CN110072233A - 一种安全密钥更改方法和基站及用户设备 - Google Patents

一种安全密钥更改方法和基站及用户设备 Download PDF

Info

Publication number
CN110072233A
CN110072233A CN201910228639.8A CN201910228639A CN110072233A CN 110072233 A CN110072233 A CN 110072233A CN 201910228639 A CN201910228639 A CN 201910228639A CN 110072233 A CN110072233 A CN 110072233A
Authority
CN
China
Prior art keywords
base station
key
key change
security key
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910228639.8A
Other languages
English (en)
Other versions
CN110072233B (zh
Inventor
常俊仁
毕皓
郭轶
张冬梅
蔺波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201910228639.8A priority Critical patent/CN110072233B/zh
Publication of CN110072233A publication Critical patent/CN110072233A/zh
Application granted granted Critical
Publication of CN110072233B publication Critical patent/CN110072233B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0069Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/06Reselecting a communication resource in the serving access point

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种安全密钥更改方法和基站及用户设备。其中一种方法可包括:主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改,其中,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;所述主基站向所述UE发送密钥更改命令消息,以使所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改以及根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;所述主基站接收所述UE发送的密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。

Description

一种安全密钥更改方法和基站及用户设备
技术领域
本发明实施例涉及通信领域,尤其涉及一种安全密钥更改方法和基站及用户设备。
背景技术
目前,为了提高无线网络的传输速率,第三代合作伙伴计划(3rd GenerationPartnership Project,3GPP)组织正在讨论成立小小区网络增强的新研究项目。
在现有技术中小小区的部署中通常会采用低频段载波和高频段载波,例如,频率F1为低频段载波,其特点是覆盖范围大,但是资源比较稀缺。而F2为高频段载波,其特点是覆盖范围小,但是资源比较丰富。在现有的蜂窝网络中,一般使用较低频段的载波,例如使用F1为用户提供服务。但是,随时智能手机的普及,用户对无线传输速率提出了更高的要求。为了满足用户的需求,需要逐步使用资源丰富的高频段载波来为用户提供服务。由于高频段载波具有覆盖范围小的特点,通常把这种使用高频段载波进行一定的小覆盖的基站(evolved NodeB,eNB)称为小型基站,该小型基站覆盖的范围一般称之为小小区。一般而言,会将宏基站选择为主基站(Macro evolved NodeB,MeNB),而将小基站选择为次基站(Small evolved NodeB,SeNB)。在MeNB下可以有多个小区,从这些多个小区中选出一个小区为主小区(Primary Cell,PCell)为用户设备(User Equipment,UE)提供服务,而其他小区可以为次小区(Secondary Cell,SCell),并且次基站下的小区一般都选择作为次小区为UE提供服务,这种UE可以同时使用MeNB和SeNB分别提供的无线资源进行通信的方式定义为双连接通信,由于双连接通信的数据传输效率高、吞吐量大,越来越多的被用于基站与UE之间的数据传输。
在基站和UE之间在传输数据时,通常需要使用安全密钥,但是在一些情况下需要对安全密钥进行更改,在长期演进(Long Term Evolution,LTE)系统中,对于安全密钥的更改过程都可以通过小区内切换过程来完成的,其中,小区内切换过程指的是UE在执行切换的时候,源小区和目标小区是一个基站下的同一个小区,即切换前后主小区是相同的一个小区,并没有发生改变。
本发明的发明人在实现本发明的过程中发现:现有技术中至少存在以下缺陷:现有的安全密钥更改方法只适用于UE与一个基站进行数据传输时的安全密钥更改,但是对于UE同时与MeNB和SeNB执行双连接通信的应用场景下,如何对安全密钥进行更改却并没有给出相关的实现方案。
发明内容
本发明实施例提供了一种安全密钥更改方法和基站及用户设备,用于实现UE同时与MeNB和SeNB执行双连接通信时的安全密钥更改。
第一方面,本发明实施例提供一种安全密钥更改方法,包括:
主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改,其中,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
所述主基站向所述UE发送密钥更改命令消息,以使所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改以及根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
所述主基站接收所述UE发送的密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
结合第一方面,在第一方面的第一种可能的实现方式中,若所述主基站确定出的所述第一基站包括所述次基站时,所述主基站接收所述UE发送的密钥更改完成消息之后,还包括:
所述主基站向所述次基站转发所述密钥更改完成消息,以使所述次基站确定所述UE与所述次基站之间已经完成安全密钥更改。
结合第一方面,在第一方面的第二种可能的实现方式中,所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,所述主基站向所述UE发送密钥更改命令消息,包括:
所述主基站向所述UE发送包含随机接入资源的信息的密钥更改命令消息,以使所述UE根据所述随机接入资源的信息与所述第一基站执行随机接入。
结合第一方面,在第一方面的第四种可能的实现方式中,所述主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改,包括:
所述主基站接收移动管理实体MME发送的密钥指示命令,所述密钥指示命令用于指示所述主基站和所述UE之间执行密钥再生产Key Re-key,和/或指示所述次基站和所述UE之间执行Key Re-key;
所述主基站根据所述密钥指示命令确定出第一基站与所述UE之间执行Key Re-key。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,若所述主基站确定所述第一基站与所述UE之间执行Key Re-key,所述密钥更改命令消息中携带所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息。
结合第一方面,在第一方面的第六种可能的实现方式中,若所述主基站确定出的所述第一基站包括所述次基站时,所述主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改之后,还包括:
所述主基站向所述次基站发送密钥更改指示消息,所述密钥更改指示消息用于指示所述次基站执行安全密钥更改,所述密钥更改指示消息包括:所述主基站根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息生成的次基站侧中间密钥,或,所述密钥更改指示消息包括:所述MME为所述次基站生成的次基站侧中间密钥。
结合第一方面,在第一方面的第七种可能的实现方式中,所述主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改,包括:
所述主基站判断所述UE当前在主基站侧的分组数据汇聚协议计数PDCP Count在预置次数内是否发生反转,若所述UE当前在主基站侧的PDCP Count在预置次数发生反转,则所述主基站确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为密钥刷新Key Refresh,其中,所述第一基站为所述主基站;
和/或,
当所述主基站接收到所述次基站发送的次基站侧的PDCP Count在预置次数发生反转的指示信息,或所述主基站接收到所述次基站发送的所述次基站需要执行KeyRefresh的指示信息,或所述主基站接收到所述UE上报的当前次基站侧的PDCP Count在预置次数发生反转时,所述主基站确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,其中,所述第一基站为所述次基站。
结合第一方面或第一方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能的实现方式,在第一方面的第八种可能的实现方式中,所述密钥更改命令消息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
结合第一方面的第八种可能的实现方式,在第一方面的第九种可能的实现方式中,所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;
所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
结合第一方面或第一方面的的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能的实现方式,在第一方面的第十种可能的实现方式中,所述密钥更改命令消息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
结合第一方面的第十种可能的实现方式,在第一方面的第十一种可能的实现方式中,所述第一安全密钥上下文信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;
所述第二安全密钥上下文信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
结合第一方面,在第一方面的第十二种可能的实现方式中,所述密钥更改命令消息中通过密钥改变指示Key Change Indicator字段的取值指示所述第一基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
结合第一方面,在第一方面的第十三种可能的实现方式中,所述密钥更改命令消息携带指示所述UE保持与所述第二基站之间的数据传输,或指示所述UE暂停与所述第一基站之间的数据传输,或指示所述UE停止与所述第一基站之间的数据传输的指示信息,当所述第二基站为所述主基站时,所述第一基站为所述次基站,当所述第二基站为所述次基站时,所述第二基站为所述主基站。
结合第一方面或第一方面的的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第一方面的第十四种可能的实现方式中,所述密钥更改命令消息具体为小区内切换HO命令消息。
第二方面,本发明实施例提供另一种安全密钥更改方法,包括:
用户设备UE接收主基站发送的密钥更改命令消息,所述密钥更改命令消息包括所述主基站命令所述UE与第一基站之间需要执行安全密钥更改的指示信息,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改;
所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
所述UE向所述主基站发送密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
结合第二方面,在第二方面的第一种可能的实现方式中,所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息,所述UE接收主基站发送的密钥更改命令消息之后,还包括:
所述UE根据所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息确定是否在所述第一基站执行随机接入。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,所述UE接收主基站发送的密钥更改命令消息,包括:
所述UE接收所述主基站发送的包含随机接入资源的信息的密钥更改命令消息,并根据所述随机接入资源的信息执行向所述第一基站的随机接入。
结合第二方面,在第二方面的第三种可能的实现方式中,若所述UE接收到的所述密钥更改命令消息中包含的指示信息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改,则所述UE根据所述第一指示信息和/或所述第二指示信息确定出所述第一基站为以下三种情况中的一种:所述第一基站为所述主基站、所述第一基站为所述次基站、所述第一基站为所述主基站和所述次基站。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:所述UE根据所述第一指示信息按照Key Re-key或Key Refresh执行与所述主基站之间的安全密钥更改;
所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:所述UE根据所述第二指示信息按照Key Re-key或KeyRefresh执行与所述次基站之间的安全密钥更改。
结合第二方面,在第二方面的第五种可能的实现方式中,所述UE接收到的所述密钥更改命令消息中包含的指示信息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改,则所述UE根据所述第一安全密钥上下文信息和/或所述第二安全密钥上下文信息确定出所述第一基站为以下三种情况中的一种:所述第一基站为所述主基站、所述第一基站为所述次基站、所述第一基站为所述主基站和所述次基站。
结合第二方面的第五种可能的实现方式,在第二方面的第六种可能的实现方式中,所述第一安全密钥上下文信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:所述UE根据所述第一安全密钥上下文信息按照KeyRe-key或Key Refresh执行与所述主基站之间的安全密钥更改;
所述第二安全密钥上下文信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:所述UE根据所述第二安全密钥上下文信息按照Key Re-key或Key Refresh执行与所述次基站之间的安全密钥更改。
结合第二方面,在第二方面的第七种可能的实现方式中,若所述密钥更改命令消息中包含的指示信息为密钥改变指示Key Change Indicator字段,所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:所述UE通过所述KeyChange Indicator字段的取值指示确定按照Key Re-key或Key Refresh执行与所述第一基站之间的安全密钥更改。
结合第二方面,在第二方面的第八种可能的实现方式中,所述UE根据所述密钥更改命令信息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,包括:
所述UE根据所述密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与所述主基站或次基站之间的接入层配置信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
所述UE根据所述密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与所述主基站或所述次基站之间的接入层配置信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
所述UE根据所述密钥更改命令消息中包含的密钥改变指示Key ChangeIndicator字段确定是否保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
所述UE根据所述密钥更改命令消息中包含的指示所述UE保持与所述主基站或次基站之间的数据传输的指示信息确定是否保持与所述主基站或所述次基站之间的接入层配置信息。
结合第二方面的第八种可能的实现方式,在第二方面的第九种可能的实现方式中,所述UE根据所述密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的接入层配置信息,包括:
当根据所述Key Change Indicator字段确定需要执行Key Re-key时,所述UE确定不保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
当根据所述Key Change Indicator字段确定需要基于与所述主基站对应的UE侧中间密钥执行Key Refresh时,所述UE确定保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
当根据所述Key Change Indicator字段确定需要基于下一跳NH执行Key Refresh时,所述UE确定保持与所述主基站或所述次基站之间的接入层配置信息。
结合第二方面,在第二方面的第十种可能的实现方式中,所述UE根据所述密钥更改命令信息,确定是否保持与所述主基站或所述次基站之间的数据传输,包括:
所述UE根据所述密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与所述主基站或所述次基站之间的数据传输,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
所述UE根据所述密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与所述主基站或所述次基站之间的数据传输,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
所述UE根据所述密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的数据传输;
或者,
所述UE根据所述密钥更改命令消息中包含的指示所述UE保持与所述主基站或次基站之间的数据传输的指示信息确定是否保持与所述主基站或所述次基站之间的数据传输。
结合第二方面的第十种可能的实现方式,在第二方面的第十一种可能的实现方式中,所述UE根据所述密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的数据传输,包括:
当根据所述Key Change Indicator字段确定需要执行Key Re-key时,所述UE确定不保持与所述主基站以及次基站之间的数据传输;或者,
当根据所述Key Change Indicator字段确定需要基于与所述主基站对应的UE侧中间密钥执行Key Refresh时,所述UE确定保持与所述次基站之间的数据传输;
或者,
当根据所述Key Change Indicator字段确定需要基于NH执行Key Refresh时,所述UE确定保持与所述次基站之间的数据传输。
结合第二方面,在第二方面的第十二种可能的实现方式中,当所述UE根据所述密钥更改命令信息,确定需要保持与所述主基站之间的接入层配置信息,和/或,需要保持与所述主基站之间的数据传输时,所述保持与所述主基站之间的接入层配置信息,和/或,保持与所述主基站之间的数据传输,包括如下步骤中的至少一个步骤:
所述UE保持所述UE与所述主基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
所述UE保持所述UE与所述主基站之间所建立的所有RB的无线链路控制RLC配置;
所述UE保持所述UE与所述主基站之间所建立的所有RB的媒体接入控制MAC配置;
所述UE保持所述UE与所述主基站之间的已激活的次小区SCell的激活状态;
所述UE保持所述UE与所述主基站之间通信使用的小区无线网络临时标识符C-RNTI;
所述UE保持或暂停所述UE与所述主基站之间的数据传输。
结合第二方面,在第二方面的第十三种可能的实现方式中,当所述UE根据所述密钥更改命令信息,确定需要保持与所述次基站之间的接入层配置信息,和/或,需要保持与所述次基站之间的数据传输时,所述保持与所述次基站之间的接入层配置信息,和/或,保持与所述次基站之间的数据传输,包括如下步骤中的至少一个步骤:
所述UE保持所述UE与所述次基站之间所建立的所有RB的PDCP配置;
所述UE保持所述UE与所述次基站之间所建立的所有RB的RLC配置;
所述UE保持所述UE与所述次基站之间所建立的所有RB的MAC配置;
所述UE保持所述UE与所述次基站之间的已激活的SCell的激活状态;
所述UE保持所述UE与所述次基站之间通信使用的C-RNTI;
所述UE保持或暂停所述UE与所述次基站之间的数据传输。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第十四种可能的实现方式中,所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,包括:当所述第一基站为所述主基站时,若所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Refresh,所述UE按照Key Refresh执行与所述主基站之间的安全密钥更改;
所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述方法还包括如下步骤中的至少一个步骤:
所述UE保持所述UE与所述次基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
所述UE保持所述UE与所述次基站之间所建立的所有RB的无线链路控制RLC配置;
所述UE保持所述UE与所述次基站之间所建立的所有RB的媒体接入控制MAC配置;
所述UE保持所述UE与所述次基站之间的已激活的次小区SCell的激活状态;
所述UE保持所述UE与所述次基站之间通信使用的小区无线网络临时标识符C-RNTI;
所述UE保持或暂停所述UE与所述次基站之间的数据传输。
结合第二方面的第十四种可能的实现方式,在第二方面的第十五种可能的实现方式中,所述UE按照Key Refresh执行与所述主基站之间的安全密钥更改,包括:
所述UE基于密钥更改命令消息中指示的下一跳链接计数Next Hop ChainingCount的值,使用当前的与所述主基站对应的UE侧中间密钥或者下一跳NH更新与所述主基站对应的UE侧中间密钥;
所述UE使用更新后的与所述主基站对应的UE侧中间密钥和所述主基站的安全算法生成新的与所述主基站对应的安全密钥,所述新的与所述主基站对应的安全密钥包括:所述UE与所述主基站通信时使用的加密密钥和完整性保护密钥。
结合第二方面的第十五种可能的实现方式,在第二方面的第十六种可能的实现方式中,所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之前,还包括:
所述UE确定所述按照Key Refresh执行与所述主基站之间的安全密钥更改是基于当前的与所述主基站对应的UE侧中间密钥进行的。
结合第二方面的第十四种可能的实现方式,在第二方面的第十七种可能的实现方式中,所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Refresh,具体为:
所述UE根据所述密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定所述主基站与所述UE之间执行安全密钥更改的方式为KeyRefresh。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第十八种可能的实现方式中,所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,包括:当所述第一基站为所述主基站时,若所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key,所述UE按照Key Re-key执行与所述主基站之间的安全密钥更改;
所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述方法还包括如下步骤中的至少一个步骤:
所述UE重置所述UE与所述主基站之间所建立的所有RB的PDCP配置;
所述UE重置所述UE与所述次基站之间所建立的所有RB的PDCP配置;
所述UE重置所述UE与所述主基站之间所建立的所有RB的RLC配置;
所述UE重置所述UE与所述次基站之间所建立的所有RB的RLC配置;
所述UE重置所述UE与所述主基站之间所建立的所有RB的MAC配置;
所述UE重置所述UE与所述次基站之间所建立的所有RB的MAC配置;
所述UE停止所述UE与所述主基站之间的数据传输;
所述UE停止所述UE与所述次基站之间的数据传输。
结合第二方面的第十八种可能的实现方式,在第二方面的第十九种可能的实现方式中,所述UE按照Key Re-key执行与所述主基站之间的安全密钥更改,包括:
所述UE基于更新后的接入层管理实体ASME中间密钥更新与所述主基站之间的UE侧中间密钥;
所述UE根据更新后的与所述主基站对应的UE侧中间密钥和所述主基站的安全算法生成新的与所述主基站对应的安全密钥,所述新的与所述主基站对应的安全密钥包括:所述UE与所述主基站通信时使用的加密密钥和完整性保护密钥。
结合第二方面的第十九种可能的实现方式,在第二方面的第二十种可能的实现方式中,所述UE基于更新后的接入层管理实体ASME中间密钥更新与所述主基站之间的UE侧中间密钥之后,还包括:
所述UE根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息更新与所述次基站对应的UE侧中间密钥;
所述UE根据更新后的与所述次基站对应的UE侧中间密钥和所述次基站的安全算法生成新的与所述次基站对应的安全密钥,所述新的与所述次基站对应的安全密钥包括:所述UE与所述次基站通信时使用的加密密钥。
结合第二方面的第十八种可能的实现方式,在第二方面的第二十一种可能的实现方式中,所述UE根据所述密钥更改命令消息包含的指示信息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key,具体为:
所述UE根据所述密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定所述主基站与所述UE之间执行安全密钥更改的方式为KeyRe-key。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第二十二种可能的实现方式中,若所述密钥更改命令消息中包含的指示信息指示所述UE保持与所述第二基站之间的数据传输,所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述方法还包括如下步骤中的至少一个步骤:
所述UE保持所述UE与所述第二基站之间所建立的所有RB的PDCP配置,当所述第二基站为所述主基站时,所述第一基站为所述次基站,当所述第二基站为所述次基站时,所述第二基站为所述主基站;
所述UE保持所述UE与所述第二基站之间所建立的所有RB的RLC配置;
所述UE保持所述UE与所述第二基站之间所建立的所有RB的MAC配置;
所述UE保持所述UE与所述第二基站之间的已激活的SCell的激活状态;
所述UE保持所述UE与所述第二基站之间通信使用的C-RNTI;
所述UE保持所述UE与所述第二基站之间的数据传输。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第二十三种可能的实现方式中,若所述密钥更改命令消息携带指示所述UE暂停与所述第一基站之间的数据传输,所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述方法还包括如下步骤中的至少一个步骤:
所述UE保持所述UE与所述第一基站之间所建立的所有RB的PDCP配置;
所述UE保持所述UE与所述第一基站之间所建立的所有RB的RLC配置;
所述UE保持所述UE与所述第一基站之间所建立的所有RB的MAC配置;
所述UE保持所述UE与所述第一基站之间的已激活的SCell的激活状态;
所述UE保持所述UE与所述第一基站之间通信使用的C-RNTI;
所述UE暂停所述UE与所述第一基站之间的数据传输。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第二十四种可能的实现方式中,若所述密钥更改命令消息携带指示所述UE停止与所述第一基站之间的数据传输,所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述方法还包括如下步骤中的至少一个步骤:
所述UE重置所述UE与所述第一基站之间所建立的所有RB的PDCP配置;
所述UE重置所述UE与所述第一基站之间所建立的所有RB的RLC配置;
所述UE重置所述UE与所述第一基站之间所建立的所有RB的MAC配置;
所述UE停止所述UE与所述第一基站之间的数据传输。
第三方面,本发明实施例还提供一种基站,所述基站具体为主基站MeNB,包括:
密钥更改确定模块,用于确定第一基站与用户设备UE之间需要执行安全密钥更改,其中,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
消息发送模块,用于向所述UE发送密钥更改命令消息,以使所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改以及根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
消息接收模块,用于接收所述UE发送的密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
结合第三方面,在第三方面的第一种可能的实现方式中,若所述主基站确定出的所述第一基站包括所述次基站时,所述消息发送模块,还用于所述消息接收模块接收所述UE发送的密钥更改完成消息之后,向所述次基站转发所述密钥更改完成消息,以使所述次基站确定所述UE与所述次基站之间已经完成安全密钥更改。
结合第三方面,在第三方面的第二种可能的实现方式中,所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息。
结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,所述消息发送模块,具体用于向所述UE发送包含随机接入资源的信息的密钥更改命令消息,以使所述UE根据所述随机接入资源的信息与所述第一基站执行随机接入。
结合第三方面,在第三方面的第四种可能的实现方式中,所述密钥更改确定模块,包括:
命令接收子模块,用于接收移动管理实体MME发送的密钥指示命令,所述密钥指示命令用于指示所述主基站和所述UE之间执行Key Re-key,和/或指示所述次基站和所述UE之间执行Key Re-key;
密钥更改确定子模块,用于根据所述密钥指示命令确定出第一基站与所述UE之间执行Key Re-key。
结合第三方面的第四种可能的实现方式,在第三方面的第五种可能的实现方式中,若所述主基站确定所述第一基站与所述UE之间执行安全密钥更改的方式为Key Re-key,所述密钥更改命令消息中携带所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息。
结合第三方面,在第三方面的第六种可能的实现方式中,若所述主基站确定出的所述第一基站包括所述次基站时,所述消息发送模块,还用于所述密钥更改确定子模块根据所述密钥指示命令确定出第一基站与所述UE之间需要执行安全密钥更改之后,向所述次基站发送密钥更改指示消息,所述密钥更改指示消息用于指示所述次基站执行安全密钥更改,所述密钥更改指示消息包括:所述主基站根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息生成的次基站侧中间密钥,或,所述密钥更改指示消息包括:所述MME为所述次基站生成的次基站侧中间密钥。
结合第三方面,在第三方面的第七种可能的实现方式中,所述密钥更改确定模块,具体用于判断所述UE当前在主基站侧的分组数据汇聚协议计数PDCP Count在预置次数内是否发生反转,若所述UE当前在主基站侧的PDCP Count在预置次数发生反转,则确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为密钥刷新Key Refresh,其中,所述第一基站为所述主基站;和/或,当所述主基站接收到所述次基站发送的次基站侧的PDCP Count在预置次数发生反转的指示信息,或所述主基站接收到所述次基站发送的所述次基站需要执行Key Refresh的指示信息,或所述主基站接收到所述UE上报的当前次基站侧的PDCP Count在预置次数发生反转时,确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,其中,所述第一基站为所述次基站。
结合第三方面或第三方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能的实现方式,在第三方面的第八种可能的实现方式中,所述密钥更改命令消息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
结合第三方面的第八种可能的实现方式,在第三方面的第九种可能的实现方式中,所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;
所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
结合第三方面或第三方面的的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能的实现方式,在第三方面的第十种可能的实现方式中,所述密钥更改命令消息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
结合第三方面的第十种可能的实现方式,在第三方面的第十一种可能的实现方式中,所述第一安全密钥上下文信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;
所述第二安全密钥上下文信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
结合第三方面,在第三方面的第十二种可能的实现方式中,所述密钥更改命令消息中通过密钥改变指示Key Change Indicator字段的取值指示所述第一基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
结合第三方面,在第三方面的第十三种可能的实现方式中,所述密钥更改命令消息携带指示所述UE保持与所述第二基站之间的数据传输,或指示所述UE暂停与所述第一基站之间的数据传输,或指示所述UE停止与所述第一基站之间的数据传输的指示信息,当所述第二基站为所述主基站时,所述第一基站为所述次基站,当所述第二基站为所述次基站时,所述第二基站为所述主基站。
结合第三方面或第三方面的的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第三方面的第十四种可能的实现方式中,所述密钥更改命令消息具体为小区内切换HO命令消息。
第四方面,本发明实施例还提供一种用户设备UE,包括:
消息接收模块,用于接收主基站发送的密钥更改命令消息,所述密钥更改命令消息包括所述主基站命令所述UE与第一基站之间需要执行安全密钥更改的指示信息,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
密钥更改模块,用于根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改;
决策模块,用于根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
消息发送模块,用于向所述主基站发送密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
结合第二方面,在第二方面的第一种可能的实现方式中,所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息,所述决策模块,还用于所述消息接收模块接收主基站发送的密钥更改命令消息之后,根据所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息确定是否在所述第一基站执行随机接入。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,所述UE,还包括:随机接入模块,其中,
所述消息接收模块,具体用于接收主基站发送的包含随机接入资源的信息的密钥更改命令消息;
所述随机接入模块,用于根据所述随机接入资源的信息执行向所述第一基站的随机接入。
结合第二方面,在第二方面的第三种可能的实现方式中,若所述UE接收到的所述密钥更改命令消息中包含的指示信息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改,则所述密钥更改模块,还用于根据所述第一指示信息和/或所述第二指示信息确定出所述第一基站为以下三种情况中的一种:所述第一基站为所述主基站、所述第一基站为所述次基站、所述第一基站为所述主基站和所述次基站。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述密钥更改模块,具体用于根据所述第一指示信息按照Key Re-key或Key Refresh执行与所述主基站之间的安全密钥更改;
所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述密钥更改模块,具体用于根据所述第二指示信息按照Key Re-key或Key Refresh执行与所述次基站之间的安全密钥更改。
结合第二方面,在第二方面的第五种可能的实现方式中,所述UE接收到的所述密钥更改命令消息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改,则所述密钥更改模块,还用于根据所述第一安全密钥上下文信息和/或所述第二安全密钥上下文信息确定出所述第一基站为以下三种情况中的一种:所述第一基站为所述主基站、所述第一基站为所述次基站、所述第一基站为所述主基站和所述次基站。
结合第二方面的第五种可能的实现方式,在第二方面的第六种可能的实现方式中,所述第一安全密钥上下文信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述密钥更改模块,具体用于根据所述第一安全密钥上下文信息按照Key Re-key或Key Refresh执行与所述主基站之间的安全密钥更改;
所述第二安全密钥上下文信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述密钥更改模块,具体用于根据所述第二安全密钥上下文信息按照Key Re-key或Key Refresh执行与所述次基站之间的安全密钥更改。
结合第二方面,在第二方面的第七种可能的实现方式中,若所述密钥更改命令消息中包含的指示信息为密钥改变指示Key Change Indicator字段,所述密钥更改模块,具体用于通过所述Key Change Indicator字段的取值指示确定按照Key Re-key或KeyRefresh执行与所述第一基站之间的安全密钥更改。
结合第二方面,在第二方面的第八种可能的实现方式中,所述决策模块具体用于:
根据所述密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与所述主基站或次基站之间的接入层配置信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与所述主基站或所述次基站之间的接入层配置信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的密钥改变指示Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
根据所述密钥更改命令消息中包含的指示所述UE保持与所述主基站或次基站之间的数据传输的指示信息确定是否保持与所述主基站或所述次基站之间的接入层配置信息。
结合第二方面的第八种可能的实现方式,在第二方面的第九种可能的实现方式中,所述决策模块具体用于:
当根据所述Key Change Indicator字段确定需要执行Key Re-key时,确定不保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
当根据所述Key Change Indicator字段确定需要基于与所述主基站对应的UE侧中间密钥执行Key Refresh时,确定保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
当根据所述Key Change Indicator字段确定需要基于下一跳NH执行Key Refresh时,确定保持与所述主基站或所述次基站之间的接入层配置信息。
结合第二方面,在第二方面的第十种可能的实现方式中,所述决策模块具体用于:
根据所述密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与所述主基站或所述次基站之间的数据传输,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与所述主基站或所述次基站之间的数据传输,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的数据传输;
或者,
根据所述密钥更改命令消息中包含的指示所述UE保持与所述主基站或次基站之间的数据传输的指示信息确定是否保持与所述主基站或所述次基站之间的数据传输。
结合第二方面的第十种可能的实现方式,在第二方面的第十一种可能的实现方式中,所述决策模块具体用于:
当根据所述Key Change Indicator字段确定需要执行Key Re-key时,确定不保持与所述主基站以及次基站之间的数据传输;或者,
当根据所述Key Change Indicator字段确定需要基于与所述主基站对应的UE侧中间密钥执行Key Refresh时,确定保持与所述次基站之间的数据传输;
或者,
当根据所述Key Change Indicator字段确定需要基于NH执行Key Refresh时,确定保持与所述次基站之间的数据传输。
结合第二方面,在第二方面的第十二种可能的实现方式中,当所述UE根据所述密钥更改命令信息,确定需要保持与所述主基站之间的接入层配置信息,和/或,需要保持与所述主基站之间的数据传输时,所述决策模块,具体用于确定如下内容中的至少一项:
所述UE保持所述UE与所述主基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
所述UE保持所述UE与所述主基站之间所建立的所有RB的无线链路控制RLC配置;
所述UE保持所述UE与所述主基站之间所建立的所有RB的媒体接入控制MAC配置;
所述UE保持所述UE与所述主基站之间的已激活的次小区SCell的激活状态;
所述UE保持所述UE与所述主基站之间通信使用的小区无线网络临时标识符C-RNTI;
所述UE保持或暂停所述UE与所述主基站之间的数据传输。
结合第二方面,在第二方面的第十三种可能的实现方式中,当所述UE根据所述密钥更改命令信息,确定需要保持与所述次基站之间的接入层配置信息,和/或,需要保持与所述次基站之间的数据传输时,所述保持与所述次基站之间的接入层配置信息,和/或,保持与所述次基站之间的数据传输,所述决策模块,具体用于确定如下内容中的至少一项:
所述UE保持所述UE与所述次基站之间所建立的所有RB的PDCP配置;
所述UE保持所述UE与所述次基站之间所建立的所有RB的RLC配置;
所述UE保持所述UE与所述次基站之间所建立的所有RB的MAC配置;
所述UE保持所述UE与所述次基站之间的已激活的SCell的激活状态;
所述UE保持所述UE与所述次基站之间通信使用的C-RNTI;
所述UE保持或暂停所述UE与所述次基站之间的数据传输。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第十四种可能的实现方式中,所述密钥更改模块,具体用于当所述第一基站为所述主基站时,若所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为KeyRefresh,按照Key Refresh执行与所述主基站之间的安全密钥更改;
所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE,还包括如下模块中的至少一个模块:
PDCP保持模块,用于保持所述UE与所述次基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
RLC保持模块,用于保持所述UE与所述次基站之间所建立的所有RB的无线链路控制RLC配置;
MAC保持模块,用于保持所述UE与所述次基站之间所建立的所有RB的媒体接入控制MAC配置;
激活保持模块,用于保持所述UE与所述次基站之间的已激活的次小区SCell的激活状态;
C-RNTI保持模块,用于保持所述UE与所述次基站之间通信使用的小区无线网络临时标识符C-RNTI;
第一传输控制模块,用于保持或暂停所述UE与所述次基站之间的数据传输。
结合第二方面的第十四种可能的实现方式,在第二方面的第十五种可能的实现方式中,所述密钥更改模块,包括:
第一中间密钥更新子模块,用于基于密钥更改命令消息中指示的下一跳链接计数Next Hop Chaining Count的值,使用当前的与所述主基站对应的UE侧中间密钥或者下一跳NH更新与所述主基站对应的UE侧中间密钥;
第一密钥更改子模块,用于使用更新后的与所述主基站对应的UE侧中间密钥和所述主基站的安全算法生成新的与所述主基站对应的安全密钥,所述新的与所述主基站对应的安全密钥包括:所述UE与所述主基站通信时使用的加密密钥和完整性保护密钥。
结合第二方面的第十五种可能的实现方式,在第二方面的第十六种可能的实现方式中,所述决策模块,还用于根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之前,确定所述按照Key Refresh执行与所述主基站之间的安全密钥更改是基于当前的与所述主基站对应的UE侧中间密钥进行的。
结合第二方面的第十四种可能的实现方式,在第二方面的第十七种可能的实现方式中,所述密钥更改模块,具体用于根据所述密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Refresh。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第十八种可能的实现方式中,所述密钥更改模块,具体用于当所述第一基站为所述主基站时,若所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key,按照Key Re-key执行与所述主基站之间的安全密钥更改;
所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE,还包括如下模块中的至少一个模块:
PDCP重置模块,用于重置所述UE与所述主基站之间所建立的所有RB的PDCP配置;重置所述UE与所述次基站之间所建立的所有RB的PDCP配置;
RLC重置模块,用于重置所述UE与所述主基站之间所建立的所有RB的RLC配置;重置所述UE与所述次基站之间所建立的所有RB的RLC配置;
MAC重置模块,用于重置所述UE与所述主基站之间所建立的所有RB的MAC配置;重置所述UE与所述次基站之间所建立的所有RB的MAC配置;
第二传输控制模块,用于停止所述UE与所述主基站之间的数据传输;停止所述UE与所述次基站之间的数据传输。
结合第二方面的第十八种可能的实现方式,在第二方面的第十九种可能的实现方式中,所述密钥更改模块,包括:
第二中间密钥更新子模块,用于基于更新后的接入层管理实体ASME中间密钥更新与所述主基站之间的UE侧中间密钥;
第一密钥更改子模块,用于根据更新后的与所述主基站对应的UE侧中间密钥和所述主基站的安全算法生成新的与所述主基站对应的安全密钥,所述新的与所述主基站对应的安全密钥包括:所述UE与所述主基站通信时使用的加密密钥和完整性保护密钥。
结合第二方面的第十九种可能的实现方式,在第二方面的第二十种可能的实现方式中,所述密钥更改模块,还包括:
所述第三中间密钥更新子模块,还用于所述第二中间密钥更新子模块基于接入层管理实体ASME中间密钥更新与所述主基站对应的UE侧中间密钥之后,根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息更新与所述次基站对应的UE侧中间密钥;
第二密钥更改子模块,用于根据更新后的与所述次基站对应的UE侧中间密钥和所述次基站的安全算法生成新的与所述次基站对应的安全密钥,所述新的与所述次基站对应的安全密钥包括:所述UE与所述次基站通信时使用的加密密钥。
结合第二方面的第十八种可能的实现方式,在第二方面的第二十一种可能的实现方式中,所述密钥更改模块,具体用于根据所述密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第二十二种可能的实现方式中,若所述密钥更改命令消息携带指示所述UE保持与所述第二基站之间的数据传输,所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE,还包括如下模块中的至少一个模块:
PDCP保持模块,用于保持所述UE与所述第二基站之间所建立的所有RB的PDCP配置,当所述第二基站为所述主基站时,所述第一基站为所述次基站,当所述第二基站为所述次基站时,所述第二基站为所述主基站;
RLC保持模块,用于保持所述UE与所述第二基站之间所建立的所有RB的RLC配置;
MAC保持模块,用于保持所述UE与所述第二基站之间所建立的所有RB的MAC配置;
激活保持模块,用于保持所述UE与所述第二基站之间的已激活的SCell的激活状态;
C-RNTI保持模块,用于保持所述UE与所述第二基站之间通信使用的C-RNTI;
传输保持模块,用于保持所述UE与所述第二基站之间的数据传输。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第二十三种可能的实现方式中,若所述密钥更改命令消息携带指示所述UE暂停与所述第一基站之间的数据传输,所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE,还包括如下模块中的至少一个模块:
PDCP保持模块,用于保持所述UE与所述第一基站之间所建立的所有RB的PDCP配置;
RLC保持模块,用于保持所述UE与所述第一基站之间所建立的所有RB的RLC配置;
MAC保持模块,用于保持所述UE与所述第一基站之间所建立的所有RB的MAC配置;
激活保持模块,用于保持所述UE与所述第一基站之间的已激活的SCell的激活状态;
C-RNTI保持模块,用于保持所述UE与所述第一基站之间通信使用的C-RNTI;
传输暂停模块,用于暂停所述UE与所述第一基站之间的数据传输。
结合第二方面或第二方面的第一种可能或第二种可能或第三种可能或第四种可能或第五种可能或第六种可能或第七种可能或第八种可能或第九种可能或第十种可能或第十一种可能或第十二种可能或第十三种可能的实现方式,在第二方面的第二十四种可能的实现方式中,若所述密钥更改命令消息携带指示所述UE停止与所述第一基站之间的数据传输,所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE,还包括如下模块中的至少一个模块:
PDCP重置模块,用于重置所述UE与所述第一基站之间所建立的所有RB的PDCP配置;
RLC重置模块,用于重置所述UE与所述第一基站之间所建立的所有RB的RLC配置;
MAC重置模块,用于重置所述UE与所述第一基站之间所建立的所有RB的MAC配置;
传输停止模块,用于停止所述UE与所述第一基站之间的数据传输。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,主基站首先确定第一基站与UE之间需要执行安全密钥更改,其中,第一基站包括主基站和次基站两者之中的至少一个基站,主基站确定第一基站与UE之间需要执行安全密钥更改之后,主基站向UE发送密钥更改命令消息,则UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改以及根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输,当UE完成安全密钥更改之后,UE向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,并通过主基站可以使第一基站确定UE与第一基站之间已经完成安全密钥更改,进而第一基站和UE就可以使用新的安全密钥进行数据传输,故按照本发明实施例中可以在UE同时与MeNB和SeNB执行双连接通信时实现对安全密钥的更改。
附图说明
图1为本发明实施例提供的一种安全密钥更改方法的流程方框示意图;
图2为本发明实施例提供的另一种安全密钥更改方法的流程方法示意图;
图3-a所示,为本发明实施例中主基站、次基站、UE之间的一种交互流程示意图;
图3-b所示,为本发明实施例中主基站、次基站、UE之间的另一种交互流程示意图;
图3-c所示,为本发明实施例中主基站、次基站、UE之间的另一种交互流程示意图;
图3-d所示,为本发明实施例中主基站、次基站、UE之间的另一种交互流程示意图;
图3-e所示,为本发明实施例中主基站、次基站、UE之间的另一种交互流程示意图;
图4-a为本发明实施例提供的一种基站的组成结构示意图;
图4-b为本发明实施例提供的一种密钥更改确定模块的组成结构示意图;
图5-a为本发明实施例提供的一种UE的组成结构示意图;
图5-b为本发明实施例提供的另一种UE的组成结构示意图;
图5-c为本发明实施例提供的另一种UE的组成结构示意图;
图5-d为本发明实施例提供的一种密钥更改模块的组成结构示意图;
图5-e为本发明实施例提供的另一种UE的组成结构示意图;
图6为本发明实施例提供的另一种基站的组成结构示意图;
图7为本发明实施例提供的另一种UE的组成结构示意图。
具体实施方式
本发明实施例提供了一种安全密钥更改方法和基站及用户设备,用于实现UE同时与MeNB和SeNB执行双连接通信时的安全密钥更改。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本发明的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
以下分别进行详细说明。
本发明安全密钥更改方法的一个实施例,可应用于基站中,尤其适用于UE同时与两个以上的基站执行双连接通信时的主基站,该方法可包括如下步骤:主基站确定第一基站与用户设备UE之间需要执行安全密钥更改,其中,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;主基站向UE发送密钥更改命令消息,以使UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改以及根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输;主基站接收UE发送的密钥更改完成消息,以使第一基站确定UE与第一基站之间已经完成安全密钥更改。
请参阅图1所示,本发明一个实施例提供的安全密钥更改方法,可以包括如下步骤:
101、主基站确定第一基站与用户设备UE之间需要执行安全密钥更改。
其中,第一基站包括主基站和次基站两者之中的至少一个基站。
在本发明实施例中,在基站和UE之间在传输数据时,通常需要使用安全密钥,但是在一些情况下需要对安全密钥进行更改,同样的,当一个UE至少通过两个网络节点来进行通信时,也常常出现需要对执行双连接通信的UE使用的安全密钥进行更改的应用需要,例如一个UE同时使用MeNB和SeNB分别提供的无线资源进行通信时就需要对安全密钥进行更改,但是在UE执行双连接通信时两个网络节点之间是通过非理想(即存在一定的时延)的传输网进行相连,在UE与基站的数据传输应用场景中,在上述UE与MeNB和SeNB执行双连接通信时,如果不考虑双连接通信的特殊性,则至少存在如下问题:例如SeNB侧建立的RB的PDCP、RLC层需要重新建立,并且MAC也需要重新配置,从而导致UE与SeNB之间的数据传输需要中断;另外SeNB侧的SCell的状态将变更为去激活状态,在安全密钥更改完成后,需要对SeNB侧的SCell重新进行激活,导致不必要的数据传输延迟。另外主小区和次小区也具有很大的区别,例如主要区别在于,主小区为UE初始连接或切换时建立无线资源控制(RadioResource Control,RRC)连接的小区,主小区为UE提供安全和移动性管理相关的参数,也用于传输UE的用户面数据,而次小区则主要负责为UE传输用户面数据。这些对于双连接通信而言具有的诸多特点,使得UE执行双连接通信时如何对安全密钥进行更改仍需要本领域技术人员进行更深入的研究。
本发明实施例为了解决UE执行双连接通信时对安全密钥的更改问题,可以由主基站首先确定主基站与UE之间是否需要执行安全密钥更改以及SeNB与UE之间是否需要执行安全密钥更改,即主基站针对UE同时使用主基站和次基站分别提供的无线资源执行双连接通信时分别侦测主基站与UE之间的数据传输过程、次基站与UE之间的数据传输过程,从而主基站分别判断主基站与UE之间是否需要执行安全密钥更改、次基站与UE之间是否需要执行安全密钥更改。并且主基站可以判断主基站与UE之间执行安全密钥更改的方式,主基站还可以判断次基站与UE之间执行安全密钥更改的方式。
需要说明的是,在本发明实施例中,安全密钥更改的方式包括密钥再生产(英文称之为Key Re-key)和密钥刷新(英文称之为Key Refresh),Key Re-key和Key Refresh二者本质上都是为了进行安全密钥的更改。不同之处在于Key Re-key的实现过程是由移动管理实体(Mobility Management Entity,MME)发起的,并且MME会提供新的中间密钥(可用符号KeNB表示)用于进行安全密钥的改变过程。而Key Refresh则是由eNB发起的,一般是由于分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)计数(Count)的反转会触发进行Key Refresh,从而进行安全密钥的改变过程,接下来进行详细说明:
在本发明的一些实施例中,步骤101主基站确定第一基站与UE之间需要执行安全密钥更改,可以包括如下步骤:
A1、主基站接收MME发送的密钥指示命令,其中,密钥指示命令用于指示主基站和UE之间执行Key Re-key,和/或指示次基站和UE之间执行Key Re-key;
A2、主基站根据密钥指示命令确定出第一基站与UE之间执行Key Re-key。
也就是说,MME可以决定主基站和次基站中的哪个基站与UE之间需要执行安全密钥更改,并且MME还可以决定具体采用Key Re-key的方式与UE之间执行安全密钥更改,MME在确定哪个基站与UE执行安全密钥更改以及采用的方式后,MME向主基站发送密钥指示命令,主基站通过对该密钥指示命令的解析,就可以获取到MME对执行安全密钥更改的具体指示,本发明实施例中,将主基站判断出的结果用第一基站与UE执行安全密钥更改来描述,即执行步骤A2主基站确定第一基站与UE执行安全密钥更改并且确定采用的方式是Key Re-key。其中,第一基站表示的是主基站确定出的需要与UE执行安全密钥更改的基站,在本发明实施例中,对于第一基站的具体确定方式有三种:1、第一基站为主基站,2、第一基站为次基站,3、第一基站为主基站和次基站,即主基站可以通过密钥指示命令从这三种第一基站的实现中选择一种,例如,若MME通过密钥指示命令仅指示主基站和UE之间需要执行安全密钥更改并且采用的方式是Key Re-key,在这种情况下主基站就可以确定此时第一基站具体指的是主基站。
在本发明的另一些实施例中,若主基站确定出的第一基站包括次基站时,步骤101主基站确定第一基站与UE之间需要执行安全密钥更改之后,本发明实施例还可以包括如下步骤:
主基站向次基站发送密钥更改指示消息,密钥更改指示消息用于指示次基站执行安全密钥更改,密钥更改指示消息包括:主基站根据更新后的主基站侧中间密钥、次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息生成的次基站侧中间密钥,或,密钥更改指示消息包括:MME为次基站生成的次基站侧中间密钥。
其中,对于主基站确定出第一基站包括次基站,具体指的是第一基站为次基站,也可以指的是第一基站为主基站和次基站,即主基站确定出与UE之间需要执行安全密钥更改的基站包括有次基站时,主基站需要向次基站发送密钥更改指示消息,指示次基站执行安全密钥更改,并且主基站在密钥更改指示消息中携带如下信息:主基站根据更新后的主基站侧中间密钥、次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息生成的次基站侧中间密钥。或,密钥更改指示消息携带如下信息:MME为次基站生成的次基站侧中间密钥。也就是说,对于次基站与UE之间需要执行安全密钥更改时,次基站需要使用次基站侧中间密钥,该次基站侧中间密钥可以由主基站来决定,也可以由MME来决定,当次基站侧中间密钥由主基站来决定时,主基站根据更新后的主基站侧中间密钥、次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息就可以生成次基站侧中间密钥,当次基站侧中间密钥由MME来决定时,MME向主基站发送的密钥指示命令中就可以携带该次基站侧中间密钥,并且由主基站携带在密钥更改指示消息中发送给次基站。
具体的,在本发明的另一些实施例中,若主基站确定第一基站与UE之间执行安全密钥更改的方式为Key Re-key,则密钥更改命令消息中携带次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息。也就是说,若次基站侧中间密钥由主基站侧生成时,主基站向UE发送的密钥更改命令消息中还需要携带次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息,则UE通过主基站发送的密钥更改命令消息,UE可以获取到次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息,UE可以使用该小区信息以及更新后的主基站侧中间密钥生成次基站侧中间密钥。
前述内容中对于执行安全密钥更改的方式为Key Re-key进行了说明,接下来对执行安全密钥更改的方式为Key Refresh进行说明,请参阅如下描述,在本发明的一些实施例中,步骤101主基站确定第一基站与UE之间需要执行安全密钥更改,可以包括如下步骤:
B1、主基站判断UE当前在主基站侧的PDCP Count在预置次数内是否发生反转,若UE当前在主基站侧的PDCP Count在预置次数发生反转,则主基站确定第一基站与UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,其中,第一基站为主基站;
和/或,
B2、当主基站接收到次基站发送的次基站侧的PDCP Count在预置次数发生反转的指示信息,或主基站接收到次基站发送的次基站需要执行Key Refresh的指示信息,或主基站接收到UE上报的当前次基站侧的PDCP Count在预置次数发生反转时,主基站确定第一基站与UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,其中,第一基站为次基站。
也就是说,UE当前在主基站侧的PDCP Count在预置次数内是否发生反转,其中预置次数的多少可以由主基站自己决定,至于该次数的取值可以由主基站根据具体应用场景来设定,此处不做限定,另外UE当前在主基站侧的PDCP Count在预置次数内发生反转也可以简单描述为:UE当前在主基站侧的PDCP Count将要反转,UE当前在主基站侧的PDCPCount在预置次数内不发生反转也可以简单描述为:UE当前在主基站侧的PDCP Count将不反转。其中,步骤B1中主基站通过确定PDCP Count将要反转确定主基站与UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,在这种情况下第一基站就可以指的是主基站。
对于步骤B2,主基站在如下三种情况中的任一种情况产生时,主基站就可以确定次基站与UE之间需要执行安全密钥更改,并且确定更改的方式为Key Refresh,这三种情况分别是:1、次基站侧的PDCP Count在预置次数内发送反转,次基站向主基站发送次基站侧的PDCP Count在预置次数发生反转的指示信息,2、次基站需要执行Key Refresh,次基站向主基站发送次基站需要执行Key Refresh的指示信息,3、UE获知当前次基站侧的PDCPCount在预置次数发生反转,UE向主基站上报当前次基站侧的PDCP Count在预置次数发生反转。其中预置次数的多少可以由次基站自己决定,至于该时间段的取值可以由次基站根据具体应用场景来设定,此处不做限定,另外次基站侧的PDCP Count在预置次数内发送反转也可以简单描述为:次基站侧的PDCP Count将要反转。其中,步骤B2中主基站通过确定PDCP Count将要反转确定次基站与UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,在这种情况下第一基站就可以指的是次基站。另外,步骤B1和步骤B2之间是和/或关系,当步骤B1和步骤B2都实现时,主基站就可以确定出主基站和UE之间需要执行安全密钥更改,主基站还可以确定出次基站和UE之间需要执行安全密钥更改,并且主基站确定它们执行安全密钥更改的方式是Key Refresh。
102、主基站向UE发送密钥更改命令消息,以使UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改以及根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输。
在本发明实施例中,主基站通过步骤101就可以判定主基站和次基站中哪个基站与UE之间需要执行安全密钥更改,主基站记判断结果用第一基站与UE之间需要执行安全密钥更改,然后主基站向UE发送密钥更改命消息,以触发UE执行更改安全密钥,其中密钥更改命令消息中携带主基站和次基站中哪个基站的标识信息,并且密钥更改命令消息中还可以携带执行UE执行安全密钥更改的方式。
在本发明的一些实施例中,主基站向UE发送的密钥更改命令消息,包括:第一指示信息和第二指示信息,其中,
第一指示信息用于指示主基站与UE之间需要执行安全密钥更改;
第二指示信息用于指示次基站与UE之间需要执行安全密钥更改。
也就是说,主基站生成的密钥更改命令消息中分别携带第一指示信息和第二指示信息,分别通过两个指示信息来向UE指示是否执行安全密钥更改,其中,第一指示信息指示的是主基站,第二指示信息指示的是次基站,主基站具体可以在密钥更改命令消息中设置两个字段分别用来表示第一指示信息和第二指示信息的取值。例如,故当第一指示信息指示主基站和UE之间需要执行安全密钥更改、且第二指示信息指示次基站和UE之间需要执行安全密钥更改时,主基站可以确定第一基站指的是主基站和次基站,故UE通过第一指示信息和第二指示信息就可以获取UE与主基站和次基站之间都需要执行安全密钥更改。
进一步的,在本发明的另一些实施例中,第一指示信息中还包括:指示主基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;第二指示信息中还包括:指示次基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。也就是说,主基站在生成的密钥更改命令消息中分别携带第一指示信息和第二指示信息之后,还可以使用第一指示信息和第二指示信息进一步指示执行安全密钥更改的方式,第一指示信息指示的是主基站,第二指示信息指示的是次基站,主基站具体可以在密钥更改命令消息中设置两个字段分别用来表示第一指示信息和第二指示信息的取值,故当第一指示信息指示主基站和UE之间执行安全密钥更改的方式为Key Re-key、且第二指示信息指示次基站和UE之间执行安全密钥更改的方式为Key Refresh时,UE通过第一指示信息就可以获取UE与主基站之间执行安全密钥更改的方式为Key Re-key,UE通过第二指示信息就可以获取UE与次基站之间执行安全密钥更改的方式为Key Refresh。
在本发明的另一些实施例中,主基站向UE发送的密钥更改命令消息,包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,
第一安全密钥上下文信息用于指示主基站与UE之间需要执行安全密钥更改;
第二安全密钥上下文信息用于指示次基站与UE之间需要执行安全密钥更改。
也就是说,主基站生成的密钥更改命令消息中分别携带第一安全密钥上下文信息和第二安全密钥上下文信息,分别通过两个安全密钥上下文信息来向UE指示是否执行安全密钥更改,其中,第一安全密钥上下文信息指示的是主基站,第二安全密钥上下文信息指示的是次基站,主基站具体可以在密钥更改命令消息中设置两个字段分别用来表示第一安全密钥上下文信息和第二安全密钥上下文信息的取值,故当第一安全密钥上下文信息指示主基站和UE之间需要执行安全密钥更改、且第二安全密钥上下文信息指示次基站和UE之间需要执行安全密钥更改时,主基站可以确定第一基站指的是主基站和次基站,故UE通过第一安全密钥上下文信息和第二安全密钥上下文信息就可以获取UE与主基站和次基站之间都需要执行安全密钥更改。
进一步的,在本发明的另一些实施例中,第一安全密钥上下文信息中还包括:指示主基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;第二安全密钥上下文信息中还包括:指示次基站与UE之间执行安全密钥更改的方式为Key Re-key或KeyRefresh。也就是说,主基站在生成的密钥更改命令消息中分别携带第一安全密钥上下文信息和第二安全密钥上下文信息之后,还可以使用第一安全密钥上下文信息和第二安全密钥上下文信息进一步指示执行安全密钥更改的方式,第一安全密钥上下文信息指示的是主基站,第二安全密钥上下文信息指示的是次基站,主基站具体可以在密钥更改命令消息中设置两个字段分别用来表示第一安全密钥上下文信息和第二安全密钥上下文信息的取值,故当第一安全密钥上下文信息指示主基站和UE之间执行安全密钥更改的方式为Key Re-key、且第二安全密钥上下文信息指示次基站和UE之间执行安全密钥更改的方式为Key Refresh时,UE通过第一安全密钥上下文信息就可以获取UE与主基站之间执行安全密钥更改的方式为Key Re-key,UE通过第二安全密钥上下文信息就可以获取UE与次基站之间执行安全密钥更改的方式为Key Refresh。
在本发明的另一些实施例中,主基站向UE发送的密钥更改命令消息,还包括:密钥改变指示(Key Change Indicator),主基站可以通过Key Change Indicator字段的取值指示第一基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。例如,主基站可以将Key Change Indicator的取值置为真(True)表示需要第一基站与UE之间执行KeyRe-key,主基站可以将Key Change Indicator的取值置为假(False)表示需要第一基站与UE之间执行Key Refresh。
在本发明的另一些实施例中,主基站向UE发送的密钥更改命令消息,还包括:指示UE与第一基站或第二基站之间传输数据的指示信息,该指示信息的内容可以为以下三种情况中的任意一种:1、指示UE保持与第二基站之间的数据传输,2、指示UE暂停与第一基站之间的数据传输,3、指示UE停止与第一基站之间的数据传输,当第二基站为主基站时,第一基站为次基站,当第二基站为次基站时,第二基站为主基站。具体的,当上述指示信息的内容为第1、2种情况时,UE根据上述指示信息按照Key Refresh执行安全密钥的更改,当上述指示信息的内容为第3种情况时,UE根据上述指示信息按照Key Re-key执行安全密钥的更改。
需要说明的是,在本发明的一些实施例中,主基站向UE发送的密钥更改命令消息具体为小区内切换(Handover,HO)命令消息。也就是说,在本发明实施例中针对UE执行双连接通信时安全密钥的更改过程也可以通过小区内切换过程来完成的,其中,小区内切换过程指的是UE在执行切换的时候,源小区和目标小区是一个基站下的同一个小区,即切换前后主小区是相同的一个小区,并没有发生改变。
103、主基站接收UE发送的密钥更改完成消息,以使第一基站确定UE与第一基站之间已经完成安全密钥更改。
在本发明实施例中,UE接收到主基站发送的密钥更改命令消息之后,UE可以根据该密钥更改命令消息执行与第一基站之间的安全密钥更改,当UE完成与第一基站之间的安全密钥更改之后,UE向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,当主基站接收到UE发送的密钥更改完成消息之后,第一基站也可以通过主基站接收到的密钥更改完成消息确定UE与第一基站之间的安全密钥更改已经完成,第一基站可以使用新的安全密钥继续与UE之间进行数据传输,需要说明的是,根据前述内容的描述可知,第一基站可以指的是主基站,也可以指的是次基站,还可以指的是主基站和次基站,故需要指示与UE之间需要执行安全密钥更改的基站在得到UE反馈的安全密钥已经更改完成之后可以继续与UE之间进行数据传输,故主基站与UE执行安全密钥更改并不会影响到次基站与UE之间的数据传输,同样的,次基站与UE执行安全密钥更改并不会影响到主基站与UE之间的数据传输。
需要说明的是,在本发明的一些实施例中,若主基站确定出的第一基站包括次基站时,步骤103主基站接收UE发送的密钥更改完成消息之后,本发明实施例还可以包括如下步骤:
主基站向次基站转发密钥更改完成消息,以使次基站确定UE与次基站之间已经完成安全密钥更改。
也就是说,若UE执行的是与次基站之间的安全密钥更改,那么当主基站接收到UE反馈的与次基站之间的安全密钥更改完成之后,主基站可以向次基站转发密钥更改完成消息,则次基站通过该密钥更改完成消息确定UE与次基站之间已经完成安全密钥更改,从而次基站可以根据该密钥更改完成消息恢复UE与次基站的数据传输。
在本发明的一些实施例中,主基站向UE发送的密钥更改命令消息还可以携带指示UE是否在第一基站执行随机接入的指示信息。即主基站可以明确通知UE在哪个基站上执行随机接入,UE可以按照主基站的指示发起随机接入。进一步的,若密钥更改命令消息指示UE在第一基站执行随机接入,且第一基站包括主基站时,步骤101主基站向UE发送密钥更改命令消息,具体包括:
主基站向UE发送包含随机接入资源的信息的密钥更改命令消息,以使UE根据随机接入资源的信息与第一基站执行随机接入。
也就是说,若主基站指示UE在主基站上执行随机接入时,主基站可以给UE分配随机接入资源,并在密钥更改命令消息中携带随机接入资源的信息,当UE向主基站发送随机接入请求时,主基站向UE发送随机接入响应,以指示UE与主基站执行随机接入,从而完成整个随机接入过程。需要说明的是,若主基站指示UE在次基站上执行随机接入时也可以按照上述方法由UE和次基站来完成整个随机接入过程,当然主基站也可以指示UE分别在主基站、次基站上分别执行随机接入,则UE在主基站和次基站上分别执行随机接入时,两个随机接入过程还可以是并行的。另外,在UE也执行向次基站的随机接入时,次基站也可以通过判断UE执行随机接入过程成功来确定安全密钥改变完成,因此这种情况下,主基站也可以不向次基站发送密钥改变完成消息。
通过以上内容对本发明实施例的描述可知,主基站确定第一基站与UE之间需要执行安全密钥更改,其中,第一基站包括主基站和次基站两者之中的至少一个基站,若主基站确定第一基站与UE之间需要执行安全密钥更改,主基站向UE发送密钥更改命令消息,则UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改以及根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输,当UE完成安全密钥更改之后,UE向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,并通过主基站可以使第一基站确定UE与第一基站之间已经完成安全密钥更改,进而第一基站和UE就可以使用新的安全密钥进行数据传输,故按照本发明实施例中可以在UE同时与MeNB和SeNB执行双连接通信时实现对安全密钥的更改。
上述实施例从主基站一侧对本发明实施例提供的安全密钥更改方法进行了说明,接下来从用户设备一侧对本发明实施例提供的安全密钥更改方法进行详细说明,本发明安全密钥更改方法的另一个实施例,可应用于用户设备中,尤其适用于同时与两个以上的基站执行双连接通信时的UE,该方法可包括如下步骤:UE接收主基站发送的密钥更改命令消息,其中,密钥更改命令消息包括主基站命令UE与第一基站之间需要执行安全密钥更改的指示信息,第一基站包括主基站和次基站两者之中的至少一个基站;UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改;UE根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输;UE向主基站发送密钥更改完成消息,以使第一基站确定UE与第一基站之间已经完成安全密钥更改。
请参阅图2所示,本发明另一个实施例提供的安全密钥更改方法,可以包括如下步骤:
201、UE接收主基站发送的密钥更改命令消息。
其中,密钥更改命令消息包括主基站命令UE与第一基站之间需要执行安全密钥更改的指示信息,第一基站包括主基站和次基站两者之中的至少一个基站。
在本发明实施例中,在基站和UE之间在传输数据时,通常需要使用安全密钥,但是在一些情况下需要对安全密钥进行更改,同样的,当一个UE至少通过两个网络节点来进行通信时,也常常出现需要对执行双连接通信的UE使用的安全密钥进行更改的应用需要,本发明实施例为了解决UE执行双连接通信时对安全密钥的更改问题,可以由主基站首先判断主基站与UE之间需要执行安全密钥更改以及次基站与UE之间需要执行安全密钥更改,即主基站针对UE同时使用主基站和次基站分别提供的无线资源执行双连接通信时分别侦测主基站与UE之间的数据传输过程、次基站与UE之间的数据传输过程,从而主基站分别判断主基站与UE之间是否需要执行安全密钥更改、次基站与UE之间是否需要执行安全密钥更改。并且主基站可以判断主基站与UE之间执行安全密钥更改的方式,主基站还可以判断次基站与UE之间执行安全密钥更改的方式。
主基站在判定出主基站与UE之间需要执行安全密钥更改、和/或次基站与UE之间需要执行安全密钥更改之后,主基站可以向UE发送密钥更改命令消息,以指示UE与第一基站之间需要执行安全密钥更改,其中,第一基站表示的是主基站确定出的需要与UE执行安全密钥更改的基站,在本发明实施例中,对于第一基站的具体确定方式有三种:1、第一基站为主基站,2、第一基站为次基站,3、第一基站为主基站和次基站,即主基站可以通过密钥指示命令从这三种第一基站的实现中选择一种,例如,若MME通过密钥指示命令仅指示主基站和UE之间需要执行安全密钥更改并且采用的方式是Key Re-key,在这种情况下主基站就可以确定此时第一基站具体指的是主基站,主基站在向UE发送的密钥更改命令消息中携带该主基站的标识,UE就可以根据密钥更改命令消息获知UE与主基站之间需要执行安全密钥更改。
需要说明的是,主基站在密钥更改命令消息中还可以进一步的携带指示UE执行安全密钥更改的方式,具体的,主基站指示UE执行安全密钥更改的方式包括Key Re-key和KeyRefresh,Key Re-key和Key Refresh二者本质上都是为了进行安全密钥的更改。UE通过主基站发送的密钥更改命令消息可以获知执行安全密钥更改的方式,接下来进行详细说明:
在本发明的一些实施例中,若UE接收到的密钥更改命令消息中包含的指示信息包括:第一指示信息和第二指示信息,其中,第一指示信息用于指示主基站与UE之间需要执行安全密钥更改,第二指示信息用于指示次基站与UE之间需要执行安全密钥更改,则UE根据第一指示信息和/或第二指示信息确定出第一基站为以下三种情况中的一种:第一基站为主基站、第一基站为次基站、第一基站为主基站和次基站。
也就是说,主基站生成的密钥更改命令消息中分别携带第一指示信息和第二指示信息,分别通过两个指示信息来向UE指示是否执行安全密钥更改,其中,第一指示信息指示的是主基站,第二指示信息指示的是次基站,例如,当第一指示信息指示主基站和UE之间需要执行安全密钥更改、且第二指示信息指示次基站和UE之间需要执行安全密钥更改时,UE可以确定第一基站指的是主基站和次基站,故UE通过第一指示信息和第二指示信息就可以获取UE与主基站和次基站之间都需要执行安全密钥更改。
进一步的,在本发明的另一些实施例中,第一指示信息中还包括:指示主基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;第二指示信息中还包括:指示次基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,也就是说,主基站在生成的密钥更改命令消息中分别携带第一指示信息和第二指示信息之后,还可以使用第一指示信息和第二指示信息进一步指示执行安全密钥更改的方式,第一指示信息指示的是主基站,第二指示信息指示的是次基站,主基站具体可以在密钥更改命令消息中设置两个字段分别用来表示第一指示信息和第二指示信息的取值,故当第一指示信息指示主基站和UE之间执行安全密钥更改的方式为Key Re-key、且第二指示信息指示次基站和UE之间执行安全密钥更改的方式为Key Refresh时,UE通过第一指示信息就可以获取UE与主基站之间执行安全密钥更改的方式为Key Re-key,UE通过第二指示信息就可以获取UE与次基站之间执行安全密钥更改的方式为Key Refresh。
在本发明的另一些实施例中,若UE接收到的密钥更改命令消息中包含的指示信息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,第一安全密钥上下文信息用于指示主基站与UE之间需要执行安全密钥更改,第二安全密钥上下文信息用于指示次基站与UE之间需要执行安全密钥更改,则UE根据第一安全密钥上下文信息和/或第二安全密钥上下文信息确定出第一基站为以下三种情况中的一种:第一基站为主基站、第一基站为次基站、第一基站为主基站和次基站。
也就是说,主基站生成的密钥更改命令消息中分别携带第一安全密钥上下文信息和第二安全密钥上下文信息,分别通过两个安全密钥上下文信息来向UE指示是否执行安全密钥更改,其中,第一安全密钥上下文信息指示的是主基站,第二安全密钥上下文信息指示的是次基站,例如,当第一安全密钥上下文信息指示主基站和UE之间需要执行安全密钥更改、且第二安全密钥上下文信息指示次基站和UE之间需要执行安全密钥更改时,UE可以确定第一基站指的是主基站和次基站,故UE通过第一安全密钥上下文信息和第二安全密钥上下文信息就可以获取UE与主基站和次基站之间都需要执行安全密钥更改。
进一步的,在本发明的另一些实施例中,第一安全密钥上下文信息中还包括:指示主基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;第二安全密钥上下文信息中还包括:指示次基站与UE之间执行安全密钥更改的方式为Key Re-key或KeyRefresh,也就是说,主基站在生成的密钥更改命令消息中分别携带第一安全密钥上下文信息和第二安全密钥上下文信息之后,还可以使用第一安全密钥上下文信息和第二安全密钥上下文信息进一步指示执行安全密钥更改的方式,第一安全密钥上下文信息指示的是主基站,第二安全密钥上下文信息指示的是次基站,主基站具体可以在密钥更改命令消息中设置两个字段分别用来表示第一安全密钥上下文信息和第二安全密钥上下文信息的取值,故当第一安全密钥上下文信息指示主基站和UE之间执行安全密钥更改的方式为Key Re-key、且第二安全密钥上下文信息指示次基站和UE之间执行安全密钥更改的方式为Key Refresh时,UE通过第一安全密钥上下文信息就可以获取UE与主基站之间执行安全密钥更改的方式为Key Re-key,UE通过第二安全密钥上下文信息就可以获取UE与次基站之间执行安全密钥更改的方式为Key Refresh。
在本发明的另一些实施例中,若密钥更改命令消息中包含的指示信息为密钥改变指示Key Change Indicator字段,UE根据密钥更改命令消息包含的指示信息为Key ChangeIndicator字段的取值获知UE与第一基站之间执行安全密钥更改的方式,例如,主基站可以将Key Change Indicator的取值置为True表示需要第一基站与UE之间执行Key Re-key,则UE通过Key Change Indicator的取值置为True获知执行的是Key Re-key。主基站可以将Key Change Indicator的取值置为False表示需要第一基站与UE之间执行Key Refresh,则UE通过Key Change Indicator的取值置为False获知执行的是Key Refresh。
在本发明的一些实施例中,主基站向UE发送的密钥更改命令消息还可以携带指示UE是否在第一基站执行随机接入的指示信息,步骤201UE接收主基站发送的密钥更改命令消息之后,本发明实施例还可以包括如下步骤:
UE根据密钥更改命令消息携带指示UE是否在第一基站执行随机接入的指示信息确定是否在第一基站执行随机接入。
也就是说,主基站可以明确通知UE在哪个基站上执行随机接入,UE可以按照主基站的指示确定是否要发起随机接入以及在哪个基站上发起随机接入。若密钥更改命令消息指示UE在第一基站执行随机接入时,步骤201UE接收主基站发送的密钥更改命令消息,包括:
UE接收主基站发送的包含随机接入资源的信息的密钥更改命令消息,并根据随机接入资源的信息执行向第一基站的随机接入。
也就是说,若主基站指示UE在主基站上执行随机接入时,主基站可以给UE分配随机接入资源,并在密钥更改命令消息中携带随机接入资源的信息,当UE向主基站发送随机接入请求时,主基站向UE发送随机接入响应,以指示UE与主基站执行随机接入,从而完成整个随机接入过程。需要说明的是,若主基站指示UE在次基站上执行随机接入时也可以按照上述方法由UE和次基站来完成整个随机接入过程,当然主基站也可以指示UE分别在主基站、次基站上分别执行随机接入,则UE在主基站和次基站上分别执行随机接入时,两个随机接入过程还可以是并行的。
202、UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改。
在本发明实施例中,UE接收到主基站发送的密钥更改命令消息之后,UE根据主基站的指示执行与第一基站之间的安全密钥更改,具体的,若第一基站为主基站,则UE需要执行与主基站之间的安全密钥更改,若第一基站为次基站,则UE需要执行与次基站之间的安全密钥更改,若第一基站为主基站和次基站,则UE需要分别执行与主基站之间的安全密钥更改、与次基站之间的安全密钥更改。
在本发明的一些实施例中,若UE接收到的密钥更改命令消息中包括有第一指示信息和第二指示信息,并且主基站通过第一指示信息向UE指示主基站与UE之间需要执行安全密钥更改,若主基站在第一指示信息中还包括:指示主基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh时,步骤202UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改,具体为:UE根据第一指示信息按照Key Re-key或Key Refresh执行与主基站之间的安全密钥更改。也就是说,若主基站在第一指示信息中向UE指示采用Key Re-key,则UE需要根据第一指示信息按照Key Re-key执行与主基站之间的安全密钥更改,若主基站在第一指示信息中向UE指示采用Key Refresh,则UE需要根据第一指示信息按照KeyRefresh执行与主基站之间的安全密钥更改。
另外,在本发明的一些实施例中,若UE接收到的密钥更改命令消息中包括有第一指示信息和第二指示信息,并且主基站通过第二指示信息向UE指示次基站与UE之间需要执行安全密钥更改,若主基站在第二指示信息中还包括:指示次基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh时,步骤202UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改,具体为:UE根据第一指示信息按照Key Re-key或Key Refresh执行与次基站之间的安全密钥更改。也就是说,若主基站在第一指示信息中向UE指示采用KeyRe-key,则UE需要根据第一指示信息按照Key Re-key执行与次基站之间的安全密钥更改,若主基站在第一指示信息中向UE指示采用Key Refresh,则UE需要根据第一指示信息按照Key Refresh执行与次基站之间的安全密钥更改。
在本发明的一些实施例中,若UE接收到的密钥更改命令消息中包括有第一安全密钥上下文信息和第二安全密钥上下文信息,并且主基站通过第一安全密钥上下文信息向UE指示主基站与UE之间需要执行安全密钥更改,若主基站在第一安全密钥上下文信息中还包括:指示主基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh时,步骤202UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改,具体为:UE根据第一安全密钥上下文信息按照Key Re-key或Key Refresh执行与主基站之间的安全密钥更改。也就是说,若主基站在第一安全密钥上下文信息中向UE指示采用Key Re-key,则UE需要根据第一安全密钥上下文信息按照Key Re-key执行与主基站之间的安全密钥更改,若主基站在第一安全密钥上下文信息中向UE指示采用Key Refresh,则UE需要根据第一安全密钥上下文信息按照Key Refresh执行与主基站之间的安全密钥更改。
另外,在本发明的一些实施例中,若UE接收到的密钥更改命令消息中包括有第一安全密钥上下文信息和第二安全密钥上下文信息,并且主基站通过第二安全密钥上下文信息向UE指示次基站与UE之间需要执行安全密钥更改,若主基站在第二安全密钥上下文信息中还包括:指示次基站与UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh时,步骤202UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改,具体为:UE根据第二安全密钥上下文信息按照Key Re-key或Key Refresh执行与次基站之间的安全密钥更改。也就是说,若主基站在第二安全密钥上下文信息中向UE指示采用Key Re-key,则UE需要根据第二安全密钥上下文信息按照Key Re-key执行与次基站之间的安全密钥更改,若主基站在第二安全密钥上下文信息中向UE指示采用Key Refresh,则UE需要根据第二安全密钥上下文信息按照Key Refresh执行与次基站之间的安全密钥更改。
在本发明的一些实施例中,若UE接收到的密钥更改命令消息中包含的指示信息为密钥改变指示Key Change Indicator字段,步骤202UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改,具体为:UE通过Key Change Indicator字段的取值指示确定按照Key Re-key或Key Refresh执行与第一基站之间的安全密钥更改。例如,若主基站在密钥更改命令消息中Key Change Indicator字段的取值为True,则UE按照Key Re-key执行与第一基站之间的安全密钥更改,若主基站在密钥更改命令消息中Key Change Indicator字段的取值为False,则UE按照Key Refresh执行与第一基站之间的安全密钥更改。
203、UE根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输。
在本发明实施例中,UE通过密钥更改命令消息可以获知哪个基站与UE之间需要执行安全密钥更改,进一步的可以获取执行安全密钥更改的方式是Key Re-key或者KeyRefresh。故UE可以确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输。具体的,步骤203可以包括如下三种实现方式:1、UE确定是否保持与主基站或次基站之间的接入层配置信息;2、UE确定是否保持与主基站或次基站之间的数据传输;3、UE确定是否保持与主基站或次基站之间的接入层配置信息以及是否保持与主基站或次基站之间的数据传输。对于上述的第1种情况,包括两种实现方式:第一种是UE确定保持与主基站或次基站之间的接入层配置信息,第二种是UE确定重置与主基站或次基站之间的接入层配置信息。并且对于UE保持与主基站或次基站之间的接入层配置信息具体可以有两种实现方式:第一种是UE保持与主基站之间的接入层配置信息,第二种是UE保持与次基站之间的接入层配置信息。对于上述的第2种情况,包括两种实现方式:第一种是UE确定保持与主基站或次基站之间的数据传输,第二种是UE确定暂停或停止与主基站或次基站之间的数据传输。并且对于UE保持与主基站或次基站之间的数据传输具体可以有两种实现方式:第一种是UE保持与主基站之间的数据传输,第二种是UE保持与次基站之间的数据传输。对于UE暂停或停止与主基站或次基站之间的数据传输可以有四种实现方式:第一种是UE暂停与主基站之间的数据传输,第二种是UE暂停与次基站之间的数据传输,第三种是UE停止与主基站之间的数据传输,第四种是UE停止与次基站之间的数据传输。
需要说明的是,在本发明的一些实施例中,步骤203的第1种实现方式:UE根据密钥更改命令信息,确定是否保持与主基站或次基站之间的接入层配置信息,包括如下步骤:
UE根据密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与主基站或次基站之间的接入层配置信息,其中,第一指示信息用于指示主基站与UE之间需要执行安全密钥更改,第二指示信息用于指示次基站与UE之间需要执行安全密钥更改;
或者,
UE根据密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与主基站或次基站之间的接入层配置信息,其中,第一安全密钥上下文信息用于指示主基站与UE之间需要执行安全密钥更改,第二安全密钥上下文信息用于指示次基站与UE之间需要执行安全密钥更改;
或者,
UE根据密钥更改命令消息中包含的密钥改变指示Key Change Indicator字段确定是否保持与主基站或次基站之间的接入层配置信息;
或者;
UE根据密钥更改命令消息中包含的指示UE保持与主基站或次基站之间的数据传输的指示信息确定是否保持与主基站或次基站之间的接入层配置信息。
其中,如上实施例给出了UE确定是否保持与主基站或次基站之间的接入层配置信息的几种实现方式,基于本发明实施例提供的实现方式的启示还可以有其它的实现方式,此处只是举例说明。
具体的,UE根据密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与主基站或次基站之间的接入层配置信息,包括:
当根据Key Change Indicator字段确定需要执行Key Re-key时,确定不保持与主基站或次基站之间的接入层配置信息;
或者,
当根据Key Change Indicator字段确定需要基于与主基站对应的UE侧中间密钥执行Key Refresh时,确定保持与主基站或次基站之间的接入层配置信息;
或者,
当根据Key Change Indicator字段确定需要基于下一跳NH执行Key Refresh时,确定保持与主基站或次基站之间的接入层配置信息。
需要说明的是,在本发明的一些实施例中,步骤203的第2种实现方式:
UE根据密钥更改命令信息,确定是否保持与主基站或次基站之间的数据传输,包括:
UE根据密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与主基站或次基站之间的数据传输,其中,第一指示信息用于指示主基站与UE之间需要执行安全密钥更改,第二指示信息用于指示次基站与UE之间需要执行安全密钥更改;
或者,
UE根据密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与主基站或次基站之间的数据传输,其中,第一安全密钥上下文信息用于指示主基站与UE之间需要执行安全密钥更改,第二安全密钥上下文信息用于指示次基站与UE之间需要执行安全密钥更改;
或者,
UE根据密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与主基站或次基站之间的数据传输;
或者,
UE根据密钥更改命令消息中包含的指示UE保持与主基站或次基站之间的数据传输的指示信息确定是否保持与主基站或次基站之间的数据传输。
其中,如上实施例给出了UE确定是否保持与主基站或次基站之间的数据传输的几种实现方式,基于本发明实施例提供的实现方式的启示还可以有其它的实现方式,此处只是举例说明。
具体的,UE根据密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与主基站或次基站之间的数据传输,包括:
当根据Key Change Indicator字段确定需要执行Key Re-key时,确定不保持与主基站以及次基站之间的数据传输;或者,
当根据Key Change Indicator字段确定需要基于与主基站对应的UE侧中间密钥执行Key Refresh时,确定保持与次基站之间的数据传输;
或者,
当根据Key Change Indicator字段确定需要基于NH执行Key Refresh时,确定保持与次基站之间的数据传输。
在本发明的一些实施例中,当UE根据密钥更改命令信息,确定需要保持与主基站之间的接入层配置信息,和/或,需要保持与主基站之间的数据传输时,保持与主基站之间的接入层配置信息,和/或,保持与主基站之间的数据传输,具体可以包括如下步骤中的至少一个步骤:
UE保持UE与主基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
UE保持UE与主基站之间所建立的所有RB的无线链路控制RLC配置;
UE保持UE与主基站之间所建立的所有RB的媒体接入控制MAC配置;
UE保持UE与主基站之间的已激活的次小区SCell的激活状态;
UE保持UE与主基站之间通信使用的小区无线网络临时标识符C-RNTI;
UE保持或暂停UE与主基站之间的数据传输。
在本发明的一些实施例中,当UE根据密钥更改命令信息,确定需要保持与次基站之间的接入层配置信息,和/或,需要保持与次基站之间的数据传输时,保持与次基站之间的接入层配置信息,和/或,保持与次基站之间的数据传输,具体可以包括如下步骤中的至少一个步骤:
UE保持UE与次基站之间所建立的所有RB的PDCP配置;
UE保持UE与次基站之间所建立的所有RB的RLC配置;
UE保持UE与次基站之间所建立的所有RB的MAC配置;
UE保持UE与次基站之间的已激活的SCell的激活状态;
UE保持UE与次基站之间通信使用的C-RNTI;
UE保持或暂停UE与次基站之间的数据传输。
在本发明实施例的一些实施例中,若密钥更改命令消息指示主基站与UE之间需要执行安全密钥更改,则UE可以确定重置主基站与UE之间的接入层配置信息,且UE可以确定暂停或停止主基站与UE之间的数据传输,若密钥更改命令消息指示次基站与UE之间需要执行安全密钥更改,则UE可以确定重置次基站与UE之间的接入层配置信息,且UE可以确定暂停或停止次基站与UE之间的数据传输。需要说明的是,在本发明实施例中当UE确定了是否保持与主基站或次基站之间的接入层配置信息,和/或是否保持与主基站或次基站之间的数据传输之后,UE可以按照确定出来的结果来对UE与主基站或次基站之间的接入层配置信息进行处理,也可以按照确定出来的结果对UE与主基站或次之间的数据传输进行控制,接下来分别进行举例说明。
在本发明的一些实施例中,步骤202UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改,包括如下步骤:
C1、当第一基站为主基站时,若UE根据密钥更改命令消息确定主基站与UE之间执行安全密钥更改的方式为Key Refresh,UE按照Key Refresh执行与主基站之间的安全密钥更改。
也就是说,若UE根据密钥更改命令消息确定主基站指示UE与主基站之间需要执行安全密钥更改,并且安全密钥更改的方式为Key Refresh,则UE可以按照Key Refresh执行与主基站之间的安全密钥更改。
具体的,步骤C1中UE根据所述密钥更改命令消息确定主基站与UE之间执行安全密钥更改的方式为Key Refresh,具体为:
UE根据密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定主基站与UE之间执行安全密钥更改的方式为Key Refresh。
也就是说,主基站可以使用密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息来指示主基站与UE之间执行安全密钥更改的方式为Key Refresh,故UE接收到密钥更改命令消息之后,通过第一指示信息或第一安全密钥上下文信息就可以获知主基站与UE之间执行安全密钥更改的方式为Key Refresh,另外,在本发明的一些实施例中,密钥更改命令消息具体可以为小区内切换命令消息,在这种情况下也使用小区内切换命令消息中携带的安全上下文来指示主基站与UE之间执行安全密钥更改的方式为KeyRefresh。
需要说明的是,在本发明的另一些实施例中,在步骤203UE根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输之后,本发明实施例提供的安全密钥更改方法还包括如下步骤中的至少一个步骤:
C2、UE保持UE与次基站之间所建立的所有(Radio Bearer,RB)的PDCP配置;
C3、UE保持UE与次基站之间所建立的所有RB的无线链路控制(Radio LinkControl,RLC)配置;
C4、UE保持UE与次基站之间所建立的所有RB的媒体接入控制(Medium AccessControl,MAC)配置;
C5、UE保持UE与次基站之间的已激活的SCell的激活状态;
C6、UE保持UE与次基站之间通信使用的小区无线网络临时标识符(Cell-RadioNetwork Temporary Identity,C-RNTI);
C7、UE保持或暂停UE与次基站之间的数据传输。
其中,步骤C1中UE按照Key Refresh执行与主基站之间的安全密钥更改,说明UE与主基站之间需要执行安全密钥更改,在这种情况下,步骤C2至步骤C7中的至少一个步骤在执行时可以根据具体需要来决定执行其中的一个步骤或者多个步骤,通过保持UE与次基站之间的接入层配置信息,并且在UE保持UE与次基站之间的数据传输时,可以避免UE与主基站之间的安全密钥更改导致RB的接入层配置信息都需要重置,可以保证UE与次基站之间的RB的正常数据传输,以避免UE与主基站之间执行安全密钥更改导致UE与次基站之间不必要的数据传输中断,从而减少不必要的数据传输延迟。需要说明的是,上述步骤中描述的UE保持UE与次基站之间所建立的所有RB的PDCP配置指的是UE对该PDCP配置的配置信息维持当前的配置,另外保持RLC配置、MAC配置的含义相类似,保持UE与次基站之间的已激活的SCell的激活状态指的是已经激活的SCell的激活状态仍然维持激活状态,保持UE与次基站之间通信使用的C-RNTI指的是UE仍然使用当前的C-RNTI值。
进一步的,步骤C1UE按照Key Refresh执行与主基站之间的安全密钥更改,具体可以包括如下步骤:
C11、UE基于密钥更改命令消息中指示的下一跳链接计数(英文称之为Next HopChaining Count)的值,使用当前的与主基站对应的UE侧中间密钥或者下一跳(Next Hop,NH)更新与主基站对应的UE侧中间密钥;
C12、UE使用更新后的与主基站对应的UE侧中间密钥和主基站的安全算法生成新的与主基站对应的安全密钥,新的与主基站对应的安全密钥包括:UE与主基站通信时使用的加密密钥和完整性保护密钥。
其中,UE在生成与主基站对应的安全密钥时,先对主基站对应的UE侧中间密钥进行更新,然后使用更新的与主基站对应的UE侧中间密钥、主基站的安全算法生成新的与主基站对应的安全密钥。
具体的,在步骤203UE根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输之前,本发明实施例还可以包括如下步骤括:
UE确定按照Key Refresh执行与主基站之间的安全密钥更改是基于当前的与主基站对应的UE侧中间密钥进行的。
也就是说,UE在执行与主基站之间的安全密钥更改时若确定基于当前的与主基站对应的UE侧中间密钥,则步骤C11中就可以使用当前的与主基站对应的UE侧中间密钥更新与主基站对应的UE侧中间密钥,从而得到更新后的与主基站对应的UE侧中间密钥。
在本发明的一些实施例中,步骤202UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改,包括如下步骤:
D1、当第一基站为主基站时,若UE根据密钥更改命令消息确定主基站与UE之间执行安全密钥更改的方式为Key Re-key,UE按照Key Re-key执行与主基站之间的安全密钥更改。
也就是说,若UE根据密钥更改命令消息确定主基站指示UE与主基站之间需要执行安全密钥更改,并且安全密钥更改的方式为Key Re-key,则UE可以按照Key Re-key执行与主基站之间的安全密钥更改。
需要说明的是,在本发明的另一些实施例中,在步骤203UE根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输之后,本发明实施例提供的安全密钥更改方法还包括如下步骤中的至少一个步骤:
D2、UE重置UE与主基站之间所建立的所有RB的PDCP配置;
D3、UE重置UE与次基站之间所建立的所有RB的PDCP配置;
D4、UE重置UE与主基站之间所建立的所有RB的RLC配置;
D5、UE重置UE与次基站之间所建立的所有RB的RLC配置;
D6、UE重置UE与主基站之间所建立的所有RB的MAC配置;
D7、UE重置UE与次基站之间所建立的所有RB的MAC配置;
D8、UE停止UE与主基站之间的数据传输;
D9、UE停止UE与次基站之间的数据传输。
其中,步骤D1中UE按照Key Re-key执行与主基站之间的安全密钥更改,说明UE与主基站之间需要执行安全密钥更改,在这种情况下,步骤D2至步骤D9中的至少一个步骤在执行时可以根据具体需要来决定执行其中的一个步骤或者多个步骤,通过重置UE与主基站、次基站之间的接入层配置信息,并且在UE停止UE与主基站、次基站之间的数据传输时,可以避免UE与主基站、次基站之间的数据传输失败。需要说明的是,上述步骤中描述的UE重置PDCP配置指的是UE对该PDCP配置的配置信息进行重新配置,另外重置RLC配置、MAC配置的含义相类似。
进一步的,步骤D1UE按照Key Re-key执行与主基站之间的安全密钥更改,具体可以包括如下步骤:
D11、UE基于更新后的接入层管理实体(Access Stratum Management Entity,ASME)中间密钥更新与主基站之间的UE侧中间密钥;
D12、UE根据更新后的与主基站对应的UE侧中间密钥和主基站的安全算法生成新的与主基站对应的安全密钥,新的与主基站对应的安全密钥包括:UE与主基站通信时使用的加密密钥和完整性保护密钥。
其中,UE在生成与主基站对应的安全密钥时,先对主基站对应的UE侧中间密钥进行更新,然后使用更新的与主基站对应的UE侧中间密钥、主基站的安全算法生成新的与主基站对应的安全密钥。
进一步的,在本发明的一些实施例中,步骤D11UE基于更新后的接入层管理实体ASME中间密钥更新与主基站之间的UE侧中间密钥之后,本发明实施例提供的安全密钥更改方法还可以包括如下步骤:
E1、UE根据更新后的主基站侧中间密钥、次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息更新与次基站对应的UE侧中间密钥;
E2、UE根据更新后的与次基站对应的UE侧中间密钥和次基站的安全算法生成新的与次基站对应的安全密钥,新的与次基站对应的安全密钥包括:UE与次基站通信时使用的加密密钥。
其中,UE在生成与次基站对应的安全密钥时,UE需要使用到更新后的主基站侧中间密钥,故通过步骤D11可以获取到,然后对次基站对应的UE侧中间密钥进行更新,然后使用更新的与次基站对应的UE侧中间密钥、次基站的安全算法生成新的与次基站对应的安全密钥。需要说明的是,在步骤E2中UE使用的次基站的安全算法可以与步骤D11中UE使用的主基站的安全算法相同,当然步骤E2中UE使用的次基站的安全算法可以与步骤D11中UE使用的主基站的安全算法不相同,具体可以根据应用场景来决定,此处仅作说明,不做限定。
具体的,步骤D1中UE根据所述密钥更改命令消息确定主基站与UE之间执行安全密钥更改的方式为Key Re-key,具体为:
UE根据密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定主基站与UE之间执行安全密钥更改的方式为Key Re-key。
也就是说,主基站可以使用密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息来指示主基站与UE之间执行安全密钥更改的方式为Key Re-key,故UE接收到密钥更改命令消息之后,通过第一指示信息或第一安全密钥上下文信息就可以获知主基站与UE之间执行安全密钥更改的方式为Key Re-key,另外,在本发明的一些实施例中,密钥更改命令消息具体可以为小区内切换命令消息,在这种情况下也使用小区内切换命令消息中携带的安全上下文来指示主基站与UE之间执行安全密钥更改的方式为Key Re-key。
在本发明的一些实施例中,若密钥更改命令消息中包含的指示信息指示UE保持与第二基站之间的数据传输,步骤203UE根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输之后,本发明实施例提供的安全密钥更改方法还包括如下步骤中的至少一个步骤:
F1、UE保持UE与第二基站之间所建立的所有RB的PDCP配置;
F2、UE保持UE与第二基站之间所建立的所有RB的RLC配置;
F3、UE保持UE与第二基站之间所建立的所有RB的MAC配置;
F4、UE保持UE与第二基站之间的已激活的SCell的激活状态;
F5、UE保持UE与第二基站之间通信使用的C-RNTI;
F6、UE保持UE与第二基站之间的数据传输。
其中,密钥更改命令消息中包含的指示信息指示UE保持与第二基站之间的数据传输,当第二基站为主基站时,第一基站为次基站,当第二基站为次基站时,第二基站为主基站,故当密钥更改命令消息中包含的指示信息指示UE保持与第二基站之间的数据传输时,说明UE与第一基站之间需要执行安全密钥更改,在这种情况下,步骤F1至步骤F6中的至少一个步骤在执行时可以根据具体需要来决定执行其中的一个步骤或者多个步骤,通过保持UE与第二基站之间的接入层配置信息,并且在UE保持UE与第二基站之间的数据传输时,可以避免UE与第一基站之间的安全密钥更改导致RB的接入层配置信息都需要重置,可以保证UE与第二基站之间的RB的正常数据传输,以避免UE与第一基站之间执行安全密钥更改导致UE与第二基站之间不必要的数据传输中断,从而减少不必要的数据传输延迟。
在本发明的一些实施例中,若密钥更改命令消息携带指示UE暂停与第一基站之间的数据传输,步骤203UE根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输之后,本发明实施例提供的安全密钥更改方法还包括如下步骤中的至少一个步骤:
G1、UE保持UE与第一基站之间所建立的所有RB的PDCP配置;
G2、UE保持UE与第一基站之间所建立的所有RB的RLC配置;
G3、UE保持UE与第一基站之间所建立的所有RB的MAC配置;
G4、UE保持UE与第一基站之间的已激活的SCell的激活状态;
G5、UE保持UE与第一基站之间通信使用的C-RNTI;
G6、UE暂停UE与第一基站之间的数据传输。
其中,密钥更改命令消息中包含的指示信息指示UE暂停与第一基站之间的数据传输,在这种情况下,步骤G1至步骤G6中的至少一个步骤在执行时可以根据具体需要来决定执行其中的一个步骤或者多个步骤,通过保持UE与第一基站之间的接入层配置信息,并且在UE暂停UE与第一基站之间的数据传输时,可以避免UE与第一基站之间的接入层配置信息的重新配置。
在本发明的一些实施例中,若密钥更改命令消息携带指示UE停止与第一基站之间的数据传输,步骤203UE根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输之后,本发明实施例提供的安全密钥更改方法还包括如下步骤中的至少一个步骤:
H1、UE重置UE与第一基站之间所建立的所有RB的PDCP配置;
H2、UE重置UE与第一基站之间所建立的所有RB的RLC配置;
H3、UE重置UE与第一基站之间所建立的所有RB的MAC配置;
H4、UE停止UE与第一基站之间的数据传输。
其中,密钥更改命令消息中包含的指示信息指示UE停止与第一基站之间的数据传输,在这种情况下,说明UE与第一基站之间需要执行安全密钥更改,在这种情况下,步骤H1至步骤H4中的至少一个步骤在执行时可以根据具体需要来决定执行其中的一个步骤或者多个步骤,通过重置UE与第一基站之间的接入层配置信息,并且在UE停止UE与第一基站之间的数据传输时,可以避免UE与第一基站之间的数据传输失败。
204、UE向主基站发送密钥更改完成消息,以使第一基站确定UE与第一基站之间已经完成安全密钥更改。
在本发明实施例中,当UE完成与第一基站之间的安全密钥更改之后,UE向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,当主基站接收到UE发送的密钥更改完成消息之后,第一基站也可以通过主基站接收到的密钥更改完成消息确定UE与第一基站之间的安全密钥更改已经完成,第一基站可以使用新的安全密钥继续与UE之间进行数据传输,需要说明的是,根据前述内容的描述可知,第一基站可以指的是主基站,也可以指的是次基站,还可以指的是主基站和次基站,故需要指示与UE之间需要执行安全密钥更改的基站在得到UE反馈的安全密钥已经更改完成之后可以继续与UE之间进行数据传输,故主基站与UE执行安全密钥更改并不会影响到次基站与UE之间的数据传输,同样的,次基站与UE执行安全密钥更改并不会影响到主基站与UE之间的数据传输。
通过以上内容对本发明实施例的描述可知,主基站向UE发送密钥更改命令消息,UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改以及根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输,当UE完成安全密钥更改之后,UE向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,并通过主基站可以使第一基站确定UE与第一基站之间已经完成安全密钥更改,进而第一基站和UE就可以使用新的安全密钥进行数据传输,故按照本发明实施例中可以在UE同时与MeNB和SeNB执行双连接通信时实现对安全密钥的更改。
为便于更好的理解和实施本发明实施例的上述方案,下面举例相应的应用场景来进行具体说明。
在本发明的一个应用场景中,请参阅如图3-a所示,为本发明实施例中主基站、次基站、UE之间的一种交互流程示意图,具体可以包括如下步骤:
S01、MeNB确定需要执行安全密钥更改,可以执行Key Refresh,或者也可以执行Key Re-key。
具体地,当MeNB接收到MME的密钥指示命令要求执行Key Re-key时,则MeNB确定需要进行Key Re-key。当MeNB确定需要进行Key Refresh时,例如MeNB确定UE当前的PDCPCount值将要反转时,则确定需要执行Key Refresh。
S02、当MeNB确定需要执行Key Re-key时,则MeNB可以向SeNB发送密钥更改指示消息,指示SeNB执行安全密钥更改。具体地,MeNB可以在该密钥更改指示消息中携带基于MeNB的新的主基站侧中间密钥以及SeNB的一个或多个小区的频率和PCI信息或者SeNB特定的安全参数,例如PDCP COUNT值,生成的一个或多个次基站侧中间密钥,所述SeNB的一个或多个小区是与SeNB的安全密钥产生相关联的小区,所述一个或多个次基站侧中间密钥用于产生SeNB端的用户面加密密钥。
S03、MeNB向UE发送小区内HO命令消息,以使得UE根据小区内HO命令消息执行安全密钥更改过程。具体地,当需要执行Key Re-key时,则所述小区内HO命令消息中的KeyChange Indicator置为True,否则,需要执行Key Refresh时,则将小区内HO命令消息中的Key Change Indicator置为False。对于Key Re-key的情况,所述小区内HO命令消息中可以进一步包含SeNB侧的更新的与安全密钥相关联的小区信息或者与安全密钥相关联的基站的安全参数。
S04、UE接收到MeNB发送的小区内切换命令消息之后,UE执行安全密钥更改,根据小区内HO命令消息中的Key Change Indicator指示确定是否保持UE与SeNB之间的接入层配置信息,和/或,是否保持UE与SeNB之间的数据传输。
具体地,当根据所述小区内HO命令的指示确定需要执行Key Refresh或者KeyChange Indicator为False时,则UE应该执行如下操作中的一项或多项:
1)、保持UE与SeNB之间所建立的所有RB的PDCP配置;
2)、保持UE与SeNB之间所建立的所有RB的RLC配置;
3)、保持UE与SeNB之间所建立的所有RB的MAC配置;
4)、保持UE与SeNB之间的已激活的SCell的激活状态;
5)、保持UE与SeNB之间通信使用的C-RNTI;
6)、保持/暂停与SeNB之间的数据传输;
7)、执行与MeNB之间的Key Refresh过程,具体地,执行与MeNB之间的Key Refresh为使用小区内HO命令消息中指示的Next Hop Chaining Count的值基于当前的与MeNB对应的UE侧中间密钥或者NH更新与MeNB对应的UE侧中间密钥,然后进一步地,使用更新后的与MeNB对应的UE侧中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。
如果根据小区内HO命令消息确定需要执行Key Re-key,则UE应该执行如下操作中的一项或多项:
1)、重置MeNB侧的MAC;
2)、重置SeNB侧的MAC;
3)、针对MeNB和SeNB侧建立的所有的RB,重建立这些RB的PDCP;
4)、针对MeNB和SeNB侧建立的所有的RB,重建立这些RB的RLC;
5)、停止与MeNB及SeNB之间的数据传输;
6)、根据小区内HO命令消息中的安全上下文信息,更新针对MeNB和SeNB的安全密钥。具体地,对于MeNB,UE基于更新的ASME中间密钥产生新的与MeNB之间的UE侧中间密钥,然后根据新产生的与MeNB之间的UE侧中间密钥和MeNB的安全算法产生新的与MeNB通信使用的加密密钥和完整性保护密钥。进一步地,UE根据新的与MeNB之间的UE侧中间密钥以及SeNB侧与安全密钥更改相关联的小区的信息或者SeNB侧与安全相关联的基站特定的参数,例如PDCP COUNT产生一个与SeNB之间的UE侧中间密钥,然后UE基于新的与SeNB之间的UE侧中间密钥和SeNB的安全算法或者MeNB的安全算法产生新的与SeNB通信使用的加密密钥。所述SeNB的与安全相关联的小区为UE在安全密钥改变前与SeNB之间的安全相关联的小区的信息或者是从小区内HO命令消息中获得的SeNB的更新的安全相关联的小区的信息,具体地,小区信息包含物理小区标识(Physical Cell Identity,PCI)和频率(Freqency)。
S05、UE向MeNB发送切换完成消息。具体地,可以是UE在成功执行向MeNB的随机接入后,向MeNB发送切换完成消息。也可以是UE成功向MeNB和SeNB都成功执行随机接入后,向MeNB发送切换完成消息。
具体地,在UE确定执行Key Refresh时,UE不需要执行向SeNB的随机接入。在UE确定执行Key Re-key时,则UE可以向MeNB和SeNB都执行随机接入,所述向MeNB和SeNB的随机接入可以并行进行。
S06、MeNB向SeNB发送密钥改变完成消息。具体地,在Key Re-key的情况下,当UE不执行与SeNB之间的随机接入时,MeNB需要向SeNB发送密钥改变完成消息,以通知SeNB所述UE的安全密钥改变过程已经成功完成,UE与SeNB之间的数据传输可以开始使用新的安全密钥进行通信。在Key Refresh的情况下,如果UE暂停与SeNB的数据传输,则上述MeNB向SeNB发送的密钥改变完成消息用于指示UE与SeNB之间暂停的数据传输可以恢复。
需要说明的是,在如上图3-a介绍的应用场景中,SeNB依附于MeNB产生SeNB侧的中间密钥,在这种情况下,当MeNB执行Key Re-key时,SeNB需要同时执行安全密钥更改。在本发明的另一个应用场景中,请参阅如图3-b所示,为本发明实施例中主基站、次基站、UE之间的另一种交互流程示意图,具体可以包括如下步骤:
步骤S11、MeNB确定需要执行安全密钥更改,要么执行Key-fresh,要么执行KeyRe-key。
具体地,当MeNB接收到MME的密钥指示命令要求执行MeNB和/或SeNB侧的Key Re-key时,则MeNB确定需要进行Key Re-key。当MeNB确定UE当前在MeNB侧的PDCP Count值将要反转时,MeNB可以确定需要UE针对MeNB进行key Refresh。需要说明的是,在步骤S11之前,本发明实施例还可以包括步骤S10,SeNB向MeNB发送密钥刷新指示信息,当MeNB接收到SeNB发送的SeNB侧的PDCP Count值将要发生反转的指示信息,或者SeNB发送的SeNB需要执行Key Refresh的指示信息后,或者在MeNB接收到SeNB或者UE上报的当前SeNB侧的PDCPCount值将要发生反转时,MeNB可以确定需要UE针对MeNB和/或SeNB进行安全密钥的keyRefresh。
步骤S12、当MeNB接收到MME发送的要求执行SeNB侧的安全密钥的Key Re-key的指示时,MeNB需要向SeNB发送密钥更改指示消息,以指示SeNB执行Key Re-key过程。
步骤S13a、MeNB在确定UE与MeNB之间需要执行安全密钥更改时,则向UE发送小区内HO命令消息,所述小区内HO命令消息中包含UE执行针对MeNB的安全密钥进行Key Re-key还是Key Refresh的指示信息,例如通过小区内HO命令消息中的Key Change Indicator指示。
步骤S13b、MeNB在确定UE与SeNB之间的安全密钥需要更改时,向UE发送密钥更改命令消息,所述密钥更改命令消息中包含指示UE执行针对SeNB侧的安全密钥的Key Re-key还是Key Refresh的指示信息。
步骤S14、UE接收到MeNB发送的小区内HO命令消息之后,如果根据所述小区内HO命令消息的指示确定需要执行MeNB侧的安全密钥更改,则UE应该执行下列操作中的一项或多项:
1)、仅仅执行与MeNB之间的安全密钥改变过程;
2)、保持UE与SeNB之间所建立的所有RB的PDCP配置;
3)、保持UE与SeNB之间所建立的所有RB的RLC配置;
4)、保持UE与SeNB之间所建立的所有RB的MAC配置;
5)、保持UE与SeNB之间的已激活的SCell的激活状态;
6)、保持UE与SeNB之间通信使用的C-RNTI;
7)、保持/暂停与SeNB之间的数据传输;
如果UE在接收到小区内HO命令消息的时候,也接收到密钥更改命令消息,则UE应该执行下列操作中的一项或多项:
1)、重置SeNB侧的MAC;
2)、针对在SeNB建立的RB,重建立PDCP;
3)、针对在SeNB建立的RB,重建立RLC;
4)、停止与SeNB之间的数据传输;
5)、根据密钥更改命令消息中携带的安全上下文信息以及密钥改变的指示信息,更改与SeNB通信的安全密钥;具体地,当根据密钥改变指示信息确定需要执行Key Re-key时,则UE基于与SeNB之间的更新的ASME中间密钥更新与SeNB之间的UE侧中间密钥,然后基于更新后的与SeNB之间的UE侧中间密钥以及SeNB的安全算法产生新的与SeNB通信使用的加密密钥;当根据密钥指示信息确定需要执行key Refresh时,则UE基于当前与SeNB对应的UE侧中间密钥或者NH的值更新与SeNB对应的UE侧中间密钥,然后基于更新后的与SeNB对应的UE侧中间密钥以及SeNB的安全算法产生新的加密密钥。
S15a、UE向MeNB发送切换完成消息,该步骤为与步骤S13a相应的响应。具体地,可以是UE在成功执行向MeNB的随机接入后,向MeNB发送切换完成消息。也可以是UE成功向MeNB和SeNB都成功执行随机接入后,向MeNB发送切换完成消息。
具体地,在UE确定执行Key Refresh时,UE不需要执行向SeNB的随机接入。在UE确定执行Key Re-key时,则UE可以向MeNB和SeNB都执行随机接入,所述向MeNB和SeNB的随机接入可以并行进行。
S15b、UE向MeNB发送密钥更改完成消息,该步骤为与步骤S13b相应的响应。
S16、MeNB向SeNB发送密钥改变完成消息。具体地,在Key Re-key的情况下,当UE不执行与SeNB之间的随机接入时,MeNB需要向SeNB发送密钥改变完成消息,以通知SeNB所述UE的安全密钥改变过程已经成功完成,UE与SeNB之间的数据传输可以开始使用新的安全密钥进行通信。在Key Refresh的情况下,如果UE暂停与SeNB的数据传输,则上述MeNB向SeNB发送的密钥改变完成消息用于指示UE与SeNB之间暂停的数据传输可以恢复。
在本发明的另一个应用场景中,请参阅如图3-c所示,为本发明实施例中主基站、次基站、UE之间的另一种交互流程示意图,具体可以包括如下步骤:
步骤S21、MeNB确定需要执行安全密钥更改,要么执行Key-fresh,要么执行KeyRe-key。
具体地,当MeNB接收到MME的密钥指示命令要求执行MeNB或SeNB侧的Key Re-key时,则MeNB确定需要进行Key Re-key。当MeNB确定UE当前在MeNB侧的PDCP Count值将要反转时,MeNB可以确定需要UE针对MeNB进行key Refresh。需要说明的是,在步骤S21之前,本发明实施例还可以包括步骤S20,SeNB向MeNB发送密钥刷新指示信息,当MeNB接收到SeNB发送的SeNB侧的PDCP Count值将要发生反转的指示信息,或者SeNB发送的SeNB需要执行KeyRefresh的指示信息后,或者在MeNB接收到SeNB或者UE上报的当前SeNB侧的PDCP Count值将要发生反转时,MeNB可以确定需要UE针对SeNB进行安全密钥的key Refresh。
S22、当MeNB确定需要执行Key Re-key时,则MeNB可以向SeNB发送密钥更改指示消息,指示SeNB需要执行安全密钥更改。
具体地,在与SeNB对应的中间密钥基于MeNB的中间密钥产生的情况下,可以在该密钥更改指示消息中携带基于MeNB的新的中间密钥以及SeNB的一个或多个小区的频率和PCI信息或者SeNB特定的安全参数,例如PDCP COUNT值生成的一个或多个与SeNB对应的中间密钥,所述SeNB的一个或多个小区是与SeNB的安全密钥产生相关联的小区,所述一个或多个与SeNB对应的中间密钥用于产生SeNB端的用户面加密密钥。
在与SeNB对应的中间密钥由ASME中间密钥产生的情况下,则密钥更改指示消息中携带MME为SeNB新产生的与SeNB对应的中间密钥。
S23、MeNB向UE发送密钥更改命令消息,以使得UE根据密钥更改命令消息执行安全密钥更改过程。
具体地,所述密钥更改命令消息中包含第一指示信息和第二指示信息。所述第一指示信息用于指示所述UE更改与MeNB之间的安全密钥,所述第二指示信息用于指示UE更改与SeNB之间的安全密钥。
进一步地,第一指示信息中还可以包括执行Key Re-key还是key Refresh的指示信息,所述第二指示信息中还可以包括执行Key Re-key还是Key Refresh的指示信息。
特殊地,上述密钥更改命令消息可以是小区内HO命令消息。
S24、UE接收到MeNB发送的密钥更改命令消息之后,根据密钥更改命令消息中的第一指示信息和第二指示信息确定如何执行安全密钥更改过程。
具体地,当根据所述密钥更改命令消息的指示确定需要仅需要执行与MeNB的安全密钥改变时,例如第一指示信息为True,而第二指示信息为False时,则UE应该执行如下操作中的一项或多项:
1)、保持UE与SeNB之间所建立的所有RB的PDCP配置;
2)、保持UE与SeNB之间所建立的所有RB的RLC配置;
3)、保持UE与SeNB之间所建立的所有RB的MAC配置;
4、保持UE与SeNB之间的已激活的SCell的激活状态;
5)、保持UE与SeNB之间通信使用的C-RNTI;
6)、保持/暂停与SeNB之间的数据传输;
7)、执行与MeNB之间的安全密钥改变过程,具体地,当根据第一指示信息(例如第一指示信息中包括执行key Refresh的指示),或者密钥更改命令消息中携带的安全上下文信息(例如密钥更改命令消息中包含Next Hop Chaining Count的值)确定需要执行与MeNB之间的key Refresh时,则UE基于当前在MeNB侧的中间密钥或者NH更新产生新的在MeNB侧的中间密钥,然后进一步地,使用更新后的在MeNB侧的中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。当根据第一指示信息(例如第一指示信息中包括执行key Re-rekey的指示),或者密钥更改命令消息中携带的安全上下文信息(例如密钥更改命令消息中不包含Next Hop Chaining Count的值,或者为空),确定需要执行与MeNB之间的Key Re-key过程,则UE基于与MeNB之间的新的ASME中间密钥产生新的在MeNB侧的中间密钥,然后使用更新后的在MeNB侧的中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。
如果根据所述密钥更改命令消息的指示确定需要仅需要执行与SeNB的安全密钥改变时,例如第一指示信息为False,而第二指示信息为True时,则UE应该执行如下操作中的一项或多项:
1)、保持UE与MeNB之间所建立的所有RB的PDCP,RLC,MAC配置;
2)、保持UE与MeNB之间的已激活的SCell的激活状态;
3)、保持UE与MeNB之间的通信;
4)、重置SeNB侧的MAC;
5)、针对SeNB侧建立的所有的RB,重建立这些RB的PDCP;
6)、针对SeNB侧建立的所有的RB,重建立这些RB的RLC;
7)、停止与SeNB之间的数据传输;
8)、执行与SeNB之间的安全密钥改变过程,具体地,当根据第二指示信息(例如第二指示信息中包括执行key Refresh的指示),或者密钥更改命令消息中携带的安全上下文信息(例如密钥更改命令中包含Next Hop Chaining Count的值)确定需要执行与SeNB之间的key Refresh时,则UE基于当前在SeNB侧的中间密钥或者NH更新产生新的在SeNB侧的中间密钥,然后进一步地,使用更新后的在SeNB侧的中间密钥和SeNB的安全算法生成新的与SeNB通信使用的加密密钥。当根据第二指示信息(例如第二指示信息中包括执行key Re-rekey的指示),或者密钥更改命令消息中携带的安全上下文信息(例如密钥更改命令消息中不包含Next Hop Chaining Count的值,或者为空),确定需要执行与MeNB之间的Key Re-key过程,则UE基于与SeNB之间的新的ASME中间密钥产生新的在SeNB侧的中间密钥,然后使用更新后的在SeNB侧的中间密钥和SeNB的安全算法生成新的与SeNB通信使用的加密密钥。
如果根据所述密钥更改命令消息的指示确定需要需要执行与MeNB以及和SeNB的安全密钥更改过程时,例如第一指示信息和第二指示信息均为True时,则UE应该执行如下操作中的一项或多项:
1)、重置MeNB侧的MAC;
2)、重置SeNB侧的MAC;
3)、针对MeNB和SeNB侧建立的所有的RB,重建立这些RB的PDCP;
4)、针对MeNB和SeNB侧建立的所有的RB,重建立这些RB的RLC;
5)、停止与MeNB及SeNB之间的数据传输;
6)、执行与MeNB、SeNB之间的密钥改变过程如下:具体地,
当根据第一指示信息(例如第一指示信息中包括执行key Refresh的指示),或者密钥更改命令消息中携带的安全上下文信息(例如密钥更改命令消息中包含Next HopChaining Count的值)确定需要执行与MeNB之间的key Refresh时,则UE基于当前在MeNB侧的中间密钥或者NH更新产生新的在MeNB侧的中间密钥,然后进一步地,使用更新后的在MeNB侧的中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。当根据第一指示信息(例如第一指示信息中包括执行key Re-rekey的指示),或者密钥更改命令消息中携带的安全上下文信息(例如密钥更改命令消息中不包含Next HopChaining Count的值,或者为空),确定需要执行与MeNB之间的Key Re-key过程,则UE基于与MeNB之间的新的ASME中间密钥产生新的在MeNB侧的中间密钥,然后使用更新后的在MeNB侧的中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。
具体地,当根据第二指示信息(例如第二指示信息中包括执行key Refresh的指示),或者密钥更改命令消息中携带的安全上下文信息(例如密钥更改命令中包含Next HopChaining Count的值)确定需要执行与SeNB之间的key Refresh时,则UE基于当前在SeNB侧的中间密钥或者NH更新产生新的在SeNB侧的中间密钥,然后进一步地,使用更新后的在SeNB侧的中间密钥和SeNB的安全算法生成新的与SeNB通信使用的加密密钥。当根据第二指示信息(例如第二指示信息中包括执行key Re-rekey的指示),或者密钥更改命令消息中携带的安全上下文信息(例如密钥更改命令消息中不包含Next Hop Chaining Count的值,或者为空),确定需要执行与MeNB之间的Key Re-key过程,则UE基于与SeNB之间的新的ASME中间密钥产生新的在SeNB侧的中间密钥,然后使用更新后的在SeNB侧的中间密钥和SeNB的安全算法生成新的与SeNB通信使用的加密密钥。
S25、UE向MeNB发送密钥改变完成消息。
具体地,根据是否MeNB和SeNB都进行安全密钥更改,可以是UE在成功执行向MeNB或者SeNB的随机接入后(仅更改MeNB或SeNB密钥的情况),向MeNB发送密钥改变完成消息。也可以是UE成功向MeNB和SeNB都成功执行随机接入后(MeNB和SeNB的密钥都进行更改),向MeNB发送密钥改变完成消息。UE在MeNB和SeNB都执行随机接入时,两个随机接入过程可以并行进行。
具体地,UE是否在MeNB和/或SeNB上执行随机接入,可以在上述密钥改变命令消息中明确通知UE。即上述密钥改变命令消息中,包含是否在MeNB和/或SeNB执行随机接入的指示信息。
S26、MeNB向SeNB发送密钥改变完成消息。特殊地,在UE也执行向SeNB的随机接入时,SeNB也可以通过判断UE执行随机接入过程成功来确定安全密钥改变完成,因此这种情况下,MeNB也可以不向SeNB发送密钥改变完成消息。
在本发明的另一个应用场景中,请参阅如图3-d所示,为本发明实施例中主基站、次基站、UE之间的另一种交互流程示意图,具体可以包括如下步骤:
步骤S31、MeNB确定需要执行安全密钥更改,要么执行Key-fresh,要么执行KeyRe-key。
具体地,当MeNB接收到MME的密钥指示命令要求执行MeNB或SeNB侧的Key Re-key时,则MeNB确定需要进行Key Re-key。当MeNB确定UE当前在MeNB侧的PDCP Count值将要反转时,MeNB可以确定需要UE针对MeNB进行key Refresh。需要说明的是,在步骤S21之前,本发明实施例还可以包括步骤S30,SeNB向MeNB发送密钥刷新指示信息,当MeNB接收到SeNB发送的SeNB侧的PDCP Count值将要发生反转的指示信息,或者SeNB发送的SeNB需要执行KeyRefresh的指示信息后,或者在MeNB接收到SeNB或者UE上报的当前SeNB侧的PDCP Count值将要发生反转时,MeNB可以确定需要UE针对SeNB进行安全密钥的key Refresh。
S32、当MeNB确定需要执行Key Re-key时,则MeNB可以向SeNB发送密钥更改指示消息,指示SeNB需要执行安全密钥更改。
具体地,在与SeNB对应的中间密钥基于MeNB的中间密钥产生的情况下,可以在该密钥更改指示消息中携带基于MeNB的新的中间密钥以及SeNB的一个或多个小区的频率和PCI信息或者SeNB特定的安全参数,例如PDCP COUNT值生成的一个或多个与SeNB对应的中间密钥,所述SeNB的一个或多个小区是与SeNB的安全密钥产生相关联的小区,所述一个或多个与SeNB对应的中间密钥用于产生SeNB端的用户面加密密钥。
在与SeNB对应的中间密钥由ASME中间密钥产生的情况下,则密钥更改指示消息中携带MME为SeNB新产生的与SeNB对应的中间密钥。
S33、MeNB向UE发送密钥更改命令消息,以使得UE根据密钥更改命令消息执行安全密钥更改过程。
具体地,所述密钥更改命令消息中包含第一安全密钥上下文信息和第二安全密钥上下文信息。所述第一安全密钥上下文信息用于指示所述UE更改与MeNB之间的安全密钥,所述第二安全密钥上下文信息用于指示UE更改与SeNB之间的安全密钥。
特殊地,上述密钥更改命令消息可以是小区内HO命令消息。
S34、UE接收到MeNB发送的密钥更改命令消息之后,根据密钥更改命令消息中的第一安全密钥上下文信息和第二安全密钥上下文信息确定如何执行安全密钥更改过程。
具体地,如果密钥更改命令消息中仅仅包含第一安全密钥上下文信息,则UE根据所述密钥更改命令消息确定仅需要执行与MeNB的安全密钥改变,则UE应该执行如下操作中的一项或多项:
1)、保持UE与SeNB之间所建立的所有RB的PDCP配置;
2)、保持UE与SeNB之间所建立的所有RB的RLC配置;
3)、保持UE与SeNB之间所建立的所有RB的MAC配置;
4)、保持UE与SeNB之间的已激活的SCell的激活状态;
5)、保持UE与SeNB之间通信使用的C-RNTI;
6)、保持/暂停与SeNB之间的数据传输;
7)、执行与MeNB之间的安全密钥改变过程,具体地,当根据第一安全密钥上下文信息(例如第一安全密钥上下文信息中包含Next Hop Chaining Count的值)确定需要执行与MeNB之间的key Refresh时,则UE基于当前在MeNB侧的中间密钥或者NH更新产生新的在MeNB侧的中间密钥,然后进一步地,使用更新后的在MeNB侧的中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。当根据第一安全密钥上下文信息(例如第一安全密钥上下文信息中包含Key Re-key指示)确定需要执行与MeNB之间的KeyRe-key过程时,则UE基于与MeNB之间的新的ASME中间密钥产生新的在MeNB侧的中间密钥,然后使用更新后的在MeNB侧的中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。
如果根据所述密钥更改命令消息中仅仅包含第二安全密钥上下文信息,则UE根据所述密钥更改命令消息确定仅需要执行与SeNB的安全密钥改变,则UE应该执行如下操作中的一项或多项:
1)、保持UE与MeNB之间所建立的所有RB的PDCP,RLC,MAC配置;
2)、保持UE与MeNB之间的已激活的SCell的激活状态;
3)、保持UE与MeNB之间的数据传输;
4)、重置SeNB侧的MAC;
5)、针对SeNB侧建立的所有的RB,重建立这些RB的PDCP;
6)、针对SeNB侧建立的所有的RB,重建立这些RB的RLC;
7)、停止与SeNB之间的数据传输;
8)、执行与SeNB之间的密钥改变过程,具体地,当根据第二安全密钥上下文信息(例如第二安全密钥上下文信息中包含Next Hop Chaining Count的值)确定需要执行与SeNB之间的key Refresh时,则UE基于当前在SeNB侧的中间密钥或者NH更新产生新的在SeNB侧的中间密钥,然后进一步地,使用更新后的在SeNB侧的中间密钥和SeNB的安全算法生成新的与SeNB通信使用的加密密钥。当根据第二安全密钥上下文信息(例如第二安全密钥上下文信息中包括执行key Re-rekey的指示),确定需要执行与MeNB之间的Key Re-key过程,则UE基于与SeNB之间的新的ASME中间密钥产生新的在SeNB侧的中间密钥,然后使用更新后的在SeNB侧的中间密钥和SeNB的安全算法生成新的与SeNB通信使用的加密密钥。
如果根据所述第一安全密钥上下文信息和第二安全密钥上下文信息确定需要执行与MeNB以及和SeNB的密钥改变时,例如密钥更改命令消息中包含第一安全密钥上下文信息和第二安全密钥上下文信息时,则UE应该执行如下操作中的一项或多项:
1)、重置MeNB侧的MAC;
2)、重置SeNB侧的MAC;
3)、针对MeNB和SeNB侧建立的所有的RB,重建立这些RB的PDCP;
4)、针对MeNB和SeNB侧建立的所有的RB,重建立这些RB的RLC;
5)、停止与MeNB及SeNB之间的数据传输;
6)、执行与MeNB、SeNB之间的密钥改变过程如下:具体地,
当根据第一安全密钥上下文信息(例如第一安全密钥上下文信息中包含Next HopChaining Count的值)确定需要执行与MeNB之间的key Refresh时,则UE基于当前在MeNB侧的中间密钥或者NH更新产生新的在MeNB侧的中间密钥,然后进一步地,使用更新后的在MeNB侧的中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。当根据第一安全密钥上下文信息(例如第一安全密钥上下文信息中包含Key Re-key指示)确定需要执行与MeNB之间的Key Re-key过程时,则UE基于与MeNB之间的新的ASME中间密钥产生新的在MeNB侧的中间密钥,然后使用更新后的在MeNB侧的中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。
当根据第二安全密钥上下文信息(例如第二安全密钥上下文信息中包含Next HopChaining Count的值)确定需要执行与SeNB之间的key Refresh时,则UE基于当前在SeNB侧的中间密钥或者NH更新产生新的在SeNB侧的中间密钥,然后进一步地,使用更新后的在SeNB侧的中间密钥和SeNB的安全算法生成新的与SeNB通信使用的加密密钥。当根据第二安全密钥上下文信息(例如第二安全密钥上下文信息中包括执行key Re-rekey的指示),确定需要执行与MeNB之间的Key Re-key过程,则UE基于与SeNB之间的新的ASME中间密钥产生新的在SeNB侧的中间密钥,然后使用更新后的在SeNB侧的中间密钥和SeNB的安全算法生成新的与SeNB通信使用的加密密钥。
S35、UE向MeNB发送密钥改变完成消息。
具体地,根据是否MeNB和SeNB都进行安全密钥改变,可以是UE在成功执行向MeNB或者SeNB的随机接入后(仅更改MeNB或SeNB密钥的情况),向MeNB发送密钥改变完成消息。也可以是UE成功向MeNB和SeNB都成功执行随机接入后(MeNB和SeNB的密钥都进行更改),向MeNB发送密钥改变完成消息。UE在MeNB和SeNB都执行随机接入时,两个随机接入过程可以并行进行。
具体地,UE是否在MeNB和/或SeNB上执行随机接入,可以在上述密钥更改命令消息中明确通知UE。即上述密钥更改命令消息中,包含是否在MeNB和/或SeNB执行随机接入的指示信息。
S36、MeNB向SeNB发送密钥改变完成消息。特殊地,在UE也执行向SeNB的随机接入时,SeNB也可以通过判断UE执行随机接入过程成功来确定安全密钥改变完成,因此这种情况下,MeNB也可以不向SeNB发送密钥改变完成消息。
在本发明的另一个应用场景中,请参阅如图3-e所示,为本发明实施例中主基站、次基站、UE之间的另一种交互流程示意图,具体可以包括如下步骤:
S41、MeNB确定需要执行安全密钥更改,可以执行Key Refresh,或者也可以执行Key Re-key。
具体地,当MeNB接收到MME的密钥指示命令要求执行Key Re-key时,则MeNB确定需要进行Key Re-key。当MeNB确定需要进行Key Refresh时,例如MeNB确定UE当前的PDCPCount值将要反转时,则确定需要执行Key Refresh。
S42、当MeNB确定需要执行Key Re-key时,则MeNB可以向SeNB发送密钥更改指示消息,指示SeNB执行安全密钥更改。具体地,MeNB可以在该密钥更改指示消息中携带基于MeNB的新的主基站侧中间密钥以及SeNB的一个或多个小区的频率和PCI信息或者SeNB特定的安全参数,例如PDCP COUNT值生成的一个或多个次基站侧中间密钥,所述SeNB的一个或多个小区是与SeNB的安全密钥产生相关联的小区,所述一个或多个次基站侧中间密钥用于产生SeNB端的用户面加密密钥。
S43、MeNB向UE发送小区内HO命令消息,以使得UE根据小区内HO命令消息执行安全密钥更改过程。所述小区内HO命令消息中包含SeNB侧数据传输的指示信息,所述指示信息可以包含继续保持与SeNB传输的指示信息,或者停止与SeNB之间的数据传输的指示信息,或者暂停与SeNB之间的数据传输的指示信息,以使得UE根据该指示信息确定如何执行SeNB侧的数据传输。
S44、UE接收到MeNB发送的小区内HO切换命令消息后,根据小区内HO命令中的指示信息确定如何处理与SeNB之间的数据传输。
如果MeNB指示UE保持与SeNB的数据传输,则UE应该执行如下操作中的一项或多项:
1)、保持UE与SeNB之间所建立的所有RB的PDCP配置;
2)、保持UE与SeNB之间所建立的所有RB的RLC配置;
3)、保持UE与SeNB之间所建立的所有RB的MAC配置;
4)、保持UE与SeNB之间的已激活的SCell的激活状态;
5)、保持UE与SeNB之间通信使用的C-RNTI;
6)、保持与SeNB之间的数据传输;
7)、执行与MeNB之间的Key Refresh过程,具体地,执行与MeNB之间的key Refresh为使用小区内HO命令消息中指示的Next Hop Chaining Count的值基于当前的与MeNB对应的UE侧中间密钥或者NH更新与MeNB对应的UE侧中间密钥,然后进一步地,使用更新后的与MeNB对应的UE侧中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。
如果MeNB指示暂停与SeNB之间的数据传输,则UE应该执行如下操作中的一项或多项:
1)保持UE与SeNB之间所建立的所有RB的PDCP配置;
2)保持UE与SeNB之间所建立的所有RB的RLC配置;
3)保持UE与SeNB之间所建立的所有RB的MAC配置;
4)保持UE与SeNB之间的已激活的SCell的激活状态;
5)保持UE与SeNB之间通信使用的C-RNTI;
6)暂停与SeNB之间的数据传输;
7)执行与MeNB之间的Key Refresh过程,具体地,执行与MeNB之间的key Refresh为使用小区内HO命令消息中指示的Next Hop Chaining Count的值基于当前的与MeNB对应的UE侧中间密钥或者NH更新与MeNB对应的UE侧中间密钥,然后进一步地,使用更新后的与MeNB对应的UE侧中间密钥和MeNB的安全算法生成新的与MeNB通信使用的加密密钥和完整性保护密钥。
如果MeNB指示UE停止与SeNB的数据传输,则UE应该执行如下操作中的一项或多项:
1)、重置MeNB侧的MAC和SeNB侧的MAC;
2)、针对MeNB和SeNB的RB,重建立PDCP和RLC;
3)、停止与MeNB及SeNB之间的数据传输;
4)、根据小区HO命令消息中的安全上下文信息,更新针对MeNB和SeNB的安全密钥,具体过程可参阅前述实施例的说明。
通过以上实施例对本发明的描述可知,本发明实施例中可以降低MeNB的安全密钥改变过程对UE与SeNB之间的数据传输的影响,避免MeNB的安全密钥更改过程中导致不必要的的RB的PDCP,RLC的重建立和MAC重置,保证了UE与SeNB之间的RB的正常数据传输。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
为便于更好的实施本发明实施例的上述方案,下面还提供用于实施上述方案的相关装置。
请参阅图4-a所示,本发明实施例提供的一种基站400,基站400具体为主基站MeNB,可以包括:密钥更改确定模块401、消息发送模块402、消息接收模块403,其中,
密钥更改确定模块401,用于确定第一基站与用户设备UE之间需要执行安全密钥更改,其中,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
消息发送模块402,用于向所述UE发送密钥更改命令消息,以使所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改以及根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
消息接收模块403,用于接收所述UE发送的密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
在本发明的一些实施例中,若所述主基站确定出的所述第一基站包括所述次基站时,所述消息发送模块402,还用于所述消息接收模块接收所述UE发送的密钥更改完成消息之后,向所述次基站转发所述密钥更改完成消息,以使所述次基站确定所述UE与所述次基站之间已经完成安全密钥更改。
在本发明的一些实施例中,所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息。
在本发明的一些实施例中,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,所述消息发送模块402,具体用于向所述UE发送包含随机接入资源的信息的密钥更改命令消息,以使所述UE根据所述随机接入资源的信息与所述第一基站执行随机接入。
具体的,在本发明的一些实施例中,请参阅如图4-b所示,所述密钥更改确定模块401,包括:
命令接收子模块4011,用于接收移动管理实体MME发送的密钥指示命令,所述密钥指示命令用于指示所述主基站和所述UE之间执行Key Re-key,和/或指示所述次基站和所述UE之间执行Key Re-key;
密钥更改确定子模块4012,用于根据所述密钥指示命令确定出第一基站与所述UE之间执行Key Re-key。
进一步的,在本发明的一些实施例中,若所述主基站确定所述第一基站与所述UE之间执行安全密钥更改的方式为Key Re-key,所述密钥更改命令消息中携带所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息。
在本发明的一些实施例中,若所述主基站确定出的所述第一基站包括所述次基站时,所述消息发送模块402,还用于所述密钥更改确定子模块根据所述密钥指示命令确定出第一基站与所述UE之间需要执行安全密钥更改之后,向所述次基站发送密钥更改指示消息,所述密钥更改指示消息用于指示所述次基站执行安全密钥更改,所述密钥更改指示消息包括:所述主基站根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息生成的次基站侧中间密钥,或,所述密钥更改指示消息包括:所述MME为所述次基站生成的次基站侧中间密钥。
在本发明的一些实施例中,所述密钥更改确定模块401,具体用于判断所述UE当前在主基站侧的分组数据汇聚协议计数PDCP Count在预置次数内是否发生反转,若所述UE当前在主基站侧的PDCP Count在预置次数发生反转,则确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为密钥刷新Key Refresh,其中,所述第一基站为所述主基站;和/或,当所述主基站接收到所述次基站发送的次基站侧的PDCP Count在预置次数发生反转的指示信息,或所述主基站接收到所述次基站发送的所述次基站需要执行KeyRefresh的指示信息,或所述主基站接收到所述UE上报的当前次基站侧的PDCP Count在预置次数发生反转时,确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,其中,所述第一基站为所述次基站。
在本发明的一些实施例中,所述密钥更改命令消息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
在本发明的一些实施例中,所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;
所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
在本发明的一些实施例中,所述密钥更改命令消息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
在本发明的一些实施例中,所述第一安全密钥上下文信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;
所述第二安全密钥上下文信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
在本发明的一些实施例中,所述密钥更改命令消息中通过密钥改变指示KeyChange Indicator字段的取值指示所述第一基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
在本发明的一些实施例中,所述密钥更改命令消息携带指示所述UE保持与所述第二基站之间的数据传输,或指示所述UE暂停与所述第一基站之间的数据传输,或指示所述UE停止与所述第一基站之间的数据传输的指示信息,当所述第二基站为所述主基站时,所述第一基站为所述次基站,当所述第二基站为所述次基站时,所述第二基站为所述主基站。
在本发明的一些实施例中,所述密钥更改命令消息具体为小区内切换HO命令消息。
通过以上内容对本发明实施例的描述可知,密钥更改确定模块确定第一基站与UE之间需要执行安全密钥更改,其中,第一基站包括主基站和次基站两者之中的至少一个基站,若主基站确定第一基站与UE之间需要执行安全密钥更改,消息发送模块向UE发送密钥更改命令消息,则UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改以及根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输,当UE完成安全密钥更改之后,UE向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,并通过主基站可以使第一基站确定UE与第一基站之间已经完成安全密钥更改,进而第一基站和UE就可以使用新的安全密钥进行数据传输,故按照本发明实施例中可以在UE同时与MeNB和SeNB执行双连接通信时实现对安全密钥的更改。
请参阅图5-a所示,本发明实施例提供的一种UE500,可以包括:消息接收模块501、密钥更改模块502、决策模块503、消息发送模块504,其中,
消息接收模块501,用于接收主基站发送的密钥更改命令消息,所述密钥更改命令消息包括所述主基站命令所述UE与第一基站之间需要执行安全密钥更改的指示信息,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
密钥更改模块502,用于根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改;
决策模块503,用于根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
消息发送模块504,用于向所述主基站发送密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
在本发明的一些实施例中,密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息,所述决策模块503,还用于所述消息接收模块接收主基站发送的密钥更改命令消息之后,根据所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息确定是否在所述第一基站执行随机接入。
在本发明的另一些实施例中,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,所述UE500,请参阅如图5-b所示,还包括:随机接入模块505,其中,
所述消息接收模块501,具体用于接收主基站发送的包含随机接入资源的信息的密钥更改命令消息;
所述随机接入模块505,用于根据所述随机接入资源的信息执行向所述第一基站的随机接入。
在本发明的一些实施例中,若所述UE接收到的所述密钥更改命令消息中包含的指示信息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改,则所述密钥更改模块502,还用于根据所述第一指示信息和/或所述第二指示信息确定出所述第一基站为以下三种情况中的一种:所述第一基站为所述主基站、所述第一基站为所述次基站、所述第一基站为所述主基站和所述次基站。
在本发明的一些实施例中,所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述密钥更改模块502,具体用于根据所述第一指示信息按照Key Re-key或Key Refresh执行与所述主基站之间的安全密钥更改;
所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述密钥更改模块502,具体用于根据所述第二指示信息按照Key Re-key或Key Refresh执行与所述次基站之间的安全密钥更改。
在本发明的一些实施例中,所述UE接收到的所述密钥更改命令消息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改,则所述密钥更改模块502,还用于根据所述第一安全密钥上下文信息和/或所述第二安全密钥上下文信息确定出所述第一基站为以下三种情况中的一种:所述第一基站为所述主基站、所述第一基站为所述次基站、所述第一基站为所述主基站和所述次基站。
在本发明的一些实施例中,所述第一安全密钥上下文信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述密钥更改模块502,具体用于根据所述第一安全密钥上下文信息按照Key Re-key或Key Refresh执行与所述主基站之间的安全密钥更改;
所述第二安全密钥上下文信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,所述密钥更改模块,具体用于根据所述第二安全密钥上下文信息按照Key Re-key或Key Refresh执行与所述次基站之间的安全密钥更改。
在本发明的一些实施例中,若所述密钥更改命令消息中包含的指示信息为密钥改变指示Key Change Indicator字段,所述密钥更改模块502,具体用于通过所述Key ChangeIndicator字段的取值指示确定按照Key Re-key或Key Refresh执行与所述第一基站之间的安全密钥更改。
在本发明的一些实施例中,所述决策模块503具体用于:
根据所述密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与所述主基站或次基站之间的接入层配置信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与所述主基站或所述次基站之间的接入层配置信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的密钥改变指示Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
根据所述密钥更改命令消息中包含的指示所述UE保持与所述主基站或次基站之间的数据传输的指示信息确定是否保持与所述主基站或所述次基站之间的接入层配置信息。
在本发明的一些实施例中,所述决策模块503具体用于:
当根据所述Key Change Indicator字段确定需要执行Key Re-key时,确定不保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
当根据所述Key Change Indicator字段确定需要基于与所述主基站对应的UE侧中间密钥执行Key Refresh时,确定保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
当根据所述Key Change Indicator字段确定需要基于下一跳NH执行Key Refresh时,确定保持与所述主基站或所述次基站之间的接入层配置信息。
在本发明的一些实施例中,所述决策模块503具体用于:
根据所述密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与所述主基站或所述次基站之间的数据传输,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与所述主基站或所述次基站之间的数据传输,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的数据传输;
或者,
根据所述密钥更改命令消息中包含的指示所述UE保持与所述主基站或次基站之间的数据传输的指示信息确定是否保持与所述主基站或所述次基站之间的数据传输。
在本发明的一些实施例中,所述决策模块503具体用于:
当根据所述Key Change Indicator字段确定需要执行Key Re-key时,确定不保持与所述主基站以及次基站之间的数据传输;或者,
当根据所述Key Change Indicator字段确定需要基于与所述主基站对应的UE侧中间密钥执行Key Refresh时,确定保持与所述次基站之间的数据传输;
或者,
当根据所述Key Change Indicator字段确定需要基于NH执行Key Refresh时,确定保持与所述次基站之间的数据传输。
在本发明的一些实施例中,当所述UE根据所述密钥更改命令信息,确定需要保持与所述主基站之间的接入层配置信息,和/或,需要保持与所述主基站之间的数据传输时,所述决策模块503,具体用于确定如下内容中的至少一项:
所述UE保持所述UE与所述主基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
所述UE保持所述UE与所述主基站之间所建立的所有RB的无线链路控制RLC配置;
所述UE保持所述UE与所述主基站之间所建立的所有RB的媒体接入控制MAC配置;
所述UE保持所述UE与所述主基站之间的已激活的次小区SCell的激活状态;
所述UE保持所述UE与所述主基站之间通信使用的小区无线网络临时标识符C-RNTI;
所述UE保持或暂停所述UE与所述主基站之间的数据传输。
在本发明的一些实施例中,当所述UE根据所述密钥更改命令信息,确定需要保持与所述次基站之间的接入层配置信息,和/或,需要保持与所述次基站之间的数据传输时,所述保持与所述次基站之间的接入层配置信息,和/或,保持与所述次基站之间的数据传输,所述决策模块503,具体用于确定如下内容中的至少一项:
所述UE保持所述UE与所述次基站之间所建立的所有RB的PDCP配置;
所述UE保持所述UE与所述次基站之间所建立的所有RB的RLC配置;
所述UE保持所述UE与所述次基站之间所建立的所有RB的MAC配置;
所述UE保持所述UE与所述次基站之间的已激活的SCell的激活状态;
所述UE保持所述UE与所述次基站之间通信使用的C-RNTI;
所述UE保持或暂停所述UE与所述次基站之间的数据传输。
在本发明的一些实施例中,所述密钥更改模块502,具体用于所述密钥更改模块,具体用于当所述第一基站为所述主基站时,若所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Refresh,按照Key Refresh执行与所述主基站之间的安全密钥更改;
所述决策模块503根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE500,请参阅如图5-c所示,相对于如图5-a所示的UE500,还包括如下模块中的至少一个模块:
PDCP保持模块506,用于保持所述UE与所述次基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
RLC保持模块507,用于保持所述UE与所述次基站之间所建立的所有RB的无线链路控制RLC配置;
MAC保持模块508,用于保持所述UE与所述次基站之间所建立的所有RB的媒体接入控制MAC配置;
激活保持模块509,用于保持所述UE与所述次基站之间的已激活的次小区SCell的激活状态;
C-RNTI保持模块510,用于保持所述UE与所述次基站之间通信使用的小区无线网络临时标识符C-RNTI;
第一传输控制模块511,用于保持或暂停所述UE与所述次基站之间的数据传输。
在本发明的一些实施例中,所述密钥更改模块502,参阅如图5-d所示,包括:
第一中间密钥更新子模块5021,用于基于密钥更改命令消息中指示的下一跳链接计数Next Hop Chaining Count的值,使用当前的与所述主基站对应的UE侧中间密钥或者下一跳NH更新与所述主基站对应的UE侧中间密钥;
第一密钥更改子模块5022,用于使用更新后的与所述主基站对应的UE侧中间密钥和所述主基站的安全算法生成新的与所述主基站对应的安全密钥,所述新的与所述主基站对应的安全密钥包括:所述UE与所述主基站通信时使用的加密密钥和完整性保护密钥。
在本发明的一些实施例中,所述决策模块503,还用于根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,确定所述按照Key Refresh执行与所述主基站之间的安全密钥更改是基于当前的与所述主基站对应的UE侧中间密钥进行的。
在本发明的一些实施例中,所述密钥更改模块502,具体用于根据所述密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Refresh。
在本发明的一些实施例中,所述密钥更改模块502,具体用于当所述第一基站为所述主基站时,若所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key,按照Key Re-key执行与所述主基站之间的安全密钥更改;
在本发明的一些实施例中,所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE500,请参阅如图5-e所示,相对于如图5-a所示的UE500,还包括如下模块中的至少一个模块:
PDCP重置模块512,用于重置所述UE与所述主基站之间所建立的所有RB的PDCP配置;重置所述UE与所述次基站之间所建立的所有RB的PDCP配置;
RLC重置模块513,用于重置所述UE与所述主基站之间所建立的所有RB的RLC配置;重置所述UE与所述次基站之间所建立的所有RB的RLC配置;
MAC重置模块514,用于重置所述UE与所述主基站之间所建立的所有RB的MAC配置;重置所述UE与所述次基站之间所建立的所有RB的MAC配置;
第二传输控制模块515,用于停止所述UE与所述主基站之间的数据传输;停止所述UE与所述次基站之间的数据传输。
在本发明的一些实施例中,所述密钥更改模块502,包括:
第二中间密钥更新子模块,用于基于更新后的接入层管理实体ASME中间密钥更新与所述主基站之间的UE侧中间密钥;
第一密钥更改子模块,用于根据更新后的与所述主基站对应的UE侧中间密钥和所述主基站的安全算法生成新的与所述主基站对应的安全密钥,所述新的与所述主基站对应的安全密钥包括:所述UE与所述主基站通信时使用的加密密钥和完整性保护密钥。
在本发明的一些实施例中,所述密钥更改模块,还包括:
所述第三中间密钥更新子模块,还用于所述第二中间密钥更新子模块基于接入层管理实体ASME中间密钥更新与所述主基站对应的UE侧中间密钥之后,根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息更新与所述次基站对应的UE侧中间密钥;
第二密钥更改子模块,用于根据更新后的与所述次基站对应的UE侧中间密钥和所述次基站的安全算法生成新的与所述次基站对应的安全密钥,所述新的与所述次基站对应的安全密钥包括:所述UE与所述次基站通信时使用的加密密钥。
在本发明的一些实施例中,所述密钥更改模块502,具体用于根据所述密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key。
在本发明的一些实施例中,若所述密钥更改命令消息携带指示所述UE保持与所述第二基站之间的数据传输,所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE,还包括如下模块中的至少一个模块:
PDCP保持模块,用于保持所述UE与所述第二基站之间所建立的所有RB的PDCP配置;
RLC保持模块,用于保持所述UE与所述第二基站之间所建立的所有RB的RLC配置;
MAC保持模块,用于保持所述UE与所述第二基站之间所建立的所有RB的MAC配置;
激活保持模块,用于保持所述UE与所述第二基站之间的已激活的SCell的激活状态;
C-RNTI保持模块,用于保持所述UE与所述第二基站之间通信使用的C-RNTI;
传输保持模块,用于保持所述UE与所述第二基站之间的数据传输。
在本发明的一些实施例中,若所述密钥更改命令消息携带指示所述UE暂停与所述第一基站之间的数据传输,所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE,还包括如下模块中的至少一个模块:
PDCP保持模块,用于保持所述UE与所述第一基站之间所建立的所有RB的PDCP配置;
RLC保持模块,用于保持所述UE与所述第一基站之间所建立的所有RB的RLC配置;
MAC保持模块,用于保持所述UE与所述第一基站之间所建立的所有RB的MAC配置;
激活保持模块,用于保持所述UE与所述第一基站之间的已激活的SCell的激活状态;
C-RNTI保持模块,用于保持所述UE与所述第一基站之间通信使用的C-RNTI;
传输暂停模块,用于暂停所述UE与所述第一基站之间的数据传输。
在本发明的一些实施例中,若所述密钥更改命令消息携带指示所述UE停止与所述第一基站之间的数据传输,所述决策模块根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,所述UE,还包括如下模块中的至少一个模块:
PDCP重置模块,用于重置所述UE与所述第一基站之间所建立的所有RB的PDCP配置;
RLC重置模块,用于重置所述UE与所述第一基站之间所建立的所有RB的RLC配置;
MAC重置模块,用于重置所述UE与所述第一基站之间所建立的所有RB的MAC配置;
传输停止模块,用于停止所述UE与所述第一基站之间的数据传输。
通过以上内容对本发明实施例的描述可知,主基站向UE发送密钥更改命令消息,密钥更改模块根据密钥更改命令消息执行与第一基站之间的安全密钥更改,决策模块根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输,当UE完成安全密钥更改之后,消息发送模块向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,并通过主基站可以使第一基站确定UE与第一基站之间已经完成安全密钥更改,进而第一基站和UE就可以使用新的安全密钥进行数据传输,故按照本发明实施例中可以在UE同时与MeNB和SeNB执行双连接通信时实现对安全密钥的更改。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质存储有程序,该程序执行包括上述方法实施例中记载的部分或全部步骤。
接下来介绍本发明实施例提供的另一种基站,该基站具体指的是主基站,请参阅图6所示,基站600包括:
输入装置601、输出装置602、处理器603和存储器604(其中基站600中的处理器603的数量可以一个或多个,图6中以一个处理器为例)。在本发明的一些实施例中,输入装置601、输出装置602、处理器603和存储器604可通过总线或其它方式连接,其中,图6中以通过总线连接为例。
其中,处理器603,用于执行如下步骤:
确定第一基站与用户设备UE之间需要执行安全密钥更改,其中,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
向所述UE发送密钥更改命令消息,以使所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改以及根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
接收所述UE发送的密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
在本发明的一些实施例中,处理器603还用于执行以下步骤:若所述主基站确定出的所述第一基站包括所述次基站时,接收所述UE发送的密钥更改完成消息之后,向所述次基站转发所述密钥更改完成消息,以使所述次基站确定所述UE与所述次基站之间已经完成安全密钥更改。
在本发明的一些实施例中,存储器604中存储的所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息。
在本发明的一些实施例中,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,处理器603还用于执行以下步骤向所述UE发送随机接入资源的信息,包括:向所述UE发送包含随机接入资源的信息的密钥更改命令消息,以使所述UE根据所述随机接入资源的信息与所述第一基站执行随机接入。
在本发明的一些实施例中,处理器603用于执行以下步骤:所述主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改,可以包括:
所述主基站接收移动管理实体MME发送的密钥指示命令,所述密钥指示命令用于指示所述主基站和所述UE之间执行密钥再生产Key Re-key,和/或指示所述次基站和所述UE之间执行Key Re-key;
所述主基站根据所述密钥指示命令确定出第一基站与所述UE之间执行Key Re-key。
在本发明的一些实施例中,若所述主基站确定所述第一基站与所述UE之间执行Key Re-key,存储器604中存储的所述密钥更改命令消息中携带所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息。
在本发明的一些实施例中,处理器603具体用于执行以下步骤:若所述主基站确定出的所述第一基站包括所述次基站时,确定第一基站与用户设备UE之间需要执行安全密钥更改之后,向所述次基站发送密钥更改指示消息,所述密钥更改指示消息用于指示所述次基站执行安全密钥更改,所述密钥更改指示消息包括:所述主基站根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息生成的次基站侧中间密钥,或,所述密钥更改指示消息包括:所述MME为所述次基站生成的次基站侧中间密钥。
在本发明的一些实施例中,处理器603用于执行以下步骤:确定第一基站与用户设备UE之间需要执行安全密钥更改,具体包括:
判断所述UE当前在主基站侧的分组数据汇聚协议计数PDCP Count在预置次数内是否发生反转,若所述UE当前在主基站侧的PDCP Count在预置次数发生反转,则确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为密钥刷新Key Refresh,其中,所述第一基站为所述主基站;
和/或,
当所述主基站接收到所述次基站发送的次基站侧的PDCP Count在预置次数发生反转的指示信息,或所述主基站接收到所述次基站发送的所述次基站需要执行KeyRefresh的指示信息,或所述主基站接收到所述UE上报的当前次基站侧的PDCP Count在预置次数发生反转时,确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,其中,所述第一基站为所述次基站。
在本发明的一些实施例中,存储器604中存储的所述密钥更改命令消息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
在本发明的一些实施例中,存储器604中存储的所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;
所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
在本发明的一些实施例中,存储器604中存储的所述密钥更改命令消息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
在本发明的一些实施例中,存储器604中存储的所述第一安全密钥上下文信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或KeyRefresh;所述第二安全密钥上下文信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
在本发明的一些实施例中,存储器604中存储的所述密钥更改命令消息中通过密钥改变指示Key Change Indicator字段的取值指示所述第一基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
在本发明的一些实施例中,存储器604中存储的所述密钥更改命令消息携带指示所述UE保持与所述第二基站之间的数据传输,或指示所述UE暂停与所述第一基站之间的数据传输,或指示所述UE停止与所述第一基站之间的数据传输的指示信息,当所述第二基站为所述主基站时,所述第一基站为所述次基站,当所述第二基站为所述次基站时,所述第二基站为所述主基站。
在本发明的一些实施例中,存储器604中存储的所述密钥更改命令消息具体为小区内切换HO命令消息。
通过以上内容对本发明实施例的描述可知,主基站确定第一基站与UE之间需要执行安全密钥更改,其中,第一基站包括主基站和次基站两者之中的至少一个基站,若主基站确定第一基站与UE之间需要执行安全密钥更改,主基站向UE发送密钥更改命令消息,则UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改以及根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输,当UE完成安全密钥更改之后,UE向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,并通过主基站可以使第一基站确定UE与第一基站之间已经完成安全密钥更改,进而第一基站和UE就可以使用新的安全密钥进行数据传输,故按照本发明实施例中可以在UE同时与MeNB和SeNB执行双连接通信时实现对安全密钥的更改。
接下来介绍本发明实施例提供的另一种UE,请参阅图7所示,UE700包括:
输入装置701、输出装置702、处理器703和存储器704(其中UE700中的处理器703的数量可以一个或多个,图7中以一个处理器为例)。在本发明的一些实施例中,输入装置701、输出装置702、处理器703和存储器704可通过总线或其它方式连接,其中,图7中以通过总线连接为例。
其中,处理器703,用于执行如下步骤:
接收主基站发送的密钥更改命令消息,所述密钥更改命令消息包括所述主基站命令所述UE与第一基站之间需要执行安全密钥更改的指示信息,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改;
根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
向所述主基站发送密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
在本发明的一些实施例中,所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息,处理器703还用于执行以下步骤:接收主基站发送的密钥更改命令消息之后,根据所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息确定是否在所述第一基站执行随机接入。
在本发明的一些实施例中,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,处理器703用于执行以下步骤接收主基站发送的密钥更改命令消息,包括:接收所述主基站发送的包含随机接入资源的信息的密钥更改命令消息,并根据所述随机接入资源的信息执行向所述第一基站的随机接入。
在本发明的一些实施例中,处理器703用于执行以下步骤:若所述UE接收到的所述密钥更改命令消息中包含的指示信息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改,根据所述第一指示信息和/或所述第二指示信息确定出所述第一基站为以下三种情况中的一种:所述第一基站为所述主基站、所述第一基站为所述次基站、所述第一基站为所述主基站和所述次基站。
在本发明的一些实施例中,所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:根据所述第一指示信息按照Key Re-key或Key Refresh执行与所述主基站之间的安全密钥更改;
在本发明的一些实施例中,所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:根据所述第二指示信息按照Key Re-key或Key Refresh执行与所述次基站之间的安全密钥更改。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE接收到的所述密钥更改命令消息中包含的指示信息包括:第一安全密钥上下文信息和第二安全密钥上下文信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改,则根据所述第一安全密钥上下文信息和/或所述第二安全密钥上下文信息确定出所述第一基站为以下三种情况中的一种:所述第一基站为所述主基站、所述第一基站为所述次基站、所述第一基站为所述主基站和所述次基站。
在本发明的一些实施例中,所述第一安全密钥上下文信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:根据所述第一安全密钥上下文信息按照Key Re-key或Key Refresh执行与所述主基站之间的安全密钥更改。
在本发明的一些实施例中,所述第二安全密钥上下文信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:根据所述第二安全密钥上下文信息按照Key Re-key或Key Refresh执行与所述次基站之间的安全密钥更改。
在本发明的一些实施例中,若所述密钥更改命令消息中包含的指示信息为密钥改变指示Key Change Indicator字段,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体为:通过所述Key ChangeIndicator字段的取值指示确定按照Key Re-key或Key Refresh执行与所述第一基站之间的安全密钥更改。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令信息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,具体包括:
根据所述密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与所述主基站或次基站之间的接入层配置信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与所述主基站或所述次基站之间的接入层配置信息,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的密钥改变指示Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
根据所述密钥更改命令消息中包含的指示所述UE保持与所述主基站或次基站之间的数据传输的指示信息确定是否保持与所述主基站或所述次基站之间的接入层配置信息。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的接入层配置信息,具体包括:
当根据所述Key Change Indicator字段确定需要执行Key Re-key时,确定不保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
当根据所述Key Change Indicator字段确定需要基于与所述主基站对应的UE侧中间密钥执行Key Refresh时,确定保持与所述主基站或所述次基站之间的接入层配置信息;
或者,
当根据所述Key Change Indicator字段确定需要基于下一跳NH执行Key Refresh时,确定保持与所述主基站或所述次基站之间的接入层配置信息。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令信息,确定是否保持与所述主基站或所述次基站之间的数据传输,具体包括:
根据所述密钥更改命令消息中包含的第一指示信息和第二指示信息确定是否保持与所述主基站或所述次基站之间的数据传输,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的第一安全密钥上下文信息和第二安全密钥上下文信息确定是否保持与所述主基站或所述次基站之间的数据传输,其中,所述第一安全密钥上下文信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二安全密钥上下文信息用于指示所述次基站与所述UE之间需要执行安全密钥更改;
或者,
根据所述密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的数据传输;
或者,
根据所述密钥更改命令消息中包含的指示所述UE保持与所述主基站或次基站之间的数据传输的指示信息确定是否保持与所述主基站或所述次基站之间的数据传输。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息中包含的Key Change Indicator字段确定是否保持与所述主基站或所述次基站之间的数据传输,具体包括:
当根据所述Key Change Indicator字段确定需要执行Key Re-key时,确定不保持与所述主基站以及次基站之间的数据传输;或者,
当根据所述Key Change Indicator字段确定需要基于与所述主基站对应的UE侧中间密钥执行Key Refresh时,确定保持与所述次基站之间的数据传输;
或者,
当根据所述Key Change Indicator字段确定需要基于NH执行Key Refresh时,确定保持与所述次基站之间的数据传输。
在本发明的一些实施例中,当所述UE根据所述密钥更改命令信息,确定需要保持与所述主基站之间的接入层配置信息,和/或,需要保持与所述主基站之间的数据传输时,处理器703用于执行以下步骤:所述保持与所述主基站之间的接入层配置信息,和/或,保持与所述主基站之间的数据传输,包括如下步骤中的至少一个步骤:
保持所述UE与所述主基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
保持所述UE与所述主基站之间所建立的所有RB的无线链路控制RLC配置;
保持所述UE与所述主基站之间所建立的所有RB的媒体接入控制MAC配置;
保持所述UE与所述主基站之间的已激活的次小区SCell的激活状态;
保持所述UE与所述主基站之间通信使用的小区无线网络临时标识符C-RNTI;
保持或暂停所述UE与所述主基站之间的数据传输。
在本发明的一些实施例中,当所述UE根据所述密钥更改命令信息,确定需要保持与所述次基站之间的接入层配置信息,和/或,需要保持与所述次基站之间的数据传输时,处理器703用于执行以下步骤:所述保持与所述次基站之间的接入层配置信息,和/或,保持与所述次基站之间的数据传输,包括如下步骤中的至少一个步骤:
保持所述UE与所述次基站之间所建立的所有RB的PDCP配置;
保持所述UE与所述次基站之间所建立的所有RB的RLC配置;
保持所述UE与所述次基站之间所建立的所有RB的MAC配置;
保持所述UE与所述次基站之间的已激活的SCell的激活状态;
保持所述UE与所述次基站之间通信使用的C-RNTI;
保持或暂停所述UE与所述次基站之间的数据传输。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体包括:
当所述第一基站为所述主基站时,若所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Refresh,按照Key Refresh执行与所述主基站之间的安全密钥更改;
根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,处理器703用于执行以下步骤中的至少一个步骤:
保持所述UE与所述次基站之间所建立的所有无线承载RB的分组数据汇聚协议PDCP配置;
保持所述UE与所述次基站之间所建立的所有RB的无线链路控制RLC配置;
保持所述UE与所述次基站之间所建立的所有RB的媒体接入控制MAC配置;
保持所述UE与所述次基站之间的已激活的次小区SCell的激活状态;
保持所述UE与所述次基站之间通信使用的小区无线网络临时标识符C-RNTI;
保持或暂停所述UE与所述次基站之间的数据传输。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE按照KeyRefresh执行与所述主基站之间的安全密钥更改,具体包括:
基于密钥更改命令消息中指示的下一跳链接计数Next Hop Chaining Count的值,使用当前的与所述主基站对应的UE侧中间密钥或者下一跳NH更新与所述主基站对应的UE侧中间密钥;
使用更新后的与所述主基站对应的UE侧中间密钥和所述主基站的安全算法生成新的与所述主基站对应的安全密钥,所述新的与所述主基站对应的安全密钥包括:所述UE与所述主基站通信时使用的加密密钥和完整性保护密钥。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之前,确定所述按照Key Refresh执行与所述主基站之间的安全密钥更改是基于当前的与所述主基站对应的UE侧中间密钥进行的。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Refresh,具体为:
根据所述密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定所述主基站与所述UE之间执行安全密钥更改的方式为KeyRefresh。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改,具体包括:当所述第一基站为所述主基站时,若所述UE根据所述密钥更改命令消息确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key,按照Key Re-key执行与所述主基站之间的安全密钥更改;
根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,处理器703还用于执行以下步骤中的至少一个步骤:
重置所述UE与所述主基站之间所建立的所有RB的PDCP配置;
重置所述UE与所述次基站之间所建立的所有RB的PDCP配置;
重置所述UE与所述主基站之间所建立的所有RB的RLC配置;
重置所述UE与所述次基站之间所建立的所有RB的RLC配置;
重置所述UE与所述主基站之间所建立的所有RB的MAC配置;
重置所述UE与所述次基站之间所建立的所有RB的MAC配置;
停止所述UE与所述主基站之间的数据传输;
停止所述UE与所述次基站之间的数据传输。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE按照Key Re-key执行与所述主基站之间的安全密钥更改,具体包括:
基于更新后的接入层管理实体ASME中间密钥更新与所述主基站之间的UE侧中间密钥;
根据更新后的与所述主基站对应的UE侧中间密钥和所述主基站的安全算法生成新的与所述主基站对应的安全密钥,所述新的与所述主基站对应的安全密钥包括:所述UE与所述主基站通信时使用的加密密钥和完整性保护密钥。
在本发明的一些实施例中,处理器703还用于执行以下步骤:所述UE基于更新后的接入层管理实体ASME中间密钥更新与所述主基站之间的UE侧中间密钥之后,根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息更新与所述次基站对应的UE侧中间密钥;
根据更新后的与所述次基站对应的UE侧中间密钥和所述次基站的安全算法生成新的与所述次基站对应的安全密钥,所述新的与所述次基站对应的安全密钥包括:所述UE与所述次基站通信时使用的加密密钥。
在本发明的一些实施例中,处理器703用于执行以下步骤:所述UE根据所述密钥更改命令消息包含的指示信息确定所述主基站与所述UE之间执行安全密钥更改的方式为KeyRe-key,具体为:
根据所述密钥更改命令消息中携带的第一指示信息或第一安全密钥上下文信息或安全上下文信息,确定所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key。
在本发明的一些实施例中,若所述密钥更改命令消息中包含的指示信息指示所述UE保持与所述第二基站之间的数据传输,所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,处理器703还用于执行以下步骤中的至少一个步骤:
保持所述UE与所述第二基站之间所建立的所有RB的PDCP配置,当所述第二基站为所述主基站时,所述第一基站为所述次基站,当所述第二基站为所述次基站时,所述第二基站为所述主基站;
保持所述UE与所述第二基站之间所建立的所有RB的RLC配置;
保持所述UE与所述第二基站之间所建立的所有RB的MAC配置;
保持所述UE与所述第二基站之间的已激活的SCell的激活状态;
保持所述UE与所述第二基站之间通信使用的C-RNTI;
保持所述UE与所述第二基站之间的数据传输。
在本发明的一些实施例中,若所述密钥更改命令消息携带指示所述UE暂停与所述第一基站之间的数据传输,所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,处理器703还用于执行以下步骤中的至少一个步骤:
保持所述UE与所述第一基站之间所建立的所有RB的PDCP配置;
保持所述UE与所述第一基站之间所建立的所有RB的RLC配置;
保持所述UE与所述第一基站之间所建立的所有RB的MAC配置;
保持所述UE与所述第一基站之间的已激活的SCell的激活状态;
保持所述UE与所述第一基站之间通信使用的C-RNTI;
暂停所述UE与所述第一基站之间的数据传输。
在本发明的一些实施例中,若所述密钥更改命令消息携带指示所述UE停止与所述第一基站之间的数据传输,所述UE根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输之后,处理器703用于执行以下步骤中的至少一个步骤:
重置所述UE与所述第一基站之间所建立的所有RB的PDCP配置;
重置所述UE与所述第一基站之间所建立的所有RB的RLC配置;
重置所述UE与所述第一基站之间所建立的所有RB的MAC配置;
停止所述UE与所述第一基站之间的数据传输。
通过以上内容对本发明实施例的描述可知,主基站向UE发送密钥更改命令消息,UE根据密钥更改命令消息执行与第一基站之间的安全密钥更改以及根据密钥更改命令消息,确定是否保持与主基站或次基站之间的接入层配置信息,和/或,是否保持与主基站或次基站之间的数据传输,当UE完成安全密钥更改之后,UE向主基站发送密钥更改完成消息,则主基站可以接收到UE发送的密钥更改完成消息,并通过主基站可以使第一基站确定UE与第一基站之间已经完成安全密钥更改,进而第一基站和UE就可以使用新的安全密钥进行数据传输,故按照本发明实施例中可以在UE同时与MeNB和SeNB执行双连接通信时实现对安全密钥的更改。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本发明而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
综上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照上述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对上述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种安全密钥更改方法,其特征在于,包括:
主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改,其中,所述第一基站包括所述主基站和次基站两者之中的至少一个基站;
所述主基站向所述UE发送密钥更改命令消息,以使所述UE根据所述密钥更改命令消息执行与所述第一基站之间的安全密钥更改以及根据所述密钥更改命令消息,确定是否保持与所述主基站或所述次基站之间的接入层配置信息,和/或,是否保持与所述主基站或所述次基站之间的数据传输;
所述主基站接收所述UE发送的密钥更改完成消息,以使所述第一基站确定所述UE与所述第一基站之间已经完成安全密钥更改。
2.根据权利要求1所述的方法,其特征在于,若所述主基站确定出的所述第一基站包括所述次基站时,所述主基站接收所述UE发送的密钥更改完成消息之后,还包括:
所述主基站向所述次基站转发所述密钥更改完成消息,以使所述次基站确定所述UE与所述次基站之间已经完成安全密钥更改。
3.根据权利要求1所述的方法,其特征在于,所述密钥更改命令消息携带指示所述UE是否在所述第一基站执行随机接入的指示信息。
4.根据权利要求3所述的方法,其特征在于,若所述密钥更改命令消息指示所述UE在所述第一基站执行随机接入时,所述主基站向所述UE发送密钥更改命令消息,包括:
所述主基站向所述UE发送包含随机接入资源的信息的密钥更改命令消息,以使所述UE根据所述随机接入资源的信息与所述第一基站执行随机接入。
5.根据权利要求1所述的方法,其特征在于,所述主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改,包括:
所述主基站接收移动管理实体MME发送的密钥指示命令,所述密钥指示命令用于指示所述主基站和所述UE之间执行密钥再生产Key Re-key,和/或指示所述次基站和所述UE之间执行Key Re-key;
所述主基站根据所述密钥指示命令确定出第一基站与所述UE之间执行Key Re-key。
6.根据权利要求5所述的方法,其特征在于,若所述主基站确定所述第一基站与所述UE之间执行Key Re-key,所述密钥更改命令消息中携带所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息。
7.根据权利要求1所述的方法,其特征在于,若所述主基站确定出的所述第一基站包括所述次基站时,所述主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改之后,还包括:
所述主基站向所述次基站发送密钥更改指示消息,所述密钥更改指示消息用于指示所述次基站执行安全密钥更改,所述密钥更改指示消息包括:所述主基站根据更新后的主基站侧中间密钥、所述次基站的与安全密钥更改相关联的小区信息或与安全密钥更改相关联的基站信息生成的次基站侧中间密钥,或,所述密钥更改指示消息包括:所述MME为所述次基站生成的次基站侧中间密钥。
8.根据权利要求1所述的方法,其特征在于,所述主基站MeNB确定第一基站与用户设备UE之间需要执行安全密钥更改,包括:
所述主基站判断所述UE当前在主基站侧的分组数据汇聚协议计数PDCP Count在预置次数内是否发生反转,若所述UE当前在主基站侧的PDCP Count在预置次数发生反转,则所述主基站确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为密钥刷新Key Refresh,其中,所述第一基站为所述主基站;
和/或,
当所述主基站接收到所述次基站发送的次基站侧的PDCP Count在预置次数发生反转的指示信息,或所述主基站接收到所述次基站发送的所述次基站需要执行Key Refresh的指示信息,或所述主基站接收到所述UE上报的当前次基站侧的PDCP Count在预置次数发生反转时,所述主基站确定第一基站与所述UE之间需要执行安全密钥更改,并且确定采用的方式为Key Refresh,其中,所述第一基站为所述次基站。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述密钥更改命令消息包括:第一指示信息和第二指示信息,其中,所述第一指示信息用于指示所述主基站与所述UE之间需要执行安全密钥更改,所述第二指示信息用于指示所述次基站与所述UE之间需要执行安全密钥更改。
10.根据权利要求9所述的方法,其特征在于,所述第一指示信息中还包括:指示所述主基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh;
所述第二指示信息中还包括:指示所述次基站与所述UE之间执行安全密钥更改的方式为Key Re-key或Key Refresh。
CN201910228639.8A 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备 Active CN110072233B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910228639.8A CN110072233B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/CN2014/071675 WO2015113207A1 (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备
CN201910228639.8A CN110072233B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备
CN201480000162.3A CN105103517B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201480000162.3A Division CN105103517B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备

Publications (2)

Publication Number Publication Date
CN110072233A true CN110072233A (zh) 2019-07-30
CN110072233B CN110072233B (zh) 2022-10-18

Family

ID=53756103

Family Applications (3)

Application Number Title Priority Date Filing Date
CN201480000162.3A Active CN105103517B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备
CN201910228639.8A Active CN110072233B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备
CN201910229212.XA Active CN109951281B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及计算机可读存储介质

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201480000162.3A Active CN105103517B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及用户设备

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201910229212.XA Active CN109951281B (zh) 2014-01-28 2014-01-28 一种安全密钥更改方法和基站及计算机可读存储介质

Country Status (8)

Country Link
US (1) US10855461B2 (zh)
EP (2) EP3099029B1 (zh)
JP (1) JP6416918B2 (zh)
KR (2) KR102040036B1 (zh)
CN (3) CN105103517B (zh)
BR (1) BR112016017475A8 (zh)
ES (1) ES2759428T3 (zh)
WO (1) WO2015113207A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021239076A1 (zh) * 2020-05-27 2021-12-02 维沃移动通信有限公司 密钥获取方法、装置、用户设备及网络侧设备

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105103606B (zh) * 2013-05-09 2018-12-11 英特尔Ip公司 缓冲器溢出的减少
CN105850167B (zh) 2013-12-24 2019-07-23 日本电气株式会社 Sce所用的设备、系统和方法
ES2759428T3 (es) * 2014-01-28 2020-05-11 Huawei Tech Co Ltd Método de cambio de clave de seguridad y equipo de usuario
CN104936173B (zh) * 2014-03-18 2022-02-25 华为技术有限公司 密钥生成方法、主基站、辅基站及用户设备
EP3122142A4 (en) 2014-03-20 2017-11-01 Kyocera Corporation User terminal, communications control method, and base station
US10244444B2 (en) * 2015-03-04 2019-03-26 Qualcomm Incorporated Dual link handover
US10368238B2 (en) 2015-12-01 2019-07-30 Htc Corporation Device and method of handling data transmission/reception for dual connectivity
WO2017173561A1 (en) * 2016-04-05 2017-10-12 Nokia Solutions And Networks Oy Optimized security key refresh procedure for 5g mc
EP3574668B1 (en) * 2017-01-27 2022-08-03 Telefonaktiebolaget LM Ericsson (PUBL) Key change procedure
PT3574669T (pt) 2017-01-30 2021-10-26 Ericsson Telefon Ab L M Gestão de contexto de segurança em 5g durante o modo conectado
CN108810888B (zh) * 2017-05-05 2020-09-18 华为技术有限公司 秘钥更新方法和设备
CN109246773B (zh) * 2017-06-05 2020-06-26 维沃移动通信有限公司 一种数据传输方法和装置
CN109309918B (zh) * 2017-07-27 2021-06-08 华为技术有限公司 通信方法、基站和终端设备
CA3075835C (en) 2017-09-28 2023-08-15 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Wireless communication method and terminal device
JP7162065B2 (ja) * 2018-01-12 2022-10-27 ノキア テクノロジーズ オーユー パケットカウンタ値のラップアラウンドが差し迫っていることをマスターノードに通知する装置および方法
CN113573423B (zh) 2018-05-30 2024-01-16 华为技术有限公司 一种通信方法及装置
KR102655629B1 (ko) * 2018-10-26 2024-04-08 삼성전자주식회사 이동 통신 시스템에서 핸드오버를 수행하는 방법 및 장치
CN111565425B (zh) * 2019-02-14 2021-08-27 华为技术有限公司 通信方法、通信装置和计算机可读存储介质
CN111800832B (zh) * 2019-08-01 2021-09-17 维沃移动通信有限公司 数据发送方法、用户设备ue及介质
US11363662B2 (en) * 2019-11-20 2022-06-14 Lg Electronics Inc. Method and apparatus for reporting a connection failure with a target network during handover in a wireless communication system

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070224986A1 (en) * 2006-03-24 2007-09-27 Sanjay Bakshi Reduced wireless context caching apparatus, systems, and methods
CN102104982A (zh) * 2010-04-01 2011-06-22 电信科学技术研究院 一种多载波系统的连接重建方法和设备
CN102740289A (zh) * 2012-06-15 2012-10-17 电信科学技术研究院 一种密钥更新方法、装置及系统
WO2013005989A2 (ko) * 2011-07-04 2013-01-10 삼성전자주식회사 이동 기기에 대한 그룹 키 관리를 위한 방법 및 장치
CN103155639A (zh) * 2010-09-28 2013-06-12 捷讯研究有限公司 当ue移出住宅、企业网络覆盖时释放与本地gw的连接
US20130310006A1 (en) * 2011-01-28 2013-11-21 Huawei Technologies Co., Ltd. Method and device for key generation
CN103533586A (zh) * 2012-07-03 2014-01-22 电信科学技术研究院 切换过程中的信令交互及层重建的方法和设备
CN105103517A (zh) * 2014-01-28 2015-11-25 华为技术有限公司 一种安全密钥更改方法和基站及用户设备

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1937837A (zh) * 2005-09-19 2007-03-28 华为技术有限公司 一种移动终端位置变化时获得授权密钥的方法及装置
CN101047978A (zh) * 2006-03-27 2007-10-03 华为技术有限公司 对用户设备中的密钥进行更新的方法
JP4818345B2 (ja) * 2007-12-05 2011-11-16 イノヴァティヴ ソニック リミテッド セキュリティーキー変更を処理する方法及び通信装置
TW200931918A (en) * 2007-12-07 2009-07-16 Interdigital Patent Holdings Method and apparatus for supporting configuration and control of the RLC and PDCP sub-layers
US8477811B2 (en) * 2008-02-02 2013-07-02 Qualcomm Incorporated Radio access network (RAN) level keep alive signaling
US8666077B2 (en) 2008-05-07 2014-03-04 Alcatel Lucent Traffic encryption key generation in a wireless communication network
CN101801096B (zh) * 2009-02-10 2013-06-05 电信科学技术研究院 一种随机接入的方法、系统及设备
US20100304748A1 (en) * 2009-04-27 2010-12-02 Tero Henttonen Apparatus and Method for Handover in a Communication System
US20100278037A1 (en) * 2009-04-29 2010-11-04 Yu-Chih Jen Method of Handling Identity Confusion and Related Communication Device
US9326211B2 (en) * 2010-06-10 2016-04-26 Interdigital Patent Holdings, Inc. Reconfiguration and handover procedures for fuzzy cells
CN103139911B (zh) 2011-11-25 2016-10-05 华为技术有限公司 实现载波聚合的方法、基站和用户设备
US9655012B2 (en) * 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
US9699825B2 (en) * 2013-01-16 2017-07-04 Lg Electronics Inc. Method and apparatus for transmitting indication in wireless communication system
GB2509937A (en) 2013-01-17 2014-07-23 Nec Corp Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations
US20160021581A1 (en) * 2013-01-17 2016-01-21 Interdigital Patent Holdings, Inc. Packet data convergence protocol (pdcp) placement
CN104956644B (zh) * 2013-01-30 2018-01-16 瑞典爱立信有限公司 用于安全密钥生成的方法和锚基站
US9357460B2 (en) * 2013-03-22 2016-05-31 Sharp Kabushiki Kaisha Systems and methods for establishing multiple radio connections
US9078241B2 (en) * 2013-03-22 2015-07-07 Sharp Kabushiki Kaisha Systems and methods for establishing multiple radio connections
US10075881B2 (en) * 2013-04-02 2018-09-11 Lg Electronics Inc. Method for performing a cell change procedure in a wireless communication system and a device therefor
WO2014165747A1 (en) * 2013-04-05 2014-10-09 Interdigital Patent Holdings, Inc. Securing peer-to-peer and group communications
CN105103606B (zh) * 2013-05-09 2018-12-11 英特尔Ip公司 缓冲器溢出的减少
WO2015009075A1 (en) * 2013-07-17 2015-01-22 Lg Electronics Inc. Method and apparatus for performing handover procedure for dual connectivity in wireless communication system
US20160295597A1 (en) * 2013-07-26 2016-10-06 Intel IP Corporation Signaling interference information for user equipment assistance
KR102078866B1 (ko) * 2013-08-09 2020-02-19 삼성전자주식회사 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안
CN105874745B (zh) * 2013-10-30 2019-08-13 交互数字专利控股公司 无线系统中的载波聚合配置
US9572171B2 (en) * 2013-10-31 2017-02-14 Intel IP Corporation Systems, methods, and devices for efficient device-to-device channel contention
CN103959829B (zh) * 2013-11-01 2018-09-21 华为技术有限公司 一种双连接模式下的密钥处理方法和设备
US9497673B2 (en) * 2013-11-01 2016-11-15 Blackberry Limited Method and apparatus to enable multiple wireless connections
US10178589B2 (en) * 2013-12-20 2019-01-08 Telefonaktiebolaget Lm Ericsson (Publ) Methods in a radio access node for obtaining neighbouring information and radio access nodes
CN105850167B (zh) 2013-12-24 2019-07-23 日本电气株式会社 Sce所用的设备、系统和方法
ES2860687T3 (es) * 2014-01-17 2021-10-05 Samsung Electronics Co Ltd Modo de operación de conectividad dual de un equipo de usuario en una red de comunicación inalámbrica
CN104936174B (zh) * 2014-03-21 2019-04-19 上海诺基亚贝尔股份有限公司 在基于用户平面1a架构的双连接情形下更新密钥的方法
EP3164976A1 (en) * 2014-07-03 2017-05-10 Nokia Solutions and Networks Oy Method and apparatus

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070224986A1 (en) * 2006-03-24 2007-09-27 Sanjay Bakshi Reduced wireless context caching apparatus, systems, and methods
WO2007112223A1 (en) * 2006-03-24 2007-10-04 Intel Corporation Reduced wireless context caching apparatus, systems, and methods
CN101411093A (zh) * 2006-03-24 2009-04-15 英特尔公司 减少的无线上下文高速缓存装置、系统和方法
CN102104982A (zh) * 2010-04-01 2011-06-22 电信科学技术研究院 一种多载波系统的连接重建方法和设备
CN103155639A (zh) * 2010-09-28 2013-06-12 捷讯研究有限公司 当ue移出住宅、企业网络覆盖时释放与本地gw的连接
US20130310006A1 (en) * 2011-01-28 2013-11-21 Huawei Technologies Co., Ltd. Method and device for key generation
WO2013005989A2 (ko) * 2011-07-04 2013-01-10 삼성전자주식회사 이동 기기에 대한 그룹 키 관리를 위한 방법 및 장치
CN102740289A (zh) * 2012-06-15 2012-10-17 电信科学技术研究院 一种密钥更新方法、装置及系统
CN103533586A (zh) * 2012-07-03 2014-01-22 电信科学技术研究院 切换过程中的信令交互及层重建的方法和设备
CN105103517A (zh) * 2014-01-28 2015-11-25 华为技术有限公司 一种安全密钥更改方法和基站及用户设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HUAWEI: "Security for SCE arc.1A", 《3GPP DRAFT》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021239076A1 (zh) * 2020-05-27 2021-12-02 维沃移动通信有限公司 密钥获取方法、装置、用户设备及网络侧设备

Also Published As

Publication number Publication date
CN109951281A (zh) 2019-06-28
KR20160113282A (ko) 2016-09-28
KR102040036B1 (ko) 2019-11-04
JP6416918B2 (ja) 2018-10-31
CN110072233B (zh) 2022-10-18
US20160337848A1 (en) 2016-11-17
EP3668044B1 (en) 2021-12-15
KR101924548B1 (ko) 2018-12-03
ES2759428T3 (es) 2020-05-11
CN105103517A (zh) 2015-11-25
EP3099029A1 (en) 2016-11-30
CN105103517B (zh) 2019-04-05
JP2017507576A (ja) 2017-03-16
EP3099029A4 (en) 2016-11-30
WO2015113207A1 (zh) 2015-08-06
KR20180128530A (ko) 2018-12-03
EP3668044A1 (en) 2020-06-17
EP3099029B1 (en) 2019-09-25
CN109951281B (zh) 2022-04-22
US10855461B2 (en) 2020-12-01
BR112016017475A8 (pt) 2020-06-16

Similar Documents

Publication Publication Date Title
CN105103517B (zh) 一种安全密钥更改方法和基站及用户设备
EP3577928B1 (en) Handover with zero ms user plane interruption
US10362519B2 (en) Handover apparatus and method
US11596011B2 (en) Dual connectivity network
CN102215485B (zh) 多载波通信系统中保证多载波切换或重建安全性的方法
CN112352451A (zh) 最小移动中断的小区切换方法
JP6412088B2 (ja) デュアルコネクティビティのためのデータ送信/データ受信をハンドリングするデバイス及び方法
WO2019062996A1 (zh) 一种安全保护的方法、装置和系统
EP3171635B1 (en) Path switching method, mobile anchor point and base station
CN104812010A (zh) 一种在小小区增强场景下支持ue恢复的方法
JP6586212B2 (ja) セキュリティキー変更方法、基地局、およびユーザ機器
CN109792602B (zh) 一种支撑数据传输的方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant