CN112399409A - 一种安全加密的方法及装置 - Google Patents

一种安全加密的方法及装置 Download PDF

Info

Publication number
CN112399409A
CN112399409A CN201910760442.9A CN201910760442A CN112399409A CN 112399409 A CN112399409 A CN 112399409A CN 201910760442 A CN201910760442 A CN 201910760442A CN 112399409 A CN112399409 A CN 112399409A
Authority
CN
China
Prior art keywords
user plane
security
key
security key
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910760442.9A
Other languages
English (en)
Inventor
于海滨
晋英豪
胡力
仇力炜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201910760442.9A priority Critical patent/CN112399409A/zh
Priority to PCT/CN2020/103110 priority patent/WO2021031768A1/zh
Publication of CN112399409A publication Critical patent/CN112399409A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种安全加密的方法及装置,以期保障CP‑UP分离架构下的安全性。该方法应用于基站,基站包括CU和DU分离的架构,CU包括CY控制面实体CU‑CP和CU用户面实体CU‑UP,该方法包括:终端基于根密钥确定第一用户面安全密钥;所述终端基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为所述终端使用的在集中单元用户面CU‑UP上会话的用户面安全密钥。

Description

一种安全加密的方法及装置
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种安全加密的方法及装置。
背景技术
在第五代(5th generation,5G)新无线(new radio,NR)通信系统中,接入网支持集中单元(central unit,CU)和分布式单元(distributed unit,DU)结构。如图1所示,在CU中,其控制面(control plane,CP)和用户面(user plane,UP)可以分离。例如,在CP-UP分离架构下,CU可以包括CU-控制面(control plane,CP)和CU-用户面(user plane,UP)。其中,CU-CP具备(hosting)无线控制资源(radio resource control,RRC)功能以及分组数据汇聚协议(packet data convergence protocol,PDCP)的控制面部分(the control planepart of the PDCP protocol),例如用于处理信令无线承载(signaling radio bearer,SRB)的数据。CU-UP包括CU的用户面部分,具备(hosting)业务数据适配协议(service dataadapt protocol,SDAP)协议栈以及PDCP协议栈的用户面部分(the user plane part ofthe PDCP protocol),例如用户处理数据无线承载(data radio bearer,DRB)的数据。CU-UP和CU-CP可以是在不同的物理设备上,CU-CP和CU-UP之间会存在一个开放的接口:E1接口。CU-CP和CU-UP与DU都会有各自的接口,例如CU-CP与DU之间的接口为F1-C接口,CU-UP与DU之间的接口为F1-U接口。
发明内容
本申请实施例提供一种安全加密的方法及装置,以期保障CP-UP分离架构下的安全性。
本申请实施例提供的具体技术方案如下:
第一方面,提供一种安全加密的方法,该方法的执行主体可以是终端,该方法的应用环境可以为:与终端通信的网络设备或第一基站拆分为集中式单元CU和分布式单元DU,且集中式单元CU拆分为控制面实体CU-CP和用户面实体CU-UP。该方法具体包括:终端基于根密钥确定第一用户面安全密钥;所述终端基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为所述终端使用的在集中单元用户面CU-UP上会话的用户面安全密钥。这样,通过引入生成参数对第一用户面安全密钥进一步的推演,得到第二用户面安全密钥为CU-UP专用的用户面安全密钥,实现了不同CU-UP之间的用户面安全密钥的隔离,有助于提高安全性能。也就是说,针对不同的用户面实体CU-UP可以由控制面实体生成不同的安全密钥,从而实现用户面实体之间的密钥隔离,有助于保证CP-UP分离架构下的安全性。
在一个可能的设计中,所述终端基于所述第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证。由于第二用户面安全密钥是针对于该CU-UP确定的,所以通过该第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证,能够保证终端在所述集中单元用户面CU-UP上的会话的安全性,与其他部署位置的CU-UP的密钥隔离,提高安全性能。
在一个可能的设计中,所述生成参数包括计数值和/或安全算法。
在一个可能的设计中,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息、隧道端点标识TEID信息或者预先设定的数值。
在一个可能的设计中,所述终端从集中单元控制面CU-CP接收所述生成参数。
在一个可能的设计中,所述生成参数携带于业务数据适配协议SDAP配置信元或携带于数据无线承载DRB配置信元。
在一个可能的设计中,所述生成参数为DRB粒度或者PDU会话粒度。
对于本方面中的根密钥,在一个可能的设计中,该根密钥为CU-CP的根密钥,或者,该根密钥为基站的根密钥。
第二方面,提供一种安全加密的方法,该方法的执行主体可以是CU-CP,该方法的应用环境可以为:第一基站拆分为集中式单元CU和分布式单元DU,且集中式单元CU拆分为控制面实体CU-CP和用户面实体CU-UP。该方法具体包括:所述集中单元控制面CU-CP基于根密钥确定第一用户面安全密钥;所述CU-CP基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为集中单元用户面CU-UP与终端使用的用户面安全密钥。这样,通过引入生成参数对第一用户面安全密钥进一步的推演,得到第二用户面安全密钥为CU-UP专用的用户面安全密钥,实现了不同CU-UP之间的用户面安全密钥的隔离,有助于提高安全性能。也就是说,针对不同的用户面实体CU-UP可以由控制面实体生成不同的安全密钥,从而实现用户面实体之间的密钥隔离,有助于保证CP-UP分离架构下的安全性。
在一个可能的设计中,所述第二用户面安全密钥用于以下至少一种处理:加密、解密、完整性保护或完整性验证。由于第二用户面安全密钥是针对于该CU-UP确定的,所以通过该第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证,能够保证终端在所述集中单元用户面CU-UP上的会话的安全性,与其他部署位置的CU-UP的密钥隔离,提高安全性能。
在一个可能的设计中,所述生成参数包括计数值和/或安全算法。
在一个可能的设计中,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息、隧道端点标识TEID信息或者预先设定的数值。
在一个可能的设计中,所述CU-CP从所述CU-UP接收安全能力信息,所述安全能力信息包括以下至少一种信息:所述CU-UP支持的安全算法;所述CU-UP支持的多种安全算法的优先级排序。在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。通过向CU-CP发送安全能力信息,能够帮助CU-CP掌握各个CU-UP支持算法的能力,从而调控出统一的安全算法来。
在一个可能的设计中,所述CU-CP向所述CU-UP发送指示信息,所述指示信息用于指示一种安全算法或用于指示多种安全算法的优先级排序。在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。通过向CU-UP指示安全算法或者优先级排序,能够有助于各个CU-UP统一安全算法。
在一个可能的设计中,所述CU-CP向所述终端发送所述生成参数。
在一个可能的设计中,所述生成参数携带于业务数据适配协议SDAP配置信元或携带于数据无线承载DRB配置信元。
在一个可能的设计中,所述CU-CP向所述CU-UP发送所述第二用户面安全密钥。
在一个可能的设计中,所述生成参数为DRB粒度或者PDU会话粒度。
对于本方面中的根密钥,在一个可能的设计中,该根密钥为CU-CP的根密钥,例如上述CU-CP记为第一CU-CP,第一CU-CP可以通过以下方式获取该根密钥:第一CU-CP接收来自第二CU-CP的该第一CU-CP的根密钥;或者,第一CU-CP接收来自第二CU-CP的第一基站的根密钥,并根据该基站的根密钥生成该第一CU-CP的根密钥。其中,第二CU-CP为第二基站所包括的集中式单元中的控制面实体。
在另一个可能的设计中,该根密钥为基站的根密钥,例如上述CU-CP记为第一CU-CP,第一CU-CP可以通过以下方式获取该根密钥:第一基站的控制面实体接收来自第二集中式单元的控制面实体的该第一基站的根密钥;其中,第二集中式单元为第二基站所包括的集中式单元。
第三方面,提供一种安全加密的方法,该方法的执行主体可以是CU-UP,该方法的应用环境可以为:第一基站拆分为集中式单元CU和分布式单元DU,且集中式单元CU拆分为控制面实体CU-CP和用户面实体CU-UP。该方法具体包括:集中单元用户面CU-UP从集中单元控制面CU-CP接收第二用户面安全密钥,所述第二用户面安全密钥为所述CU-UP使用的用于终端的会话的用户面安全密钥;所述第二用户面安全密钥是基于生成参数和第一用户面安全密钥确定的,所述第一用户面安全密钥是基于根密钥确定的。这样,通过引入生成参数对第一用户面安全密钥进一步的推演,得到第二用户面安全密钥为CU-UP专用的用户面安全密钥,实现了不同CU-UP之间的用户面安全密钥的隔离,有助于提高安全性能。也就是说,针对不同的用户面实体CU-UP可以由控制面实体生成不同的安全密钥,从而实现用户面实体之间的密钥隔离,有助于保证CP-UP分离架构下的安全性。
在一个可能的设计中,所述CU-UP向所述CU-CP发送安全能力信息,所述安全能力信息包括以下至少一种信息:所述CU-UP支持的安全算法;所述CU-UP支持的多种安全算法的优先级排序。在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。通过向CU-CP发送安全能力信息,能够帮助CU-CP掌握各个CU-UP支持算法的能力,从而调控出统一的安全算法来。
在一个可能的设计中,所述CU-UP从所述CU-CP接收指示信息,所述指示信息用于指示一种安全算法或用于指示多种安全算法的优先级排序。在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。通过向CU-UP指示安全算法或者优先级排序,能够有助于各个CU-UP统一安全算法。
在一个可能的设计中,所述CU-UP按照所述指示信息确定第一安全算法;所述CU-UP使用所述第二用户面安全密钥和所述第一安全算法对数据进行以下一种或多种操作:加密、解密、完整性保护或完整性验证。由于第二用户面安全密钥是针对于该CU-UP确定的,所以通过该第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证,能够保证终端在所述集中单元用户面CU-UP上的会话的安全性,与其他部署位置的CU-UP的密钥隔离,提高安全性能。
在一个可能的设计中,所述生成参数包括计数值和/或安全算法。
在一个可能的设计中,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息或隧道端点标识TEID信息。
在一个可能的设计中,所述生成参数为DRB粒度或者PDU会话粒度。
第四方面,提供一种装置,该装置可以是终端设备,也可以是终端设备中的装置,或者是能够和终端设备匹配使用的装置。该装置的应用环境可以为:与该装置通信的网络设备或第一基站拆分为集中式单元CU和分布式单元DU,且集中式单元CU拆分为控制面实体CU-CP和用户面实体CU-UP。一种设计中,该装置可以包括执行第一方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该装置可以包括处理模块和通信模块。处理模块用于调用通信模块执行接收和/或发送的功能。示例性地:
所述处理模块,用于基于根密钥确定第一用户面安全密钥;以及用于基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为所述终端使用的在集中单元用户面CU-UP上会话的用户面安全密钥。这样,通过引入生成参数对第一用户面安全密钥进一步的推演,得到第二用户面安全密钥为CU-UP专用的用户面安全密钥,实现了不同CU-UP之间的用户面安全密钥的隔离,有助于提高安全性能。也就是说,针对不同的用户面实体CU-UP可以由控制面实体生成不同的安全密钥,从而实现用户面实体之间的密钥隔离,有助于保证CP-UP分离架构下的安全性。
在一个可能的设计中,所述处理模块还用于基于所述第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证。由于第二用户面安全密钥是针对于该CU-UP确定的,所以通过该第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证,能够保证终端在所述集中单元用户面CU-UP上的会话的安全性,与其他部署位置的CU-UP的密钥隔离,提高安全性能。
在一个可能的设计中,所述生成参数包括计数值和/或安全算法。
在一个可能的设计中,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息、隧道端点标识TEID信息或者预先设定的数值。
在一个可能的设计中,所述通信模块,还用于从集中单元控制面CU-CP接收所述生成参数。
在一个可能的设计中,所述生成参数携带于业务数据适配协议SDAP配置信元或携带于数据无线承载DRB配置信元。
在一个可能的设计中,所述生成参数为DRB粒度或者PDU会话粒度。
对于本方面中的根密钥,在一个可能的设计中,该根密钥为CU-CP的根密钥,例如上述CU-CP记为第一CU-CP,第一CU-CP可以通过以下方式获取该根密钥:第一CU-CP接收来自第二CU-CP的该第一CU-CP的根密钥;或者,第一CU-CP接收来自第二CU-CP的第一基站的根密钥,并根据该基站的根密钥生成该第一CU-CP的根密钥。其中,第二CU-CP为第二基站所包括的集中式单元中的控制面实体。
在另一个可能的设计中,该根密钥为基站的根密钥,例如上述CU-CP记为第一CU-CP,第一CU-CP可以通过以下方式获取该根密钥:第一基站的控制面实体接收来自第二集中式单元的控制面实体的该第一基站的根密钥;其中,第二集中式单元为第二基站所包括的集中式单元。
第五方面,提供一种装置,该装置可以是CU-CP,也可以是CU-CP中的装置,或者是能够和CU-CP匹配使用的装置。该装置的应用环境可以为:第一基站拆分为集中式单元CU和分布式单元DU,且集中式单元CU拆分为控制面实体CU-CP和用户面实体CU-UP。一种设计中,该装置可以包括执行第二方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该装置可以包括处理模块和通信模块。处理模块用于调用通信模块执行接收和/或发送的功能。示例性地:
所述处理模块,英语基于根密钥确定第一用户面安全密钥;以及用于基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为集中单元用户面CU-UP与终端使用的用户面安全密钥。这样,通过引入生成参数对第一用户面安全密钥进一步的推演,得到第二用户面安全密钥为CU-UP专用的用户面安全密钥,实现了不同CU-UP之间的用户面安全密钥的隔离,有助于提高安全性能。也就是说,针对不同的用户面实体CU-UP可以由控制面实体生成不同的安全密钥,从而实现用户面实体之间的密钥隔离,有助于保证CP-UP分离架构下的安全性。
在一个可能的设计中,所述第二用户面安全密钥用于以下至少一种处理:加密、解密、完整性保护或完整性验证。由于第二用户面安全密钥是针对于该CU-UP确定的,所以通过该第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证,能够保证终端在所述集中单元用户面CU-UP上的会话的安全性,与其他部署位置的CU-UP的密钥隔离,提高安全性能。
在一个可能的设计中,所述生成参数包括计数值和/或安全算法。
在一个可能的设计中,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息、隧道端点标识TEID信息或者预先设定的数值。
在一个可能的设计中,所述通信模块用于从所述CU-UP接收安全能力信息,所述安全能力信息包括以下至少一种信息:所述CU-UP支持的安全算法;所述CU-UP支持的多种安全算法的优先级排序。在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。通过向CU-CP发送安全能力信息,能够帮助CU-CP掌握各个CU-UP支持算法的能力,从而调控出统一的安全算法来。
在一个可能的设计中,所述通信模块还用于向所述CU-UP发送指示信息,所述指示信息用于指示一种安全算法或用于指示多种安全算法的优先级排序。在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。通过向CU-UP指示安全算法或者优先级排序,能够有助于各个CU-UP统一安全算法。
在一个可能的设计中,所述通信模块还用于向所述终端发送所述生成参数。
在一个可能的设计中,所述生成参数携带于业务数据适配协议SDAP配置信元或携带于数据无线承载DRB配置信元。
在一个可能的设计中,所述通信模块还用于向所述CU-UP发送所述第二用户面安全密钥。
在一个可能的设计中,所述生成参数为DRB粒度或者PDU会话粒度。
对于本方面中的根密钥,在一个可能的设计中,该根密钥为CU-CP的根密钥,例如上述CU-CP记为第一CU-CP,第一CU-CP可以通过以下方式获取该根密钥:第一CU-CP接收来自第二CU-CP的该第一CU-CP的根密钥;或者,第一CU-CP接收来自第二CU-CP的第一基站的根密钥,并根据该基站的根密钥生成该第一CU-CP的根密钥。其中,第二CU-CP为第二基站所包括的集中式单元中的控制面实体。
在另一个可能的设计中,该根密钥为基站的根密钥,例如上述CU-CP记为第一CU-CP,第一CU-CP可以通过以下方式获取该根密钥:第一基站的控制面实体接收来自第二集中式单元的控制面实体的该第一基站的根密钥;其中,第二集中式单元为第二基站所包括的集中式单元。
第六方面,提供一种装置,该装置可以是CU-UP,也可以是CU-UP中的装置,或者是能够和CU-UP匹配使用的装置。该装置的应用环境可以为:第一基站拆分为集中式单元CU和分布式单元DU,且集中式单元CU拆分为控制面实体CU-CP和用户面实体CU-UP。一种设计中,该装置可以包括执行第三方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该装置可以包括处理模块和通信模块。处理模块用于调用通信模块执行接收和/或发送的功能。示例性地:
所述通信模块,用于从集中单元控制面CU-CP接收第二用户面安全密钥,所述第二用户面安全密钥为所述CU-UP使用的用于终端的会话的用户面安全密钥;所述第二用户面安全密钥是基于生成参数和第一用户面安全密钥确定的,所述第一用户面安全密钥是基于根密钥确定的。这样,通过引入生成参数对第一用户面安全密钥进一步的推演,得到第二用户面安全密钥为CU-UP专用的用户面安全密钥,实现了不同CU-UP之间的用户面安全密钥的隔离,有助于提高安全性能。也就是说,针对不同的用户面实体CU-UP可以由控制面实体生成不同的安全密钥,从而实现用户面实体之间的密钥隔离,有助于保证CP-UP分离架构下的安全性。
在一个可能的设计中,所述通信模块还用于向所述CU-CP发送安全能力信息,所述安全能力信息包括以下至少一种信息:所述CU-UP支持的安全算法;所述CU-UP支持的多种安全算法的优先级排序。在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。通过向CU-CP发送安全能力信息,能够帮助CU-CP掌握各个CU-UP支持算法的能力,从而调控出统一的安全算法来。
在一个可能的设计中,所述通信模块还用于从所述CU-CP接收指示信息,所述指示信息用于指示一种安全算法或用于指示多种安全算法的优先级排序。在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。通过向CU-UP指示安全算法或者优先级排序,能够有助于各个CU-UP统一安全算法。
在一个可能的设计中,所述处理模块用于按照所述指示信息确定第一安全算法;以及用于使用所述第二用户面安全密钥和所述第一安全算法对数据进行以下一种或多种操作:加密、解密、完整性保护或完整性验证。由于第二用户面安全密钥是针对于该CU-UP确定的,所以通过该第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证,能够保证终端在所述集中单元用户面CU-UP上的会话的安全性,与其他部署位置的CU-UP的密钥隔离,提高安全性能。
在一个可能的设计中,所述生成参数包括计数值和/或安全算法。
在一个可能的设计中,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息或隧道端点标识TEID信息。
在一个可能的设计中,所述生成参数为DRB粒度或者PDU会话粒度。
第七方面,本申请实施例提供一种装置,所述装置包括通信接口和处理器,所述通信接口用于该装置与其它设备进行通信,例如数据或信号的收发。示例性的,通信接口可以是收发器、电路、总线、模块或其它类型的通信接口,其它设备可以为CU-CP。处理器用于调用一组程序、指令或数据,执行上述第一方面描述的方法。所述装置还可以包括存储器,用于存储处理器调用的程序、指令或数据。所述存储器与所述处理器耦合,所述处理器执行所述存储器中存储的、指令或数据时,可以实现上述第一方面描述的方法。
在一个可能的设计中,所述装置为终端。
第八方面,本申请实施例提供一种装置,所述装置包括通信接口和处理器,所述通信接口用于该装置与其它设备进行通信,例如数据或信号的收发。示例性的,通信接口可以是收发器、电路、总线、模块或其它类型的通信接口,其它设备可以为终端或者CU-UP。处理器用于调用一组程序、指令或数据,执行上述第二方面描述的方法。所述装置还可以包括存储器,用于存储处理器调用的程序、指令或数据。所述存储器与所述处理器耦合,所述处理器执行所述存储器中存储的、指令或数据时,可以实现上述第二方面描述的方法。
第九方面,本申请实施例提供一种装置,所述装置包括通信接口和处理器,所述通信接口用于该装置与其它设备进行通信,例如数据或信号的收发。示例性的,通信接口可以是收发器、电路、总线、模块或其它类型的通信接口,其它设备可以为CU-CP。处理器用于调用一组程序、指令或数据,执行上述第三方面描述的方法。所述装置还可以包括存储器,用于存储处理器调用的程序、指令或数据。所述存储器与所述处理器耦合,所述处理器执行所述存储器中存储的、指令或数据时,可以实现上述第三方面描述的方法。
第十方面,本申请实施例中还提供一种计算机可读存储介质,所述计算机存储介质中存储有计算机可读指令,当所述计算机可读指令在计算机上运行时,使得计算机执行如第一方面或第一方面中任一种可能的设计中所述的方法。
第十一方面,本申请实施例中还提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如第二方面或第二方面中任一种可能的设计中所述的方法。
第十二方面,本申请实施例中还提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如第三方面或第三方面中任一种可能的设计中所述的方法。
第十三方面,本申请实施例提供了一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述第一方面或第一方面中任一种可能的设计中所述的方法。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第十四方面,本申请实施例提供了一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述第一方面或第一方面中任一种可能的设计中所述的方法。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第十五方面,本申请实施例提供了一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述第一方面或第一方面中任一种可能的设计中所述的方法。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第十六方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述各方面和各方面中任一种可能的设计中的方法。
第十七方面,本申请实施例提供了一种系统,所述系统包括第四方面所述的装置和第七方面所述的装,或者,第五方面所述的装置和第八方面所述的装置;或者,包括第六方面所述的装置和第九方面所述的装置。
附图说明
图1为现有技术中CU-DU架构示意图;
图2为现有技术中在多个CU-UP建立会话示意图;
图3a为本申请实施例中通信系统架构示意图;
图3b为本申请实施例中网络设备架构示意图;
图4a为本申请实施例中CU-CP和CU-UP架构部署情况示意图之一;
图4b为本申请实施例中CU-CP和CU-UP架构部署情况示意图之二;
图4c为本申请实施例中CU-CP和CU-UP架构部署情况示意图之三;
图5为本申请实施例中安全加密的方法的流程示意图之一;
图6为本申请实施例中安全加密的方法的流程示意图之二;
图7a和图7b为本申请实施例中密钥确定方法一的示意图;
图7c和图7d为本申请实施例中密钥确定方法二的示意图;
图7e为本申请实施例中密钥确定方法三的示意图;
图7f和图7g为本申请实施例中密钥确定方法四的示意图;
图8为本申请实施例中一种应用场景下安全加密的方法示意图;
图9为本申请实施例中一种应用场景下安全加密的方法的示意图;
图10为本申请实施例中一种装置结构示意图;
图11为本申请实施例中另一种装置结构示意图。
具体实施方式
本申请实施例提供一种安全加密的方法及装置,以期提高CU-UP上建立的会话的安全性。其中,方法和装置是基于同一技术构思的,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。本申请实施例的描述中,“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的至少一个是指一个或多个;多个,是指两个或两个以上。另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
本申请实施例提供的通信方法可以应用于5G通信系统或未来的各种通信系统。
下面将结合附图,对本申请实施例进行详细描述。
首先介绍一下本申请实施例适用的一种通信系统的架构。如图2所示,通信系统200可以包括网络设备201和终端设备202。应理解,该通信系统200中可以包括更多或更少的网络设备或终端设备。网络设备201或终端设备202可以是硬件,也可以是从功能上划分的软件,或者是硬件和软件结合。网络设备201与终端设备202之间可以通信。例如:网络设备201可以向终端设备202发送下行数据,也可以接收终端设备202发送的上行数据;和/或,终端设备202也可以向网络设备201发送上行数据,也可以接收网络设备201发送的下行数据。终端设备可以简称为终端。
网络设备201为无线接入网(radio access network,RAN)中的节点,又可以称为基站,还可以称为RAN节点(或设备)。如图3a所示,5G中的网络设备以gNB为例,gNB包括CU和DU。其中,CU是集中式节点,通过NG接口与核心网(next generation core,NGC)连接,在接入网内部能够控制和协调多个小区。CU包含协议栈高层控制和数据功能,涉及的主要协议层包括控制面的无线资源控制(radio resource control,RRC)功能和用户面的IP、业务数据适配协议(service data adapt protocol,SDAP)、分组数据汇聚协议(packet dataconvergence protocol,PDCP)子层功能。DU是分布式单元,广义上,DU实现射频处理功能和无线链路控制(radio link control,RLC)、媒质接入控制(media access control,MAC)以及物理层(PHY)等基带处理功能;狭义上,基于实际设备实现,DU仅负责基带处理功能,动态天线单元(active antenna unit,AAU)负责射频处理功能,DU和AAU之间通过通用公共无线电接口(common public radio interface,CPRI)或eCPRI接口相连。CU和DU之间通过F1接口连接。CU-CP和DU之间的接口可以称为F1-C,CU-UP和DU之间的接口可以称为F1-U。CU/DU具有多种切分方案,不同切分方案的适用场景和性能增益均不同。
在CU-DU架构中,CU-CP和CU-UP可以分离。CU-CP可以连接到一个或多个CU-UP。针对终端设备,CU-CP可以通过一个或多个CU-UP为终端设备与用户面功能(user planefunction,UPF)实体建立一个或多个会话,该会话可以是协议数据单元(protocol dataunit,PDU)会话。如图3b所示,CU-CP连接到CU-UP1和CU-UP2,针对一个终端设备,CU-CP通过CU-UP1和CU-UP2分别建立会话。例如,CU-CP通过CU-UP1建立PDU会话1,CU-CP通过CU-UP2建立PDU会话2,其中,PDU会话1包括数据流(flow)1和数据流2,PDU会话2包括数据流3和数据流4。PDU会话1和PDU会话2可以是不同的会话或者是相同的会话。
在一个可能的实现中,如果连接到相同CU-CP的多个CU-UP属于同一个安全域(security domain),针对某个终端设备在不同CU-UP上建立的会话均采用相同的安全密钥。
CU-CP和CU-UP架构可能会有不同的部署情况。图4a、图4b和图4c中,Xn-C接口为CU-CP与其它CU-CP之间的接口;Xn-U为CU-UP与其它CU-UP之间的接口。NG-C接口为gNB与AMF之间的接口(例如5G架构中的N2接口);NG-U接口为gNB与UPF之间的接口(例如5G架构中的N3接口)。
如图4a所示,CU-UP独立部署在区域A1,CU-CP连接的DU部署在区域B1,CU-CP部署在区域C1。区域A1和区域C1为中心位置,例如,可以部署在机房,并利于云技术,通过虚拟化实现CU-CP和CU-UP。CU-CP位于中心位置能够更好地为DU提供负载均衡和资源协调。区域B1为分布式的位置。
如图4b所示,CU-UP独立部署在区域A2,CU-CP和DU部署在区域B2,CU-UP部署在区域A2。区域A2为中心位置。区域B2为分布式位置,部署在室外,同时一个CU-CP管理一个DU,应用于信令操作多的场景。CU-CP管理单个DU,如关键(critical)通信,需要定期更换密钥的场景;但UP可以通过云实现。增大了CU-CP和CU-UP之间的时延。这种部署方式适用于链接重建、切换和状态转换较多的场景,特别的,诸如车联网等移动性场景。
如图4c所示,CU-UP与DU集中部署在区域A3,区域A3为中心位置。CU-CP部署在区域C3。区域C3为分布式的位置。图4c的场景可能如高可靠低时延通信(ultra-reliable andlow-latency communication,URLLC)场景,通过一次中心交互之后的用户面数据传输;也可以进行在用户面侧的云实现,实现数据传输的低时延,如关键机器类通信(criticalmachine type communication,critical MTC)下的数据传输。
从图4a、图4b和图4c所示的三种形式可见,在不同的情况下,CU-UP可能会独立部署,也可能会和DU集中部署在一起。这样一个CU-CP连接的多个CU-UP也可以部署在不同的地方。
部署在不同的地方可能会导致CU-UP的安全域就可能不同。这就导致连接到同一个CU-CP的多个CU-UP,也可能部署在不同的地方。由于CU-UP部署在不同的地方,那么连接同一个CU-CP的多个CU-UP安全域就可能不同。若同一个基站的不同CU-UP使用相同的密钥,存在安全风险。
如图5所示,本申请实施例提供的一种安全加密的方法的流程如下所述。
S501、CU-CP基于根密钥确定第一用户面安全密钥。
示例性地,该根密钥可以为CU-CP的根密钥,或者,该根密钥可以为基站的根密钥。具体地,在5G系统中,CU-CP的根密钥可以表示为KCU-CP;基站的根密钥可以表示为KgNB
第一用户面安全密钥可以包括第一用户面加密密钥和第一用户面完整性密钥中的至少一项。例如,第一用户面加密密钥可以用KUPenc来表示,第一用户面完整性密钥可以用KUPint来表示。
S502、CU-CP基于生成参数和第一用户面安全密钥,确定第二用户面安全密钥。
第二用户面安全密钥为CU-UP与终端之间通信所使用的用户面安全密钥。第二用户面安全密钥可以包括第二用户面加密密钥和第二用户面完整性密钥中的至少一项。例如,第二用户面加密密钥可以用KUPenc*来表示,第一用户面完整性密钥可以用KUPint*来表示。CU-CP基于生成参数和第一用户面加密密钥确定第二用户面加密密钥。CU-CP基于生成参数和第一用户面完整性密钥确定第二用户面完整性密钥。
第二用户面加密密钥可以用于CU-UP与终端之间的用户面会话的加密或解密处理。第一用户面加密密钥可以用于CU-UP与终端之间的用户面会话的完整性保护或完整性验证处理。
不同的CU-UP可以采用生成参数的不同的值。假设有两个CU-UP,分别用第一CU-UP和第二CU-UP表示。CU-CP根据生成参数的第一值确定针对第一CU-UP的用户面安全密钥1,根据生成参数的第二值确定针对第二CU-UP的用户面安全密钥2。用户面安全密钥1和用户面安全密钥2的确定方法参照S502中确定第二用户面安全密钥的方法。这样,通过引入生成参数对第一用户面安全密钥进一步的推演,得到第二用户面安全密钥为CU-UP专用的用户面安全密钥,实现了不同CU-UP之间的用户面安全密钥的隔离,有助于提高安全性能。
在一种可能的实施方式中,生成参数可以是PDU会话粒度的。也就是说,针对终端在该CU-UP上建立的某一个特定的PDU会话,配置该生成参数的一个值。该值是该PDU会话专用的。不同PDU会话采用生成参数不同的值。这样,CU-CP生成的第二用户面安全密钥也是PDU会话粒度的。第二用户面安全密钥为CU-UP与终端之间针对某一个PDU会话的用户面安全密钥。可以理解的是,在一个CU-UP上建立的多个PDU会话可以采用相同的生成成参数,也可以采用不同的生成参数,在本发明中不做限制。
或者,生成参数也可以是DRB粒度的。也就是说,针对终端在该CU-UP上建立会话使用的某一个DRB,配置该生成参数的一个值。该值时该DRB专用的。不同DRB采用生成参数不同的值。这样,CU-CP生成的第二用户面安全密钥也是DRB粒度的。第二用户面安全密钥为CU-UP与终端之间针对某一个DRB的用户面安全密钥。可以理解的是,在一个CU-UP上建立的多个DRB可以采用相同的生成成参数,也可以采用不同的生成参数,在本发明中不做限制。
在一种可能的实施方式中,生成参数可以是计数值,也可以是安全算法,也可以是计数值与安全算法的结合。
计数值的类型包括以下任意一种或多种的结合:CU-UP的标识、DU的标识、承载信息、会话信息、隧道端点标识(tunnel endpoint identifier,TEID)信息或者预先设定的数值(例如counter值)。还可以是随机数值(random number),例如非重复的随机数值(Nonce)。DU与CU-CP和CU-UP的关系表现为:一个基站包括CU和DU,CU包括控制面实体和用户面实体。CU的控制面实体为CU-CP,CU的用户面实体为CU-UP。
其中,CU-UP的标识为唯一标识该CU-UP的信息,例如可以表示为CU-UP ID(identity)。
DU的标识为唯一标识该DU的信息,例如可以表示为DU ID、物理小区标识(physical cell identity,PCI)或者频点。
承载信息可以包括以下至少一项:承载的ID、承载的上行方向指示、承载的下行方向指示或承载数目。当然,承载信息还可能包含其它跟承载相关的内容,本申请实施例并不限定。
会话信息可以包括以下至少一项:会话标识(可表示为会话ID)或会话的业务类型。当然,会话信息还可能包含其它跟会话相关的内容,本申请实施例并不限定。
TEID信息用于标识传输数据的隧道,例如可以包括以下至少一项:传输数据的隧道的上行标识或传输数据的通道的下行标识。
可选的,生成参数还可以是其它类型。例如实例标识(Instance ID),CU-UP ID,CUID,gNB的标识,CU-CP ID,DU ID,flow ID,会话信息,切片ID,MAC层标识,RRC信令计数器,或NAS count中的至少一项。
上述安全算法为CU-UP与终端之间使用的安全算法。在一种情形下,该安全算法可能为CU-UP与终端之间专用于用户面安全算法的安全算法,在这种情形下,CU-UP与终端之间的用户面安全算法与CU-CP与终端之间的控制面安全算法不同,CU-UP与CU-CP可以分别配置有自己的算法。在另一种情形下,CU-UP与终端之间使用的用户面安全算法与CU-CP与终端之间使用的控制面安全算法相同,即安全算法既用作CU-UP与终端之间的用户面安全算法,又用作CU-CP与终端之间的控制面安全算法。
在S501~S502的基础上,还可以进一步包括以下步骤。
S503、CU-CP向CU-UP发送该第二用户面安全密钥,CU-UP从CU-CP接收该第二用户面安全密钥。
CU-UP接收到第二用户面安全密钥之后,使用该第二用户面安全密钥对终端建立的PDU会话进行以下一种或多种操作:加密、解密、完整性保护或完整性验证。
S504、CU-CP向终端发送用于生成第二用户面安全密钥的生成参数,终端从CU-CP接收该生成参数。
可以理解的是,如果生成参数包括安全算法,该安全算法是用于从第一用户面安全密钥推演到第二安全密钥,那么CU-CP可以向终端发送多个不同的安全算法。举例来说,生成根密钥的安全算法#1,CU-UP#1生成参数对应的安全算法#2,CU-UP#2生成参数对应的安全算法#3。
可以理解的是,如果生成参数是PDU会话粒度的,那么网络设备在RRC消息中携带每一个PDU会话对应的生成参数给终端,如果生成参数是DRB粒度的,那么网络设备在RRC消息中携带每一个DRB对应的生成参数给终端。
S504和S503的执行顺序不作限定,可以同步进行,也可以交换顺序。
S505、终端基于根密钥确定第一用户面安全密钥。
该步骤终端确定第一用户面安全密钥的方式,与CU-CP基于根密钥确定第一用户面安全密钥的方式类似。可以参考S501对相关用语的描述。
S506、终端基于生成参数和第一用户面安全密钥,确定第二用户面安全密钥。
类似的,终端确定第二用户面安全密钥与CU-CP确定第二用户面安全密钥的方法类似,可以参考S502中对CU-CP确定第二用户面安全密钥的描述。在此不再赘述。
终端在生成第二用户面安全密钥之后,基于第二用户面安全密钥,对终端在CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证。类似的,生成参数可能是PDU会话粒度的,也可能是DRB粒度的。当然,本申请实施例中,生成参数可以是CU-UP粒度的。通过生成参数,能够实现不同CU-UP的密钥隔离。如果生成参数为PDU会话粒度的,则可以针对同一个CU-UP上不同的PDU会话使用不同的密钥,达到不同PDU会话的密钥隔离的目的。同样,如果生成参数为DRB粒度的,则可以针对同一个CU-UP上不同的DRB使用不同的密钥,达到不同DRB的密钥隔离的目的。
本申请实施例中,在一个可能的实现方式中,在S501之前,还可能包括S500_1和S500_2。
S500-1、CU-UP向所述CU-CP发送安全能力信息,CU-CP从CU-UP接收安全能力信息。
安全能力信息包括以下至少一种信息:该CU-UP支持的安全算法;CU-UP支持的多种安全算法的优先级排序。
实际应用中,CU-CP下的各个CU-UP均可以向CU-CP上报其安全能力信息。本申请实施例中可以以两个CU-UP来举例,第一CU-UP向CU-CP发送第一安全能力信息,CU-CP从第一CU-UP接收第一安全能力信息。第二CU-UP向CU-CP发送第二安全能力信息,CU-CP从第二CU-UP接收第二安全能力信息。
安全算法的信息可以通过算法标识(algorithm identifier)来指示,例如是加密的算法标识(ciphering algorithm identifier),又例如还可以是完整性保护的算法标识(integrity algorithm identifier)。举例来说,算法标识可以是5G加密算法(encryptionalgorithm for 5G,NEA)NEA0,128-NEA1,128-NEA2,128-NEA3。NEA0,128-NEA1,128-NEA2,128-NEA3。分别用于标识不同的安全算法。安全算法也可以通过算法标识值(algorithmidentifier values)来指示,例如是加密的算法标识值(Ciphering algorithmidentifier values)和/或完整性保护的算法标识值(Integrity algorithm identifiervalues),举例来说,算法标识值可以是"00002","00012","00102","00112"。
安全算法的优先级排序或者称为安全算法的优先级,安全算法的优先级排序指示CU-UP支持的多个安全算法中优先采用哪一个作为加解密或者完整性保护的算法,例如128-NEA1是第一优先级,128-NEA2是第二优先级,128-NEA3是第三优先级。该优先级排序可以通过显示和隐示的方法来指示。显示的方法即通过指示信息指示每一个安全算法的优先级。隐示的方法是指通过安全算法的携带位置来确定优先级,例如安全能力信息携带的安全算法的顺序是128-NEA3,128-NEA2,128-NEA1,那么意味着安全算法的优先级由高到低排序为128-NEA3、128-NEA2、128-NEA1。当然,也可以表明安全算法的优先级由低到高排序为128-NEA3、128-NEA2、128-NEA1。
CU-UP可以向CU-CP发送E1接口建立请求消息,在E1接口建立请求消息中携带安全能力信息。具体地,第一CU-UP向CU-CP发送第一E1接口建立请求消息,第一E1接口建立请求消息种携带第一安全能力信息。第二CU-UP向CU-CP发送第二E1接口建立请求消息,第二E1接口建立请求消息种携带第二安全能力信息。通过在E1接口建立请求消息中携带安全能力信息,这样就不需要CU-CP发送安全能力请求消息去UP请求UP的安全能力,减少了信令的开销。
S500-2、CU-CP向CU-UP发送指示信息,CU-UP从CU-CP接收指示信息。
该指示信息用于指示一种指定的安全算法或用于指示多种安全算法的一种指定的优先级排序。
以两个CU-UP为例,CU-CP向第一CU-UP发送第一指示信息,第一CU-UP从CU-CP接收第一指示信息。CU-CP向第二CU-UP发送第二指示信息,第二CU-UP从CU-CP接收第二指示信息。
指示信息可能通过几种可能的信令携带。以下以两种举例来说明。
以两个CU-UP为例,CU-CP向第一CU-UP发送第一响应消息,第一CU-UP从CU-CP接收第一响应消息。CU-CP向第二CU-UP发送第二响应消息,第二CU-UP从CU-CP接收第二响应消息。
该第一响应消息用于响应第一安全能力信息。例如,表示成功接收到第一安全能力信息。第二响应消息用于响应第二安全能力信息,例如表示成功接收到第二安全能力信息。
可选的,在第一响应消息和第二响应消息中还可以携带指示信息。
在生成参数为计数值的情况下,由于多个CU-UP支持的安全算法不一样,或安全算法的优先级不一样,因此当多个CU-UP需要采用相同的安全算法时,需要CU-CP指定一个安全算法。这样,不同的CU-UP接收到指定的安全算法,按照指定的安全算法推演密钥。第一响应消息和第二响应消息中携带指示信息用于指示相同的安全算法,或者CU-UP可以用指示信息指示的优先级排序确定相同的优先使用的安全算法。CU-CP根据各个CU-UP上报的安全能力信息,选择一个指定的安全算法。或者,CU-CP向各个CU-UP指示一个相同的安全算法优先级,这样,不同的CU-UP可以按照相同的安全算法优先级对多个安全算法进行排序,CU-UP能够确定优先采用哪一个安全算法。举例来说,如果连接到CU-CP的多个CU-UP的安全能力不一致,例如多个CU-UP虽然都支持128-NEA1,128-NEA2,128-NEA3,但是各自的优先级不一样,那么CU-CP可以统一各个CU-UP支持的安全算法的优先级,从而使得各个CU-UP的安全算法优先级一致。
当然,在生成参数为计数值的情况下,多个CU-UP也可以采用不同的安全算法。或者,在生成参数为安全算法的情况下,多个CU-UP也需要采用不同的安全算法。在多个CU-UP采用不同的安全算法的场景下,第一响应消息携带第一指示信息,第二响应消息携带第二指示信息,第一指示信息和第二指示信息不同。第一指示信息指示的安全算法和第二指示信息指示的安全算法不同。或者说,第一CU-UP根据第一指示信息指示的第一优先级排序确定的优先使用的安全算法,与第二CU-UP根据第二指示信息指示的第二优先级排序确定的优先使用的安全算法是不同的。
可选的,CU-CP可以基于S500-1的E1接口建立请求消息,向第一CU-UP回复E1接口建立回复消息,在E1接口建立回复消息中携带第一指示信息;类似的,CU-CP可以基于S500-1的E1接口建立请求消息,向第二CU-UP回复E1接口建立回复消息,在E1接口建立回复消息中携带第二指示信息。
可选的,CU-UP接收到指定的一个安全算法之后,可以根据该安全算法对与终端交互的数据进行处理,例如,加密、解密、完整性保护或完整性验证中的一种或多种处理。或者,CU-UP接收到指定的一个安全算法的优先级排序之后,根据优先级排序确定一个安全算法,并根据该安全算法对与终端交互的数据进行处理,例如,加密、解密、完整性保护或完整性验证中的一种或多种处理。
以下基于两个CU-UP为例,对本申请实施例提供的安全加密的方法做更进一步的描述。
如图6所示,本申请实施例提供的安全加密的方法的进一步详细流程如下所述。
S601、CU-CP确定根密钥。
根密钥是针对某个终端的,CU-CP为不同的终端确定的根密钥可以是不同的。
S602、CU-CP基于根密钥确定第二用户面安全密钥和第三用户面安全密钥。
其中,第二用户面安全密钥用于该终端在第一CU-UP上的会话,第三用户面安全密钥用于该终端在第二CU-UP上的会话。第一CU-UP和第二CU-UP分别与CU-CP连接CU-UP。第一CU-UP上的会话和第二CU-UP上的会话可以是相同的会话,也可能是不同的会话。
对于连接一个CU-CP的多个CU-UP,分别设置不同的安全密钥,以适应多个CU-UP安全域不同的应用场景,保证安全域不同的多个CU-UP上会话的安全性能。
根密钥可以认为是推演第二用户面安全密钥和第三用户面安全密钥中生成的中间值。本申请中以两个CU-UP为例,实际应用中,CU-CP还可以对其它CU-UP确定不同的密钥,确定方法可参照第一CU-UP和第二CU-UP。
CU-CP基于根密钥确定第二用户面安全密钥和第三用户面安全密钥可以采用不同的方法,本申请实施例以几种方法举例说明。
方法一
CU-CP先确定出根密钥之后,基于根密钥确定第一用户面安全密钥。基于第一用户面安全密钥和生成参数的第一值确定第二用户面安全密钥,基于第一用户面安全密钥和生成参数的第二值确定第三用户面安全密钥。
第一用户面安全密钥可能不止一个种类,比如第一用户面安全密钥可以包括以下至少一种:加解密密钥、完整性保护密钥或完整性验证密钥。第一用户面安全密钥还可以包括其他类型的信息。CU-CP在确定出第一用户面安全密钥之后,本申请实施例中,CU-CP会基于第一用户面安全密钥以及生成参数确定第二用户面安全密钥和第三用户面安全密钥。第二用户面安全密钥用于第一CU-UP上的会话,第三用户面安全密钥用于第二CU-UP上的会话。这样,当第一CU-UP和第二CU-UP位于不同的安全域的情况下,第一CU-UP和第二CU-UP由于采用不同的密钥,从而有助于提高不同安全域的CU-UP上会话的安全性。具体的,CU-CP基于第一用户面安全密钥和生成参数的第一值确定第二用户面安全密钥,基于第一用户面安全密钥和生成参数的第二值确定第三用户面安全密钥。生成参数是在推演第二用户面安全密钥和第三用户面安全密钥的过程中使用到的参数,用于将第一用户面安全密钥推演出不同的密钥。
在一个例子中,生成参数可以是计数值(counter)。CU-CP基于第一用户面安全密钥和计数值1确定第二用户面安全密钥,基于第一用户面安全密钥和计数值2确定第三用户面安全密钥。
在一个例子中,生成参数为安全算法(algorithm)。CU-CP基于第一用户面安全密钥和安全算法1确定第二用户面安全密钥,基于第一用户面安全密钥和安全算法2确定第三用户面安全密钥。第二用户面安全密钥和第三用户面安全密钥的种类和第一用户面安全密钥可以一致。比如第一用户面安全密钥包括加解密密钥和完整性保护/完整性验证密钥,则根据第一用户面安全密钥推演出来的第二用户面安全密钥和第三用户面安全密钥也可以包括加解密密钥和完整性保护/完整性验证密钥。也就是说第二用户面安全密钥和第三用户面安全密钥均可以包括加解密信息或完整性保护信息中的至少一种。需要说明的是,CU-CP在确定根密钥时也需要采用安全算法,例如采用安全算法3,安全算法3可以与安全算法1和安全算法2均不同,也可以与安全算法1相同,或者与安全算法2相同,或者与安全算法1和安全算法2均相同。
在生成参数为计数值的情况下,由于计数值不同既可以产生不同的二次衍生的密钥(即第二用户面安全密钥和第三用户面安全密钥),因此这种情况下可以采用相同的安全算法(algorithm)。
下面以图7a和图7b为例进行示例说明。如图7a所示,生成参数为计数值。根密钥用KgNB表示,第一用户面安全密钥包括KUPenc和KUPint。KUPenc表示加解密密钥,KUPint表示完整性密钥。将KUPenc和计数值(count)采用安全算法推演,得到K*UPenc。将KUPint和计数值采用安全算法推演,得到K*UPint。K*UPenc表示推演得到的加解密密钥,K*UPint表示推演得到的完整性保护密钥。不同的CU-UP可以采用不同的计数值以及相同的安全算法。例如,当计数值为第一值时,得到K*UPenc为第二用户面安全密钥的加解密密钥,K*UPint为第二用户面安全密钥的完整性保护密钥;当计数值为第二值时,得到K*UPenc为第三用户面安全密钥的加解密密钥,K*UPint为第三用户面安全密钥的完整性保护密钥。可以理解的是,在终端侧,如果终端只收到了一个安全算法,那么终端将会用该安全算法推演KgNB、K*UPenc和K*UPint。终端也可能收到多个安全算法,例如用于推演KgNB的安全算法#1与用于推演K*UPenc和K*UPint的安全算法#2,那么终端会采用各自对应的安全算法对KgNB、K*UPenc和K*UPint进行推演。针对同一个CU-UP上K*UPenc和K*UPint也可以采用相同的计数值或不同的计数值。在采用不同的计数值的情况下,例如,对于第一CU-UP,根据KUPenc和计数值1确定出第二用户面安全密钥的K*UPenc;根据KUPint和计数值2确定出第二用户面安全密钥的K*UPint。对于第二CU-UP,根据KUPenc和计数值3确定出第三用户面安全密钥的K*UPenc;根据KUPint和计数值4确定出第三用户面安全密钥的K*UPint
如图7b所示,生成参数为安全算法。根密钥用KgNB表示,第一用户面安全密钥包括KUPenc和KUPint。KUPenc表示加解密密钥,KUPint表示完整性密钥。针对第一CU-UP,将KUPenc和KUPint采用安全算法的第一值(也可以称为第一安全算法)推演出第二用户面安全密钥的K*UPenc和K*UPint。针对第二CU-UP,将KUPenc和KUPint采用安全算法的第二值(也可以称为第二安全算法)推演出第三用户面安全密钥的K*UPenc和K*UPint。K*UPenc表示推演得到的加解密密钥,K*UPint表示推演得到的完整性保护密钥。需要说明的是,CU-CP在确定根密钥KgNB时也需要安全算法,用于确定根密钥的安全算法可以与第一安全算法和第二安全算法均不同,也可以与第一安全算法相同,或者与第二安全算法相同,或者与第一安全算法和第二安全算法均相同。
方法二
CU-CP确定出根密钥之后,基于根密钥和生成参数确定第五密钥和第六密钥。这里的第五密钥和第六密钥也可以认为是推演第二用户面安全密钥和第三用户面安全密钥的中间值。CU-CP根据第五密钥进一步确定第二用户面安全密钥,根据第六密钥进一步确定第三用户面安全密钥。
其中,生成参数是在推演第五密钥和第六密钥的过程中使用到的参数,用于根据根密钥推演出不同的密钥。
第二用户面安全密钥与第三用户面安全密钥分别用于不同CU-UP上的会话,从而保证不同安全域的CU-UP上会话的安全性得到提高。具体地,CU-CP根据根密钥和生成参数的第一值确定第五密钥,根据根密钥和生成参数的第二值确定第六密钥。
在一个例子中,生成参数可以是计数值(counter)。CU-CP基于根密钥和计数值1确定第五密钥,基于根密钥和计数值2确定第六密钥。
在一个例子中,生成参数为安全算法。CU-CP基于根密钥和安全算法1确定第五密钥,基于根密钥和安全算法2确定第六密钥。第二用户面安全密钥和第三用户面安全密钥也可以包括不同的种类,比如第二用户面安全密钥和第三用户面安全密钥均包括加解密密钥和完整性保护/完整性验证密钥,也就是说第二用户面安全密钥和第三用户面安全密钥均可以包括加解密信息或完整性保护信息中的至少一种。需要说明的是,CU-CP在基于第五密钥确定第二用户面安全密钥时也需要采用安全算法,例如采用安全算法3,安全算法3可以与安全算法1和安全算法2均不同,也可以与安全算法1相同,或者与安全算法2相同,或者与安全算法1和安全算法2均相同。类似的,CU-CP在基于第六密钥确定第三用户面安全密钥时也需要采用安全算法,例如采用安全算法4,安全算法4可以与安全算法1和安全算法2均不同,也可以与安全算法1相同,或者与安全算法2相同,或者与安全算法1和安全算法2均相同。并且,安全算法3和安全算法4也可以相同或不同。
在生成参数为计数值的情况下,由于计数值不同就可以产生不同的二次衍生的密钥(即第二用户面安全密钥和第三用户面安全密钥),因此这种情况下可以采用相同的安全算法。
下面以图7c和图7d为例对方法二进行示例说明。如图7c所示,生成参数为计数值。根密钥用KgNB表示,将KgNB和计数值(counter)采用安全算法推演,得到一个推演得到的密钥中间值,记为K’gNB。针对第一CU-UP,计数值取为第一值,得到的K’gNB为第五密钥。针对第二CU-UP,计数值取为第二值,得到的K’gNB为第六密钥。根据K’gNB进一步推演出推演得到的密钥K*UPenc和K*UPint。当K’gNB为第五密钥时,推演出第二用户面安全密钥的K*UPenc和K*UPint;当K’gNB为第六密钥时,推演出第三用户面安全密钥的K*UPenc和K*UPint
如图7d所示,生成参数为安全算法。根密钥用KgNB表示。将KgNB和安全算法推演出一个推演得到的密钥中间值,记为K’gNB。针对第一CU-UP,安全算法取为第一值(也可以称作第一安全算法),得到的K’gNB为第五密钥。针对第二CU-UP,安全算法取为第二值(也可以成为第二安全算法),得到的K’gNB为第六密钥。根据K’gNB进一步推演出推演得到的密钥K*UPenc和K*UPint。当K’gNB为第五密钥时,推演出第二用户面安全密钥的K*UPenc和K*UPint;当K’gNB为第六密钥时,推演出第三用户面安全密钥的K*UPenc和K*UPint
方法三
CU-CP确定根密钥,在确定根密钥之后,基于根密钥采用第一安全算法确定第二用户面安全密钥,基于根密钥采用第二安全算法确定第三用户面安全密钥。由于第一安全算法和第二安全算法是不同的,因此第二用户面安全密钥和第三用户面安全密钥也不同。第二用户面安全密钥与第三用户面安全密钥分别用于不同CU-UP上的会话,从而保证不同安全域的CU-UP上会话的安全性得到提高。
下面以图7e为例对方法三进行示例说明。如图7e所示,根密钥用KgNB表示,将KgNB采用安全算法1进行推演,得到一组密钥KUPenc和KUPint,可以作为第二用户面安全密钥的加解密密钥和完整性保护/完整性验证密钥。将KgNB采用安全算法2进行推演,得到一组密钥K*UPenc和K*UPint,可以作为第三用户面安全密钥的加解密密钥和完整性保护/完整性验证密钥。
方法四
上述方法一和方法二中,当生成参数为计数值时,针对第一CU-UP和第二CU-UP推演得到的密钥时均采用相同的安全算法。在方法四中,可以结合方法一和方法二,采用不同的安全算法来推演第一CU-UP和第二CU-UP的推演得到的密钥。可以理解为,生成参数为计数值和安全算法。
结合方法一,方法四可以描述为:CU-CP确定根密钥,基于根密钥确定第一用户面安全密钥。针对第一CU-UP,基于第一用户面安全密钥和计数值的第一值,采用第一安全算法,确定第二用户面安全密钥;针对第二CU-UP,基于第一用户面安全密钥和计数值的第二值,采用第二安全算法,确定第三用户面安全密钥。
结合方法二,方法四可以描述为:CU-CP确定根密钥;针对第一CU-UP,基于根密钥和计数值的第一值,采用第一安全算法,确定第五密钥,基于第五密钥确定第二用户面安全密钥;针对第二CU-UP,基于根密钥和计数值的第二值,采用第二安全算法,确定第六密钥,基于第六密钥确定第三用户面安全密钥。
在图7a的基础上,如图7f所示,根密钥用KgNB表示,第一用户面安全密钥包括KUPenc和KUPint。KUPenc。基于KgNB生成KUPenc和KUPint。基于KUPenc结合计数值和安全算法,生成推演得到的加解密密钥K*UPenc。基于KUPint结合不同计数值和不同安全算法,生成推演得到的完整性保护密钥K*UPint。例如,基于根密钥KgNB确定KUPenc和KUPint。针对第一CU-UP,基于KUPenc和计数值1采用安全算法a,确定第二用户面安全密钥的加解密密钥K*UPenc;针对第二CU-UP,基于KUPint和计数值2采用安全算法b,确定第三用户面安全密钥的加解密密钥K*UPint
在图7c的基础上,如图7g所示,根密钥用KgNB表示,基于KgNB结合计数值和安全算法,生成推演得到的密钥K’gNB。基于K’gNB生成推演得到的加解密密钥K*UPenc和推演得到的完整性保护密钥K*UPint。例如,针对第一CU-UP,基于KgNB结合计数值1和安全算法a确定K’gNB,基于K’gNB生成第二用户面安全密钥的加解密密钥K*UPenc和第二用户面安全密钥的完整性保护密钥K*UPint。针对第二CU-UP,基于KgNB结合计数值2和安全算法b确定K’gNB,基于K’gNB生成第三用户面安全密钥的加解密密钥K*UPenc和第三用户面安全密钥的完整性保护密钥K*UPint
综上,不管采用哪种方法,均能够针对不同的CU-UP生成不同的密钥,这样能够保证不同安全域的CU-UP上会话的安全性。
可以看出,在确定第二用户面安全密钥和第三用户面安全密钥时,如果生成参数为计数值,则针对第一CU-UP和第二CU-UP可以采用相同的安全算法。如果生成参数为安全算法,则需要针对第一CU-UP和第二CU-UP采用不同的安全算法。由于实际应用中,不同的CU-UP可能支持的安全算法的能力不同,因此本申请中,可选的,在S601之前,还可以进行安全能力的协商及管理。具体通过S600-1和S600-2来实现。当然,如果连接到CU-CP的不同的CU-UP支持的安全算法的能力相同,则省略S600-1和S600-2。
S600-1、第一CU-UP向CU-CP发送第一安全能力信息,第二CU-UP向CU-CP发送第二安全能力信息。CU-CP接收第一安全能力信息和第二安全能力信息。
本步骤可以参考S500-1的描述,在此不再赘述。
S600-2、CU-CP向第一CU-UP发送第一响应消息,向第二CU-UP发送第二响应消息。第一CU-UP从CU-CP接收第一响应消息,第二CU-UP从CU-CP接收第二响应消息。
本步骤可以参考S500-2的描述,在此不再赘述。
可选的,CU-CP可以基于S600-1的E1接口建立请求消息,向第一CU-UP回复E1接口建立回复消息,在E1接口建立回复消息中携带第一响应消息;类似的,CU-CP可以基于S600-1的E1接口建立请求消息,向第二CU-UP回复E1接口建立回复消息,在E1接口建立回复消息中携带第二响应消息。
在S602之后,还可能包括以下几个可选的步骤。
S603、CU-CP向第一CU-UP发送第二用户面安全密钥,向第二CU-UP发送第三用户面安全密钥。第一CU-UP从CU-CP接收第二用户面安全密钥,第二CU-UP从CU-CP接收第三用户面安全密钥。
第一CU-UP接收到第二用户面安全密钥之后,采用第二用户面安全密钥对数据进行加密和/或完整性保护,向终端发送加密后的数据。同样,第二CU-UP接收到第三用户面安全密钥之后,采用第三用户面安全密钥对数据进行加密和/或完整性保护,向终端发送加密后的数据。另一方面,第一CU-UP对终端发送的数据采用第二用户面安全密钥进行解密,第二CU-UP对终端发送的数据采用第三用户面安全密钥进行解密。
CU-CP可以在向CU-UP发送的承载上下文建立请求消息中携带密钥。例如,CU-CP向第一CU-UP发送第一承载上下文建立请求消息,在第一承载上下文建立请求消息中携带第二用户面安全密钥;CU-CP向第二CU-UP发送第二承载上下文建立请求消息,在第二承载上下文建立请求消息中携带第三用户面安全密钥。具体地,承载上下文建立请求消息包含每个承载所使用的密钥信息。包括加解密密钥和/或完整性保护密钥,其中密钥的确定方法如前所述。
可选的,CU-CP还可以在向CU-UP发送的承载上下文建立请求消息中携带指示信息。指示信息即S600-2中所描述的指示信息。若S600-2在第一响应消息和第二响应消息中未携带指示信息,那么可以在承载上下文建立请求消息中携带指示信息。或者响应消息和承载上下文建立请求消息均可携带指示信息。CU-CP在向CU-UP发送的承载上下文建立请求消息中携带指示信息的细节描述,可以参照S600-2中响应消息携带指示信息的相关描述,只需要在相关描述的内容中将第一响应消息替换为第一承载上下文建立请求消息,将第二响应消息替换为第二承载上下文建立请求消息即可。
S604、CU-CP向终端发送生成参数。
具体地,CU-CP可以向终端发送用于第一CU-UP上会话的生成参数,和发送用于第二CU-UP上会话的生成参数。比如,CU-CP向终端发送用于生成上述第二用户面安全密钥的生成参数的第一值,向终端发送用于生成第三用户面安全密钥的生成参数的第二值。其中生成参数以及第一值第二值的概念及用途可以参照上述实施例的描述。
一个终端在CU-UP上可以建立多个PDU会话。可以理解的是,用于CU-UP上会话的生成参数可以是以PDU会话的粒度发给终端,即对于一个PDU会话,具有与该PDU会话对应的生成参数;也可以是以DRB粒度发给终端,即对于一个DRB,具有与该DRB对应的生成参数。
S603和S604的执行顺序不限定,可以同步进行也可以交换顺序执行。
CU-CP可以通过DU向终端发送生成参数。例如,可以发送用于生成第二用户面安全密钥的生成参数的第一值,以及发送用于生成第三用户面安全密钥的生成参数的第二值。CU-CP可以在向终端发送的SDAP配置信元中携带生成参数的第一值和第二值。例如,生成参数为计数值,该SDAP配置信元表示为:
UPSecurityCount INTEGER(0..255)
其中,UPSecurityCount表示UP粒度的用于安全加密的计数值,INTEGER表示整数,(0..255)表示计数值的取值。
或者,该SDAP配置信元也可以表示为:
Figure BDA0002170093740000201
其中,SDAP-Config表示SDAP的配置参数集合;upSecurityConfigure表示UP面的安全配置集合;PDU-SessionID表示PDU会话的标识;UpCipheringCount表示用于生成PDU会话对应的加解密密钥的计数值;UpIntegrityCount表示用于生成PDU会话对应的完整性保护的计数值。
CU-CP还可以在向终端发送的PDCP配置信元中携带生成参数的值,与在SDAP配置信元中的携带方式类似。
CU-CP可以在向终端发送的DRB配置信元中携带生成参数的值。例如,生成参数为计数值,该DRB配置信元表示为:
Figure BDA0002170093740000202
其中,DRB-ToAddMod表示需要增加的DRB的配置列表,UPSecurityCount表示UP粒度的用于安全加密的计数值,INTEGER表示整数型,(0..255)表示计数值的取值。
或者,该DRB配置信元也可以表示为:
Figure BDA0002170093740000211
若UpCipheringCount和UpIntegrityCount相同,则只需要携带一个值即可。
类似的,若生成参数为安全算法,同样CU-CP可以在向终端发送的SDAP配置信元、PDCP配置信元或DRB配置信元中携带安全算法的值,包括第一值和第二值。
以在DRB配置信元中携带安全算法的值为例,该DRB配置信元也可以表示为:
Figure BDA0002170093740000212
其中,securityAlgorithmConfig表示用于安全算法。
类似的,生成参数可以为计数值和安全算法,即采用上述方法四确定不同CU-UP的密钥。例如,根据方法四采用不同的计数值以及不同的安全算法来推演第一CU-UP和第二CU-UP的密钥。同样CU-CP可以在向终端发送的SDAP配置信元、PDCP配置信元或DRB配置信元中携带安全算法的值和计数值。
以在DRB配置信元中携带安全算法的值和计数值为例,该DRB配置信元也可以表示为:
Figure BDA0002170093740000213
Figure BDA0002170093740000221
上述对于各个信元中参数的含义解释可以相互参照。
上述通过信元携带生成参数的值,对于同一个PDU,用于生成加解密密钥的值和用于生成完整性保护密钥的值可以相同,也可以不同。
如图8所示,对于终端来说,安全加密的方法的流程如下所述。
S801、终端基于根密钥确定第二用户面安全密钥和第三用户面安全密钥。
本步骤中的根密钥的概念和确定方法与S601相同。
在一个可能的实现中,网络设备会向终端发送安全配置参数,终端从网络设备接收安全配置参数后,根据安全配置参数确定根密钥。CU-CP用于确定根密钥时依据的安全配置参数与终端用于确定根密钥的安全配置参数是相同的,终端确定的根密钥与CU-CP确定的根密钥也是相同的。
本步骤中,终端执行的操作与图6中CU-CP确定第二用户面安全密钥和第三用户面安全密钥的操作相同或类似,第二用户面安全密钥和第三用户面安全密钥的概念和确定方法也可以参照上文中的描述。终端侧执行的安全加密的方法与上文中CU-CP执行的操作基本相同,不同之处在于,CU-CP在确定第二用户面安全密钥和第三用户面安全密钥之后,需要向CU-UP通知密钥或向终端通知生成参数。而终端生成第二用户面安全密钥和第三用户面安全密钥可能是基于CU-CP通知的生成参数的值之后执行的。终端在接收到CU-CP发送的生成参数的值之后,按照生成参数的值确定第二用户面安全密钥和第三用户面安全密钥。例如,终端从CU-CP接收生成参数的第一值和生成参数的第二值,基于根密钥和生成参数的第一值确定第二用户面安全密钥,基于根密钥和生成参数的第二值确定第三用户面安全密钥。
终端在确定第二用户面安全密钥和第三用户面安全密钥时执行的其它操作可以参照上述CU-CP执行的操作,重复之处不再赘述。
S802、终端使用第二用户面安全密钥对终端在第一CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证。
可选的,终端使用第三用户面安全密钥对终端在第二CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证。
终端在确定出第二用户面安全密钥后,对于第一CU-UP上的会话采用第二用户面安全密钥进行处理,例如该处理过程包括加密、解密、完整性保护或完整性验证中的任意一种或多种。终端可以向第一CU-UP发送处理后的数据。终端在确定出第三用户面安全密钥后,对于第二CU-UP上的会话采用第三用户面安全密钥进行理,例如该处理过程包括加密、解密、完整性保护或完整性验证中的任意一种或多种。终端可以向第二CU-UP发送处理后的数据。
如图9所示,下面结合一个具体的应用场景对本申请实施例提供的安全加密的方法进行更进一步详细的说明。涉及到的设备包括CU-CP、CU-UP、DU和终端。CU-UP执行的操作适用于CU-CP下的多个CU-UP中的任意一个。
S901、CU-UP向CU-CP发送E1接口建立请求消息,CU-CP从CU-UP接收E1接口建立请求消息。
该E1接口建立请求消息包含CU-UP的安全能力信息。该安全能力信息的细节描述可以参照S600-1中第一安全能力信息或第二安全能力信息的相关描述,在此不再赘述。
S902、CU-UP向CU-CP发送E1接口建立回复消息,CU-CP从CU-UP接收E1接口建立回复消息。
该E1接口建立回复消息用于响应S901接收到的E1接口建立请求消息。
可选的,该E1接口建立回复消息可以包括指示信息,该指示信息的细节描述可以参照S600-2中关于指示信息的描述,在此不再赘述。
如果系统规定CU-UP的安全能力信息相同,那么可以省略S901和S902。
S903、CU-CP决定为终端建立承载。
例如,某个空闲态的终端有数据需要发送时,CU-CP决定为该终端建立承载上下文。
S904、CU-CP向CU-UP发送承载上下文建立请求消息,CU-UP从CU-CP接收该承载上下文建立请求消息。
该承载上下文建立请求消息的细节描述可以参照上文中对于承载上下文建立请求消息的相关描述,重复之处不再赘述。该承载上下文建立请求消息中携带用户面安全密钥,还可以携带指示信息,指示信息用于指示一种安全算法或用于指示多种安全算法的优先级排序。其中,用户面安全密钥可以是PDU会话粒度或DRB粒度,即用户面安全密钥为终端或CU-UP在某个PDU会话或DRB上使用的安全密钥。指示信息也可以是PDU会话粒度或DRB粒度,即指示信息用于指示终端或CU-UP在某个PDU会话或DRB上使用的安全算法;或者,指示终端或CU-UP在某个PDU会话或DRB上使用的多种安全算法的优先级排序。当然,一个CU-UP上的多个PDU会话也可以使用相同的用户面安全密钥,或者采用相同的指示信息。可选的,该承载上下文建立请求消息还可以包括请求建立的会话标识、承载标识。
S905、CU-UP向CU-CP发送承载上下文建立请求回复消息,CU-CP从CU-UP接收承载上下文建立请求回复消息。
S906、CU-CP向DU发起UE上下文建立流程。
S907、CU-CP向CU-UP发送承载上下文修改请求消息。
S908、CU-UP向CU-CP发送承载上下文修改请求回复消息。
S907和S907可以省略。
S909、CU-CP通过DU向终端发送RRC重配置消息,终端通过DU从CU-CP接收RRC重配置消息。
该RRC重配置消息中可以携带生成参数,具体细节描述可以参照S504或S604中CU-CP向终端发送生成参数的相关描述。
需要说明的是,本申请中的各个应用场景中的举例仅仅表现了一些可能的实现方式,是为了对本申请的方法更好的理解和说明。本领域技术人员可以根据申请提供的参考信号的指示方法,得到一些演变形式的举例。
上述本申请提供的实施例中,分别从终端、CU-CP、CU-UP以及三者之间交互的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,终端、CU-CP、CU-UP可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
如图10所示,基于同一技术构思,本申请实施例还提供了一种装置1000,该装置1000可以是终端、CU-CP或CU-UP,也可以是终端、CU-CP或CU-UP中的装置(例如,芯片或者芯片系统),或者是能够和终端、CU-CP或CU-UP匹配使用的装置。一种设计中,该装置1000可以包括执行上述方法实施例中终端、CU-CP或CU-UP执行的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该装置可以包括处理模块1001和通信模块1002。
当用于执行终端执行的方法时:
处理模块1001,用于基于根密钥确定第一用户面安全密钥;以及用于基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为所述终端使用的在集中单元用户面CU-UP上会话的用户面安全密钥。
处理模块1001和通信模块1002还可以用于执行上述方法实施例终端设备执行的其它对应的步骤或操作,在此不再一一赘述。
当用于执行CU-CP执行的方法时:
处理模块1001用于基于根密钥确定第一用户面安全密钥;以及用于基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为集中单元用户面CU-UP与终端使用的用户面安全密钥。
当用于执行CU-UP执行的方法时:
通信模块1002用于从集中单元控制面CU-CP接收第二用户面安全密钥,所述第二用户面安全密钥为所述CU-UP使用的用于终端的会话的用户面安全密钥;所述第二用户面安全密钥是基于生成参数和第一用户面安全密钥确定的,所述第一用户面安全密钥是基于根密钥确定的。
处理模块1001和通信模块1002还可以用于执行上述方法实施例网络设备执行的其它对应的步骤或操作,在此不再一一赘述。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
如图11所示为本申请实施例提供的装置1100,用于实现上述方法中终端、CU-CP或CU-UP的功能。当实现终端的功能时,该装置可以是终端,也可以是终端中的装置(例如,芯片或者芯片系统),或者是能够和网络设备匹配使用的装置。当实现CU-CP的功能时,该装置可以是CU-CP,也可以是CU-CP中的装置,或者是能够和CU-CP匹配使用的装置。当实现CU-UP的功能时,该装置可以是CU-UP,也可以是CU-UP中的装置,或者是能够和CU-UP匹配使用的装置.其中,该装置可以为芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。装置1100包括至少一个处理器1120,用于实现本申请实施例提供的方法中终端、CU-CP或CU-UP的功能。装置1100还可以包括通信接口1110。在本申请实施例中,通信接口910可以是收发器、电路、总线、模块或其它类型的通信接口,用于通过传输介质和其它设备进行通信。例如,通信接口1110用于装置1100中的装置可以和其它设备进行通信。示例性地,装置1100是终端时,该其它设备可以是CU-CP。装置1100是CU-CP时,该其它装置可以是终端或CU-UP。处理器1120利用通信接口1110收发数据,并用于实现上述方法实施例所述的方法。示例性地,当实现终端的功能时,处理器1120用于基于根密钥确定第一用户面安全密钥;以及用于基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为所述终端使用的在集中单元用户面CU-UP上会话的用户面安全密钥。当实现CU-CP的功能时,处理器1120用于基于根密钥确定第一用户面安全密钥;以及用于基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为集中单元用户面CU-UP与终端使用的用户面安全密钥。当实现CU-UP的功能时,通信接口1110用于从集中单元控制面CU-CP接收第二用户面安全密钥,所述第二用户面安全密钥为所述CU-UP使用的用于终端的会话的用户面安全密钥;所述第二用户面安全密钥是基于生成参数和第一用户面安全密钥确定的,所述第一用户面安全密钥是基于根密钥确定的。
处理器1120和通信接口1110还可以用于执行上述方法实施例终端、CU-CP或CU-UP执行的其它对应的步骤或操作,在此不再一一赘述。
装置1100还可以包括至少一个存储器1130,用于存储程序指令和/或数据。存储器1130和处理器1120耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器1120可能和存储器1130协同操作。处理器1120可能执行存储器1130中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。
本申请实施例中不限定上述通信接口1110、处理器1120以及存储器1130之间的具体连接介质。本申请实施例在图11中以存储器1130、通信接口1110以及处理器1120之间通过总线1140连接,总线在图11中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在一实施例中,装置1000和装置1100具体是芯片或者芯片系统时,通信模块1001和通信接口1110所输出或接收的可以是基带信号形式的信息。
在一实施例中,装置1000和装置1100具体是设备时,通信模块1002和通信接口910所输出或接收的可以是射频信号。
在本申请实施例中,处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
在本申请实施例中,存储器可以是非易失性存储器,比如硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)等,还可以是易失性存储器(volatilememory),例如随机存取存储器(random-access memory,RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
本申请实施例还提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被通信装置执行时,使得该通信装置实现上述安全加密的方法。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品被通信装置执行时,使得该通信装置实现上述安全加密的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (28)

1.一种安全加密的方法,其特征在于,包括:
终端基于根密钥确定第一用户面安全密钥;
所述终端基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为所述终端使用的在集中单元用户面CU-UP上会话的用户面安全密钥。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端基于所述第二用户面安全密钥,对所述终端在所述集中单元用户面CU-UP上的会话进行以下至少一项:加密、解密、完整性保护或完整性验证。
3.如权利要求1或2所述的方法,其特征在于,所述生成参数包括计数值和/或安全算法。
4.如权利要求3所述的方法,其特征在于,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息、隧道端点标识TEID信息或者预先设定的数值。
5.如权利要求1~4任一项所述的方法,其特征在于,所述方法还包括:
所述终端从集中单元控制面CU-CP接收所述生成参数。
6.如权利要求5所述的方法,其特征在于,所述生成参数携带于业务数据适配协议SDAP配置信元或携带于数据无线承载DRB配置信元。
7.如权利要求1~6任一项所述的方法,其特征在于,所述生成参数为DRB粒度或者PDU会话粒度。
8.一种安全加密的方法,其特征在于,包括:
集中单元控制面CU-CP基于根密钥确定第一用户面安全密钥;
所述CU-CP基于生成参数和所述第一用户面安全密钥,确定第二用户面安全密钥;所述第二用户面安全密钥为集中单元用户面CU-UP与终端使用的用户面安全密钥。
9.如权利要求8所述的方法,其特征在于,所述第二用户面安全密钥用于以下至少一种处理:加密、解密、完整性保护或完整性验证。
10.如权利要求8或9所述的方法,其特征在于,所述生成参数包括计数值和/或安全算法。
11.如权利要求10所述的方法,其特征在于,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息、隧道端点标识TEID信息或者预先设定的数值。
12.如权利要求8~11任一项所述的方法,其特征在于,所述方法还包括:
所述CU-CP从所述CU-UP接收安全能力信息,所述安全能力信息包括以下至少一种信息:所述CU-UP支持的安全算法;所述CU-UP支持的多种安全算法的优先级排序。
13.如权利要求12所述的方法,其特征在于,所述方法还包括:
所述CU-CP向所述CU-UP发送指示信息,所述指示信息用于指示一种安全算法或用于指示多种安全算法的优先级排序。
14.如权利要求8~13任一项所述的方法,其特征在于,
所述CU-CP向所述终端发送所述生成参数。
15.如权利要求14所述的方法,其特征在于,所述生成参数携带于业务数据适配协议SDAP配置信元或携带于数据无线承载DRB配置信元。
16.如权利要求8~15任一项所述的方法,其特征在于,所述方法还包括:
所述CU-CP向所述CU-UP发送所述第二用户面安全密钥。
17.如权利要求8~16任一项所述的方法,其特征在于,所述生成参数为DRB粒度或者PDU会话粒度。
18.一种安全加密的方法,其特征在于,包括:
集中单元用户面CU-UP从集中单元控制面CU-CP接收第二用户面安全密钥,所述第二用户面安全密钥为所述CU-UP使用的用于终端的会话的用户面安全密钥;所述第二用户面安全密钥是基于生成参数和第一用户面安全密钥确定的,所述第一用户面安全密钥是基于根密钥确定的。
19.如权利要求18所述的方法,其特征在于,所述方法还包括:
所述CU-UP向所述CU-CP发送安全能力信息,所述安全能力信息包括以下至少一种信息:所述CU-UP支持的安全算法;所述CU-UP支持的多种安全算法的优先级排序。
20.如权利要求18或19所述的方法,其特征在于,所述方法还包括:
所述CU-UP从所述CU-CP接收指示信息,所述指示信息用于指示一种安全算法或用于指示多种安全算法的优先级排序。
21.如权利要求20所述的方法,其特征在于,所述方法还包括:
所述CU-UP按照所述指示信息确定第一安全算法;
所述CU-UP使用所述第二用户面安全密钥和所述第一安全算法对数据进行以下一种或多种操作:加密、解密、完整性保护或完整性验证。
22.如权利要求18~21任一项所述的方法,其特征在于,所述生成参数包括计数值和/或安全算法。
23.如权利要求22所述的方法,其特征在于,所述计数值的类型包括:所述CU-UP的标识、分布式单元DU的标识、承载信息、会话信息或隧道端点标识TEID信息。
24.如权利要求18~23任一项所述的方法,其特征在于,所述生成参数为DRB粒度或者PDU会话粒度。
25.一种装置,其特征在于,包括处理器和通信接口,所述通信接口用于与其它通信装置进行通信;所述处理器用于运行程序,以使得所述通信装置实现权利要求1至7任一项所述的方法。
26.一种装置,其特征在于,包括处理器和通信接口,所述通信接口用于与其它通信装置进行通信;所述处理器用于运行程序,以使得所述通信装置实现权利要求8至17任一项所述的方法。
27.一种装置,其特征在于,包括处理器和通信接口,所述通信接口用于与其它通信装置进行通信;所述处理器用于运行程序,以使得所述通信装置实现权利要求18至24任一项所述的方法。
28.一种计算机可读存储介质,其特征在于,所述计算机存储介质中存储有计算机可读指令,当所述计算机可读指令在计算机上运行时,使得计算机执行权利要求1至24任一项所述的方法。
CN201910760442.9A 2019-08-16 2019-08-16 一种安全加密的方法及装置 Pending CN112399409A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910760442.9A CN112399409A (zh) 2019-08-16 2019-08-16 一种安全加密的方法及装置
PCT/CN2020/103110 WO2021031768A1 (zh) 2019-08-16 2020-07-20 一种安全加密的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910760442.9A CN112399409A (zh) 2019-08-16 2019-08-16 一种安全加密的方法及装置

Publications (1)

Publication Number Publication Date
CN112399409A true CN112399409A (zh) 2021-02-23

Family

ID=74602896

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910760442.9A Pending CN112399409A (zh) 2019-08-16 2019-08-16 一种安全加密的方法及装置

Country Status (2)

Country Link
CN (1) CN112399409A (zh)
WO (1) WO2021031768A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023011315A1 (zh) * 2021-07-31 2023-02-09 华为技术有限公司 建立安全传输通道的方法、确定密钥的方法及通信装置
WO2023018250A1 (ko) * 2021-08-12 2023-02-16 삼성전자 주식회사 무선 통신 시스템에서 사용자 평면에서 송수신되는 정보를 보호하는 방법 및 장치
CN116528227A (zh) * 2023-06-30 2023-08-01 中国电信股份有限公司 用户面安全配置方法、装置、电子设备及存储介质
WO2023213191A1 (zh) * 2022-05-06 2023-11-09 华为技术有限公司 安全保护方法及通信装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018231031A2 (ko) * 2017-06-17 2018-12-20 엘지전자 주식회사 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치
CN109391939A (zh) * 2017-08-10 2019-02-26 中兴通讯股份有限公司 密钥、参数发送方法及装置、用户面实体、控制面实体
CN109845300A (zh) * 2017-06-17 2019-06-04 Lg 电子株式会社 无线通信系统中支持用于cu-cp和cu-up的分离的安全性的方法和装置
CN110035430A (zh) * 2018-01-11 2019-07-19 北京三星通信技术研究有限公司 密钥处理方法、控制平面节点、用户平面节点和用户设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100407868C (zh) * 2005-06-17 2008-07-30 中兴通讯股份有限公司 一种在移动用户和应用服务器之间建立安全信道的方法
CN102131188B (zh) * 2010-09-01 2013-12-04 华为技术有限公司 用户身份信息传输的方法、用户设备、网络侧设备及系统
US9311482B2 (en) * 2010-11-01 2016-04-12 CounterTack, Inc. Inoculator and antibody for computer security
CN109981273A (zh) * 2016-07-01 2019-07-05 华为技术有限公司 安全协商方法、安全功能实体、核心网网元及用户设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018231031A2 (ko) * 2017-06-17 2018-12-20 엘지전자 주식회사 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치
CN109845300A (zh) * 2017-06-17 2019-06-04 Lg 电子株式会社 无线通信系统中支持用于cu-cp和cu-up的分离的安全性的方法和装置
CN109391939A (zh) * 2017-08-10 2019-02-26 中兴通讯股份有限公司 密钥、参数发送方法及装置、用户面实体、控制面实体
CN110035430A (zh) * 2018-01-11 2019-07-19 北京三星通信技术研究有限公司 密钥处理方法、控制平面节点、用户平面节点和用户设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
" "TR 38.806 v100"", 《3GPP TSG_RAN\TSG_RAN》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023011315A1 (zh) * 2021-07-31 2023-02-09 华为技术有限公司 建立安全传输通道的方法、确定密钥的方法及通信装置
WO2023018250A1 (ko) * 2021-08-12 2023-02-16 삼성전자 주식회사 무선 통신 시스템에서 사용자 평면에서 송수신되는 정보를 보호하는 방법 및 장치
WO2023213191A1 (zh) * 2022-05-06 2023-11-09 华为技术有限公司 安全保护方法及通信装置
CN116528227A (zh) * 2023-06-30 2023-08-01 中国电信股份有限公司 用户面安全配置方法、装置、电子设备及存储介质
CN116528227B (zh) * 2023-06-30 2023-09-29 中国电信股份有限公司 用户面安全配置方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
WO2021031768A1 (zh) 2021-02-25

Similar Documents

Publication Publication Date Title
US10735956B2 (en) Method and device for managing security according to service in wireless communication system
CN112399409A (zh) 一种安全加密的方法及装置
CN110121168B (zh) 安全协商方法及装置
WO2018228505A1 (zh) 通信方法、网络设备、终端设备和系统
EP3499949B1 (en) Method, device and system for processing control signalling
EP3506718A1 (en) Radio access network slice selection method and apparatus
US11533610B2 (en) Key generation method and related apparatus
WO2018045877A1 (zh) 网络切片控制方法及相关设备
US20210112406A1 (en) Communication method and communications apparatus
WO2019004929A2 (zh) 网络切片分配方法、设备及系统
CN110636564A (zh) 处理rlc失败的方法、网络设备及计算机存储介质
JP2022543167A (ja) セキュリティ保護モードを決定するための方法および装置
US10554693B2 (en) Security configuration method for radio bearer and device
KR20200058478A (ko) 복제 전송을 위한 방법 및 장치
US20220303254A1 (en) Protection of communications through user equipment relay
JP2020523891A (ja) 通信方法および装置
WO2020063441A1 (zh) 重复传输方法、终端和网络侧设备
WO2019019787A1 (zh) 通信方法、基站和终端设备
TWI775009B (zh) 用於行動通訊系統之基地台及其資料傳輸方法
CN108124238A (zh) 一种集群组的信令处理方法和装置
US20210160211A1 (en) Domain name system (dns) translations for co-located gateway user planes in wireless communication networks
CN110831247A (zh) 一种通信方法及装置
WO2021056464A1 (zh) 数据安全处理的方法和通信装置
US11784965B2 (en) Wireless communication service delivery over co-located gateway user planes
CN111083699B (zh) 一种密钥生成方法、装置、第一网络实体及基站设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210223

RJ01 Rejection of invention patent application after publication