CN109560923B - 一种双连接模式下的密钥处理方法和设备 - Google Patents
一种双连接模式下的密钥处理方法和设备 Download PDFInfo
- Publication number
- CN109560923B CN109560923B CN201810950275.XA CN201810950275A CN109560923B CN 109560923 B CN109560923 B CN 109560923B CN 201810950275 A CN201810950275 A CN 201810950275A CN 109560923 B CN109560923 B CN 109560923B
- Authority
- CN
- China
- Prior art keywords
- key
- base station
- terminal
- information
- indication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 13
- 238000000034 method Methods 0.000 claims abstract description 126
- 230000006854 communication Effects 0.000 claims abstract description 74
- 238000004891 communication Methods 0.000 claims abstract description 72
- 238000012545 processing Methods 0.000 claims description 54
- 230000009977 dual effect Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 description 129
- 230000008569 process Effects 0.000 description 41
- 230000001960 triggered effect Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 18
- 238000012790 confirmation Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000011664 signaling Effects 0.000 description 7
- 239000004576 sand Substances 0.000 description 6
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 239000000969 carrier Substances 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/14—Multichannel or multilink protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0069—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0069—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
- H04W36/00692—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink using simultaneous multiple data streams, e.g. cooperative multipoint [CoMP], carrier aggregation [CA] or multiple input multiple output [MIMO]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Abstract
本发明实施例公开了一种双连接模式下的密钥处理方法和设备,保证了UE在双连接模式下的通信安全。本发明实施例的方法包括:在与终端均存在通信连接的第一基站和第二基站中,第二基站接收第一基站发送的第一请求信息,该第一请求信息用于请求所述第二基站生成与终端进行通信所使用的密钥;第二基站基于所述第一请求信息中携带的安全密钥,生成与终端进行通信所使用的密钥。
Description
本申请为2013年11月1日提交中国专利局、申请号为201380003342.2、申请名称为“一种双连接模式下的密钥处理方法和设备”的中国专利申请的分案,本申请全部内容包含在母案中。
技术领域
本发明涉及通信技术领域,特别涉及一种双连接模式下的密钥处理方法和设备。
背景技术
目前,为了提高无线网络的传输速率,增强用户体验,第三代合作伙伴计划(The3rd Generation Partnership,3GPP)组织正在讨论成了新的研究项目,即小小区网络增强。如图1所示,图中F1为低频段载波,其特点是覆盖范围大,但是资源比较稀缺;而F2为高频段载波,其特点是覆盖范围小,但是资源比较丰富。在传统的2G/3G网络中,一般使用较低频段载波,例如,采用频率为F1的低频段载波为用户提供服务。
随着智能手机的普及,用户对无线传输速率提出了更高的要求。为了满足用户的需求,需要逐步使用资源丰富的高频段载波来为用户提供服务。由于高频段载波具有覆盖范围小的特点,通常把这种使用高频段载波进行一定的小覆盖的基站称为小型基站(或微基站),该小型基站覆盖的范围一般称之为小小区(Small Cell)。小小区增强的主要思想是用户设备(User Equipment,UE)可以通过同时聚合来自宏小区和小小区的载波,以得到更多的可以利用的无线资源,从而提高数据传输的速率,如图2A和图2B所示的UE在双连接模式下的数据调度和传输方法,图中Macro Cell为宏基站的小区,Small Cell为微基站的小区,一般地,将宏基站选择为主基站(Master eNB,MeNB),而将微基站选择为辅基站(Secondary eNB,SeNB)。双连接模式下,一种可能的方向是宏基站作为主要的控制站点,负责UE的移动性管理,数据包的分流等。
UE与MeNB和SeNB进行双连接工作的模式主要分为以下两种情况:
情况1:UE与MeNB以及SeNB通信过程中,MeNB总是可以提供可靠的覆盖,即MeNB总是可以为UE提供可靠的信号质量;
情况2:UE与MeNB以及SeNB通信过程中,MeNB不能保证总是可以提供可靠的覆盖,即MeNB不能总是为UE提供可靠的信号质量。
由于UE与基站之间需要使用密钥进行数据传输,如控制面消息加密密钥、完整性保护密钥以及用户面数据加密密钥。现有长期演进(Long Term Evolution,LTE)系统中产生安全密钥KeNB的过程参见图3所示,包括:
1、UE在接入网络的过程中,移动性管理实体(Mobility Management Entity,MME)和UE首先分别基于自身所存储的UE的安全上下文信息,如图3中的密钥K(即Key),加密密钥(Cipher Key,CK),完整性保护密钥(Integrity Key,IK)等参数产生接入安全管理实体密钥KASME。
2、UE和MME基于产生的KASME,进一步生成安全密钥KeNB。
具体的,本步骤中,UE和MME基于KASME推导出KeNB的过程如下:
首先,确定如下参数:
-FC=0x11;
-P0=上行非接入层COUNT,这里COUNT值由数据包的超帧号和序列号组成;
-L0=上行非接入层COUNT值的长度。
然后,将上述确定的参数组合成一个输入链S;
最后,根据HMAC-SHA-256密钥衍生函数计算得到:KeNB=HMAC-SHA-256(KASME,S),其中,密钥衍生函数由IETF RFC 2104(1997)和ISO/IEC 10118-3:2004标准规定。
在UE和MME都生成KeNB之后,MME将会进一步将KeNB发生给eNB。进一步,UE和eNB基于KeNB生成数据传输时所使用的密钥,如控制面消息加密密钥、完整性保护密钥、以及用户面数据加密密钥。具体过程如下:
首先,确定如下参数:
-FC=0x15;
-P0=算法类似识别值(根据表1确定);
-L0=算法类似识别值的长度;
-P1=算法标识符;
-L1=算法标识符长度。
表1:算法类似识别值
算法类似识别值 | 值 |
RRC加密算法 | 0x03 |
RRC完整性保护算法 | 0x04 |
用户面数据加密算法 | 0x05 |
然后,将上述确定的参数组合成一个输入链S;
最后,根据HMAC-SHA-256密钥衍生函数计算得到:Key=HMAC-SHA-256(KeNB,S),其中,针对表1取不同的参数值,可以分别根据上面公式得到Kup-enc(即用户面数据加密密钥)、KCP-enc(即控制面RRC加密密钥)、以及KCP-int(即控制面RRC完整性保护密钥)。这里密钥衍生函数由IETF RFC 2104(1997)和ISO/IEC 10118-3:2004标准规定。
当UE同时工作在MeNB和SeNB时,UE可能需要基于不同的安全密钥分别与两个基站分别进行数据传输,但是也可能基于相同的安全密钥分别与两个基站进行数据传输。然而,目前现有的长期演进(Long Term Evolution,LTE)系统中,数据传输所使用的密钥的生成都是针对UE工作在一个基站的场景,无法直接应用于UE同时工作在MeNB和SeNB的双连接模式的场景,因此,当UE同时与MeNB以及SeNB进行通信时,如何产生密钥进行数据传输是一个亟需解决的问题。
发明内容
本发明实施例提供了一种双连接模式下的密钥处理方法和设备,保证了UE在双连接模式下的通信安全,同时也能避免密钥更新或密钥刷新过程中出现通信失败的情况。
第一方面,一种双连接模式下的密钥处理方法,该方法包括:
在与终端均存在通信连接的第一基站和第二基站中,所述第二基站接收所述第一基站发送的第一请求信息,所述第一请求信息用于请求所述第二基站生成与所述终端进行通信所使用的密钥;
所述第二基站基于所述第一请求信息中携带的安全密钥,生成与所述终端进行通信所使用的密钥。
结合第一方面,在第一种可能的实现方式中,所述第二基站基于所述第一请求信息中携带的安全密钥,生成与所述终端进行通信所使用的密钥,具体包括:
所述第二基站根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥,生成与所述终端进行通信所使用的密钥;或者,
所述第二基站根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥,生成与所述第一安全密钥不同的安全密钥,并根据生成的安全密钥,生成与所述终端进行通信所使用的密钥。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述第二基站生成与所述第一安全密钥不同的安全密钥,具体包括:
所述第二基站至少确定一个该第二基站覆盖的小区的物理小区标识PCI和频率信息,并根据确定的小区的PCI和频率信息以及所述第一安全密钥,生成与所述第一安全密钥不同的安全密钥。
结合第一方面,在在第三种可能的实现方式中,所述第二基站基于所述第一请求信息中携带的安全密钥,生成与所述终端进行通信所使用的密钥,具体包括:
所述第二基站根据所述第一请求信息中携带的移动管理实体MME为所述第二基站产生的第二安全密钥,生成与所述终端进行通信所使用的密钥。
结合第一方面、或第一方面的第一种可能的实现方式、或第一方面的第二种可能的实现方式、或第一方面的第三种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:
所述第二基站在接收到所述第一基站发送的所述第一请求信息后,向所述终端发送第二请求信息,所述第二请求信息用于请求所述终端生成与所述第二基站进行通信所使用的密钥。
本发明实施例中,所述第二请求信息中包含用于产生所述第二基站的安全密钥的小区的PCI和频率信息;或者,所述第二请求信息中包含用于指示所述终端为所述第二基站产生第二安全密钥的指示信息。
结合第一方面、或第一方面的第一种可能的实现方式、或第一方面的第二种可能的实现方式、或第一方面的第三种可能的实现方式、或第一方面的第四种可能的实现方式,在第五种可能的实现方式中,若所述第一基站与所述第二基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,则所述方法还包括:
所述第二基站接收所述第一基站发送的第一密钥刷新指示信息,其中,所述第一密钥刷新指示信息用于指示所述第二基站刷新与所述终端进行通信所使用的密钥;
所述第二基站根据第一密钥刷新指示信息中携带的信息生成新的安全密钥,并根据所述新的安全密钥生成与所述终端进行通信所使用的密钥。
结合第一方面、或第一方面的第一种可能的实现方式、或第一方面的第二种可能的实现方式、或第一方面的第三种可能的实现方式、或第一方面的第四种可能的实现方式、或第一方面的第五种可能的实现方式,在第六种可能的实现方式中,若所述第一基站与所述第二基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,则所述方法还包括:
所述第二基站在确定需要进行密钥刷新后,向所述第一基站发送第一密钥刷新指示信息,所述第一密钥刷新指示信息用于指示所述第一基站刷新与所述终端进行通信所使用的密钥;
所述第二基站在接收到所述第一基站返回的用于通知本次密钥刷新已完成的第一反馈信息,且所述第二基站完成本地密钥刷新后,使用刷新后的密钥与所述终端的通信。
结合第一方面的第五种可能的实现方式、或结合第一方面的第六种可能的实现方式,在第七种可能的实现方式中,所述方法还包括:
所述第二基站在确定需要进行密钥刷新后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与所述终端进行通信;或者,
所述第二基站在接收到所述第一基站发送的第一密钥刷新指示信息后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站所述终端已完成本次密钥刷新;
其中,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站及所述第二基站进行通信所使用的密钥。
本发明实施例中,所述第一密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息以及本次密钥刷新使用的下一跳NH值;或者,用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息以及本次密钥刷新使用的NH值。
结合第一方面、或第一方面的第一种可能的实现方式、或第一方面的第二种可能的实现方式、或第一方面的第三种可能的实现方式、或第一方面的第四种可能的实现方式,在第八种可能的实现方式中,若所述第一基站与所述第二基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥,则所述方法还包括:
所述第二基站在确定需要进行本地密钥刷新后,向所述第一基站发送第一指示信息,所述第一指示信息用于指示暂停向所述第二基站转发所述终端的数据;或者,
所述第二基站在确定需要进行本地密钥更新后,向所述第一基站发送第一指示信息,所述第一指示信息用于指示暂停向所述第二基站转发所述终端的数据。
结合第一方面、或第一方面的第一种可能的实现方式、或第一方面的第二种可能的实现方式、或第一方面的第三种可能的实现方式、或第一方面的第四种可能的实现方式,在第九种可能的实现方式中,若所述第一基站与所述第二基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥,则所述方法还包括:
所述第二基站接收所述第一基站发送的第一指示信息,所述第一指示信息用于指示暂停与所述终端相关的数据传输;
所述第二基站暂停与所述终端相关的数据传输,并在接收到所述第一基站发送的用于指示恢复与所述终端相关的数据传输的指示后,恢复与所述终端相关的数据传输。
结合第一方面的第八种可能的实现方式、或第一方面的第九种可能的实现方式,在第十种可能的实现方式中,所述方法还包括:
所述第二基站在确定需要进行本地密钥刷新后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站恢复与所述终端相关的数据传输,其中,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第二基站通信的密钥;或者,
所述第二基站在接收到所述第一基站发送的第一指示信息后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站所述终端已完成本次密钥刷新,其中,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站通信的密钥;或者,
所述第二基站在确定需要进行本地密钥更新后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站恢复与所述终端相关的数据传输,其中,所述第二密钥更新指示信息用于指示所述终端更新与所述第二基站通信的密钥;或者,
所述第二基站在接收到所述第一基站发送的第一指示信息后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站所述终端已完成本次密钥更新,其中,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站通信的密钥。
本发明实施例中,所述第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值;或者,用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。
优选的,所述第二密钥刷新指示信息进一步还包括所述第一基站或所述第二基站为所述终端进行随机接入所指定的小区的信息。
结合第一方面、或第一方面的第一种可能的实现方式、或第一方面的第二种可能的实现方式、或第一方面的第三种可能的实现方式、或第一方面的第四种可能的实现方式,在第十一种可能的实现方式中,若所述第一基站与所述第二基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,则所述方法还包括:
所述第二基站接收所述第一基站发送的第一密钥更新指示信息,所述第一密钥更新指示信息中携带所述第一基站从MME处获取新的安全密钥;
所述第二基站根据所述新的安全密钥,更新与所述终端进行通信所使用的密钥;
所述第二基站在完成本次密钥更新之后,向所述第一基站返回用于通知本次密钥更新已完成的第一回复信息。
结合第一方面的第十一种可能的实现方式,在第十二种可能的实现方式中,所述方法还包括:
所述第二基站在接收到所述第一基站发送的第一密钥更新指示信息后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站所述终端已完成本次密钥更新,其中,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站及所述第二基站进行通信所使用的密钥。
结合第一方面的第五种可能的实现方式、第一方面的第六种可能的实现方式、或第一方面的第七种可能的实现方式、或第一方面的第八种可能的实现方式、或第一方面的第十一种可能的实现方式、或第一方面的第十二种可能的实现方式,在第十三种可能的实现方式中,所述方法还包括:
所述第二基站在确定需要进行密钥刷新或接收到所述第一基站发送的第一密钥刷新指示信息时,暂停与所述终端相关的数据传输;以及所述第二基站在确定自身以及所述终端均完成本地密钥刷新后,使用刷新后的密钥恢复与所述终端相关的数据传输;或者,
所述第二基站在确定需要进行密钥更新或接收到所述第一基站发送的第一密钥更新指示信息时,暂停与所述终端相关的数据传输;以及所述第二基站在确定自身以及所述终端均完成本地密钥更新后,使用更新后的密钥恢复与所述终端相关的数据传输。
第二方面,一种双连接模式下的密钥处理方法,该方法包括:
与第一基站和第二基站均存在通信连接的终端接收所述第一基站或所述第二基站发送的第二请求信息,其中,所述第二请求信息用于请求所述终端生成与所述第二基站进行通信所使用的密钥;
所述终端根据所述第二请求信息,生成与所述第二基站进行通信所使用的密钥。
结合第二方面,在第一种可能的实现方式中,所述终端根据所述第二请求信息,生成与所述第二基站进行通信所使用的密钥,具体包括:
所述终端根据所述第二基站使用的安全算法以及自身为所述第一基站产生的第一安全密钥,生成与所述第二基站进行通信所使用的密钥;或者,
所述终端根据所述第二基站使用的安全算法以及所述第二请求信息中包含的用于产生所述第二基站的安全密钥的小区的PCI和频率信息,生成与所述第二基站进行通信所使用的密钥;或者,
所述终端根据保存的用于产生所述第二基站的第二安全密钥的安全上下文信息,产生所述第二安全密钥,并根据所述第二安全密钥生成与所述第二基站进行通信所使用的密钥。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述终端根据保存的用于产生所述第二基站的第二安全密钥的安全上下文信息,产生所述第二安全密钥,具体包括:
所述终端接收MME指示的用于生成所述第二安全密钥所使用的安全上下文信息的标识,并根据保存的所述标识对应的安全上下文信息,产生所述第二安全密钥。
结合第二方面、或第二方面的第一种可能的实现方式,在第三种可能的实现方式中,若所述第二请求信息中携带用于产生所述第二基站的安全密钥的小区的PCI和频率信息,则所述方法还包括:
所述终端在所述第二请求信息中包含的用于产生所述第二基站的安全密钥的PCI和频率信息对应的小区上执行随机接入,以接入到所述第二基站;
或者,
所述终端在所述第二请求信息中包含的所述第一基站或所述第二基站为所述终端进行随机接入所指定的小区上执行随机接入,以接入到所述第二基站。
结合第二方面、或第二方面的第一种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:
所述终端接收所述第一基站或所述第二基站发送的第二密钥刷新指示信息,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站和/或所述第二基站进行通信所使用的密钥;
所述终端根据所述第二密钥刷新指示信息中携带的信息生成新的安全密钥,并基于所述新的安全密钥生成与所述第一基站和/或所述第二基站进行通信所使用的密钥;
所述终端向所述第一基站或所述第二基站返回用于通知本次密钥刷新已完成的第二反馈信息。
本发明实施例中,所述第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值;或者,用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。
优选的,所述第二密钥刷新指示信息中还包括所述第一基站或所述第二基站为所述终端执行随机接入所指定的小区的信息,则所述终端在所指示的小区上进行随机接入;或者,
所述第二密钥刷新指示信息指示所述终端不执行随机接入,则所述终端不进行随机接入。
结合第二方面、第二方面的第一种可能的实现方式,在第五种可能的实现方式中,所述方法还包括:
所述终端接收所述第一基站或所述第二基站发送的第二密钥更新指示信息,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站及所述第二基站进行通信所使用的密钥;
所述终端根据保存的安全上下文信息生成新的安全密钥,并根据所述新的安全密钥生成与所述第一基站及所述第二基站进行通信所使用的密钥;
所述终端向所述第一基站或所述第二基站返回用于通知本次密钥更新已完成的第二回复信息。
第三方面,一种基站,该基站包括:
接收模块,用于接收第一基站发送的第一请求信息,所述第一请求信息用于请求本基站生成与所述终端进行通信所使用的密钥;
处理模块,用于基于所述第一请求信息中携带的安全密钥,生成与所述终端进行通信所使用的密钥;
其中,本基站与所述第一基站均与所述终端存在通信连接。
结合第三方面,在第一种可能的实现方式中,所述处理模块具体用于:
根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥,生成与所述终端进行通信所使用的密钥;或者,
根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥,生成与所述第一安全密钥不同的安全密钥,并根据生成的安全密钥,生成与所述终端进行通信所使用的密钥。
结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理模块生成与所述第一安全密钥不同的安全密钥,具体包括:
至少确定一个该第二基站覆盖的小区的物理小区标识PCI和频率信息,并根据确定的小区的PCI和频率信息以及所述第一安全密钥,生成与所述第一安全密钥不同的安全密钥。
结合第三方面,在第三种可能的实现方式中,所述处理模块具体用于:
根据所述第一请求信息中携带的MME为本基站产生的第二安全密钥,生成与所述终端进行通信所使用的密钥。
结合第三方面、或第三方面的第一种可能的实现方式、或第三方面的第二种可能的实现方式、或第三方面的第三种可能的实现方式,在第四种可能的实现方式中,所述处理模块还用于:
在所述接收模块接收到所述第一基站发送的所述第一请求信息后,向所述终端发送第二请求信息,所述第二请求信息用于请求所述终端生成与本第二基站进行通信所使用的密钥。
结合第三方面、或第三方面的第一种可能的实现方式、或第三方面的第二种可能的实现方式、或第三方面的第三种可能的实现方式、或第三方面的第四种可能的实现方式,在第五种可能的实现方式中,若所述第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,则:
所述接收模块还用于接收所述第一基站发送的第一密钥刷新指示信息,所述第一密钥刷新指示信息用于指示本基站刷新与所述终端进行通信所使用的密钥;
所述处理模块还用于根据第一密钥刷新指示信息中携带的信息生成新的安全密钥,并根据所述新的安全密钥生成与所述终端进行通信所使用的密钥。
结合第三方面、或第三方面的第一种可能的实现方式、或第三方面的第二种可能的实现方式、或第三方面的第三种可能的实现方式、或第三方面的第四种可能的实现方式、或第三方面的第五种可能的实现方式,在第六种可能的实现方式中,若所述第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,所述处理模块还用于:
在确定需要进行密钥刷新后,向所述第一基站发送第一密钥刷新指示信息,所述第一密钥刷新指示信息用于指示所述第一基站刷新与所述终端进行通信所使用的密钥;以及在接收到所述第一基站返回的用于通知本次密钥刷新已完成的第一反馈信息,且自身已完成本地密钥刷新后,使用刷新后的密钥与所述终端的通信。
结合第三方面的第五种可能的实现方式、或结合第三方面的第六种可能的实现方式,在第七种可能的实现方式中,所述处理模块还用于:
在确定需要进行密钥刷新后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与所述终端进行通信;或者,
在接收到所述第一基站发送的第一密钥刷新指示信息后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站所述终端已完成本次密钥刷新;
其中,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站及本基站进行通信所使用的密钥。
结合第三方面、或第三方面的第一种可能的实现方式、或第三方面的第二种可能的实现方式、或第三方面的第三种可能的实现方式、或第三方面的第四种可能的实现方式,在第八种可能的实现方式中,若所述第一基站与本基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥,所述处理模块还用于:
在确定需要进行本地密钥刷新后,向所述第一基站发送第一指示信息,所述第一指示信息用于指示暂停向本基站转发所述终端的数据;或者,
在确定需要进行本地密钥更新后,向所述第一基站发送第一指示信息,所述第一指示信息用于指示暂停向本基站转发所述终端的数据。
结合第三方面、或第三方面的第一种可能的实现方式、或第三方面的第二种可能的实现方式、或第三方面的第三种可能的实现方式、或第三方面的第四种可能的实现方式,在第九种可能的实现方式中,所述第一基站与本基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥,则:
所述接收模块还用于接收所述第一基站发送的第一指示信息,所述第一指示信息用于指示暂停与所述终端相关的数据传输;
所述处理模块还用于暂停与所述终端相关的数据传输,并在所述接收模块接收到所述第一基站发送的用于指示恢复与所述终端相关的数据传输的指示后,恢复与所述终端相关的数据传输。
结合第三方面的第八种可能的实现方式、或第三方面的第九种可能的实现方式,在第十种可能的实现方式中,所述处理模块还用于:
在确定需要进行本地密钥刷新后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站恢复与所述终端相关的数据传输,其中,所述第二密钥刷新指示信息用于指示所述终端刷新与本基站通信的密钥;或者,
在所述接收模块接收到所述第一基站发送的第一指示信息后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站所述终端已完成本次密钥刷新,其中,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站通信的密钥;或者,
在确定需要进行本地密钥更新后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站恢复与所述终端相关的数据传输,其中,所述第二密钥更新指示信息用于指示所述终端更新与本基站通信的密钥;或者,
在所述接收模块接收到所述第一基站发送的第一指示信息后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站所述终端已完成本次密钥更新,其中,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站通信的密钥。
结合第三方面、或第三方面的第一种可能的实现方式、或第三方面的第二种可能的实现方式、或第三方面的第三种可能的实现方式、或第三方面的第四种可能的实现方式,在第十一种可能的实现方式中,若所述第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,则:
所述接收模块还用于:接收所述第一基站发送的第一密钥更新指示信息,所述第一密钥更新指示信息中携带所述第一基站从MME处获取新的安全密钥;
所述处理模块还用于:根据所述新的安全密钥,更新与所述终端进行通信所使用的密钥;以及在完成本次密钥更新之后,向所述第一基站返回用于通知本次密钥更新已完成的第一回复信息。
结合第三方面的第十一种可能的实现方式,在第十二种可能的实现方式中,所述处理模块还用于:
在所述接收模块接收到所述第一基站发送的第一密钥更新指示信息后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站所述终端已完成本次密钥更新,其中,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站及本基站进行通信所使用的密钥。
结合第三方面的第五种可能的实现方式、第三方面的第六种可能的实现方式、或第三方面的第七种可能的实现方式、或第三方面的第八种可能的实现方式、或第三方面的第十一种可能的实现方式、或第三方面的第十二种可能的实现方式,在第十三种可能的实现方式中,所述处理模块还用于:
在确定需要进行密钥刷新或接收到所述第一基站发送的第一密钥刷新指示信息时,暂停与所述终端相关的数据传输;以及在确定自身以及所述终端均完成本地密钥刷新后,使用刷新后的密钥恢复与所述终端相关的数据传输;
或者,
在确定需要进行密钥更新或接收到所述第一基站发送的第一密钥更新指示信息时,暂停与所述终端相关的数据传输;以及在确定自身以及所述终端均完成本地密钥更新后,使用更新后的密钥恢复与所述终端相关的数据传输。
第四方面,一种终端,该终端与第一基站和第二基站均存在通信连接,包括:
接收模块,用于接收所述第一基站或所述第二基站发送的第二请求信息,其中,所述第二请求信息用于请求所述终端生成与所述第二基站进行通信所使用的密钥;
处理模块,用于根据所述第二请求信息,生成与所述第二基站进行通信所使用的密钥。
结合第四方面,在第一种可能的实现方式中,所述处理模块具体用于:
根据所述第二基站使用的安全算法以及自身为所述第一基站产生的第一安全密钥,生成与所述第二基站进行通信所使用的密钥;或者,
根据所述第二基站使用的安全算法以及所述第二请求信息中包含的用于产生所述第二基站的安全密钥的小区的PCI和频率信息,生成与所述第二基站进行通信所使用的密钥;或者,
根据保存的用于产生所述第二基站的第二安全密钥的安全上下文信息,产生所述第二安全密钥,并根据所述第二安全密钥生成与所述第二基站进行通信所使用的密钥。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述接收模块还用于:接收MME指示的用于生成所述第二安全密钥所使用的安全上下文信息的标识;
所述处理模块具体用于:根据保存的所述标识对应的安全上下文信息,产生所述第二安全密钥。
结合第四方面、或第四方面的第一种可能的实现方式,在第三种可能的实现方式中,若所述第二请求信息中携带用于产生所述第二基站的安全密钥的小区的PCI和频率信息,则所述处理模块还用于:
在所述第二请求信息中包含的用于产生所述第二基站的安全密钥的PCI和频率信息对应的小区上执行随机接入,以接入到所述第二基站;或者,在所述第二请求信息中包含的所述第一基站或所述第二基站为所述终端进行随机接入所指定的小区上执行随机接入,以接入到所述第二基站。
结合第四方面、或第四方面的第一种可能的实现方式,在第四种可能的实现方式中,
所述接收模块还用于:接收所述第一基站或所述第二基站发送的第二密钥刷新指示信息,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站和/或所述第二基站进行通信所使用的密钥;
所述处理模块还用于:根据所述第二密钥刷新指示信息中携带的信息生成新的安全密钥,并基于所述新的安全密钥生成与所述第一基站和/或所述第二基站进行通信所使用的密钥;以及向所述第一基站或所述第二基站返回用于通知本次密钥刷新已完成的第二反馈信息。
结合第四方面、第四方面的第一种可能的实现方式,在第五种可能的实现方式中,
所述接收模块还用于:接收所述第一基站或所述第二基站发送的第二密钥更新指示信息,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站及所述第二基站进行通信所使用的密钥;
所述处理模块还用于:根据保存的安全上下文信息生成新的安全密钥,并根据所述新的安全密钥生成与所述第一基站及所述第二基站进行通信所使用的密钥;以及向所述第一基站或所述第二基站返回用于通知本次密钥更新已完成的第二回复信息。
第五方面,另一种基站,该基站包括:
收发器,用于接收第一基站发送的第一请求信息,所述第一请求信息用于请求本基站生成与所述终端进行通信所使用的密钥;
处理器,用于基于所述第一请求信息中携带的安全密钥,生成与所述终端进行通信所使用的密钥;
其中,本基站与所述第一基站均与所述终端存在通信连接。
结合第五方面,在第一种可能的实现方式中,所述处理器具体用于:
根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥,生成与所述终端进行通信所使用的密钥;或者,
根据所述第一请求信息中携带的所述第一基站当前使用的第一安全密钥,生成与所述第一安全密钥不同的安全密钥,并根据生成的安全密钥,生成与所述终端进行通信所使用的密钥。
结合第五方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理器生成与所述第一安全密钥不同的安全密钥,具体包括:
至少确定一个该第二基站覆盖的小区的物理小区标识PCI和频率信息,并根据确定的小区的PCI和频率信息以及所述第一安全密钥,生成与所述第一安全密钥不同的安全密钥。
结合第五方面,在第三种可能的实现方式中,所述处理器具体用于:
根据所述第一请求信息中携带的MME为本基站产生的第二安全密钥,生成与所述终端进行通信所使用的密钥。
结合第五方面、或第五方面的第一种可能的实现方式、或第五方面的第二种可能的实现方式、或第五方面的第三种可能的实现方式,在第四种可能的实现方式中,所述收发器还用于:
在接收到所述第一基站发送的所述第一请求信息后,向所述终端发送第二请求信息,所述第二请求信息用于请求所述终端生成与本第二基站进行通信所使用的密钥。
结合第五方面、或第五方面的第一种可能的实现方式、或第五方面的第二种可能的实现方式、或第五方面的第三种可能的实现方式、或第五方面的第四种可能的实现方式,在第五种可能的实现方式中,若所述第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,则:
所述收发器还用于接收所述第一基站发送的第一密钥刷新指示信息,所述第一密钥刷新指示信息用于指示本基站刷新与所述终端进行通信所使用的密钥;
所述处理器还用于根据第一密钥刷新指示信息中携带的信息生成新的安全密钥,并根据所述新的安全密钥生成与所述终端进行通信所使用的密钥。
结合第五方面、或第五方面的第一种可能的实现方式、或第五方面的第二种可能的实现方式、或第五方面的第三种可能的实现方式、或第五方面的第四种可能的实现方式、或第五方面的第五种可能的实现方式,在第六种可能的实现方式中,若所述第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,所述处理器还用于:
在确定需要进行密钥刷新后,触发所述收发器向所述第一基站发送第一密钥刷新指示信息,所述第一密钥刷新指示信息用于指示所述第一基站刷新与所述终端进行通信所使用的密钥;以及在所述收发器接收到所述第一基站返回的用于通知本次密钥刷新已完成的第一反馈信息,且自身已完成本地密钥刷新后,使用刷新后的密钥与所述终端的通信。
结合第五方面的第五种可能的实现方式、或结合第五方面的第六种可能的实现方式,在第七种可能的实现方式中,
所述处理器还用于:在确定需要进行密钥刷新后,触发所述收发器向所述终端发送第二密钥刷新指示信息,并在所述收发器接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与所述终端进行通信;
或者,
所述收发器还用于:在接收到所述第一基站发送的第一密钥刷新指示信息后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站所述终端已完成本次密钥刷新;
其中,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站及本基站进行通信所使用的密钥。
结合第五方面、或第五方面的第一种可能的实现方式、或第五方面的第二种可能的实现方式、或第五方面的第三种可能的实现方式、或第五方面的第四种可能的实现方式,在第八种可能的实现方式中,若所述第一基站与本基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥,所述收发器还用于:
在所述处理器确定需要进行本地密钥刷新后,向所述第一基站发送第一指示信息,所述第一指示信息用于指示暂停向本基站转发所述终端的数据;或者,在所述处理器确定需要进行本地密钥更新后,向所述第一基站发送第一指示信息,所述第一指示信息用于指示暂停向本基站转发所述终端的数据。
结合第五方面、或第五方面的第一种可能的实现方式、或第五方面的第二种可能的实现方式、或第五方面的第三种可能的实现方式、或第五方面的第四种可能的实现方式,在第九种可能的实现方式中,所述第一基站与本基站基于不同的安全密钥生成与所述终端进行通信所使用的密钥,则:
所述收发器还用于接收所述第一基站发送的第一指示信息,所述第一指示信息用于指示暂停与所述终端相关的数据传输;
所述处理器还用于暂停与所述终端相关的数据传输,并在所述收发器接收到所述第一基站发送的用于指示恢复与所述终端相关的数据传输的指示后,恢复与所述终端相关的数据传输。
结合第五方面的第八种可能的实现方式、或第五方面的第九种可能的实现方式,在第十种可能的实现方式中,所述收发器还用于:
在所述处理器确定需要进行本地密钥刷新后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站恢复与所述终端相关的数据传输,所述第二密钥刷新指示信息用于指示所述终端刷新与本基站通信的密钥;或者,
在接收到所述第一基站发送的第一指示信息后,向所述终端发送第二密钥刷新指示信息,并在接收到所述终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知所述第一基站所述终端已完成本次密钥刷新,其中,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站通信的密钥;或者,
在处理器确定需要进行本地密钥更新后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站恢复与所述终端相关的数据传输,所述第二密钥更新指示信息用于指示所述终端更新与本基站通信的密钥;或者,
在接收到所述第一基站发送的第一指示信息后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站所述终端已完成本次密钥更新,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站通信的密钥。
结合第五方面、或第五方面的第一种可能的实现方式、或第五方面的第二种可能的实现方式、或第五方面的第三种可能的实现方式、或第五方面的第四种可能的实现方式,在第十一种可能的实现方式中,若所述第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,则:
所述收发器还用于:接收所述第一基站发送的第一密钥更新指示信息,所述第一密钥更新指示信息中携带所述第一基站从MME处获取新的安全密钥;
所述处理器还用于:根据所述新的安全密钥,更新与所述终端进行通信所使用的密钥;以及在完成本次密钥更新之后,触发收发器向所述第一基站返回用于通知本次密钥更新已完成的第一回复信息。
结合第五方面的第十一种可能的实现方式,在第十二种可能的实现方式中,所述收发器还用于:
在接收到所述第一基站发送的第一密钥更新指示信息后,向所述终端发送第二密钥更新指示信息,并在接收到所述终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知所述第一基站所述终端已完成本次密钥更新,其中,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站及本基站进行通信所使用的密钥。
结合第五方面的第五种可能的实现方式、第五方面的第六种可能的实现方式、或第五方面的第七种可能的实现方式、或第五方面的第八种可能的实现方式、或第五方面的第十一种可能的实现方式、或第五方面的第十二种可能的实现方式,在第十三种可能的实现方式中,所述处理器还用于:
在确定需要进行密钥刷新或接收到所述第一基站发送的第一密钥刷新指示信息时,暂停与所述终端相关的数据传输;以及在确定自身以及所述终端均完成本地密钥刷新后,使用刷新后的密钥恢复与所述终端相关的数据传输;
或者,
在确定需要进行密钥更新或接收到所述第一基站发送的第一密钥更新指示信息时,暂停与所述终端相关的数据传输;以及在确定自身以及所述终端均完成本地密钥更新后,使用更新后的密钥恢复与所述终端相关的数据传输。
第六方面,另一种终端,该终端与第一基站和第二基站均存在通信连接,包括:
收发器,用于接收所述第一基站或所述第二基站发送的第二请求信息,其中,所述第二请求信息用于请求所述终端生成与所述第二基站进行通信所使用的密钥;
处理器,用于根据所述第二请求信息,生成与所述第二基站进行通信所使用的密钥。
结合第六方面,在第一种可能的实现方式中,所述处理器具体用于:
根据所述第二基站使用的安全算法以及自身为所述第一基站产生的第一安全密钥,生成与所述第二基站进行通信所使用的密钥;或者,
根据所述第二基站使用的安全算法以及所述第二请求信息中包含的用于产生所述第二基站的安全密钥的小区的PCI和频率信息,生成与所述第二基站进行通信所使用的密钥;或者,
根据保存的用于产生所述第二基站的第二安全密钥的安全上下文信息,产生所述第二安全密钥,并根据所述第二安全密钥生成与所述第二基站进行通信所使用的密钥。
结合第六方面的第一种可能的实现方式,在第二种可能的实现方式中,所述收发器还用于:接收MME指示的用于生成所述第二安全密钥所使用的安全上下文信息的标识;所述处理器还用于:根据保存的所述标识对应的安全上下文信息,产生所述第二安全密钥。
结合第六方面、或第六方面的第一种可能的实现方式,在第三种可能的实现方式中,若所述第二请求信息中携带用于产生所述第二基站的安全密钥的小区的PCI和频率信息,则所述处理器还用于:
在所述第二请求信息中包含的用于产生所述第二基站的安全密钥的PCI和频率信息对应的小区上执行随机接入,以接入到所述第二基站;或者,在所述第二请求信息中包含的所述第一基站或所述第二基站为所述终端进行随机接入所指定的小区上执行随机接入,以接入到所述第二基站。
结合第六方面、或第六方面的第一种可能的实现方式,在第四种可能的实现方式中,所述收发器还用于:接收所述第一基站或所述第二基站发送的第二密钥刷新指示信息,所述第二密钥刷新指示信息用于指示所述终端刷新与所述第一基站和/或所述第二基站进行通信所使用的密钥;
所述处理器还用于:根据所述第二密钥刷新指示信息中携带的信息生成新的安全密钥,并基于所述新的安全密钥生成与所述第一基站和/或所述第二基站进行通信所使用的密钥;以及触发所述收发器向所述第一基站或所述第二基站返回用于通知本次密钥刷新已完成的第二反馈信息。
结合第六方面、第六方面的第一种可能的实现方式,在第五种可能的实现方式中,所述收发器还用于:接收所述第一基站或所述第二基站发送的第二密钥更新指示信息,所述第二密钥更新指示信息用于指示所述终端更新与所述第一基站及所述第二基站进行通信所使用的密钥;
所述处理器还用于:根据保存的安全上下文信息生成新的安全密钥,并根据所述新的安全密钥生成与所述第一基站及所述第二基站进行通信所使用的密钥;以及触发收发器向所述第一基站或所述第二基站返回用于通知本次密钥更新已完成的第二回复信息。
附图说明
图1为背景技术中小小区增强示意图;
图2A为背景技术中第一种双连接模式示意图;
图2B为背景技术中第二种双连接模式示意图;
图3为背景技术中密钥生成示意图;
图4为本发明实施例提供的基站侧的密钥处理方法示意图;
图5为本发明实施例提供的终端侧的密钥处理方法示意图;
图6为本发明实施例提供的实施例一的流程示意图;
图7为本发明实施例提供的实施例二的流程示意图;
图8为本发明实施例提供的实施例三的流程示意图;
图9为本发明实施例提供的实施例四的流程示意图;
图10为本发明实施例提供的实施例五的流程示意图;
图11为本发明实施例提供的一种基站的示意图;
图12为本发明实施例提供的一种终端的示意图;
图13为本发明实施例提供的另一种基站的示意图;
图14为本发明实施例提供的另一种终端的示意图。
具体实施方式
本发明实施例提供了一种终端在双连接模式下工作时的密钥处理方法,包括初始密钥生成、密钥刷新以及密钥更新的具体实现方案,保证了终端在双连接模式下的通信安全。
下面结合说明书附图对本发明实施例作进一步详细描述。
参见图4所示,本发明实施例提供了一种双连接模式下的密钥处理方法,该方法包括以下步骤:
S41、在与终端均存在通信连接的第一基站和第二基站中,第二基站接收第一基站发送的第一请求信息,该第一请求信息用于请求第二基站生成与终端进行通信所使用的密钥。
其中,该第一请求信息中携带安全密钥,以使第二基站可以根据该安全密钥,生成与终端进行通信所使用的密钥。
进一步,第一请求信息中所携带的安全密钥可以第一基站当前所使用的第一安全密钥,也可以是移动性管理实体(Mobility Management Entity,MME)为第二基站生成的第二安全密钥。其中,第一基站当前所使用的第一安全密钥可以是移动性管理实体(MobilityManagement Entity,MME)为该第一基站产生的第一安全密钥(即KeNB),即初始时的第一安全密钥;也可以是第一基站刷新或更新后的第一安全密钥,即第一基站在确定满足密钥刷新触发条件(或密钥更新触发条件)后,对当前所使用的第一安全密钥进行刷新(或更新)。
本发明实施例中,MME及终端中均存储至少一套用于生成安全密钥的安全上下文信息,MME(或终端)可以基于自身存储的每套安全上下文信息产生不同的安全密钥,其中,MME及终端中存储的安全上下文信息相同。
其中,每套安全上下文信息至少包括K、CK、以及IK参数。
本发明实施例中,若MME及终端中至少存储两套用于生成安全密钥的安全上下文信息,则为了保证MME与终端使用相同的安全上下文信息生成第一基站的第一安全密钥、第二基站的第二安全密钥、或第一基站和第二基站的安全密钥(即第一基站与第二基站使用相同的安全密钥),优选的,MME指示终端用于生成第一基站的第一安全密钥、或第二基站的第二安全密钥、或第一基站和第二基站的安全密钥的标识(如安全上下文信息的编号)。本发明不限于上述方法,只要能保证MME与终端生成的第一安全密钥及第二安全密钥均相同的方法均能适用于本发明。
S42、第二基站基于接收到的第一请求信息中携带的安全密钥,生成与终端进行通信所使用的密钥。
本发明实施例中,第二基站接收第一基站发送的第一请求信息,该第一请求信息用于请求第二基站生成与终端进行通信所使用的密钥;第二基站基于接收到的第一请求信息中携带的安全密钥,生成与终端进行通信所使用的密钥,从而使第二基站能够生成与终端进行通信所使用的密钥,保证了终端在双连接模式下的通信安全。
本发明实施例中,基站(包括第一基站及第二基站)与终端进行通信所使用的密钥包括但不限于以下密钥中的一种或组合:
控制面消息的加密密钥、控制面消息的完整性保护密钥、以及用户面数据的加密密钥。
本发明实施例中,上述第二基站的初始密钥生成过程是由终端的主基站(如宏小区所属的基站、主小区所属的基站等)进行触发的,即上述步骤S41及步骤S42中第一基站为终端的主基站,第二基站为终端的辅基站(如小小区所属的基站、辅小区所属的基站等)。
步骤S41中,作为一种优选的实现方式,第一基站向第二基站发送的第一请求信息可以是SeNB增加请求消息,该SeNB增加请求消息用于请求第二基站为第一基站进行分流,且该SeNB增加请求消息中携带安全密钥。
具体的,第一基站向第二基站发送的SeNB增加请求消息的触发条件为:第一基站基于卸载自身负载的需要,将部分业务或部分数据分流到第二基站进行传输,所以需要向第二基站发送SeNB增加请求消息,以请求第二基站为第一基站进行分流。进一步,该SeNB增加请求消息中可以包含需要第二基站进行分流的业务或者数据的相关信息。
基于上述优选的实现方式,相应的,步骤S42中,第二基站在接收到第一基站发送的SeNB增加请求消息后,确定自身是否允许为第一基站分流,在确定可以进行分流时,根据该SeNB增加请求消息中携带的安全密钥,生成与终端进行通信所使用的密钥,之后向第一基站返回SeNB增加确认消息。
具体的,本发明实施例不对上述两个过程的执行顺序进行限定,第二基站在接收到第一基站发送的SeNB增加请求消息后,可以先确定自身是否允许为第一基站分流,再根据该SeNB增加请求消息中携带的安全密钥,生成与终端进行通信所使用的密钥;或者,第二基站在接收到第一基站发送的SeNB增加请求消息后,可以先根据该SeNB增加请求消息中携带的安全密钥,生成与终端进行通信所使用的密钥,再确定自身是否允许为第一基站分流。
进一步,若第二基站确定自身允许为第一基站分流,则SeNB增加确认消息中携带用于指示第二基站允许为第一基站分流的指示,或者携带可以为第一基站分流的SCell的信息(如小区的标识信息、和/或小区的频率信息等);优选的,该SeNB增加确认消息中还携带第二基站使用的安全算法的标识信息、和/或第二基站为终端确定的该第二基站覆盖的至少一个小区的信息(如小区的标识信息和/或小区的频率信息等);
若第二基站确定自身不允许为第一基站分流,则SeNB增加确认消息中携带用于指示第二基站不允许为第一基站分流的指示。
上述实施例中,第二基站接收到的第一请求信息可以采用现有的SeNB增加请求消息,从而在第一基站进行分流配置的时候,即可使第二基站生成与终端进行通信所使用的密钥,节省了系统信令开销。当然,该第一请求信息也可以采用其他现有消息,或者采用新的信令,例如SCell增加请求消息,本发明实施例不对第一请求信息的实现方式进行限定。
在实施中,步骤S42具体包括以下几种实现方式:
方式一、第一请求信息中携带的安全密钥为第一基站当前使用的第一安全密钥,则:第二基站根据该第一请求信息中携带的第一基站当前使用的第一安全密钥,生成与终端进行通信所使用的密钥。
其中,第一基站当前所使用的第一安全密钥可以为MME为第一基站产生的初始的第一安全密钥,或者第一基站刷新后的第一安全密钥,或者第一基站更新后的第一安全密钥。
具体的,第二基站根据第一请求信息中携带的第一基站当前使用的第一安全密钥以及自身的安全算法,生成与终端进行通信所使用的密钥。
该方式下,第一基站及第二基站使用相同的安全密钥,分别生成与同一终端进行通信所使用的密钥。
方式二、第一请求信息中携带的安全密钥为第一基站当前使用的第一安全密钥,则:第二基站根据第一请求信息中携带的第一基站当前使用的第一安全密钥,生成与第一安全密钥不同的安全密钥,并根据生成的安全密钥,生成与终端进行通信所使用的密钥。
其中,第一基站当前使用的第一安全密钥可以为MME为第一基站产生的初始的第一安全密钥,或者第一基站刷新后的第一安全密钥,或者第一基站更新后的第一安全密钥。
具体的,第二基站先基于第一基站当前使用的第一安全密钥,生成与第一基站当前使用的第一安全密钥不同的安全密钥,再根据生成的安全密钥以及自身的安全算法,生成与终端进行通信所使用的密钥。
该方式中,第二基站生成与第一安全密钥不同的安全密钥,具体包括:
第二基站至少确定一个该第二基站的小区的物理小区标识(Physical CellIdentity,PCI)和频率信息,并根据确定的小区的PCI和频率信息,生成与第一基站当前所使用的第一安全密钥不同的安全密钥。其中,第二基站确定的该第二基站的小区是指由该第二基站进行管理和控制的小区(或者称之为与第二基站相关的小区)。
该方式下,第二基站使用与第一基站不同的安全密钥,生成与同一终端进行通信所使用的密钥。
上述方式一和方式二中,第一请求信息中均携带的是第一基站当前使用的第一安全密钥,第一基站可以与第二基站预先约定是否使用相同的安全密钥生成与终端进行通信所使用的密钥;也可以在协议中规定第一基站与第二基站是否使用相同的安全密钥生成与终端进行通信所使用的密钥;还可以通过在第一请求信息中携带指示信息,以指示第二基站是否使用与第一基站相同的安全密钥生成与终端进行通信所使用的密钥。
方式三、第一请求信息中携带的安全密钥为MME为第二基站产生的第二安全密钥,则:第二基站根据该第一请求信息中携带的第二安全密钥,生成与终端进行通信所使用的密钥。
该方式下,第一基站在发送第一请求信息之前,先从MME处获取该MME为第二基站生成的第二安全密钥。
该方式下,MME存储至少两套安全上下文信息,分别产生两个不同的安全密钥,分别作为第一基站的第一安全密钥以及第二基站的第二安全密钥;相应的,终端也存储至少两套安全上下文信息,分别产生两个不同的安全密钥,分别作为生成与第一基站进行通信所使用的密钥的第一安全密钥以及生成与第二基站进行通信所使用的密钥的第二安全密钥。
其中,MME与终端生成的第一安全密钥及第二安全密钥均相同,即MME与终端基于相同的安全上下文信息生成第一安全密钥,MME与终端基于相同的安全上下文信息生成第二安全密钥。
为了保证MME与终端生成的第一安全密钥及第二安全密钥均相同,可以在协议中规定按照所存储的安全上下文信息的编号的顺序,依次使用安全上下文信息生成第一安全密钥及第二安全密钥;MME与终端也可以约定生成第一安全密钥所使用的安全上下文信息以及生成第二安全密钥所使用的安全上下文信息;MME也可以通知终端自身生成第一安全密钥所使用的安全上下文信息的编号以及生成第二安全密钥所使用的安全上下文信息的编号,等等,只要能保证MME与终端生成的第一安全密钥及第二安全密钥均相同即可。
该方式下,第一基站使用自身当前所使用的第一安全密钥,生成与终端进行通信所使用的密钥,第二基站使用MME为该第二基站产生的第二安全密钥,生成与同一终端进行通信所使用的密钥。
在实施中,本发明实施例提供的密钥处理方法进一步包括:触发终端生成与第二基站进行通信所使用的密钥,具体包括以下两种实现方法:
方法一、由第二基站触发终端生成与第二基站进行通信所使用的密钥,具体为:
第二基站在接收到第一基站发送的第一请求信息后,向终端发送第二请求信息,以请求终端生成与第二基站进行通信所使用的密钥,该第二请求信息中携带第二基站使用的安全算法的标识信息。
该方法下,第二基站可以在接收到第一基站发送的第一请求信息时,先向终端发送第二请求信息,再根据第一请求信息中携带的安全密钥生成与该终端进行通信所使用的密钥;第二基站也可以在接收到第一基站发送的第一请求信息时,先根据第一请求信息中携带的安全密钥生成与该终端进行通信所使用的密钥,再向终端发送第二请求信息,本发明实施例不对第二基站发送第二请求信息的发送时刻进行限定。
方法二、由第一基站触发终端生成与第二基站进行通信所使用的密钥,具体为:
第一基站向终端发送第二请求信息,以请求终端生成与第二基站进行通信所使用的密钥,该第二请求信息携带第二基站使用的安全算法的标识信息。
该方法下,第一基站可以在向第二基站发送第一请求信息之前,先向终端发送第二请求信息,也可以在向第二基站发送第一请求信息之后,再向终端发送第二请求信息,还可以同时向第二基站发送第一请求信息以及向终端发送第二请求信息,本发明实施例不对第一基站发送第二请求信息的发送时刻进行限定。
进一步,基于上述方法一及方法二,若第二基站采用上述方式二生成与终端进行通信所使用的密钥,优选的,该第二请求信息中还包含用于产生第二基站的第二安全密钥的小区的PCI和频率信息,以使终端能够根据该小区的PCI和频率信息以及第二基站的安全算法,生成与第二基站进行通信所使用的密钥,从而使终端与第二基站使用的相同密钥进行通信。
进一步,基于上述方法一及方法二,若第二基站采用上述方式三生成与终端进行通信所使用的密钥,优选的,该第二请求信息中还包含用于指示终端为第二基站产生第二安全密钥的指示信息,以使终端能够根据自身保存的用于产生第二基站的第二安全密钥的安全上下文信息,产生第二安全密钥,并根据产生的第二安全密钥生成与第二基站进行通信所使用的密钥,从而使终端与第二基站使用的相同密钥进行通信。
优选的,第二请求信息中还包含有第一基站或第二基站为终端指定的能够进行随机接入的第二基站的小区的信息(如小区的标识信息、和/或小区的频率信息等),以使终端对第二基站执行接入时,能够在该第二请求信息中指定的小区执行随机接入过程,以接入到第二基站。
基于上述方法一及方法二,终端的处理过程请参见后续对终端侧的描述。
在实施中,若由第一基站触发终端生成与第二基站进行通信所使用的密钥,则第一基站向终端发送第二请求信息,作为一种优选的实现方式,该第二请求信息可以为无线资源控制(Radio Resource Control,RRC)连接重配置消息。
该优选的实现方式下,由于第二请求信息可以采用现有的RRC重配置消息,节省了系统信令开销。当然,该第二请求信息也可以采用其他现有消息,或者采用新的信令,本发明实施例不对第二请求信息的实现方式进行限定。
在完成上述初始密钥生成过程之后,终端与第一基站及第二基站的通信过程中,还会进行密钥刷新(key refresh)及密钥更新(key-rekey)。下面详细介绍密钥刷新及密钥更新过程。
一、密钥刷新(key refresh);
本发明实施例中,密钥刷新过程可以由终端的主基站(如宏小区所属的基站、主小区所属的基站等)触发,也可以由辅基站(如小小区所属的基站、辅小区所属的基站等)触发,即密钥刷新过程中所涉及的第一基站可以为终端的主基站(此时,第二基站为终端的辅基站),第一基站也可以为终端的辅基站(此时,第二基站为终端的主基站)。
在实施中,本发明实施例提供的密钥刷新具体包括以下两种情况:
情况一、若上述密钥生成过程中,第二基站采用方式一生成与终端进行通信所使用的密钥,即第一基站与第二基站使用相同的安全密钥生成与终端进行通信所使用的密钥,则该方法进一步包括以下两种方式:
第一种方式、由第一基站触发密钥刷新过程,具体为:
第二基站接收第一基站发送的第一密钥刷新指示信息,其中,该第一密钥刷新指示信息用于指示第二基站刷新与终端进行通信所使用的密钥;以及
第二基站根据第一密钥刷新指示信息中携带的信息生成新的安全密钥,并根据该新的安全密钥生成与终端进行通信所使用的密钥。
该方式下,第一基站在确定需要进行密钥刷新后,向第二基站发送第一密钥刷新指示信息,具体的:第一基站可以主动触发密钥刷新,即在满足设定的密钥刷新触发条件时,第一基站确定需要进行密钥刷新;第一基站可以在接收到第二基站发送的刷新请求后,确定需要进行密钥刷新。
其中,密钥刷新触发条件可参见现有单连接模式下的密钥刷新过程中的触发条件,具体参见33.401协议,即第三代合作伙伴计划(The 3rd Generation Partnership,3GPP)系统架构研究(System Architecture Evolution,SAE)中的安全架构(SecurityArchitecture,SA)。例如针对某个无线承载,该无线承载的分组数据汇聚协议(PacketData Convergence Protocol,PDCP)计数(COUNT)值将要发生反转时触发密钥刷新过程。
进一步,优选的,第二基站向第一基站发送的密钥刷新请求中包括该第二基站从自身所覆盖的小区中为终端确定的在本次密钥刷新过程中能够进行随机接入的小区的信息(如小区的标识信息、和/或小区的频率信息等)。
本发明实施例中,第一密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的下一跳(Next Hop,NH)值;或者,用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。
进一步,第一密钥刷新指示信息中还包含第一基站为终端进行随机接入所指定的小区的信息(如小区的标识信息、和/或小区的频率信息等),以使终端在所指定的小区进行随机接入;或者,第一密钥刷新指示信息中还携带用于指示终端不执行随机接入的指示信息,以使得终端忽略随机接入过程。
其中,第一密钥刷新指示信息中携带的第一基站为终端进行随机接入所指定的小区与上述目标小区(或主小区)可以为同一个小区,也可以为不同的小区;若为同一个小区,则第一密钥刷新指示信息中仅需要携带一次。
相应的,第二基站在接收到该第一密钥刷新指示信息后,根据第一密钥刷新指示信息中携带的信息生成新的安全密钥,并基于该新的安全密钥生成与终端进行通信所使用的密钥。
具体的,若第一密钥刷新指示信息中包含本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的下一跳NH值,则第二基站根据指示的NH值和指示的目标小区的PCI和频率信息生成新的安全密钥,并根据该新的安全密钥生成与终端进行通信所使用的密钥;
若第一密钥刷新指示信息中包含用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值,则第二基站根据指示的NH值和终端当前的主小区的PCI和频率信息生成新的安全密钥,并根据该新的安全密钥生成与终端进行通信所使用的密钥。
在实施中,第一基站采用与第二基站相同的方式生成新的安全密钥,并根据该新的安全密钥生成与终端进行通信所使用的密钥,以完成本地密钥刷新。本发明实施例不对第一基站进行本地密钥刷新的时刻进行限定,第一基站可以在确定需要进行密钥刷新后的任意时刻,进行本地密钥刷新。
该方式下,进一步,本发明实施例提供的方法还包括:触发终端进行密钥刷新,具体包括以下两种触发方式:
1、由第二基站触发终端进行密钥刷新,具体为:
第二基站在接收到第一基站发送的第一密钥刷新指示信息后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第一基站终端已完成本次密钥刷新;其中,第二密钥刷新指示信息用于指示终端刷新与第一基站及第二基站进行通信所使用的密钥。
本发明实施例不对第二基站触发终端进行密钥刷新的时刻进行限定,第二密钥刷新指示信息可以在接收到第一基站发送的第一密钥刷新指示信息后的任意时刻发送。
2、由第一基站触发终端进行密钥刷新,具体为:
第一基站在确定需要进行密钥刷新后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与终端进行通信;其中,第二密钥刷新指示信息用于指示终端刷新与第一基站及第二基站进行通信所使用的密钥。
本发明实施例不对第二基站触发终端进行密钥刷新的时刻进行限定,第二密钥刷新指示信息可以在第二基站在确定需要进行密钥刷新后的任意时刻发送。
该第一种方式下,优选的,第二基站在接收到第一基站发送的第一密钥刷新指示信息时,暂停与终端的数据传输,从而避免数据丢包;以及第二基站在确定自身以及终端均完成本地密钥刷新后,使用刷新后的密钥恢复与终端的通信。当然,若在允许数据丢包的情况下,第二基站在接收到第一基站发送的第一密钥刷新指示信息时,也可以不暂停与终端的数据传输。
该第一种方式下,优选的,第一基站在确定需要进行密钥刷新时,暂停与终端的数据传输,从而避免数据丢包;以及第一基站在确定自身、第二基站以及终端均完成本地密钥刷新后,使用刷新后的密钥恢复与终端的通信。当然,若在允许数据丢包的情况下,第一基站在确定需要进行密钥刷新时,也可以不暂停与终端的数据传输。
需要说明的是,若第一基站为主基站,则第一基站在确定需要进行密钥刷新时,暂停与终端的数据传输以及暂停向第二基站转发数据;若第二基站为主基站,则第二基站在确定需要进行密钥刷新时,暂停与终端的数据传输以及暂停向第一基站转发数据。
第二种方式、由第二基站触发密钥刷新过程,具体为:
第二基站在确定需要进行密钥刷新后,向第一基站发送第一密钥刷新指示信息,该第一密钥刷新指示信息用于指示第一基站刷新与终端进行通信所使用的密钥;以及
第二基站接收到第一基站返回的用于通知本次密钥刷新已完成的第一反馈信息,且第二基站完成本地密钥刷新后,使用刷新后的密钥与终端的通信。
该方式下,第二基站进行本地密钥刷新的过程与上述第一种方式中第一基站进行本地密钥刷新的过程类似,此处不再赘述。
该方式下,进一步,本发明实施例的方法还包括:触发终端进行密钥刷新,具体包括以下两种触发方式:
1、由第二基站触发终端进行密钥刷新,具体为:
第二基站在确定需要进行密钥刷新后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与终端进行通信;其中,第二密钥刷新指示信息用于指示终端刷新与第一基站及第二基站进行通信所使用的密钥。
2、由第一基站触发终端进行密钥刷新,具体为:
第一基站在接收到第二基站发送的第一密钥刷新指示信息后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第二基站终端已完成本次密钥刷新;其中,第二密钥刷新指示信息用于指示终端刷新与第一基站及第二基站进行通信所使用的密钥。
优选的,基于上述第二种方式,第二基站在确定需要进行密钥刷新时,暂停与终端相关的数据传输,从而避免数据丢包;以及第二基站在确定自身以及终端均完成本地密钥刷新后,或者,第二基站在确定自身、第一基站以及终端均完成本地密钥刷新后,使用刷新后的密钥恢复与终端相关的数据传输。当然,若在允许数据丢包的情况下,第二基站在确定需要进行密钥刷新时,也可以不暂停与终端相关的数据传输。
优选的,基于上述第二种方式,第一基站在接收到第二基站发送的第一密钥刷新指示信息时,暂停与终端相关的数据传输,从而避免数据丢包;以及第一基站在确定自身以及终端均完成本地密钥刷新后,使用刷新后的密钥恢复与终端相关的数据传输。当然,若在允许数据丢包的情况下,第一基站在接收到第二基站发送的第一密钥刷新指示信息时,也可以不暂停与终端相关的数据传输。
需要说明的是,若第一基站为主基站,则第一基站在确定需要进行密钥刷新时,暂停与终端的数据传输以及暂停向第二基站转发数据;若第二基站为主基站,则第二基站在确定需要进行密钥刷新时,暂停与终端的数据传输以及暂停向第一基站转发数据。
由于第二基站触发密钥刷新与上述第一种方式第一基站触发密钥刷新类似,具体参见上述第一种方式中的描述。
基于第一种情况的上述两种优选的触发方式,第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值;或者,用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。
基于第一种情况的上述两种优选的触发方式,终端在接收到第二密钥刷新指示信息后,根据第二密钥刷新指示信息所携带的信息,进行密钥刷新,具体请参见后续对终端侧的描述。
进一步,优选的,第二密钥刷新指示信息进一步还包括第一基站或第二基站为该终端进行随机接入所指定的小区的信息(如小区的标识信息、和/或小区的频率信息等),以使终端在执行随机接入时,在所指定的小区进行随机接入;或者,第二密钥刷新指示信息进一步还包括用于指示终端不执行随机接入的指示信息,以使得终端忽略随机接入过程。
需要说明的是,该第二密钥刷新指示信息所包含的第一基站或第二基站为该终端进行随机接入所指定的小区可以是第一基站或第二基站确定的本次密钥刷新所使用的目标小区(或终端当前的主小区)、也可以是第一基站或第二基站为该终端指定的其他能够进行随机接入的小区。若第一基站或第二基站为该终端进行随机接入所指定的小区可以是第一基站或第二基站确定的本次密钥刷新所使用的目标小区(或终端当前的主小区),则仅需在第二密钥刷新指示信息中携带一次,终端在接收到该第二密钥刷新指示信息后,在所指定的目标小区(或终端当前的主小区)进行随机接入,并根据所指定的目标小区(或终端当前的主小区)的PCI和频率信息以及本次密钥刷新使用的NH值,生成新的安全密钥。
第一种情况中,由于第一基站与第二基站使用相同的安全密钥生成与终端进行通信所使用的密钥,因此,第一基站与第二基站必须都进行密钥刷新。
情况二、若上述密钥生成过程中,第二基站采用方式二或方式三生成与终端进行通信所使用的密钥,即第一基站与第二基站使用不同的安全密钥生成与终端进行通信所使用的密钥,则该方法进一步包括以下两种方式:
第一种方式、第一基站被触发进行密钥刷新,具体为:
第二基站接收第一基站发送的第一指示信息,该第一指示信息用于指示暂停与终端相关的数据传输;以及
第二基站暂停与终端相关的数据传输,并在接收到第一基站发送的用于指示恢复与终端相关的数据传输的指示后,恢复与终端相关的数据传输。
该方式下,第一基站执行本地密钥刷新过程,具体为:
第一基站根据本次密钥刷新使用的目标小区的PCI和频率信息,生成新的安全密钥,并根据该新的安全密钥,生成与终端进行通信所使用的密钥;
或者,第一基站根据终端当前的主小区的PCI和频率信息,生成新的安全密钥,并根据该新的安全密钥,生成与终端进行通信所使用的密钥。
进一步,该方法还包括:触发终端进行密钥刷新,具体包括以下两种触发方式:
1、由第一基站触发终端进行密钥刷新,具体为:
第一基站在确定需要进行密钥刷新后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与终端进行通信以及通知第二基站恢复与终端相关的数据传输,其中,第二密钥刷新指示信息用于指示终端刷新与第一基站进行通信所使用的密钥。
本发明实施例不对第一基站触发终端进行密钥刷新的时刻进行限定,第二密钥刷新指示信息可在第一基站确定需要进行密钥刷新后任意时刻发送。
2、由第二基站触发终端进行密钥刷新,具体为:
第二基站在接收到第一基站发送的第一指示信息后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第一基站该终端已完成本次密钥刷新;其中,第二密钥刷新指示信息用于指示终端刷新与第一基站通信的密钥。
本发明实施例不对第二基站触发终端进行密钥刷新的时刻进行限定,第二密钥刷新指示信息可以在第二基站接收到第一基站发送的第一指示信息后的任意时刻发送。
该第一种方式下,优选的,第一基站在确定需要进行密钥刷新时,暂停与终端相关的数据传输,从而避免数据丢包;以及第一基站在确定自身以及终端均完成本地密钥刷新后,使用刷新后的密钥恢复与终端相关的数据传输。当然,若在允许数据丢包的情况下,第一基站在确定需要进行密钥刷新时,也可以不暂停与终端相关的数据传输。
需要说明的是,若第一基站为主基站,则第一基站在确定需要进行密钥刷新时,暂停与终端相关的数据传输以及暂停向第二基站转发数据。
第二种方式、第二基站被触发进行密钥刷新,具体为:
第二基站在确定需要进行本地密钥刷新后,向第一基站发送第一指示信息,该第一指示信息用于指示暂停与终端相关的数据传输。
相应的,第一基站在接收到第一指示信息后,暂停与终端相关的数据传输。其中,若第一基站为主基站,则第一基站在接收到第一指示信息后,暂停向第二基站转发该终端的数据。
该方式下,第二基站执行本地密钥刷新过程,具体为:
第二基站根据本次密钥刷新使用的目标小区的PCI和频率信息(目标小区可以由第一基站确定,也可以由第二基站确定),生成新的安全密钥,并根据该新的安全密钥,生成与终端进行通信所使用的密钥;
或者,第二基站根据终端当前的主小区的PCI和频率信息,生成新的安全密钥,并根据该新的安全密钥,生成与终端进行通信所使用的密钥。
进一步,该方法还包括:触发终端进行密钥刷新,具体包括以下两种触发方式:
1、由第二基站触发终端进行密钥刷新,具体为:
第二基站在确定需要进行密钥刷新后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与终端进行通信以及向第一基站发送用于指示恢复与终端相关的数据传输的指示,其中,第二密钥刷新指示信息用于指示终端刷新与第二基站进行通信所使用的密钥。
本发明实施例不对上述第二基站触发终端进行密钥刷新的时刻进行限定,第二密钥刷新指示信息可以在第二基站确定需要进行密钥刷新后的任意时刻发送。
2、由第一基站触发终端进行密钥刷新,具体为:
第一基站在接收到第二基站发送的第一指示信息后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第二基站该终端已完成本次密钥刷新;其中,第二密钥刷新指示信息用于指示终端刷新与第二基站通信的密钥。
本发明实施例不对第一基站触发终端进行密钥刷新的时刻进行限定,第二密钥刷新指示信息可以在第二基站接收到第二基站发送的第一指示信息后的任意时刻发送。
该第一种方式下,优选的,第二基站在确定需要进行密钥刷新时,暂停与终端相关的数据传输,从而避免数据丢包;以及第二基站在确定自身以及终端均完成本地密钥刷新后,使用刷新后的密钥恢复与终端的通信。当然,若在允许数据丢包的情况下,第二基站在确定需要进行密钥刷新时,也可以不暂停与终端相关的数据传输。
基于第二种情况的上述两种优选的触发方式,第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值;或者,用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。
进一步,优选的,第二密钥刷新指示信息进一步还包括第一基站或第二基站为该终端进行随机接入所指定的小区的信息(如小区的标识信息、和/或小区的频率信息等),以使终端在执行随机接入时,在所指定的小区进行随机接入。
第二种情况中,由于第一基站与第二基站使用不同的安全密钥生成与终端进行通信所使用的密钥,因此,第一基站与第二基站不需要同时进行密钥刷新。具体的:
若第一基站被触发,则第一基站对与终端进行通信所使用的密钥进行刷新以及终端对与第一基站进行通信所使用的密钥进行刷新;
若第二基站被触发,则第二基站对与终端进行通信所使用的密钥进行刷新以及终端对与第二基站进行通信所使用的密钥进行刷新。
基于上述第一种情况及上述第二种情况,第一基站或第二基站向终端发送的第二密钥刷新指示信息可以采用现有的RRC重配置消息(如切换(Handover,HO)命令),以节省系统的信令开销。当然该第二密钥刷新指示信息也可以采用现有的其他消息,还可以采用新定义的消息。
二、密钥更新(key-rekey);
在实施中,本发明实施例提供的密钥更新具体包括以下两种情况:
情况一、若上述密钥生成过程中,第二基站采用方式一生成与终端进行通信所使用的密钥,即第一基站与第二基站使用相同的安全密钥生成与终端进行通信所使用的密钥,则该方法进一步包括:
第二基站接收第一基站发送的第一密钥更新指示信息,该第一密钥更新指示信息中携带第一基站从MME处获取新的安全密钥;
第二基站根据该第一密钥更新指示信息中携带的新的安全密钥,更新与终端进行通信所使用的密钥;以及
第二基站在完成本次密钥更新之后,向第一基站返回用于通知本次密钥更新已完成的第一回复信息。
需要说明的是,第一种情况中,由终端的主基站(如宏小区所属的基站、主小区所属的基站等)触发密钥更新过程,即密钥更新过程中涉及的第一基站为终端的主基站,第二基站为终端的辅基站(如小小区所属的基站、辅小区所属的基站等),具体为:
在满足密钥更新触发条件(如MME为第一基站产生新的安全密钥)时,第一基站确定需要进行密钥更新,并向第二基站发送第一密钥更新指示信息,以指示第二基站根据该新的安全密钥,更新与终端进行通信所使用的密钥;
或者,第一基站在接收到第二基站发送的密钥更新请求后,确定需要进行密钥更新,并向第二基站发送第一密钥更新指示信息,以指示第二基站根据该新的安全密钥,更新与终端进行通信所使用的密钥。
其中,密钥更新触发条件可参见现有单连接模式下的密钥更新过程中的触发条件,具体参见33.401协议,即3GPP系统架构研究中的安全架构。例如,MME需要激活一个与当前的演进型分组系统(Evolved Packet System,EPS)接入层安全上下文不同的安全上下文时触发密钥更新过程。
在实施中,该方法还包括第一基站执行本地密钥更新,具体为:
第一基站根据从MME处获取到的新的安全密钥,更新与终端进行通信所使用的密钥。
本发明实施例中不对第一基站执行本地密钥更新的时刻进行限定,第一基站可以在确定需要进行密钥更新后的任意时刻进行本地密钥更新。
进一步,该方法还包括:触发终端进行密钥更新,具体包括以下两种触发方式:
1、由第一基站触发终端进行密钥更新,具体为:
第一基站在确定需要进行密钥更新后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第二基站该终端已完成本次密钥更新,其中,第二密钥更新指示信息用于指示终端更新与第一基站及第二基站进行通信所使用的密钥。
相应的,第二基站在接收到第一基站发送的通知,且第二基站已完成本地密钥更新后,使用更新后的密钥与终端进行通信。
本发明实施例不对上述第一基站触发终端进行密钥更新的时刻进行限定,第二密钥更新指示信息可以在第一基站确定需要进行密钥更新后的任意时刻发送。
2、由第二基站触发终端进行密钥更新,具体为:
第二基站在接收到第一基站发送的第一密钥更新指示信息后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第一基站该终端已完成本次密钥更新,其中,第二密钥更新指示信息用于指示终端更新与第一基站及第二基站进行通信所使用的密钥。
进一步,第二基站在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息,且第二基站已完成本地密钥更新后,使用更新后的密钥与终端进行通信。
在实施中,基于上述第一种情况,优选的,第二基站在接收到第一基站发送的第一密钥更新指示信息时,暂停与终端相关的数据传输,从而避免数据丢包;以及第二基站在确定自身以及终端均完成本地密钥更新后,或者,第二基站在确定自身、第一基站以及终端均完成本地密钥更新后,使用更新后的密钥恢复与终端的通信。当然,若在允许数据丢包的情况下,第二基站在接收到第一基站发送的第一密钥更新指示信息时,也可以不暂停与终端相关的数据传输。
优选的,第二密钥更新指示信息中还包含第一基站为终端进行随机接入所指定的小区的信息(该指定的小区可以为一个或多个辅小区或小小区,也可以为终端当前的主小区),以使终端在所指定的小区进行随机接入;或者,或者,第二密钥刷新指示信息进一步还包括用于指示终端不执行随机接入的指示信息,以使得终端忽略随机接入过程。
在实施中,基于上述第一种情况,优选的,第一基站在确定需要进行密钥更新时,暂停与终端相关的数据传输以及暂停向第二基站转发该终端的数据,从而避免数据丢包;以及第一基站在确定自身、第二基站以及终端均完成本地密钥更新后,使用更新后的密钥恢复与终端相关的数据传输以及恢复向第二基站转发该终端的数据。当然,若在允许数据丢包的情况下,第一基站在确定需要进行密钥更新时,也可以不暂停与终端相关的数据传输且不暂停向第二基站转发该终端的数据。
基于上述第一种情况,第一基站或第二基站向终端发送的第二密钥更新指示信息可以采用现有的RRC重配置消息,以节省系统的信令开销。当然该第二密钥更新指示信息也可以采用现有的其他消息,还可以采用新定义的消息。
情况二、若上述密钥生成过程中,第二基站采用方式二或方式三生成与终端进行通信所使用的密钥,即第一基站与第二基站使用不同的安全密钥生成与终端进行通信所使用的密钥,则该方法进一步包括以下两种方式:
第一种方式、第一基站被触发进行密钥更新,具体为:
第二基站接收第一基站发送的第一指示信息,该第一指示信息用于指示暂停与终端相关的数据传输;以及
第二基站暂停与终端相关的数据传输,并在接收到第一基站发送的用于指示恢复与终端相关的数据传输的指示后,恢复与终端相关的数据传输。
具体的,第一基站在确定满足设定的密钥更新触发条件后,第一基站先向第二基站发送第一指示信息,以指示暂停与终端相关的数据传输;然后,第一基站获取MME为该第一基站产生的新的第一安全密钥,并根据新的第一安全密钥以及自身的安全算法,生成与终端进行通信所使用的密钥;最后,第一基站向第二基站发送用于指示恢复与终端相关的数据传输的指示。
进一步,该方法还包括:触发终端进行密钥更新,具体包括以下两种触发方式:
1、由第一基站触发终端进行密钥更新,具体为:
第一基站在确定需要进行密钥更新后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,使用更新后的密钥与终端进行通信以及通知第二基站恢复与终端相关的数据传输,其中,第二密钥更新指示信息用于指示终端更新与第一基站进行通信所使用的密钥。
本发明实施例不对第一基站触发终端进行密钥更新的时刻进行限定,第二密钥更新指示信息可在第一基站确定需要进行密钥更新后任意时刻发送。
2、由第二基站触发终端进行密钥更新,具体为:
第二基站在接收到第一基站发送的第一指示信息后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第一基站该终端已完成本次密钥更新;其中,第二密钥更新指示信息用于指示终端更新与第一基站通信的密钥。
本发明实施例不对第二基站触发终端进行密钥更新的时刻进行限定,第二密钥更新指示信息可以在第二基站接收到第一基站发送的第一指示信息后的任意时刻发送。
该第一种方式下,优选的,第一基站在确定需要进行密钥更新时,暂停与终端相关的数据传输,从而避免数据丢包;以及第一基站在确定自身以及终端均完成本地密钥更新后,使用更新后的密钥恢复与终端相关的数据传输。当然,若在允许数据丢包的情况下,第一基站在确定需要进行密钥更新时,也可以不暂停与终端相关的数据传输。
需要说明的是,若第一基站为主基站,则第一基站在确定需要进行密钥更新时,暂停与终端相关的数据传输以及暂停向第二基站转发数据。
第二种方式、第二基站被触发进行密钥更新,具体为:
第二基站在确定需要进行本地密钥更新后,向第一基站发送第一指示信息,该第一指示信息用于指示暂停与终端相关的数据传输。
相应的,第一基站在接收到第一指示信息后,暂停与终端相关的数据传输。其中,若第一基站为主基站,则第一基站在接收到第一指示信息后,暂停向第二基站转发该终端的数据。
该方式下,第二基站执行本地密钥更新过程,具体为:
第二基站在确定满足设定的密钥更新触发条件后,先向第一基站发送第一指示信息,以指示暂停与终端相关的数据传输;然后,第二基站获取MME为该第二基站产生的新的第二安全密钥,并根据新的第二安全密钥以及自身的安全算法,生成与终端进行通信所使用的密钥;最后,第二基站向第一基站发送用于指示恢复与终端相关的数据传输的指示。
进一步,该方法还包括:触发终端进行密钥更新,具体包括以下两种触发方式:
1、由第二基站触发终端进行密钥更新,具体为:
第二基站在确定需要进行密钥刷新后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二回复信息后,使用更新后的密钥与终端进行通信以及向第一基站发送用于指示恢复与终端相关的数据传输的指示,其中,第二密钥更新指示信息用于指示终端更新与第二基站进行通信所使用的密钥。
本发明实施例不对上述第二基站触发终端进行密钥更新的时刻进行限定,第二密钥更新指示信息可以在第二基站确定需要进行密钥更新后的任意时刻发送。
2、由第一基站触发终端进行密钥更新,具体为:
第一基站在接收到第二基站发送的第一指示信息后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二回复信息后,通知第二基站该终端已完成本次密钥更新;其中,第二密钥更新指示信息用于指示终端更新与第二基站通信的密钥。
本发明实施例不对第一基站触发终端进行密钥更新的时刻进行限定,第二密钥更新指示信息可以在第二基站接收到第二基站发送的第一指示信息后的任意时刻发送。
该第一种方式下,优选的,第二基站在确定需要进行密钥更新时,暂停与终端相关的数据传输,从而避免数据丢包;以及第二基站在确定自身以及终端均完成本地密钥更新后,使用更新后的密钥恢复与终端的通信。当然,若在允许数据丢包的情况下,第二基站在确定需要进行密钥更新时,也可以不暂停与终端相关的数据传输。
优选的,第二密钥更新指示信息包括第一基站或第二基站为该终端进行随机接入所指定的小区的信息(如小区的标识信息、和/或小区的频率信息等),以使终端在执行随机接入时,在所指定的小区进行随机接入。
第二种情况中,由于第一基站与第二基站使用不同的安全密钥生成与终端进行通信所使用的密钥,因此,第一基站与第二基站不需要同时进行密钥更新。
基于上述第一种情况及上述第二种情况,第一基站或第二基站向终端发送的第二密钥更新指示信息可以采用现有的RRC重配置消息(如切换命令),以节省系统的信令开销。当然该第二密钥更新指示信息也可以采用现有的其他消息,还可以采用新定义的消息。
基于上述第一基站及第二基站在密钥生成、密钥刷新以及密钥更新过程中的处理,参见图5所示,本发明实施例还提供了一种终端侧的密钥处理方法,该方法包括以下步骤:
S51、与第一基站和第二基站均存在通信连接的终端接收第一基站或第二基站发送的第二请求信息,该第二请求信息用于请求该终端生成与第二基站进行通信所使用的密钥;
其中,该第二请求信息中携带第二基站使用的安全算法的标识信息。
S52、终端根据接收到的第二请求信息,生成与第二基站进行通信所使用的密钥。
本发明实施例中,第一基站为终端的主基站,如宏小区所在的基站等,第二基站为终端的辅基站(即SeNB),如小小区所在的基站等。
本发明实施例中,终端与基站(包括第一基站及第二基站)进行通信所使用的密钥包括但不限于以下密钥中的一种或组合:
控制面消息的加密密钥、控制面消息的完整性保护密钥、以及用户面数据的加密密钥。
在实施中,步骤S52中具体包括以下三种方式:
方式1、终端根据第二基站使用的安全算法以及自身为第一基站产生的安全密钥,生成与第二基站进行通信所使用的密钥。
方式2、终端根据第二基站使用的安全算法以及第二请求信息中包含的用于产生第二基站的安全密钥的小区的PCI和频率信息,生成与第二基站进行通信所使用的密钥。
具体的,终端根据第二请求信息中包含的用于产生第二基站的安全密钥的小区的PCI和频率信息,产生相应的安全密钥,并根据产生的安全密钥以及第二基站使用的安全算法,生成与第二基站进行通信所使用的密钥。
方式3、若第二请求信息中包含用于指示终端为第二基站产生第二安全密钥的指示信息,则终端根据自身保存的用于产生第二基站的第二安全密钥的安全上下文信息,产生第二安全密钥,并根据第二安全密钥生成与第二基站进行通信所使用的密钥。
该方式下,由于MME与终端中可能保存多套用于生成安全密钥的安全上下文信息,为了保证MME与终端使用相同的安全上下文信息生成第二基站的第二安全密钥,优选的,在实施中,MME指示终端用于生成第二基站的第二安全密钥的安全上下文信息的标识(如该安全上下文信息的编号)。
进一步,终端接收MME指示的用于生成第二安全密钥所使用的安全上下文信息的标识,并根据自身保存的该标识对应的安全上下文信息,产生第二安全密钥。
在实施中,本发明实施例提供的方法还包括:
终端在第二请求信息中包含的用于产生第二基站的安全密钥的PCI和频率信息对应的小区上执行随机接入,以接入到第二基站;或者,
终端在第二请求信息中包含的第一基站或第二基站为该终端进行随机接入所指定的其他小区上执行随机接入,以接入到第二基站。
在实施中,本发明实施例提供的方法还包括:终端执行本地密钥刷新过程,具体为:
终端接收第一基站或第二基站发送的第二密钥刷新指示信息,该第二密钥刷新指示信息用于指示终端刷新与第一基站和/或第二基站进行通信所使用的密钥;
终端根据第二密钥刷新指示信息中携带的信息生成新的安全密钥,并基于新的安全密钥生成与第一基站和/或第二基站进行通信所使用的密钥;以及
终端向第一基站或第二基站返回用于通知本次密钥刷新已完成的第二反馈信息。
需要说明的是,若终端接收到第一基站发送的第二密钥刷新指示信息,则该终端在完成本地密钥刷新后,可以向第一基站或第二基站(此时,第二基站将接收到的第二反馈信息通知给第一基站)返回第二反馈信息;
若终端接收到第二基站发送的第二密钥刷新指示信息,则该终端在完成本地密钥刷新后,可以向第一基站(此时,第一基站将接收到的第二反馈信息通知给第二基站)或第二基站返回第二反馈信息。
进一步,终端根据第二密钥刷新指示信息中携带的信息生成新的安全密钥,并基于新的安全密钥生成与第一基站和/或第二基站进行通信所使用的密钥,具体包括:
若第二密钥刷新指示信息中包含本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值,则终端根据指示的NH值和指示的目标小区的PCI和频率信息生成新的安全密钥,并根据该新的安全密钥生成与第一基站和/或第二基站进行通信所使用的密钥;
若第二密钥刷新指示信息中包含用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值,则终端根据指示的NH值和终端当前的主小区的PCI和频率信息生成新的安全密钥,并根据该新的安全密钥生成与第一基站和/或第二基站进行通信所使用的密钥。
需要说明的是,若第一基站与第二基站使用相同的安全密钥生成与终端进行通信所使用的密钥,则终端在接收到第一基站或第二基站发送的第二密钥刷新指示信息后,刷新与第一基站和第二基站进行通信所使用的密钥;若第一基站与第二基站使用不同的安全密钥生成与终端进行通信所使用的密钥,且第一基站被触发进行密钥刷新,则终端在接收到第一基站或第二基站发送的第二密钥刷新指示信息后,刷新与第一基站进行通信所使用的密钥;若第一基站与第二基站使用不同的安全密钥生成与终端进行通信所使用的密钥,且第二基站被触发进行密钥刷新,则终端在接收到第一基站或第二基站发送的第二密钥刷新指示信息后,刷新与第二基站进行通信所使用的密钥。
优选的,第一基站或第二基站在向终端发送第二密钥刷新指示信息时,在第二密钥刷新指示信息中携带指示信息,以指示终端执行与第一基站进行通信所使用的密钥的刷新、或与第二基站进行通信所使用的密钥的刷新、或与第一基站及第二基站进行通信所使用的密钥的刷新。
本发明实施例中,第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值;或者,用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。
进一步,优选的,第二密钥刷新指示信息进一步还包括第一基站或第二基站为该终端进行随机接入所指定的小区的信息(如小区的标识信息、和/或小区的频率信息等)。
具体的,若第二密钥刷新指示信息中还包括第一基站或第二基站为终端执行随机接入所指定的小区的信息,则终端在所指示的小区上进行随机接入;若第二密钥刷新指示信息指示终端不执行随机接入(如该第二密钥刷新指示信息中不包括第一基站或第二基站为终端执行随机接入所指定的小区的信息,或者该第二密钥刷新指示信息中包括用于指示终端不执行随机接入的指示信息),则终端不进行随机接入。
在实施中,本发明实施例提供的方法还包括:
终端接收到第一基站或第二基站发送的第二密钥更新指示信息,该第二密钥更新指示信息用于指示终端更新与第一基站及第二基站进行通信所使用的密钥;
终端根据保存的安全上下文信息生成新的安全密钥,并根据该新的安全密钥生成与第一基站及第二基站进行通信所使用的密钥;
终端向第一基站或第二基站返回用于通知本次密钥更新已完成的第二回复信息。
需要说明的是,若终端接收到第一基站发送的第二密钥更新指示信息,则该终端在完成本地密钥更新后,可以向第一基站或第二基站(此时,第二基站将接收到的第二回复信息通知给第一基站)返回第二回复信息;
若终端接收到第二基站发送的第二密钥更新指示信息,则该终端在完成本地密钥更新后,可以向第一基站(此时,第一基站将接收到的第二回复信息通知给第二基站)或第二基站返回第二回复信息。
下面结合以下五个具体实施例,对本发明实施例提供密钥生成过程、密钥刷新过程以及密钥更新过程中第一基站、第二基站及终端的交互进行说明。
实施例一、本实施例以UE工作的MeNB和SeNB在密钥刷新前使用相同的安全密钥KeNB生成与UE进行通信所使用的密钥。参见图6所示,SeNB侧的初始安全密钥的生成过程如下:
S61、MeNB向SeNB发送SeNB增加请求消息;
具体的,MeNB向SeNB发送SeNB增加请求消息的触发条件可以是MeNB可以是基于卸载自身负载的需要,将部分业务或部分数据分流到SeNB进行传输,所以需要向SeNB发送SeNB增加请求消息。
进一步,该SeNB增加请求消息中可以包含具体需要SeNB进行分流的业务或者数据的信息。此外,为了在SeNB确定自身所使用的安全密钥,SeNB增加请求消息中需要携带MeNB当前所用的安全密钥的KeNB。
优选的,该SeNB增加请求消息中可以包含MeNB推荐的SCell(辅小区)的信息,以协助SeNB为UE配置SCell,其中,该SCell是SeNB下的小区,即由SeNB进行管理和控制的小区。
S62、SeNB在接收到SeNB增加请求消息后,根据SeNB增加请求消息中携带的KeNB以及自身的安全算法生成与UE进行通信所使用的密钥,如加密密钥Kenc和/或完整性保护密钥Kint。然后,SeNB向MeNB发送SeNB增加确认消息,以确认允许为MeNB进行分流。
可选地,SeNB增加确认消息中可以包含SeNB的安全算法标识、SeNB为UE配置的SCell的信息,例如SCell的标识信息或频率信息等。其中,该SCell为SeNB管理和控制的小区,SeNB为UE配置的SCell至少包括为UE执行随机接入所指定的小区和/或进行本次密钥刷新所使用的小区。优选的,为UE执行随机接入所指定的小区与进行本次密钥刷新所使用的小区为同一个小区。
S63、MeNB向UE发送RRC重配置消息,该RRC重配置消息中包含SeNB使用的安全算法标识。优选的,该RRC重配置消息中还包含SeNB为UE配置的SCell的信息。
S64、UE在接收到RRC重配置消息后,执行向SeNB的接入。
具体的,UE可以通过在所指定的SCell上执行随机接入,以接入到SeNB。同时,UE根据RRC重配置消息中指示的安全算法以及自己当前的KeNB生成与SeNB进行通信所使用的密钥,如加密密钥Kenc和/或完整性保护密钥Kint。
MeNB在确定需要进行密钥刷新后,触发密钥刷新过程,具体如下:
S65、MeNB主动触发需要进行密钥刷新或者MeNB接收到SeNB发送的密钥刷新请求后被触发需要进行密钥刷新。
其中,SeNB向MeNB发送的密钥刷新请求消息中可以携带SeNB推荐的UE在执行密钥刷新时可以执行随机接入的SCell的信息。
S66、MeNB向SeNB发送密钥刷新指示消息,以指示SeNB停止数据传输并执行密钥刷新过程。
该密钥刷新指示消息中包含MeNB确定的本次密钥刷新所使用的目标小区的PCI和频率信息,以及本次密钥刷新所使用的NH值;优选的,还可以包含UE在密钥刷新时可以进行随机接入的SCell的信息,SCell的信息可以是SCell的标识信息或频率信息;
或者,
该密钥刷新指示消息中包含用于指示根据UE当前的PCell的PCI和频率进行密钥刷新的指示信息,以及本次密钥刷新所使用的NH值;优选的,还可以包含UE在密钥刷新时可以进行随机接入的SCell的信息。
S67、SeNB接收到MeNB发送的密钥刷新指示消息后,停止与UE之间的数据传输,并开始进行密钥刷新。具体的密钥刷新过程如下:
如果密钥刷新指示消息中包含本次密钥刷新所使用的目标小区的PCI和频率信息以及本次密钥刷新所使用的NH值,则SeNB根据指示的NH值和指示的目标小区的PCI和频率信息生成新的安全密钥,记为KeNB’;
如果密钥刷新指示消息中包含用于指示根据UE当前的PCell的PCI和频率进行密钥刷新的指示信息以及本次密钥刷新所使用的NH值,则SeNB根据指示的NH值和UE当前的PCell的PCI和频率信息生成新的安全密钥KeNB’。
进一步,SeNB基于KeNB’和SeNB的安全算法生成与UE进行通信所使用的密钥,如新的加密密钥Kenc和/或完整性保护密钥Kint。
S68、SeNB向MeNB发送密钥刷新确认消息。
具体地,该消息并不限定在上述步骤S67之后发送,该消息可以在SeNB确认进行密钥刷新后的任意时刻向MeNB发送。
S69、SeNB向UE发送RRC重配置消息。
该RRC重配置消息中包含本次安全密钥刷新所使用的目标小区的PCI和频率信息,以及本次密钥刷新所使用的NH值;优选的,还可以包含UE在密钥刷新时可以进行随机接入的SCell的信息,SCell的信息可以是SCell的标识信息或频率信息;
或者,
该RRC重配置消息中包含用于指示根据UE当前的PCell的PCI和频率进行密钥刷新的指示信息,以及本次密钥刷新所使用的NH值;优选的,还可以包含UE在密钥刷新时可以进行随机接入的SCell的信息。
进一步,该RRC重配置消息并不限定在上述步骤S67或步骤S68之后发送,该消息可以在SeNB确认进行密钥刷新后的任意时刻向MeNB发送。
S610、UE接收到RRC重配置消息后,停止数据传输,并开始进行密钥刷新。
具体的,如果RRC重配置消息中包含本次密钥刷新所使用的目标小区的PCI和频率信息以及本次密钥刷新所使用的NH值,则UE根据指示的NH值和指示的目标小区的PCI和频率信息生成新的安全密钥,记为KeNB’;
如果RRC重配置消息中包含用于指示根据UE当前的PCell的PCI和频率进行密钥刷新的指示信息以及本次密钥刷新所使用的NH值,则UE根据指示的NH值和指示的目标小区的PCI和频率信息生成新的安全密钥KeNB’。
进一步,UE根据新的KeNB’和MeNB的安全算法生成新的与MeNB进行通信所使用密钥,如新的加密密钥Kenc和/或完整性保护密钥Kint;同时,UE根据新的KeNB’和SeNB的安全算法生成与SeNB进行通信所使用的密钥,如新的加密密钥Kenc和/或完整性保护密钥Kint。
进一步,如果该RRC重配置消息中还包含UE执行随机接入的SCell的信息,则UE在所指示的SCell上执行随机接入。否则,即该RRC重配置消息指示不执行随机接入,UE忽略随机接入过程。
S611、UE向SeNB发送RRC重配置完成消息。具体的:
如果该RRC重配置消息中还包含UE执行随机接入的SCell的信息,则UE在指示的SCell上的执行随机接入后,向SeNB发送RRC重配置完成消息;如果该RRC重配置消息指示不执行随机接入,则UE直接向SeNB发送RRC重配置完成消息。
具体的,UE在向SeNB发送RRC重配置完成消息前,可以先向SeNB发送调度请求。
S612、SeNB在接收到UE发送的RRC重配置完成消息后,则开始使用新的安全密钥恢复与UE的数据传输。
S613、SeNB向MeNB发送安全密钥刷新完成消息。
S614、MeNB在接收到SeNB发送的安全密钥刷新完成消息后,则开始使用新的安全密钥恢复与UE的数据传输。
实施例二、本实施例以UE工作的MeNB和SeNB在密钥刷新前使用不同的安全密钥生成与UE进行通信所使用的密钥。参见图7所示,SeNB侧的初始安全密钥的生成过程如下:
S71、MeNB向SeNB发送SeNB增加请求消息。
具体的,MeNB向SeNB发送SeNB增加请求消息的触发条件可以是MeNB可以是基于卸载自身负载的需要,将部分业务或部分数据分流到SeNB进行传输,所以需要向SeNB发送SeNB增加请求消息。
进一步,该SeNB增加请求消息中包含MeNB当前使用的KeNB,并指示SeNB使用不同于KeNB的新的KeNB’。
S72、SeNB向MeNB发送SeNB增加确认消息,以确认允许为MeNB进行分流。
具体的,SeNB在接收到SeNB增加请求消息后,确定为UE增加的一个或多个SCell,并且至少确定一个SCell的PCI和频率信息用于生产不同于KeNB的新的KeNB’。然后,eNB向MeNB发送SeNB增加确认消息。
S73、MeNB向UE发送RRC重配置消息,该RRC重配置消息中包含SeNB使用的安全算法标识以及用于产生KeNB’的SCell的PCI和频率信息。优选的,该RRC重配置消息中还包含SeNB为UE配置的一个或多个SCell的信息。
S74、UE在接收到RRC重配置消息后,执行向SeNB的接入。
具体的,UE可以通过在用于产生KeNB’的SCell上执行随机接入,以接入到SeNB;或者,该UE也可以在其他指定的执行随机接入的SCell上执行随机接入以接入SeNB。同时,UE根据该RRC重配置消息中指示的用于产生KeNB’的SCell的PCI和频率信息生成KeNB’。
进一步,UE根据该RRC重配置消息中指示的SeNB使用的安全算法标识以及生成的KeNB’,生成与SeNB进行通信所使用的密钥,如加密密钥Kenc和/或完整性保护密钥Kint。
SeNB的初始密钥生成过程中,除上述在生成不同于MeNB的安全密钥外,也可以采用下述方法在SeNB侧产生不同于MeNB侧的安全密钥。具体过程如下:
S71、MeNB向SeNB发送SeNB增加请求消息。该SeNB增加请求消息中包含MME为SeNB产生的安全密钥KeNB’。
S72、SeNB在接收到SeNB增加请求消息后,确定为UE增加的一个或多个SCell,并向MeNB发送SeNB增加确认消息,以确认允许为MeNB进行分流。
S73、MeNB向UE发送RRC重配置消息,该RRC重配置消息中包含SeNB使用的安全算法标识。进一步,该RRC重配置消息还包含用于指示UE生成KeNB’的指示信息。
S74、UE在接收到RRC重配置消息后,执行向SeNB的接入。
具体的,UE可以首先根据本地维护的与SeNB相关的第二K,第二IK和第二CK生成KASME’,然后根据KASME’产生KeNB’。其中,第二K,第二IK和第二CK为UE本地维护的用于产生于SeNB的安全密钥的相关参数。
进一步,UE根据的安全算法以及产生的KeNB’,生成与SeNB进行通信所使用的密钥,如加密密钥Kenc和/或完整性保护密钥Kint。
基于上述两种SeNB侧初始密钥生成方法,MeNB在确定需要进行密钥刷新后,触发密钥刷新过程,具体如下:
S75、MeNB被触发需要执行本地的密钥刷新。
优选的,MeNB被触发需要执行本地的密钥刷新后,暂停与UE的数据传输以及暂停向SeNB转发UE的数据。
S76、MeNB向SeNB发送密钥刷新指示消息,以指示SeNB暂停与UE的数据传输,并且,MeNB向UE发送RRC重配置消息。
其中,该RRC重配置消息中包含本次安全密钥刷新所使用的目标小区的PCI和频率信息以及本次密钥刷新所使用的NH值;或者,用于指示根据UE当前的PCell的PCI和频率进行密钥刷新的指示信息以及本次密钥刷新所使用的NH值。
本步骤不对MeNB向UE发送RRC重配置消息和MeNB向SeNB发送密钥刷新指示消息的执行顺序进行限定。
S77、SeNB接收到MeNB发送的密钥刷新指示消息后,暂停与UE之间的数据传输。
S78、UE接收到RRC重配置消息后,停止执行数据传输,并开始进行密钥刷新。
具体的,UE可以根据该RRC重配置消息中指示的NH值和指示的目标小区或PCell的PCI和频率信息产生新的安全密钥,即KeNB’,并根据KeNB’生成以及MeNB的安全算法生成与MeNB进行通信所使用的新的密钥。
进一步,UE还可以在该RRC重配置消息中指示的目标小区或PCell上执行随机接入。
S79、UE执行在该RRC重配置消息中指示的目标小区或PCell上的随机接入,并向MeNB发送RRC重配置完成消息。
S710、MeNB在接收到UE发送的RRC重配置完成消息后,向SeNB发送密钥刷新完成指示消息,并且,MeNB在确定自身完成本地密钥刷新后,使用刷新后的密钥与UE进行通信。
S711、SeNB在接收到MeNB发送的密钥刷新完成指示消息后,则开始恢复与UE的数据传输。
实施例三、本实施例与实施例二的不同之处在于,本实施例中由SeNB被触发执行本地密钥刷新过程。参见图8所示,SeNB侧的初始安全密钥的生成过程如下:
S81~S84与实施例二中的S71~S74相同,此处不再赘述。
S85、SeNB被触发需要执行SeNB本地的密钥刷新。
优选的,SeNB被触发需要执行本地的密钥刷新后暂停与UE的数据传输。
S86、SeNB向MeNB发送密钥刷新指示消息,以指示MeNB暂停向SeNB转发UE的数据。
S87、MeNB在接收到SeNB发送的密钥刷新指示消息时,暂停向SeNB转发UE的数据。
S88、SeNB或者MeNB向UE发送密钥刷新指示消息。
其中,该RRC重配置消息中包含本次安全密钥刷新所使用的目标小区的PCI和频率信息以及本次密钥刷新所使用的NH值;或者,用于指示根据UE当前的PCell的PCI和频率进行密钥刷新的指示信息以及本次密钥刷新所使用的NH值。
S89、UE接收到密钥刷新指示消息后,停止执行与SeNB的数据传输,并开始进行密钥刷新。
具体的,UE可以根据密钥刷新指示消息中指示的SCell或PCell的PCI和频率信息产生新的安全密钥KeNB’。进一步,该UE根据产生的KeNB’以及SeNB的安全算法,生成与SeNB进行通信所使用的新的密钥。
S810、UE在密钥刷新指示消息中指示的SCell上执行随机接入,并向SeNB发送密钥刷新完成消息。
S811、SeNB在接收到UE发送的密钥刷新完成消息后,向MeNB发送密钥刷新完成指示消息,以及在自身完成本地密钥刷新之后,使用刷新后的密钥与UE进行通信。
S812、MeNB在接收到SeNB发送的密钥刷新完成指示消息后,则开始恢复向SeNB转发UE数据。
实施例四、本实施例以UE工作的MeNB和SeNB在密钥更新前使用相同的安全密钥KeNB生成与UE进行通信所使用的密钥。参见图9所示,SeNB侧的初始安全密钥的生成过程如下:
S91~S94同实施例一中的S61~64,此处不再赘述。
MeNB在被触发需要进行密钥更新后,触发密钥更新过程,具体如下:
S95、MeNB被触发需要执行密钥更新,并从MME获取新的安全密钥,记为KeNB2。
具体的,MeNB可以本地触发密钥更新,或者也可以在接收到SeNB或者MME发送的密钥更新请求时触发进行密钥更新。
S96、MeNB向SeNB发送密钥更新指示消息,该密钥更新指示消息中包含MeNB从MME获取的KeNB2;以及MeNB向UE发送RRC重配置消息,该RRC重配置消息中包含用于指示UE进行密钥更新的指示信息。
本步骤中不对MeNB向UE发送RRC重配置消息和MeNB向SeNB密钥更新指示消息的先后顺序进行限定。
S97、SeNB接收到MeNB发送的密钥刷新指示消息后,获取KeNB2,并根据KeNB2以及SeNB的安全算法生成新的密钥,如加密密钥Kenc和/或完整性保护密钥Kint。进一步,在完成密钥更新后,SeNB向MeNB发送密钥更新确认消息,以报告本地密钥更新已经完成。
优选的,SeNB接收到MeNB发送的密钥刷新指示消息后,暂停与UE之间的数据传输。
S98、UE接收到RRC重配置消息后,停止执行数据传输,并开始进行本地密钥更新,包括更新与MeNB进行通信的密钥以及与SeNB进行通信的密钥。
具体的,UE根据RRC重配置消息的指示,确定需要更新密钥时,首先产生新的KASME,记为KASME2;然后,根据KASME2以及非接入层(Non-access Stratum,NAS)的新的COUNT值产生新的KeNB2。进一步,UE根据产生的KeNB2以及MeNB的安全算法,生成与MeNB进行通信所使用的新的密钥,如新的加密密钥Kenc_M和/或完整性保护密钥Kint_M;以及UE根据产生的KeNB2以及SeNB的安全算法,生成与SeNB进行通信所使用的新的密钥,如加密密钥Kenc_S和/或完整性保护密钥Kint_S。
S99、UE执行在RRC重配置消息中指示的目标小区或PCell上的随机接入,并向MeNB发送RRC重配置完成消息。
S910、MeNB在接收到UE发送的RRC重配置完成消息后,向SeNB发送密钥更新完成指示消息,并在自身完成本地密钥更新后,使用更新后的密钥(如新的加密密钥Kenc_M和/或完整性保护密钥Kint_M)与UE进行通信。
S911、SeNB在接收到MeNB发送的密钥更新完成指示消息,且自身完成本地密钥更新后,使用更新后的密钥(如新的加密密钥Kenc_S和/或完整性保护密钥Kint_S)恢复与UE进行通信。
实施例五、本实施例与实施例四的不同之处在于,本实施例中,由SeNB通过RRC重配置消息触发UE执行密钥更新。参见图10所示,SeNB侧的初始安全密钥的生成过程如下:
S101~S104同实施例一中的S61~64,此处不再赘述。
MeNB在被触发需要进行密钥更新后,触发密钥更新过程,具体如下:
S105~S106同实施例四中的S95~S96,此处不再赘述。
S107、SeNB接收到MeNB发送的RRC重配置消息后,获取KeNB2,并向UE转发RRC重配置消息。其中,该RRC重配置消息中不包含KeNB2。
进一步,SeNB使用RRC重配置消息中获取的KeNB2以及SeNB的安全算法,生成与UE进行通信所使用的新的密钥,如(新的加密密钥Kenc_S和/或完整性保护密钥Kint_S)。
优选的,SeNB在接收到MeNB发送的RRC重配置消息后,暂停与UE之间的数据传输。
进一步,SeNB在完成密钥更新后,向MeNB发送密钥更新确认消息,以报告本地密钥更新已经完成。
S108、UE接收到RRC重配置消息后,停止执行数据传输,并开始进行密钥更新,包括更新与MeNB进行通信的密钥以及与SeNB进行通信的密钥。
具体的,UE根据RRC重配置消息的指示,确定需要更新密钥时,首先产生新的KASME,记为KASME2;然后,根据KASME2以及NAS的新的COUNT值产生新的KeNB2。进一步,UE根据产生的KeNB2以及MeNB的安全算法,生成与MeNB进行通信所使用的新的密钥,如新的加密密钥Kenc_M和/或完整性保护密钥Kint_M;以及UE根据产生的KeNB2以及SeNB的安全算法,生成与SeNB进行通信所使用的新的密钥,如加密密钥Kenc_S和/或完整性保护密钥Kint_S。
S109、UE执行在RRC重配置消息中指示的目标小区或PCell上的随机接入,并向MeNB发送RRC重配置完成消息。该RRC重配置完成消息使用新的加密密钥Kenc_S和/或完整性保护密钥Kint_S进行加密和完整性保护。
S110、SeNB在接收到UE发送的RRC重配置完成消息后,向MeNB发送RRC重配置完成消息,并在自身完成本地密钥更新后,使用新的密钥(如新的加密密钥Kenc_S和/或完整性保护密钥Kint_S)与UE进行通信。
S111、MeNB在接收到SeNB发送的RRC重配置完成消息,且自身完成本地密钥更新后,使用新的密钥(如新的加密密钥Kenc_M和/或完整性保护密钥Kint_M)恢复与UE进行通信。
基于同一发明构思,本发明实施例还提供了一种基站,参见图11所示,该基站包括:
接收模块111,用于接收第一基站发送的第一请求信息,该第一请求信息用于请求本基站生成与终端进行通信所使用的密钥;
处理模块112,用于基于第一请求信息中携带的安全密钥,生成与终端进行通信所使用的密钥;
其中,本基站与第一基站均与终端存在通信连接。
在实施中,处理模块112具体用于:
根据第一请求信息中携带的第一基站当前使用的第一安全密钥,生成与终端进行通信所使用的密钥;或者,
根据第一请求信息中携带的第一基站当前使用的第一安全密钥,生成与第一安全密钥不同的安全密钥,并根据生成的安全密钥,生成与终端进行通信所使用的密钥。
进一步,处理模块112生成与第一安全密钥不同的安全密钥,具体包括:
至少确定一个该第二基站覆盖的小区的PCI和频率信息,并根据确定的小区的PCI和频率信息以及第一安全密钥,生成与第一安全密钥不同的安全密钥。
在实施中,处理模块112具体用于:
根据第一请求信息中携带的MME为本基站产生的第二安全密钥,生成与终端进行通信所使用的密钥。
在实施中,处理模块112还用于:
在接收模块111接收到第一基站发送的第一请求信息后,向终端发送第二请求信息,该第二请求信息用于请求终端生成与本第二基站进行通信所使用的密钥。
本发明实施例中,第二请求信息中包含用于产生第二基站的安全密钥的小区的PCI和频率信息;或者,第二请求信息中包含用于指示所述终端为所述第二基站产生第二安全密钥的指示信息。
在实施中,若第一基站与本基站基于相同的安全密钥生成与所述终端进行通信所使用的密钥,则:
接收模块111还用于接收第一基站发送的第一密钥刷新指示信息,该第一密钥刷新指示信息用于指示本基站刷新与终端进行通信所使用的密钥;
处理模块112还用于根据第一密钥刷新指示信息中携带的信息生成新的安全密钥,并根据新的安全密钥生成与终端进行通信所使用的密钥。
在实施中,若第一基站与本基站基于相同的安全密钥生成与终端进行通信所使用的密钥,处理模块112还用于:
在确定需要进行密钥刷新后,向第一基站发送第一密钥刷新指示信息,第一密钥刷新指示信息用于指示第一基站刷新与终端进行通信所使用的密钥;以及在接收到第一基站返回的用于通知本次密钥刷新已完成的第一反馈信息,且自身已完成本地密钥刷新后,使用刷新后的密钥与终端的通信。
在实施中,处理模块112还用于:
在确定需要进行密钥刷新后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与终端进行通信;或者,
在接收模块111接收到第一基站发送的第一密钥刷新指示信息后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第一基站终端已完成本次密钥刷新;
其中,第二密钥刷新指示信息用于指示终端刷新与第一基站及本基站进行通信所使用的密钥。
本发明实施例中,第一密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息以及本次密钥刷新使用的下一跳NH值;或者,用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息以及本次密钥刷新使用的NH值。
在实施中,若第一基站与本基站基于不同的安全密钥生成与终端进行通信所使用的密钥,处理模块112还用于:
在确定需要进行本地密钥刷新后,向第一基站发送第一指示信息,该第一指示信息用于指示暂停向本基站转发终端的数据;或者,
在确定需要进行本地密钥更新后,向第一基站发送第一指示信息,该第一指示信息用于指示暂停向本基站转发终端的数据。
在实施中,第一基站与本基站基于不同的安全密钥生成与终端进行通信所使用的密钥,则:
接收模块111还用于接收第一基站发送的第一指示信息,第一指示信息用于指示暂停与终端相关的数据传输;
处理模块112还用于暂停与终端相关的数据传输,并在接收模块111接收到第一基站发送的用于指示恢复与终端相关的数据传输的指示后,恢复与终端相关的数据传输。
在实施中,处理模块112还用于:
在确定需要进行本地密钥刷新后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第一基站恢复与终端相关的数据传输,其中,该第二密钥刷新指示信息用于指示终端刷新与本基站通信的密钥;或者,
在接收模块111接收到第一基站发送的第一指示信息后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第一基站终端已完成本次密钥刷新,其中,第二密钥刷新指示信息用于指示终端刷新与第一基站通信的密钥;或者,
在确定需要进行本地密钥更新后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第一基站恢复与终端相关的数据传输,其中,第二密钥更新指示信息用于指示终端更新与本基站通信的密钥;或者,
在接收模块111接收到第一基站发送的第一指示信息后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第一基站终端已完成本次密钥更新,其中,第二密钥更新指示信息用于指示终端更新与第一基站通信的密钥。
本发明实施例中,第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值;或者,用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。
优选的,第二密钥刷新指示信息进一步还包括第一基站或第二基站为终端进行随机接入所指定的小区的信息。
在实施中,若第一基站与本基站基于相同的安全密钥生成与终端进行通信所使用的密钥,则:
接收模块111还用于:接收第一基站发送的第一密钥更新指示信息,第一密钥更新指示信息中携带第一基站从MME处获取新的安全密钥;
处理模块112还用于:根据新的安全密钥,更新与终端进行通信所使用的密钥;以及在完成本次密钥更新之后,向第一基站返回用于通知本次密钥更新已完成的第一回复信息。
在实施中,处理模块112还用于:
在接收模块111接收到第一基站发送的第一密钥更新指示信息后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第一基站终端已完成本次密钥更新,其中,第二密钥更新指示信息用于指示终端更新与第一基站及本基站进行通信所使用的密钥。
在实施中,处理模块112还用于:
在确定需要进行密钥刷新或接收到第一基站发送的第一密钥刷新指示信息时,暂停与终端相关的数据传输;以及在确定自身以及终端均完成本地密钥刷新后,使用刷新后的密钥恢复与终端相关的数据传输;
或者,
在确定需要进行密钥更新或接收到第一基站发送的第一密钥更新指示信息时,暂停与终端相关的数据传输;以及在确定自身以及终端均完成本地密钥更新后,使用更新后的密钥恢复与终端相关的数据传输。
基于同一发明构思,本发明实施例还提供了一种终端,参见图12所示,该终端包括:
接收模块121,用于接收第一基站或第二基站发送的第二请求信息,其中,第二请求信息用于请求终端生成与第二基站进行通信所使用的密钥;
处理模块122,用于根据第二请求信息,生成与第二基站进行通信所使用的密钥。
在实施中,处理模块122具体用于:
根据第二基站使用的安全算法以及自身为第一基站产生的第一安全密钥,生成与第二基站进行通信所使用的密钥;或者,
根据第二基站使用的安全算法以及第二请求信息中包含的用于产生第二基站的安全密钥的小区的PCI和频率信息,生成与第二基站进行通信所使用的密钥;或者,
根据保存的用于产生第二基站的第二安全密钥的安全上下文信息,产生第二安全密钥,并根据第二安全密钥生成与第二基站进行通信所使用的密钥。
在实施中,处理模块122具体用于:
接收MME指示的用于生成第二安全密钥所使用的安全上下文信息的标识,并根据保存的标识对应的安全上下文信息,产生第二安全密钥。
在实施中,若第二请求信息中携带用于产生第二基站的安全密钥的小区的PCI和频率信息,则处理模块122还用于:
在第二请求信息中包含的用于产生第二基站的安全密钥的PCI和频率信息对应的小区上执行随机接入,以接入到第二基站;或者,在第二请求信息中包含的第一基站或第二基站为终端进行随机接入所指定的小区上执行随机接入,以接入到第二基站。
在实施中,接收模块121还用于:接收第一基站或第二基站发送的第二密钥刷新指示信息,第二密钥刷新指示信息用于指示终端刷新与第一基站和/或第二基站进行通信所使用的密钥;
处理模块122还用于:根据第二密钥刷新指示信息中携带的信息生成新的安全密钥,并基于新的安全密钥生成与第一基站和/或第二基站进行通信所使用的密钥;以及向第一基站或第二基站返回用于通知本次密钥刷新已完成的第二反馈信息。
本发明实施例中,第二密钥刷新指示信息包括:本次密钥刷新使用的目标小区的PCI和频率信息、以及本次密钥刷新使用的NH值;或者,用于指示使用终端当前的主小区的PCI和频率信息进行密钥刷新的指示信息、以及本次密钥刷新使用的NH值。
优选的,第二密钥刷新指示信息中还包括第一基站或第二基站为终端执行随机接入所指定的小区的信息,则终端在所指示的小区上进行随机接入;或者,第二密钥刷新指示信息指示终端不执行随机接入,则终端不进行随机接入。
在实施中,接收模块121还用于接收第一基站或第二基站发送的第二密钥更新指示信息,该第二密钥更新指示信息用于指示终端更新与第一基站及第二基站进行通信所使用的密钥;
处理模块122还用于根据保存的安全上下文信息生成新的安全密钥,并根据新的安全密钥生成与第一基站及第二基站进行通信所使用的密钥;以及向第一基站或第二基站返回用于通知本次密钥更新已完成的第二回复信息。
下面结合优选的硬件结构,对本发明实施例提供的基站和终端的结构、处理方式进行说明。
参见图13所示,本发明实施例提供的另一种基站,包括:
收发器131,用于接收第一基站发送的第一请求信息,该第一请求信息用于请求本基站生成与终端进行通信所使用的密钥;
处理器132,用于基于第一请求信息中携带的安全密钥,生成与终端进行通信所使用的密钥;
其中,本基站与第一基站均与终端存在通信连接。
在实施中,处理器132具体用于:
根据第一请求信息中携带的第一基站当前使用的第一安全密钥,生成与终端进行通信所使用的密钥;或者,
根据第一请求信息中携带的第一基站当前使用的第一安全密钥,生成与第一安全密钥不同的安全密钥,并根据生成的安全密钥,生成与终端进行通信所使用的密钥。
在实施中,处理器132生成与第一安全密钥不同的安全密钥,具体包括:
至少确定一个该第二基站覆盖的小区的物理小区标识PCI和频率信息,并根据确定的小区的PCI和频率信息以及第一安全密钥,生成与第一安全密钥不同的安全密钥。
在实施中,处理器132具体用于:
根据第一请求信息中携带的MME为本基站产生的第二安全密钥,生成与终端进行通信所使用的密钥。
在实施中,收发器131还用于:
在接收到第一基站发送的第一请求信息后,向终端发送第二请求信息,该第二请求信息用于请求终端生成与本第二基站进行通信所使用的密钥。
在实施中,若第一基站与本基站基于相同的安全密钥生成与终端进行通信所使用的密钥,则:
收发器131还用于接收第一基站发送的第一密钥刷新指示信息,该第一密钥刷新指示信息用于指示本基站刷新与终端进行通信所使用的密钥;
处理器132还用于根据第一密钥刷新指示信息中携带的信息生成新的安全密钥,并根据新的安全密钥生成与终端进行通信所使用的密钥。
在实施中,若第一基站与本基站基于相同的安全密钥生成与终端进行通信所使用的密钥,处理器132还用于:
在确定需要进行密钥刷新后,触发收发器131向第一基站发送第一密钥刷新指示信息,第一密钥刷新指示信息用于指示第一基站刷新与终端进行通信所使用的密钥;以及在收发器131接收到第一基站返回的用于通知本次密钥刷新已完成的第一反馈信息,且自身已完成本地密钥刷新后,使用刷新后的密钥与终端的通信。
在实施中,处理器132还用于:在确定需要进行密钥刷新后,触发收发器131向终端发送第二密钥刷新指示信息,并在收发器131接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,使用刷新后的密钥与终端进行通信;
或者,
收发器131还用于:在接收到第一基站发送的第一密钥刷新指示信息后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第一基站终端已完成本次密钥刷新;
其中,第二密钥刷新指示信息用于指示终端刷新与第一基站及本基站进行通信所使用的密钥。
在实施中,若第一基站与本基站基于不同的安全密钥生成与终端进行通信所使用的密钥,收发器131还用于:
在处理器132确定需要进行本地密钥刷新后,向第一基站发送第一指示信息,该第一指示信息用于指示暂停向本基站转发终端的数据;或者,在处理器132确定需要进行本地密钥更新后,向第一基站发送第一指示信息,该第一指示信息用于指示暂停向本基站转发终端的数据。
在实施中,第一基站与本基站基于不同的安全密钥生成与终端进行通信所使用的密钥,则:
收发器131还用于接收第一基站发送的第一指示信息,该第一指示信息用于指示暂停与终端相关的数据传输;
处理器132还用于暂停与终端相关的数据传输,并在收发器131接收到第一基站发送的用于指示恢复与终端相关的数据传输的指示后,恢复与终端相关的数据传输。
在实施中,收发器131还用于:
在处理器132确定需要进行本地密钥刷新后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第一基站恢复与终端相关的数据传输,该第二密钥刷新指示信息用于指示终端刷新与本基站通信的密钥;或者,
在接收到第一基站发送的第一指示信息后,向终端发送第二密钥刷新指示信息,并在接收到终端返回的用于通知本次密钥刷新已完成的第二反馈信息后,通知第一基站终端已完成本次密钥刷新,其中,第二密钥刷新指示信息用于指示终端刷新与第一基站通信的密钥;或者,
在处理器132确定需要进行本地密钥更新后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第一基站恢复与终端相关的数据传输,该第二密钥更新指示信息用于指示终端更新与本基站通信的密钥;或者,
在接收到第一基站发送的第一指示信息后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第一基站终端已完成本次密钥更新,该第二密钥更新指示信息用于指示终端更新与第一基站通信的密钥。
在实施中,若第一基站与本基站基于相同的安全密钥生成与终端进行通信所使用的密钥,则:
收发器131还用于:接收第一基站发送的第一密钥更新指示信息,该第一密钥更新指示信息中携带第一基站从MME处获取新的安全密钥;
处理器132还用于:根据新的安全密钥,更新与终端进行通信所使用的密钥;以及在完成本次密钥更新之后,触发收发器131向第一基站返回用于通知本次密钥更新已完成的第一回复信息。
在实施中,收发器131还用于:
在接收到第一基站发送的第一密钥更新指示信息后,向终端发送第二密钥更新指示信息,并在接收到终端返回的用于通知本次密钥更新已完成的第二回复信息后,通知第一基站终端已完成本次密钥更新,其中,第二密钥更新指示信息用于指示终端更新与第一基站及本基站进行通信所使用的密钥。
在实施中,处理器132还用于:
在确定需要进行密钥刷新或接收到第一基站发送的第一密钥刷新指示信息时,暂停与终端相关的数据传输;以及在确定自身以及终端均完成本地密钥刷新后,使用刷新后的密钥恢复与终端相关的数据传输;
或者,
在确定需要进行密钥更新或接收到第一基站发送的第一密钥更新指示信息时,暂停与终端相关的数据传输;以及在确定自身以及终端均完成本地密钥更新后,使用更新后的密钥恢复与终端相关的数据传输。
参见图14所示,本发明实施例提供的另一种终端,该终端与第一基站和第二基站均存在通信连接,包括:
收发器141,用于接收第一基站或第二基站发送的第二请求信息,其中,第二请求信息用于请求终端生成与第二基站进行通信所使用的密钥;
处理器142,用于根据第二请求信息,生成与第二基站进行通信所使用的密钥。
在实施中,处理器142具体用于:
根据第二基站使用的安全算法以及自身为第一基站产生的第一安全密钥,生成与第二基站进行通信所使用的密钥;或者,根据第二基站使用的安全算法以及第二请求信息中包含的用于产生第二基站的安全密钥的小区的PCI和频率信息,生成与第二基站进行通信所使用的密钥;或者,根据保存的用于产生第二基站的第二安全密钥的安全上下文信息,产生第二安全密钥,并根据第二安全密钥生成与第二基站进行通信所使用的密钥。
在实施中,收发器141还用于:接收MME指示的用于生成第二安全密钥所使用的安全上下文信息的标识;
处理器142还用于:根据保存的该标识对应的安全上下文信息,产生第二安全密钥。
在实施中,若第二请求信息中携带用于产生第二基站的安全密钥的小区的PCI和频率信息,则处理器142还用于:
在第二请求信息中包含的用于产生第二基站的安全密钥的PCI和频率信息对应的小区上执行随机接入,以接入到第二基站;或者,在第二请求信息中包含的第一基站或第二基站为终端进行随机接入所指定的小区上执行随机接入,以接入到第二基站。
在实施中,收发器141还用于:接收第一基站或第二基站发送的第二密钥刷新指示信息,该第二密钥刷新指示信息用于指示终端刷新与第一基站和/或第二基站进行通信所使用的密钥;
处理器142还用于:根据第二密钥刷新指示信息中携带的信息生成新的安全密钥,并基于新的安全密钥生成与第一基站和/或第二基站进行通信所使用的密钥;以及触发收发器141向第一基站或第二基站返回用于通知本次密钥刷新已完成的第二反馈信息。
在实施中,收发器141还用于:接收第一基站或第二基站发送的第二密钥更新指示信息,该第二密钥更新指示信息用于指示终端更新与第一基站及第二基站进行通信所使用的密钥;
处理器142还用于:根据保存的安全上下文信息生成新的安全密钥,并根据新的安全密钥生成与第一基站及第二基站进行通信所使用的密钥;以及触发收发器141向第一基站或第二基站返回用于通知本次密钥更新已完成的第二回复信息。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (24)
1.一种双连接模式下的密钥处理方法,其特征在于,终端与第一基站和第二基站均存在通信连接,该方法包括:
所述终端接收所述第一基站发送的请求信息,所述请求信息用于请求所述终端生成与所述第二基站进行通信所使用的密钥;
所述终端根据所述请求信息生成与所述第二基站进行通信所使用的密钥;
所述终端接收所述第一基站发送的指示信息,所述指示信息用于指示所述终端更新与所述第一基站和所述第二基站分别进行通信所使用的密钥;
所述终端根据所述指示信息生成新的接入安全管理实体密钥KASME2,所述终端根据所述KASME2以及NAS的新的COUNT值生成新的安全密钥KeNB2;
所述终端根据所述KeNB2和所述第一基站的安全算法生成与所述第一基站通信所使用的密钥,以及所述终端根据所述KeNB2和所述第二基站的安全算法生成与所述第二基站通信所使用的密钥。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端向所述第一基站发送反馈信息,所述反馈信息用于通知本次密钥更新已完成。
3.如权利要求1所述的方法,其特征在于,所述指示信息包括:
本次密钥更新使用的目标小区的PCI和频率信息、以及本次密钥更新使用的NH值;或者,
用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥更新的指示信息、以及本次密钥更新使用的NH值。
4.如权利要求1-3中任一项所述的方法,其特征在于,所述指示信息包括所述第二基站为所述终端执行随机接入所指定的小区的信息。
5.如权利要求1-3中任一项所述的方法,其特征在于,所述指示信息还用于指示所述终端不执行随机接入。
6.一种双连接模式下的密钥处理方法,其特征在于,所述方法包括:
第一基站向终端发送请求信息,所述请求信息用于请求所述终端生成与第二基站进行通信所使用的密钥,所述终端与所述第一基站和所述第二基站均存在通信连接;
所述第一基站向所述终端发送指示信息,所述指示信息用于指示所述终端更新与所述第一基站和所述第二基站分别进行通信所使用的密钥;
所述第一基站向所述第二基站发送包含从移动性管理实体获取的新的安全密钥KeNB2的密钥更新指示信息,所述密钥更新指示信息用于指示所述第二基站根据所述新的安全密钥KeNB2更新与所述终端通信所使用的密钥。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
所述第一基站接收所述终端发送的反馈信息,所述反馈信息用于通知本次密钥更新已完成。
8.如权利要求6所述的方法,其特征在于,所述指示信息包括:
本次密钥更新使用的目标小区的PCI和频率信息、以及本次密钥更新使用的NH值;或者,
用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥更新的指示信息、以及本次密钥更新使用的NH值。
9.如权利要求6-8中任一项所述的方法,其特征在于,所述指示信息包括所述第二基站为所述终端执行随机接入所指定的小区的信息。
10.如权利要求6-8中任一项所述的方法,其特征在于,所述指示信息还用于指示所述终端不执行随机接入。
11.一种用于终端的密钥处理装置,其特征在于,所述终端与第一基站和第二基站均存在通信连接,所述装置包括:
接收模块,用于接收所述第一基站发送的请求信息,所述请求信息用于请求所述第二基站生成与所述终端进行通信所使用的密钥;
处理模块,用于根据所述请求信息生成与所述第二基站进行通信所使用的密钥;
所述接收模块,还用于接收所述第一基站发送的指示信息,所述指示信息用于指示所述终端更新与所述第一基站和所述第二基站分别进行通信所使用的密钥;
所述处理模块,还用于根据所述指示信息生成新的接入安全管理实体密钥KASME2,所述终端根据所述KASME2以及NAS的新的COUNT值生成新的安全密钥KeNB2;以及
根据所述KeNB2和所述第一基站的安全算法生成与所述第一基站通信所使用的密钥,以及所述终端根据所述KeNB2和所述第二基站的安全算法生成与所述第二基站通信所使用的密钥。
12.如权利要求11所述的装置,其特征在于,所述装置还包括:
发送模块,用于向所述第一基站发送反馈信息,所述反馈信息用于通知本次密钥更新已完成。
13.如权利要求11所述的装置,其特征在于,所述指示信息包括:
本次密钥更新使用的目标小区的PCI和频率信息、以及本次密钥更新使用的NH值;或者,
用于指示使用所述装置当前的主小区的PCI和频率信息进行密钥更新的指示信息、以及本次密钥更新使用的NH值。
14.如权利要求11-13中任一项所述的装置,其特征在于,所述指示信息包括所述第二基站为所述装置执行随机接入所指定的小区的信息。
15.如权利要求11-13中任一项所述的装置,其特征在于,所述指示信息还用于指示所述装置不执行随机接入。
16.一种用于第一基站的密钥处理装置,其特征在于,所述装置包括:
发送模块,用于向终端发送请求信息,所述请求信息用于请求所述终端生成与第二基站进行通信所使用的密钥,所述终端与所述第一基站与所述第二基站均存在通信连接;
所述发送模块,还用于向所述终端发送指示信息,所述指示信息用于指示所述终端更新与所述第一基站和所述第二基站分别进行通信所使用的密钥;以及
所述第一基站向所述第二基站发送包含从移动性管理实体获取的新的安全密钥KeNB2的密钥更新指示信息,所述密钥更新指示信息用于指示所述第二基站根据所述新的安全密钥KeNB2更新与所述终端通信所使用的密钥。
17.如权利要求16所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述终端发送的反馈信息,所述反馈信息用于通知本次密钥更新已完成。
18.如权利要求16所述的装置,其特征在于,所述指示信息包括:
本次密钥更新使用的目标小区的PCI和频率信息、以及本次密钥更新使用的NH值;或者,
用于指示使用所述终端当前的主小区的PCI和频率信息进行密钥更新的指示信息、以及本次密钥更新使用的NH值。
19.如权利要求16-18中任一项所述的装置,其特征在于,所述指示信息包括所述第二基站为所述终端执行随机接入所指定的小区的信息。
20.如权利要求16-18中任一项所述的装置,其特征在于,所述指示信息还用于指示所述终端不执行随机接入。
21.一种通信装置,其特征在于,包括:处理器和接口电路;
所述接口电路,用于接收代码指令并传输至所述处理器;
所述处理器,用于运行所述代码指令以执行如权利要求1-5中任一项所述的方法。
22.一种通信装置,其特征在于,包括:处理器和接口电路;
所述接口电路,用于接收代码指令并传输至所述处理器;
所述处理器,用于运行所述代码指令以执行如权利要求6-10中任一项所述的方法。
23.一种计算机可读存储介质,其特征在于,用于存储有计算机程序,当所述计算机程序被执行时,使如权利要求1-5中任一项所述的方法被实现。
24.一种计算机可读存储介质,其特征在于,用于存储有计算机程序,当所述计算机程序被执行时,使如权利要求6-10中任一项所述的方法被实现。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810950275.XA CN109560923B (zh) | 2013-11-01 | 2013-11-01 | 一种双连接模式下的密钥处理方法和设备 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810950275.XA CN109560923B (zh) | 2013-11-01 | 2013-11-01 | 一种双连接模式下的密钥处理方法和设备 |
PCT/CN2013/086469 WO2015062097A1 (zh) | 2013-11-01 | 2013-11-01 | 一种双连接模式下的密钥处理方法和设备 |
CN201380003342.2A CN103959829B (zh) | 2013-11-01 | 2013-11-01 | 一种双连接模式下的密钥处理方法和设备 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380003342.2A Division CN103959829B (zh) | 2013-11-01 | 2013-11-01 | 一种双连接模式下的密钥处理方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109560923A CN109560923A (zh) | 2019-04-02 |
CN109560923B true CN109560923B (zh) | 2021-12-14 |
Family
ID=51334891
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810950275.XA Active CN109560923B (zh) | 2013-11-01 | 2013-11-01 | 一种双连接模式下的密钥处理方法和设备 |
CN201380003342.2A Active CN103959829B (zh) | 2013-11-01 | 2013-11-01 | 一种双连接模式下的密钥处理方法和设备 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380003342.2A Active CN103959829B (zh) | 2013-11-01 | 2013-11-01 | 一种双连接模式下的密钥处理方法和设备 |
Country Status (4)
Country | Link |
---|---|
US (3) | US10735953B2 (zh) |
EP (2) | EP3852413A1 (zh) |
CN (2) | CN109560923B (zh) |
WO (1) | WO2015062097A1 (zh) |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
HUE042958T2 (hu) * | 2013-05-09 | 2019-07-29 | Intel Ip Corp | Kis Adat (Small Data) kommunikáció |
KR102040036B1 (ko) * | 2014-01-28 | 2019-11-04 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 보안 패스워드 변경 방법, 기지국, 및 사용자 기기 |
WO2015141637A1 (ja) * | 2014-03-19 | 2015-09-24 | シャープ株式会社 | 端末装置、基地局装置、通信システム、通信方法および集積回路 |
GB2528913B (en) | 2014-08-04 | 2017-03-01 | Samsung Electronics Co Ltd | Signalling in dual connectivity mobile communication networks |
CN105900471B (zh) * | 2014-08-08 | 2019-06-21 | 华为技术有限公司 | 密钥流元素更新装置、方法及双连接系统 |
RU2665881C1 (ru) | 2014-10-23 | 2018-09-04 | Хуавей Текнолоджиз Ко., Лтд. | Способ и устройство соединения для управления (rrc) радиоресурсами и способ и устройство повторного rrc соединения |
ES2699842T3 (es) | 2014-11-04 | 2019-02-13 | Ericsson Telefon Ab L M | Un dispositivo de comunicación inalámbrica, un nodo de red y métodos para transmisiones de acceso aleatorio mejoradas |
WO2016072039A1 (ja) | 2014-11-07 | 2016-05-12 | 日本電気株式会社 | 無線通信システム、基地局、通信方法 |
JP6544666B2 (ja) | 2015-01-30 | 2019-07-17 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 通信方法、ネットワークデバイス、ユーザ機器、および通信システム |
US10412056B2 (en) * | 2015-07-24 | 2019-09-10 | Futurewei Technologies, Inc. | Ultra dense network security architecture method |
CN108353443B9 (zh) * | 2015-09-07 | 2022-10-25 | 诺基亚通信公司 | 用于实现多连接的无线电资源控制的方法和装置 |
CN106559780A (zh) * | 2015-09-25 | 2017-04-05 | 展讯通信(上海)有限公司 | 移动终端及其lte和wlan汇聚时数据传输控制方法 |
US10368238B2 (en) | 2015-12-01 | 2019-07-30 | Htc Corporation | Device and method of handling data transmission/reception for dual connectivity |
EP3425938B1 (en) | 2015-12-31 | 2020-12-30 | Huawei Technologies Co., Ltd. | Charging methods and devices |
KR102437619B1 (ko) * | 2016-04-01 | 2022-08-29 | 삼성전자주식회사 | 보안 키를 생성하기 위한 장치 및 방법 |
EP3440860A4 (en) * | 2016-04-05 | 2019-11-20 | Nokia Solutions and Networks Oy | OPTIMIZED SAFETY KEY REFRESH PROCEDURE FOR MC 5G |
US10681541B2 (en) | 2016-04-29 | 2020-06-09 | Nokia Technologies Oy | Security key usage across handover that keeps the same wireless termination |
WO2018058444A1 (zh) * | 2016-09-29 | 2018-04-05 | 华为技术有限公司 | 一种数据加密的方法及装置 |
CN108282836B (zh) * | 2017-01-06 | 2020-10-30 | 展讯通信(上海)有限公司 | 辅基站切换方法、装置及基站 |
CN108633018B (zh) * | 2017-03-23 | 2024-02-02 | 华为技术有限公司 | 配置方法、装置及系统 |
US11445367B2 (en) | 2017-05-15 | 2022-09-13 | Samsung Electronics Co., Ltd. | Apparatus and method for managing security keys in wireless communication system |
WO2018227480A1 (en) | 2017-06-15 | 2018-12-20 | Qualcomm Incorporated | Refreshing security keys in 5g wireless systems |
CN109309919B (zh) | 2017-07-27 | 2021-07-20 | 华为技术有限公司 | 一种通信方法及设备 |
CN109309918B (zh) * | 2017-07-27 | 2021-06-08 | 华为技术有限公司 | 通信方法、基站和终端设备 |
CN109560919B (zh) * | 2017-09-27 | 2021-02-09 | 华为技术有限公司 | 一种密钥衍生算法的协商方法及装置 |
CN113660660A (zh) * | 2018-01-08 | 2021-11-16 | 华为技术有限公司 | 一种更新密钥的方法及装置 |
CN110167018B (zh) * | 2018-02-11 | 2021-12-10 | 华为技术有限公司 | 一种安全保护的方法、装置及接入网设备 |
AU2018409908B2 (en) | 2018-02-23 | 2021-10-28 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method and device for determining security algorithm, and computer storage medium |
US10972909B2 (en) * | 2018-03-02 | 2021-04-06 | Intel Corporation | Synched group key rekeying |
US11071025B2 (en) * | 2018-06-29 | 2021-07-20 | FG Innovation Company Limited | Cell handover with minimum mobility interruption |
CN109168161B (zh) * | 2018-08-27 | 2021-11-02 | 创新维度科技(北京)有限公司 | 安全模式激活方法、装置、系统和计算机存储介质 |
CN113038466B (zh) * | 2018-09-12 | 2023-02-21 | 维沃移动通信有限公司 | 处理方法和设备 |
CN112655245A (zh) * | 2018-09-19 | 2021-04-13 | Oppo广东移动通信有限公司 | 一种数据传输方法、设备及存储介质 |
CN111194032B (zh) * | 2018-11-14 | 2021-08-13 | 华为技术有限公司 | 一种通信方法及其装置 |
WO2020143054A1 (zh) * | 2019-01-11 | 2020-07-16 | Oppo广东移动通信有限公司 | 一种rrc连接重建方法及装置、网络设备 |
CN111641582B (zh) * | 2019-03-01 | 2021-11-09 | 华为技术有限公司 | 一种安全保护方法及装置 |
CN112449346B (zh) * | 2019-09-04 | 2022-09-23 | 华为技术有限公司 | 通信方法、装置及计算机可读存储介质 |
CN113068183A (zh) * | 2019-12-26 | 2021-07-02 | 大唐移动通信设备有限公司 | 一种安全密钥的更新方法及装置 |
US11558183B2 (en) * | 2020-05-15 | 2023-01-17 | Bank Of America Corporation | System for exchanging symmetric cryptographic keys using computer network port knocking |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102740289A (zh) * | 2012-06-15 | 2012-10-17 | 电信科学技术研究院 | 一种密钥更新方法、装置及系统 |
CN103188663A (zh) * | 2011-12-27 | 2013-07-03 | 华为技术有限公司 | 基站间载波聚合的安全通讯方法及设备 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1324853C (zh) * | 2003-12-10 | 2007-07-04 | 联想(北京)有限公司 | 有线设备与无线设备智能组网方法及拓展应用方法 |
JP4596256B2 (ja) * | 2005-08-02 | 2010-12-08 | ソニー株式会社 | 送受信システムおよび方法、送信装置および方法、受信装置および方法、並びにプログラム |
US8948395B2 (en) * | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
EP2160048B1 (en) * | 2007-09-24 | 2015-12-23 | ZTE Corporation | Terminal random access method for cellular radio communications system and method for generating group identifier |
JP4394730B1 (ja) * | 2008-06-27 | 2010-01-06 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
US20120159151A1 (en) * | 2010-12-21 | 2012-06-21 | Tektronix, Inc. | Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring |
EP2716132A2 (en) * | 2011-06-02 | 2014-04-09 | Interdigital Patent Holdings, Inc. | Methods, apparatus, and systems for managing converged gateway communications |
KR101428875B1 (ko) * | 2011-11-30 | 2014-08-12 | 주식회사 알티캐스트 | Hls 기반 보안 처리 시스템 및 그 방법 |
CN104160730B (zh) * | 2012-02-06 | 2018-09-25 | 诺基亚技术有限公司 | 快速接入方法和装置 |
EP2813125B1 (en) * | 2012-02-10 | 2019-03-27 | Nokia Technologies Oy | A method and apparatus for enhanced connection control |
KR101589911B1 (ko) * | 2012-08-03 | 2016-02-18 | 주식회사 케이티 | 랜덤 액세스 전력 제어 방법 및 장치 |
KR101964083B1 (ko) * | 2012-10-31 | 2019-04-01 | 삼성전자 주식회사 | 무선 통신 시스템에서 기지국간 반송파 집적을 통한 데이터 전송 방법 및 장치 |
CN103052038B (zh) * | 2013-01-04 | 2015-08-12 | 中兴通讯股份有限公司 | 一种建立组呼上下文的方法和系统、基站、集群epc |
HUE042958T2 (hu) * | 2013-05-09 | 2019-07-29 | Intel Ip Corp | Kis Adat (Small Data) kommunikáció |
ES2743214T3 (es) | 2013-09-11 | 2020-02-18 | Samsung Electronics Co Ltd | Procedimiento y sistema para posibilitar una comunicación segura para una transmisión inter-eNB |
-
2013
- 2013-11-01 EP EP20204543.1A patent/EP3852413A1/en active Pending
- 2013-11-01 CN CN201810950275.XA patent/CN109560923B/zh active Active
- 2013-11-01 WO PCT/CN2013/086469 patent/WO2015062097A1/zh active Application Filing
- 2013-11-01 CN CN201380003342.2A patent/CN103959829B/zh active Active
- 2013-11-01 EP EP13896385.5A patent/EP3057349A4/en not_active Withdrawn
-
2016
- 2016-04-29 US US15/143,113 patent/US10735953B2/en active Active
-
2020
- 2020-02-20 US US16/796,918 patent/US11418325B2/en active Active
-
2022
- 2022-06-24 US US17/849,384 patent/US20220353059A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188663A (zh) * | 2011-12-27 | 2013-07-03 | 华为技术有限公司 | 基站间载波聚合的安全通讯方法及设备 |
CN102740289A (zh) * | 2012-06-15 | 2012-10-17 | 电信科学技术研究院 | 一种密钥更新方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
US10735953B2 (en) | 2020-08-04 |
WO2015062097A1 (zh) | 2015-05-07 |
EP3057349A1 (en) | 2016-08-17 |
US20200267545A1 (en) | 2020-08-20 |
EP3057349A4 (en) | 2016-08-17 |
US20220353059A1 (en) | 2022-11-03 |
CN103959829A (zh) | 2014-07-30 |
US11418325B2 (en) | 2022-08-16 |
EP3852413A1 (en) | 2021-07-21 |
CN103959829B (zh) | 2018-09-21 |
CN109560923A (zh) | 2019-04-02 |
US20160249210A1 (en) | 2016-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109560923B (zh) | 一种双连接模式下的密钥处理方法和设备 | |
US11678400B2 (en) | Location and context management in a ran inactive mode | |
KR102040036B1 (ko) | 보안 패스워드 변경 방법, 기지국, 및 사용자 기기 | |
US9681339B2 (en) | Security processing method and system in network handover process | |
EP3393196B1 (en) | Mobility management method, base station, and non-transitory computer-readable storage medium | |
EP3886527A1 (en) | Signalling in dual connectivity mobile communication networks | |
EP3206421A1 (en) | Method and apparatus to enable multiple wireless connections | |
JP2014533908A (ja) | 無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法及び装置 | |
US11252561B2 (en) | Refreshing a security context for a mobile device | |
CN103188663A (zh) | 基站间载波聚合的安全通讯方法及设备 | |
WO2013116976A1 (en) | A fast-accessing method and apparatus | |
WO2014109968A1 (en) | Secure radio access with inter-enb carrier aggregation | |
CN109906624B (zh) | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 | |
CN101998388A (zh) | 安全信息的交互方法和装置 | |
CN104604271A (zh) | 一种通信方法、网络侧设备、用户设备 | |
CN102572816B (zh) | 一种移动切换的方法及装置 | |
CN113133073A (zh) | 网络连接重建方法及其装置 | |
CN106797559B (zh) | 一种接入认证方法及装置 | |
US20230111156A1 (en) | Method and apparatus for network security | |
CN104936171B (zh) | 安全算法的确定方法及装置 | |
CN102316451B (zh) | 一种下一跳链计数器的处理方法及设备 | |
WO2017032124A1 (zh) | 一种通信方法及基站 | |
CN109842484B (zh) | 一种下一跳链计数器更新方法、装置及设备 | |
CN102264067B (zh) | 一种切换过程中安全功能的处理方法及设备 | |
CN104244442B (zh) | 一种邻近通信建立方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |