CN117221884B - 基站系统信息管理方法及系统 - Google Patents

Abstract

本申请提供一种基站系统信息管理方法及系统，针对群组场景，对于群组中相关的多个UE，若某一个UE，如第一UE最先注册到网络，那么网络，如RAN设备为该第一UE派生的AS密钥就可以被与该第一UE相关的其他UE共享，也即，当其他UE之后注册到网络时，RAN设备不再为该其他UE单独派生AS密钥，而是复用第一UE的AS密钥来为第二UE的AS通信进行安全保护，以保障群组的AS通信安全的情况下，还可以降低网络的开销。

Description

基站系统信息管理方法及系统

技术领域

本申请涉及通信领域，尤其涉及一种基站系统信息管理方法及系统。

背景技术

目前，第三代合作伙伴计划（non-3rd generation partnership project，non-3GPP）定义第五代（5th generation，5G）移动通信的主认证流程。具体的，终端向网络发起注册后，接入和移动性管理功能（access and mobility management function，AMF）网元会触发终端的主认证流程，如果认证成功，这AMF网元将终端注册到网络。此时，网络会为终端派生非接入层（Non-access stratum，NAS）安全上下文，并基于NAS安全上下文派生终端的接入层（access stratum，AS）的密钥，如KgNB，然后进一步派生AS的机密性和完整性保护的密钥，从而对终端与基站之间的AS通信进行安全保护。

然而，针对群组场景，如群组下的感知场景，如何实现群组的AS安全保护是目前研究的热点问题。

发明内容

本申请实施例提供一种基站系统信息管理方法及系统，以实现群组的AS安全保护。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种基站系统信息管理方法，应用于RAN设备，该方法包括：在第一UE请求注册到RAN设备所在的网络的情况下，RAN设备确定第一UE为群组中的UE；RAN设备向网络中的AMF网元发送第一信息，第一信息用于指示群组中的第一UE请求注册到网络；在第一UE成功注册到网络的情况下，RAN设备从AMF网元获取第二信息，第二信息用于指示第一UE的AS密钥能够被群组中与第一UE相关的其他UE共享。

一种可能的设计方案中，RAN设备确定第一UE为群组中的UE，包括：RAN设备接收来自第一UE的第一注册请求，第一注册请求携带有第一信息；RAN设备根据第一信息，确定第一UE为群组中的UE。

可选地，第一信息包括如下至少一项：群组的标识、第一UE的标识、感知任务的标识、或感知任务的感知区域，感知任务的标识用于指示感知任务需要由群组中包含第一UE在内的多个UE共同执行。

进一步的，RAN设备向网络中的AMF网元发送第一信息，包括：RAN设备确定感知区域位于RAN设备的小区内，且用于执行感知任务的多个UE未注册到网络，向AMF网元发送第一注册请求。

进一步的，RAN设备从AMF网元获取第二信息，包括：RAN设备接收来自AMF网元的第一注册接受，第一注册接受包括第一UE的AS密钥以及第二信息。

例如，若第一UE的AS密钥为网络为第一UE推演的密钥KAMF，则RAN设备基于密钥KAMF推演第一UE的密钥KgNB，并根据第二信息确定密钥KgNB能够被群组中与第一UE相关的其他UE共享；或者，若第一UE的AS密钥为密钥KgNB，则RAN设备根据第二信息确定密钥KgNB能够被群组中与第一UE相关的其他UE共享；其中，密钥KgNB是第一UE与RAN设备的AS根密钥，密钥KgNB用于推演第一UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。

一种可能的设计方案中，该方法还包括：在第二UE请求注册到RAN设备所在的网络的情况下，RAN设备确定第二UE为群组与第一UE相关的UE；RAN设备向AMF网元发送第三信息，第三信息用于指示群组中与第一UE相关的第二UE请求注册到网络；在第二UE成功注册到网络的情况下，RAN设备使用第一UE的AS密钥对第二UE与RAN设备之间的通信进行安全保护。

可选地，RAN设备确定第二UE为群组与第一UE相关的UE，包括：RAN设备接收来自第二UE的第二注册请求，第二注册请求携带有第四信息，第四信息包括如下至少一项：群组的标识、第二UE的标识、感知任务的标识、或感知任务的感知区域；RAN设备根据第四信息，确定第二UE与第一UE执行同一感知任务，第二UE与第一UE执行同一感知任务表示第二UE为群组与第一UE相关的UE。相应的，RAN设备向AMF网元发送第三信息，包括：RAN设备根据第四信息，向AMF网元发送第三信息，第三信息包括如下至少一项：群组的标识、第一UE的标识、第二UE的标识、感知任务的标识、或感知任务的感知区域。

进一步的，RAN设备使用第一UE的AS密钥对第二UE与RAN设备之间的通信进行安全保护，包括：RAN设备使用密钥KgNB推演第二UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。

第二方面，提供一种基站系统信息管理系统，该系统包括RAN设备，该系统被配置为：在第一UE请求注册到RAN设备所在的网络的情况下，RAN设备确定第一UE为群组中的UE；RAN设备向网络中的AMF网元发送第一信息，第一信息用于指示群组中的第一UE请求注册到网络；在第一UE成功注册到网络的情况下，RAN设备从AMF网元获取第二信息，第二信息用于指示第一UE的AS密钥能够被群组中与第一UE相关的其他UE共享。

一种可能的设计方案中，该系统被配置为RAN设备接收来自第一UE的第一注册请求，第一注册请求携带有第一信息；RAN设备根据第一信息，确定第一UE为群组中的UE。

可选地，第一信息包括如下至少一项：群组的标识、第一UE的标识、感知任务的标识、或感知任务的感知区域，感知任务的标识用于指示感知任务需要由群组中包含第一UE在内的多个UE共同执行。

进一步的，该系统被配置为RAN设备确定感知区域位于RAN设备的小区内，且用于执行感知任务的多个UE未注册到网络，向AMF网元发送第一注册请求。

进一步的，该系统被配置为RAN设备接收来自AMF网元的第一注册接受，第一注册接受包括第一UE的AS密钥以及第二信息。

例如，若第一UE的AS密钥为网络为第一UE推演的密钥KAMF，则RAN设备基于密钥KAMF推演第一UE的密钥KgNB，并根据第二信息确定密钥KgNB能够被群组中与第一UE相关的其他UE共享；或者，若第一UE的AS密钥为密钥KgNB，则RAN设备根据第二信息确定密钥KgNB能够被群组中与第一UE相关的其他UE共享；其中，密钥KgNB是第一UE与RAN设备的AS根密钥，密钥KgNB用于推演第一UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。

一种可能的设计方案中，该系统被配置为在第二UE请求注册到RAN设备所在的网络的情况下，RAN设备确定第二UE为群组与第一UE相关的UE；RAN设备向AMF网元发送第三信息，第三信息用于指示群组中与第一UE相关的第二UE请求注册到网络；在第二UE成功注册到网络的情况下，RAN设备使用第一UE的AS密钥对第二UE与RAN设备之间的通信进行安全保护。

可选地，该系统被配置为RAN设备接收来自第二UE的第二注册请求，第二注册请求携带有第四信息，第四信息包括如下至少一项：群组的标识、第二UE的标识、感知任务的标识、或感知任务的感知区域；RAN设备根据第四信息，确定第二UE与第一UE执行同一感知任务，第二UE与第一UE执行同一感知任务表示第二UE为群组与第一UE相关的UE。相应的，RAN设备向AMF网元发送第三信息，包括：RAN设备根据第四信息，向AMF网元发送第三信息，第三信息包括如下至少一项：群组的标识、第一UE的标识、第二UE的标识、感知任务的标识、或感知任务的感知区域。

进一步的，RAN设备使用第一UE的AS密钥对第二UE与RAN设备之间的通信进行安全保护，包括：RAN设备使用密钥KgNB推演第二UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。

第三方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机程序，当该处理器执行该计算机程序时，以使该通信装置执行第一方面所述的方法。

在一种可能的设计方案中，第三方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第三方面所述的通信装置与其他通信装置通信。

在本申请实施例中，第三方面所述的通信装置可以为第一方面所述的终端或网络设备，或者可设置于该终端或网络设备中的芯片（系统）或其他部件或组件，或者包含该终端或网络设备的装置。

第四方面，提供一种计算机可读存储介质，包括：计算机程序或指令；当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面所述的方法。

综上，上述方法及系统具有如下技术效果：

针对群组场景，对于群组中相关的多个UE，若某一个UE，如第一UE最先注册到网络，那么网络，如RAN设备为该第一UE派生的AS密钥就可以被与该第一UE相关的其他UE共享，也即，当其他UE之后注册到网络时，RAN设备不再为该其他UE单独派生AS密钥，而是复用第一UE的AS密钥来为第二UE的AS通信进行安全保护，以保障群组的AS通信安全的情况下，还可以降低网络的开销。

附图说明

图1为5GS的架构示意图；

图2为本申请实施例提供的通信系统的架构示意图；

图3为本申请实施例提供的基站系统信息管理方法的流程示意图；

图4为本申请实施例提供的通信装置的结构示意图。

具体实施方式

方便理解，下面先介绍本申请实施例所涉及的技术术语。

1、5G移动通信系统（简称5G系统（5G system，5GS））：

图1为5GS的架构示意图一。如图1所示，5GS包括：接入网（access network，AN）和CN，还可以包括：终端。

终端可以是一个或多个，如第一终端、第二终端、第三终端等。终端可以是具有收发功能的终端，或也可以是设置于该终端的芯片或芯片系统。该终端也可以称为UE、接入终端、用户单元（subscriber unit）、用户站、移动站（mobile station，MS）、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机（mobile phone）、蜂窝电话（cellular phone）、智能电话（smartphone）、平板电脑（Pad）、无线数据卡、个人数字助理电脑（personal digital assistant，PDA）、无线调制解调器（modem）、手持设备（handset）、膝上型电脑（laptop computer）、机器类型通信（machine type communication，MTC）终端、带无线收发功能的电脑、虚拟现实（virtual reality，VR）终端、增强现实（augmented reality，AR）终端、智能家居设备（例如，冰箱、电视、空调、电表等）、智能机器人、机械臂、车间设备、工业控制（industrialcontrol）中的无线终端、无人驾驶（self driving）中的无线终端、远程医疗（remotemedical）中的无线终端、智能电网（smart grid）中的无线终端、运输安全（transportationsafety）中的无线终端、智慧城市（smart city）中的无线终端、智慧家庭（smart home）中的无线终端、车载终端、具有终端功能的路边单元（road side unit，RSU）等、飞行设备（例如，智能机器人、热气球、无人机、飞机）等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。终端设备还可以是其他具有终端功能的设备，例如，终端设备还可以是D2D通信中担任终端功能的设备。

本申请的实施例对终端的设备形态不做限定，用于实现终端设备的功能的装置可以是终端设备；也可以是能够支持终端设备实现该功能的装置，例如芯片系统。该装置可以被安装在终端设备中或者和终端设备匹配使用。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。

上述AN用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括：接入网设备，也可以称为无线接入网设备（radio access network，RAN）设备。CN主要负责维护移动网络的签约数据，为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元：用户面功能（user plane function，UPF）网元、认证服务功能（authentication server function，AUSF）网元、接入和移动性管理功能（access and mobility management function，AMF）网元、会话管理功能（session management function，SMF）网元、网络切片选择功能（networkslice selection function，NSSF）网元、网络开放功能（network exposure function，NEF）网元、网络功能仓储功能（NF repository function，NRF）网元、策略控制功能（policycontrol function，PCF）网元、统一数据管理（unified data management，UDM）网元、统一数据存储（unified data repository，UDR）、以及应用功能（application function，AF）。

RAN设备，也即，接入网装置可以是一个或多个。接入网装置可以是具有无线收发功能的设备，或也可以是设置于该设备的芯片或芯片系统，位于通信系统的接入网（accessnetwork，AN），用以为终端提供接入服务。例如，接入网装置可以被称为无线接入网设备（radio access network，RAN）设备，具体可以是下一代移动通信系统，例如6G的接入网设备，例如6G基站，或者在下一代移动通信系统中，接入网装置也可以有其他命名方式，其均涵盖在本申请实施例的保护范围以内，本申请对此不做任何限定。或者，接入网装置也可以包括5G，如新空口（new radio，NR）系统中的gNB，或，5G中的基站的一个或一组（包括多个天线面板）天线面板，或者，还可以为构成gNB、传输点（transmission and reception point，TRP或者transmission point，TP）或传输测量功能（transmission measurementfunction，TMF）的网络节点，如集中式单元（central unit，CU），分布式单元（distributedunit，DU），CU-控制面（control plane，CP），CU-用户面（user plane，UP），或者无线单元（radio unit，RU）、具有基站功能的RSU，或者有线接入网关，或者5G的核心网网元等。或者，接入网装置还可以包括：无线保真（wireless fidelity，WiFi）系统中的接入点（accesspoint，AP），无线中继节点、无线回传节点、各种形式的宏基站、微基站（也称为小站）、中继站、接入点、可穿戴设备、车载设备等等。

其中，CU和DU可以是单独设置，或者也可以包括在同一个网元中，例如基带单元（baseband unit，BBU）中。RU可以包括在射频设备或者射频单元中，例如包括在射频拉远单元（remote radio unit，RRU）、有源天线处理单元（active antenna unit，AAU）或远程射频头（remote radio head，RRH）中。可以理解的是，网络设备可以为CU节点、或DU节点、或包括CU节点和DU节点的设备。此外，CU可以划分为接入网RAN中的网络设备，也可以将CU划分为核心网CN中的网络设备，在此不做限制。

在不同系统中，CU（或CU-CP和CU-UP）、DU或RU也可以有不同的名称，但是本领域的技术人员可以理解其含义。例如，在ORAN系统中，CU也可以称为O-CU （开放式CU），DU也可以称为O-DU，CU-CP也可以称为O-CU-CP，CU-UP也可以称为O-CU-UP，RU也可以称为O-RU。为描述方便，本申请中以CU，CU-CP，CU-UP、DU和RU为例进行描述。本申请中的CU（或CU-CP、CU-UP）、DU和RU中的任一单元，可以是通过软件模块、硬件模块、或者软件模块与硬件模块结合来实现。

UPF网元主要负责用户数据处理（转发、接收、计费等）。例如，UPF网元可以接收来自数据网络（data network，DN）的用户数据，通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据，并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议（internet protocol，IP）多媒体业务（IP multi-media srvice，IMS）、互联网（internet）等。DN可以为运营商外部网络，也可以为运营商控制的网络，用于向终端设备提供业务服务。

AUSF网元主要用于执行终端的安全认证。

AMF网元主要用于移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。

SMF网元主要用于移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议（internet protocol，IP）地址，选择提供数据包转发功能的UPF网元等。

PCF网元主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量（quality of service，QoS）策略、切片选择策略等。

NSSF网元主要用于为终端选择网络切片。

NEF网元主要用于支持能力和事件的开放。

UDM网元主要用于存储用户数据，例如签约数据、鉴权/授权数据等。

UDR网元主要用于存储结构化数据，存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。

AF主要支持与CN交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。可选地，AF可以提供个人身份识别码（personalidentification number，PIN）业务，也可以称为PIN-AF。

当5GC（5G核心网）支持非可信non-3GPP（简称N3G）接入时，5GS的架构如图2所示，其中， N3IWF也称为非可信非3GPP接入网关，如可以是非可信WLAN接入网关，用以支持非可信的WLAN接入技术。

此外，5GC还可以支持可信的非3GPP接入或/和有线网络接入。其中，可信的非3GPP网络包括可信的WALN网络，有线网络包括固定家庭网络接入等。网络侧架构与非可信非3GPP接入架构类似，如N3IWF可以替换成可信WLAN接入网关（trusted 非3GPP gatewayfunction，TNGF），或替换成有线网络接入网关（wireline access gateway function，W-AGF）。UE与上述接入网关（如TNGF或W-AGF）之间的接入网设备包括WLAN AP、有线网络接入网设备（fixed access network，FAN）、交换机、路由器等。

综上，N3G接入技术包括WLAN接入技术和有线接入技术。WLAN接入技术对应园区部署的WLAN AP，或者公共场所部署的WLAN AP热点，有线接入技术对应家庭网络部署的有线接入。此外，WLAN接入技术又可分为可信WLAN，与非可信WLAN。综上，非3GPP接入技术包括，可信非3GPP接入，非可信非3GPP接入，可信WLAN接入，非可信WLAN接入，有线接入或称为固网接入等接入技术。无论是可信非3GPP接入还是非可信非3GPP接入，核心网侧可以支持如图2所示的点对点接口协议，或者支持如图1所示的3GPP接入核心网架构一致采用的服务化接口。

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如无线网络（Wi-Fi）系统，车到任意物体（vehicle to everything，V2X）通信系统、设备间（device-todevie，D2D）通信系统、车联网通信系统、第四代（4th generation，4G）移动通信系统，如长期演进（longterm evolution，LTE）系统、全球互联微波接入（worldwide interoperability formicrowave access，WiMAX）通信系统、5G，如NR系统，以及未来的通信系统等。

在本申请实施例中，“指示”可以包括直接指示和间接指示，也可以包括显式指示和隐式指示。将某一信息(如下文的第一指示信息、第二指示信息、或者第三指示信息等)所指示的信息称为待指示信息，则具体实现过程中，对待指示信息进行指示的方式有很多种，例如但不限于，可以直接指示待指示信息，如待指示信息本身或者该待指示信息的索引等。也可以通过指示其他信息来间接指示待指示信息，其中该其他信息与待指示信息之间存在关联关系。还可以仅仅指示待指示信息的一部分，而待指示信息的其他部分则是已知的或者提前约定的。例如，还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的指示，从而在一定程度上降低指示开销。同时，还可以识别各个信息的通用部分并统一指示，以降低单独指示同样的信息而带来的指示开销。

此外，具体的指示方式还可以是现有各种指示方式，例如但不限于，上述指示方式及其各种组合等。各种指示方式的具体细节可以参考现有技术，本文不再赘述。由上文所述可知，举例来说，当需要指示相同类型的多个信息时，可能会出现不同信息的指示方式不相同的情形。具体实现过程中，可以根据具体的需要选择所需的指示方式，本申请实施例对选择的指示方式不做限定，如此一来，本申请实施例涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。

应理解，待指示信息可以作为一个整体一起发送，也可以分成多个子信息分开发送，而且这些子信息的发送周期和/或发送时机可以相同，也可以不同。具体发送方法本申请实施例不进行限定。其中，这些子信息的发送周期和/或发送时机可以是预先定义的，例如根据协议预先定义的，也可以是发送端设备通过向接收端设备发送配置信息来配置的。

“预先定义”或“预先配置”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本申请实施例对于其具体的实现方式不做限定。其中，“保存”可以是指，保存在一个或者多个存储器中。所述一个或者多个存储器可以是单独的设置，也可以是集成在编码器或者译码器，处理器、或通信装置中。所述一个或者多个存储器也可以是一部分单独设置，一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质，本申请实施例并不对此限定。

本申请实施例中涉及的“协议”可以是指通信领域中协议族、类似协议族帧结构的标准协议、或者应用于未来的通信系统中的相关协议，本申请实施例对此不作具体限定。

本申请实施例中，“当……时”、“在……的情况下”、“若”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理，并非是限定时间，且也不要求设备在实现时一定要有判断的动作，也不意味着存在其它限定。

在本申请实施例的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；本申请实施例中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A、B可以是单数或者复数。并且，在本申请实施例的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a、b或c中的至少一项（个），可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。同时，在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图2中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性的，图2为本申请实施例提供的基站系统信息管理方法所适用的一种通信系统的架构示意图。

如图2所示，该通信系统可以适用于上述5GS，主要包括：群组和RAN网元。群组包括多个UE。

下面将通过方法实施例具体介绍上述通信系统中各网元/设备之间的交互流程。本申请实施例提供的基站系统信息管理方法可以适用于上述通信系统，并具体应用到上述通信系统中提到的各种场景，下面具体介绍。

图3为本申请实施例提供的基站系统信息管理方法的流程示意图。该基站系统信息管理方法适用到上述通信系统，主要涉及群组和RAN设备等之间的交互。

该方法的流程如下：

S301，在第一UE请求注册到RAN设备所在的网络的情况下，RAN设备确定第一UE为群组中的UE。

其中，RAN设备可以接收来自第一UE的第一注册请求。第一注册请求携带有第一信息；RAN设备根据第一信息，确定第一UE为群组中的UE。可选地，第一信息包括如下至少一项：群组的标识、第一UE的标识（如SUPI）、感知任务的标识、或感知任务的感知区域。其中，感知任务的标识用于指示感知任务需要由群组中包含第一UE在内的多个UE共同执行。感知任务的感知区域可以是物理区域，例如地理位置的标识，如经纬度标识的区域。 也即，RAN设备可以根据群组的标识和第一UE的标识确定第一UE为群组中的UE。

S302，RAN设备向网络中的AMF网元发送第一信息，第一信息用于指示群组中的第一UE请求注册到网络。

其中，RAN设备可以根据第一信息中感知任务的感知区域，确定感知区域是否位于RAN设备的小区内，以及根据第一信息中感知任务的标识，确定执行该感知任务的UE是否有注册到网络。RAN设备可以确定感知区域位于RAN设备的小区内，且用于执行感知任务的多个UE未注册到网络，也即，第一UE是首个执行感知任务的UE请求注册到网络，从而向AMF网元发送第一注册请求（包含第一信息）。

可以理解，感知任务是5.5中通感一体化场景下的感知任务，即第一UE与其他UE，如第二UE通信的同时，第一UE或第二UE能够基于通信的信号完成第一UE与第二UE之间的目标物的感知。

S303，在第一UE成功注册到网络的情况下，RAN设备从AMF网元获取第二信息，第二信息用于指示第一UE的AS密钥能够被群组中与第一UE相关的其他UE共享。

RAN设备接收来自AMF网元的第一注册接受，第一注册接受包括第一UE的AS密钥以及第二信息。

例如，若第一UE的AS密钥为网络为第一UE推演的密钥KAMF，则RAN设备基于密钥KAMF推演第一UE的密钥KgNB，并根据第二信息确定密钥KgNB能够被群组中与第一UE相关的其他UE共享。密钥KgNB是第一UE与RAN设备的AS根密钥，密钥KgNB用于推演第一UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。也就是说，密钥KAMF可以是AMF网元通过UE的主认证流程获取并推演得到的密钥，其可以作为NAS安全上下文一部分，提供给RAN设备，用以RAN设备推演密钥KgNB。此时，由于RAN设备知道第一UE是执行群组的感知任务，且第一个注册到网络的UE，那么第一UE的密钥KgNB就可以被群组中执行同一感知任务的其他UE共享。反之，若该其他UE之后注册到网络，那么该其他UE通常只能共享第一UE的密钥KgNB。或者，若第一UE的AS密钥为密钥KgNB，则RAN设备根据第二信息确定密钥KgNB能够被群组中与第一UE相关的其他UE共享。也就是说，AMF网元可以被升级，AMF网元在获取到密钥KAMF后，AMF网元也可以根据第一信息，确定第一UE是首个执行感知任务的UE请求注册到网络，从而根据密钥KAMF推演密钥KgNB。

综上，针对群组场景，对于群组中相关的多个UE，若某一个UE，如第一UE最先注册到网络，那么网络，如RAN设备为该第一UE派生的AS密钥就可以被与该第一UE相关的其他UE共享，也即，当其他UE之后注册到网络时，RAN设备不再为该其他UE单独派生AS密钥，而是复用第一UE的AS密钥来为第二UE的AS通信进行安全保护，以保障群组的AS通信安全的情况下，还可以降低网络的开销。

在上述方法之后，该方法还包括如下步骤：

步骤1：在第二UE请求注册到RAN设备所在的网络的情况下，RAN设备确定第二UE为群组与第一UE相关的UE。

RAN设备确定第二UE为群组与第一UE相关的UE，包括：RAN设备接收来自第二UE的第二注册请求，第二注册请求携带有第四信息，第四信息包括如下至少一项：群组的标识、第二UE的标识、感知任务的标识、或感知任务的感知区域；RAN设备根据第四信息，确定第二UE与第一UE执行同一感知任务，第二UE与第一UE执行同一感知任务表示第二UE为群组与第一UE相关的UE。

步骤2：RAN设备向AMF网元发送第三信息，第三信息用于指示群组中与第一UE相关的第二UE请求注册到网络。

RAN设备向AMF网元发送第三信息，包括：RAN设备根据第四信息，向AMF网元发送第三信息，第三信息包括如下至少一项：群组的标识、第一UE的标识、第二UE的标识、感知任务的标识、或感知任务的感知区域。

步骤3：在第二UE成功注册到网络的情况下，RAN设备使用第一UE的AS密钥对第二UE与RAN设备之间的通信进行安全保护。

RAN设备接收来自AMF网元的第二注册接受，该第二注册接受表示第二UE成功注册到网络，但第二注册接受不包含上述的密钥KgNB或密钥KAMF，也就是说，AMF网元可以根据第三信息，确定群组中的第一UE已成功注册，当前注册的是群组中的第二UE，因此不再向RAN设备提供上述的密钥KAMF或密钥KgNB。

RAN设备可以使用密钥KgNB推演第一UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。同理，RAN设备也可以使用密钥KgNB推演第二UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。

可以理解，对于UE侧，第一UE可以自行推演第一UE的密钥KgNB，同理，第二UE可以自行推演第二UE的密钥KgNB，可以看出，第二UE的密钥KgNB与RAN设备的第一UE的密钥KgNB是不对齐的。那么，更新第二UE的第二UE的密钥KgNB的方式有两种，一种是当第一UE与第二UE配合执行上述的感知任务时，第一UE向第二UE发送的感知信号中可以包含第一UE注册到网络的时间和被安全保护的第一UE的密钥KgNB。第一UE的密钥KgNB可以是通过第一UE与第二UE之间PC5连接的安全进行保护。此时，第二UE可以根据含第一UE注册到网络的时间早于自身注册到网络的时间，确定使用第一UE的密钥KgNB。另一种是RAN设备可以向第二UE发送被安全保护的第一UE的密钥KgNB，此时，第一UE的密钥KgNB可以是被第二UE与网络之间的NAS安全进行保护，NAS安全可以由AMF网元提供给RAN设备，如NAS的机密性和完整性保护的密钥。

可以理解，所谓群组的感知任务就是指该任务需要由群组中的UE配合执行，由于群组中的UE的能力相仿，或者相同，因此配合起来能够更高效地执行感知任务。例如，在智能工厂场景下，群组中的UE可以是各个智能机械臂。例如，在智能驾驶场景下，群组中的UE可以是车队中的各个车辆。

以上结合图3详细说明了本申请实施例提供的基站系统信息管理方法。以下详细说明用于执行本申请实施例提供的基站系统信息管理方法的基站系统信息管理系统。

该系统包括RAN设备，该系统被配置为：在第一UE请求注册到RAN设备所在的网络的情况下，RAN设备确定第一UE为群组中的UE；RAN设备向网络中的AMF网元发送第一信息，第一信息用于指示群组中的第一UE请求注册到网络；在第一UE成功注册到网络的情况下，RAN设备从AMF网元获取第二信息，第二信息用于指示第一UE的AS密钥能够被群组中与第一UE相关的其他UE共享。

一种可能的设计方案中，该系统被配置为RAN设备接收来自第一UE的第一注册请求，第一注册请求携带有第一信息；RAN设备根据第一信息，确定第一UE为群组中的UE。

可选地，第一信息包括如下至少一项：群组的标识、第一UE的标识、感知任务的标识、或感知任务的感知区域，感知任务的标识用于指示感知任务需要由群组中包含第一UE在内的多个UE共同执行。

进一步的，该系统被配置为RAN设备确定感知区域位于RAN设备的小区内，且用于执行感知任务的多个UE未注册到网络，向AMF网元发送第一注册请求。

进一步的，该系统被配置为RAN设备接收来自AMF网元的第一注册接受，第一注册接受包括第一UE的AS密钥以及第二信息。

例如，若第一UE的AS密钥为网络为第一UE推演的密钥KAMF，则RAN设备基于密钥KAMF推演第一UE的密钥KgNB，并根据第二信息确定密钥KgNB能够被群组中与第一UE相关的其他UE共享；或者，若第一UE的AS密钥为密钥KgNB，则RAN设备根据第二信息确定密钥KgNB能够被群组中与第一UE相关的其他UE共享；其中，密钥KgNB是第一UE与RAN设备的AS根密钥，密钥KgNB用于推演第一UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。

一种可能的设计方案中，该系统被配置为在第二UE请求注册到RAN设备所在的网络的情况下，RAN设备确定第二UE为群组与第一UE相关的UE；RAN设备向AMF网元发送第三信息，第三信息用于指示群组中与第一UE相关的第二UE请求注册到网络；在第二UE成功注册到网络的情况下，RAN设备使用第一UE的AS密钥对第二UE与RAN设备之间的通信进行安全保护。

可选地，该系统被配置为RAN设备接收来自第二UE的第二注册请求，第二注册请求携带有第四信息，第四信息包括如下至少一项：群组的标识、第二UE的标识、感知任务的标识、或感知任务的感知区域；RAN设备根据第四信息，确定第二UE与第一UE执行同一感知任务，第二UE与第一UE执行同一感知任务表示第二UE为群组与第一UE相关的UE。相应的，RAN设备向AMF网元发送第三信息，包括：RAN设备根据第四信息，向AMF网元发送第三信息，第三信息包括如下至少一项：群组的标识、第一UE的标识、第二UE的标识、感知任务的标识、或感知任务的感知区域。

进一步的，RAN设备使用第一UE的AS密钥对第二UE与RAN设备之间的通信进行安全保护，包括：RAN设备使用密钥KgNB推演第二UE与RAN设备的AS机密性保护密钥和AS完整性保护密钥。

图4为本申请实施例提供的通信装置的结构示意图。示例性地，该通信装置可以是终端，也可以是可设置于终端的芯片（系统）或其他部件或组件。如图4所示，通信装置400可以包括处理器401。可选地，通信装置400还可以包括存储器402和/或收发器403。其中，处理器401与存储器402和收发器403耦合，如可以通过通信总线连接。

下面结合图4对通信装置400的各个构成部件进行具体的介绍：

其中，处理器401是通信装置400的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器401是一个或多个中央处理器（central processing unit，CPU），也可以是特定集成电路（application specific integrated circuit，ASIC），或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器（digital signal processor，DSP），或，一个或者多个现场可编程门阵列（fieldprogrammable gate array，FPGA）。

可选地，处理器401可以通过运行或执行存储在存储器402内的软件程序，以及调用存储在存储器402内的数据，执行通信装置400的各种功能，例如执行上述图3所示的基站系统信息管理方法。

在具体的实现中，作为一种实施例，处理器401可以包括一个或多个CPU，例如图4中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置400也可以包括多个处理器。这些处理器中的每一个可以是一个单核处理器（single-CPU），也可以是一个多核处理器（multi-CPU）。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据（例如计算机程序指令）的处理核。

其中，所述存储器402用于存储执行本申请方案的软件程序，并由处理器401来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器402可以是只读存储器（read-only memory，ROM）或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器（random access memory，RAM）或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器（electrically erasable programmable read-only memory，EEPROM）、只读光盘（compactdisc read-only memory，CD-ROM）或其他光盘存储、光碟存储（包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等）、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器402可以和处理器401集成在一起，也可以独立存在，并通过通信装置400的接口电路（图4中未示出）与处理器401耦合，本申请实施例对此不作具体限定。

收发器403，用于与其他通信装置之间的通信。例如，通信装置400为终端，收发器403可以用于与网络设备通信，或者与另一个终端设备通信。又例如，通信装置400为网络设备，收发器403可以用于与终端通信，或者与另一个网络设备通信。

可选地，收发器403可以包括接收器和发送器（图4中未单独示出）。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器403可以和处理器401集成在一起，也可以独立存在，并通过通信装置400的接口电路（图4中未示出）与处理器401耦合，本申请实施例对此不作具体限定。

可以理解的是，图4中示出的通信装置400的结构并不构成对该通信装置的限定，实际的通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，通信装置400的技术效果可以参考上述方法实施例所述的方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元（central processingunit，CPU），该处理器还可以是其他通用处理器、数字信号处理器（digital signalprocessor，DSP）、专用集成电路（application specific integrated circuit，ASIC）、现成可编程门阵列（field programmable gate array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器（read-only memory，ROM）、可编程只读存储器（programmable ROM，PROM）、可擦除可编程只读存储器（erasable PROM，EPROM）、电可擦除可编程只读存储器（electrically EPROM，EEPROM）或闪存。易失性存储器可以是随机存取存储器（random access memory，RAM），其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器（random accessmemory，RAM）可用，例如静态随机存取存储器（static RAM，SRAM）、动态随机存取存储器（DRAM）、同步动态随机存取存储器（synchronous DRAM，SDRAM）、双倍数据速率同步动态随机存取存储器（double data rate SDRAM，DDR SDRAM）、增强型同步动态随机存取存储器（enhanced SDRAM，ESDRAM）、同步连接动态随机存取存储器（synchlink DRAM，SLDRAM）和直接内存总线随机存取存储器（direct rambus RAM，DR RAM）。

上述实施例，可以全部或部分地通过软件、硬件（如电路）、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质（例如，软盘、硬盘、磁带）、光介质（例如，DVD）、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a,b,或c中的至少一项（个），可以表示：a, b, c, a-b, a-c, b-c, 或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（read-only memory，ROM）、随机存取存储器（random access memory，RAM）、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (4)

1.一种基站系统信息管理方法，其特征在于，应用于RAN设备，所述方法包括：

在第一UE请求注册到RAN设备所在的网络的情况下，所述RAN设备确定所述第一UE为群组中的UE；

所述RAN设备向所述网络中的AMF网元发送第一信息，所述第一信息用于指示所述群组中的所述第一UE请求注册到所述网络；

在所述第一UE成功注册到所述网络的情况下，所述RAN设备从所述AMF网元获取第二信息，所述第二信息用于指示所述第一UE的AS密钥能够被所述群组中与所述第一UE相关的其他UE共享；

其中，所述RAN设备确定所述第一UE为群组中的UE，包括：

所述RAN设备接收来自所述第一UE的第一注册请求，所述第一注册请求携带有所述第一信息；

所述RAN设备根据所述第一信息，确定所述第一UE为所述群组中的UE；

所述第一信息包括如下至少一项：所述群组的标识、所述第一UE的标识、感知任务的标识、或所述感知任务的感知区域，所述感知任务的标识用于指示所述感知任务需要由所述群组中包含所述第一UE在内的多个UE共同执行；

所述RAN设备向所述网络中的AMF网元发送第一信息，包括：

所述RAN设备确定所述感知区域位于所述RAN设备的小区内，且用于执行所述感知任务的多个UE未注册到所述网络，向所述AMF网元发送所述第一注册请求；

所述RAN设备从所述AMF网元获取第二信息，包括：

所述RAN设备接收来自所述AMF网元的第一注册接受，所述第一注册接受包括所述第一UE的AS密钥以及所述第二信息；

若所述第一UE的AS密钥为所述网络为所述第一UE推演的密钥KAMF，则所述RAN设备基于所述密钥KAMF推演所述第一UE的密钥KgNB，并根据所述第二信息确定所述密钥KgNB能够被所述群组中与所述第一UE相关的其他UE共享；或者，若所述第一UE的AS密钥为所述密钥KgNB，则所述RAN设备根据所述第二信息确定所述密钥KgNB能够被所述群组中与所述第一UE相关的其他UE共享；

其中，所述密钥KgNB是所述第一UE与所述RAN设备的AS根密钥，所述密钥KgNB用于推演所述第一UE与所述RAN设备的AS机密性保护密钥和AS完整性保护密钥。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在第二UE请求注册到所述RAN设备所在的网络的情况下，所述RAN设备确定所述第二UE为所述群组与所述第一UE相关的UE；

所述RAN设备向所述AMF网元发送第三信息，所述第三信息用于指示所述群组中与所述第一UE相关的所述第二UE请求注册到所述网络；

在所述第二UE成功注册到所述网络的情况下，所述RAN设备使用所述第一UE的AS密钥对所述第二UE与所述RAN设备之间的通信进行安全保护。

3.根据权利要求2所述的方法，其特征在于，所述RAN设备确定所述第二UE为所述群组与所述第一UE相关的UE，包括：

所述RAN设备接收来自所述第二UE的第二注册请求，所述第二注册请求携带有第四信息，所述第四信息包括如下至少一项：所述群组的标识、所述第二UE的标识、所述感知任务的标识、或所述感知任务的感知区域；

所述RAN设备根据所述第四信息，确定所述第二UE与所述第一UE执行同一感知任务，所述第二UE与所述第一UE执行同一感知任务表示所述第二UE为所述群组与所述第一UE相关的UE；

相应的，所述RAN设备向所述AMF网元发送第三信息，包括：

所述RAN设备根据所述第四信息，向所述AMF网元发送所述第三信息，所述第三信息包括如下至少一项：所述群组的标识、所述第一UE的标识、所述第二UE的标识、所述感知任务的标识、或所述感知任务的感知区域。

4.根据权利要求3所述的方法，其特征在于，所述RAN设备使用所述第一UE的AS密钥对所述第二UE与所述RAN设备之间的通信进行安全保护，包括：

所述RAN设备使用所述密钥KgNB推演所述第二UE与所述RAN设备的AS机密性保护密钥和AS完整性保护密钥。