CN109196897A - 用于5g mc的优化的安全密钥刷新过程 - Google Patents
用于5g mc的优化的安全密钥刷新过程 Download PDFInfo
- Publication number
- CN109196897A CN109196897A CN201680086457.6A CN201680086457A CN109196897A CN 109196897 A CN109196897 A CN 109196897A CN 201680086457 A CN201680086457 A CN 201680086457A CN 109196897 A CN109196897 A CN 109196897A
- Authority
- CN
- China
- Prior art keywords
- security key
- new security
- network node
- message
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Abstract
提供了一种方法。所述方法包括第一网络节点生成新安全密钥;第一网络节点向用户设备通知新安全密钥以及何时第一网络节点将开始使用新安全密钥;第一网络节点获得何时用户设备将开始使用新安全密钥;以及第一网络节点将新安全密钥投入使用。
Description
技术领域
本发明涉及用于第五代(5G)多连接性(MC)技术的方法、装置以及计算机程序产品。更特别地,本发明涉及用于5G MC的优化的安全密钥刷新过程的方法、装置以及计算机程序产品。
背景技术
缩写词
AP 接入点
LTE 长期演进
UE 用户设备
RRC 无线电资源控制
UP 用户平面
CP 控制平面
RAN 无线接入网络
DC 双连接性
MC 多连接性
PDU 协议数据单元
eNB E-UTRAN NodeB
MeNB 主eNB
SeNB 次要eNB
PDCP 分组数据汇聚协议
NCS 网络汇聚子层
RLC 无线电链路控制
MAC 介质访问控制
KDF 密钥导出函数
PCI 物理小区标识符
RACH 随机接入信道
SMC 安全模式命令
SN 序列号
DL 下行链路
UL 上行链路
RCS 无线汇聚层。
本部分旨在提供下面公开的本发明的背景技术或上下文。本文中的描述可以包括如下概念,所述概念可以被探寻,但不一定是以前已经构思过、实现过或者描述过的概念。因此,除非本文中另有明确说明,否则本部分中描述的内容对于本申请中的描述而言不是现有技术并且不通过在本部分中的包含而被承认是现有技术。
在即将到来的第五代通信系统中,UE可以与多个小区建立多个连接会话,这被称作多连接性技术。通过多连接性技术,UE可以与至少两个接入节点(AP)连接,所述至少两个接入节点可以是基站或者是LTE或5G中的eNodeB或eNB。至少两个接入节点可以是充当移动锚点的至少一个主接入节点(在LTE中被称为主eNB(MeNB))和至少一个次要接入节点(在LTE中被称为次要eNB(SeNB))。
如果通信网络包含诸如4G通信技术、3G通信技术、WiFi通信技术之类的多个类型的通信技术,并且它们占有它们自身的AP,则UE可以经由5G通信系统中的多连接性技术连接到支持多个不同的通信技术的多个AP,这可以显著促进不同通信技术的聚合和融合并且可以提供更好的用户体验。
出于方便的目的,参考LTE的eNB,可以将5G的接入节点称作5G-NB。此后,UE连接到的主接入节点和次要接入节点将被称作M5G-NB和S5G-NB。
例如在UE和M5G-NB之间的接口和在UE和S5G-NB之间的接口的在UE和5G-NB之间的接口被称作Uu接口,以及例如在M5G-NB和S5G-NB之间的接口的5G-NB之间的接口被称作X2接口。
在5G MC的许多场景中,存在UE和M5G-NB之间以及UE和S5G-NB之间的UP和CP通信量。特别地,UE和S5G-NB之间的通信量有时需要安全密钥刷新过程。由3GPP的规范TS36.300和TS 33.401指定的LTE DC中的安全密钥的刷新的当前过程可能不适合于5G中的UE和S5G-NB之间的通信量。
将参考图1在下面描述LTE DC中的安全密钥的刷新的当前过程。图1图示了基于3GPP的TS 36.300和TS 33.401的LTE DC中刷新安全密钥的信令流程图。当LTE的次要eNB(SeNB)需要刷新安全密钥时,SeNB将通过使用如TS 36.300中描述的SeNB发起的SeNB修改过程来刷新安全密钥。
在图1中,在1处,SeNB首先可以将例如SeNB Modification Required (SeNB修改要求)消息的消息发送到LTE的主eNB(MeNB),以指示其需要刷新安全密钥。在2处,MeNB可以从SeNB接收例如是SeNBModification Required消息的消息,以及发现SeNB需要刷新安全密钥。响应于SeNB的请求,然后MeNB可以生成新安全密钥,用于导出用于SeNB和连接到MeNB和SeNB的UE两者的密钥。在3处,MeNB向SeNB发送包含新生成的安全密钥的例如是SeNBModification Requrest(SeNB修改请求)消息的消息,以向SeNB通知用于导出新密钥的新安全密钥。在4处,SeNB可以发送例如是SeNBModification RequrestAcknowledge(SeNB修改请求确认)消息的消息,以证实其接收由MeNB生成的新安全密钥之后从MeNB接收新安全密钥。在5处,MeNB还可以向UE发送例如是RRCConnectionReconfiguration(RRC连接重新配置)消息的消息,以向UE通知用于导出新密钥的新安全密钥。然后,UE可以利用新安全密钥执行配置(即,重新配置UE),并且然后在6处将例如是RRCConnectionReconfigurationComplete(RRC连接重新配置完成)消息的消息发回到MeNB,以证实其应用了具有新安全密钥的配置。在从UE接收到例如是RRCConnectionReconfigurationComplete消息的完成消息之后,在7处MeNB可以向SeNB发送例如是SeNB Modification Confirm(SeNB修改证实)消息的消息,以向SeNB通知配置的成功完成。
然而,在经历上述复杂的过程之后,安全密钥的刷新实际上仍然没有完成,因为新安全密钥仍然没有被投入使用,在这种情况下,在8处存在发起在UE和SeNB之间的随机接入(RA)过程的需要,以创建用于将新安全密钥投入使用的时机,因为当RA过程结束时,UE和SeNB将同时使用新安全密钥。即,UE和SeNB两者将RA过程的结束视作是新安全密钥的使用的开始。因此,在随机接入过程之后,新安全密钥将在9处被最终投入使用。
在用于刷新安全密钥的上述复杂过程中,存在需要四个X2接口AP信令的MeNB和SeNB之间的两个交互,以及需要两个Uu接口RRC信令的MeNB和UE之间的一个交互,这可能导致较大的时延。此外,出于开始使用新安全密钥的目的发起的随机接入过程将干扰UE和SeNB之间的UP传输。
在期望对UP传输的更高需求,例如更少的时延、不间断的UP传输等的5G通信中,用于刷新安全密钥的上述复杂过程是不太可接受的。
发明内容
根据本发明的第一方面,提供了一种方法。所述方法可以包括第一网络节点生成新安全密钥;第一网络节点向用户设备通知新安全密钥以及何时第一网络节点将开始使用新安全密钥;第一网络节点获得何时用户设备将开始使用新安全密钥;以及第一网络节点将新安全密钥投入使用。
根据本发明的第二方面,提供了一种方法。所述方法可以包括用户设备从第一网络节点获得新安全密钥以及何时第一网络节点将开始使用新安全密钥;用户设备向第一网络节点通知何时用户设备将开始使用新安全密钥;以及用户设备将新安全密钥投入使用。
根据本发明的第三方面,提供了一种装置。所述装置可以包括至少一个处理器以及包括计算机程序代码的至少一个存储器,其中利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置生成新安全密钥;向用户设备通知新安全密钥以及何时装置将开始使用新安全密钥;获得何时用户设备将开始使用新安全密钥;以及将新安全密钥投入使用。
根据本发明的第四方面,提供了一种装置。所述装置可以包括至少一个处理器以及包括计算机程序代码的至少一个存储器,其中利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置从第一网络节点获得新安全密钥以及何时第一网络节点将开始使用新安全密钥;向第一网络节点通知何时所述装置将开始使用新安全密钥;以及将新安全密钥投入使用。
根据本发明的第五方面,提供了一种计算机程序产品。所述计算机程序产品可以体现在计算机可读并且包括程序指令的非暂时性介质,当所述程序指令加载到计算机中时,所述程序指令执行包括根据本发明的第一方面到第二方面的方法的计算机过程。
附图说明
在下文中,将参考附图借助于优选实施例详细描述本发明,其中
图1图示了基于3GPP TS 36.300刷新安全密钥的信令流程图;
图2图示了5G MC中的控制平面协议栈的示意图;
图3图示了UE、MeNB和SeNB之间的接口的示意图;
图4图示了根据本发明的一些实施例的刷新安全密钥的信令流程图;
图5图示了根据本发明的一些实施例的用于在SeNB处刷新安全密钥的方法的流程图;
图6图示了根据本发明的一些实施例的用于在UE处刷新安全密钥的方法的流程图;
图7图示了根据本发明的一些实施例的用于刷新安全密钥的装置的框图;以及
图8图示了根据本发明的一些实施例的用于在UE处刷新安全密钥的另一个装置的框图。
具体实施方式
下面的实施例是示例性的。虽然说明书可以在若干位置处引用“一”、“一个”或者“一些”实施例,但是这不一定意味着每个此类引用都指代(一个或多个)相同的实施例,或者不一定意味着该特征仅适用于单个实施例。还可以将不同实施例的单个特征组合起来提供其他实施例。此外,词语“包含”和“包括”应当被理解为不将描述的实施例限制为仅由已经提及的那些特征组成,并且此类实施例还可以包含未被具体提及的特征/结构。
图2图示了5G MC中的控制平面协议栈的示意图。在如图2中所示的第五代(5G)多连接性(MC)中,可以在UE和M5G-NB之间传输CP的控制消息,如通过在RRC和M-RRC之间具有箭头的实线指示的那样;可以在M5G-NB和S5G-NB之间传输CP的控制消息,如通过在S-RRC和M-RRC之间具有箭头的虚线指示的那样;还可以在UE和S5G-NB之间直接传输CP的控制消息,如通过在RRC和S-RRC之间具有箭头的实线指示的那样。
如图2中可以看到的那样,虽然M5G-NB可以是移动锚点,但是可以在UE,即RRC和S5G-NB,即S-RRC之间直接传输CP的控制消息而不涉及M5G-NB,这是与Rel-12 DC的关键不同。
图3图示了UE、M5G-NB和S5G-NB之间的接口的示意图。在图3中,可以更直观地看到UE、M5G-NB和S5G-NB之间的连接和接口。如上所述,例如是在UE和M5G-NB之间的接口以及在UE和S5G-NB之间的接口的在UE和接入节点之间的接口被称作Uu接口。例如是在M5G-NB和S5G-NB之间的接口的在接入节点之间的接口被称作X2接口。
如图2和图3图示的那样,在不同于MC场景的LTE场景,无论何时需要SeNB(即次要接入节点,在MeNB被称作AP1的情况下也称作AP2)中的NCS/PDCP中的安全密钥刷新,都需要SeNB修改请求过程,并且MeNB需要利用新安全密钥配置UE。如上面结合图1所述的那样,UE、MeNB和SeNB之间的这种复杂协作将最终将新安全密钥投入使用。
在该情况下,由于UE、MeNB和SeNB之间的多个信令,所以结合图1在上面描述的安全密钥刷新过程可以显著影响系统性能。
然而,凭借如图2和图3图示的MC场景,上述的安全密钥刷新过程可以被优化。
将在此后参考图4-6描述的一种方法将优化安全密钥刷新过程并且解决上述的问题。
图4图示了根据本发明的一些实施例的刷新安全密钥的信令流程图。
图4图示了5G MC中的UE和第一网络节点,即S5G-NB以及第二网络节点,即M5G-NB。本领域普通技术的人员应当理解:虽然图4图示了两个网络节点,但是如所需求的可以存在多个网络节点。
在用于5G MC的安全机制中,M5G-NB可以首先生成将在用于CP(S-RRC)和UP两者的S5G-NB中使用的安全密钥。在安全密钥的生成之后,M5G-NB可以将安全密钥发送到用于CP和UP的S5G-NB。然后,M5G-NB可以代表S5G-NB触发SMC,即,通过使用SMC,M5G-NB可以将安全密钥发送到UE。响应于安全密钥的接收,UE可以答复SMC完成消息。
如上所述,如果S5G-NB希望刷新安全密钥,则它应当向M5G-NB发送消息,以指示基于3GPP TS 36.300的对安全密钥的刷新的需要。即,借助于作为UE和S5G-NB之间的中介者(mediator)的M5G-NB完成由S5G-NB发起的安全密钥刷新。
然而,从图2和图3可以看到,可以在UE和第一网络节点,即S5G-NB之间直接传输CP的控制消息,而不涉及第二网络节点,即M5G-NB。在这种情况下,期望不具有M5G-NB的安全密钥刷新过程。
因此,如图4中所示,在M5G-MB针对CP(S-RRC)和UP两者生成将在S5G-NB中使用的安全密钥之后;向S5G-NB发送安全密钥;以及取决于M5G-MB的实现,利用将与UE和M5G-NB之间的SMC组合的UE或者经由专用RRC SMC过程来代表S5G-NB完成SMC,如果S5G-NB需要刷新安全密钥,则根据本发明的一些实施例的方法可以刷新安全密钥。
如图4中的1处所示,首先S5G-NB可以利用其S-RRC生成新安全密钥。可以通过使用新定义的KDF来生成新安全密钥。到新定义的KDF的输入参数可以包括随机数、S5G-NB的例如PCI的标识符、旧安全密钥等。本领域普通技术人员应当理解:上述参数仅是示例并且输入参数可以包括更多分量。
由于当LTE的SeNB需要刷新安全密钥时,其仅通过常规KDF,即,通过基于从MeNB获得的新密钥导出新安全密钥来获得用于其自身的新安全密钥,所以在这种情况下,SeNB不可避免地与MeNB交互。然而,新定义的KDF的使用可以省略从第二网络节点M5G-NB获得用于导出用于UE和S5G-NB两者的安全密钥的安全密钥的步骤,这可以显著消除对从S5G-NB到M5G-NB的SeNB Modification Required消息的需要。当然,如果期望,则在一些实施例中,S5G-NB仍可以从M5G-NB接收用于导出用于UE和S5G-NB两者的安全密钥的安全密钥。
在通过S5G-NB生成新安全密钥之后,S5G-NB可以向UE通知新安全密钥以及何时S5G-NB将开始使用新安全密钥,如图4中的2处所示。在一些实施例中,用于通知UE的手段可以是通过S5G-NB向UE发送配置消息,并且该配置消息可以是RRCConnectionReconfiguration消息。在一些实施例中,例如是RRCConnectionReconfiguration消息的配置消息除了新安全密钥之外可以包括用于指示何时S5G-NB将开始使用新安全密钥的指示。在一些实施例中,所述指示可以是用于协议数据单元的序列号(SN)。即,SN可以指示向将在DL中开始应用新安全密钥的UE传输的后续协议数据单元的协议数据单元,即,通过S5G-NB利用新安全密钥对后续协议数据单元的加密将从由指示指定的DL的某个协议数据单元开始。这样,UE可以获得何时它应当开始使用新安全密钥来解密传入的后续协议数据单元的知识。在一些实施例中,在UE和S5G-NB之间传输的协议数据单元可以是PDCP PDU。
相似地,如图4中的2处所示,UE可以从S5G-NB获得新安全密钥以及何时S5G-NB将开始使用新安全密钥。在一些实施例中,用于从S5G-NB获得新安全密钥以及何时S5G-NB将开始使用新安全密钥的手段可以是通过UE从S5G-NB接收配置消息,并且如上所述在一些实施例中,配置消息可以是RRCConnectionReconfiguration消息。在这种情况下,UE可以利用新安全密钥配置其自身并且知道何时S5G-NB将开始使用新安全密钥。为了令S5G-NB知道何时UE将开始使用新安全密钥来完成UE和S5G-NB之间的协商,UE还必须向S5G-NB通知何时UE将开始使用新安全密钥,以便如图4中的3处所示的那样,在一些实施例中,通过将例如是RRCConnectionReconfigurationComplete消息的消息发送回到S5G-NB来最终将新安全密钥投入使用。RRCConnectionReconfigurationComplete消息还可以指示UE已利用新安全密钥完成配置。在一些实施例中,在例如是RRCConnectionReconfigurationComplete消息的该消息中,还存在用于指示何时UE将开始使用新安全密钥的指示。在一些实施例中,所述指示可以是用于协议数据单元的序列号(SN)。即,SN可以指示向将在UL中开始应用新安全密钥的S5G-NB传输的后续协议数据单元的协议数据单元,即,通过UE利用新安全密钥对后续协议数据单元的加密将从由指示指定的UL的某个协议数据单元开始。这样,S5G-NB可以获得何时它应当开始使用新安全密钥来解密传入的后续协议数据单元的知识。在一些实施例中,在UE和S5G-NB之间传输的协议数据单元可以是PDCP PDU。
在一些实施例中,如上所述,指示哪个协议数据单元将在DL和UL中应用新安全密钥的以上指示可以是用于PDCP PDU的序列号SN。由于用于当UE从S5G-NB接收SN时用于刷新安全密钥的整个协作过程还没有完成,所以S5G-NB向UE发送的SN应当足够大,以允许整个协作过程的结束。即,不应当利用新安全密钥来加密由SN指定的DL的协议数据单元,直至整个协作过程完成。
替代地,本领域普通技术的人员应当理解:虽然以上示例使用了SN,但是用于指示何时S5G-NB或UE将开始使用新安全密钥以便在DL或UL中进行加密的指示可以是用于指示用于将新安全密钥投入使用的时机的任何指示。在一些实施例中,将新安全密钥投入用于S5G-NB或UE可以是开始利用新安全密钥来加密DL的协议数据单元和解密UL的协议数据单元或者开始加密UL的协议数据单元和解密DL的协议数据单元。
通过使用2和3处的消息,S5G-NB和UE两者知道了用于将新安全密钥投入使用的时机,并且因此不存在在UE和SeNB之间发起随机接入过程以创建用于将新安全密钥投入使用的时机的需要。因此,UE和SeNB之间的UP传输将不被随机接入过程中断。此外,由于保存了至少四个X2接口AP信令,所以根据本发明的一些实施例,将减少常规安全密钥刷新过程导致的时延。显著地,以上优势将带来5G通信系统中更好的用户体验。
图5图示了用于根据本发明的一些实施例的用于在S5G-NB处刷新安全密钥的方法的流程图。如图5中所示,一种方法可以包括在510处由第一网络节点(S5G-NB)生成新安全密钥。所述方法还可以包括在520处由第一网络节点向用户设备(UE)通知新安全密钥以及何时第一网络节点将开始使用新安全密钥。所述方法还可以包括在530处由第一网络节点获得何时用户设备将开始使用新安全密钥。以及所述方法可以包括在540处由第一网络节点将新安全密钥投入使用。
图6图示了根据本发明的一些实施例的用于在UE处刷新安全密钥的方法的流程图。一种方法可以包括在610处由用户设备(UE)从第一网络节点(S5G-NB)获得新安全密钥以及何时第一网络节点将开始使用新安全密钥。所述方法可以包括在620处由用户设备向第一网络节点通知何时用户设备将开始使用新安全密钥。并且所述方法还可以包括在630处由用户设备将新安全密钥投入使用。
图7图示了根据本发明的一些实施例的用于刷新安全密钥的装置700的框图。所述装置700包括至少一个处理器710、包括计算机程序代码的至少一个存储器720。利用至少一个处理器710将计算机程序代码和至少一个存储器720配置为使得所述装置至少执行根据图5的方法。
图8图示了根据本发明的一些实施例的用于在UE处刷新安全密钥的另一个装置800的框图。所述装置800包括至少一个处理器810、包括计算机程序代码的至少一个存储器820。利用至少一个处理器810将计算机程序代码和至少一个存储器820配置为使得所述装置至少执行根据图6的方法。
可以通过诸如中央处理单元(CPU)、专用集成电路(ASIC)或类似的设备之类的任何计算或数据处理设备体现图7和图8中所示的处理器710和810。处理器可以实现为单个控制器或者多个控制器或处理器。
图7和图8中所示的存储器720和820可以独立地是诸如非暂时性计算机可读介质之类的任何合适的存储设备。可以使用硬盘驱动器(HDD)、随机存取存储器(RAM)、闪存或其他合适的存储器。所述存储器可以组合在单个集成电路上作为处理器,或者可以与一个或多个处理器分离。而且,存储在存储器中并且可以由处理器处理的计算机程序指令可以是任何合适形式的计算机程序代码,例如,用任何合适的编程语言编写的编译或解释的计算机程序。
可以利用用于特定设备的处理器将存储器和计算机程序指令配置为执行本文中描述的任何方法(参见例如图5-6)。因此,在某些实施例中,可以利用计算机指令来编码非暂时性计算机可读介质,当在硬件中执行所述计算机指令时,所述计算机指令执行诸如本文中描述的方法中的一个方法之类的方法。替代地,可以完全地在硬件中执行本发明的某些实施例。
本领域普通技术的人员将容易理解:可以利用以不同的顺序的步骤和/或利用在配置上与公开的那些配置不同的硬件元件来实践如上所述的本发明。因此,虽然已基于这些优选的实施例描述了本发明,但是对于本领域中的技术人员而言将清楚:某些修改、变型以及替代结构是将清楚的,同时保持处于本发明的精神和范围之内。因此,为了确定本发明的边界和界限,应当参考所附权利要求书。
Claims (37)
1.一种方法,包括:
第一网络节点生成新安全密钥;
第一网络节点向用户设备通知新安全密钥以及何时第一网络节点将开始使用新安全密钥;
第一网络节点获得何时用户设备将开始使用新安全密钥;以及
第一网络节点将新安全密钥投入使用。
2.根据权利要求1所述的方法,其中
第一网络节点生成新安全密钥包括基于参数的集合生成新安全密钥。
3.根据权利要求2所述的方法,其中参数的集合可以包括随机数、第一网络节点的标识符以及旧安全密钥。
4.根据权利要求3所述的方法,其中
从由第二网络节点发送的安全密钥导出旧安全密钥。
5.根据权利要求1-4中的任一项所述的方法,其中
第一网络节点向用户设备通知新安全密钥以及何时第一网络节点将开始使用新安全密钥包括第一网络节点向用户设备发送配置消息;以及
第一网络节点获得何时用户设备将开始使用新安全密钥包括第一网络节点从用户设备接收配置完成消息。
6.根据权利要求5所述的方法,其中
配置消息包括新安全密钥和用于指示何时第一网络节点将开始使用新安全密钥的指示;以及
配置完成消息包括用于指示何时用户设备将开始使用新安全密钥的指示。
7.根据权利要求6所述的方法,其中
包括在配置消息和配置完成消息中的指示是用于协议数据单元的序列号。
8.根据权利要求5-7中的任一项所述的方法,其中
配置消息是RRCConnectionReconfiguration消息;以及
配置完成消息是RRCConnectionReconfigurationComplete消息。
9.根据权利要求1-8中的任一项所述的方法,其中
第一网络节点将新安全密钥投入使用包括第一网络节点利用新安全密钥在下行链路中加密协议数据单元以及第一网络节点利用新安全密钥在上行链路中解密协议数据单元。
10.根据权利要求1-9中的任一项所述的方法,其中
第一网络节点是次要接入节点。
11.根据权利要求4-9中的任一项所述的方法,其中
第二网络节点是主接入节点。
12.一种方法,包括:
用户设备从第一网络节点获得新安全密钥以及何时第一网络节点将开始使用新安全密钥;
用户设备向第一网络节点通知何时用户将开始使用新安全密钥;以及
用户设备将新安全密钥投入使用。
13.根据权利要求12所述的方法,其中
用户设备从第一网络节点获得新安全密钥以及何时第一网络节点将开始使用新安全密钥包括用户设备从第一网络节点接收配置消息;以及
用户设备向第一网络节点通知何时用户将开始使用新安全密钥包括用户设备向第一网络节点发送配置完成消息。
14.根据权利要求13所述的方法,其中
配置消息包括新安全密钥以及用于指示何时第一网络节点将开始使用新安全密钥的指示;以及
配置完成消息包括用于指示何时用户设备将开始使用新安全密钥的指示。
15.根据权利要求14所述的方法,其中
包括在配置消息和配置完成消息中的指示是用于协议数据单元的序列号。
16.根据权利要求13-15中的任一项所述的方法,其中
配置消息是RRCConnectionReconfiguration消息;以及
配置完成消息是RRCConnectionReconfigurationComplete消息。
17.根据权利要求12-16中的任一项所述的方法,其中
用户设备将新安全密钥投入使用包括用户设备利用新安全密钥在上行链路中加密协议数据单元以及用户设备利用新安全密钥在下行链路中解密协议数据单元。
18.根据权利要求12-17中的任一项所述的方法,其中
第一网络节点是次要接入节点。
19.一种装置,包括:
至少一个处理器,以及
包括计算机程序代码的至少一个存储器,其中利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置:
生成新安全密钥;
向用户设备通知新安全密钥以及何时所述装置将开始使用新安全密钥;
获得何时用户设备将开始使用新安全密钥;以及
将新安全密钥投入使用。
20.根据权利要求19所述的装置,其中
利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置生成新安全密钥包括利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置基于参数生成新安全密钥。
21.根据权利要求20所述的装置,其中参数包括随机数、第一网络节点的标识符以及旧安全密钥。
22.根据权利要求21所述的装置,其中
从由第二网络节点发送的安全密钥导出旧安全密钥。
23.根据权利要求19至22中的任一项所述的装置,其中
利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置向用户设备通知新安全密钥以及何时所述装置将开始使用新安全密钥包括利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置向用户设备发送配置消息;以及
利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置获得何时用户设备将开始使用新安全密钥包括利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置从用户设备接收配置完成消息。
24.根据权利要求23所述的装置,其中
配置消息包括新安全密钥和用于指示何时所述装置将开始使用新安全密钥的指示;以及
配置完成消息包括用于指示何时用户设备将开始使用新安全密钥的指示。
25.根据权利要求24所述的装置,其中
包括在配置消息和配置完成消息中的指示是用于协议数据单元的序列号。
26.根据权利要求23-25中的任一项所述的装置,其中
配置消息是RRCConnectionReconfiguration消息;以及
配置完成消息是RRCConnectionReconfigurationComplete消息。
27.根据权利要求19-26中的任一项所述的装置,其中
利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置将新安全密钥投入使用包括利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置利用新安全密钥在下行链路中加密协议数据单元以及利用新安全密钥在上行链路中解密协议数据单元。
28.根据权利要求19-27中的任一项所述的装置,其中
所述装置是次要接入节点。
29.根据权利要求22-27中的任一项所述的装置,其中
第二网络节点是主接入节点。
30.一种装置,包括:
至少一个处理器,以及
包括计算机程序代码的至少一个存储器,其中利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置:
从第一网络节点获得新安全密钥以及何时第一网络节点将开始使用新安全密钥;
向第一网络节点通知何时所述装置将开始使用新安全密钥;以及
将新安全密钥投入使用。
31.根据权利要求30所述的装置,其中
利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置从第一网络节点获得新安全密钥以及何时第一网络节点将开始使用新安全密钥包括利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置从第一网络节点接收配置消息;以及
利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置向第一网络节点通知何时所述装置将开始使用新安全密钥包括利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置向第一网络节点发送配置完成消息。
32.根据权利要求31所述的装置,其中
配置消息包括新安全密钥以及用于指示何时第一网络节点将开始使用新安全密钥的指示;以及
配置完成消息包括用于指示何时所述装置将开始使用新安全密钥的指示。
33.根据权利要求32所述的装置,其中
包括在配置消息和配置完成消息中的指示是用于协议数据单元的序列号。
34.根据权利要求31-33中的任一项所述的装置,其中
配置消息是RRCConnectionReconfiguration消息;以及
配置完成消息是RRCConnectionReconfigurationComplete消息。
35.根据权利要求30-34中的任一项所述的装置,其中
利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置将新安全密钥投入使用包括利用至少一个处理器将计算机程序代码和至少一个存储器配置为使得所述装置利用新安全密钥在上行链路中加密协议数据单元以及利用新安全密钥在下行链路中解密协议数据单元。
36.根据权利要求30-35中的任一项所述的装置,其中
第一网络节点是次要接入节点。
37.一种计算机程序产品,其体现在计算机可读的非暂时性介质上并且包括程序指令,当所述程序指令加载到计算机中时,所述程序指令执行计算机过程,所述计算机过程包括:
根据任何前述权利要求1至18所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2016/078431 WO2017173561A1 (en) | 2016-04-05 | 2016-04-05 | Optimized security key refresh procedure for 5g mc |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109196897A true CN109196897A (zh) | 2019-01-11 |
| CN109196897B CN109196897B (zh) | 2022-04-26 |
Family
ID=60000785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680086457.6A Active CN109196897B (zh) | 2016-04-05 | 2016-04-05 | 用于5g mc的优化的安全密钥刷新过程 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11212092B2 (zh) |
| EP (1) | EP3440860A4 (zh) |
| CN (1) | CN109196897B (zh) |
| WO (1) | WO2017173561A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110637469A (zh) * | 2017-05-15 | 2019-12-31 | 三星电子株式会社 | 用于在无线通信系统中管理安全密钥的装置和方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11038923B2 (en) * | 2018-02-16 | 2021-06-15 | Nokia Technologies Oy | Security management in communication systems with security-based architecture using application layer security |
| EP4005261A1 (en) * | 2019-08-15 | 2022-06-01 | Google LLC | Security key updates in dual connectivity |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101400059A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| WO2014087643A1 (en) * | 2012-12-06 | 2014-06-12 | Nec Corporation | Mtc key management for sending key from network to ue |
| CN103959829A (zh) * | 2013-11-01 | 2014-07-30 | 华为技术有限公司 | 一种双连接模式下的密钥处理方法和设备 |
| WO2015108389A1 (en) * | 2014-01-17 | 2015-07-23 | Samsung Electronics Co., Ltd. | Dual connectivity mode of operation of a user equipment in a wireless communication network |
| CN104918242A (zh) * | 2014-03-14 | 2015-09-16 | 中兴通讯股份有限公司 | 从基站密钥更新方法、从基站、终端及通信系统 |
| CN104936175A (zh) * | 2014-03-21 | 2015-09-23 | 上海贝尔股份有限公司 | 在双连接的通信环境下进行密钥更新的方法和装置 |
| CN105103517A (zh) * | 2014-01-28 | 2015-11-25 | 华为技术有限公司 | 一种安全密钥更改方法和基站及用户设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3858527B2 (ja) * | 1999-08-10 | 2006-12-13 | 富士ゼロックス株式会社 | データ生成装置およびデータ検証装置ならびにその方法 |
| ATE444617T1 (de) * | 2003-01-07 | 2009-10-15 | Qualcomm Inc | System, vorrichtung und verfahren zum auswechseln eines kryptographischen schlüssels |
| US7831679B2 (en) * | 2003-10-15 | 2010-11-09 | Microsoft Corporation | Guiding sensing and preferences for context-sensitive services |
| US20100091993A1 (en) * | 2007-02-02 | 2010-04-15 | Panasonic Corporation | Wireless communication device and encryption key updating method |
| CN101715188B (zh) * | 2010-01-14 | 2015-11-25 | 中兴通讯股份有限公司 | 一种空口密钥的更新方法及系统 |
| EP2813098B1 (en) * | 2012-02-06 | 2019-03-27 | Nokia Technologies Oy | A fast-accessing method and apparatus |
| EP3554047B1 (en) * | 2013-09-11 | 2020-11-04 | Samsung Electronics Co., Ltd. | Method and system to enable secure communication for inter-enb transmission |
-
2016
- 2016-04-05 US US16/091,403 patent/US11212092B2/en active Active
- 2016-04-05 EP EP16897496.2A patent/EP3440860A4/en active Pending
- 2016-04-05 WO PCT/CN2016/078431 patent/WO2017173561A1/en active Application Filing
- 2016-04-05 CN CN201680086457.6A patent/CN109196897B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101400059A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| WO2014087643A1 (en) * | 2012-12-06 | 2014-06-12 | Nec Corporation | Mtc key management for sending key from network to ue |
| CN103959829A (zh) * | 2013-11-01 | 2014-07-30 | 华为技术有限公司 | 一种双连接模式下的密钥处理方法和设备 |
| WO2015108389A1 (en) * | 2014-01-17 | 2015-07-23 | Samsung Electronics Co., Ltd. | Dual connectivity mode of operation of a user equipment in a wireless communication network |
| CN105103517A (zh) * | 2014-01-28 | 2015-11-25 | 华为技术有限公司 | 一种安全密钥更改方法和基站及用户设备 |
| CN104918242A (zh) * | 2014-03-14 | 2015-09-16 | 中兴通讯股份有限公司 | 从基站密钥更新方法、从基站、终端及通信系统 |
| CN104936175A (zh) * | 2014-03-21 | 2015-09-23 | 上海贝尔股份有限公司 | 在双连接的通信环境下进行密钥更新的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| ""draft_36300-c40_with_rev_marks"", 《3GPP TSG_RAN\WG2_RL2》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110637469A (zh) * | 2017-05-15 | 2019-12-31 | 三星电子株式会社 | 用于在无线通信系统中管理安全密钥的装置和方法 |
| US11445367B2 (en) | 2017-05-15 | 2022-09-13 | Samsung Electronics Co., Ltd. | Apparatus and method for managing security keys in wireless communication system |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190158282A1 (en) | 2019-05-23 |
| EP3440860A4 (en) | 2019-11-20 |
| CN109196897B (zh) | 2022-04-26 |
| EP3440860A1 (en) | 2019-02-13 |
| US11212092B2 (en) | 2021-12-28 |
| WO2017173561A1 (en) | 2017-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6769014B2 (ja) | セキュリティ保護ネゴシエーション方法およびネットワークエレメント | |
| EP3606274B1 (en) | Method executed in user equipment and base station and corresponding equipment | |
| US10812256B2 (en) | Method, apparatus, and system for performing an establishment of a security context between user equipment and an access node | |
| CN111052781B (zh) | 用于协商安全性算法和完整性算法的方法和设备 | |
| EP3574667B1 (en) | Methods and apparatueses for security management before handover from 5g to 4g system | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| KR102335693B1 (ko) | Rrc 재개/일시중단 시의 nr pdcp 보존을 위한 방법들 및 장치들 | |
| KR102040036B1 (ko) | 보안 패스워드 변경 방법, 기지국, 및 사용자 기기 | |
| TWI652957B (zh) | 基地台以及可在兩基地台間切換的通訊裝置 | |
| EP2813098B1 (en) | A fast-accessing method and apparatus | |
| US10321308B2 (en) | Method of refreshing a key in a user plane architecture 1A based dual connectivity situation | |
| WO2015062097A1 (zh) | 一种双连接模式下的密钥处理方法和设备 | |
| CN109804705A (zh) | 用于恢复无线设备的无线电连接的方法、设备和节点 | |
| CN111448813B (zh) | 与配置的安全保护进行通信的系统和方法 | |
| JP6412088B2 (ja) | デュアルコネクティビティのためのデータ送信/データ受信をハンドリングするデバイス及び方法 | |
| EP3293910B1 (en) | Device and method of handling cellular-wlan aggregation after handover | |
| EP3364679B1 (en) | Method and device thereof for generating access stratum key in communication system | |
| CN102215485A (zh) | 多载波通信系统中保证多载波切换或重建安全性的方法 | |
| US20210105671A1 (en) | Capability coordination for mobility with daps | |
| WO2014000687A1 (zh) | 一种接入点切换过程中传输数据的方法、系统和设备 | |
| CN109196897A (zh) | 用于5g mc的优化的安全密钥刷新过程 | |
| CN107615809A (zh) | 用户装置、基站以及通信方法 | |
| AU2021219571B2 (en) | Radio network node, user equipment (UE) and methods performed therein | |
| WO2024031699A1 (zh) | 连接建立方法及设备 | |
| TW201703558A (zh) | 處理認證程序的裝置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |