CN110035430A - 密钥处理方法、控制平面节点、用户平面节点和用户设备 - Google Patents

密钥处理方法、控制平面节点、用户平面节点和用户设备 Download PDF

Info

Publication number
CN110035430A
CN110035430A CN201810029451.6A CN201810029451A CN110035430A CN 110035430 A CN110035430 A CN 110035430A CN 201810029451 A CN201810029451 A CN 201810029451A CN 110035430 A CN110035430 A CN 110035430A
Authority
CN
China
Prior art keywords
user plane
key
base station
plane node
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810029451.6A
Other languages
English (en)
Inventor
王弘
许丽香
汪巍崴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Samsung Telecom R&D Center
Beijing Samsung Telecommunications Technology Research Co Ltd
Samsung Electronics Co Ltd
Original Assignee
Beijing Samsung Telecommunications Technology Research Co Ltd
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Samsung Telecommunications Technology Research Co Ltd, Samsung Electronics Co Ltd filed Critical Beijing Samsung Telecommunications Technology Research Co Ltd
Priority to CN201810029451.6A priority Critical patent/CN110035430A/zh
Publication of CN110035430A publication Critical patent/CN110035430A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

根据本公开的一些实施例,提供了用于在控制平面节点处和在用户平面节点处的密钥处理方法、相应的用户平面节点和控制平面节点以及包括它们的系统。在控制平面节点处的密钥处理方法包括:向用户平面节点发送第一安全信息,第一安全信息使得用户平面节点能够确定用于用户平面通信的用户平面密钥;从用户平面节点接收响应于第一安全信息的响应信息;以及基于响应信息,向与用户平面节点相关联的用户设备发送第二安全信息或触发另一节点向用户设备发送第二安全信息,第二安全信息使得用户设备能够确定用户平面密钥。

Description

密钥处理方法、控制平面节点、用户平面节点和用户设备
技术领域
本公开涉及无线通信技术领域,且更具体地涉及在控制平面节点处和在用户平面节点处的密钥处理方法、相应的用户平面节点和控制平面节点以及包括它们的系统。
背景技术
术语“5thGeneration”或“5G”指的是第五代移动通信技术,其与前四代不同,并不是一个单一的无线技术,而是现有的无线通信技术的一个融合。目前,作为第四代(4G)移动通信技术的长期演进(Long Term Evoluation或LTE)技术的峰值速率可以达到100Mbps,而5G的峰值速率将达到10Gbps,比4G提升了100倍。现有的4G网络处理能力有限,无法支持部分高清视频、高质量语音、增强现实、虚拟现实等业务。5G将引入更加先进的技术,通过更加高的频谱效率、更多的频谱资源以及更加密集的小区等共同满足移动业务流量增长的需求,解决4G网络面临的问题,构建一个高传输速率、高容量、低时延、高可靠性、优秀的用户体验的网络。
如图1所示,在一个典型的5G架构中包含了5G的接入网和5G的核心网,用户设备(User Equipment或UE)通过接入网和核心网与数据网络(例如,互联网)进行通信。
在5G架构中,随着无线技术的发展需求,原本处于同一个基站上的功能模块被分离。一些功能模块越来越靠近用户,而其它的模块则被池组化、虚拟化并被集中部署。换言之,基站有可能被分成两部分,一部分是中央控制单元(Central Unit或CU),另一部分是分布单元(Distribute Unit或DU)。DU更加靠近用户,而CU远离天线,可以支持多天线连接、改善网络性能。在一些场景中,一个CU可以连接多个DU,且CU上的功能可以虚拟化。
如图2所示,CU和DU之间可通过F1接口连接。F1接口也被称作前向回传(fronthaul)接口或连接。通常在CU上实现无线资源控制(Radio Resource Control或RRC)、分组数据汇聚协议(Packet Data Convergence Protocol或PDCP)等功能,而在DU上实现无线链路控制(Radio Link Control或RLC)、媒体访问控制(Media Access Control或MAC)和物理层等功能。
此外,如图2所示,中央控制单元CU可以进一步被划分成控制功能实体或节点(以下称为CU-CP节点或者CP(控制平面或Control Plane)节点)和用户平面功能节点(以下称为CU-UP节点或者UP(用户平面或User Plane)节点)。CP节点和UP节点可以是单独的物理节点,也可以是同一物理节点中的虚拟节点。CP和UP之间的接口被称为E1接口。CP和UP之间只有控制消息传输,而数据传输是在核心网、UP和DU之间进行的。CP通过NG-C接口和核心网(5G Core network或5GC)连接,且通过F1-C接口和DU连接。UP通过NG-U接口和核心网(5GC)连接,且通过F1-U和DU连接。
在该架构下,加密体系可分为非接入层加密和接入层加密。非接入层的加密是在核心网和UE之间进行,而接入层的加密算法是核心网计算一个基站密钥(KgNB)并发送给基站。包括UE支持的加密算法和/或完整性保护算法在内的UE能力信息也被发送给基站。基站根据KgNB和加密算法计算出用于数据(用户)平面通信的加密密钥(KUPenc)和/或完整性保护密钥(KUPint)以及用于控制平面通信的加密密钥(KRRCenc)和/或完整性保护密钥(KRRCint)。然后,基站可用KUPenc和/或KUPint对用户平面的数据进行加密和/或完整性保护,用KRRCenc和/或KRRCint对控制平面的RRC消息进行加密和/或完整性保护。
如果基站分成了中央控制单元和分布单元两部分且中央控制单元进一步分为控制平面(CP)和用户平面(UP),则RRC消息可由CP处理且基站密钥也保存在CP上。在该情况下,对RRC的加密和/或完整性保护和以前一样。然而针对用户数据的处理则在UP上执行,因此需要在UP上对数据进行加密和/或完整性保护的方案。
发明内容
为了至少部分解决或减轻上述问题,提供了根据本公开实施例的在控制平面节点处和在用户平面节点处的密钥处理方法、相应的用户平面节点和控制平面节点以及包括它们的系统。
根据本公开的第一方面,提供了一种密钥处理方法。该方法包括:向用户平面节点发送第一安全信息,所述第一安全信息使得所述用户平面节点能够确定用于用户平面通信的用户平面密钥;从所述用户平面节点接收响应于所述第一安全信息的响应信息;以及基于所述响应信息,向与所述用户平面节点相关联的用户设备发送第二安全信息或触发另一节点向所述用户设备发送第二安全信息,所述第二安全信息使得所述用户设备能够确定所述用户平面密钥。
在一些实施例中,所述第一安全信息包括以下至少一项:所述用户平面密钥;由所述控制平面节点和所述用户平面节点共用的共用基站密钥;以及专用于所述用户平面节点的专用基站密钥。在一些实施例中,所述共用基站密钥是由所述控制平面节点从核心网节点或另一控制平面节点接收到的。在一些实施例中,所述专用基站密钥是由所述控制平面节点根据所述共用基站密钥或根据通信标准来生成的。在一些实施例中,所述用户平面密钥是由所述控制平面节点或所述用户平面节点基于所述共用基站密钥或所述专用基站密钥导出的。在一些实施例中,所述第二安全信息包括以下至少一项:为所述用户设备选择的加密算法和/或完整性保护算法;用于确定所述共用基站密钥的信息;用于确定所述专用基站密钥的信息;以及用于确定所述用户平面密钥的信息。在一些实施例中,所述方法还包括:从所述用户平面节点接收溢出指示,所述溢出指示指示了使用所述用户平面密钥的无线承载的分组数据汇聚协议(PDCP)序号要溢出。在一些实施例中,如果所述第一安全信息包括所述用户平面密钥或所述共用基站密钥,则所述方法还包括:发起针对与所述无线承载相关联的用户设备的小区内切换过程,以重新建立与所述用户设备的无线承载。在一些实施例中,如果所述第一安全信息包括所述专用基站密钥,则所述方法还包括:生成新的专用基站密钥;基于所述新的专用基站密钥,向所述用户平面节点发送第三安全信息,所述第三安全信息使得所述用户平面节点能够确定用于用户平面通信的新的用户平面密钥;以及向与所述无线承载相关联的用户设备发送第四安全信息,所述第四安全信息使得与所述无线承载相关联的用户设备能够确定所述新的专用基站密钥。在一些实施例中,如果所述第一安全信息包括所述用户平面密钥或所述共用基站密钥,则所述方法还包括:向另一控制平面节点发送溢出指示或请求释放所述无线承载的释放请求;从所述另一控制平面节点接收新的共用基站密钥;基于所述共用基站密钥,向所述用户平面节点发送第三安全信息,所述第三安全信息使得所述用户平面节点能够确定用于用户平面通信的新的用户平面密钥;以及向与所述无线承载相关联的用户设备发送或触发另一节点向与所述无线承载相关联的用户设备发送第四安全信息,所述第四安全信息使得与所述无线承载相关联的用户设备能够确定所述新的共用基站密钥。在一些实施例中,所述第三安全信息包括以下至少一项:所述新的用户平面密钥;由所述控制平面节点和所述用户平面节点共用的新的共用基站密钥;以及专用于所述用户平面节点的新的专用基站密钥。在一些实施例中,所述响应信息包括为所述用户设备选择的安全算法和/或无线电链路控制(RLC)层的传输模式。在一些实施例中,所述用户平面密钥包括用户平面加密密钥和/或用户平面完整性密钥。在一些实施例中,所述方法还包括:向所述用户平面节点发送指示无线电链路控制RLC层的传输模式的信息。
根据本公开的第二方面,提供了一种控制平面节点。该控制平面节点包括:处理器;存储器,存储指令,所述指令在由所述处理器执行时,使得所述处理器执行根据本公开的第一方面所述的方法。
根据本公开的第三方面,提供了一种密钥处理方法。该方法包括:从控制平面节点接收第一安全信息,所述第一安全信息使得所述用户平面节点能够确定用于用户平面通信的用户平面密钥;向所述控制平面节点发送响应于所述第一安全信息的响应信息。
在一些实施例中,所述第一安全信息包括以下至少一项:所述用户平面密钥;由所述控制平面节点和所述用户平面节点共用的共用基站密钥;以及专用于所述用户平面节点的专用基站密钥。在一些实施例中,所述用户平面密钥是由所述控制平面节点或所述用户平面节点基于所述共用基站密钥或所述专用基站密钥导出的。在一些实施例中,所述的方法还包括:向所述控制平面节点发送溢出指示,所述溢出指示指示了使用所述用户平面密钥的无线承载的分组数据汇聚协议(PDCP)序号要溢出。在一些实施例中,所述方法还包括:从所述控制平面节点接收第三安全信息,所述第三安全信息使得所述用户平面节点能够确定用于用户平面通信的新的用户平面密钥。在一些实施例中,所述第三安全信息包括以下至少一项:所述新的用户平面密钥;由所述控制平面节点和所述用户平面节点共用的新的共用基站密钥;以及专用于所述用户平面节点的新的专用基站密钥。在一些实施例中,所述响应信息包括为所述用户设备选择的安全算法和/或无线电链路控制(RLC)层的传输模式。在一些实施例中,所述用户平面密钥包括用户平面加密密钥和/或用户平面完整性密钥。
根据本公开的第四方面,提供了一种用户平面节点。该用户平面节点包括:处理器;存储器,存储指令,所述指令在由所述处理器执行时,使得所述处理器执行根据本公开第三方面所述的方法。
根据本公开的第五方面,提供了一种密钥处理的方法。该方法包括:从控制平面节点接收第二安全信息;以及基于所述第二安全信息来确定用户平面密钥。
在一些实施例中,所述方法还包括:从所述控制平面节点或另一控制平面节点接收第四安全信息;以及基于所述第四安全信息来更新所述用户平面密钥。
根据本公开的第六方面,提供了一种用户设备。该用户设备包括:处理器;存储器,存储指令,所述指令在由所述处理器执行时,使得所述处理器执行根据本公开第五方面所述的方法。
根据本公开的第七方面,提供了一种通信系统。该通信系统包括:根据本公开第二方面所述的控制平面节点;以及一个或多个根据本公开第四方面所述的用户平面节点。
根据本公开的第八方面,提供了一种存储有指令的计算机可读存储介质,当所述指令由处理器执行时使得所述处理器能够执行根据本公开第一方面、第三方面或第五方面所述的方法。
通过使用根据本公开实施例的方法、用户平面节点、控制平面节点、用户设备、系统和/或相应计算机可读存储介质,能够在5G的架构下,尤其是基站进行了用户平面和控制平面分离的情况下,对用户平面上的数据进行加密和/或完整性保护。通过根据本公开实施例的方案,可以对用户平面和UE之间的数据进行加密和/或完整性保护,提高数据传输的安全性,还可以在UE和基站建立了双连接或者多连接的情况下,也能对多个用户平面和UE之间的数据进行加密和/或完整性保护。
附图说明
通过下面结合附图说明本公开的优选实施例,将使本公开的上述及其它目的、特征和优点更加清楚。
图1是示出了根据相关技术的5G系统的架构示意图。
图2是示出了根据相关技术的控制平面和用户平面分离的架构示意图。
图3是示出了根据本公开实施例的用于处理用户平面密钥的方案的示意图。
图4是示出了根据本公开实施例的用于单一基站的用户平面密钥处理的示例消息流程图。
图5是示出了根据本公开实施例的用于多基站协作的用户平面密钥处理的示例消息流程图。
图6是示出了根据本公开实施例的用于多基站协作的用户平面密钥处理的另一示例消息流程图。
图7是示出了根据本公开实施例的用于多基站协作的用户平面密钥处理的又一示例消息流程图。
图8是示出了根据本公开实施例的用于用户平面密钥处理的设备的硬件布置图。
具体实施方式
下面参照附图对本公开的优选实施例进行详细说明,在描述过程中省略了对于本公开来说是不必要的细节和功能,以防止对本公开的理解造成混淆。在本说明书中,下述用于描述本公开原理的各种实施例只是说明,不应该以任何方式解释为限制公开的范围。参照附图的下述描述用于帮助全面理解由权利要求及其等同物限定的本公开的示例性实施例。下述描述包括多种具体细节来帮助理解,但这些细节应认为仅仅是示例性的。因此,本领域普通技术人员应认识到,在不脱离本公开的范围和精神的情况下,可以对本文中描述的实施例进行多种改变和修改。此外,为了清楚和简洁起见,省略了公知功能和结构的描述。此外,贯穿附图,相同的附图标记用于相同或相似的功能和操作。此外,可以将下述不同实施例中描述的全部或部分功能、特征、单元、模块等加以结合、删除和/或修改,以构成新的实施例,且该实施例依然落入本公开的范围内。此外,在本公开中,术语“包括”和“含有”及其派生词意为包括而非限制。
为了使本公开的目的、技术方案和优点更加清楚明白,以下结合附图对本申请做进一步详细说明。应注意,以下描述只用于举例说明,并不用于限制本公开。在以下描述中,为了提供对本公开的透彻理解,阐述了大量特定细节。然而,对于本领域普通技术人员显而易见的是:不必采用这些特定细节来实行本公开。在其他示例中,为了避免混淆本公开,未具体描述公知的电路、材料或方法。
在整个说明书中,对“一个实施例”、“实施例”、“一个示例”或“示例”的提及意味着:结合该实施例或示例描述的特定特征、结构或特性被包含在本公开至少一个实施例中。因此,在整个说明书的各个地方出现的短语“在一个实施例中”、“在实施例中”、“一个示例”或“示例”不一定都指同一实施例或示例。此外,可以以任何适当的组合和/或子组合将特定的特征、结构或特性组合在一个或多个实施例或示例中。此外,本领域普通技术人员应当理解,在此提供的附图都是为了说明的目的,并且附图不一定是按比例绘制的。这里使用的术语“和/或”包括一个或多个相关列出的项目的任何和所有组合。
以下,以本公开应用于移动通信网络的场景为例,对本公开进行了详细描述。但本公开并不局限于此,本公开也可以应用于任何其它将用户平面与控制平面加以分离处理的网络。
本公开的一些实施例大体上提供了一种在5G架构下,特别是在基站中进行了用户平面和控制平面分离的情况下,对用户平面上的数据进行加密和/或完整性保护的方案。通过该方案,可以对用户平面和UE之间的数据进行加密和/或完整性保护,提高数据传输的安全性。此外,在UE和基站之间建立了双连接乃至多连接的情况下,该方案也能对多个用户平面节点和UE之间的数据传输进行加密和/或完整性保护。
以下,将结合图3来详细描述根据本公开一些实施例的用于处理用户平面密钥的方案。
图3是示出了根据本公开实施例的用于处理用户平面密钥的方案的示意图。在图3所示实施例中,用户设备(UE)100可以连接到基站110,并与基站110的控制平面节点(实体或部分)110-C进行通信,以在它们之间传递各种控制消息。此外,用户设备100还可以在控制平面节点110-C的控制下与相应的用户平面节点110-U进行通信,并在它们之间传递各种用户数据。如前所述,在用户设备100和控制平面节点110-C之间的控制消息通信可以受到控制平面密钥KRRCenc和/或KRRCint的保护,而在用户设备100和用户平面节点110-U之间的数据通信可以受到用户平面密钥KUPenc和/或KUpint的保护。以下,将结合图3来详细描述生成用户平面密钥(例如,用户平面加密密钥KUPenc和/或用户平面完整性保护密钥KUPint)的方法。
如图3所示,在步骤301,控制平面节点110-C可以生成针对用户平面的安全信息(security information),并向一个或多个用户平面节点110-U发送该安全信息。
更具体地,控制平面节点110-C可以从核心网节点(例如,图2所示的5GC)接收其应当使用的基站密钥KgNB。此外,如果UE 100建立了双连接或者多连接,则UE可以连接多个基站(例如,图3所示的(第一)基站110和第二基站120)。在该情况下,第一基站110(例如,在双连接(Dual Connectivity)场景中的辅基站)的控制平面节点110-C可以从第二基站120(例如,双连接场景中的主基站)的控制平面节点120-C得到第一基站110的基站密钥S-KgNB。
第二基站120可以从核心网(例如,图2所示的5GC)得到本基站的基站密钥KgNB,并据此生成一个新的基站密钥(例如,前述S-KgNB)供第一基站110使用。然后,第二基站120的控制平面节点120-C把S-KgNB发送给第一基站110的控制平面节点110-C。第一基站110的控制平面节点110-C和/或第二基站120的控制平面节点120-C可以向与其连接的用户平面节点110-U等发送安全信息。
在一些实施例中,上述安全信息可以是以下至少一项:
■安全信息可以是用户平面密钥(例如,KUPenc和/或KUPint)。在该情况下,用户平面密钥(例如KUPenc和/或KUPint)和控制平面密钥(例如,KRRCenc和/或KRRCint)可以基于相同的基站密钥来生成。此处将该相同的基站密钥(例如KgNB或S-KgNB)称为共用基站密钥,意味着由用户平面节点110-U和控制平面节点110-C所共用。可以由控制平面节点110-C来生成用户平面的加密密钥KUPenc和/或完整性保护密钥KUPint。例如,控制平面节点110-C可以获取UE能力,该UE能力可指示UE 100所支持的加密和/或完整性保护算法。控制平面节点110-C可选择用户加密和/或完整性保护的算法。根据基站密钥KgNB或S-KgNB以及加密和/或完整性保护算法,控制平面节点110-C可以计算用于数据加密的密钥KUPenc和/或完整性保护密钥KUPint。然后,控制平面节点110-C可以向用户平面节点110-U发送KUPenc和/或KUPint
■安全信息可以是用户平面密钥(例如,KUPenc和/或KUPint)。在该情况下,为了提高安全性能,用户平面密钥(例如KUPenc和/或KUPint)和控制平面密钥(例如,KRRCenc和/或KRRCint)可以基于不同的基站密钥来生成。如果一个UE有多个用户平面,控制平面节点110-C可以为所有用户平面节点110-U产生相同的用户平面密钥(例如,KUPenc和/或KUPint),或者为每个用户平面产生不同的或相互独立的用户平面密钥(例如,KUPenc和/或KUPint)。例如,控制平面节点110-C可以获取UE能力,该UE能力可指示UE 100所支持的加密和/或完整性保护算法。控制平面节点110-C可选择用户加密和/或完整性保护的算法。根据基站密钥(例如KgNB或S-KgNB),加密和/或完整性保护算法,结合某一个的预定标准或算法或者参数,可以对所有的用户平面指定相同或者不同的标准或算法或者参数。控制平面节点110-C可以计算用于数据加密的密钥KUPenc和/或完整性保护密钥KUPint。然后,控制平面节点110-C可以向用户平面节点110-U发送KUPenc和/或KUPint
■安全信息可以是控制平面和一个或多个用户平面共用的共用基站密钥。例如,此共用基站密钥可以是控制平面节点110-C上保存的基站密钥。在该情况下,用户平面密钥(例如,KUPenc和/或KUPint)和控制平面密钥(例如,KRRCenc和/或KRRCint)可以由相同的基站密钥(KgNB或S-KgNB)产生。控制平面节点110-C可以把自己保存的基站密钥KgNB或者S-KgNB发送给用户平面节点110-U,而不是像上面情况一样直接发送用户平面密钥(例如,KUPenc和/或KUPint)。在该情况下,用户平面节点110-U可以自己生成用户平面的加密密钥KUPenc和/或完整性保护密钥KUPint。此外,安全信息还可包含指示UE的加密和/或完整性保护算法的字段。控制平面节点110-C可以根据UE的能力,选择一个加密和/或完整性保护算法,并发送给用户平面节点110-U。备选地,控制平面节点110-C可以把UE支持的加密和/或完整性保护算法发送给用户平面节点110-U并由用户平面节点110-U来选择。UE支持的加密和/或完整性保护算法可以被包含在UE的能力信息中并发送给用户平面节点110-U。用户平面节点110-U可以从UE支持的算法中选择出用于加密和/或完整性保护的算法。接下来,根据共用基站密钥和加密和/或完整性保护算法,用户平面节点110-U可以计算出来用于数据加密的密钥KUPenc和/或完整性保护密钥KUPint
■安全信息可以是特定于一个用户平面的专用基站密钥(下文中为了描述方便,可以将其称为u-KgNB)。该密钥u-KgNB可以用于用户平面上为UE 100建立的所有数据承载。u-KgNB可以是由控制平面节点110-C产生的。例如,其可以是根据KgNB或S-KgNB计算出来的专用基站密钥,或者是根据预定标准或算法确定的专用基站密钥。如果一个控制平面连接了多个用户平面,则可以为不同的用户平面产生不同的或相互独立的专用基站密钥。在一些实施例中,控制平面节点110-C可以把u-KgNB和UE支持的加密和/或完整性保护算法发送给用户平面节点110-U,或者控制平面节点110-C可以根据UE的能力来选择一个加密和/或完整性保护算法,并把u-KgNB和选择的加密和/或完整性保护算法发送给用户平面节点110-U。在一些实施例中,用户平面节点110-U可以从UE支持的算法中,选择出用于加密和/或完整性保护的算法,并根据u-KgNB和加密和/或完整性保护算法来计算出用于数据加密的密钥KUPenc和/或完整性保护密钥KUPint
可见,通过上述各项之一或组合,可以用多种方式在用户平面节点110-U处确定针对用户设备100要使用的用户平面密钥(例如,KUPenc和/或KUPint)。大体来说,用户平面密钥的生成可以在控制平面节点110-C处、在用户平面节点110-U处执行、或部分地在控制平面节点110-C处且部分地在用户平面节点110-U处执行。此外,用户平面密钥的生成可以基于基站110的共用基站密钥(例如,由控制平面节点110-C和一个或多个用户平面节点110-U共用的共用基站密钥)或基于基站110的专用基站密钥(例如,特定于用户平面节点110-U的专用基站密钥)。此外,可以向用户平面节点110-U提供多项上述内容,供用户平面节点110-U来自行选择。例如,用户平面节点110-U可以选择自行生成用户平面密钥,或者也可以选择接收由控制平面节点110-C生成的密钥,又或者可以选择基于不同基站密钥(例如,共用基站密钥或专用基站密钥)来生成用户平面密钥等。
在步骤302,用户平面节点110-U可以向控制平面节点110-C发送响应消息。该响应消息可以由用户平面节点110-U发送给第一基站110的控制平面节点110-C或者第二基站120的控制平面节点120-C。在一些实施例中,该响应消息可以携带用户平面节点110-U根据UE能力为UE 100选择的加密和/或完整性保护算法。此外,第一基站110的控制平面节点110-C可以发送消息给第二基站120的控制平面节点120-C,该消息可携带用户平面节点110-U根据UE能力为UE 100选择的加密和/或完整性保护算法。
在步骤303,控制平面节点110-C或120-C可向UE 100发送消息(例如,RRC消息)。在该消息中,可以携带以下至少一项:
■第一基站的与用户平面加密和/或完整性保护密钥的相关信息。该相关信息包含可以用来计算基站密钥的信息,即相关信息用来计算出第一基站110的用户平面节点110-U使用的基站密钥。例如,UE 100收到该相关信息,结合UE 100保存的其它信息,产生第一基站110的共用或专用基站密钥,然后根据基站密钥和为UE选择的加密算法和/或完整性保护算法,计算出来用户平面数据使用的用户平面密钥,例如,加密密钥KUPenc和/或完整性保护密钥KUPint。第一基站110的控制平面110-C和用户平面110-U可以采用不同的基站密钥,而RRC消息中的相关信息可以分别包含与第一基站110的控制平面110-C相关(该相关信息可以用来计算例如KRRCenc和/或KRRCint)和与第一基站110的用户平面110-U相关的信息(该相关信息可以用来计算例如KUPenc和/或KUPint)。例如相关信息包含了上面提到的某一个的预定标准或算法或者参数。在一些实施例中,用来计算基站密钥的相关信息包含了预定标准或算法或者参数,举例来说,参数可以是一个递增的数值,基站110和UE 100可以采用同样的数值来计算出来KUPenc、KUPint、KRRCenc、和/或KRRCint。在另一些实施例中,该相关信息可以是其他预定标准或算法或者参数,而不限于递增的数值。例如,相关信息可以是递减的数值、不同的数值等等
■第二基站120的与用户平面节点110-U的加密和/或完整性保护密钥的相关信息。该相关信息包含可以用来计算基站密钥的信息,即该相关信息可以用来计算第二基站120的用户平面使用的基站密钥。相关信息可以参考上述对第一基站相关信息的描述。UE100收到该相关信息,结合UE 100保存的其它信息,产生第一基站110的用户平面110-U的基站密钥,在根据用户平面基站密钥和为UE选择的加密算法和/或完整性保护算法,计算出来数据使用的用户平面密钥,例如,加密密钥KUPenc和/或完整性保护密钥KUPint
■基站110或120为UE 100选择的加密算法和/或完整性保护算法。基站110或120的控制平面110-C/120-C或者用户平面110-U/120-U可以根据UE 100的能力,为UE 100选择加密算法和/或完整性保护算法。该基站可以是第一基站和/或第二基站。
这样,UE 100可以根据所获取到的相关信息来生成或确定用户平面节点110-U所要使用的用户平面密钥,并与之进行后续的数据通信。然而,如前所述,随着用户设备100的使用,其与用户平面节点110-U之间的无线承载的PDCP序号不断增加,并最终可能溢出,即超过上限。则在步骤304,第一基站110的用户平面110-U可以发送消息(例如,溢出指示消息)给第一基站110的控制平面110-C,以指示PDCP序号将要溢出。例如,当用户平面110-U上的某个承载(例如,与UE 100之间的无线承载)要溢出的时候,即快要达到PDCP序号最大值的时候,需要对PDCP进行重启或者重建立。为了重启或者重建立该无线承载,用户平面110-U需要向控制平面110-C通知PDCP将要溢出,控制平面110-C可以进行相应的操作。
如果第一基站110的用户平面110-U和控制平面110-C采用不同的基站密钥(例如,用户平面110-U使用前述专用基站密钥u-KgNB,而控制平面110-C使用基站密钥KgNB),用户平面110-U的基站密钥可以是由第一基站110的控制平面110-C在步骤303中参考了相关信息来产生的,则第一基站110的控制平面110-C可以根据相关信息产生一个新的用户平面的基站密钥(例如,专用基站密钥)。在一些实施例中,相关信息可以是一个数值,控制平面110-C可以对此数值加1,然后根据新的数值和控制平面110-C的基站密钥(例如,共用基站密钥)来产生用户平面110-U的基站密钥(例如,专用基站密钥)。
如果第一基站110的用户平面110-U和控制平面110-C采用相同的基站密钥,且第一基站110的基站密钥可以是由第二基站120产生的,则第一基站110的控制平面110-C在得知某个承载要溢出时,需要通知第二基站120的控制平面120-C,并由第二基站120的控制平面120-C进行相应的操作。
因此,在步骤305,第一基站110的控制平面110-C可以发送消息给第二基站120的控制平面120-C,以指示PDCP将要溢出,或者指示要释放将要PDCP溢出的承载。
如果没有为UE 100建立双连接或者多连接,第一基站110的控制平面110-C收到304步骤的消息,则第一基站110的控制平面110-C可以采取对应的动作。例如,第一基站110可以产生新的安全信息,通过301步骤的消息把新的安全信息发送给用户平面110-U,第一基站110还可以发送新的RRC消息给UE 100,以更新与第一基站用户平面110-U加密和/或完整性保护密钥相关的信息。备选地,第一基站110可以发起承载释放过程,以删除在用户平面节点110-U上建立的承载,然后再重新建立该承载。通过承载的释放和建立过程,无线承载的标识改变了,因此PDCP可以重新启动,且PDCP序号可以重新开始编号,从而避免了PDCP序号的溢出。
在步骤306,第二基站120可以产生一个新的第一基站110使用的基站密钥,或者第二基站120可以发起承载释放过程。当第一基站110接收到新的基站密钥时,可以发送新的安全信息给第一基站110的用户平面节点110-U。即再次执行步骤301和步骤302。
在步骤307,基站可以发送RRC消息给UE 100,其中,基站可以是第一基站110或者第二基站120。该消息携带新的与第一基站用户平面110-U产生加密和/或完整性保护密钥相关的信息。如果第一基站110的用户平面110-U使用了相同的基站密钥,则该消息携带了与第一基站控制平面110-C产生加密和/或完整性保护密钥相关的信息。
从而,通过图3所示的方案,可以在PDCP序号要溢出时,在用户平面节点110-U和用户设备100之间重新协商并生成用户平面密钥。
接下来,将参考图4~7来详细描述针对不同情况的用于用户平面密钥处理的具体实施例。
图4是示出了根据本公开实施例的用于单一基站的用户平面密钥处理的示例消息流程图。图4描绘了基站110的中央控制单元分成了控制平面节点110-C和用户平面节点110-U。图4省略了核心网5GC和分布单元DU,因为考虑到控制平面和DU之间的信令、控制平面和核心网的信令与没有引入控制平面节点110-C和用户平面节点110-U分离的相同,因此为了描述方便,图中没有标出DU和5GC。
在步骤401,基站110的控制平面110-C产生用户平面的安全信息,且控制平面节点110-C可以发送携带该安全信息的消息给用户平面110-U。接收消息的用户平面节点110-U可以是一个或者多个。
基站110的控制平面110-C可以从核心网得到基站密钥KgNB,并根据此KgNB来生成RRC的加密密钥和/或完整性密钥。此外,控制平面110-C还为用户平面110-U生成了用户平面的安全信息。在该情况下,控制平面110-C可以发送消息给用户平面110-U。例如,控制平面110-C可以发送承载建立请求消息,把安全信息携带在该消息中发送给用户平面节点110-U。用户平面的安全信息可以包括如前所述的安全信息中的至少一项,例如专用基站密钥、共用基站密钥、用户平面密钥等。
在一些实施例中,除了安全信息,步骤401中的消息还可以携带数据流(例如,服务质量流(QoS flow))到无线承载(即Radio Bearer)的映射关系、无线承载的标识等。此外,该消息还可以包含无线承载的RLC的传输模式,例如,应答模式(acknowledged Mode或AM)、无应答模式(Unacknowledged Mode或UM)、透明模式(Transparent Mode或TM)、或者AM/UM中的其中一种。
在步骤402,用户平面节点110-U可以发送响应消息给控制平面节点110-C。可选地,该响应消息可以携带用户平面110-U根据UE能力为UE 100选择的加密和/或完整性保护算法。可选地,该响应消息可以携带无线承载对应的RLC的传输模式。例如,RLC的模式可以设置成AM、UM、TM或者AM/UM中的其中一种。
在步骤403,控制平面节点110-C可以发送RRC消息给UE 100。在控制平面110-C发送给UE 100的消息中,可以携带与加密有关的相关信息,相关信息可以携带如上面结合图3的步骤303所描述的相关信息的至少一项。
在建立起来数据承载之后,随着数据的发送,无线承载的PDCP序号会接近最大值。出于安全的考虑,在PDCP序号将要达到最大值的时候,需要把PDCP的序号重新置零,即进行PDCP的重启。因此,从图4的步骤404开始,描述了某一个无线承载的PDCP序号将要溢出的流程。
在步骤404,基站110的用户平面110-U发送消息给基站110的控制平面110-C,以指示PDCP将要溢出。例如,当用户平面110-U上的某个承载要溢出的时候,即快要达到PDCP序号最大值的时候,需要对PDCP进行重启或者重建立。为了重启或者重建立,用户平面110-U需要向控制平面110-C通知PDCP将要溢出,控制平面110-C可以进行相应的操作。
备选的,基站110用户平面110-U在发现某个承载的PDCP序号将要溢出时,根据该承载的RLC模式,采用不同的操作。对于RLC UM或者TM,用户平面110-U可以发送404步骤溢出指示给控制平面110-C,对于RLC AM,用户平面110-U可以在404步骤发起承载释放的过程。
备选的,基站110用户平面110-U在发现某个承载的PDCP序号将要溢出时,可以直接在404步骤发起承载释放的过程。可选的,在释放过程中可以告诉控制平面110-C,释放原因是PDCP溢出。
如果基站110的用户平面110-U和控制平面110-C采用不同的基站密钥(例如,专用基站密钥),基站的用户平面数据的PDCP序号要溢出,则可以只产生新的用户平面110-U的基站密钥,控制平面110-C的基站密钥可以保持不变。基站110的控制平面110-C可以根据相关信息产生一个新的用户平面110-C的基站密钥。例如相关信息可以是一个数值,此数值加1,然后根据新的数值和控制平面110-C的基站密钥,产生新的用户平面110-U的基站密钥。然而如上所述本公开不限于此,该数值也可以是递减或是不同的数值。
然后,可以通过步骤405把新的基站密钥发送给用户平面110-U。并进行步骤406的RRC过程,以发送RRC消息给UE 100,从而更新UE 100与用户平面基站密钥有关的相关信息。
如果基站110的用户平面110-U和控制平面110-C采用相同的基站密钥,则基站控制平面110-C在得知某个承载要溢出时,也需要更新控制平面110-C的基站密钥。在该情况下,基站110可以发起一个小区内切换过程来更新基站密钥。具体来说,基站110进行步骤405和406来进行小区内切换过程。步骤405是用户平面节点110-U上数据流的重建立过程,即释放旧的数据流和对应的无线承载,重建立数据流和对应的无线承载。步骤406的过程是基站110发起的小区内切换RRC过程。在一些实施例中,该小区内切换过程可以与现行的标准一致。
从而,针对单一基站的情况,可以通过图4所示实施例来实现对用户平面密钥的确定和生成,以及在PDCP溢出情况下的用户平面密钥更新。
图5是示出了根据本公开实施例的用于多基站协作的用户平面密钥处理的示例消息流程图。图5描绘了主基站120的中央控制单元分成了控制平面节点120-C和用户平面节点120-U以及辅基站110的中央控制单元分成了控制平面节点110-C和用户平面节点110-U。图5省略了核心网5GC和分布单元DU,因为考虑到控制平面和DU之间的信令、控制平面和核心网的信令与没有引入控制平面节点110-C/120-C和用户平面节点110-U/120-U分离的相同,因此为了描述方便,图中没有标出DU和5GC。
在步骤501,主基站120可以发送辅基站建立请求消息给辅基站110的控制平面节点110-C。该消息中可以携带主基站120生成的辅基站110上要使用的基站密钥S-KgNB。在一些实施例中,其产生的方法可以与现行的产生方法一致。
在步骤502,辅基站110的控制平面110-C可以产生并发送用户平面的安全信息给用户平面110-U。接收消息的用户平面节点110-U可以是一个或者多个。
辅基站110的控制平面110-C得到控制平面110-C使用的基站密钥(例如,从主基站120-C)。然后,基站110的控制平面110-C可以产生用户平面110-U的安全信息。用户平面110-U的安全信息可以是用户平面密钥(例如,KUPenc和/或KUPint)。在该情况下,用户平面110-U的密钥(例如KUPenc和/或KUPint)和控制平面110-C的密钥(例如,KRRCenc和/或KRRCint)可以基于相同的基站密钥(KgNB或者S-KgNB)产生或者控制平面110-C为用户平面110-U产生专用的密钥(例如KUPenc和/或KUPint),如果一个UE设备有多个用户平面,控制平面110-C可以为每个用户平面产生一个专用的密钥(例如KUPenc和/或KUPint)。例如,控制平面110-C可以获得UE的能力,该UE能力可以包含UE支持的加密和/或完整性保护算法,控制平面110-C可以选择用户加密和/或完整性保护的算法,并根据基站密钥S-KgNB、加密和/或完整性保护算法来计算出用户平面密钥,例如,用于数据加密的密钥KUPenc和/或完整性保护密钥KUPint。如果控制平面110-C为用户平面110-U产生专用的用户平面密钥,控制平面可以为每个用户平面确定一个预定标准或算法或者参数,该标准或算法或者参数对所有的用户平面指定相同或者不同,从而产生用户平面专用的密钥(例如KUPenc和/或KUPint)。然后,控制平面节点110-C可以把KUPenc和/或KUPint发送给用户平面110-U。
在步骤503,用户平面节点110-U可以发送响应消息给控制平面节点110-C。
在步骤504,辅基站110的控制平面110-C可以发送辅基站建立响应消息给主基站120的控制平面120-C。该消息可以携带辅基站110根据UE能力为UE 100选择的加密和/或完整性保护算法。
在步骤505,主基站120的控制平面节点120-C可以发送RRC消息给UE 100。
在控制平面120-C发送给UE 100的消息中,可以携带基站110或120为UE选择的加密算法和/或完整性保护算法。基站110或120的控制平面或者用户平面可以根据UE的能力为UE选择加密算法和/或完整性保护算法。此外,该消息还可以包含与辅基站110的加密和/或完整性保护密钥相关的信息。在一些实施例中,该相关信息可以是辅小区组计数器。根据此计数器结合KgNB,UE 100可以计算出辅基站110上的S-KgNB,然后可以根据S-KgNB和为UE100选择的加密算法和/或完整性保护算法,计算出辅基站110上建立的数据承载所要使用的加密密钥KUPenc和/或完整性保护密钥KUPint。辅小区组计数器可以保存在主基站120上并由主基站120决定何时对计数器加1。然而,本公开不限于此。
此外,从辅基站110的控制平面节点110-C的角度出发,可以认为其基于步骤503中接收到的响应信息,触发另一节点(例如,主基站120的控制平面节点120-C)向用户设备100发送共用基站密钥相关信息,该信息使得用户设备100能够确定用户平面密钥(例如,例如KUPenc和/或KUPint)。
在步骤506,辅基站110的用户平面110-U可以发送消息给控制平面110-C,以指示PDCP将要溢出。
在本实施例中,辅基站110的用户平面110-U和控制平面110-C采用相同的基站密钥(共用基站密钥),则基站控制平面110-C在得知某个承载要溢出时,其控制平面110-C的基站密钥也需要更新。
因此,在步骤507,辅基站110的控制平面110-C发送PDCP将要溢出的指示信息给主基站120的控制平面节点120-C,或者发送承载释放请求给主基站120的控制平面节点120-C,以请求释放将要PDCP溢出的无线承载。
在步骤508,根据在步骤507接收到的消息,主基站120可以产生新的基站密钥,并发送辅基站修改消息给辅基站控制平面110-C。该消息可以携带新的S-KgNB。或者主基站120可以发起辅基站修改或者辅基站释放过程,以删除将要PDCP溢出的建立在辅基站110上的承载。
在步骤509,辅基站110的控制平面110-C可以发起承载修改过程,该消息可以携带新的用户平面的安全信息,例如用户平面密钥(例如KUPenc和/或KUPint)。例如,辅基站控制平面110-C可以接收到新的S-KgNB,并根据新的S-KgNB产生新的用户平面密钥(例如KUPenc和/或KUPint)并将其发送给用户平面节点110-U。
在步骤510,如果主基站120产生新的S-KgNB,则主基站需要发送RRC消息给UE100,以更新辅小区组计数器,从而让UE端也产生新的S-KgNB。如果辅基站110发起了承载释放过程,主基站120也需要发起和UE 100的承载释放的RRC过程。
从而,针对多个基站的情况,可以通过图5所示实施例来实现对用户平面密钥的确定和生成,以及在PDCP溢出情况下的用户平面密钥更新。
图6是示出了根据本公开实施例的用于多基站协作的用户平面密钥处理的另一示例消息流程图。图6与图5所示实施例大体类似,主要区别之一在于从辅基站控制平面节点110-C向用户平面节点110-U发送的不再是已经生成好的用户平面密钥,而是控制平面节点110-C所使用的基站密钥(或共用基站密钥),并由用户平面节点110-U自行据此生成用户平面密钥。
具体地,步骤601、603~608和610与图5所示实施例的对应步骤501、503~508和510大体相同,此处不再赘述。
在步骤602,辅基站110的控制平面110-C可以发送承载建立请求消息给用户平面110-U。该消息可以携带S-KgNB和UE支持的加密算法和/或完整性保护算法,或者携带S-KgNB和控制平面110-C为UE选择的加密算法和/或完整性保护算法。从而,用户平面节点110-U可以自己计算用户平面的密钥(即KUPenc和/或KUPint)。
此外,在步骤609,辅基站110的控制平面110-C可以发送承载修改给用户平面节点110-U。该消息可以携带新的S-KgNB。从而,用户平面节点110-U自己计算用户平面密钥(例如KUPenc和/或KUPint)。
从而,与图5所示实施例类似,针对多个基站的情况,可以通过图6所示实施例来实现对用户平面密钥的确定和生成,以及在PDCP溢出情况下的用户平面密钥更新。
图7是示出了根据本公开实施例的用于多基站协作的用户平面密钥处理的又一示例消息流程图。图7描绘了主基站120分成了控制平面节点120-C和用户平面节点120-U且辅基站110分成了控制平面节点110-C和用户平面节点110-U。为UE 100建立了双连接,UE 100连接了主基站120和辅基站110这两个基站。此外,图7中省去了核心网5GC和分布单元DU,这是因为控制平面110-C/120-C和DU之间的信令、控制平面和核心网的信令跟没有引入控制平面节点和用户平面节点分离的情况相同。
在步骤701,主基站120-C可以发送辅基站建立请求消息给辅基站110的控制平面节点110-C。该消息中可以携带主基站120生成的辅基站110上使用的基站密钥S-KgNB。其产生的方法可以与现行的产生方法一致。
在步骤702,辅基站110的控制平面110-C可以发送承载建立请求消息给用户平面110-U。该消息可以携带用户平面110-U的专用基站密钥u-KgNB。该消息还可以携带UE 100支持的加密算法和/或完整性保护算法。接收消息的用户平面节点110-U可以是一个或者多个。例如,辅基站110的控制平面110-C接收到其公共基站密钥,然后据此产生了专用于用户平面110-U的专用基站密钥。
在步骤703,用户平面节点110-U可以发送响应消息给控制平面节点110-C。该消息可以由用户平面节点110-U发送给辅基站110的控制平面110-C。该消息还可以携带用户平面110-U选择的加密算法和/或完整性保护算法。
在步骤704,辅基站110的控制平面110-U可以发送辅基站建立响应消息给主基站120的控制平面120-C。该消息可以携带辅基站110根据UE能力为UE 100选择的加密和/或完整性保护算法。
在步骤705,主基站120的控制平面节点120-C可以发送RRC消息给UE 100。在控制平面120-C发送给UE 100的消息中,可以携带基站120/110为UE 100选择的加密算法和/或完整性保护算法。基站的控制平面或者用户平面可以根据UE 100的能力为UE 100选择加密算法和/或完整性保护算法。该消息还可以分别包含与辅基站用户平面密钥相关的信息。通过该相关信息,UE 100可以计算出辅基站110的用户平面110-U使用的专用基站密钥,然后可以根据专用基站密钥和为UE 100选择的加密算法和/或完整性保护算法,计算出辅基站用户平面110-U上建立的数据承载使用的用户平面密钥,例如加密密钥KUPenc和/或完整性保护密钥KUPint
在步骤706,辅基站110的用户平面110-U可以发送消息给控制平面110-C,以指示PDCP将要溢出。在此实施例下,辅基站110的用户平面110-U和控制平面110-C采用不同的基站密钥(即,专用基站密钥和共用基站密钥),则基站控制平面110-C在得知某个承载要溢出时,无需更新控制平面110-C的(共用)基站密钥。
在步骤707,辅基站110的控制平面110-C可以产生新的用户平面的专用基站密钥,并发送辅基站修改消息给辅基站用户平面110-U。该消息可以携带新的用户平面的专用基站密钥。辅基站用户平面110-U在收到新的基站密钥后,可以根据新的基站密钥来产生新的用户平的密钥(例如,KUPenc和/或KUPint)。
在步骤708,辅基站110的控制平面110-U发送RRC消息给UE 100,以更新辅基站110的专用基站密钥的相关信息。
从而,与图5和6所示实施例类似,针对多个基站的情况,可以通过图7所示实施例来实现对用户平面密钥的确定和生成,以及在PDCP溢出情况下的用户平面密钥更新。此外,在图7所示实施例中,由于采用了与共用基站密钥相互独立的专用基站密钥,可以避免在更新用户平面密钥时对共用基站密钥的更新。
图8是示出了根据本公开实施例的示例设备的示例硬件布置800的框图。布置800包括处理器806。处理器806可以是用于执行本文描述的流程的不同动作的单一处理单元或者是多个处理单元。布置800还可以包括用于从其他实体接收信号的输入单元802、以及用于向其他实体提供信号的输出单元804。输入单元802和输出单元804可以被布置为单一实体或者是分离的实体。
此外,布置800可以包括具有非易失性或易失性存储器形式的至少一个可读存储介质808,例如是电可擦除可编程只读存储器(EEPROM)、闪存、光盘、蓝光盘和/或硬盘驱动器。可读存储介质808可以包括计算机程序810,该计算机程序810可包括代码/计算机可读指令,其在由布置800中的处理器806执行时使得硬件布置800和/或包括硬件布置800在内的设备100可以执行例如上面结合图3~图7所描述的任何节点处的流程及其任何变形。
计算机程序810可被配置为具有例如计算机程序模块810A~810C架构的计算机程序代码。因此,在使用硬件布置800时的示例实施例中,布置800的计算机程序中的代码包括:模块810A,用于向用户平面节点发送第一安全信息,该第一安全信息使得用户平面节点能够确定用于用户平面通信的用户平面密钥。计算机程序中的代码还包括:模块810B,用于从用户平面节点接收响应于第一安全信息的响应信息。计算机程序中的代码还包括:模块810C,用于基于响应信息,向与用户平面节点相关联的用户设备发送第二安全信息,第二安全信息使得用户设备能够确定用户平面密钥。
此外,计算机程序810还可被配置为具有例如计算机程序模块810D~810E架构的计算机程序代码。因此,在使用硬件布置800时的示例实施例中,布置800的计算机程序中的代码包括:模块810D,从控制平面节点接收第一安全信息,所述第一安全信息使得用户平面节点能够确定用于用户平面通信的用户平面密钥。计算机程序中的代码还包括:模块810E,用于向控制平面节点发送响应于第一安全信息的响应信息。
此外,计算机程序810还可被配置为具有例如计算机程序模块810F~810G架构的计算机程序代码。因此,在使用硬件布置800时的示例实施例中,布置800的计算机程序中的代码包括:模块810F,从控制平面节点接收安全信息。计算机程序中的代码还包括:模块810G,用于基于该安全信息来确定要用于保护用户设备和与控制平面节点相关联的用户平面节点之间的数据通信的用户平面密钥。然而,计算机程序810中还可以包括用于执行本文描述的各种方法的各个步骤的其他模块。
计算机程序模块实质上可以执行图3~图7中所示出的流程中的各个动作,以模拟各种设备。换言之,当在处理器806中执行不同计算机程序模块时,它们可以对应于本文中所提到的各种设备的各种不同单元(例如,控制平面节点110-C和/或用户平面节点110-U)。
尽管上面结合图8所公开的实施例中的代码手段被实现为计算机程序模块,其在处理器806中执行时使得硬件布置800执行上面结合图3~图7所描述的动作,然而在备选实施例中,该代码手段中的至少一项可以至少被部分地实现为硬件电路。
处理器可以是单个CPU(中央处理单元),但也可以包括两个或更多个处理单元。例如,处理器可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))。处理器还可以包括用于缓存用途的板载存储器。计算机程序可以由连接到处理器的计算机程序产品来承载。计算机程序产品可以包括其上存储有计算机程序的计算机可读介质。例如,计算机程序产品可以是闪存、随机存取存储器(RAM)、只读存储器(ROM)、EEPROM,且上述计算机程序模块在备选实施例中可以用UE内的存储器的形式被分布到不同计算机程序产品中。
至此已经结合优选实施例对本公开进行了描述。应该理解,本领域技术人员在不脱离本公开的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本公开的范围不局限于上述特定实施例,而应由所附权利要求所限定。
至此已经结合优选实施例对本公开进行了描述。应该理解,本领域技术人员在不脱离本公开的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本公开的范围不局限于上述特定实施例,而应由所附权利要求所限定。

Claims (21)

1.一种密钥处理方法,包括:
向用户平面节点发送第一安全信息,所述第一安全信息使得所述用户平面节点能够确定用于用户平面通信的用户平面密钥;
从所述用户平面节点接收响应于所述第一安全信息的响应信息;以及
基于所述响应信息,向与所述用户平面节点相关联的用户设备发送第二安全信息或触发另一节点向所述用户设备发送第二安全信息,所述第二安全信息使得所述用户设备能够确定所述用户平面密钥。
2.根据权利要求1所述的方法,其中,所述第一安全信息包括以下至少一项:
所述用户平面密钥;
由所述控制平面节点和所述用户平面节点共用的共用基站密钥;以及
专用于所述用户平面节点的专用基站密钥。
3.根据权利要求1或2所述的方法,其中,所述用户平面密钥对用户设备的多个用户平面是不同的,或者所述用户平面密钥对用户设备的多个用户平面是一样的。
4.根据权利要求2所述的方法,其中,所述用户平面密钥是由所述控制平面节点或所述用户平面节点基于所述共用基站密钥或所述专用基站密钥导出的。
5.根据权利要求2所述的方法,其中,所述第二安全信息包括以下至少一项:
为所述用户设备选择的加密算法和/或完整性保护算法;
用于确定所述用户平面密钥的信息;以及
用于确定所述专用基站密钥和/或共用基站密钥的信息。
6.根据权利要求2所述的方法,还包括:
从所述用户平面节点接收溢出指示,所述溢出指示指示了使用所述用户平面密钥的无线承载的分组数据汇聚协议PDCP序号要溢出。
7.根据权利要求6所述的方法,其中,如果所述第一安全信息包括所述用户平面密钥或所述共用基站密钥,则所述方法还包括:
向另一控制平面节点发送溢出指示或请求释放所述无线承载的释放请求;
从所述另一控制平面节点接收新的共用基站密钥;
基于所述共用基站密钥,向所述用户平面节点发送第三安全信息,所述第三安全信息使得所述用户平面节点能够确定用于用户平面通信的新的用户平面密钥;以及
向与所述无线承载相关联的用户设备发送或触发另一节点向与所述无线承载相关联的用户设备发送第四安全信息,所述第四安全信息使得与所述无线承载相关联的用户设备能够确定所述新的共用基站密钥。
8.根据权利要求1所述的方法,还包括:向所述用户平面节点发送指示无线电链路控制RLC层的传输模式的信息。
9.一种控制平面节点,包括:
处理器;
存储器,存储指令,所述指令在由所述处理器执行时,使得所述处理器执行根据权利要求1~8中任一项所述的方法。
10.一种密钥处理方法,包括:
从控制平面节点接收第一安全信息;
所述第一安全信息使得所述用户平面节点能够确定用于用户平面通信的用户平面密钥;
向所述控制平面节点发送响应于所述第一安全信息的响应信息。
11.根据权利要求10所述的方法,其中,所述第一安全信息包括以下至少一项:
所述用户平面密钥;
由所述控制平面节点和所述用户平面节点共用的共用基站密钥;以及
专用于所述用户平面节点的专用基站密钥。
12.根据权利要求11所述的方法,其中,所述用户平面密钥是由所述控制平面节点或所述用户平面节点基于所述共用基站密钥或所述专用基站密钥导出的。
13.根据权利要求11所述的方法,还包括:
向所述控制平面节点发送溢出指示,所述溢出指示指示了使用所述用户平面密钥的无线承载的分组数据汇聚协议PDCP序号要溢出。
14.根据权利要求13所述的方法,还包括:
从所述控制平面节点接收第三安全信息,所述第三安全信息使得所述用户平面节点能够确定用于用户平面通信的新的用户平面密钥。
15.根据权利要求14所述的方法,其中,所述第三安全信息包括以下至少一项:
所述新的用户平面密钥;
由所述控制平面节点和所述用户平面节点共用的新的共用基站密钥;以及
专用于所述用户平面节点的新的专用基站密钥。
16.根据权利要求10所述的方法,其中,所述响应信息包括为所述用户设备选择的安全算法和/或无线电链路控制RLC层的传输模式。
17.根据权利要求10所述的方法,其中,所述用户平面密钥包括用户平面加密密钥和/或用户平面完整性密钥。
18.一种用户平面节点,包括:
处理器;
存储器,存储指令,所述指令在由所述处理器执行时,使得所述处理器执行根据权利要求10~17中任一项所述的方法。
19.一种密钥处理的方法,包括:
从控制平面节点接收第二安全信息;以及
基于所述第二安全信息来确定用户平面密钥。
20.根据权利要求19所述的方法,还包括:
从所述控制平面节点或另一控制平面节点接收第四安全信息;以及
基于所述第四安全信息来更新所述用户平面密钥。
21.一种用户设备,包括:
处理器;
存储器,存储指令,所述指令在由所述处理器执行时,使得所述处理器执行根据权利要求19~20中任一项所述的方法。
CN201810029451.6A 2018-01-11 2018-01-11 密钥处理方法、控制平面节点、用户平面节点和用户设备 Pending CN110035430A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810029451.6A CN110035430A (zh) 2018-01-11 2018-01-11 密钥处理方法、控制平面节点、用户平面节点和用户设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810029451.6A CN110035430A (zh) 2018-01-11 2018-01-11 密钥处理方法、控制平面节点、用户平面节点和用户设备

Publications (1)

Publication Number Publication Date
CN110035430A true CN110035430A (zh) 2019-07-19

Family

ID=67234400

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810029451.6A Pending CN110035430A (zh) 2018-01-11 2018-01-11 密钥处理方法、控制平面节点、用户平面节点和用户设备

Country Status (1)

Country Link
CN (1) CN110035430A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112399409A (zh) * 2019-08-16 2021-02-23 华为技术有限公司 一种安全加密的方法及装置
WO2021031746A1 (zh) * 2019-08-16 2021-02-25 大唐移动通信设备有限公司 一种安全算法配置方法、控制平面中心节点及终端

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112399409A (zh) * 2019-08-16 2021-02-23 华为技术有限公司 一种安全加密的方法及装置
WO2021031746A1 (zh) * 2019-08-16 2021-02-25 大唐移动通信设备有限公司 一种安全算法配置方法、控制平面中心节点及终端

Similar Documents

Publication Publication Date Title
KR102263336B1 (ko) 보안 구현 방법, 기기 및 시스템
EP3668054B1 (en) Data transmission method, device and system
CN110121168B (zh) 安全协商方法及装置
CN107852601A (zh) 具有经加密客户端设备上下文的网络架构和安全性
CN104936175B (zh) 在双连接的通信环境下进行密钥更新的方法和装置
CN105340212B (zh) 用于生成在设备至设备通信中的密钥的方法和装置
WO2019158040A1 (zh) 用于切换的方法和装置
CN105874766B (zh) 在用户设备之间提供受控证书的方法和设备
CN104581652B (zh) 消息处理方法、选择mme的方法和装置
CN107113904A (zh) 双连接移动通信网中的信令
EP3125606B1 (en) Bandwidth control method and bandwidth control device
CN107852407A (zh) 用于集成小型小区和Wi‑Fi网络的统一认证
CN109803258A (zh) 一种请求恢复连接的方法及装置
CN107079289A (zh) 用于双连接的安全密钥刷新
EP3771242A1 (en) Key generation method and relevant apparatus
US11039309B2 (en) User plane security for disaggregated RAN nodes
CN104885519A (zh) 分流方法、用户设备、基站和接入点
WO2020177501A1 (zh) 密钥配置的方法、装置和终端
CN110249646A (zh) 在从5g切换到4g系统之前进行安全性管理的方法、装置、计算机程序以及载体
CN115152274A (zh) 在不同的接入网络上使用多个引导连接接入业务引导
TWI726890B (zh) 具有加密的網路可達性上下文的網路架構和安全
EP4145902A1 (en) Communication method and device
CN103167492B (zh) 在通信系统中生成接入层密钥的方法及其设备
CN106134231A (zh) 密钥生成方法、设备及系统
WO2019062374A1 (zh) 一种密钥衍生算法的协商方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190719