CN110574334B - 提供安全信息 - Google Patents

Abstract

提供了与例如在5G或新的无线电接入技术(NR)中提供安全信息有关的系统、方法、装置以及计算机程序产品。一种方法可以包括由网络节点预先向至少一个用户设备发送用于生成安全密钥的新参数。该方法还可以包括执行完整性检查，以确定至少一个用户设备是否正使用正确的参数生成安全密钥。

Description

提供安全信息

相关申请的交叉引用

本申请要求于2017年5月5日提交的美国临时申请No.62/502,002的优先权。该在先申请的全部内容通过引用全部并入本文中。

技术领域

本发明的实施例一般涉及无线或移动通信网络，诸如但不限于通用移动电信系统(UMTS)地面无线电接入网(UTRAN)、长期演进(LTE)演进型UTRAN(E-UTRAN)、高级LTE(LTE-A)、LTE-A Pro、和/或5G无线电接入技术或新的无线电接入技术(NR)。一些实施例一般可以涉及例如5G或NR中的安全处理。

背景技术

通用移动电信系统(UMTS)地面无线电接入网(UTRAN)是指包括基站或节点B以及例如无线电网络控制器(RNC)的通信网络。UTRAN允许用户设备(UE)与核心网络之间的连接。RNC提供用于一个或多个节点B的控制功能。RNC及其对应的节点B被称为无线电网络子系统(RNS)。在E-UTRAN(增强型UTRAN)的情况下，不存在RNC，并且由演进型节点B(eNodeB或eNB)或许多eNB提供无线电接入功能。例如，在协作多点传输(CoMP)的情况下和在双连接中，针对单个UE连接涉及多个eNB。

长期演进(LTE)或E-UTRAN涉及通过提高效率和服务、降低成本以及使用新的频谱机会来改善UMTS。特别地，LTE是提供例如至少每载波75兆比特每秒(Mbps)的上行链路峰值速率和例如至少每载波300Mbps的下行链路峰值速率的3GPP标准。LTE支持从20MHz下至1.4MHz的可扩展载波带宽范围，并且支持频分双工(FDD)和时分双工(TDD)两者。

如上所述，LTE还可以提高网络中的频谱效率，从而允许载波在给定带宽上提供更多的数据和语音服务。因此，除了高容量语音支持之外，LTE还被设计以满足针对高速数据和介质传送的需求。LTE的优势例如包括高吞吐量、低延迟、在同一平台上支持FDD和TDD、改进的终端用户体验、以及导致降低运营成本的简单架构。

3GPP LTE的某些版本(例如，LTE Rel-10、LTE Rel-11、LTE Rel-12、LTE Rel-13)针对于国际移动电信高级(IMT-A)系统，在本文中为了方便起见简单地称为高级LTE(LTE-A)。

LTE-A针对扩展和优化3GPP LTE无线电接入技术。LTE-A的目标是通过更高的数据速率和更低的延迟以及降低的成本来提供显著增强的服务。LTE-A是满足针对高级IMT的国际电信联盟无线电(ITU-R)要求同时保持向后兼容性的更优化的无线电系统。在LTE Rel-10中引入的LTE-A的关键特征之一是载波聚合，其允许通过两个或更多个LTE载波的聚合来提高数据速率。

第五代(5G)或新无线电(NR)无线系统是指下一代(NG)无线电系统和网络架构。估计5G将提供10-20Gbit/s量级的比特速率。5G将至少支持增强型移动宽带(eMBB)和超可靠低延迟通信(URLLC)。预计5G还可以将网络扩展能力提高到数十万个连接。预期5G的信号技术将得到改进，以实现更大的覆盖范围以及频谱和信令效率。预计5G将实现极宽带和超稳健的低延迟连接和大规模联网以支持物联网(IoT)。随着物联网和机器对机器(M2M)通信的日益普及，对网络满足低功耗、低数据速率和长电池寿命需求的需求将日益增长。在5G或NR中，节点B或eNB可被称为下一代节点B(gNB)。

发明内容

一个实施例涉及一种方法，其可以包括由网络节点预先向至少一个用户设备发送用于生成安全密钥的新参数。该方法还可以包括执行完整性检查以确定至少一个用户设备是否正使用正确的参数生成安全密钥。

另一个实施例涉及一种装置，其可以包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少预先向至少一个用户设备发送用于生成安全密钥的新参数；以及执行完整性检查以确定至少一个用户设备是否正使用正确的参数生成安全密钥。

另一个实施例涉及一种装置，其可以包括：发送装置，用于由网络节点预先向至少一个用户设备发送用于生成安全密钥的新参数；以及执行装置，用于执行完整性检查以确定至少一个用户设备是否正使用正确的参数生成安全密钥。

另一个实施例涉及一种非暂时性计算机可读介质，其包括存储在其上的程序指令，程序指令用于至少执行以下操作：由网络节点预先向至少一个用户设备发送用于生成安全密钥的新参数；以及执行完整性检查以确定至少一个用户设备是否正使用正确的参数生成安全密钥。

另一个实施例涉及一种方法，其可以包括预先从网络节点接收用于生成用于用户设备的安全密钥的新参数。该方法还可以包括由用户设备基于新参数或用户设备驻留的小区的小区标识符中的至少一个，生成新的安全密钥。

另一个实施例涉及一种装置，其可以包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少：预先从网络节点接收用于生成用于该装置的安全密钥的新参数以及基于新参数或该装置驻留的小区的小区标识符中的至少一个，生成新的安全密钥。

另一个实施例涉及一种装置，其可以包括：接收装置，用于预先从网络节点接收用于生成用于该装置的安全密钥的新参数；以及生成装置，用于基于新参数或该装置驻留的小区的小区标识符中的至少一个，生成新的安全密钥。

另一个实施例涉及一种非暂时性计算机可读介质，其包括存储在其上的程序指令，程序指令用于至少执行以下操作：预先从网络节点接收用于生成用于用户设备的安全密钥的新参数；以及由用户设备基于新参数或用户设备驻留的小区的小区标识符中的至少一个，生成新的安全密钥。

附图说明

为了正确地理解本发明，应当参考附图，其中：

图1示出描绘在NR中的UE状态机和状态转换的示例的框图；

图2a示出根据实施例的装置的示例性框图；

图2b示出根据另一个实施例的装置的示例性框图；

图3a示出根据实施例的方法的示例性流程图；

图3b示出根据另一个实施例的方法的示例性流程图。

具体实施方式

将容易理解，如在本文的附图中一般性地描述和示出的，可以采用各种不同的配置来布置和设计本发明的组件。因此，如在附图中所示并且在下面描述的与例如5G或新的无线电接入技术(NR)中的安全处理有关的系统、方法、装置以及计算机程序产品的实施例的以下详细描述并非旨在限制本发明的范围，而是代表所选择的本发明的实施例。

在本说明书中描述的本发明的特征、结构或特性可以在一个或多个实施例中采用任何适合的方式进行组合。例如，在本说明书中，短语“某些实施例”、“一些实施例”或其它类似的语言的使用是指以下事实：结合该实施例描述的特定特征、结构或特性可以包括在本发明的至少一个实施例中。因此，在本说明书中，短语“在某些实施例中”、“在一些实施例中”、“在其它实施例中”或其它类似的语言的出现并非全部是指同一组实施例，并且所描述的特征、结构或特性可以在一个或多个实施例中采用任何适合的方式进行组合。

此外，如果需要，则在下面讨论的不同功能可以采用不同的顺序执行和/或彼此同时执行。此外，如果需要，则所描述的功能中的一个或多个可以是可选的或者可以进行组合。因此，以下描述应被认为仅仅是说明本发明的原理、教导和实施例，而不是对其进行限制。

图1示出了描绘在NR中的UE状态机和状态转换的示例的框图。如图1中所示，NR无线电资源控制(RRC)可以包括三个状态模型：RRC空闲(RRC_IDLE)、RRC连接(RRC_CONNECTED)和RRC不活动(RRC_INACTIVE)。在RRC空闲中，存在小区重新选择移动性(将确定UE AS上下文是否未被存储在任何gNB或UE中)，由核心网络(CN)发起寻呼，并且由CN管理寻呼区域。在RRC不活动中，存在小区重新选择移动性，已经为UE建立了CN-NR RAN连接(C/U平面两者)，UE AS上下文被存储在至少一个gNB以及UE中，由NR RAN发起寻呼，由NR RAN管理基于RAN的通知区域，并且NR RAN知道UE所属的基于RAN的通知区域。在RRC连接中，UE具有NR RRC连接，UE在NR中具有AS上下文，NR RAN知道UE所属的小区、向/从UE单播数据的传送、以及网络控制的移动性，即，在NR内以及向/从E-UTRAN的切换。

本公开的某些实施例可以涉及NR RRC不活动状态和安全处理。

通常，当UE建立或恢复与网络的RRC连接时，需要生成新的安全密钥。这当前采用如下方式实现：UE在上行链路中发送消息(例如，RRC连接恢复请求)，并且网络用密钥更新提议(例如，具有下一跳链接计数器(NCC)字段的RRC连接恢复)响应。UE可以确认对此的接收并且使用新的密钥(例如，用RRC连接恢复完成)。已经提出了通过在释放/失活消息(将UE移动到不活动状态的消息)中向UE提供下一跳链接计数器(NCC)来省略第三步，然后将不需要UE确认对安全密钥的更新提议的接收。然而，在UE没有从网络获得释放命令的情况下，例如，在无线电链路故障(RLF)或切换(HO)故障或RRC连接重新配置故障或任何可能会导致RRC连接重新建立尝试的其它故障的情况下，该方法将不起作用。

根据实施例，当UE移动到连接状态和/或已经激活针对当前连接的安全性时，向UE提供新的NCC或用于生成密钥的等效参数。因此，当UE遇到例如RLF或HO故障或重新配置故障或任何其它无线电故障并且它恢复/重新建立RRC连接时，它可以使用从一开始就已经基于新的NCC而生成的新的密钥，诸如用于生成用于恢复消息的适当的MAC-I/短MAC-I，网络可以从其中确定UE的RRC消息的完整性并认证UE，并且可以省略完成消息发送(即，msg5)。由于新的密钥可被应用于数据加密，因此这还可以使得UE能够发送已经与恢复消息在一起的新数据。

在实施例中，网络可以例如用RRC连接重新配置消息更新NCC，并且用UE的RRC连接重新配置完成消息确认新的NCC的接收。根据一些实施例，诸如RLF、HO故障、重新配置故障等的故障事件可以用作用于UE应用新的NCC的触发器。

在某些实施例中，只有当UE在故障事件之后和/或在RRC连接恢复时选择或重新选择了新的小区时，UE才可以应用新的NCC。这可以使得在不需要更改密钥时(即，当服务网络节点相同时)可以使用旧的安全密钥。根据一些实施例，网络可以配置UE具有小区列表和/或RAN通知区域列表(其可以是RAN通知区域ID的列表)，在其中UE可以不应用新的NCC或者一旦选择或重新选择属于列表中的一个的小区时将应用新的NCC。在一个实施例中，如果UE确定它已经选择或重新选择的小区与先前(即，在故障事件或失活之前)向它提供服务的小区属于不同的网络节点，则UE可以应用新的NCC。UE可能够从系统信息中广播的网络节点ID和/或gNB ID确定这点。

在一个实施例中，如果网络尝试更新用于UE的NCC和针对该消息发生的重新配置故障(HO故障是这种情况的特例)，则网络可以在它向UE发送的恢复消息中更新NCC，并且这可触发UE向网络发送RRC连接恢复完成消息。根据某些实施例，网络可以用完整性检查确定UE没有使用正确的NCC。这可能需要在上下文获取时由先前的gNB向新的gNB转发旧的和新的NCC两者。可替代地，网络可以拒绝UE的恢复请求，在这种情况下，UE将进入空闲模式并从头开始其连接建立尝试。

图2a示出了根据实施例的装置10的示例。在实施例中，装置10可以是通信网络中或服务这种网络的节点、主机或服务器。例如，装置10可以是基站、节点B、演进型节点B、5G节点B或接入点、下一代节点B(NG-NB或gNB)、WLAN接入点、移动性管理实体(MME)、或与诸如GSM网络、LTE网络、5G或NR的无线电接入网络相关联的订阅服务器。

应当理解，装置10可以包括用作分布式计算系统的边缘云服务器，其中，服务器和无线电节点可以是经由无线电路径或经由有线连接彼此通信的独立装置，或者它们可以位于经由有线连接进行通信的同一实体中。应当注意，本领域的普通技术人员将理解，装置10可以包括图2a中未示出的组件或特征。

如图2a中所示，装置10可以包括处理器12，其用于处理信息并执行指令或操作。处理器12可以是任何类型的通用或专用处理器。实际上，例如，处理器12可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和基于多核处理器架构的处理器中的一个或多个。虽然在图2a中示出了单个处理器12，但是根据其它实施例可以使用多个处理器。例如，应当理解，在某些实施例中，装置10可以包括可形成可支持多个处理的多处理器系统的两个或更多个处理器(即，在这种情况下，处理器12表示多个处理器)。在某些实施例中，多处理器系统可以紧密耦合或松散耦合(例如，以形成计算机集群)。

处理器12可以执行与装置10的操作相关联的功能，其例如可以包括天线增益/相位参数的预编码、形成通信消息的各个比特的编码和解码、信息的格式化以及对装置10的整体控制，包括与通信资源的管理相关的过程。

装置10还可以包括或耦合到用于存储可由处理器12执行的信息和指令的存储器14(内部或外部)，存储器14可以耦合到处理器12。存储器14可以是一个或多个存储器并且可以是适合于本地应用环境的任何类型，存储器14可以使用任何适合的易失性或非易失性数据存储技术来实现，诸如基于半导体的存储器设备、磁存储器设备和系统、光存储器设备和系统、固定存储器以及可移动存储器。例如，存储器14可以包括随机存取存储器(RAM)、只读存储器(ROM)、诸如磁盘或光盘的静态存储设备、硬盘驱动器(HDD)或任何其它类型的非暂时性机器或计算机可读介质的任何组合。存储在存储器14中的指令可以包括程序指令或计算机程序代码，其在由处理器12执行时使得装置10能够执行本文所述的任务。

在实施例中，装置10还可以包括或耦合到(内部或外部)驱动器或端口，其被配置为接受和读取外部计算机可读存储介质，诸如光盘、USB驱动器、闪存驱动器或任何其它存储介质。例如，外部计算机可读存储介质可以存储计算机程序或软件以由处理器12和/或装置10执行。

在一些实施例中，装置10还可以包括或耦合到一个或多个天线15，其用于向装置10发送信号和/或数据以及从装置10接收信号和/或数据。装置10还可以包括或耦合到被配置为发送和接收信息的收发机18。收发机18例如可以包括可耦合到天线15的多个无线电接口。无线电接口可以对应于多个无线电接入技术，包括GSM、NB-IoT、LTE、5G、WLAN、蓝牙、BT-LE、NFC、射频标识符(RFID)、超宽带(UWB)等中的一个或多个。无线电接口可以包括诸如滤波器、转换器(例如，数模转换器等)、映射器、快速傅立叶变换(FFT)模块等的组件，以生成用于经由一个或多个下行链路发送的符号，并接收符号(例如，经由上行链路)。因此，收发机18可被配置为将信息调制到载波波形上以通过天线15发送，并且解调经由天线15接收的信息以由装置10的其它元件进一步处理。在其它实施例中，收发机18可能够直接发送和接收信号或数据。

在实施例中，存储器14可以存储在由处理器12执行时提供功能的软件模块。模块例如可以包括向装置10提供操作系统功能的操作系统。存储器还可以存储一个或多个诸如应用或程序的功能模块，以向装置10提供附加功能。可以采用硬件或者硬件和软件的任何适合的组合来实现装置10的组件。

在某些实施例中，装置10可以是网络节点或RAN节点，诸如基站、接入点、节点B、eNB、5G或新无线节点B(gNB)或接入点、WLAN接入点等。根据某些实施例，装置10可以由存储器14和处理器12控制以执行与本文描述的任何实施例相关联的功能。

在实施例中，装置10可由存储器14和处理器12控制以例如在RRC连接重新配置消息、安全模式命令消息、RRC连接建立消息或RRC连接恢复消息中预先(例如，在先前的RRC连接期间)向UE发送新的NCC。例如，在实施例中，装置10可由存储器14和处理器12控制以在UE移动到连接状态时立即向UE发送新的NCC。然后，UE可以立即应用基于预先提供的新的NCC和UE驻留的小区的小区ID而计算的新的安全密钥。例如，当UE从非活动模式(例如，RRC非活动模式)切换到连接模式(例如，RRC连接模式)时，或者当UE在非活动模式下经由恢复请求消息发送小数据而没有切换到连接模式时，或者当UE遇到如RLF或HO故障的无线电故障时，UE可以计算新的密钥。注意，如果没有预先向UE提供新的NCC，则UE将需要使用旧的密钥加密将要与恢复请求消息一起发送的数据。这将意味着旧的RAN节点(即，装置10)是唯一被允许解密该数据分组的节点。根据实施例，通过预先提供NCC，UE可立即应用新的密钥以用于将要与恢复请求消息一起发送的数据，一旦新的RAN节点获取了UE上下文，则该新的RAN节点就被允许解密该数据。

在一个实施例中，装置10可由存储器14和处理器12控制以通过使用完整性检查来确定UE是否使用了正确的NCC。例如，在实施例中，装置10可由存储器14和处理器12控制以在RRC连接恢复消息中执行完整性检查。先前，RRC恢复完成消息用于验证UE完整性的目的，因为NCC会被包括在恢复消息中。然而，由于根据本公开的某些实施例在先前的RRC连接期间提供了NCC，因此，可以从RRC连接恢复消息进行完整性验证，并且可以省略RRC恢复完成消息。

图2b示出了根据另一个实施例的装置20的示例。在实施例中，装置20可以是通信网络中或与这种网络相关联的节点或元件，诸如UE、移动设备(ME)、移动台、移动装置、固定设备、IoT设备或其它设备。如本文所述，UE可以可替代地被称为例如移动台、移动设备、移动单元、移动装置、用户设备、订户站、无线终端、平板计算机、智能电话、IoT设备或NB-IoT设备等。作为一个示例，装置20例如可以实现为无线手持设备、无线插入式附件等。

在一些示例性实施例中，装置20可以包括一个或多个处理器、一个或多个计算机可读存储介质(例如，存储器、存储设备等)、一个或多个无线电接入组件(例如，调制解调器、收发机等)和/或用户接口。在一些实施例中，装置20可被配置为使用一个或多个无线电接入技术工作，诸如GSM、LTE、LTE-A、NR、5G、WLAN、WiFi、NB-IoT、蓝牙、NFC以及任何其它无线电接入技术。应当注意，本领域的普通技术人员将理解，装置20可以包括图2b中未示出的组件或特征。

如图2b中所示，装置20可以包括或耦合到处理器22，其用于处理信息并执行指令或操作。处理器22可以是任何类型的通用或专用处理器。实际上，例如，处理器22可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和基于多核处理器架构的处理器中的一个或多个。虽然在图2b中示出了单个处理器22，但是根据其它实施例可以使用多个处理器。例如，应当理解，在某些实施例中，装置20可以包括可形成可支持多个处理的多处理器系统的两个或更多个处理器(即，在这种情况下，处理器22表示多个处理器)。在某些实施例中，多处理器系统可以紧密耦合或松散耦合(例如，以形成计算机集群)。

处理器22可以执行与装置20的操作相关的功能，包括但不限于天线增益/相位参数的预编码、形成通信消息的各个比特的编码和解码、信息的格式化以及对装置20的整体控制，包括与通信资源管理相关的过程。

装置20还可以包括或耦合到用于存储可由处理器22执行的信息和指令的存储器24(内部或外部)，存储器24可以耦合到处理器22。存储器24可以是一个或多个存储器并且可以是适合于本地应用环境的任何类型，存储器24可以使用任何适合的易失性或非易失性数据存储技术来实现，诸如基于半导体的存储器设备、磁存储器设备和系统、光存储器设备和系统、固定存储器以及可移动存储器。例如，存储器24可以包括随机存取存储器(RAM)、只读存储器(ROM)、诸如磁盘或光盘的静态存储设备、或任何其它类型的非暂时性机器或计算机可读介质的任何组合。存储在存储器24中的指令可以包括程序指令或计算机程序代码，其在由处理器22执行时使得装置20能够执行本文所述的任务。

在实施例中，装置20还可以包括或耦合到(内部或外部)驱动器或端口，其被配置为接受和读取外部计算机可读存储介质，诸如光盘、USB驱动器、闪存驱动器或任何其它存储介质。例如，外部计算机可读存储介质可以存储计算机程序或软件以由处理器22和/或装置20执行。

在一些实施例中，装置20还可以包括或耦合到一个或多个天线25，其用于接收下行链路信号以及经由上行链路从装置20进行发送。装置20还可以包括被配置为发送和接收信息的收发机28。收发机28还可以包括耦合到天线25的无线电接口(例如，调制解调器)。无线电接口可以对应于多个无线电接入技术，包括GSM、LTE、LTE-A、5G、NR、WLAN、NB-IoT、蓝牙、BT-LE、NFC、RFID、UWB等中的一个或多个。无线电接口可以包括其它组件，诸如滤波器、转换器(例如，数模转换器等)、符号解映射器、信号成形组件、快速傅里叶逆变换(IFFT)模块等，以处理由下行链路或上行链路携带的诸如OFDMA符号的符号。

例如，收发机28可被配置为将信息调制到载波波形上以通过天线25发送，并且解调经由天线25接收的信息以由装置20的其它元件进一步处理。在其它实施例中，收发机28可能够直接发送和接收信号或数据。装置20还可以包括用户接口，诸如图形用户接口或触摸屏。

在实施例中，存储器24存储在由处理器22执行时提供功能的软件模块。模块例如可以包括向装置20提供操作系统功能的操作系统。存储器还可以存储一个或多个诸如应用或程序的功能模块，以向装置20提供附加功能。可以采用硬件或者硬件和软件的任何适合的组合来实现装置20的组件。

根据一个实施例，装置20例如可以是UE、移动装置、移动台、ME、IoT设备和/或NB-IoT设备。根据某些实施例，装置20可由存储器24和处理器22控制以执行与本文描述的实施例相关联的功能。例如，在一些实施例中，装置20可被配置为执行本文描述的任何流程图或信令图中所描绘的一个或多个过程。根据某些实施例，装置20可由存储器24和处理器22控制以例如在先前的RRC连接期间预先接收新的NCC。例如，在某些实施例中，新的NCC可以在RRC连接重新配置)消息、安全模式命令消息、RRC连接建立消息或RRC连接恢复消息中接收。

在一个实施例中，装置20可由存储器24和处理器22控制以基于预先提供的新的NCC和/或装置20驻留的小区的小区ID来计算或生成新的安全密钥。在实施例中，装置20还可由存储器24和处理器22控制以例如当装置20从非活动状态(例如，RRC非活动模式)切换到连接状态(例如，RRC连接模式)时，或者当装置20在非活动模式下经由恢复请求消息发送小数据而没有切换到RRC连接模式时，或者当装置20遇到诸如RLF或HO故障的无线电故障时，应用新的安全密钥。

因此，根据某些实施例，通过预先或者在已经建立了RRC连接时立即被提供新的NCC，装置20可以寻求通过恢复过程来重新建立RRC连接，并且可以基于预先提供的新的NCC而立即应用新的安全密钥，从而可以更快速地重新建立网络连接，以及允许数据复用。

图3a示出了根据一个实施例的方法的示例性流程图。图3a的方法例如可以由诸如基站、接入点、eNB、gNB等的网络节点来执行。如图3a中所示，该方法可以包括在300处，预先向一个或多个UE发送新的NCC(例如，在先前的RRC连接期间)。在一个实施例中，新的NCC的发送可以包括在RRC连接重新配置消息、安全模式命令消息、RRC连接建立消息或RRC连接恢复消息中发送新的NCC。然后，UE可以立即应用基于预先提供的新的NCC和UE驻留的小区的小区ID而计算的新的安全密钥。例如，当UE从非活动模式(例如，RRC非活动模式)切换到连接模式(例如，RRC连接模式)时，或者当UE在非活动模式下经由恢复请求消息发送小数据而没有切换到连接模式时，或者当UE遇到如RLF或HO故障的无线电故障时，UE可以计算新的安全密钥。在一个实施例中，该方法还可以包括在310处，使用完整性检查以确定UE是否使用了正确的NCC。例如，在实施例中，使用步骤可以包括在RRC连接恢复消息中执行完整性检查。由于根据本公开的某些实施例可以在先前的RRC连接期间提供了NCC，因此，可以从RRC连接恢复消息进行完整性验证，并且可以省略RRC恢复完成消息。

图3b示出了根据一个实施例的方法的示例性流程图。图3b的方法例如可以由UE、移动台、移动装置、IoT设备、MTC设备等来执行。如图3b中所示，该方法可以包括在350处，预先例如在先前的RRC连接期间接收新的NCC。例如，在某些实施例中，新的NCC可以在RRC连接重新配置消息、安全模式命令消息、RRC连接建立消息或RRC连接恢复消息中接收。在一个实施例中，该方法还可以包括在360处，基于预先提供的新的NCC和/或UE驻留的小区的小区ID，计算或生成新的安全密钥。在实施例中，该方法还可以包括在370处，例如，当UE从非活动状态(例如，RRC非活动模式)切换到连接状态(例如，RRC连接模式)时，或者当UE在非活动模式下经由恢复请求消息发送小数据而没有切换到连接模式时，或者当UE遇到诸如RLF或HO故障的无线电故障时，应用新的安全密钥。

鉴于以上内容，本发明的实施例提供了若干技术效果和/或改进和/或优点。例如，某些实施例甚至在RLF的情况下也可以例如通过允许省略msg5来减少延迟。此外，根据某些实施例，不需要在初始RRC消息之后的密钥刷新，并且UE可以立即进行数据传输(甚至与第一RRC消息复用)。因此，某些实施例可以改善网络节点的性能和吞吐量，其中网络节点例如包括基站、eNB、gNB和/或UE。因此，本发明的实施例的使用使得通信网络及其节点的功能得以改善。

在一些实施例中，本文描述的任何方法、过程、信令图或流程图的功能可以通过存储在存储器或其它计算机可读或有形介质中的软件和/或计算机程序代码或部分代码来实现，并由处理器执行。

在某些实施例中，一种装置可以包括在由至少一个操作处理器执行的至少一个软件应用、模块、单元或实体内或与其相关联，至少一个软件应用、模块、单元或实体被配置为算术运算或者程序或部分程序(包括添加或更新的软件例程)。包括软件例程、小程序和宏的程序也被称为计算机程序产品或计算机程序，其可被存储在任何装置可读的数据存储介质中，并且包括执行特定任务的程序指令。

一种计算机程序产品可以包括一个或多个计算机可执行组件，当程序运行时，一个或多个计算机可执行组件被配置为执行本文所述的实施例。一个或多个计算机可执行组件可以包括至少一个软件代码或部分代码。用于实现实施例的功能所需的修改和配置可以作为例程而执行，其可被实现为添加或更新的软件例程。在一些实施例中，可以将软件例程下载到装置中。

软件或计算机程序代码或部分代码可以采用源代码形式、目标代码形式或一些中间形式，并且可被存储在某种载体、分发介质或计算机可读介质中，其可以是能够携带程序的任何实体或设备。这样的载体例如包括记录介质、计算机存储器、只读存储器、光电和/或电载体信号、电信信号和/或软件分发包。根据所需的处理能力，计算机程序可以在单个电子数字设备中执行，或者它也可以分布在多个设备或计算机中。计算机可读介质或计算机可读存储介质可以是非暂时性介质。

在其它实施例中，功能可以由硬件执行，例如通过使用专用集成电路(ASIC)、可编程门阵列(PGA)、现场可编程门阵列(FPGA)或硬件和软件的任何其它组合。在又一个实施例中，功能可以被实现为信号、可由电磁信号携带的从因特网或其它网络下载的无形装置。

根据实施例，诸如节点、设备或对应组件的装置可被配置为诸如单芯片计算机单元的计算机或微处理器，或者被配置为芯片组，至少包括用于提供用于算术运算的存储容量的存储器和用于执行算术运算的运算处理器。

一个实施例涉及一种方法，其可以包括网络节点预先向一个或多个UE发送新的NCC。在一个实施例中，预先发送可以包括在先前的RRC连接期间发送新的NCC。该方法还可以包括使用完整性检查以确定UE是否使用了正确的NCC。

另一个实施例涉及一种装置，其可以包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少预先向一个或多个UE发送新的NCC。在一个实施例中，预先发送可以包括在先前的RRC连接期间发送新的NCC。至少一个存储器和计算机程序代码可以进一步被配置为与至少一个处理器一起使该装置至少使用完整性检查以确定UE是否使用了正确的NCC。

另一个实施例涉及一种方法，其可以包括在UE处预先例如在先前的RRC连接期间接收新的NCC。该方法还可以包括基于新的NCC和/或UE驻留的小区的小区ID来计算或生成新的安全密钥，以及例如当UE从非活动状态切换到连接状态时应用新的安全密钥。

另一个实施例涉及一种装置，其可以包括至少一个处理器和包括计算机程序代码的至少一个存储器。至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少预先例如在先前的RRC连接期间接收新的NCC，基于新的NCC和/或该装置驻留的小区的小区ID来计算或生成新的安全密钥，以及例如当该装置从非活动状态切换到连接状态时应用新的安全密钥。

本领域的普通技术人员将容易理解，可以采用不同顺序的步骤和/或使用与所公开的那些不同的配置中的硬件元件来实践如上所讨论的本发明。因此，虽然已经基于这些优选实施例描述了本发明，但是对于本领域技术人员而言显而易见的，某些修改、变形和替代构造将是显而易见的，而仍落入本发明的精神和范围内。为了确定示例性实施例的界限，应参考所附权利要求。

Claims (12)

1.一种用于通信的方法，包括：

由网络节点向至少一个用户设备预先发送用于生成安全密钥的新参数，其中，所述预先发送包括：当先前的无线电资源控制RRC连接已被建立时在所述先前的RRC连接中在RRC连接重新配置消息、安全模式命令消息或RRC连接建立消息中的至少一个中发送所述新参数；以及

执行完整性检查，以确定所述至少一个用户设备是否正使用正确的参数生成所述安全密钥；

其中，所述新参数包括新的下一跳链接计数器(NCC)。

2.根据权利要求1所述的方法，其中，所述执行包括：在RRC连接恢复消息中执行所述完整性检查。

3.一种用于通信的装置，包括：

至少一个处理器；和

包括计算机程序代码的至少一个存储器，

所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少：

向至少一个用户设备预先发送用于生成安全密钥的新参数；以及

执行完整性检查，以确定所述至少一个用户设备是否正使用正确的参数生成所述安全密钥，

其中，所述至少一个存储器和所述计算机程序代码进一步被配置为与所述至少一个处理器一起使所述装置至少：当先前的无线电资源控制RRC连接已被建立时在所述先前的RRC连接中在RRC连接重新配置消息、安全模式命令消息或RRC连接建立消息中的至少一个中发送所述新参数；

其中，所述新参数包括新的下一跳链接计数器(NCC)。

4.根据权利要求3所述的装置，其中，所述至少一个存储器和所述计算机程序代码进一步被配置为与所述至少一个处理器一起使所述装置至少：在RRC连接恢复消息中执行所述完整性检查。

5.一种用于通信的装置，包括：

发送装置，用于由网络节点向至少一个用户设备预先发送用于生成安全密钥的新参数，其中，所述预先发送包括：当先前的无线电资源控制RRC连接已被建立时在所述先前的RRC连接中在RRC连接重新配置消息、安全模式命令消息或RRC连接建立消息中的至少一个中发送所述新参数；以及

执行装置，用于执行完整性检查，以确定所述至少一个用户设备是否正使用正确的参数生成所述安全密钥；

其中，所述新参数包括新的下一跳链接计数器(NCC)。

6.一种非暂时性计算机可读介质，包括存储在其上的程序指令，所述程序指令用于至少执行以下操作：

由网络节点向至少一个用户设备预先发送用于生成安全密钥的新参数，其中，所述预先发送包括：当先前的无线电资源控制RRC连接已被建立时在所述先前的RRC连接中在RRC连接重新配置消息、安全模式命令消息或RRC连接建立消息中的至少一个中发送所述新参数；以及

执行完整性检查，以确定所述至少一个用户设备是否正使用正确的参数生成所述安全密钥；

其中，所述新参数包括新的下一跳链接计数器(NCC)。

7.一种用于通信的方法，包括：

从网络节点预先接收用于生成用于用户设备的安全密钥的新参数，其中，所述预先接收包括：当先前的无线电资源控制RRC连接已被建立时在所述先前的RRC连接中在RRC连接重新配置消息、安全模式命令消息或RRC连接建立消息中的至少一个中接收所述新参数；以及

由所述用户设备基于所述新参数或所述用户设备驻留的小区的小区标识符中的至少一个，生成新的安全密钥；

其中，所述新参数包括新的下一跳链接计数器(NCC)。

8.根据权利要求7所述的方法，所述方法还包括：在以下中的至少一个情况下应用所述新的安全密钥：

当所述用户设备从不活动状态切换到连接状态时；

当所述用户设备在所述不活动状态下发送小数据而没有切换到所述连接状态时；或者

当发生无线电链路故障(RLF)或切换(HO)故障时。

9.一种用于通信的装置，包括：

至少一个处理器；和

包括计算机程序代码的至少一个存储器，

所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少：

从网络节点预先接收用于生成用于所述装置的安全密钥的新参数；以及

基于所述新参数或所述装置驻留的小区的小区标识符中的至少一个，生成新的安全密钥，

其中，所述至少一个存储器和所述计算机程序代码进一步被配置为与所述至少一个处理器一起使所述装置至少：当先前的无线电资源控制RRC连接已被建立时在所述先前的RRC连接中在RRC连接重新配置消息、安全模式命令消息或RRC连接建立消息中的至少一个中接收所述新参数；

其中，所述新参数包括新的下一跳链接计数器(NCC)。

10.根据权利要求9所述的装置，其中，所述至少一个存储器和所述计算机程序代码进一步被配置为与所述至少一个处理器一起使所述装置至少在以下中的至少一个情况下应用所述新的安全密钥：

当所述装置从不活动状态切换到连接状态时；

当所述装置在所述不活动状态下发送小数据而没有切换到所述连接状态时；或者

当发生无线电链路故障(RLF)或切换(HO)故障时。

11.一种用于通信的装置，包括：

接收装置，用于从网络节点预先接收用于生成用于所述装置的安全密钥的新参数，其中，所述预先接收包括：当先前的无线电资源控制RRC连接已被建立时在所述先前的RRC连接中在RRC连接重新配置消息、安全模式命令消息或RRC连接建立消息中的至少一个中接收所述新参数；以及

生成装置，用于基于所述新参数或所述装置驻留的小区的小区标识符中的至少一个，生成新的安全密钥；

其中，所述新参数包括新的下一跳链接计数器(NCC)。

12.一种非暂时性计算机可读介质，包括存储在其上的程序指令，所述程序指令用于至少执行以下操作：

从网络节点预先接收用于生成用于用户设备的安全密钥的新参数，其中，所述预先接收包括：当先前的无线电资源控制RRC连接已被建立时在所述先前的RRC连接中在RRC连接重新配置消息、安全模式命令消息或RRC连接建立消息中的至少一个中接收所述新参数；以及

由所述用户设备基于所述新参数或所述用户设备驻留的小区的小区标识符中的至少一个，生成新的安全密钥；

其中，所述新参数包括新的下一跳链接计数器(NCC)。

Images