CN113766494A - 密钥获取方法、装置、用户设备及网络侧设备 - Google Patents
密钥获取方法、装置、用户设备及网络侧设备 Download PDFInfo
- Publication number
- CN113766494A CN113766494A CN202010463814.4A CN202010463814A CN113766494A CN 113766494 A CN113766494 A CN 113766494A CN 202010463814 A CN202010463814 A CN 202010463814A CN 113766494 A CN113766494 A CN 113766494A
- Authority
- CN
- China
- Prior art keywords
- key
- information
- security
- target
- network side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 164
- 230000004044 response Effects 0.000 claims description 37
- 230000008859 change Effects 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 8
- 230000003213 activating effect Effects 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 30
- 230000005540 biological transmission Effects 0.000 abstract description 15
- 230000008569 process Effects 0.000 description 28
- 239000003795 chemical substances by application Substances 0.000 description 22
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 12
- 230000011664 signaling Effects 0.000 description 10
- 238000004422 calculation algorithm Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 4
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 3
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 101100274486 Mus musculus Cited2 gene Proteins 0.000 description 1
- 101150096622 Smr2 gene Proteins 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种密钥获取方法、装置、用户设备及网络侧设备,属于通信领域,能够解决由于部分UE无法获取安全密钥,而导致的数据传输可靠性低的问题。该方法包括:第一UE向网络侧设备发送第一密钥信息,所述第一密钥信息用于指示第二UE的第一密钥;其中,所述第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。本申请应用于数据安全保护场景中。
Description
技术领域
本申请属于通信技术领域,具体涉及一种密钥获取方法、装置、用户设备及网络侧设备。
背景技术
目前,用户设备(User Equipment,UE)与网络侧设备之间进行数据传输时,可以开启或激活安全功能,例如,基于安全密钥对传输的数据执行加密/解密以及完整性保护/检查等安全操作,以提高UE与网络侧设备之间数据传输的安全性。通常情况下,为了安全考虑,安全密钥均不在空口传输,需要网络侧设备和UE根据本地存储的信息进行推导才可获得。
然而,由于部分UE并不能直接推导出安全密钥(例如,缺少SIM卡、UE能力不支持计算等)或者无法依靠自身在网络侧设备处推导出相同的安全密钥,从而无法对UE与网络侧设备间的数据进行安全保护。
如此,当这些UE需要与网络侧设备进行数据传输时,便无法保证这些数据的传输安全,进而导致UE与网络侧设备之间数据传输可靠性低。
发明内容
本申请实施例的目的是提供一种密钥获取方法、装置、用户设备及网络侧设备,能够解决由于部分UE无法获取安全密钥或者无法依靠自身在网络侧设备处推导出相同的安全密钥,而导致的数据传输可靠性低的问题。
为了解决上述技术问题,本申请是这样实现的:
第一方面,提供了一种密钥获取方法,应用于第一UE,所述方法包括:向网络侧设备发送第一密钥信息,所述第一密钥信息用于指示第二UE的第一密钥;其中,所述第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。
第二方面,提供了一种密钥获取装置,该装置包括:发送模块,用于向网络侧设备发送第一密钥信息,所述第一密钥信息用于指示第二用户设备UE的第一密钥;其中,所述第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。
第三方面,提供了一种密钥获取方法,应用于第二UE,所述方法包括:向第一UE发送代理请求;若接收到第一UE反馈的代理响应,则向所述第一UE发送目标密钥信息;其中,所述代理请求用于请求代理所述第二UE的安全过程;所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程;所述目标密钥信息用于指示所述第一密钥;所述第一密钥用于对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。
第四方面,提供了一种密钥获取装置,该装置包括:发送模块,用于向第一UE发送代理请求;所述发送模块,还用于若接收到第一UE反馈的代理响应,则向所述第一UE发送目标密钥信息;其中,所述代理请求用于请求代理所述第二UE的安全过程;所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程;所述目标密钥信息用于指示所述第一密钥;所述第一密钥用于对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。
第五方面,提供了一种密钥获取方法,应用于网络侧设备,上述方法包括:从第一UE接收第一密钥信息;其中,上述第一密钥信息用于指示第二UE的第一密钥;上述第二UE的第一密钥用于对上述第二UE与上述网络侧设备通信时的数据进行加密和/或完整性保护。
第六方面,提供了一种密钥获取装置,该装置包括:接收模块,用于从第一UE接收第一密钥信息;其中,上述第一密钥信息用于指示第二UE的第一密钥;上述第二UE的第一密钥用于对上述第二UE与上述网络侧设备通信时的数据进行加密和/或完整性保护。
第七方面,提供了一种UE,该UE包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面或第三方面所述的方法的步骤。
第八方面,提供了一种网络侧设备,该网络侧设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第五方面所述的方法的步骤。
第九方面,提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面或第二方面所述的方法的步骤。
第十方面,提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行网络侧设备程序或指令,实现如第一方面所述的方法,或实现如第二方面所述的方法。
在本申请实施例中,为了保证对空口传输的数据和/或信令进行加密和/或完整性保护,第二UE通过借助第一UE来向网络侧设备上报第二UE的安全密钥的全部或部分信息,从而使得第二UE能够使用该安全密钥对该第二UE与网络侧设备通信时的数据进行加密/解密和完整性保护/检查,从而有效地保证了该第二UE与网络侧设备间通信的可靠性。
附图说明
图1为本申请实施例提供的一种可能的通信系统架构示意图;
图2为本申请实施例提供的一种密钥获取方法的流程示意图之一;
图3为本申请实施例提供的一种密钥获取方法的流程示意图之二;
图4为本申请实施例提供的一种密钥获取装置的结构示意图之一;
图5为本申请实施例提供的一种密钥获取装置的结构示意图之二;
图6为本申请实施例提供的一种密钥获取装置的结构示意图之三;
图7为本申请实施例提供的一种通信设备的硬件结构示意图;
图8为本申请实施例提供的一种终端的硬件结构示意图;
图9为本申请实施例提供的一种网络侧设备的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下将对本申请实施例涉及的术语进行说明。
1、AS安全机制
LTE和NR系统中,加密以及完整性保护功能分别用于保证空口传输给UE的数据和/或信令不被窃听、篡改。具体而言,是对DRB、SRB或其上承载的信息进行加密和/或完整性保护。其中,LTE和NR中AS层的加密和/或完整性保护都是在PDCP层实现的,RRC层负责进行安全参数、安全算法的配置,安全功能的激活。
2、加密
加密过程包括加密和解密。发送端设备(下行为基站,上行为UE)使用加密算法生成密钥流,用密钥流和明文进行位对位的二进制加法得到密文。其中,上述密钥流可以由以下信息组成:128bit的密钥(key)、32bit的COUNT值、5bit的BEARER(无线承载标识)、1bit的DIRECTION(用于指示该条信息的传输方向为上行/下行)、32bit的LENGTH(密钥流的长度)。而接收端设备收到密文后,可以使用相同的加密算法和其他4个输入参数生成相同的密钥流,采用密钥流和密文的位对位的二进制加法获得明文。
3、完整性保护
完整性保护算法的输入参数有:128bit的密钥、32bit的COUNT值、5bit的BEARER、1bit的DIRECTION、MESSAGE(要传输的消息),LENGTH(MESSAGE的长度)。具体的,完整性保护过程可参照图2,发送端设备使用完整性保护算法,输出一定长度的消息完整性验证码MAC-I(如,message authentication code for integrity),并添加到要传输的消息中。接收端设备使用同样的完整性保护算法和其他输入参数生成XMAC-I,并通过比较XMAC-I和MAC-I来检查消息的完整性,如果相同则认为完整性检查通过,否则认为失败。
4、密钥(key)
在3GPP协议中,KRRCenc、KUPenc分别是对SRB(或RRC信令)、DRB(或用户面userplane)进行加密所使用的key。KRRCint、KUPint分别是对SRB、DRB进行完整性保护所使用的key。基站(eNB或gNB)和UE都需要基于中间密钥KeNB/KgNB来推导KRRCenc、KUPenc、KRRCint、KUPint,从而进行AS安全。其中,KeNB/KgNB是根据NAS层的密钥KASME/KAMF推导得到的;而KASME/KAMF都是由密钥K一步步派生的,密钥K存储于SIM卡和鉴权中心。
5、其他术语
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”所区别的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”一般表示前后关联对象是一种“或”的关系。
以下将对本申请实施例提供的密钥获取方案涉及的通信系统进行说明。
值得指出的是,本申请实施例所描述的技术不限于长期演进型(Long TermEvolution,LTE)/LTE的演进(LTE-Advanced,LTE-A)系统,还可用于其他无线通信系统,诸如码分多址(Code Division Multiple Access,CDMA)、时分多址(Time DivisionMultiple Access,TDMA)、频分多址(Frequency Division Multiple Access,FDMA)、正交频分多址(Orthogonal Frequency Division Multiple Access,OFDMA)、单载波频分多址(Single-carrier Frequency-Division Multiple Access,SC-FDMA)和其他系统。本申请实施例中的术语“系统”和“网络”常被可互换地使用,所描述的技术既可用于以上提及的系统和无线电技术,也可用于其他系统和无线电技术。然而,以下描述出于示例目的描述了新空口(New Radio,NR)系统,并且在以下大部分描述中使用NR术语,尽管这些技术也可应用于NR系统应用以外的应用,如第6代(6th Generation,6G)通信系统。
图1示出本申请实施例可应用的一种无线通信系统的框图。无线通信系统包括终端11和网络侧设备12。
其中,上述终端11包括被代理UE和代理UE。被代理UE称为slave UE(简称SUE);代理UE称为master UE(简称MUE)。示例性的,上述SUE对应的密钥key可以简称Ksue,上述Ksue仅仅是一种示例,实际应用中可以按照需要命名,本申请对于密钥的名称并不做限定。
上述终端11也可以称作终端设备或者UE,终端11可以是手机、平板电脑(TabletPersonal Computer)、膝上型电脑(Laptop Computer)或称为笔记本电脑、个人数字助理(Personal Digital Assistant,PDA)、掌上电脑、上网本、超级移动个人计算机(ultra-mobile personal computer,UMPC)、移动上网装置(Mobile Internet Device,MID)、可穿戴式设备(Wearable Device)或车载设备(VUE)、行人终端(PUE)等终端侧设备,可穿戴式设备包括:手环、耳机、眼镜等。需要说明的是,在本申请实施例并不限定终端11的具体类型。网络侧设备12可以是基站或核心网,其中,基站可被称为节点B、演进节点B、接入点、基收发机站(Base Transceiver Station,BTS)、无线电基站、无线电收发机、基本服务集(BasicService Set,BSS)、扩展服务集(Extended Service Set,ESS)、B节点、演进型B节点(eNB)、家用B节点、家用演进型B节点、WLAN接入点、WiFi节点、发送接收点(TransmittingReceiving Point,TRP)或所述领域中其他某个合适的术语,只要达到相同的技术效果,所述基站不限于特定技术词汇,需要说明的是,在本申请实施例中仅以NR系统中的基站为例,但是并不限定基站的具体类型。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的密钥获取方法进行详细地说明。
图2示出了本申请实施例提供的一种密钥获取方法的流程示意图,如图2所示,该密钥获取方法可以包括如下步骤:
步骤201:第一UE向网络侧设备发送第一密钥信息。
示例性的,上述第一密钥信息用于指示第二UE的第一密钥;上述第一密钥用于对第二UE与网络侧设备通信时的数据进行加密和/或完整性保护。其中,上述的完整性保护是指:在传输、存储数据过程中,确保数据不被篡改的操作;上述的加密是指:在传输、存储数据过程中,确保数据不被窃听的操作。
示例性的,上述第一UE为代理UE(即MUE),上述第二UE为被代理UE(即SUE)。
示例性的,上述第二UE与网络侧设备通信时的数据包括:用户面的数据(如,一个或多个业务的业务数据流,或者一个或多个承载上传输的数据)以及控制面的信令。
在一种示例中,当第二UE基于上述第一密钥对第二UE与网络侧设备通信时的数据进行完整性保护,则网络侧设备会基于上述第一密钥对第二UE与网络侧设备通信时的数据进行完整性验证。
在另一种示例中,当第二UE基于上述第一密钥对第二UE与网络侧设备通信时的数据进行加密操作,则网络侧设备会基于上述第一密钥对第二UE与网络侧设备通信时的数据进行解密操作。
示例性的,上述第一UE在发送第一密钥信息之前,需要使其处于AS安全激活状态。一般的,第一UE激活了AS安全功能后,会在本地和/或网络侧设备建立第一UE的AS安全上下文。
示例性的,针对加密过程,本申请实施例中的加密过程中的加密算法为网络配置给UE的,密钥流的5个输入参数中的COUNT、BEARER、DIRECTION、LENGTH可根据当前数据获得,而128bit的key是网络侧设备和UE以一定的规则推导得到的,为了安全考虑,不在空口传输。
示例性的,针对完整性保护过程,本申请实施例中的完整性保护算法为网络侧设备配置给UE的,密钥流的5个输入参数中的COUNT、BEARER、DIRECTION、LENGTH、MESSAGE可根据当前数据获得,而128bit的key是网络侧设备和UE以一定的规则推导得到的,为了安全考虑,不在空口传输。
本申请实施例提供的密钥获取方法,为了保证对空口传输的数据和/或信令进行加密和/或完整性保护,第二UE通过借助第一UE来向网络侧设备上报/协商第二UE的安全密钥,从而使得第二UE能够使用该安全密钥对该第二UE与网络侧设备通信时的数据进行加密和/或完整性保护,从而有效地保证了该第二UE与网络侧设备间通信的可靠性。
在本申请实施例中,第一UE至少可以通过以下至少三种密钥获取方式来获取第二UE的第一密钥。
在第一种可能的实现方式中:
可选的,在本申请实施例中,第二UE具有生成该第二UE的安全密钥的能力,但是无法安全地指示给网络侧设备,此时,第二UE可以通过第一UE将第二UE的安全密钥指示给网络侧设备。
示例性的,在上述步骤201之前,本申请实施例提供的密钥获取方法可以包括如下步骤201a:
步骤201a:第一UE从第二UE获取该第二UE的第一密钥的全部或部分信息。
示例性的,上述第二UE的第一密钥可以是第二UE自行生成的。
示例性的,第二UE在向第一UE发送该第二UE的第一密钥时,第二UE可以选择将该第一密钥的所有信息发送给第一UE,也可以选择将该第一密钥的部分信息发送给第一UE(第一UE可以基于该部分信息推导或获取到完整的第一密钥)。
进一步可选的,在本申请实施例中,上述第一密钥信息包括:上述第二UE的第一密钥的全部或部分信息;或者,上述第二UE的第一密钥的全部或部分信息以及上述第二UE的UE标识。应注意的是,本申请实施例中的第二UE的UE标识是网络侧设备预先为SUE分配/存储的UE标识。
示例性的,上述UE标识可以包括以下至少一项:国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI)、网络接入标识(Network Access Identifier,NAI)、SUPI(Subscription permanent identifier)、SUCI(Subscription Concealed Identifier)、5G全球唯一临时UE标识(5G Globally UniqueTemporary UE Identity,5G GUTI)、GUTI(Globally Unique Temporary UE Identity)、S-TMSI、ng-S-TMSI、5G TMSI、TMSI、C-RNTI、TC-RNTI、I-RNTI、fullI-RNTI。在一种示例中,上述UE标识也可以为C-RNTI、TC-RNTI、I-RNTI、fullI-RNTI等标识中的一部分(例如short I-RNTI)。
可选的,在本申请实施例中,由于某些场景下的安全性问题,这些场景不能在空口传输第二UE的第一密钥,因此,第一UE可以使用与第二UE相关的信息计算出第二UE的第一密钥。
示例性的,在上述步骤201之前,本申请实施例提供的密钥获取方法可以包括如下步骤201b:
步骤201b:第一UE根据目标信息和输入参数,计算上述第二UE的第一密钥。
其中,上述目标信息包括:第一信息或上述第一UE的安全密钥。
示例性的,上述第一信息为上述第一UE和上述第二UE中保存的相同参数或相关参数。例如,MUE和SUE中均保存的一至多个相同或有关联的参数,如,MUE和SUE属于同一厂家时的厂家标识号。
示例性的,上述第一UE的安全密钥包括以下至少一项:第一子密钥和第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥,即上述第一子密钥用于第一UE与第一接入网网元间的传输;上述第二子密钥为与第二接入网网元相关的密钥,即上述第一子密钥用于第一UE与第二接入网网元间的传输。应注意的是,上述第一子密钥或上述第二子密钥可以称为根密钥,也可以称为KeNB、KgNB、AS(接入层)安全密钥等。
在一种示例中,当第一UE与第二UE处于双连接场景下,上述第一接入网网元可以为主基站,即上述第一子密钥可以用于第一UE与主基站之间的安全传输,相应的,上述第二接入网网元可以为辅基站,即上述第一子密钥可以用于第一UE与辅基站之间的安全传输。
示例性的,上述输入参数包括以下至少一项:目标参数,上述第二UE所在小区的PCI,上述第二UE所在小区的频点信息,上述第二UE的设备信息;上述目标参数包括以下至少一项:计数器、随机数、序列。在一种示例中,上述的计数器为Sue-counter,当第一次计算Ksue时,Sue-counter值为0,当计算后,Sue-counter值变为1,并在之后每计算一次Ksue时进行递增。MUE的key更新时,Sue-counter的值会重置。应注意的是,本申请实施例对于计数器的名称不作限定。
应注意的是,上述目标参数可以为第一密钥增加相应的随机性,使第一密钥可以进行更新,从而增加第一密钥安全性。在一种示例中,上述的计数器可以根据上述第一密钥的被获取次数进行递增。
进一步可选的,在本申请实施例中,在上述目标信息为上述第一信息的情况下,上述第一密钥信息包括以下至少一项:上述第一密钥,上述输入参数,上述第二UE的UE标识,上述第一信息;在上述目标信息为上述安全密钥的情况下,上述第一密钥信息包括以下至少一项:上述第一密钥,上述输入参数,上述第二UE的UE标识,第一指示信息;其中,上述第一指示信息用于指示使用上述安全密钥对上述第二UE与上述网络侧设备通信时的数据进行加密和/或完整性保护。
可选的,在本申请实施例中,由于某些场景下的安全性问题,这些场景不能在空口传输第二UE的第一密钥,因此,第一UE可以通过重用该第一UE的安全密钥给第二UE。
示例性的,在上述步骤201之前,本申请实施例提供的密钥获取方法可以包括如下步骤201c1和步骤201c2:
步骤201c1:第一UE从第二UE接收密钥请求。
其中,上述密钥请求用于请求使用上述第一UE的安全密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护;上述第一UE的安全密钥包括:第一子密钥或第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥,上述第二子密钥为与第二接入网网元相关的密钥。示例性的,在双连接场景下,MUE可以重用SCG的安全密钥给SUE。
步骤201c2:第一UE根据上述密钥请求,将上述第二子密钥作为上述第二UE的第一密钥。
进一步可选的,在本申请实施例中,上述第一密钥信息包括以下至少一项:第二指示信息,上述第二UE的UE标识;其中,上述第二指示信息用于指示使用上述第一子密钥或上述第二子密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护。
可选的,在本申请实施例中,如图3所示,在上述步骤201之前,本申请实施例提供的密钥获取方法可以包括如下步骤A1至步骤A4:
步骤A1:第二UE向第一UE发送代理请求。
步骤A2:第一UE从上述第二UE接收代理请求。
步骤A3:第一UE向上述第二UE发送代理响应。
步骤A4:若第二UE接收到第一UE反馈的代理响应,则第二UE向上述第一UE发送目标密钥信息。
其中,上述代理请求用于请求代理上述第二UE的安全过程;上述代理响应用于指示上述第一UE接受代理上述第二UE的安全过程;上述目标密钥信息用于指示上述第二UE的第一密钥;上述第一密钥用于对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护。
示例性的,上述目标密钥信息包括:上述第一密钥的全部或部分信息,或者,密钥请求。其中,上述密钥请求用于请求使用上述第一UE的安全密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护;上述第一UE的安全密钥包括:第一子密钥或第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥,上述第一子密钥为与第二接入网网元相关的密钥。
进一步可选的,在本申请实施例中,在上述步骤A1之前,本申请实施例提供的密钥获取方法可以包括如下步骤B1和步骤B2:
步骤B1:第一UE发送第二信息。
步骤B2:第二UE从上述第一UE接收第二信息。其中,上述第二信息用于指示上述第一UE具备代理其他UE的安全过程的能力。
在一种示例中,第一UE会广播第二信息,以告知附近UE其具备其他UE的安全过程的能力,由于第二UE并不具备安全密钥获取能力,因此,第二UE在接收到该第二信息后,会向第一UE发送代理请求,以请求第一UE向网络侧设备传递该第一UE的安全密钥。即,上述代理请求可以是第二UE接收到第一UE广播的第二信息后发起的请求。
在另一种示例中,SUE会广播代理请求给附近的UE(附近的UE包括MUE),如此,当MUE接收到SUE的代理请求后,可以向SUE发送反馈信息,以告知其接受了安全密钥的代理请求,进而完成安全密钥的代理。
可选的,在本申请实施例中,在上述步骤201之后,本申请实施例提供的密钥获取方法可以包括如下步骤C1和步骤C2:
步骤C1:第一UE向上述第二UE发送上述第一密钥信息。
步骤C2:第二UE从上述第一UE接收第一密钥信息。
其中,上述第一密钥信息用于指示第二UE的第一密钥。
示例性的,第一UE和第二UE之间传递密钥信息时可以使用加密操作,如,使用他们之间接口协议的安全加密方法、使用应用层加密、非3GPP加密等。
在本申请实施例中,在第二UE的第一密钥发生变更或需要变更的情况下,第一UE、第二UE以及网络侧设备均可以发起密钥更新流程。
可选的,在本申请实施例中,针对第一UE发起密钥更新流程的过程,在上述步骤201之后,本申请实施例提供的密钥获取方法可以包括如下步骤D1:
步骤D1:在满足第一条件的情况下,第一UE向上述网络侧设备和/或第二UE发送第二密钥信息,上述第二密钥信息用于指示更新后的第一密钥。
其中,上述第一条件包括以下至少一项:第二UE的第一密钥变更,用于计算该第二UE的第一密钥的信息变更。示例性的,上述用于计算该第二UE的第一密钥的信息可以为上文中用于计算第一密钥的全部或部分信息,如,第一UE的安全密钥,上述输入参数,目标信息,密钥请求等。
示例性的,对于输入参数中的计数器,上述用于计算该第二UE的第一密钥的信息变更包括:当Sue-counter wrap around(即计数器的计数超过最大值后从0开始)时,当第二UE的任意SRB或DRB的上行或下行的PDCP COUNT值即将到达边界值时。示例性的,当Sue-counter wrap around时,需要更新第一UE的安全密钥或第一信息。具体的,上述的PDCPCOUNT作为密钥流的5个参数之一,如果该值到达边界值,就会从0重新开始计数,这样的话,如果其他四个参数的值不变,那么UE就可能会在发送不同的传输过程中使用了相同的密钥,就会带来不安全的问题,此时需要重新生成新的密钥,以保证数据的安全。
示例性的,上述第一UE计算出新的第一密钥或者第一密钥变化量后,会将新的第一密钥或者第一密钥变化量或计算第一密钥的相关参数告知网络侧设备,上述第一密钥变化量可以为新第一密钥和旧第一密钥之间的差异(例如,为sue-counter值的变化量,或SUE所在的PCI的变化量、频点信息的变化量),也可以为更新后的输入参数(如,新的sue-counter值,SUE最近一次所在的PCI、频点信息),也可以是更改的目标信息(例如,之前是使用第二子密钥作为计算第一密钥的目标信息,更改为将第一子密钥作为计算第一密钥的目标信息),也可以是更改的密钥请求(例如,之前是使用第二子密钥作为第一密钥,更改为将第一子密钥作为第一密钥)。网络侧设备和SUE使用约定的方法生成新的第一密钥。
可选的,在本申请实施例中,针对第二UE发起密钥更新流程的过程,在上述步骤201之后,本申请实施例提供的密钥获取方法可以包括如下步骤E1:
步骤E1:在满足第一条件的情况下,第二UE向网络侧设备发送第三密钥信息,上述第三密钥信息用于指示更新后的第一密钥。
其中,上述第一条件包括以下至少一项:第二UE的第一密钥变更,用于计算该第二UE的第一密钥的信息变更。示例性的,上述用于计算该第二UE的第一密钥的信息可以为上文中用于计算第一密钥的全部或部分信息,如,第一UE的安全密钥,上述输入参数,第一信息等。
示例性的,第二UE可以直接或通过第一UE向网络侧设备发送上述第三密钥信息。
示例性的,SUE可以将新的第一密钥或者第一密钥变化量或更新的输入参数或更新的目标信息告知网络侧设备(通过SUE的空口或通过MUE转发给网络侧设备),其中,第一密钥变化量可以为新第一密钥和旧第一密钥之间的差异(例如,为sue-counter值的变化量,或SUE所在的PCI的变化量、频点信息的变化量),也可以为更新后的输入参数(如新的sue-counter值,SUE最近一次所在的PCI、频点信息),也可以是更改的目标信息(例如,之前是使用第二子密钥作为计算第一密钥的目标信息,更改为将第一子密钥作为计算第一密钥的目标信息),也可以是更改的密钥请求(例如,之前是使用第二子密钥作为第一密钥,更改为将第一子密钥作为第一密钥)。网络侧设备和SUE使用约定的方法生成新的第一密钥。
参照图2,本申请实施例提供的一种密钥获取方法的流程示意图,针对网络侧设备侧,该密钥获取方法可以包括如下步骤:
步骤202:网络侧设备从第一UE接收第一密钥信息。
其中,上述第一密钥信息用于指示第二UE的第一密钥;上述第二UE的第一密钥用于对第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。应注意的是,上述第一密钥信息的相关说明可参照上文描述,此处不再赘述。
可选的,在本申请实施例中,网络侧设备在接收到第一UE或第二UE发送的目标密钥信息后,可以获取第二UE更新后的第一密钥。示例性的,在上述步骤202之后,该方法还可以包括如下步骤:
步骤301a1:网络侧设备从目标UE接收目标密钥信息。
步骤301a2:网络侧设备根据目标密钥信息,确定更新后的第二UE的第一密钥。
其中,上述目标UE包括第一UE或第二UE。上述目标密钥信息用于指示更新后的第二UE的第一密钥。在一种示例中,上述的目标密钥信息可以为上述实施例中的第二密钥信息或第三密钥信息。
可选的,在本申请实施例中,针对网络侧设备可以重新计算第二UE的第一密钥,即网络侧设备发起密钥更新流程的过程。示例性的,在上述步骤202之后,该方法还可以包括如下步骤:
步骤301b1:在满足第一条件的情况下,网络侧设备向目标UE发送第四密钥信息。
其中,上述目标UE包括第一UE或第二UE;上述第四密钥信息用于指示该更新后的第二UE的第一密钥。
示例性的,上述第一条件包括以下至少一项:第二UE的第一密钥变更,用于计算该第二UE的第一密钥的信息变更。示例性的,上述用于计算该第二UE的第一密钥的信息可以为上文中用于计算第一密钥的全部或部分信息,如,第一UE的安全密钥,上述输入参数,第一信息等。
示例性的,网络侧设备计算出新的第一密钥或者第一密钥变化量后,会将新的第一密钥或者第一密钥变化量或计算第一密钥的相关参数告知SUE(通过SUE的空口或通过MUE转发给SUE),上述第一密钥变化量可以为新第一密钥和旧第一密钥之间的差异(例如,为sue-counter值的变化量,或SUE所在的PCI的变化量、频点信息的变化量),也可以为更新后的输入参数(如新的sue-counter值,SUE最近一次所在的PCI、频点信息),也可以是更改的目标信息(例如,之前是使用第二子密钥作为计算第一密钥的目标信息,更改为将第一子密钥作为计算第一密钥的目标信息),也可以是更改的密钥请求(例如,之前是使用第二子密钥作为第一密钥,更改为将第一子密钥作为第一密钥)。网络侧设备和SUE使用约定的方法生成新的第一密钥。
可选的,在本申请实施例中,在上述步骤202之后,该方法还可以包括如下步骤301c1至步骤301c4:
步骤301c1:在满足第二条件的情况下,网络侧设备向第二UE发送第三信息。
步骤301c2:第二UE从网络侧设备接收第三信息。
步骤301c3:第二UE向网络侧设备反馈响应信息。
步骤301c4:网络侧设备从第二UE接收响应信息。
其中,上述第三信息用于激活第二UE的安全和/或确认该第二UE的安全密钥;上述响应信息用于指示第二UE的安全被激活。
示例性的,上述第二条件包括以下至少一项:第二UE进入RRC连接态,网络侧设备已建立第二UE的安全上下文,第二UE的下行数据到达且安全状态未激活。
如此,网络侧设备在获知到第二UE的第一密钥后,便可激活第二UE的安全状态,从而保证后续能够对该第二UE与网络侧设备通信时的数据进行加密和/或完整性保护,进而有效地保证了该第二UE与网络侧设备间通信的可靠性。
以下将以第一UE为MUE、第二UE为SUE为例,对上述的多种密钥获取方式进行举例说明。
示例1:SUE有能力生成SUE的key(简称Ksue),即上述第一密钥,但是无法安全地指示给网络,此时可通过MUE来发送给网络,具体的:
步骤1:MUE已激活了AS安全,与gNB建立了AS安全上下文。
步骤2:SUE请求通过MUE向gNB传递安全密钥。
可选地,可以使用以下两种方式来请求:
方式1:SUE在接收到MUE广播的信息(该信息指示MUE具有能够代理其他UE与网络的AS安全过程的能力)后发起的请求。
方式2:SUE广播安全代理请求给附近的UE(附近的UE包括MUE)。
步骤3:MUE接收SUE的代理请求。
可选地,MUE收到SUE的请求后发送反馈(如接受SUE的请求)。
步骤4:SUE将Ksue发送给MUE,其中,SUE和MUE之间的传输可采用加密的方式,如,使用非3GPP加密,应用层加密等。
可选地,SUE将SUE标识一并发给MUE。SUE在gNB发起RRC连接建立过程(通过自己的空口或者MUE的空口),建立原因值为安全密钥的协商,SUE收到Msg4后将msg2中获得C-RNTI作为SUE标识。MUE和SUE的代理协商过程中,MUE请求gNB为SUE生成的UE标识。
步骤5:MUE收到Ksue后,发送第一密钥信息给gNB,该第一密钥信息包括Ksue,或者,Ksue和SUE标识。第一密钥信息可以使用MUE的AS密钥进行加密和/或完整性保护。
步骤6:gNB收到第一密钥信息后,可以根据SUE标识验证SUE身份,在验证成功后保存Ksue用于后续与SUE通信时的AS加密和/或完整性保护。
步骤7:当满足第一条件时,gNB向SUE发送第三信息(例如SMC),第三信息用于激活AS安全和/或确认AS安全密钥。示例性的,上述第一条件包括以下至少一项:SUE进入RRC连接态,一旦Gnb建立了SUE的AS安全上下文(上下文包括SUE的安全密钥及相关参数),SUE的下行数据到达且AS安全未激活。
步骤8:SUE收到了第三信息(自己的空口或MUE转发)后,下行安全被激活,如果SUE正确地解码了其中的信息,则向gNB发送响应,之后上行安全被激活。
示例2:考虑某些场景下的安全性,可能不能在空口传输SUE key,可以使用MUE的key作为root key,只在空口发送SUE counter,从而保证安全,具体的:
步骤1-3与示例1相同,此处不再赘述。
步骤4:MUE根据MUE root key和SUE相关参数(即上述输入参数)计算Ksue,其中,MUE root key包括KgNB、S-KgNB(即MUE用于SCG传输的密钥)的任意一个或多个,SUE相关参数包括以下信息的不同组合:计数器(例如,Sue-counter)、SUE所在的小区的PCI(物理小区ID)、频点信息、SUE的设备信息(例如,IMEI)等。
步骤5:MUE将Ksue通过MUE和SUE之间的接口指示给SUE,其中,MUE和SUE之间的信息传递有加密机制时,如使用应用层加密、非3GPP加密机制。
步骤6:MUE向gNB发送第一密钥信息,第一密钥信息使用MUE的AS密钥进行加密和/或完整性保护,其中第一密钥信息包括以下至少一项:Ksue,SUE相关参数,第一指示信息(指示使用KgNB或S-KgNB计算Ksue的指示信息),SUE标识。
步骤6:gNB收到第一密钥信息后,根据SUE标识验证SUE身份,在验证成功后保存Ksue用于后续与SUE通信时的AS加密和/或完整性保护。
步骤7-8同示例1的步骤7-8,此处不再赘述。
需要说明的是,本示例中关于代理请求、SUE标识、sue-counter值的描述,如无特别说明可参考示例1,此处不再赘述。
示例3:考虑某些场景下的安全性,可能不能在空口传输SUE key,可以重用SCG的key给SUE,从而保证安全,具体的:
步骤1:MUE已激活了AS安全,与基站建立了AS安全上下文。
步骤2:SUE请求使用MUE的SCG key。
步骤3:MUE接收SUE的请求。
步骤4:MUE将生成的第二key(例如,SCG的密钥S-KgNB)作为Ksue发送给SUE。MUE将S-KgNB发送给SUE时,使用MUE和SUE之间的信息传递的加密机制,如应用层加密、非3GPP加密机制。
可选地,在发送给SUE之前,MUE向gNB发送第四信息并收到了网络的返回确认信息,其中第四信息用于请求使用SCG的密钥用于其他UE(SUE)。
步骤5:MUE向gNB发送第一密钥信息,第一密钥信息包括:第二指示信息(于指示使用MUE的SCG密钥给SUE),SUE标识。
步骤6:gNB收到第一密钥信息后,会根据SUE标识验证SUE身份,在验证成功后使用S-KgNB用于后续与SUE通信时的AS加密和/或完整性保护。
步骤7-8同示例1的步骤7-8,此处不再赘述。
需要说明的是,本示例中关于代理请求、SUE标识、sue-counter值的描述,如无特别说明可参考示例1,此处不再赘述。
示例4:MUE基于该MUE和SUE具有的一套共知参数,推导SUE key,具体的:
步骤1-3与示例1相同,此处不再赘述;
步骤4:MUE根据目标信息与至少一个输入参数计算Ksue,其中,目标信息为MUE和SUE都保存的一至多个相同或有关联的参数,如同一厂家的手机、手表所具有的标识号;上述输入参数包括Sue-counter、随机数、SUE的PCI、频点等中的一个或多个。
步骤5:MUE将步骤4中的一至多个输入参数指示给SUE,SUE基于目标信息和这一组输入参数计算Ksue。
步骤6:MUE向gNB发送第一密钥信息,该第一密钥信息包括以下至少一项:Ksue,上述输入参数,目标信息,SUE标识。
步骤7:gNB收到第一密钥信息后,根据SUE标识验证SUE身份,在验证成功后保存/计算Ksue用于后续与SUE通信时的AS加密和/或完整性保护。
步骤8:当Ksue需要更新时,MUE或SUE将更新的Ksue或者仅将计算Ksue的一至多个输入参数告知gNB和/或SUE。
上述流程中,也可以是SUE根据目标信息和一至多个输入参数计算出Ksue,并将计算Ksue的一至多个输入参数发给MUE,后经MUE转发给网络侧设备。
需要说明的是,本示例中关于代理请求、SUE标识、sue-counter值的描述,如无特别说明可参考示例1,此处不再赘述。
示例性的,在上述4个示例中,当用于计算Ksue的参数发生改变时,需要更新Ksue。在一种示例中,当满足第一条件时,MUE重新计算Ksue。接着,MUE会将新的Ksue或推导Ksue所需的相关信息告知gNB。在另一种示例中,当满足第一条件时,SUE重新计算Ksue。接着,SUE会将新的Ksue或推导Ksue所需的相关信息告知gNB(方式可以参照上述4个示例)。需要说明的是,无论何时,SUE和gNB对新的Ksue,重新计算KRRCenc、KUPenc、KRRCint、KUPint密钥。
在一种示例中,上述第一条件包括以下至少一项:
当使用KgNB、KeNB、S-KgNB、S-KeNB中之一计算Ksue而其值改变时;
当Sue-counter wrap around(超过最大值后从0开始)时;
当SUE的PCI、频点信息改变时;
当SUE的任意SRB或DRB的上行/下行的PDCP COUNTs值即将到达边界值时。
需要说明的是,本申请实施例提供的密钥获取方法,执行主体可以为密钥获取装置,或者,该密钥获取装置中的用于执行密钥获取方法的控制模块,该密钥获取装置可以为UE。本申请实施例中以UE为例,对本申请实施例提供的密钥获取方法进行说明。
图4示出了本申请实施例提供的一种密钥获取装置的结构示意图,如图4所示,该密钥获取装置包括:发送模块401,其中:发送模块401,用于向网络侧设备发送第一密钥信息,上述第一密钥信息用于指示第二UE的第一密钥;其中,上述第一密钥用于对上述第二UE与上述网络侧设备通信时的数据进行加密和/或完整性保护。
可选的,如图4所示,该密钥获取装置还包括:获取模块402,其中:该获取模块402,用于从上述第二UE获取上述第二UE的第一密钥的全部或部分信息。
可选的,上述第一密钥信息包括:上述第二UE的第一密钥的全部或部分信息;或者,上述第二UE的第一密钥的全部或部分信息以及上述第二UE的UE标识。
可选的,如图4所示,该密钥获取装置还包括:计算模块403,其中:计算模块403,用于根据目标信息和输入参数,计算上述第二UE的第一密钥;其中,上述目标信息包括:第一信息或上述第一UE的安全密钥;上述第一信息为上述第一UE和上述第二UE中保存的相同参数或相关参数;上述第一UE的安全密钥包括:第一子密钥或第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥;上述第二子密钥为与第二接入网网元相关的密钥;上述输入参数包括以下至少一项:目标参数,上述第二UE所在小区的PCI,上述第二UE所在小区的频点信息,上述第二UE的设备信息;上述目标参数包括以下至少一项:计数器、随机数、序列。
可选的,在上述目标信息为上述第一信息的情况下,上述第一密钥信息包括以下至少一项:上述第一密钥,上述输入参数,上述第二UE的UE标识,上述第一信息;或,在上述目标信息为上述安全密钥的情况下,上述第一密钥信息包括以下至少一项:上述第一密钥,上述输入参数,上述第二UE的UE标识,第一指示信息;其中,上述第一指示信息用于指示使用第一UE的安全密钥生成该第二UE的第一密钥。
可选的,如图4所示,该密钥获取装置400还包括:接收模块404和处理模块405,其中:接收模块404,用于从上述第二UE接收密钥请求,上述密钥请求用于请求使用上述第一UE的第二密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护;上述第二密钥包括:第一子密钥或第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥,上述第二子密钥为与第二接入网网元相关的密钥;处理模块405,用于根据接收模块404接收的上述密钥请求,将上述第二密钥作为上述第二UE的第一密钥。
可选的,上述第一密钥信息包括以下至少一项:第二指示信息,上述第二UE的UE标识;其中,上述第二指示信息用于指示使用第一UE的安全密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护。
可选的,上述接收模块404,还用于从上述第二UE接收代理请求,上述代理请求用于请求代理上述第二UE的安全过程;上述发送模块401,还用于向上述第二UE发送代理响应,上述代理响应用于指示上述第一UE接受代理上述第二UE的安全过程。
可选的,上述发送模块401,还用于发送第二信息,上述第二信息用于指示上述第一UE具备代理其他UE的安全过程的能力。
可选的,上述发送模块401,还用于在满足第一条件情况下,向上述网络侧设备或第二UE发送第二密钥信息,上述第二密钥信息用于指示更新后的第一密钥。
可选的,上述第一条件包括以下至少一项:第二UE的第一密钥变更,用于计算第二UE的第一密钥的信息变更。
可选的,上述发送模块401,还用于向上述第二UE发送上述第一密钥。
本申请实施例提供的密钥获取装置,为了保证对空口传输的数据和/或信令进行加密和/或完整性保护,密钥获取装置通过借助第一UE来向网络侧设备上报第二UE的安全密钥,从而使得密钥获取装置能够使用该安全密钥对该第二UE与网络侧设备通信时的数据进行加密和/或完整性保护,从而有效地保证了该第二UE与网络侧设备间通信的可靠性。
图5示出了本申请实施例提供的一种密钥获取装置的结构示意图,如图5所示,该密钥获取装置包括:发送模块501,其中:发送模块501,用于向第一UE发送代理请求;发送模块501,还用于若接收到第一UE反馈的代理响应,则向上述第一UE发送目标密钥信息;其中,上述代理请求用于请求代理上述第二UE的安全过程;上述代理响应用于指示上述第一UE接受代理上述第二UE的安全过程;上述目标密钥信息用于指示上述第一密钥;上述第一密钥用于对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护。
可选的,上述目标密钥信息包括:上述第一密钥的全部或部分信息,或者,密钥请求;其中,上述密钥请求用于请求使用上述第一UE的第二密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护;上述第二密钥包括:第一子密钥或第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥,上述第一子密钥为与第二接入网网元相关的密钥。
可选的,如图5所示,该密钥获取装置500还包括:接收模块502,其中:接收模块502,用于从上述第一UE接收第二信息,上述第二信息用于指示上述第一UE具备代理其他UE的安全过程的能力。
可选的,发送模块501,还用于在满足第一条件的情况下,向网络侧设备和/或上述第一UE发送第三密钥信息,上述第三密钥信息用于指示更新后的第一密钥。
可选的,上述第一条件包括以下至少一项:第二UE的第一密钥变更,用于计算第二UE的第一密钥的信息变更。
可选的,接收模块502,还用于从上述第一UE接收第一密钥信息,上述第一密钥信息用于指示第二UE的第一密钥。
可选的,上述接收模块502,还用于从网络侧设备接收第三信息,上述第三信息用于激活上述第二UE的安全状态和/或确认上述第二UE的安全密钥;上述发送模块501,还用于向上述网络侧设备反馈响应信息,上述响应信息用于指示上述第二UE的上行安全被激活。
本申请实施例提供的密钥获取装置,为了保证对空口传输的数据和/或信令进行加密和/或完整性保护,密钥获取装置可以获取第一UE代理第二UE发送第一密钥信息,从而从中获取到第二UE的安全密钥,从而使得密钥获取装置能够使用该安全密钥对该第二UE与网络侧设备通信时的数据进行加密和/或完整性保护,从而有效地保证了该第二UE与网络侧设备间通信的可靠性。
图6示出了本申请实施例提供的一种密钥获取装置的结构示意图,如图6所示,该密钥获取装置600包括:接收模块601,其中:接收模块601,用于从第一UE接收第一密钥信息;其中,上述第一密钥信息用于指示第二UE的第一密钥;上述第二UE的第一密钥用于对上述第二UE与上述网络侧设备通信时的数据进行加密和/或完整性保护。
可选的,如图6所示,该密钥获取装置600还包括:确定模块602,其中:上述接收模块601,还用于从目标UE接收目标密钥信息,上述目标UE包括第一UE或第二UE;确定模块602,用于根据上述目标密钥信息,确定更新后的上述第二UE的第一密钥;其中,上述目标密钥信息用于指示上述更新后的上述第二UE的第一密钥。
可选的,如图6所示,该密钥获取装置600还包括:发送模块603,用于在满足第一条件的情况下,向目标UE发送第四密钥信息;其中,上述目标UE包括第一UE或第二UE;上述目标密钥信息用于指示上述更新后的上述第二UE的第一密钥。
可选的,上述发送模块603,还用于在满足第二条件的情况下,向上述第二UE发送第三信息;上述接收模块601,还用于从上述第二UE接收响应信息;其中,上述第三信息用于激活上述第二UE的安全和/或确认上述第二UE的安全密钥;上述响应信息用于指示上述第二UE的安全被激活;上述第二条件包括以下至少一项:上述第二UE进入RRC连接态,上述网络侧设备已建立上述第二UE的安全上下文,上述第二UE的下行数据到达且安全状态未激活。
本申请实施例提供的密钥获取装置,为了保证对空口传输的数据和/或信令进行加密和/或完整性保护,密钥获取装置通过向第二UE发送代理请求,以请求借助第一UE来向网络侧设备上报第二UE的安全密钥,从而使得密钥获取装置能够使用该安全密钥对该第二UE与网络侧设备通信时的数据进行加密和/或完整性保护,从而有效地保证了该第二UE与网络侧设备间通信的可靠性。
上述密钥获取装置可以是装置,也可以是UE中的部件、集成电路、或芯片。该装置可以是移动终端,也可以为非移动终端。示例性的,移动终端可以包括但不限于上述所列举的终端的类型,非移动终端可以为服务器、网络附属存储器(Network Attached Storage,NAS)、个人计算机(personal computer,PC)、电视机(television,TV)、柜员机或者自助机等,本申请实施例不作具体限定。
本申请实施例中的密钥获取装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统,可以为ios操作系统,还可以为其他可能的操作系统,本申请实施例不作具体限定。
本申请实施例提供的密钥获取装置能够实现方法实施例实现的各个过程,并达到相同的技术效果,为避免重复,这里不再赘述。
可选的,如图7所示,本申请实施例还提供一种通信设备700,包括处理器701,存储器702,存储在存储器702上并可在上述处理器701上运行的程序或指令,例如,该通信设备700为终端时,该程序或指令被处理器701执行时实现上述密钥获取方法实施例的各个过程,且能达到相同的技术效果。该通信设备700为网络侧设备时,该程序或指令被处理器701执行时实现上述密钥获取方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
图8为实现本申请实施例的一种终端的硬件结构示意图。
该终端100包括但不限于:射频单元101、网络模块102、音频输出单元103、输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、以及处理器110等部件。
本领域技术人员可以理解,终端100还可以包括给各个部件供电的电源(比如电池),电源可以通过电源管理系统与处理器110逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图8中示出的终端结构并不构成对终端的限定,终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置,在此不再赘述。
应理解的是,本申请实施例中,输入单元104可以包括图形处理器(GraphicsProcessing Unit,GPU)1041和麦克风1042,图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元106可包括显示面板1061,可以采用液晶显示器、有机发光二极管等形式来配置显示面板1061。用户输入单元107包括触控面板1071以及其他输入设备1072。触控面板1071,也称为触摸屏。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
本申请实施例中,射频单元101将来自网络侧设备的下行数据接收后,给处理器110处理;另外,将上行的数据发送给网络侧设备。通常,射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。
存储器109可用于存储软件程序或指令以及各种数据。存储器109可主要包括存储程序或指令区和存储数据区,其中,存储程序或指令区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外,存储器109可以包括高速随机存取存储器,还可以包括非易失性存储器,其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。
处理器110可包括一个或多个处理单元;可选的,处理器110可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序或指令等,调制解调处理器主要处理无线通信,如基带处理器。可以理解的是,上述调制解调处理器也可以不集成到处理器110中。
其中,射频单元101,用于向网络侧设备发送第一密钥信息,上述第一密钥信息用于指示第二UE的第一密钥;其中,上述第一密钥用于对上述第二UE与上述网络侧设备通信时的数据进行加密和/或完整性保护。
可选的,处理器110,用于从上述第二UE获取上述第二UE的第一密钥的全部或部分信息。
可选的,上述第一密钥信息包括:上述第二UE的第一密钥的全部或部分信息;或者,上述第二UE的第一密钥的全部或部分信息以及上述第二UE的UE标识。
可选的,处理器110,还用于根据目标信息和输入参数,计算上述第二UE的第一密钥;其中,上述目标信息包括:第一信息或上述第一UE的安全密钥;上述第一信息为上述第一UE和上述第二UE中保存的相同参数或相关参数;上述第一UE的安全密钥包括:第一子密钥或第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥;上述第二子密钥为与第二接入网网元相关的密钥;上述输入参数包括以下至少一项:目标参数,上述第二UE所在小区的PCI,上述第二UE所在小区的频点信息,上述第二UE的设备信息;上述目标参数包括以下至少一项:计数器、随机数、序列。
可选的,在上述目标信息为上述第一信息的情况下,上述第一密钥信息包括以下至少一项:上述第一密钥,上述输入参数,上述第二UE的UE标识,上述第一信息;或,在上述目标信息为上述安全密钥的情况下,上述第一密钥信息包括以下至少一项:上述第一密钥,上述输入参数,上述第二UE的UE标识,第一指示信息;其中,上述第一指示信息用于指示使用第一UE的安全密钥生成该第二UE的第一密钥。
可选的,射频单元101,用于从上述第二UE接收密钥请求,上述密钥请求用于请求使用上述第一UE的第二密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护;上述第二密钥包括:第一子密钥或第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥,上述第二子密钥为与第二接入网网元相关的密钥;处理器110,用于根据上述密钥请求,将上述第二密钥作为上述第二UE的第一密钥。
可选的,上述第一密钥信息包括以下至少一项:第二指示信息,上述第二UE的UE标识;其中,上述第二指示信息用于指示使用第一UE的安全密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护。
可选的,上述射频单元101,还用于从上述第二UE接收代理请求,上述代理请求用于请求代理上述第二UE的安全过程;上述发送模块401,还用于向上述第二UE发送代理响应,上述代理响应用于指示上述第一UE接受代理上述第二UE的安全过程。
可选的,上述射频单元101,还用于发送第二信息,上述第二信息用于指示上述第一UE具备代理其他UE的安全过程的能力。
可选的,上述射频单元101,还用于在满足第一条件情况下,向上述网络侧设备或第二UE发送第二密钥信息,上述第二密钥信息用于指示更新后的第一密钥。
可选的,上述第一条件包括以下至少一项:第二UE的第一密钥变更,用于计算第二UE的第一密钥的信息变更。
可选的,上述射频单元101,还用于向上述第二UE发送上述第一密钥。
本申请实施例提供的UE,为了保证对空口传输的数据和/或信令进行加密和/或完整性保护,该UE通过借助第一UE来向网络侧设备上报第二UE的安全密钥,从而使得该UE能够使用该安全密钥对该第二UE与网络侧设备通信时的数据进行加密和/或完整性保护,从而有效地保证了该第二UE与网络侧设备间通信的可靠性。
其中,上述射频单元101,用于向第一UE发送代理请求;上述射频单元101,还用于若接收到第一UE反馈的代理响应,则向上述第一UE发送目标密钥信息;其中,上述代理请求用于请求代理上述第二UE的安全过程;上述代理响应用于指示上述第一UE接受代理上述第二UE的安全过程;上述目标密钥信息用于指示上述第一密钥;上述第一密钥用于对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护。
可选的,上述目标密钥信息包括:上述第一密钥的全部或部分信息,或者,密钥请求;其中,上述密钥请求用于请求使用上述第一UE的第二密钥对上述第二UE与上述网络通信时的数据进行加密和/或完整性保护;上述第二密钥包括:第一子密钥或第二子密钥;上述第一子密钥为与第一接入网网元相关的密钥,上述第一子密钥为与第二接入网网元相关的密钥。
可选的,上述射频单元101,还用于从上述第一UE接收第二信息,上述第二信息用于指示上述第一UE具备代理其他UE的安全过程的能力。
可选的,上述射频单元101,还用于在满足第一条件的情况下,向网络侧设备和/或上述第一UE发送第三密钥信息,上述第三密钥信息用于指示更新后的第一密钥。
可选的,上述第一条件包括以下至少一项:第二UE的第一密钥变更,用于计算第二UE的第一密钥的信息变更。
可选的,上述射频单元101,还用于从上述第一UE接收第一密钥信息,上述第一密钥信息用于指示第二UE的第一密钥。
可选的,上述射频单元101,还用于从网络侧设备接收第三信息,上述第三信息用于激活上述第二UE的安全状态和/或确认上述第二UE的安全密钥;上述射频单元101,还用于向上述网络侧设备反馈响应信息,上述响应信息用于指示上述第二UE的上行安全被激活。
本申请实施例提供的UE,为了保证对空口传输的数据和/或信令进行加密和/或完整性保护,该UE通过向第二UE发送代理请求,以请求借助第一UE来向网络侧设备上报第二UE的安全密钥,从而使得该UE能够使用该安全密钥对该第二UE与网络侧设备通信时的数据进行加密和/或完整性保护,从而有效地保证了该第二UE与网络侧设备间通信的可靠性。
具体地,本申请实施例还提供了一种网络侧设备。如图9所示,该网络侧设备900包括:天线901、射频装置902、基带装置903。天线901与射频装置902连接。在上行方向上,射频装置902通过天线901接收信息,将接收的信息发送给基带装置903进行处理。在下行方向上,基带装置903对要发送的信息进行处理,并发送给射频装置902,射频装置902对收到的信息进行处理后经过天线901发送出去。
上述频带处理装置可以位于基带装置903中,以上实施例中网络侧设备执行的方法可以在基带装置903中实现,该基带装置903包括处理器904和存储器905。
基带装置903例如可以包括至少一个基带板,该基带板上设置有多个芯片,如图9所示,其中一个芯片例如为处理器904,与存储器905连接,以调用存储器905中的程序,执行以上方法实施例中所示的网络侧设备操作。
该基带装置903还可以包括网络接口906,用于与射频装置902交互信息,该接口例如为通用公共无线接口(common public radio interface,简称CPRI)。
具体地,本申请实施例的网络侧设备还包括:存储在存储器905上并可在处理器904上运行的指令或程序,处理器904调用存储器905中的指令或程序执行图6所示各模块执行的方法,并达到相同的技术效果,为避免重复,故不在此赘述。
本申请实施例还提供一种可读存储介质,上述可读存储介质上存储有程序或指令,该程序或指令被处理器执行时实现上述密钥获取方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,上述处理器为上述实施例中上述的终端中的处理器。上述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
本申请实施例另提供了一种芯片,上述芯片包括处理器和通信接口,上述通信接口和上述处理器耦合,上述处理器用于运行网络侧设备程序或指令,实现上述密钥获取方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片,系统芯片,芯片系统或片上系统芯片等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络侧设备等)执行本申请各个实施例上述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (33)
1.一种密钥获取方法,应用于第一用户设备UE,其特征在于,所述方法包括:
向网络侧设备发送第一密钥信息,所述第一密钥信息用于指示第二UE的第一密钥;其中,所述第二UE的第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。
2.根据权利要求1所述的方法,其特征在于,所述向网络侧设备发送第一密钥信息之前,所述方法还包括:
从所述第二UE获取所述第二UE的第一密钥的全部或部分信息。
3.根据权利要求2所述的方法,其特征在于,所述第一密钥信息包括:所述第二UE的第一密钥的全部或部分信息;或者,所述第二UE的第一密钥的全部或部分信息以及所述第二UE的UE标识。
4.根据权利要求1所述的方法,其特征在于,所述向网络侧设备发送第一密钥信息之前,所述方法还包括:
根据目标信息和输入参数,计算所述第二UE的第一密钥;
其中,所述目标信息包括:第一信息或所述第一UE的安全密钥;
所述第一信息为所述第一UE和所述第二UE中保存的相同参数或相关参数;所述第一UE的安全密钥包括:第一子密钥或第二子密钥;所述第一子密钥为与第一接入网网元相关的密钥;所述第二子密钥为与第二接入网网元相关的密钥;
所述输入参数包括以下至少一项:目标参数,所述第二UE所在小区的PCI,所述第二UE所在小区的频点信息,所述第二UE的设备信息;所述目标参数包括以下至少一项:计数器、随机数、序列。
5.根据权利要求4所述的方法,其特征在于,在所述目标信息为所述第一信息的情况下,所述第一密钥信息包括以下至少一项:所述第一密钥,所述输入参数,所述第二UE的UE标识,所述第一信息;或,
在所述目标信息为所述第一UE的安全密钥的情况下,所述第一密钥信息包括以下至少一项:所述第一密钥,所述输入参数,所述第二UE的UE标识,第一指示信息;其中,所述第一指示信息用于指示使用所述第一UE的安全密钥生成所述第二UE的第一密钥。
6.根据权利要求1所述的方法,其特征在于,所述向网络侧设备发送第一密钥信息之前,所述方法还包括:
从所述第二UE接收密钥请求,所述密钥请求用于请求使用所述第一UE的安全密钥对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护;所述安全密钥包括:第一子密钥或第二子密钥;所述第一子密钥为与第一接入网网元相关的密钥,所述第二子密钥为与第二接入网网元相关的密钥;
根据所述密钥请求,将所述第一UE的安全密钥作为所述第二UE的第一密钥。
7.根据权利要求6所述的方法,其特征在于,所述第一密钥信息包括以下至少一项:第二指示信息,所述第二UE的UE标识;其中,所述第二指示信息用于指示使用所述第一UE的安全密钥对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。
8.根据权利要求1所述的方法,其特征在于,所述向网络侧设备发送第一密钥信息之前,所述方法还包括:
从所述第二UE接收代理请求,所述代理请求用于请求代理所述第二UE的安全过程;
向所述第二UE发送代理响应,所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程。
9.根据权利要求8所述的方法,其特征在于,所述从所述第二UE接收代理请求之前,所述方法还包括:
发送第二信息,所述第二信息用于指示所述第一UE具备代理其他UE的安全过程的能力。
10.根据权利要求1所述的方法,其特征在于,所述向网络侧设备发送第一密钥信息之后,所述方法还包括:
在满足第一条件情况下,向所述网络侧设备或第二UE发送第二密钥信息,所述第二密钥信息用于指示更新后的所述第二UE的第一密钥。
11.根据权利要求10所述的方法,其特征在于,所述第一条件包括以下至少一项:所述第二UE的第一密钥变更,用于计算所述第二UE的第一密钥的信息变更。
12.根据权利要求4或6所述的方法,其特征在于,所述向网络发送第一密钥信息之后,所述方法还包括:
向所述第二UE发送所述第二UE的第一密钥。
13.一种密钥获取方法,其特征在于,应用于第二UE,所述方法包括:
向第一UE发送代理请求;
若接收到第一UE反馈的代理响应,则向所述第一UE发送目标密钥信息;
其中,所述代理请求用于请求代理所述第二UE的安全过程;
所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程;
所述目标密钥信息用于指示所述第二UE的第一密钥;所述第二UE的第一密钥用于对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。
14.根据权利要求13所述的方法,其特征在于,所述目标密钥信息包括:所述第一密钥的全部或部分信息,或者,密钥请求;
其中,所述密钥请求用于请求使用所述第一UE的安全密钥对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护;所述第一UE的安全密钥包括:第一子密钥或第二子密钥;所述第一子密钥为与第一接入网网元相关的密钥,所述第一子密钥为与第二接入网网元相关的密钥。
15.根据权利要求13所述的方法,其特征在于,所述向第一UE发送代理请求之前,所述方法还包括:
从所述第一UE接收第二信息,所述第二信息用于指示所述第一UE具备代理其他UE的安全过程的能力。
16.根据权利要求13所述的方法,其特征在于,所述向第一UE发送所述第二UE的第一密钥之后,所述方法还包括:
在满足第一条件的情况下,向网络侧设备和/或所述第一UE发送第三密钥信息,所述第三密钥信息用于指示更新后的所述第二UE的第一密钥。
17.根据权利要求16所述的方法,其特征在于,所述第一条件包括以下至少一项:所述第二UE的第一密钥变更,用于计算所述第二UE的第一密钥的信息变更。
18.根据权利要求13所述的方法,其特征在于,所述方法还包括:
从所述第一UE接收第一密钥信息,所述第一密钥信息用于指示所述第二UE的第一密钥。
19.根据权利要求13所述的方法,其特征在于,所述向网络侧设备发送第一密钥信息之后,所述方法还包括:
从网络侧设备接收第三信息,所述第三信息用于激活所述第二UE的安全状态和/或确认所述第二UE的安全密钥;
向所述网络侧设备反馈响应信息,所述响应信息用于指示所述第二UE的上行安全被激活。
20.一种密钥获取方法,其特征在于,应用于网络侧设备,所述方法包括:
从第一UE接收第一密钥信息;
其中,所述第一密钥信息用于指示第二UE的第一密钥;所述第二UE的第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。
21.根据权利要求20所述的方法,其特征在于,所述从第一UE接收第一密钥信息之后,所述方法还包括:
从目标UE接收目标密钥信息,所述目标UE包括第一UE或第二UE;
根据所述目标密钥信息,确定更新后的所述第二UE的第一密钥;
其中,所述目标密钥信息用于指示所述更新后的所述第二UE的第一密钥。
22.根据权利要求20所述的方法,其特征在于,所述从目标UE接收目标密钥信息之前,所述方法还包括:
在满足第一条件的情况下,向目标UE发送第四密钥信息;
其中,所述目标UE包括第一UE或第二UE;所述目标密钥信息用于指示所述更新后的所述第二UE的第一密钥。
23.根据权利要求21所述的方法,其特征在于,所述从目标UE接收目标密钥信息之前,所述方法还包括:
在满足第二条件的情况下,向所述第二UE发送第三信息;
从所述第二UE接收响应信息;
其中,所述第三信息用于激活所述第二UE的安全和/或确认所述第二UE的安全密钥;所述响应信息用于指示所述第二UE的安全被激活;
所述第二条件包括以下至少一项:所述第二UE进入RRC连接态,所述网络侧设备已建立所述第二UE的安全上下文,所述第二UE的下行数据到达且安全状态未激活。
24.一种密钥获取装置,其特征在于,所述装置包括:
发送模块,用于向网络侧设备发送第一密钥信息,所述第一密钥信息用于指示第二用户设备UE的第一密钥;其中,所述第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。
25.根据权利要求24所述的装置,其特征在于,所述装置还包括:
获取模块,用于从所述第二UE获取所述第二UE的第一密钥的全部或部分信息。
26.根据权利要求24所述的装置,其特征在于,所述装置还包括:
计算模块,用于根据目标信息和输入参数,计算所述第二UE的第一密钥;
其中,所述目标信息包括:第一信息或所述第一UE的安全密钥;
所述第一信息为所述第一UE和所述第二UE中保存的相同参数或相关参数;所述第一UE的安全密钥包括:第一子密钥或第二子密钥;所述第一子密钥为与第一接入网网元相关的密钥;所述第二子密钥为与第二接入网网元相关的密钥;
所述输入参数包括以下至少一项:目标参数,所述第二UE所在小区的PCI,所述第二UE所在小区的频点信息,所述第二UE的设备信息;所述目标参数包括以下至少一项:计数器、随机数、序列。
27.根据权利要求24所述的装置,其特征在于,所述装置还包括:
接收模块,用于从所述第二UE接收密钥请求,所述密钥请求用于请求使用所述第一UE的安全密钥对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护;所述安全密钥包括:第一子密钥或第二子密钥;所述第一子密钥为与第一接入网网元相关的密钥,所述第二子密钥为与第二接入网网元相关的密钥;
处理模块,用于根据所述接收模块接收的所述密钥请求,将所述第一UE的安全密钥作为所述第二UE的第一密钥。
28.根据权利要求24所述的装置,其特征在于,所述装置还包括:
接收模块,用于从所述第二UE接收代理请求,所述代理请求用于请求代理所述第二UE的安全过程;
所述发送模块,还用于向所述第二UE发送代理响应,所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程。
29.一种密钥获取装置,其特征在于,所述装置包括:
发送模块,用于向第一UE发送代理请求;
所述发送模块,还用于若接收到第一UE反馈的代理响应,则向所述第一UE发送目标密钥信息;
其中,所述代理请求用于请求代理所述第二UE的安全过程;
所述代理响应用于指示所述第一UE接受代理所述第二UE的安全过程;
所述目标密钥信息用于指示所述第一密钥;所述第一密钥用于对所述第二UE与所述网络通信时的数据进行加密和/或完整性保护。
30.一种密钥获取装置,其特征在于,所述装置包括:
接收模块,用于从第一UE接收第一密钥信息;
其中,所述第一密钥信息用于指示第二UE的第一密钥;所述第二UE的第一密钥用于对所述第二UE与所述网络侧设备通信时的数据进行加密和/或完整性保护。
31.一种用户设备,其特征在于,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1至19任一项所述的密钥获取方法的步骤。
32.一种网络侧设备,其特征在于,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求20至23任一项所述的密钥获取方法的步骤。
33.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1至19任一项或权利要求20至23任一项所述的密钥获取方法的步骤。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010463814.4A CN113766494B (zh) | 2020-05-27 | 密钥获取方法、装置、用户设备及网络侧设备 | |
EP21814049.9A EP4145878A4 (en) | 2020-05-27 | 2021-05-27 | KEY OBTAINING METHOD AND APPARATUS, USER EQUIPMENT, AND NETWORK SIDE DEVICE |
JP2022573410A JP2023527442A (ja) | 2020-05-27 | 2021-05-27 | 鍵取得方法、鍵取得装置、ユーザ機器、ネットワーク側機器および可読記憶媒体 |
PCT/CN2021/096533 WO2021239076A1 (zh) | 2020-05-27 | 2021-05-27 | 密钥获取方法、装置、用户设备及网络侧设备 |
US18/058,567 US20230079410A1 (en) | 2020-05-27 | 2022-11-23 | Method and Apparatus for Obtaining Key, User Equipment, and Network Side Device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010463814.4A CN113766494B (zh) | 2020-05-27 | 密钥获取方法、装置、用户设备及网络侧设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113766494A true CN113766494A (zh) | 2021-12-07 |
CN113766494B CN113766494B (zh) | 2024-06-28 |
Family
ID=
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101998392A (zh) * | 2009-08-14 | 2011-03-30 | 财团法人工业技术研究院 | 用于具有中继节点的无线通信系统的安全性方法 |
US20130152178A1 (en) * | 2011-12-09 | 2013-06-13 | Verizon Patent And Licensing Inc. | Secure enterprise service delivery |
US20150163202A1 (en) * | 2013-12-05 | 2015-06-11 | Alcatel-Lucent Usa, Inc. | Security key generation for simultaneous multiple cell connections for mobile device |
CN105103517A (zh) * | 2014-01-28 | 2015-11-25 | 华为技术有限公司 | 一种安全密钥更改方法和基站及用户设备 |
WO2017132962A1 (zh) * | 2016-02-04 | 2017-08-10 | 华为技术有限公司 | 一种安全参数传输方法及相关设备 |
CN108702740A (zh) * | 2016-01-27 | 2018-10-23 | 华为技术有限公司 | 一种通信方法及通信装置 |
CN108701195A (zh) * | 2016-02-24 | 2018-10-23 | 华为技术有限公司 | 一种数据安全保护方法及装置 |
US20200037165A1 (en) * | 2018-07-30 | 2020-01-30 | Lenovo (Singapore) Pte. Ltd. | Security protection for user plane traffic |
CN110769418A (zh) * | 2018-07-26 | 2020-02-07 | 维沃移动通信有限公司 | 一种密钥更新方法、终端及网络侧设备 |
CN110830993A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 一种数据处理的方法和装置 |
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101998392A (zh) * | 2009-08-14 | 2011-03-30 | 财团法人工业技术研究院 | 用于具有中继节点的无线通信系统的安全性方法 |
US20130152178A1 (en) * | 2011-12-09 | 2013-06-13 | Verizon Patent And Licensing Inc. | Secure enterprise service delivery |
US20150163202A1 (en) * | 2013-12-05 | 2015-06-11 | Alcatel-Lucent Usa, Inc. | Security key generation for simultaneous multiple cell connections for mobile device |
CN105103517A (zh) * | 2014-01-28 | 2015-11-25 | 华为技术有限公司 | 一种安全密钥更改方法和基站及用户设备 |
CN108702740A (zh) * | 2016-01-27 | 2018-10-23 | 华为技术有限公司 | 一种通信方法及通信装置 |
WO2017132962A1 (zh) * | 2016-02-04 | 2017-08-10 | 华为技术有限公司 | 一种安全参数传输方法及相关设备 |
CN108701195A (zh) * | 2016-02-24 | 2018-10-23 | 华为技术有限公司 | 一种数据安全保护方法及装置 |
CN110769418A (zh) * | 2018-07-26 | 2020-02-07 | 维沃移动通信有限公司 | 一种密钥更新方法、终端及网络侧设备 |
US20200037165A1 (en) * | 2018-07-30 | 2020-01-30 | Lenovo (Singapore) Pte. Ltd. | Security protection for user plane traffic |
CN110830993A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 一种数据处理的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
EP4145878A1 (en) | 2023-03-08 |
US20230079410A1 (en) | 2023-03-16 |
WO2021239076A1 (zh) | 2021-12-02 |
EP4145878A4 (en) | 2023-11-08 |
JP2023527442A (ja) | 2023-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11777716B2 (en) | Key exchange method and apparatus | |
US11778459B2 (en) | Secure session method and apparatus | |
CN108432206B (zh) | 用于蜂窝物联网的无状态接入阶层安全性 | |
EP2910044B1 (en) | Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment | |
US20200228977A1 (en) | Parameter Protection Method And Device, And System | |
US10798082B2 (en) | Network authentication triggering method and related device | |
US20170359719A1 (en) | Key generation method, device, and system | |
CN108605225B (zh) | 一种安全处理方法及相关设备 | |
EP2479921A1 (en) | Method and device for encrypting user identity during paging procedure | |
CN109246696B (zh) | 密钥处理方法以及相关装置 | |
CN104322089A (zh) | 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 | |
US20190223022A1 (en) | Security of ciphering and integrity protection | |
KR102354093B1 (ko) | 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널 | |
CN110830421B (zh) | 数据传输方法和设备 | |
CN113412655A (zh) | 一种信息传输方法及装置、网络设备、用户设备 | |
CN113766494B (zh) | 密钥获取方法、装置、用户设备及网络侧设备 | |
KR101670743B1 (ko) | 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치 | |
CN113766494A (zh) | 密钥获取方法、装置、用户设备及网络侧设备 | |
CN111182548B (zh) | 伪网络设备识别方法及通信装置 | |
CN112154682B (zh) | 密钥更新方法、设备和存储介质 | |
EP4000295A1 (en) | Managing security keys in a communication system | |
CN113795024A (zh) | 一种获取密钥的方法及装置 | |
CN116782211A (zh) | 切换密钥的确定方法、切换方法及装置 | |
KR20230016662A (ko) | 키 네고시에이션 방법, 장치 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |