一种安全信息更新方法及接入网设备
技术领域
本发明涉及通信领域,特别涉及一种安全信息更新方法及接入网设备。
背景技术
基于长期演进(Long Term Evolution,LTE)的演进的分组系统(Evolved PacketSystem,EPS)主要由演进分组核心网(Evolved Packet Core,EPC)、基站(eNode B)和用户设备(User Equipment,UE)部分组成,其中,核心网包括移动管理实体(MobileManagenment Entity,MME)对UE进行鉴权,以及支持非接入层(Non-Access Stratum,NAS)信令及其安全。
目前,在LTE中,对UE进行无线资源控制(Radio Resource Control,RRC)连接恢复相关过程中,需要将用于推导基站基本密钥的安全信息在核心网设备与无线接入网设备之间进行多次传递。简单来说,RRC的连接恢复过程包括恢复前的挂起过程以及挂起后的恢复过程,其中,在恢复前的挂起过程中,MME根据本地策略可能需要向源eNB发送更新后的安全信息,以及在挂起后的恢复过程中,恢复到的目标eNB在恢复成功前需要向源eNB获取更新的安全信息,并在恢复成功后,目标eNB需要向MME获取更新的安全信息。
而在5G NR中,RRC连接恢复过程发生在处于非活跃状态(INACTIVE)的UE,若参考LTE,即在每次进行RRC连接恢复时,需要将安全信息在核心网与无线接入网之间进行多次传递,则会增加核心网与无线接入网之间的信令开销与目标eNB获取更新的安全信息的时延。
发明内容
本发明实施例提供一种安全信息更新方法及接入网设备,用于降低现有技术中CN与RAN之间的信令开销和安全信息更新时延。
第一方面,本发明实施例提供一种安全信息更新方法,包括以下步骤:
第一接入网设备获得终端设备的根密钥KASME,所述根密钥KASME是用于推导接入网设备的密钥,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备;
所述第一接入网设备根据所述根密钥KASME更新安全信息,所述安全信息用于指示所述第一接入网设备进行通信的密钥。
可选的,第一接入网设备获得终端设备的根密钥KASME,包括:
所述第一接入网设备接收第二接入网设备发送的所述根密钥KASME,所述第二接入网设备是所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备;或者
所述第一接入网接收第三接入网设备发送的所述终端设备的根密钥KASME,所述第三接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
可选的,所述方法还包括:
所述第一接入网设备确定是否将更新的安全信息包括的第一安全信息发送给核心网设备,所述第一安全信息为所述更新的安全信息的部分或全部信息;
在确定将所述第一安全信息发送给核心网设备的情况下,所述第一接入网设备将所述第一安全信息发送给所述核心网设备。
可选的,确定是否将所述第一安全信息发送给核心网设备,包括:
所述第一接入网设备确定预先设置的定时器是否超时,其中,在所述定时器超时的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
所述第一接入网设备确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
所述第一接入网设备确定预先设置的定时器是否超时,以及确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述定时器超时,以及所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备。
可选的,所述第一接入网设备将所述第一安全信息发送给所述核心网设备,包括:
所述第一接入网设备通过第一信令或第二信令将所述第一安全信息发送给所述核心网设备,其中,所述第一信令为所述第一接入网设备生成的、用于承载所述第一安全信息的信令,所述第二信令为主要用于承载其他信息的信令。
可选的,所述方法还包括:
在所述预先设置的定时器未超时,和/或,所述预先设置的计数器的计数值未达到所述计数器的最大计数值,所述第一接入网设备根据本地策略确定是否将所述第一安全信息发送给所述核心网设备。
可选的,所述方法还包括:
在所述终端设备当前处于连接态的情况下,所述第一接入网设备根据本地策略确定将更新安全信息的功能从所述第一接入网设备转移到所述核心网设备,或,将更新安全信息的功能继续保留在所述第一接入网设备中。
可选的,所述安全信息包括下一跳密钥NH和NH链接计数器NCC。
第二方面,本发明实施例提供一种安全信息更新方法,包括:
第二接入网设备接收来自终端设备或核心网设备的根密钥KASME,所述根密钥KASME用于推导接入网设备的密钥,所述第二接入网设备为所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备;
所述第二接入网设备将所述根密钥KASME发送给第一接入网设备,所述根密钥KASME用于所述第一接入网设备更新安全信息,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
可选的,所述第二接入网设备将所述根密钥KASME发送给第一接入网设备,包括:
所述第二接入网设备将所述根密钥KASME添加到存储的所述终端设备的上下文中;
所述第二接入网设备将添加了所述根密钥KASME的所述终端设备上下文发送给所述第一接入网设备。
可选的,第二接入网设备接收来自终端设备或核心网设备的根密钥KASME,包括:
所述第二接入网设备接收来自核心网或终端设备的当前的根密钥KASME。
可选的,在接收来自终端设备或核心网设备的根密钥KASME之后,所述方法还包括:
所述第二接入网设备根据所述根密钥KASME更新安全信息;
所述第二接入网设备确定是否将更新的安全信息包括的第一安全信息发送给核心网设备,所述第一安全信息为所述更新的安全信息的部分或全部信息;
在确定将所述第一安全信息发送给核心网设备的情况下,所述第二接入网设备将所述第一安全信息发送给所述核心网设备。
可选的,确定是否将所述第一安全信息发送给核心网设备,包括:
所述第二接入网设备确定预先设置的定时器是否超时,其中,在所述定时器超时的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
所述第二接入网设备确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
所述第二接入网设备确定预先设置的定时器是否超时,以及确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述定时器超时,以及所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备。
可选的,所述方法还包括:
在所述预先设置的定时器未超时,和/或,所述预先设置的计数器的计数值未达到所述计数器的最大计数值,所述第二接入网设备根据本地策略确定是否将所述第一安全信息发送给所述核心网设备。
可选的,所述安全信息包括下一跳密钥NH和NH链接计数器NCC。
第三方面,本发明实施例提供一种接入网设备,包括:
接收器,用于获得终端设备的根密钥KASME,所述根密钥KASME是用于推导接入网设备的密钥,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备;
处理器,用于根据所述根密钥KASME更新安全信息,所述安全信息用于指示所述第一接入网设备进行通信的密钥。
可选的,所述接收器用于:
接收第二接入网设备发送的所述根密钥KASME,所述第二接入网设备是所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备;或者
接收第三接入网设备发送的所述终端设备的根密钥KASME,所述第三接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
可选的,所述处理器还用于确定是否将更新的安全信息包括的第一安全信息发送给核心网设备,所述第一安全信息为所述更新的安全信息的部分或全部信息;
所述接入网设备还包括发送器,用于在所述处理器确定将所述第一安全信息发送给核心网设备的情况下,将所述第一安全信息发送给所述核心网设备。
可选的,所述处理器用于:
确定预先设置的定时器是否超时,其中,在所述定时器超时的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的定时器是否超时,以及确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述定时器超时,以及所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备。
可选的,所述发送器用于:
通过第一信令或第二信令将所述第一安全信息发送给所述核心网设备,其中,所述第一信令为所述第一接入网设备生成的、用于承载所述第一安全信息的信令,所述第二信令为主要用于承载其他信息的信令。
可选的,所述处理器还用于:
在所述预先设置的定时器未超时,和/或,所述预先设置的计数器的计数值未达到所述计数器的最大计数值的情况下,根据本地策略确定是否将所述第一安全信息发送给所述核心网设备。
可选的,所述处理器还用于:
在所述终端设备当前处于连接态的情况下,根据本地策略确定将更新安全信息的功能从所述第一接入网设备转移到所述核心网设备,或,将更新安全信息的功能继续保留在所述第一接入网设备中。
可选的,所述安全信息包括下一跳密钥NH和NH链接计数器NCC。
第四方面,本发明实施例提供一种接入网设备,包括:
接收器,用于接收来自终端设备或核心网设备的根密钥KASME,所述根密钥KASME用于推导接入网设备的密钥,所述第二接入网设备为所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备;
发送器,用于将所述根密钥KASME发送给第一接入网设备,所述根密钥KASME用于所述第一接入网设备更新安全信息,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
可选的,所述发送器用于:
将所述根密钥KASME添加到存储的所述终端设备的上下文中;
将添加了所述根密钥KASME的所述终端设备上下文发送给所述第一接入网设备。
可选的,所述接收器用于:
接收来自核心网或终端设备的更新后的根密钥KASME。
可选的,所述处理器还用于:
在所述接收器接收来自终端设备或核心网设备的根密钥KASME之后,根据所述根密钥KASME更新安全信息,并确定是否将更新的安全信息包括的第一安全信息发送给核心网设备,所述第一安全信息为所述更新的安全信息的部分或全部信息;
所述发送器用于,在所述处理器确定将所述第一安全信息发送给核心网设备的情况下,所述第二接入网设备将所述第一安全信息发送给所述核心网设备。
可选的,所述处理器用于:
确定预先设置的定时器是否超时,其中,在所述定时器超时的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的定时器是否超时,以及确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述定时器超时,以及所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备。
可选的,所述处理器还用于:
在所述预先设置的定时器未超时,和/或,所述预先设置的计数器的计数值未达到所述计数器的最大计数值,根据本地策略确定是否将所述第一安全信息发送给所述核心网设备。
可选的,所述安全信息包括下一跳密钥NH和NH链接计数器NCC。
第五方面,本发明实施例提供一种接入网设备,包括:
获取模块,用于获得终端设备的根密钥KASME,所述根密钥KASME是用于推导接入网设备的密钥,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备;
处理模块,用于根据所述根密钥KASME更新安全信息,所述安全信息用于指示所述第一接入网设备进行通信的密钥。
第六方面,本发明实施例提供一种接入网设备,包括:
接收模块,用于接收来自终端设备或核心网设备的根密钥KASME,所述根密钥KASME用于推导接入网设备的密钥,所述第二接入网设备为所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备;
发送模块,用于将所述根密钥KASME发送给第一接入网设备,所述根密钥KASME用于所述第一接入网设备更新安全信息,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
第七方面,本发明实施例提供一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-12中任一权项所述方法。
第八方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述指令在计算机上运行时,使得计算机执行如第一方面及第二方面所述的方法。
本发明实施例中,由于在终端设备挂起后恢复到第一接入网设备,或终端设备进行小区切换后接入第一接入网设备后,该第一接入网设备通过获得终端设备的根密钥KASME,即可根据获取的KASME实现对安全信息的更新,具有较好的实时性。同时,由于接入网设备更新安全信息的过程无需依赖于核心网,无需与核心网的多次交互,故减少了无线接入网侧与核心网侧之间的信令开销。
附图说明
图1为现有技术中EPS系统中的密钥体系的架构图;
图2为现有技术中LTE中RCC连接恢复的过程;
图3为本发明实施例中安全信息更新方法的流程图;
图4为本发明另一实施例中安全信息更新方法的流程图;
图5-图6为本发明实施例中接入网设备的结构示意图;
图7-图8为本发明实施例中接入网设备的模块示意图;
图9为本发明实施例中计算机装置的结构示意图。
具体实施方式
为了使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施例作进一步地详细描述。
首先,对EPS系统中的密钥体系进行介绍,以便于本领域技术人员理解。
如图1所示,其为现有技术中EPS系统密钥体系架构图。图中,EPS的归属签约用户服务器(Home Subscriber Server,HSS)中存储的有用户设备(User Equipment,UE)参数,即加密密钥(Cipher Key,CK)和完整性密钥(Integrity Key,IK)等。
MME在对UE鉴权时,会根据HSS存储的UE参数(CK、IK)及其它参数(SN ID、SQN、AK)信息生成基本密钥KASME,KASME可以用于推导下一跳密钥(Next Hop,NH)和NH链接计数器(Next hop Chaining Counter,NCC),MME根据NH可以用于生成基站的基本密钥(KeNB)。此外,MME还可以根据KASME及NAS密钥算法生成NAS密钥KNASint、KNASenc。
在实际应用中,由于MME中生成的KASME只在本地MME维护不外传。故MME在对UE鉴权后还会向UE发送UE NAS安全上下文相关的NAS安全模式命令(security mode command,SMC)信令,该信令包含MME传递给UE的NAS密钥生成算法及必要的参数(SQN、AK),以使UE生成和MME相同的KASME、KNASint、KNASenc密钥,并发送给相应接入网设备,实现接入网设备与核心网之间的安全信息的同步。
接下来,对现有的LTE中RCC连接恢复的过程及其安全机制进行介绍。
在LTE中,处于空闲态(IDLE)的UE在RRC连接恢复过程成功后将进入连接态(CONNECTED),每次RRC连接恢复过程之前都存在对应的RRC连接挂起过程。
如图2所示,在恢复前的挂起过程中,基站(eNB)向MME请求挂起UE上下文及相关承载上下文,然后将UE转移到RRC_IDLE(空闲态)。eNB先向MME发S1-AP UE连接挂起请求(S1-AP UE Context Suspend Request)消息,MME根据其本地策略可能会向eNB发送更新的安全信息。然后,eNB向UE发送携带旧的安全信息的RRC连接挂起(RRC connection Suspend)消息,将UE由连接态转移到空闲态。其中,如果eNB获得了更新的安全信息,则保留KRRCint,而删除AS安全上下文的其他密钥。也就是说,在向UE发送RRC连接挂起消息后删除KeNB,KRRCenc和KUPenc;否则,若eNB未从MME获得更新的{NH,NCC}对,则保持AS密钥。
然后,在挂起后的恢复过程中,RRC连接恢复请求(RRC Connection ResumeRequest)消息中的安全信息为Short Resume MAC-I,Short Resume MAC-I用于网络侧验证用户,其计算输入包括此前UE被挂起的源基站小区无线网络临时标识(Cell-RadioNetwork Tempory Identity,C-RNTI),源基站物理层小区索引(physical cell index,PCI),恢复常数,目标基站Cell-ID以及与源基站端一致的KRRCint。目标基站收到UE的RRC连接恢复请求(RRC Connection Resume Request)消息后基于该消息中用于标识UE的ResumeID信息向源基站发送UE上下文请求消息,源基站收到该消息后会根据UE ID、KRRCint等信息生成新的short MAC-I,与UE发送的short MAC-I进行比较。若相同,则源基站推导新的KeNB*。若源基站在此前的挂起过程中从MME获得了更新的{NH,NCC}对,则使用该{NH,NCC}对,推导新的KeNB*,否则,使用原本已有的{NH,NCC}推导KeNB*。然后,向目标基站发送该UE的上下文,包括新的KeNB*、与之相关的新NCC及UE EPS安全能力(包括UE支持的安全算法及源小区采用的加密和完整性保护算法)。据此,目标基站推导与源自KeNB*的算法对应的新AS密钥(RRC完整性密钥、加密密钥和UP密钥),将所有分组数据汇聚层协议(Packet DataConvergence Protocol,PDCP)的计数,即PDCP COUNT重置为0,并激活PDCP层的新密钥。
然后,目标基站向UE反馈RRC连接恢复消息,采用新AS密钥在PDCP层进行完整性保护。UE收到该消息后,对其MAC-I进行完整性校验,若校验成功,则UE将所有PDCP COUNT重置为0,激活PDCP层新AS密钥,然后向目标基站发送同时采用完整性保护和加密的RRC连接恢复完成(RRC Connection Resume Complete)消息
如果UE恢复到新基站,那么在恢复过程成功后,目标基站还将向MEE发送路径切换请求(Path Switch request)消息过程;对于UE恢复到相同基站的情形,在恢复过程成功后,该基站还将向MME发送S1-AP UE连接恢复请求(S1-AP UE Context Resume Request)消息,MME收到该消息后依据其本地策略确定是否推导新NH。若其本地策略指示推导了新NH,则将相应的新{NH,NCC}对通过S1-AP UE连接恢复应答(S1-AP UE Context ResumeResponse)消息发送给基站。
由此可见,在5G NR中,RRC连接恢复过程发生在处于非活跃状态(INACTIVE)的UE,若RRC连接恢复参考LTE,则UE每次进行RCC连接恢复时都需更新安全信息,并需要将安全信息在核心网(Core Network,CN)与无线接入网(Radio Access Network,RAN)之间进行传递,这样会增加安全信息更新时延和RAN与CN之间的信令开销。
鉴于此,本发明实施例中,在终端设备挂起后恢复到第一接入网设备,或终端设备进行小区切换后接入第一接入网设备后,该第一接入网设备通过获得终端设备的根密钥KASME,即可根据获取的KASME实现对安全信息的更新,具有较好的实时性。同时,由于基站更新安全信息的过程无需依赖于核心网,无需与核心网的多次交互,降低RAN与CN之间的信令开销。
下面结合附图介绍本发明实施例提供的技术方案。
实施例一
如图3所示,本发明实施例提供一种安全信息更新方法,该方法可以应用于RAN侧的接入网设备,例如基站。该方法的流程描述如下:
S11:第一接入网设备获得终端设备的根密钥KASME,根密钥KASME用于推导接入网设备的密钥,第一接入网设备为终端设备从空闲状态变成连接状态后非初次接入,或终端设备变为非活跃状态后非初次驻留的接入网设备。
本发明实施例中,第一接入网设备获取的根密钥KASME可以是来自第二接入网设备,该第二接入网设备是UE从空闲状态变成连接状态时初次接入,或UE变为非活跃状态时初次驻留的接入网设备。本文中可将第二接入网设备称为源基站,将第二接入网设备称为目标基站。
在实际应用中,根密钥KASME还可以用于推导终端设备的密钥。
本发明实施例中,UE向目标基站发送连接恢复请求后,目标基站会向源基站发送UE上下文请求消息,以使源基站根据该UE上下文请求消息进行UE验证,在确定通过UE验证后,将在向目标基站反馈的UE上下文回应消息中增加该UE的KASME。
S12:第一接入网设备根据根密钥KASME更新安全信息,安全信息用于指示第一接入网设备进行通信的密钥。
第一接入网设备获得根密钥KASME之后,可以按照现有的安全机制及根据KASME推导新的安全信息,该安全信息包括NH和NCC,即{NH,NCC}对。
在实际应用中,在将UE转移到非活跃(INACTIVE)状态的过程中,第一接入网设备可以根据本地策略确定是否需要更新UE的安全信息,若需要更新,则在RAN侧独立更新该UE的安全信息,即按照现有的安全机制利用根密钥KASME等计算新的{NH,NCC}对。
在判断RAN侧可以继续独立更新UE安全信息时,还可以对RAN侧独立更新UE安全信息的最长时间和/或最大次数进行控制,其过程包括但不仅限于以下几种:
方式一:第一接入网设备确定预先设置的定时器是否超时,并在确定超时时,将更新的安全信息发送给核心网设备。
也就是说,第一接入网设备可以通过设定一个包含时间阈值的定时器,该时间阈值可以是根据网络安全需求设置的,当计时超过该时间阈值时,表明第一接入网络设备需要向核心网设备同步更新的安全信息,从而控制在RAN侧独立更新UE安全信息的最长时间,并在超过该最长时间时向核心网设备发送第一安全信息,例如向核心网设备发送NCC或{NH,NCC}对,进行安全信息的同步。
方式二:第一接入网设备确定预先设置的计数器的计数值是否达到了计数器的最大计数值,并在计数器的计数值达到了计数器的最大计数值的情况下,将第一安全信息发送给核心网设备。
即第一接入网设备可以通过设定一个包含次数阈值的计数器,来控制RAN侧独立更新UE安全信息的最大次数。
方式三:第一接入网设备同时设定了定时器和计数器,在确定定时器超过时间阈值,以及计数器的计数值达到了计数器的最大计数值的情况下,则将第一的安全信息发送给核心网设备。
即第一接入网设备通过同时设定包含时间阈值的定时器,及包含次数阈值的计数器,可以同时控制RAN侧独立更新UE安全信息的最长时间和最大次数。
因此,在将UE转移到INACTIVE状态的过程中,第一接入网设备可以通过设定的定时器和/或计数器判断是否继续独立更新UE安全信息,并根据判断结果确定是否将更新的安全信息中的第一安全信息发送给核心网设备,该第一安全信息可以是{NH,NCC}对,或者也可以是NCC。在确定将第一安全信息发送给核心网设备的情况下,第一接入网设备将第一安全信息发送给核心网设备,以向核心网同步更新的安全信息。
具体来说,在确定需要将第一安全信息发送给核心网设备时,第一接入网设备可以通过第一信令或第二信令将第一安全信息发送给核心网设备。
其中,第一信令可以是由第一接入网设备生成的、用于承载安全信息的信令,第二信令可以是主要用于承载其它信息的信令,例如第二信令可以是UE恢复到目标基站相关的路径转换请求(Patch Switch Request)消息,路径转换请求应答(Patch Switch RequestACK)消息,或者,第二信令可以是UE恢复到源基站相关的S1-AP UE连接恢复请求(S1-AP UEContext Resume Request)消息,S1-AP UE连接恢复响应(S1-AP UE Context ResumeResponse)消息,等等。
需要说明的是,在终端设备处于连接态的情况下,若确定第一接入网设备预先设置的定时器未达到时间阈值,和/或,预先设置的计数器的计数值未达到计数器的最大计数值,则第一接入网设备可以根据本地策略确定是否将第一安全信息发送给核心网设备。具体的本地策略与运营商有关,通常比较灵活,因此执行过程中,可以依据实际情况而定,此处不作具体限制。
本发明实施例中,第一接入网设备还可以根据UE所处的非活跃(INACTIVE)状态或连接状态,向核心网设备同步安全信息。下面分别进行说明。
情况一:UE保持在非活跃(INACTIVE)状态。
若判断不能在继续在RAN侧(如第一接入网设备)独立更新UE安全信息时,则第一接入网设备向核心网设备同步UE安全信息,并重置前述定时器和/或计数器。当然,若确定能够继续在第一接入网设备更新安全信息,则无需同步更新的安全信息。
情况二:UE当前处于连接状态。
此时,第一接入网设备可以根据本地策略确定将更新安全信息的功能从第一接入网设备转移到核心网设备,或,将更新安全信息的功能继续保留在第一接入网设备中。
具体来说,若前述判断可以继续在RAN侧独立更新UE安全信息,则第一接入网设备可以根据本地策略确定是否向CN同步UE安全信息,以及是否将UE安全信息更新功能主体转移到核心网设备。
或者,若前述判断确定第一接入网设备不能继续独立更新安全信息,则第一接入网设备可以在与CN间信令交互过程中,向CN同步UE安全信息,同时,根据本地策略确定是否将UE安全信息更新功能主体转移到CN,并重置前述定时器和/或计数器。
下面,通过举例说明本发明实施例中安全信息更新方法的应用场景。
场景1:基于定时器的无线接入设备独立更新UE安全信息。
首先,在将UE转移到INACTIVE状态的过程中,eNB根据本地策略确定是否需要更新该UE的安全信息。若需要更新,则在eNB独立更新该UE的安全信息,即按照现有的安全机制根据KASME等计算新的{NH,NCC}对。
然后,在eNB中设定一个包含时间阈值的定时器,当计时超过时间阈值时表明需要向CN同步安全信息,实现控制eNB独立更新安全信息的最长时间。也就是说,若达到该时间阈值,则eNB需要与CN进行更新的安全信息的同步。
在后续过程中,若UE保持在INACTIVE状态,则:
①若前述定时器未超时,则仍然在eNB进行更新UE安全信息,用于UE进行RRC连接恢复过程;
②若定时器超时,则eNB向核心网设备同步更新的UE安全信息,并重置该定时器。
最后,在后续过程中,若UE进入连接状态,则:
①若前述定时器未超时,则根据本地策略确定是否在eNB与CN间信令交互中向CN同步更新的安全信息中的第一安全信息,例如CNN或{NH,CNN}对,以及是否将UE安全信息更新功能主体转移到CN;
②若该定时器超时,则在eNB与CN间信令交互中向CN同步更新的安全信息中的CNN或{NH,CNN}对,且根据本地策略确定是否将UE安全信息更新功能主体转移到CN,并重置该定时器。
场景2:基于计数器的eNB独立更新UE安全信息方法。
1)在将UE转移到INACTIVE状态的过程中,eNB根据本地策略确定是否需要更新该UE的安全信息。若需要更新,则在eNB独立更新该UE的安全信息,即按照现有的安全机制根据KASME等计算新的{NH,NCC}对;
2)eNB设定一个包含次数阈值的计数器,以控制RAN侧独立更新UE安全信息的最大次数;
3)在后续过程中,若UE保持在INACTIVE状态,则
若前述计数器未达到其阈值,则仍然在eNB进行更新UE安全信息,用于UE进行RRC连接恢复过程;
或者,若前述计数器达到其阈值,则eNB向CN同步更新的安全信息,并重置计数器;
4)在后续过程中,若UE进入连接状态,则:
若前述计数器未达到其阈值,则根据本地策略确定是否在eNB与CN间信令交互中向CN同步UE安全信息,以及是否将UE安全信息更新功能主体转移到CN;
或者,若前述计数器达到其阈值,则在eNB与CN间信令交互中向CN同步UE安全信息,且根据本地策略确定是否将UE安全信息更新功能主体转移到CN,并重置该计数器。
场景3:基于定时器与计数器的eNB独立更新UE安全信息。
1)在将UE转移到INACTIVE状态的过程中,eNB根据本地策略确定是否需要更新该UE的安全信息。若需要更新,则在eNB独立更新该UE的安全信息,即按照现有的安全机制根据KASME等计算新的{NH,NCC}对;
2)设定一个定时器(包含时间阈值)和一个计数器(包含次数阈值),以控制eNB独立更新UE安全信息的最长时间和次数;
3)在后续过程中,若UE保持在INACTIVE状态,则
若前述定时器未超时且前述计数器未达到其阈值,则仍然eNB仍然独立更新UE安全信息,用于UE进行RRC连接恢复过程;
或者,若该定时器超时或前述计数器达到其阈值,则eNB向CN同步UE安全信息的过程,并重置该定时器和计数器;
4)在后续过程中,若UE进入连接状态,则:
若该定时器未超时且前述计数器未达到其阈值,则根据本地策略确定是否在eNB与CN间信令交互中向CN同步UE安全信息,以及是否将UE安全信息更新功能主体转移到CN;
否则,若该定时器超时或前述计数器达到其阈值,则在eNB与CN间信令交互中向CN同步UE安全信息,且根据本地策略确定是否将UE安全信息更新功能主体转移到CN,并重置该定时器和计数器。
场景4:UE保持在INACTIVE状态时的安全信息同步过程。
1)在将UE转移到INACTIVE状态的过程中,eNB根据本地策略确定是否需要更新该UE的安全信息,并采用方式一到三的方法控制eNB独立更新UE安全信息的最大次数和/或最长时间,判断是否继续在eNB独立更新UE安全信息;
2)对于保持在INACTIVE状态的UE,若判断不能继续在eNB独立更新UE安全信息,则:
若在RRC连接恢复相关过程中,除安全信息更新之外仍有eNB与CN间信令交互需求,则可以在下次eNB与CN信令交互时向CN同步UE的安全信息,即:该UE当前驻留的eNB可将该UE当前的NCC发送给CN,以便CN更新NH,或者该eNB可以直接将该UE当前的{NH,NCC}对发送给CN。
若在RRC连接恢复相关过程中,除安全信息更新之外没有eNB与CN间信令交互需求,则根据本地策略确定随即发起新生成信令,或者,也可以在后续存在eNB与CN信令交互时,向CN同步UE的安全信息。
本发明实施例中,基站通过获取UE或CN发送的相应的KASME,并将其增加至UE上下文中,实现赋予新的基站(即目标基站)更新安全信息{NH,NCC}对的功能,使得新的基站从UE转移到INACTIVE状态开始便更新该UE的安全信息,进而通过控制基站更新UE安全信息的最长时间和/或最大次数,同时依据UE状态和本地策略,实现在合适的时间向CN同步更新的安全信息,同步效果较好。
实施例二
基于同一发明构思,本发明实施例提供一种安全信息更新方法,该方法可以应用于RAN侧的接入网设备,例如基站。如图4所述,该方法的流程描述如下:
S21:第二接入网设备接收来自终端设备或核心网设备的根密钥KASME,根密钥KASME用于推导接入网设备的密钥,第二接入网设备为终端设备从空闲状态变成连接状态时初次接入,或终端设备变为非活跃状态时初次驻留的接入网设备。
其中,第二接入网设备可以是终端设备进入RAN时初次驻留/接入的基站,因此,本文中可将第二接入网设备称为源基站。
在实际应用中,接入网设备可以根据根密钥KASME推导下一跳密钥NH和NH链接计数器NCC,NH可以用于生成基站的基本密钥(KeNB),安全信息可以是指包含{NH,NCC}对的信息。
S22:第二接入网设备将根密钥KASME发送给第一接入网设备,根密钥KASME用于第一接入网设备更新安全信息,第一接入网设备为终端设备从空闲状态变成连接状态后非初次接入,或终端设备变为非活跃状态后非初次驻留的接入网设备。
在实际应用中,第一接入网设备可以是终端设备挂起后恢复到的接入网设备,或为进行小区切换后接入的接入网设备,例如基站,本文中可将第一接入网设备称为目标基站。
在第二接入网设备将根密钥KASME发送给第一接入网设备之后,第一接入网设备即可根据根密钥KASME推导新的{NH,NCC}对,更新安全信息。
本发明实施例中,第二接入网设备获取的根密钥KASME可以是核心网或终端设备更新后的根密钥KASME。例如,当UE的KASME发生变化时,UE也可向UE当前驻留/接入的基站发送新的KASME,此时,接收来自终端设备或核心网的KASME的第二接入网设备即为UE初次接入或驻留的基站,后续KASME都是在基站之间传递。
具体来说,在S12中,第二接入网设备在将根密钥KASME发送给第一接入网设备时,第二接入网设备可将根密钥KASME添加到存储的终端设备的UE上下文中,进而将添加了根密钥KASME的UE上下文发送给第一接入网设备。
例如,UE在进行RRC连接恢复或切换过程中,若UE恢复/切换到目标基站,则源基站在收到目标基站发送的UE上下文请求消息并通过UE验证后,可在反馈的UE上下文回应消息中增加该UE的KASME。
因此,在RRC连接恢复过程中,第二接入网设备(源基站)通过向第一接入网设备(目标基站)发送根密钥KASME,可以赋予目标基站独立更新UE安全信息{NH,NCC}对的功能,有助于提高接入网设备更新安全信息的实时性。同时用于无需与核心网进行过多交互,节省了CN与RAN之间的信令开销和安全信息更新时延。
实施例三
基于同一发明构思,本发明实施例提供一种接入网设备,该接入网设备可以用于执行实施例一中的安全信息更新方法。如图5所示,该接入网设备包括接收器31和处理器32。
可选的,该接入网设备还可以包括发送器33,图5中一并示出。
此外,接入网设备还可以包括存储器34,图5中以虚线示出。存储器34可以用于存储接入网设备中的各种数据,例如存储安全更新信息等。
接收器31可以用于获得终端设备的根密钥KASME,所述根密钥KASME是用于推导接入网设备的密钥,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
处理器32可以用于根据所述根密钥KASME更新安全信息,所述安全信息用于指示所述第一接入网设备进行通信的密钥,其中,所述安全信息包括NH和NCC。
可选的,所述接收器31用于:
接收第二接入网设备发送的所述根密钥KASME,所述第二接入网设备是所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备;或者
接收第三接入网设备发送的所述终端设备的根密钥KASME,所述第三接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
可选的,所述处理器32还用于确定是否将更新的安全信息包括的第一安全信息发送给核心网设备,所述第一安全信息为所述更新的安全信息的部分或全部信息;
所述发送器33用于在所述处理器确定将所述第一安全信息发送给核心网设备的情况下,将所述第一安全信息发送给所述核心网设备。
可选的,所述处理器32用于:
确定预先设置的定时器是否超时,其中,在所述定时器超时的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的定时器是否超时,以及确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述定时器超时,以及所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备。
可选的,所述发送器33用于:
通过第一信令或第二信令将所述第一安全信息发送给所述核心网设备,其中,所述第一信令为所述第一接入网设备生成的、用于承载所述第一安全信息的信令,所述第二信令为主要用于承载其他信息的信令。
可选的,所述处理器32还用于:
在所述预先设置的定时器未超时,和/或,所述预先设置的计数器的计数值未达到所述计数器的最大计数值的情况下,根据本地策略确定是否将所述第一安全信息发送给所述核心网设备。
可选的,所述处理器32还用于:在所述终端设备当前处于连接态的情况下,根据本地策略确定将更新安全信息的功能从所述第一接入网设备转移到所述核心网设备,或,将更新安全信息的功能继续保留在所述第一接入网设备中。
实施例四
基于同一发明构思,本发明实施例提供一种接入网设备,用于执行如实施例二中的安全信息更新方法,如图6所示,该接入网设备包括接收器51和发送器52,在实际应用中,接收器51和发送器52可以是一同设置在收发机中的部件。
可选的,该接入网设备还可以包括处理器53,图6中一并示出。
此外,接入网设备还可以包括存储器54,图6中以虚线示出。存储器34可以用于存储接入网设备中的各种数据,例如存储安全更新信息等。
接收器51,用于接收来自终端设备或核心网设备的根密钥KASME,所述根密钥KASME用于推导接入网设备的密钥,所述第二接入网设备为所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备。
发送器52,用于将所述根密钥KASME发送给第一接入网设备,所述根密钥KASME用于所述第一接入网设备更新安全信息,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备,所述安全信息包括NH和NCC。
可选的,所述处理器53用于将所述根密钥KASME添加到存储的所述终端设备的上下文中。
则,所述发送器52用于:将添加了所述根密钥KASME的所述终端设备上下文发送给所述第一接入网设备。
可选的,所述接收器51用于接收来自核心网或终端设备的更新后的根密钥KASME。
可选的,所述处理器53还用于:
在所述接收器接收来自终端设备或核心网设备的根密钥KASME之后,根据所述根密钥KASME更新安全信息,并确定是否将更新的安全信息包括的第一安全信息发送给核心网设备,所述第一安全信息为所述更新的安全信息的部分或全部信息;
所述发送器用于,在所述处理器确定将所述第一安全信息发送给核心网设备的情况下,所述第二接入网设备将所述第一安全信息发送给所述核心网设备。
可选的,所述处理器53用于:
确定预先设置的定时器是否超时,其中,在所述定时器超时的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的定时器是否超时,以及确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述定时器超时,以及所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备。
可选的,所述处理器53还用于:
在所述预先设置的定时器未超时,和/或,所述预先设置的计数器的计数值未达到所述计数器的最大计数值,根据本地策略确定是否将所述第一安全信息发送给所述核心网设备。
实施例五
本发明实施例提供一种接入网设备,该接入网设备可以用于执行如图3所示的安全信息更新方法。如图7所示,该接入网设备包括获取模块201和处理模块202。
获取模块201用于获得终端设备的根密钥KASME,所述根密钥KASME是用于推导接入网设备的密钥,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
处理模块202用于根据所述根密钥KASME更新安全信息,所述安全信息用于指示所述第一接入网设备进行通信的密钥,所述安全信息包括下一跳密钥NH和NH链接计数器NCC。
可选的,所述获取模块201用于:
接收第二接入网设备发送的所述根密钥KASME,所述第二接入网设备是所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备;或者
接收第三接入网设备发送的所述根密钥KASME,所述第三接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备。
可选的,所述处理模块202还用于所述第一接入网设备确定是否将更新的安全信息包括的第一安全信息发送给核心网设备,所述第一安全信息为所述更新的安全信息的部分或全部信息;
所述接入网设备还包括发送模块,用于在确定将所述第一安全信息发送给核心网设备的情况下,所述第一接入网设备将所述第一安全信息发送给所述核心网设备。
可选的,所述处理模块202还用于:
确定预先设置的定时器是否超时,其中,在所述定时器超时的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的定时器是否超时,以及确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述定时器超时,以及所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备。
可选的,所述发送模块还用于:通过第一信令或第二信令将所述第一安全信息发送给所述核心网设备,其中,所述第一信令为所述第一接入网设备生成的、用于承载所述第一安全信息的信令,所述第二信令为主要用于承载其他信息的信令。
可选的,所处理模块202还用于:
在所述预先设置的定时器未超时,和/或,所述预先设置的计数器的计数值未达到所述计数器的最大计数值的情况下,根据本地策略确定是否将所述第一安全信息发送给所述核心网设备。
可选的,所处理模块202还用于:
在所述终端设备当前处于连接态的情况下,根据本地策略确定将更新安全信息的功能从所述第一接入网设备转移到所述核心网设备,或,将更新安全信息的功能继续保留在所述第一接入网设备中。
实施例六
本发明实施例提供一种接入网设备,该接入网设备可以用于执行如图4所示的安全信息更新方法。如图8所示,该接入网设备包括接收模块301和发送模块302。
接收模块301用于接收来自终端设备或核心网设备的根密钥KASME,所述根密钥KASME用于推导接入网设备的密钥,所述第二接入网设备为所述终端设备从空闲状态变成连接状态时初次接入,或所述终端设备变为非活跃状态时初次驻留的接入网设备;
发送模块302用于将所述根密钥KASME发送给第一接入网设备,所述根密钥KASME用于所述第一接入网设备更新安全信息,所述第一接入网设备为所述终端设备从空闲状态变成连接状态后非初次接入,或所述终端设备变为非活跃状态后非初次驻留的接入网设备,所述安全信息包括下一跳密钥NH和NH链接计数器NCC。
接入网设备还包括处理模块,用于将所述根密钥KASME添加到存储的所述终端设备的上下文中;
所述发送模块302用于将所述处理模块添加了所述根密钥KASME的所述终端设备上下文发送给所述第一接入网设备。
可选的,所述接收模块301用于接收来自核心网或终端设备的更新后的根密钥KASME。
可选的,所述处理模块还用于:
在所述接收器接收来自终端设备或核心网设备的根密钥KASME之后,根据所述根密钥KASME更新安全信息,并确定是否将更新的安全信息包括的第一安全信息发送给核心网设备,所述第一安全信息为所述更新的安全信息的部分或全部信息;
所述发送模块302用于,在所述处理器确定将所述第一安全信息发送给核心网设备的情况下,所述第二接入网设备将所述第一安全信息发送给所述核心网设备。
可选的,所述处理模块用于:
确定预先设置的定时器是否超时,其中,在所述定时器超时的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备;或,
确定预先设置的定时器是否超时,以及确定预先设置的计数器的计数值是否达到了所述计数器的最大计数值,其中,在所述定时器超时,以及所述计数器的计数值达到了所述计数器的最大计数值的情况下,则确定将所述第一安全信息发送给所述核心网设备。
可选的,所述处理模块还用于:
在所述预先设置的定时器未超时,和/或,所述预先设置的计数器的计数值未达到所述计数器的最大计数值,根据本地策略确定是否将所述第一安全信息发送给所述核心网设备。
实施例七
本发明实施例中还提供一种计算机装置,请参考图9所示,该计算机装置包括处理器41、存储器42和收发机43,三者之间可以通过总线进行连接。其中,收发机43在处理器41的控制下接收和发送数据,例如发送/接收SA等等,存储器42中保存有预设的程序,处理器41用于执行存储器42中存储的计算机程序时实现本发明实施例一所提供的方法的步骤。
可选的,处理器41具体可以是中央处理器、特定应用集成电路(ApplicationSpecific Integrated Circuit,ASIC),可以是一个或多个用于控制程序执行的集成电路,可以是使用现场可编程门阵列(Field Programmable Gate Array,FPGA)开发的硬件电路,可以是基带处理器。
可选的,处理器41可以包括至少一个处理核。
可选的,电子设备的存储器42可以包括只读存储器(Read Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)和磁盘存储器。存储器42用于存储处理器41运行时所需的数据。存储器42的数量为一个或多个。
实施例八
本发明实施例中还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机指令,当计算机指令指令在计算机上运行时可以实现如本发明实施一例提供的多业务下的资源选择方法的步骤。
在本发明实施例中,应该理解到,所揭露网络流量监控方法及网络流量监控系统,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性或其它的形式。
在本发明实施例中的各功能单元可以集成在一个处理单元中,或者各个单元也可以均是独立的物理模块。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如可以是个人计算机,服务器,或者网络设备等,或处理器(Processor)执行本发明各个实施例的方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus flash drive,USB)、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上实施例仅用于对本发明的技术方案进行了详细介绍,但以上实施例的说明只是用于帮助理解本发明实施例的方法,不应理解为对本发明实施例的限制。本技术领域的技术人员可轻易想到的变化或替换,都应涵盖在本发明实施例的保护范围之内。