文:Compact Disc Read-Only Memory,简称:CD-ROM),该存储器902用于相关指令及数据。收发器903用于接收和发送数据。
处理器901可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器901是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该终端90中的处理器901用于读取该存储器902中存储的程序代码,执行以下操作:
若该终端满足从第一AN切换到第二AN的条件,则生成第二参考值,或者通过收发器903接收该第一AN发送的该第二参考值,或者通过收发器903接收该第二AN发送的该第二参考值,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过执行上述操作,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
在一种可选的方案中,该处理器901生成第二参考值具体为:通过收发器903接收该第一AN在确定该终端满足从第一AN切换到第二AN的条件时发送的参数生成请求;根据该参数生成请求通过随机算法随机生成该第二参考值,或者通过该预设规则推导出该第二参考值。
需要说明的是,各个操作的实现还可以对应参照图3A所示的方法实施例的相应描述。
在图9所描述的终端90中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
请参见图10,图10是本发明实施例提供的一种移动性管理网元MM的结构示意图,该MM可以包括接收单元1001、生成单元1002和发送单元1003,其中,各个单元的详细描述如下。
接收单元1001用于接收目标消息,该目标消息为终端满足从第一接入网节点AN切换到第二接入网节点AN的条件时由该第一AN或者该第二AN发送给该MM;生成单元1002用于根据该目标消息生成第二参考值;发送单元1003用于将该第二参考值发送给该第二AN,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过执行上述步骤,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
在一种可能的实现方式中,该发送单元1003将该第二参考值发送给该第二AN,具体为:将该第二参考值发送给该第一AN,以使该第一AN将该第二参考值发送给该第二AN。
需要说明的是,各个单元的实现还可以对应参照图3A所示的方法实施例的相应描述。
在图10所描述的MM中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
请参见图11,图11是本发明实施例提供的一种移动性管理网元MM110,该MM110包括处理器1101、存储器1102和收发器1103,所述处理器1101、存储器1102和收发器1103通过总线相互连接。
存储器1102包括但不限于是随机存储记忆体(英文:Random Access Memory,简称:RAM)、只读存储器(英文:Read-Only Memory,简称:ROM)、可擦除可编程只读存储器(英文:Erasable Programmable Read Only Memory,简称:EPROM)、或便携式只读存储器(英文:Compact Disc Read-Only Memory,简称:CD-ROM),该存储器1102用于相关指令及数据。收发器1103用于接收和发送数据。
处理器1101可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器1101是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该MM中的处理器1101用于读取所述存储器1102中存储的程序代码,执行以下操作:
通过该收发器1103接收目标消息,该目标消息为终端满足从第一接入网节点AN切换到第二接入网节点AN的条件时由该第一AN或者该第二AN发送给该MM;根据该目标消息生成第二参考值;将该第二参考值通过该收发器1103发送给该第二AN,该第二参考值用于作为该第二AN与该终端之间通信时进行加密和/或完整性保护的目标参数的值;该终端切换到该第二AN之前与该第一AN之间通信时进行加密和/或完整性保护的该目标参数的值等于第一参考值,该目标参数为计数器Counter,或者为序列号SN。
通过执行上述操作,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
在一种可能的实现方式中,该处理器1101将该第二参考值通过该收发器1103发送给该第二AN,具体为:将该第二参考值通过该收发器1103发送给该第一AN,以使该第一AN将该第二参考值发送给该第二AN。
需要说明的是,各个操作的实现还可以对应参照图3A所示的方法实施例的相应描述。
在图11所描述的MM中,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。综上所述,通过实施本发明实施例,当终端从与第一AN通信切换到与第二AN通信时,终端和第二AN均获取第二参考值,终端和第二AN后续通过第二参考值进行加密和/或完整性保护,而不是沿用第一参考值进行加密和/或完整性保护,这样一来,当攻击者截取了该终端在切换之前的第一参考值和切换之后的第二参考值时,由于第一参考值与第二参考值不同,因此攻击者也不会推断出第一参考值和第二参考值来自相同终端,从而提升了终端的安全性能。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。
Claims (39)
1.一种通信系统,其特征在于,所述系统包括终端、第一接入网节点AN、第二接入网节点AN,其中:
所述第一AN用于确定所述终端满足从所述第一AN切换到所述第二AN的条件,所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN;
所述第一AN用于向所述第二AN发送目标消息以指示所述第二AN获取第二参考值;
所述第二AN用于根据所述目标消息获取所述第二参考值;
所述终端用于获取所述第二参考值,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的所述目标参数的值。
2.根据权利要求1所述的系统,其特征在于,所述系统包括移动性管理MM;
所述第一AN用于向所述MM发送目标请求以请求所述MM生成所述第二参考值,以及接收所述MM发送的所述第二参考值,所述目标消息包含所述第二参考值;
所述MM用于接收所述目标请求并根据所述目标请求生成所述第二参考值,以及将生成的所述第二参考值发送给所述第一AN。
3.根据权利要求1所述的系统,其特征在于:
所述第一AN用于通过随机算法随机生成所述第二参考值,或者通过预设规则推导出所述第二参考值,所述目标消息包含所述第二参考值;
所述第二AN用于根据所述目标消息获取所述第二参考值包括:所述第二AN用于从所述目标消息中解析出所述第二参考值。
4.根据权利要求2或3所述的系统,其特征在于:
所述第一AN用于向所述终端发送所述第二参考值;
所述终端用于获取所述第二参考值包括:所述终端用于接收所述第一AN发送的所述第二参考值。
5.根据权利要求1所述的系统,其特征在于,所述第二AN用于根据所述目标消息获取所述第二参考值包括:
所述第二AN用于根据所述目标消息通过随机算法随机生成所述第二参考值,或者通过预设规则推导出所述第二参考值。
6.根据权利要求1所述的系统,其特征在于,所述系统包括移动性管理MM;
所述第二AN用于根据所述目标消息获取所述第二参考值,包括:所述第二AN用于根据所述目标消息向所述MM发送目标请求以请求所述MM生成所述第二参考值;以及接收所述MM发送的所述第二参考值;
所述MM用于接收所述目标请求并根据所述目标请求生成所述第二参考值,以及将生成的所述第二参考值发送给所述第二AN。
7.根据权利要求5或6所述的系统,其特征在于:
所述第二AN用于将所述第二参考值发送给所述第一AN;
所述第一AN用于将所述第二参考值发送给所述终端。
8.根据权利要求5或6所述的系统,其特征在于:
所述第二AN用于将所述第二参考值发送给所述终端。
9.根据权利要求2或3或5或6所述的系统,其特征在于:
所述第一AN用于向所述终端发送参数生成请求;
所述终端用于获取所述第二参考值包括:所述终端用于根据所述参数生成请求通过随机算法随机生成所述第二参考值,或者通过所述预设规则推导出所述第二参考值。
10.一种接入网节点AN,其特征在于,所述AN为第一AN,所述第一AN包括处理器、存储器和收发器,所述存储器用于存储程序,所述处理器调用所述存储器中的程序,用于执行如下操作:
确定接入所述第一AN的终端满足从所述第一AN切换到第二AN的条件;所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN;
通过所述收发器向所述第二AN发送目标消息以指示所述第二AN获取第二参考值,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的所述目标参数的值。
11.根据权利要求10所述的AN,其特征在于,所述处理器通过所述收发器向所述第二AN发送目标消息以指示所述第二AN获取第二参考值之前,所述处理器还用于通过所述收发器向MM发送目标请求以请求所述MM生成所述第二参考值,以及通过所述收发器接收所述MM发送的根据所述目标请求生成的所述第二参考值,所述目标消息包含所述第二参考值。
12.根据权利要求10所述的AN,其特征在于,所述处理器通过所述收发器向所述第二AN发送目标消息以指示所述第二AN获取第二参考值之前,所述处理器还用于通过随机算法随机生成所述第二参考值,或通过预设规则推导出所述第二参考值,所述目标消息包含所述第二参考值。
13.根据权利要求11或12所述的AN,其特征在于,所述处理器还用于通过所述收发器向所述终端发送所述第二参考值。
14.根据权利要求11或12或所述的AN,其特征在于,所述处理器还用于通过所述收发器向所述终端发送参数生成请求,以使所述终端根据所述参数生成请求通过随机算法随机生成所述第二参考值,或者通过所述预设规则推导出所述第二参考值。
15.一种接入网节点AN,其特征在于,所述AN为第二AN,所述第二AN包括处理器、存储器和收发器,所述存储器用于存储程序,所述处理器调用所述存储器中的程序,用于执行如下操作:
通过所述收发器接收第一AN发送的目标消息,所述目标消息为所述第一AN确定所述终端满足从所述第一AN切换到所述第二AN的条件时发送的消息,所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN;
根据所述目标消息获取第二参考值,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的所述目标参数的值。
16.根据权利要求15所述的AN,其特征在于,所述目标消息包含所述第二参考值;所述处理器根据所述目标消息获取第二参考值,具体为:
从所述目标消息中解析出所述第二参考值。
17.根据权利要求15所述的AN,其特征在于,所述处理器根据所述目标消息获取第二参考值,具体为:
根据所述目标消息通过随机算法随机生成所述第二参考值,或者通过预设规则推导出所述第二参考值。
18.根据权利要求15所述的AN,其特征在于,所述处理器根据所述目标消息获取第二参考值,具体为:
根据所述目标消息向MM发送目标请求以请求所述MM生成第二参考值;
通过所述收发器接收所述MM发送的所述第二参考值。
19.根据权利要求17或18所述的AN,其特征在于,所述处理器用于根据所述目标消息获取第二参考值之后,所述处理器还用于:
将所述第二参考值通过所述收发器发送给所述第一AN,以使所述第一AN将所述第二参考值发送给所述终端。
20.根据权利要求17或18所述的AN,其特征在于,所述处理器用于根据所述目标消息获取第二参考值之后,所述处理器还用于:
将所述第二参考值通过所述收发器发送给所述终端。
21.一种终端,其特征在于,所述终端包括处理器、存储器和收发器,所述存储器用于存储程序,所述处理器调用所述存储器中的程序,用于执行如下操作:
若所述终端满足从第一AN切换到第二AN的条件,则生成第二参考值,或者通过所述收发器接收所述第一AN发送的所述第二参考值,或者通过所述收发器接收所述第二AN发送的所述第二参考值,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的目标参数的值;所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的所述目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN。
22.根据权利要求21所述的终端,其特征在于,所述处理器生成第二参考值具体为:
通过所述收发器接收所述第一AN在确定所述终端满足从第一AN切换到第二AN的条件时发送的参数生成请求;
根据所述参数生成请求通过随机算法随机生成所述第二参考值,或者通过所述预设规则推导出所述第二参考值。
23.一种通信方法,其特征在于,包括:
第一AN确定接入所述第一AN的终端满足从所述第一AN切换到第二AN的条件;所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN;
所述第一AN向所述第二AN发送目标消息以指示所述第二AN获取第二参考值,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的所述目标参数的值。
24.根据权利要求23所述的方法,其特征在于,所述第一AN向所述第二AN发送目标消息以指示所述第二AN获取第二参考值之前,还包括:
所述第一AN向MM发送目标请求以请求所述MM生成所述第二参考值,以及接收所述MM发送的根据所述目标请求生成的所述第二参考值,所述目标消息包含所述第二参考值。
25.根据权利要求23所述的方法,其特征在于,所述第一AN向所述第二AN发送目标消息以指示所述第二AN获取第二参考值之前,还包括:
所述第一AN通过随机算法随机生成所述第二参考值,或通过预设规则推导出所述第二参考值,所述目标消息包含所述第二参考值。
26.根据权利要求24或25所述的方法,其特征在于,所述接收所述MM发送的根据所述目标请求生成的所述第二参考值之后,还包括:
所述第一AN向所述终端发送所述第二参考值。
27.根据权利要求24或25或所述的方法,其特征在于,还包括:
所述第一AN向所述终端发送参数生成请求,以使所述终端根据所述参数生成请求通过随机算法随机生成所述第二参考值,或者通过所述预设规则推导出所述第二参考值。
28.一种通信方法,其特征在于,包括:
第二AN接收第一AN发送的目标消息,所述目标消息为所述第一AN确定所述终端满足从所述第一AN切换到所述第二AN的条件时发送的消息,所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN;
所述第二AN根据所述目标消息获取第二参考值,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的所述目标参数的值。
29.根据权利要求28所述的方法,其特征在于,所述目标消息包含所述第二参考值;所述第二AN根据所述目标消息获取第二参考值,包括:
从所述目标消息中解析出所述第二参考值。
30.根据权利要求28所述的方法,其特征在于,所述第二AN根据所述目标消息获取第二参考值,包括:
根据所述目标消息通过随机算法随机生成所述第二参考值,或者通过预设规则推导出所述第二参考值。
31.根据权利要求28所述的方法,其特征在于,所述第二AN根据所述目标消息获取第二参考值,包括:
根据所述目标消息向MM发送目标请求以请求所述MM生成第二参考值;
接收所述MM发送的所述第二参考值。
32.根据权利要求30或31所述的方法,其特征在于,所述第二AN根据所述目标消息获取第二参考值之后,还包括:
所述第二AN将所述第二参考值发送给所述第一AN,以使所述第一AN将所述第二参考值发送给所述终端。
33.根据权利要求30或31所述的方法,其特征在于,所述第二AN根据所述目标消息获取第二参考值之后,还包括:
所述第二AN将所述第二参考值发送给所述终端。
34.一种通信方法,其特征在于,包括:
若终端满足从第一AN切换到第二AN的条件,则所述终端生成第二参考值,或者接收所述第一AN发送的所述第二参考值,或者接收所述第二AN发送的所述第二参考值,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的目标参数的值;所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的所述目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN。
35.根据权利要求34所述的方法,其特征在于,所述终端生成第二参考值,包括:
接收所述第一AN在确定所述终端满足从第一AN切换到第二AN的条件时发送的参数生成请求;
根据所述参数生成请求通过随机算法随机生成所述第二参考值,或者通过所述预设规则推导出所述第二参考值。
36.一种通信方法,其特征在于,包括:
移动性管理节点MM接收目标消息,所述目标消息为终端满足从第一接入网节点AN切换到第二接入网节点AN的条件时由所述第一AN或者所述第二AN发送给所述MM;
所述MM根据所述目标消息生成第二参考值;
所述MM将所述第二参考值发送给所述第二AN,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的目标参数的值;所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的所述目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN。
37.根据权利要求36所述的方法,其特征在于,所述MM将所述第二参考值发送给所述第二AN,包括:
所述MM将所述第二参考值发送给所述第一AN,以使所述第一AN将所述第二参考值发送给所述第二AN。
38.一种移动性管理节点MM,其特征在于,包括处理器、存储器和收发器,其中,所述存储器用于存储程序,所述处理器调用所述存储器中的程序,用于执行如下操作:
通过所述收发器接收目标消息,所述目标消息为终端满足从第一接入网节点AN切换到第二接入网节点AN的条件时由所述第一AN或者所述第二AN发送给所述MM;
根据所述目标消息生成第二参考值;
将所述第二参考值通过所述收发器发送给所述第二AN,所述第二参考值用于作为所述第二AN与所述终端之间通信时进行加密和/或完整性保护的目标参数的值;所述终端切换到所述第二AN之前与所述第一AN之间通信时进行加密和/或完整性保护的所述目标参数的值等于第一参考值,所述目标参数为计数器Counter,或者为序列号SN。
39.根据权利要求38所述的MM,其特征在于,所述处理器将所述第二参考值通过所述收发器发送给所述第二AN,具体为:
将所述第二参考值通过所述收发器发送给所述第一AN,以使所述第一AN将所述第二参考值发送给所述第二AN。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710208884.3A CN108668281B (zh) | 2017-03-31 | 2017-03-31 | 一种通信方法、相关设备及系统 |
| EP18777915.2A EP3565311B1 (en) | 2017-03-31 | 2018-03-02 | Communication method and related system |
| PCT/CN2018/077920 WO2018177074A1 (zh) | 2017-03-31 | 2018-03-02 | 一种通信方法、相关设备及系统 |
| US16/569,415 US11051171B2 (en) | 2017-03-31 | 2019-09-12 | Communication method, related device, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710208884.3A CN108668281B (zh) | 2017-03-31 | 2017-03-31 | 一种通信方法、相关设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108668281A true CN108668281A (zh) | 2018-10-16 |
| CN108668281B CN108668281B (zh) | 2021-07-09 |
Family
ID=63674196
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710208884.3A Active CN108668281B (zh) | 2017-03-31 | 2017-03-31 | 一种通信方法、相关设备及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11051171B2 (zh) |
| EP (1) | EP3565311B1 (zh) |
| CN (1) | CN108668281B (zh) |
| WO (1) | WO2018177074A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11671859B2 (en) * | 2020-01-30 | 2023-06-06 | Qualcomm Incorporated | Customized function block sharing in wireless communications systems |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009055414A2 (en) * | 2007-10-25 | 2009-04-30 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
| CN101843139A (zh) * | 2007-10-30 | 2010-09-22 | 高通股份有限公司 | 移动通信网络中在基站间切换时进行hfn处理的方法和系统 |
| CN102027770A (zh) * | 2008-09-22 | 2011-04-20 | 株式会社Ntt都科摩 | 移动通信方法 |
| CN102316455A (zh) * | 2010-06-30 | 2012-01-11 | 中兴通讯股份有限公司 | 一种传递完整性保护参数的方法及装置 |
| CN102440019A (zh) * | 2008-05-07 | 2012-05-02 | 阿尔卡特朗讯美国公司 | 在无线通信网络中生成传输加密密钥 |
| US20120288095A1 (en) * | 2011-05-12 | 2012-11-15 | Futurewei Technologies, Inc. | System and Method for Mobility Management in a Communications System |
| CN103686708A (zh) * | 2012-09-13 | 2014-03-26 | 电信科学技术研究院 | 一种密钥隔离方法及设备 |
| CN103931219A (zh) * | 2012-05-04 | 2014-07-16 | 华为技术有限公司 | 一种网络切换过程中的安全处理方法及系统 |
| CN104683981A (zh) * | 2013-12-02 | 2015-06-03 | 华为技术有限公司 | 一种验证安全能力的方法、设备及系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6725040B2 (en) * | 2001-07-09 | 2004-04-20 | Asustek Computer Inc. | Lossless SRNS relocation procedure in a wireless communications system |
| US7864731B2 (en) | 2006-01-04 | 2011-01-04 | Nokia Corporation | Secure distributed handover signaling |
| US20080176572A1 (en) | 2006-12-28 | 2008-07-24 | Nokia Corporation | Method of handoff |
| WO2009018318A2 (en) | 2007-08-02 | 2009-02-05 | Interdigital Patent Holdings, Inc. | Packet data convergence protocol procedures |
| WO2009150493A1 (en) * | 2008-06-13 | 2009-12-17 | Nokia Corporation | Methods, apparatuses, and computer program products for providing fresh security context during intersystem mobility |
| CN102056226B (zh) * | 2009-11-10 | 2016-03-02 | 中兴通讯股份有限公司 | Pdcp状态报告的获取方法和pdcp实体 |
| CN102118808B (zh) * | 2011-03-03 | 2014-11-12 | 电信科学技术研究院 | 触发切换及移动管理实体池标识信息的传递方法和设备 |
| KR20120130419A (ko) * | 2011-05-23 | 2012-12-03 | 삼성전자주식회사 | 이동통신 시스템에서 오류 보정 암호화를 위한 방법 및 장치 |
| WO2014183794A1 (en) * | 2013-05-17 | 2014-11-20 | Nokia Solutions And Networks Oy | Enhanced mobility robustness optimization |
| CN104185177B (zh) * | 2013-05-27 | 2019-02-01 | 中兴通讯股份有限公司 | 一种安全密钥管理方法、装置和系统 |
| CN104349309B (zh) * | 2013-07-25 | 2019-11-12 | 北京三星通信技术研究有限公司 | 一种移动通信系统中利用nh、ncc对解决安全问题的方法 |
| EP2833669B1 (en) * | 2013-07-31 | 2022-06-22 | Panasonic Intellectual Property Corporation of America | Handoff procedure in a mobile communication system |
| US20160134610A1 (en) | 2014-11-11 | 2016-05-12 | Qualcomm Incorporated | Privacy during re-authentication of a wireless station with an authentication server |
| CN108271173B (zh) * | 2016-12-30 | 2020-03-10 | 维沃移动通信有限公司 | 一种接入切换方法、网络侧设备及移动终端 |
-
2017
- 2017-03-31 CN CN201710208884.3A patent/CN108668281B/zh active Active
-
2018
- 2018-03-02 EP EP18777915.2A patent/EP3565311B1/en active Active
- 2018-03-02 WO PCT/CN2018/077920 patent/WO2018177074A1/zh unknown
-
2019
- 2019-09-12 US US16/569,415 patent/US11051171B2/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009055414A2 (en) * | 2007-10-25 | 2009-04-30 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
| CN101836470A (zh) * | 2007-10-25 | 2010-09-15 | 交互数字专利控股公司 | 用于启用lte移动单元中非接入层(nas)安全性的方法和设备 |
| CN101843139A (zh) * | 2007-10-30 | 2010-09-22 | 高通股份有限公司 | 移动通信网络中在基站间切换时进行hfn处理的方法和系统 |
| CN102440019A (zh) * | 2008-05-07 | 2012-05-02 | 阿尔卡特朗讯美国公司 | 在无线通信网络中生成传输加密密钥 |
| CN102027770A (zh) * | 2008-09-22 | 2011-04-20 | 株式会社Ntt都科摩 | 移动通信方法 |
| CN102316455A (zh) * | 2010-06-30 | 2012-01-11 | 中兴通讯股份有限公司 | 一种传递完整性保护参数的方法及装置 |
| US20120288095A1 (en) * | 2011-05-12 | 2012-11-15 | Futurewei Technologies, Inc. | System and Method for Mobility Management in a Communications System |
| CN103931219A (zh) * | 2012-05-04 | 2014-07-16 | 华为技术有限公司 | 一种网络切换过程中的安全处理方法及系统 |
| CN103686708A (zh) * | 2012-09-13 | 2014-03-26 | 电信科学技术研究院 | 一种密钥隔离方法及设备 |
| CN104683981A (zh) * | 2013-12-02 | 2015-06-03 | 华为技术有限公司 | 一种验证安全能力的方法、设备及系统 |
Non-Patent Citations (2)
| Title |
|---|
| ERICSSON: ""New KI – Supporting integrity protection of UP"", 《3GPP》 * |
| 陈发堂, 李静, 韩宁: "TD-LTE 接入层安全性设计与实现", 《电子技术应用》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200008041A1 (en) | 2020-01-02 |
| US11051171B2 (en) | 2021-06-29 |
| CN108668281B (zh) | 2021-07-09 |
| EP3565311A1 (en) | 2019-11-06 |
| WO2018177074A1 (zh) | 2018-10-04 |
| EP3565311B1 (en) | 2021-07-28 |
| EP3565311A4 (en) | 2020-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109005540B (zh) | 一种密钥推演的方法、装置及计算机可读存储介质 | |
| CN103747522B (zh) | 一种位置信息采集方法和设备 | |
| EP0856233B1 (en) | Subscriber authentication in a mobile communications system | |
| JP7127689B2 (ja) | コアネットワーク装置、通信端末、及び通信方法 | |
| CN106332048A (zh) | 一种数据传输方法、无线网络节点和通信系统 | |
| CN108029015A (zh) | 通信网络中的无线接入点和终端设备 | |
| CN107820283B (zh) | 一种网络切换保护方法、相关设备及系统 | |
| CN108347420A (zh) | 一种网络密钥处理的方法、相关设备及系统 | |
| WO2019149063A1 (zh) | 一种传输数据的方法、通信装置及用户面功能实体 | |
| CN106134231A (zh) | 密钥生成方法、设备及系统 | |
| CN107820234B (zh) | 一种网络漫游保护方法、相关设备及系统 | |
| CN113079541A (zh) | 一种报告信息的发送方法、装置及系统 | |
| CN113596831B (zh) | 一种切片认证中标识用户设备的通信方法和通信设备 | |
| CN111083120B (zh) | 数据传输方法、装置、电子设备和存储介质 | |
| CN108668281A (zh) | 一种通信方法、相关设备及系统 | |
| CN108702620A (zh) | 一种安全通信方法及核心网节点 | |
| JP2007282129A (ja) | 無線情報伝送システム、無線通信端末及びアクセスポイント | |
| CN109417470A (zh) | 密钥协商方法及装置 | |
| CN110401935A (zh) | 基于nb-iot的数据传输方法、装置、通信设备和存储介质 | |
| JP6827323B2 (ja) | 無線通信システムおよび制御局 | |
| CN108616861A (zh) | 一种空中写卡方法及装置 | |
| CN114079920B (zh) | 接入网安全处理方法、设备、装置及存储介质 | |
| CN117062054A (zh) | 通信方法和装置 | |
| CN107770769A (zh) | 一种加密方法、网络侧设备及终端 | |
| CN118055405A (zh) | 通信方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |