CN108924829A - 一种发送、处理上行数据和认证的方法及装置 - Google Patents
一种发送、处理上行数据和认证的方法及装置 Download PDFInfo
- Publication number
- CN108924829A CN108924829A CN201710225570.4A CN201710225570A CN108924829A CN 108924829 A CN108924829 A CN 108924829A CN 201710225570 A CN201710225570 A CN 201710225570A CN 108924829 A CN108924829 A CN 108924829A
- Authority
- CN
- China
- Prior art keywords
- upstream data
- network element
- message
- access network
- network elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种发送上行数据的方法,所述方法包括:UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元;本发明实施例还提供了一种发送上行数据的装置、一种处理上行数据和认证的方法及装置。
Description
技术领域
本发明涉及无线接入网技术,尤其涉及一种发送、处理上行数据和认证的方法及装置。
背景技术
在第三代合作伙伴计划的长期演进(3GPP LTE,3rd Generation PartnershipProject Long Term Evolution)系统中,引入了一种新的无线资源控制(Radio ResourceControl,RRC)状态,在本发明中称为RRC非活动状态(Inactive state)。对该状态下的用户设备(User Equipment,UE),在网络侧网元和UE均保持有该UE的接入层(Access Stratum,AS)的上下文信息,这里,AS上下文信息包括该UE的信令无线承载(Signaling RadioBearer,SRB)和数据无线承载(Data Radio Bearer,DRB)的配置信息,以及用户面协议层(包括分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)、无线链路层控制协议(Radio Link Control,RLC))的配置信息以及可能存在的状态信息。同时,该UE的行为类似于RRC空闲(IDLE)态的UE,即在无线接口没有为该状态下的UE分配专用无线资源;网络侧网元为该状态下的UE维护核心网到接入网网元的控制面和用户面连接,即站在核心网的视角,该UE处于RRC连接态(RRC CONNECTED state)。维护该UE的AS上下文的接入网网元被称为该UE的锚点网元(anchor网元)例如,anchor网元可以是锚定5g基站(gNB)。
可以理解的是,UE从RRC非活动状态通过RRC连接恢复过程(RRC connectionresume)可以恢复(resume)RRC连接,从而回到RRC连接态。
在3GPP的讨论中,还提出了在RRC非活动状态下的UE发送上行数据的流程,在实际实施时,可以采用4步随机接入过程(Random Access Channel,RACH)或2步随机接入过程实现RRC非活动状态发送上行数据;图1为本发明实施例涉及的4步随机接入过程的示意图,如图1所示,UE首先向接入网网元发送消息1(message 1),在message 1携带有前导(preamble)信息;接入网网元在收到message 1,向UE回复消息2(message 2),在message 2中携带有随机接入响应(Random Access Response,RAR)消息;UE在收到message 2后,向接入网网元发送消息3(message 3),在message 3中可以携带RRC连接建立请求消息(即图中的RRC消息),在message 3中还可以携带上行数据;接入网网元在收到message 3后,可以向UE发送消息4(message 4),在消息4中携带接入响应消息(即图中的RRC消息),还可以携带用于解决竞争冲突的介质访问控制层控制单元(Media Access Control CE,MAC CE);图2为本发明实施例涉及的2步随机接入过程的示意图,如图2所示,UE首先向接入网网元发送消息1(message 1),在message 1携带有前导信息/扩频码信息,还可以携带上行数据和RRC连接建立请求消息;接入网网元在收到message 1后,向UE回复消息2(message 2),在message 2中携带接入响应消息(即图中的RRC消息),还可以携带用于解决竞争冲突的MACCE。
这里,通过上述记载的4步随机接入过程或2步随机接入过程,可以将UE的RRC状态转移到RRC连接态或保持在RRC非活动状态。
3GPP还为无线接入网定义了无线通知区域(RAN Notification Area,RNA),归属于不同的接入网网元的小区可能属于同一个RNA区域;UE在同一个RNA区域内移动时,可能驻留(camp)到不同于其anchor网元的接入网网元下的小区,并在该小区内发起RRC连接恢复过程(RRC resume procedure)或在RRC非活动状态发送上行数据;当UE在不同于其anchor网元的小区中发起RRC非活动状态上行数据发送时,称新的接入网网元为服务接入网网元,或服务网元(serving Network element)。
当UE发起RRC连接恢复,或在RRC非活动状态上行数据发送时,如何进行安全秘钥的更新,是亟待解决的问题。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种发送、处理上行数据和认证的方法及装置,能够针对UE发起RRC连接恢复,或在RRC非活动状态上行数据发送时,实现安全秘钥的更新,并可以采用更新的安全秘钥对数据进行处理。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种发送上行数据的方法,所述方法包括:
UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
本发明实施例还提供了一种处理上行数据的方法,所述方法包括:
接入网网元向UE发送指示信息,以指示UE进入或保持在无线资源控制RRC非活动状态;
接入网网元在接收到来自UE的上行数据后,根据UE的当前驻留小区的和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理。
本发明实施例还提供了一种对接入网网元的认证方法,所述方法包括:
UE接收来自接入网网元的消息,所述来自接入网网元的消息为RRC消息或MAC CE,所述来自接入网网元的消息中携带有网络认证信息;
UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
本发明实施例还提供了一种发送上行数据的装置,所述装置位于UE中,所述装置包括:通知模块和第一处理模块;其中,
通知模块,用于在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,通知第一处理模块;
第一处理模块,用于在收到通知后,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
本发明实施例还提供了一种处理上行数据的装置,所述装置位于接入网网元中,所述装置包括发送模块和第二处理模块;其中,
发送模块,用于向UE发送指示信息,以指示UE进入或保持在无线资源控制RRC非活动状态;
第二处理模块,用于在接收到来自UE的上行数据后,根据UE的当前驻留小区的和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理。
本发明实施例还提供了一种对接入网网元的认证装置,所述装置位于UE中,所述装置包括:接收模块和检验模块;其中,
接收模块,用于接收来自接入网网元的消息,所述来自接入网网元的消息为RRC消息或MAC CE,所述来自接入网网元的消息中携带有网络认证信息;
检验模块,用于在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
本发明实施例提供的一种发送、处理上行数据和认证的方法及装置中,UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元;如此,UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,可以实现安全秘钥的更新,并可以采用更新的安全秘钥对数据进行处理。
附图说明
图1为本发明实施例涉及的4步随机接入过程的示意图;
图2为本发明实施例涉及的2步随机接入过程的示意图;
图3为本发明实施例发送上行数据的方法的流程图;
图4为本发明实施例处理上行数据的方法的流程图。
图5为本发明实施例UE对接入网网元的认证方法的流程图;
图6为本发明实施例发送上行数据的装置的组成结构示意图;
图7为本发明实施例提供的一种发送上行数据的设备的硬件结构示意图;
图8为本发明实施例处理上行数据的装置的组成结构示意图;
图9为本发明实施例提供的一种处理上行数据的设备的硬件结构示意图;
图10为本发明实施例对接入网网元的认证装置的组成结构示意图;
图11为本发明实施例提供的一种对接入网网元的认证设备的硬件结构示意图。
具体实施方式
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例公开了一种发送、处理上行数据和认证的方法,可以应用在包括UE和接入网网元的无线通信系统中,这里,UE可以与接入网网元形成无线通信连接;在UE发生位置变化时,UE所连接的接入网网元可能发生变化,示例性地,接入网网元将UE上一次进入RRC非活动状态时所在小区的所在网元,称为anchor网元;当前的接入网网元为UE的当前驻留小区所在网元,称为服务网元,服务网元与anchor网元可以相同,也可以不同。
这里,接入网网元可以是采用2G/3G通信技术的基站,也可以是演进型基站(evolved Node B,eNB),也可以是gNB,本发明实施例并不进行限制。接入网网元还可以与核心网形成通信连接。
UE对应的RRC状态可以包括RRC非活动状态,本发明实施例中将RRC非活动状态简称为非活动状态。
基于上述记载的UE、接入网网元,提出以下各具体实施例。
第一实施例
本发明第一实施例根据3GPP标准TS 36.331,33.401的描述,提出了一种在LTE中实现RRC连接恢复的方法,该方法可以包括如下步骤:
S101:接入网网元将UE从RRC连接态释放到RRC非活动状态
这里,接入网网元可以在RRC连接释放消息(RRC connection release)中指示UE挂起(suspend)在RRC连接态使用的AS层上下文(AS Context);这里UE在RRC连接态使用的AS层上下文可以包括:安全秘钥、UE被释放到RRC非活动状态前的小区信息、UE被释放到RRC非活动状态时前分配的小区无线网络临时标识(Cell Radio Network TemporaryIdentifier,C-RNTI);这里的安全秘钥可以是在AS层的安全上下文中的加密秘钥(encryption key)和完整性保护秘钥(integr ity protection key);其中,加密秘钥用于对数据和/或信令进行加密处理,完整性保护秘钥用于对数据和/或信令进行完整性保护处理。
S102:UE发起RRC连接恢复请求
这里,UE在RRC连接恢复请求消息中,可以至少携带如下信息:
1、UE的标识(UE context ID,或者UE resume ID),用于标识UE在接入网的上下文。
2、UE的认证信息,即一个Short MAC-I,该UE认证信息通过如下方式计算:
使用UE保存的AS层上下文中完整性保护秘钥KRRCint(即用于控制面完整性保护的秘钥)、UE当前所在小区的标识(cell Identity of current cell),UE被释放到RRC非活动状态时的小区的物理小区标识(physical cell ID)、UE被释放到RRC非活动状态前使用的C-RNTI等信息组成的数据块计算short MAC-I,并在计算过程中将输入参数(包括PDCP层设置的计数COUNT值、PDCP层设置的承载标识BEARID的值以及PDCP层设置的方向DIRECTION的值)等设置为二进制全1数据。
S103:接入网网元认证UE身份,并回应RRC连接恢复消息
这里,接入网网元根据保存的UE的AS层上下文,以及UE当前所在的小区信息,对UE发送的RRC连接恢复请求消息携带的UE认证信息进行检验。如果检验通过,则接入网发送RRC连接恢复消息,并在该消息中指示一个下一跳链计数器(Next Hop chaining Count,NCC)信元。
UE对比在该消息中指示的NCC与其本地保存的NCC的值,如果不同,则UE根据消息中指示的NCC派生出新的KeNB*,如果相同,则UE根据当前的KeNB*派生出新的KeNB*。
UE根据新派生的KeNB*生成用于信令完整性保护的秘钥KRRCint,并使用该秘钥KRRCint对接收到的RRC连接恢复消息进行完整性检验,即验证接入网网元的身份真实性。具体的,UE对接收到的RRC连接恢复消息计算其分组数据汇聚协议(Packet Data ConvergenceProtocol,PDCP)层MAC-I,并对比承载该消息的PDCP协议数据单元(Protocol Data Unit,PDU)中携带的MAC-I的值。如果验证通过(两个MAC-I的值相同),则UE根据新派生出的KeNB*生成用于信令加密的秘钥KRRCenc和数据加密的秘钥KUPenc,并在之后使用新生成的秘钥用于与接入网的通信。
在上述步骤S103之前,如果UE的服务网元和anchor网元不是同一个网元时,服务网元发送UE上下文获取请求消息(UE context retrieve request)给anchor网元,在此消息中携带了UE的认证信息,UE的标识,以及UE当前的小区信息;anchor网元对UE身份进行认证后,生成新的秘钥KeNB*,并将于与新KeNB*相关联的NCC值,以及UE的AS层上下文,在UE上下文获取回应消息(UE context retrieve response)中发送给服务网元。
服务网元根据UE的AS层上下文建立用户面和控制面实体,可以建立PDCP/RLC/MAC实体,并随发起路径切换(path switch)过程,将UE与核心网的连接迁移到服务网元,将缓冲在anchor网元的下行数据迁移服务网元。
然而,在将本发明第一实施例的方法应用于RRC非活动状态发送上行数据过程时,将有如下的问题:
在RRC非活动状态发送上行数据时,在message 3(基于4步RACH)和message 1(基于2步RACH)中将携带上行数据;这样,如果UE在不同于其anchor网元的服务网元下的小区发起该过程,且接入网决定将UE的上行文(包括执行AS层安全功能的PDCP实体)迁移到新的服务网元时,上述的上行数据应该使用不同于在原anchor网元使用的安全秘钥对数据进行加密和完整性保护。但在现有技术中,UE只有在发送了message1或message3之后才有机会更新安全秘钥,而在message1和message3中携带的上行数据不能使用更新的秘钥进行安全加密或完整性保护。
第二实施例
参考文献(3GPP R2-1700885)出了一种用于UE从RRC非活动状态恢复到RRC连接态,或者用于在RRC非活动状态发送上行数据的方法,该方法包括以下步骤:
S201:基于上述S101,接入网网元在挂起UE的时候(包括将UE从RRC连接态释放到RRC非活动状态,以及指示UE在RRC非活动状态停止收发数据的信令中),指示UE一个NCC,这里称为新NCC(new NCC),以区别UE在此之前使用的秘钥对应的NCC(称为old NCC);
S202:UE基于上述S102,为了恢复RRC连接,或者在RRC非活动状态发送上行数据时,在发起RRC连接恢复请求过程中,使用new NCC派生出新的秘钥KeNB*,并使用该秘钥KeNB*生成完整性保护秘钥KRRCint与用于信令加密的KRRCenc和用于数据加密的KUPenc;UE使用新NCC派生出的秘钥KRRCint用于计算UE的认证信息。
如果在S202中用于RRC非活动状态发送上行数据,则UE需要在发送S102中的RRC连接恢复请求的同时,通过MAC层复用(MAC multiplexing)携带UE的上行数据,UE的上行数据可以使用新NCC派生出来的KUPenc进行加密。
S203:基于上述记载的S103,接入网网元使用新NCC派生出来的秘钥KRRCint对RRC连接恢复消息进行完整性保护处理,并生成PDCP层MAC-I。
另外,在接入网网元发送给UE的RRC连接恢复消息中,接入网网元指示新NCC值,用于UE下一次发起RRC连接恢复时使用(而不是用于本次通信过程)。
本发明第二实施例的方法可以带来如下效果:
在UE的服务网元和anchor网元不同时,如果需要将UE的上下文、与核心网的连接信息,以及PDCP实体从anchor网元迁移到服务网元时,根据通信安全的需要,需要使用与原PDCP实体下不同的安全秘钥。如此,如果UE移动到了新的服务网元下属的小区时,UE发起RRC连接恢复过程就使用了新的NCC派生出来的安全秘钥,而且在发起RRC连接恢复过程的同时发送的上行数据也使用了新的加密秘钥。这样解决了在第一实施例1中的弊端。
但是本发明第二实施例的方法也带来了如下的问题:
因为UE并不总是从anchor网元移动到新的服务网元,那么UE没有必要每次发起RRC连接恢复的时候使用全新的秘钥。每次都使用新的秘钥给接入网的处理能力带来了负担,并消耗了UE的电能。
第三实施例
针对本发明第一实施例和第二实施例存在的问题,本发明第三实施提出了一种发送上行数据的方法,可以应用于与接入网网元连接的UE中,本发明第三实施例中,从UE的角度对发送上行数据的方法进行示例性说明。
图3示出了本发明实施例发送上行数据的方法的流程图,可以包括:
步骤31:UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,采用更新的安全秘钥对上行数据进行处理。
示例性地,所述采用更新的安全秘钥对上行数据进行处理,包括:UE采用更新的安全秘钥对上行数据进行加密和/或完整性保护处理。
进一步地,UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,还可以采用更新的安全秘钥对信令进行加密和/或完整性保护处理。
步骤32:将处理后的上行数据发送至接入网网元。
另外,UE在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定不满足UE使用更新的安全秘钥的条件时,采用UE上一次使用的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
在具体实施例时,UE可以采用UE上一次使用的安全秘钥对上行数据进行加密和/或完整性保护处理。
对于确定是否满足UE使用更新的安全秘钥的条件的实现方式,这里通过以下两种方式进行示例性说明
方式1:
UE获取自身上一次进入RRC非活动状态时所在小区的安全区域标识(SecurityArea ID),每个小区的安全区域标识用于表示对应小区所在的安全区域(Security Area),在每个安全区域内,UE使用相同的安全秘钥。
UE在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在UE当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,确定满足UE使用更新的安全秘钥的条件;在UE当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识相同时,确定不满足UE使用更新的安全秘钥的条件。
在一种可选的实施方式中,接入网网元可以向UE发送信令,在向UE发送的信令中携带接入网网元的安全区域标识,UE接收到该信令时,即可确定接入网网元的安全区域标识,UE接收到的接入网网元的安全区域标识为当前驻留小区的安全区域标识。
可选地,UE在采用更新的安全秘钥对上行数据进行处理前,UE可以接收来自接入网网元的信令,所述来自接入网网元的信令携带有NCC;UE根据所述来自接入网网元的信令中的NCC,得出更新的安全秘钥。
这里,上述记载的来自接入网网元的信令包括以下至少之一:RRC连接释放消息、RRC连接恢复消息、MAC CE。
可选地,小区的安全区域标识可以是按照如下方式之一确定的:
将同一个接入网网元下属的各个小区分配相同的安全区域标识;
将同一个接入网网元下属的部分小区分配相同的安全区域标识,不同接入网网元的小区被分配不同的安全区域标识;将不同接入网网元的小区分配相同的安全区标识。
可选地,UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在所述RRC连接恢复请求或所发送的上行数据中需要携带UE认证信息时,若满足UE使用更新的安全秘钥的条件,则使用更新的安全秘钥计算UE认证信息(对UE进行认证检验);若不满足UE使用更新的安全秘钥的条件,则根据UE上一次使用的安全秘钥计算UE认证信息。
方式2:
在UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,UE采用上一次使用的安全秘钥对上行数据和/或信令进行处理,将处理后的上行数据和/或信令发送至接入网网元;
在UE将处理后的上行数据和/或信令发送至接入网网元后,UE接收到来自接入网网元的消息时,若确定所述来自接入网网元的消息包括NCC,且所述来自接入网网元的消息包括的NCC不同于UE上一次使用的安全秘钥对应的NCC,确定满足UE使用更新的安全秘钥的条件;或者,
在UE将处理后的上行数据和/或信令发送至接入网网元后,UE接收到来自接入网网元的消息时,若确定来自接入网网元的消息包括特定指示信息时,确定满足UE使用更新的安全秘钥的条件;其中,所述特定指示信息用于指示UE执行如下至少一项操作:重新发送所述上行数据、重建RLC实体、重建PDCP实体、使用更新的安全秘钥。
这里,所述来自接入网网元的消息可以是RRC消息或MAC CE。
对于得出更新的安全秘钥的实现方式,在一种示例中,UE在采用更新的安全秘钥对上行数据进行处理前,在所述来自接入网网元的消息包括的NCC与UE上一次使用的安全秘钥对应的NCC相同时,根据UE上一次使用的安全秘钥对应的NCC或由上一次使用的安全秘钥对应的NCC派生的安全秘钥K,得出更新的安全秘钥;在所述来自接入网网元的消息包括的NCC与UE上一次使用的安全秘钥对应的NCC不同时,根据所述来自接入网网元的消息包括的NCC,得出更新的安全秘钥。
可选地,UE在将处理后的上行数据发送至接入网网元前,还重建DRB和SRB的RLC实体,并重建DRB和SRB的PDCP实体。
可选地,在重建DRB的PDCP实体后,所述方法还包括:
UE执行以下至少一项操作:
针对映射到RLC确认模式(AM)的DRB的PDCP实体,使用更新的安全秘钥对所有分配了PDCP序列号(Sequence Number,SN)的PDCP服务数据单元(Service Data Unit,SDU)进行加密和/或完整性保护处理;
针对映射到RLC非确认模式(UM)的DRB的PDCP实体,确定在发起连接恢复请求,或在RRC非活动状态发送上行数据时,向接入网网元发送的PDCP SDU或部分分片(segment)的PDCP SDU,使用更新的安全秘钥对所确定的各个PDCP SDU进行加密和/或完整性保护处理。
可选地,在UE使用更新的安全秘钥对所有分配了PDCP SN的PDCP SDU进行完整性保护处理后,还可以按照PDCP SDU的COUNT值的升序,将完整性保护处理后的各个PDCP SDU依次发送至下层用户面实体;
在使用更新的安全秘钥对所确定的各个PDCP SDU进行完整性保护处理后,还可以将完整性保护处理后的各个PDCP SDU发送至下层用户面实体。
可选地,在重建DRB的PDCP实体后,所述方法还包括:
在满足预设的第一丢弃条件时,UE针对所述映射到RLC AM的DRB的PDCP实体,将PDCP SDU丢弃,所述预设的第一丢弃条件为:UE接收到下层协议实体的确认(ACK)信息,或者,所述来自接入网网元的消息指示UE丢弃PDCP SDU,或者,为所述PDCP SDU设置的丢弃定时器超时;和/或,
在满足预设的第二丢弃条件时,UE针对所述映射到RLC UM的DRB的PDCP实体,将PDCP SDU丢弃,所述预设的第二丢弃条件为:所述来自接入网网元的消息显示或隐式的指示UE丢弃PDCP SDU,或者,为所述PDCP SDU设置的丢弃定时器超时。
可选地,所述来自接入网网元的消息中携带有网络认证信息;
相应地,UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
在实际实施时,所述来自接入网网元的消息为RRC消息时,所述网络认证信息为承载所述RRC消息的PDCP层的MAC-I;所述来自接入网网元的消息为MAC CE时,所述网络认证信息为一个短short MAC-I。
可选地,所述网络认证信息为一个short MAC-I时,UE计算所述shortMAC-I时所需的参数(即对所述网络认证信息进行检验时所需的参数)可以包括:UE当前用于进行信令完整性保护的秘钥、一组用于计算所述short MAC-I的数据、PDCP层设置的COUNT值、PDCP层设置的BEARID值以及PDCP层设置的DIRECTION值。
这里,一组用于计算所述short MAC-I的数据可以包括以下至少之一:UE当前的小区标识信息、UE的初始小区信息、UE的标识信息。
这里,UE当前的小区标识信息可以包括以下至少一项:小区ID(cell ID)、物理小区标识(Physical Cell Identifier,PCI)、小区频点信息;UE的初始小区信息为:UE在上一次被迁移到RRC非活动状态,或在RRC非活动状态发送数据过程中被指示停止接收下行控制信道(例如物理下行控制信道(Physical Downlink Control CHannel,PDCCH)),或在RRC非活动状态发送数据过程中被指示回到RRC非活动状态时所在的小区的信息。在实际实施时,UE的初始小区信息可以包括以下至少一项:小区的PCI、小区频点信息、UE在该小区被分配的C_RNTI,UE在上述过程(与接入网网元)中被接入网网元指示的一个数值(例如一个随机数、或时间值);UE的标识信息可以是UE的上下文ID(UE context ID)或UE resume ID。COUNT值、BEARID值以及DIRECTION值均可以设置为二进制的全0数据或二进制的全1数据。
在实际实施时,在发送基于2步随机接入过程的message2或基于4步随机接入过程的message4后,接入网网元可以在发送给UE的下行消息中,携带上述记载的网络认证信息。
这里,本发明实施例并不对计算所述short MAC-I的算法进行限制,例如,可以为UE上下文中保存的信令完整性保护算法
UE当前用于进行信令完整性保护的秘钥可以包括:UE上下文中保存的完整性保护秘钥,或者根据message2(在2步随机接入过程中)或message4(在4步随机接入过程)中指示的new NCC派生出新的完整性保护秘钥、或者UE根据接入网上一次RRC非活动状态发送数据过程中指示UE的new NCC派生出的完整性保护秘钥。
可以看出,采用本发明第一实施例的发送上行数据的方法,UE可以在在确定满足UE使用更新的安全秘钥的条件时,采用更新的安全秘钥对上行数据和/或信令进行处理,如此,UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,可以根据情况进行安全秘钥的更新,并不需要每次发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时均对安全秘钥进行更新,进而降低了UE的资源消耗。
第四实施例
针对本发明第一实施例和第二实施例存在的问题,本发明第四实施提出了一种发送上行数据的方法,可以应用于与UE连接的接入网网元中,本发明第四实施例中,从接入网网元的角度对处理上行数据的方法进行示例性说明。
图4示出了本发明实施例处理上行数据的方法的流程图,可以包括:
步骤41:接入网网元向UE发送指示信息,以指示UE进入或保持在无线资源控制RRC非活动状态。
步骤42:接入网网元在接收到来自UE的上行数据后,根据UE的当前驻留小区的和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理。
这里,可以采用如下两种方式来实现本发明第四实施例。
方式1:
接入网网元在向UE发送指示信息时,确定UE上一次进入RRC非活动状态时所在小区的安全区域标识,并向UE发送携带有NCC的信令;每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
相应地,所述根据UE的当前驻留小区和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理,包括:
在UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识相同时,接入网网元采用UE上一次使用的安全秘钥对所述上行数据进行解密和/或完整性保护处理;
在UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,接入网网元根据向UE发送的信令中携带的NCC,得出对应的安全秘钥,采用对应的安全秘钥对上行数据进行解密和/或完整性保护处理。
这里,所述携带有NCC的信令包括以下至少之一:RRC连接释放消息、RRC连接恢复消息、MAC CE。
在实际实施时,小区的安全区域标识可以按照如下方式之一确定的:
将同一个接入网网元下属的各个小区分配相同的安全区域标识;
将同一个接入网网元下属的部分小区分配相同的安全区域标识,不同接入网网元的小区被分配不同的安全区域标识;这里,对于同一个接入网网元下属的其他小区所分配的安全区域标识并不进行限制,其他小区为同一个接入网网元下属的所有小区中除去分配有相同的安全区域标识的小区外的小区。
将不同接入网网元的小区分配相同的安全区标识。
进一步地,在接入网网元在接收到来自UE的上行数据后,在UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同,且确定UE的服务网元和anchor网元不同时,接入网网元通知anchor网元将向UE发送的NCC发送至服务网元,或者,通知anchor网元将向UE发送的NCC对应的安全秘钥发送至服务网元;所述UE的服务网元为UE的当前驻留小区所在网元,所述UE的anchor网元为UE上一次进入RRC非活动状态时所在小区的所在网元。
可选地,在接入网网元在接收到来自UE的上行数据后,在UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同,且确定UE的服务网元和anchor网元不同时,服务网元通知anchor网元根据UE上一次使用的安全秘钥计算UE认证信息;或者,服务网元根据更新的安全秘钥计算UE认证信息;
所述更新的安全秘钥为服务网元接收的来自anchor网元的安全秘钥,或者,所述更新的安全秘钥为服务网元根据来自anchor网元的NCC确定的安全秘钥。
在实际实施时,服务网元可以根据来自anchor网元的安全秘钥计算UE认证信息;或者,服务网元根据来自anchor网元的的NCC,得出更新的安全秘钥,根据更新的安全秘钥计算UE认证信息。
方式2:
所述根据UE的当前驻留小区和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理,包括:
在UE的服务网元和anchor网元相同时,采用UE上一次使用的安全秘钥对上行数据进行解密和/或完整性保护处理;
在UE的服务网元和anchor网元不同时,按照设定方式处理所述上行数据;其中,所述设定方式为以下的一种数据处理方式:
丢弃所述上行数据;
由服务网元将所述上行数据发送至anchor网元,通知anchor网元对所述上行数据进行用户面协议处理;
服务网元对所述上行数据进行用户面协议处理。
可选地,所述anchor网元对所述上行数据进行用户面协议处理,包括:
在确定所述上行数据包含一个完整的分组数据汇聚协议服务数据单元PDCP SDU时,采用UE上一次使用的安全秘钥对所述PDCP SDU进行解密和/或完整性保护处理。
可选地,在采用UE上一次使用的安全秘钥对所述PDCP SDU进行解密和/或完整性保护处理后,所述方法还包括:
接入网网元对所述上行数据按照以下的一种处理方式进行处理:
在所述上行数据包含一个完整的PDCP SDU时,anchor网元将所述PDCP SDU发送至核心网;
在所述上行数据包含一个完整的PDCP SDU时,anchor网元将所述PDCP SDU通过二者之间的用户面连接发送给服务网元;
在所述上行数据包含一个完整的PDCP SDU时,anchor网元将所述PDCP SDU通过后续的path switch过程发送给服务网元。
可选地,在anchor网元对所述上行数据进行的用户面协议处理完成后,anchor网元还可以通知服务网元所述上行数据的处理过程结束。
可选地,所述服务网元对所述上行数据进行用户面协议处理,包括:
在确定所述上行数据包含一个完整的PDCP SDU时,采用UE上一次使用的安全秘钥对所述PDCP SDU进行解密和/或完整性保护处理。
进一步地,所述服务网元对所述上行数据进行用户面协议处理,还包括:
在所述上行数据的RLC协议头携带有状态报告(status report)的轮询(polling)指示,则服务网元发送一个RLC status report到UE,所述RLC status report用于指示服务网元是否正确完整的接收所述上行数据。
可选地,在确定UE的服务网元和anchor网元不同时,还可以由服务网元将至少包括UE认证信息的消息发送至anchor网元,并通知anchor网元根据UE上一次使用的安全秘钥对UE进行认证检验;
在确定UE的服务网元和anchor网元相同时,由服务网元根据UE上一次使用的安全秘钥对UE进行认证检验。
可选地,在anchor网元对UE进行的认证检验通过时,anchor网元还可以将UE的上下文信息发送至服务网元,所述UE的上下文信息携带有一个NCC以及由所述由此NCC派生的秘钥K*;
所述服务网元接收到所述UE的上下文信息时,根据所述UE的上下文信息为UE在服务网元建立相应的上下文以及相应的用户面实体。
这里,所述UE的上下文信息可以包括:UE的每个DRB的上行的PDCP COUNT值和/或UE的每个DRB的下行的PDCP COUNT值;
相应地,在根据所述UE的上下文信息为UE在服务网元建立相应的上下文以及相应的用户面实体时,根据所述UE的上下文信息包括的PDCP COUNT值,设置相应的PDCP实体的上行COUNT值和/或下行COUNT值。
在按照设定方式处理所述上行数据后,接入网网元还可以向UE发送携带有NCC的消息,以使UE根据所接收到的消息进行上行数据处理。
第五实施例
在本发明第三实施例和第四实施例的基础上,本发明第五实施例从接入网网元和UE交互的角度说明上行数据的发送、处理方法。
本发明第五实施例中,提出了一个基于安全区域的上行数据发送、处理方法,在相同的安全区域使用相同的秘钥,不同的安全区域使用新的秘钥。
本发明第五实施例提出的方法可以通过以下步骤进行描述:
S301:接入网网元在小区系统消息中标识安全区域标识。该安全区域标识标识一组小区,这一组小区属于同一个接入网网元,或属于多个接入网网元,且归属于同一个安全区域。
S302:接入网网元通过发送RRC连接释放消息或RRC连接拒绝消息,指示UE从RRC连接态释放到RRC非活动状态时,或通过向UE发送RRC连接恢复消息消息或MAC CE,以指示UE停止在RRC非活动状态收发数据时,向UE指示一个的NCC,称为new NCC。
UE可以保存接收的New NCC,并保存当前接收接入网网元的消息时所在小区(称为old cell)的安全区域标识和标识信息。
这里,接入网网元在向UE发送消息时,同时更新UE的上下文,记录发送给UE的newNCC和old cell信息。
S303:UE发起RRC连接恢复请求,或RRC非活动状态发送上行数据过程,具体说明如下:
如果UE发送message1或message3以发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,若UE当前驻留小区的安全区域标识(称为current Seurity Area ID),和S302中的保存的安全区域标识(UE上一次进入RRC非活动状态时所在小区的安全区域标识)相同,则表明UE当前小区与UE被释放到RRC非活动状态或UE被指示停止在RRC非活动状态收发数据时的小区属于同一个安全区域。
UE在RRC连接恢复请求消息,或发送接入网的message 3(基于4步随机接入过程)或message 1(基于2步随机接入过程)中,如果需要携带UE认证信息,则使用UE上次使用(上下文中保存的)的信令完整性保护或信令加密秘钥计算UE认证信息;如果在message 3或message 1中携带上行数据,使用上次使用的数据加密秘钥对数据进行加密处理,和/或,使用上次使用的数据完整性保护秘钥对数据进行完整性保护处理。
若UE当前驻留小区的安全区域标识,和S302中的保存的安全区域标不同,在message 3(基于4步随机接入过程)或message 1(基于2步随机接入过程)中携带UE认证信息时,UE使用S302中接收的new NCC派生出的信令完整性保护秘钥计算UE认证信息,或使用上一次使用的信令完整保护秘钥计算UE认证信息;如果在message 3或message 1中携带上行数据,则UE使用new NCC派生出的数据加密秘钥对数据进行加密处理,和/或,使用newNCC派生出的数据完整性保护秘钥对进行数据完整性保护处理。
S304:接入网网元接收到UE发送的messge 1(基于2步随机接入过程)或message 3(基于4步随机接入过)后,
当UE的old cell和当前小区属于同一个安全区域时,接入网网元使用UE上一次使用(UE上下文中保存的)的秘钥对UE的数据和信令进行处理。
如果UE的old cell和当前小区不属于同一个安全区域时,接入网网元使用在S302中,在UE上下文保存的new NCC派生出的秘钥对UE的数据和信令进行处理。如果此时UE的服务网元和anchor网元为不同的接入网网元时,anchor网元通过消息,例如UE上下文获取回应消息(UE context retrieve response),将上述的new NCC,和/或,由所述new NCC派生出的秘钥,发送给服务网元。在这种情况下,如果预设UE使用上一次使用的信令完整性保护秘钥计算UE认证信息,则计算UE认证信息的过程在anchor网元进行(即UE的认证信息被发送到anchor网元进行处理),否则,计算UE认证信息的过程在服务网元进行(即UE的认证信息在服务网元使用new NCC派生的信令完整性保护秘钥进行处理)。
这里,可以采用如下的方式之一划分所述的安全区域:
1.将同一个接入网网元下属的小区分配相同的安全区域标识
2.将同一个接入网网元下属的部分小区分配相同的安全区域标识,不同接入网网元的小区不分配相同的安全区域标识
3.不同接入网网元的小区可分配为相同的安全区域标识
需要说明的是,所述的安全区域也可以是别的名字,其本质为UE在相同的安全区域内可以使用相同的安全秘钥。
采用本发明第五实施例的方法,可以带来如下效果:
通过标识小区的安全区域标识,UE得以识别是否需要使用新的秘钥,如果需要使用新的秘钥,则UE使用上一次接入网分配给UE的NCC派生出的新的秘钥;如果不需要,则UE继续使用上一次使用的秘钥。通过这种方法,避免了UE在不需要更新秘钥的情况下重新派生新秘钥带来的浪费,且满足了在上述场景的通信安全的要求,即在新的网元或PDCP实体下使用新的秘钥对数据进行加密的要求。
需要说明的是,本发明各实施例中,所述上一次使用的秘钥,是指UE在上一次在RRC连接态,或RRC非活动状态收发数据时使用的秘钥,也即UE进入RRC非活动状态时其上下文中保存的秘钥。
第六实施例
在本发明第三实施例和第四实施例的基础上,本发明第六实施例从接入网网元和UE交互的角度说明上行数据的发送、处理方法。
本发明第六实施例中,可以首先采用原始的安全秘钥对数据进行处理,如果需要更新秘钥,则UE重新发送使用原始的安全秘钥处理的数据。
本发明第六实施例提出的方法可以通过以下步骤进行描述:
S401:接入网网元指示UE进入或保持在RRC非活动状态
接入网网元通过信令,例如RRC连接释放消息、RRC连接恢复消息或一个MAC CE,指示UE进入RRC非活动状态,或指示UE停止在RRC非活动状态收发数据和信令。
接入网网元和UE保存该UE的AS层上下文,AS层上下文至少包括AS层的安全上下文、UE被释放到RRC非活动状态前的小区信息、UE被释放到RRC非活动状态时前分配的C-RNTI;其中UE的安全上下文包括信令和数据的加密秘钥(encryption key),以及信令和数据的完整性保护秘钥(integrity protection key),以及相应的安全算法(securityalgorithm)。
可选地,接入网网元在这个过程中发送给UE一个新的NCC,称为new NCC。
S402:UE发起RRC连接恢复请求,或RRC非活动状态发送上行数据。
在具体实施时,UE可以在发送的message 1(基于2步随机接入过程)或message 3(基于4步随机接入过程),携带如下信息:UE的标识(UE context ID,或者UE resume ID),用于标识UE在接入网的上下文;
可选地,UE还可以在message 1或message 3携带如下至少一种信息:
UE的认证信息,即一个Short MAC-I;
上行数据;
UE发起RRC连接恢复请求,或RRC非活动状态发送上行数据的原因信息
UE的上行数据缓冲区中的数据大小信息(可以采用缓冲状态包括(Buffer StatusReport,BSR)的形式进行发送)。
在上述信息中,UE的标识、UE认证信息、发起的原因信息等可以通过一个RRC消息进行发送,例如可以是RRC连接恢复请求消息,或MAC CE的形式。
其中,如果message 1或message 3中携带UE认证信息,则UE使用在S401中UE保存的AS上下文中的信令完整性保护秘钥计算所述的UE认证信息。
其中,如果message 1或message 3中携带上行数据,则UE使用S401中UE保存的AS层上下文中的数据加密秘钥进行加密处理,和/或,使用S401中UE保存的AS层上下文中的数据完整性保护秘钥进行完整性保护处理。
S403:接入网网元认证UE身份,并回应RRC连接恢复消息或一个MACCE。
接入网元网元接收到上述的message 1或message 3,首先确定UE上下文所在的接入网网元,即UE的anchor网元。
如果UE的anchor网元为当前接收到message 1或message 3的网元,即anchor网元为服务网元,则当前的服务网元使用UE上下文中保存的信令完整性保护秘钥对UE的认证信息进行检验,使用UE上下文中保存的数据加密秘钥对上述消息中携带的上行数据进行解密处理,以及使用UE上下文中保存的数据完整性保护秘钥对上述消息中携带的上行数据进行完整性保护检验处理。
如果UE的anchor网元不同于UE的服务网元,则所述服务网元发送消息到UE的anchor网元,所述消息中包括UE的认证信息、UE的标识、当前UE的小区等信息等;所述UE的anchor网元使用保存的UE上下文中的信令完整性保护秘钥对UE进行认证检验;如果检验通过,则所述的anchor网元发送信令到所述的服务网元,在该信令中包含有UE的上下文信息,并在UE的上下文信息中指示一个NCC,以及由此NCC派生的秘钥K*。
服务网元接收到来自anchor网元的信息后,为UE在服务网元建立相应的上下文以及相应的用户面实体,所述用户面实体至少包括UE部分或全部的SRB或DRB的PDC实体。
可选地,UE的上下文信息中包含UE每个DRB的上行和/或下行的PDCP COUNT值;相应地,服务网元接收到来自anchor网元的信息后,将所述DRB的PDCP实体的COUNT值按照上述anchor网元发送给服务网元的上下文信息中的值进行设置。
可选地,如果在S402中携带有上行数据,则服务网元不处理该上行数据,即丢弃该上行数据。
S404:服务网元发送消息到UE
这里,服务网元发送一个RRC消息,或者MAC CE到UE。
可选的,此消息中携带一个新的NCC值,在这里称为NCC1。所述的NCC1为上述S403中anchor网元发送给服务网元的NCC,或者,此消息指示UE使用上一次发送给UE的(步骤S401中发送给UE1的)new NCC。
在服务网元发送给UE的RRC消息或者MAC CE中,携带有网络认证信息,如果服务网元发送给UE的为RRC消息,则该网络认证信息为承载所述RRC消息的PDCP层MAC-I,如果服务网元发送给UE的为MAC CE,则该网络认证信息为一个short MAC-I。
UE检查所述的NCC1或new NCC与UE上一次使用的秘钥所对应的NCC的值(这里称为old NCC),如果相同,则UE继续使用old NCC派生的秘钥用于后续的数据和信令的加密和/或完整性保护。此时UE更新的秘钥为old NCC派生出的秘钥。
如果所述的NCC1或new NCC与所述的old NCC不同,则UE根据new NCC派生出新的秘钥,包括信令完整性保护秘钥和加密秘钥,数据的加密秘钥。可选的,还包括数据的完整性保护秘钥。此时,UE更新的秘钥为new NCC派生出的秘钥。
进一步地,UE还可以使用上述更新的信令完整性保护秘钥对网站认证信息进行检验。如果服务网元发给UE为一个RRC消息,则UE检验承载该RRC消息的PDCP层MAC-I,如果服务网元发送给UE的为一个MAC CE,则UE检验所述的网络认证信息short MAC-I。
可选的,服务网元还发送给UE上行调度资源的信息,该上行调度资源用于UE重新发送message1或message3中携带的上行数据,以及发送UE上行数据缓冲区的上行数据。
S405:UE重新发送在message 1或message 3中发送的上行数据
如果在上述S402中的message 1或message 3中携带有上行数据,且在上述S404中UE接收到的new NCC不同于UE的old NCC,或在上述S404中服务网元指示UE重新发送数据,或在上述S404中服务网元指示UE重建RLC和/或PDCP实体,则UE使用上述的更新的数据加密秘钥对所述的上行数据进行加密处理,可选的,还用上述的更新的数据完整性保护秘钥对所述的上行数据进行完整性保护处理,并重新发送所述上行数据。
可选地,UE通过如下的方法重新发送上行数据:
UE重建DRB和SRB的RLC实体(RLC re-establishment),即UE对该RLC实体进行复位,包括该RLC实体的定时器、各个变量(variables),丢弃接收端和发送端的所有的RLCSDU和RLC PDU。
以及,UE重建DRB和SRB的PDCP实体(PDCP re-establishment):
下面说明重建PDCP实体的两个示例
1)针对映射到RLC AM模式的DRB的PDCP实体
可选地,针对映射到RLC AM模式的DRB的PDCP实体,对该PDCP实体的发送端COUNT值设置为0,即设置Next_PDCP_TX_SN的值为0,以及TX_HFN的值为0;并重新设置已经分配了PDCP SN的PDCP SDU的COUNT值,即将所述的PDCP SDU按照原有顺序,从COUNT等于0开始,依次为所述的PDCP SDU分配PDCP COUNT值。
可选地,在重建映射到RLC AM模式的DRB的PDCP实体时,可以保持已经分配了PDCPSN的PDCP SDU的COUNT值不变。
在重建映射到RLC AM模式的DRB的PDCP实体时,UE对所有分配了PDCP SN的PDCPSDU,使用上述更新的数据加密秘钥对PDCP SDU进行加密处理,另外,还可以使用上述更新的数据完整性保护秘钥对PDCP SDU进行完整性保护处理。并按照所述PDCP SDU的COUNT值的升序(ascending order),依次发送给下层用户面实体;其中,所有分配了PDCP SN的PDCPSDU包括已经发送给下层用户面实体但还没有收到下层用户面实体确认的PDCP SDU。
2)针对映射到RLC UM模式的DRB的PDCP实体
可选的,对所述PDCP实体的发送端COUNT值设置为0,并重新设置已经分配了PDCPSN的PDCP SDU的COUNT值,即将所述的PDCP SDU按照原有顺序,从PDCP SN等于0开始,依次分配PDCP SN值;可选地,UE保持所述PDCP实体的发送端COUNT值不变。
可选地,UE对在所述的message1或message 3中发送的PDCP SDU,或在上述message 1或message 3中发送了其部分分片的PDCP SDU,UE使用上述更新的数据加密秘钥对这些PDCP SDU重新加密处理,可选地,使用上述更新的数据完整性保护秘钥对PDCP SDU进行完整性保护处理。UE将上述的PDCP SDU并发送到下层用户面实体。
在本实施例中,对在message1或message3中发送到下层协议实体的PDCP SDU,UE仅在如下之一的情况下丢弃(discard):
1.对映射到RLC AM的DRB的PDCP实体
UE在接收到下层协议实体的确认(ACK)后;
或者,UE在接收到S404中接入网发送的消息指示UE可以丢弃所述的PDCP SDU时;
或者,在为所述的DPCP SDU设置的丢弃定时器超时时;
2.对映射到RLC UM的DRB的PDCP实体
UE接收到S404中接入网发送的消息,显式或隐式的指示UE可以丢弃所述的DPCPSDU时;
或者,在为所述的PDCP SDU的丢弃定时器超时时。
采用本发明第五实施例的方法,可以带来如下效果:
UE在发起RRC连接恢复请求,或者在RRC非活动状态发送上行数据时,使用上一次使用的秘钥进行对数据和信令进行安全处理。只有当接入网决定UE需要更新秘钥时,发送信令指示UE派生新的安全秘钥,或指示UE使用保存的NCC派生新的秘钥用于后续的安全处理。在此同时,接入网网元通过显示或隐式的手段指示UE重新发送使用了原始安全秘钥的上行数据。这样在大部分不需要更新秘钥的场景下,UE不需要重新发送message 1或message 3中的数据,避免了UE每次发起上述过程的时候需要更新秘钥的问题,而且带来的重新发送数据的代价在可以接受的范围内。
第七实施例
在本发明第三实施例和第四实施例的基础上,本发明第六实施例从接入网网元和UE交互的角度说明上行数据的发送、处理方法。
本发明第六实施例中,可以首先采用原始的安全秘钥对数据进行处理,如果需要更新秘钥,则UE重新发送使用原始的安全秘钥处理的数据。
本发明第六实施例提出的方法可以通过以下步骤进行描述:
S501:本步骤的实现方式与S401的实现方式相同,这里不再赘述。
S502:本步骤的实现方式与S402的实现方式相同,这里不再赘述。
S503:本步骤的实现方式与S403的实现方式基本相同,其区别点在于,接入网网元对上行数据的处理方式,下面进行具体说明。
如果message 1或message 3中还携带有UE的上行数据,则服务网元将所述的上行数据发送给anchor网元;anchor网元对所述的上行数据进行用户面协议处理。
在anchor网元对所述的上行数据进行用户面协议处理时,如果上行数据包含一个完整的PDCP SDU,则anchor网元使用UE上下文中保存的数据加密秘钥对所述的PDCP SDU进行解密处理,可选地,anchor网元使用UE上下文中保存的数据完整性保护秘钥对所述的PDCP SDU进行完整性保护验证。
随后,anchor网元还可以对所述的上行数据按照以下的一种方式进行处理:
如果上行数据中包含一个完整的PDCP SDU,则anchor网元将此PDCP SDU发送给核心网。
如果上行数据包含一个完整的PDCP SDU,则anchor网元将此PDCP SDU通过二者之间的用户面连接发送给服务网元。
如果上行数据包含一个完整的PDCP SDU,但因为PDCP层按序递交的要求不能发送给核心网,则anchor网元将此PDCP SDU通过后续的path switch过程发送给服务网元。
可选地,Anchor网元在发送给服务网元的消息中,指示对上述上行数据的处理结果。
S504:本步骤的实现方式与S404相同,这里不再赘述。
S505:UE重建RLC和PDCP实体。
如果在S504中UE接收的NCC不同于UE上一次使用的秘钥所对应的NCC的值(这里称为old NCC),或者,在S504中服务网元指示UE重建RLC和/或PDCP实体,则UE重建RLC和PDCP实体。
这里,UE重建RLC和PDCP实体的实现方式与S405中UE重建RLC和PDCP实体的实现方式的相同,这里不再赘述。
在本实施例中,对在message1或message3中发送到下层协议实体的PDCP SDU,UE仅在如下之一的情况下丢弃(discard):
1.对映射到RLC AM的DRB的PDCP实体
UE在接收到下层协议实体的确认(ACK)后;
或者,UE在接收到S504中接入网发送的消息指示UE可以丢弃所述的PDCP SDU时;
或者,在为所述的DPCP SDU设置的丢弃定时器超时时;
2.对映射到RLC UM的DRB的PDCP实体
UE接收到S504中接入网发送的消息,显式或隐式的指示UE可以丢弃所述的DPCPSDU时;
或者,在为所述的PDCP SDU的丢弃定时器超时时。
采用本发明第六实施例的方法,可以带来如下效果:
通过本实施例的方法,UE在新的服务网元下使用原始的安全秘钥,对message1或message3中的上行数据进行加密和完整性保护,服务网元将收到的上行数据发送给anchor网元,并由anchor网元对所述的上行数据进行用户面处理。如果该上行数据包完整的PDCPSDU,则anchor网元对其进行解密和完整性保护验证,并可选择发送给核心网,或者发送回服务网元(通过直接接口,或者path switch过程),如果上行数据不包含完整的PDCP SDU,或包含有PDCP SDU的分片,则该分片将被anchor网元丢弃;而后续UE进行RLC实体和PDCP实体重建之后,UE将重新发送被丢弃的这部分数据(即UE在PDCP重建时将重新发送这些没有得到接收端确认的PDCP SDU)。
通过上述的过程,UE避免了每次发起RRC连接恢复,或RRC非活动状态发送上行数据过程需要更新安全秘钥的问题,并且避免了上行数据为完整的PDCP SDU的情况下,在服务网元和anchor网元为不同网元时重新发送这个完整的PDCP SDU的需要。
第七实施例
在本发明第三实施例和第四实施例的基础上,本发明第七实施例从接入网网元和UE交互的角度说明上行数据的发送、处理方法。
本发明第七实施例中,可以首先采用原始的安全秘钥对数据进行处理,在anchor网元与服务网元不同时,anchor网元向服务网元发送原始的安全秘钥。
本发明第五实施例提出的方法可以通过以下步骤进行描述:
S601:本步骤的实现方式与S401的实现方式相同,这里不再赘述。
S602:本步骤的实现方式与S402的实现方式相同,这里不再赘述。
S603:接入网网元认证UE身份,并回应RRC连接恢复消息或一个MAC CE。
接入网元网元接收到上述的message 1或message 3,首先确定UE上下文所在的接入网网元,即UE的anchor网元。
如果UE的anchor网元为当前接收到message 1或message 3的网元,即anchor网元为服务网元,则当前的服务网元使用UE上下文中保存的信令完整性保护秘钥对UE的认证信息进行检验,使用UE上下文中保存的数据加密秘钥对上述消息中携带的上行数据进行解密处理,以及使用UE上下文中保存的数据完整性保护秘钥对上述消息中携带的上行数据进行完整性保护检验处理。
如果UE的anchor网元不同于UE的服务网元,则所述服务网元发送消息到UE的anchor网元,所述消息中包括UE的认证信息、UE的标识、当前UE的小区等信息等;所述UE的anchor网元使用保存的UE上下文中的信令完整性保护秘钥对UE进行认证检验;如果检验通过,则所述的anchor网元发送信令到所述的服务网元,在该信令中包含有UE的上下文信息,并在UE的上下文信息中指示一个NCC,以及由此NCC派生的秘钥K*。
服务网元接收到来自anchor网元的信息后,为UE在服务网元建立相应的上下文以及相应的用户面实体,所述用户面实体至少包括UE部分或全部的SRB或DRB的PDC实体。
可选地,UE的上下文信息中包含UE每个DRB的上行和/或下行的PDCP COUNT值;相应地,服务网元接收到来自anchor网元的信息后,将所述DRB的PDCP实体的COUNT值按照上述anchor网元发送给服务网元的上下文信息中的值进行设置。
可选地,UE的anchor网元不同于UE的服务网元时,anchor网元还可以将UE上下文中保存的UE的数据加密秘钥和/或UE的数据完整性保护秘钥发送给服务网元。
服务网元接收到相应安全秘钥后,为UE在服务网元建立相应的上下文以及相应的用户面实体(包括RLC和PDC实体)。
可选地anchor网元在发送给服务网元的UE上下文信息中还包含DRB的PDCP的上行和/或下行COUNT值,服务网元按照UE上下文中的PDCP的COUNT值设置相应的PDCP实体的上行和/或下行COUNT值。
S604:服务网元对上行数据进行用户面协议处理。
示例性地,如果上行数据包含一个完整的PDCP SDU,则对服务网元对该PDCP SDU使用UE上下文保存的数据加密秘钥进行解密处理,可选地,服务网元对该PDCP SDU使用上述UE上下文保存的数据完整性保护秘钥进行完整性保护验证处理。
如果接收到的上行数据的RLC协议头指示了status report的polling指示,则服务网元发送一个RLC status report到UE,该RLC status report指示服务网元是否正确完整的接收了所述上行数据。
S605:服务网元发送消息到UE
这里,服务网元发送一个RRC消息,或者MAC CE到UE。
可选的,此消息中携带一个新的NCC值,在这里称为NCC1。所述的NCC1为上述S603中anchor网元发送给服务网元的NCC,或者,此消息指示UE使用上一次发送给UE的(步骤S601中发送给UE1的)new NCC。
在服务网元发送给UE的RRC消息或者MAC CE中,携带有网络认证信息,如果服务网元发送给UE的为RRC消息,则该网络认证信息为承载所述RRC消息的PDCP层MAC-I,如果服务网元发送给UE的为MAC CE,则该网络认证信息为一个short MAC-I。
UE检查所述的NCC1或new NCC与UE上一次使用的秘钥所对应的NCC的值(这里称为old NCC),如果相同,则UE继续使用old NCC派生的秘钥用于后续的数据和信令的加密和/或完整性保护。此时UE更新的秘钥为old NCC派生出的秘钥。
如果所述的NCC1或new NCC与所述的old NCC不同,则UE根据new NCC派生出新的秘钥,包括信令完整性保护秘钥和加密秘钥,数据的加密秘钥。可选的,还包括数据的完整性保护秘钥。此时,UE更新的秘钥为new NCC派生出的秘钥。
进一步地,UE还可以使用上述更新的信令完整性保护秘钥对网站认证信息进行检验。如果服务网元发给UE为一个RRC消息,则UE检验承载该RRC消息的PDCP层MAC-I,如果服务网元发送给UE的为一个MAC CE,则UE检验所述的网络认证信息short MAC-I。
S606:UE重建PDCP实体与RLC实体。
如果在S604中UE接收的NCC不同于UE上一次使用的秘钥所对应的NCC的值(这里称为old NCC),或者,在S604中服务网元指示UE重建RLC和/或PDCP实体,则UE重建RLC和PDCP实体。
这里,UE重建RLC和PDCP实体的实现方式与S405中UE重建RLC和PDCP实体的实现方式的相同,这里不再赘述。
在本实施例中,对在message1或message3中发送的DRB数据,即上行PDCP SDU,UE仅在如下之一的情况下丢弃(discard):
1.对映射到RLC AM的DRB的PDCP实体
UE在接收到PDCP ACK后;
或者,UE在接收到S604中接入网发送的消息指示UE可以丢弃所述的PDCP SDU时;
或者,在为所述的DPCP SDU设置的丢弃定时器超时时;
2.对映射到RLC UM的DRB的PDCP实体
UE接收到S604中接入网发送的消息,显式或隐式的指示UE可以丢弃所述的DPCPSDU时;
或者,在为所述的PDCP SDU的丢弃定时器超时时。
采用本发明第七实施例的方法,可以带来如下效果:
通过本实施例的方法,对message 1或message 3中携带的上行数据采用原始安全秘钥(old key)进行加密和完整性保护,如果服务网元不同于anchor网元时,anchor网元将保存在UE上线文中的old key发送给服务网元,服务网元使用old key对接收到的message1或message 3中携带的数据进行解密和/或完整性保护检验处理;如此,避免了UE在更新秘钥后重新发送实际已经发送成功的PDCP SDU的要求,服务网元同时发送给UE新的new NCC以更新UE的秘钥,UE在更新秘钥的同时,可以重建其RLC和PDCP实体,以保证更新秘钥前后的数据发送的连续性。
第八实施例
本发明第八实施例提出了一种UE对接入网网元的认证方法。
图5示出了本发明实施例UE对接入网网元的认证方法的流程图,如图5所示,该流程可以包括:
步骤51:UE接收来自接入网网元的消息,所述来自接入网网元的消息为RRC消息或MAC CE,所述来自接入网网元的消息中携带有网络认证信息;
步骤52:UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
可选地,所述来自接入网网元的消息为RRC消息时,所述网络认证信息为承载所述RRC消息的PDCP层的MAC-I;所述来自接入网网元的消息为MAC CE时,所述网络认证信息为一个短short MAC-I。
可选地,所述网络认证信息为一个short MAC-I时,UE对所述网络认证信息进行检验时所需的参数包括:UE当前用于进行信令完整性保护的秘钥、一组用于计算所述shortMAC-I的数据、PDCP层设置的计数COUNT值、PDCP层设置的承载标识BEARID的值以及PDCP层设置的方向DIRECTION的值;
这里,一组用于计算所述short MAC-I的数据可以包括以下至少之一:UE当前的小区标识信息、UE的初始小区信息、UE的标识信息。
这里,UE当前的小区标识信息可以包括以下至少一项:小区ID、PCI、小区频点信息;UE的初始小区信息为:UE在上一次被迁移到RRC非活动状态,或在RRC非活动状态发送数据过程中被指示停止接收下行控制信道(例如PDCCH)),或在RRC非活动状态发送数据过程中被指示回到RRC非活动状态时所在的小区的信息。在实际实施时,UE的初始小区信息可以包括以下至少一项:小区的PCI、小区频点信息、UE在该小区被分配的C_RNTI,UE在上述过程(与接入网网元)中被接入网网元指示的一个数值(例如一个随机数、或时间值);UE的标识信息可以是UE的上下文ID(UE context ID)或UE resume ID。COUNT值、BEARID值以及DIRECTION值均可以设置为二进制的全0数据或二进制的全1数据。
在实际实施时,在发送基于2步随机接入过程的message2或基于4步随机接入过程的message4后,接入网网元可以在发送给UE的下行消息中,携带上述记载的网络认证信息。
这里,本发明实施例并不对计算所述short MAC-I的算法进行限制,例如,可以为UE上下文中保存的信令完整性保护算法
UE当前用于进行信令完整性保护的秘钥可以包括:UE上下文中保存的完整性保护秘钥,或者根据message2(在2步随机接入过程中)或message4(在4步随机接入过程)中指示的new NCC派生出新的完整性保护秘钥、或者UE根据接入网上一次RRC非活动状态发送数据过程中指示UE的new NCC派生出的完整性保护秘钥。
第九实施例
在本发明第一实施例至第七实施例的基础上,本发明第九实施例提出了一种发送上行数据的装置,所述装置位于与接入网网元连接的UE中。
图6为本发明实施例发送上行数据的装置的组成结构示意图,如图6所示,该装置可以包括:通知模块601和第一处理模块602;其中,
通知模块601,用于在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,通知第一处理模块;
第一处理模块602,用于在收到通知后,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
可选地,所述通知模块601,还用于在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定不满足UE使用更新的安全秘钥的条件时,通知第一处理模块;
相应地,所述第一处理模块602,还用于采用UE上一次使用的安全秘钥对上行数据进行处理。
可选地,所述通知模块601,还用于获取UE上一次进入RRC非活动状态时所在小区的安全区域标识,每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
所述通知模块601,还用于在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在UE当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,确定满足UE使用更新的安全秘钥的条件。
可选地,所述通知模块601,还用于在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,通知第一处理模块;
所述第一处理模块602,具体用于首先采用上一次使用的安全秘钥对上行数据和/或信令进行处理,在将处理后的上行数据和/或信令发送至接入网网元后,接收到来自接入网网元的消息时,若确定所述来自接入网网元的消息包括NCC,且所述来自接入网网元的消息包括的NCC不同于UE上一次使用的安全秘钥对应的NCC,确定满足UE使用更新的安全秘钥的条件;或者,
在将处理后的上行数据和/或信令发送至接入网网元后,UE接收到来自接入网网元的消息时,若确定来自接入网网元的消息包括特定指示信息时,确定满足UE使用更新的安全秘钥的条件;其中,所述特定指示信息用于指示UE执行如下至少一项操作:重新发送所述上行数据、重建RLC实体、重建PDCP实体、使用更新的安全秘钥;
所述来自接入网网元的消息为RRC消息或MAC CE。
另外,在本实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或processor(处理器)执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
具体来讲,本实施例中的一种发送上行数据的方法对应的计算机程序指令可以被存储在光盘,硬盘,U盘等存储介质上,当存储介质中的与一种发送上行数据方法对应的计算机程序指令被一电子设备读取或被执行时,包括如下步骤:
利用UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
可选地,存储介质中还可以存储执行如下步骤的指令:
利用UE在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定不满足UE使用更新的安全秘钥的条件时,采用UE上一次使用的安全秘钥对上行数据进行处理。
可选地,存储介质中还可以存储执行如下步骤的指令:
利用UE获取自身上一次进入RRC非活动状态时所在小区的安全区域标识,每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
利用UE在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在UE当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,确定满足UE使用更新的安全秘钥的条件。
可选地,存储介质中还可以存储执行如下步骤的指令:
利用UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,采用上一次使用的安全秘钥对上行数据和/或信令进行处理,
在将处理后的上行数据和/或信令发送至接入网网元后,接收到来自接入网网元的消息时,若确定所述来自接入网网元的消息包括NCC,且所述来自接入网网元的消息包括的NCC不同于UE上一次使用的安全秘钥对应的NCC,确定满足UE使用更新的安全秘钥的条件;或者,
在将处理后的上行数据和/或信令发送至接入网网元后,UE接收到来自接入网网元的消息时,若确定来自接入网网元的消息包括特定指示信息时,确定满足UE使用更新的安全秘钥的条件;其中,所述特定指示信息用于指示UE执行如下至少一项操作:重新发送所述上行数据、重建RLC实体、重建PDCP实体、使用更新的安全秘钥;
所述来自接入网网元的消息为RRC消息或MAC CE。
基于前述实施例相同的技术构思,参见图7,其示出了本发明实施例提供的一种发送上行数据的设备70,可以包括:第一通信接口701、第一存储器702、第一处理器703和第一总线704;其中,
所述第一总线704用于连接所述第一通信接口701、所述第一处理器703和所述第一存储器702以及这些器件之间的相互通信;
所述第一通信接口701,用于与外部网元进行数据传输;
所述第一存储器702,用于存储指令和数据;
所述第一处理器703执行所述指令用于:利用UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
在实际应用中,上述第一存储器702可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatilememory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,Hard Disk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向第一处理器703提供指令和数据。
上述第一处理器703可以为特定用途集成电路(ASIC,Application SpecificIntegrated Circuit)、数字信号处理器(DSP,Digital Signal Processor)、数字信号处理装置(DSPD,Digital Signal Processing Device)、可编程逻辑装置(PLD,ProgrammableLogic Device)、现场可编程门阵列(FPGA,Field Programmable Gate Array)、中央处理器(CPU,Central Processing Unit)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述第一处理器功能的电子器件还可以为其它,本发明实施例不作具体限定。
示例性地,所述第一处理器703,具体还可以用于:
在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定不满足UE使用更新的安全秘钥的条件时,采用UE上一次使用的安全秘钥对上行数据进行处理。
示例性地,所述第一处理器703,具体可以用于:
获取UE上一次进入RRC非活动状态时所在小区的安全区域标识,每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
所述第一处理器703,具体还可以用于在利用UE发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在UE当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,确定满足UE使用更新的安全秘钥的条件。
示例性地,所述第一处理器703,具体还可以用于:
在利用UE发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,采用上一次使用的安全秘钥对上行数据和/或信令进行处理;
在将处理后的上行数据和/或信令发送至接入网网元后,接收到来自接入网网元的消息时,若确定所述来自接入网网元的消息包括NCC,且所述来自接入网网元的消息包括的NCC不同于UE上一次使用的安全秘钥对应的NCC,确定满足UE使用更新的安全秘钥的条件;或者,
在将处理后的上行数据和/或信令发送至接入网网元后,UE接收到来自接入网网元的消息时,若确定来自接入网网元的消息包括特定指示信息时,确定满足UE使用更新的安全秘钥的条件;其中,所述特定指示信息用于指示UE执行如下至少一项操作:重新发送所述上行数据、重建RLC实体、重建PDCP实体、使用更新的安全秘钥;
所述来自接入网网元的消息为RRC消息或MAC CE。
第十实施例
在本发明第一实施例至第七实施例的基础上,本发明第九实施例提出了一种处理上行数据的装置,所述装置位于与UE连接的接入网网元中。
图8为本发明实施例处理上行数据的装置的组成结构示意图,如图8所示,该装置可以包括:发送模块801和第二处理模块802;其中,
发送模块801,用于向UE发送指示信息,以指示UE进入或保持在无线资源控制RRC非活动状态;
第二处理模块802,用于在接收到来自UE的上行数据后,根据UE的当前驻留小区的和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理。
可选地,所述发送模块801,还用于在向UE发送指示信息时,确定UE上一次进入RRC非活动状态时所在小区的安全区域标识,并向UE发送携带有NCC的信令;每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
相应地,所述第二处理模块802,具体用于在确定UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识相同时,采用UE上一次使用的安全秘钥对所述上行数据进行解密和/或完整性保护处理;
在确定UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,根据向UE发送的信令中携带的NCC,得出对应的安全秘钥,采用对应的安全秘钥对上行数据进行解密和/或完整性保护处理;
所述携带有NCC的信令包括以下至少之一:RRC连接释放消息、RRC连接恢复消息、介质访问控制层控制单元MAC CE。
可选地,所述第二处理模块802,具体用于在确定UE的服务网元和anchor网元相同时,采用UE上一次使用的安全秘钥对上行数据进行解密和/或完整性保护处理;
在确定UE的服务网元和anchor网元不同时,按照设定方式处理所述上行数据;其中,所述设定方式为以下的一种数据处理方式:
丢弃所述上行数据;
由服务网元将所述上行数据发送至anchor网元,通知anchor网元对所述上行数据进行用户面协议处理;
服务网元对所述上行数据进行用户面协议处理;
其中,所述UE的服务网元为UE的当前驻留小区所在网元,所述UE的anchor网元为UE上一次进入RRC非活动状态时所在小区的所在网元。
另外,在本实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
具体来讲,本实施例中的一种处理上行数据的方法对应的计算机程序指令可以被存储在光盘,硬盘,U盘等存储介质上,当存储介质中的与一种处理上行数据方法对应的计算机程序指令被一电子设备读取或被执行时,包括如下步骤:
向UE发送指示信息,以指示UE进入或保持在无线资源控制RRC非活动状态;
在接收到来自UE的上行数据后,根据UE的当前驻留小区的和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理。
可选地,存储介质中还可以存储执行如下步骤的指令:
在利用接入网网元向UE发送指示信息时,确定UE上一次进入RRC非活动状态时所在小区的安全区域标识,并向UE发送携带有NCC的信令;每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
在确定UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识相同时,采用UE上一次使用的安全秘钥对所述上行数据进行解密和/或完整性保护处理;
在确定UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,根据向UE发送的信令中携带的NCC,得出对应的安全秘钥,采用对应的安全秘钥对上行数据进行解密和/或完整性保护处理;
所述携带有NCC的信令包括以下至少之一:RRC连接释放消息、RRC连接恢复消息、介质访问控制层控制单元MAC CE。
可选地,存储介质中还可以存储执行如下步骤的指令:
在确定UE的服务网元和anchor网元相同时,采用UE上一次使用的安全秘钥对上行数据进行解密和/或完整性保护处理;
在确定UE的服务网元和anchor网元不同时,按照设定方式处理所述上行数据;其中,所述设定方式为以下的一种数据处理方式:
丢弃所述上行数据;
由服务网元将所述上行数据发送至anchor网元,通知anchor网元对所述上行数据进行用户面协议处理;
服务网元对所述上行数据进行用户面协议处理;
其中,所述UE的服务网元为UE的当前驻留小区所在网元,所述UE的anchor网元为UE上一次进入RRC非活动状态时所在小区的所在网元。
基于前述实施例相同的技术构思,参见图9,其示出了本发明实施例提供的一种处理上行数据的设备90,可以包括:第二通信接口901、第二存储器902、第二处理器903和第二总线904;其中,
所述第二总线904用于连接所述第二通信接口901、所述第二处理器903和所述第二存储器902以及这些器件之间的相互通信;
所述第二通信接口901,用于与外部网元进行数据传输;
所述第二存储器902,用于存储指令和数据;
所述第二处理器903执行所述指令用于:利用接入网网元向UE发送指示信息,以指示UE进入或保持在无线资源控制RRC非活动状态;在接收到来自UE的上行数据后,根据UE的当前驻留小区的和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理。
在实际应用中,上述第二存储器902可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatilememory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,Hard Disk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向第二处理器903提供指令和数据。
上述第二处理器903可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述第一处理器功能的电子器件还可以为其它,本发明实施例不作具体限定。
示例性地,所述第二处理器903,具体还可以用于:
还用于在向UE发送指示信息时,确定UE上一次进入RRC非活动状态时所在小区的安全区域标识,并向UE发送携带有NCC的信令;每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
在确定UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识相同时,采用UE上一次使用的安全秘钥对所述上行数据进行解密和/或完整性保护处理;
在确定UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,根据向UE发送的信令中携带的NCC,得出对应的安全秘钥,采用对应的安全秘钥对上行数据进行解密和/或完整性保护处理;
所述携带有NCC的信令包括以下至少之一:RRC连接释放消息、RRC连接恢复消息、介质访问控制层控制单元MAC CE。
示例性地,所述第二处理器903,具体还可以用于:
在确定UE的服务网元和anchor网元相同时,采用UE上一次使用的安全秘钥对上行数据进行解密和/或完整性保护处理;
在确定UE的服务网元和anchor网元不同时,按照设定方式处理所述上行数据;其中,所述设定方式为以下的一种数据处理方式:
丢弃所述上行数据;
由服务网元将所述上行数据发送至anchor网元,通知anchor网元对所述上行数据进行用户面协议处理;
服务网元对所述上行数据进行用户面协议处理;
其中,所述UE的服务网元为UE的当前驻留小区所在网元,所述UE的anchor网元为UE上一次进入RRC非活动状态时所在小区的所在网元。
第十一实施例
在本发明第八实施例的基础上,本发明第十一实施例提出了一种对接入网网元的认证装置,所述装置位于UE中。
图10为本发明实施例对接入网网元的认证装置的组成结构示意图,如图10所示,该装置可以包括:接收模块1001和检验模块1002;其中,
接收模块1001,用于接收来自接入网网元的消息,所述来自接入网网元的消息为RRC消息或MAC CE,所述来自接入网网元的消息中携带有网络认证信息;
检验模块1002,用于在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
可选地,所述来自接入网网元的消息为RRC消息时,所述网络认证信息为承载所述RRC消息的PDCP层的MAC-I;所述来自接入网网元的消息为MAC CE时,所述网络认证信息为一个短short MAC-I。
另外,在本实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
具体来讲,本实施例中的一种对接入网网元的认证方法对应的计算机程序指令可以被存储在光盘,硬盘,U盘等存储介质上,当存储介质中的与一种对接入网网元的认证方法对应的计算机程序指令被一电子设备读取或被执行时,包括如下步骤:
接收来自接入网网元的消息,所述来自接入网网元的消息为RRC消息或MAC CE,所述来自接入网网元的消息中携带有网络认证信息;
在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
可选地,所述来自接入网网元的消息为RRC消息时,所述网络认证信息为承载所述RRC消息的PDCP层的MAC-I;所述来自接入网网元的消息为MAC CE时,所述网络认证信息为一个短short MAC-I。
基于前述实施例相同的技术构思,参见图11,其示出了本发明实施例提供的一种对接入网网元的认证设备110,可以包括:第三通信接口1101、第三存储器1102、第三处理器1103和第三总线1104;其中,
所述第三总线1104用于连接所述第三通信接口1101、所述第三处理器1103和所述第三存储器1102以及这些器件之间的相互通信;
所述第三通信接口1101,用于与外部网元进行数据传输;
所述第三存储器1102,用于存储指令和数据;
所述第三处理器1103执行所述指令用于:接收来自接入网网元的消息,所述来自接入网网元的消息为RRC消息或MAC CE,所述来自接入网网元的消息中携带有网络认证信息;在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
在实际应用中,上述第三存储器1102可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatilememory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,Hard Disk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向第三处理器1103提供指令和数据。
上述第三处理器1103可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述第一处理器功能的电子器件还可以为其它,本发明实施例不作具体限定。
示例性地,所述来自接入网网元的消息为RRC消息时,所述网络认证信息为承载所述RRC消息的PDCP层的MAC-I;所述来自接入网网元的消息为MAC CE时,所述网络认证信息为一个短short MAC-I。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (36)
1.一种发送上行数据的方法,其特征在于,所述方法包括:
UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:UE在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定不满足UE使用更新的安全秘钥的条件时,采用UE上一次使用的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
UE获取自身上一次进入RRC非活动状态时所在小区的安全区域标识,每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
UE在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在UE当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,确定满足UE使用更新的安全秘钥的条件。
4.根据权利要求3所述的方法,其特征在于,在采用更新的安全秘钥对上行数据进行处理前,所述方法还包括:
UE接收来自接入网网元的信令,所述来自接入网网元的信令携带有下一跳链计数器NCC;所述来自接入网网元的信令包括以下至少之一:RRC连接释放消息、RRC连接恢复消息、介质访问控制层控制单元MAC CE;
UE根据所述来自接入网网元的信令中的NCC,得出更新的安全秘钥。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在所述RRC连接恢复请求或所发送的上行数据中需要携带UE认证信息时,若满足UE使用更新的安全秘钥的条件,则使用更新的安全秘钥计算UE认证信息;若不满足UE使用更新的安全秘钥的条件,则根据UE上一次使用的安全秘钥计算UE认证信息。
6.根据权利要求1或2所述的方法,其特征在于,在UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,所述方法还包括:
UE采用上一次使用的安全秘钥对上行数据和/或信令进行处理,将处理后的上行数据和/或信令发送至接入网网元;
在UE将处理后的上行数据和/或信令发送至接入网网元后,UE接收到来自接入网网元的消息时,若确定所述来自接入网网元的消息包括NCC,且所述来自接入网网元的消息包括的NCC不同于UE上一次使用的安全秘钥对应的NCC,确定满足UE使用更新的安全秘钥的条件;或者,
在UE将处理后的上行数据和/或信令发送至接入网网元后,UE接收到来自接入网网元的消息时,若确定来自接入网网元的消息包括特定指示信息时,确定满足UE使用更新的安全秘钥的条件;其中,所述特定指示信息用于指示UE执行如下至少一项操作:重新发送所述上行数据、重建RLC实体、重建PDCP实体、使用更新的安全秘钥;
所述来自接入网网元的消息为RRC消息或MAC CE。
7.根据权利要求6所述的方法,其特征在于,在采用更新的安全秘钥对上行数据进行处理前,所述方法还包括:
在所述来自接入网网元的消息包括的NCC与UE上一次使用的安全秘钥对应的NCC相同时,根据UE上一次使用的安全秘钥对应的NCC或根据上一次使用的安全秘钥对应的NCC派生的安全秘钥K,得出更新的安全秘钥;在所述来自接入网网元的消息包括的NCC与UE上一次使用的安全秘钥对应的NCC不同时,根据所述来自接入网网元的消息包括的NCC,得出更新的安全秘钥。
8.根据权利要求6所述的方法,其特征在于,在将处理后的上行数据发送至接入网网元前,所述方法还包括:
UE重建数据无线承载DRB和信令无线承载SRB的无线链路层控制协议RLC实体,并重建DRB和SRB的分组数据汇聚协议PDCP实体。
9.根据权利要求8所述的方法,其特征在于,在重建DRB的PDCP实体后,所述方法还包括:
UE执行以下至少一项操作:
针对映射到RLC确认模式AM的DRB的PDCP实体,使用更新的安全秘钥对所有分配了PDCP序列号SN的PDCP服务数据单元SDU进行加密和/或完整性保护处理;
针对映射到RLC非确认模式UM的DRB的PDCP实体,确定在发起连接恢复请求,或在RRC非活动状态发送上行数据时,向接入网网元发送的PDCP SDU或部分分片的PDCP SDU,使用更新的安全秘钥对所确定的各个PDCP SDU进行加密和/或完整性保护处理。
10.根据权利要求9所述的方法,其特征在于,在重建DRB的PDCP实体后,所述方法还包括:
在满足预设的第一丢弃条件时,针对所述映射到RLC AM的DRB的PDCP实体,将PDCP SDU丢弃,所述预设的第一丢弃条件为:UE接收到下层协议实体的确认ACK信息,或者,所述来自接入网网元的消息指示UE丢弃PDCP SDU,或者,为所述PDCP SDU设置的丢弃定时器超时;和/或,
在满足预设的第二丢弃条件时,针对所述映射到RLC UM的DRB的PDCP实体,将PDCP SDU丢弃,所述预设的第二丢弃条件为:所述来自接入网网元的消息显示或隐式的指示UE丢弃PDCP SDU,或者,为所述PDCP SDU设置的丢弃定时器超时。
11.根据权利要求6所述的方法,其特征在于,所述来自接入网网元的消息中携带有网络认证信息;
所述方法还包括:
UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
12.根据权利要求11所述的方法,其特征在于,所述来自接入网网元的消息为RRC消息时,所述网络认证信息为承载所述RRC消息的PDCP层的MAC-I;所述来自接入网网元的消息为MAC CE时,所述网络认证信息为一个短short MAC-I。
13.根据权利要求12所述的方法,其特征在于,所述网络认证信息为一个short MAC-I时,UE对所述网络认证信息进行检验时所需的参数包括:UE当前用于进行信令完整性保护的秘钥、一组用于计算所述short MAC-I的数据、PDCP层设置的计数COUNT值、PDCP层设置的承载标识BEARID的值以及PDCP层设置的方向DIRECTION的值;其中,一组用于计算所述short MAC-I的数据可以包括以下至少之一:UE当前的小区标识信息、UE的初始小区信息、UE的标识信息。
14.一种处理上行数据的方法,其特征在于,所述方法包括:
接入网网元向UE发送指示信息,以指示UE进入或保持在无线资源控制RRC非活动状态;
接入网网元在接收到来自UE的上行数据后,根据UE的当前驻留小区的和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
接入网网元在向UE发送指示信息时,确定UE上一次进入RRC非活动状态时所在小区的安全区域标识,并向UE发送携带有NCC的信令;每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
相应地,所述根据UE的当前驻留小区和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理,包括:
在UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识相同时,接入网网元采用UE上一次使用的安全秘钥对所述上行数据进行解密和/或完整性保护处理;
在UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,接入网网元根据向UE发送的信令中携带的NCC,得出对应的安全秘钥,采用对应的安全秘钥对上行数据进行解密和/或完整性保护处理;
所述携带有NCC的信令包括以下至少之一:RRC连接释放消息、RRC连接恢复消息、介质访问控制层控制单元MAC CE。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括:在接入网网元接收到来自UE的上行数据后,在UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同,且确定UE的服务网元和锚定anchor网元不同时,通知anchor网元将向UE发送的NCC发送至服务网元,或者,通知anchor网元将向UE发送的NCC对应的安全秘钥发送至服务网元;所述UE的服务网元为UE的当前驻留小区所在网元,所述UE的anchor网元为UE上一次进入RRC非活动状态时所在小区的所在网元。
17.根据权利要求16所述的方法,其特征在于,所述方法还包括:
在接入网网元接收到来自UE的上行数据后,在UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同,且确定UE的服务网元和anchor网元不同时,服务网元通知anchor网元根据UE上一次使用的安全秘钥计算UE认证信息;或者,服务网元根据更新的安全秘钥计算UE认证信息;
所述更新的安全秘钥为服务网元接收的来自anchor网元的安全秘钥,或者,所述更新的安全秘钥为服务网元根据来自anchor网元的NCC确定的安全秘钥。
18.根据权利要求14所述的方法,其特征在于,所述根据UE的当前驻留小区和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理,包括:
在UE的服务网元和anchor网元相同时,采用UE上一次使用的安全秘钥对上行数据进行解密和/或完整性保护处理;
在UE的服务网元和anchor网元不同时,按照设定方式处理所述上行数据;其中,所述设定方式为以下的一种数据处理方式:
丢弃所述上行数据;
由服务网元将所述上行数据发送至anchor网元,通知anchor网元对所述上行数据进行用户面协议处理;
服务网元对所述上行数据进行用户面协议处理;
其中,所述UE的服务网元为UE的当前驻留小区所在网元,所述UE的anchor网元为UE上一次进入RRC非活动状态时所在小区的所在网元。
19.根据权利要求18所述的方法,其特征在于,所述anchor网元对所述上行数据进行用户面协议处理,包括:
在确定所述上行数据包含一个完整的分组数据汇聚协议服务数据单元PDCP SDU时,采用UE上一次使用的安全秘钥对所述PDCP SDU进行解密和/或完整性保护处理。
20.根据权利要求19所述的方法,其特征在于,在采用UE上一次使用的安全秘钥对所述PDCP SDU进行解密和/或完整性保护处理后,所述方法还包括:
对所述上行数据按照以下的一种处理方式进行处理:
在所述上行数据包含一个完整的PDCP SDU时,anchor网元将所述PDCP SDU发送至核心网;
在所述上行数据包含一个完整的PDCP SDU时,anchor网元将所述PDCP SDU通过二者之间的用户面连接发送给服务网元;
在所述上行数据包含一个完整的PDCP SDU时,anchor网元将所述PDCP SDU通过后续的路径切换path switch过程发送给服务网元。
21.根据权利要求18所述的方法,其特征在于,所述方法还包括:
在确定UE的服务网元和anchor网元不同时,由服务网元通知anchor网元根据UE上一次使用的安全秘钥对UE进行认证检验;
在确定UE的服务网元和anchor网元相同时,由服务网元根据UE上一次使用的安全秘钥对UE进行认证检验。
22.根据权利要求21所述的方法,其特征在于,在anchor网元对UE进行的认证检验通过时,所述方法还包括:
anchor网元将UE的上下文信息发送至服务网元;
所述服务网元接收到所述UE的上下文信息时,根据所述UE的上下文信息为UE在服务网元建立相应的上下文以及相应的用户面实体。
23.根据权利要求22所述的方法,其特征在于,所述UE的上下文信息包括:UE的每个数据无线承载DRB的上行的PDCP计数COUNT值和/或UE的每个DRB的下行的PDCP COUNT值;
相应地,在根据所述UE的上下文信息为UE在服务网元建立相应的上下文以及相应的用户面实体时,根据所述UE的上下文信息包括的PDCP COUNT值,设置相应的PDCP实体的上行COUNT值和/或下行COUNT值。
24.根据权利要求20所述的方法,其特征在于,在按照设定方式处理所述上行数据后,所述方法还包括:
向UE发送携带有NCC的消息,以使UE根据所接收到携带有NCC的消息进行上行数据处理。
25.一种对接入网网元的认证方法,其特征在于,所述方法包括:
UE接收来自接入网网元的消息,所述来自接入网网元的消息为RRC消息或MAC CE,所述来自接入网网元的消息中携带有网络认证信息;
UE在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
26.根据权利要求25所述的方法,其特征在于,所述来自接入网网元的消息为RRC消息时,所述网络认证信息为承载所述RRC消息的PDCP层的MAC-I;所述来自接入网网元的消息为MAC CE时,所述网络认证信息为一个短short MAC-I。
27.根据权利要求26所述的方法,其特征在于,所述网络认证信息为一个short MAC-I时,UE对所述网络认证信息进行检验时所需的参数包括:UE当前用于进行信令完整性保护的秘钥、一组用于计算所述short MAC-I的数据、PDCP层设置的计数COUNT值、PDCP层设置的承载标识BEARID的值以及PDCP层设置的方向DIRECTION的值;其中,一组用于计算所述short MAC-I的数据可以包括以下至少之一:UE当前的小区标识信息、UE的初始小区信息、UE的标识信息。
28.一种发送上行数据的装置,其特征在于,所述装置位于UE中,所述装置包括:通知模块和第一处理模块;其中,
通知模块,用于在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,通知第一处理模块;
第一处理模块,用于在收到通知后,采用更新的安全秘钥对上行数据进行处理,将处理后的上行数据发送至接入网网元。
29.根据权利要求28所述的装置,其特征在于,所述通知模块,还用于在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定不满足UE使用更新的安全秘钥的条件时,通知第一处理模块;
相应地,所述第一处理模块,还用于采用UE上一次使用的安全秘钥对上行数据进行处理。
30.根据权利要求28或29所述的装置,其特征在于,所述通知模块,还用于获取UE上一次进入RRC非活动状态时所在小区的安全区域标识,每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
所述通知模块,还用于在发起RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在UE当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,确定满足UE使用更新的安全秘钥的条件。
31.根据权利要求28或29所述的装置,其特征在于,所述通知模块,还用于在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,通知第一处理模块;
所述第一处理模块,具体用于首先采用上一次使用的安全秘钥对上行数据和/或信令进行处理,在将处理后的上行数据和/或信令发送至接入网网元后,接收到来自接入网网元的消息时,若确定所述来自接入网网元的消息包括NCC,且所述来自接入网网元的消息包括的NCC不同于UE上一次使用的安全秘钥对应的NCC,确定满足UE使用更新的安全秘钥的条件;或者,
在将处理后的上行数据和/或信令发送至接入网网元后,UE接收到来自接入网网元的消息时,若确定来自接入网网元的消息包括特定指示信息时,确定满足UE使用更新的安全秘钥的条件;其中,所述特定指示信息用于指示UE执行如下至少一项操作:重新发送所述上行数据、重建RLC实体、重建PDCP实体、使用更新的安全秘钥;
所述来自接入网网元的消息为RRC消息或MAC CE。
32.一种处理上行数据的装置,其特征在于,所述装置位于接入网网元中,所述装置包括发送模块和第二处理模块;其中,
发送模块,用于向UE发送指示信息,以指示UE进入或保持在无线资源控制RRC非活动状态;
第二处理模块,用于在接收到来自UE的上行数据后,根据UE的当前驻留小区的和UE上一次进入RRC非活动状态时所在小区,对接收到的上行数据进行处理。
33.根据权利要求32所述的装置,其特征在于,所述发送模块,还用于在向UE发送指示信息时,确定UE上一次进入RRC非活动状态时所在小区的安全区域标识,并向UE发送携带有NCC的信令;每个小区的安全区域标识用于表示对应小区所在的安全区域,在每个安全区域内,UE使用相同的安全秘钥;
相应地,所述第二处理模块,具体用于在确定UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识相同时,采用UE上一次使用的安全秘钥对所述上行数据进行解密和/或完整性保护处理;
在确定UE的当前驻留小区的安全区域标识与UE上一次进入RRC非活动状态时所在小区的安全区域标识不同时,根据向UE发送的信令中携带的NCC,得出对应的安全秘钥,采用对应的安全秘钥对上行数据进行解密和/或完整性保护处理;
所述携带有NCC的信令包括以下至少之一:RRC连接释放消息、RRC连接恢复消息、介质访问控制层控制单元MAC CE。
34.根据权利要求32所述的装置,其特征在于,所述第二处理模块,具体用于在确定UE的服务网元和anchor网元相同时,采用UE上一次使用的安全秘钥对上行数据进行解密和/或完整性保护处理;
在确定UE的服务网元和anchor网元不同时,按照设定方式处理所述上行数据;其中,所述设定方式为以下的一种数据处理方式:
丢弃所述上行数据;
由服务网元将所述上行数据发送至anchor网元,通知anchor网元对所述上行数据进行用户面协议处理;
服务网元对所述上行数据进行用户面协议处理;
其中,所述UE的服务网元为UE的当前驻留小区所在网元,所述UE的anchor网元为UE上一次进入RRC非活动状态时所在小区的所在网元。
35.一种对接入网网元的认证装置,其特征在于,所述装置位于UE中,所述装置包括:接收模块和检验模块;其中,
接收模块,用于接收来自接入网网元的消息,所述来自接入网网元的消息为RRC消息或MAC CE,所述来自接入网网元的消息中携带有网络认证信息;
检验模块,用于在发起无线资源控制RRC连接恢复请求,或在RRC非活动状态发送上行数据时,在确定满足UE使用更新的安全秘钥的条件时,使用更新的安全秘钥对所述网络认证信息进行检验。
36.根据权利要求35所述的装置,其特征在于,所述来自接入网网元的消息为RRC消息时,所述网络认证信息为承载所述RRC消息的PDCP层的MAC-I;所述来自接入网网元的消息为MAC CE时,所述网络认证信息为一个短short MAC-I。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710225570.4A CN108924829B (zh) | 2017-04-07 | 2017-04-07 | 一种发送、处理上行数据和认证的方法及装置 |
| PCT/CN2018/080180 WO2018184475A1 (zh) | 2017-04-07 | 2018-03-23 | 一种发送、处理上行数据和认证的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710225570.4A CN108924829B (zh) | 2017-04-07 | 2017-04-07 | 一种发送、处理上行数据和认证的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108924829A true CN108924829A (zh) | 2018-11-30 |
| CN108924829B CN108924829B (zh) | 2022-05-24 |
Family
ID=63712580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710225570.4A Active CN108924829B (zh) | 2017-04-07 | 2017-04-07 | 一种发送、处理上行数据和认证的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108924829B (zh) |
| WO (1) | WO2018184475A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020034560A1 (en) * | 2019-01-04 | 2020-02-20 | Zte Corporation | Methods, apparatus and systems for data transmission in a power efficient state |
| WO2020191641A1 (zh) * | 2019-03-26 | 2020-10-01 | Oppo广东移动通信有限公司 | 用于随机机接入的方法和设备 |
| CN111866857A (zh) * | 2019-04-28 | 2020-10-30 | 华为技术有限公司 | 通信方法及其装置 |
| WO2021035711A1 (zh) * | 2019-08-30 | 2021-03-04 | 华为技术有限公司 | 一种数据传输方法和装置 |
| CN113366907A (zh) * | 2019-02-01 | 2021-09-07 | 株式会社Ntt都科摩 | 用户装置以及基站装置 |
| CN114128389A (zh) * | 2019-05-03 | 2022-03-01 | 苹果公司 | 2步rach的prach前导码和pusch资源单元之间的映射 |
| CN114222294A (zh) * | 2021-12-09 | 2022-03-22 | 北京航空航天大学 | Mac ce消息指示密钥更新的方法及装置 |
| WO2022206362A1 (zh) * | 2021-04-02 | 2022-10-06 | 华为技术有限公司 | 一种通信的方法及装置 |
| WO2022236600A1 (en) * | 2021-05-10 | 2022-11-17 | Nec Corporation | Method, device and computer storage medium of communication |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021162256A1 (en) * | 2020-02-11 | 2021-08-19 | Lg Electronics Inc. | Method and apparatus for transmitting data unit on rrc inactive state in wireless communication system |
| CN113472474B (zh) * | 2020-03-30 | 2024-06-07 | 维沃移动通信有限公司 | 一种信息传输方法、用户终端和接入网网元 |
| US20220150693A1 (en) * | 2020-11-10 | 2022-05-12 | Samsung Electronics Co., Ltd. | Method and apparatus for accelerating data processing in next-generation wireless communication system |
| CN116074005A (zh) * | 2021-10-29 | 2023-05-05 | 华为技术有限公司 | 一种安全通信方法和相关设备 |
| CN116506888A (zh) * | 2022-01-21 | 2023-07-28 | 华为技术有限公司 | 一种通信方法及装置 |
| WO2023239126A1 (en) * | 2022-06-08 | 2023-12-14 | Samsung Electronics Co., Ltd. | Method and apparatus for enhanced packet discarding in wireless communication system |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581899A (zh) * | 2012-07-30 | 2014-02-12 | 中国移动通信集团公司 | 一种数据传输方法、装置、系统和相关设备 |
| CN105898894A (zh) * | 2016-05-13 | 2016-08-24 | 华为技术有限公司 | Rrc状态的控制方法和装置 |
| CN106416334A (zh) * | 2014-06-23 | 2017-02-15 | 日本电气株式会社 | 切换期间适于密钥推导的通信系统 |
| WO2018202941A1 (en) * | 2017-05-05 | 2018-11-08 | Nokia Technologies Oy | Providing security information |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3078236A1 (en) * | 2013-12-06 | 2016-10-12 | Interdigital Patent Holdings, Inc. | Layered connectivity in wireless systems |
-
2017
- 2017-04-07 CN CN201710225570.4A patent/CN108924829B/zh active Active
-
2018
- 2018-03-23 WO PCT/CN2018/080180 patent/WO2018184475A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581899A (zh) * | 2012-07-30 | 2014-02-12 | 中国移动通信集团公司 | 一种数据传输方法、装置、系统和相关设备 |
| CN106416334A (zh) * | 2014-06-23 | 2017-02-15 | 日本电气株式会社 | 切换期间适于密钥推导的通信系统 |
| CN105898894A (zh) * | 2016-05-13 | 2016-08-24 | 华为技术有限公司 | Rrc状态的控制方法和装置 |
| WO2018202941A1 (en) * | 2017-05-05 | 2018-11-08 | Nokia Technologies Oy | Providing security information |
Non-Patent Citations (1)
| Title |
|---|
| NOKIA, ALCATEL-LUCENT SHANGHAI BELL: "《3GPP》", 24 March 2017 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020034560A1 (en) * | 2019-01-04 | 2020-02-20 | Zte Corporation | Methods, apparatus and systems for data transmission in a power efficient state |
| CN113366907A (zh) * | 2019-02-01 | 2021-09-07 | 株式会社Ntt都科摩 | 用户装置以及基站装置 |
| WO2020191641A1 (zh) * | 2019-03-26 | 2020-10-01 | Oppo广东移动通信有限公司 | 用于随机机接入的方法和设备 |
| US11445365B2 (en) | 2019-04-28 | 2022-09-13 | Huawei Technologies Co., Ltd. | Communication method and communications apparatus |
| CN111866857A (zh) * | 2019-04-28 | 2020-10-30 | 华为技术有限公司 | 通信方法及其装置 |
| CN111866857B (zh) * | 2019-04-28 | 2022-03-08 | 华为技术有限公司 | 通信方法及其装置 |
| US11882433B2 (en) | 2019-04-28 | 2024-01-23 | Huawei Technologies Co., Ltd. | Communication method and communications apparatus |
| CN114128389A (zh) * | 2019-05-03 | 2022-03-01 | 苹果公司 | 2步rach的prach前导码和pusch资源单元之间的映射 |
| WO2021035711A1 (zh) * | 2019-08-30 | 2021-03-04 | 华为技术有限公司 | 一种数据传输方法和装置 |
| WO2022206362A1 (zh) * | 2021-04-02 | 2022-10-06 | 华为技术有限公司 | 一种通信的方法及装置 |
| WO2022236600A1 (en) * | 2021-05-10 | 2022-11-17 | Nec Corporation | Method, device and computer storage medium of communication |
| CN114222294B (zh) * | 2021-12-09 | 2023-02-03 | 北京航空航天大学 | Mac ce消息指示密钥更新的方法及装置 |
| CN114222294A (zh) * | 2021-12-09 | 2022-03-22 | 北京航空航天大学 | Mac ce消息指示密钥更新的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108924829B (zh) | 2022-05-24 |
| WO2018184475A1 (zh) | 2018-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108924829A (zh) | 一种发送、处理上行数据和认证的方法及装置 | |
| CN111034265B (zh) | Ran inactive模式下的位置和上下文管理 | |
| TWI396455B (zh) | 處理交遞程序的方法及其通訊裝置 | |
| CN107113895B (zh) | 通信方法、网络侧设备和用户设备 | |
| CN108924964B (zh) | 保证通信连续性的方法和用户设备 | |
| BR112020009790A2 (pt) | método de acesso à rede, dispositivo terminal, e dispositivo de rede | |
| US10321308B2 (en) | Method of refreshing a key in a user plane architecture 1A based dual connectivity situation | |
| CN110312296A (zh) | 用户设备执行的方法、基站执行的方法、用户设备和基站 | |
| JP2017508364A5 (zh) | ||
| KR20110090812A (ko) | 이동 통신 시스템에서 pdcp 기능을 선택적으로 적용하는 방법 | |
| JP2007184938A (ja) | 無線通信システムにおけるユーザー端の完全性保護設定方法及び装置 | |
| EP3485667B1 (en) | Enhanced aggregated re-authentication for wireless devices | |
| JP2015537432A5 (zh) | ||
| WO2017167102A1 (zh) | 消息完整性认证信息的生成和验证方法、装置及验证系统 | |
| CN110383868A (zh) | 无线通信系统中的非活动状态安全支持 | |
| CN111886885B (zh) | 恢复rrc连接时的安全验证 | |
| US20150119041A1 (en) | Method and apparatus for re-establishing radio link | |
| US9332437B2 (en) | Security configuration alignment | |
| US20220345883A1 (en) | Security key updates in dual connectivity | |
| JP2024026229A (ja) | Slユニキャストにおけるセキュリティの改善 | |
| CN104469745B (zh) | 一种完整性保护参数的应用方法及装置 | |
| CN109842484B (zh) | 一种下一跳链计数器更新方法、装置及设备 | |
| WO2018205831A1 (zh) | 一种网络验证方法和装置、设备、存储介质 | |
| US20230156820A1 (en) | Data Communication In An Inactive State | |
| CN109803257A (zh) | 一种安全信息更新方法及接入网设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |