CN113766498B - 密钥分发方法、装置、计算机可读存储介质及基站 - Google Patents
密钥分发方法、装置、计算机可读存储介质及基站 Download PDFInfo
- Publication number
- CN113766498B CN113766498B CN202010484743.6A CN202010484743A CN113766498B CN 113766498 B CN113766498 B CN 113766498B CN 202010484743 A CN202010484743 A CN 202010484743A CN 113766498 B CN113766498 B CN 113766498B
- Authority
- CN
- China
- Prior art keywords
- base station
- key
- security domain
- user plane
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了一种密钥分发方法、装置、计算机可读存储介质及基站,涉及无线通信领域。密钥分发方法包括:第一基站从第二基站接收安全域配置信息;第一基站确定分流至第二基站的各个安全域的数据无线承载;第一基站向第二基站发送承载密钥信息,承载密钥信息包括数据无线承载的承载信息以及各个安全域的根密钥;第一基站从第二基站接收承载分流配置完成信息,承载分流配置完成信息包括数据无线承载对应的第二基站的各个用户面实体所属安全域的根密钥,各个用户面实体是第二基站根据承载信息确定的;第一基站将第一基站的密钥以及各个用户面实体所属安全域的根密钥发送至终端。本公开提升了基站与终端传输数据过程的可靠性和安全性。
Description
技术领域
本公开涉及无线通信领域,特别涉及一种密钥分发方法、装置、计算机可读存储介质及基站。
背景技术
5G通信网络的安全机制是在4G通信网络的安全机制基础之上,建立以用户为中心的、满足服务化安全需求的安全体系架构。5G通信网络的安全机制能够为用户空口接入提供统一的认证机制,为用户与网络之间的空口所传输的信令和用户数据提供机密性、完整性和抗重放保护,并能够提供用户身份隐私的保护、密钥的协商、安全保护同步等机制,从而确保5G通信网络能够防范未授权用户访问、中间人攻击、用户身份及隐私窃取、假冒服务网络以及拒绝服务攻击等等。
5G通信网络提供了用户面的完整性保护。在5G基站的功能设计上支持终端和5G基站之间的用户数据的完整性保护功能,5G基站会根据SMF(Session Management Function,会话管理功能)发送的安全策略决定是否激活用户数据的完整性保护,具体的安全策略的配置通过RRC(Radio Resource Control,无线资源控制)重配置过程执行。
发明内容
本公开解决的一个技术问题是,如何提升基站与终端传输数据过程的可靠性和安全性。
根据本公开实施例的一个方面,提供了一种密钥分发方法,包括:第一基站从第二基站接收安全域配置信息;第一基站根据安全域配置信息确定分流至第二基站的各个安全域的数据无线承载,各个安全域包括一个主安全域及多个次级安全域;第一基站向第二基站发送承载密钥信息,承载密钥信息包括数据无线承载的承载信息以及各个安全域的根密钥;第一基站从第二基站接收承载分流配置完成信息,承载分流配置完成信息包括数据无线承载对应的第二基站的各个用户面实体所属安全域的根密钥,各个用户面实体是第二基站根据承载信息确定的;第一基站将第一基站的密钥以及各个用户面实体所属安全域的根密钥发送至终端,以使终端根据各个用户面实体所属安全域的根密钥生成相应的各个用户面实体的用户面密钥。
在一些实施例中,密钥分发方法还包括:第二基站的控制面实体根据承载信息确定数据无线承载对应的第二基站的各个用户面实体,并根据各个用户面实体所属安全域的根密钥生成各个用户面实体的用户面密钥;第二基站的控制面实体将各个用户面实体的用户面密钥发送至相应的各个用户面实体。
在一些实施例中,第一基站在第二基站与第一基站建立基站间接口时,通过基站间接口从第二基站接收安全域配置信息,安全域配置信息包括主安全域及各个次级安全域所承载的业务类型、主安全域及各个次级安全域所支持的安全算法列表。
在一些实施例中,第一基站根据安全域配置信息确定分流至第二基站的各个安全域的数据无线承载包括:第一基站接收移动管理实体发送的终端的承载建立消息,承载建立消息携带终端的业务类型;第一基站根据安全域配置信息、终端的业务类型以及终端支持的安全算法,确定分流至第二基站的数据无线承载;第一基站根据安全域配置信息以及终端支持的安全算法,从分流至第二基站的数据无线承载中,确定分流至第二基站的各个安全域的数据无线承载。
在一些实施例中,第一基站根据安全域配置信息、终端的业务类型以及终端支持的安全算法,确定分流至第二基站的数据无线承载包括:若主安全域及各个次级安全域所承载的业务类型与终端的业务类型相匹配,且主安全域及各个次级安全域所支持的安全算法列表与终端支持的安全算法相匹配,则第一基站将数据无线承载分流至第二基站;否则,第一基站将数据无线承载分流至第一基站。
在一些实施例中,第一基站根据安全域配置信息以及终端支持的安全算法,从分流至第二基站的数据无线承载中,确定分流至第二基站的各个安全域的数据无线承载包括:若次级安全域所承载的业务类型与终端的业务类型相匹配,且次级安全域所支持的安全算法列表与终端支持的安全算法相匹配,则第一基站将数据无线承载分流至第二基站的次级安全域;否则,第一基站将数据无线承载分流至第二基站的主安全域。
在一些实施例中,密钥分发方法还包括:第一基站根据核心网设备发送的密钥生成基站侧密钥;第一基站根据基站侧密钥生成第一基站的密钥,第一基站的密钥包括第一基站的加解密密钥和数据完整性保护密钥;第一基站根据基站侧密钥生成第二基站的各个安全域的根密钥。
在一些实施例中,第一基站根据基站侧密钥生成第二基站的各个安全域的根密钥包括:第一基站为各个安全域配置不同的密钥参数,密钥参数不与终端在第一基站或第二基站已经使用过的密钥参数重复;第一基站根据基站侧密钥和各个安全域的密钥参数,生成各个安全域的根密钥。
在一些实施例中,其中,密钥参数为下一跳NH、下一跳链接计数器NCC或{NH,NCC}对。
在一些实施例中,第一基站通过基站间接口向第二基站发送辅基站添加请求消息,辅基站添加请求消息携带承载密钥信息。
在一些实施例中,辅基站添加请求消息还携带配置到主安全域的业务列表及根密钥、配置到各个次级安全域的业务列表和根密钥;其中,业务列表中的每个业务包括服务质量信息和数据无线承载标识。
在一些实施例中,各个用户面实体的用户面密钥包括各个用户面实体的加解密密钥和数据完整性保护密钥。
在一些实施例中,第二基站的控制面实体将各个用户面实体的用户面密钥发送至相应的各个用户面实体包括:第二基站的控制面实体通过与第二基站的各个用户面实体间的接口,向各个用户面实体发送承载配置消息,发送至主安全域的用户面实体的承载配置消息携带主安全域的用户面实体的用户面密钥,发送至次级安全域的用户面实体的承载配置消息携带相应次级安全域的用户面实体的用户面密钥。
在一些实施例中,承载配置消息还携带各个数据无线承载的承载标识、各个数据无线承载的服务质量配置信息、采用的加解密算法及完整性保护算法、分组数据汇聚协议PDCP计数值。
在一些实施例中,密钥分发方法还包括:第二基站的用户面实体在支持加解密算法及完整性保护算法且支持配置至少一个数据无线承载的情况下,向第二基站的控制面实体反馈配置成功消息;第二基站的用户面实体在不支持加解密算法及完整性保护算法或不支持配置所有数据无线承载的情况下,向第二基站的控制面实体反馈配置失败消息。
在一些实施例中,配置成功消息携带终端在第二基站的控制面分配的编号、终端在第二基站的用户面分配的编号、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的原因。
在一些实施例中,配置失败消息携带终端在第二基站的控制面分配的编号、终端在第二基站的用户面分配的编号、终端未成功配置数据无线承载的原因。
在一些实施例中,密钥分发方法还包括:第二基站的用户面实体向第二基站的控制面实体反馈配置成功消息之后,根据加解密算法、用户面密钥中的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据数据完整性保护算法、用户面密钥中的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
在一些实施例中,第一基站从第二基站接收承载分流配置完成信息包括:第二基站的控制面实体收到各个用户面实体反馈的配置成功消息或配置失败消息后,通过基站间接口向第一基站反馈承载分流配置完成信息;分流配置完成消息还携带终端在第一基站分配的标识、终端在第二基站分配的标识、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识。
在一些实施例中,第一基站将第一基站的密钥以及各个用户面实体所属安全域的根密钥发送至终端包括:第一基站收到承载分流配置完成信息后,通过无线资源控制RRC连接重配置消息为终端配置不同数据无线承载所采用的密钥;其中,为配置到第一基站的控制面信令配置第一基站的密钥,为配置到第二基站的各个安全域的数据无线承载配置各个安全域的根密钥。
在一些实施例中,为配置到第二基站的各个安全域的数据无线承载配置各个安全域的根密钥包括:为配置到各个安全域的数据无线承载配置每个安全域所支持的数据无线承载列表、每个安全域中每个数据无线承载的服务质量配置信息、每个安全域的根密钥、PDCP计数值,以使终端根据PDCP计数值及每个安全域的根密钥生成每个安全域的用户面实体的加解密密钥和数据完整性保护密钥。
根据本公开实施例的另一个方面,提供了一种密钥分发装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述的密钥分发方法。
根据本公开实施例的又一个方面,提供了一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现前述的密钥分发方法。
根据本公开实施例的再一个方面,提供了一种基站,包括前述的密钥分发装置。
本公开能够提升基站与终端传输数据过程的可靠性和安全性。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了5G基站中CU控制面实体和5G基站中CU控制面实体的示意图。
图2示出了相关5G技术中更新密钥所采用的方式。
图3示出了CU-UP部署在多个安全域场景的示意图。
图4示出了LTE基站向NR基站发送密钥的示意图
图5示出了本公开一些实施例的密钥分发方法的流程示意图。
图6示出了本公开一些实施例的密钥分发装置的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。
5G基站在CU(Central Unit,集中单元)和DU(Distributed Unit,分布式单元)分离的基础上,又提出了针对CU中控制面和用户面分离的方式。图1示出了5G基站中CU控制面实体(简称基站控制面实体)和5G基站中CU控制面实体(简称基站用户面实体)的示意图。如图1所示,在该基站架构中,DU负责RLC(Radio Link Control,无线链路控制)、MAC(MediumAccess Control,媒体访问控制)、PHY(Physical,物理)三层。CU-CP(Control Plane,控制平面)负责PDCP(Packet Data Convergence Protocol,分组数据汇聚协议)、RRC的控制面实例,而CU-UP(User Plane,用户平面)负责PDCP和SDAP(Service Data AdaptationProtocol,服务数据自适应协议)的用户面实例。这个部署方案提供了针对不同场景和性能中如何灵活将不同的无线接入网络功能分配到不同的地理位置中。
在相关的5G安全架构中,根据核心网提供密钥KgNB以及下一跳链接计数器NCC=0来计算控制面和用户面的完整性保护密钥和加解密密钥。图2示出了相关5G技术中更新密钥所采用的方式。如图2所示,使用目标小区的PCI(Physical Cell Identifier,物理小区标识)、下行链路频点号以及另一个参数来生成新密钥KgNB,5G基站保存有新的未使用的{HN,NCC}对时使用新的未使用的NH(即垂直衍生方式)作为另一个参数,5G基站没有未使用的{NH,NCC}对时使用当前的KgNB(即水平衍生方式)作为另一个参数。
在当前的规范中,接入层相关的安全密钥的计算和维护都是由CU-CP实体来完成的,并且在用户承载建立过程中,CU-CP实体需要把相关的密钥配置通过E1接口发送给CU-UP实体,CU-UP实体基于该密钥完成相应的PDCP实体的加密和/或完整性保护。针对独立部署场景中,目前CU-CP实体仅支持将一套密钥传递给CU-UP实体,并且假设所有的CU-CP实体都属于同一个安全域。
根据TR38.823,在R16阶段中针对基站侧CP和UP分离条件下,CU-UP部署在多个安全域场景中安全性问题开展了技术研究,目前针对安全相关的问题计划在R17开展相关研究工作。图3示出了CU-UP部署在多个安全域场景的示意图。如图3所示,基站侧的CU-UP实体采用了虚拟化的方式,其中部分UP分配了第三方(如互联网公司),这样就存在着基站部分网元实体属于多个安全域,考虑到分配给公网的密钥是不能以明文的方式发送给部署在另外一个安全域的设备实体,因此在当前标准中认为该场景需要进行进一步研究。
在目前的NSA(Non-Stand Alone,非独立组网)场景中,NR(New Radio,新空口)基站的密钥由LTE(Long Term Evolution,长期演进)基站来进行维护。LTE基站在计算完成NR基站的密钥后,通过基站间接口(X2接口)发送给NR基站。图4示出了LTE基站向NR基站发送密钥的示意图。如图4所示,LTE基站MeNB向NR基站en-gNB发送辅基站添加请求SgNBaddition request消息,该消息中携带密钥。随后,NR基站向LTE基站返回辅基站添加请求确认SgNB addition request acknowledge消息。目前X2接口不支持对于不同DRB(DataRadio Bearer,数据无线承载)区分不同的密钥,且仅支持一个密钥和安全算法的发送。
基于3GPP Rel-16中的安全性方案,在NSA场景中存在如下问题。
第一,SCG(Secondary Cell Group,辅小区群组)部分无法支持超过2个以上的密钥配置。目前标准中在双连接场景中可以生成两组密钥,分别用于主连接和辅连接的加密和完整性保护,但是目前规范无法支持SCG超过2个以上的密钥配置。从密钥设计上来说,目前无论是单连接还是双连接场景,用于任何一个节点的加密和完整性保护加密方案都来源一个基站控制面生成密钥KNG-RAN,此外作为加密的PDCP COUNT计数值一般都默认从0开始,因为对于同一个传输节点采用相同的KNG-RAN必然导致密钥的重复,影响接入层的安全性保护。
第二,X2和Xn接口上不支持超过2个密钥及按DRB进行密钥配置。目前协议中,在LTE和NR的接口上仅支持一个密钥,且无法为不同的DRB不同的密钥。因此当NR侧支持了不同安全域时,整个NR侧仅能共享一个根密钥。
第三,MCG(Master Cell Group,主小区组)缺乏SCG安全域配置情况。目前的X2接口建立过程中,MCG部分无法知道SCG部分配置了多个安全域,因此无法为其分配更多的密钥。
基于上述需求和原因分析,需要通过新的方式来进行增强以满足网络部署和优化的需求。有鉴于此,本公开提供了在非独立部署场景中的密钥分发方法。在本公开的密钥分发方法中,辅节点基站将自身的安全域配置信息通过接口发送给主节点基站,主节点基站确定终端承载需分配到的节点和安全域,并将承载和与之配套的密钥信息发送给相应的辅节点基站,辅节点基站控制面实体完成分流到辅节点基站的承载所需分配的用户面实体,为不同的用户面实体生成相应的完整性保护密钥和加解密密钥,并通过接口通知给相应的用户面实体。主节点基站将主节点基站的密钥和辅节点基站不同安全域的密钥通过空口发送给终端,用于终端侧不同承载和信令的数据完整性保护和数据加解密。
首先结合图5描述本公开密钥分发方法的一些实施例。在这些实施例中,第二基站为辅节点基站,第一基站为主节点基站。
图5示出了本公开一些实施例的密钥分发方法的流程示意图。如图5所示,本实施例包括步骤S501~步骤S505。
在步骤S501中,第一基站从第二基站接收安全域配置信息。
在一些实施例中,第一基站在第二基站与第一基站建立基站间接口时,通过基站间接口从辅助第一基站接收EN-DC(Evolved-UMTS Terrestrial Radio Access-NR DualConnection,进化的UMTS(Universal Mobile Telecommunications System,通用移动通信系统)陆地无线接入-NR双链接)X2Setup Request建立请求消息,该消息携带安全域配置信息,安全域配置信息包括主安全域及各个次级安全域所承载的业务类型、主安全域及各个次级安全域所支持的安全算法列表。其中,主安全域及各个次级安全域所承载的业务类型具体可以包括所承载业务的QOS(Quality of Service,服务质量)信息。然后,第一基站还可以向第二基站反馈EN-DC X2Setup Response建立响应消息。
在步骤S502中,第一基站根据安全域配置信息确定分流至第二基站的各个安全域的数据无线承载,各个安全域包括一个主安全域及多个次级安全域。
在一些实施例中,步骤S502具体包括步骤S5021~步骤S5023。在步骤S5021中,第一基站接收移动管理实体发送的终端的承载建立消息,承载建立消息携带终端的业务类型。在步骤S5022中,第一基站根据安全域配置信息、终端的业务类型以及终端支持的安全算法,确定分流至第二基站的数据无线承载。具体来说,若主安全域及各个次级安全域所承载的业务类型与终端的业务类型相匹配,且主安全域及各个次级安全域所支持的安全算法列表与终端支持的安全算法相匹配,则第一基站将数据无线承载分流至第二基站;否则,第一基站将数据无线承载分流至第一基站。在步骤S5023中,第一基站根据安全域配置信息以及终端支持的安全算法,从分流至第二基站的数据无线承载中,确定分流至第二基站的各个安全域的数据无线承载。具体来说,若次级安全域所承载的业务类型与终端的业务类型相匹配,且次级安全域所支持的安全算法列表与终端支持的安全算法相匹配,则第一基站将数据无线承载分流至第二基站的次级安全域;否则,第一基站将数据无线承载分流至第二基站的主安全域。
在步骤S503中,第一基站向第二基站发送承载密钥信息,承载密钥信息包括数据无线承载的承载信息以及各个安全域的根密钥。
在一些实施例中,第一基站通过基站间接口向第二基站发送辅基站添加请求消息,辅基站添加请求消息携带承载密钥信息。
在一些实施例中,辅基站添加请求消息还携带配置到主安全域的业务列表及根密钥、配置到各个次级安全域的业务列表和根密钥;其中,业务列表中的每个业务包括QOS信息和数据无线承载标识。
在步骤S504中,第二基站的控制面实体根据承载信息确定数据无线承载对应的第二基站的各个用户面实体,并根据各个用户面实体所属安全域的根密钥生成各个用户面实体的用户面密钥。
其中,各个用户面实体的用户面密钥包括各个用户面实体的加解密密钥KS-UPenc和数据完整性保护密钥KS-UPint。
在步骤S505中,第二基站的控制面实体将各个用户面实体的用户面密钥发送至相应的各个用户面实体。
在一些实施例中,第二基站的控制面实体通过与第二基站的各个用户面实体间的接口,向各个用户面实体发送承载配置消息,发送至主安全域的用户面实体的承载配置消息携带主安全域的用户面实体的用户面密钥,发送至次级安全域的用户面实体的承载配置消息携带相应次级安全域的用户面实体的用户面密钥。
在一些实施例中,承载配置消息还携带各个数据无线承载的承载标识、各个数据无线承载的QOS配置信息、采用的加解密算法及完整性保护算法、分组数据汇聚协议PDCP计数值。其中,其中,QOS配置信息包括QCI(QOS Class Identifier,QOS等级标识)等级以及GBR(Guaranteed Bit Rate,保证比特速率)/NGBR(Non GBR,非保证比特速率)的上下行速率限制;PDCP计数值是一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加解密密钥。
在步骤S506中,第一基站从第二基站接收承载分流配置完成信息,承载分流配置完成信息包括数据无线承载对应的第二基站的各个用户面实体所属安全域的根密钥,各个用户面实体是第二基站根据承载信息确定的。
在步骤S507中,第一基站将第一基站的密钥以及各个用户面实体所属安全域的根密钥发送至终端,以使终端根据各个用户面实体所属安全域的根密钥生成相应的各个用户面实体的用户面密钥。
在一些实施例中,密钥分发方法还包括步骤S5001~步骤S5003。
在步骤S5001中,第一基站根据核心网设备发送的密钥生成基站侧密钥KeNB。
在步骤S5002中,第一基站根据基站侧密钥生成第一基站的密钥,第一基站的密钥包括第一基站的加解密密钥和数据完整性保护密钥。
在步骤S5003中,第一基站根据基站侧密钥生成第二基站的各个安全域的根密钥。
若终端的部分承载业务需要配置到第二基站,第一基站为各个安全域配置不同的密钥参数,密钥参数不与终端在第一基站或第二基站已经使用过的密钥参数重复。然后,第一基站根据基站侧密钥和各个安全域的密钥参数,独立生成各个安全域的根密钥。密钥参数为NH(Next Hop,下一跳)、NCC(Next Hopping Count,下一跳链接计数器)或{NH,NCC}对。
在一些实施例中,在步骤S506中,第二基站的用户面实体在支持加解密算法及完整性保护算法且支持配置至少一个数据无线承载的情况下,向第二基站的控制面实体反馈配置成功消息。第二基站的用户面实体在不支持加解密算法及完整性保护算法或不支持配置所有数据无线承载的情况下,向第二基站的控制面实体反馈配置失败消息。
其中,配置成功消息携带终端在第二基站的控制面分配的编号、终端在第二基站的用户面分配的编号、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的原因。配置失败消息携带终端在第二基站的控制面分配的编号、终端在第二基站的用户面分配的编号、终端未成功配置数据无线承载的原因。
在一些实施例中,密钥分发方法还包括步骤S510。
在步骤S508中,第二基站的用户面实体向第二基站的控制面实体反馈配置成功消息之后,根据加解密算法、用户面密钥中的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据数据完整性保护算法、用户面密钥中的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
在一些实施例中,在步骤S506中,第二基站的控制面实体收到各个用户面实体反馈的配置成功消息或配置失败消息后,通过基站间接口向第一基站反馈承载分流配置完成信息。其中,分流配置完成消息还携带终端在第一基站分配的标识、终端在第二基站分配的标识、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识。其中,终端在第一基站分配的标识可以由第一基站在承载建立消息中提供,终端在第二基站分配的标识可以由第二基站进行分配。
相应的,在步骤S507中,第一基站收到承载分流配置完成信息后,通过无线资源控制RRC连接重配置消息为终端配置不同数据无线承载所采用的密钥以及所分配的承载标识。其中,为配置到第一基站的控制面信令配置第一基站的密钥,为配置到第二基站的各个安全域的数据无线承载配置各个安全域的根密钥。具体来说,为配置到各个安全域的数据无线承载配置每个安全域所支持的数据无线承载列表(可以包括一个或多个数据无线承载标识)、每个安全域中每个数据无线承载的QOS配置信息、每个安全域的根密钥Ks-NG-RAN、PDCP计数值,以使终端根据PDCP计数值及每个安全域的根密钥生成每个安全域的用户面实体的加解密密钥和数据完整性保护密钥。其中,PDCP计数值是一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加解密密钥。
UE在收到基站控制面发送的RRC连接重配消息后,对于RRC消息采用KRRCenc和KRRCint作为加解密和完整性保护密钥,对于配置到第一基站的DRB采用KUPenc和KUpint作为数据加解密和完整性保护的密钥,对于配置到第二基站不同安全域的DRB分别用相应的Ks-NG-RAN和PDCP计数值生成相应KS-UPenc和KS-Upint作为数据加解密和完整性保护的密钥。
上述实施例提出了一种应用在NSA场景中的密钥分发方法,基于5G基站虚拟化时控制面和用户面分离的情况,能够在不同的基站用户面实体部署在不同安全域的情况下,保证不同的安全域可以采用不同的接入层安全性密钥,在NSA场景中使主节点基站可以自动了解辅节点基站的安全域配置情况,支持辅节点基站生成两个以上数量的密钥且不同安全域的密钥生成方式相互独立,从而保证了用户数据传输在不同安全域传输的可靠性,减轻了密钥泄漏带来的负面影响,进而在多安全域场景中提升基站与终端传输数据过程的可靠性和安全性,方便运营商在后续部署中引入第三方设备时的安全性保护。
同时,上述实施例以现有安全性密钥框架为基础,设计了多套独立的密钥计算方法和发送方案。由于密钥分发过程中无需为主节点基站人工手动配置辅节点基站的安全域配置情况,因此减少了操作复杂度和出错的可能,降低了运维成本;由于对终端和现有协议的改动较小,且对于主节点基站的安全性机制没有影响,因此降低了对现网LTE基站和用户的升级需求。所以,上述实施例具有良好的后向兼容性和部署可行性。
下面介绍本公开密钥分发方法的具体应用例。
本应用例包括LTE基站eNB和NR基站en-gNB两个基站实体,两个实体间通过X2接口相连,其中NR基站侧中有两个CU-UP分属不同的安全域,其中CU-UP1和控制面CU-CP属于同一个主安全域,而CU-UP2属于另外一个安全域。基站内部采用了CU-CP和CU-UP分离的架构,其中CP和UP之间通过E1接口进行连接。本应用例中UE(User Equipment,用户设备)刚接入网络,并且支持两个承载业务,一个是默认承载,主要完成普通数据业务的下载,另外一个配置了专用承载,主要承载视频类业务,两个承载都映射到NR基站en-gNB。
本应用例主要描述承载在建立过程中,网络侧完成密钥的生成以及各个节点间的分发,并通知终端的过程。
(1)en-gNB在与eNB接口建立X2接口时,通过X2接口向eNB发送其安全域的配置信息。其中安全域配置信息包括如下信息:每个次级安全域所承载的业务类型(例如视频类业务的QOS信息)、每个次级安全域所支持的安全算法类表(例如加密128-NEA1和完整性保护算法128-NIA1)。
(2)eNB在接收到移动管理实体发送的关于UE的承载建立消息时,承载建立消息中包括了数据下载业务和视频类型业务,根据en-gNB安全域的配置信息和UE安全能力,确定分流到en-gNB不同安全域的承载信息。由于配置信息中确定所有承载均由en-gNB来承载,且UE安全能力支持所有的安全算法,因此视频业务由次级安全域来承载。
(3)eNB根据核心网发送的密钥生成基站侧的根密钥KeNB,并基于根密钥KeNB生成LTE基站用于RRC信令的加解密密钥KRRCenc和完整性保护KRRCint。
(4)UE的数据下载业务需要配置到CU-UP1中,则eNB为该安全域独立配置一个NCC,该NCC为1,该NCC数值不与该控制面已经使用过的NCC数值重复。
(5)UE的视频业务需要配置到CU-UP2中,则eNB为该安全域独立配置一个NCC,该NCC为2,该NCC数值不与该控制面已经使用过的NCC数值重复。
(6)对于UE所使用的每个次级安全域,eNB基于KeNB和为该安全域分配的NH和/或NCC作为输入独立为其生成次级安全域的根密钥Ks-eNB
(7)eNB把UE在NR侧所需要用到的密钥通过X2接口的辅基站添加请求消息SgNBAddition Request发送给en-gNB,辅基站添加请求消息中包括了NR侧主安全域和次级安全域采用的两个根密钥。
(8)NR侧CU-CP为CU-UP2基于密钥Ks-NG-RAN生成用户面数据加解密密钥KS-UPenc和数据完整性保护密钥KS-UPint。
(9)NR侧CU-CP通过E1接口,分别将承载配置信息放置在承载上下文建立请求消息BEARER CONTEXT SETUP REQUEST中发送给CU-UP1和CU-UP2。承载配置消息具体可以包括:每个承载的标识(核心网的承载编号),每个承载的QOS配置(包括QCI等级,以及GBR/NGBR的上下行速率限制),完整性密钥,加密密钥,加密算法配置(128-NEA1),PDCP计数值(一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加密密钥)。
(10)NR侧CU-UP2收到承载配置消息,确认加密算法可以被CU-UP2支持且承载可以在该用户面被配置,则通过E1接口向CU-CP发送承载上下文建立相应消息BEARER CONTEXTSETUP RESPONSE确认密钥配置成功消息。
(11)NR侧CU-UP2实体在反馈配置成功消息后,基于加解密算法和数据完整性密钥以及PDCP计数值,为用户数据传输时进行完整性保护;基于加解密算法、加解密密钥和PDCP计数值,为用户数据传输时进行加解密。
(12)LTE基站eNB通过RRC连接重配消息为UE配置的不同承载所采用的密钥参数,其中对于NR侧的信息内容包括每个次级安全域所支持的DRB的列表(包括一个或者多个DRB标识)、每个次级安全域中每个DRB的QOS配置信息、每个次级安全域的Ks-NG-RAN、PDCP计数值(一个16比特的数值,用于和Ks-NG-RAN共同生产不同的完整性密钥和加密密钥)。
(13)UE在收到eNB发送的RRC连接重配消息后,根据各个根密钥,分别完成NR侧主安全域、NR侧次级安全域以及LTE侧加解密密钥和完整性保护密钥的推导。
下面结合图6描述本公开密钥分发装置的一些实施例。
图6示出了本公开一些实施例的密钥分发装置的结构示意图。如图6所示,该实施例的密钥分发装置60包括:存储器610以及耦接至该存储器610的处理器620,处理器620被配置为基于存储在存储器610中的指令,执行前述任意一些实施例中的密钥分发方法。
其中,存储器610例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
密钥分发装置60还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630、640、650以及存储器610和处理器620之间例如可以通过总线660连接。其中,输入输出接口630为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口650为SD卡、U盘等外置存储设备提供连接接口。
本公开还包括一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现前述任意一些实施例中的密钥分发方法。
本公开还提供了一种基站,包括前述的密钥分发装置60。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (23)
1.一种密钥分发方法,包括:
第一基站从第二基站接收安全域配置信息;
第一基站根据安全域配置信息确定分流至第二基站的各个安全域的数据无线承载,各个安全域包括一个主安全域及多个次级安全域;
第一基站根据核心网设备发送的密钥生成基站侧密钥;
第一基站为所述各个安全域配置不同的密钥参数,所述密钥参数不与终端在第一基站或第二基站已经使用过的密钥参数重复;
第一基站根据基站侧密钥和所述各个安全域的密钥参数,生成所述各个安全域的根密钥;
第一基站向第二基站发送承载密钥信息,承载密钥信息包括所述数据无线承载的承载信息以及所述各个安全域的根密钥;
第一基站从第二基站接收承载分流配置完成信息,承载分流配置完成信息包括所述数据无线承载对应的第二基站的各个用户面实体所属安全域的根密钥,所述各个用户面实体是第二基站根据所述承载信息确定的;
第一基站将第一基站的密钥以及所述各个用户面实体所属安全域的根密钥发送至终端,以使终端根据所述各个用户面实体所属安全域的根密钥生成相应的所述各个用户面实体的用户面密钥。
2.根据权利要求1所述的密钥分发方法,还包括:
第二基站的控制面实体根据所述承载信息确定所述数据无线承载对应的第二基站的各个用户面实体,并根据所述各个用户面实体所属安全域的根密钥生成所述各个用户面实体的用户面密钥;
第二基站的控制面实体将所述各个用户面实体的用户面密钥发送至相应的所述各个用户面实体。
3.根据权利要求1所述的密钥分发方法,其中,第一基站在第二基站与第一基站建立基站间接口时,通过基站间接口从第二基站接收安全域配置信息,所述安全域配置信息包括主安全域及各个次级安全域所承载的业务类型、主安全域及各个次级安全域所支持的安全算法列表。
4.根据权利要求3所述的密钥分发方法,其中,所述第一基站根据安全域配置信息确定分流至第二基站的各个安全域的数据无线承载包括:
第一基站接收移动管理实体发送的终端的承载建立消息,承载建立消息携带终端的业务类型;
第一基站根据安全域配置信息、终端的业务类型以及终端支持的安全算法,确定分流至第二基站的数据无线承载;
第一基站根据安全域配置信息以及终端支持的安全算法,从分流至第二基站的数据无线承载中,确定分流至第二基站的各个安全域的数据无线承载。
5.根据权利要求4所述的密钥分发方法,其中,所述第一基站根据安全域配置信息、终端的业务类型以及终端支持的安全算法,确定分流至第二基站的数据无线承载包括:
若主安全域及各个次级安全域所承载的业务类型与终端的业务类型相匹配,且主安全域及各个次级安全域所支持的安全算法列表与终端支持的安全算法相匹配,则第一基站将所述数据无线承载分流至第二基站;否则,第一基站将所述数据无线承载分流至第一基站。
6.根据权利要求4所述的密钥分发方法,其中,所述第一基站根据安全域配置信息以及终端支持的安全算法,从分流至第二基站的数据无线承载中,确定分流至第二基站的各个安全域的数据无线承载包括:
若次级安全域所承载的业务类型与终端的业务类型相匹配,且次级安全域所支持的安全算法列表与终端支持的安全算法相匹配,则第一基站将数据所述无线承载分流至第二基站的次级安全域;否则,第一基站将数据所述无线承载分流至第二基站的主安全域。
7.根据权利要求1所述的密钥分发方法,还包括:
第一基站根据基站侧密钥生成第一基站的密钥,第一基站的密钥包括第一基站的加解密密钥和数据完整性保护密钥第一基站根据基站侧密钥生成第二基站的各个安全域的根密钥。
8.根据权利要求1所述的密钥分发方法,其中,所述密钥参数为下一跳NH、下一跳链接计数器NCC或{NH,NCC}对。
9.根据权利要求1所述的密钥分发方法,其中,所述第一基站通过基站间接口向第二基站发送辅基站添加请求消息,辅基站添加请求消息携带所述承载密钥信息。
10.根据权利要求9所述的密钥分发方法,其中,所述辅基站添加请求消息还携带配置到主安全域的业务列表及根密钥、配置到各个次级安全域的业务列表和根密钥;其中,业务列表中的每个业务包括服务质量信息和数据无线承载标识。
11.根据权利要求10所述的密钥分发方法,其中,所述各个用户面实体的用户面密钥包括各个用户面实体的加解密密钥和数据完整性保护密钥。
12.根据权利要求11所述的密钥分发方法,其中,所述第二基站的控制面实体将所述各个用户面实体的用户面密钥发送至相应的所述各个用户面实体包括:
第二基站的控制面实体通过与第二基站的各个用户面实体间的接口,向各个用户面实体发送承载配置消息,发送至主安全域的用户面实体的承载配置消息携带主安全域的用户面实体的用户面密钥,发送至次级安全域的用户面实体的承载配置消息携带相应次级安全域的用户面实体的用户面密钥。
13.根据权利要求12所述的密钥分发方法,其中,所述承载配置消息还携带各个数据无线承载的承载标识、各个数据无线承载的服务质量配置信息、采用的加解密算法及完整性保护算法、分组数据汇聚协议PDCP计数值。
14.根据权利要求13所述的密钥分发方法,还包括:
第二基站的用户面实体在支持所述加解密算法及完整性保护算法且支持配置至少一个数据无线承载的情况下,向第二基站的控制面实体反馈配置成功消息;
第二基站的用户面实体在不支持所述加解密算法及完整性保护算法或不支持配置所有数据无线承载的情况下,向第二基站的控制面实体反馈配置失败消息。
15.根据权利要求14所述的密钥分发方法,其中,所述配置成功消息携带终端在第二基站的控制面分配的编号、终端在第二基站的用户面分配的编号、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的原因。
16.根据权利要求14所述的密钥分发方法,其中,所述配置失败消息携带终端在第二基站的控制面分配的编号、终端在第二基站的用户面分配的编号、终端未成功配置数据无线承载的原因。
17.根据权利要求14所述的密钥分发方法,还包括:
第二基站的用户面实体向第二基站的控制面实体反馈配置成功消息之后,根据加解密算法、用户面密钥中的加解密密钥以及PDCP计数值,对与终端传输的数据进行加解密;根据数据完整性保护算法、用户面密钥中的数据完整性保护密钥以及PDCP计数值,对与终端传输的数据进行完整性保护。
18.根据权利要求14所述的密钥分发方法,其中,所述第一基站从第二基站接收承载分流配置完成信息包括:
第二基站的控制面实体收到各个用户面实体反馈的配置成功消息或配置失败消息后,通过基站间接口向第一基站反馈承载分流配置完成信息;分流配置完成消息还携带终端在第一基站分配的标识、终端在第二基站分配的标识、终端成功配置数据无线承载的数据无线承载标识、终端未成功配置数据无线承载的数据无线承载标识。
19.根据权利要求18所述的密钥分发方法,其中,所述第一基站将第一基站的密钥以及所述各个用户面实体所属安全域的根密钥发送至终端包括:
第一基站收到承载分流配置完成信息后,通过无线资源控制RRC连接重配置消息为终端配置不同数据无线承载所采用的密钥;其中,为配置到第一基站的控制面信令配置第一基站的密钥,为配置到第二基站的各个安全域的数据无线承载配置各个安全域的根密钥。
20.根据权利要求19所述的密钥分发方法,其中,所述为配置到第二基站的各个安全域的数据无线承载配置各个安全域的根密钥包括:
为配置到各个安全域的数据无线承载配置每个安全域所支持的数据无线承载列表、每个安全域中每个数据无线承载的服务质量配置信息、每个安全域的根密钥、PDCP计数值,以使终端根据PDCP计数值及每个安全域的根密钥生成每个安全域的用户面实体的加解密密钥和数据完整性保护密钥。
21.一种密钥分发装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至20中任一项所述的密钥分发方法。
22.一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1至20中任一项所述的密钥分发方法。
23.一种基站,包括如权利要求21所述的密钥分发装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010484743.6A CN113766498B (zh) | 2020-06-01 | 2020-06-01 | 密钥分发方法、装置、计算机可读存储介质及基站 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010484743.6A CN113766498B (zh) | 2020-06-01 | 2020-06-01 | 密钥分发方法、装置、计算机可读存储介质及基站 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113766498A CN113766498A (zh) | 2021-12-07 |
CN113766498B true CN113766498B (zh) | 2023-03-21 |
Family
ID=78782570
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010484743.6A Active CN113766498B (zh) | 2020-06-01 | 2020-06-01 | 密钥分发方法、装置、计算机可读存储介质及基站 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113766498B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101621374A (zh) * | 2008-06-30 | 2010-01-06 | 华为技术有限公司 | 一种网络认证的方法、装置、系统及服务器 |
CN101742478A (zh) * | 2008-11-10 | 2010-06-16 | 中兴通讯股份有限公司 | 智能卡从安全域密钥更新分发方法、系统及移动终端 |
CN104936173A (zh) * | 2014-03-18 | 2015-09-23 | 华为技术有限公司 | 密钥生成方法、主基站、辅基站及用户设备 |
CN106470483A (zh) * | 2015-08-17 | 2017-03-01 | 电信科学技术研究院 | 一种信息发送与控制信息发送的方法及装置 |
CN108966220A (zh) * | 2017-07-28 | 2018-12-07 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
CN109391939A (zh) * | 2017-08-10 | 2019-02-26 | 中兴通讯股份有限公司 | 密钥、参数发送方法及装置、用户面实体、控制面实体 |
CN111010275A (zh) * | 2019-12-31 | 2020-04-14 | 嘉兴太美医疗科技有限公司 | 密钥管理方法、生成密钥的方法和密钥管理系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8484473B2 (en) * | 2008-11-10 | 2013-07-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter base station interface establishment |
-
2020
- 2020-06-01 CN CN202010484743.6A patent/CN113766498B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101621374A (zh) * | 2008-06-30 | 2010-01-06 | 华为技术有限公司 | 一种网络认证的方法、装置、系统及服务器 |
CN101742478A (zh) * | 2008-11-10 | 2010-06-16 | 中兴通讯股份有限公司 | 智能卡从安全域密钥更新分发方法、系统及移动终端 |
CN104936173A (zh) * | 2014-03-18 | 2015-09-23 | 华为技术有限公司 | 密钥生成方法、主基站、辅基站及用户设备 |
CN106470483A (zh) * | 2015-08-17 | 2017-03-01 | 电信科学技术研究院 | 一种信息发送与控制信息发送的方法及装置 |
CN108966220A (zh) * | 2017-07-28 | 2018-12-07 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
CN109391939A (zh) * | 2017-08-10 | 2019-02-26 | 中兴通讯股份有限公司 | 密钥、参数发送方法及装置、用户面实体、控制面实体 |
CN111010275A (zh) * | 2019-12-31 | 2020-04-14 | 嘉兴太美医疗科技有限公司 | 密钥管理方法、生成密钥的方法和密钥管理系统 |
Non-Patent Citations (2)
Title |
---|
"TR38.823 v0.2.0 clean";The 3rd Generation Partnership Project;《3GPP tsg_ran\wg3_iu》;20191108;全文 * |
"TR38.823 v1.0.0 clean";The 3rd Generation Partnership Project;《3GPP tsg_ran\tsg_ran》;20191202;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113766498A (zh) | 2021-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11510059B2 (en) | Data security processing method and apparatus | |
US10992655B2 (en) | Core network, user equipment, and communication control method for device to device communication | |
CN109309920B (zh) | 安全实现方法、相关装置以及系统 | |
CN108810884B (zh) | 密钥配置方法、装置以及系统 | |
KR100956823B1 (ko) | 이동 통신 시스템에서 보안 설정 메시지를 처리하는 방법 | |
US11483705B2 (en) | Method and device for generating access stratum key in communications system | |
KR101213285B1 (ko) | 이동통신 시스템에서 아이들모드 단말기의 세션 설정 프로토콜 데이터를 전송하는 방법 및 장치 | |
CN109246747B (zh) | 前向接口的建立方法、ue接入方法、ue切换方法及装置 | |
KR101078615B1 (ko) | 무선 원격통신에서의 암호화 | |
US11937319B2 (en) | Integrity protection handling at the gNB-CU-UP | |
CN101072092B (zh) | 一种实现控制面和用户面密钥同步的方法 | |
MXPA04007854A (es) | Metodo para relocalizacion se subsistema de red de radio de servicio. | |
US11895617B2 (en) | Message identification method and apparatus | |
WO2017219355A1 (zh) | 多连接通信方法和设备 | |
CN104349309A (zh) | 一种移动通信系统中利用nh、ncc对解决安全问题的方法 | |
KR20170097487A (ko) | 통합 코어 망 서비스 이용방법과 이를 위한 통합 제어장치 및 그 시스템 | |
WO2019033905A1 (zh) | 数据流传输安全控制方法及装置 | |
WO2022087492A1 (en) | Managing integrated access and backhaul mobility | |
CN109391939B (zh) | 密钥、参数发送方法及装置、用户面实体、控制面实体 | |
CN110662297B (zh) | 一种信令处理方法、节点及装置 | |
CN113766498B (zh) | 密钥分发方法、装置、计算机可读存储介质及基站 | |
CN113766497B (zh) | 密钥分发方法、装置、计算机可读存储介质及基站 | |
CN104980943A (zh) | 侦听方法及侦听装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |