CN110831255B - 重建rrc连接的方法、基站、移动终端及存储介质 - Google Patents

重建rrc连接的方法、基站、移动终端及存储介质 Download PDF

Info

Publication number
CN110831255B
CN110831255B CN201810902749.3A CN201810902749A CN110831255B CN 110831255 B CN110831255 B CN 110831255B CN 201810902749 A CN201810902749 A CN 201810902749A CN 110831255 B CN110831255 B CN 110831255B
Authority
CN
China
Prior art keywords
message
user terminal
rrc connection
key
feedback message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810902749.3A
Other languages
English (en)
Other versions
CN110831255A (zh
Inventor
周叶
彦楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Mobile Communications Equipment Co Ltd
Original Assignee
Datang Mobile Communications Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Mobile Communications Equipment Co Ltd filed Critical Datang Mobile Communications Equipment Co Ltd
Priority to CN201810902749.3A priority Critical patent/CN110831255B/zh
Publication of CN110831255A publication Critical patent/CN110831255A/zh
Application granted granted Critical
Publication of CN110831255B publication Critical patent/CN110831255B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/19Connection re-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了重建RRC连接的方法、基站、移动终端及存储介质,用以解决现有技术中存在的在RRC连接中断时,重建RRC连接过程中信令开支较大、用户面延时较长的技术问题。该方法包括:接收用户终端发送的重建RRC连接的第一请求消息;基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成重建RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。

Description

重建RRC连接的方法、基站、移动终端及存储介质
技术领域
本发明涉及移动通信领域,尤其是涉及重建RRC连接的方法、基站、移动终端及存储介质。
背景技术
在移动通信领域,当出现无线链路失败、切换失败等异常情况,使无线资源控制(Radio Resource Control,RRC)连接无法继续维持之时,用户终端可以触发RRC重建过程来重建RRC连接。
在新一代无线接入网(NG-RAN)系统中,引入了提取用户终端上下文过程,这使得RRC重建过程即使发生于跨节点重建也可以成功执行。在RRC重建过程中需要先进行RRC重配置后才能进行RRC重连接,以跨节点RRC重配置为例,其主要信令流程请参见图1(以用户终端处于RRC连接状态时,发生无线链路失败导致的RRC重建为例):
步骤101:用户终端向新无线接入网节点发送RRC重建请求消息。在无线接入网中,RRC重建请求消息无完整性保护。
步骤102:新无线接入网节点向用户终端的原无线接入网节点发送提取用户终端上下文请求消息。
步骤103:原无线接入网节点向新无线接入网节点发送提取用户终端上下文响应消息。
步骤104:新无线接入网节点向用户终端发送RRC重建消息。
在无线接入网中,为了避免信息泄露,RRC重建消息之中携带少量配置信息,其中包括一些安全指示以使得用户终端激活接入层安全机制、更新接入层安全密钥,用以验证这条RRC重建消息本身的完整性以及后续RRC消息的加密与完整性保护。
步骤105:新无线接入网节点通过核心网进行路径切换。
步骤106:用户终端向新无线接入网节点发送RRC重建完成消息。在无线接入网中,RRC重建完成消息是进行了加密和完整性保护的消息,且此后的RRC消息也是进行了加密和完整性保护的。
步骤107:新无线接入网节点向用户终端发送RRC重配置消息,用以恢复用户面数据承载。
无线接入网在确认安全性已激活之后,才会发送RRC重配消息以重建用户面数据连接。
步骤108:新无线接入网节点向原无线接入网节点发送用户终端上下文释放消息。
步骤109:用户终端向新无线接入网节点发送RRC重配置完成消息。
通过上述RRC重配置流程可知,在现有技术中,RRC重建请求消息及作为RRC重建请求消息的反馈消息(即RRC重建消息)在传递时,RRC重建消息不能携带用户面数据承载的配置信息,只能等到相关配置重建完成之后通过单独的RRC重配来执行,造成RRC重建的整个信令较为繁琐,用户面时延较大的技术问题。
鉴于此,在RRC连接中断时,如何减少重建RRC连接过程中的信令开支及用户面延时,成为一个亟待解决的技术问题。
发明内容
本发明提供一种重建RRC连接的方法、基站、移动终端及存储介质,用以解决现有技术中存在的在RRC连接中断时,重建RRC连接过程中信令开支较大、用户面延时较长的技术问题。
第一方面,为解决上述技术问题,本发明实施例提供的一种重建RRC连接方法,应用于接入网节点,该方法的技术方案如下:
接收用户终端发送的重建RRC连接的第一请求消息;
基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成重建RRC连接;
其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
当用户终端的RRC连接中断后,接收用户终端发送的重建RRC连接的第一请求消息,并返回加密后的第一反馈消息,由于第一反馈消息便已用指定密钥进行了加密和完整性保护(即接入网节点确定与用户终端通信的安全性已被激活),使接入网节点可以在第一反馈消息中携带大量配置信息,以恢复用户终端的用户面数据承载,进而恢复用户终端的RRC连接。而不需要像现有技术中那样只能在第一请求消息对应的反馈消息中携带少量配置信息,待接收到用户终端发送的重建完成消息后,接入网节点才能确认安全性已激活,之后还要向用户终端发送RRC重配置消息使用户终端恢复用户面数据承载,并在接入网节点接收到用户终端发送的RRC重配置完成消息后,才能恢复用户终端的RRC连接。由此可见,本发明实施例相较现有技术不仅能够提高第一反馈消息的安全性,并且还能节约重建RRC连接过程中的信令开支,进而减少用户面延时。
结合第一方面,在第一方面的第一种可能的实施方式中,所述方法,还包括:
当所述用户终端为RRC连接状态时,向所述用户终端发送携带所述解密指示的RRC消息。
通过在RRC连接状态时,向用户终端发送携带解密指示的RRC消息,让用户终端为解密第一反馈信息做好准备生成指定密钥,在用户终端接收到第一反馈消息时能及时的获得第一反馈消息中的配置信息进行配置,从而能有效的减少延时,并节省信令开支。
结合第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,所述方法,还包括:
在向所述用户终端发送所述RRC消息之前,向所述用户终端发送密钥的更换指示,使所述用户终端基于所述更换指示生成所述最新密钥;
或在所述RRC消息中,携带所述更换指示,使所述用户终端基于所述更换指示生成所述最新密钥。
结合第一方面的第一种可能的实施方式,在第一方面的第三种可能的实施方式中,所述解密指示中携带有一个下一跳链计数器值,用于协助推导出所述指定密钥。
通过在解密指示中携带一个下一跳链计数器值,可以让用户终端可以采用垂直推导密钥的方式获得指定密钥,从而能够进一步的提高安全性。
结合第一方面,在第一方面的第四种可能的实施方式中,接收所述用户终端发送的重建RRC连接的第一请求消息之前,还包括:
广播系统广播消息,所述系统广播消息中携带有支持加密指示;其中,所述支持加密指示用于指示所述接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
通过将支持对RRC反馈消息进行加密及完整性验证的支持加密指示,以系统广播消息的方式进行广播,可以使用户终端准确的找到支持对RRC反馈消息进行加密及完整性验证的接入网节点,从而能够让用户终端准确的选择接入网节点,提高工作效率。
结合第一方面,在第一方面的第五种可能的实施方式中,所述指定密钥是从所述最新密钥推导出的;或,若所述下一跳链计数器值对应的下一跳值未被使用过时,则所述指定密钥是从所述下一跳值推导出的。
结合第一方面或第一方面的第四种可能的实施方式或第一方面的第五种可能的实施方式,在第一方面的第六种可能的实施方式中,基于所述第一请求消息返回对应的第一反馈消息,包括:
若所述接入网节点中没有所述用户终端的上下文时,则向所述用户终端的源节点发送提取所述上下文的第二请求消息;
接收所述源节点发送的所述第二请求消息对应的响应消息;其中,所述响应消息中携带有对所述第一请求消息对应的反馈消息进行加密的加密指示;
基于所述加密指示用所述指定密钥对所述反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
当接入网节点中没有用户终端的上下文(即接入网节点为用户终端的新节点)时,通过接收到的用户终端的源节点返回的响应消息中携带的加密指示,可知用户终端时处于安全激活状态的,使接入网节点可以对第一请求消息的第一反馈消息进行加密和完整性保护,使第一反馈信息中可以携带大量的配置信息,从而让接入网节点不必再单独发送配置信息给用户终端,进而能减少信令开支及延时、提高信令传输的安全性。
结合第一方面至第一方面的第五种可能的实施方式中的任一种,在第一方面的第七种可能的实施方式中,基于所述第一请求消息返回对应的第一反馈消息,还包括:
若所述接入网节点中有所述用户终端的上下文时,则用所述指定密钥对所述第一请求消息对应的反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
通过用指定密钥对第一反馈消息进行加密及完整性验证,可以有效地提高返回给用户终端的消息的安全性。
第二方面,为解决上述技术问题,本发明实施例提供的一种重建RRC连接的方法,应用于用户终端,该方法的技术方案如下:
向接入网节点发送重建RRC连接的第一请求消息;并接收所述第一请求消息对应的第一反馈消息;
用指定密钥对所述第一反馈消息进行解密和完整性验证,以重建RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护后的消息。
结合第二方面,在第二方面的第一种可能的实施方式中,向接入网节点发送重建RRC连接的请求消息之前,还包括:
在所述用户终端的无线链路为连接状态时,接收当前所连接的接入网节点发送的RRC消息;其中,所述RRC消息中携带解密指示;所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述当前所连接的接入网节点间的无线链路连接失败,则对所述第一反馈消息进行解密的指示。
结合第二方面或第二方面的第一种可能的实施方式,在第二方面的第二种可能的实施方式中,向接入网节点发送重建RRC连接的请求消息之前,还包括:
接收所述接入网节点的系统广播消息;其中,所述系统广播消息中携带有支持加密指示,所述支持加密指示用于指示所述接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
第三方面,本发明实施例提供了一种重建RRC连接的基站,该基站包括:处理器、存储器和收发机;
其中,处理器,用于读取存储器中的程序并执行下列过程:
接收用户终端发送的重建RRC连接的第一请求消息;基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成所述重建RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
结合第三方面,在第三方面的第一种可能的实施方式中,所述处理器还用于:
当所述用户终端为RRC连接状态时,向所述用户终端发送携带所述解密指示的RRC消息。
结合第三方面的第一种可能实施方式,在第三方面的第二种可能的实施方式中,所述处理器还用于:
在向所述用户终端发送所述RRC消息之前,向所述用户终端发送密钥的更换指示,使所述用户终端基于所述更换指示生成所述最新密钥;
或在所述RRC消息中,携带所述更换指示,使所述用户终端基于所述更换指示生成所述最新密钥。
结合第三方面的第一种可能实施方式,在第三方面的第三种可能的实施方式中,所述解密指示中携带有一个下一跳链计数器值,用于协助推导出所述指定密钥。
结合第三方面,在第三方面的第四种可能的实施方式中,所述处理器还用于:
广播系统广播消息,所述系统广播消息中携带有支持加密指示;其中,所述支持加密指示用于指示支持对重建RRC连接的请求消息的反馈消息进行加密。
结合第三方面,在第三方面的第五种可能的实施方式中,所述指定密钥是从所述最新密钥推导出的;或,若所述下一跳链计数器值对应的下一跳值未被使用过时,则所述指定密钥是从所述下一跳值推导出的。
结合第三方面或第三方面的第四种或第五种可能实施方式,在第三方面的第六种可能的实施方式中,所述处理器具体用于:
若没有所述用户终端的上下文时,则向所述用户终端的源节点发送提取所述上下文的第二请求消息;
接收所述源节点发送的所述第二请求消息对应的响应消息;其中,所述响应消息中携带有对所述第一请求消息对应的反馈消息进行加密的加密指示;
基于所述加密指示用所述指定密钥对所述反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
结合第三方面至第三方面的第五种可能的实施方式中的任一种,在第三方面的第七种可能的实施方式中,所述处理器具体用于:
若有所述用户终端的上下文时,则用所述指定密钥对所述第一请求消息对应的反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
第四方面,本发明实施例提供了一种重建RRC连接的移动终端,所述移动终端包括:处理器、存储器和收发机;
其中,处理器,用于读取存储器中的程序并执行下列过程:
向接入网节点发送重建RRC连接的第一请求消息,并接收所述第一请求消息对应的第一反馈消息;用指定密钥对所述第一反馈消息进行解密和完整性验证,以重建所述RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护后的消息。
结合第四方面,在第四方面的第一种可能的实施方式中,所述处理器还用于:
在无线链路为连接状态时,接收当前所连接的接入网节点所发送的RRC消息;其中,所述RRC消息中携带解密指示;所述解密指示用于指示在最新密钥使用期间,若与所述当前所连接的接入网节点间的无线链路连接失败,则对所述第一反馈消息进行解密的指示。
结合第四方面或第一方面的第四种可能的实施方式,在第四方面的第二种可能的实施方式中,所述处理器还用于:
接收所述接入网节点的系统广播消息;其中,所述系统广播消息中携带有支持加密指示,所述支持加密指示用于指示所述新节点支持对重建RRC连接的请求消息的反馈消息进行加密。
第五方面,本发明实施例提供了一种用于重建RRC连接的基站,包括:
接收单元,用于接收所述用户终端发送的重建RRC连接的第一请求消息;
发送单元,用于基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成所述RRC过程重建;
其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
可选的,所述发送单元还用于:
当所述用户终端为RRC连接状态时,向所述用户终端发送携带所述解密指示的RRC消息。
可选的,所述发送单元还用于:
在向所述用户终端发送所述RRC消息之前,向所述用户终端发送密钥的更换指示,使所述用户终端基于所述更换指示生成所述最新密钥;
或在所述RRC重配置信息中,携带所述更换指示,使所述用户终端基于所述更换指示生成所述最新密钥。
可选的,所述解密指示中携带有一个下一跳链计数器值,用于协助推导出所述指定密钥。
可选的,接收所述用户终端发送的重建RRC连接的第一请求消息之前,还包括:
广播系统广播消息,所述系统广播消息中携带有支持加密指示;其中,所述支持加密指示用于指示所述接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
可选的,所述指定密钥是从所述最新密钥推导出的;或,若所述下一跳链计数器值对应的下一跳值未被使用过时,则所述指定密钥是从所述下一跳值推导出的。
可选的,所述发送单元还用于:
若所述接入网节点中没有所述用户终端的上下文时,则向所述用户终端的源节点发送提取所述上下文的第二请求消息;
接收所述源节点发送的所述第二请求消息对应的响应消息;其中,所述响应消息中携带有对所述第一请求消息对应的反馈消息进行加密的加密指示;
基于所述加密指示用所述指定密钥对所述反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
可选的,所述发送单元还用于:
若所述接入网节点中有所述用户终端的上下文时,则用所述指定密钥对所述第一请求消息对应的反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
通过用指定密钥对第一反馈消息进行加密及完整性验证,可以有效地提高返回给用户终端的消息的安全性。
第六方面,本发明实施例提供了一种用于重建RRC连接的用户终端,包括:
收发单元,用于向接入网节点发送重建RRC连接的第一请求消息;并接收所述第一请求消息对应的第一反馈消息;
处理单元,用于用指定密钥对所述第一反馈消息进行解密和完整性验证,以重建RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护后的消息。
可选的,所述收发单元还用于:
在所述用户终端的无线链路为连接状态时,接收当前所连接的接入网节点发送的RRC消息;其中,所述RRC消息中携带解密指示;所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述当前所连接的接入网节点间的无线链路连接失败,则对所述第一反馈消息进行解密的指示。
可选的,所述收发单元还用于:
接收所述接入网节点的系统广播消息;其中,所述系统广播消息中携带有支持加密指示,所述支持加密指示用于指示所述接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
第七方面,本发明实施例还提供一种计算机可读存储介质,包括:
所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如上述第一方面所述的方法。
第七方面,本发明实施例还提供一种计算机可读存储介质,包括:
所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如上述第二方面所述的方法。
通过本发明实施例的上述一个或多个实施例中的技术方案,本发明实施例至少具有如下技术效果:
在本发明提供的实施例中,当用户终端的RRC连接中断后,接收用户终端发送的重建RRC连接的第一请求消息,并返回加密后的第一反馈消息,由于第一反馈消息便已用指定密钥进行了加密和完整性保护(即接入网节点确定与用户终端通信的安全性已被激活),使接入网节点可以在第一反馈消息中携带大量配置信息,以恢复用户终端的用户面数据承载,进而恢复用户终端的RRC连接。而不需要像现有技术中那样只能在第一请求消息对应的反馈消息中携带少量配置信息,待接收到用户终端发送的重建完成消息后,接入网节点才能确认安全性已激活,之后还要向用户终端发送RRC重配置消息使用户终端恢复用户面数据承载,并在接入网节点接收到用户终端发送的RRC重配置完成消息后,才能恢复用户终端的RRC连接。由此可见,本发明实施例相较现有技术不仅能够提高第一反馈消息的安全性,并且还能节约重建RRC连接过程中的信令开支,进而减少用户面延时。
附图说明
图1为现有技术中RRC重配置的流程图;
图2为现有技术中接入层根密钥导出机制图;
图3为本发明实施例提供的接入网节点侧的重建RRC连接的流程图;
图4为本发明实施例提供的用户终端侧的重建RRC连接的流程图;
图5为本发明实施例提供的RRC消息中携带解密指示时接入网节点与用户终端的交互示意图;
图6为本发明实施例提供的解密指示中携带NCC值时接入网节点与用户终端的交互示意图;
图7为本发明实施例提供的RRC消息中携带解密指示及密钥的变更指示时接入网节点与用户终端的交互示意图;
图8为本发明实施例提供的密钥的变更指示在解密指示之前发送时接入网节点与用户终端的交互示意图;
图9为本发明实施例提供的多次发送解密指示时接入网节点与用户终端的交互示意图;
图10为本发明实施例提供的RRC重配置消息中携带解密指示时接入网节点与用户终端的另一交互示意图;
图11为本发明实施例提供的一种重建RRC连接的基站的结构示意图;
图12为本发明实施例提供的一种重建RRC连接的用户终端的结构示意图;
图13为本发明实施例提供的一种基站的结构示意图;
图14为本发明实施例提供的一种用户终端的结构示意图。
具体实施方式
本发明实施列提供一种重建RRC连接的方法、基站、移动终端及计算机存储介质,以解决现有技术中存在的RRC过程重建的信令开支较大、用户面延时较长的技术问题。
本申请实施例中的技术方案为解决上述的技术问题,总体思路如下:
提供一种重建RRC连接的方法,包括:接收用户终端发送的重建RRC连接的第一请求消息;基于第一请求消息返回对应的第一反馈消息到用户终端,使用户终端根据预先接收到的解密指示用指定密钥对第一反馈消息进行解密及完整性验证,以完成RRC过程重建;其中,第一反馈消息是用指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
由于在上述方案中,当用户终端的RRC连接中断后,接收用户终端发送的重建RRC连接的第一请求消息,返回加密后的第一反馈消息,由于第一反馈消息便已用指定密钥进行了加密和完整性保护(即接入网节点确定与用户终端通信的安全性已被激活),使接入网节点可以在第一反馈消息中携带大量配置信息,以恢复用户终端的用户面数据承载,进而恢复用户终端的RRC连接。而不需要像现有技术中那样只能在第一请求消息对应的反馈消息中携带少量配置信息,待接收到用户终端发送的重建完成消息后,接入网节点才能确认安全性已激活,之后还要向用户终端发送RRC重配置消息使用户终端恢复用户面数据承载,并在接入网节点接收到用户终端发送的RRC重配置完成消息后,才能恢复用户终端的RRC连接。由此可见,本发明相较现有技术不仅能够提高第一反馈消息的安全性,并且还能节约重建RRC连接过程中的信令开支,进而减少用户面延时。
为了更好的理解上述技术方案,下面先对本发明中涉及到的接入层根密钥导出机制进行简单的介绍(下文中的密钥均指接入层根密钥),请参见图2。
无线接入系统中存在接入层安全机制,用户终端一侧的接入层安全上下文储存于用户终端的接入层之中,网络侧的接入层安全上下文储存于用户终端所连接的无线接入网节点(gNB)之中。接入层安全上下文的核心是接入层根密钥(KgNB),该密钥主要用以导出多种次级密钥以对RRC信令、空口用户数据进行加密与完整性保护。在网络侧与用户终端之间进行正常的数据传输之时,用户终端一侧所使用的KgNB与网络侧所使用的KgNB总是一致的。
当用户终端在gNB物理实体之间切换时,KgNB总是需要更换,以避免同一个KgNB应用于多个gNB物理实体。其他原因也可以促使gNB更换KgNB,例如数据无限承载标识(DataRadio BearerID,DRB ID)耗尽。实际使用的KgNB有三种产生方式:由非接入层所提供的初始KgNB导出(该初始KgNB在核心网内部由非接入层根密钥(KAMF)导出)、由非接入层所提供的下一跳切换密钥(Next Hop parameter,NH,简称下一跳值)导出(与初始KgNB类似,NH值也是由核心网内部由非接入层根密钥KAMF与初始KgNB或上一个NH值导出)、由接入层实际使用中的原KgNB导出。其中,第二种产生方式(亦即由NH导出)又称作“垂直导出”,第三种产生方式(亦即由原KgNB导出)又称作“水平导出”。
其中,“垂直导出”机制主要是为了保证gNB物理实体之间的安全隔离:如果仅使用“水平导出”的方式产生新的KgNB,用户终端早先所连接的gNB物理实体总是能够利用该终端的KgNB推导出后续所有KgNB。如果攻击者攻陷了这个gNB物理实体,得知了该终端所储存的KgNB,他就能够(结合用户终端的连接历史——这部分信息相对容易得到)计算出后续所有KgNB及其次级密钥,进而破解所有空口消息与用户数据。
而“垂直导出”机制通过非接入层的介入避免了上述情形。在每一次gNB之间的切换期间,新gNB物理实体总是能够从核心网得到一个新的NH。当gNB需要产生一个新的KgNB之时,只要它当前拥有一个未使用的NH,它就会使用这个NH以“垂直导出”的方式产生新的KgNB。为了保证终端侧与网络侧的KgNB一致,该gNB会在空口消息中携带一个下一跳链计数器(Next Hop Chaining Counter parameter,NCC)值,以指示终端通过同样的算法生成新的KgNB。对于gNB来说,这个NCC值是核心网与NH一同提供的,每一个核心网所提供的NCC值均指向一个NH值。
下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
请参考图3,本发明实施例提供一种重建RRC连接的方法,应用于接入网节点,该方法的处理过程如下。
步骤301:接收用户终端发送的重建RRC连接的第一请求消息。
步骤302:基于第一请求消息返回对应的第一反馈消息到所述用户终端,使用户终端根据预先接收到的解密指示用指定密钥对第一反馈消息进行解密及完整性验证,以完成RRC过程重建;其中,第一反馈消息是用指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
需要理解的是,根据实际需求,第一反馈消息可以是RRC连接重建消息、RRC重建消息、RRC连接恢复消息、RRC恢复消息、RRC连接重配消息或RRC重配消息。RRC过程重建即指对上述第一反馈消息对应的RRC过程。
由于接入网节点可能为用户终端的源节点,也可能为用户终端重连接选择的新节点,所以下面将从这两方面进行描述。
具体的,确定接入网节点是用户终端的源节点还是新节点,可以通过查看接入网节点中是否有用户终端的上下文来确定,若有则为用户终端的源节点,若无则为用户终端的新节点。
第一方面,接入网节点作为用户终端的源节点。
在接入网节点接收用户终端发送的重建RRC连接的第一请求消息之前,当用户终端与接入网节点为RRC连接状态时,接入网节点向用户终端发送携带解密指示的RRC消息。
当用户终端的RRC连接中断后,接入网节点接收到用户终端发送的RRC过程重建的第一请求消息;若接入网节点中有用户终端的上下文时,确定接入网节点为用户终端的源节点,接入网节点只需用指定密钥对第一请求消息对应的反馈消息进行加密及完整性验证,获得并返回第一反馈消息。
由于接入网节点能返回用指定密钥加密的反馈消息(即第一反馈信息),所以接入网节点可以确定与用户终端通信的安全性已激活,进而可以在第一反馈消息中携带大量的配置信息,让用户终端在接收到第一反馈信息后,可以根据第一反馈信息中携带的配置信息完成重配置,使接入网节点恢复用户终端的用户面数据连接。
在接入网节点向用户终端发送RRC消息之前,接入网节点可以向用户终端发送密钥的更换指示,使所述用户终端基于所述更换指示生成所述最新密钥;
或接入网节点在向用户终端发送的RRC消息中,携带密钥的更换指示,使用户终端基于更换指示生成并使用最新密钥。
即,接入网节点可以在向用户终端发送解密指示前或同时(RRC消息中携带有解密指示),向用户终端发送更换密钥的更换指示。
进一步的,在解密指示中还可以携带一个下一跳链计数器值,用于协助推导出指定密钥。由于一个下一跳链计数器值(即NCC值)唯一对应一个下一跳值(即NH值),而用NH可以推导出密钥(这种方式业内称为垂直密钥推导的切换过程)。
指定密钥也可以是用最新密钥推导出的,业内将这种用当前正在使用的密钥推导出另一个密钥的方式,称之为水平密钥推导的切换过程。
若下一跳链计数器值对应的下一跳值未被使用过,则指定密钥是从下一跳值推导出的。若接入网节点发送给用户终端的下一跳链计数器值对应的下一跳值已被使用过,那么应用用户终端正在使用的最新密钥推导出指定密钥。
在用户终端的RRC连接中断后,接入网节点也可以广播系统广播消息,系统广播消息中携带有支持加密指示;其中,支持加密指示用于指示接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。这样使得用户终端在RRC连接中断后,接收到携带有支持加密指示的系统广播消息后,根据实际情况向接入网节点发送重建RRC连接的第一请求消息。
当用户终端的RRC连接中断后,接入网节点接收到用户终端发送的重建RRC连接的第一请求消息之后;便可基于第一请求消息返回用上述指定密钥加密后的第一反馈消息到用户终端,使用户终端根据预先接收到的解密指示用指定密钥对第一反馈消息进行解密及完整性验证,以完成重建RRC连接;其中,第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,解密指示用于指示用户终端在最新密钥使用期间,若与用户终端的RRC连接中断,则用指定密钥对第一反馈消息进行解密的指示。
以上是接入网节点作为移动终端的源节点时,用户终端发送第一请求消息发送给源节点的处理过程。
而当接入网节点作为移动终端的新节点时,移动终端将第一请求消息发送给新节点的处理过程可参见第二方面的内容。
第二方面,接入网节点作为移动终端的新节点。
在介绍之前,需要说明的是,在接入网节点作为新节点接收用户终端的第一请求消息之前,与用户终端建立过连接的源节点也如第一方面中介绍的那样,向用户终端发送过带有解密指示的RRC消息,并且在发送解密指示前或同时也可能发送过密钥的更换指示,也可能在解密指示中携带下一跳链计数器值,具体可参见第一方面中的内容,在此不再赘述。
需要理解的是,下面将要介绍的接入网节点作为移动终端的新节点,在接入网节点接收到第一请求消息之前,用户终端已经接收到其源节点发送的上述RRC消息。
可选的,在接入网节点接收用户终端发送的重建RRC连接的第一请求消息之前,为了使用户终端知道接入网节点可以对第一请求消息的反馈消息进行加密,也可以让接入网节点广播系统广播消息,并在系统广播消息中携带支持加密指示;其中,支持加密指示用于指示接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
当用户终端的RRC连接中断后,用户终端选择支持对第一请求消息的反馈消息进行加密的接入网节点发送第一请求消息,接入网节点接收到重建RRC连接的第一请求消息之后,接入网节点确定没有用户终端的上下文(说明接入网节点为用户终端的新节点),所以向用户终端的源节点发送提取上下文的第二请求消息。之后,接入网节点接收源节点发送的第二请求消息对应的响应消息;其中,响应消息中携带有对第一请求消息对应的反馈消息进行加密的加密指示;接入网节点基于加密指示用指定密钥对第一请求消息的反馈消息进行加密及完整性验证,获得第一反馈消息,并将之返回到用户终端。
由于第二请求消息对应的响应消息中携带有加密指示,所以接入网节点可以确定与用户终端通信的安全性已激活。进而在接入网节点用指定密钥对第一请求消息的反馈消息进行加密后,将携带有大量配置信息的第一反馈消息返回给用户终端,使用户终端用指定密钥对第一反馈消息进行解密及完整性验证,以完成RRC过程重建。
通过上述第一方面和第二方面的介绍可以知道在进行重建RRC连接时,接入网节点的工作过程,下面将从用户终端侧介绍在重建RRC连接时,用户终端的工作过程。
请参考图4,本发明实施例提供一种重建RRC连接的方法,应用于用户终端,该方法的处理过程如下。
步骤401:向接入网节点发送重建RRC连接的第一请求消息,并接收第一请求消息对应的第一反馈消息。
步骤402:用指定密钥对第一反馈消息进行解密和完整性验证,以重建RRC连接;其中,第一反馈消息是用指定密钥进行加密和完整性保护后的消息。
其中,接入网节点可能为用户终端的源节点,此时接入网节点中存储有用户终端的上下文;接入网节点也可能为用户终端的新节点,此时接入网节点中未存储用户终端的上下文。
若接入网节点为用户终端的源节点,则在用户终端向接入网节点发送重建RRC连接的第一请求消息之前,在用户终端的无线链路为连接状态时,用户终端接收接入网节点发送的RRC消息;其中,RRC消息中携带解密指示;解密指示用于指示用户终端在最新密钥使用期间,若与源节点间的无线链路连接失败,则对接收到的第一反馈消息进行解密的指示。
可选的,在用户终端的RRC连接中断后,向接入网节点发送重建RRC连接的请求消息之前,用户终端还可以接收接入网节点的系统广播消息;其中,系统广播消息中携带有支持加密指示,支持加密指示用于指示新节点支持对重建RRC连接的请求消息的反馈消息进行加密及完整性验证。
需要理解的是,用户终端获得指定密钥的方法与前述第一方面中记载的方法相同,在此不再赘述。
为了使本领域的技术人员能充分的理解上述方案,下面将通过具体的实施例,以用户终端与接入网节点交互的方式进行说明。
第一种情况:接入网节点作为源节点:
实施例一、用户终端RRC连接中断后,用户终端向接入网节点发送重建RRC连接的第一请求消息,请参见图5。
步骤501:接入网节点向用户终端发送携带有解密指示的RRC消息。
其中,解密指示中还可携带NCC值(请参见图6),使用户终端可以通过NCC值确定对应的NH值,以便用NH值推导出指定密钥。
步骤502:在接入网节点与用户终端的RRC连接中断后,用户终端向接入网节点发送进行重建RRC连接的第一请求消息。
步骤503:用户终端用最新密钥推导出指定密钥,并准备接收第一反馈消息。
若解密指示中未携带NCC值,则用最新密钥推导出指定密钥;若解密指示中携带NCC值,且NCC值对应的NH值未使用过,则用NH值推导出指定密钥,若NH值使用过则用最新密钥推导出指定密钥。
步骤504:接入网节点用指定密钥对第一请求消息的反馈消息进行加密,生成第一反馈消息。
步骤505:接入网节点将第一反馈消息发送给用户终端。
第一反馈消息中可携带大量的配置信息,以便免除后续接入网节点发送重配置消息,及用户终端发送重配置完成消息。
步骤506:用户终端完成配置后,向接入网节点发送RRC过程重建完成消息。使接入网节点恢复用户面数据承载。
实施例二、用户终端的RRC连接中断后,用户终端向接入网发送RRC过程重建的第一请求消息,请参见图7。
步骤601:接入网节点向用户终端发送携带有解密指示及密钥变更的变更指示的RRC消息。
其中,解密指示中还可携带NCC值,具体请参见实施例一,在此不再赘述。密钥变更的变更指示可以是与解密指示一起发送给用户终端的,也可以是在发送解密指示之前发送给用户终端的,具体请参见图8中的步骤600)。
需要说明的是,解密指示中是否携带NCC值可与是否发送密钥的变更指示进行任意组合,在这些组合中当且仅当NCC值对应的NH值为未使用过时,指定密钥才由NH值推导出,其它情况,指定密钥均用最新密钥推导出。
步骤602:在接入网节点与用户终端的无线链路连接失败后,用户终端向接入网节点发送重建RRC连接的第一请求消息。
步骤603:用户终端推导出指定密钥,并准备接收第一反馈消息。
若解密指示中未携带NCC值,则用最新密钥推导出指定密钥;若解密指示中携带NCC值,且NCC值对应的NH值未使用过,则用NH值推导出指定密钥,若NH值使用过则用最新密钥推导出指定密钥。
步骤604:接入网节点用指定密钥对第一请求消息的反馈消息进行加密,生成第一反馈消息。
步骤605:接入网节点将第一反馈消息发送给用户终端。
第一反馈消息中可携带大量的配置信息,以便免除后续接入网节点发送重配置消息,及用户终端发送重配置完成消息。
步骤606:用户终端完成配置后,向接入网节点发送RRC过程重建完成消息。使接入网节点恢复用户面数据承载。
实施例三、用户终端的RRC连接中断后,用户终端向接入网节点发送RRC过程重建的第一请求,请参见图9。
步骤701:接入网节点向用户终端发送携带有解密指示的第一RRC消息。
步骤702:接入网节点向用户终端发送携带有解密指示的第二RRC消息。
接入网节点向用户终端多次发送携带有解密指示的RRC消息时,以最后一次为准,即在用户终端的RRC中断后,它们所使用的密钥是最后一次RRC消息对应的最新密钥推导出的指定密钥,或NCC值(如果解密指示中携带有NCC值)对应的NH值推导出的密钥作为指定密钥。
步骤703:在用户终端的RRC连接中断后,用户终端向接入网节点发送进行重建RRC连接的第一请求消息。
步骤704:用户终端用最新密钥推导出指定密钥,并准备接收第一反馈消息。
若解密指示中未携带NCC值,则用最新密钥推导出指定密钥;若解密指示中携带NCC值,且NCC值对应的NH值未使用过,则用NH值推导出指定密钥,若NH值使用过则用最新密钥推导出指定密钥。
步骤705:接入网节点用指定密钥对第一请求消息的反馈消息进行加密,生成第一反馈消息。
步骤706:接入网节点将第一反馈消息发送给用户终端。
第一反馈消息中可携带大量的配置信息,以便免除后续接入网节点发送重配置消息,及用户终端发送重配置完成消息。
步骤707:用户终端完成配置后,向接入网节点发送完成重建RRC连接消息。使接入网节点恢复用户面数据承载。
需要理解的是,当接入网节点多次向用户终端发送密钥变更的变更指示,或多次发送携带有解密指示的重配置信息时,均以最新密钥为准。
第二种情况,接入网节点作为新节点:
实施例四、用户终端的RRC连接中断后,用户终端向接入网节点发送重建RRC连接的第一请求,请参见图10。
步骤800:在用户终端处于连接状态时,用户终端的源节点向用户终端发送携带有解密指示的RRC消息。
具体用户终端的源节点可能发送的消息可参见实施例一和二中的相关描述。由于步骤800并非接入网节点执行的,故在图10中源节点在用户终端处于无线链路连接状态时发送的消息以虚线进行示意。
步骤801:广播系统广播消息;其中,系统广播消息中携带有支持加密指示,支持加密指示用于指示接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
需要理解的是,接入网节点具体什么时候广播系统广播消息在此不做限定,只要在用户终端发送第一请求前接收到接入网节点广播的系统广播消息,知道接入网节点支持对第一请求消息的反馈消息进行加密即可。
步骤802:在用户终端的RRC连接中断后,用户终端向接入网节点发送重建RRC连接的第一请求消息。
步骤803:用户终端用推导出指定密钥,并准备接收第一反馈消息。
若解密指示中未携带NCC值,则用最新密钥推导出指定密钥;若解密指示中携带NCC值,且NCC值对应的NH值未使用过,则用NH值推导出指定密钥,若NH值使用过则用最新密钥推导出指定密钥。
步骤804:接入网节点向用户终端的源节点发送第二请求消息,用于获取用户终端的上下文。
步骤805:用户终端的源节点向接入网节点返回第二请求消息的响应消息。其中,响应消息中携带对第一请求消息的反馈消息进行加密的加密指示。
步骤806:接入网节点根据加密指示用指定密钥对第一请求消息的反馈消息进行加密及完整性保护,生成第一反馈消息。
步骤807:接入网节点将第一反馈消息发送给用户终端。
第一反馈消息中可携带大量的配置信息,以便免除后续接入网节点发送重配置消息,及用户终端发送重配置完成消息。
步骤808:用户终端完成配置后,向接入网节点发送完成重建RRC连接消息。使接入网节点恢复用户面数据承载。
如图11所示,本发明实施例提供的一种重建RRC连接的基站,其特征在于,该基站包括:处理器1101、存储器1102和收发机1103;
其中,处理器1101,用于读取存储器1102中的程序并执行下列过程:
接收用户终端发送的重建RRC连接的第一请求消息;基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成所述重建RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
可选的,所述处理器1101还用于:
当所述用户终端为RRC连接状态时,向所述用户终端发送携带所述解密指示的RRC消息。
可选的,所述处理器1101还用于:
在向所述用户终端发送所述RRC消息之前,向所述用户终端发送密钥的更换指示,使所述用户终端基于所述更换指示生成所述最新密钥;
或在所述RRC消息中,携带所述更换指示,使所述用户终端基于所述更换指示生成所述最新密钥。
可选的,所述解密指示中携带有一个下一跳链计数器值,用于协助推导出所述指定密钥。
可选的,所述处理器1101还用于:
广播系统广播消息,所述系统广播消息中携带有支持加密指示;其中,所述支持加密指示用于指示支持对重建RRC连接的请求消息的反馈消息进行加密。
可选的,所述指定密钥是从所述最新密钥推导出的;或,若所述下一跳链计数器值对应的下一跳值未被使用过时,则所述指定密钥是从所述下一跳值推导出的。
可选的,所述处理器1101具体用于:
若没有所述用户终端的上下文时,则向所述用户终端的源节点发送提取所述上下文的第二请求消息;
接收所述源节点发送的所述第二请求消息对应的响应消息;其中,所述响应消息中携带有对所述第一请求消息对应的反馈消息进行加密的加密指示;
基于所述加密指示用所述指定密钥对所述反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
可选的,所述处理器1101具体用于:
若有所述用户终端的上下文时,则用所述指定密钥对所述第一请求消息对应的反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
处理器1101负责管理总线架构和通常的处理,存储器1102可以存储处理器1101在执行操作时所使用的数据。收发机1103用于在处理器1101的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器1101代表的一个或多个处理器和存储器1102代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器1101负责管理总线架构和通常的处理,存储器1102可以存储处理器1101在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器1101中,或者由处理器1101实现。在实现过程中,信号处理流程的各步骤可以通过处理器1101中的硬件的集成逻辑电路或者软件形式的指令完成。处理器1101可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1102,处理器1101读取存储器1102中的信息,结合其硬件完成信号处理流程的步骤。
如图12所示,本发明实施例提供的一种重建RRC连接的移动终端,其特征在于,所述移动终端包括:处理器1201、存储器1202和收发机1203;
其中,处理器1201,用于读取存储器1202中的程序并执行下列过程:
向接入网节点发送重建RRC连接的第一请求消息,并接收所述第一请求消息对应的第一反馈消息;用指定密钥对所述第一反馈消息进行解密和完整性验证,以重建所述RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护后的消息。
可选的,所述处理器1201还用于:
在无线链路为连接状态时,接收当前所连接的接入网节点所发送的RRC消息;其中,所述RRC消息中携带解密指示;所述解密指示用于指示在最新密钥使用期间,若与所述当前所连接的接入网节点间的无线链路连接失败,则对所述第一反馈消息进行解密的指示。
可选的,所述处理器1201还用于:
接收所述接入网节点的系统广播消息;其中,所述系统广播消息中携带有支持加密指示,所述支持加密指示用于指示所述新节点支持对重建RRC连接的请求消息的反馈消息进行加密。
处理器1201负责管理总线架构和通常的处理,存储器1202可以存储处理器1201在执行操作时所使用的数据。收发机1203用于在处理器1201的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器1201代表的一个或多个处理器和存储器1202代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器1201负责管理总线架构和通常的处理,存储器1202可以存储处理器1201在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器1201中,或者由处理器1201实现。在实现过程中,信号处理流程的各步骤可以通过处理器1201中的硬件的集成逻辑电路或者软件形式的指令完成。处理器1201可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1202,处理器1201读取存储器1202中的信息,结合其硬件完成信号处理流程的步骤。
基于同一发明构思,本发明一实施例中提供一种用于重建RRC连接的基站,该基站的RRC过程重建方法的具体实施方式可参见方法实施例部分的描述,重复之处不再赘述,请参见图13,该基站包括:
接收单元1301,用于接收所述用户终端发送的重建RRC连接的第一请求消息;
发送单元1302,用于基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成所述RRC过程重建;
其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
可选的,所述发送单元1302还用于:
当所述用户终端为RRC连接状态时,向所述用户终端发送携带所述解密指示的RRC消息。
可选的,所述发送单元1302还用于:
在向所述用户终端发送所述RRC消息之前,向所述用户终端发送密钥的更换指示,使所述用户终端基于所述更换指示生成所述最新密钥;
或在所述RRC重配置信息中,携带所述更换指示,使所述用户终端基于所述更换指示生成所述最新密钥。
可选的,所述解密指示中携带有一个下一跳链计数器值,用于协助推导出所述指定密钥。
可选的,所述发送单元1302还用于:
广播系统广播消息,所述系统广播消息中携带有支持加密指示;其中,所述支持加密指示用于指示所述接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
可选的,所述指定密钥是从所述最新密钥推导出的;或,若所述下一跳链计数器值对应的下一跳值未被使用过时,则所述指定密钥是从所述下一跳值推导出的。
可选的,所述发送单元1302还用于:
若所述接入网节点中有所述用户终端的上下文时,则用所述指定密钥对所述第一请求消息对应的反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
通过用指定密钥对第一反馈消息进行加密及完整性验证,可以有效地提高返回给用户终端的消息的安全性。
基于同一发明构思,本发明一实施例中提供一种用于重建RRC连接的用户终端,该用户终端重建RRC连接方法的具体实施方式可参见方法实施例部分的描述,重复之处不再赘述,请参见图14,该用户终端包括:
收发单元1401,用于向接入网节点发送重建RRC连接的第一请求消息;并接收所述第一请求消息对应的第一反馈消息;
处理单元1402,用于用指定密钥对所述第一反馈消息进行解密和完整性验证,以重建RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护后的消息。
可选的,所述收发单元1401还用于:
在所述用户终端的无线链路为连接状态时,接收当前所连接的接入网节点发送的RRC消息;其中,所述RRC消息中携带解密指示;所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述当前所连接的接入网节点间的无线链路连接失败,则对所述第一反馈消息进行解密的指示。
可选的,所述收发单元1401还用于:
接收所述接入网节点的系统广播消息;其中,所述系统广播消息中携带有支持加密指示,所述支持加密指示用于指示所述接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
基于同一发明构思,本发明实施例还提一种计算机可读存储介质,包括:
所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如上接入网节点所述的重建RRC连接方法。
基于同一发明构思,本发明实施例还提一种计算机可读存储介质,包括:
所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如上用户终端所述的重建RRC连接方法。
在本发明提供的实施例中,当用户终端的RRC连接中断后,接收用户终端发送的重建RRC连接的第一请求消息,并返回加密后的第一反馈消息,由于第一反馈消息便已用指定密钥进行了加密和完整性保护(即接入网节点确定与用户终端通信的安全性已被激活),使接入网节点可以在第一反馈消息中携带大量配置信息,以恢复用户终端的用户面数据承载,进而恢复用户终端的RRC连接。而不需要像现有技术中那样只能在第一请求消息对应的反馈消息中携带少量配置信息,待接收到用户终端发送的重建完成消息后,接入网节点才能确认安全性已激活,之后还要向用户终端发送RRC重配置消息使用户终端恢复用户面数据承载,并在接入网节点接收到用户终端发送的RRC重配置完成消息后,才能恢复用户终端的RRC连接。由此可见,本发明实施例相较现有技术不仅能够提高第一反馈消息的安全性,并且还能节约重建RRC连接的信令开支,进而减少用户面延时。
本领域内的技术人员应明白,本发明实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (26)

1.一种重建RRC连接的方法,应用于接入网节点,其特征在于,包括:
接收用户终端发送的重建RRC连接的第一请求消息;
基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成所述重建RRC连接;
其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
2.如权利要求1所述的方法,其特征在于,所述方法,还包括:
当所述用户终端为RRC连接状态时,向所述用户终端发送携带所述解密指示的RRC消息。
3.如权利要求2所述的方法,其特征在于,所述方法,还包括:
在向所述用户终端发送所述RRC消息之前,向所述用户终端发送密钥的更换指示,使所述用户终端基于所述更换指示生成所述最新密钥;
或在所述RRC消息中,携带所述更换指示,使所述用户终端基于所述更换指示生成所述最新密钥。
4.如权利要求2所述的方法,其特征在于,所述解密指示中携带有一个下一跳链计数器值,用于协助推导出所述指定密钥。
5.如权利要求1所述的方法,其特征在于,接收所述用户终端发送的重建RRC连接的第一请求消息之前,还包括:
广播系统广播消息,所述系统广播消息中携带有支持加密指示;其中,所述支持加密指示用于指示所述接入网节点支持对重建RRC连接的请求消息的反馈消息进行加密。
6.如权利要求4所述的方法,其特征在于,所述指定密钥是从所述最新密钥推导出的;或,若所述下一跳链计数器值对应的下一跳值未被使用过时,则所述指定密钥是从所述下一跳值推导出的。
7.如权利要求1或5或6所述的方法,其特征在于,基于所述第一请求消息返回对应的第一反馈消息,包括:
若所述接入网节点中没有所述用户终端的上下文时,则向所述用户终端的源节点发送提取所述上下文的第二请求消息;
接收所述源节点发送的所述第二请求消息对应的响应消息;其中,所述响应消息中携带有对所述第一请求消息对应的反馈消息进行加密的加密指示;
基于所述加密指示用所述指定密钥对所述反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
8.如权利要求1-6任一权项所述的方法,其特征在于,基于所述第一请求消息返回对应的第一反馈消息,包括:
若所述接入网节点中有所述用户终端的上下文时,则用所述指定密钥对所述第一请求消息对应的反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
9.一种重建RRC连接的方法,应用于用户终端,其特征在于,包括:
向接入网节点发送重建RRC连接的第一请求消息,并接收所述第一请求消息对应的第一反馈消息;
用指定密钥对所述第一反馈消息进行解密和完整性验证,以重建所述RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护后的消息。
10.如权利要求9所述的方法,其特征在于,向接入网节点发送重建RRC连接的请求消息之前,还包括:
在所述用户终端的无线链路为连接状态时,接收当前所连接的接入网节点所发送的RRC消息;其中,所述RRC消息中携带解密指示;所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述当前所连接的接入网节点间的无线链路连接失败,则对所述第一反馈消息进行解密的指示。
11.如权利要求9或10所述的方法,其特征在于,向接入网节点发送重建RRC连接的请求消息之前,还包括:
接收所述接入网节点的系统广播消息;其中,所述系统广播消息中携带有支持加密指示,所述支持加密指示用于指示新节点支持对重建RRC连接的请求消息的反馈消息进行加密。
12.一种重建RRC连接的基站,其特征在于,该基站包括:处理器、存储器和收发机;
其中,处理器,用于读取存储器中的程序并执行下列过程:
接收用户终端发送的重建RRC连接的第一请求消息;基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成所述重建RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
13.如权利要求12所述的基站,其特征在于,所述处理器还用于:
当所述用户终端为RRC连接状态时,向所述用户终端发送携带所述解密指示的RRC消息。
14.如权利要求13所述的基站,其特征在于,所述处理器还用于:
在向所述用户终端发送所述RRC消息之前,向所述用户终端发送密钥的更换指示,使所述用户终端基于所述更换指示生成所述最新密钥;
或在所述RRC消息中,携带所述更换指示,使所述用户终端基于所述更换指示生成所述最新密钥。
15.如权利要求13所述的基站,其特征在于,所述解密指示中携带有一个下一跳链计数器值,用于协助推导出所述指定密钥。
16.如权利要求12所述的基站,其特征在于,所述处理器还用于:
广播系统广播消息,所述系统广播消息中携带有支持加密指示;其中,所述支持加密指示用于指示支持对重建RRC连接的请求消息的反馈消息进行加密。
17.如权利要求15所述的基站,其特征在于,所述指定密钥是从所述最新密钥推导出的;或,若所述下一跳链计数器值对应的下一跳值未被使用过时,则所述指定密钥是从所述下一跳值推导出的。
18.如权利要求12或16或17所述的基站,其特征在于,所述处理器具体用于:
若没有所述用户终端的上下文时,则向所述用户终端的源节点发送提取所述上下文的第二请求消息;
接收所述源节点发送的所述第二请求消息对应的响应消息;其中,所述响应消息中携带有对所述第一请求消息对应的反馈消息进行加密的加密指示;
基于所述加密指示用所述指定密钥对所述反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
19.如权利要求12-17任一权项所述的基站,其特征在于,所述处理器具体用于:
若有所述用户终端的上下文时,则用所述指定密钥对所述第一请求消息对应的反馈消息进行加密及完整性验证,获得并返回所述第一反馈消息。
20.一种重建RRC连接的移动终端,其特征在于,所述移动终端包括:处理器、存储器和收发机;
其中,处理器,用于读取存储器中的程序并执行下列过程:
向接入网节点发送重建RRC连接的第一请求消息,并接收所述第一请求消息对应的第一反馈消息;用指定密钥对所述第一反馈消息进行解密和完整性验证,以重建所述RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护后的消息。
21.如权利要求20所述的移动终端,其特征在于,所述处理器还用于:
在无线链路为连接状态时,接收当前所连接的接入网节点所发送的RRC消息;其中,所述RRC消息中携带解密指示;所述解密指示用于指示在最新密钥使用期间,若与所述当前所连接的接入网节点间的无线链路连接失败,则对所述第一反馈消息进行解密的指示。
22.如权利要求20或21所述的移动终端,其特征在于,所述处理器还用于:
接收所述接入网节点的系统广播消息;其中,所述系统广播消息中携带有支持加密指示,所述支持加密指示用于指示新节点支持对重建RRC连接的请求消息的反馈消息进行加密。
23.一种重建RRC连接的基站,其特征在于,包括:
接收单元,用于接收用户终端发送的重建RRC连接的第一请求消息;
发送单元,用于基于所述第一请求消息返回对应的第一反馈消息到所述用户终端,使所述用户终端根据预先接收到的解密指示用指定密钥对所述第一反馈消息进行解密及完整性验证,以完成所述重建RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护的消息,所述解密指示用于指示所述用户终端在最新密钥使用期间,若与所述用户终端的RRC连接中断,则用所述指定密钥对所述第一反馈消息进行解密的指示。
24.一种重建RRC连接的移动终端,其特征在于,包括:
收发单元,用于向接入网节点发送重建RRC连接的第一请求消息,并接收所述第一请求消息对应的第一反馈消息;
处理单元,用于用指定密钥对所述第一反馈消息进行解密和完整性验证,以重建所述RRC连接;其中,所述第一反馈消息是用所述指定密钥进行加密和完整性保护后的消息。
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1-8任一所述的方法。
26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述指令在计算机上运行时,使得计算机执行如权利要求9-11任一所述的方法。
CN201810902749.3A 2018-08-09 2018-08-09 重建rrc连接的方法、基站、移动终端及存储介质 Active CN110831255B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810902749.3A CN110831255B (zh) 2018-08-09 2018-08-09 重建rrc连接的方法、基站、移动终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810902749.3A CN110831255B (zh) 2018-08-09 2018-08-09 重建rrc连接的方法、基站、移动终端及存储介质

Publications (2)

Publication Number Publication Date
CN110831255A CN110831255A (zh) 2020-02-21
CN110831255B true CN110831255B (zh) 2023-05-02

Family

ID=69541550

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810902749.3A Active CN110831255B (zh) 2018-08-09 2018-08-09 重建rrc连接的方法、基站、移动终端及存储介质

Country Status (1)

Country Link
CN (1) CN110831255B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2612725A (en) * 2020-07-31 2023-05-10 Apple Inc Techniques for security key generation by user devices for data transmission in inactive state

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702818B (zh) * 2009-11-02 2012-12-12 上海华为技术有限公司 无线链路控制连接重建立中的算法协商方法、系统及设备
CN102238542A (zh) * 2010-04-20 2011-11-09 中兴通讯股份有限公司 一种中继节点下用户设备的rrc重建方法和系统
CN102487507B (zh) * 2010-12-01 2016-01-20 中兴通讯股份有限公司 一种实现完整性保护的方法及系统
CN102595390B (zh) * 2011-01-18 2019-04-05 中兴通讯股份有限公司 一种安全模式的配置方法和终端
CN104105145B (zh) * 2013-04-01 2017-07-14 电信科学技术研究院 一种基站配置变更时的用户设备切换方法、装置及系统
ES2845874T3 (es) * 2017-01-30 2021-07-28 Ericsson Telefon Ab L M Métodos y aparatos para restablecer una conexión de control de recurso de radio(RRC)

Also Published As

Publication number Publication date
CN110831255A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
JP5053424B2 (ja) 中継装置、無線通信装置、ネットワークシステム、プログラム、および、方法
CN111355684B (zh) 一种物联网数据传输方法、装置、系统、电子设备及介质
CN109729524B (zh) 一种rrc连接恢复方法及装置
KR102040036B1 (ko) 보안 패스워드 변경 방법, 기지국, 및 사용자 기기
TWI636373B (zh) Method and device for authorizing between devices
US20110033053A1 (en) Security key generating method, device and system
CN106713302B (zh) 一种操作系统更新方法及装置
JP2022530788A (ja) 通信方法及び通信装置
CN110831255B (zh) 重建rrc连接的方法、基站、移动终端及存储介质
CN114095277A (zh) 配电网安全通信方法、安全接入设备及可读存储介质
CN108810888A (zh) 秘钥更新方法和设备
CN111835691B (zh) 一种认证信息处理方法、终端和网络设备
CN116226940B (zh) 一种基于pcie的数据安全处理方法以及数据安全处理系统
CN102083063A (zh) 一种确定as密钥的方法、系统和设备
WO2018137617A1 (zh) 移动网络小数据的安全传输方法及装置
CN108271154B (zh) 一种认证方法及装置
CN110830243A (zh) 对称密钥分发方法、装置、车辆及存储介质
CN111770488B (zh) Ehplmn更新方法、相关设备及存储介质
CN106686673B (zh) 一种ue切换过程中sn倒换失败的处理方法及装置
CN112400335B (zh) 用于执行数据完整性保护的方法和计算设备
CN108270560A (zh) 一种密钥传输方法及装置
CN114584289B (zh) 生成密钥的方法及相关设备
CN109155913B (zh) 网络连接方法、安全节点的确定方法及装置
CN113438646B (zh) 业务建立方法、装置、终端及网络侧设备
CN105338524A (zh) 一种信息传输方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20210528

Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing

Applicant after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd.

Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road

Applicant before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant