CN114079920A - 接入网安全处理方法、设备、装置及存储介质 - Google Patents

接入网安全处理方法、设备、装置及存储介质 Download PDF

Info

Publication number
CN114079920A
CN114079920A CN202010801965.6A CN202010801965A CN114079920A CN 114079920 A CN114079920 A CN 114079920A CN 202010801965 A CN202010801965 A CN 202010801965A CN 114079920 A CN114079920 A CN 114079920A
Authority
CN
China
Prior art keywords
access node
terminal
parameter information
user
target access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010801965.6A
Other languages
English (en)
Other versions
CN114079920B (zh
Inventor
王妍
谌丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Mobile Communications Equipment Co Ltd
Original Assignee
Datang Mobile Communications Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Mobile Communications Equipment Co Ltd filed Critical Datang Mobile Communications Equipment Co Ltd
Priority to CN202010801965.6A priority Critical patent/CN114079920B/zh
Publication of CN114079920A publication Critical patent/CN114079920A/zh
Application granted granted Critical
Publication of CN114079920B publication Critical patent/CN114079920B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例提供一种接入网安全处理方法、装置、设备及存储介质,所述方法应用于目标设备,包括:分别获取下一跳参数链计数器NCC参数信息、用于计算接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及目标接入节点对应的网络参数信息;根据以上信息确定接入节点根密钥参数,以激活第二终端与目标接入节点之间接入层AS的安全过程;其中,已完成AS的安全过程的第一终端与第二终端具有相同的用户相关参数信息,且第一终端与用户保持从属关系,且NCC参数信息与所述第一终端相对应;本申请实施例实现了一个用户具有多个终端时,用户在移动过程中在不同终端间变更时,快速激活并使用AS层安全过程,达到降低中断时延的效果。

Description

接入网安全处理方法、设备、装置及存储介质
技术领域
本申请涉及通信技术领域,尤其涉及一种接入网安全处理方法、设备、装置及存储介质。
背景技术
在无线通信蜂窝网中,为了保证网络安全,需要对信令和用户数据的传输进行加密和完整性保护。在单个用户终端与网络间节点派生相关密钥,共同进行通信过程的安全保障。
图1是现有技术提供的一种NR接入层切换时的密钥处理方法示意图;图2是现有技术提供的一种NRInactive态下移动过程的密钥处理流程示意图;如图1和图2所示,传统蜂窝网络中,对终端侧来说,网络侧指示终端进入inactive态的时候在RRCRelease消息里面携带NCC(nextHopChainingCount)参数,终端在发送RRC连接恢复请求的时候,根据当前KgNBkey或NH,用存储的NCC以及目标小区PCI,目标ARFCN-DL等信息推演出KgNB key,对网络侧来说,目标gNB接收到终端发送的RRC连接恢复请求后,目标gNB从请求消息中提取I-RNTI,并向源gNB发送I-RNTI等信息,以便允许源gNB验证UE请求,并检索包括UE 5G AS安全上下文的UE上下文,源gNB最后基于NCC,目标小区PCI,目标ARFCN-DL以及安全上下文中的KgNB或NH来计算KgNB*并发送给目标基站。但是未来通信系统中,一个用户将具有多个不同的终端设备,且多个设备相互关联为用户提供服务,用户可在移动过程中激活其从属终端设备,且多个终端间可实现业务的连续性传输,则需要用户激活终端后尽快激活AS(Access Stratum,接入层)安全过程,达到降低时延的效果。
现有的AS安全的激活过程,在单个用户终端与网络间节点派生相关密钥,共同进行通信过程的安全保障。现有单个用户终端的安全流程将不再适用。
因此,如何提出一种满足用户多终端场景下接入网安全的快速处理方法,成为亟需解决的问题。
发明内容
本申请实施例提供一种接入网安全处理方法、设备、装置及存储介质,用以解决现有技术中单个用户终端的安全流程不适用用户多终端场景的缺陷,实现满足用户多终端场景下AS安全的快速激活。
第一方面,本申请实施例提供一种接入网安全处理方法,应用于目标设备,包括:
分别获取下一跳参数链计数器NCC(nextHopChainingCount,下一跳参数链计数器)参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
可选地,根据本申请一个实施例的接入网安全处理方法,所述目标设备为所述第二终端;
所述获取所述NCC参数信息包括:
获取所述第一终端发送的所述NCC参数信息;或
获取核心网节点在所述第二终端接入目标接入节点后发送的NCC参数信息;或
获取目标接入节点发送的NCC参数信息。
可选地,根据本申请一个实施例的接入网安全处理方法,所述获取目标接入节点发送的NCC参数信息包括:
若所述目标接入节点不为第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入所述目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给目标接入节点,且所述目标接入节点获取后发送给所述第二终端的;其中,所述第一接入节点已与所述第一终端建立接入层AS的安全过程;
若所述目标接入节点为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述目标接入节点存储的NCC参数信息。
可选地,根据本申请一个实施例的接入网安全处理方法,所述获取所述基础密钥包括:
若所述第二终端处于非激活态,则所述第二终端确定所述基础密钥为所述第二终端内部存储的与核心网节点相互认证的根密钥;
若所述第二终端处于连接态,则所述第二终端确定所述基础密钥为所述第二终端和核心网节点所存储的根密钥,或经过NAS(Non-access stratum,非接入层)安全过程记录的核心网节点的根密钥。
可选地,根据本申请一个实施例的接入网安全处理方法,所述获取所述用户相关参数信息包括:
所述第二终端在激活与用户的从属关系后,通过人机接口获取所述用户相关参数信息。
可选地,根据本申请一个实施例的接入网安全处理方法,所述用户相关参数信息包括,用于明确所述第二终端所属用户的用户相关参数信息,和/或用于保证所述用户在移动过程中在终端间保持连续性传输的业务标识信息。
可选地,根据本申请一个实施例的接入网安全处理方法,所述目标设备为所述第二终端;
所述获取所述网络参数信息包括:
接入所述目标接入节点后,获取所述目标接入节点对应的网络参数信息。
可选地,根据本申请一个实施例的接入网安全处理方法,所述目标设备为所述目标接入节点;
所述获取所述NCC参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述NCC参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述NCC参数信息。
可选地,根据本申请一个实施例的接入网安全处理方法,所述获取第一接入节点发送的所述NCC参数信息包括:
若所述目标接入节点不为第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的。
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述目标接入节点获取其存储的NCC参数信息。
可选地,根据本申请一个实施例的接入网安全处理方法,所述获取所述基础密钥包括:
获取核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息发送的基础密钥;所述基础密钥是所述核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC(Radio Resource Control,无线资源控制)状态确定的。
可选地,根据本申请一个实施例的接入网安全处理方法,核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC(Radio Resource Control,无线资源控制)状态确定的基础密钥为:
核心网节点在所述第二终端处于非激活态时确定的所述第二终端内部存储的与核心网节点相互认证的根密钥;或
核心网节点在所述第二终端处于连接态时确定的所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
可选地,根据本申请一个实施例的接入网安全处理方法,所述获取所述用户相关参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述用户相关参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述用户相关参数信息。
可选地,根据本申请一个实施例的接入网安全处理方法,所述获取第一接入节点发送的所述用户相关参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述用户相关参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述目标接入节点获取其存储的用户相关参数信息。
可选地,根据本申请一个实施例的接入网安全处理方法,应用于目标设备,所述方法还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
第二方面,本申请实施例提供一种目标设备,包括存储器、收发机和处理器:
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
可选地,根据本申请一个实施例的目标设备,所述目标设备为终端;所述获取所述NCC参数信息包括:
获取所述第一终端发送的所述NCC参数信息;或
获取核心网节点在所述第二终端接入目标接入节点后发送的NCC参数信息;或
获取目标接入节点发送的NCC参数信息。
可选地,根据本申请一个实施例的目标设备,所述获取目标接入节点发送的NCC参数信息包括:
若所述目标接入节点不为第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入所述目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给目标接入节点,且所述目标接入节点获取后发送给所述第二终端的;其中,所述第一接入节点已与所述第一终端建立接入层AS的安全过程;
若所述目标接入节点为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述目标接入节点存储的NCC参数信息。
可选地,根据本申请一个实施例的目标设备,所述获取所述基础密钥包括:
若所述第二终端处于非激活态,则所述第二终端确定所述基础密钥为所述第二终端内部存储的与核心网节点相互认证的根密钥;
若所述第二终端处于连接态,则所述第二终端确定所述基础密钥为所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
可选地,根据本申请一个实施例的目标设备,所述获取所述用户相关参数信息包括:
所述第二终端在激活与用户的从属关系后,通过人机接口获取所述用户相关参数信息。
可选地,根据本申请一个实施例的目标设备,所述用户相关参数信息包括,用于明确所述第二终端所属用户的用户相关参数信息,和/或用于保证所述用户在移动过程中在终端间保持连续性传输的业务标识信息。
可选地,根据本申请一个实施例的目标设备,所述获取所述网络参数信息包括:
接入所述目标接入节点后,获取所述目标接入节点对应的网络参数信息。
可选地,根据本申请一个实施例的目标设备,所述目标设备为所述目标接入节点;所述获取所述NCC参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述NCC参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述NCC参数信息。
可选地,根据本申请一个实施例的目标设备,所述获取第一接入节点发送的所述NCC参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的。
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述目标接入节点获取其存储的NCC参数信息。
可选地,根据本申请一个实施例的目标设备,所述获取所述基础密钥包括:
获取核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息发送的基础密钥;所述基础密钥是所述核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的。
可选地,根据本申请一个实施例的目标设备,核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的基础密钥为:
核心网节点在所述第二终端处于非激活态时确定的所述第二终端内部存储的与核心网节点相互认证的根密钥;或
核心网节点在所述第二终端处于连接态时确定的所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
可选地,根据本申请一个实施例的目标设备,所述获取所述用户相关参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述用户相关参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述用户相关参数信息。
可选地,根据本申请一个实施例的目标设备,所述获取第一接入节点发送的所述用户相关参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述用户相关参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述目标接入节点获取其存储的用户相关参数信息。
可选地,根据本申请一个实施例的目标设备,所述操作还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
第三方面,本申请实施例提供一种接入网安全处理装置,包括:
获取单元,用于分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
激活单元,用于根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
第四方面,本申请实施例提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行第一方面提供的方法。
本申请实施例提供的接入网安全处理方法、设备、装置及存储介质,通过分别获取所述同一用户的第一终端对应的NCC参数信息、基础密钥、用户相关参数信息,以及网络参数信息;并根据这些信息,确定接入节点根密钥参数,然后激活第二终端与目标接入节点之间接入层AS的安全过程;实现了一个用户具有多个终端时,用户在移动过程中在不同终端间变更时,快速激活并使用AS层安全过程,达到降低中断时延的效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术提供的一种NR接入层切换时的密钥处理方法示意图;
图2是现有技术提供的一种NR Inactive态下移动过程的密钥处理流程示意图;
图3是本申请一实施例提供的接入网安全处理方法流程示意图;
图4是本申请另一实施例提供的接入网安全处理方法流程示意图;
图5是本申请又一实施例提供的接入网安全处理方法流程示意图;
图6是本申请再一实施例提供的接入网安全处理方法流程示意图;
图7是本申请还一实施例提供的接入网安全处理方法流程示意图;
图8是本申请一实施例提供的目标设备结构示意图;
图9是本申请一实施例提供的接入网安全处理装置结构示意图。
具体实施方式
本申请实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了接入网安全处理方法、设备、装置及存储介质,用以实现一个用户具有多个终端时,用户在移动过程中在不同终端间变更时,快速激活并使用AS层安全过程,达到降低中断时延的效果。
其中,方法和装置是基于同一申请构思的,由于方法和装置解决问题的原理相似,因此装置和方法的实施可以相互参见,重复之处不再赘述。
目前蜂窝网络中的信息数据传输的安全性是以单个终端为目标的,由非接入层到接入层逐步进行密钥推衍,从而保证终端与网络侧在用户面与控制面的传输安全性,但在未来通信系统中,一个用户可在移动过程中激活其从属终端设备,且多个终端设备相互关联为用户提供服务,并可实现用户业务的连续性传输,需要用户激活终端后尽快激活AS安全过程,达到降低时延的效果,现有技术不能很好地满足用户多终端场景下AS安全性的快速激活,从而实现零中断的时延效果。
为了解决这一问题,本申请各实施例的核心思想为:用户在移动过程中激活其从属终端,该从属终端从网络侧或用户源终端侧获取安全输入参数,并结合该终端在无线网络架构下的基本密钥参数,计算当前使用的安全密钥参数。
图3是本申请一实施例提供的接入网安全处理方法流程示意图,如图3所示,该方法应用于目标设备,包括如下步骤:
步骤300,分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
具体地,为了实现一个用户可在移动过程中激活其从属终端设备,且多个终端设备相互关联为用户提供服务,本实施例在进行AS的安全过程激活之前,可以首先确定用于激活安全过程的接入节点根密钥参数,该接入节点根密钥参数可以根据下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息、以及所述目标接入节点对应的网络参数信息推衍得到。
因此,本实施例中,可以首先分别获取NCC参数信息、基础密钥、用户相关参数信息以及网络参数信息。
步骤301,根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
具体地,在获取了NCC参数信息、基础密钥、用户相关参数信息以及网络参数信息以后,则可以根据这些信息,推衍获得接入节点根密钥参数,并利用接入节点根密钥参数激活第二终端与目标接入节点之间接入层AS的安全过程。
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
具体地,为了克服现有的AS安全激活过程中通过源基站获取KgNB*用于激活安全过程,不能很好地满足用户多终端场景下AS安全性的快速激活的缺陷,本实施例中,可以直接获取已经与网络建立了AS安全过程、且与需要建立AS安全过程的第二终端属于同一用户的第一终端的部分信息,比如第一终端的NCC信息,直接利用第一终端的NCC信息推衍接入节点根密钥参数,可以实现第二终端的AS安全过程的快速激活。
本申请实施例提供的接入网安全处理方法,通过分别获取所述同一用户的第一终端对应的NCC参数信息、基础密钥、用户相关参数信息,以及网络参数信息;并根据这些信息,确定接入节点根密钥参数,然后激活第二终端与目标接入节点之间接入层AS的安全过程;实现了一个用户具有多个终端时,用户在移动过程中在不同终端间变更时,快速激活并使用AS层安全过程,达到降低中断时延的效果。
可选地,根据本申请一个实施例的接入网安全处理方法,所述目标设备为所述第二终端;
所述获取所述NCC参数信息包括:
获取所述第一终端发送的所述NCC参数信息;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的NCC参数,因此第二终端在获取第一终端对应的NCC参数信息时,可以直接获取第一终端发送的NCC参数信息,第二终端获取该NCC参数信息并存储,用于第二终端内的接入节点根密钥参数推衍。
具体地,由于终端与第二终端属于同一用户,则二者之间可以进行通信,因此可以由第一终端通过PC5接口直接发送对应的NCC参数信息给第二终端。
或获取核心网节点在所述第二终端接入目标接入节点后发送的NCC参数信息;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的NCC参数,则可以于核心网节点存储NCC参数信息。因此第二终端在获取第一终端对应的NCC参数信息时,可以获取核心网节点发送的NCC参数信息;
可以理解的是,核心网节点在第二终端接入目标接入节点后才可以根据第二终端的用户相关参数信息确定其所属用户下第一终端对应的NCC参数信息,即核心网节点在第二终端接入目标接入节点后才可以向第二终端发送NCC参数信息。
或获取目标接入节点发送的NCC参数信息。
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的NCC参数,则可以于第一接入节点存储NCC参数信息。因此第二终端在获取第一终端对应的NCC参数信息时,可以获取目标接入节点从第一接入节点获取后发送给第二终端的NCC参数信息。
可选地,在上述各实施例的基础上,所述获取目标接入节点发送的NCC参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入所述目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给目标接入节点,且所述目标接入节点获取后发送给所述第二终端的;其中,所述第一接入节点已与所述第一终端建立接入层AS的安全过程;
具体地,若所述目标接入节点不为所述第一接入节点,即若第一终端和第二终端并未接入同一接入节点,第二终端在获取NCC参数信息时,首先第二终端接入目标接入节点后,核心网节点可以获取第二终端上报的用户信息;然后,核心网节点可以根据用户信息,确定第二终端所从属用户及其与用户终端组的关系,即可确定第一接入节点与目标接入节点;最后,核心网节点向第一接入节点发送密钥推衍输入参数传输的指示,指示向第二终端的目标接入节点发送密钥推衍输入参数;第一接入节点可以根据指示通过接口向目标接入节点发送第一终端所存储的NCC参数信息,目标接入节点将收到的NCC参数信息转发给第二终端,以使第二终端进行接入节点根密钥参数的推衍。
可以理解的是,本实施例中,密钥推衍输入参数可以包括NCC参数信息,核心网节点向第一接入节点发送密钥推衍输入参数传输的指示,即可以认为核心网节点向第一接入节点发送NCC参数信息的指示。
若所述目标接入节点为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述目标接入节点存储的NCC参数信息。
具体地,本实施例中,若目标接入节点为所述第一接入节点,即若第一终端和第二终端接入同一接入节点,则目标接入节点本身即可直接获取并存储第一终端的NCC参数信息,第二终端在获取NCC参数信息时,可以直接由目标接入节点向第二终端发送NCC参数信息。
可选地,在上述各实施例的基础上,所述获取所述基础密钥包括:
若所述第二终端处于非激活态,则所述第二终端确定所述基础密钥为所述第二终端内部存储的与核心网节点相互认证的根密钥;
若所述第二终端处于连接态,则所述第二终端确定所述基础密钥为所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
具体地,第二终端接入网络后,第二终端可以根据其RRC状态确定用于接入节点根密钥参数推衍的基础密钥。
具体地,若第二终端处于Inactive态,则第二终端可以确定其与目标接入节点密钥推衍的基础密钥为终端内部存储与核心网节点相互认证的根密钥;
若第二终端处于Connected态,则第二终端可以确定其与目标接入节点密钥推衍的基础密钥为终端和网络侧所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥;
可以理解的是,终端与核心网节点均内部存储有上述根密钥。
可选地,在上述各实施例的基础上,所述获取所述用户相关参数信息包括:
所述第二终端在激活与用户的从属关系后,通过人机接口获取所述用户相关参数信息。
具体地,用户在移动过程中,激活与第二终端的从属关系后,第二终端则可以通过人机接口获取并存储用户相关参数信息,使第二终端明确所属用户,并为用户提供服务,和/或通过感知识别用户所需连续性传输的业务标识信息等。
可选地,在上述各实施例的基础上,所述用户相关参数信息包括,用于明确所述第二终端所属用户的用户相关参数信息,和/或用于保证所述用户在移动过程中在终端间保持连续性传输的业务标识信息。
具体地,第二终端获取的用于接入节点根密钥参数推衍的用户相关参数信息,可以是第二终端所属用户的用户相关参数信息如用户特有标识、用户身份信息等,使终端明确所属用户,并为用户提供服务;和/或用于保证用户在移动过程中在终端间保持连续性传输的业务标识信息,即可以通过感知识别用户所需连续性传输的业务标识信息等。
可选地,在上述各实施例的基础上,所述获取所述网络参数信息包括:
接入所述目标接入节点后,获取所述目标接入节点对应的网络参数信息。
具体地,第二终端在接入目标接入节点后,可以获取目标接入节点对应的网络参数信息,比如目标小区PCI(Physical Cell Identifier,物理小区标识),目标ARFCN-DL(Absolute Radio Frequency Channel Number-Downlink,下行无线信道编号)等信息,用于推衍接入节点根密钥参数。
可选地,在上述各实施例的基础上,所述目标设备为所述目标接入节点;
所述获取所述NCC参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述NCC参数信息;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的NCC参数,则可以于核心网节点存储NCC参数信息。因此目标接入节点在获取第一终端对应的NCC参数信息时,可以获取核心网节点发送的NCC参数信息;
可以理解的是,核心网节点在第二终端接入目标接入节点后才可以根据第二终端的用户相关参数信息确定其所属用户下第一终端对应的NCC参数信息,即核心网节点在第二终端接入目标接入节点后才可以向目标接入节点发送NCC参数信息。
或在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述NCC参数信息。
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的NCC参数,则可以于第一接入节点存储NCC参数信息。因此目标接入节点在获取第一终端对应的NCC参数信息时,可以获取第一接入节点发送的NCC参数信息。
可选地,在上述各实施例的基础上,所述获取第一接入节点发送的所述NCC参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的。
具体地,若所述目标接入节点不为所述第一接入节点,即若第一终端和第二终端并未接入同一接入节点,第二终端在获取NCC参数信息时,首先第二终端接入目标接入节点后,核心网节点可以获取第二终端上报的用户信息;然后,核心网节点可以根据用户信息,确定第二终端所从属用户及其与用户终端组的关系,即可确定第一接入节点与目标接入节点;最后,核心网节点向第一接入节点发送密钥推衍输入参数传输的指示,指示向第二终端的目标接入节点发送密钥推衍输入参数;第一接入节点可以根据指示通过接口向目标接入节点发送第一终端所存储的NCC参数信息,以使目标接入节点进行接入节点根密钥参数的推衍。
可以理解的是,本实施例中,密钥推衍输入参数可以包括NCC参数信息,核心网节点向第一接入节点发送密钥推衍输入参数传输的指示,即可以认为核心网节点向第一接入节点发送NCC参数信息的指示。
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述目标接入节点获取其存储的NCC参数信息。
具体地,本实施例中,若目标接入节点为所述第一接入节点,即若第一终端和第二终端接入同一接入节点,则目标接入节点即为第一接入节点,因此目标接入节点即可直接获取并存储第一终端的NCC参数信息。
可选地,在上述各实施例的基础上,所述获取所述基础密钥包括:
获取核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息发送的基础密钥;所述基础密钥是所述核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的。
具体地,在第二终端接入网络后,核心网节点可以获取第二终端上报的用户相关参数信息,根据用户相关参数信息确定第二终端所从属用户及其与用户终端组的关系,并确定第二终端对应的用于接入节点根密钥参数推衍的基础密钥。
本实施例中,核心网节点确定第二终端对应的用于接入节点根密钥参数推衍的基础密钥后,将其发送给目标接入节点,以使目标接入节点将其用于接入节点根密钥参数的推衍。
可选地,在上述各实施例的基础上,核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的基础密钥为:
核心网节点在所述第二终端处于非激活态时确定的所述第二终端内部存储的与核心网节点相互认证的根密钥;或
核心网节点在所述第二终端处于连接态时确定的所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
具体地,对处于Inactive态的第二终端,核心网节点可以确定第二终端与目标接入节点密钥推衍的基础密钥为终端内部存储与核心网节点相互认证的根密钥;
对处于Connected态的第二终端,核心网节点可以确定第二终端与目标接入节点进行接入节点根密钥参数推衍所需的基础密钥为终端和网络侧所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥;
可以理解的是,终端与核心网节点均内部存储有上述根密钥。
可选地,在上述各实施例的基础上,所述获取所述用户相关参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述用户相关参数信息;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的用户相关参数信息,则可以于核心网节点存储用户相关参数信息。因此目标接入节点在获取第一终端对应的用户相关参数信息时,可以获取核心网节点发送的用户相关参数信息;
可以理解的是,核心网节点在第二终端接入目标接入节点后才可以根据第二终端的用户相关参数信息确定其所属用户下第一终端对应的用户相关参数信息,即核心网节点在第二终端接入目标接入节点后才可以向目标接入节点发送用户相关参数信息。
或在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述用户相关参数信息。
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的用户相关参数信息,则可以于第一接入节点存储用户相关参数信息。因此目标接入节点在获取第一终端对应的用户相关参数信息时,可以获取第一接入节点发送的用户相关参数信息。
可以理解的是,本实施例中,由于第一终端和第二终端从属于同一用户,即第一终端和第二终端对应的用户相关参数信息是相同的。
可选地,在上述各实施例的基础上,所述获取第一接入节点发送的所述用户相关参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述用户相关参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
具体地,若所述目标接入节点不为所述第一接入节点,即若第一终端和第二终端并未接入同一接入节点,第二终端在获取用户相关参数信息时,首先第二终端接入目标接入节点后,核心网节点可以获取第二终端上报的用户相关参数信息;然后,核心网节点可以根据第二终端对应的用户相关参数信息,确定第二终端所从属用户及其与用户终端组的关系,即可确定第一接入节点与目标接入节点;最后,核心网节点向第一接入节点发送密钥推衍输入参数传输的指示,指示向第二终端的目标接入节点发送密钥推衍输入参数;第一接入节点可以根据指示通过接口向目标接入节点发送第一终端所存储的用户相关参数信息,以使目标接入节点进行接入节点根密钥的推衍。
可以理解的是,本实施例中,密钥推衍输入参数可以包括用户相关参数信息,核心网节点向第一接入节点发送密钥推衍输入参数传输的指示,即可以认为核心网节点向第一接入节点发送用户相关参数信息的指示。
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述目标接入节点获取其存储的用户相关参数信息。
具体地,本实施例中,若目标接入节点为所述第一接入节点,即若第一终端和第二终端接入同一接入节点,则目标接入节点即为第一接入节点,因此目标接入节点即可直接获取并存储第一终端的用户相关参数信息。
可选地,在上述各实施例的基础上,应用于目标设备,所述方法还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
具体地,若用户与第二终端之间的从属关系解除,第二终端即目标接入点均删除在接入节点根密钥参数推衍过程中获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、以及推衍获得的接入节点根密钥参数。
本申请实施例提供的接入网安全处理方法,通过分别获取所述同一用户的第一终端对应的NCC参数信息、基础密钥、用户相关参数信息,以及网络参数信息;并根据这些信息,确定接入节点根密钥参数,然后激活第二终端与目标接入节点之间接入层AS的安全过程;实现了一个用户具有多个终端时,用户在移动过程中在不同终端间变更时,快速激活并使用AS层安全过程,达到降低中断时延的效果。
图4是本申请另一实施例提供的接入网安全处理方法流程示意图,如图4所示,该方法包括如下步骤:
步骤400,第一接入节点存储安全输入参数;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的基础密钥参数、NCC参数、用户相关参数信息,则第一接入节点可以获取并存储第一终端对应的安全输入参数,比如NCC参数信息,用户相关参数信息(比如用户特有标识、用户身份信息等,和/或用户在移动过程中需在终端间保持连续性传输的业务标识信息等)。
步骤401,第二终端获取用户相关参数信息;
具体地,用户在移动过程中,激活与第二终端的从属关系后,第二终端则可以通过人机接口获取并存储用户相关参数信息,使第二终端明确所属用户,并为用户提供服务,和/或通过感知识别用户所需连续性传输的业务标识信息等。
步骤402,第二终端获取第一终端发送的NCC参数信息;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的NCC参数,因此第二终端在获取第一终端对应的NCC参数信息时,可以直接获取第一终端发送的NCC参数信息,第二终端获取该NCC参数信息并存储,用于第二终端内的接入节点根密钥参数推衍。
步骤403,获取网络参数信息及基础密钥;
具体地,第二终端接入网络后,第二终端可以获取目标接入节点对应的网络参数信息;
具体地,第二终端接入网络后,第二终端和核心网节点可以根据其RRC状态确定用于接入节点根密钥参数推衍的基础密钥。
具体地,若第二终端处于Inactive态,则第二终端和核心网节点可以确定其与接入节点用于接入节点根密钥参数推衍的基础密钥为终端内部存储与核心网节点相互认证的根密钥;
若第二终端处于Connected态,则第二终端和核心网节点可以确定其与目标接入节点用于接入节点根密钥参数推衍的基础密钥为终端和网络侧所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥;
可以理解的是,核心网节点在确定了用于接入节点根密钥参数推衍的基础密钥后,向目标接入节点发送第二终端对应的基础密钥;目标接入节点获取核心网节点发送的基础密钥;
可以理解的是,核心网节点在第二终端接入目标接入节点后获取第二终端上报的用户信息,然后核心网节点即可根据用户信息,确定第二终端所从属用户及其与用户终端组的关系,才可以向目标接入节点发送第二终端对应的用于接入节点根密钥参数推衍的基础密钥。
步骤404,核心网节点指示第一接入节点发送NCC参数信息及用户相关参数信息;
具体地,本实施例中,第一终端和第二终端并未接入同一接入节点,目标接入节点不为第一接入节点,目标接入节点在获取NCC参数信息及用户相关参数信息时,首先第二终端接入目标接入节点后,核心网节点可以获取第二终端上报的用户信息;然后,核心网节点可以根据用户信息,确定第二终端所从属用户及其与用户终端组的关系,即可确定第一接入节点与目标接入节点;最后,核心网节点向第一接入节点发送密钥推衍输入参数传输的指示,指示向第二终端的目标接入节点发送NCC参数信息及用户相关参数信息(比如用户特有标识、用户身份信息等,和/或用户在移动过程中需在终端间保持连续性传输的业务标识信息等)。
步骤405,第一接入节点发送NCC参数信息及用户相关参数信息;
具体地,本实施例中,第一接入节点根据核心网节点的指示,通过接口向目标接入节点发送第一终端所存储的NCC参数信息及用户相关参数信息。
步骤406,推衍接入节点根密钥参数;
具体地,第二终端和目标接入节点分别根据获取到的NCC参数信息,用户相关参数信息,基础密钥,和网络参数信息,进行接入节点根密钥参数的推衍。
可以理解的是,第二终端和目标接入节点所获取到的NCC参数信息,用户相关参数信息,基础密钥,和网络相关参数信息是一致的,因此二者基于一致的密钥推衍输入参数,可以推衍出相同的接入节点根密钥参数。
步骤407,激活AS安全过程。
具体地,在第二终端和目标接入节点分别推衍获得接入节点根密钥参数后,可以利用二者推衍获得的接入节点根密钥参数,进行控制面与用户面的密钥推衍,激活AS的安全过程。
图5是本申请又一实施例提供的接入网安全处理方法流程示意图,如图5所示,该方法包括如下步骤:
步骤500,核心网节点存储安全输入参数;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的基础密钥参数、NCC参数、用户相关参数信息,则核心网节点可以获取并存储第一终端对应的安全输入参数,比如NCC参数信息,用户相关参数信息(比如用户特有标识、用户身份信息等,和/或用户在移动过程中需在终端间保持连续性传输的业务标识信息等)。
步骤501,第二终端获取用户相关参数信息;
具体地,用户在移动过程中,激活与第二终端的从属关系后,第二终端则可以通过人机接口获取并存储用户相关参数信息,使第二终端明确所属用户,并为用户提供服务,和/或通过感知识别用户所需连续性传输的业务标识信息等。
步骤502,第二终端获取第一终端发送的NCC参数信息;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的NCC参数,因此第二终端在获取第一终端对应的NCC参数信息时,可以直接获取第一终端发送的NCC参数信息,第二终端获取该NCC参数信息并存储,用于第二终端内的接入节点根密钥参数推衍。
步骤503,获取网络参数信息及基础密钥;
具体地,第二终端接入网络后,第二终端可以获取目标接入节点对应的网络参数信息;
具体地,第二终端接入网络后,第二终端和核心网节点可以根据其RRC状态确定用于接入节点根密钥参数推衍的基础密钥。
具体地,若第二终端处于Inactive态,则第二终端和核心网节点可以确定其与目标接入节点用于接入节点根密钥参数推衍的基础密钥为终端内部存储与核心网节点相互认证的根密钥;
若第二终端处于Connected态,则第二终端和核心网节点可以确定其与目标接入节点用于接入节点根密钥参数推衍的基础密钥为终端和网络侧所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥;
可以理解的是,核心网节点在确定了用于接入节点根密钥参数推衍的基础密钥后,可以在步骤504中向目标接入节点发送第二终端对应的基础密钥;目标接入节点获取核心网节点发送的基础密钥。
步骤504,核心网节点发送NCC参数信息、基础密钥及用户相关参数信息;
具体地,本实施例中,目标接入节点在获取NCC参数信息及用户相关参数信息时,首先第二终端接入目标接入节点后,核心网节点可以获取第二终端上报的用户信息;然后,核心网节点可以根据用户信息,确定第二终端所从属用户及其与用户终端组的关系,即可确定第一接入节点与目标接入节点;最后,核心网节点向目标接入节点发送NCC参数信息、基础密钥及用户相关参数信息;
可以理解的是,本实施例中,核心网节点向目标接入节点发送的基础密钥是核心网节点在步骤503中确定的。
步骤505,推衍接入节点根密钥参数;
具体地,第二终端和目标接入节点分别根据获取到的NCC参数信息,用户相关参数信息,基础密钥,和网络参数信息,进行接入节点根密钥参数的推衍。
步骤506,激活AS安全过程。
具体地,在第二终端和目标接入节点分别推衍获得接入节点根密钥参数后,可以利用二者推衍获得的接入节点根密钥参数,进行控制面与用户面的密钥推衍,激活AS的安全过程。
图6是本申请再一实施例提供的接入网安全处理方法流程示意图,如图6所示,该方法包括如下步骤:
步骤600,核心网节点或第一接入节点存储安全输入参数;
具体地,用户从属第一终端已与网络侧(接入网和核心网节点)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的基础密钥参数、NCC参数、用户相关参数信息,则核心网节点或第一接入节点可以获取并存储第一终端对应的安全输入参数,比如NCC参数信息,用户相关参数信息。
步骤601,第二终端获取用户相关参数信息;
具体地,用户在移动过程中,激活与第二终端的从属关系后,第二终端则可以通过人机接口获取并存储用户相关参数信息,使第二终端明确所属用户,并为用户提供服务,和/或通过感知识别用户所需连续性传输的业务标识信息等。
步骤602,获取网络参数信息及基础密钥;
具体地,第二终端接入网络后,第二终端可以获取目标接入节点对应的网络参数信息;
具体地,第二终端接入网络后,第二终端和核心网节点可以根据其RRC状态确定用于接入节点根密钥参数推衍的基础密钥。
具体地,若第二终端处于Inactive态,则第二终端和核心网节点可以确定其与接入节点用于接入节点根密钥参数推衍的基础密钥为终端内部存储与核心网节点相互认证的根密钥;
若第二终端处于Connected态,则第二终端和核心网节点可以确定其与目标接入节点用于接入节点根密钥参数推衍的基础密钥为终端和网络侧所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥;
可以理解的是,核心网节点在确定了用于接入节点根密钥参数推衍的基础密钥后,可以在步骤604中向目标接入节点发送第二终端对应的基础密钥;目标接入节点获取核心网节点发送的基础密钥。
步骤603,向第二终端发送NCC参数信息;
具体地,本实施例中,若步骤600中核心网节点获取并存储第一终端对应的安全输入参数,则执行步骤603,核心网节点向第二终端发送第一终端对应的NCC参数信息,以供第一终端进行接入节点根密钥参数推衍。
步骤604,向目标接入节点发送NCC参数信息、基础密钥及用户相关参数信息;
具体地,本实施例中,目标接入节点在获取NCC参数信息及用户相关参数信息时,首先第二终端接入目标接入节点后,核心网节点可以获取第二终端上报的用户相关参数信息;然后,核心网节点可以根据用户相关参数信息,确定第二终端所从属用户及其与用户终端组的关系,即可确定第一接入节点与目标接入节点;最后,若步骤600中核心网节点获取并存储第一终端对应的安全输入参数,则核心网节点向目标接入节点发送NCC参数信息、基础密钥及用户相关参数信息(比如用户特有标识、用户身份信息等,和/或用户在移动过程中需在终端间保持连续性传输的业务标识信息等);若步骤600中第一接入节点获取并存储第一终端对应的安全输入参数,则核心网节点向目标接入节点发送步骤602中确定的基础密钥,并指示第一接入节点向目标接入节点发送NCC参数信息及用户相关参数信息,目标接入节点接收到第一接入节点根据指示发送的NCC参数信息及用户相关参数信息后,将其中的NCC参数信息转发给第二终端。
步骤605,推衍接入节点根密钥参数;
具体地,第二终端和目标接入节点分别根据获取到的NCC参数信息,用户相关参数信息,基础密钥,和网络参数信息,进行接入节点根密钥参数的推衍。
步骤606,激活AS安全过程。
具体地,在第二终端和目标接入节点分别推衍获得接入节点根密钥参数后,可以利用二者推衍获得的接入节点根密钥参数,进行控制面与用户面的密钥推衍,激活AS的安全过程。
图7是本申请还一实施例提供的接入网安全处理方法流程示意图,如图7所示,该方法包括如下步骤:
步骤700,第一接入节点存储安全输入参数;
具体地,用户从属第一终端已与网络侧(接入网和核心网)建立安全过程,并于第一终端存储用于接入节点根密钥参数推衍的基础密钥参数、NCC参数、用户相关参数信息,则第一接入节点可以获取并存储第一终端对应的安全输入参数,比如NCC参数信息,用户相关参数信息(比如用户特有标识、用户身份信息等,和/或用户在移动过程中需在终端间保持连续性传输的业务标识信息等)。
步骤701,第二终端获取用户相关参数信息;
具体地,用户在移动过程中,激活与第二终端的从属关系后,第二终端则可以通过人机接口获取并存储用户相关参数信息,使第二终端明确所属用户,并为用户提供服务,和/或通过感知识别用户所需连续性传输的业务标识信息等。
步骤702,获取网络参数信息及基础密钥;
具体地,第二终端接入网络后,第二终端可以获取目标接入节点对应的网络参数信息;
具体地,第二终端接入网络后,第二终端和核心网节点可以根据其RRC状态确定用于接入节点根密钥推衍的基础密钥。
具体地,若第二终端处于Inactive态,则第二终端和核心网节点可以确定其与目标接入节点用于接入节点根密钥参数推衍的基础密钥为终端内部存储与核心网节点相互认证的根密钥;
若第二终端处于Connected态,则第二终端和核心网节点可以确定其与目标接入节点用于接入节点根密钥参数推衍的基础密钥为终端和网络侧所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥;
可以理解的是,核心网节点在确定了用于接入节点根密钥参数推衍的基础密钥后,可以向目标接入节点发送第二终端对应的基础密钥;目标接入节点获取核心网节点发送的基础密钥。
步骤703,核心网节点指示第一接入节点发送NCC参数信息及用户相关参数信息;
具体地,本实施例中,第一终端和第二终端并未接入同一接入节点,目标接入节点不为第一接入节点,目标接入节点在获取NCC参数信息及用户相关参数信息时,首先第二终端接入目标接入节点后,核心网节点可以获取第二终端上报的用户信息;然后,核心网节点可以根据用户信息,确定第二终端所从属用户及其与用户终端组的关系,即可确定第一接入节点与目标接入节点;最后,核心网节点向第一接入节点发送密钥推衍输入参数传输的指示,指示向第二终端的目标接入节点发送NCC参数信息及用户相关参数信息。
步骤704,第一接入节点发送NCC参数信息及用户相关参数信息;
具体地,本实施例中,第一接入节点根据核心网节点的指示,通过接口向目标接入节点发送第一终端所存储的NCC参数信息及用户相关参数信息;
步骤705,向第二终端发送NCC参数信息;
具体地,目标接入节点获取第一接入节点发送的NCC参数信息后,可以将其转发给第二终端,以使第二终端进行接入节点根密钥的推衍。
步骤706,推衍接入节点根密钥参数;
具体地,第二终端和目标接入节点分别根据获取到的NCC参数信息,用户相关参数信息,基础密钥,和网络参数信息,进行接入节点根密钥参数的推衍。
步骤707,激活AS安全过程。
具体地,在第二终端和目标接入节点分别推衍获得接入节点根密钥参数后,可以利用二者推衍获得的接入节点根密钥参数,进行控制面与用户面的密钥推衍,激活AS的安全过程。
本申请实施例提供的技术方案可以适用于多种系统,尤其是5G系统。例如适用的系统可以是全球移动通讯(global system of mobile communication,GSM)系统、码分多址(code division multiple access,CDMA)系统、宽带码分多址(Wideband CodeDivision Multiple Access,WCDMA)通用分组无线业务(general packet radio service,GPRS)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequencydivision duplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统、高级长期演进(long term evolution advanced,LTE-A)系统、通用移动系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)系统、5G新空口(New Radio,NR)系统等。这多种系统中均包括终端设备和网络设备。系统中还可以包括核心网部分,例如演进的分组系统(EvlovedPacket System,EPS)、5G系统(5GS)等。
本申请实施例涉及的终端设备,可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备、或智能家居设备、传感器等可为用户使用的设备等。在不同的系统中,终端设备的名称可能也不相同,例如在5G系统中,终端设备可以称为用户设备(User Equipment,UE)。无线终端设备可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网(Core Network,CN)进行通信,无线终端设备可以是移动终端设备,如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,个人通信业务(Personal CommunicationService,PCS)电话、无绳电话、会话发起协议(Session Initiated Protocol,SIP)话机、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(Personal DigitalAssistant,PDA)等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station),移动站(mobile station)、移动台(mobile)、远程站(remotestation)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户装置(user device),本申请实施例中并不限定。
本申请实施例涉及的接入节点,可以是基站或具有基站功能的网络侧节点,如CU,DU,relay,IAB donor,IAB node等,该基站可以包括多个为终端提供服务的小区。根据具体应用场合不同,基站又可以称为接入点,或者可以是接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备,或者其它名称。网络设备可用于将收到的空中帧与网际协议(Internet Protocol,IP)分组进行相互更换,作为无线终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可包括网际协议(IP)通信网络。网络设备还可协调对空中接口的属性管理。例如,本申请实施例涉及的网络设备可以是全球移动通信系统(Global System for Mobile communications,GSM)或码分多址接入(Code DivisionMultiple Access,CDMA)中的网络设备(Base Transceiver Station,BTS),也可以是带宽码分多址接入(Wide-band Code Division Multiple Access,WCDMA)中的网络设备(NodeB),还可以是长期演进(long term evolution,LTE)系统中的演进型网络设备(evolutional Node B,eNB或e-NodeB)、5G网络架构(next generation system)中的5G基站(gNB),也可以是家庭演进基站(Home evolved Node B,HeNB)、中继节点(relay node)、家庭基站(femto)、微微基站(pico)等,本申请实施例中并不限定。在一些网络结构中,网络设备可以包括集中单元(centralized unit,CU)节点和分布单元(distributed unit,DU)节点,集中单元和分布单元也可以地理上分开布置。
图8是本申请一实施例提供的目标设备结构示意图,如图8所示,该目标设备包括存储器820、收发机810和处理器800,其中:
存储器820,用于存储计算机程序;收发机810,用于在处理器800的控制下收发数据;处理器800,用于读取所述存储器820中的计算机程序并执行以下操作:
分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
若所述目标设备为终端,则所述获取所述NCC参数信息包括:
获取所述第一终端发送的所述NCC参数信息;或
获取核心网节点在所述第二终端接入目标接入节点后发送的NCC参数信息;或
获取目标接入节点发送的NCC参数信息。
可选地,作为另一个实施例,所述获取目标接入节点发送的NCC参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入所述目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给目标接入节点,且所述目标接入节点获取后发送给所述第二终端的;其中,所述第一接入节点已与所述第一终端建立接入层AS的安全过程;
若所述目标接入节点为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述目标接入节点存储的NCC参数信息。
可选地,作为另一个实施例,所述获取所述基础密钥包括:
若所述第二终端处于非激活态,则所述第二终端确定所述基础密钥为所述第二终端内部存储的与核心网节点相互认证的根密钥;
若所述第二终端处于连接态,则所述第二终端确定所述基础密钥为所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
可选地,作为另一个实施例,所述获取所述用户相关参数信息包括:
所述第二终端在激活与用户的从属关系后,通过人机接口获取所述用户相关参数信息。
可选地,作为另一个实施例,所述用户相关参数信息包括,用于明确所述第二终端所属用户的用户相关参数信息,和/或用于保证所述用户在移动过程中在终端间保持连续性传输的业务标识信息。
可选地,作为另一个实施例,所述获取所述网络参数信息包括:
接入所述目标接入节点后,获取所述目标接入节点对应的网络参数信息。
可选地,作为另一个实施例,所述操作还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
具体地,收发机810,用于在处理器800的控制下接收和发送数据。
其中,在图8中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器800代表的一个或多个处理器800和存储器820代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机810可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元,这些传输介质包括无线信道、有线信道、光缆等传输介质。针对不同的用户设备,用户接口还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器800负责管理总线架构和通常的处理,存储器820可以存储处理器800在执行操作时所使用的数据。
可选的,处理器800可以是CPU(中央处理器)、ASIC(Application SpecificIntegrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件),处理器也可以采用多核架构。
若所述目标设备为接入节点,则所述获取所述NCC参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述NCC参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述NCC参数信息。
可选地,作为另一个实施例,所述获取第一接入节点发送的所述NCC参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的。
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述目标接入节点获取其存储的NCC参数信息。
可选地,作为另一个实施例,所述获取所述基础密钥包括:
获取核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息发送的基础密钥;所述基础密钥是所述核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的。
可选地,作为另一个实施例,核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的基础密钥为:
核心网节点在所述第二终端处于非激活态时确定的所述第二终端内部存储的与核心网节点相互认证的根密钥;或
核心网节点在所述第二终端处于连接态时确定的所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
可选地,作为另一个实施例,所述获取所述用户相关参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述用户相关参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述用户相关参数信息。
可选地,作为另一个实施例,所述获取第一接入节点发送的所述用户相关参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述用户相关参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述目标接入节点获取其存储的用户相关参数信息。
可选地,作为另一个实施例,所述操作还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
具体地,收发机810,用于在处理器800的控制下接收和发送数据。
其中,在图8中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器800代表的一个或多个处理器和存储器820代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机810可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元,这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器800负责管理总线架构和通常的处理,存储器820可以存储处理器800在执行操作时所使用的数据。
处理器800可以是中央处理器(CPU)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),处理器也可以采用多核架构。
在此需要说明的是,本申请实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
图9是本申请一实施例提供的接入网安全处理装置结构示意图,如图9所示,该装置包括:第一获取单元901和第一激活单元902;其中:
第一获取单元901用于分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
第一激活单元902用于根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
具体地,接入网安全处理装置通过第一获取单元901分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息后,再通过第一激活单元902根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程。
所述接入网安全处理装置可以为终端,相应地,所述获取所述NCC参数信息包括:
获取所述第一终端发送的所述NCC参数信息;或
获取核心网节点在所述第二终端接入目标接入节点后发送的NCC参数信息;或
获取目标接入节点发送的NCC参数信息。
可选地,作为另一个实施例,所述获取目标接入节点发送的NCC参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入所述目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给目标接入节点,且所述目标接入节点获取后发送给所述第二终端的;其中,所述第一接入节点已与所述第一终端建立接入层AS的安全过程;
若所述目标接入节点为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述目标接入节点存储的NCC参数信息。
可选地,作为另一个实施例,所述获取所述基础密钥包括:
若所述第二终端处于非激活态,则所述第二终端确定所述基础密钥为所述第二终端内部存储的与核心网节点相互认证的根密钥;
若所述第二终端处于连接态,则所述第二终端确定所述基础密钥为所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
可选地,作为另一个实施例,所述获取所述用户相关参数信息包括:
所述第二终端在激活与用户的从属关系后,通过人机接口获取所述用户相关参数信息。
可选地,作为另一个实施例,所述用户相关参数信息包括,用于明确所述第二终端所属用户的用户相关参数信息,和/或用于保证所述用户在移动过程中在终端间保持连续性传输的业务标识信息。
可选地,作为另一个实施例,所述获取所述网络参数信息包括:
接入所述目标接入节点后,获取所述目标接入节点对应的网络参数信息。
可选地,作为另一个实施例,所述操作还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
所述接入网安全处理装置还可以为接入节点,相应地,所述获取所述NCC参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述NCC参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述NCC参数信息。
可选地,作为另一个实施例,所述获取第一接入节点发送的所述NCC参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的。
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述目标接入节点获取其存储的NCC参数信息。
可选地,作为另一个实施例,所述获取所述基础密钥包括:
获取核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息发送的基础密钥;所述基础密钥是所述核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的。
可选地,作为另一个实施例,核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的基础密钥为:
核心网节点在所述第二终端处于非激活态时确定的所述第二终端内部存储的与核心网节点相互认证的根密钥;或
核心网节点在所述第二终端处于连接态时确定的所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
可选地,作为另一个实施例,所述获取所述用户相关参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述用户相关参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述用户相关参数信息。
可选地,作为另一个实施例,所述获取第一接入节点发送的所述用户相关参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述用户相关参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述目标接入节点获取其存储的用户相关参数信息。
可选地,作为另一个实施例,所述操作还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
在此需要说明的是,本申请实施例提供的上述接入网安全处理装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本申请实施例提供的接入网安全处理装置,通过分别获取所述同一用户的第一终端对应的NCC参数信息、基础密钥、用户相关参数信息,以及网络参数信息;并根据这些信息,确定接入节点根密钥参数,然后激活第二终端与目标接入节点之间接入层AS的安全过程;实现了一个用户具有多个终端时,用户在移动过程中在不同终端间变更时,快速激活并使用AS层安全过程,达到降低中断时延的效果。
需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行上述各实施例提供的方法,包括:
分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
本实施例提供的处理器可读存储介质,其上存储的计算机程序使处理器能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中,使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (30)

1.一种接入网安全处理方法,应用于目标设备,其特征在于,包括:
分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
2.根据权利要求1所述的接入网安全处理方法,其特征在于,所述目标设备为所述第二终端;
所述获取所述NCC参数信息包括:
获取所述第一终端发送的所述NCC参数信息;或
获取核心网节点在所述第二终端接入目标接入节点后发送的NCC参数信息;或
获取目标接入节点发送的NCC参数信息。
3.根据权利要求2所述的接入网安全处理方法,其特征在于,所述获取目标接入节点发送的NCC参数信息包括:
若所述目标接入节点不为第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入所述目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给目标接入节点,且所述目标接入节点获取后发送给所述第二终端的;其中,所述第一接入节点已与所述第一终端建立接入层AS的安全过程;
若所述目标接入节点为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述目标接入节点存储的NCC参数信息。
4.根据权利要求3所述的接入网安全处理方法,其特征在于,
所述获取所述基础密钥包括:
若所述第二终端处于非激活态,则所述第二终端确定所述基础密钥为所述第二终端内部存储的与核心网节点相互认证的根密钥;
若所述第二终端处于连接态,则所述第二终端确定所述基础密钥为所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
5.根据权利要求4所述的接入网安全处理方法,其特征在于,
所述获取所述用户相关参数信息包括:
所述第二终端在激活与用户的从属关系后,通过人机接口获取所述用户相关参数信息。
6.根据权利要求5所述的接入网安全处理方法,其特征在于,所述用户相关参数信息包括,用于明确所述第二终端所属用户的用户相关参数信息,和/或用于保证所述用户在移动过程中在终端间保持连续性传输的业务标识信息。
7.根据权利要求6所述的接入网安全处理方法,其特征在于,所述获取所述网络参数信息包括:
接入所述目标接入节点后,获取所述目标接入节点对应的网络参数信息。
8.根据权利要求1所述的接入网安全处理方法,其特征在于,所述目标设备为所述目标接入节点;
所述获取所述NCC参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述NCC参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述NCC参数信息。
9.根据权利要求8所述的接入网安全处理方法,其特征在于,所述获取第一接入节点发送的所述NCC参数信息包括:
若所述目标接入节点不为第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述目标接入节点获取其存储的NCC参数信息。
10.根据权利要求9所述的接入网安全处理方法,其特征在于,
所述获取所述基础密钥包括:
获取核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息发送的基础密钥;所述基础密钥是所述核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的。
11.根据权利要求10所述的接入网安全处理方法,其特征在于,核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的基础密钥为:
核心网节点在所述第二终端处于非激活态时确定的所述第二终端内部存储的与核心网节点相互认证的根密钥;或
核心网节点在所述第二终端处于连接态时确定的所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
12.根据权利要求11所述的接入网安全处理方法,其特征在于,
所述获取所述用户相关参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述用户相关参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述用户相关参数信息。
13.根据权利要求12所述的接入网安全处理方法,其特征在于,所述获取第一接入节点发送的所述用户相关参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述用户相关参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述目标接入节点获取其存储的用户相关参数信息。
14.根据权利要求1至13任一所述的接入网安全处理方法,应用于目标设备,其特征在于,所述方法还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
15.一种目标设备,其特征在于,包括存储器、收发机和处理器:
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
16.根据权利要求15所述的目标设备,其特征在于,所述目标设备为终端;所述获取所述NCC参数信息包括:
获取所述第一终端发送的所述NCC参数信息;或
获取核心网节点在所述第二终端接入目标接入节点后发送的NCC参数信息;或
获取目标接入节点发送的NCC参数信息。
17.根据权利要求16所述的目标设备,其特征在于,所述获取目标接入节点发送的NCC参数信息包括:
若所述目标接入节点不为第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入所述目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给目标接入节点,且所述目标接入节点获取后发送给所述第二终端的;其中,所述第一接入节点已与所述第一终端建立接入层AS的安全过程;
若所述目标接入节点为所述第一接入节点,则获取目标接入节点发送的NCC参数信息,其中,所述NCC参数信息为所述目标接入节点存储的NCC参数信息。
18.根据权利要求17所述的目标设备,其特征在于,所述获取所述基础密钥包括:
若所述第二终端处于非激活态,则所述第二终端确定所述基础密钥为所述第二终端内部存储的与核心网节点相互认证的根密钥;
若所述第二终端处于连接态,则所述第二终端确定所述基础密钥为所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
19.根据权利要求18所述的目标设备,其特征在于,所述获取所述用户相关参数信息包括:
所述第二终端在激活与用户的从属关系后,通过人机接口获取所述用户相关参数信息。
20.根据权利要求19所述的目标设备,其特征在于,所述用户相关参数信息包括,用于明确所述第二终端所属用户的用户相关参数信息,和/或用于保证所述用户在移动过程中在终端间保持连续性传输的业务标识信息。
21.根据权利要求20所述的目标设备,其特征在于,所述获取所述网络参数信息包括:
接入所述目标接入节点后,获取所述目标接入节点对应的网络参数信息。
22.根据权利要求15所述的目标设备,其特征在于,所述目标设备为所述目标接入节点;所述获取所述NCC参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述NCC参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述NCC参数信息。
23.根据权利要求22所述的目标设备,其特征在于,所述获取第一接入节点发送的所述NCC参数信息包括:
若所述目标接入节点不为第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述NCC参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述NCC参数信息,其中,所述目标接入节点获取其存储的NCC参数信息。
24.根据权利要求23所述的目标设备,其特征在于,所述获取所述基础密钥包括:
获取核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息发送的基础密钥;所述基础密钥是所述核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的。
25.根据权利要求24所述的目标设备,其特征在于,核心网节点在所述第二终端接入目标接入节点后,基于所述第二终端的RRC状态确定的基础密钥为:
核心网节点在所述第二终端处于非激活态时确定的所述第二终端内部存储的与核心网节点相互认证的根密钥;或
核心网节点在所述第二终端处于连接态时确定的所述第二终端和核心网节点所存储的根密钥,或经过NAS安全过程记录的核心网节点的根密钥。
26.根据权利要求25所述的目标设备,其特征在于,所述获取所述用户相关参数信息包括:
在所述第二终端接入目标接入节点后,所述目标接入节点获取核心网节点发送的所述用户相关参数信息;或
在所述第二终端接入目标接入节点后,所述目标接入节点获取第一接入节点发送的所述用户相关参数信息。
27.根据权利要求26所述的目标设备,其特征在于,所述获取第一接入节点发送的所述用户相关参数信息包括:
若所述目标接入节点不为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述用户相关参数信息为所述核心网节点在第二终端接入目标接入节点后,根据所述第二终端的用户相关参数信息,指示所述第一接入节点发送给所述目标接入节点的;
若所述目标接入节点为所述第一接入节点,则获取第一接入节点发送的所述用户相关参数信息,其中,所述目标接入节点获取其存储的用户相关参数信息。
28.根据权利要求15至27任一所述的目标设备,其特征在于,所述操作还包括:
在用户与第二终端之间的从属关系解除后,删除所获取的NCC参数信息、基础密钥、用户相关参数信息、网络参数信息、及所述接入节点根密钥参数。
29.一种接入网安全处理装置,其特征在于,包括:
获取单元,用于分别获取下一跳参数链计数器NCC参数信息、用于计算第二终端与目标接入节点的接入节点根密钥参数所使用的基础密钥、用户相关参数信息,以及所述目标接入节点对应的网络参数信息;
激活单元,用于根据所述NCC参数信息、所述基础密钥、所述用户相关参数信息以及网络参数信息,确定所述接入节点根密钥参数,以激活所述第二终端与所述目标接入节点之间接入层AS的安全过程;
其中,已完成AS的安全过程的第一终端与所述第二终端具有相同的所述用户相关参数信息,且所述第一终端与用户保持从属关系,且所述NCC参数信息与所述第一终端相对应。
30.一种处理器可读存储介质,其特征在于,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行权利要求1至14任一项所述的方法。
CN202010801965.6A 2020-08-11 2020-08-11 接入网安全处理方法、设备、装置及存储介质 Active CN114079920B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010801965.6A CN114079920B (zh) 2020-08-11 2020-08-11 接入网安全处理方法、设备、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010801965.6A CN114079920B (zh) 2020-08-11 2020-08-11 接入网安全处理方法、设备、装置及存储介质

Publications (2)

Publication Number Publication Date
CN114079920A true CN114079920A (zh) 2022-02-22
CN114079920B CN114079920B (zh) 2023-01-20

Family

ID=80279963

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010801965.6A Active CN114079920B (zh) 2020-08-11 2020-08-11 接入网安全处理方法、设备、装置及存储介质

Country Status (1)

Country Link
CN (1) CN114079920B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080281971A1 (en) * 2007-05-07 2008-11-13 Nokia Corporation Network multimedia communication using multiple devices
CN102083063A (zh) * 2009-11-30 2011-06-01 大唐移动通信设备有限公司 一种确定as密钥的方法、系统和设备
CN109309920A (zh) * 2017-07-28 2019-02-05 华为技术有限公司 安全实现方法、相关装置以及系统
CN109644339A (zh) * 2017-01-30 2019-04-16 瑞典爱立信有限公司 连接模式期间5g中的安全性上下文处理
CN110710238A (zh) * 2018-01-19 2020-01-17 Oppo广东移动通信有限公司 指示用户设备获取密钥的方法、用户设备及网络设备
CN111386720A (zh) * 2017-09-27 2020-07-07 日本电气株式会社 通信终端、核心网络装置、核心网络节点、网络节点和密钥导出方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080281971A1 (en) * 2007-05-07 2008-11-13 Nokia Corporation Network multimedia communication using multiple devices
CN102083063A (zh) * 2009-11-30 2011-06-01 大唐移动通信设备有限公司 一种确定as密钥的方法、系统和设备
CN109644339A (zh) * 2017-01-30 2019-04-16 瑞典爱立信有限公司 连接模式期间5g中的安全性上下文处理
CN109309920A (zh) * 2017-07-28 2019-02-05 华为技术有限公司 安全实现方法、相关装置以及系统
CN111386720A (zh) * 2017-09-27 2020-07-07 日本电气株式会社 通信终端、核心网络装置、核心网络节点、网络节点和密钥导出方法
CN110710238A (zh) * 2018-01-19 2020-01-17 Oppo广东移动通信有限公司 指示用户设备获取密钥的方法、用户设备及网络设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"S3-000561", 《3GPP TSG_SA\WG3_SECURITY》 *

Also Published As

Publication number Publication date
CN114079920B (zh) 2023-01-20

Similar Documents

Publication Publication Date Title
US11178583B2 (en) Mobility management method for low overhead state
CN114071670A (zh) 上行定位方法、装置及存储介质
EP3664404B1 (en) Efficient communication method between a terminal and ams plus smf
CN112770375B (zh) 信息确定、参数配置方法及装置
CN114390602B (zh) 连接建立方法、装置、设备及存储介质
CN114390557A (zh) 数据传输控制方法、装置及存储介质
CN115334600A (zh) 条件重配方法、设备、装置及存储介质
CN113286331A (zh) 重建立的方法和通信装置
CN114071612A (zh) 辅小区组的主小区更新方法、装置及存储介质
CN114339925A (zh) 切换方法、装置、终端设备、网络设备及存储介质
CN114071805A (zh) 业务处理方法、信息指示方法、终端和网络设备
CN112543450A (zh) 密钥推衍方法及装置
CN112055387A (zh) 一种小区切换方法及装置
CN114765815A (zh) 小区切换方法、装置及存储介质
CN114765577A (zh) 测量配置的指示方法、确定方法、装置、设备及存储介质
CN114079920B (zh) 接入网安全处理方法、设备、装置及存储介质
CN114390601B (zh) 控制信令传输方法、装置、iab节点、源宿主和目标宿主
CN115314958A (zh) QoE测量的配置方法、设备、装置及存储介质
CN114599120A (zh) 终端rrc连接恢复的方法和装置
CN114125834A (zh) 一种应用层密钥确定的方法、终端、网络侧设备及装置
CN114585110A (zh) 终端进入非激活态的控制方法和装置
CN114567911A (zh) 一种切片映射方法、第一网元、第二网元及存储介质
CN114765507A (zh) 定位导频配置方法、装置、终端设备、接入网设备及存储介质
CN115119270B (zh) 数据传输方法、装置及存储介质
CN114071361B (zh) 一种基站内精确查找用户的方法、基站及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant