CN114363889A - 远端ue的密钥派生方法及装置、远端ue、网络侧 - Google Patents
远端ue的密钥派生方法及装置、远端ue、网络侧 Download PDFInfo
- Publication number
- CN114363889A CN114363889A CN202011050130.8A CN202011050130A CN114363889A CN 114363889 A CN114363889 A CN 114363889A CN 202011050130 A CN202011050130 A CN 202011050130A CN 114363889 A CN114363889 A CN 114363889A
- Authority
- CN
- China
- Prior art keywords
- indication information
- remote
- counting
- key derivation
- derivation method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000009795 derivation Methods 0.000 title claims abstract description 71
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004590 computer program Methods 0.000 claims description 18
- 230000011664 signaling Effects 0.000 abstract description 27
- 239000002699 waste material Substances 0.000 abstract description 13
- 238000004891 communication Methods 0.000 description 15
- 230000007246 mechanism Effects 0.000 description 10
- 230000009286 beneficial effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种远端UE的密钥派生方法及装置、远端UE、网络侧,所述方法包括:确定当前安全参数;从网络侧接收计数指示信息,并根据所述计数指示信息确定用于派生新的安全参数的计数值;根据所述当前安全参数以及所述计数值,派生所述新的安全参数。本发明可以有效地降低信令开销并减少资源浪费。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种远端UE的密钥派生方法及装置、远端UE、网络侧。
背景技术
在无线通信中,用户终端(User Equipment,UE)在小区覆盖范围之内,可以接收系统消息和寻呼消息,在有业务需求时,可以发起随机接入流程建立无线资源控制(RadioResource Control,RRC)连接,进而在完成安全激活之后,建立数据无线承载开始传输业务数据。
如果UE处于网络覆盖范围之外,UE通常不能与网络进行信息交互。然而在实际的网络部署中,总会存在覆盖盲点,如何解决覆盖盲点上UE的通信是移动公司一直期待解决的问题。
在新空口(New Radio,NR)中,考虑引入中继UE用于提升网络覆盖,解决覆盖盲点的问题。
在远端UE(Remote UE)通过中继UE(Relay UE)接入网络时,网络需要为远端UE进行鉴权,在鉴权成功之后,为远端UE配置安全参数,如加密算法和完整性保护算法等,以便远端UE和网络侧之间通过中继UE传输的数据和信令能够安全。
在现有的密钥派生方法中,是基于中继UE切换的目标小区的物理小区标识(Physical Cell Identifier,PCI)和下行频率(DL Frequency),派生新的安全参数(如KgNB),进而基于安全参数派生出新的密钥的。
然而,中继UE一旦切换小区,远端UE就需要更新密钥,这需要远端UE一直获知中继UE所接入的小区的PCI和下行频率,在切换过程中信令开销很大。进一步地,在下行时,还容易发生远端UE无法区分从中继UE收到的数据的问题;在上行时,还容易发生中继UE需要丢弃所有收到的上行数据的问题,导致资源浪费严重。
亟需一种远端UE的密钥派生方法,可以降低信令开销并且减少资源浪费。
发明内容
本发明解决的技术问题是提供一种远端UE的密钥派生方法及装置、远端UE、网络侧,可以有效地降低信令开销并减少资源浪费。
为解决上述技术问题,本发明实施例提供一种远端UE的密钥派生方法,包括以下步骤:确定当前安全参数;从网络侧接收计数指示信息,并根据所述计数指示信息确定用于派生新的安全参数的计数值;根据所述当前安全参数以及所述计数值,派生所述新的安全参数。
可选的,所述计数指示信息为网络侧配置的计数值;根据所述计数指示信息确定用于派生新的安全参数的计数值包括:直接采用所述计数指示信息作为所述用于派生新的安全参数的计数值。
可选的,根据所述计数指示信息确定用于派生新的安全参数的计数值包括:当接收到所述计数指示信息时,触发对当前的计数值进行更新。
可选的,触发对当前的计数值进行更新包括:触发对所述当前的计数值进行加一运算。
可选的,所述计数指示信息采用PDCP数据包中的预设比特信息指示。
可选的,从网络侧接收计数指示信息包括:在经过中继UE成功接入目标小区之后,从所述网络侧接收所述计数指示信息。
可选的,所述的密钥派生方法还包括:根据所述新的安全参数,派生新的加密密钥以及完整性保护密钥。
可选的,所述计数指示信息在预设时长内被发送多次;从网络侧接收计数指示信息包括:如果当前接收到所述计数指示信息的时刻与前一次接收到计数指示信息的时刻之间的时间差小于所述预设时长,则忽略所述当前接收到的计数指示信息。
为解决上述技术问题,本发明实施例提供一种远端UE的密钥派生方法,包括以下步骤:向所述远端UE发送计数指示信息,以使所述远端UE根据所述计数指示信息确定用于派生新的安全参数的计数值,并根据当前安全参数以及所述计数值,派生新的安全参数。
可选的,所述计数指示信息为网络侧配置的计数值;向所述远端UE发送计数指示信息包括:发送配置的计数值,以使所述远端UE直接采用所述计数指示信息作为所述用于派生新的安全参数的计数值。
可选的,向所述远端UE发送计数指示信息包括:发送所述计数指示信息,以使所述远端UE在接收到所述计数指示信息时,触发对当前的计数值进行更新。
可选的,向所述远端UE发送计数指示信息包括:发送所述计数指示信息,以使所述远端UE在接收到所述计数指示信息时,触发对所述当前的计数值进行加一运算。
可选的,所述计数指示信息采用PDCP数据包中的预设比特信息指示。
可选的,向所述远端UE发送计数指示信息包括:在经由中继UE成功接入目标小区之后,向所述远端UE发送所述计数指示信息。
可选的,向所述远端UE发送计数指示信息包括:在预设时长内向所述远端UE发送多次所述计数指示信息,以使所述远端UE在当前接收到所述计数指示信息的时刻与前一次接收到计数指示信息的时刻之间的时间差小于所述预设时长时触发一次计数信息的更新,忽略其他计数更新信息。
为解决上述技术问题,本发明实施例提供一种远端UE的密钥派生装置,包括:安全参数确定模块,用于确定当前安全参数;接收模块,用于从网络侧接收计数指示信息,并根据所述计数指示信息确定用于派生新的安全参数的计数值;派生模块,用于根据所述当前安全参数以及所述计数值,派生所述新的安全参数。
为解决上述技术问题,本发明实施例提供一种远端UE的密钥派生装置,包括:发送模块,用于向所述远端UE发送计数指示信息,以使所述远端UE根据所述计数指示信息确定用于派生新的安全参数的计数值,并根据当前安全参数以及所述计数值,派生新的安全参数。
为解决上述技术问题,本发明实施例提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器运行时执行上述远端UE的密钥派生方法的步骤。
为解决上述技术问题,本发明实施例提供一种远端UE,包括存储器和处理器,所述存储器上存储有能够在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行上述远端UE的密钥派生方法的步骤。
为解决上述技术问题,本发明实施例提供一种网络侧,包括存储器和处理器,所述存储器上存储有能够在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行上述远端UE的密钥派生方法的步骤。
与现有技术相比,本发明实施例的技术方案具有以下有益效果:
在本发明实施例中,在需要更新密钥时,通过当前安全参数和计数(Counter)值共同派生出新的安全参数,相比于现有技术中需要基于当前安全参数、中继UE新接入目标小区的下行频率、PCI派生新的安全参数,可以使得远端UE不需要获知服务小区的下行频率和PCI,也就不需要获知中继UE何时切换至新的目标小区,即使中继UE频繁切换服务小区,也不受其影响,更不需要频繁派生新的安全参数和密钥,有效地降低信令开销,进一步地,由于每当派生新的密钥后,可能存在目标小区不能解析原密钥加密的数据的情况,此时中继UE需要丢弃所有收到的上行数据,导致资源浪费严重,采用本发明实施例的方案,有效降低了派生新的安全参数和密钥的频率,有助于减少资源浪费。
进一步,所述计数指示信息可以为网络侧配置的计数值,则远端UE可以直接采用收到的计数值派生新的安全参数,有助于提高派生的效率,降低运算的复杂度。
进一步,当接收到所述计数指示信息时,触发对当前的计数值进行更新,有助于采用较少的比特信息指示远端UE对计数值进行更新,从而进一步减少信令开销。
进一步,在所述中继UE成功接入目标小区之后,从所述网络侧接收所述计数指示信息,由于在中继UE成功接入后才派生新的安全参数以及密钥,新的目标小区既可以解析旧密钥加密的数据,也可以解析新密钥加密的数据,在密钥更新之后,中继UE包含的远端UE发送过来的由旧密钥加密的数据仍然可以继续发送给服务小区,而无需丢弃,采用本发明实施例的方案,可以有效解决中继UE在切换时需要丢弃缓存的远端UE的数据的问题,从而进一步减少资源浪费。
进一步,所述计数指示信息在预设时长内被发送多次;如果当前接收到所述计数指示信息的时刻与前一次接收到计数指示信息的时刻之间的时间差小于所述预设时长,则忽略所述当前接收到的计数指示信息,可以在多次发送计数指示信息避免收发错漏的同时,有效避免远端UE重复更新计数值以及重复派生的问题,提高密钥派生的正确性。
附图说明
图1是本发明实施例中一种远端UE的密钥派生方法的流程图;
图2是本发明实施例中一种密钥派生机制的示意图;
图3是本发明实施例中一种远端UE的密钥派生装置的结构示意图。
具体实施方式
如前所述,在现有的密钥派生方法中,是基于中继UE切换的目标小区的物理小区标识(Physical Cell Identifier,PCI)和下行频率(DL Frequency),派生新的安全参数(如KgNB),进而基于安全参数派生出新的密钥的。
具体地,在一个远端UE通过中继UE接入网络的场景中,中继UE可以移动,例如从服务小区1移动到服务小区2,中继UE依然继续为远端UE提供服务。中继UE与服务小区采用现有UE与服务小区的通信机制,中继UE与远端UE可以通过直接通信机制进行数据和信令交互。
进一步地,在远端UE通过中继UE接入网络时,网络需要为远端UE进行鉴权,在鉴权成功之后,为远端UE配置安全参数,如加密算法和完整性保护算法等,以便远端UE和基站之间(通过中继UE)传输的数据和信令能够安全。
根据现有协议的切换过程中的安全密钥的派生机制,密钥派生有水平派生(horizontal key derivation)和垂直派生(vertical key derivation)两种方式。
对于水平派生,在切换时,源基站和UE分别依据当前使用的密钥(如KgNB),结合切换的目标小区的物理层小区识别(Physical Cell Identity,PCI)和下行频率,采用协议规定的机制派生出在目标小区使用的密钥(例如称为KNG-RAN*或称为KgNB*)。
对于垂直派生,在切换时,源基站和UE依据NH链式计数值(NH Chaining Counter,NCC)派生出NH密钥(Next Hop,NH)。然后依据NH以及切换的目标小区的PCI(Physical CellIdentity)和下行频率,采用协议规定的机制派生出在目标小区使用的密钥KNG-RAN*(或称为KgNB*)。
本发明的发明人经过研究发现,如果远端UE的security采用现有机制,KgNB经过水平或垂直机制派生,那么中继UE一旦切换小区,远端UE就需要更新密钥,这需要远端UE一直获知中继UE所接入的小区的PCI和下行频率,在切换过程中信令开销很大。而且直接通信接口5(ProSe Direct Communication 5,PC5)上没有随机接入信道(Random AccessChannel,RACH)过程,对于下行,远端UE无法区分从中继UE收到的数据哪些数据是采用旧密钥,哪些数据采用新的密钥加密的,即何时实施切换;对于上行,中继UE也不清楚收到的数据是采用旧密钥还是新密钥加密的。尤其是上行,在切换过程中密钥改变之后,中继UE在切换之前从远端UE收到的上行数据包采用原密钥加密,在切换之后,目标小区不能解析原密钥加密的数据,因此中继UE需要丢弃所有收到但尚未上传的上行数据即缓存的远端UE发送的上行数据,这会造成很大的资源浪费。
在本发明实施例中,在需要更新密钥时,通过当前安全参数和计数(Counter)值共同派生出新的安全参数,相比于现有技术中需要基于当前安全参数、中继UE新接入目标小区的下行频率、PCI派生新的安全参数,可以使得远端UE不需要获知服务小区的下行频率和PCI,也就不需要获知中继UE何时切换至新的目标小区,即使中继UE频繁切换服务小区,也不受其影响,更不需要频繁派生新的安全参数和密钥,有效地降低信令开销,进一步地,由于每当派生新的密钥后,可能存在目标小区不能解析原密钥加密的数据的情况,此时中继UE需要丢弃所有缓存的上行数据,导致资源浪费严重,采用本发明实施例的方案,有效降低了派生新的安全参数和密钥的频率,有助于减少资源浪费。
为使本发明的上述目的、特征和有益效果能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
参照图1,图1是本发明实施例中一种远端UE的密钥派生方法的流程图。所述远端UE的密钥派生方法可以用于远端UE,还可以包括步骤S11至步骤S13:
步骤S11:确定当前安全参数;
步骤S12:从网络侧接收计数指示信息,并根据所述计数指示信息确定用于派生新的安全参数的计数值;
步骤S13:根据所述当前安全参数以及所述计数值,派生所述新的安全参数。
在步骤S11的具体实施中,远端UE可以通过中继UE接入网络,接入服务小区1。
具体地,远端UE首先通过PC5接口将需要接入网络的请求发送给中继UE,远端UE如何发现中继UE的机制可以有多种实现方式,例如中继UE告知自己周边的UE自己是中继UE,本发明实施例对此不做限制。
中继UE然后向服务小区转发了远端UE的接入网络的请求,服务小区收到之后,在资源允许的情况下,可以接受请求,然后为UE配置必要的无线参数,如信令无线承载等配置参数。如果接入网络的请求中包含了非接入层的信令(如业务请求),服务小区可以向核心网转发远端UE的非接入层信令;如果接入网络的请求中没有包含非接入层信令,服务小区可以向中继UE返回消息,携带为UE配置的无线参数,中继UE然后向远端UE转发服务小区为UE配置的参数,之后远端UE再向中继UE发送非接入层信令,服务小区收到中继UE转发的该非接入层信令之后,再向核心网发送远端UE的非接入层信令。
进一步地,所述当前安全参数可以包含KgNB,所述当前安全参数可以是首次接入网络时生成的,还可以是在切换服务小区时派生得到的,如远端UE可以初始在服务小区中建立RRC连接,之后远端UE切换到由Relay服务的场景中。
具体地,核心网会对远端UE进行鉴权,可能需要通过服务小区和中继UE再次向远端UE获取必要的信息才能完成鉴权,在鉴权通过之后,为该远端UE的业务请求配置必要的参数以及配置必要的安全参数如包含KgNB,然后向服务小区返回信令指示为远端UE分配的参数以及安全参数KgNB,还可以包括向远端UE发送的非接入层信令。
参照图2,图2是本发明实施例中一种密钥派生机制的示意图。
如图2所示,在鉴权通过之后,核心网可以为该远端UE的业务请求配置必要的参数以及配置必要的安全参数如包含KgNB,然后向服务小区返回信令指示为远端UE分配的参数以及安全算法等信息,远端UE可以基于与核心网的非接入层信令交互以及自己所保存的关于密钥派生的参数生成KgNB,以作为初始KgNB。核心网和远端UE派生初始KgNB属于现有技术。
然后网络和UE可以依据初始KgNB,派生出初始加密密钥和初始完整性保护密钥。
具体地,服务小区收到核心网返回的信令之后,意识到核心网接收了远端UE的业务请求,并且依据核心网返回的业务参数为远端UE分配数据无线承载的参数,如数据无线承载的标识、优先级、以及相关的层2参数,服务小区在收到核心网返回的安全算法等,服务小区依据UE支持安全算法以及自己所应用的安全算法,选择优先级最高的安全算法(加密算法和完整性保护算法),然后将安全算法和数据无线承载等参数通过中继UE发送给远端UE,远端UE应用收到的参数,应用安全算法以及建立数据无线承载,之后就可以开始数据传输开展业务了。
需要说明的是,上述安全算法和数据无线承载等参数的配置可以采用不同的信令发送给远端UE。
因为中继UE会移动(远端UE也会移动),比如中继UE从服务小区1移动到服务小区2,但是中继UE与远端UE之间的PC5链路还是比较稳定,即远端UE依然可以通过中继UE接入网络开展业务。
继续参照图1,在步骤S12的具体实施中,远端UE从所述网络侧接收计数指示信息,并根据所述计数指示信息确定用于派生新的安全参数的计数值。
具体地,在远端UE需要更新密钥时,可以通过当前的KgNB和计数值共同派生出新的KgNB,网络侧会向远端UE指示派生新的密钥时的计数指示信息。
在本发明实施例的一种具体实施方式中,所述计数指示信息可以为网络侧配置的计数值,根据所述计数指示信息确定用于派生新的安全参数的计数值包括:直接采用所述计数指示信息作为所述用于派生新的安全参数的计数值。
具体地,远端UE收到新的Counter值时知道需要更新密钥,并且需要依据当前的KgNB和网络指示的Counter值派生新的KgNB,而不是采用KgNB和新的小区的下行频率、PCI来派生新的密钥。
在本发明实施例中,所述计数指示信息可以为网络侧配置的计数值,则远端UE可以直接采用收到的计数值派生新的安全参数,有助于提高派生的效率,降低运算的复杂度。
在步骤S13的具体实施中,根据所述当前安全参数以及所述计数值,派生所述新的安全参数。
需要指出的是,在本发明实施例中,可以采用适当的方式派生所述新的安全参数,例如采用通信协议中公开的派生方式进行派生,还可以预先设置在当前安全参数、所述计数值以及新的安全参数之间具有映射关系的映射表,通过查表确定新的安全参数。本发明实施例对于派生所述新的安全参数的具体方法不做限制。
在本发明实施例中,在需要更新密钥时,通过当前安全参数和计数值共同派生出新的安全参数,相比于现有技术中需要基于当前安全参数、中继UE新接入目标小区的下行频率、PCI派生新的安全参数,可以使得远端UE不需要获知服务小区的下行频率和PCI,也就不需要获知中继UE何时切换至新的目标小区,即使中继UE频繁切换服务小区,也不受其影响,更不需要频繁派生新的安全参数和密钥,有效地降低信令开销,进一步地,由于每当派生新的密钥后,可能存在目标小区不能解析原密钥加密的数据的情况,此时中继UE需要丢弃所有缓存的上行数据,导致资源浪费严重,采用本发明实施例的方案,有效降低了派生新的安全参数和密钥的频率,有助于减少资源浪费。
进一步地,所述的密钥派生方法还可以包括:根据所述新的安全参数,派生新的加密密钥以及完整性保护密钥。
继续参照图2,在派生出第一KgNB之后,还可以基于第一KgNB派生出第一加密密钥和第一完整性保护密钥。可以理解的是,当后续再次触发更新远端UE的密钥时,还可以在派生出第二KgNB之后,基于第二KgNB派生出第二加密密钥和第二完整性保护密钥,以此类推,此处不再赘述。
在本发明实施例的另一种具体实施方式中,根据所述计数指示信息确定用于派生新的安全参数的计数值包括:当接收到所述计数指示信息时,触发对当前的计数值进行更新。
进一步地,所述计数指示信息可以采用分组数据汇聚协议(Packet DataConvergence Protocol,PDCP)数据包中的预设比特信息指示。
具体地,当网络触发更新远端UE的密钥时,可以只通过PDCP层指示Counter增加的信息,如通过当前PDCP数据包中保留的一位或多位预留比特位(Reserve bit)指示Counter需要进行更新,远端UE可以依据这个特殊的数据包判断需要更新密钥。在一个PDCP数据包中总会包含部分PDCP层的控制信息,比如PDCP的序列号SN,SN位于PDCP头部(PDCPheader),通常PDCP头部总有预留的比特位,可以采用预留的1bit进行指示,当所述1bit的值为1时,指示需要更新密钥,当所述1bit的值为0时,指示不需要更新密钥。或者可以扩展PDCP头部,使其包含一个新的域,用于指示Counter更新。指示密钥更新的PDCP数据包可以是独立的数据包,即不包含具体的数据,仅用于指示Counter更新。在这个指示更新密钥的数据包之后,网络向远端UE发送的数据包均采用更新之后的加密密钥进行加密。
更进一步地,可以从远端UE接收反馈数据包,所述反馈数据包用于指示密钥已更新。
具体地,在远端UE更新了密钥之后向网络反馈的数据包中,同样可以通过一个特殊的数据包指示远端UE已经更新了密钥,即在这个数据包之前采用的密钥均为旧密钥;在这个数据包之后的数据均采用新密钥加密。
在本发明实施例中,当接收到所述计数指示信息时,触发对当前的计数值进行更新,有助于采用较少的比特信息指示远端UE对计数值进行更新,从而进一步减少信令开销。
更进一步地,触发对当前的计数值进行更新的步骤可以包括:触发对所述当前的计数值进行加一运算。
在本发明实施例中,通过预先设置为加一运算,可以实现在远端UE自动更新计数值的同时,网络侧与远端UE双方均确定更新后的计数值,且有效减少网络侧与远端UE之间的信息交互,降低信令开销。
进一步地,从所述网络侧接收计数指示信息的步骤可以包括:在经过中继UE成功接入目标小区之后,从所述网络侧接收所述计数指示信息。
具体地,在现有技术中,存在资源浪费的问题。更具体而言,远端UE更新密钥之后,在上行,中继UE在切换之前从远端UE收到的上行数据包采用原密钥加密,在切换之后,目标小区不能解析原密钥加密的数据,因此中继UE需要丢弃所有已收到但还没有上传的上行数据,这会造成很大的资源浪费。
针对上述问题,如果网络需要更新远端UE的密钥,可以等中继UE成功接入目标小区之后,再实施Counter更新(即密钥更新),这样可以避免中继UE侧在切换时丢弃缓存的远端UE的数据。因为在接入新的小区之后更新密钥时,新的服务小区即目标小区既有旧的密钥,也有新的密钥,可以解析旧密钥加密的数据,也能够解析新密钥加密的数据,在密钥更新之后,中继UE缓存的远端UE发送过来的由旧密钥加密的数据仍然可以继续发送给目标服务小区。
在本发明实施例中,在所述中继UE成功接入目标小区之后,从所述网络侧接收所述计数指示信息,由于在中继UE成功接入后,网络侧才触发远端UE的密钥更新,网络侧和远端UE才派生新的安全参数以及密钥,新的目标小区既可以解析旧密钥加密的数据,也可以解析新密钥加密的数据,在密钥更新之后,中继UE缓存的远端UE发送过来的由旧密钥加密的数据仍然可以继续发送给服务小区,而无需丢弃,采用本发明实施例的方案,可以有效解决中继UE在切换时需要丢弃保存的远端UE的数据的问题,从而进一步减少资源浪费。
进一步地,所述计数指示信息在预设时长内被发送多次;从所述网络侧接收计数指示信息的步骤可以包括:如果当前接收到所述计数指示信息的时刻与前一次接收到计数指示信息的时刻之间的时间差小于所述预设时长,则忽略所述当前接收到的计数指示信息。
具体而言,可以通过多次发送相同的计数指示信息,提高收发的准确性,而在一段时间内,网络只触发一次密钥更新。
在本发明实施例中,所述计数指示信息在预设时长内被发送多次;如果当前接收到所述计数指示信息的时刻与前一次接收到计数指示信息的时刻之间的时间差小于所述预设时长,则忽略所述当前接收到的计数指示信息,可以在多次发送计数指示信息避免收发错漏的同时,有效避免远端UE重复更新计数值以及重复派生的问题,提高密钥派生的正确性。
在本发明实施例中,还公开了一种远端UE的密钥派生方法,所述远端UE的密钥派生方法可以用于网络侧,还可以包括:向所述远端UE发送计数指示信息,以使所述远端UE根据所述计数指示信息确定用于派生新的安全参数的计数值,并根据当前安全参数以及所述计数值,派生新的安全参数。
进一步地,所述计数指示信息为网络侧配置的计数值;向所述远端UE发送计数指示信息包括:发送配置的计数值,以使所述远端UE直接采用所述计数指示信息作为所述用于派生新的安全参数的计数值。
进一步地,向所述远端UE发送计数指示信息包括:发送所述计数指示信息,以使所述远端UE在接收到所述计数指示信息时,触发对当前的计数值进行更新。
进一步地,向所述远端UE发送计数指示信息包括:发送所述计数指示信息,以使所述远端UE在接收到所述计数指示信息时,触发对所述当前的计数值进行加一运算。
进一步地,所述计数指示信息采用PDCP数据包中的预设比特信息指示。
进一步地,向所述远端UE发送计数指示信息包括:在经由中继UE成功接入目标小区之后,向所述远端UE发送所述计数指示信息。
进一步地,向所述远端UE发送计数指示信息包括:在预设时长内向所述远端UE发送多次所述计数指示信息,以使所述远端UE在当前接收到所述计数指示信息的时刻与前一次接收到计数指示信息的时刻之间的时间差小于所述预设时长时触发一次计数信息的更新,忽略其他计数更新信息。
在具体实施中,有关上述用于网络侧的所述的密钥派生方法的更多详细内容请参照前文以及图1中的步骤的描述进行执行,此处不再赘述。
参照图3,图3是本发明实施例中一种远端UE的密钥派生装置的结构示意图,所述远端UE的密钥派生装置可以用于远端UE,还可以包括:
安全参数确定模块31,用于确定当前安全参数;
接收模块32,用于从网络侧接收计数指示信息,并根据所述计数指示信息确定用于派生新的安全参数的计数值;
派生模块33,用于根据所述当前安全参数以及所述计数值,派生所述新的安全参数。
关于该远端UE的密钥派生装置的原理、具体实现和有益效果请参照前文描述的关于远端UE的密钥派生方法的相关描述,此处不再赘述。
在本发明实施例中,还公开了另一种远端UE的密钥派生装置,所述另一种远端UE的密钥派生装置可以用于网络侧,还可以包括:发送模块,用于向所述远端UE发送计数指示信息,以使所述远端UE根据所述计数指示信息确定用于派生新的安全参数的计数值,并根据当前安全参数以及所述计数值,派生新的安全参数。
关于该用于网络侧的远端UE的密钥派生装置的原理、具体实现和有益效果请参照前文描述的关于远端UE的密钥派生方法的相关描述,此处不再赘述。
需要指出的是,本发明技术方案可适用于5G(5Generation)通信系统,还可适用于4G、3G通信系统,还可适用于未来新的各种通信系统,例如6G、7G等。
本发明实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器运行时执行上述方法的步骤。所述存储介质可以是计算机可读存储介质,例如可以包括非挥发性存储器(non-volatile)或者非瞬态(non-transitory)存储器,还可以包括光盘、机械硬盘、固态硬盘等。
具体地,在本发明实施例中,所述处理器可以为中央处理单元(centralprocessing unit,简称CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor,简称DSP)、专用集成电路(application specificintegrated circuit,简称ASIC)、现成可编程门阵列(field programmable gate array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,简称ROM)、可编程只读存储器(programmable ROM,简称PROM)、可擦除可编程只读存储器(erasable PROM,简称EPROM)、电可擦除可编程只读存储器(electricallyEPROM,简称EEPROM)或闪存。易失性存储器可以是随机存取存储器(random accessmemory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的随机存取存储器(random access memory,简称RAM)可用,例如静态随机存取存储器(staticRAM,简称SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronousDRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,简称DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,简称ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,简称DR RAM)。
本发明实施例还提供了一种远端UE,包括存储器和处理器,所述存储器上存储有能够在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行上述方法的步骤。所述远端UE包括但不限于手机、计算机、平板电脑等终端设备。
具体地,本申请实施例中的远端UE可以指各种形式的用户设备(user equipment,简称UE)、接入终端、用户单元、用户站、移动站、移动台(mobile station,简称MS)、远方站、远程终端、移动设备、用户终端、终端设备(terminal equipment)、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol,简称SIP)电话、无线本地环路(Wireless Local Loop,简称WLL)站、个人数字处理(Personal Digital Assistant,简称PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的终端设备或者未来演进的公用陆地移动通信网络(Public Land Mobile Network,简称PLMN)中的终端设备等,本申请实施例对此并不限定。
本发明实施例还提供了一种网络侧,包括存储器和处理器,所述存储器上存储有能够在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行上述方法的步骤。
具体地,本发明实施例中的网络侧network是指为终端提供通信服务的通信网络,包含无线接入网的基站,还可以包含无线接入网的基站控制器,还可以包含核心网侧的设备。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (20)
1.一种远端UE的密钥派生方法,其特征在于,包括以下步骤:
确定当前安全参数;
从网络侧接收计数指示信息,并根据所述计数指示信息确定用于派生新的安全参数的计数值;
根据所述当前安全参数以及所述计数值,派生所述新的安全参数。
2.根据权利要求1所述的密钥派生方法,其特征在于,所述计数指示信息为网络侧配置的计数值;
根据所述计数指示信息确定用于派生新的安全参数的计数值包括:
直接采用所述计数指示信息作为所述用于派生新的安全参数的计数值。
3.根据权利要求1所述的密钥派生方法,其特征在于,根据所述计数指示信息确定用于派生新的安全参数的计数值包括:
当接收到所述计数指示信息时,触发对当前的计数值进行更新。
4.根据权利要求3所述的密钥派生方法,其特征在于,触发对当前的计数值进行更新包括:
触发对所述当前的计数值进行加一运算。
5.根据权利要求1所述的密钥派生方法,其特征在于,所述计数指示信息采用PDCP数据包中的预设比特信息指示。
6.根据权利要求1所述的密钥派生方法,其特征在于,从网络侧接收计数指示信息包括:
在经过中继UE成功接入目标小区之后,从所述网络侧接收所述计数指示信息。
7.根据权利要求1所述的密钥派生方法,其特征在于,还包括:
根据所述新的安全参数,派生新的加密密钥以及完整性保护密钥。
8.根据权利要求1所述的密钥派生方法,其特征在于,所述计数指示信息在预设时长内被发送多次;
从网络侧接收计数指示信息包括:
如果当前接收到所述计数指示信息的时刻与前一次接收到计数指示信息的时刻之间的时间差小于所述预设时长,则忽略所述当前接收到的计数指示信息。
9.一种远端UE的密钥派生方法,其特征在于,包括以下步骤:
向所述远端UE发送计数指示信息,以使所述远端UE根据所述计数指示信息确定用于派生新的安全参数的计数值,并根据当前安全参数以及所述计数值,派生新的安全参数。
10.根据权利要求9所述的密钥派生方法,其特征在于,所述计数指示信息为网络侧配置的计数值;
向所述远端UE发送计数指示信息包括:
发送配置的计数值,以使所述远端UE直接采用所述计数指示信息作为所述用于派生新的安全参数的计数值。
11.根据权利要求9所述的密钥派生方法,其特征在于,向所述远端UE发送计数指示信息包括:
发送所述计数指示信息,以使所述远端UE在接收到所述计数指示信息时,触发对当前的计数值进行更新。
12.根据权利要求11所述的密钥派生方法,其特征在于,向所述远端UE发送计数指示信息包括:
发送所述计数指示信息,以使所述远端UE在接收到所述计数指示信息时,触发对所述当前的计数值进行加一运算。
13.根据权利要求9所述的密钥派生方法,其特征在于,所述计数指示信息采用PDCP数据包中的预设比特信息指示。
14.根据权利要求9所述的密钥派生方法,其特征在于,向所述远端UE发送计数指示信息包括:
在经由中继UE成功接入目标小区之后,向所述远端UE发送所述计数指示信息。
15.根据权利要求9所述的密钥派生方法,其特征在于,向所述远端UE发送计数指示信息包括:
在预设时长内向所述远端UE发送多次所述计数指示信息,以使所述远端UE在当前接收到所述计数指示信息的时刻与前一次接收到计数指示信息的时刻之间的时间差小于所述预设时长时触发一次计数信息的更新,忽略其他计数更新信息。
16.一种远端UE的密钥派生装置,其特征在于,包括:
安全参数确定模块,用于确定当前安全参数;
接收模块,用于从网络侧接收计数指示信息,并根据所述计数指示信息确定用于派生新的安全参数的计数值;
派生模块,用于根据所述当前安全参数以及所述计数值,派生所述新的安全参数。
17.一种远端UE的密钥派生装置,其特征在于,包括:
发送模块,用于向所述远端UE发送计数指示信息,以使所述远端UE根据所述计数指示信息确定用于派生新的安全参数的计数值,并根据当前安全参数以及所述计数值,派生新的安全参数。
18.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行权利要求1至8任一项所述远端UE的密钥派生方法的步骤,或者执行权利要求9至15任一项所述远端UE的密钥派生方法的步骤。
19.一种远端UE,包括存储器和处理器,所述存储器上存储有能够在所述处理器上运行的计算机程序,其特征在于,所述处理器运行所述计算机程序时执行权利要求1至8任一项所述远端UE的密钥派生方法的步骤。
20.一种网络侧,包括存储器和处理器,所述存储器上存储有能够在所述处理器上运行的计算机程序,其特征在于,所述处理器运行所述计算机程序时执行权利要求9至15任一项所述远端UE的密钥派生方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011050130.8A CN114363889A (zh) | 2020-09-29 | 2020-09-29 | 远端ue的密钥派生方法及装置、远端ue、网络侧 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011050130.8A CN114363889A (zh) | 2020-09-29 | 2020-09-29 | 远端ue的密钥派生方法及装置、远端ue、网络侧 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114363889A true CN114363889A (zh) | 2022-04-15 |
Family
ID=81090365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011050130.8A Pending CN114363889A (zh) | 2020-09-29 | 2020-09-29 | 远端ue的密钥派生方法及装置、远端ue、网络侧 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363889A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117062173A (zh) * | 2023-09-07 | 2023-11-14 | 江苏鸿剑网络科技有限公司 | 边缘网络下的安全通信方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101742500A (zh) * | 2010-01-21 | 2010-06-16 | 中兴通讯股份有限公司 | 一种派生空口密钥的方法及系统 |
| CN109246696A (zh) * | 2017-06-16 | 2019-01-18 | 华为技术有限公司 | 密钥处理方法以及相关装置 |
| WO2019140633A1 (zh) * | 2018-01-19 | 2019-07-25 | Oppo广东移动通信有限公司 | 指示用户设备获取密钥的方法、用户设备及网络设备 |
| CN110637469A (zh) * | 2017-05-15 | 2019-12-31 | 三星电子株式会社 | 用于在无线通信系统中管理安全密钥的装置和方法 |
-
2020
- 2020-09-29 CN CN202011050130.8A patent/CN114363889A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101742500A (zh) * | 2010-01-21 | 2010-06-16 | 中兴通讯股份有限公司 | 一种派生空口密钥的方法及系统 |
| CN110637469A (zh) * | 2017-05-15 | 2019-12-31 | 三星电子株式会社 | 用于在无线通信系统中管理安全密钥的装置和方法 |
| CN109246696A (zh) * | 2017-06-16 | 2019-01-18 | 华为技术有限公司 | 密钥处理方法以及相关装置 |
| WO2019140633A1 (zh) * | 2018-01-19 | 2019-07-25 | Oppo广东移动通信有限公司 | 指示用户设备获取密钥的方法、用户设备及网络设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117062173A (zh) * | 2023-09-07 | 2023-11-14 | 江苏鸿剑网络科技有限公司 | 边缘网络下的安全通信方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11606786B2 (en) | Data transmission method, terminal device, and access network device | |
| US11304054B2 (en) | Communication method and device | |
| JP7469392B2 (ja) | 移動性管理の方法、端末および基地局 | |
| WO2020034229A1 (zh) | 一种信息传输方法及装置、通信设备 | |
| EP3389330B1 (en) | Radio communication methods | |
| US20190357105A1 (en) | Method and apparatus for reducing interruption delay, and user device | |
| WO2020019230A1 (zh) | 一种资源配置方法及装置、终端设备、网络设备 | |
| CN108632022B (zh) | 一种秘钥更新方法、设备及计算机可读存储介质 | |
| CN114363889A (zh) | 远端ue的密钥派生方法及装置、远端ue、网络侧 | |
| CN116803193A (zh) | Sdt失败上报的方法、终端设备和网络设备 | |
| EP3820170B1 (en) | Session establishment method and apparatus | |
| CN112956236B (zh) | 切换过程中安全信息的处理方法及装置、网络设备、终端 | |
| KR20190139929A (ko) | 컨텍스트 구성 정보를 획득하는 방법, 단말 장비 및 접속망 장비 | |
| EP4278849B1 (en) | Systems and methods for ue context retrieval and data forwarding to support small data transmission | |
| US20230370292A1 (en) | Session establishment method and apparatus, access network device and storage medium | |
| CN113396637B (zh) | 一种通信的方法、装置及系统 | |
| WO2022236499A1 (zh) | Cg资源维护方法、终端设备和网络设备 | |
| CN117062173A (zh) | 边缘网络下的安全通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |