CN113766497B - 密钥分发方法、装置、计算机可读存储介质及基站 - Google Patents

密钥分发方法、装置、计算机可读存储介质及基站 Download PDF

Info

Publication number
CN113766497B
CN113766497B CN202010484297.9A CN202010484297A CN113766497B CN 113766497 B CN113766497 B CN 113766497B CN 202010484297 A CN202010484297 A CN 202010484297A CN 113766497 B CN113766497 B CN 113766497B
Authority
CN
China
Prior art keywords
base station
key
user plane
plane entity
security domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010484297.9A
Other languages
English (en)
Other versions
CN113766497A (zh
Inventor
许森
孙震强
张乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202010484297.9A priority Critical patent/CN113766497B/zh
Publication of CN113766497A publication Critical patent/CN113766497A/zh
Application granted granted Critical
Publication of CN113766497B publication Critical patent/CN113766497B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开提供了一种密钥分发方法、装置、计算机可读存储介质及基站,涉及无线通信领域。密钥分发方法包括:基站控制面实体确定各个基站用户面实体与各个安全域之间的映射关系;基站控制面实体确定终端的各个承载业务所使用的基站用户面实体;基站控制面实体生成主安全域的控制面密钥、主安全域的用户面密钥、各个承载业务所使用的基站用户面实体所属次级安全域的根密钥和用户面密钥;基站将主安全域的用户面密钥发送至主安全域的基站用户面实体,将所属次级安全域的用户面密钥分别发送至基站用户面实体;基站控制面实体向终端发送主安全域的控制面密钥、主安全域的用户面密钥及根密钥。本公开提升了基站与终端传输数据过程的可靠性和安全性。

Description

密钥分发方法、装置、计算机可读存储介质及基站
技术领域
本公开涉及无线通信领域,特别涉及一种密钥分发方法、装置、计算机可读存储介质及基站。
背景技术
5G通信网络的安全机制是在4G通信网络的安全机制基础之上,建立以用户为中心的、满足服务化安全需求的安全体系架构。5G通信网络的安全机制能够为用户空口接入提供统一的认证机制,为用户与网络之间的空口所传输的信令和用户数据提供机密性、完整性和抗重放保护,并能够提供用户身份隐私的保护、密钥的协商、安全保护同步等机制,从而确保5G通信网络能够防范未授权用户访问、中间人攻击、用户身份及隐私窃取、假冒服务网络以及拒绝服务攻击等等。
5G通信网络提供了用户面的完整性保护。在5G基站的功能设计上支持终端和5G基站之间的用户数据的完整性保护功能,5G基站会根据SMF(Session Management Function,会话管理功能)发送的安全策略决定是否激活用户数据的完整性保护,具体的安全策略的配置通过RRC(Radio Resource Control,无线资源控制)重配置过程执行。
发明内容
本公开解决的一个技术问题是,如何提升基站与终端传输数据过程的可靠性和安全性。
根据本公开实施例的一个方面,提供了一种密钥分发方法,包括:基站控制面实体确定各个基站用户面实体与各个安全域之间的映射关系,所述各个安全域包括一个主安全域及多个次级安全域;基站控制面实体确定终端的各个承载业务所使用的基站用户面实体;基站控制面实体根据核心网设备发送的密钥生成主安全域的控制面密钥、主安全域的用户面密钥、所述各个承载业务所使用的基站用户面实体所属次级安全域的根密钥,并根据所述根密钥生成所述所属次级安全域的用户面密钥;基站控制面实体根据所述映射关系,将主安全域的用户面密钥发送至主安全域的基站用户面实体,将所述所属次级安全域的用户面密钥分别发送至相应所述各个承载业务所使用的基站用户面实体;基站控制面实体向终端发送主安全域的控制面密钥、主安全域的用户面密钥及所述根密钥,以使终端根据所述根密钥生成所述所属次级安全域的用户面密钥。
在一些实施例中,基站控制面实体确定各个基站用户面实体与各个安全域之间的映射关系包括:基站控制面实体根据操作维护中心配置的第一预配置信息,确定各个基站用户面实体与各个安全域之间的映射关系,第一预配置信息包括各个基站用户面实体的位置和安全等级。
在一些实施例中,根据操作维护中心配置的第一预配置信息,确定各个基站用户面实体与各个安全域之间的映射关系包括:在基站用户面实体的位置与控制面实体相同的情况下,确定基站用户面实体属于主安全域;在基站用户面实体的位置与控制面实体不同的情况下,确定基站用户面实体属于次级安全域;根据基站用户面实体的安全等级,确定基站用户面实体所属的次级安全域。
在一些实施例中,基站控制面实体确定终端的各个承载业务所使用的基站用户面实体包括:基站控制面实体接收接入和移动性管理功能发送的终端的承载建立信息;基站控制面实体根据承载建立信息以及操作维护中心配置的第二预配置信息,确定各个承载业务所使用的基站用户面实体。
在一些实施例中,承载建立信息包括各个承载业务所需的承载类型,第二预配置信息包括承载类型与各个安全域之间的映射关系;根据承载建立信息以及操作维护中心配置的第二预配置信息,确定各个承载业务所使用的基站用户面实体包括:根据承载建立信息,确定各个承载业务所需的承载类型;根据第二预配置信息,确定各个承载业务对应的安全域;根据基站用户面实体与各个安全域之间的映射关系,确定各个承载业务所使用的基站用户面实体。
在一些实施例中,密钥分发方法还包括:基站控制面实体根据终端所支持的加密算法以及每个基站用户面实体所支持的加解密算法,确定每个基站用户面实体所采用的加解密算法;基站控制面实体根据终端所支持的完整性保护算法以及每个基站用户面实体所支持的完整性保护算法,确定每个基站用户面实体所采用的完整性保护算法。
在一些实施例中,根据核心网设备发送的密钥生成主安全域的控制面密钥、主安全域的用户面密钥包括:根据核心网设备发送的密钥生成基站侧密钥;根据基站侧密钥生成主安全域的控制面密钥,主安全域的控制面密钥包括主安全域的控制面的加解密密钥和数据完整性保护密钥;根据基站侧密钥生成主安全域的用户面密钥,主安全域的用户制面密钥包括主安全域的用户面的加解密密钥和数据完整性保护密钥。
在一些实施例中,基站控制面实体根据核心网设备发送的密钥生成所述各个承载业务所使用的基站用户面实体所属次级安全域的根密钥包括:基站控制面实体根据核心网设备发送的密钥生成基站侧密钥;基站控制面实体为所述所属次级安全域配置不同的密钥参数,所述密钥参数不与终端在基站控制面已经使用过的密钥参数重复;基站控制面实体根据基站侧密钥和所述所属次级安全域的密钥参数,分别生成所述所属次级安全域的根密钥。
在一些实施例中,密钥参数为下一跳NH、下一跳链接计数器NCC或{NH,NCC}对。
在一些实施例中,所述所属次级安全域的用户面密钥包括所述所属次级安全域的用户面的加解密密钥和数据完整性保护密钥。
在一些实施例中,基站控制面实体根据所述映射关系,通过基站控制面实体与各个基站用户面实体间的接口,向各个基站用户面实体发送第一承载配置消息;发送至主安全域的基站用户面实体的第一承载配置消息携带主安全域的用户面密钥,发送至所述所属次级安全域的基站用户面实体的第一承载配置消息分别携带所述所属次级安全域的用户面密钥。
在一些实施例中,第一承载配置消息还携带各个数据无线承载的承载标识、各个数据无线承载的服务质量配置信息、采用的加解密算法及完整性保护算法、分组数据汇聚协议PDCP计数值。
在一些实施例中,密钥分发方法还包括:基站用户面实体在支持加解密算法及完整性保护算法且支持配置至少一个数据无线承载的情况下,向基站控制面实体反馈配置成功消息;基站用户面实体在不支持加解密算法及完整性保护算法或不支持配置所有数据无线承载的情况下,向基站控制面实体反馈配置失败消息。
在一些实施例中,配置成功消息携带终端在基站控制面分配的编号、终端在基站用户面分配的编号、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的原因。
在一些实施例中,配置失败消息携带终端在基站控制面分配的编号、终端在基站用户面分配的编号、终端未成功配置数据无线承载的原因。
在一些实施例中,密钥分发方法还包括:基站用户面实体向基站控制面实体反馈配置成功消息之后,根据加解密算法、用户面密钥中的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据数据完整性保护算法、用户面密钥中的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
在一些实施例中,基站控制面实体向终端发送主安全域的控制面密钥、主安全域的用户面密钥及根密钥包括:基站控制面实体通过无线资源控制RRC连接重配置消息为终端配置不同数据无线承载所采用的密钥;其中,为配置到主安全域的控制面信令配置主安全域的控制面密钥,为配置到主安全域的数据无线承载配置主安全域的用户面密钥,为配置到所属次级安全域的数据无线承载配置根密钥。
在一些实施例中,为配置到所属次级安全域的数据无线承载配置根密钥包括:为配置到所属次级安全域的数据无线承载配置每个次级安全域所支持的数据无线承载列表、每个所属次级安全域中每个数据无线承载的服务质量配置信息、每个所属次级安全域的根密钥、PDCP计数值,以使终端根据PDCP计数值及每个所属次级安全域的根密钥生成每个所属次级安全域的加解密密钥和数据完整性保护密钥。
在一些实施例中,密钥分发方法还包括:基站用户面实体检测到终端的PDCP计数值达到预设门限值,或者,基站用户面实体检测到终端的承载建立信息发生变化;基站用户面实体通过接口向基站控制面实体发送密钥更新请求;基站控制面实体重新确定终端的各个承载业务所使用的基站用户面实体;在该用户面实体属于主安全域的情况下,基站控制面实体重新生成主安全域的用户面密钥,并将重新生成的主安全域的用户面密钥发送至该基站用户面实体及终端;在该用户面实体属于次级安全域的情况下,基站控制面实体重新生成该基站用户面所属次级安全域的根密钥,并将重新生成的该基站用户面所属次级安全域的根密钥发送至该基站用户面实体及终端。
在一些实施例中,预设门限值由操作维护中心或基站确定;密钥更新请求包括:终端在基站控制面分配的编号、终端在基站用户面分配的编号、需要更新的数据无线承载列表、请求密钥更新的原因。
在一些实施例中,基站控制面实体重新生成该基站用户面所属次级安全域的根密钥包括:基站控制面实体根据终端在基站控制面分配的编号、终端在基站用户面分配的编号确定需要更新密钥的终端;基站控制面实体根据需要更新的数据无线承载列表对终端在该基站用户面实体中的密钥参数进行更新,更新的密钥参数不与终端在基站控制面已经使用过的密钥参数重复,密钥参数为下一跳NH、下一跳链接计数器NCC或{NH,NCC}对;基站控制面实体根据基站用户面实体所属次级安全域的根密钥以及更新的密钥参数,生成该基站用户面实体所属次级安全域新的根密钥。
在一些实施例中,密钥分发方法还包括:基站控制面实体根据新的根密钥生成该基站用户面实体的更新的加解密密钥和数据完整性保护密钥,并将该基站用户面实体对应的PDCP计数值置零。
在一些实施例中,密钥分发方法还包括:基站控制面实体通过基站控制面实体与该基站用户面实体间的接口,向该基站用户面实体发送第二承载配置消息,第二承载配置消息携带各个数据无线承载的承载标识、各个数据无线承载的服务质量配置信息、更新的加解密密钥和数据完整性保护密钥、更新的加解密算法、更新的完整性保护算法、PDCP计数值。
在一些实施例中,密钥分发方法还包括:该基站用户面实体在支持更新的加解密算法及更新的完整性保护算法且支持配置至少一个数据无线承载的情况下,向基站控制面实体反馈配置成功消息;该基站用户面实体在不支持更新的加解密算法及更新的完整性保护算法或不支持配置所有数据无线承载的情况下,向基站控制面实体反馈配置失败消息。
在一些实施例中,密钥分发方法还包括:该基站用户面实体向基站控制面实体反馈配置成功消息之后,根据更新加解密算法、更新的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据更新的数据完整性保护算法、更新的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
在一些实施例中,密钥分发方法还包括:基站控制面实体通过RRC连接重配置消息为终端配置需要更新的数据无线承载所采用的次级安全域的根密钥。
在一些实施例中,为终端配置需要更新的数据无线承载所采用的次级安全域的根密钥包括:为需要更新的数据无线承载配置需要更新的次级安全域所支持的数据无线承载列表、需要更新的次级安全域中每个数据无线承载的服务质量配置信息、需要更新的次级安全域的根密钥、PDCP计数值。
根据本公开实施例的另一个方面,提供了一种密钥分发装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述的密钥分发方法。
根据本公开实施例的又一个方面,提供了一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现前述的密钥分发方法。
根据本公开实施例的再一个方面,提供了一种基站,包括前述的密钥分发装置。
本公开能够提升基站与终端传输数据过程的可靠性和安全性。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了5G基站中CU控制面实体和5G基站中CU控制面实体的示意图。
图2示出了相关5G技术中更新密钥所采用的方式。
图3示出了CU-UP部署在多个安全域场景的示意图。
图4示出了本公开一些实施例的密钥分发方法的流程示意图。
图5示出了本公开另一些实施例的密钥分发方法的流程示意图。
图6示出了本公开密钥分发方法的应用例的示意图。
图7示出了本公开一些实施例的密钥分发装置的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。
5G基站在CU(Central Unit,集中单元)和DU(Distributed Unit,分布式单元)分离的基础上,又提出了针对CU中控制面和用户面分离的方式。图1示出了5G基站中CU控制面实体(简称基站控制面实体)和5G基站中CU控制面实体(简称基站用户面实体)的示意图。如图1所示,在该基站架构中,DU负责RLC(Radio Link Control,无线链路控制)、MAC(MediumAccess Control,媒体访问控制)、PHY(Physical,物理)三层。CU-CP(Control Plane,控制平面)负责PDCP(Packet Data Convergence Protocol,分组数据汇聚协议)、RRC的控制面实例,而CU-UP(User Plane,用户平面)负责PDCP和SDAP(Service Data AdaptationProtocol,服务数据自适应协议)的用户面实例。这个部署方案提供了针对不同场景和性能中如何灵活将不同的无线接入网络功能分配到不同的地理位置中。
在相关的5G安全架构中,根据核心网提供密钥KgNB以及下一跳链接计数器NCC=0来计算控制面和用户面的完整性保护密钥和加解密密钥。图2示出了相关5G技术中更新密钥所采用的方式。如图2所示,使用目标小区的PCI(Physical Cell Identifier,物理小区标识)、下行链路频点号以及另一个参数来生成新密钥KgNB,5G基站保存有新的未使用的{HN,NCC}对时使用新的未使用的NH(即垂直衍生方式)作为另一个参数,5G基站没有未使用的{NH,NCC}对时使用当前的KgNB(即水平衍生方式)作为另一个参数。
在当前的规范中,接入层相关的安全密钥的计算和维护都是由CU-CP实体来完成的,并且在用户承载建立过程中,CU-CP实体需要把相关的密钥配置通过E1接口发送给CU-UP实体,CU-UP实体基于该密钥完成相应的PDCP实体的加密和/或完整性保护。针对独立部署场景中,目前CU-CP实体仅支持将一套密钥传递给CU-UP实体,并且假设所有的CU-CP实体都属于同一个安全域。
根据TR38.823,在R16阶段中针对基站侧CP和UP分离条件下,CU-UP部署在多个安全域场景中安全性问题开展了技术研究,目前针对安全相关的问题计划在R17开展相关研究工作。图3示出了CU-UP部署在多个安全域场景的示意图。如图3所示,基站侧的CU-UP实体采用了虚拟化的方式,其中部分UP分配了第三方(如互联网公司),这样就存在着基站部分网元实体属于多个安全域,考虑到分配给公网的密钥是不能以明文的方式发送给部署在另外一个安全域的设备实体,因此在当前标准中认为该场景需要进行进一步研究。
基于3GPP Rel-16中的安全性方案,在SA(Stand Alone,独立组网)场景中存在如下问题。
第一,网络侧无法支持超过2个以上的密钥配置。目前标准中在双连接场景中可以生成两组密钥,分别用于主连接和辅连接的加密和完整性保护,但是对于超过2个以上的密钥配置目前规范无法进行支持。从密钥设计上来看,目前无论是单连接还是双连接场景,用于任何一个节点的加密和完整性保护加密方案都来源于同一个基站控制面实体生成的密钥KNG-RAN,此外作为加密的PDCP Count计数值一般都默认从0开始,因此对于同一个传输节点采用相同的KNG-RAN必然导致密钥的重复,影响接入层的安全性保护。
第二,无法在非信任区域以明文发送密钥。目前协议中,控制面实体需要将密钥通过E1接口发送给用户面实体,若该用户面实体属于其他安全域,则不能采用和其他安全域相同的密钥。
第三,终端侧在SA场景中无法支持不同DRB(Data Radio Bearer,数据无线承载)配置不同密钥。目前协议中,在SA场景基站侧在空口仅支持一个密钥,且无法支持不同DRB配置独立密钥。
基于上述需求和原因分析,需要通过新的技术方案来满足网络部署和优化的需求。有鉴于此,本公开提供了在独立部署场景中的密钥分发方法以解决上述问题,该方法主要包括密钥生成和密钥更新两个部分。
在密钥生成部分中,基站控制面实体根据配置信息,将基站用户面实体划分为一个主安全域和多个次级安全域,并在此基础上确定用户承载业务与多个基站用户面实体间的配置关系。基站控制面实体基于主安全域密钥和每个次级安全域独有的配置参数作为密钥输入参数,为主安全域分别生成用于控制面密钥和用户面密钥,为多个次级安全域生成用户面密钥,这些用户面密钥用于分别生成对应用户面的加解密密钥和完整性保护密钥。基站控制面将上述密钥分别发送给使用该密钥的基站用户面实体,并将为用户配置的承载业务和对应的各密钥信息通过基站控制面发送给用户终端。基站用户面实体和用户终端均基于密钥配置完成数据收发过程,实现用户面数据和控制面信令的加解密和/或完整性保护。
在密钥生成部分中,当某个基站用户面实体检测到用户的PDCP计数值达到预配置门限或者用户配置发生变化时,通过控制面和用户面接口通知基站控制面实体进行密钥的更新。基站控制面实体根据该用户面实体所在的安全域配置信息,采用其他控制面实体和用户面实体未使用过的参数作为输入重新生成该基站用户面实体对应的密钥信息,并基于重新生成的密钥信息重新生成加解密密钥和完整性保护密钥。基站控制面实体将重新生成的密钥信息分别通知给用户终端和基站用户面实体。
首先结合图4描述本公开密钥分发方法的一些实施例,以介绍密钥生成部分。
图4示出了本公开一些实施例的密钥分发方法的流程示意图。如图4所示,本实施例包括步骤S401~步骤S405。
在步骤S401中,基站控制面实体确定各个基站用户面实体与各个安全域之间的映射关系,各个安全域包括一个主安全域及多个次级安全域。
在一些实施例中,基站控制面实体根据操作维护中心配置的第一预配置信息,确定各个基站用户面实体与各个安全域之间的映射关系,第一预配置信息包括各个基站用户面实体的位置和安全等级。在基站用户面实体的位置与控制面实体相同的情况下,确定基站用户面实体属于主安全域;在基站用户面实体的位置与控制面实体不同的情况下,确定基站用户面实体属于次级安全域;根据基站用户面实体的安全等级,确定基站用户面实体所属的次级安全域。
在步骤S402中,基站控制面实体确定终端的各个承载业务所使用的基站用户面实体。
在一些实施例中,基站控制面实体接收接入和移动性管理功能发送的终端的承载建立信息;基站控制面实体根据承载建立信息以及操作维护中心配置的第二预配置信息,确定各个承载业务所使用的基站用户面实体。
承载建立信息具体可以包括各个承载业务所需的承载类型,第二预配置信息包括承载类型与各个安全域之间的映射关系。基站控制面实体根据承载建立信息,确定各个承载业务所需的承载类型;根据第二预配置信息,确定各个承载业务对应的安全域;根据基站用户面实体与各个安全域之间的映射关系,确定各个承载业务所使用的基站用户面实体。第二预配置信息还可以根据基站算法来配置,其内容可以包括业务的QOS(Quality ofService,服务质量)信息和/或切片类型。
在步骤S403中,基站控制面实体根据核心网设备发送的密钥生成主安全域的控制面密钥、主安全域的用户面密钥、各个承载业务所使用的基站用户面实体所属次级安全域的根密钥,并根据根密钥生成所属次级安全域的用户面密钥。
其中,主安全域的控制面密钥包括主安全域的控制面的加解密密钥KRRCenc和数据完整性保护密钥KRRCint,主安全域的用户制面密钥包括主安全域的用户面的加解密密钥KUPenc和数据完整性保护密钥KUpint。所属次级安全域的用户面密钥包括所属次级安全域的用户面的加解密密钥KS-UPenc和数据完整性保护密钥KS-UPint
在一些实施例中,基站控制面根据核心网设备发送的密钥生成基站侧密钥KNG-RAN,根据基站侧密钥生成主安全域的控制面密钥KRRCenc、KRRCint,根据基站侧密钥生成主安全域的用户面密钥KUPenc、KUpint
在一些实施例中,基站控制面实体根据核心网设备发送的密钥生成基站侧密钥。若第一终端的部分承载业务需要配置到次级安全域所属的基站用户面实体中,基站控制面实体为每个所属次级安全域配置不同的密钥参数,密钥参数不与终端在基站控制面已经使用过的密钥参数重复。然后,基站控制面实体根据基站侧密钥KNG-RAN和每个所属次级安全域的密钥参数,分别生成每个所属次级安全域的根密钥Ks-NG-RAN。其中,密钥参数为NH(NextHop,下一跳)、NCC(Next Hopping Count,下一跳链接计数器)或{NH,NCC}对。
在步骤S404中,基站控制面实体根据映射关系,将主安全域的用户面密钥发送至主安全域的基站用户面实体,将所属次级安全域的用户面密钥分别发送至相应各个承载业务所使用的基站用户面实体。
在一些实施例中,基站控制面实体根据映射关系,通过基站控制面实体与各个基站用户面实体间的接口,向各个基站用户面实体发送第一承载配置消息。其中,发送至主安全域的基站用户面实体的第一承载配置消息携带主安全域的用户面密钥,发送至所属次级安全域的基站用户面实体的第一承载配置消息分别携带所属次级安全域的用户面密钥。第一承载配置消息还可以携带各个DRB(Data Radio Bearer,数据无线承载)的承载标识(核心网的承载编号)、各个数据无线承载的QOS配置信息、采用的加解密算法及完整性保护算法、分组数据汇聚协议PDCP计数值。其中,QOS配置信息包括QCI(QOS Class Identifier,QOS等级标识)等级以及GBR(Guaranteed Bit Rate,保证比特速率)/NGBR(Non GBR,非保证比特速率)的上下行速率限制;PDCP计数值是一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加解密密钥。
在步骤S405中,基站控制面实体向终端发送主安全域的控制面密钥、主安全域的用户面密钥及根密钥,以使终端根据根密钥生成所属次级安全域的用户面密钥。
上述实施例提出了一种应用在独立部署场景中的密钥分发方法,基于5G基站虚拟化时控制面和用户面分离的情况,能够在不同的基站用户面实体部署在不同安全域的情况下,保证不同安全域采用不同的接入层安全性密钥,支持两个以上数量的密钥且不同区域的密钥生成方式相互独立,从而保证了用户数据传输在不同区域传输的可靠性,减轻了密钥泄漏带来的负面影响,进而在多安全域场景中提升基站与终端传输数据过程的可靠性和安全性,方便运营商在后续部署中引入第三方设备时的安全性保护。
同时,上述实施例以现有安全性密钥框架为基础,设计了多套独立的密钥计算方法和发送方案,对终端和现有协议的改动较小,因此具有良好的后向兼容性和部署可行性。
在一些实施例中,密钥分发方法还包括步骤S4001~步骤S4002。
在步骤S4001中,基站控制面实体根据终端所支持的加密算法以及每个基站用户面实体所支持的加解密算法,确定每个基站用户面实体所采用的加解密算法。
在步骤S4002中,基站控制面实体根据终端所支持的完整性保护算法以及每个基站用户面实体所支持的完整性保护算法,确定每个基站用户面实体所采用的完整性保护算法。
例如,基站控制面实体根据核心网提供的终端对加解密算法和完整性保护算法的支持情况,结合每个基站用户面实体所支持的加解密算法列表和完整性保护算法列表,确定每个基站用户面实体在为用户传输数据或者信令时所采用的加解密和完整性保护算法。其中每个基站用户面实体所支持的加密算法列表相关信息可以基于网管来配置,也可以基于基站用户面实体通过接口给基站控制面实体提供的加密算法列表信息来配置。
在一些实施例中,密钥分发方法还包括步骤S406。
在步骤S406中,基站用户面实体在支持加解密算法及完整性保护算法且支持配置至少一个数据无线承载的情况下,向基站控制面实体反馈配置成功消息。基站用户面实体在不支持加解密算法及完整性保护算法或不支持配置所有数据无线承载的情况下,向基站控制面实体反馈配置失败消息。
其中,配置成功消息携带终端在基站控制面分配的编号、终端在基站用户面分配的编号、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的原因。配置失败消息携带终端在基站控制面分配的编号、终端在基站用户面分配的编号、终端未成功配置数据无线承载的原因。
在一些实施例中,密钥分发方法还包括步骤S407。
在步骤S407中,基站用户面实体向基站控制面实体反馈配置成功消息之后,根据加解密算法、用户面密钥中的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据数据完整性保护算法、用户面密钥中的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
在一些实施例中,在步骤S405中,基站控制面实体通过无线资源控制RRC连接重配置消息为终端配置不同数据无线承载所采用的密钥。
具体来说,为配置到主安全域的控制面信令配置主安全域的控制面密钥KNG-RAN,为配置到主安全域的数据无线承载配置主安全域的用户面密钥KUPenc和KUpint,为配置到所属次级安全域的数据无线承载配置根密钥KS-UPenc和KS-Upint。其中,为配置到所属次级安全域的数据无线承载配置根密钥包括:为配置到所属次级安全域的数据无线承载配置每个次级安全域所支持的数据无线承载列表(包括一个或多个数据无线承载标识)、每个所属次级安全域中每个数据无线承载的QOS配置信息、每个所属次级安全域的根密钥Ks-NG-RAN、PDCP计数值,以使终端根据PDCP计数值及每个所属次级安全域的根密钥Ks-NG-RAN生成每个所属次级安全域的加解密密钥KS-UPenc和数据完整性保护密钥KS-Upint
下面结合图5描述本公开密钥分发方法的另一些实施例,以介绍密钥更新部分。
图5示出了本公开另一些实施例的密钥分发方法的流程示意图。如图5所示,在图4对应的实施例基础上,本实施例中的密钥分发方法还包括步骤S508~步骤S512。
在步骤S508中,基站用户面实体检测到终端的某个DRB的PDCP计数值达到预设门限值,或者,基站用户面实体检测到终端的承载建立信息发生变化。
其中,预设门限值可以由操作维护中心或基站算法所确定。
在步骤S509中,基站用户面实体通过与基站控制面实体间的接口向基站控制面实体发送密钥更新请求。
其中,密钥更新请求包括:终端在基站控制面分配的编号、终端在基站用户面分配的编号、需要更新的数据无线承载列表、请求密钥更新的原因。
在步骤S510中,基站控制面实体重新确定终端的各个承载业务所使用的基站用户面实体。
在该用户面实体属于主安全域的情况下,执行步骤S511;在该用户面实体属于次级安全域的情况下,执行步骤S512。
在步骤S511中,基站控制面实体重新生成主安全域的用户面密钥,并将重新生成的主安全域的用户面密钥发送至该基站用户面实体及终端。
在步骤S512中,基站控制面实体重新生成该基站用户面所属次级安全域的根密钥,并将重新生成的该基站用户面所属次级安全域的根密钥发送至该基站用户面实体及终端。
步骤S512具体可以包括步骤S5151~步骤S5123。在步骤S5151中,基站控制面实体根据终端在基站控制面分配的编号、终端在基站用户面分配的编号确定需要更新密钥的终端。在步骤S5122中,基站控制面实体根据需要更新的数据无线承载列表对终端在该基站用户面实体中的密钥参数进行更新,更新的密钥参数不与终端在基站控制面已经使用过的密钥参数重复,密钥参数为下一跳NH、下一跳链接计数器NCC或{NH,NCC}对。例如,可以从主安全域和所有次级安全域都没有使用过的NCC中选择一个最小值。在步骤S5123中,基站控制面实体根据该基站用户面实体所属次级安全域的根密钥Ks-NG-RAN以及更新的密钥参数,生成该基站用户面实体所属次级安全域新的根密钥Ks-NG-RAN*
在一些实施例中,密钥分发方法还包括步骤S513。在步骤S513中,基站控制面实体根据新的根密钥生成该基站用户面实体的更新的加解密密钥和数据完整性保护密钥,并将该基站用户面实体对应的PDCP计数值置零。
在一些实施例中,密钥分发方法还包括步骤S514。在步骤S514中,基站控制面实体通过基站控制面实体与该基站用户面实体间的接口,向该基站用户面实体发送第二承载配置消息,用于指示各基站用户面实体完成对第一终端承载的配置。
其中,第二承载配置消息携带各个数据无线承载的承载标识、各个数据无线承载的服务质量配置信息、更新的加解密密钥和数据完整性保护密钥、更新的加解密算法、更新的完整性保护算法、PDCP计数值。
在一些实施例中,密钥分发方法还包括步骤S515~步骤S516。
该基站用户面实体接收到第二承载配置消息后,在支持更新的加解密算法及更新的完整性保护算法且支持配置至少一个数据无线承载的情况下,执行步骤S515。在步骤S515中,该基站用户面实体向基站控制面实体反馈配置成功消息。
该基站用户面实体接收到第二承载配置消息后,该基站用户面实体在不支持更新的加解密算法及更新的完整性保护算法或不支持配置所有数据无线承载的情况下,执行步骤S516。在步骤S516中,向基站控制面实体反馈配置失败消息。
在一些实施例中,密钥分发方法还包括步骤S517。在步骤S517中,该基站用户面实体向基站控制面实体反馈配置成功消息之后,根据更新加解密算法、更新的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据更新的数据完整性保护算法、更新的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
在一些实施例中,密钥分发方法还包括步骤S518。
在步骤S518中,基站控制面实体通过RRC连接重配置消息为终端配置需要更新的数据无线承载所采用的次级安全域的根密钥。
其中,为需要更新的数据无线承载配置需要更新的次级安全域所支持的数据无线承载列表、需要更新的次级安全域中每个数据无线承载的服务质量配置信息、需要更新的次级安全域的根密钥Ks-NG-RAN*、PDCP计数值(配置为0)。
终端在收到基站控制面实体发送的RRC连接重配消息后,对于需要更新的次级安全域的DRB分别用更新后的相应的Ks-NG-RAN*和PDCP计数值生成相应数据加解密密钥和完整性保护密钥。
下面结合图6介绍本公开密钥分发方法的几个具体的应用例。图6示出了本公开密钥分发方法的应用例的示意图。如图6所示,基站侧中有两个CU-UP分属不同的安全域,其中CU-UP1和控制面CU-CP属于同一个主安全域,而CU-UP2属于另外一个安全域。基站内部采用了CU-CP和CU-UP分离的架构,其中CU-CP和CU-UP之间通过E1接口进行连接。UE(UserEquipment,用户设备)刚接入网络,并且支持两个承载业务,一个是默认承载,主要完成普通数据业务的下载,另外一个配置了专用承载,主要承载视频类业务。
【应用例一】
本应用例主要描述承载在建立过程中,网络侧完成密钥的生成以及各个节点间的分发,并通知终端的过程。
(1)OMC(Operation and Maintenance Center,操作维护中心)向CU-CP配置了用户面的预配置信息,具体信息如下:CU-UP1和CU-CP位置相同,属于同一安全域,为主安全域;CU-UP2与CU-CP位置不相同,CU-UP2为次级安全域。
(2)CU-CP接收到AMF发送的UE的承载建立消息,消息中需要建立两个承载业务,CU-CP根据OMC的预配置信息确定需要承载类型1即数据下载业务配置到CU-UP1,需要把承载类型2即VR(Virtual Reality,虚拟现实)视频业务配置到CU-UP2。
(3)CU-CP根据CU-UP分别通过E1接口消息发送的CU-UP E1建立请求SetupRequest确定每个基站用户面实体所支持的加密算法列表,CU-UP1和CU-UP2均支持加密算法128-NEA1和完整性保护算法128-NIA1。
(4)CU-CP根据核心网发送的密钥生成基站的根密钥KNG-RAN,并基于该密钥确定用于主安全域控制面密钥KRRCenc,KRRCint和用户面密钥KUPenc和KUpint
(5)UE的视频业务需要配置到CU-UP2中,则CU-CP为该安全域独立配置一个NCC,该NCC值为2,该NCC数值不与该控制面已经使用过的NCC数值重复。
(6)对于UE所使用的每个次级安全域,CU-CP基于KNG-RAN和为该安全域分配的NH和/或NCC作为输入独立为其生成密钥Ks-NG-RAN
(7)CU-CP为UP2基于密钥Ks-NG-RAN生成用于用户面完整性和加密密钥KS-UPenc和KS-UPint
(8)CU-CP通过E1接口,分别将承载配置信息放置在承载上下文建立请求BEARERCONTEXT SETUP REQUEST消息中发送给CU-UP1和CU-UP2。承载配置消息具体可以包括:每个承载的标识(核心网的承载编号),每个承载的QOS配置(包括QCI等级,以及GBR/NGBR的上下行速率限制),完整性密钥,加密密钥,加密算法配置(128-NEA1),PDCP计数值(一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加密密钥)。
(9)CU-UP2收到承载配置消息,确认加密算法可以被CU-UP2支持且承载可以在该用户面被配置,则通过E1接口消息承载上下文建立响应BEARER CONTEXT SETUP RESPONSE向CU-CP确认密钥配置成功消息。
(10)CU-UP2实体在反馈配置成功消息后,基于加密算法和完整性密钥以及PDCP计数值,为用户数据传输时进行完整性保护,基于加密算法、加密密钥和PDCP计数值,为用户数据传输时进行加解密。
(11)CU-CP通过RRC连接重配消息为UE配置的不同承载所采用的密钥参数,配置消息中对于配置到主安全域的承载和控制面配置KRRCenc,、KRRCint和用户面密钥KUPenc、KUpint等密钥信息,对于视频承载采用如下安全配置信息,其中安全配置信息的内容包括:每个次级安全域所支持的DRB的列表(包括一个或者多个DRB标识)、每个次级安全域中每个DRB的QOS配置信息、每个次级安全域的Ks-NG-RAN、PDCP计数值(一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加密密钥)。
(12)UE在收到基站控制面发送的RRC连接重配消息后,对于RRC消息采用KRRCenc,和KRRCint作为加解密和完整性保护密钥,对于配置到主安全域的DRB采用KUPenc和KUpint作为数据加解密和完整性保护的密钥,对于配置到CU-UP2的DRB分别用相应的Ks-NG-RAN和PDCP计数值生成相应KS-UPenc和KS-Upint作为数据加解密和完整性保护的密钥。
【应用例二】
本应用例主要描述CU-UP2的承载发生了修改过程中,网络侧完成密钥的生成以及各个节点间的分发,并通知终端的过程。
(1)OMC向CU-CP配置了用户面的预配置信息,具体信息如下:UP1和CP位置相同,属于同一安全域,为主安全域;UP2与CP位置不相同,UP2为次级安全域。
(2)CU-CP接收到AMF发送的UE的承载建立消息,消息中需要建立两个承载业务,CU-CP根据OMC的预配置信息确定需要承载类型1即数据下载业务配置到UP1,需要把承载类型2即VR视频业务配置到UP2。
(3)UE的视频业务在后续的一段时间内,业务类型需要改变为另外一种视频业务,且同样需要配置到UP2中,则CU-CP为该安全域独立配置一个NCC,该NCC为4,该NCC数值不与该控制面已经使用过的NCC数值重复。
(4)对于UE所使用的每个次级安全域,CU-CP基于KNG-RAN和为该安全域分配的NH和/或NCC作为输入独立为其生成密钥Ks-NG-RAN
(5)CU-CP为UP2,基于密钥Ks-NG-RAN生成用于用户面完整性和加密密钥KS-UPenc和KS-UPint
(6)CU-CP通过E1接口,分别将承载配置信息放置在BEARER CONTEXT SETUPREQUEST消息中发送给UP2。承载配置消息包括:每个承载的标识(核心网的承载编号),每个承载的QOS配置(包括QCI等级,以及GBR/NGBR的上下行速率限制),完整性密钥,加密密钥,加密算法配置(128-NEA1),PDCP计数值(一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加密密钥)。
(7)CU-UP2收到承载配置消息,确认加密算法可以被CU-UP2支持且承载可以在该用户面被配置,则通过E1接口消息BEARER CONTEXT SETUP RESPONSE向CU-CP确认密钥配置成功消息。
(8)CU-UP2实体在反馈配置成功消息后,基于加密算法和完整性密钥以及PDCP计数值,为用户数据传输时进行完整性保护;基于加密算法、加密密钥和PDCP计数值,为用户数据传输时进行加解密。
(9)CU-CP通过RRC连接重配消息为UE配置的不同承载所采用的密钥参数,配置消息中对于配置到主安全域的承载和控制面配置KRRCenc、KRRCint和用户面密钥KUPenc、KUpint等密钥信息,对于视频承载采用如下安全配置信息,其中安全配置信息的内容包括:每个次级安全域所支持的DRB的列表(包括一个或者多个DRB标识)、每个次级安全域中每个DRB的QOS配置信息、每个次级安全域的Ks-NG-RAN、PDCP计数值(一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加密密钥)。
(10)UE在收到基站控制面发送的RRC连接重配消息后,对于RRC消息采用KRRCenc、KRRCint作为加解密和完整性保护密钥,对于配置到主安全域的DRB采用KUPenc、KUpint作为数据加解密和完整性保护的密钥,对于配置到CU-UP2的DRB分别用相应的Ks-NG-RAN和PDCP计数值生成相应KS-UPenc和KS-Upint作为数据加解密和完整性保护的密钥。
【应用例三】
本应用例主要描述CU-UP2的PDCP计数值达到了预设门限TH1,相关的密钥需要进行修改,网络侧完成密钥的生成以及各个节点间的分发,并通知终端的过程。
(1)OMC向CU-CP配置了用户面的预配置信息,具体信息如下:CU-UP1和CU-CP位置相同,属于同一安全域,为主安全域;CU-UP2与CU-CP位置不相同,CU-UP2为次级安全域。
(2)CU-CP接收到AMF(Access and Mobility Management Function,接入和移动管理功能)发送的UE的承载建立消息,承载建立消息中需要建立两个承载业务,CU-CP根据OMC的预配置信息确定需要承载类型1即数据下载业务配置到UP1,需要把承载类型2即VR视频业务配置到UP2。
(3)CU-UP2检测到第一终端的DRB 2的PDCP计数值超过TH1后,通过E1接口将密钥更新请求发送给CU-CP。更新请求消息包括:第一终端在控制面侧的标识(例如1033)、第一终端在用户面侧的标识(例如10022)、需要更新密钥的DRB标识列表(例如DRB2)。
(4)CU-CP收到CU-UP2发送的密钥更新请求,CU-CP根据UE在控制面侧和用户面侧的标识确定需要更新的终端,根据需要更新密钥的DRB列表,对于终端在该用户面实体中NCC进行更新,NCC采用主安全域和所有次级安全域都没有使用过的NCC中选择一个最小值6,基于该NCC值和Ks-NG-RAN,为该用户面实体生成新的根密钥值Ks-NG-RAN*
(5)CU-CP根据新计算后的密钥Ks-NG-RAN以及PDCP计数值按照数值0,为CU-UP2生成PDCP计数值生成相应KS-UPenc和KS-Upint作为数据加解密和完整性保护的密钥。
(6)CU-CP通过E1接口,将承载配置信息发送给CU-UP2用于指示各用户面实体完成对UE的承载DRB2配置。
(7)CU-UP2收到承载配置消息,确认加密算法可以被该用户面实体支持且至少有一个承载可以在该用户面被配置,则通过与CU-CP的接口向CU-CP确认密钥配置成功消息,否则反馈配置失败消息。
(8)CU-UP2在反馈配置成功消息后,基于更新后的加密算法和完整性密钥以及PDCP计数值,为用户数据传输时进行完整性保护,基于更新后的加密算法、加密密钥和PDCP计数值,为用户数据传输时进行加解密。
(9)CU-CP通过RRC连接重配消息为UE配置需要更新的承载所采用的密钥参数,具体包括:需要更新的次级安全域所支持的DRB的列表(DRB2)、需要更新的次级安全域中每个DRB的QOS配置信息、需要更新的次级安全域的Ks-NG-RAN、PDCP计数值(配置为0)。
(10)UE在收到基站控制面发送的RRC连接重配消息后,对于DRB2分别用更新后的相应的Ks-NG-RAN和PDCP计数值生成相应KS-UPenc和KS-Upint作为数据加解密和完整性保护的密钥。
下面结合图7描述本公开密钥分发装置的一些实施例。
图7示出了本公开一些实施例的密钥分发装置的结构示意图。如图7所示,该实施例的密钥分发装置70包括:存储器710以及耦接至该存储器710的处理器720,处理器720被配置为基于存储在存储器710中的指令,执行前述任意一些实施例中的密钥分发方法。
其中,存储器710例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
密钥分发装置70还可以包括输入输出接口730、网络接口740、存储接口750等。这些接口730、740、750以及存储器710和处理器720之间例如可以通过总线760连接。其中,输入输出接口730为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口740为各种联网设备提供连接接口。存储接口750为SD卡、U盘等外置存储设备提供连接接口。
本公开还包括一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现前述任意一些实施例中的密钥分发方法。
本公开还提供了一种基站,包括前述的密钥分发装置70。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (29)

1.一种密钥分发方法,包括:
基站控制面实体确定各个基站用户面实体与各个安全域之间的映射关系,所述各个安全域包括一个主安全域及多个次级安全域;
基站控制面实体确定终端的各个承载业务所使用的基站用户面实体;
基站控制面实体根据核心网设备发送的密钥生成主安全域的控制面密钥、主安全域的用户面密钥、所述各个承载业务所使用的基站用户面实体所属次级安全域的根密钥,并根据所述根密钥生成所述所属次级安全域的用户面密钥,其中,基站控制面实体根据核心网设备发送的密钥生成所述各个承载业务所使用的基站用户面实体所属次级安全域的根密钥包括
基站控制面实体根据核心网设备发送的密钥生成基站侧密钥;
基站控制面实体为所述所属次级安全域配置不同的密钥参数,所述密钥参数不与终端在基站控制面已经使用过的密钥参数重复;
基站控制面实体根据基站侧密钥和所述所属次级安全域的密钥参数,分别生成所述所属次级安全域的根密钥;
基站控制面实体根据所述映射关系,将主安全域的用户面密钥发送至主安全域的基站用户面实体,将所述所属次级安全域的用户面密钥分别发送至相应所述各个承载业务所使用的基站用户面实体;
基站控制面实体向终端发送主安全域的控制面密钥、主安全域的用户面密钥及所述根密钥,以使终端根据所述根密钥生成所述所属次级安全域的用户面密钥。
2.根据权利要求1所述的密钥分发方法,其中,所述基站控制面实体确定各个基站用户面实体与各个安全域之间的映射关系包括:
基站控制面实体根据操作维护中心配置的第一预配置信息,确定各个基站用户面实体与各个安全域之间的映射关系,第一预配置信息包括各个基站用户面实体的位置和安全等级。
3.根据权利要求2所述的密钥分发方法,其中,所述根据操作维护中心配置的第一预配置信息,确定各个基站用户面实体与各个安全域之间的映射关系包括:
在基站用户面实体的位置与控制面实体相同的情况下,确定基站用户面实体属于主安全域;
在基站用户面实体的位置与控制面实体不同的情况下,确定基站用户面实体属于次级安全域;
根据基站用户面实体的安全等级,确定基站用户面实体所属的次级安全域。
4.根据权利要求2所述的密钥分发方法,其中,所述基站控制面实体确定终端的各个承载业务所使用的基站用户面实体包括:
基站控制面实体接收接入和移动性管理功能发送的终端的承载建立信息;
基站控制面实体根据所述承载建立信息以及操作维护中心配置的第二预配置信息,确定所述各个承载业务所使用的基站用户面实体。
5.根据权利要求4所述的密钥分发方法,其中,所述承载建立信息包括所述各个承载业务所需的承载类型,所述第二预配置信息包括承载类型与各个安全域之间的映射关系;
所述根据所述承载建立信息以及操作维护中心配置的第二预配置信息,确定所述各个承载业务所使用的基站用户面实体包括:根据所述承载建立信息,确定所述各个承载业务所需的承载类型;根据所述第二预配置信息,确定所述各个承载业务对应的安全域;根据所述基站用户面实体与各个安全域之间的映射关系,确定所述各个承载业务所使用的基站用户面实体。
6.根据权利要求1所述的密钥分发方法,还包括:
基站控制面实体根据终端所支持的加密算法以及每个基站用户面实体所支持的加解密算法,确定每个基站用户面实体所采用的加解密算法;
基站控制面实体根据终端所支持的完整性保护算法以及每个基站用户面实体所支持的完整性保护算法,确定每个基站用户面实体所采用的完整性保护算法。
7.根据权利要求1所述的密钥分发方法,其中,所述根据核心网设备发送的密钥生成主安全域的控制面密钥、主安全域的用户面密钥包括:
根据核心网设备发送的密钥生成基站侧密钥;
根据基站侧密钥生成主安全域的控制面密钥,主安全域的控制面密钥包括主安全域的控制面的加解密密钥和数据完整性保护密钥;
根据基站侧密钥生成主安全域的用户面密钥,主安全域的用户制面密钥包括主安全域的用户面的加解密密钥和数据完整性保护密钥。
8.根据权利要求1所述的密钥分发方法,其中,所述密钥参数为下一跳NH、下一跳链接计数器NCC或{NH,NCC}对。
9.根据权利要求1所述的密钥分发方法,其中,所述所属次级安全域的用户面密钥包括所述所属次级安全域的用户面的加解密密钥和数据完整性保护密钥。
10.根据权利要求1所述的密钥分发方法,其中,基站控制面实体根据所述映射关系,通过基站控制面实体与各个基站用户面实体间的接口,向各个基站用户面实体发送第一承载配置消息;发送至主安全域的基站用户面实体的第一承载配置消息携带主安全域的用户面密钥,发送至所述所属次级安全域的基站用户面实体的第一承载配置消息分别携带所述所属次级安全域的用户面密钥。
11.根据权利要求10所述的密钥分发方法,其中,所述第一承载配置消息还携带各个数据无线承载的承载标识、各个数据无线承载的服务质量配置信息、采用的加解密算法及完整性保护算法、分组数据汇聚协议PDCP计数值。
12.根据权利要求11所述的密钥分发方法,还包括:
基站用户面实体在支持所述加解密算法及完整性保护算法且支持配置至少一个数据无线承载的情况下,向基站控制面实体反馈配置成功消息;
基站用户面实体在不支持所述加解密算法及完整性保护算法或不支持配置所有数据无线承载的情况下,向基站控制面实体反馈配置失败消息。
13.根据权利要求12所述的密钥分发方法,其中,所述配置成功消息携带终端在基站控制面分配的编号、终端在基站用户面分配的编号、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的原因。
14.根据权利要求12所述的密钥分发方法,其中,所述配置失败消息携带终端在基站控制面分配的编号、终端在基站用户面分配的编号、终端未成功配置数据无线承载的原因。
15.根据权利要求12所述的密钥分发方法,还包括:
基站用户面实体向基站控制面实体反馈配置成功消息之后,根据加解密算法、用户面密钥中的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据数据完整性保护算法、用户面密钥中的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
16.根据权利要求1所述的密钥分发方法,其中,所述基站控制面实体向终端发送主安全域的控制面密钥、主安全域的用户面密钥及所述根密钥包括:
基站控制面实体通过无线资源控制RRC连接重配置消息为终端配置不同数据无线承载所采用的密钥;其中,为配置到主安全域的控制面信令配置主安全域的控制面密钥,为配置到主安全域的数据无线承载配置主安全域的用户面密钥,为配置到所述所属次级安全域的数据无线承载配置所述根密钥。
17.根据权利要求16所述的密钥分发方法,其中,所述为配置到所述所属次级安全域的数据无线承载配置所述根密钥包括:
为配置到所述所属次级安全域的数据无线承载配置每个次级安全域所支持的数据无线承载列表、每个所述所属次级安全域中每个数据无线承载的服务质量配置信息、每个所述所属次级安全域的根密钥、PDCP计数值,以使终端根据PDCP计数值及每个所述所属次级安全域的根密钥生成每个所述所属次级安全域的加解密密钥和数据完整性保护密钥。
18.根据权利要求11所述的密钥分发方法,还包括:
基站用户面实体检测到终端的PDCP计数值达到预设门限值,或者,基站用户面实体检测到终端的承载建立信息发生变化;
基站用户面实体通过所述接口向基站控制面实体发送密钥更新请求;
基站控制面实体重新确定终端的各个承载业务所使用的基站用户面实体;
在该用户面实体属于主安全域的情况下,基站控制面实体重新生成主安全域的用户面密钥,并将重新生成的主安全域的用户面密钥发送至该基站用户面实体及终端;
在该用户面实体属于次级安全域的情况下,基站控制面实体重新生成该基站用户面所属次级安全域的根密钥,并将重新生成的该基站用户面所属次级安全域的根密钥发送至该基站用户面实体及终端。
19.根据权利要求18所述的密钥分发方法,其中,所述预设门限值由操作维护中心或基站确定;所述密钥更新请求包括:终端在基站控制面分配的编号、终端在基站用户面分配的编号、需要更新的数据无线承载列表、请求密钥更新的原因。
20.根据权利要求19所述的密钥分发方法,其中,所述基站控制面实体重新生成该基站用户面所属次级安全域的根密钥包括:
基站控制面实体根据终端在基站控制面分配的编号、终端在基站用户面分配的编号确定需要更新密钥的终端;
基站控制面实体根据需要更新的数据无线承载列表对终端在该基站用户面实体中的密钥参数进行更新,更新的密钥参数不与终端在基站控制面已经使用过的密钥参数重复,所述密钥参数为下一跳NH、下一跳链接计数器NCC或{NH,NCC}对;
基站控制面实体根据基站用户面实体所属次级安全域的根密钥以及更新的密钥参数,生成该基站用户面实体所属次级安全域新的根密钥。
21.根据权利要求20所述的密钥分发方法,还包括:
基站控制面实体根据所述新的根密钥生成该基站用户面实体的更新的加解密密钥和数据完整性保护密钥,并将该基站用户面实体对应的PDCP计数值置零。
22.根据权利要求21所述的密钥分发方法,还包括:
基站控制面实体通过基站控制面实体与该基站用户面实体间的接口,向该基站用户面实体发送第二承载配置消息,所述第二承载配置消息携带各个数据无线承载的承载标识、各个数据无线承载的服务质量配置信息、更新的加解密密钥和数据完整性保护密钥、更新的加解密算法、更新的完整性保护算法、PDCP计数值。
23.根据权利要求22所述的密钥分发方法,还包括:
该基站用户面实体在支持更新的加解密算法及更新的完整性保护算法且支持配置至少一个数据无线承载的情况下,向基站控制面实体反馈配置成功消息;
该基站用户面实体在不支持更新的加解密算法及更新的完整性保护算法或不支持配置所有数据无线承载的情况下,向基站控制面实体反馈配置失败消息。
24.根据权利要求23所述的密钥分发方法,还包括:
该基站用户面实体向基站控制面实体反馈配置成功消息之后,根据更新加解密算法、更新的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据更新的数据完整性保护算法、更新的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
25.根据权利要求18所述的密钥分发方法,还包括:
基站控制面实体通过RRC连接重配置消息为终端配置需要更新的数据无线承载所采用的次级安全域的根密钥。
26.根据权利要求25所述的密钥分发方法,其中,所述为终端配置需要更新的数据无线承载所采用的次级安全域的根密钥包括:
为需要更新的数据无线承载配置需要更新的次级安全域所支持的数据无线承载列表、需要更新的次级安全域中每个数据无线承载的服务质量配置信息、需要更新的次级安全域的根密钥、PDCP计数值。
27.一种密钥分发装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至26中任一项所述的密钥分发方法。
28.一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1至26中任一项所述的密钥分发方法。
29.一种基站,包括如权利要求27所述的密钥分发装置。
CN202010484297.9A 2020-06-01 2020-06-01 密钥分发方法、装置、计算机可读存储介质及基站 Active CN113766497B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010484297.9A CN113766497B (zh) 2020-06-01 2020-06-01 密钥分发方法、装置、计算机可读存储介质及基站

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010484297.9A CN113766497B (zh) 2020-06-01 2020-06-01 密钥分发方法、装置、计算机可读存储介质及基站

Publications (2)

Publication Number Publication Date
CN113766497A CN113766497A (zh) 2021-12-07
CN113766497B true CN113766497B (zh) 2023-03-21

Family

ID=78782489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010484297.9A Active CN113766497B (zh) 2020-06-01 2020-06-01 密钥分发方法、装置、计算机可读存储介质及基站

Country Status (1)

Country Link
CN (1) CN113766497B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101938354A (zh) * 2010-09-02 2011-01-05 武汉天喻信息产业股份有限公司 一种基于模幂运算的密钥分发方法及其应用
CN104852891A (zh) * 2014-02-19 2015-08-19 华为技术有限公司 一种密钥生成的方法、设备及系统
CN109586900A (zh) * 2017-09-29 2019-04-05 华为技术有限公司 数据安全处理方法及装置
CN109845300A (zh) * 2017-06-17 2019-06-04 Lg 电子株式会社 无线通信系统中支持用于cu-cp和cu-up的分离的安全性的方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10164953B2 (en) * 2014-10-06 2018-12-25 Stmicroelectronics, Inc. Client accessible secure area in a mobile device security module

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101938354A (zh) * 2010-09-02 2011-01-05 武汉天喻信息产业股份有限公司 一种基于模幂运算的密钥分发方法及其应用
CN104852891A (zh) * 2014-02-19 2015-08-19 华为技术有限公司 一种密钥生成的方法、设备及系统
CN109845300A (zh) * 2017-06-17 2019-06-04 Lg 电子株式会社 无线通信系统中支持用于cu-cp和cu-up的分离的安全性的方法和装置
CN109586900A (zh) * 2017-09-29 2019-04-05 华为技术有限公司 数据安全处理方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"TR38.823 v1.0.0 Study on Enhancement for Disaggregated gNB";The 3rd Generation Partnership Project;《3GPP specs\archive》;20200115;全文 *
S3-200040 "Discussion on the Support of Multi-CU-UP connectivity in Rel-17";China Telecommunications;《3GPP tsg_sa\wg3_security》;20200123;全文 *

Also Published As

Publication number Publication date
CN113766497A (zh) 2021-12-07

Similar Documents

Publication Publication Date Title
CN108810884B (zh) 密钥配置方法、装置以及系统
KR102144303B1 (ko) 키 구성 방법, 보안 정책 결정 방법 및 장치
CN108347410B (zh) 安全实现方法、设备以及系统
JP4397818B2 (ja) モバイル通信システムにおける保安メッセージを処理する方法
US9060270B2 (en) Method and device for establishing a security mechanism for an air interface link
CN110891269B (zh) 一种数据保护方法、设备及系统
WO2019062920A1 (zh) 数据安全处理方法及装置
CN108923918B (zh) 用户设备和通信方法
WO2019004929A2 (zh) 网络切片分配方法、设备及系统
JP2006514466A5 (zh)
US9736125B2 (en) Method and device for generating access stratum key in communications system
KR20200003108A (ko) 키 생성 방법, 사용자 장비, 장치, 컴퓨터 판독가능 저장 매체, 및 통신 시스템
CN112087754A (zh) 动态提供在中继设备中用于认证的密钥的方法
EP2648437B1 (en) Method, apparatus and system for key generation
CN109391939B (zh) 密钥、参数发送方法及装置、用户面实体、控制面实体
TW202142011A (zh) 一種防止加密用戶識別符被重播攻擊的方法
CN106797560B (zh) 用于配置安全参数的方法、服务器、基站和通信系统
CN113766497B (zh) 密钥分发方法、装置、计算机可读存储介质及基站
CN113766498B (zh) 密钥分发方法、装置、计算机可读存储介质及基站
CN107295015B (zh) 一种交通信号机通信方法
CN112654043A (zh) 注册方法及装置
JP2023539131A (ja) セキュリティモードの構成方法、装置、およびシステム、並びにコンピュータ可読記憶媒体
NZ755869B2 (en) Security implementation method, device and system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant